Grundlegendes zu Unified Messaging VoIP-Sicherheit

  • Artikel

 

Gilt für: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Letztes Änderungsdatum des Themas: 2016-11-28

Ein wichtiger Aspekt bei der Netzwerksicherheit ist der Schutz der Unified Messaging-Infrastruktur. Bestimmte Komponenten in Ihrer Unified Messaging-Umgebung müssen richtig konfiguriert werden, damit Daten, die von Unified Messaging-Servern in Ihrem Netzwerk gesendet und empfangen werden, entsprechend geschützt sind. Zu diesen Komponenten gehören Unified Messaging-Server und -Wähleinstellungen. In diesem Thema wird erläutert, wie Sie den Schutz von Unified Messaging-Netzwerkdaten und -Servern in Ihrer Organisation erhöhen können. Führen Sie zur besseren Absicherung Ihrer Unified Messaging-Umgebung und Aktivierung der VoIP-Sicherheit (Voice over IP) folgende Schritte aus:

  1. Installieren Sie die Unified Messaging-Serverrolle.

  2. Erstellen Sie ein neues selbstsigniertes oder öffentliches Zertifikat zur Verwendung für MTLS (Mutual TLS).

  3. Ordnen Sie dem UM-Server ein Zertifikat zu.

  4. Konfigurieren Sie die UM-Wähleinstellungen als SIP-gesichert oder Gesichert.

  5. Konfigurieren Sie den Startmodus für den UM-Server.

  6. Weisen Sie die Unified Messaging-Server den UM-Wähleinstellungen zu.

  7. Konfigurieren Sie die verwendeten UM-IP-Gateways mit einem vollqualifizierten Domänennamen (FQDN) und zur Verwendung von TCP-Port 5061.

  8. Exportieren und importieren Sie die erforderlichen Zertifikate, damit die Unified Messaging-Server, IP-Gateways, IP-PBX-Anlagen (IP Private Branch eXchanges) und andere Server unter Microsoft Exchange Server 2010 MTLS (Mutual Transport Layer Security) verwenden können.

Inhalt

Schützen von Unified Messaging

Zertifikattypen

Konfigurieren von MTLS

IPsec

UM-Wähleinstellungen und VoIP-Sicherheit

Ermitteln des Sicherheitsmodus und Auswahl von Zertifikaten durch den Unified Messaging-Dienst

Schützen von Unified Messaging

Es stehen mehrere Sicherheitsmethoden zur Verfügung, über die Sie Ihre Unified Messaging-Server sowie den Netzwerkdatenverkehr schützen können, der zwischen Ihren IP-Gateways und Unified Messaging-Servern bzw. zwischen Ihren Unified Messaging-Servern und anderen Exchange 2010-Servern in der Organisation stattfindet. In der folgenden Tabelle werden einige der möglichen Gefahren für Ihre Unified Messaging-Infrastruktur und die geeigneten Sicherheitsmethoden aufgeführt.

Schützen von Unified Messaging

Mögliche Gefahr Geeignete Sicherheitsmethode

Überwachen der Sprachkommunikation

  • Verwenden Sie IPsec (Internet Protocol Security). IP-Gateway oder IP-PBX-Anlage müssen IPsec unterstützen.

  • Verwenden Sie SRTP (Secure Realtime Transport Protocol).

Angriff auf IP-Gateway oder IP-PBX

  • Verwenden Sie strenge Authentifizierungsmethoden.

  • Verwenden Sie komplexe Administratorkennwörter.

  • Verwenden Sie SSL (Secure Sockets Layer) zum Schützen der Administratoranmeldeinformationen. Dabei muss der IP-Gateway oder die IP-PBX-Anlage SSL unterstützen.

  • Verwenden Sie SSH (Secure Shell) anstelle von Telnet.

Nicht autorisierte Ferngespräche

  • Verwenden Sie Regeln für UM-Wähleinstellungen und Wähleinschränkungen. Diese können in den UM-Wähleinstellungen oder in UM-Postfachrichtlinien festgelegt werden.

  • Optional können Sie möglicherweise über die PBX-Anlage weitere Wähleinschränkungen vorgeben.

Dienstverweigerungsangriff

  • Der Unified Messaging-Server kommuniziert nur mit UM-IP-Gateways oder IP-PBX-Anlagen, die in der Liste der als vertrauenswürdig eingestuften VoIP-Geräte oder Server aufgeführt werden. Diese Liste wird beim Erstellen eines UM-IP-Gateways im Active Directory-Verzeichnisdienst angelegt.

  • Verwenden Sie MTLS (Mutual Transport Layer Security).

SIP-Proxyidentitätswechsel (Session Initiation Protocol)

  • Verwenden Sie MTLS (Mutual Transport Layer Security).

  • Verwenden Sie IPsec. IP-Gateway oder IP-PBX-Anlage müssen IPsec unterstützen.

  • Konfigurieren Sie vertrauenswürdige LANs, wie beispielsweise VLANs, dedizierte WAN-Leitungen oder VPNs (Virtual Private Networks).

Lauschangriffe und Eindringen in Sitzungen

  • Verwenden Sie TLS, um Lauschangriffe zu reduzieren.

  • Verwenden Sie IPsec. IP-Gateway oder IP-PBX-Anlage müssen IPsec unterstützen.

  • Konfigurieren Sie vertrauenswürdige LANs, wie beispielsweise VLANs, dedizierte WAN-Leitungen oder VPNs.

Einige der in der vorherigen Tabelle aufgelisteten Sicherheitsmethoden können Sie zum Schützen Ihrer Unified Messaging-Umgebung verwenden. Zu den wichtigsten Mechanismen zum Schutz der UM-Infrastruktur und des von Unified Messaging erzeugten Netzwerkverkehrs gehört MTLS (Mutual Transport Layer Security).

Mit MTLS können Sie den VoIP-Verkehr (Voice over IP) zwischen IP-Gateways, IP-PBX-Anlagen sowie anderen Exchange 2010-Servern und den Unified Messaging-Servern in Ihrem Netzwerk verschlüsseln. Die Verschlüsselung der VoIP-Daten mit MTLS bietet den besten Schutz.

Abhängig von der drohenden Gefahr haben Sie zusätzlich die Möglichkeit, IPsec-Richtlinien zu konfigurieren, mit denen Sie die Datenverschlüsselung zwischen IP-Gateways oder IP-PBX-Anlagen und einem Unified Messaging-Server oder zwischen einem Unified Messaging-Server und anderen Exchange 2010-Servern in Ihrem Netzwerk aktivieren können. In einigen Umgebungen ist die Verwendung von IPsec unter Umständen nicht möglich, da IPsec entweder nicht zur Verfügung steht oder nicht von den IP-Gateways oder den IP-PBX-Anlagen unterstützt wird. Außerdem erhöht IPsec die Verarbeitungslast von Systemressourcen auf Unified Messaging-Servern. Aus diesen Gründen ist MTLS für den Schutz des VoIP-Netzwerkverkehrs in Ihrer Unified Messaging-Umgebung die bessere Wahl.

Nach der richtigen Implementierung und Konfiguration von MTLS wird der VoIP-Verkehr zwischen den IP-Gateways, den IP-PBX-Anlagen und von anderen Exchange-Servern zum Unified Messaging-Server verschlüsselt. Wenn MTLS jedoch nicht zum Sichern des Datenverkehrs verwendet werden kann, der von einem Unified Messaging-Server gesendet oder empfangen wird, beispielsweise wenn ein Unified Messaging-Server mit einem anderen Server im Netzwerk, z. B. einem Active Directory-Domänencontroller oder einem Exchange 2010-Postfachserver kommuniziert, werden andere Verschlüsselungsarten zum Schutz der Daten verwendet. In der folgenden Abbildung werden die Verschlüsselungsmethoden dargestellt, die zum Schutz von Unified Messaging verwendet werden können.

UM VoIP-Sicherheit

Zurück zum Seitenanfang

Zertifikattypen

Bei digitalen Zertifikaten handelt es sich um elektronische Dateien, die als eine Art Onlineausweis zur Identifikation eines Benutzers oder Computers dienen und zum Erstellen eines verschlüsselten Kanals zum Schutz von Daten verwendet werden. Ein Zertifikat ist im Grunde eine digitale Bescheinigung von einer Zertifizierungsstelle (Certification Authority, CA), die die Identität des Zertifikatinhabers bestätigt und den Parteien eine sichere Kommunikation durch die Verschlüsselung von Daten ermöglicht. Zertifikate können von einer vertrauenswürdigen Zertifizierungsstelle eines Drittanbieters, beispielsweise mithilfe von Zertifikatdiensten, ausgestellt oder selbst signiert werden. Jeder Zertifikattyp hat Vor- und Nachteile. Zertifikate sind jedoch in jedem Fall manipulationssicher und können nicht gefälscht werden. Zertifikate können für eine Vielzahl von Funktionen, wie beispielsweise Webbenutzerauthentifizierung, Webserverauthentifizierung, S/MIME, IPsec, TLS und Codesignatur, ausgegeben werden.

Ein Zertifikat bindet einen öffentlichen Schlüssel an die Identität der Person, des Computers oder des Diensts mit dem entsprechenden privaten Schlüssel. Öffentliche und private Schlüssel werden sowohl vom Client als auch vom Server zum Verschlüsseln von Daten vor deren Übermittlung verwendet. Viele Sicherheitsdienste und -anwendungen, die öffentliche Schlüssel für Authentifizierung, Datenintegrität und sichere Kommunikation über Netzwerke wie das Internet einsetzen, verwenden Zertifikate. Für Windows-basierte Benutzer, Computer und Dienste wird eine Vertrauensstellung mit einer Zertifizierungsstelle eingerichtet, wenn sich eine Kopie des Stammzertifikats im Informationsspeicher für vertrauenswürdige Stammzertifikate befindet und das Zertifikat einen gültigen Zertifizierungspfad enthält. Dies bedeutet, dass keine Zertifikate im Zertifizierungspfad gesperrt wurden oder abgelaufen sind.

Digitale Zertifikate bewirken Folgendes:

  • Sie bestätigen, dass ihre Inhaber – Personen, Websites und sogar Netzwerkressourcen wie z. B. Router – wirklich das sind, was sie vorgeben zu sein.

  • Sie schützen online ausgetauschte Daten vor Diebstahl und Manipulationen.

In der Regel stehen Unified Messaging- und IP-Gateways oder IP-PBX-Anlagen drei Zertifikatlösungen oder -typen zur Verfügung. Bei allen drei Ansätzen oder Optionen ist der öffentliche Schlüssel des Zertifikatinhabers Bestandteil des Zertifikats, sodass der Server, der Benutzer, die Website oder die Ressource auf der Gegenseite in der Lage ist, die Nachrichten zu entschlüsseln. Der private Schlüssel ist nur dem Signaturgeber des Zertifikats bekannt. Jedes Zertifikat enthält ein EnhancedKeyUsage-Attribut, mit dem die Verwendung des Zertifikats festgelegt ist. Es kann beispielsweise festgelegt sein, dass das Zertifikat nur zur Serverauthentifizierung oder für die Verwendung mit dem verschlüsselnden Dateisystem genutzt werden kann. Unified Messaging verwendet das Zertifikat zur Serverauthentifizierung und Datenverschlüsselung.

Selbstsignierte Zertifikate

Bei einem selbstsignierten Zertifikat handelt es sich um ein Zertifikat, das von seinem Ersteller signiert wurde. Antragsteller und Name des Zertifikats stimmen überein. Bei selbstsignierten Zertifikaten sind Aussteller und Antragsteller im Zertifikat definiert. Es ist weder eine Zertifizierungsstelle seitens Ihrer Organisation noch seitens eines Drittanbieters erforderlich. Sie müssen diese Zertifikate explizit konfigurieren und sie in den vertrauenswürdigen Stammzertifikatspeicher der jeweiligen IP-Gateways, IP-PBX-Anlagen, anderen Unified Messaging-Server sowie anderer Exchange 2010-Computer kopieren, wenn der Unified Messaging-Server, der das Zertifikat ausgestellt hat, diese als vertrauenswürdig einstufen soll.

Wenn kein PKI-basiertes Zertifikat oder Drittanbieterzertifikat verfügbar ist, sucht der Unified Messaging-Server nach einem selbstsignierten Zertifikat im lokalen Zertifikatspeicher. Ist kein PKI- oder Drittanbieterzertifikat zu finden, wird ein selbstsigniertes Zertifikat für MTLS erzeugt. Da es sich hierbei jedoch um ein selbstsigniertes Zertifikat handelt, wird es von IP-Gateways, IP-PBX-Anlagen im Netzwerk oder anderen Servern im Netzwerk nicht als vertrauenswürdig eingestuft. Um sicherzustellen, dass ein selbstsigniertes Zertifikat von IP-Gateways, IP-PBX-Anlagen oder anderen Servern als vertrauenswürdig eingestuft wird, müssen Sie dieses Zertifikat in den lokalen vertrauenswürdigen Stammzertifikatspeicher der Geräte und Server importieren. Wenn der Unified Messaging-Server anschließend dieses selbstsignierte Zertifikat dem IP-Gateway, der IP-PBX-Anlage oder dem Server vorlegt, wird sichergestellt, dass das Zertifikat von einer vertrauenswürdigen Stelle ausgestellt wurde, da der Aussteller dem im selbstsignierten Zertifikat definierten Antragsteller entspricht.

Wenn Sie ausschließlich selbstsignierte Zertifikate verwenden, müssen Sie für jedes IP-Gateway, jede IP-PBX-Anlage oder jeden Server ein einzelnes selbstsigniertes Zertifikat importieren. In großen Netzwerkumgebungen mit mehreren Geräten oder Computern ist dies unter Umständen nicht die beste Lösung für die MTLS-Implementierung. Die Verwendung von selbstsignierten Zertifikaten in einem großen Unternehmensnetzwerk ist aufgrund des zusätzlichen Verwaltungsaufwands nicht geeignet. Der Verwaltungsmehraufwand ist jedoch kein Problem, wenn mehrere Geräte eingesetzt werden und Sie ein PKI-Zertifikat oder kommerzielles Drittanbieterzertifikat verwenden. In diesem Fall verfügt jedes Gerät über ein Zertifikat, das von derselben vertrauenswürdigen Stammzertifizierungsstelle ausgestellt wurde. Bei einem Zertifikat derselben vertrauenswürdigen Stammzertifizierungsstelle wird sichergestellt, dass alle IP-Gateways, IP-PBX-Anlagen oder anderen Server dem Unified Messaging-Server vertrauen.

Voraussetzungen für den Einsatz von MTLS bei Verwendung von selbstsignierten Zertifikaten:

  1. Importieren Sie das selbstsignierte Zertifikat des Unified Messaging-Servers in den vertrauenswürdigen Stammzertifizierungsspeicher der einzelnen IP-Gateways, IP-PBX-Anlagen oder anderen Server, mit denen der Unified Messaging-Server unter Verwendung von MTLS kommuniziert.

  2. Importieren Sie das selbstsignierte Zertifikat jedes IP-Gateways, jeder IP-PBX-Anlage oder jedes anderen Servers in den vertrauenswürdigen Stammzertifikatspeicher des Unified Messing-Servers. Wenn Sie ein PKI-Zertifikat oder ein Zertifikat eines Drittanbieters verwenden, importieren Sie das Zertifikat der Zertifizierungsstelle auf allen Geräten und Servern in das vertrauenswürdige Stammzertifikatverzeichnis.

Selbstsignierte Zertifikate sind häufig nicht die beste Zertifikatlösung für die Bereitstellung von MTLS oder der zertifikatbasierten Authentifizierung. Kleinere Organisationen mit einer begrenzten Anzahl von Geräten oder Computern entscheiden sich gelegentlich für diese Lösung, da sie die preiswerteste und zugleich am einfachsten zu konfigurierende Zertifizierungsmethode für die Implementierung von MTLS darstellt. Kleinere Organisationen lehnen die Verwendung eines Drittanbieterzertifikats oder die Installation einer eigenen PKI zur Ausstellung eigener Zertifikate häufig ab, weil sie die Ausgaben scheuen oder/und ihre Administratoren nicht über entsprechende Erfahrungen und Kenntnisse bei der Erstellung einer eigenen Zertifikathierarchie verfügen. Bei der Verwendung von selbstsignierten Zertifikaten sind die Kosten minimal, und die Einrichtung ist einfach. Das Erstellen einer Infrastruktur für Zertifikatlebenszyklus-Verwaltung, Erneuerungen, Vertrauensverwaltung und Sperrung ist bei selbstsignierten Zertifikaten jedoch wesentlich schwieriger. Weitere Informationen zum Erstellen eines Zertifikats für TLS finden Sie unter Grundlegendes zu TLS-Zertifikaten.

Zurück zum Seitenanfang

Public-Key-Infrastruktur

Bei einer PKI (Public-Key-Infrastruktur) handelt es sich um ein System von digitalen Zertifikaten, Zertifizierungsstellen (Certification Authorities, CAs) und Registrierungsstellen (Registration Authorities, RAs), das zum Prüfen und Authentifizieren der Gültigkeit der an der elektronischen Transaktion beteiligten Parteien die Kryptografie mit öffentlichen Schlüsseln verwendet. Wenn Sie eine Zertifizierungsstelle in einer Organisation implementieren, in der Active Directory verwendet wird, stellen Sie eine Infrastruktur für Lebenszyklusverwaltung, Erneuerungen, Vertrauensverwaltung und Sperrung von Zertifikaten zur Verfügung. Diese Eigenschaften bieten eine solide Infrastruktur für alle Zertifikate in Ihrer Organisation. Bei der Bereitstellung von zusätzlichen Servern und der Infrastruktur zum Erstellen und Verwalten dieser Zertifikattypen entstehen jedoch Kosten.

Zertifikatdienste können auf jedem Server in der Domäne installiert werden. Wenn Sie Zertifikate von einer Windows-basierten Domänenzertifizierungsstelle anfordern, können Sie über die Zertifizierungsstelle Zertifikate für Ihre eigenen Server oder Computer im Netzwerk anfordern oder signieren. So können Sie eine PKI verwenden, die der Verwendung eines Zertifikatdrittanbieters ähnelt, aber weniger kostspielig ist. Wenngleich diese PKIs nicht wie andere Zertifikattypen öffentlich bereitgestellt werden können, wird bei Verwendung einer PKI das Zertifikat des Requestors mithilfe des privaten Schlüssels von einer Zertifizierungsstelle signiert, und der Requestor wird überprüft. Der öffentliche Schlüssel dieser Zertifizierungsstelle ist Bestandteil des Zertifikats, das von der Zertifizierungsstelle ausgegeben wurde. Jeder, der das Zertifikat der Zertifizierungsstelle als Stammzertifikat einsetzt, kann den öffentlichen Schlüssel zum Entschlüsseln des Requestorzertifikats verwenden und den Requestor authentifizieren.

Wenn Sie ein PKI-Zertifikat zum Implementieren von MTLS verwenden, müssen Sie die erforderlichen Zertifikate auf die IP-Gateways oder IP-PBX-Anlagen kopieren. Anschließend müssen die auf den IP-Gateways oder IP-PBX-Anlagen befindlichen Zertifikate auf die Unified Messaging-Server kopiert werden, die den im sicheren Modus konfigurierten UM-Wähleinstellungen zugeordnet sind.

Setup und Konfiguration für die Verwendung von PKI- und Drittanbieterzertifikaten ähneln den Verfahren, die Sie zum Importieren und Exportieren von selbstsignierten Zertifikaten durchführen. Sie müssen jedoch nicht nur das Computerzertifikat im vertrauenswürdigen Stammzertifikatspeicher installieren. Sie müssen auch das vertrauenswürdige Stammzertifikat für die PKI in den vertrauenswürdigen Stammzertifikatspeicher der Unified Messaging-Server, IP-Gateways und IP-PBX-Anlagen in Ihrem Netzwerk importieren oder kopieren.

Führen Sie die folgenden Schritte durch, um bei vorhandener PKI-Struktur MTLS bereitzustellen:

  1. Generieren Sie auf jedem IP-Gateway bzw. jeder PBX-Anlage eine Zertifikatanforderung.

  2. Kopieren Sie die Zertifikatanforderung, die beim Anfordern des Zertifikats bei einer Zertifizierungsstelle verwendet werden soll.

  3. Fordern Sie mit der Zertifikatanforderung ein Zertifikat bei der Zertifizierungsstelle an. Speichern Sie das Zertifikat.

  4. Importieren Sie das auf den einzelnen Geräten oder Computern gespeicherte Zertifikat.

  5. Laden Sie das vertrauenswürdige Stammzertifikat für Ihre PKI herunter.

  6. Importieren Sie das vertrauenswürdige Stammverzeichnis von Ihrer PKI auf jedem Gerät. Wenn Sie das vertrauenswürdige Stammzertifikat auf einem Exchange 2010-Computer mit der Unified Messaging-Serverrolle importieren, können Sie mithilfe von Gruppenrichtlinien das vertrauenswürdige Stammzertifikat in den vertrauenswürdigen Stammzertifikatspeicher auf dem Unified Messaging-Server oder anderen Exchange 2010-Servern importieren. Diese Vorgehensweise gilt auch für die Konfiguration eines Servers, auf dem die Unified Messaging-Serverrolle ausgeführt wird.

    Hinweis

    Die gleichen Schritte werden ausgeführt, wenn Sie ein Drittanbieterzertifikat zur MTLS-Implementierung verwenden.

Weitere Informationen zu Zertifikaten und PKIs finden Sie unter den folgenden Themen:

Drittanbieter-Zertifizierungsstellen

Bei Drittanbieter- oder kommerziellen Zertifikaten handelt es sich um Zertifikate, die von einer Drittanbieter- oder kommerziellen Zertifizierungsstelle erzeugt werden und die Sie anschließend zur Verwendung auf Ihren Netzwerkservern erwerben können. Bei selbstsignierten und PKI-basierten Zertifikaten besteht das Problem, dass das Zertifikat nicht als vertrauenswürdig eingestuft wird. Sie müssen sicherstellen, dass das Zertifikat in den vertrauenswürdigen Stammzertifikatspeicher auf Clientcomputern, Servern und anderen Geräten importiert wird. Bei kommerziellen Zertifikaten oder Zertifikaten von Drittanbietern tritt dieses Problem nicht auf. Die meisten kommerziellen CA-Zertifikate werden bereits als vertrauenswürdig eingestuft, da sich das Zertifikat bereits im vertrauenswürdigen Stammzertifikatspeicher befindet. Da der Aussteller als vertrauenswürdig eingestuft wird, gilt dies auch für das Zertifikat. Die Verwendung von Drittanbieterzertifikaten vereinfacht die Bereitstellung enorm.

Größere Organisationen oder Organisationen, die Zertifikate öffentlich bereitstellen müssen, sollten Drittanbieter- oder kommerzielle Zertifikate verwenden, auch wenn damit Kosten verbunden sind. Für kleinere und mittelständische Organisationen stellen kommerzielle Zertifikate unter Umständen nicht die beste Lösung dar, und es sollten andere Zertifikatoptionen in Betracht gezogen werden.

Abhängig von der Konfiguration des IP-Gateway oder der IP-PBX-Anlage muss das Drittanbieter- oder kommerzielle Zertifikat möglicherweise weiterhin in den vertrauenswürdigen Zertifikatspeicher auf den IP-Gateways und IP-PBX-Anlagen importiert werden, damit es für MTLS verwendet werden kann. In einigen Fällen ist das Drittanbieterzertifikat jedoch im vertrauenswürdigen Stammzertifikatspeicher auf Ihrem Unified Messaging-Server und anderen Exchange 2010-Computern in Ihrer Organisation enthalten.

Die Verfahren zur Verwendung eines kommerziellen Drittanbieterzertifikats für die MTLS-Aktivierung entsprechen denen zur Verwendung eines PKI-Zertifikats. Der einzige Unterschied besteht darin, dass Sie kein PKI-Zertifikat generieren müssen, da Sie bereits ein Zertifikat von einem Anbieter kommerzieller Drittanbieterzertifikate erworben haben, das in den vertrauenswürdigen Stammzertifizierungsspeicher auf den Servern und Geräten in Ihrem Netzwerk importiert wird.

Zurück zum Seitenanfang

Konfigurieren von MTLS

Wenn ein Anruf von einem IP-Gateway eingeht, findet standardmäßig keine Verschlüsselung des VoIP-Datenverkehrs statt, und es wird kein MTLS verwendet. Die Sicherheitseinstellung für einen Unified Messaging-Server ist jedoch in den Unified Messaging-Wähleinstellungen konfiguriert, die dem Unified Messaging-Server zugeordnet sind. Damit der Unified Messaging-Server sicher mit IP-Gateways, IP-PBX-Anlagen oder anderen Exchange 2010-Servern kommunizieren kann, müssen Sie mithilfe des Cmdlets Set-UMDialPlan die VoIP-Sicherheit in den UM-Wähleinstellungen konfigurieren und danach MTLS für die Unified Messaging-Server aktivieren, die den UM-Wähleinstellungen zugeordnet sind.

Nachdem Sie die VoIP-Sicherheit für die UM-Wähleinstellungen konfiguriert haben, können alle Unified Messaging-Server, die den UM-Wähleinstellungen zugeordnet sind, auf sichere Weise kommunizieren. Abhängig von dem zur MTLS-Aktivierung verwendeten Zertifikattyp müssen Sie jedoch zuerst die erforderlichen Zertifikate sowohl auf den Unified Messaging-Servern als auch den IP-Gateways und PBX-Anlagen importieren und exportieren. Nach dem Importieren der erforderlichen Zertifikate auf den Unified Messaging-Server müssen Sie den Microsoft Exchange Unified Messaging-Dienst erneut starten, damit Sie das importierte Zertifikat zum Einrichten einer verschlüsselten Verbindung zu den IP-Gateways oder IP-PBX-Anlagen verwenden können. Weitere Informationen zum Importieren und Exportieren von Zertifikaten finden Sie unter Importieren und Exportieren von Zertifikaten.

Nach dem erfolgreichen Import und Export der erforderlichen vertrauenswürdigen Zertifikate fordert das IP-Gateway ein Zertifikat vom Unified Messaging-Server an und dieser anschließend ein Zertifikat vom IP-Gateway. Durch den Austausch der vertrauenswürdigen Zertifikate zwischen dem IP-Gateway und dem Unified Messaging-Server können diese beiden mithilfe von MTLS über eine verschlüsselte Verbindung kommunizieren. Wenn ein Anruf auf einem IP-Gateway oder einer IP-PBX-Anlage eingeht, werden unter Verwendung von MTLS mit dem Unified Messaging-Server Zertifikate ausgetauscht und die Sicherheit ausgehandelt. Der Microsoft Exchange Unified Messaging-Dienst ist nicht am Zertifikataustausch beteiligt und hat keinen Einfluss darauf, ob Zertifikate als gültig eingestuft werden. Wenn jedoch auf einem Unified Messaging-Server kein vertrauenswürdiges Zertifikat gefunden wird, ein vorhandenes vertrauenswürdiges Zertifikat ungültig ist oder ein Anruf aufgrund eines MTLS-Aushandlungsfehlers abgelehnt wird, erhält der Unified Messaging-Server eine entsprechende Benachrichtigung vom Microsoft Exchange Unified Messaging-Dienst.

Wenngleich der Microsoft Exchange Unified Messaging-Dienst nicht am Zertifikataustausch zwischen dem Unified Messaging-Server und den IP-Gateways beteiligt ist, führt der Microsoft Exchange Unified Messaging-Dienst folgende Aufgaben aus:

  • Er stellt dem Microsoft Exchange-Sprachdienst eine Liste der vollqualifizierten Domänennamen (Fully Qualified Domain Names, FQDNs) zur Verfügung, sodass nur Anrufe der in der Liste enthaltenen IP-Gateways oder IP-PBX-Anlagen akzeptiert werden.

  • Er übergibt die Attribute issuerName and SerialNumber eines Zertifikats an den Microsoft Exchange-Sprachdienst. Diese Attribute ermöglichen eine eindeutige Identifizierung des Zertifikats, das der Unified Messaging-Server verwendet, wenn ein IP-Gateway oder eine IP-PBX-Anlage ein Zertifikat anfordert.

Nachdem der Unified Messaging-Server und die IP-Gateways oder IP-PBX-Anlagen den Schlüsselaustausch zum Einrichten einer verschlüsselten Verbindung unter Verwendung von MTLS durchgeführt haben, erfolgt die Kommunikation über eine verschlüsselte Verbindung. Die Unified Messaging-Server kommunizieren auch mit anderen Exchange 2010-Servern – z. B. mit Clientzugriffsservern und Hub-Transport-Servern – über eine verschlüsselte Verbindung mit Verwendung von MTLS. MTLS wird jedoch nur zum Verschlüsseln von Datenverkehr oder Nachrichten verwendet, die vom Unified Messaging-Server an einen Hub-Transport-Server übermittelt werden.

Wichtig

Um MTLS zwischen einem UM-IP-Gateway und einem Satz mit Wähleinstellungen im sicheren Modus zu aktivieren, müssen Sie zuerst das UM-IP-Gateway mit einem FQDN konfigurieren und festlegen, dass Port 5061 überwacht wird. Führen Sie zum Konfigurieren eines UM-IP-Gateways folgenden Befehl aus: Set-UMIPGateway -Identity MyUMIPGateway -Port 5061.

Zurück zum Seitenanfang

IPsec

IPsec verwendet ebenfalls Zertifikate zum Verschlüsseln von Daten. Es bildet eine wichtige Verteidigungslinie gegen Angriffe auf das private Netzwerk und Internetangriffe.

IPsec verfolgt folgende Ziele:

  • Schutz des Inhalts von IP-Paketen.

  • Verteidigung bei Netzwerkangriffen über Paketfilterung und Erzwingen vertrauenswürdiger Kommunikation.

IPsec ist ein Framework offener Standards, das eine private, sichere Kommunikationen über IP-Netzwerke unter Verwendung von Kryptografiesicherheitsdiensten sicherstellen soll.

IPsec verwendet kryptografiebasierte Schutzdienste, Sicherheitsprotokolle und dynamische Schlüsselverwaltung. Es bietet die nötige Verschlüsselungstiefe und -flexibilität, um die Kommunikation zwischen privaten Netzwerkcomputern, Domänen, Standorten, Remotestandorten, Extranets und DFÜ-Clients zu schützen. Außerdem kann es zum Blockieren des Empfangs oder der Übertragung bestimmter Datenverkehrtypen verwendet werden.

IPsec basiert auf einem End-to-End-Sicherheitsmodell, das die Vertrauensstellung und Sicherheit zwischen einer Quell-IP-Adresse und einer Ziel-IP-Adresse einrichtet. Die IP-Adresse selbst gibt nicht unbedingt die Identität an. Stattdessen wird die Identität des Systems, das hinter der IP-Adresse steht, über einen Authentifizierungsprozess geprüft. Die einzigen Computer, die über den gesicherten Datenverkehr informiert sein müssen, sind die Sender- und Empfängercomputer. Jeder Computer behandelt Sicherheitsfragen auf seine Weise, in der Annahme, dass die bestehende Kommunikationsverbindung unsicher ist. Computer, die Daten ausschließlich vom Quell- an den Zielcomputer übermitteln, müssen IPsec nur unterstützen, wenn zwischen den beiden Computern eine Paketfilterung in Form einer Firewall oder einer Netzwerkadressübersetzung erfolgt. IPsec kann dann in folgenden Organisationsszenarien erfolgreich bereitgestellt werden:

  • LAN   Client-zu-Server, Server-zu-Server und Server-zu-VoIP-Gerät

  • WAN   Router-zu-Router und Gateway-zu-Gateway

  • Remotezugriff   DFÜ-Clients und Internetzugriff von privaten Netzwerken

Typischerweise müssen auf beiden Seiten in der IPsec-Konfiguration Optionen und Sicherheitseinstellungen festgelegt werden, auf die sich beide Systeme zum Sichern des untereinander ausgetauschten Datenverkehrs einigen. Dies wird als IPsec-Richtlinie bezeichnet. Die IPsec-Implementierungen in den Microsoft Windows 2000 Server-, Windows XP-, Windows Server 2003- und Windows Server 2008-Betriebssystemen basieren auf Industriestandards, die von der IETF-IPsec-Arbeitsgruppe (Internet Engineering Task Force) entwickelt wurden. Teile der IPsec-bezogenen Dienste wurden von Microsoft und Cisco Systems, Inc. gemeinsam entwickelt. Weitere Informationen zum Konfigurieren von IPsec-Richtlinien finden Sie unter Erstellen, Ändern und Zuweisen von IPsec-Richtlinien.

Weitere Informationen zu IPsec finden Sie unter IPsec-Konzepte.

VorsichtAchtung:
Wenn in Ihrem Netzwerk IPsec-Richtlinien implementiert sind, müssen Sie die IP-Gateways und IP-PBX-Anlagen von der IPsec-Richtlinie ausschließen. Andernfalls geht bei einer Sprachnachricht von jeweils 3 Sekunden 1 Sekunde der Sprachübertragung verloren. Dieses Problem ist bekannt, und es gibt einen Hotfix für Windows Server 2003. Weitere Informationen zu diesem Hotfix finden Sie unter Vereinfachen der Erstellung und Verwaltung von IPsec-Filtern (Internet Protocol Security) in Windows Server 2003 und Windows XP.

UM-Wähleinstellungen und VoIP-Sicherheit

Unified Messaging kann mit IP-Gateways, IP-PBX-Anlagen und anderen Exchange 2010-Computern im gesicherten, SIP-gesicherten oder ungesicherten Modus kommunizieren, je nachdem welche Konfiguration die UM-Wähleinstellungen aufweisen. Ein Unified Messaging-Server kann in jedem Modus, der für bestimmte Wähleinstellungen konfiguriert ist, betrieben werden, weil der Unified Messaging-Server so konfiguriert ist, dass er den TCP-Port 5060 auf ungesicherte Anforderungen und gleichzeitig TCP-Port 5061 auf gesicherte Anforderungen überwacht. Ein Unified Messaging-Server kann einem einzelnen Satz oder mehreren Sätzen mit UM-Wähleinstellungen oder Wähleinstellungen zugeordnet werden, die unterschiedliche VoIP-Sicherheitseinstellungen aufweisen. Ein einzelner Unified Messaging-Server kann Wähleinstellungen zugeordnet werden, die für die Verwendung einer Kombination aus ungesichertem, SIP-gesichertem oder gesichertem Modus konfiguriert sind.

Wenn Sie einen Satz mit UM-Wähleinstellungen erstellen, erfolgt die Kommunikation standardmäßig im ungesicherten Modus und die in den UM-Wähleinstellungen zugeordneten Unified Messaging-Server senden und empfangen Daten ohne Verschlüsselung von IP-Gateways, IP-PBX-Anlagen und anderen Exchange 2010-Computern. Im ungesicherten Modus werden sowohl der RTP-Medienkanal (Realtime Transport Protocol) als auch die SIP-Signalinformationen nicht verschlüsselt.

Sie können einen Unified Messaging-Server für die Verwendung von MTLS für die Verschlüsselung des SIP- und RTP-Datenverkehrs konfigurieren, der von anderen Geräten und Servern gesendet und empfangen wird. Wenn Sie einen Unified Messaging-Server zu einem Satz mit UM-Wähleinstellungen hinzufügen und die Wähleinstellungen für die Verwendung des SIP-gesicherten Modus konfigurieren, wird nur der SIP-Signalverkehr verschlüsselt und die RTP-Medienkanäle verwenden weiterhin TCP. TCP ist nicht verschlüsselt. Wenn Sie jedoch einen Unified Messaging-Server zu einem Satz mit UM-Wähleinstellungen hinzufügen und die Wähleinstellungen für die Verwendung des SIP-gesicherten Modus konfigurieren, werden sowohl der SIP-Signalverkehr als auch die RTP-Medienkanäle verschlüsselt. Ein sicherer Signalmedienkanal der SRTP (Secure Realtime Transport Protocol) benutzt, verwendet ebenfalls MTLS zum Verschlüsseln der VoIP-Daten.

Sie können den VoIP-Sicherheitsmodus entweder konfigurieren, wenn Sie einen neuen Satz mit Wähleinstellungen erstellen oder nachdem Sie einen Satz mit Wähleinstellungen mithilfe der Exchange-Verwaltungskonsole oder dem Cmdlet Set-UMDialPlan erstellt haben. Wenn Sie in der Konfiguration der UM-Wähleinstellungen die Verwendung des SIP-gesicherten oder gesicherten Modus festgelegt haben, verschlüsseln die dem UM-Wähleinstellungen zugeordneten Unified Messaging-Server den SIP-Signalverkehr oder die RTP-Medienkanäle oder beide. Um jedoch verschlüsselte Daten an bzw. von einem Unified Messaging-Server zu senden, müssen Sie die UM-Wähleinstellungen richtig konfigurieren und Geräte wie IP-Gateways oder IP-PBX-Anlagen müssen MTLS unterstützen.

Mit dem Cmdlet Get-UMDialPlan in der Exchange-Verwaltungsshell können Sie die Sicherheitseinstellungen für einen bestimmten Satz mit UM-Wähleinstellungen festlegen. Wenn der VoIP-Sicherheitsparameter aktiviert wurde, können Sie prüfen, ob der Microsoft Exchange Unified Messaging-Dienst im sicheren Modus gestartet wurde, indem Sie im Anwendungsereignisprotokoll nach Protokolleinträgen für die Ereignisse 1114 und 1112 suchen.

Wichtig

Wenn Sie MTLS zum Verschlüsseln von Daten konfigurieren, die zwischen einem Dialogic IP-Gateway, Modell 2000 oder 4000, ausgetauscht werden, müssen Sie die Computerzertifikatvorlage V3 verwenden, die sowohl Server- als auch Clientauthentifizierung unterstützt. Die Zertifikatvorlage für Webserver, die eine Serverauthentifizierung unterstützt, funktioniert nur mit Dialogic IP-Gateways der Modelle 1000 und 3000, mit AudioCodes IP-Gateways und mit Microsoft Office Communications Server 2007 ordnungsgemäß.

Zurück zum Seitenanfang

Ermitteln des Sicherheitsmodus und Auswahl von Zertifikaten durch den Unified Messaging-Dienst

Der Microsoft Exchange Unified Messaging-Dienst überprüft beim Start die UM-Wähleinstellungen und die Einstellung des Parameters VoipSecurity um zu ermitteln, ob der Dienst im gesicherten oder im ungesicherten Modus gestartet werden soll. Wenn ein Start im gesicherten Modus vorgegeben ist, wird überprüft, ob ein Zugriff auf die erforderlichen Zertifikate möglich ist. Wenn dem Unified Messaging-Server keine UM-Wähleinstellungen zugeordnet sind, prüft er anhand des Parameters StartSecured in der Datei Msexchangeum.config, welcher Modus beim Start verwendet werden muss. Für diesen Parameter kann der Wert 0 oder 1 festgelegt werden. Bei Verwendung des Werts 1 verschlüsselt der Unified Messaging-Server den VoIP-Datenverkehr. Ist der Parameter auf den Wert 0 festgelegt, startet der Server, der VoIP-Datenverkehr wird jedoch nicht verschlüsselt. Wenn Sie das Startverhalten des Unified Messaging-Servers vom ungesicherten Modus in den gesicherten Modus oder umgekehrt ändern möchten, können Sie dem Server die entsprechenden Wähleinstellungen zuordnen und dann den Unified Messaging-Server erneut starten. Sie können auch die Konfigurationseinstellungen in der Konfigurationsdatei Msexchangeum.config ändern und anschließend den Microsoft Exchange Unified Messaging-Dienst neu starten.

Wenn der Microsoft Exchange Unified Messaging-Dienst für den Start im ungesicherten Modus konfiguriert ist, kann der Dienst ordnungsgemäß gestartet werden. Stellen Sie jedoch sicher, dass die IP-Gateways und IP-PBX-Anlagen ebenfalls im ungesicherten Modus ausgeführt werden. Wenn Sie die Konnektivität des Unified Messaging-Servers im ungesicherten Modus testen, verwenden Sie das Cmdlet Test-UMConnectivity mit dem Parameter -Secured:false

Wenn der Microsoft Exchange Unified Messaging-Dienst im gesicherten Modus gestartet wird, sucht er im lokalen Zertifikatspeicher nach einem gültigen Zertifikat für die Verwendung von MTLS zum Aktivieren der Verschlüsselung. Der Dienst sucht zunächst nach einem gültigen PKI- oder kommerziellen Zertifikat. Ist diese Suche erfolglos, sucht er nach selbstsignierten Zertifikaten. Wenn weder ein PKI-Zertifikat noch ein kommerzielles oder selbstsigniertes Zertifikat gefunden werden konnte, erstellt der Microsoft Exchange Unified Messaging-Dienst ein selbstsigniertes Zertifikat, das für den Start im gesicherten Modus verwendet wird. Wenn der Unified Messaging-Server im ungesicherten Modus gestartet wird, ist kein Zertifikat erforderlich.

Sämtliche Details des zum Starten im sicheren Modus verwendeten Zertifikats werden protokolliert, sobald ein Zertifikat verwendet oder geändert wird. Unter anderem werden folgende Details protokolliert:

  • Name des Ausstellers

  • Seriennummer

  • Fingerabdruck

Bei dem Fingerabdruck handelt es sich um den SHA1-Hash (Secure Hash Algorithm), mit dem das verwendete Zertifikat eindeutig identifiziert werden kann. Sie können das vom Microsoft Exchange Unified Messaging-Dienst für das Starten im sicheren Modus verwendete Zertifikat anschließend aus dem lokalen Zertifikatspeicher exportieren und dieses Zertifikat dann in den vertrauenswürdigen Zertifikatspeicher auf den IP-Gateways und IP-PBX-Anlagen in Ihrem Netzwerk importieren.

Nachdem das entsprechende Zertifikat gefunden und verwendet wurde und keine weiteren Änderungen durchgeführt wurden, protokolliert der Microsoft Exchange Unified Messaging-Dienst einen Monat vor Ablauf des verwendeten Zertifikats ein Ereignis. Wenn Sie das Zertifikat in dieser Zeit nicht ändern, protokolliert der Microsoft Exchange Unified Messaging-Dienst täglich ein Ereignis, bis das Zertifikat abläuft sowie an jedem Tag nach Ablauf des Zertifikats.

Wenn der Unified Messaging-Server ein Zertifikat zur Verwendung von MTLS für das Einrichten eines verschlüsselten Kanals benötigt, sucht er danach im vertrauenswürdigen Stammzertifikatspeicher. Wenn mehrere Zertifikate gültig sind und von unterschiedlichen Ausstellern stammen, wählt der Unified Messaging-Server das Zertifikat mit der längsten Gültigkeitsdauer. Sind mehrere Zertifikate vorhanden, wählt der Unified Messaging-Server die Zertifikate basierend auf dem Aussteller und dem Ablaufdatum des Zertifikats aus. Der Unified Messaging-Server sucht in folgender Reihenfolge nach gültigen Zertifikaten:

  1. PKI- oder kommerzielles Zertifikat mit dem längsten Ablaufzeitraum.

  2. PKI- oder kommerzielles Zertifikat mit dem kürzesten Ablaufzeitraum.

  3. Selbstsigniertes Zertifikat mit dem längsten Ablaufzeitraum.

  4. Selbstsigniertes Zertifikat mit dem kürzesten Ablaufzeitraum. Es ist ein gültiges kommerzielles, PKI- oder selbstsigniertes Zertifikat erforderlich. Wenn kein gültiges Zertifikat gefunden wird, generiert der Unified Messaging-Server ein selbstsigniertes Zertifikat. Der Unified Messaging-Server benötigt ein gültiges Zertifikat, um den VoIP-Datenverkehr zu verschlüsseln, wenn er im Modus SIP-gesichert oder Gesichert betrieben wird.

    Wichtig

    Wenn ein neues Zertifikat auf einem Clientzugriffsserver installiert wird, das zum Verschlüsseln von Daten für eine Wiedergabe über Telefon zwischen dem Clientzugriffsserver und einem Unified Messaging-Server verwendet wird, müssen Sie den Befehl IISreset an einer Eingabeaufforderung ausführen, um das richtige Zertifikat zu laden.

Zurück zum Seitenanfang

 © 2010 Microsoft Corporation. Alle Rechte vorbehalten.