TLS и MTLS для Skype для бизнеса Server
Протоколы TLS и MTLS предоставляют зашифрованный обмен данными и проверку подлинности конечной точки в Интернете. Skype для бизнеса Server использует эти два протокола для создания сети доверенных серверов и обеспечения шифрования всех подключений по этой сети. Весь обмен данными по протоколу SIP между серверами происходит по протоколу MTLS. Обмен данными по протоколу SIP от клиента к серверу выполняется по протоколу TLS.
ПРОТОКОЛ TLS позволяет пользователям через клиентское программное обеспечение проверять подлинность Skype для бизнеса Server серверов, к которым они подключаются. При подключении по протоколу TLS клиент запрашивает действительный сертификат у сервера. Чтобы сертификат был действительным, он должен быть выдан ЦС, который также является доверенным объектом клиента, а имя DNS должно соответствовать имени сертификата. Если сертификат действительный, клиент использует открытый ключ в сертификате для шифрования симметричных ключей шифрования, которые будут использоваться для обмена данными, поэтому только исходный владелец сертификата может использовать закрытый ключ для шифрования содержимого сеанса обмена данными. Результатом является доверенное подключение, которое после этого уже не проверяется другими доверенными серверами или клиентами. В рамках этого контекста протокол SSL, используемый веб-службами, может быть связан как протокол на базе TLS.
Для подключений типа "сервер-сервер" используется протокол MTLS для взаимной проверки подлинности. В подключениях по протоколу MTLS создавший сообщение сервер и сервер, который получает его, обмениваются сертификатами из ЦС со взаимным доверием. Сертификаты подтверждают идентичность каждого из серверов с другим. В Skype для бизнеса Server развертываниях сертификаты, выданные корпоративным ЦС в течение срока действия и не отозванные выдаваемым ЦС, автоматически считаются действительными всеми внутренними клиентами и серверами, так как все члены домена Active Directory доверяют корпоративному ЦС в этом домене. В федеративных сценариях оба федеративных партнера должны доверять выдающему ЦС. Каждый партнер может использовать разные ЦС (при необходимости), пока другой партнер доверяет этому ЦС. Это доверие легче всего обеспечить пограничными серверами, имеющими сертификат корневого ЦС партнера в доверенных корневых ЦС, или с помощью стороннего ЦС, которому доверяют обе стороны.
TLS и MTLS помогают предотвратить прослушивание и атаки типа "злоумышленник в середине". В атаке "злоумышленник в середине" злоумышленник перенаправляет связь между двумя сетевыми объектами через свой компьютер без ведома любой из сторон. Спецификация TLS и Skype для бизнеса Server доверенных серверов (только указанных в построителе топологий) снижают риск атаки типа "злоумышленник в середине" частично на уровне приложений с помощью сквозного шифрования, скоординированного с использованием шифрования открытого ключа между двумя конечными точками. Злоумышленнику потребуется действительный и доверенный сертификат с соответствующим закрытым ключом и выданный на имя служба, с которой клиент взаимодействует для расшифровки связи. Ultimately, however, you must follow best security practices with your networking infrastructure (in this case corporate DNS). Skype для бизнеса Server предполагает, что DNS-сервер является доверенным так же, как контроллеры домена и глобальные каталоги являются доверенными, но DNS обеспечивает уровень защиты от атак перехвата DNS, предотвращая успешное реагирование сервера злоумышленника на запрос с поддельным именем.