ALGO - לוגוTLS Transport Layer Security
מדריך הוראות

אבטחת נקודות קצה של Algo IP:
TLS ואימות הדדי

צריך עזרה?
604-454-3792 or support@algosolutions.com 

תוֹכֶן לְהַסתִיר
1 מבוא ל-TLS
2 הצפנה מול אימות זהות
3 תעודות TLS
4 אימות הדדי
5 סוויטות צופן
6 אישורי מכשיר אלגו
7 העלאת אישורי CA ציבוריים לנקודות קצה של Algo SIP
8 Web אפשרויות ממשק
9 איתות SIP (ו-RTP Audio)
10 הורדת תעודות אלגו
11 פתרון בעיות
12 מסמכים / משאבים
12.1 הפניות
13 פוסטים קשורים

מבוא ל-TLS

TLS (Transport Layer Security) הוא פרוטוקול קריפטוגרפי המספק אימות, פרטיות ואבטחה מקצה לקצה של נתונים הנשלחים בין יישומים או מכשירים דרך האינטרנט. ככל שפלטפורמות טלפוניה מתארחות הפכו נפוצות יותר, גדל הצורך ב-TLS לספק תקשורת מאובטחת דרך האינטרנט הציבורי. התקני Algo התומכים בקושחה 1.6.4 ואילך תומכים באבטחת שכבת תחבורה (TLS) הן עבור אספקה ​​והן עבור איתות SIP.
פֶּתֶק: נקודות הקצה הבאות אינן תומכות ב-TLS: 8180 IP Audio Alerter (G1), 8028 IP Doorphone (G1), 8128 IP Visual Alerter (G1), 8061 IP Relay Controller.

הצפנה מול אימות זהות

בעוד שתעבורת TLS תמיד מוצפנת ובטוחה מפני האזנה או שינוי של צד שלישי, ניתן לספק שכבת אבטחה נוספת באמצעות אישורים כדי לאמת את זהות הצד השני. זה מאפשר לשרת לאמת את זהות התקן IP Endpoint, ולהיפך.
לביצוע בדיקת הזהות, האישור file חייב להיות חתום על ידי רשות אישורים (CA). ההתקן השני בודק את החתימה הזו, באמצעות האישור הציבורי (מהימן) מ-CA זה.

תעודות TLS

נקודות הקצה של Algo IP מגיעות מותקנות מראש עם קבוצה של אישורים ציבוריים מרשויות אישורים מהימנות של צד שלישי (CA), כולל Comodo, Verisign, Symantec, DigiCert וכו'. רשויות האישורים מספקות אישורים חתומים לעסקים כדי לאפשר לעסקים אלה להוכיח ש השרתים שלהם או webאתרים הם למעשה מי שהם אומרים שהם. מכשירי אלגו יכולים לאשר שהוא מתקשר עם שרת אותנטי על ידי אימות האישורים החתומים של השרת מול האישורים הציבוריים מה-CA שחתם עליו. ניתן גם להעלות אישורים ציבוריים נוספים, כדי לאפשר למכשיר Algo לתת אמון ולאמת שרתים נוספים שאולי אינם כלולים בתעודות המותקנות מראש (למשלample, תעודות בחתימה עצמית).

אימות הדדי

אימות הדדי מוסיף שכבה נוספת אחת של אבטחה בכך שהוא דורש מהשרת לאמת ולסמוך גם על התקן נקודת הקצה, בנוסף לכיוון ההפוך של נקודת הקצה המאמתת את השרת. זה מיושם באמצעות אישור התקן ייחודי, המותקן בכל נקודת קצה Algo SIP בזמן הייצור. מכיוון שכתובת ה-IP של מכשיר אלגו אינה קבועה (היא נקבעת על ידי הרשת של הלקוח), אלגו אינה יכולה לפרסם מידע זה מראש עם ה-CAs המהימנים, ובמקום זאת, אישורי התקן אלו חייבים להיות חתומים על ידי CA של אלגו עצמו.
כדי שהשרת ייתן אמון במכשיר Algo, מנהל המערכת יצטרך להתקין את שרשרת האישורים הציבורית של Algo CA על השרת שלו (למשלampהשתמש ב-SIP Phone System או בשרת האספקה ​​שלהם) כדי ששרת זה יוכל לוודא שאישור ההתקן במכשיר Algo הוא אכן אותנטי.

פֶּתֶק: לנקודות הקצה של Algo IP שיוצרו בשנת 2019 (החל מקושחה 1.7.1) ואילך מותקן תעודת ההתקן מהמפעל.
כדי לוודא אם האישור מותקן, נווט אל מערכת -> כרטיסייה אודות. ראה את תעודת היצרן. אם האישור אינו מותקן, נא לשלוח דוא"ל support@algosolutions.com. ALGO TLS Transport Layer Security - איור 1

סוויטות צופן

חבילות צופן הן קבוצות של אלגוריתמים המשמשות במהלך הפעלת TLS. כל סוויטה כוללת אלגוריתמים לאימות, הצפנה ואימות הודעות. מכשירי אלגו תומכים באלגוריתמי הצפנה נפוצים רבים כגון AES256 ואלגוריתמי קוד אימות הודעות כגון SHA-2.

אישורי מכשיר אלגו

אישורי מכשיר חתומים על ידי Algo Root CA הותקנו במפעל במכשירי Algo מאז 2019, החל מקושחה 1.7.1. התעודה נוצרת בעת ייצור המכשיר, כאשר שדה השם המשותף בתעודה מכיל את כתובת ה-MAC של כל מכשיר.
תעודת המכשיר תקפה ל-30 שנה ונמצאת במחיצה נפרדת, כך שהיא לא תימחק גם לאחר איפוס היצרן של נקודת הקצה של Algo.
מכשירי Algo תומכים גם בהעלאת אישור מכשיר משלך לשימוש במקום אישור המכשיר שהותקן במפעל. ניתן להתקין זאת על ידי העלאת PEM file המכיל גם אישור התקן וגם מפתח פרטי אותו לספריית 'certs' (לא ספריית 'certs/trusted'!) במערכת -> File לשונית מנהל. זֶה file צריך לקרוא לו 'לגימה' client.pem'.

העלאת אישורי CA ציבוריים לנקודות קצה של Algo SIP

אם אתה משתמש בקושחה נמוכה מ-3.1.X, אנא שדרג את המכשיר.
כדי להתקין את האישור על מכשיר Algo עם קושחה v3.1 ומעלה, בצע את השלבים הבאים:

  1. השג אישור ציבורי מרשות האישורים שלך (ניתן לקבל כל אישור תקף בפורמט X.509). לא נדרש פורמט ספציפי עבור fileשֵׁם.
  2. ב- web ממשק של מכשיר Algo, נווט אל מערכת -> File לשונית מנהל.
  3. העלה את האישור files לתוך ספריית 'certs/trusted'. לחץ על כפתור העלאה בפינה השמאלית העליונה של file מנהל ודפדף לתעודה.

Web אפשרויות ממשק

הקצאת HTTPS
ניתן לאבטח את ההקצאה על ידי הגדרת 'שיטת ההורדה' ל'HTTPS' (תחת הכרטיסייה מתקדמות > הקצאה). זה מונע תצורה files מקריאה על ידי צד שלישי לא רצוי. זה פותר את הסיכון הפוטנציאלי של גניבת נתונים רגישים, כגון סיסמאות מנהל ואישורי SIP. ALGO TLS Transport Layer Security - איור 2

כדי לבצע אימות זהות בשרת ההקצאה, הגדר גם את 'אימות אישור שרת' ל'מופעל'. אם האישור של שרת ההקצאה חתום על ידי אחד מה-CAs המסחריים הנפוצים, אזי למכשיר Algo כבר אמור להיות האישור הציבורי עבור CA זה ויוכל לבצע את האימות.
העלה אישורים נוספים (אישור X.64 מקודד ב-Base509 file בפורמט .pem, .cer או .crt) על ידי ניווט אל "System > File מנהל" לתיקיית 'certs/trusted'.
הערה: ניתן להפעיל את הפרמטר 'אמת אישור שרת' גם באמצעות הקצאה: prov.download.cert = 1

HTTPS Web פרוטוקול ממשק
ההליך להעלאת אישור ציבורי עבור HTTPS web הגלישה דומה למה שמתואר בסעיף למעלה. הכתובת httpd.pem file הוא אישור מכשיר שמתבקש על ידי הדפדפן של המחשב שלך כאשר אתה מנווט ל-IP של המכשיר. העלאת קובץ מותאם אישית עשויה לאפשר לך להיפטר מהודעת האזהרה אם תיגש ל Webממשק משתמש באמצעות HTTPS. זה לא אישור CA ציבורי. יש להעלות את התעודה ל'תעודות'. ALGO TLS Transport Layer Security - איור 3

איתות SIP (ו-RTP Audio)

איתות SIP מאובטח על ידי הגדרת 'SIP Transportation' ל-'TLS' (תחת הכרטיסייה מתקדמות > SIP מתקדם).

  • זה מבטיח שתעבורת SIP תהיה מוצפנת.
  • איתות ה-SIP אחראי ליצירת השיחה (אותות הבקרה להתחיל ולסיים את השיחה עם הצד השני), אך הוא אינו מכיל את האודיו.
  • עבור נתיב השמע (קולי), השתמש בהגדרה 'הצעה SDP SRTP'.
  • הגדרה זו ל'אופציונלית' פירושה שנתוני ה-RTP של שיחת SIP יהיו מוצפנים (באמצעות SRTP) אם הצד השני תומך גם בהצפנת שמע.
  • אם הצד השני אינו תומך ב-SRTP, השיחה עדיין תמשיך, אך עם אודיו לא מוצפן. כדי להפוך את הצפנת השמע לחובה עבור כל השיחות, הגדר את 'הצעה SRTP SDP' ל'סטנדרטית'. במקרה זה, אם הצד השני אינו תומך בהצפנת אודיו, ניסיון השיחה יידחה.
  • כדי לבצע אימות זהות בשרת SIP, הגדר גם את 'אימות אישור שרת' ל'מופעל'.
  • אם האישור של שרת ה-SIP חתום על ידי אחד מה-CAs המסחריים הנפוצים, אזי למכשיר Algo כבר יש את האישור הציבורי עבור CA זה ויוכל לבצע את האימות. אם לא (לדוגמהampעם אישורים בחתימה עצמית), אז ניתן להעלות את האישור הציבורי המתאים למכשיר Algo כפי שתואר קודם לכן במסמך זה.

ALGO TLS Transport Layer Security - איור 4

TLS גרסה 1.2
מכשירי Algo המריצים קושחה מגרסה 3.1 ומעלה תומכים ב-TLS v1.1 ו-v1.2. 'אלץ TLS מאובטח
ניתן להשתמש באפשרות 'גרסה' כדי לדרוש מחיבורי TLS להשתמש ב-TLSv1.2. כדי להפעיל תכונה זו:

  • עבור אל הגדרות מתקדמות > SIP מתקדם
  • הגדר את 'אלץ גירסת TLS מאובטחת' כמופעל ושמור.
    פֶּתֶק: אפשרות זו הוסרה בגרסה 4.0+ מאחר ש-TLS v1.2 משמש כברירת מחדל

הורדת תעודות אלגו

להלן סט קישורים להורדת שרשרת האישורים של Algo CA. ה fileניתן להתקין s על שרת SIP או שרת אספקה ​​על מנת ששרתים אלו יאמתו את אישורי ההתקן בנקודות הקצה של Algo SIP, ובכך יאפשרו אימות הדדי:
Algo Root CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo בינוני CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
תעודה ציבורית של אלגו: חttp://firmware.algosolutions.com/pub/certs/algo_ca.crt

פתרון בעיות

אם לחיצת היד של TLS לא הושלמה, אנא שלח לכידת מנות לתמיכה של Algo לצורך ניתוח. לשם כך תצטרכו לשקף את התעבורה, מהיציאה אליה מחוברת נקודת הקצה של Algo במתג הרשת, חזרה למחשב.

אלגו מוצרי תקשורת בע"מ
4500 Beedie St Burnaby BC קנדה V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

מסמכים / משאבים

ALGO TLS אבטחת שכבת תחבורה [pdfהוראות
TLS, Transport Layer Security, Layer Security, TLS, Transport Layer

הפניות

פוסטים קשורים

השאר תגובה

כתובת האימייל שלך לא תפורסם. שדות חובה מסומנים *