Medidas de seguridad de federación en Lync Server 2010

 

Última modificación del tema: 2011-07-17

La federación ofrece a su organización la posibilidad de comunicarse con los servidores perimetrales de acceso de otras organizaciones para compartir funciones de mensajería instantánea y de presencia. Si ha habilitado la federación en el servicio perimetral de acceso, el acceso por parte de los asociados federados se controla utilizando uno de los métodos indicados a continuación:

• Permitir la detección automática de los socios federados . Es la opción predeterminada durante la configuración inicial de un servicio perimetral de acceso porque establece un equilibrio entre la seguridad y la facilidad de configuración y administración. Por ejemplo, si habilita la detección automática de los socios federados en el servicio perimetral de acceso, Microsoft Lync Server 2010 permite que cualquier dominio federado le envíe comunicaciones; además, evalúa automáticamente el tráfico entrante procedente de los socios federados y limita o bloquea dicho tráfico en función del nivel de confianza, la cantidad de tráfico y la configuración del administrador.

• Permitir la detección de los socios federados, pero conceder un mayor nivel de confianza a dominios específicos o a los servidores perimetrales de acceso que especifique en la lista Permitir . Por ejemplo, si desea conceder un mayor nivel de confianza a los socios que utilizan el dominio SIP contoso.com y fabrikam.com, deberá agregar ambos dominios a la pestaña Permitir. Al restringir de este modo la detección, se establece un mayor nivel de confianza para las conexiones con los dominios o el servicio perimetral de acceso agregados a la lista Permitir, pero sin menoscabo de la facilidad de administración que permite la detección de otros socios federados no incluidos en la pestaña Permitir. Está disponible también una opción para bloquear los dominios de modo que se puedan filtrar los dominios SIP.

• No permitir la detección de los socios federados y limitar el acceso de estos únicamente a los dominios o servidores perimetrales de acceso para los que desea habilitar las conexiones . Las conexiones con socios federados solo se permiten con los dominios o servicios perimetrales de acceso que se agreguen a la ficha Permitir. Este método ofrece el mayor nivel de seguridad, pero no ofrece facilidad de administración. Por ejemplo, si cambia el FQDN de un servicio perimetral de acceso, deberá cambiar manualmente el FQDN del servidor en la lista Permitir.

Cómo se evalúa el tráfico federado cuando se utiliza la detección automática

Si opta por utilizar la detección automática de los socios federados, el servicio perimetral de acceso evalúa automáticamente el tráfico federado entrante de la siguiente forma:

• Si una parte federada envía solicitudes a más de 1.000 identificadores URI (válidos o no) en el dominio local, se evalúa primero la conexión que figura en primer lugar en la lista de observación. El servicio perimetral de acceso bloquea cualquier solicitud adicional. Si el servicio perimetral de acceso detecta tráfico sospechoso en una conexión, limitará al socio federado a una frecuencia de mensajes baja de 1 mensaje por segundo. Para detectar el tráfico sospechoso, el servicio perimetral de acceso calcula la proporción entre el número de respuestas correctas y el número de respuestas incorrectas. El servicio perimetral de acceso también limita las conexiones de los socios federados legítimos (a menos que se hayan agregado a la lista Permitir) a 20 mensajes por segundo. La lista de conexiones sospechosas se muestra en la consola Administración de equipos del servicio perimetral de acceso.

• Si sabe que un socio federado legítimo va a enviar a su organización más de 1.000 solicitudes o un volumen superior a 20 mensajes por segundo, deberá agregar dicho socio federado a la ficha Permitir para que se admitan estos volúmenes.

En la figura siguiente, se muestran las limitaciones de frecuencia en la federación abierta.

Limitación de conexiones para la mejora de la federación

Después de configurar la federación, puede usar las herramientas administrativas de Lync Server para administrar el acceso de asociados federados de forma constante. Para obtener más información, consulte la documentación Panel de control de Lync Server.