通过

  • 项目

媒体通道

 

上一次修改主题: 2012-10-15

A/V 边缘服务提供单一的受信任连接点,以便媒体流入和流出企业。

A/V 边缘服务的端口要求

Microsoft Lync Server 2010 中 A/V 边缘的端口和协议要求已更改。根据您与伙伴基础结构建立联盟的要求以及边缘服务器的配置,应考虑使用下列端口:

  • UDP 3478

  • TCP 443

  • UDP 50,000–59,999

  • TCP 50,000–59,999

有关端口配置和网络地址转换 (NAT) 要求的详细信息,请参阅规划文档中的确定外部 A/V 防火墙和端口要求

Lync Server 2010 实施互动式连接建立 (ICE) 协议,来协高与 NAT 环境内的各方的媒体连接。可在 https://go.microsoft.com/fwlink/?linkid=145173&clcid=0x804 上的“Microsoft Office 协议文档”中找到特定实施详细信息。

A/V 边缘服务的端口安全性

A/V 边缘服务是一项企业托管资源,因此出于安全和资源考虑,应仅限授权用户进行访问,这一点很重要。

UDP 3478 和 TCP 443

客户端使用 UDP 3478 和 TCP 443 端口从 A/V 边缘服务请求服务。客户端使用这两个端口分别为远程方分配 UDP 和 TCP 端口以进行连接。若要访问 A/V 边缘服务,客户端必须首先建立经过身份验证的 SIP 信号会话 Lync 注册,以获取 A/V 边缘服务的身份验证凭据。这些值通过受 TLS 保护的信号通道发送,并由计算机生成以缓解字典式攻击。然后,客户端可以对 A/V 边缘服务使用这些摘要式身份验证的凭据,以分配在媒体会话中使用的端口。客户端发送初始分配请求,然后 A/V 边缘服务通过 401 现时/质询消息响应此请求。客户端发送第二个分配请求,其中包含用户名以及用户名和现时消息的哈希代码(哈希消息验证代码 (HMAC))。同时还提供序号机制以防止重播攻击。服务器将基于自己了解的用户名和密码计算预期的 HMAC,如果 HMAC 值相匹配,则执行分配过程。否则,将丢弃数据包。该同一 HMAC 机制还适用于此呼叫会话中的后续消息。此用户名/密码值的最长生存期是八个小时,此后,客户端需要重新获取新的用户名/密码进行后续呼叫。

UDP/TCP 50,000– 59,999

TCP 50,000 出站可用于 Lync Server(包括应用程序和桌面共享、文件传输以及 Windows Live Messenger 2011 点对点 A/V 功能)。UDP/TCP 50,000-59,999 端口范围可用于与 Microsoft Office Communications Server 2007 伙伴进行的媒体会话,这些会话需要 A/V 边缘服务提供的 NAT/防火墙通道服务。由于 A/V 边缘服务是唯一使用这些端口的进程,因此端口范围的大小并不表示潜在的攻击面。最佳安全做法是停止运行不必要的网络服务,从而始终最大限度地减少侦听端口的总数。如果某项网络服务未运行,则远程攻击者就无法利用此服务,从而减少主机的受攻击面。但是,在单个服务中,减少端口数并不能提供同样的好处。A/V 边缘服务软件在使用 10,000 个开放端口时受到攻击的风险并不比使用 10 个开放端口时受到攻击的风险大。此范围内的端口分配是随机的,当前未分配的端口不会侦听数据包。有关详细信息,请参阅规划文档中的确定外部 A/V 防火墙和端口要求

A/V 边缘服务的 IP 地址要求

在 Lync Server 2010 中,边缘服务器是运行全部三个边缘服务(包括访问边缘服务、Web 会议边缘服务和 A/V 边缘服务)的单台服务器。未使用负载平衡器的边缘服务器可以将 NAT 用于这三个服务角色。这意味着,您无需向实际服务器提供公共可路由 IP 地址,并且可以使用外围地址范围。但是,边缘服务器的内部边缘不支持 NAT。

如果在硬件负载平衡器后面使用多台边缘服务器,则必须为硬件负载平衡器的虚拟 IP 和 A/V 边缘服务分配公共地址。该公共地址必须为通过 Internet 访问 A/V 边缘的客户端提供直接可路由访问。如果在 DNS 负载平衡器后面使用多台边缘服务器,则必须为每个外部地址分配公共地址。

由于为媒体会话寻址是在 IP 地址层(此处如果存在 NAT 功能,可能会中断端到端连接)进行的,因此以上操作是必需的。对于边缘服务器,NAT 仅提供地址转换,它不会通过强制执行路由策略规则或检查数据包来提供任何安全性。NAT 提供的唯一潜在好处是掩盖服务器的 IP 地址,但尝试隐藏任何网络服务器的 IP 地址并不是提供安全性的可靠方法。所有边缘服务器都需要使用适当关联的防火墙策略来限制客户端对指定侦听端口的访问,并禁用任何其他不必要的网络服务。在遵守这些建议做法的情况下,使用 NAT 并不会提供任何其他好处。

外部用户的 A/V 通信通道

允许外部用户和内部用户交换媒体需要使用访问边缘服务来处理建立和关闭会话所需的 SIP 信号。同时还需要使用 A/V 边缘服务来充当媒体传输的中继。呼叫顺序如下图所示。

使媒体能够穿越 NAT 和防火墙的呼叫顺序

c7c70bf2-a9e6-4d5c-941d-ff7bb6f6c13d

当外部用户呼叫内部用户,因此需要外部用户能够通过 A/V 边缘服务器发送语音或/和 VoIP 时,将发生以下一系列事件:

  1. 在这个经过身份验证的加密 SIP 会话的环境中,用户通过向 A/V 身份验证服务发送 SIP SERVICE 请求,获取该服务提供的身份验证凭据。

  2. 外部用户向 A/V 边缘服务验证自身的身份,并获取服务器上的媒体会话端口(Lync Server 2010 使用 3478/UDP 和 443/TCP),以供将来的呼叫使用。此时,外部用户可通过 A/V 边缘服务的公共 IP 地址上已分配的端口发送数据包,但仍无法在企业内部发送媒体数据包。

  3. 外部用户通过访问边缘服务提供的 SIP 信号通道呼叫内部用户。在建立呼叫的过程中,将通知内部用户有关外部用户可用来交换媒体的 A/V 边缘服务上的端口信息。

  4. 内部用户将联系专用 IP 地址上的 A/V 边缘服务,以便进行身份验证以接收媒体。还会为内部用户 A/V 边缘服务公共地址上的端口(Lync Server 2010 使用 3478/UDP 和 443/TCP),以供媒体会话使用。内部用户在收到端口后,将再次通过访问边缘服务应答呼叫,从而将他/她已从 A/V 边缘服务获得的用于媒体交换的端口告知外部用户。

  5. 呼叫建立完毕。内部和外部用户开始交换媒体。

简而言之,若要向企业内发送媒体,外部用户必须经过身份验证,并且需要已经过身份验证的内部用户的明确同意才能交换媒体流。Lync Server 2010 使用 TCP 50,000-59,999 出站。与 Office Communications Server 2007 伙伴联盟的 Lync Server 2010 继续使用 50,000 – 59,999 UDP/TCP 端口范围。涉及 Lync Server 2010 伙伴或 Office Communications Server 2007 R2 伙伴的联盟使用 3478/UDP 和 443/TCP,以及 TCP 50,000-59,999 出站。

端到端媒体的安全

用于协商媒体会话的信号通道使用 128 位的 TLS 加密进行保护,方法是验证服务器证书是否具有匹配的 FQDN 以及证书的颁发机构是否可信。此机制非常类似于电子商务网站用于在线交易的机制。为增强媒体本身的安全性,Lync Server 2010 实施了 IETF 的 SRTP 协议。这一机制通过安全信号通道使用 128 位密钥交换,然后两个终结点借助它并通过使用 128 位高级加密标准 (AES) 加密对媒体流进行加密和解密。这可确保即使攻击者可以对媒体路径发起中间人攻击,攻击者也无法窃听对话或注入其他媒体数据包。在后一种情况下,客户端只会丢弃数据包。