Защита вашего сервера Lync (часть 3)

Опубликовано: 7 Апреля, 2023

  • Защита вашего сервера Lync (часть 2)

Введение

В части 1 этой серии, посвященной обеспечению безопасности Lync Server, мы обсудили эволюцию программного обеспечения Microsoft Lync, выросшего из старого Office Communications Server (OCS), его функции и принципы работы, встроенные механизмы безопасности (аутентификацию и шифрование) и использование Active Directory и групповой политики, а также как использовать командную консоль Lync Server для назначения и создания административных ролей. Во второй части мы рассказали о распространенных угрозах для серверов Lync, некоторых советах и рекомендациях по усилению защиты сервера Lync и базы данных Lync, а также о том, как спланировать и настроить двухфакторную аутентификацию для Lync. На этот раз мы завершим его некоторыми советами по безопасности, относящимися к использованию Lync в Интернете и с пользователями за пределами организации.

Последствия для безопасности при использовании Lync в Интернете

Когда вы развертываете Lync для использования вашими внутренними пользователями для связи друг с другом, вы получаете оптимальный контроль над безопасностью. К сожалению, этого, скорее всего, недостаточно. В этом очень мобильном и интерактивном рабочем мире высока вероятность того, что вашим внутренним пользователям также потребуется возможность общаться с людьми, которые находятся за пределами организации, с помощью обмена мгновенными сообщениями, аудио- и видеоконференций. Это могут быть клиенты и потенциальные клиенты, продавцы и поставщики, а также коллеги и партнеры, работающие в других организациях, а также ваши собственные сотрудники, которые находятся в дороге или работают удаленно из дома или офиса-спутника.

Если пользователям Lync необходимо подключаться к другим пользователям, находящимся за пределами корпоративных брандмауэров, это необходимо учитывать при выборе наиболее безопасного способа развертывания серверов Lync и управления ими. Вы не хотите, чтобы ваши внутренние серверы были напрямую доступны из Интернета, поэтому способ избежать этого — настроить Lync Edge Server. Затем пограничный сервер можно разместить в вашей сети DMZ (также известной как сеть периметра). Этот сервер действует как посредник между внутренними пользователями и теми, кто находится по другую сторону брандмауэра.

Lync Edge Server может поддерживать присутствие и обмен мгновенными сообщениями, а также аудио- и видеоконференции через клиент Lync, Интернет и мобильные приложения Lync. Он также может поддерживать голосовые вызовы (VoIP) с помощью Lync.

В этой статье мы поговорим конкретно о Lync Server и Client 2013 и воспользуемся преимуществами их расширенных наборов функций. Между Lync 2013 и Lync 2010 существует ряд различий, влияющих на развертывание пограничного сервера.

Новые функции Lync 2013

Одно важное изменение заключается в том, что Lync Server 2013 поддерживает адресацию IPv6. Многие организации в настоящее время начинают переводить свои сети на IPv6, поскольку количество общедоступных адресов IPv4 продолжает истощаться. Вы можете использовать адресацию IPv6 при настройке Lync Edge Server. Для этого вам потребуется создать записи DNS, в том числе записи узлов AAAA. Еще одна новая функция — возможность для пользователей иметь контакты, которые являются частью организации, использующей протоколы Extensible Messaging and Presence Protocol (XMPP), например пользователи Google Talk (другие системы XMPP могут поддерживать или не поддерживать федерацию с Lync). Ваши пользователи могут получать информацию о присутствии и обмениваться с ними мгновенными сообщениями. Это делается с помощью прокси-сервера XMPP, развернутого на вашем Lync Edge Server, который работает вместе со шлюзом XMPP, который вы развертываете на сервере переднего плана Lync.

Особое значение для обсуждения безопасности имеет новая поддержка Lync Server 2013 для «скользящей» проверки подлинности аудио/видео и сертификатов проверки подлинности между серверами. Вот как это работает: токены генерируются сертификатами, а токены, кэшированные на целых 8 часов, используются для аутентификации запросов на выделение портов. По истечении срока действия сертификатов этих токенов клиенты должны получить новые токены с действительными сертификатами. Без действительного токена аудио/видео сеансы завершатся сбоем. Межсерверная аутентификация работает несколько иначе. Он использует один глобальный сертификат, который аутентифицирует все серверы — Lync Server 2013, Exchange 2013 и SharePoint 2013. Срок действия межсерверной аутентификации истекает через 24 часа. Что нового, так это то, что новые сертификаты A/V и Server-to-Server могут быть выпущены до истечения срока действия существующего сертификата, и оба могут использоваться одновременно (старый для проверки текущих сеансов и новый для новых запросов аутентификации).

Пограничная топология

Наиболее важным компонентом пограничной топологии Lync являются пограничные серверы. Это серверы в демилитаризованной зоне, на которых работают пограничные службы, необходимые для отправки и получения сообщений между внутренними и внешними пользователями. Пограничные службы, запускаемые пограничным сервером, включают следующее:

  • Получите доступ к пограничной службе, которая обрабатывает SIP-трафик.
  • Пограничная служба веб-конференций, с помощью которой внешние пользователи могут присоединяться к собраниям, проводимым через внутренние серверы Lync.
  • Служба A/V Edge, с помощью которой внешние пользователи могут участвовать в аудио- и видеоконференциях с внутренними пользователями. Передача файлов и совместное использование рабочего стола также поддерживаются.
  • Прокси-служба XMPP, которая, как упоминалось ранее, обрабатывает обмен мгновенными сообщениями и информацией о присутствии между внутренними пользователями и внешними пользователями на основе XMPP.

Важной проблемой безопасности является то, что внешние пользователи, которые подключаются к вашим внутренним серверам Lync получить доступ ни к чему другому в вашей внутренней сети. Обратите внимание, что пользователям не нужно подключаться к вашей сети через VPN, чтобы участвовать в собраниях и звонках Lync. На самом деле, пользователям за пределами организации лучше подключаться напрямую к пограничному серверу аудио/видео, а не через VPN, потому что это может отрицательно сказаться на трафике аудио/видео, когда пользователи подключаются через VPN.

Ваша пограничная топология также включает обратный прокси-сервер, который позволяет внешним пользователям использовать простые URL-адреса для подключения к собраниям, а также позволяет им загружать содержимое с собраний, получать пользовательские сертификаты, загружать файлы с сервера адресной книги и многое другое.

Роль Director Server теперь является необязательной в Lync 2013. Она делает то же самое, что и в Lync 2010 — предварительно проверяет входящие запросы, а затем отправляет их на домашний сервер пользователя или домашний пул серверов, — но эти же задачи может выполнять Front Конечные серверы. Однако использование директора может повысить безопасность развертывания Lync 2013, поскольку он защищает серверы переднего плана от атак типа «отказ в обслуживании» (DoS). Использование директора также может повысить производительность.

Вы можете развернуть одного директора или пул директоров. Обратите внимание, что вам потребуется опубликовать веб-службы Director через обратный прокси-сервер вместе с веб-службами серверов переднего плана.

Обратите внимание, что роль директора всегда следует развертывать как отдельный сервер, а не на сервере Lync, на котором выполняются другие роли сервера. Кроме того, пограничный сервер и обратный прокси-сервер должны быть развернуты как выделенные серверы. Однако обратный прокси-сервер можно использовать для публикации веб-сайтов и служб, которые не имеют ничего общего с Lync. Вы можете использовать существующий обратный прокси-сервер, если он уже есть в демилитаризованной зоне; нет необходимости развертывать его только для служб Lync.

Передовые методы защиты топологии Lync Edge включают:

  • Создайте подсеть, выделенную для пограничных серверов Lync.
  • Отключите широковещательную и многоадресную рассылку для подсети.
  • Следуйте рекомендациям по использованию сертификатов при использовании одного и того же сертификата на нескольких пограничных серверах.
  • Поместите пограничные серверы в домен, который не является частью внутреннего домена Active Directory, или разверните пограничные серверы в рабочей группе вместо домена. Смысл в том, чтобы ваши внутренние службы AD не попадали в демилитаризованную зону.
  • Сведите к минимуму общее количество прослушиваемых портов, отключив ненужные службы (обратите внимание, что уменьшение количества портов, используемых одной службой, не обеспечивает дополнительной защиты и не снижает подверженность атакам).
  • Настройте Director для мониторинга всего внешнего пользовательского трафика для аудита безопасности.
  • Определите правила во время настройки каждой роли сервера, чтобы строго контролировать пути, разрешенные как для интернет-трафика, идущего во внутреннюю сеть, так и для внутреннего трафика, идущего в Интернет.
  • Все пограничные серверы должны иметь правильно связанную политику брандмауэра.
  • Используйте компьютеры с двумя сетевыми адаптерами для физического разделения внутренних и внешних интерфейсов.

Наконец, ваша DMZ должна быть защищена брандмауэрами. Можно использовать только внешний брандмауэр, но рекомендуется использовать два брандмауэра, один внешний (между сетью DMZ и Интернетом) и один внутренний (между сетью DMZ и внутренней локальной сетью). Это обеспечивает оптимальную защиту ресурсов в вашей внутренней сети, так как они защищены от Интернета двойным уровнем межсетевых экранов.

Резюме

Безопасное развертывание Lync для внешних пользователей немного сложнее, чем развертывание, которое остается в корпоративной сети, но предоставляет пользователям больше возможностей для связи. В этой статье затронуты только некоторые важные факторы, влияющие на безопасность развертывания Lync для использования в Интернете, и не приводится подробное описание многих шагов, которые необходимо предпринять, чтобы этот сценарий работал должным образом. Для получения этого руководства ознакомьтесь с документом под названием «Планирование доступа внешних пользователей», который является частью документации Microsoft Lync Server 2013 на веб-сайте Technet.

Надеюсь, вам понравилась эта статья из трех частей о защите серверов Lync. Microsoft Lync — это универсальное и эффективное средство связи, которое при правильном развертывании может предоставить бизнес-пользователям множество вариантов взаимодействия друг с другом внутри организации и с внешним миром.

  • Защита вашего сервера Lync (часть 2)