TLS Nəqliyyat Layer Təhlükəsizliyi
Təlimat kitabçası

Algo IP Son Nöqtələrinin Təhlükəsizliyi:
TLS və Qarşılıqlı Doğrulama

Kömək lazımdır?
604-454-3792 or support@algosolutions.com 

TLS-ə giriş

TLS (Nəqliyyat Layeri Təhlükəsizliyi) İnternet üzərindən tətbiqlər və ya cihazlar arasında göndərilən məlumatların autentifikasiyasını, məxfiliyini və uçdan-uca təhlükəsizliyini təmin edən kriptoqrafik protokoldur. Yerləşdirilmiş telefon platformaları daha çox yayıldıqca, ictimai internet üzərindən təhlükəsiz rabitə təmin etmək üçün TLS-ə ehtiyac artdı. 1.6.4 və ya daha sonrakı proqram təminatını dəstəkləyən Algo cihazları həm Təminat, həm də SIP Siqnalları üçün Nəqliyyat Layeri Təhlükəsizliyi (TLS) dəstəkləyir.
Qeyd: aşağıdakı son nöqtələr TLS-ni dəstəkləmir: 8180 IP Audio Alerter (G1), 8028 IP Qapı Telefonu (G1), 8128 IP Visual Alerter (G1), 8061 IP Relay Controller.

Şifrələmə və Şəxsiyyət Doğrulaması

TLS trafiki həmişə şifrələnmiş və üçüncü tərəfin dinləmələri və ya dəyişdirilməsindən təhlükəsiz olsa da, digər tərəfin şəxsiyyətini yoxlamaq üçün Sertifikatlardan istifadə etməklə əlavə təhlükəsizlik səviyyəsi təmin edilə bilər. Bu, Serverə IP Endpoint cihazının şəxsiyyətini yoxlamağa və əksinə imkan verir.
Şəxsiyyət yoxlamasını həyata keçirmək üçün Sertifikat file Sertifikat Təşkilatı (CA) tərəfindən imzalanmalıdır. Digər cihaz daha sonra bu CA-nın İctimai (Etibarlı) Sertifikatından istifadə edərək bu imzanı yoxlayır.

TLS Sertifikatlar

Algo IP Endpoints Comodo, Verisign, Symantec, DigiCert və s. daxil olmaqla etibarlı üçüncü tərəf Sertifikat Orqanlarının (CA) ictimai sertifikatları ilə əvvəlcədən quraşdırılıb. onların serverləri və ya websaytlar əslində onların dedikləridir. Algo cihazları serverin imzalanmış sertifikatlarını onu imzalayan CA-nın ictimai sertifikatları ilə təsdiqləməklə onun orijinal serverlə əlaqə saxladığını təsdiqləyə bilər. Algo cihazına əvvəlcədən quraşdırılmış sertifikatlara daxil edilməyən əlavə serverlərə etibar etmək və yoxlamaq imkanı vermək üçün əlavə ictimai sertifikatlar da yüklənə bilər (məs.ample, özünü imzalayan sertifikatlar).

Qarşılıqlı Doğrulama

Qarşılıqlı Doğrulama, serveri təsdiqləyən son nöqtənin əks istiqamətinə əlavə olaraq, serverdən son nöqtə cihazını da təsdiq etməyi və etibar etməyi tələb etməklə əlavə bir təhlükəsizlik qatını əlavə edir. Bu, istehsal zamanı hər bir Algo SIP Endpoint-də quraşdırılmış unikal Cihaz Sertifikatından istifadə etməklə həyata keçirilir. Algo cihazının IP ünvanı sabit olmadığından (bu, müştərinin şəbəkəsi tərəfindən müəyyən edilir), Algo bu məlumatı etibarlı CA-lar ilə əvvəlcədən dərc edə bilməz və bunun əvəzinə bu Cihaz Sertifikatlar Algo-nun öz CA tərəfindən imzalanmalıdır.
Serverin Algo cihazına etibar etməsi üçün sistem administratoru ictimai Algo CA sertifikat zəncirini öz serverinə quraşdırmalıdır (məs.ample SIP Telefon Sistemi və ya onların təminat serveri) beləliklə, bu server Algo cihazındakı Cihaz Sertifikatının həqiqətən orijinal olduğunu yoxlaya bilsin.

Qeyd: 2019-cu ildə istehsal edilmiş Algo IP son nöqtələri (proshivka 1.7.1-dən başlayaraq) və ya daha sonra zavoddan quraşdırılmış cihaz sertifikatına malikdir.
Sertifikatın quraşdırıldığını yoxlamaq üçün Sistem -> Haqqında sekmesine keçin. İstehsalçı Sertifikatına baxın. Sertifikat quraşdırılmayıbsa, e-poçt göndərin support@algosolutions.com.

Cipher Suites

Şifrə dəstləri TLS sessiyası zamanı istifadə olunan alqoritmlər toplusudur. Hər bir paketə autentifikasiya, şifrələmə və mesajın autentifikasiyası üçün alqoritmlər daxildir. Algo cihazları AES256 kimi çox istifadə edilən şifrələmə alqoritmlərini və SHA-2 kimi mesaj identifikasiyası kodu alqoritmlərini dəstəkləyir.

Algo Cihaz Sertifikatları

Algo Root CA tərəfindən imzalanmış Cihaz Sertifikatlar 2019 mikroproqramından başlayaraq 1.7.1-cu ildən Algo cihazlarında zavodda quraşdırılmışdır. Sertifikat hər bir cihaz üçün MAC ünvanını ehtiva edən sertifikatda ümumi ad sahəsi ilə cihaz istehsal edildikdə yaradılır.
Cihaz sertifikatı 30 il etibarlıdır və ayrıca bölmədə yerləşir, ona görə də Algo son nöqtəsi zavod parametrlərinə sıfırlandıqdan sonra belə silinməyəcək.
Algo cihazları zavodda quraşdırılmış cihaz sertifikatı əvəzinə istifadə etmək üçün öz cihaz sertifikatınızı yükləməyi də dəstəkləyir. Bu, PEM yükləməklə quraşdırıla bilər file həm cihaz sertifikatını, həm də onun Sistemdəki "sertifikatlar" kataloquna ("sertifikatlar/etibarlı" kataloqa deyil!) şəxsi açarı ehtiva edir -> File Menecer nişanı. Bu file qurtum adlandırmaq lazımdır müştəri.pem'.

İctimai CA sertifikatlarının Algo SIP Endpoints-ə yüklənməsi

Əgər siz 3.1.X-dən aşağı proqram təminatından istifadə edirsinizsə, lütfən cihazı təkmilləşdirin.
Sertifikatı v3.1 və daha yuxarı proqram təminatı ilə işləyən Algo cihazına quraşdırmaq üçün aşağıdakı addımları yerinə yetirin:

1. Sertifikat Orqanınızdan ictimai sertifikat əldə edin (hər hansı etibarlı X.509 format sertifikatı qəbul edilə bilər). üçün xüsusi format tələb olunmur filead.
2. ildə web Algo cihazının interfeysi ilə Sistem ->-ə gedin File Menecer nişanı.
3. Sertifikatı yükləyin files 'sertifikatlar/etibarlı' kataloquna daxil edin. Yuxarı sol küncdəki Yüklə düyməsini klikləyin file meneceri seçin və sertifikata baxın.

Web İnterfeys Seçimləri

HTTPS Təminatı
Təminat 'Yükləmə Metodunu' 'HTTPS' olaraq təyin etməklə təmin edilə bilər (Qabaqcıl Parametrlər > Təminat nişanı altında). Bu konfiqurasiyanın qarşısını alır files arzuolunmaz üçüncü tərəf tərəfindən oxunur. Bu, admin parolları və SIP etimadnamələri kimi həssas məlumatların oğurlanması riskini aradan qaldırır.

Təminat Serverində identifikasiyanın yoxlanılmasını həyata keçirmək üçün həmçinin "Server Sertifikatı Təsdiqləyin" parametrini "Aktivdir" olaraq təyin edin. Təminat serverinin Sertifikatı ümumi kommersiya CA-larından biri tərəfindən imzalanıbsa, Algo cihazı artıq bu CA üçün ictimai sertifikata malik olmalıdır və yoxlamanı həyata keçirə bilməlidir.
Əlavə sertifikatları yükləyin (Base64 kodlu X.509 sertifikatı file .pem, .cer və ya .crt formatında) "Sistem >" bölməsinə keçərək File Menecer”i “sertifikatlar/etibarlı” qovluğuna köçürün.
QEYD: "Server Sertifikatı Təsdiqləyin" parametri də təminat vasitəsilə aktivləşdirilə bilər: prov.download.cert = 1

HTTPS Web İnterfeys Protokolu
HTTPS üçün ictimai sertifikatın yüklənməsi proseduru web Baxış yuxarıdakı bölmədə təsvir edilənə bənzəyir. httpd.pem file cihazın IP ünvanına keçdiyiniz zaman kompüterinizin brauzeri tərəfindən tələb olunan cihaz sertifikatıdır. Xüsusi birini yükləmək, daxil olsanız, xəbərdarlıq mesajından xilas ola bilərsiniz WebHTTPS istifadə edən UI. Bu ictimai CA sertifikatı deyil. Sertifikat 'sertifikatlara' yüklənməlidir.

SIP Signaling (və RTP Audio)

SIP siqnalizasiyası 'SIP Nəqliyyatı'nı 'TLS' olaraq təyin etməklə təmin edilir (Qabaqcıl Parametrlər > Qabaqcıl SIP nişanı altında).

• Bu, SIP trafikinin şifrələnəcəyini təmin edir.
• SIP siqnalizasiyası zəngin qurulmasına cavabdehdir (digər tərəflə zəngi başlamaq və bitirmək üçün idarəetmə siqnalları), lakin səsi ehtiva etmir.
• Audio (səs) yolu üçün "SDP SRTP Təklifi" parametrindən istifadə edin.
• Bunun "İstəyə bağlı" kimi qurulması o deməkdir ki, qarşı tərəf də audio şifrələməni dəstəkləyirsə, SIP zənginin RTP audio datası şifrələnəcək (SRTP istifadə etməklə).
• Əgər qarşı tərəf SRTP-ni dəstəkləmirsə, o zaman zəng hələ də davam edəcək, lakin şifrələnməmiş audio ilə. Bütün zənglər üçün audio şifrələməni məcburi etmək üçün "SDP SRTP Təklifi"ni "Standart" olaraq təyin edin. Bu halda, əgər qarşı tərəf audio şifrələməni dəstəkləmirsə, o zaman zəng cəhdi rədd ediləcək.
• SIP Serverdə identifikasiyanın yoxlanılmasını həyata keçirmək üçün "Server Sertifikatı Təsdiqlə"ni də "Aktiv" olaraq təyin edin.
• SIP serverinin Sertifikatı ümumi kommersiya CA-larından biri tərəfindən imzalanıbsa, Algo cihazı artıq bu CA üçün ictimai sertifikata malik olmalıdır və yoxlamanı həyata keçirə bilməlidir. Əgər yoxsa (məsample öz imzalı sertifikatlarla), sonra müvafiq ictimai sertifikat bu sənəddə əvvəllər təsvir edildiyi kimi Algo cihazına yüklənə bilər.

TLS Versiya 1.2
v3.1 və yuxarı proqram təminatı ilə işləyən Algo cihazları TLS v1.1 və v1.2-ni dəstəkləyir. 'Təhlükəsiz TLS-ni məcbur edin
Versiya' seçimi TLSv1.2-dən istifadə etmək üçün TLS bağlantılarını tələb etmək üçün istifadə edilə bilər. Bu funksiyanı aktivləşdirmək üçün:

• Qabaqcıl parametrlər > Qabaqcıl SIP-ə keçin
• 'Təhlükəsiz TLS Versiyasını məcbur edin' aktiv olaraq təyin edin və yadda saxlayın.
  QEYD: TLS v4.0 defolt olaraq istifadə edildiyi üçün bu seçim v1.2+ versiyasında silinib

Algo sertifikatlarını yükləyin

Aşağıda Algo CA sertifikat zəncirini yükləmək üçün bir sıra keçidlər var. The files SIP Server və ya Təminat Serverində quraşdırıla bilər ki, bu serverlər Algo SIP Endpoints-də Cihaz Sertifikatlarını autentifikasiya etsin və beləliklə, Qarşılıqlı Doğrulamaya icazə versin:
Algo Root CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo Intermediate CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Algo İctimai Sertifikatı: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

Problemlərin aradan qaldırılması

TLS-in əl sıxması tamamlanmırsa, analiz üçün Algo dəstəyinə paket çəkilişini göndərin. Bunu etmək üçün trafiki əks etdirməli olacaqsınız, Algo son nöqtəsinin şəbəkə keçidində qoşulduğu portdan yenidən kompüterə.

Algo Rabitə Məhsulları Ltd
4500 Beedie St Burnaby BC Kanada V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

Sənədlər / Resurslar

ALGO TLS Nəqliyyat Layer Təhlükəsizliyi [pdf] Təlimatlar TLS, Nəqliyyat Layeri Təhlükəsizliyi, Layer Təhlükəsizliyi, TLS, Nəqliyyat Layeri

İstinadlar

• İstifadəçi təlimatı