Verschlüsselung und Sicherheit

Die unterschiedlichen Dienste Ihrer IPTAM® PBX können optional verschlüsselt kommunizieren. Die Verschlüsselung setzt dabei auf sogenannte digitale Zertifikate. Nachdem Sie das für die Verschlüsselung erforderliche Zertifikat eingerichtet haben, können sie für jeden Dienst einstellen, ob die Verschlüsselung angeboten wird bzw. zum Einsatz kommt (s.u.).

Verschlüsselung einrichten

Der Einsatz von Verschlüsselung setzt ein digitales Zertifikat voraus. Ein solches Zertifikat kombiniert einen privaten und einen öffentlichen Schlüssel mit einer Signatur (digitale Unterschrift). Im Normalfall wird ein Zertifikat von einem vertrauenswürdigen Dritten (Certificate Authority, CA) digital unterschrieben. Die Unterschrift kann aber auch durch den Aussteller erfolgen (Selbstsigniertes Zertifikat). Ein Client, der eine verschlüsselte Verbindung zu einem Serverdienst aufbaut, prüft die Gültigkeit des Zertifikats und der Unterschrift. Für diese Prüfung wird eine Liste bekannter Zertifizierungsstellen (CAs) herangezogen. Bei selbstsignierten Zertifikaten oder solchen, deren Signatur zu keiner bekannten CA zurückverfolgt werden kann, muss dem Client das Zertifikat bzw. die ausstellende CA manuell bekannt gemacht werden.

Image Die Einstellungen zur Verschlüsselung finden Sie im Menü System►Verschlüsselung. Wie Sie der nebenstehenden Abbildung entnehmen können, haben Sie die Wahl. Verwenden Sie:

Web-Oberfläche per HTTPS nutzen

Nach der Installation Ihrer IPTAM® PBX ist bereits ein selbstigniertes Zertifikat mit einer kurzen Gültigkeit eingerichtet. Nachdem Sie die Verschlüsselung wie oben beschrieben eingerichtet haben, wird das neu eingerichtete Zertifikat verwendet. Sie können die Nutzung von HTTPS auch deaktivieren.

Verschlüsselte Telefonie (extern)

Wenn Sie Internet Telefonie für die Anbindung an das öffentliche Netz verwenden und Ihr Provider die Verschlüsselung anbietet, können Sie hier die Checkbox „SIP via TLS / SRTP (extern) nutzen“ aktivieren. Wenn Ihr Provider ein durch eine bekannte CA unterschriebenes Zertifikat verwendet, sollten Sie zusätzlich den Haken bei „Nur gültige Zertifikate akzeptieren“ setzen. Sie müssen die Option hingegen deaktivieren, wenn das Zertifikat ein Wildcard-ZertifikatDas Zertifikat lautet auf keinen spezifischen Namen sondern auf einen Namen wie *.sip.provider.de
ist, das bei SIP nicht eingesetzt werden kann. Wenn Sie die Verschlüsselung für externe Telefonie aktivieren, wird Ihnen bei der Einrichtung des SIP-Providers auch „TLS“ angeboten. Wählen Sie hier dann „TLS“ aus. Falls Sie den Port beim SIP-Provider manuell festlegen müssen, verwenden Sie (wenn nichts anderes vorgegeben wurde) den Standardport 5061.

Verschlüsselte Telefonie (intern)

Image Die IPTAM® PBX unterstützt verschlüsselte Telefonie bei interner Kommunikation. Wenn Sie diese einsetzen wollen, aktivieren Sie die Checkbox „SIP via TLS / SRTP (intern) nutzen“. Sofern beim Aktivieren der Einstellung Anwender angelegt sind erscheint die rechts dargestellte Hinweisbox. Sie können dort festlegen, ob alle Anwender zunächst verschlüsselt oder unverschlüsselt kommunizieren sollen. Sie können die Einstellung später bei jedem Anwender individuell konfigurieren.

Nach dem Schließen der Dialogbox vergessen Sie nicht, auf „ Speichern“ zu klicken. In der Übersicht der Anwender sehen Sie in der Spalte TLS, welche Option für die Anwender jewils gewählt ist.

Nach dem Speichern kontrollieren Sie auf der Diagnose-Seite, ob sich die Telefone neu registriert haben und die korrekte Kommunikation (TLS oder kein TLS) nutzen. Unter Umständen müssen Sie einige Telefone neu starten.

Wenn ein Endgerät keine Verschlüsselung unterstützt, können Sie unter TK-Anlage►Anwender , „Ändern“ die Verschlüsselung bei diesem Anwender deaktivieren.

Beachten Sie beim Aktivieren der Verschlüsselung den Einfluss auf die Infrastruktur: Bei einem unverschlüsselten internen Telefonat verläuft die Signalisierung vom A-Teilnehmer über die IPTAM® PBX zum B-Teilnehmer. Der Mediendatenstrom verläuft jedoch direkt vom A- zum B-Teilnehmer und zurück. Bei verschlüsselter Telefonie verlaufen beide Datenströme immer über die IPTAM® PBX. Dort werden die Mediendaten entschlüsselt und wieder neu verschlüsselt. Bei Einsatz von Verschlüsselung ergibt sich so ein höherer Datenverkehr am Sternpunkt Telefonanlage und eine höhere Rechenlast dort.

Verschlüsselung für LDAP-Server

Sofern Sie den LDAP-Server für das Telefonbuch aktiviert haben, können Sie hier wählen, ob eine Verschlüsselung genutzt werden kann. Dabei haben Sie folgende Optionen.
  • Keine Verschlüsselung, der LDAP Server nutzt Port 389
  • Verschlüsselte Verbindung über Port 389 (durch StartTLS wird die unverschlüsselte Verbindung auf Verschlüsselung geschaltet
  • Verschlüsselte Verbindungen nutzen den separaten Port 636

Verschlüsselung beim Instant Messaging

Falls Sie den Instant Messaging Server der IPTAM® PBX aktiviert haben, wird Ihnen auf der Seite System►Verschlüsselung auch die Option angeboten, den Datenverkehr des IM-Server mit den Clients zu verschlüsseln. Durch das Setzen der entsprechenden Option wird der Server beim Verbindungsaufbau die Option „STARTTLS“ anbieten. Clients, die dies unterstützen verwenden dann eine verschlüsselte Verbindung zum IM-Server und werden dies je nach Client auch anzeigen.