BảovệtriểnkhaiOCS
Ngu
ồ
n:quantrimang.com
Deb Shinde
r
Quản trị mạng - Office Communications Server (OCS) là giải pháp truyền thông
hợp nhất của Microsoft cho các doanh nghiệp, nhưng tất cả các triểnkhai truyền
thông hợp nhất (ứng dụng thoại video, IM, truyền tải file và ứng dụng chia sẻ)
đều yêu cầu đến sự bảo mật. Chính vì vậy, trong bài này chúng tôi muốn đề cập
đến vấn đề này và sẽ giới thiệu đến những tính năng bảo mật của OCS, những
lự
a chọn cấu hình cho cách thức thực hành bảo mật tốt nhất cùng với đó là các
giải pháp phần mềm tích hợp (từ Microsoft và các hãng thứ ba) nhằm bổ sung
thêm độ bảo mật cho OSC.
Hệ thống truyền thông hợp nhất hiện có chứa những điểm yếu dễ bị tấn công
như hiện tượng giả mạo địa chỉ IP, nhận dạng, RTP replay cũng như
viruses/worms, hoặc hi
ện tượng nghe trộm và các tấn công từ chối dịch vụ
(DoS). Vì sự tự tin và tính toàn vẹn của truyền thông là cực kỳ quan trọng đối với
doanh nghiệp của bạn nên vấn đề bảovệ chống lại các mối đe dọa này là cực kỳ
cần thiết.
Các tính năng bảo mật trong OCS 2007
OCS 2007 cung cấp nhiều tính năng bảo mật mà LCS 2005 không có, cụ thể
như sau:
• VoIP doanh nghiệp
• IM đa nhóm
• Hội thảo cho phép người không có các chứng chỉ của doanh nghiệp có thể
tham gia.
Thêm vào đó các tính năng như sự hỗ trợ hiện diện và liên đoàn cũng đã được
cải thiện và nâng cao.
Microsoft đã nhắm đến nhiều thách thức bảo mật bằng các tính năng kèm theo.
Sự bảo mật tốt nhất vẫn là bảo mật đa khía cạnh, chính vì vậy framework bảo
mật được xây dựng trên OCS có nhiều thành ph
ần.
Active Directory
Bảo mật máy chủ Windows trong một miền được xây dựng trên Active Directory,
OCS sử dụng Active Directory để lưu các thiết lập toàn cục (được sử dụng bởi
nhiều máy chủ OCS trong một forest), dữ liệu nhận dạng các role của máy chủ
OCS và các thiết lập người dùng.
Bạn phải chuẩn bị Active Directory cho OSC bằng cách mở rộng lược đồ để có
các lớp và thuộc tính của OSC, tạo các đối tượ
ng và thuộc tính OSC, “add” các
điều khoản trên các đối tượng trong mỗi miền. Bạn có thể thực hiện bằng một
trong hai cách: sử dụng công cụ dòng lệnh LcsCmd.exe trên OCS CD, hoặc sử
dụng công cụ triểnkhai Setup.exe cho OCS 2007. Công cụ dòng lệnh có thể
được chạy từ xa. Còn công cụ triểnkhai có giao diện đồ họa và các wizard
hướng dẫn bạn thông qua mỗi nhiệm vụ.
Các bước cụ thể để chuẩn bị Active Directory gồm có:
• Schema (chạy một lần)
• Forest (chạy một lần)
• Domain (chạy trên miền nơi bạn triểnkhai OSC)
Thẩm định
OCS có thể sử dụng các giao thức thẩm định chuẩn của Windows, phụ thuộc
vào người dùng:
• Kerberos v5 là giao thức thẩm định an toàn nhất và được sử dụng cho các
máy khách bên trong với các chứng chỉ Active Directory.
• NTLM được sử dụng cho các máy khách bên ngoài LAN có các chứng chỉ
Active Directory.
• Giao thức Digest được sử dụng cho các máy khách hội thảo “on-premise”
bên ngoài LAN (không có các chứng chỉ Active Directory), mặc dù vậy các
máy này phải được mời vào sử dụng hội thảo này và phải được cung cấp
một khóa hội thảo hợp lệ.
Mã hóa mạng
Để bảovệ cho dữ liệu trao đổi trên mạng, OCS 2007 đã sử dụng sự mã hóa một
cách mặc định. Thẩm định điểm cuối và mã hóa được thực hi
ện bằng cách sử
dụng Transport Layer Security (TLS) và Mutual Transport Layer Security (MTLS).
Truyền thông SIP giữa các máy chủ (Server-to-server) sử dụng MTLS và truyền
thông SIP giữa máy khách vào chủ sử dụng TLS. Các giao thức này có thể bảo
vệ chống lại hiện tượng nghe trộm.
TLS và MTLS cũng được sử dụng để mã hóa các thông báo tức thì (IM). Mã hóa
TLS hoàn toàn mang tính tùy chọn cho IM giữa các máy khách bên trong mạng.
Sự truyền thông OSC với các máy chủ IM công cộng được mã hóa, mặc dù vậy
nó để cho nhà cung cấp IM mã hóa sự truyền thông giữa máy chủ
IM và máy
khách bên ngoài.
Secure Real-time Transport Protocol (SRTP) được sử dụng để mã hóa
streaming media. SRTP bảovệ dữ liệu RTP bằng cách bổ sung thêm sự thẩm
định, khả năng tin cậy và sự bảovệ replay.
Cơ sở hạ tầng khóa công
Thẩm định máy chủ cho OCS 2007 được dựa trên sự sử dụng các chứng chỉ số,
các chứng chỉ số này được phát hành bởi một CA tin cậy. Các CA này có thể
bên trong hoặc CA công (bạn có thể cầ
n đến một CA công nếu máy chủ OSC
cần truyền thông với các hệ thống bên ngoài LAN). OSC được thiết kế để làm
việc với cơ sở hạ tầng khóa công của Windows 2003 (PKI).
Với OCS, tất cả các chứng chỉ của máy chủ đều bị yêu cầu hỗ trợ Enhanced Key
Usage (EKU) để thẩm định các máy chủ. Điều này được sử dụng bởi MTLS. Các
chứng chỉ của máy chủ cũng phả
i có tối thiểu một điểm cung cấp Certificate
Revocation List (CRL).
Các tính năng bảo mật liên đoàn
Giống kẻ tiền nhiệm của nó, Live Communications Server 2005 (SP1), OCS
2007 cũng có khả năng cho liên đoàn với các nhà cung cấp IM lớn (MSN, Yahoo
và AOL). Bên cạnh đó cũng hỗ trợ khả năng nâng cao để cho phép các doanh
nghiệp ngang hàng được phát hiện bằng cách sử dụng bản ghi DNS SRV. OCS
2007 có một số tính năng mới cho chế độ liên đoàn. Các tính năng này là:
• Hạn chế về số lượng người dùng mà một doanh nghiệp có thể truyền
thông trên một chu kỳ thời gian đã được chỉ định. Vấn đề này được thiết
kế để ngăn chặn hiện tượng “directory harvesting” (tạm được dịch là xâm
nhập thư mục) do kẻ tấn công sử dụng nhiều tên người dùng khác để tìm
ra một tên hợp lệ.
• Hạn chế về tốc độ mà Access Edge Server sẽ chấp nhận các thông báo từ
một doanh nghiệp, được dựa trên sự phân tích lưu lượng.
Các quản trị viên có thể hạn chế sự truy cập bằng cách bổ sung thêm các miền
vào danh sách hạn chế, hoặc hóa các chứng chỉ ngang hàng thông qua kho lưu
trữ chứng chỉ.
Khóa các IM nguy hiểm hoặc không mong muốn
Bạn có thể sử dụng bộ lọc IM thông minh để khóa các IM có hại ho
ặc không
mong muốn cũng như sự truyền tải file. Có thể cấu hình các filter để sử dụng
tiêu chuẩn mà bạn muốn, để khóa một cách có lựa chọn và sự truyền tải file.
Cho ví dụ, bạn có thể khóa IM chứa các siêu liên kết hoặc có thể cho phép IM đi
qua với một siêu liên kết bị vô hiệu hóa. Có thể khóa các file với các phần mở
rộng cụ thể.
Điều chỉnh các máy chủ và máy khách
Máy chủ OSC, cùng v
ới các máy chủ khác trong cơ sở hạ tầng mạng của bạn
cần phải được điều chỉnh lại (hardening) bằng cách khóa cả hệ điều hành và các
ứng dụng nếu có thể. Bạn có thể thực hiện điều này thông qua Group Policy.
Các dịch vụ không được sử dụng trên các máy chủ của bạn cần phải được vô
hiệu hóa. Cơ sở dữ liệu SQL Server được sử
dụng để lưu các thông tin OSC
cần phải được bảo vệ. Nói một cách ngắn gọn, thực tiễn bảo mật mạng tốt nhất
được đề cao hơn khi bạn có một máy chủ OCS trong mạng. Và rõ ràng, tất cả
các máy chủ cần phải được cập nhật các bản vá bảo mật và các dấu hiệu virus
mới nhất.
Các máy khách cần phải được cấu hình bảo mật tốt nhất. Có th
ể sử dụng chính
sách nhóm của OSC để vô hiệu hóa các tính năng thích hợp và thiết lập máy
khách để mã hóa media. Cần phải nâng cấp để có được gói dịch vụ mới nhất để
cài đặt trên máy khách.
Không được quên các thiết bị OCS khác, chẳng hạn như hệ thống điện thoại
tương thích OSC. Có thể sử dụng Office Communications Server Software
Update Service để tự động nâng cấp tất cả các thiết bị truyền thông hợp nhất đã
được triểnkhai trong tổ chức.
Để đánh giá tất cả tình trạng sức khỏe của các máy chủ OCS 2007 và topo, có
thể download Office Communications Server 2007 Best Practices Analyzer
.
Các giải pháp bảo mật tích hợp của Microsoft
Vào tháng 6 vừa qua, Microsoft đã phát hành một phiên bản thử nghiệm
Forefront Security cho OSC. Đây là phiên bản mới nhất trong họ Forefront cho
các sản phẩm bảo mật doanh nghiệp và cho phép bạn có thể quét các phần
mềm mã độc bằng nhiều cỗ máy quét, lọc IM và file bằng từ khóa. Bên cạnh đó
nó cũng tự động nâng cấp các dấu hiệu và các cảnh báo của IM.
Forefront Security cho OCS được tích hợp với Access Edge role trong OCS
2007 phiên bả
n Enterprise, phiên bản này sẽ bảo đảm cho các thông báo đến và
đi từ các máy khách IM công bên ngoài và các mạng liên đoàn cũng như các vấn
đề truyền thông bên trong. Bạn có thể download phiên bản beta tại đây
.
Các add-on bảo mật của các nhóm thứ ba
Các sản phẩm bảo mật của các hãng thứ ba đã thiết kế để bảovệOCS 2007
gồm có:
• Trend Micro IM Security cho máy chủ truyền thông hợp nhất của Microsoft
• Akonix L7 Enterprise, bổ sung thêm chính sách hợp nhất và quản lý rủi ro
cho OSC
Kết luận
Microsoft OCS 2007 chính là câu trả lời của Microsoft cho các vấn đề truyền
thông hợp nhất. Nó vượt xa phạm vi của LCS 2005 và quản lý tất cả các kiểu
truyền thông thời gian thực, như VoIP và hội nghị. Trong thế giới đầy dẫy những
mối đe dọa ngày nay, các ứng dụng truyền thông hiện phải tồn tại giữa rất nhiều
hi
ểm họa liền kề cùng với đó là những lỗ hổng, chính vì vậy xem xét các vấn đề
bảo mật khi triểnkhaiOCS là một vấn đề quan trọng. Bài viết này đã cung cấp
cho các bạn một cách tổng quan về những xem xét vềbảo mật có liên quan với
OCS 2007.
. Bảo vệ triển khai OCS
Ngu
ồ
n:quantrimang.com
Deb Shinde
r
Quản trị mạng - Office Communications Server (OCS) là giải pháp truyền. nên vấn đề bảo vệ chống lại các mối đe dọa này là cực kỳ
cần thiết.
Các tính năng bảo mật trong OCS 2007
OCS 2007 cung cấp nhiều tính năng bảo mật mà