Descripción de la seguridad de la mensajería unificada VoIP
Se aplica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Última modificación del tema: 2008-07-03
Un aspecto importante de la seguridad de su red es la capacidad de proteger la infraestructura de mensajería unificada. Hay componentes en el entorno de mensajería unificada que debe configurar correctamente para ayudar a proteger los datos que se envían y reciben en los servidores de mensajería unificada de la red. Entre ellos se encuentran componentes como los servidores de mensajería unificada y los planes de marcado. En este tema se trata cómo aumentar la protección de los datos y servidores de red de mensajería unificada de la organización. Debe seguir estos pasos para ayudar a proteger el entorno de Mensajería unificada y habilitar la seguridad de VoIP (voz a través de IP):
Instale la función del servidor Mensajería unificada.
Crear un plan de marcado de mensajería unificada y configurarlo para usar seguridad de Voz sobre IP (VoIP).
Asocie los servidores de mensajería unificada al plan de marcado de mensajería unificada.
Exporte e importe los certificados necesarios para habilitar los servidores de Mensajería unificada, las puertas de enlace IP, las centrales de conmutación IP (IP PBX) y otros servidores que estén ejecutando Microsoft Exchange Server 2007 para que puedan usar Seguridad de nivel de transporte mutua (TLS mutua).
Configurar las puertas de enlace IP de MU que se usan con un nombre de dominio completo (FQDN).
Protección de la mensajería unificada
Hay varios métodos de seguridad que le pueden ayudar a proteger los servidores de Mensajería unificada y el tráfico de red que se envía entre las puertas de enlace IP y los servidores de Mensajería unificada y entre los servidores de Mensajería unificada y otros servidores de Exchange 2007 de la organización. En la tabla siguiente se muestran algunas de las posibles amenazas a la infraestructura de Mensajería unificada y los métodos de seguridad que se pueden implementar para ayudar a protegerla.
Protección de la mensajería unificada
| ¿Contra qué me estoy protegiendo? | ¿Cómo me puedo proteger? |
|---|---|
Supervisión del tráfico de voz |
|
Supervisión del tráfico de fax |
|
Un ataque contra una puerta de enlace IP o IP PBX |
|
Llamadas de larga distancia no autorizadas |
|
Un ataque de denegación de servicio |
|
Usurpación de identidad del proxy de Protocolo de inicio de sesión (SIP) |
|
Escuchas no autorizadas y secuestros de sesión |
|
En la tabla anterior se detallan varios métodos de seguridad que puede usar para proteger su entorno de Mensajería unificada. Uno de los mecanismos más importantes para proteger la infraestructura de Mensajería unificada y el tráfico de red que genera la misma es la TLS mutua.
La TLS mutua se puede usar para cifrar el tráfico de VoIP (voz a través de IP) que pasa entre puertas de enlace IP, IP PBX y otros servidores de Exchange 2007 y los servidores de Mensajería unificada de la red. La mejor opción para proteger estos datos es usar la TLS mutua para cifrar los datos de VoIP.
No obstante, en función de la amenaza a la seguridad, también puede configurar directivas de IPsec para habilitar el cifrado entre puertas de enlace IP o IP PBX y un servidor de mensajería unificada o entre un servidor de mensajería unificada y otros servidores de Exchange 2007 de la red. En algunos entornos es posible que no pueda usar IPsec porque no esté disponible o no esté admitido en las puertas de enlace IP o IP PBX. Asimismo, IPsec supone una carga adicional de procesamiento para los recursos del sistema de los servidores de mensajería unificada. Teniendo en cuenta estos dos factores, la TLS mutua es una opción mejor para proteger el tráfico de red de VoIP en el entorno de mensajería unificada.
Una vez que haya implementado y configurado correctamente la TLS mutua, el trafico de VoIP entre las puertas de enlace IP, las IP PBX y desde otros servidores de Exchange a los servidores de Mensajería unificada estará cifrado. No obstante, se usan otros tipos de cifrados para proteger los datos cuando no se puede usar la TLS mutua para ayudar a proteger el tráfico que se envía o se recibe en un servidor de mensajería unificada, como cuando un servidor de mensajería unificada se comunica con otro servidor de la red, por ejemplo un controlador de dominio de Active Directory o un servidor de buzones de Exchange 2007. En la figura siguiente se muestran los métodos de cifrado que se pueden emplear para proteger la Mensajería unificada.
Seguridad VoiP de mensajería unificada
.gif "Seguridad UM VOIP")
Tipos de certificados
Los certificados digitales son archivos electrónicos que funcionan como un pasaporte en línea para comprobar la identidad de un usuario o un equipo; se usan para crear un canal cifrado que proteja los datos. Un certificado es básicamente una declaración digital emitida por una entidad de certificación (CA) que garantiza la identidad del poseedor del certificado y permite que las partes se comuniquen de forma segura mediante el cifrado. Una CA puede emitir los certificados o también es posible firmarlos uno mismo. Cada tipo de certificado tiene sus ventajas y desventajas. No obstante, los certificados están protegidos contra las manipulaciones y no se pueden falsificar. Se pueden emitir para diversas funciones, como autenticación de usuario de web, autenticación de servidor web, S/MIME, IPsec, Seguridad de nivel de transporte (TLS) y firma de códigos.
Un certificado vincula una clave pública con la identidad de la persona, el equipo o el servicio que posee la clave privada correspondiente. Tanto el cliente como el servidor usan las claves públicas y privadas para cifrar los datos antes de transmitirlos a través de la red. Una amplia variedad de servicios y aplicaciones de seguridad de clave pública, que proporcionan autenticación, integridad de datos y comunicaciones seguras en redes, como puede ser Internet, usa certificados. Para los usuarios basados en Windows, los equipos y los servicios confían en una CA establecida cuando existe una copia del certificado raíz en el almacén raíz de confianza y el certificado contiene una ruta de acceso de la certificación válida. Esto significa que no se ha revocado ningún certificado en la ruta de acceso de la certificación y que no ha expirado el período de validez de ninguno de los certificados.
Los certificados digitales hacen lo siguiente:
Dan fe de que sus poseedores (personas, sitios web e incluso recursos de red como enrutadores) son de verdad quien dicen ser.
Protegen los datos que se intercambian en línea contra las manipulaciones o los robos.
Tradicionalmente hay tres opciones o tipos de certificados que pueden usar la Mensajería unificada y las puertas de enlace IP o IP PBX. En estos tres enfoques u opciones, la clave pública del propietario del certificado es parte del certificado, de forma que el servidor, el usuario, el sitio web o el recurso en el otro extremo pueden descifrar los mensajes. La clave privada sólo la conoce el que firma el certificado. Cada certificado tiene un atributo EnhancedKeyUsage establecido para dictar el uso específico del mismo. Por ejemplo, se podría especificar que sólo se use para autenticación del servidor o con el sistema de archivos de cifrado. La mensajería unificada usa los certificados para autenticar servidores y cifrar datos.
Certificados autofirmados
Un certificado autofirmado es aquél que firma su propio creador. El asunto y el nombre del certificado son iguales. En los certificados autofirmados, el emisor y el asunto están definidos en el certificado. Los certificados autofirmados no necesitan la presencia de una CA externa de la organización o de un tercero. Estos certificados se deben configurar de forma explícita y copiar en el almacén de certificados raíz de confianza de cada puerta de enlace IP, IP PBX, otros servidores de Mensajería unificada y otros equipos de Exchange 2007, para que el servidor de mensajería unificada que ha emitido el certificado confíe en ellos.
Si no hay disponible ningún certificado de terceros o basado en infraestructura de clave pública (PKI), el servidor de mensajería unificada buscará un certificado autofirmado en el almacén local de certificados. Si no encuentra un certificado de terceros o de PKI, generará un certificado autofirmado para TLS mutua. No obstante, debido a que es un certificado autofirmado, las puertas de enlace IP, las IP PBX de la red u otros servidores de la red no confiarán en él. Para asegurarse de que esto no suceda, debe importarlo al almacén local de certificados raíz de confianza de los dispositivos y los servidores. Una vez realizado esto, cuando el servidor de mensajería unificada presente este certificado autofirmado a la puerta de enlace IP, IP PBX o servidor, se podrá comprobar que una autoridad de confianza ha emitido el certificado, ya que el emisor será igual al asunto definido en el certificado autofirmado.
Si sólo usa certificados autofirmados, debe importar un único certificado autofirmado para cada puerta de enlace IP, IP PBX o servidor. En entornos de red grandes con varios dispositivos o equipos, puede que ésta no sea la mejor opción para implementar TLS mutua. El uso de certificados autofirmados en redes empresariales grandes no es lo más adecuado por la sobrecarga administrativa adicional que produce. No obstante, la sobrecarga administrativa no es un problema si dispone de múltiples dispositivos y usa un certificado comercial de terceros o de PKI. Esto se debe a que cada dispositivo tiene un certificado emitido por la misma autoridad raíz de confianza. Tener un certificado de la misma autoridad raíz de confianza garantiza que todas las puertas de enlace IP, las IP PBX y los otros servidores confíen en el servidor de mensajería unificada.
Para que la TLS mutua funcione con certificados autofirmados:
Importe el certificado autofirmado del servidor de mensajería unificada al almacén de certificados raíz de confianza de cada puerta de enlace IP, IP PBX y otros servidores con los que se comunicará el servidor de mensajería unificada mediante la TLS mutua.
Importe el certificado autofirmado de cada puerta de enlace IP, IP PBX u otros servidores al almacén de certificados raíz de confianza del servidor de mensajería unificada. Si va a usar un certificado de terceros o de PKI, debe importar el certificado de la entidad de certificación en el almacén de certificados raíz de confianza de todos los dispositivos y servidores.
En muchos casos los certificados autofirmados no son la mejor opción cuando se desea implementar la autenticación de TLS mutua o basada en certificados. No obstante, las organizaciones más pequeñas con un número reducido de dispositivos o equipos pueden optar por usar el método de certificados autofirmados por ser el más fácil de configurar y el más barato de usar para implementar la TLS mutua. Con frecuencia, las organizaciones de menor tamaño deciden no usar un certificado de terceros o instalar su propia PKI para emitir certificados debido al gasto que supone, a la falta de experiencia y conocimientos de sus administradores para crear su propia jerarquía de certificados, o a ambas razones. El uso de certificados autofirmados tiene un costo mínimo y una configuración muy sencilla. Sin embargo, establecer una infraestructura para la administración del ciclo de vida, la renovación, la administración de la confianza y la revocación de los certificados es mucho más difícil con los certificados autofirmados. Para obtener más información acerca de cómo crear un certificado para TLS, consulte Creación de un certificado o de una solicitud de certificado para TLS.
Infraestructura de clave pública
Una infraestructura de clave pública (PKI) es un sistema de certificados digitales, entidades de certificación (CA) y entidades de registro (RA) que comprueban y autentican la validez de cada parte implicada en una transacción electrónica mediante el uso de criptografía con claves públicas. Cuando implementa una CA en una organización que usa Active Directory, proporciona una infraestructura para la administración del ciclo de vida, la renovación, la administración de la confianza y la revocación de los certificados. Estas cualidades proporcionan una infraestructura sólida para todos los certificados de la organización. Todo esto, sin embargo, lleva un costo asociado al tener que implementar servidores e infraestructuras adicionales para crear y administrar este tipo de certificados.
Los Servicios de Certificate Server se pueden instalar en cualquier servidor del dominio. Si obtiene certificados de una CA de dominio basada en Windows, puede usarla para solicitar o firmar certificados que emitirá a sus propios servidores o equipos de la red. De este modo, se puede usar una PKI como si se tratara de un proveedor externo de certificados, pero con menor costo. A pesar de que estas PKI no se pueden implementar públicamente, a diferencia de otros tipos de certificados, cuando se usa una PKI, se comprueba el solicitante y una CA firma el certificado del solicitante con la clave privada. La clave pública de esta CA es parte del certificado emitido por la CA. Cualquiera que tenga este certificado de CA como certificado raíz puede usar esa clave pública para autenticar al solicitante y descifrar su certificado.
Cuando usa un certificado de PKI para implementar la TLS mutua, debe copiar los certificados necesarios en las puertas de enlace IP o IP PBX. A continuación, debe copiar los certificados de las puertas de enlace IP o IP PBX en los servidores de Mensajería unificada que están asociados al plan de marcado de mensajería unificada que se ha configurado en modo seguro.
La instalación y la configuración para usar certificados de PKI y certificados de terceros son similares a los procedimientos que se realizan para importar o exportar certificados autofirmados. Sin embargo, no se tiene que instalar el certificado del equipo en el almacén de certificados de raíz de confianza. También se debe importar o copiar el certificado de raíz de confianza para PKI en el almacén de certificados de raíz de confianza en los servidores de Mensajería unificada y las puertas de enlace IP e IP PBX en su red.
Para implementar TLS mutua una vez que haya implementado una infraestructura de PKI, siga estos pasos:
Genere una solicitud de certificado en cada puerta de enlace IP o PBX.
Copie la solicitud de certificado para usarla cuando solicite el certificado a una entidad de certificación.
Solicite un certificado a la entidad de certificación mediante la solicitud correspondiente. Guarde el certificado.
Importe el certificado que ha guardado a cada dispositivo o equipo.
Descargue el certificado raíz de confianza para la PKI.
Importe el certificado raíz de confianza de la PKI a cada dispositivo. Si va a importar el certificado raíz de confianza en un equipo de Exchange 2007 que está ejecutando la función de mensajería unificada, también puede usar la directiva de grupo para importarlo en el almacén de certificados raíz de confianza del servidor de mensajería unificada u otros servidores de Exchange 2007. Este proceso también se usa al configurar un servidor que está ejecutando la función del servidor Mensajería unificada.
Nota
Si usa un certificado comercial de terceros, siga los mismos pasos para implementar la TLS mutua.
Para obtener más información acerca de certificados y PKI, consulte los siguientes temas:
Para obtener más información acerca de los certificados, consulte Public Key Infrastructure para Windows Server 2003 (en inglés).
Para obtener más información acerca de las prácticas recomendadas para implementar una infraestructura de clave pública de Microsoft Windows Server 2003, consulte Prácticas recomendadas para la implementación de Microsoft Windows Server 2003 Public Key Infrastructure (en inglés).
Para obtener más información acerca de cómo implementar una PKI basada en Windows, consulte Guía de operaciones PKI de Windows Server 2003 (en inglés).
Entidades de certificación externas
Los certificados comerciales o de terceros son certificados generados por una CA externa o comercial, adquiridos para usarlos en sus servidores de red. Uno de los problemas de los certificados autofirmados o basados en PKI es que, debido a que el certificado no es de confianza, se debe asegurar de importarlo en el almacén de certificados de raíz de confianza de los servidores, los dispositivos y los equipos clientes. Los certificados comerciales o de terceros no tienen este problema. La mayoría de los certificados de CA comerciales son de confianza porque el certificado ya reside en el almacén de certificados raíz de confianza. Dado que el emisor es de confianza, el certificado también lo es. El uso de certificados de terceros simplifica notablemente la implementación.
Para las organizaciones de mayor tamaño o las que deben implementar certificados de forma pública, el uso de certificados comerciales o de terceros es la mejor opción, a pesar del costo que llevan asociado. Los certificados comerciales pueden no ser la mejor solución para las organizaciones de pequeño o mediano tamaño, para las que puede preferir usar alguna de las otras opciones de certificados que hay disponibles.
En función de la configuración de la puerta de enlace IP o IP PBX, quizás siga teniendo que importar el certificado comercial o de terceros en el almacén de certificados de confianza de las puertas de enlace IP o IP PBX para poder usarlo para la TLS mutua. No obstante, en algunos casos, el certificado de terceros estará incluido en el almacén de certificados raíz de confianza del servidor de mensajería unificada y otros equipos de Exchange 2007 de su organización.
Los procedimientos que lleva a cabo para usar un certificado comercial o de terceros con el fin de habilitar la TLS mutua son los mismos que cuando usa un certificado de PKI. La única diferencia es que no tendrá que generar un certificado de PKI, ya que habrá obtenido el certificado de un proveedor de certificados comerciales y éste se importará a su almacén de certificados raíz de confianza de los servidores y los dispositivos de la red.
Configuración de la TLS mutua
De forma predeterminada, cuando se recibe una llamada entrante de una puerta de enlace IP, el tráfico de VoIP no está cifrado ni usa TLS mutua. No obstante, la opción de seguridad de un servidor de mensajería unificada se configura en el plan de marcado de mensajería unificada que está asociado a él. Para permitir que el servidor de mensajería unificada se comunique de forma segura con puertas de enlace IP, IP PBX y otros servidores de Exchange 2007, debe usar el cmdlet Set-UMDialPlan para configurar la seguridad de VoIP en el plan de marcado de mensajería unificada y, a continuación, habilitar la TLS mutua para los servidores de Mensajería unificada que están asociados al plan de marcado de mensajería unificada.
Nota
En la versión sólo para fabricantes (RTM) de Exchange 2007, si el servicio Mensajería unificada de Microsoft Exchange ya se está ejecutando y agrega el servidor de mensajería unificada a un plan de marcado de mensajería unificada, debe reiniciar el servicio Mensajería unificada Microsoft Exchange para aplicar la configuración de seguridad en el plan de marcado. En Exchange 2007 Service Pack 1 (SP1) no hace falta reiniciar el servicio Mensajería unificada de Microsoft Exchange si agrega el servidor de mensajería unificada a un plan de marcado de mensajería unificada.
Una vez que haya habilitado la seguridad de VoIP en el plan de marcado de mensajería unificada, todos los servidores de Mensajería unificada que están asociados al plan de marcado de UM se podrán comunicar de forma segura. No obstante, en función del tipo de certificado que use para habilitar la TLS mutua, primero deberá importar y exportar los certificados necesarios tanto en los servidores de Mensajería unificada como en las puertas de enlace IP y PBX. Una vez que se hayan importado los certificados necesarios al servidor de mensajería unificada, debe reiniciar el servicio Mensajería unificada de Microsoft Exchange con el fin de poder usar el certificado que se ha importado para establecer una conexión cifrada con las puertas de enlace IP o IP PBX. Para obtener más información acerca de cómo importar y exportar certificados, consulte Importación y exportación de certificados (en inglés).
Una vez que haya importado y exportado correctamente los certificados de confianza necesarios, la puerta de enlace IP solicitará un certificado al servidor de mensajería unificada, que a su vez solicitará un certificado a la puerta de enlace IP. El intercambio de certificados de confianza entre la puerta de enlace IP y el servidor de mensajería unificada permite que la puerta de enlace IP y el servidor de mensajería unificada se comuniquen a través de una conexión cifrada usando la TLS mutua. Cuando una puerta de enlace IP o IP PBX recibe una llamada entrante, inicia un intercambio de certificados y negocia la seguridad mediante el uso de la TLS mutua con el servidor de mensajería unificada. El servicio Mensajería unificada de Microsoft Exchange no participa en el proceso de intercambio de certificados, ni a la hora de determinar si el certificado es válido o no. Sin embargo, si no encuentra un certificado de confianza en un servidor de mensajería unificada, se encuentra un certificado de confianza pero no es válido, o se rechaza la llamada por un error de negociación de la TLS mutua, el servidor de mensajería unificada recibirá una notificación del servicio Mensajería unificada de Microsoft Exchange.
A pesar de que el servicio de Mensajería unificada de Microsoft Exchange no participa en el intercambio de certificados entre el servidor de mensajería unificada y las puertas de enlace IP, el servicio de Mensajería unificada de Microsoft Exchange realiza las siguientes funciones:
Proporciona una lista de nombres de dominio completos (FQDN) al servicio Speech de Microsoft Exchange, de forma que sólo se aceptan las llamadas de puertas de enlace IP o IP PBX incluidas en la lista.
Pasa los atributos issuerName y SerialNumber de un certificado al servicio Speech de Microsoft Exchange. Estos atributos identifican de forma única el certificado que usará el servidor de mensajería unificada cuando una puerta de enlace IP o una IP PBX solicite un certificado.
Una vez que el servidor de mensajería unificada y las puertas de enlace IP o IP PBX hayan intercambiado las claves para establecer una conexión cifrada mediante el uso de la TLS mutua, los servidores de Mensajería unificada se comunicarán con las puertas de enlace IP e IP/PBX a través de una conexión cifrada. Los servidores de Mensajería unificada también se comunicarán con otros servidores de Exchange 2007, como los servidores de acceso de cliente y los servidores de transporte de concentradores, a través de una conexión cifrada que usa la TLS mutua. No obstante, la TLS mutua sólo se usará para cifrar el tráfico o los mensajes que se envíen desde el servidor de mensajería unificada a un servidor de transporte de concentradores.
Importante
Para poder habilitar la TLS mutua entre una puerta de enlace IP de MU y un plan de marcado que esté funcionando en modo seguro, primero debe configurar la puerta de enlace IP de MU con un FQDN y configurarla para que escuche el puerto 5061. Para configurar una puerta de enlace IP de MU, ejecute el siguiente comando: Set-UMIPGateway -identity MyUMIPGateway -Port 5061.
IPsec
IPsec también usa certificados para cifrar datos. Proporciona una línea de defensa clave contra los ataques a redes privadas e Internet.
IPsec tiene los siguientes objetivos:
Proteger los contenidos de los paquetes IP.
Proporcionar protección contra ataques a la red mediante el filtrado de paquetes y la aplicación de comunicaciones de confianza.
IPsec es un marco de estándares abiertos que ayuda a asegurar comunicaciones privadas y seguras a través de redes IP mediante el uso de servicios de seguridad criptográfica.
IPsec usa protocolos de seguridad, administración de claves dinámicas y servicios de protección basados en la criptografía. Proporciona resistencia y flexibilidad para proteger las comunicaciones entre equipos de redes privadas, dominios, sitios, sitios remotos, redes externas y clientes de acceso telefónico. Se puede usar incluso para bloquear la recepción o la transmisión de tipos específicos de tráfico.
IPsec está basado en un modelo de seguridad de extremo a extremo que establece confianza y seguridad desde una dirección IP origen a una dirección IP destino. La dirección IP como tal no tiene que considerarse como una identidad. En su lugar, el sistema detrás de la dirección IP tiene una identidad que se valida mediante un proceso de autenticación. Los únicos equipos que deben saber que el tráfico está protegido son el equipo de envío y el equipo receptor. Cada equipo se encarga de la seguridad en su extremo correspondiente y funciona en el supuesto de que el medio en el que tiene lugar la comunicación no es seguro. Los equipos que sólo enrutan datos desde el origen al destino no necesitan ser compatibles con IPsec, excepto si se produce una traducción de direcciones de red o filtrado de paquetes de tipo firewall entre los dos equipos. Esto permite que IPsec se implemente correctamente para los siguientes escenarios organizativos:
LAN: de cliente a servidor, de servidor a servidor y de servidor a dispositivo VoIP
WAN: de enrutador a enrutador y de puerta de enlace a puerta de enlace
Acceso remoto: clientes de acceso telefónico y acceso a Internet desde redes privadas
Normalmente los dos lados necesitan configuración de IPsec para establecer opciones y configuraciones de seguridad que permitirán que los dos sistemas se pongan de acuerdo en cómo contribuir a proteger el tráfico entre ellos. Esto se conoce como directiva IPsec. El servidor Microsoft Windows 2000, Windows XP y las implementaciones de la familia Windows Server 2003 de IPsec están basadas en estándares de la industria desarrollados por el grupo de trabajo de ingeniería de Internet (IETF) para IPsec. Microsoft y Cisco Systems, Inc. desarrollaron conjuntamente partes de los servicios relacionados con IPsec. Para obtener más información acerca de cómo configurar directivas de IPsec, consulte Creación, modificación y asignación de directivas IPsec (en inglés).
Para obtener más información acerca de IPsec, consulte IPSec Concepts (en inglés).
Advertencia
Si ya tiene directivas de IPsec implementadas en la red, debe excluir las puertas de enlace IP y las IP PBX de las mismas. En caso contrario, por cada 3 segundos de correo de voz habrá una interrupción de 1 segundo de la transmisión de voz. Esto supone un problema que Microsoft Windows Server 2003 debe revisar. Para obtener más información acerca de esta revisión, consulte Cómo simplificar la creación y el mantenimiento de los filtros de seguridad del Protocolo de Internet (IPsec) en Windows Server 2003 y Windows XP (en inglés).
Planes de marcado de mensajería unificada y seguridad de VoIP en la versión RTM de Exchange 2007
La Mensajería unificada se puede comunicar con puertas de enlace IP, IP PBX y otros equipos de Exchange 2007 mediante el cifrado. Sin embargo, depende de la configuración del plan de marcado de mensajería unificada. De forma predeterminada, los planes de marcado de mensajería unificada no usan el cifrado para proteger el tráfico de VoIP. Puede usar el cmdlet Get-UMDialPlan en el Shell de administración de Exchange para determinar la configuración de seguridad de un plan de marcado de mensajería unificada específico. Si el parámetro de seguridad de VoIP está habilitado, puede comprobar que el servicio de mensajería unificada de Microsoft Exchange se ha iniciado en modo seguro revisando el registro de eventos de la aplicación para ver si se han registrado los eventos de información 1114 y 1112.
De forma predeterminada, los planes de marcado de mensajería unificada y los servidores de mensajería unificada que están asociados al plan de marcado de mensajería unificada envían y reciben datos sin cifrar. Están configurados, por tanto, en modo no seguro. En modo no seguro, el tráfico de VoIP y SIP no estará cifrado. Sin embargo, los planes de marcado y el servidor de mensajería unificada que están asociados al plan de marcado de mensajería unificada se pueden configurar con el parámetro VoIPSecurity. El parámetro VoIPSecurity configura el plan de marcado para cifrar el tráfico de VoIP y SIP mediante la TLS mutua.
La mensajería unificada usa los protocolos de VoIP Protocolo de transporte en tiempo real (RTP) y SIP para comunicarse con otros dispositivos y servidores. Al configurar el plan de marcado de mensajería unificada para usar seguridad de VoIP o el modo seguro, el canal de señalización de SIP pasa a estar cifrado. El canal de señalización de SIP puede usar SIP protegido mediante TLS mutua. No obstante, los canales de medios que usan RTP seguirán usando el Protocolo de control de transporte (TCP), que no está protegido.
Nota
Un canal de medios de señalización seguro que usa el Protocolo de transporte en tiempo real seguro (SRTP) también usará la TLS mutua para cifrar los datos de VoIP. SRTP no está disponible en esta versión del producto. Sin embargo, está planeada la compatibilidad con SRTP en una versión futura. Esto significa que los datos de SIP y los canales de medios que usa la mensajería unificada de Exchange 2007 estarán cifrados.
Una vez que haya creado un plan de marcado de mensajería unificada, debe usar el cmdlet Set-UMDialPlan para establecer el modo de seguridad de VoIP. Al configurar el plan de marcado de mensajería unificada para usar seguridad de VoIP, los servidores de mensajería unificada asociados al plan de marcado de mensajería unificada usarán el modo seguro o el cifrado. No obstante, para poder enviar datos cifrados a y desde un servidor de mensajería unificada, debe configurar correctamente el plan de marcado de mensajería unificada, y los dispositivos tales como puertas de enlace IP o IP PBX deben admitir la TLS mutua.
Un servidor de mensajería unificada puede estar asociado a un plan de marcado de mensajería unificada o varios. Sin embargo, un único servidor de mensajería unificada puede usar la TLS mutua (seguro) o TCP (no seguro), pero no ambos. Esto es una limitación de la pila de señalización de SIP. Así pues, un servidor de mensajería unificada sólo puede estar asociado a varios planes de marcado que tengan la misma configuración de seguridad.
De forma predeterminada, cuando se crea un plan de marcado, usará el modo no seguro o sin cifrado. No obstante, si tiene un servidor de mensajería unificada asociado a un plan de marcado de mensajería unificada que se haya configurado para usar la TLS mutua con el fin de cifrar el tráfico de VoIP y tiene que deshabilitar la seguridad de VoIP para el plan de marcado, debe seguir estos pasos:
Elimine todos los servidores de mensajería unificada del plan de marcado de mensajería unificada que esté ejecutándose en modo seguro.
Use el cmdlet Set-UMDialPlan para establecer el plan de marcado en modo no seguro.
Asocie los servidores de mensajería unificada al plan de marcado que se está ejecutando ahora en modo no seguro.
Importante
Si está configurando una TLS mutua para cifrar datos que se intercambian entre una puerta de enlace IP Dialogic modelo 2000 o 4000, deberá usar la plantilla de certificado Computer V3 que admite la autenticación tanto de servidor como de cliente. La plantilla de certificado de servidor web que admite una autenticación de servidor sólo funcionará correctamente con puertas de enlace IP Dialogic 1000 y 3000, puertas de enlace IP AudioCodes y Microsoft Office Communications Server 2007.
Novedades en Exchange 2007 SP1
Los servidores de mensajería unificada que tienen instalado el SP1 de Exchange 2007 se pueden comunicar con puertas de enlace IP, IP PBX y otros equipos de Exchange 2007 en modo no protegido, modo SIP protegido o modo protegido, en función de cómo se haya configurado el plan de marcado de MU. Un servidor Mensajería unificada puede operar en cualquier modo que esté configurado en un plan de marcado porque el servidor está configurado para escuchar, al mismo tiempo, las solicitudes no seguras en el puerto TCP 5060, y en el puerto TCP 5061 las solicitudes seguras. Un servidor de mensajería unificada puede estar asociado a un plan de marcado de mensajería unificada o a varios, y también puede estar asociado a planes de marcado con parámetros de seguridad de VoIP distintos. Un servidor de mensajería unificada puede estar asociado a planes de marcado configurados para usar una combinación del modo no seguro, seguro con SIP o seguro.
De forma predeterminada, cuando crea un plan de marcado de mensajería unificada, establece la comunicación en modo no seguro y los servidores Mensajería unificada que están asociados con el plan de marcado de UM enviarán y recibirán datos de puertas de enlace IP, IP PBX y otros equipos de Exchange 2007 sin usar el cifrado. En el modo no seguro, ni el canal de medios con Protocolo de transporte en tiempo real (RTP) ni la información de señalización en SIP estarán cifrados.
Se puede configurar un servidor de mensajería unificada para que use la TLS mutua para cifrar el tráfico de SIP y RTP enviado a y recibido de otros dispositivos o servidores. Cuando se agrega un servidor de mensajería unificada a un plan de marcado de mensajería unificada y se configura el plan de marcado para que use el modo seguro con SIP, sólo se cifrará el tráfico de señalización de SIP, mientras que los canales de medios con RTP seguirán usando el Protocolo de control de transporte (TCP). TCP no está cifrado. No obstante, si se agrega un servidor Mensajería unificada a un plan de marcado UM y se configura el plan de marcado para usar el modo seguro, se cifrarán el tráfico de señalización de SIP y los canales de medios RTP. Un canal de medios de señalización seguro que usa el Protocolo de transporte en tiempo real seguro (SRTP) también usará la TLS mutua para cifrar los datos de VoIP.
Se puede configurar el modo de seguridad de VoIP cuando se crea un nuevo plan de marcado o después de haber creado un plan de marcado mediante la Consola de administración de Exchange o el cmdlet Set-UMDialPlan. Cuando se configura el plan de marcado de mensajería unificada de modo que use el modo seguro o seguro con SIP, los servidores de mensajería unificada asociados con el plan de marcado de mensajería unificada cifran el tráfico de señalización de SIP o los canales de medios de RTP, o ambos. No obstante, para poder enviar datos cifrados a y desde un servidor de mensajería unificada, debe configurar correctamente el plan de marcado de mensajería unificada, y los dispositivos tales como puertas de enlace IP o IP PBX deben admitir la TLS mutua.
Cómo determina la mensajería unificada el modo de seguridad y selecciona los certificados
Cuando se inicia el servicio de mensajería unificada de Microsoft Exchange, éste comprueba el plan de marcado de mensajería unificada y la configuración del parámetro VoipSecurity, e identifica si se debe iniciar en modo seguro o no seguro. Si determina que se debe iniciar en modo seguro, determinará si tiene acceso a los certificados necesarios. Si el servidor de mensajería unificada no está asociado a ningún plan de marcado de mensajería unificada, determinará en qué modo se debe iniciar examinando el parámetro StartSecured en el archivo UMRecyclerConfig.xml. Este parámetro se puede establecer con un valor de 0 ó 1. Un valor de 1 inicia el servidor de mensajería unificada cifrado para proteger el tráfico de VoIP. Un valor de 0 inicia el servidor, pero sin usar el cifrado para proteger el tráfico de VoIP. Si desea cambiar el comportamiento de inicio del servidor de mensajería unificada de seguro a no seguro o de no seguro a seguro, puede asociar el servidor a los planes de marcado de mensajería unificada adecuados y, a continuación, reiniciar el servidor de mensajería unificada. También puede cambiar la configuración en el archivo UMRecyclerConfig.xml y reiniciar el servicio Mensajería unificada de Microsoft Exchange.
Si el servicio de mensajería unificada de Microsoft Exchange se inicia en modo no seguro, se iniciará correctamente, pero se deberá asegurarse de que las puertas de enlace IP e IP/PBX también se estén ejecutando en modo no seguro. Asimismo, si desea poner a prueba la conectividad del servidor de mensajería unificada en modo no seguro, use el cmdlet Test-UMConnectivity con el parámetro -Secured:false .
Si el servicio de mensajería unificada de Microsoft Exchange se inicia en modo seguro, consultará al almacén local de certificados para encontrar un certificado válido que se pueda usar con la TLS mutua con el fin de habilitar el cifrado. El servicio primero buscará un certificado de PKI o comercial y, si no encuentra uno adecuado, buscará un certificado autofirmado que usar. Si no encuentra ningún certificado de PKI, comercial o autofirmado, el servicio de mensajería unificada de Microsoft Exchange creará un certificado autofirmado para usar durante el inicio en modo seguro. Si el servidor de mensajería unificada se inicia en modo no seguro, no hace falta un certificado.
Todos los detalles del certificado que se usa para iniciar en modo seguro se registran cada vez que se usa o se cambia el certificado. La información que se registra incluye, entre otros, los siguientes detalles:
Nombre del emisor
Número de serie
Huella digital
La huella digital es el hash del Secure Hash Algorithm (SHA1), que se puede usar para identificar de forma única el certificado usado. A continuación puede exportar, desde el almacén local de certificados, el certificado que usa el servicio de mensajería unificada de Microsoft Exchange para el inicio en modo seguro e importar este certificado de las puertas de enlace IP y las IP PBX de la red al almacén de certificados de confianza.
Una vez que se ha encontrado y usado un certificado adecuado, y no se ha producido ningún cambio adicional, el servicio de mensajería unificada de Microsoft Exchange registrará un evento un mes antes de que expire el certificado. Si no realiza ningún cambio en el certificado durante este tiempo, el servicio de mensajería unificada de Microsoft Exchange registrará un evento al día hasta que expire el certificado y uno al día después de que haya expirado.
Cuando un servidor de mensajería unificada está buscando un certificado para que la TLS mutua establezca un canal cifrado, buscará en el almacén de certificados raíz de confianza. Si hay varios certificados válidos y de diferentes emisores, el servidor de mensajería unificada elegirá el certificado válido al que le quede más tiempo antes de expirar. Si existen varios certificados, el servidor de mensajería unificada los elegirá en función del emisor y de la fecha de expiración. El servidor de mensajería unificada buscará un certificado válido en este orden.
Certificado de PKI o comercial con la fecha de expiración más lejana.
Certificado de PKI o comercial con la fecha de expiración más cercana.
Certificado autofirmado con la fecha de expiración más lejana.
Certificado autofirmado con la fecha de expiración más cercana.
Importante
Al instalar un nuevo certificado en un servidor de acceso de cliente usado para cifrar datos de Reproducir en el teléfono entre el servidor de acceso de cliente y un servidor de mensajería unificada, se debe ejecutar el comando IISreset desde un símbolo del sistema para cargar el certificado correcto.
Novedades en Exchange 2007 SP1
El archivo UMRecyclerConfig.xml ya no contiene ningún parámetro de seguridad para un servidor de mensajería unificada. En Exchange 2007 SP1, un servidor de mensajería unificada puede funcionar en modo No protegido, Protegido con SIP y Protegido a la vez.
Un servidor de mensajería unificada puede estar asociado con planes de marcado de mensajería unificada que tengan parámetros de seguridad distintos.
Ya no hace falta que el servicio Mensajería unificada de Microsoft Exchange se reinicie si el servidor de mensajería unificada se mueve de un plan de marcado con un parámetro de seguridad concreto a otro plan de marcado distinto con un parámetro de seguridad diferente.
Se necesita un certificado autofirmado, PKI o comercial válido. Si no se encuentra un certificado válido, el servidor de mensajería unificada generará un certificado autofirmado. El servidor de mensajería unificada necesita un certificado válido para cifrar el tráfico de VoIP cuando funciona en modo Seguro con SIP o Seguro.
Información adicional
Para obtener más información acerca de cómo iniciar el servicio de mensajería unificada de Microsoft Exchange, consulteCómo iniciar el servicio de mensajería unificada de Microsoft Exchange.
Para obtener más información acerca de cómo detener el servicio de mensajería unificada de Microsoft Exchange, consulte Cómo detener el servicio de mensajería unificada de Microsoft Exchange.
Para obtener más información acerca de cómo configurar un plan de marcado de mensajería unificada, consulte Set-UMDialplan.
Para obtener más información acerca de las puertas de enlace IP admitidas, consulte Puertas de enlace IP/VoIP compatibles.
Para obtener más información acerca de la compatibilidad con IP PBX y PBX, consulte IP/PBX y PBX admitidos.
Para obtener más información acerca de cómo asociar un servidor de mensajería unificada a un plan de marcado de mensajería unificada, consulte Cómo agregar un servidor Mensajería unificada a un plan de marcado.