Microsoft Lync Server 2010 : Lync Edge Server Security
Bien que Lync Server utilise plusieurs mesures de sécurité standard, vous pouvez le configurer en ajoutant des niveaux de protection supplémentaires.
Rui Maximo
Des risques de sécurité pour systèmes d'entreprise sont monnaie courante et constante de nos jours. Problèmes de sécurité sont particulièrement aigus lorsque vous devez configurer les serveurs d'exposer des services ministériels — telles que celles fournies par Microsoft Lync Server 2010 — à l'Internet pour les utilisateurs distants et partenaires fédérés.
Tout en exposant les services d'Internet permet aux employés de la flexibilité et la mobilité du travail à distance, il y a toujours le souci des attaques. Microsoft Lync Server 2010 utilise une série de mesures de sécurité standard de l'industrie. Toutes les communications de serveur Lync sont authentifiées pour empêcher l'identité de l'utilisateur ou le serveur d'usurpation. Le trafic réseau est crypté pour empêcher la divulgation non autorisée de l'information ou la falsification de transmission. Le filtre IM Intelligent (IIM) aide à protéger contre l'ingénierie sociale, et le filtre de sécurité défend contre les attaques par déni de Service (DoS). Ensemble, ils offrent une barrière de sécurité efficace.
Mesures de sécurité Lync
Chaque canal de communication qu'utilise Microsoft Lync Server 2010 est cryptée. Toutes les communications de serveur à serveur sont chiffrées et authentifiés à l'aide mutuelle Transport Layer Security (MTLS). Chaque serveur est délivré un certificat de serveur par une autorité certificat de confiance (CA), qui est ensuite utilisé pour l'authentification et d'échanger une clé symétrique utilisée pour chiffrer la session réseau.
Les utilisateurs sont authentifiés à l'aide de Kerberos, si l'utilisateur est interne ; TLS-DSK ou Windows NT LAN Manager (NTLM) si l'utilisateur est externe. TLS-DSK est l'authentification par certificat. Lors de la signature avec succès temps Lync Server, le premier, le client Lync demande un certificat client. Serveur Lync délivre un certificat auto-signé, dont le client Lync utilise pour tous les signes-ins subséquente. Ce certificat est renouvelé tous les six mois. Lync utilise des autres tactiques de sécurité, ainsi :
- Lync utilise le protocole SIP (Session Initiation) comme le protocole de signalisation qui est crypté à l'aide de Transport Layer Security (TLS).
- Parce qu'elle exploite le canal sécurisé de SIP, trafic IM bénéficie de la même chiffrement fournie par TLS.
- Partage d'application utilise le Remote Desktop Protocol (RDP). Ce trafic TCP utilise TLS comme le transport sous-jacent. L'authentification est établie sur le canal sécurisé de SIP.
- Le trafic Web conferencing utilise le modèle d'objet partagé persistant (PSOM). PSOM utilise également TLS comme le transport sous-jacent, et l'authentification est également établie sur le canal sécurisé de SIP.
Audio et vidéo (A / V) trafic voyageant vers et à partir de Lync serveur est protégé avec Secure Real Time Protocol (SRTP) pour empêcher toute injection écoutes ou paquets. SRTP utilise le chiffrement de flux de Advanced Encryption Standard (AES) 128 bits. Serveur Lync établit un chemin de médias qui peut traverser le pare-feu et réseau des traductions d'adresse (NAT) avant de permettre A / V feux se pour écouler entre deux points de terminaison.
Pour traverser le pare-feu, Lync Server utilise la norme de l'Internet Engineering Task Force (IETF) de l'établissement de la connectivité Interactive (ICE) afin de déterminer le chemin d'accès de médias plus directe entre deux points de terminaison. ICE est basé sur deux protocoles, Session Traversal utilitaires pour NAT (INCAPACITANTS) et de la traversée à l'aide de relais NAT (tour).
PARALYSANTS reflète les adresses IP de NAT de point de terminaison de l'utilisateur externe visible au client de Lync l'utilisateur interne. Cela aide client de Lync l'utilisateur externe déterminer quels adresses IP autres clients peuvent voir à travers des pare-feu. Tour alloue médias ports sur l'extérieur A / edge v du serveur Edge pour permettre de point de terminaison de Lync l'utilisateur interne pour se connecter au point de terminaison Lync l'utilisateur externe.
Le point de terminaison interne Impossible de se connecter directement au point de terminaison externe en raison de l'entreprise pare-feux. Par conséquent, en allouant dynamiquement un média de port sur l'A / edge v du serveur Edge, le point de terminaison interne peut envoyer des médias au point de terminaison externe sur ce port. Vous aurez à préconfigurer le pare-feu de périmètre réseau externe pour permettre à l'A / edge v du serveur Edge pour initier les connexions sortantes de Internet.
Le serveur Edge est un serveur d'accès au média relais (ARM). En plus d'établir le chemin multimédia, cette négociation ICE échanges une clé de 128-bit AES sur le canal SIP TLS sécurisé. Cette clé permet de crypter le flux de médias et il est basée sur le mot générées par ordinateur qui fait pivoter toutes les huit heures. Un numéro de séquence de génération aléatoire dissuader les attaques de relecture.
Les appels vocaux Enterprise également utilisent SRTP. Par conséquent, ils partagent les bénéfices de l'A / V feux de cryptage. Le trafic Web pour des services tels que données expansion, carnet d'adresses et les conférences liste de distribution est aussi crypté https.
Application réseau isolement
Il existe plusieurs pratiques efficaces pour protéger le serveur Edge contre des attaques basées sur l'Internet : réseau d'isolement, de configuration de pare-feu, de protection de l'utilisateur et de filtrage pour les attaques DoS. Le rôle de serveur Edge est spécifiquement conçu pour être déployée dans le périmètre du réseau. Il permet l'accès des utilisateurs distants et la Fédération avec d'autres organisations.
Il est important de bien protéger le serveur Edge attaques basées sur l'Internet. Une bonne pratique consiste à isoler le serveur Edge au moins un pare-feu, préférablement deux, si possible. D'un seul pare-feu protège le serveur Edge de trafic Internet et l'autre pare-feu isole le serveur Edge de trafic interne.
Le serveur Edge doit avoir au moins deux cartes — une carte réseau connectée au réseau Internet, et l'autre NIC connecté au réseau interne. Vous devrez configurer ces NICs en sous-réseaux distincts et ne partagent pas le même espace d'adressage IP (voir Figure 1). Ces deux sous-réseaux ne doit pas être routables à travers l'autre.
Cela signifie qu'un client interne de Lync ne peut pas accéder le bord externe (par exemple, le NIC faisant face à l'Internet) du serveur Edge. Le client Lync externe ne peut pas accéder le bord interne (par exemple, le NIC face interne) du serveur Edge.
.jpg)
La figure 1 sous-réseaux distincts ne peuvent pas partager la même adresse IP spatiale.
Soigneusement les règles de pare-feu Design
Configuration de vos règles de pare-feu n'est pas une tâche facile. Pour empêcher l'ouverture des ports supplémentaires que nécessaire, vous aurez besoin d'un solide compréhension de quels ports et protocoles Lync Server doit utiliser. Cela est particulièrement vrai si vous avez besoin d'expliquer les exigences de votre équipe de sécurité au cours d'une vérification. Ils voudrez savoir exactement quel but sert de chaque port ouvert. Ils font juste leur emploi pour s'assurer qu'aucun trous inutiles ne sont poinçonnées via le pare-feu qui peut devenir des vecteurs d'attaque.
Un audit de sécurité voudront probablement savoir les informations suivantes :
- Quels protocoles que chaque utilisation de rôle de serveur de Lync, en particulier le serveur Edge ?
- Quels ports exigent chacune de ces protocoles ?
- Dont la direction est la connexion réseau a permis ?
L'affiche de protocole est une utile aide visuelle et une source d'information précieuse (voir Figure 2 pour afficher une portion de l'affiche, et cliquez ici pour voir l'affiche dans son intégralité). Les lignes de code de couleurs indiquent les protocoles. Les ports que chaque protocole utilise sont indiquées dans chaque ligne. Les flèches de spécifier la direction dans laquelle la session réseau est lancée.
.jpg)
La figure 2 Lync utilise plusieurs protocoles pour sécuriser et permettre les communications entre les serveurs et les points de terminaison.
Protection des utilisateurs
Les utilisateurs seront souvent par inadvertance cliquez sur un lien, puis se rendent compte trop tard ils ont navigué vers un site Web de rogue et téléchargé une charge utile de virus ou spam. Reprendre le contrôle de vos ordinateurs après l'un de ces infections est une expérience désagréable, à tout le moins.
Pour contrer ces situations, le filtre de l'IIM empêche les utilisateurs d'envoyer des URL cliquable. Il le fait en ajoutant un trait de soulignement (_) à l'URL. Cela nécessite le destinataire à copier et coller l'URL et supprimer le trait de soulignement avant qu'ils peuvent naviguer sur ce site. Tout l'effort supplémentaire assure l'utilisateur sait ce qu'ils font et la navigation ne sera pas un accident.
Informations peuvent facilement couler dans et hors de l'organisation. Les utilisateurs peuvent transférer des documents par courrier électronique, lecteurs de GI, USB et partage de fichiers basé sur le nuage. Vous aurez envie de faire appliquer une politique cohérente dans l'ensemble de ces canaux. Le filtre de l'IIM est la méthode Lync d'empêcher le transfert de fichiers. Si vous voulez permettre le transfert de fichiers, assurez-vous de qu'ordinateur de chaque employé maintient un analyseur antivirus mis à jour qui analyse les fichiers téléchargés avec Lync.
Les attaques de contreventement pour DoS
Attaques doS sont presque indiscernables de demandes de connexion légitimes. La seule différence réside dans la fréquence des tentatives d'ouverture de session et de leur origine. Un grand nombre de tentatives de connexion en succession rapide est indicatif d'une attaque de DoS. Attaques doS tentent de deviner le mot de passe de l'utilisateur pour accéder sans autorisation et souvent pour conséquence de verrouillage sur le compte d'utilisateur si la politique de sécurité est activée dans les Services de domaine Active Directory.
Le serveur Edge ne protéger contre de telles attaques DoS. Cependant, le Lync Server vous permet de créer des filtres qui intercepter des messages SIP pour exécuter la logique spécialisé. Le filtre de l'IIM, filtre de transfert de fichiers et filtre de sécurité tirer parti de ce modèle de plate-forme pour fournir des fonctionnalités supplémentaires.
Le filtre de sécurité est une application serveur qui inspecte entrants tous les inscrire en les demandes sur le serveur Edge. L'utilisateur distant n'est pas authentifié sur le serveur Edge, afin que la demande d'ouverture de session est transmise au directeur ou directement à la piscine interne. C'est où le processus d'authentification se produit.
La réponse est ensuite transmise au serveur Edge. Le filtre de sécurité inspecte la demande et la réponse. Si le signe-in échoue, le filtre de sécurité assure le suivi du nombre de tentatives infructueuses pour chaque compte d'utilisateur.
La prochaine fois qu'un client tente de se connecter à même le compte d'utilisateur et le nombre de tentatives infructueuses dépasse le nombre maximal de tentatives d'ouverture de session a permis, le filtre de sécurité rejette immédiatement la demande sans transmettre la demande ainsi que pour l'authentification. Par l'application de verrouillage de compte sur le serveur Edge, les DoS de blocs de filtre de sécurité s'attaque à la lisière du périmètre réseau et protège les ressources internes de serveur Lync.
Protéger vos actifs
Sécurisation de vos données d'entreprise est l'une de vos principales responsabilités. Il est important de savoir comment correctement configurer Lync Server 2010 solidement et comprendre les autres mesures nécessaires. Cette liste peut servir de rappel rapide des mesures pour protéger votre déploiement de serveur Lync :
- Réseau isolement : Protégez votre serveur Edge il intercalant entre deux pare-feu. Configurer des sous-réseaux distincts pour éviter les loopbacks.
- Connaissez vos Ports, de protocoles et de Direction (entrant/sortant): cela vous servira bien en expliquant à votre équipe de sécurité qui trous, vous avez besoin pour percer à travers le pare-feu.
- Tirer parti de l'IIM filtre : bloquer les messages qui contiennent des adresses URL cliquable ou qui tentent de lancer des transferts de fichiers.
- Exploiter le filtre de sécurité : défendre contre les attaques de la force brute de mot de passe et les attaques DoS.
- Régulièrement correctif Windows Server.
En suivant ces étapes de sécurité devrait vous aider à configurer votre serveur Edge et Microsoft Lync Server 2010 pour défendre contre les attaques Internet de mieux vous pouvez.
.jpg)
**Rui Maximo**a plus de 18 ans dans l'industrie de la technologie, après avoir travaillé avec Microsoft, IBM, RSA et plusieurs démarrages. Son éducation est en cryptographie, mathématiques et informatique. Sa connaissance des Lync serveur remonte à 2003, quand elle s'appelait RTC. Il a travaillé sur l'équipe de produit RTC comme un gestionnaire de programme et alors conduire gestionnaire du programme. Maximo est le principal auteur de cinq ouvrages sur Microsoft Lync Server et ses versions antérieures.