🕴🏿 ⚜️ 😔 एसआईपी का उपयोग कर सुनने के खिलाफ सुरक्षा - टीएलएस + एसआरटीपी + एन्क्रिप्टेड सुरंग और यिलिंक टी 26 पी फोन 🚴🏼 ⚰️ 🍐

क्या आपको व्यामोह है? यह आपको लगता है कि वे लगातार आपको छिपाना चाहते हैं? क्या आपके पास महत्वपूर्ण वार्ता है? तो फिर तुम यहाँ!
इस लेख में, मैं आपका येलिंक टी 26 पी फोन सेट करते समय मुख्य कठिनाइयों के बारे में बात करूंगा।
सबसे पहले, हम फोन को एन्क्रिप्टेड सुरंग को प्रमाण पत्र के साथ ओपनवीपीएन सर्वर पर बढ़ाएंगे, और फिर एसआईपी सुरंग के अंदर एसआईपी सुरंग को प्रमाण पत्र और आवाज के माध्यम से एन्क्रिप्ट किए जाने के साथ जाने देंगे! (टीएलएस + एसआरटीपी)।
यह किसके लिए दिलचस्प है मैं कैट के तहत पूछता हूं।

के साथ शुरू करने के लिए, मैं काम की योजना से परिचित होने का प्रस्ताव करता हूं।

कार्य का अर्थ इस प्रकार है - फोन इंटरनेट के माध्यम से कहीं से भी जुड़े हुए हैं। वे एन्क्रिप्ट किए गए चैनल को दुनिया में चिपके एकमात्र ओपनवीपीएन सर्वर पोर्ट तक बढ़ाते हैं। और फिर इस सर्वर से टेलीफोनी कॉर्पोरेट नेटवर्क के आंतों में जाता है, वहां छिपे हुए तारांकन सर्वर के लिए। लेकिन जैसा कि आप देख सकते हैं, ओपनवीपीएन सर्वर के लिए चैनल एन्क्रिप्ट किया गया है, लेकिन कॉर्पोरेट नेटवर्क के अंदर जहां बहुत सारे सेवा कर्मचारी हैं, आप किसी भी गेटवे पर एसआईपी ट्रैफ़िक को रोक सकते हैं और बाद में इसे डिक्रिप्ट कर सकते हैं और पता लगा सकते हैं कि बातचीत किस बारे में है! नेटवर्क के इस टुकड़े को विशेष रूप से एक लाल रेखा के साथ चिह्नित किया गया है। इसलिए, हम एसआरटीपी + टीएलएस को तारांकन पर कॉन्फ़िगर करेंगे और नेटवर्क के भीतर ट्रैफिक को भी एन्क्रिप्ट करेंगे ताकि यह बेईमान कर्मचारियों से सुरक्षित रहे। इस प्रकार, वार्तालाप तक पहुंच रखने वाले लोगों का चक्र बहुत संकीर्ण है।

OpenVPN सर्वर को स्थापित करने के लिए, मैंने Centos 6.4 डीवीडी छवि का उपयोग किया। मैं स्थापना पर नहीं रोकूंगा, सब कुछ मानक है।

हम तुरंत लोकल गड़बड़ को ठीक करते हैं।

export LC_CTYPE=en_US.UTF-8

हम नेटवर्क इंटरफेस पर अग्रेषण सक्षम करते हैं।

 nano /etc/sysctl.conf #   net.ipv4.ip_forward = 1

हम स्टार्टअप पर नेटवर्क इंटरफ़ेस के लोडिंग को चालू करते हैं।

 nano /etc/sysconfig/network-scripts/ifcfg-eth0 #  . ONBOOT=yes

CentOS अपडेट करें।

 cd /usr/src/ yum update -y

वांछित भंडार जोड़ें।

 wget http://fedora.ip-connect.vn.ua/fedora-epel/6/i386/epel-release-6-8.noarch.rpm rpm -Uvh epel-release-6-8.noarch.rpm

हम आवश्यक पैकेज डालते हैं।

 yum install openvpn git bridge-utils -y

ईज़ीआरएसए अब अलग और जीथब पर है - इसलिए:

 git clone https://github.com/OpenVPN/easy-rsa.git cp -r /usr/src/easy-rsa/easy-rsa /etc/openvpn/

मैं आपको मूल वीपीएन कॉन्फिगर को कॉपी करने और बाद के परिवर्धन और परिवर्तनों के लिए सभी पंक्तियों पर टिप्पणी करने की सलाह देता हूं, फिर उन्हें जोड़ने और उनके सिंटैक्स के लिए आवश्यक आदेशों की खोज करना सुविधाजनक होगा।

 cp /usr/share/doc/openvpn-2.3.1/sample/sample-config-files/server.conf /etc/openvpn/ nano /etc/openvpn/server.conf #       ,   : port 1194 proto udp dev tun0 ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt cert /etc/openvpn/easy-rsa/2.0/keys/server.crt key /etc/openvpn/easy-rsa/2.0/keys/server.key dh /etc/openvpn/easy-rsa/2.0/keys/dh1024.pem server 172.19.7.0 255.255.255.0 ifconfig-pool-persist ipp.txt push "route 172.19.7.0 255.255.255.0" keepalive 10 120 user root group root persist-key persist-tun status openvpn-status.log log /var/log/openvpn.log verb 3 mute 20 comp-lzo no

हम चूंकि sha256 से MD5 तक एन्क्रिप्शन विधि को बदलते हैं फोन पहले तरीके को नहीं समझता है। आसान-असेंबली असेंबली में ओपनसेल फाइल के लिए 3 विकल्प हैं, हम एक ही बार में सभी को बदल देंगे, ताकि यह पता न चले कि कुंजी और प्रमाण पत्र बनाते समय सिस्टम किस सिस्टम का उपयोग करेगा।

 cp /etc/openvpn/easy-rsa/2.0/openssl-0.9.6.cnf /etc/openvpn/easy-rsa/2.0/openssl-0.9.6.cnf.orig && sed -e 's/default_md.*=.*sha256/default_md = md5 /g' /etc/openvpn/easy-rsa/2.0/openssl-0.9.6.cnf.orig > /etc/openvpn/easy-rsa/2.0/openssl-0.9.6.cnf cp /etc/openvpn/easy-rsa/2.0/openssl-0.9.8.cnf /etc/openvpn/easy-rsa/2.0/openssl-0.9.8.cnf.orig && sed -e 's/default_md.*=.*sha256/default_md = md5 /g' /etc/openvpn/easy-rsa/2.0/openssl-0.9.8.cnf.orig > /etc/openvpn/easy-rsa/2.0/openssl-0.9.8.cnf cp /etc/openvpn/easy-rsa/2.0/openssl-1.0.0.cnf /etc/openvpn/easy-rsa/2.0/openssl-1.0.0.cnf.orig && sed -e 's/default_md.*=.*sha256/default_md = md5 /g' /etc/openvpn/easy-rsa/2.0/openssl-1.0.0.cnf.orig > /etc/openvpn/easy-rsa/2.0/openssl-1.0.0.cnf

अगला, डिफ़ॉल्ट मान बदलें

 nano /etc/openvpn/easy-rsa/2.0/vars export KEY_SIZE=1024 export KEY_COUNTRY="RU" export KEY_PROVINCE="CA" export KEY_CITY="Moscow" export KEY_ORG="YOURCOMPANY" export KEY_EMAIL="info@YOURCOMPANY.ru" export KEY_OU="MY"

आप प्रमाण पत्र बनाना शुरू कर सकते हैं:

आइए वांछित निर्देशिका की ओर बढ़ें, जहाँ हम कुंजियाँ और प्रमाणपत्र तैयार करेंगे

 cd /etc/openvpn/easy-rsa/2.0 [root@test 2.0]# source ./vars NOTE: If you run ./clean-all, I will be doing a rm -rf on /etc/openvpn/easy-rsa/2.0/keys [root@test 2.0]# ./clean-all #     ,      ,  Common Name [root@test 2.0]# ./build-ca Generating a 1024 bit RSA private key .........++++++ .......................++++++ writing new private key to 'ca.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [RU]: State or Province Name (full name) [CA]: Locality Name (eg, city) [Moscow]: Organization Name (eg, company) [YOURCOMPANY]: Organizational Unit Name (eg, section) [changeme]: Common Name (eg, your name or your server's hostname) [changeme]:test Name [changeme]: Email Address [mail@host.domain]:

सर्वर के लिए एक प्रमाण पत्र और कुंजी बनाएं
सभी उत्तरों को डिफ़ॉल्ट रूप से छोड़ा जा सकता है।

 [root@test 2.0]# ./build-key-server server Generating a 1024 bit RSA private key .........................++++++ .............................++++++ writing new private key to 'server.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [RU]: State or Province Name (full name) [MOSCOW]: Locality Name (eg, city) [MOSCOW]: Organization Name (eg, company) [YOURCOMPANY]: Organizational Unit Name (eg, section) [changeme]: Common Name (eg, your name or your server's hostname) [server]: Name [changeme]: Email Address [mail@host.domain]: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: Using configuration from /etc/openvpn/easy-rsa/2.0/openssl-0.9.8.cnf Check that the request matches the signature Signature ok The Subject's Distinguished Name is as follows countryName :PRINTABLE:'RU' stateOrProvinceName :PRINTABLE:'MOSCOW' localityName :PRINTABLE:'MOSCOW' organizationName :PRINTABLE:'YOURCOMPANY' organizationalUnitName:PRINTABLE:'changeme' commonName :PRINTABLE:'server' name :PRINTABLE:'changeme' emailAddress :IA5STRING:'mail@host.domain' Certificate is to be certified until Mar 20 06:56:48 2023 GMT (3650 days) Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified, commit? [y/n]y Write out database with 1 new entries Data Base Updated

एक डिफी-हेलमैन कुंजी उत्पन्न करना

 [root@test 2.0]# ./build-dh Generating DH parameters, 1024 bit long safe prime, generator 2 This is going to take a long time ...................................................+.................................................................+...................+..+.........................................................................................................................................+...........+.......................................................+....+..................................................................................................+......................................................................+.................................................................................................+............................+.....................................................................+.............++*++*++*

हम एक ग्राहक कुंजी उत्पन्न करते हैं (प्रत्येक मशीन या फोन के लिए इसे स्वयं होना चाहिए)
सभी उत्तर डिफ़ॉल्ट रूप से छोड़ दिए जाते हैं।

 [root@test 2.0]# ./build-key client1 Generating a 1024 bit RSA private key .++++++ ......++++++ writing new private key to 'client1.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [RU]: State or Province Name (full name) [CA]: Locality Name (eg, city) [Moscow]: Organization Name (eg, company) [YOURCOMPANY]: Organizational Unit Name (eg, section) [changeme]: Common Name (eg, your name or your server's hostname) [client1]: Name [changeme]: Email Address [mail@host.domain]: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: Using configuration from /etc/openvpn/easy-rsa/2.0/openssl-0.9.8.cnf Check that the request matches the signature Signature ok The Subject's Distinguished Name is as follows countryName :PRINTABLE:'RU' stateOrProvinceName :PRINTABLE:'CA' localityName :PRINTABLE:'Moscow' organizationName :PRINTABLE:'YOURCOMPANY' organizationalUnitName:PRINTABLE:'changeme' commonName :PRINTABLE:'client1' name :PRINTABLE:'changeme' emailAddress :IA5STRING:'mail@host.domain' Certificate is to be certified until Mar 20 07:01:46 2023 GMT (3650 days) Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified, commit? [y/n]y Write out database with 1 new entries Data Base Updated

फ़ोन कनेक्ट करने के लिए फ़ाइल तैयार करना:

एक फ़ोल्डर बनाएँ - अंदर चाबियाँ फ़ोल्डर और vpn.cnf फ़ाइल होनी चाहिए।
उदाहरण vpn.cnf - XXX के बजाय, स्वाभाविक रूप से आपका सर्वर पता है:

 client dev tun proto udp remote XXX.XXX.XXX.XXX 1194 resolv-retry infinite nobind ca /yealink/config/openvpn/keys/ca.crt cert /yealink/config/openvpn/keys/client1.crt key /yealink/config/openvpn/keys/client1.key verb 3 mute 20 comp-lzo no

कुंजी फ़ोल्डर के अंदर क्रमशः तीन फाइलें होनी चाहिए - ca.crt, client1.crt, client1.key। कॉन्फ़िगरेशन और फ़ोल्डर में फ़ाइल नाम मेल खाना चाहिए। किसी भी सुविधाजनक तरीके से पीढ़ी के बाद सर्वर से फ़ाइलों को खींचो।
उसके बाद, 7zip डालें और vpn.cnf फाइल और कीज फोल्डर को टार आर्काइव में बिना कंप्रेशन के आर्काइव करें। या आप इसे vpn.cnf फ़ाइल और कुंजियों वाले फ़ोल्डर से लिनक्स पर चला सकते हैं:

 tar cvf connect.tar ./vpn.cnf ./keys

हम फोन के वेब इंटरफेस में जाते हैं। टैब नेटवर्क पर जाएं> उन्नत> वीपीएन। हम सक्रिय = सक्षम सेट करते हैं, फ़ाइल आयात करते हैं और नीचे सबमिट पर क्लिक करते हैं।

यदि फ़ोन ने फ़ाइल डाउनलोड नहीं की है, तो आप इसे पुनः आरंभ कर सकते हैं। यह देखने के लिए कि वह हमारे सर्वर से जुड़ा है - लॉग को देखकर:

 tail -n100 -f /var/log/openvpn.log

Asterisk पर TLS + SRTP कॉन्फ़िगर करें।

मैंने स्क्रैच से सेटिंग नहीं लिखी क्योंकि बहुत सारे लेख हैं, और मेरे भी हैं। मैं आपको प्रमाण पत्र बनाने का तरीका बताऊंगा, एन्क्रिप्शन को सक्षम करूंगा और इसे फोन में भेज दूंगा।
इसलिए एक क्षुद्रग्रह पर प्रमाणपत्र प्राधिकरण बनाना आवश्यक है।

 mkdir /etc/cert cd /etc/cert/ root@server-sip1:/etc/cert# openssl genrsa -des3 -out ca.key 4096 Generating RSA private key, 4096 bit long modulus .......................++ ...............................++ e is 65537 (0x10001) Enter pass phrase for ca.key: Verifying - Enter pass phrase for ca.key: root@server-sip1:/etc/cert# root@server-sip1:/etc/cert# root@server-sip1:/etc/cert# openssl req -new -x509 -days 365 -key ca.key -out ca.crt Enter pass phrase for ca.key: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:RU State or Province Name (full name) [Some-State]:MOSCOW Locality Name (eg, city) []:MOSCOW Organization Name (eg, company) [Internet Widgits Pty Ltd]:YOURCOMPANY Organizational Unit Name (eg, section) []:VoIP Common Name (eg, YOUR name) []:YUORCOMPANY CA Email Address []:INFO@YOURCOMPANY.RU root@server-sip1:/etc/cert# root@server-sip1:/etc/cert# root@server-sip1:/etc/cert# ls ca.crt ca.key root@server-sip1:/etc/cert#

CA बनाया - तब आपको अपने फ़ोन में फ़ाइल ca.crt डाउनलोड करने की आवश्यकता है ताकि यह पता चले कि इस CA पर भरोसा किया जा सकता है - सुरक्षा> विश्वसनीय प्रमाण पत्र टैब।

फोन के लिए सर्वर प्रमाणपत्र बनाना और हस्ताक्षर करना - मैं सर्वर के लिए वर्णन करता हूं, और फोन के लिए प्रक्रिया को दोहराता हूं।

 root@server-sip1:/etc/cert# openssl genrsa -out key-server.pem 1024 Generating RSA private key, 1024 bit long modulus .....++++++ ...++++++ e is 65537 (0x10001) root@server-sip1:/etc/cert# openssl req -new -key key-server.pem -out req-server.csr You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:RU State or Province Name (full name) [Some-State]:MOSCOW Locality Name (eg, city) []:MOSCOW Organization Name (eg, company) [Internet Widgits Pty Ltd]:YOURCOMPANY Organizational Unit Name (eg, section) []:VoIP Common Name (eg, YOUR name) []:server Email Address []:info@yourcompany.ru Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: root@server-sip1:/etc/cert# root@server-sip1:/etc/cert# root@server-sip1:/etc/cert# root@server-sip1:/etc/cert# openssl x509 -req -days 365 -in req-server.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out cert-server.crt Signature ok subject=/C=RU/ST=MOSCOW/L=MOSCOW/O=Yourcompany/OU=VoIP/CN=server/emailAddress=info@yourcompany.ru Getting CA Private Key Enter pass phrase for ca.key: root@server-sip1:/etc/cert#

Asterisk के लिए एक प्रमाण पत्र की तैयारी।
एस्टर के लिए फ़ाइल संरचना इस तरह दिखनी चाहिए - पहले निम्नलिखित फॉर्म की एक प्रमाण पत्र फ़ाइल:

 -----BEGIN CERTIFICATE----- MIIDvDCCAyWgAwIBAgIJAPMabsMiJJQPMA0GCSqGSIb3DQEBBQUAMIGbMQswCQYD [...] CfITDxcJBZfeXIPZP52+8FSMlm5985uMvao+emlIUGk11rY61Amxr387grDvgOaI -----END CERTIFICATE-----

फिर तुरंत कुंजी फ़ाइल:

 -----BEGIN RSA PRIVATE KEY----- MIICXQIBAAKBgQCqRw0jpQFn+f+lnDZiZzCRca9ojgu2brO+Q56jnqorvCIlYFC0 [...] FT65O46u6Vmp1gPbNklOEg7TtZUtfacPY2PyeP4KoHaG -----END RSA PRIVATE KEY-----

आप इसे बिल्ली के माध्यम से बना सकते हैं:

 root@server-sip1:/etc/asterisk/cert# cat /etc/cert/key.pem > /etc/asterisk/cert/asterisk.pem root@server-sip1:/etc/asterisk/cert# cat /etc/cert/cert-server.crt >> /etc/asterisk/cert/asterisk.pem

अब हम sip.conf फ़ाइल में लिखते हैं (या sip_general_custom.conf यदि यह Elastix या FreePBX है)

 tcpenable=yes tcpbindaddr=0.0.0.0 tlsenable=yes tlsbindaddr=0.0.0.0 tlscertfile=/etc/asterisk/cert/asterisk.pem tlscafile=/etc/cert/ca.crt

जब सब कुछ तैयार हो जाता है तो आपको एक विशिष्ट एक्सटेंशन पर टीएलएस और एसआरटीपी को सक्षम करने की आवश्यकता होती है।

उसी तरह, हम फोन के लिए फ़ाइल तैयार करते हैं और इसे मेनू सुरक्षा> सर्वर प्रमाणपत्रों में लोड करते हैं

इस लेख में, किसी भी मामले में पूर्ण सामग्री होने का दावा नहीं करना चाहते हैं। लेकिन मैं वास्तव में एक व्यक्ति के लिए सेटिंग्स की इन महत्वपूर्ण बारीकियों को व्यक्त करना चाहता था जो बाद में इसका सामना कर सकते हैं। फोन और तारांकन के लिए प्रमाण पत्र निकालने और तैयार करने की सभी बारीकियों का पता लगाने में मुझे एक सप्ताह का समय लगा। यदि आपके पास इसे करने के तरीके के बारे में कोई सुझाव है - तो यह बेहतर है कि यह अधिक तेज़ है, तो मैं इसे आनंद के साथ टिप्पणियों में पढ़ूंगा!

अद्यतन। बिज़नेस एचडी IP DECT फ़ोन W52P को सेट करते समय, यह स्पष्ट हो गया कि इसमें कॉन्फिगर अपलोड किए गए थे। "/ Yealink" के बिना रास्तों में पंजीकरण करना आवश्यक है:

 ca /config/openvpn/keys/ca.crt cert /config/openvpn/keys/client1.crt key /config/openvpn/keys/client1.key

इसके अलावा, मैं यह कहना चाहूंगा कि एक्सटेंशन पर एस्टरिस्क पासवर्ड में बिजनेस एचडी आईपी डक्ट फोन डब्ल्यू 52 पी फोन "और" चरित्र को समझता है, और येलिंक टी 26 पी फोन समझ में नहीं आता है।
फ़ोन में बेहतर स्थिरता के लिए, अकाउंट्स टैब पर, हमने लॉग इन की समय सीमा समाप्त कर ६०० और सदस्यता अवधि ३०० को बदल दिया।

एसआईपी का उपयोग कर सुनने के खिलाफ सुरक्षा - टीएलएस + एसआरटीपी + एन्क्रिप्टेड सुरंग और यिलिंक टी 26 पी फोन

OpenVPN सर्वर को स्थापित करने के लिए, मैंने Centos 6.4 डीवीडी छवि का उपयोग किया। मैं स्थापना पर नहीं रोकूंगा, सब कुछ मानक है।

आप प्रमाण पत्र बनाना शुरू कर सकते हैं:

फ़ोन कनेक्ट करने के लिए फ़ाइल तैयार करना:

Asterisk पर TLS + SRTP कॉन्फ़िगर करें।

More articles: