利用 F5 BIG-IP 平台增强 Exchange 移动设备安全性
随着移动设备在工作场所的使用不断增长,公司资产的风险以及降低这些风险的需要也在增加。 对于许多组织来说,让远程移动设备访问 Microsoft Exchange 等公司资产不仅是一种奢侈,也是一项业务需求。 因此,管理员必须找到方法来平衡移动劳动力的要求和保护公司资产的需要。 幸运的是,F5 BIG-IPapplication交付控制器 (ADC) 可以提供帮助。
本文档提供了利用 BIG-IP 访问策略管理器 (APM) 和 BIG-IPapplication安全管理器 (ASM) 显著增强 Exchange 2010 移动设备安全性的指导。
虽然本指南提供了在 Exchange 2010 环境中保护移动设备的实用且经过测试的解决方案,但它绝不代表所有可用的选项。 BIG-IP 产品线(包括 BIG-IP LTM、APM、ASM 等)的最大优势之一是其灵活性。 本技术简介的主要目标不仅是提供实用指导,而且还要展示 BIG-IP 产品的强大功能和灵活性。 假设读者具有 BIG-IP 本地流量管理器 (LTM) 的一般管理知识,并熟悉 BIG-IP APM 和 ASM 模块。
以下 BIG-IP 产品和软件用于配置和测试本简介中提出的指导。
| 产品 | 版本 |
|---|---|
| BIG-IP 本地流量管理器 (LTM) | 版本 11.1 和 11.2 |
| BIG-IP 访问策略管理器 (APM) | 版本 11.1 和 11.2 |
| BIG-IPapplication安全管理器 (ASM) | 版本 11.1 和 11.2 |
| 苹果 iPhone 4 和 4S | iOS 版本 5.1.1 |
| Windows Phone 7 - 戴尔 Venue Pro | 操作系统版本 7.0.7392.212 |
- Microsoft Exchange 服务器 2010 (BIG-IP v11: LTM、APM、Edge Gateway)部署指南: <a href="http://www.f5.com/pdf/deployment-guides/microsoft-exchange2010-iapp-dg.pdf">http://www.f5.com/pdf/deployment-guides/microsoft-exchange2010-iapp-dg.pdf</a>
- BIG-IP 产品系列概述: http://www.f5.com/products/big-ip/
在 Exchange 2010 中,客户端访问服务器角色 (CAS) 充当所有客户端流量(包括移动设备)的访问点。 更具体地说,大多数移动设备使用 Exchange ActiveSync 来访问邮箱信息。 允许容易受到攻击的移动设备访问公司环境会带来很大的风险。 因此,部署一个不仅可以对用户进行身份验证和授权,还可以对设备进行身份验证和授权的多因素解决方案至关重要。
BIG-IP APM 模块与 BIG-IP LTM 的反向代理功能协同工作,驻留在 BIG-IP 系统上,并为业务关键型应用提供安全的预身份验证(包括端点检查)。 可以在网络边界以团体或个人为单位制定和执行流量管理决策。 以下部分利用 BIG-IP APM 模块提供基于用户名和密码、设备 ID 和客户端证书的访问,同时仍允许使用内置 Exchange 安全功能,例如 ActiveSync 策略和远程设备擦除。
为了方便将 SSL 卸载到 BIG-IP 系统(以及预身份验证),Exchange ActiveSync 配置和策略采用默认设置。
成功配置和部署 BIG-IP APM 始于 F5 iApps。 首次推出的版本是 11.0,iApps (F5 iApps: 将应用交付转移到网络之外(Moving Application Delivery Beyond the Network)提供了一种高效且用户友好的方式,可以快速将业务关键型应用部署到网络上。
如下图所示,作为本指南的起点,Exchange 环境将通过 Exchange 2010 iApp 进行部署。基本 iApp 利用菜单驱动配置屏幕配置对 Exchange 2010 CAS 环境的访问,包括对 Exchange ActiveSync 的访问。
BIG-IP APM 配置通过 iApp 执行。
完整的部署如下所示。
BIG-IP 系统的这个基本配置提供了高级流量管理和优化功能,包括负载均衡、压缩、缓存和会话持久。 此外,还为所有基于 Web 的流量提供预身份验证,包括来自 Outlook Web Access、Outlook Anywhere 和 Exchange ActiveSync 的流量。 BIG-IP 系统请求并传送凭证(用户名和密码),然后根据 Active Directory 对用户进行身份验证。 只有经过适当身份验证的用户才被允许访问组织的内部环境。
为了进一步加强安全态势,许多组织希望限制仅从预先批准的移动设备访问公司电子邮件。 这些经批准的设备可以分配给特定用户,也可以包含在可根据需要提供给用户的设备池中。 利用 BIG-IP APM 的灵活性和与移动设备关联的唯一设备 ID,可以轻松修改先前配置的 Exchange 部署,以根据用户名和密码以及物理设备强制访问。
在修改 BIG-IP 配置之前,需要设置 iApp 创建的配置以允许非 iApp 更新。 这是通过修改特定应用服务的属性来完成的(见下文)。
BIG-IP 系统可以配置为在身份验证过程中使用一组经过批准的设备。 只有拥有批准设备(包含在共享池中的设备)的经过身份验证的用户才被授予对 Exchange 环境的移动访问权限。 该方法利用可接受设备的集中池,并允许管理员根据需要灵活地将设备“签出”给各个最终用户。
以下步骤在当前 BIG-IP 部署上执行。
以下步骤在当前 BIG-IP 部署上执行。
1. 创建包含所有相关设备 ID 的数据组列表。
除了将设备 ID 输入 BIG-IP Web GUI 之外,您还可以使用 BIG-IP 系统的 iFile 功能引用外部文件。 详细信息请参阅 DevCentral https://community.f5.com/t5/technical-articles/v11-1-ndash-external-file-access-from-irules-via-ifiles/ta-p/287683
2. 利用现有的访问策略
3. 创建 F5 iRule 并将其与 Exchange HTTPS虚拟服务器关联。 iRule 将客户端连接的设备 ID(包含在 HTTP 查询中)与先前创建的数据组列表中存储的设备 ID 进行比较。 如果设备 ID 不在可接受设备列表中,则会话终止并且访问被拒绝。
关于 Base64 编码的说明: 不同移动操作系统供应商(例如 Apple iOS、Android 和 Windows Phone)访问 ActiveSync 的方法和程度可能有所不同。 某些设备(例如 Windows Phone 7)使用 Base64 编码,必须对其进行解码才能识别设备 ID。上面引用的 iRule 将确定 HTTP 查询是否根据需要进行编码和解码。
虽然不像前面的例子那么简单,但 BIG-IP APM 可用于查询 Active Directory 中的用户属性。 为了促进用户到设备的映射以实现访问安全,可以利用 Exchange 2010 自定义属性根据每个用户存储可接受的设备 ID。 随后,在身份验证过程中,BIG-IP APM 可以查询这些用户属性来强制执行移动设备访问。
以下步骤在现有的 Exchange 2010/BIG-IP 部署上执行。
以下步骤在现有的 Exchange 2010/BIG-IP 部署上执行。
1. 用户邮箱的自定义属性填充了特定用户可接受的设备 ID。 出于以下示例的目的,可以将三个设备分配给一个特定的邮箱。 设备ID可以存储在“自定义属性”1、2和3中。
2. 修改现有的BIG-IP APM访问策略。 配置空元素,确定当前会话为ActiveSync。
3. 如果会话是 ActiveSync,则使用宏执行用户属性的 AD 查询,并将设备 ID 捕获为会话变量。
4. 创建 iRule 并将其与 Exchange HTTPS虚拟服务器关联。 iRule 将客户端连接的设备 ID(包含在 HTTP 查询中)与会话变量进行比较。 如果客户端设备 ID 与之前分配给用户的设备之一不匹配,则会话终止并且访问被拒绝。
保护移动设备安全最具挑战性(因此很少使用)的方法之一可能是使用客户端证书。 在本机 Exchange 实施中,必须创建单独的证书、将其存储在 Active Directory 中并分发到设备。 此外,为了对 CAS 阵列启用这种类型的身份验证,到达 CAS 服务器的流量必须加密。
BIG-IP 系统能够重新加密发往内部 CAS 服务器群的流量,并可充当客户端证书认证的 SSL 代理。 但是,BIG-IP APM 提供了一种要求和验证客户端证书的方法,同时仍从 CAS 阵列卸载 SSL 处理。 以下示例说明如何实现基于证书的验证以及用户名和密码验证。
1. 当前客户端 SSL 配置文件已被修改,以包含一个受信任的证书颁发机构 (CA),并且该 CA 证书先前已导入 BIG-IP 系统。 在此示例中,受信任的 CA 是“F5DEMO”。
2. 修改现有的BIG-IP APM访问策略。 其中包括“按需证书认证”元素。 一旦用户使用其凭证(用户名和密码)成功进行身份验证,BIG-IP APM 将执行 SSL 重新握手并根据上述受信任的 CA 验证客户端证书。 如果验证失败,会话将终止并且访问将被拒绝。
前面的示例展示了 BIG-IP APM 如何通过用户名和密码、设备 ID 和客户端证书对移动设备进行身份验证。 通过将这些不同的方法组合成一个多因素身份验证解决方案,BIG-IP APM 可以提供安全且易于管理的 Exchange ActiveSync 访问。 下图显示了结合前面讨论的方法以及基于设备类型的决策的典型身份验证流程。
- 用户已通过用户名和密码预先向 Active Directory 进行身份验证。
- 如果会话正在使用 ActiveSync,则会将设备 ID 与用户的属性和可接受设备的列表进行比较。
- 已检查设备类型。
- 如果设备类型是 iPhone,则需要有效的证书。
对 Exchange 移动设备访问实施适当的安全控制并不止于身份验证和授权。 为了进一步增强组织的安全态势,需要有效地监控和管理流量(包括来自经过认证的来源的流量)。 由于来自外部来源的大多数流量都会通过传统的第 3 层防火墙进入企业网络,因此应该实施应用层防火墙或 WAF。 WAF(例如 BIG-IP应用安全管理器 (ASM))在应用层运行,分析并处理 HTTP 有效负载以进一步保护公司资产。
BIG-IP ASM 模块驻留在 BIG-IP 系统上,可用于保护 Exchange 环境免受多种威胁,包括但不限于第 7 层 DoS 和 DDoS、SQL 注入和跨站点脚本。
以下部分说明如何配置 BIG-IP ASM 模块以与 Exchange ActiveSync 一起使用。
BIG-IP ASM 是一款极其强大的应用,因此部署起来可能相当耗时。 幸运的是,F5 开发了许多预配置的模板,可以大幅减少所需的时间和精力。 Exchange ActiveSync 就是这种情况。 为 Exchange ActiveSync 实施 BIG-IP ASM 需要以下步骤。
1. 从application安全菜单中,选择“安全策略”并创建一个新策略。
2. 选择“现有虚拟服务器”和“下一步”。
3. 选择“HTTPS”、现有的 Exchange 虚拟服务,然后选择“下一步”。
4. 选择“手动创建策略或使用模板(高级)”和“下一步”。
5. 选择策略语言,通常是西欧(iso-8859-1)。 然后选择“ActiveSync v1.0 v2.0 (https)”和“下一步”。
6. 选择“完成”。
此时安全策略已创建并应用于 Exchange虚拟服务器。 然而,根据设计,该政策是以“透明”执行模式实施的。 该策略正在监控流量(入口和出口),但不会采取任何行动。 这使得管理员能够调整策略而不影响用户。
7. 一旦策略调整到可接受的水平,就应该将策略从“透明”切换为“阻止”。 选择径向选项“阻止”,然后选择“保存”。
8. 选择“应用策略”来提交更改。
BIG-IP ASM 策略现在以“阻止”模式运行。
为日益增长的移动劳动力提供应用访问权限正迅速成为许多组织的业务需求。 确保这些应用高度可用且安全绝对至关重要。 BIG-IP 访问策略管理器 (APM) 和应用安全管理器 (ASM)应用交付控制器旨在提供高可用性和安全的关键应用部署。 具体来说,通过结合 BIG-IP APM 的多因素身份验证机制与 BIG-IP ASM 强大的第 7 层防火墙功能,可以实现卓越的 Exchange 移动设备安全性。
