ALGO - lógóTLS Transport Layer Security
Leiðbeiningarhandbók

Að tryggja Algo IP endapunkta:
TLS og gagnkvæm auðkenning

Þarftu hjálp?
604-454-3792 or support@algosolutions.com 

Innihald fela sig
1 Kynning á TLS
2 Dulkóðun vs auðkennisstaðfesting
3 TLS vottorð
4 Gagnkvæm auðkenning
5 Cipher Suites
6 Algo tækisvottorð
7 Að hlaða upp opinberum CA-skírteinum á Algo SIP endapunkta
8 Web Viðmótsvalkostir
9 SIP merki (og RTP hljóð)
10 Algo vottorð til að sækja
11 Úrræðaleit
12 Skjöl / auðlindir
12.1 Heimildir
13 Tengdar færslur

Kynning á TLS

TLS (Transport Layer Security) er dulmálssamskiptareglur sem veitir auðkenningu, friðhelgi og enda-til-enda öryggi gagna sem send eru á milli forrita eða tækja í gegnum internetið. Eftir því sem hýst símkerfi hafa orðið algengari hefur þörfin fyrir TLS aukist til að veita örugg samskipti yfir almenningsnetið. Algo tæki sem styðja fastbúnað 1.6.4 eða nýrri styðja TLS (Transport Layer Security) fyrir bæði útvegun og SIP merkja.
Athugið: eftirfarandi endapunktar styðja ekki TLS: 8180 IP Audio Alerter (G1), 8028 IP Doorphone (G1), 8128 IP Visual Alerter (G1), 8061 IP Relay Controller.

Dulkóðun vs auðkennisstaðfesting

Þó að TLS umferð sé alltaf dulkóðuð og örugg fyrir hlerun eða breytingum frá þriðja aðila, er hægt að útvega viðbótarlag af öryggi með því að nota vottorð til að staðfesta auðkenni hins aðilans. Þetta gerir þjóninum kleift að sannreyna auðkenni IP endapunkts tækisins og öfugt.
Til að framkvæma auðkennisskoðun, skírteinið file verður að vera undirritaður af vottunaryfirvöldum (CA). Hitt tækið athugar síðan þessa undirskrift með því að nota opinbera (traust) vottorðið frá þessu CA.

TLS vottorð

Algo IP endapunktar eru foruppsettir með safni opinberra vottorða frá traustum þriðja aðila vottunaryfirvöldum (CA), þar á meðal Comodo, Verisign, Symantec, DigiCert o.s.frv. netþjóna þeirra eða websíður eru í raun eins og þær segjast vera. Algo tæki geta staðfest að það sé í samskiptum við ósvikinn netþjón með því að sannreyna undirrituð skilríki miðlarans gegn opinberum skilríkjum frá CA sem undirritaði hann. Einnig er hægt að hlaða upp fleiri opinberum skírteinum til að leyfa Algo tækinu að treysta og sannreyna viðbótarþjóna sem eru hugsanlega ekki innifalin í foruppsettu skilríkjunum (td.ample, sjálf undirrituð vottorð).

Gagnkvæm auðkenning

Gagnkvæm auðkenning bætir við einu öryggislagi til viðbótar með því að krefjast þess að þjónninn staðfesti og treysti endapunktatækinu, auk þess sem gagnstæða átt við endapunktinn sem staðfestir þjóninn. Þetta er útfært með því að nota einstakt tækjaskírteini, uppsett á hverjum Algo SIP endapunkti við framleiðslu. Þar sem IP-tala Algo tækis er ekki fast (það er ákvarðað af neti viðskiptavinarins), getur Algo ekki birt þessar upplýsingar fyrirfram með traustum CA, og þess í stað verða þessi tækisvottorð að vera undirrituð af Algo eigin CA.
Til að þjónninn treysti síðan Algo tækinu þarf kerfisstjórinn að setja upp opinberu Algo CA vottorðakeðjuna á netþjóninn sinn (td.ampí SIP símakerfinu eða úthlutunarþjóni þeirra) þannig að þessi þjónn geti staðfest að tækjaskírteinið á Algo tækinu sé í raun ekta.

Athugið: Algo IP endapunktar framleiddir árið 2019 (byrjar með fastbúnaðar 1.7.1) eða síðar hafa tækisvottorð uppsett frá verksmiðjunni.
Til að staðfesta hvort vottorðið sé uppsett, farðu í Kerfi -> Um flipann. Sjá framleiðandavottorð. Ef vottorðið er ekki uppsett, vinsamlegast sendu tölvupóst support@algosolutions.com. ALGO TLS flutningslagsöryggi - mynd 1

Cipher Suites

Dulmálssvítur eru sett af reikniritum sem notuð eru á TLS lotu. Hver svíta inniheldur reiknirit fyrir auðkenningu, dulkóðun og auðkenningu skilaboða. Algo tæki styðja mörg algeng dulkóðunaralgrím eins og AES256 og skilaboða auðkenningarkóða reiknirit eins og SHA-2.

Algo tækisvottorð

Tækjavottorð undirrituð af Algo Root CA hafa verið sett upp í verksmiðju á Algo tækjum síðan 2019, frá og með vélbúnaðar 1.7.1. Vottorðið er búið til þegar tækið er framleitt, þar sem almennt heiti í vottorðinu inniheldur MAC vistfang hvers tækis.
Tækjaskírteinið gildir í 30 ár og er í sérstöku skiptingi, þannig að því verður ekki eytt jafnvel eftir að Algo endapunkturinn hefur verið endurstilltur.
Algo tæki styðja einnig að hlaða upp eigin tækisvottorði til að nota í staðinn fyrir verksmiðjuuppsett tækisvottorð. Þetta er hægt að setja upp með því að hlaða upp PEM file sem inniheldur bæði tækisvottorð og einkalykilinn í 'certs' skrána (ekki 'certs/trusted' skrána!) í kerfinu -> File Stjórnandi flipi. Þetta file þarf að kalla 'sip viðskiptavinur.pem'.

Að hlaða upp opinberum CA-skírteinum á Algo SIP endapunkta

Ef þú ert með lægri fastbúnað en 3.1.X, vinsamlegast uppfærðu tækið.
Fylgdu skrefunum hér að neðan til að setja upp vottorðið á Algo tæki sem keyrir fastbúnað v3.1 og nýrri:

  1. Fáðu opinbert skírteini frá vottunaryfirvöldum þínum (hægt er að samþykkja hvaða gilt vottorð sem er á X.509 sniði). Það er ekkert sérstakt snið krafist fyrir filenafn.
  2. Í web viðmót Algo tækisins, farðu í System -> File Stjórnandi flipi.
  3. Hladdu upp skírteininu files í 'certs/trusted' möppuna. Smelltu á Hlaða upp hnappinn efst í vinstra horninu á file stjórnanda og flettu að skírteininu.

Web Viðmótsvalkostir

HTTPS úthlutun
Hægt er að tryggja úthlutun með því að stilla 'niðurhalsaðferð' á 'HTTPS' (undir flipanum Ítarlegar stillingar > Úthlutun). Þetta kemur í veg fyrir uppsetningu files frá því að vera lesinn af óæskilegum þriðja aðila. Þetta leysir hugsanlega hættu á að viðkvæmum gögnum verði stolið, svo sem stjórnandalykilorðum og SIP skilríkjum. ALGO TLS flutningslagsöryggi - mynd 2

Til að framkvæma auðkenningarstaðfestingu á úthlutunarþjóninum skaltu einnig stilla 'Validate Server Certificate' á 'Enabled'. Ef vottorð úthlutunarþjónsins er undirritað af einum af algengu viðskiptalegum CA, þá ætti Algo tækið nú þegar að hafa opinbert vottorð fyrir þetta CA og geta framkvæmt sannprófunina.
Hladdu upp viðbótarskírteinum (Base64 kóðuð X.509 vottorð file á .pem, .cer eða .crt sniði) með því að fara í „System > File Manager“ í möppuna 'certs/trusted'.
ATHUGIÐ: Einnig er hægt að virkja færibreytuna 'Validate Server Certificate' með úthlutun: prov.download.cert = 1

HTTPS Web Viðmótabókun
Aðferðin til að hlaða upp opinberu vottorði fyrir HTTPS web vafra er svipað og lýst er í kaflanum hér að ofan. httpd.pem file er tækisvottorð sem vafra tölvunnar biður um þegar þú ferð að IP tækisins. Með því að hlaða upp sérsniðnu tæki gæti þú losnað við viðvörunarskilaboðin ef þú opnar WebUI með HTTPS. Það er ekki opinbert CA vottorð. Skírteininu verður að hlaða upp á „vottorð“. ALGO TLS flutningslagsöryggi - mynd 3

SIP merki (og RTP hljóð)

SIP merkjasending er tryggð með því að stilla 'SIP Transportation' á 'TLS' (undir Advanced Settings > Advanced SIP flipann).

  • Það tryggir að SIP umferðin verði dulkóðuð.
  • SIP merkingin er ábyrg fyrir því að koma á símtalinu (stýrimerkin um að hefja og ljúka símtali við hinn aðilann), en hún inniheldur ekki hljóðið.
  • Fyrir hljóð (radd) slóð, notaðu stillinguna 'SDP SRTP tilboð'.
  • Ef þetta er stillt á 'Valfrjálst' þýðir það að RTP-hljóðgögn SIP-símtalsins verða dulkóðuð (með því að nota SRTP) ef hinn aðilinn styður einnig hljóðdulkóðun.
  • Ef hinn aðilinn styður ekki SRTP mun símtalið halda áfram, en með ódulkóðuðu hljóði. Til að gera hljóð dulkóðun skylda fyrir öll símtöl skaltu stilla 'SDP SRTP tilboð' á 'Staðlað'. Í þessu tilviki, ef hinn aðilinn styður ekki hljóðdulkóðun, þá verður símtalstilrauninni hafnað.
  • Til að framkvæma auðkenningarstaðfestingu á SIP þjóninum skaltu einnig stilla 'Validate Server Certificate' á 'Enabled'.
  • Ef vottorð SIP netþjónsins er undirritað af einum af almennum viðskiptalegum CA, þá ætti Algo tækið þegar að hafa opinbert vottorð fyrir þetta CA og geta framkvæmt sannprófunina. Ef ekki (tdample með sjálfundirrituðum vottorðum), þá er hægt að hlaða viðeigandi opinberu vottorði upp á Algo tækið eins og lýst er fyrr í þessu skjali.

ALGO TLS flutningslagsöryggi - mynd 4

TLS útgáfa 1.2
Algo tæki sem keyra vélbúnaðar v3.1 og eldri styðja TLS v1.1 og v1.2. 'Þvingaðu fram örugga TLS
Version' valmöguleika má nota til að krefjast TLS tenginga til að nota TLSv1.2. Til að virkja þennan eiginleika:

  • Farðu í Ítarlegar stillingar > Ítarlegar SIP
  • Stilltu 'Force secure TLS Version' sem virkt og vistaðu.
    ATH: Þessi valkostur hefur verið fjarlægður í v4.0+ þar sem TLS v1.2 er sjálfgefið notað

Algo vottorð til að sækja

Hér að neðan eru sett af tenglum til að hlaða niður Algo CA vottorðakeðjunni. The fileHægt er að setja s upp á SIP netþjóninn eða úthlutunarþjóninn til að þessir netþjónar geti auðkennt tækjaskírteinin á Algo SIP endapunktum og leyfa þannig gagnkvæma auðkenningu:
Algo Root CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo millistig CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Algo opinbert skírteini: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

Úrræðaleit

Ef TLS handabandið er ekki lokið, vinsamlegast sendu pakkatöku til Algo stuðningsaðila til greiningar. Til að gera það þarftu að spegla umferðina, frá portinu sem Algo endapunkturinn er tengdur við á netrofanum, aftur í tölvu.

Algo Communication Products Ltd.
4500 Beedie St Burnaby BC Kanada V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

Skjöl / auðlindir

ALGO TLS flutningslagsöryggi [pdfLeiðbeiningar
TLS, Transport Layer Security, Layer Security, TLS, Transport Layer

Heimildir

Tengdar færslur

Skildu eftir athugasemd

Netfangið þitt verður ekki birt. Nauðsynlegir reitir eru merktir *