비즈니스용 Skype 서버 대한 TLS 및 MTLS

TLS(전송 계층 보안) 및 MTLS(상호 전송 계층 보안) 프로토콜은 인터넷에서 암호화된 통신 및 엔드포인트 인증을 제공합니다. 비즈니스용 Skype 서버 이러한 두 프로토콜을 사용하여 신뢰할 수 있는 서버의 네트워크를 만들고 해당 네트워크를 통한 모든 통신이 암호화되도록 합니다. 서버 간의 모든 SIP 통신은 MTLS를 통해 발생합니다. 클라이언트에서 서버로의 SIP 통신은 TLS를 통해 발생합니다.

TLS를 사용하면 사용자가 클라이언트 소프트웨어를 통해 연결하는 비즈니스용 Skype 서버 서버를 인증할 수 있습니다. TLS 연결에서 클라이언트는 서버에 유효한 인증서를 요청합니다. 유효하려면 클라이언트에서 신뢰할 수 있는 CA에서 인증서를 발급해야 하며 서버의 DNS 이름이 인증서의 DNS 이름과 일치해야 합니다. 인증서가 유효한 경우 클라이언트는 인증서의 공개 키를 사용하여 통신에 사용할 대칭 암호화 키를 암호화합니다. 따라서 인증서의 원래 소유자만이 개인 키를 사용하여 통신 내용을 복호화할 수 있습니다. 그 지점으로부터 시작된 연결은 신뢰할 수 있으며 다른 신뢰할 수 있는 서버나 클라이언트에서 검사하지 않습니다. 이 컨텍스트 내에서 웹 서비스에 사용되는 SSL(Secure Sockets Layer)을 TLS 기반로 연결할 수 있습니다.

서버 간 연결은 상호 인증을 위해 MTLS를 사용합니다. MTLS 연결에서 메시지를 보낸 서버와 그것을 받는 서버는 상호 간에 신뢰할 수 있는CA에서 발급된 인증서를 교환합니다. 인증서는 각 서버의 ID를 상대방 서버에게 증명합니다. 비즈니스용 Skype 서버 배포에서 유효한 기간 동안 발급 CA에서 해지되지 않은 엔터프라이즈 CA에서 발급한 인증서는 Active Directory 도메인의 모든 멤버가 해당 도메인의 엔터프라이즈 CA를 신뢰하기 때문에 모든 내부 클라이언트 및 서버에서 자동으로 유효한 것으로 간주됩니다. 페더레이션 시나리오에서는 두 페더레이션 파트너가 발급 CA를 신뢰할 수 있어야 합니다. 각 파트너는 원하는 경우 다른 파트너가 해당 CA를 신뢰할 수 있는 한 다른 CA를 사용할 수 있습니다. 이 신뢰는 Edge 서버가 파트너의 루트 CA 인증서를 신뢰할 수 있는 루트 CA에 두거나 두 당사자가 신뢰하는 타사 CA를 사용하여 가장 쉽게 수행할 수 있습니다.

TLS 및 MTLS는 도청 및 중간자 공격을 모두 방지하는 데 도움이 됩니다. 중간자 공격의 공격자는 당사자에 대한 정보가 없어도 공격자의 컴퓨터를 통해 두 네트워크 엔터티 간의 통신을 다시 라우팅합니다. 신뢰할 수 있는 서버의 TLS 및 비즈니스용 Skype 서버 사양(토폴로지 작성기에서 지정한 서버만)은 두 엔드포인트 간의 공개 키 암호화를 사용하여 조정된 엔드투엔드 암호화를 사용하여 애플리케이션 계층에서 맨인더 중간 공격의 위험을 부분적으로 완화하고, 공격자는 해당 프라이빗 키와 함께 유효하고 신뢰할 수 있는 인증서를 가지고 있어야 하며, 해당 프라이빗 키와 함께 발급된 서비스 이름에 발급되어야 합니다. 클라이언트가 통신을 해독하기 위해 통신하고 있습니다. 그러나 궁극적으로 네트워킹 인프라(이 경우 회사 DNS)를 사용하여 모범 보안 사례를 따라야 합니다. 비즈니스용 Skype 서버 DNS 서버가 도메인 컨트롤러 및 글로벌 카탈로그를 신뢰할 수 있는 것과 동일한 방식으로 신뢰할 수 있다고 가정하지만 DNS는 공격자의 서버가 스푸핑된 이름에 대한 요청에 성공적으로 응답하지 않도록 하여 DNS 하이재킹 공격에 대한 보호 수준을 제공합니다.