Важным аспектом сетевой безопасности является возможность защиты инфраструктуры единой системы обмена сообщениями. В составе среды единой системы обмена сообщениями есть компоненты, которые должны быть правильно настроены, чтобы защитить данные, пересылаемые по сети с серверов единой системы обмена сообщениями и на них. Сюда входят такие компоненты, как серверы и телефонные группы единой системы обмена сообщениями. В данном разделе рассматривается, как можно повысить защиту данных и серверов в сети единой системы обмена сообщениями в организации. Необходимо выполнить следующие шаги, помогающие защитить среду единой системы обмена сообщениями и включить безопасность VoIP:

  1. установить роль сервера единой системы обмена сообщениями;

  2. Создайте абонентскую группу единой системы обмена сообщениями и настройте ее на использование безопасности VoIP.

  3. связать серверы единой системы обмена сообщениями с телефонной группой единой системы обмена сообщениями;

  4. экспортировать и импортировать сертификаты, необходимые, чтобы серверами единой системы обмена сообщениями, шлюзами IP и IP-АТС и остальными серверами, на которых запущен Microsoft Exchange Server 2007, мог использоваться протокол MTLS (Mutual Transport Layer Security);

  5. настроить полные доменные имена для используемых шлюзов IP единой системы обмена сообщениями.

Защита единой системы обмена сообщениями

Существует несколько методов обеспечения безопасности, с помощью которых можно защитить серверы единой системы обмена сообщениями и сетевой трафик, пересылаемый между шлюзами IP и серверами единой системы обмена сообщениями, а также между серверами единой системы обмена сообщениями и остальными серверами Exchange 2007 в организации. В следующей таблице перечислены некоторые из возможных угроз для инфраструктуры единой системы обмена сообщениями и методы обеспечения безопасности, которые можно реализовать, чтобы защититься от них.

Защита единой системы обмена сообщениями

Возможные угрозы Возможные методы защиты

Отслеживание голосового трафика
  • Использовать протокол IPsec. Однако шлюз IP или IP-АТС должны поддерживать протокол IPsec.

  • Использовать протокол SRTP (только для Exchange 2007 с пакетом обновления 1 (SP1)

Отслеживание трафика факсимильных сообщений
  • Использовать протокол IPsec. Однако шлюз IP или IP-АТС должны поддерживать протокол IPsec.

Атака на шлюз IP или IP-АТС
  • Использовать надежные методы проверки подлинности.

  • Использовать стойкие пароли для администраторов.

  • Использовать для защиты учетных данных администраторов протокол SSL (Secure Sockets Layer). Шлюз IP или IP-АТС должны поддерживать протокол SSL.

  • Использовать протокол Secure Shell (SSH), а не протокол Telnet

Несанкционированные междугородные звонки
  • Использовать правила и ограничения набора номера телефонных групп единой системы обмена сообщениями. Они могут настраиваться через телефонные группы и политики почтовых ящиков единой системы обмена сообщениями.

  • Дополнительно можно ввести в действие другие ограничения набора номера, соответствующим образом настроив коммутатор PBX

Атака типа «отказ в обслуживании»
  • Сервер единой системы обмена сообщениями взаимодействует только с теми шлюзами IP и IP-АТС, которые включены в список доверенных устройств или серверов VoIP. Список доверенных устройств или серверов VoIP создается при создании шлюза IP единой системы обмена сообщениями в службе каталогов Active Directory.

  • Использовать протокол MTLS.

Олицетворение роли прокси-сервера SIP
  • Использовать протокол MTLS.

  • Использовать протокол IPsec. Однако шлюз IP или IP-АТС должны поддерживать протокол IPsec.

  • Настроить доверенные локальные сети, например, виртуальные локальные сети, выделенные глобальные сети или виртуальные частные сети

Перехват информации и перехват сеанса
  • Использовать протокол MTLS для затруднения перехвата сигналов.

  • Использовать протокол IPsec. Однако шлюз IP или IP-АТС должны поддерживать протокол IPsec.

  • Настроить доверенные локальные сети, например, виртуальные локальные сети, выделенные глобальные сети или виртуальные частные сети

В предыдущей таблице перечислено несколько методов обеспечения безопасности, которые могут использоваться для защиты среды единой системы обмена сообщениями. Одним из важнейших механизмов защиты инфраструктуры единой системы обмена сообщениями и создаваемого ею сетевого трафика является протокол MTLS.

Протокол MTLS можно использовать для шифрования трафика VoIP, проходящего в сети между шлюзами IP, IP-АТС и другими серверами Exchange 2007 и серверами единой системы обмена сообщениями. Лучший способ защиты в данном случае — это шифрование данных VoIP с помощью протокола MTLS.

Однако в зависимости от конкретной угрозы безопасности можно также настроить политики IPsec таким образом, чтобы включить шифрование данных между шлюзами IP или IP-АТС и сервером единой системы обмена сообщениями и остальными серверами Exchange 2007 в сети. В некоторых средах использование протокола IPsec может оказаться невозможным, потому что протокол IPsec недоступен или не поддерживается шлюзами IP и IP-АТС. Кроме того, использование протокола IPsec вызывает дополнительную нагрузку на системные ресурсы серверов единой системы обмена сообщениями. С учетом этих факторов протокол MTLS – лучший выбор для защиты сетевого трафика VoIP в среде единой системы обмена сообщениями.

После правильной реализации и настройки протокола MTLS VoIP-трафик между шлюзами IP, IP-АТС и остальными серверами Exchange и серверами единой системы обмена сообщениями будет шифроваться. Однако если нельзя использовать протокол MTLS для защиты трафика, отправляемого сервером единой системы обмена сообщениями или принимаемого им, (например, если сервер единой системы обмена сообщениями взаимодействует с еще одним сервером в сети, таким как контроллер домена Active Directory или сервер почтовых ящиков Exchange 2007), для защиты данных используются другие типы шифрования. На следующем рисунке показаны методы шифрования, которые можно использовать для защиты единой системы обмена сообщениями.


VOIP-безопасность единой системы обмена сообщениями

Типы сертификатов

Цифровые сертификаты представляют собой файлы, которые играют роль «оперативного паспорта» для проверки удостоверения пользователя или компьютера и используются для создания зашифрованного канала, в свою очередь используемого для защиты данных. Сертификат, в основном, это цифровой документ, который выпускается центром сертификации, подтверждающий удостоверение владельца сертификата и позволяющий сторонам взаимодействовать безопасным способом, используя шифрование. Сертификаты могут выпускаться доверенными сторонними центрами сертификации, например, с помощью служб сертификации, или могут быть самоподписывающимися. У каждого типа сертификатов есть свои преимущества и недостатки. Однако в любом случае сертификаты защищены от несанкционированного изменения и их нельзя подделать. Сертификаты могут выпускаться для разных целей, например, для проверки подлинности веб-пользователя или веб-сервера, а также для подписывания протоколов S/MIME, IPsec, TLS и кода.

Сертификат связывает открытый ключ и удостоверение лица, компьютера или сервера, являющегося владельцем соответствующего закрытого ключа. Открытый и закрытый ключи используются и клиентом, и сервером для шифрования данных перед их передачей по кабельной сети. Сертификаты используются многими службами безопасности и приложениями на основе открытых ключей, которые обеспечивают проверку подлинности, целостности данных и безопасные подключения по сети, например, по Интернету. Для пользователей, компьютеров и служб на основе Windows отношения доверия в центре сертификации устанавливаются при наличии в доверенном корневом хранилище копии корневого сертификата и при условии, что сертификат содержит действительный путь сертификации. Это означает, что никакие сертификаты в пути сертификации не были отозваны и ни у одного из них не истек срок действия.

Цифровые сертификаты выполняют следующие функции:

  • проверка того, что их владельцы – физические лица, веб-узлы и даже сетевые ресурсы, например, маршрутизаторы, действительно те, за кого они себя выдают;

  • защита передаваемых по сети данных от похищения или изменения.

Традиционно существует три варианта или типа сертификатов, которые могут использоваться единой системой обмена сообщениями и шлюзами IP и IP-АТС. При всех трех подходах или вариантах частью сертификата является открытый ключ владельца сертификата, так что сообщения могут быть расшифрованы сервером, пользователем, веб-узлом или другим ресурсом на другом конце канала связи. Закрытый ключ известен только подписавшему сертификат. Каждый сертификат имеет атрибут EnhancedKeyUsage, устанавливаемый для указания конкретной цели использования данного сертификата. Например, может быть указано использование только для проверки подлинности серверов или с шифрованной файловой системой. Единой системой обмена сообщениями сертификаты используются для проверки подлинности серверов и шифрования данных.

Самоподписывающиеся сертификаты

Самоподписывающийся сертификат – это сертификат, подписанный его собственным создателем. Получатель и имя сертификата совпадают. Для самоподписывающихся сертификатов поставщик и получатель определяются самим сертификатом. Использование самоподписывающихся сертификатов не требует наличия центра сертификации, ни стороннего, ни в самой организации. Необходимо настраивать данные сертификаты в явном виде и копировать их в доверенное корневое хранилище сертификатов каждого шлюза IP, IP-АТС, других серверов единой системы обмена сообщениями и прочих компьютеров с Exchange 2007, если для них должны устанавливаться отношения доверия с сервером единой системы обмена сообщениями, выпустившим данный сертификат.

В случае недоступности стороннего сертификата или сертификата на основе инфраструктуры открытых ключей сервер единой системы обмена сообщениями выполняет поиск самоподписывающегося сертификата в локальном хранилище данных. Если серверу не удается найти сторонний сертификат или сертификат на основе инфраструктуры открытых ключей, им будет создан самоподписывающийся сертификат для протокола MTLS. Однако поскольку это самоподписывающийся сертификат, он не будет доверенным для шлюзов IP, IP-АТС и остальных серверов в сети. Чтобы обеспечить доверие к самоподписывающемуся сертификату со стороны шлюзов IP, IP-АТС и остальных серверов, необходимо импортировать такой сертификат в локальное доверенное корневое хранилище сертификатов всех устройств и серверов. После этого, когда сервер единой системы обмена сообщениями предоставляет такой самоподписывающийся сертификат шлюзу IP, IP-АТС или серверу, они смогут проверить, что сертификат был выпущен надежным центром сертификации, потому что поставщик будет совпадать с получателем, определенным в самоподписывающемся сертификате.

Если используются только самоподписывающиеся сертификаты, то необходимо импортировать отдельный самоподписывающийся сертификат на каждый шлюз IP, IP-АТС или сервер. В больших сетях со многими устройствами или компьютерами это может оказаться не самым лучшим способом реализации протокола MTLS. Использование самоподписывающихся сертификатов в больших корпоративных сетях плохо масштабируется из-за дополнительных административных накладных расходов. Однако административные накладные расходы не являются проблемой при наличии большого числа устройств и использовании инфраструктуры открытых ключей или коммерческих сторонних сертификатов. Причина этого в том, что у каждого устройства есть сертификат, выпущенный одним и тем же доверенным корневым центром. Наличие сертификата от одного и того же доверенного корневого центра обеспечивает отношения доверия между сервером единой системы обмена сообщениями и шлюзами IP, IP-АТС и другими серверами.

Чтобы настроить протокол MTLS на использование самоподписывающихся сертификатов, необходимо выполнить следующие действия.

  1. Импортировать самоподписывающийся сертификат сервера единой системы обмена сообщениями в доверенное корневое хранилище сертификатов каждого шлюза IP, IP-АТС или сервера, с которыми сервер единой системы обмена сообщениями будет взаимодействовать, используя протокол MTLS.

  2. Получить самоподписывающийся сертификат для каждого шлюза IP, IP-АТС или другого сервера и импортировать его в доверенное корневое хранилище сертификатов сервера единой системы обмена сообщениями. Импортировать сертификат центра сертификации в доверенное корневое хранилище сертификатов всех устройств и серверов в случае использования стороннего сертификата или сертификата на основе инфраструктуры открытых ключей.

Зачастую самоподписывающиеся сертификаты являются не самый лучшим решением для развертывания протокола MTLS или проверки подлинности на основе сертификатов. Однако для организаций небольшого размера с ограниченным числом устройств или компьютеров можно принять решение об использовании самоподписывающихся сертификатов, потому что это самый простой в настройке и наименее дорогостоящий метод реализации протокола MTLS. По причине меньшей стоимости или отсутствия у администраторов опыта и знаний по созданию своей собственной иерархии сертификатов или по обеим причинам, часто в небольших организациях принимается решение не использовать сторонние сертификаты и установить собственную инфраструктуру открытых ключей для выпуска собственных сертификатов. Если использовать самоподписывающиеся сертификаты, то затраты получаются минимальными, а установка – простой. Однако формирование инфраструктуры для управления жизненным циклом сертификатов, их обновления, управления отношениями доверия и их отзыва является гораздо более трудной задачей в случае использования самоподписывающихся сертификатов. Дополнительные сведения о создании сертификата для TLS см. в разделе Создание сертификата или запроса сертификата для TLS.

Инфраструктура открытых ключей

Инфраструктура открытых ключей представляет собой систему цифровых сертификатов, центров сертификации и центров регистрации, которыми проверяется действительность каждого компонента, участвующего в электронной транзакции, с использованием криптографии на основе открытого ключа. При реализации центра сертификации в организации, использующей службу каталогов Active Directory, необходимо обеспечить инфраструктуру для управления жизненным циклом сертификатов, их обновления, управления отношениями доверия и отзыва сертификатов. Эти качества гарантируют реализацию надежной инфраструктуры для всех сертификатов в организации. Однако необходимы некоторые затраты на развертывание дополнительных серверов и инфраструктуры, чтобы создавать сертификаты таких типов и управлять ими.

Службы сертификации можно установить на любом сервере в домене. Если сертификаты получаются из центра сертификации в домене Windows, можно использовать данный центр сертификации для запросов или подписи сертификатов, которые необходимо выпустить для серверов или компьютеров в своей сети. Это позволяет использовать инфраструктуру открытых ключей, аналогичную той, которую используют сторонние поставщики сертификатов, но менее дорогую. Хотя такие инфраструктуры открытых ключей не могут разворачиваться для открытого использования, в отличие от других типов сертификатов при использовании инфраструктура открытых ключей центр сертификации подписывает сертификат запросившего с помощью закрытого ключа, а затем выполняется проверка запросившего. Общий ключ центра сертификации включается в выдаваемый этим центром сертификат. Любым объектом, имеющим такой сертификат ЦС в качестве корневого сертификата, может использоваться такой открытый ключ для расшифровки сертификата запросившего и проверки подлинности запросившего.

При использовании для реализации протокола MTLS сертификата инфраструктуры открытых ключей необходимо скопировать требуемые сертификаты на шлюзы IP и IP-АТС. Затем необходимо скопировать сертификаты шлюзов IP и IP-АТС на серверы единой системы обмена сообщениями, связанные с телефонной группой единой системы обмена сообщениями, которая настроена для функционирования в режиме безопасности.

Установка и настройка для использования сертификатов инфраструктуры открытых ключей аналогична процедурам, выполняемым при импорте и экспорте самоподписывающихся сертификатов. Тем не менее в данном случае сертификат компьютера нужно устанавливать только в доверенное корневое хранилище сертификатов. Кроме того, необходимо импортировать или скопировать доверенный корневой сертификат для инфраструктуры открытых ключей в доверенные корневые хранилища сертификатов на серверах единой системы обмена сообщениями, шлюзах IP и IP-АТС.

Для развертывания протокола MTLS при наличии уже развернутой инфраструктуры открытых ключей необходимо:

  1. создать запрос сертификата для каждого шлюза IP или АТС;

  2. создать копию запроса сертификата, чтобы использовать ее для запроса сертификата у центра сертификации;

  3. запросить сертификат у центра сертификации с помощью запроса сертификата; сохранить сертификат;

  4. импортировать сохраненный сертификат на каждое устройство или компьютер;

  5. загрузить доверенный корневой сертификат для своей инфраструктуры открытых ключей;

  6. импортировать доверенный корневой сертификат из инфраструктуры открытых ключей на каждое устройство. При импорте доверенного корневого сертификата на компьютер Exchange 2007 с ролью сервера единой системы обмена сообщениями можно также с помощью групповой политики импортировать доверенный корневой сертификат в доверенное корневое хранилище сертификатов на сервере единой системы обмена сообщениями или на других серверах Exchange 2007. Вместе с тем, данный процесс используется также при настройке сервера, выполняющего роль сервера единой системы обмена сообщениями.

    Примечание.
    При использовании коммерческих сторонних сертификатов протокол MTLS реализуется таким же образом.

Дополнительные сведения о сертификатах и инфраструктуре открытых ключей см. в следующих разделах.

Сторонние центры сертификации

Сторонние или коммерческие сертификаты – это сертификаты, которые создаются сторонними или коммерческими центрами сертификации и затем приобретаются их клиентами для использования на своих сетевых серверах. Одна из проблем при использовании самоподписывающихся сертификатов и сертификатов на основе инфраструктуры открытых ключей состоит в том, что, поскольку такой сертификат не является доверенным, необходимо удостоверяться в том, что сертификат импортируется в доверенное корневое хранилище сертификатов на клиентских компьютерах, серверах и на других устройствах. При использовании сторонних или коммерческих сертификатов такой проблемы не возникает. Большинство сертификатов коммерческих центров сертификации уже являются доверенными, потому что такой сертификат уже находится в доверенном корневом хранилище сертификатов. Так как издатель является доверенным, сертификат также оказывается доверенным. Использование сторонних сертификатов во многом упрощает развертывание.

Для крупных организаций или для организаций, которым необходимо развертывать сертификаты для общего использования, применение сторонних (коммерческих) сертификатов – наилучшее решение, несмотря на связанные с этим расходы. Коммерческие сертификаты могут оказаться не лучшим решением для организаций малого и среднего размера, и может возникнуть необходимость в выборе другого доступного варианта использования сертификатов.

В зависимости от настройки шлюза IP или IP-АТС может сохраниться необходимость импорта стороннего или коммерческого сертификата в доверенное хранилище сертификатов на шлюзах IP и IP-АТС, чтобы получить возможность использования стороннего сертификата для протокола MTLS. Однако в некоторых случаях сторонний сертификат должен помещаться в доверенное корневое хранилище сертификатов на сервере единой системы обмена сообщениями и других компьютерах Exchange 2007 организации.

Процедуры, которые выполняются для использования протокола MTLS со сторонним сертификатом, аналогичны процедурам для сертификата инфраструктуры открытых ключей. Единственная разница заключается в отсутствии необходимости генерировать сертификат инфраструктуры открытых ключей, потому что сертификат приобретается у поставщика коммерческих сторонних сертификатов и должен импортироваться в доверенное корневое хранилище сертификатов на серверах и устройствах в сети организации.

Настройка протокола MTLS

По умолчанию при получении входящего звонка из шлюза IP VoIP-трафик не шифруется и для него не используется протокол MTLS. Однако параметры безопасности для сервера единой системы обмена сообщениями настраиваются для телефонной группы единой системы обмена сообщениями, связанной с сервером единой системы обмена сообщениями. Чтобы настроить сервер единой системы обмена сообщениями для безопасного взаимодействия со шлюзами IP, IP-АТС и остальными серверами Exchange 2007, необходимо использовать командлет Set-UMDialPlan для настройки безопасности VoIP для телефонной группы единой системы обмена сообщениями, а затем включить протокол MTLS для серверов единой системы обмена сообщениями, связанных с данной телефонной группой.

Примечание.
Если служба единой системы обмена сообщениями уже запущена в окончательной первоначальной (RTM) версии Microsoft Exchange и к телефонной группе единой системы обмена сообщениями добавляется сервер единой системы обмена сообщениями, необходимо перезапустить службу единой системы обмена сообщениями Microsoft Exchange, чтобы вступили в силу параметры безопасности для данной телефонной группы. В Exchange 2007 с пакетом обновления 1 (SP1) при добавлении сервера единой системы обмена сообщениями к телефонной группе перезапускать службу единой системы обмена сообщениями Microsoft Exchange не требуется.

После включения безопасности VoIP для телефонной группы единой системы обмена сообщениями все серверы единой системы обмена сообщения, связанные с этой телефонной группой, могут взаимодействовать безопасным образом. Однако в зависимости от типа сертификата, используемого для протокола MTLS, необходимо сначала импортировать и экспортировать требуемые сертификаты и на серверы единой системы обмена сообщениями, и на шлюзы IP и IP-АТС. После импорта требуемого сертификата или сертификатов на сервер единой системы обмена сообщениями необходимо перезапустить службу единой системы обмена сообщениями Microsoft Exchange, чтобы появилась возможность использовать импортированные сертификаты для установления шифрованного канала со шлюзами IP или IP-АТС. Дополнительные сведения о том, как импортировать и экспортировать сертификаты, см. в разделе Импорт и экспорт сертификатов (на английском языке).

После успешного экспорта и импорта необходимых доверенных сертификатов шлюз IP запрашивает сертификат у сервера единой системы обмена сообщениями, а затем запрашивается сертификат у шлюза IP. Обмен доверенными сертификатами между шлюзом IP и сервером единой системы обмена сообщениями позволяет обоим устройствам взаимодействовать по безопасному каналу с помощью протокола MTLS. При получении шлюзом IP или IP-АТС входящего звонка инициируется обмен сертификатами и согласование безопасности с сервером единой системы обмена сообщениями по протоколу MTLS. Служба единой системы обмена сообщениями Microsoft Exchange не участвует в процессе обмена сертификатами или в определении действительности сертификата. Однако если на сервере единой системы обмена сообщениями доверенный сертификат не обнаруживается, или обнаруживается, но не является действительным или звонок отклоняется по причине ошибки согласования по протоколу MTLS, сервером единой системы обмена сообщениями будет получено уведомление от службы единой системы обмена сообщениями Microsoft Exchange.

Хотя служба единой системы обмена сообщениями Microsoft Exchange не участвует в обмене сертификатами между сервером единой системы обмена сообщениями и шлюзами IP, службой единой системы обмена сообщениями Microsoft Exchange выполняются следующие операции:

  • предоставление списка полных доменных имен службе речевого модуля Microsoft Exchange, так что принимаются звонки только от тех шлюзов IP или IP-АТС, которые включены в данный список;

  • передача атрибутов issuerName и SerialNumber сертификата в службу речевого модуля Microsoft Exchange. Данные атрибуты однозначно идентифицируют сертификат, используемый сервером единой системы обмена сообщениями, когда шлюз IP или IP-АТС запрашивает сертификат.

После того как сервер единой системы обмена сообщениями и шлюзы IP или IP-АТС выполнили обмен ключами для установления шифрованного с помощью протокола MTLS канала, серверы единой системы обмена сообщениями взаимодействуют со шлюзами IP и IP-АТС по шифрованному каналу. Серверы единой системы обмена сообщениями также взаимодействуют по шифрованному с помощью протокола MTLS каналу и с другими серверами Exchange 2007, например серверами клиентского доступа и транспортными серверами-концентраторами. Однако протокол MTLS используется только для шифрования трафика или сообщений, передаваемых с сервера единой системы обмена сообщениями на транспортный сервер-концентратор.

Важно!
Чтобы использовать протокол MTLS при взаимодействии между шлюзом IP единой системы обмена сообщениями и телефонной группой, находящейся в безопасном режиме, необходимо сначала указать полное доменное имя шлюза IP единой системы обмена сообщениями и настроить его на прослушивание порта 5061. Чтобы настроить шлюз IP единой системы обмена сообщениями, выполните следующую команду: Set-UMIPGateway -identity MyUMIPGateway -Port 5061.

Протокол IPsec

Протоколом IPsec также используются сертификаты для шифрования данных. Он представляет собой ключевую линию защиты частных сетей от атак из Интернета.

Применением протокола IPsec достигаются следующие цели:

  • защита содержимого пакетов IP;

  • защита от сетевых атак за счет фильтрации пакетов и применения доверенного взаимодействия.

Протокол IPsec представляет собой систему открытых стандартов для обеспечения закрытого, безопасного взаимодействия по IP-сетям с помощью криптографических служб безопасности.

Протоколом IPsec используются службы защиты на основе криптографии, протоколы безопасности и динамическое управление ключами. Им обеспечивается надежность и гибкость при защите взаимодействия между компьютерами частной сети, доменами, узлами, удаленными узлами, внешними сетями и клиентами удаленного доступа. Он может использоваться даже для блокировки приема или передачи конкретных типов трафика.

Основа протокола IPsec – модель сквозной безопасности, которая устанавливает отношения доверия и безопасности от исходного IP-адреса до IP-адреса назначения. IP-адрес сам по себе не должен считаться идентификатором. Вместо этого стоящая за IP-адресом системы обладает идентификатором, проверяемым в процессе проверки подлинности. Единственные компьютеры, которым доступна защищенная информация, – это компьютер-отправитель и компьютер-получатель. Каждый компьютер соблюдает безопасность на соответствующем конце и выполняет операции, исходя из предположения, что среда, через которую происходит взаимодействие, не является безопасной. От компьютеров, которые выполняют только маршрутизацию данных от источника адресату, не требуется поддержка протокола IPsec, если только между обеими компьютерами не введены фильтрация пакетов по типу межсетевого экрана или преобразование сетевых адресов. Это позволяет успешно развертывать протокол IPsec в следующих сценариях:

  • локальная сеть: клиент-сервер, сервер-сервер и сервер-устройство VoIP;

  • глобальная сеть: маршрутизатор-маршрутизатор и шлюз-шлюз;

  • удаленный доступ: клиенты удаленного доступа и доступ в Интернет из частных сетей.

Обычно на обеих сторонах необходима настройка протокола IPsec, чтобы установить такие значения параметров безопасности, которые позволят обеим системам согласовать защиту трафика между ними. Это называется политикой IPsec. Реализации протокола IPsec на платформах Microsoft Windows 2000 Server, Windows XP и семейства Windows Server 2003 основаны на отраслевых стандартах, разработанных рабочей группой по протоколу IPsec комитета Internet Engineering Task Force (IETF). Компоненты связанных с протоколом IPsec служб разработаны корпорацией Microsoft в сотрудничестве с корпорацией Cisco Systems, Inc. Дополнительные сведения о настройке политик IPsec см. в статье Создание, изменение и назначение политик IPsec (на английском языке).

Дополнительные сведения о протоколе IPsec см. в описании основных понятий IPSec.

Внимание!
Если в настоящее время в сети реализованы политики IPsec, необходимо исключить из политики IPsec шлюзы IP и IP-АТС. Если этого не сделать, то каждые три секунды использования голосовой почты будет происходить односекундный обрыв передачи голоса. Это известная проблема, и в целях ее устранения выпущено исправление для Microsoft Windows Server 2003. Дополнительные сведения о данном исправлении см. в описании инструкций по упрощению создания и поддержке фильтров безопасности Internet Protocol (IPsec) в Windows Server 2003 и Windows XP.

Телефонные группы единой системы обмена сообщениями и безопасность VoIP в окончательной первоначальной версии Exchange 2007

Единая система обмена сообщениями может взаимодействовать со шлюзами IP, IP PBX и другими компьютерами Exchange 2007 с использованием шифрования. Тем не менее эта возможность зависит от настройки абонентской группы единой системы обмена сообщениями. По умолчанию телефонные группы единой системы обмена сообщениями не используют шифрование для защиты VoIP-трафика. Для определения настройки безопасности данной телефонной группы единой системы обмена сообщениями можно использовать командлет Get-UMDialPlan в среде управления Exchange. Если включен параметр безопасности VoIP, можно проверить, что служба единой системы обмена сообщениями Microsoft Exchange запущена в режиме безопасности, проверив наличие в журнале событий приложений событий с номерами 1114 и 1112.

По умолчанию телефонные группы единой системы обмена сообщениями и связанные с ними серверы единой системы обмена сообщениями отправляют и принимают данные без шифрования. Поэтому они настраиваются для использования в небезопасном режиме. В небезопасном режиме трафик VoIP и SIP не шифруется. Однако телефонные группы единой системы обмена сообщениями и связанные с ними серверы единой системы обмена сообщениями можно настраивать с помощью параметра VoIPSecurity. Для настройки шифрования трафика VoIP и SIP с помощью протокола MTLS служит параметр VoIPSecurity.

Единой системой обмена сообщениями для взаимодействия с остальными устройствами и серверами используются VoIP-протоколы RTP и SIP. При настройке телефонных групп единой системы обмена сообщениями для использования безопасности VoIP или режима безопасности шифруется сигнальный канал SIP. Сигнальный канал SIP может использовать протокол SIP, защищенный с помощью протокола MTLS. Однако каналы данных, использующие протокол RTP, по-прежнему используют небезопасный протокол TCP.

Примечание.
Безопасный сигнальный канал данных, использующий протокол SRTP, также использует протокол MTLS для шифрования данных VoIP. В этом выпуске продукта протокол SRTP не доступен. Однако в следующем выпуске планируется включить поддержку SRTP. Это означает, что будут шифроваться и данные SIP, и каналы данных, используемые единой системой обмена сообщениями Exchange 2007.

После создания телефонной группы единой системы обмена сообщениями необходимо с помощью командлета Set-UMDialPlan установить режим безопасности VoIP. После настройки телефонной группы единой системы обмена сообщениями на использование безопасности VoIP серверы телефонной группы единой системы обмена сообщениями, связанные с данной группой, используют режим безопасности или шифрование. Однако чтобы иметь возможность обмена шифрованными данными с сервером единой системы обмена сообщениями, необходимо правильно настроить телефонную группу единой системы обмена сообщениями, а устройства, например шлюзы IP или IP-АТС, должны поддерживать протокол MTLS.

Сервер единой системы обмена сообщениями может быть связан с одной или несколькими телефонными группами единой системы обмена сообщениями. Тем не менее один и тот же сервер единой системы обмена сообщениями может использовать или протокол MTLS (безопасный), или протокол TCP (небезопасный), но не оба протокола сразу. Такое ограничение накладывается сигнальным стеком SIP. Поэтому один и тот же сервер единой системы обмена сообщениями может быть связан с несколькими телефонными группами единой системы обмена сообщениями только в том случае, если они имеют одинаковую настройку безопасности.

По умолчанию после создания телефонная группа использует небезопасный режим или функционирует без шифрования. Однако если есть сервер единой системы обмена сообщениями, который связан с телефонной группой единой системы обмена сообщениями, настроенной для использования протокола MTLS, чтобы шифровать трафик VoIP, и необходимо отключить безопасность VoIP для данной телефонной группы, следует выполнить следующие действия:

  1. удалить все серверы единой системы обмена сообщениями из телефонной группы единой системы обмена сообщениями, выполняющейся в данный момент в безопасном режиме;

  2. с помощью командлета Set-UMDialPlan установить для данной телефонной группы небезопасный режим;

  3. связать серверы единой системы обмена сообщениями с данной телефонной группой, которая теперь выполняется в небезопасном режиме.

Важно!
При настройке Mutual TLS для шифрования данных, которые передаются между шлюзом IP Dialogic 2000 или 4000, необходимо использовать шаблон сертификатов Computer V3, который поддерживает проверку подлинности серверов и клиентов. Шаблон сертификатов веб-сервера, который поддерживает проверку подлинности серверов, будет правильно работать только с шлюзами IP Dialogic 1000 и 3000, шлюзами IP AudioCodes и Microsoft Office Communications Server 2007.

Новые возможности сервера Exchange Server 2007 с пакетом обновления 1 (SP1)

Серверы единой системы обмена сообщениями, на которых установлен Exchange 2007 с пакетом обновления 1 (SP1), могут взаимодействовать со шлюзами IP, IP PBX и другими компьютерами Exchange 2007 в небезопасном режиме, безопасном режиме SIP или безопасном режиме в зависимости от настройки абонентских групп единой системы обмена сообщениями. Сервер единой системы обмена сообщениями может работать в любом из режимов, настроенных для телефонной группы, поскольку он настроен на одновременное прослушивание TCP-порта 5060 для незащищенных запросов и TCP-порта 5061 для защищенных запросов. Сервер единой системы обмена сообщениями можно связать с одной или несколькими телефонными группами единой системы обмена сообщениями, а также с телефонными группами, для которых установлены другие параметры безопасности VoIP. Один сервер единой системы обмена сообщениями можно связать телефонными группами, настроенными на использование сочетания @@безопасного режима, @@небезопасного режима и @@режима с защитой SIP.

При создании телефонной группы единой системы обмена сообщениями все данные по умолчанию передаются в @@небезопасном режиме, и все серверы единой системы обмена сообщениями, связанные с этой телефонной группой, обмениваются данными со шлюзами IP, IP-АТС и другими компьютерами Exchange 2007 без шифрования. В таком режиме данные протокола RTP и служебная информацию протокола SIP передаются в незашифрованном виде.

Сервер единой системы обмена сообщениями можно настроить на использование протокола MTLS, чтобы шифровать трафик SIP и RTP, передаваемый другим устройствам и серверам и получаемый от них. При добавлении сервера единой системы обмена сообщениями к телефонной группе можно настроить эту телефонную группу на использование @@режима с защитой SIP. В этом случае будет шифроваться только трафик, передаваемый по протоколу SIP. TCP-трафик не шифруется. Если же при добавлении сервера единой системы обмена сообщениями к телефонной группе включить для этой телефонной группы @@безопасный режим, то шифроваться будет как трафик SIP, так и трафик RTP. Безопасный сигнальный канал данных, использующий протокол SRTP, также использует протокол MTLS для шифрования данных VoIP.

Режим безопасности VoIP можно настроить при создании телефонной группы или с помощью командлета Set-UMDialPlan командной консоли Exchange. При включении для телефонной группы единой системы обмена сообщениями @@безопасного режима или @@режима с защитой SIP, связанные с этой телефонной группой серверы единой системы обмена сообщениями будут шифровать сигнальный трафик SIP, трафик RTP или оба вида трафика. Однако чтобы иметь возможность обмена шифрованными данными с сервером единой системы обмена сообщениями, необходимо правильно настроить телефонную группу единой системы обмена сообщениями, а устройства, например шлюзы IP или IP-АТС, должны поддерживать протокол MTLS.

Как в единой системе обмена сообщениями определяется режим безопасности и выбираются сертификаты

При запуске службы единой системы обмена сообщениями Microsoft Exchange служба проверяет связанные телефонные группы единой системы обмена сообщениями и настройку параметра VoipSecurity и определяет режим запуска – @@безопасный или @@небезопасный. Если служба определяет, что необходим запуск в @@безопасном режиме, то затем выполняется проверка наличия доступа к необходимым сертификатам. Если сервер единой системы обмена сообщениями не связан ни с какими телефонными группами единой системы обмена сообщениями, режим запуска определяется на основании значения параметра StartSecured в файле UMRecyclerConfig.xml. Параметр может принимать значение 0 или 1. Если установлено значение 1, то сервер единой системы обмена сообщениями будет выполнять шифрование VoIP-трафика. Если установлено значение 0, то сервер будет запущен, но VoIP-шифрование трафика выполняться не будет. Если необходимо изменить режим запуска сервера единой системы обмена сообщениями с @@безопасного на @@небезопасный или наоборот, можно связать данный сервер с соответствующими телефонными группами единой системы обмена сообщениями и затем перезапустить его. Можно также изменить параметр настройки в файле конфигурации UMRecyclerConfig.xml и перезапустить службу единой системы обмена сообщениями Microsoft Exchange.

Если служба единой системы обмена сообщениями Microsoft Exchange запускается в @@небезопасном режиме, она запустится как обычно. Необходимо, однако, проверить, что шлюзы IP и IP-АТС также работают в @@небезопасном режиме. Кроме того, для проверки работоспособности сервера единой системы обмена сообщениями в @@небезопасном режиме следует использовать командлет Test-UMConnectivity с параметром -Secured:false. 

Если служба единой системы обмена сообщениями Microsoft Exchange запускается в @@безопасном режиме, она обращается к локальному хранилищу данных в поисках действительного сертификата, чтобы использовать его с протоколом MTLS для шифрования. Данной службой сначала выполняется поиск действительного сертификата инфраструктуры открытых ключей или коммерческого сертификата, а затем, если соответствующий сертификат не найден, выполняется поиск самоподписывающегося сертификата, пригодного для использования. Если сертификаты инфраструктуры открытых ключей, как коммерческие, так и самоподписывающиеся, не найдены, служба Microsoft Exchange создаст самоподписывающийся сертификат, чтобы использовать его для запуска в @@безопасном режиме. Если сервер единой системы обмена сообщениями запускается в @@небезопасном режиме, сертификат не нужен.

Все сведения о сертификате, используемом для запуска в безопасном режиме, регистрируются при каждом использовании данного сертификата или при его изменении. В число регистрируемых сведений входят следующие:

  • имя поставщика

  • серийный номер

  • отпечаток

Отпечаток представляет собой хэш SHA1 и может использоваться для однозначной идентификации используемого сертификата. После этого сертификат, используемый службой единой системы обмена сообщениями Microsoft Exchange для запуска в @@безопасном режиме, можно экспортировать из локального хранилища данных и импортировать его в доверенное хранилище сертификатов шлюзов IP и IP-АТС.

После того, как найден и используется соответствующий сертификат и не произошло никаких дополнительных изменений, службой единой системы обмена сообщениями Microsoft Exchange будет зарегистрировано событие за один месяц до истечения срока действия данного сертификата. Если с сертификатом в течении данного времени не произойдет никаких изменений, службой единой системы обмена сообщениями Microsoft Exchange будет регистрироваться событие каждый день до истечения срока действия данного сертификата и каждый день после этого.

Когда сервер единой системы обмена сообщениями выполняет поиск сертификата, необходимого для использования протоколом MTLS для установки безопасного канала, сервер обращается к доверенному корневому хранилищу сертификатов. Если там находится несколько действительных сертификатов от разных поставщиков, сервером единой системы обмена сообщениями выбирается действительный сертификат с наибольшим оставшимся до истечения срока действия временем. Если существует несколько сертификатов, сервером единой системы обмена сообщениями сертификаты выбираются на основе поставщика и даты истечения срока действия. Сервером единой системы обмена сообщениями поиск действительных сертификатов выполняется в следующем порядке.

  1. Сертификаты инфраструктуры открытых ключей или коммерческие сертификаты с максимальным сроком действия.

  2. Сертификаты инфраструктуры открытых ключей или коммерческие сертификаты с минимальным сроком действия.

  3. Самоподписывающиеся сертификаты с максимальным сроком действия.

  4. Самоподписывающиеся сертификаты с минимальным сроком действия.

    Важно!
    При установке на сервере клиентского доступа нового сертификата, который применяется для шифрования данных воспроизведения по телефону между сервером клиентского доступа и сервером единой системы обмена сообщениями, необходимо выполнить команду IISreset из командной строки для загрузки правильного сертификата.

Новые возможности сервера Exchange Server 2007 с пакетом обновления 1 (SP1)

  • В файле UMRecyclerConfig.xml больше не хранятся параметры безопасности сервера единой системы обмена сообщениями. В Exchange 2007 с пакетом обновления 1 (SP1) сервер единой системы обмена сообщениями может работать в небезопасном режиме, режиме с защитой SIP и безопасном режиме одновременно.

  • Сервер единой системы обмена сообщениями можно связать с телефонными группами единой системы обмена сообщениями, имеющими различные параметры безопасности.

  • Службу единой системы обмена сообщениями Microsoft Exchange больше не нужно перезапускать в случае переноса сервера единой системы обмена сообщениями между телефонными группами с различающимися параметрами безопасности.

  • Требуется действующий коммерческий сертификат, самоподписывающийся сертификат или сертификат на основе инфраструктуры открытых ключей. Если действующий сертификат найти не удается, сервер единой системы обмена сообщениями создает самоподписывающийся сертификат. Сертификат нужен серверу единой системы обмена сообщениями для шифрования VoIP-трафика при работе в @@Режиме с защитой SIP или @@Безопасном режиме.

Дополнительные сведения


Безопасность данных VoIP в единой системе обмена сообщениями