VoIP im DFNFernsprechenVoIP im DFNFernsprechen€¦ · VoIP im DFNFernsprechenVoIP im...

15
VoIP im DFNFernsprechen VoIP im DFNFernsprechen Betriebstagung DFN-Verein 15.03.2011, 14:30 – 15:00 Uhr Torsten Remscheid 14.3.2011 U. Hautzendorfer / VoIP im DFN Fernsprechen 1

Transcript of VoIP im DFNFernsprechenVoIP im DFNFernsprechen€¦ · VoIP im DFNFernsprechenVoIP im...

Page 1: VoIP im DFNFernsprechenVoIP im DFNFernsprechen€¦ · VoIP im DFNFernsprechenVoIP im DFNFernsprechen Betriebstagung DFN-Verein 15.03.2011, 14:30 – 15:00 Uhr Torsten Remscheid U.

VoIP im DFNFernsprechenVoIP im DFNFernsprechenBetriebstagung DFN-Verein

15.03.2011, 14:30 – 15:00 Uhr

Torsten Remscheid

14.3.2011U. Hautzendorfer / VoIP im DFN Fernsprechen 1

Page 2: VoIP im DFNFernsprechenVoIP im DFNFernsprechen€¦ · VoIP im DFNFernsprechenVoIP im DFNFernsprechen Betriebstagung DFN-Verein 15.03.2011, 14:30 – 15:00 Uhr Torsten Remscheid U.

VoIP im DFNFernsprechen AgendaAgenda

1 VoIP-Anschluss im DFNFernsprechen, Übersicht

2 Seit 2006 stabiler Betrieb, das Redundanzkonzept

3 Leistungsmerkmale

1 VoIP Anschluss im DFNFernsprechen, Übersicht

3 Leistungsmerkmale

4 VoIP-Verschlüsselung

sRTP – sichere Audio/Vidoübertragung

TLS - Verschlüsselung SIP-Signalisierung

sRTP sichere Audio/Vidoübertragung

14.3.2011U. Hautzendorfer / VoIP im DFN Fernsprechen 2

Page 3: VoIP im DFNFernsprechenVoIP im DFNFernsprechen€¦ · VoIP im DFNFernsprechenVoIP im DFNFernsprechen Betriebstagung DFN-Verein 15.03.2011, 14:30 – 15:00 Uhr Torsten Remscheid U.

VoIP im DFNFernsprechen 1. VoIP-Anschluss im DFNFernsprechen, Übersichtp ,

ternet

Hochschule DFN-Verein T-Systems

PSTNDFN

Int

EC 50

VoIP-

TelefonSS7

MSPa/b-

VoIP

PBX

X-WiN PSTNMSPTelefon

Media

Gwy

X WiN

Breakout

Breakin

Connect

14.3.2011U. Hautzendorfer / VoIP im DFN Fernsprechen 3

Page 4: VoIP im DFNFernsprechenVoIP im DFNFernsprechen€¦ · VoIP im DFNFernsprechenVoIP im DFNFernsprechen Betriebstagung DFN-Verein 15.03.2011, 14:30 – 15:00 Uhr Torsten Remscheid U.

VoIP im DFNFernsprechen 2. Seit 2006 stabiler Betrieb, das Redundanzkonzept, p

Hochschule DFN-Verein T-Systems

N Internet

VoIP-

TelefonV IP

PSTNDF

EC 50

EC 50

SS7

SS7MSPa/b-

Telefon

Media

VoIP

PBX

X-WiNKN A

KN BMedia

Gwy

Alle Baugruppen 1+1

Line Cards n+1

Kanten- und

Knotendisjunkte

Wegeführung

Kanten- und

Knotendisjunkte

Wegeführung

N-fache

Anbindung

zum PSTN

31 03 2011

Wegeführung Wegeführung zum PSTN

14.3.2011U. Hautzendorfer / VoIP im DFN Fernsprechen 4

31.03.2011

4

Page 5: VoIP im DFNFernsprechenVoIP im DFNFernsprechen€¦ · VoIP im DFNFernsprechenVoIP im DFNFernsprechen Betriebstagung DFN-Verein 15.03.2011, 14:30 – 15:00 Uhr Torsten Remscheid U.

VoIP im DFNFernsprechen 2. Redundanzkonzept: Anforderungen Designp g g

IP-PBX

POP

proxy 2VG

IP-PBX

p y

POP

Proxy 1VG

14.3.2011U. Hautzendorfer / VoIP im DFN Fernsprechen 5

Page 6: VoIP im DFNFernsprechenVoIP im DFNFernsprechen€¦ · VoIP im DFNFernsprechenVoIP im DFNFernsprechen Betriebstagung DFN-Verein 15.03.2011, 14:30 – 15:00 Uhr Torsten Remscheid U.

VoIP im DFNFernsprechen 3. Leistungsmerkmale, unterstützte Standards

Audio Codecs Anforderung IP Anforderung Security Authorisierung

3. Leistungsmerkmale, unterstützte Standards

G.711a-law

G 729a

UDP

private und überlappende Kunden-Adressbereiche

g

Trennung der einzelnen Kunden

pro Kunden-PBX ein

g y

keine Registrierung

kein TLS

trusted Umgebung (SIP-

g

G.729a

T.38 (G3 Fax) feste IP, d.h.kein Domänen-konzept

SIP-Trunk

Firewallfunktionalität/Netztrennung

trusted Umgebung (SIPIP kann vertraut werden)

p-asserted-identity als Feld für rechtliche

z.Z. nicht nachgefragt:

G.711mu-law

G.729ab

Belange

A-number-screening erforderlich

hohe Anzahl vonhohe Anzahl von Durchwahlblöcken

14.3.2011U. Hautzendorfer / VoIP im DFN Fernsprechen 6

Page 7: VoIP im DFNFernsprechenVoIP im DFNFernsprechen€¦ · VoIP im DFNFernsprechenVoIP im DFNFernsprechen Betriebstagung DFN-Verein 15.03.2011, 14:30 – 15:00 Uhr Torsten Remscheid U.

VoIP im DFNFernsprechen 3. Leistungsmerkmale, unterstützte Standards

SIP Adressierung Anforderung Features Anforderung SDP MediaTypes / Transcoding

3. Leistungsmerkmale, unterstützte Standards

SIP-URI mit

rufnummer@ip-adresse

g

OIP (CLIP)

OIR (CLIR)

Transfer/ Forwarding

g

early/ late offerCUCM mit late offer

early media

g

Codecs

G.711 a-law

G 729arufnummer@ip adresse

SIP Headerinfos mit

p-asserted-id

Transfer/ Forwarding

SIP-Ping

session timer

(für Ansagen)G.729a

T.38 Version 0+1

Codec-Aushandlung („Honor Remote p asserted id

diversionPrecedence)

Payload size

20 ms (Standard)

10, 30, 40 auf Wunsch

kein VAD

C ll Ad i i C t lCall Admission Control

14.3.2011U. Hautzendorfer / VoIP im DFN Fernsprechen 7

Page 8: VoIP im DFNFernsprechenVoIP im DFNFernsprechen€¦ · VoIP im DFNFernsprechenVoIP im DFNFernsprechen Betriebstagung DFN-Verein 15.03.2011, 14:30 – 15:00 Uhr Torsten Remscheid U.

VoIP im DFNFernsprechen 3. Leistungsmerkmale, unterstützte Standards

RufNr Formate Anforderung Physik Projektbezogen

3. Leistungsmerkmale, unterstützte Standards

Media Attribute

Call-by-Call

+4910 ....

Preselection

MGW/VG

Echo Cancelation G.168

dynamic jitter buffer

g y

Clear Channel

Media type video

Kunde-zu-Kunde-

j g

inactive

sendonly Preselection

Emergency Calls

+49110 / 110

dynamic jitter buffer Kunde zu KundeKommunikation

Nicht portierte Rufnummern

sendonly

reconly

sendrec

49110 / 110

Behördenruf

+49115 / 115

international Servicesbislang nicht realisiert:M di id

DTMF RFC 2833, payload type 100/101

+800 ...Media type video

14.3.2011U. Hautzendorfer / VoIP im DFN Fernsprechen 8

Page 9: VoIP im DFNFernsprechenVoIP im DFNFernsprechen€¦ · VoIP im DFNFernsprechenVoIP im DFNFernsprechen Betriebstagung DFN-Verein 15.03.2011, 14:30 – 15:00 Uhr Torsten Remscheid U.

VoIP im DFNFernsprechen 4. VoIP-Verschlüsselungg

Hochschule DFN-Verein T-Systems

N Internet

VoIP-

TelefonV IP

PSTNDF

EC 50

EC 50

SS7

SS7MSPa/b-

Telefon

Media

VoIP

PBX

X-WiN

SBC

Media

Gwy

SBC

(ACME)

Zertifakate-Server TLS

(nur bei Bedarf zur

Schlüsselverwaltung,

vorerst bei DFN nur ein

Schlüssel)

sRTP

14.3.2011U. Hautzendorfer / VoIP im DFN Fernsprechen 9

Page 10: VoIP im DFNFernsprechenVoIP im DFNFernsprechen€¦ · VoIP im DFNFernsprechenVoIP im DFNFernsprechen Betriebstagung DFN-Verein 15.03.2011, 14:30 – 15:00 Uhr Torsten Remscheid U.

VoIP im DFNFernsprechen 4. Secure Real Time Protocol (sRTP) – Header format( )

RTP Packet Format (RFC 3550) sRTP Packet Format (RFC 3711)

32 Bit 32 Bit

RTP Packet Format (RFC 3550) sRTP Packet Format (RFC 3711)

V P X CC M PT Sequence Number

Timestamp

V P X CC M PT Sequence Number

Timestamp

Synchronization Source (SSRC) Identifier

Contributing Source (CSRC) Identifier

Synchronization Source (SSRC) Identifier

Contributing Source (CSRC) Identifier

nticated Portion

Encrypted Payload

RTP Header Extensions (optional)

Authen

Payload

RTP Header Extensions (optional)

SRTP Master Key Identifier (SRTP MKI) - optional

Authentication Tag - recommended

14.3.2011U. Hautzendorfer / VoIP im DFN Fernsprechen 10

Page 11: VoIP im DFNFernsprechenVoIP im DFNFernsprechen€¦ · VoIP im DFNFernsprechenVoIP im DFNFernsprechen Betriebstagung DFN-Verein 15.03.2011, 14:30 – 15:00 Uhr Torsten Remscheid U.

VoIP im DFNFernsprechen 4. (sRTP) – Key Management mit sDescription (SDP)( ) y g p ( )

sRTPMaster KeyMaster Salt

SBCIP-PBX

sRTP

SHA 1 S i K fü A th tifi i RTP P k t

PBX

SHA-1 Session Keys AES Session Keys

für Authentifizierung RTP Pakete für Payload Verschlüsselung

SDP: SDescription (RFC 4568)

a=crypto:1 AES CM 128 HMAC SHA1 80 inline:YUJDZGVmZ2hpSktMbW9QUXJzVHVWd3l6MTIzNDU2|2ˆ20|1:32a=crypto:1 AES_CM_128_HMAC_SHA1_80 inline:YUJDZGVmZ2hpSktMbW9QUXJzVHVWd3l6MTIzNDU2|2 20|1:32

a= crypto: <tag> <crypto-suite> <key-params>[session-paramsFazit

14.3.2011U. Hautzendorfer / VoIP im DFN Fernsprechen 11

Page 12: VoIP im DFNFernsprechenVoIP im DFNFernsprechen€¦ · VoIP im DFNFernsprechenVoIP im DFNFernsprechen Betriebstagung DFN-Verein 15.03.2011, 14:30 – 15:00 Uhr Torsten Remscheid U.

Aus Datenschutzgründen wurde das automatische Herunterladen dieser externen Grafik von PowerPoint verhindert. Klicken Sie auf der Statusleiste auf 'Optionen', und klicken Sie dann auf 'Externe Inhalte aktiv ieren', um diese Grafik herunterzuladen und anzuzeigen.

VoIP im DFNFernsprechen 4. TLS – Verschlüsselung des SIP-Trunksg

CA Version, Seriennummer

Al i h IDZertifikat

SBCIP-PBX

X509v3 Algorithmen-ID

Aussteller

Gültigkeit (von / bis)

Z tifik ti h b

Zertifikaterstellen

PBX

Zertifikat

Zertifikatinhaber

Zertifikatinhaber-Schlüsselinfo

Public-Key-Algorithmus

Public Key des Zertifikatinhabers

SIP via TLS

Public Key des Zertifikatinhabers

Eindeutige ID des Ausstellers (opt. )

Eindeutige ID des Inhabers (opt.)

ErweiterungenCipher Suite (RFC 2246) Erweiterungen

Zertifikat-Signaturalgorithmus

Zertifikat-Signatur

Schlüsselaustausch + Authentifizierung: RSAHashfunktion: SHAVerschlüsselung: AES

Kompression? Zertifikat Signatur Kompression?

Schlüsselinformation

14.3.2011U. Hautzendorfer / VoIP im DFN Fernsprechen 12

Page 13: VoIP im DFNFernsprechenVoIP im DFNFernsprechen€¦ · VoIP im DFNFernsprechenVoIP im DFNFernsprechen Betriebstagung DFN-Verein 15.03.2011, 14:30 – 15:00 Uhr Torsten Remscheid U.

VoIP im DFNFernsprechen 4. TLS Handshake Protokoll

Phase 1 – Festlegen der SicherheitsressourcenPhase 1 – Festlegen der Sicherheitsressourcen

private key client

public key client

private key server

public key server

private key client private key server

Erzeugen einer Zufallszahl Rc

client_hello (Crypto-Info)Crypto-Information Client• Parameter Version, • Zufallszahl Rc, • Sitzungsnr., Chiff i d d Erzeugen einer Zufallszahl Rs• Chiffriermodus und

• Kompressionsmethode

Erzeugen einer Zufallszahl Rs

Crypto-Information Server• Parameter Version, • Zufallszahl Rs,

server_hello (Crypto-Info)

Client Server

• Sitzungsnr., • Chiffriermodus und • Kompressionsmethode

14.3.2011U. Hautzendorfer / VoIP im DFN Fernsprechen 13

Page 14: VoIP im DFNFernsprechenVoIP im DFNFernsprechen€¦ · VoIP im DFNFernsprechenVoIP im DFNFernsprechen Betriebstagung DFN-Verein 15.03.2011, 14:30 – 15:00 Uhr Torsten Remscheid U.

VoIP im DFNFernsprechen 4. TLS Handshake Protokoll

Phase 2 – Server AuthentifizierungPhase 2 – Server Authentifizierung

private key client

public key client

private key server

public key server

server_certificat (ink. )

Überprüfen des Server Zertifikates

private key client private key server

Demant client certificatMutual Authentication (Optional )

Überprüfen des Server Zertifikates

client_certificat (inkl. )

client certificat verschlüsselt mit

Überprüfen des Client Zertifikates

Client Server

Überprüfen des verschlüsselten Client Zertifikates

14.3.2011U. Hautzendorfer / VoIP im DFN Fernsprechen 14

Page 15: VoIP im DFNFernsprechenVoIP im DFNFernsprechen€¦ · VoIP im DFNFernsprechenVoIP im DFNFernsprechen Betriebstagung DFN-Verein 15.03.2011, 14:30 – 15:00 Uhr Torsten Remscheid U.

VoIP im DFNFernsprechen 4. TLS Handshake Protokoll

Phase 3 – Client Authentifizierung und SchlüsseltauschPhase 3 – Client Authentifizierung und Schlüsseltausch

private key client

public key client

private key server

public key server

Erzeugen des random number ( )

client key exchange RNpms verschlüsselt mit

private key client private key server

pre-master secret (RNpms) mit

Erzeugen des master secrets (MS)einmaliger Session Key

Erzeugen des master secrets (MS)einmaliger Session Key

Change to encrypted connectiong yp

Change to encrypted connection

End SSL handshake

Client Server

End SSL handshake

14.3.2011U. Hautzendorfer / VoIP im DFN Fernsprechen 15