title: Безопасность в TrueConf Server description: Уровни безопасности в чатах и конференциях TrueConf Server. Как защищены звонки, чаты и файлы пользователей Труконф

Безопасность в TrueConf Server: как мы защищаем данные пользователей

Partes de este tema pueden estar traducidos automáticamente.

При проведении корпоративных видеоконференций важным фактором является конфиденциальность — злоумышленники должны быть лишены возможности получить доступ к данным, даже если у них получится вторгнуться во внутреннюю сеть компании.

Мы очень серьёзно относимся к обеспечению конфиденциальности конференций наших клиентов.

В TrueConf Server предусмотрено множество уровней обеспечения безопасности — от базовых до криптографически неприступных. При этом используются как технологии шифрования и современные способы аутентификации, так и настройки доступа на самом сервере к каждой конференции или к общим возможностям коммуникаций.

Roles administrativos

Посторонний человек не может без вашего ведома подключиться к корпоративной системе ВКС TrueConf. При этом данные для авторизации устанавливаются администратором сети отдельно для каждого пользователя, либо импортируются по LDAP из службы каталогов (Active Directory, OpenLDAP, FreeIPA, ALD Pro и пр.).

Компания TrueConf ни в каких своих решениях не хранит в явном виде пароли пользователей. Для авторизации используются криптографические хэш-функции.

El administrador del servidor puede establecer configuraciones de calidad individuales a nivel de conferencia al crearla o editarla.

• активировать двухфакторную авторизацию (2FA);

• использовать технологию единого входа (Single sign-on, SSO) при интеграции со службами каталогов по LDAP;

• выбрать способы аутентификации в зависимости от сети, из которой пользователи пытаются войти в систему: внешняя сеть либо доверенная (корпоративная);

• настроить разные возможности (например, запретить передавать файлы) для пользователей в зависимости от сети, из которой они авторизованы: внешняя сеть либо доверенная (корпоративная);

• в любой момент как отключить (разлогинить) пользователя TrueConf от системы видеосвязи на всех авторизованных устройствах, так и полностью деактивировать учётную запись;

• ограничить срок действия сессионных ключей для авторизации, чтобы для продолжения работы с системой видеоконференцсвязи пользователям надо было снова входить в систему со своим паролем (например, полезно, если кто-то забывает блокировать доступ к своему ПК);

• задать сложность пароля (при ручном создании учётных записей в режиме Registry);

• настроить политику блокировки для повторяющихся неуспешных попыток ввода пароля (доступно и при интеграции со службами каталогов по LDAP);

• ограничить возможности для определённых групп пользователей, например, запретить бухгалтерам демонстрировать контент, а IT-отделу наоборот активировать права оператора (чтобы могли помогать коллегам в конференции);

• выбрать содержимое, которое будет передаваться в push-уведомлениях на мобильные устройства;

• отдельно ограничить возможности внешних пользователей, то есть абонентов, которые имеют учётную запись на другом сервере с настроенной федерацией (ниже подробно рассмотрено использование федерации для внешних чатов);

• отдельно ограничить возможности внешних пользователей, то есть абонентов, которые имеют учётную запись на другом сервере с настроенной федерацией;

• запретить использование приложений определённых версий либо на отдельных ОС.

Для проведения публичных конференций (например, вебинаров) можно разрешить гостевой доступ для неавторизованных пользователей, тонко настроив им параметры участия. Вы можете:

• ограничить для гостей список возможностей на уровне конференции;

• активировать обязательную регистрацию на вебинар;

• ограничить возможности для неавторизованных гостевых пользователей сразу для всех конференций.

duración de esta sesión;

Если вы запускаете несколько раз конференцию из группового чата, то это каждый раз будет новое мероприятие со своим ID. И в этом случае может быть разный состав участников, не обязательно все пользователи из чата. Для того, чтобы конфиденциально обсуждать какие-то вопросы с ограниченным составом, чтобы сообщения не видели все остальные члены группового чата, для каждой конференции можно создать свой чат. В этом случае переписка в пределах таких созвонов будет уникальной и не видна всем остальным. По умолчанию чат остаётся общий для удобства (то есть исходный), и чтобы создать новый конфиденциальный чат для конференции надо разорвать связь как показано в документации к приложению.

Bloque "Certificado cargado"

Для кодирования видео мы используем собственную модификацию кодека VP8, реализующую технологию SVC, поэтому, даже завладев видеопотоком (что тоже практически невозможно - см. следующие разделы), злоумышленник не сможет декодировать видео стандартными средствами.

Уровень 4. Работа по одному порту

Для передачи медиапотоков и сигнальных данных по протоколу TrueConf между приложениями TrueConf и сервером TrueConf Server используется всего один TCP порт – 4307. Трафик при этом шифруется с помощью AES и при необходимости дополнительно в соответствии с ГОСТ.

Если не планируется использование сторонних протоколов (WebRTC, SIP, H.323, RTSP и RTMP), то все порты кроме 4307 и 443 (используется для работы по защищённому протоколу HTTPS) можно закрыть на вашем сетевом оборудовании. Это позволит обеспечить максимальную безопасность службы ВКС на «железном» уровне.

Мы настоятельно рекомендуем сразу после установки настроить HTTPS, т.к. от него зависит возможность входа пользователей в личный кабинет, а также ряд функций в приложениях: планирование конференций, работа с опросами, стенограммами и пр.

transparencia, rapidez y comodidad en la administración;

Вы можете разрешить доступ к панели управления сервером на разных уровнях:

• только с компьютеров в локальной (корпоративной) сети;

• указать диапазон IP адресов с которых доступна панель управления;

• 5. Reinicie el ordenador donde está instalado TrueConf Server.

• указать уровень доступа для каждого администратора TrueConf Server: полный доступ или только для просмотра отчётов и записей видеоконференций.

parámetros de acceso al panel de control;

Tecnologías avanzadas de transmisión de datos

В наш протокол передачи сигналов, регулирующих порядок обмена информацией, инкапсулирован хорошо зарекомендовавший себя протокол защиты транспортного уровня TLS 1.3 (более современная версия SSL). Этот протокол также используется нами для защиты соединений через сторонние протоколы SIP и WebRTC, которые используются для связи с браузерами и сторонним ВКС-оборудованием шлюзом TrueConf Server.

Для интеграции со службами каталогов доступно использование защищённого протокола LDAPS с использованием TLS-сертификата.

Tecnologías avanzadas de transmisión de datos

При кодировании медиаданных в TrueConf Server используется реализация алгоритма с самым длинным ключом, AES-256. Аппаратная поддержка AES реализована во всех современных процессорах Intel, AMD и ARMv8, что значительно повышает безопасность видеосвязи без ущерба для производительности.

La adición de una marca de agua no está disponible en la versión TrueConf Server Free, se requiere cualquier licencia de pago.

• WebRTC – с помощью протоколов и алгоритмов DTLS и SRTP;

• Llamadas de video a través del protocolo RTSP.

• H.323 – по протоколу H.235.

Уровень 8. Сквозное шифрование с помощью VPN-шлюзов

Для полной уверенности в защите конфиденциальности ваших видеоконференций между сегментами сети вашего предприятия можно установить программные или программно-аппаратные VPN-шлюзы, которые обеспечат сквозное шифрование всего корпоративного трафика по портам, используемым службами TrueConf. Как вы уже заметили, таких обязательных портов всего два.

В рамках тех. поддержки наши специалисты будут рады помочь вам настроить работу нашего ПО с этими системами.

Re-registro del servidor en una red cerrada

И главное. При использовании TrueConf Server вы полностью исключаете риски, связанные с зависимостью от облачных провайдеров:

• только ваши сотрудники имеют физический доступ к серверам, которые обеспечивают работоспособность службы ВКС;

• TrueConf Server es una solución segura que permite realizar videoconferencias dentro de la red corporativa (cerrada) sin conexión a Internet.

• вы не зависите от стабильности интернет-подключения ЦОД и наличия на нём электричества (а у себя вы можете сделать даже питание от автономного генератора в случае ЧП);

• вы полностью контролируете выделение аппаратных ресурсов для компонентов TrueConf Server и можете быть уверены, что они не будут заняты сторонним ПО.

Используя облачные или гибридные ВКС системы, вы никогда не можете быть уверенными в том, что:

• разработчики облачных сервисов не имеют удалённого доступа к виртуальным машинам с вашими ВКС-серверами, а значит к отчётам, параметрам устройств участников конференции и прочей чувствительной информации;

• системные администраторы, обслуживающие ЦОД таких ВКС сервисов, не имеют доступа к среде исполнения и её файловой системе;

• в рамках исполнения иностранного законодательства о раскрытии данных пользователей или для проведения различных сертификаций сотрудники таких сервисов не создадут риски компрометации информации о ваших переговорах;

• записи ваших переговоров не могут быть доступны любому злоумышленнику в сети Интернет, перехватившему логин и пароль от вашей учётной записи.

При использовании TrueConf Server вы полностью исключаете эти риски. Только ваши сотрудники имеют физический доступ к серверам, которые обеспечивают работоспособность службы ВКС. А сам TrueConf Server полностью автономен и не требует подключения к Интернету для работы, поэтому может быть изолирован внутри корпоративной (закрытой) сети, где доступ к его службам будут иметь только ваши пользователи.

creación de un directorio para almacenar archivos:

Для повышения безопасности доступа к данным администратор TrueConf Server может независимо настроить сроки хранения:

• grabaciones de conferencias;

• файлов, переданных в личных и групповых чатах.

Независимо от этого есть возможность ограничить объём дискового пространства, который выделен для хранения файлов чатов.

configuración de acceso al protocolo;

TrueConf Server предоставляет богатый набор инструментов API для более полной интеграции севера ВКС и стороннего программного обеспечения. При этом используется механизм OAuth 2.0, что обеспечивает ряд преимуществ:

• Llamadas de video a través del protocolo RTSP.

• Las capacidades de una aplicación de terceros para trabajar con la API dependen de los permisos que se le hayan otorgado.

• процесс авторизации приложения с помощью сложного короткоживущего токена доступа без необходимости передачи в явном виде логина и пароля.

Уровень 12. Постоянные обновления безопасности

TrueConf Server es compatible con los siguientes modos de videoconferencia:

• помимо внутреннего аудита наш продукт проходит регулярные проверки безопасности со стороны крупнейших отечественных и иностранных заказчиков;

• все найденные уязвимости фиксируются в БДУ ФСТЭК (opens new window) и в базах Национального института стандартов и технологий США (NIST (opens new window));

• мы как вендор оперативно выпускаем обновления для всех найденных уязвимостей.

Уровень 13. Поддержка шифрования хранящихся данных

No puede cambiar las configuraciones descritas anteriormente. Solo están disponibles para su edición por el administrador de TrueConf Server.

• Creación y edición de encuestas

• программное шифрование на уровне логического раздела диска (например, eCryptfs на ОС Linux или BitLocker в Windows).

Integración con DLP

Платформа коммуникаций для крупных заказчиков TrueConf Enterprise поддерживает интеграцию с DLP-системами (Data Leak Prevention, предотвращение потери данных) — специализированным ПО для предотвращения утечек информации в соответствии с заданными политиками безопасности. Благодаря полной поддержке протокола ICAP можно настроить предварительной проверку передаваемых текстовых сообщений и файлов в чатах через любую систему DLP, что обеспечит дополнительный слой безопасности обсуждения корпоративных тем.

Encontrará la descripción de la integración con los sistemas DLP en la sección "Configuración de extensiones".

gráficos de variación temporal de la carga del servidor:

Если требуется организовать общение с внешними пользователями на постоянной основе в групповых или личных чатах, то для таких контактов можно использовать отдельный сервер в DMZ-зоне корпоративной сети с настроенной федерацией с основным сервером ВКС. Это позволит не просто организовать общение с пользователями, не относящимися к вашей организации, но и тонко настроить их возможности в конференциях и чатах, например, в целях безопасности запретить передачу файлов. А благодаря размещению сервера в DMZ вы не подвергаете риску основной сетевой контур компании.

Para obtener más información sobre las formas de conectarse a una conferencia, consulte el artículo correspondiente.

Уровень 16. Защита трафика через пограничный контроллер

Комплексное решение TrueConf Enterprise предоставляет отдельный модуль для защиты внешних подключений (снаружи сети) под названием TrueConf Border Controller. С его помощью можно эффективно фильтровать трафик от клиентских приложений TrueConf, пропуская в сторону серверов видеосвязи только безопасные протоколы TrueConf и HTTPS. Дополнительно доступно шифрование трафика с помощью множества симметричных алгоритмов, в том числе с использованием PSK (Pre-Shared Key).

Para obtener más información sobre el principio de funcionamiento y la configuración de esta extensión, consulte su documentación.

Bloque "Certificado cargado"

В обычной схеме передачи push-уведомлений участвует внешний сервис от TrueConf по интернет-адресу reg.trueconf.com. Все уведомления проксируются через этот сервис и потом передаются в сторону клиентского приложения на мобильном устройстве в зависимости от того, откуда оно было установлено (подробнее тут).

Такая схема может не подходить крупным заказчикам, которым требуется интеграция с MDM-системами или максимально высокий приоритет отправки push-уведомлений (без прохождения через общую очередь на reg.trueconf.com). В таком случае компания TrueConf может предоставить on-premises сервер уведомлений, который будет установлен в контуре заказчика и самостоятельно проксировать пуши через провайдеры уведомлений. Если это вас не убедило, то назначьте связь ваших ИБ-специалистов с командой TrueConf по любым удобным контактам. Мы ответим на все интересующие вопросы.