Instalare si Configurare Server VOIP Securizat Jurj Danut (E-214A) 2017 Cuprins: Partea Teoretica Descriere Exemple de beneficii aduse de VoIP… [305736]

Academia Tehnică Militară

Instalare si Configurare Server VOIP Securizat

Jurj Danut (E-214A)

2017

Cuprins:

[anonimizat]-the-middle attacks

Evaluare a riscurilor de Securitate

Costul operational

Partea Practica

Instalare Server VoIP ( Asterisk )

Configurare Server VoIP

Instalare Aplicatie Client ( Blink )

Securizare Server

Partea Teoretica

Ce este VOIP (Voice over Internet Protocol) ?

[anonimizat] a conversațiilor vocale prin legături de date de tip IP sau prin rețele în care este folosit acest protocol.

Descriere:

[anonimizat]. [anonimizat]. [anonimizat].

[anonimizat], precum navigare web, e-mail, e-banking și multe altele. Utilizatorul își poate folosi serviciul VoIP indiferent de locul unde se conectează la Internet. D.p.d.v. tehnic este astfel posibil să locuiască într-o zonă geografică și să aibă număr de telefon dintr-o altă zonă geografică (stat, țară, continent). Totuși, [anonimizat].

Exemple de beneficii aduse de VoIP:

persoane locuind în SUA (sau oricare altă țară) pot avea număr de telefon românesc; [anonimizat], e mai mic decât prin alte metode) [anonimizat].

români locuind în România pot avea număr de telefon american.

[anonimizat], vacanțe – atâta timp cât există conexiune internet la destinație (hotel, familie, prieteni).

Protocoale folosite în VoIP:

O convorbire telefonică este formată din două părți distincte: semnalizarea (trimiterea numărului, a [anonimizat].) și partea de media (transmiterea efectivă a vocii sau a datelor). Aceasta din urmă se face prin codarea semnalului cu un codec și împachetarea lui în pachete RTP. Semnalizarea se poate face cu unul din următoarele protocoale: SIP, H.323, MGCP, H.248, IMS, SCCP, T.38 (pentru fax).

[anonimizat], H.248 și T.38 [anonimizat], pentru descrierea caracteristicilor canalelor de media trimise.

Voice over IP a [anonimizat], cât și protocoale bazate pe standarde deschise. [anonimizat], o aplicație mobilă sau integrate într-o pagină Web. Protocoalele VoIP includ:

• Protocolul de inițiere a sesiunii (SIP), protocolul de gestionare a conexiunilor dezvoltat de IETF

• H.323, unul dintre primele protocoale de semnalizare și control ale apelurilor VoIP care au găsit o implementare pe scară largă. Deoarece se dezvolta protocoale mai noi, mai puțin complexe, cum ar fi MGCP și SIP, implementările H.323 sunt din ce în ce mai limitate la transportul de trafic existent pe distanțe lungi.

• Media Gateway Control Protocol (MGCP), gestionarea conexiunilor pentru gateway-urile media.

• H.248, protocol de control pentru gateway-urile media într-o rețea internă convergentă, constând din rețeaua publică tradițională de telefonie (PSTN) și rețelele de pachete moderne.

• Protocol de transport în timp real (RTP), protocol de transport pentru date audio și video în timp real.

• Protocolul de control al transportului în timp real (RTCP), protocol asemanator RTP care furnizează statistici flux și informații de stare.

• Secure Protocolul de transport în timp real (SRTP), versiune criptată a RTP.

• Protocol de descriere a sesiunii (SDP), format de fișier utilizat în principal de SIP pentru a descrie conexiunile VoIP.

• Inter-Asterisk eXchange (IAX), protocol utilizat între servere VoIP.

• XMPP, mesaje instantanee, informații despre prezență și întreținerea listei de contacte

• Jingle, adaugă controlul sesiunii peer-to-peer la XMPP

• Protocolul Skype, suite de proprietate de telefonie prin Internet bazat pe arhitectura peer-to-peer

Quality of service:

Comunicarea privind rețeaua IP este percepută ca fiind mai puțin fiabilă în comparație cu rețeaua publică de telefonie deoarece nu oferă un mecanism bazat pe rețea pentru a se asigura că pachetele de date nu sunt pierdute și sunt livrate în ordine succesivă. Vocea și toate celelalte date călătoresc în pachete prin rețele IP cu o capacitate maximă fixă. Acest sistem poate fi mai predispus la congestionare și la atacurile DoS decât sistemele tradiționale de comutare a circuitelor.

Obiectivele VoIP trebuie, de obicei, să aștepte finalizarea transmiterii pachetelor anterioare, înainte ca datele noi să poată fi trimise. Deși este posibilă preîntâmpinarea (abandonarea) unui pachet mai puțin important la mijlocul transmisiei, acest lucru nu se face în mod obișnuit, în special pe legăturile de mare viteză unde timpii de transmisie sunt scurți chiar și pentru pachetele cu dimensiuni maxime

Majoritatea legăturilor backbone pentru Internet sunt acum atât de rapide (de exemplu, 10 Gbit / s) încât întârzierile lor sunt dominate de mediul de transmisie (de exemplu, fibră optică), iar routerele care le conduc nu au suficientă tamponare pentru ca întârzierile în așteptare sa fie semnificative.
Au fost definite numeroase protocoale pentru a sprijini raportarea calității serviciilor (QoS) și a calității experienței (QoE) pentru apelurile VoIP. Acestea includ raportul RTCP extins (RFC 3611), rapoartele sumare SIP RTCP, extensiile H.460.9 din anexa B (pentru H.323), H.248.30 și extensiile MGCP.

Parametrii de Performanță:

Calitatea transmisiei de voce se caracterizează prin mai multe valori care pot fi monitorizate de elementele de rețea, de hardware-ul sau de software-ul agentului utilizator. Aceste valori includ pierderea pachetelor de rețea, jitterul pachetelor, latența pachetelor (întârziere), întârzierea după apelare și ecou. Metricile sunt determinate de testarea și monitorizarea performanțelor VoIP.

Suport pentru FAX:

Trimiterea de faxuri prin rețele VoIP este uneori denumită Fax over IP (FoIP). Transmiterea documentelor de fax a fost problematică în implementările inițiale ale VoIP, deoarece majoritatea codec-urilor de digitizare vocală și de compresie sunt optimizate pentru reprezentarea vocii umane și nu poate fi garantată încadrarea corectă a semnalelor de modem într-o rețea bazată pe pachete, fără conexiune. O soluție bazată pe standarde pentru livrarea fiabilă a fax-over-IP este protocolul T.38.
Protocolul T.38 este proiectat să compenseze diferențele dintre comunicațiile tradiționale fără pachete pe linii analogice și transmisiile pe bază de pachete care stau la baza comunicațiilor IP. Aparatul de fax poate fi un dispozitiv standard conectat la un adaptor telefonic analogic (ATA) sau poate fi o aplicație software sau un dispozitiv dedicat de rețea care operează printr-o interfață Ethernet. Inițial, T.38 a fost proiectat să utilizeze metode de transmisie UDP sau TCP într-o rețea IP. UDP furnizează caracteristici aproape în timp real datorită "regulii de recuperare" în cazul pierderii unui pachet UDP sau a unei erori în timpul transmisiei.

Unele aparate de fax de ultimă generație mai noi au capabilități T.38 încorporate care sunt conectate direct la un switch de rețea sau un router. În T.38, fiecare pachet conține o parte din fluxul de date trimis în pachetul anterior. Două pachete succesive trebuie să fie pierdute pentru a pierde efectiv integritatea datelor.

Securitate:

Preocupările de securitate ale sistemelor de telefonie VoIP sunt similare cu cele ale oricărui dispozitiv conectat la Internet. Acest lucru înseamnă că hackerii care știu despre aceste vulnerabilități VoIP pot face atacuri de negare a serviciilor (DOS), recoltarea datelor despre clienți, înregistrarea conversațiilor și compromiterea mesajelor vocale. Calitatea conexiunii la internet determină calitatea apelurilor. Serviciul de telefonie VoIP, de asemenea, nu va funcționa dacă există o întrerupere a alimentării și când conexiunea la internet este oprită. Serviciul 9-1-1 sau 112 furnizat de serviciul de telefonie VoIP diferă, de asemenea, de telefonul analogic care este asociat cu o adresă fixă. Este posibil ca centrul de urgență să nu poată determina locația dvs. pe baza numărului dvs. virtual de telefon.

Deși multe soluții VoIP pentru consumatori nu suportă criptarea căii de semnalizare sau a suportului media, asigurarea unui telefon VoIP este mai ușor de implementat din punct de vedere conceptual decât pe circuitele telefonice tradiționale. Un rezultat al lipsei de criptare este faptul că este relativ ușor să se asculte apelurile VoIP atunci când este posibilă accesul la rețeaua de date. Soluțiile gratuite cu surse deschise, cum ar fi Wireshark, facilitează captarea conversațiilor VoIP.
Standardele pentru securizarea VoIP sunt disponibile în Protocolul de transport în timp real Secure (SRTP) și protocolul ZRTP pentru adaptoarele de telefonie analogică, precum și pentru unele softphones. IPsec este disponibil pentru securizarea VoIP punct-la-punct la nivel de transport prin utilizarea criptării oportuniste.

Organizațiile guvernamentale și militare folosesc diferite măsuri de securitate pentru a proteja traficul VoIP, cum ar fi Voice over IP (Voice over VoIP), Voice over IP (VoIP) securizat și voce securizată prin IP securizat (SVoSIP). Vocea securizată prin IP securizat se realizează prin criptarea VoIP cu protocoale precum SRTP sau ZRTP. Secure voice over IP se realizează utilizând criptarea Tip 1 într-o rețea clasificată, cum ar fi SIPRNet.

Amenințări de Securitate in Rețelele VoIP:

În primele zile ale VoIP, nu a existat nici o mare îngrijorare cu privire la problemele de securitate legate de utilizarea sa. Oamenii erau în mare parte preocupați de costul, funcționalitatea și fiabilitatea acestora. Acum, că VoIP câștigă acceptarea pe scară largă și devine una dintre tehnologiile de comunicare de masă, securitatea a devenit o problemă majoră.

Amenințările de securitate provoacă și mai multă îngrijorare atunci când credem că VoIP înlocuiește, de fapt, cel mai vechi și mai sigur sistem de comunicații pe care lumea a cunoscut-o vreodată – POTS (Sistem simplu telefonic vechi).

Să aruncăm o privire la amenințările cu care se confruntă utilizatorii VoIP:

Identity and service theft:

Furtul de servicii poate fi exemplificat prin phreaking, care este un tip de hacking care fură serviciu de la un furnizor de servicii, sau de a folosi serviciul în timp ce treci costul unei alte persoane. Criptarea nu este foarte frecventă în SIP, care controlează autentificarea prin apelurile VoIP, astfel încât acreditările utilizatorilor sunt vulnerabile la furt.

Prin interceptare, un terț poate obține nume, parolă și numere de telefon, permițându-le să obțină control asupra mesageriei vocale, a planului de apelare, a informațiilor de expediere a apelurilor și a facturilor. Acest lucru duce ulterior la furtul de servicii.

Furtul de acreditări pentru a efectua apeluri fără plată nu este singurul motiv în spatele furtului de identitate. Mulți oameni o fac pentru a obține informații importante precum datele de afaceri.

Vishing:

Vishing este un alt cuvânt pentru phishing-ul VoIP, care implică o parte care vă face apel la o organizație demnă de încredere (de exemplu banca dvs.) și solicitând informații confidențiale și adesea critice.

Viruses and malware:

Utilizarea VoIP care include softphone-uri și software-uri sunt vulnerabile la worms, viruși și programe malware, la fel ca orice aplicație Internet. Deoarece aceste aplicații softphone rulează pe sisteme de utilizatori precum PC-uri și PDA-uri, aceștia sunt expuși și vulnerabili la atacurile de cod malware în aplicațiile vocale.

DoS (Denial of Service):

Un atac DoS este un atac asupra unei rețele sau a unui dispozitiv îl face incapabil de a mai furniza un serviciu. Se poate face prin consumarea lățimii de bandă sau prin supraîncărcarea rețelei

sau a resurselor interne ale dispozitivului.

În VoIP, atacurile DoS pot fi efectuate prin inundarea unei ținte cu mesaje inutile de semnalizare a apelurilor SIP. Acest lucru face ca numarul apelurile să scadă și să se oprească intr-un final procesarea apelurilor.

De ce ar lansa cineva un atac DoS? Odată ce obiectivul încetează să mai funcționeze, atacatorul poate obține controlul de la distanță al instalațiilor administrative ale sistemului.

SPIT (Spamming over Internet Telephony):

Dacă utilizați e-mailuri în mod regulat, atunci trebuie să știți ce e spam-ul. Spus simplu, spam-ul trimite de fapt e-mailuri către oameni împotriva voinței lor. Aceste e-mailuri consta în principal din apeluri de vânzări online. Spamarea VoIP nu este încă foarte comună, dar începe să fie, mai ales cu apariția VoIP ca instrument industrial.

Fiecare cont VoIP are o adresă IP asociată. Este ușor pentru spammeri să trimită mesajele lor (mesaje vocale) la mii de adrese IP. Mesageria vocală ca urmare va suferi. Cu spam-ul, mesajele vocale vor fi prea multe și va fi nevoie de mai mult spațiu, precum și de instrumente de gestionare a mesageriei vocale mai bune. Mai mult, mesajele spam pot purta viruși și spyware împreună cu aceștia.

Acest lucru ne aduce la o altă parte a SPIT, care este phishing-ul peste VoIP. Atacurile de tip phishing consta în trimiterea unui mesaj vocal către o persoană, care o maschează cu informații de la o parte încredințată destinatarului, cum ar fi o bancă sau un serviciu de plată online, ceea ce îl face să creadă că este în siguranță.

Mesajul vocal cere, de obicei, date confidențiale, cum ar fi parolele sau numerele cărților de credit.

Call tampering:

Manipularea Apelului este un atac care implică manipularea unui apel telefonic aflat în derulare. De exemplu, atacatorul poate strica pur și simplu calitatea apelului prin injectarea pachetelor de zgomot în fluxul de comunicare. El poate de asemenea să rețină livrarea de pachete astfel încât comunicarea să devină neclară și participanții să întâlnească perioade lungi de tăcere în timpul apelului.

Man-in-the-middle attacks:

VoIP este deosebit de vulnerabil la atacurile de tip "man-in-the-middle", în care atacatorul interceptează traficul de mesaje SIP de semnalizare a apelurilor și se marchizează ca parte apelantă către partea chemată sau invers. Odată ce atacatorul a câștigat această poziție, poate să-și aducă apeluri prin intermediul unui server de redirecționare.

Evaluare a riscurilor de Securitate:

Utilizatorii VoIP se așteaptă la disponibilitatea ridicată pe care sunt obișnuiți să o primească de la rețeaua publică de telefonie (PSTN). În consecință, un plan atent de implementare VoIP pentru toți operatorii VoIP trebuie să includă măsuri pentru reducerea amenințării atacurilor DoS.

Operatorii de VoIP trebuie să gestioneze cu atenție relațiile de încredere cu alți operatori de VoIP și ar trebui să evite aranjamentele de servicii, cu excepția cazului în care au o anumită încredere că ceilalți furnizori utilizează metode de identificare echivalente și de verificare a parametrilor. Acest lucru ar putea fi aranjat în mod contractual prin intermediul unei întreprinderi extinse sau prin implementarea VoIP între întreprinderi.

În general, atacurile de tip insider sunt mai frecvente decât atacurile externe, astfel încât operatorii de rețele VoIP din întreprinderi trebuie să considere că imensarea reprezintă o amenințare chiar dacă acestea operează în mod izolat.

În timp ce infrastructurile publice de VoIP pot fi vizate mai frecvent pentru atacuri motivate politic și terorism, rețelele private de VoIP sunt din ce în ce mai expuse riscului de spionaj electronic și atacuri de interceptare (de exemplu, angajații care interceptează apeluri privilegiate).

VoIP este un tip nou și diferit de aplicație Internet, dar în cele din urmă este un alt flux de date în timp real livrat cu ajutorul IP. Multe dintre măsurile de securitate utilizate astăzi pentru a proteja alte aplicații de text simplu, de la telnet și FTP la Web, e-mail și mesagerie instant, pot fi folosite pentru a îmbunătăți securitatea VoIP.

Majoritatea aplicațiilor de servicii VoIP sunt implementate pe sisteme de operare pentru servere comerciale. Instalarea de servere care utilizează antitrust și detectarea intruziunilor gazdă îmbunătățește în mod evident securitatea VoIP. Cele mai frecvent recomandate măsuri de securitate a serverului care pot fi aplicate serverelor vocale includ:

•Mențineți actualizate aplicațiile de sistem de operare și VoIP.

•Executați numai aplicațiile necesare pentru a furniza și întreține servicii VoIP.

•Solicitați autentificarea pentru accesul la contul de administrator și de utilizator.

•Implementați politici stricte de autorizare pentru a preveni accesul neautorizat la serviciile de VoIP și la datele contului.

•Audit sesiuni administrative și de utilizatori și activități legate de servicii.

•Instalați și întrețineți firewall-ul serverului, antimalware și măsuri antitrust pentru a descuraja atacurile DoS.

Odată ce serverele VoIP și aplicațiile pe care le execută sunt configurate în siguranță, construiți o apărare în profunzime adăugând straturi de securitate în jurul serverelor. Izolați serverele VoIP și infrastructura necesară (de exemplu, DNS, LDAP) de la dispozitivele client (telefoane, PC-uri și laptopuri) utilizând rețele LAN virtuale(VLAN) pentru a gestiona traficul, traficul de voce și date.

Utilizați firewall-uri pentru a limita tipurile de trafic care ar putea să depășească limitele VLAN numai la acele protocoale necesare. Această compartimentare este eficientă în special în reducerea răspândirii malware-ului de la clienții infectați la serverele VoIP în rețelele de monocultură (cum ar fi Windows).

putea dori să filtreze traficul de semnalizare și fluxurile media RTP printr-un controler de frontieră pentru sesiuni (SBC). SBC funcționează ca agenți utilizator înapoi, în concatenare și aplicarea politicilor la apeluri între agenții utilizator public și privat. În unele privințe, un SBC se comportă ca un proxy de poștă electronică securizat. Poate rescrie antetele mesajului pentru a ascunde detaliile rețelelor private (cum ar fi adresele), a șterge câmpurile SIP antet necunoscute și nedorite și a restricționa numerele numitelor partide. Deoarece traficul media trece printr-o SBC, politicile RTP pot fi impuse.

Aceste măsuri de securitate, împreună cu un plan de monitorizare a securității proactive și de detectare a intruziunilor și de prevenire a planurilor, nu numai că îmbunătățesc securitatea VoIP, dar pot reduce în mare măsură riscurile pentru rețelele de date pe măsură ce organizațiile introduc VoIP. Multe dintre aceste măsuri vor continua să fie utile în implementări, chiar dacă îmbunătățirile de securitate sunt încorporate în protocoalele și arhitectura VoIP.

Costul operațional

VoIP a redus drastic costurile de comunicare prin partajarea infrastructurii de rețea între date și voce. O singură conexiune cu bandă largă are capacitatea de a transmite mai mult de un apel telefonic. Securitatea apelurilor prin intermediul protocoalelor standardizate, cum ar fi Secure Real-Time Transport Protocol. Este necesara doar criptarea și autentificarea fluxului de date existent. Software-ul automat, cum ar fi un PBX virtual, poate elimina nevoia de personal pentru a saluta și a comuta apelurile primite.

Partea Practica

Instalare Server Voip.

Pentru exemplificarea functionarii unui server Voip securizat se va folosi o distributie de Linux (Ubuntu in cazul nostru) pe care se va instala un server Voip ( Asterisk ).

Asterisk este un software gratis / open-source care implementează o centrală telefonică de birou (în engleză: private branch exchange, PBX). Precum orice altă centrală de birou, permite unui număr de telefoane atașate să efectueze convorbiri între ele precum și să se conecteze către alte telefoane din exterior (incluzând PSTN). Numele provine de la simbolul asterisc, * sau steluță, care în mediile Unix (incluzând Linux) și DOS reprezintă o multiselecție, potrivindu-se cu numele oricărui fișier.

Se instaleaza mai intai openssl:

Se instaleaza Serverul Voip Asterisk:

Pentru a verifica starea serverului se va executa urmatoarea comanda care ne va duce in CLI-ul serverului:

Pentru a iesi din CLI se apeleaza comanda exit.

Configurare Server Voip (Asterisk) :

Pentru a configura Serverul Voip Asterisk trebuie sa-i modificam urmatoarele fisiere de configurare:

sip.conf : contine numele domeniului, detalii despre starea serverului si evidenta userilor

extensions.conf : contine un set de instructiuni de directare inbound si outbound.

Voicemail.conf : contine detalii despre ce se va intampla cu casuta vocala.

Configurare sip.conf:

Se vor adauga urmatoarele date:

[general]

context=internal

allowguest=no

allowoverlap=no

bindport=5060

bindaddr=0.0.0.0

tlsbindaddr=0.0.0.0

srvlookup=no

disallow=all

allow=ulaw

allow=g722

allow=alaw

allow=gsm

alwaysauthreject=yes

canreinvite=no

session-timers=refuse

localnet=192.168.131.136/255.255.255.0 // aici trebuie inlocuite cu adresa ip atribuita de masina accept_outofcall_message=yes // virtuala serverului vostru voip

outofcall_message_context=dialplan_name

auth_message_requests=yes

[7001] //cont nou

type=friend

host=dynamic

secret=123 //parola

context=internal

[7002]

type=friend

host=dynamic

secret=456 // parola contului

context=internal

Configurare extensions.conf:

Se vor adauga urmatoarele configurari:

[internal]

exten => 7001,1,Answer()

exten => 7001,2,Dial(SIP/7001,60)

exten => 7001,3,Playback(vm-nobodyavail)

exten => 7001,4,VoiceMail(7001@main)

exten => 7001,5,Hangup()

exten => 7002,1,Answer()

exten => 7002,2,Dial(SIP/7002,60)

exten => 7002,3,Playback(vm-nobodyavail)

exten => 7002,4,VoiceMail(7002@main)

exten => 7002,5,Hangup()

exten => 8001,1,VoicemailMain(7001@main)

exten => 8001,2,Hangup()

exten => 8002,1,VoicemailMain(7002@main)

exten => 8002,2,Hangup()

[dialplan_name]

exten => _.,1,NoOp(SMS receiving dialplan invoked)

exten => _.,n,NoOp(To ${MESSAGE(to)})

exten => _.,n,NoOp(From ${MESSAGE(from)})

exten => _.,n,NoOp(Body ${MESSAGE(body)})

exten => _.,n,AGI(chatplan.php,${MESSAGE(from)})

;exten => _.,n,Set(ACTUALTO=${CUT(MESSAGE(to),@,1)})

;exten => _.,n,ExecIf($["${ACTUALTO}" != "sip:${EXTEN}"]?Set(ACTUALTO=sip:${EXTEN}))

exten => _.,n,MessageSend(${ACTUALTOS},${MESSAGE(from)})

exten => _.,n,NoOp(Send status is ${MESSAGE_SEND_STATUS})

exten => _.,n,GotoIf($["${MESSAGE_SEND_STATUS}" != "SUCCESS"]?sendfailedmsg)

exten => _.,n,Hangup()

Se salveaza fisierele de configurare si se intra in CLI-ul Asterisk.

Se reincarca fisierele de configurare in server:

Pentru a vedea userii existenti se poate apela comanda sip show users

Acum serverul nostru Voip este configurat si gata pentru o conversatie nesecurizata.

Vom testa acest lucru printr-o aplicatie client cum ar fi Blink.

Instalare Aplicatie Client ( Blink ):

Blink este o aplicatie client free de comunicare in timp real folosind protocolul SIP.

Se poate descarca de pe: http://icanblink.com/download/

Se instaleaza fie doar pe masina virtuala, fie pe Window, fie pe ambele.

Se adauga conturile create pe Server in aplicatia client Blink:

Se deschid 2 instante ale aplicatie si se seteaza fiecare din cele 2 conturi adaugate pe Server pe fiecare instanta.

Pentru a capta traficul si a face sniffing pe conversatia intre cei 2 useri se va instala Wireshark si se selecteaza Telephony si Voip Calls:

Se efectueaza un apel pentru a vedea ce inregistreaza Wireshark.

Wireshark a capturat conversatia necriptata:

! Aplicare SRTP si TLS pentru securizarea Serverului.

Securizare:

Aplicare Protocol TLS

Transport Layer Security (TLS) asigură criptarea semnalizării apelurilor. Este o modalitate practică de a împiedica persoanele care nu sunt Asterisk să știe cine sunați. Configurarea TLS între Asterisk și un client SIP implică crearea fișierelor cheie, modificarea configurației SIP Asterisk pentru a activa TLS, crearea unui peer SIP capabil de TLS și modificarea clientului SIP pentru a se conecta la Asterisk peste TLS.

Se creeaza un folder pentru key

Se creeaza o autoritate de certificare si un certificat Asterisk

Pentru asta se foloseste scriptul „ast_tls_cert” din /etc/asterisk.

Opțiunea "-C" este utilizată pentru a defini numele gazdă – numele DNS sau adresa IP.

Opțiunea "-O" definește numele organizației noastre.

Opțiunea "-d" este directorul de ieșire al cheilor.

Vi se va cere să introduceți o expresie de pass pentru /etc/asterisk/keys/ca.key.

Acest lucru va crea fișierul /etc/asterisk/keys/ca.crt.

Vi se va solicita să introduceți din nou fraza de acces și apoi fișierul /etc/asterisk/keys/asterisk.key va fi creat.

Fișierul /etc/asterisk/keys/asterisk.crt va fi generat automat.

Vi se va cere să introduceți treia oară expresia de acces și să se creeze /etc/asterisk/keys/asterisk.pem, o combinație între fișierele asterisk.key și asterisk.crt.

Se genereaza 2 certificate client pentru cei 2 useri creati anterior

Opțiunea "-m client" indică scriptului că vrem un certificat client, și nu un certificat de server.

Opțiunea "-c /etc/asterisk/keys/ca.crt" specifică care autoritate de certificare (noi înșine) folosim.
"-k /etc/asterisk/keys/ca.key" furnizează cheia pentru autoritatea de certificare definită mai sus.

Opțiunea "-C", de vreme ce definim un client de data aceasta, este utilizată pentru a defini numele de gazdă sau adresa IP a telefonului nostru SIP

Opțiunea "-O" definește numele organizației noastre.

Opțiunea "-d" este directorul de ieșire al cheilor. "

Opțiunea "-o" este numele cheii pe care o transmitem.

Vi se va solicita să introduceți din nou fraza de acces pentru a debloca /etc/asterisk/keys/ca.key.

Pentru a verifica crearea corecte a fisierelor ne putem uita in directorul keys:

Se copiaza ca.crt, dan1.pem si dan2.pem pe Calculatorul Client pe care este instalat Blink.

Configurare sip.conf:

Se vor adauga urmatoarele linii in fisierul de configurare sip.conf:

tlsenable=yes

tlsbindaddr=0.0.0.0

tlscertfile=/etc/asterisk/keys/asterisk.pem

tlscafile=/etc/asterisk/keys/ca.crt

tlscipher=ALL

tlsclientmethod=tlsv1

Aici, permitem suportul TLS.

Îl legăm de macheta noastră locală IPv4 (portul este implicit la 5061 pentru TLS).

Se seteaza fișierul de certificat TLS la cel creat mai sus.

Se stabileste autoritatea de certificare la cea creată mai sus.

Tabelul TLS a fost setat la TOT, deoarece este cel mai permisiv.

Și se seteaza metoda clientului TLS la TLSv1, deoarece aceasta este cea preferată pentru RFC-uri și pentru majoritatea clienților.

La fiecare din userii creati se adauga urmatoarea linie pentru stabilirea protocolului de transport:

transport=tls

Asistentul de canal SIP Asterisk suportă trei tipuri: udp, tcp și tls. Deoarece configurăm pentru TLS, vom stabili asta. Este, de asemenea, posibil să enumerați mai multe tipuri de transport acceptate pentru colegiu separându-le cu virgule.

Configurare Client ( Blink ):

Configurare Cont 7001 :

Deschidem Blink

BlinkPreferences

Mediajos setam Encrypt audio and video si la Encryption selectam SDES mandatory

Server Settings La SIP Proxy selectam Always use my proxy. ..

Outbound Proxy: adresa serverului ( 192.168.131.136 ) , Port: 5061, Transport :TSL

Auth Username 7001

Accounts – Advanced TLS Settings: la certificate file trebuie selectat unul din cele 2 certificate create pentru useri. ( dan1.pem ).

Advanced TLS settings : la certificate authority trebuie incarcat fisierul cu certificatul autoritatii de cerificare ( ca.crt ).

Se repeta aceeasi pasi si pentru celalalt user.

Efectuare apel securizat:

OBS : Sesiunea este criptata folosind TSL

OBS : Continutul media este criptat folosind protocolul SRTP.

BiBLIOGRAFIE:

https://ro.wikipedia.org/wiki/Voce_peste_IP

https://en.wikipedia.org/wiki/Voice_over_IP

https://www.lifewire.com/security-threats-in-voip-3426532

http://sflphone-doc-security.readthedocs.io/en/latest/02_asterisksflphone/configureasteriskencryption.html

http://draalin.com/basic-asterisk-configuration-in-ubuntu/

http://draalin.com/advanced-asterisk-configuration-in-ubuntu/

https://wiki.asterisk.org/wiki/display/AST/Secure+Calling+Tutorial