ALGO TLS Transport Layer-beveiligingsinstructies

TLS (Transport Layer Security) is een cryptografisch protocol dat authenticatie, privacy en end-to-end beveiliging biedt van gegevens die tussen applicaties of apparaten via internet worden verzonden. Naarmate gehoste telefonieplatforms steeds gebruikelijker zijn geworden, is de behoefte aan TLS om veilige communicatie via het openbare internet te bieden toegenomen. Algo-apparaten die firmware 1.6.4 of hoger ondersteunen, ondersteunen Transport Layer Security (TLS) voor zowel Provisioning als SIP-signalering.
Opmerking: de volgende eindpunten ondersteunen geen TLS: 8180 IP Audio Alerter (G1), 8028 IP Doorphone (G1), 8128 IP Visual Alerter (G1), 8061 IP Relay Controller.

Versleuteling versus identiteitsverificatie

Hoewel TLS-verkeer altijd versleuteld is en beveiligd tegen afluisteren of wijzigen door derden, kan een extra beveiligingslaag worden geboden door certificaten te gebruiken om de identiteit van de andere partij te verifiëren. Hierdoor kan de server de identiteit van het IP-eindpuntapparaat verifiëren en vice versa.
Om de identiteitscontrole uit te voeren, moet het Certificaat file moet worden ondertekend door een certificeringsinstantie (CA). Het andere apparaat controleert deze handtekening vervolgens met behulp van het openbare (vertrouwde) certificaat van deze CA.

TLS-certificaten

Algo IP-eindpunten zijn vooraf geïnstalleerd met een set openbare certificaten van vertrouwde externe certificeringsinstanties (CA's), waaronder Comodo, Verisign, Symantec, DigiCert, enz. De certificeringsinstanties verstrekken ondertekende certificaten aan bedrijven zodat deze bedrijven dat kunnen bewijzen hun servers of websites zijn in feite wie ze zeggen dat ze zijn. Algo-apparaten kunnen bevestigen dat het communiceert met een authentieke server door de ondertekende certificaten van de server te verifiëren tegen de openbare certificaten van de CA die het heeft ondertekend. Er kunnen ook aanvullende openbare certificaten worden geüpload, zodat het Algo-apparaat extra servers kan vertrouwen en verifiëren die mogelijk niet zijn opgenomen in de vooraf geïnstalleerde certificaten (bijv.ample, zelfondertekende certificaten).

Wederzijdse authenticatie

Wederzijdse authenticatie voegt een extra beveiligingslaag toe door te eisen dat de server ook het eindpuntapparaat valideert en vertrouwt, naast de tegenovergestelde richting van het eindpunt dat de server valideert. Dit wordt geïmplementeerd met behulp van een uniek apparaatcertificaat dat op het moment van fabricage op elk Algo SIP-eindpunt is geïnstalleerd. Aangezien het IP-adres van een Algo-apparaat niet vast is (het wordt bepaald door het netwerk van de klant), kan Algo deze informatie niet vooraf publiceren bij de vertrouwde CA's en in plaats daarvan moeten deze Apparaatcertificaten worden ondertekend door Algo's eigen CA.
Om de server het Algo-apparaat vervolgens te laten vertrouwen, moet de systeembeheerder de openbare Algo CA-certificaatketen op zijn server installeren (bijv.amphet SIP-telefoonsysteem of hun provisioningserver) zodat deze server kan verifiëren dat het apparaatcertificaat op het Algo-apparaat inderdaad authentiek is.

Opmerking: Op Algo IP-eindpunten die zijn vervaardigd in 2019 (vanaf firmware 1.7.1) of later, is het apparaatcertificaat vanuit de fabriek geïnstalleerd.
Ga naar het tabblad Systeem -> Info om te controleren of het certificaat is geïnstalleerd. Zie het fabrikantcertificaat. Als het certificaat niet is geïnstalleerd, stuur dan een e-mail: ondersteuning@algosolutions.com.

Cipher-suites

Cipher-suites zijn sets algoritmen die tijdens een TLS-sessie worden gebruikt. Elke suite bevat algoritmen voor authenticatie, codering en berichtauthenticatie. Algo-apparaten ondersteunen veel veelgebruikte coderingsalgoritmen zoals AES256 en code-algoritmen voor berichtauthenticatie zoals SHA-2.

Algo-apparaatcertificaten

Apparaatcertificaten ondertekend door de Algo Root CA zijn sinds 2019 in de fabriek geïnstalleerd op Algo-apparaten, te beginnen met firmware 1.7.1. Het certificaat wordt gegenereerd wanneer het apparaat wordt gefabriceerd, waarbij het algemene naamveld in het certificaat het MAC-adres voor elk apparaat bevat.
Het apparaatcertificaat is 30 jaar geldig en bevindt zich op een aparte partitie, zodat het niet wordt gewist, zelfs niet nadat het Algo-eindpunt in de fabriek is teruggezet.
Algo-apparaten ondersteunen ook het uploaden van uw eigen apparaatcertificaat om te gebruiken in plaats van het in de fabriek geïnstalleerde apparaatcertificaat. Dit kan worden geïnstalleerd door een PEM . te uploaden file met zowel een apparaatcertificaat als een privésleutel naar de map 'certs' (niet de map 'certs/trusted'!) in het systeem -> File tabblad Beheerder. Deze file moet 'sip' worden genoemd klant.pem'.

Openbare CA-certificaten uploaden naar Algo SIP-eindpunten

Als u een lagere firmware dan 3.1.X gebruikt, moet u het apparaat upgraden.
Volg de onderstaande stappen om het certificaat te installeren op een Algo-apparaat met firmware v3.1 en hoger:

Vraag een openbaar certificaat aan bij uw certificeringsinstantie (elk geldig certificaat in X.509-formaat kan worden geaccepteerd). Er is geen specifiek formaat vereist voor de filenaam.
In de web interface van het Algo-apparaat, navigeer naar Systeem -> File tabblad Beheerder.

Upload het certificaat files in de map 'certs/trusted'. Klik op de knop Uploaden in de linkerbovenhoek van de file manager en blader naar het certificaat.

Web Interface-opties

HTTPS-inrichting
Provisioning kan worden beveiligd door de 'Downloadmethode' in te stellen op 'HTTPS' (onder het tabblad Geavanceerde instellingen > Provisioning). Dit voorkomt configuratie files niet kan worden gelezen door een ongewenste derde partij. Dit lost het potentiële risico op diefstal van gevoelige gegevens op, zoals beheerderswachtwoorden en SIP-referenties.

Om identiteitsverificatie op de Provisioning Server uit te voeren, stelt u ook 'Servercertificaat valideren' in op 'Ingeschakeld'. Als het Certificaat van de provisioningserver is ondertekend door een van de gebruikelijke commerciële CA's, moet het Algo-apparaat al het openbare certificaat voor deze CA hebben en de verificatie kunnen uitvoeren.
Upload extra certificaten (Base64-gecodeerd X.509-certificaat) file in .pem-, .cer- of .crt-indeling) door te navigeren naar “Systeem > File Manager” naar de map 'certs/trusted'.
OPMERKING: De parameter 'Servercertificaat valideren' kan ook worden ingeschakeld via provisioning: prov.download.cert = 1

HTTPS Web Interface-protocol
De procedure om een openbaar certificaat voor HTTPS te uploaden web browsen is vergelijkbaar met wat hierboven is beschreven. De httpd.pem file is een apparaatcertificaat dat wordt aangevraagd door de browser van uw computer wanneer u naar het IP-adres van het apparaat navigeert. Door een aangepaste te uploaden, kunt u mogelijk het waarschuwingsbericht verwijderen als u de WebGebruikersinterface met HTTPS. Het is geen openbaar CA-certificaat. Het certificaat moet worden geüpload naar de 'certificaten'.

SIP-signalering (en RTP-audio)

SIP-signalering wordt beveiligd door 'SIP-transport' in te stellen op 'TLS' (onder het tabblad Geavanceerde instellingen > Geavanceerde SIP).

Het zorgt ervoor dat het SIP-verkeer versleuteld wordt.

De SIP-signalering is verantwoordelijk voor het tot stand brengen van de oproep (de besturingssignalen om het gesprek met de andere partij te starten en te beëindigen), maar bevat niet de audio.
Gebruik voor het audio (spraak)pad de instelling 'SDP SRTP Offer'.

Als u dit instelt op 'Optioneel', betekent dit dat de RTP-audiogegevens van de SIP-oproep worden gecodeerd (met SRTP) als de andere partij ook audiocodering ondersteunt.
Als de andere partij SRTP niet ondersteunt, gaat het gesprek nog steeds door, maar met niet-versleutelde audio. Om audiocodering verplicht te maken voor alle oproepen, stelt u 'SDP SRTP-aanbieding' in op 'Standaard'. Als de andere partij in dit geval geen audiocodering ondersteunt, wordt de oproeppoging afgewezen.

Om identiteitsverificatie op de SIP-server uit te voeren, stelt u ook 'Servercertificaat valideren' in op 'Ingeschakeld'.
Als het certificaat van de SIP-server is ondertekend door een van de gebruikelijke commerciële CA's, moet het Algo-apparaat al het openbare certificaat voor deze CA hebben en de verificatie kunnen uitvoeren. Zo niet (bijvampbestand met zelfondertekende certificaten), dan kan het juiste openbare certificaat worden geüpload naar het Algo-apparaat zoals eerder in dit document beschreven.

TLS-versie 1.2
Algo-apparaten met firmware v3.1 en hoger ondersteunen TLS v1.1 en v1.2. 'Beveiligde TLS forceren'
De optie Versie' kan worden gebruikt om TLS-verbindingen te vereisen om TLSv1.2 te gebruiken. Om deze functie in te schakelen:

Ga naar Geavanceerde instellingen > Geavanceerde SIP
Stel de 'Forceer beveiligde TLS-versie' in als ingeschakeld en sla op.
OPMERKING: Deze optie is verwijderd in v4.0+ aangezien TLS v1.2 standaard wordt gebruikt

Algo-certificaten downloaden

Hieronder vindt u een aantal links om de Algo CA-certificaatketen te downloaden. De files kunnen worden geïnstalleerd op de SIP-server of Provisioning Server zodat deze servers de apparaatcertificaten op Algo SIP-eindpunten kunnen authenticeren en zo wederzijdse authenticatie mogelijk maken:
Algo Root-CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo Intermediaire CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Algo Openbaar Certificaat: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

Probleemoplossing

Als de TLS-handshake niet wordt voltooid, stuur dan een pakketopname naar Algo-ondersteuning voor analyse. Om dat te doen, moet je het verkeer spiegelen, van de poort waarmee het Algo-eindpunt is verbonden op de netwerkswitch, terug naar een computer.

Algo Communicatieproducten Ltd
4500 Beedie St. Burnaby BC Canada V5J 5L2
www.algosolutions.com
604-454-3792
ondersteuning@algosolutions.com

Documenten / Bronnen

ALGO TLS Transport Layer-beveiliging [pdf] Instructies
TLS, transportlaagbeveiliging, laagbeveiliging, TLS, transportlaag

Referenties

Gebruiksaanwijzing

Inleiding tot TLS