ALGO - LogoTLS Transportschichtsicherheit
Bedienungsanleitung

Sichern von Algo-IP-Endpunkten:
TLS und gegenseitige Authentifizierung

Benötigen Sie Hilfe?
604-454-3792 or support@algosolutions.com 

Inhalt verstecken
1 Einführung in TLS
2 Verschlüsselung vs. Identitätsüberprüfung
3 TLS-Zertifikate
4 Gegenseitige Authentifizierung
5 Verschlüsselungssammlungen
6 Algo-Gerätezertifikate
7 Hochladen öffentlicher CA-Zertifikate auf Algo SIP-Endpunkte
8 Web Schnittstellenoptionen
9 SIP-Signalisierung (und RTP-Audio)
10 Algo-Zertifikate herunterladen
11 Fehlerbehebung
12 Dokumente / Ressourcen
12.1 Verweise
13 Verwandte Artikel

Einführung in TLS

TLS (Transport Layer Security) ist ein kryptografisches Protokoll, das Authentifizierung, Datenschutz und End-to-End-Sicherheit für Daten bietet, die zwischen Anwendungen oder Geräten über das Internet gesendet werden. Da gehostete Telefonieplattformen immer häufiger genutzt werden, ist der Bedarf an TLS zur Gewährleistung einer sicheren Kommunikation über das öffentliche Internet gestiegen. Algo-Geräte, die Firmware 1.6.4 oder höher unterstützen, unterstützen Transport Layer Security (TLS) sowohl für Provisioning als auch für SIP-Signalisierung.
Notiz: Die folgenden Endpunkte unterstützen TLS nicht: 8180 IP Audio Alerter (G1), 8028 IP Doorphone (G1), 8128 IP Visual Alerter (G1), 8061 IP Relay Controller.

Verschlüsselung vs. Identitätsüberprüfung

Während TLS-Verkehr immer verschlüsselt und vor Abhören oder Änderungen durch Dritte geschützt ist, kann durch die Verwendung von Zertifikaten zur Überprüfung der Identität der anderen Partei eine zusätzliche Sicherheitsebene bereitgestellt werden. Dadurch kann der Server die Identität des IP-Endpunktgeräts überprüfen und umgekehrt.
Zur Durchführung der Identitätsprüfung muss das Zertifikat file muss von einer Zertifizierungsstelle (CA) signiert sein. Das andere Gerät überprüft diese Signatur dann mithilfe des öffentlichen (vertrauenswürdigen) Zertifikats dieser CA.

TLS-Zertifikate

Algo IP Endpoints werden mit einer Reihe öffentlicher Zertifikate von vertrauenswürdigen Zertifizierungsstellen (CAs) von Drittanbietern vorinstalliert, darunter Comodo, Verisign, Symantec, DigiCert usw. Die Zertifizierungsstellen stellen Unternehmen signierte Zertifikate zur Verfügung, mit denen diese nachweisen können, dass ihre Server oder webWebsites sind tatsächlich diejenigen, die sie vorgeben zu sein. Algo-Geräte können bestätigen, dass sie mit einem authentischen Server kommunizieren, indem sie die signierten Zertifikate des Servers mit den öffentlichen Zertifikaten der Zertifizierungsstelle vergleichen, die sie signiert hat. Es können auch zusätzliche öffentliche Zertifikate hochgeladen werden, damit das Algo-Gerät zusätzlichen Servern vertrauen und diese überprüfen kann, die möglicherweise nicht in den vorinstallierten Zertifikaten enthalten sind (z. B.ample, selbstsignierte Zertifikate).

Gegenseitige Authentifizierung

Die gegenseitige Authentifizierung fügt eine zusätzliche Sicherheitsebene hinzu, indem sie erfordert, dass der Server auch das Endgerät validiert und ihm vertraut, zusätzlich zur umgekehrten Validierung des Endgeräts durch den Server. Dies wird mithilfe eines einzigartigen Gerätezertifikats umgesetzt, das bei der Herstellung auf jedem Algo SIP-Endgerät installiert wird. Da die IP-Adresse eines Algo-Geräts nicht festgelegt ist (sie wird vom Netzwerk des Kunden bestimmt), kann Algo diese Informationen nicht im Voraus bei den vertrauenswürdigen Zertifizierungsstellen veröffentlichen. Stattdessen müssen diese Gerätezertifikate von Algos eigener Zertifizierungsstelle signiert werden.
Damit der Server dem Algo-Gerät dann vertraut, muss der Systemadministrator die öffentliche Algo CA-Zertifikatskette auf seinem Server installieren (z. B.ample das SIP-Telefonsystem oder deren Bereitstellungsserver), damit dieser Server überprüfen kann, ob das Gerätezertifikat auf dem Algo-Gerät tatsächlich authentisch ist.

Notiz: Bei Algo IP-Endpunkten ab Herstellungsjahr 2019 (ab Firmware 1.7.1) ist das Gerätezertifikat bereits ab Werk installiert.
Um zu überprüfen, ob das Zertifikat installiert ist, navigieren Sie zu System -> Registerkarte Info. Siehe das Herstellerzertifikat. Wenn das Zertifikat nicht installiert ist, senden Sie bitte eine E-Mail an support@algosolutions.com. ALGO TLS Transport Layer Security - Abbildung 1

Verschlüsselungssammlungen

Cipher Suites sind Algorithmensätze, die während einer TLS-Sitzung verwendet werden. Jede Suite enthält Algorithmen zur Authentifizierung, Verschlüsselung und Nachrichtenauthentifizierung. Algo-Geräte unterstützen viele häufig verwendete Verschlüsselungsalgorithmen wie AES256 und Nachrichtenauthentifizierungscodealgorithmen wie SHA-2.

Algo-Gerätezertifikate

Gerätezertifikate, die von der Algo Root CA signiert wurden, sind seit 2019, beginnend mit Firmware 1.7.1, werkseitig auf Algo-Geräten installiert. Das Zertifikat wird bei der Herstellung des Geräts generiert, wobei das Feld „Common Name“ im Zertifikat die MAC-Adresse für jedes Gerät enthält.
Das Gerätezertifikat ist 30 Jahre lang gültig und befindet sich in einer separaten Partition, sodass es auch nach einem Zurücksetzen des Algo-Endpunkts auf die Werkseinstellungen nicht gelöscht wird.
Algo-Geräte unterstützen auch das Hochladen eines eigenen Gerätezertifikats, das anstelle des werkseitig installierten Gerätezertifikats verwendet werden kann. Dies kann durch Hochladen eines PEM installiert werden. file das sowohl ein Gerätezertifikat als auch einen privaten Schlüssel enthält, in das Verzeichnis „certs“ (nicht in das Verzeichnis „certs/trusted“) im System -> File Registerkarte Manager. Diese file muss 'sip' heißen client.pem'.

Hochladen öffentlicher CA-Zertifikate auf Algo SIP-Endpunkte

Wenn Sie eine Firmware niedriger als 3.1.X haben, aktualisieren Sie das Gerät bitte.
Um das Zertifikat auf einem Algo-Gerät mit Firmware v3.1 und höher zu installieren, befolgen Sie die unten aufgeführten Schritte:

  1. Besorgen Sie sich ein öffentliches Zertifikat von Ihrer Zertifizierungsstelle (jedes gültige Zertifikat im X.509-Format wird akzeptiert). Es gibt kein spezielles Format für das fileName.
  2. Im web Navigieren Sie auf der Algo-Geräteoberfläche zu System -> File Registerkarte "Manager".
  3. Laden Sie das Zertifikat hoch files in das Verzeichnis „certs/trusted“. Klicken Sie auf die Schaltfläche Hochladen in der oberen linken Ecke des file Manager und navigieren Sie zum Zertifikat.

Web Schnittstellenoptionen

HTTPS-Bereitstellung
Die Bereitstellung kann gesichert werden, indem die Download-Methode auf HTTPS gesetzt wird (unter Erweiterte Einstellungen > Registerkarte Bereitstellung). Dies verhindert die Konfiguration files vor dem Lesen durch unerwünschte Dritte. Dadurch wird das potenzielle Risiko des Diebstahls vertraulicher Daten wie Administratorkennwörter und SIP-Anmeldeinformationen vermieden. ALGO TLS Transport Layer Security - Abbildung 2

Um eine Identitätsüberprüfung auf dem Provisioning-Server durchzuführen, setzen Sie außerdem „Serverzertifikat validieren“ auf „Aktiviert“. Wenn das Zertifikat des Provisioning-Servers von einer der gängigen kommerziellen Zertifizierungsstellen signiert ist, sollte das Algo-Gerät bereits über das öffentliche Zertifikat dieser Zertifizierungsstelle verfügen und die Überprüfung durchführen können.
Zusätzliche Zertifikate hochladen (Base64-kodiertes X.509-Zertifikat file im .pem-, .cer- oder .crt-Format) indem Sie zu „System > File Manager“ in den Ordner „certs/trusted“.
HINWEIS: Der Parameter „Serverzertifikat validieren“ kann auch über die Bereitstellung aktiviert werden: prov.download.cert = 1

HTTPS Web Schnittstellenprotokoll
So laden Sie ein öffentliches Zertifikat für HTTPS hoch web Das Browsen ist ähnlich wie im Abschnitt oben beschrieben. Die httpd.pem file ist ein Gerätezertifikat, das vom Browser Ihres Computers angefordert wird, wenn Sie zur IP des Geräts navigieren. Durch das Hochladen eines benutzerdefinierten Zertifikats können Sie möglicherweise die Warnmeldung beseitigen, wenn Sie auf das WebBenutzeroberfläche mit HTTPS. Es ist kein öffentliches CA-Zertifikat. Das Zertifikat muss in die „Zertifikate“ hochgeladen werden. ALGO TLS Transport Layer Security - Abbildung 3

SIP-Signalisierung (und RTP-Audio)

Die SIP-Signalisierung wird gesichert, indem „SIP-Transport“ auf „TLS“ eingestellt wird (unter „Erweiterte Einstellungen“ > Registerkarte „Erweitertes SIP“).

  • Es stellt sicher, dass der SIP-Verkehr verschlüsselt wird.
  • Die SIP-Signalisierung ist für den Verbindungsaufbau zuständig (die Steuersignale zum Starten und Beenden des Gesprächs mit dem anderen Teilnehmer), sie enthält jedoch nicht den Ton.
  • Verwenden Sie für den Audiopfad (Sprachpfad) die Einstellung „SDP SRTP-Angebot“.
  • Wenn Sie dies auf „Optional“ setzen, werden die RTP-Audiodaten des SIP-Anrufs verschlüsselt (mit SRTP), wenn die andere Partei auch Audioverschlüsselung unterstützt.
  • Wenn die Gegenstelle SRTP nicht unterstützt, wird der Anruf trotzdem fortgesetzt, allerdings mit unverschlüsseltem Ton. Um die Audioverschlüsselung für alle Anrufe obligatorisch zu machen, setzen Sie „SDP SRTP-Angebot“ auf „Standard“. In diesem Fall wird der Anrufversuch abgelehnt, wenn die Gegenstelle die Audioverschlüsselung nicht unterstützt.
  • Um eine Identitätsüberprüfung auf dem SIP-Server durchzuführen, setzen Sie „Serverzertifikat validieren“ auch auf „Aktiviert“.
  • Wenn das Zertifikat des SIP-Servers von einer der gängigen kommerziellen Zertifizierungsstellen signiert ist, sollte das Algo-Gerät bereits über das öffentliche Zertifikat dieser Zertifizierungsstelle verfügen und die Überprüfung durchführen können. Wenn nicht (z. B.ampDatei mit selbstsignierten Zertifikaten), dann kann das entsprechende öffentliche Zertifikat auf das Algo-Gerät hochgeladen werden, wie weiter oben in diesem Dokument beschrieben.

ALGO TLS Transport Layer Security - Abbildung 4

TLS Version 1.2
Algo-Geräte mit Firmware v3.1 und höher unterstützen TLS v1.1 und v1.2. „Force Secure TLS
Mit der Option „Version“ können Sie TLS-Verbindungen mit TLSv1.2 verbinden. So aktivieren Sie diese Funktion:

  • Gehen Sie zu Erweiterte Einstellungen > Erweitertes SIP
  • Aktivieren Sie „Sichere TLS-Version erzwingen“ und speichern Sie.
    NOTIZ: Diese Option wurde in v4.0+ entfernt, da standardmäßig TLS v1.2 verwendet wird

Algo-Zertifikate herunterladen

Nachfolgend finden Sie eine Reihe von Links zum Herunterladen der Algo CA-Zertifikatskette. files können auf dem SIP-Server oder Provisioning-Server installiert werden, damit diese Server die Gerätezertifikate auf Algo SIP-Endpunkten authentifizieren und so eine gegenseitige Authentifizierung ermöglichen:
Algo-Stammzertifizierungsstelle: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo Intermediate CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Algo Public-Zertifikat: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

Fehlerbehebung

Wenn der TLS-Handshake nicht abgeschlossen wird, senden Sie zur Analyse eine Paketerfassung an den Algo-Support. Dazu müssen Sie den Datenverkehr vom Port, mit dem der Algo-Endpunkt am Netzwerk-Switch verbunden ist, zurück auf einen Computer spiegeln.

Algo Communication Products Ltd
4500 Beedie St Burnaby BC Kanada V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

Dokumente / Ressourcen

ALGO TLS Transportschichtsicherheit [pdf] Anweisungen
TLS, Transportschichtsicherheit, Schichtsicherheit, TLS, Transportschicht

Verweise

Verwandte Artikel

Hinterlasse einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Pflichtfelder sind markiert *