Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Zelf een encrypted VOIP server hosten

09-06-2013, 03:08 door johanw, 18 reacties
Hallo,

Ik heb eens wat gezocht over het zelf hosten van een VOIP server. die encryptie ondersteund. Doel is om via telefoons die SIP ondersteunen (Nokia Symbian en Android via 3G en wifi) versleutelde gesprekken te voeren die niet af te tappen zijn, ook niet door de overheid. SIP servers om zelf te hosten zijn wel te vinden, maar de meeste ondetsteunen geen encryptie en veel informatie is gericht op vaste VOIP telefoons die op een bedrijfscentrale aangesloten zijn. Heeft iemand ervaring met zoiets? Welke VOIP serversoftware kan zoiets afhandelen? Mogelijkheden om ook naar gewone vaste/mobiele nummers te bellen zijn onbelangrijk, het gaat om het onderling beveiligd kunnen communiceren.
Reacties (18)
09-06-2013, 09:24 door golem
1 google zoekopdracht leidt me al naar Asterik
http://www.voip-info.org/wiki/view/Asterisk+encryption

en ook een filmpje
http://www.youtube.com/watch?v=LDQGpSkXQu8

Maar ik denk zodra je zoiets opzet je een provider wordt en weer verplicht bent
om gesprekken af te tappen voor de overheid.
09-06-2013, 12:50 door johanw
Volgens mij alleen als ik zoiets opzet en dan iedereen toelaat om er (al dan niet tegen betaling) over te communiceren. Maar dat is niet de bedoeling.
09-06-2013, 15:03 door AcidBurn
Ik heb hiervoor inderdaad een Asterisk server draaien. Houd er wel rekening mee dat alles wat via de SIP naar buiten gaat (dus vanaf VoIP naar KPN bellen bijv) nog steeds te tappen is. Je moet dus puur gebruik maken van de 'interne' functionaliteiten en van VoIP naar VoIP bellen binnen de zelfde centrale.
09-06-2013, 23:00 door Anoniem
leuk hoor, heb je meteen de aandacht van alle opsporingsdiensten. Met je ultra niet te kraken weetikveel.

Verpak je geheime berichten gewoon in een kruiswoordpuzzel in een krant waarmee je de vis inpakt, of zet een teamspeak server op en praat alleen in code. Start een wow account en chat het daar, of via een gezamenlijk Travian account...

De vogel vliegt in Mei, ik herhaal...
10-06-2013, 11:58 door Anoniem
Misschien een SIP service ergens in een far-away-country waar naar alle waarschijnlijkheid hier niet op word getapt.
Helemaal zeker kun je het nooit zeggen met externe service.
10-06-2013, 12:03 door johanw
Dat snap ik. Naar buiten bellen hoeft niet eens te kunnen, zolang je met een gsm via internet over GPRS of 3G kunt inbellen op je eigen server kun je binnen een vaste groep toch onafluisterbaar bellen.
10-06-2013, 12:40 door [Account Verwijderd]
[Verwijderd]
10-06-2013, 12:40 door Anoniem
AcidBurn heeft gelijk. Zelf heb ik hosted Asterisk box op internet draaien welke middels VPN (IPsec) verbonden is met het lokale LAN. Dus tot mijn Asteriskbox is het beveiligd maar vanaf daar gaat het unencrypted verder naar een volgende box, en die verbinding is dus niet meer beveiligd.

Zelf heb ik nog nooit een encrypted Asterisk omgeving omgezet, altijd via IPsec lijnen. Behalve het voordeel van de encryptie vang je ook gelijk een hoop netwerkproblemen af zoals oa de NAT-traverselissues.

Als je met een beperkte groep 'veilig' wilt kunnen bellen kan je dus een Astiskbox optuigen en alle endpoints met VPN verbinden. Zolang je onderling 'binnen' deze centrale belt zit je goed.
10-06-2013, 12:50 door Anoniem
Aftappen kun je alsnog, alleen ze kunnen er vrijwel niets mee.
10-06-2013, 13:14 door burne101
Door pe0mot:
Oftewel commercieel niet haalbaar tenzij je een vermogende crimineel of overheidsdienst bent

Zo duur is SSL/TLS ook weer niet. En als je softphone geen ZRTP of SRTP doet kun je nog altijd over bijvoorbeeld OpenVPN een gecrypte tunnel voor je VoIP maken.
10-06-2013, 14:31 door Anoniem
Er is een opensource communicatie programma 'Jitsi' in ontwikkeling ( https://jitsi.org/ ). Het ondersteunt encryptie. Voor nadere details kijk even bij de documentatie. :-)
10-06-2013, 17:36 door Jan Slot
De vogel vliegt in Mei, ik herhaal...[/quote]
Begrepen. Het pakketje is op de post. Het zebrapad is blauw om drie uur.
10-06-2013, 18:24 door Anoniem
Het ligt er aan wat het doel is, maar wist je dat je met een simpele webpagina ook encrypted gesprekken kunnen voeren, zelfs met video ?

Firefox Beta, Chrome en IE met Chrome-frame ondersteunen een nieuwe IETF/W3C standaard genaamd WebRTC en die is standaard encrypted.

Met een plugin als webrtc4all kun je het zelfs met iedere browser. Met bijvoorbeeld sipml5 kun je WebRTC ook koppelen met VoIP systemen als FreeSwitch of Asterisk.

Er zijn ook libraries om met WebRTC mobile apps te maken voor iOS en Android.
10-12-2013, 13:35 door Anoniem
Door pe0mot: Daarna geen andere apps plaatsen en zorgen dat de telecom provider het ook niet kan.
Kun je op je "GSM" client OTA filteren?
11-12-2013, 09:52 door Anoniem
VPN als transport voor de end-to-end encryptie.
Realiseer je dat in een telefooncentrale zelf de data niet encrypt is, evenals wanneer de lijnen je eigen beveiligde omgeving verlaten naar bijvoorbeeld een extern nummer.

Proof of concept ooit door ondergetekende opgezet:
iPhone met Softphone App <-> IPsec VPN over 3G naar eigen Asteriskbox. Dan bel je over je eigen VPN.

Maar nogmaals, gaat de lijn naar een extern nummer all bets are off.
11-12-2013, 11:16 door Anoniem
Door Anoniem: VPN als transport voor de end-to-end encryptie.
Realiseer je dat in een telefooncentrale zelf de data niet encrypt is, evenals wanneer de lijnen je eigen beveiligde omgeving verlaten naar bijvoorbeeld een extern nummer.

Ja dat stond hierboven allemaal al.
Maar of deze manier van werken veel zin heeft weet ik niet...
De aftappers zijn vaak in eerste instantie meer geinteresseerd in het bouwen van een diagram van contacten dan in
het afluisteren van al die gesprekken. Ze willen graag weten met wie jij allemaal communiceert, niet zozeer wat je
allemaal met ze bespreekt. Encrypten alleen helpt daar niet tegen.
Pas als er een concrete verdenking is dan wordt het interessant om ook de inhoud van de gesprekken af te tappen.
Dan ben je wellicht al met iets verdachts of ontoelaatbaars bezig.
Het grootschalige harken van informatie over contacten daar zijn wel wel allemaal "slachtoffer" van.
11-12-2013, 15:27 door Anoniem
@johanw :

"Dat snap ik. Naar buiten bellen hoeft niet eens te kunnen, zolang je met een gsm via internet over GPRS of 3G kunt inbellen op je eigen server kun je binnen een vaste groep toch onafluisterbaar bellen."

Het is maar wat je als onafluisterbaar beschouwt.

Iemand die in zijn huis of in de auto met zo'n telefoon regelmatig belt, die kan ik heel gemakkelijk ''aftappen'' - simpelweg door een microfoon op de ruit van zijn huis te richten, of een microfoon in zijn voertuig te plaatsen.

Zo zijn er ook truuks om op bepaalde toestellen te tappen door de microfoon open te zetten, of door met een stukje malware het gesprek afvangen op het toestel, voordat dit wordt gecodeerd.

Verder is het met veel telefoons mogelijk voor de provider om vanaf afstand je telefoon te benaderen; indien de decryptie key in je telefoon is opgeslagen is een kopietje maken niet al te moeilijk. Met die key kan je alle gesprekken moeiteloos decoderen.

Je hoeft encryptie lang niet altijd te kunnen kraken om een gesprek dat gecodeerd wordt te onderscheppen. Het is immers de vraag of je het gesprek voor codering danwel na decodering op kan vangen, en het is ook de vraag hoe moeilijk het is om de decryptie key te onderscheppen.....
12-12-2013, 15:49 door Anoniem
Kent TS Ostel.co al?

Een project van The Guardian Project - https://guardianproject.info/apps/ostel/

Crypto via ZRTP http://en.wikipedia.org/wiki/ZRTP
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.