[AsteriskBrasil] Asterisk com SRTP
Everaldo Rodrigues de Oliveira
everaldoro em gmail.com
Quinta Maio 16 10:44:36 BRT 2013
Dica, contextos [general], [globals] e [default] sempre deixar antes de
todos os outros contextos nos arquivos extensions.conf e sip.conf, pois é
executado linha por linha de cima a baixo.
Pra testar quando voce executa o comando pela CLI dialplan reload vai ver
que ele executa na sequencia os contextos.
Isso evita maiores problemas.
Att.
Everaldo Oliveira
Em 16 de maio de 2013 10:22, <ricardoferrari em pop.com.br> escreveu:
> Muito obrigado, Galera, vou fazer o que me disseram e tentar criptografa.
> Se puder dar uma olhada segue em anexo meu sip.conf e o extension.conf
>
>
>
> > Senhores,
> >
> > Basicamente, em um Asterisk com o SRTP:
> >
> > Para cada ramal que vai suportar criptografia de media, adicionar:
> >
> > encryption=yes
> >
> > Para só permitir chamadas com media encriptada, você tem que alterar o
> > dialplan para forçar isso, checando se a variável CHANNEL(secure_media)
> > está com 1.
> >
> > !!!!!!!!!!!!!!!!!!!!!!!!!!NOTA!!!!!!!!!!!!!!!!!!!!!!!!!!!
> >
> > secure_media não significa secure_sginaling que deve ser checado em
> > CHANNEL(secure_signaling) onde 1 é ativo.
> >
> > Traduzindo: a chave que irá criptografar a media (audio) será trocada
> > entre
> > o cliente e servidor em texto plano, logo, alguém com um mínimo de
> > conhecimento conseguirá interceptar e usá-la para fazer escuta no canal.
> >
> > Para isto, você tem que criptografar a sinalização também, usando TLS por
> > exemplo. Mas isso você já deve ter entendido, pois leu primeiro o
> > Specifics
> > né?
> >
> > **** Como fazer chamadas seguras: encripte a sinalização E encripte a
> > media. ***
> >
> > Sds
> >
> >
> > Alexandre Alencar
> > Twitter @alexandreitpro
> > http://blog.alexandrealencar.net/
> > http://www.alexandrealencar.net/
> > http://www.alexandrealencar.com
> > http://www.servicosdeti.com.br/
> > COBIT, ITIL, CSM, LPI, MCP-I
> >
> >
> >
> > 2013/5/15 Everaldo Rodrigues de Oliveira <everaldoro em gmail.com>
> >
> >> Ricardo os testes em que homologamos a solução com segurança
> >> implementada
> >> usamos SRTP e TLS com chaves encriptografadas, mas o que interessa a
> >> você
> >> no momento é apenas SRTP não é? Bom o cenário foi o seguinte:
> >>
> >> Na primeira vez que tentamos usar SRTP foi na versão do Asterisk 1.8,
> >> mas
> >> tivemos que compilar o modulo srtp, pois nessa versão não vinha nativo,
> >> nas
> >> versões do Asterisk 11 o SRTP já é nativo basta marcar na instalação do
> >> asterisk pelo menu select.
> >>
> >> Estou usando telefones do fabricante Yealink que suportam SRTP, pois
> >> mesmo
> >> habilitando nos no arquivo sip.conf deve ser habilitado no telefone
> >> também
> >> pra que funcione.
> >>
> >> no arquivo sip.conf
> >> ;tronco sip com outro servidor asterisk
> >> [tk1_]
> >> host=192.168.0.180
> >> port=5060
> >> username=senha123
> >> secret=senha123
> >> type=friend
> >> qualify=yes
> >> insecure=port,invite
> >> dtmfmode=rfc2833
> >> language=pt_BR
> >> encryption=yes ;deve ter esse parametro se quiser que as chamadas
> >> através deste tronco sejam criptografadas
> >>
> >> ;ramais
> >> [1400]
> >> type=friend
> >> secret=1400
> >> host=dynamic
> >> canreinvite=no
> >> dtmfmode=rfc2833
> >> mailbox=1400 em default
> >> disallow=all
> >> allow=ulaw,h261,h261p,h263,h264
> >> language=pt_BR
> >> encryption=yes ;com essa opção as chamadas deverão
> >> estar criptografadas
> >> ;se esquecer que os
> >> telefones devem suportar srtp e estar habilitado
> >> ;caso contrário não vai
> >> funcionar.
> >> context=todas
> >> callgroup=1
> >> pickupgroup=1
> >> call-limit=3
> >> qualify=yes
> >>
> >> Se quiser criar mais ramas basta copiar e alterar o número 1400 para o
> >> novo ramal.
> >> Espero ter ajudado.
> >>
> >> Obs: Pra checar se as chamadas estão criptografadas, use o aplicativo
> >> wireshark capture os pacotes antes de habilitar o SRTP, e faça o mesmo
> >> depois que habilitar, dessa forma pode comprovar se a chamada está com
> >> criptação segura no seu teste.
> >>
> >> Att.
> >> Everaldo Oliveira
> >>
> >>
> >> Em 15 de maio de 2013 15:00, <ricardoferrari em pop.com.br> escreveu:
> >>
> >> Evaldo, tudo bem?
> >>> Eu preciso só para testes também, estou fazendo doutorado e tenho q
> >>> criar
> >>> um cenário seguro para encontrar uma falha e resolver.
> >>> Vi alguns tutoriais dizendo para habilitar o encryption=yes no
> >>> sip.conf,
> >>> mas não da nada, quando tento fazer a chamada para o servidor Asterisk
> >>> diz
> >>> que é capaz de suportar SRTP, mas que não foi requisitado.
> >>> Você pode me ajudar na configuração do servidor e do cliente? Você sou
> >>> que cliente Voip?
> >>> Obrigado por enquanto.
> >>>
> >>>
> >>> > Boa tarde, já usei, mas com testes em laboratório(em torno de 15
> >>> ramai),
> >>> > funciona bem, mas não sei em grande escala(com um grande número de
> >>> ramais
> >>> > não sei qual seria o impacto), mas creio que deva funcionar sem
> >>> problemas.
> >>> >
> >>> > Att.
> >>> > Everaldo Oliveira
> >>> >
> >>> > Em 15 de maio de 2013 13:26, <ricardoferrari em pop.com.br> escreveu:
> >>> >
> >>> >> Galera, alguém já trabalhou com SRTP no Asterisk?
> >>> >> Agradeço a atenção.
> >>> >> _______________________________________________
> >>> >> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> >>> >> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> >>> >> Intercomunicadores para acesso remoto via rede IP. Conheça em
> >>> >> www.Khomp.com.
> >>> >> _______________________________________________
> >>> >> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e
> >>> SS7.
> >>> >> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> >>> >> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> >>> >> _______________________________________________
> >>> >> Para remover seu email desta lista, basta enviar um email em branco
> >>> para
> >>> >> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
> >>> >>
> >>> >
> >>> >
> >>> >
> >>> > --
> >>> > Everaldo Rodrigues de Oliveira
> >>> > Analista de Suporte/Telecomunicações
> >>> > Mobile: 55 (41) 9620 0524
> >>> > MSN: everaldo_cascavel em hotmail.com
> >>> > Skype: everaldo_cvel
> >>> > _______________________________________________
> >>> > KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> >>> > Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> >>> > Intercomunicadores para acesso remoto via rede IP. Conheça em
> >>> > www.Khomp.com.
> >>> > _______________________________________________
> >>> > ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> >>> > Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> >>> > Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> >>> > _______________________________________________
> >>> > Para remover seu email desta lista, basta enviar um email em branco
> >>> para
> >>> > asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
> >>>
> >>> _______________________________________________
> >>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> >>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> >>> Intercomunicadores para acesso remoto via rede IP. Conheça em
> >>> www.Khomp.com.
> >>> _______________________________________________
> >>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> >>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> >>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> >>> _______________________________________________
> >>> Para remover seu email desta lista, basta enviar um email em branco
> >>> para
> >>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
> >>>
> >>
> >>
> >>
> >> --
> >> Everaldo Rodrigues de Oliveira
> >> Analista de Suporte/Telecomunicações
> >> Mobile: 55 (41) 9620 0524
> >> MSN: everaldo_cascavel em hotmail.com
> >> Skype: everaldo_cvel
> >>
> >> _______________________________________________
> >> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> >> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> >> Intercomunicadores para acesso remoto via rede IP. Conheça em
> >> www.Khomp.com.
> >> _______________________________________________
> >> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> >> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> >> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> >> _______________________________________________
> >> Para remover seu email desta lista, basta enviar um email em branco para
> >> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
> >>
> > _______________________________________________
> > KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> > Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> > Intercomunicadores para acesso remoto via rede IP. Conheça em
> > www.Khomp.com.
> > _______________________________________________
> > ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> > Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> > Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> > _______________________________________________
> > Para remover seu email desta lista, basta enviar um email em branco para
> > asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em
> www.Khomp.com.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
--
Everaldo Rodrigues de Oliveira
Analista de Suporte/Telecomunicações
Mobile: 55 (41) 9620 0524
MSN: everaldo_cascavel em hotmail.com
Skype: everaldo_cvel
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20130516/03194dd9/attachment-0001.htm
Mais detalhes sobre a lista de discussão AsteriskBrasil