ALGO TLS szállítási réteg biztonsági utasítások

A TLS (Transport Layer Security) egy kriptográfiai protokoll, amely hitelesítést, adatvédelmet és végpontok közötti biztonságot nyújt az alkalmazások vagy eszközök között az interneten keresztül. Ahogy a hosztolt telefonplatformok egyre gyakoribbá váltak, megnőtt az igény, hogy a TLS biztonságos kommunikációt biztosítson a nyilvános interneten keresztül. Az 1.6.4-es vagy újabb firmware-t támogató Algo eszközök támogatják a Transport Layer Security (TLS) funkciót mind a kiépítéshez, mind a SIP jelzéshez.
Jegyzet: a következő végpontok nem támogatják a TLS-t: 8180 IP Audio Alert (G1), 8028 IP Doorphone (G1), 8128 IP Visual Allerter (G1), 8061 IP Relay Controller.

Titkosítás kontra személyazonosság-ellenőrzés

Míg a TLS-forgalom mindig titkosított, és védett a harmadik felek lehallgatása vagy módosítása ellen, további biztonsági réteg biztosítható a másik fél személyazonosságának igazolására szolgáló Tanúsítványok használatával. Ez lehetővé teszi a szerver számára, hogy ellenőrizze az IP-végpont eszköz azonosságát, és fordítva.
A személyazonosság-ellenőrzés elvégzéséhez a Tanúsítvány file hitelesítő hatóságnak (CA) alá kell írnia. A másik eszköz ezután ellenőrzi ezt az aláírást a jelen CA nyilvános (megbízható) tanúsítványa segítségével.

TLS tanúsítványok

Az Algo IP-végpontok előre telepítve vannak a megbízható harmadik féltől származó hitelesítésszolgáltatók (CA-k) nyilvános tanúsítványaival, beleértve a Comodo, Verisign, Symantec, DigiCert stb. szervereik ill weba webhelyek valójában azok, akiknek mondják magukat. Az Algo eszközök úgy tudják ellenőrizni, hogy hiteles szerverrel kommunikálnak, ha ellenőrzik a szerver aláírt tanúsítványait az aláíró CA nyilvános tanúsítványaival szemben. További nyilvános tanúsítványok is feltölthetők, hogy az Algo eszköz megbízhasson és ellenőrizhessen további szervereket, amelyek esetleg nem szerepelnek az előre telepített tanúsítványokban (pl.ample, önaláírt tanúsítványok).

Kölcsönös hitelesítés

A kölcsönös hitelesítés egy további biztonsági réteget biztosít azáltal, hogy megköveteli a kiszolgálótól, hogy érvényesítse a végponti eszközt, és bízzon benne, a kiszolgálót ellentétes irányban felül. Ez egyedi eszköztanúsítvánnyal valósul meg, amely a gyártáskor minden Algo SIP-végpontra telepítve van. Mivel egy Algo-eszköz IP-címe nem rögzített (az ügyfél hálózata határozza meg), az Algo nem teheti közzé ezeket az információkat előzetesen a megbízható CA-kkal, hanem ezeket az Eszköztanúsítványokat az Algo saját CA-jának kell aláírnia.
Ahhoz, hogy a szerver megbízhasson az Algo eszközben, a rendszergazdának telepítenie kell a nyilvános Algo CA tanúsítványláncot a szerverére (pl.ample a SIP telefonrendszert vagy azok kiépítési kiszolgálóját), hogy ez a szerver ellenőrizhesse, hogy az Algo eszközön lévő Eszköztanúsítvány valóban hiteles-e.

Jegyzet: A 2019-ben gyártott (1.7.1-es firmware-től kezdődően) vagy újabb Algo IP-végpontokon gyárilag telepítve van az eszköztanúsítvány.
A tanúsítvány telepítésének ellenőrzéséhez lépjen a Rendszer -> Névjegy fülre. Lásd a gyártói tanúsítványt. Ha a tanúsítvány nincs telepítve, kérjük, küldjön e-mailt support@algosolutions.com.

Cipher lakosztályok

A titkosítási csomagok a TLS-munkamenet során használt algoritmusok halmazai. Mindegyik csomag tartalmaz algoritmusokat hitelesítéshez, titkosításhoz és üzenethitelesítéshez. Az Algo eszközök számos gyakran használt titkosítási algoritmust támogatnak, például az AES256-ot, és az üzenet-hitelesítési kódalgoritmusokat, például az SHA-2-t.

Algo eszköztanúsítványok

Az Algo Root CA által aláírt eszköztanúsítványokat 2019 óta gyárilag telepítik az Algo eszközökre, az 1.7.1-es firmware-től kezdve. A tanúsítvány az eszköz gyártása során jön létre, a tanúsítvány közös névmezője pedig tartalmazza az egyes eszközök MAC-címét.
Az eszköztanúsítvány 30 évig érvényes, és külön partícióban található, így az Algo végpont gyári visszaállítása után sem törlődik.
Az Algo eszközök azt is támogatják, hogy a gyárilag telepített eszköztanúsítvány helyett saját eszköztanúsítványt töltsön fel. Ez PEM feltöltésével telepíthető file amely tartalmaz egy eszköztanúsítványt és egy privát kulcsot is a „certs” könyvtárba (nem a „certs/trusted” könyvtárba!) a Rendszerben -> File Menedzser lap. Ez file kortynak kell nevezni ügyfél.pem'.

Nyilvános CA-tanúsítványok feltöltése Algo SIP végpontokra

Ha 3.1.X-nél alacsonyabb firmware-t használ, frissítse az eszközt.
A tanúsítvány telepítéséhez egy Algo eszközre, amelyik v3.1 vagy újabb firmware-t futtat, kövesse az alábbi lépéseket:

Szerezzen be nyilvános tanúsítványt a tanúsító hatóságtól (bármilyen érvényes X.509 formátumú tanúsítvány elfogadható). Nincs szükség speciális formátumra filenév.
A web Az Algo készülék interfészét, navigáljon a Rendszer -> menüpontra File Menedzser lap.

Töltse fel a tanúsítványt files a 'certs/trusted' könyvtárba. Kattintson a Feltöltés gombra a bal felső sarokban file menedzser, és tallózással keresse meg a tanúsítványt.

Web Interfész opciók

HTTPS kiépítés
A hozzáférést a 'Letöltési mód' "HTTPS" értékre állításával biztosíthatja (a Speciális beállítások > Hozzáférés-kezelés lapon). Ez megakadályozza a konfigurációt files attól, hogy egy nem kívánt harmadik fél elolvassa. Ez kiküszöböli az érzékeny adatok, például a rendszergazdai jelszavak és a SIP hitelesítő adatok ellopásának potenciális kockázatát.

A kiépítési kiszolgáló személyazonosságának ellenőrzéséhez állítsa a „Szervertanúsítvány érvényesítése” beállítást „Engedélyezve” értékre. Ha a kiépítési kiszolgáló Tanúsítványát valamelyik általános kereskedelmi CA aláírja, akkor az Algo-eszköznek már rendelkeznie kell az adott CA nyilvános tanúsítvánnyal, és képesnek kell lennie az ellenőrzés végrehajtására.
További tanúsítványok feltöltése (Base64 kódolású X.509 tanúsítvány file .pem, .cer vagy .crt formátumban) a „Rendszer >” elemre navigálva File menedzser” a „certs/trusted” mappába.
MEGJEGYZÉS: A „Szervertanúsítvány érvényesítése” paraméter a kiépítéssel is engedélyezhető: prov.download.cert = 1

HTTPS Web Interfész protokoll
A HTTPS nyilvános tanúsítványának feltöltésének eljárása web a böngészés hasonló a fenti részben leírtakhoz. A httpd.pem file egy eszköztanúsítvány, amelyet a számítógép böngészője kér, amikor az eszköz IP-címére navigál. Egyéni feltöltésével megszabadulhat a figyelmeztető üzenettől, ha eléri a WebHTTPS-t használó felhasználói felület. Ez nem nyilvános CA-tanúsítvány. A tanúsítványt fel kell tölteni a „tanúsítványokba”.

SIP jelzés (és RTP hang)

A SIP jelzést a „SIP szállítás” „TLS” értékre állításával biztosítjuk (a Speciális beállítások > Speciális SIP lapon).

Ez biztosítja, hogy a SIP forgalom titkosítva legyen.

A SIP jelzés felelős a hívás létrejöttéért (a vezérlőjelek a hívás indításához és befejezéséhez a másik féllel), de nem tartalmazza a hangot.
Az audio (hang) útvonalhoz használja az „SDP SRTP ajánlat” beállítást.

Ha ezt az „Opcionális” értékre állítja, akkor a SIP-hívás RTP-hangadatai titkosítva lesznek (SRTP használatával), ha a másik fél is támogatja a hangtitkosítást.
Ha a másik fél nem támogatja az SRTP-t, akkor a hívás továbbra is folytatódik, de titkosítatlan hanggal. Ha minden hívásnál kötelezővé szeretné tenni a hangtitkosítást, állítsa az „SDP SRTP-ajánlat” beállítást „Normál” értékre. Ebben az esetben, ha a másik fél nem támogatja a hangtitkosítást, akkor a hívási kísérlet elutasításra kerül.

A SIP-kiszolgálón az azonosság ellenőrzéséhez állítsa a „Szervertanúsítvány érvényesítése” beállítást „Engedélyezve” értékre.
Ha a SIP-szerver Tanúsítványát valamelyik általános kereskedelmi hitelesítésszolgáltató aláírja, akkor az Algo-eszköznek már rendelkeznie kell az adott CA nyilvános tanúsítvánnyal, és képesnek kell lennie az ellenőrzés végrehajtására. Ha nem (plample önaláírt tanúsítványokkal), akkor a megfelelő nyilvános tanúsítvány feltölthető az Algo készülékre a jelen dokumentumban korábban leírtak szerint.

TLS 1.2-es verzió
A 3.1-es és újabb firmware-t futtató Algo eszközök támogatják a TLS 1.1-es és 1.2-es verzióját. „Biztonságos TLS kényszerítése
A Version' opció használható a TLS-kapcsolatok TLSv1.2 használatához. A funkció engedélyezéséhez:

Lépjen a Speciális beállítások > Speciális SIP lehetőségre
Állítsa be a „Biztonságos TLS-verzió kényszerítése” beállítást engedélyezve, és mentse.
JEGYZET: Ez a beállítás a 4.0+ verzióban megszűnt, mivel a TLS v1.2 alapértelmezés szerint használatban van

Algo tanúsítványok letöltése

Az alábbiakban linkek találhatók az Algo CA tanúsítványlánc letöltéséhez. Az files telepíthető a SIP kiszolgálóra vagy a kiépítési kiszolgálóra annak érdekében, hogy ezek a kiszolgálók hitelesítsék az eszköztanúsítványokat az Algo SIP végpontokon, és így lehetővé tegyék a kölcsönös hitelesítést:
Algo Root CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo Középfokú CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Algo Public Certificate: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

Hibaelhárítás

Ha a TLS-kézfogás nem fejeződik be, küldjön egy csomagrögzítést az Algo ügyfélszolgálatának elemzés céljából. Ehhez tükröznie kell a forgalmat, a portról, amelyre az Algo végpont csatlakozik a hálózati kapcsolón, vissza a számítógépre.

Algo Kommunikációs Termékek Kft
4500 Beedie St Burnaby BC Canada V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

Dokumentumok / Források

ALGO TLS szállítási rétegbiztonság [pdfUtasítások
TLS, szállítási réteg biztonság, rétegbiztonság, TLS, szállítási réteg

Hivatkozások

Felhasználói kézikönyv

Bevezetés a TLS-be