TLS-vervoerlaagsekuriteit
Instruksie Handleiding

Beveilig Algo IP-eindpunte:
TLS en wedersydse verifikasie

Het u hulp nodig?
604-454-3792 or support@algosolutions.com 

Inleiding tot TLS

TLS (Transport Layer Security) is 'n kriptografiese protokol wat stawing, privaatheid en end-tot-end sekuriteit verskaf van data wat tussen toepassings of toestelle oor die internet gestuur word. Namate gehoste telefonieplatforms meer algemeen geword het, het die behoefte vir TLS om veilige kommunikasie oor die openbare internet te verskaf, toegeneem. Algo-toestelle wat firmware 1.6.4 of later ondersteun, ondersteun Transport Layer Security (TLS) vir beide voorsiening en SIP-sein.
Let wel: die volgende eindpunte ondersteun nie TLS nie: 8180 IP Audio Alerter (G1), 8028 IP Doorphone (G1), 8128 IP Visual Alerter (G1), 8061 IP Relay Controller.

Enkripsie vs Identiteitsverifikasie

Terwyl TLS-verkeer altyd geïnkripteer en veilig is teen derdeparty-afluistering of wysiging, kan 'n bykomende laag sekuriteit verskaf word deur sertifikate te gebruik om die identiteit van die ander party te verifieer. Dit laat die bediener toe om die identiteit van die IP-eindpunttoestel te verifieer, en omgekeerd.
Om die identiteitskontrole uit te voer, die Sertifikaat file moet deur 'n sertifikaatowerheid (CA) onderteken word. Die ander toestel kontroleer dan hierdie handtekening deur die publieke (vertroude) sertifikaat van hierdie CA te gebruik.

TLS-sertifikate

Algo IP-eindpunte word vooraf geïnstalleer met 'n stel publieke sertifikate van betroubare derdeparty-sertifikaatowerhede (CA's), insluitend Comodo, Verisign, Symantec, DigiCert, ens. Die sertifikaatowerhede verskaf ondertekende sertifikate aan besighede om hierdie besighede toe te laat om te bewys dat hul bedieners of webwebwerwe is in werklikheid wie hulle sê hulle is. Algo-toestelle kan bevestig dat dit met 'n outentieke bediener kommunikeer deur die bediener se ondertekende sertifikate te verifieer teen die publieke sertifikate van die CA wat dit onderteken het. Bykomende publieke sertifikate kan ook opgelaai word om die Algo-toestel toe te laat om bykomende bedieners te vertrou en te verifieer wat dalk nie by die vooraf geïnstalleerde sertifikate ingesluit is nie (bv.ample, self-ondertekende sertifikate).

Wedersydse verifikasie

Wedersydse stawing voeg een bykomende laag sekuriteit by deur te vereis dat die bediener ook die eindpunttoestel valideer en vertrou, benewens die teenoorgestelde rigting van die eindpunt wat die bediener bekragtig. Dit word geïmplementeer met behulp van 'n unieke Toestelsertifikaat, geïnstalleer op elke Algo SIP Eindpunt ten tyde van vervaardiging. Aangesien die IP-adres van 'n Algo-toestel nie vasgestel is nie (dit word deur die kliënt se netwerk bepaal), kan Algo nie hierdie inligting vooraf met die vertroude GR'e publiseer nie, en in plaas daarvan moet hierdie Toestelsertifikate deur Algo se eie GR onderteken word.
Vir die bediener om dan die Algo-toestel te vertrou, sal die stelseladministrateur die publieke Algo CA-sertifikaatketting op hul bediener moet installeer (bv.ampdie SIP-telefoonstelsel of hul voorsieningsbediener) sodat hierdie bediener kan verifieer dat die Toestelsertifikaat op die Algo-toestel in werklikheid outentiek is.

Let wel: Algo IP-eindpunte wat in 2019 vervaardig is (begin met firmware 1.7.1) of later se toestelsertifikaat is vanaf die fabriek geïnstalleer.
Om te verifieer of die sertifikaat geïnstalleer is, gaan na Stelsel -> Oor-oortjie. Sien die vervaardigersertifikaat. As die sertifikaat nie geïnstalleer is nie, e-pos asseblief support@algosolutions.com.

Cipher Suites

Cipher-suites is stelle algoritmes wat tydens 'n TLS-sessie gebruik word. Elke suite bevat algoritmes vir verifikasie, enkripsie en boodskapverifikasie. Algo-toestelle ondersteun baie algemeen gebruikte enkripsiealgoritmes soos AES256 en boodskapverifikasiekodealgoritmes soos SHA-2.

Algo-toestelsertifikate

Toestelsertifikate wat deur die Algo Root CA onderteken is, is sedert 2019 in die fabriek op Algo-toestelle geïnstalleer, begin met firmware 1.7.1. Die sertifikaat word gegenereer wanneer die toestel vervaardig word, met die algemene naamveld in die sertifikaat wat die MAC-adres vir elke toestel bevat.
Die toestelsertifikaat is vir 30 jaar geldig en is in 'n aparte partisie geleë, dus sal dit nie uitgevee word nie, selfs nadat die Algo-eindpunt teruggestel is na die fabriek.
Algo-toestelle ondersteun ook die oplaai van jou eie toestelsertifikaat om te gebruik in plaas van die fabrieksgeïnstalleerde toestelsertifikaat. Dit kan geïnstalleer word deur 'n PEM op te laai file wat beide 'n toestelsertifikaat en 'n private sleutel bevat na die 'certs'-gids (nie die 'certs/trusted'-gids nie!) in die System -> File Bestuurder-oortjie. Hierdie file moet 'n slukkie genoem word kliënt.pem'.

Laai publieke CA-sertifikate op na Algo SIP-eindpunte

As jy op 'n fermware laer as 3.1.X is, gradeer asseblief die toestel op.
Volg die stappe hieronder om die sertifikaat te installeer op 'n Algo-toestel wat firmware v3.1 en hoër gebruik:

1. Verkry 'n publieke sertifikaat van jou sertifikaatowerheid (enige geldige X.509-formaatsertifikaat kan aanvaar word). Daar is geen spesifieke formaat nodig vir die filenaam.
2. In die web koppelvlak van die Algo-toestel, navigeer na die Stelsel -> File Bestuurder-oortjie.
3. Laai die sertifikaat op files in die 'certs/trusted'-gids. Klik op die Laai op-knoppie in die boonste linkerhoek van die file bestuurder en blaai na die sertifikaat.

Web Interface-opsies

HTTPS-voorsiening
Voorsiening kan beveilig word deur die 'Aflaaimetode' op 'HTTPS' te stel (onder die Gevorderde instellings > Voorsiening-oortjie). Dit verhoed konfigurasie files van gelees word deur 'n ongewenste derde party. Dit los die potensiële risiko op dat sensitiewe data gesteel word, soos administrateurwagwoorde en SIP-geloofsbriewe.

Om identiteitsverifikasie op die voorsieningsbediener uit te voer, stel ook 'Valideer bedienersertifikaat' op 'Aktiveer'. As die voorsieningsbediener se Sertifikaat deur een van die algemene kommersiële CA's onderteken is, moet die Algo-toestel reeds die publieke sertifikaat vir hierdie CA hê en die verifikasie kan uitvoer.
Laai bykomende sertifikate op (Base64-gekodeerde X.509-sertifikaat file in .pem-, .cer- of .crt-formaat) deur na “Stelsel > te gaan File Bestuurder" na die 'certs/trusted'-lêergids.
LET WEL: Die 'Bevestig bedienersertifikaat'-parameter kan ook geaktiveer word deur voorsiening: prov.download.cert = 1

HTTPS Web Koppelvlakprotokol
Die prosedure om 'n publieke sertifikaat vir HTTPS op te laai web blaai is soortgelyk aan wat in die afdeling hierbo beskryf word. Die httpd.pem file is 'n toestelsertifikaat wat deur jou rekenaar se blaaier aangevra word wanneer jy na die IP van die toestel navigeer. As u 'n pasgemaakte een oplaai, kan u van die waarskuwingsboodskap ontslae raak as u toegang tot die WebUI wat HTTPS gebruik. Dit is nie 'n publieke CA-sertifikaat nie. Die sertifikaat moet na die 'certs' opgelaai word.

SIP-sein (en RTP-klank)

SIP-sein word beveilig deur 'SIP-vervoer' op 'TLS' te stel (onder die Gevorderde instellings > Gevorderde SIP-oortjie).

• Dit verseker dat die SIP-verkeer geïnkripteer sal word.
• Die SIP-sein is verantwoordelik vir die vestiging van die oproep (die beheerseine om die oproep met die ander party te begin en te beëindig), maar dit bevat nie die klank nie.
• Vir die oudio (stem) pad, gebruik die instelling 'SDP SRTP Offer'.
• Om dit op 'Opsioneel' te stel, beteken dat die SIP-oproep se RTP-oudiodata geïnkripteer sal word (met SRTP) as die ander party ook oudio-enkripsie ondersteun.
• As die ander party nie SRTP ondersteun nie, sal die oproep steeds voortgaan, maar met ongeënkripteerde oudio. Om oudio-enkripsie vir alle oproepe verpligtend te maak, stel 'SDP SRTP-aanbod' op 'Standaard'. In hierdie geval, as die ander party nie oudio-enkripsie ondersteun nie, sal die oproeppoging verwerp word.
• Om identiteitsverifikasie op die SIP-bediener uit te voer, stel ook 'Validateer bedienersertifikaat' op 'Aktiveer'.
• As die SIP-bediener se Sertifikaat deur een van die algemene kommersiële CA's onderteken is, moet die Algo-toestel reeds die publieke sertifikaat vir hierdie CA hê en die verifikasie kan uitvoer. Indien nie (bvample met selfondertekende sertifikate), dan kan die toepaslike publieke sertifikaat na die Algo-toestel opgelaai word soos vroeër in hierdie dokument beskryf.

TLS weergawe 1.2
Algo-toestelle wat fermware v3.1 en hoër gebruik, ondersteun TLS v1.1 en v1.2. 'Forseer veilige TLS
Weergawe'-opsie kan gebruik word om TLS-verbindings te vereis om TLSv1.2 te gebruik. Om hierdie kenmerk te aktiveer:

• Gaan na Gevorderde instellings > Gevorderde SIP
• Stel die 'Forceer veilige TLS-weergawe' as geaktiveer en stoor.
  LET WEL: Hierdie opsie is verwyder in v4.0+ aangesien TLS v1.2 by verstek gebruik word

Algo-sertifikate aflaai

Hieronder is 'n stel skakels om die Algo CA-sertifikaatketting af te laai. Die files kan op die SIP-bediener of voorsieningsbediener geïnstalleer word sodat hierdie bedieners die toestelsertifikate op Algo SIP-eindpunte kan staaf, en dus wedersydse verifikasie toelaat:
Algo Root CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo Intermediêre CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Algo Openbare Sertifikaat: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

Probleemoplossing

As die TLS-handdruk nie voltooi word nie, stuur asseblief 'n pakkie-opname na Algo-ondersteuning vir ontleding. Om dit te kan doen, sal jy die verkeer moet weerspieël, vanaf die poort waaraan die Algo-eindpunt gekoppel is op die netwerkskakelaar, terug na 'n rekenaar.

Algo Communication Products Ltd.
4500 Beedie St Burnaby BC Kanada V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

Dokumente / Hulpbronne

ALGO TLS Vervoerlaagsekuriteit [pdf] Instruksies TLS, Transport Layer Security, Layer Security, TLS, Transport Layer

Verwysings

• Gebruikershandleiding