Author Topic: Openstage WL3 SRTP  (Read 20318 times)

0 Members and 1 Guest are viewing this topic.

Offline Giuseppe

  • Newbie
  • *
  • Posts: 41
  • Karma: +0/-0
    • View Profile
Openstage WL3 SRTP
« on: September 17, 2013, 04:15:30 pm »
Ciao a tutti,
ho la richiesta di un cliente di utilizzare srtp per il payload ( Centrale telefonica OSO ).
Parto dal presupporto che è la prima volta che mi trovo ad affrontare una richiesta del genere, mi risulta che il WL3 non
viene gestito da DLS, quindi come posso gestire l'SRTP, nel caso mi serva un certificato/chiave ?
Scusate se ho usato termini " a casaccio"

Grazie e buon lavoro
Giuseppe

Offline Kimera

  • Global Moderator
  • Hero Member
  • ****
  • Posts: 1.196
  • Karma: +42/-3
  • Kimera (Ars Gratia Artis)
    • View Profile
    • SIEMENS Enterprise Wiki
Re: Openstage WL3 SRTP
« Reply #1 on: September 18, 2013, 09:13:55 am »
Premesso che l'implementazioni degli OpenStage WL3 comporta molte conoscenze (non sono come i WL2!) e premesso che penso tu sappia già molto a proposito...riguardo all'impossibilità di gestire i Firmware via OpenScape DLS hai perfettamente ragione (a meno che non abbiano introdotto tale funzionalità in OpenScape DLS ultimamente...ma non credo).

Gli OpenStage WL3 and OpenStage WL3 Plus si gestiscono (ma questo dovresti già saperlo...):

(1) in locale (via USB) utilizzando l'applicativo Windows Portable Device Manager (WinPDM)
(2) in remoto (senza doverli connettere uno ad uno via USB) utilizzando l'OpenStage WL3 Wireless Service Gateway (WSG)

Nelle Sales Releases è scritto chiaramente: "First configuration is done using the Windows Portable Device Manager (WinPDM): In small systems where it's possible to collect all handsets to update settings; daily maintenance is also done by using the WinPDM. OpenStage WL3 Wireless Service Gateway (WSG) makes it possible to administrate the handsets centrally via a Web interface without the need to collect the handsets."

Il "collect the Handset" si riferisce proprio al fatto di averli a portata di mano...

Riguardo all'uso di SRTP/TLS con WinPDM (una volta che, sapendo come funziona, hai fatto il Deployment il WL3) puoi importare (Edit Certificate) e selezionare il Certificato TLS (EAP-TLS) da utilizzare (per la Network che hai definito).

Sempre con il WinPDM puoi definire di usare SIP con trasporto TLS (piuttosto che TCP o UDP): questo si gestisce in VoIP->SIP->SIP Transport->scegli "TLS" stabilendo anche l'Encryption da utilizzarsi (VoIP->General->Secure RTS Crypto->scelta) SE hai abilitato VoIP->General->Offer Secure RTP impostabdolo su “Yes“ (qui importi e validi il Root Certificate).

Penso che le prime release di WL3 (Field Trial) non avessero ancora l'abilitazione a TLS/SRTP qundi fai molta attenzione alle versioni di TUTTI i componenti coinvolti (WL3/WL3 Plus, WinPDM e WSG) e non entro nel merito dell'infrastruttura WiFi nella quale avviene il Deployment!

Molte informazioni interessanti sono anche presenti nel Wiki qui.

Saluti, Kimera.

P.S.
Curiosità: su che tipo di rete WiFi (controller) state implementando il WL3 o su quale state pensando di implementarlo? ...puoi rispondere anche via PM, no problem.
« Last Edit: September 18, 2013, 09:42:31 am by Kimera »
(Ethical) Hackers are not just skilled, they are lucky people and they are persistent people. It's a combination of all three.
"Die Lösung ist immer einfach, man muss sie nur finden" Alexander Solschenizyn

I'm all for being a Partner, and a Professional. But if you want me to sell your products...you need to scratch my back a little too.

Offline Giuseppe

  • Newbie
  • *
  • Posts: 41
  • Karma: +0/-0
    • View Profile
Re: Openstage WL3 SRTP
« Reply #2 on: September 18, 2013, 10:57:32 am »
Ciao, inanzitutto grazie della risposta, nessun problema a parlarne in pubblico, nulla da nascondere, solo cose da condividere.
L'infrastruttura Wireless e relativo controller è Cisco, non gestita da noi.

Forniamo solo l'OSO è i WL3

Ora sono in questa situazione:
Ho configurato il telefono con WSG, ma non ho mai implementato una soluzione SRTP e SIP/TLS quindi ti/vi pongo subito una domanda;
Al 101% il DLS non gestisce i WL3 e la sicurezza "network" verrà data da radius/controller e certificato che mi invierà il responsabile di rete, da impostare sotto NETWORK -> SECURITY MODE -> ADVANCED ( non ho ancora verificato se è però corretto il mio ragionamento ) mentre per rendere sicura la voce, quindi utilizzare srtp ( VOIP -> GENERAL -> SRTP a YES e decido la crypto ) mi serve caricare un certificato con le caratteristiche di crypto che desidero?
Il certificato me lo può generare la centrale e poi lo carico tramite EDIT CERTIFICATE? oppure utilizzo il certificato che mi dà il responsabile della rete e lo carico su centrale OSO e client?

Ciao e grazie ancora
Giuseppe


Offline Kimera

  • Global Moderator
  • Hero Member
  • ****
  • Posts: 1.196
  • Karma: +42/-3
  • Kimera (Ars Gratia Artis)
    • View Profile
    • SIEMENS Enterprise Wiki
Re: Openstage WL3 SRTP
« Reply #3 on: September 18, 2013, 02:11:16 pm »
Ciao Giuseppe,

Non solo al 101%, al 110% il DLS non gestisce i WL3!

Penso che SRTP usi AES come algoritmo di cifratura ed uno dei due modi di cifratura previsto per l'AES: Counter Mode / Output Feedback Mode. Oppure potrebbero avere anche implementato un Null-Cipher. Mi sembra che l'Ascom i62 implementi l'AES-CCMP (Conuter Mode, per l'esattezza Counter Mode with Cipher Block Chaining Message Authentication Code (CBC-MAC) Protocol) e quindi penso il WL3 faccia altrettanto.

Non so SE e COME avviene la eventuale negoziazione sicura (ZRTP/MIKEY?) delle chiavi per l'SRTP. Ad ogni modo SE la negoziazione sicura delle chiavi non avviene come minimo il Root Certificate sicuramente va importato tramite il WSG (o WinPDM) ed una CA Certification Authority (l'OSO in questo caso?) deve pur generarlo...il WSG può sia importare Certificati PKCS#12 che generare dei Certificati Self-Signed (qui ho un dubbio...).

Mi viene quindi da dire (anche nel Configuration Manual di Ascom per l'i62 è scritto così) che la CA che genera il certificato per il trasporto SIP sicuro deve essere il PBX (quindi, in questo caso, l'OSO) ed infatti è indicato:

"SIP Transport – defines the protocol to use for SIP signaling, either UDP, TCP or TLS. The setting TLS requires the PBX certificate to be uploaded as root certificate."

ed ancora:

"Offer Secure RTP: Note: The communication will be protected only if parameter VoIP > SIP > SIP Transport is set to "TLS". When enabled, voice is sent over Secure RTP if the other party also supports Secure RTP:

1 Select VOIP > General.
2 In the Offer Secure RTP list, select "Yes" or "No" (default).
"

come indicato nel mio primo post.

Mentre per la parte EAP-TLS nel manuale del WSG (che praticamente altri non è che la rivisitazione Siemens dell'Ascom Elise 3 Linux Appliance creato da Ascom per gestire gli Ascom i62...ovvero come l'OpenStage WL3 è la rimarchiatura degli i62, il WSG è la rimarchiature dell'Elise 3) è scritto:

"Certificate(s) is used for authorizing a VoWiFi handset to access a WLAN system using Extensible Authentication Protocol (EAP). There are two types of certificates: Root certificate and Client certificate.
The VoWiFi handset using the root certificate to control if the WLAN system is trusted. If the system is trusted, the handset send its client certificate to show that it is authorized to access and log on the system.
The root certificate contains a public key and can be downloaded to the handset via Device Manager or via WinPDM. The client certificate contains both a public key and a private key and can only be downloaded to the handset via the WinPDM.

The following must be done to be able to use certificates:
- Import certificates to handset.
- Select which client certificate to use by setting a EAP client certificate parameter, see the Configuration Manual for the VoWiFi handset.
"

Ma non vorrei creare/crearti confusione...perchè secondo me (mi sbaglio?) ci sono più certificati in gioco (un conto è il certificato per l'EAP-TLS - root e client - per l'autenticazione sulla Rete WiFi mediante Radius Server e un conto è il certificato per la messa in sicurezza dell'RTP mediante l'SRTP).

E' interessante notare come nella documentazione (in particolare nel OpenStage WL3 System Planning, Dicembre 2012), al contrario di quello che è indicato nel medesimo manuale Ascom (Ascom VoWiFi System Planning...benchè più vecchio di un anno, Dicembre 2011) non sia nemmeno citato l'SRTP!

Saluti, Kimera.
« Last Edit: September 18, 2013, 04:22:32 pm by Kimera »
(Ethical) Hackers are not just skilled, they are lucky people and they are persistent people. It's a combination of all three.
"Die Lösung ist immer einfach, man muss sie nur finden" Alexander Solschenizyn

I'm all for being a Partner, and a Professional. But if you want me to sell your products...you need to scratch my back a little too.

Offline Kimera

  • Global Moderator
  • Hero Member
  • ****
  • Posts: 1.196
  • Karma: +42/-3
  • Kimera (Ars Gratia Artis)
    • View Profile
    • SIEMENS Enterprise Wiki
Re: Openstage WL3 SRTP
« Reply #4 on: September 18, 2013, 02:51:02 pm »
Ma guarda...tra le altre cose il Siemens Enterprise Wiki non è neppure aggiornato in merito...sono alla release WSG R0.1.0 mentre è GA la R0.2.0...ora sistemo (già che ci sono preparo la pagina OpenStage WL3 interoperability matrix che non fa mai male).

Saluti, Kimera.
« Last Edit: September 18, 2013, 03:24:07 pm by Kimera »
(Ethical) Hackers are not just skilled, they are lucky people and they are persistent people. It's a combination of all three.
"Die Lösung ist immer einfach, man muss sie nur finden" Alexander Solschenizyn

I'm all for being a Partner, and a Professional. But if you want me to sell your products...you need to scratch my back a little too.

Offline Giuseppe

  • Newbie
  • *
  • Posts: 41
  • Karma: +0/-0
    • View Profile
Re: Openstage WL3 SRTP
« Reply #5 on: September 23, 2013, 03:01:30 pm »
Ciao, ritorno sull'argomento...mi sta tirando matto

I certificati che importo da WINPDM ( root e client ) mi servono per la connessione alla rete Wireless o posso utilizzarli anche per
rendere sicuro il traffico RTP?
OSO non può generare certificati, quindi, una volta ottenuto il certificato in qualche modo, dovrei passarlo io all'impianto.
Se abilito SRTP posso scegliere che modalità di crypto usare, ma come faccio a impostarla anche su OSO?

Scusate se non sono chiaro, ma questo argomento, essendo il primo cliente che fa una richiesta del genere, risulta complicato
non solo a me.

Grazie e buon lavoro

Offline Kimera

  • Global Moderator
  • Hero Member
  • ****
  • Posts: 1.196
  • Karma: +42/-3
  • Kimera (Ars Gratia Artis)
    • View Profile
    • SIEMENS Enterprise Wiki
Re: Openstage WL3 SRTP
« Reply #6 on: September 23, 2013, 03:13:04 pm »
C'è di mezzo anche l'OpenStage WL3 WSG oppure hai solo il WinPDM? Io sto cercando di raccogliere un pò di informazioni in merito (metto le mani avanti: non ho fatto alcun corso riguardo i WL3...)...non c'è infatti molto (in termini di documentazione aggiornata) per capire come si "incastrano" i pezzi.

Secondo me per l'SRTP il certificato (root certificate) deve essere generato dal SIP Sever (IP-PBX)...gli altri due (root e client certificates) sono (o dovrebbero essere) differenti...almeno da come interpreto quello che ho letto (vedi la scarna "OpenStage WL3 Security Checklist").

Saluti, Kimera.
« Last Edit: September 23, 2013, 04:06:03 pm by Kimera »
(Ethical) Hackers are not just skilled, they are lucky people and they are persistent people. It's a combination of all three.
"Die Lösung ist immer einfach, man muss sie nur finden" Alexander Solschenizyn

I'm all for being a Partner, and a Professional. But if you want me to sell your products...you need to scratch my back a little too.

Offline Kimera

  • Global Moderator
  • Hero Member
  • ****
  • Posts: 1.196
  • Karma: +42/-3
  • Kimera (Ars Gratia Artis)
    • View Profile
    • SIEMENS Enterprise Wiki
Re: Openstage WL3 SRTP
« Reply #7 on: September 23, 2013, 03:28:20 pm »
Io non sarei così sicuro che l'OSO V3 non possa generare (o abbia già a bordo) dei Certificati, gira su Linux e quindi può benissimo generare Certificati Self-Signed esattamente come lo possono fare tutti gli Host con Linux (e con un minimo di software userland)...tant'è che la cosa è pure citata nelle "Security Checklist" (tanto dell'OS Office MX/LX quanto di OS Business...e magari anche in HG1500 su HiPath 3000...da verificare!).

Vedi allegato (a puro titolo di esempio).

Edit: ovviamente a patto che la SPE (Signalling and Payload Encryption) sia abilitata e configurata lato IP-PBX (OS Office/OS Business/OS Voice) e, per quanto ne so, la SPE in queste piattaforme è sicuramente abilitabile e configuraabile e, in aggiunta, può essere fatta valere anche sugli IP Trunks tra sistemi.

Saluti, Kimera.
« Last Edit: September 24, 2013, 02:16:36 pm by Kimera »
(Ethical) Hackers are not just skilled, they are lucky people and they are persistent people. It's a combination of all three.
"Die Lösung ist immer einfach, man muss sie nur finden" Alexander Solschenizyn

I'm all for being a Partner, and a Professional. But if you want me to sell your products...you need to scratch my back a little too.