ALGO - logoTLS sigurnost transportnog sloja
Uputstvo za upotrebu

Osiguravanje Algo IP krajnjih tačaka:
TLS i međusobna autentikacija

Trebate pomoć?
604-454-3792 or support@algosolutions.com 

Sadržaj sakriti
1 Uvod u TLS
2 Šifriranje naspram potvrde identiteta
3 TLS sertifikati
4 Mutual Authentication
5 Cipher Suites
6 Algo certifikati uređaja
7 Prijenos javnih CA certifikata na Algo SIP krajnje tačke
8 Web Opcije interfejsa
9 SIP signalizacija (i RTP audio)
10 Preuzimanje Algo certifikata
11 Rješavanje problema
12 Dokumenti / Resursi
12.1 Reference
13 Related Posts

Uvod u TLS

TLS (Transport Layer Security) je kriptografski protokol koji pruža autentifikaciju, privatnost i sigurnost od kraja do kraja podataka koji se šalju između aplikacija ili uređaja preko Interneta. Kako su hostirane telefonske platforme postale sve češće, povećala se potreba za TLS-om da obezbijedi sigurnu komunikaciju preko javnog interneta. Algo uređaji koji podržavaju firmver 1.6.4 ili noviji podržavaju sigurnost transportnog sloja (TLS) i za obezbjeđivanje i za SIP signalizaciju.
Napomena: sljedeće krajnje tačke ne podržavaju TLS: 8180 IP Audio Alert (G1), 8028 IP Doorphone (G1), 8128 IP Visual Allerter (G1), 8061 IP Relay Controller.

Šifriranje naspram potvrde identiteta

Iako je TLS saobraćaj uvijek šifriran i bezbedan od prisluškivanja ili modifikacije trećih strana, dodatni sloj sigurnosti može se pružiti korištenjem certifikata za provjeru identiteta druge strane. Ovo omogućava serveru da provjeri identitet IP krajnje tačke uređaja i obrnuto.
Za obavljanje provjere identiteta, certifikat file mora biti potpisan od strane Certificate Authority (CA). Drugi uređaj zatim provjerava ovaj potpis, koristeći javni (pouzdani) certifikat ovog CA.

TLS sertifikati

Algo IP krajnje tačke dolaze unaprijed instalirane sa skupom javnih certifikata od pouzdanih trećih strana za izdavanje certifikata (CA), uključujući Comodo, Verisign, Symantec, DigiCert, itd. Tijela za izdavanje certifikata daju potpisane certifikate preduzećima kako bi omogućili ovim preduzećima da dokažu da njihove servere ili websajtovi su u stvari ono za šta kažu da jesu. Algo uređaji mogu potvrditi da komunicira s autentičnim serverom provjeravanjem potpisanih certifikata poslužitelja u odnosu na javne certifikate CA koji ih je potpisao. Dodatni javni certifikati također se mogu učitati kako bi se Algo uređaju omogućilo da vjeruje i provjeri dodatne servere koji možda nisu uključeni u unaprijed instalirane certifikate (npr.ample, samopotpisani sertifikati).

Mutual Authentication

Međusobna provjera autentičnosti dodaje još jedan dodatni sloj sigurnosti zahtijevajući od servera da također provjeri valjanost i povjerenje u krajnji uređaj, pored suprotnog smjera od krajnje točke koja potvrđuje server. Ovo se implementira pomoću jedinstvenog certifikata uređaja, instaliranog na svakoj Algo SIP krajnjoj tački u vrijeme proizvodnje. Budući da IP adresa Algo uređaja nije fiksna (određuje je mreža korisnika), Algo ne može unaprijed objaviti ove informacije kod pouzdanih CA-a, već umjesto toga ove certifikate uređaja mora potpisati Algov vlastiti CA.
Da bi server tada mogao vjerovati Algo uređaju, administrator sistema će morati instalirati javni lanac Algo CA certifikata na svoj server (npr.ampSIP telefonski sistem ili njihov server za obezbjeđivanje) tako da ovaj server može provjeriti da li je certifikat uređaja na Algo uređaju zapravo autentičan.

Napomena: Algo IP krajnje tačke proizvedene 2019. (počevši od firmvera 1.7.1) ili novije imaju certifikat uređaja instaliran iz tvornice.
Da biste provjerili je li certifikat instaliran, idite na Sistem -> O kartici. Pogledajte Certifikat proizvođača. Ako certifikat nije instaliran, pošaljite email support@algosolutions.com. ALGO TLS sigurnost transportnog sloja - Slika 1

Cipher Suites

Paketi šifri su skupovi algoritama koji se koriste tokom TLS sesije. Svaki paket uključuje algoritme za autentifikaciju, šifriranje i autentifikaciju poruka. Algo uređaji podržavaju mnoge najčešće korištene algoritme šifriranja kao što je AES256 i algoritme koda za provjeru autentičnosti poruka kao što je SHA-2.

Algo certifikati uređaja

Sertifikati uređaja potpisani od strane Algo Root CA tvornički su instalirani na Algo uređajima od 2019. godine, počevši od firmvera 1.7.1. Certifikat se generiše kada se uređaj proizvodi, sa zajedničkim poljem imena u certifikatu koje sadrži MAC adresu za svaki uređaj.
Certifikat uređaja vrijedi 30 godina i nalazi se u zasebnoj particiji, tako da neće biti izbrisan čak ni nakon fabričkog resetiranja Algo krajnje točke.
Algo uređaji također podržavaju učitavanje vlastitog certifikata uređaja za korištenje umjesto tvornički instaliranog certifikata uređaja. Ovo se može instalirati postavljanjem PEM-a file koji sadrži i certifikat uređaja i privatni ključ u direktoriju 'certs' (ne u direktorij 'certs/trusted'!) u sistemu -> File Kartica menadžer. Ovo file treba nazvati 'gutljaj' client.pem'.

Prijenos javnih CA certifikata na Algo SIP krajnje tačke

Ako imate firmver niži od 3.1.X, nadogradite uređaj.
Da biste instalirali certifikat na Algo uređaj koji koristi firmver v3.1 i noviji, slijedite dolje navedene korake:

  1. Nabavite javnu potvrdu od vašeg izdavatelja certifikata (može se prihvatiti bilo koji važeći certifikat X.509 formata). Za to nije potreban poseban format fileime.
  2. U web interfejs Algo uređaja, idite na Sistem -> File Kartica menadžer.
  3. Otpremite certifikat files u direktorij 'certs/trusted'. Kliknite na dugme Upload u gornjem levom uglu file menadžera i dođite do certifikata.

Web Opcije interfejsa

HTTPS Provisioning
Provizija se može osigurati postavljanjem 'Metoda preuzimanja' na 'HTTPS' (na kartici Napredne postavke > Omogućavanje). Ovo sprečava konfiguraciju fileda ih ne pročita neželjena treća strana. Ovo rješava potencijalni rizik od krađe osjetljivih podataka, kao što su lozinke administratora i SIP vjerodajnice. ALGO TLS sigurnost transportnog sloja - Slika 2

Da biste izvršili verifikaciju identiteta na serveru za proviziju, također postavite 'Validate Server Certificate' na 'Enabled'. Ako je Certifikat poslužitelja za proviziju potpisan od strane jednog od uobičajenih komercijalnih CA, tada bi Algo uređaj već trebao imati javni certifikat za ovaj CA i biti u mogućnosti da izvrši verifikaciju.
Učitajte dodatne certifikate (sertifikat X.64 kodiran Base509 file u .pem, .cer ili .crt formatu) navigacijom do “System > File Manager” u folder 'certs/trusted'.
NAPOMENA: Parametar 'Validate Server Certificate' se također može omogućiti kroz proviziju: prov.download.cert = 1

HTTPS Web Interface Protocol
Procedura za učitavanje javnog certifikata za HTTPS web pregledavanje je slično onome što je opisano u gornjem dijelu. httpd.pem file je certifikat uređaja koji traži pretraživač vašeg računara kada dođete do IP adrese uređaja. Prijenos prilagođenog može vam omogućiti da se riješite poruke upozorenja ako pristupite WebUI koristeći HTTPS. To nije javni CA certifikat. Certifikat se mora učitati u 'certs'. ALGO TLS sigurnost transportnog sloja - Slika 3

SIP signalizacija (i RTP audio)

SIP signalizacija je osigurana postavljanjem 'SIP transporta' na 'TLS' (na kartici Napredne postavke > Napredni SIP).

  • Osigurava da će SIP saobraćaj biti šifriran.
  • SIP signalizacija je odgovorna za uspostavljanje poziva (kontrolni signali za početak i završetak razgovora sa drugom stranom), ali ne sadrži audio.
  • Za audio (glasovnu) putanju koristite postavku 'SDP SRTP ponuda'.
  • Podešavanje na 'Optional' znači da će RTP audio podaci SIP poziva biti šifrirani (koristeći SRTP) ako druga strana također podržava audio šifriranje.
  • Ako druga strana ne podržava SRTP, poziv će se i dalje nastaviti, ali sa nešifriranim zvukom. Da bi šifriranje zvuka postalo obavezno za sve pozive, postavite 'SDP SRTP ponuda' na 'Standardno'. U tom slučaju, ako druga strana ne podržava audio šifriranje, tada će pokušaj poziva biti odbijen.
  • Da biste izvršili verifikaciju identiteta na SIP serveru, također postavite 'Validate Server Certificate' na 'Enabled'.
  • Ako je certifikat SIP servera potpisan od strane jednog od uobičajenih komercijalnih CA, tada bi Algo uređaj već trebao imati javni certifikat za ovaj CA i biti u mogućnosti da izvrši verifikaciju. Ako ne (nprampsa samopotpisanim certifikatima), tada se odgovarajući javni certifikat može učitati na Algo uređaj kao što je opisano ranije u ovom dokumentu.

ALGO TLS sigurnost transportnog sloja - Slika 4

TLS verzija 1.2
Algo uređaji sa firmverom v3.1 i novijim podržavaju TLS v1.1 i v1.2. 'Force Secure TLS
Opcija Verzija' se može koristiti da zahtijeva TLS veze za korištenje TLSv1.2. Da biste omogućili ovu funkciju:

  • Idite na Napredne postavke > Napredni SIP
  • Postavite 'Prisilno sigurnu TLS verziju' kao omogućenu i sačuvajte.
    NAPOMENA: Ova opcija je uklonjena u v4.0+ jer se TLS v1.2 koristi po defaultu

Preuzimanje Algo certifikata

Ispod je skup veza za preuzimanje lanca Algo CA certifikata. The files se mogu instalirati na SIP server ili Provisioning Server kako bi ovi serveri potvrdili autentičnost certifikata uređaja na Algo SIP krajnjim tačkama i tako omogućili međusobnu autentifikaciju:
Algo Root CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo Intermediate CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Algo javni sertifikat: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

Rješavanje problema

Ako se TLS rukovanje ne završi, pošaljite snimanje paketa Algo podršci na analizu. Da biste to uradili, moraćete da preslikate saobraćaj, sa porta na koji je Algo krajnja tačka povezana na mrežnom prekidaču, nazad na računar.

Algo Communication Products Ltd
4500 Beedie St Burnaby BC Kanada V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

Dokumenti / Resursi

ALGO TLS Transport Layer Security [pdfUpute
TLS, Sigurnost transportnog sloja, Sigurnost sloja, TLS, Transportni sloj

Reference

Related Posts

Ostavite komentar

Vaša email adresa neće biti objavljena. Obavezna polja su označena *