ALGO - logoZabezpečení transportní vrstvy TLS
Návod k použití

Zabezpečení koncových bodů Algo IP:
TLS a vzájemné ověřování

Potřebujete pomoc?
604-454-3792 or podpora@algosolutions.com 

Obsah skrýt
1 Úvod do TLS
2 Šifrování vs ověřování identity
3 Certifikáty TLS
4 Vzájemná autentizace
5 Cipher Suites
6 Certifikáty zařízení Algo
7 Nahrávání certifikátů veřejné CA na koncové body Algo SIP
8 Web Možnosti rozhraní
9 SIP signalizace (a RTP zvuk)
10 Certifikáty Algo ke stažení
11 Odstraňování problémů
12 Dokumenty / zdroje
12.1 Reference
13 Související příspěvky

Úvod do TLS

TLS (Transport Layer Security) je kryptografický protokol, který poskytuje ověřování, soukromí a komplexní zabezpečení dat odesílaných mezi aplikacemi nebo zařízeními přes internet. S tím, jak se hostované telefonní platformy staly běžnějšími, vzrostla potřeba TLS pro zajištění bezpečné komunikace přes veřejný internet. Zařízení Algo, která podporují firmware 1.6.4 nebo novější, podporují TLS (Transport Layer Security) pro poskytování i SIP signalizaci.
Poznámka: následující koncové body nepodporují TLS: 8180 IP Audio Alerter (G1), 8028 IP Doorphone (G1), 8128 IP Visual Alerter (G1), 8061 IP Relay Controller.

Šifrování vs ověřování identity

Zatímco provoz TLS je vždy šifrovaný a bezpečný před odposloucháváním nebo úpravami třetí stranou, další úroveň zabezpečení lze poskytnout pomocí certifikátů k ověření identity druhé strany. To umožňuje serveru ověřit identitu zařízení IP Endpoint a naopak.
Chcete-li provést kontrolu identity, Certifikát file musí být podepsán certifikační autoritou (CA). Druhé zařízení pak tento podpis zkontroluje pomocí veřejného (důvěryhodného) certifikátu od této CA.

Certifikáty TLS

Koncové body Algo IP jsou předinstalované se sadou veřejných certifikátů od důvěryhodných certifikačních autorit třetích stran (CA), včetně Comodo, Verisign, Symantec, DigiCert atd. Certifikační autority poskytují firmám podepsané certifikáty, aby tyto firmy mohly prokázat, že jejich servery popř webstránky jsou ve skutečnosti tím, za koho se vydávají. Zařízení Algo mohou potvrdit, že komunikují s autentickým serverem, ověřením podepsaných certifikátů serveru oproti veřejným certifikátům od CA, která je podepsala. Lze také nahrát další veřejné certifikáty, aby zařízení Algo mohlo důvěřovat a ověřovat další servery, které nemusí být zahrnuty v předinstalovaných certifikátech (např.ample, certifikáty s vlastním podpisem).

Vzájemná autentizace

Vzájemná autentizace přidává jednu další vrstvu zabezpečení tím, že vyžaduje, aby server také ověřoval a důvěřoval koncovému zařízení, kromě opačného směru koncového bodu ověřujícího server. To je implementováno pomocí jedinečného certifikátu zařízení, instalovaného na každém Algo SIP Endpointu v době výroby. Vzhledem k tomu, že IP adresa zařízení Algo není pevná (určuje ji síť zákazníka), společnost Algo nemůže tyto informace předem zveřejnit u důvěryhodných CA a místo toho musí být tyto Certifikáty zařízení podepsány vlastní CA Algo.
Aby server mohl důvěřovat zařízení Algo, bude muset správce systému nainstalovat na svůj server veřejný řetězec certifikátů Algo CA (např.amptelefonní systém SIP nebo jejich zajišťovací server), aby tento server mohl ověřit, že certifikát zařízení na zařízení Algo je skutečně autentický.

Poznámka: Koncové body Algo IP vyrobené v roce 2019 (počínaje firmwarem 1.7.1) nebo novější mají certifikát zařízení nainstalovaný z výroby.
Chcete-li ověřit, zda je certifikát nainstalován, přejděte na kartu Systém -> O aplikaci. Viz Certifikát výrobce. Pokud certifikát není nainstalován, zašlete e-mail podpora@algosolutions.com. Zabezpečení transportní vrstvy ALGO TLS – obrázek 1

Cipher Suites

Šifrovací sady jsou sady algoritmů používaných během relace TLS. Každá sada obsahuje algoritmy pro ověřování, šifrování a ověřování zpráv. Zařízení Algo podporují mnoho běžně používaných šifrovacích algoritmů, jako je AES256, a algoritmy pro ověřování zpráv, jako je SHA-2.

Certifikáty zařízení Algo

Certifikáty zařízení podepsané kořenovou certifikační autoritou Algo jsou z výroby instalovány na zařízeních Algo od roku 2019, počínaje firmwarem 1.7.1. Certifikát je generován při výrobě zařízení, přičemž pole běžného názvu v certifikátu obsahuje MAC adresu každého zařízení.
Certifikát zařízení je platný 30 let a je umístěn v samostatném oddílu, takže nebude vymazán ani po továrním resetování koncového bodu Algo.
Zařízení Algo také podporují nahrání vlastního certifikátu zařízení, který se použije místo certifikátu zařízení instalovaného ve výrobě. To lze nainstalovat nahráním PEM file obsahující jak certifikát zařízení, tak soukromý klíč, do adresáře 'certs' (nikoli do adresáře 'certs/trusted'!) v System -> File Záložka Správce. Tento file je třeba nazývat 'sip klient.pem'.

Nahrávání certifikátů veřejné CA na koncové body Algo SIP

Pokud používáte firmware nižší než 3.1.X, aktualizujte zařízení.
Chcete-li nainstalovat certifikát na zařízení Algo s firmwarem v3.1 a vyšším, postupujte takto:

  1. Získejte veřejný certifikát od své certifikační autority (lze přijmout jakýkoli platný certifikát formátu X.509). Pro soubor není vyžadován žádný konkrétní formát filejméno.
  2. V web rozhraní zařízení Algo přejděte na Systém -> File Záložka Správce.
  3. Nahrajte certifikát files do adresáře 'certs/trusted'. Klikněte na tlačítko Nahrát v levém horním rohu file správce a vyhledejte certifikát.

Web Možnosti rozhraní

Poskytování HTTPS
Zřizování lze zabezpečit nastavením 'Metoda stahování' na 'HTTPS' (na kartě Upřesnit nastavení > Zřizování). To zabraňuje konfiguraci files před čtením nechtěnou třetí stranou. To řeší potenciální riziko odcizení citlivých dat, jako jsou hesla správce a přihlašovací údaje SIP. Zabezpečení transportní vrstvy ALGO TLS – obrázek 2

Chcete-li provést ověření identity na serveru Provisioning, nastavte také 'Validate Server Certificate' na 'Enabled'. Pokud je certifikát zřizovacího serveru podepsán jednou z běžných komerčních CA, pak by zařízení Algo již mělo mít veřejný certifikát pro tuto CA a mělo by být schopno provést ověření.
Nahrajte další certifikáty (certifikát X.64 s kódováním Base509 file ve formátu .pem, .cer nebo .crt) přejděte na „Systém > File Manager“ do složky 'certs/trusted'.
POZNÁMKA: Parametr 'Ověřit certifikát serveru' lze také aktivovat prostřednictvím zřizování: prov.download.cert = 1

HTTPS Web Protokol rozhraní
Postup pro nahrání veřejného certifikátu pro HTTPS web procházení je podobné tomu, co je popsáno v části výše. Soubor httpd.pem file je certifikát zařízení, který vyžaduje prohlížeč vašeho počítače, když přejdete na IP adresu zařízení. Nahrání vlastní vám může umožnit zbavit se varovné zprávy, pokud přistoupíte k WebUI pomocí HTTPS. Nejedná se o veřejný certifikát CA. Certifikát musí být nahrán do „certifikátů“. Zabezpečení transportní vrstvy ALGO TLS – obrázek 3

SIP signalizace (a RTP zvuk)

Signalizace SIP je zabezpečena nastavením 'SIP Transportation' na 'TLS' (v záložce Advanced Settings > Advanced SIP).

  • Zajišťuje, že provoz SIP bude šifrován.
  • Signalizace SIP je zodpovědná za navázání hovoru (řídící signály pro zahájení a ukončení hovoru s druhou stranou), ale neobsahuje zvuk.
  • Pro zvukovou (hlasovou) cestu použijte nastavení „Nabídka SDP SRTP“.
  • Nastavení na „Volitelné“ znamená, že zvuková data RTP hovoru SIP budou šifrována (pomocí SRTP), pokud druhá strana také podporuje šifrování zvuku.
  • Pokud druhá strana nepodporuje SRTP, hovor bude stále pokračovat, ale s nešifrovaným zvukem. Chcete-li, aby bylo šifrování zvuku povinné pro všechny hovory, nastavte „Nabídka SDP SRTP“ na „Standardní“. V tomto případě, pokud druhá strana nepodporuje šifrování zvuku, bude pokus o volání odmítnut.
  • Chcete-li provést ověření identity na SIP serveru, nastavte také 'Validate Server Certificate' na 'Enabled'.
  • Pokud je certifikát SIP serveru podepsán některou z běžných komerčních CA, pak by zařízení Algo již mělo mít veřejný certifikát pro tuto CA a mělo by být schopno provést ověření. Pokud ne (napřample s certifikáty s vlastním podpisem), pak lze do zařízení Algo nahrát příslušný veřejný certifikát, jak je popsáno výše v tomto dokumentu.

Zabezpečení transportní vrstvy ALGO TLS – obrázek 4

TLS verze 1.2
Zařízení Algo s firmwarem v3.1 a vyšším podporují TLS v1.1 a v1.2. „Vynutit zabezpečené TLS
Volba Version' může být použita pro vyžadování připojení TLS pro použití TLSv1.2. Chcete-li tuto funkci povolit:

  • Přejděte na Pokročilá nastavení > Pokročilé SIP
  • Nastavte „Vynutit zabezpečenou verzi TLS“ jako povolenou a uložte.
    POZNÁMKA: Tato možnost byla ve verzi 4.0+ odstraněna, protože standardně se používá TLS v1.2

Certifikáty Algo ke stažení

Níže je uvedena sada odkazů ke stažení řetězce certifikátů Algo CA. The files lze nainstalovat na SIP Server nebo Provisioning Server, aby tyto servery ověřovaly certifikáty zařízení na koncových bodech Algo SIP a umožnily tak vzájemnou autentizaci:
Algo Root CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo Intermediate CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Veřejný certifikát Algo: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

Odstraňování problémů

Pokud se handshake TLS nedokončí, odešlete zachycení paketů podpoře Algo k analýze. Chcete-li to provést, budete muset zrcadlit provoz z portu, ke kterému je koncový bod Algo připojen na síťovém přepínači, zpět do počítače.

Algo Communication Products Ltd
4500 Beedie St Burnaby BC Kanada V5J 5L2
www.algosolutions.com
604-454-3792
podpora@algosolutions.com

Dokumenty / zdroje

Zabezpečení transportní vrstvy ALGO TLS [pdfPokyny
TLS, Transport Layer Security, Layer Security, TLS, Transport Layer

Reference

Související příspěvky

Zanechte komentář

Vaše emailová adresa nebude zveřejněna. Povinná pole jsou označena *