<div dir="ltr">Senhores,<div><br></div><div style>Basicamente, em um Asterisk com o SRTP:</div><div style><br></div><div style>Para cada ramal que vai suportar criptografia de media, adicionar:</div><div style><br></div><div style>
encryption=yes<br></div><div style><br></div><div style>Para só permitir chamadas com media encriptada, você tem que alterar o dialplan para forçar isso, checando se a variável CHANNEL(secure_media) está com 1.</div><div style>
<br></div><div style>!!!!!!!!!!!!!!!!!!!!!!!!!!NOTA!!!!!!!!!!!!!!!!!!!!!!!!!!!</div><div style><br></div><div style>secure_media não significa secure_sginaling que deve ser checado em CHANNEL(secure_signaling) onde 1 é ativo.</div>
<div style><br></div><div style>Traduzindo: a chave que irá criptografar a media (audio) será trocada entre o cliente e servidor em texto plano, logo, alguém com um mínimo de conhecimento conseguirá interceptar e usá-la para fazer escuta no canal.</div>
<div style><br></div><div style>Para isto, você tem que criptografar a sinalização também, usando TLS por exemplo. Mas isso você já deve ter entendido, pois leu primeiro o Specifics né?</div><div style><br></div><div style>
**** Como fazer chamadas seguras: encripte a sinalização E encripte a media. ***</div><div style><br></div><div style>Sds</div><div style><br></div></div><div class="gmail_extra"><br clear="all"><div>Alexandre Alencar<br>
Twitter @alexandreitpro<br><div><a href="http://blog.alexandrealencar.net/" target="_blank">http://blog.alexandrealencar.net/</a><br><a href="http://www.alexandrealencar.net/" target="_blank">http://www.alexandrealencar.net/</a></div>
<div><a href="http://www.alexandrealencar.com" target="_blank">http://www.alexandrealencar.com</a></div><div><a href="http://www.servicosdeti.com.br/" target="_blank">http://www.servicosdeti.com.br/</a></div><div>COBIT, ITIL, CSM, LPI, MCP-I<br>
<div><br></div></div></div>
<br><br><div class="gmail_quote">2013/5/15 Everaldo Rodrigues de Oliveira <span dir="ltr"><<a href="mailto:everaldoro@gmail.com" target="_blank">everaldoro@gmail.com</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr">Ricardo os testes em que homologamos a solução com segurança implementada usamos SRTP e TLS com chaves encriptografadas, mas o que interessa a você no momento é apenas SRTP não é? Bom o cenário foi o seguinte:<div>
<br></div><div>Na primeira vez que tentamos usar SRTP foi na versão do Asterisk 1.8, mas tivemos que compilar o modulo srtp, pois nessa versão não vinha nativo, nas versões do Asterisk 11 o SRTP já é nativo basta marcar na instalação do asterisk pelo menu select.</div>
<div><br></div><div>Estou usando telefones do fabricante Yealink que suportam SRTP, pois mesmo habilitando nos no arquivo sip.conf deve ser habilitado no telefone também pra que funcione.</div><div><br></div>
<div>no arquivo sip.conf</div><div>;tronco sip com outro servidor asterisk</div><div>[tk1_]</div><div>host=<a href="tel:192.168.0.180" value="+551921680180" target="_blank">192.168.0.180</a></div><div>port=5060</div><div>
username=senha123</div><div>
secret=senha123</div><div>type=friend</div><div>qualify=yes</div><div>insecure=port,invite</div><div>dtmfmode=rfc2833</div><div>language=pt_BR</div><div>encryption=yes ;deve ter esse parametro se quiser que as chamadas através deste tronco sejam criptografadas </div>
<div><br></div><div>;ramais</div><div>[1400]</div><div>type=friend</div><div>secret=1400</div><div>host=dynamic</div><div>canreinvite=no</div><div>dtmfmode=rfc2833</div><div>
mailbox=1400@default</div><div>disallow=all</div><div>allow=ulaw,h261,h261p,h263,h264</div><div>language=pt_BR</div><div>encryption=yes ;com essa opção as chamadas deverão estar criptografadas</div>
<div> ;se esquecer que os telefones devem suportar srtp e estar habilitado</div><div> ;caso contrário não vai funcionar.</div>
<div>context=todas</div><div>callgroup=1</div><div>pickupgroup=1</div><div>call-limit=3</div><div>qualify=yes</div><div><br></div><div>Se quiser criar mais ramas basta copiar e alterar o número 1400 para o novo ramal.</div>
<div>Espero ter ajudado.</div><div><br></div><div>Obs: Pra checar se as chamadas estão criptografadas, use o aplicativo wireshark capture os pacotes antes de habilitar o SRTP, e faça o mesmo depois que habilitar, dessa forma pode comprovar se a chamada está com criptação segura no seu teste.</div>
<div><br></div><div>Att.</div><div>Everaldo Oliveira</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">Em 15 de maio de 2013 15:00, <span dir="ltr"><<a href="mailto:ricardoferrari@pop.com.br" target="_blank">ricardoferrari@pop.com.br</a>></span> escreveu:<div>
<div class="h5"><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Evaldo, tudo bem?<br>Eu preciso só para testes também,
estou fazendo doutorado e tenho q criar um cenário seguro para
encontrar uma falha e resolver.<br>Vi alguns tutoriais dizendo para
habilitar o encryption=yes no sip.conf, mas não da nada,
quando tento fazer a chamada para o servidor Asterisk diz que é
capaz de suportar SRTP, mas que não foi requisitado.<br>Você pode me ajudar na configuração do servidor e do
cliente? Você sou que cliente Voip?<br>Obrigado por enquanto.<div><div><br><br>> Boa tarde, já usei, mas com testes em
laboratório(em torno de 15 ramai),<br>> funciona bem, mas
não sei em grande escala(com um grande número de ramais<br>> não sei qual seria o impacto), mas creio que deva funcionar
sem problemas.<br>> <br>> Att.<br>> Everaldo Oliveira<br>> <br>> Em 15 de maio de 2013 13:26,
<<a href="mailto:ricardoferrari@pop.com.br" target="_blank">ricardoferrari@pop.com.br</a>> escreveu:<br>> <br>>>
Galera, alguém já trabalhou com SRTP no Asterisk?<br>>> Agradeço a atenção.<br>>>
_______________________________________________<br>>> KHOMP:
completa linha de placas externas FXO, FXS, GSM e E1;<br>>> Media
Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;<br>>>
Intercomunicadores para acesso remoto via rede IP. Conheça em<br>>> <a href="http://www.Khomp.com" target="_blank">www.Khomp.com</a>.<br>>>
_______________________________________________<br>>> ALIGERA
– Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.<br>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.<br>>> Channel Bank – Appliance Asterisk - Acesse
<a href="http://www.aligera.com.br" target="_blank">www.aligera.com.br</a>.<br>>>
_______________________________________________<br>>> Para remover
seu email desta lista, basta enviar um email em branco para<br>>>
<a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br>>><br>> <br>> <br>> <br>> --<br>> Everaldo Rodrigues de
Oliveira<br>> Analista de Suporte/Telecomunicações<br>> Mobile: 55 <a href="tel:%2841%29%209620%200524" value="+14196200524" target="_blank">(41) 9620 0524</a><br>> MSN:
<a href="mailto:everaldo_cascavel@hotmail.com" target="_blank">everaldo_cascavel@hotmail.com</a><br>> Skype: everaldo_cvel<br>>
_______________________________________________<br>> KHOMP: completa
linha de placas externas FXO, FXS, GSM e E1;<br>> Media Gateways de 1
a 64 E1s para SIP com R2, ISDN e SS7;<br>> Intercomunicadores para
acesso remoto via rede IP. Conheça em<br>> <a href="http://www.Khomp.com" target="_blank">www.Khomp.com</a>.<br>> _______________________________________________<br>> ALIGERA
– Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.<br>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.<br>>
Channel Bank – Appliance Asterisk - Acesse <a href="http://www.aligera.com.br" target="_blank">www.aligera.com.br</a>.<br>> _______________________________________________<br>> Para
remover seu email desta lista, basta enviar um email em branco para<br>> <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a></div>
</div><br>_______________________________________________<br>
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;<br>
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;<br>
Intercomunicadores para acesso remoto via rede IP. Conheça em <a href="http://www.Khomp.com" target="_blank">www.Khomp.com</a>.<br>
_______________________________________________<br>
ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.<br>
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.<br>
Channel Bank – Appliance Asterisk - Acesse <a href="http://www.aligera.com.br" target="_blank">www.aligera.com.br</a>.<br>
_______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></blockquote>
</div></div></div><div><div class="h5">
<br><br clear="all"><div><br></div>-- <br>Everaldo Rodrigues de Oliveira<br>Analista de Suporte/Telecomunicações<br>Mobile: <a href="tel:55%20%2841%29%209620%200524" value="+554196200524" target="_blank">55 (41) 9620 0524</a><br>
MSN: <a href="mailto:everaldo_cascavel@hotmail.com" target="_blank">everaldo_cascavel@hotmail.com</a><br>
Skype: everaldo_cvel
</div></div></div>
<br>_______________________________________________<br>
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;<br>
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;<br>
Intercomunicadores para acesso remoto via rede IP. Conheça em <a href="http://www.Khomp.com" target="_blank">www.Khomp.com</a>.<br>
_______________________________________________<br>
ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.<br>
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.<br>
Channel Bank – Appliance Asterisk - Acesse <a href="http://www.aligera.com.br" target="_blank">www.aligera.com.br</a>.<br>
_______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></blockquote></div>
<br></div>