Bảo vệ triển khai OCS

Chia sẻ: Hoang Nhan | Ngày: | Loại File: PDF | Số trang:5

Thêm vào BST

Báo xấu

170
lượt xem 29
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Office Communications Server (OCS) là giải pháp truyền thông hợp nhất của Microsoft cho các doanh nghiệp, nhưng tất cả các triển khai truyền thông hợp nhất (ứng dụng thoại video, IM, truyền tải file và ứng dụng chia sẻ) đều yêu cầu đến sự bảo mật.

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Bảo vệ triển khai OCS

Bảo vệ triển khai OCS Nguồn : quantrimang.com Deb Shinder Quản trị mạng - Office Communications Server (OCS) là giải pháp truyền thông hợp nhất của Microsoft cho các doanh nghiệp, nhưng tất cả các triển khai truyền thông hợp nhất (ứng dụng thoại video, IM, truyền tải file và ứng dụng chia sẻ) đều yêu cầu đến sự bảo mật. Chính vì vậy, trong bài này chúng tôi muốn đề cập đến vấn đề này và sẽ giới thiệu đến những tính năng bảo mật của OCS, những lựa chọn cấu hình cho cách thức thực hành bảo mật tốt nhất cùng với đó là các giải pháp phần mềm tích hợp (từ Microsoft và các hãng thứ ba) nhằm bổ sung thêm độ bảo mật cho OSC. Hệ thống truyền thông hợp nhất hiện có chứa những điểm yếu dễ bị tấn công như hiện tượng giả mạo địa chỉ IP, nhận dạng, RTP replay cũng như viruses/worms, hoặc hiện tượng nghe trộm và các tấn công từ chối dịch vụ (DoS). Vì sự tự tin và tính toàn vẹn của truyền thông là cực kỳ quan trọng đối với doanh nghiệp của bạn nên vấn đề bảo vệ chống lại các mối đe dọa này là cực kỳ cần thiết. Các tính năng bảo mật trong OCS 2007 OCS 2007 cung cấp nhiều tính năng bảo mật mà LCS 2005 không có, cụ thể như sau: VoIP doanh nghiệp • IM đa nhóm •
Hội thảo cho phép người không có các chứng chỉ của doanh nghiệp có thể • tham gia. Thêm vào đó các tính năng như sự hỗ trợ hiện diện và liên đoàn cũng đã được cải thiện và nâng cao. Microsoft đã nhắm đến nhiều thách thức bảo mật bằng các tính năng kèm theo. Sự bảo mật tốt nhất vẫn là bảo mật đa khía cạnh, chính vì vậy framework bảo mật được xây dựng trên OCS có nhiều thành phần. Active Directory Bảo mật máy chủ Windows trong một miền được xây dựng trên Active Directory, OCS sử dụng Active Directory để lưu các thiết lập toàn cục (được sử dụng bởi nhiều máy chủ OCS trong một forest), dữ liệu nhận dạng các role của máy chủ OCS và các thiết lập người dùng. Bạn phải chuẩn bị Active Directory cho OSC bằng cách mở rộng lược đồ để có các lớp và thuộc tính của OSC, tạo các đối tượng và thuộc tính OSC, “add” các điều khoản trên các đối tượng trong mỗi miền. Bạn có thể thực hiện bằng một trong hai cách: sử dụng công cụ dòng lệnh LcsCmd.exe trên OCS CD, hoặc sử dụng công cụ triển khai Setup.exe cho OCS 2007. Công cụ dòng lệnh có thể được chạy từ xa. Còn công cụ triển khai có giao diện đồ họa và các wizard hướng dẫn bạn thông qua mỗi nhiệm vụ. Các bước cụ thể để chuẩn bị Active Directory gồm có: Schema (chạy một lần) • Forest (chạy một lần) • Domain (chạy trên miền nơi bạn triển khai OSC) • Thẩm định OCS có thể sử dụng các giao thức thẩm định chuẩn của Windows, phụ thuộc vào người dùng: Kerberos v5 là giao thức thẩm định an toàn nhất và được sử dụng cho các • máy khách bên trong với các chứng chỉ Active Directory. NTLM được sử dụng cho các máy khách bên ngoài LAN có các chứng chỉ • Active Directory.
Giao thức Digest được sử dụng cho các máy khách hội thảo “on-premise” • bên ngoài LAN (không có các chứng chỉ Active Directory), mặc dù vậy các máy này phải được mời vào sử dụng hội thảo này và phải được cung cấp một khóa hội thảo hợp lệ. Mã hóa mạng Để bảo vệ cho dữ liệu trao đổi trên mạng, OCS 2007 đã sử dụng sự mã hóa một cách mặc định. Thẩm định điểm cuối và mã hóa được thực hiện bằng cách sử dụng Transport Layer Security (TLS) và Mutual Transport Layer Security (MTLS). Truyền thông SIP giữa các máy chủ (Server-to-server) sử dụng MTLS và truyền thông SIP giữa máy khách vào chủ sử dụng TLS. Các giao thức này có thể bảo vệ chống lại hiện tượng nghe trộm. TLS và MTLS cũng được sử dụng để mã hóa các thông báo tức thì (IM). Mã hóa TLS hoàn toàn mang tính tùy chọn cho IM giữa các máy khách bên trong mạng. Sự truyền thông OSC với các máy chủ IM công cộng được mã hóa, mặc dù vậy nó để cho nhà cung cấp IM mã hóa sự truyền thông giữa máy chủ IM và máy khách bên ngoài. Secure Real-time Transport Protocol (SRTP) được sử dụng để mã hóa streaming media. SRTP bảo vệ dữ liệu RTP bằng cách bổ sung thêm sự thẩm định, khả năng tin cậy và sự bảo vệ replay. Cơ sở hạ tầng khóa công Thẩm định máy chủ cho OCS 2007 được dựa trên sự sử dụng các chứng chỉ số, các chứng chỉ số này được phát hành bởi một CA tin cậy. Các CA này có thể bên trong hoặc CA công (bạn có thể cần đến một CA công nếu máy chủ OSC cần truyền thông với các hệ thống bên ngoài LAN). OSC được thiết kế để làm việc với cơ sở hạ tầng khóa công của Windows 2003 (PKI). Với OCS, tất cả các chứng chỉ của máy chủ đều bị yêu cầu hỗ trợ Enhanced Key Usage (EKU) để thẩm định các máy chủ. Điều này được sử dụng bởi MTLS. Các chứng chỉ của máy chủ cũng phải có tối thiểu một điểm cung cấp Certificate Revocation List (CRL). Các tính năng bảo mật liên đoàn Giống kẻ tiền nhiệm của nó, Live Communications Server 2005 (SP1), OCS 2007 cũng có khả năng cho liên đoàn với các nhà cung cấp IM lớn (MSN, Yahoo và AOL). Bên cạnh đó cũng hỗ trợ khả năng nâng cao để cho phép các doanh nghiệp ngang hàng được phát hiện bằng cách sử dụng bản ghi DNS SRV. OCS
2007 có một số tính năng mới cho chế độ liên đoàn. Các tính năng này là: Hạn chế về số lượng người dùng mà một doanh nghiệp có thể truyền • thông trên một chu kỳ thời gian đã được chỉ định. Vấn đề này được thiết kế để ngăn chặn hiện tượng “directory harvesting” (tạm được dịch là xâm nhập thư mục) do kẻ tấn công sử dụng nhiều tên người dùng khác để tìm ra một tên hợp lệ. Hạn chế về tốc độ mà Access Edge Server sẽ chấp nhận các thông báo từ • một doanh nghiệp, được dựa trên sự phân tích lưu lượng. Các quản trị viên có thể hạn chế sự truy cập bằng cách bổ sung thêm các miền vào danh sách hạn chế, hoặc hóa các chứng chỉ ngang hàng thông qua kho lưu trữ chứng chỉ. Khóa các IM nguy hiểm hoặc không mong muốn Bạn có thể sử dụng bộ lọc IM thông minh để khóa các IM có hại hoặc không mong muốn cũng như sự truyền tải file. Có thể cấu hình các filter để sử dụng tiêu chuẩn mà bạn muốn, để khóa một cách có lựa chọn và sự truyền tải file. Cho ví dụ, bạn có thể khóa IM chứa các siêu liên kết hoặc có thể cho phép IM đi qua với một siêu liên kết bị vô hiệu hóa. Có thể khóa các file với các phần mở rộng cụ thể. Điều chỉnh các máy chủ và máy khách Máy chủ OSC, cùng với các máy chủ khác trong cơ sở hạ tầng mạng của bạn cần phải được điều chỉnh lại (hardening) bằng cách khóa cả hệ điều hành và các ứng dụng nếu có thể. Bạn có thể thực hiện điều này thông qua Group Policy. Các dịch vụ không được sử dụng trên các máy chủ của bạn cần phải được vô hiệu hóa. Cơ sở dữ liệu SQL Server được sử dụng để lưu các thông tin OSC cần phải được bảo vệ. Nói một cách ngắn gọn, thực tiễn bảo mật mạng tốt nhất được đề cao hơn khi bạn có một máy chủ OCS trong mạng. Và rõ ràng, tất cả các máy chủ cần phải được cập nhật các bản vá bảo mật và các dấu hiệu virus mới nhất. Các máy khách cần phải được cấu hình bảo mật tốt nhất. Có thể sử dụng chính sách nhóm của OSC để vô hiệu hóa các tính năng thích hợp và thiết lập máy khách để mã hóa media. Cần phải nâng cấp để có được gói dịch vụ mới nhất để cài đặt trên máy khách. Không được quên các thiết bị OCS khác, chẳng hạn như hệ thống điện thoại
tương thích OSC. Có thể sử dụng Office Communications Server Software Update Service để tự động nâng cấp tất cả các thiết bị truyền thông hợp nhất đã được triển khai trong tổ chức. Để đánh giá tất cả tình trạng sức khỏe của các máy chủ OCS 2007 và topo, có thể download Office Communications Server 2007 Best Practices Analyzer. Các giải pháp bảo mật tích hợp của Microsoft Vào tháng 6 vừa qua, Microsoft đã phát hành một phiên bản thử nghiệm Forefront Security cho OSC. Đây là phiên bản mới nhất trong họ Forefront cho các sản phẩm bảo mật doanh nghiệp và cho phép bạn có thể quét các phần mềm mã độc bằng nhiều cỗ máy quét, lọc IM và file bằng từ khóa. Bên cạnh đó nó cũng tự động nâng cấp các dấu hiệu và các cảnh báo của IM. Forefront Security cho OCS được tích hợp với Access Edge role trong OCS 2007 phiên bản Enterprise, phiên bản này sẽ bảo đảm cho các thông báo đến và đi từ các máy khách IM công bên ngoài và các mạng liên đoàn cũng như các vấn đề truyền thông bên trong. Bạn có thể download phiên bản beta tại đây. Các add-on bảo mật của các nhóm thứ ba Các sản phẩm bảo mật của các hãng thứ ba đã thiết kế để bảo vệ OCS 2007 gồm có: Trend Micro IM Security cho máy chủ truyền thông hợp nhất của Microsoft • Akonix L7 Enterprise, bổ sung thêm chính sách hợp nhất và quản lý rủi ro • cho OSC Kết luận Microsoft OCS 2007 chính là câu trả lời của Microsoft cho các vấn đề truyền thông hợp nhất. Nó vượt xa phạm vi của LCS 2005 và quản lý tất cả các kiểu truyền thông thời gian thực, như VoIP và hội nghị. Trong thế giới đầy dẫy những mối đe dọa ngày nay, các ứng dụng truyền thông hiện phải tồn tại giữa rất nhiều hiểm họa liền kề cùng với đó là những lỗ hổng, chính vì vậy xem xét các vấn đề bảo mật khi triển khai OCS là một vấn đề quan trọng. Bài viết này đã cung cấp cho các bạn một cách tổng quan về những xem xét về bảo mật có liên quan với OCS 2007.