ALGO - logoTLS Transport Layer Security
Priručnik s uputama

Osiguranje Algo IP krajnjih točaka:
TLS i uzajamna autentifikacija

Trebate pomoć?
604-454-3792 or support@algosolutions.com 

Sadržaj sakriti
1 Uvod u TLS
2 Enkripcija u odnosu na provjeru identiteta
3 TLS certifikati
4 Uzajamna provjera autentičnosti
5 Cipher Suites
6 Certifikati Algo uređaja
7 Prijenos javnih CA certifikata na Algo SIP krajnje točke
8 Web Mogućnosti sučelja
9 SIP signalizacija (i RTP audio)
10 Preuzimanje Algo certifikata
11 Rješavanje problema
12 Dokumenti / Resursi
12.1 Reference
13 Povezani postovi

Uvod u TLS

TLS (Transport Layer Security) je kriptografski protokol koji pruža autentifikaciju, privatnost i sigurnost od kraja do kraja podataka koji se šalju između aplikacija ili uređaja putem Interneta. Kako su hostirane telefonske platforme postale sve češće, potreba za TLS-om za pružanje sigurne komunikacije putem javnog interneta je porasla. Algo uređaji koji podržavaju firmware 1.6.4 ili noviji podržavaju Transport Layer Security (TLS) i za dodjelu i za SIP signalizaciju.
Bilješka: sljedeće krajnje točke ne podržavaju TLS: 8180 IP audio alarm (G1), 8028 IP portafon (G1), 8128 IP vizualni alarm (G1), 8061 IP relejni kontroler.

Enkripcija u odnosu na provjeru identiteta

Dok je TLS promet uvijek šifriran i siguran od prisluškivanja ili modifikacije treće strane, dodatni sloj sigurnosti može se pružiti korištenjem certifikata za provjeru identiteta druge strane. Ovo poslužitelju omogućuje provjeru identiteta uređaja IP krajnje točke i obrnuto.
Za obavljanje provjere identiteta, Certifikat file mora biti potpisan od strane Izdavača certifikata (CA). Drugi uređaj zatim provjerava ovaj potpis, koristeći javni (pouzdani) certifikat ovog CA.

TLS certifikati

Algo IP krajnje točke dolaze unaprijed instalirane sa skupom javnih certifikata od pouzdanih certifikacijskih tijela trećih strana (CA), uključujući Comodo, Verisign, Symantec, DigiCert itd. Certifikacijska tijela daju potpisane certifikate tvrtkama kako bi im omogućila da dokažu da njihovi poslužitelji ili webstranice su zapravo ono za što se predstavljaju. Algo uređaji mogu potvrditi da komuniciraju s autentičnim poslužiteljem provjerom potpisanih certifikata poslužitelja u odnosu na javne certifikate CA koji ga je potpisao. Dodatni javni certifikati također se mogu prenijeti kako bi se Algo uređaju omogućilo da vjeruje i provjeri dodatne poslužitelje koji možda nisu uključeni u predinstalirane certifikate (npr.ample, samopotpisani certifikati).

Uzajamna provjera autentičnosti

Uzajamna provjera autentičnosti dodaje jedan dodatni sloj sigurnosti zahtijevajući od poslužitelja da također potvrdi valjanost i vjeruje uređaju krajnje točke, uz suprotno od smjera krajnje točke koja potvrđuje poslužitelj. Ovo se provodi korištenjem jedinstvenog certifikata uređaja, instaliranog na svakoj Algo SIP krajnjoj točki u vrijeme proizvodnje. Budući da IP adresa Algo uređaja nije fiksna (određuje ju mreža kupca), Algo ne može unaprijed objaviti ove informacije s pouzdanim CA-ovima, te umjesto toga ove Certifikate uređaja mora potpisati Algov vlastiti CA.
Da bi poslužitelj tada vjerovao Algo uređaju, administrator sustava morat će instalirati javni lanac certifikata Algo CA na svoj poslužitelj (npr.ampSIP telefonski sustav ili njihov poslužitelj za pružanje usluga) kako bi ovaj poslužitelj mogao provjeriti je li Certifikat uređaja na Algo uređaju zapravo autentičan.

Bilješka: Algo IP krajnje točke proizvedene 2019. (počevši od firmware-a 1.7.1) ili kasnije imaju tvornički instaliran certifikat uređaja.
Kako biste provjerili je li certifikat instaliran, idite na Sustav -> karticu O programu. Pogledajte potvrdu proizvođača. Ako certifikat nije instaliran, pošaljite e-poruku support@algosolutions.com. ALGO TLS Sigurnost transportnog sloja - Slika 1

Cipher Suites

Paketi šifri su skupovi algoritama koji se koriste tijekom TLS sesije. Svaki paket uključuje algoritme za autentifikaciju, enkripciju i autentifikaciju poruka. Algo uređaji podržavaju mnoge često korištene algoritme šifriranja kao što je AES256 i algoritme koda za provjeru autentičnosti poruke kao što je SHA-2.

Certifikati Algo uređaja

Certifikati uređaja potpisani od strane Algo Root CA tvornički su instalirani na Algo uređaje od 2019., počevši od firmware-a 1.7.1. Certifikat se generira kada je uređaj proizveden, s poljem zajedničkog naziva u certifikatu koji sadrži MAC adresu za svaki uređaj.
Certifikat uređaja vrijedi 30 godina i nalazi se u zasebnoj particiji, tako da se neće izbrisati ni nakon tvorničkog resetiranja krajnje točke Algo.
Algo uređaji također podržavaju učitavanje vlastitog certifikata uređaja za korištenje umjesto tvornički instaliranog certifikata uređaja. Ovo se može instalirati učitavanjem PEM-a file koji sadrži i certifikat uređaja i privatni ključ u direktorij 'certs' (ne u direktorij 'certs/trusted'!) u sustavu -> File Kartica upravitelja. Ovaj file treba zvati 'sip klijent.pem'.

Prijenos javnih CA certifikata na Algo SIP krajnje točke

Ako koristite firmware stariji od 3.1.X, nadogradite uređaj.
Da biste instalirali certifikat na Algo uređaj koji koristi firmware v3.1 i noviji, slijedite korake u nastavku:

  1. Pribavite javni certifikat od svog tijela za izdavanje certifikata (može se prihvatiti bilo koji važeći certifikat formata X.509). Ne postoji poseban format potreban za fileime.
  2. u web sučelja Algo uređaja, idite na Sustav -> File Kartica Upravitelj.
  3. Prenesite certifikat files u direktorij 'certs/trusted'. Kliknite gumb Prenesi u gornjem lijevom kutu file upravitelja i potražite certifikat.

Web Mogućnosti sučelja

HTTPS pružanje usluga
Omogućavanje se može osigurati postavljanjem 'Metode preuzimanja' na 'HTTPS' (pod Napredne postavke > kartica Omogućavanje). Ovo sprječava konfiguraciju files od čitanja od strane neželjene treće strane. Ovo rješava potencijalni rizik od krađe osjetljivih podataka, kao što su administratorske lozinke i SIP vjerodajnice. ALGO TLS Sigurnost transportnog sloja - Slika 2

Da biste izvršili provjeru identiteta na poslužitelju za dodjelu, također postavite 'Validate Server Certificate' na 'Enabled'. Ako je Certifikat poslužitelja za dodjelu potpisan od strane jednog od uobičajenih komercijalnih CA-ova, tada bi Algo uređaj već trebao imati javni certifikat za ovaj CA i moći izvršiti provjeru.
Učitajte dodatne certifikate (Base64 kodirani X.509 certifikat file u .pem, .cer ili .crt formatu) odlaskom na “Sustav > File Manager” u mapu 'certs/trusted'.
NAPOMENA: Parametar 'Validate Server Certificate' također se može omogućiti kroz dodjelu: prov.preuzimanje.cert = 1

HTTPS Web Protokol sučelja
Postupak za učitavanje javnog certifikata za HTTPS web pregledavanje je slično onome što je opisano u gornjem odjeljku. httpd.pem file je certifikat uređaja koji traži preglednik vašeg računala kada dođete do IP-a uređaja. Prijenos prilagođenog može vam omogućiti da se riješite poruke upozorenja ako pristupite WebUI pomoću HTTPS-a. To nije javni CA certifikat. Certifikat se mora učitati u 'certs'. ALGO TLS Sigurnost transportnog sloja - Slika 3

SIP signalizacija (i RTP audio)

SIP signalizacija osigurana je postavljanjem 'SIP transporta' na 'TLS' (pod Napredne postavke > Napredna SIP kartica).

  • Osigurava da će SIP promet biti šifriran.
  • SIP signalizacija odgovorna je za uspostavljanje poziva (kontrolni signali za početak i završetak poziva s drugom stranom), ali ne sadrži zvuk.
  • Za audio (glasovni) put koristite postavku 'SDP SRTP ponuda'.
  • Postavljanje na 'Optional' znači da će RTP audio podaci SIP poziva biti šifrirani (pomoću SRTP-a) ako druga strana također podržava audio enkripciju.
  • Ako druga strana ne podržava SRTP, tada će se poziv nastaviti, ali s nešifriranim zvukom. Kako bi audio enkripcija bila obavezna za sve pozive, postavite 'SDP SRTP ponudu' na 'Standardno'. U tom slučaju, ako druga strana ne podržava audio enkripciju, pokušaj poziva bit će odbijen.
  • Za provjeru identiteta na SIP poslužitelju također postavite 'Validate Server Certificate' na 'Enabled'.
  • Ako je certifikat SIP poslužitelja potpisan od strane jednog od uobičajenih komercijalnih CA-ova, tada Algo uređaj već treba imati javni certifikat za ovaj CA i moći izvršiti provjeru. Ako ne (nprampsa samopotpisanim certifikatima), tada se odgovarajući javni certifikat može učitati na Algo uređaj kao što je ranije opisano u ovom dokumentu.

ALGO TLS Sigurnost transportnog sloja - Slika 4

TLS verzija 1.2
Algo uređaji s firmware-om v3.1 i novijim podržavaju TLS v1.1 i v1.2. 'Force Secure TLS
Opcija Version' može se koristiti za zahtijevanje TLS veza za korištenje TLSv1.2. Da biste omogućili ovu značajku:

  • Idite na Napredne postavke > Napredni SIP
  • Omogućite opciju "Force secure TLS Version" i spremite.
    BILJEŠKA: Ova opcija je uklonjena u verziji 4.0+ jer se TLS v1.2 koristi prema zadanim postavkama

Preuzimanje Algo certifikata

Ispod je skup poveznica za preuzimanje lanca certifikata Algo CA. The files se može instalirati na SIP poslužitelju ili poslužitelju za dodjelu kako bi ovi poslužitelji mogli autentificirati certifikate uređaja na Algo SIP krajnjim točkama i tako omogućiti međusobnu autentifikaciju:
Algo Root CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo Intermediate CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Algo javna potvrda: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

Rješavanje problema

Ako se TLS rukovanje ne dovrši, pošaljite snimljeni paket Algo podršci na analizu. Da biste to učinili, morat ćete zrcaliti promet, s priključka na koji je Algo krajnja točka spojena na mrežnom preklopniku, natrag na računalo.

Algo Communication Products Ltd.
4500 Beedie St Burnaby BC Kanada V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

Dokumenti / Resursi

ALGO TLS Transport Layer Security [pdfUpute
TLS, Transport Layer Security, Sigurnost sloja, TLS, Transport Layer

Reference

Povezani postovi

Ostavite komentar

Vaša email adresa neće biti objavljena. Obavezna polja su označena *