Wellicht kun je HIER vinden wat je zoekt.
Hmmm… CheapConnect heeft bmw zelf weinig (op) met SIPS/SRTP (dwz TLS security voor dial-ing & audio).
Ook wil ik opmerken dat het telefoonnetwerk ansich sws niet ontworpen om (be)veilig(d) te gebruiken. Ook niet echt nodig omdat Telco’s hun verkeersafhandeling & backbone op hun eigen afgescheiden netwerk doen.
Probleem is vooral dat beide E2E partijen (die belt, routeert en gebeld wordt) dat dan moet ondersteunen om tot beveiligde werking te komen. Lastig is ook om bv het veelvuldige UDP verkeer te encrypten en zo zijn er nog wel meer dingetjes.
Mijn Asterisk en bv Yealink(s) uit het jaar nul, kan/doet bv geen SRTP/SIPS. Nu hecht ik zelf sws weinig belang aan TLS voor telefonie en ben zeker niet op zoek naar zinloze uitdagingen (omdat iemand vindt dat het kan) noch heb ik plan mijn infra te vervangen. Het liefst zou ik helemaal geen “transport” security op het generieke internet hebben zodat dingen weer simpel in gebruik worden en iemand zelf bepaalt of iets voor een doel wordt beveiligd.
Indien privacy nodig is, kan iemand zelf natuurlijk een eigen SSH/IPSec/vlan tunnel naar de ander opzetten waarover vervolgens dan de VOIP (als bv interne SIP2SIP) conversatie verloopt.
Dank voor jouw uitleg. Je weet meer over telefonie dan ik lees ik! 
Dit is wat ik heb kunnen vinden op het forum van Cheap Connect.
1 like
Bedankt voor de link, die bevat veel nuttige info. Helaas geen woord over SIPS/SRTP 
Ik heb bij een telco gewerkt en ik weet hoe dat in elkaar zit. Ik vind het toch wel een verschil of een gesprek gaat over een privé netwerk van een telco waar alleen medewerkers van de betrokken telco('s) bij kunnen, of het grote boze publieke internet waar 2^32 IPv4 en 2^128 IPv6 adressen narigheid met mijn verbinding kunnen uithalen.
Met dat in het achterhoofd zou ook de IP telefonie dienst van KPN nog een optie kunnen zijn, dat gaat voor zover ik weet over een apart vlan op de glasvezel en niet over het publieke internet, dat zou naar mijn mening de noodzaak voor SIPS/SRTP verkleinen.
Uiteraard, maar het doel van het gebruik van een voip provider is juist om bereikbaar te zijn vanuit de reguliere telefonie wereld (vast/mobiel). Het is dus meer én ipv. of.
@Kareltje bedankt voor de link naar het forum, ik ga daar ook eens verder zoeken.
De telefonie van een KPN is binnen haar platform, als eigen netwerk daarmee (beter) beschermd.
Andere aanbieders opereren - als andere keuze - op het ‘publieke’ internet. Ook daar kan beschermd (met bv SIPS/SRTP en dus TCP) worden gebeld. Vaak wel tegen een meerprijs en mits men beschikt over de door die telco ondersteunde hardware/software. Een voorbeeld is hier VoipGrid of Voys.
NB: zich met srtp/sips beschermen tegen afluisteren door de overheid is sws onzinnig omdat elke aanbieder de plicht heeft om over haar netwerk gevoerde gesprekken, aftapbaar te maken.
Ook betekent een afgedrukte woordje “SIPS/SRTS” niet het dan dus te gebruiken is.
Cynische humor hier is dat het “doel van het gebruik van een Voip Provider”, allereerst is om (die) abbo’s te kunnen (ver)kopen.
Iemand die zakelijk en vertrouwelijk wil bellen, doet er beter aan een abbo afnemen bij gevestigde Telco’s die beschikt over een eigen netwerk en toegang, zoals … KPN.
Hoewel ik zelf enthousiast gebruiker ben, zou ik een arts, advocaat of notaris in functie; niet direct aanraden om zeg de telefonie zomaar bij CheapConnect onder te brengen.
Eens!
Alweer even geleden heeft iemand op het forum van Cheap Connect navraag gedaan over de versleuteling. Hieruit maak ik op dat het verkeer tussen de Fritz!Box en CheapConnect wel versleuteld is (SIP).
Dat is volgens mij wat ik ook zeg: óf een gescheiden netwerk (zoals de KPN setup) óf een beveiligde verbinding over internet, cheapconnect lijkt geen van beiden te doen en valt daarmee voor mij af. Voys doet alleen (klein)zakelijk dus is voor mij als particulier geen optie ondanks dat de dienstverlening er interessant uit ziet. Voipgrid lijkt alleen resellers te zoeken dus is ook geen partij waar ik als particulier een dienst kan afnemen.
Nee, mijn doel is om een abbo af te kunnen nemen zodat ik na een overstap naar glasvezel kan blijven bellen 
.
1 like
Nope 
, SIP is geen SIPS. De S in SIPS/SRTP staat voor secured via de TLS laag.
Nog een kleine aanvulling: SRTP is waardeloos zonder SIPS.
De keys die gebruikt worden voor SRTP worden namelijk uitgewisseld via SIP en als die SIP niet beveiligd is kunnen anderen dus je key zien voordat je ze gaat gebruiken. Alleen met het gebruik van SIPS kan je de beveiliging compleet maken.
1 like
SIPS / SRTP is alleen per LEG (Verbinding tussen Toestel /PBX of PBX/PBX) beveiligd.
Op de PBX is alles vrij lees baar. Dus afluisteren via de PBX blijft mogelijk.
Dat afluisteren is een technische eis van vrijwel alle regeringen in de wereld aan TSP’s (Telephone Service Provider).
Zonder SIPS/SRTP is alles te volgen als er maar toegang tot de stream is. Voor NL:
- Justitie kan alles tappen via welke provider dan ook via een rechterlijk bevel
- *IVD kan alles tappen zonder gerechterlijk bevel (en nu ook zonder toezicht, en in bulk).
Met SIPS/SRTP kan:
- Justitie alles tappen via welke provider dan ook met een rechterlijk bevel
- *IVD kan niet alles zo maar van de kabels plukken, maar mogelijk wel via providers toegang eisen.
- PBX<->PBX verbindingen ZONDER TSP zijn niet direct tapbaar. Ze zijn wel herleidbaar als META data omdat SIPS poorten identificeerbaar zijn
Er is in VOIP geen E2E encryptie tenzij de toestellen dat onderling zelfstandig leveren.
Zodra je een SIP poort open zet naar het internet is je IP adres binnen 24 uur voorzien van vaste bezoekers uit alle wereld delen, maar met name vanuit het midden oosten. En ALS je iets teveel toestaat zoals bellen met internationale nummers dan heb je in no time een rekening van duizenden EUR.
De standaard setup van de meeste installaties wordt wel uitgeprobeerd.
Gebruik ALTIJD sterke werkelijk random wachtwoorden ook voor “interne” toestellen etc. en niet een directe koppeling tussen usernaam / ww en een toestel nummer.
De beste beveiliging is zeer selectief toelaten welke IP adressen uberhaupt SIP[S] mogen doen.
1 like
Yep, ook wel 's meegemaakt en de Telco gaf niet thuis.
Het zou o.a. goed zijn dat Telco’s standaard, duur/betaald bellen uitzetten. Die paar mensen die dat wel moeten/doen, kunnen het dan aanzetten. Helaas is dat nie tin belang van die Telco.
In notime krijg je een fans uit de wereld op je whatever. ook sterke wachtwoorden is alleen maar een uitdaing voor bezoekers om het met vereend krachten te blijven proberen.
Daarom zou het fijn zijn dat Freedom een beperkte (poort)firewall neerzet op onze connecties zodat scanners al bij de oprijlaan worden tegengehouden.
1 like
Ik denk ook niet dat je van een telco kan verwachten dat die opdraait voor de kosten die gemaakt zijn door een onveilige configuratie aan jouw kant. Wat je misschien wel had kunnen verwachten is een signaal als “We zien ineens erg veel belletjes naar het buitenland, klopt dat wel?”.
@Noci dat je aan justitie niet ontkomt zodra je de telco wereld in gaat is (helaas?) een gegeven. Waar het mij vooral om gaat is beveiligd transport naar de telco toe. Dat justitie mee kan gluren betekend niet dat ik het goed vind dat de hele wereld mee kan genieten .
Hmmm. ik laat in het midden wie hier fout was als bewust schuld hebbend. In dit geval was het dat mijn (sws standaard) internationale & betaalnummer blokkade weg was, ik daar geen bewijs van had, het er wel was en de Telco verwees naar een mail van een jaar of zo geleden dat zij iets hadden gewijzigd.
De Telco en elke instantie die “geld” kan afgroggelen. moet sws aan de bel trekken als iets excessief wordt naar een bekend scamnummer.
Dat een gebruiker iets zelf zou doen, maakt niet dat die daarmee imo dan schuldig wordt. Ik daarom alleen nog prepaid bel.
Tegenwoordig ligt gelukkig de bewijslast t.av. ondervonden schade en zorgplicht dat te voorkomen, voor een flink deel bij het bedrijf ipv de consument. Wat die bedrijfsrakkers dan slim doen is uit coulance handelen terwijl ze verdomd goed weten dat ze het bewust mogelijk hebben gemaakt; en bij een rechtszaak het pleit verliezen.
Dat brengt mij dan toch weer wat terug bij Freedom die ook hierin een voortrekkersrol kan nemen om onze vrijheden/privacy te beschermen door onze aansluitingen centraal te voorzien van een opt-out (hulp)middelen die ongewenst inbreuk, bij de voordeur al afstopt. Ik denk met weemoed nog terug aan het poortfilter van xs4all.
Waarom zou je SIP(S) poorten van buitenaf openzetten en dus het risico lopen dat je PBX misbruikt wordt? Je zou denken dat de clients lokaal zitten en voor de trunk naar buiten toe, hoef je zelf geen inkomende poorten open te zetten. Ik heb hier ook een PBX draaien, maar geen enkele inkomende poort staat open, nergens voor nodig. Als ik eens vanaf een externe locatie mijn SIP client wil gebruiken, start ik eerst een VPN tunnel.
Ik vind een poortfilter door Freedom eigenlijk niet nodig, je kan ook prima zelf zorgen dat je poorten dicht zitten (bijv. met de standaard FRITZ!Box). Hoewel ik best wel fan ben van de FRITZ!Box is er 1 ding dat ik altijd al mis aan de FB, en dat is dat je port forwards kan instellen voor alleen bepaalde IP’s. In de FB is het gewoon een poort staat open of niet, in de meeste andere routers kan je instellen dat een poort voor iedereen openstaat of alleen voor bepaalde IP-adressen. Maar ja, met de ingebouwde VPN server van de FB heb je in principe sowieso geen port forwards meer nodig, tenzij je iets echt voor de hele wereld wil openzetten (bijv. een webserver). In ieder geval je privé spul stop je achter de VPN.
Ik heb het ook niet “nodig” maar vindt dat dit een toegevoegde waarde kan zijn voor Freedom. Iets dat verder niet heel moeilijk is, om in te richten zoals het was bij xs4all. Afhankelijk moeten zijn van “eigen” kennis en kunde wordt dan weer wat minder nodig.
Niet alleen iemands data is “veilig” maar ook de toegang tot het eigen lokale netwerk is beter afgeschermd, inclusief dat daarmee oneigenlijk gebruik wordt tegengegaan. Ook als signaal aan crackers dat het zinloos is om Freedom’ers proberen te scannen.
Mijn FRITZ!Box heeft een instelling die je beschermd tegen overmatig het buitenland bellen.
Ik heb mijn FRITZ!Box ingesteld op Engels.
Telephone Numbers > Line Settings > Security
Limit the number of calls to foreign numbers
When the “Limit number of calls to foreign numbers” option is enabled, the FRITZ!Box continually checks the number of outgoing international calls. If foreign numbers are dialed atypically often, the FRITZ!Box first generates a message to notify the user. If atypically frequent calls to foreign numbers persist, the FRITZ!Box automatically sets a block for outgoing international calls. A call block set automatically can be deleted at any time under Telephony > Call Handling > Call Blocks.
Ja, maar dan heeft iemand het dus al voor elkaar gekregen om via een sip account op jouw FB te kunnen bellen. Fijn dat de gevolgschade mogelijk beperkt wordt, maar je hebt dan al wel een serieus probleem. Afhankelijk van de situatie, kan het zelfs zo zijn dat men die beveiliging kan uitzetten (als men toegang heeft verkregen tot je FB). Ik zou er dus niet blind op varen en zie het dus meer als een extra slot op een kastje, terwijl de inbreker al wel in je huis staat.