Mejora de la seguridad de los dispositivos móviles de Exchange con la plataforma F5 BIG-IP
A medida que el uso de dispositivos móviles en el lugar de trabajo sigue aumentado, lo riesgos para los activos corporativos y la necesidad de mitigar estos riesgos también se incrementa. Para muchas organizaciones, proporcionar acceso remoto de los dispositivos móviles a los activos corporativos, como Microsoft Exchange, no es solo un lujo, sino también una necesidad para el negocio. Por tanto, los administradores deben encontrar la manera de equilibrar los requisitos de una fuerza de trabajo móvil con la necesidad de proteger los activos corporativos. Afortunadamente, los controladores de entrega de aplicaciones (ADC) F5 BIG-IP pueden ayudar.
Este documento proporciona una guía para utilizar BIG-IP Access Policy Manager (APM) y BIG-IP Application Security Manager (ASM) con el objetivo de mejorar significativamente la seguridad de los dispositivos móviles de Exchange 2010.
Aunque esta guía presenta soluciones funcionales y probadas para proteger los dispositivos móviles en un entorno de Exchange 2010, no representa en absoluto la totalidad de las opciones disponibles. Uno de los puntos fuertes más importantes de la línea de productos BIG-IP (incluyendo BIG-IP LTM, APM, ASM, etc.) es su flexibilidad. El objetivo principal de este informe técnico no es solo proporcionar una guía práctica, sino también ilustrar la capacidad y la flexibilidad de los productos BIG-IP. Se le suponen al lector conocimientos de gestión generales de BIG-IP Local Traffic Manager (LTM) y que está familiarizado con los módulos BIG-IP APM y ASM.
Los siguientes productos y software BIG-IP se utilizaron para la configuración y las pruebas de la guía que se presenta en este informe.
| Producto | Versiones |
|---|---|
| BIG-IP Local Traffic Manager (LTM) | Versiones 11.1 y 11.2 |
| BIG-IP Access Policy Manager (APM) | Versiones 11.1 y 11.2 |
| BIG-IP Application Security Manager (ASM) | Versiones 11.1 y 11.2 |
| Apple iPhone 4 y 4S | Versión de iOS 5.1.1 |
| Windows Phone 7/Dell Venue Pro | Versión del sistema operativo 7.0.7392.212 |
- Guía de implementación de Microsoft Exchange Server 2010 (BIG-IP v11: LTM, APM, Edge Gateway): http://www.f5.com/pdf/deployment-guides/microsoft-exchange2010-iapp-dg.pdf
- Descripción de la familia de productos BIG-IP: http://www.f5.com/products/big-ip/
El papel que representa el servidor de acceso al cliente (CAS) es el de punto de acceso para todo el tráfico de clientes (incluidos los dispositivos móviles) en Exchange 2010. Más concretamente, la mayoría de los dispositivos móviles utilizan Exchange ActiveSync para acceder a la información del buzón. Permitir el acceso al entorno corporativo desde dispositivos móviles que puedan verse fácilmente comprometidos supone un riesgo importante. Por lo tanto, es fundamental implementar una solución multifactor que autentique y autorice no solo al usuario sino también al dispositivo.
Colaborando estrechamente con la funcionalidad de proxy inverso de BIG-IP LTM, el módulo BIG-IP APM reside en el sistema BIG-IP y proporciona una autenticación previa segura (incluyendo inspección de punto final) para las aplicaciones empresariales críticas. Las decisiones sobre gestión del tráfico pueden tomarse y aplicarse en el perímetro de la red en grupo o de forma individual. En la siguiente sección, se utiliza el módulo BIG-IP APM para proporcionar acceso basado en el nombre de usuario y la contraseña, el ID del dispositivo y los certificados del cliente, a la vez que se permite el uso de la funcionalidad de seguridad integrada de Exchange, como las políticas de ActiveSync y el borrado remoto de dispositivos.
Para facilitar la descarga de SSL al sistema BIG-IP (así como la autenticación previa), la configuración y la política de Exchange ActiveSync utilizan la configuración predeterminada.
La configuración y la implementación con éxito de BIG-IP APM comienzan con las iApps de F5. Disponibles por primera vez con la versión 11.0, las iApps (F5 iApps: entrega de aplicaciones móviles más allá de la red) proporcionan un medio eficiente y fácil de usar para implementar rápidamente aplicaciones empresariales críticas en la red.
Tal y como se ilustra a continuación, como punto de partida de esta guía, el entorno de Exchange se implementará mediante la iApp de Exchange 2010. Utilizando una pantalla de configuración de menús, la iApp base configura el acceso al entorno del servidor de acceso al cliente de Exchange 2010, incluido el acceso a Exchange ActiveSync.
La configuración de BIG-IP APM se realiza a través de la iApp.
A continuación, se ilustra una implementación completa.
Esta configuración básica del sistema BIG-IP proporciona una funcionalidad avanzada de gestión y optimización del tráfico que incluye equilibrio de carga, compresión, almacenamiento en caché y persistencia de la sesión. Además, se proporciona una autenticación previa para todo el tráfico basado en la web, incluido el tráfico de Outlook Web Access, Outlook Anywhere y Exchange ActiveSync. Las credenciales (nombre de usuario y contraseña) se solicitan y se entregan al sistema BIG-IP, que a su vez autentifica al usuario en Active Directory. Solo los usuarios correctamente autenticados pueden acceder al entorno interno de la organización.
Para mejorar aún más la postura de seguridad, muchas organizaciones quieren limitar el acceso al correo electrónico corporativo únicamente a los dispositivos móviles previamente aprobados. Estos dispositivos aprobados pueden asignarse a un usuario específico o pueden incluirse en un grupo de dispositivos que se puede facilitar a los usuarios en función de sus necesidades. Con la flexibilidad de BIG-IP APM y los ID de dispositivo únicos asociados a los dispositivos móviles, la implementación de Exchange previamente configurada puede modificarse fácilmente para imponer el acceso basado tanto en el nombre de usuario como en la contraseña, así como en el dispositivo físico.
Antes de modificar la configuración de BIG-IP, es necesario establecer la configuración creada mediante iApp para permitir las actualizaciones que no sean de iApp. Esto se hace modificando las propiedades del servicio de aplicación específico (ver más abajo).
El sistema BIG-IP puede configurarse para utilizar un grupo de dispositivos aprobados en el proceso de autenticación. Solo los usuarios autentificados con dispositivos aprobados (dispositivos incluidos en el grupo compartido) tendrán acceso móvil al entorno de Exchange. Este método utiliza un grupo centralizado de dispositivos aceptables y ofrece a los administradores la flexibilidad de «comprobar» los dispositivos para los usuarios finales individuales en función de las necesidades.
Los siguientes pasos se realizan en la implementación actual de BIG-IP.
Los siguientes pasos se realizan en la implementación actual de BIG-IP.
1. Cree una lista de grupos de datos que incluya todos los ID de los dispositivos pertinentes.
Como alternativa a la introducción de ID de dispositivos en la interfaz gráfica de usuario web de BIG-IP, puede hacer referencia a un archivo externo mediante la función iFile del sistema BIG-IP. Encontrará más información en DevCentral https://community.f5.com/t5/technical-articles/v11-1-ndash-external-file-access-from-irules-via-ifiles/ta-p/287683
2. Se utiliza la política de acceso existente.
3. Se crea una iRule de F5 y se asocia con el servidor virtual HTTPS de Exchange. La iRule compara el ID de dispositivo de la conexión del cliente (contenido de la consulta HTTP) con los ID de dispositivo almacenados en la lista de grupos de datos creada previamente. Si el ID del dispositivo no está en la lista de dispositivos aceptables, la sesión se finaliza y se deniega el acceso.
Una nota sobre la codificación Base64: el método y el grado en que los distintos proveedores de sistemas operativos móviles (por ejemplo, Apple iOS, Android y Windows Phone) acceden a ActiveSync pueden ser diferentes. Algunos dispositivos, como Windows Phone 7, utilizan la codificación Base64, que debe descodificarse para identificar el ID del dispositivo. La iRule a la que se ha hecho referencia determinará si la consulta HTTP se codifica y descodifica según es necesario.
Aunque no es tan sencillo como el ejemplo anterior, el BIG-IP APM puede utilizarse para consultar los atributos de los usuarios en Active Directory. Para facilitar la asignación de un usuario a un dispositivo para la seguridad de acceso, pueden utilizarse los atributos personalizados de Exchange 2010 para almacenar los ID de los dispositivos aceptables por usuario. Posteriormente, durante el proceso de autenticación, BIG-IP APM puede consultar estos atributos de usuario para reforzar el acceso para los dispositivos móviles.
Los siguientes pasos se realizan en la implementación existente de Exchange 2010/BIG-IP.
Los siguientes pasos se realizan en la implementación existente de Exchange 2010/BIG-IP.
1. Los atributos personalizados del buzón del usuario se rellenan con los ID de dispositivo aceptables para el usuario concreto. A efectos del siguiente ejemplo, se pueden asignar tres dispositivos a un buzón determinado. Los ID de los dispositivos pueden almacenarse en el «Atributo personalizados» 1, 2 y 3.
2. Se modifica la política de acceso de BIG-IP APM existente. Se configura un elemento vacío para determinar que la sesión actual es ActiveSync.
3. Si la sesión es ActiveSync, se utiliza una macro que realiza una consulta de AD Query de los atributos del usuario, y captura los ID de los dispositivos como variables de sesión.
4. Se crea una iRule y se asocia con el servidor virtual HTTPS de Exchange. La iRule compara el ID de dispositivo de la conexión del cliente (contenido en la consulta HTTP) con la/s variable/s de la sesión. Si el ID de dispositivo del cliente no coincide con ninguno de los dispositivos previamente asignados al usuario, la sesión se finaliza y se deniega el acceso.
Tal vez uno de los métodos más difíciles (y, por lo tanto, poco utilizados) para proteger los dispositivos móviles es el uso de certificados del lado del cliente. En la implementación nativa de Exchange, hay que crear certificados individuales, almacenarlos en Active Directory y distribuirlos a los dispositivos. Además, para permitir este tipo de autenticación en la matriz del servidor de acceso al cliente, el tráfico que llega al servidor de acceso al cliente debe estar encriptado.
El sistema BIG-IP tiene la capacidad de volver a encriptar el tráfico destinado a la granja interna de servidores de acceso al cliente, además de actuar como proxy SSL para la autenticación de certificados del lado del cliente. No obstante, BIG-IP APM proporciona un medio para requerir y validar los certificados del lado del cliente mientras se descarga el procesamiento SSL de la matriz del servidor de acceso al cliente. El siguiente ejemplo demuestra cómo implementar la validación basada en certificados junto con la autenticación de nombre de usuario y contraseña.
1. El perfil SSL de cliente actual se modifica para incluir una autoridad de certificación (CA) de confianza con un certificado de CA previamente importado en el sistema BIG-IP. En este ejemplo, la CA de confianza es «F5DEMO».
2. Se modifica la política de acceso existente de BIG-IP APM. Se incluye un elemento «On-Demand Cert Auth». Una vez que los usuarios se han autenticado correctamente con sus credenciales (nombre de usuario y contraseña), BIG-IP APM volverá a realizar un proceso de saludo de SSL y validará el certificado del cliente según la CA de confianza anterior. Si la validación falla, la sesión se termina y se deniega el acceso.
Los ejemplos anteriores muestran cómo BIG-IP APM puede autenticar los dispositivos móviles mediante nombres de usuario y contraseñas, ID de dispositivo y certificados de clientes. Al combinar estos diversos métodos en una única solución de autenticación multifactor, BIG-IP APM puede proporcionar un acceso seguro y fácilmente gestionado a Exchange ActiveSync. La siguiente ilustración muestra un flujo de autenticación típico que combina los métodos previamente mencionados, así como una decisión basada en el tipo de dispositivo.
- El usuario se autentica previamente en Active Directory con nombre de usuario y contraseña.
- Si la sesión utiliza ActiveSync, el ID del dispositivo se compara con los atributos del usuario y una lista de dispositivos aceptables.
- Se comprueba el tipo de dispositivo.
- Si el tipo de dispositivo es un iPhone, se requiere un certificado válido.
La implementación de controles de seguridad adecuados para el acceso a dispositivos móviles de Exchange no termina con la autenticación y la autorización. Para mejorar aún más la postura de seguridad de la organización, es necesario supervisar y gestionar eficazmente el flujo del tráfico (incluido el tráfico procedente de fuentes autenticadas). Dado que la mayor parte del tráfico procedente de fuentes externas fluye a través de los cortafuegos tradicionales de capa 3 hacia la red corporativa, debería implementarse un cortafuegos de capa de aplicación o WAF. Los WAF, como BIG-IP Application Security Manager (ASM), operan en la capa de aplicación, analizando y actuando sobre las cargas útiles HTTP para proteger aún más los activos corporativos.
El módulo BIG-IP ASM se aloja en el sistema BIG-IP y puede utilizarse para proteger el entorno de Exchange contra numerosas amenazas, entre las que se incluyen amenazas DoS y DDoS de capa 7, inyección de SQL y el cross-site scripting.
En la siguiente sección se muestra cómo configurar los módulos BIG-IP ASM para su uso con Exchange ActiveSync.
BIG-IP ASM es una aplicación extremadamente robusta y, como tal, su implementación puede llevar bastante tiempo. Afortunadamente, F5 ha desarrollado una serie de plantillas preconfiguradas para reducir drásticamente el tiempo y el esfuerzo necesarios. Este es el caso de Exchange ActiveSync. Para implementar BIG-IP ASM para Exchange ActiveSync es necesario seguir los pasos que se indican a continuación.
1. En el menú de seguridad de aplicaciones, seleccione la opción «Security Policies» (Políticas de seguridad) y cree una nueva política.
2. Seleccione «Existing Virtual Server» (Servidor virtual existente) y haga clic en «Next» (Siguiente).
3. Seleccione «HTTPS», el servicio virtual de Exchange existente, y «Next» (Siguiente).
4. Seleccione «Create a policy manually or use templates (advanced)» (Crear una política manualmente o usar plantillas [avanzado]) y «Next» (Siguiente).
5. Seleccione el idioma de la política, que suele ser el europeo occidental (iso-8859-1). A continuación, seleccione «ActiveSync v1.0 v2.0 (https)» y «Next» (Siguiente).
6. Seleccione «Finalizar».
En este punto, la política de seguridad se ha creado y aplicado al servidor virtual de Exchange. Sin embargo, por diseño, la política se implementa en un modo de aplicación «Transparent» (Transparente). La política supervisa el tráfico (tanto de entrada como de salida), pero no toma ninguna acción. Esto permite al administrador ajustar la política sin afectar a los usuarios.
7. Una vez que la política se ha ajustado a un nivel aceptable, se debe cambiar de «Transparent» (Transparente) a «Blocking» (Bloqueo). Seleccione la opción de exclusión «Bloqueo» y la opción «Guardar».
8. Seleccione «Apply Policy» (Aplicar política) para confirmar los cambios.
La política de BIG-IP ASM ahora está operando en modo «Blocking» (Bloqueo).
Proporcionar acceso a las aplicaciones a un personal cada vez más móvil se está convirtiendo rápidamente en un requisito empresarial para muchas organizaciones. Garantizar que estas aplicaciones estén altamente disponibles y sean seguras es absolutamente crítico. Los controladores de entrega de aplicaciones BIG-IP Access Policy Manager (APM) y Application Security Manager (ASM) están diseñados para proporcionar una implementación altamente disponible y segura de las aplicaciones empresariales críticas. En concreto, se puede conseguir una seguridad superior de los dispositivos móviles Exchange combinando los mecanismos de autenticación multifactor de BIG-IP APM junto con la robusta funcionalidad de cortafuegos de capa 7 de BIG-IP ASM.
Connect with F5
