ALGO - logoZabezpečenie transportnej vrstvy TLS
Návod na použitie

Zabezpečenie koncových bodov Algo IP:
TLS a vzájomná autentifikácia

Potrebujete pomoc?
604-454-3792 or support@algosolutions.com 

Obsah skryť
1 Úvod do TLS
2 Šifrovanie vs overenie identity
3 Certifikáty TLS
4 Vzájomná autentifikácia
5 Cipher Suites
6 Certifikáty zariadení Algo
7 Nahrávanie certifikátov verejnej CA do koncových bodov Algo SIP
8 Web Možnosti rozhrania
9 SIP signalizácia (a RTP zvuk)
10 Stiahnutie certifikátov Algo
11 Riešenie problémov
12 Dokumenty / zdroje
12.1 Referencie
13 Súvisiace príspevky

Úvod do TLS

TLS (Transport Layer Security) je kryptografický protokol, ktorý poskytuje autentifikáciu, súkromie a komplexné zabezpečenie údajov odosielaných medzi aplikáciami alebo zariadeniami cez internet. Ako sa hosťované telefónne platformy stali bežnejšími, potreba TLS na poskytovanie bezpečnej komunikácie cez verejný internet vzrástla. Zariadenia Algo, ktoré podporujú firmvér 1.6.4 alebo novší, podporujú Transport Layer Security (TLS) pre poskytovanie aj SIP signalizáciu.
Poznámka: nasledujúce koncové body nepodporujú TLS: 8180 IP Audio Alerter (G1), 8028 IP Doorphone (G1), 8128 IP Visual Alerter (G1), 8061 IP Relay Controller.

Šifrovanie vs overenie identity

Zatiaľ čo prevádzka TLS je vždy šifrovaná a chránená pred odpočúvaním alebo úpravou treťou stranou, ďalšiu úroveň zabezpečenia možno poskytnúť pomocou certifikátov na overenie identity druhej strany. To umožňuje serveru overiť identitu zariadenia IP Endpoint a naopak.
Na vykonanie kontroly totožnosti Certifikát file musia byť podpísané certifikačnou autoritou (CA). Druhé zariadenie potom skontroluje tento podpis pomocou verejného (dôveryhodného) certifikátu od tejto CA.

Certifikáty TLS

Koncové body Algo IP sú predinštalované so sadou verejných certifikátov od dôveryhodných certifikačných autorít tretích strán (CA), vrátane Comodo, Verisign, Symantec, DigiCert atď. Certifikačné autority poskytujú firmám podpísané certifikáty, aby mohli tieto firmy dokázať, že ich servery resp webstránky sú v skutočnosti tým, za koho sa vydávajú. Zariadenia Algo môžu potvrdiť, že komunikujú s autentickým serverom, overením podpísaných certifikátov servera voči verejným certifikátom od CA, ktorá ho podpísala. Je možné nahrať aj ďalšie verejné certifikáty, ktoré umožnia zariadeniu Algo dôverovať a overiť ďalšie servery, ktoré nemusia byť zahrnuté v predinštalovaných certifikátoch (napr.ample, certifikáty s vlastným podpisom).

Vzájomná autentifikácia

Vzájomná autentifikácia pridáva ďalšiu vrstvu zabezpečenia tým, že vyžaduje, aby server tiež overoval a dôveroval koncovému zariadeniu, okrem opačného smeru koncového bodu, ktorý overuje server. Toto sa realizuje pomocou jedinečného certifikátu zariadenia, ktorý je nainštalovaný na každom koncovom bode Algo SIP v čase výroby. Keďže IP adresa zariadenia Algo nie je pevná (určuje ju sieť zákazníka), spoločnosť Algo nemôže tieto informácie zverejniť vopred s dôveryhodnými CA a namiesto toho musia byť tieto Certifikáty zariadenia podpísané vlastnou CA Algo.
Aby server potom dôveroval zariadeniu Algo, správca systému bude musieť na svoj server nainštalovať reťazec verejných certifikátov Algo CA (napr.amptelefónny systém SIP alebo ich provízny server), aby tento server mohol overiť, že certifikát zariadenia na zariadení Algo je skutočne autentický.

Poznámka: Koncové body Algo IP vyrobené v roku 2019 (od firmvéru 1.7.1) alebo novšie majú certifikát zariadenia nainštalovaný z výroby.
Ak chcete overiť, či je certifikát nainštalovaný, prejdite na kartu Systém -> Informácie. Pozrite si certifikát výrobcu. Ak certifikát nie je nainštalovaný, pošlite e-mail support@algosolutions.com. Zabezpečenie transportnej vrstvy ALGO TLS – obrázok 1

Cipher Suites

Šifrovacie sady sú sady algoritmov používaných počas relácie TLS. Každá sada obsahuje algoritmy na autentifikáciu, šifrovanie a autentifikáciu správ. Zariadenia Algo podporujú mnoho bežne používaných šifrovacích algoritmov, ako je AES256 a algoritmy overovacieho kódu správ, ako je SHA-2.

Certifikáty zariadení Algo

Certifikáty zariadení podpísané koreňovou certifikačnou autoritou Algo sú z výroby nainštalované na zariadeniach Algo od roku 2019, počnúc firmvérom 1.7.1. Certifikát sa generuje pri výrobe zariadenia, pričom pole bežného názvu v certifikáte obsahuje MAC adresu každého zariadenia.
Certifikát zariadenia je platný 30 rokov a nachádza sa v samostatnom oddiele, takže nebude vymazaný ani po obnovení továrenského nastavenia koncového bodu Algo.
Zariadenia Algo tiež podporujú nahranie vlastného certifikátu zariadenia, ktorý sa použije namiesto certifikátu zariadenia nainštalovaného vo výrobe. Toto je možné nainštalovať odovzdaním PEM file obsahujúci certifikát zariadenia aj súkromný kľúč do adresára 'certs' (nie do adresára 'certs/trusted'!) v System -> File Karta Správca. Toto file treba nazvať 'dúšok klient.pem'.

Nahrávanie certifikátov verejnej CA do koncových bodov Algo SIP

Ak používate firmvér nižší ako 3.1.X, aktualizujte zariadenie.
Ak chcete nainštalovať certifikát na zariadení Algo s firmvérom v3.1 a vyšším, postupujte podľa nasledujúcich krokov:

  1. Získajte verejný certifikát od svojej certifikačnej autority (môže byť akceptovaný akýkoľvek platný certifikát formátu X.509). Pre súbor nie je potrebný žiadny špecifický formát filemeno.
  2. V web rozhranie zariadenia Algo, prejdite na Systém -> File Karta Správca.
  3. Nahrajte certifikát files do adresára 'certs/trusted'. Kliknite na tlačidlo Nahrať v ľavom hornom rohu file a prejdite na certifikát.

Web Možnosti rozhrania

Poskytovanie HTTPS
Poskytovanie je možné zabezpečiť nastavením „Metóda sťahovania“ na „HTTPS“ (na karte Rozšírené nastavenia > Poskytovanie). To zabraňuje konfigurácii filepred čítaním nežiaducou treťou stranou. To rieši potenciálne riziko odcudzenia citlivých údajov, ako sú heslá správcu a poverenia SIP. Zabezpečenie transportnej vrstvy ALGO TLS – obrázok 2

Ak chcete vykonať overenie identity na Provisioning Server, tiež nastavte „Validate Server Certificate“ na „Enabled“. Ak je certifikát provizórneho servera podpísaný jednou z bežných komerčných CA, zariadenie Algo by už malo mať verejný certifikát pre túto CA a malo by byť schopné vykonať overenie.
Nahrajte ďalšie certifikáty (certifikát X.64 s kódovaním Base509 file vo formáte .pem, .cer alebo .crt) tak, že prejdete na „Systém > File Manager“ do priečinka 'certs/trusted'.
POZNÁMKA: Parameter „Overiť certifikát servera“ možno povoliť aj prostredníctvom poskytovania: prov.download.cert = 1

HTTPS Web Protokol rozhrania
Postup nahrania verejného certifikátu pre HTTPS web prehliadanie je podobné tomu, čo je opísané v časti vyššie. Súbor httpd.pem file je certifikát zariadenia, ktorý vyžaduje prehliadač vášho počítača, keď prejdete na IP adresu zariadenia. Odovzdanie vlastnej vám môže umožniť zbaviť sa varovnej správy, ak pristúpite k WebUI pomocou HTTPS. Nie je to verejný certifikát CA. Certifikát je potrebné nahrať do „certifikátov“. Zabezpečenie transportnej vrstvy ALGO TLS – obrázok 3

SIP signalizácia (a RTP zvuk)

SIP signalizácia je zabezpečená nastavením 'SIP Transportation' na 'TLS' (pod záložkou Advanced Settings > Advanced SIP).

  • Zabezpečuje, že prevádzka SIP bude šifrovaná.
  • Signalizácia SIP je zodpovedná za nadviazanie hovoru (riadiace signály na začatie a ukončenie hovoru s druhou stranou), ale neobsahuje zvuk.
  • Pre zvukovú (hlasovú) cestu použite nastavenie „Ponuka SDP SRTP“.
  • Nastavenie na „Voliteľné“ znamená, že zvukové dáta RTP hovoru SIP budú šifrované (pomocou SRTP), ak druhá strana tiež podporuje šifrovanie zvuku.
  • Ak druhá strana nepodporuje SRTP, hovor bude stále pokračovať, ale s nezašifrovaným zvukom. Ak chcete, aby bolo šifrovanie zvuku povinné pre všetky hovory, nastavte „Ponuka SDP SRTP“ na „Štandardné“. V tomto prípade, ak druhá strana nepodporuje šifrovanie zvuku, pokus o volanie bude odmietnutý.
  • Ak chcete vykonať overenie identity na serveri SIP, tiež nastavte „Validate Server Certificate“ na „Enabled“.
  • Ak je certifikát SIP servera podpísaný jednou z bežných komerčných CA, zariadenie Algo by už malo mať verejný certifikát pre túto CA a malo by byť schopné vykonať overenie. Ak nie (naprample s certifikátmi s vlastným podpisom), potom je možné nahrať príslušný verejný certifikát do zariadenia Algo, ako je popísané vyššie v tomto dokumente.

Zabezpečenie transportnej vrstvy ALGO TLS – obrázok 4

TLS verzia 1.2
Zariadenia Algo s firmvérom v3.1 a vyšším podporujú TLS v1.1 a v1.2. „Vynútiť zabezpečené TLS
Voľba Version' sa môže použiť na vyžiadanie pripojení TLS na používanie TLSv1.2. Ak chcete povoliť túto funkciu:

  • Prejdite na Rozšírené nastavenia > Rozšírené SIP
  • Nastavte možnosť Vynútiť zabezpečenú verziu TLS ako povolenú a uložte.
    POZNÁMKA: Táto možnosť bola odstránená vo verzii 4.0+, pretože štandardne sa používa TLS v1.2

Stiahnutie certifikátov Algo

Nižšie je uvedený súbor odkazov na stiahnutie reťazca certifikátov Algo CA. The files je možné nainštalovať na SIP Server alebo Provisioning Server, aby tieto servery overili certifikáty zariadení na koncových bodoch Algo SIP a umožnili tak vzájomnú autentifikáciu:
Algo Root CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo Intermediate CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Verejný certifikát Algo: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

Riešenie problémov

Ak sa handshake TLS nedokončí, pošlite zachytenie paketov podpore Algo na analýzu. Ak to chcete urobiť, budete musieť zrkadliť prenos z portu, ku ktorému je koncový bod Algo pripojený na sieťovom prepínači, späť do počítača.

Algo Communication Products Ltd
4500 Beedie St Burnaby BC Kanada V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

Dokumenty / zdroje

Zabezpečenie transportnej vrstvy ALGO TLS [pdfPokyny
TLS, Transport Layer Security, Layer Security, TLS, Transport Layer

Referencie

Súvisiace príspevky

Zanechajte komentár

Vaša emailová adresa nebude zverejnená. Povinné polia sú označené *