TLS e MTLS per Lync Server 2010

 

Ultima modifica dell'argomento: 2011-05-02

I protocolli TLS e MTLS forniscono le comunicazioni crittografate e l'autenticazione degli endpoint su Internet. Microsoft Lync Server 2010 utilizza questi due protocolli per creare la rete di server trusted e assicurare che tutte le comunicazioni su tale rete vengano crittografate. Tutte le comunicazioni SIP tra server avvengono tramite MTLS. Le comunicazioni SIP da client a server avvengono tramite TLS.

TLS consente agli utenti, attraverso il software client, di autenticare i server Lync Server 2010 a cui si connettono. In una connessione TLS, il client richiede al server un certificato valido. Per essere valido, il certificato deve essere stato emesso da una CA considerata attendibile anche dal client e il nome DNS del server deve corrispondere al nome DNS nel certificato. Se il certificato è valido, il client utilizza la chiave pubblica del certificato per crittografare le chiavi di crittografia simmetrica da utilizzare nella comunicazione, in modo che solo il proprietario originale del certificato possa utilizzare la sua chiave privata per decrittografare il contenuto. La connessione risultante è considerata attendibile e, da questo punto di vista, non riceve richieste di autenticazione da altri client o server trusted. In questo contesto, SSL (Secure Sockets Layer), utilizzato con i servizi Web, può essere associato come basato su TLS.

Le connessioni server-server si basano su MTLS (Mutual TLS) per l'autenticazione reciproca. In una connessione MTLS, il server che origina un messaggio e il server che lo riceve si scambiano certificati provenienti da una CA che entrambi considerano attendibile. I certificati provano l'identità di ogni server all'altro. Nelle distribuzioni di Lync Server 2010, i certificati emessi dalla CA globale (enterprise) che rientrano nel periodo di validità e non sono stati revocati dalla CA emittente vengono automaticamente considerati validi da tutti i server e i client interni, in quanto tutti i membri di un dominio di Active Directory considerano attendibile la CA globale di tale dominio. Negli scenari federati, la CA emittente deve essere considerata attendibile da entrambi i partner federati. Questa attendibilità viene realizzata più facilmente tramite i server perimetrali che dispongono del certificato della CA radice del partner nelle proprie CA radice attendibili oppure tramite l'utilizzo di una CA di terze parti considerata attendibile da entrambe le parti.

TLS e MTLS consentono di prevenire sia gli attacchi eavesdropping che quelli di tipo man-in-the-middle. In un attacco man-in-the-middle, l'autore dell'attacco reinstrada le comunicazioni tra due entità di rete attraverso il proprio computer senza che una delle due parti ne sia a conoscenza. TLS e la specifica dei server trusted di Lync Server 2010 (solo quelli specificati dal Generatore di topologie) limitano parzialmente il rischio di un attacco man-in-the middle a livello di applicazione utilizzando la crittografia end-to-end coordinata mediante la crittografia a chiave pubblica tra i due endpoint. Per decrittografare la comunicazione, l'autore di un attacco dovrebbe disporre di un certificato valido e attendibile con la chiave privata corrispondente ed emesso a nome del servizio con il quale il client sta comunicando. In ultima analisi, tuttavia, l'infrastruttura di rete (in questo caso il DNS aziendale) deve essere protetta in base alle procedure consigliate. Lync Server 2010 presuppone che il server DNS sia trusted allo stesso modo in cui sono considerati attendibili i controller di dominio e i cataloghi globali, ma DNS offre un livello di protezione contro i dirottamenti DNS impedendo che il server dell'autore di un attacco risponda correttamente a una richiesta dal nome contraffatto.

Nella figura seguente è illustrato in dettaglio il modo in cui Lync Server 2010 utilizza MTLS per creare una rete di server trusted.

Connessioni trusted in una rete di Lync Server

437749da-c372-4f0d-ac72-ccfd5191696b