TLS et MTLS pour Lync Server 2010

Dernière rubrique modifiée : 2011-05-02

Les protocoles TLS et MTLS fournissent des communications chiffrées et une authentification des points de terminaison sur Internet. Microsoft Lync Server 2010 utilise ces deux protocoles pour créer le réseau de serveurs approuvés et s’assurer que toutes les communications sur ce réseau sont chiffrées. Toutes les communications SIP entre les serveurs utilisent MTLS, tandis que les communications SIP entre le client et le serveur s’effectuent par le biais de TLS.

TLS permet aux utilisateurs, par le biais de leur logiciel client, d’authentifier les serveurs Lync Server 2010 auxquels ils se connectent. Sur une connexion TLS, le client demande un certificat valide au serveur. Pour qu’il soit valide, le certificat doit avoir été émis par une autorité de certification qui est également approuvée par le client, et le nom DNS du serveur doit correspondre au nom DNS figurant dans le certificat. Si le certificat est valide, le client utilise la clé publique dans le certificat pour chiffrer les clés de chiffrement symétriques à utiliser lors de la communication, de sorte que seul le propriétaire d’origine du certificat peut utiliser sa clé privée pour déchiffrer le contenu de la communication. La connexion résultante est approuvée et les autres serveurs ou clients approuvés ne requièrent plus d’authentification par la suite. Dans ce contexte, le protocole SSL (Secure Sockets Layer), tel qu’utilisé par les services Web, peut être associé car il est similaire à TLS.

Les connexions de serveur à serveur utilisent Mutual TLS (MTLS) pour l’authentification mutuelle. Sur une connexion MTLS, le serveur qui envoie un message et le serveur qui reçoit ce message échangent des certificats d’une autorité de certification mutuellement approuvée. Les certificats prouvent l’identité de chaque serveur à l’autre partie. Dans les déploiements Lync Server 2010, les certificats émis par l’autorité de certification d’entreprise n’ayant pas expiré et n’ayant pas été révoqué par l’autorité de certification émettrice sont automatiquement considérés comme valides par tous les serveurs et les clients internes car tous les membres d’un domaine Active Directory approuvent l’autorité de certification d’entreprise dans ce domaine. Dans les scénarios fédérés, l’autorité de certification émettrice doit être approuvée par les deux partenaires fédérés. Chaque partenaire peut utiliser une autorité de certification différente, s’il le souhaite, mais celle-ci doit néanmoins être approuvée par l’autre partenaire. Pour ce faire, les serveurs Edge peuvent inclure le certificat d’autorité de certification racine du partenaire dans leurs autorités de certification racine approuvées, ou il suffit d’utiliser une autorité de certification tierce, approuvée par les deux parties.

Les protocoles TLS et MTLS préviennent les attaques par écoute et les attaques de l’intercepteur (« man-in-the-middle »). Lors d’une attaque de l’intercepteur, l’intrus redirige les communications entre deux entités du réseau via son propre ordinateur, à l’insu des deux participants. TLS et la spécification Lync Server 2010 des serveurs approuvés (seuls ceux spécifiés dans le Générateur de topologies) atténuent partiellement les risques d’attaque de l’intercepteur sur la couche Application en ayant recours à un chiffrement de bout en bout coordonné à l’aide du chiffrement de clé publique entre les deux points de terminaison. Pour pouvoir déchiffrer la communication, il faudrait qu’un agresseur ait un certificat valide et approuvé avec la clé privée correspondante, émis au nom du service avec lequel le client communique. Il convient néanmoins de respecter les meilleures pratiques en matière d’infrastructure réseau (système DNS d’entreprise). Lync Server 2010 suppose que le serveur DNS est approuvé de la même manière que les contrôleurs de domaine et les catalogues globaux, mais le système DNS procure un certain niveau de protection contre les attaques par détournement DNS en empêchant que le serveur d’un agresseur ne puisse répondre à une demande envoyée au nom ayant subi un détournement d’identité.

La figure suivante illustre en détail comment Lync Server 2010 utilise MTLS pour créer un réseau de serveurs approuvés.

Connexions approuvées dans un réseau Lync Server