Ansichtsmodus

Administrator-Ansicht

Kontakt

Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua.

Mediasec (Manuelle Konfiguration von Verschlüsselung)

Für die erfolgreiche Nutzung einer verschlüsselten VoIP-Verbindung sind neben einer TLS Verbindung für die SIP-Signalisierung und SRTP für die Verschlüsselung der Sprache noch weitere zusätzliche SIP Header und SDP Attribute notwendig. Bei der Registrierung (SIP REGISTER) wird durch die zusätzlichen SIP-Header der Plattform die Nutzung der Verschlüsselungsart mitgeteilt und beim Gesprächsaufbau (SIP INVITE) muss die Verschlüsselungsart und die Reichweite der Verschlüsselung (Edge zu Access-Edge, Verschlüsselung zwischen TK-Anlage und Registrierungsserver) enthalten sein. Die SIP Header orientieren sich an einem IETF Draft (https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-10) sind aber als statische Ergänzung in der SIP Signalisierung zu sehen.


SIP REGISTER

1) Beim initialen REGISTER ohne Authentication Challenge sind die SIP Header „Security-Client: sdes-srtp;mediasec“, „Proxy-Require: mediasec“ und „Require: mediasec“ erforderlich.

2) Die Plattform antwortet mit 401 UNAUTHORIZED. In dieser SIP Response sind die SIP Header „Security-Server: msrp-tls;mediasec“, „Security-Server: sdes-srtp;mediasec“ und „Security-Server: dtls-srtp;mediasec“ enthalten, welche die möglichen Verschlüsselungsarten wiedergeben.

3) Beim anschließenden REGISTER mit Authentication Challenge müssen neben den ursprünglich schon geschickten SIP Header „Security-Client: sdes-srtp;mediasec“, „Proxy-Require: mediasec“ und „Require: mediasec“ nun die SIP Header „Security-Verify: msrp-tls;mediasec“, „Security-Verify: sdes-srtp;mediasec“ und „Security-Verify: dtls-srtp;mediasec“ ergänzt werden.


Nach RFC 3261 können die Security-Verify Header auch zusammengefasst werden und als „Security-Verify: msrp-tls;mediasec,sdes-srtp;mediasec,dtls-srtp;mediasec“ im REGISTER mit Authenfication Challenge geschickt werden.


INVITE/UPDATE

1) Im initialen INVITE müssen erneut „Security-Verify“ Header als auch “Proxy-Require: mediasec” und “Require: mediasec” enthalten sein. Damit wird die Nutzung der Verschlüsselung und die Verschlüsselungsart kommuniziert. Zusätzlich ist im SDP das Attribut „a=3ge2ae:requested“ erforderlich. Dies legt die Reichweite der Verschlüsselung fest, in diesem Fall zwischen IP-PBX und Registrierungsserver.

2) Wird ein RE-INVITE oder UPDATE vom SIP Client initiiert, müssen die SIP Header und auch das SDP Attribut erneut enthalten sein.