Привет, Хабр!

В прошлом году мы реализовали большой и очень важный для нас проект - внедрение UCрешения (UC – unified communications, в самом простом варианте – ВКС + мессенджер) IVA в инфраструктуру одного из наших крупных Заказчиков из сферы финансов. Хотели бы рассказать, из чего состоял данный проект, что мы делали и чем все закончилось.

Итак, начинается проект с выявления требований Заказчика к системе. Основное требование – внедренная система UC должна быть современным, отечественным решением, полностью удовлетворяющим требованиям импортозамещения и с гарантированной поддержкой от производителя. Такое решение обеспечит Заказчика возможностью проводить видеовстречи, переговоры и совещания, а также общаться с помощью сообщений в мессенджере в системе, независимой от внешних санкций.

Помимо этого, конечно же, были и не такие общие требования. Основное из них – система должна быть интегрирована с другими корпоративными службами Заказчика.

Мы определили основные шаги реализации проекта:

  • Проанализировать текущую инфраструктуру Заказчика и определить системы, с которыми потребуется интегрировать новую UC-систему.

  • Разработать проект новой коммуникационной инфраструктуры с учётом внедрения IVA.

  • Провести работы по интеграции IVA в существующую инфраструктуру, включая связь с системами безопасности, каталогами, почтовой системой, ВКС оборудованием в переговорных помещениях и SIP-телефонией.

Что мы делали

В процессе исследования инфраструктуры Заказчика определили системы, требующие интеграции с внедряемой системой UC:

  • Служба каталогов Active Directory (AD);

  • Корпоративная почтовая система;

  • Телефония двух производителей: западного и отечественного;

  • Системы защиты информации: DLP, SIEM и Антивирус.

  • ВКС оборудование различных производителей

Мы решили развернуть Active-Active кластер IVA: настроили два параллельно работающих сервера управления и пару десятков медиа-серверов – для распределения нагрузки. При отказе основного сервера управления происходит автоматическое переключение на резервный. Пользователи этого не замечают (или замечают совсем небольшой лаг) и продолжают работать. Так мы обеспечили бесперебойную работу сервиса.

К системе UC планировалось подключение (и в итоге было подключено) 20 тысяч пользователей.

Система крупная, и помимо задач внедрения нового ядра UC – нужно не мешать уже работающим системам и не рушить бизнес-процессы. Поэтому, сначала IVA разворачивалась «рядом» с существующей инфраструктурой.

Особенности интеграции с корпоративными системами

Интеграция с Outlook

У заказчика в инфраструктуре используются Outlook 2016 и 2019. Для интеграции IVAConnect с Outlook используется специальный плагин. Во время пилотного тестирования мы столкнулись со сложностями в синхронизации встреч, созданных в IVA и Outlook. Более точно, надо было решить такие проблемы:

  • При создании серии повторяющихся мероприятий в календарь попадало только первое.

  • При изменении параметров встречи на любой из платформ – изменения не подтягивались на вторую.

  • У некоторых пользователей плагин работал нестабильно или вовсе не устанавливался.

Эти проблемы мы решали совместно с IVA – т.к. требовалось вносить правки в их плагин для Outlook.

  1. Добавление поддержки старых версий Outlook

  • У части сотрудников были установлены устаревшие версии Outlook, поэтому плагин не всегда обрабатывал ссылки и отображал встречи. Совместно с вендором внесли правки в логику формирования приглашений. 

  • Начиная с версии плагина 1.5.5, даже в старых версиях Outlook начали корректно отображаться мероприятия из IVA Connect

    2. Внесение исправлений в установщик плагина

  • В используемой ранее версии плагина 1.3.2 установщик иногда помещал файлы в директории с ограниченным доступом, из-за чего пользователи не видели функциональность плагина.

  • Мы нашли решение – надо было добавить возможность ручного выбора директории для установки. Это как раз и пригодилось, т.к. у заказчика применялись нестандартные групповые политики на рабочих местах сотрудников.

Эти доработки сделали использование системы более удобным и снизили нагрузку на техническую поддержку заказчика.

Интеграция с DLP SearchInform

Отдел ИБ заказчика потребовал интегрировать IVA с DLP системой SearchInform. Теоретически, подобная интеграция осуществляется по API, но на тот момент IVA еще не могла отдавать требуемую информацию через API.

Вместо этого мы выбрали другой подход – реализовали проверку чатов и передаваемых в них документов с помощью протокола ICAP.

Как итог, реализовали следующий функционал:

  1. Отправку и прием сообщений и файлов на сервере IVA через SearchInform для проверки.

  2. Обработку на стороне DLP системы информации, полученной от IVA по протоколу ICAP

  3. Дальнейшую пересылку проверенных сообщений и файлов конечным пользователям

Проверка на соответствие требованиям ИБ Заказчика

После дополнительной проверки системы, команда ИБ заказчика выявила ряд уязвимостей. Часть из них:

  1. Пароли – хранились в хэшах. Требовалось усилить алгоритм шифрования.

  2. Форма восстановления пароля – по коду ответа (200/400) 3-я сторона может узнать, существует ли пользователь

  3. Cookie su.ivcs.session – не было защиты от XSS, CSRF и MITM.

  4. Загрузка файлов – не проверялись расширения и типы. Гость мог загрузить, например, файл .exe или другой вредоносный файл.

  5. TLS-ключ в JS-файле – в кэше оказался приватный ключ, доступный по ссылке типа https://x.x.x.x/cashe.js

Уязвимости серьезные, но все поправили:

  • Внедрили дополнительные валидации

  • Усилили защиту cookie

  • Устранили утечки и поправили процесс восстановления пароля

Подключение ВКС терминалов к новому ядру IVA

Последняя и самая легкая часть проделанной работы – это подключение терминалов к новому ядру. Все терминалы заказчика поддерживали SIP протокол, поэтому данная глава была завершена очень быстро.

После всех проделанных работ платформа прошла аудит и была внедрена в продуктивную среду.

Что в итоге

По итогам реализации проекта Заказчик получил современный и надежный сервис видеоконференцсвязи, полностью соответствующий актуальным потребностям компании и требованиям к организации работы сотрудников. Внедренная система UC IVA позволяет эффективно проводить мероприятия различных форматов с соблюдением действующих стандартов информационной безопасности банка.

IVA предоставляет сотрудникам заказчика следующие возможности:

  • планирование и проведение мероприятий (совещаний, лекций, опросов) с интеграцией в корпоративную почтовую службу;

  • общение в текстовом чате во время конференций;

  • проведение голосований и опросов прямо в ходе мероприятий;

  • использование функционала «Белая доска» для совместной работы;

  • обмен файлами и их безопасное хранение;

  • запись проводимых мероприятий для дальнейшего использования;

  • возможность использования ВКС оборудования в помещениях;

  • подключение участников с SIP-телефонов благодаря интеграции с системой телефонии;

  • контроль подключений пользователей и передаваемых файлов благодаря интеграции с системами информационной безопасности.

Дополнительно мы приняли внедренную систему UC IVA на сервисную поддержку. 

Благодаря этому проекту мы смогли освежить наши навыки работы с UC решениями в крупных заказчиках, а также получили прекрасную тему для рассказа здесь. Всё-таки, не каждый день получается интегрировать такое большое количество систем и пройти кучу проверок от ИБ.