ALGO - logoSicurezza del livello di trasporto TLS
Manuale di istruzioni

Protezione degli endpoint IP Algo:
TLS e autenticazione reciproca

Hai bisogno di aiuto?
Numero di telefono: 604-454-3792 or support@algosolutions.com 

Contenuto nascondere
1 Introduzione a TLS
2 Crittografia vs verifica dell'identità
3 Certificati TLS
4 Autenticazione reciproca
5 Suite di cifratura
6 Certificati dispositivo Algo
7 Caricamento di certificati CA pubblici su endpoint SIP Algo
8 Web Opzioni di interfaccia
9 Segnalazione SIP (e audio RTP)
10 Certificati Algo Scarica
11 Risoluzione dei problemi
12 Documenti / Risorse
12.1 Riferimenti
13 Post correlati

Introduzione a TLS

TLS (Transport Layer Security) è un protocollo crittografico che fornisce autenticazione, privacy e sicurezza end-to-end dei dati inviati tra applicazioni o dispositivi su Internet. Poiché le piattaforme di telefonia in hosting sono diventate più comuni, è aumentata la necessità di TLS per fornire comunicazioni sicure tramite Internet pubblico. I dispositivi Algo che supportano il firmware 1.6.4 o successivo supportano Transport Layer Security (TLS) sia per il provisioning che per la segnalazione SIP.
Nota: i seguenti endpoint non supportano TLS: 8180 IP Audio Alerter (G1), 8028 IP Doorphone (G1), 8128 IP Visual Alerter (G1), 8061 IP Relay Controller.

Crittografia vs verifica dell'identità

Sebbene il traffico TLS sia sempre crittografato e protetto da intercettazioni o modifiche di terze parti, è possibile fornire un ulteriore livello di sicurezza utilizzando i certificati per verificare l'identità dell'altra parte. Ciò consente al Server di verificare l'identità del dispositivo Endpoint IP e viceversa.
Per eseguire il controllo dell'identità, il Certificato file deve essere firmato da un'autorità di certificazione (CA). L'altro dispositivo verifica quindi questa firma, utilizzando il certificato pubblico (attendibile) di questa CA.

Certificati TLS

Gli endpoint IP Algo sono preinstallati con una serie di certificati pubblici di autorità di certificazione (CA) di terze parti affidabili, tra cui Comodo, Verisign, Symantec, DigiCert, ecc. Le autorità di certificazione forniscono certificati firmati alle aziende per consentire a queste aziende di dimostrarlo i loro server o webi siti sono infatti chi dicono di essere. I dispositivi Algo possono confermare che sta comunicando con un server autentico verificando i certificati firmati del server rispetto ai certificati pubblici della CA che lo ha firmato. È inoltre possibile caricare ulteriori certificati pubblici, per consentire al dispositivo Algo di considerare attendibile e verificare server aggiuntivi che potrebbero non essere inclusi nei certificati preinstallati (ad es.ample, certificati autofirmati).

Autenticazione reciproca

L'autenticazione reciproca aggiunge un ulteriore livello di sicurezza richiedendo al server di convalidare e considerare attendibile anche il dispositivo endpoint, oltre alla direzione opposta dell'endpoint che convalida il server. Ciò viene implementato utilizzando un certificato dispositivo univoco, installato su ciascun endpoint SIP Algo al momento della produzione. Poiché l'indirizzo IP di un dispositivo Algo non è fisso (è determinato dalla rete del cliente), Algo non può pubblicare queste informazioni in anticipo con le CA attendibili e, invece, questi certificati del dispositivo devono essere firmati dalla CA di Algo.
Affinché il server possa quindi considerare attendibile il dispositivo Algo, l'amministratore di sistema dovrà installare la catena di certificati Algo CA pubblica sul proprio server (ad es.ample il sistema telefonico SIP o il loro server di provisioning) in modo che questo server possa verificare che il certificato del dispositivo sul dispositivo Algo sia effettivamente autentico.

Nota: Gli endpoint IP Algo prodotti nel 2019 (a partire dal firmware 1.7.1) o versioni successive hanno il certificato del dispositivo installato dalla fabbrica.
Per verificare se il certificato è installato, vai su Sistema -> scheda Informazioni. Vedere il certificato del produttore. Se il certificato non è installato, inviare un'e-mail support@algosolutions.com. Sicurezza del livello di trasporto ALGO TLS - Figura 1

Suite di cifratura

Le suite di crittografia sono insiemi di algoritmi utilizzati durante una sessione TLS. Ogni suite include algoritmi per l'autenticazione, la crittografia e l'autenticazione dei messaggi. I dispositivi Algo supportano molti algoritmi di crittografia comunemente usati come AES256 e algoritmi di codice di autenticazione dei messaggi come SHA-2.

Certificati dispositivo Algo

I certificati dei dispositivi firmati dall'Algo Root CA sono stati installati in fabbrica sui dispositivi Algo dal 2019, a partire dal firmware 1.7.1. Il certificato viene generato al momento della produzione del dispositivo, con il campo nome comune nel certificato contenente l'indirizzo MAC di ciascun dispositivo.
Il certificato del dispositivo è valido per 30 anni e risiede in una partizione separata, quindi non verrà cancellato anche dopo il ripristino delle impostazioni di fabbrica dell'endpoint Algo.
I dispositivi Algo supportano anche il caricamento del certificato del dispositivo da utilizzare al posto del certificato del dispositivo installato in fabbrica. Questo può essere installato caricando un PEM file contenente sia un certificato del dispositivo che una chiave privata, nella directory 'certs' (non nella directory 'certs/trusted'!) in Sistema -> File Scheda Gestore. Questo file deve essere chiamato 'sip cliente.pem'.

Caricamento di certificati CA pubblici su endpoint SIP Algo

Se utilizzi un firmware inferiore a 3.1.X, aggiorna il dispositivo.
Per installare il certificato su un dispositivo Algo con firmware v3.1 e versioni successive, attenersi alla seguente procedura:

  1. Ottieni un certificato pubblico dalla tua autorità di certificazione (può essere accettato qualsiasi certificato in formato X.509 valido). Non è richiesto un formato specifico per il filenome.
  2. Nel web interfaccia del dispositivo Algo, accedere a Sistema -> File Scheda Gestore.
  3. Carica il certificato files nella directory 'certs/trusted'. Fare clic sul pulsante Carica nell'angolo in alto a sinistra del file manager e accedere al certificato.

Web Opzioni di interfaccia

Fornitura HTTPS
Il provisioning può essere protetto impostando il "Metodo di download" su "HTTPS" (in Impostazioni avanzate > scheda Provisioning). Ciò impedisce la configurazione files dall'essere letto da una terza parte indesiderata. Ciò risolve il potenziale rischio di furto di dati sensibili, come le password dell'amministratore e le credenziali SIP. Sicurezza del livello di trasporto ALGO TLS - Figura 2

Per eseguire la verifica dell'identità sul Provisioning Server, impostare anche "Convalida certificato server" su "Abilitato". Se il certificato del server di provisioning è firmato da una delle CA commerciali comuni, il dispositivo Algo dovrebbe già disporre del certificato pubblico per questa CA ed essere in grado di eseguire la verifica.
Carica certificati aggiuntivi (certificato X.64 con codifica Base509 file in formato .pem, .cer o .crt) accedendo a “Sistema > File Manager” nella cartella 'certs/trusted'.
NOTA: il parametro "Convalida certificato server" può essere abilitato anche tramite il provisioning: prov.download.cert = 1

HTTPS Web Protocollo di interfaccia
La procedura per caricare un certificato pubblico per HTTPS web la navigazione è simile a quanto descritto nella sezione precedente. Il httpd.pem file è un certificato del dispositivo che viene richiesto dal browser del tuo computer quando navighi verso l'IP del dispositivo. Il caricamento di uno personalizzato potrebbe consentirti di eliminare il messaggio di avviso se accedi a WebInterfaccia utente che utilizza HTTPS. Non è un certificato CA pubblico. Il certificato deve essere caricato in 'certs'. Sicurezza del livello di trasporto ALGO TLS - Figura 3

Segnalazione SIP (e audio RTP)

La segnalazione SIP è protetta impostando "Trasporto SIP" su "TLS" (in Impostazioni avanzate > scheda SIP avanzate).

  • Garantisce che il traffico SIP venga crittografato.
  • La segnalazione SIP è responsabile dell'instaurazione della chiamata (il comando segnala di iniziare e terminare la chiamata con l'interlocutore), ma non contiene l'audio.
  • Per il percorso audio (voce), utilizzare l'impostazione "Offerta SRTP SDP".
  • L'impostazione di "Facoltativo" significa che i dati audio RTP della chiamata SIP verranno crittografati (tramite SRTP) se anche l'altra parte supporta la crittografia audio.
  • Se l'altra parte non supporta SRTP, la chiamata continuerà comunque, ma con audio non crittografato. Per rendere obbligatoria la crittografia audio per tutte le chiamate, impostare "Offerta SDP SRTP" su "Standard". In questo caso, se l'altra parte non supporta la crittografia audio, il tentativo di chiamata verrà rifiutato.
  • Per eseguire la verifica dell'identità sul server SIP, impostare anche "Convalida certificato server" su "Abilitato".
  • Se il certificato del server SIP è firmato da una delle CA commerciali comuni, il dispositivo Algo dovrebbe già disporre del certificato pubblico per questa CA ed essere in grado di eseguire la verifica. Se no (ad esample con certificati autofirmati), è possibile caricare il certificato pubblico appropriato sul dispositivo Algo come descritto in precedenza in questo documento.

Sicurezza del livello di trasporto ALGO TLS - Figura 4

TLS versione 1.2
I dispositivi Algo con firmware v3.1 e versioni successive supportano TLS v1.1 e v1.2. 'Forza TLS sicuro
L'opzione Version' può essere utilizzata per richiedere le connessioni TLS per l'utilizzo di TLSv1.2. Per abilitare questa funzione:

  • Vai a Impostazioni avanzate > SIP avanzato
  • Imposta "Forza versione TLS sicura" come abilitato e salva.
    NOTA: Questa opzione è stata rimossa in v4.0+ poiché TLS v1.2 è utilizzato per impostazione predefinita

Certificati Algo Scarica

Di seguito sono riportati una serie di collegamenti per scaricare la catena di certificati Algo CA. Il files possono essere installati sul server SIP o sul server di provisioning in modo che questi server autentichino i certificati del dispositivo sugli endpoint SIP Algo e quindi consentano l'autenticazione reciproca:
CA radice algoritmo: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo CA intermedio: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Attestato Algo Pubblico: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

Risoluzione dei problemi

Se l'handshake TLS non viene completato, inviare un'acquisizione del pacchetto al supporto Algo per l'analisi. Per fare ciò dovrai eseguire il mirroring del traffico, dalla porta a cui è connesso l'endpoint Algo sullo switch di rete, di nuovo su un computer.

Algo Communication Products Ltd
4500 Beedie St Burnaby BC Canada V5J 5L2
www.algosolutions.com
Numero di telefono: 604-454-3792
support@algosolutions.com

Documenti / Risorse

Sicurezza del livello di trasporto ALGO TLS [pdf] Istruzioni
TLS, sicurezza del livello di trasporto, sicurezza del livello, TLS, livello di trasporto

Riferimenti

Post correlati

Lascia un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *