Office Communications Server
Proteger OCS con ISA Server
Alan Maddison
En resumen:
- Las funciones de servidor perimetral de OCS 2007 R2 y las topologías
- Configurar el servidor ISA en una red de perímetro de 3 pierna larga
- Comprender los requisitos de certificado OCS
- Crear una escucha de Web y un proxy inverso para OCS
Contenido
Servidores de borde
Prepararse
Configuración de ISA Server 2006
Un Word acerca de certificados
Proxy inverso
Última palabras
Office Communications Server (OCS) 2007 R2 proporciona funciones eficaces que permiten ampliar la infraestructura de Unified Communications a los usuarios fuera de la organización.Esto puede tener una enorme ventajas.Funcionalidad como Web y audio/Visual (A/V) conferencia, por ejemplo, puede mejorar la capacidad de respuesta y efectividad en sus tareas empresariales diarias de la organización.
Si decide implementar OCS funcionalidad a los usuarios remotos y socios, sin embargo, debe completar dos pasos importantes.En primer lugar, deberá implementar OCS perimetral servidores en las prácticas recomendadas definidas en la Guía de seguridad de Office Communications Server 2007 R2.En segundo lugar, deberá proporcionar acceso de proxy inverso a los servidores perimetrales.En este artículo le eche un vistazo al uso de ISA Server 2006 con SP1 para proteger la implementación de OCS.
Servidores de borde
Para comunicarse con otras infraestructuras OCS y permitir el acceso remoto a la red de su organización, es necesario implementar uno o más servidores de borde de la red perimetral (también conocido como una DMZ) para que otros usuarios ubicados fuera del firewall pueden obtener acceso seguro a la implementación de OCS interna.OCS 2007 R2 incluye tres funciones de servidor perimetral, resumidas en la figura 1 , que también describe la funcionalidad de proxy inverso.
| Figura 1 funciones de servidor perimetral y proxy inverso para OCS 2007 |
| Función | Propósito |
| Servidor perimetral de acceso | Acceso de usuario externo como conectividad pública de mensajería INSTANTÁNEA, federación, conferencias Web y funcionalidad de voz autenticado. |
| Servidor perimetral de conferencias de Web | Externa conferencias y datos de colaboración en Web. |
| A/servidor perimetral de A/V | Cualquier acceso usuarios externos a y conferencias de V y punto a punto A/V llama a. |
| Proxy inverso | Grupo expansión, descarga del archivo Libreta de direcciones, descarga de conferencias Web de contenido de la reunión. |
Anterior a la versión R2 de Office Communications Server 2007, Microsoft admite cuatro topologías de borde diferentes que proporcionan distintos niveles de sofisticación y escalabilidad.En general, las topologías de difieren en la ubicación de las diversas funciones de servidor perimetral:
- Topología de borde consolidada
- Topología de sitio único perimetral
- Topología de borde de un solo sitio a escala
- Varios sitios con una topología de borde del sitio remoto
Con el lanzamiento de R2, Microsoft ahora requieren que todos los roles se ejecuten en el mismo servidor con escalabilidad proporcionada por equilibradores de carga de hardware (no se admite el componente de equilibrador de carga de red o NLB, en Windows).Un Topology de borde consolidada es una solución rentable que tiene la ventaja adicional de ser más sencillo implementar y administrar.Esta topología funciona para todas las organizaciones, y para el propósito de este artículo me centraré en este diseño.
Un punto importante que recordar es que en junto a los cambios en la compatibilidad de topología OCS, haber algunos cambios significativos en el topologías de red y las tecnologías compatibles con R2.Sin embargo, en R2 el o la función de servidor perimetral de A/V debe tener una dirección IP pública en la tarjeta de interfaz de red externa (NIC, Network Interface Card) debido a la necesidad subyacente de la simple transversal de UDP mediante Protocolo de NAT (STUN).
Aunque Microsoft ha sido muy adamant sobre este requisito, muchos administradores han omite la documentación y han intentado implementar los servidores de perimetral OCS en un entorno de traducción de direcciones de red (NAT).Si implementa NAT delante de la A/V perimetral servidores, los usuarios podría experimentar problemas de conectividad intermitente y no incluso podrá establecer una conexión.
Un punto importante que recordar es que como de R2 Microsoft ya no admite traducción de direcciones de red de destino (DNAT) en un entorno OCS.Esto significa que el servidor de seguridad o un equilibrador de carga debe configurarse con NAT de origen (SNAT) antes de introducir R2 en su entorno.Por último, los servidores perimetrales no deben ser miembros de un dominio de Active Directory.
Si los servidores perimetrales no están configurados correctamente, se sólo se creando más de una preguntas para usted mismo cuando se produce el servidor ISA en la combinación.Revise, validar y probar la configuración de borde antes de pasar.
La Figura 2 3-Leg implementación perimetral de Consolidated Edge Servers
Prepararse
Para implementar la topología de borde OCS, me centraré en un escenario de implementación común en el que un servidor de seguridad, ISA Server en este caso, se implementa en una red de perímetro de 3-pierna larga; un enfoque sencillo y rentable que comparte los principales conceptos con topologías de servidor de seguridad más complejas.En este diseño, los tres segmentos corresponden a la red interna, la red perimetral y la red (Internet) externa.Este enfoque no sólo permite el acceso de usuarios externos a la infraestructura OCS, sino que también admite utilizar ISA Server en una función de proxy inverso.
la figura 2 muestra una vista lógica de una implementación de 3 pierna ISA Server.Antes de empezar a configurar el servidor ISA, es una buena idea han ya disponen el direccionamiento IP y las asignaciones de nombre de dominio completo (FQDN) para los servidores de borde y el servidor ISA.Esto hará que el proceso de configuración mucho más sencillo y rápido.
la figura 3 muestra un ejemplo de una lista de comprobación adecuada.Observe que ha utiliza un intervalo de direcciones IP privado para fines informativos únicamente; tendrá que utilizar direcciones IP públicas.
| Figura 3 ejemplo de configuración |
| Función | Nombre de dominio completo totalmente | Dirección IP pública | TARJETA DE INTERFAZ DE RED (NIC) | Los requisitos de puerto de usuario externo | Los requisitos de puerto de usuario interno |
| Servidor perimetral de acceso | SIP.contoso.com | 172.16.0.2/29 | Externa | 5061,443 | 5061 |
| A/servidor perimetral de A/V | AV.contoso.com | 172.16.0.3/29 | Externa | 443,347850,000 59,999 | 443, 506250,000 59,999 |
| Servidor perimetral de conferencias de Web | webconference.contoso.com | 172.16.0.4/29 | Externa | 443 | 8057 |
La figura 4Muestra la información de ISA Server, incluida la dirección IP que se utiliza para publicar (proxy inverso) el Libreta de direcciones de OCS el contenido del sitio Web y utilizado por el Server de conferencia Web y de direccionamiento IP.
En una implementación de perimetral consolidada, hay generalmente un único servidor físico con dos NIC, una para el tráfico interno y otra para el tráfico externo.La TARJETA conectada a la red corporativa (interna) tendrá una dirección IP desde el intervalo de direcciones IP interna existente.La TARJETA que se conecta a los usuarios remotos (externo) usará al menos una dirección IP totalmente enrutable pública para el o servidor perimetral de A/V.Aunque no es estrictamente necesario, es más sencillo asignar también direcciones IP públicas a las otras funciones de Edge, como en la figura 4 .
| Direcciones IP de la figura 4 ISA Server |
| Interfaz de ISA | Nombre de dominio completo totalmente | Dirección IP |
| Externa | N/A | 172.16.0.9/29 |
| Proxy inverso | ocscontent.contoso.com | 172.16.0.10/29 |
| Perímetro | N/A | 172.16.0.1/29 |
| Interno | N/A | 192.168.0.100/24 |
También tendrá que crear subredes únicas para el espacio de direcciones IP pública.ISA Server tendrá dos direcciones IP de su interfaz externa (uno de los cuales se utilizará para el proxy inverso), y tendrá cuatro direcciones IP públicas para la red perimetral (tres para los servidores de perimetral Access) y otra para la interfaz del perímetro del servidor de ISA.Por ejemplo, esto se muestra en la figura 3 como máscara de subred de 29 bits (255.255.255.248), lo que daría a seis direcciones IP utilizables por subred.
Si ha asignado un número reducido de direcciones IP públicas, puede utilizar la traducción de direcciones de red para el servidor perimetral de acceso y las funciones de servidor perimetral de conferencias de Web y conectar el y servidor perimetral de A/V directamente a Internet.Sin embargo, este enfoque es un poco menos seguro en que se omitan las capacidades de inspección de paquetes de ISA Server y podría requerir una tercera tarjeta de interfaz de red para el servidor perimetral.
Configuración de ISA Server 2006
Para configurar el perímetro de 3 pierna larga, es necesario iniciar la consola de administración de ISA Server y seleccione las redes bajo el nodo de configuración en el panel izquierdo, como se muestra en la figura 5 .A continuación, haga clic en la ficha plantillas en el panel derecho y seleccione la plantilla de perímetro 3-Leg para iniciar el Network Template Wizard.
Este proceso se borra ninguna configuración existente y reglas, por lo que tenga en cuenta que si no utiliza un sistema nuevo, procure para exportar la configuración, una opción ofrecida por el asistente en la segunda pantalla.Haga clic en siguiente en la segunda pantalla comienza el proceso de configuración por preguntar si desea introducir los intervalos de direcciones IP que definen la red interna.
La figura 5 seleccionar 3-Leg perimetral plantilla
Tiene un número de opciones para ayudan a definir el espacio de direcciones internas.Si su organización es pequeña, basta con agregar el adaptador de red está conectado a la red corporativa es suficiente.Las organizaciones más grandes será necesario utilizar otras opciones, como la adición de intervalos de direcciones IP para definir completamente su espacio de dirección interna.
Después de especificar esta información, haga clic en Siguiente para pasar a la siguiente pantalla para definir el espacio de direcciones de red de perímetro.Es generalmente suficiente agregar el adaptador que ha dedicado a la red perimetral.A continuación, debe seleccionar una directiva de firewall.Asegúrese de elegir la directiva de firewall "permitir el acceso sin restricciones", a continuación, haga clic siguiente para ir a la pantalla de resumen que puede revisar la configuración.Seleccione Finalizar para completar el asistente y, a continuación, para aceptar estos cambios, haga clic en Aplicar y, a continuación, en ACEPTAR.
El perímetro de 3 pierna básica es funcional en este momento, pero necesita alguna configuración adicional para permitir el tráfico de red entre el OCS perimetral servidores y los usuarios externos.Lo primero que tener en cuenta es que la configuración predeterminada de un perímetro de 3 pierna en ISA Server incluye compatibilidad para los usuarios VPN.Si no necesita este tipo de acceso remoto, quitar este elemento.
Realizar por lo tanto, seleccione Directiva de firewall en el panel izquierdo de la consola de administrador del servidor ISA y a continuación, haga clic con el botón secundario del mouse en la regla denominada clientes de VPN hacia la red interna y seleccione Eliminar.Para aceptar los cambios, seleccione Aplicar y, a continuación, en ACEPTAR.Dos reglas permanecen: la regla de acceso de Internet sin restricciones y la regla predeterminada.
El siguiente paso es agregar los objetos de equipo que representan los servidores perimetrales.Seleccione Directiva de firewall y elija la ficha Herramientas, tal como se muestra en la figura 6 .
Figura 6 reglas de directiva de firewall
Haga clic en el botón nuevo y seleccione el equipo en el menú desplegable.Agregue el nombre del servidor perimetral, por ejemplo perimetral de acceso y, a continuación, escriba la dirección IP para ese servidor.Repita este paso por el/V borde Server y el borde de Conferencing Web Server.Cuando haya terminado, debe ver los objetos de equipo tres aparece bajo el contenedor Computers.
El siguiente paso es agregar los protocolos utilizados por OCS para la configuración del servidor ISA.Deberá agregar dos nuevos protocolos, como se muestra en la figura 7 .
| Figura 7 protocolos utilizados OCS |
| Nombre de protocolo | Tipo de protocolo | Dirección de Protocolo | Intervalo de puertos |
| Seguridad de nivel de transporte mutuo (MTLS) y Protocolo de inicio de sesión (SIP) | TCP | Salida | 5061 5061 |
| Simple transversal de UDP a través de NAT (STUN) | TCP | Salida | 50.000 59,999 |
| UDP | Enviar | *50, 000-59,999 | |
| UDP | Enviar | 3478 3478 |
Tenga en cuenta el asterisco en la figura 7 .En OCS 2007 R2, es necesario sólo si utiliza el este requisito de puerto/capacidades de V de OCS con un socio federados con Office Communications Server 2007.Los usuarios remotos no necesitará estos puertos que esté abierto.
Es merece la pena haciendo hincapié en que es recomendación de seguridad que sólo abrir puertos que necesita.Por ejemplo, considere A/V conferencias con un socio federada, que requiere UDP puertos en el intervalo de 50, 000–59, 999.Si no dispone de un socio federados no deberá abrir estos puertos.
En la consola de administración de ISA Server, dentro de la directiva de firewall y la ficha del cuadro de herramientas seleccionada, haga clic en protocolos, a continuación, en Nuevo y de protocolo para iniciar el Asistente para nueva definición de protocolo.Cuando se inicia el asistente, escriba un nombre para el protocolo, a continuación, haga clic siguiente para ir a la pantalla de información de conexión principal.En esta pantalla haga clic en Nuevo y, a continuación, agregar la información para el protocolo SIP y MTLS, tal como se muestra en la figura 7 .
Para finalizar agregar el protocolo, haga clic en ACEPTAR y, a continuación, el botón siguiente dos veces; no es necesario configurar ningún valor en la pantalla de las conexiones secundarias.Ahora haga clic en el botón Finalizar en la pantalla de resumen y repita estos pasos para el protocolo STUN.Asegúrese de que aplicar estos cambios a ISA Server cuando haya terminado de agregar los protocolos.
El protocolo de petición compartidos objeto modelo (PSOM) (un protocolo propietario para transportar el contenido de conferencias Web) no aparece lista en la figura 7 .Esto es porque se PSOM está usando para el tráfico entre el servidor de conferencias Web y el servidor de perimetral de conferencias de Web.Este tráfico se envía salida en la tarjeta de red interna del servidor perimetral.
Después de agregar los dos protocolos anteriores de la figura 7 , el paso siguiente es crear las tres reglas de acceso que permitirá usuarios se conecten al servidor perimetral desde Internet.Una vez más, tener esta información a mano hará que estos pasos de configuración mucho más sencilla y menos propensa a errores.la figura 8 muestra la información tendrá que crear las tres reglas de acceso externo.
| Figura 8 Configuración de acceso A la regla |
| Nombre de regla de acceso | Acción de regla | Los protocolos | Origen de regla de acceso | Destino de regla de acceso | Conjuntos de usuarios |
| Borde de acceso | Permitir | HTTPSMTLS/SIP | Externa | Borde de acceso | Todos los usuarios |
| A/perimetral de A/V | Permitir | HTTPSSTUN | Externa | A/perimetral de A/V | Todos los usuarios |
| Borde de conferencias Web | Permitir | HTTPS | Externa | Borde de conferencias Web | Todos los usuarios |
Empezar seleccionando directiva de firewall y la ficha tareas de la consola de administración del servidor ISA y, a continuación, haga clic en Crear regla de acceso para iniciar el Asistente para nueva regla de acceso.Puede crear las reglas en cualquier orden, por lo que Comencemos con la regla perimetral de acceso.Una vez que inicia el asistente, escriba un nombre para la regla y haga clic en Siguiente.En la pantalla de acción de regla, asegúrese de que el botón de opción de permitir está activado y haga clic en Siguiente.
La siguiente pantalla requiere que agregar los protocolos a los que se aplica la regla.Haga clic en el botón Agregar en la parte derecha de la pantalla para iniciar la ventana Agregar protocolos.En la carpeta protocolos comunes, seleccione HTTPS y presione Agregar y después seleccione el protocolo STUN, que debe aparecer en la carpeta definido por el usuario y haga clic en Agregar.Haga clic en Cerrar y, a continuación, siguiente para mover a los orígenes de regla de acceso pantalla.
Este paso requiere que seleccione el origen de regla de acceso y en el caso de la regla perimetral de acceso, se debe seleccionar el objeto de red externa al hacer clic en Agregar y seleccionando, en la carpeta redes.Haga clic en Cerrar y, a continuación, siguiente para pasar al destino de regla de acceso A pantalla.En esta pantalla haga clic en Agregar y seleccione el objeto de equipo perimetral de acceso que creado anteriormente desde la carpeta equipos.Haga clic en el botón Cerrar y, a continuación, siguiente para pasar a los conjuntos de usuarios pantalla.
Deje la selección predeterminada de conjunto de todos los usuarios y haga clic en Siguiente.Revisar el resumen y después en Finalizar para completar el proceso.Ahora puede crear las dos reglas de acceso restantes utilizando la información que compilan basándose en la figura 8 .Asegúrese de que aplicar estos cambios a ISA Server cuando haya terminado.
Un Word acerca de certificados
Los últimos pasos de este proceso de configuración se centran en crear la escucha de SSL y crear el proxy inverso (publicación en una aplicación Web) para Office Communications Server.Es importante comprender los requisitos de certificados de Office Communications Server y cómo estos requisitos afectan la configuración de ISA Server.
El punto más importante a tener en cuenta aquí es que Office Communications Server requiere el uso de certificados x.509 y no admite certificados comodín en el nombre común (nombre de asunto).Deberá especificar un nombre alternativo de asunto (SAN) al solicitar el certificado para los servidores Edge.
Puesto que el SP1 de ISA Server 2006 introduce compatibilidad total con los certificados de SAN, esto no presentará los problemas.Con esto en cuenta, es necesario abordar los requisitos de certificados para las interfaces internas y externas del servidor perimetral.Si el entorno de Active Directory no utiliza un espacio de nombres de dominio de nivel superior, será necesario usar un certificado de una confianza de terceros certificados entidad emisora (CA) para la interfaz externa y un certificado de una entidad emisora de CERTIFICADOS de empresa interno para las interfaces internas.En este escenario, el certificado raíz de la empresa que entidad emisora de CERTIFICADOS debe instalarse en clientes que tendrán acceso OCS internamente, así como en el servidor ISA Server; Esto garantiza que las relaciones de confianza necesarias para la configuración de OCS.Los certificados de terceros externos ya deben confianza y, por tanto, el certificado raíz de la ENTIDAD de terceros no deberán instalarse en todos los clientes.
El certificado necesario para la configuración de proxy inverso se corresponde con el nombre COMPLETO del OCS dirección libro y conferencias descarga de contenido.En la figura 4 , esto era ocscontent.contoso.com pero obviamente puede ser cualquier cosa que elija siempre que el certificado procede de un tercero confianza.Por supuesto, el certificado de SAN de este tipo de terceros también incluir los nombres de dominio de los servidores perimetrales, ejemplos de lo que también puede ver en la figura 3 .
Proxy inverso
El primer paso en la creación de un proxy inverso para OCS es para crear una escucha de Web SSL.Para ello, haga clic en el contenedor de servidor de seguridad en el panel izquierdo y seleccione la ficha del cuadro de herramientas en el panel right–hand.Seleccionar objetos de red de la lista, haga clic en el botón nuevo y seleccione la escucha de Web en el menú desplegable.Esto iniciar el asistente nueva escucha de Web, que le pide que escriba un nombre para la escucha de Web.
El nombre debe ser significativo para usted, pero no tiene necesariamente que se va a asociar OCS como la escucha de Web potencialmente podría tienen varios usos.Al hacer clic en siguiente, la pantalla de seguridad de conexión de clientes aparece con la opción predeterminada seleccionada, requerir SSL protegido conexiones con los clientes.Deje la selección como está y haga clic en Siguiente para pasar a la pantalla de dirección IP de escucha de Web, donde debe comprobar la opción de redes externas.A continuación, haga clic en el botón de Seleccionar direcciones IP y elija la dirección IP que ha asignado al proxy inverso (consulte la figura 4 ).
Después de hacer clic en ACEPTAR y, a continuación, en Siguiente, verá la pantalla de certificados SSL de escucha.Seleccione la opción para asignar un certificado a cada dirección IP y, a continuación, haga clic en el botón Seleccionar certificado.Seleccione el certificado asociado a la libreta de direcciones de OCS y contenido de conferencias Web que se explicó anteriormente.Después de seleccionar el certificado, haga clic en el botón siguiente para configurar la autenticación.Asegúrese de que autenticación no está activada en el cuadro de lista desplegable y, a continuación, haga clic en el botón siguiente dos veces.Por último, revise la pantalla de resumen y haga clic en el botón Finalizar para completar la creación de la escucha de Web.
Una vez creada la escucha de Web, puede crear la regla de publicación sitio Web.Para ello, haga clic en el contenedor de servidor de seguridad y seleccione la ficha Tareas, a continuación, haga clic en Publicar sitios Web para iniciar el Asistente para nueva regla de publicación de Web.La primera parte de información que especifique es el nombre de la regla, por lo que escriba un nombre significativo, como contenido OCS y haga clic en Siguiente.En la pantalla Seleccionar acción de regla, seleccione Permitir y haga clic en Siguiente para pasar a la pantalla de tipo de publicación en la que se seleccionar publicar un único sitio Web o equilibrador de carga y, a continuación, haga clic en Siguiente.
Para configurar seguridad en conexión el servidor, seleccione la opción para utilizar SSL y, a continuación, haga clic en Siguiente para pasar a la pantalla de detalles internos de publicación.Aquí debe escribir el nombre interno del servidor de componentes Web.Haga clic en Siguiente y escriba la información de ruta de acceso, que debe ser / * para permitir todas las rutas de acceso.Haga clic en Siguiente y escriba el nombre público que haya creado para las descargas de contenido de libreta de direcciones y conferencias Web (en este ejemplo resulta ocscontent.contoso.com).Deje las demás selecciones en los valores predeterminados y haga clic en Siguiente.
Ahora seleccione la escucha de Web que creó y haga clic en Siguiente.En la pantalla de delegación de autenticación, el cuadro de diálogo desplegable debe leer sin delegación, pero cliente puede autenticar directamente.Haga clic en siguiente y confirme que todos los usuarios está activado en la pantalla de conjuntos de usuarios, a continuación, vuelva a hacer clic en Siguiente y, a continuación, Finalizar para completar el proceso.La configuración de ISA Server ahora es completa.
Última palabras
Ampliar Office Communications Server para admitir los usuarios remotos y socios pueden yield enorme ventajas pero requiere una gran cantidad de diseño, especialmente cuando se trata para proteger los servidores perimetrales.ISA Server 2006 proporciona una solución eficaz, flexible y escalable que es la plataforma ideal para proteger Office Communications Server 2007.
Alan Maddisones consultor senior especializado en tecnologías de Microsoft con sistemas de negocio estratégica, una división de Brocade.