Microsoft Lync Server 2010: Borde Lync Server Security
Si bien Lync Server emplea muchas medidas de seguridad estándar, se puede configurar para que entregue niveles de protección adicionales.
Rui Maximo
Los riesgos de seguridad para sistemas empresariales son comunes y constante en estos días. Problemas de seguridad son particularmente graves para configurar los servidores para exponer servicios corporativos, como los que proporciona Microsoft Lync Server 2010: a Internet para usuarios remotos y socios federados.
Mientras que la exposición de servicios de Internet permite a los empleados la flexibilidad y la movilidad de trabajar de forma remota, siempre existe la preocupación de los ataques. Microsoft Lync Server 2010 utiliza una serie de medidas de seguridad estándar de la industria. Todas las comunicaciones de Lync Server realiza para evitar que la identidad del usuario o servidor de suplantación. El tráfico de red se cifra para prevenir la divulgación no autorizada de información o la manipulación de transmisión. El filtro inteligente IM (IIM) ayuda a proteger contra la ingeniería social, y el filtro de seguridad defiende contra ataques de denegación de servicio (DoS). En conjunto, estos proporcionan una barrera de seguridad eficaces.
Medidas de seguridad Lync
Cada canal de comunicación que utiliza Microsoft Lync Server 2010 está cifrado. Todas las comunicaciones de servidor a servidor se cifran y autentican con seguridad de capa de transporte mutuo (MTLS). Cada servidor se emite un certificado por una autoridad de confianza de certificación (CA), que se utiliza para la autenticación y para intercambiar una clave simétrica utilizada para cifrar la sesión de red.
Los usuarios se autentican mediante Kerberos si el usuario es interno; DSK TLS o Windows NT LAN Manager (NTLM) si el usuario es externo. TLS DSK es la autenticación basada en certificados. Tras firmar con éxito a Lync servidor la primera vez, el cliente de Lync solicita un certificado de cliente. Lync Server emite un certificado autofirmado, que utiliza el cliente de Lync de inicios de sesión subsiguientes todos. Este certificado es renovado cada seis meses. Lync utiliza otras tácticas de seguridad:
- Lync utiliza el Protocolo de inicio de sesión (SIP) como el Protocolo de señalización, que se cifra mediante Transport Layer Security (TLS).
- Porque aprovecha el canal seguro de la SIP, tráfico de mensajería instantánea se beneficia el mismo cifrado TLS a cargo.
- Uso compartido de aplicaciones utiliza el Protocolo de escritorio remoto (RDP). Este tráfico TCP utiliza TLS como transporte subyacente. Autenticación es establecida por el canal seguro de la SIP.
- Tráfico de conferencias Web utiliza persistentes compartidos objeto modelo (PSOM). PSOM también utiliza TLS como transporte subyacente, y autenticación también es establecida por el canal seguro de la SIP.
Audio y vídeo (A / V) tráfico viajando desde Lync Server y está protegido con Secure tiempo Real Protocolo (SRTP) para prevenir cualquier inyección de espionaje o de paquetes. SRTP utiliza cifrado de 128 bits estándar de cifrado avanzado (AES) secuencia. Lync Server establece una ruta de acceso de medios de comunicación que puede atravesar cortafuegos y traducciones de direcciones (NAT) de red antes de permitir A / V de tráfico fluya entre dos extremos.
Atravesar cortafuegos, Lync Server utiliza el estándar de Internet Engineering Task Force (IETF) desde el establecimiento de conectividad interactiva (ICE) para determinar la ruta de medios de comunicación más directa entre dos extremos. HIELO se basa en dos protocolos, sesión salto de utilidades para NAT (STUN) y salto con relés NAT (giro).
STUN refleja las direcciones IP NAT de extremo del usuario externo visible para el cliente de Lync del usuario interno. Esto ayuda a cliente de Lync del usuario externo a determinar qué direcciones IP otros clientes pueden ver a través de firewalls. A su vez asigna medios puertos en el exterior A / edge v del servidor perimetral para permitir extremo de Lync del usuario interno conectar al extremo de Lync del usuario externo.
El extremo interno no se puede conectar directamente al extremo externo debido a los firewalls corporativos. Por lo tanto, por asignar dinámicamente una media de puerto en la A / edge v del servidor Edge, el extremo interno puede enviar medios al extremo externo por este puerto. Vas a tener que configurar el cortafuegos de perímetro de red externa para permitir la A / edge v del servidor perimetral para iniciar la conexión saliente a Internet.
El servidor perimetral sirve como un servidor de acceso de transmisión de medios de comunicación (acuerdos de reconocimiento mutuo). Además de establecer la ruta de acceso de medios de comunicación, esta negociación de hielo intercambia una clave de 128 bits AES por el canal de la SIP aseguró TLS. Esta clave permite cifrar el flujo de medios de comunicación y se basa en una contraseña generada por ordenador que gira cada ocho horas. Un número de secuencia y generación aleatoria disuadir ataques de repetición.
Llamadas de voz de la empresa también utilizan SRTP. Por lo tanto, comparten los beneficios de la A / V de tráfico cifrado. También se cifra el tráfico Web para servicios como datos de expansión, libreta de direcciones y las conferencias de lista de distribución sobre HTTPS.
Aplicación de aislamiento de la red
Hay varias prácticas eficaces para proteger el servidor perimetral de ataques basados en Internet: red aislamiento, cortafuegos, protección de usuarios y filtrado de ataques DoS. La función de servidor perimetral está diseñada específicamente para ser desplegados en el perímetro de la red. Permite acceso de usuarios remotos y Federación con otras organizaciones.
Es importante proteger correctamente el servidor perimetral de ataques basados en Internet. Una práctica recomendada es aislar al servidor perimetral con al menos un servidor de seguridad, preferiblemente dos, si es posible. Un firewall protege el servidor perimetral de tráfico de Internet y el servidor de seguridad aísla al servidor perimetral de tráfico interno.
El servidor perimetral debe tener al menos dos tarjetas de red, una NIC conectado a la red Internet, y la otra NIC conectado a la red interna. Tendrás que configurar estas NIC en subredes independientes y no comparten el mismo espacio de direcciones IP (véase figura 1). Estas dos subredes no debe se pueden enrutar a través de otros.
Esto significa que un cliente interno de Lync no puede tener acceso el borde externo (por ejemplo, la NIC expuestos a Internet) del servidor Edge. El cliente externo de Lync no puede tener acceso el borde interno (por ejemplo, la NIC cara interna) del servidor Edge.
.jpg)
Figura 1 subredes independientes no pueden compartir el mismo IP dirección de espacio.
Diseñar cuidadosamente las reglas del cortafuegos
Configuración de las reglas del cortafuegos no es una tarea trivial. Para evitar la apertura de puertos más de lo necesario, tendrá una sólida comprensión de qué puertos y protocolos Lync Server necesita utilizar. Esto es especialmente cierto si necesita explicar los requisitos para su equipo de seguridad durante una auditoría. Te quieren saber exactamente qué propósito sirve de cada puerto abierto. Sólo hacen su trabajo para asegurarse de que no hay agujeros innecesarios son a atravesar el firewall que puede convertirse en vectores de ataque.
Una auditoría de seguridad probablemente desee conocer la siguiente información:
- ¿Qué protocolos tiene cada uso de papel Lync Server, en particular el servidor perimetral?
- ¿Qué puertos cada uno de estos protocolos requieren?
- ¿En que dirección es la conexión de red permitida?
El cartel del Protocolo es una ayuda visual útil y valiosa fuente de información (véase figura 2 para ver una parte del cartel, y haga clic aquí para ver el cartel en su totalidad). Las líneas de códigos de colores indican los protocolos. Los puertos que utiliza cada protocolo se muestran dentro de cada línea. Las flechas de especifican la dirección en la que se inicia el período de sesiones de la red.
.jpg)
Figura 2 Lync utiliza muchos protocolos para asegurar y activar las comunicaciones entre servidores y terminales.
Proteger a los usuarios
Los usuarios a menudo sin darse cuenta haga clic en un vínculo y darse cuenta demasiado tarde de que han desplazado a un sitio Web de rogue y descargar una carga de virus o spam. Recuperar el control de los equipos después de una de estas infecciones es una experiencia desagradable, por lo menos.
Para contrarrestar estas situaciones, el filtro IIM impide a los usuarios enviar URL puede hacer clic. Para ello, anexe un carácter de subrayado (_) a la dirección URL. Esto requiere que el destinatario copiar y pegar la dirección URL y quitar el subrayado antes de que puede navegar a ese sitio. Ese esfuerzo garantiza que el usuario sabe lo que están haciendo y la navegación no será un accidente.
Información fácilmente puede fluir dentro y fuera de una organización. Los usuarios pueden transferir documentos por correo electrónico, mensajería instantánea, USB unidades y recursos compartidos de archivos basados en cloud. Querrá aplicar una política coherente a través de los canales. El filtro IIM es el método de Lync de impedir la transferencia de archivos. Si desea permitir la transferencia de archivos, asegúrese de que equipo de cada empleado mantiene un analizador antivirus actualizado que analizará los archivos descargados con Lync.
Anclaje para DoS ataques
DoS ataques son casi imposibles de distinguir de solicitudes de inicio de sesión legítimas. La única diferencia es en la frecuencia de intentos de inicio de sesión y su origen. Un gran número de intentos de inicio de sesión en rápida sucesión es indicativo de un ataque DoS. Ataques doS intentan adivinar la contraseña del usuario para obtener acceso no autorizado y a menudo provocan el bloqueo de la cuenta de usuario si está habilitada la Directiva de seguridad en servicios de dominio de Active Directory.
El servidor perimetral no protegerse contra tales ataques DoS. Sin embargo, Lync Server le permite crear filtros que interceptan mensajes SIP para realizar la lógica especializada. El filtro IIM, filtro de transferencia de archivos y filtro de seguridad aprovechan este modelo de plataforma para proporcionar las características adicionales.
El filtro de seguridad es una aplicación de servidor que inspecciona todos en signo de solicitudes entrantes en el servidor perimetral. No se autentica el usuario remoto en el servidor perimetral, por lo que la solicitud de inicio de sesión se pasa al director o directamente a la piscina interior. Es donde ocurre el proceso de autenticación.
La respuesta, a continuación, se pasa al servidor Edge. El filtro de seguridad inspecciona la solicitud y la respuesta. Si el signo en falla, el filtro de seguridad realiza un seguimiento del número de intentos fallidos para cada cuenta de usuario.
La próxima vez que un cliente intenta iniciar sesión en la misma cuenta de usuario y el número de intentos fallidos supera el número máximo de permitido de intentos de inicio de sesión, el filtro de seguridad rechaza inmediatamente la solicitud sin pasar la solicitud a lo largo de autenticación. Al hacer cumplir el bloqueo de cuentas en el servidor perimetral, el filtro de seguridad bloques DoS ataques en el borde del perímetro de la red y protege los recursos internos de Lync Server.
Proteja sus activos
Protección de sus datos corporativos es uno de sus principales responsabilidades. Es importante saber cómo configurar Lync Server 2010 de forma segura y comprender las medidas adicionales necesarias correctamente. Esta lista puede servir como un recordatorio rápido de las medidas para proteger la implementación de Lync Server:
- Aislamiento de la red: Proteger su servidor perimetral emparedados entre dos servidores de seguridad. Configurar subredes independientes para evitar loopbacks.
- Conocer sus puertos, protocolos y dirección (entrante o saliente): esto te servirá bien al explicar a su equipo de seguridad que agujeros necesita perforar a través del cortafuegos.
- Aproveche el filtro IIM: bloquear los mensajes que contienen direcciones URL puede hacer clic o que intentan iniciar transferencias de archivos.
- Aproveche el filtro de seguridad: defensa contra ataques de fuerza bruta contraseña y ataques DoS.
- Regularmente el parche de Windows Server.
Estos pasos de seguridad le ayudarán a configurar su servidor perimetral y Microsoft Lync Server 2010 para defenderse contra ataques de Internet como mejor le puede.
.jpg)
**Rui Maximo**tiene más de 18 años en la industria de la tecnología, después de haber trabajado con Microsoft, IBM, RSA y varios startups. Su educación es en criptografía, matemáticas y Ciencias de la computación. Su conocimiento de Lync Server remonta a 2003, cuando se llamaba originalmente RTC. Trabajó en el equipo de producto RTC como administrador de programas y llevar luego administrador de programas. Maximo es el principal autor de cinco libros sobre Microsoft Lync Server y sus versiones anteriores.