Microsoft Lync Server 2010: Lync エッジ サーバーのセキュリティ
Lync Server では、多くの標準的なセキュリティ対策を使用していますが、追加の保護を提供するように Lync Server を構成することができます。
Rui Maximo
今日、エンタープライズ システムで、セキュリティ リスクが発生するのは珍しいことではありません。Microsoft Lync Server 2010 で提供されるサービスなど、リモート ユーザーとフェデレーション パートナーを対象としてインターネットに企業のサービスを公開するようにサーバーを構成する必要がある場合、セキュリティは切実な問題となります。
一方、サービスをインターネットに公開すると、従業員は、場所を問わずリモートで柔軟に作業をすることができますが、攻撃の問題には常に配慮する必要が生じます。Microsoft Lync Server 2010 では、多数の業界標準のセキュリティ対策を採用しています。たとえば、ユーザー ID やサーバーに対するスプーフィング攻撃を回避するため、Lync Server の通信では、すべて認証が行われています。また、権限のないユーザーへの情報公開や転送中の改ざんを防止するため、ネットワーク トラフィックは暗号化されています。インテリジェント IM (IIM) フィルターは、ソーシャル エンジニアリングに対する保護を提供し、セキュリティ フィルターはサービス拒否 (DoS) 攻撃に対する保護を提供します。これらのセキュリティ対策を組み合わせて使用すると、効果的なセキュリティ境界を築くことができます。
Lync のセキュリティ対策
Microsoft Lync Server 2010 で使用する通信チャネルは、すべて暗号化されます。サーバー間の通信は、Mutual Transport Layer Security (MTLS) を使用して暗号化および認証されます。各サーバーでは、信頼されている証明書機関 (CA) によってサーバー証明書が発行されます。この証明書は、認証やネットワーク セッションの暗号化に使用される対称キーの交換に使用します。
内部から接続しているユーザーは、Kerberos を使用して認証されます。一方、外部から接続しているユーザーは、TLS-DSK または Windows NT LAN Manager (NTLM) を使用して認証されます。TLS-DSK は、証明書ベースの認証です。Lync クライアントでは、Lync Server への初回サインイン時にクライアント証明書を要求します。Lync Server では、自己署名証明書を発行します。Lync クライアントでは、2 回目以降のサインインで、この証明書を使用し、この証明書は 6 か月ごとに更新されます。Lync では、次のような他のセキュリティ対策も使用しています。
- Lync では、信号プロトコルとしてセッション開始プロトコル (SIP) を使用し、暗号化にはトランスポート層セキュリティ (TLS) を使用します。
- セキュリティで保護された SIP チャネルを使用するので、IM トラフィックでは、TLS で提供されるのと同じ暗号化のメリットを享受できます。
- アプリケーションの共有では、リモート デスクトップ プロトコル (RDP) を使用します。この TCP トラフィックでは、基盤となるトランスポート プロトコルとして TLS を使用します。認証は、セキュリティで保護された SIP チャネル経由で行われます。
- Web 会議のトラフィックでは、永続共有オブジェクト モデル (PSOM) を使用します。また、PSOM では、基盤となるトランスポート プロトコルとして TLS を使用し、認証はセキュリティで保護された SIP チャネル経由で行われます。
Lync Server との間で発生するオーディオとビデオ (A/V) のトラフィックは、データの漏えいやパケットの挿入を防ぐため、Secure Real Time Protocol (SRTP) を使用して保護されています。SRTP では、128 ビットの高度暗号化標準 (AES) ストリームの暗号化を使用しています。Lync Server では、2 つのエンドポイント間で A/V のトラフィックがフローすることを許可する前に、ファイアウォールとネットワーク アドレス変換 (NAT) をスキャンするメディアのパスを確立します。
ファイアウォールをスキャンするため、Lync Server では、インターネット技術標準化委員会 (IETF) が定めた標準である Interactive Connectivity Establishment (ICE) を使用して、2 つのエンドポイント間の最短メディア パスを特定します。ICE は、Session Traversal Utilities for NAT (STUN) および Traversal Using Relay NAT (TURN) という 2 つのプロトコルをベースとした標準です。
STUN では、外部ユーザーのエンドポイントの NAT の IP アドレスが、内部ユーザーの Lync クライアントで認識されるようにします。これは、外部ユーザーが使用している Lync クライアントでは、ファイアウォールを経由して他のクライアントで認識される IP アドレスを特定するのに役立ちます。TURN では、内部ユーザーの Lync エンドポイントが外部ユーザーの Lync エンドポイントに接続できるようにエッジ サーバーの外部音声ビデオ エッジにメディア ポート割り当てます。
企業のファイアウォールにより、内部エンドポイントは、外部エンドポイントに直接接続することはできません。そのため、エッジ サーバーの外部音声ビデオ エッジにメディア ポートを動的に割り当てることで、内部エンドポイントでは、このポート経由で外部エンドポイントにメディアを送信できるようになります。ネットワーク境界の外側に配置されているファイアウォールは、エッジ サーバーの外部音声ビデオ エッジからインターネットへの発信接続を許可するように事前に構成する必要があります。
エッジ サーバーは、メディア リレー アクセス サーバー (MRAS) の役割を担っています。メディア パスを確立する以外に、この ICE ネゴシエーションでは、TLS でセキュリティが確保された SIP チャネル経由で 128 ビットの AES キーを交換します。このキーは、メディア フローを暗号化するのに役立ちます。また、8 時間ごとに循環するコンピューターが生成したパスワードに基づいています。シーケンス番号とランダムに生成されたパスワードにより、再生攻撃を防げます。
エンタープライズ ボイスの通話でも SRTP を使用します。そのため、音声ビデオのトラフィックと同じ暗号化のメリットを享受します。配布リストの拡張、連絡先、会議データなどのサービスの Web トラフィックも HTTPS で暗号化されます。
ネットワーク分離の強制
インターネット ベースの攻撃からエッジ サーバーを保護する効率的な対策には、ネットワークの分離、ファイアウォールの構成、ユーザー保護、DoS 攻撃に対するフィルター処理など、いくつかの方法があります。エッジ サーバーは、ネットワーク境界に配置することを想定して特別に用意された役割です。この役割を使用すると、リモート ユーザーによるアクセスや他の組織とのフェデレーションが可能になります。
インターネット ベースの攻撃からエッジ サーバーを適切に保護することは重要です。可能であれば、最低 1 つ (できれば 2 つ) のファイアウォールを使用してエッジ サーバーをネットワークから分離することをお勧めします。一方のファイアウォールでは、インターネット トラフィックからエッジ サーバーを保護し、もう一方のファイアウォールでは、エッジ サーバーを内部トラフィックから分離します。
エッジ サーバーには、少なくとも 2 枚の NIC を搭載している必要があります。1 枚はインターネット ネットワークへの接続に使用し、もう 1 枚は内部ネットワークへの接続に使用します。これらの NIC は、別のサブネットで構成し、同じ IP アドレス空間を共有しないようにする必要があります (図 1 参照)。また、この 2 つのサブネット間では、ルーティングできないようにする必要があります。
これがどのようなことを意味するかというと、内部の Lync クライアントは、エッジ サーバーの外部エッジ (たとえば、インターネットに接続している NIC) にアクセスできず、外部の Lync クライアントは、エッジ サーバーの内部エッジ (たとえば、内部ネットワークに接続している NIC) にアクセスできません。
.jpg)
図 1 分離されたサブネットでは、同じ IP アドレス空間を共有できません
ファイアウォールの規則を注意して設計する
ファイアウォールの規則を構成するのは、容易な作業ではありません。必要以上にポートを開かないようにするには、Lync Server で使用する必要があるポートとプロトコルを適切に理解している必要があります。監査を実施するときにセキュリティ チームに要件を説明する必要があるときには、このような知識が必要になります。セキュリティ チームは、開いているポートの明確な目的を知りたいと考えます。というのも、セキュリティ チームは、攻撃の進入経路とならないように、ファイアウォールに不要なセキュリティ ホールを開けないようにする必要があるからです。
セキュリティ監査の担当者は、次のような情報を必要とします。
- Lync Server の各役割 (特にエッジ サーバー) で使用するプロトコルは
- それらの各プロトコルで必要なポートは
- ネットワーク接続が許可されている方向は
プロトコルのポスターは、視覚的な資料および貴重な情報源として役立ちます (詳細については、図 2 を参照してください。ポスター全体を確認するには、ここをクリックしてください)。プロトコルは色付きの線で示されています。各プロトコルで使用するポートは、各線の中で示されています。矢印は、ネットワーク セッションが開始される方向を示しています。
.jpg)
図 2 Lync では、サーバーとエンドポイント間の通信を可能にして、通信をセキュリティで保護するために、多くのプロトコルを使用しています
ユーザーを保護する
ユーザーは、知らないうちにリンクをクリックして、悪意のある Web サイトにアクセスしたり、ウイルスやスパムのペイロードをダウンロードすることがあります。ウイルスやスパムに感染したときにコンピューターの制御を取り戻す作業は、少なくとも気分の良いものではありません。
このような状況に対応するため、IIM フィルターでは、ユーザーがクリック可能な URL を送信できないようにしています。これは、URL にアンダースコア (_) を追加することで実現しています。そのため、ユーザーが受信した URL のサイトにアクセスするには、URL をコピーして貼り付けた後にアンダースコアを削除する必要があります。この追加作業により、ユーザーは自分が行っている操作を把握できるようになり、知らないうちに Web サイトにアクセスすることがなくなります。
情報は、簡単に組織を出入りできます。ユーザーは、電子メール、IM、USB ドライブ、およびクラウド ベースのファイル共有を使用して、ドキュメントを転送できます。これらのチャネルに対して一貫したポリシーを適用できるのが望ましいでしょう。IIM フィルターは、ファイルの転送を防止するために Lync で採用されている方法です。ファイルの転送を許可するには、各従業員のコンピューターに最新のウイルス対策ソフトがインストールされ、Lync を使用してダウンロードしたファイルをスキャンできる状態になっている必要があります。
DoS 攻撃に備える
DoS 攻撃を、正式なサインインの要求と区別するのは、ほぼ不可能です。唯一異なるのは、サインインの試行頻度とどこからサインインしているかです。何度も続けて大量のサインインが試行されるという現象は DoS 攻撃が仕掛けられていることを暗示します。DoS 攻撃では、許可されていないアクセスを取得するために、ユーザーのパスワードを推測します。そのため、Active Directory ドメイン サービスでセキュリティ ポリシーが有効になっている場合、ユーザーのアカウントがロックアウトされることがあります。
エッジ サーバーでは、DoS 攻撃に対する保護は提供しません。ですが、Lync Server では、SIP メッセージを傍受して、特殊なロジックを実行するフィルターを作成することができます。IIM フィルター、ファイル送信フィルター、セキュリティ フィルターでは、このプラットフォーム モデルを採用して追加の機能を提供しています。
セキュリティ フィルターは、エッジ サーバーに着信するサインイン要求を調査するサーバーに適用するフィルターです。リモート ユーザーはエッジ サーバーでは認証されないので、サインイン要求はディレクターまたは内部プールに直接渡されます。この段階で認証プロセスが発生します。
認証プロセスの実行後、応答がエッジ サーバーに返されます。セキュリティ フィルターでは、要求と応答の両方を調べます。サインインが失敗した場合、セキュリティ フィルターではユーザー アカウントごとに失敗回数を追跡します。
次にクライアントが同じユーザー アカウントにサインインしようとしたときに、許可されているサインインの最大試行回数を失敗回数が超えていると、セキュリティ フィルターでは、要求の認証を行うことなく、要求を直ちに拒否します。エッジ サーバーでアカウント ロックアウトを適用することで、セキュリティ フィルターでは DoS 攻撃をネットワーク境界でブロックし、Lync Server の内部リソースを保護します。
資産を保護する
企業のデータをセキュリティで保護することは、IT プロフェッショナルが担っている主要な責任の 1 つです。Lync Server 2010 がセキュリティで保護されるように適切に構成する方法を把握し、追加で必要になる対策を理解することが重要です。次のリストは、Lync Server の展開を保護する手順の簡単な覚え書きとして役立ちます。
- ネットワークの分離: 2 つのファイアウォールの間に配置してエッジ サーバーを保護します。ループバックを防ぐため、個別のサブネットを構成します。
- ポート、プロトコル、接続の方向 (着信/発信) を把握する: この情報は、セキュリティ チームにファイアウォールで開く必要があるポートを説明するときに役立ちます。
- IIM フィルターを活用する: クリック可能な URL を含むメッセージやファイルの転送を開始するメッセージをブロックします。
- セキュリティ フィルターを活用する: ブルート フォース パスワード攻撃と DoS 攻撃から防御します。
- Windows Server には定期的に更新プログラムを適用します。
これらのセキュリティを確保するための手順は、インターネット攻撃から、できるかぎり防御するように、エッジ サーバーと Microsoft Lync Server 2010 を構成するのに役立ちます。
.jpg)
Rui Maximo は、テクノロジ業界で 18 年以上にわたる経験を持ち、マイクロソフト、IBM、RSA、および数社の新興企業で働いたことがあります。専門的に学んだ分野は、コンピューター サイエンス、数学、および暗号化です。Lync Server については、RTC という名前そ使用していた 2003 年から熟知しています。RTC 製品チームでは、まずプログラム マネージャー、続いてリード プログラム マネージャーとして働きました。Maximo は、Microsoft Lync Server とその以前のバージョンに関する 5 冊の書籍の主な執筆者でもあります。