Muito obrigado, Galera, vou fazer o que me disseram e tentar
criptografa.<br />Se puder dar uma olhada segue em anexo meu sip.conf e o
extension.conf<br /><br /><br />> Senhores,<br />> <br />>
Basicamente, em um Asterisk com o SRTP:<br />> <br />> Para cada
ramal que vai suportar criptografia de media, adicionar:<br />> <br
/>> encryption=yes<br />> <br />> Para só permitir
chamadas com media encriptada, você tem que alterar o<br />>
dialplan para forçar isso, checando se a variável
CHANNEL(secure_media)<br />> está com 1.<br />> <br />>
!!!!!!!!!!!!!!!!!!!!!!!!!!NOTA!!!!!!!!!!!!!!!!!!!!!!!!!!!<br />> <br
/>> secure_media não significa secure_sginaling que deve ser
checado em<br />> CHANNEL(secure_signaling) onde 1 é ativo.<br
/>> <br />> Traduzindo: a chave que irá criptografar a media
(audio) será trocada<br />> entre<br />> o cliente e servidor
em texto plano, logo, alguém com um mínimo de<br />>
conhecimento conseguirá interceptar e usá-la para fazer
escuta no canal.<br />> <br />> Para isto, você tem que
criptografar a sinalização também, usando TLS por<br
/>> exemplo. Mas isso você já deve ter entendido, pois leu
primeiro o<br />> Specifics<br />> né?<br />> <br />>
**** Como fazer chamadas seguras: encripte a sinalização E
encripte a<br />> media. ***<br />> <br />> Sds<br />> <br
/>> <br />> Alexandre Alencar<br />> Twitter @alexandreitpro<br
/>> http://blog.alexandrealencar.net/<br />>
http://www.alexandrealencar.net/<br />>
http://www.alexandrealencar.com<br />>
http://www.servicosdeti.com.br/<br />> COBIT, ITIL, CSM, LPI, MCP-I<br
/>> <br />> <br />> <br />> 2013/5/15 Everaldo Rodrigues de
Oliveira <everaldoro@gmail.com><br />> <br />>> Ricardo os
testes em que homologamos a solução com segurança<br
/>>> implementada<br />>> usamos SRTP e TLS com chaves
encriptografadas, mas o que interessa a<br />>> você<br
/>>> no momento é apenas SRTP não é? Bom o
cenário foi o seguinte:<br />>><br />>> Na primeira vez
que tentamos usar SRTP foi na versão do Asterisk 1.8,<br />>>
mas<br />>> tivemos que compilar o modulo srtp, pois nessa
versão não vinha nativo,<br />>> nas<br />>>
versões do Asterisk 11 o SRTP já é nativo basta
marcar na instalação do<br />>> asterisk pelo menu
select.<br />>><br />>> Estou usando telefones do fabricante
Yealink que suportam SRTP, pois<br />>> mesmo<br />>>
habilitando nos no arquivo sip.conf deve ser habilitado no telefone<br
/>>> também<br />>> pra que funcione.<br />>><br
/>>> no arquivo sip.conf<br />>> ;tronco sip com outro
servidor asterisk<br />>> [tk1_]<br />>> host=192.168.0.180<br
/>>> port=5060<br />>> username=senha123<br />>>
secret=senha123<br />>> type=friend<br />>> qualify=yes<br
/>>> insecure=port,invite<br />>> dtmfmode=rfc2833<br
/>>> language=pt_BR<br />>> encryption=yes ;deve ter esse
parametro se quiser que as chamadas<br />>> através deste
tronco sejam criptografadas<br />>><br />>> ;ramais<br
/>>> [1400]<br />>> type=friend<br />>> secret=1400<br
/>>> host=dynamic<br />>> canreinvite=no<br />>>
dtmfmode=rfc2833<br />>> mailbox=1400@default<br />>>
disallow=all<br />>> allow=ulaw,h261,h261p,h263,h264<br />>>
language=pt_BR<br />>> encryption=yes ;com
essa opção as chamadas deverão<br />>> estar
criptografadas<br />>>
;se esquecer que os<br />>> telefones devem suportar srtp e estar
habilitado<br />>>
;caso contrário não vai<br />>> funcionar.<br
/>>> context=todas<br />>> callgroup=1<br />>>
pickupgroup=1<br />>> call-limit=3<br />>> qualify=yes<br
/>>><br />>> Se quiser criar mais ramas basta copiar e alterar
o número 1400 para o<br />>> novo ramal.<br />>> Espero
ter ajudado.<br />>><br />>> Obs: Pra checar se as chamadas
estão criptografadas, use o aplicativo<br />>> wireshark
capture os pacotes antes de habilitar o SRTP, e faça o mesmo<br
/>>> depois que habilitar, dessa forma pode comprovar se a chamada
está com<br />>> criptação segura no seu
teste.<br />>><br />>> Att.<br />>> Everaldo Oliveira<br
/>>><br />>><br />>> Em 15 de maio de 2013 15:00,
<ricardoferrari@pop.com.br> escreveu:<br />>><br />>>
Evaldo, tudo bem?<br />>>> Eu preciso só para testes
também, estou fazendo doutorado e tenho q<br />>>>
criar<br />>>> um cenário seguro para encontrar uma falha
e resolver.<br />>>> Vi alguns tutoriais dizendo para habilitar o
encryption=yes no<br />>>> sip.conf,<br />>>> mas
não da nada, quando tento fazer a chamada para o servidor
Asterisk<br />>>> diz<br />>>> que é capaz de
suportar SRTP, mas que não foi requisitado.<br />>>>
Você pode me ajudar na configuração do servidor e do
cliente? Você sou<br />>>> que cliente Voip?<br
/>>>> Obrigado por enquanto.<br />>>><br
/>>>><br />>>> > Boa tarde, já usei, mas com
testes em laboratório(em torno de 15<br />>>> ramai),<br
/>>>> > funciona bem, mas não sei em grande escala(com
um grande número de<br />>>> ramais<br />>>> >
não sei qual seria o impacto), mas creio que deva funcionar sem<br
/>>>> problemas.<br />>>> ><br />>>> >
Att.<br />>>> > Everaldo Oliveira<br />>>> ><br
/>>>> > Em 15 de maio de 2013 13:26,
<ricardoferrari@pop.com.br> escreveu:<br />>>> ><br
/>>>> >> Galera, alguém já trabalhou com SRTP
no Asterisk?<br />>>> >> Agradeço a
atenção.<br />>>> >>
_______________________________________________<br />>>> >>
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;<br
/>>>> >> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN
e SS7;<br />>>> >> Intercomunicadores para acesso remoto
via rede IP. Conheça em<br />>>> >>
www.Khomp.com.<br />>>> >>
_______________________________________________<br />>>> >>
ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e<br
/>>>> SS7.<br />>>> >> Placas de 1E1, 2E1, 4E1 e
8E1 para PCI ou PCI Express.<br />>>> >> Channel Bank
– Appliance Asterisk - Acesse www.aligera.com.br.<br />>>>
>> _______________________________________________<br />>>>
>> Para remover seu email desta lista, basta enviar um email em
branco<br />>>> para<br />>>> >>
asteriskbrasil-unsubscribe@listas.asteriskbrasil.org<br />>>>
>><br />>>> ><br />>>> ><br />>>>
><br />>>> > --<br />>>> > Everaldo Rodrigues
de Oliveira<br />>>> > Analista de
Suporte/Telecomunicações<br />>>> > Mobile: 55
(41) 9620 0524<br />>>> > MSN:
everaldo_cascavel@hotmail.com<br />>>> > Skype:
everaldo_cvel<br />>>> >
_______________________________________________<br />>>> >
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;<br
/>>>> > Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e
SS7;<br />>>> > Intercomunicadores para acesso remoto via rede
IP. Conheça em<br />>>> > www.Khomp.com.<br
/>>>> > _______________________________________________<br
/>>>> > ALIGERA – Fabricante nacional de Gateways SIP-E1
para R2, ISDN e SS7.<br />>>> > Placas de 1E1, 2E1, 4E1 e 8E1
para PCI ou PCI Express.<br />>>> > Channel Bank –
Appliance Asterisk - Acesse www.aligera.com.br.<br />>>> >
_______________________________________________<br />>>> >
Para remover seu email desta lista, basta enviar um email em branco<br
/>>>> para<br />>>> >
asteriskbrasil-unsubscribe@listas.asteriskbrasil.org<br />>>><br
/>>>> _______________________________________________<br
/>>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e
E1;<br />>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e
SS7;<br />>>> Intercomunicadores para acesso remoto via rede IP.
Conheça em<br />>>> www.Khomp.com.<br />>>>
_______________________________________________<br />>>> ALIGERA
– Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.<br
/>>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.<br
/>>>> Channel Bank – Appliance Asterisk - Acesse
www.aligera.com.br.<br />>>>
_______________________________________________<br />>>> Para
remover seu email desta lista, basta enviar um email em branco<br
/>>>> para<br />>>>
asteriskbrasil-unsubscribe@listas.asteriskbrasil.org<br />>>><br
/>>><br />>><br />>><br />>> --<br />>>
Everaldo Rodrigues de Oliveira<br />>> Analista de
Suporte/Telecomunicações<br />>> Mobile: 55 (41) 9620
0524<br />>> MSN: everaldo_cascavel@hotmail.com<br />>> Skype:
everaldo_cvel<br />>><br />>>
_______________________________________________<br />>> KHOMP:
completa linha de placas externas FXO, FXS, GSM e E1;<br />>> Media
Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;<br />>>
Intercomunicadores para acesso remoto via rede IP. Conheça em<br
/>>> www.Khomp.com.<br />>>
_______________________________________________<br />>> ALIGERA
– Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.<br
/>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.<br
/>>> Channel Bank – Appliance Asterisk - Acesse
www.aligera.com.br.<br />>>
_______________________________________________<br />>> Para remover
seu email desta lista, basta enviar um email em branco para<br />>>
asteriskbrasil-unsubscribe@listas.asteriskbrasil.org<br />>><br
/>> _______________________________________________<br />> KHOMP:
completa linha de placas externas FXO, FXS, GSM e E1;<br />> Media
Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;<br />>
Intercomunicadores para acesso remoto via rede IP. Conheça em<br
/>> www.Khomp.com.<br />>
_______________________________________________<br />> ALIGERA –
Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.<br />>
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.<br />> Channel
Bank – Appliance Asterisk - Acesse www.aligera.com.br.<br />>
_______________________________________________<br />> Para remover seu
email desta lista, basta enviar um email em branco para<br />>
asteriskbrasil-unsubscribe@listas.asteriskbrasil.org