Passagem da mídia

Tópico modificado em: 2009-03-10

O Servidor de Borda A/V fornece um ponto de conexão único e confiável para passagem de saída e de entrada da mídia.

Requisitos de porta do serviço de Borda A/V

Os requisitos de Borda A/V para portas e protocolos mudaram no Office Communications Server 2007 R2. Dependendo dos requisitos de federação com infraestruturas de parceiro e da configuração dos Servidores de Borda, as seguintes portas devem ser consideradas:

• UDP 3478
• TCP 443
• UDP 50.000 – 59.999
• TCP 50.000 – 59.999

O Office Communications Server 2007 R2 implementa uma versão mais recente do protocolo ICE para negociação de conexões de mídia em um ambiente NAT (conversão de endereço de rede). Os detalhes da implementação constam nos documentos de protocolos do Microsoft Office em https://go.microsoft.com/fwlink/?LinkId=145173. Devido às novas especificações do ICE, os requisitos de porta do serviço de Borda de Áudio/Vídeo do Office Communications Server 2007 R2 mudaram. Para obter informações detalhadas sobre a implementação do ICE no Office Communications Server 2007 R2, consulte a seção Recursos adicionais no final deste documento.

Segurança de porta do serviço de Borda A/V

O serviço de Borda A/V é um recurso gerenciado pela empresa; portanto, a restrição do acesso a usuários autorizados é importante devido às considerações de segurança e recurso.

UDP 3478 e TCP 443

As portas UDP 3478 e TCP 443 são usadas pelos clientes para solicitações ao serviço de Borda A/V. Um cliente usa essas duas portas para alocar as portas UDP e TCP respectivamente, para que a parte remota possa se conectar. Para acessar o serviço de Borda A/V, o cliente deve primeiro estabelecer um registro autenticado da sessão de sinalização SIP do console do Live Meeting ou Communicator para obter as credenciais de autenticação do serviço de Borda A/V. Esses valores são enviados pelo canal de sinalização protegido por TLS e são gerados pelo computador para minimizar os ataques de dicionário. Em seguida, os clientes podem usar essas credenciais para autenticação digest com o serviço de Borda/AV a fim de alocar as portas para uso em uma sessão de mídia. Uma solicitação de alocação inicial é enviada pelo cliente e respondida com a mensagem 401 nonce/challenge do serviço de Borda A/V. O cliente envia uma segunda alocação contendo o nome de usuário e um hash HMAC (Hash Message Authentication Code) do nome de usuário e nonce. Um mecanismo de número de sequência também estará disponível para evitar ataques de repetição. O servidor calcula o HMAC esperado com base no nome de usuário e na senha e, se os valores HMAC forem correspondentes, o procedimento de alocação será executado. Caso contrário, o pacote será eliminado. Esse mecanismo HMAC também é aplicado às mensagens subsequentes nesta sessão de chamada. O tempo de vida útil desse valor de nome de usuário/senha é um máximo de oito horas, período em que o cliente readquire um novo nome de usuário/senha para as chamadas subsequentes.

UDP/TCP 50.000 – 59.999

Esses intervalos de portas são usados em sessões de mídia federadas com os parceiros do Office Communications Server 2007 que requerem NAT/passagem de firewall no serviço de Borda A/V. Como o serviço de Borda A/V é o único processo que usa essas portas, o tamanho do intervalo de portas não indica a possível superfície de ataque. Uma prática de segurança recomendada é sempre minimizar o número total de portas de escuta ao evitar a execução de serviços de rede desnecessários. Se um serviço de rede não estiver em execução, ele não poderá ser explorado por um invasor remoto e a superfície de ataque do host será reduzida. No entanto, em um serviço único, a redução do número de portas não oferece o mesmo benefício. O serviço de Borda A/V não fica mais tão exposto a ataques com 10.000 portas abertas, pois agora só há 10. A alocação de portas nesse intervalo é feita aleatoriamente e as portas que não estão alocadas no momento não escutam os pacotes.

Requisitos de e endereço IP do serviço de Borda A/V

No Office Communications Server 2007 R2, um único servidor de borda consolidado que não usa um balanceador de carga pode usar NAT nas três funções de serviço. Isso significa que você não precisa fornecer um endereço IP publicamente roteável ao servidor real e precisa usar o intervalo de endereços de perímetro. No entanto, não há suporte para a borda interna do Servidor de Borda consolidado no NAT.

Quando vários Servidores de Borda são usados atrás de um balanceador de carga de hardware, é necessário alocar um endereço público ao IP virtual do balanceador e ao serviço de Borda A/V. Você deve fornecer acesso roteável direto aos clientes que acessam a Borda A/V pela Internet.

Isso é necessário porque o endereçamento de uma sessão de mídia é feito na camada de endereço IP, na qual a presença de uma função NAT pode interromper a conectividade ponto a ponto. Para um servidor de borda, um NAT fornece apenas conversão de endereço; ele não oferece nenhuma segurança através da imposição de regras de políticas de roteamento ou da inspeção de pacotes. O único benefício possível de um NAT é ofuscar o endereço IP do servidor, mas a tentativa de ocultar o endereço IP de qualquer servidor de rede não é uma forma confiável de oferecer segurança. Todos os servidores de borda precisam ser protegidos pelo uso de uma política de firewall adequadamente associada para restringir o acesso do cliente às portas de escuta designadas e pela desabilitação de quaisquer outros serviços de rede desnecessários. Estando em conformidade com essas práticas recomendadas, a presença de um NAT não oferece nenhum benefício adicional.

Passagem do tráfego A/V do usuário remoto

A habilitação de usuários remotos e internos para a troca de mídia requer um serviço de Borda A/V para manipular a sinalização SIP necessária para configurar e derrubar uma sessão. Também é necessário que um serviço de Borda A/V atue como relay na transferência da mídia. A sequência de chamadas, ilustrada na Figura 1, é a seguinte:

Figura 1. Sequência de chamadas para habilitar a passagem de mídia de NATs e firewalls

A sequência de eventos a seguir é feita quando um usuário remoto chama usuários internos e, portanto, precisa enviar voz, VoIP ou ambos através do Servidor de Borda A/V:

1. O usuário remoto estabelece uma sessão SIP autenticada fazendo com que o usuário entre no Office Communications Server. No contexto dessa sessão SIP autenticada e criptografada, o usuário pode obter credenciais de autenticação com o serviço de Autenticação A/V.
2. O usuário remoto se autentica no serviço de Borda A/V e obtém as portas da sessão de mídia (o Office Communications Server 2007 R2 usa a porta 3478/UDP) no servidor para uso na próxima chamada. Neste ponto, o usuário remoto pode enviar pacotes pela porta alocada usando o endereço IP público do serviço de Borda A/V, mas ainda não pode enviar pacotes de mídia dentro da empresa.
3. O usuário remoto chama o usuário interno pelo canal de sinalização SIP fornecido pelo serviço de Borda de Acesso. Como parte da configuração da chamada, o usuário interno é informado sobre a porta no serviço de Borda A/V disponível ao usuário remoto para troca de mídia.
4. O usuário interno contata o serviço de Borda A/V em seu endereço IP particular a fim de ser autenticado para receber a mídia. O usuário interno também recebe uma porta no endereço público do serviço de Borda A/V (o Office Communications Server 2007 R2 usa a porta 3478/UDP) para uso na sessão de mídia. Depois que recebe a porta, o usuário interno atende à chamada, mais uma vez através do serviço de Borda de Acesso, e informa o usuário remoto sobre a porta obtida no serviço de Borda A/V para troca de mídia.

A configuração da chamada é concluída. Os usuários internos e externos começam a troca de mídia.

Em suma, para enviar mídia dentro da empresa, o usuário remoto deve ser autenticado e fazer com que um usuário interno autenticado concorde explicitamente em trocar os fluxos de mídia. A federação do Office Communications Server 2007 R2 com o Office Communications Server 2007 continua usando o intervalo de portas 50.000 – 59.999 UDP/TCP. A federação envolvendo dois parceiros do Office Communications Server 2007 R2 usará a porta 3478/UDP.

Segurança da mídia ponto a ponto

O canal de sinalização usado para negociar uma sessão de mídia é protegido usando a criptografia TLS de 128 bits com a validação de que o certificado de servidor tem um FQDN correspondente e uma autoridade confiável. Esse mecanismo é bem parecido com o que os sites de comércio eletrônico usam em transações online. Para proteger a própria mídia, o Office Communications Server implementa o protocolo SRTP da IETF. O mecanismo usa uma troca de chave de 128 bits através do canal de sinalização seguro, que os dois pontos de extremidade usam para criptografar e descriptografar o fluxo de mídia usando a criptografia AES de 128 bits. Isso garante que, mesmo que um invasor ataque o caminho da mídia no meio do processo, ele não conseguirá ouvir a conversa ou injetar pacotes de mídia adicionais. Em último caso, o cliente simplesmente elimina os pacotes.