Lync Server 2010: Безопасность на границе

В современном перевязанном массой связей мире компании стремятся предоставить наивысшую упругость и мобильность своим сотрудникам, многие из которых работают удаленно. В итоге многие организации открывают доступ к сервисам через Веб. Но в этой среде высок риск атак. Многие компании очень боятся DoS-атак и атак с подбором паролей прямым перебором. И верно делают. Такие атаки могут нарушать работу юзеров и создавать суровую нагрузку на внутренние серверы.

Основная неувязка с DoS-атаками состоит в том, что их фактически нереально отличить от полностью легитимных запросов на вход в систему. Единственный отличительный признак — частота попыток входа и их источник. Стремительная серия, состоящая из огромного числа попыток входа, является признаком таковой атаки.

Цель большинства DoS-атак — подобрать пароль юзера для получения несанкционированного доступа. Нередко это приводит к блокировке пользовательской учетной записи, если в доменной службе Active Directory включена политика, ограничивающая число попыток входа в систему.

Пограничный сервер (Edge Server) Microsoft Lync Server 2010 защищает от несанкционированного доступа, используя стандартные отраслевые средства защиты. Он выслеживает запросы на вход и принудительно отключает учетную запись на периметре сети. Вся связь шифруется и проходит проверку подлинности.

Пограничный сервер не защищает от DoS-атак. Но Lync Server предоставляет гибкую платформу программирования, которую можно использовать для сотворения серверных приложений, позволяющих перехватывать сообщения протокола SIP (Session Initiation Protocol) на сервере и реализовывать необыкновенную логику, используя язык MSPL (Microsoft SIP Processing Language). Так работает фильтр безопасности.

Он инспектирует все поступающие на вход пограничного сервера запросы. Проверка подлинности удаленного юзера производится не на пограничном сервере, потому запрос пересылается компоненту Director либо конкретно во внутренний пул, который делает аутентификацию. Ответ ворачивается на пограничный сервер. Фильтр безопасности инспектирует запрос и ответ. Если попытка входа неудачна, фильтр безопасности инспектирует число неудачных попыток для всех пользовательских учетных записей.

В последующий раз, когда клиент попробует войти, используя ту же учетную запись, и число неудачных попыток превзойдет очень разрешенное значение, фильтр немедля отторгнет запрос, не передавая его далее для проверки подлинности. Блокировка учетных записей на пограничном сервере позволяет фильтру безопасности перекрыть DoS-атаки на границе сети периметра. Это обеспечивает защиту внутренних ресурсов Lync Server.

Внедрение фильтра безопасности для предотвращения проверки подлинности по протоколу NTLM версии 2 позволяет заставлять юзеров заходить в корпоративную сеть только с разрешенных мобильных компов. При реализации дополнительных мер безопасности (таких как BitLocker и групповые политики для предотвращения установки неразрешенного ПО) корпоративные ноутбуки могут сами по для себя служить «смарткартами», поддерживающими двухфакторную проверку подлинности.

Если не удалось достигнуть фуррора с первого раза

Для предотвращения атак перебора паролей в почти всех организациях реализована групповая политика Active Directory, ограничивающая число попыток ввода пароля. Побочный эффект этой меры состоит в том, что атакующий может заблокировать пользовательскую учетную запись, просто выполнив огромное число попыток. А это значит DoS-атаку.

Если учетная запись не защищена групповой политикой Active Directory, атакующий может подобрать пароль способом перебора. Такие атаки делают огромную нагрузку на внутренние серверы и заблокируют доступ юзеров к их учетным записям.

Уникальная идентификация юзеров может предупредить атаки на учетные записи. Существует несколько вариантов выполнения этой задачки. Можно использовать Айпишник источника, имя входа (другими словами SIP URI), имя учетной записи либо даже сочетание этих характеристик. Внимательное исследование перечисленных вариантов указывает, что зачинатель DoS-атаки может подменить Айпишник, что исключает эту возможность идентификации юзера.

Хотя имя входа и нужно для удачного входа в систему Lync Server, оно не аутентифицирует юзера. Имя входа может изменяться в запросах на вход, но это не предутверждает блокировку пользовательской учетной записи. Таким макаром, ни Айпишник источника, ни имя входа не являются надежными средствами идентификации юзера. Только имя учетной записи уникально идентифицирует юзера.

Из протокола проверки подлинности можно извлечь только имя учетной записи, которое состоит из имени юзера и имени домена. Удаленные юзеры для входа и проверки подлинности употребляют протокол NTLM v2, а не Kerberos. В протоколе NTLM употребляется состоящий из 3-х шагов процесс проверки подлинности. Учетные данные юзера клиент передает на 3-ем шаге.

Фильтр безопасности работает на пограничном сервере в контексте доверенного серверного приложения, потому вправе перехватывать этот запрос на вход. Фильтр безопасности извлекает имя юзера и домена из NTLM-сообщения проверки подлинности. Потому что имени учетной записи в ответе нет, фильтр безопасности сопоставляет ответ из запроса, используя идентификатор сообщения.

Когда Director либо внутренний пул посылает ответ проверки подлинности на пограничный сервер, фильтр безопасности перехватывает его. Если ответ нехороший, фильтр наращивает на единицу счетчик неудачных попыток. В случае удачного ответа, фильтр сбрасывает счетчик до нуля.

Фильтрация на границе

Все приобретенные запросы на вход пограничный сервер передает фильтру безопасности, который инспектирует, не превысил ли запрос на вход разрешенного числа попыток входа для данной пользовательской учетной записи. Если число попыток не превышено, фильтр пропускает запрос далее во внутреннюю сеть.

В неприятном случае, фильтр перекрывает запрос и возвращает ошибку 403. В конечном итоге запрос отвергается. В протяжении всего периода блокировки все последующие пробы входа отбрасываются. По истечении периода блокировки он сбрасывается и разрешаются новые запросы на вход.

Есть одна неувязка, которая может появиться, когда юзеры входят с компьютера, не являющегося членом корпоративного домена Active Directory. Lync 2010 может автоматом попробовать войти в систему, используя учетные данные локального юзера компьютера. Естественно, такая попытка приведет к отказу. Вход юзера на Lync Server будет заблокирован. Чтоб фильтр безопасности не перекрыл законных юзеров, такие пробы не числятся.

В Lync Server 2010 появился новый протокол проверки подлинности — TLS-DSK. В процессе проверки подлинности юзеры должны предоставлять клиентские сертификаты. Клиент Lync запрашивает сертификаты на сервере Lync Server. Это автоматический процесс, который происходит при первом входе в Lync Server из корпоративной сети, где юзер прошел проверку подлинности по протоколу Kerberos.

Этот клиентский сертификат употребляется для аутентификации при всех следующих попытках входа. Этот сертификат подписан самим Lync Server, а не центром сертификации. Если тот же юзер попробует подключиться к Lync с другого компьютера, проверка его подлинности будет производиться по протоколу Kerberos (если он находится в корпоративной сети) либо NTLM v2 (при доступе снаружи). И опять повторяется процесс получения еще 1-го клиентского сертификата.

TLS-DSK предоставляет уровень безопасности, очень близкий к двухфакторной проверке подлинности. При наличии Windows BitLocker компьютер либо ноутбук фактически является эквивалентом смарткарты (которая у нас уже есть). Пароль, нужный BitLocker для загрузки компьютера, эквивалентен пин-коду авторизации с внедрением смарт-карты.

Есть маленький риск, что кто-то украдет клиентский сертификат с компьютера юзера, но его можно исключить. Просто нужно позаботиться о перекрытии корпоративных компов с тем, чтоб юзеры не могли загружать неразрешенные приложения.

Можно вынудить пограничный сервер в процессе согласования поменять протокол с TLS-DSK на NTLM v2. В данном случае у злодея остается возможность штурмовать пользовательскую учетную запись, как было описано выше. Для предотвращения есть возможность настроить фильтр безопасности так, чтоб он отторгал запросы проверки подлинности по протоколу NTLM v2 и добивался только TLS-DSK. Это никак не оказывает влияние на федеративные и PIC-подключения.

Особенности опции

До начала использования приложений фильтров безопасности их нужно зарегистрировать на пограничном сервере. Эта операция производится только в один прекрасный момент, а ее последовательность описана ниже. Сделайте последующие PowerShell-командлеты Lync Server 2010 под учетной записью с административными правами на Lync Server 2010.

1. Сделайте последующую команду, чтоб зарегистрировать приложение фильтра безопасности с хоть какого Lync Server. В параметре нужно указать полное доменное имя пограничного сервера:

new-CsServerApplication -identity «EdgeServer:/security_filter» -uri «http://www.maximo.ws/security_filter» -critical $false

2. Сделайте последующий командлет, чтоб инициировать репликацию конфигурации из центрального хранилища управления на пограничный сервер:

invoke-CsManagementStoreReplication

3. Сделайте последующий командлет на пограничном сервере, чтоб убедиться в удачной регистрации фильтра безопасности:

get-CsServerApplication -localstore

Для пуска фильтра безопасности нужно в версии для командной строчки задать три параметра. В версии службы Windows установщик предложит указать эти параметра. В первом параметре указывается разбитый запятыми перечень внутренних доменных имен в формате Netbios. Это доменные имена, которые удаленные юзеры будут использовать для прохождения проверки подлинности на сервере Lync, подключаясь через пограничный сервер.

Допустим, ваша компания именуется Woodgrove Bank и в ней есть три внутренних леса Active Directory: woodgrovebank.com, contoso.com и fabrikam.com. Учетные записи служащих распределены меж этими лесами, потому в качестве значения первого параметра фильтра безопасности нужно указать «woodgrovebank,contoso,fabrikam».

Эти доменные имена укажут на то, что удаленные юзеры пробуют войти в систему сервера Lync, используя учетные данные 1-го из этих 3-х доменов (к примеру, contosobob, fabrikamalice и т. п.).

2-ой параметр — число неудачных попыток входа, после которого учетная запись блокируется.

3-ий параметр — время, на которое блокируется учетная запись после превышения числа неудачных попыток и после которого можно опять сделать попытку входа. Во время блокировки любые пробы входа отвергаются немедля без проверки.

Используя описанные фильтры безопасности и протоколы проверки подлинности на пограничном сервере Microsoft Lync Server 2010, можно существенно затруднить злодеям выполнение атак подбора паролей либо DoS-атак.

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.