Condividi tramite


Lync Server 2010: Sicurezza a bordo

Benché gli attacchi DoS e di forza bruta per individuare le password possano rivelarsi particolarmente aggressivi, è possibile proteggere la rete contro questi tipi di disagi.

Rui Maximo

In questo mondo interconnesso straordinariamente, le aziende desiderano consentire la massima flessibilità e mobilità per i dipendenti, molti dei quali potrebbero funzionare in modalità remota. Di conseguenza, quasi tutte le organizzazioni espone i servizi su Internet. È sempre il rischio di attacchi. Alcune società sono particolarmente interessato con Denial of Service (DoS) e gli attacchi brute-force di password. Si tratta di problemi legittimi. Questi tipi di attacchi possono essere problematica per gli utenti e consumano le risorse del server interno.

I principali problemi con gli attacchi DoS sono che sono quasi indistinguibili dalle richieste di accesso legittime. La differenziazione unica è la frequenza di tentativi di accesso e la loro origine. Un numero elevato di tentativi di accesso in rapida successione può essere indicativo di un attacco DoS.

La maggior parte degli attacchi DoS tentano di indovinare la password dell'utente per l'accesso non autorizzato. Spesso sono la causa problemi di blocco degli account utente se il criterio di protezione è attivato in servizi di dominio Active Directory e ha un numero massimo di tentativi di registro.

Microsoft Lync Server 2010 Edge Server consente di proteggere da accessi non autorizzati con misure di protezione standard del settore. Esso consente di monitorare le richieste di accesso e impone il blocco degli account perimetro di rete. Tutte le comunicazioni di crittografia e autenticazione.

Il Server Edge non protegge da attacchi DoS. Tuttavia, Lync Server fornisce una piattaforma di programmazione flessibile che è possibile utilizzare per creare applicazioni server per intercettare i messaggi SIP (Session Initiation Protocol) sul server ed eseguire logica specializzata mediante l'elaborazione di linguaggio MSPL (Microsoft SIP). Questa è la modalità di funzionamento del filtro di protezione.

Ed esamina tutti in ingresso richieste di accesso sul Server Edge. L'utente remoto non è autenticato nel Server perimetrale, in modo che la richiesta di accesso viene passata al direttore o direttamente al pool interno, che quindi esegue il processo di autenticazione. La risposta viene quindi passata al server Edge. Il filtro di protezione esamina la richiesta e risposta. In caso di accesso di, il filtro di protezione tiene traccia del numero di tentativi non riusciti per ogni account utente.

La prossima volta che un client tenta di accedere allo stesso account utente e il numero di tentativi non riusciti supera il numero massimo di consentito di tentativi di accesso, il filtro di protezione respinge immediatamente la richiesta senza passare la richiesta per il regista o il pool interno per l'autenticazione. Attivando il blocco degli account nel Server perimetrale, il filtro di protezione consente di bloccare gli attacchi DoS sul bordo del perimetro della rete. Di conseguenza, il filtro di protezione consente di proteggere le risorse di Lync Server interne.

Il filtro di protezione per impedire l'autenticazione di Windows NT LAN Manager (NTLM) versione 2, le società possono imporre agli utenti di accedere solo da portatili emessi da società autorizzati. Con le misure di sicurezza (simile all'utilizzo di BitLocker e criteri di gruppo per impedire agli utenti di installare software non autorizzato), il notebook aziendale rilasciato stessi utilizzarlo come "smart card" per l'autenticazione a due fattori.

Se inizialmente non riesce …

Per impedire gli attacchi brute-force per gli account utente, molte organizzazioni imporre un criterio di gruppo Active Directory per il blocco degli account dopo un certo numero di tentativi non riusciti. L'effetto collaterale di questa contromisura è che l'autore dell'attacco possibile bloccare un account utente, semplicemente avviando più tentativi. La quantità di un attacco DoS.

Se l'account non è protetto da un gruppo di criteri di Active Directory, l'utente malintenzionato può utilizzare questo tipo di attacco "brute force" sulla password dell'utente. Questi attacchi utilizzano le risorse del server interno preziose e negare l'accesso al proprio account.

In modo univoco che identifica l'utente può impedire attacchi agli account utente. Sono disponibili diverse opzioni con cui si desidera eseguire questa operazione. È possibile utilizzare l'indirizzo IP di origine, il nome di accesso (vale a dire l'URI SIP), il nome dell'account o una combinazione di queste opzioni. Dopo avere esaminato ogni opzione, sembra che client montaggio di un attacco DoS potrebbe falsificare l'indirizzo IP di origine, eliminando questa scelta consente di identificare in modo univoco l'utente.

Il nome di accesso, anche se è necessario effettuare l'accesso al Server di Lync, non esegue l'autenticazione dell'utente. Un nome di accesso può essere variato durante le richieste di accesso, ma comunque il blocco dell'account stesso. Di conseguenza, l'indirizzo IP di origine né il nome di accesso rappresentano una fonte per poter identificare l'utente. Solo il nome dell'account che identifica in modo univoco l'account utente.

È possibile estrarre solo il nome di account, costituita dal nome utente e il nome di dominio, il protocollo di autenticazione. Remoti agli utenti che tentano di accedere ed eseguire l'autenticazione utilizzano il protocollo NTLM v2 non Kerberos. Il protocollo NTLM utilizza un processo di autenticazione handshake a tre fasi. Il client passa le credenziali dell'utente nella terza fase dell'handshake NTLM.

Il filtro di protezione viene eseguito come applicazione server trusted sul Server Edge, in modo che esso ha consentito di intercettare la richiesta di accesso. Il filtro di protezione consente di decodificare il nome utente e il nome di dominio dal messaggio di autenticazione NTLM. Il nome dell'account non è disponibile nella risposta, il filtro di protezione associa la risposta alla richiesta utilizzando l'ID del messaggio.

Quando il pool interno o il direttore invia la risposta di autenticazione al server Edge, filtro di protezione consente di acquisire la risposta Register. Se l'accesso non riuscito, il filtro di protezione conta i tentativi non riusciti. Se l'accesso ha esito positivo, il filtro di protezione Reimposta il numero di tentativi non riusciti a zero.

Filtro corrispondenza dello spigolo

Ogni volta che il server Edge Server riceve una richiesta di accesso, viene passato al filtro di protezione. Controlla se la richiesta di accesso ha superato il numero massimo consentito per quel particolare account utente. Se la richiesta non ha superato il contatore dei blocchi massimo consentito, il filtro di protezione consente la richiesta di continuare a pool interno o il direttore.

Se la richiesta supera il contatore dei blocchi massimo consentito, il filtro di protezione consente di bloccare la richiesta e restituisce una risposta 403. Ciò summarily la richiesta verrà rifiutata. Eventuali ulteriori tentativi vengono rifiutati per tutta la durata del periodo di blocco. Dopo la scadenza del blocco, viene reimpostato in modo da consentire nuove richieste di accesso.

Un problema può verificarsi quando gli utenti l'accesso da un computer che non appartiene al dominio di Active Directory aziendale. Lync 2010 automaticamente può tentare di accedere utilizzando le credenziali del computer locale dell'utente. Poiché tali credenziali sono credenziali di dominio aziendale, l'autenticazione avrà esito negativo. L'utente verrà bloccato alla fine di effettuare l'accesso al Server di Lync. Per evitare che il filtro di protezione possa bloccare gli utenti validi, non esegue il conteggio questi tentativi rispetto all'utente.

Lync Server 2010 introduce il supporto per un protocollo di autenticazione aggiuntivi denominato DSK TLS. In tal modo agli utenti di fornire un certificato client per l'autenticazione. Il client Lync richiede i certificati Lync Server. Si tratta di un processo automatico che avviene la prima volta che l'utente accede al Lync Server dall'interno della rete aziendale in cui l'utente viene autenticato tramite Kerberos.

Il certificato client è utilizzato per l'autenticazione con i successivi tentativi di registro. Si tratta di un certificato autofirmato emesso dal Server di Lync, un'autorità di certificazione. Se quello stesso utente tenta di accedere a Lync da un altro computer, viene autenticato utilizzando Kerberos (se all'interno della rete aziendale) o NTLM v2 (se esterni alla rete aziendale). Il processo di ottenimento di un altro certificato client inizia tutto.

DSK TLS fornisce un livello di protezione è molto simile all'autenticazione a due fattori. Se combinato con crittografia unità BitLocker di Windows, il computer o il laptop agisce come l'equivalente di una smart card (qualcosa che si dispone). La password che BitLocker è necessario eseguire l'avvio è equivalente al pin necessario per autorizzare l'uso di smart card (qualcosa che conosci).

È possibile che qualcuno potrebbe rubare il certificato client dal computer dell'utente remoto, ma è possibile ridurre questo rischio. Assicurarsi che i computer aziendali emessi siano bloccati per impedire agli utenti di scaricare applicazioni non autorizzate.

È possibile forzare il Server Edge per negoziare il protocollo di autenticazione verso il basso da TLS DSK NTLM v2. In questo caso, l'utente malintenzionato può comunque target l'account dell'utente, come illustrato in precedenza. Per evitare che questo scenario, il filtro di protezione consente di rifiutare tutte le versione 2 richieste di autenticazione NTLM, forzando l'autenticazione del solo DSK TLS. Ciò non influisce sul connessioni partner federato o PIC.

Considerazioni sulla configurazione

Prima di eseguire l'applicazione del filtro di protezione, è dapprima necessario registrare l'applicazione con il Server Edge. È sufficiente effettuare la registrazione una volta eseguendo la procedura seguente. Eseguire questi cmdlet Windows PowerShell di Lync Server 2010 con Lync Server autorizzazioni amministrative:

1. Eseguire il seguente cmdlet Windows PowerShell per registrare l'applicazione di security_filter da qualsiasi Server di Lync. Specificare il nome di dominio completo (FQDN) del Server Edge nel parametro < FQDN del Server Edge >:

nuova CsServerApplication-identity "EdgeServer: < nome FQDN del lato Server > / security_filter" -uri "http://www.maximo.ws/security_filter" -critico $false

2. Eseguire il seguente cmdlet Windows PowerShell per avviare la replica della configurazione dell'archivio di gestione centrale per il Server Edge:

CsManagementStoreReplication di richiamo

3. Eseguire il seguente cmdlet Windows PowerShell in Edge Server per verificare la corretta registrazione di security_filter:

Get-CsServerApplication - localstore

Per eseguire il filtro di protezione, deve essere tre parametri passati alla versione della riga di comando. Per la versione del servizio di Windows, il programma di installazione verrà chiesto di questi parametri. Il primo parametro specifica un elenco delimitato da virgole di nomi dominio Netbios interni. Questi sono i nomi di dominio gli utenti remoti utilizzeranno l'autenticazione ai server interni connessi tramite il Server Edge Lync.

Immaginiamo che la società è denominata Woodgrove Bank e ha il seguente foreste di Active Directory interne tre: woodgrovebank.com, contoso.com e fabrikam.com. I dipendenti hanno account appartenenti a ciascuno di questi insiemi, pertanto è necessario specificare "woodgrovebank, contoso, fabrikam" come valore per il primo parametro di filtro di protezione.

Questi nomi di dominio verificare che gli utenti remoti l'accesso al Server di Lync si connettano utilizzando le credenziali da uno di questi tre domini (ad esempio, contoso\bob, fabrikam\alice e così via).

Il secondo parametro è il numero di blocchi dell'account. Questo è il numero di tentativi di accesso non riusciti consentiti prima che venga attivato il blocco degli account.

Il terzo parametro è il periodo di blocco degli account. Dopo che un account è bloccato, specifica quanto tempo l'account rimane bloccato prima che un altro tentativo di accesso verranno accettati. Eventuali tentativi di accesso durante il periodo di blocco vengono immediatamente rifiutati senza una verifica.

Con Microsoft Lync Server 2010 Edge Server, utilizzando il filtro di protezione e i protocolli di autenticazione, diventa più difficile per gli utenti malintenzionati per tentare brute-force le password degli utenti o organizzare un attacco DoS.

Rui Maximo

**Rui Maximo**ha più di 18 anni nel settore della tecnologia, avendo lavorato con Microsoft, IBM, RSA e avvii diversi. La formazione è cryptography, matematica e scienza informatica. La conoscenza di date Lync Server 2003, quando è stato chiamato originariamente RTC. Ha lavorato nel team di prodotto RTC come program manager e quindi lead program manager. Maximo è l'autore principale di cinque libri su Microsoft Lync Server e le relative versioni precedenti.

Contenuto correlato