GoldenLine
Zaloguj się
Cezary O.

Cezary O. .

Temat: Bezpieczeństwo VoIP

Witam,

Czy znacie jakieś metody, które zakodują rozmowę pomiędzy dwoma urządzeniami VoIP?

Ewentualnie pomiędzy urządzeniem i operatorem?

Pozdrawiam,

Czarek
Link do wypowiedziLink
Jakub Klausa

Jakub Klausa CTO, SS7
Technologies sp. z
o.o.

Temat: Bezpieczeństwo VoIP

Metod jest wiele. Od tuneli VPN/IPSEC/whatever pomiędzy punktami, do rozwiązań częściowych jak SRTP czy ZRTP - wszystko zależy o jakim protokole VoIP mówimy i jakiej strukturze sieci/kontroli nad urządzeniami w niej się znajdującymi.

Konkretnie - jaki masz problem albo wątpliwości?
Link do wypowiedziLink
Cezary O.

Cezary O. .

Temat: Bezpieczeństwo VoIP

Konkretnie:

1. Mam bramkę VoIP. Dzwonię do kogoś. Wyczytałem, że to może być łatwo podsłuchane. Wielkich tajemnic nie mam, ale co komu do moich przepisów na zupę?

2. Chcę połączyć się z kimś po numerze IP. I mam wrażenie, że sekretny przepis na zupę pomidorową zostanie wykradziony.

Problem:

Jak ustrzec moje przepisy?

Pozdrawiam,

Czarek
Link do wypowiedziLink
Jakub Klausa

Jakub Klausa CTO, SS7
Technologies sp. z
o.o.

Temat: Bezpieczeństwo VoIP

Szukasz informacji technicznych czy samej idei? Jeśli interesują Cię technikalia, to i technicznych detali musisz podać więcej - minimum to jaki protokół VoIP. Jeśli jedynie idei, to tak jak napisałem - różne metody tunelowania ruchu głosowego przez kanał zabezpieczony na innym poziomie/w innej warstwie modelu OSI. W momencie zejścia do sieci PSTN (dzwonisz na normalny telefon, nie do drugiego punktu VoIPowego) - musisz brać pod uwagę również bezpieczeństwo PSTN, więc temat dodatkowo się rozrasta.

Co do zasady - im więcej masz kontroli na drodze od abonenta A do abonenta B tym bardziej taką transmisję możesz 'uszczelnić' ;-)
Link do wypowiedziLink
Piotr Głowacki

Piotr Głowacki Zarządzanie
sprzedażą | Sieci
sprzedaży |
Bezpośrednia, P...

Temat: Bezpieczeństwo VoIP

można przyjąć iż protokół SIP (standard) :)
Link do wypowiedziLink
Cezary O.

Cezary O. .

Temat: Bezpieczeństwo VoIP

Chodzi mi o proste i tanie zabezpieczenie rozmów VoIP. Skype jest szyfrowany i były małe przejścia z agencjami bezpieczeństwa różnych państw. VoIP szyfrowany nie jest - podsłuchać może każdy.

Podłączyłem zwykłą bramkę do operatora VoIP. Pytam jak się zabezpieczyć przed nudzącymi się dziećmi. Nie chodzi mi o specjalistów, ich moja zupa nie interesuje.
Link do wypowiedziLink
Jakub Klausa

Jakub Klausa CTO, SS7
Technologies sp. z
o.o.

Temat: Bezpieczeństwo VoIP

Okej. Założenie - protokół SIP. W takim kontekście co do zabezpieczenia treści rozmów od razu na myśl przychodzi protokół SRTP (jak można się domyślić, od Secure RTP) - więcej o nim można poczytać np. tutaj: http://en.wikipedia.org/wiki/Secure_Real-time_Transpor.... Alternatywą jest rozwiązanie protocol-agnostic autorstwa (m.in.) Phila Zimmermanna (tego samego - 'facet od PGP') - o nim więcej tutaj: http://en.wikipedia.org/wiki/ZRTP.

Co do bezpieczeństwa połączeń przez różnej maści operatorów usług SIP - nie słyszałem jeszcze o takim w naszym kraju, który bezpieczeństwo (aka SRTP albo ZRTP, lub cokolwiek innego) brał na poważnie. To raczej niszowe rozwiązanie - mainstream chce tanich rozmów komórkowych i do brata w Londynie ;-)

Tak więc - jako zwykłemu szaraczkowi, nie będzie Ci łatwo. Połączenie punkt-punkt - np od Ciebie do określonego kolegi, przy dzwonieniu po adresie IP, albo jeśli masz/macie jakiś serwer sip - to już łatwiej - wtedy proste tunele VPN czy IPSec i sprawa w stosunku do większości nastolatków z nadmiarem czasu rozwiązana ;-)

Temat bezpieczeństwa w ogólności jest tematem rzeką, w świecie VoIP w dwójnasób (poprzez dodatkowe komplikacje z połączeniem z siecią PSTN).
Link do wypowiedziLink
Cezary O.

Cezary O. .

Temat: Bezpieczeństwo VoIP

Za długą odpowiedź dziękuję. Ale problem dotyczy też "brata", który jest w U.K. Bo załóżmy, że ma tam kochankę i się chwali przez VoIPa. Syn sąsiadki podsłucha bo go zwolnili z lekcji i ma dużo czasu. Powie, że zgromadził już kwotę taką a taką i już okolica wie do kogo uśmiechać się w czasie kryzysu. Problem chyba jest.

Także operatorzy chyba powinni więcej uwagi na to poświecić. Tunelowanie chyba nie jest takie tanie. Lepiej już GSM wykorzystać - taniej.
Link do wypowiedziLink
Jakub Klausa

Jakub Klausa CTO, SS7
Technologies sp. z
o.o.

Temat: Bezpieczeństwo VoIP

Problem istnieje, ale nikt nie chce za jego rozwiązanie płacić - w związku z tym usługodawcy nie chcą w tego rodzaju usługi inwestować. I kółko się zamyka.

Niemniej, między 'braćmi' można zrobić to tanio - zwykłe urządzenia domowe typu wireless router czy inne takie mają funkcjonalności budowania (szyfrowanych) tuneli VPN/IPSec, więc za sumę rzędu kilkuset złotych można zbudować sobie infrastrukturę punkt-punkt do 'bezpiecznych rozmów'.

W ogólności - przyzwyczaić się należy do tego, ze bezpieczeństwo jest usługą premium, czasami nawet bardzo premium, i za darmo nam nikt tego nie zrobi, bo nie ma w tym żadnego interesu.

Wspominany skype jest przypadkiem niedokońca trafionym - rozmowy w nim są szyfrowany w jakiś sposób, nie mamy jednak pojęcia w jaki sposób i kto trzyma klucz do bezpieczeństwa naszych rozmów przez skype. Równie dobrze może być ono (bezpieczeństwo) wysokie, jak i bardzo niskie, bo w posiadaniu odpowiednich mechanizmów są wszystkie służby, ktorym na tym zależy - to jest właśnie konsekwencja korzystania z zamkniętych, niejawnych rozwiązań. A jak to w bezpieczeństwie, zakładać należy najgorszy scenariusz - potem można się już tylko pozytywnie rozczarować ;-)
Link do wypowiedziLink
Cezary O.

Cezary O. .

Temat: Bezpieczeństwo VoIP

Masz rację, tylko problem jest taki, że przy rozmowach z kilkoma osobami, te kilkaset złotych trzeba pomnożyć. I co z tego, że rozmowa może być za darmo, jak koszty szyfrowania są droższe. Wtedy taniej wychodzi z komórki na komórkę.

Co z tego, że rozmowy są tanie? Gimnazjalista rozmawia z gimnazjalistką, podsłuchuje ich drugi gimnazjalista. I już cała szkoła ma zabawę.

Może warto wprowadzić choć minimum szyfrowania?
Link do wypowiedziLink
Jakub Klausa

Jakub Klausa CTO, SS7
Technologies sp. z
o.o.

Temat: Bezpieczeństwo VoIP

To pytanie do usługodawców VoIP ;-)

Co do kilkunastu osób chcących rozmawiać bezpiecznie - stawiasz pojedynczy serwer SIP gdzieś w zaufanej lokacji, na tej samej maszynie uruchamiasz serwer VPN (choćby OpenVPN) czy koncentrator tuneli IPSec - wszyscy łączą się do tego jednego, centralnego 'zaufanego' miejsca zestawiając uprzednio bezpieczny tunel do niego, a wtedy rozmowy pomiędzy Wami są już jako-tako zabezpieczone.

Jak wspomniałem wcześniej - operatorzy nie mają motywacji, żeby tego rodzaju usługi wprowadzać - to nisza nisz ;-)

A co do rozmów GSM, to sprawa bezpieczeństwa tych rozmów jest równie dyskusyjna jak rozmów VoIP ;-) No ale to temat na inne forum.
Link do wypowiedziLink
Cezary O.

Cezary O. .

Temat: Bezpieczeństwo VoIP

Znowu masz rację. Podobno są tu przedstawiciele operatorów VoIP. Także to forum jest odpowiednie :)

Wiem, że to jest nisza. Nie wszyscy wiedzą, że korzystają z VoIPa. Kiedyś jeden z "tradycyjnych" operatorów chciał mi sprzedać usługę. Myślałem, że tradycyjną. Drążyłem, drążyłem i wyszedł VoIP. Z usługi nie skorzystałem bo był to VoIP w cenie tradycyjnej :)

I nie każdy wie, że VoIPa można łatwo podsłuchać. Program instaluje się w kilka minut. Jest za darmo. Tzn można dostać ileś tam lat jak się prokuratora podsłucha... A podsłuch GSM to już dla bardziej wytrwałych. Chyba 1000 dolarów albo złotych...

Ludzie nie zgłaszają popytu, bo nie znają zagrożenia. A w miedzy "braćmi" są różne rozmowy :)

I teraz każdy ma stawiać sobie serwer? Może lepiej zapłacić więcej za tradycyjnego operatora?
Link do wypowiedziLink
Jakub Klausa

Jakub Klausa CTO, SS7
Technologies sp. z
o.o.

Temat: Bezpieczeństwo VoIP

Powinieneś się cieszyć - znalazłeś niszę. Teraz możesz wejść w ten biznes ;-)

W świecie, w którym dla niektórych osób różnica w cenie połączenia (minuty, żeby nie było) w wysokości 1gr stanowi przesłankę do zmiany operatora, stawianie na edukację użytkownika co do potencjalnych zagrożeń i robieniu z tego biznesu jest dość odważna.

Nie tak dawno w Londynie (nomen omen ;-)) przeprowadzono eksperyment z pogranicza social engenieering - zaproponowano ludziom (w okolicy biorowców, w okolicy godziny 9) czekoladki za zdradzenie swojego hasła - wiesz jak wiele trzeba było rozdać czekoladek? ;-)

Niemniej - powodzenia. Jeśli znajdziesz w kraju operatora świadczącego bezpieczne usługi -podziel się tą wiedzą z nami.

(Twoja relacja z operatorem (tzn. relacja zaufania) to zupełnie inna sprawa. W dalszych krokach - jego relacje zaufania z jego dostawcami itp itd - ale to temat na osobny wątek ;-))
Link do wypowiedziLink
Cezary O.

Cezary O. .

Temat: Bezpieczeństwo VoIP

To, że mnie operator podsłucha - jego sprawa. I tak jest CBA, ABW, Urząd Skarbowy, Służba Celna, itp. Gorzej, jak podsłucha mnie "sąsiadka". Wtedy będzie się głupio uśmiechać zamiast odpowiedzieć "dzień dobry".

A ten eksperyment z czekoladkami... super :)

Myślę, że zabezpieczenia na poziomie gimnazjalisty to nie jest aż taki koszt. Operatorzy wcześniej czy później muszą się na coś zdecydować.
Link do wypowiedziLink
Jarosław Rafa

Jarosław Rafa senior software
engineer, Motorola
Solutions Systems
Polska

Temat: Bezpieczeństwo VoIP

Cezary O.:

2. Chcę połączyć się z kimś po numerze IP. I mam wrażenie, że sekretny przepis na zupę pomidorową zostanie wykradziony.

W tym drugim przypadku sprawę masz o tyle prostszą, że w tej chwili większość bramek obsługuje szyfrowanie, więc przy bezpośrednim połączeniu bramka-bramka możesz skorzystać z tej opcji...

Natomiast w przypadku korzystania z pośrednictwa operatora - chyba żaden operator jeszcze nie obsługuje szyfrowanego SIP-a...
Link do wypowiedziLink
Cezary O.

Cezary O. .

Temat: Bezpieczeństwo VoIP

Jarosław Rafa:
Cezary O.:

2. Chcę połączyć się z kimś po numerze IP. I mam wrażenie, że sekretny przepis na zupę pomidorową zostanie wykradziony.

W tym drugim przypadku sprawę masz o tyle prostszą, że w tej chwili większość bramek obsługuje szyfrowanie, więc przy bezpośrednim połączeniu bramka-bramka możesz skorzystać z tej opcji...

Natomiast w przypadku korzystania z pośrednictwa operatora - chyba żaden operator jeszcze nie obsługuje szyfrowanego SIP-a...

Tak? To byłoby super. Tylko jak to ustawić?
Link do wypowiedziLink
Jarosław Rafa

Jarosław Rafa senior software
engineer, Motorola
Solutions Systems
Polska

Temat: Bezpieczeństwo VoIP

Cezary O.:

Tak? To byłoby super. Tylko jak to ustawić?

Nie wiem jaką masz bramkę - gdzieś tam w konfiguracji powinno to być...
Link do wypowiedziLink
Cezary O.

Cezary O. .

Temat: Bezpieczeństwo VoIP

Jarosław Rafa:
Cezary O.:

Tak? To byłoby super. Tylko jak to ustawić?

Nie wiem jaką masz bramkę - gdzieś tam w konfiguracji powinno to być...

Chodzi Ci o VPN?

Mam http://ui.linksys.com/files/WRP400/1.00.06/
Link do wypowiedziLink
Jarosław Rafa

Jarosław Rafa senior software
engineer, Motorola
Solutions Systems
Polska

Temat: Bezpieczeństwo VoIP

Cezary O.:

Chodzi Ci o VPN?

Nie, nie VPN. Powinny być opcje dotyczące używania SIP over TLS/SSL oraz SRTP...
Mam http://ui.linksys.com/files/WRP400/1.00.06/

Na pewno widze w Voice -> Admin Login -> Line 1 opcje dotyczaca mozliwosci zaszyfrowania SIP-a (SIP transport: TLS). Oczywiscie musi to byc ustawione po obydwu stronach i pytanie, czy da sie zrobic cos, zeby wprzypadku gdy druga strona nie obsluguje szyfrowania bramka automatycznie przechodzila na zwykle nieszyfrowane polaczenie...

Widze tez opcje umozliwiajace wgranie certyfikatu i klucza prywatnego dla SRTP (Mini certificate i SRTP private key), ale jak ogolnie wlaczyc SRTP? Chyba ze tego sie osobno nie wlacza, tylko jak jest certyfikat i klucz to bramki same potrafia wynegocjowac SRTP...?

Ogolnie trzebaby poszukac szczegolowej dokumentacji do bramki (jest z tym problem, wiem bo tez mam Linksysa tylko inny model) i chyba jednak troche poeksperymentowac...
Chyba ze ktos z grupy ma "gotowca"? Bo ja tego nigdy nie uzywalem...
Link do wypowiedziLink
Cezary O.

Cezary O. .

Temat: Bezpieczeństwo VoIP

Bardzo dziękuję wszystkim za pomoc. Tym udzielającym się na priv także. Coś już wiem. Dziękuję :)
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

komunikatory VoIP




Wyślij zaproszenie do
Anuluj