This shows you the differences between two versions of the page.
Both sides previous revisionPrevious revisionNext revision | Previous revisionNext revisionBoth sides next revision | ||
srtp [2018/10/16 20:00] – [ZRTP] root | srtp [2018/10/22 10:07] – misa | ||
---|---|---|---|
Line 1: | Line 1: | ||
====== Odorik TLS/SRTP ====== | ====== Odorik TLS/SRTP ====== | ||
- | Bez použití šifrování je relativně snadné odposlouchávat hovory, pokud je pro hovor použité Wifi připojení k internetu (útočníkovi se musí dozvědět heslo, to by ale neměl být větší problém), nebo pokud má útočník fyzicky přístup do lokální ethernetové sítě v místě, kudy hovor prochází. Kromě poslechu samotného hovoru bude znát i komu jste volali. Odposlechnout SIP heslo ale není možné i když šifrování hovoru není použito, | + | Bez použití šifrování je relativně snadné odposlouchávat hovory, pokud je pro hovor použité Wifi připojení k internetu (útočníkovi se musí dozvědět heslo, to by ale neměl být větší problém), nebo pokud má útočník fyzicky přístup do lokální ethernetové sítě v místě, kudy hovor prochází. Kromě poslechu samotného hovoru bude znát, i komu jste volali. Odposlechnout SIP heslo ale není možné, i když šifrování hovoru není použito, heslo je i v tomto případě dostatečně chráněno. |
- | Pro šifrování hovorů i signalizace, tak aby nemohlo dojít k odposlechu někde po cestě, je možné použít TLS(SIPS)/ | + | Pro šifrování hovorů i signalizace tak, aby nemohlo dojít k odposlechu někde po cestě, je možné použít TLS(SIPS)/ |
Line 22: | Line 22: | ||
===== SRTP ===== | ===== SRTP ===== | ||
- | RTP jsou vlastní hlasová data. SRTP jsou šifrovaná hlasová data. Tato data proudí na jiném portu než signalizace. Pokud šifrujeme samotný hovor pomocí SRTP, je nutné šifrovat i signalizace pomocí TSL. V signalizaci se totiž předávají klíče šifrování a pokud signalizace nebyla šifrovaná, | + | RTP jsou vlastní hlasová data. SRTP jsou šifrovaná hlasová data. Tato data proudí na jiném portu než signalizace. Pokud šifrujeme samotný hovor pomocí SRTP, je nutné šifrovat i signalizace pomocí TSL. V signalizaci se totiž předávají klíče šifrování, a pokud signalizace nebyla šifrovaná, |
http:// | http:// | ||
Line 111: | Line 111: | ||
</ | </ | ||
- | Používat certifikáty je nutné jen pokud si tuto možnost zapnete (nebo ji máte defaultně zapnutou na svém telefonu). | + | Používat certifikáty je nutné, jen pokud si tuto možnost zapnete (nebo ji máte defaultně zapnutou na svém telefonu). |
- | Doporučujeme si do telefonu přidat oba certifikáty (např. u telefonu Yealling/ | + | Doporučujeme si do telefonu přidat oba certifikáty (např. u telefonu Yealling/ |
====== Nastavení Grandstream GXP1400 ====== | ====== Nastavení Grandstream GXP1400 ====== | ||
- | Co se týče příchozích šifrovaných hovorů a vůbec hovorů se signalizaci na TCP, jeví se nám telefony Grandstrem GXP 1400 a GXP 1450 problémové. Můžete ale zkusit tento návod. Doporučujeme na jedné lince používat jen jeden telefon. Postup, jak si nahrát nejnovější firmware naleznete zde http:// | + | Co se týče příchozích šifrovaných hovorů a vůbec hovorů se signalizaci na TCP, jeví se nám telefony Grandstrem GXP 1400 a GXP 1450 problémové. Můžete ale zkusit tento návod. Doporučujeme na jedné lince používat jen jeden telefon. Postup, jak si nahrát nejnovější firmware, naleznete zde http:// |
{{: | {{: | ||
- | Samotná věta " | + | Samotná věta " |
{{:: | {{:: | ||
Line 174: | Line 174: | ||
====== Nastavení CSipSimple - android ====== | ====== Nastavení CSipSimple - android ====== | ||
- | Začněte tím, aby fungovalo nešifrované volání [[csipsimple_for_android|pomocí wizardu najdete odorik.cz a vyplnít jen jméno a heslo linky]] a pak si TLS a SRTP dodatečně zapněte v expertním režimu. Přepnutí do expertního režimu provedete následovně: | + | Začněte tím, aby fungovalo nešifrované volání [[csipsimple_for_android|pomocí wizardu najdete odorik.cz a vyplnít jen jméno a heslo linky]] a pak si TLS a SRTP dodatečně zapněte v expertním režimu. Přepnutí do expertního režimu provedete následovně: |
Podporu TLS, SRTP a případně ZRTP je nutné nečekaně povolit nejen u daného SIP účtu, ale i v celkovém nastavení programu společném pro všechny SIP účty. Najdete to v " | Podporu TLS, SRTP a případně ZRTP je nutné nečekaně povolit nejen u daného SIP účtu, ale i v celkovém nastavení programu společném pro všechny SIP účty. Najdete to v " | ||
Další nastavení se provádí logicky u SIP linky, kterou chcete použít. Tedy //Přenos// na //TLS// a //SRTP mod// na // | Další nastavení se provádí logicky u SIP linky, kterou chcete použít. Tedy //Přenos// na //TLS// a //SRTP mod// na // | ||
Netradiční port můžete (ale nemusíte - použije se pak automaticky 5061) nastavit v položce která se jmenuje //Proxy URI//: např. sip: | Netradiční port můžete (ale nemusíte - použije se pak automaticky 5061) nastavit v položce která se jmenuje //Proxy URI//: např. sip: | ||
- | Pokud máte všechno správně u probíhajícího hovoru pak svítí na žlutém pozadí, že je použit TLS i SRTP. | + | Pokud máte všechno správně, u probíhajícího hovoru pak svítí na žlutém pozadí, že je použit TLS i SRTP. |
- | Celá bíle napsaná věta na žlutém pozadí, která je nejspíš špatným překladem z angličtiny, | + | Celá bíle napsaná věta na žlutém pozadí, která je nejspíš špatným překladem z angličtiny, |
Obrázky s nastavením | Obrázky s nastavením | ||
Line 188: | Line 188: | ||
==== CSipSimple a ZRTP ==== | ==== CSipSimple a ZRTP ==== | ||
- | CSIPSimple podporuje i šifrování přes ZRTP, které si můžete také povolit. ZRTP lze využít jen pro hovory uvnitř sítě Odorik, ale ZRTP má zásadní výhodu, že se jedná o šifrování end to end s tím, že klíče se nepředávají v signalizaci, | + | CSIPSimple podporuje i šifrování přes ZRTP, které si můžete také povolit. ZRTP lze využít jen pro hovory uvnitř sítě Odorik, ale ZRTP má zásadní výhodu, že se jedná o šifrování end to end s tím, že klíče se nepředávají v signalizaci, |
- | Pro hovory přes ZRTP je nutné volat jen linky v síti a to se dvěmi hvězdičkami na začátku. Tedy vytočíte číslo např. **300116. ZRTP je vhodné kombinovat s TLS (aby nešlo odposlechnout kdo komu volá). Pokud ale necháte povoloné obojí, jak SRTP tak ZRTP bohužel přednost dostane " | + | Pro hovory přes ZRTP je nutné volat jen linky v síti, a to se dvěmi hvězdičkami na začátku. Tedy vytočíte číslo např. **300116. ZRTP je vhodné kombinovat s TLS (aby nešlo odposlechnout, kdo komu volá). Pokud ale necháte povoloné obojí, jak SRTP tak ZRTP bohužel přednost dostane " |
+ | Použité šifrování můžete zkontrolovat kdykoli během hovoru ve žlutém pruhu. | ||
====== Zoiper ====== | ====== Zoiper ====== | ||
- | U Zoiperu je šifrování jednodušší. Stačí povolit SRTP čímž bude vyzváni i povolení TLS. Pokud Zoiper používáte na nestandardním portu jako 443 je nutné port smazat, nebo upravit na jeden z portů využívaný pro TLS. Při prvním přihlášení jste varování, že se certifikát na sip.odorik.cz není podepsán důvěryhodnou autoritou, to nechte ignorovat. | + | U [[zoiper|Zoiperu]] je šifrování jednodušší. Stačí povolit SRTP, čímž bude vyzváni i povolení TLS. Pokud Zoiper používáte na nestandardním portu jako 443 je nutné port smazat, nebo upravit na jeden z portů využívaný pro TLS. Při prvním přihlášení jste varování, že se certifikát na sip.odorik.cz není podepsán důvěryhodnou autoritou, to nechte ignorovat. |
- | + | ||
- | + |