Encryption SIP-TLS SRTP mit Nokia E/N-Serie (integr. Client)

[Joel]

Da Encryption immer wichtiger wird ;-) Wer hat Lust, das mal zu testen.

TLS mit dem integrierten Client der Nokia E/N-Series!

Einfach melden!

 

[udosw]

Meld!

(Ein bischen mehr Info wär schon gut ...)

 

[Joel]

Mehr INFO ;-)

Der integrierte Client/Stack unterstützt komplette Encryption TLS & SRTP!

Es geht!

Will das gerne mit ein paar interessierten Leuten testen (verschiedene Modelle E/N-Serie)

Tester sollten auf ihrer Seite auch 'nen dump machen können und den dump mal richtig "auf den Kopf stellen".




So sieht das dann z.B. auf 'nem * aus: Zwischen einem E72 und Eyebeam!

<--- SIP read from TLS:65.49.14.19:58417 --->
INVITE sip:[email protected] SIP/2.0
Via: SIP/2.0/TLS 192.168.1.63:5809;branch=z9hG4bK-d8754z-ac0cd160782a1037-1---d8754z-;rport
Max-Forwards: 70
Contact: <sip:[email protected]:58417;transport=TLS>
To: "5553001"<sip:[email protected]>
From: "MAEG ENCRYPTED"<sip:[email protected]>;tag=7309fe76
Call-ID: M2Y0N2Q5YzQ5NDM4YWI4ZDA0MmZkOGU1NmY2NGRkOWY.
CSeq: 2 INVITE
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, NOTIFY, MESSAGE, SUBSCRIBE, INFO
Content-Type: application/sdp
User-Agent: eyeBeam release 1102q stamp 51814
Authorization: Digest username="5553000",realm="maeg.com",nonce="5f3a1b4a",uri="sip:[email protected]",response="62a5f6fb344846edde0b7bc820e454d9",algorithm=MD5
Content-Length: 538

v=0
o=- 9 2 IN IP4 192.168.1.63
s=CounterPath eyeBeam 1.5
c=IN IP4 192.168.1.63
t=0 0
m=audio 18806 RTP/SAVP 107 0 8 18 101
a=alt:1 2 : Z1kZ+nor N2zXcCUn 192.168.56.1 18806
a=alt:2 1 : Wsgkgql2 G+Oe48Os 192.168.1.63 18806
a=crypto:1 AES_CM_128_HMAC_SHA1_80 inline:EVO/up3E3hkd7KcHMCf8kz4h/Eh/ADW3vbIAGROK
a=crypto:2 AES_CM_128_HMAC_SHA1_32 inline:bQaHLpQumDcU1WM3yshBdmunQT0Gusy1WgcMIEGU
a=fmtp:18 annexb=yes
a=fmtp:101 0-15
a=rtpmap:107 BV32/16000
a=rtpmap:18 G729/8000
a=rtpmap:101 telephone-event/8000
a=sendrecv

 

[imagomundi]

Wie Du weisst bin ich am Testen interessanter Dinge im VoIP-Bereich immer interessiert (N86). Könnte evtl. auch noch einen Kollegen, dem ich mein früher genutztes N85 weitergegeben habe, zum Testen überreden.

 

[Joel]

Hatte gerade 'ne PN geschickt.

So siehts vom Nokia E72 aus:

<--- SIP read from TLS:65.49.14.19:36667 --->
INVITE sips:[email protected] SIP/2.0
Route: <sips:sec.maeg.com:5061;lr;transport=TCP>
Via: SIP/2.0/TLS 192.168.1.104:5060;branch=z9hG4bK6hb4lto35s5673pmd1loilb;rport
From: <sips:[email protected]>;tag=o0e6gqpt4dhc6uma07i3
To: <sips:[email protected]>
Contact: <sips:[email protected];transport=TCP>
Supported: precondition,100rel,timer,sec-agree
CSeq: 1109 INVITE
Call-ID: Je1EqRneoIeRQw7AfVDmoOBJmW8c6h
Allow: UPDATE,PRACK,SUBSCRIBE,REFER,NOTIFY,INVITE,ACK,CANCEL,OPTIONS,BYE
User-Agent: Nokia RM-530 031.023 00-BD-3A-BA-DA-5C
Expires: 120
Privacy: None
Session-Expires: 300
Max-Forwards: 70
Authorization: Digest realm="maeg.com",nonce="440d0c6f",algorithm=MD5,username="5553001",uri="sips:[email protected]",response="ecc930638685f4248be9fe3c7e7074ac"
Content-Type: application/sdp
Accept-Language: de
Content-Length: 574

v=0
o=5553001 63440810598946375 63440810598946375 IN IP4 192.168.1.104
s=-
c=IN IP4 192.168.1.104
t=0 0
m=audio 16384 RTP/SAVP 8 0 97 18 98
a=sendrecv
a=crypto:1 AES_CM_128_HMAC_SHA1_80 inline:QkRBeFQ4NTFiWVhqVnJZNUNJVUhXZ05ZeGw4SlJz
a=crypto:2 AES_CM_128_HMAC_SHA1_32 inline:Z3BOWkJUcnFJT0dfYzNUaU92UVBlOGpZQmI3LWhV
a=curr:sec e2e none
a=des:sec optional e2e sendrecv
a=rtpmap:8 PCMA/8000
a=ptime:20
a=maxptime:200
a=rtpmap:0 PCMU/8000
a=rtpmap:97 iLBC/8000
a=rtpmap:18 G729/8000
a=fmtp:18 annexb=yes
a=rtpmap:98 telephone-event/8000
a=fmtp:98 0-15

 

[Joel]

Kurzer Zwischenbericht:

Nokia E72 (Firmware 31.023) zu Nokia E72 (31.023)
Result: komplette Encryption, also TLS & SRTP.

Andere Modelle unterstützen zwar TLS perfekt, SRTP fehlt jedoch (bzw. funktioniert nicht richtig)



Nokia hat uns da ein nettes "Merkelphone" gebaut ;-)

 

[imagomundi]

Mit dem N86 hat das wohl nicht mit beiden Protokollen funktioniert? Die Sprachverbindung war ja exzellent. Nächste Woche werde ich auch noch ein E 75 zur Verfügung haben. Interesse an Test auch damit?

 

[Joel]

Beim N86 funktioniert TLS & SRTP bei ankommenden Gesprächen. ;-)
Abgehend bekommt das N86 nur TLS ohne SRTP hin.


Muss da noch was kontrollieren.

 

[imagomundi]

Muss da noch was kontrollieren.

Bin mit Deinem Profil und meinem N86 wieder bei Dir online.

 

[pfeffer]

Hi!

Es wäre großartig, wenn jemand mal beschreiben könnte, wie das geht. Ich hätte gedacht, dass man dazu einen SIP-Provider braucht, der SIPS und SRTP unterstützt. Ist das richtig? - Falls ja: welcher SIP-Provider bietet dies an?
Oder: wie geht es ohne SIP-Provider, der SIPS und SRTP unterstützt?

Hat schon jemand mit dem N79 getestet?

Gruß,
Pfeffer.

 

[sonyKatze]

Welcher SIP-Provider bietet dies an?

DUS [thread=249615]bietet[/thread] SIP over TLS.

Hat schon jemand [DUStel zusammen] mit dem N79 getestet?

SIP over TLS geht. SRTP geht bei mir nicht, weil Nokia gleich SIPs machen will, also alle URIs mit sips: anstatt mit sip: beginnen. Das mag wiederum mein DUStel starter nicht.

 

[sonyKatze]

Es wäre großartig, wenn jemand mal beschreiben könnte, wie das geht.

Joel hat sich dazu einen eigenen Asterisk aufgesetzt, der sich dann wiederum mit den VoIP-Anbietern verbindet. Bzw. intern in Deinem eigenen Asterisk bleibst Du bei SIPS/SRTP. Joel hat wirklich einiges geleistet, weil damals so gut wie keine Tutorials öffentlich waren. Ich habe mal angefangen, das [thread=251629]nachzubauen …[/thread]

 

[clevergirl]

Ich habe es geschafft SRTP zu aktivieren, ausgehende Telefonate von Nokia E5 funktionieren verschluesselt mit SRTP (laeuft sowohl mit SIP ueber TCP als auch TLS).
Aber sobald ein Anruf mit SRTP (z.B. von anderem Nokia oder phonerlite) eingeht haengt sich der VOIP Teil des Telefons auf. Das bedeutet es nimmt keine SRTP Pakete an und sendet nach dem 200 OK keine Sprachpakete. Im display sieht es aus als waere das Telefonat verbunden, aber auf ein BYE reagiert es mit Call/Transaction Does Not Exist
Wenn man in den Kontakten das sip profil deaktiviert und wieder aktiviert geht alles wieder, ausser natuerlich eingehende SRTP Telefonaten.

e5->phonerlite funzt
e5->freeswitch funzt
phonerlite->e5 hängt
e5->e72 hängt
e72->e5 hängt

Hat irgendjemand einen Weg gefunden das ans laufen zu bringen?

 

[sonyKatze]

clevergirl, bei wem sind die Nokias eingebucht? Nokia hatte lange Probleme mit direktem SIP-Call über TLS. Der Trick war und ist, dass man die SIP-Verbindung zum SIP-Proxy recycelt (ist ja bereits TLS) und darüber die SIP-Pakete schickt. Aber das scheint nicht Dein Problem. Bei Dir fehlt der gesamte RTP-Traffic. Richtig?

 

[clevergirl]

Inzwischen bin ich wohl der einzige der diese Dinger noch nutzt.
Zusammenfassung:
-TLS funktioniert
-SRTP geht, hat aber andauernd Aussetzer, sogar von E5 zu E72 ohne rtpproxy dazwischen.

Deswegen benutze ich eigentlich immer nur TLS, und nie SRTP. Das aber nun seit Jahren Stabil.