Шифрование для Skype для бизнеса Server
Skype для бизнеса Server использует TLS и MTLS для шифрования мгновенных сообщений. Весь межсерверный трафик требует использования MTLS независимо от того, ограничен ли трафик внутренней сетью или пересекает периметр внутренней сети. При подключении Skype для бизнеса Server к сторонним системам IPPBX или магистралям SIP протокол TLS является необязательным, но настоятельно рекомендуется использовать между сервером-посредником и шлюзом мультимедиа. If TLS is configured on this link, MTLS is required. Таким образом, шлюз должен быть настроен с помощью сертификата из ЦС, которому доверяет сервер-посредник.
Примечание.
Советы по безопасности в отношении SSL 3.0 были опубликованы в 2014 г. Отключение SSL 3.0 в Skype для бизнеса Server 2015 года является поддерживаемым вариантом. Дополнительные сведения о рекомендациях по безопасности см. в статье Отключение SSL 3.0 в Lync Server 2013 и Skype для бизнеса Server 2015.
Примечание по безопасности: Чтобы обеспечить самый надежный криптографический протокол, Skype для бизнеса Server 2015 предложит клиентам протоколы шифрования TLS в следующем порядке: TLS 1.2 , TLS 1.1, TLS 1.0. ПРОТОКОЛ TLS является критически важным аспектом Skype для бизнеса Server 2015 г., поэтому он необходим для поддержания поддерживаемой среды.
Примечание по безопасности: Чтобы обеспечить самый надежный криптографический протокол, Skype для бизнеса Server 2019 предложит клиентам протоколы шифрования TLS в следующем порядке: TLS 1.3, TLS 1.2. ПРОТОКОЛ TLS является критически важным аспектом Skype для бизнеса Server 2019 г., поэтому он необходим для поддержания поддерживаемой среды.
В следующей таблице представлена сводка требований протокола для каждого типа трафика.
Защита трафика
| Тип трафика | Защита |
|---|---|
| Сервер-сервер |
MTLS |
| Клиент-сервер |
TLS |
| Мгновенные сообщения и присутствие |
TLS |
| Аудио/видео и рабочий стол для общего доступа к мультимедиа |
SRTP |
| Общий доступ к рабочему столу (передача сигналов) |
TLS |
| веб-конференции |
TLS |
| Загрузка содержимого собрания, загрузка адресной книги, расширение группы рассылки |
HTTPS |
Шифрование мультимедиа
Трафик мультимедиа шифруется по протоколу SRTP, профилю протокола RTP, который обеспечивает конфиденциальность, проверку подлинности и защиту от атак с повторением пакетов для трафика RTP. Кроме того, потоки мультимедиа в обоих направлениях между сервером-посредником и его внутренним узлом следующего прыжка также шифруются с помощью SRTP. Дополнительно выполняется (и рекомендуется) шифрование трафика мультимедиа в обоих направлениях между сервером-посредником и медиашлюзом. Сервер-посредник может обеспечивать шифрование на медиашлюзе, однако шлюз должен поддерживать MTLS и хранилище сертификатов.
Примечание.
Дополнительные сведения о настройке гибридного подключения см. в разделе Планирование гибридного подключения.
FIPS
Skype для бизнеса Server и Microsoft Exchange Server 2016 года работают с поддержкой алгоритмов FIPS 140-2, если операционные системы Windows Server настроены на использование алгоритмов FIPS 140-2 для системного шифрования. Чтобы реализовать поддержку FIPS, необходимо настроить ее поддержку на каждом сервере, на котором выполняется Skype для бизнеса Server.