Добрый день!

Есть ipecs lic100, аппараты LIP8002E подключаются из удаленных офисов через vpn между офисами. Сейчас потребовалось подключить один аппарат на Андроид и один аппарат LIP8002E из мест с которыми нет возможности поднять vpn. Как можно подключить Android и LIP8002E, чтобы трафик не могли перехватывать и слушать?

ЗЫ Паранойя умеренная, не в высшей стадии.

Перехват трафика просто сторонним человеком невозможна: коммутаторы, в отличие от хабов, не транслируют трафик на все порты, а коммутируют их парами между собой. Владелец коммутаторов по дороге, конечно, может сделать мониторинг-порт и сливать на него весь трафик, но если это провайдер, то он вряд ли будет это делать, если, конечно, на это не будет требования ФСБ (система СОРМ). Перехватывать wi-fi трафик (от android до точки доступа) можно, но если он зашифрован (WPA2-PSK), то ничего из него не извлечь. То есть "прослушать" трафик - занятие непростое. Более того, протокол ipkts - не совсем стандартный и это тоже является своего рода защитой. Хотя невозможного нет. VPN сам по себе не спасет, поскольку это всего лишь инкапсуляция пакетов в другой протокол, а шифрование не является обязательной частью и требует дополнительных ресурсов.

Если паранойя умеренная и есть грамотный админ в удаленном офисе, то можно разговаривать не заморачиваясь VPN. Хотя его поднятие упрощает управление сетью (не требует проброса портов через NAT и позволяет настроить firewall) и позволяет добавить шифрование. Кстати, а почему нет возможности использовать VPN? Сейчас он даже через сотовые сети поднимается, а шлюзы его поддерживающие стоят вполне умеренных денег, например, http://zyxel.ru/keenetic-giga-2 - около 3000 рублей.

Вы имеете в виду шифрование с помощью самой IPECS LIC100? Насколько я понял по ipkts подключаются только аппараты (в моем случае LIP8002E), а Андроид цепляется по обычному sip. так?
Что нужно чтобы трафик шифровался самой АТС?

андроид девайсы умеют поднимать тунель.

Да вы уже так зашифровались! Что такое iPECS LIC100?! Что за оборудование такое??

Так.


Шифрованием занимается канальное оборудование (маршрутизаторы, VPN-сервера, android-телефоны). Еще раз обращаю внимание, VPN - это не шифрование. Насколько я знаю, LIK шифровать не умеет. Максимум - протокол https для управления.

IPECS100
MFIM/GS95M-F.0Cd MAR/13
Boot Version-2.1Aa NOV/12
Kernel Version-6.0Ap
H/W issue-2

Хочу понять для себя основные проблемы по безопасности при подключении клиентов Андроид из открытых сетей (Макдональдс, Гостиницы и тд).
Пока списот таков:
1) Брутфорс при подключении по sip (вариант с клиентами на Андроид) и, как следствие, несанкционированное подключение к АТС

2) Перехват и прослушивание SIP трафика

От первого спасает физическое ограничение подключений к АТС (VPN, доступ с определенных IP и т.д.)
Не знаю что делать со вторым.

Естественно, не стоит выкладывать в интернет свой SIP-сервер (в Вашем случае LIK), а использовать VPN и давать доступ только для адресов из этого тоннеля. Несанкционированный перехват трафика возможен только в месте подключения телефона (Макдональдс, Гостиницы и тд), поскольку чаще всего такие подключения открыты, но злоумышленник должен находиться рядом. Не уверен, что andriod штатно умеет шифровать VPN, но, наверняка, есть дополнительные утилиты. Но надо отдавать себе отчет, что не всякий процессор телефона это потянет.

P.S. Посмотрел свой телефон: шифрование есть штатно (MPPE), Android 4.2.2, Samsug Galaxy S3 с ним справляется.

Для подключение к IPECS c Andriod, на Андроид ставится программа IPECS Communicator, в ней в меню SIP Account Settings есть пункт TLS Mode, значение AES-ECC (AES_CM_128_HMAC_SHA1_80).
Это значит, что SIP шифруется?

Не факт. Возможно только голос (RTP потоки)