Présentation de la sécurité VoIP de messagerie unifiée
S’applique à : Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Dernière rubrique modifiée : 2008-07-03
Pouvoir protéger votre infrastructure de messagerie unifiée constitue un aspect important de la sécurité de votre réseau. Il existe dans votre environnement de messagerie unifiée des composantes que vous devez correctement configurer afin d’assurer la protection des données envoyées ou reçues des serveurs de messagerie unifiée sur votre réseau. Ces composantes comportent, entre autres, les serveurs de messagerie unifiée et les plans de commutation des appels. Cette rubrique explique comment optimiser la protection des données et des serveurs du réseau de messagerie unifiée au sein de votre organisation. Pour sécuriser votre environnement de messagerie unifiée et activer la sécurité VoIP (Voice over IP), procédez comme suit :
Installez le rôle serveur de messagerie unifiée.
Créez un plan de commutation des appels de messagerie unifiée et configurez-le pour utiliser la sécurité VoIP.
Associez les serveurs de messagerie unifiée au plan de commutation des appels de messagerie unifiée.
Exportez et importez les certificats requis pour permettre aux serveurs de messagerie unifiée, passerelles IP, PBX IP (IP Private Branch eXchange) et autres serveurs exécutant Microsoft Exchange Server 2007 d'utiliser le service MTLS (Mutual Transport Layer Security).
Configurez les passerelles IP de messagerie unifiée utilisées pour obtenir un nom de domaine complet (FQDN).
Protection de messagerie unifiée
Plusieurs méthodes de sécurité peuvent vous aider à protéger vos serveurs de messagerie unifiée et le trafic réseau entre vos passerelles IP et les serveurs de messagerie unifiée, et entre vos serveurs de messagerie unifiée et d’autres serveurs Exchange 2007 au sein de votre organisation. Le tableau suivant répertorie quelques-unes des menaces potentielles susceptibles d'affecter votre infrastructure de messagerie unifiée et les méthodes de sécurité qui peuvent être mises en œuvre pour la protéger.
Protection de messagerie unifiée
Que suis-je en train de protéger ? | Comment puis-je le protéger ? |
---|---|
Surveillance du trafic de voix |
|
Surveillance du trafic de fax |
|
Attaque contre une passerelle IP ou un PBX IP |
|
Appels longue distance non autorisés |
|
Refus d’attaque de service |
|
Une usurpation d'identité du proxy du protocole SIP (Session Initiation Protocol) |
|
Ecoute électronique et piraterie de session |
|
Plusieurs méthodes de sécurité indiquées dans le tableau précédent peuvent être utilisées pour protéger votre environnement de messagerie unifiée. Le service MTLS (Mutual Transport Layer Security) est l’un des principaux mécanismes de protection de votre infrastructure de messagerie unifiée et le trafic réseau généré par la messagerie unifiée.
Le service MTLS permet de chiffrer le trafic VoIP (Voice over IP) entre passerelles IP, PBX IP et les autres serveurs Exchange 2007, et les serveurs de messagerie unifiée sur votre réseau. La meilleure façon de protéger ces données est d’utiliser Mutual TLS pour chiffrer les données VoIP.
Toutefois, en fonction de la menace de sécurité, vous pouvez également configurer les stratégies IPSec pour activer le chiffrement des données entre les passerelles IP ou les PBX IP et un serveur de messagerie unifiée ou entre un serveur de messagerie unifiée et d'autres serveurs Exchange 2007 sur votre réseau. Dans certains environnements, il se peut que vous ne puissiez pas utiliser le protocole IPsec car celui-ci peut être indisponible ou non pris en charge sur les passerelles IP ou les PBX IP. En outre, IPsec entraîne une surcharge de traitement sur les ressources du système sur les serveurs de messagerie unifiée. En prenant en compte ces deux facteurs, le service MTLS est un meilleur choix pour la protection du trafic réseau VoIP dans votre environnement de messagerie unifiée.
Une fois le service MTLS correctement implémenté et configuré, le trafic VoIP entre les passerelles IP, les PBX IP et d'autres serveurs Exchange et les serveurs de messagerie unifiée est chiffré. Toutefois, lorsqu’il est impossible d’utiliser le service MTLS pour sécuriser le trafic échangé avec un serveur de messagerie unifiée (par exemple lorsqu'un serveur de messagerie unifiée communique avec un autre serveur sur votre réseau, tel qu'un contrôleur de domaine Active Directory ou un serveur de boîtes aux lettres Exchange 2007), d'autres types de chiffrement sont utilisés pour protéger les données. La figure suivante présente les méthodes de chiffrement qui permettent de protéger la messagerie unifiée.
Sécurité VoIP de MU
Types de certificats
Les certificats numériques sont des fichiers électroniques qui fonctionnent comme un passeport en ligne pour vérifier l'identité d'un utilisateur ou d'un ordinateur et permettent de créer un canal chiffré pour protéger les données. Un certificat est un relevé numérique émis par une autorité de certification (CA) qui authentifie l’identité du détenteur du certificat et permet aux parties de communiquer de manière sécurisée en utilisant le chiffrement. Ils peuvent être émis par une autorité de certification tierce approuvée telles que les services de certificats, ou peuvent être auto-signés. Chaque type de certificat a ses avantages et désavantages. Toutefois, les certificats ne peuvent jamais être falsifiés. Les certificats peuvent être émis pour une série de fonctions telles que l’authentification de l’utilisateur Web, l’authentification du serveur Web, le S/MIME, IPsec, TSL (Transport Layer Security) et la signature du code.
Un certificat lie une clé publique à l’identité de la personne, de l’ordinateur ou du service contenant la clé privée correspondante. Les clés publiques et privées permettent au lient et au serveur de chiffrer les données avant de leur transmission via le câble. Les certificats sont utilisés par plusieurs services de sécurité de clé publique et applications assurant une authentification, une intégrité des données, et sécurisant les communications via les réseaux tels que Internet. Pour les utilisateurs, les ordinateurs et les services basés surWindows, la confiance à une autorité de certification est établie lorsqu’il existe une copie de la racine du certificat dans la banque racine approuvée et lorsque le certificat contient un chemin d’accès de certification valide. Cela signifie qu'aucun certificat dans le chemin d'accès de certification n'a été révoqué ou atteint le délai d’expiration.
Les certificats numériques effectuent les actions suivantes :
Ils authentifient que leurs détenteurs—personnes, sites Web et même des ressources réseau telles que les routeurs—sont exactement ceux qu’ils prétendent être.
Ils protègent les données échangées en ligne du vol ou de la falsification.
Il existe trois options ou types de certificats pouvant être utilisés par la messagerie unifiée et les passerelles IP ou les PBX IP. Dans toutes les trois approches, la clé publique du détenteur de certificat fait partie du certificat de telle sorte que le serveur, l’utilisateur, le site Web ou autre ressource à l'autre bout puisse déchiffrer les messages. Seul l'exécuté du certificat est au courant de la clé privée. Chaque certificat a un attribut EnhancedKeyUsage défini sur ce certificat permettant d’indiquer son utilisation spécifique. Par exemple, l’utilisation peut être spécifiée uniquement pour l’authentification du serveur ou pour l’utilisation du système de fichiers de chiffrement. La messagerie unifiée utilise le certificat pour l’authentification du serveur et le chiffrement de données.
Certificats auto-signés
Un certificat auto-signé est un certificat signé par son propre créateur. L'objet et le nom du certificat correspondent. L'émetteur et l’objet sont définis sur les certificats auto-signés. Les certificats auto-signés ne requièrent pas la présence d’une autorité de certification de votre organisation ou d’un tiers. Vous devez configurer ces certificats de façon explicite et les copier dans le magasin de certificats racines approuvés pour chaque passerelle IP et PBX IP, les autres serveurs de messagerie unifiée et les autres ordinateurs Exchange 2007, s’ils doivent être approuvés par le serveur de messagerie unifiée ayant émis le certificat.
Si un certificat d’infrastructure à clé publique (PKI) ou de tiers est indisponible, le serveur de messagerie unifiée recherchera un certificat auto-signés dans le magasin de certificats local. S’il ne parvient pas à trouver un certificat d’infrastructure à clé publique ou tiers, il génère un certificat auto-signé pour le service MTLS. Toutefois, étant donné qu’il s’agit d’un certificat auto-signé, il n’est pas approuvé par les passerelles IP, les PBX IP ou les autres serveurs sur le réseau. Pour vous assurer que le certificat auto-signé est approuvé par les passerelles IP, les PBX IP ou les autres serveurs, vous devez importer le certificat auto-signé dans le magasin de certificats racines approuvés des passerelles et des serveurs. Une fois cette opération effectuée, lorsque le serveur de messagerie unifiée présente ce certificat auto-signé à la passerelle IP, au PBX IP ou au serveur, il peut vérifier que le certificat a été émis par une autorité approuvée car l'émetteur correspond à l'objet défini sur le certificat auto-signé.
Si vous n’utilisez que des certificats auto-signés, vous devez importer un seul certificat auto-signé pour chaque passerelle IP, PBX IP ou serveur. Dans les environnements réseau importants comptant un grand nombre de périphériques ou d'ordinateurs, il ne s'agit pas forcément d'un choix optimal pour l'implémentation du service MTLS. L’utilisation de certificats auto-signés dans un grand réseau d’entreprise n’évolue pas bien à cause de la charge administrative supplémentaire. Toutefois, la charge administrative n’est pas un problème si vous possédez plusieurs périphériques et que vous utilisez un certificat d'infrastructure à clé publique ou de commerce tiers. Car chaque périphérique dispose d’un certificat émis par la même autorité de certification racine approuvée. Posséder un certificat provenant de la même autorité racine approuvée garantit que toutes les passerelles IP, les IP PBX et autres serveurs approuvent le serveur de messagerie unifiée.
Pour que Mutual TLS fonctionne à l’aide de certificats auto-signés :
Prenez le certificat auto-signé du serveur de messagerie unifiée et importez-le dans le magasin de certificats racines approuvés sur chaque passerelle IP et IP PBX et sur d’autres serveurs avec lesquels le serveur de messagerie unifiée communiquera à l’aide de Mutual TLS.
Prenez le certificat auto-signé de chaque passerelle IP, IP PBX et autre serveur et importez-le dans le magasin de certificats racines approuvés du serveur de messagerie unifiée. Si vous utilisez un certificat basé d’infrastructure à clé publique ou de tiers, importez le certificat de l’autorité de certification dans le magasin de certificats racines approuvés sur tous les périphériques et serveurs.
Les certificats auto-signés ne sont souvent pas la meilleure option de certificat lorsque vous déployez une authentification Mutual TLS ou une authentification de certificats. Toutefois, les petites organisations avec un nombre limité de périphériques ou d’ordinateurs peuvent décider d’utiliser la méthode de certificats auto-signés car c’est la plus facile à configurer et la moins chère à utiliser lorsque vous implémentez Mutual TLS. Généralement, les organisations de petite taille décident de ne pas utiliser un certificat tiers ou d’installer leur propre infrastructure à clé publique pour émettre leurs propres certificats à cause des dépenses, du manque d’expérience et d’expertise de leurs administrateurs dans la création de leurs propre hiérarchie de certificats, ou pour les deux raisons. Le coût est minimal et l'installation simple lorsque vous utilisez des certificats auto-signés. Toutefois, l’établissement d’une infrastructure pour la gestion du cycle de vie du certificat, le renouvellement, la gestion fiable et la révocation est bien plus difficile avec des certificats auto-signés. Pour plus d'informations sur la création d'un certificat pour TLS, consultez la rubrique Création d’un certificat ou demande de certificat pour TLS.
infrastructure à clé publique
Une infrastructure à clé publique (PKI) est un système de certificats numériques, d'autorités de certification (les CA) et d'autorités d'enregistrement (les RA) qui permet de vérifier et d’authentifier la validité de chaque partie impliquée dans une transaction électronique à l’aide la cryptographie à clé publique. Lorsque vous implémentez une autorité de certification au sein d’une organisation utilisant Active Directory, vous fournissez une infrastructure pour une gestion du cycle de vie du certificat, un renouvellement, une gestion fiable et une révocation. Ces qualités permettent d’avoir une infrastructure robuste pour tous les certificats dans votre organisation. Toutefois, il existe un certain coût associé au déploiement de serveurs et d’infrastructures supplémentaires pour la création et la gestion de ces types de certificats.
Vous pouvez installer les services de certificats sur tous les serveurs du domaine. S vous obtenez des certificats d’une autorité de certification du domaine Windows, vous pouvez faire recours à l’autorité de certification pour la demande ou la signature de certificats pour vos propres serveurs ou ordinateurs sur votre réseau. Cela vous permet d’utiliser une infrastructure à clé publique qui ressemble à un fournisseur de certificats tiers, mais c'est plus économique. Bien que ces infrastructures à clé publique ne peuvent pas être déployées publiquement comme les autres types lorsqu’une infrastructure à clé publique est utilisée, une autorité de certification signe le certificat du demandeur en utilisant la clé privée et le demandeur est attesté. La clé publique de cette autorité de certification est fournie avec le certificat émis par l'autorité de certification. Toute personne détenant ce certificat de l’autorité de certification comme certificat racine peut utiliser la clé publique pour déchiffrer le certificat du demandeur et authentifier ce dernier.
Lorsque vous utilisez un certificat d'infrastructure à clé publique pour implémenter Mutual TLS, vous devez copier les certificats nécessaires vers les passerelles IP ou les IP PBX. Vous devez ensuite copier les certificats sur les passerelles IP ou IP PBX vers les serveurs de messagerie unifiée qui sont associés au plan de numérotation de MU qui a été configuré en mode sécurisé.
L’installation et la configuration pour l’utilisation de certificats d'infrastructure à clé publique et de certificats tiers sont semblables aux procédures que vous avez effectuées lors de l’importation et de l’exportation des certificats auto-signés. Toutefois, vous ne devez pas seulement installer le certificat d’ordinateur dans le magasin de certificats racines approuvés. Vous devez également importer ou copier le certificat racine approuvé pour l'infrastructure à clé publique dans le magasin de certificats racines approuvés sur les serveurs de messagerie unifiée et les passerelles IP et les IP PBX sur votre réseau.
Pour déployer Mutual TLS lorsque vous avez déjà déployé une infrastructure PKI, suivez ces étapes :
Créez une demande de certificat sur chaque passerelle IP ou PBX.
Copiez la demande de certificat à utiliser lors de la demande du certificat à partir de l'autorité de certification.
Demandez un certificat de l'autorité de certification en utilisant la demande de certificat. Enregistrez le certificat.
Importez le certificat que vous avez enregistré sur chaque périphérique ou ordinateur.
Téléchargez le certificat racine approuvé pour votre infrastructure à clé publique.
Importez le certificat racine approuvé à partir de votre infrastructure à clé publique sur chaque périphérique. Si vous importez le certificat racine approuvé sur un ordinateur Exchange 2007 exécutant le rôle de messagerie unifiée, vous pouvez également utiliser la stratégie de groupe pour importer le certificat racine approuvé dans le magasin de certificats racines approuvés sur le serveur de messagerie unifiée ou d’autres serveurs d’ Exchange 2007. Toutefois, ce processus permet également de configurer un serveur exécutant le rôle du serveur de messagerie unifiée.
Notes
Vous effectuerez les mêmes étapes si vous utilisez un certificat de commerce tiers pour implémenter Mutual TLS.
Pour plus d'informations sur les certificats et les infrastructures à clé publique, consultez les rubriques suivantes.
Pour plus d'informations sur les certificats, consultez la rubrique Infrastructure à clé publique pour Windows Server 2003.
Pour plus d'informations sur les meilleures pratiques concernant l'implémentation d'une Microsoft Windows Server 2003 infrastructure à clé publique, visitez le site sur les meilleures pratiques pour l'implémentation d'une infrastructure à clé publique Microsoft Windows Server 2003.
Pour plus d’informations sur la procédure de déploiement d’une infrastructure à clé publique d’ Windows, consultez la rubrique Guide des opérations d’infrastructure à clé publique de Windows Server 2003.
Autorités de certification de confiance tierces
Les certificats tiers ou commerciaux sont des certificats générés par un tiers ou une autorité de certification commerciale puis achetés pour utilisation sur vos serveurs de réseau. Un problème lié aux certificats auto-signés et basés sur une infrastructure à clé publique est que, comme ils ne sont pas approuvés, vous devez veiller à les importer dans le magasin de certificats racines approuvés sur les ordinateurs, les serveurs et les autres périphériques. Les certificats tiers ou commerciaux n’ont pas ce problème. La plupart des certificats commerciaux d’autorité de certification sont déjà approuvés car le certificat réside déjà dans le magasin de certificats racines approuvés. Etant donné que l’émetteur est approuvé, le certificat l’est également. L’utilisation des certificats tiers simplifie énormément le déploiement.
Pour les organisations de grande taille ou les organisations devant déployer publiquement les certificats, l’utilisation d’un certificat tiers ou commercial est la meilleure solution, même si le certificat a un coût. Les certificats commerciaux peuvent ne pas être la meilleure solution pour les petites et moyennes organisations. Vous pouvez décider d'utiliser l'une des autres options des certificats disponibles.
Selon la configuration de la passerelle IP ou IP PBX, vous devrez toujours importer le certificat tiers ou commercial vers le magasin de certificats approuvés sur les passerelles IP et les IP PBX pour pouvoir utiliser le certificat tiers pour Mutual TLS. Toutefois, dans certains cas, le certificat tiers est inclus dans le magasin de certificats racines approuvés sur votre serveur de messagerie unifiée et les autres ordinateurs Exchange 2007 au sein de votre organisation.
Les procédures que vous effectuez pour utiliser un certificat de commerce tiers afin d’activer Mutual TLS sont les mêmes que celles que vous effectuez lorsque vous utilisez un certificat d'infrastructure à clé publique. La seule différence est que vous n’avez pas besoin de générer un certificat d’infrastructure à clé publique étant donné que vous avez acheté un certificat chez un fournisseur de certificats commerciaux tiers, à importer dans le magasin de certificats racines approuvés sur les serveurs et périphériques sur votre réseau.
Configuration de Mutual TLS
Par défaut, lorsqu’un appel entrant est reçu d’une passerelle IP, le trafic VoIP n’est pas chiffré et n’utilise pas Mutual TLS. Toutefois, le paramètre de sécurité d’un serveur de messagerie unifiée est configuré sur le plan de commutation des appels de messagerie unifiée associé au serveur de messagerie unifiée. Pour activer le serveur de messagerie unifiée afin de communiquer en toute sécurité avec des passerelles IP, des IP PBX et autres serveurs Exchange 2007, vous devez utiliser la cmdlet Set-UMDialPlan pour configurer la sécurité VoIP sur le plan de numérotation de MU, puis activer Mutual TLS pour les serveurs de messagerie unifiée qui sont associés au plan de numérotation de MU.
Notes
Dans la version de publication (RTM) d’Exchange 2007, si le service de messagerie unifiée Microsoft Exchange est déjà en cours d’exécution et que vous ajoutez le serveur de messagerie unifiée à un plan de numérotation de MU, vous devez redémarrer le service de messagerie unifiée Microsoft Exchange afin que le paramètre de sécurité soit appliqué. Dans Exchange 2007 Service Pack 1 (SP1), vous n’avez pas à redémarrer le service de messagerie unifiée Microsoft Exchange si vous ajoutez le serveur de messagerie unifiée à un plan de numérotation de MU.
Après avoir activé la sécurité VoIP sur le plan de numérotation de MU, tous les serveurs de messagerie unifiée qui sont associés au plan de numérotation de MU peuvent communiquer de manière sécurisée. Toutefois, en fonction du type de certificat que vous utilisez pour activer le service MTLS, vous devez d’abord importer et exporter les certificats requis sur les serveurs de messagerie unifiée ainsi que les passerelles IP et les PBX. Une fois le ou les certificats requis importés sur le serveur de messagerie unifiée, vous devez redémarrer le service de messagerie unifiée Microsoft Exchange afin de pouvoir utiliser le certificat qui a ét?import?dans le but d’établir une connexion chiffrée avec les passerelles IP ou les IP PBX. Pour plus d’informations sur la façon d'importer et d’exporter des certificats, consultez la rubrique Importation et exportation de certificats.
Après l’importation et l’exportation réussie des certificats approuvés requis, la passerelle IP exigera un certificat du serveur de messagerie unifiée qui, à son tour, en exige un de la passerelle IP. L’échange de certificats approuvés entre la passerelle IP et le serveur de messagerie unifiée permet à ces deux éléments de communiquer via une connexion chiffrée à l’aide de Mutual TLS. Lorsqu’un appel entrant est reçu par une passerelle IP ou IP PBX, il déclenche un échange de certificat et il négocie la sécurité en utilisant Mutual TLS avec le serveur de messagerie unifiée. Le service de messagerie unifiée Microsoft Exchange n’est pas impliqué dans le processus d’échange de certificats ni dans la détermination de la validité du certificat. Toutefois, si un certificat approuvé ne peut pas être localisé sur un serveur de messagerie unifiée, si un certificat approuvé est trouvé mais n’est pas valide ou si un appel est rejeté à cause d’un échec de négociation de Mutual TLS, alors le serveur de messagerie unifiée recevra une notification du service de messagerie unifiée Microsoft Exchange.
Bien que le service de messagerie unifiée Microsoft Exchange ne participe pas à l’échange de certificats entre le serveur de messagerie unifiée et les passerelles IP, le service de messagerie unifiée Microsoft Exchange effectue les actions suivantes :
Il fournit une liste des noms de domaine complet (FQDN) au service de reconnaissance vocale Microsoft Exchange afin que les appels uniquement à partir des passerelles IP ou des IP PBX qui sont compris dans la liste soient acceptés.
Il transmet les attributs issuerName et SerialNumber d’un certificat au service de reconnaissance vocale Microsoft Exchange. Ces attributs identifient de manière unique le certificat que le serveur de messagerie unifiée utilisera lorsqu'une passerelle IP ou IP PBX demande un certificat.
Une fois que l’échange de clé entre le serveur de messagerie unifiée et les passerelles IP ou les IP PBX a été effectué afin d’établir une connexion chiffrée à l’aide de Mutual TLS, les serveurs de messagerie unifiée communiqueront avec les passerelles IP et les IP PBX à l’aide d’une connexion chiffrée. Les serveurs de messagerie unifiée communiqueront également avec d’autres serveurs Exchange 2007, tels que des serveurs d’accès au client et des serveurs de transport Hub, à l’aide d’une connexion chiffrée qui utilise Mutual TLS. Toutefois, Mutual TLS sera seulement utilisé pour chiffrer le trafic ou des messages qui sont envoyés depuis le serveur de messagerie unifiée vers un serveur de transport Hub.
Important : |
---|
Pour activer MTLS entre une passerelle IP de messagerie unifiée et un plan de commutation des appels opérant en mode sécurisé, vous devez commencer par configurer la passerelle IP de messagerie unifiée avec un nom de domaine complet et la configurer pour écouter sur le port 5061. Pour configurer une passerelle IP de messagerie unifiée, exécutez la commande suivante : Set-UMIPGateway -identity MyUMIPGateway -Port 5061. |
IPsec
IPsec utilise également les certificats pour chiffrer les données. Il fournit une ligne principale de défense contre les attaques de réseau privé et Internet.
Les objectifs de IPsec sont les suivantes :
Protéger le contenu des paquets IP.
Assurer la défense contre les attaques de réseau à travers le filtrage de paquets et l'application d'une communication approuvée.
IPsec est un cadre de normes ouvertes permettant d’assurer la sécurisation des communications privées sur les réseaux IP à l'aide des services de sécurité de chiffrement.
IPsec utilise les services de protection de chiffrement, les protocoles de sécurité et le gestionnaire de clés dynamique. Il fournit le niveau de chiffrement et la flexibilité pour la protection des communications entre les ordinateurs de réseau privé, les domaines, les sites, les sites distants, les extranets et les clients d’accès à distance. Il peut également être utilisé pour bloquer le reçu ou la transmission de types spécifiques de trafic.
IPsec est basée un modèle de sécurité de bout en bout établissant la confiance et la sécurité d’une adresse IP source à une adresse IP de destination. L’adresse IP ne doit pas être considérée comme une identité. Par contre, le système derrière l’adresse IP a une identité validée à travers le processus d'authentification. Les seuls ordinateurs qui doivent être informés du trafic sécurisé sont les ordinateurs d’envoi et de réception. Chaque ordinateur gère la sécurité à son bout respectif et fonctionne sur l’hypothèse que le support permettant la communication n’est pas sécurisé. Les ordinateurs acheminant les données uniquement de la source à la destination ne sont pas requis pour prendre en charge l’IPsec, à moins que le filtrage de paquets de type pare-feu ou la conversion d’adresse de réseau s’effectue entre les deux ordinateurs. Cela permet à l’IPsec de se déployer correctement pour les scénarios d’organisation suivants :
LAN : Client-à-serveur, serveur-à-serveur et serveur-à-périphérique VoIP
WAN : Routeur-à-routeur et passerelle-à-passerelle
Accès à distance : Clients distants et accès par Internet à partir des réseaux privés.
En général, les deux côtés nécessitent une configuration IPsec afin de définir des options et des paramètres de sécurité qui permettront aux deux systèmes de s’accorder sur la sécurisation du trafic. Ceci est une stratégie Ipsec. Microsoft Windows 2000 Server, Windows XP et les implémentations de la suite Windows Server 2003 sont basées sur les normes industrielles développées par le groupe de travail IPsec de l'IETF (Internet Engineering Task Force). Une partie des services liés au protocole IPsec a été développée conjointement par Microsoft et Cisco Systems, Inc. Pour plus d'informations sur la procédure de configuration des stratégies IPsec, consultez la page relative à la création, la modification et l’affectation des stratégies IPsec.
Pour plus d'informations sur IPsec, consultez l'article Concepts IPsec.
Attention : |
---|
Si vous avez actuellement des stratégies IPsec implémentées sur votre réseau, vous devez exclure les passerelles IP et les IP PBX de la stratégie IPsec. Si vous ne le faites pas, pour toutes les 3 secondes d’un message vocal, il y aura 1 seconde d'interruption de la transmission de la voix. Il existe une erreur connue et un correctif pour Microsoft Windows Server 2003. Pour plus d'informations sur ce correctif, consultez la rubrique sur la procédure de simplification de la création et de la maintenance des filtres de sécurité du protocole Internet (IPsec) dans Windows Server 2003 et Windows XP. |
Plans de numérotation de MU et sécurité VoIP dans Exchange 2007 RTM
La messagerie unifiée peut communiquer avec des passerelles IP, des IP PBX et d’autres ordinateurs Exchange 2007 via le chiffrement. Toutefois, cela dépend de la façon dont le plan de numérotation de MU a été configuré. Par défaut, les plans de numérotation de MU n’utilisent pas le chiffrement pour protéger le trafic VoIP. Vous pouvez utiliser la cmdlet Get-UMDialPlan dans l'environnement de ligne de commande Exchange Management Shell pour déterminer les paramètres de sécurité d’un plan de commutation des appels de messagerie unifiée. Si le paramètre de sécurité a été activé, vous pouvez vérifier que le service de messagerie unifiée Microsoft Exchange a démarré en mode sécurisé en vérifiant le journal des mouvements d’application pour vous assurer si les mouvements d'information chiffrés 1114 et 1112 ont été connectés.
Par défaut, les plans de commutation des appels de messagerie unifiée et les serveurs de messagerie unifiée associés au plan de commutation des appels de messagerie unifiée envoient et reçoivent les données sans utiliser de chiffrement. Par conséquent, ils sont configurés en mode non sécurisé En mode non sécurisé, le trafic VoIP et SIP ne sont pas chiffrés. Toutefois, les plans de commutation des appels et le serveur de messagerie unifiée associé au plan de commutation des appels de messagerie unifiée peuvent être configures en utilisant le paramètre VoIPSecurity. Le paramètre VoIPSecurity configure le plan de commutation des appels pour chiffrer le trafic VoIP et SIP à l’aide du service MTLS.
La messagerie unifiée utilise les protocoles VoIP RTP (Realtime Transport Protocol) et SIP pour communiquer avec les autres périphériques et serveurs. Lorsque vous configurez un plan de commutation des appels de messagerie unifiée pour utiliser la sécurité VoIP en mode sécurisé, le canal de signalisation est chiffré. Le canal de signalisation SIP peut utiliser SIP qui est sécurisé à l’aide de Mutual TLS. Toutefois, les canaux de support utilisant RTP utilisent TCP (Transmission Control Protocol) qui est non sécurisé.
Notes
Un canal de signalisation sécurisé utilisant SRTP (Secure Realtime Transport Protocol) utilise également Mutual TLS pour chiffrer les données VoIP. SRTP n’est pas disponible pour cette version du produit. Toutefois, la prise en charge de SRTP sera disponible dans une prochaine version. Cela signifie que les données SIP et les canaux de support utilisés par la messagerie unifiée Exchange 2007 sont tous les deux chiffrés.
Après avoir créé un plan de commutation des appels de messagerie unifiée, vous devez utiliser la cmdlet Set-UMDialPlan pour définir le mode de sécurité VoIP. Lorsque vous configurez le plan de commutation des appels de messagerie unifiée pour utiliser la sécurité VoIP, les serveurs associés au plan de commutation des appels de messagerie unifiée utilisent le mode sécurisé ou de chiffrement. Toutefois, pour qu’un serveur de messagerie unifiée puisse recevoir et envoyer des données chiffrées, vous devez configurer correctement le plan de numérotation de MU et les périphériques de telle façon que les passerelles IP ou les IP PBX puissent prendre en charge Mutual TLS.
Un serveur de messagerie unifiée peut être associé à un ou plusieurs plans de commutation des appels de MU. Toutefois, un seul serveur de messagerie unifiée peut utiliser MTLS (sécurisé) ou TCP (non sécurisé), mais pas les deux. Il s’agit d’une limitation de la pile de signalisation SIP. Par conséquent, un seul serveur de messagerie unifiée peut être associé à un grand nombre de plans de commutation des appels ayant la même configuration de sécurité.
Par défaut, lorsqu'un plan de commutation des appels est créé, il utilise un mode non sécurisé ou aucun chiffrement. Toutefois, si vous possédez un serveur de messagerie unifiée qui est associé à un plan de numérotation de MU qui a été configuré pour utiliser Mutual TLS afin de chiffrer le trafic VoIP, et que vous devez désactiver la sécurité VoIP pour le plan de numérotation, alors vous devez effectuer les étapes suivantes :
Supprimez tous les serveurs de messagerie unifiée à partir du plan de commutation des appels de messagerie unifié actuellement en cours d'exécution en mode sécurisé.
Utilisez la cmdlet Set-UMDialPlan pour définir le plan de commutation des appels en mode non sécurisé.
Associez les serveurs de messagerie unifiée au plan de commutation des appels actuellement en cours d’exécution en mode non sécurisé.
Important : |
---|
Si vous configurez Mutual TLS pour chiffrer les données échangées entre une passerelle IP Dialogic 2000 ou 4000, vous devez utiliser le modèle de certificat d'ordinateur V3 qui prend en charge l'authentification du serveur et du client. Le modèle de certificat de serveur Web qui prend en charge l'authentification du serveur fonctionne uniquement avec les passerelles IP Dialogic 1000 et 3000, les passerelles IP AudioCodes et Microsoft Office Communications Server 2007. |
Nouveautés d'Exchange 2007 SP1
Les serveurs de messagerie unifiée sur lesquels est installé Exchange 2007 SP1 peuvent communiquer avec des passerelles IP, des PBX IP et d'autres ordinateurs Exchange 2007 en mode non sécurisé, SIP sécurisé ou sécurisé, en fonction de la configuration du plan de numérotation de messagerie unifiée. Un serveur de messagerie unifiée peut fonctionner dans tout mode configuré sur un plan de numérotation car il est configuré pour écouter le port TCP 5060 pour les demandes non sécurisées et le port TCP 5061 pour les demandes sécurisées, simultanément. Un serveur de messagerie unifié peut être associé à un ou plusieurs plans de numérotation de MU et peut être associé à des plans de numérotation qui possèdent des paramètres de sécurité VoIP différents. Un seul serveur de messagerie unifiée peut être associé à des plans de numérotation qui sont configurés pour utiliser une combinaison de mode Non sécurisé, SIP sécurisé ou Sécurisé.
Par défaut, lorsque vous créez un plan de numérotation de MU, il communique en mode Non sécurisé et les serveurs de messagerie unifiée associés au plan de numérotation de MU envoient et reçoivent des données des passerelles IP, des IP PBX et d'autres ordinateurs Exchange 2007 qui n'utilisent pas le chiffrement. Dans le mode Non sécurisé, le canal de support RTP (Realtime Transport Protocol) et les informations de signalisation SIP ne seront pas chiffrés.
Vous pouvez configurer un serveur de messagerie unifiée afin qu’il utilise Mutual TLS pour chiffrer le trafic SIP et RTP qui est envoyé et reçu à partir d’autres périphériques et serveurs. Lorsque vous ajoutez un serveur de messagerie unifiée à un plan de numérotation de MU et que vous configurez le plan de numérotation afin qu’il utilise le mode SIP sécurisé, seul le trafic de signalisation SIP sera chiffré et les canaux de support RTP continueront d’utiliser le protocole TCP(Transmission Control Protocol). Le protocole TCP n’est pas chiffré. Toutefois, si vous ajoutez un serveur de messagerie unifiée à un plan de numérotation de MU et que vous configurez le plan de numérotation afin qu’il utilise le mode Sécurisé, le trafic de signalisation SIP et les canaux de support RTP seront chiffrés. Un canal de signalisation sécurisé utilisant SRTP (Secure Realtime Transport Protocol) utilise également Mutual TLS pour chiffrer les données VoIP.
Vous pouvez configurer le mode de sécurité VoIP soit lorsque vous créez un nouveau plan de numérotation ou bien après avoir créé un plan de numérotation à l’aide de la console de gestion Exchange ou de la cmdlet Set-UMDialPlan. Lorsque vous configurez le plan de numérotation de MU afin qu’il utilise le mode SIP sécurisé ou Sécurisé, les serveurs de messagerie unifiée qui sont associés au plan de numérotation de MU chiffrent le trafic de signalisation SIP ou les canaux de support RTP, ou bien les deux. Toutefois, pour qu’un serveur de messagerie unifiée puisse recevoir et envoyer des données chiffrées, vous devez configurer correctement le plan de numérotation de MU et les périphériques de telle façon que les passerelles IP ou les IP PBX puissent prendre en charge Mutual TLS.
Procédures de définition et de sélection du mode de sécurité et des certificats par la messagerie unifiée
Lorsque le service de messagerie unifiée Microsoft Exchange démarre, il vérifie le plan de numérotation de MU associé et le paramètre VoipSecurity, puis il choisit s'il doit d?arrer en mode s?uris?ou non s?uris? S’il choisit de démarrer en mode sécurisé, il détermine alors s'il a accès aux certificats requis. Si le serveur de messagerie unifiée n’est associé à aucun plan de numérotation de MU, il détermine le mode avec lequel il va démarrer en regardant le paramètre StartSecured dans le fichier UMRecyclerConfig.xml. Ce paramètre peut être défini sur 0 ou 1. La valeur 1 démarre le serveur de messagerie unifiée via le chiffrement pour protéger le trafic VoIP. La valeur 0 démarre le serveur, mais le chiffrement n’est pas utilisé pour protéger le trafic VoIP. Si vous voulez modifier le comportement de démarrage du serveur de messagerie unifiée en passant du mode sécurisé au mode non sécurisé, ou vice versa, vous pouvez associer le serveur aux plans de commutation des appels de messagerie unifiée appropriés, puis redémarrer le serveur de messagerie unifiée. Vous pouvez également modifier le paramètre de configuration dans le fichier de configuration UMRecyclerConfig.xml, puis redémarrer le service de messagerie unifiée Microsoft Exchange.
Si le service de messagerie unifiée Microsoft Exchange est démarré en mode non sécurisé, il démarrera correctement. Toutefois, assurez-vous que les passerelles IP et les IP PBX sont ?alement ex?ut?s en mode non s?uris? Aussi, si vous testez la connectivité du serveur de messagerie unifiée en mode non sécurisé, utilisez la cmdlet Test-UMConnectivity avec le paramètre -Secured:false .
Si le service de messagerie unifiée Microsoft Exchange est démarré en mode sécurisé, il interrogera le magasin de certificats local afin de trouver un certificat valide à utiliser pour que Mutual TLS puisse activer le chiffrement. Le service recherche d’abord une infrastructure à clé publique valide ou un certificat commercial puis, si un certificat approprié n'est pas trouvé, il recherche un certificat auto-signé qu'il utilise. Si aucun certificat d’infrastructure à clé publique, commercial ou auto-signé n’est trouvé, le service de messagerie unifiée Microsoft Exchange créera un certificat auto-signé à utiliser afin de démarrer en mode Sécurisé. Si le serveur de messagerie unifiée est démarré en mode non sécurisé, aucun certificat n’est nécessaire.
Tous les détails du certificat utilisé pour démarrer en mode sécurisé sont journalisés à chaque fois qu’un certificat est utilisé ou s’il a changé. Les détails consignés sont les suivants :
Nom de l’émetteur
Numéro de série
Thumbprint
L’empreinte est le hachage de l’algorithme de hachage sécurisé (SHA1) et peut être utilisé pour identifier de manière unique le certificat utilisé. Vous pouvez alors exporter le certificat utilisé par le service de messagerie unifiée Microsoft Exchange pour démarrer en mode sécurisé depuis le magasin de certificats local, puis importer ce certificat sur les passerelles IP et les IP PBX sur votre réseau vers le magasin de certificats approuvés.
Après qu’un certificat approprié a été trouvé et est utilisé et qu’aucun changement supplémentaire ne survient, le service de messagerie unifiée Microsoft Exchange journalise un évènement un mois avant l'expiration du certificat utilisé. Si vous n’apportez aucun changement au certificat pendant ce moment, le service de messagerie unifiée Microsoft Exchange journalise un évènement chaque jour jusqu’à l’expiration du certificat et chaque jour après l’expiration du certificat.
Lorsque le serveur de messagerie unifiée recherche un certificat à utiliser afin que Mutual TLS établisse un canal chiffré, il cherche dans le magasin de certificats racines approuvés. S’il existe un grand nombre de certificats valides et de différents utilisateurs, le serveur de messagerie unifiée choisit le certificat valide avec le maximum de temps avant l’expiration. S’il existe un grand nombre de certificats, le serveur de messagerie unifiée choisit les certificats d'émetteur et la date d'expiration du certificat. Le serveur de messagerie unifiée recherche un certificat valide dans l'ordre qui suit :
Certificat d’infrastructure à clé publique ou commercial avec la plus longue période d’expiration.
Certificat d’infrastructure à clé publique ou commercial avec la plus courte période d’expiration.
Certificat auto-signé avec la plus longue période d'expiration.
Certificat auto-signé avec la plus longue courte d'expiration.
Important
Lorsqu'un nouveau certificat est installé sur un serveur d'accès au client utilisé pour chiffrer les données Émettre au téléphone entre le serveur d'accès au client et un serveur de messagerie unifiée, vous devez exécuter la commande IISreset à partir d'une invite de commandes pour charger le certificat correct.
Nouveautés d'Exchange 2007 SP1
Le fichier UMRecyclerConfig.xml ne contient plus de paramètre de sécurité pour un serveur de messagerie unifiée. Dans Exchange 2007 SP1, un serveur de messagerie unifiée peut fonctionner en mode Non sécurisé, SIP sécurisé et Sécurisé simultanément.
Un serveur de messagerie unifiée peut être associé à des plans de numérotation de MU qui possèdent des paramètres de sécurité différents.
Il n’est plus demandé de redémarrer le service de messagerie unifiée Microsoft Exchange si le serveur de messagerie unifiée est déplacé d’un plan de numérotation avec un paramètre de sécurité spécifique vers un plan de numérotation différent avec un paramètre de sécurité différent.
Un certificat commercial, d’infrastructure à clé unique ou auto-signé valide est requis. Si aucun certificat valide n’est trouvé, le serveur de messagerie unifiée générera un certificat auto-signé. Le serveur de messagerie unifiée a besoin d’un certificat valide pour chiffrer le trafic VoIP lorsqu’il fonctionne en mode SIP Sécurisé ou Sécurisé.
Pour plus d'informations
Pour plus d'informations sur le démarrage du service de messagerie unifiée Microsoft Exchange, consultez la rubrique Procédure de démarrage du service de messagerie unifiée Microsoft Exchange.
Pour plus d'informations sur l'arrêt du service de messagerie unifiée Microsoft Exchange, consultez la rubrique Procédure d'arrêt du service de messagerie unifiée Microsoft Exchange.
Pour plus d’informations sur la façon de configurer un plan de numérotation de MU afin qu’il utilise le mode Sécurisé, consultez la rubrique Set-UMDialplan.
Pour plus d'informations sur les passerelles IP prises en charge, consultez la rubrique Passerelles IP/VoIP prises en charge.
Pour plus d'informations sur la prise en charge des PBX IP et PBX, consultez la rubrique Prise en charge d'IP/PBX et de PBX.
Pour plus d'informations sur l'association d'un serveur de messagerie unifiée à un plan de commutation des appels de messagerie unifiée, consultez la rubrique Procédure d'ajout d'un serveur de messagerie unifiée à un plan de numérotation.