Authentification forte par RSA pour faisceau IAX

Pages: 1 2 3

IAX est probablement la solution préférée afin d’interconnecter deux serveurs Asterisk. En complément de la fonctionnalité de chiffrement de la signalisation et de la voix (cf “IAX et chiffrement de la voix“) il peut être intéressant dans certains cas de passer de l’authentification simple par mot de passe à une authentification plus forte par clé RSA.
L’objet de cet article est d’expliquer comment fonctionne l’authentification RSA avec un faisceau IAX, mais surtout d’aller un peu plus loin et d’aborder les certificats numériques X.509v3 et comment utiliser les clés RSA qu’ils contiennent afin d’effectuer cette authentification.

Introduction

L’algorithme RSA permet, en matière de sécurité, de gérer les opérations de chiffrement ainsi que les opérations de signature électronique. Un certificat X.509v3 est un des composants d’une infrastructure à clé publique, aussi nommée PKI¹ qui apporte des fonctions supplémentaires mais également un mécanisme de clé qui peut être basé sur RSA.

Associé à l’algorithme RSA un élément important est requis: la clé. Une clé RSA est composé de deux parties, la première privative et la seconde publique. La partie publique peut être exposée, échangée, publiée sur un site web… En revanche, la partie privative doit être gardée secrètement par son seul propriétaire.

Avec cette clé spéciale on peut donc effectuer les opérations de signature et de chiffrement de données. Le chiffrement s’effectue avec la clé publique et ne peut être déchiffré qu’avec la clé privée. Ce mécanisme permet donc d’envoyer des données secrètement à une personne dont on connaît la clé publique en étant sûr que seul cette personne pourra déchiffrer le contenu à l’aide de sa clé privée. La seconde fonction est la signature et permet de valider l’authenticité d’un document. Cette signature est apposée sur le document en question² à l’aide de la clé privative et peut donc être vérifiée par quiconque disposant de la partie publique de la clé.

Dans le cadre de la mise en place d’une authentification de faisceau IAX sur Asterisk, la clé privative est positionnée d’un côté de la liaison et vérifiée par l’autre extrémité du faisceau. En faisant cela des deux côtés et avec deux clés (une pour chaque site) on arrive donc à une authentification forte des deux extrémités du faisceau.
Vous avez peut-être déjà utilisé cette solution si vous utilisez le service FWD³. Tous les appels entrants sont authentifiés par le biais de RSA, la clé publique de FWD est livrée dans la distribution classique d’Asterisk.

Mettre en place l’authentification RSA sur un faisceau IAX

Nous aborderons un peu plus tard comment construire une clé RSA, mais avant tout voici comment mettre en place l’authentification sur un faisceau IAX. Comme vous l’avez compris, il nous faut les deux morceaux de la clé, dans les faits il s’agit d’un fichier pour chaque partie. Dans l’exemple ci-dessous, nous avons mis en place un faisceau IAX entre Paris et Londres, celui-ci est fonctionnel. Ce que nous proposons est d’authentifier sur l’Asterisk de Londres les appels arrivant de Paris. Les configurations sont les suivantes pour les deux sites:

Paris

Londres

[Trunk-London]
type=peer
username=TRUNK-London
host=asterisk-london
trunk=yes
qualify=50
disallow=all
allow=alaw
auth=rsa
outkey=Paris

[TRUNK-London]
type=user
host=dynamic
context=internal
username=TRUNK-London
trunk=yes
auth=rsa
inkeys=Paris

En gras, la partie qui doit être ajoutée à partir d’une configuration de faisceau classique. On peut constater ici que les deux clés se nomment Paris (dans outkey et inkeys), en fait les deux serveurs étant différents chaque clé (publique et privée) est localisée dans /var/lib/asterisk/keys/ et contient bien des informations différentes. Le fichier sur le serveur de Paris possède une extension .key, utilisée pour la partie privative de la clé. Sur le serveur de Londres, le fichier possède une extension .pub, utilisée pour la partie publique des clés.