Bu doküman uzak ofisler arası
PX24 sistemlerde VoIP çağrı güvenliğinden bahsetmektedir.
PX24; TDM arayüzler ile IP bileşenlerden oluşan karma ses
iletişim sistemidir. Gatekeeper,
softswitch, IP-TDM yönlendirme (gateway) fonksiyonları ile birçok IP ve
geleneksel PABX özelliklerini tek bir çözüm olarak sunan bir sistemdir. Bu
dokümanda bahsi geçen şifreleme algoritması hernekadar H.323 uç noktadan uç
noktaya bağlantılar içinse de, H.323 noktadan gatekeeper’a bağlantılarda da daha
fazla güvenlik için uygulanabilir.
Aşağıda noktadan noktaya iletişimde uygulanan algoritmayı kısaca
özetlemektedir;
·
Her noktada
iki PX24 sistemi
·
Noktalardan
birtanesindeki PX24, IP-TDM gateway’dir.
·
Diğer
noktadaki PX24, tümleşik gatekeepr’lı IP-TDM gateway’dir.
·
Her iki
sistemde de VoIP medya güvenlik lisansları olmalı, ve ilgili parametreler
sisteme girilmelidir
İki
PX24 sistem, kullanıcı adı ve şifre paylaşırlar. H.323 uç noktası olan PX24,
diğer PX24’ün gatekeeper’ına paylaşılan
kullanıcı ismi ve şifresi ile kayıt olur. Kayıt, iki PX24 sistem arasında
integrity check içeren ya da içermeyen H.235 Basline Security profili temeline
dayanan H.225 RAS mesajları ile,
yapılır. Güvenlik temelli profil, güvenli şifre-temelli HMAC-SHA1-96 hashing
algoritması kullanarak uçnokta-gatekeeper kaydı için temel güvenlik sağlar.
<Baseline
authentication (kimlik doğrulama)> : H.323 uçnokta-gatekeeper kaydı için RAS
mesajı kimlik doğrulaması, H.235 Baseline Security profili standardındadır. Bu
güvenlik servisi, sadece seçili
alanların kimlik doğrulamasını destekler, mesajın tamamının bütünlüğünü
sağlamaz. NAT/ firewall (güvenlik duvarı ) cihazlarının içinden geçen mesajlar
için, sadece kimlik doğrulaması (authentication-only) güvenlik profili tercih edilebilir. Hashing algoritması şifreleme
tabanlı HMAC-SHA1-96’dır.
<Baseline
integrity>: H.323 uçnokta-gatekeeper
kaydı için RAS mesajı kimlik doğrulaması, H.235 Baseline Security profili
standardındadır. Bu, mesaj bütünlüğü ve kimlik doğrulamasını kapsayan bir
güvenliktir. Hashing algoritması
şifreleme tabanlı HMAC-SHA1-96’dır.
Medya Şifrelemesi
Medya şifrelemesi için 256-bit ileri şifreleme standardı
Advance Encription Standard (AES-256) kullanılır. AES-256, 128 bitlik veri
bloklarını Diffie-Hellman prosedürünün de kabul ettiği 256 bitlik kod anahtarı
ile işleyen simetrik blok kodunu kullanan şifreleme algoritmasıdır.
Codec’lerden toplanan ses örnekleri şifrelenir ve RTP içine konur. Karşı taraf
RTP’yi aldığında, deşifreleme yapılır.
Güvenli bir şekilde bağlantı kurulan kontak ile
paylaşılan Diffie-Hellman half-keys (yarım-anahtar) üretilir ve değiştokuş edilir. AES-256 şifrelemesi
içi Diffie-Hellman ana anahtarı, iki
PX24 sistem arasındaki çağrıda değiştokuş edilen iki paylaşımlı yarım anahtar
kombinasyonundan oluşur.
Diffie-Hellman anahtar değiştokuşu
PX24 sistemleri, H.235 Baseline Security profili tabanlı
kimlik doğrulamayı kullanan Diffie-Hellman yarım-anahtarları değiştokuş
ederler. Bu, Man-in-the-Middle (MIM) saldırılarını önler ve iletişim halindeki PX24 sistemlerin Diffie-Hellman
yarım-anahtarları paylaştığını garantiler. H.235 Baseline Security profili ya
da H.235 Baseline Security profili için hash algoritması HMAB-SHA1-96’dır.
HMAC-SHA1-96 ek güvenlik sağlar.
Anahtar değişimi iki PX24 sistem arasındaki iletişimde
H.323 çağrı sinyalleşmesi (H.225) esnasında olur. İlk çağrı sinyalleşme mesajı
anahtar değişiminde kullanılır. Setup (çağrı kur) mesajı ileri yöndedir. Setup
Acknowledge, Call proceeding, Alerting ve Connect mesajları ters yönde
kullanılabilir. Kimlik doğrulamada kullanılan şifre iki PX24 sistem arasında
gizli olduğu için, basit şifreler seçildiği taktirde, MIM saldırılarına açık
olabilir. Aşağıdaki durumlarda, çağrı
bağlantı kurulmadan başarısız olur;
·
Kimlik doğrulama başarısız
·
Setup mesajı içinde yarım-anahtar
yoktur
·
Connect mesajı içinde yarım-anahtar
yoktur
İki PX24 sistem arasındaki VoIP
güvenliği aşağıdaki şekilde sağlanır;