Compartir a través de

  • Artículo

Cruce seguro de los medios

Última modificación del tema: 2009-03-10

El servicio perimetral A/V proporciona un único punto de conexión de confianza para que los medios puedan entrar y salir de la empresa de forma segura.

Requisitos de los puertos del servicio perimetral A/V

Los requisitos en materia de puertos y protocolos del servicio perimetral A/V han cambiado en Office Communications Server 2007 R2. Según los requisitos para la federación con las infraestructuras de socios y la configuración de los servidores perimetrales, se han de considerar los puertos siguientes:

  • UDP 3478
  • TCP 443
  • UDP 50.000–59.999
  • TCP 50.000–59.999

Office Communications Server 2007 R2 implementa una versión más reciente del protocolo de establecimiento interactivo de conectividad (ICE) para negociar las conexiones de medios con entidades dentro de un entorno de traducción de direcciones de red (NAT). Para obtener información detallada sobre la implementación, consulte la documentación referente a los protocolos de Microsoft Office en https://go.microsoft.com/fwlink/?LinkId=145173 (en inglés). Debido a las nuevas especificaciones de ICE, han cambiado los requisitos en materia de puertos para el servicio perimetral A/V de Office Communications Server 2007 R2. Para obtener información detallada sobre la implementación de ICE en Office Communications Server 2007 R2, vea la sección Otros recursos que figura al final de este documento.

Seguridad de los puertos del servicio perimetral A/V

El servicio perimetral A/V es un recurso administrado por la empresa, por lo que restringir el acceso a los usuarios autorizados es importante desde el punto de vista de la seguridad y los recursos.

UDP 3478 y TCP 443

Los clientes usan los puertos UDP 3478 y TCP 443 para solicitar servicios del servicio perimetral A/V. Los clientes usan estos dos puertos a fin de asignar los puertos UDP y TCP, respectivamente, a los que debe conectarse la entidad remota. Para obtener acceso al servicio perimetral A/V, el cliente debe haber iniciado una sesión de señalización SIP autenticada en Communicator o haberse registrado en la consola Live Meeting a fin de obtener las credenciales de autenticación del servicio perimetral A/V. Estos valores se envían a través del canal de señalización protegido por TLS y los genera el equipo con el fin de mitigar los ataques por diccionario. A continuación, los clientes pueden utilizar estas credenciales para la autenticación implícita con el servicio perimetral A/V a fin de asignar los puertos que se van a usar en una sesión de medios. El cliente envía una solicitud de asignación inicial, a la que responde el servicio perimetral A/V mediante un mensaje de valor instantáneo/desafío 401. El cliente envía una segunda solicitud de asignación con el nombre de usuario y un código HMAC (código hash de autenticación de mensajes) del nombre de usuario y del valor instantáneo. Existe asimismo un mecanismo de números de secuencia para evitar los ataques de reproducción. El servidor calcula el código HMAC esperado basándose en la información de nombre de usuario y contraseña de la que dispone y, si los valores HMAC coinciden, se llevará a cabo el procedimiento de asignación. De lo contrario, se quitará el paquete. Este mismo mecanismo HMAC también se aplica a los mensajes subsiguientes en esta sesión de llamada. Este valor de nombre de usuario y contraseña tiene una vigencia máxima de ocho horas; después, el cliente adquiere un nuevo nombre de usuario y una nueva contraseña para las llamadas subsiguientes.

UDP/TCP 50.000– 59.999

Estos intervalos de puertos se usan para las sesiones de medios con socios federados de Office Communications Server 2007 que requieren el cruce seguro de los medios por los dispositivos NAT y firewalls del servicio perimetral A/V. Dado que el servicio perimetral A/V es el único proceso que usa estos puertos, el tamaño del intervalo de puertos no indica la posible superficie de ataque. Por motivos de seguridad, se recomienda no ejecutar servicios de red innecesarios a fin de minimizar siempre el número total de puertos de escucha. Si un servicio de red no se ejecuta, los atacantes remotos no lo pueden usar y se reduce la superficie de ataque del equipo host. Sin embargo, en un solo servicio, la reducción del número de puertos no aporta la misma ventaja. El software del servicio perimetral A/V no se encuentra más expuesto a ataques si el número de puertos abiertos es de 10.000 en lugar de 10. La asignación de los puertos en este intervalo se realiza aleatoriamente y los puertos no asignados no escuchan los paquetes.

Requisitos de direcciones IP del servicio perimetral A/V

En Office Communications Server 2007 R2, un solo servidor perimetral consolidado que no utiliza un equilibrador de carga puede utilizar la traducción de direcciones de red (NAT) para las tres funciones de servidor. Esto significa que no es necesario proporcionar una dirección IP públicamente enrutable al servidor propiamente dicho y que se puede utilizar el intervalo de direcciones perimetrales. Sin embargo, no se admite la traducción de direcciones de red para el perímetro interno del servidor perimetral consolidado.

Cuando se usan varios servidores perimetrales detrás de un equilibrador de carga de hardware, es preciso asignar una dirección pública a la dirección IP virtual del equilibrador de carga de hardware y al servicio perimetral A/V. Debe proporcionar acceso directamente enrutable a los clientes que obtienen acceso al servicio perimetral A/V a través de Internet.

Esto es necesario porque la asignación de direcciones para una sesión de medios se realiza en el nivel de direcciones IP, donde la presencia de una función NAT puede interrumpir la conectividad de un extremo a otro. En el caso de un servidor perimetral, una función NAT proporciona solo la traducción de direcciones; no proporciona ningún tipo de seguridad a través de la aplicación de las reglas de las directivas de enrutamiento ni la inspección de paquetes. La única posible ventaja que ofrece una función NAT reside en que oculta la dirección IP del servidor. Sin embargo, intentar ocultar la dirección IP de cualquier servidor de red no es una forma confiable de proporcionar seguridad. Todos los servidores perimetrales deben protegerse mediante una directiva de firewall debidamente asociada para restringir el acceso del cliente a los puertos de escucha designados y deshabilitando los servicios de red innecesarios. Si se siguen estos procedimientos recomendados, la presencia de un dispositivo NAT no aporta ninguna ventaja adicional.

Cruce seguro del tráfico A/V de usuarios remotos

Para habilitar los usuarios remotos e internos para el intercambio de medios, se requiere un servicio perimetral de acceso a fin de administrar la señalización SIP necesaria para configurar y dividir una sesión. También se requiere un servicio perimetral A/V que actúe como relé para la transferencia de los medios. A continuación, se describe la secuencia de llamada mostrada en la Figura 1.

Figura 1. Secuencia de llamada para habilitar el cruce seguro de los medios por dispositivos NAT y firewalls

Dd572409.ea464296-e516-40bf-938f-588e60e70dee(es-es,office.13).jpg

La siguiente secuencia de eventos se produce cuando un usuario remoto llama a usuarios internos y, por lo tanto, necesita poder enviar contenido de voz, VoIP o ambos por medio del servidor perimetral A/V:

  1. El usuario remoto establece una sesión SIP autenticada iniciando sesión en Office Communications Server. En el contexto de esta sesión SIP cifrada y autenticada, el usuario puede obtener las credenciales de autenticación del servicio de autenticación A/V.
  2. El usuario remoto se autentica con el servicio perimetral A/V y obtiene los puertos de la sesión de medios (Office Communications Server 2007 R2 utiliza 3478/UDP) en el servidor que se van a usar para la próxima llamada. Llegado a este punto, el usuario remoto puede enviar paquetes a través del puerto asignado en la dirección IP pública del servicio perimetral A/V, pero aún no puede enviar paquetes de medios a la empresa.
  3. El usuario remoto llama al usuario interno a través del canal de señalización SIP proporcionado por el servicio perimetral de acceso. Como parte del establecimiento de la llamada, se informa al usuario interno del puerto en el servicio perimetral A/V que el usuario remoto tiene disponible para intercambiar los medios.
  4. El usuario interno se pone en contacto con el servicio perimetral A/V en su dirección IP privada a fin de ser autenticado para recibir los medios. Al usuario interno también se le asigna un puerto en la dirección pública del servicio perimetral A/V (Office Communications Server 2007 R2 utiliza 3478/UDP) para que lo use en la sesión de medios. Después de recibir el puerto, el usuario interno, una vez más por medio del servicio perimetral de acceso, contesta a la llamada y, por lo tanto, informa al usuario remoto del puerto obtenido en el servicio perimetral A/V para el intercambio de medios.

Se ha completado el establecimiento de la llamada. El usuario interno y el usuario externo comienzan a intercambiar medios.

En resumen, para poder enviar medios a la empresa, el usuario remoto debe ser autenticado y un usuario interno autenticado debe aceptar explícitamente el intercambio de secuencias de medios. La federación de Office Communications Server 2007 R2 con Office Communications Server 2007 sigue usando el intervalo de puertos UDP/TCP 50.000 - 59.999. Si la federación implica a dos socios de Office Communications Server 2007 R2, utilizará 3478/UDP.

Seguridad de medios de un extremo a otro

El canal de señalización utilizado para la negociación de una sesión de medios se protege mediante el cifrado TLS de 128 bits y la validación de que el certificado de servidor tiene un FQDN correspondiente y una entidad de certificación de confianza. Este mecanismo es muy similar al que usan los sitios de comercio electrónico para las transacciones en línea. Para proteger los medios propiamente dichos, Office Communications Server implementa el protocolo SRTP del IETF. El mecanismo utiliza el intercambio de claves de 128 bits a través del canal de señalización seguro, que los dos extremos utilizan para cifrar y descifrar la secuencia de medios mediante el estándar de cifrado avanzado (AES) de 128 bits. De este modo, se garantiza que si un atacante logra realizar un ataque de tipo "Man in the middle" en la ruta de acceso a los medios, no podrá interceptar la conversación ni inyectar paquetes de medios adicionales. En este último caso, el cliente quitará simplemente los paquetes.