Настройка Freeswitch SIP TLS + SRTP

Stas T.

9 лет назад

Сегодня хочу затронуть тему защиты трафика в сетях VoIP. В Интернете гуляет очень много открытого трафика и добраться до него не так уж и сложно, тем более если ты админ Wi-Fi сети в гостинице или кафе, ибо инженер интернет-провайдера. Хоть я и не параноик, но корпоративные данные, будь то почта, авторизация на внутренних ресурсах и так далее предпочитаю шифровать. С недавних пор к голосовому трафику стараюсь относится так же.

Все действия будут происходить с FreeSWITCH Version 1.4.26 и софтфоном Blink. Так же чуть позже выложу статью по настройке других смартфонов.

Будем считать что наш Freeswitch скомпилирован и установлен с поддержкой SSL.

Для начала нам нужно сгенерировать сертификаты с помощью встроенной во Freeswitch утилиты ./gentls_cert.

Генерируем CA (корневой) сертификат:

/usr/local/freeswitch/bin/gentls_cert setup -cn 8.8.8.8 -alt DNS:sip.youdomain.ru -org 8.8.8.8

1	/usr/local/freeswitch/bin/gentls_cert setup -cn 8.8.8.8 -alt DNS:sip.youdomain.ru -org 8.8.8.8

Далее генерируем сертификат для сервера

/usr/local/freeswitch/bin/gentls_cert create_server -cn 8.8.8.8 -alt DNS:sip.youdomain.ru -org 8.8.8.8

1	/usr/local/freeswitch/bin/gentls_cert create_server -cn 8.8.8.8 -alt DNS:sip.youdomain.ru -org 8.8.8.8

, где 8.8.8.8 — IP адрес вашего сервера, а sip.youdomain.ru — домен вашего сервера, если таковой имеется, если же домена никакого нет, то можно опустить этот параметр.

Внимание! Если ваш Freeswitch работает не из под root, а под собственным пользователем (-u freeswitch), тогда нужно выставить необходимые привилегии для свежесоданных файлов сертификатов.

chown freeswitch:daemon /usr/local/freeswitch/conf/ssl/agent.pem /usr/local/freeswitch/conf/ssl/cafile.pem
chmod 640 /usr/local/freeswitch/conf/ssl/agent.pem /usr/local/freeswitch/conf/ssl/cafile.pem
chown freeswitch:daemon /usr/local/freeswitch/conf/ssl/
chmod 755 /usr/local/freeswitch/conf/ssl/

chown freeswitch:daemon /usr/local/freeswitch/conf/ssl/agent.pem /usr/local/freeswitch/conf/ssl/cafile.pem

chmod 640 /usr/local/freeswitch/conf/ssl/agent.pem /usr/local/freeswitch/conf/ssl/cafile.pem

chown freeswitch:daemon /usr/local/freeswitch/conf/ssl/

chmod 755 /usr/local/freeswitch/conf/ssl/

Должно выглядеть следующим образом:

root@sip:~# ls -la /usr/local/freeswitch/conf/ssl/
итого 24
drwxr-xr-x  3 freeswitch daemon 4096 мая   11 14:39 .
drwxr-xr-x 13 root       root   4096 мая   11 14:31 ..
-rw-r-----  1 freeswitch daemon 3107 мая   11 14:31 agent.pem
drw-r-----  2 freeswitch daemon 4096 мая   11 14:31 CA
-rw-r-----  1 freeswitch daemon 1176 мая   11 14:31 cafile.pem

root@sip:~# ls -la /usr/local/freeswitch/conf/ssl/

итого 24

drwxr-xr-x 3 freeswitch daemon 4096 мая 11 14:39 .

drwxr-xr-x 13 root root 4096 мая 11 14:31 ..

-rw-r----- 1 freeswitch daemon 3107 мая 11 14:31 agent.pem

drw-r----- 2 freeswitch daemon 4096 мая 11 14:31 CA

-rw-r----- 1 freeswitch daemon 1176 мая 11 14:31 cafile.pem

Далее нам нужно сконфигурировать SIP профиль (internal, external или другой, который у вас используется)

Открываем XML файл нашего профиля, например /usr/local/freeswitch/conf/sip_profiles/internal.xml и приводим секцию TLS к такому виду:

    <!-- TLS: disabled by default, set to "true" to enable -->
    <param name="tls" value="true"/>
    <!-- Set to true to not bind on the normal sip-port but only on the TLS port -->
    <param name="tls-only" value="false"/>
    <!-- additional bind parameters for TLS -->
    <param name="tls-bind-params" value="transport=tls"/>
    <!-- Port to listen on for TLS requests. (5061 will be used if unspecified) -->
    <param name="tls-sip-port" value="5061"/>
    <!-- Location of the agent.pem and cafile.pem ssl certificates (needed for TLS server) -->
    <param name="tls-cert-dir" value="$${base_dir}/conf/ssl"/>
    <!-- Optionally set the passphrase password used by openSSL to encrypt/decrypt TLS private key files -->
    <param name="tls-passphrase" value=""/>
    <!-- Verify the date on TLS certificates -->
    <param name="tls-verify-date" value="true"/>
    <!-- TLS verify policy, when registering/inviting gateways with other servers (outbound) or handling inbound registration/invite requests how should we verify their certificate -->
    <!-- set to 'in' to only verify incoming connections, 'out' to only verify outgoing connections, 'all' to verify all connections, also 'subjects_in', 'subjects_out' and 'subjects_all' for subject validation. Multiple policies can be split with a '|' pipe -->
    <param name="tls-verify-policy" value="none"/>
    <!-- Certificate max verify depth to use for validating peer TLS certificates when the verify policy is not none -->
    <param name="tls-verify-depth" value="2"/>
    <!-- If the tls-verify-policy is set to subjects_all or subjects_in this sets which subjects are allowed, multiple subjects can be split with a '|' pipe -->
    <param name="tls-verify-in-subjects" value=""/>
    <!-- TLS version default: tlsv1,tlsv1.1,tlsv1.2 -->
    <param name="tls-version" value="$${sip_tls_version}"/>

    <!-- TLS ciphers default: ALL:!ADH:!LOW:!EXP:!MD5:@STRENGTH  -->
    <param name="tls-ciphers" value="$${sip_tls_ciphers}"/>

Сохраняемся, перезагружаем Freeswitch и проверяем поднялись ли профили и все ли ок.

freeswitch@internal> sofia status profile default
=================================================================================================
Name                    default
Domain Name             N/A
Auto-NAT                false
DBName                  sofia_reg_default
Pres Hosts              XX.XX.XX.XX,XX.XX.XX.XX
Dialplan                XML
Context                 default
Challenge Realm         auto_from
RTP-IP                  XX.XX.XX.XX
SIP-IP                  XX.XX.XX.XX
URL                     sip:mod_sofia@XX.XX.XX.XX:5060
BIND-URL                sip:mod_sofia@XX.XX.XX.XX:5060;transport=udp,tcp
TLS-URL                 sip:mod_sofia@XX.XX.XX.XX:5061
TLS-BIND-URL            sips:mod_sofia@XX.XX.XX.XX:5061;transport=tls
HOLD-MUSIC              local_stream://moh
OUTBOUND-PROXY          N/A
CODECS IN               G729,PCMA,PCMU
CODECS OUT              G729,PCMA,PCMU
TEL-EVENT               101
DTMF-MODE               rfc2833
CNG                     13
SESSION-TO              0
MAX-DIALOG              0
NOMEDIA                 false
LATE-NEG                false
PROXY-MEDIA             false
ZRTP-PASSTHRU           false
AGGRESSIVENAT           true
CALLS-IN                7
FAILED-CALLS-IN         5
CALLS-OUT               4
FAILED-CALLS-OUT        3
REGISTRATIONS           9

freeswitch@internal> sofia status profile default

=================================================================================================

Name default

Domain Name N/A

Auto-NAT false

DBName sofia_reg_default

Pres Hosts XX.XX.XX.XX,XX.XX.XX.XX

Dialplan XML

Context default

Challenge Realm auto_from

RTP-IP XX.XX.XX.XX

SIP-IP XX.XX.XX.XX

URL sip:mod_sofia@XX.XX.XX.XX:5060

BIND-URL sip:mod_sofia@XX.XX.XX.XX:5060;transport=udp,tcp

TLS-URL sip:mod_sofia@XX.XX.XX.XX:5061

TLS-BIND-URL sips:mod_sofia@XX.XX.XX.XX:5061;transport=tls

HOLD-MUSIC local_stream://moh

OUTBOUND-PROXY N/A

CODECS IN G729,PCMA,PCMU

CODECS OUT G729,PCMA,PCMU

TEL-EVENT 101

DTMF-MODE rfc2833

CNG 13

SESSION-TO 0

MAX-DIALOG 0

NOMEDIA false

LATE-NEG false

PROXY-MEDIA false

ZRTP-PASSTHRU false

AGGRESSIVENAT true

CALLS-IN 7

FAILED-CALLS-IN 5

CALLS-OUT 4

FAILED-CALLS-OUT 3

REGISTRATIONS 9

Далее посмотрим на то слушает ли наш Freeswitch порт 5061

root@sip:~# netstat -nlp | grep frees
tcp        0      0 127.0.0.1:8021       0.0.0.0:*               LISTEN      4650/freeswitch
tcp        0      0 XX.XX.XX.XX:5060     0.0.0.0:*               LISTEN      4650/freeswitch
tcp        0      0 XX.XX.XX.XX:5061     0.0.0.0:*               LISTEN      4650/freeswitch
udp        0      0 XX.XX.XX.XX:5060     0.0.0.0:*                           4650/freeswitch

root@sip:~# netstat -nlp | grep frees

tcp 0 0 127.0.0.1:8021 0.0.0.0:* LISTEN 4650/freeswitch

tcp 0 0 XX.XX.XX.XX:5060 0.0.0.0:* LISTEN 4650/freeswitch

tcp 0 0 XX.XX.XX.XX:5061 0.0.0.0:* LISTEN 4650/freeswitch

udp 0 0 XX.XX.XX.XX:5060 0.0.0.0:* 4650/freeswitch

Все супер, а если не супер, то смотрим в чем дело внимательно, у меня была трабла именно с правами доступа на файлы сертификатов.

Далее нам нужно сгенерировать пользовательский сертификат:

/usr/local/freeswitch/bin/gentls_cert create_client -cn 10001 -out 10001.pem

1	/usr/local/freeswitch/bin/gentls_cert create_client -cn 10001 -out 10001.pem

, где 10001 — номер телефона абонента, для обеспечения безопасности этот сертификат нужно генерировать для каждого номера отдельно. Он так же сохранился в /usr/local/freeswitch/conf/ssl.

Далее нам необходимо скопировать файлы 10001.pem из каталога /usr/local/freeswitc/conf/ssl и cacert.pem из каталога /usr/local/freeswitc/conf/ssl/CA на компьютер, где будет установлен Blink. Зачем нам нужно 2 сертификата я расскажу позже.

Приступаем к настройке самого Blink. Выложу скриншоты настроек программы, на них предельно все ясно. Однако поясню, что 2 сертификата нам нужно для проверки подлинности сервера, т.к. сертификат мы выдавали сами себе. Если же сертификат вам был выдан в доверенном центре сертификаций, то тогда последний пункт не требуется.

Отлично, применяем настройки и пытаемся сделать вызов.

При этом включаем в консоли Freeswitch sip trace

 sofia global siptrace on

1	sofia global siptrace on

И ищем примерно такую строчку в дебаге:

send 1256 bytes to <strong>tls/</strong>[2.132.108.200]:50320 at 17:43:35.017681:

1	send 1256 bytes to <strong>tls/</strong>[2.132.108.200]:50320 at 17:43:35.017681:

это говорит о том, что SIP сообщения бегают в зашифрованном виде.

Далее проверяем SRTP и ищем в том же дебаге в SDP сообщение что то в роде

a=crypto:1 AES_CM_128_HMAC_SHA1_80 inline:BiB/IsoEyoAU5zh8DT/V3a+IXqHVIRLmA9o1tbo9

1	a=crypto:1 AES_CM_128_HMAC_SHA1_80 inline:BiB/IsoEyoAU5zh8DT/V3a+IXqHVIRLmA9o1tbo9

это нам говорит о том что RTP Трафик теперь шифрован.

Теперь находясь в гостинице или в кафе с ноутбуком и говоря по телефону мы будем на 100% знать что слышит нас только абонент, которому мы звоним и никакой шайтан не сможет прослушать наши вызовы. 🙂