20 Juin 2013 - Evènement commun Kyos-Spacecom : Ingrédients pour un ActiveSync sécurisé
Nos experts sécurité travaillent autour du protocole ActivSync et analysent les voies pour vous permettre de l'utiliser sereinement.
2013.06.20 - évènement Kyos-Spacecom - 01_Avant-goût du futur de Kyos et Spac...
2013.06.20 - évènement Kyos-Spacecom - 03_Ingrédients pour un ActiveSync sécurisé
1. Expert sécurité, réseau et services informa4ques
Ingrédients pour un ActiveSync sécurisé
Mickael
Mor+er
Mar+no
Dell’Ambrogio
2. Contexte – Ac4veSync aujourd’hui
• Encore
majoritairement
u+lisé
en
entreprise
:
• 68%
en
2016
• Un
service
quasi-‐incontournable:
• Mobilité
exige
!
• De
plus
en
plus
sur
des
«équipements
personnels»
(BYOD)
•
Hors
de
«notre
contrôle»
?
53%
47%
2012
MS
Exchange
Autres
Source:
hTp://www.radica+.com
4. Ac4veSync – Menaces & Risques
ACTIVESYNC
AD
Données
«mé;ers»
(Contact,
mail,
agenda,
…)
Données
«accès»
Login
AD
Passwd
AD
Internet
Cer;ficats
VOL,
PERTE
MITM
(Vol
de
créden+els,…)
FUITE
D’INFORMATION
«mé+ers»
&
ACCES
Service(s)
accessibles
via
login
AD
Postes
«guest»,
Applica+ons
web,…
M
A
L
W
A
R
E
AUaques
«Web»
sur
le
service
lui
même
5. Risques – Mi4ga4on
SÉCURITÉ
«
ÉQUIPEMENT
»
Authen+fica+on
forte
An+-‐Spyware
Silo
«sécurisé»
• Par++on
«complète»
avec
des
applica+ons
spécifiques
• Applica+on
«spécifique»
• Applica+on
«wrapping»
SÉCURITÉ
«
INFRASTRUCTURE
»
Notre
sujet
principal
aujourd’hui
6. Internet
Ac4veSync -‐ Architecture de principe
HOTSPOT
PUBLIC
(très
faible
niveau
de
confiance)
REVERSE
PROXY
MS.
EXCHANGE
ACTIVE
DIRECTORY
ACTIVESYNC
(IIS)
RESEAU
INTERNE
(fort
niveau
de
confiance)
FW
RESEAU
INVITÉ
(niveau
de
confiance
faible
à
modéré)
SECURITE
PERIMETRIQUE
Flux
chiffré
(hUps)
Flux
en
clair
(hUp)
7. Ac4veSync – Améliorer la receIe
Authen+fica+on
Forte
NAC
&
MDM
Exchange
«MDM»
Proxies
Ac+veSync
Différentes
démarches
8. Internet
Authen4fica4on Forte -‐ Architecture de principe
HOTSPOT
PUBLIC
(très
faible
niveau
de
confiance)
Passerelle
IIS
/
Agent
Auth.
Forte
ACTIVE
DIRECTORY
RESEAU
INTERNE
(fort
niveau
de
confiance)
FW
RESEAU
INVITÉ
(niveau
de
confiance
faible
à
modéré)
SECURITE
PERIMETRIQUE
Flux
chiffré
(hUps)
Flux
en
clair
(hUp)
MS.
EXCHANGE
Ac;ve
Sync
Auth.
Forte
Core
server
9. Authen4fica4on Forte -‐ Fonc4onnalités
• Implémenta+on
orientée
authen+fica+on
de
l’u+lisateur
et
de
son
équipement
:
• Les
créden+els
de
l’u+lisateur
sont
u+lisés
• L’ID
du
matériel
est
u+lisé
comme
second
facteur
• Processus
de
pré-‐enregistrement
et
d’ac+va+on
au
travers
de
la
solu+on
d’authen+fica+on
forte
10. Authen4fica4on Forte – Bilan
• Coûts
d’acquisi+on
:
• Liés
à
la
solu+on
d’authen+fica+on
forte
• Complexité
–
Dépendances
:
• Simple
• Compa+bilité
• Pas
de
dépendances
11. Authen4fica4on Forte – Menaces résiduelles
ACTIVESYNC
AD
Données
«mé;ers»
(Contact,
mail,
agenda,
…)
Données
«accès»
Login
AD
Passwd
AD
Internet
Cer;ficats
VOL,
PERTE
MITM
(Vol
de
créden+els,…)
Service(s)
accessibles
via
login
AD
Postes
«guest»,
Applica+ons
web,…
M
A
L
W
A
R
E
AUaques
«Web»
sur
le
service
lui
même
12. Internet
NAC & MDM -‐ Architecture de principe
HOTSPOT
PUBLIC
(très
faible
niveau
de
confiance)
NAC
ACTIVE
DIRECTORY
RESEAU
INTERNE
(fort
niveau
de
confiance)
FW
RESEAU
INVITÉ
(niveau
de
confiance
faible
à
modéré)
SECURITE
PERIMETRIQUE
MS.
EXCHANGE
Ac;ve
Sync
Passerelle
MDM
Flux
chiffré
(hUps)
Flux
en
clair
(hUp)
13. NAC & MDM -‐ Fonc4onnalités
• Visibilité
complète
(over-‐the-‐air)
• Les
différents
types
d’équipements
• Les
OS
u+lisés
• Les
u+lisateurs
authen+fiés
• Ges+on
d’iden+tés
et
d’accès
unifiée
• Mécanismes
d’authen+fica+on
• Poli+ques
d’autorisa+on
sur
l’équipement
et
les
accès
• Evalua+on
de
la
conformité
et
de
la
sécurité
• Ges+on
complète
de
la
floTe
d’équipement
mobile
• Repor+ng
commun
Fonc;ons
NAC
(«
Network
Access
Control
»)
Se
concentre
sur
le
réseau
Fonc;ons
MDM
(«
Mobile
Device
Management
»)
Se
concentre
sur
l’équipement
14. NAC & MDM – Bilan
• Coûts
d’acquisi+on
(de
quelques
milliers
à
plusieurs
centaines
de
CHF)
:
• Le
nombre
de
«
endpoints
»
• Volume
de
données
réseaux
• L’infrastructure
réseau
et
haute-‐disponibilité
voulue
• Type
de
déploiement
souhaité
(«
in-‐house
»
ou
Cloud)
• Complexité
–
Dépendances
• Simple
(«
core
switch
»
et
flux
réseaux
centralisés)
mais
plus
complexe
dans
le
cas
de
routage
spécifique
et
d’architecture
«
explosée
»
• Compa+bilité
• iOS
(ges+on
des
profils),
Androïd
(apps)
15. NAC & MDM – Menaces résiduelles
ACTIVESYNC
AD
Données
«mé;ers»
(Contact,
mail,
agenda,
…)
Données
«accès»
Login
AD
Passwd
AD
Internet
Cer;ficats
VOL,
PERTE
MITM
(Vol
de
créden+els,…)
Service(s)
accessibles
via
login
AD
Postes
«guest»,
Applica+ons
web,…
M
A
L
W
A
R
E
AUaques
«Web»
sur
le
service
lui
même
16. Internet
Exchange MDM -‐ Architecture de principe
HOTSPOT
PUBLIC
(très
faible
niveau
de
confiance)
WAF
(Reverse
Proxy)
MS.
EXCHANGE
ACTIVE
DIRECTORY
ACTIVESYNC
(IIS)
RESEAU
INTERNE
(fort
niveau
de
confiance)
FW
RESEAU
INVITÉ
(niveau
de
confiance
faible
à
modéré)
SECURITE
PERIMETRIQUE
MAILBOX
POLICIES
(polices
de
sécurité
intégrées)
Flux
chiffré
(hUps)
Flux
en
clair
(hUp)
17. Exchange MDM -‐ Fonc4onnalités
• Côté
client
• Tous
les
appareils
:
• Effacement
complet
de
l’appareil
à
distance
• Empêchement
pour
les
appareils
qui
s’annoncent
non-‐compa+bles
• Appareils
compa+bles
:
• Mot
de
passe
local
:
demande,
qualité,
sauvegarde
côté
serveur
• Chiffrement
:
demande
(stockage
local,
externe)
• Sécurité
applica+ve
(HTML,
pièces
jointes,
tailles,
roaming…)
• Exchange
Enterprise
client
access
license
(CAL)
:
• Isola+on
de
l’appareil
(stockage,
wifi,
tethering,
bluetooth,
caméra,
infrarouge,
RDP,
synchronisa+on,
naviga+on
web,
messagerie
IMAP/POP3…)
• Blocage
d’applica+ons
:
whitelist,
blacklist
ou
par
signature
18. Exchange MDM -‐ Bilan
• Coûts
:
• Faible
à
modéré
• Licences
annuelles
Exchange
et
CAL
• Complexité
:
• Aucun
élément
supplémentaire.
• Système
intrusif,
fiabilité
modérée.
• Compa+bilité
:
(fonc+onnalitémodèle)
• Menace
résiduelle
:
vol
OTA
(MITM)
toujours
possible.
19. Exchange MDM – Menaces résiduelles
ACTIVESYNC
AD
Données
«mé;ers»
(Contact,
mail,
agenda,
…)
Données
«accès»
Login
AD
Passwd
AD
Internet
Cer;ficats
VOL,
PERTE
MITM
(Vol
de
créden+els,…)
Service(s)
accessibles
via
login
AD
Postes
«guest»,
Applica+ons
web,…
M
A
L
W
A
R
E
AUaques
«Web»
sur
le
service
lui
même
20. Internet
Proxy IPdiva -‐ Architecture de principe
HOTSPOT
PUBLIC
(très
faible
niveau
de
confiance)
WAF
(Reverse
Proxy)
Annuaire
secondaire
ACTIVE
DIRECTORY
RESEAU
INTERNE
(fort
niveau
de
confiance)
FW
RESEAU
INVITÉ
(niveau
de
confiance
faible
à
modéré)
SECURITE
PERIMETRIQUE
MS.
EXCHANGE
Ac;ve
Sync
Flux
chiffré
(hUps)
Flux
en
clair
(hUp)
21. Internet
Proxy IPdiva -‐ Architecture de principe
HOTSPOT
PUBLIC
(très
faible
niveau
de
confiance)
Ipdiva
(passerelle)
Annuaire
secondaire
ACTIVE
DIRECTORY
Ipdiva
RESEAU
INTERNE
(fort
niveau
de
confiance)
FW
RESEAU
INVITÉ
(niveau
de
confiance
faible
à
modéré)
SECURITE
PERIMETRIQUE
MS.
EXCHANGE
Ac;ve
Sync
Flux
chiffré
(hUps)
Flux
en
clair
(hUp)
22. Proxy IPdiva -‐ Fonc4onnalités
• Proxy
applica+f
• Mot
de
passe
alterna+f
:
l’accès
peut
être
coupé
séparément
• Aucun
programme
+ers
sur
l’équipement
• Annuaire
• Annuaire
local,
LDAP
/
AD
ou
autre
via
• SPML
• Contrôle
d’accès
• Contrôle
d’accès
par
paire
(login
et
numéro
de
série
du
téléphone
fourni
en
phase
d’enrôlement)
• Blocage
de
l’accès
en
cas
de
plusieurs
échecs
Annuaire
secondaire
AD
Ipdiva
EXCHANGE
Ac;ve
Sync
Poste
u;lisateur
23. Proxy IPdiva – Bilan
• Coûts
:
• Faible
à
modéré
• Licences
annuelles
par
serveur
et
par
client
• Complexité
:
• 1
annuaire
supplémentaire
• 2
serveurs
applica+fs
• Compa+bilité
• Tout
appareil
qui
supporte
Ac+veSync
• Outlook
Web
Access
et
autres
applica+ons
web
• Exchange
(MAPI),
SMTP
et
autres
serveurs
applica+fs
24. Proxy IPdiva – Menaces résiduelles
ACTIVESYNC
AD
Données
«mé;ers»
(Contact,
mail,
agenda,
…)
Données
«accès»
Login
AD
Passwd
AD
Internet
Cer;ficats
VOL,
PERTE
MITM
(Vol
de
créden+els,…)
Service(s)
accessibles
via
login
AD
Postes
«guest»,
Applica+ons
web,…
M
A
L
W
A
R
E
AUaques
«Web»
sur
le
service
lui
même
25. Internet
Proxy Ac4veSync Shield -‐ Architecture de principe
HOTSPOT
PUBLIC
(très
faible
niveau
de
confiance)
Module
Forefront
ou
Bas;on
MS.
EXCHANGE
ACTIVE
DIRECTORY
ACTIVESYNC
(iis)
RESEAU
INTERNE
(fort
niveau
de
confiance)
FW
RESEAU
INVITÉ
(niveau
de
confiance
faible
à
modéré)
SECURITE
PERIMETRIQUE
Flux
chiffré
(hUps)
Flux
en
clair
(hUp)
26. Proxy Ac4veSync Shield -‐ Fonc4onnalités
• Analyse
et
protec+on
de
contenu
• DLP
• An+virus
• Données
sta+ques
transformées
en
données
en
ligne
• Chiffrement
• Contrôle
d’accès
• 2
Facteurs
d’uthen+ca+on
(ID
matériel)
• Annuaire
secondaire
• Sécurité
applica+ve
• Règles
granulaires
• Fonc+onnalités
augmentées
27. Proxy Ac4veSync Shield – Bilan
• Coûts
:
• Prix
faible
à
modéré
mais
solu+on
dédiée
• Licences
annuelles
par
client
• Complexité
:
• Module
Forefront
ou
proxy
dédié
(Bas+on)
• Pas
d’installa+on
client
• Menace
résiduelle
:
l’objec+f
est
une
couverture
totale
28. Proxy Ac4veSync Shield – Menaces résiduelles
ACTIVESYNC
AD
Données
«mé;ers»
(Contact,
mail,
agenda,
…)
Données
«accès»
Login
AD
Passwd
AD
Internet
Cer;ficats
VOL,
PERTE
MITM
(Vol
de
créden+els,…)
Service(s)
accessibles
via
login
AD
Postes
«guest»,
Applica+ons
web,…
M
A
L
W
A
R
E
AUaques
«Web»
sur
le
service
lui
même
29. Expert sécurité, réseau et services informa4ques
Nous contacter
Avenue
Rosemont,
12
bis
1208
Genève
Tel.
:
+41
22
566
76
30
Fax
:
+41
22
734
79
03
Merci