[AsteriskBrasil] Asterisk com SRTP
ricardoferrari em pop.com.br
ricardoferrari em pop.com.br
Quinta Maio 16 10:22:08 BRT 2013
Muito obrigado, Galera, vou fazer o que me disseram e tentar
criptografa.
Se puder dar uma olhada segue em anexo meu sip.conf e o
extension.conf
> Senhores,
>
>
Basicamente, em um Asterisk com o SRTP:
>
> Para cada
ramal que vai suportar criptografia de media, adicionar:
>
> encryption=yes
>
> Para só permitir
chamadas com media encriptada, você tem que alterar o
>
dialplan para forçar isso, checando se a variável
CHANNEL(secure_media)
> está com 1.
>
>
!!!!!!!!!!!!!!!!!!!!!!!!!!NOTA!!!!!!!!!!!!!!!!!!!!!!!!!!!
>
> secure_media não significa secure_sginaling que deve ser
checado em
> CHANNEL(secure_signaling) onde 1 é ativo.
>
> Traduzindo: a chave que irá criptografar a media
(audio) será trocada
> entre
> o cliente e servidor
em texto plano, logo, alguém com um mínimo de
>
conhecimento conseguirá interceptar e usá-la para fazer
escuta no canal.
>
> Para isto, você tem que
criptografar a sinalização também, usando TLS por
> exemplo. Mas isso você já deve ter entendido, pois leu
primeiro o
> Specifics
> né?
>
>
**** Como fazer chamadas seguras: encripte a sinalização E
encripte a
> media. ***
>
> Sds
>
>
> Alexandre Alencar
> Twitter @alexandreitpro
> http://blog.alexandrealencar.net/
>
http://www.alexandrealencar.net/
>
http://www.alexandrealencar.com
>
http://www.servicosdeti.com.br/
> COBIT, ITIL, CSM, LPI, MCP-I
>
>
>
> 2013/5/15 Everaldo Rodrigues de
Oliveira <everaldoro em gmail.com>
>
>> Ricardo os
testes em que homologamos a solução com segurança
>> implementada
>> usamos SRTP e TLS com chaves
encriptografadas, mas o que interessa a
>> você
>> no momento é apenas SRTP não é? Bom o
cenário foi o seguinte:
>>
>> Na primeira vez
que tentamos usar SRTP foi na versão do Asterisk 1.8,
>>
mas
>> tivemos que compilar o modulo srtp, pois nessa
versão não vinha nativo,
>> nas
>>
versões do Asterisk 11 o SRTP já é nativo basta
marcar na instalação do
>> asterisk pelo menu
select.
>>
>> Estou usando telefones do fabricante
Yealink que suportam SRTP, pois
>> mesmo
>>
habilitando nos no arquivo sip.conf deve ser habilitado no telefone
>> também
>> pra que funcione.
>>
>> no arquivo sip.conf
>> ;tronco sip com outro
servidor asterisk
>> [tk1_]
>> host=192.168.0.180
>> port=5060
>> username=senha123
>>
secret=senha123
>> type=friend
>> qualify=yes
>> insecure=port,invite
>> dtmfmode=rfc2833
>> language=pt_BR
>> encryption=yes ;deve ter esse
parametro se quiser que as chamadas
>> através deste
tronco sejam criptografadas
>>
>> ;ramais
>> [1400]
>> type=friend
>> secret=1400
>> host=dynamic
>> canreinvite=no
>>
dtmfmode=rfc2833
>> mailbox=1400 em default
>>
disallow=all
>> allow=ulaw,h261,h261p,h263,h264
>>
language=pt_BR
>> encryption=yes ;com
essa opção as chamadas deverão
>> estar
criptografadas
>>
;se esquecer que os
>> telefones devem suportar srtp e estar
habilitado
>>
;caso contrário não vai
>> funcionar.
>> context=todas
>> callgroup=1
>>
pickupgroup=1
>> call-limit=3
>> qualify=yes
>>
>> Se quiser criar mais ramas basta copiar e alterar
o número 1400 para o
>> novo ramal.
>> Espero
ter ajudado.
>>
>> Obs: Pra checar se as chamadas
estão criptografadas, use o aplicativo
>> wireshark
capture os pacotes antes de habilitar o SRTP, e faça o mesmo
>> depois que habilitar, dessa forma pode comprovar se a chamada
está com
>> criptação segura no seu
teste.
>>
>> Att.
>> Everaldo Oliveira
>>
>>
>> Em 15 de maio de 2013 15:00,
<ricardoferrari em pop.com.br> escreveu:
>>
>>
Evaldo, tudo bem?
>>> Eu preciso só para testes
também, estou fazendo doutorado e tenho q
>>>
criar
>>> um cenário seguro para encontrar uma falha
e resolver.
>>> Vi alguns tutoriais dizendo para habilitar o
encryption=yes no
>>> sip.conf,
>>> mas
não da nada, quando tento fazer a chamada para o servidor
Asterisk
>>> diz
>>> que é capaz de
suportar SRTP, mas que não foi requisitado.
>>>
Você pode me ajudar na configuração do servidor e do
cliente? Você sou
>>> que cliente Voip?
>>> Obrigado por enquanto.
>>>
>>>
>>> > Boa tarde, já usei, mas com
testes em laboratório(em torno de 15
>>> ramai),
>>> > funciona bem, mas não sei em grande escala(com
um grande número de
>>> ramais
>>> >
não sei qual seria o impacto), mas creio que deva funcionar sem
>>> problemas.
>>> >
>>> >
Att.
>>> > Everaldo Oliveira
>>> >
>>> > Em 15 de maio de 2013 13:26,
<ricardoferrari em pop.com.br> escreveu:
>>> >
>>> >> Galera, alguém já trabalhou com SRTP
no Asterisk?
>>> >> Agradeço a
atenção.
>>> >>
_______________________________________________
>>> >>
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>> >> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN
e SS7;
>>> >> Intercomunicadores para acesso remoto
via rede IP. Conheça em
>>> >>
www.Khomp.com.
>>> >>
_______________________________________________
>>> >>
ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e
>>> SS7.
>>> >> Placas de 1E1, 2E1, 4E1 e
8E1 para PCI ou PCI Express.
>>> >> Channel Bank
– Appliance Asterisk - Acesse www.aligera.com.br.
>>>
>> _______________________________________________
>>>
>> Para remover seu email desta lista, basta enviar um email em
branco
>>> para
>>> >>
asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>
>>
>>> >
>>> >
>>>
>
>>> > --
>>> > Everaldo Rodrigues
de Oliveira
>>> > Analista de
Suporte/Telecomunicações
>>> > Mobile: 55
(41) 9620 0524
>>> > MSN:
everaldo_cascavel em hotmail.com
>>> > Skype:
everaldo_cvel
>>> >
_______________________________________________
>>> >
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>> > Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e
SS7;
>>> > Intercomunicadores para acesso remoto via rede
IP. Conheça em
>>> > www.Khomp.com.
>>> > _______________________________________________
>>> > ALIGERA – Fabricante nacional de Gateways SIP-E1
para R2, ISDN e SS7.
>>> > Placas de 1E1, 2E1, 4E1 e 8E1
para PCI ou PCI Express.
>>> > Channel Bank –
Appliance Asterisk - Acesse www.aligera.com.br.
>>> >
_______________________________________________
>>> >
Para remover seu email desta lista, basta enviar um email em branco
>>> para
>>> >
asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>
>>> _______________________________________________
>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e
E1;
>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e
SS7;
>>> Intercomunicadores para acesso remoto via rede IP.
Conheça em
>>> www.Khomp.com.
>>>
_______________________________________________
>>> ALIGERA
– Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>> Channel Bank – Appliance Asterisk - Acesse
www.aligera.com.br.
>>>
_______________________________________________
>>> Para
remover seu email desta lista, basta enviar um email em branco
>>> para
>>>
asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>
>>
>>
>>
>> --
>>
Everaldo Rodrigues de Oliveira
>> Analista de
Suporte/Telecomunicações
>> Mobile: 55 (41) 9620
0524
>> MSN: everaldo_cascavel em hotmail.com
>> Skype:
everaldo_cvel
>>
>>
_______________________________________________
>> KHOMP:
completa linha de placas externas FXO, FXS, GSM e E1;
>> Media
Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>
Intercomunicadores para acesso remoto via rede IP. Conheça em
>> www.Khomp.com.
>>
_______________________________________________
>> ALIGERA
– Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>> Channel Bank – Appliance Asterisk - Acesse
www.aligera.com.br.
>>
_______________________________________________
>> Para remover
seu email desta lista, basta enviar um email em branco para
>>
asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
> _______________________________________________
> KHOMP:
completa linha de placas externas FXO, FXS, GSM e E1;
> Media
Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>
Intercomunicadores para acesso remoto via rede IP. Conheça em
> www.Khomp.com.
>
_______________________________________________
> ALIGERA –
Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel
Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>
_______________________________________________
> Para remover seu
email desta lista, basta enviar um email em branco para
>
asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20130516/f14c59cb/attachment-0001.htm
-------------- Próxima Parte ----------
Um anexo não texto foi limpo...
Nome : extensions.conf
Tipo : application/x-extension-conf
Tam : 10127 bytes
Descr.: não disponível
Url : http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20130516/f14c59cb/attachment-0002.bin
-------------- Próxima Parte ----------
Um anexo não texto foi limpo...
Nome : sip.conf
Tipo : application/x-extension-conf
Tam : 777 bytes
Descr.: não disponível
Url : http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20130516/f14c59cb/attachment-0003.bin
Mais detalhes sobre a lista de discussão AsteriskBrasil