處理 Office Communications Server 2007 R2 Enterprise Voice 面臨的威脅

上次修改主題的時間： 2012-02-01

Enterprise Voice 是 Office Communications Server 的軟體架構 VoIP 解決方案。Enterprise Voice 可將 VoIP 用於內部通話，或是連線至傳統電話網路。由於內部 VoIP 通話與 IM 一樣都會經過加密，因此 VoIP 主要的安全性考量，是在與未加密公用交換電話網路 (PSTN) 之間的通話轉接。

Enterprise Voice 需要兩種裝置來提供 VoIP 與 PSTN 之間的連線：

• 媒體閘道：將本地電話系統訊號通訊協定轉譯成 SIP over TLS (建議選項)，或轉譯成 IP 網路傳輸所適用的 TCP (選擇性)。
• 中繼伺服器 (亦即 Office Communications Server) 能視需要將 SIP over TCP 轉譯成適用於內部路由傳送的 SIP over TLS。

附註：
Enterprise Voice 支援三種媒體閘道：基本、基本/混合、進階媒體閘道。進階媒體閘道的環境並不需要中繼伺服器，因為中繼伺服器的邏輯已經整合到閘道本身，不過目前尚未提供這類型的閘道。在這段討論中，我們假設您的部署需要中繼伺服器來提供 PSTN 連線能力。如需媒體閘道和「中繼伺服器」的詳細資訊，請參閱《規劃和架構》文件中的＜Enterprise Voice 支援＞。

如果您將媒體閘道和中繼伺服器間的連結配置成使用 TCP，由於訊號未經加密，這個連結會成為潛在的安全性漏洞。然而，目前現有的閘道大多不支援 MTLS，因此在您升級閘道前，可能還是需要使用 TCP 來連接中繼伺服器。針對此潛在弱點所建議的安全防護措施，是將中繼伺服器部署於自有的子網路中，也就是為「中繼伺服器」安裝兩張網路介面卡，分別以不同的連接埠設定和不同子網路的 IP 位址設定。其中一張網路介面卡將做為中繼伺服器的內部邊緣，以偵聽內部伺服器的 TLS 流量。另一張網路介面卡則做為中繼伺服器的外部邊緣，偵聽媒體閘道的 TCP 流量。使用兩個各司其職的偵聽位址能清楚區隔 Office Communications Server 網路產生的受信任流量與 PSTN 產生的未受信任流量。