Transport Layer Security (TLS) Guide de mise en œuvre Version: 1.0 15 mai, 2013
Table des matières Aperçu... 2 Reconnaissances... 2 Introduction de TLS... 2 Comment fonctionne TLS... 2 Comment mon organisation peut-elle utiliser TLS/SSL?... 3 Détecter TLS... 3 Mettre en œuvre TLS sur Windows Exchange 2007... 4 Vérifier le certificat x.509 avec Exchange 2007... 4 Créer un Send Connector... 5 Créer Receive Connector... 10 Mettre en œuvre TLS sur Windows Exchange 2003... 14 Configurer le Default SMTP Virtual Server... 14 Créez et configurez le Secure SMTP Virtual Server... 14 Configurez le Secure SMTP VS pour utiliser un certificat... 16 Installer les niveaux de cryptage TLS pour le Secure SMTP Virtual Server... 18 Créer et configurer le Secure SMTP Connector... 20 Conclusion... 23 Voir également (références suggérées)... 24 1
Aperçu Ce document a été conçu pour les compagnies d assurance et maisons de courtage au Canada, qui opèrent au sein de l industrie de l assurance de dommages. Il guide le personnel à l aide de détails techniques pour mettre en œuvre la communication sécurisée par courriels, en utilisant le protocole TLS. Reconnaissances CSIO reconnaît le Conseil d Agents de la technologie (qui fait partie des independent Insurance Agents & Brokers of America) ainsi que Jim Rogers, Directeur de Hartford, qui a développé la majeure partie du matériel de recherche. Introduction de TLS TLS (Transport Layer Security) est un système qui permet les échanges de communication en sécurité par Internet. Plus spécifiquement, il utilise le cryptage afin d assurer la confidentialité (vie privée) et l authentification (autorisation).tls est le prédécesseur de SSL, un ancien protocole. Il existe trois versions principales de SSL (v1, v2, et v3); la quatrième version a été renommée avant sa publication, pour devenir "TLS v1". SSL et TLS basée sur a)une clé publique de cryptage et décryptage, b) une simple information d identification, et c) des relations de confiance. Ensemble, ces éléments rendent SSL/TLS utile pour la protection d un vaste éventail de communication par Internet. Comment fonctionne TLS Le protocole TLS crée un tunnel de communication crypté entre les serveurs de messageries durant le temps de transmission, illustré dans le diagramme ci-dessous. Le Protocole de Prise en Main TLS identifie le serveur et client et permet l authentification entre les deux, dans le but de négocier un algorithme d encodage et de clés cryptographiques, avant que les données soient échangées. Dans un scénario typique, le serveur seul est authentifié et son identité est assurée pendant que le client demeure non authentifié. L authentification mutuelle des serveurs exige une clé publique de déploiement pour les clients. 2
Lorsqu un serveur et client communique, le protocole TLS assure qu aucune partie tierce ne puisse écouter, manipuler tout message ou commettre de la falsification de messages. Comment mon organisation peut-elle utiliser TLS/SSL? En général, TLS exige un certificat digital d une ordonnance de certification ou d une autorité de certification (AC), provenant d une autorité approuvée et qui peut attester l identité du propriétaire du certificat. Les organisations auront aussi besoin d un système ou d un administrateur de réseau connaissant bien les besoins d applications client-serveur, qui ont besoin d être sécurisés pour pouvoir activer le cryptage TLS. Les certificats sont en principe émis pour une période d un an, et des caractéristiques différentes peuvent être disponibles, selon les fournisseurs. La plupart de ses caractéristiques répondent aux organisations qui pourront installer ces certificats sur courriel /serveurs web. Il existe plusieurs autorités de certifications commerciales, dont celles-ci VeriSign (http://www.verisign.com), Comodo (http://www.comodo.com), GeoTrust (http://www.geotrust.com), and Go Daddy (http://www.godaddy.com). Visitez chacun de ces sites web pour comparer les prix ou exigences de certificat. Détecter TLS Il y a deux (2) façons de savoir si un serveur est compatible avec TLS : La première est d envoyer et recevoir un message depuis le serveur et ensuite examiner les en-têtes du message. Si vous voyez quelque chose lié à TLS (surligné en rouge ci-dessous), le serveur est probablement compatible avec TLS. Le deuxième est de tester le serveur en utilisant une connexion Telnet. Voici un exemple d une session Telnet au sein d un de nos centres de données, démontrant l option STARTTLS. Vous pouvez effectuer ce test sur tout serveur de messagerie. L exemple suivant provient directement de nos serveurs : CMD: telnet mail.global.frontbridge.com 25 220 mail77-red.bigfish.com ESMTP Postfix EGGS and Butter 3
CMD: ehlo test 250-mail77-red.bigfish.com 250-PIPELINING 250-SIZE 150000000 250-ETRN 250-STARTTLS 250 8BITMIME CMD: starttls 220 Ready to start TLS Le "220 Ready to Start TLS" indique que le serveur est prêt pour lancer la connexion TLS. Mettre en œuvre TLS sur Windows Exchange 2007 Vérifier le certificat x.509 avec Exchange 2007 Étape 1: Start>Run >MMC File> ensuite sélectionner Certs MMC (si vous l avez déjà créé) Visionnez tous les certificats personnels, version et dates d expiration. Note: Pour ajouter le Certificate Manager à Microsoft Management Console Cliquez sur Start, cliquez sur Run, taper mmc, et ensuite cliquez sur OK. Dans le menu Fichier, cliquez sur Add/Remove Snap-in. Dans la boîte Add/Remove Snap-in, cliquez sur Add. Dans la liste Available Standalone Snap-ins l, cliquez sur Certificates, et ensuite cliquez sur Add. Cliquez sur Computer Account, et ensuite cliquez sur Next. Cliquez sur l option Local computer (l ordinateur sur lequel cette console est activée), et Finish. Cliquez sur Close, et ensuite cliquez sur OK. 4
Étape 2: Vérifiez la version du certificat SSL, sous l onglet Details, afin d assurer que c est un certificat de la 'Version 3' (TLS) Créer un Send Connector Pour pouvoir envoyer des messages par courriel avec TLS à un programme d une partie tierce, vous devez configurer un Send connector. Send connectors sont configurés sur des ordinateurs qui sont activés avec Exchange 2007 et qui possèdent un Hub Transport ou auxquels a été attribué un rôle serveur Edge Transport. Le Send connector représente une porte d entrée logique par laquelle les messages sortants sont envoyés. 5
Étape 1: Cliquez Start>sélectionnez Exchange Management Console. Étape 2: INSTALLER SEND CONNECTOR Sélectionnez Organization Configuration>Hub transport. Sélectionnez la touche de tabulation Send Connectors. 'Cliquez à droite' et choisissez New Send Connector. 6
Étape 3: Entrez le nom décrivant votre nouvelle configuration Mutual TLS. Sélectionnez Custom, et ensuite Next. Étape 4: Sélectionnez Add, ensuite l adresse IP de la partie destinataire pour recevoir des courriels. Ensuite, cliquez OK, et ensuite Next. 7
Étape 5: Sélectionnez le bouton de radio 'None', et ensuite cliquez Next. Remarque: Si votre Smart Host exige une authentification, il vous faudra entrer le nom d utilisateur nécessaire, mot de passe et la touche radiale appropriée. Contactez votre Smart Host avant d installer une session mutuelle TLS, afin d obtenir toutes les informations exactes pour cette portion de la configuration Send Connector. Étape 6: Vérifiez que vous avez sélectionné correctement le serveur de messagerie (au sein de votre domaine). Appuyez sur la touche Next. 8
Étape 7: Vérifiez que vous avez entré correctement toutes les informations pour votre nouveau Send Connector, ensuite cliquer New. Étape 8: Vérifiez que la configuration a été acceptée et complétée avec succès et ensuite appuyez sur Finish. 9
Étape 9: Vérifiez que votre nouveau Send Connector est affiché sous l onglet Send Connectors, et qu il est installé. Créer Receive Connector Si vous voulez utiliser TLS pour envoyer des messages électroniques à un programme de messagerie d une partie tierce, vous devez configurer un Receive connector. Receive connectors sont configurés sur les ordinateurs qui sont activés avec Exchange 2007 et qui possèdent un rôle serveur Hub Transport ou Edge Transport installé. Les connecteurs du receveur représentent une porte logique par laquelle tous les messages entrants sont reçus. Étape 1: Étendre Server Configuration, et sélectionnez Hub Transport. Cliquez avec le bouton droit dans le serveur de messagerie désigné et sélectionnez New Receive Connector. 10
Étape 2: Fournissez un nom approprié décrivant le New Receive Connector. Sélectionnez Custom, et ensuite cliquez Next. Étape 3: Selon la configuration du réseau et des besoins de l entreprise, sélectionnez l adresse IP désirée, par laquelle votre Receive Connector recevra du courrier entrant depuis le serveur de messagerie de l expéditeur. Appuyez sur Next. Exemple: cliquez Add, et ensuite entrer la nouvelle adresse IP que vous avez créée pour votre adaptateur de réseau de messagerie. Étape 4: Éditez la valeur existante par défaut. Entrez l adresse IP (éventail) fournie par l expéditeur. Assurez-vous que l adresse IP est entrée dans les deux champs Start et End Address. Cliquez OK, et ensuite Next. 11
Remarque: Si une seule adresse IP est fournie (situation normale), assurez-vous qu elle est entrée dans les deux champs Start et End Address. Étape 5: Vérifiez que les informations entrées sont correctes, et ensuite cliquez New. Étape 6: Vérifiez que votre New Receive Connector est complété avec succès, sans erreur. Cliquez Finish. 12
Étape 7: Vérifiez que votre nouveau Receive Connector est affiché et activé. Étape 8: Autoriser le Receive Connector Mutual TLS Security Setting Server Configuration>Hub Transport Cliquez avec le bouton droit sur le 'TLS The Hartford' Receive Connector, et sélectionnez Properties. Sélectionnez l onglet Authentication, et choisir les deux boutons, Transport Layer Security (TLS) et Enable Domain Security (Mutual Auth TLS). Et ensuite, appuyez sur OK. Cela complète la configuration du Mutual TLS Receive Connector. 13
Mettre en œuvre TLS sur Windows Exchange 2003 Configurer le Default SMTP Virtual Server Premièrement, il faut configurer le Default SMTP Virtual Server pour pouvoir recevoir l adresse IP principale. 1. Cliquez Start, pointez sur Programs, pointez sur Microsoft Exchange, et ensuite cliquez System Manager. 2. Étendre Administrative Groups (le cas échéant), étendre Servers, Étendre Server Name, et ensuite étendre Protocols. 3. Cliquez avec le bouton droit sur l objet Default SMTP Virtual Server, et ensuite cliquez Properties. 4. Sur l onglet General, pour l adresse IP, sélectionnez l adresse IP primaire de la liste déroulante. Créez et configurez le Secure SMTP Virtual Server Ajoutez un nouveau SMTP Virtual Server (nom suggéré "Secure SMTP VS ) qui servira de Secure SMTP Connector Bridgehead, et configurez ce Secure SMTP VS pour recevoir une adresse IP secondaire, ajoutée dans la section de ce document "Configurez une adresse IP additionnelle". 1. Cliquez Start, pointez sur Programs, pointez sur Microsoft Exchange, et ensuite cliquez System Manager. 2. Étendre Administrative Groups (le cas échéant), étendre Administrative Group (le cas échéant), étendre Servers, étendre Server Name, et ensuite étendre Protocols. 3. Cliquez avec le bouton de droite sur SMTP, pointez sur New, et ensuite cliquez sur SMTP Virtual Server. 14
4. Dans la boîte Name, tapez le nom du serveur virtuel (suggestion Secure SMTP VS), et ensuite cliquez sur Next. 5. Sélectionnez l'adresse IP que vous voulez utiliser (nous vous suggérons d'utiliser l'adresse IP additionnelle qui a été ajoutée dans la section de ce document "Configurer un adresse IP additionnelle ", et ensuite cliquez sur Finish. 15
Configurez le Secure SMTP VS pour utiliser un certificat Pour configurer le Secure SMTP VS afin d utiliser un certificat, suivre les étapes suivantes : 1. Cliquez sur Start, pointez sur Programs, pointez sur Microsoft Exchange, et ensuite cliquez sur System Manager. 2. Étendre Administrative Groups (le cas échéant), étendre Administrative Group (le cas échéant), étendre Servers, étendre Server Name, et ensuite étendre Protocols. 3. Cliquez avec le bouton de droite sur le Secure SMTP VS, et ensuite cliquez sur Properties. 4. Cliquez sur l onglet Access, et ensuite cliquez sur Certificate pour installer la clé des certificats et pour gérer la clé des certificats pour le SMTP virtual server. Lire l article approprié pour plus d amples détails sur l utilisation des certificats avec Virtual Servers sur Exchange Server: http://support.microsoft.com/kb/319574/fr 16
17 Transport Layer Security (TLS) Guide de mise en œuvre
Installer les niveaux de cryptage TLS pour le Secure SMTP Virtual Server Pour configurer le Secure SMTP VS afin d obtenir le cryptage de messages entrants TLS, suivre les étapes suivantes: 1. Cliquez sur Start, pointez sur Programs, pointez sur Microsoft Exchange, et ensuite cliquez sur System Manager. 2. Étendre Administrative Groups (le cas échéant), étendre Administrative Group (le cas échéant), étendre Servers, étendre Server Name, et ensuite étendre Protocols. 3. Cliquez avec le bouton de droite sur le Secure SMTP VS, et ensuite cliquez sur Properties. 4. Cliquez sur l onglet Access, et ensuite cliquez sur Authentication. 5. Cliquez pour sélectionner la case à cochez Requires TLS encryption. 6. Cliquez sur OK, ensuite cliquez sur OK à nouveau. Remarque: Sous l onglet Access dans les propriétés du Secure SMTP VS, sur le bouton Communication, se trouve un niveau de sécurité additionnel qui peut être activé sous "Require Secure channel" et qui exigera les communications TLS entre tous les courriels SMTP envoyé à et reçu depuis le Secure SMTP VS. Ce principe s applique même à des SMTP Virtual Servers sur le même Exchange server, et exigera qu un certificat soit installé sur le Default SMTP VS, et sur tous autres SMTP Virtual Servers au sein de la même Exchange 200x Organization. 18
19 Transport Layer Security (TLS) Guide de mise en œuvre
Remarque: L onglet Delivery du bouton Secure SMTP VS, Outbound Security contient une case à cocher de cryptage TLS. Nous recommandons de ne pas activer ce réglage. Si activé, celui-ci forcera le cryptage TLS entre le Secure SMTP VS et d autres Exchange/SMTP Servers au sein de Exchange Organization, et pourrait causer un flux de courrier depuis Exchange Organization avec laquelle le courrier SMTP sécurisé est requis pour rester en attente. Créer et configurer le Secure SMTP Connector Créez un nouveau SMTP Connector et configurez-le ainsi: 1. Cliquez sur Start, pointez sur Programs, pointez sur Microsoft Exchange, et ensuite cliquez sur System Manager. 2. Étendre Administrative Groups (le cas échéant), étendre Administrative Group (le cas échéant), ensuite étendre Routing Groups, et ensuite étendre le routing group que vous désirez utiliser comme initiateur de la connexion. 3. Cliquez avec le bouton de droite sur Connectors, pointez sur New, et ensuite cliquez sur SMTP Connectors. 20
4. Dans la fenêtre de dialogue Properties, cliquez sur l'onglet General. Dans la boîte Name, tapez un nom descriptif pour le connecteur (nom suggéré: Secure SMTP Connector). 5. Aussi sur l'onglet General, cliquez sur Forward all mail through this connector to the following Smart Hosts, et ensuite tapez l'adresse IP du Bridgehead Server distant, à travers lequel vous désirez faire passer le flux de courriers sécurisés à l'autre Routing Group. Inclure l'adresse entre crochets, par ex. [192.168.1.51];[10.10.10.1] or server518.appriver.com 6. Aussi sur l'onglet General, cliquez sur Add. Sous la fenêtre de dialogue Local bridgeheads settings, sélectionner le Secure SMTP VS qui a été créé dans la section de ce document "Créer et Configurer le Secure SMTP Virtual Server" et ensuite cliquez sur OK. 7. Cliquez sur l onglet Address Space et ensuite cliquez sur Add. 8. Sélectionner SMTP, et ensuite cliquez sur OK. 9. Tapez le SMTP Address Space de l Exchange 200x Organization distante avec laquelle vous avez besoin d un flux de courriers SMTP sécurisé, et ensuite cliquez sur OK. 21
Remarque: Vous aurez besoin aussi de définir address space pour le domaine sécurisé en entrant correctement le nom du domaine avec lequel vous espérez communiquer. Le nom du domaine doit corresponde à l adresse IP de son serveur SMTP. 10. Ensuite, cliquez sur l'onglet Advanced, cliquez sur le bouton Outbound Security, et vérifiez la case à cocher de TLS Encryption. 11. Cliquez sur OK, et ensuite cliquez sur à nouveau OK. 22
Remarque: Pour vérifier que le trafic SMTP est crypté, démarrer une capture Network Monitor sur l un des Secure SMTP Bridgehead Servers, et ensuite un message de courrier SMTP d un client depuis le côté de l environnement sécurisé du flux de courriers. Une fois le courrier livré, arrêtez la capture et examinez les paquets reçus. Tous les paquets SMTP entre les Secure SMTP Bridgehead Servers avec une destination de port 25 (0019h) sont cryptés. Ceci termine la configuration de TLS sur Windows Exchange 2003. Conclusion Aucune mesure de sécurité ne protégera entièrement votre organisation des violations de données non autorisées, toutefois la mise en œuvre de protocole de sécurité telle que TLS/SSL peut réduire la possibilité de telles menaces. L industrie canadienne de l assurance est tenue par la loi de sécuriser les informations d identification personnelles (IIP) de leurs clients. Les intervenants, personnels et constituants qui sont concernés par la sécurité de leur information, pourront apprécier ses mesures de protection. Lorsqu il s agit de sécurité des données, demeurer attentif est toujours un choix prudent. 23
Voir également (références suggérées) 1. Le webinaire du CSIO - "Mettre en œuvre un programme de sécurité d information efficace : Protéger les données du réseau et envoyer des courriels avec TLS sur la chaîne Vimeo du CSIO 2. Document du CSIO: Protéger les données des clients avec Transport Layer Security (TLS), disponible sur le site CSIO.com 3. Comment configurer Lotus Domino pour des sessions SMTP sécurisées en utilisant l extension STARTTLS 4. Configurer TLS sur les comptes de messagerie Google Business: le lien ci-dessous fournit les détails de la configuration de TLS entrant et sortant sur les comptes de Gmail business a. Transport Layer Security for Inbound Mail b. Transport Layer Security for Outbound Mail 24