Seguridade da capa de transporte TLS
Manual de instrucións

Protección de puntos de conexión IP de Algo:
TLS e autenticación mutua

Necesitas axuda?
604-454-3792 or support@algosolutions.com 

Introdución ao TLS

TLS (Transport Layer Security) é un protocolo criptográfico que proporciona autenticación, privacidade e seguridade de extremo a extremo dos datos enviados entre aplicacións ou dispositivos a través de Internet. A medida que as plataformas de telefonía aloxada se fan máis comúns, aumentou a necesidade de que TLS proporcione comunicacións seguras a través da internet pública. Os dispositivos Algo que admiten firmware 1.6.4 ou posterior admiten Transport Layer Security (TLS) tanto para aprovisionamento como para a sinalización SIP.
Nota: os seguintes extremos non admiten TLS: 8180 IP Audio Alerter (G1), 8028 IP Doorphone (G1), 8128 IP Visual Alerter (G1), 8061 IP Relay Controller.

Cifrado vs verificación de identidade

Aínda que o tráfico TLS sempre está cifrado e está a salvo de escoitas ou modificacións por parte de terceiros, pódese proporcionar unha capa adicional de seguridade mediante o uso de Certificados para verificar a identidade da outra parte. Isto permite que o servidor verifique a identidade do dispositivo IP Endpoint e viceversa.
Para realizar a comprobación de identidade, o Certificado file debe estar asinado por unha autoridade de certificación (CA). A continuación, o outro dispositivo verifica esta sinatura mediante o Certificado público (de confianza) desta CA.

Certificados TLS

Os Algo IP Endpoints veñen preinstalados cun conxunto de certificados públicos de autoridades de certificación (CA) de terceiros de confianza, incluíndo Comodo, Verisign, Symantec, DigiCert, etc. As autoridades de certificación proporcionan certificados asinados ás empresas para que estas empresas poidan demostrar que os seus servidores ou websitios son de feito quen din ser. Os dispositivos Algo poden confirmar que se está a comunicar cun servidor auténtico verificando os certificados asinados do servidor contra os certificados públicos da CA que o asinou. Tamén se poden cargar certificados públicos adicionais, para permitir que o dispositivo Algo confíe e verifique servidores adicionais que quizais non estean incluídos nos certificados preinstalados (por exemploample, certificados autofirmados).

Autenticación mutua

A autenticación mutua engade unha capa adicional de seguridade ao esixir que o servidor tamén valide e confíe no dispositivo do punto final, ademais da dirección oposta ao punto final que valida o servidor. Isto implícase mediante un certificado de dispositivo único, instalado en cada punto final de Algo SIP no momento da fabricación. Como o enderezo IP dun dispositivo Algo non está fixado (está determinado pola rede do cliente), Algo non pode publicar esta información con antelación coas CA de confianza e, no seu lugar, estes Certificados de Dispositivo deben estar asinados pola propia CA de Algo.
Para que o servidor confíe no dispositivo Algo, o administrador do sistema deberá instalar a cadea de certificados de CA de Algo pública no seu servidor (por exemploampo sistema telefónico SIP ou o seu servidor de aprovisionamento) para que este servidor poida verificar que o certificado do dispositivo do dispositivo Algo é de feito auténtico.

Nota: Os extremos IP de Algo fabricados en 2019 (a partir do firmware 1.7.1) ou posterior teñen o certificado do dispositivo instalado de fábrica.
Para verificar se o certificado está instalado, vaia á pestana Sistema -> Acerca de. Consulte o certificado do fabricante. Se o certificado non está instalado, envíe un correo electrónico support@algosolutions.com.

Suite de cifrado

Os conxuntos de cifrado son conxuntos de algoritmos utilizados durante unha sesión TLS. Cada suite inclúe algoritmos para a autenticación, o cifrado e a autenticación de mensaxes. Os dispositivos Algo admiten moitos algoritmos de cifrado de uso habitual, como AES256 e algoritmos de código de autenticación de mensaxes como SHA-2.

Certificados de dispositivo Algo

Os certificados de dispositivo asinados pola CA raíz de Algo instaláronse de fábrica nos dispositivos Algo desde 2019, a partir do firmware 1.7.1. O certificado xérase cando se fabrica o dispositivo, co campo do nome común do certificado que contén o enderezo MAC de cada dispositivo.
O certificado do dispositivo ten unha validez de 30 anos e reside nunha partición separada, polo que non se borrará mesmo despois de restablecer o punto final de Algo de fábrica.
Os dispositivos Algo tamén admiten a carga do seu propio certificado de dispositivo para usar en lugar do certificado do dispositivo instalado de fábrica. Isto pódese instalar cargando un PEM file contén tanto un certificado de dispositivo como unha clave privada para o directorio 'certs' (non o directorio 'certs/trusted'!) No sistema -> File Ficha Xestor. Isto file debe chamarse "sorbo". cliente.pem'.

Cargando certificados CA públicos a puntos de conexión SIP de Algo

Se tes un firmware inferior a 3.1.X, actualiza o dispositivo.
Para instalar o certificado nun dispositivo Algo con firmware v3.1 ou superior, siga os pasos seguintes:

1. Obtén un certificado público da túa autoridade de certificación (pódese aceptar calquera certificado en formato X.509 válido). Non se require un formato específico para o filenome.
2. No web interface do dispositivo Algo, navegue ata System -> File Ficha Xestor.
3. Carga o certificado files no directorio "certs/trusted". Fai clic no botón Cargar na esquina superior esquerda do ficheiro file xestor e busque o certificado.

Web Opcións de interface

Aprovisionamento HTTPS
Pódese garantir o aprovisionamento configurando o "Método de descarga" en "HTTPS" (na Configuración avanzada > Abastecemento). Isto impide a configuración files de ser lido por un terceiro non desexado. Isto resolve o risco potencial de roubar datos confidenciais, como contrasinais de administrador e credenciais SIP.

Para realizar a verificación de identidade no servidor de aprovisionamento, tamén configure "Validar certificado do servidor" en "Activado". Se o Certificado do servidor de aprovisionamento está asinado por unha das CA comerciais comúns, entón o dispositivo Algo xa debería ter o certificado público para esta CA e poder realizar a verificación.
Carga certificados adicionais (certificado X.64 codificado en Base509 file en formato .pem, .cer ou .crt) navegando ata "Sistema > File Manager" ao cartafol "certs/trusted".
NOTA: O parámetro "Validar certificado de servidor" tamén se pode activar mediante o aprovisionamento: prov.descarga.cert = 1

HTTPS Web Protocolo de interface
O procedemento para cargar un certificado público para HTTPS web a navegación é semellante ao descrito na sección anterior. O httpd.pem file é un certificado de dispositivo que o navegador do teu ordenador solicita cando navegas ata a IP do dispositivo. Cargar un personalizado pode permitirche desfacerte da mensaxe de aviso se accedes a WebIU usando HTTPS. Non é un certificado CA público. O certificado debe cargarse nos 'certs'.

Sinalización SIP (e audio RTP)

A sinalización SIP está segura configurando "Transporte SIP" en "TLS" (na Configuración avanzada > pestana SIP avanzada).

• Asegura que o tráfico SIP estará cifrado.
• A sinalización SIP encárgase de establecer a chamada (os sinais de control para iniciar e finalizar a chamada coa outra parte), pero non contén o audio.
• Para a ruta de audio (voz), use a configuración "Oferta SDP SRTP".
• Establecer isto como "Opcional" significa que os datos de audio RTP da chamada SIP se cifrarán (usando SRTP) se a outra parte tamén admite o cifrado de audio.
• Se a outra parte non admite SRTP, a chamada seguirá continuando, pero con audio sen cifrar. Para que o cifrado de audio sexa obrigatorio para todas as chamadas, establece a "Oferta SDP SRTP" en "Estándar". Neste caso, se a outra parte non admite o cifrado de audio, o intento de chamada será rexeitado.
• Para realizar a verificación de identidade no servidor SIP, tamén configure "Validar certificado do servidor" en "Activado".
• Se o Certificado do servidor SIP está asinado por unha das CA comerciais comúns, entón o dispositivo Algo xa debería ter o certificado público para esta CA e poder realizar a verificación. Se non (por example con certificados autoasinados), entón pódese cargar o certificado público adecuado no dispositivo Algo como se describe anteriormente neste documento.

Versión TLS 1.2
Os dispositivos Algo con firmware v3.1 ou superior admiten TLS v1.1 e v1.2. 'Forzar TLS seguro
A opción Versión pódese usar para requirir conexións TLS para usar TLSv1.2. Para activar esta función:

• Vaia a Configuración avanzada > SIP avanzado
• Establece a "Forzar versión TLS segura" como activada e garda.
  NOTA: Esta opción eliminouse na versión 4.0+ xa que se usa TLS v1.2 de forma predeterminada

Descarga de certificados Algo

Abaixo amósanse un conxunto de ligazóns para descargar a cadea de certificados de Algo CA. O files poden instalarse no servidor SIP ou no servidor de aprovisionamento para que estes servidores autentiquen os certificados de dispositivo en puntos finais de Algo SIP e, así, permitan a autenticación mutua:
Algo Root CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo Intermedio CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Algo Certificado Público: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

Resolución de problemas

Se o enlace de TLS non se completa, envíe unha captura de paquetes ao soporte de Algo para a súa análise. Para iso terás que reflectir o tráfico, desde o porto ao que está conectado o punto final de Algo no conmutador de rede, de novo a un ordenador.

Algo Communication Products Ltd
4500 Beedie St Burnaby BC Canadá V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

Documentos/Recursos

ALGO TLS Seguridade da capa de transporte [pdfInstrucións TLS, Seguridade da capa de transporte, Seguridade da capa, TLS, Capa de transporte

Referencias

• Manual de usuario