Amélioration de la sécurité des appareils mobiles Exchange avec la plateforme F5 BIG-IP

Introduction

À mesure que l’utilisation des appareils mobiles sur le lieu de travail continue de croître, les risques pour les actifs de l’entreprise et la nécessité d’atténuer ces risques augmentent également. Pour de nombreuses organisations, fournir un accès à distance aux actifs de l’entreprise tels que Microsoft Exchange à partir d’appareils mobiles n’est pas seulement un luxe, mais également une exigence commerciale. Les administrateurs doivent donc trouver des moyens d’équilibrer les exigences d’une main-d’œuvre mobile avec la nécessité de sécuriser les actifs de l’entreprise. Heureusement, les contrôleurs de distribution application (ADC) F5 BIG-IP peuvent vous aider.

Ce document fournit des conseils sur l’utilisation de BIG-IP Access Policy Manager (APM) et de BIG-IP Application Security Manager (ASM) pour améliorer considérablement la sécurité des appareils mobiles Exchange 2010.

Avis de non-responsabilité et hypothèses

Bien que ce guide présente des solutions fonctionnelles et testées pour sécuriser les appareils mobiles dans un environnement Exchange 2010, il ne représente en aucun cas l’intégralité des options disponibles. L’un des plus grands atouts de la gamme de produits BIG-IP (comprenant BIG-IP LTM, APM, ASM, etc.) est sa flexibilité. L’objectif principal de cette note technique est non seulement de fournir des conseils pratiques, mais également d’illustrer la puissance et la flexibilité des produits BIG-IP. Le lecteur est supposé avoir des connaissances administratives générales de BIG-IP Local Traffic Manager (LTM) et une familiarité avec les modules BIG-IP APM et ASM.

Les produits et logiciels BIG-IP suivants ont été utilisés à des fins de configuration et de test des conseils présentés dans ce dossier.

Produit Versions
Gestionnaire de trafic local BIG-IP (LTM) Versions 11.1 et 11.2
Gestionnaire de politiques d'accès BIG-IP (APM) Versions 11.1 et 11.2
Gestionnaire de sécurité des application BIG-IP (ASM) Versions 11.1 et 11.2
Apple iPhone 4 et 4S Version iOS 5.1.1
Windows Phone 7 - Dell Venue Pro Version du système d'exploitation 7.0.7392.212
Documentation complémentaire
  • Microsoft Exchange Server 2010 (BIG-IP v11 : Guide de déploiement LTM, APM, Edge Gateway : <a href="http://www.f5.com/pdf/deployment-guides/microsoft-exchange2010-iapp-dg.pdf">http://www.f5.com/pdf/deployment-guides/microsoft-exchange2010-iapp-dg.pdf</a>
  • Présentation de la gamme de produits BIG-IP : http://www.f5.com/products/big-ip/
Gestionnaire de politiques d'accès BIG-IP et ActiveSync

Le rôle de serveur d’accès client (CAS) fonctionne comme point d’accès pour tout le trafic client (y compris les appareils mobiles), dans Exchange 2010. Plus précisément, la majorité des appareils mobiles utilisent Exchange ActiveSync pour accéder aux informations de la boîte aux lettres. Autoriser l’accès à l’environnement de l’entreprise à partir d’appareils mobiles qui peuvent être facilement compromis présente un risque important. Il est donc essentiel de déployer une solution multifactorielle qui authentifie et autorise non seulement l’utilisateur mais également l’appareil.

Fonctionnant en étroite collaboration avec la fonctionnalité de proxy inverse de BIG-IP LTM, le module BIG-IP APM réside sur le système BIG-IP et fournit une pré-authentification sécurisée (y compris l'inspection des points de terminaison) aux applications critiques pour l'entreprise. Les décisions de gestion du trafic peuvent être prises et appliquées au périmètre du réseau sur une base collective ou individuelle. La section suivante utilise le module BIG-IP APM pour fournir un accès basé sur le nom d'utilisateur et le mot de passe, l'ID de l'appareil et les certificats client, tout en permettant l'utilisation des fonctionnalités de sécurité Exchange intégrées telles que les politiques ActiveSync et l'effacement à distance de l'appareil.

Authentification par nom d'utilisateur et mot de passe : « Quelque chose que vous savez »
Configuration CAS d'Exchange 2010

Pour faciliter le déchargement SSL vers le système BIG-IP (ainsi que la pré-authentification), la configuration et la politique Exchange ActiveSync utilisent les paramètres par défaut.

Capture d'écran de la configuration et des paramètres par défaut de la politique d'Exchange ActiveSync
Configuration initiale des iApps

La configuration et le déploiement réussis de BIG-IP APM commencent avec les iApps F5. Mis à disposition pour la première fois avec la version 11.0, iApps (F5 iApps : (Moving Application Delivery Beyond the Network) fournit un moyen efficace et convivial de déployer rapidement des applications critiques pour l'entreprise sur le réseau.

Comme illustré ci-dessous, comme point de départ de ce guide, l'environnement Exchange sera déployé via l'iApp Exchange 2010. À l'aide d'un écran de configuration de menu, l'iApp de base configure l'accès à l'environnement CAS Exchange 2010, y compris l'accès à Exchange ActiveSync.

Capture d'écran des services application iApp

La configuration de BIG-IP APM est effectuée via l'iApp.

Capture d'écran de la configuration de BIG-IP APM dans iApp

Un déploiement terminé est illustré ci-dessous.

Capture d'écran du déploiement complet (1)
Capture d'écran du déploiement complet (2)

Cette configuration de base du système BIG-IP fournit des fonctionnalités avancées de gestion et d'optimisation du trafic, notamment l'équilibrage de charge, la compression, la mise en cache et la persistance des sessions. De plus, une pré-authentification est fournie pour tout le trafic Web, y compris le trafic provenant d’Outlook Web Access, d’Outlook Anywhere et d’Exchange ActiveSync. Les informations d'identification (nom d'utilisateur et mot de passe) sont demandées et transmises au système BIG-IP, qui à son tour authentifie l'utilisateur auprès d'Active Directory. Seuls les utilisateurs correctement authentifiés sont autorisés à accéder à l’environnement interne de l’organisation.

Validation de l'identifiant de l'appareil : « Quelque chose que vous possédez »

Pour améliorer encore la posture de sécurité, de nombreuses organisations souhaitent restreindre l'accès à la messagerie électronique de l'entreprise uniquement à partir d'appareils mobiles pré-approuvés. Ces appareils approuvés peuvent être attribués à un utilisateur spécifique ou peuvent être inclus dans un pool d’appareils qui peuvent être fournis aux utilisateurs selon les besoins. En utilisant la flexibilité de BIG-IP APM et les identifiants d'appareils uniques associés aux appareils mobiles, le déploiement Exchange précédemment configuré peut être facilement modifié pour appliquer l'accès basé à la fois sur le nom d'utilisateur et le mot de passe, ainsi que sur l'appareil physique.

Modification du déploiement créé par l'iApp

Avant de modifier la configuration BIG-IP, la configuration créée par l'iApp doit être définie pour autoriser les mises à jour non-iApp. Cela se fait en modifiant les propriétés du service application spécifique (voir ci-dessous).

Capture d'écran de la modification des propriétés du service application spécifique
Méthode de validation des appareils 1 : « Pool d'appareils de l'organisation »

Le système BIG-IP peut être configuré pour utiliser un pool d’appareils approuvés dans le processus d’authentification. Seuls les utilisateurs authentifiés disposant d’appareils approuvés (appareils inclus dans le pool partagé) bénéficieront d’un accès mobile à l’environnement Exchange. Cette méthode utilise un pool centralisé d'appareils acceptables et offre aux administrateurs la possibilité de « vérifier » les appareils auprès des utilisateurs finaux individuels en fonction des besoins.
Les étapes suivantes sont effectuées sur le déploiement BIG-IP actuel.

Les étapes suivantes sont effectuées sur le déploiement BIG-IP actuel.

 

1. Créez une liste de groupes de données qui inclut tous les ID d’appareils pertinents.

Capture d'écran d'une liste de groupes de données

Au lieu de saisir les identifiants des appareils dans l'interface graphique Web BIG-IP, référencez un fichier externe à l'aide de la fonctionnalité iFile du système BIG-IP. Les détails sont fournis sur DevCentral https://community.f5.com/t5/technical-articles/v11-1-ndash-external-file-access-from-irules-via-ifiles/ta-p/287683

 

2. La politique d’accès existante est utilisée

Gros plan d'une capture d'écran montrant le chemin et les fins de la politique d'accès

3. Une iRule F5 est créée et associée au serveur virtuel HTTPS Exchange. L'iRule compare l'ID de périphérique de la connexion client (contenu dans la requête HTTP) avec les ID de périphérique stockés dans la liste de groupes de données précédemment créée. Si l’ID de l’appareil ne figure pas dans la liste des appareils acceptables, la session est terminée et l’accès est refusé.

Capture d'écran de la liste des serveur virtuel (F5Demo_combined_https)

Une note sur l'encodage Base64 : La méthode et la mesure dans laquelle les différents fournisseurs de systèmes d’exploitation mobiles (par exemple Apple iOS, Android et Windows Phone) accèdent à ActiveSync peuvent différer. Certains appareils, comme Windows Phone 7, utilisent le codage Base64, qui doit être décodé pour identifier l'ID de l'appareil. La règle iRule référencée ci-dessus déterminera si la requête HTTP est codée et décodée selon les besoins.

Méthode de validation de l'appareil 2 - « Validation utilisateur/appareil individuel »

Bien que pas aussi simple que l’exemple précédent, l’APM BIG-IP peut être utilisé pour interroger les attributs utilisateur dans Active Directory. Pour faciliter le mappage utilisateur-appareil pour la sécurité d'accès, les attributs personnalisés Exchange 2010 peuvent être utilisés pour stocker les ID d'appareil acceptables pour chaque utilisateur. Par la suite, pendant le processus d’authentification, BIG-IP APM peut interroger ces attributs utilisateur pour renforcer l’accès aux appareils mobiles.
Les étapes suivantes sont effectuées sur le déploiement Exchange 2010/BIG-IP existant.

Les étapes suivantes sont effectuées sur le déploiement Exchange 2010/BIG-IP existant.

 

1. Les attributs personnalisés de la boîte aux lettres de l'utilisateur sont renseignés avec des ID de périphérique acceptables pour l'utilisateur spécifique. Pour les besoins de l'exemple suivant, trois périphériques peuvent être attribués à une boîte aux lettres particulière. Les identifiants d'appareil peuvent être stockés dans les « Attributs personnalisés » 1, 2 et 3.

Capture d'écran des attributs personnalisés

2. La politique d’accès BIG-IP APM existante est modifiée. Un élément vide est configuré pour déterminer que la session en cours est ActiveSync.

Gros plan d'une capture d'écran montrant le chemin et les fins de la politique d'accès, ainsi que la macro : ID de l'appareil
Gros plan d'une capture d'écran montrant les règles de branche (ActiveSync)

3. Si la session est ActiveSync, une macro est utilisée qui exécute une requête AD sur les attributs de l’utilisateur et capture les identifiants des appareils en tant que variables de session.

Gros plan des captures d'écran montrant le chemin et les fins de la politique d'accès, macro : DeviceID et propriétés (requête AD et attribution de variables)

4. Une iRule est créée et associée au serveur virtuel HTTPS Exchange. L'iRule compare l'ID de l'appareil de la connexion client (contenu dans la requête HTTP) avec la ou les variables de session. Si l’ID du périphérique client ne correspond pas à l’un des périphériques précédemment attribués à l’utilisateur, la session est terminée et l’accès est refusé.

Capture d'écran de la liste des serveur virtuel (F5Demo_combined_https)
Validation de l'identifiant de l'appareil : « Quelque chose que vous possédez »

L’une des méthodes les plus difficiles (et donc les moins utilisées) pour sécuriser les appareils mobiles est peut-être l’utilisation de certificats côté client. Dans l’implémentation Exchange native, les certificats individuels doivent être créés, stockés dans Active Directory et distribués aux appareils. De plus, pour permettre ce type d’authentification sur le tableau CAS, le trafic arrivant au serveur CAS doit être chiffré.

Le système BIG-IP a la capacité de recrypter le trafic destiné à la batterie de serveurs CAS interne et d'agir comme un proxy SSL pour l'authentification par certificat côté client. Cependant, BIG-IP APM fournit un moyen d'exiger et de valider les certificats côté client tout en déchargeant le traitement SSL du tableau CAS. L'exemple suivant montre comment implémenter la validation basée sur un certificat ainsi que l'authentification par nom d'utilisateur et mot de passe.

1. Le profil SSL client actuel est modifié pour inclure une autorité de certification (CA) de confiance avec un certificat CA précédemment importé dans le système BIG-IP. Dans cet exemple, l'autorité de certification de confiance est « F5DEMO ».

Capture d'écran de la liste des serveur virtuel (F5Demo_combined_https) et du client (F5Demo_SAN)

2. La politique d’accès BIG-IP APM existante est modifiée. Un élément « Authentification de certificat à la demande » est inclus. Une fois que les utilisateurs se sont authentifiés avec succès avec leurs informations d'identification (nom d'utilisateur et mot de passe), BIG-IP APM effectuera une nouvelle négociation SSL et validera le certificat client par rapport à l'autorité de certification de confiance ci-dessus. Si la validation échoue, la session est terminée et l'accès est refusé.

Gros plan d'une capture d'écran montrant le chemin et les fins de la politique d'accès
Gros plan d'une capture d'écran montrant les propriétés (authentification du certificat client...)
Combinaison de méthodes d'authentification - « Authentification multifactorielle »

Les exemples précédents ont montré comment le BIG-IP APM peut authentifier les appareils mobiles via des noms d’utilisateur et des mots de passe, des identifiants d’appareil et des certificats clients. En combinant ces différentes méthodes dans une solution unique d'authentification multifacteur, BIG-IP APM peut fournir un accès sécurisé et facile à gérer à Exchange ActiveSync. L'illustration ci-dessous montre un flux d'authentification typique qui combine les méthodes décrites précédemment, ainsi qu'une décision basée sur le type d'appareil.

Gros plan des captures d'écran montrant le chemin et les fins de la politique d'accès, macro : DeviceID et règles de branche (iPhone)
  1. L'utilisateur est pré-authentifié auprès d'Active Directory avec un nom d'utilisateur et un mot de passe.
  2. Si la session utilise ActiveSync, l’ID de l’appareil est comparé aux attributs de l’utilisateur et à une liste d’appareils acceptables.
  3. Le type d'appareil est vérifié.
  4. Si le type d'appareil est un iPhone, un certificat valide est requis.
Gestionnaire de sécurité des application BIG-IP et ActiveSync

La mise en œuvre de contrôles de sécurité appropriés pour l’accès aux appareils mobiles Exchange ne s’arrête pas à l’authentification et à l’autorisation. Pour améliorer davantage la posture de sécurité de l’organisation, le flux de trafic (y compris le trafic provenant de sources authentifiées) doit être surveillé et géré efficacement. Étant donné que la plupart du trafic provenant de sources externes transite par des pare-feu de couche 3 traditionnels vers le réseau d'entreprise, un pare-feu de couche application ou WAF doit être mis en œuvre. Les WAF, tels que BIG-IP Application Security Manager (ASM), fonctionnent au niveau de la couche application , analysant et agissant sur les charges utiles HTTP pour mieux protéger les actifs de l'entreprise.

Le module BIG-IP ASM réside sur le système BIG-IP et peut être utilisé pour protéger l'environnement Exchange contre de nombreuses menaces, y compris, mais sans s'y limiter, les attaques DoS et DDoS de couche 7, l'injection SQL et les scripts intersites.

La section suivante illustre comment configurer les modules BIG-IP ASM pour une utilisation avec Exchange ActiveSync.

La politique de sécurité d'ActiveSync

BIG-IP ASM est une application extrêmement robuste et, en tant que telle, son déploiement peut prendre beaucoup de temps. Heureusement, F5 a développé un certain nombre de modèles préconfigurés pour réduire considérablement le temps et les efforts requis. C'est le cas avec Exchange ActiveSync. Les étapes suivantes sont requises pour implémenter BIG-IP ASM pour Exchange ActiveSync.

1. Dans le menu Sécurité des application , sélectionnez « Politiques de sécurité » et créez une nouvelle politique.

Capture d'écran de l'écran des politiques de sécurité actives

2. Sélectionnez « Serveur virtuel existant » et « Suivant ».

Capture d'écran de l'écran Sélectionner un scénario de déploiement du trafic local

3. Sélectionnez « HTTPS », le service virtuel Exchange existant et « Suivant ».

Capture d'écran de l'écran Configurer les paramètres de trafic local

4. Sélectionnez « Créer une politique manuellement ou utiliser des modèles (avancé) » et « Suivant ».

Capture d'écran de l'écran Sélectionner un scénario de déploiement

5. Sélectionnez la langue de la politique, qui est généralement l'Europe occidentale (iso-8859-1). Sélectionnez ensuite « ActiveSync v1.0 v2.0 (https) » et « Suivant ».

Capture d'écran de l'assistant de déploiement : Écran Configurer les propriétés de la politique de sécurité

6. Sélectionnez « Terminer ».

Capture d'écran du bouton TERMINER de l'assistant de déploiement : Écran récapitulatif de la configuration de la politique de sécurité

À ce stade, la politique de sécurité a été créée et appliquée au serveur virtuel Exchange. Cependant, de par sa conception, la politique est mise en œuvre dans un mode d'application « transparent ». La politique surveille le trafic (entrant et sortant), mais ne prendra aucune mesure. Cela permet à l’administrateur d’ajuster la politique sans affecter les utilisateurs.

Capture d'écran de la politique : Écran des propriétés

7. Une fois la politique réglée à un niveau acceptable, elle doit passer de « Transparent » à « Blocage ». Sélectionnez l'option radiale « Blocage » et « Enregistrer ».

Capture d'écran du bouton ENREGISTRER sur la politique : Écran des propriétés

8. Sélectionnez « Appliquer la politique » pour valider les modifications.

Gros plan de la capture d'écran du bouton Appliquer la politique
Capture d'écran de l'appui sur « OK » sur l'écran « Êtes-vous sûr de vouloir effectuer l'opération « Appliquer la politique » sur la politique de sécurité actuellement modifiée ? ».

La politique BIG-IP ASM fonctionne désormais en mode « Blocage ».

Conclusion

Fournir un accès aux application à une main-d’œuvre de plus en plus mobile devient rapidement une exigence commerciale pour de nombreuses organisations. Il est absolument essentiel de garantir que ces applications soient à la fois hautement disponibles et sécurisées. Les contrôleurs de distribution application BIG-IP Access Policy Manager (APM) et Application Security Manager (ASM) sont conçus pour fournir un déploiement hautement disponible et sécurisé des applications critiques pour l'entreprise. Plus précisément, une sécurité supérieure des appareils mobiles Exchange peut être obtenue en combinant les mécanismes d'authentification multifactorielle de BIG-IP APM avec la fonctionnalité robuste de pare-feu de couche 7 de BIG-IP ASM.

Publié le 20 novembre 2012
  • Partager sur Facebook
  • Partager sur X
  • Partager sur Linkedin
  • Partager par e-mail
  • Partager via AddThis

Connectez-vous avec F5

F5 Labs

Les dernières nouveautés en matière de renseignement sur les menaces applicatives.

DevCentral

La communauté F5 pour les forums de discussion et les articles d'experts.

Salle de presse F5

Actualités, blogs F5 et plus encore.