This shows you the differences between two versions of the page.
Both sides previous revisionPrevious revisionNext revision | Previous revisionNext revisionBoth sides next revision | ||
srtp [2018/04/30 19:11] – [Odorik TLS/SRTP] root | srtp [2018/10/22 10:07] – misa | ||
---|---|---|---|
Line 1: | Line 1: | ||
====== Odorik TLS/SRTP ====== | ====== Odorik TLS/SRTP ====== | ||
- | Bez použití šifrování je relativně snadné odposlouchávat hovory, pokud je pro hovor použité Wifi připojení k internetu (útočníkovi se musí dozvědět heslo, to by ale neměl být větší problém), nebo pokud má útočník fyzicky přístup do lokální ethernetové sítě | + | Bez použití šifrování je relativně snadné odposlouchávat hovory, pokud je pro hovor použité Wifi připojení k internetu (útočníkovi se musí dozvědět heslo, to by ale neměl být větší problém), nebo pokud má útočník fyzicky přístup do lokální ethernetové sítě |
- | Odposlechnout naproti tomu není možné SIP jméno a SIP heslo ani v případě nešifrovaného hovoru. | + | Pro šifrování hovorů i signalizace tak, aby nemohlo dojít k odposlechu někde po cestě, je možné použít TLS(SIPS)/SRPT. TLS(SIPS) |
- | + | ||
- | Pro šifrování hovorů i signalizace, tak aby nemohlo dojít k odposlechu někde po cestě, je možné použít TLS/ | + | |
Line 14: | Line 12: | ||
např: sip.odorik.cz: | např: sip.odorik.cz: | ||
- | Proxy naslouchá TLS na portech 5061 (standardní) nebo 6689. | + | Proxy naslouchá TLS na portech 5061 (standardní) nebo 6689. Na portu 6670 je použit jiný certifikát viz níže. |
Line 20: | Line 18: | ||
===== TLS ===== | ===== TLS ===== | ||
- | TLS je způsob šifrování TCP signalizace SIP protokolu. Signalizace není hovor samotný ale pouze informace o tom, kdo komu volá, jakým hlasovým kodekem a pod. TLS se nejčastěji používá spolu se SRTP, ale může být použito i samostatně. V tomto případě nebude možné odposlechnout, | + | [[http:// |
- | http:// | ||
===== SRTP ===== | ===== SRTP ===== | ||
- | RTP jsou vlastní hlasová data. SRTP jsou šifrovaná hlasová data. Tato data proudí na jiném portu než signalizace. Pokud šifrujeme samotný hovor pomocí SRTP, je nutné šifrovat i signalizace pomocí TSL. V signalizaci se totiž předávají klíče šifrování a pokud signalizace nebyla šifrovaná, | + | RTP jsou vlastní hlasová data. SRTP jsou šifrovaná hlasová data. Tato data proudí na jiném portu než signalizace. Pokud šifrujeme samotný hovor pomocí SRTP, je nutné šifrovat i signalizace pomocí TSL. V signalizaci se totiž předávají klíče šifrování, a pokud signalizace nebyla šifrovaná, |
http:// | http:// | ||
Line 114: | Line 111: | ||
</ | </ | ||
- | Používat certifikáty je nutné jen pokud si tuto možnost zapnete (nebo ji máte defaultně zapnutou na svém telefonu). | + | Používat certifikáty je nutné, jen pokud si tuto možnost zapnete (nebo ji máte defaultně zapnutou na svém telefonu). |
- | Doporučujeme si do telefonu přidat oba certifikáty (např. u telefonu Yealling/ | + | Doporučujeme si do telefonu přidat oba certifikáty (např. u telefonu Yealling/ |
====== Nastavení Grandstream GXP1400 ====== | ====== Nastavení Grandstream GXP1400 ====== | ||
- | Co se týče příchozích šifrovaných hovorů a vůbec hovorů se signalizaci na TCP, jeví se nám telefony Grandstrem GXP 1400 a GXP 1450 problémové. Můžete ale zkusit tento návod. Doporučujeme na jedné lince používat jen jeden telefon. Postup, jak si nahrát nejnovější firmware naleznete zde http:// | + | Co se týče příchozích šifrovaných hovorů a vůbec hovorů se signalizaci na TCP, jeví se nám telefony Grandstrem GXP 1400 a GXP 1450 problémové. Můžete ale zkusit tento návod. Doporučujeme na jedné lince používat jen jeden telefon. Postup, jak si nahrát nejnovější firmware, naleznete zde http:// |
{{: | {{: | ||
- | Samotná věta " | + | Samotná věta " |
{{:: | {{:: | ||
Line 175: | Line 172: | ||
{{: | {{: | ||
+ | ====== Nastavení CSipSimple - android ====== | ||
+ | |||
+ | Začněte tím, aby fungovalo nešifrované volání [[csipsimple_for_android|pomocí wizardu najdete odorik.cz a vyplnít jen jméno a heslo linky]] a pak si TLS a SRTP dodatečně zapněte v expertním režimu. Přepnutí do expertního režimu provedete následovně: | ||
+ | |||
+ | Podporu TLS, SRTP a případně ZRTP je nutné nečekaně povolit nejen u daného SIP účtu, ale i v celkovém nastavení programu společném pro všechny SIP účty. Najdete to v " | ||
+ | Další nastavení se provádí logicky u SIP linky, kterou chcete použít. Tedy //Přenos// na //TLS// a //SRTP mod// na // | ||
+ | Netradiční port můžete (ale nemusíte - použije se pak automaticky 5061) nastavit v položce která se jmenuje //Proxy URI//: např. sip: | ||
+ | Pokud máte všechno správně, u probíhajícího hovoru pak svítí na žlutém pozadí, že je použit TLS i SRTP. | ||
+ | Celá bíle napsaná věta na žlutém pozadí, která je nejspíš špatným překladem z angličtiny, | ||
+ | Obrázky s nastavením | ||
+ | |||
+ | Vypadá to, že v CSIPSimple nelze nastavit vlastní certifikační autoritu ani certifikát a program se zaregistruje a volá i s použitím našeho certifikátu podepsaného vlastní nedůvěryhodnou autoritou. Dobrý kompromis by byl, kdyby CSIPsimple varoval alespoň při prvním hovoru. Ale ani to, zdá se se neděje. | ||
+ | A nenašel jsem nikde volbu, kde by se tohle ne úplně bezpečné chování dalo vypnout/ | ||
+ | |||
+ | ==== CSipSimple a ZRTP ==== | ||
+ | |||
+ | CSIPSimple podporuje i šifrování přes ZRTP, které si můžete také povolit. ZRTP lze využít jen pro hovory uvnitř sítě Odorik, ale ZRTP má zásadní výhodu, že se jedná o šifrování end to end s tím, že klíče se nepředávají v signalizaci, | ||
+ | |||
+ | Pro hovory přes ZRTP je nutné volat jen linky v síti, a to se dvěmi hvězdičkami na začátku. Tedy vytočíte číslo např. **300116. ZRTP je vhodné kombinovat s TLS (aby nešlo odposlechnout, | ||
+ | Použité šifrování můžete zkontrolovat kdykoli během hovoru ve žlutém pruhu. | ||
+ | |||
+ | ====== Zoiper ====== | ||
+ | |||
+ | U [[zoiper|Zoiperu]] je šifrování jednodušší. Stačí povolit SRTP, čímž bude vyzváni i povolení TLS. Pokud Zoiper používáte na nestandardním portu jako 443 je nutné port smazat, nebo upravit na jeden z portů využívaný pro TLS. Při prvním přihlášení jste varování, že se certifikát na sip.odorik.cz není podepsán důvěryhodnou autoritou, to nechte ignorovat. |