通过

  • 项目

媒体遍历

上一次修改主题: 2009-03-10

A/V 边缘服务提供单一的受信任连接点以便媒体流入和流出企业。

A/V 边缘服务的端口要求

Office Communications Server 2007 R2 中的 A/V 边缘的端口和协议要求已发生更改。根据您与合作伙伴基础结构建立联盟的要求以及边缘服务器的配置,应考虑使用下列端口:

  • UDP 3478
  • TCP 443
  • UDP 50,000–59,999
  • TCP 50,000–59,999

Office Communications Server 2007 R2 实现了更新版本的互动式连接建立 (ICE) 协议,用于与网络地址转换 (NAT) 环境内部的各方协商媒体连接。可在 https://go.microsoft.com/fwlink/?LinkId=145173 上的 Microsoft Office 协议文档中找到特定的详细实现信息。由于采用了新的 ICE 规范,因此 Office Communications Server 2007 R2 音频/视频边缘服务的端口要求已发生更改。有关在 Office Communications Server 2007 R2 中实现 ICE 的详细信息,请参阅本文档结尾处的“其他资源”部分。

A/V 边缘服务的端口安全性

A/V 边缘服务是由一项企业托管资源,因此出于安全和资源考虑,仅限授权用户进行访问是很重要的。

UDP 3478 和 TCP 443

客户端使用 UDP 3478 和 TCP 443 端口从 A/V 边缘服务请求服务。客户端使用这两个端口分别为远程用户分配 UDP 和 TCP 端口以进行连接。若要访问 A/V 边缘服务,客户端首先必须建立了已经过身份验证的 SIP 信号会话 Communicator 或会议控制台注册,然后才能获取 A/V 边缘服务身份验证凭据。这些值通过受 TLS 保护的信号通道发送,并由计算机生成以减少字典式攻击。然后,客户端可以将这些摘要式身份验证的凭据与 A/V 边缘服务一起使用,以分配在媒体会话中使用的端口。客户端发送初始分配请求,然后 A/V 边缘服务发送 401 现时/质询消息响应此请求。客户端发送第二个分配请求,其中包含用户名以及用户名和现时消息的哈希代码(哈希消息身份验证代码 (HMAC))。同时还提供序号机制以防止遭受重播攻击。服务器将基于自己了解的用户名和密码计算预期的 HMAC,如果 HMAC 值相匹配,则执行分配过程。否则,将丢弃数据包。这同一 HMAC 机制还适用于此呼叫会话中的后续消息。此用户名/密码值的最长生存期是八个小时,在这段时间内,客户端会重新获取新的用户名/密码以进行后续呼叫。

UDP/TCP 50,000– 59,999

这些端口范围可用于与 Office Communications Server 2007 伙伴进行的联盟媒体会话,这些伙伴需要 A/V 边缘服务提供的 NAT/防火墙穿越服务。由于 A/V 边缘服务是唯一使用这些端口的进程,因此端口范围的大小并不表示潜在的攻击面。最佳安全做法是始终通过停止运行不必要的网络服务,从而使侦听端口的总数减至最少。如果某项网络服务未运行,则远程攻击者就无法利用此服务,从而减少主机的受攻击面。但是,在单个服务中,减少端口数并不能提供同样的好处。A/V 边缘服务软件在使用 10,000 个开放端口时受到攻击的风险并不比在使用 10 个开放端口时受到攻击的风险大。此范围内的端口分配是随机的,当前未分配的端口不会侦听数据包。

A/V 边缘服务的 IP 地址要求

在 Office Communications Server 2007 R2 中,单个未使用负载平衡器的合并的边缘服务器可以将 NAT 用于所有这三个服务角色。这意味着,您无需向实际服务器提供公共可路由的 IP 地址,并且可以使用外围地址范围。但是,合并的边缘服务器的内部边缘不支持 NAT。

在硬件负载平衡器后面使用多台边缘服务器时,需要为硬件负载平衡器虚拟 IP 和 A/V 边缘服务分配公共地址。此地址必须提供直接可路由访问,以供客户端通过 Internet 访问 A/V 边缘。

由于为媒体会话寻址是在 IP 地址层(NAT 功能可在此处中断端到端连接)进行的,因此以上操作是必需的。对于边缘服务器,NAT 仅提供地址转换,它不会通过强制执行路由策略规则或检查数据包来提供任何安全性。NAT 提供的唯一潜在好处是掩盖服务器的 IP 地址,但尝试隐藏任何网络服务器的 IP 地址并不是提供安全性的可靠方法。需要通过使用适当关联的防火墙策略来限制客户端对指定侦听端口的访问,并禁用任何其他不必要的网络服务,从而保护所有边缘服务器。在遵守这些建议做法的情况下,使用 NAT 并不会提供任何其他好处。

远程用户的 A/V 通信穿越

若要允许远程用户和内部用户交换媒体,需要访问边缘服务来处理建立和关闭会话所需的 SIP 信号。同时还需要 A/V 边缘服务来充当媒体传输的中继。以下是图 1 中所示的呼叫顺序。

图 1. 使媒体能够穿越 NAT 和防火墙的呼叫顺序

Dd572409.ea464296-e516-40bf-938f-588e60e70dee(zh-cn,office.13).jpg

当远程用户呼叫内部用户时(这由此需要远程用户能够通过 A/V 边缘服务器发送语音或/和 VoIP),将按顺序发生以下事件:

  1. 远程用户通过登录 Office Communications Server 来建立经身份验证的 SIP 会话。在此经身份验证的、已加密的 SIP 会话环境中,用户可从 A/V 身份验证服务获取身份验证凭据。
  2. 远程用户向 A/V 边缘服务对自身进行身份验证,并获取服务器上的媒体会话端口(Office Communications Server 2007 R2 使用 3478/UDP)以供在将来的呼叫中使用。现在,远程用户可通过 A/V 边缘服务的公共 IP 地址上已分配的端口发送数据包,但仍无法在企业内部发送媒体数据包。
  3. 远程用户通过访问边缘服务提供的 SIP 信号通道呼叫内部用户。作为呼叫建立过程的一部分,将会通知内部用户有关远程用户可用来交换媒体的 A/V 边缘服务上的端口信息。
  4. 内部用户将联系 A/V 边缘服务,以便对其专用 IP 地址进行身份验证以接收媒体。内部用户还分配有 A/V 边缘服务公共地址上的端口(Office Communications Server 2007 R2 使用 3478/UDP),以供在媒体会话中使用。内部用户在接收端口后将再次通过访问边缘服务应答呼叫,从而通知远程用户它从 A/V 边缘服务获得的用于进行媒体交换的端口。

现在就完成了呼叫建立。内部和外部用户可以开始交换媒体。

简而言之,若要向企业内发送媒体,远程用户必须经过身份验证,并且需要已经过身份验证的内部用户的明确同意才能交换媒体流。与 Office Communications Server 2007 联盟的 Office Communications Server 2007 R2 继续使用范围为 50,000 – 59,999 UDP/TCP 的端口。涉及两个 Office Communications Server 2007 R2 伙伴的联盟将使用 3478/UDP。

端到端媒体的安全

用于协商媒体会话的信号通道使用 128 位的 TLS 加密进行保护,方式是验证服务器证书是否具有匹配的 FQDN 以及证书的颁发机构是否可信。此机制非常类似于电子商务网站用于在线交易的机制。为了保护媒体本身,Office Communications Server 实现了 IETF 的 SRTP 协议。这一机制通过安全信号通道使用 128 位密钥交换,然后两个终结点使用 128 位高级加密标准 (AES) 加密对媒体流进行加密和解密。这可确保即使在攻击者可以执行媒体路径的拦截式攻击时,攻击者也无法窃听对话或注入其他媒体数据包。在后一种情况下,客户端不过是丢弃一些数据包。