ALGO-logoSécurité de la couche de transport TLS
Manuel d'instructions

Sécurisation des terminaux IP Algo :
TLS et authentification mutuelle

Besoin d'aide?
604-454-3792 or support@algosolutions.com 

Contenu cacher
1 Présentation de TLS
2 Cryptage vs vérification d'identité
3 Certificats TLS
4 Authentification mutuelle
5 Suites de chiffrement
6 Certificats de périphérique Algo
7 Téléchargement de certificats d'autorité de certification publics sur les points de terminaison Algo SIP
8 Web Options d'interface
9 Signalisation SIP (et audio RTP)
10 Téléchargement des certificats Algo
11 Dépannage
12 Documents / Ressources
12.1 Références
13 Articles Similaires

Présentation de TLS

TLS (Transport Layer Security) est un protocole cryptographique qui assure l'authentification, la confidentialité et la sécurité de bout en bout des données envoyées entre des applications ou des appareils sur Internet. À mesure que les plates-formes de téléphonie hébergées sont devenues plus courantes, la nécessité pour TLS de fournir une communication sécurisée sur l'Internet public a augmenté. Les appareils Algo qui prennent en charge le firmware 1.6.4 ou version ultérieure prennent en charge Transport Layer Security (TLS) pour l'approvisionnement et la signalisation SIP.
Note: les terminaux suivants ne prennent pas en charge TLS : 8180 IP Audio Alerter (G1), 8028 IP Doorphone (G1), 8128 IP Visual Alerter (G1), 8061 IP Relay Controller.

Cryptage vs vérification d'identité

Alors que le trafic TLS est toujours crypté et protégé contre l'écoute ou la modification par des tiers, une couche de sécurité supplémentaire peut être fournie en utilisant des certificats pour vérifier l'identité de l'autre partie. Cela permet au serveur de vérifier l'identité du périphérique IP Endpoint, et vice-versa.
Pour effectuer le contrôle d'identité, le Certificat file doit être signé par une autorité de certification (AC). L'autre appareil vérifie ensuite cette signature à l'aide du certificat public (de confiance) de cette autorité de certification.

Certificats TLS

Les terminaux Algo IP sont préinstallés avec un ensemble de certificats publics provenant d'autorités de certification (CA) tierces de confiance, notamment Comodo, Verisign, Symantec, DigiCert, etc. Les autorités de certification fournissent des certificats signés aux entreprises pour leur permettre de prouver que leurs serveurs ou webles sites sont en fait ce qu'ils prétendent être. Les appareils Algo peuvent confirmer qu'ils communiquent avec un serveur authentique en vérifiant les certificats signés du serveur par rapport aux certificats publics de l'autorité de certification qui l'a signé. Des certificats publics supplémentaires peuvent également être téléchargés, pour permettre à l'appareil Algo de faire confiance et de vérifier des serveurs supplémentaires qui peuvent ne pas être inclus dans les certificats préinstallés (par ex.ample, certificats auto-signés).

Authentification mutuelle

L'authentification mutuelle ajoute une couche de sécurité supplémentaire en exigeant que le serveur valide et approuve également le périphérique du point de terminaison, en plus de la direction opposée du point de terminaison validant le serveur. Ceci est mis en œuvre à l'aide d'un certificat d'appareil unique, installé sur chaque point de terminaison Algo SIP au moment de la fabrication. Comme l'adresse IP d'un appareil Algo n'est pas fixe (elle est déterminée par le réseau du client), Algo ne peut pas publier ces informations à l'avance auprès des autorités de certification de confiance, et à la place, ces certificats d'appareil doivent être signés par la propre autorité de certification d'Algo.
Pour que le serveur fasse ensuite confiance à l'appareil Algo, l'administrateur système devra installer la chaîne de certificats publics Algo CA sur son serveur (par ex.ample système téléphonique SIP ou leur serveur d'approvisionnement) afin que ce serveur puisse vérifier que le certificat de périphérique sur le périphérique Algo est en fait authentique.

Note: Les terminaux Algo IP fabriqués en 2019 (à partir du micrologiciel 1.7.1) ou ultérieur ont le certificat d'appareil installé en usine.
Pour vérifier si le certificat est installé, accédez à l'onglet Système -> À propos. Voir le certificat du fabricant. Si le certificat n'est pas installé, veuillez envoyer un e-mail support@algosolutions.com. Sécurité de la couche de transport ALGO TLS - Figure 1

Suites de chiffrement

Les suites de chiffrement sont des ensembles d'algorithmes utilisés lors d'une session TLS. Chaque suite comprend des algorithmes d'authentification, de cryptage et d'authentification des messages. Les appareils Algo prennent en charge de nombreux algorithmes de chiffrement couramment utilisés tels que AES256 et des algorithmes de code d'authentification de message tels que SHA-2.

Certificats de périphérique Algo

Les certificats d'appareil signés par l'autorité de certification racine Algo sont installés en usine sur les appareils Algo depuis 2019, à partir du micrologiciel 1.7.1. Le certificat est généré lors de la fabrication de l'appareil, avec le champ de nom commun dans le certificat contenant l'adresse MAC de chaque appareil.
Le certificat de l'appareil est valide pendant 30 ans et réside dans une partition séparée, il ne sera donc pas effacé même après la réinitialisation d'usine du point de terminaison Algo.
Les appareils Algo prennent également en charge le téléchargement de votre propre certificat d'appareil à utiliser à la place du certificat d'appareil installé en usine. Cela peut être installé en téléchargeant un PEM file contenant à la fois un certificat de périphérique et une clé privée vers le répertoire 'certs' (pas le répertoire 'certs/trusted' !) dans le système -> File Onglet Gestionnaire. Cette file doit être appelé ' sip client.pem'.

Téléchargement de certificats d'autorité de certification publics sur les points de terminaison Algo SIP

Si vous utilisez un micrologiciel inférieur à 3.1.X, veuillez mettre à niveau l'appareil.
Pour installer le certificat sur un appareil Algo exécutant le firmware v3.1 et supérieur, suivez les étapes ci-dessous :

  1. Obtenez un certificat public auprès de votre autorité de certification (tout certificat valide au format X.509 peut être accepté). Il n'y a pas de format spécifique requis pour le filenom.
  2. Dans le web l'interface de l'appareil Algo, accédez à Système -> File Onglet Gestionnaire.
  3. Télécharger le certificat files dans le répertoire 'certs/trusted'. Cliquez sur le bouton Télécharger dans le coin supérieur gauche de la file gestionnaire et accédez au certificat.

Web Options d'interface

Approvisionnement HTTPS
L'approvisionnement peut être sécurisé en définissant la 'Méthode de téléchargement' sur 'HTTPS' (sous l'onglet Paramètres avancés > Approvisionnement). Cela empêche la configuration files d'être lu par un tiers indésirable. Cela résout le risque potentiel de vol de données sensibles, telles que les mots de passe administrateur et les informations d'identification SIP. Sécurité de la couche de transport ALGO TLS - Figure 2

Pour effectuer une vérification d'identité sur le serveur de provisionnement, définissez également « Valider le certificat du serveur » sur « Activé ». Si le certificat du serveur d'approvisionnement est signé par l'une des autorités de certification commerciales courantes, l'appareil Algo doit déjà disposer du certificat public de cette autorité de certification et être en mesure d'effectuer la vérification.
Télécharger des certificats supplémentaires (certificat X.64 encodé en Base509 file au format .pem, .cer ou .crt) en accédant à "Système > File Manager » dans le dossier « certs/trusted ».
REMARQUE : Le paramètre "Valider le certificat du serveur" peut également être activé via le provisionnement : Prov.download.cert = 1

HTTPS Web Protocole d'interface
La procédure pour télécharger un certificat public pour HTTPS web la navigation est similaire à ce qui est décrit dans la section ci-dessus. Le httpd.pem file est un certificat de périphérique qui est demandé par le navigateur de votre ordinateur lorsque vous accédez à l'adresse IP du périphérique. Le téléchargement d'un message personnalisé peut vous permettre de vous débarrasser du message d'avertissement si vous accédez au WebInterface utilisateur utilisant HTTPS. Ce n'est pas un certificat CA public. Le certificat doit être téléchargé dans les 'certs'. Sécurité de la couche de transport ALGO TLS - Figure 3

Signalisation SIP (et audio RTP)

La signalisation SIP est sécurisée en réglant 'SIP Transportation' sur 'TLS' (sous l'onglet Advanced Settings > Advanced SIP).

  • Il garantit que le trafic SIP sera crypté.
  • La signalisation SIP est responsable de l'établissement de l'appel (les signaux de commande pour démarrer et terminer l'appel avec l'autre partie), mais elle ne contient pas l'audio.
  • Pour le chemin audio (voix), utilisez le paramètre "Offre SDP SRTP".
  • Le régler sur "Facultatif" signifie que les données audio RTP de l'appel SIP seront cryptées (à l'aide de SRTP) si l'autre partie prend également en charge le cryptage audio.
  • Si l'autre partie ne prend pas en charge SRTP, l'appel continuera, mais avec un son non crypté. Pour rendre le cryptage audio obligatoire pour tous les appels, réglez 'Offre SDP SRTP' sur 'Standard'. Dans ce cas, si l'autre partie ne prend pas en charge le cryptage audio, la tentative d'appel sera rejetée.
  • Pour effectuer une vérification d'identité sur le serveur SIP, définissez également « Valider le certificat du serveur » sur « Activé ».
  • Si le certificat du serveur SIP est signé par l'une des autorités de certification commerciales courantes, l'appareil Algo doit déjà disposer du certificat public de cette autorité de certification et être en mesure d'effectuer la vérification. Sinon (par example fichier avec des certificats auto-signés), le certificat public approprié peut être téléchargé sur l'appareil Algo comme décrit précédemment dans ce document.

Sécurité de la couche de transport ALGO TLS - Figure 4

TLS version 1.2
Les appareils Algo exécutant le firmware v3.1 et supérieur prennent en charge TLS v1.1 et v1.2. 'Forcer la sécurisation de TLS
L'option Version' peut être utilisée pour exiger que les connexions TLS utilisent TLSv1.2. Pour activer cette fonctionnalité :

  • Allez dans Paramètres avancés > SIP avancé
  • Définissez 'Forcer la version sécurisée de TLS' comme activé et enregistrez.
    NOTE: Cette option a été supprimée dans la v4.0+ puisque TLS v1.2 est utilisé par défaut

Téléchargement des certificats Algo

Vous trouverez ci-dessous un ensemble de liens pour télécharger la chaîne de certificats Algo CA. La files peuvent être installés sur le serveur SIP ou le serveur de provisionnement afin que ces serveurs authentifient les certificats de périphérique sur les points de terminaison Algo SIP, et permettent ainsi l'authentification mutuelle :
Autorité de certification racine Algo : http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Autorité de certification intermédiaire Algo : http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Certificat public Algo : http://firmware.algosolutions.com/pub/certs/algo_ca.crt

Dépannage

Si la poignée de main TLS n'est pas terminée, veuillez envoyer une capture de paquet au support Algo pour analyse. Pour ce faire, vous devrez mettre en miroir le trafic, depuis le port auquel le point de terminaison Algo est connecté sur le commutateur réseau, vers un ordinateur.

Produits de Communication Algo Ltée
4500 rue Beedie Burnaby C.-B. Canada V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

Documents / Ressources

Sécurité de la couche de transport ALGO TLS [pdf] Instructions
TLS, sécurité de la couche transport, sécurité de la couche, TLS, couche transport

Références

Articles Similaires

Laisser un commentaire

Votre adresse email ne sera pas publiée. Les champs obligatoires sont marqués *