Инструкции по безопасности транспортного уровня ALGO TLS

TLS (Transport Layer Security) — это криптографический протокол, который обеспечивает аутентификацию, конфиденциальность и сквозную безопасность данных, пересылаемых между приложениями или устройствами через Интернет. Поскольку размещенные платформы телефонии стали более распространенными, потребность в TLS для обеспечения безопасной связи в общедоступном Интернете возросла. Устройства Algo с микропрограммой 1.6.4 или более поздней версии поддерживают безопасность транспортного уровня (TLS) как для подготовки, так и для сигнализации SIP.
Примечание: следующие конечные точки не поддерживают TLS: 8180 IP Audio Alerter (G1), 8028 IP домофон (G1), 8128 IP Visual Alerter (G1), 8061 IP Relay Controller.

Шифрование против проверки личности

Хотя трафик TLS всегда зашифрован и защищен от перехвата или модификации третьими лицами, дополнительный уровень безопасности может быть обеспечен за счет использования сертификатов для проверки подлинности другой стороны. Это позволяет серверу проверять подлинность конечного IP-устройства и наоборот.
Для проверки личности сертификат file должен быть подписан центром сертификации (CA). Затем другое устройство проверяет эту подпись, используя общедоступный (доверенный) сертификат этого ЦС.

TLS-сертификаты

Конечные точки Algo IP поставляются с предустановленным набором общедоступных сертификатов от доверенных сторонних центров сертификации (ЦС), включая Comodo, Verisign, Symantec, DigiCert и т. д. Центры сертификации предоставляют предприятиям подписанные сертификаты, чтобы позволить этим предприятиям доказать, что их сервера или webсайты на самом деле являются теми, за кого себя выдают. Устройства Algo могут подтвердить, что они взаимодействуют с аутентичным сервером, сверив подписанные сертификаты сервера с общедоступными сертификатами из центра сертификации, подписавшего его. Также можно загрузить дополнительные общедоступные сертификаты, чтобы позволить устройству Algo доверять и проверять дополнительные серверы, которые могут не быть включены в предустановленные сертификаты (например,ample, самоподписанные сертификаты).

Взаимная аутентификация

Взаимная аутентификация добавляет один дополнительный уровень безопасности, требуя, чтобы сервер также проверял конечное устройство и доверял ему, в дополнение к противоположному направлению конечной точки, проверяющей сервер. Это реализуется с помощью уникального сертификата устройства, установленного на каждой конечной точке Algo SIP во время изготовления. Поскольку IP-адрес устройства Algo не является фиксированным (он определяется сетью клиента), Algo не может публиковать эту информацию заранее в доверенных центрах сертификации, и вместо этого эти сертификаты устройств должны быть подписаны собственным центром сертификации Algo.
Чтобы сервер доверял устройству Algo, системному администратору необходимо установить общедоступную цепочку сертификатов CA Algo на свой сервер (например,ample SIP Phone System или их обеспечивающий сервер), чтобы этот сервер мог проверить подлинность сертификата устройства на устройстве Algo.

Примечание: Конечные точки Algo IP, выпущенные в 2019 году (начиная с микропрограммы 1.7.1) или более поздней версии, имеют заводской сертификат устройства.
Чтобы проверить, установлен ли сертификат, перейдите на вкладку «Система» -> «О программе». См. Сертификат производителя. Если сертификат не установлен, отправьте электронное письмо support@algosolutions.com.

Наборы шифров

Наборы шифров — это наборы алгоритмов, используемых во время сеанса TLS. Каждый набор включает алгоритмы аутентификации, шифрования и аутентификации сообщений. Устройства Algo поддерживают многие широко используемые алгоритмы шифрования, такие как AES256, и алгоритмы кодов аутентификации сообщений, такие как SHA-2.

Сертификаты алгоритмических устройств

Сертификаты устройств, подписанные Algo Root CA, устанавливаются на устройства Algo на заводе с 2019 года, начиная с прошивки 1.7.1. Сертификат создается при изготовлении устройства, при этом поле общего имени в сертификате содержит MAC-адрес для каждого устройства.
Сертификат устройства действителен в течение 30 лет и находится в отдельном разделе, поэтому он не будет стерт даже после сброса настроек конечной точки Algo до заводских.
Устройства Algo также поддерживают загрузку собственного сертификата устройства для использования вместо заводского сертификата устройства. Это можно установить, загрузив PEM file содержащий как сертификат устройства, так и закрытый ключ, в каталог «certs» (не каталог «certs/trusted»!) в System -> File вкладка «Менеджер». Этот file нужно назвать 'sip клиент.pem'.

Загрузка общедоступных сертификатов ЦС на конечные точки Algo SIP

Если у вас прошивка ниже 3.1.X, обновите устройство.
Чтобы установить сертификат на устройство Algo с прошивкой версии 3.1 и выше, выполните следующие действия:

Получите общедоступный сертификат от вашего центра сертификации (может быть принят любой действительный сертификат формата X.509). Не существует специального формата, необходимого для fileимя.
В web интерфейса устройства Algo перейдите в System -> File Вкладка "Менеджер".

Загрузить сертификат files в каталог certs/trusted. Нажмите кнопку «Загрузить» в верхнем левом углу file менеджер и перейдите к сертификату.

Web Параметры интерфейса

Настройка HTTPS
Предоставление можно защитить, установив для параметра «Способ загрузки» значение «HTTPS» (на вкладке «Дополнительные параметры» > «Инициализация»). Это предотвращает настройку files от чтения нежелательной третьей стороной. Это устраняет потенциальный риск кражи конфиденциальных данных, таких как пароли администратора и учетные данные SIP.

Чтобы выполнить проверку личности на Provisioning Server, также установите для параметра «Проверка сертификата сервера» значение «Включено». Если сертификат сервера подготовки подписан одним из распространенных коммерческих ЦС, то устройство Algo уже должно иметь общедоступный сертификат для этого ЦС и иметь возможность выполнять проверку.
Загрузить дополнительные сертификаты (сертификат X.64 в кодировке Base509 file в формате .pem, .cer или .crt), перейдя в «Система > File Manager» в папку «certs/trusted».
ПРИМЕЧАНИЕ. Параметр «Проверить сертификат сервера» также можно включить с помощью подготовки: пров.загрузить.сертификат = 1

HTTPS Web Протокол интерфейса
Процедура загрузки общедоступного сертификата для HTTPS web просмотр похож на то, что описано в разделе выше. httpd.pem file — это сертификат устройства, запрашиваемый браузером вашего компьютера при переходе к IP-адресу устройства. Загрузка пользовательского может позволить вам избавиться от предупреждающего сообщения, если вы получите доступ к WebПользовательский интерфейс с использованием HTTPS. Это не общедоступный сертификат CA. Сертификат должен быть загружен в «сертификаты».

SIP-сигнализация (и RTP-аудио)

Передача сигналов SIP защищена путем установки для параметра «Транспортировка SIP» значения «TLS» (на вкладке «Дополнительные параметры» > «Дополнительно SIP»).

Это гарантирует, что SIP-трафик будет зашифрован.

Сигнализация SIP отвечает за установление вызова (управляющие сигналы для начала и завершения вызова с другой стороной), но не содержит звука.
Для аудио (голосового) пути используйте настройку «Предложение SDP SRTP».

Установка значения «Необязательно» означает, что аудиоданные RTP вызова SIP будут зашифрованы (с использованием SRTP), если другая сторона также поддерживает шифрование аудио.
Если другая сторона не поддерживает SRTP, вызов все равно продолжится, но с незашифрованным звуком. Чтобы сделать шифрование звука обязательным для всех вызовов, установите для параметра «Предложение SDP SRTP» значение «Стандартный». В этом случае, если другая сторона не поддерживает шифрование аудио, попытка вызова будет отклонена.

Чтобы выполнить проверку личности на SIP-сервере, также установите для параметра «Проверка сертификата сервера» значение «Включено».
Если сертификат SIP-сервера подписан одним из распространенных коммерческих ЦС, то устройство Algo уже должно иметь общедоступный сертификат для этого ЦС и иметь возможность выполнять проверку. Если нет (напримерampфайл с самозаверяющими сертификатами), то соответствующий общедоступный сертификат может быть загружен на устройство Algo, как описано ранее в этом документе.

TLS версии 1.2
Устройства Algo с прошивкой версии 3.1 и выше поддерживают TLS версий 1.1 и 1.2. 'Принудительный безопасный TLS
Параметр «Версия» может использоваться, чтобы требовать подключения TLS для использования TLSv1.2. Чтобы включить эту функцию:

Перейдите в Дополнительные настройки > Расширенный SIP.
Установите «Принудительно безопасную версию TLS» как включенную и сохраните.
ПРИМЕЧАНИЕ: Этот параметр был удален в версии 4.0+, поскольку по умолчанию используется TLS версии 1.2.

Алго сертификаты Скачать

Ниже приведен набор ссылок для загрузки цепочки сертификатов Algo CA. files могут быть установлены на SIP-сервере или Provisioning Server, чтобы эти серверы аутентифицировали сертификаты устройств на конечных точках Algo SIP и, таким образом, разрешали взаимную аутентификацию:
Корневой ЦС Алго: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Алго промежуточный ЦС: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Публичный сертификат Algo: hhttp://firmware.algosolutions.com/pub/certs/algo_ca.crt

Поиск неисправностей

Если рукопожатие TLS не завершается, отправьте захват пакета в службу поддержки Algo для анализа. Для этого вам необходимо зеркалировать трафик с порта, к которому подключена конечная точка Algo на сетевом коммутаторе, обратно на компьютер.

ООО "Алго Коммуникационные Продукты"
4500 Биди Сент Бернаби Британская Колумбия V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

Документы/Ресурсы

ALGO TLS Безопасность транспортного уровня [pdf] Инструкции
TLS, безопасность транспортного уровня, безопасность уровня, TLS, транспортный уровень

Ссылки

Руководство пользователя

Введение в TLS