Share via

  • Articolo

Gestione delle minacce a VoIP aziendale di Office Communications Server 2007 R2

Ultima modifica dell'argomento: 2012-02-01

VoIP aziendale è la soluzione VoIP basata su software di Office Communications Server. Si basa su VoIP sia per le chiamate interne che per la connessione alle reti telefoniche tradizionali. Poiché le chiamate VoIP interne, come la messaggistica istantanea, vengono tutte crittografate, i problemi di sicurezza specifici di VoIP riguardano il trasferimento di chiamate verso e dalla rete PSTN (Public Switched Telephone Network) non crittografata.

VoIP aziendale richiede due dispositivi per fornire la connettività VoIP con la rete PSTN:

  • Un gateway multimediale che converta i protocolli di segnalazione del sistema telefonico locale in SIP su TLS (consigliato) o su TCP (facoltativo) per la trasmissione su reti IP.
  • Un ruolo di Office Communications Server, ovvero Mediation Server, in grado di convertire SIP su TCP in SIP su TLS per il routing interno, se necessario.

Nota

VoIP aziendale supporta tre tipi diversi di gateway multimediali: di base, di base/ibrido e avanzato. Il gateway multimediale avanzato elimina la necessità di un Mediation Server incorporandone la logica nel gateway, ma non è ancora disponibile. Ai fini di questo documento, si presuppone che la distribuzione richieda un Mediation Server per la connettività PSTN. Per informazioni dettagliate sui gateway multimediali e sul Mediation Server, vedere Supporto per Enterprise Voice nella documentazione relativa alla pianificazione e all'architettura.

Se si sceglie di configurare il collegamento tra un gateway multimediale e il Mediation Server per TCP, tale collegamento rappresenta un potenziale rischio per la sicurezza, in quanto la segnalazione non è crittografata. Poiché tuttavia molti gateway attualmente disponibili non supportano MTLS, potrebbe essere necessaria una connessione TCP al Mediation Server finché non sarà possibile aggiornare il gateway. Per ridurre il rischio derivante da questa potenziale vulnerabilità, è consigliabile distribuire il Mediation Server nella relativa subnet installando due schede di interfaccia di rete, ognuna con un indirizzo IP distinto in una subnet separata con un'impostazione di porta distinta. Una scheda funge da perimetro interno del Mediation Server, in attesa del traffico TLS dai server interni. La seconda scheda costituisce il perimetro esterno del Mediation Server, in attesa del traffico TCP dal gateway multimediale. L'utilizzo di due indirizzi di attesa dedicati assicura che il traffico attendibile che ha origine nella rete Office Communications Server sia sempre nettamente separato da quello non attendibile proveniente dalla rete PSTN.