Office Communications Server 2007 R2 用のエンタープライズ VoIP における脅威への対応

トピックの最終更新日: 2012-02-01

エンタープライズ VoIP は、Office Communications Server ソフトウェアベースの VoIP ソリューションです。エンタープライズ VoIP では、内部通話と従来の電話網への接続の両方に対して VoIP が使用されます。IM などの内部 VoIP 通話はすべて暗号化されるため、VoIP 固有のセキュリティの問題は、暗号化されない公衆交換電話網 (PSTN) に対する発信通話および着信通話の転送に絞られます。

エンタープライズ VoIP では、PSTN との VoIP 接続を可能にするために次の 2 つのデバイスが必要になります。

• ローカル電話システムのシグナリング プロトコルを、IP ネットワーク上で転送するための SIP over TLS (推奨) または SIP over TCP (オプション) に変換するメディア ゲートウェイ。
• 必要に応じて内部ルーティングの SIP over TCP を SIP over TLS に変換できる Office Communications Server の役割の仲介サーバー。

注:
エンタープライズ VoIP は、基本的なメディア ゲートウェイ、基本的/ハイブリッド メディア ゲートウェイ、および高度なメディア ゲートウェイの 3 種類のメディア ゲートウェイをサポートしています。高度なメディア ゲートウェイでは、仲介サーバーのロジックがゲートウェイに適切に組み込まれるため、仲介サーバーが不要となりますが、このようなゲートウェイはまだ利用できません。ここでは、説明のために、展開で PSTN 接続用の仲介サーバーが必要であると仮定します。メディア ゲートウェイおよび仲介サーバーの詳細については、「計画とアーキテクチャ」のドキュメントの「エンタープライズ VoIP サポート」を参照してください。

TCP 用にメディア ゲートウェイと仲介サーバー間のリンクを構成することを選択した場合、信号が暗号化されないため、このリンクが潜在的なセキュリティの盲点になります。それにもかかわらず、現在利用できる多くのゲートウェイは MTLS をサポートしていないため、ゲートウェイをアップグレードできるようになるまで、仲介サーバーへの TCP 接続が必要な場合があります。この潜在的な脆弱性を緩和する推奨方法は、仲介サーバーに 2 つのネットワーク インターフェイス カードを取り付け、それぞれに個別サブネットの個別 IP アドレスおよび個別ポートを割り当てることで、仲介サーバーを独自のサブネットに展開することです。一方のカードは、仲介サーバーの内部境界として機能し、内部サーバーからの TLS トラフィックをリッスンします。もう一方のカードは、仲介サーバーの外部境界として機能し、メディア ゲートウェイからの TCP トラフィックをリッスンします。2 つの専用リッスン アドレスを使用することで、Office Communications Server ネットワーク内で発生した信頼できるトラフィックと、PSTN からの信頼性の低いトラフィックが常に明確に区別されます。