ALGO - emblemoTLS Transporta Tavolo Sekureco
Instrukcia Manlibro

Sekurigi Algo IP Finpunktojn:
TLS kaj Reciproka Aŭtentigo

Bezonas Helpon?
604-454-3792 or support@algosolutions.com 

Enhavo kaŝi
1 Enkonduko al TLS
2 Ĉifrado kontraŭ Identeca Kontrolo
3 TLS-Atestiloj
4 Reciproka Aŭtentigo
5 Ĉifro Suites
6 Atestiloj de Algo Aparato
7 Alŝuto de Publikaj CA-Atestiloj al Algo SIP Endpoints
8 Web Interfaco-Ebloj
9 SIP-Signalado (kaj RTP-Aŭdio)
10 Algo-Atestiloj Elŝutu
11 Solvado de problemoj
12 Dokumentoj/Rimedoj
12.1 Referencoj
13 Rilataj Afiŝoj

Enkonduko al TLS

TLS (Transport Layer Security) estas ĉifrika protokolo, kiu provizas aŭtentikigon, privatecon kaj fin-al-finan sekurecon de datumoj senditaj inter aplikaĵoj aŭ aparatoj per interreto. Ĉar gastigitaj telefonplatformoj fariĝis pli oftaj, la bezono de TLS disponigi sekuran komunikadon per la publika interreto pliiĝis. Algo-aparatoj kiuj subtenas firmvaro 1.6.4 aŭ pli postan subtenas Transport Layer Security (TLS) por kaj Provizado kaj SIP Signaling.
Notu: la sekvaj finpunktoj ne subtenas TLS: 8180 IP Audio Alerter (G1), 8028 IP Doorphone (G1), 8128 IP Visual Alerter (G1), 8061 IP Relay Controller.

Ĉifrado kontraŭ Identeca Kontrolo

Dum TLS-trafiko ĉiam estas ĉifrita kaj sekura de triaparta subaŭskultado aŭ modifo, plia tavolo de sekureco povas esti provizita uzante Atestojn por kontroli la identecon de la alia partio. Ĉi tio permesas al la Servilo kontroli la identecon de la IP Endpoint-aparato, kaj inverse.
Por fari la identeckontrolon, la Atestilon file devas esti subskribita de Atestila Aŭtoritato (CA). La alia aparato tiam kontrolas ĉi tiun subskribon, uzante la Publikan (Fidan) Atestilon de ĉi tiu CA.

TLS-Atestiloj

Algo IP Endpoints venas antaŭinstalitaj kun aro da publikaj atestiloj de fidindaj triapartaj Atestilinstancoj (CA), inkluzive de Comodo, Verisign, Symantec, DigiCert, ktp. La Atestiladminstracioj disponigas subskribitajn atestilojn al entreprenoj por permesi al ĉi tiuj entreprenoj pruvi tion. iliaj serviloj aŭ webretejoj estas fakte kiuj ili diras, ke ili estas. Algo-aparatoj povas konfirmi, ke ĝi komunikas kun aŭtentika servilo kontrolante la subskribitajn atestojn de la servilo kontraŭ la publikaj atestiloj de la CA kiu subskribis ĝin. Pliaj publikaj atestiloj ankaŭ povas esti alŝutitaj, por permesi al la Algo-aparato fidi kaj kontroli kromajn servilojn kiuj eble ne estas inkluditaj en la antaŭinstalitaj atestiloj (ekz.ample, memsubskribitaj atestiloj).

Reciproka Aŭtentigo

Reciproka Aŭtentigo aldonas unu kroman tavolon de sekureco postulante la servilon ankaŭ validigi kaj fidi la finpunktan aparaton, aldone al la kontraŭa direkto de la finpunkto konfirmanta la servilon. Ĉi tio estas efektivigita per unika Aparato-Atestilo, instalita sur ĉiu Algo SIP Endpoint en la momento de fabrikado. Ĉar la IP-adreso de Algo-aparato ne estas fiksita (ĝi estas determinita de la reto de la kliento), Algo ne povas publikigi ĉi tiujn informojn anticipe kun la fidindaj CA-oj, kaj anstataŭe, ĉi tiuj Aparataj Atestiloj devas esti subskribitaj de la propra CA de Algo.
Por ke la servilo tiam fidi la Algo-aparaton, la sistemadministranto devos instali la publikan Algo CA-atestilĉenon sur sia servilo (ekz.ample la SIP-Telefonan Sistemon aŭ ilian provizantan servilon) por ke ĉi tiu servilo povu kontroli, ke la Aparato-Atestilo sur la Algo-aparato estas fakte aŭtentika.

Notu: Algo IP-finpunktoj fabrikitaj en 2019 (komencante kun firmvaro 1.7.1) aŭ poste havas la aparatan atestilon instalitan el la fabriko.
Por kontroli ĉu la atestilo estas instalita, navigu al Sistemo -> Pri langeto. Vidu la Atestilon de Fabrikisto. Se la atestilo ne estas instalita, bonvolu retpoŝti support@algosolutions.com. ALGO TLS Transporta Tavolo Sekureco - Bildo 1

Ĉifro Suites

Ĉifraj serioj estas aroj de algoritmoj uzataj dum TLS-sesio. Ĉiu serio inkluzivas algoritmojn por aŭtentikigo, ĉifrado kaj mesaĝo-konfirmo. Algo-aparatoj subtenas multajn ofte uzatajn ĉifradalgoritmojn kiel ekzemple AES256 kaj mesaĝ-aŭtentikigkodalgoritmojn kiel ekzemple SHA-2.

Atestiloj de Algo Aparato

Aparataj Atestiloj subskribitaj de la Algo Root CA estas fabrike instalitaj sur Algo-aparatoj ekde 2019, komencante kun firmware 1.7.1. La atestilo estas generita kiam la aparato estas produktita, kun la komunnomo kampo en la atestilo enhavanta la MAC-adreson por ĉiu aparato.
La aparato-atestilo validas dum 30 jaroj kaj loĝas en aparta sekcio, do ĝi ne estos forigita eĉ post fabriko restarigo de la Algo-finpunkto.
Algo-aparatoj ankaŭ subtenas alŝuti vian propran aparatan atestilon por uzi anstataŭ la fabrik-instalita aparato-atestilo. Ĉi tio povas esti instalita alŝutante PEM file enhavanta kaj aparatan atestilon kaj privatan ŝlosilon ĝin al la dosierujo 'certs' (ne la dosierujo 'certs/trusted'!) en la Sistemo -> File Manaĝera langeto. Ĉi tio file necesas nomi 'sorb' kliento.pem'.

Alŝuto de Publikaj CA-Atestiloj al Algo SIP Endpoints

Se vi estas sur firmvaro pli malalta ol 3.1.X, bonvolu ĝisdatigi la aparaton.
Por instali la atestilon sur Algo-aparato, kiu funkcias firmvaro v3.1 kaj supre, sekvu la paŝojn sube:

  1. Akiru publikan atestilon de via Atestila Aŭtoritato (ĉiu ajn valida X.509-forma atestilo povas esti akceptita). Ne necesas specifa formato por la filenomo.
  2. En la web interfaco de la aparato Algo, navigu al la Sistemo -> File Manaĝera langeto.
  3. Alŝutu la atestilon files en la dosierujon 'certs/trusted'. Alklaku la butonon Alŝuti en la supra maldekstra angulo de la file administranto kaj foliumu al la atestilo.

Web Interfaco-Ebloj

HTTPS-Provizo
Provizado povas esti sekurigita per agordo de la 'Elŝuta Metodo' al 'HTTPS' (sub la Altnivelaj Agordoj > Provizanta langeto). Ĉi tio malhelpas agordon files de esti legita de nedezirata tria partio. Ĉi tio solvas la eblan riskon esti ŝtelita de sentemaj datumoj, kiel administraj pasvortoj kaj SIP-akreditaĵoj. ALGO TLS Transporta Tavolo Sekureco - Bildo 2

Por fari identeckonfirmon sur la Provizanta Servilo, ankaŭ agordu 'Validi Servilan Atestilon' al 'Enabled'. Se la Atestilo de la provizanta servilo estas subskribita de unu el la komunaj komercaj CAs, tiam la Algo-aparato jam devus havi la publikan atestilon por ĉi tiu CA kaj povi fari la konfirmon.
Alŝutu pliajn atestojn (Base64 kodita X.509-atestilo file en formato .pem, .cer aŭ .crt) navigante al "Sistemo > File Administranto” al la dosierujo 'certs/trusted'.
RIMARKO: La parametro 'Valigi Servila Atestilo' ankaŭ povas esti ebligita per provizado: prov.download.cert = 1

HTTPS Web Interfaca Protokolo
La proceduro por alŝuti publikan atestilon por HTTPS web foliumado similas al tio, kio estas priskribita en la supra sekcio. La httpd.pem file estas aparato-atestilo, kiun petas la retumilo de via komputilo kiam vi navigas al la IP de la aparato. Alŝuti kutimon eble lasos vin forigi la avertan mesaĝon se vi aliras la WebUI uzante HTTPS. Ĝi ne estas publika CA-atestilo. La atestilo devas esti alŝutita al la 'certoj'. ALGO TLS Transporta Tavolo Sekureco - Bildo 3

SIP-Signalado (kaj RTP-Aŭdio)

SIP-signalado estas sekurigita per opcio 'SIP Transportado' al 'TLS' (sub la Altnivelaj Agordoj > Altnivela SIP-langeto).

  • Ĝi certigas, ke la SIP-trafiko estos ĉifrita.
  • La SIP-signalado respondecas pri establado de la voko (la kontrolsignaloj por komenci kaj fini la vokon kun la alia partio), sed ĝi ne enhavas la aŭdion.
  • Por la aŭda (voĉa) vojo, uzu la agordon 'SDP SRTP-Oferto'.
  • Agordi ĉi tion al 'Laŭvola' signifas, ke la sondatumoj RTP de la SIP-voko estos ĉifritaj (uzante SRTP) se la alia partio ankaŭ subtenas aŭdan ĉifradon.
  • Se la alia partio ne subtenas SRTP, tiam la voko ankoraŭ daŭrigos, sed kun neĉifrita audio. Por fari aŭdan ĉifradon deviga por ĉiuj vokoj, agordu 'SDP SRTP-Oferton' al 'Norma'. En ĉi tiu kazo, se la alia partio ne subtenas aŭdan ĉifradon, tiam la vokoprovo estos malakceptita.
  • Por fari identeckonfirmon sur la SIP-Servilo, ankaŭ agordu 'Validi Servilan Atestilon' al 'Enabled'.
  • Se la Atestilo de la SIP-servilo estas subskribita de unu el la komunaj komercaj CAs, tiam la Algo-aparato jam devus havi la publikan atestilon por ĉi tiu CA kaj povi fari la konfirmon. Se ne (ekzample kun memsubskribitaj atestiloj), tiam la taŭga publika atestilo povas esti alŝutita al la Algo-aparato kiel priskribite pli frue en ĉi tiu dokumento.

ALGO TLS Transporta Tavolo Sekureco - Bildo 4

TLS-Versio 1.2
Algo-aparatoj funkciantaj firmware v3.1 kaj pli supre subtenas TLS v1.1 kaj v1.2. 'Forto Secure TLS
La opcio de Versio povas esti uzata por postuli TLS-konektojn uzi TLSv1.2. Por ebligi ĉi tiun funkcion:

  • Iru al Altnivelaj agordoj > Altnivela SIP
  • Agordu la 'Forti sekuran TLS-Version' kiel ebligitan kaj konservu.
    NOTO: Ĉi tiu opcio estis forigita en v4.0+ ĉar TLS v1.2 estas uzata defaŭlte

Algo-Atestiloj Elŝutu

Malsupre estas aro da ligiloj por elŝuti la ĉenon de atestilo de Algo CA. La files povas esti instalitaj sur la SIP-Servilo aŭ Provizo-Servilo por ke ĉi tiuj serviloj aŭtentikigu la Aparato-Atestojn sur Algo SIP-Finpunktoj, kaj tiel permesi Reciprokan Aŭtentigon:
Algo Root CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo Meza CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Algo Publika Atestilo: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

Solvado de problemoj

Se la manpremo de TLS ne finiĝas, bonvolu sendi pakaĵeton al la subteno de Algo por analizo. Por fari tion, vi devos speguli la trafikon, de la haveno al kiu la finpunkto de Algo estas konektita sur la retoŝaltilo, reen al komputilo.

Algo Communication Products Ltd.
4500 Beedie St Burnaby BC Kanado V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

Dokumentoj/Rimedoj

ALGO TLS Transporta Tavolo Sekureco [pdf] Instrukcioj
TLS, Transport Layer Security, Layer Security, TLS, Transport Layer

Referencoj

Rilataj Afiŝoj

Lasu komenton

Via retadreso ne estos publikigita. Bezonataj kampoj estas markitaj *