📞 Telefonia & VoIP

VoIP sicuro: SIP TLS e SRTP per proteggere le chiamate

Le chiamate VoIP non cifrate possono essere intercettate. SIP TLS protegge la segnalazione e SRTP protegge il contenuto audio. Ecco come funzionano e come attivarli.

Team Tecnico Velix23 maggio 20267 min di lettura
📞

Una chiamata VoIP non cifrata è come una cartolina postale: chiunque la intercetti può leggere (o ascoltare) il contenuto. Con SIP TLS e SRTP puoi cifrare sia la segnalazione che l'audio.

Il problema: VoIP in chiaro

Il protocollo SIP standard usa UDP porta 5060 per la segnalazione — messaggi di INVITE, 200 OK, BYE che stabiliscono e terminano le chiamate. Il contenuto audio viaggia via RTP su porte UDP alte (tipicamente 10000-20000).

Senza cifratura, un attaccante sulla stessa rete (WiFi aperto, rete aziendale compromessa, operatore intermedio) può:

  • Leggere la segnalazione SIP (numeri chiamati, credenziali SIP se non hashate)
  • Registrare l'audio RTP e ricostruire la conversazione

Strumenti come Wireshark con plugin VoIP rendono questo banale.

SIP TLS: cifratura della segnalazione

SIP TLS (Transport Layer Security) cifra il canale SIP esattamente come HTTPS cifra il web. I messaggi SIP viaggiano su TCP porta 5061 cifrata con certificati.

Come funziona:

  1. Il client SIP e il server scambiano certificati
  2. Stabiliscono un canale TLS cifrato
  3. Tutti i messaggi SIP (INVITE, credentials, call state) viaggiano cifrati

Requisiti:

  • Il tuo provider SIP deve supportare SIP TLS su porta 5061
  • Il softphone o telefono IP deve supportare SIP TLS
  • Serve un certificato valido sul server SIP (Let's Encrypt funziona)

SRTP: cifratura dell'audio

SIP TLS protegge la segnalazione ma non il contenuto audio — RTP rimane in chiaro. SRTP (Secure RTP) aggiunge cifratura AES all'audio in tempo reale.

Le chiavi di cifratura vengono scambiate nella fase di segnalazione SIP (tramite SDP), quindi SIP TLS è necessario anche per proteggere lo scambio di chiavi SRTP.

SIP TLS + SRTP insieme = chiamata completamente cifrata end-to-end (lato trunk SIP — non confondere con E2E cifrato come Signal).

Configurazione su FreePBX/Asterisk

Genera certificato:

# Con Let's Encrypt
certbot certonly --standalone -d voip.tuodominio.it

asterisk/sip.conf (PJSIP):

[transport-tls]
type=transport
protocol=tls
bind=0.0.0.0:5061
cert_file=/etc/letsencrypt/live/voip.tuodominio.it/cert.pem
priv_key_file=/etc/letsencrypt/live/voip.tuodominio.it/privkey.pem
ca_list_file=/etc/letsencrypt/live/voip.tuodominio.it/chain.pem

[endpoint-sicuro]
type=endpoint
transport=transport-tls
media_encryption=sdes  ; SRTP con SDES key exchange

3CX e SRTP

3CX abilita SRTP di default nelle configurazioni moderne. Nelle impostazioni del trunk SIP, cerca "Encryption" → "SRTP" e "SIP TLS". Se il carrier supporta entrambi, 3CX negozia automaticamente il percorso cifrato.

Softphone compatibili

Supportano SIP TLS + SRTP:

  • Zoiper: sì, sia gratuito che pro
  • Linphone: sì, open source
  • Grandstream Wave: sì
  • 3CX App: sì, di default nelle versioni recenti

Considerazioni pratiche

Firewall: SIP TLS usa TCP 5061 — verifica che il firewall lo permetta verso il provider.

STUN/ICE: necessario per NAT traversal quando si usa SRTP, altrimenti l'audio può non arrivare.

CPU: SRTP aggiunge un leggero overhead computazionale, trascurabile su hardware moderno ma rilevante su dispositivi embedded molto vecchi.

Velix supporta SIP TLS e SRTP sui trunk business. Contatta il supporto tecnico per la configurazione specifica al tuo setup.

Vuoi portare Velix a casa tua?

Verifica la copertura FTTH al tuo indirizzo in 30 secondi. Gratis, senza impegno.

Verifica copertura →
← Torna al blog