ALGO - logotipoSeguridad de la capa de transporte TLS
Manual de instrucciones

Protección de terminales IP de Algo:
TLS y autenticación mutua

¿Necesitar ayuda?
604-454-3792 or soporte@algosolutions.com 

Contenido esconder
1 Introducción a TLS
2 Cifrado vs Verificación de Identidad
3 Certificados TLS
4 Autenticación mutua
5 Conjuntos de cifrados
6 Certificados de dispositivos Algo
7 Carga de certificados de CA públicos en terminales SIP de Algo
8 Web Opciones de interfaz
9 Señalización SIP (y audio RTP)
10 Descarga de certificados de Algo
11 Solución de problemas
12 Documentos / Recursos
12.1 Referencias
13 Publicaciones relacionadas

Introducción a TLS

TLS (Seguridad de la capa de transporte) es un protocolo criptográfico que proporciona autenticación, privacidad y seguridad de extremo a extremo de los datos enviados entre aplicaciones o dispositivos a través de Internet. A medida que las plataformas de telefonía alojadas se han vuelto más comunes, ha aumentado la necesidad de que TLS proporcione una comunicación segura a través de la Internet pública. Los dispositivos Algo que admiten el firmware 1.6.4 o posterior admiten la seguridad de la capa de transporte (TLS) tanto para el aprovisionamiento como para la señalización SIP.
Nota: los siguientes terminales no admiten TLS: 8180 IP Audio Alerter (G1), 8028 IP Doorphone (G1), 8128 IP Visual Alerter (G1), 8061 IP Relay Controller.

Cifrado vs Verificación de Identidad

Si bien el tráfico TLS siempre está encriptado y a salvo de modificaciones o espionaje de terceros, se puede proporcionar una capa adicional de seguridad mediante el uso de certificados para verificar la identidad de la otra parte. Esto permite que el servidor verifique la identidad del dispositivo IP Endpoint y viceversa.
Para realizar la verificación de identidad, el Certificado file debe estar firmado por una Autoridad de Certificación (CA). Luego, el otro dispositivo verifica esta firma, utilizando el Certificado público (de confianza) de esta CA.

Certificados TLS

Los terminales IP de Algo vienen preinstalados con un conjunto de certificados públicos de autoridades de certificación (CA) de terceros confiables, incluidos Comodo, Verisign, Symantec, DigiCert, etc. Las autoridades de certificación proporcionan certificados firmados a las empresas para permitir que estas empresas demuestren que sus servidores o weblos sitios son de hecho quienes dicen ser. Los dispositivos Algo pueden confirmar que se está comunicando con un servidor auténtico al verificar los certificados firmados del servidor con los certificados públicos de la CA que lo firmó. También se pueden cargar certificados públicos adicionales para permitir que el dispositivo Algo confíe y verifique servidores adicionales que pueden no estar incluidos en los certificados preinstalados (por ej.ample, certificados autofirmados).

Autenticación mutua

La autenticación mutua agrega una capa adicional de seguridad al requerir que el servidor también valide y confíe en el dispositivo de punto final, además de la dirección opuesta del punto final que valida el servidor. Esto se implementa mediante un certificado de dispositivo único, instalado en cada extremo SIP de Algo en el momento de la fabricación. Como la dirección IP de un dispositivo Algo no es fija (está determinada por la red del cliente), Algo no puede publicar esta información por adelantado con las CA de confianza y, en cambio, estos Certificados de dispositivo deben estar firmados por la propia CA de Algo.
Para que el servidor confíe en el dispositivo Algo, el administrador del sistema deberá instalar la cadena de certificados públicos Algo CA en su servidor (por ej.amp(archivar el sistema telefónico SIP o su servidor de aprovisionamiento) para que este servidor pueda verificar que el certificado del dispositivo en el dispositivo Algo es, de hecho, auténtico.

Nota: Los terminales IP de Algo fabricados en 2019 (a partir del firmware 1.7.1) o posteriores tienen el certificado del dispositivo instalado de fábrica.
Para verificar si el certificado está instalado, vaya a Sistema -> pestaña Acerca de. Consulte el Certificado del fabricante. Si el certificado no está instalado, envíe un correo electrónico soporte@algosolutions.com. Seguridad de la capa de transporte de ALGO TLS - Figura 1

Conjuntos de cifrados

Los conjuntos de cifrado son conjuntos de algoritmos que se utilizan durante una sesión TLS. Cada paquete incluye algoritmos para la autenticación, el cifrado y la autenticación de mensajes. Los dispositivos Algo admiten muchos algoritmos de cifrado de uso común, como AES256, y algoritmos de código de autenticación de mensajes, como SHA-2.

Certificados de dispositivos Algo

Los certificados de dispositivo firmados por Algo Root CA se han instalado de fábrica en dispositivos Algo desde 2019, comenzando con el firmware 1.7.1. El certificado se genera cuando se fabrica el dispositivo, con el campo de nombre común en el certificado que contiene la dirección MAC para cada dispositivo.
El certificado del dispositivo es válido por 30 años y reside en una partición separada, por lo que no se borrará incluso después de restablecer la configuración de fábrica del punto final de Algo.
Los dispositivos Algo también admiten la carga de su propio certificado de dispositivo para usarlo en lugar del certificado de dispositivo instalado de fábrica. Esto se puede instalar cargando un PEM file que contiene un certificado de dispositivo y una clave privada en el directorio 'certs' (¡no en el directorio 'certs/trusted'!) en el Sistema -> File Pestaña Administrador. Este file necesita ser llamado 'sip cliente.pem'.

Carga de certificados de CA públicos en terminales SIP de Algo

Si tiene un firmware inferior a 3.1.X, actualice el dispositivo.
Para instalar el certificado en un dispositivo Algo con firmware v3.1 y superior, siga los pasos a continuación:

  1. Obtenga un certificado público de su autoridad de certificación (se puede aceptar cualquier certificado de formato X.509 válido). No se requiere un formato específico para la filenombre.
  2. En el web interfaz del dispositivo Algo, vaya a Sistema -> File Pestaña de administrador.
  3. Subir el certificado files en el directorio 'certs/trusted'. Haga clic en el botón Cargar en la esquina superior izquierda de la file administrador y busque el certificado.

Web Opciones de interfaz

Aprovisionamiento de HTTPS
El aprovisionamiento se puede asegurar configurando el 'Método de descarga' en 'HTTPS' (en la pestaña Configuración avanzada > Aprovisionamiento). Esto evita la configuración files de ser leído por un tercero no deseado. Esto resuelve el riesgo potencial de robo de datos confidenciales, como contraseñas de administrador y credenciales SIP. Seguridad de la capa de transporte de ALGO TLS - Figura 2

Para realizar la verificación de identidad en el servidor de aprovisionamiento, también establezca 'Validar certificado de servidor' en 'Habilitado'. Si el certificado del servidor de aprovisionamiento está firmado por una de las CA comerciales comunes, entonces el dispositivo Algo ya debería tener el certificado público para esta CA y poder realizar la verificación.
Cargue certificados adicionales (certificado X.64 codificado en Base509 file en formato .pem, .cer o .crt) navegando a "Sistema > File Manager” a la carpeta 'certs/trusted'.
NOTA: El parámetro 'Validar certificado de servidor' también se puede habilitar a través del aprovisionamiento: prueba.descargar.cert = 1

HTTPS Web Protocolo de interfaz
El procedimiento para cargar un certificado público para HTTPS web la navegación es similar a lo que se describe en la sección anterior. El httpd.pem file es un certificado de dispositivo que solicita el navegador de su computadora cuando navega a la IP del dispositivo. Cargar uno personalizado podría permitirle deshacerse del mensaje de advertencia si accede al WebInterfaz de usuario usando HTTPS. No es un certificado de CA público. El certificado debe cargarse en 'certs'. Seguridad de la capa de transporte de ALGO TLS - Figura 3

Señalización SIP (y audio RTP)

La señalización SIP se protege configurando 'Transporte SIP' en 'TLS' (en la pestaña Configuración avanzada > SIP avanzado).

  • Garantiza que el tráfico SIP se cifrará.
  • La señalización SIP es la encargada de establecer la llamada (las señales de control para iniciar y finalizar la llamada con el otro interlocutor), pero no contiene el audio.
  • Para la ruta de audio (voz), utilice la configuración 'Oferta SDP SRTP'.
  • Establecer esto en 'Opcional' significa que los datos de audio RTP de la llamada SIP se cifrarán (usando SRTP) si la otra parte también admite el cifrado de audio.
  • Si la otra parte no es compatible con SRTP, la llamada continuará, pero con audio sin cifrar. Para que el cifrado de audio sea obligatorio para todas las llamadas, establezca 'Oferta SDP SRTP' en 'Estándar'. En este caso, si la otra parte no admite el cifrado de audio, se rechazará el intento de llamada.
  • Para realizar la verificación de identidad en el servidor SIP, también establezca 'Validar certificado de servidor' en 'Habilitado'.
  • Si el certificado del servidor SIP está firmado por una de las CA comerciales comunes, entonces el dispositivo Algo ya debería tener el certificado público para esta CA y poder realizar la verificación. Si no (por ej.amparchivo con certificados autofirmados), luego se puede cargar el certificado público apropiado en el dispositivo Algo como se describe anteriormente en este documento.

Seguridad de la capa de transporte de ALGO TLS - Figura 4

TLS versión 1.2
Los dispositivos Algo que ejecutan firmware v3.1 y superior admiten TLS v1.1 y v1.2. 'Forzar TLS seguro
La opción Version' se puede usar para requerir que las conexiones TLS usen TLSv1.2. Para habilitar esta función:

  • Vaya a Configuración avanzada > SIP avanzado
  • Configure la 'Forzar versión TLS segura' como habilitada y guarde.
    NOTA: Esta opción se eliminó en v4.0+ ya que TLS v1.2 se usa de forma predeterminada

Descarga de certificados de Algo

A continuación hay un conjunto de enlaces para descargar la cadena de certificados de Algo CA. los fileLos correos electrónicos se pueden instalar en el servidor SIP o en el servidor de aprovisionamiento para que estos servidores autentiquen los certificados de dispositivo en los terminales Algo SIP y, por lo tanto, permitan la autenticación mutua:
Algoritmo CA raíz: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo intermedio CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Certificado público de Algo: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

Solución de problemas

Si el protocolo de enlace TLS no se completa, envíe una captura de paquete al soporte de Algo para su análisis. Para hacer eso, tendrá que duplicar el tráfico, desde el puerto al que está conectado el punto final de Algo en el conmutador de red, de regreso a una computadora.

Algo Comunicación Productos Ltd
4500 Beedie St Burnaby BC Canadá V5J 5L2
www.algosolutions.com
604-454-3792
soporte@algosolutions.com

Documentos / Recursos

Seguridad de la capa de transporte ALGO TLS [pdf] Instrucciones
TLS, seguridad de la capa de transporte, seguridad de la capa, TLS, capa de transporte

Referencias

Publicaciones relacionadas

Deja un comentario

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados *