Microsoft Lync Server 2010: Segurança de servidor borda Lync
Embora o Lync Server utilize diversos recursos de segurança padrão, você pode configurá-lo para obter níveis adicionais de proteção.
Rui Maximo
Riscos de segurança para sistemas corporativos são comuns e constante nos dias de hoje. Preocupações com a segurança são particularmente agudas quando você precisar configurar servidores para expor serviços corporativos — como aqueles fornecidos pelo Microsoft Lync Server 2010 — à Internet para usuários remotos e parceiros federados.
Enquanto expondo os serviços para a Internet permite que os empregados a flexibilidade e mobilidade do trabalho remotamente, existe sempre a preocupação de ataques. Microsoft Lync Server 2010 usa uma série de medidas de segurança padrão do setor. Todas as comunicações Lync servidor são autenticadas para impedir que a identidade do usuário ou servidor de falsificação. O tráfego de rede é criptografado para impedir a divulgação não autorizada de informações ou violação de transmissão. O filtro de mensagens instantâneas inteligente (IIM) ajuda a proteger contra a engenharia social, e o filtro de segurança protege contra ataques de negação de serviço (DoS). Juntos, esses recursos fornecem uma barreira de segurança eficazes.
Medidas de segurança Lync
Todos os canais de comunicação que Microsoft Lync Server 2010 usa é criptografado. Todas as comunicações servidor a servidor são criptografadas e autenticadas usando MTLS Mutual Transport Layer Security (). Cada servidor é emitido um certificado de servidor por um confiável autoridade de certificação (CA), que é usado para autenticação e para trocar uma chave simétrica usada para criptografar a sessão de rede.
Os usuários são autenticados usando Kerberos se o usuário é interno; TLS-DSK ou Windows NT LAN Manager (NTLM) se o usuário for externo. TLS-DSK é a autenticação baseada em certificado. Após entrar com êxito em Lync servidor na primeira vez, o cliente Lync solicita um certificado de cliente. Lync servidor emite um certificado auto-assinado, que o cliente Lync usa para todos os logins subseqüentes. Este certificado é renovado a cada seis meses. Lync usa outras táticas de segurança:
- Lync usa o Session Initiation Protocol (SIP) como o protocolo de sinalização, que é criptografado usando segurança de camada de transporte (TLS).
- Porque aproveita o canal SIP protegido, tráfego de mensagens instantâneas beneficia da mesma criptografia fornecida por TLS.
- Compartilhamento de aplicativo usa o Remote Desktop Protocol (RDP). Este tráfego TCP usa TLS como o transporte subjacente. Autenticação é estabelecida pelo canal SIP protegido.
- Tráfego de conferência na Web usa Persistent Shared Object Model (PSOM). PSOM também usa TLS como o transporte subjacente, e autenticação também é estabelecida pelo canal SIP protegido.
Áudio e vídeo (A / V) tráfego viajar para e do servidor de Lync está protegido com Tempo Real protocolo SRTP (Secure) para evitar que qualquer pacote de espionagem ou de injeção. SRTP usa criptografia de 128-bit Advanced Encryption Standard (AES) em transmitir. Lync servidor estabelece um caminho de mídia que pode passar por firewalls e conversões de endereço (NATs) de rede antes de permitir A / V de tráfego flua entre dois pontos de extremidade.
Passar por firewalls, Lync Server usa o padrão Internet Engineering Task Force (IETF) de estabelecimento de conectividade interativa (ICE) para determinar o caminho de mídia mais direto entre dois pontos de extremidade. ICE baseia-se nos dois protocolos, sessão Traversal utilitários para NAT (STUN) e passagem usando Relay NAT (turno).
STUN reflete os endereços de IP NAT de ponto de extremidade do usuário externo visível para Lync cliente do usuário interno. Isso ajuda o externo do Lync cliente usuário determinar quais endereços IP outros clientes podem ver através de firewalls. TURNO aloca mídia portas sobre o a externa / borda v do servidor de borda para permitir que o ponto final de Lync do usuário interno para se conectar ao ponto de extremidade do usuário externo Lync.
O ponto de extremidade interno não pode se conectar diretamente ao ponto de extremidade externo por causa dos firewalls corporativos. Portanto, por alocar dinamicamente uma mídia porta sobre o A / borda v do servidor de borda, o ponto de extremidade interno pode enviar a mídia para o ponto de extremidade externo sobre esta porta. Você vai ter que pré-configurar o firewall de perímetro de rede externa para permitir que o A / borda v do servidor de borda para iniciar conexões de Internet de saída.
O servidor de Borda atua como um servidor de acesso de retransmissão de mídia (ARM). Além de estabelecer o caminho de mídia, esta negociação ICE troca uma chave AES de 128 bits através do canal SIP protegido por TLS. Esta chave ajuda a criptografar o fluxo de mídia e é baseado em uma senha gerada por computador que gira a cada oito horas. Um número de seqüência e geração aleatória impedir ataques de repetição.
Chamadas de voz corporativo também usam SRTP. Portanto, eles compartilham os benefícios da / V criptografia de tráfego. Tráfego da Web para serviços, tais como dados de conferência, catálogo de endereços e expansão da lista de distribuição também é criptografado por HTTPS.
Aplicar isolamento da rede
Existem várias práticas eficazes para proteger o servidor de borda de ataques baseados na Internet: rede isolamento, configuração de firewall, proteção de usuários e filtragem para ataques DoS. A função de servidor de borda é projetada especificamente para ser implantado no perímetro da rede. Ele permite o acesso de usuários remotos e Federação com outras organizações.
É importante proteger corretamente o servidor de borda de ataques baseados na Internet. Uma prática recomendada é isolar o servidor de Borda pelo menos um firewall, preferencialmente duas, se possível. Um firewall protege o servidor de borda do tráfego da Internet e o outro firewall isola o servidor de borda de tráfego interno.
O servidor de borda deve ter pelo menos duas placas de rede — uma NIC conectado à rede Internet, e a outra placa de rede conectado à rede interna. Você terá que configurar as placas de rede em sub-redes separadas e não compartilham o mesmo espaço de endereço IP (consulte Figura 1). Estas duas sub-redes não devem ser roteáveis em uns aos outros.
O que isto significa é que um cliente interno do Lync não pode acessar a borda externa (por exemplo, a placa de rede de Internet) do servidor de borda. O cliente Lync externo não pode acessar a borda interna (por exemplo, o NIC face interna) do servidor de borda.
.jpg)
Figura 1 sub-redes separadas não podem compartilhar o mesmo espaço de endereço do IP.
Regras de Firewall de Design cuidadosamente
Configurar suas regras de firewall não é uma tarefa trivial. Para impedir a abertura de portas mais do que o necessário, você precisará de um sólido entendimento de quais portas e protocolos Lync servidor precisa usar. Isto é particularmente verdadeiro se você precisa explicar os requisitos para sua equipe de segurança durante uma auditoria. Eles vão querer saber exatamente por quê serve de cada porta aberta. Eles estão apenas fazendo seu trabalho para garantir que não há furos desnecessários são perfurados através do firewall que pode tornar-se vetores de ataque.
Uma auditoria de segurança provavelmente vai querer saber as seguintes informações:
- O que protocolos faz uso de papel cada servidor Lync, em particular, o servidor de borda?
- Quais portas de cada um destes protocolos exigem?
- Em que direção é a conexão de rede permitida?
O cartaz de protocolo é um auxílio visual útil e valiosa fonte de informação (ver Figura 2 para ver uma parte do cartaz, e clique aqui para ver o cartaz na sua totalidade). As linhas coloridas indicam os protocolos. As portas de que cada protocolo usa são mostradas no interior de cada linha. As setas especificam a direção em que a sessão de rede é iniciada.
.jpg)
Figura 2 Lync usa muitos protocolos para proteger e permitir a comunicação entre servidores e pontos de extremidade.
Protegendo os usuários
Os usuários muitas vezes inadvertidamente clique em um link, então perceber muito tarde eles navegado para um site desonestos e baixado uma carga de vírus ou spam. Recuperar o controle de seus computadores depois que uma destas infecções é uma experiência desagradável, para dizer o mínimo.
Para ajudar a combater essas situações, o filtro IIM impede que usuários enviar URLs clicáveis. Ele faz isso, acrescentando um sublinhado (_) para a URL. Isso requer que o destinatário copiar e colar o URL e remover o sublinhado antes que eles podem navegar nesse site. Apenas esse esforço extra garante que o usuário sabe o que eles estão fazendo e a navegação não vai ser um acidente.
Podem facilmente o fluxo de informações dentro e fora de uma organização. Os usuários podem transferir documentos por correio electrónico, mensagens instantâneas, USB unidades e compartilhamentos de arquivos baseado em nuvem. Você vai querer impor uma política consistente entre os canais. O filtro IIM é o método de Lync de impedir a transferência de arquivos. Se você deseja permitir a transferência de arquivo, certifique-se de que computador de cada funcionário mantém um scanner antivírus actualizado que fará a varredura de arquivos baixados com Lync.
Preparando para DoS ataques
Ataques doS são quase indistinguíveis de pedidos legítimos de início de sessão. A única diferença é a frequência de tentativas de início de sessão e sua origem. Um grande número de tentativas de início de sessão em rápida sucessão é indicativo de um ataque DoS. Ataques doS tentam adivinhar a senha do usuário para obter acesso não autorizado e muitas vezes resultam em bloqueio de conta de usuário se a diretiva de segurança é habilitada nos serviços de domínio Active Directory.
O servidor de Borda não proteger contra esses ataques. No entanto, Lync Server permite que você crie filtros que interceptam mensagens SIP para executar lógica especializada. O IIM filtro filtro de transferência de arquivo e segurança aproveitam este modelo de plataforma para fornecer recursos adicionais também.
O filtro de segurança é um aplicativo de servidor que inspeciona todas as entrada solicitações de entrada no servidor de borda. O usuário remoto não está autenticado no servidor de borda, assim que a solicitação de entrada é passada para o diretor ou diretamente para o pool interno. Isto é onde acontece o processo de autenticação.
A resposta, em seguida, é passada para o servidor de borda. O filtro de segurança inspeciona a solicitação e resposta. Se a entrada falhar, o filtro de segurança controla o número de tentativas para cada conta de usuário.
Na próxima vez que um cliente tenta entrar para a mesma conta de usuário e o número de tentativas fracassadas excede o número máximo de permitido entrar tentativas, o filtro de segurança imediatamente rejeita o pedido sem passar o pedido ao longo de autenticação. Através da aplicação de bloqueio de conta no servidor de borda, o filtro de segurança blocos DoS ataques na borda do perímetro da rede e protege os recursos internos do servidor Lync.
Proteja seus ativos
Proteger seus dados corporativos é uma das suas principais responsabilidades. É importante saber como corretamente configurar Lync Server 2010 com segurança e compreender as medidas adicionais necessárias. Esta lista pode servir como um lembrete rápido para obter as etapas proteger a implantação do servidor de Lync:
- Isolamento da rede: Protege o servidor de borda, ocupando entre dois firewalls. Configure sub-redes separadas para evitar loopbacks.
- Conhecer suas portas, protocolos e direção (entrada/saída): isso irá atendê-lo bem quando explicando a sua equipe de segurança que buracos você precisa dar um soco através do firewall.
- Aproveite o filtro IIM: bloquear mensagens que contêm URLs clicáveis ou que tentam iniciar as transferências de arquivos.
- Aproveite o filtro de segurança: defender-se contra ataques de senha de força bruta e ataques DoS.
- Regularmente Patch Windows Server.
Seguindo estes passos de segurança deve ajudá-lo a configurar o servidor de borda e Microsoft Lync Server 2010 para defender contra ataques da Internet como o melhor pode.
.jpg)
**Rui Maximo**tem mais de 18 anos na indústria de tecnologia, tendo trabalhado com a Microsoft, IBM, RSA e várias startups. Sua formação é em criptografia, matemática e ciência da computação. Seu conhecimento da data de Lync Server 2003, quando ele foi originalmente chamado de RTC. Ele trabalhou na equipe de produto do RTC como gerente de programa e levar, em seguida, gerente de programa. Maximo é o principal autor de cinco livros sobre Microsoft Lync Server e suas versões anteriores.