メディアの通過

音声ビデオ エッジ サービスのポートの要件

音声ビデオ エッジのポートおよびプロトコルの要件は、Microsoft Lync Server 2010 で変更されました。パートナーのインフラストラクチャとのフェデレーションの要件とエッジ サーバーの構成に応じて、次のポートを検討する必要があります。

• UDP 3478

• TCP 443

• UDP 50,000 ～ 59,999

• TCP 50,000 ～ 59,999

ポートの構成およびネットワーク アドレス変換 (NAT) の要件の詳細については、「計画」のドキュメントの「外部の音声ビデオ ファイアウォールおよびポートの要件の決定」を参照してください。

Lync Server 2010 では、Interactive Connectivity Establishment (ICE) プロトコルを実装し、そのプロトコルを NAT 環境内のパーティとのメディア接続のネゴシエートに使用します。特定の実装の詳細については、「Microsoft Office Protocols Documents」(https://go.microsoft.com/fwlink/?linkid=145173&clcid=0x411) を参照してください。

音声ビデオ エッジ サービスのポートのセキュリティ

音声ビデオ エッジ サービスは、エンタープライズ管理リソースです。したがって、セキュリティとリソースを考慮して、アクセスは承認済みユーザーのみに限定することが重要です。

UDP 3478 と TCP 443

クライアントは、UDP 3478 と TCP 443 ポートを使用して、音声ビデオ エッジ サービスに対してサービスを要求します。クライアントは、これら 2 つのポートを使用して、接続先リモート パーティの UDP ポートと TCP ポートをそれぞれ割り当てます。音声ビデオ エッジ サービスにアクセスするには、クライアントは、まず認証済みの SIP シグナリング セッション Lync 登録を確立して、音声ビデオ エッジ サービス認証資格情報を取得する必要があります。これらの値は、TLS で保護されたシグナリング チャネルを経由して送信されます。また、辞書攻撃を緩和するためにコンピューターによって生成されます。クライアントは、これらの資格情報を音声ビデオ エッジ サービスとのダイジェスト認証に使用して、メディア セッションで使用するポートを割り当てます。最初の割り当て要求はクライアントから送信され、音声ビデオ エッジ サービスは、その要求に対して 401 ナンス/チャレンジ メッセージを返します。クライアントは 2 番目の割り当て (ユーザー名と、ユーザー名とナンスから生成された HMAC (ハッシュ メッセージ認証コード) ハッシュを含む) を送信します。また、再生攻撃を防止するためにシーケンス番号メカニズムも用意されています。サーバーは、ユーザー名とパスワードについてサーバー側で所有する情報を基に HMAC を計算し、両方の HMAC 値が一致すると、割り当て手順が実行されます。両方の HMAC 値が一致しない場合は、パケットは削除されます。この HMAC メカニズムは、この通話セッションの後続のメッセージにも適用されます。このユーザー名/パスワード値の有効期間は最大 8 時間です。8 時間を経過すると、クライアントは、新しいユーザー名/パスワードを再取得して、それ以降の通話で使用します。

UDP/TCP 50,000 ～ 59,999

TCP 50,000 アウトバウンドは、Lync Server でのアプリケーションとデスクトップの共有、ファイル送信、Windows Live Messenger 2011 ポイントツーポイント音声ビデオ機能などに使用されます。UDP/TCP 50,000 ～ 59,999 のポート範囲は、音声ビデオ エッジ サービスからの NAT/ファイアウォール トラバーサル サービスを必要とする Microsoft Office Communications Server 2007 パートナーとのメディア セッションに使用されます。音声ビデオ エッジ サービスはこれらのポートを使用する唯一のプロセスなので、ポート範囲のサイズは攻撃を受ける危険性と一致しません。セキュリティを強化するには、不要なネットワーク サービスの実行を避け、リッスン ポートの総数を常に最小限に抑えるのが適切です。ネットワーク サービスが実行されていなければ、リモートの攻撃者はネットワーク サービスを利用できないため、ホスト コンピューターが攻撃される可能性は低下します。ただし、単一のサービス内でポート数を減らしても同じ効果は得られません。音声ビデオ エッジ サービス ソフトウェアが攻撃される可能性は、10,000 個のポートを開いている場合も 10 個のポートを開いている場合も同じです。この範囲内でのポートの割り当てはランダムに実行され、現在割り当てられていないポートはパケットをリッスンしません。詳細については、「計画」のドキュメントの「外部の音声ビデオ ファイアウォールおよびポートの要件の決定」を参照してください。

音声ビデオ エッジ サービスの IP アドレスの要件

Lync Server 2010 では、エッジ サーバーは、アクセス エッジ サービス、Web 電話会議エッジ サービス、および音声ビデオ エッジ サービスの 3 種類のエッジ サービスを実行する単一のサーバーです。ロード バランサーを使用しないエッジ サーバーでは、これら 3 つのサービスの役割に対して NAT を使用できます。つまり、実際のサーバーにパブリックにルーティング可能な IP アドレスを用意する必要はなく、境界アドレス範囲を使用できます。ただし、NAT は、エッジ サーバーの内部エッジに対してはサポートされません。

ロード バランサー機器の背後で複数のエッジ サーバーを使用する場合は、ロード バランサー機器の仮想 IP と音声ビデオ エッジ サービスに対してパブリック アドレスを割り当てる必要があります。パブリック アドレスを使用することで、インターネット経由で音声ビデオ エッジにアクセスするクライアントに対して、直接ルーティング可能なアクセスを提供する必要があります。DNS ロード バランサーの背後で複数のエッジ サーバーを使用する場合は、各外部アドレスに対して個々にパブリック アドレスを割り当てる必要があります。

こうした対応が求められる理由は、メディア セッションのアドレス処理が IP アドレス層で行われることにあります。IP アドレス層では NAT 機能によってエンドツーエンド接続が切断されます。エッジ サーバーの場合、NAT はアドレス変換のみを提供し、ルーティング ポリシー ルールやパケット検査を通じてのセキュリティは提供されません。サーバーの IP アドレスを隠蔽できることが NAT の唯一の利点として考えられますが、ネットワーク サーバーの IP アドレスを隠蔽することが、セキュリティを強化する確実な方法であるとは言えません。すべてのエッジ サーバーで、適切に関連付けられたファイアウォール ポリシーを利用して、指定されたリッスン ポート以外にクライアントがアクセスできないように制限し、他の不要なネットワーク サービスを無効にする必要があります。これらの推奨される対応策に従う限り、サーバーの IP アドレスを隠蔽できること以外に NAT から得られる利点はありません。

外部ユーザーの音声ビデオ トラフィックのトラバース

外部ユーザーと内部ユーザーの間でメディアを交換できるようにするには、セッションのセットアップおよび切断に必要な SIP シグナリングを処理するアクセス エッジ サービスが必要です。また、音声ビデオ エッジ サービスをメディア転送用のリレー機能として使用する必要もあります。次の図に、呼び出しシーケンスを示します。

NAT とファイアウォールのメディアのトラバースを有効にする呼び出しシーケンス

外部ユーザーが内部ユーザーを呼び出して、音声ビデオ エッジ サーバーから音声、VoIP、またはその両方を送信できるようにする必要がある場合、次の順序で処理が実行されます。

1. この認証済みの暗号化された SIP セッションのコンテキストで、ユーザーは音声ビデオ認証サービスに SIP SERVICE 要求を送信して、認証資格情報を取得します。

2. 外部ユーザーが音声ビデオ エッジ サービスに認証され、次の呼び出しで使用するサーバーのメディア セッション ポートを取得します (Lync Server 2010 は 3478/UDP と 443/TCP を使用します)。この時点で、外部ユーザーは、割り当てられているポートと音声ビデオ エッジ サービスのパブリック IP アドレスを使用してパケットを送信できますが、エンタープライズ内にメディア パケットを送信することはできません。

3. 外部ユーザーは、アクセス エッジ サービスが提供する SIP シグナリング チャネルを使用して内部ユーザーを呼び出します。呼び出しのセットアップの一環として、外部ユーザーは、メディアの交換に使用できる音声ビデオ エッジ サービスのポートを内部ユーザーに通知します。

4. 内部ユーザーは、音声ビデオ エッジ サービスにそのプライベート IP アドレスを使用して連絡し、メディアを受信するための認証を受けます。また、内部ユーザーにも、メディア セッション用の音声ビデオ エッジ サービスのパブリック アドレスでポートが割り当てられます (Lync Server 2010 は 3478/UDP と 443/TCP を使用します)。内部ユーザーはこのポートを受信した後、再度アクセス エッジ サービスを使用して呼び出しに応答し、メディア交換用に音声ビデオ エッジ サービスで取得したポートを外部ユーザーに通知します。

5. これで、呼び出しのセットアップは完了です。内部ユーザーと外部ユーザーの間でメディアの交換が開始されます。

簡単に説明すると、エンタープライズにメディアを送信するには、外部ユーザーの認証が必要で、既に認証されている内部ユーザーとの間でメディア ストリームの交換について明示的に同意する必要があります。Lync Server 2010 は TCP 50,000 ～ 59,999 アウトバウンドを使用します。Office Communications Server 2007 パートナーとフェデレーションを構成する Lync Server 2010 は引き続き、50,000 ～ 59,999 UDP/TCP のポート範囲を使用します。Lync Server 2010 パートナーまたは Office Communications Server 2007 R2 パートナーを含むフェデレーションでは、3478/UDP、443/TCP、および TCP 50,000 ～ 59,999 アウトバウンドを使用します。

エンドツーエンド メディアのセキュリティ

メディア セッションのネゴシエートに使用されるシグナリング チャネルは、128 ビット TLS 暗号化によってだけでなく、サーバー証明書に一致する FQDN と信頼できる証明機関があるかどうかの確認も併用して保護されます。このメカニズムは、電子商取引サイトがオンライン トランザクションで使用するメカニズムと似ています。メディア自体のセキュリティを強化するために、Lync Server 2010 は IETF の SRTP プロトコルを実装しています。このメカニズムでは、セキュリティで保護されたシグナリング チャネル上で 128 ビット キー交換を使用します。2 つのエンドポイントでは、この 128 ビット キー交換を使用して、128 ビット高度暗号化標準 (AES) 暗号化を利用したメディア ストリームの暗号化と復号化を行います。これにより、攻撃者がメディア パスの "man-in-the-middle" 攻撃を実行できる場合でも、会話が盗聴されたり、悪意のあるメディア パケットが挿入されたりすることを防止できます。悪意のあるメディア パケットはクライアント側で削除されます。