Grundlegendes zu Unified Messaging VoIP-Sicherheit

  • Artikel

 

Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Letztes Änderungsdatum des Themas: 2008-07-03

Ein wichtiger Aspekt bei der Netzwerksicherheit ist der Schutz der Unified Messaging-Infrastruktur. Bestimmte Komponenten in Ihrer Unified Messaging-Umgebung müssen richtig konfiguriert werden, damit Daten, die von Unified Messaging-Servern in Ihrem Netzwerk gesendet und empfangen werden, entsprechend geschützt sind. Zu diesen Komponenten gehören Unified Messaging-Server und -Wählpläne. In diesem Thema wird erläutert, wie Sie den Schutz von Unified Messaging-Netzwerkdaten und -Servern in Ihrer Organisation erhöhen können. Führen Sie zur besseren Absicherung Ihrer Unified Messaging-Umgebung und Aktivierung der VoIP-Sicherheit (Voice over IP) folgende Schritte aus:

  1. Installieren Sie die Serverfunktion UnifiedMessaging.

  2. Erstellen Sie einen UM-Wählplan, und konfigurieren Sie für diesen die Verwendung der VoIP-Sicherheit.

  3. Weisen Sie die Unified Messaging-Server dem UM-Wählplan zu.

  4. Exportieren und importieren Sie die erforderlichen Zertifikate, damit die Unified Messaging-Server, IP-Gateways, IP-PBX-Anlagen (IP Private Branch eXchanges) und andere Server unter Microsoft Exchange Server 2007 MTLS (Mutual Transport Layer Security) verwenden können.

  5. Konfigurieren Sie die UM-IP-Gateways, die normalerweise einen vollqualifizierten Domänennamen (FQDN) besitzen.

Schützen von Unified Messaging

Es stehen mehrere Sicherheitsmethoden zur Verfügung, über die Sie Ihre Unified Messaging-Server sowie den Netzwerkdatenverkehr schützen können, der zwischen Ihren IP-Gateways und Unified Messaging-Servern bzw. zwischen Ihren Unified Messaging-Servern und anderen Exchange 2007-Servern in der Organisation stattfindet. In der folgenden Tabelle werden einige der möglichen Gefahren für Ihre Unified Messaging-Infrastruktur und die geeigneten Sicherheitsmethoden aufgeführt.

Schützen von Unified Messaging

Mögliche Gefahr Geeignete Sicherheitsmethode

Überwachen der Sprachkommunikation

  • Verwenden Sie IPSec (Internet Protocol Security). IPSec muss jedoch vom IP-Gateway oder von der IP-PBX-Anlage unterstützt werden.

  • Verwenden Sie SRTP (Secure Realtime Transport Protocol) (nur Exchange 2007 SP1).

Überwachen der Faxkommunikation

  • Verwenden Sie IPSec. IPSec muss jedoch vom IP-Gateway oder von der IP-PBX-Anlage unterstützt werden.

Angriff auf IP-Gateway oder IP-PBX

  • Verwenden Sie strenge Authentifizierungsmethoden.

  • Verwenden Sie komplexe Administratorkennwörter.

  • Verwenden Sie SSL (Secure Sockets Layer) zum Schützen der Administratoranmeldeinformationen. Dabei muss der IP-Gateway oder die IP-PBX-Anlage SSL unterstützen.

  • Verwenden Sie SSH (Secure Shell) anstelle von Telnet.

Nicht autorisierte Ferngespräche

  • Verwenden Sie UM-Wählplanregeln und Wähleinschränkungen. Diese können im UM-Wählplan oder in UM-Postfachrichtlinien festgelegt werden.

  • Optional können Sie möglicherweise über die PBX-Anlage weitere Wähleinschränkungen vorgeben.

Dienstverweigerungsangriff

  • Der Unified Messaging-Server kommuniziert nur mit UM-IP-Gateways oder IP-PBX-Anlagen, die in der Liste der als vertrauenswürdig eingestuften VoIP-Geräte oder Server aufgeführt werden. Diese Liste wird beim Erstellen eines UM-IP-Gateways im Active Directory-Verzeichnisdienst angelegt.

  • Verwenden Sie MTLS (Mutual Transport Layer Security).

SIP-Proxyidentitätswechsel (Session Initiation Protocol)

  • Verwenden Sie MTLS (Mutual Transport Layer Security).

  • Verwenden Sie IPSec. IPSec muss jedoch vom IP-Gateway oder von der IP-PBX-Anlage unterstützt werden.

  • Konfigurieren Sie vertrauenswürdige LANs, wie beispielsweise VLANs, dedizierte WAN-Leitungen oder VPNs (Virtual Private Networks).

Lauschangriffe und Eindringen in Sitzungen

  • Verwenden Sie TLS, um Lauschangriffe zu reduzieren.

  • Verwenden Sie IPSec. IPSec muss jedoch vom IP-Gateway oder von der IP-PBX-Anlage unterstützt werden.

  • Konfigurieren Sie vertrauenswürdige LANs, wie beispielsweise VLANs, dedizierte WAN-Leitungen oder VPNs.

Einige der in der vorherigen Tabelle aufgelisteten Sicherheitsmethoden können Sie zum Schützen Ihrer Unified Messaging-Umgebung verwenden. Zu den wichtigsten Mechanismen zum Schützen der Infrastruktur und des von Unified Messaging erzeugten Netzwerkverkehrs gehört MTLS (Mutual Transport Layer Security).

Mit MTLS können Sie den VoIP-Verkehr (Voice over IP) zwischen IP-Gateways, IP-PBX-Anlagen sowie anderen Exchange 2007-Servern und den Unified Messaging-Servern in Ihrem Netzwerk verschlüsseln. Die Verschlüsselung der VoIP-Daten mit MTLS bietet den besten Schutz.

Abhängig von der drohenden Gefahr haben Sie zusätzlich die Möglichkeit, IPSec-Richtlinien zu konfigurieren, mit denen Sie die Datenverschlüsselung zwischen IP-Gateways oder IP-PBX-Anlagen und einem Unified Messaging-Server oder zwischen einem Unified Messaging-Server und anderen Exchange 2007-Servern in Ihrem Netzwerk aktivieren können. In einigen Umgebungen ist die Verwendung von IPSec unter Umständen nicht möglich, da IPSec entweder nicht zur Verfügung steht oder nicht von den IP-Gateways oder den IP-PBX-Anlagen unterstützt wird. Außerdem erhöht IPSec die Verarbeitungslast von Systemressourcen auf Unified Messaging-Servern. Aus diesen beiden Gründen ist MTLS für das Schützen des VoIP-Netzwerkverkehrs in Ihrer Unified Messaging-Umgebung die bessere Wahl.

Nach der richtigen Implementierung und Konfiguration von MTLS wird der VoIP-Verkehr zwischen den IP-Gateways, den IP-PBX-Anlagen und von anderen Exchange-Servern zum Unified Messaging-Server verschlüsselt. Wenn MTLS jedoch nicht zum Sichern des Datenverkehrs verwendet werden kann, der von einem Unified Messaging-Server gesendet oder empfangen wird, beispielsweise wenn ein Unified Messaging-Server mit einem anderen Server im Netzwerk, z. B. einem Active Directory-Domänencontroller oder einem Exchange 2007-Postfachserver, kommuniziert, werden andere Verschlüsselungsarten zum Schützen der Daten verwendet. In der folgenden Abbildung werden die Verschlüsselungsmethoden dargestellt, die zum Schutz von Unified Messaging verwendet werden können.

UM VoIP-Sicherheit

UM VoIP-Sicherheit

Zertifikattypen

Bei digitalen Zertifikaten handelt es sich um elektronische Dateien, die als eine Art Onlineausweis zur Identifikation eines Benutzers oder Computers dienen und zum Erstellen eines verschlüsselten Kanals zum Schutz von Daten verwendet werden. Ein Zertifikat ist im Grunde eine digitale Bescheinigung von einer Zertifizierungsstelle (Certification Authority, CA), die die Identität des Zertifikatinhabers bestätigt und den Parteien eine sichere Kommunikation durch die Verschlüsselung von Daten ermöglicht. Zertifikate können von einer vertrauenswürdigen Drittanbieter-CA, beispielsweise mithilfe von Zertifikatdiensten, ausgestellt oder selbst signiert werden. Jeder Zertifikattyp hat Vor- und Nachteile. Zertifikate sind jedoch in jedem Fall manipulationssicher und können nicht gefälscht werden. Zertifikate können für eine Vielzahl von Funktionen, wie beispielsweise Webbenutzerauthentifizierung, Webserverauthentifizierung, S/MIME, IPSec, TLS (Transport Layer Security) und Codesignatur, ausgegeben werden.

Ein Zertifikat bindet einen öffentlichen Schlüssel an die Identität der Person, des Computers oder des Diensts mit dem entsprechenden privaten Schlüssel. Öffentliche und private Schlüssel werden sowohl vom Client als auch vom Server zum Verschlüsseln von Daten vor deren Übermittlung verwendet. Viele Sicherheitsdienste und -anwendungen, die öffentliche Schlüssel für Authentifizierung, Datenintegrität und sichere Kommunikation über Netzwerke wie das Internet einsetzen, verwenden Zertifikate. Für Windows-basierte Benutzer, -Computer und -Dienste wird eine Vertrauensstellung in einer Zertifizierungsstelle eingerichtet, wenn sich eine Kopie des Stammzertifikats im vertrauenswürdigen Stammspeicher befindet und das Zertifikat einen gültigen Zertifizierungspfad enthält. Das bedeutet, kein Zertifikat wurde im Zertifizierungspfad widerrufen oder bei keinem ist der Gültigkeitszeitraum abgelaufen.

Digitale Zertifikate bewirken Folgendes:

  • Sie bestätigen, dass ihre Inhaber – Personen, Websites und sogar Netzwerkressourcen wie z. B. Router – wirklich das sind, was sie vorgeben zu sein.

  • Sie schützen online ausgetauschte Daten vor Diebstahl und Manipulation.

In der Regel stehen Unified Messaging- und IP-Gateways oder IP-PBX-Anlagen drei Zertifikatlösungen oder -typen zur Verfügung. In allen drei Ansätzen oder Lösungen ist der öffentliche Schlüssel des Zertifikatinhabers Bestandteil des Zertifikats, sodass der Server, der Benutzer, die Website oder die andere Ressource am anderen Ende in der Lage ist, die Nachrichten zu entschlüsseln. Der private Schlüssel ist nur dem Signaturgeber des Zertifikats bekannt. Jedes Zertifikat enthält ein EnhancedKeyUsage-Attribut, mit dem die Verwendung des Zertifikats festgelegt ist. Es kann beispielsweise festgelegt sein, dass das Zertifikat nur zur Serverauthentifizierung oder für die Verwendung mit dem verschlüsselnden Dateisystem genutzt werden kann. Unified Messaging verwendet das Zertifikat zur Serverauthentifizierung und Datenverschlüsselung.

Selbstsignierte Zertifikate

Bei einem selbstsignierten Zertifikat handelt es sich um ein Zertifikat, das von seinem Ersteller signiert wurde. Antragsteller und Name des Zertifikats stimmen überein. Bei selbstsignierten Zertifikaten sind Aussteller und Antragsteller im Zertifikat definiert. Es ist weder eine Zertifizierungsstelle seitens Ihrer Organisation noch seitens eines Drittanbieters erforderlich. Sie müssen diese Zertifikate explizit konfigurieren und sie in den vertrauenswürdigen Stammzertifikatspeicher der jeweiligen IP-Gateways, IP-PBX-Anlagen, anderen Unified Messaging-Server sowie anderen Exchange 2007-Computer kopieren, wenn der Unified Messaging-Server, der das Zertifikat ausgestellt hat, diese als vertrauenswürdig einstufen soll.

Wenn kein PKI-basiertes Zertifikat oder Drittanbieterzertifikat verfügbar ist, sucht der Unified Messaging-Server nach einem selbstsignierten Zertifikat im lokalen Zertifikatspeicher. Ist kein PKI- oder Drittanbieterzertifikat zu finden, wird ein selbstsigniertes Zertifikat für MTLS erzeugt. Da es sich hierbei jedoch um ein selbstsigniertes Zertifikat handelt, wird es von IP-Gateways, IP-PBX-Anlagen im Netzwerk oder anderen Servern im Netzwerk nicht als vertrauenswürdig eingestuft. Um sicherzustellen, dass ein selbstsigniertes Zertifikat von IP-Gateways, IP-PBX-Anlagen oder anderen Servern als vertrauenswürdig eingestuft wird, müssen Sie dieses Zertifikat in den lokalen vertrauenswürdigen Stammzertifikatspeicher der Geräte und Server importieren. Wenn der Unified Messaging-Server anschließend dieses selbstsignierte Zertifikat dem IP-Gateway, der IP-PBX-Anlage oder dem Server anbietet, wird sichergestellt, dass das Zertifikat von einer vertrauenswürdigen Stelle ausgestellt wurde, da der Aussteller dem im selbstsignierten Zertifikat definierten Antragsteller entspricht.

Wenn Sie ausschließlich selbstsignierte Zertifikate verwenden, müssen Sie für jeden IP-Gateway, jede IP-PBX-Anlage oder jeden Server ein einzelnes selbstsigniertes Zertifikat importieren. In großen Netzwerkumgebungen mit mehreren Geräten oder Computern ist dies unter Umständen nicht die beste Lösung für die MTLS-Implementierung. Die Verwendung von selbstsignierten Zertifikaten in einem großen Unternehmensnetzwerk ist aufgrund des zusätzlichen Verwaltungsaufwands nicht geeignet. Der Verwaltungsmehraufwand ist jedoch kein Problem, wenn mehrere Geräte eingesetzt werden und Sie ein PKI-Zertifikat oder kommerzielles Drittanbieterzertifikat verwenden. In diesem Fall verfügt jedes Gerät über ein Zertifikat, das von derselben vertrauenswürdigen Stammzertifizierungsstelle ausgestellt wurde. Bei einem Zertifikat derselben vertrauenswürdigen Stammzertifizierungsstelle wird sichergestellt, dass alle IP-Gateways, IP-PBX-Anlagen oder anderen Server dem Unified Messaging-Server vertrauen.

Voraussetzungen für den Einsatz von MTLS bei Verwendung von selbstsignierten Zertifikaten:

  1. Importieren Sie das selbstsignierte Zertifikat des Unified Messaging-Servers in den vertrauenswürdigen Stammzertifizierungsspeicher der einzelnen IP-Gateways, IP-PBX-Anlagen oder anderen Server, mit denen der Unified Messaging-Server unter Verwendung von MTLS kommuniziert.

  2. Importieren Sie das selbstsignierte Zertifikat jedes IP-Gateways, jeder IP-PBX-Anlage oder jedes anderen Servers in den vertrauenswürdigen Stammzertifikatspeicher des Unified Messing-Servers. Wenn Sie ein PKI-Zertifikat oder ein Zertifikat eines Drittanbieters verwenden, importieren Sie das Zertifikat der Zertifizierungsstelle auf allen Geräten und Servern in das vertrauenswürdige Stammzertifikatverzeichnis.

Selbstsignierte Zertifikate sind häufig nicht die beste Zertifikatlösung für die Bereitstellung von MTLS oder der zertifikatbasierten Authentifizierung. Kleinere Organisationen mit einer begrenzten Anzahl an Geräten oder Computern entscheiden sich gelegentlich für diese Lösung, da sie die preiswerteste und zugleich einfachste zu konfigurierende Zertifizierungsmethode für die Implementierung von MTLS darstellt. Kleinere Organisationen lehnen die Verwendung eines Drittanbieterzertifikats oder die Installation einer eigenen PKI zur Ausstellung eigener Zertifikate häufig ab, weil sie die Ausgaben scheuen oder/und ihre Administratoren nicht über entsprechende Erfahrungen und Kenntnisse bei der Erstellung einer eigenen Zertifikathierarchie verfügen. Bei der Verwendung von selbstsignierten Zertifikaten sind die Kosten minimal, und die Einrichtung ist einfach. Das Erstellen einer Infrastruktur für Zertifikatlebenszyklus-Verwaltung, Erneuerungen, Vertrauensverwaltung und Sperrung ist bei selbstsignierten Zertifikaten jedoch wesentlich schwieriger. Weitere Informationen zum Erstellen eines Zertifikats für TLS finden Sie unter Erstellen eines Zertifikats oder einer Zertifikatsanforderung für TLS.

Public-Key-Infrastruktur

Bei einer Public-Key-Infrastruktur (PKI) handelt es sich um ein System von digitalen Zertifikaten, Zertifizierungsstellen (Certification Authorities, CAs) und Registrierungsstellen (Registration Authorities, RAs), das zum Prüfen und Authentifizieren der Gültigkeit der an der elektronischen Transaktion beteiligten Parteien die Kryptografie mit öffentlichen Schlüsseln verwendet. Wenn Sie eine Zertifizierungsstelle in eine Organisation implementieren, in der Active Directory verwendet wird, stellen Sie eine Infrastruktur für Zertifikatlebenszyklus-Verwaltung, Erneuerungen, Vertrauensverwaltung und Sperrung zur Verfügung. Diese Eigenschaften bieten eine solide Infrastruktur für alle Zertifikate in Ihrer Organisation. Bei der Bereitstellung von zusätzlichen Servern und der Infrastruktur zum Erstellen und Verwalten dieser Zertifikattypen entstehen jedoch Kosten.

Zertifikatdienste können auf jedem Server in der Domäne installiert werden. Wenn Sie Zertifikate von einer Windows-basierten Domänenzertifizierungsstelle anfordern, können Sie über die Zertifizierungsstelle Zertifikate für Ihre eigenen Server oder Computer im Netzwerk anfordern oder signieren. So können Sie eine PKI verwenden, die der Verwendung eines Zertifikatdrittanbieters ähnelt, aber weniger kostspielig ist. Obwohl diese PKIs nicht wie andere Zertifikattypen öffentlich bereitgestellt werden können, wird bei Verwendung einer PKI das Zertifikat des Requestors mithilfe des privaten Schlüssels von einer Zertifizierungsstelle signiert, und der Requestor wird überprüft. Der öffentliche Schlüssel dieser Zertifizierungsstelle ist Bestandteil des Zertifikats, das von der Zertifizierungsstelle ausgegeben wurde. Jeder, der das Zertifikat der Zertifizierungsstelle als Stammzertifikat einsetzt, kann den öffentlichen Schlüssel zum Entschlüsseln des Requestorzertifikats verwenden und den Requestor authentifizieren.

Wenn Sie ein PKI-Zertifikat zum Implementieren von MTLS verwenden, müssen Sie die erforderlichen Zertifikate auf die IP-Gateways oder IP-PBX-Anlagen kopieren. Anschließend müssen die auf den IP-Gateways oder IP-PBX-Anlagen befindlichen Zertifikate auf die Unified Messaging-Server kopiert werden, die dem im sicheren Modus konfigurierten UM-Wählplan zugeordnet sind.

Setup und Konfiguration für die Verwendung von PKI- und Drittanbieterzertifikaten ähneln den Verfahren, die Sie zum Importieren und Exportieren von selbstsignierten Zertifikaten durchführen. Sie müssen jedoch nicht nur das Computerzertifikat im vertrauenswürdigen Stammzertifikatspeicher installieren. Sie müssen auch das vertrauenswürdige Stammzertifikat für die PKI in den vertrauenswürdigen Stammzertifikatspeicher der Unified Messaging-Server, IP-Gateways und IP-PBX-Anlagen in Ihrem Netzwerk importieren oder kopieren.

Führen Sie die folgenden Schritte durch, um bei vorhandener PKI-Struktur MTLS bereitzustellen:

  1. Generieren Sie auf jedem IP-Gateway bzw. jeder PBX-Anlage eine Zertifikatanforderung.

  2. Kopieren Sie die Zertifikatanforderung, die beim Anfordern des Zertifikats bei einer Zertifizierungsstelle verwendet werden soll.

  3. Fordern Sie mit der Zertifikatanforderung ein Zertifikat bei der Zertifizierungsstelle an. Speichern Sie das Zertifikat.

  4. Importieren Sie das auf den einzelnen Geräten oder Computern gespeicherte Zertifikat.

  5. Laden Sie das vertrauenswürdige Stammzertifikat für Ihre PKI herunter.

  6. Importieren Sie das vertrauenswürdige Stammverzeichnis von Ihrer PKI auf jedem Gerät. Wenn Sie das vertrauenswürdige Stammzertifikat auf einem Exchange 2007-Computer mit der Funktion UnifiedMessaging importieren, können Sie mit Gruppenrichtlinie das vertrauenswürdige Stammzertifikat in den vertrauenswürdigen Stammzertifikatspeicher auf dem Unified Messaging-Server oder anderen Exchange 2007-Servern importieren. Dieser Prozess wird auch verwendet, wenn Sie einen Server konfigurieren, auf dem die Serverfunktion UnifiedMessaging ausgeführt wird.

    Hinweis

    Die gleichen Schritte werden ausgeführt, wenn Sie ein Drittanbieterzertifikat zur MTLS-Implementierung verwenden.

Weitere Informationen zu Zertifikaten und PKIs finden Sie unter den folgenden Themen:

Drittanbieter-Zertifizierungsstellen

Bei Drittanbieter- oder kommerziellen Zertifikaten handelt es sich um Zertifikate, die von einer Drittanbieter- oder kommerziellen Zertifizierungsstelle erzeugt werden und die Sie anschließend zur Verwendung auf Ihren Netzwerkservern erwerben können. Bei selbstsignierten und PKI-basierten Zertifikaten besteht das Problem, dass das Zertifikat nicht als vertrauenswürdig eingestuft wird. Sie müssen sicherstellen, dass das Zertifikat in den vertrauenswürdigen Stammzertifikatspeicher auf Clientcomputern, Servern und anderen Geräten importiert wird. Bei kommerziellen Zertifikaten oder Zertifikaten von Drittanbietern tritt dieses Problem nicht auf. Die meisten kommerziellen CA-Zertifikate werden bereits als vertrauenswürdig eingestuft, da sich das Zertifikat bereits im vertrauenswürdigen Stammzertifikatspeicher befindet. Da der Aussteller als vertrauenswürdig eingestuft wird, gilt dies auch für das Zertifikat. Die Verwendung von Drittanbieterzertifikaten vereinfacht die Bereitstellung enorm.

Größere Organisationen oder Organisationen, die Zertifikate öffentlich bereitstellen müssen, sollten Drittanbieter- oder kommerzielle Zertifikate verwenden, auch wenn damit Kosten verbunden sind. Für kleiner und mittlere Organisationen stellen kommerzielle Zertifikate unter Umständen nicht die beste Lösung dar, und es sollten andere Zertifikatoptionen in Betracht gezogen werden.

Abhängig von der Konfiguration des IP-Gateway oder der IP-PBX-Anlage muss das Drittanbieter- oder kommerzielle Zertifikat möglicherweise weiterhin in den vertrauenswürdigen Zertifikatspeicher auf den IP-Gateways und IP-PBX-Anlagen importiert werden, damit es für MTLS verwendet werden kann. In einigen Fällen ist das Drittanbieterzertifikat jedoch im vertrauenswürdigen Stammzertifikatspeicher auf Ihrem Unified Messaging-Server und anderen Exchange 2007-Computern in Ihrer Organisation enthalten.

Die Verfahren zur Verwendung eines kommerziellen Drittanbieterzertifikats für die MTLS-Aktivierung entsprechen denen zur Verwendung eines PKI-Zertifikats. Der einzige Unterschied besteht darin, dass Sie kein PKI-Zertifikat generieren müssen, da Sie bereits ein Zertifikat von einem Anbieter kommerzieller Drittanbieterzertifikate erworben haben, das in den vertrauenswürdigen Stammzertifizierungsspeicher auf den Servern und Geräten in Ihrem Netzwerk importiert wird.

Konfigurieren von MTLS

Wenn ein Anruf von einem IP-Gateway eingeht, findet standardmäßig keine Verschlüsselung des VoIP-Datenverkehrs statt, und es wird dabei kein MTLS verwendet. Die Sicherheitseinstellung für einen Unified Messaging-Server ist jedoch im Unified Messaging-Wählplan konfiguriert, der dem Unified Messaging-Server zugeordnet ist. Damit der Unified Messaging-Server sicher mit IP-Gateways, IP-PBX-Anlagen oder anderen Exchange 2007-Servern kommunizieren kann, müssen Sie mithilfe des Cmdlets Set-UMDialPlan die VoIP-Sicherheit im UM-Wählplan konfigurieren und danach MTLS für die Unified Messaging-Server aktivieren, die dem UM-Wählplan zugeordnet sind.

Hinweis

Wenn in der RTM-Version von Exchange 2007 der Microsoft Exchange Unified Messaging-Dienst bereits ausgeführt wird und Sie den Unified Messaging-Server einem UM-Wählplan hinzufügen, müssen Sie den Microsoft Exchange Unified Messaging-Dienst erneut starten, damit die Sicherheitseinstellung im Wählplan wirksam wird. In Exchange 2007 Service Pack 1 (SP1) müssen Sie den Microsoft Exchange Unified Messaging-Dienst nicht erneut starten, wenn Sie den Unified Messaging-Server zu einem UM-Wählplan hinzufügen.

Nachdem Sie die VoIP-Sicherheit für den UM-Wählplan konfiguriert haben, können alle Unified Messaging-Server, die dem UM-Wählplan zugeordnet sind, auf sichere Weise kommunizieren. Abhängig von dem zur MTLS-Aktivierung verwendeten Zertifikattyp müssen Sie jedoch zuerst die erforderlichen Zertifikate sowohl auf den Unified Messaging-Servern als auch den IP-Gateways und PBX-Anlagen importieren und exportieren. Nach dem Importieren der erforderlichen Zertifikate auf dem Unified Messaging-Server müssen Sie den Microsoft Exchange Unified Messaging-Dienst erneut starten, damit Sie das importierte Zertifikat zum Einrichten einer verschlüsselten Verbindung zu den IP-Gateways oder IP-PBX-Anlagen verwenden können. Weitere Informationen zum Importieren und Exportieren von Zertifikaten finden Sie unter Importieren und Exportieren von Zertifikaten.

Nach dem erfolgreichen Import und Export der erforderlichen vertrauenswürdigen Zertifikate fordert der IP-Gateway ein Zertifikat vom Unified Messaging-Server an und dieser anschließend ein Zertifikat vom IP-Gateway. Durch den Austausch der vertrauenswürdigen Zertifikate zwischen dem IP-Gateway und dem Unified Messaging-Server können diese beiden mithilfe von MTLS über eine verschlüsselte Verbindung kommunizieren. Wenn ein Anruf auf einem IP-Gateway oder einer IP-PBX-Anlage eingeht, werden unter Verwendung von MTLS mit dem Unified Messaging-Server Zertifikate ausgetauscht und die Sicherheit ausgehandelt. Der Microsoft Exchange Unified Messaging-Dienst ist nicht in den Zertifikataustausch involviert und hat keinen Einfluss darauf, ob Zertifikate als gültig eingestuft werden. Wenn jedoch auf einem Unified Messaging-Server kein vertrauenswürdiges Zertifikat gefunden wird, ein vorhandenes vertrauenswürdiges Zertifikat ungültig ist oder ein Anruf aufgrund eines MTLS-Aushandlungsfehlers abgelehnt wird, erhält der Unified Messaging-Server eine entsprechende Nachricht vom Microsoft Exchange Unified Messaging-Dienst.

Obwohl der Microsoft Exchange Unified Messaging-Dienst nicht am Zertifikataustausch zwischen dem Unified Messaging-Server und den IP-Gateways beteiligt ist, führt der Microsoft Exchange Unified Messaging-Dienst folgende Aufgaben aus:

  • Er stellt dem Microsoft Exchange-Sprachdienst eine Liste der vollqualifizierten Domänennamen (Fully Qualified Domain Names, FQDNs) zur Verfügung, sodass nur Anrufe der in der Liste enthaltenen IP-Gateways oder IP-PBX-Anlagen akzeptiert werden.

  • Er übergibt die Attribute issuerName und SerialNumber eines Zertifikats an den Microsoft Exchange-Sprachdienst. Mithilfe dieser Attribute wird das Zertifikat, das der Unified Messaging-Server bei einer Zertifikatanforderung eines IP-Gateways oder einer IP-PBX-Anlage verwendet, eindeutig identifiziert.

Nachdem der Unified Messaging-Server und die IP-Gateways oder IP-PBX-Anlagen den Schlüsselaustausch zum Einrichten einer verschlüsselten Verbindung unter Verwendung von MTLS durchgeführt haben, erfolgt die Kommunikation über eine verschlüsselte Verbindung. Die Unified Messaging-Server kommunizieren auch mit anderen Exchange 2007-Servern wie Clientzugriffsservern und Hub-Transport-Servern über eine verschlüsselte Verbindung, die MTLS verwendet. MTLS wird jedoch nur zum Verschlüsseln von Datenverkehr oder Nachrichten verwendet, die vom Unified Messaging-Server an einen Hub-Transport-Server übermittelt werden.

Wichtig

Um MTLS zwischen einem UM-IP-Gateway und einem Wählplan im sicheren Modus zu aktivieren, müssen Sie zuerst den UM-IP-Gateway mit einem FQDN konfigurieren und festlegen, dass er Anschluss 5061 überwacht. Führen Sie zum Konfigurieren eines UM-IP-Gateways folgenden Befehl aus: Set-UMIPGateway -identity MyUMIPGateway -Port 5061.

IPSec

IPSec verwendet ebenfalls Zertifikate zum Verschlüsseln von Daten. Es bildet eine wichtige Verteidigungslinie gegen Angriffe auf das private Netzwerk und Internetangriffe.

IPSec verfolgt folgende Ziele:

  • Schutz des Inhalts von IP-Paketen.

  • Verteidigung bei Netzwerkangriffen über Paketfilterung und Erzwingen vertrauenswürdiger Kommunikation.

IPSec ist ein Framework offener Standards, das private, sichere Kommunikationen über IP-Netzwerke unter Verwendung von Kryptografiesicherheitsdiensten sicherstellen soll.

IPSec verwendet kryptografiebasierte Schutzdienste, Sicherheitsprotokolle und dynamische Schlüsselverwaltung. Es bietet die nötige Verschlüsselungstiefe und -flexibilität, um die Kommunikation zwischen privaten Netzwerkcomputern, Domänen, Standorten, Remotestandorten, Extranets und DFÜ-Clients zu schützen. Außerdem kann es zum Blockieren des Empfangs oder der Übertragung bestimmter Datenverkehrtypen verwendet werden.

IPSec basiert auf einem End-to-End-Sicherheitsmodell, das die Vertrauensstellung und Sicherheit zwischen einer Quell-IP-Adresse und einer Ziel-IP-Adresse einrichtet. Die IP-Adresse selbst gibt nicht unbedingt die Identität an. Stattdessen wird die Identität des Systems, das hinter der IP-Adresse steht, über einen Authentifizierungsprozess geprüft. Die einzigen Computer, die über den gesicherten Datenverkehr informiert sein müssen, sind die Sender- und Empfängercomputer. Jeder Computer behandelt Sicherheitsfragen auf seine Weise, in der Annahme, dass die bestehende Kommunikationsverbindung unsicher ist. Computer, die Daten ausschließlich vom Quell- an den Zielcomputer übermitteln, müssen IPSec nur unterstützen, wenn zwischen den beiden Computern eine Paketfilterung in Form einer Firewall oder einer Netzwerkadressübersetzung erfolgt. IPSec kann dann in folgenden Organisationsszenarien erfolgreich bereitgestellt werden:

  • LAN: Client-to-Server, Server-to-Server und Server-to-VoIP-Gerät

  • WAN: Router-to-Router und Gateway-to-Gateway

  • Remotezugriff: DFÜ-Clients und Internetzugriff von privaten Netzwerken

Auf beiden Seiten müssen in der IPSec-Konfiguration Optionen und Sicherheitseinstellungen festgelegt werden, auf die sich beide Systeme zum Sichern des untereinander ausgetauschten Datenverkehrs einigen. Dies wird als IPSec-Richtlinie bezeichnet. Die IPSec-Implementierungen in der Microsoft Windows 2000 Server-, Windows XP-, und Windows Server 2003-Produktfamilie basieren auf Industriestandards, die von der IETF-IPSec-Arbeitsgruppe (Internet Engineering Task Force) entwickelt wurden. Teile der IPSec-bezogenen Dienste wurden von Microsoft und Cisco Systems, Inc gemeinsam entwickelt. Weitere Informationen zur Konfiguration von IPSec-Richtlinien finden Sie unter Erstellen, Ändern und Zuweisen von IPSec-Richtlinien.

Weitere Informationen zu IPSec finden Sie unter IPSec-Konzepte.

CautionAchtung:
Wenn in Ihrem Netzwerk IPSec-Richtlinien implementiert sind, müssen Sie die IP-Gateways und IP-PBX-Anlagen von der IPSec-Richtlinie ausschließen. Andernfalls geht bei 3 Sekunden einer Sprachnachricht 1 Sekunde der Sprachübertragung verloren. Dieses Problem ist bekannt, und es gibt einen Hotfix für Microsoft Windows Server 2003. Weitere Informationen zu diesem Hotfix finden Sie unter Vereinfachen der Erstellung und Verwaltung von IPSec-Filtern (Internet Protocol Security) in Windows Server 2003 und Windows XP.

UM-Wählpläne und VoIP-Sicherheit in Exchange 2007 RTM

Unified Messaging kann mithilfe der Verschlüsselung mit IP-Gateways, IP-PBX-Anlagen und anderen Exchange 2007-Computern kommunizieren. Dies hängt jedoch davon ab, wie der UM-Wählplan konfiguriert wurde. UM-Wählpläne verwenden zum Schützen des VoIP-Datenverkehrs standardmäßig keine Verschlüsselung. Mit dem Cmdlet Get-UMDialPlan in der Exchange-Verwaltungsshell können Sie die Sicherheitseinstellungen eines vorgegebenen UM-Wählplans bestimmen. Wenn der VoIP-Sicherheitsparameter aktiviert wurde, können Sie prüfen, ob der Microsoft Exchange Unified Messaging-Dienst im sicheren Modus gestartet wurde, indem Sie im Anwendungsereignisprotokoll nach Protokolleinträgen für die Ereignisse 1114 und 1112 suchen.

Standardmäßig senden und empfangen Unified Messaging-Wählpläne und dem UM-Wählplan zugeordnete Unified Messaging-Server unverschlüsselte Daten. Deshalb sind sie im unsicheren Modus konfiguriert. VoIP- und SIP-Datenverkehr werden im unsicheren Modus nicht verschlüsselt. Dennoch können UM-Wählpläne und dem UM-Wählplan zugeordnete Unified Messaging-Server mit dem Parameter VoIPSecurity konfiguriert werden. Der Parameter VoIPSecurity legt in der Wählplankonfiguration fest, dass der VoIP- und SIP-Datenverkehr unter Verwendung von MTLS verschlüsselt wird.

Unified Messaging verwendet die VoIP-Protokolle RTP (Realtime Transport Protocol) und SIP für die Kommunikation mit anderen Geräten und Servern. Wenn Sie in der Konfiguration des UM-Wählplans die Verwendung von VoIP-Sicherheit oder sicherem Modus festlegen, wird der SIP-Signalkanal verschlüsselt. Der SIP-Signalkanal kann mit MTLS gesichertes SIP verwenden. Die Medienkanäle, die RTP einsetzen, verwenden jedoch weiterhin ungesichertes TCP (Transmission Control Protocol).

Hinweis

Ein sicherer Signalmedienkanal der SRTP (Secure Realtime Transport Protocol) benutzt, verwendet ebenfalls MTLS zum Verschlüsseln der VoIP-Daten. SRTP steht in dieser Produktversion nicht zur Verfügung. Die SRTP-Unterstützung wird jedoch in zukünftigen Versionen bereitgestellt. Dies bedeutet, die von Exchange 2007 Unified Messaging verwendeten SIP-Daten und Medienkanäle werden verschlüsselt.

Nachdem Sie einen UM-Wählplan erstellt haben, müssen Sie mit dem Cmdlet Set-UMDialPlan den VoIP-Sicherheitsmodus festlegen. Wenn Sie in der Konfiguration des UM-Wählplans die Verwendung der VoIP-Sicherheit festgelegt haben, verwenden die dem UM-Wählplan zugeordneten Unified Messaging-Server den sicheren Modus oder die Verschlüsselung. Um jedoch verschlüsselte Daten an bzw. von einem Unified Messaging-Server zu senden, müssen Sie den UM-Wählplan richtig konfigurieren und Geräte wie IP-Gateways oder IP-PBX-Anlagen müssen MTLS unterstützen.

Ein Unified Messaging-Server kann einem oder mehreren UM-Wählplänen zugeordnet werden. Ein einzelner Unified Messaging-Server kann jedoch nur entweder MTLS (gesichert) oder TCP (ungesichert) verwenden und nicht beides. Dies ist eine Einschränkung des SIP-Signalstacks. Einem einzelnen Unified Messaging-Server können nur mehrere Wählpläne zugeordnet werden, wenn diese die gleiche Sicherheitskonfiguration aufweisen.

Wenn ein Wählplan erstellt wird, verwendet dieser standardmäßig den unsicheren Modus und keine Verschlüsselung. Wenn einem Unified Messaging-Server ein UM-Wählplan zugeordnet ist, in dem die Verwendung von MTLS zum Verschlüsseln des VoIP-Datenverkehrs vorgegeben ist, und Sie die VoIP-Sicherheit für den Wählplan deaktivieren müssen, müssen Sie die folgenden Schritte ausführen:

  1. Entfernen Sie alle Unified Messaging-Server aus dem UM-Wählplan, der aktuell im gesicherten Modus ausgeführt wird.

  2. Verwenden Sie das Cmdlet Set-UMDialPlan, um für den Wählplan den ungesicherten Modus festzulegen.

  3. Ordnen Sie den Unified Messaging-Servern den Wählplan zu, der nun im ungesicherten Modus ausgeführt wird.

Wichtig

Wenn Sie MTLS zum Verschlüsseln von Daten konfigurieren, die zwischen einem Dialogic IP-Gateway, Modell 2000 oder 4000, ausgetauscht werden, müssen Sie die Computerzertifikatvorlage V3 verwenden, die sowohl Server- als auch Clientauthentifizierung unterstützt. Die Zertifikatvorlage für Webserver, die Serverauthentifizierung unterstützt, funktioniert nur mit Dialogic IP-Gateways der Modelle 1000 und 3000, mit AudioCodes IP-Gateways und mit Microsoft Office Communications Server 2007 ordnungsgemäß.

Neu in Exchange 2007 SP1

Unified Messaging-Server, auf denen Exchange 2007 SP1 installiert ist, können mit IP-Gateways, IP-PBX-Anlagen und anderen Exchange 2007-Computern im ungesicherten, SIP-gesicherten oder gesicherten Modus kommunizieren, je nachdem, welche Konfiguration der UM-Wählplan aufweist. Ein Unified Messaging-Server kann in jedem Modus, der für einen Wählplan konfiguriert ist, betrieben werden, weil der Unified Messaging-Server so konfiguriert ist, dass er den TCP-Port 5060 auf ungesicherte Anforderungen und gleichzeitig den TCP-Port 5061 auf gesicherte Anforderungen überwacht. Ein Unified Messaging-Server kann einem einzelnen oder mehreren UM-Wählplänen sowie Wählplänen, die über unterschiedliche VoIP-Sicherheitseinstellungen verfügen, zugeordnet werden. Ein einzelner Unified Messaging-Server kann Wählplänen zugeordnet werden, die für die Verwendung einer Kombination aus ungesichertem, SIP-gesichertem oder gesichertem Modus konfiguriert sind.

Wenn Sie einen UM-Wählplan erstellen, kommuniziert dieser standardmäßig im ungesicherten Modus und die dem UM-Wählplan zugeordneten Unified Messaging-Server senden und empfangen Daten ohne Verschlüsselung von IP-Gateways, IP-PBX-Anlagen und anderen Exchange 2007-Computern. Im ungesicherten Modus werden sowohl der RTP-Medienkanal (Realtime Transport Protocol) als auch die SIP-Signalinformationen nicht verschlüsselt.

Sie können einen Unified Messaging-Server für die Verwendung von MTLS für die Verschlüsselung des SIP- und RTP-Datenverkehrs konfigurieren, der von anderen Geräten und Servern gesendet und empfangen wird. Wenn Sie einen Unified Messaging-Server zu einem UM-Wählplan hinzufügen und den Wählplan für die Verwendung des SIP-gesicherten Modus konfigurieren, wird nur der SIP-Signalverkehr verschlüsselt und die RTP-Medienkanäle verwenden weiterhin TCP (Transmission Control Protocol). TCP ist nicht verschlüsselt. Wenn Sie jedoch einen Unified Messaging-Server zu einem UM-Wählplan hinzufügen und den Wählplan für die Verwendung des SIP-gesicherten Modus konfigurieren, werden sowohl der SIP-Signalverkehr als auch die RTP-Medienkanäle verschlüsselt. Ein sicherer Signalmedienkanal der SRTP (Secure Realtime Transport Protocol) benutzt, verwendet ebenfalls MTLS zum Verschlüsseln der VoIP-Daten.

Sie können den VoIP-Sicherheitsmodus entweder konfigurieren, wenn Sie einen neuen Wählplan erstellen oder nachdem Sie einen Wählplan mithilfe der Exchange-Verwaltungskonsole oder dem Cmdlet Set-UMDialPlan erstellt haben. Wenn Sie den in der Konfiguration des UM-Wählplans die Verwendung des SIP-gesicherten oder gesicherten Modus festgelegt haben, verschlüsseln die dem UM-Wählplan zugeordneten Unified Messaging-Server den SIP-Signalverkehr oder die RTP-Medienkanäle oder beide. Um jedoch verschlüsselte Daten an bzw. von einem Unified Messaging-Server zu senden, müssen Sie den UM-Wählplan richtig konfigurieren und Geräte wie IP-Gateways oder IP-PBX-Anlagen müssen MTLS unterstützen.

Bestimmen des Sicherheitsmodus und Auswahl von Zertifikaten durch UM

Beim Starten des Microsoft Exchange Unified Messaging-Diensts prüft dieser den UM-Wählplan und die Einstellung des Parameters VoipSecurity und gibt an, ob er im gesicherten oder ungesicherten Modus gestartet werden soll. Wenn der Start im gesicherten Modus vorgegeben ist, wird geprüft, ob ein Zugriff auf die erforderlichen Zertifikate möglich ist. Wenn dem Unified Messaging-Server kein UM-Wählplan zugeordnet ist, prüft er anhand des Parameters StartSecured in der Datei UMRecyclerConfig.xml welcher Modus beim Starten verwendet werden muss. Dieser Parameter kann den Wert 0 oder 1 enthalten. Bei 1 beginnt der Unified Messaging-Server den VoIP-Datenverkehr mithilfe der Verschlüsselung zu schützen. Bei 0 wird der Server gestartet, aber keine Verschlüsselung zum Schützen des VoIP-Datenverkehrs verwendet. Wenn Sie das Startverhalten des Unified Messaging-Servers vom ungesicherten Modus in den gesicherten Modus oder umgekehrt ändern möchten, können Sie dem Server die entsprechenden Wählpläne zuordnen und dann den Unified Messaging-Server erneut starten. Außerdem haben Sie die Möglichkeit, die Konfigurationseinstellungen in der Konfigurationsdatei UMRecyclerConfig.xml zu ändern und dann den Microsoft Exchange Unified Messaging-Dienst erneut zu starten.

Beim Starten des Microsoft Exchange Unified Messaging-Diensts im ungesicherten Modus wird wie gewohnt gestartet. Sie sollten jedoch sicherstellen, dass die IP-Gateways und IP-PBX-Anlagen ebenfalls im ungesicherten Modus ausgeführt werden. Wenn Sie die Verbindung des Unified Messaging-Servers im ungesicherten Modus testen, verwenden Sie das Cmdlet Test-UMConnectivity mit dem Parameter -Secured:false

Wenn der Microsoft Exchange Unified Messaging-Dienst im gesicherten Modus gestartet wird, sucht er im lokalen Zertifikatspeicher nach einem gültigen Zertifikat für die Verwendung von MTLS zum Aktivieren der Verschlüsselung. Der Dienst sucht zuerst nach einem gültigen PKI- oder kommerziellen Zertifikat. Ist diese Suche erfolglos, sucht er nach selbstsignierten Zertifikaten. Wenn weder ein PKI-Zertifikat noch ein kommerzielles oder selbstsigniertes Zertifikat gefunden werden konnte, erstellt der Microsoft Exchange Unified Messaging-Dienst ein selbstsigniertes Zertifikat, das für den Start im gesicherten Modus verwendet wird. Wenn der Unified Messaging-Server im ungesicherten Modus gestartet wird, ist kein Zertifikat erforderlich.

Sämtliche Details des zum Starten im sicheren Modus verwendeten Zertifikats werden protokolliert, sobald ein Zertifikat verwendet oder geändert wird. Folgende Details werden beispielsweise protokolliert:

  • Name des Ausstellers

  • Seriennummer

  • Fingerabdruck

Bei dem Fingerabdruck handelt es sich um den SHA1-Hash (Secure Hash Algorithm), mit dem das verwendete Zertifikat eindeutig identifiziert werden kann. Sie können das vom Microsoft Exchange Unified Messaging-Dienst für das Starten im sicheren Modus verwendete Zertifikat anschließend aus dem lokalen Zertifikatspeicher exportieren und dieses Zertifikat dann in den vertrauenswürdigen Zertifikatspeicher auf den IP-Gateways und IP-PBX-Anlagen in Ihrem Netzwerk importieren.

Nachdem das entsprechende Zertifikat gefunden und verwendet wurde und keine weiteren Änderungen durchgeführt wurden, protokolliert der Microsoft Exchange Unified Messaging-Dienst ein Ereignis einen Monat bevor das verwendete Zertifikat abläuft. Wenn Sie das Zertifikat in dieser Zeit nicht ändern, trägt der Microsoft Exchange Unified Messaging-Dienst täglich ein Ereignis in das Protokoll ein bis das Zertifikat abläuft sowie an jedem Tag nach Ablauf des Zertifikats.

Wenn der Unified Messaging-Server ein Zertifikat zur Verwendung von MTLS für das Einrichten eines verschlüsselten Kanals benötigt, sucht er danach im vertrauenswürdigen Stammzertifikatspeicher. Wenn mehrere Zertifikate gültig sind und von unterschiedlichen Ausstellern stammen, wählt der Unified Messaging-Server das Zertifikat mit der längsten Gültigkeitsdauer. Sind mehrere Zertifikate vorhanden, wählt der Unified Messaging-Server die Zertifikate basierend auf dem Aussteller und dem Ablaufdatum des Zertifikats aus. Der Unified Messaging-Server sucht in folgender Reihenfolge nach gültigen Zertifikaten:

  1. PKI- oder kommerzielles Zertifikat mit dem längsten Ablaufzeitraum.

  2. PKI- oder kommerzielles Zertifikat mit dem kürzesten Ablaufzeitraum.

  3. Selbstsigniertes Zertifikat mit dem längsten Ablaufzeitraum.

  4. Selbstsigniertes Zertifikat mit dem kürzesten Ablaufzeitraum.

    Wichtig

    Wenn ein neues Zertifikat auf einem ClientAccess-Server installiert wird, das zum Verschlüsseln von Daten für Wiedergabe über Telefon zwischen dem ClientAccess-Server und einem Unified Messaging-Server verwendet wird, müssen Sie den Befehl IISreset an einer Eingabeaufforderung ausführen, um das richtige Zertifikat zu laden.

Neu in Exchange 2007 SP1

  • Die Datei UMRecyclerConfig.xml enthält keine Sicherheitseinstellung mehr für Unified Messaging-Server. In Exchange 2007 SP1 kann ein Unified Messaging-Server gleichzeitig im ungesicherten, SIP-gesicherten und gesicherten Modus betrieben werden.

  • Ein Unified Messaging-Server kann UM-Wählplänen zugeordnet werden, die über unterschiedliche Sicherheitseinstellungen verfügen.

  • Es ist nicht länger erforderlich, dass der Microsoft Exchange Unified Messaging-Dienst neu gestartet werden kann, wenn der Unified Messaging-Server aus einem Wählplan mit einer bestimmten Sicherheitseinstellung in einen anderen Wählplan verschoben wird, der eine andere Sicherheitseinstellung aufweist.

  • Es ist ein gültiges kommerzielles, PKI- oder selbstsigniertes Zertifikat erforderlich. Wenn kein gültiges Zertifikat gefunden wird, generiert der Unified Messaging-Server ein selbstsigniertes Zertifikat. Der Unified Messaging-Server benötigt ein gültiges Zertifikat, um den VoIP-Datenverkehr zu verschlüsseln, wenn er im Modus SIP-gesichert oder gesichert betrieben wird.

Weitere Informationen