Z tego artykułu dowiesz się w jaki sposób zaszyfrować komunikację, dzięki czemu nikt nie będzie mógł podsłuchać rozmów pomiędzy rozszerzeniami na naszej centrali.
Nie będziemy opisywali w jaki sposób wygenerować certyfikaty, ponieważ to już wyjaśniliśmy w poprzednich artykułach:
- Rejestracje TLS z użyciem certyfikatu SSL z podpisem własnym
- Jak wygenerować certyfikat Let’s Encrypt w CentOS 7/8
Co ciekawe, nawet jeśli Twoja komunikacja SIP jest szyfrowana, nieszyfrowany ruch RTP w dalszym ciągu może zostać przechwycony. Bezpieczne połączenia są możliwe właśnie dzięki szyfrowaniu mediów (SRTP)
Spis treści
1) Wymagania wstępne
Wsparcie SRTP zapewnia libsrtp
. libsrtp
musi być zainstalowany na komputerze przed skompilowaniem Asteriska, w przeciwnym razie zobaczysz następujący błąd:
ERROR[10167]: chan_sip.c:27987 setup_srtp: No SRTP module loaded, can't setup SRTP session.
W razie potrzeby ponownie skompiluj Asteriska zaznaczając instalacje modułu libsrtp
.
2) Szyfrowanie mediów SRTP
2.1) Kanały SIP
Żeby włączyć szyfrowanie dla rozszerzeń SIP, dodaj encryption=yes
do poszczególnych rozszerzeń lub globalnie z sekcji [general]
.
encryption=yes
2.2) Kanały PJSIP
Żeby włączyć szyfrowanie dla rozszerzeń PJSIP, dodaj media_encryption
do poszczególnych rozszerzeń.
Zmienna ta może mieć jedną z poniższych wartości:
- no – res_pjsip nie oferuje szyfrowania i nie pozwala na konfigurację szyfrowania (domyślna opcja)
- sdes – res_pjsip oferuje standardową konfigurację SRTP za pomocą kluczy w SDP (szyfrowany transport SIP powinien być używany w połączeniu z tą opcją, aby zapobiec ujawnieniu kluczy szyfrowania mediów)
- dtls – res_pjsip zaoferuje konfigurację DTLS-SRTP
Dodatkowo możesz użyć zmiennej media_encryption_optimistic
, żeby nie wymuszać szyfrowania, ale potraktować to jako opcję dla urządzeń, które obsługują taką możliwość.
media_encryption=sdes
media_encryption_optimistic=yes
W efekcie nie tylko komunikacja SIP zostanie zaszyfrowana, ale też media RTP.
Czy wiesz co tak na prawdę dzieje się na Twojej centrali? Wypróbuj nasze autorskie oprogramowanie VOIPERO.
System niedawno wystartował i teraz jest udostępniany całkowicie za darmo. Instalacja i konfiguracja zajmuje kilka minut
Dowiedz się jakie możliwości ma system VOIPERO jeżeli chodzi o raportowanie i monitorowanie na żywo systemów VoIP bazujących na asterisku.