This shows you the differences between two versions of the page.
Both sides previous revisionPrevious revisionNext revision | Previous revision | ||
srtp [2018/10/16 20:34] – [Zoiper] root | srtp [2021/12/30 12:13] (current) – [Veřejný klíč certifikační autority] root | ||
---|---|---|---|
Line 1: | Line 1: | ||
====== Odorik TLS/SRTP ====== | ====== Odorik TLS/SRTP ====== | ||
- | Bez použití šifrování je relativně snadné odposlouchávat hovory, pokud je pro hovor použité Wifi připojení k internetu (útočníkovi se musí dozvědět heslo, to by ale neměl být větší problém), nebo pokud má útočník fyzicky přístup do lokální ethernetové sítě v místě, kudy hovor prochází. Kromě poslechu samotného hovoru bude znát i komu jste volali. Odposlechnout SIP heslo ale není možné i když šifrování hovoru není použito, | + | Bez použití šifrování je relativně snadné odposlouchávat hovory, pokud je pro hovor použité Wifi připojení k internetu (útočníkovi se musí dozvědět heslo, to by ale neměl být větší problém), nebo pokud má útočník fyzicky přístup do lokální ethernetové sítě v místě, kudy hovor prochází. Kromě poslechu samotného hovoru bude znát, i komu jste volali. Odposlechnout SIP heslo ale není možné, i když šifrování hovoru není použito, heslo je i v tomto případě chráněno. |
- | Pro šifrování hovorů i signalizace, tak aby nemohlo dojít k odposlechu někde po cestě, je možné použít TLS(SIPS)/ | + | Pro šifrování hovorů i signalizace tak, aby nemohlo dojít k odposlechu někde po cestě, je možné použít TLS(SIPS)/ |
Line 19: | Line 19: | ||
[[http:// | [[http:// | ||
+ | |||
+ | **Od 29.12.2021 nepodporuje naše SIP proxy obstarožní verze TLS 1.0 a 1.1. Lze to zkontrolovat např. zde: https:// | ||
===== SRTP ===== | ===== SRTP ===== | ||
- | RTP jsou vlastní hlasová data. SRTP jsou šifrovaná hlasová data. Tato data proudí na jiném portu než signalizace. Pokud šifrujeme samotný hovor pomocí SRTP, je nutné šifrovat i signalizace pomocí TSL. V signalizaci se totiž předávají klíče šifrování a pokud signalizace nebyla šifrovaná, | + | RTP jsou vlastní hlasová data. SRTP jsou šifrovaná hlasová data. Tato data proudí na jiném portu než signalizace. Pokud šifrujeme samotný hovor pomocí SRTP, je nutné šifrovat i signalizace pomocí TSL. V signalizaci se totiž předávají klíče šifrování, a pokud signalizace nebyla šifrovaná, |
http:// | http:// | ||
===== Veřejný klíč certifikační autority ===== | ===== Veřejný klíč certifikační autority ===== | ||
- | ** | + | Od září 2020 jsme nahradili námi podepsané certifikáty na sip.odorik.cz:5061 (standardní port pro tls) a 6689 (alternativní port - možné použít při potížích s routerem či firewalem) certifikátem Let's encrypt. Ověřili jsme, že v podstatě všichni kdo se registrovali dříve se registrovali i po změně. |
- | Platny od 19.8.2015 do 16.8.2016** | + | |
- | + | ||
- | < | + | |
- | -----BEGIN CERTIFICATE----- | + | |
- | MIIDuzCCAqOgAwIBAgIJAODHGEs+3z6TMA0GCSqGSIb3DQEBBQUAMHUxETAPBgNV | + | |
- | BAMTCE9kb3Jpa0NBMRcwFQYDVQQIEw5DemVjaCBSZXB1YmxpYzELMAkGA1UEBhMC | + | |
- | Q1oxITAfBgkqhkiG9w0BCQEWEmtvbnRha3RAbWluaXRlbC5jejEXMBUGA1UEChMO | + | |
- | bWluaVRFTCBzLnIuby4wHhcNMTUwODE4MDcwNDI0WhcNMTYwODE3MDcwNDI0WjB1 | + | |
- | MREwDwYDVQQDEwhPZG9yaWtDQTEXMBUGA1UECBMOQ3plY2ggUmVwdWJsaWMxCzAJ | + | |
- | BgNVBAYTAkNaMSEwHwYJKoZIhvcNAQkBFhJrb250YWt0QG1pbml0ZWwuY3oxFzAV | + | |
- | BgNVBAoTDm1pbmlURUwgcy5yLm8uMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIB | + | |
- | CgKCAQEAo+M5liVAX98vB4rTvkh89Q8MFq7sRtsDptqO9dVbDZLFlloGWg2z7jUW | + | |
- | lOKzBRg16ihV+MYasmxK3mDiL9nRGc8FzD+VD6qTxtkNJxHpL0KTHl+QtmpSxd71 | + | |
- | 8ulFoWQ81yChrHqV2niI/ | + | |
- | UEGus51UPKJl5u6/ | + | |
- | 3s7l4Tx/ | + | |
- | Ir/ | + | |
- | A1UdEQQWMBSBEmtvbnRha3RAbWluaXRlbC5jejAdBgNVHRIEFjAUgRJrb250YWt0 | + | |
- | QG1pbml0ZWwuY3owDQYJKoZIhvcNAQEFBQADggEBAFd3jz4kJBBqDFe6usfulDaT | + | |
- | AmcJqUVlxAjY8+XfsX7cl26cvy4rjXHTPDpmLmJRxllH86KF2GT90Q5H6+7e1Hbb | + | |
- | tDEBVIrfCo7mdhZm824yY3L4lU9WEYt0JV1829XX3ckZ3m9bw3WYImEiFxga15zX | + | |
- | f13uSu+Ut4NFs3ZuI40oRCS+ercSSg+QgTtlYN7DLH0nCXyLGfe671AaDxhmIPav | + | |
- | iL8zAyUzC/ | + | |
- | inOH6XG6pvyUK0MKRZUMnEAkVZLyQf2TuaW7QC6V8kK2iGZ1nZADsEFhGadgFmk= | + | |
- | -----END CERTIFICATE----- | + | |
- | </ | + | |
- | + | ||
- | **Platny od 16.8.2016 do 29.9.2055** | + | |
- | + | ||
- | < | + | |
- | -----BEGIN CERTIFICATE----- | + | |
- | MIIDvTCCAqWgAwIBAgIJAOKH0n9bgybKMA0GCSqGSIb3DQEBBQUAMHUxETAPBgNV | + | |
- | BAMTCE9kb3Jpa0NBMRcwFQYDVQQIEw5DemVjaCBSZXB1YmxpYzELMAkGA1UEBhMC | + | |
- | Q1oxITAfBgkqhkiG9w0BCQEWEmtvbnRha3RAbWluaXRlbC5jejEXMBUGA1UEChMO | + | |
- | bWluaVRFTCBzLnIuby4wIBcNMTYwNDI2MTQyNDMyWhgPMjA1NTA5MjkxNDI0MzJa | + | |
- | MHUxETAPBgNVBAMTCE9kb3Jpa0NBMRcwFQYDVQQIEw5DemVjaCBSZXB1YmxpYzEL | + | |
- | MAkGA1UEBhMCQ1oxITAfBgkqhkiG9w0BCQEWEmtvbnRha3RAbWluaXRlbC5jejEX | + | |
- | MBUGA1UEChMObWluaVRFTCBzLnIuby4wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAw | + | |
- | ggEKAoIBAQCeVYv84PV4uJ1/ | + | |
- | jMCLMZZZJPlyRxHkSujsHJiyK61tvs26r/ | + | |
- | jl5RC95vZXhaRw70PYmUqNCiEgjIjznLOQZnUFIfI5OIYh5tloy7gk2HMC6FZFbz | + | |
- | 6dDrgh6Mnk4adbeITQawnwUC4zs8pBJFJM2nKDKEL+DHaIgJKeLCMcu5EL7IATME | + | |
- | 6wG9SjIwmCDI9EQSO1+y3+niDWno12T75M9XzNvib4TEirAke4YPImV7UJtcY9R8 | + | |
- | dw0/ | + | |
- | HQYDVR0RBBYwFIESa29udGFrdEBtaW5pdGVsLmN6MB0GA1UdEgQWMBSBEmtvbnRh | + | |
- | a3RAbWluaXRlbC5jejANBgkqhkiG9w0BAQUFAAOCAQEAhmWpwb0VcSvLsjxiBdQu | + | |
- | y6IaTUoaEXjOKHhfGHkCgbWCG7VVpbR+s2tOQk1VjtXF7PgFSbjFSv0Y0KQ0FByr | + | |
- | cQ4ZFhaO4hvhrCzg7V1u64pISpAhqtdABKGDmWe/ | + | |
- | 61nCr0vPhRfYWHUdccQX2F8BrVSK6n6S2o3tyDN/ | + | |
- | psNRN5Bg77LR53L86gLR/ | + | |
- | 5GyLZR963gXbFIX/ | + | |
- | Vg== | + | |
- | -----END CERTIFICATE----- | + | |
- | </ | + | |
- | **Silnejsi certifikat | + | Námi podepsaný certifikát zůstává jen na portu 6670 a je platný |
+ | Pokud váš telefon vyžaduje odkaz ke stažení, můžete použít http:// | ||
< | < | ||
Line 111: | Line 60: | ||
</ | </ | ||
- | Používat certifikáty je nutné jen pokud si tuto možnost zapnete (nebo ji máte defaultně zapnutou na svém telefonu). | + | Používat certifikáty je nutné, jen pokud si tuto možnost zapnete (nebo ji máte defaultně zapnutou) na svém telefonu. |
- | Doporučujeme si do telefonu přidat oba certifikáty (např. u telefonu Yealling/ | + | |
====== Nastavení Grandstream GXP1400 ====== | ====== Nastavení Grandstream GXP1400 ====== | ||
- | Co se týče příchozích šifrovaných hovorů a vůbec hovorů se signalizaci na TCP, jeví se nám telefony Grandstrem GXP 1400 a GXP 1450 problémové. Můžete ale zkusit tento návod. Doporučujeme na jedné lince používat jen jeden telefon. Postup, jak si nahrát nejnovější firmware naleznete zde http:// | + | Co se týče příchozích šifrovaných hovorů a vůbec hovorů se signalizaci na TCP, jeví se nám telefony Grandstrem GXP 1400 a GXP 1450 problémové. Můžete ale zkusit tento návod. Doporučujeme na jedné lince používat jen jeden telefon. Postup, jak si nahrát nejnovější firmware, naleznete zde http:// |
{{: | {{: | ||
- | Samotná věta " | + | Samotná věta " |
{{:: | {{:: | ||
Line 174: | Line 123: | ||
====== Nastavení CSipSimple - android ====== | ====== Nastavení CSipSimple - android ====== | ||
- | Začněte tím, aby fungovalo nešifrované volání [[csipsimple_for_android|pomocí wizardu najdete odorik.cz a vyplnít jen jméno a heslo linky]] a pak si TLS a SRTP dodatečně zapněte v expertním režimu. Přepnutí do expertního režimu provedete následovně: | + | Začněte tím, aby fungovalo nešifrované volání [[csipsimple_for_android|pomocí wizardu najdete odorik.cz a vyplnít jen jméno a heslo linky]] a pak si TLS a SRTP dodatečně zapněte v expertním režimu. Přepnutí do expertního režimu provedete následovně: |
Podporu TLS, SRTP a případně ZRTP je nutné nečekaně povolit nejen u daného SIP účtu, ale i v celkovém nastavení programu společném pro všechny SIP účty. Najdete to v " | Podporu TLS, SRTP a případně ZRTP je nutné nečekaně povolit nejen u daného SIP účtu, ale i v celkovém nastavení programu společném pro všechny SIP účty. Najdete to v " | ||
Další nastavení se provádí logicky u SIP linky, kterou chcete použít. Tedy //Přenos// na //TLS// a //SRTP mod// na // | Další nastavení se provádí logicky u SIP linky, kterou chcete použít. Tedy //Přenos// na //TLS// a //SRTP mod// na // | ||
Netradiční port můžete (ale nemusíte - použije se pak automaticky 5061) nastavit v položce která se jmenuje //Proxy URI//: např. sip: | Netradiční port můžete (ale nemusíte - použije se pak automaticky 5061) nastavit v položce která se jmenuje //Proxy URI//: např. sip: | ||
- | Pokud máte všechno správně u probíhajícího hovoru pak svítí na žlutém pozadí, že je použit TLS i SRTP. | + | Pokud máte všechno správně, u probíhajícího hovoru pak svítí na žlutém pozadí, že je použit TLS i SRTP. |
- | Celá bíle napsaná věta na žlutém pozadí, která je nejspíš špatným překladem z angličtiny, | + | Celá bíle napsaná věta na žlutém pozadí, která je nejspíš špatným překladem z angličtiny, |
Obrázky s nastavením | Obrázky s nastavením | ||
Line 188: | Line 137: | ||
==== CSipSimple a ZRTP ==== | ==== CSipSimple a ZRTP ==== | ||
- | CSIPSimple podporuje i šifrování přes ZRTP, které si můžete také povolit. ZRTP lze využít jen pro hovory uvnitř sítě Odorik, ale ZRTP má zásadní výhodu, že se jedná o šifrování end to end s tím, že klíče se nepředávají v signalizaci, | + | CSIPSimple podporuje i šifrování přes ZRTP, které si můžete také povolit. ZRTP lze využít jen pro hovory uvnitř sítě Odorik, ale ZRTP má zásadní výhodu, že se jedná o šifrování end to end s tím, že klíče se nepředávají v signalizaci, |
- | Pro hovory přes ZRTP je nutné volat jen linky v síti a to se dvěmi hvězdičkami na začátku. Tedy vytočíte číslo např. **300116. ZRTP je vhodné kombinovat s TLS (aby nešlo odposlechnout kdo komu volá). Pokud ale necháte povoloné obojí, jak SRTP tak ZRTP bohužel přednost dostane " | + | Pro hovory přes ZRTP je nutné volat jen linky v síti, a to se dvěmi hvězdičkami na začátku. Tedy vytočíte číslo např. **300116. ZRTP je vhodné kombinovat s TLS (aby nešlo odposlechnout, kdo komu volá). Pokud ale necháte povoloné obojí, jak SRTP tak ZRTP bohužel přednost dostane " |
+ | Použité šifrování můžete zkontrolovat kdykoli během hovoru ve žlutém pruhu. | ||
====== Zoiper ====== | ====== Zoiper ====== | ||
- | U [[zoiper|Zoiperu]] je šifrování jednodušší. Stačí povolit SRTP čímž bude vyzváni i povolení TLS. Pokud Zoiper používáte na nestandardním portu jako 443 je nutné port smazat, nebo upravit na jeden z portů využívaný pro TLS. Při prvním přihlášení jste varování, že se certifikát na sip.odorik.cz není podepsán důvěryhodnou autoritou, to nechte ignorovat. | + | U [[zoiper|Zoiperu]] je šifrování jednodušší. Stačí povolit SRTP, čímž bude vyzváni i povolení TLS. Pokud Zoiper používáte na nestandardním portu jako 443 je nutné port smazat, nebo upravit na jeden z portů využívaný pro TLS. Při prvním přihlášení jste varování, že se certifikát na sip.odorik.cz není podepsán důvěryhodnou autoritou, to nechte ignorovat. |
+ | |||
+ | ====== Download ====== | ||
+ | port:5061 | ||
+ | |||
+ | [[http:// | ||
+ | |||
+ | port:6670 | ||
+ | [[http:// | ||