Instrukcje ALGO TLS Transport Layer Security

TLS (Transport Layer Security) to protokół kryptograficzny, który zapewnia uwierzytelnianie, prywatność i kompleksowe bezpieczeństwo danych przesyłanych między aplikacjami lub urządzeniami przez Internet. Ponieważ hostowane platformy telefoniczne stają się coraz bardziej powszechne, wzrosła potrzeba TLS, aby zapewnić bezpieczną komunikację w publicznym Internecie. Urządzenia Algo obsługujące oprogramowanie układowe w wersji 1.6.4 lub nowszej obsługują Transport Layer Security (TLS) zarówno dla obsługi administracyjnej, jak i sygnalizacji SIP.
Notatka: następujące punkty końcowe nie obsługują TLS: 8180 IP Audio Alerter (G1), 8028 IP Doorphone (G1), 8128 IP Visual Alerter (G1), 8061 IP Relay Controller.

Szyfrowanie a weryfikacja tożsamości

Chociaż ruch TLS jest zawsze zaszyfrowany i zabezpieczony przed podsłuchiwaniem lub modyfikacją przez osoby trzecie, dodatkową warstwę zabezpieczeń można zapewnić za pomocą certyfikatów w celu weryfikacji tożsamości drugiej strony. Pozwala to serwerowi zweryfikować tożsamość urządzenia końcowego IP i odwrotnie.
Aby przeprowadzić kontrolę tożsamości, Certyfikat file musi być podpisany przez urząd certyfikacji (CA). Drugie urządzenie sprawdza następnie ten podpis przy użyciu publicznego (zaufanego) certyfikatu tego urzędu certyfikacji.

Certyfikaty TLS

Punkty końcowe Algo IP są fabrycznie instalowane z zestawem publicznych certyfikatów od zaufanych zewnętrznych urzędów certyfikacji (CA), w tym Comodo, Verisign, Symantec, DigiCert itp. Urzędy certyfikacji zapewniają firmom podpisane certyfikaty, aby umożliwić tym firmom udowodnienie, że ich serwery lub webwitryny są w rzeczywistości tym, za kogo się podają. Urządzenia Algo mogą potwierdzić, że komunikuje się z autentycznym serwerem, weryfikując certyfikaty podpisane przez serwer z certyfikatami publicznymi z urzędu certyfikacji, który go podpisał. Można również przesłać dodatkowe certyfikaty publiczne, aby umożliwić urządzeniu Algo zaufanie i weryfikację dodatkowych serwerów, które mogą nie być zawarte we wstępnie zainstalowanych certyfikatach (np.ample, certyfikaty z podpisem własnym).

Wzajemne uwierzytelnianie

Uwierzytelnianie wzajemne dodaje jedną dodatkową warstwę bezpieczeństwa, wymagając od serwera, aby również weryfikował i ufał urządzeniu punktu końcowego, oprócz przeciwnego kierunku punktu końcowego sprawdzającego poprawność serwera. Jest to realizowane za pomocą unikalnego Certyfikatu urządzenia, zainstalowanego na każdym punkcie końcowym Algo SIP w momencie produkcji. Ponieważ adres IP urządzenia Algo nie jest stały (jest określany przez sieć klienta), Algo nie może publikować tych informacji z wyprzedzeniem w zaufanych urzędach certyfikacji, a zamiast tego te certyfikaty urządzeń muszą być podpisane przez własny urząd certyfikacji Algo.
Aby serwer mógł ufać urządzeniu Algo, administrator systemu będzie musiał zainstalować na swoim serwerze publiczny łańcuch certyfikatów Algo CA (np.ampsystem telefoniczny SIP lub ich serwer obsługi administracyjnej), aby ten serwer mógł zweryfikować, czy Certyfikat urządzenia na urządzeniu Algo jest rzeczywiście autentyczny.

Notatka: Punkty końcowe Algo IP wyprodukowane w 2019 roku (począwszy od oprogramowania 1.7.1) lub nowszego mają fabrycznie zainstalowany certyfikat urządzenia.
Aby sprawdzić, czy certyfikat jest zainstalowany, przejdź do zakładki System -> Informacje. Zobacz Certyfikat Producenta. Jeśli certyfikat nie jest zainstalowany, wyślij e-mail wsparcie@algosolutions.com.

Zestawy szyfrów

Zestawy szyfrów to zestawy algorytmów używanych podczas sesji TLS. Każdy pakiet zawiera algorytmy uwierzytelniania, szyfrowania i uwierzytelniania wiadomości. Urządzenia Algo obsługują wiele powszechnie używanych algorytmów szyfrowania, takich jak AES256 i algorytmy kodu uwierzytelniania wiadomości, takie jak SHA-2.

Certyfikaty urządzeń Algo

Certyfikaty urządzeń podpisane przez Algo Root CA są fabrycznie instalowane na urządzeniach Algo od 2019 roku, począwszy od oprogramowania układowego 1.7.1. Certyfikat jest generowany podczas produkcji urządzenia, a pole nazwy zwyczajowej w certyfikacie zawiera adres MAC każdego urządzenia.
Certyfikat urządzenia jest ważny przez 30 lat i znajduje się na osobnej partycji, więc nie zostanie usunięty nawet po przywróceniu ustawień fabrycznych punktu końcowego Algo.
Urządzenia Algo obsługują również przesyłanie własnego certyfikatu urządzenia do użycia zamiast fabrycznie zainstalowanego certyfikatu urządzenia. Można to zainstalować, przesyłając PEM file zawierający zarówno certyfikat urządzenia, jak i klucz prywatny do katalogu 'certs' (nie 'certs/trusted'!) w System -> File Zakładka Menedżer. Ten file musi się nazywać „łykiem” klient.pem'.

Przesyłanie certyfikatów publicznych CA do punktów końcowych Algo SIP

Jeśli korzystasz z oprogramowania sprzętowego starszego niż 3.1.X, zaktualizuj urządzenie.
Aby zainstalować certyfikat na urządzeniu Algo z oprogramowaniem układowym w wersji 3.1 lub nowszej, wykonaj poniższe czynności:

Uzyskaj publiczny certyfikat od swojego urzędu certyfikacji (można zaakceptować każdy ważny certyfikat w formacie X.509). Nie ma określonego formatu wymaganego dla filenazwa.
W web interfejs urządzenia Algo, przejdź do System -> File Zakładka Menedżer.

Prześlij certyfikat files do katalogu 'certs/trusted'. Kliknij przycisk Prześlij w lewym górnym rogu file menedżera i przejdź do certyfikatu.

Web Opcje interfejsu

Udostępnianie HTTPS
Inicjowanie obsługi administracyjnej można zabezpieczyć, ustawiając „Metodę pobierania” na „HTTPS” (w zakładce Ustawienia zaawansowane > Obsługa administracyjna). Zapobiega to konfiguracji fileprzed odczytaniem przez niepożądaną osobę trzecią. Eliminuje to potencjalne ryzyko kradzieży poufnych danych, takich jak hasła administratora i poświadczenia SIP.

Aby przeprowadzić weryfikację tożsamości na serwerze obsługi administracyjnej, ustaw także opcję „Weryfikuj certyfikat serwera” na „Włączone”. Jeśli certyfikat serwera obsługi administracyjnej jest podpisany przez jeden z popularnych komercyjnych urzędów certyfikacji, urządzenie Algo powinno już mieć certyfikat publiczny dla tego urzędu certyfikacji i być w stanie przeprowadzić weryfikację.
Prześlij dodatkowe certyfikaty (certyfikat X.64 zakodowany w Base509) file w formacie .pem, .cer lub .crt), przechodząc do „System > File Manager” do folderu „certs/trusted”.
UWAGA: Parametr „Weryfikuj certyfikat serwera” można również włączyć za pośrednictwem aprowizacji: prow.pobierz.cert = 1

HTTPS Web Protokół interfejsu
Procedura przesyłania certyfikatu publicznego dla HTTPS web przeglądanie jest podobne do opisanego w sekcji powyżej. httpd.pem file to certyfikat urządzenia wymagany przez przeglądarkę komputera, gdy użytkownik przechodzi do adresu IP urządzenia. Przesłanie niestandardowego może pozwolić Ci pozbyć się komunikatu ostrzegawczego, jeśli uzyskasz dostęp do WebInterfejs użytkownika przy użyciu protokołu HTTPS. To nie jest publiczny certyfikat CA. Certyfikat należy przesłać do „certyfikatów”.

Sygnalizacja SIP (i dźwięk RTP)

Sygnalizacja SIP jest zabezpieczona przez ustawienie opcji „Transport SIP” na „TLS” (w zakładce Ustawienia zaawansowane > Zaawansowane SIP).

Zapewnia, że ruch SIP będzie szyfrowany.

Sygnalizacja SIP odpowiada za nawiązanie połączenia (sygnały sterujące do rozpoczęcia i zakończenia połączenia z drugą stroną), ale nie zawiera dźwięku.
W przypadku ścieżki audio (głosowej) użyj ustawienia „Oferta SDP SRTP”.

Ustawienie tej opcji na „Opcjonalne” oznacza, że dane dźwiękowe RTP połączenia SIP będą szyfrowane (przy użyciu protokołu SRTP), jeśli druga strona również obsługuje szyfrowanie dźwięku.
Jeśli druga strona nie obsługuje protokołu SRTP, połączenie będzie nadal kontynuowane, ale z niezaszyfrowanym dźwiękiem. Aby szyfrowanie dźwięku było obowiązkowe dla wszystkich połączeń, ustaw opcję „Oferta SDP SRTP” na „Standard”. W takim przypadku, jeśli druga strona nie obsługuje szyfrowania dźwięku, próba połączenia zostanie odrzucona.

Aby przeprowadzić weryfikację tożsamości na serwerze SIP, ustaw także opcję „Weryfikuj certyfikat serwera” na „Włączone”.
Jeśli Certyfikat serwera SIP jest podpisany przez jeden z popularnych komercyjnych CA, to urządzenie Algo powinno już posiadać certyfikat publiczny dla tego CA i być w stanie przeprowadzić weryfikację. Jeśli nie (na przykładampz samopodpisanymi certyfikatami), odpowiedni certyfikat publiczny można przesłać do urządzenia Algo, jak opisano wcześniej w tym dokumencie.

Wersja TLS 1.2
Urządzenia Algo z oprogramowaniem układowym w wersji 3.1 lub nowszej obsługują TLS w wersji 1.1 i 1.2. „Wymuś bezpieczne TLS”
Opcja Wersja może być użyta, aby wymagać, aby połączenia TLS korzystały z TLSv1.2. Aby włączyć tę funkcję:

Przejdź do Ustawienia zaawansowane > Zaawansowane SIP
Ustaw opcję „Wymuś bezpieczną wersję TLS” jako włączoną i zapisz.
NOTATKA: Ta opcja została usunięta w wersji 4.0+, ponieważ TLS v1.2 jest domyślnie używany

Pobierz certyfikaty Algo

Poniżej znajduje się zestaw linków do pobrania łańcucha certyfikatów Algo CA. The fileNa serwerze SIP lub Provisioning Server można zainstalować s, aby te serwery mogły uwierzytelniać Certyfikaty Urządzenia na Punktach Końcowych Algo SIP, a tym samym umożliwiać Wzajemne Uwierzytelnianie:
Główny urząd certyfikacji algorytmu: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo pośredni CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Certyfikat publiczny Algo: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

Rozwiązywanie problemów

Jeśli uzgadnianie TLS nie jest ukończone, wyślij przechwycony pakiet do pomocy technicznej Algo w celu analizy. Aby to zrobić, musisz zdublować ruch z portu, do którego jest podłączony punkt końcowy Algo na przełączniku sieciowym, z powrotem do komputera.

Algo Communication Products Ltd
4500 Beedie St Burnaby BC Kanada V5J 5L2
www.algosolutions.com
604-454-3792
wsparcie@algosolutions.com

Dokumenty / Zasoby

Zabezpieczenia warstwy transportowej ALGO TLS [plik PDF] Instrukcje
TLS, bezpieczeństwo warstwy transportowej, bezpieczeństwo warstwy, TLS, warstwa transportowa

Odniesienia

Instrukcja obsługi

Wprowadzenie do TLS