Mediendurchquerung

Letztes Änderungsdatum des Themas: 2009-03-10

Der A/V-Edgedienst stellt einen einzelnen, vertrauenswürdigen Verbindungspunkt für ein- und ausgehende Medien bereit.

A/V-Edgedienst-Portanforderungen

Die A/V-Edgeanforderungen für Ports und das Protokoll haben sich in Office Communications Server 2007 R2 geändert. Je nach Ihren Anforderungen für den Verbund mit Partnerinfrastrukturen und die Konfiguration Ihrer Edgeserver sollten die folgenden Ports in Betracht gezogen werden:

• UDP 3478
• TCP 443
• UDP 50.000-59.999
• TCP 50.000-59.999

Office Communications Server 2007 R2 implementiert eine aktuellere Version des Protokolls zur interaktiven Verbindungsherstellung (Interactive Connectivity Establishment, ICE), um Medienverbindungen mit Parteien innerhalb einer Umgebung zur Netzwerkadressenübersetzung (Network Address Translation, NAT) auszuhandeln. Einzelheiten zur Implementierung finden Sie in den Microsoft Office-Protokolldokumenten unter https://go.microsoft.com/fwlink/?LinkId=145173 Aufgrund der neuen ICE-Spezifikationen haben sich die Portanforderungen für den A/V-Edgedienst von Office Communications Server 2007 R2 geändert. Weitere Informationen zur Implementierung von ICE in Office Communications Server 2007 R2 finden Sie im Abschnitt "Zusätzliche Ressourcen" am Ende dieses Dokuments.

A/V-Edgedienst-Portsicherheit

Der A/V-Edgedienst ist eine vom Unternehmen verwaltete Ressource. Daher ist eine Zugangsbeschränkung auf autorisierte Benutzer wichtig für sicherheits- und ressourcenbezogene Überlegungen.

UDP 3478 und TCP 443

Die Ports UDP 3478 und TCP 443 werden von Clients zur Anforderung von A/V-Edgediensten verwendet. Ein Client ordnet über diese beiden Ports dem Remotebenutzer UDP- bzw. TCP-Ports zu, mit denen er sich verbinden kann. Um auf den A/V-Edgedienst zuzugreifen, muss der Client zunächst eine Communicator- oder Meeting-Konsolenregistrierung für eine authentifizierte SIP-Signalübermittlungssitzung vornehmen, um die Anmeldeinformationen für den A/V-Edgedienst zu erhalten. Die Werte werden über den TLS-geschützten Signalkanal gesendet und zur Minderung des Risikos von Wörterbuchangriffen vom Computer generiert. Die Clients können diese Anmeldeinformationen zur Digestauthentifizierung mit dem A/V-Edgedienst verwenden, um die in einer Mediensitzung zu verwendenden Ports zuzuweisen. Der Client sendet eine erste Zuordnungsanforderung, die vom A/V-Edgedienst mit einer 401 Nonce/Authentifizierungsnachricht beantwortet wird. Der Client sendet eine zweite Zuordnung, die den Benutzernamen sowie einen Hashcode (Hash Message Authentication Code, HMAC) von Benutzernamen und Nonce enthält. Außerdem sollen Angriffe mit Aufzeichnungswiederholung mithilfe eines Sequenznummermechanismus verhindert werden. Der Server berechnet anhand von Benutzername und Kennwort den zu erwartenden Hashcode. Wenn die HMAC-Werte übereinstimmen, wird die Zuordnung vorgenommen. Andernfalls wird das Paket gelöscht. Derselbe HMAC-Mechanismus wird auch auf alle nachfolgenden Nachrichten der Anrufsitzung angewendet. Die Lebensdauer des aus Benutzernamen und Kennwort berechneten Werts beträgt maximal acht Stunden. Nach diesem Zeitraum erwirbt der Client für die nachfolgenden Anrufe eine neue Kombination aus Name und Kennwort.

UDP/TCP 50.000-59.999

Diese Portbereiche werden für Verbundmediensitzungen mit Office Communications Server 2007-Partnern verwendet, die vom A/V-Edgedienst den Dienst zum Durchqueren der NAT/Firewall benötigen. Da der A/V-Edgedienst der einzige Prozess ist, der diese Ports verwendet, gibt die Größe des Portbereichs keinen Aufschluss über das potenzielle Angriffsrisiko. Ein bewährtes Sicherheitsverfahren besteht in der Minimierung der Gesamtzahl der Überwachungsports durch Vermeidung unnötiger Netzwerkdienste. Wenn ein Netzwerkdienst nicht ausgeführt wird, kann er von einem Remoteangreifer nicht genutzt werden und das Angriffsrisiko des Hostcomputers wird reduziert. Durch eine Reduzierung der Portanzahl innerhalb eines Diensts kann jedoch nicht der gleiche Nutzen erzielt werden. Die A/V-Edgedienst-Software ist mit 10.000 offenen Ports nicht anfälliger als mit 10. Die Zuordnung der Ports innerhalb dieses Bereichs erfolgt zufällig, und nicht zugeordnete Ports können keine Pakete empfangen.

A/V-Edgedienst-IP-Adressanforderungen

In Office Communications Server 2007 R2 kann ein einziger konsolidierter Edgeserver ohne Lastenausgleich NAT für alle drei Dienstrollen verwenden. Das bedeutet, dass Sie für den tatsächlichen Server keine öffentlich routingfähige IP-Adresse bereitstellen müssen und Ihren Umkreisadressbereich verwenden können. Für die interne Schnittstelle des konsolidierten Edgeservers wird NAT jedoch nicht unterstützt.

Sind mehrere Edgeserver hinter ein Hardwaregerät zum Lastenausgleich geschaltet, muss für die virtuelle IP-Adresse des Hardwaregeräts und den A/V-Edgedienst eine öffentliche Adresse zugewiesen werden. Für Clients, die über das Internet auf den A/V-Edgeserver zugreifen, muss ein direkter routingfähiger Zugriff bereitgestellt werden.

Dies ist erforderlich, weil die Adressierung für eine Mediensitzung auf der IP-Adressebene erfolgt, auf der die End-to-End-Konnektivität durch die Anwesenheit einer NAT-Funktion unterbrochen werden kann. Bei einem Edgeserver beinhaltet die Netzwerkadressenübersetzung (Network Address Translation, NAT) nur die Adressenübersetzung; sie bietet keinerlei Sicherheit durch Erzwingung von Routingrichtlinienregeln oder Paketinspektion. Der einzige potenzielle Nutzen einer NAT besteht in der Verschleierung der IP-Adresse des Servers. Der Versuch, die IP-Adresse eines Netzwerkservers zu verbergen, stellt jedoch keine zuverlässige Sicherheitsmethode dar. Alle Edgeserver müssen durch die Verwendung einer ordnungsgemäß zugeordneten Firewallrichtlinie zur Beschränkung des Clientzugriffs auf die zugewiesenen Überwachungsports und durch Deaktivierung aller anderen unnötigen Netzwerkdienste gesichert werden. Die Einhaltung dieser empfohlenen Verfahren vorausgesetzt, bietet ein NAT keine zusätzlichen Vorteile.

Remotebenutzer A/V-Datenverkehrdurchquerung

Um Remotebenutzern und internen Benutzern einen Medienaustausch zu ermöglichen, muss der für das Einrichten und Beenden von Sitzungen erforderliche SIP-Signaldatenverkehr über einen Zugriffs-Edgedienst geregelt werden. Außerdem muss ein A/V-Edgedienst als Relay für die Medienübertragung fungieren. Die in Abbildung 1 dargestellte Anruffolge sieht folgendermaßen aus.

Abbildung 1. Anruffolge zur Ermöglichung einer Mediendurchquerung von NATs und Firewalls

Die folgende Ereignisfolge tritt ein, wenn ein Remotebenutzer interne Benutzer anruft und deshalb mithilfe des A/V-Edgeservers Nachrichten per Voicemail, VoIP oder auf beiden Wegen versenden muss:

1. Der Remotebenutzer richtet eine authentifizierte SIP-Sitzung ein, indem er den Benutzer zur Anmeldung am Office Communications Server veranlasst. Im Rahmen dieser authentifizierten, verschlüsselten SIP-Sitzung kann der Benutzer Anmeldeinformationen vom A/V-Authentifizierungsdienst erhalten.
2. Der Remotebenutzer authentifiziert sich über den A/V-Edgedienst und bekommt für den anstehenden Anruf Mediensitzungsports (Office Communications Server 2007 R2 verwendet 3478/UDP) auf dem Server zugewiesen. An diesem Punkt kann der Remotebenutzer Pakete über den zugewiesenen Port unter der öffentlichen IP-Adresse des A/V-Edgediensts, jedoch immer noch keine Medienpakete innerhalb des Unternehmens senden.
3. Der Remotebenutzer ruft den internen Benutzer über den vom Zugriffs-Edgedienst bereitgestellten SIP-Signalkanal an. Im Rahmen der Anrufeinrichtung wird der interne Benutzer über den Port des A/V-Edgediensts informiert, der dem Remotebenutzer zum Austausch von Medien zur Verfügung steht.
4. Der interne Benutzer kontaktiert den A/V-Edgedienst unter seiner privaten IP-Adresse, um für den Empfang von Medien authentifiziert zu werden. Dem internen Benutzer wird für die Mediensitzung auch ein Port unter der öffentlichen Adresse des A/V-Edgediensts (Office Communications Server 2007 R2 verwendet 3478/UDP) zugewiesen. Nach der Zuteilung des Ports nimmt der Benutzer, wiederum über den Zugriffs-Edgedienst, das Gespräch an und informiert so den Remotebenutzer über den Port, den er vom A/V-Edgedienst für den Medienaustausch erhalten hat.

Die Anrufeinrichtung ist abgeschlossen. Interne und externe Benutzer beginnen mit dem Austausch von Medien.

Zusammenfassend gesagt muss der Remotebenutzer, um Medien in das Unternehmen senden zu können, authentifiziert werden, und ein authentifizierter interner Benutzer muss dem Austausch von Mediendatenströmen explizit zustimmen. Office Communications Server 2007 R2 nutzt im Verbund mit Office Communications Server 2007 weiterhin den Portbereich von 50.000-59.999 UDP/TCP. Für einen Verbund mit zwei Office Communications Server 2007 R2-Partnern wird 3478/UDP verwendet.

Sicherheit von End-to-End-Medien

Der zum Aushandeln einer Mediensitzung verwendete Signalkanal wird durch eine 128-Bit-TLS-Verschlüsselung geschützt. Zudem wurde bestätigt, dass das Serverzertifikat über einen geeigneten FQDN und eine vertrauenswürdige Stelle verfügt. Dieser Mechanismus ist dem Mechanismus von E-Commerce-Websites für Onlinetransaktionen sehr ähnlich. Zur Sicherung der eigentlichen Medien implementiert Office Communications Server das SRTP-Protokoll der IETF. Bei diesem Mechanismus werden 128-Bit Schlüssel über den sicheren Signalkanal ausgetauscht, den die beiden Endpunkte anschließend zum Ver- und Entschlüsseln des Mediendatenstroms mithilfe der 128-Bit-Advanced Encryption Standard (AES)-Verschlüsselung nutzen. Dadurch ist sichergestellt, dass ein Angreifer selbst bei einem erfolgreichen Man-in-the-Middle-Angriff auf den Medienpfad die Unterhaltung nicht abhören oder zusätzliche Medienpakete einschleusen kann. Im letzteren Fall werden die Pakete einfach durch den Client gelöscht.