Lync Server 2010: Sicherheit am Rand
DoS- und Brute-Force-Angriffe können besonders unangenehm sein, aber Sie können Ihr Netzwerk gegen diese Art von Unterbrechungen schützen.
Rui Maximo
In dieser außerordentlich vernetzten Welt möchten Unternehmen zulassen, dass die ultimative Flexibilität und Mobilität für ihre Mitarbeiter, viele von denen von einem Remotestandort ausgeführt werden können. Fast jede Organisation stellt folglich Dienste mit dem Internet zur Verfügung. Es ist jedoch immer die Gefahr von Angriffen. Einige Unternehmen sind besonders betroffenen mit Denial-of-Service (DoS) und Brute-Force-Kennwortangriffe. Hierbei handelt es sich um legitime Anliegen. Diese Art von Angriffen können werden Unterbrechungen für Benutzer und interne Serverressourcen beanspruchen.
Die primären Probleme mit DoS-Angriffen ist, dass sie fast von legitime Anforderungen nicht zu unterscheiden sind. Die einzige Differenzierung ist die Häufigkeit der Anmeldeversuche und ihres Ursprungs. Eine große Anzahl der Anmeldeversuche in rascher Folge möglich Indiz für einen DoS-Angriff.
Die meisten DoS-Angriffe versuchen, das Kennwort des Benutzers den unerlaubten Zugriff zu erraten. Häufig führen sie das Benutzerkonto gesperrt, wenn die Sicherheitsrichtlinie in Active Directory-Domänendienste aktiviert ist, und verfügt über eine maximale Anzahl der Anmeldeversuche.
Microsoft Lync Server 2010-Edge-Server schützt vor unbefugtem Zugriff mit der Industrie-Standard-Sicherheitsmaßnahmen. Es überwacht die Anmeldeanforderungen und erzwingt die Kontosperrung am Netzwerkperimeter. Gesamte Kommunikation sind verschlüsselt und authentifiziert.
Edge-Server bietet keinen Schutz vor DoS-Attacken. Lync-Server bietet jedoch eine flexible Programmierplattform, die Sie zum Erstellen von Serveranwendungen zum Abfangen von Session Initiation Protocol (SIP) Nachrichten auf dem Server, und führen Sie spezielle Logik, die mit dem Microsoft SIP Processing Language (MSPL) verwenden können. Dies ist die Funktionsweise des Sicherheitsfilters.
Er überprüft alle eingehende Anmeldeanforderungen auf dem Edge-Server. Der entfernte Benutzer ist auf dem Edgeserver nicht authentifiziert werden, damit die-in-Anforderung übergeben wird, an den Direktor oder direkt an den internen Pool dann den Authentifizierungsvorgang führt. Die Antwort wird dann an den Edge-Server übergeben. Der Sicherheitsfilter überprüft die Anforderung und die Antwort. Wenn die Anmeldung fehlschlägt, verfolgt der Sicherheitsfilter die Anzahl der fehlgeschlagenen Versuche für jedes Benutzerkonto.
Das nächste Mal ein Client versucht, dasselbe Benutzerkonto anmelden und die Anzahl der fehlgeschlagenen Versuche überschreitet die maximale Anzahl der zulässigen Anmeldeversuche, der Sicherheitsfilter lehnt die Anforderung sofort ohne übergeben der Anforderung an den Direktor oder internen Pool für die Authentifizierung. Durch das Erzwingen von Kontosperrungen auf dem Edgeserver, blockiert der Sicherheitsfilter DoS-Angriffe am Rand des Umkreisnetzwerks. Infolgedessen schützt der Sicherheitsfilter die internen Lync-Serverressourcen.
Verwenden den Sicherheitsfilter, um zu verhindern, dass Windows NT LAN Manager (NTLM) Version 2-Authentifizierung, können Benutzer nur von autorisierten Unternehmen ausgestellte Laptops anmelden Unternehmen erzwingen. Mit zusätzlichen Sicherheitsmaßnahmen (z. B. mit BitLocker und Gruppenrichtlinien, um zu verhindern, dass nicht autorisierten Software installieren) können die Laptops corporate ausgestellt selbst als "Smartcard" zwei-Faktor-Authentifizierung bereitstellen dienen.
Wenn auf den ersten Blick keinen Erfolg …
Um Brute-Force-Angriffe auf Benutzerkonten zu verhindern, erzwingen viele Organisationen eine Active Directory Group Policy auf das Konto nach einer bestimmten Anzahl fehlgeschlagener Versuche gesperrt. Der Nebeneffekt dieser Gegenmaßnahme ist, dass der Angreifer Konto eines Benutzers sperren kann, öffnen Sie einfach mehrere Versuche unternommen wurden. Diese Beträge für DoS-Angriffe.
Wenn das Konto von einer Active Directory-Gruppenrichtlinie geschützt ist, kann der Angreifer diese Art von Brute-Force-Angriff auf das Kennwort des Benutzers verwenden. Diese Angriffe internen Server wertvolle Ressourcen und verweigern Sie Benutzern Zugriff auf ihr Konto.
Eindeutig identifizieren den Benutzer kann verhindern, dass Angriffe auf Benutzerkonten. Es gibt mehrere Möglichkeiten, mit denen Sie dies tun. Sie könnten die Quell-IP-Adresse, der Benutzername (d. h. der SIP-URI), den Kontonamen oder sogar eine Kombination dieser Optionen verwenden. Nach der Untersuchung der einzelnen Optionen, scheint es, dass Rogue-Clients bereitstellen einen DoS-Angriff die Quell-IP-Adresse vortäuschen konnte diese Wahl als Möglichkeit zur Identifizierung des Benutzers zu eliminieren.
Der Anmeldename ist zwar erforderlich, um problemlos Lync-Server anmelden den Benutzer authentifizieren nicht. Ein Benutzername kann der Arbeitsprozess während Anmeldeanforderungen noch immer noch gesperrt dasselbe Benutzerkonto. Daher sind weder die Quell-IP-Adresse noch die Namen gute Quellen zur Identifizierung des Benutzers. Nur der Kontonamen identifiziert eindeutig das Benutzerkonto.
Sie können nur den Kontonamen, die aus den Benutzernamen besteht und Domänennamen, extrahieren, aus dem Authentifizierungsprotokoll. Remote-Benutzer anzumelden und zu authentifizieren versucht verwenden NTLM v2-Protokoll nicht Kerberos. Das NTLM-Protokoll verwendet eine 3-Stufen-Handshake-Authentifizierungsvorgang. Der Client übergibt die Anmeldeinformationen des Benutzers in der dritten Stufe der NTLM-Handshake.
Der Sicherheitsfilter ausgeführt als vertrauenswürdigen Serveranwendung auf dem Edge-Server, deshalb zulässige abgefangen wird diese Anforderung anmelden. Der Sicherheitsfilter decodiert den Benutzernamen und Domänennamen aus der NTLM-Authentifizierung-Nachricht. Da der Kontoname nicht in der Antwort verfügbar ist, wird der Sicherheitsfilter die Antwort auf die Anforderung mit die Nachrichten-ID zugeordnet.
Bei den internen Pool oder des Direktors Authentifizierung an den Edge-Server sendet, erfasst der Sicherheitsfilter die Register-Antwort. Wenn die Anmeldung fehlgeschlagen ist, zählt der Sicherheitsfilter der fehlgeschlagenen Versuche. Wenn die Anmeldung erfolgreich ist, wird die Anzahl der fehlgeschlagenen Versuche von der Sicherheitsfilter auf Null zurückgesetzt.
Am Rand Filtern
Jedes Mal, wenn der Edge-Server eine Anforderung-Anmeldung erhält, wird es dem Sicherheitsfilter übergeben. Es wird überprüft, ob die Anforderung-in die zulässige Höchstanzahl für dieses Kontos überschritten hat. Wenn die Anforderung nicht die zulässige maximale Kontosperrungszähler überschritten hat, ermöglicht der Sicherheitsfilter die Anforderung an den internen Pool oder des Direktors weiterhin.
Überschreitet die Anforderung der maximale Kontosperrungszähler zulässig, wird der Sicherheitsfilter blockiert die Anforderung und gibt eine 403 Antwort zurück. Dies lehnt die Anforderung summarily ab. Alle weiteren Anmeldeversuche werden für die Dauer des Sperrungs-Zeitraums zurückgewiesen. Nachdem der Sperrdauer abzuwarten, ist es zurücksetzen, um neue Anforderungen zu ermöglichen.
Ein Problem kann auftreten, wenn Benutzer von einem Computer, der nicht Mitglied der corporate Active Directory-Domäne anmelden. Lync-2010 können automatisch versucht, mit den Anmeldeinformationen des Benutzers lokalen Computer anmelden. Da diese Anmeldeinformationen Unternehmensdomäne Anmeldeinformationen nicht, schlägt die Authentifizierung fehl. Der Benutzer wird schließlich blockiert an Lync-Server anmelden. Um zu verhindern, dass den Sicherheitsfilter berechtigte Benutzer zu sperren, zählt er diesen Angriffen auf den der Benutzer nicht.
Lync Server 2010 bietet Unterstützung für zusätzliche Authentifizierungsprotokoll TLS DSK aufgerufen. Dies muss Benutzer ein Clientzertifikat für die Authentifizierung angeben. Der Lync-Client fordert Zertifikate vom Lync-Server. Dies ist ein automatischer Prozess, die beim ersten der Benutzer meldet sich auftreten bei mithilfe von Kerberos mit Lync-Server innerhalb des Unternehmensnetzwerks, in denen der Benutzer authentifiziert ist.
Diese Client-Zertifikat wird für die Authentifizierung mit jeder nachfolgenden Anmeldeversuche verwendet. Dies ist ein selbstsigniertes Zertifikat, das von Lync-Server, nicht von einer Zertifizierungsstelle ausgestellt. Wenn sich der Benutzer versucht, die von einem anderen Computer Lync anmelden, wird er mithilfe von Kerberos (Wenn Sie innerhalb des Firmennetzwerks) oder mithilfe von NTLMv2 (Wenn Sie außerhalb des Unternehmensnetzwerks) authentifiziert. Beim Abrufen von einem anderen Clientzertifikat wird komplett gestartet.
TLS-DSK bietet ein Maß an Sicherheit, die sehr nahe an zwei-Faktor-Authentifizierung ist. In Kombination mit Windows BitLocker, fungiert der Computer oder Laptop als äquivalent zu einer Smartcard (etwas, das Sie besitzen). Das Kennwort, das BitLocker zum Starten des Computers benötigt ist gleichbedeutend mit der Pin erforderlich, um die Verwendung der Smartcard (etwas) zu autorisieren, die Sie kennen.
Besteht die Möglichkeit, dass jemand das Client-Zertifikat vom Computer des Benutzers gestohlen werden könnte, aber Sie können dieses Risiko verringern. Sicherstellen Sie, dass Unternehmen ausgestellte Computer gesperrt sind, um zu verhindern, dass nicht autorisierte Anwendungen herunterladen.
Sie können erzwingen, dass der Edge-Server das Authentifizierungsprotokoll nach unten von TLS-DSK auf NTLMv2 auszuhandeln. In diesem Fall kann der Angreifer weiterhin das Konto des Benutzers, Ziel, wie bereits erwähnt. Um dieses Szenario zu verhindern, bietet der Sicherheitsfilter eine Option, um alle NTLM v2-Authentifizierungsanforderungen, erzwingen Authentifizierung nur für die TLS DSK ablehnen. Dies hat keine Auswirkungen auf Föderationspartner oder PIC-Verbindungen.
Überlegungen zur Konfiguration
Bevor Sie die Filter-Sicherheitsanwendung ausführen können, müssen Sie zuerst die Anwendung mit den Edge-Server registrieren. Sie müssen nur einmal diese Registrierung durchführen, indem Sie die folgenden Schritte. Führen Sie diese Lync Server 2010 Windows PowerShell-Cmdlets mit Lync Server administrative Berechtigungen:
1. Führen Sie das folgende Windows PowerShell-Cmdlet registriert die Anwendung Security_filter aus allen Lync Server. Geben Sie den vollqualifizierten Domänennamen (FQDN) des Edge-Servers im Parameter < FQDN des Edge-Servers >:
neue CsServerApplication-Identity "EdgeServer: < Edge-Server FQDN > / Security_filter" -Uri "http://www.maximo.ws/security_filter" -wichtige $False
2. Führen Sie das folgende Windows PowerShell-Cmdlet zum Initiieren der Replikations von zentralen Management-Speicherkonfiguration, so dass die Edge-Server:
Rufen Sie CsManagementStoreReplication
3. Führen Sie das folgende Windows PowerShell-Cmdlet auf dem Edge-Server Überprüfen Sie die ordnungsgemäße Registrierung von Security_filter:
Get-CsServerApplication - localstore
Um den Sicherheitsfilter ausführen zu können, müssen drei Parameter werden an die Befehlszeilenversion übergeben. Für die Windows-Dienst-Version fordert des Installationsprogramms für diese Parameter Sie. Der erste Parameter gibt eine durch Trennzeichen getrennte Liste von Ihrem internen NetBIOS-Domänennamen. Hierbei handelt es sich um den Domänennamen, mit denen Remotebenutzer auf die internen Lync-Server eine Verbindung herstellen, über den Edge-Server zu authentifizieren.
Angenommen, Ihr Unternehmen heißt die Woodgrove Bank und hat die folgenden drei internen Active Directory-Gesamtstrukturen: woodgrovebank.com, contoso.com und fabrikam.com. Mitarbeiter haben Konten aus jeder dieser Wälder, so dass Sie "Woodgrovebank, Contoso und Fabrikam" als Wert für diese erste Parameter dem Sicherheitsfilter angeben sollten.
Diese Domain-Namen stellen Sie sicher, dass Remotebenutzer Lync-Server anzumelden versucht verbunden sind, mithilfe der Anmeldeinformationen von einer dieser drei Domänen (z. B. Contoso\bob, Fabrikam\alice usw.).
Der zweite Parameter ist die Kontosperrzähler. Dies ist die Anzahl der fehlgeschlagenen Anmeldeversuche zugelassen werden, bevor die Kontosperrung ausgelöst wird.
Der dritte Parameter ist die Sperrung des Kontos. Nachdem ein Konto gesperrt wird, gibt dies an, wie lange das Konto gesperrt bleibt, bevor er einen weiteren Versuch akzeptiert. Alle Anmeldeversuche während dieser Sperrungs-Zeitraums werden sofort ohne Überprüfung abgelehnt.
Der Sicherheitsfilter und diese Authentifizierungsprotokolle mit Microsoft Lync Server 2010 Edge-Server verwenden, wird es schwieriger für Angreifer versuchen, Brute-Force-Benutzerkennwörter oder Staging-einen DoS-Angriff.
.jpg)
**Rui Maximo**verfügt über mehr als 18 Jahren in der Technologiebranche, da die Zusammenarbeit mit Microsoft, IBM, RSA und verschiedene Startup-Unternehmen. Seine Ausbildung ist in Informatik, Mathematik und Kryptografie. Seine Kenntnisse von Lync Server Datumsangaben zurück, 2003, wenn Sie RTC ursprünglich aufgerufen wurde. Er arbeitete an der RTC-Produktteam als Programmmanager und dann leitender Programmmanager. Maximo ist der Hauptautor von fünf Büchern über Microsoft Lync-Server und seine Vorgängerversionen.