Asterisk и let’s Encrypt

В последнее время, из-за пандемии и не только, наблюдается тенденция перевода сотрудников на удаленку. Такой переход позволяет компаниям экономить на оборудовании, зарплатах, аренде и обслуживании офиса. АТС в этом случае переносится в облако или к ней предоставляется удаленный доступ через Интернет. Особенно это актуально для аутсорсинговых call-центров услугами, которых пользуются банки, страховые компании и т.д.. В подобных случаях стоило бы подумать о защите внутренних и внешних звонков. И тут к нам на помощь приходит SIP over TLS и SRTP. 

SIP over TLS (Transport Layer Security) – шифрует информацию передаваемую по SIP. Позволяет снизить эффект от DoS-атак (Denial of Service – отказ в обслуживании), при которой на сервер поступает  большое количество недействительных запросов INVITE с целью вызвать перегрузку системы. Эти атаки относительно просто реализовать, и они мгновенно отражаются на пользователях системы. SIP реализует схему, которая гарантирует, что для установления связи между вызывающим абонентом и доменом вызываемого абонента используется безопасный транспортный механизм с шифрованием (TLS). Также использование TLS позволяет исключить риск MITM-атаки (Man in the middle — атака «человек посередине»), которая может быть использована для перехвата аутентификационных данных таких, как пароль и имя пользователя. Пароль в SIP хэшируется с использованием MD5, который уже давно не рекомендуется к использованию. В дополнение к этому TLS полностью шифрует SIP, и злоумышленник не сможет получить и анализировать информацию о звонках абонента, которая в дальнейшем может быть использована, например, в социальной инженерии. Шифрование речевых данных в задачи SIP не входит.

SRTP (Secure Real-time Transport Protocol) – это профиль безопасности для RTP (Real-Time Transport Protocol — транспортный протокол в реальном времени), предназначенный для обеспечения шифрования, проверки подлинности и целостности сообщений речевых данных. Используется для минимизации рисков DoS-атак, защиты от атак повторного воспроизведения, при которых переданные ранее данные могут быть записаны и использованы для имитации аутентичности. Также SRTP защищает разговор абонентов от прослушивания.

Далее в статье будет описан сценарий настройки сервера IP-телефонии Asterisk с использованием сертификата от Let’s Encrypt с проверкой DNS, позволяющей подтверждать запросы на выдачу сертификатов по DNS-записи, а не путем предоставления содержимого по HTTP. Такая проверка также позволяет выпускать wildcard-сертификаты, которые потом могут быть использованы, например, на web-сервере или сервере не имеющим доступа в Интернет.

Для начала подключаем репозиторий EPEL (Extra Packages for Enterprise Linux), в котором содержится snap, с помощью которого мы установим последнюю версию certbot. Certbot — это ACME-клиент от Фонда Электронных Рубежей, написанный на Python и обеспечивающий простой и быстрый способ получения сертификатов. Certbot рекомендован Let’s Encrypt.

$ sudo yum install epel-release -y

Устанавливаем python3 и snapd 

$ sudo yum install -y python3 snapd

Запускаем сервис snapd и устанавливаем certbot

$ sudo systemctl start snapd.service
$ sudo systemctl enable snapd
$ sudo ln -s /var/lib/snapd/snap /snap
$ sudo snap install --classic certbot

После завершения установки видим сообщение:
certbot 1.26.0 from Certbot Project (certbot-eff✓) installed

Создадим нужные для запуска Certbot ссылки:

$ sudo ln -s /snap/bin/certbot /usr/bin/certbot

Мы можем убедиться, что Certbot успешно установлен:

$ certbot --version
certbot 1.26.0

Теперь нам нужно загрузить и установить хук acme-dns-certbot, что позволит клиенту Certbot работать в режиме проверки DNS.

Загрузим копию скрипта:

$ wget https://github.com/joohoi/acme-dns-certbot-joohoi/raw/master/acme-dns-auth.py

После завершения загрузки сделаем скрипт исполняемым:

$ chmod +x acme-dns-auth.py

Затем отредактируем скрипт с помощью любого текстового редактора так, чтобы он использовал Python 3 при запуске:

$ nano acme-dns-auth.py

Добавляем 3 в конец первой строки, сохраняем и выходим:

#!/usr/bin/env python3

Доустанавливаем модуль requests для python3

$ pip3 install requests

Перемещаем скрипт в каталог с Certbot Let’s Encrypt, что бы он мог его загрузить:

$ sudo mv acme-dns-auth.py /etc/letsencrypt/

Чтобы начать использовать acme-dns-certbot, нам необходимо выполнить первоначальную настройку и выдать хотя бы один сертификат.

$ sudo certbot certonly --manual --manual-auth-hook /etc/letsencrypt/acme-dns-auth.py --preferred-challenges dns --debug-challenges -d \*.example.com

Мы используем аргумент —manual, чтобы отключить все функции автоматической интеграции, позволяющий просто выпустить сертификат.

С помощью аргумента —manual-auth-hook указываем certbot использовать хук acme-dns-auth. 

Аргумент —preferred-challenges используется для того, чтобы certbot отдал предпочтение проверке DNS.

Мы также должны указать certbot делать паузу, прежде чем пытаться проверить сертификат, с помощью аргумента —debug-challenges. Это позволит нам создать CNAME запись, необходимую для acme-dns-auth.

Далее по запросу certbot вводим свой email адрес.

Соглашаемся с условиями обслуживания.

Соглашаемся или не соглашаемся получать письма от Фонда Электронных Рубежей.

Далее видим сообщение с просьбой добавить CNAME запись в нашей DNS зоне.

Please add the following CNAME record to your main DNS zone:
 _acme-challenge.example.com CNAME 256791df-17d7-4c53-a303-33a0fc037feb.auth.acme-dns.io.

Делаем паузу и добавляем CNAME запись в нашей DNS зоне, выставляем параметр TTL как можно меньше, чтобы эта запись обновлялась в кэше DNS-серверов как можно быстрее:

После добавления записи жмем Enter и если все хорошо видим сообщение:

Successfully received certificate.
Certificate is saved at: /etc/letsencrypt/live/example.com/fullchain.pem
Key is saved at:         /etc/letsencrypt/live/example.com/privkey.pem
This certificate expires on 2022-07-26.
These files will be updated when the certificate renews.
Certbot has set up a scheduled task to automatically renew this certificate in the background.
— — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — —
If you like Certbot, please consider supporting our work by:
* Donating to ISRG / Let’s Encrypt:   https://letsencrypt.org/donate
* Donating to EFF:                    https://eff.org/donate-le
— — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — —

Теперь приступим к пересборке Asterisk с модулем SRTP.

Если вы устанавливали зависимости с помощью скрипта install_prereq из каталога contrib/scripts, который находится в папке с исходниками, то ничего доустанавливать не нужно. Если нет, то устанавливаем библиотеку libsrtp:

$ yum install -у libsrtp-devel

Пересобираем Asterisk с модулем SRTP:

$ cd /usr/local/src/asterisk-18.11.2/
$ sudo ./configure --without-pjproject-bundled --libdir=/usr/lib64
$ sudo make menuselect

Выбираем модуль res_srtp сохраняемся и выходим.

Устанавливаем Asterisk:

$ sudo make 
$ sudo make install

Копируем файлы сертификата и закрытого ключа:

$ sudo mkdir /etc/asterisk/keys
$ sudo cp /etc/letsencrypt/live/example.com/privkey.pem /etc/asterisk/keys/asterisk.key
$ sudo cp /etc/letsencrypt/live/example.com/fullchain.pem /etc/asterisk/keys/asterisk.cert

Если у вас появится ошибка доступа к каталогу  /etc/letsencrypt/live/, то выдаем права на этот каталог и копируем сертификаты:

$ sudo chmod 755 /etc/letsencrypt/live/

После копирования меняем права, оставляем только пользователю root:

$ sudo chmod 700 /etc/letsencrypt/live/

Меняем владельца на пользователя под, которым запускается Asterisk и выдаем права на каталог /etc/asterisk/keys/:

sudo chown -R asterisk:asterisk /etc/asterisk/keys
sudo chmod go-rwx /etc/asterisk/keys/asterisk.cert /etc/asterisk/keys/asterisk.key

После того как мы собрали Asterisk с необходимым модулем и скопировали файлы сертификата и ключа, нужно прописать в sip.conf следующие параметры:

[general]
tlsenable=yes
tlsbindaddr=0.0.0.0:5061
tlscertfile=/etc/asterisk/keys/asterisk.cert
tlsprivatekey=/etc/asterisk/keys/asterisk.key
tlscipher=ALL

tlsenable — включаем TLS.
tlsbindaddr — указываем Asterisk слушать для TLS порт 5061 на всех адресах.
tlscertfile – указываем путь к сертификату.
tlsprivatekey – указываем путь к закрытому ключу.
tlscipher — параметр, указывающий, какие алгоритмы шифрования SSL использовать или не использовать.

Далее указываем пирам использовать TLS (параметр transport) и SRTP (параметр encryption):

transport=tls
encryption=yes

Выполняем:

$ sudo asterisk -rx "sip reload"

И проверяем доступность TLS на потру 5061 командой:

$ openssl s_client -connect 127.0.0.1:5061

Вывод должен быть таким:

Вы можете создать скрипт для автоматического обновления сертификата и запускать его с помощью cron, пример скрипта:

#!/bin/bash
# Обновляем сертификат
/usr/bin/certbot renew --force-renewal --quiet
# Копируем сертификат и ключ
cp /etc/letsencrypt/live/example.com/privkey.pem /etc/asterisk/keys/asterisk.key
cp /etc/letsencrypt/live/example.com/fullchain.pem /etc/asterisk/keys/asterisk.cert
# Меняем владельца, устанавливаем права на сертификат и ключ
chown -R asterisk:asterisk /etc/asterisk/keys
chmod 600 /etc/asterisk/keys/asterisk.cert /etc/asterisk/keys/asterisk.key
# перезагружаем sip.conf
/usr/sbin/asterisk -rx "sip reload"

Далее настраиваем софтфоны для работы SIP через TLS и SRTP:

MicroSIP:

PhonerLite:

И напоследок, если вы хотите чтобы ваши звонки до SIP оператора тоже шифровались, вам нужен оператор, который предоставляет данную услугу, например SIPNET.