Discussion:
STARTTLS
(te oud om op te antwoorden)
Paul van der Vlis
2016-08-09 09:27:54 UTC
Permalink
Hallo,

Biedt XS4all iets als "SIP met STARTTLS"? Ik zie hier helemaal geen
instellingen over.

Of anders tenminste iets waarbij het paswoord niet in plain-text over de
lijn gaat?

Met vriendelijke groet,
Paul van der Vlis.
--
Paul van der Vlis Linux systeembeheer Groningen
https://www.vandervlis.nl/
Miquel van Smoorenburg
2016-08-09 09:57:07 UTC
Permalink
Post by Paul van der Vlis
Biedt XS4all iets als "SIP met STARTTLS"? Ik zie hier helemaal geen
instellingen over.
Niet officieel, bij de vorige VOIP provider was dat geen optie.

Er is nu wel een sips.xs4all.nl, ongedocumenteerd, geen idee
of dat werkt of niet. Kan ook vast zomaar weer verdwijnen.
(ik zeg dit niet met een xs4all pet op, het viel me op dat
het bestond, en ik weet niet wat de status is).

Mike.
Jerry
2016-08-09 11:08:42 UTC
Permalink
Post by Miquel van Smoorenburg
Post by Paul van der Vlis
Biedt XS4all iets als "SIP met STARTTLS"? Ik zie hier helemaal geen
instellingen over.
Niet officieel, bij de vorige VOIP provider was dat geen optie.
Er is nu wel een sips.xs4all.nl, ongedocumenteerd, geen idee
of dat werkt of niet. Kan ook vast zomaar weer verdwijnen.
(ik zeg dit niet met een xs4all pet op, het viel me op dat
het bestond, en ik weet niet wat de status is).
Dat is work in progress en momenteel 'stuk'.

Om de vraag uit de uit de initiele post te beantwoorden: Je wachtwoord
gaat naar mijn weten nu niet 'plain-text over de lijn'. Als dat wel zo
is hebben we wat om uit te zoeken...

Jerry
Rob
2016-08-09 11:39:16 UTC
Permalink
Post by Jerry
Post by Miquel van Smoorenburg
Post by Paul van der Vlis
Biedt XS4all iets als "SIP met STARTTLS"? Ik zie hier helemaal geen
instellingen over.
Niet officieel, bij de vorige VOIP provider was dat geen optie.
Er is nu wel een sips.xs4all.nl, ongedocumenteerd, geen idee
of dat werkt of niet. Kan ook vast zomaar weer verdwijnen.
(ik zeg dit niet met een xs4all pet op, het viel me op dat
het bestond, en ik weet niet wat de status is).
Dat is work in progress en momenteel 'stuk'.
Om de vraag uit de uit de initiele post te beantwoorden: Je wachtwoord
gaat naar mijn weten nu niet 'plain-text over de lijn'. Als dat wel zo
is hebben we wat om uit te zoeken...
Jerry
Niet in plain text maar wel in een vorm die je gemakkelijk weer naar
plain text kunt omzetten...
Miquel van Smoorenburg
2016-08-09 13:12:45 UTC
Permalink
Post by Rob
Post by Jerry
Dat is work in progress en momenteel 'stuk'.
Om de vraag uit de uit de initiele post te beantwoorden: Je wachtwoord
gaat naar mijn weten nu niet 'plain-text over de lijn'. Als dat wel zo
is hebben we wat om uit te zoeken...
Niet in plain text maar wel in een vorm die je gemakkelijk weer naar
plain text kunt omzetten...
Voor zover ik weet is het Digest Authentication, dus een
challenge-reponse protocol, waarbij het daadwerkelijke
password helemaal nooit over de lijn gaat.

Er valt dan dus niks naar plain-text om te zetten, maar als je
de challenge en de response kan sniffen kan je dat wel
gebruiken om het password te brute-forcen.

Mike.
Rob
2016-08-09 14:03:04 UTC
Permalink
Post by Miquel van Smoorenburg
Post by Rob
Post by Jerry
Dat is work in progress en momenteel 'stuk'.
Om de vraag uit de uit de initiele post te beantwoorden: Je wachtwoord
gaat naar mijn weten nu niet 'plain-text over de lijn'. Als dat wel zo
is hebben we wat om uit te zoeken...
Niet in plain text maar wel in een vorm die je gemakkelijk weer naar
plain text kunt omzetten...
Voor zover ik weet is het Digest Authentication, dus een
challenge-reponse protocol, waarbij het daadwerkelijke
password helemaal nooit over de lijn gaat.
Er valt dan dus niks naar plain-text om te zetten, maar als je
de challenge en de response kan sniffen kan je dat wel
gebruiken om het password te brute-forcen.
Mike.
O ik dacht dat het "simple authentication" was, waarbij het wachtwoord
alleen maar "onleesbaar" gemaakt is door het in mime64 te coderen.
Paul van der Vlis
2016-08-09 14:11:03 UTC
Permalink
Post by Miquel van Smoorenburg
Digest Authentication
https://tools.ietf.org/html/rfc3261#section-22.4

Voor zover ik zie gaat het om MD5.

Groet,
Paul.
--
Paul van der Vlis Linux systeembeheer Groningen
https://www.vandervlis.nl/
Jerry
2016-08-09 13:50:15 UTC
Permalink
Post by Jerry
Post by Miquel van Smoorenburg
Post by Paul van der Vlis
Biedt XS4all iets als "SIP met STARTTLS"? Ik zie hier helemaal geen
instellingen over.
Niet officieel, bij de vorige VOIP provider was dat geen optie.
Er is nu wel een sips.xs4all.nl, ongedocumenteerd, geen idee
of dat werkt of niet. Kan ook vast zomaar weer verdwijnen.
(ik zeg dit niet met een xs4all pet op, het viel me op dat
het bestond, en ik weet niet wat de status is).
Dat is work in progress en momenteel 'stuk'.
Kleine aanvulling *zonder garanties*
sips.xs4all.nl werkt niet, maar je kan testen op het IP adres:

IP: 194.109.16.17
Poort: 5061
TLS
SRTP

Let op: geen fallback naar sip of rtp. Dat moet in veel clients hard
worden ingesteld.

We hebben nog niet heel veel clients waarme we e.e.a. hebben kunnen
testen. SIPS lijkt niet overal even stabiel geimplementeerd. Dat zal
mede te maken hebben met het feit dat er niet veel servers zijn met
support voor sips en SRTP

Zoiper op Android werkt.

Jerry
Jerry
2016-09-12 11:38:10 UTC
Permalink
Post by Paul van der Vlis
Biedt XS4all iets als "SIP met STARTTLS"? Ik zie hier helemaal geen
instellingen over.
Inmiddels zou sips.xs4all.nl het wel kunnen doen.

sips.xs4all.nl
Poort: 5061
TLS
SRTP

NB1: geen fallback naar sip of rtp. Dat moet in veel clients hard worden
ingesteld.

NB2: Ik heb nog geen tijd gehad om veel te testen maar heb al wel
gemerkt dat de configuratie tussen clients niet allemaal even consistent
is. Bij de een moet je expliciet het poortnummer opgeven bij het Domain,
bij de ander juist weer niet.

happy testing!

Jerry
Paul van der Vlis
2016-09-13 14:00:16 UTC
Permalink
Post by Jerry
Post by Paul van der Vlis
Biedt XS4all iets als "SIP met STARTTLS"? Ik zie hier helemaal geen
instellingen over.
Inmiddels zou sips.xs4all.nl het wel kunnen doen.
sips.xs4all.nl
Poort: 5061
TLS
SRTP
NB1: geen fallback naar sip of rtp. Dat moet in veel clients hard worden
ingesteld.
NB2: Ik heb nog geen tijd gehad om veel te testen maar heb al wel
gemerkt dat de configuratie tussen clients niet allemaal even consistent
is. Bij de een moet je expliciet het poortnummer opgeven bij het Domain,
bij de ander juist weer niet.
Kan dit ook bij de Fritzbox?

Ik zie daar geen optie om de poort in te stellen, ook zie ik niets over
STARTTLS.

Groeten,
Paul.
--
Paul van der Vlis Linux systeembeheer Groningen
https://www.vandervlis.nl/
Jerry
2016-09-13 14:18:46 UTC
Permalink
Post by Paul van der Vlis
Post by Jerry
Post by Paul van der Vlis
Biedt XS4all iets als "SIP met STARTTLS"? Ik zie hier helemaal geen
instellingen over.
Inmiddels zou sips.xs4all.nl het wel kunnen doen.
Kan dit ook bij de Fritzbox?
Ik zie daar geen optie om de poort in te stellen, ook zie ik niets over
STARTTLS.
Kort antwoord: Nee.
Je zal nog niet heel veel open clients tegenkomen die goed omgaan met
SIPS en SRTP.

Ik heb natuurlijk wel een ontwikkelverzoek uitstaan in Berlijn.

Jerry
Paul van der Vlis
2016-09-13 14:52:47 UTC
Permalink
Post by Jerry
Post by Paul van der Vlis
Post by Jerry
Post by Paul van der Vlis
Biedt XS4all iets als "SIP met STARTTLS"? Ik zie hier helemaal geen
instellingen over.
Inmiddels zou sips.xs4all.nl het wel kunnen doen.
Kan dit ook bij de Fritzbox?
Ik zie daar geen optie om de poort in te stellen, ook zie ik niets over
STARTTLS.
Kort antwoord: Nee.
Je zal nog niet heel veel open clients tegenkomen die goed omgaan met
SIPS en SRTP.
Ik heb natuurlijk wel een ontwikkelverzoek uitstaan in Berlijn.
Volgens mij hebben ze dit al jaren geleden geïmplementeerd. Alleen
daarna weer verwijderd als ik me niet vergis. Maar wellicht toch in
gebruik bij bepaalde providers (zie laatste link).

http://www.ip-phone-forum.de/showthread.php?t=216554

http://www.golem.de/news/router-firmware-laborversion-fuer-fritzbox-7390-und-7490-mit-tls-1-2-1405-106699.html

https://dus.net/de/94-informationen/110-tls-srtp-ist-sicher

Groet,
Paul.
--
Paul van der Vlis Linux systeembeheer Groningen
https://www.vandervlis.nl/
Loading...