TLS et MTLS pour Lync Server 2013

 

Rubrique Dernière modification : 2013-11-07

Les protocoles de transport TLS (Transport Layer Security) et MTLS (Mutual TLS) fournissent des communications chiffrées et une authentification du point de terminaison sur Internet. Microsoft Lync Server 2013 utilise ces deux protocoles pour créer le réseau de serveurs approuvés et s’assurer que toutes les communications sur ce réseau sont chiffrées. Toutes les communications SIP entre les serveurs interviennent sur MTLS. Les communications SIP du client au serveur interviennent sur TLS.

TLS permet aux utilisateurs, via leur logiciel client, d’authentifier les serveurs Lync Server 2013 auxquels ils se connectent. Sur une connexion TLS, le client demande un certificat valide au serveur. Pour être valide, le certificat doit avoir été émis par une autorité de certification qui est également approuvée par le client et le nom DNS du serveur doit correspondre au nom DNS dans le certificat. Si le certificat est valide, le client utilise la clé publique du certificat pour chiffrer les clés de chiffrement symétriques à utiliser pour la communication, de sorte que seul le propriétaire d’origine du certificat peut utiliser sa clé privée pour déchiffrer le contenu de la communication. La connexion résultante est approuvée et à partir de ce point n’est pas contestée par d’autres serveurs ou clients approuvés. Dans ce contexte, le protocole SSL (Secure Sockets Layer) utilisé avec les services Web peut être associé au protocole TLS.

Les connexions serveur à serveur s’appuient sur MTLS pour l’authentification mutuelle. Sur une connexion MTLS, le serveur à l’origine d’un message et le serveur le recevant échangent des certificats à partir d’une autorité de certification mutuellement approuvée. Les certificats prouvent l’identité d’un serveur à un autre. Dans les déploiements Lync Server 2013, les certificats émis par l’autorité de certification d’entreprise pendant leur période de validité et non révoqués par l’autorité de certification émettrice sont automatiquement considérés comme valides par tous les clients et serveurs internes, car tous les membres d’un domaine Active Directory approuvent l’autorité de certification d’entreprise dans ce domaine. Dans les scénarios fédérés, l’autorité de certification émettrice doit être approuvée par les deux partenaires fédérés. Chaque partenaire peut utiliser une autorité différente s’il le souhaite, tant que cette autorité est également approuvée par l’autre partenaire. Cette approbation est plus facilement obtenue par les serveurs Edge qui disposent d’un certificat de l’autorité de certification racine du partenaire parmi leurs autorités de certification racines de confiance, ou bien en utilisant une autorité tierce qui est approuvée par les deux parties.

TLS et MTLS permettent d’empêcher les attaques par écoute et les attaques d’intercepteur. Dans le cas d’une attaque d’intercepteur, l’attaquant réachemine les communications entre deux entités de réseau via l’ordinateur de l’attaquant sans que l’autre partie n’en ait connaissance. Les spécifications TLS et Lync Server 2013 des serveurs approuvés (uniquement celles spécifiées dans le Générateur de topologie) atténuent le risque d’une attaque de l’intercepteur partiellement sur la couche Application en utilisant le chiffrement de bout en bout coordonné à l’aide du chiffrement à clé publique entre les deux points de terminaison, et un attaquant doit disposer d’un certificat valide et approuvé avec la clé privée correspondante et émis au nom du service auquel le client communique pour déchiffrer communication. Enfin, vous devez toutefois respecter les meilleures pratiques de sécurité avec votre infrastructure réseau (dans ce cas, DNS d’entreprise). Lync Server 2013 suppose que le serveur DNS est approuvé de la même façon que les contrôleurs de domaine et les catalogues globaux sont approuvés, mais DNS fournit un niveau de protection contre les attaques par détournement DNS en empêchant le serveur d’un attaquant de répondre correctement à une demande au nom usurpé.

La figure suivante montre à un niveau élevé comment Lync Server 2013 utilise MTLS pour créer un réseau de serveurs approuvés.

Connexions approuvées dans un réseau Lync Server