Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Zelf een encrypted VOIP server hosten
Hallo,
Ik heb eens wat gezocht over het zelf hosten van een VOIP server. die encryptie ondersteund. Doel is om via telefoons die SIP ondersteunen (Nokia Symbian en Android via 3G en wifi) versleutelde gesprekken te voeren die niet af te tappen zijn, ook niet door de overheid. SIP servers om zelf te hosten zijn wel te vinden, maar de meeste ondetsteunen geen encryptie en veel informatie is gericht op vaste VOIP telefoons die op een bedrijfscentrale aangesloten zijn. Heeft iemand ervaring met zoiets? Welke VOIP serversoftware kan zoiets afhandelen? Mogelijkheden om ook naar gewone vaste/mobiele nummers te bellen zijn onbelangrijk, het gaat om het onderling beveiligd kunnen communiceren.
Ik heb eens wat gezocht over het zelf hosten van een VOIP server. die encryptie ondersteund. Doel is om via telefoons die SIP ondersteunen (Nokia Symbian en Android via 3G en wifi) versleutelde gesprekken te voeren die niet af te tappen zijn, ook niet door de overheid. SIP servers om zelf te hosten zijn wel te vinden, maar de meeste ondetsteunen geen encryptie en veel informatie is gericht op vaste VOIP telefoons die op een bedrijfscentrale aangesloten zijn. Heeft iemand ervaring met zoiets? Welke VOIP serversoftware kan zoiets afhandelen? Mogelijkheden om ook naar gewone vaste/mobiele nummers te bellen zijn onbelangrijk, het gaat om het onderling beveiligd kunnen communiceren.
Reacties (18)
09-06-2013, 09:24 door
golem
1 google zoekopdracht leidt me al naar Asterik
http://www.voip-info.org/wiki/view/Asterisk+encryption
en ook een filmpje
http://www.youtube.com/watch?v=LDQGpSkXQu8
Maar ik denk zodra je zoiets opzet je een provider wordt en weer verplicht bent
om gesprekken af te tappen voor de overheid.
http://www.voip-info.org/wiki/view/Asterisk+encryption
en ook een filmpje
http://www.youtube.com/watch?v=LDQGpSkXQu8
Maar ik denk zodra je zoiets opzet je een provider wordt en weer verplicht bent
om gesprekken af te tappen voor de overheid.
09-06-2013, 12:50 door
johanw
Volgens mij alleen als ik zoiets opzet en dan iedereen toelaat om er (al dan niet tegen betaling) over te communiceren. Maar dat is niet de bedoeling.
09-06-2013, 15:03 door
AcidBurn
Ik heb hiervoor inderdaad een Asterisk server draaien. Houd er wel rekening mee dat alles wat via de SIP naar buiten gaat (dus vanaf VoIP naar KPN bellen bijv) nog steeds te tappen is. Je moet dus puur gebruik maken van de 'interne' functionaliteiten en van VoIP naar VoIP bellen binnen de zelfde centrale.
leuk hoor, heb je meteen de aandacht van alle opsporingsdiensten. Met je ultra niet te kraken weetikveel.
Verpak je geheime berichten gewoon in een kruiswoordpuzzel in een krant waarmee je de vis inpakt, of zet een teamspeak server op en praat alleen in code. Start een wow account en chat het daar, of via een gezamenlijk Travian account...
De vogel vliegt in Mei, ik herhaal...
Verpak je geheime berichten gewoon in een kruiswoordpuzzel in een krant waarmee je de vis inpakt, of zet een teamspeak server op en praat alleen in code. Start een wow account en chat het daar, of via een gezamenlijk Travian account...
De vogel vliegt in Mei, ik herhaal...
Misschien een SIP service ergens in een far-away-country waar naar alle waarschijnlijkheid hier niet op word getapt.
Helemaal zeker kun je het nooit zeggen met externe service.
Helemaal zeker kun je het nooit zeggen met externe service.
10-06-2013, 12:03 door
johanw
Dat snap ik. Naar buiten bellen hoeft niet eens te kunnen, zolang je met een gsm via internet over GPRS of 3G kunt inbellen op je eigen server kun je binnen een vaste groep toch onafluisterbaar bellen.
10-06-2013, 12:40 door
[Account Verwijderd]
[Verwijderd]
AcidBurn heeft gelijk. Zelf heb ik hosted Asterisk box op internet draaien welke middels VPN (IPsec) verbonden is met het lokale LAN. Dus tot mijn Asteriskbox is het beveiligd maar vanaf daar gaat het unencrypted verder naar een volgende box, en die verbinding is dus niet meer beveiligd.
Zelf heb ik nog nooit een encrypted Asterisk omgeving omgezet, altijd via IPsec lijnen. Behalve het voordeel van de encryptie vang je ook gelijk een hoop netwerkproblemen af zoals oa de NAT-traverselissues.
Als je met een beperkte groep 'veilig' wilt kunnen bellen kan je dus een Astiskbox optuigen en alle endpoints met VPN verbinden. Zolang je onderling 'binnen' deze centrale belt zit je goed.
Zelf heb ik nog nooit een encrypted Asterisk omgeving omgezet, altijd via IPsec lijnen. Behalve het voordeel van de encryptie vang je ook gelijk een hoop netwerkproblemen af zoals oa de NAT-traverselissues.
Als je met een beperkte groep 'veilig' wilt kunnen bellen kan je dus een Astiskbox optuigen en alle endpoints met VPN verbinden. Zolang je onderling 'binnen' deze centrale belt zit je goed.
10-06-2013, 13:14 door
burne101
Door pe0mot:
Oftewel commercieel niet haalbaar tenzij je een vermogende crimineel of overheidsdienst bent
Oftewel commercieel niet haalbaar tenzij je een vermogende crimineel of overheidsdienst bent
Zo duur is SSL/TLS ook weer niet. En als je softphone geen ZRTP of SRTP doet kun je nog altijd over bijvoorbeeld OpenVPN een gecrypte tunnel voor je VoIP maken.
Er is een opensource communicatie programma 'Jitsi' in ontwikkeling ( https://jitsi.org/ ). Het ondersteunt encryptie. Voor nadere details kijk even bij de documentatie. :-)
10-06-2013, 17:36 door
Jan Slot
De vogel vliegt in Mei, ik herhaal...[/quote]
Begrepen. Het pakketje is op de post. Het zebrapad is blauw om drie uur.
Begrepen. Het pakketje is op de post. Het zebrapad is blauw om drie uur.
Het ligt er aan wat het doel is, maar wist je dat je met een simpele webpagina ook encrypted gesprekken kunnen voeren, zelfs met video ?
Firefox Beta, Chrome en IE met Chrome-frame ondersteunen een nieuwe IETF/W3C standaard genaamd WebRTC en die is standaard encrypted.
Met een plugin als webrtc4all kun je het zelfs met iedere browser. Met bijvoorbeeld sipml5 kun je WebRTC ook koppelen met VoIP systemen als FreeSwitch of Asterisk.
Er zijn ook libraries om met WebRTC mobile apps te maken voor iOS en Android.
Firefox Beta, Chrome en IE met Chrome-frame ondersteunen een nieuwe IETF/W3C standaard genaamd WebRTC en die is standaard encrypted.
Met een plugin als webrtc4all kun je het zelfs met iedere browser. Met bijvoorbeeld sipml5 kun je WebRTC ook koppelen met VoIP systemen als FreeSwitch of Asterisk.
Er zijn ook libraries om met WebRTC mobile apps te maken voor iOS en Android.
Door pe0mot: Daarna geen andere apps plaatsen en zorgen dat de telecom provider het ook niet kan.
Kun je op je "GSM" client OTA filteren?VPN als transport voor de end-to-end encryptie.
Realiseer je dat in een telefooncentrale zelf de data niet encrypt is, evenals wanneer de lijnen je eigen beveiligde omgeving verlaten naar bijvoorbeeld een extern nummer.
Proof of concept ooit door ondergetekende opgezet:
iPhone met Softphone App <-> IPsec VPN over 3G naar eigen Asteriskbox. Dan bel je over je eigen VPN.
Maar nogmaals, gaat de lijn naar een extern nummer all bets are off.
Realiseer je dat in een telefooncentrale zelf de data niet encrypt is, evenals wanneer de lijnen je eigen beveiligde omgeving verlaten naar bijvoorbeeld een extern nummer.
Proof of concept ooit door ondergetekende opgezet:
iPhone met Softphone App <-> IPsec VPN over 3G naar eigen Asteriskbox. Dan bel je over je eigen VPN.
Maar nogmaals, gaat de lijn naar een extern nummer all bets are off.
Door Anoniem: VPN als transport voor de end-to-end encryptie.
Realiseer je dat in een telefooncentrale zelf de data niet encrypt is, evenals wanneer de lijnen je eigen beveiligde omgeving verlaten naar bijvoorbeeld een extern nummer.
Realiseer je dat in een telefooncentrale zelf de data niet encrypt is, evenals wanneer de lijnen je eigen beveiligde omgeving verlaten naar bijvoorbeeld een extern nummer.
Ja dat stond hierboven allemaal al.
Maar of deze manier van werken veel zin heeft weet ik niet...
De aftappers zijn vaak in eerste instantie meer geinteresseerd in het bouwen van een diagram van contacten dan in
het afluisteren van al die gesprekken. Ze willen graag weten met wie jij allemaal communiceert, niet zozeer wat je
allemaal met ze bespreekt. Encrypten alleen helpt daar niet tegen.
Pas als er een concrete verdenking is dan wordt het interessant om ook de inhoud van de gesprekken af te tappen.
Dan ben je wellicht al met iets verdachts of ontoelaatbaars bezig.
Het grootschalige harken van informatie over contacten daar zijn wel wel allemaal "slachtoffer" van.
@johanw :
"Dat snap ik. Naar buiten bellen hoeft niet eens te kunnen, zolang je met een gsm via internet over GPRS of 3G kunt inbellen op je eigen server kun je binnen een vaste groep toch onafluisterbaar bellen."
Het is maar wat je als onafluisterbaar beschouwt.
Iemand die in zijn huis of in de auto met zo'n telefoon regelmatig belt, die kan ik heel gemakkelijk ''aftappen'' - simpelweg door een microfoon op de ruit van zijn huis te richten, of een microfoon in zijn voertuig te plaatsen.
Zo zijn er ook truuks om op bepaalde toestellen te tappen door de microfoon open te zetten, of door met een stukje malware het gesprek afvangen op het toestel, voordat dit wordt gecodeerd.
Verder is het met veel telefoons mogelijk voor de provider om vanaf afstand je telefoon te benaderen; indien de decryptie key in je telefoon is opgeslagen is een kopietje maken niet al te moeilijk. Met die key kan je alle gesprekken moeiteloos decoderen.
Je hoeft encryptie lang niet altijd te kunnen kraken om een gesprek dat gecodeerd wordt te onderscheppen. Het is immers de vraag of je het gesprek voor codering danwel na decodering op kan vangen, en het is ook de vraag hoe moeilijk het is om de decryptie key te onderscheppen.....
"Dat snap ik. Naar buiten bellen hoeft niet eens te kunnen, zolang je met een gsm via internet over GPRS of 3G kunt inbellen op je eigen server kun je binnen een vaste groep toch onafluisterbaar bellen."
Het is maar wat je als onafluisterbaar beschouwt.
Iemand die in zijn huis of in de auto met zo'n telefoon regelmatig belt, die kan ik heel gemakkelijk ''aftappen'' - simpelweg door een microfoon op de ruit van zijn huis te richten, of een microfoon in zijn voertuig te plaatsen.
Zo zijn er ook truuks om op bepaalde toestellen te tappen door de microfoon open te zetten, of door met een stukje malware het gesprek afvangen op het toestel, voordat dit wordt gecodeerd.
Verder is het met veel telefoons mogelijk voor de provider om vanaf afstand je telefoon te benaderen; indien de decryptie key in je telefoon is opgeslagen is een kopietje maken niet al te moeilijk. Met die key kan je alle gesprekken moeiteloos decoderen.
Je hoeft encryptie lang niet altijd te kunnen kraken om een gesprek dat gecodeerd wordt te onderscheppen. Het is immers de vraag of je het gesprek voor codering danwel na decodering op kan vangen, en het is ook de vraag hoe moeilijk het is om de decryptie key te onderscheppen.....
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.