Melhorando a segurança do dispositivo móvel do Exchange com a plataforma F5 BIG-IP
À medida que o uso de dispositivos móveis no local de trabalho continua a crescer, o risco aos ativos corporativos e a necessidade de mitigar esses riscos também aumentam. Para muitas organizações, fornecer acesso remoto por meio de dispositivos móveis a ativos corporativos, como o Microsoft Exchange, não é apenas um luxo, mas também um requisito comercial. Portanto, os administradores devem encontrar maneiras de equilibrar os requisitos de uma força de trabalho móvel com a necessidade de proteger os ativos corporativos. Felizmente, os controladores de entrega de aplicativos (ADCs) F5 BIG-IP podem ajudar.
Este documento fornece orientação para utilizar o BIG-IP Access Policy Manager (APM) e o BIG-IP Application Security Manager (ASM) para melhorar significativamente a segurança de dispositivos móveis do Exchange 2010.
Embora esta orientação apresente soluções funcionais e testadas para proteger dispositivos móveis em um ambiente do Exchange 2010, ela não representa de forma alguma a totalidade das opções disponíveis. Um dos maiores pontos fortes da linha de produtos BIG-IP (incluindo BIG-IP LTM, APM, ASM e mais) é sua flexibilidade. O objetivo principal deste resumo técnico é não apenas fornecer orientação prática, mas também ilustrar o poder e a flexibilidade dos produtos BIG-IP. Presume-se que o leitor tenha conhecimento administrativo geral do BIG-IP Local Traffic Manager (LTM) e familiaridade com os módulos BIG-IP APM e ASM.
Os seguintes produtos e softwares BIG-IP foram utilizados para fins de configuração e teste das orientações apresentadas neste resumo.
| PRODUTO | Versões |
|---|---|
| BIG-IP Local Traffic Manager (LTM) | Versões 11.1 e 11.2 |
| BIG-IP Access Policy Manager (APM) | Versões 11.1 e 11.2 |
| Gerenciador de segurança de aplicativos BIG-IP (ASM) | Versões 11.1 e 11.2 |
| Apple iPhone 4 e 4S | Versão iOS 5.1.1 |
| Windows Phone 7 - Dell Venue Pro | Versão do sistema operacional 7.0.7392.212 |
- Microsoft Exchange Server 2010 (BIG-IP v11: Guia de implantação de LTM, APM, Edge Gateway): http://www.f5.com/pdf/deployment-guides/microsoft-exchange2010-iapp-dg.pdf
- Visão geral da família de produtos BIG-IP: http://www.f5.com/products/big-ip/
A função de servidor de acesso do cliente (CAS) funciona como ponto de acesso para todo o tráfego do cliente (incluindo dispositivos móveis) no Exchange 2010. Mais especificamente, a maioria dos dispositivos móveis usa o Exchange ActiveSync para acessar informações da caixa de correio. Permitir o acesso ao ambiente corporativo a partir de dispositivos móveis que podem ser facilmente comprometidos representa um risco significativo. Portanto, é crucial implantar uma solução multifatorial que autentique e autorize não apenas o usuário, mas também o dispositivo.
Trabalhando em conjunto com a funcionalidade de proxy reverso do BIG-IP LTM, o módulo BIG-IP APM reside no sistema BIG-IP e fornece pré-autenticação segura (incluindo inspeção de endpoint) para aplicativos essenciais aos negócios. As decisões de gerenciamento de tráfego podem ser tomadas e aplicadas no perímetro da rede em uma base individual ou em grupo. A seção a seguir utiliza o módulo BIG-IP APM para fornecer acesso com base em nome de usuário e senha, ID do dispositivo e certificados de cliente, ao mesmo tempo em que permite o uso da funcionalidade de segurança integrada do Exchange, como políticas do ActiveSync e limpeza remota de dispositivos.
Para facilitar o descarregamento de SSL para o sistema BIG-IP (bem como a pré-autenticação), a configuração e a política do Exchange ActiveSync utilizam as configurações padrão.
A configuração e a implantação bem-sucedidas do BIG-IP APM começam com os iApps F5. Disponibilizado pela primeira vez com a versão 11.0, iApps (F5 iApps: Movendo a entrega de aplicativos para além da rede) fornece um meio eficiente e fácil de usar para implantar rapidamente aplicativos essenciais aos negócios na rede.
Ilustrado abaixo, como ponto de partida desta orientação, o ambiente do Exchange será implantado por meio do iApp do Exchange 2010. Utilizando uma tela de configuração de unidade de menu, o iApp base configura o acesso ao ambiente do CAS do Exchange 2010, incluindo o acesso ao Exchange ActiveSync.
A configuração do BIG-IP APM é realizada via iApp.
Uma implantação concluída é ilustrada abaixo.
Esta configuração básica do sistema BIG-IP fornece funcionalidade avançada de gerenciamento e otimização de tráfego, incluindo balanceamento de carga, compactação, armazenamento em cache e persistência de sessão. Além disso, a pré-autenticação é fornecida para todo o tráfego baseado na Web, incluindo tráfego do Outlook Web Access, Outlook Anywhere e Exchange ActiveSync. As credenciais (nome de usuário e senha) são solicitadas e entregues ao sistema BIG-IP, que por sua vez autentica o usuário no Active Directory. Somente usuários devidamente autenticados têm permissão para acessar o ambiente interno da organização.
Para melhorar ainda mais a postura de segurança, muitas organizações desejam restringir o acesso ao e-mail corporativo apenas de dispositivos móveis pré-aprovados. Esses dispositivos aprovados podem ser atribuídos a um usuário específico ou podem ser incluídos em um conjunto de dispositivos que podem ser fornecidos aos usuários conforme a necessidade. Utilizando a flexibilidade do BIG-IP APM e os IDs de dispositivo exclusivos associados a dispositivos móveis, a implantação do Exchange configurada anteriormente pode ser facilmente modificada para impor acesso com base no nome de usuário e senha, bem como no dispositivo físico.
Antes de modificar a configuração do BIG-IP, a configuração criada pelo iApp precisa ser definida para permitir atualizações não iApp. Isso é feito modificando as propriedades do serviço de aplicativo específico (veja abaixo).
O sistema BIG-IP pode ser configurado para usar um pool de dispositivos aprovados no processo de autenticação. Somente usuários autenticados com dispositivos aprovados (dispositivos incluídos no pool compartilhado) terão acesso móvel ao ambiente do Exchange. Esse método utiliza um conjunto centralizado de dispositivos aceitáveis e permite que os administradores tenham a flexibilidade de "verificar" dispositivos para usuários finais individuais conforme a necessidade.
As etapas a seguir são executadas na implantação atual do BIG-IP.
As etapas a seguir são executadas na implantação atual do BIG-IP.
1. Crie uma Lista de Grupos de Dados que inclua todos os IDs de dispositivos relevantes.
Como alternativa à inserção de IDs de dispositivos na GUI da Web do BIG-IP, faça referência a um arquivo externo usando o recurso iFile do sistema BIG-IP. Detalhes são fornecidos no DevCentral https://community.f5.com/t5/technical-articles/v11-1-ndash-external-file-access-from-irules-via-ifiles/ta-p/287683
2. A política de acesso existente é utilizada
3. Uma iRule F5 é criada e associada ao servidor virtual HTTPS do Exchange. O iRule compara o ID do dispositivo da conexão do cliente (contido na consulta HTTP) com os IDs do dispositivo armazenados na Lista de Grupos de Dados criada anteriormente. Se o ID do dispositivo não estiver na lista de dispositivos aceitáveis, a sessão será encerrada e o acesso será negado.
Uma nota sobre a codificação Base64: O método e a extensão em que diferentes fornecedores de sistemas operacionais móveis (por exemplo, Apple iOS, Android e Windows Phone) acessam o ActiveSync podem ser diferentes. Alguns dispositivos, como o Windows Phone 7, usam codificação Base64, que deve ser decodificada para identificar o ID do dispositivo. O iRule referenciado acima determinará se a consulta HTTP é codificada e decodificada conforme necessário.
Embora não seja tão simples quanto o exemplo anterior, o BIG-IP APM pode ser usado para consultar atributos de usuário no Active Directory. Para facilitar o mapeamento de usuário para dispositivo para segurança de acesso, os atributos personalizados do Exchange 2010 podem ser utilizados para armazenar IDs de dispositivo aceitáveis por usuário. Posteriormente, durante o processo de autenticação, o BIG-IP APM pode consultar esses atributos do usuário para impor o acesso do dispositivo móvel.
As etapas a seguir são executadas na implantação existente do Exchange 2010/BIG-IP.
As etapas a seguir são executadas na implantação existente do Exchange 2010/BIG-IP.
1. Os atributos personalizados da caixa de correio do usuário são preenchidos com IDs de dispositivo aceitáveis para o usuário específico. Para fins do exemplo a seguir, três dispositivos podem ser atribuídos a uma caixa de correio específica. Os IDs do dispositivo podem ser armazenados em "Atributo personalizado" 1, 2 e 3.
2. A política de acesso APM do BIG-IP existente é modificada. Um elemento vazio é configurado para determinar que a sessão atual é ActiveSync.
3. Se a sessão for ActiveSync, será utilizada uma macro que executa uma Consulta do AD dos atributos do usuário e captura os IDs do dispositivo como variáveis de sessão.
4. Uma iRule é criada e associada ao servidor virtual HTTPS do Exchange. O iRule compara o ID do dispositivo da conexão do cliente (contido na consulta HTTP) com as variáveis da sessão. Se o ID do dispositivo cliente não corresponder a um dos dispositivos atribuídos anteriormente ao usuário, a sessão será encerrada e o acesso será negado.
Talvez um dos métodos mais desafiadores (e, portanto, raramente usados) para proteger dispositivos móveis seja o uso de certificados do lado do cliente. Na implementação nativa do Exchange, certificados individuais devem ser criados, armazenados no Active Directory e distribuídos aos dispositivos. Além disso, para habilitar esse tipo de autenticação no array CAS, o tráfego que chega ao servidor CAS deve ser criptografado.
O sistema BIG-IP tem a capacidade de criptografar novamente o tráfego destinado ao conjunto de servidores CAS interno, além de atuar como um proxy SSL para autenticação de certificado do lado do cliente. No entanto, o BIG-IP APM fornece um meio de exigir e validar certificados do lado do cliente, ao mesmo tempo em que descarrega o processamento SSL da matriz CAS. O exemplo a seguir demonstra como implementar a validação baseada em certificado juntamente com a autenticação de nome de usuário e senha.
1. O Perfil SSL do Cliente atual foi modificado para incluir uma autoridade de certificação (CA) confiável com um certificado de CA importado anteriormente para o sistema BIG-IP. Neste exemplo, a CA confiável é "F5DEMO".
2. A política de acesso APM do BIG-IP existente é modificada. Um elemento "On-Demand Cert Auth" está incluído. Depois que os usuários forem autenticados com sucesso com suas credenciais (nome de usuário e senha), o BIG-IP APM executará um novo handshake SSL e validará o certificado do cliente em relação à CA confiável acima. Se a validação falhar, a sessão será encerrada e o acesso será negado.
Os exemplos anteriores mostraram como o BIG-IP APM pode autenticar dispositivos móveis por meio de nomes de usuário e senhas, IDs de dispositivos e certificados de cliente. Ao combinar esses vários métodos em uma única solução de autenticação multifator, o BIG-IP APM pode fornecer acesso seguro e facilmente gerenciado ao Exchange ActiveSync. A ilustração abaixo mostra um fluxo de autenticação típico que combina os métodos discutidos anteriormente, bem como uma decisão baseada no tipo de dispositivo.
- O usuário é pré-autenticado no Active Directory com nome de usuário e senha.
- Se a sessão estiver utilizando o ActiveSync, o ID do dispositivo será comparado com os atributos do usuário e uma lista de dispositivos aceitáveis.
- O tipo de dispositivo é verificado.
- Se o tipo de dispositivo for um iPhone, será necessário um certificado válido.
A implementação de controles de segurança apropriados para acesso a dispositivos móveis do Exchange não termina com autenticação e autorização. Para melhorar ainda mais a postura de segurança da organização, o fluxo de tráfego (incluindo tráfego de fontes autenticadas) precisa ser monitorado e gerenciado de forma eficaz. Como a maior parte do tráfego de fontes externas flui através de firewalls tradicionais de Camada 3 para a rede corporativa, um firewall de camada de aplicativo ou WAF deve ser implementado. WAFs, como o BIG-IP Application Security Manager (ASM), operam na camada de aplicação, analisando e agindo sobre cargas HTTP para proteger ainda mais os ativos corporativos.
O módulo BIG-IP ASM reside no sistema BIG-IP e pode ser usado para proteger o ambiente do Exchange contra inúmeras ameaças, incluindo, mas não se limitando a, DoS e DDoS de Camada 7, injeção de SQL e script entre sites.
A seção a seguir ilustra como configurar módulos BIG-IP ASM para uso com o Exchange ActiveSync.
O BIG-IP ASM é um aplicativo extremamente robusto e, como tal, pode levar bastante tempo para ser implantado. Felizmente, a F5 desenvolveu uma série de modelos pré-configurados para reduzir drasticamente o tempo e o esforço necessários. Este é o caso do Exchange ActiveSync. As etapas a seguir são necessárias para implementar o BIG-IP ASM para o Exchange ActiveSync.
1. No menu Segurança do aplicativo, selecione "Políticas de segurança" e crie uma nova política.
2. Selecione "Servidor Virtual Existente" e "Avançar".
3. Selecione "HTTPS", o serviço virtual existente do Exchange e "Avançar".
4. Selecione "Criar uma política manualmente ou usar modelos (avançado)" e "Avançar".
5. Selecione o idioma da política, que normalmente é da Europa Ocidental (iso-8859-1). Em seguida, selecione "ActiveSync v1.0 v2.0 (https)" e "Avançar".
6. Selecione "Concluir".
Neste ponto, a política de segurança foi criada e aplicada ao servidor virtual do Exchange. No entanto, por definição, a política é implementada em um modo de execução "Transparente". A política está monitorando o tráfego (entrada e saída), mas não tomará nenhuma ação. Isso permite que o administrador ajuste a política sem afetar os usuários.
7. Depois que a política for ajustada para um nível aceitável, ela deverá ser alterada de "Transparente" para "Bloqueio". Selecione a opção radial "Bloqueio" e "Salvar".
8. Selecione "Aplicar política" para confirmar as alterações.
A política BIG-IP ASM agora está operando no modo "Bloqueio".
Fornecer acesso a aplicativos para uma força de trabalho cada vez mais móvel está rapidamente se tornando um requisito comercial para muitas organizações. Garantir que esses aplicativos sejam altamente disponíveis e seguros é absolutamente essencial. Os controladores de entrega de aplicativos BIG-IP Access Policy Manager (APM) e Application Security Manager (ASM) foram projetados para fornecer uma implantação altamente disponível e segura de aplicativos essenciais aos negócios. Especificamente, a segurança superior do dispositivo móvel Exchange pode ser alcançada combinando os mecanismos de autenticação multifator do BIG-IP APM com a robusta funcionalidade de firewall de Camada 7 do BIG-IP ASM.
Conecte-se com F5
