Partilhar via


Noções Básicas Sobre a Segurança VoIP da Unificação de Mensagens

 

Aplica-se a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Tópico modificado em: 2016-11-28

Um aspecto importante da segurança da rede é a capacidade de proteger a infraestrutura da Unificação de Mensagens (UM). Existem componentes em seu ambiente de Unificação de Mensagens que devem ser configurados corretamente para ajudar a proteger os dados recebidos e enviados dos servidores de Unificação de Mensagens na rede. Esses componentes englobam servidores de Unificação de Mensagens e planos de discagem. Este tópico discute como você pode aumentar a proteção para dados e servidores da rede de Unificação de Mensagens na organização. Siga estas etapas para ajudar a proteger seu ambiente de Unificação de Mensagens e habilitar a segurança VoIP:

  1. Instale a função de servidor Unificação de Mensagens.

  2. Crie um novo certificado público ou autoassinado que pode ser usado para o protocolo TLS mútuo.

  3. Associe um certificado ao servidor de UM.

  4. Configure o plano de discagem da UM como SIP Protegido ou Protegido.

  5. Configure o modo de inicialização no servidor de UM.

  6. Associe os servidores de Unificação de Mensagens a um plano de discagem da UM.

  7. Configure os gateways IP da UM usados para ter um nome de domínio totalmente qualificado (FQDN) e para usar a porta TCP 5061.

  8. Exporte e importe os certificados necessários para habilitar os servidores de Unificação de Mensagens, os gateways IP, os IP PBXs (IP Private Branch eXchanges) e outros servidores que estejam executando o Microsoft Exchange Server 2010 para utilizar TLS mútuo (Mutual Transport Layer Security).

Sumário

Protegendo a Unificação de Mensagens

Tipos de Certificados

Configurando o Protocolo TLS Mútuo

IPsec

Planos de Discagem da UM e Segurança VoIP

Como a Unificação de Mensagens Determina o Modo de Segurança e Seleciona Certificados

Protegendo a Unificação de Mensagens

Há vários métodos de segurança que podem ajudá-lo a proteger os servidores de Unificação de Mensagens e o tráfego da rede enviado entre os gateways IP e os servidores de Unificação de Mensagens, e entre os servidores de Unificação de Mensagens e outros servidores do Exchange 2010 em sua organização. A tabela a seguir lista algumas das possíveis ameaças à infraestrutura de Unificação de Mensagens e os métodos de segurança que podem ser implementados para ajudar a protegê-la.

Protegendo a Unificação de Mensagens

De que estou me protegendo? Como essa proteção pode ser feita?

Monitorando o tráfego de voz

  • Use IPsec (Segurança de Protocolo de Internet). O gateway IP ou o IP PBX deve oferecer suporte ao IPsec.

  • Use o Protocolo de Transporte em Tempo Real Seguro (SRTP).

Um ataque contra um gateway IP ou um IP PBX

  • Use métodos de autenticação de fortes.

  • Use senhas administrativas fortes.

  • Use o protocolo SSL (Secure Sockets Layer) para proteger as credenciais administrativas. O gateway IP ou IP PBX deve oferecer suporte a SSL.

  • Use SSH (Secure Shell) ao invés de Telnet.

Chamadas de longa distância não autorizadas

  • Use as regras do plano de discagem da UM e restrições de discagem. Elas podem ser configuradas no plano de discagem da UM e nas diretivas de caixa de correio da UM.

  • Como opção, você pode reforçar outras restrições de discagem, configurando seu PBX.

Um ataque de negação de serviço

  • O servidor de Unificação de Mensagens só se comunica com os gateways IP da UM ou IP PBXs incluídos na lista de servidores ou dispositivos VoIP confiáveis. Essa lista de servidores ou dispositivos VoIP confiáveis é gerada quando um gateway IP da UM é criado no serviço de diretório do Active Directory.

  • Use TLS mútuo.

Uma representação de proxy SIP (Protocolo de Início de Sessão)

  • Use TLS mútuo.

  • Use IPsec. O gateway IP ou o IP PBX deve oferecer suporte ao IPsec.

  • Configure LANs confiáveis, como LANs virtuais (VLANs), circuitos WAN dedicados ou redes virtuais privadas (VPNs).

Escuta clandestina e rapto de sessão

  • Use TLS mútuo para reduzir a escuta clandestina de sinal.

  • Use IPsec. O gateway IP ou o IP PBX deve oferecer suporte ao IPsec.

  • Configure LANs confiáveis, como VLANs, circuitos WAN dedicados ou VPNs.

Há vários métodos de segurança listados na tabela anterior que podem ser usados para proteger seu ambiente de Unificação de Mensagens. Um dos mecanismos mais importantes para proteger a infraestrutura de Unificação de Mensagens e o tráfego da rede gerado pela Unificação de Mensagens é o TLS mútuo.

Você pode usar o TLS mútuo para criptografar o tráfego IP (VoIP) que passa entre gateways IP, IP PBXs e outros servidores do Exchange 2010 e os servidores de Unificação de Mensagens em sua rede. A melhor opção para proteger esses dados é usar o TLS mútuo para criptografar dados VoIP.

No entanto, dependendo da ameaça de segurança, você também pode configurar diretivas IPsec para habilitar a criptografia de dados entre gateways IP ou IP PBXs e o servidor de Unificação de Mensagens, ou entre um servidor de Unificação de Mensagens e outros servidores do Exchange 2010 em sua rede. Em alguns ambientes, talvez você não consiga usar o IPsec, que pode estar indisponível ou não ser aceito nos gateways IP ou IP PBXs. Além disso, o IPsec impõe uma carga de processamento adicional aos recursos do sistema em servidores de Unificação de Mensagens. Considerando esses dois fatores, o TLS mútuo é a melhor opção para proteger o tráfego da rede VoIP em um ambiente de Unificação de Mensagens.

Depois de implementar e configurar corretamente o TLS mútuo, o tráfego VoIP entre os gateways IP, IP PBXs e de outros servidores do Exchange para os servidores de Unificação de Mensagens é criptografado. No entanto, quando o TLS mútuo não pode ser usado para ajudar a proteger o tráfego enviado e recebido em um servidor de Unificação de Mensagens, por exemplo quando um servidor de Unificação de Mensagens se comunica com outro servidor em sua rede, como um controlador de domínio do Active Directory ou um servidor de Caixa de Correio do Exchange 2010, outros tipos de criptografia são usados para proteger os dados. A figura a seguir mostra os métodos de criptografia que podem ser usados para proteger a Unificação de Mensagens.

Segurança VoIP da UM

Voltar ao início

Tipos de Certificados

Certificados digitais são arquivos eletrônicos que funcionam como um passaporte online para verificar a identidade de um usuário ou computador e são usados para criar um canal criptografado para proteger dados. Um certificado é, basicamente, uma declaração digital emitida por uma autoridade de certificação (CA) que valida a identidade do portador do certificado e permite que as partes se comuniquem de forma segura, usando criptografia. Eles podem ser emitidos por uma CA de terceiros confiável, como por exemplo os Serviços de Certificado, ou serem autoassinados. Cada tipo de certificado tem vantagens e desvantagens. No entanto, os certificados são sempre invioláveis e não podem ser falsificados. Certificados podem ser emitidos para várias funções, como autenticação de usuário da Web, autenticação de servidor da Web, S/MIME, IPsec, TLS e assinatura de código.

Um certificado vincula uma chave pública à identidade da pessoa, do computador ou do serviço que contém a chave privada correspondente. As chaves pública e privada são usadas pelo cliente e pelo servidor para criptografar dados antes que sejam transmitidos através da linha. Os certificados são usados por vários serviços e aplicativos de segurança de chave pública que fornecem autenticação, integridade de dados e comunicação segura entre redes, como a Internet. Para usuários, computadores e serviços baseados no Windows, a confiança em uma CA é estabelecida quando há uma cópia do certificado raiz no armazenamento de raiz confiável e o certificado contém um caminho de certificação válido. Isso significa que nenhum certificado no caminho de certificação foi revogado ou está expirado.

Os certificados digitais:

  • Autenticam que seus portadores - pessoas, sites e até mesmo recursos de rede, como roteadores - realmente são quem ou o quê dizem ser.

  • Protegem dados trocados online contra roubo ou violação.

Tradicionalmente, existem três opções ou tipos de certificados que a Unificação de Mensagens e os gateways IP ou IP PBXs podem usar. Em todas as três opções ou abordagens, a chave pública do proprietário do certificado é parte do certificado para que o servidor, usuário, site ou outro recurso que estiver na outra extremidade possa descriptografar as mensagens. A chave privada só é conhecida pelo signatário do certificado. Cada certificado tem um atributo EnhancedKeyUsage definido para determinar o uso específico do certificado. Por exemplo, o uso poderia ser especificado somente para autenticação de servidor ou para uso com o sistema de criptografia de arquivos. A Unificação de Mensagens usa o certificado para autenticação de servidor e criptografia de dados.

Certificados Autoassinados

Um certificado autoassinado é aquele assinado pelo próprio criador. O assunto e o nome do certificado são correspondentes. Em certificados autoassinados, o emissor e o assunto são definidos no certificado. Os certificados autoassinados não exigem a presença de uma CA de sua organização ou de terceiros. Você deve configurar esses certificados explicitamente e copiá-los para o armazenamento de certificado raiz confiável de cada gateway IP, IP PBX, outros servidores de Unificação de Mensagens e outros computadores do Exchange 2010, se precisarem ser confiáveis no servidor de Unificação de Mensagens que emitiu o certificado.

Se um certificado de terceiros ou baseado em uma infraestrutura de chaves públicas (PKI) não estiver disponível, o servidor de Unificação de Mensagens procurará por um certificado autoassinado no repositório de certificados local. Se um certificado de terceiros ou de PKI não for localizado, o servidor gerará um certificado autoassinado para TLS mútuo. No entanto, por ser um certificado autoassinado, ele não será considerado confiável pelos gateways IP, IP PBXs na rede ou outros servidores na rede. Para assegurar que o certificado autoassinado será considerado confiável pelos gateways IP, IP PBXs ou outros servidores, será necessário importar o certificado autoassinado para o armazenamento de certificado raiz confiável local dos dispositivos e servidores. Depois disso, quando o servidor de Unificação de Mensagens apresentar o certificado autoassinado ao gateway IP, IP PBX ou servidor, ele será capaz de verificar se o certificado foi emitido por uma autoridade confiável, porque o emissor será igual ao assunto definido no certificado autoassinado.

Se você estiver usando apenas certificados autoassinados, deve importar um único certificado autoassinado para cada gateway IP, IP PBX ou servidor. Em grandes ambientes de rede, com vários dispositivos ou computadores, talvez essa não seja a melhor opção para implementar o TLS mútuo. Usar certificados autoassinados em grandes redes corporativas não gera um bom dimensionamento devido à sobrecarga administrativa adicional. No entanto, a sobrecarga administrativa não é um problema se você tiver vários dispositivos e estiver usando um certificado de terceiros comercial ou de PKI. Isso ocorre porque cada dispositivo possui um certificado emitido pela mesma autoridade raiz confiável. Ter um certificado da mesma autoridade raiz confiável garante que todos os gateways IP, IP PBXs e outros servidores confiam no servidor de Unificação de Mensagens.

Para que o TLS mútuo funcione com os certificados autoassinados:

  1. Selecione o certificado autoassinado do servidor de Unificação de Mensagens e importe-o no armazenamento de certificados raiz confiáveis em cada gateway IP e IP PBX e em outros servidores com os quais o servidor de Unificação de Mensagens se comunicará usando o TLS mútuo.

  2. Selecione o certificado autoassinado de cada gateway IP, IP PBX e outro servidor e importe-o no armazenamento de certificados raiz confiáveis do servidor de Unificação de Mensagens. Se estiver usando um certificado de terceiros ou de PKI, importe o certificado da autoridade de certificação para o armazenamento de certificado raiz confiável de todos os dispositivos e servidores.

Os certificados autoassinados muitas vezes não são a melhor opção de certificado em implantações de autenticação baseada em certificados ou TLS mútuo. No entanto, organizações menores, com um número limitado de dispositivos ou computadores, podem decidir usar o método de certificado autoassinado porque é o mais barato e mais fácil de configurar quando se implementa TLS mútuo. Frequentemente, organizações menores decidem não usar um certificado de terceiros ou instalar seu próprio PKI para emitir seus próprios certificados devido aos custos, por falta de experiência e conhecimento de seus administradores para criar uma hierarquia própria de certificados, ou pelos dois motivos. O custo é mínimo e a instalação é simples quando certificados autoassinados são usados. No entanto, estabelecer uma infraestrutura para gerenciamento do ciclo de vida, renovação, gerenciamento de confiança e revogação do certificado é muito mais difícil com certificados autoassinados. Para mais informações sobre como criar um certificado para TLS, consulte Noções Básicas Sobre Certificados TLS.

Voltar ao início

Infraestrutura de Chave Pública

Uma PKI é um sistema de certificados digitais, CAs e autoridades de registro (RAs) que verifica e autentica a validade de cada parte envolvida em uma transação eletrônica, usando criptografia de chave pública. Ao implementar uma CA em uma organização que usa o Active Directory, forneça uma infraestrutura para o gerenciamento do ciclo de vida, renovação, gerenciamento de confiança e revogação do certificado. Essas qualidades oferecem uma infraestrutura sólida para todos os certificados em sua organização. No entanto, há um custo incidente na implantação de servidores adicionais e da infraestrutura para gerar e gerenciar esses tipos de certificado.

Você pode instalar os Serviços de Certificados em qualquer servidor no domínio. Se você obtiver certificados de uma CA com domínio baseado no Windows, pode usá-la para solicitar ou assinar certificados para emitir para seus próprios servidores ou computadores na rede. Isso permite que você use uma PKI que reproduz o uso de um fornecedor terceirizado de certificados, mas é mais barato. Embora essas PKIs não possam ser implantadas publicamente, como outros tipos de certificados, quando uma PKI é usada, uma CA assina o certificado do solicitante usando a chave privada, e o solicitante é verificado. A chave pública dessa CA é incluída no certificado emitido pela CA. Qualquer pessoa que tiver o certificado dessa CA como um certificado raiz pode usar essa chave pública para descriptografar o certificado do solicitante e autenticar o solicitante.

Ao usar um certificado de PKI para implementar o TLS mútuo, você deve copiar os certificados necessários para os gateways IP ou IP PBXs. Em seguida, você deve copiar os certificados dos gateways IP ou IP PBXs para os servidores de Unificação de Mensagens associados ao plano de discagem da UM configurado no modo de segurança.

A instalação e configuração para usar certificados de PKI e de terceiros são semelhantes aos procedimentos executados para importar e exportar os certificados autoassinados. Entretanto, você não deve apenas instalar o certificado do computador no armazenamento de certificados raiz confiáveis. Você também deve importar ou copiar também o certificado raiz confiável para a PKI no armazenamento de certificados raiz confiáveis e nos gateways IP e IP PBXs em sua rede.

Para implantar o TLS mútuo após a implantação de uma infraestrutura de PKI, siga estas etapas:

  1. Gere uma solicitação de certificado em cada gateway IP ou PBX.

  2. Copie a solicitação de certificado para uso ao solicitar o certificado de uma autoridade de certificação.

  3. Solicite um certificado da autoridade de certificação usando a solicitação de certificado. Salve o certificado.

  4. Importe o certificado salvo para cada dispositivo ou computador.

  5. Faça download do certificado raiz confiável para sua PKI.

  6. Importe o certificado raiz confiável de sua PKI para cada dispositivo. Se estiver importando o certificado raiz confiável da PKI para um computador do Exchange 2010 executando a função de servidor Unificação de Mensagens, você também pode usar a Diretiva de Grupo para importar o certificado raiz confiável para o armazenamento de certificado raiz confiável no servidor de Unificação de Mensagens ou em outros servidores do Exchange 2010. No entanto, esse processo também é usado ao configurar um servidor executando a função de servidor Unificação de Mensagens.

    Dica

    Você usará as mesmas etapas se estiver usando um certificado de terceiros comercial para implementar o TLS mútuo.

Para mais informações sobre certificados e PKIs, consulte os tópicos:

Autoridades de Certificação de Terceiros

Certificados comerciais ou de terceiros são aqueles gerados por uma CA comercial ou de terceiros, posteriormente adquiridos para uso em servidores de rede. Um problema nos certificados baseados em PKI e autoassinados é que, por não serem confiáveis, você deve importar o certificado para o armazenamento de certificado raiz confiável em computadores cliente, servidores e outros dispositivos. Certificados comerciais ou de terceiros não têm esse problema. A maioria dos certificados de CA comerciais já é confiável, porque o certificado já reside no armazenamento de certificado raiz confiável. Como o emissor é confiável, o certificado também o é. Usar certificados de terceiros simplifica muito a implantação.

Para organizações grandes ou que precisem implantar certificados publicamente, é melhor usar um certificado comercial ou de terceiros, mesmo incidindo um custo associado ao certificado. Os certificados comerciais podem não ser a melhor solução para organizações pequenas e médias e talvez você decida usar uma das outras opções de certificado disponíveis.

Dependendo da configuração do gateway IP ou IP PBX, talvez ainda seja necessário importar o certificado comercial ou de terceiros para o armazenamento de certificados confiáveis nos gateways IP e IP PBXs, para permitir o uso do certificado de terceiros para TLS mútuo. No entanto, em alguns casos, o certificado de terceiros será incluído no armazenamento de certificado raiz confiável do servidor de Unificação de Mensagens e outros computadores do Exchange 2010 em sua organização.

Os procedimentos para usar um certificado de terceiros comercial para habilitar TLS mútuo são os mesmos aplicados quando se utiliza um certificado de PKI. A única diferença é que não é necessário gerar um certificado de PKI, porque você comprou um certificado de um fornecedor de certificados de terceiros comerciais que será importado para o armazenamento de certificado raiz confiável dos servidores e dispositivos na rede.

Voltar ao início

Configurando o Protocolo TLS Mútuo

Por padrão, quando uma chamada de entrada é recebida de um gateway IP, o tráfego VoIP não é criptografado e não usa TLS mútuo. No entanto, a configuração de segurança de um servidor de Unificação de Mensagens é definida no plano de discagem da UM associado ao servidor de Unificação de Mensagens. Para permitir que o servidor de Unificação de Mensagens se comunique de modo seguro com gateways IP, PBXs IP e outros servidores Exchange 2010 é necessário usar o cmdletSet-UMDialPlan para configurar a segurança VoIP no plano de discagem de UM e, em seguida, habilitar o TLS mútuo para os servidores de Unificação de Mensagens associados ao plano de discagem de UM.

Depois de habilitar a segurança VoIP no plano de discagem da UM, todos os servidores de Unificação de Mensagens associados ao plano de discagem da UM podem se comunicar de maneira segura. Entretanto, dependendo do tipo de certificado usado para habilitar o TLS mútuo, primeiro importe e exporte os certificados necessários para os servidores de Unificação de Mensagens e os gateways IP e PBXs. Depois de importar o(s) certificado(s) exigido(s) para o servidor de Unificação de Mensagens, você deve reiniciar o serviço de Unificação de Mensagens do Microsoft Exchange para usar o certificado importado para estabelecer uma conexão criptografada com os gateways IP ou PBXs. Para mais informações sobre como importar e exportar certificados, consulte Importar e Exportar Certificados.

Depois de importar e exportar com êxito os certificados confiáveis necessários, o gateway IP solicitará um certificado do servidor de Unificação de Mensagens e um certificado do gateway IP. Trocar os certificados confiáveis entre o gateway IP e o servidor de Unificação de Mensagens permite que o gateway IP e o servidor de Unificação de Mensagens se comuniquem por uma conexão criptografada usando TLS mútuo. Quando uma mensagem de entrada for recebida por um gateway IP ou IP PBX, ela iniciará uma troca de certificados e negociará a segurança usando TLS mútuo com o servidor de Unificação de Mensagens. O serviço de Unificação de Mensagens do Microsoft Exchange não está envolvido no processo de troca de certificados ou em determinar se o certificado é válido. No entanto, se um certificado confiável não for localizado em um servidor de Unificação de Mensagens, um certificado confiável for localizado mas não for válido ou se uma chamada for rejeitada devido a uma falha de negociação do TLS mútuo, o servidor de Unificação de Mensagens recebe uma notificação do serviço de Unificação de Mensagens do Microsoft Exchange.

Embora o serviço de Unificação de Mensagens do Microsoft Exchange não participe da troca de certificados entre o servidor de Unificação de Mensagens e os gateways IP, o servidor de Unificação de Mensagens do Microsoft Exchange:

  • Fornece uma lista de FQDNs ao serviço Microsoft Exchange Speech, para que somente chamadas de gateways IP ou IP PBXs incluídas na lista sejam aceitas.

  • Passa os atributos issuerName e SerialNumber de um certificado para o serviço Microsoft Exchange Speech. Esses atributos identificam unicamente o certificado que será usado pelo servidor de Unificação de Mensagens quando um gateway IP ou IP PBX solicitar um certificado.

Depois que o servidor de Unificação de Mensagens e os gateways IP ou IP PBXs realizarem a troca de chaves para estabelecer uma conexão criptografada usando TLS mútuo, os servidores de Unificação de Mensagens se comunicarão com os gateways IP e IP PBXs usando uma conexão criptografada. Os servidores de Unificação de Mensagens se comunicarão também com outros servidores do Exchange 2010, como servidores de Acesso para Cliente e de Transporte de Hub, por uma conexão criptografada que usa TLS mútuo. No entanto, o TLS mútuo só será usado para criptografar o tráfego ou as mensagens que enviadas do servidor de Unificação de Mensagens para um servidor de Transporte de Hub.

Importante

Para habilitar o TLS mútuo entre um gateway IP da UM e um plano de discagem que esteja operando em modo de segurança, configure primeiro o gateway IP da UM com um FQDN e para escutar na porta 5061. Para configurar um gateway IP da UM, execute o seguinte comando: Set-UMIPGateway -Identity MyUMIPGateway -Port 5061.

Voltar ao início

IPsec

O IPsec também usa certificados para criptografar dados. Ele fornece uma linha de chave de defesa contra ataques à rede privada e à Internet.

O IPsec tem os seguintes objetivos:

  • Proteger o conteúdo de pacotes IP.

  • Defender contra ataques à rede através da filtragem de pacotes e reforço de comunicações confiáveis.

O IPsec é uma estrutura de padrões abertos que ajuda a garantir comunicações privadas e seguras através de redes IP, usando serviços de segurança criptográficos.

O IPsec usa serviços de proteção baseados em criptografia, protocolos de segurança e gerenciamento de chaves dinâmico. Ele propicia poder e flexibilidade para proteger as comunicações entre computadores de rede privada, domínios, sites, sites remotos, extranets e clientes dial-up. Também pode ser usado para bloquear o recebimento ou a transmissão de tipos de tráfego específicos.

O IPsec se baseia em um modelo de segurança de ponta a ponta que estabelece confiança e segurança de um endereço IP de origem a um endereço IP de destino. O endereço IP por si só não deve ser considerado uma identidade. Ao invés disso, o sistema por trás do endereço IP possui uma identidade validada através de um processo de autenticação. Os únicos computadores que devem conhecer o tráfego sendo protegido são os computadores de envio e de recebimento. Cada computador gerencia a segurança em sua extremidade respectiva e opera considerando que o meio em que a comunicação ocorre não é seguro. Os computadores que roteiam dados somente da origem para o destino não precisam oferecer suporte para IPsec, a menos que uma filtragem de pacotes do tipo firewall ou uma conversão do endereço da rede esteja ocorrendo entre os dois computadores. Isso permite que o IPsec seja implantado com êxito nos seguintes cenários organizacionais:

  • LAN   Cliente-servidor, servidor-servidor e servidor-dispositivo VoIP

  • WAN   Roteador-roteador e gateway-gateway

  • Acesso remoto   Clientes dial-up e acesso à Internet a partir de redes privadas

Geralmente, os dois lados precisam da configuração IPsec para definir as opções e as configurações de segurança que permitirão que dois sistemas concordem sobre como ajudar a proteger o tráfego entre eles. Esse processo é conhecido como uma diretiva de IPsec. As implementações de IPsec nos sistemas operacionais Microsoft Windows 2000 Server, Windows XP, Windows Server 2003, e Windows Server 2008 baseiam-se nos padrões do setor, desenvolvidos pelo grupo de trabalho de IPsec da IETF (Internet Engineering Task Force). Parte dos serviços relacionados ao IPsec foi desenvolvida em conjunto pela Microsoft e pela Cisco Systems, Inc. Para mais informações sobre como configurar diretivas de IPsec, consulte Criando, modificando e atribuindo diretivas de IPsec.

Para mais informações sobre IPsec, consulte Conceitos de IPsec.

Aviso

Se você tem diretivas de IPsec implementadas em sua rede atualmente, deve excluir os gateways IP e IP PBXs da diretiva de IPsec. Caso contrário, a cada 3 segundos de mensagem de voz haverá 1 segundo de falha na transmissão de voz. Esse é um problema conhecido e existe um hotfix para o Windows Server 2003. Para obter mais informações sobre esse hotfix, consulteComo simplificar a criação e manutenção de filtros de segurança IPsec (Segurança de Protocolo de Internet) no Windows Server 2003 e no Windows XP.

Planos de Discagem da UM e Segurança VoIP

Os servidores de Unificação de Mensagens podem se comunicar com gateways IP, IP PBXs e outros computadores do Exchange 2010 em um modo não-seguro, SIP seguro ou seguro, dependendo da configuração do plano de discagem da UM. Um servidor de Unificação de Mensagens pode operar em qualquer modo que esteja configurado em um plano de discagem, pois o servidor de Unificação de Mensagens está configurado para atender ao mesmo tempo na porta TCP 5060 para solicitações não seguras e na porta TCP 5061 para solicitações seguras. Um servidor de Unificação de Mensagens pode ser associado a um ou a vários planos de discagem da UM e pode ser associado a planos de discagem que tenham diferentes configurações de segurança VoIP. Um único servidor de Unificação de Mensagens pode ser associado a planos de discagem que estejam configurados para usar uma combinação de modos não seguro, SIP seguro ou seguro.

Por padrão, ao criar um plano de discagem da UM, ele se comunicará de um modo não seguro e os servidores de Unificação de Mensagens associados ao plano de discagem da UM enviarão e receberão dados de gateways IP, de IP PBXs e de outros computadores do Exchange 2010 sem usar criptografia. No modo não seguro, tanto o canal de mídia RTP (Protocolo de Transporte em Tempo Real) e as informações de sinalização SIP não são criptografadas.

Você pode configurar um servidor de Unificação de Mensagens para usar TLS mútuo para criptografar o tráfego SIP e RTP que é enviado e recebido de outros dispositivos e servidores. Ao adicionar um servidor de Unificação de Mensagens em um plano de discagem da UM e configurar o plano de discagem para usar o modo SIP seguro, apenas o tráfego de sinalização SIP será criptografado e os canais de mídia de RTP continuarão a usar TCP. O TCP não é criptografado. Entretanto, se você adicionar um servidor de Unificação de Mensagens a um plano de discagem da UM e configurar o plano de discagem para usar modo seguro, o tráfego de sinalização SIP e os canais de mídia de RTP serão criptografados. Um canal de mídia de sinalização seguro que usa o SRTP (Protocolo de Transporte em Tempo Real Seguro) usa também TLS mútua para criptografar os dados VoIP.

Você pode configurar o modo de segurança VoIP ao criar um novo plano de discagem ou depois de criar um plano de discagem usando o Console de Gerenciamento do Exchange ou o cmdlet Set-UMDialPlan. Ao configurar o plano de discagem da UM para usar o modo SIP seguro ou seguro, os servidores de Unificação de Mensagens associados ao plano de discagem da UM criptografarão o tráfego de sinalização SIP ou os canais de mídia de RTP, ou ambos. No entanto, para enviar dados criptografados de e para um servidor de Unificação de Mensagens, você deve configurar corretamente o plano de discagem da UM e os dispositivos como gateways IP ou IP PBXs devem aceitar TLS mútuo. 

Você pode usar o cmdlet Get-UMDialPlan no Shell de Gerenciamento do Exchange para definir a configuração de segurança de um determinado plano de discagem da UM. Se o parâmetro de segurança VoIP estiver habilitado, você pode verificar se o serviço de Unificação de Mensagens do Microsoft Exchange foi iniciado em modo de segurança, consultando o log de eventos do aplicativo para ver se os eventos de informações de números 1114 e 1112 foram registrados.

Importante

Se estiver configurando TLS mútuo para criptografar dados trocados entre gateways IP dos modelos Dialogic 2000 ou 4000, você deve usar o modelo de certificado V3, que aceita autenticação de cliente e de servidor. O modelo de certificado de Servidor da Web que aceita autenticação de servidor só funcionará corretamente com os gateways IP Dialogic 1000 e 3000, gateways IP AudioCodes e o Microsoft Office Communications Server 2007.

Voltar ao início

Como a Unificação de Mensagens Determina o Modo de Segurança e Seleciona Certificados

Quando o serviço de Unificação de Mensagens do Microsoft Exchange é iniciado, ele verifica o plano de discagem da UM associado e a definição do parâmetro VoipSecurity, e identifica se deve iniciar em modo seguro ou não seguro. Se determinar que deve iniciar em modo seguro, ele determina se tem acesso aos certificados exigidos. Se o servidor de Unificação de Mensagens não estiver associado a nenhum plano de discagem da UM, ele determina em qual modo iniciar procurando o parâmetro StartSecured no arquivo Msexchangeum.config. Este parâmetro pode ser definido com o valor 0 ou 1. O valor 1 inicia o servidor de Unificação de Mensagens usando criptografia para proteger o tráfego VoIP. O valor 0 inicia o servidor, mas não será usada criptografia para proteger o tráfego VoIP. Se você desejar alterar o comportamento de inicialização do servidor de Unificação de Mensagens de seguro para não seguro ou de não seguro para seguro, pode associar o servidor aos planos de discagem da UM apropriados e reiniciar o servidor de Unificação de Mensagens. Você também pode alterar a definição da configuração no arquivo de configuração Msexchangeum.config e reiniciar o serviço de Unificação de Mensagens do Microsoft Exchange.

Se o serviço de Unificação de Mensagens do Microsoft Exchange for iniciado em modo não seguro, será iniciado corretamente. No entanto, certifique-se de verificar se os gateways IP e IP PBXs também estão sendo executados em modo não seguro. Além disso, se estiver testando a conectividade do servidor de Unificação de Mensagens em modo não seguro, use o cmdlet Test-UMConnectivity com o parâmetro-Secured:false

Se o serviço de Unificação de Mensagens do Microsoft Exchange for iniciado em modo seguro, ele consulta o repositório de certificado local para encontrar um certificado válido a ser usado para TLS mútuo para habilitar a criptografia. Primeiro, o serviço procura um certificado comercial ou de PKI válido e, em seguida, se um certificado adequado não for encontrado, ele procura um certificado autoassinado para usar. Se nenhum certificado autoassinado, comercial ou de PKI for encontrado, o serviço de Unificação de Mensagens do Microsoft Exchange cria um certificado autoassinado para usar ao iniciar em modo seguro. Se o servidor de Unificação de Mensagens estiver iniciando em modo não seguro, um certificado não será necessário.

Todos os detalhes do certificado usado para iniciar em modo seguro serão registrados, sempre que o certificado for usado ou se o certificado for alterado. Alguns detalhes registrados no log incluem:

  • Nome do Emissor

  • Número de Série

  • Impressão Digital

A impressão digital é o hash SHA1 (Algoritmo de Hash Seguro) e pode ser usada para identificar com exclusividade o certificado utilizado. Você pode, então, exportar o certificado usado pelo serviço de Unificação de Mensagens do Microsoft Exchange para iniciar no modo seguro, a partir do repositório de certificados locais e, em seguida, importar esse certificado nos gateways IP e IP PBXs de sua rede para o repositório de certificados confiáveis.

Depois que um certificado adequado é encontrado e usado, e se nenhuma alteração adicional tiver sido realizada, o serviço de Unificação de Mensagens do Microsoft Exchange registra um evento um mês antes da expiração do certificado em uso. Se você não realizar nenhuma alteração no certificado durante esse tempo, o serviço de Unificação de Mensagens do Microsoft Exchange registra um evento por dia até o certificado expirar e um evento por dia após a expiração.

Ao procurar um certificado para o uso do TLS mútuo para estabelecer um canal criptografado, o servidor de Unificação de Mensagens examinará o armazenamento de certificados raiz confiáveis. Se houver vários certificados válidos e de diferentes emissores, o servidor de Unificação de Mensagens escolherá o certificado válido que demorar mais tempo para expirar. Se houver vários certificados, o servidor de Unificação de Mensagens escolherá os certificados com base no emissor e na data de expiração. O servidor de Unificação de Mensagens procurará um certificado válido nessa ordem:

  1. Certificado comercial ou de PKI com período de expiração mais distante.

  2. Certificado comercial ou de PKI com período de expiração mais próximo.

  3. Certificado autoassinado com data de expiração mais distante.

  4. Certificado autoassinado com data de expiração mais próxima. Um certificado comercial, da PKI ou autoassinado válido é necessário. Se um certificado válido não for encontrado, o servidor de Unificação de Mensagens gerará um certificado autoassinado. O servidor de Unificação de Mensagens precisa de um certificado válido para criptografar o tráfego VoIP quando estiver operando no modo SIP seguro ou seguro.

    Importante

    Quando um novo certificado é instalado no servidor de Acesso para Cliente usado para criptografar dados do recurso Tocar no Telefone entre o servidor de Acesso para Cliente e o servidor de Unificação de Mensagens, você deve executar o comando IISreset a partir de um prompt de comando para carregar o certificado correto.

Voltar ao início

 © 2010 Microsoft Corporation. Todos os direitos reservados.