Reagieren auf Bedrohungen für Enterprise-VoIP in Office Communications Server 2007 R2
Letztes Änderungsdatum des Themas: 2012-02-01
Enterprise-VoIP ist die auf der Office Communications Server-Software basierende VoIP-Lösung. Enterprise-VoIP verwendet VoIP für interne Anrufe und für die Verbindung mit herkömmlichen Telefonnetzen. Da interne VoIP-Anrufe (wie auch Sofortnachrichten) stets verschlüsselt sind, konzentrieren sich die VoIP-spezifischen Sicherheitsbedenken auf die Übertragung von Anrufen in und aus dem unverschlüsselten Telefonfestnetz.
Bei Enterprise-VoIP müssen zwei Geräte VoIP-Verbindungen mit dem Telefonfestnetz herstellen:
- Ein Mediengateway übersetzt die Signalprotokolle des örtlichen Telefonsystems in SIP über TLS (empfohlen) oder TCP (optional) für eine Übertragung über IP-Netzwerke.
- Eine Office Communications Server-Rolle, der Vermittlungsserver, der für das interne Routing bei Bedarf SIP über TCP in SIP über TLS übersetzen kann.
.gif "Dd572332.note(de-de,office.13).gif") Hinweis: |
|---|
| Enterprise-VoIP unterstützt drei verschiedene Typen von Mediengateways: Basismediengateway, hybrides Basismediengateway und erweitertes Mediengateway. Bei Verwendung eines erweiterten Mediengateways ist kein Vermittlungsserver mehr erforderlich, da dessen Logik in das Gateway integriert ist. Solche Gateways sind jedoch noch nicht verfügbar. Im Rahmen dieser Diskussion wird angenommen, dass Ihre Bereitstellung einen Vermittlungsserver für die Verbindung mit dem Festnetz (PSTN) benötigt. Ausführliche Informationen zu Mediengateways und zum Vermittlungsserver finden Sie unter Unterstützung für Enterprise-VoIP in der Planungs- und Architekturdokumentation. |
Wenn Sie sich für eine Konfiguration der Verbindung zwischen einem Mediengateway und dem Vermittlungsserver für TCP entscheiden, wird die Verbindung zu einer potenziellen Sicherheitslücke, weil die Signale unverschlüsselt übertragen werden. Dennoch wird MTLS von vielen aktuell verfügbaren Gateways nicht unterstützt. Sie müssen also eventuell eine TCP-Verbindung zum Vermittlungsserver verwenden, bis ein Upgrade Ihres Gateways möglich ist. Die empfohlene Abhilfemaßnahme für diese potenzielle Sicherheitslücke besteht darin, den Vermittlungsserver in einem eigenen Subnetz bereitzustellen. Dazu werden zwei Netzwerkschnittstellenkarten mit verschiedenen IP-Adressen in einem separaten Subnetz mit separaten Porteinstellungen installiert. Eine Karte fungiert als interne Schnittstelle des Vermittlungsservers, die auf von internen Servern ausgehenden TLS-Datenverkehr lauscht. Die zweite Karte dient als externe Schnittstelle des Vermittlungsservers, die auf den vom Mediengateway ausgehenden TCP-Datenverkehr lauscht. Die Verwendung zweier Karten mit separaten Überwachungsadressen sorgt für eine klare Trennung zwischen vertrauenswürdigem Datenverkehr aus dem Office Communications Server-Netzwerk und nicht vertrauenswürdigem Datenverkehr aus dem Telefonfestnetz.
In diesem Abschnitt
Dieser Abschnitt enthält die folgenden Themen:
- Bewährte Methoden zum Sichern von Enterprise-VoIP
- Begrenzen der Anrufe von Gateways für Office Communications Server 2007 R2
- Mediensicherheit bei Office Communications Server 2007 R2
- Zuweisen von Anrufberechtigungen für Office Communications Server 2007 R2
- Exchange Unified Messaging-Sicherheitsebenen