Verbesserung der Sicherheit mobiler Exchange-Geräte mit der F5 BIG-IP-Plattform
Da die Nutzung mobiler Geräte am Arbeitsplatz immer weiter zunimmt, steigt auch das Risiko für Unternehmensanlagen und die Notwendigkeit, diese Risiken zu mindern. Für viele Organisationen ist die Bereitstellung eines Remote-Zugriffs auf Unternehmenswerte wie Microsoft Exchange über mobile Geräte nicht nur ein Luxus, sondern auch eine geschäftliche Anforderung. Daher müssen Administratoren Wege finden, die Anforderungen einer mobilen Belegschaft mit der Notwendigkeit der Sicherheit von Unternehmensressourcen in Einklang zu bringen. Glücklicherweise können F5 BIG-IP Application Delivery Controller (ADCs) helfen.
Dieses Dokument enthält Anleitungen zur Verwendung von BIG-IP Access Policy Manager (APM) und BIG-IP Application Security Manager (ASM), um die Sicherheit mobiler Geräte mit Exchange 2010 deutlich zu verbessern.
Diese Anleitung präsentiert zwar funktionale und getestete Lösungen zum Sichern mobiler Geräte in einer Exchange 2010-Umgebung, stellt jedoch bei weitem nicht alle verfügbaren Optionen dar. Eine der größten Stärken der BIG-IP-Produktlinie (einschließlich BIG-IP LTM, APM, ASM und mehr) ist ihre Flexibilität. Das Hauptziel dieses technischen Briefs besteht nicht nur darin, praktische Anleitungen zu geben, sondern auch die Leistungsfähigkeit und Flexibilität von BIG-IP-Produkten zu veranschaulichen. Es wird vorausgesetzt, dass der Leser über allgemeine Verwaltungskenntnisse des BIG-IP Local Traffic Manager (LTM) verfügt und mit den BIG-IP APM- und ASM-Modulen vertraut ist.
Die folgenden BIG-IP-Produkte und -Software wurden zum Konfigurieren und Testen der in dieser Beschreibung vorgestellten Anleitungen verwendet.
| Produkt | Versionen |
|---|---|
| Lokaler BIG-IP-Verkehrsmanager (LTM) | Versionen 11.1 und 11.2 |
| BIG-IP-Zugriffsrichtlinien-Manager (APM) | Versionen 11.1 und 11.2 |
| BIG-IP Application (ASM) | Versionen 11.1 und 11.2 |
| Apple iPhone 4 und 4S | iOS-Version 5.1.1 |
| Windows Phone 7 – Dell Venue Pro | Betriebssystemversion 7.0.7392.212 |
- Microsoft Exchange Server 2010 (BIG-IP v11: LTM, APM, Edge Gateway) Bereitstellungshandbuch: <a href="http://www.f5.com/pdf/deployment-guides/microsoft-exchange2010-iapp-dg.pdf">http://www.f5.com/pdf/deployment-guides/microsoft-exchange2010-iapp-dg.pdf</a>
- Übersicht über die BIG-IP-Produktfamilie: http://www.f5.com/products/big-ip/
Die Clientzugriffsserverrolle (CAS) fungiert in Exchange 2010 als Zugriffspunkt für den gesamten Clientverkehr (einschließlich mobiler Geräte). Genauer gesagt nutzt die Mehrheit der Mobilgeräte Exchange ActiveSync, um auf Postfachinformationen zuzugreifen. Der Zugriff auf die Unternehmensumgebung über leicht kompromittierte Mobilgeräte stellt ein erhebliches Risiko dar. Daher ist der Einsatz einer Multifaktorlösung von entscheidender Bedeutung, die nicht nur den Benutzer, sondern auch das Gerät authentifiziert und autorisiert.
Das BIG-IP APM-Modul arbeitet Hand in Hand mit der Reverse-Proxy-Funktionalität von BIG-IP LTM, befindet sich auf dem BIG-IP-System und bietet eine sichere Vorauthentifizierung (einschließlich Endpunktprüfung) für geschäftskritische Applications. Entscheidungen zum Verkehrsmanagement können am Netzwerkrand auf Gruppen- oder Einzelbasis getroffen und durchgesetzt werden. Der folgende Abschnitt verwendet das BIG-IP APM-Modul, um Zugriff basierend auf Benutzername und Passwort, Geräte-ID und Client-Zertifikaten zu ermöglichen und gleichzeitig die Verwendung integrierter Exchange-Sicherheitsfunktionen wie ActiveSync-Richtlinien und Remote-Gerätelöschung zu ermöglichen.
Um das SSL-Offloading auf das BIG-IP-System (sowie die Vorauthentifizierung) zu erleichtern, verwenden die Exchange ActiveSync-Konfiguration und -Richtlinie die Standardeinstellungen.
Die erfolgreiche Konfiguration und Bereitstellung von BIG-IP APM beginnt mit den F5 iApps. Erstmals verfügbar mit Version 11.0, iApps (F5 iApps: Die Application über das Netzwerk hinaus erfolgt über eine effiziente und benutzerfreundliche Methode, um geschäftskritische Applications schnell im Netzwerk bereitzustellen.
Wie unten dargestellt, wird als Ausgangspunkt dieser Anleitung die Exchange-Umgebung über die Exchange 2010 iApp bereitgestellt. Über einen menügesteuerten Konfigurationsbildschirm konfiguriert die Basis-iApp den Zugriff auf die Exchange 2010 CAS-Umgebung, einschließlich des Zugriffs auf Exchange ActiveSync.
Die BIG-IP APM-Konfiguration wird über die iApp durchgeführt.
Unten ist eine abgeschlossene Bereitstellung dargestellt.
Diese Basiskonfiguration des BIG-IP-Systems bietet erweiterte Funktionen zur Verkehrsverwaltung und -optimierung, darunter Lastausgleich, Komprimierung, Zwischenspeicherung und Sitzungspersistenz. Darüber hinaus wird für den gesamten webbasierten Datenverkehr eine Vorauthentifizierung bereitgestellt, einschließlich des Datenverkehrs von Outlook Web Access, Outlook Anywhere und Exchange ActiveSync. Anmeldeinformationen (Benutzername und Kennwort) werden vom BIG-IP-System angefordert und an dieses übermittelt, das den Benutzer wiederum gegenüber Active Directory authentifiziert. Nur ordnungsgemäß authentifizierte Benutzer erhalten Zugriff auf die interne Umgebung der Organisation.
Um die Sicherheitslage weiter zu verbessern, möchten viele Organisationen den Zugriff auf Unternehmens-E-Mails ausschließlich auf zuvor genehmigte Mobilgeräte beschränken. Diese zugelassenen Geräte können einem bestimmten Benutzer zugewiesen oder in einen Gerätepool aufgenommen werden, der Benutzern bei Bedarf zur Verfügung gestellt werden kann. Durch Ausnutzung der Flexibilität von BIG-IP APM und der eindeutigen Geräte-IDs, die mit mobilen Geräten verknüpft sind, kann die zuvor konfigurierte Exchange-Bereitstellung leicht geändert werden, um den Zugriff sowohl basierend auf Benutzername und Passwort als auch auf dem physischen Gerät zu erzwingen.
Bevor die BIG-IP-Konfiguration geändert wird, muss die von der iApp erstellte Konfiguration so eingestellt werden, dass Nicht-iApp-Updates möglich sind. Dies geschieht durch die Änderung der Eigenschaften des jeweiligen Application (siehe unten).
Das BIG-IP-System kann so konfiguriert werden, dass im Authentifizierungsprozess ein Pool genehmigter Geräte verwendet wird. Nur authentifizierte Benutzer mit freigegebenen Geräten (Geräte, die im gemeinsamen Pool enthalten sind) erhalten mobilen Zugriff auf die Exchange-Umgebung. Diese Methode verwendet einen zentralisierten Pool zulässiger Geräte und bietet Administratoren die Flexibilität, Geräte nach Bedarf an einzelne Endbenutzer „auszuleihen“.
Die folgenden Schritte werden für die aktuelle BIG-IP-Bereitstellung ausgeführt.
Die folgenden Schritte werden für die aktuelle BIG-IP-Bereitstellung ausgeführt.
1. Erstellen Sie eine Datengruppenliste, die alle relevanten Geräte-IDs enthält.
Als Alternative zur Eingabe von Geräte-IDs in die BIG-IP-Web-GUI können Sie mithilfe der iFile-Funktion des BIG-IP-Systems auf eine externe Datei verweisen. Einzelheiten finden Sie auf DevCentral https://community.f5.com/t5/technical-articles/v11-1-ndash-external-file-access-from-irules-via-ifiles/ta-p/287683
2. Die bestehende Zugriffsrichtlinie wird genutzt
3. Eine F5 iRule wird erstellt und mit dem virtueller Server verknüpft. Die iRule vergleicht die Geräte-ID der Client-Verbindung (in der HTTP-Abfrage enthalten) mit den Geräte-IDs, die in der zuvor erstellten Datengruppenliste gespeichert sind. Wenn die Geräte-ID nicht in der Liste der zulässigen Geräte enthalten ist, wird die Sitzung beendet und der Zugriff verweigert.
Ein Hinweis zur Base64-Kodierung: Die Methode und der Umfang, in dem verschiedene Anbieter mobiler Betriebssysteme (z. B. Apple iOS, Android und Windows Phone) auf ActiveSync zugreifen, können unterschiedlich sein. Einige Geräte, wie z. B. Windows Phone 7, verwenden Base64-Kodierung, die dekodiert werden muss, um die Geräte-ID zu identifizieren. Die oben erwähnte iRule bestimmt, ob die HTTP-Abfrage wie erforderlich kodiert und dekodiert wird.
Obwohl es nicht so einfach ist wie das vorherige Beispiel, kann BIG-IP APM zum Abfragen von Benutzerattributen in Active Directory verwendet werden. Um die Benutzer-Geräte-Zuordnung für die Zugriffssicherheit zu erleichtern, können die benutzerdefinierten Attribute von Exchange 2010 genutzt werden, um zulässige Geräte-IDs auf Benutzerbasis zu speichern. Anschließend kann BIG-IP APM während des Authentifizierungsprozesses diese Benutzerattribute abfragen, um den Zugriff mobiler Geräte zu erzwingen.
Die folgenden Schritte werden an der vorhandenen Exchange 2010/BIG-IP-Bereitstellung ausgeführt.
Die folgenden Schritte werden an der vorhandenen Exchange 2010/BIG-IP-Bereitstellung ausgeführt.
1. Die benutzerdefinierten Attribute des Benutzerpostfachs werden mit akzeptablen Geräte-IDs für den jeweiligen Benutzer gefüllt. Für das folgende Beispiel können drei Geräte einer bestimmten Mailbox zugewiesen werden. Geräte-IDs können in den „Benutzerdefinierten Attributen“ 1, 2 und 3 gespeichert werden.
2. Die vorhandene BIG-IP APM-Zugriffsrichtlinie wird geändert. Um zu bestimmen, dass die aktuelle Sitzung ActiveSync ist, wird ein leeres Element konfiguriert.
3. Wenn es sich bei der Sitzung um ActiveSync handelt, wird ein Makro verwendet, das eine AD-Abfrage der Benutzerattribute durchführt und die Geräte-IDs als Sitzungsvariablen erfasst.
4. Eine iRule wird erstellt und mit dem virtueller Server verknüpft. Die iRule vergleicht die Geräte-ID der Client-Verbindung (in der HTTP-Abfrage enthalten) mit der/den Sitzungsvariable(n). Wenn die Client-Geräte-ID nicht mit einem der dem Benutzer zuvor zugewiesenen Geräte übereinstimmt, wird die Sitzung beendet und der Zugriff verweigert.
Eine der vielleicht anspruchsvollsten (und daher selten genutzten) Methoden zur Sicherung mobiler Geräte ist die Verwendung clientseitiger Zertifikate. In der nativen Exchange-Implementierung müssen einzelne Zertifikate erstellt, im Active Directory gespeichert und an Geräte verteilt werden. Um diese Art der Authentifizierung gegenüber dem CAS-Array zu ermöglichen, muss außerdem der beim CAS-Server eingehende Datenverkehr verschlüsselt werden.
Das BIG-IP-System kann den für die interne CAS-Serverfarm bestimmten Datenverkehr erneut verschlüsseln und als SSL-Proxy für die clientseitige Zertifikatsauthentifizierung fungieren. BIG-IP APM bietet jedoch eine Möglichkeit, clientseitige Zertifikate anzufordern und zu validieren und gleichzeitig die SSL-Verarbeitung aus dem CAS-Array auszulagern. Das folgende Beispiel zeigt, wie eine zertifikatsbasierte Validierung zusammen mit der Benutzernamen- und Kennwortauthentifizierung implementiert wird.
1. Das aktuelle Client-SSL-Profil wird geändert, um eine vertrauenswürdige Zertifizierungsstelle (CA) mit einem CA-Zertifikat einzuschließen, das zuvor in das BIG-IP-System importiert wurde. In diesem Beispiel ist die vertrauenswürdige Zertifizierungsstelle „F5DEMO“.
2. Die vorhandene BIG-IP APM-Zugriffsrichtlinie wird geändert. Ein „On-Demand Cert Auth“-Element ist enthalten. Sobald sich Benutzer erfolgreich mit ihren Anmeldeinformationen (Benutzername und Kennwort) authentifiziert haben, führt BIG-IP APM einen erneuten SSL-Handshake durch und validiert das Client-Zertifikat gegenüber der oben genannten vertrauenswürdigen Zertifizierungsstelle. Wenn die Validierung fehlschlägt, wird die Sitzung beendet und der Zugriff verweigert.
Die vorherigen Beispiele haben gezeigt, wie BIG-IP APM mobile Geräte über Benutzernamen und Passwörter, Geräte-IDs und Client-Zertifikate authentifizieren kann. Durch die Kombination dieser verschiedenen Methoden in einer einzigen Multifaktor-Authentifizierungslösung kann BIG-IP APM einen sicheren und einfach zu verwaltenden Zugriff auf Exchange ActiveSync bieten. Die folgende Abbildung zeigt einen typischen Authentifizierungsablauf, der die zuvor besprochenen Methoden sowie eine auf dem Gerätetyp basierende Entscheidung kombiniert.
- Der Benutzer ist mit Benutzername und Kennwort gegenüber Active Directory vorauthentifiziert.
- Wenn die Sitzung ActiveSync verwendet, wird die Geräte-ID mit den Benutzerattributen und einer Liste zulässiger Geräte verglichen.
- Der Gerätetyp wird überprüft.
- Handelt es sich beim Gerätetyp um ein iPhone, ist ein gültiges Zertifikat erforderlich.
Die Implementierung geeigneter Sicherheitskontrollen für den Zugriff auf Exchange-Mobilgeräte endet nicht mit der Authentifizierung und Autorisierung. Um die Sicherheitslage des Unternehmens weiter zu verbessern, muss der Datenverkehr (einschließlich des Datenverkehrs aus authentifizierten Quellen) effektiv überwacht und verwaltet werden. Da der Großteil des Datenverkehrs von externen Quellen über herkömmliche Layer-3-Firewalls in das Unternehmensnetzwerk fließt, sollte eine Application -Firewall oder WAF implementiert werden. WAFs wie BIG-IP Application Security Manager (ASM) arbeiten auf der Application , analysieren und verarbeiten HTTP-Nutzdaten, um Unternehmensressourcen zusätzlich zu schützen.
Das BIG-IP ASM-Modul befindet sich auf dem BIG-IP-System und kann zum Schutz der Exchange-Umgebung vor zahlreichen Bedrohungen verwendet werden, einschließlich, aber nicht beschränkt auf Layer 7-DoS und DDoS, SQL-Injection und Cross-Site-Scripting.
Der folgende Abschnitt veranschaulicht, wie BIG-IP ASM-Module für die Verwendung mit Exchange ActiveSync konfiguriert werden.
BIG-IP ASM ist eine äußerst robuste Application und die Bereitstellung kann daher ziemlich zeitaufwändig sein. Glücklicherweise hat F5 eine Reihe vorkonfigurierter Vorlagen entwickelt, um den erforderlichen Zeit- und Arbeitsaufwand drastisch zu reduzieren. Dies ist bei Exchange ActiveSync der Fall. Die folgenden Schritte sind erforderlich, um BIG-IP ASM für Exchange ActiveSync zu implementieren.
1. Wählen Sie im Menü „ Application “ „Sicherheitsrichtlinien“ und erstellen Sie eine neue Richtlinie.
2. Wählen Sie „Vorhandener virtueller Server“ und „Weiter“.
3. Wählen Sie „HTTPS“, den vorhandenen virtuellen Exchange-Dienst, und „Weiter“.
4. Wählen Sie „Richtlinie manuell erstellen oder Vorlagen verwenden (erweitert)“ und „Weiter“.
5. Wählen Sie die Richtliniensprache aus, normalerweise Westeuropäisch (ISO-8859-1). Wählen Sie dann „ActiveSync v1.0 v2.0 (https)“ und „Weiter“.
6. Wählen Sie „Fertig stellen“.
An diesem Punkt wurde die Sicherheitsrichtlinie erstellt und auf den virtueller Server angewendet. Die Richtlinie wird jedoch standardmäßig in einem „transparenten“ Durchsetzungsmodus implementiert. Die Richtlinie überwacht den Datenverkehr (eingehend und ausgehend), ergreift jedoch keine Maßnahmen. Dadurch kann der Administrator die Richtlinie anpassen, ohne die Benutzer zu beeinträchtigen.
7. Sobald die Richtlinie auf ein akzeptables Niveau abgestimmt wurde, sollte sie von „Transparent“ auf „Blockieren“ umgestellt werden. Wählen Sie die radiale Option „Blockieren“ und „Speichern“.
8. Wählen Sie „Richtlinie anwenden“, um die Änderungen zu übernehmen.
Die BIG-IP ASM-Richtlinie wird jetzt im „Blockierungs“-Modus ausgeführt.
Für viele Unternehmen wird es schnell zu einer geschäftlichen Anforderung, einer zunehmend mobilen Belegschaft Zugriff auf Application zu gewähren. Es ist unbedingt erforderlich, sicherzustellen, dass diese Applications sowohl hochverfügbar als auch sicher sind. Die Application Delivery Controller BIG-IP Access Policy Manager (APM) und Application Security Manager (ASM) sind für die hochverfügbare und sichere Bereitstellung geschäftskritischer Applications konzipiert. Insbesondere kann eine überlegene Sicherheit mobiler Exchange-Geräte durch die Kombination der Multifaktor-Authentifizierungsmechanismen von BIG-IP APM mit der robusten Layer-7-Firewall-Funktionalität von BIG-IP ASM erreicht werden.
Verbinden mit F5
