【51CTO獨(dú)家特稿】微軟的Microsoft OCS 2007 R2（Office Communications Server 2007 R2）目前得到了廣泛而深入的應(yīng)用，在使用過(guò)程中，提醒大家關(guān)注OCS系統(tǒng)的安全問(wèn)題，正確設(shè)置OCS系統(tǒng)，以避免如下的安全風(fēng)險(xiǎn)：

一、網(wǎng)絡(luò)拒絕服務(wù)攻擊：

拒絕服務(wù)攻擊是指攻擊者阻止有效用戶正常使用網(wǎng)絡(luò)的行為。通過(guò)發(fā)起拒絕服務(wù)攻擊，攻擊者可以：

◆向正在受到攻擊的網(wǎng)絡(luò)中運(yùn)行的應(yīng)用程序和服務(wù)發(fā)送無(wú)效數(shù)據(jù)，干擾它們的正常工作。

◆發(fā)送大量通信以造成系統(tǒng)過(guò)載，直到系統(tǒng)停止對(duì)合理請(qǐng)求作出響應(yīng)或?qū)侠碚?qǐng)求作出響應(yīng)的速度變得很慢。

◆隱藏攻擊證據(jù)。

二、盜取密鑰攻擊：

破解密鑰攻擊是指攻擊者破解密鑰的行為。密鑰是用于加密、解密或驗(yàn)證機(jī)密信息的機(jī)密代碼或數(shù)字。此密鑰對(duì)應(yīng)于與服務(wù)器關(guān)聯(lián)的證書(shū)。攻擊者在成功破解密鑰之后，可以使用此密鑰對(duì)已加密的數(shù)據(jù)進(jìn)行解密，而數(shù)據(jù)的發(fā)送者對(duì)此毫不知情。必須考慮以下兩種在公鑰基礎(chǔ)結(jié)構(gòu) (PKI) 中使用的機(jī)密密鑰：每個(gè)證書(shū)持有者都擁有的私鑰以及在成功識(shí)別身份后使用的會(huì)話密鑰（通信雙方交換會(huì)話密鑰）。

三、竊聽(tīng)：

竊聽(tīng)是指攻擊者獲取對(duì)網(wǎng)絡(luò)中數(shù)據(jù)路徑的訪問(wèn)權(quán)并能夠監(jiān)控和讀取通信內(nèi)容的行為。這也稱為監(jiān)聽(tīng)或窺探。如果通信內(nèi)容采用純文本形式，則攻擊者在獲取路徑的訪問(wèn)權(quán)之后即可讀取通信內(nèi)容。例如，通過(guò)控制數(shù)據(jù)路徑上的路由器進(jìn)行攻擊。Office OCS2007 R2 中有關(guān)通信的默認(rèn)建議做法和設(shè)置是，在可信服務(wù)器之間使用相互 TLS (MTLS) 并在從客戶端到服務(wù)器的通信中使用 TLS，從而使得在給定對(duì)話可能受到攻擊的時(shí)間段內(nèi)很難實(shí)現(xiàn)這種攻擊。TURN 協(xié)議不要求對(duì)通信進(jìn)行加密，其發(fā)送的信息由消息完整性保護(hù)。盡管信息易受到竊聽(tīng)攻擊，但也只需通過(guò)查看數(shù)據(jù)包的源地址和目標(biāo)地址即可直接提取所發(fā)送的信息（即 IP 地址和端口）。A/V 邊緣服務(wù)可通過(guò)檢查消息的消息完整性來(lái)確保數(shù)據(jù)有效，方法是使用從少數(shù)幾項(xiàng)（包括從不以明文格式發(fā)送的 TURN 密碼）派生的密鑰。

四、IP 地址欺騙：

欺騙攻擊是指攻擊者在未經(jīng)授權(quán)的情況下確定并使用網(wǎng)絡(luò)、計(jì)算機(jī)或網(wǎng)絡(luò)組件的 IP 地址的行為。一旦攻擊成功，攻擊者便可以假借 IP 地址通常標(biāo)識(shí)的實(shí)體的身份執(zhí)行操作。在 Office OCS2007 R2 的上下文中，此情況僅在管理員同時(shí)執(zhí)行完以下兩項(xiàng)操作時(shí)才會(huì)出現(xiàn)：

◆已配置僅支持傳輸控制協(xié)議 (TCP) 的連接（建議不要這樣做，因?yàn)?TCP 通信未經(jīng)過(guò)加密）。

◆必須將這些連接的 IP 地址標(biāo)記為受信任的主機(jī)。此操作對(duì)于傳輸層安全性 (TLS) 連接而言不成問(wèn)題，這是因?yàn)楦鶕?jù)定義，這些連接已經(jīng)過(guò)加密。

此預(yù)防措施可防止攻擊者在特定連接（例如，雙向 TLS 連接）上實(shí)施 IP 地址欺騙攻擊。不過(guò)，攻擊者仍可以對(duì) Office OCS使用的 DNS 服務(wù)器的地址實(shí)施欺騙攻擊。盡管此欺騙攻擊對(duì) Office OCS構(gòu)成了威脅，但服務(wù)器沒(méi)有任何辦法來(lái)防止此類攻擊。防止此類攻擊需要在 IT 基礎(chǔ)結(jié)構(gòu)和網(wǎng)絡(luò)級(jí)別采取一些緩解措施。

五、中間人攻擊：

中間人攻擊是指攻擊者在兩個(gè)通信用戶不知情的情況下通過(guò)其計(jì)算機(jī)重新路由二者之間的通信的行為。攻擊者可以在將通信內(nèi)容發(fā)送到預(yù)期接收人之前監(jiān)控和讀取通信內(nèi)容。進(jìn)行通信的每個(gè)用戶在不知情的情況下向攻擊者發(fā)送通信內(nèi)容和接收來(lái)自攻擊者的通信內(nèi)容，還以為自己只是在與預(yù)期用戶進(jìn)行通信。如果攻擊者對(duì) Active Directory 域服務(wù)進(jìn)行修改以將其服務(wù)器添加為受信任的服務(wù)器，或?qū)τ蛎到y(tǒng) (DNS) 進(jìn)行修改以使客戶端通過(guò)攻擊者連接到服務(wù)器，則會(huì)出現(xiàn)此情況。此外，攻擊者可以對(duì)兩個(gè)客戶端之間的媒體通信實(shí)施中間人攻擊，只不過(guò)在 Office OCS2007 R2 中，點(diǎn)對(duì)點(diǎn)媒體流是通過(guò) SRTP 進(jìn)行加密的（使用的加密密鑰是由使用 SIP over TLS 的雙方協(xié)商的）。類似群聊和 Communicator Web Access 這樣的服務(wù)器將使用 HTTPS 來(lái)保護(hù) Web 通信。

六、RTP 重播攻擊：

重播攻擊是指出于惡意目的截獲并重新傳輸雙方之間的有效媒體傳輸。通過(guò)允許接收人維護(hù)已收到的 RTP 數(shù)據(jù)包的索引并將每個(gè)新數(shù)據(jù)包與索引中已列出的數(shù)據(jù)包加以比較，安全信號(hào)協(xié)議連接中使用的 SRTP 可保護(hù)傳輸免受重播攻擊。

七、病毒和蠕蟲(chóng)：

病毒是一個(gè)代碼單元，其目的是為了復(fù)制其他類似的代碼單元。病毒需要像文件、電子郵件或程序這樣的宿主才能發(fā)揮作用。與病毒類似，蠕蟲(chóng)病毒也是用于復(fù)制其他類似代碼單元的代碼單元，而與病毒不同的是它不需要宿主。病毒和蠕蟲(chóng)病毒主要是在客戶端之間傳送文件期間或從其他用戶發(fā)送 URL 時(shí)出現(xiàn)。例如，如果您的計(jì)算機(jī)上存在某種病毒，則該病毒可使用您的身份代表您發(fā)送即時(shí)消息。

八、垃圾即時(shí)消息：

Spim 是主動(dòng)提供的商業(yè)即時(shí)消息或狀態(tài)訂閱請(qǐng)求。雖然 Spim 本身并不會(huì)導(dǎo)致網(wǎng)絡(luò)問(wèn)題，但至少會(huì)有些煩人，占用資源和生產(chǎn)時(shí)間，而且可能會(huì)導(dǎo)致網(wǎng)絡(luò)問(wèn)題。例如，用戶通過(guò)發(fā)送請(qǐng)求相互發(fā)送垃圾消息。用戶可以相互阻止對(duì)方來(lái)防止出現(xiàn)這種情況，但對(duì)于聯(lián)盟，如果建立起協(xié)作的 Spim 攻擊，則很難防止出現(xiàn)這種情況，除非您禁用聯(lián)盟伙伴關(guān)系。

九、個(gè)人可識(shí)別信息泄露

Office OCS2007 R2 可能會(huì)通過(guò)可以鏈接到個(gè)人的公用網(wǎng)絡(luò)披露信息。信息類型具體可分為兩大類：增強(qiáng)狀態(tài)數(shù)據(jù)和必需數(shù)據(jù)。增強(qiáng)狀態(tài)數(shù)據(jù)是一些信息，用戶可以選擇是否通過(guò)指向聯(lián)盟伙伴的鏈接共享此信息，或選擇是否與組織內(nèi)的聯(lián)系人共享此信息。不與公用 IM 網(wǎng)絡(luò)上的用戶共享此數(shù)據(jù)。組策略和客戶端配置可能會(huì)為系統(tǒng)管理員提供一些控制能力。必需數(shù)據(jù)是對(duì)服務(wù)器或客戶端進(jìn)行適當(dāng)操作所需的數(shù)據(jù)，它不受客戶端和系統(tǒng)管理的控制。對(duì)于路由、狀態(tài)維護(hù)和信號(hào)傳輸而言，此信息是必需的服務(wù)器或網(wǎng)絡(luò)級(jí)別信息。

【51CTO獨(dú)家特稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處?！?/p>

【編輯推薦】

1. OCS防火墻設(shè)置中的邊緣服務(wù)器處理辦法
2. 現(xiàn)場(chǎng)演示企業(yè)溝通之道—Microsoft OCS + VoIP
3. OCS 2007 R2系統(tǒng)服務(wù)器的客戶端安全防范措施