Planificación de la seguridad

Al planificar un despliegue de IBM® Sametime, revise las características de seguridad siguientes y los procedimientos recomendados para garantizar que los clientes, los servidores y los datos estén protegidos.

Protección del directorio LDAP

Proteja la conexión LDAP en cada componente de Sametime WebSphere con el protocolo TLS para cifrar el tráfico de la red. Cada componente de Sametime WebSphere que se conecta a LDAP debe tener una conexión LDAP segura. Tras la instalación de cada componente de Sametime WebSphere, siga los pasos de esta documentación para proteger el componente usando un certificado raíz de SSL.

Protección del servidor DB2

Sametime da soporte pleno a conexiones SSL al servidor IBM DB2 del despliegue. Para obtener más información, consulte la nota técnica de IBM ¿Cómo se habilita el cifrado SSL para conexiones DB2 para aplicaciones y orígenes de datos basados en WebSphere?.

Protección de servidores de aplicaciones de WebSphere

Cada servidor de Sametime que se ejecuta en el servidor de aplicaciones de IBM WebSphere da soporte al cifrado TLS/SSL y se instala utilizando certificados SSL autofirmados. En un entorno de producción, debe instalar certificados SSL desde una entidad emisora de certificados de confianza para cualquier servidor que acepta conexiones de clientes (por ejemplo, el servidor proxy de Sametime, servidor de reuniones de Sametime, componentes del gestor de soportes de Sametime y Sametime Advanced Server).

El certificado SSL se puede utilizar entonces para cifrar tráfico HTTPS (http seguro) y SIPS (SIP seguro). Las instalaciones de despliegue de red comparten una configuración SSL y de seguridad global común, y comparten certificados raíz de confianza por diseño. Las instalaciones de célula gestionan su propia seguridad global y la configuración de SSL de cada servidor instalado como despliegue de célula, ya que los servidores tienen un certificado raíz de confianza común.

Protección de servidores de Sametime

Consola del sistema de Sametime

La consola del sistema de Sametime es una aplicación basada en Web que proporciona una ubicación central para la instalación, configuración, administración y supervisión de los productos de la familia Sametime. En un despliegue de empresa, la consola se puede instalar en un sistema dedicado. Este sistema también se convierte en el gestor de despliegue de un entorno agrupado, gestionando la actividad de todas las agrupaciones de servidores en el entorno de Sametime. De forma predeterminada, la consola del sistema de Sametime redirecciona a HTTPS una vez el administrador haya iniciado sesión. La consola del sistema de Sametime se protege con un certificado autofirmado que no necesita sustituirse por un certificado de una entidad emisora de certificados de confianza.

Puede crear administradores adicionales para administrar la consola del sistema de Sametime.

Servidor de comunidades de Sametime

Una comunidad de Sametime es un grupo de personas que pertenecen al mismo registro de usuarios, como un directorio corporativo.

Las aplicaciones de servidor de Sametime acceden al servidor de comunidad de Sametime directamente mediante IP de confianza. El servidor de comunidades autentica estas conexiones comprobando la dirección IP de la que procede la conexión y garantizando que la dirección aparece en la lista de configuración de IP permitidas (configurada en IBM Domino). Un Community Mux autónomo de Sametime libera al servidor de comunidades de la carga de gestionar conexiones de clientes activos. El Community Mux de Sametime está dedicado a esta tarea. La configuración de un Community Mux permite al servidor de comunidades manejar un gran número de usuarios y mejora su estabilidad.

Los usuarios deben proporcionar credenciales, mediante el cliente de Sametime, al servidor de comunidades cuando inician sesión en Sametime. Los usuarios de cliente de navegador de Sametime presentan sus credenciales mediante el servidor proxy de Sametime. Las credenciales se autentican frente a registros de usuario almacenados en un directorio LDAP que utilizan una API de vínculos.

Sametime da soporte a señales LTPA y LTPA2. La señal LTPA puede ser creada por IBM Domino o WebSphere Application Server para autenticar usuarios para SSO y contiene el nombre del usuario que se ha autenticado. Cuando se crea la señal LTPA, coloca el nombre jerárquico del usuario en la señal de forma predeterminada. Este caso de ejemplo se produce normalmente en configuraciones de usuario en las que varios directorios usados por diversos servidores participen en SSO, pero también se puede usar con un único directorio.

Existen muchos casos en los que un componente de servidor debe conectarse a otro, por ejemplo, las conexiones de servidor a servidor, de servidor a multiplexor y de aplicación de servidor a concentrador. El servidor de comunidades autentica estas conexiones comprobando la dirección IP de la que procede la conexión y garantizando que la dirección aparece en la lista de configuración de IP permitidas (configurada en IBM Domino).

Otra opción para la autenticación de servidor a servidor (así como de servidor a multiplexor y de aplicación de servidor a concentrador) es habilitar TLS entre los servidores, con autenticación mutua y hosts de certificados de confianza.

El cifrado se gestiona a través de RC2 con una clave de 128 bits, y las claves se generan mediante el uso de Diffie-Hellman para cada canal lógico en uso. Existen muchos canales lógicos en uso en una conexión TCP única. Los canales lógicos se utilizan en casos de comunicación de:

Cliente a servidor
Cliente a cliente, usando el servidor como direccionador de capa de aplicación, como con la mensajería instantánea
Servidor a servidor, para cumplir los requisitos de procesamiento distribuido y agrupación

En todos estos casos de ejemplo, los datos están completamente cifrados.

Las conexiones de Sametime que están habilitadas por TLS ya no utilizan Diffie-Hellman Diffie-Hellman ni el mecanismo RC2 para cifrar el tráfico de la conexión.

Servidor de reuniones de Sametime

Sametime Meetings basado en HTTP se puede utilizar para acceder al centro de salas de reuniones de Sametime desde navegadores web o desde el panel Reuniones del cliente de Sametime Connect. El servidor de reuniones de Sametime se ejecuta en WebSphere Application Server y proporciona características mejoradas de audio y vídeo cuando se utiliza en combinación con el gestor de soportes de Sametime. El servidor de reuniones utiliza autenticación basada en formularios, que utiliza los manejadores de autenticación incorporados de WebSphere. La protección del servidor de reuniones es un proceso de dos pasos: configurar el servidor para que dé soporte al cifrado TLS y forzar que todo el tráfico web utilice cifrado TLS. Se deben realizar ambos pasos para garantizar una estructura de servidor segura.

Las salas de reuniones están protegidos por contraseña, y a los propietarios de la sala se les proporcionan control para gestionar los usuarios de sus salas antes, durante, y después de la reunión. Las contraseñas de sala de reuniones se almacenan como formato "oculto" de la contraseña de texto normal. Los administradores pueden habilitar el acceso gestionado a las salas para que los participantes puedan unirse a una sala sólo cuando esté presente un gestor de sala, y los gestores pueden expulsar a los usuarios de la sala en cualquier momento. Cuando el último gestor de una sala de reuniones deja la sala, otros usuarios pueden permanecer en la sala pero ningún otro nuevo usuario podrá unirse a la sala. Los administradores pueden desactivar el acceso gestionado para que los usuarios puedan establecer el acceso a cada sala según sus necesidades. Esto se puede realizar de forma dinámica desde la sala de reuniones, o especificarse cuando el usuario crea la sala. Cuando el acceso gestionado está desactivado, la sala está abierta a cualquiera en todo momento (se sigue aplicando la protección mediante contraseña de la sala de reuniones). La nueva característica de expulsión de usuario permite elegir a un usuario de la lista de participantes y expulsarlo de la sala. Existe también una forma de expulsar a todos los usuarios, que puede ser útil en reuniones grandes (en las que la lista de participantes esté oculta), o al final de una reunión.

Servidor proxy de Sametime

El servidor proxy de Sametime se ejecuta en WebSphere Application Server y requiere un servidor de comunidades de Sametime. El servidor proxy de Sametime se comunica con el servidor de comunidades, servidor de reuniones y Sametime Unified Telephony u otro servidor habilitado para TCSPI. De forma predeterminada, el servidor proxy de Sametime da soporte al cifrado SSL para proteger el tráfico HTTP entre el cliente web y el servidor proxy de Sametime. Una vez el servidor esté configurado para dar soporte al cifrado TLS, es recomendable forzar el tráfico HTTP a través de HTTPS para garantizar que todas las conexiones de cliente se cifren. El servidor proxy de Sametime no autentica al usuario; en su lugar, pasa la autenticación al servidor de comunidades.

Sametime Advanced Server

El servidor de Sametime Advanced permite a los usuarios crear conversaciones permanentes, algunas de los cuales están abiertas a todos los usuarios (incluidos los usuarios anónimos) y otras conversaciones que tienen acceso restringido. Además del control de acceso a conversaciones permanentes, existe una jerarquía de carpetas que también está restringida con control de acceso. Los niveles de control de acceso dentro de una carpeta son gestionar, escribir y leer. Los usuarios con acceso de gestión pueden hacer todo en dicha carpeta, lo que incluye crear, actualizar y eliminar cualquier conversación o carpeta. Los usuarios con acceso de escritura de una carpeta pueden crear o eliminar elementos bajo la carpeta actual pero no pueden gestionar la propia carpeta (u otros activos que otros usuarios hayan creado). Los usuarios con acceso de lectura pueden ver la carpeta pero no pueden editarla de ningún modo.

Las conversaciones dan soporte a dos niveles de acceso. Los propietarios/gestores de una conversación pueden entrar en la conversación y editarla. Los lectores de la conversación únicamente pueden entrar en dicha conversación. El acceso de lectura a una conversación es sinónimo de visibilidad, así que si un usuario no tiene acceso de lectura a dicha conversación, no podrá ver que existe. Para comunidades de Sametime, existe un rol denominado Creadores de comunidades, y cualquier usuario que esté en este rol podrá crear/eliminar comunidades. Las comunidades, como las conversaciones, tienen gestores y lectores. Solo los gestores de una comunidad pueden eliminar la comunidad, y el creador de una comunidad es implícitamente un gestor. Sametime Advanced Server utiliza el protocolo MQTT para proporcionar una conexión persistente para funcionalidad de publicación/suscripción: MQTT se puede proteger mediante SSL.

Gestor de soportes de Sametime

El gestor de soportes de Sametime proporciona servicios de audio y vídeo para conversaciones y reuniones. Utiliza características de WebSphere Application Server, que incluyen escalabilidad, seguridad y alta disponibilidad con agrupaciones. El protocolo SIP da soporte a llamadas punto a punto y multipunto. El gestor de soportes admite códecs de audio y vídeo estándar y funciona con dispositivos de otros proveedores de audio y vídeo. Los componentes se pueden configurar para que utilicen cifrado TLS para proteger las comunicaciones SIP utilizadas en sesiones de audio y vídeo.

Existen cuatro componentes que componen el gestor de soportes:

SIP Proxy/Registrar
Gestor de conferencias
Video MCU
Gestor de vídeo

Instale los componentes del gestor de soportes en la misma célula para no tener que intercambiar los certificados.

Autenticación:

El cliente rico de Sametime y el cliente de navegador abren una conexión de socket a SIP Proxy/Registrar que se configura con restricciones de seguridad de forma predeterminada. Esto valida el originador de una solicitud, para garantizar que la envía el usuario de Sametime. Las credenciales se envían entonces en una solicitud SIP REGISTER a través de una conexión protegida TLS. SIP Proxy/Registrar determina si el usuario autenticado está autorizado para modificar registros para la dirección de registro especificada. No se da soporte a la autenticación y la autorización sin TLS.

El servidor SIP Proxy/Registrar da soporte a los siguientes mecanismos de autenticación:

Autenticación básica: nombre de usuario y contraseña
Autenticación basada en señal LTPA: se da soporte a LTPA v1 y LTPA v2. Una señal LTPA puede ser creada por IBM Domino o WebSphere Application Server para autenticar usuarios para SSO y contiene el nombre del usuario autenticado.
Acceso anónimo: permite a los participantes que no forman parte del directorio de la organización unirse a una llamada y participar en la sesión de audio/vídeo. Esto resulta útil para colaborar con clientes/compañeros de fuera de la organización.

Los servidores de comunidades y los servidores SIP Proxy/Registrar deben configurarse con los mismos repositorios LDAP, y para que la autenticación basada en señal LTPA funcione correctamente, debe configurarse el inicio de sesión único entre los servidores de Sametime.

Los componentes del servidor del gestor de soportes se registran con el servidor SIP Proxy/Registrar, que autentica estos registros comprobando la dirección IP y asegurándose de que la dirección está en la lista de IP de confianza (configurada en el WebSphere Application que aloja la aplicación SIP Proxy/Registrar). El tráfico entre los servidores LDAP y SIP Proxy/Registrar se cifra mediante el uso de SSL. Los servicios de reuniones permiten a los usuarios acceder a la prestación de audio/vídeo integrada desde el cliente rico de Sametime y el cliente web de Sametime. Un usuario anónimo puede acceder a las prestaciones de audio/vídeo al acceder a una reunión en línea desde la Web; no obstante, el número de usuarios anónimos que pueden iniciar sesión en el gestor de soportes está limitado.

Gestor de ancho de banda de Sametime

El Gestor de ancho de banda de Sametime controla el ancho de banda usado en llamadas de audio y vídeo manejadas por el gestor de soportes. El cliente del Gestor de ancho de banda está incluido en el cliente de Sametime Connect, el cliente de navegador de Sametime y el cliente incorporado, así que sus características se instalan de forma automática. El Gestor de ancho de banda de Sametime puede usar cifrado TLS para la seguridad. En WebSphere Application Server, la funcionalidad TLS requiere un certificado emitido por una entidad emisora de certificados válida para cualquier entorno de producción. Como el Gestor de ancho de banda intercambia información con el gestor de soportes de Sametime, debe importar una copia del certificado al almacén de confianza predeterminado de la célula del gestor de soportes para garantizar que se acepta la comunicación desde el Gestor de ancho de banda.

Sametime Gateway

El servidor de Sametime Gateway Server se ejecuta en WebSphere Application Server y es una plataforma para compartir presencia y colaboración en tiempo real con comunidades de mensajería instantánea externas. Da soporte a XMPP (Extensible Messaging and Presence Protocol) y se puede configurar utilizando TCP, TLS, SASL (capa de seguridad y autenticación simple) o protocolos de seguridad de devolución de llamada.

Para tener una capa de seguridad añadida, contemple la posibilidad de desplegar servidores de portal mediante una configuración DMZ dual. Para obtener más información, consulte las guías siguientes que se encuentran en la wiki de Sametime:

Despliegue del servidor proxy seguro DMZ para Sametime Gateway
A diferencia de un servidor proxy tradicional, el proxy seguro DMZ está diseñado para ser utilizado fuera del cortafuegos de la empresa e incorpora un nivel mayor de seguridad para proteger el despliegue. Por ejemplo, el servidor proxy seguro DMZ no incluye un servidor de aplicaciones o un contenedor web; limitar el software en el servidor ayuda a protegerlo de un acceso no autorizado. Los usuarios externos sólo pueden acceder al servidor proxy seguro DMZ, que solicita datos a los servidores de Sametime Gateway, que a su vez se conecta con los servidores de comunidad de Sametime en la intranet corporativa antes de direccionar los datos a los usuarios.
Despliegue de un servidor proxxy DMZ XMPP para Sametime Gateway
El servidor proxy DMZ XMPP es la misma aplicación J2EE que Sametime Gateway utiliza para el servidor XMPP convencional. La diferencia radica en cómo desplegarlo: el servidor XMPP DMZ se despliega en una célula diferente de Sametime Gateway y se configura un cortafuegos entre los servidores de portal y el servidor proxy XMPP DMZ. El uso de una célula separada y una cortafuegos adicional proporciona seguridad añadida al despliegue.

Otros componentes

Servidor TURN de Sametime

El servidor TURN de IBM Sametime permite a los clientes de Sametime enviar comunicaciones de audio/vídeo a través de un NAT o cortafuegos cuando no son posibles las comunicaciones de igual a igual. El servidor TURN implementa los protocolos TURN (RFC 5766) y STUN (RFC 5389) y realiza dos funciones principales:

Ayuda al cliente (mediante ICE, RFC 5245) a buscar su dirección pública
Proporciona una extensión, o relé, al cliente.

El cliente utiliza el servidor TURN como relé para enviar paquetes a estos iguales y recibir paquetes de los iguales cuando la comunicación de igual a igual no es posible. Los clientes de Sametime se conectan al servidor TURN usando UDP o TCP. El servidor TURN mantiene una lista de permisos que se compone de una dirección IP y una hora de caducidad asociada. Mientras exista el permiso, todos los iguales que utilicen la dirección IP de la lista de permisos podrán enviar datos al cliente.

Servidor IBM SIP Edge Proxy

El servidor IBM SIP Edge Proxy se despliega en la DMZ donde los clientes basados en Internet se pueden conectar a ella. A continuación, el servidor SIP Edge ejecuta el tunneling a través del cortafuegos y se conecta al Gestor de soportes interno. El uso del servidor SIP Edge Proxy mejora la seguridad del despliegue de las formas siguientes:

Mantiene una conexión persistente con el cliente.
Da soporte al uso del cifrado TLS para tráfico SIP.
Envía todas las solicitudes entrantes a Sametime SIP Proxy/Registrar desplegado internamente para su autenticación.

Clientes móviles

Los clientes de Android e iOS utilizan el cliente web proxy de Sametime y tienen páginas web diseñadas especialmente para proporcionar soporte.

Cliente de Connect

El cliente de Connect ofrece la capacidad integrada de reuniones junto con opciones de llamada de audio/vídeo y utiliza la infraestructura de cuentas de IBM Expeditor para proporcionar autenticación.

Soporte para FIPS 140-2

Sametime da soporte a los requisitos de seguridad definidos por el Gobierno de EE.UU. relativos a los módulos criptográficos conocidos como FIPS (Federal Information Processing Standard)140-2. Todos los datos transferidos entre clientes de Sametime y el servidor de Sametime están protegidos mediante la suite de cifrado SSL certificada por FIPS 140-2. Las comunicaciones entre clientes MQTT y el servidor proxy de Sametime están protegidas mediante SSL, que utiliza cifrados aprobados por FIPS.

Microsoft Office Integration

Las características de Microsoft Office Integration interactúan con el cliente de Sametime a través del objeto STHelper COM. STHelper expone una API de ejemplo a su cliente y resuelve las solicitudes cuando se selecciona un correo electrónico en Microsoft Outlook o cuando el botón Conversación se invoca desde la barra de herramientas de Outlook. STHelper utiliza un bus de publicación/suscripción TCP/IP (MicroBroker) para comunicarse con componentes de Office y SharePoint.

Mecanismos de autenticación de inicio de sesión único usados en Sametime

El inicio de sesión único permite que un usuario pueda iniciar sesión una vez y acceder a varios servidores sin que se le soliciten sus credenciales de nuevo. Cuando un usuario inicia sesión, el servidor de comunidades genera una señal LTPA y la comparte en el despliegue de Sametime, para que no se vuelva a solicitar al usuario que inicie sesión durante la misma sesión. Siempre que sea posible, todas las aplicaciones como IBM Sametime e IBM Connections deben compartir el mismo conjunto de claves LTPA y configuración LDAP para simplificar el acceso de los usuarios.

SPNEGO: Si el despliegue utiliza Microsoft Active Directory, puede configurar SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) para proporcionar una autenticación de inicio de sesión único (SSO).
WebSEAL: IBM Security Access Manager WebSEAL es un servidor web multihebra de alto rendimiento que aplica una política de seguridad de granularidad fina al espacio de objetos web protegido. WebSEAL puede proporcionar soluciones de inicio de sesión único e incorporar recursos de servidores de aplicaciones web de fondo en su política de seguridad. Las solicitudes que pasan a través de WebSEAL son evaluadas por Security Access Manager para determinar si el usuario está autorizado para acceder al servicio o a los datos solicitados.
SiteMinder: Sametime da soporte al uso de la aplicación SiteMinder de Computer Associate para la autenticación y el inicio de sesión único basados en políticas.

Planificación de la seguridad para el acceso a la extranet
Realice un despliegue seguro de Sametime en la extranet para los clientes o empleados que sean móviles. Trabaje pronto con sus equipos de seguridad y redes para planificar el acceso a la extranet. Tenga en cuenta los procedimientos recomendados de seguridad.
Planificación del inicio de sesión único (SSO)
Configure servidores para el inicio de sesión único (SSO) para mayor comodidad de los usuarios que ejecutan el cliente del navegador de Sametime. Con SSO configurado, los usuarios que inician sesión una vez en cualquier servidor del dominio DNS no tienen que iniciar sesión de nuevo cuando accedan a cualquier otro servidor que se ejecute en Domino o en WebSphere Application Server. La habilitación del inicio de sesión único (SSO) entre los servidores también ayuda al cliente de Sametime Connect. Si el servidor de comunidades de Sametime se encuentra en el dominio de inicio de sesión único (SSO), los servicios del componente pueden reutilizar la señal del cliente de Sametime Connect para iniciar sesión en otros servicios.

Tema principal: Planificación