Hacer frente a las amenazas para Enterprise Voice de Office Communications Server 2007 R2
Última modificación del tema: 2012-02-01
Enterprise Voice es la solución VoIP basada en software de Office Communications Server. Enterprise Voice usa VoIP para llamadas internas y conexiones con las redes de teléfono tradicionales. Dado que las llamadas VoIP internas, al igual que la mensajería instantánea, están cifradas, las preocupaciones de seguridad específicas de VoIP se centran en la transferencia de llamadas que se dirigen y se reciben de la red telefónica conmutada (RTC) no cifrada.
Enterprise Voice requiere dos dispositivos para proporcionar conectividad VoIP con la RTC:
- Una puerta de enlace multimedia que traduce los protocolos de señalización del sistema telefónico local a SIP sobre TLS (recomendado) o TCP (opcional) para la transmisión a través de redes IP.
- El rol de servidor de mediación de Office Communications Server para traducir SIP sobre TCP a SIP sobre TLS para el enrutamiento interno, si es necesario.
Nota
Enterprise Voice admite tres tipos distintos de puerta de enlace multimedia: puerta de enlace multimedia básica, básica/híbrida y avanzada. La puerta de enlace multimedia avanzada elimina la necesidad de un servidor de mediación ya que incorpora su lógica en la puerta de enlace apropiada; sin embargo, este tipo de puerta de enlace aún no está disponible. En este contexto, se supone que la implementación requiere un servidor de mediación para la conectividad con la RTC. Para obtener información detallada sobre las puertas de enlace multimedia y el servidor de mediación, vea Compatibilidad con Enterprise Voice en la documentación de planeación y arquitectura.
Si decide configurar el enlace entre una puerta de enlace multimedia y el servidor de mediación para TCP, dicho enlace creará una posible laguna en materia de seguridad porque la señalización no está cifrada. No obstante, un gran número de las puertas de enlace actualmente disponibles no admiten MTLS, de modo que es posible que se requiera una conexión TCP con el servidor de mediación hasta que se pueda actualizar la puerta de enlace. Para mitigar esta posible vulnerabilidad, se recomienda implementar el servidor de mediación en su propia subred mediante la instalación de dos tarjetas de interfaz de red, cada una con una dirección IP independiente en una subred independiente con una configuración de puerto independiente. Una de las dos tarjetas sirve de perímetro interno del servidor de mediación ya que escucha el tráfico TLS procedente de los servidores internos. La otra tarjeta actúa como perímetro externo del servidor de mediación ya que escucha el tráfico TCP procedente de la puerta de enlace multimedia. El uso de dos direcciones de escucha dedicadas garantiza una separación clara entre el tráfico de confianza que se origina en la red de Office Communications Server y el tráfico que no es de confianza procedente de la RTC.
En esta sección
Esta sección incluye los siguientes temas:
- Procedimientos recomendados para proteger Enterprise Voice
- Limitar las llamadas de puertas de enlace para Office Communications Server 2007 R2
- Seguridad de medios para Office Communications Server 2007 R2
- Asignar privilegios de llamada para Office Communications Server 2007 R2
- Niveles de seguridad de la mensajería unificada de Exchange