Защита развертывания OCS

Office Communications Server (OCS) — это решение Microsoft для объединенных коммуникаций для предприятий, но, как и во всех развертываниях объединенных коммуникаций, приложения, обеспечивающие передачу голоса, видео, обмена мгновенными сообщениями, передачу файлов и совместное использование приложений, могут создавать проблемы с безопасностью. В этой статье мы рассмотрим эти проблемы и обсудим встроенные функции безопасности OCS, выбор конфигурации для лучших практик безопасности и интегрированные программные решения (как от Microsoft, так и от третьих сторон) для повышения безопасности OCS.

Система унифицированных коммуникаций уязвима для таких угроз, как подслушивание или прослушивание, подмена идентификационных данных/IP-адресов, воспроизведение RTP и т. д., а также вирусы/черви, атаки типа «человек посередине» и атаки типа «отказ в обслуживании» (DoS). Поскольку конфиденциальность и целостность ваших сообщений имеют решающее значение для вашего бизнеса, очень важно защититься от всех этих угроз.

Встроенные функции безопасности в OCS 2007

OCS 2007 предоставляет множество новых функций, которых не было в LCS 2005, в том числе:

• Корпоративный VoIP
  
• Многосторонний обмен мгновенными сообщениями
  
• Локальная веб-конференция, в которой могут участвовать внешние пользователи, не имеющие корпоративных учетных данных.

Кроме того, были улучшены и усовершенствованы такие функции, как присутствие и поддержка федерации.

С новыми функциями приходят новые проблемы безопасности, но Microsoft решила многие из них с помощью встроенных функций. Как всегда, наилучшая безопасность многогранна, поэтому структура безопасности, на которой строится OCS, состоит из многих компонентов.

Безопасность сервера Windows в домене строится вокруг Active Directory, а OCS использует AD для хранения глобальных настроек (используемых несколькими серверами OCS в лесу), данных, идентифицирующих роли серверов OCS, и пользовательских настроек.

Вы должны подготовить AD для OCS, расширив схему, включив в нее классы и атрибуты OCS, создав объекты и атрибуты OCS и добавив разрешения для объектов в каждом домене. Это можно сделать одним из двух способов: с помощью средства командной строки LcsCmd.exe на компакт-диске OCS или с помощью средства развертывания Setup.exe для OCS 2007. Средство командной строки можно запускать удаленно. Инструмент развертывания имеет графический интерфейс и мастера, помогающие выполнить каждую задачу.

Конкретные шаги по подготовке AD включают:

• Подготовительная схема (запустить один раз)
  
• Подготовительный лес (выполнить один раз)
  
• Подготовительный домен (запускается в каждом домене, где вы развертываете OCS)

Пошаговую информацию о том, как подготовить AD для OCS, см. в руководстве Microsoft Office Communications Server 2007 Active Directory . Руководство по Active Directory .

Аутентификация

OCS может использовать стандартные протоколы аутентификации Windows, в зависимости от пользователя:

• Kerberos v5 является наиболее безопасным и используется для внутренних клиентов с учетными данными AD.
  
• NTLM используется для клиентов за пределами локальной сети, у которых есть учетные данные AD.
  
• Протокол дайджеста используется для клиентов локальной конференции за пределами локальной сети, у которых нет учетных данных AD (однако они должны быть приглашены для использования локальной конференции и должны иметь действительный ключ конференции).

Сетевое шифрование

Для защиты данных, передаваемых по сети, OCS 2007 по умолчанию шифрует обмен данными. Аутентификация и шифрование конечной точки выполняются с использованием безопасности транспортного уровня (TLS) и взаимной безопасности транспортного уровня (MTLS). SIP-связь между серверами использует MTLS, а SIP-связь между клиентом и сервером использует TLS. Эти протоколы защищают от посредников и прослушивания.

TLS и MTLS также используются для шифрования мгновенных сообщений. Шифрование TLS является необязательным для внутренних обмена мгновенными сообщениями между клиентами. Связь OCS с общедоступными серверами обмена мгновенными сообщениями зашифрована; однако общедоступный провайдер обмена мгновенными сообщениями должен шифровать обмен данными между общедоступным сервером обмена мгновенными сообщениями и внешним клиентом.

Безопасный транспортный протокол реального времени (SRTP) используется для шифрования потокового мультимедиа. SRTP защищает данные RTP, добавляя аутентификацию, конфиденциальность и защиту от воспроизведения.

Инфраструктура открытых ключей

Аутентификация сервера для OCS 2007 основана на использовании цифровых сертификатов, выданных доверенным центром сертификации. Это может быть внутренний или общедоступный ЦС (общедоступный ЦС может понадобиться, если серверу OCS необходимо взаимодействовать с системами за пределами локальной сети). OCS предназначен для работы с инфраструктурой открытых ключей Windows 2003 (PKI).

Для OCS все сертификаты серверов должны поддерживать расширенное использование ключа (EKU) для проверки подлинности серверов. Это используется МТЛС. Сертификаты сервера также должны включать по крайней мере одну точку распространения списка отзыва сертификатов (CRL).

Функции безопасности федерации

Как и его предшественник, Live Communications Server 2005 (с пакетом обновления 1), OCS 2007 имеет возможность интеграции с основными общедоступными поставщиками мгновенных сообщений (MSN, Yahoo! и AOL). Он также поддерживает «расширенную федерацию», которая позволяет обнаруживать одноранговые предприятия с помощью записей DNS SRV. OCS 2007 включает новые функции безопасности для модели федерации. Это включает:

• Ограничение на количество пользователей, с которыми федеративный одноранговый узел может общаться в течение определенного периода времени. Это предназначено для предотвращения «сбора каталогов», с помощью которого злоумышленник пробует разные имена пользователей, чтобы найти действительное.
  
• Ограничение скорости, с которой пограничный сервер доступа будет принимать сообщения от федеративного узла, на основе анализа трафика.

Администраторы также могут ограничить доступ, добавив домены в список запрещенных или заблокировав одноранговые сертификаты через хранилище сертификатов.

Блокировка нежелательных или опасных мгновенных сообщений

Вы можете использовать интеллектуальный фильтр мгновенных сообщений, чтобы блокировать нежелательные или потенциально опасные мгновенные сообщения и передачи файлов. Вы можете настроить фильтры для использования нужных вам критериев, чтобы выборочно блокировать мгновенные сообщения и передачу файлов. Например, вы можете заблокировать мгновенные сообщения, содержащие гиперссылки, или разрешить мгновенным сообщениям проходить с отключенной гиперссылкой. Вы можете заблокировать файлы с определенными расширениями.

Дополнительная информация

Более подробную информацию об использовании встроенных функций безопасности OCS см. в Руководстве по безопасности Microsoft Office Communications Server .

Защита ваших серверов и клиентов

Сервер OCS, наряду с другими серверами в вашей инфраструктуре, должен быть «защищен» путем максимально возможной блокировки как операционных систем, так и приложений. Это можно сделать с помощью групповой политики. Руководство по безопасности Windows Server 2003 содержит конкретную информацию о том, как усилить защиту серверов Server 2003.

Неиспользуемые службы на ваших серверах должны быть отключены. База данных SQL Server, используемая для хранения информации OCS, должна быть защищена. Короче говоря, лучшие методы сетевой безопасности становятся еще более важными, когда у вас есть сервер OCS в сети. И, конечно же, все серверы должны быть обновлены с помощью обновлений безопасности и последних сигнатур вирусов.

Клиентские машины также должны быть настроены для максимальной безопасности. Вы можете использовать групповую политику OCS, чтобы отключить соответствующие функции и настроить клиент для шифрования мультимедиа. Разумеется, на клиентских машинах должны быть установлены последние пакеты обновления и обновления безопасности.

И не забывайте о других устройствах OCS, таких как OCS-совместимые телефоны. Вы можете использовать службу обновления программного обеспечения Office Communications Server для автоматического обновления всех устройств унифицированных коммуникаций, развернутых в вашей организации.

Для оценки общего состояния серверов OCS 2007 и топологии можно загрузить анализатор соответствия рекомендациям Office Communications Server 2007.

Интегрированные решения безопасности Майкрософт

В июне Microsoft выпустила общедоступную бета-версию Forefront Security для OCS. Это новейшая разработка в семействе продуктов Forefront для корпоративной безопасности, позволяющая сканировать вредоносные программы с помощью нескольких механизмов и фильтровать мгновенные сообщения и файлы по ключевым словам. Он также включает автоматические обновления сигнатур и оповещения об мгновенных уведомлениях.

Forefront Security для OCS интегрирован с ролью Access Edge в выпуске OCS 2007 Enterprise, которая защищает сообщения от внешних общедоступных клиентов обмена мгновенными сообщениями и федеративных сетей, а также внутреннюю связь. Вы можете скачать бета-версию.

Сторонние надстройки безопасности

Продукты безопасности сторонних производителей, предназначенные для защиты OCS 2007, включают:

• Trend Micro IM Security для Microsoft Office Communications Server
  
• Akonix L7 Enterprise для добавления унифицированных политик и управления рисками для OCS.

Резюме

Microsoft OCS 2007 — это ответ Microsoft на вопрос об унифицированных коммуникациях. Он выходит далеко за рамки LCS 2005 и теперь управляет всеми типами связи в реальном времени, включая VoIP и конференц-связь. В современном мире, наполненном угрозами, коммуникационные приложения являются одними из самых уязвимых, поэтому при развертывании OCS важно в первую очередь учитывать безопасность. В этой статье представлен обзор вопросов безопасности, связанных с OCS 2007.