Sichern des Unified Messaging-Netzwerkdatenverkehrs

 

Gilt für: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Letztes Änderungsdatum des Themas: 2009-10-10

Ein wichtiger Aspekt der Netzwerksicherheit in Ihrer Organisation ist die ordnungsgemäße Konfiguration der Sicherheit für die Microsoft Exchange Server 2010 Unified Messaging-Server (UM). Das Aktivieren von Unified Messaging-Servern, IP-Gateways und anderen Servern mit Exchange 2010 für die Kommunikation über TLS (Transport Layer Security) oder IP-Sicherheit führt zu einem höheren Sicherheitsniveau für das gesamte Netzwerk. Die folgenden Informationen und Links zu sicherheitsbezogenen Themen können Ihnen helfen, das Sicherheitsniveau Ihres Netzwerks zu erhöhen.

Sichern des Netzwerkdatenverkehrs

Unified Messaging kann mit IP-Gateways, IP-PBX-Telefonanlagen (Private Branch eXchanges) und anderen Exchange 2010-Computern im gesicherten oder ungesicherten Modus kommunizieren. Diese Kommunikation hängt davon ab, wie die UM-Wähleinstellungen konfiguriert wurden und ob die geeigneten Zertifikatvertrauensstellungen zwischen den IP-Gateways und den Unified Messaging-Servern im Netzwerk eingerichtet wurden. Im ungesicherten Modus wird der VoIP- und SIP-Datenverkehr (Voice over IP/Session Initiation Protocol) nicht verschlüsselt. Die den UM-Wähleinstellungen zugeordneten UM-Wähleinstellungen und der UM-Server können jedoch mithilfe des Parameters VoIPSecurity konfiguriert werden. Der Parameter VoIPSecurity konfiguriert die Wähleinstellungen so, dass der VoIP- und SIP-Datenverkehr unter Verwendung von MTLS (Mutual Transport Layer Security) verschlüsselt wird. 

Es stehen mehrere Sicherheitsmethoden zur Verfügung, über die Sie Ihre UM-Server sowie den Netzwerkdatenverkehr schützen können, der zwischen Ihren IP-Gateways und UM-Servern bzw. zwischen Ihren UM-Servern und anderen Exchange 2010-Servern in der Organisation stattfindet. Für ein besseres Verständnis der erforderlichen Komponenten, die in einer UM-Umgebung zum Schutz der an UM-Server oder von UM-Servern in Ihrer Organisation gesendeten Netzwerkdaten eingesetzt werden, müssen Sie zunächst die folgenden Schritte verstehen:

  • Verwenden von IPsec zum Schutz von UM-Netzwerkdaten.

  • Verwenden von TLS zum Schutz von UM-Netzwerkdaten.

  • Verwenden der unterschiedlichen Zertifikattypen, die in Verbindung mit Unified Messaging zum Implementieren von TLS verwendet werden.

  • Ordnungsgemäßes Konfigurieren der UM-Server und IP-Gateways für die Verwendung von TLS.

UM-Sicherheitskomponenten

Es gibt unterschiedlichen Komponenten, die konfiguriert werden müssen, damit der Unified Messaging-Server auf sichere Weise mit den anderen Exchange 2010-Servern und den IP-Gateways kommunizieren kann. Die folgenden Komponenten tragen zur Sicherung der Daten bei, die über das Netzwerk übertragen werden:

  • IPsec   IPsec verwendet kryptografiebasierte Schutzdienste, Sicherheitsprotokolle und die dynamische Schlüsselverwaltung. Dieses Protokoll bietet die nötige Verschlüsselungstiefe und -flexibilität, um zum Schutz der Kommunikation zwischen privaten Netzwerkcomputern, Domänen, Standorten, Remotestandorten, Extranets und DFÜ-Clients beizutragen. Außerdem kann es zum Blockieren des Empfangs oder der Übertragung bestimmter Datenverkehrtypen verwendet werden. Weitere Informationen zu den Sicherheitsoptionen, die zum Schutz des UM-Datenverkehrs zur Verfügung stehen, finden Sie unter Grundlegendes zu Unified Messaging VoIP-Sicherheit.

  • TLS   Nach dem erfolgreichen Import und Export der erforderlichen vertrauenswürdigen Zertifikate fordert ein IP-Gateway ein Zertifikat vom UM-Server an und dieser anschließend ein Zertifikat vom IP-Gateway. Durch den Austausch der vertrauenswürdigen Zertifikate zwischen dem IP-Gateway und dem UM-Server kann der Kanal, über den das IP-Gateway und der UM-Server kommunizieren, mithilfe von TLS geschützt werden. Weitere Informationen zu den Sicherheitsoptionen, die zum Schutz des UM-Datenverkehrs zur Verfügung stehen, finden Sie unter Grundlegendes zu Unified Messaging VoIP-Sicherheit.

  • Zertifikate   Digitale Zertifikate sind elektronische Dateien, die wie ein Onlinepass funktionieren, um die Identität eines Benutzers oder eines Computers zu überprüfen. Sie werden für die Erstellung eines verschlüsselten Kanals verwendet, der zum Schutz der Daten beiträgt. Ein Zertifikat ist im Grunde eine digitale Bescheinigung von einer Zertifizierungsstelle (Certification Authority, CA), die die Identität des Zertifikatinhabers bestätigt und den Parteien eine sichere Kommunikation durch die Verschlüsselung von Daten ermöglicht. Zertifikate können von einer vertrauenswürdigen Drittanbieter-CA, beispielsweise mithilfe von Zertifikatdiensten, ausgestellt oder selbstsigniert sein. Weitere Informationen zu den Sicherheitsoptionen, die zum Schützen von UM-Datenverkehr zur Verfügung stehen, finden Sie unter Grundlegendes zu Unified Messaging VoIP-Sicherheit.

  • VoIP-Sicherheit   Unified Messaging kann mit IP-Gateways, IP-PBX-Anlagen und anderen Exchange 2010-Computern im gesicherten oder ungesicherten Modus kommunizieren. Diese Kommunikation ist von der Konfiguration der UM-Wähleinstellungen abhängig. Standardmäßig ist für die Kommunikation in den UM-Wähleinstellungen der ungesicherte Modus festgelegt. Mit dem Cmdlet Get-UMDialPlan in der Exchange-Verwaltungsshell können Sie die Sicherheitseinstellungen für einen Satz mit UM-Wähleinstellungen bestimmen. Weitere Informationen zum Aktivieren der VoIP-Sicherheit für einen Satz mit UM-Wähleinstellungen finden Sie unter Konfigurieren von VoIP-Sicherheit in UM-Wähleinstellungen.

 © 2010 Microsoft Corporation. Alle Rechte vorbehalten.