消除对 Office Communications Server 2007 R2 企业语音的威胁
上一次修改主题: 2012-02-01
企业语音是基于 Office Communications Server 软件的 VoIP 解决方案。企业语音既可以使用 VoIP 进行内部呼叫,也可以使用 VoIP 连接到传统电话网络。与 IM 类似,内部 VoIP 呼叫全部经过了加密,因此与 VoIP 相关的安全问题集中在经由未加密的公用电话交换网 (PSTN) 的呼叫传输上。
企业语音需要使用以下两种设备来提供与 PSTN 的 VoIP 连接:
- 媒体网关 - 将本地电话系统信号协议转换为 SIP over TLS(推荐)或 SIP over TCP(可选)以通过 IP 网络进行传输。
- 中介服务器这一 Office Communications Server 角色 - 可根据需要将 SIP over TCP 转换为 SIP over TLS 以进行内部路由。
.gif "Dd572332.note(zh-cn,office.13).gif") 注意: |
|---|
| 企业语音支持三种不同的媒体网关:基本、基本/混合以及高级媒体网关。高级媒体网关通过在其中适当引入中介服务器的逻辑而不再需要使用中介服务器,但此类网关尚不可用。我们这里讨论的内容假定您的部署需要使用中介服务器才能建立 PSTN 连接。有关媒体网关和中介服务器的详细信息,请参阅“规划和体系结构”文档中的企业语音支持。 |
如果选择为 TCP 配置媒体网关和中介服务器之间的链接,则此链接会因信号未经加密而成为潜在的安全漏洞。然而,当前市面上的许多网关都不支持 MTLS,因此在您可以升级到具有相关功能的网关之前,需要与中介服务器建立 TCP 连接。为了减轻此潜在漏洞的威胁,建议通过安装两个网络接口卡(每个网络接口卡使用不同子网中的单独 IP 地址且设置不同的端口)来在中介服务器自己的子网中部署中介服务器。其中一个卡用作中介服务器的内部边缘,侦听来自内部服务器的 TLS 通信。另一个卡用作中介服务器的外部边缘,侦听源自媒体网关的 TCP 流量。使用这两个专用的侦听地址可确保能够明确区分源自 Office Communications Server 网络的受信任流量和源自 PSTN 的不受信任流量。