處理 Lync Server 2010 企業語音的威脅

上次修改主題的時間： 2012-10-18

企業語音是 Microsoft Lync Server 2010 中所提供的軟體形式 VoIP 解決方案。Enterprise Voice 使用 VoIP 進行內部通話以及連線至傳統電話網路。由於內部 VoIP 通話與 IM 一樣都會經過加密，因此 VoIP 主要的安全性考量是在與未加密之公用交換電話網路 (PSTN) 之間的通話轉接。

Enterprise Voice 需要兩種裝置來提供 VoIP 與 PSTN 之間的連線：

• 連線至 PSTN (如 IP PBX、媒體閘道、服務提供者的工作階段 工作階段邊界控制器) 的裝置。

• 在需要時可以轉譯內部路由之 SIP over TCP 為 SIP over TLS 的 Lync Server 2010 伺服器角色 (中繼伺服器)。

若您選擇將媒體閘道與中繼伺服器之間的連結，配置成使用 TCP，由於訊號未經加密，所以此連結會成為潛在的安全性漏洞。不過，某些目前連線至 PSTN 可使用的裝置並不支援 MTLS，因此在您升級裝置之前，可能還是需要使用 TCP 連線至中繼伺服器。針對此潛在安全性問題所建議的移轉，是在其本身的子網路中部署中繼伺服器，安裝兩張網路介面卡，分別以不同的連接埠設定以及不同子網路中的 IP 位址加以設定。其中一張網路介面卡將作為中繼伺服器的內部邊緣，聆聽來自內部伺服器的 TLS 流量。另一張網路介面卡則作為中繼伺服器的外部邊緣，聆聽來自媒體閘道的 TCP 流量。使用兩個各司其職的聆聽位址，可確保 Lync Server 2010 網路中的受信任流量與來自於 PSTN 的未受信任流量之間，能有清楚的區隔。如需是否需要兩個專屬且非路由子網路的詳細資訊，請參閱＜Communications Server 中繼伺服器：雙 NIC 問題 ＞，網址為 https://go.microsoft.com/fwlink/?linkid=214403&clcid=0x404。