ALGO - logoTLS transpordikihi turvalisus
Kasutusjuhend

Algo IP lõpp-punktide turvamine:
TLS ja vastastikune autentimine

Kas vajate abi?
604-454-3792 or support@algosolutions.com 

Sisu peita
1 Sissejuhatus TLS-i
2 Krüpteerimine vs identiteedi kinnitamine
3 TLS sertifikaadid
4 Vastastikune autentimine
5 Cipher Suites
6 Algo seadme sertifikaadid
7 Avalike CA-sertifikaatide üleslaadimine Algo SIP-i lõpp-punktidesse
8 Web Liidese valikud
9 SIP signaalimine (ja RTP heli)
10 Algo sertifikaatide allalaadimine
11 Veaotsing
12 Dokumendid / Ressursid
12.1 Viited
13 Seotud postitused

Sissejuhatus TLS-i

TLS (Transport Layer Security) on krüptograafiline protokoll, mis tagab Interneti kaudu rakenduste või seadmete vahel saadetavate andmete autentimise, privaatsuse ja täieliku turvalisuse. Kuna hostitud telefoniplatvormid on muutunud levinumaks, on suurenenud vajadus TLS-i järele turvalise suhtluse tagamiseks avaliku Interneti kaudu. Algo seadmed, mis toetavad püsivara 1.6.4 või uuemat versiooni, toetavad transpordikihi turvalisust (TLS) nii pakkumise kui ka SIP-signalisatsiooni jaoks.
Märkus. järgmised lõpp-punktid ei toeta TLS-i: 8180 IP-helihäire (G1), 8028 IP-uksetelefon (G1), 8128 IP visuaalne hoiatus (G1), 8061 IP-releekontroller.

Krüpteerimine vs identiteedi kinnitamine

Kuigi TLS-liiklus on alati krüptitud ja kaitstud kolmandate osapoolte pealtkuulamise või muutmise eest, saab teise osapoole identiteedi kontrollimiseks sertifikaate kasutades pakkuda täiendavat turvakihti. See võimaldab serveril kontrollida IP lõpp-punkti seadme identiteeti ja vastupidi.
Identiteedikontrolli teostamiseks Sertifikaat file peab olema allkirjastatud sertifitseerimisasutuse (CA) poolt. Seejärel kontrollib teine ​​seade seda allkirja, kasutades selle CA avalikku (usaldusväärset) sertifikaati.

TLS sertifikaadid

Algo IP lõpp-punktid on eelinstallitud koos avaliku sertifikaadiga usaldusväärsetelt kolmandate osapoolte sertifitseerimisasutustelt (CA), sealhulgas Comodo, Verisign, Symantec, DigiCert jne. Sertifikaadiasutused pakuvad ettevõtetele allkirjastatud sertifikaate, mis võimaldavad neil ettevõtetel tõestada, et nende serverid või websaidid on tegelikult need, kes nad end olevat. Algo seadmed saavad kinnitada, et see suhtleb autentse serveriga, kontrollides serveri allkirjastatud sertifikaate selle allkirjastanud CA avalike sertifikaatidega. Samuti saab üles laadida täiendavaid avalikke sertifikaate, et Algo seade saaks usaldada ja kontrollida täiendavaid servereid, mis ei pruugi olla eelinstallitud sertifikaatides (ntample, ise allkirjastatud sertifikaadid).

Vastastikune autentimine

Vastastikune autentimine lisab ühe täiendava turvakihi, nõudes, et server lisaks serveri valideerimise lõpp-punktile vastupidises suunas ka lõpp-punkti seadet valideeriks ja usaldaks. Seda rakendatakse ainulaadse seadmesertifikaadi abil, mis on tootmise ajal igale Algo SIP lõpp-punktile installitud. Kuna Algo seadme IP-aadress ei ole fikseeritud (selle määrab kliendi võrk), ei saa Algo seda teavet eelnevalt usaldusväärsete CA-dega avaldada ning selle asemel peavad need Seadme sertifikaadid olema allkirjastatud Algo enda CA poolt.
Et server Algo seadet usaldaks, peab süsteemiadministraator installima oma serverisse avaliku Algo CA sertifikaadiahela (ntampSIP-telefonisüsteemi või nende pakkumisserverit), et see server saaks kontrollida, kas Algo seadme seadme sertifikaat on tõepoolest autentne.

Märkus. Algo 2019. aastal toodetud IP lõpp-punktidele (alates püsivara 1.7.1) või uuemast on seadme sertifikaat tehases installitud.
Sertifikaadi installimise kontrollimiseks liikuge vahekaardile Süsteem -> Teave. Vaadake tootja sertifikaati. Kui sertifikaati pole installitud, saatke e-kiri support@algosolutions.com. ALGO TLS transpordikihi turvalisus – joonis 1

Cipher Suites

Šifreerimiskomplektid on TLS-i seansi ajal kasutatavad algoritmide komplektid. Iga komplekt sisaldab autentimise, krüptimise ja sõnumi autentimise algoritme. Algo seadmed toetavad paljusid sagedamini kasutatavaid krüpteerimisalgoritme, nagu AES256, ja sõnumi autentimiskoodi algoritme, nagu SHA-2.

Algo seadme sertifikaadid

Algo Root CA allkirjastatud seadmesertifikaadid on Algo seadmetele tehases installitud alates 2019. aastast alates püsivara versioonist 1.7.1. Sertifikaat genereeritakse seadme valmistamisel, kusjuures sertifikaadi üldnimeväli sisaldab iga seadme MAC-aadressi.
Seadme sertifikaat kehtib 30 aastat ja asub eraldi sektsioonis, nii et seda ei kustutata isegi pärast Algo lõpp-punkti tehaseseadetele lähtestamist.
Algo seadmed toetavad ka oma seadme sertifikaadi üleslaadimist, mida kasutada tehases installitud seadme sertifikaadi asemel. Selle saab installida PEM-i üleslaadimisega file mis sisaldab nii seadme sertifikaati kui ka privaatvõtit, see kataloogi 'certs' (mitte 'certs/trusted' kataloogi!) süsteemis -> File Vahekaart Haldur. See file tuleb nimetada sip klient.pem'.

Avalike CA-sertifikaatide üleslaadimine Algo SIP-i lõpp-punktidesse

Kui kasutate püsivara, mis on madalam kui 3.1.X, uuendage seadet.
Serdi installimiseks Algo seadmesse, kus töötab püsivara v3.1 ja uuem, järgige alltoodud samme.

  1. Hankige oma sertifitseerimisasutuselt avalik sertifikaat (aksepteerida võib mis tahes kehtivat X.509 formaadi sertifikaati). Selle jaoks pole konkreetset vormingut vaja filenimi.
  2. Aastal web Algo seadme liides, navigeerige Süsteemi -> File Vahekaart Haldur.
  3. Laadige sertifikaat üles files kataloogi "Certs/trusted". Klõpsake lehe vasakus ülanurgas oleval nupul Laadi üles file haldur ja sirvige sertifikaati.

Web Liidese valikud

HTTPS-i pakkumine
Ettevalmistust saab kaitsta, määrates 'Allalaadimismeetodi' väärtuseks 'HTTPS' (vahekaardil Täpsemad sätted > Ettevalmistamine). See takistab seadistamist files et seda ei loeks soovimatu kolmas osapool. See lahendab potentsiaalse riski, et varastatakse tundlikke andmeid, nagu administraatori paroolid ja SIP-mandaadid. ALGO TLS transpordikihi turvalisus – joonis 2

Ettevalmistusserveris identiteedi kontrollimiseks määrake ka suvandi „Kinnita serveri sertifikaat” väärtuseks „Lubatud”. Kui varustamisserveri sertifikaadile on alla kirjutanud üks levinud kaubanduslikest CA-dest, peaks Algo seadmel juba selle CA avalik sertifikaat olema ja see peaks olema võimeline kontrolli teostama.
Laadige üles täiendavad sertifikaadid (Base64 kodeeritud X.509 sertifikaat file .pem-, .cer- või .crt-vormingus), navigeerides jaotisse „Süsteem > File haldur” kausta „Certs/trusted”.
MÄRKUS. Parameetri „Kinnita serveri sertifikaat” saab lubada ka ettevalmistamise kaudu: prov.download.cert = 1

HTTPS Web Liideseprotokoll
HTTPS-i avaliku sertifikaadi üleslaadimise protseduur web sirvimine sarnaneb ülaltoodud jaotises kirjeldatule. httpd.pem file on seadme sertifikaat, mida küsib teie arvuti brauser, kui navigeerite seadme IP-le. Kohandatud üleslaadimine võib aidata teil hoiatusteatest vabaneda, kui avate WebHTTPS-i kasutav kasutajaliides. See ei ole avalik CA sertifikaat. Sertifikaat tuleb üles laadida sertide hulka. ALGO TLS transpordikihi turvalisus – joonis 3

SIP signaalimine (ja RTP heli)

SIP-signalisatsioon on kaitstud, kui määrate suvandi "SIP Transport" väärtuseks "TLS" (vahekaardil Täpsemad sätted > Täpsemad SIP).

  • See tagab, et SIP-liiklus krüpteeritakse.
  • SIP-signalisatsioon vastutab kõne loomise eest (juhtsignaalid kõne alustamiseks ja lõpetamiseks teise poolega), kuid see ei sisalda heli.
  • Heli (hääle) tee jaoks kasutage sätet „SDP SRTP pakkumine”.
  • Selle määramine valikule tähendab, et SIP-kõne RTP-heliandmed krüpteeritakse (SRTP-d kasutades), kui teine ​​osapool toetab ka heli krüptimist.
  • Kui teine ​​pool SRTP-d ei toeta, jätkub kõne siiski, kuid krüptimata heliga. Heli krüpteerimise kohustuslikuks muutmiseks kõigi kõnede jaoks määrake „SDP SRTP pakkumine” väärtuseks „Standardne”. Sel juhul, kui teine ​​osapool ei toeta heli krüptimist, lükatakse kõnekatse tagasi.
  • SIP-serveris identiteedi kontrollimiseks määrake ka suvandi "Kinnita serverisertifikaat" väärtuseks "Lubatud".
  • Kui SIP-serveri sertifikaadile on alla kirjutanud mõni levinud kaubanduslikest CA-dest, siis peaks Algo seadmel juba selle CA avalik sertifikaat olema ja see peab olema võimeline kontrolli teostama. Kui mitte (ntample iseallkirjastatud sertifikaatidega), siis saab vastava avaliku sertifikaadi Algo seadmesse üles laadida, nagu selles dokumendis varem kirjeldatud.

ALGO TLS transpordikihi turvalisus – joonis 4

TLS-i versioon 1.2
Algo seadmed, milles töötab püsivara v3.1 ja uuem, toetavad TLS v1.1 ja v1.2. „Sundi turvaline TLS
Suvandit Versioon saab kasutada selleks, et nõuda TLS-ühendust TLSv1.2 kasutamiseks. Selle funktsiooni lubamiseks tehke järgmist.

  • Avage Täpsemad seaded > Täpsem SIP
  • Määrake "TLS-i sundimine turvaline versioon" lubatuks ja salvestage.
    MÄRKUS. See suvand on versioonis v4.0+ eemaldatud, kuna vaikimisi kasutatakse TLS v1.2

Algo sertifikaatide allalaadimine

Allpool on linkide komplekt Algo CA sertifikaadiahela allalaadimiseks. The files saab installida SIP-serverisse või provisjoniserverisse, et need serverid saaksid Algo SIP-i lõpp-punktides seadme sertifikaate autentida ja võimaldada seega vastastikust autentimist:
Algo Root CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo kesktaseme CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Algo avalik sertifikaat: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

Veaotsing

Kui TLS-i käepigistus ei jõua lõpule, saatke paketihõive Algo toele analüüsimiseks. Selleks tuleb liiklust peegeldada, pordist, millega Algo lõpp-punkt on võrgulülitil ühendatud, tagasi arvutisse.

Algo Communication Products Ltd
4500 Beedie St Burnaby BC Kanada V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

Dokumendid / Ressursid

ALGO TLS transpordikihi turvalisus [pdfJuhised
TLS, transpordikihi turvalisus, kihi turvalisus, TLS, transpordikiht

Viited

Seotud postitused

Jäta kommentaar

Teie e-posti aadressi ei avaldata. Kohustuslikud väljad on märgitud *