Cifrado para Lync Server 2013
Última modificación del tema: 2017-09-14
Microsoft Lync Server 2013 usa TLS y MTLS para cifrar mensajes instantáneos. Todo el tráfico de servidor a servidor necesita MTLS, independientemente de si el tráfico está limitado a la red interna o atraviesa el perímetro de esta. TLS es opcional, pero se recomienda encarecidamente entre el servidor de mediación y la puerta de enlace multimedia. Si en este vínculo está configurado TLS, se requiere MTLS. Por lo tanto, la puerta de enlace debe configurarse con un certificado de una CA de confianza del servidor de mediación.
Nota
En 2014 se publicó un aviso de seguridad sobre SSL 3.0. Deshabilitar SSL 3.0 en Lync Server 2013 es una opción compatible. Para obtener más información sobre el aviso de seguridad, consulte https://blogs.technet.microsoft.com/uclobby/2014/10/22/disabling-ssl-3-0-in-lync-server-2013/.
.gif "seguridad") Nota de seguridad: |
|---|
| Para garantizar el uso del protocolo criptográfico más seguro, Lync Server 2013 ofrecerá protocolos de cifrado TLS en el siguiente orden a los clientes: TLS 1.2 , TLS 1.1 y TLS 1.0. TLS es un aspecto crítico de Lync Server 2013 y, por tanto, es necesario para mantener un entorno compatible. |
Los requisitos para el tráfico de cliente a cliente dependen de si ese tráfico cruza el firewall corporativo interno. El tráfico estrictamente interno puede usar TLS, en cuyo caso el mensaje instantáneo está cifrado, o TCP, en cuyo caso no lo es.
En la tabla siguiente se resumen los requisitos de protocolo para cada tipo de tráfico.
Protección de tráfico
| Tipo de tráfico | Protegido por |
|---|---|
Servidor a servidor |
MTLS |
Cliente a servidor |
TLS |
Mensajería instantánea y presencia |
TLS (si está configurado para TLS) |
Audio, vídeo y uso compartido de escritorio |
SRTP |
Uso compartido de escritorio (señalización) |
TLS |
Conferencia web |
TLS |
Descarga del contenido de las reuniones, descarga de la libreta de direcciones y expansión de grupos de distribución |
HTTPS |
Cifrado de medios
El tráfico de medios se cifra mediante RTP seguro (SRTP), que es un perfil de protocolo de transporte en tiempo real (RTP) que proporciona al tráfico RTP confidencialidad, autenticación y protección contra los ataques de reproducción. Además, los medios que fluyen en ambas direcciones entre el servidor de mediación y el servidor interno del próximo salto también se cifran mediante SRTP. Los medios que fluyen en ambas direcciones entre el servidor de mediación y una puerta de enlace multimedia no se cifran de forma predeterminada. El servidor de mediación puede admitir el cifrado hacia la puerta de enlace multimedia, pero la puerta de enlace debe admitir MTLS y el almacenamiento de un certificado.
Nota
Audio/Vídeo (A/V) es compatible con la nueva versión de Windows Live Messenger. Si va a implementar la federación A/V con Windows Live Messenger, también debe modificar el nivel de cifrado de Lync Server. De manera predeterminada, el nivel de cifrado es obligatorio. Debe cambiar esta configuración a Compatible mediante el Shell de administración de Lync Server. Para obtener más información, consulte Implementar el acceso de usuarios externos en Lync Server 2013 en la documentación Implementación.
El tráfico multimedia de audio y vídeo no está cifrado entre los clientes de Microsoft Lync 2013 y Windows Live.
FIPS
Lync Server 2013 y Microsoft Exchange Server 2013 funcionan con compatibilidad con algoritmos FIPS 140-2 del Federal Information Processing Standard (FIPS) si los sistemas operativos Windows Server están configurados para usar los algoritmos FIPS 140-2 para criptografía del sistema. Para implementar la compatibilidad con FIPS, debe configurar cada servidor que ejecute Lync Server 2013 para que sea compatible. Para obtener más información sobre el uso de algoritmos compatibles con FIPS y cómo implementar la compatibilidad con FIPS, consulte el artículo de Microsoft Knowledge Base 811833, Los efectos de habilitar la configuración de seguridad "Criptografía del sistema: Usar algoritmos compatibles con FIPS para cifrado, hash y firma" en Windows XP y en versiones posteriores de Windows en https://go.microsoft.com/fwlink/p/?linkid=3052& kbid=811833. Para obtener más información sobre el soporte y las limitaciones de FIPS 140-2 en Exchange 2010, consulte Exchange 2010 SP1 y Soporte para algoritmos compatibles con FIPS en https://go.microsoft.com/fwlink/p/?LinkId=205335.