Vpn o srtp + tls


(Carlos R) #1

buenas noches, un saludo a la comunidad de un miembro “solo lectura” hasta hoy :stuck_out_tongue:

soy novato “adelantado” en voip, seguramente lo notareis rápido. Lo de novato eh, lo de adelantado quizá os cueste mas :S

mis dudas son sobre encriptacion de llamadas pero de paso igual me decís que estoy haciendo una tontería con alguna cosa. a ver:

tengo una freepbx con 20 extensiones. la freepbx y 10 teléfonos estan detrás de un firewall A. Los otros 10 teléfonos estan detrás del firewall B y conectados a traves de una VPN entre A y B.

al ser una vpn compartida entre datos y voip, tenemos micro cortes de voz que he acabado achacando a eso, a no tener separados datos y voz. Punto a mejorar pero de momento asi estamos.

también tenemos 1 extension detrás de un router adsl en una localización externa a los sites A y B.

esta extension no tiene micro cortes, así pues quiero poner todos los teléfonos de B fuera de la VPN, directos al freepbx por la ip publica de A. Igual que el telefono detrás del router.

pero al sacarlas de la vpn pienso que pierdo en seguridad, verdad?

si no voy equivocado, puedo usar srtp + tls entre la centralita y las extensiones.

si voy bien hasta aquí, las dudas son estas:

1- con la situación actual (todo por vpn) solo tengo seguras las llamadas internas, ¿verdad? las que salen al exterior na de na, ¿cierto?

2- si paso de la vpn y protejo con srtp + tls, seguiré teniendo seguras las internas e inseguras las externas, ¿verdad?

3- evidentemente, el firewall A solo permite conectar con la centralita desde las ip pertinentes. teniendo esto en cuenta, aunque alguien robara algun dato como usuarios y contraseñas, ¿debe preocuparme mucho?

4- las comunicaciones con el trunk del proveedor, ¿son tan fáciles de “hackear” como una simple y desprotegida llamada sin encriptar?

5- ¿algun consejo?

muchas gracias por adelantado!

carlos


#2

1.- La VPN protege todos los datos que circulen por ella, no lo veas como “internas” vs “externas”, mas bien miralo como ramas de la comunicacion. En tu caso puntual, lo que viaja por la VPN es la comunicacion entre las extensiones y tu FreePBX. Si la conexion entre tu FreePBX y el trunk IP no esta encriptada, en teoria podria ser interceptada, si es a eso a lo que te refieres con “llamadas seguras”

2.- Exacto, lo que va a seguir estando encriptado es la conexion entre extensiones y FreePBX.

3.- Si tienes el firewall correctamente configurado, el robo de las credenciales de conexion no deberia representar un problema grave, en teoria.

4.- Si con “hackear” te refieres a interceptar las llamadas, es posible aunque no es tan sencillo de hacer.

5.- Mi consejo personal es que no descartes la VPN por los microcortes, ya que el problema de los microcortes seguramente no es la VPN en si, sino el estado de la conexion de internet, que en cualquier caso va a ser el mismo si usas VPN o TLS, los microcortes seguramente se estan provocando por una inestabilidad o sobrecarga en la conexion a internet ya sea del lado A, del lado B o ambas.


(Carlos R) #3

ostras @arielgrin mis dudas despejadas :slight_smile:

el ancho de banda utilizado es irrisorio. de entrada, de salida, el udp, el tcp, todo en niveles por debajo del 1% o 2% y si hay algun pico pocas veces llega a 10mb siendo la linea de 50 simetricos.

yo puedo provocar un micro corte si durante la llamada conecto un cliente SSL VPN y me conecto por RDP a otro servidor de la red. En las monitorizaciones de los firewalls no veo mas que un pico en ese momento pero que no llega ni al 1% de la grafica correspondiente. Tampoco veo (o no se ver) ningun rastro de error. Pero se producen micro cortes mientras se establece conexion, autoriza el rdp e inicia la sesion. Despues todo sigue bien.

¿no hace mas pinta de cableado con muchos switchs compartidos entre voz y datos y acabando todo en un simple switch no configurable que lo acaba liando todo?

muchas gracias :wink:


#4

El ancho de banda no es lo crítico, sino la latencia. Ambas conexiones son de 50 simétricas, del mismo proveedor, tanto del lado A como del lado B ?


(Carlos R) #5

uy que va, una fibra movistar de 300/50 en A y una fibra de proveedor local 50/50 en B.

Ambas parecen estables en esas velocidades. Si que es verdad que tenemos una discrepacia con el proveedor, el nos da un MTU de 1480 y el firewall me hace calcular y me dice que debo poner un MTU distinto… de momento esta puesto el que me dice el proveedor pero es una prueba que tengo pendiente.


#6

Yo te puedo dar mí experiencia. Tengo una VPN IPSEC para mi FreePBX de la oficina en una conexión inalambrica de 2MB y en mi casa tengo una conexión cablemodem de 100/8 y las llamadas funcionan a la perfección, salvo que esté saturando la conexión inalámbrica, lo que provoca latencia en la conexión inalámbrica.
Lo que podrías chequear es si varía la latencia de la conexión cuando notas los picos de consumo al usar RDP.


(Carlos R) #7

mirare lo de la latencia, tengo mas opciones antes de liarme con las encriptaciones,

muchas gracias señor! :slight_smile: y buenas noches

a ver si puedo poner la solucion pronto…