ALGO - logoTLS transpò kouch sekirite
Manyèl Enstriksyon

Sekirize pwen final Algo IP:
TLS ak Otantifikasyon mityèl

Bezwen Èd?
604-454-3792 or support@algosolutions.com 

Kontni kache
1 Entwodiksyon nan TLS
2 Chidere vs Verifikasyon idantite
3 Sètifika TLS
4 Otantifikasyon mityèl
5 Swit Chif
6 Sètifika Aparèy Algo
7 Telechaje Sètifika Piblik CA yo nan pwen final Algo SIP
8 Web Opsyon entèfas
9 Siyal SIP (ak odyo RTP)
10 Telechaje Sètifika Algo
11 Depanaj
12 Dokiman / Resous
12.1 Referans
13 Post ki gen rapò

Entwodiksyon nan TLS

TLS (Transport Layer Security) se yon pwotokòl kriptografik ki bay otantifikasyon, konfidansyalite, ak sekirite bout-a-fen nan done yo voye ant aplikasyon oswa aparèy sou entènèt la. Kòm platfòm telefòn hébergé yo te vin pi komen, bezwen pou TLS bay kominikasyon an sekirite sou entènèt piblik la te ogmante. Aparèy Algo ki sipòte firmwèr 1.6.4 oswa pita sipòte Sekirite Kouch Transpò (TLS) pou tou de Pwovizyon ak Siyal SIP.
Nòt: pwen final sa yo pa sipòte TLS: 8180 IP Audio Alerter (G1), 8028 IP Doorphone (G1), 8128 IP Visual Alerter (G1), 8061 IP Relay Controller.

Chidere vs Verifikasyon idantite

Pandan ke trafik TLS toujou ankode epi san danje kont écoute oswa modifikasyon yon twazyèm pati, yo ka bay yon kouch sekirite adisyonèl lè w itilize Sètifika pou verifye idantite lòt pati a. Sa a pèmèt Sèvè a verifye idantite aparèy IP Endpoint la, ak vis-versa.
Pou fè chèk idantite a, Sètifika a file dwe siyen pa yon Otorite Sètifika (CA). Lè sa a, lòt aparèy la tcheke siyati sa a, lè l sèvi avèk Sètifika Piblik (Fè konfyans) ki soti nan CA sa a.

Sètifika TLS

Algo IP Endpoints vini pre-enstale ak yon seri sètifika piblik ki soti nan Otorite Sètifika (CAs) yon twazyèm pati ou fè konfyans, ki gen ladan Comodo, Verisign, Symantec, DigiCert, elatriye. Otorite Sètifika yo bay biznis siyen sètifika pou pèmèt biznis sa yo pwouve ke sèvè yo oswa websit yo se an reyalite ki moun yo di yo ye. Aparèy Algo ka konfime ke li ap kominike ak yon sèvè natif natal lè yo verifye sètifika sèvè a ki siyen kont sètifika piblik yo soti nan CA a ki siyen li. Lòt sètifika piblik yo ka telechaje tou, pou pèmèt aparèy Algo a fè konfyans ak verifye sèvè adisyonèl ki pa ka enkli nan sètifika yo pre-enstale (pa egzanp.ample, sètifika oto-siyen).

Otantifikasyon mityèl

Otantifikasyon mityèl ajoute yon kouch sekirite adisyonèl lè li mande sèvè a valide epi fè konfyans aparèy pwen final la tou, anplis direksyon opoze pwen final la valide sèvè a. Sa a se aplike lè l sèvi avèk yon Sètifika Aparèy inik, enstale sou chak pwen final Algo SIP nan moman fabrikasyon an. Kòm adrès IP yon aparèy Algo pa fiks (se rezo kliyan an detèmine li), Algo pa ka pibliye enfòmasyon sa yo davans ak CA yo fè konfyans, epi olye de sa, Sètifika Aparèy sa yo dwe siyen pa pwòp CA Algo a.
Pou sèvè a fè konfyans aparèy Algo a, administratè sistèm lan ap bezwen enstale chèn sètifika piblik Algo CA sou sèvè yo (pa egzanp.ample Sistèm Telefòn SIP la oswa sèvè pwovizyon yo) pou sèvè sa a kapab verifye si Sètifika Aparèy sou aparèy Algo a se an reyalite natif natal.

Nòt: Pwen final Algo IP yo te fabrike nan 2019 (kòmanse ak firmwèr 1.7.1) oswa pita gen sètifika aparèy la enstale nan faktori a.
Pou verifye si sètifika a enstale, ale nan System -> About tab. Gade Sètifika Manifakti a. Si sètifika a pa enstale, tanpri imèl support@algosolutions.com. ALGO TLS Sekirite Kouch Transpò - Figi 1

Swit Chif

Swit chifre yo se seri algoritm yo itilize pandan yon sesyon TLS. Chak suite gen ladan algoritm pou otantifikasyon, chifreman, ak otantifikasyon mesaj. Aparèy Algo sipòte anpil algoritm chifreman itilize souvan tankou AES256 ak algoritm kòd otantifikasyon mesaj tankou SHA-2.

Sètifika Aparèy Algo

Sètifika Aparèy ki siyen pa Algo Root CA a te enstale nan faktori sou aparèy Algo depi 2019, kòmanse ak firmwèr 1.7.1. Sètifika a pwodwi lè aparèy la fabrike, ak jaden non komen nan sètifika a ki gen adrès MAC pou chak aparèy.
Sètifika aparèy la valab pou 30 ane epi li abite nan yon patisyon separe, kidonk li pa pral efase menm apre yo fin reinitialize pwen final Algo a.
Aparèy Algo sipòte tou telechaje pwòp sètifika aparèy ou pou itilize olye de sètifika aparèy ki enstale nan faktori a. Sa a ka enstale lè w telechaje yon PEM file ki gen tou de yon sètifika aparèy ak yon kle prive li nan anyè 'sèt yo' (pa anyè a 'sèt / fè konfyans'!) nan Sistèm nan -> File Tab Manadjè. Sa a file bezwen yo rele 'sip kliyan.pem'.

Telechaje Sètifika Piblik CA yo nan pwen final Algo SIP

Si ou sou yon firmwèr ki pi ba pase 3.1.X, tanpri ajou aparèy la.
Pou enstale sètifika a sou yon aparèy Algo k ap kouri firmwèr v3.1 ak pi wo a, swiv etap ki anba yo:

  1. Jwenn yon sètifika piblik nan men Otorite Sètifika w (yo ka aksepte nenpòt sètifika fòma X.509 ki valab). Pa gen okenn fòma espesifik obligatwa pou la filenon.
  2. Nan la web koòdone nan aparèy la Algo, navige nan Sistèm nan -> File Manadjè tab.
  3. Telechaje sètifika a files nan 'certs/trusted' anyè. Klike sou bouton Telechaje ki nan kwen anlè gòch la file manadjè epi ale nan sètifika a.

Web Opsyon entèfas

HTTPS Pwovizyon
Pwovizyon ka garanti lè w mete 'Metòd Download' nan 'HTTPS' (anba Anviwònman Avanse > onglet Pwovizyon pou). Sa a anpeche konfigirasyon files soti nan ke yo te li pa yon twazyèm pati vle. Sa a rezoud risk potansyèl pou yo vòlè done sansib, tankou modpas admin ak kalifikasyon SIP. ALGO TLS Sekirite Kouch Transpò - Figi 2

Pou fè verifikasyon idantite sou sèvè Pwovizyon an, mete tou 'Valide Sètifika Sèvè' a 'Pèmèt'. Si Sètifika sèvè pwovizyon an siyen pa youn nan CA komèsyal komen yo, Lè sa a, aparèy Algo a ta dwe deja gen sètifika piblik la pou CA sa a epi yo dwe kapab fè verifikasyon an.
Telechaje sètifika adisyonèl (Base64 kode X.509 sètifika file nan fòma .pem, .cer, oswa .crt) lè w ap navige nan "System > File Manadjè" nan katab 'sèt/konfye' a.
REMAK: Paramèt 'Valide Sètifika Sèvè' a kapab tou aktive nan pwovizyon: prov.download.cert = 1

HTTPS Web Pwotokòl Entèfas
Pwosedi pou telechaje yon sètifika piblik pou HTTPS web Navigasyon se menm jan ak sa ki dekri nan seksyon ki pi wo a. httpd.pem la file se yon sètifika aparèy ke navigatè òdinatè w lan mande lè w ap navige nan IP aparèy la. Téléchargement yon personnalisé personnalisé ta ka kite ou debarase li de mesaj avètisman si ou gen aksè a WebUI lè l sèvi avèk HTTPS. Se pa yon sètifika CA piblik. Sètifika a dwe telechaje nan 'sèt yo'. ALGO TLS Sekirite Kouch Transpò - Figi 3

Siyal SIP (ak odyo RTP)

Sekirize siyal SIP lè w mete 'Transpò SIP' sou 'TLS' (anba Paramèt Avanse > onglet SIP Avanse).

  • Li asire ke trafik SIP la pral chiffres.
  • Siyal SIP a responsab pou etabli apèl la (siyal kontwòl yo kòmanse epi fini apèl la ak lòt pati a), men li pa genyen odyo a.
  • Pou chemen odyo (vwa), sèvi ak paramèt 'SDP SRTP Offer'.
  • Mete sa a 'Si ou vle' vle di done odyo RTP apèl SIP la pral chiffres (itilize SRTP) si lòt pati a sipòte tou chifreman odyo.
  • Si lòt pati a pa sipòte SRTP, Lè sa a, apèl la ap toujou kontinye, men ak odyo ki pa chiffres. Pou fè chifreman odyo obligatwa pou tout apèl, mete 'SDP SRTP Offer' sou 'Standard'. Nan ka sa a, si lòt pati a pa sipòte chifreman odyo, yo pral rejte tantativ apèl la.
  • Pou fè verifikasyon idantite sou sèvè SIP la, mete tou 'Valide Sètifika Sèvè' a 'Pèmèt'.
  • Si Sètifika sèvè SIP la siyen pa youn nan CA komèsyal komen yo, Lè sa a, aparèy Algo a ta dwe deja gen sètifika piblik la pou CA sa a epi yo dwe kapab fè verifikasyon an. Si ou pa (pa egzanpample ak sètifika oto-siyen), Lè sa a, sètifika piblik apwopriye a ka telechaje sou aparèy Algo a jan sa dekri pi bonè nan dokiman sa a.

ALGO TLS Sekirite Kouch Transpò - Figi 4

TLS vèsyon 1.2
Aparèy Algo kouri firmwèr v3.1 & pi wo a sipòte TLS v1.1 ak v1.2. 'Fòs Secure TLS
Opsyon vèsyon an ka itilize pou mande koneksyon TLS pou itilize TLSv1.2. Pou pèmèt karakteristik sa a:

  • Ale nan Paramèt avanse > SIP avanse
  • Mete 'Fòse TLS vèsyon an sekirite' kòm aktive epi sove.
    REMAK: Opsyon sa a te retire nan v4.0+ depi TLS v1.2 yo itilize pa default

Telechaje Sètifika Algo

Anba a se yon seri lyen pou telechaje chèn sètifika Algo CA. La files yo ka enstale sou sèvè SIP la oswa sèvè Pwovizyon pou sèvè sa yo otantifye Sètifika Aparèy yo sou pwen final Algo SIP, epi konsa pèmèt Otantifikasyon mityèl:
Algo Rasin CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo Entèmedyè CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Algo Sètifika Piblik: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

Depanaj

Si lanmen TLS la pa fin ranpli, tanpri voye yon pake pake bay sipò Algo pou analize. Pou fè sa, ou pral oblije miroir trafik la, soti nan pò final la Algo konekte ak sou switch rezo a, tounen nan yon òdinatè.

Algo Kominikasyon Pwodwi Ltd.
4500 Beedie St Burnaby BC Kanada V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

Dokiman / Resous

ALGO TLS transpò kouch sekirite [pdfEnstriksyon yo
TLS, Sekirite Kouch Transpò, Sekirite Kouch, TLS, Kouch Transpò

Referans

Post ki gen rapò

Kite yon kòmantè

Adrès imel ou p ap pibliye. Jaden obligatwa yo make *