ALGO - آرمامنیت لایه حمل و نقل TLS
راهنمای دستورالعمل

ایمن سازی نقاط پایانی Algo IP:
TLS و احراز هویت متقابل

به کمک نیاز دارید؟
604-454-3792 or support@algosolutions.com 

مطالب پنهان کردن
1 مقدمه ای بر TLS
2 رمزگذاری در مقابل تأیید هویت
3 گواهینامه های TLS
4 احراز هویت متقابل
5 سوئیت های رمز
6 گواهینامه های دستگاه Algo
7 بارگذاری گواهینامه های عمومی CA در نقاط پایانی Algo SIP
8 Web گزینه های رابط
9 سیگنال دهی SIP (و صدای RTP)
10 دانلود گواهینامه های Algo
11 عیب یابی
12 اسناد / منابع
12.1 مراجع
13 پست های مرتبط

مقدمه ای بر TLS

TLS (Transport Layer Security) یک پروتکل رمزنگاری است که احراز هویت، حفظ حریم خصوصی و امنیت سرتاسر داده های ارسال شده بین برنامه ها یا دستگاه ها را از طریق اینترنت فراهم می کند. همانطور که پلتفرم های تلفن میزبانی رایج تر شده اند، نیاز به TLS برای ارائه ارتباطات ایمن از طریق اینترنت عمومی افزایش یافته است. دستگاه‌های Algo که از سیستم‌افزار 1.6.4 یا بالاتر پشتیبانی می‌کنند، امنیت لایه حمل و نقل (TLS) را هم برای تامین و هم برای سیگنال‌دهی SIP پشتیبانی می‌کنند.
توجه: نقاط پایانی زیر از TLS پشتیبانی نمی‌کنند: هشدار دهنده صوتی IP 8180 (G1)، تلفن دریچه IP 8028 (G1)، هشدار دهنده تصویری IP 8128 (G1)، کنترل‌کننده رله IP 8061.

رمزگذاری در مقابل تأیید هویت

در حالی که ترافیک TLS همیشه رمزگذاری شده و در برابر استراق سمع یا تغییر شخص ثالث ایمن است، یک لایه امنیتی اضافی می تواند با استفاده از گواهی ها برای تأیید هویت طرف مقابل ارائه شود. این به سرور اجازه می دهد تا هویت دستگاه IP Endpoint را تأیید کند و بالعکس.
برای انجام بررسی هویت، گواهی file باید توسط یک مرجع صدور گواهی (CA) امضا شود. سپس دستگاه دیگر با استفاده از گواهی عمومی (معتمد) این CA، این امضا را بررسی می کند.

گواهینامه های TLS

Algo IP Endpoints از پیش نصب شده با مجموعه ای از گواهینامه های عمومی از مراجع صدور گواهی شخص ثالث (CAs)، از جمله Comodo، Verisign، Symantec، DigiCert، و غیره ارائه می شود. مقامات صدور گواهینامه، گواهی های امضا شده را برای کسب و کارها ارائه می دهند تا به این مشاغل اجازه اثبات این موضوع را بدهند. سرورهای آنها یا webسایت ها در واقع همانی هستند که می گویند. دستگاه‌های Algo می‌توانند با تأیید گواهی‌های امضاشده سرور در برابر گواهی‌های عمومی از CA که آن را امضا کرده، تأیید کنند که با یک سرور معتبر ارتباط برقرار می‌کند. گواهی‌های عمومی اضافی نیز می‌توانند آپلود شوند، تا به دستگاه Algo اجازه داده شود به سرورهای اضافی که ممکن است در گواهی‌های از پیش نصب‌شده موجود نباشند اعتماد کند و تأیید کند.ampلو، گواهی های خودامضا).

احراز هویت متقابل

احراز هویت متقابل یک لایه امنیتی اضافی اضافه می‌کند و از سرور می‌خواهد تا دستگاه نقطه پایانی را نیز تأیید کند و به آن اعتماد کند، علاوه بر جهت مخالف نقطه پایانی که سرور را تأیید می‌کند. این با استفاده از یک گواهی دستگاه منحصر به فرد، نصب شده بر روی هر نقطه پایانی Algo SIP در زمان ساخت، اجرا می شود. از آنجایی که آدرس IP یک دستگاه Algo ثابت نیست (توسط شبکه مشتری تعیین می‌شود)، Algo نمی‌تواند این اطلاعات را از قبل با CAهای مورد اعتماد منتشر کند، و در عوض، این گواهی‌های دستگاه باید توسط CA خود Algo امضا شود.
برای اینکه سرور به دستگاه Algo اعتماد کند، مدیر سیستم باید زنجیره گواهی عمومی Algo CA را روی سرور خود نصب کند (برای مثالampسیستم تلفن SIP یا سرور تأمین کننده آنها) تا این سرور بتواند تأیید کند که گواهی دستگاه در دستگاه Algo در واقع معتبر است.

توجه: نقاط پایانی IP Algo تولید شده در سال 2019 (شروع با سیستم عامل 1.7.1) یا نسخه های جدیدتر دارای گواهینامه دستگاه از کارخانه نصب شده است.
برای بررسی اینکه آیا گواهی نصب شده است، به سیستم -> تب About بروید. به گواهی سازنده مراجعه کنید. اگر گواهی نصب نشده است، لطفا ایمیل کنید support@algosolutions.com. امنیت لایه حمل و نقل ALGO TLS - شکل 1

سوئیت های رمز

مجموعه‌های رمز، مجموعه‌ای از الگوریتم‌ها هستند که در طول یک جلسه TLS استفاده می‌شوند. هر مجموعه شامل الگوریتم هایی برای احراز هویت، رمزگذاری و احراز هویت پیام است. دستگاه‌های Algo از بسیاری از الگوریتم‌های رمزگذاری رایج مانند AES256 و الگوریتم‌های کد احراز هویت پیام مانند SHA-2 پشتیبانی می‌کنند.

گواهینامه های دستگاه Algo

گواهینامه های دستگاه امضا شده توسط Algo Root CA از سال 2019 بر روی دستگاه های Algo نصب شده است و با سیستم عامل 1.7.1 شروع می شود. گواهی زمانی که دستگاه تولید می شود، با فیلد نام مشترک در گواهی حاوی آدرس MAC برای هر دستگاه تولید می شود.
گواهی دستگاه به مدت 30 سال معتبر است و در یک پارتیشن جداگانه قرار دارد، بنابراین حتی پس از بازنشانی کارخانه Algo endpoint پاک نخواهد شد.
دستگاه‌های Algo همچنین از آپلود گواهی دستگاه شما برای استفاده به جای گواهی دستگاه نصب شده در کارخانه پشتیبانی می‌کنند. این را می توان با آپلود یک PEM نصب کرد file شامل یک گواهی دستگاه و یک کلید خصوصی برای دایرکتوری 'certs' (نه پوشه 'certs/trusted'!) در System -> File تب مدیر. این file باید "جرعه" نامیده شود client.pem'.

بارگذاری گواهینامه های عمومی CA در نقاط پایانی Algo SIP

اگر سیستم عاملی کمتر از 3.1.X دارید، لطفاً دستگاه را ارتقا دهید.
برای نصب گواهی بر روی دستگاه Algo دارای سیستم عامل نسخه 3.1 و بالاتر، مراحل زیر را دنبال کنید:

  1. یک گواهی عمومی از مرجع صدور گواهی خود دریافت کنید (هر گواهی معتبر با فرمت X.509 قابل قبول است). هیچ قالب خاصی برای آن مورد نیاز نیست fileنام
  2. در web رابط دستگاه Algo، به سیستم -> بروید File تب مدیر.
  3. گواهی را بارگذاری کنید fileبه دایرکتوری "certs/trusted" بروید. روی دکمه آپلود در گوشه سمت چپ بالای صفحه کلیک کنید file مدیر و مرور به گواهی.

Web گزینه های رابط

تامین HTTPS
با تنظیم «روش دانلود» بر روی «HTTPS» (در زیر تب تنظیمات پیشرفته > تدارکات) می‌توان تأمین را ایمن کرد. این از پیکربندی جلوگیری می کند fileاز خوانده شدن توسط شخص ثالث ناخواسته. این کار خطر احتمالی دزدیده شدن داده های حساس مانند رمزهای عبور مدیریت و اعتبارنامه SIP را برطرف می کند. امنیت لایه حمل و نقل ALGO TLS - شکل 2

برای انجام تأیید هویت در سرور تأمین، «تأیید گواهی سرور» را نیز روی «فعال» تنظیم کنید. اگر گواهی سرور تأمین‌کننده توسط یکی از CAهای تجاری رایج امضا شده باشد، دستگاه Algo باید قبلاً گواهی عمومی این CA را داشته باشد و بتواند تأیید را انجام دهد.
گواهی‌های اضافی را بارگذاری کنید (گواهینامه X.64 با کد Base509 file در قالب .pem، cer. یا crt.) با پیمایش به «System > File Manager» به پوشه «certs/trusted».
توجه: پارامتر "Validate Server Certificate" را نیز می توان از طریق فراهم کردن فعال کرد: prov.download.cert = 1

HTTPS Web پروتکل رابط
روش آپلود یک گواهی عمومی برای HTTPS web مرور مشابه آنچه در بخش بالا توضیح داده شده است. httpd.pem file گواهی دستگاهی است که هنگام رفتن به IP دستگاه توسط مرورگر رایانه شما درخواست می شود. آپلود یک پیام سفارشی ممکن است به شما امکان دهد در صورت دسترسی به پیام هشدار از شر آن خلاص شوید WebUI با استفاده از HTTPS. این یک گواهی CA عمومی نیست. گواهی باید در 'گواهی ها' آپلود شود. امنیت لایه حمل و نقل ALGO TLS - شکل 3

سیگنال دهی SIP (و صدای RTP)

سیگنالینگ SIP با تنظیم «SIP Transportation» روی «TLS» (در زیر برگه تنظیمات پیشرفته > SIP پیشرفته) ایمن می شود.

  • این تضمین می کند که ترافیک SIP رمزگذاری خواهد شد.
  • سیگنالینگ SIP مسئول برقراری تماس است (سیگنال های کنترلی برای شروع و پایان تماس با طرف مقابل)، اما حاوی صدا نیست.
  • برای مسیر صوتی (صوتی)، از تنظیم «پیشنهاد SDP SRTP» استفاده کنید.
  • تنظیم این گزینه روی "اختیاری" به این معنی است که داده های صوتی RTP تماس SIP رمزگذاری می شود (با استفاده از SRTP) اگر طرف مقابل نیز از رمزگذاری صدا پشتیبانی کند.
  • اگر طرف مقابل از SRTP پشتیبانی نکند، تماس همچنان ادامه خواهد داشت، اما با صدای رمزگذاری نشده. برای اجباری کردن رمزگذاری صدا برای همه تماس‌ها، «SDP SRTP Offer» را روی «Standard» تنظیم کنید. در این صورت، اگر طرف مقابل از رمزگذاری صدا پشتیبانی نکند، تلاش برای تماس رد خواهد شد.
  • برای انجام تأیید هویت در سرور SIP، «Validate Server Certificate» را نیز روی «Enabled» تنظیم کنید.
  • اگر گواهی سرور SIP توسط یکی از CAهای تجاری رایج امضا شده باشد، دستگاه Algo باید قبلاً گواهی عمومی این CA را داشته باشد و بتواند تأیید را انجام دهد. اگر نه (مثلاًampبا گواهینامه های خودامضا)، سپس گواهی عمومی مناسب را می توان همانطور که قبلا در این سند توضیح داده شد در دستگاه Algo بارگذاری کرد.

امنیت لایه حمل و نقل ALGO TLS - شکل 4

TLS نسخه 1.2
دستگاه های Algo دارای سیستم عامل نسخه 3.1 و بالاتر از TLS نسخه 1.1 و 1.2 پشتیبانی می کنند. 'اجباری امن TLS
گزینه Version' ممکن است برای نیاز به اتصالات TLS برای استفاده از TLSv1.2 استفاده شود. برای فعال کردن این ویژگی:

  • به تنظیمات پیشرفته > SIP پیشرفته بروید
  • «نسخه اجباری امن TLS» را فعال کنید و ذخیره کنید.
    توجه: این گزینه در نسخه 4.0+ حذف شده است زیرا TLS v1.2 به طور پیش فرض استفاده می شود

دانلود گواهینامه های Algo

در زیر مجموعه ای از پیوندها برای دانلود زنجیره گواهی Algo CA آمده است. را files را می توان بر روی سرور SIP یا سرور تامین کننده نصب کرد تا این سرورها گواهینامه های دستگاه را در نقاط پایانی Algo SIP احراز هویت کنند و در نتیجه امکان احراز هویت متقابل را فراهم کنند:
Algo Root CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo Intermediate CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
گواهی عمومی Algo: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

عیب یابی

اگر دست دادن TLS تکمیل نشد، لطفاً یک بسته را برای تجزیه و تحلیل به پشتیبانی Algo ارسال کنید. برای انجام این کار، باید ترافیک را آینه کنید، از درگاهی که نقطه پایانی Algo به سوئیچ شبکه متصل است، به رایانه برمی گردد.

محصولات ارتباطی Algo با مسئولیت محدود
4500 Beedie St Burnaby BC کانادا V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

اسناد / منابع

امنیت لایه حمل و نقل ALGO TLS [pdfدستورالعمل‌ها
TLS، امنیت لایه حمل و نقل، امنیت لایه، TLS، لایه حمل و نقل

مراجع

پست های مرتبط

نظر بدهید

آدرس ایمیل شما منتشر نخواهد شد. فیلدهای الزامی مشخص شده اند *