Безопасность пограничного сервера Lync Server 2010

Корпоративные системы сейчас практически всегда подвергаются рискам, связанным с безопасностью. Вопросы безопасности приобретают особое значение, когда приходится конфигурировать серверы, предоставляющие корпоративные сервисы, такие как те, что предоставляет сервер Microsoft Lync Server 2010, через Интернет удаленным пользователям и партнерам.

Предоставление сервисов через Интернет обеспечивает сотрудникам гибкость и мобильность и позволяет им работать удаленно, но при этом всегда приходится помнить об угрозе атак. Microsoft Lync Server 2010 предоставляет ставшие стандартом в отрасли средства безопасности. Все коммуникации сервера Lync Server аутентифицируются для предотвращения подмены пользователей и серверов. Сетевой трафик шифруется для предотвращения получения неуполномоченными пользователями конфиденциальной информации и прослушивания коммуникаций. Интеллектуальный фильтр моментальных сообщений (Intelligent IM Filter, IIM) предотвращает применение методов социальной инженерии, а фильтр безопасности защищает от атак типа «отказ в обслуживании», или DoS-атак. В совокупности все эти средства создают эффективный барьер безопасности.

Средства безопасности Lync

Все используемые сервером Microsoft Lync Server 2010 каналы связи шифруются. Все связи между серверами шифруются и аутентифицируются с помощью протокола MTLS (Mutual Transport Layer Security). Каждый сервер получает серверный сертификат в доверенном центре сертификации и использует его для аутентификации и обмена симметричным ключом, который применяется для шифрования сетевого сеанса.

Внутренние пользователи аутентифицируются средствами протокола Kerberos, а внешние — с использованием TLS-DSK или NTLM. TLS-DSK предусматривает проверку подлинности на основе сертификатов. После первого успешного входа в систему Lync Server клиент запрашивает клиентский сертификат. Lync Server выпускает самоподписанный сертификат, который клиент Lync в дальнейшем использует для входа на этот сервер. Сертификат обновляется каждые полгода. Lync использует также другие методы обеспечения безопасности:

• Lync использует SIP (Session Initiation Protocol) как протокол сигнализации, который шифруется посредством TLS (Transport Layer Security).
• Так как для обмена моментальными сообщениями используется безопасный SIP-канал, они также шифруются средствами TLS.
• В механизме совместного доступа к приложениям (Application Sharing) используется протокол RDP (Remote Desktop Protocol). Этот TCP-трафик выполняется поверх TLS. Аутентификация выполняется по защищенному SIP-каналу.
• В трафике веб-конференций используется модель PSOM (Persistent Shared Object Model). В PSOM также в качестве нижележащего транспорта используется TLS, а аутентификация также выполняется по защищенному SIP-каналу.

Трафик аудио и видео Lync Server защищается протоколом SRTP (Secure Real Time Protocol) для предотвращения прослушивания и внедрения пакетов. В SRTP применяется 128-разрядное потоковое шифрование AES (Advanced Encryption Standard). Перед пересылкой трафика аудио и видео Lync Server создает путь для мультимедийных данных, который позволяет им проходить через брандмауэры и NAT-серверы.

При пересылке через брандмауэры Lync Server использует стандарт подразделения ICE (Interactive Connectivity Establishment) инженерной группы по развитию Интернета IETF (Internet Engineering Task Force) для определения самого короткого пути между конечными точками. ICE основан на двух протоколах — STUN (Session Traversal Utilities for NAT) и TURN (Traversal Using Relay NAT).

STUN отображает адреса NAT IP так, что они становятся видимыми пользователю конечной точки в клиенте Lync. Это позволяет внешним пользователям Lync определять, какие IP-адреса видимы другим клиентам за пределами брандмауэра. TURN выделяет медийные порты на внешней аудио-видео-границе пограничного сервера (Edge Server), позволяя конечным точкам внутреннего пользователя Lync подключаться к конечным точкам Lync внешних пользователей.

Внутренние конечные точки не могут подключаться ко внешним конечным точкам из-за наличия корпоративных брандмауэров. Но динамическое выделение мультимедийного порта на внешней аудио-видео-границе пограничного сервера позволяет внутренней конечной точке отправлять мультимедийные данные внешней точке через этот порт. Потребуется предварительная настройка внешнего брандмауэра сети периметра, чтобы внешняя аудио-видео-граница пограничного сервера могла инициировать исходящие интернет-подключения.

Пограничный сервер играет роль сервера пересылки мультимедийных данных. Помимо создания пути распространения мультимедиа в процессе согласования ICE выполняется обмен 128-разрядным ключом AES по защищенному протоколом TLS SIP-каналу. Этот ключ обеспечивает шифрование мультимедийного потока и основан на сгенерированном компьютером пароле, который меняется каждые восемь часов. Изменение порядкового номера и случайная генерация предотвращают атаки, основанные на повторной отправке пакетов.

В корпоративных голосовых вызовах также используется SRTP. Поэтому они защищены тем же механизмом шифрования трафика аудио и видео. Веб-трафик для таких сервисов, как расширение списков распространения, адресная книга и данные конференций также шифруются в HTTPS-канале.

Принудительная сетевая изоляция

Существует несоколько эффективных методов защиты пограничного сервера от интернет-атак: сетевая изоляция, настройка брандмауэра, защита пользователей и фильтрация DoS-атак. Роль Edge Server специально предназначена для развертывания в сети периметра. Это позволяет организовать доступ удаленных пользователей и федерацию с другими организациями.

Важно надежно защитить пограничный сервер от атак из Интернета. Один из вариантов — изолировать пограничный сервер с помощью по крайней мере одного, но лучше двух брандмауэров. Один брандмауэр будет защищать пограничный сервер от интернет-трафика, а другой — от внутреннего трафика.

У пограничного сервера должно быть не менее двух сетевых карт: одна должна быть подключена к Интернету, а вторая — ко внутренней сети. Эти сетевые карты должны подключаться к разным подсетям и не использовать одно адресное пространство IP. Эти две подсети не должны поддерживать машрутизацию между собой.

Это означает, что внутренний клиент Lync не имеет доступа ко внешней границе (например, к карте, подключенной к Интернету) пограничного сервера. Это означает, что внутренний клиент Lync не имеет доступа к внешней границе (например, к карте, подключенной к Интернету) пограничного сервера.

Тщательное проектирование правил брандмауэра

Настройка правил брандмауэра — задача не из простых. Для предотвращения открытия большего числа портов, чем нужно, надо четко понимать, какие порты и протоколы нужны Lync Server. Это особенно важно, когда нужно объяснить во время проведения аудита эти требования для команды, ответственной за безопасность. Они хотят точно знать, для чего нужен каждый открытый порт. Они просто делают свою работу, заботясь о том, чтобы в брандмауэре не было лишних «дырок», через которые злоумышленники могли бы провести атаку.

Для аудита безопасности скорее всего потребуется следующая информация:

• Какие протоколы использует каждая роль Lync Server и, в особенности, роль Edge Server?
• Какие порты нужны каждому из этих протоколов?
• В каком направлении разрешено сетевое подключение?

Плакат с перечислением протоколов — удобный наглядное пособие и источник информации (на рис. 1 приведена часть плаката, а весь плакат можно скачать на странице http://blogs.technet.com/b/drrez/p/lync_2010_workloads.aspx). Линии разного цвета обозначают разные протоколы. На каждой линии указаны порты, используемые протоколом. Стрелки указывают направление, в котором инициируется сетевой сеанс.

Рис. 1. Lync использует много протоколов для защиты и поддержки связи между серверами и конечными точками

Защита пользователей

Пользователи часто непреднамеренно щелкают ссылку и лишь потом осознают, что подключились к подложному веб-сайту и загрузили вирус или спам. Восстановление компьютера после таких заражений — занятие не очень приятное, и это еще мягко сказано.

Для предотвращения таких ситуаций фильтр моментальных сообщений не позволяет пользователям отправлять URL-адреса, щелчок которых инициирует переход.  Для этого также к URL-адресам впереди добавляется знак подчеркивания (_). Получателю сообщения надо вручную скопировать, вставить адрес и удалить подчеркивание — только после этого он сможет открыть соответствующий сайт. Эти дополнительные препятствия гарантируют, что пользователь понимает, что делает, и открытие сайта не случайно.

Информация может легко перемещаться в или из организации. Пользователи могут пересылать документы по электронной почте, в моментальных сообщениях, на USB-устройствах и обмениваться через общие папки в облаке. Обычно требуется обеспечить выполнение единой политики во всех этих каналах. Фильтр моментальных сообщений в Lync позволяет запретить пересылку файлов. Если надо разрешить передачу файлов, позаботьтесь о том, чтобы у каждого сотрудника на компьютере был и регулярно обновлялся антивирусный сканер, который будет проверять файлы, загружаемые через Lync.

Защита от DoS-атак

DoS-атаки практически неотличимы от легальных запросов на вход в систему. Единственный отличительный признак — частота попыток входа и их источник. Быстрая серия, состоящая из большого числа попыток входа, является признаком такой атаки. Цель большинства DoS-атак — подобрать пароль пользователя для получения несанкционированного доступа, но они обычно приводят к блокировке учетной записи пользователей в доменных службах Active Directory.

Пограничный сервер не защищает от DoS-атак. Однако Lync Server позволяет создавать фильтры, перехватывающие SIP-сообщения, выполняющие определенную логику. В фильтрах моментальных сообщений, передачи файлов и безопасности эта платформа также используется для предоставления дополнительных возможностей.

Фильтр безопасности – это серверное приложение, которое проверяет входящие запросы на вход на пограничном сервере. Проверка подлинности удаленного пользователя выполняется не на пограничном сервере, поэтому запрос пересылается компоненту Director или непосредственно во внутренний пул, который и выполняет аутентификацию.

Ответ возвращается на пограничный сервер. Фильтр безопасности проверяет запрос и ответ. Если попытка входа неудачна, фильтр безопасности проверяет число неудачных попыток для всех пользовательских учетных записей.

В следующий раз, когда клиент попытается войти, используя ту же учетную запись, и число неудачных попыток превысит максимально разрешенное значение, фильтр немедленно отвергнет запрос, не передавая его дальше для проверки подлинности. Блокировка учетных записей на пограничном сервере позволяет фильтру безопасности блокировать DoS-атаки на границе сети периметра.

Защитите свои активы

Защита корпоративных данных — одна из основных ваших обязанностей. Очень важно знать, как правильно безопасно настраивать Lync Server 2010, и разбираться во всех дополнительных средствах безопасности. Следующий список может служить кратким справочником мероприятий по защите среды с Lync Server.

• Сетевая изоляция Защитите свой пограничный сервер, разместив его между двух брандмауэров. Создайте отдельные подсети, чтобы предотвратить замыкания на себя.
• Знайте все порты, протоколы и направления связи (входящая или исходящая) Это позволит объяснить команде по безопасности, какие «дырки» необходимо проделать в брандмауэре.
• Используйте фильтр моментальных сообщений Блокируйте сообщения с URL-адресами, которые можно открыть одним щелчком, или сообщения, инициирующие передачи файлов.
• Используйте фильтр безопасности Защищайтесь от атак подбора паролей и DoS-атак.
• Регулярно устанавливайте исправления на Windows-серверы.

Эти мероприятия позволят вам оптимально сконфигурировать свой пограничный сервер и Microsoft Lync Server 2010 для противодействия атакам.