This shows you the differences between two versions of the page.
Both sides previous revisionPrevious revisionNext revision | Previous revisionNext revisionBoth sides next revision | ||
srtp [2018/04/30 19:11] – [Odorik TLS/SRTP] root | srtp [2018/10/16 20:34] – [Zoiper] root | ||
---|---|---|---|
Line 1: | Line 1: | ||
====== Odorik TLS/SRTP ====== | ====== Odorik TLS/SRTP ====== | ||
- | Bez použití šifrování je relativně snadné odposlouchávat hovory, pokud je pro hovor použité Wifi připojení k internetu (útočníkovi se musí dozvědět heslo, to by ale neměl být větší problém), nebo pokud má útočník fyzicky přístup do lokální ethernetové sítě | + | Bez použití šifrování je relativně snadné odposlouchávat hovory, pokud je pro hovor použité Wifi připojení k internetu (útočníkovi se musí dozvědět heslo, to by ale neměl být větší problém), nebo pokud má útočník fyzicky přístup do lokální ethernetové sítě |
- | Odposlechnout naproti tomu není možné SIP jméno a SIP heslo ani v případě nešifrovaného hovoru. | + | Pro šifrování hovorů i signalizace, |
- | + | ||
- | Pro šifrování hovorů i signalizace, | + | |
Line 14: | Line 12: | ||
např: sip.odorik.cz: | např: sip.odorik.cz: | ||
- | Proxy naslouchá TLS na portech 5061 (standardní) nebo 6689. | + | Proxy naslouchá TLS na portech 5061 (standardní) nebo 6689. Na portu 6670 je použit jiný certifikát viz níže. |
Line 20: | Line 18: | ||
===== TLS ===== | ===== TLS ===== | ||
- | TLS je způsob šifrování TCP signalizace SIP protokolu. Signalizace není hovor samotný ale pouze informace o tom, kdo komu volá, jakým hlasovým kodekem a pod. TLS se nejčastěji používá spolu se SRTP, ale může být použito i samostatně. V tomto případě nebude možné odposlechnout, | + | [[http:// |
- | http:// | ||
===== SRTP ===== | ===== SRTP ===== | ||
Line 174: | Line 171: | ||
{{: | {{: | ||
+ | |||
+ | ====== Nastavení CSipSimple - android ====== | ||
+ | |||
+ | Začněte tím, aby fungovalo nešifrované volání [[csipsimple_for_android|pomocí wizardu najdete odorik.cz a vyplnít jen jméno a heslo linky]] a pak si TLS a SRTP dodatečně zapněte v expertním režimu. Přepnutí do expertního režimu provedete následovně: | ||
+ | |||
+ | Podporu TLS, SRTP a případně ZRTP je nutné nečekaně povolit nejen u daného SIP účtu, ale i v celkovém nastavení programu společném pro všechny SIP účty. Najdete to v " | ||
+ | Další nastavení se provádí logicky u SIP linky, kterou chcete použít. Tedy //Přenos// na //TLS// a //SRTP mod// na // | ||
+ | Netradiční port můžete (ale nemusíte - použije se pak automaticky 5061) nastavit v položce která se jmenuje //Proxy URI//: např. sip: | ||
+ | Pokud máte všechno správně u probíhajícího hovoru pak svítí na žlutém pozadí, že je použit TLS i SRTP. | ||
+ | Celá bíle napsaná věta na žlutém pozadí, která je nejspíš špatným překladem z angličtiny, | ||
+ | Obrázky s nastavením | ||
+ | |||
+ | Vypadá to, že v CSIPSimple nelze nastavit vlastní certifikační autoritu ani certifikát a program se zaregistruje a volá i s použitím našeho certifikátu podepsaného vlastní nedůvěryhodnou autoritou. Dobrý kompromis by byl, kdyby CSIPsimple varoval alespoň při prvním hovoru. Ale ani to, zdá se se neděje. | ||
+ | A nenašel jsem nikde volbu, kde by se tohle ne úplně bezpečné chování dalo vypnout/ | ||
+ | |||
+ | ==== CSipSimple a ZRTP ==== | ||
+ | |||
+ | CSIPSimple podporuje i šifrování přes ZRTP, které si můžete také povolit. ZRTP lze využít jen pro hovory uvnitř sítě Odorik, ale ZRTP má zásadní výhodu, že se jedná o šifrování end to end s tím, že klíče se nepředávají v signalizaci, | ||
+ | |||
+ | Pro hovory přes ZRTP je nutné volat jen linky v síti a to se dvěmi hvězdičkami na začátku. Tedy vytočíte číslo např. **300116. ZRTP je vhodné kombinovat s TLS (aby nešlo odposlechnout kdo komu volá). Pokud ale necháte povoloné obojí, jak SRTP tak ZRTP bohužel přednost dostane " | ||
+ | |||
+ | ====== Zoiper ====== | ||
+ | |||
+ | U [[zoiper|Zoiperu]] je šifrování jednodušší. Stačí povolit SRTP čímž bude vyzváni i povolení TLS. Pokud Zoiper používáte na nestandardním portu jako 443 je nutné port smazat, nebo upravit na jeden z portů využívaný pro TLS. Při prvním přihlášení jste varování, že se certifikát na sip.odorik.cz není podepsán důvěryhodnou autoritou, to nechte ignorovat. | ||
+ | |||
+ | |||