Распространенные угрозы безопасности в современном компьютерном миреCommon security threats in modern day computing

Так как Скайп для Business Server 2015 — это система communications корпоративного класса, следует иметь в виду из распространенных угроз безопасности, которые могут повлиять на его инфраструктуры и обмена информацией.Because Skype for Business Server 2015 is an enterprise-class communications system, you should be aware of common security attacks that could affect its infrastructure and communications.

Атака с использованием скомпрометированного ключаCompromised-Key Attack

Ключ — это секретный код или число, используемые для шифрования, расшифровки или проверки секретных сведений. В инфраструктуре открытых ключей есть два важных ключа, которые требуют пристального внимания.A key is a secret code or number that is used to encrypt, decrypt, or validate secret information. There are two sensitive keys in use in public key infrastructure (PKI) that must be considered: .

  • Закрытый ключ, который есть у каждого владельца сертификатаThe private key that each certificate holder has

  • Ключ сеанса, который используется после успешной идентификации и обмена ключами сеансов между участниками обмена даннымиThe session key that is used after a successful identification and session key exchange by the communicating partners

Атака с использованием скомпрометированного ключа происходит, когда злоумышленнику удается получить закрытый ключ или ключ сеанса. После этого он может использовать полученный ключ для расшифровки зашифрованных данных без ведома отправителя.A compromised-key attack occurs when the attacker determines the private key or the session key. When the attacker is successful in determining the key, the attacker can use the key to decrypt encrypted data without the knowledge of the sender.

Скайп для Business Server использует функции PKI в операционной системе Windows Server для защиты ключевые данные, используемые для шифрования для подключений безопасности TLS (Transport Layer).Skype for Business Server uses the PKI features in the Windows Server operating system to protect the key data used for encryption for the Transport Layer Security (TLS) connections. Ключи, используемые для шифрования, передаются по каналам TLS.The keys used for media encryption are exchanged over TLS connections.

Атака отказа в обслуживании сетиNetwork Denial-of-Service Attack

Атаки типа "отказ в обслуживании" происходит, когда он запрещает использование обычной сети и функции, допустимые пользователи.The denial-of-service attack occurs when the attacker prevents normal network use and function by valid users. Для этого злоумышленник отправляет службе большое количество формально допустимых запросов, которые мешают работе с ней нормальных пользователей.This is done when the attacker floods the service with legitimate requests that overwhelm the use of the service by legitimate users. С помощью атаки типа "отказ в обслуживании" злоумышленник может выполнить перечисленные ниже задачи.By using a denial-of-service attack, the attacker can do the following:

  • Отправка недействительных данных приложениям и службам, работающим в атакуемой сети, для нарушения их нормальной работы.Send invalid data to applications and services running in the attacked network to disrupt their normal function.

  • Отправка больших объемов трафика, перегружающего систему, пока она не прекратит реагировать на нормальные запросы либо время реакции не замедлится.Send a large amount of traffic, overloading the system until it stops responding or responds slowly to legitimate requests.

  • Сокрытие следов атаки.Hide the evidence of the attacks.

  • Нарушение доступа пользователей к ресурсам сети.Prevent users from accessing network resources.

Прослушивание (сканирование, слежение)Eavesdropping (Sniffing, Snooping)

Прослушивание возникает, когда он получает доступ к данным пути в сети и имеет возможность отслеживать и прочитайте трафика.Eavesdropping can occur when an attacker gains access to the data path in a network and has the ability to monitor and read the traffic. Это также calledsniffing orsnooping.This is also calledsniffing orsnooping. Если трафик передается в виде обычного текста, злоумышленник может прочитать его, получив доступ к каналу обмена данными.If the traffic is in plain text, the attacker can read the traffic when the attacker gains access to the path. Примером такой атаки является контроль маршрутизатора в составе такого канала.An example is an attack performed by controlling a router on the data path.

Рекомендации по умолчанию и параметров для передачи данных в Скайп для Business Server является использование mutual TLS (MTLS) между доверенных серверов и протокол TLS от клиента на сервер.The default recommendation and setting for traffic within Skype for Business Server is to use mutual TLS (MTLS) between trusted servers and TLS from client to server. Такая защитная мера существенно затруднит атаку или сделает ее невозможной в рамках периода, в течение которого осуществляется обмен информацией.This protective measure would make an attack very difficult or impossible to achieve within the time period in which a given conversation occurs. При работе по протоколу TLS производится проверка подлинности всех участников и шифруется весь трафик.TLS authenticates all parties and encrypts all traffic. Это не защищает от прослушивания, однако злоумышленнику не удастся прочитать передаваемые данные, если только он не взломает систему шифрования.This does not prevent eavesdropping, but the attacker cannot read the traffic unless the encryption is broken.

Протокол TURN не требует шифрования трафика, и отправляемая с его использованием информация защищается посредством контроля целостности сообщений. Хотя этот протокол открыт для прослушивания, передаваемые по нему данные (IP-адреса и порт) можно получить непосредственно путем простого анализа исходного и конечного адресов пакета. Пограничная служба аудио- и видеоданных проверяет действительность информации посредством контроля целостности сообщений с помощью ключа, основанного на нескольких элементах, включая пароль TURN, который никогда не передается в виде простого текста. При использовании протокола SRTP также шифруются мультимедийные данные.The Traversal Using Relay NAT (TURN) protocol does not mandate the traffic to be encrypted and the information that it is sending is protected by message integrity. Although it is open to eavesdropping, the information it is sending (that is, the IP addresses and port) can be extracted directly by simply looking at the source and destination addresses of the packets. The A/V Edge service ensures that the data is valid by checking the Message Integrity of the message by using the key derived from a few items, including a TURN password, which is never sent in clear text. If Secure Real Time Protocol (SRTP) is used, media traffic is also encrypted.

Подделка подлинности (спуфинг IP-адреса)Identity Spoofing (IP Address Spoofing)

Спуфинг происходит, когда он определяет и использует IP-адрес сети, компьютера или сетевой компонент без авторизованных для этого.Spoofing occurs when the attacker determines and uses an IP address of a network, computer, or network component without being authorized to do so. Успешная атака позволяет злоумышленнику действовать под видом субъекта, обладающего допустимым IP-адресом.A successful attack allows the attacker to operate as if the attacker is the entity normally identified by the IP address. В контексте Скайп для Business Server в этом случае вступает в действие только в том случае, если администратору выполненная оба следующих:Within the context of Skype for Business Server, this situation comes into play only if an administrator has done both of the following:

  • Настроил подключения, поддерживающие только протокол TCP (делать этого не рекомендуется, так как данные, передаваемые по протоколу TCP, не шифруются).Configured connections that support only Transmission Control Protocol (TCP) (which is not recommended, because TCP communications are unencrypted).

  • Отметил IP-адреса участников таких подключений как надежные узлы.Marked the IP addresses of those connections as trusted hosts.

Эта проблема менее актуальна для подключений по протоколу TLS, так как при обмене данными по этому протоколу производится проверка подлинности всех участников и шифрование всей информации.This is less of a problem for Transport Layer Security (TLS) connections, as TLS authenticates all parties and encrypts all traffic. Использование TLS не позволяет злоумышленнику выполнить IP-спуфинг для определенного подключения (например, для соединений, оба участника которых работают по этому протоколу).Using TLS prevents an attacker from performing IP address spoofing on a specific connection (for example, mutual TLS connections). Однако злоумышленник может по-прежнему сымитировать адреса DNS-сервера, который использует Скайп для Business Server.But an attacker could still spoof the address of the DNS server that Skype for Business Server uses. Тем не менее так как проверка подлинности в Скайп для бизнеса выполняется с помощью сертификатов, он не будет действующего сертификата, необходимое подделка одна из сторон в связь.However, because authentication in Skype for Business is performed with certificates, an attacker would not have a valid certificate required to spoof one of the parties in the communication.

Атака "злоумышленник в середине"Man-in-the-Middle Attack

В середине атаки происходит, когда он перенаправляет обмена данными между двумя пользователями через компьютер его независимо от двух взаимодействии пользователей.A man-in-the-middle attack occurs when an attacker reroutes communication between two users through the attacker's computer without the knowledge of the two communicating users. В результате злоумышленник получает возможность контролировать и просматривать трафик перед его отправкой предполагаемому получателю.The attacker can monitor and read the traffic before sending it on to the intended recipient. Каждый из участников обмена данными на самом деле обменивается трафиком со злоумышленником, думая при этом, что информация передается второму пользователю.Each user in the communication unknowingly sends traffic to and receives traffic from the attacker, all while thinking they are communicating only with the intended user. Такая ситуация может возникнуть, если злоумышленнику удается внести изменения в доменные службы Active Directory и добавить свой сервер в качестве доверенного либо изменить систему доменных имен (DNS) таким образом, чтобы клиенты подключались к серверу через компьютер злоумышленника.This can happen if an attacker can modify Active Directory Domain Services to add his or her server as a trusted server or modify Domain Name System (DNS) to get clients to connect through the attacker on their way to the server. Атака "злоумышленник в середине" также может возникнуть при пересылке мультимедийных данных между двумя клиентами.A man-in-the-middle attack can also occur with media traffic between two clients. Тем не менее в Скайп для Business Server точка-точка аудио-, видео и общий доступ к приложениям, потоки шифруются с SRTP, с помощью ключей шифрования, согласованных между одноранговыми узлами, использующих Session Initiation Protocol (SIP) через TLS.However, in Skype for Business Server point-to-point audio, video, and application sharing, streams are encrypted with SRTP, using cryptographic keys that are negotiated between the peers that are using Session Initiation Protocol (SIP) over TLS. На серверах (например, сервере группового чата) для дополнительной защиты сетевого трафика используется протокол HTTPS.Servers such as Group Chat make use of HTTPS to enhance the security of web traffic.

Атака с воспроизведением RTPRTP Replay Attack

Атаки происходит, когда перехвачены и повторно злоумышленников передачи допустимый мультимедиа между двумя сторонами.A replay attack occurs when a valid media transmission between two parties is intercepted and retransmitted for malicious purposes. Защитить передаваемые данные от атаки с воспроизведением можно с помощью протокола SRTP в сочетании с протоколом безопасного обмена сигналами, которые позволяют получателю вести учет уже полученных пакетов RTP и сравнивать каждый новый пакет с уже имеющимися в списке.SRTP used in connection with a secure signaling protocol protects transmissions from replay attacks by enabling the receiver to maintain an index of already received RTP packets and compare each new packet with those already listed in the index.

Нежелательные мгновенные сообщенияSpim

Нежелательные мгновенные сообщения — нежелательные коммерческие мгновенные сообщения или подписки присутствия запросов.Spim is unsolicited commercial instant messages or presence subscription requests. Хотя такие сообщения сами по себе не нарушают безопасность сети, они как минимум раздражают пользователей, ухудшают их доступность и производительность и в перспективе могут привести к нарушению сетевой безопасности.While not by itself a compromise of the network, it is annoying in the least, can reduce resource availability and production, and can possibly lead to a compromise of the network. Примером является отправка пользователями нежелательных запросов друг другу.An example of this is users spimming each other by sending requests. Чтобы избавиться от таких запросов, пользователи могут блокировать друг друга, однако защититься от скоординированной атаки нежелательными мгновенными сообщениями в федеративной среде сложно без отключения федерации партнера.Users can block each other to prevent this, but with federation, if a coordinated spim attack is established, this can be difficult to overcome unless you disable federation for the partner.

Вирусы и червиViruses and Worms

Вирус — это блок кода, который предназначен для воспроизведения единицы дополнительный, следующий код.A virus is a unit of code whose purpose is to reproduce additional, similar code units. Для работы вирусу нужен носитель, например файл, сообщение электронной почты или программа.To work, a virus needs a host, such as a file, email, or program. Aworm — это блок кода, который предназначен для воспроизведения единицы дополнительный, следующий код, но не обязательно места размещения.Aworm is a unit of code whose purpose is to reproduce additional, similar code units, but it does not need a host. Вирусы и черви в основном появляются при обмене файлами между клиентами, а также при получении URL-адресов от других пользователей.Viruses and worms primarily show up during file transfers between clients or when URLs are sent from other users. Если вирус находится на компьютере, он может, например, использовать идентификационные данные хозяина для отправки мгновенных сообщений от его имени.If a virus is on your computer, it can, for example, use your identity and send instant messages on your behalf.

Личные сведенияPersonally Identifiable Information

Скайп для Business Server имеет возможность раскрывать данные через общедоступную сеть, который может быть связано с конкретным.Skype for Business Server has the potential to disclose information over a public network that might be able to be linked to an individual. Сведения можно отнести к двум категориям.The information types can be broken down to two specific categories:

  • Данные о присутствии улучшенной Расширенное присутствие data содержит сведения, которые пользователь может выбрать для совместного использования или не совместной работы на ссылку для федеративного партнера или с контактами в организации.Enhanced presence data Enhanced presence data is information that a user can choose to share or not share over a link to a federated partner or with contacts within an organization. Эти данные не передаются пользователям в общедоступной сети обмена мгновенными сообщениями.This data is not shared with users on a public IM network. Администратор может в определенной мере контролировать доступ к такой информации с помощью политик и других настроек клиентов.Client policies and other client configuration may put some control with the system administrator. В Скайп для Business Server расширенный режим конфиденциальности присутствия можно настроить для каждого отдельного пользователя предотвратить просмотр сведений о присутствии пользователя Скайп для бизнес-пользователи не в список контактов другого пользователя.In Skype for Business Server, enhanced presence privacy mode can be configured for an individual user to prevent Skype for Business users not on the user's Contacts list from seeing the user's presence information. Расширенный режим конфиденциальности присутствия не запрещает пользователям Microsoft Office Communicator 2007 и Microsoft Office Communicator 2007 R2 видеть сведения о присутствии пользователя.Enhanced presence privacy mode does not prevent users of Microsoft Office Communicator 2007 and Microsoft Office Communicator 2007 R2 from seeing a user's presence information. Для получения дополнительных сведений о развертывании клиента и сведения о присутствии видеть Развертывание клиентов для Скайп для Business Server 2015 и спланировать обмен мгновенными сообщениями и присутствия в Скайп для Business Server 2015.For details about deploying the client and presence, see Deploy clients for Skype for Business Server 2015 and Plan for instant messaging and presence in Skype for Business Server 2015.

  • Обязательные данные Обязательные данные, необходимые для правильной работы сервера или клиента, а не в управления администрирования клиентов или системы.Mandatory data Mandatory data is required for the proper operation of the server or the client and is NOT under the control of the client or system administration. Это сведения, которые необходимы на уровне сервера или сети для осуществления маршрутизации, поддержки состояния и передачи сигналов.This is information that is necessary at a server or network level for the purposes of routing, state maintenance, and signaling.

В таблицах ниже приведены данные, которые доступны в общедоступной сети.The following tables list the data that is exposed over a public network.

Расширенное присутствие данныхEnhanced Presence Data

Раскрытие данныхData Disclosed Возможные значенияPossible Settings
Личные данныеPersonal Data
ФИО, должность, организация, адрес электронной почты, часовой поясName, Title, Company, Email Address, Time Zone
Номера телефоновTelephone Numbers
Рабочий, мобильный, домашнийWork, Mobile, Home
Данные календаряCalendar Information
Доступность, уведомление об отсутствии в городе, сведения о собраниях (для пользователей, имеющих доступ к календарю)Free/Busy, Out-Of-Town Notice, Meeting Details (to those who have access to your calendar)
Состояние присутствияPresence Status
Отсутствует, доступен, занят, не беспокоить, не в сетиAway, Available, Busy, Do Not Disturb, Offline

Обязательные данныеMandatory Data

Раскрытие данныхData Disclosed Сведения о примереExample Information
IP-адресIP Address
Фактический адрес компьютера или адрес NATActual address of computer or NATed address
Универсальный код ресурса SIPSIP URI
jeremylos@litwareinc.comjeremylos@litwareinc.com