SlideShare una empresa de Scribd logo

Communications Unifiées et Sécurité : Mythes et réalités

Descargar como PPTX, PDF
Microsoft Technet France
Microsoft Technet France

La convergence des usages, l'ouverture à des acteurs externes -clients ou partenaires-, la mobilité et le télétravail entre parfois en conflits avec des pratiques et des politiques de sécurités existantes inadaptées à ces nouveaux usages. Cette session a pour objectif d'identifier les conflits et les bonnes questions de sécurités à traiter et brisera certains mythes et craintes liés à la sécurité des solutions Lync. Elle vous guidera vers les bonnes approches et pratiques de mise en oeuvre.

Tecnología
1 de 19
Donnez votre avis ! Depuis votre smartphone, sur : http://notes.mstechdays.fr De nombreux lots à gagner toutes les heures !!! Claviers, souris et jeux Microsoft… Merci de nous aider à améliorer les TechDays http://notes.mstechdays.fr
Sécurité et Lync Daniel Monier-Reyes TSP Lync Microsoft Serveurs / Entreprise / Réseaux / IT
Ce que cette session n’est pas… Serveurs / Entreprise / Réseaux / IT ?????????
Agenda • Généralités • Authentification • Accès Internet • Accès Voix • Contrôle • Administration Serveurs / Entreprise / Réseaux / IT
Serveurs / Entreprise / Réseaux / IT • Microsoft Secure Development Lifecycle • Le mot de http://www.miercom.com/pdf/reports/20101117.pdf Généralités
Serveurs / Entreprise / Réseaux / IT • Lync : Une solution logicielle – Basé sur serveur Windows – Se « patche » comme n’importe quel autre serveur Windows – Best Practice Analyzer http://technet.microsoft.com/en- us/library/gg558584.aspx – Seuls les services nécessaires sont installés – Firewall Windows configuré automatiquement • Antivirus système – Ne pas oublier les exclusions ! http://technet.microsoft.com/en- us/library/gg195736.aspx (Processus Lync, IIS, SQL, Fichiers et Répertoires) Généralités - La sécurité en profondeur
RÉSEA U Généralités Serveurs / Entreprise / Réseaux / IT • Trafic réseau chiffré par défaut
RÉSEA U Généralités Serveurs / Entreprise / Réseaux / IT • PKI nécessaire pour les Certificats Internes – Certificats auto signés non supportés – Certificats X509v3 avec SAN – CA Microsoft intégrée – Requête entièrement pilotée ou – CA Microsoft non intégrée ou PKI tierce via PKCS #10 – Attention aux CDP (Accès CRL), AIA, Key Usage etc… • Certificats publics pour le Edge et Reverse Proxy – Scénarios externes – CA Publique de confiance par défaut – Requête : Via PKCS #10 – Être sûr à 100% avant de requêter ! • Prérequis : – http://technet.microsoft.com/en- us/library/gg398066.aspx
RÉSEAU Chiffrement Serveurs / Entreprise / Réseaux / IT http://www.microsoft.com/en-us/download/details.aspx?id=6797 Lync Workload Architecture Poster
DIFFÉRENTES MÉTHODES Authentification Serveurs / Entreprise / Réseaux / IT • Active Directory – Base d’authentification – 1 utilisateur Lync Authentifié = 1 compte Active Directory • Kerberos – Utilisateurs de l’entreprise internes (accès à un KDC) – Stations dans Active Directory – Modèle forêt de ressource possible • NTLM – Utilisateurs de l’entreprise internes et/ou externes – Authentification basée sur la fourniture d’un mot de passe • Certificats – Authentification des utilisateurs Lync, Lync Phone Edition – Emis par le serveur Lync – Nécessite une pré authentification pour récupérer le certificat (Kerberos, NTLM ou Code PIN) – Peut être révoqué (Revoke-CSClientCertificate) • Code PIN – Authentification téléphone Lync Phone Edition – Authentification pont de conférence audio – Fournir un num de téléphone ou extension obligatoire – Peut être pré renseigné (Set-CSClientPin) – Peut être bloqué (Lock-CSClientPin) • Autre Protections (Lobby, PIN Vérouillage Lync Phone Edition)
RÔLE EDGE Accès Internet Serveurs / Entreprise / Réseaux / IT • Accès au service Lync depuis Internet sans VPN (Remote user, Invités, Federation) • Serveur en DMZ, Sorte de Reverse Proxy spécifique à Lync, rien devant. • VPN possible mais… • Attention 2 interfaces réseaux = 2 DMZ Privée/Publique • OS Windows, pas dans AD, Lync Trusted Server • MTLS avec les serveurs Internes, TLS avec les clients • Echange des secrets au travers du flux SIP • Mécanisme de rendez-vous pour l’audio et la vidéo.
RÔLE EDGE Accès Internet Serveurs / Entreprise / Réseaux / IT • Peu de ports ouverts vers l’intranet • Mécanisme de rendez-vous • Support de ports simples pour les accès externes (TCP443)
RÔLE EDGE Accès Internet Serveurs / Entreprise / Réseaux / IT • Mécanisme de rendez-vous – 0. Etablissement du canal SIP et Authentification utilisateur. – 1. Authentification de l’utilisateur externe auprès du service Edge A/V – 2. Autorisation de connexion auprès du service Edge A/V – 3. Appel de l’utilisateur Interne (via SIP) – 4. Authentification de l’utilisateur interne auprès du service Edge A/V – 5. Autorisation de connexion auprès du service Edge A/V. Commutation de l’appel. • Clé de chiffrement symétrique échangée grâce à SIP over TLS (AES 128 bits)
VLAN VOIX/DATA Accès Voix Serveurs / Entreprise / Réseaux / IT • Lync fonctionne sur le VLAN Data – Téléphonie IP Traditionnelle utilise VLAN Voix Dédié – Quid des interconnexions avec IP-PBX, SIP Trunk Provider, RTC (PSTN) ? • Plusieurs Modèles d’interconnexion – Direct SIP entre Mediation et IP-PBX – Via une Media Gateway (IP-IP ou IP-TDM) • Media Gateway conseillée – 2 NICs, Routage entre les 2 VLANs – Module SBC possible (Elément de sécurité)
POLICIES Contrôle Serveurs / Entreprise / Réseaux / IT • Conferencing Policy (Set- CSConferencingPolicy) – AllowAnonymousParticipantsInMeetings – AllowAnonymousUsersToDialOut – AllowConferenceRecording, EnableP2PRecording – AllowParticipantControl – AllowExternalUserControl – AllowExternalUsersToRecordMeeting – AllowExternalUsersToSaveContent • PIN Code Policy (Set-CSPINPolicy) – AllowCommonPatterns – MaximumLogonAttempts – MinPasswordLength – PINHistoryCount – PINLifetime
BANDE PASSANTE Contrôle Serveurs / Entreprise / Réseaux / IT • Problématique : – Le réseau, une ressource limitée (Data, WAN) – Objectif : Limiter l’impact sur le réseau • Call Admission Control (CAC) – Plafonner le trafic Audio/Vidéo (Session/Global) – Modélisation du réseau et des liens – Application de stratégies de bande passante • Partage d’application/Bureau : – Limiter le trafic Set-CSConferencingPolicy - AppSharingBitRateKb • Transfert de fichier : – Limiter le trafic Set-CSConferencingPolicy - FileTransfertBitRateKb
RBAC – ROLE BASED ACCESS CONTROL Administration Serveurs / Entreprise / Réseaux / IT • Rôles prédéfinis • Assignables par groupes/users • Scopable – Par Sites – Par OU – Etc… • Possibilité d’en créer de nouveaux
Pour aller plus loin Serveurs / Entreprise / Réseaux / IT Lync Security Guide http://www.microsoft.com/en-us/download/details.aspx?id=2729 Securing your Edge Server with Lync Security Filter (or how to avoid NTLM-based Lync authentication over the Internet) http://imaucblog.com/archive/2012/01/05/securing-your-edge-server-with-lync-security-filter-or-how-to-avoid-ntlm-based-authentication- over-the-internet/ Guide de hardening Lync : http://www.microsoft.com/en-us/download/details.aspx?id=2729 Protecting the Edge Server Against DoS and Password Brute-Force Attacks in Lync Server 2010 http://blogs.technet.com/b/drrez/archive/2011/04/11/protecting-the-edge-server-against-dos-and-password-brute-force-attacks-in-lync- server-2010.aspx Lync Server 2010: Security at the Edge http://technet.microsoft.com/en-us/magazine/hh219285.aspx An update is available to enable the control of the file transfer through the Access Edge service in a Lync Server 2010 environment http://support.microsoft.com/kb/2621840 Et http://voipnorm.blogspot.fr/2011/08/blocking-file-transfers-to-federated.html http://voipnorm.blogspot.fr/2012/06/update-controlling-file-transfer-from.html
Formez-vous en ligne Retrouvez nos évènements Faites-vous accompagner gratuitement Essayer gratuitement nos solutions IT Retrouver nos experts Microsoft Pros de l’ITDéveloppeurs www.microsoftvirtualacademy.comhttp://aka.ms/generation-app http://aka.ms/evenements- developpeurs http://aka.ms/itcamps-france Les accélérateurs Windows Azure, Windows Phone, Windows 8 http://aka.ms/telechargements La Dev’Team sur MSDN http://aka.ms/devteam L’IT Team sur TechNet http://aka.ms/itteam Serveurs / Entreprise / Réseaux / IT

Recomendados

System Center 2012 | SCOM : Déploiement et migration Operations Manager 2012
System Center 2012 | SCOM : Déploiement et migration Operations Manager 2012System Center 2012 | SCOM : Déploiement et migration Operations Manager 2012
System Center 2012 | SCOM : Déploiement et migration Operations Manager 2012Microsoft Technet France
 
Vue d'ensemble des nouveautés de System Center 2012 R2
Vue d'ensemble des nouveautés de System Center 2012 R2Vue d'ensemble des nouveautés de System Center 2012 R2
Vue d'ensemble des nouveautés de System Center 2012 R2Microsoft Technet France
 
System Center Configuration Manager 2012 Overview
System Center Configuration Manager 2012 OverviewSystem Center Configuration Manager 2012 Overview
System Center Configuration Manager 2012 OverviewAmit Gatenyo
 
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex Microsoft Technet France
 
Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Microsoft Technet France
 
OMS log search au quotidien
OMS log search au quotidienOMS log search au quotidien
OMS log search au quotidienMicrosoft Technet France
 
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col... Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...Microsoft Technet France
 
Wavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semainesWavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semainesMicrosoft Technet France
 

Recomendados

System Center 2012 | SCOM : Déploiement et migration Operations Manager 2012
System Center 2012 | SCOM : Déploiement et migration Operations Manager 2012System Center 2012 | SCOM : Déploiement et migration Operations Manager 2012
System Center 2012 | SCOM : Déploiement et migration Operations Manager 2012Microsoft Technet France
 
Vue d'ensemble des nouveautés de System Center 2012 R2
Vue d'ensemble des nouveautés de System Center 2012 R2Vue d'ensemble des nouveautés de System Center 2012 R2
Vue d'ensemble des nouveautés de System Center 2012 R2Microsoft Technet France
 
System Center Configuration Manager 2012 Overview
System Center Configuration Manager 2012 OverviewSystem Center Configuration Manager 2012 Overview
System Center Configuration Manager 2012 OverviewAmit Gatenyo
 
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex Microsoft Technet France
 
Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Microsoft Technet France
 
OMS log search au quotidien
OMS log search au quotidienOMS log search au quotidien
OMS log search au quotidienMicrosoft Technet France
 
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col... Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...Microsoft Technet France
 
Wavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semainesWavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semainesMicrosoft Technet France
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureMicrosoft Technet France
 
Scénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityScénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityMicrosoft Technet France
 
SharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle générationSharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle générationMicrosoft Technet France
 
Stockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeStockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeMicrosoft Technet France
 
Bien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a ServiceBien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a ServiceMicrosoft Technet France
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Microsoft Technet France
 
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...Microsoft Technet France
 
Comprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de MicrosoftComprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de MicrosoftMicrosoft Technet France
 
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Microsoft Technet France
 
Sécurité des données
Sécurité des donnéesSécurité des données
Sécurité des donnéesMicrosoft Technet France
 
Déploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloudDéploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloudMicrosoft Technet France
 
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...Microsoft Technet France
 
SharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybridesSharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybridesMicrosoft Technet France
 
Gestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderneGestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderneMicrosoft Technet France
 
Office 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsOffice 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsMicrosoft Technet France
 
Retour d’expérience sur ‘TFS Online’ (VSTS) dans une solution industrielle (c...
Retour d’expérience sur ‘TFS Online’ (VSTS) dans une solution industrielle (c...Retour d’expérience sur ‘TFS Online’ (VSTS) dans une solution industrielle (c...
Retour d’expérience sur ‘TFS Online’ (VSTS) dans une solution industrielle (c...Microsoft Technet France
 
Simplifier vos déploiements vers Windows 10
Simplifier vos déploiements vers Windows 10Simplifier vos déploiements vers Windows 10
Simplifier vos déploiements vers Windows 10Microsoft Technet France
 
Protéger ses données, identités & appareils avec Windows 10
Protéger ses données, identités & appareils avec Windows 10Protéger ses données, identités & appareils avec Windows 10
Protéger ses données, identités & appareils avec Windows 10Microsoft Technet France
 
Migrer vos bases Oracle vers du SQL, le tout dans Azure !
Migrer vos bases Oracle vers du SQL, le tout dans Azure !Migrer vos bases Oracle vers du SQL, le tout dans Azure !
Migrer vos bases Oracle vers du SQL, le tout dans Azure !Microsoft Technet France
 
Migration et Plan de Reprise d’Activité simplifié dans Azure
Migration et Plan de Reprise d’Activité simplifié dans AzureMigration et Plan de Reprise d’Activité simplifié dans Azure
Migration et Plan de Reprise d’Activité simplifié dans AzureMicrosoft Technet France
 

Más contenido relacionado

Más de Microsoft Technet France

Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureMicrosoft Technet France
 
Scénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityScénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityMicrosoft Technet France
 
SharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle générationSharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle générationMicrosoft Technet France
 
Stockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeStockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeMicrosoft Technet France
 
Bien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a ServiceBien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a ServiceMicrosoft Technet France
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Microsoft Technet France
 
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...Microsoft Technet France
 
Comprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de MicrosoftComprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de MicrosoftMicrosoft Technet France
 
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Microsoft Technet France
 
Déploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloudDéploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloudMicrosoft Technet France
 
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...Microsoft Technet France
 
SharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybridesSharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybridesMicrosoft Technet France
 
Gestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderneGestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderneMicrosoft Technet France
 
Office 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsOffice 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsMicrosoft Technet France
 
Retour d’expérience sur ‘TFS Online’ (VSTS) dans une solution industrielle (c...
Retour d’expérience sur ‘TFS Online’ (VSTS) dans une solution industrielle (c...Retour d’expérience sur ‘TFS Online’ (VSTS) dans une solution industrielle (c...
Retour d’expérience sur ‘TFS Online’ (VSTS) dans une solution industrielle (c...Microsoft Technet France
 
Simplifier vos déploiements vers Windows 10
Simplifier vos déploiements vers Windows 10Simplifier vos déploiements vers Windows 10
Simplifier vos déploiements vers Windows 10Microsoft Technet France
 
Protéger ses données, identités & appareils avec Windows 10
Protéger ses données, identités & appareils avec Windows 10Protéger ses données, identités & appareils avec Windows 10
Protéger ses données, identités & appareils avec Windows 10Microsoft Technet France
 
Migrer vos bases Oracle vers du SQL, le tout dans Azure !
Migrer vos bases Oracle vers du SQL, le tout dans Azure !Migrer vos bases Oracle vers du SQL, le tout dans Azure !
Migrer vos bases Oracle vers du SQL, le tout dans Azure !Microsoft Technet France
 
Migration et Plan de Reprise d’Activité simplifié dans Azure
Migration et Plan de Reprise d’Activité simplifié dans AzureMigration et Plan de Reprise d’Activité simplifié dans Azure
Migration et Plan de Reprise d’Activité simplifié dans AzureMicrosoft Technet France
 

Más de Microsoft Technet France (20)

Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
 
Scénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityScénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + Security
 
SharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle générationSharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle génération
 
Stockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeStockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le monde
 
Bien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a ServiceBien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a Service
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365
 
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
 
Comprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de MicrosoftComprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de Microsoft
 
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
 
Sécurité des données
Sécurité des donnéesSécurité des données
Sécurité des données
 
Déploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloudDéploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloud
 
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
 
SharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybridesSharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybrides
 
Gestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderneGestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderne
 
Office 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsOffice 365 dans votre Système d'Informations
Office 365 dans votre Système d'Informations
 
Retour d’expérience sur ‘TFS Online’ (VSTS) dans une solution industrielle (c...
Retour d’expérience sur ‘TFS Online’ (VSTS) dans une solution industrielle (c...Retour d’expérience sur ‘TFS Online’ (VSTS) dans une solution industrielle (c...
Retour d’expérience sur ‘TFS Online’ (VSTS) dans une solution industrielle (c...
 
Simplifier vos déploiements vers Windows 10
Simplifier vos déploiements vers Windows 10Simplifier vos déploiements vers Windows 10
Simplifier vos déploiements vers Windows 10
 
Protéger ses données, identités & appareils avec Windows 10
Protéger ses données, identités & appareils avec Windows 10Protéger ses données, identités & appareils avec Windows 10
Protéger ses données, identités & appareils avec Windows 10
 
Migrer vos bases Oracle vers du SQL, le tout dans Azure !
Migrer vos bases Oracle vers du SQL, le tout dans Azure !Migrer vos bases Oracle vers du SQL, le tout dans Azure !
Migrer vos bases Oracle vers du SQL, le tout dans Azure !
 
Migration et Plan de Reprise d’Activité simplifié dans Azure
Migration et Plan de Reprise d’Activité simplifié dans AzureMigration et Plan de Reprise d’Activité simplifié dans Azure
Migration et Plan de Reprise d’Activité simplifié dans Azure
 

Communications Unifiées et Sécurité : Mythes et réalités

  • 1. Donnez votre avis ! Depuis votre smartphone, sur : http://notes.mstechdays.fr De nombreux lots à gagner toutes les heures !!! Claviers, souris et jeux Microsoft… Merci de nous aider à améliorer les TechDays http://notes.mstechdays.fr
  • 2. Sécurité et Lync Daniel Monier-Reyes TSP Lync Microsoft Serveurs / Entreprise / Réseaux / IT
  • 3. Ce que cette session n’est pas… Serveurs / Entreprise / Réseaux / IT ?????????
  • 4. Agenda • Généralités • Authentification • Accès Internet • Accès Voix • Contrôle • Administration Serveurs / Entreprise / Réseaux / IT
  • 5. Serveurs / Entreprise / Réseaux / IT • Microsoft Secure Development Lifecycle • Le mot de http://www.miercom.com/pdf/reports/20101117.pdf Généralités
  • 6. Serveurs / Entreprise / Réseaux / IT • Lync : Une solution logicielle – Basé sur serveur Windows – Se « patche » comme n’importe quel autre serveur Windows – Best Practice Analyzer http://technet.microsoft.com/en- us/library/gg558584.aspx – Seuls les services nécessaires sont installés – Firewall Windows configuré automatiquement • Antivirus système – Ne pas oublier les exclusions ! http://technet.microsoft.com/en- us/library/gg195736.aspx (Processus Lync, IIS, SQL, Fichiers et Répertoires) Généralités - La sécurité en profondeur
  • 7. RÉSEA U Généralités Serveurs / Entreprise / Réseaux / IT • Trafic réseau chiffré par défaut
  • 8. RÉSEA U Généralités Serveurs / Entreprise / Réseaux / IT • PKI nécessaire pour les Certificats Internes – Certificats auto signés non supportés – Certificats X509v3 avec SAN – CA Microsoft intégrée – Requête entièrement pilotée ou – CA Microsoft non intégrée ou PKI tierce via PKCS #10 – Attention aux CDP (Accès CRL), AIA, Key Usage etc… • Certificats publics pour le Edge et Reverse Proxy – Scénarios externes – CA Publique de confiance par défaut – Requête : Via PKCS #10 – Être sûr à 100% avant de requêter ! • Prérequis : – http://technet.microsoft.com/en- us/library/gg398066.aspx
  • 9. RÉSEAU Chiffrement Serveurs / Entreprise / Réseaux / IT http://www.microsoft.com/en-us/download/details.aspx?id=6797 Lync Workload Architecture Poster
  • 10. DIFFÉRENTES MÉTHODES Authentification Serveurs / Entreprise / Réseaux / IT • Active Directory – Base d’authentification – 1 utilisateur Lync Authentifié = 1 compte Active Directory • Kerberos – Utilisateurs de l’entreprise internes (accès à un KDC) – Stations dans Active Directory – Modèle forêt de ressource possible • NTLM – Utilisateurs de l’entreprise internes et/ou externes – Authentification basée sur la fourniture d’un mot de passe • Certificats – Authentification des utilisateurs Lync, Lync Phone Edition – Emis par le serveur Lync – Nécessite une pré authentification pour récupérer le certificat (Kerberos, NTLM ou Code PIN) – Peut être révoqué (Revoke-CSClientCertificate) • Code PIN – Authentification téléphone Lync Phone Edition – Authentification pont de conférence audio – Fournir un num de téléphone ou extension obligatoire – Peut être pré renseigné (Set-CSClientPin) – Peut être bloqué (Lock-CSClientPin) • Autre Protections (Lobby, PIN Vérouillage Lync Phone Edition)
  • 11. RÔLE EDGE Accès Internet Serveurs / Entreprise / Réseaux / IT • Accès au service Lync depuis Internet sans VPN (Remote user, Invités, Federation) • Serveur en DMZ, Sorte de Reverse Proxy spécifique à Lync, rien devant. • VPN possible mais… • Attention 2 interfaces réseaux = 2 DMZ Privée/Publique • OS Windows, pas dans AD, Lync Trusted Server • MTLS avec les serveurs Internes, TLS avec les clients • Echange des secrets au travers du flux SIP • Mécanisme de rendez-vous pour l’audio et la vidéo.
  • 12. RÔLE EDGE Accès Internet Serveurs / Entreprise / Réseaux / IT • Peu de ports ouverts vers l’intranet • Mécanisme de rendez-vous • Support de ports simples pour les accès externes (TCP443)
  • 13. RÔLE EDGE Accès Internet Serveurs / Entreprise / Réseaux / IT • Mécanisme de rendez-vous – 0. Etablissement du canal SIP et Authentification utilisateur. – 1. Authentification de l’utilisateur externe auprès du service Edge A/V – 2. Autorisation de connexion auprès du service Edge A/V – 3. Appel de l’utilisateur Interne (via SIP) – 4. Authentification de l’utilisateur interne auprès du service Edge A/V – 5. Autorisation de connexion auprès du service Edge A/V. Commutation de l’appel. • Clé de chiffrement symétrique échangée grâce à SIP over TLS (AES 128 bits)
  • 14. VLAN VOIX/DATA Accès Voix Serveurs / Entreprise / Réseaux / IT • Lync fonctionne sur le VLAN Data – Téléphonie IP Traditionnelle utilise VLAN Voix Dédié – Quid des interconnexions avec IP-PBX, SIP Trunk Provider, RTC (PSTN) ? • Plusieurs Modèles d’interconnexion – Direct SIP entre Mediation et IP-PBX – Via une Media Gateway (IP-IP ou IP-TDM) • Media Gateway conseillée – 2 NICs, Routage entre les 2 VLANs – Module SBC possible (Elément de sécurité)
  • 15. POLICIES Contrôle Serveurs / Entreprise / Réseaux / IT • Conferencing Policy (Set- CSConferencingPolicy) – AllowAnonymousParticipantsInMeetings – AllowAnonymousUsersToDialOut – AllowConferenceRecording, EnableP2PRecording – AllowParticipantControl – AllowExternalUserControl – AllowExternalUsersToRecordMeeting – AllowExternalUsersToSaveContent • PIN Code Policy (Set-CSPINPolicy) – AllowCommonPatterns – MaximumLogonAttempts – MinPasswordLength – PINHistoryCount – PINLifetime
  • 16. BANDE PASSANTE Contrôle Serveurs / Entreprise / Réseaux / IT • Problématique : – Le réseau, une ressource limitée (Data, WAN) – Objectif : Limiter l’impact sur le réseau • Call Admission Control (CAC) – Plafonner le trafic Audio/Vidéo (Session/Global) – Modélisation du réseau et des liens – Application de stratégies de bande passante • Partage d’application/Bureau : – Limiter le trafic Set-CSConferencingPolicy - AppSharingBitRateKb • Transfert de fichier : – Limiter le trafic Set-CSConferencingPolicy - FileTransfertBitRateKb
  • 17. RBAC – ROLE BASED ACCESS CONTROL Administration Serveurs / Entreprise / Réseaux / IT • Rôles prédéfinis • Assignables par groupes/users • Scopable – Par Sites – Par OU – Etc… • Possibilité d’en créer de nouveaux
  • 18. Pour aller plus loin Serveurs / Entreprise / Réseaux / IT Lync Security Guide http://www.microsoft.com/en-us/download/details.aspx?id=2729 Securing your Edge Server with Lync Security Filter (or how to avoid NTLM-based Lync authentication over the Internet) http://imaucblog.com/archive/2012/01/05/securing-your-edge-server-with-lync-security-filter-or-how-to-avoid-ntlm-based-authentication- over-the-internet/ Guide de hardening Lync : http://www.microsoft.com/en-us/download/details.aspx?id=2729 Protecting the Edge Server Against DoS and Password Brute-Force Attacks in Lync Server 2010 http://blogs.technet.com/b/drrez/archive/2011/04/11/protecting-the-edge-server-against-dos-and-password-brute-force-attacks-in-lync- server-2010.aspx Lync Server 2010: Security at the Edge http://technet.microsoft.com/en-us/magazine/hh219285.aspx An update is available to enable the control of the file transfer through the Access Edge service in a Lync Server 2010 environment http://support.microsoft.com/kb/2621840 Et http://voipnorm.blogspot.fr/2011/08/blocking-file-transfers-to-federated.html http://voipnorm.blogspot.fr/2012/06/update-controlling-file-transfer-from.html
  • 19. Formez-vous en ligne Retrouvez nos évènements Faites-vous accompagner gratuitement Essayer gratuitement nos solutions IT Retrouver nos experts Microsoft Pros de l’ITDéveloppeurs www.microsoftvirtualacademy.comhttp://aka.ms/generation-app http://aka.ms/evenements- developpeurs http://aka.ms/itcamps-france Les accélérateurs Windows Azure, Windows Phone, Windows 8 http://aka.ms/telechargements La Dev’Team sur MSDN http://aka.ms/devteam L’IT Team sur TechNet http://aka.ms/itteam Serveurs / Entreprise / Réseaux / IT

Notas del editor

  1. Notation
  2. Intro Serveurs / Entreprise / Reseaux / IT
  3. Exemple de page image
  4. SDL : a process that Microsoft has adopted for the development of software that needs to withstand malicious attack. The process encompasses the addition of a series of security-focused activities and deliverables to each of the phases of Microsoft's software development process.Depuisquecetteméthodeestappliquée le nombre de vulnérabilités au sein de nosproduitsontconsidérablementdiminuées.Au delà du fait que nous Microsoft disonsque Lync estsécuriséque font les autres ? Et bien les autres font des tests commeMiercom.Le mot de Miercom :Qui estMiercom ? : Miercom is a privately held network consultancy, specializing in networking and communications-related product testing and analysis.Miercom a donc fait touteunebatterie de tests, dont on voit un exempleicisurcette slide (concernantuneattaqueoù on fait muter les packet TCP) maispeuimporte Lync a résisté à l’ensemble des tests, moyennantparfoisl’application d’un patch.Cequ’ilest important de retenirc’est :Vouspouvezretrouverl’ensemble des tests sur le site de MiercomAppliquer les patch de sécurité, ce qui m’amène à prochaine slide
  5. Lync est une solution logicielle basée sur Microsoft Windows, se patche comme n’importe quel serveur Windows
  6. Nous parlions juste avant de Sécurité en profondeur ceci s’applique aussi au niveau des flux réseau engendrés par la solutionL’ensemble des flux sont chiffrés, y compris internesDescription du tableauEntre les clients Lync et les serveurs Lync : TLSServeurs à Serveurs Lync : MTLS…On parle de TLS, MTLS, HTTPS mais ceci implique la présence de certificats sur les serveurs. Pas n’importe quels certificats, ceux-ci doivent être issus d’une PKI. C’est un point très important, si vous avez déjà une PKI on peut la réutiliser à condition que celle-ci soit capable de délivrer des certificats x509v3 avec des entrées SAN (SubjectAlternate Name).
  7. On parle de TLS, MTLS, HTTPS mais ceci implique la présence de certificats sur les serveurs. Pas n’importe quels certificats, ceux-ci doivent être issus d’une PKI. C’est un point très important, si vous avez déjà une PKI on peut la réutiliser à condition que celle-ci soit capable de délivrer des certificats x509v3 avec des entrées SAN (SubjectAlternate Name).
  8. Les blocs de couleurssontéditables et peuventreprendre la couleur du type de session qui estdonnée.Idem pour les textes.
  9. Les blocs de couleurs sont éditables et peuvent reprendre la couleur du type de session qui est donnée.Idem pour les textes.
  10. Security of end-to-end mediaThe signaling channel used to negotiate a media session is protected using 128-bit TLS encryption with validation that the server certificate has a matching FQDN and trusted authority. This mechanism is very similar to the one that e-commerce sites use for online transactions. To secure the media itself, Office Communications Server implements the IETF’s SRTP protocol. The mechanism uses a 128-bit key exchange over the secure signaling channel, which the two endpoints then use to encrypt and decrypt the media stream using 128-bit Advanced Encryption Standard (AES) encryption. This ensures that even if an attacker can perform a man-in-the-middle attack of the media path, the attacker is not able to eavesdrop on the conversation or inject additional media packets. In the latter case, the client simply drops the packets.A/VThe following sequence of events takes place when a remote user calls internal users and therefore needs to be able to send voice, VoIP, or both by means of the A/V Edge Server: 1. The remote user establishes an authenticated SIP session by having the user sign in to Office Communications Server. Within the context of this authenticated, encrypted SIP session, the user can obtain authentication credentials from the A/V Authentication service.2. The remote user authenticates itself with the A/V Edge service and obtains media session ports (Office Communications Server 2007 R2 uses 3478/UDP) on the server for use in the upcoming call. At this point, the remote user can send packets by way of the allocated port on the public IP address of the A/V Edge service, but still cannot send media packets inside the enterprise.3. The remote user calls the internal user by way of the SIP signaling channel provided by the Access Edge service. As part of the call setup, the internal user is informed about the port on the A/V Edge service that the remote user has available to exchange media.4. The internal user contacts the A/V Edge service on its private IP address to be authenticated to receive media. The internal user is also allocated a port on the A/V Edge service public address (Office Communications Server 2007 R2 uses 3478/UDP) for use in the media session. After receiving the port, the internal user, again by way of the Access Edge service, answers the call and thus informs the remote user of the port it has obtained on the A/V Edge service for media exchange.The call setup is complete. Internal and external users begin to exchange media.
  11. Les blocs de couleurs sont éditables et peuvent reprendre la couleur du type de session qui est donnée.Idem pour les textes.
  12. Les blocs de couleurs sont éditables et peuvent reprendre la couleur du type de session qui est donnée.Idem pour les textes.
  13. Les blocs de couleurs sont éditables et peuvent reprendre la couleur du type de session qui est donnée.Idem pour les textes.