Verschlüsselung und Sicherheit

Die unterschiedlichen Dienste Ihrer IPTAM^® PBX können optional verschlüsselt kommunizieren. Die Verschlüsselung setzt dabei auf sogenannte digitale Zertifikate. Nachdem Sie das für die Verschlüsselung erforderliche Zertifikat eingerichtet haben (s.u.), können sie für jeden Dienst einstellen, ob die Verschlüsselung angeboten wird bzw. zum Einsatz kommt.

Bei interner Telefonie kann das erforderliche SIP-Passwort manuell eingestellt werden oder Sie können das Passwort automatisch generieren lassen. In diesem Fall können Sie sich das generierte Passwort bei den Anwendereinstellungen anzeigen lassen.

Verschlüsselung einrichten

Der Einsatz von Verschlüsselung setzt ein digitales Zertifikat voraus. Ein solches Zertifikat kombiniert einen privaten und einen öffentlichen Schlüssel mit einer Signatur (digitale Unterschrift). Im Normalfall wird ein Zertifikat von einem vertrauenswürdigen Dritten (Certificate Authority, CA) digital unterschrieben. Die Unterschrift kann aber auch durch den Aussteller erfolgen (Selbstsigniertes Zertifikat). Ein Client, der eine verschlüsselte Verbindung zu einem Serverdienst aufbaut, prüft die Gültigkeit des Zertifikats und der Unterschrift. Für diese Prüfung wird eine Liste bekannter Zertifizierungsstellen (CAs) herangezogen. Bei selbstsignierten Zertifikaten oder solchen, deren Signatur zu keiner bekannten CA zurückverfolgt werden kann, muss dem Client das Zertifikat bzw. die ausstellende CA manuell bekannt gemacht werden.

Die Einstellungen zur Verschlüsselung finden Sie im Menü System►Verschlüsselung. Wie Sie der nebenstehenden Abbildung entnehmen können, haben Sie die Wahl, ein selbstsigniertes Zertifikat einzusetzen, ein durch die integrierte CA unterschriebenes Zertifikat zu verwenden oder ein Zertifikat zu nutzen, das durch eine externe CA signiert wurde. Folgen Sie einem der Links für die konkrete Konfiguration.

Web-Oberfläche per HTTPS nutzen

Nach der Installation Ihrer IPTAM^® PBX ist bereits ein selbstigniertes Zertifikat mit einer kurzen Gültigkeit eingerichtet. Nachdem Sie die Verschlüsselung wie oben beschrieben eingerichtet haben, wird das neu eingerichtete Zertifikat verwendet. Sie können die Nutzung von HTTPS auch deaktivieren..

Sicherheitseinstellungen zur Telefonie

Unabhängig von der Verschlüsselung können Sie wählen, ob das Passwort für die SIP-Kommunikation manuell vergeben oder automatisch generiert werden soll. Bei der Einstellung „Manuell“ legen Sie bei jedem Anwender unter TK-Anlage►Anwender das SIP-Passwort fest. Gerade wenn Sie die Telefone durch die IPTAM^® PBX automatisch einrichten lassen (Provisionieren), benötigt niemand außerhalb die Kenntnis der SIP-Passwörter. In diesem Fall können Sie die Einstellung „automatisch“ wählen. Sollten Sie im Einzelfall ein Passwort benötigen (z.B. bei der Einrichtung eines Softphones), können Sie es sich unter TK-Anlage►Anwender anzeigen lassen. Wenn bereits Anwender eingerichtet sind und Sie diese Einstellung ändern, gilt folgendes:

Wechsel von „manuell“ auf „automatisch“

Sie können wählen, ob für alle vorhandenen Anwender neue Passwörter generiert werden sollen oder nur für Anwender, die kein Passwort gesetzt haben. Nach dem Speichern werden die Telefonkonfigurationen aktualisiert.

Wechsel von „automatisch“ auf „manuell“

Die vorhandenen Passwörter werden nicht verändert und die Telefone werden nicht neu konfiguriert. Sie funktionieren somit unverändert weiter.

Verschlüsselte Telefonie (extern)

Wenn Sie Internet Telefonie für die Anbindung an das öffentliche Netz verwenden und Ihr Provider die Verschlüsselung anbietet, können Sie hier die Checkbox „SIP via TLS / SRTP (extern) nutzen“ aktivieren. Wenn Ihr Provider ein durch eine bekannte CA unterschriebenes Zertifikat verwendet, sollten Sie zusätzlich den Haken bei „Nur gültige Zertifikate akzeptieren“ setzen. Wenn Sie die Verschlüsselung für externe Telefonie aktivieren, wird Ihnen bei der Einrichtung des SIP-Providers auch TLS angeboten. Wählen Sie hier dann TLS aus und setzen Sie den korrekten Port (5061, wenn Sie nichts gegenteiliges von Ihrem Provider erfahren haben).

Verschlüsselte Telefonie (intern)

Die IPTAM^® PBX unterstützt verschlüsselte Telefonie bei interner Kommunikation. Wenn Sie diese einsetzen wollen, aktivieren Sie die Checkbox „SIP via TLS / SRTP (intern) nutzen“. Wenn zu diesem Zeitpunkt bereits Telefone in Betrieb sind, müssen Sie diese unter Umständen neu starten. Einige Telefonmodelle unterstützen keine Verschlüsslung in Verbindung mit der IPTAM^® PBX. Sie können unter Diagnose►SIP Registry in der Spalte „TLS“ sehen, bei welchen Telefonen die Verschlüsselung aktiv ist. Wenn ein Endgerät keine Verschlüsselung unterstützt, können Sie unter TK-Anlage►Anwender , „Ändern“ die Verschlüsselung bei diesem Anwender deaktivieren.
Beachten Sie beim Aktivieren der Verschlüsselung den Einfluss auf die Infrastruktur: Bei einem unverschlüsselten internen Telefonat verläuft die Signalisierung vom A-Teilnehmer über die IPTAM^® PBX zum B-Teilnehmer. Der Mediendatenstrom verläuft jedoch direkt vom A- zum B-Teilnehmer und zurück. Bei verschlüsselter Telefonie verlaufen beide Datenströme immer über die IPTAM^® PBX. Dort werden die Mediendaten entschlüsselt und wieder neu verschlüsselt. Bei Einsatz von Verschlüsselung ergibt sich so ein höherer Datenverkehr am Sternpunkt Telefonanlage und eine höhere Rechenlast dort.

Verschlüsselung beim Instant Messaging

Falls Sie den Instant Messaging Server der IPTAM^® PBX aktiviert haben, wird Ihnen auf der Seite System ►Verschlüsselung auch die Option angeboten, den Datenverkehr des IM-Server mit den Cleints zu verschlüsseln. Durch das Setzen der entsprechenden Option wird der Server beim Verbindungsaufbau die Option „STARTTLS“ anbieten. Clients, die dies unterstützen verwenden dann eine verschlüsselte Verbindung zum IM-Server und werden dies je nach Client auch anzeigen.