Exchange 2003 SP2 : nouveautés en matière de mobilité
Exchange 2003 SP2 : nouveautés en matière de mobilité
Thierry PicqManaging Consultant
Microsoft Services France
L’identité du Conseil MicrosoftRôle d’avant-gardeRôle d’avant-garde
Catalyseur du changement chez nos clients pour l’emploi des technologies Microsoft et Catalyseur du changement chez nos clients pour l’emploi des technologies Microsoft et l’adoption des nouvelles versionsl’adoption des nouvelles versionsEffet de levier maximum en début de cycle de vie des technologiesEffet de levier maximum en début de cycle de vie des technologiesEffacement progressif quand :Effacement progressif quand :
La technologie est installée dans le compteLa technologie est installée dans le compteLe savoir-faire et les compétences sont largement diffuséesLe savoir-faire et les compétences sont largement diffusées
Assistance aux partenaires mettant l’accent sur le transfert de compétences et Assistance aux partenaires mettant l’accent sur le transfert de compétences et de connaissances sur les technologies Microsoftde connaissances sur les technologies MicrosoftCadres méthodologiques éprouvés : Cadres méthodologiques éprouvés : Microsoft Solutions FrameworkMicrosoft Solutions Framework (MSF) et (MSF) et Microsoft Operations FrameworkMicrosoft Operations Framework (MOF) (MOF)Capacité d’engagement sur les projets stratégiquesCapacité d’engagement sur les projets stratégiques
Partenaires
Support
Risque
Adoption des Technologies
Conseil Microsoft
Scénarios et risques
Accès à Exchange Accès à Exchange via Internetvia Internet
ExtranetExtranetMobilitéMobilitéTélétravailTélétravailKiosques et accès à Kiosques et accès à domiciledomicileInternet comme réseau d’entrepriseInternet comme réseau d’entrepriseNouvelle opportunités business, réactivité, …Nouvelle opportunités business, réactivité, …
Comprendre les risquesComprendre les risquesErreurs de déploiement/configurationErreurs de déploiement/configurationContenu des messagesContenu des messages
Envoyés depuis Internet et ouverts à l’intérieurEnvoyés depuis Internet et ouverts à l’intérieurEnvoyés depuis l’Intranet et exploités depuis InternetEnvoyés depuis l’Intranet et exploités depuis Internet
Couche 8 : l’erreur/le comportement humain Couche 8 : l’erreur/le comportement humain (utilisateurs)(utilisateurs)Et les menaces: Spam, hameçonnage Et les menaces: Spam, hameçonnage (phising)(phising), vols , vols d’identités, virus, spyware, intelligence économique, etc. d’identités, virus, spyware, intelligence économique, etc.
TerminauxTerminaux(utilisateurs)(utilisateurs)EntrepriseEntreprise
OpérateursOpérateursmobiles ou mobiles ou
fixesfixes
WLANWLANWANWAN
PANPAN
InfraInfraredredLANLAN
WANWAN
ApplicationsApplications
WLANWLAN
Architecture type
Serveur FE
Mailbox Server
Mailbox Server
Internet(Réseaux cellulaires :
GSM/GPRS)
Filaire
Sans fil
Légende
Wireless PDA
Smart phone
Wi-FiPDA Wi-Fi
Smart phone
Internet sans fil(802.11x - hotspots)
Wi-FiPDA
Wi-FiSmart phone
Wifi Interne
Frontières de l’Entreprise
DMZ
Accès unique “nom du server” = “monentreprise.com”Accès unique “nom du server” = “monentreprise.com” Pas de compte spécifiquePas de compte spécifique
InternetHaut débit(VPN, …)
Internet
Accès Distants (RAS)
POP FAI
Les choix de connectivité
AlternativesAlternativesRAS, VPNsRAS, VPNsInternet comme réseau d’entrepriseInternet comme réseau d’entrepriseOWAOWARPC - natif vs. sur HTTPRPC - natif vs. sur HTTP
Traditionnel vs. innovantTraditionnel vs. innovantTrouver des réponses aux problèmes d’hier ou Trouver des réponses aux problèmes d’hier ou d’aujourd’hui ?d’aujourd’hui ?
La question peut sembler stupide, mail il existe La question peut sembler stupide, mail il existe beaucoup d’à priori et de préconçus…beaucoup d’à priori et de préconçus…
Le Design idéal ???Le Design idéal ???““To DMZ or not to DMZ…that is the question”To DMZ or not to DMZ…that is the question”
VPN : choix classique(extension logique du périmètre de l’entreprise)
Client VPN dans toutes les versions de Client VPN dans toutes les versions de WindowsWindows
PPTPPPTPL2TP+IPsecL2TP+IPsec
Bien connu ainsi que les algorithmesBien connu ainsi que les algorithmes
La technologie est bien compriseLa technologie est bien compriseMais nécessite malgré tout une organisation Mais nécessite malgré tout une organisation interne maîtrisant le sujet.interne maîtrisant le sujet.Peut impliquer une charge importante parfois Peut impliquer une charge importante parfois incompatible avec petites ou moyennes structuresincompatible avec petites ou moyennes structures
Quarantaine indispensable afin de vérifier Quarantaine indispensable afin de vérifier “l’état de santé” du poste de travail “l’état de santé” du poste de travail Parfois trop « lourd » pour une solution Parfois trop « lourd » pour une solution mobilemobile
Exchange Server 2003 SP2Les consommateurs
BALBAL(Back End)(Back End)
Pare-feu/périmètre de Pare-feu/périmètre de l’entreprise (DMZ)l’entreprise (DMZ)
RPC/HTTP (SP1) &RPC/HTTP (SP1) &Outlook Web AccessOutlook Web Access
POP3, IMAPPOP3, IMAP
ExchangeExchangeActiveSyncActiveSync
Outlook Mobile AccessOutlook Mobile Access
Clients Clients ActiveSyncActiveSync(PPC, SP)(PPC, SP)
Navigateurs Navigateurs téléphonestéléphones& PDA& PDA
PC Portables / FixesPC Portables / Fixes
Front EndFront End
Flux entrantsFlux entrants SMTP: 25SMTP: 25
POP3 : 110POP3 : 110
SSL : 443SSL : 443
RPC : 135RPC : 135Demain ?Demain ?
??
Le mode connecté : OWA et OMAExchange Server 2003
Outlook Web AccessOutlook Web AccessCorrecteur orthographique, Règles, Correcteur orthographique, Règles, Tâches et toutes les fonctions Tâches et toutes les fonctions appréciables de Outlook 2003appréciables de Outlook 2003Performance accrue (plus de 50% vs Performance accrue (plus de 50% vs Exchange 2000 Serveur)Exchange 2000 Serveur)SécuritéSécurité
Authentification via formulaires, Authentification via formulaires, blocage des attachements, blocage blocage des attachements, blocage des des contenus externes, chiffrement et contenus externes, chiffrement et signature S/MIMEsignature S/MIME
Outlook Mobile AccessOutlook Mobile AccessOutlook Web Access pour les Outlook Web Access pour les terminaux mobilesterminaux mobilesAcceptant potentiellement tout type Acceptant potentiellement tout type de clientsde clients
Génère du WML, HTML, xHTML et Génère du WML, HTML, xHTML et cHTML correspondant aux différents cHTML correspondant aux différents terminauxterminaux.NET Framework .NET Framework DeviceDevice Updates Updates accroît le nombre de terminaux accroît le nombre de terminaux supportéssupportés
Le mode synchronisé : Exchange ActiveSync (EAS)
Synchronisation des E-mail, agenda, et Synchronisation des E-mail, agenda, et contacts contacts (plus avec E2K3SP2 et WM5.0)(plus avec E2K3SP2 et WM5.0)
Protocole adopté par:Protocole adopté par:PalmOne (Treo650 & LifeDrive)PalmOne (Treo650 & LifeDrive)Motorola (A780)Motorola (A780)DataViz (RoadSync)DataViz (RoadSync)NokiaNokiaSymbianSymbian
Architecture identique à OWA/RPC-HTTPArchitecture identique à OWA/RPC-HTTP
Perimeter Network (DMZ)Perimeter Network (DMZ)
Windows 2003 Windows 2003 ADAD
Ex2003 Ex2003 Front-EndFront-End
Ex2003 Back-End Ex2003 Back-End ServersServers
ISA or ISA or 33rdrd party party FirewallFirewall
SSLSSL SSLSSL SSLSSL
ISAISA
ISA or ISA or 33rdrd party party FirewallFirewall
Principe fondamental de sécurité: aucune information ne « sort » du périmètre de l’entreprise si elle n’a pas été sollicitée (contrôlée) par
un client.
Protection de OWA/Activesync avec ISA Serveur 2004 Réduction de la surface exposée et simplification de publilcation
Pare-feu Pare-feu traditionneltraditionnelPare-feu Pare-feu
traditionneltraditionnelOWAOWA
ClientClient
Le serveur OWA fait une demande Le serveur OWA fait une demande d’authentification - tout utilisateur sur d’authentification - tout utilisateur sur Internet peut accéder à cette demandeInternet peut accéder à cette demande
SSLSSLSSLSSL
SSL passe au travers des pare-SSL passe au travers des pare-feu traditionnels sans contrôle feu traditionnels sans contrôle
du fait du chiffrement…du fait du chiffrement…
……ce qui permet aux virus et ce qui permet aux virus et aux vers de se propager aux vers de se propager
sans être détectés…sans être détectés…
……et d’infecter les serveurs internes !et d’infecter les serveurs internes !
ISA Server 2004ISA Server 2004
Délégation d’authentification BasicDélégation d’authentification BasicISA Server pré authentifie les ISA Server pré authentifie les
utilisateurs, éliminant les boites de utilisateurs, éliminant les boites de dialogues redondantes et n’autorise dialogues redondantes et n’autorise
que le trafic valide à passerque le trafic valide à passer
URLScanURLScan
SSL ou SSL ou HTTPHTTP
SSL ou SSL ou HTTPHTTP
SSLSSLSSLSSL
ISA Server peut ISA Server peut déchiffrer et inspecter déchiffrer et inspecter
le trafic SSLle trafic SSL
Une fois inspecté le trafic peut être envoyé vers Une fois inspecté le trafic peut être envoyé vers le serveur interne de nouveau chiffré ou en clair.le serveur interne de nouveau chiffré ou en clair.
Analyse URL Analyse URL par ISA Serverpar ISA Server
L’analyse des URL par ISA Server L’analyse des URL par ISA Server peut stopper les attaques Web au peut stopper les attaques Web au périmètre du réseau, y compris en périmètre du réseau, y compris en
cas d’utilisation de SSLcas d’utilisation de SSL
InternetInternet
Configuration & Administration simplifiées
L’assistant de publication de messagerie facilite la configuration et limite les
erreurs potentielles pouvant entrainer des failles de sécurité
L’assistant de publication de messagerie facilite la configuration et limite les
erreurs potentielles pouvant entrainer des failles de sécurité
IPSec (Data)
192.168.1.251 IPSec (BAL pour user1?)
Quel BE ?
Authorisation OK?192.168.1.201
IP pour un DC du domaine contoso?
contoso\user1, p@ssw0rd
/microsoft-server-activesync/00101001
SSL valide
192.168.1.101Règle de publication: IP pour mail.contoso.com?
IP de mail.contoso.com?
Processus de synchronisationLe client ActiveSync est configuré pour utiliser mail.contoso.com
DNS externe DNS interne ExchangeFrontEnd1
Domain Controller ExchangeBackend1
ISA Serveur
131.107.76.146SSL avec 131.107.76.146
SSL valide/microsoft-server-activesync/00101001
SSL avec 192.168.1.101
Authentification Basic?
contoso\user1, p@ssw0rd
Oui
Backend1IP pour Backend1?
SSL (Data)SSL (Data)
Authentification Basic?
Exchange Service Pack 2 et Windows Mobile 5 Messaging and Security Feature Pack
Direct PushDirect Push
Améliorations fonctionnelles Améliorations fonctionnelles (recherche dans (recherche dans la GAL, tâches, …)la GAL, tâches, …) et ergonomiques et ergonomiques
Gestion distante des politiques de sécuritéGestion distante des politiques de sécurité
Gestion distante des terminauxGestion distante des terminaux
Support de S/MIME et FIPS-140-2Support de S/MIME et FIPS-140-2
Disponibilité du MSFP
Windows Mobile 5.0 AKU2 est le vecteur de Windows Mobile 5.0 AKU2 est le vecteur de diffusion de cette versiondiffusion de cette version
AKU = AKU = Adaptation Kit UpdateAdaptation Kit Update
Les AKUs sont à destination des OEM / Les AKUs sont à destination des OEM / constructeurs uniquement constructeurs uniquement (pas un (pas un fichier .CAB)fichier .CAB)
Mise à disposition via:Mise à disposition via:OEM -> Opérateur Mobile -> UtilisateurOEM -> Opérateur Mobile -> Utilisateur
Les AKUs sont cumulatifs (ie. Services Les AKUs sont cumulatifs (ie. Services Packs…). L’AKU2 hérite des améliorations Packs…). L’AKU2 hérite des améliorations précédentesprécédentes
Gestionnaire réseaux (Wireless Manager)Gestionnaire réseaux (Wireless Manager)Explorateur de fichiers pour SmartphoneExplorateur de fichiers pour SmartphoneAméliorations Bluetooth & Windows Media Améliorations Bluetooth & Windows Media PlayerPlayer
Cinématique Direct Push
4. Si un mail arrive afin la 4. Si un mail arrive afin la fin de l’intervalle, fin de l’intervalle, Exchange 2003 notifie le Exchange 2003 notifie le terminal qu’une terminal qu’une modification est modification est survenue dans la BALsurvenue dans la BAL
1. Le terminal envoie une 1. Le terminal envoie une requête au serveur requête au serveur Exchange 2003 SP2 serverExchange 2003 SP2 server
2. Exchange 2003 maintient 2. Exchange 2003 maintient la requête en attente jusqu’à la requête en attente jusqu’à l’expiration de l’intervalle l’expiration de l’intervalle ((heartbeatheartbeat))
5. Le terminal déclenche 5. Le terminal déclenche immédiatement une immédiatement une requête de requête de synchronisation.synchronisation.
3. Si aucun mail n’arrive 3. Si aucun mail n’arrive avant la fin de l’intervalle avant la fin de l’intervalle ((heartbitheartbit) le terminal renvoie ) le terminal renvoie une requête (une requête (keep alivekeep alive))
Terminal Windows Terminal Windows Mobile 5 avec le Mobile 5 avec le MSFPMSFP
Serveur Exchange Serveur Exchange 2003 SP22003 SP2
192.168.3.155
If I get mail in the next 15 minutes, let me knowOtherwise, return OK
Enterprise Exchange
Server
T=0
OK
New Mail in folder X
If I get mail in the next 15 minutes, let me know...
T=15
Sync folder X
T=23
T=23
T=15
Impact sur la bande passante
Le terminal envoie une requête au serveur Le terminal envoie une requête au serveur Exchange 2003 SP2 afin de générer une Exchange 2003 SP2 afin de générer une connexion IPconnexion IP
Cette connexion permanente génère un Cette connexion permanente génère un surcoûtsurcoût
Par défaut l’intervalle (Par défaut l’intervalle (HeartbeatHeartbeat) est de ) est de 15min, le “surcoût” incrémental de cette 15min, le “surcoût” incrémental de cette solution est de:solution est de:370 370 bytesbytes par par heartbeatheartbeat * 4 * 4 heartbeatsheartbeats par par heure * 24 heures par jour * 30 joursheure * 24 heures par jour * 30 jours= 1.06MB par mois= 1.06MB par mois
Cette architecture permet Cette architecture permet néanmoins de rester indépendant néanmoins de rester indépendant
du transport et de l’opérateur du transport et de l’opérateur (fixe ou mobile)(fixe ou mobile)
Terminal Windows Terminal Windows Mobile 5 avec le Mobile 5 avec le MSFPMSFP
Serveur Exchange Serveur Exchange 2003 SP22003 SP2
Optimisation de la bande passant via compression (GZIP)
Compression GZIP sur le serveurCompression GZIP sur le serveur
Compression avant envoiCompression avant envoiGains importants en bande Gains importants en bande passante et en latence passante et en latence (rapidité) entre Windows (rapidité) entre Windows Mobile 2003 et Windows Mobile 2003 et Windows Mobile 5Mobile 5Les test initiaux indiquent des Les test initiaux indiquent des gains entre 35% et 60%gains entre 35% et 60%
EfficacitéEfficacité
Index = 100Index = 100
Remarques concernant le Direct Push
Chiffrement de la connexionChiffrement de la connexionSSL est utilisé pour négocier la sécurité du SSL est utilisé pour négocier la sécurité du transport. Par défaut le chiffrement est de type transport. Par défaut le chiffrement est de type RC4RC43DES peut être utilisé (impact sur tous les trafics 3DES peut être utilisé (impact sur tous les trafics SSL du frontal)SSL du frontal)
http://support.microsoft.com/default.aspx?scid=kb;en-us;2450http://support.microsoft.com/default.aspx?scid=kb;en-us;24503030
Configuration des pare-feux:Configuration des pare-feux:Afin de conserver la connexion il peut être Afin de conserver la connexion il peut être nécessaire de paramétrer les pare-feux de telle nécessaire de paramétrer les pare-feux de telle façon que les façon que les timeouttimeout de session pour accès vers de session pour accès vers EAS soient de 15-30minsEAS soient de 15-30mins
http://support.microsoft.com/default.aspx?scid=kb;en-us;9050http://support.microsoft.com/default.aspx?scid=kb;en-us;90501313
Le Wifi n’est pas supportéLe Wifi n’est pas supportéLa Registry est votre amie (attention quand La Registry est votre amie (attention quand même)…même)…
Accès à l’annuaire (GAL)
Conçu pour un accès simplifié depuisConçu pour un accès simplifié depuisContactsContacts
Sélection d’un contact intégrée avec la Sélection d’un contact intégrée avec la messagerie, téléphone, calendrier, etc.messagerie, téléphone, calendrier, etc.
Accès aux propriétés majeures des Accès aux propriétés majeures des contacts dans la GAL (contacts dans la GAL (Global Address Global Address ListList))
Gestion des ambigüités et des listes de Gestion des ambigüités et des listes de distributiondistribution
Remarque:Remarque: l’accès à la GAL nécessite l’accès à la GAL nécessite l’implémentation de OWA et la l’implémentation de OWA et la configuration de permissionsconfiguration de permissions
Considérations sur l’usage de S/MIME en mobilité
Pré-requis:Pré-requis:Messaging and Security Feature Pack Messaging and Security Feature Pack for Windows Mobile 5.0for Windows Mobile 5.0 (AKU2) (AKU2)
Exchange 2003 SP2Exchange 2003 SP2
La signature et le chiffrement La signature et le chiffrement interopérables avec la version poste de interopérables avec la version poste de travail travail
Utilisable avec un lecteur de SC externe Utilisable avec un lecteur de SC externe uniquementuniquement
Le serveur Exchange décharge le client des Le serveur Exchange décharge le client des opérations de Clefs Publiquesopérations de Clefs Publiques
Démonstration
Démonstration
AccèsPolitique sécuritéRéinitialisation à
distance
Gestion distante des terminaux et politiques de sécurité
Device Security SettngsDevice Security Settngs
Enable PIN on device
4
Require both numbers and letters
Wipe device after failed (attempts): 4
Exceptions...Specify an exception list of users that are except from the setting enforcement
OK Cancel Help
Minimum PIN Length (digits):
Refresh settings on the device (hours): 24
Allow access to devices that do not support PIN settings
Inactivity time (minutes): 5
Gestion distante des terminaux et politiques de sécurité
Utilisation de certificats pour l’authentification
Pas de nécessité de stocker des Pas de nécessité de stocker des credentials credentials (username/password)(username/password) du réseau sur le terminal du réseau sur le terminal
Acquisition du certificat via la connexion PC (socle)Acquisition du certificat via la connexion PC (socle)
A la discrétion de l’ITA la discrétion de l’IT
AuthentificatiAuthentification par on par
certificatcertificat
AuthentificatiAuthentification basique on basique
(SSL)(SSL)
Remarques sur l’usage des certificats dans ce contexte
Lors de l’expiration du certificat, les Lors de l’expiration du certificat, les utilisateurs doivent connecter physiquement utilisateurs doivent connecter physiquement (socle) le terminal sur le réseau(socle) le terminal sur le réseau
Alerte 14 jours avant expirationAlerte 14 jours avant expiration
L’usage des certificats dans l’implémentation L’usage des certificats dans l’implémentation du MSFP entraine la nécessité d’une du MSFP entraine la nécessité d’une connexion directe chiffrée entre le frontal et connexion directe chiffrée entre le frontal et le terminal (le terminal (pas de possibilité d’arrêter le pas de possibilité d’arrêter le protocole pour inspection au niveau des protocole pour inspection au niveau des proxy/pare-feux !!!proxy/pare-feux !!!). ).
Outil: Outil: CertAuthToolCertAuthTool disponible en disponible en téléchargement téléchargement
http://www.microsoft.com/downloads/http://www.microsoft.com/downloads/details.aspx?FamilyIddetails.aspx?FamilyId=82510E18-7965-4883-A8C3-F73F1F473=82510E18-7965-4883-A8C3-F73F1F4733AC&displaylang=en3AC&displaylang=en
Réinitialisation à distanceRemarque: Réinitialisation complète du Remarque: Réinitialisation complète du terminal uniquement (ne concerne pas le terminal uniquement (ne concerne pas le stockage amovible)stockage amovible) Géré par un outil Web (IIS 6 nécessaire)Géré par un outil Web (IIS 6 nécessaire)Peut être délégué au centre de supportPeut être délégué au centre de supportHistorique (Transaction log)Historique (Transaction log)
Microsoft Exchange ActiveSync Mobile Web Microsoft Exchange ActiveSync Mobile Web Administration toolAdministration tool ::
http://www.microsoft.com/downloads/details.aspx?familyid=E6851D23-D145-4DBF-A2CC-E0B4C6301453&displaylang=en
Architecture classique
ExFEExFE SMTPSMTP
ExBEExBE ADAD
Nouveaux besoins, nouvelles architectures
Serveurs critiques au sein Serveurs critiques au sein du périmètre de du périmètre de l’entreprise pour une l’entreprise pour une protection accrueprotection accrue
Ajouter ISA Serveur à Ajouter ISA Serveur à votre DMZvotre DMZ
Ne remplacez rien, Ne remplacez rien, ajoutezajoutez !!! !!!
Elevez le niveau de Elevez le niveau de sécurité par la sécurité par la publication de:publication de:
Exchange RPCExchange RPC
OWA sur HTTPSOWA sur HTTPS
RPC sur HTTPSRPC sur HTTPS
SMTP (filtrage du contenu)SMTP (filtrage du contenu)
ExFEExFE SMTPSMTP
ExBEExBE ADAD
ISAISAServerServer
Synthèse des moyens nécessaires…
Exchange 2003Exchange 2003
Service Pack 2 – Serveur frontal (FE)Service Pack 2 – Serveur frontal (FE)
• Direct PushDirect Push
• Sécurité contrôlée à distanceSécurité contrôlée à distance
• Accès GALAccès GAL
• etcetc
Windows Mobile 5.0 Windows Mobile 5.0
et le Messaging & Security Feature Packet le Messaging & Security Feature Pack
Conclusion (hors terminaux):
Serveur FE
Mailbox Server
Mailbox Server
Internet(Réseaux cellulaires :
GSM/GPRS)
Filaire
Sans fil
Légende
Wireless PDA
Smart phone
Wi-FiPDA Wi-Fi
Smart phone
Internet sans fil(802.11x - hotspots)
Wi-FiPDA
Wi-FiSmart phone
Wifi Interne
Frontières de l’Entreprise
DMZ
Accès unique “nom du server” = “monentreprise.com”Accès unique “nom du server” = “monentreprise.com”
InternetHaut débit(VPN, …)
Internet
POP FAISSL 128 bits
Analyse des flux
Segmentation
Je maîtrise et sécurise les communications Je maîtrise et sécurise les communications de bout en bout en maintenant un niveau de bout en bout en maintenant un niveau de sécurité élévéde sécurité élévé
Microsoft FranceMicrosoft France18, avenue du Québec18, avenue du Québec
91 957 Courtaboeuf Cedex91 957 Courtaboeuf Cedex
www.microsoft.com/france
0 825 827 8290 825 827 829
[email protected]@microsoft.com