Afrontar las amenazas a las conferencias locales en Lync Server 2010
Última modificación del tema: 2011-05-02
Microsoft Lync Server 2010 permite a los usuarios de empresa que se conectan tanto desde dentro como desde fuera del firewall crear conferencias web en tiempo real (reuniones) hospedadas en servidores Lync Server 2010 internos y unirse a dichas conferencias. Los usuarios de empresa también pueden invitar a usuarios externos que no tengan una cuenta de Servicios de dominio de Active Directory a participar en estas reuniones. Los usuarios que trabajen para asociados federados y tengan una identidad segura y autenticada también podrán unirse a las reuniones y, si se les encarga, actuar como moderadores. Los usuarios anónimos no pueden crear reuniones ni unirse a ellas como moderadores, pero pueden pasar a ser moderadores después de unirse a una reunión.
Las conferencias web locales se fundamentan en el marco de seguridad básico de Lync Server 2010:
Todos los servidores son de confianza.
Todas las conexiones de servidor y las comunicaciones entre los componentes combinados son conexiones MTLS.
Todas las comunicaciones están cifradas.
Todos los usuarios están autenticados.
Permitir que usuarios externos participen en reuniones locales aumenta enormemente el valor de esta característica, pero también implica algunos riesgos de seguridad. Para hacer frente a estos riesgos, Lync Server proporciona las siguientes medidas de seguridad adicionales:
Las funciones de los participantes determinan los privilegios para controlar las conferencias.
Los diversos tipos de participantes permiten limitar el acceso a determinadas reuniones.
Los tipos de reunión definidos determinan los tipos de participantes que pueden asistir.
La programación de conferencias está restringida a usuarios con credenciales de Active Directory en la red interna habilitados para Lync Server 2010.
Los usuarios anónimos que deseen unirse a una conferencia de acceso telefónico local, deben marcar uno de los números de acceso a la conferencia y, a continuación, se les pedirá que escriban el identificador de la conferencia. A los usuarios anónimos sin autenticar también se les pide que registren su nombre. El nombre grabado identifica a los usuarios sin autenticar en la conferencia. No se admiten usuarios anónimos en la conferencia hasta que se haya unido a ella al menos un coordinador o un usuario autenticado, y no se les puede asignar un rol definido previamente.
Funciones de los participantes
Los participantes de las reuniones se dividen en tres grupos, cada uno con sus propios privilegios y restricciones:
Organizador. Es el usuario que crea una reunión, ya sea improvisada o programada. El organizador debe ser un usuario autenticado de la organización y tener el control de todos los aspectos relacionados con los usuarios finales de una reunión.
Moderador. Es el usuario que está autorizado para presentar la información en una reunión, utilizando para ello todos los medios que sean compatibles. Por definición, el organizador de una reunión es también moderador y puede decidir qué otros usuarios pueden ser moderadores. El organizador puede tomar esta decisión al programar una reunión o en el transcurso de la misma.
Asistente. Es un usuario que ha sido invitado a una reunión, pero que no está autorizado para actuar como moderador.
Un moderador también puede ascender a un asistente a la función de moderador durante la reunión.
Tipos de participantes
Los participantes de las reuniones también se agrupan según su ubicación y sus credenciales. Puede usar estas dos características para especificar qué usuarios tienen acceso a determinadas reuniones. En general, los usuarios se pueden dividir en internos y externos:
Los usuarios internos tienen credenciales de Active Directory en la empresa y se conectan desde ubicaciones que están dentro del firewall corporativo.
Los usuarios externos son los que se conectan de manera temporal o permanente a la empresa desde fuera del firewall corporativo. Podrían disponer de credenciales de Active Directory. Lync Server 2010 proporciona compatibilidad con las conferencias a los siguientes tipos de usuarios externos:
Usuarios remotos que tienen una identidad de Active Directory persistente dentro de la empresa. Entre ellos, se encuentran los empleados que trabajan en casa o mientras viajan, y otros usuarios, como los empleados de proveedores de confianza, a los que se conceden credenciales corporativas durante el tiempo que dura su servicio. Los usuarios remotos pueden crear y participar en las conferencias y actuar como moderadores.
Los usuarios federados tienen credenciales válidas con socios federados, por lo que se los considera autenticados por Lync Server 2010. Los usuarios federados pueden unirse a conferencias y ser ascendidos a moderador después de haberse unido, pero no pueden crear conferencias en las empresas con las que están federados.
Los usuarios anónimos no tienen identidad de Active Directory y no están federados con la empresa.
Los datos obtenidos de clientes revelan que muchas conferencias cuentan con la participación de usuarios externos. Esos mismos clientes desean tener garantías sobre la identidad de los usuarios externos antes de permitir su participación en una conferencia. Tal y como se describe en la siguiente sección, Lync Server 2010 limita el acceso a las reuniones a los tipos de usuario a los que se concede permiso de forma explícita. Además, exige que todos los tipos de usuario presenten las credenciales correspondientes en el momento de unirse a una reunión.
Admisión de participantes
En Lync Server 2010, los usuarios y participantes anónimos cuya autenticación falle se transfieren a una sala de espera. Los moderadores podrán entonces admitir o rechazar la incorporación de dichos usuarios a la reunión. Esto significa que los usuarios y participantes anónimos que usen conferencias de acceso telefónico, pero para los que se produzca algún error en la autenticación, ya no necesitan desconectarse y volver a intentarlo. Estos usuarios se transfieren a la sala de espera, el coordinador recibe una notificación y los usuarios esperan a que este los acepte o los rechace, o bien a que se agote el tiempo de la conexión. Mientras están en la sala de espera, los usuarios oyen música. Los usuarios y participantes anónimos cuya autenticación falle se transfieren a una sala de espera. Los moderadores podrán entonces admitir o rechazar la incorporación de dichos usuarios a la reunión. De forma predeterminada, los participantes que efectúen la llamada desde la RTC obtienen acceso directamente a la reunión, pero esta opción puede modificarse para forzar a los participantes que usen acceso telefónico a ir a la sala de espera. Los organizadores de las reuniones controlan si los participantes pueden unirse a una reunión sin pasar por la sala de espera. Cada reunión puede configurarse de modo que permita el acceso usando cualquiera de los siguientes métodos:
Solo organizador (bloqueado) Todos menos el organizador deben pasar por la sala de espera hasta ser admitidos.
Personas de mi compañía a quienes invito Todos menos los participantes que estén en la lista de distribución correspondiente a la reunión deben pasar por la sala de espera hasta ser admitidos.
Personas de mi compañía Todos los usuarios internos pueden unirse a la reunión sin pasar por la sala de espera, incluso los que no estén en la lista de distribución. Todos los demás, incluidos todos los usuarios anónimos y externos, deben pasar por la sala de espera hasta ser admitidos.
Todo el mundo, incluidas las personas de fuera de mi compañía (sin restricciones) Todas las personas que se unan a la reunión omitirán la fase de la sala de espera e irán directamente a la reunión.
Cuando se especifica un método que no es Solo organizador (bloqueado), el organizador de la reunión también puede especificar Las personas que llaman por teléfono no pasan por la sala de espera.
Cuando se especifica un método que no es Organizador solo (bloqueado), el organizador de la reunión también puede especificar Las personas que llaman por teléfono no pasan por la sala de espera.
Funciones del moderador
Los organizadores de las reuniones controlan si los participantes pueden ejercer como moderadores durante una reunión. Cada reunión puede configurarse de modo que limite el número de moderadores a cualquiera de las siguientes opciones:
Solo el organizador Solo el organizador de la reunión puede ser el moderador.
Personas de mi compañía Todos los usuarios internos pueden ser moderadores.
Todo el mundo, incluidas las personas de fuera de mi compañía (sin restricciones) Todas las personas que se unan a la reunión pueden actuar como moderadores.
Las personas que yo elija El organizador de la reunión especifica qué usuarios pueden actuar como moderadores agregándolos a una lista de moderadores.