Bảo vệ triển khai OCS

Office Communications Server (OCS) là giải pháp truyền thông hợp nhất của Microsoft cho các doanh nghiệp, nhưng tất cả các triển khai truyền thông hợp nhất (ứng dụng thoại video, IM, truyền tải file và ứng dụng chia sẻ) đều yêu cầu đến sự bảo mật.
Nội dung trích xuất từ tài liệu:
Bảo vệ triển khai OCSBảo vệ triển khai OCSNguồn:quantrimang.com Deb ShinderQuản trị mạng - Office Communications Server (OCS) là giải pháp truyền thônghợp nhất của Microsoft cho các doanh nghiệp, nhưng tất cả các triển khai truyềnthông hợp nhất (ứng dụng thoại video, IM, truyền tải file và ứng dụng chia sẻ)đều yêu cầu đến sự bảo mật. Chính vì vậy, trong bài này chúng tôi muốn đề cậpđến vấn đề này và sẽ giới thiệu đến những tính năng bảo mật của OCS, nhữnglựa chọn cấu hình cho cách thức thực hành bảo mật tốt nhất cùng với đó là cácgiải pháp phần mềm tích hợp (từ Microsoft và các hãng thứ ba) nhằm bổ sungthêm độ bảo mật cho OSC.Hệ thống truyền thông hợp nhất hiện có chứa những điểm yếu dễ bị tấn côngnhư hiện tượng giả mạo địa chỉ IP, nhận dạng, RTP replay cũng nhưviruses/worms, hoặc hiện tượng nghe trộm và các tấn công từ chối dịch vụ(DoS). Vì sự tự tin và tính toàn vẹn của truyền thông là cực kỳ quan trọng đối vớidoanh nghiệp của bạn nên vấn đề bảo vệ chống lại các mối đe dọa này là cực kỳcần thiết.Các tính năng bảo mật trong OCS 2007OCS 2007 cung cấp nhiều tính năng bảo mật mà LCS 2005 không có, cụ thểnhư sau: VoIP doanh nghiệp • IM đa nhóm • Hội thảo cho phép người không có các chứng chỉ của doanh nghiệp có thể • tham gia.Thêm vào đó các tính năng như sự hỗ trợ hiện diện và liên đoàn cũng đã đượccải thiện và nâng cao.Microsoft đã nhắm đến nhiều thách thức bảo mật bằng các tính năng kèm theo.Sự bảo mật tốt nhất vẫn là bảo mật đa khía cạnh, chính vì vậy framework bảomật được xây dựng trên OCS có nhiều thành phần.Active DirectoryBảo mật máy chủ Windows trong một miền được xây dựng trên Active Directory,OCS sử dụng Active Directory để lưu các thiết lập toàn cục (được sử dụng bởinhiều máy chủ OCS trong một forest), dữ liệu nhận dạng các role của máy chủOCS và các thiết lập người dùng.Bạn phải chuẩn bị Active Directory cho OSC bằng cách mở rộng lược đồ để cócác lớp và thuộc tính của OSC, tạo các đối tượng và thuộc tính OSC, “add” cácđiều khoản trên các đối tượng trong mỗi miền. Bạn có thể thực hiện bằng mộttrong hai cách: sử dụng công cụ dòng lệnh LcsCmd.exe trên OCS CD, hoặc sửdụng công cụ triển khai Setup.exe cho OCS 2007. Công cụ dòng lệnh có thểđược chạy từ xa. Còn công cụ triển khai có giao diện đồ họa và các wizardhướng dẫn bạn thông qua mỗi nhiệm vụ.Các bước cụ thể để chuẩn bị Active Directory gồm có: Schema (chạy một lần) • Forest (chạy một lần) • Domain (chạy trên miền nơi bạn triển khai OSC) •Thẩm địnhOCS có thể sử dụng các giao thức thẩm định chuẩn của Windows, phụ thuộcvào người dùng: Kerberos v5 là giao thức thẩm định an toàn nhất và được sử dụng cho các • máy khách bên trong với các chứng chỉ Active Directory. NTLM được sử dụng cho các máy khách bên ngoài LAN có các chứng chỉ • Active Directory. Giao thức Digest được sử dụng cho các máy khách hội thảo “on-premise” • bên ngoài LAN (không có các chứng chỉ Active Directory), mặc dù vậy các máy này phải được mời vào sử dụng hội thảo này và phải được cung cấp một khóa hội thảo hợp lệ.Mã hóa mạngĐể bảo vệ cho dữ liệu trao đổi trên mạng, OCS 2007 đã sử dụng sự mã hóa mộtcách mặc định. Thẩm định điểm cuối và mã hóa được thực hiện bằng cách sửdụng Transport Layer Security (TLS) và Mutual Transport Layer Security (MTLS).Truyền thông SIP giữa các máy chủ (Server-to-server) sử dụng MTLS và truyềnthông SIP giữa máy khách vào chủ sử dụng TLS. Các giao thức này có thể bảovệ chống lại hiện tượng nghe trộm.TLS và MTLS cũng được sử dụng để mã hóa các thông báo tức thì (IM). Mã hóaTLS hoàn toàn mang tính tùy chọn cho IM giữa các máy khách bên trong mạng.Sự truyền thông OSC với các máy chủ IM công cộng được mã hóa, mặc dù vậynó để cho nhà cung cấp IM mã hóa sự truyền thông giữa máy chủ IM và máykhách bên ngoài.Secure Real-time Transport Protocol (SRTP) được sử dụng để mã hóastreaming media. SRTP bảo vệ dữ liệu RTP bằng cách bổ sung thêm sự thẩmđịnh, khả năng tin cậy và sự bảo vệ replay.Cơ sở hạ tầng khóa côngThẩm định máy chủ cho OCS 2007 được dựa trên sự sử dụng các chứng chỉ số,các chứng chỉ số này được phát hành bởi một CA tin cậy. Các CA này có thểbên trong hoặc CA công (bạn có thể cần đến một CA công nếu máy chủ OSCcần truyền thông với các hệ thống bên ngoài LAN). OSC được thiết kế để làmviệc với cơ sở hạ tầng khóa công của Windows 2003 (PKI).Với OCS, tất cả các chứng chỉ của máy chủ đều bị yêu cầu hỗ trợ Enhanced KeyUsage (EKU) để thẩm định các máy chủ. Điều này được sử dụng bởi MTLS. Cácchứng chỉ của máy chủ cũng phải có tối thiểu một điểm cung cấp CertificateRevocation List (CRL).Các tính năng bảo mật liên đoànGiống kẻ tiền nhiệm của nó, Live Communications Server 2005 (SP1), OCS2007 cũng có khả năng cho liên đoàn với các n ...