SRTP+MIKEY & Soporte para SIP sobre TCP/TLS

[Xabier Etxebarria]

Hola,

estoy intentando securizar Asterisk, tanto en el intercambio de claves (SIP) como en la transmisión (RTP).

Primeramente comencé c on  SRTP+MIKEY,  adjunto la receta , pero no he podido realizar una llamada segura, no sé si alguno ha trasteado con esto, lo comento por si me podéis echar una mano.

He realizado las llamadas usando Minisip en los dos extremos, pero cuando realizo llamadas entre ambos me dice "The call is unprotected", y también me han salido alarmas en la consola del Asterisk del tipo: "Can't provide secure audio requested in SDP offer", no sé si es necesario configurar los Minisip de alguna manera.

---

Como llevo una temporada atascado con SRTP+MIKEY, y vi en este blog la entrada   Soporte para SIP sobre TCP/TLS listo para probar en Asterisk!, lo testee. He logrado realizar llamadas mediante conexiones TCP, en cambio todavía no he podido realizar llamadas mediante conexiones TLS, el problema lo tengo en el certificado que al parecer lo genero mal, en la consola del Asterisk me dice "ssl cert error < asterisk.pem>".

Las pruebas las he realizado con Eyebeam 1.5.
La revisión sip-tcp-tls que tengo es la r78992.

Adjunto mis ficheros de configuración:
sip.conf
...
bindport=5060                 ; UDP Port to bind to (SIP standard port is 5060)
                                         ; bindport is the local UDP port that Asterisk will listen on
bindaddr= 0.0.0.0            ; IP address to bind to (0.0.0.0 binds to all)

tcpenable=yes                 ; Enable server for incoming TCP connections (default is yes)
tcpbindaddr= 0.0.0.0       ; IP adderss for TCP server to bind to (0.0.0.0 binds to all interfaces)
tcpbindport=5061            ; Set the TCP bind port (default is 5060)

tlsenable=yes                   ; Enable server for incoming TLS (secure) connections (default is no)
tlsbindaddr=0.0.0.0          ; IP address for TLS server to bind to ( 0.0.0.0) binds to all interfaces)
tlsbindport=5062              ; Set the TLS bind port (default is 5061)
tlscertfile=asterisk.pem   ; Certificate file (*.pem only) to use for TLS connections
                                          ; default is to look for "asterisk.pem" in current director
...
[etxeba]
type=friend
secret=etxeba
qualify=yes                        ; Qualify peer is no more than 2000 ms away
nat=no                               ; This phone is not natted
host=dynamic                    ; This device registers with us
canreinvite=no                  ; Asterisk by default tries to redirect
context=context-etxeba    ; the internal context
transport=tcp

[xabi]
type=friend
secret=xabi
qualify=yes                    ; Qualify peer is no more than 2000 ms away
nat=no                           ; This phone is not natted
host=dynamic                ; This device registers with us
canreinvite=no              ; Asterisk by default tries to redirect
context=context-xabi    ; the internal context

extensions.conf
...
[context-etxeba]
exten => 100,1,Festival(Esto es una prueba con el usuario Etxeba)
exten => 110,1,Dial(SIP/xabi)

[context-xabi]
exten => 100,1,Festival(Esto es una prueba con el usuario Xabi)
exten => 110,1,Dial(SIP/etxeba)

----

Si me alguien ha trasteado con esto y me podría echar una mano se lo agradecería, o quizás hay alguna otra forma para securizar lo que pretendo.

Muchas Gracias,
Xabier Etxebarria