Solución encriptacion de MX

Solución de encriptación completa
de MX-ONE con Teldat
Fecha: Noviembre 2013
Aastra Telecom
Contenidos
1 Introducción
3 1.1 3 Versiones
2 Configuración
4 2.1 A tener en cuenta
4 2.2 Configuración previa en la MX-ONE
4 2.3 Generar private_key y certificados
5 2.4 Instalar certificado en MX-ONE
6 2.5 Generar certificado en formato pkcs12 para Teldat
6 2.6 Configuración terminales SIP con TLS sin Redundancia HLR
6 2.7 Configuración terminales SIP con TLS con Redundancia HLR
7 2
1 Introducción
En este documento se explica cómo se deben generar e instalar los certificados en la MX-ONE para un
escenario de encriptación completo con un equipo Teldat en el que la MX-ONE actuará como entidad
certificadora ya que serán certificados “self-signed”. Los terminales, de la serie Aastra 67xxi, utilizan la
MX-ONE como servidor proxy y el Teldat como equipo de supervivencia.
1.1 Versiones provadas
MXONE: 4.1 SP6 build15
Terminales: 3.3.1.2201
Teldat C8i+: 10.8.40
3
2 Configuración
2.1 A tener en cuenta
Para generar certificados para otros servidores que no estén dentro del sistema MX-ONE, Aastra ha
modificado el script cert_make_self_signed de la versión 4.1. Por ello, el personal de Aastra facilitará
este script en los escenarios en los que se requiera.
2.2 Configuración previa en la MX-ONE
Lo primero que hay que comprobar es que está habilitada la licencia de VoIP-Security y
Encryption con el comando license_status:
Tag
Trial time
Allowed
VOIP-SECURITY
0
yes
ENCRYPTION
0
yes
En caso de que no estén habilitadas, se deberá adquirir por el canal correspondiente de Aastra.
Una vez hecho esto, hay que modificar las extensiones según la política de seguridad que se vaya a
utilizar. MX-ONE puede tener las siguientes políticas:
•
•
•
•
ABIERTA (opción por defecto)
> SRTP y TLS puede gestionarse por usuario. Para esta opción debemos configurar las
extensiones de la siguiente manera:
MDSH> extension ‐c ‐d XXXX ‐‐security‐exception no
ALL SECURE
> Sólo se pueden registrar en el sistema las extensiones con capacidades TLS y SRTP.
En este caso el parámetro security-exception no aplica.
ALL SECURE + EXC_EXT
> Se permite el registro a las extensiones que han sido identificadas como excepciones
de seguridad:
+security-exception no: el terminal que lo Soporte, se logará con TLS y hará llamadas
encriptadas (SRTP).
+security-exception yes: El terminal tiene la opción de logarse sin TLS (no seguro) y
hacer llamadas sin encriptar (RTP).
ALL SECURE + EXC_TYPE (sólo H.323)
> Se permite el registro a las extensiones que no tienen capacidades de cifrado. Por
ejemplo terminales Dialog 4000 IP de la serie 1, terminales de terceros H.323 o
softphones
Configurar un código de autenticación para las extensiones que vayan a utilizar encriptación con el
comando:
MDSH> auth_code ‐i ‐d XXXX ‐‐auth‐code XXXX ‐‐cil XXXX ‐‐csp X 4
Por defecto, SRTP no está habilitado para extensiones, rutas y conexiones entre MGWs. Habilitar SRTP con los siguientes comandos: MDSH> media_encryption_enable ‐type extension MDSH> media_encryption_enable ‐type route MDSH> media_encryption_enable ‐type intermgw Guardar los cambios realizados con el comando data_backup 2.3 Generar private_key y certificados
Los pasos a seguir son:
1. Ir al directorio /etc/opt/eri_sn/:
maqueta:~ # cd /etc/opt/eri_sn/ 2. Crear un fichero “txt” que contenga la contraseña para después generar la private_key:
maqueta:/etc/opt/eri_sn # touch pass.txt maqueta:/etc/opt/eri_sn # cat > pass2.txt contraseña +Intro Y pulsar CTRL+D
3. Generar la private_key:
maqueta:/etc/opt/eri_sn # cert_make_key pass.txt Esto genera un fichero llamado private_key.pem que contiene la password en 2048 bit.
4. Generar certificado de la CA y de los servidores:
maqueta:/etc/opt/eri_sn # cert_make_self_signed private_key.pem pass.txt
Al lanzar el comando, pregunta si se quiere crear certificados para otros servidores que no sean parte
del sistema MX-ONE, indicar que sí poniendo “y” e introducir el número de servidores y un nombre. En
nuestro ejemplo solo hay un equipo Teldat como equipo de supervivencia:
5
Con esto, se genera un fichero CA.pem (certificado del root), un fichero *.pem por cada lim del sistema
(en nuestro caso maqueta.MX-ONE.pem) y el certificado teldat.pem
2.4 Instalar certificado en MX-ONE
Para instalar el certificado ejecutar el comando:
maqueta:/etc/opt/eri_sn # cert_install maqueta.MX‐ONE.pem pass.txt Una vez instalado el certificado, reiniciar la unidad SIPLP para activar el TLS:
maqueta:~ # reload ‐unit SIPLP ‐lim all 2.5 Generar certificado en formato pkcs12 para Teldat
El equipo Teldat necesita el certificado en formato pkcs12, por lo que antes de cargarlo en el Teldat
debemos pasarlo de *.pem a *.p12. Esto lo hacemos con el siguiente comando:
maqueta:/etc/opt/eri_sn # openssl pkcs12 ‐export ‐out teldat.p12 ‐inkey private_key.pem ‐in teldat.pem Esto genera el fichero teldat.p12 que habrá que cargar en el equipo Teldat. 2.6 Configuración terminales SIP con TLS sin Redundancia HLR
La siguiente configuración es válida tanto para un escenario con varios servidores como para un
escenario con servidores de backup.
El certificado de root creado anteriormente (CA.pem) debe estar alojado en el servidor donde los
terminales se descarguen el fichero de configuración y el firmware. En nuestro caso la MX-ONE es el
servidor tftp, por lo que debemos copiar el fichero en la carpeta /tftpboot/ con el nombre
trustedCert.pem.
maqueta:/etc/opt/eri_sn # cp CA.pem /tftpboot/trustedCert.pem
El fichero de configuración debe estar de la siguiente manera:
sips persistent tls: 1 sip persistent tls keep alive: 10 sip outbound support: 1 6
sip transport protocol: 4 # use UDP (1), TCP (2), both SIP and UDP (0, TLS(4) for sip messaging sips trusted certificates: "trustedCert.pem" //read from Configuration Server sip outbound proxy: dirección ip de la MX‐ONE sip outbound proxy port: 5061 sip backup outbound proxy: dirección ip del Teldat sip backup outbound proxy port: 5061 sip srtp mode: 1 #0(SRTP disabled),1(SRTP preferred),2(SRTP only) sip registration period: 300 sip proxy ip: dirección ip de la MX‐ONE sip proxy port: 5061 sip registrar ip: dirección ip de la MX‐ONE sip registrar port: 5061 #Backup registrar and proxy may be set for Redundancy sip backup proxy ip: dirección ip del Teldat sip backup proxy port: 5061 sip backup registrar ip: dirección ip del Teldat sip backup registrar port: 5061 Reiniciar el teléfono para que coja los nuevos cambios y hacer un data_backup. Una vez ha finalizado
el backup lanzar el comando reload –system.
Cuando los teléfonos arranquen, comprobar con ip_extension –p que están registrados en el puerto
5061.
Lo siguiente sería comprobar que los teléfonos al perder el contacto con la MX-ONE se registran en el
Teldat con el puerto 5061.
2.7 Configuración terminales SIP con TLS con Redundancia HLR
Como en el caso anterior, esta configuración aplica tanto a un escenario con varios servidores como a
un escenario con servidor de backup. Con Redundancia HLR puede haber hasta 4 servidores DNS
SRV configurados.
Al igual que en el caso de no tener HLR, el certificado de root (CA.pem) debe estar alojado en el
servidor donde los terminales se descarguen el fichero de configuración y el firmware. En nuestro caso
la MX-ONE es el servidor tftp, por lo que debemos copiar el fichero en la carpeta /tftpboot/ con el
nombre trustedCert.pem
maqueta:/etc/opt/eri_sn # cp CA.pem /tftpboot/trustedCert.pem
El fichero de configuración debe estar de la siguiente manera:
sips persistent tls: 1 sip persistent tls keep alive: 10 sip outbound support: 1 sip transport protocol: 4 # use UDP (1), TCP (2), both SIP and UDP (0, TLS(4) for sip messaging sips trusted certificates: "trustedCert.pem" //read from Configuration Server sip outbound proxy: dirección ip de la MX‐ONE 7
sip outbound proxy port: 5061 sip backup outbound proxy: dirección ip del Teldat sip backup outbound proxy port: 5061 sip srtp mode: 1 #0(SRTP disabled),1(SRTP preferred),2(SRTP only) sip registration period: 300 sip dns host file: hosts.txt sip proxy ip: dirección ip de la MX‐ONE sip proxy port: 5061 sip registrar ip: dirección ip de la MX‐ONE sip registrar port: 5061 #Backup registrar and proxy may be set for Redundancy sip backup proxy ip: mxone.ejemplo.com sip backup proxy port: 0 sip backup registrar ip: mxone.ejemplo.com sip backup registrar port: 0 #dns srv para redundancia sip dns srvX name: _sips._tcp.mx‐one sip dns srvX priority: 0 sip dns srvX weight: 40 sip dns srvX port: 5061 sip dns srvX target: server.mx‐one sip dns srvY name: _sips._tcp.mx‐one sip dns srvY priority: 0 sip dns srvY weight: 40 sip dns srvY port: 5061 sip dns srvY target: serverY.mx‐one Reiniciar el teléfono para que obtenga los nuevos cambios y hacer un data_backup. Una vez ha
finalizado el backup lanzar el comando reload –system.
Cuando los teléfonos arranquen, comprobar con ip_extension –p que están registrados en el puerto
5061.
Lo siguiente sería comprobar que los teléfonos al perder el contacto con la MX-ONE se registran en el
Teldat con el puerto 5061.
8