Senhores, Basicamente, em um Asterisk com o SRTP:
Para cada ramal que vai suportar criptografia de media, adicionar: encryption=yes Para só permitir chamadas com media encriptada, você tem que alterar o dialplan para forçar isso, checando se a variável CHANNEL(secure_media) está com 1. !!!!!!!!!!!!!!!!!!!!!!!!!!NOTA!!!!!!!!!!!!!!!!!!!!!!!!!!! secure_media não significa secure_sginaling que deve ser checado em CHANNEL(secure_signaling) onde 1 é ativo. Traduzindo: a chave que irá criptografar a media (audio) será trocada entre o cliente e servidor em texto plano, logo, alguém com um mínimo de conhecimento conseguirá interceptar e usá-la para fazer escuta no canal. Para isto, você tem que criptografar a sinalização também, usando TLS por exemplo. Mas isso você já deve ter entendido, pois leu primeiro o Specifics né? **** Como fazer chamadas seguras: encripte a sinalização E encripte a media. *** Sds Alexandre Alencar Twitter @alexandreitpro http://blog.alexandrealencar.net/ http://www.alexandrealencar.net/ http://www.alexandrealencar.com http://www.servicosdeti.com.br/ COBIT, ITIL, CSM, LPI, MCP-I 2013/5/15 Everaldo Rodrigues de Oliveira <everald...@gmail.com> > Ricardo os testes em que homologamos a solução com segurança implementada > usamos SRTP e TLS com chaves encriptografadas, mas o que interessa a você > no momento é apenas SRTP não é? Bom o cenário foi o seguinte: > > Na primeira vez que tentamos usar SRTP foi na versão do Asterisk 1.8, mas > tivemos que compilar o modulo srtp, pois nessa versão não vinha nativo, nas > versões do Asterisk 11 o SRTP já é nativo basta marcar na instalação do > asterisk pelo menu select. > > Estou usando telefones do fabricante Yealink que suportam SRTP, pois mesmo > habilitando nos no arquivo sip.conf deve ser habilitado no telefone também > pra que funcione. > > no arquivo sip.conf > ;tronco sip com outro servidor asterisk > [tk1_] > host=192.168.0.180 > port=5060 > username=senha123 > secret=senha123 > type=friend > qualify=yes > insecure=port,invite > dtmfmode=rfc2833 > language=pt_BR > encryption=yes ;deve ter esse parametro se quiser que as chamadas > através deste tronco sejam criptografadas > > ;ramais > [1400] > type=friend > secret=1400 > host=dynamic > canreinvite=no > dtmfmode=rfc2833 > mailbox=1400@default > disallow=all > allow=ulaw,h261,h261p,h263,h264 > language=pt_BR > encryption=yes ;com essa opção as chamadas deverão > estar criptografadas > ;se esquecer que os > telefones devem suportar srtp e estar habilitado > ;caso contrário não vai > funcionar. > context=todas > callgroup=1 > pickupgroup=1 > call-limit=3 > qualify=yes > > Se quiser criar mais ramas basta copiar e alterar o número 1400 para o > novo ramal. > Espero ter ajudado. > > Obs: Pra checar se as chamadas estão criptografadas, use o aplicativo > wireshark capture os pacotes antes de habilitar o SRTP, e faça o mesmo > depois que habilitar, dessa forma pode comprovar se a chamada está com > criptação segura no seu teste. > > Att. > Everaldo Oliveira > > > Em 15 de maio de 2013 15:00, <ricardoferr...@pop.com.br> escreveu: > > Evaldo, tudo bem? >> Eu preciso só para testes também, estou fazendo doutorado e tenho q criar >> um cenário seguro para encontrar uma falha e resolver. >> Vi alguns tutoriais dizendo para habilitar o encryption=yes no sip.conf, >> mas não da nada, quando tento fazer a chamada para o servidor Asterisk diz >> que é capaz de suportar SRTP, mas que não foi requisitado. >> Você pode me ajudar na configuração do servidor e do cliente? Você sou >> que cliente Voip? >> Obrigado por enquanto. >> >> >> > Boa tarde, já usei, mas com testes em laboratório(em torno de 15 ramai), >> > funciona bem, mas não sei em grande escala(com um grande número de >> ramais >> > não sei qual seria o impacto), mas creio que deva funcionar sem >> problemas. >> > >> > Att. >> > Everaldo Oliveira >> > >> > Em 15 de maio de 2013 13:26, <ricardoferr...@pop.com.br> escreveu: >> > >> >> Galera, alguém já trabalhou com SRTP no Asterisk? >> >> Agradeço a atenção. >> >> _______________________________________________ >> >> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; >> >> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; >> >> Intercomunicadores para acesso remoto via rede IP. Conheça em >> >> www.Khomp.com. >> >> _______________________________________________ >> >> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. >> >> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. >> >> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. >> >> _______________________________________________ >> >> Para remover seu email desta lista, basta enviar um email em branco >> para >> >> asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >> >> >> > >> > >> > >> > -- >> > Everaldo Rodrigues de Oliveira >> > Analista de Suporte/Telecomunicações >> > Mobile: 55 (41) 9620 0524 >> > MSN: everaldo_casca...@hotmail.com >> > Skype: everaldo_cvel >> > _______________________________________________ >> > KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; >> > Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; >> > Intercomunicadores para acesso remoto via rede IP. Conheça em >> > www.Khomp.com. >> > _______________________________________________ >> > ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. >> > Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. >> > Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. >> > _______________________________________________ >> > Para remover seu email desta lista, basta enviar um email em branco para >> > asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >> >> _______________________________________________ >> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; >> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; >> Intercomunicadores para acesso remoto via rede IP. Conheça em >> www.Khomp.com. >> _______________________________________________ >> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. >> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. >> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. >> _______________________________________________ >> Para remover seu email desta lista, basta enviar um email em branco para >> asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >> > > > > -- > Everaldo Rodrigues de Oliveira > Analista de Suporte/Telecomunicações > Mobile: 55 (41) 9620 0524 > MSN: everaldo_casca...@hotmail.com > Skype: everaldo_cvel > > _______________________________________________ > KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; > Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; > Intercomunicadores para acesso remoto via rede IP. Conheça em > www.Khomp.com. > _______________________________________________ > ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. > Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. > Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. > _______________________________________________ > Para remover seu email desta lista, basta enviar um email em branco para > asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >
_______________________________________________ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com. _______________________________________________ ALIGERA Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank Appliance Asterisk - Acesse www.aligera.com.br. _______________________________________________ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org