ALGO - λογότυποΑσφάλεια επιπέδου μεταφοράς TLS
Εγχειρίδιο οδηγιών

Ασφάλεια τερματικών σημείων Algo IP:
TLS και αμοιβαίος έλεγχος ταυτότητας

Χρειάζεστε βοήθεια;
604-454-3792 or support@algosolutions.com 

Περιεχόμενα κρύβω
1 Εισαγωγή στο TLS
2 Κρυπτογράφηση έναντι επαλήθευσης ταυτότητας
3 Πιστοποιητικά TLS
4 Αμοιβαίος έλεγχος ταυτότητας
5 Cipher Suites
6 Πιστοποιητικά συσκευής Algo
7 Μεταφόρτωση δημόσιων πιστοποιητικών CA στα τελικά σημεία Algo SIP
8 Web Επιλογές διεπαφής
9 Σηματοδότηση SIP (και ήχος RTP)
10 Λήψη πιστοποιητικών Algo
11 Αντιμετώπιση προβλημάτων
12 Έγγραφα / Πόροι
12.1 Αναφορές
13 Σχετικές αναρτήσεις

Εισαγωγή στο TLS

Το TLS (Transport Layer Security) είναι ένα κρυπτογραφικό πρωτόκολλο που παρέχει έλεγχο ταυτότητας, απόρρητο και ασφάλεια από άκρο σε άκρο των δεδομένων που αποστέλλονται μεταξύ εφαρμογών ή συσκευών μέσω του Διαδικτύου. Καθώς οι πλατφόρμες φιλοξενίας τηλεφωνίας έχουν γίνει πιο κοινές, η ανάγκη για το TLS να παρέχει ασφαλή επικοινωνία μέσω του δημόσιου Διαδικτύου έχει αυξηθεί. Οι συσκευές Algo που υποστηρίζουν υλικολογισμικό 1.6.4 ή μεταγενέστερο υποστηρίζουν την ασφάλεια επιπέδου μεταφοράς (TLS) τόσο για παροχή όσο και για σηματοδότηση SIP.
Σημείωμα: τα ακόλουθα τελικά σημεία δεν υποστηρίζουν TLS: 8180 IP Audio Alerter (G1), 8028 IP Doorphone (G1), 8128 IP Visual Alerter (G1), 8061 IP Relay Controller.

Κρυπτογράφηση έναντι επαλήθευσης ταυτότητας

Ενώ η κυκλοφορία TLS είναι πάντα κρυπτογραφημένη και ασφαλής από υποκλοπές τρίτων ή τροποποιήσεις, μπορεί να παρασχεθεί ένα πρόσθετο επίπεδο ασφάλειας χρησιμοποιώντας Πιστοποιητικά για την επαλήθευση της ταυτότητας του άλλου μέρους. Αυτό επιτρέπει στον διακομιστή να επαληθεύει την ταυτότητα της συσκευής τερματικού σημείου IP και αντίστροφα.
Για να πραγματοποιηθεί ο έλεγχος ταυτότητας, το Πιστοποιητικό file πρέπει να υπογράφεται από Αρχή Πιστοποιητικών (CA). Στη συνέχεια, η άλλη συσκευή ελέγχει αυτήν την υπογραφή, χρησιμοποιώντας το Δημόσιο (Αξιόπιστο) Πιστοποιητικό από αυτήν την ΑΠ.

Πιστοποιητικά TLS

Τα Algo IP Endpoints είναι προεγκατεστημένα με ένα σύνολο δημόσιων πιστοποιητικών από αξιόπιστες αρχές έκδοσης πιστοποιητικών τρίτων, συμπεριλαμβανομένων των Comodo, Verisign, Symantec, DigiCert κ.λπ. τους διακομιστές τους ή webοι ιστότοποι είναι στην πραγματικότητα αυτοί που λένε ότι είναι. Οι συσκευές Algo μπορούν να επιβεβαιώσουν ότι επικοινωνεί με έναν αυθεντικό διακομιστή επαληθεύοντας τα υπογεγραμμένα πιστοποιητικά του διακομιστή σε σχέση με τα δημόσια πιστοποιητικά από την αρχή αρχής που το υπέγραψε. Μπορούν επίσης να μεταφορτωθούν πρόσθετα δημόσια πιστοποιητικά, ώστε να επιτρέπεται στη συσκευή Algo να εμπιστεύεται και να επαληθεύει επιπλέον διακομιστές που ενδέχεται να μην περιλαμβάνονται στα προεγκατεστημένα πιστοποιητικά (π.χ.ample, αυτουπογεγραμμένα πιστοποιητικά).

Αμοιβαίος έλεγχος ταυτότητας

Ο αμοιβαίος έλεγχος ταυτότητας προσθέτει ένα επιπλέον επίπεδο ασφάλειας απαιτώντας από τον διακομιστή να επικυρώνει και να εμπιστεύεται επίσης τη συσκευή τελικού σημείου, εκτός από την αντίθετη κατεύθυνση από το τελικό σημείο που επικυρώνει τον διακομιστή. Αυτό υλοποιείται χρησιμοποιώντας ένα μοναδικό πιστοποιητικό συσκευής, εγκατεστημένο σε κάθε τελικό σημείο Algo SIP τη στιγμή της κατασκευής. Καθώς η διεύθυνση IP μιας συσκευής Algo δεν είναι σταθερή (καθορίζεται από το δίκτυο του πελάτη), η Algo δεν μπορεί να δημοσιεύσει αυτές τις πληροφορίες εκ των προτέρων με τις αξιόπιστες ΑΠ και, αντ' αυτού, αυτά τα Πιστοποιητικά Συσκευής πρέπει να υπογράφονται από την ΑΠ της ίδιας της Algo.
Για να μπορέσει ο διακομιστής στη συνέχεια να εμπιστευτεί τη συσκευή Algo, ο διαχειριστής του συστήματος θα πρέπει να εγκαταστήσει τη δημόσια αλυσίδα πιστοποιητικών Algo CA στον διακομιστή του (π.χ.ampαπό το τηλεφωνικό σύστημα SIP ή τον διακομιστή παροχής τους), ώστε αυτός ο διακομιστής να μπορεί να επαληθεύσει ότι το Πιστοποιητικό συσκευής στη συσκευή Algo είναι όντως αυθεντικό.

Σημείωμα: Τα τελικά σημεία IP της Algo που κατασκευάστηκαν το 2019 (ξεκινώντας με το υλικολογισμικό 1.7.1) ή μεταγενέστερα έχουν εγκατεστημένο το πιστοποιητικό συσκευής από το εργοστάσιο.
Για να επαληθεύσετε εάν το πιστοποιητικό είναι εγκατεστημένο, μεταβείτε στην καρτέλα Σύστημα -> Πληροφορίες. Δείτε το Πιστοποιητικό Κατασκευαστή. Εάν το πιστοποιητικό δεν είναι εγκατεστημένο, στείλτε email support@algosolutions.com. ALGO TLS Transport Layer Security - Εικόνα 1

Cipher Suites

Οι σουίτες κρυπτογράφησης είναι σύνολα αλγορίθμων που χρησιμοποιούνται κατά τη διάρκεια μιας συνεδρίας TLS. Κάθε σουίτα περιλαμβάνει αλγόριθμους για έλεγχο ταυτότητας, κρυπτογράφηση και έλεγχο ταυτότητας μηνυμάτων. Οι συσκευές Algo υποστηρίζουν πολλούς αλγόριθμους κρυπτογράφησης που χρησιμοποιούνται συνήθως, όπως ο AES256 και αλγόριθμους κωδικού ελέγχου ταυτότητας μηνυμάτων όπως ο SHA-2.

Πιστοποιητικά συσκευής Algo

Τα πιστοποιητικά συσκευών που υπογράφονται από την Algo Root CA έχουν εγκατασταθεί εργοστασιακά σε συσκευές Algo από το 2019, ξεκινώντας με το υλικολογισμικό 1.7.1. Το πιστοποιητικό δημιουργείται κατά την κατασκευή της συσκευής, με το πεδίο κοινού ονόματος στο πιστοποιητικό που περιέχει τη διεύθυνση MAC για κάθε συσκευή.
Το πιστοποιητικό συσκευής ισχύει για 30 χρόνια και βρίσκεται σε ξεχωριστό διαμέρισμα, επομένως δεν θα διαγραφεί ακόμη και μετά την εργοστασιακή επαναφορά του τερματικού σημείου Algo.
Οι συσκευές Algo υποστηρίζουν επίσης τη μεταφόρτωση του δικού σας πιστοποιητικού συσκευής για χρήση αντί για το εργοστασιακά εγκατεστημένο πιστοποιητικό συσκευής. Αυτό μπορεί να εγκατασταθεί ανεβάζοντας ένα PEM file που περιέχει και ένα πιστοποιητικό συσκευής και ένα ιδιωτικό κλειδί στον κατάλογο «certs» (όχι στον κατάλογο «certs/trusted»!) στο Σύστημα -> File Καρτέλα διαχειριστή. Αυτό file πρέπει να ονομάζεται «γουλιά». πελάτης.pem'.

Μεταφόρτωση δημόσιων πιστοποιητικών CA στα τελικά σημεία Algo SIP

Εάν χρησιμοποιείτε υλικολογισμικό χαμηλότερο από 3.1.X, αναβαθμίστε τη συσκευή.
Για να εγκαταστήσετε το πιστοποιητικό σε μια συσκευή Algo με υλικολογισμικό έκδοσης 3.1 και νεότερη έκδοση, ακολουθήστε τα παρακάτω βήματα:

  1. Λάβετε ένα δημόσιο πιστοποιητικό από την Αρχή έκδοσης πιστοποιητικών (μπορεί να γίνει δεκτό οποιοδήποτε έγκυρο πιστοποιητικό μορφής X.509). Δεν απαιτείται συγκεκριμένη μορφή για το fileόνομα.
  2. Στο web διεπαφή της συσκευής Algo, μεταβείτε στο Σύστημα -> File Καρτέλα διαχειριστή.
  3. Ανεβάστε το πιστοποιητικό files στον κατάλογο «certs/trusted». Κάντε κλικ στο κουμπί Μεταφόρτωση στην επάνω αριστερή γωνία του file διαχειριστή και περιηγηθείτε στο πιστοποιητικό.

Web Επιλογές διεπαφής

Παροχή HTTPS
Η παροχή μπορεί να διασφαλιστεί ορίζοντας τη «Μέθοδος λήψης» σε «HTTPS» (στην καρτέλα Προηγμένες ρυθμίσεις > Προμήθεια). Αυτό αποτρέπει τη διαμόρφωση files από την ανάγνωση από ανεπιθύμητο τρίτο μέρος. Αυτό επιλύει τον πιθανό κίνδυνο κλοπής ευαίσθητων δεδομένων, όπως κωδικούς πρόσβασης διαχειριστή και διαπιστευτήρια SIP. ALGO TLS Transport Layer Security - Εικόνα 2

Για να εκτελέσετε επαλήθευση ταυτότητας στον διακομιστή παροχής, ορίστε επίσης το "Επικύρωση πιστοποιητικού διακομιστή" σε "Ενεργοποιημένο". Εάν το Πιστοποιητικό του διακομιστή παροχής είναι υπογεγραμμένο από μία από τις κοινές εμπορικές ΑΠ, τότε η συσκευή Algo θα πρέπει να διαθέτει ήδη το δημόσιο πιστοποιητικό για αυτήν την ΑΠ και να μπορεί να εκτελέσει την επαλήθευση.
Μεταφορτώστε επιπλέον πιστοποιητικά (Πιστοποιητικό X.64 με κωδικοποίηση Base509 file σε μορφή .pem, .cer ή .crt) μεταβαίνοντας στο «Σύστημα > File Manager» στο φάκελο «certs/trusted».
ΣΗΜΕΙΩΣΗ: Η παράμετρος "Validate Server Certificate" μπορεί επίσης να ενεργοποιηθεί μέσω της παροχής: prov.download.cert = 1

HTTPS Web Πρωτόκολλο διεπαφής
Η διαδικασία για τη μεταφόρτωση ενός δημόσιου πιστοποιητικού για HTTPS web Η περιήγηση είναι παρόμοια με αυτή που περιγράφεται στην παραπάνω ενότητα. Το httpd.pem file είναι ένα πιστοποιητικό συσκευής που ζητείται από το πρόγραμμα περιήγησης του υπολογιστή σας όταν πλοηγείστε στην IP της συσκευής. Η μεταφόρτωση ενός προσαρμοσμένου μπορεί να σας επιτρέψει να απαλλαγείτε από το προειδοποιητικό μήνυμα εάν αποκτήσετε πρόσβαση στο WebΔιεπαφή χρήστη με χρήση HTTPS. Δεν είναι δημόσιο πιστοποιητικό CA. Το πιστοποιητικό πρέπει να μεταφορτωθεί στα 'πιστοποιητικά'. ALGO TLS Transport Layer Security - Εικόνα 3

Σηματοδότηση SIP (και ήχος RTP)

Η σηματοδότηση SIP διασφαλίζεται με τη ρύθμιση του «SIP Transportation» σε «TLS» (στην καρτέλα Advanced Settings > Advanced SIP).

  • Διασφαλίζει ότι η κίνηση SIP θα είναι κρυπτογραφημένη.
  • Η σηματοδότηση SIP είναι υπεύθυνη για την πραγματοποίηση της κλήσης (τα σήματα ελέγχου για την έναρξη και τον τερματισμό της κλήσης με το άλλο μέρος), αλλά δεν περιέχει τον ήχο.
  • Για τη διαδρομή ήχου (φωνητικής), χρησιμοποιήστε τη ρύθμιση «Προσφορά SDP SRTP».
  • Η ρύθμιση αυτού σε "Προαιρετικό" σημαίνει ότι τα δεδομένα ήχου RTP της κλήσης SIP θα κρυπτογραφηθούν (με χρήση SRTP) εάν το άλλο μέρος υποστηρίζει επίσης κρυπτογράφηση ήχου.
  • Εάν το άλλο μέρος δεν υποστηρίζει SRTP, τότε η κλήση θα συνεχίσει, αλλά με μη κρυπτογραφημένο ήχο. Για να κάνετε την κρυπτογράφηση ήχου υποχρεωτική για όλες τις κλήσεις, ορίστε την «Προσφορά SDP SRTP» σε «Τυπική». Σε αυτήν την περίπτωση, εάν το άλλο μέρος δεν υποστηρίζει κρυπτογράφηση ήχου, τότε η προσπάθεια κλήσης θα απορριφθεί.
  • Για να εκτελέσετε επαλήθευση ταυτότητας στον διακομιστή SIP, ορίστε επίσης το 'Validate Server Certificate' σε 'Enabled'.
  • Εάν το Πιστοποιητικό του διακομιστή SIP είναι υπογεγραμμένο από μία από τις κοινές εμπορικές ΑΠ, τότε η συσκευή Algo θα πρέπει να έχει ήδη το δημόσιο πιστοποιητικό για αυτήν την ΑΠ και να μπορεί να εκτελέσει την επαλήθευση. Αν όχι (π.χample με αυτο-υπογεγραμμένα πιστοποιητικά), τότε το κατάλληλο δημόσιο πιστοποιητικό μπορεί να μεταφορτωθεί στη συσκευή Algo όπως περιγράφεται νωρίτερα σε αυτό το έγγραφο.

ALGO TLS Transport Layer Security - Εικόνα 4

TLS Έκδοση 1.2
Οι συσκευές Algo που εκτελούν υλικολογισμικό έκδοσης 3.1 και άνω υποστηρίζουν TLS v1.1 και v1.2. «Force Secure TLS
Η επιλογή έκδοσης μπορεί να χρησιμοποιηθεί για την απαίτηση συνδέσεων TLS για χρήση του TLSv1.2. Για να ενεργοποιήσετε αυτήν τη δυνατότητα:

  • Μεταβείτε στις Ρυθμίσεις για προχωρημένους > Σύνθετο SIP
  • Ορίστε την «Επιβολή ασφαλούς έκδοσης TLS» ως ενεργοποιημένη και αποθηκεύστε.
    ΣΗΜΕΙΩΜΑ: Αυτή η επιλογή έχει αφαιρεθεί στην έκδοση 4.0+ καθώς το TLS v1.2 χρησιμοποιείται από προεπιλογή

Λήψη πιστοποιητικών Algo

Παρακάτω είναι ένα σύνολο συνδέσμων για λήψη της αλυσίδας πιστοποιητικών Algo CA. ο files μπορούν να εγκατασταθούν στον διακομιστή SIP ή στον διακομιστή παροχής προκειμένου αυτοί οι διακομιστές να ελέγχουν την ταυτότητα των πιστοποιητικών συσκευής στα τελικά σημεία Algo SIP και να επιτρέπουν έτσι τον Αμοιβαίο έλεγχο ταυτότητας:
Algo Root CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo Intermediate CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Δημόσιο Πιστοποιητικό Algo: ηttp://firmware.algosolutions.com/pub/certs/algo_ca.crt

Αντιμετώπιση προβλημάτων

Εάν η χειραψία TLS δεν ολοκληρώνεται, στείλτε μια λήψη πακέτου στην υποστήριξη Algo για ανάλυση. Για να το κάνετε αυτό, θα πρέπει να αντικατοπτρίσετε την κίνηση, από τη θύρα στην οποία είναι συνδεδεμένο το τελικό σημείο Algo στον διακόπτη δικτύου, πίσω σε έναν υπολογιστή.

Algo Communication Products Ltd
4500 Beedie St Burnaby BC Καναδάς V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

Έγγραφα / Πόροι

ALGO TLS Transport Layer Security [pdf] Οδηγίες
TLS, Transport Layer Security, Layer Security, TLS, Transport Layer

Αναφορές

Σχετικές αναρτήσεις

Αφήστε ένα σχόλιο

Η διεύθυνση email σας δεν θα δημοσιευτεί. Τα υποχρεωτικά πεδία επισημαίνονται *