TLS Garraio-geruzaren segurtasuna
Argibide eskuliburua

Algo IP amaierako puntuak ziurtatzea:
TLS eta elkarrekiko autentifikazioa

Laguntza behar?
604-454-3792 or support@algosolutions.com 

TLSrako sarrera

TLS (Transport Layer Security) Internet bidez aplikazioen edo gailuen artean bidalitako datuen autentifikazioa, pribatutasuna eta muturreko segurtasuna eskaintzen dituen protokolo kriptografikoa da. Ostatatutako telefonia plataformak ohikoagoak bihurtu diren heinean, TLS-k Internet publikoaren bidez komunikazio segurua emateko beharra areagotu egin da. firmware 1.6.4 edo berriagoa onartzen duten Algo gailuek Transport Layer Security (TLS) onartzen dute hornikuntzarako eta SIP seinaleztapenerako.
Oharra: amaierako puntu hauek ez dute TLS onartzen: 8180 IP Audio Alerter (G1), 8028 IP Doorphone (G1), 8128 IP Visual Alerter (G1), 8061 IP Relay Controller.

Enkriptatzea vs identitatearen egiaztapena

TLS trafikoa beti enkriptatuta eta hirugarrenen entzuteetatik edo aldaketetatik salbu dagoen arren, segurtasun-geruza gehigarri bat eman daiteke Ziurtagiriak erabiliz bestearen identitatea egiaztatzeko. Horri esker, zerbitzariak IP Endpoint gailuaren identitatea egiaztatzea ahalbidetzen du, eta alderantziz.
Nortasun egiaztapena egiteko, Ziurtagiria file Ziurtagiri Agintaritzak (CA) sinatu behar du. Beste gailuak sinadura hau egiaztatzen du, CA honen Ziurtagiri Publikoa (Fidagarria) erabiliz.

TLS Ziurtagiriak

Algo IP Endpoint-ek hirugarrenen ziurtagiri publiko fidagarrien (CA) ziurtagiri publikoen multzoa dute aurrez instalatuta, Comodo, Verisign, Symantec, DigiCert eta abar barne. Ziurtagiri-agintariek enpresei sinatutako ziurtagiriak ematen dizkiete enpresa hauek froga dezaten. haien zerbitzariak edo webguneak, hain zuzen ere, esaten dutena. Algo gailuek benetako zerbitzari batekin komunikatzen ari dela baieztatu dezakete zerbitzariaren sinatutako ziurtagiriak sinatu duen CAren ziurtagiri publikoekin alderatuta. Ziurtagiri publiko gehigarriak ere kargatu daitezke, Algo gailuak aurrez instalatutako ziurtagirietan sartuta egon ez daitezkeen zerbitzari osagarriak fidatu eta egiaztatzeko (adibidez.ample, norberak sinatutako ziurtagiriak).

Elkarrekiko autentifikazioa

Elkarrekiko autentifikazioak segurtasun-geruza gehigarri bat gehitzen du zerbitzariari amaierako gailua baliozkotu eta fida dezala eskatzen dio, zerbitzaria baliozkotzen duen amaierako puntuaren kontrako norabideaz gain. Hau fabrikatzen den unean Algo SIP Endpoint bakoitzean instalatutako Gailu Ziurtagiri bakarra erabiliz inplementatzen da. Algo gailu baten IP helbidea finkoa ez denez (bezeroaren sareak zehazten du), Algo-k ezin du informazio hori aldez aurretik argitaratu konfiantzazko CA-ekin, eta, horren ordez, Gailu Ziurtagiri hauek Algoren CA-k sinatu behar ditu.
Zerbitzariak Algo gailuan fida dezan, sistema-administratzaileak Algo CA ziurtagiri-kate publikoa instalatu beharko du bere zerbitzarian (adibidezampSIP Telefono Sistema edo haien hornikuntza zerbitzaria), zerbitzari honek Algo gailuko Gailu Ziurtagiria benetakoa dela egiazta dezan.

Oharra: 2019an fabrikatutako Algo IP amaierako puntuek (1.7.1 firmwarearekin hasita) edo geroago dute gailuaren ziurtagiria fabrikatik instalatuta.
Ziurtagiria instalatuta dagoen egiaztatzeko, joan Sistema -> Honi buruz fitxara. Ikusi fabrikatzailearen ziurtagiria. Ziurtagiria instalatuta ez badago, bidali mezu elektronikoa support@algosolutions.com.

Zifratu suiteak

Cipher suites TLS saio batean erabiltzen diren algoritmoen multzoak dira. Suite bakoitzak autentifikazio, enkriptazio eta mezuen autentifikaziorako algoritmoak ditu. Algo gailuek normalean erabiltzen diren enkriptazio-algoritmo asko onartzen dituzte, hala nola AES256, eta mezuen autentifikazio-kodearen algoritmoak, hala nola SHA-2.

Algo Gailu Ziurtagiriak

Algo Root CA-k sinatutako gailuen ziurtagiriak fabrikan instalatuta daude Algo gailuetan 2019az geroztik, 1.7.1 firmwarearekin hasita. Ziurtagiria gailua fabrikatzen denean sortzen da, ziurtagiriaren izen arruntaren eremuak gailu bakoitzaren MAC helbidea duela.
Gailuaren ziurtagiriak 30 urterako balio du eta partizio bereizi batean bizi da, beraz, ez da ezabatuko Algo amaierako puntua fabrika berrezarri ondoren ere.
Algo gailuek ere onartzen dute zure gailuaren ziurtagiria kargatzea fabrikan instalatutako ziurtagiriaren ordez erabiltzeko. Hau PEM bat igoz instalatu daiteke file gailuaren ziurtagiria eta gako pribatua dituena 'certs' direktorioan (ez 'certs/trusted' direktorioan!) Sisteman -> File Kudeatzailea fitxa. Hau file "zurrupada" deitu behar zaio bezeroa.pem'.

CA ziurtagiri publikoak kargatzea Algo SIP endpointetara

3.1.X baino txikiagoa den firmware batean bazaude, eguneratu gailua.
Ziurtagiria instalatzeko firmware v3.1 eta bertsio berriagoa duen Algo gailu batean, jarraitu urrats hauek:

1. Lortu ziurtagiri publiko bat zure Autoritate Ziurtagiriarengandik (baliozko X.509 formatuko ziurtagiriak onar daitezke). Ez da formatu zehatzik behar fileizena.
2. urtean web Algo gailuaren interfazea, joan Sistemara -> File Kudeatzailea fitxa.
3. Kargatu ziurtagiria files 'certs/trusted' direktorioan. Egin klik Kargatu botoian goiko ezkerreko izkinan file kudeatzailea eta arakatu ziurtagirira.

Web Interfaze aukerak

HTTPS hornidura
Horniketa bermatu daiteke 'Deskargatzeko metodoa' 'HTTPS' ezarrita (Ezarpen aurreratuak > Hornidura fitxan). Horrek konfigurazioa eragozten du files nahi ez den hirugarren batek irakurtzetik. Horrek datu sentikorrak lapurtzeko arrisku potentziala ebazten du, hala nola administratzaileen pasahitzak eta SIP kredentzialak.

Horniketa zerbitzarian identitate-egiaztapena egiteko, ezarri 'Balioztatu zerbitzariaren ziurtagiria' ere 'Gaituta' moduan. Hornidura-zerbitzariaren Ziurtagiria CA komertzial arruntetako batek sinatzen badu, Algo gailuak dagoeneko CA honen ziurtagiri publikoa izan beharko luke eta egiaztapena egin ahal izango du.
Kargatu ziurtagiri osagarriak (Base64 kodetutako X.509 ziurtagiria file .pem, .cer edo .crt formatuan) "Sistema > File Kudeatzailea" 'certs/trusted' karpetara.
OHARRA: 'Balioztatu zerbitzariaren ziurtagiria' parametroa hornikuntzaren bidez ere gaitu daiteke: prov.deskargatu.cert = 1

HTTPS Web Interfaze Protokoloa
HTTPSrako ziurtagiri publiko bat kargatzeko prozedura web arakatzea goiko atalean deskribatzen denaren antzekoa da. httpd.pem file gailuaren IPra nabigatzen duzunean zure ordenagailuko arakatzaileak eskatzen duen gailuaren ziurtagiria da. Pertsonalizatu bat kargatzeak abisu-mezua kentzeko aukera emango dizu atzitzen baduzu WebUI HTTPS erabiliz. Ez da CA ziurtagiri publiko bat. Ziurtagiria 'certs'-era igo behar da.

SIP seinaleztapena (eta RTP audioa)

SIP seinaleztapena 'SIP Garraioa' 'TLS' aukeran ezarrita ziurtatzen da (Ezarpen aurreratuak > SIP aurreratua fitxan).

• SIP trafikoa zifratuta egongo dela ziurtatzen du.
• SIP seinaleztapena arduratzen da deia ezartzeaz (beste alderdiarekin deia hasteko eta amaitzeko kontrol-seinaleak), baina ez du audiorik.
• Audio (ahotsa) biderako, erabili 'SDP SRTP Eskaintza' ezarpena.
• Hau "Aukera" gisa ezartzeak esan nahi du SIP deiaren RTP audio-datuak enkriptatuko direla (SRTP erabiliz) beste aldeak audio enkriptatzea ere onartzen badu.
• Besteak ez badu SRTP onartzen, deiak aurrera jarraituko du, baina enkriptatu gabeko audioarekin. Dei guztietan audio enkriptatzea derrigorrezkoa izan dadin, ezarri 'SDP SRTP Eskaintza' 'Estandarra'. Kasu honetan, beste aldeak audio enkriptatzea onartzen ez badu, dei saiakera baztertu egingo da.
• SIP zerbitzarian identitate-egiaztapena egiteko, ezarri 'Balioztatu zerbitzariaren ziurtagiria' ere 'Gaituta'.
• SIP zerbitzariaren Ziurtagiria CA komertzial arruntetako batek sinatzen badu, Algo gailuak dagoeneko CA honen ziurtagiri publikoa izan beharko luke eta egiaztapena egin ahal izango du. Hala ez bada (adibidezample auto-sinatutako ziurtagiriekin), orduan ziurtagiri publiko egokia karga daiteke Algo gailura dokumentu honetan lehenago azaldu bezala.

TLS bertsioa 1.2
Algo gailuek firmware v3.1 eta bertsio berriagoak dituztenek TLS v1.1 eta v1.2 onartzen dituzte. 'Forzatu TLS segurua
Bertsioa' aukera erabil daiteke TLS konexioak TLSv1.2 erabiltzeko eskatzeko. Ezaugarri hau gaitzeko:

• Joan Ezarpen aurreratuak > SIP aurreratua atalera
• Ezarri 'Indartu TLS bertsio segurua' gaituta eta gorde.
  OHARRA: Aukera hau 4.0+ bertsioan kendu da TLS v1.2 lehenespenez erabiltzen denez

Algo Ziurtagiriak Deskargatu

Jarraian, Algo CA ziurtagiri-katea deskargatzeko estekak daude. The files SIP zerbitzarian edo hornikuntza zerbitzarian instalatu daitezke zerbitzari hauek Algo SIP amaierako puntuetan Gailu Ziurtagiriak autentifikatzeko eta, horrela, Elkarrekiko Autentifikazioa ahalbidetzeko:
Algo Erroa CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo Intermediate CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Algo Ziurtagiri Publikoa: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

Arazoak konpontzea

TLS esku-ematea osatzen ez bada, bidali pakete-harrapaketa bat Algo laguntza-era azter dezan. Horretarako, trafikoa islatu beharko duzu, Algo amaierako ataka sareko switch-ean konektatuta dagoen atakatik, berriro ordenagailu batera.

Algo Communication Products Ltd
4500 Beedie St Burnaby BC Kanada V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

Dokumentuak / Baliabideak

ALGO TLS Garraio-geruzaren segurtasuna [pdfArgibideak TLS, Garraio-geruzaren segurtasuna, geruzaren segurtasuna, TLS, garraio-geruza

Erreferentziak

• Erabiltzailearen eskuliburua