Verbesserung der Sicherheit mobiler Exchange-Geräte mit der F5 BIG-IP-Plattform

Einführung

Da die Nutzung mobiler Geräte am Arbeitsplatz immer weiter zunimmt, steigt auch das Risiko für Unternehmensanlagen und die Notwendigkeit, diese Risiken zu mindern. Für viele Organisationen ist die Bereitstellung eines Remote-Zugriffs auf Unternehmenswerte wie Microsoft Exchange über mobile Geräte nicht nur ein Luxus, sondern auch eine geschäftliche Anforderung. Daher müssen Administratoren Wege finden, die Anforderungen einer mobilen Belegschaft mit der Notwendigkeit der Sicherheit von Unternehmensressourcen in Einklang zu bringen. Glücklicherweise können F5 BIG-IP Application Delivery Controller (ADCs) helfen.

Dieses Dokument enthält Anleitungen zur Verwendung von BIG-IP Access Policy Manager (APM) und BIG-IP Application Security Manager (ASM), um die Sicherheit mobiler Geräte mit Exchange 2010 deutlich zu verbessern.

Haftungsausschluss und Annahmen

Diese Anleitung präsentiert zwar funktionale und getestete Lösungen zum Sichern mobiler Geräte in einer Exchange 2010-Umgebung, stellt jedoch bei weitem nicht alle verfügbaren Optionen dar. Eine der größten Stärken der BIG-IP-Produktlinie (einschließlich BIG-IP LTM, APM, ASM und mehr) ist ihre Flexibilität. Das Hauptziel dieses technischen Briefs besteht nicht nur darin, praktische Anleitungen zu geben, sondern auch die Leistungsfähigkeit und Flexibilität von BIG-IP-Produkten zu veranschaulichen. Es wird vorausgesetzt, dass der Leser über allgemeine Verwaltungskenntnisse des BIG-IP Local Traffic Manager (LTM) verfügt und mit den BIG-IP APM- und ASM-Modulen vertraut ist.

Die folgenden BIG-IP-Produkte und -Software wurden zum Konfigurieren und Testen der in dieser Beschreibung vorgestellten Anleitungen verwendet.

Produkt Versionen
Lokaler BIG-IP-Verkehrsmanager (LTM) Versionen 11.1 und 11.2
BIG-IP-Zugriffsrichtlinien-Manager (APM) Versionen 11.1 und 11.2
BIG-IP Application (ASM) Versionen 11.1 und 11.2
Apple iPhone 4 und 4S iOS-Version 5.1.1
Windows Phone 7 – Dell Venue Pro Betriebssystemversion 7.0.7392.212
Zusätzliche Dokumentation
  • Microsoft Exchange Server 2010 (BIG-IP v11: LTM, APM, Edge Gateway) Bereitstellungshandbuch: <a href="http://www.f5.com/pdf/deployment-guides/microsoft-exchange2010-iapp-dg.pdf">http://www.f5.com/pdf/deployment-guides/microsoft-exchange2010-iapp-dg.pdf</a>
  • Übersicht über die BIG-IP-Produktfamilie: http://www.f5.com/products/big-ip/
BIG-IP Access Policy Manager und ActiveSync

Die Clientzugriffsserverrolle (CAS) fungiert in Exchange 2010 als Zugriffspunkt für den gesamten Clientverkehr (einschließlich mobiler Geräte). Genauer gesagt nutzt die Mehrheit der Mobilgeräte Exchange ActiveSync, um auf Postfachinformationen zuzugreifen. Der Zugriff auf die Unternehmensumgebung über leicht kompromittierte Mobilgeräte stellt ein erhebliches Risiko dar. Daher ist der Einsatz einer Multifaktorlösung von entscheidender Bedeutung, die nicht nur den Benutzer, sondern auch das Gerät authentifiziert und autorisiert.

Das BIG-IP APM-Modul arbeitet Hand in Hand mit der Reverse-Proxy-Funktionalität von BIG-IP LTM, befindet sich auf dem BIG-IP-System und bietet eine sichere Vorauthentifizierung (einschließlich Endpunktprüfung) für geschäftskritische Applications. Entscheidungen zum Verkehrsmanagement können am Netzwerkrand auf Gruppen- oder Einzelbasis getroffen und durchgesetzt werden. Der folgende Abschnitt verwendet das BIG-IP APM-Modul, um Zugriff basierend auf Benutzername und Passwort, Geräte-ID und Client-Zertifikaten zu ermöglichen und gleichzeitig die Verwendung integrierter Exchange-Sicherheitsfunktionen wie ActiveSync-Richtlinien und Remote-Gerätelöschung zu ermöglichen.

Authentifizierung mit Benutzername und Passwort – „Etwas, das Sie wissen“
Exchange 2010 CAS-Konfiguration

Um das SSL-Offloading auf das BIG-IP-System (sowie die Vorauthentifizierung) zu erleichtern, verwenden die Exchange ActiveSync-Konfiguration und -Richtlinie die Standardeinstellungen.

Screenshot der Exchange ActiveSync-Konfiguration und der Richtlinien-Standardeinstellungen
Erste iApps-Konfiguration

Die erfolgreiche Konfiguration und Bereitstellung von BIG-IP APM beginnt mit den F5 iApps. Erstmals verfügbar mit Version 11.0, iApps (F5 iApps: Die Application über das Netzwerk hinaus erfolgt über eine effiziente und benutzerfreundliche Methode, um geschäftskritische Applications schnell im Netzwerk bereitzustellen.

Wie unten dargestellt, wird als Ausgangspunkt dieser Anleitung die Exchange-Umgebung über die Exchange 2010 iApp bereitgestellt. Über einen menügesteuerten Konfigurationsbildschirm konfiguriert die Basis-iApp den Zugriff auf die Exchange 2010 CAS-Umgebung, einschließlich des Zugriffs auf Exchange ActiveSync.

Screenshot der iApp Application

Die BIG-IP APM-Konfiguration wird über die iApp durchgeführt.

Screenshot der Konfiguration von BIG-IP APM in iApp

Unten ist eine abgeschlossene Bereitstellung dargestellt.

Screenshot der vollständigen Bereitstellung (1)
Screenshot der vollständigen Bereitstellung (2)

Diese Basiskonfiguration des BIG-IP-Systems bietet erweiterte Funktionen zur Verkehrsverwaltung und -optimierung, darunter Lastausgleich, Komprimierung, Zwischenspeicherung und Sitzungspersistenz. Darüber hinaus wird für den gesamten webbasierten Datenverkehr eine Vorauthentifizierung bereitgestellt, einschließlich des Datenverkehrs von Outlook Web Access, Outlook Anywhere und Exchange ActiveSync. Anmeldeinformationen (Benutzername und Kennwort) werden vom BIG-IP-System angefordert und an dieses übermittelt, das den Benutzer wiederum gegenüber Active Directory authentifiziert. Nur ordnungsgemäß authentifizierte Benutzer erhalten Zugriff auf die interne Umgebung der Organisation.

Geräte-ID-Validierung – „Etwas, das Sie haben“

Um die Sicherheitslage weiter zu verbessern, möchten viele Organisationen den Zugriff auf Unternehmens-E-Mails ausschließlich auf zuvor genehmigte Mobilgeräte beschränken. Diese zugelassenen Geräte können einem bestimmten Benutzer zugewiesen oder in einen Gerätepool aufgenommen werden, der Benutzern bei Bedarf zur Verfügung gestellt werden kann. Durch Ausnutzung der Flexibilität von BIG-IP APM und der eindeutigen Geräte-IDs, die mit mobilen Geräten verknüpft sind, kann die zuvor konfigurierte Exchange-Bereitstellung leicht geändert werden, um den Zugriff sowohl basierend auf Benutzername und Passwort als auch auf dem physischen Gerät zu erzwingen.

Ändern der von der iApp erstellten Bereitstellung

Bevor die BIG-IP-Konfiguration geändert wird, muss die von der iApp erstellte Konfiguration so eingestellt werden, dass Nicht-iApp-Updates möglich sind. Dies geschieht durch die Änderung der Eigenschaften des jeweiligen Application (siehe unten).

Screenshot der Änderung der Eigenschaften des spezifischen Application
Gerätevalidierungsmethode 1 – „Organisationsgerätepool“

Das BIG-IP-System kann so konfiguriert werden, dass im Authentifizierungsprozess ein Pool genehmigter Geräte verwendet wird. Nur authentifizierte Benutzer mit freigegebenen Geräten (Geräte, die im gemeinsamen Pool enthalten sind) erhalten mobilen Zugriff auf die Exchange-Umgebung. Diese Methode verwendet einen zentralisierten Pool zulässiger Geräte und bietet Administratoren die Flexibilität, Geräte nach Bedarf an einzelne Endbenutzer „auszuleihen“.
Die folgenden Schritte werden für die aktuelle BIG-IP-Bereitstellung ausgeführt.

Die folgenden Schritte werden für die aktuelle BIG-IP-Bereitstellung ausgeführt.

 

1. Erstellen Sie eine Datengruppenliste, die alle relevanten Geräte-IDs enthält.

Screenshot einer Datengruppenliste

Als Alternative zur Eingabe von Geräte-IDs in die BIG-IP-Web-GUI können Sie mithilfe der iFile-Funktion des BIG-IP-Systems auf eine externe Datei verweisen. Einzelheiten finden Sie auf DevCentral https://community.f5.com/t5/technical-articles/v11-1-ndash-external-file-access-from-irules-via-ifiles/ta-p/287683

 

2. Die bestehende Zugriffsrichtlinie wird genutzt

Nahaufnahme des Screenshots, der den Pfad und die Endungen der Zugriffsrichtlinie zeigt

3. Eine F5 iRule wird erstellt und mit dem virtueller Server verknüpft. Die iRule vergleicht die Geräte-ID der Client-Verbindung (in der HTTP-Abfrage enthalten) mit den Geräte-IDs, die in der zuvor erstellten Datengruppenliste gespeichert sind. Wenn die Geräte-ID nicht in der Liste der zulässigen Geräte enthalten ist, wird die Sitzung beendet und der Zugriff verweigert.

Screenshot der virtueller Server (F5Demo_combined_https)

Ein Hinweis zur Base64-Kodierung: Die Methode und der Umfang, in dem verschiedene Anbieter mobiler Betriebssysteme (z. B. Apple iOS, Android und Windows Phone) auf ActiveSync zugreifen, können unterschiedlich sein. Einige Geräte, wie z. B. Windows Phone 7, verwenden Base64-Kodierung, die dekodiert werden muss, um die Geräte-ID zu identifizieren. Die oben erwähnte iRule bestimmt, ob die HTTP-Abfrage wie erforderlich kodiert und dekodiert wird.

Gerätevalidierungsmethode 2 – „Individuelle Benutzer-/Gerätevalidierung“

Obwohl es nicht so einfach ist wie das vorherige Beispiel, kann BIG-IP APM zum Abfragen von Benutzerattributen in Active Directory verwendet werden. Um die Benutzer-Geräte-Zuordnung für die Zugriffssicherheit zu erleichtern, können die benutzerdefinierten Attribute von Exchange 2010 genutzt werden, um zulässige Geräte-IDs auf Benutzerbasis zu speichern. Anschließend kann BIG-IP APM während des Authentifizierungsprozesses diese Benutzerattribute abfragen, um den Zugriff mobiler Geräte zu erzwingen.
Die folgenden Schritte werden an der vorhandenen Exchange 2010/BIG-IP-Bereitstellung ausgeführt.

Die folgenden Schritte werden an der vorhandenen Exchange 2010/BIG-IP-Bereitstellung ausgeführt.

 

1. Die benutzerdefinierten Attribute des Benutzerpostfachs werden mit akzeptablen Geräte-IDs für den jeweiligen Benutzer gefüllt. Für das folgende Beispiel können drei Geräte einer bestimmten Mailbox zugewiesen werden. Geräte-IDs können in den „Benutzerdefinierten Attributen“ 1, 2 und 3 gespeichert werden.

Screenshot von benutzerdefinierten Attributen

2. Die vorhandene BIG-IP APM-Zugriffsrichtlinie wird geändert. Um zu bestimmen, dass die aktuelle Sitzung ActiveSync ist, wird ein leeres Element konfiguriert.

Nahaufnahme des Screenshots, der den Pfad und die Endungen der Zugriffsrichtlinie sowie das Makro zeigt: Geräte-ID
Nahaufnahme des Screenshots, der die Branch-Regeln (ActiveSync) zeigt

3. Wenn es sich bei der Sitzung um ActiveSync handelt, wird ein Makro verwendet, das eine AD-Abfrage der Benutzerattribute durchführt und die Geräte-IDs als Sitzungsvariablen erfasst.

Nahaufnahme von Screenshots, die den Pfad und die Endungen der Zugriffsrichtlinie zeigen, Makro: Geräte-ID und Eigenschaften (sowohl AD-Abfrage als auch Variablenzuweisung)

4. Eine iRule wird erstellt und mit dem virtueller Server verknüpft. Die iRule vergleicht die Geräte-ID der Client-Verbindung (in der HTTP-Abfrage enthalten) mit der/den Sitzungsvariable(n). Wenn die Client-Geräte-ID nicht mit einem der dem Benutzer zuvor zugewiesenen Geräte übereinstimmt, wird die Sitzung beendet und der Zugriff verweigert.

Screenshot der virtueller Server (F5Demo_combined_https)
Geräte-ID-Validierung – „Etwas, das Sie haben“

Eine der vielleicht anspruchsvollsten (und daher selten genutzten) Methoden zur Sicherung mobiler Geräte ist die Verwendung clientseitiger Zertifikate. In der nativen Exchange-Implementierung müssen einzelne Zertifikate erstellt, im Active Directory gespeichert und an Geräte verteilt werden. Um diese Art der Authentifizierung gegenüber dem CAS-Array zu ermöglichen, muss außerdem der beim CAS-Server eingehende Datenverkehr verschlüsselt werden.

Das BIG-IP-System kann den für die interne CAS-Serverfarm bestimmten Datenverkehr erneut verschlüsseln und als SSL-Proxy für die clientseitige Zertifikatsauthentifizierung fungieren. BIG-IP APM bietet jedoch eine Möglichkeit, clientseitige Zertifikate anzufordern und zu validieren und gleichzeitig die SSL-Verarbeitung aus dem CAS-Array auszulagern. Das folgende Beispiel zeigt, wie eine zertifikatsbasierte Validierung zusammen mit der Benutzernamen- und Kennwortauthentifizierung implementiert wird.

1. Das aktuelle Client-SSL-Profil wird geändert, um eine vertrauenswürdige Zertifizierungsstelle (CA) mit einem CA-Zertifikat einzuschließen, das zuvor in das BIG-IP-System importiert wurde. In diesem Beispiel ist die vertrauenswürdige Zertifizierungsstelle „F5DEMO“.

Screenshot der virtueller Server (F5Demo_combined_https) und des Clients (F5Demo_SAN)

2. Die vorhandene BIG-IP APM-Zugriffsrichtlinie wird geändert. Ein „On-Demand Cert Auth“-Element ist enthalten. Sobald sich Benutzer erfolgreich mit ihren Anmeldeinformationen (Benutzername und Kennwort) authentifiziert haben, führt BIG-IP APM einen erneuten SSL-Handshake durch und validiert das Client-Zertifikat gegenüber der oben genannten vertrauenswürdigen Zertifizierungsstelle. Wenn die Validierung fehlschlägt, wird die Sitzung beendet und der Zugriff verweigert.

Nahaufnahme des Screenshots, der den Pfad und die Endungen der Zugriffsrichtlinie zeigt
Nahaufnahme des Screenshots, der die Eigenschaften zeigt (Client-Zertifikatauthentifizierung …)
Kombination von Authentifizierungsmethoden – „Multifaktor-Authentifizierung“

Die vorherigen Beispiele haben gezeigt, wie BIG-IP APM mobile Geräte über Benutzernamen und Passwörter, Geräte-IDs und Client-Zertifikate authentifizieren kann. Durch die Kombination dieser verschiedenen Methoden in einer einzigen Multifaktor-Authentifizierungslösung kann BIG-IP APM einen sicheren und einfach zu verwaltenden Zugriff auf Exchange ActiveSync bieten. Die folgende Abbildung zeigt einen typischen Authentifizierungsablauf, der die zuvor besprochenen Methoden sowie eine auf dem Gerätetyp basierende Entscheidung kombiniert.

Nahaufnahme von Screenshots, die den Pfad und die Endungen der Zugriffsrichtlinie zeigen, Makro: Geräte-ID und Branchregeln (iPhone)
  1. Der Benutzer ist mit Benutzername und Kennwort gegenüber Active Directory vorauthentifiziert.
  2. Wenn die Sitzung ActiveSync verwendet, wird die Geräte-ID mit den Benutzerattributen und einer Liste zulässiger Geräte verglichen.
  3. Der Gerätetyp wird überprüft.
  4. Handelt es sich beim Gerätetyp um ein iPhone, ist ein gültiges Zertifikat erforderlich.
BIG-IP Application Security Manager und ActiveSync

Die Implementierung geeigneter Sicherheitskontrollen für den Zugriff auf Exchange-Mobilgeräte endet nicht mit der Authentifizierung und Autorisierung. Um die Sicherheitslage des Unternehmens weiter zu verbessern, muss der Datenverkehr (einschließlich des Datenverkehrs aus authentifizierten Quellen) effektiv überwacht und verwaltet werden. Da der Großteil des Datenverkehrs von externen Quellen über herkömmliche Layer-3-Firewalls in das Unternehmensnetzwerk fließt, sollte eine Application -Firewall oder WAF implementiert werden. WAFs wie BIG-IP Application Security Manager (ASM) arbeiten auf der Application , analysieren und verarbeiten HTTP-Nutzdaten, um Unternehmensressourcen zusätzlich zu schützen.

Das BIG-IP ASM-Modul befindet sich auf dem BIG-IP-System und kann zum Schutz der Exchange-Umgebung vor zahlreichen Bedrohungen verwendet werden, einschließlich, aber nicht beschränkt auf Layer 7-DoS und DDoS, SQL-Injection und Cross-Site-Scripting.

Der folgende Abschnitt veranschaulicht, wie BIG-IP ASM-Module für die Verwendung mit Exchange ActiveSync konfiguriert werden.

Die ActiveSync-Sicherheitsrichtlinie

BIG-IP ASM ist eine äußerst robuste Application und die Bereitstellung kann daher ziemlich zeitaufwändig sein. Glücklicherweise hat F5 eine Reihe vorkonfigurierter Vorlagen entwickelt, um den erforderlichen Zeit- und Arbeitsaufwand drastisch zu reduzieren. Dies ist bei Exchange ActiveSync der Fall. Die folgenden Schritte sind erforderlich, um BIG-IP ASM für Exchange ActiveSync zu implementieren.

1. Wählen Sie im Menü „ Application “ „Sicherheitsrichtlinien“ und erstellen Sie eine neue Richtlinie.

Screenshot des Bildschirms „Aktive Sicherheitsrichtlinien“

2. Wählen Sie „Vorhandener virtueller Server“ und „Weiter“.

Screenshot des Bildschirms „Lokalen Datenverkehr-Bereitstellungsszenario auswählen“

3. Wählen Sie „HTTPS“, den vorhandenen virtuellen Exchange-Dienst, und „Weiter“.

Screenshot des Bildschirms „Lokale Verkehrseinstellungen konfigurieren“

4. Wählen Sie „Richtlinie manuell erstellen oder Vorlagen verwenden (erweitert)“ und „Weiter“.

Screenshot des Bildschirms „Bereitstellungsszenario auswählen“

5. Wählen Sie die Richtliniensprache aus, normalerweise Westeuropäisch (ISO-8859-1). Wählen Sie dann „ActiveSync v1.0 v2.0 (https)“ und „Weiter“.

Screenshot des Bereitstellungsassistenten: Bildschirm „Eigenschaften der Sicherheitsrichtlinie konfigurieren“

6. Wählen Sie „Fertig stellen“.

Screenshot der Schaltfläche „FERTIGSTELLEN“ im Bereitstellungsassistenten: Bildschirm „Zusammenfassung der Sicherheitsrichtlinienkonfiguration“

An diesem Punkt wurde die Sicherheitsrichtlinie erstellt und auf den virtueller Server angewendet. Die Richtlinie wird jedoch standardmäßig in einem „transparenten“ Durchsetzungsmodus implementiert. Die Richtlinie überwacht den Datenverkehr (eingehend und ausgehend), ergreift jedoch keine Maßnahmen. Dadurch kann der Administrator die Richtlinie anpassen, ohne die Benutzer zu beeinträchtigen.

Screenshot der Richtlinie: Eigenschaftenbildschirm

7. Sobald die Richtlinie auf ein akzeptables Niveau abgestimmt wurde, sollte sie von „Transparent“ auf „Blockieren“ umgestellt werden. Wählen Sie die radiale Option „Blockieren“ und „Speichern“.

Screenshot der Schaltfläche „SPEICHERN“ in der Richtlinie: Eigenschaftenbildschirm

8. Wählen Sie „Richtlinie anwenden“, um die Änderungen zu übernehmen.

Nahaufnahme des Screenshots der Schaltfläche „Richtlinie anwenden“
Screenshot des Drückens von „OK“ auf dem Bildschirm „Möchten Sie den Vorgang „Richtlinie anwenden“ wirklich für die aktuell bearbeitete Sicherheitsrichtlinie ausführen?“.

Die BIG-IP ASM-Richtlinie wird jetzt im „Blockierungs“-Modus ausgeführt.

Abschluss

Für viele Unternehmen wird es schnell zu einer geschäftlichen Anforderung, einer zunehmend mobilen Belegschaft Zugriff auf Application zu gewähren. Es ist unbedingt erforderlich, sicherzustellen, dass diese Applications sowohl hochverfügbar als auch sicher sind. Die Application Delivery Controller BIG-IP Access Policy Manager (APM) und Application Security Manager (ASM) sind für die hochverfügbare und sichere Bereitstellung geschäftskritischer Applications konzipiert. Insbesondere kann eine überlegene Sicherheit mobiler Exchange-Geräte durch die Kombination der Multifaktor-Authentifizierungsmechanismen von BIG-IP APM mit der robusten Layer-7-Firewall-Funktionalität von BIG-IP ASM erreicht werden.

Veröffentlicht am 20. November 2012
  • Auf Facebook teilen
  • Teilen mit X
  • Auf Linkedin teilen
  • Teilen per E-Mail
  • Teilen über AddThis

Verbinden mit F5

F5 Labs

Die neuesten Erkenntnisse im Bereich Anwendungsbedrohungsinformationen.

DevCentral

Die F5-Community für Diskussionsforen und Expertenartikel.

F5-Newsroom

Neuigkeiten, F5-Blogs und mehr.