Microsoft Lync Server
Header

Deshabilitar un usuario en el Directorio Activo y en Lync

abril 2nd, 2013 | Posted by Santiago Buitrago in Lync Server - (0 Comments)

​En más de una ocasión os habréis encontrado con la situación de tener que deshabilitar un usuario en el Directorio Activo que tiene cuenta de Lync. Sin embargo esto no evita que el usuario pueda iniciar sesión en Lync durante un periodo máximo de 6 meses, y siempre en función de otros factores. Esto puede llegar a ser un problema muy importante para las organizaciones, puesto que el usuario  podría estar realizando llamadas a la PSTN sin control o incluso hablar con gente de la organización y poder sacar información de la empresa sin que nadie de cuenta de ello.

Todo esto viene dado porque el usuario si en algún momento inicia sesión con el cliente Lync en un equipo fuera de la organización, y marca la casilla de "Guardar mi contraseña"

Deshabilitar_Cuenta_Lync_y_AD_2.jpg

el servidor de Lync creará automáticamente un certificado para el usuario. Además, este certificado se publicará en la base de datos RTC con la clave privada y se almacenará en el equipo local del usuario:

Deshabilitar_Cuenta_Lync_y_AD_3.jpg

Utilizar el certificado digital es algo que nos permite iniciar sesión más rapidamente y más beneficios en cuanto a la seguridad, pero el problema es que no tiene en cuenta si el usuario está o no deshabilitado en el Directorio Activo. El certificado tiene una duración de 180 días, de ahí que en función de cuando el usuario haya habilitado la opción de guardar contraseña y el tiempo que haya pasado hasta que lo hemos deshabilitado en el Directorio Activo tendrá tiempo suficiente para utilizar los siguientes servicios:

  • IM
  • Conferencias
  • Llamadas de Voz

Desde PowerShell podemos ver los certificados que tiene cada usuario, para ello debemos utilizar el siguiente cmdlet: Get-CsClientCertificate sip:direccion_sip

Deshabilitar_Cuenta_Lync_y_AD_4.jpg

Como vemos en cada equipo que hayamos iniciado sesión y hemos activado la opción de "Guardar mi contraseña" nos ha crea un certificado de usuario como hemos visto en la captura anterior. Por lo tanto el usuario podrá iniciar sesión en Lync hasta que expire su certificado. También podemos revocar los certificados del usuario, pero para que el usuario ya no pueda iniciar sesión en Lync se tienen que dar las siguientes condiciones:

Equipos del dominio

  • Que expire el ticket de Kerberos (10 horas)

Usuarios Externos

  • Reinicio de los servidores de Lync
  • El usuario cierre e inicie sesión
  • El certificado haya caducado

*Esto es siempre que queramos que sea de forma inmediata cuando hayamos revocado el certificado, son tiempos que debemos tener en cuenta

Para revocar el certificado disponemos del siguiente cmdlet: Revoke-CsClientCertificate

Sintaxis
    Revoke-CsClientCertificate [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] -Identity <UserIdParameter> [-WhatIf  [<SwitchParameter>]] [<CommonParameters>]

Sinopsis
    Los certificados de cliente permiten a los usuarios estar autenticados cuando inician sesión en Lync Server. Estos certificados son particularmente útiles en el caso de teléfonos y otros dispositivos que ejecutan Lync Mobile donde resulta complicado escribir el nombre de usuario o la contraseña. Revoke-CsClientCertificate permite a los administradores revocar certificados de cliente que se han emitido a un usuario. Este cmdlet se presentó en Lync Server 2010.

Descripción
Los certificados de cliente proporcionan una alternativa para autenticar a  los usuarios con Lync Server. En lugar de proporcionar nombre de usuario y contraseña, los usuarios presentarán al sistema un certificado X.509. (Este certificado debe tener un nombre de sujeto o un nombre alternativo de sujeto que identifica al usuario). Para autenticarse, los usuarios solo deben escribir un número de identificación personal (PIN). Para un usuario de teléfono móvil, escribir un número de PIN suele ser más fácil que escribir un nombre de usuario o contraseña alfanuméricos.En cualquier momento, los administradores pueden revocar certificados de cliente emitidos a un usuario mediante el cmdlet Revoke-CsClientCertificate.
 
Revoke-CsClientCertificate revoca todos los certificados de cliente emitidos desde el servidor al usuario en cuestión.
 
Revoke-CsClientCertificate no elimina los certificados del dispositivo cliente; los certificados solo se eliminan del servidor. Sin embargo, es suficiente para evitar que un cliente use certificados con fines de autenticación: si no se puede encontrar un certificado en el servidor, sedenegará la solicitud de autenticación.
 

Ejemplo

Revoke-CsClientCertificate -Identity sip:sbuitrago@asirsl.com

Deshabilitar_Cuenta_Lync_y_AD_5.jpg

Para evitar este "problema" y no llevarnos sorpresas a la hora de estar deshabilitar un usuario en el Directorio Activo debemos deshaiblitar el usuario en Lync, bien vía PowerShell o Panel de Control vía Web:

PowerShell

Disable-CsUser sip:direccion_sip

Panel de Control

Deshabilitar_Cuenta_Lync_y_AD_6.jpg

Espero que os sea de ayuda y tengáis claro el proceso para deshabilitar un usuario en el AD y también en Lync

,

¿Qué certificados necesitamos para Lync?

abril 2nd, 2013 | Posted by Santiago Buitrago in Lync Server - (1 Comments)

En la fase de planificación de nuestra infraestructura, siempre hay un punto que hace referencia a los certificados que debemos adquirir. Debemos tener muchas cosas en cuenta, pero una básica son que servicios vamos a publicar y con que nombre. Todos sabéis que el nombre del certificado debe coincidir con el nombre del servicio a publicar, sino no funcinarán correctamente o directamente no funcionarán los distintos servicios. Seguro que en alguna ocasión habéis visto esta alerta en vuestro navegador.

Certificados_Lync_2.jpg

Certificados_Lync_3.jpg

En este caso el único problema que tenemos es que el servidor tiene asignado un certificado con un nombre diferente al que nosotros hemos tratado de conectarnos a través de nuestro navegador, y nos avisa de que podemos estar visitando un sitio diferente al que realmente queremos. O bien que estamos utilizando un certificado privado (emitido por nuestra CA en Windows) y no tenemos el certificado raiz instalado en nuestro equipo. Esto no quiere decir que el certificado no esté realizando su función que es la de cifrar el tráfico, pero el nombre que tiene no concuerda con el nombre de la URL que estamos visitando.  De ahi que no es solo una cuestión puramente de seguridad, sino también de confianza. Si tenemos un servicio público al que se tienen que conectar nuestros clientes y les aparece esta advertencia, desde luego nuestra imagen como empresa quedaría por lo menos en entredicho. Además a día de hoy un certificado simple tiene un coste inferior a 80€ / año, por lo que no es una cuestión económica el no tener un certificado público.

Comentado esto, vamos a centrarnos en que debemos tener en cuenta a la hora de adquirir un certificado para nuestras implementaciones de Lync. Básicamente yo recomiendo siempre dos certificados: SAN y WILDCARD. Estos certificados serían para servicios diferentes, el certificado SAN  para nuestros servidores EDGE y el Wildcard para nuestros Front-END y sus servicios Web.  Como todos sabemos los nombres de los servicios que estamos publicando en el EDGE suelen ser los siguientes:

WEBCONF.ASIRSL.COM

AV.ASIRLAB.COM

SIP.ASIRLAB.COM

EDGE.ASIRSL.COM (opcional)

Esto son los nombres que debería tener nuestro certificado SAN (Subjet Alternate Name), de manera que podamos instalarlo en nuestros servidores EDGE y contengan el nombre de todos los servicios que vamos a publicar y en un solo certificado. Siempre estoy hablando de los certificados asignados a las interfaces externas, por lo que son certificados de una entidad certificadora pública (Verisign, Digicert, Thawte). Con esto tendríamos nuestro servidores/es EDGE correctamente configurados en cuanto al certificado se refiere, siempre y cuando los nombres de los certificados se correspondan con los nombres de los servicios (lo doy por hecho).

Ahora vamos a ver los certificados que necesitamos para el resto de servicios y que no pasan por el EDGE, sino por el Front-END o Director. En estos roles publicamos los distintos servicios con los siguientes nombres "por defecto":

lyncdiscover.asirlab.com

lync.asirlab.com o pool.asirlab.com (opcional según el nombre que hayamos configurado)

Certificados_Lync_4.jpg
dialin.asirlab.com

meet.asirlab.com

Estos servicios se suelen publicar a través de un ISA Server, TMG o similar como reverse proxy, y es a ese servidor a cual le tenemos que instalar el certificado externo que adquiramos. El certificado que yo recomiendo siempre es un WILDCARD, porque os permitirá posteriormente utilizarlo para publicar más servicios que los de Lync, por ejemplo: OWA, SharePoint, CRM, WAC y cualquier otra URL del mismo dominio con el siguiente FQDN: loquesea.asirlab.com. De esta forma podéis aprovechar el certificado para publicar más servicios que exclusivamente los de Lync. Y si por ejemplo hoy publicais el meet.asirlab.com únicamente y dentro de 6 meses queréis tener disponible el dialin.asirlab.com o lyncdiscover.asirslab.com ya no tendréis que adquirir más certificados, de cualquier otra forma si. Aqui también podemos disponer de un certificado SAN, pero el coste del certificado con los 3 nombres obligatorios para el EDGE más los dos del Front-END tendrá un sobre coste superior a tener un WildCard y un SAN. Además de que para cada servicio completamente diferenciado es recomendable tener distintos certificados, pero eso ya es otro tema.

Ahora bien, si nuestra infraestructura cuenta con un TMG para publicar las distinas URL, yo recomiendo que el  certificado que se instale a los servidores sea de vuestra Entidad Certificadora Privada, puesto que os permite solicitar tantos certificados como queráis sin tener que preocuparos por el coste. Si os olvidáis de algún nombre en la fase piloto, solo tenéis que volver a solicitarlo  y no tendréis problema de costes económicos. Tened en cuenta que el TMG presentará en el certificado público al exterior pero hacia los servidores internos se conectará con el certificado interno, y que además el TMG al estar en el dominio ya tiene el certificado raiz de confianza instalado y no tendréis problemas con la publicación de cualquier servicio Web de Lync. Con el certificado Wildcard (*.asirlab.com) podéis publicar con el mismo listener de TMG más servicios como he comentado anteriormente. Esto también es aplicable al EDGE, en su interfaces interna puede tener tener un certificado de nuestra CA Privada y funciona sin problema.

Esto siempre y cuando tengáis un solo dominio SIP, si tenéis varios dominios SIP y queréis tener certificados públicos, el certificado debe contener todos los nombres FQDN de todos los dominios. Como he comentado yo recomiendo hacerlo de esta forma, es de las más económicas, permite la reutilización del certificado para otras publicaciones y nos permite publicar distintos servicios de Lync que inicialmente no lo habíamos hecho sin coste adicional. Todo esto tiene sus matices, pero es cuestión de tener claro que servicios vamos a publicar, que nombres tendrán esos servicios y como se van a publicar al exterior.

Si además implementamos los servicios de UM de Exchange, el certificado que debemos utilizar es también uno de nuestra Entidad Certificadora. Como nuestros servidores de Lync forman parte del dominio, no tendrán problemas con la validación del certificado que ambos se están presentando para la autenticación de servicios. El certificado del servidor Exchange para el ROL de UM debe tener como nombre común el nombre FQDN del servidor sino, no funcionará

Y por último para la integración del OWA con Lync, es más de lo mismo pero teniendo en cuenta algo muy sencillo. Cuando creemos nuestras aplicación de confianza el nombre debe ser el mismo que el nombre común que hemos configurado en el certificado asignado en Exchange para la integración con Lync

Certificados_Lync_5.jpgCertificados_Lync_6.jpg

Sino es asi podréis encontraros de que todo está correctamente instalado, configurado y publicado pero … error!!! (esta captura representa uno de los posibles errores)

Certificados_Lync_7.jpg

Como véis es muy sencillo, pero es cuestión de tener claras nuestras necesidades y el resto es aplicar el conocimiento que ya tenéis sobre Lync y Certificados. Si no queremos utilizar certificados públicos podemos hacer exactamente lo mismo con nuestra CA Privada, pero al resto de usuarios que no tengan las máquinas en nuestro dominio debemos pasarles nuestro Certificado Raiz para que lo instalen en el contenedor adecuado de sus equipos

Certificados_Lync_8.jpg

Pero si queréis federar vuestro Lync con Microsoft, Google, etc.. debéis disponer de certificados públicos en vuestro EDGE. Si queréis federaros con otras compañias y no tenéis certificados públicos únicamente debéis "intercambiar" vuestras CA.

Aqui os muestro varias capturas de pantalla sobre un certificado WildCard conectándome a distintas URLs y otro SAN:

WildCard: nos conectamos a https://soporte.asirsl.com

Certificados_Lync_9.jpg Certificados_Lync_10.jpg

WildCard: nos conectamos a https://meet.asirsl.com

Certificados_Lync_12.jpgCertificados_Lync_10.jpg

SAN: Certificado de un EDGE con los nombres de los distintos servicios publicados

Certificados_Lync_11.jpg

Para terminar este artículo comentaros los servicios que utilizan los distintos clientes de Lync:

Cliente Lync: EDGE

Lync Mobile: Front-END o Director Publicando las distintas URL via TMG u otro proxy

Lync Web APP: Front-END o Director Publicando las distintas URL  via TMG y otro proxy

Precios de Certificados

 

​WildCard ​SAN
Certificados_Lync_13.JPG Certificados_Lync_14.JPG
 
Aqui os dejos algunos interesantes:

Error de certificado cuando usamos Thawte

Windows Server 2012, Instalación de una CA

Creación de CSR para Lync de forma sencilla

Espero que os sea de utilidad!!!

,

El cliente Lync 2010 no inicia sesión en Lync Server 2013

abril 2nd, 2013 | Posted by Santiago Buitrago in Lync Server - (0 Comments)

Este es un error muy común cuando hemos migrado nuestra versión de Lync Server 2010 a 2013 y los usuarios no tienen correctamente "parcheado" sus sistemas. Como sabéis el cliente de Lync 2010 es compatible 100% con Lync Server 2013, logicamente con las opciones disponibles este cliente. Pero esto no implica que no debamos realizar ciertas tareas de mantenimiento, como es la instalación de las actualizaciones correspondientes de nuestro cliente, sino obtendremos el siguiente mensaje cuando tratemos de iniciar sesión:

 
Lync_2010_Server_2013_2.jpg
La versión mínima de compabilidad del cliente Lync 2010 con Lync Server 2013 es la 4.0.7577.4103 como vemos en la siguiente captura del Panel de Control de Lync
Lync_2010_Server_2013_3.jpg
podéis cambiar el comportamiento de bloqueo, pero logicamente no se recomienda. En algunas ocasiones tendréis la necesidades de cambiarlo durante cierto tiempo mientras los usuarios actulizar sus clientes, pero debería ser eso, algo muy puntual y de extrema necesidad.
Lync_2010_Server_2013_4.JPG
Para "solucionar" este "problema" debéis instalar la siguiente actualización: ​Lync 2010 Hotfix KB 2737155 (64 bit)
Lync_2010_Server_2013_5.JPG
Como véis tiene muy fácil solución, pero siempre es recomendable que tengáis vuestros sistemas actualizados y no solo el sistema operativo.
 
Espero que os sea de utilidad!!

Microsoft Lync Server 2010, Herramienta de planeación

abril 2nd, 2013 | Posted by Santiago Buitrago in Lync Server - (0 Comments)

Una vez que hemos descargado la herramienta de Planeación de Lync 2010, empezamos con la planeación y vemos que nos irá solicitando la información necesaria para implementar nuestra infraestructura de LYnc. Además, nos generará los visio correspondientes con las topologías, etc… y por último podremos exportar la topología para importarla en nuestro Lync!!!

Primero vamos a empezar por iniciar la planeación, para ello pulsamos en  comenzar una vez hemos abierto la herramienta de planeaciónPlaneacion_Lync_1.jpg

 Paso 1: elegimos si queremos tener conferencias de audio y video en la empresaPlaneacion_Lync_2.jpg

Paso 2: elegimos si queremos tener conferencias telefónicasPlaneacion_Lync_3.jpg

Paso 3: elegimos si queremos tener conferencias webPlaneacion_Lync_4.jpg

Paso 4: elegimos si queremos tener telefonia empresarial y así poder reemplazar las PBX u otros sistemas de telefoníaPlaneacion_Lync_5.jpg

Paso 5: elegimos si queremos utilizar la UM  de Exchange, beneficiándose de los buzones de voz por usuario, Operadores Automáticos, etc…
Planeacion_Lync_6.jpg
Paso 6: elegimos si queremos gestionar las comunicaciones en tiempo real tratando de gestionar el ancho de banda de la WAN
Planeacion_Lync_7.jpg

Paso 7: elegimos si queremos implementar la supervisión: registro de sesiones de CU, métricas de calidad, etc..Planeacion_Lync_8.jpg

Paso 8: elegimos si queremos implementa el Archivado: registrar las conversaciones IM y conferencias de datosPlaneacion_Lync_9.jpg

Paso 9: elegimos si queremos implementar la federación con empresas externas o con proveedores de IM externos (MSN, Yahoo, Skype, GTalk, AOL). También podemos necesitar habilitar la federación con OCS 2007 o R2, pero en mi caso no todos serían instalaciones de Lync 2010 o 2013
Planeacion_Lync_10.jpg

Paso 10: elegimos si queremos disponer de un sistema tolerante a fallas
Planeacion_Lync_11.jpg 

Hemos finalizado con las preguntas básicas que nos debemos hacer ante cualqeruier implementación, ahora comenzará a diseñar la configuración de los Sitios, Usuarios, Dominios SIP, etc.. para comenzar pulsamos en Diseñar SitiosPlaneacion_Lync_12.jpg
Paso 11: debemos configurar la implentación que queremos tener, nombre del sitio, cantidad de usuarios, etc..
Planeacion_Lync_13.jpg
Paso 12: escribimos el nombre del dominio SIP que vamos a implentar
Planeacion_Lync_14.jpg
Paso 13: elegimos si queremos o no virtualizar el entorno (es importante tenerlo claro, porque luego las capacidades de usuarios cambia radicalmente)
Planeacion_Lync_15.jpg
Paso 14: debemos "estimar" la posible utilización simultanea de las Conferencias, yo lo he dejado por defecto
Planeacion_Lync_16.jpg
Paso 15: la cantidad de usuarios que tendrán habilitado la Voz Empresarial, yo he elegido todos porque la idea es sustituir la PBX. Además debemos estimar la utilización de la Voz Empresarial por parte de la organizaciónPlaneacion_Lync_17.jpg
Paso 16: debemos tener claro este paso, puesto que de aqui dependerá toda la parte de voz. Puesto que debemos dimensionar correctamente las conexiones de datos, etc… pero aqui solo elegimos el tipo de Infraestructura de VOZ. Yo he elegido un Troncal SIP (Direct SIP para Lync), ahora debemos tener un ISTP para poder utilizar esta implementación (yo apuesto por INTROUTE, un excelente proveedor certificado por Microsft para Lync). En cuanto al tipo de línea lo que tenemos es un T1 o un E1, pero aqui en España utilizaremos líneas de datos en un CPD de 5MBits nos dará una capacidad de 50 llamadas simultáneas (siendo una línea dedicada para Voz y con el Códec G7911). Las líneas E1 no suelen ser utilizadas en Europa para datos como tal, pero aqui os dejo sus descripciones tanto de las E1 como de las T1:

En Europa, existen cinco tipos de líneas que se distinguen según sus velocidades:
  • E0 (64 Kbps)
  • E1 = 32 líneas E0 (2 Mbps)
  • E1 = 128 líneas E0 (8 Mbps)
  • E3 = 16 líneas E1 (34 Mbps)
  • E4 = 64 líneas E1 (140 Mbps)
En Estados Unidos, el concepto es el siguiente:
  • T1 (1,544 Mbps)
  • T2 = 4 líneas T1 (6 Mbps)
  • T3 = 28 líneas T1 (45 Mbps)
  • T4 = 168 líneas T1 (275 Mbps)

Planeacion_Lync_18.jpg
Paso 17: configuramos que habilitaremos la UM de Exchange para todos los usuarios y la cantidad de mensajes de Voz en sus buzones al día. Aqui os dejo  un artículo que había hecho en su momento explicando el impacto de habilitar la UM en Exchange con Lync: Impacto de habilitar la Mensajería Unificada de Exchange a los usuarios de Lync
Planeacion_Lync_19.jpg
Paso 18: especificaremos si tendremos servidores EDGE y cuantos usuarios externos tendrán nuestra organización. Además si vamos a tener Directore(s) y balanceadores hardware con múltiples IPs Públicas
Planeacion_Lync_20.jpg
Paso 19: especificaremos que servidores vamos a virtualizar
Planeacion_Lync_21.jpg
Paso 20: especificaremos si queremos separar el rol de Mediation Server en servidores independientes de los Front-END, que seria lo suyo si tenemos la carga de trabajo en la parte de Voz como hemos dimensionado anteriormente
Planeacion_Lync_22.jpg
Paso 21: configuraremos las oficinas remotas de las que consta la empresa, cuantos usuarios tendrá cada oficina y si queremos utilizar el desvio de medios
Planeacion_Lync_23.jpg
Ya hemos finalizado la planeación de Lync, por lo que ahora debemos pulsar en Dibujar para ver gráficamente la infraestructura que hemos ido configurando
Planeacion_Lync_25.jpg
Lo primero que nos presenta es un dibujo de la topologia, si vamos haciendo click sobre los distintos elementos nos mostrará gráficamente la infraestructura
Planeacion_Lync_26.jpg

Pulsando en el SITIO Central nos muestra la topología configurada, como vemos tenemos distintas pestañas que iremos revisando y en donde veremos los datos configurados (datos simulados de IPs, etc..)

Topología del SitioPlaneacion_Lync_36.jpg
Diagrama de Red Perimetral
Planeacion_Lync_37.jpg
Información de la administración de la red perimetral, nos muestra las direcciones IP y nombres de la red perimetral
Planeacion_Lync_38.jpg
Planeacion_Lync_39.jpg
Planeacion_Lync_40.jpg

Información de la administración de la red perimetral, los certificados que vamos a necesitar por cada servicio
Planeacion_Lync_41.jpg
Planeacion_Lync_42.jpg

Información de la administración de la red perimetral, nos muestra la configuración de direcciones IP (origen – destino) y puerto (origen – destino). Esto debemos tenerlo muy en cuenta a la hora de configurar nuestros Firewalls. Aqui os dejo algunos artículo que había escrito en relación a este apartado:

Edge Lync: Configuración de Red (Parte I)

Edge Lync: Configuración de Red (Parte II)

Edge Lync: Configuración de Red (Parte III)

Planeacion_Lync_43.jpg
Planeacion_Lync_44.jpg
Planeacion_Lync_45.jpg
Planeacion_Lync_46.jpg
Planeacion_Lync_47.jpg

Registros DNS que debemos crear tanto en interno como externo, registros Tipo A y SRV, súper importante tenerlo correctamente configurado
Planeacion_Lync_49.jpg 

Una vez que hemos configurado toda infraestructura podemos exportar la confguración en Visio y Excel, además podemos guardar la Topología para posteriormente importarla en nuestro Lync
Planeacion_Lync_27.jpg

Disponemos de bastante información  cuando nos muestra la topología, en los paneles de la parte derecha desde donde podemos ver la información que hemos ido configurando con el asistente:

Información del Sitio
Planeacion_Lync_31.jpg

Información de Hardware
Planeacion_Lync_32.jpg

Configuración Virtual
Planeacion_Lync_33.jpg

Roles de ServidorPlaneacion_Lync_34.jpg

Una vez guardada la planeación podemos recuperarla en cualquier momento para seguir trabajando sobre ella, tratando de modificarla según vuestras necesidades. También comentaros que yo he exportado los mapas de red a Visio y la verdad … me lo ha hecho bastante mal. Pero no sé si porque en el equipo en donde tenía la herramienta instalada (una MV) no tenía el Visio instalado, pero cuando lo he abierto en el equipo fisico con Visio … pues la verdad se había desmontado un poco.

Espero que os sea de utilidad!!

,

Desencriptar Tráfico de Sesiones SSL o TLS con Wireshark

abril 1st, 2013 | Posted by Santiago Buitrago in Lync Server | Troubleshooting - (0 Comments)

Seguramente en alguna ocasión habéis utilizado Wireshark (analizador de tráfico de red: sniffer) para analizar el tráfico de vuestra red en busca de detectar algún comportamiento anómalo, analizar el tráfico de red o simple curiosidad de saber que está pasando.​ Como sabéis en Lync el tráfico entre servidores va protegido vía MTLS y de cliente a servidor vía TLS, aquí tenéis una tabla resumida de cómo se protegen los distintos flujos de datos:

Tipo de tráfico Protegido por
Entre servidores
MTLS
De cliente a servidor
TLS
Mensajería instantánea y presencia
TLS (si se ha configurado para TLS)
Audio, vídeo y uso compartido de escritorio
SRTP
Uso compartido de escritorio (señalización)
TLS
Conferencia web
TLS
Descarga del contenido de las reuniones, descarga de la libreta de direcciones y expansión de grupos de distribución
HTTPS
El problema viene dado cuando queréis ver porque el cliente Lync no conecta, o que tipo de DSCP utiliza nuestro cliente Lync cuando iniciamos una conferencia, etc.. y nos encontramos con esto….
wireshark_ssl_17.png
Como se puede observar el tráfico está cifrado y sería imposible revisar nada, hasta aqui todo correcto. Pero claro, si queremos analizar cúal es el posible problema que tenemos resultaría imposible. Con Wireshark (y otras herramientas) podemos desencriptar el tráfico SSL (desencriptar no es igual a «juankear» ni similar) para poder analizarlo. Para esto necesitamos tener el certificado que utiliza el servidor al cual nos queremos conectar con su clave privada, de tal forma que tenemos que exportarlo desde el servidor con ella. Si no tenemos la clave privada  no podemos hacer nada,  para ello debemos tener acceso a ello. De ahí el comentario anterior de que no estamos hackeando nada de nada, puesto que el certificado con su clave privada la exportamos nosotros. Este artículo solo predente mostrar un procedimiento que debéis seguir para analizar el tráfico SSL o TLS que utiliza Lync (o cualquier otro servicio) para cifrar las comunicaciones. Una vez que tenemos nuestro certificado exportado con su correspondiente clave privada: (Exportación e Importación Certificados en Windows Server 2012)
Exportar_Certificado_Win2012_1.jpg
Demos convertir el PFX a PEM, que es el formato que Wireshark puede utilizar y para ello utilizaremos OpenSSL. Una vez instalado debemos ejecutar los siguientes comandos:
openssl pkcs12 -nodes -in SIP.pfx -out sip.pem -nocerts -nodes
openssl rsa -in sip.pem -out sipout.pem
wireshark_ssl_1.png
Ahora deberíais tener un fichero con el nombre sipout.pem (cada uno que ponga el nombre que quiera) similar a este (sin los puntitos, esto lo he puesto yo)
—–BEGIN RSA PRIVATE KEY—–
MIIEpAIBAAKCAQEAiFBWj/E7y6MAMUWacV2aeSpt/j2wHzB7xIYBCMnJy0u869eb
………………………………………………………………………………………………………………………………….
………………………………………………………………………………………………………………………………….
………………………………………………………………………………………………………………………………….
………………………………………………………………………………………………………………………………….
………………………………………………………………………………………………………………………………….
………………………………………………………………………………………………………………………………….
………………………………………………………………………………………………………………………………….
………………………………………………………………………………………………………………………………….
………………………………………………………………………………………………………………………………….
………………………………………………………………………………………………………………………………….
………………………………………………………………………………………………………………………………….
………………………………………………………………………………………………………………………………….
ufZSuWUFoiu1XPS6vWPtQ8VRjb0a4hGXSMYDxyupDgEAgRDIMN0jyW1PklbsOZOb
aJWQWC5UQuoWEP4gw+3aC87UTGrk8U10X0DpQdfyD3Bjwwvai3mEYw==
—–END RSA PRIVATE KEY—–
Ahora debemos configurar nuestro Wireshark para que utilice el fichero de clave privada, para ello abrimos el Wireshark y vamos a Edit – Preferences (Shift+Ctrl+P)
wireshark_ssl_4.png
Desplegamos la opción de Protocol, seleccionamos SSL y pulsamos en Edit…
wireshark_ssl_6.png
Pulsamos en New
wireshark_ssl_7.png
Y configuramos las siguientes opciones:
IP Address: IP del servidor en donde esté instalado el certificado
Puerto: 443
Protocolo: HTTP
Key File: Elegimos el fichero que anteriormente hemos convertido a .PEM
wireshark_ssl_8.png
Pulsamos en OK
wireshark_ssl_9.png
Y por último vamos a configurar el fichero de registro que se creará en los procesos de desencriptación (información muy útil) y pulsamos en Apply para iniciar el proceso de desencriptación de las capturas actuales
wireshark_ssl_13.png
Si ahora abrimos el fichero de LOG, veremos que se están procesando correctamente, por lo que podremos ver el tráfico capturado de forma «legible»
wireshark_ssl_16.png
Abrimos de nuevo el Wireshark, capturamos algo de tráfico y pulsamos en Follow SSL Stream
wireshark_ssl_10.png
Nota: Si elegimos la opción Follow SSL Stream sin la configuración del Wireshark adecuada nos mostrará la siguiente pantalla (en blanco)
wireshark_ssl_19.png
ahora podemos ver esto, desde luego ya podemos analizar que puede estar sucediendo
wireshark_ssl_11.png
wireshark_ssl_12.png
El poder desencriptar el tráfico resulta muy útil, eso si, debéis tener acceso a la clave privada del certificado. Por otra parte, no deberíais permitir que los certificados instalados en los servidores tengan la clave privada como exportable, porque si alguien tiene más habilidad que nosotros nos puede comprometer y mucho la seguridad de nuestra empresa. Este artículo solo viene a representar como podéis analizar el tráfico encriptado con una de las herramientas más utilizadas para analizar tráfico de red, pero podéis hacerlo con otras muchas. En principio solo tiene el fin de  solventar distintos problemas que nos puedan surgir en nuestras implementaciones, como el tráfico están encriptado se nos complica cualquier diagnóstico.
Os dejo también un ejemplo muy ilustrativo de una captura sin tráfico encriptado, pero y si estuviera encriptado? podríamos tardar horas en encontrar cual es el problema
wireshark_ssl_18.png
Espero que os sea  de utilidad!!!

, , ,