SlideShare ist ein Scribd-Unternehmen logo
1 von 61
Downloaden Sie, um offline zu lesen
Trust No One 
Saúl Ibarra Corretgé 
@saghul
AG Projects 
SIP Infrastructure Experts 
¡Hola! 
• @saghul 
• AG Projects 
• Mi 4º ElastixWorld!
AG Projects 
SIP Infrastructure Experts 
AG Projects
EL 
STATUS QUO 
!
¿Quién usa SRTP?
¿TLS?
¿Entendemos cómo 
funcionan?
#captainCrypto
AG Projects 
SIP Infrastructure Experts 
SIP 101
AG Projects 
SIP Infrastructure Experts 
SIP + TLS 
 
• No ofrece garantías end-to-end 
• Otros sistemas asumen que esto 
funciona 
• SIP Identity (RFC 4474), ¿Alguien?
AG Projects 
SIP Infrastructure Experts 
SIP + TLS
AG Projects 
SIP Infrastructure Experts 
SIP + TLS
TLS 

⚠
AG Projects 
SIP Infrastructure Experts 
SSL?, TLS? 
• 1995: SSL 2.0 (Netscape) 
• 1996: SSL 3.0 (Netscape) 
• 1999: TLS 1.0 (IETF) 
• 2006: TLS 1.1 
• 2008: TLS 1.2
90s CALLED 
THEY WANT THEIR 
CRYPTO BACK
AG Projects 
SIP Infrastructure Experts 
TLS 101
AG Projects 
SIP Infrastructure Experts 
SIP + TLS 
• Habilitar SIP sobre TLS en DNS 
• Validar certificados (servidor, y cliente 
si se puede) 
• Versión de TLS a utilizar
Trust No One
AG Projects 
SIP Infrastructure Experts 
OpenSIPS + TLS 
% 
• tls_ca_list 
• tls_certificate 
• tls_private_key 
• tls_method 
• tls_ciphers_list 
• tls_ec_curve 
• …
AG Projects 
SIP Infrastructure Experts 
Método TLS (en OpenSSL) 
• SSLv2, SSLv3 
• TLSv1 
• No utiliza TLS v1.1 / v1.2! 
• SSLv23 
• SSL_OP_NO_SSLv2 | 
SSL_OP_NO_SSLv3
Trust No One
tls_method = TLSv1
tls_method = SSLv23
Trust No One
AG Projects 
SIP Infrastructure Experts 
Cipher Suites 
• Combinación de elementos para 
negociar una conexión TLS 
• autenticación 
• cifrado 
• algoritmo de key-exchange 
&
AG Projects 
SIP Infrastructure Experts 
Mecanismo Diffie-Hellman 
• Protocolo de establecimiento de claves 
• Las partes no han tenido contacto 
previo 
• No proporciona autenticación 
• Se suele utilizar para establecer una 
clave de sesión 
&
AG Projects 
SIP Infrastructure Experts 
(Perfect) Forward Secrecy 
• Garantía de que comprometer una 
clave ahora no compromete las usadas 
anteriormente 
• Protección frente a ataques de 
escucha pasiva 
&
AG Projects 
SIP Infrastructure Experts 
Cipher Suites 
ECDHE-RSA-AES128-GCM-SHA256 
Intercambio 
de claves 
Firma 
Cifrado 
Derivación de 
claves / hash 
para HMAC
AG Projects 
SIP Infrastructure Experts 
Cipher Suites 
& 
• Forward Secrecy 
• DHE o ECDHE 
• Integridad + autenticación: AES-GCM 
• Es necesaria una versión reciente de 
OpenSSL (>= 1.0.1c)
SRTP 

AG Projects 
SIP Infrastructure Experts 
SRTP 101 
• Proporciona cifrado, autenticación e 
integridad para RTP / RTCP 
• Se utiliza una clave maestra y una 
función de derivación para cifrar los 
datos con AES
AG Projects 
SIP Infrastructure Experts 
SRTP 101 
• Obtención de la master key 
• SDES 
• ZRTP 
• DTLS
AG Projects 
SIP Infrastructure Experts 
SDES 
• La clave va en el SDP 
• Mecanismo muy simple 
• Confiamos en que nadie puede ver la 
clave (usando SIP sobre TLS)
v=0 
o=- 3622367834 3622367834 IN IP4 192.168.99.54 
s=Blink 0.9.1 (Linux) 
t=0 0 
m=audio 50014 RTP/AVP 113 9 0 8 101 
c=IN IP4 192.168.99.54 
a=rtcp:50015 
a=rtpmap:113 opus/48000 
a=fmtp:113 useinbandfec=1 
a=rtpmap:9 G722/8000 
a=rtpmap:0 PCMU/8000 
a=rtpmap:8 PCMA/8000 
a=rtpmap:101 telephone-event/8000 
a=fmtp:101 0-16 
a=crypto:1 AEAD_AES_256_GCM inline:pf5+f55JuFhnw1JWVZGOIDQUwdZauReTk08PyzUxNXkcCooQnIphDhVkqZc= 
a=crypto:2 AEAD_AES_128_GCM inline:iJqlErJI4C5aMZ+atLaFCI+wb7da25qJT2BWcA== 
a=crypto:3 AEAD_AES_256_GCM_8 inline:adURgA4rN8vD72umdxYd7vMHIFDLQAE6CkOzt+PcLGHww+rsO5GqoGKdudA= 
a=crypto:4 AEAD_AES_128_GCM_8 inline:rI0VsovgqVI4VUNgYseUJx16I81aGu57TW8y1g== 
a=crypto:5 AES_256_CM_HMAC_SHA1_80 inline:KUrzE6XiYo2c3y0lmnKm/hpHDEKcqwzwiAZSeui/ 
P2QhyJEZVpzNegR9S5f4+w== 
a=crypto:6 AES_192_CM_HMAC_SHA1_80 inline:fJpjh8Hr7rRlUrImVMm3BneGeCuFYVIEGcaJlN8l01fSXkSrPUg= 
a=crypto:7 AES_CM_128_HMAC_SHA1_80 inline:jkmG7Rq2hqoRbGw2NEK/t7lZutJXCytFSC1Lhs7S 
a=crypto:8 AES_256_CM_HMAC_SHA1_32 inline:Ci/vj7yG8i5pTxSO81vrj5n8rznpY 
+ArDycCtQV58gGMvaYk1V06YXaRLcQYEg== 
a=crypto:9 AES_192_CM_HMAC_SHA1_32 inline:LHg/QVrJrgJnT0NSMjYIfNOnQwQyhXGKHvdK8iq6jj2KvX6WQmg= 
a=crypto:10 AES_CM_128_HMAC_SHA1_32 inline:eqx9hJlzRWBnYmctFaIeat31IDv2no4Ik7ArXpfz 
a=sendrecv
AG Projects 
SIP Infrastructure Experts 
Problemas con SDES 
• Nos tenemos que fiar de que nadie 
pueda ver las claves 
• No garantiza el intercambio de claves 
end-to-end 
• No hay Forward Secrecy
AG Projects 
SIP Infrastructure Experts 
B2B SRTP
AG Projects 
SIP Infrastructure Experts 
ZRTP 
• Sistema de negociación de claves 
end-to-end 
• Utiliza Diffie-Hellman “dentro” del RTP 
• Autenticación mediante SAS
AG Projects 
SIP Infrastructure Experts 
ZRTP: Mitigando ataques MiTM 
• SAS: Short Authentication String 
• Comprobación verbal de una palabra 
• Si coinciden no hay MiTM 
• Sólo necesario la primera vez
AG Projects 
SIP Infrastructure Experts 
ZRTP: Mitigando ataques MiTM 
• Continuidad de claves (como SSH) 
• TOFU: Trust On First Use
v=0 
o=- 3622958388 3622958388 IN IP4 192.168.99.54 
s=Blink 0.9.1 (Linux) 
t=0 0 
m=audio 50000 RTP/AVP 113 9 0 8 101 
c=IN IP4 192.168.99.54 
a=rtcp:50001 
a=rtpmap:113 opus/48000 
a=fmtp:113 useinbandfec=1 
a=rtpmap:9 G722/8000 
a=rtpmap:0 PCMU/8000 
a=rtpmap:8 PCMA/8000 
a=rtpmap:101 telephone-event/8000 
a=fmtp:101 0-16 
a=zrtp-hash:1.10 
8d4ddc401e82c9f7b6daba77f5c907c5c6334f9e2724355d679a3b01b2eb3b51 
a=sendrecv
AG Projects 
SIP Infrastructure Experts 
DTLS-SRTP 
• Uso de DTLS para intercambiar claves 
• Mismo puerto que RTP 
• Certificados auto firmados (WebRTC) 
• Requiere de integridad del signaling, 
pero no de confidencialidad 
• Comparación del fingerprint a modo de 
SAS
v=0 
o=- 7518264307715983377 2 IN IP4 127.0.0.1 
s=- 
t=0 0 
a=group:BUNDLE audio video 
a=msid-semantic: WMS CCJALAcas2qVJgyxxWGmq2zKZNLF0XnQq2Gu 
m=audio 39664 RTP/SAVPF 111 103 104 0 8 106 105 13 126 
c=IN IP4 192.168.1.117 
a=rtcp:1 IN IP4 0.0.0.0 
a=candidate:319969617 1 udp 2113937151 192.168.1.117 39664 typ host generation 0 
a=candidate:1569826209 1 tcp 1509957375 192.168.1.117 0 typ host generation 0 
a=ice-ufrag:Qg33c7pBulT0cCdy 
a=ice-pwd:RNfxxKFEXdpCPsUZ2YYZyKWF 
a=fingerprint:sha-256 C3:82:98:81:9D:B5:E5:5F:EF:65:CC:A6:A2:6D:87:BA:60:BC:38:D3:6B:E1:95:B4:38:43:18:9B:FD:F6:39:FE 
a=setup:active 
a=mid:audio 
a=extmap:1 urn:ietf:params:rtp-hdrext:ssrc-audio-level 
a=sendrecv 
a=rtcp-mux 
a=rtpmap:111 opus/48000/2 
a=fmtp:111 minptime=10 
a=rtpmap:103 ISAC/16000 
a=rtpmap:104 ISAC/32000 
a=rtpmap:0 PCMU/8000 
a=rtpmap:8 PCMA/8000 
a=rtpmap:106 CN/32000 
a=rtpmap:105 CN/16000 
a=rtpmap:13 CN/8000 
a=rtpmap:126 telephone-event/8000 
a=maxptime:60 
a=ssrc:1104846898 cname:uBYN/T5ZOYpyjSKN 
a=ssrc:1104846898 msid:CCJALAcas2qVJgyxxWGmq2zKZNLF0XnQq2Gu a31bf8b7-fd0f-4d64-8b01-2b7c8a70ac13 
a=ssrc:1104846898 mslabel:CCJALAcas2qVJgyxxWGmq2zKZNLF0XnQq2Gu 
a=ssrc:1104846898 label:a31bf8b7-fd0f-4d64-8b01-2b7c8a70ac13 
m=video 39664 RTP/SAVPF 100 116 117 
c=IN IP4 192.168.1.117 
a=rtcp:1 IN IP4 0.0.0.0 
a=candidate:319969617 1 udp 2113937151 192.168.1.117 39664 typ host generation 0 
a=candidate:1569826209 1 tcp 1509957375 192.168.1.117 0 typ host generation 0 
a=ice-ufrag:Qg33c7pBulT0cCdy 
a=ice-pwd:RNfxxKFEXdpCPsUZ2YYZyKWF 
a=fingerprint:sha-256 C3:82:98:81:9D:B5:E5:5F:EF:65:CC:A6:A2:6D:87:BA:60:BC:38:D3:6B:E1:95:B4:38:43:18:9B:FD:F6:39:FE 
a=setup:active 
a=mid:video 
a=extmap:2 urn:ietf:params:rtp-hdrext:toffset 
a=extmap:3 http://www.webrtc.org/experiments/rtp-hdrext/abs-send-time 
a=sendrecv
Trust No One
AG Projects 
SIP Infrastructure Experts 
¿Cuál elegir? 
• SDES si no hay más remedio 
• ZRTP no está muy desplegado pero es 
más “oportunista” 
• Autenticación / identidad en DTLS-SRTP 
• ZRTP y DTLS-SRTP ofrecen Forward 
Secrecy
AG Projects 
SIP Infrastructure Experts 
libSRTP 1.5.0 
• Puede usar OpenSSL como backend 
• Soporta AES-GCM 
• Aceleración hardware: AES-NI 
&
OTR 
(
AG Projects 
SIP Infrastructure Experts 
OTR 101 
• Cifrado para mensajes de chat 
• Diffie-Hellman para key-exchange 
• AES para cifrado
AG Projects 
SIP Infrastructure Experts 
OTR 
• Proporciona Forward Secrecy 
• Autenticación denegable 
• Proporciona protección contra ataques 
MiTM usando autenticación mediante 
SMP
Trust No One
Trust No One
AG Projects 
SIP Infrastructure Experts 
SMP 
• “Problema del Socialista Millonario” 
• Mecanismo de autenticación sobre 
Diffie-Hellman 
• Se basa en mezclar DH con un secreto 
compartido por ambas partes
Trust No One
Demo 
♥
Call secure. 
beta.icanblink.com
Resumiendo 
*
AG Projects 
SIP Infrastructure Experts 
Resumiendo 
+ 
• Cifra todo siempre que se pueda 
• Usa mecanismos con Forward Secrecy 
• Mantente actualizado 
• No te fíes de nadie 
• #moreCrypto
Trust No One
Trust No One
AG Projects 
SIP Infrastructure Experts 
“Trust is like a mirror, you can fix it if it's 
broken, but you can still see the crack in that 
mother f*cker’s reflection.” 
! 
Lady Gaga
AG Projects 
SIP Infrastructure Experts 
¿Preguntas? 
bettercallsaghul.com

Weitere ähnliche Inhalte

Was ist angesagt?

WebRTC: El epicentro de la videoconferencia y IoT
WebRTC: El epicentro de la videoconferencia y IoTWebRTC: El epicentro de la videoconferencia y IoT
WebRTC: El epicentro de la videoconferencia y IoTSaúl Ibarra Corretgé
 
Overview For Thunderbird Casino 2007
Overview For Thunderbird Casino 2007Overview For Thunderbird Casino 2007
Overview For Thunderbird Casino 2007danielatcrockett
 
Seminario - Bitsense - UADE / Fundacion Proydesa
Seminario - Bitsense - UADE / Fundacion ProydesaSeminario - Bitsense - UADE / Fundacion Proydesa
Seminario - Bitsense - UADE / Fundacion ProydesaBitsense
 
Presentación VoIP2Day : Soluciones Ingeniosas con VoIP
Presentación VoIP2Day : Soluciones Ingeniosas con VoIPPresentación VoIP2Day : Soluciones Ingeniosas con VoIP
Presentación VoIP2Day : Soluciones Ingeniosas con VoIPAlberto Sagredo Castro
 
Fritzing Software - Presentación
Fritzing Software - PresentaciónFritzing Software - Presentación
Fritzing Software - PresentaciónJose Perez
 
Dn11 u3 a18_jcpo
Dn11 u3 a18_jcpoDn11 u3 a18_jcpo
Dn11 u3 a18_jcpochcesar
 

Was ist angesagt? (11)

WebRTC: El epicentro de la videoconferencia y IoT
WebRTC: El epicentro de la videoconferencia y IoTWebRTC: El epicentro de la videoconferencia y IoT
WebRTC: El epicentro de la videoconferencia y IoT
 
SIP más allá de la VoIP
SIP más allá de la VoIPSIP más allá de la VoIP
SIP más allá de la VoIP
 
Overview For Thunderbird Casino 2007
Overview For Thunderbird Casino 2007Overview For Thunderbird Casino 2007
Overview For Thunderbird Casino 2007
 
Seminario - Bitsense - UADE / Fundacion Proydesa
Seminario - Bitsense - UADE / Fundacion ProydesaSeminario - Bitsense - UADE / Fundacion Proydesa
Seminario - Bitsense - UADE / Fundacion Proydesa
 
Presentación VoIP2Day : Soluciones Ingeniosas con VoIP
Presentación VoIP2Day : Soluciones Ingeniosas con VoIPPresentación VoIP2Day : Soluciones Ingeniosas con VoIP
Presentación VoIP2Day : Soluciones Ingeniosas con VoIP
 
Wifislax 2.0
Wifislax 2.0Wifislax 2.0
Wifislax 2.0
 
Grabación de llamadas IP
Grabación de llamadas IPGrabación de llamadas IP
Grabación de llamadas IP
 
Fritzing Software - Presentación
Fritzing Software - PresentaciónFritzing Software - Presentación
Fritzing Software - Presentación
 
Voz ip desde dispositivos móviles
Voz ip desde dispositivos móvilesVoz ip desde dispositivos móviles
Voz ip desde dispositivos móviles
 
Overview For Pdvsa 2007
Overview For Pdvsa 2007Overview For Pdvsa 2007
Overview For Pdvsa 2007
 
Dn11 u3 a18_jcpo
Dn11 u3 a18_jcpoDn11 u3 a18_jcpo
Dn11 u3 a18_jcpo
 

Andere mochten auch

Videoconferencias: el santo grial de WebRTC
Videoconferencias: el santo grial de WebRTCVideoconferencias: el santo grial de WebRTC
Videoconferencias: el santo grial de WebRTCSaúl Ibarra Corretgé
 
CDRTool: CDR mediation and rating engine for OpenSIPS
CDRTool: CDR mediation and rating engine for OpenSIPSCDRTool: CDR mediation and rating engine for OpenSIPS
CDRTool: CDR mediation and rating engine for OpenSIPSSaúl Ibarra Corretgé
 
WebRTC enabling your OpenSIPS infrastructure
WebRTC enabling your OpenSIPS infrastructureWebRTC enabling your OpenSIPS infrastructure
WebRTC enabling your OpenSIPS infrastructureSaúl Ibarra Corretgé
 
Building an Open Source VoIP Hardware Phone
Building an Open Source VoIP Hardware PhoneBuilding an Open Source VoIP Hardware Phone
Building an Open Source VoIP Hardware PhoneSaúl Ibarra Corretgé
 
libuv, NodeJS and everything in between
libuv, NodeJS and everything in betweenlibuv, NodeJS and everything in between
libuv, NodeJS and everything in betweenSaúl Ibarra Corretgé
 
SylkServer: State of the art RTC application server
SylkServer: State of the art RTC application serverSylkServer: State of the art RTC application server
SylkServer: State of the art RTC application serverSaúl Ibarra Corretgé
 
libuv: cross platform asynchronous i/o
libuv: cross platform asynchronous i/olibuv: cross platform asynchronous i/o
libuv: cross platform asynchronous i/oSaúl Ibarra Corretgé
 

Andere mochten auch (20)

The Future of the PBX
The Future of the PBXThe Future of the PBX
The Future of the PBX
 
From SIP to WebRTC and vice versa
From SIP to WebRTC and vice versaFrom SIP to WebRTC and vice versa
From SIP to WebRTC and vice versa
 
Proyecto Open Pi Phone
Proyecto Open Pi PhoneProyecto Open Pi Phone
Proyecto Open Pi Phone
 
Videoconferencias: el santo grial de WebRTC
Videoconferencias: el santo grial de WebRTCVideoconferencias: el santo grial de WebRTC
Videoconferencias: el santo grial de WebRTC
 
Jitsi: State of the Union
Jitsi: State of the UnionJitsi: State of the Union
Jitsi: State of the Union
 
CDRTool: CDR mediation and rating engine for OpenSIPS
CDRTool: CDR mediation and rating engine for OpenSIPSCDRTool: CDR mediation and rating engine for OpenSIPS
CDRTool: CDR mediation and rating engine for OpenSIPS
 
Planning libuv v2
Planning libuv v2Planning libuv v2
Planning libuv v2
 
Python, WebRTC and You (v2)
Python, WebRTC and You (v2)Python, WebRTC and You (v2)
Python, WebRTC and You (v2)
 
WebRTC enabling your OpenSIPS infrastructure
WebRTC enabling your OpenSIPS infrastructureWebRTC enabling your OpenSIPS infrastructure
WebRTC enabling your OpenSIPS infrastructure
 
Building an Open Source VoIP Hardware Phone
Building an Open Source VoIP Hardware PhoneBuilding an Open Source VoIP Hardware Phone
Building an Open Source VoIP Hardware Phone
 
libuv, NodeJS and everything in between
libuv, NodeJS and everything in betweenlibuv, NodeJS and everything in between
libuv, NodeJS and everything in between
 
SylkServer: State of the art RTC application server
SylkServer: State of the art RTC application serverSylkServer: State of the art RTC application server
SylkServer: State of the art RTC application server
 
A deep dive into libuv
A deep dive into libuvA deep dive into libuv
A deep dive into libuv
 
libuv: cross platform asynchronous i/o
libuv: cross platform asynchronous i/olibuv: cross platform asynchronous i/o
libuv: cross platform asynchronous i/o
 
Python, WebRTC and You
Python, WebRTC and YouPython, WebRTC and You
Python, WebRTC and You
 
SIP2SIP: SIP gratis para las masas
SIP2SIP: SIP gratis para las masasSIP2SIP: SIP gratis para las masas
SIP2SIP: SIP gratis para las masas
 
Asyncio
AsyncioAsyncio
Asyncio
 
Introduction to asyncio
Introduction to asyncioIntroduction to asyncio
Introduction to asyncio
 
Rethinking the PBX
Rethinking the PBXRethinking the PBX
Rethinking the PBX
 
Blink: voice is not enough
Blink: voice is not enoughBlink: voice is not enough
Blink: voice is not enough
 

Ähnlich wie Trust No One

Alberto Sagredo voipnovatos- voip2day2011
Alberto Sagredo  voipnovatos- voip2day2011Alberto Sagredo  voipnovatos- voip2day2011
Alberto Sagredo voipnovatos- voip2day2011Alberto Sagredo Castro
 
Charla Nmap Jose Luis Chica Murcialanparty 11
Charla Nmap Jose Luis Chica Murcialanparty 11Charla Nmap Jose Luis Chica Murcialanparty 11
Charla Nmap Jose Luis Chica Murcialanparty 11spankito
 
Trabajo isakmp i psec
Trabajo isakmp   i psecTrabajo isakmp   i psec
Trabajo isakmp i psecJairo Rosas
 
Rompiendo el protocolo: Usos y abusos de TCP/IP
Rompiendo el protocolo: Usos y abusos de TCP/IPRompiendo el protocolo: Usos y abusos de TCP/IP
Rompiendo el protocolo: Usos y abusos de TCP/IPDaniel Torres
 
Seguridad en VoIP - Hackelarre
Seguridad en VoIP - HackelarreSeguridad en VoIP - Hackelarre
Seguridad en VoIP - HackelarrePablo Garaizar
 
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro JoaquínCPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro JoaquínWebsec México, S.C.
 
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]RootedCON
 
381429156-PLC-DVP-Fundamentals-RevB.pdf
381429156-PLC-DVP-Fundamentals-RevB.pdf381429156-PLC-DVP-Fundamentals-RevB.pdf
381429156-PLC-DVP-Fundamentals-RevB.pdfelkinmeza1
 
Aws Security Latam - Criptografia con KMS
Aws Security Latam - Criptografia con KMSAws Security Latam - Criptografia con KMS
Aws Security Latam - Criptografia con KMSMario IC
 
Pitufo Isa Server 2 K6
Pitufo Isa Server 2 K6Pitufo Isa Server 2 K6
Pitufo Isa Server 2 K6Chema Alonso
 
Curso Avanzado Seguridad Redes
Curso Avanzado Seguridad RedesCurso Avanzado Seguridad Redes
Curso Avanzado Seguridad RedesAntonio Durán
 
Métodos de encriptación en vpn s
Métodos de encriptación en vpn sMétodos de encriptación en vpn s
Métodos de encriptación en vpn sespe
 

Ähnlich wie Trust No One (20)

Alberto Sagredo voipnovatos- voip2day2011
Alberto Sagredo  voipnovatos- voip2day2011Alberto Sagredo  voipnovatos- voip2day2011
Alberto Sagredo voipnovatos- voip2day2011
 
Charla Nmap Jose Luis Chica Murcialanparty 11
Charla Nmap Jose Luis Chica Murcialanparty 11Charla Nmap Jose Luis Chica Murcialanparty 11
Charla Nmap Jose Luis Chica Murcialanparty 11
 
Seguridad en VoIP
Seguridad en VoIPSeguridad en VoIP
Seguridad en VoIP
 
HTTPS: Usted, úselo bien.
HTTPS: Usted, úselo bien.HTTPS: Usted, úselo bien.
HTTPS: Usted, úselo bien.
 
Trabajo isakmp i psec
Trabajo isakmp   i psecTrabajo isakmp   i psec
Trabajo isakmp i psec
 
Rip
RipRip
Rip
 
Elastix, TLS, SRTP y OpenVPN
Elastix, TLS, SRTP y OpenVPNElastix, TLS, SRTP y OpenVPN
Elastix, TLS, SRTP y OpenVPN
 
Rompiendo el protocolo: Usos y abusos de TCP/IP
Rompiendo el protocolo: Usos y abusos de TCP/IPRompiendo el protocolo: Usos y abusos de TCP/IP
Rompiendo el protocolo: Usos y abusos de TCP/IP
 
Comparativa Protocolos VPN
Comparativa Protocolos VPNComparativa Protocolos VPN
Comparativa Protocolos VPN
 
Seguridad en VoIP - Hackelarre
Seguridad en VoIP - HackelarreSeguridad en VoIP - Hackelarre
Seguridad en VoIP - Hackelarre
 
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro JoaquínCPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
 
Workshop SEGURIDAD EN TELEFONOS IP YEALINK TLS SRTP SEGURIDAD FISICA
Workshop SEGURIDAD EN TELEFONOS IP YEALINK TLS SRTP SEGURIDAD FISICAWorkshop SEGURIDAD EN TELEFONOS IP YEALINK TLS SRTP SEGURIDAD FISICA
Workshop SEGURIDAD EN TELEFONOS IP YEALINK TLS SRTP SEGURIDAD FISICA
 
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
 
Voice OVER IP
Voice OVER IPVoice OVER IP
Voice OVER IP
 
381429156-PLC-DVP-Fundamentals-RevB.pdf
381429156-PLC-DVP-Fundamentals-RevB.pdf381429156-PLC-DVP-Fundamentals-RevB.pdf
381429156-PLC-DVP-Fundamentals-RevB.pdf
 
Aws Security Latam - Criptografia con KMS
Aws Security Latam - Criptografia con KMSAws Security Latam - Criptografia con KMS
Aws Security Latam - Criptografia con KMS
 
Pitufo Isa Server 2 K6
Pitufo Isa Server 2 K6Pitufo Isa Server 2 K6
Pitufo Isa Server 2 K6
 
En 20 minutos... Buenas Practicas SSL
En 20 minutos... Buenas Practicas SSLEn 20 minutos... Buenas Practicas SSL
En 20 minutos... Buenas Practicas SSL
 
Curso Avanzado Seguridad Redes
Curso Avanzado Seguridad RedesCurso Avanzado Seguridad Redes
Curso Avanzado Seguridad Redes
 
Métodos de encriptación en vpn s
Métodos de encriptación en vpn sMétodos de encriptación en vpn s
Métodos de encriptación en vpn s
 

Mehr von Saúl Ibarra Corretgé

Challenges running Jitsi Meet at scale during the pandemic
Challenges running Jitsi Meet at scale during the pandemicChallenges running Jitsi Meet at scale during the pandemic
Challenges running Jitsi Meet at scale during the pandemicSaúl Ibarra Corretgé
 
The Road to End-to-End Encryption in Jitsi Meet
The Road to End-to-End Encryption in Jitsi MeetThe Road to End-to-End Encryption in Jitsi Meet
The Road to End-to-End Encryption in Jitsi MeetSaúl Ibarra Corretgé
 
Jitsi Meet: our tale of blood, sweat, tears and love
Jitsi Meet: our tale of blood, sweat, tears and loveJitsi Meet: our tale of blood, sweat, tears and love
Jitsi Meet: our tale of blood, sweat, tears and loveSaúl Ibarra Corretgé
 
Jitsi Meet: Video conferencing for the privacy minded
Jitsi Meet: Video conferencing for the privacy mindedJitsi Meet: Video conferencing for the privacy minded
Jitsi Meet: Video conferencing for the privacy mindedSaúl Ibarra Corretgé
 
Get a room! Spot: the ultimate physical meeting room experience
Get a room! Spot: the ultimate physical meeting room experienceGet a room! Spot: the ultimate physical meeting room experience
Get a room! Spot: the ultimate physical meeting room experienceSaúl Ibarra Corretgé
 
Going Mobile with React Native and WebRTC
Going Mobile with React Native and WebRTCGoing Mobile with React Native and WebRTC
Going Mobile with React Native and WebRTCSaúl Ibarra Corretgé
 
Going Mobile with React Native and WebRTC
Going Mobile with React Native and WebRTCGoing Mobile with React Native and WebRTC
Going Mobile with React Native and WebRTCSaúl Ibarra Corretgé
 
Jitsi: state-of-the-art video conferencing you can self-host
Jitsi: state-of-the-art video conferencing you can self-hostJitsi: state-of-the-art video conferencing you can self-host
Jitsi: state-of-the-art video conferencing you can self-hostSaúl Ibarra Corretgé
 

Mehr von Saúl Ibarra Corretgé (12)

Challenges running Jitsi Meet at scale during the pandemic
Challenges running Jitsi Meet at scale during the pandemicChallenges running Jitsi Meet at scale during the pandemic
Challenges running Jitsi Meet at scale during the pandemic
 
The Road to End-to-End Encryption in Jitsi Meet
The Road to End-to-End Encryption in Jitsi MeetThe Road to End-to-End Encryption in Jitsi Meet
The Road to End-to-End Encryption in Jitsi Meet
 
Jitsi: State of the Union 2020
Jitsi: State of the Union 2020Jitsi: State of the Union 2020
Jitsi: State of the Union 2020
 
Jitsi Meet: our tale of blood, sweat, tears and love
Jitsi Meet: our tale of blood, sweat, tears and loveJitsi Meet: our tale of blood, sweat, tears and love
Jitsi Meet: our tale of blood, sweat, tears and love
 
Jitsi Meet: Video conferencing for the privacy minded
Jitsi Meet: Video conferencing for the privacy mindedJitsi Meet: Video conferencing for the privacy minded
Jitsi Meet: Video conferencing for the privacy minded
 
Jitsi - Estado de la unión 2019
Jitsi - Estado de la unión 2019Jitsi - Estado de la unión 2019
Jitsi - Estado de la unión 2019
 
Get a room! Spot: the ultimate physical meeting room experience
Get a room! Spot: the ultimate physical meeting room experienceGet a room! Spot: the ultimate physical meeting room experience
Get a room! Spot: the ultimate physical meeting room experience
 
Going Mobile with React Native and WebRTC
Going Mobile with React Native and WebRTCGoing Mobile with React Native and WebRTC
Going Mobile with React Native and WebRTC
 
Going Mobile with React Native and WebRTC
Going Mobile with React Native and WebRTCGoing Mobile with React Native and WebRTC
Going Mobile with React Native and WebRTC
 
Jitsi: Estado de la Unión (2018)
Jitsi: Estado de la Unión (2018)Jitsi: Estado de la Unión (2018)
Jitsi: Estado de la Unión (2018)
 
Jitsi: state-of-the-art video conferencing you can self-host
Jitsi: state-of-the-art video conferencing you can self-hostJitsi: state-of-the-art video conferencing you can self-host
Jitsi: state-of-the-art video conferencing you can self-host
 
Jitsi: Open Source Video Conferencing
Jitsi: Open Source Video ConferencingJitsi: Open Source Video Conferencing
Jitsi: Open Source Video Conferencing
 

Kürzlich hochgeladen

Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdfPresentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdfymiranda2
 
VIDEOS DE APOYO.docx E
VIDEOS DE APOYO.docx                                  EVIDEOS DE APOYO.docx                                  E
VIDEOS DE APOYO.docx Emialexsolar
 
PRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOS
PRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOSPRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOS
PRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOSLincangoKevin
 
Carta de Premio y Excel angeline 11-2pdf
Carta de Premio y Excel angeline 11-2pdfCarta de Premio y Excel angeline 11-2pdf
Carta de Premio y Excel angeline 11-2pdfangelinebocanegra1
 
De Código a Ejecución: El Papel Fundamental del MSIL en .NET
De Código a Ejecución: El Papel Fundamental del MSIL en .NETDe Código a Ejecución: El Papel Fundamental del MSIL en .NET
De Código a Ejecución: El Papel Fundamental del MSIL en .NETGermán Küber
 
Tecnológia 2024.docx.Tecnológia 2024.docx.
Tecnológia 2024.docx.Tecnológia 2024.docx.Tecnológia 2024.docx.Tecnológia 2024.docx.
Tecnológia 2024.docx.Tecnológia 2024.docx.marianarodriguezc797
 
Inteligencia artificial dentro de la contabilidad
Inteligencia artificial dentro de la contabilidadInteligencia artificial dentro de la contabilidad
Inteligencia artificial dentro de la contabilidaddanik1023m
 
Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...
Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...
Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...OLGAMILENAMONTAEZNIO
 
El diseño de Algoritmos Paralelos.pdf - analisis de algortimos
El diseño de Algoritmos Paralelos.pdf - analisis de algortimosEl diseño de Algoritmos Paralelos.pdf - analisis de algortimos
El diseño de Algoritmos Paralelos.pdf - analisis de algortimosLCristinaForchue
 
Análisis de artefactos tecnologicos .pdf
Análisis de artefactos tecnologicos .pdfAnálisis de artefactos tecnologicos .pdf
Análisis de artefactos tecnologicos .pdfcastrodanna185
 
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdfTENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdfJoseAlejandroPerezBa
 
Actividad 14_ Diseño de Algoritmos Paralelos.pdf
Actividad 14_ Diseño de Algoritmos Paralelos.pdfActividad 14_ Diseño de Algoritmos Paralelos.pdf
Actividad 14_ Diseño de Algoritmos Paralelos.pdfalejandrogomezescoto
 
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdf
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdfInmersión global en ciberseguridad e IA en la conferencia RSA.pdf
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdfOBr.global
 
Matriz de integración de tecnologías- Paola Carvajal.docx
Matriz de integración de tecnologías- Paola Carvajal.docxMatriz de integración de tecnologías- Paola Carvajal.docx
Matriz de integración de tecnologías- Paola Carvajal.docxPaolaCarolinaCarvaja
 
La Electricidad y La Electrónica.pdf....
La Electricidad y La Electrónica.pdf....La Electricidad y La Electrónica.pdf....
La Electricidad y La Electrónica.pdf....Aaron Betancourt
 
La tablet trabajo en grupo del grado 9-2
La tablet trabajo en grupo del grado 9-2La tablet trabajo en grupo del grado 9-2
La tablet trabajo en grupo del grado 9-2montoyagabriela340
 
Los mejores simuladores de circuitos electrónicos.pdf
Los mejores simuladores de circuitos electrónicos.pdfLos mejores simuladores de circuitos electrónicos.pdf
Los mejores simuladores de circuitos electrónicos.pdfodalistar77
 
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...RaymondCode
 

Kürzlich hochgeladen (20)

Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdfPresentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
 
VIDEOS DE APOYO.docx E
VIDEOS DE APOYO.docx                                  EVIDEOS DE APOYO.docx                                  E
VIDEOS DE APOYO.docx E
 
PRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOS
PRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOSPRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOS
PRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOS
 
Carta de Premio y Excel angeline 11-2pdf
Carta de Premio y Excel angeline 11-2pdfCarta de Premio y Excel angeline 11-2pdf
Carta de Premio y Excel angeline 11-2pdf
 
De Código a Ejecución: El Papel Fundamental del MSIL en .NET
De Código a Ejecución: El Papel Fundamental del MSIL en .NETDe Código a Ejecución: El Papel Fundamental del MSIL en .NET
De Código a Ejecución: El Papel Fundamental del MSIL en .NET
 
Tecnológia 2024.docx.Tecnológia 2024.docx.
Tecnológia 2024.docx.Tecnológia 2024.docx.Tecnológia 2024.docx.Tecnológia 2024.docx.
Tecnológia 2024.docx.Tecnológia 2024.docx.
 
Inteligencia artificial dentro de la contabilidad
Inteligencia artificial dentro de la contabilidadInteligencia artificial dentro de la contabilidad
Inteligencia artificial dentro de la contabilidad
 
Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...
Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...
Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...
 
BEDEC Sostenibilidad, novedades 2024 - Laura Silva
BEDEC Sostenibilidad, novedades 2024 - Laura SilvaBEDEC Sostenibilidad, novedades 2024 - Laura Silva
BEDEC Sostenibilidad, novedades 2024 - Laura Silva
 
El diseño de Algoritmos Paralelos.pdf - analisis de algortimos
El diseño de Algoritmos Paralelos.pdf - analisis de algortimosEl diseño de Algoritmos Paralelos.pdf - analisis de algortimos
El diseño de Algoritmos Paralelos.pdf - analisis de algortimos
 
BEDEC Proyecto y obra , novedades 2024 - Xavier Folch
BEDEC Proyecto y obra , novedades 2024 - Xavier FolchBEDEC Proyecto y obra , novedades 2024 - Xavier Folch
BEDEC Proyecto y obra , novedades 2024 - Xavier Folch
 
Análisis de artefactos tecnologicos .pdf
Análisis de artefactos tecnologicos .pdfAnálisis de artefactos tecnologicos .pdf
Análisis de artefactos tecnologicos .pdf
 
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdfTENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
 
Actividad 14_ Diseño de Algoritmos Paralelos.pdf
Actividad 14_ Diseño de Algoritmos Paralelos.pdfActividad 14_ Diseño de Algoritmos Paralelos.pdf
Actividad 14_ Diseño de Algoritmos Paralelos.pdf
 
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdf
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdfInmersión global en ciberseguridad e IA en la conferencia RSA.pdf
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdf
 
Matriz de integración de tecnologías- Paola Carvajal.docx
Matriz de integración de tecnologías- Paola Carvajal.docxMatriz de integración de tecnologías- Paola Carvajal.docx
Matriz de integración de tecnologías- Paola Carvajal.docx
 
La Electricidad y La Electrónica.pdf....
La Electricidad y La Electrónica.pdf....La Electricidad y La Electrónica.pdf....
La Electricidad y La Electrónica.pdf....
 
La tablet trabajo en grupo del grado 9-2
La tablet trabajo en grupo del grado 9-2La tablet trabajo en grupo del grado 9-2
La tablet trabajo en grupo del grado 9-2
 
Los mejores simuladores de circuitos electrónicos.pdf
Los mejores simuladores de circuitos electrónicos.pdfLos mejores simuladores de circuitos electrónicos.pdf
Los mejores simuladores de circuitos electrónicos.pdf
 
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
 

Trust No One

  • 1. Trust No One Saúl Ibarra Corretgé @saghul
  • 2. AG Projects SIP Infrastructure Experts ¡Hola! • @saghul • AG Projects • Mi 4º ElastixWorld!
  • 3. AG Projects SIP Infrastructure Experts AG Projects
  • 9. AG Projects SIP Infrastructure Experts SIP 101
  • 10. AG Projects SIP Infrastructure Experts SIP + TLS  • No ofrece garantías end-to-end • Otros sistemas asumen que esto funciona • SIP Identity (RFC 4474), ¿Alguien?
  • 11. AG Projects SIP Infrastructure Experts SIP + TLS
  • 12. AG Projects SIP Infrastructure Experts SIP + TLS
  • 14.
  • 15. AG Projects SIP Infrastructure Experts SSL?, TLS? • 1995: SSL 2.0 (Netscape) • 1996: SSL 3.0 (Netscape) • 1999: TLS 1.0 (IETF) • 2006: TLS 1.1 • 2008: TLS 1.2
  • 16. 90s CALLED THEY WANT THEIR CRYPTO BACK
  • 17. AG Projects SIP Infrastructure Experts TLS 101
  • 18. AG Projects SIP Infrastructure Experts SIP + TLS • Habilitar SIP sobre TLS en DNS • Validar certificados (servidor, y cliente si se puede) • Versión de TLS a utilizar
  • 20. AG Projects SIP Infrastructure Experts OpenSIPS + TLS % • tls_ca_list • tls_certificate • tls_private_key • tls_method • tls_ciphers_list • tls_ec_curve • …
  • 21. AG Projects SIP Infrastructure Experts Método TLS (en OpenSSL) • SSLv2, SSLv3 • TLSv1 • No utiliza TLS v1.1 / v1.2! • SSLv23 • SSL_OP_NO_SSLv2 | SSL_OP_NO_SSLv3
  • 26. AG Projects SIP Infrastructure Experts Cipher Suites • Combinación de elementos para negociar una conexión TLS • autenticación • cifrado • algoritmo de key-exchange &
  • 27. AG Projects SIP Infrastructure Experts Mecanismo Diffie-Hellman • Protocolo de establecimiento de claves • Las partes no han tenido contacto previo • No proporciona autenticación • Se suele utilizar para establecer una clave de sesión &
  • 28. AG Projects SIP Infrastructure Experts (Perfect) Forward Secrecy • Garantía de que comprometer una clave ahora no compromete las usadas anteriormente • Protección frente a ataques de escucha pasiva &
  • 29. AG Projects SIP Infrastructure Experts Cipher Suites ECDHE-RSA-AES128-GCM-SHA256 Intercambio de claves Firma Cifrado Derivación de claves / hash para HMAC
  • 30. AG Projects SIP Infrastructure Experts Cipher Suites & • Forward Secrecy • DHE o ECDHE • Integridad + autenticación: AES-GCM • Es necesaria una versión reciente de OpenSSL (>= 1.0.1c)
  • 32. AG Projects SIP Infrastructure Experts SRTP 101 • Proporciona cifrado, autenticación e integridad para RTP / RTCP • Se utiliza una clave maestra y una función de derivación para cifrar los datos con AES
  • 33. AG Projects SIP Infrastructure Experts SRTP 101 • Obtención de la master key • SDES • ZRTP • DTLS
  • 34. AG Projects SIP Infrastructure Experts SDES • La clave va en el SDP • Mecanismo muy simple • Confiamos en que nadie puede ver la clave (usando SIP sobre TLS)
  • 35. v=0 o=- 3622367834 3622367834 IN IP4 192.168.99.54 s=Blink 0.9.1 (Linux) t=0 0 m=audio 50014 RTP/AVP 113 9 0 8 101 c=IN IP4 192.168.99.54 a=rtcp:50015 a=rtpmap:113 opus/48000 a=fmtp:113 useinbandfec=1 a=rtpmap:9 G722/8000 a=rtpmap:0 PCMU/8000 a=rtpmap:8 PCMA/8000 a=rtpmap:101 telephone-event/8000 a=fmtp:101 0-16 a=crypto:1 AEAD_AES_256_GCM inline:pf5+f55JuFhnw1JWVZGOIDQUwdZauReTk08PyzUxNXkcCooQnIphDhVkqZc= a=crypto:2 AEAD_AES_128_GCM inline:iJqlErJI4C5aMZ+atLaFCI+wb7da25qJT2BWcA== a=crypto:3 AEAD_AES_256_GCM_8 inline:adURgA4rN8vD72umdxYd7vMHIFDLQAE6CkOzt+PcLGHww+rsO5GqoGKdudA= a=crypto:4 AEAD_AES_128_GCM_8 inline:rI0VsovgqVI4VUNgYseUJx16I81aGu57TW8y1g== a=crypto:5 AES_256_CM_HMAC_SHA1_80 inline:KUrzE6XiYo2c3y0lmnKm/hpHDEKcqwzwiAZSeui/ P2QhyJEZVpzNegR9S5f4+w== a=crypto:6 AES_192_CM_HMAC_SHA1_80 inline:fJpjh8Hr7rRlUrImVMm3BneGeCuFYVIEGcaJlN8l01fSXkSrPUg= a=crypto:7 AES_CM_128_HMAC_SHA1_80 inline:jkmG7Rq2hqoRbGw2NEK/t7lZutJXCytFSC1Lhs7S a=crypto:8 AES_256_CM_HMAC_SHA1_32 inline:Ci/vj7yG8i5pTxSO81vrj5n8rznpY +ArDycCtQV58gGMvaYk1V06YXaRLcQYEg== a=crypto:9 AES_192_CM_HMAC_SHA1_32 inline:LHg/QVrJrgJnT0NSMjYIfNOnQwQyhXGKHvdK8iq6jj2KvX6WQmg= a=crypto:10 AES_CM_128_HMAC_SHA1_32 inline:eqx9hJlzRWBnYmctFaIeat31IDv2no4Ik7ArXpfz a=sendrecv
  • 36. AG Projects SIP Infrastructure Experts Problemas con SDES • Nos tenemos que fiar de que nadie pueda ver las claves • No garantiza el intercambio de claves end-to-end • No hay Forward Secrecy
  • 37. AG Projects SIP Infrastructure Experts B2B SRTP
  • 38. AG Projects SIP Infrastructure Experts ZRTP • Sistema de negociación de claves end-to-end • Utiliza Diffie-Hellman “dentro” del RTP • Autenticación mediante SAS
  • 39. AG Projects SIP Infrastructure Experts ZRTP: Mitigando ataques MiTM • SAS: Short Authentication String • Comprobación verbal de una palabra • Si coinciden no hay MiTM • Sólo necesario la primera vez
  • 40. AG Projects SIP Infrastructure Experts ZRTP: Mitigando ataques MiTM • Continuidad de claves (como SSH) • TOFU: Trust On First Use
  • 41. v=0 o=- 3622958388 3622958388 IN IP4 192.168.99.54 s=Blink 0.9.1 (Linux) t=0 0 m=audio 50000 RTP/AVP 113 9 0 8 101 c=IN IP4 192.168.99.54 a=rtcp:50001 a=rtpmap:113 opus/48000 a=fmtp:113 useinbandfec=1 a=rtpmap:9 G722/8000 a=rtpmap:0 PCMU/8000 a=rtpmap:8 PCMA/8000 a=rtpmap:101 telephone-event/8000 a=fmtp:101 0-16 a=zrtp-hash:1.10 8d4ddc401e82c9f7b6daba77f5c907c5c6334f9e2724355d679a3b01b2eb3b51 a=sendrecv
  • 42. AG Projects SIP Infrastructure Experts DTLS-SRTP • Uso de DTLS para intercambiar claves • Mismo puerto que RTP • Certificados auto firmados (WebRTC) • Requiere de integridad del signaling, pero no de confidencialidad • Comparación del fingerprint a modo de SAS
  • 43. v=0 o=- 7518264307715983377 2 IN IP4 127.0.0.1 s=- t=0 0 a=group:BUNDLE audio video a=msid-semantic: WMS CCJALAcas2qVJgyxxWGmq2zKZNLF0XnQq2Gu m=audio 39664 RTP/SAVPF 111 103 104 0 8 106 105 13 126 c=IN IP4 192.168.1.117 a=rtcp:1 IN IP4 0.0.0.0 a=candidate:319969617 1 udp 2113937151 192.168.1.117 39664 typ host generation 0 a=candidate:1569826209 1 tcp 1509957375 192.168.1.117 0 typ host generation 0 a=ice-ufrag:Qg33c7pBulT0cCdy a=ice-pwd:RNfxxKFEXdpCPsUZ2YYZyKWF a=fingerprint:sha-256 C3:82:98:81:9D:B5:E5:5F:EF:65:CC:A6:A2:6D:87:BA:60:BC:38:D3:6B:E1:95:B4:38:43:18:9B:FD:F6:39:FE a=setup:active a=mid:audio a=extmap:1 urn:ietf:params:rtp-hdrext:ssrc-audio-level a=sendrecv a=rtcp-mux a=rtpmap:111 opus/48000/2 a=fmtp:111 minptime=10 a=rtpmap:103 ISAC/16000 a=rtpmap:104 ISAC/32000 a=rtpmap:0 PCMU/8000 a=rtpmap:8 PCMA/8000 a=rtpmap:106 CN/32000 a=rtpmap:105 CN/16000 a=rtpmap:13 CN/8000 a=rtpmap:126 telephone-event/8000 a=maxptime:60 a=ssrc:1104846898 cname:uBYN/T5ZOYpyjSKN a=ssrc:1104846898 msid:CCJALAcas2qVJgyxxWGmq2zKZNLF0XnQq2Gu a31bf8b7-fd0f-4d64-8b01-2b7c8a70ac13 a=ssrc:1104846898 mslabel:CCJALAcas2qVJgyxxWGmq2zKZNLF0XnQq2Gu a=ssrc:1104846898 label:a31bf8b7-fd0f-4d64-8b01-2b7c8a70ac13 m=video 39664 RTP/SAVPF 100 116 117 c=IN IP4 192.168.1.117 a=rtcp:1 IN IP4 0.0.0.0 a=candidate:319969617 1 udp 2113937151 192.168.1.117 39664 typ host generation 0 a=candidate:1569826209 1 tcp 1509957375 192.168.1.117 0 typ host generation 0 a=ice-ufrag:Qg33c7pBulT0cCdy a=ice-pwd:RNfxxKFEXdpCPsUZ2YYZyKWF a=fingerprint:sha-256 C3:82:98:81:9D:B5:E5:5F:EF:65:CC:A6:A2:6D:87:BA:60:BC:38:D3:6B:E1:95:B4:38:43:18:9B:FD:F6:39:FE a=setup:active a=mid:video a=extmap:2 urn:ietf:params:rtp-hdrext:toffset a=extmap:3 http://www.webrtc.org/experiments/rtp-hdrext/abs-send-time a=sendrecv
  • 45. AG Projects SIP Infrastructure Experts ¿Cuál elegir? • SDES si no hay más remedio • ZRTP no está muy desplegado pero es más “oportunista” • Autenticación / identidad en DTLS-SRTP • ZRTP y DTLS-SRTP ofrecen Forward Secrecy
  • 46. AG Projects SIP Infrastructure Experts libSRTP 1.5.0 • Puede usar OpenSSL como backend • Soporta AES-GCM • Aceleración hardware: AES-NI &
  • 47. OTR (
  • 48. AG Projects SIP Infrastructure Experts OTR 101 • Cifrado para mensajes de chat • Diffie-Hellman para key-exchange • AES para cifrado
  • 49. AG Projects SIP Infrastructure Experts OTR • Proporciona Forward Secrecy • Autenticación denegable • Proporciona protección contra ataques MiTM usando autenticación mediante SMP
  • 52. AG Projects SIP Infrastructure Experts SMP • “Problema del Socialista Millonario” • Mecanismo de autenticación sobre Diffie-Hellman • Se basa en mezclar DH con un secreto compartido por ambas partes
  • 57. AG Projects SIP Infrastructure Experts Resumiendo + • Cifra todo siempre que se pueda • Usa mecanismos con Forward Secrecy • Mantente actualizado • No te fíes de nadie • #moreCrypto
  • 60. AG Projects SIP Infrastructure Experts “Trust is like a mirror, you can fix it if it's broken, but you can still see the crack in that mother f*cker’s reflection.” ! Lady Gaga
  • 61. AG Projects SIP Infrastructure Experts ¿Preguntas? bettercallsaghul.com