Комментарии 11
Как вы оцениваете результат вашей работы сегодня, 10 лет спустя?
Стоит отметить, что моя работа здесь — это лишь перевод и публикация (если под «вашей работой» вы имели ввиду, непосредственно, сравнение). Однако, как отмечено в предисловии, с момента моего первого знакомства с оригиналом, я поработал с обоими подходами, и поэтому, некоторые мысли на этот счёт у меня всё же есть.
На сегодняшний день, я вижу, что преимущество TLS/SRTP, обоснованное в статье, если не увеличилось, то как минимум сохранилось на том же уровне. Мне так же не известно ни об одном VoIP-приложении интегрирующим IPsec. Ещё можно сказать о том, что если от безопасности SIP нам требуется только защита процесса согласования ключей, то TLS заменяется на ZRTP, что значительно упрощает разработку.
Однако, если задача поставлена чуть шире, и требуется обеспечить безопасность не только VoIP, но и в принципе любых данных передаваемых по IP, то тут вполне обоснованно можно использовать IPsec (как отдельное приложение), поскольку он, в том числе, закроет и VoIP.
К примеру, мы делали такую вещь: на серверную машину ставили Asterisk и IPsec-реализацию — StrongSwan; на клиентские Android-устройства ставили VoIP-звонилки — CSipSimple и клиентский StrongSwan. Сначала клиенты поднимают туннель с сервером через StrongSwan, а после общаются через CSipSimple, в результате весь SIP/RTP оказывается закрыт IPsec'ом. В то же время, можно выкинуть StrongSwan и настоить в CSipSimple защиту ZRTP/SRTP. Получим тот же результат.
На сегодняшний день, я вижу, что преимущество TLS/SRTP, обоснованное в статье, если не увеличилось, то как минимум сохранилось на том же уровне. Мне так же не известно ни об одном VoIP-приложении интегрирующим IPsec. Ещё можно сказать о том, что если от безопасности SIP нам требуется только защита процесса согласования ключей, то TLS заменяется на ZRTP, что значительно упрощает разработку.
Однако, если задача поставлена чуть шире, и требуется обеспечить безопасность не только VoIP, но и в принципе любых данных передаваемых по IP, то тут вполне обоснованно можно использовать IPsec (как отдельное приложение), поскольку он, в том числе, закроет и VoIP.
К примеру, мы делали такую вещь: на серверную машину ставили Asterisk и IPsec-реализацию — StrongSwan; на клиентские Android-устройства ставили VoIP-звонилки — CSipSimple и клиентский StrongSwan. Сначала клиенты поднимают туннель с сервером через StrongSwan, а после общаются через CSipSimple, в результате весь SIP/RTP оказывается закрыт IPsec'ом. В то же время, можно выкинуть StrongSwan и настоить в CSipSimple защиту ZRTP/SRTP. Получим тот же результат.
А почему на картинках все на английском?
Как насчет освещения вопроса о том, что законодательно SRTP вообще запрещен к использованию в России и устройства поставляемые в Россию официально идут с отключенным SRTP?
Если честно, то я плохо осведомлён о том, как обстоят дела в России, поскольку сам живу и работаю в Беларуси, а у нас с этим пока всё в порядке. Где-то полтора года назад я слышал о проблемах в зашифрованным VoIP'ом, но о том, что SRTP запрещён законодательно слышу впервые.
А в чём там собственно проблема? В неиспользовании национальной крипты, или что-то другое?
А в чём там собственно проблема? В неиспользовании национальной крипты, или что-то другое?
Да я бы и сам бы рад был узнать точно, потому что это именно то, что знатно меня удивило при исследовании вопроса — а как бы нам зашифровать войс — то что во всех официальных устройствах поставляемых в россию эта функция отключена в прошивке, и это в принципе получается довольно шатким шагом. все PBX без SRTP, все хардварные устройства без SRTP, слишком много надо городить чтобы включить это все.
А в Беларуси с Voip точно все в порядке? По моей информации VoIP работает только внутри страны. Не знаю на законодательном ли уровне, но похоже запрет все же есть.
Вот как сейчас обстоят дела:
Таким образом, указ не коснется звонков между мессенджерами, однако, например, для возможности совершения звонка из Беларуси через Skype на городские/международные номера, мессенджеру придется заключить договор с оператором.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
IPsec vs TLS/SRTP в обеспечении безопасности VoIP