Amélioration de la sécurité des appareils mobiles Exchange avec la plateforme F5 BIG-IP

À mesure que l’utilisation des appareils mobiles sur le lieu de travail continue de croître, les risques pour les actifs de l’entreprise et la nécessité d’atténuer ces risques augmentent également. Pour de nombreuses organisations, fournir un accès à distance aux actifs de l’entreprise tels que Microsoft Exchange à partir d’appareils mobiles n’est pas seulement un luxe, mais également une exigence commerciale. Les administrateurs doivent donc trouver des moyens d’équilibrer les exigences d’une main-d’œuvre mobile avec la nécessité de sécuriser les actifs de l’entreprise. Heureusement, les contrôleurs de distribution application (ADC) F5 BIG-IP peuvent vous aider.

Ce document fournit des conseils sur l’utilisation de BIG-IP Access Policy Manager (APM) et de BIG-IP Application Security Manager (ASM) pour améliorer considérablement la sécurité des appareils mobiles Exchange 2010.

Bien que ce guide présente des solutions fonctionnelles et testées pour sécuriser les appareils mobiles dans un environnement Exchange 2010, il ne représente en aucun cas l’intégralité des options disponibles. L’un des plus grands atouts de la gamme de produits BIG-IP (comprenant BIG-IP LTM, APM, ASM, etc.) est sa flexibilité. L’objectif principal de cette note technique est non seulement de fournir des conseils pratiques, mais également d’illustrer la puissance et la flexibilité des produits BIG-IP. Le lecteur est supposé avoir des connaissances administratives générales de BIG-IP Local Traffic Manager (LTM) et une familiarité avec les modules BIG-IP APM et ASM.

Les produits et logiciels BIG-IP suivants ont été utilisés à des fins de configuration et de test des conseils présentés dans ce dossier.

• Microsoft Exchange Server 2010 (BIG-IP v11 : Guide de déploiement LTM, APM, Edge Gateway : <a href="http://www.f5.com/pdf/deployment-guides/microsoft-exchange2010-iapp-dg.pdf">http://www.f5.com/pdf/deployment-guides/microsoft-exchange2010-iapp-dg.pdf</a>
• Présentation de la gamme de produits BIG-IP : http://www.f5.com/products/big-ip/

Le rôle de serveur d’accès client (CAS) fonctionne comme point d’accès pour tout le trafic client (y compris les appareils mobiles), dans Exchange 2010. Plus précisément, la majorité des appareils mobiles utilisent Exchange ActiveSync pour accéder aux informations de la boîte aux lettres. Autoriser l’accès à l’environnement de l’entreprise à partir d’appareils mobiles qui peuvent être facilement compromis présente un risque important. Il est donc essentiel de déployer une solution multifactorielle qui authentifie et autorise non seulement l’utilisateur mais également l’appareil.

Fonctionnant en étroite collaboration avec la fonctionnalité de proxy inverse de BIG-IP LTM, le module BIG-IP APM réside sur le système BIG-IP et fournit une pré-authentification sécurisée (y compris l'inspection des points de terminaison) aux applications critiques pour l'entreprise. Les décisions de gestion du trafic peuvent être prises et appliquées au périmètre du réseau sur une base collective ou individuelle. La section suivante utilise le module BIG-IP APM pour fournir un accès basé sur le nom d'utilisateur et le mot de passe, l'ID de l'appareil et les certificats client, tout en permettant l'utilisation des fonctionnalités de sécurité Exchange intégrées telles que les politiques ActiveSync et l'effacement à distance de l'appareil.

Pour faciliter le déchargement SSL vers le système BIG-IP (ainsi que la pré-authentification), la configuration et la politique Exchange ActiveSync utilisent les paramètres par défaut.

La configuration et le déploiement réussis de BIG-IP APM commencent avec les iApps F5. Mis à disposition pour la première fois avec la version 11.0, iApps (F5 iApps : (Moving Application Delivery Beyond the Network) fournit un moyen efficace et convivial de déployer rapidement des applications critiques pour l'entreprise sur le réseau.

Comme illustré ci-dessous, comme point de départ de ce guide, l'environnement Exchange sera déployé via l'iApp Exchange 2010. À l'aide d'un écran de configuration de menu, l'iApp de base configure l'accès à l'environnement CAS Exchange 2010, y compris l'accès à Exchange ActiveSync.

Un déploiement terminé est illustré ci-dessous.

Cette configuration de base du système BIG-IP fournit des fonctionnalités avancées de gestion et d'optimisation du trafic, notamment l'équilibrage de charge, la compression, la mise en cache et la persistance des sessions. De plus, une pré-authentification est fournie pour tout le trafic Web, y compris le trafic provenant d’Outlook Web Access, d’Outlook Anywhere et d’Exchange ActiveSync. Les informations d'identification (nom d'utilisateur et mot de passe) sont demandées et transmises au système BIG-IP, qui à son tour authentifie l'utilisateur auprès d'Active Directory. Seuls les utilisateurs correctement authentifiés sont autorisés à accéder à l’environnement interne de l’organisation.

Pour améliorer encore la posture de sécurité, de nombreuses organisations souhaitent restreindre l'accès à la messagerie électronique de l'entreprise uniquement à partir d'appareils mobiles pré-approuvés. Ces appareils approuvés peuvent être attribués à un utilisateur spécifique ou peuvent être inclus dans un pool d’appareils qui peuvent être fournis aux utilisateurs selon les besoins. En utilisant la flexibilité de BIG-IP APM et les identifiants d'appareils uniques associés aux appareils mobiles, le déploiement Exchange précédemment configuré peut être facilement modifié pour appliquer l'accès basé à la fois sur le nom d'utilisateur et le mot de passe, ainsi que sur l'appareil physique.

Avant de modifier la configuration BIG-IP, la configuration créée par l'iApp doit être définie pour autoriser les mises à jour non-iApp. Cela se fait en modifiant les propriétés du service application spécifique (voir ci-dessous).

Le système BIG-IP peut être configuré pour utiliser un pool d’appareils approuvés dans le processus d’authentification. Seuls les utilisateurs authentifiés disposant d’appareils approuvés (appareils inclus dans le pool partagé) bénéficieront d’un accès mobile à l’environnement Exchange. Cette méthode utilise un pool centralisé d'appareils acceptables et offre aux administrateurs la possibilité de « vérifier » les appareils auprès des utilisateurs finaux individuels en fonction des besoins.
Les étapes suivantes sont effectuées sur le déploiement BIG-IP actuel.

Les étapes suivantes sont effectuées sur le déploiement BIG-IP actuel.

1. Créez une liste de groupes de données qui inclut tous les ID d’appareils pertinents.

Au lieu de saisir les identifiants des appareils dans l'interface graphique Web BIG-IP, référencez un fichier externe à l'aide de la fonctionnalité iFile du système BIG-IP. Les détails sont fournis sur DevCentral https://community.f5.com/t5/technical-articles/v11-1-ndash-external-file-access-from-irules-via-ifiles/ta-p/287683

2. La politique d’accès existante est utilisée

3. Une iRule F5 est créée et associée au serveur virtuel HTTPS Exchange. L'iRule compare l'ID de périphérique de la connexion client (contenu dans la requête HTTP) avec les ID de périphérique stockés dans la liste de groupes de données précédemment créée. Si l’ID de l’appareil ne figure pas dans la liste des appareils acceptables, la session est terminée et l’accès est refusé.

Une note sur l'encodage Base64 : La méthode et la mesure dans laquelle les différents fournisseurs de systèmes d’exploitation mobiles (par exemple Apple iOS, Android et Windows Phone) accèdent à ActiveSync peuvent différer. Certains appareils, comme Windows Phone 7, utilisent le codage Base64, qui doit être décodé pour identifier l'ID de l'appareil. La règle iRule référencée ci-dessus déterminera si la requête HTTP est codée et décodée selon les besoins.

Bien que pas aussi simple que l’exemple précédent, l’APM BIG-IP peut être utilisé pour interroger les attributs utilisateur dans Active Directory. Pour faciliter le mappage utilisateur-appareil pour la sécurité d'accès, les attributs personnalisés Exchange 2010 peuvent être utilisés pour stocker les ID d'appareil acceptables pour chaque utilisateur. Par la suite, pendant le processus d’authentification, BIG-IP APM peut interroger ces attributs utilisateur pour renforcer l’accès aux appareils mobiles.
Les étapes suivantes sont effectuées sur le déploiement Exchange 2010/BIG-IP existant.

Les étapes suivantes sont effectuées sur le déploiement Exchange 2010/BIG-IP existant.

1. Les attributs personnalisés de la boîte aux lettres de l'utilisateur sont renseignés avec des ID de périphérique acceptables pour l'utilisateur spécifique. Pour les besoins de l'exemple suivant, trois périphériques peuvent être attribués à une boîte aux lettres particulière. Les identifiants d'appareil peuvent être stockés dans les « Attributs personnalisés » 1, 2 et 3.

3. Si la session est ActiveSync, une macro est utilisée qui exécute une requête AD sur les attributs de l’utilisateur et capture les identifiants des appareils en tant que variables de session.

4. Une iRule est créée et associée au serveur virtuel HTTPS Exchange. L'iRule compare l'ID de l'appareil de la connexion client (contenu dans la requête HTTP) avec la ou les variables de session. Si l’ID du périphérique client ne correspond pas à l’un des périphériques précédemment attribués à l’utilisateur, la session est terminée et l’accès est refusé.

L’une des méthodes les plus difficiles (et donc les moins utilisées) pour sécuriser les appareils mobiles est peut-être l’utilisation de certificats côté client. Dans l’implémentation Exchange native, les certificats individuels doivent être créés, stockés dans Active Directory et distribués aux appareils. De plus, pour permettre ce type d’authentification sur le tableau CAS, le trafic arrivant au serveur CAS doit être chiffré.

Le système BIG-IP a la capacité de recrypter le trafic destiné à la batterie de serveurs CAS interne et d'agir comme un proxy SSL pour l'authentification par certificat côté client. Cependant, BIG-IP APM fournit un moyen d'exiger et de valider les certificats côté client tout en déchargeant le traitement SSL du tableau CAS. L'exemple suivant montre comment implémenter la validation basée sur un certificat ainsi que l'authentification par nom d'utilisateur et mot de passe.

1. Le profil SSL client actuel est modifié pour inclure une autorité de certification (CA) de confiance avec un certificat CA précédemment importé dans le système BIG-IP. Dans cet exemple, l'autorité de certification de confiance est « F5DEMO ».

Les exemples précédents ont montré comment le BIG-IP APM peut authentifier les appareils mobiles via des noms d’utilisateur et des mots de passe, des identifiants d’appareil et des certificats clients. En combinant ces différentes méthodes dans une solution unique d'authentification multifacteur, BIG-IP APM peut fournir un accès sécurisé et facile à gérer à Exchange ActiveSync. L'illustration ci-dessous montre un flux d'authentification typique qui combine les méthodes décrites précédemment, ainsi qu'une décision basée sur le type d'appareil.

1. L'utilisateur est pré-authentifié auprès d'Active Directory avec un nom d'utilisateur et un mot de passe.
2. Si la session utilise ActiveSync, l’ID de l’appareil est comparé aux attributs de l’utilisateur et à une liste d’appareils acceptables.
3. Le type d'appareil est vérifié.
4. Si le type d'appareil est un iPhone, un certificat valide est requis.

La mise en œuvre de contrôles de sécurité appropriés pour l’accès aux appareils mobiles Exchange ne s’arrête pas à l’authentification et à l’autorisation. Pour améliorer davantage la posture de sécurité de l’organisation, le flux de trafic (y compris le trafic provenant de sources authentifiées) doit être surveillé et géré efficacement. Étant donné que la plupart du trafic provenant de sources externes transite par des pare-feu de couche 3 traditionnels vers le réseau d'entreprise, un pare-feu de couche application ou WAF doit être mis en œuvre. Les WAF, tels que BIG-IP Application Security Manager (ASM), fonctionnent au niveau de la couche application , analysant et agissant sur les charges utiles HTTP pour mieux protéger les actifs de l'entreprise.

Le module BIG-IP ASM réside sur le système BIG-IP et peut être utilisé pour protéger l'environnement Exchange contre de nombreuses menaces, y compris, mais sans s'y limiter, les attaques DoS et DDoS de couche 7, l'injection SQL et les scripts intersites.

La section suivante illustre comment configurer les modules BIG-IP ASM pour une utilisation avec Exchange ActiveSync.

BIG-IP ASM est une application extrêmement robuste et, en tant que telle, son déploiement peut prendre beaucoup de temps. Heureusement, F5 a développé un certain nombre de modèles préconfigurés pour réduire considérablement le temps et les efforts requis. C'est le cas avec Exchange ActiveSync. Les étapes suivantes sont requises pour implémenter BIG-IP ASM pour Exchange ActiveSync.

1. Dans le menu Sécurité des application , sélectionnez « Politiques de sécurité » et créez une nouvelle politique.

2. Sélectionnez « Serveur virtuel existant » et « Suivant ».

3. Sélectionnez « HTTPS », le service virtuel Exchange existant et « Suivant ».

4. Sélectionnez « Créer une politique manuellement ou utiliser des modèles (avancé) » et « Suivant ».

5. Sélectionnez la langue de la politique, qui est généralement l'Europe occidentale (iso-8859-1). Sélectionnez ensuite « ActiveSync v1.0 v2.0 (https) » et « Suivant ».

6. Sélectionnez « Terminer ».

7. Une fois la politique réglée à un niveau acceptable, elle doit passer de « Transparent » à « Blocage ». Sélectionnez l'option radiale « Blocage » et « Enregistrer ».

8. Sélectionnez « Appliquer la politique » pour valider les modifications.

La politique BIG-IP ASM fonctionne désormais en mode « Blocage ».

Fournir un accès aux application à une main-d’œuvre de plus en plus mobile devient rapidement une exigence commerciale pour de nombreuses organisations. Il est absolument essentiel de garantir que ces applications soient à la fois hautement disponibles et sécurisées. Les contrôleurs de distribution application BIG-IP Access Policy Manager (APM) et Application Security Manager (ASM) sont conçus pour fournir un déploiement hautement disponible et sécurisé des applications critiques pour l'entreprise. Plus précisément, une sécurité supérieure des appareils mobiles Exchange peut être obtenue en combinant les mécanismes d'authentification multifactorielle de BIG-IP APM avec la fonctionnalité robuste de pare-feu de couche 7 de BIG-IP ASM.