- Beitrag abonnieren
- Beitrag stummschalten
- Beitrag als ungelesen kennzeichnen
- Beitrag als gelesen kennzeichnen
SRTP Voice verschlüsselt
06.06.2018 09:35
Hallo,
wir sind über einen VDSL Deutschland IP Voice/Data Anschluss mit dem Internet verbunden. SIP über TLS funktioniert aber kein SRTP.
Auch ankommende INVITE schlagen nur RTP vor. Ab wann wird SRTP von der Telekom unterstütz?
Mfg Dersch
23.07.2018 14:56
An unserem DeutsclandLAN IP Data/Voice Anschluß funktioniert jetzt auch SRTP.
Wichtig ist neben der 1TR114 Amendment 2, RFC3329 und insbeondere "Security Mechanism Names for Media, draft-dawes-dispatch-mediasec-parameter-07.txt" zu berücksichtigen, d.h.
im REGISTER muss der Header Field Parameter mediasec stehen:
Security-Client: sdes-srtp;mediasec
Require: mediasec
Proxy-Require: mediasec
Der Server antwortet dann mit:
Security-Server: msrp-tls;mediasec
Security-Server: sdes-srtp;mediasec
Security-Server: dtls-srtp;mediasec
Nach Authorisierung sendet dann das REGISTER
Security-Verify: msrp-tls;mediasec
Security-Verify: sdes-srtp;mediasec
Security-Verify: dtls-srtp;mediasec
In einem ankommenden INVITE steht dann u.a.:
m=audio 21570 RTP/SAVP 8 0 101
a=ptime:20
a=3ge2ae:applied
a=crypto:1 AES_CM_128_HMAC_SHA1_80 inline:.......................
a=crypto:2 AES_CM_128_HMAC_SHA1_32 inline:.......................
was wir im OK mit
m=audio 18092 RTP/SAVP 8 101
a=crypto:1 AES_CM_128_HMAC_SHA1_80 inline:......................
beantworten.
23.07.2018 15:32
30.07.2018 11:15
Ich klink mich hier mal ein, da ich als Betreiber einer/mehrerer Asterisk Telefonanlagen das selbe Problem habe.
1) SRTP hat noch nie funktioniert, egal. was ich probiert hab
2) seit ca. 2 Monaten werden Anfragen an tel.t-online.de auf Port 5061 (TCP/TLS) nicht mehr abgewiesen, dh. ein Teil passt(e) soweit
3) seit 27.07.2018, 02:11 bekomm ich ueber TLS nichts mehr zustande, d.h. nach einem Restart der Asterisk Anlage dauert es nicht wie sonst wenige Sekunden bis die Nummern registriert sind, sondern es werden erstmal alle Nummer abgewiesen. Innerhalb der naechsten 10 Minuten schaffen es dann alle sich zu registrieren, aber Telefonieren klappt weder mit "media_encryption = sdes" noch ohne. Erst wenn alles wieder ueber UDP laeuft, werden Nummern sofort registriert und Gespraeche sind moeglich.
Leider hat mir keinerlei telefon. Auskunft geholfen...weder ob nun SRTP moeglich ist oder nicht, warum die Verbindung ueber TLS zickt, obs Aenderungen auf den Telekomservern gab, etc. Vllt. finde ich ja hier die Informationen, die zum Betrieb benoetigt werden.
30.07.2018 13:46
Bitte beachte den letzten Beitrag von @wdersch. Asterisk besitzt in der derzeit aktuellsten Version nicht die Funktionalitäten zum Setzen der benötigten Header-Parameter. Entsprechend wäre Entwicklungsaufwand notwendig um den Anforderungen der Telekom für SRTP gerecht zu werden. Nutzung von SIPoTLS ohne SRTP ist problemlos nötig – achte dabei auf die richtige Nutzung der SRV-Records.
30.07.2018 14:25
1) danke. Das mit SRTP und Asterisk hatte ich ueberlesen
2) sowohl SIPoUDP, als auch SIPoTLS gingen/gehen seit Monaten problemlos und jetzt - ohne jegliche Aenderungen auf meiner Seite - nicht mehr. Was genau hat das mit korrekten SRV records zu tun und was muss ich einstellen?
30.07.2018 14:51
Zu 2)
Das Problem kann ich nun nachvollziehen. Folgende drei Server werden für SIPoTLS aufgelöst, wobei s-eps-608.edns.t-ipnet.de nicht erreichbar ist und auf keine SIP-Requests reagiert. Alle anderen Server sind erreichbar und funktionieren wie gewohnt.
$ host -t SRV _sips._tcp.tel.t-online.de. _sips._tcp.tel.t-online.de has SRV record 30 0 5061 h2-eps-608.edns.t-ipnet.de. _sips._tcp.tel.t-online.de has SRV record 10 0 5061 s-eps-608.edns.t-ipnet.de. _sips._tcp.tel.t-online.de has SRV record 20 0 5061 d-eps-608.edns.t-ipnet.de.
30.07.2018 15:09
@DanielYK schrieb:Zu 2)
Das Problem kann ich nun nachvollziehen. Folgende drei Server werden für SIPoTLS aufgelöst, wobei s-eps-608.edns.t-ipnet.de nicht erreichbar ist und auf keine SIP-Requests reagiert. Alle anderen Server sind erreichbar und funktionieren wie gewohnt.
Was aber überhaupt kein Problem ist. Genau deswegen wird ja mit SRV records gearbeitet um solche Ausfälle problemlos kompensieren zu können. Die drei Server haben entsprechende Prioritäten und wenn einer nicht funktioniert wird der mit der nächst höchsten Priorität verwendet, ganz einfach.
30.07.2018 15:11
Meine Digitalisierungsbox hat damit keine Probleme.
An Stelle von s-eps-608.edns.t-ipnet.de benutzt sie jetzt
d-eps-608.edns.t-ipnet.de.
13.08.2018 12:01
@wdersch schrieb:An unserem DeutsclandLAN IP Data/Voice Anschluß funktioniert jetzt auch SRTP.
Wichtig ist neben der 1TR114 Amendment 2, RFC3329 und insbeondere "Security Mechanism Names for Media, draft-dawes-dispatch-mediasec-parameter-07.txt" zu berücksichtigen, d.h.
im REGISTER muss der Header Field Parameter mediasec stehen:
Security-Client: sdes-srtp;mediasec
Require: mediasec
Proxy-Require: mediasec
Ich habe mir das Dokument angesehen (draft-dawes-dispatch-mediasec-parameter-07). Zum einen ist es NUR ein Draft, zum anderen ist es seit 04.04.2014 expired.
Internet Engineering Task Force P. Dawes Internet-Draft Vodafone Group Intended status: Informational October 01, 2013 Expires: April 04, 2014
Es wäre also schick, wenn SRTP ganz einfach, wie überall auf dieser Welt, unter Berücksichtigung von RFC3329 möglich wäre.
Viele Grüße
Claus
15.08.2018 09:42
vielen Dank für Ihren Beitrag. Ich habe ihn an unsere Fachseite weiter gegeben und von dort folgenden Hinweis bekommen:
Dem IMS der Telekom liegen 3GPP-Standards zu Grunde, daher ist eine zusätzliche Signalisierung für "Media Plane Security" notwendig.
Ich hoffe, dieser Hinweis ist für Sie interessant und hilft Ihnen weiter.
Viele Grüße
Angela G.
11.11.2018 19:18
Für die Digiboxen gibt es jetzt die Version 10.2.01.104 und damit funktioniert auch SRTP mit einem Magenta Tarif.
Beim SIP Provider muss man dafür die neue Option "MediaSec" aktivieren.