Безопасность IAX2

обсуждение вопросов по IP-PBX Asterisk

Безопасность IAX2

Сообщение cerser88 » Пн окт 07, 2019 4:19 pm

Добрый день

Насколько безопасен от перехвата разговора канал IAX2. Некоторые параметры, привел ниже:
forceencryption=yes
auth=md5

Буду благодарен за консультацию
cerser88
Новичок
 
Сообщения: 1
Зарегистрирован: Пн окт 07, 2019 4:09 pm
Карма: + 0 -

Re: Безопасность IAX2

Сообщение ded » Ср окт 09, 2019 12:45 pm

Два слоя секретности: сигнальный и медиа.
Сигнальный - это когда теоретически Man-in-the-middle может перехватить IAX2 username & secret, чтобы, аутентифицируясь как перехваченный аккаунт, мог налить трафик. MD5 - устаревший алгоритм хэш-функция то есть. От неё уже все отказались. То есть вместо username & secret через сеть посылается MD5 хэш. На другом конце - сравнивается, вы же там пиру прописали secret? Вот удалённый пир хэширует этот secret и сравнивает полученые хэши.
Медиа - это шифрование самого разговора, то есть RTP-трафик. Для последнего уже устоявшийся стандарт de-facto -SRTP (Secure RTP).
encryption=yes
Поддерживается только AES128
После включения этой опции в выводе команды ‘iax2 show peers’ слева от поля «статус» появится «(E)», что должно означать, будто шифрование включено. Включение encryption гарантировано означает лишь отображение этих символов, и больше ничего.

Для того чтобы шифрование действительно использовалось, необходимо использовать метод авторизации md5. Думаю вполне понятно, почему при использовании метода plaintext использовать шифрование попросту бессмысленно (как, вы ещё используете plaintext авторизацию? зря, очень зря). Самое же удивительное что шифрование не будет работать с rsa-авторизацией.

Для конечного пользователя это означает, что опция encryption=yes реально использоваться будет только если другая сторона его поддерживает _и_ используется md5 авторизация. В любом другом случае Asterisk в iax2 show peers будет бодро рапортовать об используемом шифровании, которое использоваться не будет.
Если включить опцию forceencryption=yes, то транк не установится если одна из сторон не поддерживает шифрование.
AES128 в качестве шифра тоже считается слабым, типа - слишком короткий ключ. Ну и оцените теперь - насколько вы важны, чтобы вас прослушивали, чтобы взломать MD5 и AES128?
https://forum.asterisk.ru/viewtopic.php?f=3&t=14559
ded
Специалист
 
Сообщения: 4203
Зарегистрирован: Сб май 03, 2008 2:47 am


Вернуться в Asterisk (*)

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 3

cron