Attraversamento multimediale

Lync Server 2010
 

Ultima modifica dell'argomento: 2012-10-15

Il servizio A/V Edge fornisce un singolo punto di connessione attendibile per l'attraversamento multimediale all'interno e all'esterno dell'organizzazione.

I requisiti di A/V Edge per le porte e il protocollo sono cambiati in Microsoft Lync Server 2010. A seconda dei requisiti per la federazione con le infrastrutture dei partner e la configurazione dei server perimetrali, è consigliabile prendere in considerazione le porte seguenti:

  • UDP 3478

  • TCP 443

  • UDP 50.000-59.999

  • TCP 50.000-59.999

Per informazioni dettagliate sui requisiti NAT (Network Address Translation ) e di configurazione delle porte, vedere Determinazione dei requisiti di porte e firewall A/V esterni nella documentazione relativa alla pianificazione.

Lync Server 2010 implementa il protocollo ICE (Interactive Connectivity Establishment) per la negoziazione delle connessioni multimediali con le parti all'interno di un ambiente NAT. Per informazioni dettagliate specifiche dell'implementazione, vedere i documenti relativi ai protocolli Microsoft Office all'indirizzo http://go.microsoft.com/fwlink/?linkid=145173&clcid=0x410.

Poiché il servizio A/V Edge è una risorsa aziendale gestita, per motivi di sicurezza e risorse è importante limitare l'accesso agli utenti autorizzati.

Le porte UDP 3478 e TCP 443 vengono utilizzate dai client per richiedere il servizio ad A/V Edge. Un client utilizza queste due porte per allocare rispettivamente le porte UDP e TCP per la connessione della parte remota. Per accedere al servizio A/V Edge, il client deve innanzitutto aver stabilito una sessione di segnalazione SIP autenticata nell'ambito della registrazione di Lync per ottenere le credenziali di autenticazione del servizio A/V Edge. Questi valori vengono inviati attraverso il canale di segnalazione protetto da TLS e vengono generati dal computer per limitare gli attacchi con dizionario. I client possono quindi utilizzare queste credenziali per l'autenticazione del digest con il servizio A/V Edge per allocare le porte da utilizzare in una sessione multimediale. Viene inviata dal client una richiesta di allocazione iniziale alla quale viene risposto con un messaggio nonce/richiesta di verifica 401 dal servizio A/V Edge. Il client invia una seconda richiesta di allocazione contenente il nome utente e un Nash MACH (Nash Massage Autenticazione Code) del nome utente e del nonce. È attivo anche un meccanismo di numeri di sequenza per impedire attacchi di tipo replay. Il server calcola il codice HMAC previsto in base al nome utente e alla password conosciuti e se i valori HMAC corrispondono viene eseguita la procedura di allocazione. In caso contrario, il pacchetto verrà eliminato. Il medesimo meccanismo HMAC viene applicato anche ai messaggi successivi durante questa sessione di chiamata. La durata massima di questo valore nome utente/password è di otto ore, al termine delle quali il client acquisisce un nuovo valore nome utente/password per le chiamate successive.

La porta TCP 50.000 in uscita viene utilizzata per Lync Server, incluso per la condivisione di applicazioni e desktop, il trasferimento file e la funzionalità A/V point-to-point di Windows Live Messenger 2011. Gli intervalli di porte UDP/TCP 50.000-59.999 vengono utilizzati per le sessioni multimediali con i partner Microsoft Office Communications Server 2007 che richiedono il servizio NAT/attraversamento firewall dal servizio A/V Edge. Poiché il servizio A/V Edge è il solo processo che utilizza queste porte, la dimensione dell'intervallo di porte non indica la potenziale superficie di attacco. Ai fini della sicurezza, è consigliabile ridurre sempre al minimo il numero totale di porte di attesa evitando di eseguire servizi di rete non necessari. Se un servizio di rete non è in esecuzione, non può essere sfruttato dall'autore di un attacco remoto e la superficie di attacco del computer host viene ridotta. Tuttavia, all'interno di un singolo servizio, la riduzione del numero di porte non assicura lo stesso vantaggio. Il software del servizio A/V Edge non è esposto a un rischio maggiore di attacchi se le porte aperte sono 10.000 anziché 10. L'allocazione delle porte incluse in questo intervallo viene eseguita in modo casuale e le porte attualmente non allocate non restano in attesa di pacchetti. Per informazioni dettagliate, vedere Determinazione dei requisiti di porte e firewall A/V esterni nella documentazione relativa alla pianificazione.

In Lync Server 2010 un server perimetrale è un singolo server che esegue tutti e tre i servizi perimetrali, inclusi i servizi Access Edge, Web Conferencing Edge e A/V Edge. I server perimetrali che non utilizzano un servizio di bilanciamento del carico possono utilizzare NAT per tutti e tre i ruoli servizio. Non è necessario pertanto fornire al server effettivo un indirizzo IP instradabile pubblicamente ed è possibile utilizzare l'intervallo di indirizzi perimetrali. La modalità NAT tuttavia non è supportata per il perimetro interno del server perimetrale.

Se si utilizzano più server perimetrali con un dispositivo di bilanciamento del carico hardware, è necessario allocare un indirizzo pubblico per l'IP virtuale del dispositivo di bilanciamento del carico hardware e per il servizio A/V Edge. L'indirizzo pubblico deve fornire l'accesso instradabile diretto per i client che accedono al servizio A/V Edge tramite Internet. Se si utilizzano più server perimetrali con bilanciamento del carico DNS, è necessario allocare un indirizzo pubblico per ogni indirizzo esterno.

Questo è necessario perché l'indirizzamento per una sessione multimediale si verifica a livello di indirizzo IP, dove la presenza di una funzione NAT può interrompere la connettività end-to-end. Per un server perimetrale, la modalità NAT consente solo la conversione degli indirizzi e non fornisce alcuna sicurezza tramite il controllo dei pacchetti o l'applicazione di regole dei criteri di routing. L'unico vantaggio potenziale offerto da NAT è quello di coprire l'indirizzo IP del server, ma tentare di nascondere l'indirizzo IP dei server di rete non è un modo affidabile per garantire sicurezza. Tutti i server perimetrali devono essere associati correttamente a un criterio firewall per limitare l'accesso client alle porte di attesa designate e devono disabilitare tutti i servizi di rete non necessari. Se si applicano queste procedure consigliate, la modalità NAT non offre alcun vantaggio aggiuntivo.

Per consentire agli utenti esterni e agli utenti interni di scambiare contenuto multimediale, è necessario un servizio Access Edge per gestire la segnalazione SIP indispensabile per configurare e interrompere una sessione. È necessario inoltre un servizio A/V Edge che agisca come relè per il trasferimento del contenuto multimediale. Nella figura seguente viene illustrata la sequenza di chiamate.

Sequenza di chiamate per consentire l'attraversamento multimediale di NAT e firewall

c7c70bf2-a9e6-4d5c-941d-ff7bb6f6c13d

La sequenza di eventi riportata di seguito si verifica quando un utente esterno chiama gli utenti interni e deve pertanto essere in grado di inviare audio, VoIP o entrambi per mezzo dell'A/V Edge Server:

  1. Nel contesto di questa sessione SIP crittografata e autenticata l'utente ottiene le credenziali di autenticazione del servizio di autenticazione A/V inviando una richiesta SIP SERVICE al servizio.

  2. L'utente esterno esegue l'autenticazione con il servizio A/V Edge e ottiene le porte per la sessione multimediale (Lync Server 2010 utilizza le porte 3478/UDP e 443/TCP) sul server da utilizzare nella chiamata imminente. A questo punto l'utente esterno può inviare i pacchetti tramite la porta allocata nell'indirizzo IP pubblico del servizio A/V Edge, ma non può inviare i pacchetti multimediali all'interno dell'organizzazione.

  3. L'utente esterno chiama l'utente interno tramite il canale di segnalazione SIP fornito dal servizio Access Edge. Durante l'impostazione della chiamata, l'utente interno viene informato della porta disponibile nel servizio 'A/V Edge per lo scambio del contenuto multimediale.

  4. L'utente interno contatta il servizio A/V Edge all'indirizzo IP privato per essere autenticato per la ricezione del contenuto multimediale. All'utente interno viene inoltre allocata una porta sull'indirizzo pubblico del servizio A/V Edge (Lync Server 2010 utilizza le porte 3478/UDP e 443/TCP) da utilizzare nella sessione multimediale. Dopo aver ricevuto la porta, l'utente interno risponde sempre tramite il servizio Access Edge alla chiamata e così informa l'utente esterno della porta che ha ottenuto nel servizio A/V Edge per lo scambio multimediale.

  5. L'impostazione della chiamata è stata completata. Gli utenti interno ed esterno iniziano a scambiare i dati multimediali.

Riepilogando, per l'invio di contenuto multimediale nell'organizzazione è necessario che l'utente esterno sia autenticato e che un utente interno autenticato abbia concordato esplicitamente lo scambio di flussi multimediali. In Lync Server 2010 vengono utilizzate le porte TCP 50.000-59.999 in uscita. Lync Server 2010 federato con partner Office Communications Server 2007 continua a utilizzare l'intervallo di porte UDP/TCP 50.000-59.999. Per la federazione con partner Lync Server 2010 oppure Office Communications Server 2007 R2 verranno utilizzate le porte 3478/UDP e 443/TCP, nonché l'intervallo di porte TCP 50.000-59.999 in uscita.

Il canale di segnalazione utilizzato per negoziare una sessione multimediale viene protetto tramite la crittografia TLS a 128 bit con la convalida che il certificato del server disponga di un FQDN corrispondente e di un'autorità attendibile. Questo meccanismo è molto simile a quello utilizzato dai siti di e-commerce per la transazioni online. Per garantire una maggiore sicurezza del contenuto multimediale, Lync Server 2010 implementa il protocollo SRTP di IETF. Il meccanismo utilizza uno scambio di chiave a 128 bit sul canale di segnalazione protetto, che i due endpoint utilizzano quindi per crittografare e decrittografare il flusso multimediale tramite la crittografia AES (Advanced Encryption Standard) a 128 bit. In questo modo, anche se viene eseguito un attacco man-in-the-middle del percorso multimediale, l'autore dell'attacco non sarà comunque in grado di ascoltare la conversazione o di inserire altri pacchetti multimediali. In quest'ultimo caso, il client elimina semplicemente i pacchetti.

 
Mostra: