Misure di sicurezza per la federazione per Lync Server 2010
Ultima modifica dell'argomento: 2011-07-17
La federazione consente alle organizzazioni di comunicare con gli Access Edge Server di altre organizzazioni per condividere la messaggistica istantanea e le informazioni sulla presenza. Se è stata abilitata la federazione nel servizio Access Edge, l'accesso dei partner federati viene controllato tramite uno dei metodi seguenti:
Consentire l'individuazione automatica dei partner federati. Questa è l'opzione predefinita durante la configurazione iniziale di un servizio Access Edge, in quanto offre un compromesso accettabile tra sicurezza e facilità di configurazione e gestione. Quando ad esempio si abilita l'individuazione automatica dei partner federati nel servizio Access Edge, Microsoft Lync Server 2010 consente a qualsiasi dominio federato di inviare comunicazioni al computer in uso e valuta automaticamente il traffico in ingresso dai partner federativi, limitandolo o bloccandolo in base al livello di attendibilità, alla quantità e alle impostazioni dell'amministratore.
Consentire l'individuazione dei partner federati, ma concedere un livello maggiore di attendibilità a domini specifici o agli Access Edge Server specificati nell'elenco Consenti. Se ad esempio si desidera concedere un livello maggiore di attendibilità ai partner che utilizzano i domini SIP contoso.com e fabrikam.com, aggiungere i due domini nella scheda Consenti. Limitando l'individuazione in questo modo, è possibile definire un livello maggiore di attendibilità per le connessioni con i domini o il servizio Access Edge aggiunti all'elenco Consenti, mantenendo la semplicità di gestione garantita dall'individuazione di altri partner federativi non aggiunti nella scheda Consenti. È inoltre disponibile un'opzione di blocco del dominio che consente l'applicazione di filtri ai domini SIP.
Non consentire l'individuazione dei partner federativi e limitarne l'accesso ai soli domini o Access Edge Server per cui si desidera abilitare le connessioni. Le connessioni con i partner federati saranno consentite solo ai domini o ai servizi Access Edge specifici aggiunti nella scheda Consenti. Questo metodo offre il livello massimo di sicurezza a discapito della semplicità di gestione. Se ad esempio viene modificato il nome di dominio completo (FQDN) di un servizio Access Edge, sarà necessario modificare manualmente l'FQDN del server nell'elenco Consenti.
Modalità di valutazione del traffico federato quando si utilizza l'individuazione automatica
Se si sceglie di utilizzare l'individuazione automatica dei partner federati, il servizio Access Edge valuta automaticamente il traffico federato in ingresso nel modo seguente:
Se una parte federata invia richieste per oltre 1.000 URI (validi o non validi) nel dominio locale, la connessione posizionata per prima nell'elenco di verifica verrà valutata per prima. Le successive richieste vengono quindi bloccate dal servizio Access Edge. Se il servizio Access Edge rileva traffico potenzialmente dannoso in una connessione, il partner federativo viene limitato a una frequenza di messaggi ridotta a un messaggio al secondo. Il traffico potenzialmente dannoso viene rilevato calcolando il rapporto tra il numero di risposte con esito positivo e quello di risposte con esito negativo. Il servizio Access Edge limita anche le connessioni dei partner federati legittimi a 20 messaggi al secondo, a meno che non siano incluse nell'elenco Consenti. L'elenco di connessioni peer potenzialmente dannose viene visualizzato nella console Gestione computer del servizio Access Edge.
Se si prevede che il numero di richieste inviate da un partner federato legittimo sia maggiore di 1.000 o che il volume di messaggi al secondo inviati all'organizzazione sia superiore a 20, è necessario aggiungere il partner federato nella scheda Consenti per consentire tali volumi.
Nella figura seguente vengono illustrati i limiti relativi alla frequenza in una federazione aperta.
Limitazione delle connessioni per la federazione avanzata
.jpg "fd05b5b5-be85-42e6-9140-9277e2a64182")
Dopo aver configurato la federazione, è possibile utilizzare gli strumenti di amministrazione di Lync Server per gestire l'accesso dei partner federati con frequenza regolare. Per informazioni dettagliate, vedere la documentazione Pannello di controllo di Lync Server.