Cifrado en Lync Server 2010
Última modificación del tema: 2012-10-17
Microsoft Lync Server 2010 usa TLS y MTLS para cifrar los mensajes instantáneos. Todo el tráfico de servidor a servidor requiere MTLS, independientemente de si el tráfico se limita a la red interna o de si cruza el perímetro de la red interna. TLS es opcional, pero encarecidamente recomendado entre el servidor de mediación y la puerta de enlace de medios. Si en este vínculo está configurado TLS, se requiere MTLS. Por lo tanto, la puerta de enlace debe configurarse con un certificado de una entidad emisora de certificados que sea de confianza para el servidor de mediación.
Los requisitos para el tráfico entre clientes dependen de si el tráfico atraviesa el firewall interno de la empresa. El tráfico estrictamente interno puede utilizar TLS, en cuyo caso se cifran los mensajes instantáneos, o TCP, en cuyo caso no se cifran.
En la tabla siguiente, se resumen los requisitos de protocolo para cada tipo de tráfico.
Protección de tráfico
| Tipo de tráfico | Protegido por |
|---|---|
Entre servidores |
MTLS |
De cliente a servidor |
TLS |
Mensajería instantánea y presencia |
TLS (si se ha configurado para TLS) |
Audio, vídeo y uso compartido de escritorio |
SRTP |
Uso compartido de escritorio (señalización) |
TLS |
Conferencia web |
TLS |
Descarga del contenido de las reuniones, descarga de la libreta de direcciones y expansión de grupos de distribución |
HTTPS |
Cifrado de medios
El tráfico de medios se cifra mediante RTP seguro (SRTP), que es un protocolo de transporte en tiempo real (RTP) que proporciona al tráfico RTP confidencialidad, autenticación y protección contra los ataques de reproducción. SRTP usa una clave de sesión generada por el servicio de autenticación de reproducción de medios como respuesta a la correcta autenticación de la solicitud del servidor (en nombre de los participantes en los medios). La clave de sesión se protege mediante la combinación de nombre de usuario y contraseña negociada que presentan los servidores front-end al servicio de autenticación de reproducción de medios, y se envía a los participantes a través del canal SIP protegido mediante TLS. Descifrar la clave de la sesión protegida con el nombre de usuario y la contraseña que el servicio de reproducción de medios utilizó y proporcionó de forma protegida mediante el certificado TLS del participante y el canal SIP protegido permite a los participantes descifrar la secuencia SRTP. Además, los medios que fluyen en ambas direcciones entre el servidor de mediación y el servidor interno del próximo salto también se cifran mediante SRTP. Los medios que fluyen en ambas direcciones entre el servidor de mediación y una puerta de enlace multimedia no se cifran. El servidor de mediación puede admitir el cifrado de los medios que fluyen hacia la puerta de enlace multimedia, pero la puerta de enlace debe admitir MTLS y el almacenamiento de un certificado.
Nota
La nueva versión de Windows Live Messenger admite funciones de audio y vídeo. Si está implementando la federación de audio y vídeo con Windows Live Messenger, también debe modificar el nivel de cifrado de Lync Server. De manera predeterminada, el nivel de cifrado es Obligatorio y debe cambiarlo a Compatible utilizando el Shell de administración de Lync Server. Si desea obtener más información, consulte Preparar para admitir conexión de mensajería instantánea pública en la documentación de implementación.
El tráfico de medios de audio y vídeo no se cifra entre Microsoft Lync 2010 y los clientes de Windows Live.
FIPS
Lync Server 2010 y Microsoft Exchange Server 2010 Service Pack 1 (SP1) son compatibles con los algoritmos de Estándar federal de procesamiento de información (FIPS) 140-2 si los sistemas operativos Windows Server 2008 Service Pack 2 (SP2) Windows Server 2008 R2 están configurados para usar algoritmos FIPS 140-2 para criptografía de sistema. Si desea implementar la compatibilidad con FIPS, configure todos los servidores que ejecuten Lync Server 2010 para que lo admitan. Para más información sobre el uso de los algoritmos compatibles con FIPS y sobre cómo implementar la compatibilidad con FIPS, vea el artículo 811833 de Microsoft Knowledge Base, Los efectos de habilitar la configuración de seguridad "criptografía de sistema: usar algoritmos compatibles con FIPS para cifrado, algoritmos hash y firma" en Windows XP y en versiones posteriores de Windows en https://support.microsoft.com/kb/811833/es-es. Para más información sobre la compatibilidad y las limitaciones de FIPS 140-2 en Exchange 2010, consulte Exchange 2010 SP1 y compatibilidad con algoritmos compatibles con FIPS en https://go.microsoft.com/fwlink/?linkid=205335&clcid=0xC0A.