SIP protokol

Uporablja se MD5 algoritem uporabniškega imena (tel. številke) in gesla. Geslo ponavadi ne poznaš.

Ja. Pravzaprav se uporablja HTTP digest avtentikacija. Lahko se uporablja tudi basic, kjer pa je res v prosti obliki (base64). Ampak to nihče ne uporablja.
V IMS okolju pa se uporabljajo močnejši algoritmi. Npr. Digest AKAv1.

Za prenos šifriranega govora se ponavadi uporablja protokol SRTP (Secure Real-time Transport Protocol), za signalizacijo SIP pa protokol TLS (Transport Layer Security). Uporablja pa se tudi protokol IPsec. Se pa telefoni (klienti) vseeno dogovorijo pri registraciji za vse parametre (protokole, porte, ...), tako da v začetku komunikacija poteka odprto.

Hja, zdaj moram pa "samo" še mojega providerja prepričati, da to uvede...

o rly?

Ne samo možen, ampak že popolnoma avtomatiziran.

aljazh, zakaj teže na parici?
Tudi v IP omrežju mora biti prisluškovalec na kablu med tabo doma in kakšnim DSLAMom. Pa na Telekomovem ali providerjevem IP omrežju. Torej podobno. Sicer pa nima kar tako vsakdo vpogled v promet. Tudi če bi bila povezava šifrirana od tebe, bi se to zaključilo na providerjevi centrali.

Eh, še sam več ne vem, kaj sem želel povedati Ja, prisluškovati se da, sam vprašanje je, kdo bi to počel.

Evo:





Zvok je totalno čist.

Seveda lahko to počno kar vzdrževalci omrežij v podjetjih sami, ali pa po navodilu kakšnih vodij. Klik, klik, pa je stvar urejena. Zadeva je seveda čisto nelegalna, hkrati pa jo je praktično nemogoče dokazati. Ali pa ima morda še kdo kakšne utvare, da so tehniki brezmadežno spočeti in na nek način nad takšnimi pritlehnimi dejanji.

Pozabljate pa tudi to, da imamo na voljo ponudnike, kjer se na SIP strežnik poveže preko medomrežja. Npr. iz tujine, se povežem na strežnik takšnega ponudnika in nato kličem ter sprejemam klice na lastni telefonski številki. Tudi tukaj lahko kdorkoli med prenosnikom in tvojim ponudnikom po potrebi neopazno in nedokazljivo prestreza promet.

To, da ima ponudnik svoje lastno omrežje pod svojim nadzorom je šele začetek. Tukaj so zadeve morda še najbolj pod nadzorom, saj morajo ponudniki izpolnjevati zakonske (ZEKom) in podzakonske (Splošni akt o varovanju tajnosti ...) predpise. Ponudnika lahko tako obišče inšpektor in preveri, če se teh predpisov o varovanju sploh držijo. Pa že takšen nadzor je strokovno izredno zahteven. Pri drugih podjetjih in raznih cyber-kafičih, pa je ta nadzor še mnogo, mnogo težji. Kar tako uporabljati teleofnijo preko javnega omrežja je brez preverjanja varnosti precej rizično početje.

Nevem kaj tak fuss, ker danes lahko vsak prisluškuje na javnih ISDN (PRA,PRI) ali pa analog. Enako velja za interne UP0. Samo dostop do patch panela je potreben. Večina IP/hybridnih central podpira kriptiranje signalizacije (TLS ponavadi) in pa medija (SRTP). Je pa problem, da ISPji tega ne ponujajo/nočejo ? Dvomim da jim centrale tega ne omogočajo.

Da je prisluškovanje sploh mogoče moraš biti na liniji, kjer sploh poteka voip promet. V neki instituciji je to mogoče samo v okviru kakšnega manjšega prostora, kjer imaš enostaven fizičen dostop do paric (switch?), kjer je gor obešen telefon. Torej bi lahko prisluškoval sodelavcu, k ipa ga itak slišiš. Ne moreš pa kar povprek vsem poslušat pogovor. Vsaj neopazno ne. Seveda to govorim za navadne uporabnike in ne kakšne administratorje. Potrebno je ločiti kaj se vse da narediti in kaj je tehnično mogoče.
btw: Si to snemal klic kakšnega javnega operaterja ali v okviru organizacije lokalno?

Tole sem v bistvu snemal lokalno na svoji mašini. Pač Wireshark na mašini. Če bi hotel v okviru LAN-a, bi pa moral uporabiti kakšen ARP poisoning. Varianta je tudi port mapping na switchu ali pa direktno preko routerja.

Seveda "navaden" človek tega ne more. Lahko pa to počne tehnik na lastno pest ali po (nezakonitem) nalogu šefa. Ali pa kakšen tehnik pri ISPju.

(Pa tudi z BGP routingom bi se morebiti dalo kaj poigrati...)

ABX:

Če nekaj teče skozi podjetno mrežo, firma ima pravico hranit dogodek. Sicer pa bi to moral potrdit kak pravnik.

Motiš se.
Hramba takih dogodkov je hramba osebnih podatkov. Pooblaščenka je že v nekaj odločbah to prepovedala.

Morebiti pa sta dva izmed razlogov, da ISP-ji pri svoji telefoniji tega ne ponujajo tudi zahteva države, da mora ISP preiskovalcem omogočiti dostop do nešifriranega prometa in podpora VoIP klientov. Pri večini starejše programske opreme t.i. SIP softswitchev ni bilo vgrajenih ustreznih funkcij za prestrezanje, pri najcenejših odjemalcih pa ni rečeno, da podpirajo naprednejše funkcije šifriranja.

Po moje je to stvar čiste lenobe in nepoznavanja. Na splošno je pri teh stvareh varnostna kultura zelo nizka. Moj SIP provider mi je dostopno geslo poslal po navadnem e-mailu na podlagi telefonskega klica iz neke X številke (sploh nisem klical iz svojega SIP telefona) in na podlagi mojega zatrdila, da sem jaz res jaz. Seveda tudi mojega e-maila prej niso imeli, saj sem jim ga povedal šele po telefonu.

Super zadeva. Pokličeš, rečeš, da si njihov naročnik in da bi rad geslo in jim poveš svoj e-mail - pa ti lepo pošljejo geslo.

>Super zadeva. Pokličeš, rečeš, da si njihov naročnik in da bi rad geslo in jim poveš svoj e-mail - pa ti lepo pošljejo geslo.

Pri katerem ponudniku se ti je to zgodilo?

Hja, zdaj moram pa "samo" še mojega providerja prepričati, da to uvede...

Ni nujno, lahko imaš VPN server doma. Služba -> VPN -> server doma -> provider