Как настроить шифрованную телефонию Asterisk

Начало разговора

Итак, Петр посылает INVITE для Ивана на Proxy-сервер:

Как настроить шифрованную телефонию Asterisk
Proxy-сервер перенаправляет запрос всем SIP-клиентам Ивана. Для простоты предположим, что Иван использует только одно устройство. Чтобы SIP-клиент понимал, что запрос был перенаправлен через Proxy, сервер добавляет свое заголовочное поле via:

Что почитать по теме

1. RFC 3261.

2. Всё, что вы хотели знать о протоколе SIP (три части). Андрей Погребенник.

Asterisk tls keys


Сперва создадим само-подписанные сертификаты и ключи шифрования.

Создать директорию для ключей:

  mkdir /etc/asterisk/keys

С исходниками Asterisk поставляется скрипт для создания ключей:

  cd  /usr/src/asterisk-14*/contrib/scripts/

в моем случае, это Asterisk 14, но пойдет и 13, и м.б. 12.
Выполните скрипт с тремя ключами:

Asterisk tls srtp pjsip


Создадим транспорт pjsip и пользовательcкий аккаунт.

/etc/asterisk/pjsip.conf

Asterisk tls srtp sip клиент

Софтфон Zoiper прекрасно работает с SRTP, как в десктопном, так и мобильном варианте на Android. Для iPhone хорошо себя зарекомендовала Bria.

Zoiper > Preference > Accounts > GeneralСтандартные настройки авторизации SIP

Zoiper > Preference > Accounts > Advanced


Tls Client Certificate Предварительно скопируйте сертификаты в доступную smb директорию

Zoiper > Preference > Advanced > SecurityTLS options:

Страшная надпись предупреждает об опасности: DANGEROUS! DO NOT USE! Но так как, мы используем само-подписанный сертификат, если не выключить верификацию, то ркгистрация не удастся. Нас предупреждают о опасности использования не удостоверенных доверенным издателем сертификатов, так же как браузер предупреждает, что сайт использует self-signed сертификат.

Когда регистрация успешно завершена, сделаем звонок. Иконка с закрытым замком указывает на защищенное соединение.

Bonus для тех, кому интересно


Вы могли заметить, что, в ответ на запрос регистрации, сервер присылает ответ, содержащий To-tag:

Понятно, что при установке диалога данный tag помогает избежать повторного получения одного и того же сообщения. Для этого существует правило: если сообщение не содержит To-tag и UAS уже получал сообщение с таким же CSeq, From-tag и Call-ID, то сообщение отбрасывается.

Для чего же нужен To-tag, если мы не устанавливаем диалог с сервером регистрации. Лучший ответ, который я смог найти — в RFC 3261 написано, что ответ 200 ОК, приходящий на запрос без To-tag должен содержать To-tag. То есть, это ни для чего не нужно, но так принято.

Надеюсь, что работа протокола SIP, после прочтения статьи, стала для вас более понятной. Буду рад вашим комментариям.

SIP-T21P E2 — это один из самых продвинутых IP-телефонов начального уровня, из представленных на рынке. Корпус телефона, выполненный из высококачественного пластика, оснащен современным ЖК-дисплеем с разрешением 132×64 точки и подсветкой. Наличие дисплея, а также поддержка звука формата HD превращают работу с SIP-T21P E2 в удовольствие. Телефон также придется по душе и техническим специалистам – его установка, благодаря двум сетевым портам 10/100 Мбит/с и поддержке PoE-питания, осуществляется буквально за несколько секунд. SIP-T21P E2 поддерживает два независимых SIP-аккаунта, современный сетевой стандарт IPv6, а также такие безопасные протоколы, как SRTP, HTTPS, TLS и 802.1X. Благодаря отличному сочетанию цены, функциональности и качества, SIP-T21P E2 является отличным выбором как для небольших, так и для крупных офисов.

Sip-регистрация


Регистрация выглядит следующим образом:

Взаимодействие с использованием proxy

Для чего же нам необходим SIP Proxy? Как я уже сказал, в примере из 1-ой части статьи клиенты знали IP-адреса друг друга и могли общаться напрямую. В реальной жизни клиенты чаще всего получают адреса динамически, поэтому нет смысла «запоминать» тот или иной IP.

Про сертификаты:  ФТОРЭПОКСИДНЫЙ ЛАК ФЛК-Пасп, купить в Санкт-Петербурге

Первое, что приходит на ум в данной ситуации – использовать A-записи DNS и определить реальный действующий адрес. Однако тут кроется следующая проблема: IP-адрес идентифицирует конкретное устройство, а не пользователя на нем. Особенностью взаимодействия SIP является то, что обмен сообщения происходит не на уровне устройство-устройство, а на пользователь-пользователь.

Протокол SIP предлагает следующее решение: создается SIP Proxy и каждый пользователь регистрирует свои устройства на этом Proxy (точнее пользователи регистрируются на сервере регистрации, а Proxy имеет доступ к базе регистрации, но для простоты будем считать, что это один и тот же сервер).

Когда Петр звонит Ивану, выполняется следующая последовательность действий:

  1. SIP-клиента Петра определяет адрес и протокол SIP Proxy Ивана (как это делается — см. выше)
  2. Клиент отправляет на Proxy запрос INVITE
  3. Proxy-сервер смотрит, на каких устройствах зарегистрировался Иван и отправляет запрос на все эти устройства
  4. Иван отвечает на звонок на одном из устройств и шлет 200 OK на Proxy
  5. Proxy перенаправляет 200 OK Петру
  6. Петр получает SIP-адрес Ивана на конкретном устройстве из поля Contact вответе 200 ОК и шлет ответ напрямую, минуя Prxoy
  7. Все последующее общение идет также напрямую

На схеме это выглядит следующим образом:

Для тех, кто изучил первую часть статьи, все выглядит довольно знакомо; добавился только промежуточный Proxy-сервер. Соответственно и обмен сообщениями изменился незначительно.

Прежде, чем преступим к детальному рассмотрению, маленькая ремарка. В рамках SIP разделяют два типа URI. Первый из них – ползовательский URI, также известный как address of recorf (AOR). Запрос, отправленный на этот адрес предполагает поиск в базе данных Proxy и отправку запроса одному или несольким устройствам.

Выбор транспортного протокола и поиск proxy

Поскольку протокол SIP поддерживает несколько транспортных протоколов (UDP, TCP, SCTP, TLS), необходимо каким-то образом определять, какой протокол использовать. Для этого существет несколько способов.

Первый способ предполагает явное указание транспорта в SIP URI (кроме TLS). Выглядит это вот так:

Если транспорт явно не указан, то действует следующий алгоритм:

  1. Если SIP URI содержит IP-адрес, то для SIP URI используется UDP, для SIPS (Secure SIP) – TCP.
  2. Если IP-адрес не укзаан, но укзаан порт, то для SIP URI используется UDP, для SIPS – TCP.
  3. Если отсутсвует IP-адрес и порт, но в DNS присутствует соответсвующая NAPTR-запись, тогда “SIP D2U” соответствует UDP, “SIP-D2T” указывает на TCP и “SIP-D2S” — на SCTP. NAPTR содержит ссылку на SRV-запись, которая будет использоваться для поиска Proxy-сервера. Если NAPTR остуствует, то должен быть выполнен запрос на поиск SRV-записи.
  4. Результатом SRV запроса будет имя и порт Proxy-сервера.
  5. Если SRV-запись отсутствует, то выполняется A или AAAA-запрос. При это для SIP URI используется UDP, для SIPS – TCP.

Защита voip

Увы, защита VoIP не включается одной кнопкой и должна планомерно строиться на всех уровнях, начиная с сетевого уровня (iptables, IPS) и заканчивая правильной настройкой плана набора.

Традиционные межсетевые экраны не могут полностью противостоять специфическим атакам, поскольку они работают на транспортном уровне и не умеют «смотреть» внутрь пакета. Здесь нужны специализированные решения, относящиеся к классу NGFW (Next-Generation Firewall).

Могут быть эффективными традиционные мероприятия по борьбе с DoS — регулировка трафика на маршрутизаторе, использование пограничных контроллеров сессий (SBC, session border controllers), правильная настройка сервера и приложения. Так, контроллеры SBC, являясь единой точкой входа и анализируя пакеты в реальном времени, способны предотвращать DDoS-атаки, распространение спама и вирусные эпидемии.

Плюс некоторые реализации SBC умеют шифровать трафик, обеспечивая защиту от перехвата в WAN. Под VoIP рекомендуется выделять отдельные сети (физические или VLAN), это позволит скрыть голосовой трафик от пользователей сети и лучше контролировать QoS для VoIP. Хотя не следует считать эту меру панацеей, так как сниферы без проблем найдут трафик VoIP VLAN.

Про сертификаты:  Купить Б0047173, Светильник светодиодный ЭРА SPP-201-0-65K-018 IP65 18W 1710Lm 6500К 600mm матовый ERA по цене 1285.44 р. в наличии

Что касается атаки MITM, то защита от нее давно уже отлажена. Это проверка МАС-адреса на файрволе, использование протокола контроля доступа и аутентификации IEEE 802.1x, шифрование потока. Шифрование, наряду с продвинутыми методами аутентификации и правильной парольной политикой, позволяет защититься от подбора пароля.

В настоящее время реализовано несколько вариантов: VPN, TLS/SSL, SRTP (Secure Real Time Protocol) или ZRTP (Z and Real-time Transport Protocol). Виртуальные сети наиболее популярны у провайдеров услуг, но VPN, увеличивая накладные расходы на передачу пакетов, нередко сами становятся причиной задержек.

Да и не с каждым протоколом VPN можно обеспечить соединение удаленному пользователю в конкретных условиях. Кроме того, обычно шифруется канал только между VPN-серверами, а внутри конкретного сегмента сети сотрудники ведут переговоры по незащищенному каналу.

Теперь рассмотрим реализацию этих методов на примере Asterisk.

Защита от подбора пароля

Попытки подбора паролей к SIP-аккаунтам давно уже не редкость, тем более что готовые инструменты лежат в свободном доступе, а простой скрипт пишется за день. Например, комплект утилит SIPVicious позволяет получить списки SIP в указанном диапазоне IP, рабочие расширения (extensions) и подобрать к ним пароль.

Как настроить шифрованную телефонию asterisk

Современный мир требует от компаний и предприятий выполнения стандартов безопасности во избежании утечек информации и возможной потери финансовых средств в связи с такими утечками. Одним из важных аспектов защиты информации является защита телефонных переговоров. И если защитить переговоры на уровне провайдера не удастся, поскольку шифрование запрещено на федеральном уровне, то шифровать внутренние переговоры вам вполне по силам. Предлагаем кратко пошагово рассмотреть настройку шифрования телефонной связи на базе программного комплекса Asterisk.

Сервер телефонии использует протоколы SIP и RTP для передачи сигнального трафика и голосового соответственно. Поэтому и шифровать нам нужно будет сигнальный трафик с помощью TLS, а также голосовой трафик с помощью SRTP.

Рассмотрим конфигурацию серверной части. В первую очередь, Asterisk должен быть собран с поддержкой res_srtp. Далее нам необходимо сгенерировать TLS сертификаты, с помощью которых и будет производится шифрование трафика телефонии. Для этого в исходниках Asterisk уже размещены скрипты, которые помогут сформировать серверные и клиентские сертификаты. Важно заметить, что нас интересуют только серверные сертификаты, поскольку клиентские сертификаты зачастую просто некуда импортировать или прописывать для использования.

Сам собственно скрипт находится по пути /contrib/scripts в исходниках.

Запуск скрипта:

./ast_tls_cert -C compaby.domain.name -O "My Company" -d /etc/asterisk/keys

-C - DNS имя, которые мы прописали в /etc/hosts и будем использовать для подключения к серверу телефонии-О - имя нашей организации (информационно)-d - путь, где будут сохраняться наши сертификаты.

Далее нам будет необходимо настроить sip.conf, для того, чтобы активировать шифрование и указать,какие сертификаты будут использоваться для этого:

tlsenable=yes ;;; включаем TLS
tlsbindaddr=0.0.0.0:5061 ;; указываем адрес и порт, которые будет слушать ASterisktlscertfile=/etc/asterisk/keys/asterisk.pem ;; пусть к сертификатуtlscafile=/etc/asterisk/keys/ca.crt ;; пусть к сертификатуtlsdontverifyserver=yes ;; запрещаем проверку сертификата пиру

Далее, для каждого пира, которому мы хотим включить шифрование необходимо прописать (либо в шаблоне для группы пиров):

transport=tls
encryption=yes

Обратите внимание, что поскольку в transport указано только TLS, то другие протоколы будут недоступны. Если указать tls,udp – то пир сможет автоматически выбирать необходимый протокол для работы. Но если в компании стандарт шифрование – то лучше оставлять только tls, тогда только пир поддерживающий шифрование сможет пользоваться системой.

Далее необходимо перечитать конфиг астериска для применения и приступить к конфигурации клиента.

На текущий момент довольно много клиентов поддерживает шифрование TLS для SIP и SRTP. Например, бесплатная функция шифрования есть у ZOiper 3 или Blink. Аппаратные решения от Cisco и Yelink также поддерживают эти функции.

Например, конфигурация Zoiper 3:

Конфигурация для телефона Cisco:

Конфигурация для телефонов Yelink:

Результатом настройки такой конфигурации можем предоставить в виде дампа при перехвате пакетов с сервера телефонии Asterisk (wireshark):

Таким образом, при перехвате передаваемых пакетов, собрать их в голос не получится, поскольку данные зашифрованы.

Чтобы облегчить задачу защиты конфиденциальной информации, вы можете воспользоваться шифрованной телефонией от EFSOL, которая располагается в облаке в защищенном дата-центре.

Про сертификаты:  Сертификация нефтепродуктов: порядок, процедуры

         Yealink SIP-T21P E2 — это обновленная версия SIP-телефона Yealink SIP-T21P, которая прекрасно сочетает в себе стиль, высокое качество исполнения и передовые технические решения. Телефон является бюджетной моделью и отлично подойдет для малого и среднего бизнеса. В отличии от предшественника, в новой модели улучшено качество передачи голоса, добавлены подсветка экрана и подписи программируемых кнопок на экране, а кнопки световой индикации стали двухцветными, которые удобно использовать в режиме BLF. Телефон поддерживает технологию PoE (Power over Ethernet), в отличии от Yealink SIP-T21 E2.  

Комплектация без блока питания!
Гарантия 18 месяцев!

Функции телефона

  • 2 SIP-аккаунта
  • Удержание, отключение микрофона, DND (“Не беспокоить”)
  • Быстрый набор, горячая линия
  • Переадресация, режим ожидания, трансфер
  • Групповое прослушивание, SIP SMS, экстренные вызовы
  • 3-сторонняя конференция
  • Выбор мелодии/загрузка/удаление
  • Настройка времени: автоматически или вручную
  • Правила набора
  • XML-браузер, Action URL/URI
  • Встроенные скриншоты
  • RTCP-XR, VQ-RTCPXR

Экран и индикаторы

  • Графический 2.3″ LCD-экран с разрешением 132х64
  • LED-индикатор питания и MWI
  • Индикаторы состояния линий с красно-зеленой подсветкой
  • Поддержка нескольких языков
  • Caller ID с именем и номером
  • Энергосбережение

Функциональные кнопки

  • Клавиатура с русскими и английскими буквами
  • 2 кнопки линий с индикаторами
  • 6 навигационных клавиш
  • Клавиши регулировки громкости
  • 6 функциональных клавиш: трансфер, откл/вкл. микрофона, гарнитура, повторный набор номера, громкая связь, голосовая почта

Кодеки и настройки голоса

  • Широкополосные кодеки: G.722, Opus
  • Кодеки: G.711 (A/u), G.729AB, G.726, iLBC
  • DTMF: In-band, Out-of-band (RFC2833), SIP INFO
  • Full-duplex (полнодуплексная) громкая связь с AEC (подавление эха)
  • VAD (обнаружение активности голоса), CNG (генератор комфортного шума), AEC (подавление эха), PLC (маркирование потери пакета с медиа-данными), AJB (адаптивный буфер для голосовых пакетов), AGC (автоматическая регулировка чувствительности микрофона)

Записные книги

  • Локальная записная книга до 1000 контактов
  • Черный список
  • Удаленная записная книга XML, LDAP
  • Интеллектуальный поиск
  • Поиск по записным книгам, импорт/экспорт локальной записной книги
  • История вызовов: набранные/принятые/пропущенные/переадресованные

Интеграция с IP-АТС

  • Анонимный вызов, отклонение анонимных вызовов
  • BLF
  • BLA
  • Hot-desking, экстренный вызов, интерком, paging, music on hold, напоминание
  • MWI, напоминание, запись разговора
  • Голосовая почта, парковка вызова, захват вызова

Управление

Сетевые характеристики и безопасность

Физические характеристики

  • Крепление к стене
  • 2хRJ45 Ethernet-порта 10/100Мбит/с
  • POE (IEEE 802.3af), class 2
  • 1хRJ9 для подключения трубки
  • 1хRJ9 для подключения гарнитуры
  • Блок питания: Вход 100-240V AC, Выход 5V, 0.6А
  • Потребление через блок питания: 0.8 – 1.4W
  • Потребление через POE: 1.3 – 1.8W
  • Размеры (Ш*Г*В*Т): 209мм*188мм*150мм*41мм
  • Рабочая влажность: 10~95%
  • Рабочая температура: -10~50°C

Комплектация:

  • SIP-T21P E2: 1 шт. 
  • Сетевой кабель Ethernet: 1 шт.
  • Телефонная трубка: 1 шт.
  • Шнур для подключения трубки RJ9: 1 шт.
  • Подставка: 1 шт.
  • Краткое руководство: 1 шт.
  • Гарантийный талон: 1 шт.

 Упаковка:

  • Размеры индивидуальной упаковки – 215х200х121 мм
  • Вес индивидуальной упаковки -1.1 кг
  • Размеры коробки – 620x445x230 мм
  • Количество штук в коробке -10 шт
  • Вес брутто коробки -12.5 кг
  • Объём коробки -0.06 куб.м

Настройка srtp tls/ssl в asterisk

Сервер Asterisk поддерживает TLS между серверами и сценарий клиент — сервер. Для активации TLS достаточно прописать в настройках (sip.conf) всего несколько команд:

tcpenable=yes
tcpbindaddr=0.0.0.0
tlscertfile=/etc/asterisk/cert/asterisk.pem
tlscafile=/etc/asterisk/cert/ca.crt
tlsprivatekey=/var/lib/asterisk/keys/voip.example.org.key
tlsclientmethod=tlsv1

Проверяем подключение:

$ openssl s_client host localhost port 5061

В настройках клиента ставим transport=tls.

RSA-ключи, используемые для шифрования, можно сгенерировать при помощи команды openssl genrsa и специальных скриптов astgenkey (astgenkey -n keyname) или asttlscert (копируют ключи в /var/lib/asterisk/keys). Последние не всегда доступны в пакетах или специальных дистрибутивах вроде Elastix, взять их можно на SVN-сервере.

Теперь подключение безопасно и подсмотреть регистрационные данные нельзя, хотя сами переговоры не шифруются. Штатный для Asterisk протокол IAX2, как и SIP, можно настроить на поддержку шифрования SRTP (AES128). Для этого необходимо добавить всего одну строку в конфиг iax.conf или sip.conf:

encryption=yes

Перезапускаем настройки sip reload/iax2 reload, затем проверяем, загружен ли модуль:

CLI> module show like res_srtp.so

Команда iax show peers должна показать метку (E) напротив подключенных клиентов, означающую, что шифрование активно. В журналах появится запись вида encrypt_frame: Encoding.

Настраиваем TLS
Настраиваем TLS

Настройки экстеншна

Междугородние звонки всем сотрудникам, как правило, не нужны, поэтому следует ограничить такую возможность только определенной группе абонентов. Входящие и исходящие звонки должны быть описаны в разных контекстах. Зачастую админы ленятся, используя в описании маршрутов символы замены, и получается что-то вроде:

exten => _5X.,1,Dial(SIP/${EXTEN})

Это может привести к тому, что сотрудник или злоумышленник может позвонить куда угодно. Поэтому следует жестко прописывать все цифры международных кодов, городов или мобильных операторов, четко указывая, куда можно звонить:

exten => _8495XXXXXXX,1,Dial(SIP/${EXTEN})

Вложенные контексты или специальные конструкции позволяют ограничить звонки в определенных направлениях в нерабочее время. Вариантов здесь несколько:

exten => 3XXX,1,GotoIfTime(9:00-18:00|mon-fri|*|*?OUT,s,1)
; include => <context>[|<hours>|<weekdays>|<monthdays>|<months>]
include => daytime|9:00-18:00|mon-fri

В случае нарушения можно предусмотреть отправку почтового сообщения на ящик админа:

Немного теории

Любой VoIP вызов состоит из 2-х основных составляющих: обмена сигнальной информацией и передачи между пользователями media потоков с голосом и/или видео.На первом этапе, в процессе обмена сигнальной информацией, клиенты напрямую либо посредством сервера договариваются между собой о параметрах устанавливаемого вызова.

Если связь устанавливается с помощью сервера, на основе сигнальной информации сервер авторизует клиента, устанавливает кто и кому звонит, проводит маршрутизацию и коммутацию. Благодаря данным сигнального протокола клиенты и сервер согласуют метод шифрования, используемые media кодеки, обмениваются ip адресами и номерами портов, где ожидается приём media и тд.

Происходит это по таким протоколам как SIP, XMPP и прочим. Непосредственно «разговор», то есть обмен между клиентами голосовыми данными, как правило происходит по протоколу RTP. Данные внутри передаются в том виде, о котором договорились клиенты и сервер на «сигнальном» этапе.

Итак, что же собой представляет шифрованный VoIP вызов? Дальше речь пойдёт о SIP протоколе как наиболее популярном.Как мы уже выяснили, звонок состоит из сигнальной и media частей, каждая из которых может быть зашифрована отдельно с применением специальных методов-протоколов. Для шифрования сигнальной информации применяется SIPTLS, для шифрования «голоса» ZRTP и SRTP протоколы.

Повышаем безопасность всеми доступными средствами

В Asterisk используется специальный SIP Security Event Framework, позволяющий в том числе собирать информацию о проблемах безопасности. Подключив соответствующий журнал вMARKDOWN_HASH225a5355dbea6e4872626e2101b5ea79MARKDOWN_HASH директивой security_log => security, мы можем блокировать все попытки перебора пароля при помощи fail2ban.

Проблемы защиты voip

Как и любое сетевое приложение, VoIP-сервис подвержен «классическим» атакам, но есть своя специфика. Например, в случае DDoS не обязательно «заваливать» сервер SYN-запросами. Можно «вмешаться» в разговор, отправляя пустые пакеты, на обработку которых сервис будет затрачивать ресурсы, это приведет к задержкам, и разговор вести станет невозможно (атака Call tampering).

Простое взаимодействие клиентов

Взаимодействие клиентов в рамках SIP чаще всего осуществляется в виде диалога.

Протокол srtp/zrtp

Оптимальным с точки зрения производительности является SRTP (RFC 3711), позволяющий шифровать (AES) медиапоток и обеспечивать проверку подлинности (HMAC-SHA-1) информации. Однако этот протокол не обеспечивает защиту процесса аутентификации, и необходимо дополнительно использовать сторонние инструменты вроде TLS/SSL.

Связку SRTP TLS/SSL можно легко организовать на Asterisk (с 1.8), FreeSWITCH, SIP-коммутаторе OpenSIPS и других подобных решениях. Кроме того, Asterisk и FreeSWITCH поддерживают протокол ZRTP, который специально разработан для VoIP Филиппом Циммерманном, создателем PGP (отсюда и первая буква Z в названии).

Протокол обеспечивает безопасную аутентификацию и обмен данными, стандартизирован в RFC 6189. Во время инициализации ZRTP-звонка используется метод обмена ключами Диффи — Хеллмана, для аутентификации применяется SAS (Short Authentication String). Весь разговор шифруется, причем пара ключей генерируется для каждого сеанса автоматически, что очень удобно, так как позволяет легко встроить этот механизм в уже существующие продукты и не требуется инфраструктура PKI.

В дополнение к SRTP, в канальном драйвере chan_sip из состава Asterisk 11 реализована поддержка безопасного транспортного протокола DTLS-SRTP, предназначенного для передачи мультимедийных RTP-потоков c использованием шифрования, которая может быть задействована для абонентов, использующих WebRTC и SIP.

Сертификаты на провод сип

Совершение звонков с использованием zrtp

После того, как все настройки выполнены, совершим несколько звонков для того чтоб продемонстрировать работу CSipSimple в звонках между пользователями с различными настройками безопасности.

Сразу после выполнения инструкции звонок SIP пользователя 1001 пользователю 1000 будет выглядит таким образом.
Как настроить шифрованную телефонию Asterisk Как настроить шифрованную телефонию Asterisk Как настроить шифрованную телефонию Asterisk Как настроить шифрованную телефонию Asterisk

Тестирование

Хорошо бы еще убедиться, что сигнализация и голос зашифрованы. Это можно сделать при помощи приложения tcpdump

для сигнализации:

  tcpdump -nqt -s 0 -A -vvv -i eth0 port 5061

где eth0 сетевой интерфейс.


Для голоса:

  tcpdump -nqt -s 0 -A -vvv -i eth0 portrange 10000-20000

Настройка Asterisk

Вы используете Internet Explorer 11.

Он не поддерживает многие современные технологии, из-за чего страницы сайта могут
некорректно отображаться, а часть важного функционала не работать.

Для полноценной и стабильной работы сайта, пожалуйста, воспользуйтесь одним из
современных бесплатных браузеров.
Например, Goolge Chrome или Microsoft Edge.

Заключение

Сервис VoIP — это сложное решение, и для его защиты следует применять комплексный подход, блокируя возможные угрозы на всех уровнях. Кроме прочего, следует побеспокоиться и о стандартных мероприятиях, таких как поддержание версии ПО и ОС сервера в актуальном состоянии, обновление прошивки и настройка безопасности оконечного оборудования.

Конец разговора


В конце разговора клиент Ивана отправляет BYE напрямую клиенту Петра:

Петр в ответ шлет подтверждение:

Как настроить шифрованную телефонию Asterisk
Здесь все, как в первой части статьи.

Итак, мы рассмотрели взаимодействие SIP-клиентов с участием Proxу-сервера. Остался один единственный вопрос: откуда Proxy узнал адреса клиентов Ивана? С помощью процедуры регистрации. Как это происходит, я расскажу ниже.

Оцените статью
Мой сертификат
Добавить комментарий