[gelöst] Verschlüsselung der VoIP Verbindung

[Markus_]

Bisher habe ich einen Asterisk server (1.4) auf einem Debian 4.0 System aufgesetzt und 2 VoIP Telefone daran angeschlossen. Weiters ist ein externes Gespräch über Sipgate möglich.

Als nächstes möchte ich das ganze natürlich absichern. Da hören nur leider alle Tutorials im Internet auf.

Folgendes würde mich interessieren:

a) wie würde ich das machen? Wie richte ich die Protokolle SIPS/SRTP ein? etc
b) genauere Infos (eventuell eine Anleitung etc)

Grüße
Markus

 

[laureen]

WOGEGEN willst du WAS absichern? etwas genauer wär schon super.

SIPS und SRTP werden meines wissens nach nicht von asterisk unterstützt. eine absicherung kannst du über OpenVPN machen, wenn du beispielsweise mehrere standorte verbindest, ansonsten macht das keinen sinn, ausser du traust deinem eigenen netzwerk nicht

grüße,
laureen

 

[Ottone]

Guckst Du ersteinmal: Asterisk encryption

 

[Markus_]

Soweit ich das sehe ist Verkehr im eigenen LAN offen und jeder kann nach belieben mitlesen - das würde ich gerne unter binden. (Außerdem gehen manche Gespräche ja auch nach außen).

Was ich erreichen will: Nur die 2 Gesprächspartner sollen von dem Gespräch etwas mitbekommen können.

 

[cibi]

Wenn du dich wirklich informiert hättest, wüsstest du, dass Asterisk 1.4 gar keine Verschlüsselung ohne Patch unterstützt, erst 1.6 soll (?) das können.

 

[Markus_]

weiß ich auch, nur Patches sind ja normalerweise auch da um installiert zu werden. Da aber in diesem Forum anscheinend keiner bereit ist zu helfen, werde ich wohl alles selbst herausfinden müssen.

danke, kann geschlossen werden

 

[Ottone]

Also einen Anspruch auf eine schlüsselfertige Lösung durch Forumsteilnehmer hast Du nicht. ;-)

Für LAN interne Gespräche könntest Du direkt von Gerät zu Gerät telefonieren ohne die PBX dazwischen zu haben. Bei den SNOMs, zum Beispiel, sollte sich so per SRTP und ggf. auch TLS ein sicherer Pfad herstellen lassen.

Für externe Gespräche gibt es viele Wege: ISDN, ISDN mit Verschlüsselung, VPN, IAX mit Verschlüsselung, SIP mit SRTP und TLS. Keine dieser Methoden ist trivial zu realisieren und Du benötigst vor allem einen carrier der dies auf der anderen Seite unterstützt. Derzeit am einfachsten sind bestimmt a) ISDN (also kein VoIP im Internet) und VPN.

Sofern Du nicht auf Asterisk festgelegt bist: FreeSwitch z.B. hat SRTP und TLS Unterstützung, liesse sich evtl. auch einfach Deinem Asterisk für Verschlüsselungsaufgaben vorschalten.

 

[Markus_]

ich will auch keine fertigen Lösungen

Ich glaube nur, dass ich ein Problem hab, dass so gut wie jeder, der Asterisk einsetzt irgendwann bekommt. Nachdem bisher alles unverschlüsselt ist, könnte sich (nach meinem Wissensstand) jeder ex-beliebige einklinken und Gespräche mitschneiden.

Folgende Dinge will ich damit tun

1) interne Gespräche innerhalb einer Anlage führen
2) interne Gespräche (via VPN) zu einer 2. Anlage
3) externe Gespräche ins Festnetz

Ich möchte bei keiner der 3 Varianten, dass irgendjemand anderer außer die beiden Gesprächspartner etwas mithören kann.

Nach meinen Informationen sollte ich eigentlich eine relativ hohe Sicherheit erreichen, wenn ich SIPS und SRTP anstatt der üblichen Protokolle verwende. Das sollte intern ja kein Problem sein (also 1) und 2) ) nur wie ich das mit externen Gesprächen löse weiß ich nicht.

Da Asterisk SIPS und SRTP (noch) nicht unterstützt muss ich auf Patches zugreifen. Dazu hab ich einige Infos gefunden, aber nichts genaues wie ich das installiere.

Wie löst ihr dieses Problem, oder habt ihr keine Verschlüsselung?

/edit: für extern wird ISDN wahrscheinlich am sinnvollsten sein, das muss ich mir erst genauer anschaun, danke für den Hinweis!

 

[cibi]

weiß ich auch, nur Patches

Ich wußte nicht das du das weißt

Probier doch einfach gleich mal Asterisk 1.6, bevor du lange mit irgendwelchen Patches experimentierts:
http://svn.digium.com/view/asterisk/branches/1.6.0/doc/siptls.txt?&view=markup

http://svn.digium.com/view/asterisk/branches/1.6.0/configs/sip.conf.sample?view=markup

VLan wäre eventuell je nach Ausstattung eine Alternative.

 

[Markus_]

danke werd ich mir anschaun und nach dem Wochenende testen!

 

[Guard-X]

Mal eine blöde Frage, wieso willst du denn interne Gespräche verschlüsseln? Es kann doch sowieso jeder mithören, auch wenn du verschlüsselst (Stichwort Richtmikrofon aus dem Elektronikkatalog). Genauso ist es mit externen Gesprächen, die Gegenseite müsste die gleiche Technik verwenden wie du, bzw. bei ISDN und Analog Gegenstellen nehme ich einfach den Verteilerschrank von der T-Com, der bei dir vor der Tür steht, um das Gespräch mitzuhören.

Jede herkömmliche Technik ist unsicherer als eine Kommunikation über IP.

Diese Aussage stellt nur meine eigene Meinung dar ;-)

mfg Guard-X

 

[TomS]

Ich kann Markus Motivation schon verstehen:

Um sich Richtmikrofone oder eine Prüf/Abfrage-Einheit zu bestellen oder in den Verteilerschrank der T-Com einzubrechen braucht es m.E. mehr kriminelle Energie als wenn z.B. ein gelangweilter Student mal schnell Wireshark auf sein WLAN-Notebook aufspielt um aus Neugier mal ein bischen mitzuschneiden was über's Netz geht.

Gegen ernsthafte Werksspionage hilft konventionelle analog/ISDN-Technik natürlich auch nichts.

Es wäre einfach toll wenn Asterisk und die Clients von sich aus eine einfache, unkomplizierte Verschüsselung z.B. per SSL beherrschen würden. Authentifizierung per Zertifikat müsste ich nicht haben. Selfsigned temporäre Zertifikate würde mir schon reichen.
Mal abwarten wie's mit 1.6 wird...

 

[Timmbo]

Hi Tom,

Dein Beispiel mit Wireshark geht ja auch ned, denn das installierte Wireshark kann ja nur die Daten die für Deinen Rechner bestimmt sind "mitlesen".
Also ich bin der selben Meinung wie Guard-X.

Grüße
Timm

 

[TomS]

Hi Timm,

stimmt natürlich dass schon die Bridging-Funktion eines Switch dafür sorgt, dass nicht alle LAN-User alles sehen. Daher hab ich als Beispiel das WLAN genommen. Dort sieht (in den meisten Konfigurationen) jeder alles was drüber geht, sobald er sich eingeloggt hat.

Ich seh das nicht als Ausschluß-Kriterium für SIP, aber schöner wäre es schon wenn SIPS heute schon so einfach aufzusetzen wäre wie z.B. HTTPS oder SMTPS.
Man wird ja wohl noch träumen dürfen

CU,
Tom

 

[Markus_]

nachdem Asterisk 1.6 anscheinend noch nicht ganz ausgereift ist, werde ich trotzdem wieder auf 1.4 umsteigen. Leider funktionieren die Patches auch nicht so einfach wie gedacht. Eigentlich schade, dass so ein essentieller Teil von VoIP bisher nicht beachtet wurde

 

[stony999]

Bei mir geht Verschlüsselung (TLS und SRTP) mit Freeswitch und Snom-Phones.
Ich habe aber noch kein Softphone gefunden, das mit Freeswitch laufen würde (SDES und MIKEY-Problem).