Lync Server Encryption and Security

امروز می خواهیم درباره چگونگی ساختار امنیت سرور Lync و چگونگی داشتن یک ارتبط امن را در شبکه Lync بررسی کنیم.

برای بررسی این مسئله تعدادی نکته وجود دارد که در ادامه به تحلیل و توضیح آن ها می پردازیم.

-TLS and MTLS for Lync Server :

پروتکل های Transport Layer Security (TLS) و Multiplexed Transport Layer Security (MTLS) پروتکل هایی هستند که از آنها برای Encrypt کردن ترافیک و ارتباطات شبکه Lync و همین طور Encrypt کردن مرحله Authentication استفاده می شود. Lync Server با استفاده از این دو پروتکل یک شبکه امن (Trusted Network) ایجاد می کند که سیستم ها و سرور هایی را که به آنها Trust دارد و از فعالیت سالم آنها مطمئن است را در آن Network قرار می دهد که تمام ترافیک داخل این شبکه کاملا Encrypt شده می باشد.

همانطور که می دانید Lync Server برای کاربران خود و ارتباط آنها با خارج و داخل سازمان و همینطور برای کار با دستگاه های PBX و IP-PBX از اکانت هایی به نام SIP Account استفاده می کند که به هر کاربر که در داخل Lync Server تعریف شده باشد اختصاص داده می شود. ارتباط SIP ها با هم و ارتباط سرور ها با هم توسط پروتکل امنیتی MTLS برقرار می شود و ارتباط بین کلاینت ها با سرور نیز بوسیله پروتکل امنیتی TLS انجام می شود.

با استفاده از TLS کلاینت ها میتوانند با استفاده از برنامه Lync client با SIP Account خود به Lync Server متصل شوند. در هنگام برقراری ارتباط کلاینت از سرور درخواست Certificate میکند تا بتواند Authenticate شود. برای اینکه کلاینت کورد نظر بتواند Certificate را از سرور Lync دریافت کند و از آن برای  Encrypt کردن ارتباط استفاده نماید آن Certificate باید توسط CA ایجاد شده باشد که کلاینت به آن Trust داشته باشد. و همچنین باید بین DNS Name تنظیم شده روی Certificate و DNS Name سرور Lync حتما Trust وجود داشته باشد. در غیر اینصورت کلاینت نمی تواند Authenticate شود.

حال اگر Certificate دریافت شده Valid باشد کلاینت از Public Key داخل Certificate استفاده می کند تا ارتباط خود با سرور را Encrypt کند و در ادامه فقط Owner اصلی Certificate میتواند ارتباط را Decrypt کند.

حال بعد از اینکه ارتباط کلاینت ها با سرور را بررسی کردیم اکنون به سراغ ارتباط Server-to-Server میرویم و آن را مورد بررسی و تحلیل قرار می دهیم.

در ارتباط Server-to-Server از پروتکل MTLS برای برقراری ارتباط و Encrypt کردن آن استفاده می شود. ساختار ارتباطی پروتکل امنیتی MTLS به این شکل است که سرور مبدا یک پیام را برای سرور مقصد ارسال می کند و سرور مقصد مبنی بر آن پیام Certificate را برای سرور مبدا ارسال میکند. Encrypt کردن ارتباط در این پروتکل متفاوت با TLS میباشد به این شکل که در TLS شما انتخابی برای تعیین متد رمز نگاری دیتا ندارید ولی در MTLS میتوانید نوع رمز نگاری را انتخاب کنید. به طور مثال میتوانید تعیین کنید که رمز نگاری توسط MD5 انجام شود یا SH1.

CA که این Certificate را Issue میکند لازم نیست که در دامین یکسان با Lync Server قرار بگیرد و میتواند در یک شبکه دیگر و یا دامین دیگر که به هم متصل هستند باشد. این دو پروتکل امنیتی همچنین از دو حمله هکر ها که عمدتا به سرور های Lync انجام می شود نیز جلوگیری می کنند که عبارتند از:

1-eavesdropping

2-man-in-the middle attack

در حمله eavesdropping هکر ها  از لایه Network استفاده کرده و به سیستمها و اطلاعات انتقالی دسترسی پیدا میکنند و میتوانند آنها را Capture کنند. در حمله man-in-the middle attack نیز هکر ها با reroute کردن یا به اصطلاح تغییر مسیر یابی سرور ها Packet ها را Capture میکنند و نمیگذارند که اطلاعات به مقصد برسند.

خوشبختانه کار کردن TLS و MTLS با Lync Server کمک زیادی به این قضیه کرده و تهدیدات man-in-the middle attack بوسیله روش end-to-end Encryption تا حد زیادی کاهش یافته است.

در شکل ذیل یک سناریوی کامل از یک شبکه Lync امن را می بینید.