Présentation de la sécurité VoIP de messagerie unifiée

  • Article

 

S’applique à : Exchange Server 2010 SP2, Exchange Server 2010 SP3

Dernière rubrique modifiée : 2016-11-28

Pouvoir protéger votre infrastructure de messagerie unifiée constitue un aspect important de la sécurité de votre réseau. Il existe dans votre environnement de messagerie unifiée des composants que vous devez correctement configurer afin d'assurer la protection des données envoyées ou reçues des serveurs de messagerie unifiée sur votre réseau. Ces composantes comportent, entre autres, les serveurs de messagerie unifiée et les plans de commutation des appels. Cette rubrique explique comment optimiser la protection des données et des serveurs du réseau de messagerie unifiée au sein de votre organisation. Pour sécuriser votre environnement de messagerie unifiée et activer la sécurité VoIP (Voice over IP), procédez comme suit :

  1. Installez le rôle serveur de messagerie unifiée.

  2. Créez un certificat auto-signé ou public utilisable pour Mutual TLS.

  3. Associez un certificat au serveur de messagerie unifiée.

  4. Configurez le plan de numérotation de messagerie unifiée en mode Protection SIP ou Sécurisé.

  5. Configurez le mode de démarrage sur le serveur de messagerie unifiée.

  6. Associez les serveurs de messagerie unifiée au plan de commutation des appels de messagerie unifiée.

  7. Configurez les passerelles IP de messagerie unifiée utilisées de sorte qu'elles aient un nom de domaine complet et qu'elles utilisent le port TCP 5061.

  8. Exportez et importez les certificats requis pour permettre aux serveurs de messagerie unifiée, aux passerelles IP, aux PBX IP (IP Private Branch eXchange) et aux autres serveurs exécutant Microsoft Exchange Server 2010 d'utiliser l'authentification Mutual TLS.

Contenu de cette rubrique

Protection de la messagerie unifiée

Types de certificats

Configuration de Mutual TLS

IPsec

Plans de numérotation de messagerie unifiée et sécurité VoIP

Procédures de définition et de sélection du mode de sécurité et des certificats par la messagerie unifiée

Protection de la messagerie unifiée

Plusieurs méthodes de sécurité peuvent vous aider à protéger vos serveurs de messagerie unifiée et le trafic réseau entre vos passerelles IP et les serveurs de messagerie unifiée, et entre vos serveurs de messagerie unifiée et d'autres serveurs Exchange 2010 au sein de votre organisation. Le tableau suivant répertorie quelques-unes des menaces potentielles susceptibles de nuire à votre infrastructure de messagerie unifiée et les méthodes de sécurité qui peuvent être mises en œuvre pour la protéger.

Protection de la messagerie unifiée

Que suis-je en train de protéger ? Comment puis-je le protéger ?

Surveillance du trafic de voix

  • Utilisez la sécurité du protocole Internet (IPSec). La passerelle IP ou le PBX IP doit prendre en charge le protocole IPsec.

  • Utilisez le protocole SRTP (Secure Realtime Transport Protocol).

Attaque contre une passerelle IP ou un PBX IP

  • Utilisez des méthodes d'authentification avancées.

  • Utilisez des mots de passe administratifs forts.

  • Utilisez le chiffrement SSL (Secure Sockets Layer) pour protéger les informations d'authentification administrative. La passerelle IP ou le PBX IP doit prendre en charge SSL.

  • Utilisez Secure Shell (SSH) au lieu de Telnet.

Appels longue distance non autorisés

  • Utilisez les règles de plan de commutation des appels et les restrictions de numérotation. Elles peuvent être configurées sur les stratégies de plan de commutation des appels de messagerie unifiée et de boîte aux lettres de messagerie unifiée.

  • Facultativement, il vous sera possible d’appliquer d’autres restrictions de numérotation en configurant votre PBX.

Refus d’attaque de service

  • Le serveur de messagerie unifiée communique uniquement avec les passerelles IP de messagerie unifiée ou les PBX IP inclus dans la liste des appareils VoIP ou des serveurs approuvés. Cette liste de passerelles ou de serveurs VoIP approuvée est créée lorsqu'une passerelle IP de messagerie unifiée est créée dans le service d'annuaire Active Directory.

  • Utilisez l'authentification Mutual TLS.

Une usurpation d'identité du proxy du protocole SIP (Session Initiation Protocol)

  • Utilisez l'authentification Mutual TLS.

  • Utilisez le protocole IPsec. La passerelle IP ou le PBX IP doit prendre en charge le protocole IPsec.

  • Configurez les réseaux locaux approuvés tels que les réseaux locaux virtuels (VLAN), les circuits de réseau étendu (WAN) dédiés ou les réseaux privés virtuels (VPN).

Ecoute électronique et piraterie de session

  • Utilisez l'authentification Mutual TLS pour minimiser l'écoute électronique.

  • Utilisez le protocole IPsec. La passerelle IP ou le PBX IP doit prendre en charge le protocole IPsec.

  • Configurez les réseaux locaux (LAN) approuvés tels que les réseaux locaux virtuels (VLAN), les circuits de réseau étendu (WAN) dédiés ou les réseaux privés virtuels (VPN).

Plusieurs méthodes de sécurité indiquées dans le tableau précédent peuvent être utilisées pour protéger votre environnement de messagerie unifiée. L'authentification Mutual TLS est l'un des principaux mécanismes de protection de votre infrastructure de messagerie unifiée et du trafic réseau généré par la messagerie unifiée.

L'authentification Mutual TLS permet de chiffrer le trafic VoIP (Voice over IP) entre les passerelles IP, les PBX IP et les autres serveurs Exchange 2010, et les serveurs de messagerie unifiée sur votre réseau. La meilleure façon de protéger ces données est d'utiliser Mutual TLS pour chiffrer les données VoIP.

Toutefois, en fonction de la menace de sécurité, vous pouvez également configurer les stratégies IPSec pour activer le chiffrement des données entre les passerelles IP ou les PBX IP et un serveur de messagerie unifiée ou entre un serveur de messagerie unifiée et d'autres serveurs Exchange 2010 sur votre réseau. Dans certains environnements, il se peut que vous ne puissiez pas utiliser le protocole IPsec, car celui-ci peut être indisponible ou non pris en charge sur les passerelles IP ou les PBX IP. En outre, IPsec entraîne une surcharge de traitement sur les ressources système des serveurs de messagerie unifiée. En prenant en compte ces deux facteurs, Mutual TLS est un meilleur choix pour la protection du trafic réseau VoIP dans votre environnement de messagerie unifiée.

Une fois Mutual TLS correctement implémenté et configuré, le trafic VoIP entre les passerelles IP, les PBX IP et d'autres serveurs Exchange et les serveurs de messagerie unifiée est chiffré. Toutefois, lorsqu'il est impossible d'utiliser Mutual TLS pour sécuriser le trafic échangé avec un serveur de messagerie unifiée (par exemple lorsqu'un serveur de messagerie unifiée communique avec un autre serveur sur votre réseau, tel qu'un contrôleur de domaine Active Directory ou un serveur de boîtes aux lettres Exchange 2010), d'autres types de chiffrement sont utilisés pour protéger les données. L'illustration suivante présente les méthodes de chiffrement qui permettent de protéger la messagerie unifiée.

Sécurité VoIP de messagerie unifiée

Retour au début

Types de certificats

Les certificats numériques sont des fichiers électroniques qui fonctionnent comme un passeport en ligne pour vérifier l'identité d'un utilisateur ou d'un ordinateur et permettent de créer un canal chiffré pour protéger les données. Un certificat est un relevé numérique émis par une autorité de certification (CA) qui authentifie l'identité du détenteur du certificat et permet aux parties de communiquer de manière sécurisée en utilisant le chiffrement. Ils peuvent être émis par une autorité de certification tierce approuvée telles que les services de certificats ou ils peuvent être auto-signés. Chaque type de certificat a ses avantages et désavantages. Toutefois, les certificats ne peuvent jamais être falsifiés. Les certificats peuvent être émis pour une série de fonctions telles que l'authentification de l'utilisateur Web, l'authentification du serveur Web, le S/MIME, le protocole IPsec, l'authentification TSL et la signature du code.

Un certificat lie une clé publique à l’identité de la personne, de l’ordinateur ou du service contenant la clé privée correspondante. Les clés publiques et privées permettent au client et au serveur de chiffrer les données avant leur transmission via le câble. Les certificats sont utilisés par plusieurs services de sécurité de clé publique et applications assurant une authentification, une intégrité des données, et sécurisant les communications via les réseaux tels que Internet. Pour les utilisateurs, les ordinateurs et les services basés sur Windows, l'approbation d'une autorité de certification est établie lorsqu'il existe une copie du certificat racine dans le magasin de certificats racines approuvés et lorsque le certificat contient un chemin d'accès de certification valide. Cela signifie qu'aucun certificat dans le chemin de certification n'a été révoqué ou n'a dépassé sa durée de validité.

Les certificats numériques effectuent les actions suivantes :

  • Ils attestent que leurs détenteurs (personnes, sites Web ou ressources réseau telles que les routeurs) sont véritablement ceux qu'ils prétendent être.

  • Ils protègent les données échangées en ligne contre le vol et la falsification.

Il existe trois options ou types de certificats pouvant être utilisés par la messagerie unifiée et les passerelles IP ou les PBX IP. Dans les trois approches, la clé publique du détenteur de certificat fait partie du certificat pour que le serveur, l'utilisateur, le site Web ou toute autre ressource à l'autre bout puisse déchiffrer les messages. Seul l'exécuté du certificat est au courant de la clé privée. Chaque certificat a un attribut EnhancedKeyUsage défini sur ce certificat permettant d’indiquer son utilisation spécifique. Par exemple, l’utilisation peut être spécifiée uniquement pour l’authentification du serveur ou pour l’utilisation du système de fichiers de chiffrement. La messagerie unifiée utilise le certificat pour l’authentification du serveur et le chiffrement de données.

Certificats auto-signés

Un certificat auto-signé est un certificat signé par son propre créateur. L'objet et le nom du certificat correspondent. L'émetteur et l’objet sont définis sur les certificats auto-signés. Les certificats auto-signés ne requièrent pas la présence d'une autorité de certification de votre organisation ou d'un tiers. Vous devez configurer ces certificats de façon explicite et les copier dans le magasin de certificats racines approuvés sur chaque passerelle IP, PBX IP, serveur de messagerie unifiée et ordinateur Exchange 2010, s'ils doivent être approuvés par le serveur de messagerie unifiée ayant émis le certificat.

Si un certificat d’infrastructure à clé publique (PKI) ou de tiers est indisponible, le serveur de messagerie unifiée recherchera un certificat auto-signés dans le magasin de certificats local. S’il ne parvient pas à trouver un certificat d’infrastructure à clé publique ou tiers, il génère un certificat auto-signé pour le service MTLS. Toutefois, étant donné qu'il s'agit d'un certificat auto-signé, il ne sera pas approuvé par les passerelles IP, les PBX IP ou les autres serveurs sur le réseau. Pour que le certificat auto-signé soit approuvé par les passerelles IP, les PBX IP ou les autres serveurs, vous devez importer le certificat auto-signé dans le magasin de certificats racines approuvés des appareils et des serveurs. Une fois cette opération effectuée, lorsque le serveur de messagerie unifiée présente ce certificat auto-signé à la passerelle IP, au PBX IP ou au serveur, il peut vérifier que le certificat a été émis par une autorité approuvée, car l'émetteur correspond à l'objet défini sur le certificat auto-signé.

Si vous utilisez uniquement des certificats auto-signés, vous devez importer un seul certificat auto-signé pour chaque passerelle IP, PBX IP ou serveur. Dans les environnements réseau importants comptant un grand nombre d'appareils ou d'ordinateurs, il ne s'agit pas forcément d'un choix optimal pour l'implémentation du service MTLS. L'utilisation de certificats auto-signés dans un grand réseau d'entreprise n'évolue pas bien à cause de la charge administrative supplémentaire. Toutefois, la charge administrative ne constitue pas un problème si vous disposez d'un grand nombre d'appareils et utilisez un certificat PKI ou un certificat commercial tiers. Car chaque appareil dispose d’un certificat émis par la même autorité de certification racine approuvée. Posséder un certificat provenant de la même autorité racine approuvée garantit que toutes les passerelles IP, les IP PBX et autres serveurs approuvent le serveur de messagerie unifiée.

Pour que Mutual TLS fonctionne à l’aide de certificats auto-signés :

  1. Prenez le certificat auto-signé du serveur de messagerie unifiée et importez-le dans le magasin de certificats racines approuvés sur chaque passerelle IP et PBX IP et sur les serveurs avec lesquels le serveur de messagerie unifiée communiquera à l'aide de Mutual TLS.

  2. Prenez le certificat auto-signé de chaque passerelle IP, IP PBX et autre serveur et importez-le dans le magasin de certificats racines approuvés du serveur de messagerie unifiée. Si vous utilisez un certificat PKI ou tiers, importez le certificat de l'autorité de certification dans le magasin de certificats racines approuvés sur tous les appareils et serveurs.

Les certificats auto-signés ne sont souvent pas la meilleure option de certificat lorsque vous déployez une authentification Mutual TLS ou une authentification de certificats. Toutefois, les petites organisations avec un nombre limité d'appareils ou d'ordinateurs peuvent décider d'utiliser la méthode de certificats auto-signés, car elle est la plus facile à configurer et la moins onéreuse à utiliser lorsque vous implémentez Mutual TLS. Généralement, les organisations de petite taille décident de ne pas utiliser un certificat tiers ou d’installer leur propre infrastructure à clé publique pour émettre leurs propres certificats à cause des dépenses, du manque d’expérience et d’expertise de leurs administrateurs dans la création de leurs propre hiérarchie de certificats, ou pour les deux raisons. Le coût est minimal et l'installation simple lorsque vous utilisez des certificats auto-signés. Toutefois, l’établissement d’une infrastructure pour la gestion du cycle de vie du certificat, le renouvellement, la gestion fiable et la révocation est bien plus difficile avec des certificats auto-signés. Pour plus d'informations sur la création d'un certificat pour TLS, consultez la rubrique Présentation des certificats TLS.

Retour au début

infrastructure à clé publique

Une infrastructure à clé publique (PKI) est un système de certificats numériques, d'autorités de certification et d'autorités d'enregistrement qui vérifient et authentifient la validité de chaque partie impliquée dans une transaction électronique à l'aide d'un chiffrement à clé publique. Lorsque vous implémentez une autorité de certification au sein d'une organisation utilisant Active Directory, vous fournissez une infrastructure pour la gestion du cycle de vie, le renouvellement, la gestion de l'approbation et la révocation des certificats. Ces qualités permettent d’avoir une infrastructure robuste pour tous les certificats dans votre organisation. Toutefois, il existe un certain coût associé au déploiement de serveurs et d'infrastructures supplémentaires pour la création et la gestion de ces types de certificats.

Vous pouvez installer les services de certificats sur tous les serveurs du domaine. S vous obtenez des certificats d'une autorité de certification Windows de domaine, vous pouvez avoir recours à l'autorité de certification pour demander ou signer des certificats pour vos propres serveurs ou ordinateurs sur votre réseau. Cela vous permet d’utiliser une infrastructure à clé publique qui ressemble à un fournisseur de certificats tiers, mais c'est plus économique. Bien que ces infrastructures à clé publique ne puissent pas être déployées publiquement comme les autres types de certificat, lorsqu'une infrastructure à clé publique est utilisée, une autorité de certification signe le certificat du demandeur en utilisant la clé privée et le demandeur est vérifié. La clé publique de cette autorité de certification est fournie avec le certificat émis par l'autorité de certification. Toute personne détenant ce certificat de l'autorité de certification comme certificat racine peut utiliser la clé publique pour déchiffrer le certificat du demandeur et authentifier ce dernier.

Lorsque vous utilisez un certificat d'infrastructure à clé publique pour implémenter Mutual TLS, vous devez copier les certificats nécessaires vers les passerelles IP ou les IP PBX. Vous devez ensuite copier les certificats sur les passerelles IP ou PBX IP sur les serveurs de messagerie unifiée qui sont associés au plan de numérotation de messagerie unifiée qui a été configuré en mode sécurisé.

L’installation et la configuration pour l’utilisation de certificats d'infrastructure à clé publique et de certificats tiers sont semblables aux procédures que vous avez effectuées lors de l’importation et de l’exportation des certificats auto-signés. Toutefois, vous ne devez pas seulement installer le certificat d'ordinateur dans le magasin de certificats racines approuvés. Vous devez également importer ou copier le certificat racine approuvé pour l'infrastructure à clé publique dans le magasin de certificats racines approuvés sur les serveurs de messagerie unifiée et les passerelles IP et les IP PBX sur votre réseau.

Pour déployer Mutual TLS lorsque vous avez déjà déployé une infrastructure PKI, suivez ces étapes :

  1. Créez une demande de certificat sur chaque passerelle IP ou PBX.

  2. Copiez la demande de certificat à utiliser lors de la demande du certificat à partir de l'autorité de certification.

  3. Demandez un certificat de l'autorité de certification en utilisant la demande de certificat. Enregistrez le certificat.

  4. Importez le certificat que vous avez enregistré sur chaque appareil ou ordinateur.

  5. Téléchargez le certificat racine approuvé pour votre infrastructure à clé publique.

  6. Importez le certificat racine approuvé à partir de votre infrastructure à clé publique sur chaque appareil. Si vous importez le certificat racine approuvé sur un ordinateur Exchange 2010 exécutant le rôle de messagerie unifiée, vous pouvez également utiliser la stratégie de groupe pour importer le certificat racine approuvé dans le magasin de certificats racines approuvés sur le serveur de messagerie unifiée ou d'autres serveurs Exchange 2010. Toutefois, ce processus permet également de configurer un serveur exécutant le rôle serveur de messagerie unifiée.

    RemarqueRemarque :
    Vous effectuerez les mêmes étapes si vous utilisez un certificat commercial tiers pour implémenter Mutual TLS.

Pour plus d'informations sur les certificats et les infrastructures à clé publique, consultez les rubriques suivantes :

Autorités de certification de confiance tierces

Les certificats tiers ou commerciaux sont des certificats générés par un tiers ou une autorité de certification commerciale puis achetés pour utilisation sur vos serveurs de réseau. Un problème lié aux certificats auto-signés et PKI est que, comme ils ne sont pas approuvés, vous devez veiller à les importer dans le magasin de certificats racines approuvés sur les ordinateurs clients, les serveurs et les autres appareils. Les certificats tiers ou commerciaux n'ont pas cet inconvénient. La plupart des certificats émis par une autorité de certification commerciale sont déjà approuvés, car le certificat réside déjà dans le magasin de certificats racines approuvés. Étant donné que l'émetteur est approuvé, le certificat l'est également. L'utilisation des certificats tiers simplifie énormément le déploiement.

Pour les organisations de grande taille ou les organisations devant déployer publiquement les certificats, l'utilisation d'un certificat tiers ou commercial est la meilleure solution, même si le certificat a un coût. Les certificats commerciaux peuvent ne pas être la meilleure solution pour les petites et moyennes organisations. Vous pouvez décider d'utiliser l'une des autres options de certificat disponibles.

Selon la configuration de la passerelle IP ou IP PBX, vous devrez toujours importer le certificat tiers ou commercial vers le magasin de certificats approuvés sur les passerelles IP et les IP PBX pour pouvoir utiliser le certificat tiers pour Mutual TLS. Toutefois, dans certains cas, le certificat tiers est inclus dans le magasin de certificats racines approuvés sur votre serveur de messagerie unifiée et les autres ordinateurs Exchange 2010 au sein de votre organisation.

Les procédures que vous effectuez pour utiliser un certificat de commerce tiers afin d’activer Mutual TLS sont les mêmes que celles que vous effectuez lorsque vous utilisez un certificat d'infrastructure à clé publique. La seule différence est que vous n'avez pas besoin de générer un certificat PKI étant donné que vous avez acheté un certificat auprès d'un fournisseur de certificats commerciaux tiers qui sera importé dans le magasin de certificats racines approuvés sur les serveurs et les appareils de votre réseau.

Retour au début

Configuration de Mutual TLS

Par défaut, lorsqu'un appel entrant est reçu d'une passerelle IP, le trafic VoIP n'est pas chiffré et n'utilise pas Mutual TLS. Toutefois, le paramètre de sécurité d'un serveur de messagerie unifiée est configuré sur le plan de numérotation de messagerie unifiée associé au serveur de messagerie unifiée. Pour activer le serveur de messagerie unifiée afin de communiquer en toute sécurité avec des passerelles IP, des PBX IP et d’autres serveurs Exchange 2010, vous devez utiliser la cmdlet Set-UMDialPlan pour configurer la sécurité VoIP sur le plan de numérotation de messagerie unifiée, puis activer Mutual TLS pour les serveurs de messagerie unifiée qui sont associés au plan de numérotation de messagerie unifiée.

Après avoir activé la sécurité VoIP sur le plan de numérotation de messagerie unifiée, tous les serveurs de messagerie unifiée associés à ce dernier peuvent communiquer de manière sécurisée. Toutefois, en fonction du type de certificat que vous utilisez pour activer le service MTLS, vous devez d’abord importer et exporter les certificats requis sur les serveurs de messagerie unifiée ainsi que les passerelles IP et les PBX. Une fois que vous avez importé le ou les certificats requis sur le serveur de messagerie unifiée, vous devez redémarrer le service de messagerie unifiée Microsoft Exchange pour pouvoir utiliser le certificat qui a été importé pour établir une connexion chiffrée avec les passerelles IP ou les PBX IP. Pour plus d'informations sur l'importation et l'exportation de certificats, voir Importer et exporter des certificats.

Après avoir importé et exporté les certificats approuvés requis, la passerelle IP exigera un certificat du serveur de messagerie unifiée qui, à son tour, en exigera un de la passerelle IP. L'échange de certificats approuvés entre la passerelle IP et le serveur de messagerie unifiée permet à ces derniers de communiquer via une connexion chiffrée à l'aide de Mutual TLS. Lorsqu'un appel entrant est reçu par une passerelle IP ou un PBX IP, il déclenche un échange de certificats et il négocie la sécurité en utilisant Mutual TLS avec le serveur de messagerie unifiée. Le service de messagerie unifiée Microsoft Exchange n'est pas impliqué dans le processus d'échange de certificats ni dans la vérification de leur validité. Toutefois, si un certificat approuvé est introuvable sur un serveur de messagerie unifiée, si un certificat approuvé est trouvé mais n'est pas valide ou si un appel est rejeté en raison d'un échec de la négociation Mutual TLS, le serveur de messagerie unifiée recevra une notification du service de messagerie unifiée Microsoft Exchange.

Bien que le service de messagerie unifiée Microsoft Exchange ne participe pas à l'échange de certificats entre le serveur de messagerie unifiée et les passerelles IP, le service de messagerie unifiée Microsoft Exchange effectue ce qui suit :

  • Il fournit une liste des noms de domaine complet (FQDN) au service de reconnaissance vocale Microsoft Exchange afin que les appels uniquement à partir des passerelles IP ou des PBX IP qui figurent dans la liste soient acceptés.

  • Il transmet les attributs issuerName et SerialNumber d'un certificat au service de reconnaissance vocale Microsoft Exchange. Ces attributs identifient de manière unique le certificat que le serveur de messagerie unifiée utilisera à chaque fois qu'une passerelle IP ou un PBX IP demandera un certificat

Une fois que l'échange de clés entre le serveur de messagerie unifiée et les passerelles IP ou les PBX IP a été effectué afin d'établir une connexion chiffrée à l'aide de Mutual TLS, les serveurs de messagerie unifiée communiqueront avec les passerelles IP et les PBX IP à l'aide d'une connexion chiffrée. Les serveurs de messagerie unifiée communiqueront également avec d'autres serveurs Exchange 2010, tels que des serveurs d'accès au client et des serveurs de transport Hub, à l'aide d'une connexion chiffrée qui utilise Mutual TLS. Toutefois, Mutual TLS sera seulement utilisé pour chiffrer le trafic ou des messages qui sont envoyés depuis le serveur de messagerie unifiée vers un serveur de transport Hub.

ImportantImportant :
Pour activer Mutual TLS entre une passerelle IP de messagerie unifiée et un plan de numérotation opérant en mode sécurisé, vous devez commencer par configurer la passerelle IP de messagerie unifiée avec un nom de domaine complet et la configurer pour écouter sur le port 5061. Pour configurer une passerelle IP de messagerie unifiée, exécutez la commande suivante : Set-UMIPGateway -Identity MyUMIPGateway -Port 5061.

Retour au début

IPsec

IPsec utilise également les certificats pour chiffrer les données. Il fournit une ligne principale de défense contre les attaques de réseau privé et Internet.

Les objectifs de IPsec sont les suivantes :

  • Protéger le contenu des paquets IP.

  • Assurer la défense contre les attaques de réseau à travers le filtrage de paquets et l'application d'une communication approuvée.

IPsec est un cadre de normes ouvertes permettant d'assurer la sécurisation des communications privées sur les réseaux IP à l'aide des services de sécurité de chiffrement.

IPsec utilise les services de protection de chiffrement, les protocoles de sécurité et le gestionnaire de clés dynamique. Il fournit le niveau de chiffrement et la flexibilité pour la protection des communications entre les ordinateurs de réseau privé, les domaines, les sites, les sites distants, les extranets et les clients d’accès à distance. Il peut également être utilisé pour bloquer le reçu ou la transmission de types spécifiques de trafic.

IPsec est basée un modèle de sécurité de bout en bout établissant la confiance et la sécurité d’une adresse IP source à une adresse IP de destination. L'adresse IP ne doit pas être considérée comme une identité. Par contre, le système derrière l'adresse IP a une identité validée via un processus d'authentification. Les seuls ordinateurs qui doivent être informés du trafic sécurisé sont les ordinateurs d'envoi et de réception. Chaque ordinateur gère la sécurité de son côté et fonctionne sur l'hypothèse que le support permettant la communication n'est pas sécurisé. Il n'est pas obligatoire que les ordinateurs acheminant les données uniquement de la source à la destination prennent en charge le protocole IPsec, sauf si le filtrage de paquets de type pare-feu ou la traduction d'adresses réseau s'effectue entre les deux ordinateurs. Cela permet au protocole IPsec de se déployer correctement pour les scénarios d'organisation suivants :

  • LAN   Client-à-serveur, serveur-à-serveur et serveur-à-appareil VoIP

  • WAN   Routeur-à-routeur et passerelle-à-passerelle

  • Accès distant   Clients distants et accès par Internet à partir des réseaux privés.

En général, les deux côtés nécessitent une configuration IPsec afin de définir les options et les paramètres de sécurité qui permettront aux deux systèmes de s'accorder sur la sécurisation du trafic. Ceci est une stratégie Ipsec. Les implémentations du protocole IPsec avec les systèmes d'exploitation Microsoft Windows Server 2000, Windows XP, Windows Server 2003 et Windows Server 2008 sont basées sur les normes industrielles développées par le groupe de travail IPsec de l'IETF (Internet Engineering Task Force). Une partie des services liés au protocole IPsec a été développée conjointement par Microsoft et Cisco Systems, Inc. Pour plus d'informations sur la procédure de configuration des stratégies IPsec, voir Création, modification et affectation des stratégies IPsec.

Pour plus d'informations sur IPsec, consultez l'article Concepts IPsec.

AttentionAttention :
Si vous avez actuellement des stratégies IPsec implémentées sur votre réseau, vous devez exclure les passerelles IP et les PBX IP de la stratégie IPsec. Si vous ne le faites pas, pour toutes les 3 secondes d'un message vocal, il y aura 1 seconde d'interruption de la transmission de la voix. Il s'agit d'un problème connu et il existe un correctif pour Windows Server 2003. Pour plus d’informations sur ce correctif, consultez la rubrique Comment simplifier la création et la maintenance de filtres de sécurité IP (IPsec) dans Windows Server 2003 et Windows XP.

Plans de numérotation de messagerie unifiée et sécurité VoIP

Les serveurs de messagerie unifiée peuvent communiquer avec des passerelles IP, des PBX IP et d'autres ordinateurs Exchange 2010 en mode non sécurisé, en mode SIP sécurisé ou en mode sécurisé selon la façon dont est configuré le plan de numérotation de messagerie unifiée. Un serveur de messagerie unifiée peut fonctionner quel que soit le mode configuré sur un plan de numérotation, car il est configuré pour écouter simultanément les demandes non sécurisées sur le port TCP 5060 et les demandes sécurisées sur le port TCP 5061. Un serveur de messagerie unifié peut être associé à un ou plusieurs plans de numérotation de MU et peut être associé à des plans de numérotation qui possèdent des paramètres de sécurité VoIP différents. Un seul serveur de messagerie unifiée peut être associé à des plans de numérotation qui sont configurés pour utiliser une combinaison des modes non sécurisé, SIP sécurisé ou sécurisé.

Par défaut, lorsque vous créez un plan de numérotation de messagerie unifiée, il communique en mode non sécurisé et les serveurs de messagerie unifiée associés au plan de numérotation de messagerie unifiée envoient et reçoivent des données des passerelles IP, des PBX IP et d'autres ordinateurs Exchange 2010 qui n'utilisent pas le chiffrement. En mode non sécurisé, le canal de support RTP (Realtime Transport Protocol) et les informations de signalisation SIP ne sont pas chiffrés.

Vous pouvez configurer un serveur de messagerie unifiée afin qu'il utilise Mutual TLS pour chiffrer le trafic SIP et RTP vers et provenant d'autres appareils et serveurs. Lorsque vous ajoutez un serveur de messagerie unifiée à un plan de numérotation de messagerie unifiée et que vous configurez le plan de numérotation afin qu'il utilise le mode SIP sécurisé, seul le trafic de signalisation SIP sera chiffré et les canaux de support RTP continueront à utiliser le protocole TCP. Le protocole TCP n'est pas chiffré. Toutefois, si vous ajoutez un serveur de messagerie unifiée à un plan de numérotation de messagerie unifiée et si vous configurez le plan de numérotation afin qu'il utilise le mode sécurisé, le trafic de signalisation SIP et les canaux de support RTP sont chiffrés. Un canal de signalisation sécurisé utilisant SRTP (Secure Realtime Transport Protocol) utilise également Mutual TLS pour chiffrer les données VoIP.

Vous pouvez configurer le mode de sécurité VoIP lorsque vous créez un nouveau plan de numérotation ou après avoir créé un plan de numérotation à l’aide de la console de gestion Exchange ou de la cmdlet Set-UMDialPlan. Lorsque vous configurez le plan de numérotation de messagerie unifiée afin qu'il utilise le mode SIP sécurisé ou le mode sécurisé, les serveurs de messagerie unifiée qui sont associés au plan de numérotation de messagerie unifiée chiffrent le trafic de signalisation SIP ou les canaux de support RTP, ou bien les deux. Toutefois, pour qu'un serveur de messagerie unifiée puisse recevoir et envoyer des données chiffrées, vous devez configurer correctement le plan de numérotation de messagerie unifiée et les appareils de sorte que les passerelles IP ou les PBX IP puissent prendre en charge Mutual TLS.

Vous pouvez utiliser la cmdlet Get-UMDialPlan dans l'environnement de ligne de commande Exchange Management Shell pour déterminer les paramètres de sécurité d'un plan de numérotation de messagerie unifiée. Si le paramètre de sécurité a été activé, vous pouvez vérifier que le service de messagerie unifiée Microsoft Exchange a démarré en mode sécurisé en vérifiant le journal des événements de l'application pour voir si les événements d'information numérotés 1114 et 1112 ont été consignés.

ImportantImportant :
Si vous configurez Mutual TLS pour chiffrer les données échangées entre une passerelle IP Dialogic 2000 ou 4000 et un serveur, vous devez utiliser le modèle de certificat d'ordinateur V3 qui prend en charge l'authentification du serveur et du client. Le modèle de certificat de serveur Web qui prend en charge l'authentification de serveurs fonctionne uniquement avec les passerelles IP Dialogic 1000 et 3000, les passerelles IP AudioCodes et MicrosoftOffice Communications Server 2007.

Retour au début

Procédures de définition et de sélection du mode de sécurité et des certificats par la messagerie unifiée

Lorsque le service de messagerie unifiée Microsoft Exchange démarre, il vérifie le plan de numérotation de messagerie unifiée associé et le paramètre VoipSecurity, puis il détermine s'il doit démarrer en mode sécurisé ou en mode non sécurisé. S'il détermine qu'il doit démarrer en mode sécurisé, il détermine ensuite s'il a accès aux certificats requis. Si le serveur de messagerie unifiée n'est associé à aucun plan de numérotation de messagerie unifiée, il détermine dans quel mode il doit démarrer en examinant le paramètre StartSecured dans le fichier Msexchangeum.config. Ce paramètre peut être défini avec la valeur 0 ou 1. Si la valeur est 1, le serveur de messagerie unifiée utilisera le chiffrement pour protéger le trafic VoIP. Si la valeur est 0, le serveur démarre mais il n'utilisera pas le chiffrement pour protéger le trafic VoIP. Si vous souhaitez changer le comportement du démarrage du serveur de messagerie unifiée, pour qu'il utilise le mode sécurisé au lieu du mode non sécurisé et inversement, associez les plans de numérotation de messagerie unifiée appropriés au serveur, puis redémarrez le serveur de messagerie unifiée. Vous pouvez également changer le paramètre de configuration dans le fichier de configuration Msexchangeum.config et redémarrer le service de messagerie unifiée Microsoft Exchange.

Si le service de messagerie unifiée Microsoft Exchange est démarré en mode non sécurisé, il démarrera correctement. Toutefois, vérifiez que les passerelles IP et les PBX IP fonctionnent également en mode non sécurisé. De même, si vous testez la connectivité du serveur de messagerie unifiée en mode non sécurisé, utilisez la cmdlet Test-UMConnectivity avec le paramètre -Secured:false

Si le service de messagerie unifiée Microsoft Exchange est démarré en mode sécurisé, il interrogera le magasin de certificats local afin de trouver un certificat valide à utiliser pour que Mutual TLS puisse activer le chiffrement. Le service recherche d'abord une infrastructure à clé publique valide ou un certificat commercial puis, s'il ne trouve aucun certificat approprié, il recherche un certificat auto-signé qu'il utilisera à la place. S'il ne trouve aucun certificat d'infrastructure à clé publique, commercial ou auto-signé, le service de messagerie unifiée Microsoft Exchange crée un certificat auto-signé qu'il utilisera pour démarrer en mode sécurisé. Si le serveur de messagerie unifiée démarre en mode non sécurisé, aucun certificat n'est nécessaire.

Tous les détails du certificat utilisé pour démarrer en mode sécurisé sont consignés à chaque fois qu'un certificat est utilisé ou s'il a changé. Les détails consignés sont les suivants :

  • Nom de l’émetteur

  • Numéro de série

  • Thumbprint

L'empreinte est le hachage de l'algorithme de hachage sécurisé (SHA1) et peut être utilisée pour identifier de manière unique le certificat utilisé. Vous pouvez alors exporter le certificat utilisé par le service de messagerie unifiée Microsoft Exchange depuis le magasin de certificats local pour que le service démarre en mode sécurisé, puis importer ce certificat sur les passerelles IP et les PBX IP de votre réseau dans le magasin de certificats approuvés.

Une fois qu'un certificat approprié est trouvé et utilisé et si aucun changement supplémentaire ne survient, le service de messagerie unifiée Microsoft Exchange consigne un évènement un mois avant l'expiration du certificat utilisé. Si vous n'apportez aucun changement au certificat pendant cette période, le service de messagerie unifiée Microsoft Exchange consigne un évènement chaque jour jusqu'à l'expiration du certificat et chaque jour après son expiration.

Lorsque le serveur de messagerie unifiée recherche un certificat à utiliser afin que Mutual TLS établisse un canal chiffré, il cherche dans le magasin de certificats racines approuvés. S’il existe un grand nombre de certificats valides et de différents utilisateurs, le serveur de messagerie unifiée choisit le certificat valide avec le maximum de temps avant l’expiration. S’il existe un grand nombre de certificats, le serveur de messagerie unifiée choisit les certificats d'émetteur et la date d'expiration du certificat. Le serveur de messagerie unifiée recherche un certificat valide dans cet ordre :

  1. Certificat d’infrastructure à clé publique ou commercial avec la plus longue période d’expiration.

  2. Certificat d’infrastructure à clé publique ou commercial avec la plus courte période d’expiration.

  3. Certificat auto-signé dont la période avant expiration est la plus longue.

  4. Certificat auto-signé dont la période avant expiration est la plus courte. Un certificat commercial, d’infrastructure à clé unique ou auto-signé valide est requis. Si aucun certificat valide n'est trouvé, le serveur de messagerie unifiée génère un certificat auto-signé. Le serveur de messagerie unifiée a besoin d'un certificat valide pour chiffrer le trafic VoIP lorsqu'il fonctionne en mode SIP sécurisé ou en mode sécurisé.

    ImportantImportant :
    Lorsqu'un nouveau certificat est installé sur un serveur d'accès au client utilisé pour chiffrer les données Émettre au téléphone entre le serveur d'accès au client et un serveur de messagerie unifiée, vous devez exécuter la commande IISreset à partir d'une invite de commandes pour charger le certificat correct.

Retour au début

 © 2010 Microsoft Corporation. Tous droits réservés.