Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revize Předchozí verze
Následující verze
Předchozí verze
srtp [2018/04/30 21:37]
root [Odorik TLS/SRTP]
srtp [2018/10/16 20:36] (aktuální)
root [CSipSimple a ZRTP]
Řádek 12: Řádek 12:
 např: sip.odorik.cz:​6688 pouze sip.odorik.cz. např: sip.odorik.cz:​6688 pouze sip.odorik.cz.
  
-Proxy naslouchá TLS na portech 5061 (standardní) nebo 6689.+Proxy naslouchá TLS na portech 5061 (standardní) nebo 6689. Na portu 6670 je použit jiný certifikát viz níže.
  
  
Řádek 18: Řádek 18:
 ===== TLS ===== ===== TLS =====
  
-TLS je způsob šifrování TCP signalizace SIP protokolu. Signalizace není hovor samotný ale pouze informace o tom, kdo komu volá, jakým hlasovým kodekem a pod. TLS se nejčastěji používá spolu se SRTP, ale může být použito i samostatně. V tomto případě nebude možné odposlechnout,​ kdo komu volá, půjde však odposlechnout samotný hovor. Pokud vám jde jen o to, aby nebylo možné odposlechnout SIP heslo, nedělejte si starosti, o to je postaráno i při použití nešifrovaného SIP protokolu.+[[http://​cs.wikipedia.org/​wiki/​Transport_Layer_Security|TLS]] je způsob šifrování TCP signalizace SIP protokolu. Signalizace není hovor samotný ale pouze informace o tom, kdo komu volá, jakým hlasovým kodekem a pod. TLS se nejčastěji používá spolu se SRTP, ale může být použito i samostatně. V tomto případě nebude možné odposlechnout,​ kdo komu volá, půjde však odposlechnout samotný hovor. Pokud vám jde jen o to, aby nebylo možné odposlechnout SIP heslo, nedělejte si starosti, o to je postaráno i při použití nešifrovaného SIP protokolu. Předgenerovaná SIP hesla o osmi znacích obsahující jména a číslice by nemělo být možné lousknout v rozumném čase za rozumnou cenu.
  
-http://​cs.wikipedia.org/​wiki/​Transport_Layer_Security 
  
 ===== SRTP ===== ===== SRTP =====
Řádek 172: Řádek 171:
  
 {{:​sip_prihlaseni_pres_tls_tcp.png|}} {{:​sip_prihlaseni_pres_tls_tcp.png|}}
 +
 +====== Nastavení CSipSimple - android ======
 +
 +Začněte tím, aby fungovalo nešifrované volání [[csipsimple_for_android|pomocí wizardu najdete odorik.cz a vyplnít jen jméno a heslo linky]] a pak si TLS a SRTP dodatečně zapněte v expertním režimu. Přepnutí do expertního režimu provedete následovně:​Ve výchozí obrazovce s číselníkem stiskněte menu a vyberte **ucty**, potom dlouhý stisk na **Odorik.cz** v menu vyberte '​**Vybrat pruvodce**'​ (může být nutné skrolovat) a projeďte nabízené operátory a zvolte **Expert**. ​
 +
 +Podporu TLS, SRTP a případně ZRTP je nutné nečekaně povolit nejen u daného SIP účtu, ale i v celkovém nastavení programu společném pro všechny SIP účty. Najdete to v "​nastavení->​síť->​zabezpečení přenosu"​. ​
 +Další nastavení se provádí logicky u SIP linky, kterou chcete použít. Tedy //Přenos// na //TLS// a //SRTP mod// na //​povinné//​.
 +Netradiční port můžete (ale nemusíte - použije se pak automaticky 5061) nastavit v položce která se jmenuje //Proxy URI//: např. sip:​sip.odorik.cz je můžete změnit na sip:​sip.odorik.cz:​6670
 +Pokud máte všechno správně u probíhajícího hovoru pak svítí na žlutém pozadí, že je použit TLS i SRTP.
 +Celá bíle napsaná věta na žlutém pozadí, která je nejspíš špatným překladem z angličtiny,​ co je vidět během hovoru zní: "TLS přenos je využíván k okamžitému hopu SRTP".
 +Obrázky s nastavením ​ na našem fóru: http://​forum.odorik.cz/​viewtopic.php?​f=32&​t=4536#​p35501,​ tam ale zapomněli na nastavení SRTP.
 +
 +Vypadá to, že v CSIPSimple nelze nastavit vlastní certifikační autoritu ani certifikát a program se zaregistruje a volá i s použitím našeho certifikátu podepsaného vlastní nedůvěryhodnou autoritou. Dobrý kompromis by byl, kdyby CSIPsimple varoval alespoň při prvním hovoru. Ale ani to, zdá se se neděje.
 +A nenašel jsem nikde volbu, kde by se tohle ne úplně bezpečné chování dalo vypnout/​zapnout. Možná to někdy opraví a pak TLS přestane fungovat nebo se začne při prvním hovoru ptát.
 +
 +==== CSipSimple a ZRTP ====
 +
 +CSIPSimple podporuje i šifrování přes ZRTP, které si můžete také povolit. ZRTP lze využít jen pro hovory uvnitř sítě Odorik, ale ZRTP má zásadní výhodu, že se jedná o šifrování end to end s tím, že klíče se nepředávají v signalizaci,​ ale přímo ve zvuku takovým způsobem, že je není možné získat nikde po cestě ani na SIP a RTP proxy. ​ Tedy není možný odposlech nikde po cestě, ani kdyby servery Odoriku obsadilo novodobé gestapo. I když SRTP v případě vytočení dvou hvězdiček před číslem linky proudí také napřímo, klíče jsou posílány pomocí TLS, které je na odorik sip proxy dešifrováno. Ke klíčům má tak teoreticky přístup ten, kdo má přístup k SIP proxy, tedy teoreticky ono novodobé gestapo.
 +
 +Pro hovory přes ZRTP je nutné volat jen linky v síti a to se dvěmi hvězdičkami na začátku. Tedy vytočíte číslo např. **300116. ZRTP je vhodné kombinovat s TLS (aby nešlo odposlechnout kdo komu volá). Pokud ale necháte povoloné obojí, jak SRTP tak ZRTP bohužel přednost dostane "​horší"​ SRTP. Aby si tedy byly schopny volat dvě linky s využitím ZRTP, je alespoň na jedné z těch linek nutné zakázat SRTP, jinak by bohužel dostalo přednost.
 +Použité šifrování můžete zkontrolovat kdykoli během hovoru ve žlutém pruhu.
 +
 +====== Zoiper ======
 +
 +U [[zoiper|Zoiperu]] je šifrování jednodušší. Stačí povolit SRTP čímž bude vyzváni i povolení TLS. Pokud Zoiper používáte na nestandardním portu jako 443 je nutné port smazat, nebo upravit na jeden z portů využívaný pro TLS. Při prvním přihlášení jste varování, že se certifikát na sip.odorik.cz není podepsán důvěryhodnou autoritou, to nechte ignorovat.
 +
 +
  
 
srtp.1525117021.txt.gz · Poslední úprava: 2018/04/30 21:37 autor: root