Segurança da camada de transporte TLS
Manual de instruções

Protegendo endpoints de IP Algo:
TLS e autenticação mútua

Precisar de ajuda?
604-454-3792 or suporte@algosolutions.com 

Introdução ao TLS

TLS (Transport Layer Security) é um protocolo criptográfico que fornece autenticação, privacidade e segurança de ponta a ponta de dados enviados entre aplicativos ou dispositivos pela Internet. À medida que as plataformas de telefonia hospedadas se tornaram mais comuns, a necessidade de TLS para fornecer comunicação segura pela Internet pública aumentou. Dispositivos Algo que suportam firmware 1.6.4 ou posterior suportam Transport Layer Security (TLS) para provisionamento e sinalização SIP.
Observação: os seguintes pontos de extremidade não suportam TLS: 8180 IP Audio Alerter (G1), 8028 IP Doorphone (G1), 8128 IP Visual Alerter (G1), 8061 IP Relay Controller.

Criptografia x verificação de identidade

Embora o tráfego TLS seja sempre criptografado e protegido contra espionagem ou modificação de terceiros, uma camada adicional de segurança pode ser fornecida usando certificados para verificar a identidade da outra parte. Isso permite que o servidor verifique a identidade do dispositivo IP Endpoint e vice-versa.
Para realizar a verificação de identidade, o Certificado file deve ser assinado por uma Autoridade de Certificação (CA). O outro dispositivo verifica essa assinatura, usando o certificado público (confiável) dessa CA.

Certificados TLS

Os endpoints de IP da Algo vêm pré-instalados com um conjunto de certificados públicos de Autoridades de Certificação (CAs) de terceiros confiáveis, incluindo Comodo, Verisign, Symantec, DigiCert, etc. As Autoridades de Certificação fornecem certificados assinados para empresas para permitir que essas empresas provem que seus servidores ou websites são de fato quem eles dizem que são. Os dispositivos Algo podem confirmar que está se comunicando com um servidor autêntico verificando os certificados assinados do servidor em relação aos certificados públicos da CA que o assinou. Certificados públicos adicionais também podem ser carregados, para permitir que o dispositivo Algo confie e verifique servidores adicionais que podem não estar incluídos nos certificados pré-instalados (por ex.ample, certificados autoassinados).

Autenticação mútua

A autenticação mútua adiciona uma camada adicional de segurança exigindo que o servidor também valide e confie no dispositivo de terminal, além da direção oposta do terminal que valida o servidor. Isso é implementado usando um Certificado de Dispositivo exclusivo, instalado em cada Algo SIP Endpoint no momento da fabricação. Como o endereço IP de um dispositivo Algo não é fixo (é determinado pela rede do cliente), Algo não pode publicar essas informações antecipadamente com as CAs confiáveis ​​e, em vez disso, esses Certificados de Dispositivo devem ser assinados pela própria CA da Algo.
Para que o servidor confie no dispositivo Algo, o administrador do sistema precisará instalar a cadeia de certificados Algo CA pública em seu servidor (por ex.ample o Sistema de Telefonia SIP ou seu servidor de provisionamento) para que este servidor possa verificar se o Certificado do Dispositivo no dispositivo Algo é de fato autêntico.

Observação: Os endpoints Algo IP fabricados em 2019 (a partir do firmware 1.7.1) ou posterior possuem o certificado do dispositivo instalado de fábrica.
Para verificar se o certificado está instalado, navegue até a guia Sistema -> Sobre. Consulte o Certificado do Fabricante. Se o certificado não estiver instalado, envie um e-mail suporte@algosolutions.com.

Suítes de Cifras

Os conjuntos de cifras são conjuntos de algoritmos usados ​​durante uma sessão TLS. Cada conjunto inclui algoritmos para autenticação, criptografia e autenticação de mensagens. Os dispositivos Algo suportam muitos algoritmos de criptografia comumente usados, como AES256, e algoritmos de código de autenticação de mensagens, como SHA-2.

Certificados de dispositivo Algo

Os certificados de dispositivo assinados pela Algo Root CA são instalados de fábrica nos dispositivos Algo desde 2019, começando com o firmware 1.7.1. O certificado é gerado quando o dispositivo é fabricado, com o campo de nome comum no certificado contendo o endereço MAC de cada dispositivo.
O certificado do dispositivo é válido por 30 anos e reside em uma partição separada, portanto, não será apagado mesmo após a redefinição de fábrica do endpoint Algo.
Os dispositivos Algo também suportam o upload de seu próprio certificado de dispositivo para uso em vez do certificado de dispositivo instalado de fábrica. Isso pode ser instalado carregando um PEM file contendo um certificado de dispositivo e uma chave privada para o diretório 'certs' (não o diretório 'certs/trusted'!) File guia Gerenciador. este file precisa ser chamado de 'sip cliente.pem'.

Carregamento de certificados de CA públicos para endpoints SIP Algo

Se você estiver em um firmware inferior a 3.1.X, atualize o dispositivo.
Para instalar o certificado em um dispositivo Algo executando firmware v3.1 e superior, siga as etapas abaixo:

1. Obtenha um certificado público de sua Autoridade de Certificação (qualquer certificado válido no formato X.509 pode ser aceito). Não há um formato específico necessário para o filenome.
2. No web interface do dispositivo Algo, navegue até System -> File guia Gerenciador.
3. Carregar o certificado files no diretório 'certs/trusted'. Clique no botão Carregar no canto superior esquerdo da file manager e navegue até o certificado.

Web Opções de interface

Provisionamento HTTPS
O provisionamento pode ser protegido definindo o 'Método de download' como 'HTTPS' (na guia Configurações avançadas > Provisionamento). Isso impede a configuração files de serem lidos por terceiros indesejados. Isso resolve o risco potencial de roubo de dados confidenciais, como senhas de administrador e credenciais SIP.

Para realizar a verificação de identidade no Servidor de Provisionamento, defina também 'Validar Certificado do Servidor' como 'Ativado'. Se o certificado do servidor de provisionamento for assinado por uma das CAs comerciais comuns, o dispositivo Algo já deve ter o certificado público para essa CA e ser capaz de realizar a verificação.
Carregar certificados adicionais (certificado X.64 codificado em Base509 file no formato .pem, .cer ou .crt) navegando até “Sistema > File Manager” para a pasta 'certs/trusted'.
NOTA: O parâmetro 'Validate Server Certificate' também pode ser habilitado por meio do provisionamento: prov.download.cert = 1

HTTPS Web Protocolo de Interface
O procedimento para fazer upload de um certificado público para HTTPS web a navegação é semelhante à descrita na seção acima. O httpd.pem file é um certificado de dispositivo que é solicitado pelo navegador do seu computador quando você navega para o IP do dispositivo. Carregar um personalizado pode permitir que você se livre da mensagem de aviso se você acessar o WebIU usando HTTPS. Não é um certificado CA público. O certificado deve ser carregado para os 'certs'.

Sinalização SIP (e áudio RTP)

A sinalização SIP é protegida definindo 'SIP Transportation' para 'TLS' (na guia Advanced Settings > Advanced SIP).

• Ele garante que o tráfego SIP será criptografado.
• A sinalização SIP é responsável por estabelecer a chamada (os sinais de controle para iniciar e encerrar a chamada com a outra parte), mas não contém o áudio.
• Para o caminho de áudio (voz), use a configuração 'SDP SRTP Offer'.
• Definir isso como 'Opcional' significa que os dados de áudio RTP da chamada SIP serão criptografados (usando SRTP) se a outra parte também oferecer suporte à criptografia de áudio.
• Se a outra parte não suportar SRTP, a chamada continuará, mas com áudio não criptografado. Para tornar a criptografia de áudio obrigatória para todas as chamadas, defina 'SDP SRTP Offer' como 'Standard'. Nesse caso, se a outra parte não suportar a criptografia de áudio, a tentativa de chamada será rejeitada.
• Para realizar a verificação de identidade no servidor SIP, defina também 'Validate Server Certificate' como 'Enabled'.
• Se o Certificado do servidor SIP for assinado por uma das CAs comerciais comuns, então o dispositivo Algo já deve ter o certificado público para esta CA e ser capaz de realizar a verificação. Se não (por example com certificados autoassinados), então o certificado público apropriado pode ser carregado no dispositivo Algo conforme descrito anteriormente neste documento.

Versão TLS 1.2
Dispositivos Algo executando firmware v3.1 e superior suportam TLS v1.1 e v1.2. 'Força TLS seguro
A opção Version' pode ser usada para exigir que as conexões TLS usem TLSv1.2. Para habilitar este recurso:

• Vá para Configurações avançadas > SIP avançado
• Defina a 'Force Secure TLS Version' como habilitada e salve.
  OBSERVAÇÃO: Esta opção foi removida na v4.0+, pois o TLS v1.2 é usado por padrão

Download de Certificados Algo

Abaixo está um conjunto de links para baixar a cadeia de certificados Algo CA. o files podem ser instalados no Servidor SIP ou Servidor de Provisionamento para que esses servidores autentiquem os Certificados de Dispositivos em Endpoints Algo SIP e assim permitam Autenticação Mútua:
CA raiz do algoritmo: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algoritmo CA intermediário: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Certificado Público Algo: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

Solução de problemas

Se o handshake TLS não estiver sendo concluído, envie uma captura de pacote para o suporte Algol para análise. Para fazer isso, você terá que espelhar o tráfego, da porta à qual o endpoint Algo está conectado no switch de rede, de volta a um computador.

Algo Communication Products Ltda
4500 Beedie St Burnaby BC Canadá V5J 5L2
www.algosolutions.com
604-454-3792
suporte@algosolutions.com

Documentos / Recursos

Segurança da Camada de Transporte ALGO TLS [pdf] Instruções TLS, Segurança da Camada de Transporte, Segurança da Camada, TLS, Camada de Transporte

Referências

• Manual do usuário