Sicurezza di a Strada di Trasportu TLS
Manuale d'istruzzioni

Sicurezza di l'endpoint Algo IP:
TLS è l'autenticazione mutuale

Avete bisognu di aiutu?
604-454-3792 or support@algosolutions.com 

Introduzione à TLS

TLS (Transport Layer Security) hè un protokollu criptograficu chì furnisce l'autentificazione, a privacy è a sicurità end-to-end di dati mandati trà applicazioni o dispositi in Internet. Cume e plataforme di telefonia ospitu sò diventate più cumuni, a necessità di TLS per furnisce una cumunicazione sicura nantu à l'internet publicu hè aumentata. Dispositivi Algo chì supportanu firmware 1.6.4 o più tardi supportanu Transport Layer Security (TLS) sia per l'approvvigionamentu sia per a segnalazione SIP.
Nota: i seguenti endpoints ùn supportanu TLS: 8180 IP Audio Alerter (G1), 8028 IP Doorphone (G1), 8128 IP Visual Alerter (G1), 8061 IP Relay Controller.

Criptazione vs Verificazione d'identità

Mentre chì u trafficu TLS hè sempre criptatu è sicuru da l'eavesdropping o di a mudificazione di terze parti, un stratu supplementu di sicurità pò esse furnitu cù Certificati per verificà l'identità di l'altra parte. Questu permette à u Servitore di verificà l'identità di u dispusitivu IP Endpoint, è vice-versa.
Per fà u cuntrollu d'identità, u Certificatu file deve esse firmatu da una Autorità di Certificazione (CA). L'altru dispusitivu poi verifica sta firma, utilizendu u Certificatu Publicu (Fiducia) da questa CA.

Certificati TLS

L'Algo IP Endpoints venenu preinstallati cù un inseme di certificati publichi da Autorità di Certificazione (CA) di terze parti di fiducia, cumprese Comodo, Verisign, Symantec, DigiCert, etc. i so servitori o webi siti sò in fattu chì dicenu chì sò. I dispositi Algo ponu cunfirmà chì cumunicà cù un servitore autenticu verificando i certificati firmati di u servitore contru i certificati publichi da l'AC chì l'hà firmatu. Certificati publichi addiziunali ponu ancu esse caricati, per permette à u dispositivu Algo di fidà è verificate servitori supplementari chì ùn ponu micca esse inclusi in i certificati preinstallati (per ex.ample, certificati autofirmati).

Autentificazione mutuale

L'autenticazione mutuale aghjusta un livellu supplementu di sicurità esigendu chì u servitore cunvalida ancu è fidà u dispositivu endpoint, in più di a direzzione opposta di l'endpoint validendu u servitore. Questu hè implementatu cù un Certificatu di Dispositivu unicu, installatu in ogni Endpoint Algo SIP à u mumentu di a fabricazione. Siccomu l'indirizzu IP di un dispositivu Algo ùn hè micca fissatu (hè determinatu da a reta di u cliente), Algo ùn pò micca pubblicà sta infurmazione in anticipu cù i CA di fiducia, è invece, questi Certificati di Dispositivi devenu esse firmati da a propria CA di Algo.
Per chì u servitore poi cunfidassi in u dispositivu Algo, l'amministratore di u sistema duverà installà a catena di certificatu publicu Algo CA nantu à u so servitore (per es.ample u SIP Phone System o u so servitore di pruvisione) in modu chì stu servitore pò verificà chì u Certificatu di u Dispositivu in u dispusitivu Algo hè in fattu autenticu.

Nota: Algo IP endpoints fabbricati in 2019 (comincendu cù firmware 1.7.1) o dopu avè u certificatu di u dispositivu installatu da a fabbrica.
Per verificà se u certificatu hè stallatu, andate à Sistema -> About tab. Vede u Certificatu di u fabricatore. Se u certificatu ùn hè micca stallatu, per piacè email support@algosolutions.com.

Cipher Suites

Cipher suites sò insemi di algoritmi utilizati durante una sessione TLS. Ogni suite include algoritmi per l'autentificazione, a criptografia è l'autentificazione di i missaghji. I dispositi Algo supportanu assai algoritmi di criptografia cumunimenti utilizati cum'è AES256 è algoritmi di codice di autentificazione di missaghju cum'è SHA-2.

Certificati di Dispositivi Algo

I Certificati di Dispositivi firmati da l'Algo Root CA sò stati installati in fabbrica nantu à i dispositi Algo da 2019, cuminciendu cù u firmware 1.7.1. U certificatu hè generatu quandu u dispusitivu hè fabricatu, cù u campu di nome cumuni in u certificatu chì cuntene l'indirizzu MAC per ogni dispusitivu.
U certificatu di u dispusitivu hè validu per 30 anni è reside in una partizione separata, per quessa ùn serà micca sguassatu ancu dopu a resettazione di fabbrica di l'endpoint Algo.
I dispositi Algo supportanu ancu a carica di u vostru propiu certificatu di u dispositivu per aduprà invece di u certificatu di u dispositivu installatu in fabbrica. Questu pò esse installatu carichendu un PEM file chì cuntene un certificatu di u dispositivu è una chjave privata in u cartulare "certs" (micca u cartulare "certs/trusted"!) in u Sistema -> File tab Manager. Questu file ci vole à esse chjamatu "sip". cliente.pem'.

Caricà i Certificati Public CA à l'Endpoints Algo SIP

Sè vo site in un firmware più bassu di 3.1.X, aghjurnà u dispusitivu.
Per installà u certificatu in un dispositivu Algo chì esegue firmware v3.1 & sopra, seguitate i passi sottu:

1. Ottene un certificatu publicu da a vostra Autorità di Certificazione (qualsiasi certificatu di furmatu X.509 validu pò esse accettatu). Ùn ci hè micca un furmatu specificu necessariu per u filenomu.
2. In u web interfaccia di u dispusitivu Algo, navigate à u Sistema -> File tab Manager.
3. Caricate u certificatu files in u cartulare "certi / fiducia". Cliccate u buttone Caricate in l'angulu superiore manca file manager è andate à u certificatu.

Web Opzioni di l'interfaccia

Provisioning HTTPS
L'approvvigionamentu pò esse assicuratu mettendu u "Metudu di scaricamentu" à "HTTPS" (sottu a Configurazione Avanzata> Tabulazione Provisioning). Questu impedisce a cunfigurazione files da esse lettu da un terzu indesideratu. Questu risolve u risicu potenziale di avè arrubbatu di dati sensibili, cum'è password di amministratore è credenziali SIP.

Per fà a verificazione di l'identità nantu à u Servitore di Provisioning, stabilisce ancu "Validate u Certificatu di u Servitore" à "Abilitatu". Se u Certificatu di u servitore di pruvisione hè firmatu da una di e CA cummirciali cumuni, allora u dispusitivu Algo deve avè digià u certificatu publicu per questa CA è esse capace di fà a verificazione.
Caricate certificati supplementari (certificati X.64 codificati in Base509 file in formatu .pem, .cer, o .crt) navigendu à "Sistema > File Manager" à u cartulare "certi / fiducia".
NOTA: U paràmetru "Validate Server Certificate" pò ancu esse attivatu attraversu l'approvvigionamentu: prov.download.cert = 1

HTTPS Web Prutocolu di Interfaccia
A prucedura per carica un certificatu publicu per HTTPS web a navigazione hè simile à ciò chì hè descrittu in a sezione sopra. U httpd.pem file hè un certificatu di u dispositivu chì hè dumandatu da u navigatore di u vostru urdinatore quandu navigate à l'IP di u dispusitivu. Caricà una persunalizata pò permette di sbarazzarsi di u missaghju d'avvisu se accede à u WebUI cù HTTPS. Ùn hè micca un certificatu CA publicu. U certificatu deve esse caricatu à i "certi".

Segnale SIP (è RTP Audio)

A signalazione SIP hè assicurata mettendu "Trasportu SIP" à "TLS" (sottu a Impostazioni Avanzate> Tabulazione SIP Avanzata).

• Assicura chì u trafficu SIP serà criptatu.
• A signalazione SIP hè rispunsevule per stabilisce a chjama (i signali di cuntrollu per inizià è finisce a chjama cù l'altra parte), ma ùn cuntene micca l'audio.
• Per u percorsu di l'audio (voce), utilizate l'impostazione "SDP SRTP Offer".
• Stabilisce questu à "Opzionale" significa chì i dati audio RTP di a chjama SIP seranu criptati (usendu SRTP) se l'altra parte supporta ancu a crittografia audio.
• Se l'altra parte ùn sustene micca SRTP, allora a chjamata continuarà sempre, ma cù l'audio micca criptatu. Per fà a criptografia audio obbligatoria per tutte e chjamate, stabilisce "SDP SRTP Offer" à "Standard". In questu casu, se l'altra parte ùn sustene micca a criptografia di l'audio, u tentativu di chjama serà rifiutatu.
• Per fà a verificazione di l'identità nantu à u Servitore SIP, stabilisce ancu "Validate u Certificatu di u Servitore" à "Abilitatu".
• Se u Certificatu di u servitore SIP hè firmatu da una di e CA cummirciali cumuni, allora u dispusitivu Algo deve avè digià u certificatu publicu per questa CA è esse capace di fà a verificazione. Se no (per esample cù certificati autofirmati), allura u certificatu publicu apprupriatu pò esse caricatu à u dispusitivu Algo cum'è discritta prima in stu documentu.

Versione TLS 1.2
Dispositivi Algo chì eseguenu firmware v3.1 è sopra supportanu TLS v1.1 è v1.2. 'Forza TLS Secure
L'opzione "Versione" pò esse aduprata per dumandà e cunnessione TLS per utilizà TLSv1.2. Per attivà sta funzione:

• Andà à Impostazioni avanzate> SIP avanzatu
• Pone a "Forza Versione TLS sicura" cum'è attivata è salvate.
  NOTA: Questa opzione hè stata sguassata in v4.0+ postu chì TLS v1.2 hè utilizatu per difettu

Scaricate i certificati Algo

Quì sottu sò un inseme di ligami per scaricà a catena di certificati Algo CA. U files ponu esse installati nantu à u Servitore SIP o u Servitore di Provisioning per chì questi servitori autentificà i Certificati di Dispositivi nantu à i Punti Finali Algo SIP, è cusì permettenu l'Autentificazione Mutuali:
Algo Root CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo Intermediate CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Algo Certificatu Publicu: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

Risoluzione di prublemi

Se a stretta di mano TLS ùn hè micca finita, mandate una cattura di pacchettu à u supportu Algo per l'analisi. Per fà chì vi Mulateri Di L'hannu à specchiu u trafficu, da u portu u puntu finale Algo hè culligatu à nantu à u switch reta, daretu à un urdinatore.

Algo Communication Products Ltd.
4500 Beedie St Burnaby BC Canada V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

Documenti / Risorse

ALGO TLS Transport Layer Security [pdf] Istruzzioni TLS, Trasportu Layer Security, Layer Security, TLS, Trasportu Layer

Referenze

• Manuale d'usu