Forum » Informacijska varnost » SIP protokol
SIP protokol
poweroff ::
Zanima me, ali se pri povezavi na SIP providerja (konkretno enega slovenskega) password pošlje v cleartextu ali pa morda neumno encodan (recimo uuencode)?
Kolikor sem gledal loge od Wiresharka se v cleartextu prav fletno vidi kdo se je logiral in koga je klical. Žal...
Ampak recimo, da to požrem - zanima me kako je z geslom.
Kolikor sem gledal loge od Wiresharka se v cleartextu prav fletno vidi kdo se je logiral in koga je klical. Žal...
Ampak recimo, da to požrem - zanima me kako je z geslom.
sudo poweroff
misek ::
Uporablja se MD5 algoritem uporabniškega imena (tel. številke) in gesla. Geslo ponavadi ne poznaš.
Zgodovina sprememb…
- spremenil: misek ()
misek ::
Ja. Pravzaprav se uporablja HTTP digest avtentikacija. Lahko se uporablja tudi basic, kjer pa je res v prosti obliki (base64). Ampak to nihče ne uporablja.
V IMS okolju pa se uporabljajo močnejši algoritmi. Npr. Digest AKAv1.
V IMS okolju pa se uporabljajo močnejši algoritmi. Npr. Digest AKAv1.
poweroff ::
OK, še eno vprašanje. Obstaja tudi šifrirani SIP? Se pravi, da se šifrira tako vsebina pogovora, ko tudi prometni podatki.
sudo poweroff
misek ::
Za prenos šifriranega govora se ponavadi uporablja protokol SRTP (Secure Real-time Transport Protocol), za signalizacijo SIP pa protokol TLS (Transport Layer Security). Uporablja pa se tudi protokol IPsec. Se pa telefoni (klienti) vseeno dogovorijo pri registraciji za vse parametre (protokole, porte, ...), tako da v začetku komunikacija poteka odprto.
ABX ::
V najslabšem primeru lahko imaš SIP povezavo znotraj VPN tunela.
Vaša inštalacija je uspešno spodletela!
misek ::
In zakaj bi potreboval šifriranje telefonskega prometa? Saj ti nihče ne more prisluškovati.
T-h-o-r ::
o rly?
Why have a civilization anymore
if we no longer are interested in being civilized?
if we no longer are interested in being civilized?
misek ::
Če bi imel pa analogni telefon ti pa nihče ne bi mogel prisluškovati? Jaz gledam s stališča, da imaš doma enega ADSL ponudnika, ki ti ponuja IP telefonijo. Torej je prisluškovanje možno doma ali pa na liniji. Tako kot pri analognem.
aljazh ::
Če bi imel pa analogni telefon ti pa nihče ne bi mogel prisluškovati? Jaz gledam s stališča, da imaš doma enega ADSL ponudnika, ki ti ponuja IP telefonijo. Torej je prisluškovanje možno doma ali pa na liniji. Tako kot pri analognem.
Izpuščaš pomembno razliko, da je pri analognem vse skupaj _bistveno_ teže, ker se mora prisluškovalec fizično priklopiti na pravo parico.
misek ::
aljazh, zakaj teže na parici?
Tudi v IP omrežju mora biti prisluškovalec na kablu med tabo doma in kakšnim DSLAMom. Pa na Telekomovem ali providerjevem IP omrežju. Torej podobno. Sicer pa nima kar tako vsakdo vpogled v promet. Tudi če bi bila povezava šifrirana od tebe, bi se to zaključilo na providerjevi centrali.
Eh, še sam več ne vem, kaj sem želel povedati Ja, prisluškovati se da, sam vprašanje je, kdo bi to počel.
Tudi v IP omrežju mora biti prisluškovalec na kablu med tabo doma in kakšnim DSLAMom. Pa na Telekomovem ali providerjevem IP omrežju. Torej podobno. Sicer pa nima kar tako vsakdo vpogled v promet. Tudi če bi bila povezava šifrirana od tebe, bi se to zaključilo na providerjevi centrali.
Eh, še sam več ne vem, kaj sem želel povedati Ja, prisluškovati se da, sam vprašanje je, kdo bi to počel.
poweroff ::
Hja, kaj naj rečem... včeraj zvečer mi je bilo malo dolgčas, pa sem zagnal Wiresharka.
Povem ti, da je prisluškovanje VoIPu stvar dveh klikov. Dobesedno.
Doma je malenkost težje, na lokalnih omrežjih (hint: služba in šefovi pogovori z ljubico) pa zahteva cele tri klike.
Povem ti, da je prisluškovanje VoIPu stvar dveh klikov. Dobesedno.
Doma je malenkost težje, na lokalnih omrežjih (hint: služba in šefovi pogovori z ljubico) pa zahteva cele tri klike.
sudo poweroff
misek ::
Da je prisluškovanje sploh mogoče moraš biti na liniji, kjer sploh poteka voip promet. V neki instituciji je to mogoče samo v okviru kakšnega manjšega prostora, kjer imaš enostaven fizičen dostop do paric (switch?), kjer je gor obešen telefon. Torej bi lahko prisluškoval sodelavcu, k ipa ga itak slišiš. Ne moreš pa kar povprek vsem poslušat pogovor. Vsaj neopazno ne. Seveda to govorim za navadne uporabnike in ne kakšne administratorje. Potrebno je ločiti kaj se vse da narediti in kaj je tehnično mogoče.
btw: Si to snemal klic kakšnega javnega operaterja ali v okviru organizacije lokalno?
btw: Si to snemal klic kakšnega javnega operaterja ali v okviru organizacije lokalno?
BlueRunner ::
Seveda lahko to počno kar vzdrževalci omrežij v podjetjih sami, ali pa po navodilu kakšnih vodij. Klik, klik, pa je stvar urejena. Zadeva je seveda čisto nelegalna, hkrati pa jo je praktično nemogoče dokazati. Ali pa ima morda še kdo kakšne utvare, da so tehniki brezmadežno spočeti in na nek način nad takšnimi pritlehnimi dejanji.
Pozabljate pa tudi to, da imamo na voljo ponudnike, kjer se na SIP strežnik poveže preko medomrežja. Npr. iz tujine, se povežem na strežnik takšnega ponudnika in nato kličem ter sprejemam klice na lastni telefonski številki. Tudi tukaj lahko kdorkoli med prenosnikom in tvojim ponudnikom po potrebi neopazno in nedokazljivo prestreza promet.
To, da ima ponudnik svoje lastno omrežje pod svojim nadzorom je šele začetek. Tukaj so zadeve morda še najbolj pod nadzorom, saj morajo ponudniki izpolnjevati zakonske (ZEKom) in podzakonske (Splošni akt o varovanju tajnosti ...) predpise. Ponudnika lahko tako obišče inšpektor in preveri, če se teh predpisov o varovanju sploh držijo. Pa že takšen nadzor je strokovno izredno zahteven. Pri drugih podjetjih in raznih cyber-kafičih, pa je ta nadzor še mnogo, mnogo težji. Kar tako uporabljati teleofnijo preko javnega omrežja je brez preverjanja varnosti precej rizično početje.
Pozabljate pa tudi to, da imamo na voljo ponudnike, kjer se na SIP strežnik poveže preko medomrežja. Npr. iz tujine, se povežem na strežnik takšnega ponudnika in nato kličem ter sprejemam klice na lastni telefonski številki. Tudi tukaj lahko kdorkoli med prenosnikom in tvojim ponudnikom po potrebi neopazno in nedokazljivo prestreza promet.
To, da ima ponudnik svoje lastno omrežje pod svojim nadzorom je šele začetek. Tukaj so zadeve morda še najbolj pod nadzorom, saj morajo ponudniki izpolnjevati zakonske (ZEKom) in podzakonske (Splošni akt o varovanju tajnosti ...) predpise. Ponudnika lahko tako obišče inšpektor in preveri, če se teh predpisov o varovanju sploh držijo. Pa že takšen nadzor je strokovno izredno zahteven. Pri drugih podjetjih in raznih cyber-kafičih, pa je ta nadzor še mnogo, mnogo težji. Kar tako uporabljati teleofnijo preko javnega omrežja je brez preverjanja varnosti precej rizično početje.
ABX ::
Isto velja za Web promet, ampak vseeno se hranijo logi.
Če nekaj teče skozi podjetno mrežo, firma ima pravico hranit dogodek. Sicer pa bi to moral potrdit kak pravnik.
Če nekaj teče skozi podjetno mrežo, firma ima pravico hranit dogodek. Sicer pa bi to moral potrdit kak pravnik.
Vaša inštalacija je uspešno spodletela!
matter ::
Nevem kaj tak fuss, ker danes lahko vsak prisluškuje na javnih ISDN (PRA,PRI) ali pa analog. Enako velja za interne UP0. Samo dostop do patch panela je potreben. Večina IP/hybridnih central podpira kriptiranje signalizacije (TLS ponavadi) in pa medija (SRTP). Je pa problem, da ISPji tega ne ponujajo/nočejo ? Dvomim da jim centrale tega ne omogočajo.
Grem basket pa bom neloke metal
BlueRunner ::
SIP-u iz oddaljene lokacije je funkcionalno še najbližji GSM roaming. In temu v urejenih državah ne more prisluškovati kdorsižebodi. Pričakovanje uporabnikov VoIP telefonije je, da je za njihovo zasebnost načeloma poskrbljeno.
Morebiti pa sta dva izmed razlogov, da ISP-ji pri svoji telefoniji tega ne ponujajo tudi zahteva države, da mora ISP preiskovalcem omogočiti dostop do nešifriranega prometa in podpora VoIP klientov. Pri večini starejše programske opreme t.i. SIP softswitchev ni bilo vgrajenih ustreznih funkcij za prestrezanje, pri najcenejših odjemalcih pa ni rečeno, da podpirajo naprednejše funkcije šifriranja.
Podjetja pa npr. pri nas nimajo nikakršne pravice posegati v komunikacijsko zasebnost zaposlenih, kaj šele obiskovalcev, ne da se bi prizadeti s tem predhodno strinjali. Seveda se lahko tej pravici odpovedo, ampak tako na pamet in čez palec bi rekel, da se takšni posegi največkrat dogajajo tam, kjer pravila igre v podjetju niso zapisana.
Morebiti pa sta dva izmed razlogov, da ISP-ji pri svoji telefoniji tega ne ponujajo tudi zahteva države, da mora ISP preiskovalcem omogočiti dostop do nešifriranega prometa in podpora VoIP klientov. Pri večini starejše programske opreme t.i. SIP softswitchev ni bilo vgrajenih ustreznih funkcij za prestrezanje, pri najcenejših odjemalcih pa ni rečeno, da podpirajo naprednejše funkcije šifriranja.
Podjetja pa npr. pri nas nimajo nikakršne pravice posegati v komunikacijsko zasebnost zaposlenih, kaj šele obiskovalcev, ne da se bi prizadeti s tem predhodno strinjali. Seveda se lahko tej pravici odpovedo, ampak tako na pamet in čez palec bi rekel, da se takšni posegi največkrat dogajajo tam, kjer pravila igre v podjetju niso zapisana.
Zgodovina sprememb…
- spremenilo: BlueRunner ()
poweroff ::
Da je prisluškovanje sploh mogoče moraš biti na liniji, kjer sploh poteka voip promet. V neki instituciji je to mogoče samo v okviru kakšnega manjšega prostora, kjer imaš enostaven fizičen dostop do paric (switch?), kjer je gor obešen telefon. Torej bi lahko prisluškoval sodelavcu, k ipa ga itak slišiš. Ne moreš pa kar povprek vsem poslušat pogovor. Vsaj neopazno ne. Seveda to govorim za navadne uporabnike in ne kakšne administratorje. Potrebno je ločiti kaj se vse da narediti in kaj je tehnično mogoče.
btw: Si to snemal klic kakšnega javnega operaterja ali v okviru organizacije lokalno?
Tole sem v bistvu snemal lokalno na svoji mašini. Pač Wireshark na mašini. Če bi hotel v okviru LAN-a, bi pa moral uporabiti kakšen ARP poisoning. Varianta je tudi port mapping na switchu ali pa direktno preko routerja.
Seveda "navaden" človek tega ne more. Lahko pa to počne tehnik na lastno pest ali po (nezakonitem) nalogu šefa. Ali pa kakšen tehnik pri ISPju.
(Pa tudi z BGP routingom bi se morebiti dalo kaj poigrati...)
ABX:
Če nekaj teče skozi podjetno mrežo, firma ima pravico hranit dogodek. Sicer pa bi to moral potrdit kak pravnik.
Motiš se.
Hramba takih dogodkov je hramba osebnih podatkov. Pooblaščenka je že v nekaj odločbah to prepovedala.
Morebiti pa sta dva izmed razlogov, da ISP-ji pri svoji telefoniji tega ne ponujajo tudi zahteva države, da mora ISP preiskovalcem omogočiti dostop do nešifriranega prometa in podpora VoIP klientov. Pri večini starejše programske opreme t.i. SIP softswitchev ni bilo vgrajenih ustreznih funkcij za prestrezanje, pri najcenejših odjemalcih pa ni rečeno, da podpirajo naprednejše funkcije šifriranja.
Po moje je to stvar čiste lenobe in nepoznavanja. Na splošno je pri teh stvareh varnostna kultura zelo nizka. Moj SIP provider mi je dostopno geslo poslal po navadnem e-mailu na podlagi telefonskega klica iz neke X številke (sploh nisem klical iz svojega SIP telefona) in na podlagi mojega zatrdila, da sem jaz res jaz. Seveda tudi mojega e-maila prej niso imeli, saj sem jim ga povedal šele po telefonu.
Super zadeva. Pokličeš, rečeš, da si njihov naročnik in da bi rad geslo in jim poveš svoj e-mail - pa ti lepo pošljejo geslo.
sudo poweroff
BlueRunner ::
Po moje je to stvar čiste lenobe in nepoznavanja.
Mnja. Sam bi rekel, da je eno legacy, drugo pa cheapskate. Na koncu pa operaterji ne želijo investirati tam, kjer uporabniki še ne vedo, kaj se jim dogaja.
Kar nas pripelje do ...
Na splošno je pri teh stvareh varnostna kultura zelo nizka.
Pri nas zaenkrat na žalost res. Izgleda, da bo potrebno več in bolj odmevnih zlorab, da se bodo stvari spremenile. Najhitreje pa se spremenijo, ko en operater na trgu to ponudi, stranke pa začno zaradi tega tudi dejansko odhajati k njemu... Konkurenca rulz.
Super zadeva. Pokličeš, rečeš, da si njihov naročnik in da bi rad geslo in jim poveš svoj e-mail - pa ti lepo pošljejo geslo.
Poskusi še kje... presenečen boš na koliko koncih ti bo ratalo.
Zgodovina sprememb…
- spremenilo: BlueRunner ()
Poldi112 ::
>Super zadeva. Pokličeš, rečeš, da si njihov naročnik in da bi rad geslo in jim poveš svoj e-mail - pa ti lepo pošljejo geslo.
Pri katerem ponudniku se ti je to zgodilo?
Pri katerem ponudniku se ti je to zgodilo?
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
poweroff ::
Gre za enega manjšega ponudnika. Kolikor sem dobil informacije pa se bi zadeva znala zgoditi tudi pri večjih...
sudo poweroff
ABX ::
Hja, zdaj moram pa "samo" še mojega providerja prepričati, da to uvede...
Ni nujno, lahko imaš VPN server doma. Služba -> VPN -> server doma -> provider
Vaša inštalacija je uspešno spodletela!
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | SIP trunkOddelek: Omrežja in internet | 6740 (5297) | #000000 |
» | Microsoft prebira vaša Skype sporočila (strani: 1 2 3 4 )Oddelek: Novice / Varnost | 40452 (32819) | enadvatri |
» | Telemach VOIP - je ali ni?Oddelek: Omrežja in internet | 5093 (4545) | Goodwill |
» | AT&T: stacionarna telefonija mora umretiOddelek: Novice / Omrežja / internet | 5282 (3600) | poweroff |
» | Zastonj telefoniranje iz računalnika na telefon !!! (strani: 1 2 3 )Oddelek: Omrežja in internet | 21941 (12796) | madmitch |