ALGO - logoTLS Transport Layer Security
Käyttöohje

Algo IP -päätepisteiden suojaaminen:
TLS ja keskinäinen todennus

Tarvitsetko apua?
604-454-3792 or support@algosolutions.com 

Sisällys piilottaa
1 Johdatus TLS:ään
2 Salaus vs henkilöllisyyden vahvistus
3 TLS-sertifikaatit
4 Keskinäinen todennus
5 Cipher Suites
6 Algo-laitesertifikaatit
7 Julkisten CA-varmenteiden lähettäminen Algo SIP -päätepisteisiin
8 Web Käyttöliittymävaihtoehdot
9 SIP-signalointi (ja RTP-ääni)
10 Algo-sertifikaattien lataus
11 Vianetsintä
12 Asiakirjat / Resurssit
12.1 Viitteet
13 Aiheeseen liittyvät viestit

Johdatus TLS:ään

TLS (Transport Layer Security) on salausprotokolla, joka tarjoaa todennuksen, yksityisyyden ja päästä päähän -suojauksen sovellusten tai laitteiden välillä Internetin kautta lähetettäville tiedoille. Kun isännöidyt puhelinalustat ovat yleistyneet, TLS:n tarve tarjota suojattua viestintää julkisen Internetin kautta on lisääntynyt. Algo-laitteet, jotka tukevat laiteohjelmistoa 1.6.4 tai uudempaa, tukevat Transport Layer Security (TLS) -suojausta sekä provisioningissa että SIP-signalointissa.
Huomautus: seuraavat päätepisteet eivät tue TLS:ää: 8180 IP Audio Alerter (G1), 8028 IP Doorphone (G1), 8128 IP Visual Alerter (G1), 8061 IP Relay Controller.

Salaus vs henkilöllisyyden vahvistus

Vaikka TLS-liikenne on aina salattua ja suojattua kolmannen osapuolen salakuuntelulta tai muutoksilta, lisäsuojaus voidaan tarjota käyttämällä varmenteita toisen osapuolen henkilöllisyyden tarkistamiseen. Tämän avulla palvelin voi tarkistaa IP-päätepistelaitteen identiteetin ja päinvastoin.
Suorittaaksesi henkilöllisyyden tarkistuksen, sertifikaatti file Varmenteen myöntäjän (CA) on allekirjoitettava. Toinen laite tarkistaa sitten tämän allekirjoituksen käyttämällä tämän CA:n julkista (luotettua) varmennetta.

TLS-sertifikaatit

Algo IP Endpoints -päätepisteisiin on esiasennettu joukko julkisia varmenteita luotetuilta kolmannen osapuolen varmentajilta, mukaan lukien Comodo, Verisign, Symantec, DigiCert jne. Varmentajat tarjoavat yrityksille allekirjoitettuja varmenteita, joiden avulla nämä yritykset voivat todistaa, että heidän palvelimiaan tai websivustot ovat itse asiassa niitä, joita he sanovat olevansa. Algo-laitteet voivat varmistaa, että se kommunikoi autenttisen palvelimen kanssa, tarkistamalla palvelimen allekirjoitetut varmenteet sen allekirjoittaneen CA:n julkisten varmenteiden kanssa. Lisää julkisia varmenteita voidaan myös ladata, jotta Algo-laite voi luottaa ja tarkistaa lisäpalvelimia, jotka eivät välttämättä sisälly esiasennettuihin varmenteisiin (esim.ample, itse allekirjoitetut todistukset).

Keskinäinen todennus

Keskinäinen todennus lisää yhden ylimääräisen suojauskerroksen vaatimalla palvelimen myös vahvistamaan päätelaitteen ja luottamaan siihen sen lisäksi, että päätepiste vahvistaa palvelimen vastakkaiseen suuntaan. Tämä toteutetaan käyttämällä ainutlaatuista laitesertifikaattia, joka on asennettu jokaiseen Algo SIP -päätepisteeseen valmistushetkellä. Koska Algo-laitteen IP-osoite ei ole kiinteä (se määräytyy asiakkaan verkon mukaan), Algo ei voi julkaista näitä tietoja etukäteen luotetuille CA:ille, vaan nämä laitevarmenteet on allekirjoitettava Algon oman varmentajan toimesta.
Jotta palvelin voi sitten luottaa Algo-laitteeseen, järjestelmänvalvojan on asennettava julkinen Algo CA -varmenneketju palvelimelleen (esim.ampSIP-puhelinjärjestelmään tai niiden provisiointipalvelimeen), jotta tämä palvelin voi varmistaa, että Algo-laitteen laitevarmenne on todella aito.

Huomautus: Vuonna 2019 (alkaen laiteohjelmistosta 1.7.1) tai uudemmista valmistetuissa Algo IP -päätepisteissä on laitesertifikaatti asennettuna tehtaalta.
Tarkistaaksesi, onko varmenne asennettu, siirry kohtaan Järjestelmä -> Tietoja-välilehti. Katso valmistajan todistus. Jos varmennetta ei ole asennettu, lähetä sähköpostia support@algosolutions.com. ALGO TLS Transport Layer Security - Kuva 1

Cipher Suites

Salaussarjat ovat algoritmijoukkoja, joita käytetään TLS-istunnon aikana. Jokainen sarja sisältää algoritmeja todennusta, salausta ja viestien todentamista varten. Algo-laitteet tukevat monia yleisesti käytettyjä salausalgoritmeja, kuten AES256, ja viestien todennuskoodialgoritmeja, kuten SHA-2.

Algo-laitesertifikaatit

Algo Root CA:n allekirjoittamat laitesertifikaatit on asennettu tehtaalla Algo-laitteisiin vuodesta 2019 alkaen laiteohjelmistosta 1.7.1. Varmenne luodaan, kun laite valmistetaan, ja varmenteen yleinen nimikenttä sisältää kunkin laitteen MAC-osoitteen.
Laitesertifikaatti on voimassa 30 vuotta ja on erillisessä osiossa, joten se ei poistu edes Algo-päätepisteen tehdasasetusten palauttamisen jälkeen.
Algo-laitteet tukevat myös oman laitevarmenteen lataamista käytettäväksi tehtaalla asennetun laitevarmenteen sijaan. Tämä voidaan asentaa lataamalla PEM file joka sisältää sekä laitevarmenteen että yksityisen avaimen sen 'certs'-hakemistoon (ei 'certs/trusted'-hakemistoon!) Järjestelmässä -> File Manager-välilehti. Tämä file täytyy kutsua 'sip client.pem'.

Julkisten CA-varmenteiden lähettäminen Algo SIP -päätepisteisiin

Jos käytät laiteohjelmistoa, joka on vanhempi kuin 3.1.X, päivitä laite.
Asenna varmenne Algo-laitteeseen, jossa on laiteohjelmisto v3.1 tai uudempi, seuraavasti:

  1. Hanki julkinen varmenne varmenteen myöntäjältä (mikä tahansa voimassa oleva X.509-muotoinen varmenne voidaan hyväksyä). Ei vaadi erityistä muotoa filenimi.
  2. Vuonna web Algo-laitteen käyttöliittymä, siirry kohtaan Järjestelmä -> File Manager-välilehti.
  3. Lataa sertifikaatti files 'certs/trusted' -hakemistoon. Napsauta Lataa-painiketta vasemmassa yläkulmassa file johtaja ja selaa varmennetta.

Web Käyttöliittymävaihtoehdot

HTTPS-käyttöönotto
Käyttöönotto voidaan suojata asettamalla "Latausmenetelmä" -asetukseksi "HTTPS" (Lisäasetukset > Käyttöönotto -välilehdellä). Tämä estää määrityksen files jottei ei-toivottu kolmas osapuoli lukee niitä. Tämä ratkaisee mahdollisen arkaluontoisten tietojen, kuten järjestelmänvalvojan salasanojen ja SIP-tunnistetietojen, varastamisen riskin. ALGO TLS Transport Layer Security - Kuva 2

Jos haluat suorittaa henkilöllisyyden vahvistuksen provisioning-palvelimella, aseta myös Validate Server Certificate -asetukseksi Enabled. Jos provisiointipalvelimen Varmenteen on allekirjoittanut jokin yleisimmistä kaupallisista CA:ista, Algo-laitteella pitäisi jo olla tämän CA:n julkinen varmenne ja sen tulee pystyä suorittamaan varmennus.
Lataa lisävarmenteita (Base64-koodattu X.509-varmenne file .pem-, .cer- tai .crt-muodossa) siirtymällä kohtaan "Järjestelmä > File Manager” Certs/trusted-kansioon.
HUOMAUTUS: Parametri "Validate Server Certificate" voidaan ottaa käyttöön myös provisioinnin kautta: prov.download.cert = 1

HTTPS Web Rajapintaprotokolla
Menettely julkisen varmenteen lataamiseksi HTTPS:lle web selaaminen on samanlaista kuin yllä olevassa osiossa kuvattu. httpd.pem file on laitevarmenne, jota tietokoneesi selain pyytää, kun siirryt laitteen IP-osoitteeseen. Muokatun lähettämisen avulla voit päästä eroon varoitusviestistä, jos käytät WebHTTPS:ää käyttävä käyttöliittymä. Se ei ole julkinen CA-varmenne. Varmenne on ladattava "sertifikaatteihin". ALGO TLS Transport Layer Security - Kuva 3

SIP-signalointi (ja RTP-ääni)

SIP-signalointi suojataan asettamalla SIP Transportation -asetukseksi TLS (Advanced Settings > Advanced SIP -välilehdellä).

  • Se varmistaa, että SIP-liikenne salataan.
  • SIP-signalointi vastaa puhelun muodostamisesta (ohjaussignaalit puhelun aloittamiseksi ja lopettamiseksi toisen osapuolen kanssa), mutta se ei sisällä ääntä.
  • Käytä äänipoluksi asetusta "SDP SRTP -tarjous".
  • Tämän asettaminen 'Valinnaiseksi' tarkoittaa, että SIP-puhelun RTP-äänitiedot salataan (SRTP:tä käyttämällä), jos toinen osapuoli tukee myös äänen salausta.
  • Jos toinen osapuoli ei tue SRTP:tä, puhelu jatkuu, mutta salaamattomalla äänellä. Jos haluat tehdä äänen salauksen pakolliseksi kaikissa puheluissa, aseta SDP SRTP -tarjous -asetukseksi Normaali. Tässä tapauksessa, jos toinen osapuoli ei tue äänen salausta, puheluyritys hylätään.
  • Suorittaaksesi henkilöllisyyden vahvistuksen SIP-palvelimella, aseta myös Validate Server Certificate -asetukseksi Enabled.
  • Jos SIP-palvelimen varmenteen on allekirjoittanut jokin yleisimmistä kaupallisista CA:ista, Algo-laitteella pitäisi olla jo tämän CA:n julkinen varmenne ja sen tulee pystyä suorittamaan varmennus. Jos ei (esimample itseallekirjoitetuilla varmenteilla), asianmukainen julkinen varmenne voidaan ladata Algo-laitteeseen aiemmin tässä dokumentissa kuvatulla tavalla.

ALGO TLS Transport Layer Security - Kuva 4

TLS-versio 1.2
Algo-laitteet, joissa on laiteohjelmistoversio 3.1 tai uudempi, tukevat TLS:n versiota 1.1 ja 1.2. Pakota suojattu TLS
Versio-vaihtoehtoa voidaan käyttää vaatimaan TLS-yhteyksiä käyttämään TLSv1.2:ta. Ota tämä ominaisuus käyttöön seuraavasti:

  • Siirry kohtaan Lisäasetukset > SIP:n lisäasetukset
  • Aseta "Pakota suojattu TLS-versio" käyttöön ja tallenna.
    HUOMAA: Tämä vaihtoehto on poistettu versiosta 4.0+, koska TLS v1.2 on oletuksena käytössä

Algo-sertifikaattien lataus

Alla on joukko linkkejä Algo CA -varmenneketjun lataamiseen. The files voidaan asentaa SIP-palvelimelle tai provisioning-palvelimelle, jotta nämä palvelimet voivat todentaa laitevarmenteet Algo SIP -päätepisteissä ja sallia siten keskinäisen todennuksen:
Algo Root CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo Intermediate CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Algo julkinen sertifikaatti: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

Vianetsintä

Jos TLS-kättely ei valmistu, lähetä pakettikaappaus Algo-tukeen analysoitavaksi. Tätä varten sinun on peilattava liikenne, portista, johon Algo-päätepiste on kytketty verkkokytkimellä, takaisin tietokoneelle.

Algo Communication Products Oy
4500 Beedie St Burnaby BC Kanada V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

Asiakirjat / Resurssit

ALGO TLS Transport Layer Security [pdfOhjeet
TLS, Transport Layer Security, Layer Security, TLS, Transport Layer

Viitteet

Aiheeseen liittyvät viestit

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *