Compartir a través de

  • Artículo

Cruce seguro de medios

 

Última modificación del tema: 2012-10-15

El servicio perimetral A/V proporciona un único punto de conexión de confianza para que los medios puedan entrar y salir de la empresa de forma segura.

Requisitos de los puertos del servicio perimetral A/V

Los requisitos en materia de puertos y protocolos del servicio perimetral A/V han cambiado en Microsoft Lync Server 2010. Según los requisitos para la federación con las infraestructuras de socios y la configuración de los servidores perimetrales, se han de considerar los puertos siguientes:

  • UDP 3478

  • TCP 443

  • UDP 50.000–59.999

  • TCP 50.000–59.999

Para obtener más información acerca de los requisitos de traducción de direcciones de red (NAT) y configuración de puertos, consulte Determinación de los requisitos de los puertos y el firewall de A/V externos en la documentación de planeación.

Lync Server 2010 implementa el protocolo de establecimiento interactivo de conectividad (ICE) para negociar las conexiones de medios con entidades dentro de un entorno NAT. Para obtener información detallada sobre la implementación, consulte la documentación referente a los protocolos de Microsoft Office en https://go.microsoft.com/fwlink/?linkid=145173&clcid=0xC0A.

Seguridad de los puertos del servicio perimetral A/V

El servicio perimetral A/V es un recurso administrado por la empresa, por lo que restringir el acceso a los usuarios autorizados es importante desde el punto de vista de la seguridad y los recursos.

UDP 3478 y TCP 443

Los clientes usan los puertos UDP 3478 y TCP 443 para solicitar servicios del servicio perimetral A/V. Los clientes usan estos dos puertos para asignar los puertos UDP y TCP, respectivamente, a los que debe conectarse la entidad remota. Para obtener acceso al servicio perimetral A/V, el cliente debe haber iniciado una sesión de señalización SIP autenticada en Lync para obtener las credenciales de autenticación del servicio perimetral A/V. Estos valores se envían a través del canal de señalización protegido por TLS y los genera el equipo con el fin de mitigar los ataques por diccionario. A continuación, los clientes pueden utilizar estas credenciales para la autenticación implícita con el servicio perimetral A/V a fin de asignar los puertos que se van a usar en una sesión de medios. El cliente envía una solicitud de asignación inicial, a la que responde el servicio perimetral A/V con un mensaje de valor instantáneo/desafío 401. El cliente envía una segunda solicitud de asignación con el nombre de usuario y un código HMAC (código hash de autenticación de mensajes) del nombre de usuario y del valor instantáneo. Existe además un mecanismo de números de secuencia para evitar los ataques de reproducción. El servidor calcula el código HMAC esperado basándose en la información de nombre de usuario y contraseña de la que dispone y, si los valores HMAC coinciden, se llevará a cabo el procedimiento de asignación. De lo contrario, se quitará el paquete. Este mismo mecanismo HMAC también se aplica a los mensajes subsiguientes en esta sesión de llamada. Este valor de nombre de usuario y contraseña tiene una vigencia máxima de ocho horas; después, el cliente adquiere un nuevo nombre de usuario y una nueva contraseña para las llamadas subsiguientes.

UDP/TCP 50.000– 59.999

La salida TCP 50.000 se usa parar Lync Server, incluido el uso compartido de escritorio y aplicaciones, la transferencia de archivos y las funciones A/V punto a punto de Windows Live Messenger 2011. Los intervalos de puertos UDP/TCP 50.000-59.999 se usan en sesiones multimedia con asociados de Microsoft Office Communications Server 2007 que necesitan el servicio de cruce seguro de firewall/NAT del servicio perimetral A/V. Dado que el servicio perimetral A/V es el único proceso que usa estos puertos, el tamaño del intervalo de puertos no indica la posible superficie de ataque. Por motivos de seguridad, se recomienda no ejecutar servicios de red innecesarios a fin de minimizar siempre el número total de puertos de escucha. Si un servicio de red no se ejecuta, los atacantes remotos no lo pueden usar y se reduce la superficie de ataque del equipo host. Sin embargo, en un solo servicio, la reducción del número de puertos no aporta la misma ventaja. El software del servicio perimetral A/V no se encuentra más expuesto a ataques si el número de puertos abiertos es de 10.000 en lugar de 10. La asignación de puertos en este intervalo se realiza aleatoriamente y los puertos no asignados no escuchan los paquetes. Para obtener más información, consulte Determinación de los requisitos de los puertos y el firewall de A/V externos en la documentación de planeación.

Requisitos de direcciones IP del servicio perimetral A/V

En Lync Server 2010, un servidor perimetral es un único servidor que ejecuta los tres servicios perimetrales, incluyendo el servicio perimetral de acceso, el servicio perimetral de conferencia web y el servicio perimetral A/V. Los servidores perimetrales que no usan un equilibrador de carga pueden usar NAT para los tres roles de servicio. Esto significa que no es necesario proporcionar una dirección IP públicamente enrutable al servidor propiamente dicho y que se puede utilizar el intervalo de direcciones perimetrales. Sin embargo, no se admite NAT para el perímetro interno del servidor perimetral.

Si usa varios servidores perimetrales detrás de un equilibrador de carga de hardware, debe asignar una dirección pública al servicio perimetral A/V y la IP virtual del equilibrador de carga de hardware. La dirección pública debe proporcionar acceso directamente enrutable a los clientes que obtienen acceso al servicio perimetral A/V a través de Internet. Si usa varios servidores perimetrales detrás de un equilibrador de carga de DNS, debe asignar una dirección pública a cada dirección externa.

Esto es necesario porque la asignación de direcciones para una sesión de medios se realiza en el nivel de direcciones IP, donde la presencia de una función NAT puede interrumpir la conectividad de un extremo a otro. En el caso de un servidor perimetral, una NAT proporciona solo la traducción de direcciones; no proporciona ningún tipo de seguridad a través de la aplicación de las reglas de las directivas de enrutamiento ni la inspección de paquetes. La única posible ventaja que ofrece una función NAT reside en que oculta la dirección IP del servidor. Sin embargo, intentar ocultar la dirección IP de cualquier servidor de red no es una forma fiable de proporcionar seguridad. Todos los servidores perimetrales necesitan una directiva de firewall debidamente asociada para restringir el acceso del cliente a los puertos de escucha designados y deben deshabilitar los servicios de red innecesarios. Si se siguen estos procedimientos recomendados, la presencia de una NAT no aporta ninguna ventaja adicional.

Cruce seguro del tráfico A/V de usuarios externos

Para habilitar los usuarios externos e internos para el intercambio de medios, se requiere un servicio perimetral de acceso a fin de administrar la señalización SIP necesaria para configurar y dividir una sesión. También se requiere un servicio perimetral A/V que actúe como relé para la transferencia de los medios. La secuencia de llamada se muestra en la figura que aparece a continuación.

Secuencia de llamada para habilitar el cruce seguro de los medios por NAT y firewalls

c7c70bf2-a9e6-4d5c-941d-ff7bb6f6c13d

La siguiente secuencia de eventos se produce cuando un usuario externo llama a usuarios internos y, por lo tanto, necesita poder enviar contenido de voz, VoIP o ambos por medio del servidor perimetral A/V:

  1. En el contexto de esta sesión SIP cifrada y autenticada, el usuario obtiene credenciales de autenticación del servicio de autenticación A/V enviando una solicitud de SERVICIO SIP al servicio.

  2. El usuario externo se autentica con el servicio perimetral A/V y obtiene los puertos de la sesión de medios (Lync Server 2010 usa 3478/UDP y 443/TCP) del servidor que se van a usar en la próxima llamada. Llegado a este punto, el usuario externo puede enviar paquetes a través del puerto asignado en la dirección IP pública del servicio perimetral A/V, pero aún no puede enviar paquetes de medios a la empresa.

  3. El usuario externo llama al usuario interno a través del canal de señalización SIP proporcionado por el servicio perimetral de acceso. Como parte del establecimiento de la llamada, se informa al usuario interno del puerto del servicio perimetral A/V que el usuario externo tiene disponible para intercambiar los medios.

  4. El usuario interno se pone en contacto con el servicio perimetral A/V en su dirección IP privada a fin de ser autenticado para recibir los medios. Al usuario interno también se le asigna un puerto de la dirección pública del servicio perimetral A/V (Lync Server 2010 usa 3478/UDP y 443/TCP) para que lo use en la sesión de medios. Después de recibir el puerto, el usuario interno, una vez más por medio del servicio perimetral de acceso, contesta a la llamada y, por lo tanto, informa al usuario externo del puerto obtenido en el servicio perimetral A/V para el intercambio de medios.

  5. Se ha completado el establecimiento de la llamada. El usuario interno y el usuario externo comienzan a intercambiar medios.

En resumen, para poder enviar medios a la empresa, el usuario externo debe ser autenticado y un usuario interno autenticado debe aceptar explícitamente el intercambio de secuencias de medios. Lync Server 2010 usa la salida TCP 50.000-59.999. Lync Server 2010, al federarse con asociados de Office Communications Server 2007, continúa usando el intervalo de puertos 50.000 – 59.999 UDP/TCP. Si la federación implica asociados de Lync Server 2010 o asociados de Office Communications Server 2007 R2, se usará 3478/UDP y 443/TCP, y la salida TCP 50.000-59.999.

Seguridad de medios de un extremo a otro

El canal de señalización utilizado para la negociación de una sesión de medios se protege mediante el cifrado TLS de 128 bits y la validación de que el certificado de servidor tiene un FQDN correspondiente y una entidad de certificación de confianza. Este mecanismo es muy similar al que usan los sitios de comercio electrónico para las transacciones en línea. Para mejorar la seguridad de los propios medios, Lync Server 2010 implementa el protocolo SRTP de IETF. El mecanismo utiliza el intercambio de claves de 128 bits a través del canal de señalización seguro, que los dos extremos utilizan para cifrar y descifrar la secuencia de medios mediante el estándar de cifrado avanzado (AES) de 128 bits. De este modo, se garantiza que si un atacante logra realizar un ataque de tipo "Man in the middle" en la ruta de acceso a los medios, no podrá interceptar la conversación ni inyectar paquetes de medios adicionales. En este último caso, el cliente quitará simplemente los paquetes.