Diogelwch Haen Trafnidiaeth TLS
Llawlyfr Cyfarwyddiadau

Sicrhau Mannau Terfyn Algo IP:
TLS a Chydddilysu

Angen Cymorth?
604-454-3792 or cefnogaeth@algosolutions.com 

Cyflwyniad i TLS

Mae TLS (Transport Layer Security) yn brotocol cryptograffig sy'n darparu dilysiad, preifatrwydd, a diogelwch o'r dechrau i'r diwedd o ddata a anfonir rhwng cymwysiadau neu ddyfeisiau dros y Rhyngrwyd. Wrth i lwyfannau teleffoni lletyol ddod yn fwy cyffredin, mae'r angen i TLS ddarparu cyfathrebu diogel dros y rhyngrwyd cyhoeddus wedi cynyddu. Mae dyfeisiau Algo sy'n cefnogi firmware 1.6.4 neu ddiweddarach yn cefnogi Diogelwch Haenau Trafnidiaeth (TLS) ar gyfer Signalu Darpariaeth a SIP.
Nodyn: nid yw'r pwyntiau terfyn canlynol yn cefnogi TLS: 8180 IP Audio Alerter (G1), 8028 IP Doorphone (G1), 8128 IP Visual Alerter (G1), 8061 IP Relay Controller.

Amgryptio yn erbyn Gwirio Hunaniaeth

Er bod traffig TLS bob amser wedi'i amgryptio ac yn ddiogel rhag clustfeinio neu addasu trydydd parti, gellir darparu haen ychwanegol o ddiogelwch trwy ddefnyddio Tystysgrifau i wirio hunaniaeth y parti arall. Mae hyn yn caniatáu i'r Gweinyddwr wirio hunaniaeth y ddyfais IP Endpoint, ac i'r gwrthwyneb.
I gyflawni'r gwiriad hunaniaeth, y Dystysgrif file rhaid iddo gael ei lofnodi gan Awdurdod Tystysgrif (CA). Yna mae'r ddyfais arall yn gwirio'r llofnod hwn, gan ddefnyddio'r Dystysgrif Gyhoeddus (Ymddiriedir) o'r CA hwn.

Tystysgrifau TLS

Mae Algo IP Endpoints yn cael eu gosod ymlaen llaw gyda set o dystysgrifau cyhoeddus gan Awdurdodau Tystysgrif trydydd parti (CAs), gan gynnwys Comodo, Verisign, Symantec, DigiCert, ac ati. Mae'r Awdurdodau Tystysgrif yn darparu tystysgrifau wedi'u llofnodi i fusnesau i ganiatáu i'r busnesau hyn brofi hynny eu gweinyddion neu websafleoedd mewn gwirionedd yw pwy maen nhw'n dweud ydyn nhw. Gall dyfeisiau Algo gadarnhau ei fod yn cyfathrebu â gweinydd dilys trwy wirio tystysgrifau llofnodedig y gweinydd yn erbyn y tystysgrifau cyhoeddus gan y CA a'i llofnododd. Gellir uwchlwytho tystysgrifau cyhoeddus ychwanegol hefyd, i ganiatáu i'r ddyfais Algo ymddiried a gwirio gweinyddion ychwanegol nad ydynt efallai wedi'u cynnwys yn y tystysgrifau a osodwyd ymlaen llaw (ar gyfer example, tystysgrifau hunan-lofnodedig).

Cyd-ddilysiad

Mae Dilysu Cydfuddiannol yn ychwanegu un haen ychwanegol o ddiogelwch trwy ei gwneud yn ofynnol i'r gweinydd hefyd ddilysu ac ymddiried yn y ddyfais pwynt terfyn, yn ogystal â chyfeiriad arall y diweddbwynt sy'n dilysu'r gweinydd. Gweithredir hyn gan ddefnyddio Tystysgrif Dyfais unigryw, wedi'i gosod ar bob Endpoint Algo SIP ar adeg cynhyrchu. Gan nad yw cyfeiriad IP dyfais Algo yn sefydlog (mae'n cael ei bennu gan rwydwaith y cwsmer), ni all Algo gyhoeddi'r wybodaeth hon ymlaen llaw gyda'r CAs dibynadwy, ac yn lle hynny, rhaid i'r Tystysgrifau Dyfais hyn gael eu llofnodi gan CA Algo ei hun.
Er mwyn i'r gweinydd ymddiried yn y ddyfais Algo wedyn, bydd angen i weinyddwr y system osod cadwyn tystysgrif Algo CA cyhoeddus ar eu gweinydd (ar gyfer cynampgyda'r System Ffôn SIP neu eu gweinydd darparu) fel y gall y gweinydd hwn wirio bod y Dystysgrif Dyfais ar y ddyfais Algo yn ddilys mewn gwirionedd.

Nodyn: Mae pwyntiau terfyn Algo IP a weithgynhyrchwyd yn 2019 (gan ddechrau gyda firmware 1.7.1) neu'n ddiweddarach wedi gosod tystysgrif y ddyfais o'r ffatri.
I wirio a yw'r dystysgrif wedi'i gosod, llywiwch i System -> Amdanom tab. Gweler Tystysgrif y Gwneuthurwr. Os nad yw'r dystysgrif wedi'i gosod, anfonwch e-bost cefnogaeth@algosolutions.com.

Ystafelloedd Cipher

Setiau o algorithmau a ddefnyddir yn ystod sesiwn TLS yw cyfresi cipher. Mae pob cyfres yn cynnwys algorithmau ar gyfer dilysu, amgryptio, a dilysu negeseuon. Mae dyfeisiau Algo yn cefnogi llawer o algorithmau amgryptio a ddefnyddir yn gyffredin fel AES256 ac algorithmau cod dilysu negeseuon fel SHA-2.

Tystysgrifau Dyfais Algo

Mae Tystysgrifau Dyfais a lofnodwyd gan yr Algo Root CA wedi'u gosod mewn ffatri ar ddyfeisiau Algo ers 2019, gan ddechrau gyda firmware 1.7.1. Cynhyrchir y dystysgrif pan fydd y ddyfais yn cael ei chynhyrchu, gyda'r maes enw cyffredin yn y dystysgrif yn cynnwys y cyfeiriad MAC ar gyfer pob dyfais.
Mae tystysgrif y ddyfais yn ddilys am 30 mlynedd ac mae'n byw mewn rhaniad ar wahân, felly ni fydd yn cael ei dileu hyd yn oed ar ôl i'r ffatri ailosod pwynt terfyn Algo.
Mae dyfeisiau Algo hefyd yn cefnogi uwchlwytho'ch tystysgrif dyfais eich hun i'w defnyddio yn lle'r dystysgrif dyfais a osodwyd yn y ffatri. Gellir gosod hwn trwy uwchlwytho PEM file yn cynnwys tystysgrif dyfais ac allwedd breifat i'r cyfeiriadur 'certs' (nid y cyfeiriadur 'certs/trusted'!) yn y System -> File tab rheolwr. hwn file angen ei alw'n 'sipian cleient.pem'.

Lanlwytho Tystysgrifau CA Cyhoeddus i Algo SIP Endpoints

Os ydych chi ar firmware sy'n is na 3.1.X, uwchraddiwch y ddyfais.
I osod y dystysgrif ar ddyfais Algo sy'n rhedeg firmware v3.1 ac uwch, dilynwch y camau isod:

1. Sicrhewch dystysgrif gyhoeddus gan eich Awdurdod Tystysgrif (gellir derbyn unrhyw dystysgrif fformat X.509 ddilys). Nid oes angen fformat penodol ar gyfer y fileenw.
2. Yn y web rhyngwyneb y ddyfais Algo, llywiwch i'r System -> File tab rheolwr.
3. Llwythwch y dystysgrif i fyny files i'r cyfeiriadur 'certs/trusted'. Cliciwch ar y botwm Llwytho i Fyny yng nghornel chwith uchaf y file rheolwr a phori i'r dystysgrif.

Web Opsiynau Rhyngwyneb

Darpariaeth HTTPS
Gellir sicrhau darpariaeth trwy osod y 'Dull Lawrlwytho' i 'HTTPS' (o dan y tab Gosodiadau Uwch > Darpariaeth). Mae hyn yn atal cyfluniad files rhag cael ei ddarllen gan drydydd parti digroeso. Mae hyn yn datrys y risg bosibl o ddwyn data sensitif, megis cyfrineiriau gweinyddol a manylion SIP.

I wneud gwiriad hunaniaeth ar y Gweinydd Darparu, gosodwch 'Dilysu Tystysgrif Gweinyddwr' i 'Galluogi' hefyd. Os yw Tystysgrif y gweinydd darparu wedi'i llofnodi gan un o'r CA masnachol cyffredin, yna dylai fod gan y ddyfais Algo dystysgrif gyhoeddus ar gyfer y CA hwn eisoes a dylai allu cyflawni'r dilysiad.
Llwythwch i fyny tystysgrifau ychwanegol (tystysgrif X.64 wedi'i hamgodio Base509 file mewn fformat .pem, .cer, neu .crt) trwy lywio i “System> File Rheolwr" i'r ffolder 'tystysgrifau/ymddiried'.
SYLWCH: Gellir galluogi'r paramedr 'Tystysgrif Gweinyddwr Dilysu' hefyd trwy ddarparu: prov.download.cert = 1

HTTPS Web Protocol Rhyngwyneb
Y weithdrefn i uwchlwytho tystysgrif gyhoeddus ar gyfer HTTPS web mae pori yn debyg i'r hyn a ddisgrifir yn yr adran uchod. Yr httpd.pem file yn dystysgrif dyfais y mae porwr eich cyfrifiadur yn gofyn amdani pan fyddwch yn llywio i IP y ddyfais. Efallai y bydd uwchlwytho un wedi'i deilwra yn gadael i chi gael gwared ar y neges rhybuddio os ydych chi'n cyrchu'r WebUI gan ddefnyddio HTTPS. Nid yw'n dystysgrif CA gyhoeddus. Rhaid lanlwytho'r dystysgrif i'r 'tystysgrifau'.

Signalau SIP (a Sain RTP)

Sicrheir signalau SIP trwy osod 'SIP Transportation' i 'TLS' (o dan y tab Gosodiadau Uwch> SIP Uwch).

• Mae'n sicrhau y bydd y traffig SIP yn cael ei amgryptio.
• Mae'r signalau SIP yn gyfrifol am sefydlu'r alwad (y signalau rheoli i ddechrau a gorffen yr alwad gyda'r parti arall), ond nid yw'n cynnwys y sain.
• Ar gyfer y llwybr sain (llais), defnyddiwch y gosodiad 'Cynnig SRTP SDP'.
• Mae gosod hwn i 'Dewisol' yn golygu y bydd data sain RTP galwad SIP yn cael ei amgryptio (gan ddefnyddio SRTP) os yw'r parti arall hefyd yn cefnogi amgryptio sain.
• Os nad yw'r parti arall yn cefnogi SRTP, yna bydd yr alwad yn parhau, ond gyda sain heb ei amgryptio. I wneud amgryptio sain yn orfodol ar gyfer pob galwad, gosodwch 'Cynnig SRTP SDP' i 'Safonol'. Yn yr achos hwn, os nad yw'r parti arall yn cefnogi amgryptio sain, yna bydd yr ymgais alwad yn cael ei wrthod.
• I berfformio dilysiad hunaniaeth ar y Gweinydd SIP, gosodwch 'Dilysu Gweinyddwr Tystysgrif' i 'Galluogi' hefyd.
• Os yw Tystysgrif y gweinydd SIP wedi'i llofnodi gan un o'r CA masnachol cyffredin, yna dylai fod gan y ddyfais Algo dystysgrif gyhoeddus ar gyfer y CA hwn eisoes a dylai allu cyflawni'r dilysiad. Os na (ar gyfer exampgyda thystysgrifau hunan-lofnodedig), yna gellir lanlwytho'r dystysgrif gyhoeddus briodol i'r ddyfais Algo fel y disgrifiwyd yn gynharach yn y ddogfen hon.

TLS Fersiwn 1.2
Mae dyfeisiau Algo sy'n rhedeg firmware v3.1 ac uwch yn cefnogi TLS v1.1 a v1.2. 'Grymu TLS Diogel
Gellir defnyddio'r opsiwn fersiwn i ofyn am gysylltiadau TLS i ddefnyddio TLSv1.2. Er mwyn galluogi'r nodwedd hon:

• Ewch i Gosodiadau Uwch> SIP Uwch
• Gosodwch y 'Force secure TLS Version' fel y'i galluogir a'i gadw.
  NODYN: Mae'r opsiwn hwn wedi'i ddileu yn v4.0+ gan fod TLS v1.2 yn cael ei ddefnyddio yn ddiofyn

Lawrlwytho Tystysgrifau Algo

Isod mae set o ddolenni i lawrlwytho cadwyn tystysgrif Algo CA. Mae'r files gellir ei osod ar y Gweinydd SIP neu'r Gweinyddwr Darpariaeth er mwyn i'r gweinyddwyr hyn ddilysu'r Tystysgrifau Dyfais ar Algo SIP Endpoints, a thrwy hynny ganiatáu Dilysu Cydfuddiannol:
Algo Root CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
CA Algo Canolradd: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Tystysgrif Gyhoeddus Algo: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

Datrys problemau

Os nad yw'r ysgwyd llaw TLS yn cael ei gwblhau, anfonwch gipiad pecyn i Algo Support i'w ddadansoddi. I wneud hynny bydd yn rhaid i chi adlewyrchu'r traffig, o'r porthladd y mae pwynt terfyn Algo wedi'i gysylltu ag ef ar y switsh rhwydwaith, yn ôl i gyfrifiadur.

Cynhyrchion Cyfathrebu Algo Cyf
4500 Beedie St Burnaby BC Canada V5J 5L2
www.algosolutions.com
604-454-3792
cefnogaeth@algosolutions.com

Dogfennau / Adnoddau

Diogelwch Haen Cludiant ALGO TLS [pdfCyfarwyddiadau TLS, Diogelwch Haen Trafnidiaeth, Diogelwch Haen, TLS, Haen Trafnidiaeth

Cyfeiriadau

• Llawlyfr Defnyddiwr