Crittografia per Lync Server 2010

 

Ultima modifica dell'argomento: 2012-10-17

In Microsoft Lync Server 2010 vengono utilizzati i protocolli TLS e MTLS per crittografare i messaggi istantanei. Tutto il traffico server-server richiede MTLS, indipendentemente dal fatto che il traffico sia limitato alla rete interna o ne attraversi il perimetro. TLS è facoltativo, ma consigliato tra il Mediation Server e il gateway multimediale. Se in questo collegamento è configurato TLS, è necessario MTLS. Il gateway deve pertanto essere configurato con un certificato di una CA considerata attendibile dal Mediation Server.

I requisiti per il traffico client-client variano a seconda che tale traffico attraversi o meno il firewall aziendale interno. Nel traffico esclusivamente interno è possibile utilizzare TLS, nel qual caso i messaggi istantanei vengono crittografati, oppure TCP, nel qual caso i messaggi non vengono crittografati.

Nella tabella seguente vengono riepilogati i requisiti relativi ai protocolli per ogni tipo di traffico.

Protezione del traffico

Tipo di traffico Protetto da

Server-server

MTLS

Client-server

TLS

Messaggistica istantanea e informazioni sulla presenza

TLS (se configurato per TLS)

Audio e video e condivisione desktop di elementi multimediali

SRTP

Condivisione desktop (segnalazione)

TLS

Web Conferencing

TLS

Download del contenuto delle riunioni, download della Rubrica, espansione dei gruppi di distribuzione

HTTPS

Crittografia multimediale

Il traffico multimediale viene crittografato tramite SRTP (Secure RTP), un profilo del protocollo RTP (Real-Time Transport Protocol) che garantisce riservatezza, autenticazione e protezione da attacchi di tipo replay per il traffico RTP. SRTP utilizza una chiave della sessione generata dal servizio di autenticazione del Media Relay in risposta a un'autenticazione riuscita della richiesta del server (per conto dei partecipanti della sessione multimediale). La chiave della sessione viene protetta con il nome utente e la password negoziati presentati al servizio di autenticazione del Media Relay dai Front End Server e inviati ai partecipanti sul canale SIP protetto tramite TLS. La decrittografia della chiave della sessione protetta con il nome utente e la password utilizzati dal servizio del Media Relay e forniti in modo protetto tramite il certificato TLS dei partecipanti e il canale SIP protetto consente ai partecipanti di decrittografare il flusso SRTP. Anche il contenuto multimediale trasferito in entrambe le direzioni tra il Mediation Server e l'hop successivo interno viene crittografato tramite il protocollo SRTP. Il contenuto multimediale trasferito in entrambe le direzioni tra il Mediation Server e un gateway multimediale non viene crittografato. Il Mediation Server è in grado di supportare la crittografia per il gateway multimediale, ma il gateway deve supportare MTLS e l'archiviazione di un certificato.

Nota

La funzionalità Audio/Video (A/V ) è supportata con la nuova versione di Windows Live Messenger. Se si implementa la federazione A/V con Windows Live Messenger, è inoltre necessario modificare il livello di crittografia di Lync Server. Per impostazione predefinita, il livello di crittografia è Required. È necessario cambiare questa impostazione in Supported utilizzando Lync Server Management Shell. Per informazioni dettagliate, vedere Effettuare la preparazione per supportare la connettività di messaggistica istantanea pubblica nella documentazione relativa alla distribuzione.
Il traffico multimediale audio e video non viene crittografato tra Microsoft Lync 2010 e i client Windows Live.

FIPS

Lync Server 2010 e Microsoft Exchange Server 2010 Service Pack 1 (SP1) funzionano con il supporto per gli algoritmi Federal Information Processing Standard (FIPS) 140-2 se i sistemi operativi Windows Server 2008 Service Pack 2 (SP2) e Windows Server 2008 R2 sono configurati per l'utilizzo degli algoritmi FIPS 140-2 per la crittografia di sistema. Per implementare il supporto FIPS, è necessario configurare ogni server che esegue Lync Server 2010 in modo da supportarlo. Per informazioni dettagliate sull'utilizzo degli algoritmi compatibili con FIPS e su come implementare il supporto FIPS, vedere l'articolo 811833 della Microsoft Knowledge Base relativo agli effetti dell'abilitazione dell'impostazione di sicurezza "Crittografia di sistema: utilizza algoritmi FIPS compatibili per crittografia, hash e firma" in Windows XP e nelle versioni successive di Windows all'indirizzo http://support.microsoft.com/kb/811833/it-it. Per informazioni dettagliate sul supporto di FIPS 140-2 e sulle limitazioni in Exchange 2010, vedere Exchange 2010 SP1 e supporto per algoritmi compatibili con FIPS all'indirizzo http://go.microsoft.com/fwlink/?linkid=205335&clcid=0x410.