Protection contre les menaces envers Voix Entreprise pour Lync Server 2010
Dernière rubrique modifiée : 2012-10-18
Voix Entreprise est la solution VoIP logicielle disponible dans Microsoft Lync Server 2010. L’application utilise la voix sur IP (VoIP) à la fois pour les appels internes et pour la connexion aux réseaux téléphoniques standard. Dans la mesure où tous les appels VoIP internes, tout comme la messagerie instantanée, sont chiffrés, les préoccupations liées à la sécurité de VoIP portent principalement sur le transfert d’appels de/vers le réseau téléphonique commuté (RTC) non chiffré.
Voix Entreprise requiert deux périphériques pour fournir la connectivité VoIP au réseau téléphonique commuté :
un périphérique doté d’une connectivité au réseau téléphonique commuté tel qu’un système PBX IP, une passerelle multimédia, un contrôleur de session en périphérie auprès d’un fournisseur de services ;
un rôle serveur Lync Server 2010, à savoir le serveur de médiation, capable de traduire SIP sur TCP en SIP sur TLS pour le routage interne, si nécessaire.
Si vous choisissez de configurer la liaison entre une passerelle multimédia et le serveur de médiation pour TCP, cette liaison créé une faille potentielle dans la sécurité car la signalisation n’est pas chiffrée. Néanmoins, certains périphériques actuellement disponibles dotés d’une connectivité au RTC ne prennent pas en charge MTLS et une connexion TCP au serveur de médiation peut donc s’avérer nécessaire jusqu’à la mise à niveau de votre périphérique. La procédure recommandée pour limiter ce problème de sécurité potentiel consiste à déployer le serveur de médiation dans son propre sous-réseau. Pour ce faire, vous devez installer deux cartes d’interface réseau ayant chacune une adresse IP distincte dans un sous-réseau séparé, avec des paramètres de port séparés. Une carte sert de périmètre interne pour le serveur de médiation, écoutant le trafic TLS en provenance des serveurs internes. La seconde carte lui sert de périmètre externe, écoutant le trafic TCP en provenance de la passerelle multimédia. L’utilisation de deux adresses d’écoute dédiées garantit une séparation stricte entre le trafic approuvé provenant du réseau Lync Server 2010 et le trafic non approuvé provenant du réseau RTC. Pour plus d’informations sur la nécessité de deux sous-réseaux dédiés et non routés, voir « Communications Server Mediation Server: Dual NIC Issue (Serveur de médiation Communications Server : problème de carte réseau double) à l’adresse https://go.microsoft.com/fwlink/?linkid=214403&clcid=0x40C