VoIP im DFNFernsprechenVoIP im DFNFernsprechenBetriebstagung DFN-Verein
15.03.2011, 14:30 – 15:00 Uhr
Torsten Remscheid
14.3.2011U. Hautzendorfer / VoIP im DFN Fernsprechen 1
VoIP im DFNFernsprechen AgendaAgenda
1 VoIP-Anschluss im DFNFernsprechen, Übersicht
2 Seit 2006 stabiler Betrieb, das Redundanzkonzept
3 Leistungsmerkmale
1 VoIP Anschluss im DFNFernsprechen, Übersicht
3 Leistungsmerkmale
4 VoIP-Verschlüsselung
sRTP – sichere Audio/Vidoübertragung
TLS - Verschlüsselung SIP-Signalisierung
sRTP sichere Audio/Vidoübertragung
14.3.2011U. Hautzendorfer / VoIP im DFN Fernsprechen 2
VoIP im DFNFernsprechen 1. VoIP-Anschluss im DFNFernsprechen, Übersichtp ,
ternet
Hochschule DFN-Verein T-Systems
PSTNDFN
Int
EC 50
VoIP-
TelefonSS7
MSPa/b-
VoIP
PBX
X-WiN PSTNMSPTelefon
Media
Gwy
X WiN
Breakout
Breakin
Connect
14.3.2011U. Hautzendorfer / VoIP im DFN Fernsprechen 3
VoIP im DFNFernsprechen 2. Seit 2006 stabiler Betrieb, das Redundanzkonzept, p
Hochschule DFN-Verein T-Systems
N Internet
VoIP-
TelefonV IP
PSTNDF
EC 50
EC 50
SS7
SS7MSPa/b-
Telefon
Media
VoIP
PBX
X-WiNKN A
KN BMedia
Gwy
Alle Baugruppen 1+1
Line Cards n+1
Kanten- und
Knotendisjunkte
Wegeführung
Kanten- und
Knotendisjunkte
Wegeführung
N-fache
Anbindung
zum PSTN
31 03 2011
Wegeführung Wegeführung zum PSTN
14.3.2011U. Hautzendorfer / VoIP im DFN Fernsprechen 4
31.03.2011
4
VoIP im DFNFernsprechen 2. Redundanzkonzept: Anforderungen Designp g g
IP-PBX
POP
proxy 2VG
IP-PBX
p y
POP
Proxy 1VG
14.3.2011U. Hautzendorfer / VoIP im DFN Fernsprechen 5
VoIP im DFNFernsprechen 3. Leistungsmerkmale, unterstützte Standards
Audio Codecs Anforderung IP Anforderung Security Authorisierung
3. Leistungsmerkmale, unterstützte Standards
G.711a-law
G 729a
UDP
private und überlappende Kunden-Adressbereiche
g
Trennung der einzelnen Kunden
pro Kunden-PBX ein
g y
keine Registrierung
kein TLS
trusted Umgebung (SIP-
g
G.729a
T.38 (G3 Fax) feste IP, d.h.kein Domänen-konzept
SIP-Trunk
Firewallfunktionalität/Netztrennung
trusted Umgebung (SIPIP kann vertraut werden)
p-asserted-identity als Feld für rechtliche
z.Z. nicht nachgefragt:
G.711mu-law
G.729ab
Belange
A-number-screening erforderlich
hohe Anzahl vonhohe Anzahl von Durchwahlblöcken
14.3.2011U. Hautzendorfer / VoIP im DFN Fernsprechen 6
VoIP im DFNFernsprechen 3. Leistungsmerkmale, unterstützte Standards
SIP Adressierung Anforderung Features Anforderung SDP MediaTypes / Transcoding
3. Leistungsmerkmale, unterstützte Standards
SIP-URI mit
rufnummer@ip-adresse
g
OIP (CLIP)
OIR (CLIR)
Transfer/ Forwarding
g
early/ late offerCUCM mit late offer
early media
g
Codecs
G.711 a-law
G 729arufnummer@ip adresse
SIP Headerinfos mit
p-asserted-id
Transfer/ Forwarding
SIP-Ping
session timer
(für Ansagen)G.729a
T.38 Version 0+1
Codec-Aushandlung („Honor Remote p asserted id
diversionPrecedence)
Payload size
20 ms (Standard)
10, 30, 40 auf Wunsch
kein VAD
C ll Ad i i C t lCall Admission Control
14.3.2011U. Hautzendorfer / VoIP im DFN Fernsprechen 7
VoIP im DFNFernsprechen 3. Leistungsmerkmale, unterstützte Standards
RufNr Formate Anforderung Physik Projektbezogen
3. Leistungsmerkmale, unterstützte Standards
Media Attribute
Call-by-Call
+4910 ....
Preselection
MGW/VG
Echo Cancelation G.168
dynamic jitter buffer
g y
Clear Channel
Media type video
Kunde-zu-Kunde-
j g
inactive
sendonly Preselection
Emergency Calls
+49110 / 110
dynamic jitter buffer Kunde zu KundeKommunikation
Nicht portierte Rufnummern
sendonly
reconly
sendrec
49110 / 110
Behördenruf
+49115 / 115
international Servicesbislang nicht realisiert:M di id
DTMF RFC 2833, payload type 100/101
+800 ...Media type video
14.3.2011U. Hautzendorfer / VoIP im DFN Fernsprechen 8
VoIP im DFNFernsprechen 4. VoIP-Verschlüsselungg
Hochschule DFN-Verein T-Systems
N Internet
VoIP-
TelefonV IP
PSTNDF
EC 50
EC 50
SS7
SS7MSPa/b-
Telefon
Media
VoIP
PBX
X-WiN
SBC
Media
Gwy
SBC
(ACME)
Zertifakate-Server TLS
(nur bei Bedarf zur
Schlüsselverwaltung,
vorerst bei DFN nur ein
Schlüssel)
sRTP
14.3.2011U. Hautzendorfer / VoIP im DFN Fernsprechen 9
VoIP im DFNFernsprechen 4. Secure Real Time Protocol (sRTP) – Header format( )
RTP Packet Format (RFC 3550) sRTP Packet Format (RFC 3711)
32 Bit 32 Bit
RTP Packet Format (RFC 3550) sRTP Packet Format (RFC 3711)
V P X CC M PT Sequence Number
Timestamp
V P X CC M PT Sequence Number
Timestamp
Synchronization Source (SSRC) Identifier
Contributing Source (CSRC) Identifier
Synchronization Source (SSRC) Identifier
Contributing Source (CSRC) Identifier
nticated Portion
Encrypted Payload
RTP Header Extensions (optional)
Authen
Payload
RTP Header Extensions (optional)
SRTP Master Key Identifier (SRTP MKI) - optional
Authentication Tag - recommended
14.3.2011U. Hautzendorfer / VoIP im DFN Fernsprechen 10
VoIP im DFNFernsprechen 4. (sRTP) – Key Management mit sDescription (SDP)( ) y g p ( )
sRTPMaster KeyMaster Salt
SBCIP-PBX
sRTP
SHA 1 S i K fü A th tifi i RTP P k t
PBX
SHA-1 Session Keys AES Session Keys
für Authentifizierung RTP Pakete für Payload Verschlüsselung
SDP: SDescription (RFC 4568)
a=crypto:1 AES CM 128 HMAC SHA1 80 inline:YUJDZGVmZ2hpSktMbW9QUXJzVHVWd3l6MTIzNDU2|2ˆ20|1:32a=crypto:1 AES_CM_128_HMAC_SHA1_80 inline:YUJDZGVmZ2hpSktMbW9QUXJzVHVWd3l6MTIzNDU2|2 20|1:32
a= crypto: <tag> <crypto-suite> <key-params>[session-paramsFazit
14.3.2011U. Hautzendorfer / VoIP im DFN Fernsprechen 11
Aus Datenschutzgründen wurde das automatische Herunterladen dieser externen Grafik von PowerPoint verhindert. Klicken Sie auf der Statusleiste auf 'Optionen', und klicken Sie dann auf 'Externe Inhalte aktiv ieren', um diese Grafik herunterzuladen und anzuzeigen.
VoIP im DFNFernsprechen 4. TLS – Verschlüsselung des SIP-Trunksg
CA Version, Seriennummer
Al i h IDZertifikat
SBCIP-PBX
X509v3 Algorithmen-ID
Aussteller
Gültigkeit (von / bis)
Z tifik ti h b
Zertifikaterstellen
PBX
Zertifikat
Zertifikatinhaber
Zertifikatinhaber-Schlüsselinfo
Public-Key-Algorithmus
Public Key des Zertifikatinhabers
SIP via TLS
Public Key des Zertifikatinhabers
Eindeutige ID des Ausstellers (opt. )
Eindeutige ID des Inhabers (opt.)
ErweiterungenCipher Suite (RFC 2246) Erweiterungen
…
Zertifikat-Signaturalgorithmus
Zertifikat-Signatur
Schlüsselaustausch + Authentifizierung: RSAHashfunktion: SHAVerschlüsselung: AES
Kompression? Zertifikat Signatur Kompression?
Schlüsselinformation
14.3.2011U. Hautzendorfer / VoIP im DFN Fernsprechen 12
VoIP im DFNFernsprechen 4. TLS Handshake Protokoll
Phase 1 – Festlegen der SicherheitsressourcenPhase 1 – Festlegen der Sicherheitsressourcen
private key client
public key client
private key server
public key server
private key client private key server
Erzeugen einer Zufallszahl Rc
client_hello (Crypto-Info)Crypto-Information Client• Parameter Version, • Zufallszahl Rc, • Sitzungsnr., Chiff i d d Erzeugen einer Zufallszahl Rs• Chiffriermodus und
• Kompressionsmethode
Erzeugen einer Zufallszahl Rs
Crypto-Information Server• Parameter Version, • Zufallszahl Rs,
server_hello (Crypto-Info)
Client Server
• Sitzungsnr., • Chiffriermodus und • Kompressionsmethode
14.3.2011U. Hautzendorfer / VoIP im DFN Fernsprechen 13
VoIP im DFNFernsprechen 4. TLS Handshake Protokoll
Phase 2 – Server AuthentifizierungPhase 2 – Server Authentifizierung
private key client
public key client
private key server
public key server
server_certificat (ink. )
Überprüfen des Server Zertifikates
private key client private key server
Demant client certificatMutual Authentication (Optional )
Überprüfen des Server Zertifikates
client_certificat (inkl. )
client certificat verschlüsselt mit
Überprüfen des Client Zertifikates
Client Server
Überprüfen des verschlüsselten Client Zertifikates
14.3.2011U. Hautzendorfer / VoIP im DFN Fernsprechen 14
VoIP im DFNFernsprechen 4. TLS Handshake Protokoll
Phase 3 – Client Authentifizierung und SchlüsseltauschPhase 3 – Client Authentifizierung und Schlüsseltausch
private key client
public key client
private key server
public key server
Erzeugen des random number ( )
client key exchange RNpms verschlüsselt mit
private key client private key server
pre-master secret (RNpms) mit
Erzeugen des master secrets (MS)einmaliger Session Key
Erzeugen des master secrets (MS)einmaliger Session Key
Change to encrypted connectiong yp
Change to encrypted connection
End SSL handshake
Client Server
End SSL handshake
14.3.2011U. Hautzendorfer / VoIP im DFN Fernsprechen 15
Top Related