Mídia segura
A mídia segura usa criptografia para garantir que a mídia da chamada e a sinalização associada permaneçam privadas durante a transmissão. TLS (Segurança da camada de transporte) fornece criptografia para sinalização SIP. O SRTP (Secure Real-time Transport Protocol, protocolo de transporte seguro em tempo real) fornece criptografia para pacotes de mídia/conteúdo de chamadas.
O SRTP fornece uma estrutura para a criptografia de RTP e RTCP. O RFC 4568, SDES (Session Description Protocol Security Descriptions, descrições de segurança para o protocolo de descrição de sessão) do SDP (Session Description Protocol, protocolo de descrição da sessão) para fluxos de mídia, define esse protocolo especificamente projetado para trocar material criptográfico usando um atributo de criptografia SDP recém‐definido.
Entrada:
Você pode ativar ou desativar a Mídia segura no domínio SIP. Ela está desativada por padrão.
Você pode esperar o seguinte:
- Ativada: O TLS deve ser usado para criptografar mensagens SIP e o SRTP deve ser usado para os pacotes de mídia. Todas as chamadas não criptografadas serão rejeitadas.
- Desativada: O RTP deve ser usado para pacotes de mídia. As mensagens SIP podem ser enviadas como claras ou usando TLS. Todas as chamadas criptografadas do SRTP serão rejeitadas.
- O SRTP oferece suporte aos seguintes conjuntos de criptografia:
AES_CM_128_HMAC_SHA1_80
eAES_CM_128_HMAC_SHA1_32
. Ambos podem ser incluídos na ordem de preferência. - O parâmetro MKI (Master Key Identifier, identificador de chave mestra) opcional não é compatível
Saída:
Certifique-se de configurar o parâmetro secure=true
como parte da URI SIP para proteger a mídia em chamadas outbound SIP.
<?xml version="1.0" encoding="UTF-8"?>
<Response>
<Dial>
<Sip>sip:jack@example.com;secure=true</Sip>
</Dial>
</Response>
A porta padrão 5061 será usada para TLS.
- Somente um único conjunto de criptografia para SRTP é incluído:
AES_CM_128_HMAC_SHA1_80
- O parâmetro MKI (Master Key Identifier, identificador de chave mestra) opcional não é compatível
Como importar o certificado da CA raiz da Twilio
O TLS é usado para criptografar a sinalização SIP entre endpoints SIP. Para que isso funcione corretamente, os dispositivos em sua rede que se comunicam diretamente com a Twilio devem ser configurados para confiar no Certificado TLS/SSL da Twilio. A Twilio usa certificados emitidos por uma CA (Certificate Authority, autoridade de certificação). Pode ser necessário incluir certificados raiz adicionais à sua infraestrutura de comunicações para estabelecer a autenticidade do certificado da Twilio na rede. Faça o download do pacote de certificados CA confiáveis da Twilio.
A Twilio usa um certificado curinga que pode ser usado para vários subdomínios de um domínio (*.sip.twilio.com
). Se o elemento de rede não for compatível com certificados curinga, desative a validação do certificado.
Suporte a TLS/SRTP com Asterisk
O Asterisk é enviado com o driver chan_sip
por padrão e funciona bem com a Twilio. No entanto, se você tiver algum motivo para executar o driver PJSIP
com o Asterisk, observe o seguinte:
Aqui está um guia de instalação de uma versão não agrupada do PJSIP. Altere a versão para a 2.5.5 nas etapas.
O Asterisk 13.8 cert2 é padronizado para PJSIP 2.5
e não funcionará com a Twilio para fins de TLS/SRTP. As chamadas não criptografadas ainda funcionarão.
Certifique‐se de usar o driver PJSIP
mais recente, que neste momento é 2.5.5
.
Você pode ver a seguinte mensagem em seu log:
ERROR[10886]: pjproject:0 <?>: tlsc0x7f217c03 RFC 5922 (section 7.2) does not allow TLS wildcard certificates. Advise your SIP provider, please!
Esta mensagem pode ser ignorada.
Precisa de ajuda?
Às vezes, todos nós precisamos; a programação é difícil. Receba ajuda agora da nossa equipe de suporte, ou confie na sabedoria da multidão navegando pelo Stack Overflow Collective da Twilio ou buscando a tag Twilio no Stack Overflow.