Lars Dietrichkeit innovaphone AG
Head of Business Development
Beispiel einer WebRTC-LösungKerninfrastrukturstandards (DTLS, ICE, Turn etc.)
innovaphone AG
Eigenständiger und mittelständischer deutscher Hersteller
Technologieorientiert mit hoher fachlicher Kompetenz
IP-Kommunikation für Unternehmen im prämierten Design und mit
intuitiver Bedienung
Gegründet 1997 durch den heutigen Vorstand
Firmenzentrale in Sindelfingen, 5 weitere Standorte in Europa
innovaphone AG ist nicht börsennotiert und zu 100% eigenfinanziert
Unter der Marke „innovaphone PBX“ ist eine vollständige IP
Kommunikationslösung (Unified Communications – UC) für Unternehmen
verfügbar
Analog-Adapter
IP-Phones
innovaphone PBX
Gateways
Unified Communications
Applikationen
Mobility
innovaphone Komplettlösung
innovaphone Produktphilosophie
Von 2 bis 50.000 User in Hardware oder virtualisiert!
Technologie im Wandel: WebRTC
Was ist WebRTC?
Wie funktioniert WebRTC?
WebRTC bei innovaphone
Vorteile von WebRTC
Was ist WebRTC?
Was ist WebRTC?
Echtzeitkommunikation über Standard Web Browser (Audio, Video, Collaboration…)
Offener Standard innerhalb eines Webbrowsers OHNE zusätzliche Plugins
Welche Browser unterstützen WebRTC?
Google Chrome, Mozilla Firefox, Opera
Noch nicht: Internet Explorer
Vielleicht: Safari
Woher kommt WebRTC?
Getrieben durch Google, Mozilla Foundation und Opera Software
WebRTC basiert auf HTML 5 und JavaScript
Basiert auf diversen lizenzfreien Codecs: Opus (Audio), VP8 (Video)
WebRTC funktioniert ähnlich wie Skype über Unternehmensgrenzen hinweg
Stellt Punkt zu Punkt Verbindungen her über ICE / STUN / TURN und (Protokolle)
Ende zu Ende Verschlüsselung mittels DTLS
Das Prinzip ist so einfach wie bei Skype, aber ausgelegt für professionelle Business Anwendungen (sicher)
Wie funktioniert WebRTC?
Signalling Signalling
Media
RFC 5245
Interactive Connection Establishment
Verbindungsaufbau für Medienströme über Netzwerkgrenzen hinweg
ICE
Bislang signalisiert jede Seite genau eine IP-Adresse
Funktioniert gut für Gespräche im lokalen Netzwerk
ICE – Problemstellung
Was tun, wenn sich beide Seiten in unterschiedlichen Netzen befinden?
ICE – Problemstellung
Was tun, wenn beide Seiten unterschiedliche IP Versionen signalisiert haben?
ICE – Problemstellung
Kandidaten sind alle Netzwerkadressen (incl. Port), unter denen ein Endpunkt erreichbar sein könnte.
ICE – Kandidaten
a=candidate:1 1 UDP 2130706431 172.16.4.62 16394 typ hosta=candidate:1 2 UDP 2130706430 172.16.4.62 16395 typ hosta=candidate:2 1 UDP 1694498815 145.253.157.4 50096 typ srflx raddr 172.16.4.62 rport 16394a=candidate:2 2 UDP 1694498814 145.253.157.4 50097 typ srflx raddr 172.16.4.62 rport 16395a=candidate:3 1 UDP 2121609471 fec0:9033::290:33ff:fe2f:3da 16394 typ hosta=candidate:3 2 UDP 2121609470 fec0:9033::290:33ff:fe2f:3da 16395 typ hosta=candidate:4 1 UDP 2121609471 2002:91fd:9d04:0:290:33ff:fe2f:3da 16394 typ hosta=candidate:4 2 UDP 2121609470 2002:91fd:9d04:0:290:33ff:fe2f:3da 16395 typ host
Prüfung der Konnektivität jedes Kandidatenpaars mittels STUN
Auswahl eines funktionierenden Pfads durch den Controller
ICE – Konnektivitätsprüfung
Der Medienstrom wird auf dem ausgewählten Pfad gestartet
Funktioniert gar kein Pfad, wird das Gespräch beendet
ICE – Abschluss
Vorteile
RTP über NAT-Grenzen hinweg ohne VPN oder Media Relay
Auswahl des Netzwerkinterfaces
Auswahl zwischen IPv4 und IPv6
Vermeidung von One-Way-Audio und No-Audio
Nachteile
Minimales zusätzliches Delay am Anfang des Gesprächs
Zu beachten
Bei symmetrischem NAT ist zusätzlich TURN erforderlich
ICE – Bewertung
RFC 5766
Traversal Using Relays around NAT (TURN):
Relay Extensions to Session Traversal Utilities for NAT (STUN)
Automatisches MediaRelay hinter z. B. Symmetrischem NAT
STUN / TURN
TURN am Beispiel von innovaphone
PBX TURN
RTP Media Relay
RTP
Keine direkte IP Verbindung zwischen Endpunkten!
Mit TURN automatisch nur wenn erforderlich
Media-Relay kann auf dedizierter Ressource laufen.
TURN Spezialanwendung
PBXTURN
Minimale Ports in der Firewall öffnen
Abgehend UDP ein Port für STUN
Ankommend ein TCP Port forwardwarding für H.323/TLS auf die PBX
Tunneln der RTP Daten durch die Firewall mit STUN
TURN und PBX kann auf einem Gerät sein
TURN automatisch nur wenn erforderlich
DMZ
TURN Spezialanwendung
TURN
PBX
Minimal Ports in der Firewall, ohne DMZ
Ein UDP Port Forwarding für STUN Ein TCP Port Forwarding für
H.323/TLS Tunneln von RTP durch die Firewall
mit STUN TURN und PBX kann auf einem Gerät
sein TURN automatisch nur wenn
erforderlich
RFC 5245
DTLS Extension to Establish Keys for SRTP
Aufbau eines verschlüsselten Gesprächs über unsichere Infrastruktur
DTLS-SRTP
Für verschlüsselte Gespräche (SRTP) benötigen beide Endpunkte einen gemeinsamen Schlüssel.
Wie überträgt man den Schlüssel sicher vom einen Endpunkt zum anderen?
SRTP Schlüsselaustausch – Problemstellung
Schlüsselaustausch über die Signalisierung
Hop-by-hop Verschlüsselung
Alle PBXen bzw. Hops sehen den SRTP-Schlüssel
SDES – Schlüsselaustausch
Ein kompromittierter Host kann Schlüssel und Verbindungsdaten an einen Angreifer weiterleiten.
Der Angreifer kann dann mitgeschnittene Gespräche entschlüsseln und mithören.
SDES – Angriffsszenario
Keine Option für Benutzer, die auf Verschlüsselung angewiesen sind, aber die Infrastruktur nicht vollständig unter eigener Kontrolle haben.
Für Internettelefonie ungeeignet.
SDES – Bewertung
Schlüsselaustausch inband im Medienkanal mittels DTLS
Ende-zu-Ende-Verschlüsselung
Nur die Endpunkte sehen den Schlüssel im Klartext
DTLS-SRTP - Schlüsselaustausch
Vorteile
Ende-zu-Ende-Verschlüsselung
Kein Vertrauen in Infrastruktur notwendig
Manuelle Erkennung von Man-in-the-middle-Angriffen per Schlüssel-Fingerprint (v11r2)
Für Internettelefonie geeignet!
Nachteile
Zusätzliche Verzögerung am Anfang eines Gesprächs
DTLS-SRTP – Bewertung
innovaphone nutzt als WebRTCOberfläche den browserbasierten Webclient myPBX
User wählt WebRTC als zu steuerndes Device aus
Frage nach Zugriffserlaubnis auf Headset / Kamera von lokalem Device
Echtzeitkommunikation kann starten!
WebRTC bei innovaphone
Vorteile Anwender / Business
Vorteile von innovaphone WebRTC für Anwender
Plattformunabhängig (auch auf Apple, Linux etc. nutzbar)
Sicher
Überall verfügbar
Vorteile von innovaphone WebRTC für das Business
Zukünftig kann jeder Kunde / Mitarbeiter über Webseiten / Portale kompletter Teilnehmer der innovaphone PBX sein
Höchstmögliche Sicherheit
Keine Gesprächskosten
Lediglich eine Lizenz pro Interaktion
WebRTC Toolbox auf Kundenwebseiten
innovaphone AG
Böblinger Str. 76
71065 Sindelfingen
Tel. +49 7031 73009-0
www.innovaphone.com
Join our community
Top Related