解决针对 Lync Server 2010 企业语音的威胁

上一次修改主题： 2012-10-18

企业语音是 Microsoft Lync Server 2010 中提供的基于软件的 VoIP 解决方案。企业语音既可以使用 VoIP 进行内部呼叫，也可以使用 VoIP 连接到传统电话网络。与 IM 类似，内部 VoIP 呼叫全部经过了加密，因此与 VoIP 相关的安全问题集中在经由未加密的公用电话交换网 (PSTN) 的呼叫传输上。

企业语音需要使用以下两种设备来提供与 PSTN 的 VoIP 连接：

• 与服务提供商的 PSTN（如 IP PBX、媒体网关、会话边界控制器）连接的设备。

• 中介服务器这一 Lync Server 2010 角色，可根据需要将 SIP over TCP 转换为 SIP over TLS 以进行内部路由。

如果您选择为 TCP 配置媒体网关和中介服务器之间的链接，该链接会因信号未经加密而成为潜在的安全漏洞。然而，当前可连接到 PSTN 的一些设备都不支持 MTLS，因此可能需要与中介服务器建立 TCP 连接才能升级设备。为了减轻此潜在安全问题的威胁，建议通过安装两个网络接口卡（每个网络接口卡使用不同子网中的单独 IP 地址且设置不同的端口）来在中介服务器自己的子网中部署中介服务器。其中一个卡用作中介服务器的内部边缘，侦听来自内部服务器的 TLS 流量。另一个卡用作中介服务器的外部边缘，侦听来自媒体网关的 TCP 流量。使用两个专用侦听地址可确保明确区分源自 Lync Server 2010 网络中的受信任流量和源自 PSTN 的不受信任流量。有关两个专用的非路由子网的必要性的详细信息，请参阅 https://go.microsoft.com/fwlink/?linkid=214403&clcid=0x804 上的“Communications Server 中介服务器：双重 NIC 问题”