ALGO TLS Transport Layer Sikkerhedsinstruktioner

TLS (Transport Layer Security) er en kryptografisk protokol, der giver godkendelse, privatliv og ende-til-ende sikkerhed af data, der sendes mellem applikationer eller enheder over internettet. Efterhånden som hostede telefoniplatforme er blevet mere almindelige, er behovet for TLS til at levere sikker kommunikation over det offentlige internet steget. Algo-enheder, der understøtter firmware 1.6.4 eller nyere, understøtter Transport Layer Security (TLS) til både klargøring og SIP-signalering.
Note: følgende endepunkter understøtter ikke TLS: 8180 IP Audio Alerter (G1), 8028 IP Doorphone (G1), 8128 IP Visual Alerter (G1), 8061 IP Relay Controller.

Kryptering vs identitetsbekræftelse

Mens TLS-trafik altid er krypteret og sikker mod aflytning eller modifikation af tredjeparter, kan der tilvejebringes et ekstra lag af sikkerhed ved at bruge certifikater til at bekræfte den anden parts identitet. Dette giver serveren mulighed for at bekræfte identiteten af IP-endepunktsenheden og omvendt.
For at udføre identitetskontrollen, certifikatet file skal være underskrevet af en certifikatmyndighed (CA). Den anden enhed kontrollerer derefter denne signatur ved hjælp af det offentlige (pålidelige) certifikat fra denne CA.

TLS-certifikater

Algo IP-endepunkter kommer forudinstalleret med et sæt offentlige certifikater fra betroede tredjeparts certifikatmyndigheder (CA'er), herunder Comodo, Verisign, Symantec, DigiCert osv. Certifikatmyndighederne leverer signerede certifikater til virksomheder for at give disse virksomheder mulighed for at bevise, at deres servere eller webwebsteder er faktisk, hvem de siger, de er. Algo-enheder kan bekræfte, at den kommunikerer med en autentisk server ved at verificere serverens signerede certifikater mod de offentlige certifikater fra den CA, der underskrev den. Yderligere offentlige certifikater kan også uploades for at give Algo-enheden mulighed for at stole på og verificere yderligere servere, der muligvis ikke er inkluderet i de forudinstallerede certifikater (f.eks.ample, selvunderskrevne certifikater).

Gensidig godkendelse

Gensidig godkendelse tilføjer et ekstra lag af sikkerhed ved at kræve, at serveren også validerer og har tillid til slutpunktsenheden, udover at den modsatte retning af slutpunktet validerer serveren. Dette implementeres ved hjælp af et unikt enhedscertifikat, der er installeret på hvert Algo SIP-endepunkt på fremstillingstidspunktet. Da IP-adressen på en Algo-enhed ikke er fast (det bestemmes af kundens netværk), kan Algo ikke offentliggøre disse oplysninger på forhånd med de betroede CA'er, og i stedet skal disse Enhedscertifikater underskrives af Algo's egen CA.
For at serveren derefter kan stole på Algo-enheden, skal systemadministratoren installere den offentlige Algo CA-certifikatkæde på deres server (f.eks.ampSIP-telefonsystemet eller deres klargøringsserver), så denne server kan bekræfte, at enhedscertifikatet på Algo-enheden faktisk er autentisk.

Note: Algo IP-slutpunkter fremstillet i 2019 (startende med firmware 1.7.1) eller senere har enhedscertifikatet installeret fra fabrikken.
For at kontrollere, om certifikatet er installeret, skal du navigere til fanen System -> Om. Se producentcertifikatet. Hvis certifikatet ikke er installeret, bedes du sende en e-mail support@algosolutions.com.

Cipher Suites

Cipher-suiter er sæt af algoritmer, der bruges under en TLS-session. Hver suite indeholder algoritmer til godkendelse, kryptering og meddelelsesgodkendelse. Algo-enheder understøtter mange almindeligt anvendte krypteringsalgoritmer såsom AES256 og meddelelsesgodkendelseskodealgoritmer såsom SHA-2.

Algo enhedscertifikater

Enhedscertifikater underskrevet af Algo Root CA er blevet fabriksinstalleret på Algo-enheder siden 2019, startende med firmware 1.7.1. Certifikatet genereres, når enheden er fremstillet, hvor det fælles navnefelt i certifikatet indeholder MAC-adressen for hver enhed.
Enhedscertifikatet er gyldigt i 30 år og ligger i en separat partition, så det vil ikke blive slettet, selv efter fabriksnulstilling af Algo-slutpunktet.
Algo-enheder understøtter også upload af dit eget enhedscertifikat til brug i stedet for det fabriksinstallerede enhedscertifikat. Dette kan installeres ved at uploade en PEM file indeholdende både et enhedscertifikat og en privat nøgle til 'certs'-mappen (ikke 'certs/trusted'-mappen!) i systemet -> File Fanen Manager. Det her file skal kaldes 'sip client.pem'.

Upload af offentlige CA-certifikater til Algo SIP-slutpunkter

Hvis du har en firmware lavere end 3.1.X, skal du opgradere enheden.
Følg nedenstående trin for at installere certifikatet på en Algo-enhed, der kører firmware v3.1 og nyere:

Få et offentligt certifikat fra din certifikatmyndighed (ethvert gyldigt certifikat i X.509-format kan accepteres). Der kræves ikke noget specifikt format for filenavn.
I den web interface på Algo-enheden, naviger til System -> File Fanen Manager.

Upload certifikatet files i mappen 'certs/trusted'. Klik på knappen Upload i øverste venstre hjørne af file leder og browse til certifikatet.

Web Interface muligheder

HTTPS-provisionering
Klargøring kan sikres ved at indstille 'Downloadmetode' til 'HTTPS' (under fanen Avancerede indstillinger > Provisioning). Dette forhindrer konfiguration files fra at blive læst af en uønsket tredjepart. Dette løser den potentielle risiko for at få stjålet følsomme data, såsom administratoradgangskoder og SIP-legitimationsoplysninger.

For at udføre identitetsbekræftelse på klargøringsserveren skal du også indstille 'Valider servercertifikat' til 'Aktiveret'. Hvis provisioneringsserverens certifikat er underskrevet af en af de almindelige kommercielle CA'er, bør Algo-enheden allerede have det offentlige certifikat for denne CA og være i stand til at udføre verifikationen.
Upload yderligere certifikater (Base64-kodet X.509-certifikat file i .pem-, .cer- eller .crt-format) ved at navigere til "System > File Manager” til mappen 'certs/trusted'.
BEMÆRK: Parameteren 'Valider servercertifikat' kan også aktiveres gennem klargøring: prov.download.cert = 1

HTTPS Web Interfaceprotokol
Proceduren for at uploade et offentligt certifikat til HTTPS web browsing ligner det, der er beskrevet i afsnittet ovenfor. httpd.pem file er et enhedscertifikat, der anmodes om af din computers browser, når du navigerer til enhedens IP. Hvis du uploader en brugerdefineret, kan du slippe af med advarselsmeddelelsen, hvis du får adgang til WebUI ved hjælp af HTTPS. Det er ikke et offentligt CA-certifikat. Certifikatet skal uploades til 'certifikaterne'.

SIP-signalering (og RTP-lyd)

SIP-signalering er sikret ved at indstille 'SIP Transportation' til 'TLS' (under fanen Avancerede indstillinger > Avanceret SIP).

Det sikrer, at SIP-trafikken bliver krypteret.

SIP-signaleringen er ansvarlig for at etablere opkaldet (styresignalerne til at starte og afslutte opkaldet med den anden part), men det indeholder ikke lyden.
Til lydstien (stemme) skal du bruge indstillingen 'SDP SRTP Offer'.

Indstilling af dette til 'Valgfri' betyder, at SIP-opkaldets RTP-lyddata vil blive krypteret (ved hjælp af SRTP), hvis den anden part også understøtter lydkryptering.
Hvis den anden part ikke understøtter SRTP, vil opkaldet stadig fortsætte, men med ukrypteret lyd. For at gøre lydkryptering obligatorisk for alle opkald skal du indstille 'SDP SRTP-tilbud' til 'Standard'. I dette tilfælde, hvis den anden part ikke understøtter lydkryptering, vil opkaldsforsøget blive afvist.

For at udføre identitetsbekræftelse på SIP-serveren skal du også indstille 'Valider servercertifikat' til 'Aktiveret'.
Hvis SIP-serverens certifikat er underskrevet af en af de almindelige kommercielle CA'er, bør Algo-enheden allerede have det offentlige certifikat for denne CA og være i stand til at udføre verifikationen. Hvis ikke (f.eksample med selvsignerede certifikater), så kan det relevante offentlige certifikat uploades til Algo-enheden som beskrevet tidligere i dette dokument.

TLS version 1.2
Algo-enheder, der kører firmware v3.1 og nyere, understøtter TLS v1.1 og v1.2. 'Force Secure TLS
Version' mulighed kan bruges til at kræve, at TLS-forbindelser bruger TLSv1.2. Sådan aktiverer du denne funktion:

Gå til Avancerede indstillinger > Avanceret SIP
Indstil 'Force sikker TLS-version' som aktiveret, og gem.
NOTE: Denne mulighed er blevet fjernet i v4.0+, da TLS v1.2 bruges som standard

Hent algo-certifikater

Nedenfor er et sæt links til download af Algo CA-certifikatkæden. Det files kan installeres på SIP-serveren eller klargøringsserveren, for at disse servere kan autentificere enhedscertifikaterne på Algo SIP-endepunkter og dermed tillade gensidig godkendelse:
Algo Root CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo mellemliggende CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Algo offentligt certifikat: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

Fejlfinding

Hvis TLS-håndtrykket ikke bliver fuldført, bedes du sende en pakkefangst til Algo-support til analyse. For at gøre det skal du spejle trafikken fra den port, som Algo-endepunktet er forbundet til på netværksswitchen, tilbage til en computer.

Algo Communication Products Ltd.
4500 Beedie St Burnaby BC Canada V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

Dokumenter/ressourcer

ALGO TLS Transport Layer Security [pdf] Instruktioner
TLS, Transport Layer Security, Layer Security, TLS, Transport Layer

Referencer

Brugermanual

Introduktion til TLS