Spolehlivý SIP klient pro Android s dobrou integrací

Odeslat odpověď


Odpověď na tuto otázku je nutná pro rozlišení automatizovaných pokusů o registraci.
BBCode je vypnutý
Smajlíci jsou vypnutí
Přehled tématu
   

Rozšířit náhled Přehled tématu: Spolehlivý SIP klient pro Android s dobrou integrací

Re: Spolehlivý SIP klient pro Android s dobrou integrací

od xsouku04 » pon 24. lis 2025 21:07:31

dako píše: pon 24. lis 2025 12:06:23 Stačí i v nastavení "zakázat registraci SIP mimo IP CZ a SK" a hned se Vám zúží množina potenciálních útočníků. :) Většina útoků pochází ze zahraničí (Litva, Nizozemí, Francie, Británie atd.)


 
Většina útočníků používá VPN. Oni tak mají IP adresy ze všech zemí. Ochrana je to fakt slabá. Jednou nás napadal někdo i ze stejné serverovny, jako máme server v Brně.  Prý to byla služba https://www.hidemyass.com/ , co mají své servery v Brně, jen v jiné polici.
 

Re: Spolehlivý SIP klient pro Android s dobrou integrací

od dako » pon 24. lis 2025 12:06:23

Stačí i v nastavení "zakázat registraci SIP mimo IP CZ a SK" a hned se Vám zúží množina potenciálních útočníků. :) Většina útoků pochází ze zahraničí (Litva, Nizozemí, Francie, Británie atd.)

Re: Spolehlivý SIP klient pro Android s dobrou integrací

od alfi » pon 24. lis 2025 10:25:29

jadu píše: pát 21. lis 2025 18:22:40Největší posun v bezpečnosti SIP nespočívá v nahrazení MD5, ale v přechodu na šifrovanou signalizaci pomocí SIPS (TLS). Souhlasím s tím, že to většina zařízení neumí. Další možnost je místo MD5 použít SHA-256/512, ale i když to je od roku 2020 součástí SIP (RFC 8760), tak opět to skoro nikdo neumí.
 
Ano, já u sebe se snažím mít TLS všude. Kdysi jsem to prosazoval i v práci - ale reálně to uměl jen Yealink a masové nasazení zase přináší komplikace s údržbou certifikátů a/nebo autorit.. nicméně ani TLS neřeší "čtení" hesel na proxy. Reálně se (s tím dlouhým heslem) spíš nic nestane, nejlépe proxy u stejného provozovatele - ale je dobré o takové možnosti vědět ;-)
 
 
 

Re: Spolehlivý SIP klient pro Android s dobrou integrací

od jadu » pát 21. lis 2025 18:22:40

alfi píše: pát 21. lis 2025 10:54:57ale nemá pravdu - http digest s md5 už se za bezpečné nepovažuje. Tj. když provozovatel proxy (i kdekoliv jinde přes nešifrovaný SIP) bude chtít, všechna krátká hesla dokáže získat :) SIP, pokud vím, nic lepšího než ten digest neumí - nebo rozhodně ne všechny telefony :( 
Největší posun v bezpečnosti SIP nespočívá v nahrazení MD5, ale v přechodu na šifrovanou signalizaci pomocí SIPS (TLS). Souhlasím s tím, že to většina zařízení neumí. Další možnost je místo MD5 použít SHA-256/512, ale i když to je od roku 2020 součástí SIP (RFC 8760), tak opět to skoro nikdo neumí.
xsoukup4 píše: pát 21. lis 2025 10:54:57A pokud jsou SIP hesla náhodná a mají 16 a více znaků, jsou stále bezpečná. 


 
 Ano, to je nejlepší - silné heslo + BFP. Z toho odvozuji, že se uvažuje nad nasazením, což je skvělé.
 
 
 

Re: Spolehlivý SIP klient pro Android s dobrou integrací

od xsouku04 » pát 21. lis 2025 13:12:18

No říká se že bezpečné není, ale získávat všechna kratší ale neslovníková hesla na proxy by nebylo zadarmo a vyžadovalo by to dost velký výkon. Je to rozhodně lepší, než si hesla ukládat rovnou, jak to dělají všichni ostatní. Protože pak kromě odposlechu hrozí též, že se někdo dostane přímo do té databáze. I když je možné, že hesla šifrují nějaký klíčem a vždy před použitím rozšifrovávají. Ten klíč tam je někde přítomen.

A pokud jsou SIP hesla náhodná a mají 16 a více znaků, jsou stále bezpečná.
 
 

Re: Spolehlivý SIP klient pro Android s dobrou integrací

od alfi » pát 21. lis 2025 10:54:57

xtonda píše: čtv 20. lis 2025 13:00:00
alfi píše: čtv 20. lis 2025 9:09:58Ono by delší a složitější heslo mělo být spíše povinně vyžadováno - ty osmímístné už jsou dneska pohoda (viz třeba https://specopssoft.com/blog/best-passw ... g-attacks/ = 5 minut až 3 hodiny) a rychlost bude každý rok narůstat :) Rizikové je i to, že dneska odposlechnutá komunikace může jít lousknout už třeba za 2-3 roky a heslo bude pořád stejné..
 
A jak tohle souvisí? Ano, MD5 je slabá a nemá se používat, to se ví už dlouho, má se používat něco lepšího

 
Pan Soukup píše
... proxy s hesly pracuje jen v zašifrované podobě, tedy není to žádný bezpečnostní risk. 
ale nemá pravdu - http digest s md5 už se za bezpečné nepovažuje. Tj. když provozovatel proxy (i kdekoliv jinde přes nešifrovaný SIP) bude chtít, všechna krátká hesla dokáže získat :) SIP, pokud vím, nic lepšího než ten digest neumí - nebo rozhodně ne všechny telefony :(
 
 
 

Re: Spolehlivý SIP klient pro Android s dobrou integrací

od jadu » čtv 20. lis 2025 18:34:16

MD5 není nejbezpečnější, ale stačí. protože se použije jen při Digest Authentication a hash se počítá nejen z uživatelského jména, realm a hesla, ale i z jedinečného nonce (Number used ONCE), takže se i případně zachycený hash nedá opakovaně použít, protože příště je nonce jiné a tedy i hash.

Slabé heslo je potencionální problém. Naštěstí má Odorik BFP (brute force ptotection), které je v případě 8-znakového hesla nezbytnost. TLS je další bezpečnostní prvek, ale pokud bude chtít někdo útočit hrubou silou, tak to může i v TLS tunelu. TLS je nezbytné pro bezpečné SRTP, protože bez něj je možné odchytit klíče při dohadování SRTP a šifrování prolomit.

Takže podstatné je mít silné heslo a BFP, TLS zabrání odposlechu a je nutné pro bezpečné SRTP a MD5 nevadí.

Re: Spolehlivý SIP klient pro Android s dobrou integrací

od xtonda » čtv 20. lis 2025 13:00:00

alfi píše: čtv 20. lis 2025 9:09:58 Ono by delší a složitější heslo mělo být spíše povinně vyžadováno - ty osmímístné už jsou dneska pohoda (viz třeba https://specopssoft.com/blog/best-passw ... g-attacks/ = 5 minut až 3 hodiny) a rychlost bude každý rok narůstat :) Rizikové je i to, že dneska odposlechnutá komunikace může jít lousknout už třeba za 2-3 roky a heslo bude pořád stejné..

 
A jak tohle souvisí? Ano, MD5 je slabá a nemá se používat, to se ví už dlouho, má se používat něco lepšího

 
 
 

Re: Spolehlivý SIP klient pro Android s dobrou integrací

od jadu » čtv 20. lis 2025 11:17:18

Určitě bych hlasoval pro delší hesla než 8 znaků. Možná, že některá zařízení delší neumožňují, takže by to třeba nemusela být povinnost, ale já bych pod 12 nešel, optimálně tak 16. Třeba by si šlo nastavit u každé linky počet znaků pro generátor.

Re: Spolehlivý SIP klient pro Android s dobrou integrací

od alfi » čtv 20. lis 2025 9:09:58

xsouku04 píše: stř 19. lis 2025 13:48:09 Je ale pravda, že bychom asi měli dovolit si vygenerovat delší sipová hesla, aby i ono teoretické rozšifrování osmimístného hesla nebylo možné.
 
Ono by delší a složitější heslo mělo být spíše povinně vyžadováno - ty osmímístné už jsou dneska pohoda (viz třeba https://specopssoft.com/blog/best-passw ... g-attacks/ = 5 minut až 3 hodiny) a rychlost bude každý rok narůstat :) Rizikové je i to, že dneska odposlechnutá komunikace může jít lousknout už třeba za 2-3 roky a heslo bude pořád stejné..
 
 
 

Nahoru