Microsoft Lync 2010 Server: Lync Edge Server Security
Sebbene Lync Server utilizzi diverse misure di protezione standard, è possibile eseguire configurazioni manuali per raggiungere ulteriori livelli di protezione.
Rui Maximo
Rischi per la sicurezza per sistemi aziendali sono all'ordine del giorno e costante in questi giorni. Preoccupazioni per la sicurezza sono particolarmente acute, quando è necessario configurare il server per esporre servizi aziendali — ad esempio quelli forniti da Microsoft Lync Server 2010 — a Internet per gli utenti remoti e partner federati.
Mentre esponendo i servizi di Internet consente ai dipendenti, la flessibilità e la mobilità di lavorare da remoto, c'è sempre la preoccupazione degli attacchi. Microsoft Lync Server 2010 utilizza una serie di misure di sicurezza standard di settore. Tutte le comunicazioni Lync Server vengono autenticate per evitare che l'identità dell'utente o server lo spoofing. Traffico di rete è codificato per evitare la divulgazione non autorizzata di informazioni o manomissione di trasmissione. Il filtro intelligente IM (IIM) aiuta a proteggere contro l'ingegneria sociale, e il filtro di protezione difende dagli attacchi Denial of Service (DoS). Presi insieme, questi forniscono una barriera di sicurezza efficace.
Misure di sicurezza Lync
Ogni canale di comunicazione che utilizza Microsoft Lync Server 2010 è crittografato. Tutte le comunicazioni server-server vengono crittografate e autenticato utilizzando reciproca Transport Layer Security (MTLS). Ogni server viene rilasciato un certificato server da una fiducia certificato Authority (CA), che viene quindi utilizzato per l'autenticazione e per lo scambio di una chiave simmetrica utilizzata per crittografare la sessione di rete.
Gli utenti vengono autenticati utilizzando Kerberos, se l'utente è interna; DSK-TLS o Windows NT LAN Manager (NTLM) se l'utente è esterno. TLS-DSK è l'autenticazione basata su certificati. Dopo la firma con successo al Lync Server il primo tempo, il client di Lync richiede un certificato client. Lync Server rilascia un certificato autofirmato, che il client Lync utilizza per tutti gli accessi successivi. Questo certificato viene rinnovato ogni sei mesi. Lync utilizza altre tattiche di sicurezza, nonché:
- Lync Session Initiation Protocol (SIP) utilizza il protocollo di segnalazione, che viene crittografato utilizzando Transport Layer Security (TLS).
- Perché sfrutta il canale protetto di SIP, traffico IM beneficia la stessa crittografia fornita da TLS.
- Condivisione di applicazione utilizza il protocollo RDP (Remote Desktop). Questo traffico TCP utilizza TLS come trasporto sottostante. L'autenticazione è stabilito in un canale protetto di SIP.
- Traffico web conferencing utilizza l'oggetto modello PSOM (Persistent Shared). PSOM utilizza anche TLS come trasporto sottostante e l'autenticazione è stabilito anche sopra il canale protetto di SIP.
Audio e video (A / V) traffico in viaggio da e verso il Lync Server è protetto con tempo reale protocollo SRTP (Secure) per prevenire eventuali intercettazioni o pacchetto di iniezione. SRTP utilizza la crittografia a 128 bit Advanced Encryption Standard (AES) flusso. Lync Server stabilisce un percorso multimediale in grado di attraversare i firewall e network address translation (NAT) prima di consentire A / V traffic a scorrere tra due endpoint.
Per attraversare i firewall, Lync Server utilizza lo standard Internet Engineering Task Force (IETF) il Interactive Connectivity Establishment (ICE) per determinare il percorso di mezzi di comunicazione più diretto tra due endpoint. ICE è basato su due protocolli, sessione Traversal Utility per NAT (STUN) e Traversal tramite Relay NAT (TURN).
STUN riflette gli indirizzi IP NAT dell'endpoint dell'utente esterno visibile al client Lync interno dell'utente. Questo aiuta il cliente Lync dell'utente esterno determinare quali indirizzi IP altri client può vedere attraverso i firewall. TURN alloca media porti nell'esterno A / V edge di Edge Server per consentire l'endpoint Lync interna dell'utente per connettersi all'endpoint Lync dell'utente esterno.
L'endpoint interna Impossibile connettersi direttamente all'endpoint esterno a causa dei firewall aziendale. Pertanto, da allocare dinamicamente un media porta nell'A / V edge dell'Edge Server, l'endpoint interno possibile inviare media all'esterno endpoint su questa porta. Dovrete pre-configurare il firewall perimetrale di rete esterna per consentire l'A / V edge di Edge Server per avviare le connessioni Internet in uscita.
L'Edge Server serve come un server di accesso relè media (MRA). Oltre che istituisce il percorso multimediale, questo negoziato ICE scambia una chiave AES a 128 bit in un canale protetto da TLS SIP. Questa chiave consente di crittografare il flusso multimediale e si basa su una password generate al computer che ruota ogni otto ore. Un numero di sequenza e la generazione casuale scoraggiare attacchi di tipo replay.
Chiamate vocali Enterprise inoltre utilizzano SRTP. Pertanto, essi condividere i benefici dell'A / V traffic crittografia. Traffico web per servizi come dati di espansione, rubrica e conferenze elenco distribuzione anche viene crittografato tramite HTTPS.
Far rispettare l'isolamento della rete
Ci sono diverse pratiche efficace per proteggere l'Edge Server da attacchi basati su Internet: isolamento, configurazione del firewall, protezione dell'utente e filtraggio per attacchi DoS in rete. Il ruolo Server Edge è progettato specificamente per essere distribuito nella rete perimetrale. Consente l'accesso utente remoto e Federazione con altre organizzazioni.
È importante proteggere adeguatamente l'Edge Server da attacchi basati su Internet. Una procedura consigliata è quello di isolare l'Edge Server con almeno un firewall, preferibilmente due, se possibile. Un firewall protegge il Server Edge dal traffico Internet e altri firewall consente di isolare l'Edge Server da traffico interno.
L'Edge Server deve avere almeno due schede di rete — una scheda di rete connessa alla rete Internet, e la scheda di rete connessa alla rete interna. Dovrete configurare queste schede di rete in subnet separata e non condividono lo stesso spazio di indirizzi IP (vedere Figura 1). Questi due sottoreti devono non essere instradabili attraverso l'altro.
Ciò significa che un client Lync interno non può accedere il margine esterno (ad esempio, il NIC a Internet) di Edge Server. Lync client esterni non possono accedere al bordo interno (ad esempio, la rivolta interna NIC) dell'Edge Server.
.jpg)
Figura 1 subnet Separate non possono condividere lo spazio di indirizzo IP stesso.
Progettare attentamente le regole del Firewall
Configurare le regole firewall non è un compito banale. Per impedire l'apertura dei porti più del necessario, avrete bisogno di una solida comprensione di cui porte e protocolli Lync Server deve utilizzare. Ciò è particolarmente vero se è necessario spiegare i requisiti per la tua squadra di sicurezza durante un audit. Vogliono sapere esattamente quale scopo serve ogni porta aperta. Stanno solo facendo loro lavoro per garantire che nessun inutili fori sono punzonati attraverso il firewall che può diventare vettori di attacco.
Un controllo di sicurezza probabilmente vorrà sapere le seguenti informazioni:
- Protocolli di che cosa fa ogni uso del ruolo Lync Server, in particolare l'Edge Server?
- Quali porte ciascuno di questi protocolli richiedono?
- In che direzione è consentita la connessione di rete?
Il manifesto del protocollo è un utile aiuto visivo e preziosa fonte di informazioni (vedere Figura 2 per visualizzare una porzione del manifesto, e clicca qui per vedere il poster nella sua interezza). Le linee di codice a colori indicano i protocolli. Ogni protocollo utilizza le porte vengono visualizzate all'interno di ogni riga. Le frecce specificano la direzione in cui viene avviata la sessione di rete.
.jpg)
Figura 2 Lync utilizza molti protocolli per garantire e consentire le comunicazioni tra i server e gli endpoint.
Proteggere gli utenti
Gli utenti spesso inavvertitamente clicca su un link, quindi rendersi conto troppo tardi hanno navigato per un sito Web canaglia e scaricato un payload del virus o spam. Riprendere il controllo dei computer dopo una di queste infezioni è un'esperienza spiacevole, per non dire altro.
Per aiutare il contatore queste situazioni, il filtro IIM impedisce agli utenti di inviare l'URL cliccabili. Lo fa mediante l'aggiunta di un carattere di sottolineatura (_) all'URL. Ciò richiede al destinatario di copiare e incollare l'URL e rimuovere il carattere di sottolineatura, prima che essi possono navigare a quel sito. Tale sforzo assicura l'utente sa che cosa stanno facendo e la navigazione non sarà un incidente.
Informazioni possono facilmente scorrere dentro e fuori di un'organizzazione. Gli utenti possono trasferire documenti via e-mail, IM, USB drives e condivide file basato su cloud. Ti consigliamo di applicare una politica coerenza attraverso questi canali. Il filtro IIM è il metodo Lync di impedire il trasferimento di file. Se si desidera consentire il trasferimento di file, assicurarsi che il computer di ogni dipendente mantiene uno scanner antivirus aggiornato che eseguirà la scansione file scaricati con Lync.
Attacchi di rinforzo per DoS
Attacchi doS sono quasi indistinguibili da legittime richieste di accesso. L'unica differenza è la frequenza di tentativi di accesso e la loro origine. Un gran numero di tentativi di accesso in rapida successione è indicativo di un attacco DoS. Attacchi doS tentano di indovinare la password dell'utente per ottenere l'accesso non autorizzato e causano spesso bloccandone l'account utente, se il criterio di protezione è attivato in servizi di dominio Active Directory.
L'Edge Server non protegge contro tali attacchi DoS. Tuttavia, Lync Server consente di creare filtri che intercettare messaggi SIP per eseguire logica specializzato. Il filtro IIM, filtro di File Transfer e filtro di protezione sfruttare questo modello di piattaforma per fornire funzionalità aggiuntive come bene.
Il filtro di protezione è un'applicazione server che controlla tutte le in ingresso richieste di accesso sul Server Edge. L'utente remoto non è autenticato all'Edge Server, quindi la richiesta di accesso viene passata al direttore o direttamente alla piscina interna. Questo è in cui avviene il processo di autenticazione.
La risposta viene quindi passata al Server Edge. Il filtro di sicurezza controlla sia la richiesta e la risposta. Se nel segno non riesce, il filtro di protezione tiene traccia del numero di tentativi falliti per ogni account utente.
La prossima volta che un client tenta di accedere allo stesso account utente e il numero di tentativi falliti supera il numero massimo di consentito l'accesso a tentativi, il filtro di protezione immediatamente respinge la richiesta senza passare la richiesta lungo per l'autenticazione. Imponendo il blocco dell'account sul Server Edge, il filtro di protezione blocchi DoS attacchi al margine della rete perimetrale e protegge le risorse interne Lync Server.
Proteggere le vostre risorse
Proteggere i dati aziendali è una delle vostre responsabilità primaria. È importante sapere come correttamente configurare Server di Lync 2010 in modo sicuro e capire le misure supplementari eventualmente necessarie. Questo elenco può servire come un rapido promemoria per la procedura proteggere la distribuzione di Lync Server:
- Isolamento della rete: Proteggere l'Edge Server si sandwiching tra due firewall. Configurare subnet separata per evitare di loopback.
- So Your porti, protocolli e direzione (in entrata/in uscita): questo vi servirà bene quando spiegando al tuo team di sicurezza quali fori è necessario punzone attraverso il firewall.
- Sfruttare il filtro IIM: bloccare i messaggi che contengono URL cliccabili o che tenta di avviare i trasferimenti di file.
- Sfruttare il filtro di protezione: difendersi contro gli attacchi di forza bruta password e attacchi DoS.
- Regolarmente Patch Windows Server.
Seguendo questi passaggi di sicurezza dovrebbe contribuire a configurare l'Edge Server e Microsoft Lync Server 2010 per difendersi contro gli attacchi di Internet, come meglio si può.
.jpg)
**Rui Maximo**ha più di 18 anni nel settore della tecnologia, avendo lavorato con Microsoft, IBM, RSA e diverse start-up. La sua educazione è in crittografia, matematica e informatica. Sua conoscenza di Lync Server risalgono al 2003, quando si chiamava originariamente RTC. Lavorò nella squadra dei prodotto RTC program manager e poi lead program manager. Maximo è il principale autore di cinque libri sul Server di Microsoft Lync e le sue versioni precedenti.