媒體周遊

Communications Server 2007 R2

上次修改主題的時間: 2009-03-10

A/V Edge Service 為企業內外的媒體周遊提供單一的受信任連線點。

Office Communications Server 2007 R2 已變更 A/V Edge 的連接埠和通訊協定需求。根據您與協力廠商基礎結構同盟的需求和您的 Edge Server 設定,需要考慮下列連接埠:

  • UDP 3478
  • TCP 443
  • UDP 50,000–59,999
  • TCP 50,000–59,999

Office Communications Server 2007 R2 實作的是較新版本的互動式連線建立 (Interactive Connectivity Establishment,ICE) 通訊協定,以便與網路位址轉譯 (NAT) 環境內的對象交涉媒體連線。如需明確的實作詳細資料,請參閱<Microsoft Office 通訊協定說明文件>(英文),網址為 http://go.microsoft.com/fwlink/?LinkId=145173 。由於這個新的 ICE 規格,Office Communications Server 2007 R2 Audio/Video Edge Service 的連接埠需求已經變更。如需 Office Communications Server 2007 R2 中的 ICE 實作詳細資料,請參閱本文件最後的<其他資源>一節。

A/V Edge Service 是一項企業控管的資源,因此基於安全性和資源的考量,務必將其存取權限定於獲得授權的使用者。

UDP 3478 和 TCP 443 連接埠會由用戶端用來向 A/V Edge Service 要求服務。用戶端會使用這兩個連接埠,為遠端對象分別配置要連線的 UDP 和 TCP 連接埠。為了存取 A/V Edge Service,用戶端必須先建立經過驗證的 SIP 訊號工作階段 (Communicator 或 Meeting 主控台註冊),以取得 A/V Edge Service 驗證認證。這些值是由電腦產生以防禦字典攻擊,而且會在 TLS 保護的訊號通道中傳送。然後,用戶端會使用這些認證透過 A/V Edge Service 進行摘要式驗證,以配置用於媒體工作階段的連接埠。初始配置要求是由用戶端送出,然後由 A/V Edge Service 以 401 nonce/challenge 訊息回應。用戶端傳送第二個配置要求,其中包含使用者名稱以及使用者名稱和 nonce 組成的「雜湊訊息驗證碼」(Hash Message Authentication Code ,HMAC) 雜湊值。這其中還有一個序號機制以預防重播攻擊。伺服器會根據其所知的使用者名稱和密碼來計算預期的 HMAC。如果 HMAC 值相符,就會執行配置程序;否則,封包會被捨棄。這個 HMAC 機制也會套用至此呼叫工作階段內的後續訊息。這個使用者名稱/密碼值的存留期最多為八小時;到期後,用戶端將需要新的使用者名稱/密碼以進行後續呼叫。

使用 Office Communications Server 2007 的同盟協力廠商將需要 A/V Edge Service 的 NAT/防火牆周遊服務,而這些連接埠範圍就是用於與這些協力廠商之間的同盟媒體工作階段。因為 A/V Edge Service 是唯一會使用這些連接埠的處理程序,因此連接埠範圍的大小不代表潛在的攻擊面。藉由避免執行非必要的網路服務來將聆聽連接埠的總數減至最少,才是良好的安全性實務。只要網路服務不在執行中,遠端攻擊者就無法加以利用,而主機電腦的攻擊面也會縮小。然而,在單一服務內,減少連接埠的數量無法提供這樣的優點。A/V Edge Service 軟體只會開啟 10 個連接埠,而不會讓 10,000 個連接埠同時開啟並曝露於攻擊的風險中。這段範圍內的連接埠會隨機配置,未配置的連接埠不會聆聽封包。

在 Office Communications Server 2007 R2 中,沒有使用負載平衡器的單一合併 Edge Server 能夠將 NAT 用於所有三個服務角色。這表示您不需要提供實際伺服器的可公開路由傳送 IP 位址,而且能夠使用周邊位址範圍。然而,合併 Edge Server 的內部邊緣不支援 NAT。

於硬體負載平衡器後方使用多部 Edge Server 時,必須為硬體負載平衡器虛擬 IP 和 A/V Edge Service 配置公用位址。這個公用位址必須為經由網際網路存取 A/V Edge 的用戶端提供可直接路由傳送的存取。

必須這麼做的原因在於,媒體工作階段的定址是發生在 IP 位址層,如果其中存在 NAT 功能就可能會破壞端對端的連線能力。對於 Edge Server 而言,NAT 只是提供位址轉譯,它並不會經由強制執行路由原則規則或檢測封包而提供任何安全性。NAT 提供的唯一潛在優點是使伺服器的 IP 位址模糊難測,不過試圖隱藏網路伺服器的 IP 位址並非提供安全性的可靠方法。所有 Edge Server 都需要藉由使用適當關聯的防火牆原則來限制用戶端存取指定的聆聽連接埠,並停用所有非必要的網路服務,來保障其安全性。如果能夠遵循這些建議的作法,NAT 的存在就不再有其他優勢。

若要讓遠端使用者和內部使用者能夠交換媒體,將需要 Access Edge Service 處理設立和移除工作階段所需的 SIP 訊號。此外,也需要 A/V Edge Service 擔任媒體傳輸的中繼。圖 1 中描述的通話程序如下:

圖 1. 啟用媒體周遊 NAT 和防火牆的通話順序
Dd572409.ea464296-e516-40bf-938f-588e60e70dee(zh-tw,office.13).jpg

當遠端使用者呼叫內部使用者並因此需要能夠經由 A/V Edge Server 來傳送語音和 (或) VoIP 時,會依序發生下列事件:

  1. 遠端使用者藉由登入 Office Communications Server 來建立經過驗證的 SIP 工作階段。在這個經驗證並加密的 SIP 工作階段內容中,使用者能夠獲得 A/V 驗證服務的驗證認證。
  2. 遠端使用者會向 A/V Edge Service 驗證自身,並獲得伺服器的媒體工作階段連接埠 (Office Communications Server 2007 R2 是使用 3478/UDP) 以用於接下來的呼叫。此時,遠端使用者能夠經由 A/V Edge Service 公用 IP 位址上已配置的連接埠傳送封包,但是還不能夠在企業內部傳送媒體封包。
  3. 遠端使用者透過 Access Edge Service 提供的 SIP 訊號通道呼叫內部使用者。在呼叫的設立過程中,內部使用者會收到遠端使用者已取得可用來交換媒體的 A/V Edge Service 連接埠相關通知。
  4. 內部使用者在其要接受驗證以接收媒體的私人 IP 位址上連絡 A/V Edge Service。內部使用者也獲得配置於 A/V Edge Service 公用位址上的連接埠 (Office Communications Server 2007 R2 是使用 3478/UDP) 以用於媒體工作階段。內部使用者得到連接埠後,再次經由 Access Edge Service 回應呼叫並通知外部使用者,自己已取得可用於媒體交換的 A/V Edge Service 連接埠。

呼叫設立程序已完成,內部和外部使用者開始交換媒體。

總而言之,若要將媒體傳送至企業,遠端使用者必須經過驗證,而且必須有經過驗證的內部使用者明確同意與他交換媒體資料流。與 Office Communications Server 2007 同盟的 Office Communications Server 2007 R2 會繼續使用連接埠範圍 50,000 – 59,999 UDP/TCP。雙方都使用 Office Communications Server 2007 R2 的同盟則會使用 3478/UDP。

用來交涉媒體工作階段的訊號通道是使用 128 位元 TLS 加密方式加以保護,加密資料中含有證實伺服器具有相符 FQDN 和信任授權的驗證。這個機制與電子商務網站用於線上交易的機制非常相似。為了保護媒體本身的安全,Office Communications Server 實作了 IETF 的 SRTP 通訊協定。這個機制會在安全訊號通道上使用 128 位元金鑰交換,然後通訊的兩個端點會使用該金鑰來加密和解密以 128 位元進階加密標準 (Advanced Encryption Standard,AES) 加密保護的媒體資料流。如此將可確保即使攻擊者能夠執行媒體路徑的攔截式攻擊,他也無法竊取交談的內容或插入其他媒體封包;在第二種情況中,用戶端會直接捨棄封包。

顯示: