Resolvendo ameaças do Enterprise Voice para o Office Communications Server 2007 R2

Tópico modificado em: 2012-02-01

O Enterprise Voice é a solução VoIP baseada em software do Office Communications Server. O Enterprise Voice usa o VoIP para chamadas internas e para conexão a redes telefônicas tradicionais. Como as chamadas VoIP internas VoIP, como a mensagem instantânea, são todas criptografadas, preocupações de segurança específicas para o foco VoIP na transferência de chamadas de e para redes de telefone pública comutada não criptografada (PSTN).

O Enterprise Voice exige dois dispositivos para oferecer a conectividade VoIP com o PSTN:

• Um gateway de mídia que traduz os protocolos de sinalização do sistema de telefone local para SIP através do TLS (recomendado) ou TCP (opcional) para transmissões através de redes IP.
• Uma função do Office Communications Server, o Servidor de Mediação, pode traduzir o SIP através do TCP para SIP através de TLS para roteamento interno, se necessário.

Observação:

O Enterprise Voice suporta três tipos diferentes de gateways de mídia: básico, básico/híbrido e gateway de mídia avançado. O gateway de mídia avançado elimina a necessidade de um Servidor de Mediação incorporando sua lógica no gateway adequado, mas tais gateways ainda não estão disponíveis. Para discutir isso, é assumido que sua implementação exija um Servidor de Mediação para a conectividade PSTN. Para obter mais detalhes sobre os gateways de mídia e o Servidor de Mediação, consulte o Suporte ao Enterprise Voice na documentação Planejamento e Arquitetura.

Se você escolher configurar o link entre um gateway de mídia e um Servidor de Mediação para TCP, este link torna-se um furo de segurança em potencial porque a sinalização não é criptografada. Independente disso, vários gateways disponíveis atualmente não suportam MTLS, portanto uma conexão TCP para o Servidor de Mediação pode ser exigida até o momento que você possa atualizar seu gateway. A mitigação recomendada para esta potencial vulnerabilidade é implantar o Servidor de Mediação na sua própria subrede instalando duas placas de interface de rede, cada uma com um endereço IP diferente em uma subrede diferente com uma configuração de porta diferente. Uma placa serve como a borda interna do Servidor de Mediação, ouvindo o tráfego TLS dos servidores internos. A segunda placa age como a borda externa do Servidor de Mediação, ouvindo ao tráfego TCP do gateway de mídia. Usar dois endereços dedicados garante a separação clara entre o tráfego confiável originado na rede do Office Communications Server e o tráfego não confiável do PSTN.