Сообщение Re[17]: Разумность 16 байтных IP-адресов - ведь глупость сде от 14.11.2024 8:25
Изменено 14.11.2024 8:35 netch80
Re[17]: Разумность 16 байтных IP-адресов - ведь глупость сде
Здравствуйте, Stanislaw K, Вы писали:
SK>Кровавому энетрпрайзу дешево, у него уже есть документально оформленная (пусть и
S>>Для таких задач редко применяют общественную инфраструктуру — достаточно иметь вендорский Root CA предпрошитым в устройстве.
S>>А со стороны устройства главное — чтобы публичный ключ устройства был подписан сертификатом вендора, там цепочка из одного звена.
S>>Поэтому платить никому ни за что не надо.
SK>А затем вендорский RootCA со сроком действия 30 лет "утекает" (как это было и будет много раз) и смысл этого шапито нулевой.
++.
SK>>>И все ради чего? ради того, чтобызлоумышленник третье лицо, перехватив несколько пакетов трафика не смог понять содержимого.
S>>Совершенно верно. Потому что когда это "содержимое" — plaintext username/password,
SK>Не используй plaintext.
Он не в курсе, что авторизация SIP в принципе не бывает plaintext
S>>как это было в случаях, которые я упоминал, его "понимание" злоумышленнику полный контроль над вашей железкой. А в плохом случае — и над вашим аккаунтом (если железка авторизуется на сервере, как IP телефон).
SK>так еще же нужно криптовать сам медиа трафик RTP/RTSP. а как стандарт sRTP/RTSPs приняли совсем недавно, так еще позже его поддержка появилась в PBX и "в железе". на тот момент типичный офисный ПК целиком стоил дешевле настольного VoIP аппарата.
Ну тут несколько преувеличение, по моей памяти.
Базовый RFC по SRTP это 2004. К тому времени реализации как минимум SDES (когда стороны обменялись явными ключами через сигнализацию, может, и открытую) уже были отработаны, а в корпоративных условиях и это поверх SIPS бегало, так что ключи посторонний не видел. DTLS стандартизовали только в 2008, но опять же оно было и раньше, хоть и локально.
Телефоны были разных систем. Конечно, вендоры пытались продать максимально навороченные аппараты за тонны нефти, но в массе пользователи вполне могли сидеть на POTS (plain old telephone system) телефоне, включенном в FXS порт. Cisco ATA186 — H.323. Sipura звери типа SPA1000, SPA2000 — SIP. Я как раз в VoIP начал работать в 2004 и с ходу получил SPA2000 (то есть два порта FXS), а дальше пошёл в магазин, купил 2 обычных "офисных" телефона (чтобы была штатная кнопка Flash) с подключением в обычную сеть и работал через них. Так вот эта SPA2000 "на рынке" стоила около 200$, а офисный компьютер нормальный начинался от 500. SPA1000 с одним портом стоила ещё дешевле — около 150$. При этом SPA коробочки имели собственный веб-интерфейс, TFTP клиента, читатель конфига в бинарном формате (была тулза для его изготовления). Держали два звонка одновременно, но с ограничениями по кодекам — G.729 мог работать только на одном.
Потом когда стали делать и тестить всякие трансферы — потребовался, конечно, второй такой 2*FXS блок, потом выдали уже аппарат с дисплеем... но стартовать на таком было без проблем.
Я один раз в сипуру включил даже старый советский аппарат с дисковым номеронабирателем, ради хохмы. Работало как ни в чём ни бывало. Что в линии 48В вместо 60В и другой формат сигнала вызова — ему было пофиг, звонил и принимал.
Одновременно с этим включались и другие вендоры — я помню, что сразу же была пачка коробок всех видов от GrandStream. Позже кто только ни подключался, например, аж D-Link в куче конфигураций типа "2 FXO + 8 FXS". Но это уже в 2006 и далее.
И Sipura уже тогда умела SIPS и SDES (вот что за шифры, в упор не помню). DTLS появился позже с новыми прошивками (возможно, при переходе на PAP2). И с сертификатами там были сложности, мы до ~2010 на них не обращали внимания из-за чудовищной запутанности всей инфраструктуры. В основном работал вариант, что провижининг из некоего центра раздавал конфиг, в котором был уже сертификат SIP прокси, чтобы SIPS работал. А вот защиту провижининга чем делали — я не видел. Жалоб на взлом/перехват было крайне мало и только из-за ляпов в самих устройствах, а не перехват где-то посредине. Может, специфика наших клиентов.
То есть всё это медленно, постепенно развивалось, осваивая технологии.
SK>Кровавому энетрпрайзу дешево, у него уже есть документально оформленная (пусть и
S>>Для таких задач редко применяют общественную инфраструктуру — достаточно иметь вендорский Root CA предпрошитым в устройстве.
S>>А со стороны устройства главное — чтобы публичный ключ устройства был подписан сертификатом вендора, там цепочка из одного звена.
S>>Поэтому платить никому ни за что не надо.
SK>А затем вендорский RootCA со сроком действия 30 лет "утекает" (как это было и будет много раз) и смысл этого шапито нулевой.
++.
SK>>>И все ради чего? ради того, чтобы
S>>Совершенно верно. Потому что когда это "содержимое" — plaintext username/password,
SK>Не используй plaintext.
Он не в курсе, что авторизация SIP в принципе не бывает plaintext
S>>как это было в случаях, которые я упоминал, его "понимание" злоумышленнику полный контроль над вашей железкой. А в плохом случае — и над вашим аккаунтом (если железка авторизуется на сервере, как IP телефон).
SK>так еще же нужно криптовать сам медиа трафик RTP/RTSP. а как стандарт sRTP/RTSPs приняли совсем недавно, так еще позже его поддержка появилась в PBX и "в железе". на тот момент типичный офисный ПК целиком стоил дешевле настольного VoIP аппарата.
Ну тут несколько преувеличение, по моей памяти.
Базовый RFC по SRTP это 2004. К тому времени реализации как минимум SDES (когда стороны обменялись явными ключами через сигнализацию, может, и открытую) уже были отработаны, а в корпоративных условиях и это поверх SIPS бегало, так что ключи посторонний не видел. DTLS стандартизовали только в 2008, но опять же оно было и раньше, хоть и локально.
Телефоны были разных систем. Конечно, вендоры пытались продать максимально навороченные аппараты за тонны нефти, но в массе пользователи вполне могли сидеть на POTS (plain old telephone system) телефоне, включенном в FXS порт. Cisco ATA186 — H.323. Sipura звери типа SPA1000, SPA2000 — SIP. Я как раз в VoIP начал работать в 2004 и с ходу получил SPA2000 (то есть два порта FXS), а дальше пошёл в магазин, купил 2 обычных "офисных" телефона (чтобы была штатная кнопка Flash) с подключением в обычную сеть и работал через них. Так вот эта SPA2000 "на рынке" стоила около 200$, а офисный компьютер нормальный начинался от 500. SPA1000 с одним портом стоила ещё дешевле — около 150$. При этом SPA коробочки имели собственный веб-интерфейс, TFTP клиента, читатель конфига в бинарном формате (была тулза для его изготовления). Держали два звонка одновременно, но с ограничениями по кодекам — G.729 мог работать только на одном.
Потом когда стали делать и тестить всякие трансферы — потребовался, конечно, второй такой 2*FXS блок, потом выдали уже аппарат с дисплеем... но стартовать на таком было без проблем.
Я один раз в сипуру включил даже старый советский аппарат с дисковым номеронабирателем, ради хохмы. Работало как ни в чём ни бывало. Что в линии 48В вместо 60В и другой формат сигнала вызова — ему было пофиг, звонил и принимал.
Одновременно с этим включались и другие вендоры — я помню, что сразу же была пачка коробок всех видов от GrandStream. Позже кто только ни подключался, например, аж D-Link в куче конфигураций типа "2 FXO + 8 FXS". Но это уже в 2006 и далее.
И Sipura уже тогда умела SIPS и SDES (вот что за шифры, в упор не помню). DTLS появился позже с новыми прошивками (возможно, при переходе на PAP2). И с сертификатами там были сложности, мы до ~2010 на них не обращали внимания из-за чудовищной запутанности всей инфраструктуры. В основном работал вариант, что провижининг из некоего центра раздавал конфиг, в котором был уже сертификат SIP прокси, чтобы SIPS работал. А вот защиту провижининга чем делали — я не видел. Жалоб на взлом/перехват было крайне мало и только из-за ляпов в самих устройствах, а не перехват где-то посредине. Может, специфика наших клиентов.
То есть всё это медленно, постепенно развивалось, осваивая технологии.
Re[17]: Разумность 16 байтных IP-адресов - ведь глупость сде
Здравствуйте, Stanislaw K, Вы писали:
SK>Кровавому энетрпрайзу дешево, у него уже есть документально оформленная (пусть и
S>>Для таких задач редко применяют общественную инфраструктуру — достаточно иметь вендорский Root CA предпрошитым в устройстве.
S>>А со стороны устройства главное — чтобы публичный ключ устройства был подписан сертификатом вендора, там цепочка из одного звена.
S>>Поэтому платить никому ни за что не надо.
SK>А затем вендорский RootCA со сроком действия 30 лет "утекает" (как это было и будет много раз) и смысл этого шапито нулевой.
++.
SK>>>И все ради чего? ради того, чтобызлоумышленник третье лицо, перехватив несколько пакетов трафика не смог понять содержимого.
S>>Совершенно верно. Потому что когда это "содержимое" — plaintext username/password,
SK>Не используй plaintext.
Он не в курсе, что авторизация SIP в принципе не бывает plaintext
S>>как это было в случаях, которые я упоминал, его "понимание" злоумышленнику полный контроль над вашей железкой. А в плохом случае — и над вашим аккаунтом (если железка авторизуется на сервере, как IP телефон).
SK>так еще же нужно криптовать сам медиа трафик RTP/RTSP. а как стандарт sRTP/RTSPs приняли совсем недавно, так еще позже его поддержка появилась в PBX и "в железе". на тот момент типичный офисный ПК целиком стоил дешевле настольного VoIP аппарата.
Ну тут несколько преувеличение, по моей памяти.
Базовый RFC по SRTP это 2004. К тому времени реализации как минимум SDES (когда стороны обменялись явными ключами через сигнализацию, может, и открытую) уже были отработаны, а в корпоративных условиях и это поверх SIPS бегало, так что ключи посторонний не видел. DTLS стандартизовали только в 2008, но опять же оно было и раньше, хоть и локально.
Телефоны были разных систем. Конечно, вендоры пытались продать максимально навороченные аппараты за тонны нефти, но в массе пользователи вполне могли сидеть на POTS (plain old telephone system) телефоне, включенном в FXS порт. Cisco ATA186 — H.323. Sipura звери типа SPA1000, SPA2000 — SIP. Я как раз в VoIP начал работать в 2004 и с ходу получил SPA2000 (то есть два порта FXS), а дальше пошёл в магазин, купил 2 обычных "офисных" телефона (чтобы была штатная кнопка Flash) с подключением в обычную сеть и работал через них. Так вот эта SPA2000 "на рынке" стоила около 200$, а офисный компьютер нормальный начинался от 500. SPA1000 с одним портом стоила ещё дешевле — около 150$. При этом SPA коробочки имели собственный веб-интерфейс, TFTP клиента, читатель конфига в бинарном формате (была тулза для его изготовления). Держали два звонка одновременно, но с ограничениями по кодекам — G.729 мог работать только на одном.
Потом когда стали делать и тестить всякие трансферы — потребовался, конечно, второй такой 2*FXS блок, потом выдали уже аппарат с дисплеем... но стартовать на таком было без проблем.
Я один раз в сипуру включил даже старый советский аппарат с дисковым номеронабирателем, ради хохмы. Работало как ни в чём ни бывало. Что в линии 48В вместо 60В и другой формат сигнала вызова — ему было пофиг, звонил и принимал.
Одновременно с этим включались и другие вендоры — я помню, что сразу же была пачка коробок всех видов от GrandStream. Позже кто только ни подключался, например, аж D-Link в куче конфигураций типа "2 FXO + 8 FXS". Но это уже в 2006 и далее.
(UPD: это я ещё не сразу вспомнил про чисто софтовые клиенты, которые работают через звуковуху компа. Мы их использовали почти только для факсов, потому что с ними нельзя сказать "алло" в одну трубку и услышать себя в другой. Но у клиентов они были в больших масштабах. А в интеграторе, где я работал до того, были как клиентские.)
И Sipura уже тогда умела SIPS и SDES (вот что за шифры, в упор не помню). DTLS появился позже с новыми прошивками (возможно, при переходе на PAP2). И с сертификатами там были сложности, мы до ~2010 на них не обращали внимания из-за чудовищной запутанности всей инфраструктуры. В основном работал вариант, что провижининг из некоего центра раздавал конфиг, в котором был уже сертификат SIP прокси, чтобы SIPS работал. А вот защиту провижининга чем делали — я не видел. Жалоб на взлом/перехват было крайне мало и только из-за ляпов в самих устройствах, а не перехват где-то посредине. Может, специфика наших клиентов.
То есть всё это медленно, постепенно развивалось, осваивая технологии.
SK>Кровавому энетрпрайзу дешево, у него уже есть документально оформленная (пусть и
S>>Для таких задач редко применяют общественную инфраструктуру — достаточно иметь вендорский Root CA предпрошитым в устройстве.
S>>А со стороны устройства главное — чтобы публичный ключ устройства был подписан сертификатом вендора, там цепочка из одного звена.
S>>Поэтому платить никому ни за что не надо.
SK>А затем вендорский RootCA со сроком действия 30 лет "утекает" (как это было и будет много раз) и смысл этого шапито нулевой.
++.
SK>>>И все ради чего? ради того, чтобы
S>>Совершенно верно. Потому что когда это "содержимое" — plaintext username/password,
SK>Не используй plaintext.
Он не в курсе, что авторизация SIP в принципе не бывает plaintext
S>>как это было в случаях, которые я упоминал, его "понимание" злоумышленнику полный контроль над вашей железкой. А в плохом случае — и над вашим аккаунтом (если железка авторизуется на сервере, как IP телефон).
SK>так еще же нужно криптовать сам медиа трафик RTP/RTSP. а как стандарт sRTP/RTSPs приняли совсем недавно, так еще позже его поддержка появилась в PBX и "в железе". на тот момент типичный офисный ПК целиком стоил дешевле настольного VoIP аппарата.
Ну тут несколько преувеличение, по моей памяти.
Базовый RFC по SRTP это 2004. К тому времени реализации как минимум SDES (когда стороны обменялись явными ключами через сигнализацию, может, и открытую) уже были отработаны, а в корпоративных условиях и это поверх SIPS бегало, так что ключи посторонний не видел. DTLS стандартизовали только в 2008, но опять же оно было и раньше, хоть и локально.
Телефоны были разных систем. Конечно, вендоры пытались продать максимально навороченные аппараты за тонны нефти, но в массе пользователи вполне могли сидеть на POTS (plain old telephone system) телефоне, включенном в FXS порт. Cisco ATA186 — H.323. Sipura звери типа SPA1000, SPA2000 — SIP. Я как раз в VoIP начал работать в 2004 и с ходу получил SPA2000 (то есть два порта FXS), а дальше пошёл в магазин, купил 2 обычных "офисных" телефона (чтобы была штатная кнопка Flash) с подключением в обычную сеть и работал через них. Так вот эта SPA2000 "на рынке" стоила около 200$, а офисный компьютер нормальный начинался от 500. SPA1000 с одним портом стоила ещё дешевле — около 150$. При этом SPA коробочки имели собственный веб-интерфейс, TFTP клиента, читатель конфига в бинарном формате (была тулза для его изготовления). Держали два звонка одновременно, но с ограничениями по кодекам — G.729 мог работать только на одном.
Потом когда стали делать и тестить всякие трансферы — потребовался, конечно, второй такой 2*FXS блок, потом выдали уже аппарат с дисплеем... но стартовать на таком было без проблем.
Я один раз в сипуру включил даже старый советский аппарат с дисковым номеронабирателем, ради хохмы. Работало как ни в чём ни бывало. Что в линии 48В вместо 60В и другой формат сигнала вызова — ему было пофиг, звонил и принимал.
Одновременно с этим включались и другие вендоры — я помню, что сразу же была пачка коробок всех видов от GrandStream. Позже кто только ни подключался, например, аж D-Link в куче конфигураций типа "2 FXO + 8 FXS". Но это уже в 2006 и далее.
(UPD: это я ещё не сразу вспомнил про чисто софтовые клиенты, которые работают через звуковуху компа. Мы их использовали почти только для факсов, потому что с ними нельзя сказать "алло" в одну трубку и услышать себя в другой. Но у клиентов они были в больших масштабах. А в интеграторе, где я работал до того, были как клиентские.)
И Sipura уже тогда умела SIPS и SDES (вот что за шифры, в упор не помню). DTLS появился позже с новыми прошивками (возможно, при переходе на PAP2). И с сертификатами там были сложности, мы до ~2010 на них не обращали внимания из-за чудовищной запутанности всей инфраструктуры. В основном работал вариант, что провижининг из некоего центра раздавал конфиг, в котором был уже сертификат SIP прокси, чтобы SIPS работал. А вот защиту провижининга чем делали — я не видел. Жалоб на взлом/перехват было крайне мало и только из-за ляпов в самих устройствах, а не перехват где-то посредине. Может, специфика наших клиентов.
То есть всё это медленно, постепенно развивалось, осваивая технологии.