od xsouku04 » čtv 30. pro 2021 11:33:37
Včera, tedy 29.12.2021 ve 3 hodiny ráno došlo ke přestěhování našeho hlavního sip.odorik.cz na jiný fyzický stroj. Přestože jsme verzi sip proxy neměnili (abychom nedělali moc změn v jednom kroku), proxy na novém serveru již nepodporuje zastaralé TLS 1.0 a 1.1.
Bezpečnostní experti a tedy i vývojáři linuxové distribuce dělají vše proto, aby tyto starší protokoly byly defaultně zakázané a dokumentovaný způsob, jak je výslovně povolit, nám nezafungoval.
Zatím víme o dvou uživatelích, kterých se to týká. Jeden má starší ústřednu Asterisk a druhý telefon Linksys SPA942. Určitě se to týká více lidí, ale jsou to rozhodně jednotlivci. Doporučujeme TLS/SRTP na těchto starších zařízení nyní vypnout.
Že náš nový SIP server nově nepodporuje TLS 1.0 a 1.1, ale podporuje 1.2 a 1.3, lze ověřit třeba zde.
https://www.cdn77.com/tls-test/result?d ... .cz%3A5061 Zajímavé je, že tato stránka nás naopak chválí za to, že TLS 1.0 a 1.1 nepodporujeme.
Snažil jsem se zjisti, jak jsou na tom ostatní VoIP operátoři v ČR, ale nenašel jsem žádného, který by TLS a SRTP vůbec podporoval. Předpokládám, že to bude běžné jen v rámci neveřejné služby za příplatek.
Jaké riziko představuje, pokud bychom TLS 1.0 a 1.1 nejsem schopen posoudit, ale předpokládám, že i zastaralé šifrování je stále mnohonásobně lepší než žádné. Jestli tedy TLS 1.0 nebo 1.1 po novém roce opět povolíme není ještě rozhodnuto.
Další běžný problém, co zaznamenávají lidé, co se snaží používat šifrování, je že některé telefony přestali důvěřovat
certifikátům Let's encrypt, poté co mu vypršel jeden kořenový certifikát. Řešením je použít na Odoriku certifikát, který jsme si
podepsali sami na třicet let dopředu a běží na jiném portu.
Jiné řešení by mohlo být, že bychom zprovoznili VPN službu wireguard, kterou by mohl mít každý náš zákazník k dispozici zdarma nebo za symbolickou cenu pro telefonní hovory přes nás. A kdyby byl zájem možná i za příplatek jako obecnou vpn službu kamkoli, pokud by byl zájem. Smysl to může mít na nebezpečných či omezujících wifinách nebo pokud někteří poskytovatelé obsahu blokují na základě země, z které pochází použití ip adresa, nebo pro přístup k zařízením v jiné lokalitě.
Výhoda řešení přes wireguard může spočívat v tom, že hovor by zašifroval až samotný router, tedy podpora šifrování na telefonu nebo ústředně by nebyla potřebná. Usnadnilo by to i spravování telefonů na dálku. Telefonům by se mohlo vhodným nastavením úplně zakázat přístup do a z internetu,
Měly by přístup jen k odoriku/před odorik přes šifrování wireguard. Nastavovat telefony (a nejen telefony) by mohl každý, kdo nahraje po přihlášení svůj veřejný klíč u nás na web ... Výhoda také je, že pokud by se router s wireguard polámal, výměnou za jiný bude vše fungovat dál jen bez šifrování.
Nevýhoda je, že hovor by šlo odposlechnout v lokální síti zákazníka dříve, než bude zašifrován routerem. Snadnější správa této konfigurace mi ale připadá jako naprosto zásadní rozdíl.
Nyní jsem se ještě díval, že i Yealink podporuje přímo v telefonech openVPN. OpenVPN mi ale přijde jako technologie zastaralá. Pro někoho, kdo má dva a více VoIP telefonů v jedné lokalitě, by asi lepší bylo nabízet přednastavený router (nebo návod, jak nastavení provést), který by stačilo zapojit před telefony. Kromě zvýšené bezpečnosti by to i výrazně usnadnilo správu telefonů na dálku.
Včera, tedy 29.12.2021 ve 3 hodiny ráno došlo ke přestěhování našeho hlavního sip.odorik.cz na jiný fyzický stroj. Přestože jsme verzi sip proxy neměnili (abychom nedělali moc změn v jednom kroku), proxy na novém serveru již nepodporuje zastaralé TLS 1.0 a 1.1.
Bezpečnostní experti a tedy i vývojáři linuxové distribuce dělají vše proto, aby tyto starší protokoly byly defaultně zakázané a dokumentovaný způsob, jak je výslovně povolit, nám nezafungoval.
Zatím víme o dvou uživatelích, kterých se to týká. Jeden má starší ústřednu Asterisk a druhý telefon Linksys SPA942. Určitě se to týká více lidí, ale jsou to rozhodně jednotlivci. Doporučujeme TLS/SRTP na těchto starších zařízení nyní vypnout.
Že náš nový SIP server nově nepodporuje TLS 1.0 a 1.1, ale podporuje 1.2 a 1.3, lze ověřit třeba zde. https://www.cdn77.com/tls-test/result?domain=sip.odorik.cz%3A5061 Zajímavé je, že tato stránka nás naopak chválí za to, že TLS 1.0 a 1.1 nepodporujeme.
Snažil jsem se zjisti, jak jsou na tom ostatní VoIP operátoři v ČR, ale nenašel jsem žádného, který by TLS a SRTP vůbec podporoval. Předpokládám, že to bude běžné jen v rámci neveřejné služby za příplatek.
Jaké riziko představuje, pokud bychom TLS 1.0 a 1.1 nejsem schopen posoudit, ale předpokládám, že i zastaralé šifrování je stále mnohonásobně lepší než žádné. Jestli tedy TLS 1.0 nebo 1.1 po novém roce opět povolíme není ještě rozhodnuto.
Další běžný problém, co zaznamenávají lidé, co se snaží používat šifrování, je že některé telefony přestali důvěřovat [url=http://forum.odorik.cz/viewtopic.php?f=15&t=5104]certifikátům Let's encrypt, poté co mu vypršel jeden kořenový certifikát.[/url] Řešením je použít na Odoriku certifikát, který jsme si [url=http://www.odorik.cz/w/srtp#verejny_klic_certifikacni_autority]podepsali sami na třicet let dopředu[/url] a běží na jiném portu.
Jiné řešení by mohlo být, že bychom zprovoznili VPN službu wireguard, kterou by mohl mít každý náš zákazník k dispozici zdarma nebo za symbolickou cenu pro telefonní hovory přes nás. A kdyby byl zájem možná i za příplatek jako obecnou vpn službu kamkoli, pokud by byl zájem. Smysl to může mít na nebezpečných či omezujících wifinách nebo pokud někteří poskytovatelé obsahu blokují na základě země, z které pochází použití ip adresa, nebo pro přístup k zařízením v jiné lokalitě.
Výhoda řešení přes wireguard může spočívat v tom, že hovor by zašifroval až samotný router, tedy podpora šifrování na telefonu nebo ústředně by nebyla potřebná. Usnadnilo by to i spravování telefonů na dálku. Telefonům by se mohlo vhodným nastavením úplně zakázat přístup do a z internetu,
Měly by přístup jen k odoriku/před odorik přes šifrování wireguard. Nastavovat telefony (a nejen telefony) by mohl každý, kdo nahraje po přihlášení svůj veřejný klíč u nás na web ... Výhoda také je, že pokud by se router s wireguard polámal, výměnou za jiný bude vše fungovat dál jen bez šifrování.
Nevýhoda je, že hovor by šlo odposlechnout v lokální síti zákazníka dříve, než bude zašifrován routerem. Snadnější správa této konfigurace mi ale připadá jako naprosto zásadní rozdíl.
Nyní jsem se ještě díval, že i Yealink podporuje přímo v telefonech openVPN. OpenVPN mi ale přijde jako technologie zastaralá. Pro někoho, kdo má dva a více VoIP telefonů v jedné lokalitě, by asi lepší bylo nabízet přednastavený router (nebo návod, jak nastavení provést), který by stačilo zapojit před telefony. Kromě zvýšené bezpečnosti by to i výrazně usnadnilo správu telefonů na dálku.