Lync Server 2010 のエンタープライズ VoIP における脅威への対応

トピックの最終更新日: 2012-10-18

エンタープライズ VoIP は、Microsoft Lync Server 2010 で使用できるソフトウェアベースの VoIP ソリューションです。エンタープライズ VoIP では、内部通話と従来の電話網への接続の両方に対して VoIP が使用されます。IM などの内部 VoIP 通話はすべて暗号化されるため、VoIP 固有のセキュリティの問題は、暗号化されない公衆交換電話網 (PSTN) に対する発信通話および着信通話の転送に絞られます。

エンタープライズ VoIP では、PSTN との VoIP 接続を可能にするために次の 2 つのデバイスが必要になります。

• IP PBX、メディア ゲートウェイ、サービス プロバイダーのセッション境界コントローラーなど、PSTN に接続できるデバイス。

• 必要に応じて内部ルーティングの SIP over TCP を SIP over TLS に変換できる Lync Server 2010 サーバーの役割の仲介サーバー。

TCP 用にメディア ゲートウェイと仲介サーバー間のリンクを構成することを選択した場合、信号が暗号化されないことから、このリンクが潜在的なセキュリティの盲点になります。それにもかかわらず、現在利用できる PSTN 接続可能デバイスの中には MTLS をサポートしていないものもあるため、デバイスをアップグレードできるようになるまで、仲介サーバーへの TCP 接続が必要な場合があります。この潜在的なセキュリティ問題を緩和する推奨方法は、仲介サーバーに 2 つのネットワーク インターフェイス カードを取り付け、それぞれに個別サブネットの個別 IP アドレスおよび個別ポートを割り当てることで、仲介サーバーを独自のサブネットに展開することです。一方のカードは、仲介サーバーの内部境界として機能し、内部サーバーからの TLS トラフィックをリッスンします。もう一方のカードは、仲介サーバーの外部境界として機能し、メディア ゲートウェイからの TCP トラフィックをリッスンします。2 つの専用リッスン アドレスを使用することで、Lync Server 2010 ネットワーク内で発生した信頼できるトラフィックと、PSTN からの信頼性の低いトラフィックが常に明確に区別されます。ルーティングされない 2 つの専用サブネットの必要性の詳細については、「Communications Server Mediation Server: Dual NIC Issue」(https://go.microsoft.com/fwlink/?linkid=214403&clcid=0x411) を参照してください。