Verschlüsselung

  • Hallo,


    eine Frage, ich habe zahlreiche Arztpraxen als Kunden, die Kombination esaybell und TLS und SRTP geht ja seitens Starface leider immer noch nicht.


    Jetzt steht bei Starface connect, die Verbindung zur Starface sei verschlüsselt.


    Dann kann man das doch problemlos für Arztpraxen nehmen, oder?


    Grüße


    d i r k

    Viele Grüße


    d i r k

  • Weil das so auf der Starface-Seite steht, der Support das so gesagt hat und auch hier im Forum mal stand (soll wohl ab der 6.5 kommen):


    "Ein weiteres Highlight von STARFACE 6 ist die abhörsichere Verschlüsselung der Telefonie nach dem TLS-SRTP Standard- einer sicheren Übertragungsvariante für RTP-Streams zwischen UCC-Clients- und demnächst auch die Verschlüsselung von Gesprächen zwischen allen dafür vorbereiteten Telefonen."


    https://www.starface.de/de/Pro…oftswitch/starfacePBX.php


    Grüße,


    d i r k

    Viele Grüße


    d i r k

  • Hallo Fabian,


    gerade getestet, geht! Wahnsinn! :D Danke!


    Kann ich "irgendwo" (außer mittels Wireshark, das ist klar) sehen bzw. testen, ob die Verbindung wirklich verschlüsselt war?


    Grüße,


    d i r k

    Viele Grüße


    d i r k

    Einmal editiert, zuletzt von d i r k ()

  • Testen ob die Verschlüsselung funktioniert? Ohne Wireshark?
    Du könntest telefonisch größere Mengen Ammoniumnitrat als "Düngemittel" bestellen. Wenn danach plötzlich schwarze Vans in der Nachbarschaft parken, war das Gespräch unverschlüsselt :D

  • Hallo Fabian,


    kein Problem... ;)


    Bin gerade noch auf ZRTP gestoßen... ;)


    Ich schreibe gerade eine Mail an einen Geschäftspartner und Freund, der hat im Rahmen eines Vortrages in einem sehr elitären "Business-Club" in Köln einen Vortrag von sipgate gesehen und war von denen begeistert...


    Hier die Mail:


    Hallo xyz,


    Du warst ja so von dem sipgate-Vortrag begeistert.


    Was man erzählt und wie man es er darstellt und was man dann tatsächlich bietet sind ja immer mindestens zwei Paar Schuhe.


    Aufgrund aktueller Projekte und weil ich ständig alles neu überprüfe habe ich aktuell nochmal sipgate als Teil meines Portfolios erwogen.


    Dabei bin ich aber (wie ja bisher und wie ja geschildert) wieder auf Sachen gestoßen, die überhaupt nicht gehen!


    So z.B. das:


    https://basicsupport.sipgate.d…s-bietet-mir-sipgate-VPN-


    Man kann also sicher nur eine Stunde lang telefonieren. Und die machen das total marktunüblich. Standard ist das:


    Ist eine SRTP/TLS Sprachverschlüsselung möglich?


    Nein, SRTP oder TLS für die Sprachverschlüsselung werden aktuell nicht unterstützt. Die Anrufe werden unverschlüsselt übertragen. Kurzfristig ist auch keine Verschlüsselung geplant.
    https://basicsupport.sipgate.d…3%BCsselung-m%C3%B6glich-


    Easybell kann das beispielsweise:
    https://www.easybell.de/hilfe/…fonie-verschluesseln.html


    Und sind sehr modern was die Standards betrifft:


    Wir unterstützen vollständig den SIP 2.0 Standard gemäß RFC3261.
    https://www.easybell.de/hilfe/…xperteneinstellungen.html


    Was mir seit gestern erst richtig bewusst ist: Wenn ich VoIP per FritzBox benutze, dann ist da nix verschlüsselt! Selbst die FritzBox bietet das nicht an!


    Wenn man allerdings All IP am Telekom-Anschluss nutzt, dann ist wenigstens die Kommunikation „gekapselt“, also jemand müsste schon an die Leitung ran und die abhören.


    Ende der Mail.


    Je mehr "man" drüber nachdenkt, desto mehr Fragen stellen sich einem. Eigentlich wäre doch STARFACE via beispielsweise easybell mit aktiviertem TLS & SRTP sicherer als DeutschlandLAN mittels FritzBox oder Geräten die die mittlerweile anbieten (Bintec Elmeg Digitalisierungsbox, ZyXEL, LANCOM), oder?


    Bei der Telekom laufen die Sprachdaten doch unverschlüsselt zur Telekom und werden dann getrennt vom Internet zum Zielnetz befördert, oder bin ich da nicht auf dem aktuellen Stand?


    DeutschlandLAN SIP-Trunk scheint TLS zu unterstützen.


    Ich habe übrigens mal ausgerechnet, was das mit echter Flat kostet (hoffe, keinen Fehler gemacht zu haben):


    DeutschlandLAN SIP-Trunk


    GG 54,95 für 2 Kanäle


    bis zu 28 weitere Parallele Gespräche inkl. Flatrate zubuchbar: je 12,95 Euro


    Flat Mobil monatlich 9,95 Euro je Paralleles Gespräch


    https://geschaeftskunden.telek…schlandlan-sip-trunk.html


    Für parallele Gespräche inkl. Flat mobil:


    2: 74,85


    10: 258,05 €


    30: 716,05 €


    Danke & Grüße,


    d i r k

    Viele Grüße


    d i r k

    2 Mal editiert, zuletzt von d i r k ()


  • Wenn man allerdings All IP am Telekom-Anschluss nutzt, dann ist wenigstens die Kommunikation „gekapselt“, also jemand müsste schon an die Leitung ran und die abhören.


    Die Kapselung ist doch nur ein VLAN-Tag, oder?



    Je mehr "man" drüber nachdenkt, desto mehr Fragen stellen sich einem. Eigentlich wäre doch STARFACE via beispielsweise easybell mit aktiviertem TLS & SRTP sicherer als DeutschlandLAN mittels FritzBox oder Geräten die die mittlerweile anbieten (Bintec Elmeg Digitalisierungsbox, ZyXEL, LANCOM), oder?


    Bei der Telekom laufen die Sprachdaten doch unverschlüsselt zur Telekom und werden dann getrennt vom Internet zum Zielnetz befördert, oder bin ich da nicht auf dem aktuellen Stand?


    Was innerhalb der Providernetze passiert,... who knows. Das ist aber auch im Zusammenhang mit der Verschlüsselung bei den anderen Providern irrelevant, da es nie eine Ende-zu-Ende-Verschlüsselung ist. Es endet immer beim Provider.

  • Hallo Fabian,


    hatte eben bereits an zwei Anschlüssen nachgesehen, da ich selber dachte, dass die Telekom das vLAN-tagged, macht sie aber gar nicht!


    Ende-zu-Ende-Verschlüsselung ginge übrigens auch mit easybell, allerdings unterstütz das afaik bisher wirklich niemand.


    Ich könnte die Telefone direkt mit easybell verbinden und dann noch eines an einem anderen Standort beim selben Anbieter haben, dann ginge das imho.


    Ich weiß aktuell leider nicht auswendig, was für Ärzte gesetzlich vorgeschrieben ist, müsste nochmal nachsehen.


    Wenn man dann aber faktisch eh keine Sicherheit hat, weil an den Peering-Points die Verschlüsselung nicht gewährleistet ist (Ist das so?), dann ist das natürlich alles unsinnig.


    Ist das denn wirklich so, dass die Telekom wenn sie beispielsweise zu Telefonica routet da keine Sicherheit aktiv ist? Das wird ja nicht übers Internet geroutet. Hatte da vor über einem Jahr mal einen tollen Fachartikel zu, müsste den aber lange suchen. Da ging es aber glaube ich nicht um Telefonie, sondern generell um die CIX-Punkte der Provider.


    Grüße,


    d i r k

    Viele Grüße


    d i r k

    3 Mal editiert, zuletzt von d i r k ()

  • Ich wüßte nicht, wie da eine Ende-zu-Ende-Verschlüsselung bei Easybell möglich sein sollte. Der Peer ist immer Easybell. Easybell müßte während des Verbindungsaufbaus die beiden Endgeräte direkt miteinander verbinden - mit den RTP-Strömen geht das, aber dann kann der Provider nicht mehr sicher sein, dass für Gespräche auch bezahlt wird, da er sich nur noch auf die Signalisierung verlassen kann.

  • Äh ja,... das was easybell da in der FAQ schreibt, ist entweder falsch oder halbrichtig. Easybell kann natürlich eine Verschlüsselung zu deinem Anschluss davon abhängig machen, ob Verschlüsselung auch zum anderen Teilnehmer möglich ist – und falls nicht auf unverschlüsselt zurückfallen. Wird SIP/TLS und SRTP gemacht, ist das aber trotzdem eine Verschlüsselung zwischen dir und Easybell und nicht zwischen dir und dem Zielteilnehmer.

  • End to end encryption bietet kein deutscher Carrier an. Alle terminieren die Verschlüsselung im Carriernetz, im besten Fall werden beide Gesprächsseiten (Anrufer / Zielteilnehmer) neu verschlüsselt.
    Das ist m.M.n. "security circus". Die selben Angreifer die in der Lage sind eure Internetleitung abzuhören, können sich auch ganz bequem den Traffic vom Provider auswerten lassen. Die Telekom bietet das sogar as-a-service an.


    Ich würde mir erstmal mehr Gedanken um die Mobile Clients machen, hier kann mehr Schmu passieren (MITM / ARP gespoofte WLAN Netze, VoIP-"scrambling" von Netzbetreibern).

    Viele Grüße
    Niklas


    - Ex STARFACE Support: 2014-2020 -

  • So, ich wollte das jetzt mit einer STARFACE CLOUD verwenden (also TLS und SRTP an), klappt leider nicht!


    Ich kann raustelefonieren mit dem Telefon und auch sprechen, eingehende Telefonate landen aber nicht beim Telefon.


    Als Fehler kommt das:


    [Jun 8 16:28:06] WARNING[28882][C-00002184] chan_sip.c: Matched device setup to use SRTP, but request was not!


    Wie gesagt, bei meiner echten Appliance im Büro geht es.


    Grüße,


    d i r k

    Viele Grüße


    d i r k

    Einmal editiert, zuletzt von d i r k ()

  • Hallo dirk,


    Zitat

    ich wollte das jetzt mit einer STARFACE CLOUD verwenden


    Was genau wolltest du verwenden?


    SRTP und TLS zwischen Telefon und STARFACE oder zwischen STARFACE und Provider? Die Fehlernachricht deutet auf einen Konfigurationsfehler hin. Einer der beiden Endpunkte wurde nicht dazu konfiguriert SRTP zu verwenden.


    Viele Grüße
    Norman

  • Folgendes ist mi irgendwann aufgefallen:


    Es hat nie funktioniert! Ich habe mich geirrt. Ich hab die ganze Zeit über eine Leitung raustelefoniert ohne TLS, hatte das nur nicht bemerkt!


    Es geht also auch bei meiner physischen Anlage nicht!


    Ich habe da so viele Testleitungen drauf, dass ich es einfach nicht direkt bemerkt habe!


    Grüße,


    d i r k

    Viele Grüße


    d i r k

  • Ich wollte hier einmal nachfragen ob man die Telefonate nun verschlüsseln kann? Ich habe bisher so nichts gefunden was mir weiterhilft.
    Danke
    Jens

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!