Office Communications Server

Sécurisation OCS avec ISA Server

Alan Maddison

 

À une vue d'ensemble :

  • Rôles de serveur de transport Edge OCS 2007 R2 et topologies
  • Configuration d'ISA Server dans un réseau périmètre 3 CULBUTÉ
  • Comprendre les exigences de certificat OCS
  • Création d'un port d'écoute Web et un proxy inversé pour OCS

Contenu

Serveurs de bord
Préparation
Configuration d'ISA Server 2006
Mot sur les certificats
Inverser proxy
Dernier mots

Office Communications Server (OCS) 2007 version 2 offre des fonctionnalités puissantes qui vous permettent d'étendre votre infrastructure de communications unifié pour les utilisateurs en dehors de votre organisation. Cela peut avoir avantages énorme. Fonctionnalités telles que Web et audio/vidéo (A/V) conférence, peut améliorer par exemple, d'une organisation réactivité et l'efficacité dans ses tâches commerciale quotidienne.

Toutefois, si vous choisissez de déployer OCS fonctionnalité aux utilisateurs distants et aux partenaires, vous devez effectuer deux étapes importantes. Tout d'abord, vous devez déployer les serveurs Edge OCS sur recommandées définies dans le Guide de sécurité Office Communications Server 2007 version 2. Ensuite, vous devrez fournir l'accès proxy inversé aux serveurs Edge. Dans cet article J'AI allons jeter un coup de œil à l'aide d'ISA Server 2006 avec SP1 pour sécuriser votre déploiement OCS.

Serveurs de bord

Pour communiquer avec d'autres infrastructures OCS et autoriser l'accès distant au réseau de votre organisation, vous devez déployer un ou plusieurs serveurs Edge dans votre réseau de périmètre (également appelé DMZ) afin que les utilisateurs en dehors du pare-feu peuvent accéder sécurisé à votre déploiement OCS interne. OCS 2007 R2 inclut trois rôles de serveur de transport Edge, résumés dans la figure 1 , qui décrit également les fonctionnalités de proxy inversé.

Figure 1 rôles de serveur de transport Edge et proxy inversé pour OCS 2007
Rôle Objectif
Serveur Edge accès Authentifié accès des utilisateurs externes y compris fédération, la connectivité IM publique, conférences Web et les fonctionnalité vocale.
Serveur Edge de conférence Web Externe Web conférence et données collaboration.
A/V le serveur de transport Edge Tout accès utilisateur externe à A/V conférences et point à point A/V appelle.
Inverser proxy Groupe expansion, téléchargement de fichier du carnet d'adresses, téléchargement de la conférence Web de contenu de réunion.

Avant vers la version R2 d'Office Communications Server 2007, Microsoft pris en charge quatre différentes topologies de bord qui fournie les différents niveaux de complexité et l'évolutivité. En règle générale, les topologies differed à l'emplacement des divers rôles de serveur de transport Edge :

  • Topologie Edge consolidée
  • Topologie de site unique Edge
  • Topologie de bord unique site à l'échelle
  • Plusieurs site avec une topologie Edge site à distance

Avec la version de R2, Microsoft requièrent désormais que tous les rôles exécutés sur le même serveur avec l'évolutivité via les équilibreurs de charge matériel (l'équilibrage de charge réseau, ou NLB, le composant disponible dans Windows n'est pas pris en charge). Un Topo­logy Edge consolidé est une approche rentable qui présente l'avantage d'être plus simple déployer et administrer. Cette topologie fonctionne pour toutes les organisations, et pour les besoins de cet article je vais me concentrer sur cette conception.

Un point important à retenir est qu'en outre aux modifications de OCS topologie prise en charge, il a est certains différences significatives dans les topologies réseau et les technologies prises en charge par la version 2. Toutefois, dans R2 le/le rôle serveur de transport Edge V doit disposer d'une adresse IP publique sur la la carte d'interface réseau externe (NIC) due à la sous-jacente requise du simple contrôle de défilement de UDP via le protocole NAT STUN.

Bien que Microsoft a été très adamant sur cette exigence, plusieurs administrateurs ont ignorées la documentation et ont avez essayé d'implémenter les serveurs Edge OCS dans un environnement (Network Address TRANSLATION). Si vous implémentez NAT en regard de votre A/V Edge serveurs, vos utilisateurs pouvez rencontrer des problèmes de connectivité intermittents et risquez de ne pas même pouvoir établir une connexion.

Un point important à retenir est que prend en de Microsoft version 2 n'est plus charge destination réseau adresse traduction (DNAT) dans un environnement OCS. Cela signifie que le pare-feu ou l'équilibrage de charge doit être configuré avec NAT source (SNAT) avant d'introduire R2 dans votre environnement. Enfin, vos serveurs Edge ne doivent pas être membres d'un domaine Active Directory.

Si les serveurs Edge ne sont pas configurés correctement, vous allez uniquement créer d'un calvaire pour vous-même lorsque ISA Server est générée dans la gamme. D'examiner, valider et tester votre configuration Edge avant de poursuivre.

fig02.gif

La figure 2 3-Leg déploiement périmètre des formes de Consolidated Edge Servers

Préparation

Pour déployer la topologie Edge OCS, je me concentrerai sur un scénario implémentation courants dans lesquels un pare-feu, ISA Server dans ce cas, est déployé dans un réseau de périmètre 3-branche ; une approche simple et économique que Partage de base concepts avec les topologies de pare-feu plus complexes. Dans cette conception, les trois branches correspondent au réseau interne, le réseau de périmètre et le réseau externe (Internet). Cette approche permet non seulement accès des utilisateurs externes à l'infrastructure OCS, prend il également en charge à l'aide d'un rôle de proxy inversé d'ISA Server.

la figure 2 illustre un affichage logique d'une implémentation 3 branche ISA Server. Avant de commencer à configurer ISA Server, il est judicieux d'avoir déjà disposés l'adressage IP et des mappages entièrement qualifié nom de domaine (FQDN) pour vos serveurs Edge et ISA Server. Cela rendra le processus de configuration beaucoup plus simple et rapide.

la figure 3 illustre un exemple d'une liste à cocher appropriée. Notez que J'AI ont utilisé une plage d'adresses IP privée pour à des informations fins uniquement ; vous devrez utiliser des adresses IP publiques.

Configuration d'exemple figure 3
Rôle Nom de domaine entièrement qualifié Adresse IP publique CARTE RÉSEAU Configuration de port utilisateur externe Configuration de port utilisateur interne
Serveur Edge accès SIP.contoso.com 172.16.0.2/29 Externe 5061,443 5061
A/V le serveur de transport Edge AV.contoso.com 172.16.0.3/29 Externe 443,347850,000 59,999 443, 506250,000 59,999
Serveur Edge de conférence Web webconference.contoso.com 172.16.0.4/29 Externe 443 8057

La figure 4 Affiche l'adresse IP Adressage informations for ISA Server, y compris l'adresse IP utilisé pour publier (proxy inverse) du site Web contenu et de carnet d'adresses OCS utilisé par le serveur conférence Web.

Dans un déploiement de bord consolidé, il existe généralement un seul serveur physique avec deux cartes réseau, un pour le trafic interne et un pour le trafic externe. La carte réseau connectée au réseau d'entreprise (interne) aura une adresse IP de votre plage d'adresse IP interne existante. La carte réseau qui se connecte à utilisateurs distants (externe) utilise au moins un adresse IP (entièrement routable) publique pour le/serveur de transport Edge V. Bien que pas strictement nécessaire, il est plus simple pour également affecter des adresses IP publiques aux autres rôles Edge, comme dans la figure 4 .

Adresses IP du serveur ISA figure 4
Interface ISA Nom de domaine entièrement qualifié Adresse IP
Externe N / A 172.16.0.9/29
Inverser proxy ocscontent.contoso.com 172.16.0.10/29
Périphérique N / A 172.16.0.1/29
Interne N / A 192.168.0.100/24

Vous devez également créer des sous-réseaux unique pour votre espace d'adressage IP publique. ISA Server devra deux adresses IP sur son interface externe (une d'entre elles sera utilisée pour le proxy inverse), et vous devez quatre adresses IP publiques pour votre réseau de périmètre (trois pour les serveurs Edge Access) et l'autre pour l'interface de périphérique ISA Server. Par exemple, cela est illustré figure 3 comme masque de sous-réseau de 29 bits 255.255.255.248, qui serait fournissent six adresses IP utilisables par sous-réseau.

Si vous avez été attribuées qu'un petit nombre des adresses IP publiques, vous pouvez utiliser la traduction d'adresses réseau pour le serveur Edge d'accès et les rôles de serveur Edge de conférence Web et vous connecter le/serveur de transport Edge V directement à Internet. Toutefois, cette approche est un peu moins sécurisée sont contourner les capacités d'inspection de paquets de ISA Server et nécessite une carte d'interface réseau troisième pour votre serveur Edge.

Configuration d'ISA Server 2006

Pour configurer le périmètre des formes 3-branche, vous devez lancer la console de Gestion ISA Server et sélectionnez réseaux sous le nœud Configuration dans le volet gauche, comme illustré figure 5 . Ensuite, cliquez sur l'onglet Modèles dans le volet droit et sélectionnez le modèle de périmètre 3-Leg pour démarrer le Network Template Wizard.

Ce processus va effacer toute configuration existante et des règles, ainsi, notez que si vous n'utilisez pas un nouveau système, vous devez veillez à exporter la configuration, une option offerte par l'Assistant dans le deuxième écran. Cliquez sur Suivant dans l'écran deuxième de commence le processus de configuration en vous invitant à entrer les plages d'adresses IP qui définissent votre réseau interne.

fig05.gif

La figure 5 sélection 3-Leg périmètre modèle

Vous disposez un nombre d'options pour aider à définir l'espace d'adressage interne. Si votre organisation est petite, simplement ajouter la carte réseau connectée au réseau d'entreprise est suffisante. Plus grandes organisations devez utiliser les autres options, telles que l'ajout de plages d'adresses IP entièrement définir l'espace d'adresse interne.

Après avoir entré ces informations, cliquez sur Suivant pour passer à l'écran suivant permet de définir l'espace d'adressage réseau de périmètre. Il est généralement suffisante ajouter la carte que vous avez dédié au réseau de périmètre. Ensuite, vous devez sélectionner une stratégie de pare-feu. Veillez à choisir la stratégie de pare-feu « autoriser l'accès non limité », puis cliquez Suivant pour atteindre l'écran Synthèse où vous pouvez consulter votre configuration. Sélectionnez Terminer pour terminer l'Assistant, puis pour accepter ces modifications, cliquez sur Appliquer, puis sur OK.

Le périmètre des formes 3-branche base sont à ce stade fonctionnel mais elle doit une configuration supplémentaire afin d'autoriser le trafic réseau entre les serveurs Edge OCS et les utilisateurs externes. La première chose à noter correspond à la configuration par défaut d'un périmètre 3 branche dans ISA Server inclut prise en charge des utilisateurs VPN. Si vous ne devez pas ce type d'accès distant, supprimer cet élément.

Pour ainsi, sélectionnez Stratégie de pare-feu dans le volet de gauche de la console Gestion ISA et cliquez avec le bouton droit sur la règle nommée clients VPN pour réseau interne et sélectionnez Supprimer. Pour accepter les modifications, cliquez sur Imputer et puis sur OK. Deux règles restent : la règle d'accès non restreint Internet et la règle par défaut.

L'étape suivante consiste à ajouter les objets ordinateur qui représentent vos serveurs Edge. Sélectionnez stratégie de pare-feu, puis choisissez l'onglet boîte à outils, comme illustré figure 6 .

fig06.gif

La figure 6 les règles de stratégie de pare-feu

Cliquez sur le bouton Nouveau et sélectionnez ordinateur dans le menu déroulant. Ajoutez le nom du serveur Edge, par exemple Access Edge, puis entrez l'adresse IP pour ce serveur. Répétez cette étape pour L'A/V contours Server et le Web Conferencing Edge Server. Lorsque vous avez terminé, vous devriez voir vos objets ordinateur trois répertoriés sous le conteneur ordinateurs.

L'étape suivante consiste à ajouter les protocoles utilisés par OCS à la configuration ISA Server. Vous devez ajouter deux nouveaux protocoles, comme illustré à la figure 7 .

Figure 7 protocoles utilisés par OCS
Nom de protocole Type de protocole Orientation du protocole Plage de ports
Mutuelle Transport Layer Security (MTLS) / Session Initiation Protocol (SIP) TCP Sortant 5061 5061
Parcours simple D'UDP via NAT (STUN) TCP Sortant 50 000 59,999
UDP Envoyer *50, 000-59,999
UDP Envoyer 3478 3478

Notez l'astérisque dans la figure 7 . Dans R2 2007 OCS, cette condition de port est nécessaire uniquement si vous utilisez le/V capacités de OCS avec un partenaire fédéré exécutant Office Communications Server 2007. Les utilisateurs distants doivent pas ces ports à ouvrir.

Il est important en les mettant en évidence qu'il est meilleure pratique de sécurité pour ouvrir uniquement des ports dont vous avez besoin. Par exemple, imaginez A/V conférence avec un partenaire fédéré, qui nécessite UDP ports de la plage 50, 000–59, 999. Si vous ne disposez pas d'un partenaire fédéré puis vous ne devez pas ouvrir ces ports.

Dans la console de Gestion ISA Server, dans la stratégie de pare-feu et de l'onglet boîte à outils sélectionné, cliquez sur Protocoles, puis sur Nouveau et sur le protocole pour lancer l'Assistant Nouvelle définition de protocole. Lancement de l'Assistant, entrez un nom pour le protocole, puis cliquez sur Suivant pour atteindre l'écran informations de connexion principal. Dans cet écran cliquez sur Nouveau, puis ajoutez les informations pour le protocole MTLS/SIP, comme illustré figure 7 .

Pour terminer l'ajout du protocole, cliquez sur OK et puis le bouton Suivant deux fois ; vous n'est pas nécessaire de configurer quoi que ce soit à l'écran connexions secondaires. Cliquez maintenant sur le bouton Terminer dans l'écran Sommaire, répétez ces étapes pour le protocole STUN. Assurez-vous que vous appliquez ces modifications à ISA Server lorsque vous avez terminé d'ajouter les protocoles.

Le protocole PSOM (permanent partagés Object Model) (protocole propriétaire pour le transport de contenu de conférence Web) n'est pas répertorié dans la figure 7 . Raison est que PSOM est utilisé pour le trafic entre le serveur de conférence Web et le serveur de Edge de conférence Web. Ce trafic est envoyé sur la fiche réseau interne du serveur Edge.

Après avoir ajouté les deux protocoles ci-dessus à partir de la figure 7 , l'étape suivante consiste à créer les règles d'accès trois qui va autoriser des utilisateurs à se connecter au serveur Edge à partir d'Internet. Une fois de plus, que ces informations en cours rendra ces étapes de configuration beaucoup plus simple et moins sujette à erreur. la figure 8 montre les informations vous devrez créer les trois règles accès externe.

Configuration des règles figure 8 Accès
Nom de l'accès la règle Action de règle Protocoles Accès règle source Destination de règle accès Ensembles d'utilisateurs
Accès Edge Autoriser HTTPSMTLS/SIP Externe Accès Edge Tous les utilisateurs
A/V Edge Autoriser HTTPSSTUN Externe A/V Edge Tous les utilisateurs
Edge de conférence Web Autoriser HTTPS Externe Edge de conférence Web Tous les utilisateurs

Démarrez en sélectionnant stratégie de pare-feu et de l'onglet tâches dans la console Gestion ISA Server et cliquez sur Créer une règle d'accès pour lancer l'Assistant Nouvelle règle d'accès. Vous pouvez créer les règles dans n'importe quel ordre, donc nous allons commencer à la règle Access Edge. Une fois l'Assistant démarre, entrez un nom de la règle et cliquez sur Suivant. Dans l'écran Action de la règle, assurez-vous que la case Autoriser est activée et cliquez sur Suivant.

L'écran suivant nécessite que vous ajoutez les protocoles auxquels s'applique la règle. Cliquez sur le bouton Ajouter sur le côté droit de l'écran pour lancer la fenêtre Ajouter des protocoles. Sous le dossier de protocoles communs, sélectionnez HTTPS et appuyez sur Ajouter, puis sélectionnez le protocole STUN, qui doivent être répertoriés sous le dossier défini par l'utilisateur, cliquez sur Ajouter. Cliquez sur Fermer et puis suivant pour les déplacer vers les sources de règle d'accès écran.

Cette étape, vous devez sélectionner la source de règle d'accès, et dans le cas de la règle Access Edge, vous devrez peut-être sélectionner l'objet réseau externe en cliquant sur Ajouter et sélectionnez-le à partir du dossier de réseaux. Cliquez sur Fermer et puis suivant pour passer à la destination de règle Access écran. Dans cet écran cliquez sur Ajouter, puis sélectionnez l'objet ordinateur Access Edge créée précédemment à partir du dossier ordinateurs. Cliquez sur le bouton Fermer et puis suivant pour passer à l'ensembles d'utilisateurs écran.

Laissez la sélection tous les utilisateurs définir par défaut et cliquez sur Suivant. Examinez le résumé, puis cliquez sur Terminer pour terminer le processus. Vous pouvez maintenant créer les deux règles d'accès restant utilisant les informations que vous compilé en fonction de 8 . Assurez-vous que vous appliquer ces modifications à ISA Server une fois que vous avez fini.

Mot sur les certificats

Les étapes dernière de ce processus de configuration spécialement conçus pour le port d'écoute SSL et le proxy inverse (publication une application Web) pour Office Communications Server. Il est important de comprendre les besoins de certificat de Office Communications Server et ces exigences impact configuration ISA Server.

Le point plus important à noter est qu'Office Communications Server requiert l'utilisation de certificats x.509 et ne prend pas en charge les certificats génériques dans le nom commun (nom de l'objet). Vous devez spécifier un objet autre nom (SAN) lors de la demande le certificat pour les serveurs Edge.

Puisque le Service Pack 1 ISA Server 2006 introduit prise en charge complète de certificats SAN, cela présente pas les éventuels problèmes. Par conséquent, vous devez répondre exigences certificat pour les interfaces internes et externes de serveur de transport Edge. Si votre environnement Active Directory n'utilise pas un espace de noms de domaine de niveau supérieur, vous devrez utiliser un certificat à partir une confiance tiers certificat autorité pour l'interface externe et un certificat auprès d'une autorité de CERTIFICATION d'entreprise interne pour les interfaces internes. Dans ce scénario, le certificat racine pour votre entreprise qu'autorité de CERTIFICATION doit être installée sur les clients qui accèdent en interne OCS ainsi que sur le serveur ISA ; cela garantit que les relations d'approbation nécessaires sont en place pour la configuration OCS. Le certificat tiers externe doit déjà être approuvé et par conséquent le certificat racine de l'autorité de CERTIFICATION tierce partie ne devez doit être installé sur tous les clients.

Le certificat nécessaire pour la configuration de proxy inversé correspond au nom de domaine complet du OCS adresse livre et conférence contenu téléchargement. Dans la figure 4 , cela était ocscontent.contoso.com mais peut être à l'évidence tout ce que vous choisissez tant que le certificat provient d'un tiers de confiance. Bien entendu, votre certificat SAN à partir de cette tierce partie inclura aussi les complets de vos serveurs Edge, exemples de laquelle vous pouvez le également voir dans la figure 3 .

Inverser proxy

La première étape de la création d'un proxy inversé pour OCS consiste à créer un port d'écoute SSL. Pour ce faire, cliquez sur le conteneur de pare-feu dans le volet de gauche et sélectionnez l'onglet de la boîte à outils dans le volet right–hand. Sélectionnez objet réseau dans la liste, cliquez sur le bouton Nouveau et sélectionnez port d'écoute Web dans le menu déroulant. L'Assistant Nouveau port d'écoute Web, qui vous invite à entrer un nom pour le port d'écoute Web est lancé.

Le nom doit avoir un sens pour vous, mais il n'a pas nécessairement à associer à OCS que le port d'écoute Web potentiellement aurait pu plusieurs utilisations. Lorsque vous cliquez sur Suivant, l'écran de sécurité de connexion client s'affiche avec l'option par défaut sélectionnée — Exiger SSL sécurisés connexions avec les clients. Laissez la sélection comme est cliquez sur Suivant pour passer à l'écran Adresse IP du port d'écoute Web, vous devez vérifier l'option de réseaux externes. Ensuite, cliquez sur le bouton Sélectionner les adresses IP et choisissez l'adresse IP que vous avez affecté au mode proxy inversé (voir figure 4 ).

Après avoir cliqué sur OK et puis sur Suivant, vous devez voir l'écran de certificats SSL port d'écoute. Sélectionnez l'option pour attribuer un certificat pour chaque adresse IP, puis cliquez sur le bouton Sélectionner un certificat. Sélectionnez maintenant le certificat associée à la Carnet d'adresses OCS et le contenu de conférence Web qui a été expliqué précédemment. Après avoir sélectionné le certificat, cliquez sur le bouton Suivant pour configurer les paramètres d'authentification. Assurez-vous que l'authentification non est activée dans la zone de liste déroulante, puis cliquez sur le bouton Suivant deux fois. Enfin passez en revue l'écran de résumé et cliquez sur le bouton Terminer pour terminer la création du port d'écoute Web.

Une fois que le port d'écoute Web est créé, vous pouvez créer la règle de publication du site Web. Pour ce faire, cliquez sur le conteneur de pare-feu et sélectionnez l'onglet Tâches, puis cliquez sur publication sites Web pour lancer l'Assistant Nouvelle règle de publication Web. La première portion de données à entrer est le nom de la règle, ainsi, entrez un nom significatif comme contenu OCS et cliquez sur Suivant. Dans l'écran Sélectionner une action de règle, sélectionnez Autoriser suivant pour passer à l'écran Type de publication dans lequel vous sélectionnez publier un seul site Web ou équilibrage de charge et cliquez puis cliquez sur Suivant.

Pour configurer la sécurité de connexion serveur, sélectionnez l'option permettant d'utiliser SSL, puis cliquez sur Suivant pour passer à l'écran Informations de publication interne. Ici, vous devez entrer le nom interne du serveur de composants Web. Cliquez sur suivant et entrez les informations de chemin d'accès, qui doivent être / * pour autoriser tous les chemins d'accès. Cliquez sur suivant et entrez le nom public créé pour le téléchargement de contenu Carnet d'adresses et conférence Web (dans cet exemple il s'agit ocscontent.contoso.com). Laissez les autres sélections sur les paramètres par défaut et cliquez sur Suivant.

Maintenant, sélectionnez le port d'écoute Web que vous avez créé et cliquez sur Suivant. Dans l'écran de la délégation d'authentification, la zone de liste déroulante doit lire sans la délégation, mais client peut-être s'authentifier directement. Cliquez sur Suivant et vérifiez que tous les utilisateurs est activée dans l'écran Ensembles d'utilisateurs, puis de nouveau sur Suivant et puis Terminer pour terminer le processus. La configuration d'ISA Server est maintenant complète.

Dernier mots

Extension Office Communications Server pour prendre en charge les utilisateurs distants et partenaires peuvent rendement énorme avantages mais nécessite beaucoup de planification, en particulier lorsqu'il s'agit sécurisation de vos serveurs Edge. ISA Server 2006 fournit une solution robuste, flexible et évolutive qui est la plate-forme idéale pour la sécurisation d'Office Communications Server 2007.

Alan Maddison est consultant senior spécialisé dans les technologies Microsoft avec les systèmes le stratégiques, une division Brocade.