Medidas de seguridad para la federación en Office Communications Server 2007 R2

Última modificación del tema: 2009-05-22

La federación proporciona a la organización la capacidad de comunicarse con los servidores perimetrales de acceso de otras organizaciones para compartir las características de mensajería instantánea y presencia. También puede federarse con un proveedor de servicios de audioconferencia (ACP) mediante uno de los dos métodos que se describen en esta sección. El proceso para configurar la federación con una organización o un proveedor de servicios de audioconferencia es idéntico. Para obtener una lista de los ACP compatibles, vea Proveedores de servicios de audioconferencia de Office Communications Server 2007 R2 en https://go.microsoft.com/fwlink/?LinkId=145230 (en inglés).

Si ha habilitado la federación en el servidor perimetral de acceso, el acceso de los socios federados, incluidos los ACP, se controla con uno de los métodos siguientes:

• Permitir la detección automática de los socios federados. Es la opción predeterminada durante la configuración inicial de un servicio perimetral de acceso porque establece un equilibrio entre la seguridad y la facilidad de configuración y administración. Por ejemplo, si habilita la detección automática de los socios federados en el servicio perimetral de acceso, Office Communications Server 2007 R2 permite que cualquier dominio federado le envíe comunicaciones; además, evalúa automáticamente el tráfico entrante procedente de los socios federados y limita o bloquea dicho tráfico en función del nivel de confianza, la cantidad de tráfico y la configuración del administrador.
• Permitir la detección de los socios federados, pero conceder un mayor nivel de confianza a dominios específicos o a los servidores perimetrales de acceso que especifique en la lista Permitir. Por ejemplo, si desea conceder un mayor nivel de confianza a los socios que utilizan el dominio SIP contoso.com y fabrikam.com, deberá agregar ambos dominios a la ficha Permitir. Al restringir de este modo la detección, se establece un mayor nivel de confianza para las conexiones con los dominios o el servicio perimetral de acceso agregados a la lista Permitir, pero sin menoscabo de la facilidad de administración que permite la detección de otros socios federados no incluidos en la lista Permitir. Asimismo, existe una opción para bloquear los dominios de modo que se puedan filtrar los dominios SIP.
• No permitir la detección de los socios federados y limitar el acceso de estos únicamente a los dominios o servidores perimetrales de acceso para los que desea habilitar las conexiones. Las conexiones con socios federados solo se permiten con los dominios o servicios perimetrales de acceso que se agreguen a la ficha Permitir. Este método ofrece el mayor nivel de seguridad, pero no ofrece facilidad de administración. Por ejemplo, si cambia el FQDN de un servicio perimetral de acceso, deberá cambiar manualmente el FQDN del servidor en la lista Permitir.

Cómo se evalúa el tráfico federado cuando se utiliza la detección automática

Si opta por utilizar la detección automática de los socios federados, el servicio perimetral de acceso evalúa automáticamente el tráfico federado entrante de la siguiente forma:

• Si una parte federada envía solicitudes a más de 1.000 identificadores URI (válidos o no) en el dominio local, se evalúa primero la conexión que figura en primer lugar en la lista de observación. El servicio perimetral de acceso bloquea cualquier solicitud adicional. Si el servicio perimetral de acceso detecta tráfico sospechoso en una conexión, limitará al socio federado a una frecuencia de mensajes baja de 1 mensaje por segundo. Para detectar el tráfico sospechoso, el servicio perimetral de acceso calcula la proporción entre el número de respuestas correctas y el número de respuestas incorrectas. El servicio perimetral de acceso también limita las conexiones de los socios federados legítimos (a menos que se hayan agregado a la lista Allow) a 20 mensajes por segundo. La lista de conexiones sospechosas se muestra en la consola Administración de equipos del servicio perimetral de acceso.
• Si sabe que un socio federado legítimo va a enviar a su organización más de 1.000 solicitudes o un volumen superior a 20 mensajes por segundo, deberá agregar dicho socio federado a la ficha Permitir para que se admitan estos volúmenes.

En la figura siguiente, se muestran las limitaciones de frecuencia en la federación abierta.

Figura 1. Limitar las conexiones para una federación ampliada

Una vez configurada la federación, puede utilizar las herramientas administrativas de Office Communications Server 2007 R2 para supervisar y administrar el acceso de los socios federados de forma continuada. Para obtener más información, vea Office Communications Server 2007 R2 Administration Guide.