• Artículo

Hacer frente a las amenazas para las conferencias locales

Última modificación del tema: 2009-03-10

Office Communications Server 2007 R2 introduce la capacidad, para usuarios tanto internos como externos respecto al firewall de la organización, de crear y participar en conferencias web en tiempo real que se hospedan en servidores internos de Office Communications Server 2007 R2. Los usuarios internos también pueden invitar a usuarios externos que no disponen de una cuenta de los Servicios de dominio de Active Directory. Los usuarios de socios federados con una identidad segura y autenticada también pueden unirse a las conferencias y, si se les asciende, pueden actuar como moderadores. Los usuarios anónimos no pueden crear ni unirse a una conferencia como moderador pero, después de unirse, se les puede ascender a moderador.

Las conferencias web locales se fundamentan en el marco de seguridad básico de Office Communications Server:

  • Todos los servidores son de confianza.
  • Todas las conexiones de servidor son conexiones MTLS.
  • Todas las comunicaciones están cifradas.
  • Se realiza la autenticación de todos los usuarios.

Los servidores de conferencia A/V internos en una configuración de grupo de servidores expandida se conectan a los servidores front-end y los servidores de mediación sobre MTLS. Los servidores de conferencia web internos se conectan a los servidores front-end y al servicio perimetral de conferencia web sobre MTLS. En un servidor Standard Edition o en una configuración de grupo de servidores consolidada, los servidores de conferencia se combinan con servidores front-end, pero se sigue requiriendo MTLS para las comunicaciones entre los componentes combinados.

Al habilitar a los usuarios externos para participar en conferencias web locales, se incrementa considerablemente el valor de esta característica, pero esto también acarrea algunos riesgos en materia de seguridad. Para hacer frente a estos riesgos, Office Communications Server proporciona las siguientes medidas de seguridad adicionales:

  • Las funciones de los participantes determinan los privilegios para controlar las conferencias.
  • Los diversos tipos de participantes permiten limitar el acceso a determinadas reuniones.
  • Los tipos de reunión definidos determinan los tipos de participantes que pueden asistir.
  • La programación de conferencias se limita a los usuarios que tienen credenciales de Active Directory en la red interna y están habilitados para Office Communications Server 2007 R2.
  • Los usuarios anónimos, es decir, no autenticados, deben presentar una contraseña de conferencia única y superar la autenticación implícita para poder unirse a una reunión. Cada contraseña es específica de una conferencia.

Funciones de los participantes

Los participantes de las reuniones se dividen en tres grupos, cada uno con sus propios privilegios y restricciones:

  • Organizador. Es el usuario que crea una reunión, ya sea improvisada o programada. El organizador debe ser un usuario autenticado de la organización y tener el control de todos los aspectos relacionados con los usuarios finales de una reunión.
  • Moderador. Es el usuario que está autorizado para presentar la información en una reunión, utilizando para ello todos los medios que sean compatibles. Por definición, el organizador de una reunión es también moderador y puede decidir qué otros usuarios pueden ser moderadores. El organizador puede tomar esta decisión al programar una reunión o en el transcurso de la misma.
  • Asistente. Es un usuario que ha sido invitado a una reunión, pero que no está autorizado para actuar como moderador.

Un moderador también puede ascender a un asistente a la función de moderador durante la reunión.

Tipos de participantes

Los participantes de las reuniones también se agrupan según su ubicación y sus credenciales. Puede usar estas dos características para especificar qué usuarios tienen acceso a determinadas reuniones. En general, los usuarios se pueden dividir en internos y externos:

  • Los usuarios internos tienen credenciales de Active Directory en la empresa y se conectan desde ubicaciones que están dentro del firewall corporativo.
  • Los usuarios externos son los que se conectan de manera temporal o permanente a la empresa desde fuera del firewall corporativo. Podrían disponer de credenciales de Active Directory. Office Communications Server 2007 R2 proporciona compatibilidad con las conferencias a los siguientes tipos de usuarios externos:
    • Los usuarios remotos tienen una identidad de Active Directory persistente dentro de la empresa. Entre ellos, se encuentran los empleados que trabajan en casa o mientras viajan, y otros usuarios, como los empleados de proveedores de confianza, a los que se conceden credenciales corporativas durante el tiempo que dura su servicio. Los usuarios remotos pueden crear y participar en las conferencias y actuar de moderadores.
    • Los usuarios federados tienen credenciales válidas con socios federados, por lo que se les considera autenticados por Office Communications Server 2007 R2. Los usuarios federados pueden unirse a conferencias y ser ascendidos a moderador después de haberse unido, pero no pueden crear conferencias en las empresas con las que están federados.
    • Los usuarios anónimos no tienen identidad de Active Directory y no están federados con la empresa. Para las conferencias, los usuarios públicos se consideran usuarios anónimos.

Los datos obtenidos de clientes revelan que muchas conferencias cuentan con la participación de usuarios externos. Esos mismos clientes desean tener garantías sobre la identidad de los usuarios externos antes de permitir su participación en una conferencia. Tal y como se describe en la siguiente sección, Office Communications Server 2007 R2 limita el acceso a las reuniones a los tipos de usuario a los que se concede permiso de forma explícita. Además, exige que todos los tipos de usuario presenten las credenciales correspondientes en el momento de unirse a una reunión.

Tipos de reunión

Puede configurar Office Communications Server 2007 R2 de modo que admita reuniones que incluyen los siguientes tipos de usuario:

  • Solo usuarios internos. Si no se implementan servidores perimetrales, todos los participantes tienen identidades de Active Directory persistentes en la empresa y solo se pueden conectar desde dentro del firewall de la organización.
  • Solo usuarios autenticados. Todos los participantes tienen identidades de Active Directory en la empresa o en una empresa federada, y se pueden conectar desde dentro o fuera del firewall de la organización.

Las reuniones abiertas únicamente a los usuarios autenticados pueden ser de dos tipos:

  • Invitar dentro de la red. Todos los usuarios de la empresa se pueden unir a la reunión. Se incorporan como asistentes salvo que el organizador de la reunión los haya nombrado moderadores. Los usuarios federados pueden unirse a la reunión como asistentes si los invita el organizador. Los usuarios federados no pueden unirse a la reunión como moderadores, pero se les puede ascender a moderador en el transcurso de la misma.
  • Invitar dentro de la red (Restringido). Solo los usuarios con credenciales de Active Directory válidas en la empresa que figuran en las listas de moderadores y asistentes del organizador pueden asistir a una reunión restringida a invitados autenticados. Por ejemplo, un grupo de trabajo o una unidad de negocio podría utilizar esta designación para sus reuniones periódicas programadas. Los usuarios federados y anónimos no pueden unirse a este tipo de reunión.
  • Invitar a alguien. Es una reunión a la que se puede invitar a usuarios anónimos. Para crear una reunión de este tipo, el organizador debe estar autorizado a invitar a usuarios anónimos. Los usuarios de la empresa se unen a la reunión como asistentes, a menos que el organizador de la reunión los haya nombrado moderadores. Los usuarios anónimos solo pueden unirse a la reunión como asistentes, pero el organizador de la reunión los puede ascender a moderadores una vez que se han incorporado. Para unirse a una reunión, los usuarios anónimos deben presentar una clave de conferencia, que reciben en una invitación por correo electrónico. También deben superar la autenticación implícita. Para obtener información detallada sobre la autenticación implícita, vea Autenticación de Office Communications Server 2007 R2.