Compreendendo a segurança VoIP da Unificação de Mensagens
Aplica-se a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Tópico modificado em: 2008-07-03
Um aspecto importante da segurança da rede é a possibilidade de proteger a infra-estrutura da Unificação de Mensagens. Existem componentes em seu ambiente de Unificação de Mensagens que você deve configurar corretamente para ajudar a proteger os dados recebidos e enviados nos servidores de Unificação de Mensagens na rede. Esses componentes englobam servidores de Unificação de Mensagens e planos de discagem. Este tópico discute como você pode aumentar a proteção de dados e servidores da rede de Unificação de Mensagens na organização. Siga estas etapas para ajudar a proteger seu ambiente de Unificação de Mensagens e habilitar a segurança VoIP:
Instale a função de servidor Unificação de Mensagens.
Crie um plano de discagem do UM e o configure-o para usar a segurança VoIP.
Associe os servidores de Unificação de Mensagens a um plano de discagem do UM.
Exporte e importe os certificados necessários para habilitar os servidores de Unificação de Mensagens, os gateways IP, os PBXs IP (IP Private Branch eXchanges) e outros servidores que estejam executando o Microsoft Exchange Server 2007 para utilizar TLS mútua (Mutual Transport Layer Security).
Configure os gateways IP do UM usados para que tenham um FQDN (nome de domínio totalmente qualificado).
Protegendo a Unificação de Mensagens
Há vários métodos de segurança que podem ajudá-lo a proteger os servidores de Unificação de Mensagens e o tráfego da rede enviado entre os gateways IP e os servidores de Unificação de Mensagens e entre os servidores de Unificação de Mensagens e outros servidores Exchange 2007 em sua organização. A tabela a seguir lista algumas das possíveis ameaças à infra-estrutura de Unificação de Mensagens e os métodos de segurança que podem ser implementados para ajudar a protegê-la.
Protegendo a Unificação de Mensagens
| De que estou me protegendo? | Como essa proteção pode ser feita? |
|---|---|
Monitorando o tráfego de voz |
|
Monitorando o tráfego de fax |
|
Um ataque contra um gateway IP ou um PBX IP |
|
Chamadas de longa distância não autorizadas |
|
Um ataque de negação de serviço |
|
Uma representação de proxy SIP (Protocolo de Início de Sessão) |
|
Escuta clandestina e seqüestro de sessão |
|
Há vários métodos de segurança listados na tabela anterior que podem ser usados para proteger seu ambiente de Unificação de Mensagens. Um dos mecanismos mais importantes para proteger a infra-estrutura de Unificação de Mensagens e o tráfego da rede gerado pela Unificação de Mensagens é a TLS mútua.
Você pode usar a TLS mútua para criptografar o tráfego IP (VoIP) que passa entre gateways IP, PBXs IP e outros servidores Exchange 2007 e os servidores de Unificação de Mensagens em sua rede. A melhor opção é proteger esses dados para usar a TLS mútua para criptografar dados VoIP.
No entanto, dependendo da ameaça de segurança, você também pode configurar diretivas IPsec para habilitar a criptografia de dados entre gateways IP ou PBXs IP e o servidor de Unificação de Mensagens ou entre um servidor de Unificação de Mensagens e outros servidores Exchange 2007 em sua rede. Em alguns ambientes, talvez você não consiga usar a IPsec, pois ele poderá não estar disponível ou não ser aceito nos gateways IP ou nos PBXs IP. Além disso, a IPsec gera uma carga de processamento adicional nos recursos do sistema em servidores de Unificação de Mensagens. Considerando esses dois fatores, a TLS mútua é a melhor opção para proteger o tráfego da rede VoIP em um ambiente de Unificação de Mensagens.
Depois de implementar e configurar corretamente a TLS mútua, o tráfego VoIP entre os gateways IP, PBXs IP e de outros servidores Exchange para os servidores de Unificação de Mensagens será criptografado. No entanto, quando a TLS mútua não puder ser usada para ajudar a proteger o tráfego enviado e recebido em um servidor de Unificação de Mensagens, por exemplo quando um servidor de Unificação de Mensagens se comunica com outro servidor em sua rede, como um controlador de domínio do Active Directory ou um servidor de Caixa de Correio do Exchange 2007, outros tipos de criptografia serão usados para proteger os dados. A figura a seguir mostra os métodos de criptografia que podem ser usados para proteger a Unificação de Mensagens.
Segurança VoIP do UM
.gif "Segurança de VOIP da UM")
Tipos de certificados
Certificados digitais são arquivos eletrônicos que funcionam como um passaporte online para verificar a identidade de um usuário ou computador e são usados para criar um canal criptografado para proteger dados. Um certificado é, basicamente, uma declaração digital emitida por uma autoridade de certificação (CA) que valida a identidade do portador do certificado e permite que as partes se comuniquem de forma segura, usando criptografia. Eles podem ser emitidos por uma CA de terceiros confiável, como por exemplo, usando os Serviços de Certificado, ou serem auto-assinados. Cada tipo de certificado tem vantagens e desvantagens. No entanto, os certificados são sempre invioláveis e não podem ser falsificados. Os certificados podem ser emitidos para várias funções, como autenticação de usuário da Web, autenticação de servidor da Web, S/MIME, IPsec, TLS (Transport Layer Security) e assinatura de código.
Um certificado liga uma chave pública à identidade da pessoa, do computador ou do serviço que contém a chave privada correspondente. As chaves pública e privada são usadas pelo cliente e pelo servidor para criptografar dados antes que sejam transmitidos através da linha. Os certificados são usados por vários serviços e aplicativos de segurança de chave pública que fornecem autenticação, integridade de dados e comunicações seguras entre redes, como a Internet. Para usuários, computadores e serviços baseados no Windows, a confiança em uma CA é estabelecida quando existe uma cópia do certificado raiz no armazenamento raiz confiável e o certificado contém um caminho de certificação válido. Isso significa que nenhum certificado no caminho de certificação foi revogado ou está com o prazo de validade expirado.
Os certificados digitais fazem o seguinte:
Eles autenticam que seus portadores - pessoas, sites e até mesmo recursos de rede, como roteadores - realmente são quem ou o quê dizem ser.
Eles protegem os dados trocados online contra roubos ou violações.
Tradicionalmente, existem três opções ou tipos de certificados que a Unificação de Mensagens e os gateways IP ou PBXs IP podem usar. Em todas as três opções ou abordagens, a chave pública do proprietário do certificado é parte do certificado para que o servidor, usuário, site ou outro recurso que estiver na outra extremidade possa descriptografar as mensagens. A chave privada só é conhecida pelo signatário do certificado. Cada certificado tem um atributo EnhancedKeyUsage definido para determinar o uso específico do certificado. Por exemplo, o uso poderia ser especificado somente para autenticação de servidor ou para uso com o sistema de criptografia de arquivos. A Unificação de Mensagens usa o certificado para autenticação de servidor e criptografia de dados.
Certificados auto-assinados
Um certificado auto-assinado é aquele assinado pelo próprio criador. O assunto e o nome do certificado são correspondentes. Em certificados auto-assinados, o emissor e o assunto são definidos no certificado. Os certificados auto-assinados não exigem a presença de uma CA de sua organização ou de terceiros. Você deve configurar esses certificados explicitamente e copiá-los para o armazenamento de certificado raiz confiável de cada gateway IP, PBX IP, outros servidores de Unificação de Mensagens e outros computadores do Exchange 2007, se eles precisarem ser confiáveis no servidor de Unificação de Mensagens que emitiu o certificado.
Se um certificado de terceiros ou baseado em uma infra-estrutura de chaves públicas (PKI) não estiver disponível, o servidor de Unificação de Mensagens irá procurar por um certificado auto-assinado no armazenamento de certificados local. Se ele não conseguir localizar um certificado de terceiros ou de PKI, gerará um certificado auto-assinado para TLS mútua. No entanto, por ser um certificado auto-assinado, ele não será considerado confiável pelos gateways IP, PBXs IP na rede ou outros servidores na rede. Para assegurar que o certificado auto-assinado será considerado confiável pelos gateways IP, PBXs IP ou outros servidores, você terá que importar o certificado auto-assinado para o armazenamento de certificado raiz confiável local dos dispositivos e servidores. Depois disso, quando o servidor de Unificação de Mensagens apresentar o certificado auto-assinado ao gateway IP, PBX IP ou servidor, ele será capaz de verificar se o certificado foi emitido por uma autoridade confiável porque o emissor será igual ao assunto definido no certificado auto-assinado.
Se você estiver usando apenas certificados auto-assinados, deverá importar um único certificado auto-assinado para cada gateway IP, PBX IP ou servidor. Em grandes ambientes de rede, com vários dispositivos ou computadores, talvez essa não seja a melhor opção para implementar a TLS mútua. Usar certificados auto-assinados em grandes redes corporativas não gera um bom dimensionamento devido à sobrecarga administrativa adicional. No entanto, a sobrecarga administrativa não é um problema se você tiver vários dispositivos e estiver usando um certificado de terceiros comercial ou de PKI. Isso ocorre porque cada dispositivo possui um certificado emitido pela mesma autoridade raiz confiável. Ter um certificado da mesma autoridade raiz confiável garante que todos os gateways IP, PBXs IP e outros servidores confiem no servidor de Unificação de Mensagens.
Para que a TLS mútua funcione com os certificados auto-assinados:
Selecione o certificado auto-assinado do servidor de Unificação de Mensagens e importe-o no armazenamento de certificados raiz confiáveis em cada gateway IP e PBX IP e em outros servidores com os quais o servidor de Unificação de Mensagens se comunicará usando a TLS mútua.
Selecione o certificado auto-assinado de cada gateway IP, PBX IP e outro servidor e importe-o no armazenamento de certificados raiz confiáveis do servidor de Unificação de Mensagens. Se você estiver usando um certificado de terceiros ou de PKI, você irá importar o certificado da autoridade de certificação para o armazenamento de certificado raiz confiável de todos os dispositivos e servidores.
Os certificados auto-assinados muitas vezes não são a melhor opção de certificado quando você implementa a autenticação baseada em certificados ou a TLS mútua. No entanto, organizações menores, com um número limitado de dispositivos ou computadores, podem decidir usar o método de certificado auto-assinado porque ele é o mais barato e mais fácil de configurar quando se implementa a TLS mútua. Freqüentemente, organizações menores decidem não usar um certificado de terceiros ou instalar seu próprio PKI para emitir seus próprios certificados por causa dos gastos, por falta de experiência e conhecimento de seus administradores para criar uma hierarquia própria de certificados, ou pelos dois motivos. O custo é mínimo e a instalação é simples quando se utilizam certificados auto-assinados. No entanto, estabelecer uma infra-estrutura para gerenciamento do ciclo de vida, renovação, gerenciamento de confiança e revogação do certificado é muito mais difícil com certificados auto-assinados. Para obter mais informações sobre como criar um certificado para TLS, consulte Criando um certificado ou uma solicitação de certificado de TLS.
Infra-estrutura de Chaves Públicas
Uma infra-estrutura de chaves públicas (PKI) é um sistema de certificados digitais, autoridades de certificados (CAs) e autoridades de registro (RAs) que verifica e autentica a validade de cada parte envolvida em uma transação eletrônica, usando criptografia de chave pública. Ao implementar uma CA em uma organização que usa o Active Directory, você fornece uma infra-estrutura para gerenciamento do ciclo de vida, renovação, gerenciamento de confiança e revogação do certificado. Essas qualidades oferecem uma infra-estrutura sólida para todos os certificados em sua organização. No entanto, há um custo incidente na implantação de servidores adicionais e da infra-estrutura para gerar e gerenciar esses tipos de certificado.
Você pode instalar os Serviços de Certificado em qualquer servidor do domínio. Se você obtiver certificados de uma CA com domínio baseado em Windows, poderá usá-la para solicitar ou assinar certificados para emitir para seus próprios servidores ou computadores na rede. Isso permite que você use uma PKI que reproduza o uso de um fornecedor terceirizado de certificados, mas é mais barato. Embora essas PKIs não possam ser implantadas publicamente, como outros tipos de certificados, quando uma PKI é usada, uma CA assina o certificado do solicitador usando a chave privada, e o solicitador é verificado. A chave pública dessa CA é incluída no certificado emitido pela CA. Qualquer pessoa que tiver o certificado dessa CA como um certificado raiz poderá usar essa chave pública para descriptografar o certificado do solicitador e autenticá-lo.
Ao usar um certificado de PKI para implementar a TLS mútua, você deverá copiar os certificados necessários para os gateways IP ou PBXs IP. Em seguida, você deverá copiar os certificados dos gateways IP ou PBXs IP para os servidores de Unificação de Mensagens associados ao plano de discagem do UM configurado no modo de segurança.
A instalação e configuração para usar certificados de PKI e de terceiros são semelhantes aos procedimentos executados para importar e exportar os certificados auto-assinados. Entretanto, você não deverá instalar apenas o certificado do computador no armazenamento de certificados raiz confiáveis. Você deverá importar ou copiar também o certificado raiz confiável para a PKI no armazenamento de certificados raiz confiáveis e nos gateways IP e PBXs IP em sua rede.
Para implantar a TLS mútua após a implantação de uma infra-estrutura de PKI, siga estas etapas:
Gere uma solicitação de certificado em cada gateway ou PBX IP.
Copie a solicitação de certificado para usar ao solicitar o certificado de uma autoridade de certificação.
Solicite um certificado da autoridade de certificação, usando a solicitação de certificado. Salve o certificado.
Importe o certificado que você salvou para cada dispositivo ou computador.
Faça download do certificado raiz confiável para sua PKI.
Importe o certificado raiz confiável de sua PKI para cada dispositivo. Se estiver importando o certificado raiz confiável da PKI para um computador do Exchange 2007 executando a função de Unificação de Mensagens, você também pode usar a Diretiva de Grupo para importar o certificado raiz confiável para o armazenamento de certificado raiz confiável no servidor de Unificação de Mensagens ou em outros servidores Exchange 2007. No entanto, esse processo também é usado quando se configura um servidor executando a função de servidor de Unificação de Mensagens.
Dica
Você usará as mesmas etapas se estiver usando um certificado de terceiros comercial para implementar a TLS mútua.
Para obter mais informações sobre certificados e PKIs, consulte os seguintes tópicos:
Para obter mais informações sobre certificados, consulte Infra-estrutura de chave pública do Windows Server 2003 (página em inglês).
Para obter mais informações sobre práticas recomendadas para implementar uma infra-estrutura de chave pública do Microsoft Windows Server 2003, consulte Práticas recomendadas para implementar uma infra-estrutura de chave pública do Microsoft Windows Server 2003 (página em inglês).
Para obter mais informações sobre como implanaar uma PKI baseada em Windows, consulte o Guia de Operações de PKI do Windows Server 2003 (página em inglês).
Autoridades de certificação de terceiros
Certificados comerciais ou de terceiros são aqueles gerados por uma CA comercial ou de terceiros, posteriormente adquiridos para seu uso em servidores de rede. Um problema nos certificados baseados em PKI e auto-assinados é que, po rnão serem confiáveis, você deverá importar o certificado para o armazenamento de certificado raiz confiável em computadores cliente, servidores e outros dispositivos. Certificados comerciais ou de terceiros não têm esse problema. A maioria dos certificados de CA comerciais já é confiável porque o certificado já reside no armazenamento de certificado raiz confiável. Pelo fato de o emissor ser confiável, o certificado também o é. Usar certificados de terceiros simplifica muito a implantação.
Para organizações grandes ou que precisem implantar certificados publicamente, é melhor usar um certificado comercial ou de terceiros, mesmo incidindo um custo associado ao certificado. Os certificados comerciais podem não ser a melhor solução para organizações pequenas e médias e talvez você decida usar uma das outras opções de certificado disponíveis.
Dependendo da configuração de gateway IP ou PBX IP, talvez ainda seja necessário importar o certificado comercial ou de terceiros para o armazenamento de certificados confiáveis nos gateways IP e PBXs IP, para permitir o uso do certificado de terceiros para a TLS mútua. No entanto, em alguns casos, o certificado de terceiros será incluído no armazenamento de certificado raiz confiável do servidor de Unificação de Mensagens e outros computadores do Exchange 2007 em sua organização.
Os procedimentos para usar um certificado de terceiros comercial para habilitar a TLS mútua são os mesmos aplicados quando se utiliza um certificado de PKI. A única diferença é que você não precisará gerar um certificado de PKI porque você comprou um certificado de um fornecedor de certificados de terceiros comerciais que será importado para o armazenamento de certificado raiz confiável dos servidores e dispositivos na rede.
Configurando a TLS mútua
Por padrão, quando uma chamada de entrada é recebida de um gateway IP, o tráfego VoIP não é criptografado e não usa TLS mútua. Contudo, a configuração de segurança de um servidor de Unificação de Mensagens é definida no plano de discagem de Unificação de Mensagens associado ao servidor de Unificação de Mensagens. Para permitir que o servidor de Unificação de Mensagens se comunique de modo seguro com gateways IP, PBXs IP e outros servidores Exchange 2007, use o cmdlet Set-UMDialPlan para configurar a segurança VoIP no plano de discagem do UM e, em seguida, habilitar a TLS mútua para os servidores de Unificação de Mensagens associados ao plano de discagem do UM.
Dica
Na versão RTM (Versão de Produção) do Exchange 2007, se o serviço de Unificação de Mensagens do Microsoft Exchange já estiver em execução e você adicionar um servidor de Unificação de Mensagens a um plano de discagem do UM, deverá reiniciar o serviço de Unificação de Mensagens do Microsoft Exchange para que a configuração de segurança do plano de discagem seja reforçada. No Exchange 2007 Service Pack 1 (SP1), você não precisará reiniciar o serviço de Unificação de Mensagens do Microsoft Exchange se adicionar o servidor de Unificação de Mensagens a um plano de discagem do UM.
Depois de habilitar a segurança VoIP no plano de discagem do UM, todos os servidores de Unificação de Mensagens associados ao plano de discagem do UM podem se comunicar de uma maneira segura. Entretanto, dependendo do tipo de certificado que você usa para habilitar a TLS mútua, primeiro importe e exporte os certificados necessários para os servidores de Unificação de Mensagens e os gateways IP e PBXs. Após a importação dos certificados necessários para o servidor de Unificação de Mensagens, reinicie o serviço de Unificação de Mensagens do Microsoft Exchange ara usar o certificado importado e, assim, estabelecer uma conexão criptografada com os gateways IP ou PBXs IP. Para obter mais informações sobre como importar e exportar certificados, consulte Importando e exportando certificados (página em inglês).
Depois de importar e exportar com êxito os certificados confiáveis necessários, o gateway IP solicitará um certificado do servidor de Unificação de Mensagens e um certificado do gateway IP. Trocar os certificados confiáveis entre o gateway IP e o servidor de Unificação de Mensagens permite que o gateway IP e o servidor de Unificação de Mensagens se comuniquem por uma conexão criptografada usando TLS mútua. Quando uma mensagem de entrada for recebida por um gateway IP ou PBX IP, ela iniciará uma troca de certificados e negociará a segurança usando TLS mútua com o servidor de Unificação de Mensagens. O serviço de Unificação de Mensagens do Microsoft Exchange não está envolvido no processo de troca de certificados ou na determinação da validação do certificado. No entanto, se um certificado confiável não for localizado no servidor de Unificação de Mensagens, se um certificado confiável for encontrado mas não for válido ou se uma chamada for rejeitada devido a uma falha de negociação de TLS mútua, o servidor de Unificação de Mensagens receberá uma notificação do serviço de Unificação de Mensagens do Microsoft Exchange.
Embora o serviço de Unificação de Mensagens do Microsoft Exchange não participe na troca de certificados entre o servidor de Unificação de Mensagens e os gateways IP, o servidor de Unificação de Mensagens do Microsoft Exchange faz o seguinte:
Fornece uma lista de FQDNs (nomes de domínio totalmente qualificados) ao serviço Microsoft Exchange Speech para que somente chamadas de gateways IP ou PBXs IP incluídas na lista sejam aceitas.
Transmite os atributos issuerName e SerialNumber de um certificado para o serviço Microsoft Exchange Speech. Esses atributos identificam de modo exclusivo o certificado que o servidor de Unificação de Mensagens usará quando um gateway IP ou PBX IP solicitar um certificado.
Depois que o servidor de Unificação de Mensagens e os gateways IP ou PBXs IP realizarem a troca de chaves para estabelecer uma conexão criptografada usando TLS mútua, os servidores de Unificação de Mensagens se comunicarão com os gateways IP e PBXs IP usando uma conexão criptografada. Os servidores de Unificação de Mensagens se comunicarão também com outros servidores Exchange 2007, como servidores de Acesso para Cliente e de Transporte de Hub, por uma conexão criptografada que usa TLS mútua. No entanto, a TLS mútua só será usada para criptografar o tráfego ou as mensagens que enviadas do servidor de Unificação de Mensagens para um servidor de Transporte de Hub.
Importante
Para habilitar a TLS mútua entre um gateway IP do UM e um plano de discagem que esteja operando em modo de segurança, configure primeiro o gateway IP do UM com um FQDN e para escutar na porta 5061. Para configurar um gateway IP do UM, execute o seguinte comando: Set-UMIPGateway -identity MyUMIPGateway -Port 5061.
IPsec
A IPsec também usa certificados para criptografar dados. Ela fornece uma linha de chave de defesa contra ataques à rede privada e à Internet.
A IPsec tem os seguintes objetivos:
Proteger o conteúdo de pacotes IP.
Defender contra ataques à rede através de filtragem de pacotes e reforço de comunicações confiáveis.
A IPsec é uma estrutura de padrões abertos que ajuda a garantir comunicações privadas e seguras através de redes IP, usando serviços de segurança criptográficos.
A IPsec usa serviços de proteção baseados em criptografia, protocolos de segurança e gerenciamento de chaves dinâmico. ElA propicia poder e flexibilidade para proteger as comunicações entre computadores de rede privada, domínios, sites, sites remotos, extranets e clientes dial-up. Também pode ser usada para bloquear o recebimento ou a transmissão de tipos de tráfego específicos.
A IPsec se baseia em um modelo de segurança de ponta a ponta que estabelece confiança e segurança de um endereço IP de origem a um endereço IP de destino. O endereço IP por si só não deve ser considerado uma identidade. Em vez disso, o sistema por trás do endereço IP possui uma identidade validada através de um processo de autenticação. Os únicos computadores que devem conhecer o tráfego sendo protegido são os computadores de envio e de recebimento. Cada computador gerencia a segurança em sua extremidade respectiva e opera considerando que o meio em que a comunicação ocorre não é seguro. Os computadores que roteiam dados somente da origem para o destino não precisam oferecer suporte para IPsec, a menos que uma filtragem de pacotes do tipo firewall ou uma conversão do endereço da rede esteja ocorrendo entre os dois computadores. Isso permite que a IPsec seja implantada com êxito nos seguintes cenários organizacionais:
LAN: cliente a servidor, servidor a servidor e servidor a dispositivo VoIP
WAN: roteador a roteador e gateway a gateway
Acesso remoto: clientes dial-up e acesso à Internet a partir de redes privadas
Geralmente, os dois lados precisam de configuração de IPsec para definir as opções e as configurações de segurança que permitirão que dois sistemas concordem sobre como ajudar a proteger o tráfego entre eles. Esse processo é conhecido como uma diretiva de IPsec. As implementações de IPsec nas famílias do Microsoft Windows 2000 Server, Windows XP e Windows Server 2003 baseiam-se nos padrões do setor, desenvolvidos pelo grupo de trabalho de IPsec da IETF (Internet Engineering Task Force). Parte dos serviços relacionados à IPsec foram desenvolvidas em conjunto pela Microsoft e pela Cisco Systems, Inc. Para obter mais informações sobre como configurar diretivas de IPsec, consulte Criando, modificando e atribuindo diretivas de IPsec (página em inglês).
Para obter mais informações sobre IPsec, consulte Conceitos de IPsec (página em inglês).
Aviso
Se você tiver diretivas de IPsec implementadas em sua rede no momento, deverá excluir os gateways IP e PBXs IP da diretiva de IPsec. Se não fizer isso, a cada 3 segundos de mensagem de voz haverá 1 segundo de falha na transmissão de voz. Esse é um problema conhecido e um hotfix para o Microsoft Windows Server 2003. Para obter mais informações sobre esse hotfix, consulte Como simplificar a criação e manutenção dos filtros de IPsec (Segurança de Protocolo de Internet) no Windows Server 2003 e Windows XP (página em inglês).
Planos de discagem do UM e segurança VoIP no Exchange 2007 RTM
A Unificação de Mensagens pode se comunicar com gateways IP, PBXs IP e outros computadores do Exchange 2007 usando criptografia. Entretanto, isso depende de como o plano de discagem do UM pode estar configurado. Por padrão, os planos de discagem do UM não usarão criptografia para proteger o tráfego VoIP. Você pode usar o cmdlet Get-UMDialPlan no Shell de Gerenciamento do Exchange para definir a configuração de segurança de um determinado plano de discagem. Se o parâmetro de segurança VoIP estiver habilitado, você poderá verificar se o serviço de Unificação de Mensagens do Microsoft Exchange foi iniciado em modo de segurança, consultando o log de eventos do aplicativo para ver se os eventos de informações números 1114 e 1112 foram registrados.
Por padrão, os planos de discagem de Unificação de Mensagens e os servidores de Unificação de Mensagens associados ao plano de discagem do UM enviam e recebem dados sem usar criptografia. Portanto, eles estão configurados no modo não-seguro. No modo não-seguro, o tráfego VoIP e SIP não será criptografado. No entanto, os planos de discagem do UM e o servidor de Unificação de Mensagens associados ao plano de discagem do UM poderão ser configurados através do parâmetro VoIPSecurity. O parâmetro VoIPSecurity configura o plano de discagem para criptografar o tráfego VoIP e SIP usando TLS mútua.
A Unificação de Mensagens usa os protocolos VoIP, RTP (Protocolo de Transporte em Tempo Real) e SIP, para se comunicar com outros dispositivos e servidores. Quando você configurar o plano de discagem do UM para usar a segurança VoIP ou o modo de segurança, o canal de sinalização SIP será criptografado. O canal de sinalização SIP pode usar o SIP protegido por TLS mútua. No entanto, os canais de mídia que usam RTP continuarão usando o TCP (Protocolo de Controle de Transmissão), que não é protegido.
Dica
Um canal de mídia de sinalização seguro que usa o SRTP (Protocolo de Transporte em Tempo Real Seguro) usará também TLS mútua para criptografar os dados VoIP. O SRTP não está disponível nesta versão do produto. No entanto, o suporte para SRTP está planejado para uma versão futura. Isso significa que os dados SIP e os canais de mídia usados pela Unificação de Mensagens do Exchange 2007 serão criptografados.
Após criar um plano de discagem do UM, use o cmdlet Set-UMDialPlan para definir o modo de segurança VoIP. Quando você configura o plano de discagem do UM para usar a segurança VoIP, os servidores de Unificação de Mensagens associados a esse plano usarão o modo de segurança ou a criptografia. No entanto, para enviar dados criptografados de e para um servidor de Unificação de Mensagens, você deverá configurar corretamente o plano de discagem do UM e os dispositivos como gateways IP ou PBXs IP deverão aceitar TLS mútua.
Um servidor de Unificação de Mensagens pode ser associado a um único ou a vários planos de discagem do UM. No entanto, um único servidor de Unificação de Mensagens pode usar TLS mútua (seguro) ou TCP (inseguro), mas não ambos. Esta é uma limitação da pilha de sinalização SIP. Portanto, um único servidor de Unificação de Mensagens só poderá ser associado a vários planos de discagem que tenham a mesma configuração de segurança.
Por padrão, quando um plano de discagem for criado, ele usará o modo não-seguro ou nenhuma criptografia. No entanto, se você tiver um servidor de Unificação de Mensagens associado a um plano de discagem do UM configurado para usar TLS mútua para criptografar o tráfego VoIP e tiver que desabilitar a segurança VoIP do plano de discagem, siga as seguintes etapas:
Remova todos os servidores de Unificação de Mensagens do plano de discagem do UM sendo executado no modo de segurança no momento.
Use o cmdlet Set-UMDialPlan para definir o plano de discagem para o modo não-seguro.
Associe os servidores de Unificação de Mensagens ao plano de discagem sendo executado em modo não-seguro no momento.
Importante
Se estiver configurando TLS mútua para criptografar dados trocados entre gateways IP dos modelos Dialogic 2000 ou 4000, você deverá usar o modelo de certificado V3, que aceita autenticação de cliente e de servidor. O modelo de certificado de Servidor da Web que aceita autenticação de servidor só irá funcionar corretamente com os gateways IP Dialogic 1000 e 3000, gateways IP AudioCodes e o Microsoft Office Communications Server 2007.
Novidades no Exchange 2007 SP1
Os servidores de Unificação de Mensagens que tem o Exchange 2007 SP1 instalado podem se comunicar com gateways IP, PBXs IP e outros computadores do Exchange 2007 em um modo não-seguro, SIP seguro ou seguro, dependendo da configuração do plano de discagem de UM. Um servidor de Unificação de Mensagens pode operar em qualquer modo que esteja configurado em um plano de discagem, pois o servidor de Unificação de Mensagens está configurado para atender ao mesmo tempo na porta 5060 TCP para solicitações não seguras e na porta 5061 TCP para solicitações seguras. Um servidor de Unificação de Mensagens pode ser associado a um ou a vários planos de discagem do UM e pode ser associado a planos de discagem que tenham diferentes configurações de segurança VoIP. Um único servidor de Unificação de Mensagens pode ser associado a planos de discagem que estejam configurados para usar uma combinação de modos inseguros, SIP seguro e seguro.
Por padrão, ao criar um plano de discagem do UM, ele se comunicará de um modo Inseguro e os servidores de Unificação de Mensagens associados ao plano de discagem do UM enviarão e receberão dados de gateways IP, de PBXs IP e de outros computadores do Exchange 2007 sem usar criptografia. No modo Inseguro, o canal de mídia RTP (Protocolo de Transporte em Tempo Real) e as informações de sinalização SIP não serão criptografadas.
Você pode configurar um servidor de Unificação de Mensagens para usar TLS mútua para criptografar o tráfego SIP e RTP que é enviado e recebido de outros dispositivos e servidores. Ao adicionar um servidor de Unificação de Mensagens em um plano de discagem do UM e configurar o plano de discagem para usar o modo SIP seguro, apenas o tráfego de sinalização SIP será criptografado e os canais de mídia de RTP continuarão a usar o protocolo TCP. O TCP não é criptografado. Entretanto, se você adicionar um servidor de Unificação de Mensagens a um plano de discagem do UM e configurar o plano de discagem para usar modo Seguro, o tráfego de sinalização SIP e os canais de mídia de RTP serão criptografados. Um canal de mídia de sinalização seguro que usa o SRTP (Protocolo de Transporte em Tempo Real Seguro) usa também TLS mútua para criptografar os dados VoIP.
Você pode configurar o modo de segurança VoIP ao criar um novo plano de discagem ou depois de criar um plano de discagem usando o Console de Gerenciamento do Exchange ou o cmdlet Set-UMDialPlan. Ao configurar o plano de discagem do UM para usar o modo SIP seguro ou Seguro, os servidores de Unificação de Mensagens associado ao plano de discagem do UM criptografará o tráfego de sinalização SIP ou os canais de mídia de RTP, ou ambos. No entanto, para enviar dados criptografados de e para um servidor de Unificação de Mensagens, você deverá configurar corretamente o plano de discagem do UM e os dispositivos como gateways IP ou PBXs IP deverão aceitar TLS mútua.
Como a UM determina o modo de segurança e seleciona certificados
Quando o serviço de Unificação de Mensagens do Microsoft Exchange é iniciado, ele verifica o plano de discagem do UM associado e a definição do parâmetro VoipSecurity, e identifica se deve iniciar em modo seguro ou inseguro. Se ele determinar que deve iniciar em modo seguro, verificará se tem acesso aos certificados necessários. Se o servidor de Unificação de Mensagens não estiver associado a nenhum plano de discagem do UM, ele determinará em qual modo deve iniciar consultando o parâmetro StartSecuredno arquivo UMRecyclerConfig.xml. Esse parâmetro pode ser definido com um valor igual a 0 ou 1. Um valor de 1 inicia o servidor de Unificação de Mensagens usando criptografia para proteger o tráfego VoIP. Um valor igual a 0 inicia o servidor, mas a criptografia não será usada para proteger o tráfego VoIP. Para alterar o comportamento de inicialização do servidor de Unificação de Mensagens de seguro para inseguro ou de não-seguro para seguro, você pode associar o servidor aos planos de discagem do UM adequados e, em seguida, reiniciar o servidor de Unificação de Mensagens. Você pode também alterar a definição de configuração no arquivo de configuração UMRecyclerConfig.xml e, em seguida, reiniciar o serviço de Unificação de Mensagens do Microsoft Exchange.
Se o serviço de Unificação de Mensagens do Microsoft Exchange for iniciado em modo inseguro, será iniciado corretamente. No entanto, verifique se os gateways IP e PBXs IP também estão sendo executados em modo não-seguro. Além disso, se estiver testando a conectividade do servidor de Unificação de Mensagens em modo inseguro, use o cmdlet Test-UMConnectivity com o parâmetro -Secured:false .
Se o serviço de Unificação de Mensagens do Microsoft Exchange for iniciado em modo seguro, ele consultará o armazenamento de certificado local para encontrar um certificado válido a ser usado para TLS mútua para habilitar criptografia. Primeiro, o serviço irá procurar um certificado comercial ou de PKI válido e, em seguida, se um certificado adequado não for encontrado, ele irá procurar um certificado auto-assinado para usar. Se nenhum certificado auto-assinado, comercial ou de PKI for encontrado, o serviço de Unificação de Mensagens do Microsoft Exchange criará um certificado auto-assinado para usar ao iniciar em modo Seguro. Se o servidor de Unificação de Mensagens estiver iniciando em modo inseguro, um certificado não será necessário.
Todos os detalhes do certificado usado para iniciar em modo de segurança serão registrados, sempre que o certificado for usado ou se o certificado for alterado. Alguns detalhes registrados no log incluem o seguinte:
Nome do emissor
Número de série
Impressão digital
A impressão digital é o hash do SHA1 (Algoritmo de Hash Seguro) e pode ser usada para identificar com exclusividade o certificado utilizado. Você pode, então, exportar o certificado usado pelo serviço de Unificação de Mensagens do Microsoft Exchange para iniciar no modo seguro, a partir do armazenamento de certificados locais e, em seguida, importar esse certificado nos gateways IP e PBXs IP de sua rede para o armazenamento de certificados confiáveis.
Depois que um certificado adequado é encontrado e usado, e se nenhuma alteração adicional tiver sido realizada, o serviço de Unificação de Mensagens do Microsoft Exchange irá registrar um evento um mês antes da expiração do certificado em uso. Se você não realizar nenhuma alteração no certificado durante esse tempo, o serviço de Unificação de Mensagens do Microsoft Exchange irá registrar um evento por dia até o certificado expirar e um evento por dia após a expiração.
Ao procurar um certificado para o uso da TLS mútua para estabelecer um canal criptografado, o servidor de Unificação de Mensagens examinará o armazenamento de certificados raiz confiáveis. Se houver vários certificados válidos e de diferentes emissores, o servidor de Unificação de Mensagens irá escolher o certificado válido que demorar mais tempo para expirar. Se houver vários certificados, o servidor de Unificação de Mensagens irá escolher os certificados com base no emissor e na data de expiração. O servidor de Unificação de Mensagens irá procurar um certificado válido nessa ordem.
Certificado comercial ou de PKI com período de expiração mais distante.
Certificado comercial ou de PKI com período de expiração mais próximo.
Certificado auto-assinado com período de expiração mais distante.
Certificado auto-assinado com período de expiração mais próximo.
Importante
Quando um novo certificado é instalado no servidor de Acesso para Cliente que é usado para criptografar dados do recurso Tocar no Telefone entre o servidor de Acesso para Cliente e o servidor de Unificação de Mensagens, você deve executar o comando IISreset a partir de um prompt de comando para carregar o certificado correto.
Novidades no Exchange 2007 SP1
O arquivo UMRecyclerConfig.xml não contém mais uma configuração de segurança para um servidor de Unificação de Mensagens. No Exchange 2007 SP1, um servidor de Unificação de Mensagens pode operar no modo Não-seguro, SIP Seguro e Seguro ao mesmo tempo.
Um servidor de Unificação de Mensagens pode ser associado a planos de discagem do UM que tenham configurações de segurança diferentes.
Não é mais necessário reiniciar o serviço de Unificação de Mensagens do Microsoft Exchange quando o servidor de Unificação de Mensagens é movido de um plano de discagem que tenha uma configuração de segurança específica para um outro plano de discagem, com outra configuração de segurança.
Um certificado comercial, da PKI ou auto-assinado válido é necessário. Se um certificado não for encontrado, o servidor de Unificação de Mensagens gerará um certificado auto-assinado. O servidor de Unificação de Mensagens precisa de um certificado válido para criptografar o tráfego VoIP quando estiver operando no modo SIP Seguro ou Seguro.
Para obter mais informações
Para obter mais informações sobre como iniciar o serviço de Unificação de Mensagens do Microsoft Exchange, consulte Como iniciar o serviço de Unificação de Mensagens do Microsoft Exchange.
Para obter mais informações sobre como parar o serviço de Unificação de Mensagens do Microsoft Exchange, consulte Como parar o serviço de Unificação de Mensagens do Microsoft Exchange.
Para obter mais informações sobre como configurar um plano de discagem do UM para usar o modo Seguro, consulte Set-UMDialplan.
Para obter mais informações sobre gateways IP aceitos, consulte Gateways IP/VoIP aceitos.
Para obter mais informações sobre suporte de IP PBX e PBX, consulte Suporte a IP/PBX e PBX.
Para obter mais informações sobre como associar um servidor de Unificação de Mensagens a um plano de discagem do UM, consulte Como adicionar um servidor de Unificação de Mensagens a um plano de discagem.