Безопасность пограничного сервера Lync Server 2010

Корпоративные системы на данный момент фактически всегда подвергаются рискам, связанным с безопасностью. Вопросы безопасности получают особенное значение, когда приходится изменять серверы, предоставляющие корпоративные сервисы, такие как те, что предоставляет сервер Microsoft Lync Server 2010, через Веб удаленным юзерам и партнерам.

Предоставление сервисов через Веб обеспечивает сотрудникам упругость и мобильность и позволяет им работать удаленно, но при всем этом всегда приходится держать в голове об опасности атак. Microsoft Lync Server 2010 предоставляет ставшие эталоном в отрасли средства безопасности. Все коммуникации сервера Lync Server аутентифицируются для предотвращения замены юзеров и серверов. Сетевой трафик шифруется для предотвращения получения неуполномоченными юзерами секретной инфы и прослушивания коммуникаций. Умственный фильтр мгновенных сообщений (Intelligent IM Filter, IIM) предутверждает применение способов социальной инженерии, а фильтр безопасности защищает от атак типа «отказ в обслуживании», либо DoS-атак. В совокупы все эти средства делают действенный барьер безопасности.

Средства безопасности Lync

Все применяемые сервером Microsoft Lync Server 2010 каналы связи шифруются. Все связи меж серверами шифруются и аутентифицируются при помощи протокола MTLS (Mutual Transport Layer Security). Каждый сервер получает серверный сертификат в доверенном центре сертификации и употребляет его для аутентификации и обмена симметричным ключом, который применяется для шифрования сетевого сеанса.

Внутренние юзеры аутентифицируются средствами протокола Kerberos, а наружные — с внедрением TLS-DSK либо NTLM. TLS-DSK предугадывает проверку подлинности на базе сертификатов. После первого удачного входа в систему Lync Server клиент запрашивает клиентский сертификат. Lync Server выпускает самоподписанный сертификат, который клиент Lync в предстоящем употребляет для входа на этот сервер. Сертификат обновляется каждые полгода. Lync употребляет также другие способы обеспечения безопасности:

Lync употребляет SIP (Session Initiation Protocol) как протокол сигнализации, который шифруется средством TLS (Transport Layer Security).
Потому что для обмена молниеносными сообщениями употребляется неопасный SIP-канал, они также шифруются средствами TLS.
В механизме совместного доступа к приложениям (Application Sharing) употребляется протокол RDP (Remote Desktop Protocol). Этот TCP-трафик производится поверх TLS. Аутентификация производится по защищенному SIP-каналу.
В трафике веб-конференций употребляется модель PSOM (Persistent Shared Object Model). В PSOM также в качестве нижележащего транспорта употребляется TLS, а аутентификация также производится по защищенному SIP-каналу.

Трафик аудио и видео Lync Server защищается протоколом SRTP (Secure Real Time Protocol) для предотвращения прослушивания и внедрения пакетов. В SRTP применяется 128-разрядное потоковое шифрование AES (Advanced Encryption Standard). Перед пересылкой трафика аудио и видео Lync Server делает путь для мультимедийных данных, который позволяет им проходить через брандмауэры и NAT-серверы.

При пересылке через брандмауэры Lync Server употребляет эталон подразделения ICE (Interactive Connectivity Establishment) инженерной группы по развитию Веба IETF (Internet Engineering Task Force) для определения самого недлинного пути меж конечными точками. ICE основан на 2-ух протоколах — STUN (Session Traversal Utilities for NAT) и TURN (Traversal Using Relay NAT).

STUN показывает адреса NAT IP так, что они становятся видимыми юзеру конечной точки в клиенте Lync. Это позволяет наружным юзерам Lync определять, какие Айпишника видимы другим клиентам за пределами брандмауэра. TURN выделяет медийные порты на наружной аудио-видео-границе пограничного сервера (Edge Server), позволяя конечным точкам внутреннего юзера Lync подключаться к конечным точкам Lync наружных юзеров.

Внутренние конечные точки не могут подключаться ко наружным конечным точкам из-за наличия корпоративных брандмауэров. Но динамическое выделение мультимедийного порта на наружной аудио-видео-границе пограничного сервера позволяет внутренней конечной точке отправлять мультимедийные данные наружной точке через этот порт. Будет нужно подготовительная настройка наружного брандмауэра сети периметра, чтоб наружняя аудио-видео-граница пограничного сервера могла инициировать исходящие интернет-подключения.

Пограничный сервер играет роль сервера пересылки мультимедийных данных. Кроме сотворения пути распространения мультимедиа в процессе согласования ICE производится обмен 128-разрядным ключом AES по защищенному протоколом TLS SIP-каналу. Этот ключ обеспечивает шифрование мультимедийного потока и основан на сгенерированном компом пароле, который изменяется каждые восемь часов. Изменение порядкового номера и случайная генерация предупреждают атаки, основанные на повторной отправке пакетов.

В корпоративных голосовых вызовах также употребляется SRTP. Потому они защищены этим же механизмом шифрования трафика аудио и видео. Веб-трафик для таких сервисов, как расширение списков распространения, адресная книжка и данные конференций также шифруются в HTTPS-канале.

Принудительная сетевая изоляция

Существует несоколько действенных способов защиты пограничного сервера от интернет-атак: сетевая изоляция, настройка брандмауэра, защита юзеров и фильтрация DoS-атак. Роль Edge Server специально создана для развертывания в сети периметра. Это позволяет организовать доступ удаленных юзеров и федерацию с другими организациями.

Принципиально накрепко защитить пограничный сервер от атак из Веба. Один из вариантов — изолировать пограничный сервер при помощи по последней мере 1-го, но лучше 2-ух брандмауэров. Один брандмауэр будет защищать пограничный сервер от интернет-трафика, а другой — от внутреннего трафика.

У пограничного сервера должно быть более 2-ух сетевых карт: одна должна быть подключена к Вебу, а 2-ая — ко внутренней сети. Эти сетевые карты должны подключаться к различным подсетям и не использовать одно адресное место IP. Эти две сабсети не должны поддерживать машрутизацию меж собой.

Это значит, что внутренний клиент Lync не имеет доступа ко наружной границе (к примеру, к карте, присоединенной к Вебу) пограничного сервера. Это значит, что внутренний клиент Lync не имеет доступа к наружной границе (к примеру, к карте, присоединенной к Вебу) пограничного сервера.

Тщательное проектирование правил брандмауэра

Настройка правил брандмауэра — задачка не из обычных. Для предотвращения открытия большего числа портов, чем необходимо, нужно верно осознавать, какие порты и протоколы необходимы Lync Server. Это в особенности принципиально, когда необходимо разъяснить во время проведения аудита эти требования для команды, ответственной за безопасность. Они желают точно знать, зачем нужен каждый открытый порт. Они просто делают свою работу, заботясь о том, чтоб в брандмауэре не было излишних «дырок», через которые злоумышленники могли бы провести атаку.

Для аудита безопасности вероятнее всего будет нужно последующая информация:

Какие протоколы употребляет любая роль Lync Server и, в особенности, роль Edge Server?
Какие порты необходимы каждому из этих протоколов?
В каком направлении разрешено сетевое подключение?

Плакат с перечислением протоколов — удачный приятное пособие и источник инфы (на рис. 1 приведена часть плаката, а весь плакат можно скачать на страничке http://blogs.technet.com/b/drrez/p/lync_2010_workloads.aspx). Полосы различного цвета обозначают различные протоколы. На каждой полосы указаны порты, применяемые протоколом. Стрелки указывают направление, в каком инициируется сетевой сеанс.

Безопасность пограничного сервера Lync Server 2010

Рис. 1. Lync употребляет много протоколов для защиты и поддержки связи меж серверами и конечными точками

Защита юзеров

Юзеры нередко ненамеренно щелкают ссылку и только позже понимают, что подключились к подложному сайту и загрузили вирус либо мусор. Восстановление компьютера после таких заражений — занятие не очень приятное, и это еще мягко сказано.

Для предотвращения таких ситуаций фильтр мгновенных сообщений не позволяет юзерам отправлять URL-адреса, щелчок которых инициирует переход. Для этого также к URL-адресам впереди добавляется символ подчеркивания (_). Получателю сообщения нужно вручную скопировать, воткнуть адресок и удалить подчеркивание — только после чего он сумеет открыть соответственный веб-сайт. Эти дополнительные препятствия гарантируют, что юзер соображает, что делает, и открытие веб-сайта не случаем.

Информация может просто передвигаться в либо из организации. Юзеры могут пересылать документы по электрической почте, в мгновенных сообщениях, на USB-устройствах и обмениваться через общие папки в облаке. Обычно требуется обеспечить выполнение единой политики во всех этих каналах. Фильтр мгновенных сообщений в Lync позволяет запретить пересылку файлов. Если нужно разрешить передачу файлов, похлопочите о том, чтоб у каждого сотрудника на компьютере был и часто обновлялся антивирусный сканер, который будет инспектировать файлы, загружаемые через Lync.

Защита от DoS-атак

DoS-атаки фактически неотличимы от законных запросов на вход в систему. Единственный отличительный признак — частота попыток входа и их источник. Стремительная серия, состоящая из огромного числа попыток входа, является признаком таковой атаки. Цель большинства DoS-атак — подобрать пароль юзера для получения несанкционированного доступа, но они обычно приводят к блокировке учетной записи юзеров в доменных службах Active Directory.

Пограничный сервер не защищает от DoS-атак. Но Lync Server позволяет создавать фильтры, перехватывающие SIP-сообщения, выполняющие определенную логику. В фильтрах мгновенных сообщений, передачи файлов и безопасности эта платформа также употребляется для предоставления дополнительных способностей.

Фильтр безопасности – это серверное приложение, которое инспектирует входящие запросы на вход на пограничном сервере. Проверка подлинности удаленного юзера производится не на пограничном сервере, потому запрос пересылается компоненту Director либо конкретно во внутренний пул, который и делает аутентификацию.

Ответ ворачивается на пограничный сервер. Фильтр безопасности инспектирует запрос и ответ. Если попытка входа неудачна, фильтр безопасности инспектирует число неудачных попыток для всех пользовательских учетных записей.

В последующий раз, когда клиент попробует войти, используя ту же учетную запись, и число неудачных попыток превзойдет очень разрешенное значение, фильтр немедля отторгнет запрос, не передавая его далее для проверки подлинности. Блокировка учетных записей на пограничном сервере позволяет фильтру безопасности перекрыть DoS-атаки на границе сети периметра.

Защитите свои активы

Защита корпоративных данных — одна из главных ваших обязательств. Очень принципиально знать, как верно неопасно настраивать Lync Server 2010, и разбираться во всех дополнительных средствах безопасности. Последующий перечень может служить коротким справочником мероприятий по защите среды с Lync Server.

Сетевая изоляция Защитите собственный пограничный сервер, разместив его меж 2-ух брандмауэров. Сделайте отдельные сабсети, чтоб предупредить замыкания на себя.
Знайте все порты, протоколы и направления связи (входящая либо исходящая) Это позволит разъяснить команде по безопасности, какие «дырки» нужно сделать в брандмауэре.
Используйте фильтр мгновенных сообщений Блокируйте сообщения с URL-адресами, которые можно открыть одним щелчком, либо сообщения, инициирующие передачи файлов.
Используйте фильтр безопасности Защищайтесь от атак подбора паролей и DoS-атак.
Часто устанавливайте исправления на Windows-серверы.

Эти мероприятия позволят вам нормально изменить собственный пограничный сервер и Microsoft Lync Server 2010 для противодействия атакам.

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.