OpenScape > OpenScape - Mobility (HiPath Wireless, HiPath MobileConnect, IP DECT)

Openstage WL3 SRTP

(1/2) > >>

Giuseppe:
Ciao a tutti,
ho la richiesta di un cliente di utilizzare srtp per il payload ( Centrale telefonica OSO ).
Parto dal presupporto che è la prima volta che mi trovo ad affrontare una richiesta del genere, mi risulta che il WL3 non
viene gestito da DLS, quindi come posso gestire l'SRTP, nel caso mi serva un certificato/chiave ?
Scusate se ho usato termini " a casaccio"

Grazie e buon lavoro
Giuseppe

Kimera:
Premesso che l'implementazioni degli OpenStage WL3 comporta molte conoscenze (non sono come i WL2!) e premesso che penso tu sappia già molto a proposito...riguardo all'impossibilità di gestire i Firmware via OpenScape DLS hai perfettamente ragione (a meno che non abbiano introdotto tale funzionalità in OpenScape DLS ultimamente...ma non credo).

Gli OpenStage WL3 and OpenStage WL3 Plus si gestiscono (ma questo dovresti già saperlo...):

(1) in locale (via USB) utilizzando l'applicativo Windows Portable Device Manager (WinPDM)
(2) in remoto (senza doverli connettere uno ad uno via USB) utilizzando l'OpenStage WL3 Wireless Service Gateway (WSG)

Nelle Sales Releases è scritto chiaramente: "First configuration is done using the Windows Portable Device Manager (WinPDM): In small systems where it's possible to collect all handsets to update settings; daily maintenance is also done by using the WinPDM. OpenStage WL3 Wireless Service Gateway (WSG) makes it possible to administrate the handsets centrally via a Web interface without the need to collect the handsets."

Il "collect the Handset" si riferisce proprio al fatto di averli a portata di mano...

Riguardo all'uso di SRTP/TLS con WinPDM (una volta che, sapendo come funziona, hai fatto il Deployment il WL3) puoi importare (Edit Certificate) e selezionare il Certificato TLS (EAP-TLS) da utilizzare (per la Network che hai definito).

Sempre con il WinPDM puoi definire di usare SIP con trasporto TLS (piuttosto che TCP o UDP): questo si gestisce in VoIP->SIP->SIP Transport->scegli "TLS" stabilendo anche l'Encryption da utilizzarsi (VoIP->General->Secure RTS Crypto->scelta) SE hai abilitato VoIP->General->Offer Secure RTP impostabdolo su “Yes“ (qui importi e validi il Root Certificate).

Penso che le prime release di WL3 (Field Trial) non avessero ancora l'abilitazione a TLS/SRTP qundi fai molta attenzione alle versioni di TUTTI i componenti coinvolti (WL3/WL3 Plus, WinPDM e WSG) e non entro nel merito dell'infrastruttura WiFi nella quale avviene il Deployment!

Molte informazioni interessanti sono anche presenti nel Wiki qui.

Saluti, Kimera.

P.S.
Curiosità: su che tipo di rete WiFi (controller) state implementando il WL3 o su quale state pensando di implementarlo? ...puoi rispondere anche via PM, no problem.

Giuseppe:
Ciao, inanzitutto grazie della risposta, nessun problema a parlarne in pubblico, nulla da nascondere, solo cose da condividere.
L'infrastruttura Wireless e relativo controller è Cisco, non gestita da noi.

Forniamo solo l'OSO è i WL3

Ora sono in questa situazione:
Ho configurato il telefono con WSG, ma non ho mai implementato una soluzione SRTP e SIP/TLS quindi ti/vi pongo subito una domanda;
Al 101% il DLS non gestisce i WL3 e la sicurezza "network" verrà data da radius/controller e certificato che mi invierà il responsabile di rete, da impostare sotto NETWORK -> SECURITY MODE -> ADVANCED ( non ho ancora verificato se è però corretto il mio ragionamento ) mentre per rendere sicura la voce, quindi utilizzare srtp ( VOIP -> GENERAL -> SRTP a YES e decido la crypto ) mi serve caricare un certificato con le caratteristiche di crypto che desidero?
Il certificato me lo può generare la centrale e poi lo carico tramite EDIT CERTIFICATE? oppure utilizzo il certificato che mi dà il responsabile della rete e lo carico su centrale OSO e client?

Ciao e grazie ancora
Giuseppe

Kimera:
Ciao Giuseppe,

Non solo al 101%, al 110% il DLS non gestisce i WL3!

Penso che SRTP usi AES come algoritmo di cifratura ed uno dei due modi di cifratura previsto per l'AES: Counter Mode / Output Feedback Mode. Oppure potrebbero avere anche implementato un Null-Cipher. Mi sembra che l'Ascom i62 implementi l'AES-CCMP (Conuter Mode, per l'esattezza Counter Mode with Cipher Block Chaining Message Authentication Code (CBC-MAC) Protocol) e quindi penso il WL3 faccia altrettanto.

Non so SE e COME avviene la eventuale negoziazione sicura (ZRTP/MIKEY?) delle chiavi per l'SRTP. Ad ogni modo SE la negoziazione sicura delle chiavi non avviene come minimo il Root Certificate sicuramente va importato tramite il WSG (o WinPDM) ed una CA Certification Authority (l'OSO in questo caso?) deve pur generarlo...il WSG può sia importare Certificati PKCS#12 che generare dei Certificati Self-Signed (qui ho un dubbio...).

Mi viene quindi da dire (anche nel Configuration Manual di Ascom per l'i62 è scritto così) che la CA che genera il certificato per il trasporto SIP sicuro deve essere il PBX (quindi, in questo caso, l'OSO) ed infatti è indicato:

"SIP Transport – defines the protocol to use for SIP signaling, either UDP, TCP or TLS. The setting TLS requires the PBX certificate to be uploaded as root certificate."

ed ancora:

"Offer Secure RTP: Note: The communication will be protected only if parameter VoIP > SIP > SIP Transport is set to "TLS". When enabled, voice is sent over Secure RTP if the other party also supports Secure RTP:

1 Select VOIP > General.
2 In the Offer Secure RTP list, select "Yes" or "No" (default)."

come indicato nel mio primo post.

Mentre per la parte EAP-TLS nel manuale del WSG (che praticamente altri non è che la rivisitazione Siemens dell'Ascom Elise 3 Linux Appliance creato da Ascom per gestire gli Ascom i62...ovvero come l'OpenStage WL3 è la rimarchiatura degli i62, il WSG è la rimarchiature dell'Elise 3) è scritto:

"Certificate(s) is used for authorizing a VoWiFi handset to access a WLAN system using Extensible Authentication Protocol (EAP). There are two types of certificates: Root certificate and Client certificate.
The VoWiFi handset using the root certificate to control if the WLAN system is trusted. If the system is trusted, the handset send its client certificate to show that it is authorized to access and log on the system.
The root certificate contains a public key and can be downloaded to the handset via Device Manager or via WinPDM. The client certificate contains both a public key and a private key and can only be downloaded to the handset via the WinPDM.

The following must be done to be able to use certificates:
- Import certificates to handset.
- Select which client certificate to use by setting a EAP client certificate parameter, see the Configuration Manual for the VoWiFi handset."

Ma non vorrei creare/crearti confusione...perchè secondo me (mi sbaglio?) ci sono più certificati in gioco (un conto è il certificato per l'EAP-TLS - root e client - per l'autenticazione sulla Rete WiFi mediante Radius Server e un conto è il certificato per la messa in sicurezza dell'RTP mediante l'SRTP).

E' interessante notare come nella documentazione (in particolare nel OpenStage WL3 System Planning, Dicembre 2012), al contrario di quello che è indicato nel medesimo manuale Ascom (Ascom VoWiFi System Planning...benchè più vecchio di un anno, Dicembre 2011) non sia nemmeno citato l'SRTP!

Saluti, Kimera.

Kimera:
Ma guarda...tra le altre cose il Siemens Enterprise Wiki non è neppure aggiornato in merito...sono alla release WSG R0.1.0 mentre è GA la R0.2.0...ora sistemo (già che ci sono preparo la pagina OpenStage WL3 interoperability matrix che non fa mai male).

Saluti, Kimera.

Navigation

[0] Message Index

[#] Next page