[eside-ghost] SRTP+MIKEY & Soporte para SIP sobre TCP/TLS
Saúl Ibarra
saghul en gmail.com
Mie Ago 22 00:06:41 CEST 2007
Puedes indicar que bug es (el bugid)? Es que en el parche no sale :P
El 22/08/07, Xabier Etxebarria <etxeba en gmail.com> escribió:
> Hola,
>
> estoy intentando securizar Asterisk, tanto en el intercambio de claves (SIP)
> como en la transmisión (RTP).
>
> Primeramente comencé con SRTP+MIKEY, adjun to la receta , pero no he
> podido realizar una llamada segura, no sé si alguno ha trasteado con esto,
> lo comento por si me podéis echar una mano.
>
> He realizado las llamadas usando Minisip en los dos extremos, pero cuando
> realizo llamadas entre ambos me dice "The call is unprotected", y también me
> han salido alarmas en la consola del Asterisk del tipo: "Can't provide
> secure audio requested in SDP offer", no sé si es necesario configurar los
> Minisip de alguna manera.
>
> ---
>
> Como llevo una temporada atascado con SRTP+MIKEY, y vi en este blog la
> entrada Soporte para SIP sobre TCP/TLS listo para probar en Asterisk!, lo
> testee. He logrado realizar llamadas mediante conexiones TCP, en cambio
> todavía no he podido realizar llamadas mediante conexiones TLS, el problema
> lo tengo en el certificado que al parecer lo genero mal, en la consola del
> Asterisk me dice "ssl cert error < asterisk.pem>".
>
> Las pruebas las he realizado con Eyebeam 1.5.
> La revisión sip-tcp-tls que tengo es la r78992.
>
> Adjunto mis ficheros de configuración:
> sip.conf
> ...
> bindport=5060 ; UDP Port to bind to (SIP standard port is
> 5060)
> ; bindport is the
> local UDP port that Asterisk will listen on
> bindaddr= 0.0.0.0 ; IP address to bind to (0.0.0.0 binds to all)
>
> tcpenable=yes ; Enable server for incoming TCP connections
> (default is yes)
> tcpbindaddr= 0.0.0.0 ; IP adderss for TCP server to bind to (0.0.0.0
> binds to all interfaces)
> tcpbindport=5061 ; Set the TCP bind port (default is 5060)
>
> tlsenable=yes ; Enable server for incoming TLS (secure)
> connections (default is no)
> tlsbindaddr=0.0.0.0 ; IP address for TLS server to bind to (
> 0.0.0.0) binds to all interfaces)
> tlsbindport=5062 ; Set the TLS bind port (default is 5061)
> tlscertfile=asterisk.pem ; Certificate file (*.pem only) to use for TLS
> connections
> ; default is to
> look for "asterisk.pem" in current director
> ...
> [etxeba]
> type=friend
> secret=etxeba
> qualify=yes ; Qualify peer is no
> more than 2000 ms away
> nat=no ; This phone is not
> natted
> host=dynamic ; This device registers with us
> canreinvite=no ; Asterisk by default tries to redirect
> context=context-etxeba ; the internal context
> transport=tcp
>
> [xabi]
> type=friend
> secret=xabi
> qualify=yes ; Qualify peer is no more than 2000 ms away
> nat=no ; This phone is not natted
> host=dynamic ; This device registers with us
> canreinvite=no ; Asterisk by default tries to redirect
> context=context-xabi ; the internal context
>
> extensions.conf
> ...
> [context-etxeba]
> exten => 100,1,Festival(Esto es una prueba con el usuario Etxeba)
> exten => 110,1,Dial(SIP/xabi)
>
> [context-xabi]
> exten => 100,1,Festival(Esto es una prueba con el usuario Xabi)
> exten => 110,1,Dial(SIP/etxeba)
>
> ----
>
> Si alguien ha trasteado con esto y me podría echar una mano se lo
> agradecería, o quizás hay alguna otra forma para securizar lo que pretendo.
>
> Eskerrik asko,
> Xabier Etxebarria
>
>
>
> _______________________________________________
> eside-ghost mailing list
> eside-ghost en deusto.es
> https://listas.deusto.es/mailman/listinfo/eside-ghost
>
>
--
Saúl -- "Some people say why, other just say, why not."
----------------------------------------------------------------
http://www.saghul.net/
Más información sobre la lista de distribución eside-ghost