Microsoft Lync 伺服器 2010 年:Lync Edge Server 安全性

  • 發行項

儘管 Lync Server 使用許多標準安全性措施,您還是可以設定它以求更多層的保護。

馬克西莫瑞

安全風險對於企業系統來說早已司空見慣。 當您需要配置伺服器以公開企業服務(例如由 Microsoft Lync Server 2010 為遠端使用者和聯盟夥伴提供到 Internet 上的那些服務)時,安全問題變得異常尖銳。

雖然將服務公開到 Internet 上使員工能夠靈活、機動地遠端工作,但這通常會使公司遭到攻擊。 Microsoft Lync Server 2010 採用了大量行業標準安全措施。 所有的 Lync Server 通信都經過身份驗證,以防仿冒使用者身份或伺服器。 網路通信都經過加密,以防在未經授權的情況下洩露資訊或篡改傳輸內容。 智慧 IM (IIM) 篩選器有助於保護社會工程的安全,安全篩選器可防禦拒絕服務 (DoS) 攻擊。 所有這些措施一起促成了有效的安全壁壘。

Lync 安全措施

Microsoft Lync Server 2010 使用的每個通道都經過加密。 所有伺服器到伺服器的通信都使用互相傳輸層安全協定 (MTLS) 進行加密和身份驗證。 每個伺服器都由受信任的憑證授權 (CA) 頒發伺服器憑證,隨後使用該證書進行身份驗證以及交換用於對網路會話進行加密的對稱金鑰。

如果是內部使用者,則將使用 Kerberos 對其進行身份驗證;如果是外部使用者,則將使用 TLS-DSK 或 Windows NT LAN Manager (NTLM) 對其進行身份驗證。 TLS-DSK 是基於證書的身份驗證。 首次成功登錄 Lync Server 後,Lync 用戶端將申請用戶端證書。 Lync Server 將頒發一個自簽章憑證,Lync 用戶端會將該證書用於所有的後續登錄。 此證書每隔六個月續簽一次。 Lync 還採用其他一些安全性原則:

  • Lync 使用會話初始協定 (SIP) 作為信號協定,使用傳輸層安全協定 (TLS) 進行加密。
  • 由於它利用的是安全 SIP 通道,因此 IM 通信將獲益于 TLS 所提供的同一加密。
  • 應用程式共用使用遠端桌面協定 (RDP)。 此 TCP 通信使用 TLS 作為基礎傳輸。 身份驗證建立在安全 SIP 通道之上。
  • Web 會議通信使用持續性共用物件模型 (PSOM)。 PSOM 也使用 TLS 作為基礎傳輸,身份驗證也建立在安全 SIP 通道之上。

傳輸于 Lync Server 之間的音訊和視頻 (A/V) 通信受安全即時通訊協定 (SRTP) 保護,以防任何竊聽或資料包發送。 SRTP 使用 128 位高級加密標準 (AES) 資料流程加密。 Lync Server 會先建立一個可穿越防火牆和網路位址轉譯 (NAT) 的媒體路徑,然後再允許 A/V 通信在兩個端點之間流動。

為了穿越防火牆,Lync Server 將使用互動式連接建立 (ICE) 中的 Internet 工程任務組 (IETF) 標準來確定兩個端點之間最直接的媒體路徑。 ICE 基於 Session Traversal Utilities for NAT (STUN) 和 Traversal Using Relay NAT (TURN) 這兩種協定。

STUN 將反映內部使用者的 Lync 用戶端可以看到的外部使用者端點的 NAT IP 位址。 這有助於外部使用者的 Lync 用戶端確定其他用戶端可以在防火牆上看到哪些 IP 位址。 TURN 將在邊緣伺服器的外部 A/V 邊緣上分配媒體埠,以便允許內部使用者的 Lync 端點連接至外部使用者的 Lync 端點。

由於企業防火牆的原因,內部端點無法直接連接至外部端點。 因此,通過動態地在邊緣伺服器的 A/V 邊緣上分配媒體埠,內部端點可以通過此埠將媒體發送到外部端點。 您必須預先配置外部網路週邊防火牆,以便允許邊緣伺服器的 A/V 邊緣啟動出站 Internet 連接。

邊緣伺服器將作為媒體中繼訪問伺服器 (MRAS)。 除了建立媒體路徑外,此 ICE 協商還會在 TLS 安全 SIP 通道上交換 128 位 AES 金鑰。 此金鑰有助於對媒體流進行加密,它基於電腦生成的每隔八小時迴圈一次的密碼。 序號和隨機生成會阻止重播攻擊。

企業語音呼叫也使用 SRTP。 因此,它們會共用 A/V 通信加密的好處。 用於通訊群組清單擴展、通訊錄和會議資料等服務的 Web 通信也會通過 HTTPS 進行加密。

強制實施網路隔離

有多種有效做法可以用於防止邊緣伺服器受到基於 Internet 的攻擊:網路隔離、防火牆配置、使用者保護以及針對 DoS 攻擊進行的篩選。 邊緣伺服器這一角色專門設計用於在網路週邊進行部署。 它使遠端使用者可以訪問其他組織以及與其他組織聯盟。

正確保護邊緣伺服器以防其受到基於 Internet 的攻擊非常重要。 最佳做法之一是利用至少一個防火牆(如果可能的話,最好利用兩個防火牆)將邊緣伺服器隔離。 一個防火牆可以防止邊緣伺服器產生 Internet 流量,另一個防火牆可以將邊緣伺服器與內部流量隔離。

邊緣伺服器必須至少有兩個 NIC,一個 NIC 連接到 Internet 網路,另一個 NIC 連接到內部網路。 您必須將這兩個 NIC 配置到單獨的子網中,而且不能共用同一個 IP 位址空間(參見圖 1)。 這兩個子網一定不能互相路由。

這意味著內部 Lync 用戶端無法訪問邊緣伺服器的外部邊緣(例如,面向 Internet 的 NIC)。 外部 Lync 用戶端無法訪問邊緣伺服器的內部邊緣(例如,面向內部的 NIC)。

Separate subnets can’t share the same IP address space.

圖 1 單獨的子網無法共用同一個 IP 位址空間。

仔細設計防火牆規則

配置防火牆規則是一項重要任務。 為了防止開放不必要的埠,您需要全面瞭解 Lync Server 需要使用哪些埠和協定。 當您在審核期間需要向安全團隊說明具體的要求時這一點尤為重要。 他們將希望真正地瞭解每個開放埠的真正用途。 這樣做是為了確保任何不需要的、可能會成為攻擊平臺的孔都不會穿越防火牆。

安全審核人員可能想瞭解以下資訊:

  • 每個 Lync Server 角色(尤其是在邊緣伺服器中)都使用哪些協定?
  • 其中的每個協定都需要哪些埠?
  • 網路連接都允許在哪個方向上進行?

協定海報是有用的視覺説明和重要的資訊來源(參見圖 2 以查看部分海報,並按一下此處以查看整個海報)。 彩色編碼線指示的是協定。 每個協定所使用的埠顯示在每個線條內。 箭頭用來指定網路會話開始的方向。

Lync uses many protocols to secure and enable communications between servers and endpoints.

圖 2 Lync 使用多種協定來保護和實現伺服器與端點之間的通信。

保護使用者的安全

使用者經常會無意間按一下某個連結,然後很晚才意識到自己已經導航到一個惡意網站且已下載了病毒或收到了大量垃圾郵件。 感染了其中一種病毒之後重新控制電腦並不是一件令人高興的事。

為了説明應對這些情況,IIM 篩選器將阻止使用者發送可按一下的 URL。 它通過向 URL 追加底線 (_) 來達到此目的。 這就需要收件人先複製並粘貼 URL,然後再刪除底線,之後才能導航到該網站。 這點額外的工作可以確保使用者知道他們正在做什麼,還可以確保導航不會出現意外。

資訊可以輕鬆流入和流出組織。 使用者可以通過電子郵件、IM、USB 驅動器以及基於雲的檔共用來傳輸文檔。 您將希望在這些通道上實施統一的策略。 IIM 篩選器是 Lync 用來阻止檔案傳輸的方法。 如果您想允許進行檔案傳輸,請確保每個員工的電腦都維護更新的防病毒掃描程式,該程式將對利用 Lync 下載的檔進行掃描。

為抵禦 DoS 攻擊做準備

DoS 攻擊與合法的登錄請求幾乎沒有什麼區別。 唯一的區別在於登錄嘗試的頻率及其來源位置。 快速而連續的多次登錄嘗試可能就代表一次 DoS 攻擊。 DoS 攻擊試圖猜出使用者的密碼以取得未經授權的存取權限,如果 Active Directory 域服務中啟用了安全性原則,通常會導致使用者帳戶被鎖定。

邊緣伺服器不能防禦這類 DoS 攻擊。 然而,Lync Server 允許您創建用於攔截 SIP 消息以執行專用邏輯的篩選器。 IIM 篩選器、檔案傳輸篩選器和安全篩選器還利用此平臺模型來提供其他功能。

安全篩選器是一種用於檢查邊緣伺服器上的所有入站登錄請求的伺服器應用程式。 遠端使用者不在邊緣伺服器上進行身份驗證,因而登錄請求傳遞至控制器或直接傳遞至內部池。 然後由它們執行身份驗證過程。

隨後,回應傳回至邊緣伺服器。 對於請求和回應,安全篩選器都會進行檢查。 如果登錄失敗,安全篩選器會跟蹤每個使用者帳戶的失敗嘗試次數。

下一次用戶端嘗試登錄同一使用者帳戶時,如果失敗嘗試次數超過了允許的最大登錄嘗試次數,安全篩選器就會立即拒絕請求,而不會傳遞請求進行身份驗證。 通過在邊緣伺服器上實施帳戶鎖定,安全篩選器可在網路週邊的邊緣阻截 DoS 攻擊,而且還可以保護內部 Lync Server 資源。

保護您的資產

保護公司資料的安全是我們的主要職責之一。 懂得如何正確配置 Lync Server 2010 以及瞭解任何其他必要的措施至關重要。 下麵的清單可以作為一個快速提醒來提醒您保護 Lync Server 部署的步驟:

  • 網路隔離:通過將邊緣伺服器夾在兩個防火牆之間來保護它的安全。 配置單獨的子網來防止環回。
  • 瞭解您的埠、協定和方向(入站/出站):這使您在向您的安全團隊解釋需要哪些孔穿越防火牆時底氣十足。
  • 利用 IIM 篩選器:阻止包含可按一下的 URL 或試圖開機檔案傳輸的郵件。
  • 利用安全篩選器:防禦暴力密碼攻擊和 DoS 攻擊。
  • 定期修補 Windows Server。

按照這些安全防範步驟進行操作應該能夠説明您配置邊緣伺服器和 Microsoft Lync Server 2010,以使您以最佳方式防禦 Internet 攻擊。

Rui Maximo

**馬克西莫瑞**技術行業,曾與微軟、 IBM、 RSA 和幾個創業公司已超過 18 歲。 他擁有電腦科學、數學和密碼學領域的教育經歷。 早在 2003 年,他便開始接觸 Lync Server(當時稱為 RTC)。 他曾在 RTC 產品團隊擔任專案經理,之後曾擔任首席專案經理。 馬克西莫是 Microsoft Lync Server 和其以前的版本上五本書的主要作者。

相關內容