OCS 2007 進階系列 - 安全機制探討 馮立偉 台灣微軟特約講師.

Slides:



Advertisements
Similar presentations
Web Role 的每台虚机运行有 IIS ,用于处理 Web 请求 Worker Role 用于运行后台进程 Cloud Service 是什么? 支持多层架构的应用容器 由多个 Windows 虚拟机集群构成 集群有两种类型: Web 和 Worker Cloud Service 做什么 进行应用的自动化部署.
Advertisements

应用技术 陕西华辉科技有限公司.
泛舆情管理平台 ——助力媒体业务创新 新模式 新格局 创新盈利增长点 2/26/2017 1:59 AM 屈伟: 创始人,总裁
中国银行业前置端操作系统移植研究.
3/3/ :01 PM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.
NAP – 高可靠性,高安全性兼备的新一代网络安全接入解决方案
请点击以下链接下载WinHEC的演讲材料
借助公有云实现游戏的弹性运营 Shaun Fang (方兴) Azure开发技术顾问
Windows Hyper-V与集群共享卷
Customer Service & Support
请点击以下链接下载WinHEC的演讲材料
1. 设定愿景,确定业务场景 Microsoft Corporation
广东省广州市花都区教育局教研室 汤少冰 优化评估方式, 促进中学英语的教与学 广东省广州市花都区教育局教研室 汤少冰
張書源 Microsoft MVP MCT 趨勢科技 技術經理 網酷科技 資深顧問 集英信誠 資深顧問
Office 2013 全新功能介紹 台灣微軟 Office 大使 楊承恩 Marcus Microsoft Office
講師姓名:黃信嘉、黃振宇 職稱:微軟技術支援副理 公司名稱:台灣微軟 課程代碼:WCL305
四川省集体林权流转平台 中国西部林权交易网
全国信息技术标准化技术委员会 (SAC/TC28)工作交流
Windows 10 混合现实 Mingfei Yan 高级项目经理
W371 如何使网络设备更好的和Windows Vista工作
MBL 340 Tablet PC SDK:在您的应用程序中使用数字墨水
資料檔案的安全性管理 羅英嘉 2007年4月.
今天很高兴能够利用Web Cast和大家讲解嵌入式XP的新增功能。
什麼是電子軟體下載 Electronic Software Download (ESD).
OFC 302 InfoPath2007新特性及解决方案.
最新 Windows Server 徽标 要求和计划
Windows Mobile 轻松接轨GPS
Microsoft Office SharePoint Server 2007 事件追蹤與專案管理
SOLUTIONACCELERATORS Windows Vista Hardware Assessment 1
MSG 321 统一消息架构和PBX集成.
朝雲端專業DBA邁進: 深入剖析 Windows Azure SQL Database 完整資料庫管理、雲端報表建立、建置分散式雲端資料庫
利用最新Hyper-V Replica 功能達成Hyper-V 災難備援機制
Windows Server 2008 NAP整合802.1x網路安全控管
互聯網安全資訊 助您達至更安全的網上體驗.
服務啟用、導入流程、 郵件移轉步驟簡介 Microsoft Office 12/2/2018
MBL 325 开发跨平台的 Windows Mobile应用程序
MBL 327 Windows Mobile开发中的异构系统集成
Cameron Brodeur Program Manager US-Device & Storage PM
David Edfeldt Senior Program Manager Windows Logo Program
构建 Windows TV Tuner 产业 生态环境的重要观点
微软新一代云计算 面向企业的 Office 365 客户培训大纲
1/2/ :39 PM 讀經 以弗所書 4:31-32 © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may.
使徒行傳 21:17-23章「保羅的見證(一)」 引言 預言保羅為主的名受許多的苦難的實現
2/24/2019 5:40 AM © 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.
Exchange 2007 系統部署 -- 儲存預測與測試
教师课堂教学能力提升培训 ---“互联网+教育”考勤小测验 Plickers 洛阳理工学院
Microsoft SQL Server 2008 報表服務_設計
利用 ASP.NET MVC 提升您的 Web 應用程式


橫跨電腦、手機與軟體的全方位端點管控解決方案
请点击以下链接下载WinHEC的演讲材料
CON223 UDDI:服务的发现和搜索.
呂政周 精誠恆逸教育訓練處 資深講師 Windows PowerShell 呂政周 精誠恆逸教育訓練處 資深講師
使用WPF创建Windows应用和Web应用
4/30/2019 7:40 AM 約翰福音 15:9;17:20-23 加拉太書 6:1-2 © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product.
DEV 343 VS2005超快速开发方案/EEP2006控件包.
5/4/2019 4:42 PM © 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.
使徒行傳 24-26章 [ 保羅的見證(二)] 徒9:15 “  主 對 亞 拿 尼 亞 說 、 你 只 管 去 . 他 是 我 所 揀 選 的 器 皿 、 要 在 外 邦 人 和 君 王 並 以 色 列 人 面 前 、 宣 揚 我 的 名 。 ”]
TechEd /6/ :36 PM © 2013 Microsoft Corporation. All rights reserved. Microsoft, Windows, and other product names are or may be registered trademarks.
Windows 徽标计划工具:综述与发展趋势
5/5/2019 7:06 PM 两跨框架梁截面配筋图的绘制 © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may.
顧武雄 台灣微軟特約資深講師 Exchange 2007 管理工具活用秘訣 Entry Slide
百万亿次超级计算机诞生记 姓名 Xiangyu Ye 职务 微软中国技术中心资深HPC顾问 公司 微软中国
5/15/2019 姓名: 公司名称: 云赛空间BP模板 Now let’s take a look at who we are, what we’re doing and why we’re doing it in China... This is an image of a technology.
DEV 343 VS2005超快速开发方案/EEP2006控件包.
MGT 213 System Management Server的昨天,今天和明天
Bob Combs Lead Program Manager Microsoft Corporation
Ron Jacobs 高级技术专员 Microsoft
Windows Workflow Foundation CON 230
Presentation transcript:

OCS 2007 進階系列 - 安全機制探討 馮立偉 台灣微軟特約講師

需先有初步認知 Level 300 MTLS TLS Edge Servers SIP, RTP, PSOM NTLM, Kerberos Certificates Level 300

議程 說明 OCS 2007 各階段通訊如如何運作 說明 OCS 2007 各項安全元件如何運作 說明 Edge servers 如何提升與外部使用者溝 通時之安全性

Trustworthy Computing Overview Trustworthy by design 以 Security Development Lifecycle 為前提下進行開發 Trustworthy by default 通訊 – 訊號跟媒介 – 預設全部加密 (除了 mediation server 與 basic media gateway 之間) Trustworthy by deployment 在規劃及部署手冊中提供安全性最佳實務

Trustworthy Computing OCS 2007 Communications 面臨的風險 Compromised-key attack Network denial of service attack Eavesdropping Identity spoofing IP address spoofing Man-in-the-middle attack RTP replay attack SPIM Viruses and worms

OCS 2007 安全性基礎架構 Microsoft ® Active Directory ® Domain Service Public Key Infrastructure (PKI) Transport Layer Security (TLS), Mutual-TLS (MTLS), Secure Real-time Transport Protocol (SRTP) Industry-standard authentication protocols

OCS 2007 安全性基礎架構 Active Directory Objects Trusted Server List Active Directory Container Standard Edition servers and pool Front End Servers RTC Service/Global Settings Conferencing Servers RTC Service/Trusted MCUs Web Components Servers RTC Service/ TrustedWebComponentsServers Mediation Servers and Communicator Web Access Servers (also 3rd-party SIP servers) RTC Service/Trusted Services Proxy Servers RTC Service/Trusted Proxies

OCS 2007 安全性基礎架構 PKI, TLS, MTLS, SRTP Certificates are used for server authentication Valid certificate Issued by a trusted CA FQDN of server or load balancer VIP Server authentication EKU SIP, HTTP, PSOM protected by TLS or MTLS encryption Media protected by SRTP encryption Mediation server to gateway not encrypted

OCS 2007 安全性基礎架構 Trusted Connections

OCS 2007 安全性基礎架構 驗證 所有使用者都要驗證 – 包含匿名使用者 內部使用者使用 Kerberos 遠端使用者使用 NTLM 跟 Director 進行驗證 Access Edge 不會執行驗證但是會確認 SIP URIs 及 headers 匿名使用者使用摘要驗證及提供一個有效的會議 鑰匙 邦聯使用者由各自的企業進行驗證

OCS 2007 安全性基礎架構 強化核心架構 伺服器更新隨時保持最新 檢查安全性權限及委派管理權限 管控實體存取權限 停用不必要服務 保護資料伺服器

Edge Server 安全性 網際網路邊界 Edge servers 及 reverse proxy 控制存取經由企業 防火牆的流量

Edge Server 安全性 目錄服務 單一連接點 : SIP 流量進出企業 Access Edge 不要是網域成員 依據 SIP domain 強制 routing rules 確認傳入訊息的表頭 驗證遠端邦聯伺服器及驗證邦聯流量 傳弟流量到 Director 進行驗證 Access Edge 不要是網域成員

Edge Server 安全性 Ports 是一個讓媒體進出企業的受信任的連接點 External ports TCP/443, UDP/3478 For address allocation using A/V Edge server authentication credentials provided via SIP UDP/50,000-59,999, TCP/50,000-59,999 Single process using these ports – no increased attack surface Not listening on unused ports Allocation performed randomly within range

Edge Server 安全性 Web Conferencing 驗證 邦聯使用者由各自企業內部進行驗證 匿名使用者經由會議鎖匙及會議邀請中的進行驗證 資料部分的授權 token 及解密的鎖匙由 SIP 通道 中提供

Edge Server 安全性 防火牆及 port 只有 Access Edge 及 RP 起始內部連線 A/V Edge server addresses 必須是 publicly routable (不能 用 NAT) 細部說明在 OCS 2007 Edge Server 部署手冊 中

Edge Server 安全性 Reverse Proxy 通訊錄下載 群組展開 會議內容下載 針對 Microsoft® Internet Security and Acceleration (ISA) Server 2006 提供詳細設定步 驟

Edge Server 安全性 部署最佳實務 Deploy Edge servers 放置於專屬子網段以及控制 路由 實體隔離內外網路 移除不必要的服務

Mediation Server 安全性 於 Mediation server 及 gateway 之間的通訊沒有 加密 部署於實體安全環境

Web Components Server 安全性 Reverse Proxy 設定 請參閱 Edge Server 部署手冊 驗證 通訊錄下載 通訊全組展開 會議資料安全性 針對簡報下載提供內容加密及授權

憑證

甚麼是 TLS 及 MTLS? Transport Layer Security (TLS) Client 與 Server 間加密 Mutual Transport Layer Security (MTLS) Server 與 Server 間加密 TLS 需要憑證

OCS 如何使用 TLS 及憑證 ?

OCS 如何使用 MTLS 及 憑證 Pool1 Director MTLS MTLS AD 1/1/2019 11:06 PM ©2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

內部連接 Office Communicator Pool1 Director MTLS MTLS Active Directory 1/1/2019 11:06 PM 內部連接 Office Communicator Trusts the CA of the certificate used by the Director Pool1 Director MTLS MTLS Active Directory ©2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

遠端連接 DMZ* TLS Access Edge Firewall Remote user Pool1 Director MTLS 1/1/2019 11:06 PM 遠端連接 Firewall port 443 or 5061 Remote user Trusts the CA of the certificate used by the AP DMZ* Pool1 TLS Director MTLS MTLS Active Directory Access Edge * Perimeter network (also known as DMZ, demilitarized zone, and screened subnet) ©2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

1/1/2019 11:06 PM 直接邦聯 MTLS Enterprise A Enterprise B MTLS Communications Server 2007 Access Edge Communications Server 2007 Access Edge MTLS Communications Server 2007 Communications Server 2007 Communications Server clients Communications Server clients © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Public Instant Messaging Connectivity With MSN, AOL, Yahoo Enterprise A Communications Server 2007 Access Edge Live Communications Server 2005 Access Proxy MTLS MTLS Communications Server 2007 Live Communications Server client Live Communications Server client Live Communications Server client SIP Proxy Live Communications Server 2005 Access Proxy Federation uses Public SIP Namespace A Host Record _sip._federationtls._tcp SRV Record

Certificate Subject Name (1) Certificate Friendly Name Match DNS A Host record name Certificate Subject Alternative Name (SAN) Type = Server Authentication EKU Template similar to Secure Sockets Layer (SSL)/Web Certificate Need certificate chain Trust against a CA

Certificate Subject Name (2) Most confusing part with certificates Certificate Friendly Name must match: Fully qualified domain name “FQDN” of the Communications Server Standard Edition server FQDN of the Communications Server Enterprise Edition Pool A Host record in DNS

demonstration Understanding Digital Certificate Properties

進階憑證配置技巧 Collocated Edge Server Certificates Remote user access Federation Public Internet Connectivity A\V conferencing Web conferencing

甚麼是 Collocated Edge Server? 提供與外界的通訊 Access Edge A\V Edge Web Edge 不需要 Active Directory 不提供使用這驗證 只允許TLS 加密流量

所需之 DNS 配置 (Collocated Edge Server) External _sip._Federationtls for federation and PIC _sip._tls.company.com for tls external (remote) access An external DNS A record that resolves to the external name of the Web Conferencing Edge Server An external DNS A record that resolves to the external name of the A/V Edge Server This IP address must be a publicly routable IP address Internal An internal DNS A record that resolves the internal FQDN of the Edge Server to internal IP address of the Edge Server

設定內部 Edge of Collocated Edge 設定 IP addresses 指派憑證 單一, 共用憑證且目標名稱要跟 Edge Server 的 FQDN 一樣

設置外部 Edge of Collocated Edge (1) Configuring IP addresses Assigning certificates Access Edge - A certificate configured on the external interface with subject name that matches the external FQDN of the Edge Server

設置外部 Edge of Collocated Edge (2) 指派憑證 Web Conf Edge – 配置在外部介面上的憑證要和 Web Conferencing Edge Server外部 FQDN 一致 AV Edge – 不需要

Director 驗證及授權遠端使用者 把使用者導到所歸屬之伺服器 不放置任何使用者帳號 配置於 server pool 前端 提升 OCS home server 安全性 Edge Server 的下一個連接點

安裝及部署憑證 Certificate Wizard simplifies creating and assigning certificates to most Communications Server 2007 roles Support for external and internal servers The CA is selectable Certificates are created by default with exportable private keys (PKCS #12) Import/export operations are available

憑證授權中心 該使用哪種憑證授權? 公開 CA 私有 CA 公開 私有 不需要改變 Client 端配置: clients 端已信任 root CA 建議針對 : 遠端存取, 邦聯, 及 PIC 私有 CA 較能管控 沒有額外費用

Q&A

Resources OCS Security Guide http://www.microsoft.com/downloads/details.aspx?FamilyID=2d1ea693-25e0-43d9-8c5c-0822ef83955a&DisplayLang=en OCS Edge Server Deployment Guide http://technet.microsoft.com/en-us/library/bb880163.aspx OCS Planning Guide http://technet.microsoft.com/en-us/library/bb880158.aspx Security Development Lifecycle http://go.microsoft.com/fwlink/?linkid=68761

© 2007 Microsoft Corporation. All rights reserved © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. This document may contain information related to pre-release software, which may be substantially modified before its first commercial release. Accordingly, the information may not accurately describe or reflect the software product when first commercially released MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.