[AsteriskBrasil] Asterisk com SRTP

Alexandre Cavalcante Alencar alexandre.alencar em gmail.com
Quarta Maio 15 16:07:21 BRT 2013 

Senhores,

Basicamente, em um Asterisk com o SRTP:

Para cada ramal que vai suportar criptografia de media, adicionar:

encryption=yes

Para só permitir chamadas com media encriptada, você tem que alterar o
dialplan para forçar isso, checando se a variável CHANNEL(secure_media)
está com 1.

!!!!!!!!!!!!!!!!!!!!!!!!!!NOTA!!!!!!!!!!!!!!!!!!!!!!!!!!!

secure_media não significa secure_sginaling que deve ser checado em
CHANNEL(secure_signaling) onde 1 é ativo.

Traduzindo: a chave que irá criptografar a media (audio) será trocada entre
o cliente e servidor em texto plano, logo, alguém com um mínimo de
conhecimento conseguirá interceptar e usá-la para fazer escuta no canal.

Para isto, você tem que criptografar a sinalização também, usando TLS por
exemplo. Mas isso você já deve ter entendido, pois leu primeiro o Specifics
né?

**** Como fazer chamadas seguras: encripte a sinalização E encripte a
media. ***

Sds


Alexandre Alencar
Twitter @alexandreitpro
http://blog.alexandrealencar.net/
http://www.alexandrealencar.net/
http://www.alexandrealencar.com
http://www.servicosdeti.com.br/
COBIT, ITIL, CSM, LPI, MCP-I



2013/5/15 Everaldo Rodrigues de Oliveira <everaldoro em gmail.com>

> Ricardo os testes em que homologamos a solução com segurança implementada
> usamos SRTP e TLS com chaves encriptografadas, mas o que interessa a você
> no momento é apenas SRTP não é? Bom o cenário foi o seguinte:
>
> Na primeira vez que tentamos usar SRTP foi na versão do Asterisk 1.8, mas
> tivemos que compilar o modulo srtp, pois nessa versão não vinha nativo, nas
> versões do Asterisk 11 o SRTP já é nativo basta marcar na instalação do
> asterisk pelo menu select.
>
> Estou usando telefones do fabricante Yealink que suportam SRTP, pois mesmo
> habilitando nos no arquivo sip.conf deve ser habilitado no telefone também
> pra que funcione.
>
> no arquivo sip.conf
> ;tronco sip com outro servidor asterisk
> [tk1_]
> host=192.168.0.180
> port=5060
> username=senha123
> secret=senha123
> type=friend
> qualify=yes
> insecure=port,invite
> dtmfmode=rfc2833
> language=pt_BR
> encryption=yes      ;deve ter esse parametro se quiser que as chamadas
> através deste tronco sejam criptografadas
>
> ;ramais
> [1400]
> type=friend
> secret=1400
> host=dynamic
> canreinvite=no
> dtmfmode=rfc2833
> mailbox=1400 em default
> disallow=all
> allow=ulaw,h261,h261p,h263,h264
> language=pt_BR
> encryption=yes                       ;com essa opção as chamadas deverão
> estar criptografadas
>                                                ;se esquecer que os
> telefones devem suportar srtp e estar habilitado
>                                                ;caso contrário não vai
> funcionar.
> context=todas
> callgroup=1
> pickupgroup=1
> call-limit=3
> qualify=yes
>
> Se quiser criar mais ramas basta copiar e alterar o número 1400 para o
> novo ramal.
> Espero ter ajudado.
>
> Obs: Pra checar se as chamadas estão criptografadas, use o aplicativo
> wireshark capture os pacotes antes de habilitar o SRTP, e faça o mesmo
> depois que habilitar, dessa forma pode comprovar se a chamada está com
> criptação segura no seu teste.
>
> Att.
> Everaldo Oliveira
>
>
> Em 15 de maio de 2013 15:00, <ricardoferrari em pop.com.br> escreveu:
>
> Evaldo, tudo bem?
>> Eu preciso só para testes também, estou fazendo doutorado e tenho q criar
>> um cenário seguro para encontrar uma falha e resolver.
>> Vi alguns tutoriais dizendo para habilitar o encryption=yes no sip.conf,
>> mas não da nada,  quando tento fazer a chamada para o servidor Asterisk diz
>> que é capaz de suportar SRTP, mas que não foi requisitado.
>> Você pode me ajudar na configuração do servidor e do cliente? Você sou
>> que cliente Voip?
>> Obrigado por enquanto.
>>
>>
>> > Boa tarde, já usei, mas com testes em laboratório(em torno de 15 ramai),
>> > funciona bem, mas não sei em grande escala(com um grande número de
>> ramais
>> > não sei qual seria o impacto), mas creio que deva funcionar sem
>> problemas.
>> >
>> > Att.
>> > Everaldo Oliveira
>> >
>> > Em 15 de maio de 2013 13:26, <ricardoferrari em pop.com.br> escreveu:
>> >
>> >> Galera, alguém já trabalhou com SRTP no Asterisk?
>> >> Agradeço a atenção.
>> >> _______________________________________________
>> >> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>> >> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>> >> Intercomunicadores para acesso remoto via rede IP. Conheça em
>> >> www.Khomp.com.
>> >> _______________________________________________
>> >> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>> >> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>> >> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>> >> _______________________________________________
>> >> Para remover seu email desta lista, basta enviar um email em branco
>> para
>> >> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>> >>
>> >
>> >
>> >
>> > --
>> > Everaldo Rodrigues de Oliveira
>> > Analista de Suporte/Telecomunicações
>> > Mobile: 55 (41) 9620 0524
>> > MSN: everaldo_cascavel em hotmail.com
>> > Skype: everaldo_cvel
>> > _______________________________________________
>> > KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>> > Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>> > Intercomunicadores para acesso remoto via rede IP. Conheça em
>> > www.Khomp.com.
>> > _______________________________________________
>> > ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>> > Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>> > Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>> > _______________________________________________
>> > Para remover seu email desta lista, basta enviar um email em branco para
>> > asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>> www.Khomp.com.
>> _______________________________________________
>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>
>
>
> --
> Everaldo Rodrigues de Oliveira
> Analista de Suporte/Telecomunicações
> Mobile: 55 (41) 9620 0524
> MSN: everaldo_cascavel em hotmail.com
> Skype: everaldo_cvel
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em
> www.Khomp.com.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20130515/e3556238/attachment.htm

Mais detalhes sobre a lista de discussão AsteriskBrasil