innovaphone Forum

You are here

Help with Search (new window)
Picture of Niko 1071
Registered 11 years 221 days
Niko 1071 Tuesday, 6 January 2015, 01:52 PM
Secure RTP
Hallo zusammen,

brauche bitte Unterstützung.
Ich befasse mich aktuell mit dem Thema Sicherheit bei VoIP. Hab ein IP232 das via H323 an einer IPVA angemeldet ist (beide im selben LAN - bei Kunden Installationen wird dies natürlich nicht der Fall sein) als SIP Trunk habe ich einen QSC Account (IPVA ist MediaRelay konfigurtiert). Nun wollte ich mal die Verschlüsselung der RTP Pakete testen.

Hab dafür beim IP232 unter Phone->User1 ->Options->Secure RTP auf AES256/80 gestellt.
Auf der IPVA unter Gateway->SIP->GWx->Media Properties-> SRTP ebenfalls.

Nun melde ich mit einem Wireshark zum tracen an der IPVA an und tätige einen Testcall (vom Telefon raus ins PSTN) trace das "Gespräch" mit und erwarte nun eigentlich das ich mir nicht via Wireshark das Gespräch anhören kann, kann ich aber doch - wieso ?

Im wireshark sehe ich das die Kommunikation zwischen dem SIP Trunk und meiner IPVA via SRTP als Protokoll (Source QSC Destination SRTP wobei umgekehrt Source IPVA und Destination QSC wieder RTP ist) geht und zwischen der IPVA und dem Telefon via RTP - das ist wahrscheinlich dann auch der Grund wieso ich den Mediastrom unverschlüsselt tracen kann - dazu dann die Frage wie kann ich dann dies (also IPVA IP232) auch auf SRTP umstellen ? bzw. aus der IPA heraus in Richtung QSC auch

Oder ist mein Denkansatz hier schon ganz falsch ?
Und ich muss noch mehr beachten

danke für Unterstützung
vg
niko
Picture of Roland
Registered 12 years 346 days
Roland Tuesday, 6 January 2015, 02:46 PM
Re: Secure RTP
Hallo Niko,
als kleine Korrektur: Du meinst vermutlich 
"Auf der IPVA unter Gateway->SIP->SIPx->Media Properties-> SRTP ebenfalls."

Soweit ich weiß ist erfolgt auch bei Media Relay die Aushandlung Ende-Ende, die PBX ersetzt in dem Fall nur den IP-Header und schickt den RTP transparent weiter.
Warum - wenn ich das richtig verstehe - es nur eine einseitige bzw. durchgängige Verschlüsselung geben soll ist unklar.
Unterstützt QSC den SRTP?
Wie sehen den die calls in den call-Listen aus? Schloß bzw. 'x' vorhanden? 

Gruß Roland
Picture of Niko 1071
Registered 11 years 221 days
Niko 1071 Thursday, 8 January 2015, 11:45 AM
Re: Secure RTP
Hallo Roland,

danke für Deine Antwort,
bin gerade dabei mir noch etwas Hintergrundwissen zum Thema SRTP anzueignen. So ganze habe ich es doch nicht verstanden wer (Anrufer Telefon, PBX, SIP Trunk Provider, Angerufenes Telefon), wo, wie, was eingestellt haben muss damit eine Verschlüsselung via SRTP überhaupt greift. Reicht also nicht aus wenn nur die PBX und das Anrufer Telefon (was ja beides in meiner Hoheit ist) SRTP aktiviert haben, müsse noch paar andere Instanzen in der Kette mitspielen. mixed

Wenn jemand eine gute/n Link/Quelle mit Erklärung dazu hat gerne hier posten, bin dankbar dafür !
Picture of Roland
Registered 12 years 346 days
Roland Friday, 9 January 2015, 11:22 AM
Re: Secure RTP
Hallo,
ich selber habe leider kaum Erfahrungen mit SIP Providern sammeln können.
Daher korrigiert mich falls ich falsch liege.

Meine Vermutung ist dass der coder in der Regel zwischen IP-Telefon und SIP-Provider ausgehandelt wird. Anders könnte es aussehen wenn auf dem IP-Gateway die Option "Media-Relay" aktiviert ist. Dann terminiert vermutlich das Gateway den call und handelt zum SIP-Provider neu aus. Die Option könnte vielleicht verwendet werden um bis zum Gateway verschlüsselt, und zum SIP-Provider unverschlüsselt zu telefonieren.

Wenn der Provider SRTP nicht unterstützt sollte aber der gesamte call in beide Richtung per RTP laufen.

In der PBX selber gibt es keine Möglichkeit SRTP zu aktivieren. Wenn dann nur auf Gateways.

Gruß Roland
Picture of Niko 1071
Registered 11 years 221 days
Niko 1071 Wednesday, 21 January 2015, 03:47 PM
Re: Secure RTP
Hi Roland,

hab hier etwas weiter geforscht und probiert

>>"Anders könnte es aussehen wenn auf dem IP-Gateway die Option "Media-Relay" aktiviert ist. Dann terminiert vermutlich das Gateway den call und handelt zum SIP-Provider neu aus. Die Option könnte vielleicht verwendet werden um bis zum Gateway verschlüsselt, und zum SIP-Provider unverschlüsselt zu telefonieren."


das war auch mein Ansatz, hab es aber nicht hinbekommen. Trotz Einstellung SRTP im IP232 kann ich den Traffic zwischen der PBX und dem Telefon mit hören und zwar nicht auf der IPVA (hier könnte ich es ja verstehe da ja entschlüsselt und evtl. neu verschlüsselt werden muss) sondern mit einem dazwischen (zwischen IP232 und IPVA) gehängte Hub (wireshark auf ETH eines PC welcher auch am Hub hängt) mixed

ich bleibe da dran, bin da auch schon mit einem Ticker bei presales unterwegs ;o)



Picture of Roland
Registered 12 years 346 days
Roland Wednesday, 21 January 2015, 04:53 PM
Re: Secure RTP
Hallo,

aber secure RTP innerhalb der PBX von IP232 zu IP232 funktioniert?
Und nochmals meine Frage wie siehts in den call-Listen (PBX und Gateway) aus? Ein 'x' jeweils in der entsprechenden Media-Spalte weist auf einen verschlüsselten RTP.

würdest Du einen Pcap trace der PBX inkl. der notwendigen Infos hier zur Verfügung stellen?

Gruß Roland
← You can define your color theme preference here