Seguretat de la capa de transport TLS
Manual d'instruccions

Seguretat dels punts finals d'Algo IP:
TLS i autenticació mútua

Necessites ajuda?
604-454-3792 or support@algosolutions.com 

Introducció a TLS

TLS (Transport Layer Security) és un protocol criptogràfic que proporciona autenticació, privadesa i seguretat d'extrem a extrem de les dades enviades entre aplicacions o dispositius a través d'Internet. A mesura que les plataformes de telefonia allotjades s'han tornat més habituals, ha augmentat la necessitat que TLS proporcioni una comunicació segura a través d'Internet pública. Els dispositius Algo que admeten el firmware 1.6.4 o posterior admeten la seguretat de la capa de transport (TLS) tant per a l'aprovisionament com per a la senyalització SIP.
Nota: els punts finals següents no admeten TLS: 8180 IP Audio Alerter (G1), 8028 IP Doorphone (G1), 8128 IP Visual Alerter (G1), 8061 IP Relay Controller.

Xifratge vs verificació d'identitat

Tot i que el trànsit TLS sempre està encriptat i segur de les escoles o modificacions de tercers, es pot proporcionar una capa addicional de seguretat mitjançant l'ús de certificats per verificar la identitat de l'altra part. Això permet al servidor verificar la identitat del dispositiu IP Endpoint i viceversa.
Per realitzar la comprovació d'identitat, el Certificat file ha d'estar signat per una autoritat de certificació (CA). L'altre dispositiu comprova aquesta signatura mitjançant el certificat públic (de confiança) d'aquesta CA.

Certificats TLS

Els punts finals d'Algo IP vénen preinstal·lats amb un conjunt de certificats públics d'autoritats de certificació (CA) de tercers de confiança, com ara Comodo, Verisign, Symantec, DigiCert, etc. Les autoritats de certificació proporcionen certificats signats a les empreses per permetre que aquestes empreses demostrin que els seus servidors o webEls llocs són de fet qui diuen que són. Els dispositius Algo poden confirmar que s'està comunicant amb un servidor autèntic verificant els certificats signats del servidor amb els certificats públics de la CA que el va signar. També es poden carregar certificats públics addicionals, per permetre que el dispositiu Algo confiï i verifiqui servidors addicionals que poden no estar inclosos als certificats preinstal·lats (per exempleample, certificats autofirmats).

Autenticació mútua

L'autenticació mútua afegeix una capa addicional de seguretat en requerir que el servidor també validi i confiï en el dispositiu del punt final, a més de la direcció oposada del punt final que valida el servidor. Això s'implementa mitjançant un certificat de dispositiu únic, instal·lat a cada punt final SIP d'Algo en el moment de la fabricació. Com que l'adreça IP d'un dispositiu Algo no està fixada (la determina la xarxa del client), Algo no pot publicar aquesta informació per endavant amb les CA de confiança i, en canvi, aquests certificats de dispositiu han d'estar signats per la pròpia CA d'Algo.
Perquè el servidor confiï en el dispositiu Algo, l'administrador del sistema haurà d'instal·lar la cadena pública de certificats d'Algo CA al seu servidor (per exemple,ampel sistema telefònic SIP o el seu servidor d'aprovisionament) perquè aquest servidor pugui verificar que el certificat del dispositiu del dispositiu Algo és realment autèntic.

Nota: Els punts finals d'Algo IP fabricats l'any 2019 (a partir del firmware 1.7.1) o posteriors tenen el certificat del dispositiu instal·lat de fàbrica.
Per verificar si el certificat està instal·lat, aneu a la pestanya Sistema -> Quant a. Consulteu el certificat del fabricant. Si el certificat no està instal·lat, envieu un correu electrònic support@algosolutions.com.

Suite de xifrat

Les suites de xifratge són conjunts d'algorismes utilitzats durant una sessió TLS. Cada suite inclou algorismes per a l'autenticació, el xifratge i l'autenticació de missatges. Els dispositius Algo admeten molts algorismes de xifratge d'ús comú com AES256 i algorismes de codi d'autenticació de missatges com SHA-2.

Certificats de dispositiu Algo

Els certificats de dispositiu signats per l'Algo Root CA s'han instal·lat de fàbrica als dispositius Algo des del 2019, a partir del firmware 1.7.1. El certificat es genera quan es fabrica el dispositiu, amb el camp de nom comú del certificat que conté l'adreça MAC de cada dispositiu.
El certificat del dispositiu té una validesa de 30 anys i resideix en una partició independent, de manera que no s'esborrarà fins i tot després de restablir de fàbrica el punt final d'Algo.
Els dispositius Algo també admeten la càrrega del vostre propi certificat de dispositiu per utilitzar-lo en lloc del certificat de dispositiu instal·lat de fàbrica. Això es pot instal·lar carregant un PEM file que conté tant un certificat de dispositiu com una clau privada al directori 'certs' (no al directori 'certs/trusted'!) al sistema -> File Pestanya Gestor. Això file cal anomenar-se 'xip client.pem'.

Càrrega de certificats CA públics als punts finals SIP d'Algo

Si teniu un microprogramari inferior a 3.1.X, actualitzeu el dispositiu.
Per instal·lar el certificat en un dispositiu Algo amb firmware v3.1 i superior, seguiu els passos següents:

1. Obteniu un certificat públic de la vostra autoritat de certificació (es pot acceptar qualsevol certificat en format X.509 vàlid). No es requereix cap format específic per al filenom.
2. En el web interfície del dispositiu Algo, navegueu al Sistema -> File Pestanya Gestor.
3. Carregueu el certificat files al directori "certs/trusted". Feu clic al botó Carrega a l'extrem superior esquerre del fitxer file gestor i navegueu fins al certificat.

Web Opcions d'interfície

Aprovisionament HTTPS
L'aprovisionament es pot assegurar configurant el "Mètode de descàrrega" a "HTTPS" (a la pestanya Configuració avançada > Provisionament). Això impedeix la configuració files de ser llegit per un tercer no desitjat. Això resol el risc potencial de robatori de dades sensibles, com ara contrasenyes d'administrador i credencials SIP.

Per realitzar la verificació d'identitat al servidor d'aprovisionament, també configureu "Valida el certificat del servidor" a "Activat". Si el certificat del servidor de subministrament està signat per una de les CA comercials habituals, el dispositiu Algo ja hauria de tenir el certificat públic per a aquesta CA i poder realitzar la verificació.
Carregueu certificats addicionals (certificat X.64 codificat en Base509 file en format .pem, .cer o .crt) navegant a "Sistema > File Manager" a la carpeta "certs/trusted".
NOTA: El paràmetre "Valida el certificat del servidor" també es pot activar mitjançant el subministrament: prov.download.cert = 1

HTTPS Web Protocol d'interfície
El procediment per carregar un certificat públic per a HTTPS web la navegació és similar a la que es descriu a la secció anterior. El httpd.pem file és un certificat de dispositiu que el navegador de l'ordinador sol·licita quan navegueu a la IP del dispositiu. Penjar-ne un personalitzat pot permetre desfer-vos del missatge d'advertència si accediu a WebIU utilitzant HTTPS. No és un certificat CA públic. El certificat s'ha de penjar als 'certs'.

Senyalització SIP (i àudio RTP)

La senyalització SIP està segura configurant "Transport SIP" a "TLS" (a la pestanya Configuració avançada > SIP avançat).

• Assegura que el trànsit SIP es xifrarà.
• La senyalització SIP s'encarrega d'establir la trucada (els senyals de control per iniciar i acabar la trucada amb l'altra part), però no conté l'àudio.
• Per al camí d'àudio (veu), utilitzeu la configuració "Oferta SDP SRTP".
• Establir-ho com a "Opcional" vol dir que les dades d'àudio RTP de la trucada SIP es xifraran (utilitzant SRTP) si l'altra part també admet el xifratge d'àudio.
• Si l'altra part no admet SRTP, la trucada continuarà, però amb àudio sense xifrar. Per fer que el xifratge d'àudio sigui obligatori per a totes les trucades, configureu "Oferta SDP SRTP" a "Estàndard". En aquest cas, si l'altra part no admet el xifratge d'àudio, l'intent de trucada serà rebutjat.
• Per realitzar la verificació d'identitat al servidor SIP, també configureu "Valida el certificat del servidor" a "Activat".
• Si el certificat del servidor SIP està signat per una de les CA comercials habituals, el dispositiu Algo ja hauria de tenir el certificat públic per a aquesta CA i poder realitzar la verificació. Si no (per exampli amb certificats autofirmats), es pot carregar el certificat públic adequat al dispositiu Algo tal com es descriu anteriorment en aquest document.

Versió TLS 1.2
Els dispositius Algo amb firmware v3.1 i posteriors admeten TLS v1.1 i v1.2. 'Força TLS segur
L'opció "Versió" es pot utilitzar per requerir connexions TLS per utilitzar TLSv1.2. Per habilitar aquesta funció:

• Aneu a Configuració avançada > SIP avançat
• Estableix la "Força la versió TLS segura" com a activada i desa'l.
  NOTA: Aquesta opció s'ha eliminat a la versió 4.0+, ja que s'utilitza TLS v1.2 de manera predeterminada

Descàrrega de certificats d'Algo

A continuació es mostren un conjunt d'enllaços per descarregar la cadena de certificats d'Algo CA. El files es poden instal·lar al servidor SIP o al servidor d'aprovisionament per tal que aquests servidors autentiquin els certificats de dispositiu als punts finals SIP d'Algo i, per tant, permetin l'autenticació mútua:
Algo Root CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo Intermedi CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Algo Certificat Públic: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

Resolució de problemes

Si no s'està completant l'enllaç de TLS, envieu una captura de paquets al servei d'assistència d'Algo per a l'anàlisi. Per fer-ho, haureu de reflectir el trànsit, des del port al qual està connectat el punt final d'Algo a l'interruptor de xarxa, de nou a un ordinador.

Algo Communication Products Ltd
4500 Beedie St Burnaby BC Canadà V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

Documents/Recursos

ALGO TLS Seguretat de la capa de transport [pdfInstruccions TLS, Seguretat de la capa de transport, Seguretat de la capa, TLS, capa de transport

Referències

• Manual d'usuari