Протоколы TLS и MTLS для Skype для бизнеса Server 2015

Skype for Business Server 2015
 

Протоколы TLS и MTLS предоставляют зашифрованный обмен данными и проверку подлинности конечной точки в Интернете. Skype для бизнеса Server 2015 использует эти два протокола для создания сети доверенных серверов и обеспечения шифрования всех сеансов обмена данными в Интернет. Весь обмен данными по протоколу SIP между серверами происходит по протоколу MTLS. Обмен данными по протоколу SIP от клиента к серверу выполняется по протоколу TLS.

Протокол TLS позволяет пользователям посредством их клиентского ПО выполнять проверку подлинности серверов Skype для бизнеса Server 2015 , к которым они подключаются. При подключении по протоколу TLS клиент запрашивает от сервера действительный сертификат. Чтобы сертификат был действительным, он должен быть выдан ЦС, который также является доверенным объектом клиента, а имя DNS должно соответствовать имени сертификата. Если сертификат действительный, клиент использует открытый ключ в сертификате для шифрования симметричных ключей шифрования, которые будут использоваться для обмена данными, поэтому только исходный владелец сертификата может использовать закрытый ключ для шифрования содержимого сеанса обмена данными. Результатом является доверенное подключение, которое после этого уже не проверяется другими доверенными серверами или клиентами. В рамках этого контекста протокол SSL, используемый веб-службами, может быть связан как протокол на базе TLS.

Для подключений типа "сервер-сервер" используется протокол MTLS для взаимной проверки подлинности. В подключениях по протоколу MTLS создавший сообщение сервер и сервер, который получает его, обмениваются сертификатами из ЦС со взаимным доверием. Сертификаты подтверждают идентичность каждого из серверов с другим. В развертываниях Skype для бизнеса Server 2015 сертификаты, которые выданы корпоративным ЦС с действительным сроком действия и не отозваны, автоматически рассматриваются всеми внутренними клиентами и серверами как действительные, так как все члены домена Active Directory доверяют корпоративному ЦС с этом домене. В федеративных сценариях оба федеративных партнера должны доверять выдающему ЦС. Каждый партнер может использовать разные ЦС (при необходимости), пока другой партнер доверяет этому ЦС. Обеспечить это доверие легко, указав корневой сертификат ЦС партнера для пограничных серверов в их доверенных корневых ЦС или при использовании сторонних ЦС в качестве доверенных объектов обоих сторон.

Протоколы TLS и MTLS позволяют предотвратить прослушивание и атаки типа "злоумышленник в середине". В атаках типа "злоумышленник в середине" злоумышленник скрытым способом перенаправляет маршрут обмена данными между двумя объектами сети через свой компьютер. Протокол TLS и спецификация Skype для бизнеса Server 2015 доверенных серверов (только тех, которые указаны в построителе топологий) частично устраняет риски атак типа "злоумышленник в середине" на уровне приложения посредством использования сквозного шифрования, управляемого с помощью криптографии открытого ключа между двумя конечными точками, поэтому злоумышленнику необходимо было бы иметь действительный и доверенный сертификат с соответствующим закрытым ключом, выданным от имени службы, с которой клиент взаимодействует с целью шифрования обмена данными. Тем не менее, необходимо следовать рекомендациям безопасности вашей сетевой инфраструктуры (в данном случае корпоративному DNS). Использование Skype для бизнеса Server 2015 предполагает, что сервер DNS является доверенным, как и контроллеры домена и глобальные каталоги, но DNS не обеспечивает уровень защиты от атак способом присоединения посередине (DNS hijack), запрещая серверу злоумышленника успешно давать ответ на запрос по поддельному имени.

 
Показ: