SRTP

Zuletzt aktualisiert : Apr 26, 2024 |

Das Secure Real-Time Transport Protocol (SRTP) dient zur zusätzlichen Verschlüsselung oder Authentifizierung bei VoIP-Anrufen (SIP und H.323). IP Office kann SRTP auf Anrufe zwischen Telefonen, zwischen dem Anfangs- und Endpunkt einer IP-Amtsleitung oder in zahlreichen anderen Kombinationen anwenden.

IP Office unterstützt:

  • Individuelle Konfiguration für RTP- und RTCP-Authentifizierung und -Verschlüsselung

  • HMAC SHA1 als Authentifizierungsalgorithmus

  • AES-CM als Verschlüsselungsalgorithmus

  • 80 Bit- (Standard) oder 32-Bit-Authentifizierungs-Tag

  • Schlüssellänge von 128 Bit

  • Salt-Länge von 112 Bit

Sie können die Verwendung von SRTP auf Systemebene konfigurieren. Die Optionen sind Best Effort oder Erzwungen. Die empfohlene Einstellung ist Best Effort. In diesem Szenario verwendet IP Office SRTP, wenn es vom anderen Ende unterstützt wird. Bei Verwendung von Erzwungen lässt IP Office den Anruf nicht zu, wenn das andere Ende SRTP nicht unterstützt.

Sie können bei Bedarf verschiedene SRTP-Einstellungen für einzelne Querverbindungen und Nebenstellen festlegen. IP Office unterstützt SRTP auf SIP-Leitungen, SM-Leitungen und IP Office-Leitungen.

Verschlüsseltes RTCP

IP Office unterstützt standardmäßig unverschlüsselte RTCP. Sie können bei Bedarf verschlüsselte RTCP konfigurieren.

Bei SRTP-Anrufen, bei denen ein Ende verschlüsseltes RTCP verwendet und das andere unverschlüsselte, kann der Anruf keine Direktverbindungen verwenden. Stattdessen stellt IP Office SRTP-Relay für den Anruf bereit.

Authentifizierung

IP Office unterstützt die Anwendung von Authentifizierung auf die Sprach- (RTP) und/oder Steuersignalteile (RTCP) eines Anrufs. IP Office wendet die Authentifizierung nach der Verschlüsselung an. Dies ermöglicht die Authentifizierung am Remote-Ende, bevor sie entschlüsselt werden muss.

  • Für den ersten Austausch von Authentifizierungsschlüsseln während der Anrufeinrichtung verwendet IP Office SDESC für SIP-Anrufe und H235.8 für H.323-Anrufe.

  • IP Office unterstützt SRTP nur dann, wenn eine weitere Methode, wie z. B. TLS oder ein VPN-Tunnel, verwendet wird, um vor dem Verbindungsaufbau einen sicheren Datenpfad einzurichten.

  • Bei einem Replay-Angriff (Angriff durch Wiedereinspielung) versucht der Angreifer, Pakete abzufangen und diese für einen Denial-of-Service-Angriff oder einen unbefugten Zugriff auf Systeme zu nutzen. Der Schutz vor Replay-Angriffen zeichnet die Sequenz der erhaltenen Pakete auf. Alle RTP- und RTCP-Pakete im Anrufstream haben eine fortlaufende Indexnummer. Die Pakete können jedoch in nicht aufeinanderfolgender Reihenfolge ankommen.

    IP Office schützt vor Replay-Angriffen, indem es ein sich bewegendes Replay-Fenster verwendet, dass die Indexnummern der letzten 64 authentifizierten Pakete, die empfangen wurden oder die erwartet werden, enthält. Dies verwenden

    • IP Office akzeptiert nur Pakete mit einem Index vor oder innerhalb des Replay-Fensters.

      IP Office lehnt zuvor empfangene Pakete ab.

  • Beim Rekeying werden während einer sicheren Anrufverbindung nach einem festgelegten Intervall neue Authentifizierungsschlüssel gesendet. IP Office unterstützt kein Rekeying, sondern sendet Authentifizierungsschlüssel zu Beginn des Anrufs.

Notrufe

IP Office ermöglicht Notrufe von einer Nebenstelle, unabhängig von den SRTP-Anforderungen und dem Support.

SRTP-Anzeige

Die SRTP-Anrufanzeige hängt vom Telefonmodell ab. Die Anwendungen System Status Application und SysMonitor können Details zu SRTP-Anrufen anzeigen.

Related information
Sicherheitsverwaltung