メディアの通過

音声ビデオ エッジ サービスのポートの要件

音声ビデオ エッジのポートおよびプロトコルに関する要件は、Office Communications Server 2007 R2 で変更されました。パートナー インフラストラクチャとのフェデレーションおよびエッジ サーバーの構成に関する要件に応じて、以下のポートを考慮する必要があります。

• UDP 3478
• TCP 443
• UDP 50,000 ～ 59,999
• TCP 50,000 ～ 59,999

Office Communications Server 2007 R2 は、ネットワーク アドレス変換 (NAT) 環境内の関係者とのメディア接続をネゴシエートする Interactive Connectivity Establishment (ICE) プロトコルのより新しいバージョンを実装しています。特定の実装の詳細については、「Microsoft Office Protocols Documents (Microsoft Office プロトコル ドキュメント)」(https://go.microsoft.com/fwlink/?LinkId=145173) を参照してください。新しい ICE 仕様のために、Office Communications Server 2007 R2 音声ビデオ エッジ サービスのポート要件は変更されました。Office Communications Server 2007 R2 での ICE の実装の詳細については、このドキュメントの最後にある追加リソースのセクションを参照してください。

音声ビデオ エッジ サービスのポートのセキュリティ

音声ビデオ エッジ サービスはエンタープライズ管理リソースであるため、セキュリティおよびリソースを考慮する場合、許可されたユーザーにアクセスを制限することが重要です。

UDP 3478 および TCP 443

UDP 3478 ポートおよび TCP 443 ポートは、クライアントが音声ビデオ エッジ サービスからサービスを要求するために使用します。クライアントは、これらの 2 つのポートを使用して、UDP ポートおよび TCP ポートを、接続するリモートの相手にそれぞれ割り当てます。音声ビデオ エッジ サービスにアクセスするには、クライアントは、まず認証済みの SIP 信号セッション Communicator または Meeting コンソール登録を確立し、音声ビデオ サービスの認証資格情報を取得する必要があります。これらの値は、TLS で保護された信号チャネルを越えて送信され、辞書攻撃を緩和するためにコンピュータにより生成されます。次に、クライアントは、音声ビデオ エッジ サービスとのダイジェスト認証にこれらの資格情報を使用して、メディア セッションで使用するポートを割り当てます。最初の割り当て要求がクライアントから送信され、音声ビデオ エッジ サービスから 401 nonce/チャレンジ メッセージで応答が送られます。クライアントは、ユーザー名、およびユーザー名と nonce の (ハッシュ メッセージ認証コード (HMAC)) ハッシュを含む 2 番目の割り当てを送信します。シーケンス番号メカニズムも、再生攻撃を防ぐために用意されています。サーバーは、ユーザー名とパスワードに関するサーバー自身の情報に基づき、予想される HMAC を計算します。HMAC 値が一致する場合には、割り当て手順が実行されます。それ以外の場合、パケットは削除されます。この同じ HMAC メカニズムは、この通話セッション内の以後のメッセージにも適用されます。このユーザー名/パスワード値の存続時間は最大 8 時間で、その時点でクライアントは以降の通話の新しいユーザー名/パスワードを再取得します。

UDP/TCP 50,000 ～ 59,999

これらのポート範囲は、音声ビデオ エッジ サービスからの NAT/ファイアウォール トラバーサル サービスを必要とする Office Communications Server 2007 パートナーとのフェデレーション メディア セッションに使用されます。音声ビデオ エッジ サービスは、これらのポートを使用する唯一のプロセスであるため、ポート範囲のサイズは潜在的な攻撃対象を示しません。セキュリティを保護するよい方法は、不要なネットワーク サービスを実行しないことで、リッスンするポートの総数を常に最少にすることです。ネットワーク サービスが実行されていない場合、リモートの攻撃者はそのサービスを不正使用できず、ホスト コンピュータの攻撃対象領域は縮小します。ただし、単一サービス内では、ポートの数を減らしても同じメリットは得られません。音声ビデオ エッジ サービス ソフトウェアでは、10 ポート開いている場合より 10,000 ポート開いている場合の方が攻撃が少なくなるということはありません。この範囲内のポートの割り当てはランダムに実行され、現在割り当てられていないポートではパケットはリッスンされません。

音声ビデオ エッジ サービスの IP アドレスの要件

Office Communications Server 2007 R2 では、ロード バランサを使用しない単一の統合エッジ サーバーが、3 つすべてのサービス役割に対して NAT を使用できます。つまり、実際のサーバーに対してパブリック ルーティング可能な IP アドレスを用意する必要はなく、境界アドレス範囲を使用できます。ただし、NAT は、統合エッジ サーバーの内部エッジに対してサポートされていません。

ロード バランサ機器の背後で複数のエッジ サーバーを使用する場合、ロード バランサ機器の仮想 IP および音声ビデオ エッジ サービスに対してパブリック アドレスを割り当てる必要があります。インターネットで音声ビデオ エッジにアクセスするクライアントに対し、直接ルーティング可能なアクセスを与える必要があります。

NAT 機能が存在することでエンド ツー エンド接続を解除できる IP アドレス層で、メディア セッションのアドレス処理が実行されるため、これは必須です。エッジ サーバーの場合、NAT はアドレス変換のみ提供し、ルーティング ポリシー ルールの実施またはパケット検査によるセキュリティは提供しません。NAT が提供する唯一の潜在的なメリットは、サーバーの IP アドレスを不明瞭にすることですが、ネットワーク サーバーの IP アドレスを隠そうとしても、セキュリティを確実に提供する方法にはなりません。適切に関連付けられたファイアウォール ポリシーを使用して、クライアントのアクセスを指定したリッスン ポートに制限することによって、また、その他の不要なネットワーク サービスを無効にすることによって、すべてのエッジ サーバーをセキュリティで保護する必要があります。これらの推奨プラクティスを順守していれば、NAT が存在することで得られる追加のメリットはありません。

リモート ユーザーの音声ビデオ トラフィックの通過

リモート ユーザーと内部ユーザーがメディアを交換できるようにするには、セッションの設定と切断に必要な SIP 信号を処理するアクセス エッジ サービスが必要です。また、音声ビデオ エッジ サービスを、メディアの転送のためのリレーとして機能させる必要があります。図 1 に、呼び出しシーケンスを示します。

リモート ユーザーが内部ユーザーを呼び出し、音声ビデオ エッジ サーバーを使用して音声、VoIP、またはその両方を送信できるようにする必要がある場合、次の順序でイベントが実行されます。

1. リモート ユーザーが、Office Communications Server にサインインすることで、認証済みの SIP セッションを確立します。この認証済みの暗号化された SIP セッションのコンテキスト内で、ユーザーは、音声ビデオ認証サービスから認証資格情報を取得できます。
2. リモート ユーザーが、音声ビデオ エッジ サービスにより認証され、次の呼び出しで使用するサーバーのメディア セッション ポートを取得します (Office Communications Server 2007 R2 は 3478/UDP を使用します)。この時点で、リモート ユーザーは、音声ビデオ エッジ サービスのパブリック IP アドレスの割り当てられたポートを使用してパケットを送信できますが、エンタープライズ内にメディア パケットを送信することはまだできません。
3. リモート ユーザーが、アクセス エッジ サービスが提供する SIP 信号チャネルを使用して内部ユーザーを呼び出します。呼び出しのセットアップの一環として、リモート ユーザーがメディアを交換するのに使用できる音声ビデオ エッジ サービスのポートについて内部ユーザーに通知されます。
4. 内部ユーザーが、プライベート IP アドレスで音声ビデオ エッジ サービスに連絡し、メディアを受信するために認証されます。内部ユーザーにも、メディア セッションで使用する、音声ビデオ エッジ サービスのパブリック アドレスのポートが割り当てられます (Office Communications Server 2007 R2 は 3478/UDP を使用します)。内部ユーザーは、ポートを受信した後、アクセス エッジ サービスを再び使用して呼び出しに応答し、メディア交換のために音声ビデオ エッジ サービスで取得したポートをリモート ユーザーに通知します。

これで、呼び出しのセットアップは完了です。内部ユーザーと外部ユーザーがメディアの交換を開始します。

要約すると、リモート ユーザーがエンタープライズ内にメディアを送信するには、リモート ユーザーは認証される必要があり、また認証済みの内部ユーザーにメディア ストリームを交換することに明示的に同意してもらう必要があります。Office Communications Server 2007 とフェデレーションを行う Office Communications Server 2007 R2 は、ポート範囲 50,000 ～ 59,999 の UDP/TCP を継続して使用します。Office Communications Server 2007 R2 の 2 者が関係するフェデレーションでは、3478/UDP が使用されます。

エンド ツー エンド メディアのセキュリティ

メディア セッションのネゴシエートに使用される信号チャネルは、128 ビット TLS 暗号化と、サーバー証明書に一致する FQDN および信頼された機関があるかどうかの検証によって保護されます。このメカニズムは、電子商取引サイトがオンライン トランザクションのために使用するメカニズムと非常によく似ています。メディア自体をセキュリティで保護するために、Office Communications Server は IETF の SRTP プロトコルを実装しています。このメカニズムでは、セキュリティで保護された信号チャネル上で 128 ビット キー交換が使用されます。2 つのエンドポイントは、128 ビットの Advanced Encryption Standard (AES) 暗号化を使用してメディア ストリームを暗号化および復号化するために、この 128 ビット キー交換を使用します。これにより、攻撃者がメディア パスの "man-in-the-middle" 攻撃を実行できる場合でも、攻撃者は、会話の盗聴や追加のメディア パケットの挿入はできません。後者の場合、クライアントは単純にパケットを削除します。