Office Communications Server 2007 R2의 Enterprise Voice에 대한 위협 요소 해결
마지막으로 수정된 항목: 2012-02-01
Enterprise Voice는 Office Communications Server 소프트웨어 기반의 VoIP 솔루션입니다. Enterprise Voice는 내부 통화에는 물론 기존 전화 네트워크를 연결하는 데에도 모두 VoIP를 사용합니다. 내부 VoIP 통화는 IM처럼 모두 암호화되므로, VoIP 관련 보안 문제는 주로 암호화되지 않은 공중 전화망(PSTN)과의 통화 전송에 대한 것입니다.
Enterprise Voice에서 PSTN과의 VoIP 연결을 제공하려면 다음과 같은 두 개의 장치가 필요합니다.
- 로컬 전화 시스템 신호 프로토콜을 IP 네트워크를 통해 전송하기 위해 SIP over TLS(권장) 또는 TCP(선택 사항)로 변환하는 미디어 게이트웨이
- 필요한 경우 내부 라우팅을 위해 SIP over TCP를 SIP over TLS로 변환할 수 있는 Office Communications Server 역할인 중재 서버
[!참고] Enterprise Voice는 세 가지 유형의 미디어 게이트웨이(기본, 기본/하이브리드 및 고급)를 지원합니다. 고급 미디어 게이트웨이를 사용하는 경우에는 해당 논리가 게이트웨이에 적절하게 통합되므로 중재 서버가 필요하지 않지만, 이러한 게이트웨이는 아직 제공되지 않습니다. 여기에서는 배포에 PSTN 연결을 위한 중재 서버가 필요하다고 가정합니다. 미디어 게이트웨이 및 중재 서버에 대한 자세한 내용은 계획 및 아키텍처 설명서에서 Enterprise Voice 지원을 참조하십시오.
TCP용 중재 서버와 미디어 게이트웨이 간에 링크를 구성하려는 경우에는 신호가 암호화되지 않으므로 해당 링크가 보안상 취약해질 수 있습니다. 그러나 현재 사용 가능한 대부분의 게이트웨이는 MTLS를 지원하지 않으므로, 게이트웨이를 업그레이드할 수 있을 때까지는 중재 서버에 대한 TCP 연결이 필요할 수 있습니다. TCP 연결을 사용하는 경우의 보안 취약점을 완화하려면 각각 별도의 포트 설정이 적용되는 별도의 서브넷에 별도의 IP 주소를 포함하는 두 개의 네트워크 인터페이스 카드를 설치하여 중재 서버를 자체 서브넷에 배포하는 것이 좋습니다. 두 카드 중 하나는 중재 서버의 내부 에지 역할을 하며 내부 서버로부터의 TLS 트래픽을 수신합니다. 그리고 다른 하나는 중재 서버의 외부 에지 역할을 하며 미디어 게이트웨이로부터의 TCP 트래픽을 수신합니다. 두 개의 전용 수신 주소를 사용하면 Office Communications Server 네트워크에서 시작된 트러스트된 트래픽과 PSTN의 트러스트되지 않은 트래픽이 항상 명확하게 구분됩니다.