Traversée du contenu multimédia
Dernière rubrique modifiée : 2009-03-10
Le service Edge A/V fournit un point de connexion unique approuvé, utilisé à la fois par le trafic multimédia sortant et entrant de l'entreprise.
Exigences relatives aux ports du service Edge A/V
Les ports et le protocole utilisés par le service Edge A/V ont changé dans Office Communications Server 2007 R2. Selon la fédération requise avec les infrastructures partenaires et la configuration de vos serveurs de périphérie, l'utilisation des ports suivants peut être envisagée :
- UDP 3478
- TCP 443
- UDP 50 000 à 59 999
- TCP 50 000 à 59 999
Office Communications Server 2007 R2 met en œuvre une version plus récente du protocole ICE (Interactive Connectivity Establishment) pour la négociation de connexions multimédias avec des utilisateurs se trouvant dans un environnement NAT (traduction d'adresses réseau). Des informations spécifiques à l'implémentation de ce protocole sont disponibles dans les documents se rapportant aux protocoles de Microsoft Office (éventuellement en anglais) à l'adresse https://go.microsoft.com/fwlink/?LinkId=145173. Compte tenu des nouvelles spécifications du protocole ICE, les exigences relatives aux ports du service Edge A/V Office Communications Server 2007 R2 ne sont plus les mêmes. Pour plus d'informations sur l'implémentation du protocole ICE dans Office Communications Server 2007 R2, consultez la section Ressources supplémentaires à la fin de ce document.
Sécurité des ports du service Edge A/V
Le service Edge A/V est une ressource gérée par l'entreprise. Pour garantir la sécurité et protéger les ressources, il est donc important de restreindre l'accès aux seuls utilisateurs autorisés.
UDP 3478 et TCP 443
Les clients utilisent les ports UDP 3478 et TCP 443 pour acheminer leurs requêtes au service Edge A/V. Un client utilise ces deux ports pour allouer les ports UDP et TCP respectivement, pour la connexion des utilisateurs distants. Pour accéder au service Edge A/V, le client doit au préalable avoir établi une session de signalisation SIP authentifiée pour s'inscrire auprès d'Office Communicator ou de la console de réunion, afin d'obtenir les informations d'authentification du service Edge A/V. Ces valeurs sont acheminées via un canal de signalisation protégé par TLS ; elles sont générées par ordinateur pour réduire les risques d'attaques par dictionnaire. Les clients peuvent ensuite fournir ces informations d'identification pour l'authentification Digest sur le service Edge A/V, pour l'affectation des ports utilisés au cours d'une session multimédia. Le client envoie une requête Allocate initiale et le service Edge A/V répond sous forme de message de vérification/valeur à usage unique 401. Le client envoie une seconde requête Allocate contenant le nom d'utilisateur et un code de hachage HMAC (Hash Message Authentication Code) incluant le nom d'utilisateur et la valeur à usage unique. Un mécanisme de numéro de séquence est également mis en œuvre pour éviter les attaques par relecture. Le serveur calcule le code de hachage HMAC attendu, en se basant sur le nom d'utilisateur et le mot de passe. Si la valeur HMAC correspond, il exécute la procédure Allocate. Sinon, le paquet est rejeté. Le même mécanisme HMAC est également appliqué aux messages ultérieurs reçus au cours de cette session d'appel. La durée de vie maximale de la valeur nom d'utilisateur/mot de passe est de 8 heures. Passé ce délai, le client acquiert un nouveau nom d'utilisateur/mot de passe pour les appels suivants.
UDP/TCP 50 000 à 59 999
Ces plages de ports sont utilisées pour les sessions multimédias fédérées avec les partenaires Office Communications Server 2007 requérant un service de traversée de pare-feu ou de NAT du service Edge A/V. Le service Edge A/V étant le seul processus utilisant ces ports, la taille de la plage de ports ne donne pas d'indication quant à la surface d'attaque potentielle. Par mesure de sécurité, il est recommandé de toujours réduire au minimum le nombre total de ports d'écoute en n'exécutant que les services réseau nécessaires. Lorsqu'un service réseau n'est pas en cours d'exécution, il ne peut pas être exploité par un intrus distant, ce qui permet de réduire la surface d'attaque de l'ordinateur hôte. Toutefois, la réduction du nombre de ports ne présente pas les mêmes avantages, dans le cas d'un service unique. Que le nombre de ports ouverts soit 10 000 ou 10, le logiciel du service Edge A/V n'est pas davantage exposé aux attaques. Les ports de la plage sont affectés de manière aléatoire et ceux qui ne sont pas affectés actuellement n'écoutent pas les paquets.
Exigences relatives à l'adresse IP du service Edge A/V
Dans Office Communications Server 2007 R2, un serveur de périphérie consolidé unique qui n'utilise pas de programme d'équilibrage de charge peut utiliser NAT pour les trois rôles de service. Ainsi, il n'est pas nécessaire de fournir d'adresse IP routable publiquement vers le serveur lui-même et vous pouvez utiliser la plage d'adresses de votre périmètre. Toutefois, NAT n'est pas pris en charge pour le périmètre interne du serveur de périphérie consolidé.
Lors de l'utilisation de plusieurs serveurs de périphérie derrière un programme d'équilibrage de charge matérielle, une adresse publique doit être allouée à l'adresse IP virtuelle du programme d'équilibrage de charge et au service Edge A/V. Elle doit fournir un accès routable direct aux clients qui accèdent au service Edge A/V par le biais d'Internet.
Cette exigence s'explique par le fait que l'adressage d'une session multimédia a lieu au niveau de la couche de l'adresse IP, où la présence d'une fonction NAT est susceptible d'interrompre la connectivité de bout en bout. Pour un serveur de périphérie, un NAT fournit uniquement la traduction d'adresses ; il n'offre aucune sécurité, que ce soit par l'application de règles de stratégies de routage ou la vérification des paquets. Le seul avantage potentiel d'un NAT est le masquage de l'adresse IP du serveur, mais le fait de masquer l'adresse IP d'un serveur réseau ne constitue pas une mesure de sécurité fiable. Tous les serveurs de périphérie doivent être sécurisés à l'aide d'une stratégie de pare-feu connexe appropriée, destinée à restreindre l'accès des clients aux ports d'écoute désignés. Par ailleurs, tous les autres services réseau non requis doivent être désactivés. Compte tenu de la conformité à ces pratiques recommandées, la présence d'un NAT n'offre aucun autre avantage.
Traversée du trafic A/V de l'utilisateur distant
Pour que les utilisateurs distants et internes soient en mesure d'échanger des données multimédias, le service Edge d'accès doit pouvoir gérer la signalisation SIP nécessaire pour initialiser et mettre fin à une session. Un service Edge A/V doit également servir de relais lors du transfert des données multimédias. La séquence d'appel, illustrée à la Figure 1, se présente comme suit :
Figure 1. Séquence d'appel utilisée pour permettre aux données multimédias de traverser les NAT et les pare-feu
La série d'événements suivante se produit lorsqu'un utilisateur distant appelle des utilisateurs internes et, par conséquent, doit envoyer des données vocales ou VoIP, voire les deux, par le biais du serveur Edge A/V :
- L'utilisateur distant établit une session SIP authentifiée en se connectant à Office Communications Server. Au cours de cette session SIP chiffrée et authentifiée, l'utilisateur obtient les informations d'authentification du service d'authentification A/V.
- L'utilisateur distant s'identifie auprès du service Edge A/V et obtient les détails des ports de session multimédia (Office Communications Server 2007 R2 utilise 3478/UDP) utilisés sur le serveur pour l'appel à venir. À ce stade, l'utilisateur distant peut envoyer des paquets via le port alloué sur l'adresse IP publique du service Edge A/V, mais il ne peut pas encore envoyer de paquets de données multimédias dans l'entreprise.
- L'utilisateur distant appelle l'utilisateur interne par le biais d'un canal de signalisation SIP fourni par le service Edge d'accès. La configuration de l'appel prévoit que l'utilisateur interne soit notifié sur quel port du service Edge A/V l'utilisateur distant peut échanger des données multimédias.
- L'utilisateur interne contacte le service Edge A/V sur son adresse IP privée afin d'être authentifié en vue de la réception des données multimédias. Un port est également alloué à l'utilisateur interne sur l'adresse publique du service Edge A/V (Office Communications Server 2007 R2 utilise 3478/UDP). Il utilisera ce port pour la session multimédia. Après réception des détails du port, l'utilisateur interne répond à l'appel - toujours par le biais du service Edge d'accès - puis notifie l'utilisateur distant du port obtenu sur le service Edge A/V pour l'échange multimédia.
La configuration de l'appel est maintenant terminée ; les utilisateurs internes et internes peuvent commencer l'échange des données.
En résumé, pour envoyer des données multimédias à l'intérieur de l'entreprise, l'utilisateur distant doit être authentifié. De plus, un utilisateur interne authentifié doit accepter de manière explicite d'échanger des flux multimédias. Office Communications Server 2007 R2 fédéré avec Office Communications Server 2007 continue à utiliser la plage de ports 50 000 à 59 999 UDP/TCP. La fédération applicable à deux partenaires Office Communications Server 2007 R2 utilisera 3478/UDP.
Sécurité des échanges multimédias de bout en bout
Le canal de signalisation utilisé pour négocier une session multimédia est protégé à l'aide du chiffrement TLS 128 bits, avec vérification que le certificat du serveur comporte un nom de domaine complet (FQDN) et une autorité approuvée correspondants. Ce mécanisme est similaire à celui utilisé par les sites de commerce électronique pour les transactions en ligne. Pour sécuriser les données multimédias proprement dites, Office Communications Server implémente le protocole SRTP de l'IETF. Le mécanisme utilise un échange de clé 128 bits sur le canal de signalisation sécurisé. Les deux systèmes d'extrémité l'utilisent ensuite pour chiffrer et déchiffrer le flux multimédia à l'aide du chiffrement AES (Advanced Encryption Standard) 128 bits. Ainsi, si un intrus parvient à lancer une attaque de l'intercepteur (« man-in-the-middle ») sur le chemin d'échange multimédia, il ne peut pas écouter la conversation ou injecter des paquets multimédias supplémentaires. Dans ce dernier cas, le client rejette simplement les paquets.