TLS und MTLS für Lync Server 2013

 

Thema Letzte Änderung: 07.11.2013

Die Protokolle „Transport Layer Security“ (TLS) und „Mutual Transport Layer Security“ (MTLS) bieten eine verschlüsselte Kommunikation und Endpunktauthentifizierung im Internet. Microsoft Lync Server 2013 verwendet diese beiden Protokolle, um das Netzwerk vertrauenswürdiger Server zu erstellen und sicherzustellen, dass die gesamte Kommunikation über dieses Netzwerk verschlüsselt ist. Die gesamte SIP-Kommunikation zwischen Servern findet über MTLS statt. SIP-Kommunikation vom Client zum Server findet über TLS statt.

MIT TLS können Benutzer über ihre Clientsoftware die Lync Server 2013-Server authentifizieren, mit denen sie eine Verbindung herstellen. Bei einer TLS-Verbindung fordert der Client vom Server ein gültiges Zertifikat an. Damit das Zertifikat gültig ist, muss es von einer Zertifizierungsstelle ausgestellt sein, die auch für den Client vertrauenswürdig ist, und der DNS-Name des Servers muss dem DNS-Namen auf dem Zertifikat entsprechen. Wenn das Zertifikat gültig ist, verwendet der Client den öffentlichen Schlüssel im Zertifikat, um die symmetrischen Verschlüsselungsschlüssel, die für die Kommunikation verwendet werden, zu verschlüsseln, sodass nur der ursprüngliche Eigentümer des Zertifikats seinen privaten Schlüssel für die Entschlüsselung der Inhalte der Kommunikation verwenden kann. Die daraus resultierende Verbindung ist vertrauenswürdig und wird von diesem Punkt an nicht von anderen vertrauenswürdigen Servern oder Clients angezweifelt. In diesem Zusammenhang kann Secure Sockets Layer (SSL) bei der Verwendung mit Webdiensten als TLS-basiert zugeordnet werden.

Server-zu-Server-Verbindungen nutzen MTLS für die gegenseitige Authentifizierung. Bei einer MTLS-Verbindung tauschen der Server, von dem eine Nachricht stammt, und der Server, der diese empfängt, Zertifikate von einer beiderseits vertrauenswürdigen Zertifizierungsstelle aus. Die Zertifikate beweisen jedem Server die Identität des anderen. In Lync Server 2013-Bereitstellungen werden von der Unternehmenszertifizierungsstelle ausgestellte Zertifikate, die sich während ihres Gültigkeitszeitraums befinden und nicht von der ausstellenden Zertifizierungsstelle widerrufen werden, automatisch von allen internen Clients und Servern als gültig angesehen, da alle Mitglieder einer Active Directory-Domäne der Unternehmenszertifizierungsstelle in dieser Domäne vertrauen. In Verbundszenarien muss die ausstellende Zertifizierungsstelle für beide Verbundpartner vertrauenswürdig sein. Jeder Partner kann auf Wunsch eine andere Zertifizierungsstelle verwenden, solange diese Zertifizierungsstelle auch für den anderen Partner vertrauenswürdig ist. Diese Vertrauenswürdigkeit wird am einfachsten erreicht, wenn die Edgeserver das Zertifikat der Stammzertifizierungsstelle des Partners in den vertrauenswürdigen Stammzertifizierungsstellen haben oder eine Zertifizierungsstelle von Drittanbietern verwendet wird, die für beide Beteiligte vertrauenswürdig ist.

TLS und MTLS tragen dazu bei, Abhörvorgänge und Man-in-Middle-Angriffe zu vermeiden. Ein Man-in-the-Middle-Angriff leitet die Kommunikation zwischen zwei Netzwerkeinheiten ohne Wissen einer der beiden Parteien über den Computer des Angreifers um. TLS- und Lync Server 2013-Spezifikation vertrauenswürdiger Server (nur die im Topologie-Generator angegebenen) mindern das Risiko eines Man-in-the-Middle-Angriffs teilweise auf der Anwendungsebene, indem die End-to-End-Verschlüsselung verwendet wird, die mithilfe der Public Key-Kryptografie zwischen den beiden Endpunkten koordiniert wird, und ein Angreifer müsste über ein gültiges und vertrauenswürdiges Zertifikat mit dem entsprechenden privaten Schlüssel verfügen und an den Namen des Diensts ausgegeben werden, an den der Client zur Entschlüsselung kommuniziert die Kommunikation. Letztendlich müssen Sie jedoch bewährte Sicherheitsmethoden für Ihre Netzwerkinfrastruktur (in diesem Fall Unternehmens-DNS) befolgen. Lync Server 2013 geht davon aus, dass der DNS-Server auf die gleiche Weise vertrauenswürdig ist, wie Domänencontroller und globale Kataloge vertrauenswürdig sind, aber DNS bietet einen Grad der Sicherheit vor DNS-Hijack-Angriffen, indem verhindert wird, dass der Server eines Angreifers erfolgreich auf eine Anforderung an den gefälschten Namen reagiert.

Die folgende Abbildung zeigt auf hoher Ebene, wie Lync Server 2013 MTLS verwendet, um ein Netzwerk vertrauenswürdiger Server zu erstellen.

Vertrauenswürdige Verbindungen in einem Lync Server-Netzwerk