Бяспека транспартнага ўзроўню TLS
Кіраўніцтва па эксплуатацыі

Забеспячэнне канчатковых кропак Algo IP:
TLS і ўзаемная аўтэнтыфікацыя

Патрэбна дапамога?
604-454-3792 or support@algosolutions.com 

Уводзіны ў TLS

TLS (Transport Layer Security) - гэта крыптаграфічны пратакол, які забяспечвае аўтэнтыфікацыю, прыватнасць і скразную бяспеку даных, якія перадаюцца паміж праграмамі або прыладамі праз Інтэрнэт. Па меры таго, як размешчаныя платформы тэлефаніі сталі больш распаўсюджанымі, узрасла патрэба ў TLS для забеспячэння бяспечнай сувязі праз публічны Інтэрнэт. Прылады Algo, якія падтрымліваюць прашыўку 1.6.4 або больш позняй версіі, падтрымліваюць бяспеку транспартнага ўзроўню (TLS) як для забеспячэння, так і для сігналізацыі SIP.
Заўвага: наступныя канчатковыя кропкі не падтрымліваюць TLS: 8180 IP Audio Alerter (G1), 8028 IP Doorphone (G1), 8128 IP Visual Alerter (G1), 8061 IP Relay Controller.

Шыфраванне супраць праверкі асобы

У той час як трафік TLS заўсёды зашыфраваны і абаронены ад старонняга праслухоўвання або мадыфікацыі, дадатковы ўзровень бяспекі можна забяспечыць з дапамогай сертыфікатаў для праверкі асобы іншага боку. Гэта дазваляе серверу правяраць ідэнтычнасць прылады IP Endpoint, і наадварот.
Для правядзення праверкі асобы Сертыфікат file павінна быць падпісана цэнтрам сертыфікацыі (CA). Затым іншая прылада правярае гэты подпіс, выкарыстоўваючы публічны (надзейны) сертыфікат ад гэтага ЦС.

Сертыфікаты TLS

Канчатковыя кропкі Algo IP пастаўляюцца з папярэдне ўсталяваным наборам агульнадаступных сертыфікатаў ад надзейных старонніх цэнтраў сертыфікацыі (CA), у тым ліку Comodo, Verisign, Symantec, DigiCert і г.д. Цэнтры сертыфікацыі прадастаўляюць падпісаныя сертыфікаты прадпрыемствам, каб яны маглі даказаць, іх серверы або webсайты насамрэч тыя, за каго сябе выдаюць. Прылады Algo могуць пацвердзіць, што яны ўзаемадзейнічаюць з сапраўдным серверам, параўноўваючы падпісаныя сертыфікаты сервера з агульнадаступнымі сертыфікатамі ЦС, які іх падпісаў. Таксама можна загрузіць дадатковыя агульнадаступныя сертыфікаты, каб дазволіць прыладзе Algo давяраць і правяраць дадатковыя серверы, якія могуць не быць уключаны ва ўсталяваныя сертыфікаты (напрыклад,ample, самазавераныя сертыфікаты).

Узаемная аўтэнтыфікацыя

Узаемная аўтэнтыфікацыя дадае яшчэ адзін узровень бяспекі, патрабуючы ад сервера таксама праверкі і даверу прылады канчатковай кропкі, у дадатак да процілеглага кірунку канчатковай кропкі, якая правярае сервер. Гэта рэалізавана з дапамогай унікальнага сертыфіката прылады, усталяванага на кожнай канчатковай кропцы Algo SIP падчас вытворчасці. Паколькі IP-адрас прылады Algo не з'яўляецца фіксаваным (ён вызначаецца сеткай кліента), Algo не можа загадзя апублікаваць гэтую інфармацыю ў давераных ЦС, і замест гэтага гэтыя сертыфікаты прылад павінны быць падпісаны ўласным ЦС Algo.
Каб сервер давяраў прыладзе Algo, сістэмнаму адміністратару трэба будзе ўсталяваць публічны ланцужок сертыфікатаў Algo CA на свой сервер (напрыклад,ampтэлефонная сістэма SIP або іх сервер забеспячэння), каб гэты сервер мог праверыць, ці сапраўдны сертыфікат прылады на прыладзе Algo.

Заўвага: Канчатковыя кропкі Algo IP, вырабленыя ў 2019 годзе (пачынаючы з прашыўкай 1.7.1) або больш позняй, маюць сертыфікат прылады, усталяваны з завода.
Каб праверыць, ці ўсталяваны сертыфікат, перайдзіце на ўкладку Сістэма -> Аб праграме. Глядзіце сертыфікат вытворцы. Калі сертыфікат не ўсталяваны, адпраўце ліст support@algosolutions.com.

Наборы шыфраў

Наборы шыфраў - гэта наборы алгарытмаў, якія выкарыстоўваюцца падчас сеансу TLS. Кожны набор уключае алгарытмы аўтэнтыфікацыі, шыфравання і аўтэнтыфікацыі паведамленняў. Прылады Algo падтрымліваюць многія часта выкарыстоўваюцца алгарытмы шыфравання, такія як AES256, і алгарытмы кода аўтэнтыфікацыі паведамленняў, такія як SHA-2.

Сертыфікаты прылад Algo

Сертыфікаты прылад, падпісаныя Algo Root CA, былі ўсталяваны на заводзе Algo з 2019 года, пачынаючы з прашыўкі 1.7.1. Сертыфікат ствараецца, калі прылада выраблена, з агульным полем імя ў сертыфікаце, які змяшчае MAC-адрас для кожнай прылады.
Сертыфікат прылады сапраўдны на працягу 30 гадоў і знаходзіцца ў асобным раздзеле, таму ён не будзе выдалены нават пасля скіду канечнай кропкі Algo да заводскіх налад.
Прылады Algo таксама падтрымліваюць загрузку ўласнага сертыфіката прылады для выкарыстання замест усталяванага на заводзе сертыфіката прылады. Гэта можна ўсталяваць, загрузіўшы PEM file які змяшчае як сертыфікат прылады, так і прыватны ключ у каталог 'certs' (не ў каталог 'certs/trusted'!) у сістэме -> File Укладка «Дыспетчар». гэта file трэба называць «глыток». client.pem'.

Загрузка публічных сертыфікатаў ЦС у канчатковыя кропкі Algo SIP

Калі вы карыстаецеся прашыўкай ніжэйшай за 3.1.X, абнавіце прыладу.
Каб усталяваць сертыфікат на прыладзе Algo з прашыўкай версіі 3.1 і вышэй, выканайце наступныя дзеянні:

1. Атрымайце публічны сертыфікат у вашым цэнтры сертыфікацыі (можа быць прыняты любы сапраўдны сертыфікат у фармаце X.509). Для fileімя.
2. У ст web інтэрфейс прылады Algo, перайдзіце да System -> File Ўкладка дыспетчар.
3. Загрузіць сертыфікат files у каталог 'certs/trusted'. Націсніце кнопку Загрузіць у левым верхнім куце file менеджэр і перайдзіце да сертыфіката.

Web Параметры інтэрфейсу

Падрыхтоўка HTTPS
Ініцыялізацыю можна забяспечыць, усталяваўшы для «Метаду спампоўкі» значэнне «HTTPS» (на ўкладцы «Дадатковыя налады > Падрыхтоўка»). Гэта прадухіляе канфігурацыю files ад прачытання непажаданым трэцім бокам. Гэта ліквідуе патэнцыйную рызыку крадзяжу канфідэнцыяльных даных, такіх як паролі адміністратара і ўліковыя даныя SIP.

Каб выканаць праверку асобы на серверы забеспячэння, таксама ўсталюйце для «Праверыць сертыфікат сервера» значэнне «Уключана». Калі сертыфікат сервера забеспячэння падпісаны адным з распаўсюджаных камерцыйных ЦС, то прылада Algo павінна ўжо мець публічны сертыфікат для гэтага ЦС і мець магчымасць выконваць праверку.
Загрузіце дадатковыя сертыфікаты (сертыфікат X.64 у кадзіроўцы Base509 file у фармаце .pem, .cer або .crt), перайшоўшы ў раздзел «Сістэма > File Менеджэр» у папку «certs/trusted».
ЗАЎВАГА. Параметр «Праверка сертыфіката сервера» таксама можа быць уключаны праз падрыхтоўку: prov.download.cert = 1

HTTPS Web Пратакол інтэрфейсу
Працэдура загрузкі публічнага сертыфіката для HTTPS web прагляд падобны да апісанага ў раздзеле вышэй. httpd.pem file - гэта сертыфікат прылады, які запытваецца браўзерам вашага кампутара, калі вы пераходзіце да IP прылады. Загрузка карыстальніцкага можа дазволіць вам пазбавіцца ад папярэджання, калі вы атрымліваеце доступ да WebКарыстацкі інтэрфейс з выкарыстаннем HTTPS. Гэта не публічны сертыфікат ЦС. Сертыфікат павінен быць загружаны ў «сертыфікаты».

Сігналізацыя SIP (і RTP Audio)

Сігналізацыя SIP забяспечваецца шляхам ўстаноўкі «Транспарт SIP» на «TLS» (на ўкладцы «Дадатковыя налады > Дадатковыя SIP»).

• Гэта гарантуе, што SIP-трафік будзе зашыфраваны.
• Сігналізацыя SIP адказвае за ўстанаўленне выкліку (сігналы кіравання для пачатку і завяршэння размовы з іншым бокам), але яна не ўтрымлівае гуку.
• Для аўдыя (галасавога) шляху выкарыстоўвайце параметр «Прапанова SDP SRTP».
• Вызначэнне "Неабавязкова" азначае, што аўдыядадзеныя RTP выкліку SIP будуць зашыфраваны (з выкарыстаннем SRTP), калі іншы бок таксама падтрымлівае шыфраванне гуку.
• Калі іншы бок не падтрымлівае SRTP, то выклік будзе працягвацца, але з незашыфраваным гукам. Каб зрабіць шыфраванне гуку абавязковым для ўсіх выклікаў, усталюйце для «Прапановы SDP SRTP» значэнне «Стандарт». У гэтым выпадку, калі іншы бок не падтрымлівае шыфраванне гуку, то спроба выкліку будзе адхілена.
• Каб выканаць праверку асобы на серверы SIP, таксама ўсталюйце для «Праверкі сертыфіката сервера» значэнне «Уключана».
• Калі сертыфікат сервера SIP падпісаны адным з распаўсюджаных камерцыйных ЦС, то прылада Algo павінна ўжо мець агульнадаступны сертыфікат для гэтага ЦС і мець магчымасць выконваць праверку. Калі не (напрыклад,ample з самазаверанымі сертыфікатамі), то адпаведны публічны сертыфікат можна загрузіць на прыладу Algo, як апісана раней у гэтым дакуменце.

TLS версія 1.2
Прылады Algo з прашыўкай v3.1 і вышэй падтрымліваюць TLS v1.1 і v1.2. «Прымусова ўключыць бяспечны TLS
Параметр Version' можа быць выкарыстаны для патрабавання злучэнняў TLS для выкарыстання TLSv1.2. Каб уключыць гэтую функцыю:

• Перайдзіце ў Дадатковыя налады > Дадатковыя SIP
• Уключыце «Прымусова бяспечную версію TLS» і захавайце.
  УВАГА: Гэты параметр быў выдалены ў версіі 4.0+, паколькі па змаўчанні выкарыстоўваецца TLS v1.2

Спампаваць сертыфікаты algo

Ніжэй прыведзены набор спасылак для загрузкі ланцужка сертыфікатаў Algo CA. The files можа быць усталяваны на сервер SIP або сервер забеспячэння для таго, каб гэтыя серверы правяралі сапраўднасць сертыфікатаў прылад на канчатковых кропках Algo SIP і, такім чынам, дазвалялі ўзаемную аўтэнтыфікацыю:
Algo Root CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo Intermediate CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Публічны сертыфікат Algo: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

Ліквідацыю непаладак

Калі рукапацісканне TLS не завершана, адпраўце захоп пакета ў службу падтрымкі Algo для аналізу. Каб зрабіць гэта, вам трэба будзе адлюстраваць трафік з порта, да якога падключана канчатковая кропка Algo на сеткавым камутатары, назад на камп'ютар.

Кампанія Algo Communication Products Ltd.
4500 Beedie St Burnaby BC Canada V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

Дакументы / Рэсурсы

Бяспека транспартнага ўзроўню ALGO TLS [pdfІнструкцыі TLS, Transport Layer Security, Layer Security, TLS, Transport Layer

Спасылкі

• Кіраўніцтва карыстальніка