Compartilhar via

  • Artigo

Passagem de mídia

 

Tópico modificado em: 2012-10-15

O Serviço de Borda A/V fornece um ponto de conexão único e confiável para passagem de saída e de entrada da mídia.

Requisitos de porta do serviço de Borda A/V

Os requisitos de Borda A/V para portas e protocolos foram alterados no Microsoft Lync Server 2010. Dependendo dos requisitos de federação com infraestruturas de parceiro e da configuração dos Servidores de Borda, as seguintes portas devem ser consideradas:

  • UDP 3478

  • TCP 443

  • UDP 50.000–59.999

  • TCP 50.000–59.999

Para obter detalhes sobre requisitos de configuração de porte e de NAT (conversão de endereços de rede), consulte Determinando requisitos de porta e de firewall A/V externo na documentação de Planejamento.

O Lync Server 2010 implementa o protocolo ICE (Estabelecimento de Conectividade Interativa) para negociar conexões de mídia com parte dentro de um ambiente de NAT. Os detalhes específicos da implementação são encontrados nos Documentos de Protocolos do Microsoft Office em https://go.microsoft.com/fwlink/?linkid=145173&clcid=0x416.

Segurança de porta do serviço de Borda A/V

O serviço de Borda A/V é um recurso gerenciado pela empresa; portanto, a restrição do acesso a usuários autorizados é importante devido às considerações de segurança e recurso.

UDP 3478 e TCP 443

As portas UDP 3478 e TCP 443 são usadas pelos clientes para solicitações ao serviço de Borda A/V. Um cliente usa essas duas portas para alocar as portas UDP e TCP respectivamente, para que a parte remota possa se conectar. Para acessar o serviço de Borda A/V, o cliente deve primeiro estabelecer um registro autenticado do Lync da sessão de sinalização SIP para obter as credenciais de autenticação do serviço de Borda A/V. Esses valores são enviados pelo canal de sinalização protegido por TLS e são gerados pelo computador para minimizar os ataques de dicionário. Em seguida, os clientes podem usar essas credenciais para autenticação digest com o serviço de Borda/AV a fim de alocar as portas para uso em uma sessão de mídia. Uma solicitação de alocação inicial é enviada pelo cliente e respondida com a mensagem 401 nonce/challenge do serviço de Borda A/V. O cliente envia uma segunda alocação contendo o nome de usuário e um hash HMAC (Hash Message Authentication Code) do nome de usuário e nonce. Um mecanismo de número de sequência também estará disponível para evitar ataques de repetição. O servidor calcula o HMAC esperado com base no nome de usuário e na senha e, se os valores HMAC forem correspondentes, o procedimento de alocação será executado. Caso contrário, o pacote será eliminado. Esse mecanismo HMAC também é aplicado às mensagens subsequentes nesta sessão de chamada. O tempo de vida útil desse valor de nome de usuário/senha é um máximo de oito horas, período em que o cliente readquire um novo nome de usuário/senha para as chamadas subsequentes.

UDP/TCP 50.000– 59.999

A saída TCP 50.000 é usada para o Lync Server, incluindo para compartilhamento de aplicativo e área de trabalho, transferência de arquivo e funcionalidade A/V ponto a ponto do Windows Live Messenger 2011. Os intervalos de porta UDP/TCP 50.000-59.999 são usados para sessões de mídia com parceiros do Microsoft Office Communications Server 2007 que exigem o serviço de passagem NAT/firewall do serviço de Borda A/V. Como o serviço de Borda A/V é o único processo que usa essas portas, o tamanho do intervalo de portas não indica a possível superfície de ataque. Uma prática de segurança recomendada é sempre minimizar o número total de portas de escuta ao evitar a execução de serviços de rede desnecessários. Se um serviço de rede não estiver em execução, ele não poderá ser explorado por um invasor remoto e a superfície de ataque do host será reduzida. No entanto, em um serviço único, a redução do número de portas não oferece o mesmo benefício. O software de serviço de Borda A/V não é mais exposto a ataque com 10.000 portas abertas do que com 10. A alocação de portas dentro desse intervalo é feita aleatoriamente e as portas não alocadas no momento não realizam a escuta em pacotes. Para obter detalhes, consulte Determinando requisitos de porta e de firewall A/V externo na documentação de Planejamento.

Requisitos de endereço IP do serviço de Borda A/V

No Lync Server 2010, um Servidor de Borda é um servidor único que executa os três serviços de borda, incluindo o serviço de Borda de Acesso, o serviço de Borda de Webconferência e o serviço de Borda A/V. Os Servidores de Borda que não usam um balanceador de carga podem usar a NAT para as três funções de serviço. Isso significa que você não precisa fornecer um endereço IP publicamente roteável ao servidor real e precisa usar o intervalo de endereços de perímetro. No entanto, não há suporte para a borda interna do Servidor de Borda na NAT.

Caso use vários Servidores de Borda atrás de um balanceador de carga de hardware, você deverá alocar um endereço público para o IP virtual do balanceador de carga de hardware e para o serviço de Borda A/V. O endereço público deve fornecer acesso roteável direto aos clientes que acessam a Borda A/V pela Internet. Caso use vários Servidores de Borda atrás de um balanceador de carga DNS, você deverá alocar um endereço público para cada endereço externo.

Isso é necessário porque o endereçamento de uma sessão de mídia é feito na camada de endereço IP, na qual a presença de uma função NAT pode interromper a conectividade ponto a ponto. Para um Servidor de Borda, um NAT fornece apenas conversão de endereço; ele não oferece nenhuma segurança através da imposição de regras de políticas de roteamento ou da inspeção de pacotes. O único benefício possível de um NAT é ofuscar o endereço IP do servidor, mas a tentativa de ocultar o endereço IP de qualquer servidor de rede não é uma forma confiável de oferecer segurança. Todos os Servidores de Borda precisam de uma política de firewall associada adequadamente para restringir o acesso de cliente às portas de escuta designadas e para desabilitar todos os serviços de rede desnecessários. Estando em conformidade com essas práticas recomendadas, a presença de um NAT não oferece nenhum benefício adicional.

Passagem do tráfego A/V do usuário externo

A habilitação de usuários externos e internos para a troca de mídia requer um serviço de Borda A/V para manipular a sinalização SIP necessária para configurar e derrubar uma sessão. Também é necessário que um serviço de Borda A/V atue como retransmissor na transferência da mídia. A sequência de chamadas é ilustrada na figura a seguir.

Sequência de chamadas para habilitar a passagem de mídia de NATs e firewalls

c7c70bf2-a9e6-4d5c-941d-ff7bb6f6c13d

A sequência de eventos a seguir é feita quando um usuário externo chama usuários internos e, portanto, precisa enviar voz, VoIP ou ambos através do Servidor de Borda A/V:

  1. Dentro do contexto da sessão SIP autenticada e criptografada, o usuário obtém credenciais de autenticação do serviço de Autenticação A/V enviando uma solicitação de SERVIÇO SIP para o serviço.

  2. O usuário externo se autentica no serviço de Borda A/V e obtém as portas da sessão de mídia (Lync Server 2010 usa as portas 3478/UDP e 443/TCP) no servidor para uso na próxima chamada. Neste ponto, o usuário externo pode enviar pacotes através da porta alocada no endereço IP público do serviço de Borda A/V, mas ainda não é possível enviar pacotes de mídia dentro da empresa.

  3. O usuário externo chama o usuário interno pelo canal de sinalização SIP fornecido pelo serviço de Borda de Acesso. Como parte da configuração da chamada, o usuário interno é informado sobre a porta no serviço de Borda A/V disponível ao usuário externo para troca de mídia.

  4. O usuário interno contata o serviço de Borda A/V em seu endereço IP particular a fim de ser autenticado para receber a mídia. O usuário interno também recebe uma porta no endereço público do serviço de Borda A/V (o Lync Server 2010 usa as portas 3478/UDP e 443/TCP) para uso na sessão de mídia. Depois que recebe a porta, o usuário interno atende à chamada, mais uma vez através do serviço de Borda de Acesso, e informa o usuário externo sobre a porta obtida no serviço de Borda A/V para troca de mídia.

  5. A configuração da chamada é concluída. Os usuários internos e externos começam a troca de mídia.

Em resumo, para enviar mídia à empresa, o usuário externo deve ser autenticado e ter um usuário interno autenticado que concorde explicitamente em trocar os fluxos de mídia. O Lync Server 2010 usa a saída TCP 50.000-59.999. O Lync Server 2010 que está federando com parceiros do Office Communications Server 2007 continua usando o intervalo de portas de UDP/TCP 50.000 – 59.999. A federação que envolve parceiros do Lync Server 2010 ou parceiros do Office Communications Server 2007 R2 usarão 3478/UDP e 443/TCP e a saída TCP 50.000-59.999.

Segurança da mídia ponto a ponto

O canal de sinalização usado para negociar uma sessão de mídia é protegido usando a criptografia TLS de 128 bits com a validação de que o certificado de servidor tem um FQDN correspondente e uma autoridade confiável. Esse mecanismo é bem parecido com o que os sites de comércio eletrônico usam em transações online. Para aprimorar a segurança da mídia em si, o Lync Server 2010 implementa o protocolo SRTP do IETF. O mecanismo usa uma troca de chave de 128 bits através do canal de sinalização seguro, que os dois pontos de extremidade usam para criptografar e descriptografar o fluxo de mídia usando a criptografia AES de 128 bits. Isso garante que, mesmo que um invasor ataque o caminho da mídia no meio do processo, ele não conseguirá ouvir a conversa ou injetar pacotes de mídia adicionais. Em último caso, o cliente simplesmente elimina os pacotes.