Šifrované hovory ZRTP a Odorik

tls,srtp,zrtp a bezpečnostní potíže VoIP
Odpovědět
m142857
Příspěvky: 40
Registrován: čtv 02. čer 2016 11:39:04

Re: Šifrované hovory s pomocí Odoriku, jak na to.

Příspěvek od m142857 »

aiwan píše: ...
Má niekto návrhy, ako sfunkčniť šifrovanie ZRTP v oboch smeroch? Prípadne to máte úspešne otestované s inou kombináciou programov?
Zatím jsem úspěšně obousměrně otestoval ZRTP hovory mezi CSipSimple/Android (1.02.03) <-> Linphone/Linux (3.9.1).
Linphone: Settings -> Network Settings -> Media encryption type: ZRTP; (bohužel spojení TLS nejde, jen TCP, ale asi to nevadí)
CSipSimple: povolit TLS; SRTP: Optional; Create ZRTP

Má to však mouchu že se s tímto CSipSimple profilem nedovolám ven na mobilní čísla, hází chybu 488 - Not acceptable here. V tomhle případě zřejmě chyba nesouvisí s kodeky.. Tento profil tedy mám v záloze pro případný záměrně šifrovaný SIP hovor, normálně používám profil, který má SRTP: Mandatory; No ZRTP.

Experimentuju taky se Zoiper/Android, přestože mám přikoupenu podporu ZRTP, zatím se mi nepodařilo jediné úspěšné ZRTP volání.
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8139
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: Šifrované hovory s pomocí Odoriku, jak na to.

Příspěvek od xsouku04 »

m142857 píše: Má to však mouchu že se s tímto CSipSimple profilem nedovolám ven na mobilní čísla, hází chybu 488 - Not acceptable here. V tomhle případě zřejmě chyba nesouvisí s kodeky.. Tento profil tedy mám v záloze pro případný záměrně šifrovaný SIP hovor, normálně používám profil, který má SRTP: Mandatory; No ZRTP.
ZRTP má smysl a význam jen na volání v rámci internetu. Unikátnost tkví v tom, že jej nemůže pak odposlouchávat vůbec nikdo. Při volání na běžné mobilní číslo o tuhle výhodu přicházíte, a i kdybychom ZRTP podporovali, nedosáhnete větší zabezpečení než SIPS+SRTP. Vlastně by to nebezpečnost snížilo, protože byste pak neměl jistotu, jestli je zrtp použito pro celou cestu nebo jen část - od vás k nám. Totiž při volání na mobil u nás šifrování končí a dál už jde hovor jako úplně normální a mohou jej napíchnutí fízlové, nebo úplně kdokoli se svou falešnou BTS.
m142857
Příspěvky: 40
Registrován: čtv 02. čer 2016 11:39:04

Re: Šifrované hovory ZRTP a Odorik

Příspěvek od m142857 »

Jasně, ZRTP volání na klasický mobil je nesmysl. Spíš mi šlo o to, že je škoda, že nelze použít jeden profil kde by se nastavil ZRTP i SRTP jako optional a při volání by se nějak automagicky zjistilo jaké nastavení šifrování použít tak aby bylo dosaženo největšího zabezpečení v rámci možností.
Uživatelský avatar
peekaa
Příspěvky: 109
Registrován: stř 08. srp 2012 16:35:05

Re: Šifrované hovory ZRTP a Odorik

Příspěvek od peekaa »

Rád bych šifroval hovory z win (xp-10) do win (xp-10). Podle http://www.odorik.cz/w/zrtp je aktuální stav:

* jitsi - ten program je dost velký, 70 MB, https://download.jitsi.org/jitsi/window ... st-x86.exe - je to opravdu ono? Platí to ještě? Funguje to?
* zphone - to již nefunguje, nedá se stáhnout http://www.zfone.com/server_problems.html, odkazují na placené Silent Phone https://www.silentcircle.com/products-a ... /software/
* u mého oblíbeného MicroSIP je možnost ZRTP na wishlistu na 72. místě .. http://www.microsip.org/wishes


Díky.
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8139
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: Šifrované hovory ZRTP a Odorik

Příspěvek od xsouku04 »

peekaa píše:Rád bych šifroval hovory z win (xp-10) do win (xp-10). Podle http://www.odorik.cz/w/zrtp je aktuální stav:

* jitsi - ten program je dost velký, 70 MB, https://download.jitsi.org/jitsi/window ... st-x86.exe - je to opravdu ono? Platí to ještě? Funguje to?
* zphone - to již nefunguje, nedá se stáhnout http://www.zfone.com/server_problems.html, odkazují na placené Silent Phone https://www.silentcircle.com/products-a ... /software/
* u mého oblíbeného MicroSIP je možnost ZRTP na wishlistu na 72. místě .. http://www.microsip.org/wishes


Díky.
Osobní zkušenost nemám, ale šel by zkusit Linphone. http://www.linphone.org/
Linphone je zde hrozně dlouho, ale býval tradičně hodně zabagovaný, ale zjevně se stále hodně vyvíjí. Umí video i zrtp.

Jitsi pro Windows by také mělo fungovat, ale je to hrozně velký a uživatelsky ne moc přívětivý moloch.
aiwan
Příspěvky: 98
Registrován: pát 12. črc 2013 0:16:11

Re: Šifrované hovory ZRTP a Odorik

Příspěvek od aiwan »

Možno by stálo za to ešte sa pozrieť na Draytek Soft Phone.
http://www.draytek.com.tw/ftp/tools/Dra ... v1.7.0.zip

Podporuje aj ZRTP. Momentálne testujem Router Draytek Vigor 2860VAC s podporou ZRTP+SRTP v ktorom mám zapojený analógový telefón cez SIP Odoriku.

Zatiaľ mám tieto výsledky (volanie cez SIP Odorik a pred číslom linky **)
Pri volaní z Draytek Soft Phone alebo Jitsi na analógový telefón pripojený k Routeru funguje ZRTP bez problémov.
Pri volaní z analógového telefónu na Draytek Soft Phone bez problémov, na Jitsi mi ZRTP nechce fungovať.

Čo však neviem rozchodiť je aby Router pri volaniach na bežné mobilné/geografické čísla šifroval cez SRTP. Momentálne ani neviem s určitosťou povedať, či šifrovanie aplikuje alebo nie, avšak ak nastavím u Odorika povinné SRTP, tak hovor nespojí... Komunikujem aj s výrobcom, uvidíme, či na niečo prídeme.
Čo sa zo strany Odorika týka, malo by SRTP fungovať aj cez port 5060, alebo treba nastaviť iný port (napr 5061 alebo 6689)?
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8139
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: Šifrované hovory ZRTP a Odorik

Příspěvek od xsouku04 »

aiwan píše:Možno by stálo za to ešte sa pozrieť na Draytek Soft Phone.
http://www.draytek.com.tw/ftp/tools/Dra ... v1.7.0.zip

Podporuje aj ZRTP. Momentálne testujem Router Draytek Vigor 2860VAC s podporou ZRTP+SRTP v ktorom mám zapojený analógový telefón cez SIP Odoriku.

Zatiaľ mám tieto výsledky (volanie cez SIP Odorik a pred číslom linky **)
Pri volaní z Draytek Soft Phone alebo Jitsi na analógový telefón pripojený k Routeru funguje ZRTP bez problémov.
Pri volaní z analógového telefónu na Draytek Soft Phone bez problémov, na Jitsi mi ZRTP nechce fungovať.

Čo však neviem rozchodiť je aby Router pri volaniach na bežné mobilné/geografické čísla šifroval cez SRTP. Momentálne ani neviem s určitosťou povedať, či šifrovanie aplikuje alebo nie, avšak ak nastavím u Odorika povinné SRTP, tak hovor nespojí... Komunikujem aj s výrobcom, uvidíme, či na niečo prídeme.
Čo sa zo strany Odorika týka, malo by SRTP fungovať aj cez port 5060, alebo treba nastaviť iný port (napr 5061 alebo 6689)?
SRTP je šifrování RTP a RTP nikdy nepoužívá porty 5061 , porty jako 5060, 5061, 6689 jsou pro signalizaci ne pro zvuk = RTP.

Ale aby mělo smysl šifrovat samotný zvuk tedy místo běžného RTP použít SRTP, je třeba šifrovat i signalizaci, jinak by si každý mohl přečíst ony šifrovací klíče a a hovor rozšifrovat.
Tedy je to třeba použít ve spojitosti s SIPS nebo někdy též označováno jako TLS. A ono TLS používá už ten netradiční port 5061.
aiwan
Příspěvky: 98
Registrován: pát 12. črc 2013 0:16:11

Re: Šifrované hovory ZRTP a Odorik

Příspěvek od aiwan »

Vďaka za objasnenie. Príde mi to, akoby Draytek vôbec nepodporoval SRTP. Alebo je možná nejaká nekompatibilita s Odorikom? V nastaveniach routra je aktivovaná podpora ZRTP+SRTP, pritom ZRTP funguje. V prípade, že u vás v nastaveniach linky zaškrtnem povinné SRTP pre príchodzie hovory, tak či je táto linka potom pripojená k routeru alebo Draytek Soft Phone, po zdvihnutí hovoru spadne.
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8139
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: Šifrované hovory ZRTP a Odorik

Příspěvek od xsouku04 »

aiwan píše:Vďaka za objasnenie. Príde mi to, akoby Draytek vôbec nepodporoval SRTP. Alebo je možná nejaká nekompatibilita s Odorikom? V nastaveniach routra je aktivovaná podpora ZRTP+SRTP, pritom ZRTP funguje. V prípade, že u vás v nastaveniach linky zaškrtnem povinné SRTP pre príchodzie hovory, tak či je táto linka potom pripojená k routeru alebo Draytek Soft Phone, po zdvihnutí hovoru spadne.
Pro funkční SRTP je třeba zároveň použít TLS (místo udp nebo TCP). TLS používá jiný port a musí se zapnout obvykle úplně na jiném místě.
aiwan
Příspěvky: 98
Registrován: pát 12. črc 2013 0:16:11

Re: Šifrované hovory ZRTP a Odorik

Příspěvek od aiwan »

Voľbu signalizácie (TCP,UDP,TLS) v nastaveniach routeru nevidím. Pravdepodobne si to managuje router sám :-/ V princípe, jediné čo môžem ovplyvniť je Sipport, Domain/Realm, Proxy. Keby chcem položiť otázku na Support Drayteku, na čo konkrétne sa vlastne mám pýtať?

Mám tieto možnosti nastavenia:
http://eu.draytek.com:12920/ podskupina VoIP
Odpovědět