Інструкції з безпеки транспортного рівня ALGO TLS

TLS (Transport Layer Security) — це криптографічний протокол, який забезпечує автентифікацію, конфіденційність і наскрізну безпеку даних, які передаються між програмами або пристроями через Інтернет. Оскільки розміщені платформи телефонії стали більш поширеними, потреба в TLS для забезпечення безпечного зв’язку через публічний Інтернет зросла. Пристрої Algo, які підтримують мікропрограму 1.6.4 або пізнішої версії, підтримують захист транспортного рівня (TLS) як для забезпечення, так і для сигналізації SIP.
Примітка: такі кінцеві точки не підтримують TLS: 8180 IP Audio Alerter (G1), 8028 IP Doorphone (G1), 8128 IP Visual Alerter (G1), 8061 IP Relay Controller.

Шифрування проти підтвердження особи

Хоча трафік TLS завжди зашифрований і захищений від стороннього підслуховування або модифікації, додатковий рівень безпеки можна забезпечити за допомогою сертифікатів для перевірки особи іншої сторони. Це дозволяє серверу перевірити ідентичність пристрою кінцевої точки IP і навпаки.
Для проведення перевірки особи Сертифікат file має бути підписаний центром сертифікації (CA). Потім інший пристрій перевіряє цей підпис, використовуючи загальнодоступний (надійний) сертифікат від цього ЦС.

Сертифікати TLS

Кінцеві точки Algo IP попередньо встановлені з набором загальнодоступних сертифікатів від довірених сторонніх центрів сертифікації (CA), зокрема Comodo, Verisign, Symantec, DigiCert тощо. Центри сертифікації надають підприємствам підписані сертифікати, щоб вони могли підтвердити, що їхні сервери або webсайти насправді ті, за кого себе видають. Пристрої Algo можуть підтвердити, що вони зв’язуються з автентичним сервером, перевіряючи підписані сертифікати сервера на загальнодоступні сертифікати ЦС, який його підписав. Також можна завантажувати додаткові загальнодоступні сертифікати, щоб дозволити пристрою Algo довіряти та перевіряти додаткові сервери, які можуть не входити до попередньо встановлених сертифікатів (наприклад,ample, самопідписані сертифікати).

Взаємна автентифікація

Взаємна автентифікація додає додатковий рівень безпеки, вимагаючи від сервера також перевірки та довіри пристрою кінцевої точки, на додаток до протилежного напрямку кінцевої точки, яка перевіряє сервер. Це реалізовано за допомогою унікального сертифіката пристрою, встановленого на кожній кінцевій точці Algo SIP під час виробництва. Оскільки IP-адреса пристрою Algo не є фіксованою (вона визначається мережею клієнта), Algo не може заздалегідь опублікувати цю інформацію в довірених ЦС, натомість ці сертифікати пристрою мають бути підписані власним ЦС Algo.
Щоб сервер міг довіряти пристрою Algo, системному адміністратору потрібно буде встановити загальнодоступний ланцюжок сертифікатів ЦС Algo на свій сервер (напр.ampтелефонна система SIP або їхній сервер ініціалізації), щоб цей сервер міг перевірити автентичність сертифіката пристрою на пристрої Algo.

Примітка: Кінцеві точки Algo IP, виготовлені в 2019 році (починаючи з мікропрограми 1.7.1) або пізніших, мають сертифікат пристрою, встановлений із заводу.
Щоб перевірити, чи встановлено сертифікат, перейдіть на вкладку Система -> Про програму. Дивіться сертифікат виробника. Якщо сертифікат не встановлено, надішліть електронний лист support@algosolutions.com.

Cipher Suites

Набори шифрів — це набори алгоритмів, які використовуються під час сеансу TLS. Кожен пакет містить алгоритми автентифікації, шифрування та автентифікації повідомлень. Пристрої Algo підтримують багато широко використовуваних алгоритмів шифрування, таких як AES256, і алгоритмів коду автентифікації повідомлень, таких як SHA-2.

Сертифікати пристроїв Algo

Сертифікати пристрою, підписані Algo Root CA, були встановлені на пристроях Algo на заводі з 2019 року, починаючи з мікропрограми 1.7.1. Сертифікат створюється під час виготовлення пристрою, при цьому поле загальної назви в сертифікаті містить MAC-адресу для кожного пристрою.
Сертифікат пристрою дійсний протягом 30 років і зберігається в окремому розділі, тому його не буде стерто навіть після відновлення заводських налаштувань кінцевої точки Algo.
Пристрої Algo також підтримують завантаження власного сертифіката пристрою для використання замість заводського сертифіката пристрою. Це можна встановити, завантаживши PEM file містить як сертифікат пристрою, так і приватний ключ до каталогу "certs" (а не до каталогу "certs/trusted"!) у System -> File Вкладка менеджера. Це file потрібно називати "sip". client.pem'.

Завантаження публічних сертифікатів ЦС до кінцевих точок Algo SIP

Якщо у вас версія мікропрограми нижче 3.1.X, оновіть пристрій.
Щоб інсталювати сертифікат на пристрій Algo з мікропрограмою версії 3.1 і вище, виконайте наведені нижче дії.

Отримайте загальнодоступний сертифікат від свого центру сертифікації (може прийняти будь-який дійсний сертифікат формату X.509). Немає спеціального формату, необхідного для fileназва.
в web інтерфейс пристрою Algo, перейдіть до System -> File Вкладка «Менеджер».

Завантажте сертифікат files у каталог 'certs/trusted'. Натисніть кнопку «Завантажити» у верхньому лівому куті file менеджера та знайдіть сертифікат.

Web Параметри інтерфейсу

Надання HTTPS
Ініціалізацію можна захистити, встановивши для «Методу завантаження» значення «HTTPS» (на вкладці «Додаткові параметри» > «Ініціалізація»). Це запобігає конфігурації files від прочитання небажаною третьою стороною. Це усуває потенційний ризик викрадення конфіденційних даних, таких як паролі адміністратора та облікові дані SIP.

Щоб виконати перевірку ідентичності на сервері надання, також установіть для параметра «Перевірити сертифікат сервера» значення «Увімкнено». Якщо сертифікат сервера забезпечення підписаний одним із поширених комерційних центрів сертифікації, тоді пристрій Algo повинен уже мати загальнодоступний сертифікат для цього ЦС і мати можливість виконувати перевірку.
Завантажте додаткові сертифікати (сертифікат X.64 у кодуванні Base509 file у форматі .pem, .cer або .crt), перейшовши до «Система > File Manager» у папку «certs/trusted».
ПРИМІТКА. Параметр «Перевірити сертифікат сервера» також можна ввімкнути за допомогою підготовки: prov.download.cert = 1

HTTPS Web Протокол інтерфейсу
Процедура завантаження публічного сертифіката для HTTPS web перегляд подібний до того, що описано в розділі вище. Файл httpd.pem file це сертифікат пристрою, який запитує браузер вашого комп’ютера, коли ви переходите до IP-адреси пристрою. Завантаження спеціального може дозволити вам позбутися попередження, якщо ви отримаєте доступ до WebІнтерфейс користувача з використанням HTTPS. Це не загальнодоступний сертифікат ЦС. Сертифікат потрібно завантажити в «сертифікати».

Сигналізація SIP (і RTP Audio)

Сигналізація SIP захищена встановленням для «SIP Transportation» значення «TLS» (на вкладці «Додаткові налаштування» > «Додаткові SIP»).

Це гарантує, що трафік SIP буде зашифрований.

Сигналізація SIP відповідає за встановлення виклику (сигнали керування для початку та завершення розмови з іншою стороною), але вона не містить аудіо.
Для звукового (голосового) шляху використовуйте параметр «Пропозиція SDP SRTP».

Якщо встановити значення «Необов’язково», це означає, що аудіодані RTP виклику SIP буде зашифровано (за допомогою SRTP), якщо інша сторона також підтримує шифрування аудіо.
Якщо інша сторона не підтримує SRTP, виклик все одно триватиме, але з незашифрованим звуком. Щоб зробити шифрування звуку обов’язковим для всіх дзвінків, установіть для параметра «Пропозиція SDP SRTP» значення «Стандарт». У цьому випадку, якщо інша сторона не підтримує шифрування звуку, спроба виклику буде відхилена.

Щоб виконати перевірку ідентичності на сервері SIP, також установіть для параметра «Перевірити сертифікат сервера» значення «Увімкнено».
Якщо сертифікат SIP-сервера підписаний одним із поширених комерційних центрів сертифікації, тоді пристрій Algo повинен уже мати загальнодоступний сертифікат для цього ЦС і мати можливість виконувати перевірку. Якщо ні (наприклад,ampфайл із самопідписаними сертифікатами), тоді відповідний публічний сертифікат можна завантажити на пристрій Algo, як описано раніше в цьому документі.

TLS версії 1.2
Пристрої Algo з мікропрограмою версії 3.1 і вище підтримують TLS версії 1.1 і версії 1.2. «Примусово захищати TLS
Параметр «Версія» можна використовувати, щоб вимагати підключення TLS для використання TLSv1.2. Щоб увімкнути цю функцію:

Перейдіть до Додаткові налаштування > Додаткові SIP
Увімкніть «Примусово безпечну версію TLS» і збережіть.
ПРИМІТКА: Цей параметр було видалено у версії 4.0+, оскільки за замовчуванням використовується TLS v1.2

Завантажити сертифікати Algo

Нижче наведено набір посилань для завантаження ланцюжка сертифікатів Algo CA. The files можна встановити на SIP-сервері або Provisioning Server, щоб ці сервери автентифікували сертифікати пристрою на кінцевих точках Algo SIP і, таким чином, дозволяли взаємну автентифікацію:
Algo Root CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo Intermediate CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Algo Public Certificate: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

Усунення несправностей

Якщо рукостискання TLS не завершується, надішліть захоплений пакет до служби підтримки Algo для аналізу. Для цього вам доведеться віддзеркалити трафік із порту, до якого підключено кінцеву точку Algo на комутаторі мережі, назад на комп’ютер.

Algo Communication Products Ltd
4500 Beedie St Burnaby BC Canada V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

Документи / Ресурси

Безпека транспортного рівня ALGO TLS [pdfІнструкції
TLS, Transport Layer Security, Layer Security, TLS, Transport Layer

Список літератури

Посібник користувача

Введення в TLS