أمان طبقة النقل TLS
دليل التعليمات

تأمين نقاط نهاية Algo IP:
TLS والمصادقة المتبادلة

هل تحتاج إلى مساعدة؟
604-454-3792 or support@algosolutions.com 

مقدمة إلى TLS

TLS (أمان طبقة النقل) هو بروتوكول تشفير يوفر المصادقة والخصوصية والأمان الشامل للبيانات المرسلة بين التطبيقات أو الأجهزة عبر الإنترنت. نظرًا لأن منصات الاتصالات الهاتفية المستضافة أصبحت أكثر شيوعًا ، فقد زادت الحاجة إلى TLS لتوفير اتصال آمن عبر الإنترنت العام. تدعم أجهزة Algo التي تدعم البرامج الثابتة 1.6.4 أو الأحدث أمان طبقة النقل (TLS) لكل من التزويد وإشارة SIP.
ملحوظة: لا تدعم نقاط النهاية التالية TLS: 8180 IP Audio Alerter (G1) ، 8028 IP Doorphone (G1) ، 8128 IP Visual Alerter (G1) ، 8061 IP Relay Controller.

التشفير مقابل التحقق من الهوية

بينما تكون حركة مرور TLS دائمًا مشفرة وآمنة من التنصت أو التعديل من طرف ثالث ، يمكن توفير طبقة إضافية من الأمان باستخدام الشهادات للتحقق من هوية الطرف الآخر. يتيح ذلك للخادم التحقق من هوية جهاز نقطة نهاية IP والعكس صحيح.
لإجراء التحقق من الهوية ، الشهادة file يجب أن يتم توقيعه من قبل المرجع المصدق (CA). ثم يتحقق الجهاز الآخر من هذا التوقيع باستخدام الشهادة العامة (الموثوقة) من هذا المرجع المصدق.

شهادات TLS

تأتي Algo IP Endpoints مثبتة مسبقًا مع مجموعة من الشهادات العامة من جهات خارجية موثوق بها (CAs) ، بما في ذلك Comodo و Verisign و Symantec و DigiCert وما إلى ذلك. توفر المراجع المصدقة شهادات موقعة للشركات للسماح لهذه الشركات بإثبات ذلك خوادمهم أو webالمواقع هي في الواقع من يقولون إنها. يمكن لأجهزة Algo تأكيد اتصالها بخادم أصيل من خلال التحقق من الشهادات الموقعة للخادم مقابل الشهادات العامة من المرجع المصدق الذي وقع عليه. يمكن أيضًا تحميل شهادات عامة إضافية ، للسماح لجهاز Algo بالثقة والتحقق من الخوادم الإضافية التي قد لا تكون مضمنة في الشهادات المثبتة مسبقًا (على سبيل المثالample ، الشهادات الموقعة ذاتيًا).

المصادقة المتبادلة

تضيف المصادقة المتبادلة طبقة إضافية واحدة من الأمان من خلال مطالبة الخادم أيضًا بالتحقق من صحة جهاز نقطة النهاية والثقة فيه ، بالإضافة إلى الاتجاه المعاكس لنقطة النهاية التي تتحقق من صحة الخادم. يتم تنفيذ ذلك باستخدام شهادة جهاز فريدة مثبتة على كل نقطة نهاية Algo SIP في وقت التصنيع. نظرًا لأن عنوان IP لجهاز Algo غير ثابت (يتم تحديده بواسطة شبكة العميل) ، لا يمكن لـ Algo نشر هذه المعلومات مقدمًا مع المراجع المصدقة الموثوقة ، وبدلاً من ذلك ، يجب توقيع شهادات الجهاز هذه بواسطة CA الخاص بـ Algo.
لكي يثق الخادم بجهاز Algo ، سيحتاج مسؤول النظام إلى تثبيت سلسلة شهادات Algo CA العامة على الخادم (على سبيل المثالample نظام هاتف SIP أو خادم التزويد الخاص به) حتى يتمكن هذا الخادم من التحقق من أن شهادة الجهاز الموجودة على جهاز Algo هي في الواقع أصلية.

ملحوظة: تم تصنيع نقاط نهاية Algo IP في عام 2019 (بدءًا من البرنامج الثابت 1.7.1) أو بعد ذلك ، قم بتثبيت شهادة الجهاز من المصنع.
للتحقق مما إذا تم تثبيت الشهادة ، انتقل إلى النظام -> حول علامة التبويب. انظر شهادة الشركة المصنعة. إذا لم يتم تثبيت الشهادة ، يرجى إرسال بريد إلكتروني support@algosolutions.com.

أجنحة التشفير

مجموعات التشفير هي مجموعات من الخوارزميات المستخدمة أثناء جلسة TLS. تتضمن كل مجموعة خوارزميات للمصادقة والتشفير ومصادقة الرسائل. تدعم أجهزة Algo العديد من خوارزميات التشفير الشائعة الاستخدام مثل AES256 وخوارزميات كود مصادقة الرسائل مثل SHA-2.

شهادات جهاز Algo

تم تثبيت شهادات الأجهزة الموقعة من Algo Root CA في المصنع على أجهزة Algo منذ عام 2019 ، بدءًا من البرنامج الثابت 1.7.1. يتم إنشاء الشهادة عند تصنيع الجهاز ، مع حقل الاسم الشائع في الشهادة الذي يحتوي على عنوان MAC لكل جهاز.
شهادة الجهاز صالحة لمدة 30 عامًا وتوجد في قسم منفصل ، لذلك لن يتم مسحها حتى بعد إعادة ضبط المصنع لنقطة نهاية Algo.
تدعم أجهزة Algo أيضًا تحميل شهادة جهازك لاستخدامها بدلاً من شهادة الجهاز المثبتة في المصنع. يمكن تثبيت هذا عن طريق تحميل PEM file تحتوي على كل من شهادة الجهاز والمفتاح الخاص في دليل "الشهادات" (وليس دليل "الشهادات / الموثوقة"!) في النظام -> File علامة تبويب المدير. هذه file يحتاج إلى أن يطلق عليه 'sip العميل.pem".

تحميل شهادات CA العامة إلى Algo SIP Endpoints

إذا كنت تستخدم برنامجًا ثابتًا أقل من 3.1.X ، فيرجى ترقية الجهاز.
لتثبيت الشهادة على جهاز Algo يعمل بالبرنامج الثابت v3.1 والإصدارات الأحدث ، اتبع الخطوات التالية:

1. احصل على شهادة عامة من المرجع المصدق (يمكن قبول أي شهادة بتنسيق X.509 صالحة). لا يوجد تنسيق محدد مطلوب لملف fileاسم.
2. في web واجهة جهاز Algo ، انتقل إلى النظام -> File علامة تبويب المدير.
3. تحميل الشهادة files في دليل "الشهادات / الموثوق بها". انقر فوق الزر "تحميل" في الزاوية اليسرى العلوية من ملف file مدير وتصفح إلى الشهادة.

Web خيارات الواجهة

توفير HTTPS
يمكن تأمين التوفير من خلال تعيين "طريقة التنزيل" على "HTTPS" (ضمن الإعدادات المتقدمة> علامة التبويب "التزويد"). هذا يمنع التكوين fileق من قراءتها من قبل طرف ثالث غير مرغوب فيه. هذا يحل المخاطر المحتملة لسرقة بيانات حساسة ، مثل كلمات مرور المسؤول وبيانات اعتماد SIP.

لإجراء التحقق من الهوية على خادم التزويد ، قم أيضًا بتعيين "التحقق من صحة شهادة الخادم" على "ممكّن". إذا تم توقيع شهادة خادم التزويد بواسطة أحد المراجع المصدقة التجارية الشائعة ، فيجب أن يكون لدى جهاز Algo بالفعل الشهادة العامة لهذا المرجع المصدق وأن يكون قادرًا على إجراء التحقق.
تحميل شهادات إضافية (شهادة X.64 بتشفير Base509 file بتنسيق .pem أو .cer أو .crt) من خلال الانتقال إلى "النظام> File مدير "إلى مجلد" الشهادات / الموثوقة ".
ملاحظة: يمكن أيضًا تمكين معلمة التحقق من صحة شهادة الخادم من خلال التوفير: Prov.download.cert = 1

HTTPS Web بروتوكول الواجهة
إجراء تحميل شهادة عامة لـ HTTPS web التصفح مشابه لما هو موضح في القسم أعلاه. ملف httpd.pem file هي شهادة الجهاز التي يطلبها متصفح جهاز الكمبيوتر الخاص بك عند الانتقال إلى عنوان IP الخاص بالجهاز. قد يتيح لك تحميل ملف مخصص التخلص من رسالة التحذير إذا قمت بالوصول إلى ملف Webواجهة المستخدم باستخدام HTTPS. إنها ليست شهادة CA عامة. يجب تحميل الشهادة إلى "الشهادات".

تشوير SIP (وصوت RTP)

يتم تأمين إشارات SIP عن طريق تعيين "نقل SIP" إلى "TLS" (ضمن الإعدادات المتقدمة> علامة التبويب SIP المتقدمة).

• يضمن أنه سيتم تشفير حركة مرور SIP.
• إشارة SIP هي المسؤولة عن إجراء المكالمة (إشارات التحكم لبدء وإنهاء المكالمة مع الطرف الآخر) ، لكنها لا تحتوي على الصوت.
• بالنسبة لمسار الصوت (الصوت) ، استخدم الإعداد "عرض SDP SRTP".
• تعيين هذا على "اختياري" يعني أنه سيتم تشفير بيانات RTP الصوتية الخاصة بمكالمة SIP (باستخدام SRTP) إذا كان الطرف الآخر يدعم أيضًا تشفير الصوت.
• إذا كان الطرف الآخر لا يدعم SRTP ، فستستمر المكالمة ، ولكن بصوت غير مشفر. لجعل تشفير الصوت إلزاميًا لجميع المكالمات ، اضبط "عرض SDP SRTP" على "قياسي". في هذه الحالة ، إذا كان الطرف الآخر لا يدعم تشفير الصوت ، فسيتم رفض محاولة الاتصال.
• لإجراء التحقق من الهوية على خادم SIP ، قم أيضًا بتعيين "التحقق من صحة شهادة الخادم" على "ممكّن".
• إذا تم توقيع شهادة خادم SIP بواسطة أحد المراجع المصدقة التجارية الشائعة ، فيجب أن يكون لدى جهاز Algo بالفعل الشهادة العامة لهذا المرجع المصدق وأن يكون قادرًا على إجراء التحقق. إن لم يكن (على سبيل المثالample بشهادات موقعة ذاتيًا) ، ثم يمكن تحميل الشهادة العامة المناسبة على جهاز Algo كما هو موضح سابقًا في هذا المستند.

إصدار TLS 1.2
تدعم أجهزة Algo التي تعمل بالبرنامج الثابت v3.1 والإصدارات الأحدث TLS v1.1 و v1.2. "فرض TLS الآمنة
يمكن استخدام خيار Version 'لطلب اتصالات TLS لاستخدام TLSv1.2. لتمكين هذه الميزة:

• انتقل إلى الإعدادات المتقدمة> SIP المتقدم
• اضبط "فرض إصدار TLS الآمن" على أنه ممكن وحفظه.
  ملحوظة: تمت إزالة هذا الخيار في الإصدار 4.0 + منذ استخدام TLS v1.2 افتراضيًا

تنزيل شهادات Algo

فيما يلي مجموعة من الروابط لتنزيل سلسلة شهادات Algo CA. ال fileيمكن تثبيت s على خادم SIP أو خادم الدعم من أجل مصادقة هذه الخوادم على شهادات الجهاز على نقاط نهاية Algo SIP ، وبالتالي السماح بالمصادقة المتبادلة:
خوارزمية الجذر CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
خوارزمية CA المتوسطة: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
شهادة Algo العامة: حttp: //firmware.algosolutions.com/pub/certs/algo_ca.crt

استكشاف الأخطاء وإصلاحها

إذا لم تكتمل مصافحة TLS ، فيرجى إرسال التقاط حزمة إلى دعم Algo لتحليلها. للقيام بذلك ، سيتعين عليك عكس حركة المرور ، من المنفذ الذي تتصل به نقطة نهاية Algo على مفتاح الشبكة ، والعودة إلى الكمبيوتر.

ألغو لمنتجات الاتصالات المحدودة
4500 Beedie St Burnaby BC كندا V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

المستندات / الموارد

أمان طبقة النقل ALGO TLS [بي دي اف] تعليمات TLS ، أمان طبقة النقل ، أمان الطبقة ، TLS ، طبقة النقل

مراجع

• دليل المستخدم