Reagieren auf Bedrohungen für Enterprise-VoIP für Lync Server 2010

 

Letztes Änderungsdatum des Themas: 2012-10-18

Enterprise-VoIP ist die softwarebasierte VoIP-Lösung, die in Microsoft Lync Server 2010 verfügbar ist. Enterprise-VoIP verwendet VoIP sowohl für interne Anrufe als auch für die Verbindung mit herkömmlichen Telefonnetzen. Da interne VoIP-Anrufe (wie auch Sofortnachrichten) stets verschlüsselt sind, betreffen VoIP-spezifische Überlegungen zum Thema Sicherheit die Weiterleitung von Anrufen zum und vom unverschlüsselten Telefonfestnetz.

Bei Enterprise-VoIP müssen zwei Geräte VoIP-Verbindungen mit dem Telefonfestnetz herstellen:

• Ein Gerät mit Anbindung an das Telefonfestnetz, z. B. eine IP-Nebenstellenanlage, ein Mediengateway oder ein SBC (Session Border Controller) bei einem Dienstanbieter.

• Eine Lync Server 2010-Serverrolle, der Vermittlungsserver, der für die interne Weiterleitung SIP über TCP in SIP über TLS übersetzen kann, falls erforderlich.

Wenn Sie sich für das Konfigurieren der Verbindung zwischen einem Mediengateway und dem Vermittlungsserver für TCP entscheiden, wird diese Verbindung zu einer potenziellen Sicherheitslücke, weil die Signale unverschlüsselt übertragen werden. Allerdings unterstützen einige derzeit erhältliche Geräte mit PSTN-Verbindungen MTSL nicht, sodass Sie u. U. eine TCP-Verbindung zum Vermittlungsserver verwenden müssen, bis ein Upgrade des Geräts möglich ist. Die empfohlene Abhilfemaßnahme für diese potenzielle Sicherheitslücke besteht darin, den Vermittlungsserver in einem eigenen Subnetz bereitzustellen. Dazu werden zwei Netzwerkschnittstellenkarten mit verschiedenen IP-Adressen in einem separaten Subnetz mit separaten Porteinstellungen installiert. Eine Karte fungiert als interne Schnittstelle des Vermittlungsservers, die den von internen Servern ausgehenden TLS-Datenverkehr überwacht. Die zweite Karte dient als externe Schnittstelle des Vermittlungsservers, die den vom Mediengateway ausgehenden TCP-Datenverkehr überwacht. Die Verwendung zweier Karten mit separaten Überwachungsadressen sorgt für eine klare Trennung zwischen vetrauenswürdigem Datenverkehr aus im Lync Server 2010-Netzwerk und nicht vertrauenswürdigem Datenverkehr aus dem Telefonfestnetz. Ausführliche Informationen zur Notwendigkeit von zwei dedizierten Subnetzen ohne Routing finden Sie in "Communications Server-Vermittlungsserver: Zwei Netzwerkkarten" unter https://go.microsoft.com/fwlink/?linkid=214403&clcid=0x407

In diesem Abschnitt

• Bewährte Methoden zum Sichern von Enterprise-VoIP in Lync Server 2010

• Begrenzen der Anrufe von Gateways für Lync Server 2010

• Mediensicherheit für Lync Server 2010

• Zuweisen von Anrufberechtigungen für Lync Server 2010

• Sicherheitsebenen für Exchange Unified Messaging

• Sicherheit von Survivable Branch Appliances