處理 Office Communications Server 2007 R2 Enterprise Voice 面臨的威脅

Communications Server 2007 R2

上次修改主題的時間: 2012-02-01

Enterprise Voice 是 Office Communications Server 的軟體架構 VoIP 解決方案。Enterprise Voice 可將 VoIP 用於內部通話,或是連線至傳統電話網路。由於內部 VoIP 通話與 IM 一樣都會經過加密,因此 VoIP 主要的安全性考量,是在與未加密公用交換電話網路 (PSTN) 之間的通話轉接。

Enterprise Voice 需要兩種裝置來提供 VoIP 與 PSTN 之間的連線:

  • 媒體閘道:將本地電話系統訊號通訊協定轉譯成 SIP over TLS (建議選項),或轉譯成 IP 網路傳輸所適用的 TCP (選擇性)。
  • 中繼伺服器 (亦即 Office Communications Server) 能視需要將 SIP over TCP 轉譯成適用於內部路由傳送的 SIP over TLS。
Dd572332.note(zh-tw,office.13).gif附註:
Enterprise Voice 支援三種媒體閘道:基本、基本/混合、進階媒體閘道。進階媒體閘道的環境並不需要中繼伺服器,因為中繼伺服器的邏輯已經整合到閘道本身,不過目前尚未提供這類型的閘道。在這段討論中,我們假設您的部署需要中繼伺服器來提供 PSTN 連線能力。如需媒體閘道和「中繼伺服器」的詳細資訊,請參閱《規劃和架構》文件中的<Enterprise Voice 支援>。

如果您將媒體閘道和中繼伺服器間的連結配置成使用 TCP,由於訊號未經加密,這個連結會成為潛在的安全性漏洞。然而,目前現有的閘道大多不支援 MTLS,因此在您升級閘道前,可能還是需要使用 TCP 來連接中繼伺服器。針對此潛在弱點所建議的安全防護措施,是將中繼伺服器部署於自有的子網路中,也就是為「中繼伺服器」安裝兩張網路介面卡,分別以不同的連接埠設定和不同子網路的 IP 位址設定。其中一張網路介面卡將做為中繼伺服器的內部邊緣,以偵聽內部伺服器的 TLS 流量。另一張網路介面卡則做為中繼伺服器的外部邊緣,偵聽媒體閘道的 TCP 流量。使用兩個各司其職的偵聽位址能清楚區隔 Office Communications Server 網路產生的受信任流量與 PSTN 產生的未受信任流量。

顯示: