ALGO TLS სატრანსპორტო ფენის უსაფრთხოების ინსტრუქციები

TLS (Transport Layer Security) არის კრიპტოგრაფიული პროტოკოლი, რომელიც უზრუნველყოფს ავთენტიფიკაციას, კონფიდენციალურობას და აპლიკაციებსა თუ მოწყობილობებს შორის ინტერნეტით გაგზავნილი მონაცემების ავთენტიფიკაციას, კონფიდენციალურობას და ბოლომდე უსაფრთხოებას. მას შემდეგ, რაც მასპინძელი სატელეფონო პლატფორმები უფრო გავრცელებული გახდა, გაიზარდა TLS-ის საჭიროება უზრუნველყოს უსაფრთხო კომუნიკაცია საჯარო ინტერნეტის საშუალებით. Algo მოწყობილობები, რომლებიც მხარს უჭერენ firmware 1.6.4 ან უფრო გვიან, მხარს უჭერენ სატრანსპორტო ფენის უსაფრთხოებას (TLS) როგორც უზრუნველყოფის, ასევე SIP სიგნალიზაციისთვის.
შენიშვნა: შემდეგი ბოლო წერტილები არ უჭერს მხარს TLS: 8180 IP აუდიო გამაფრთხილებელი (G1), 8028 IP კარის ტელეფონი (G1), 8128 IP ვიზუალური გამაფრთხილებელი (G1), 8061 IP სარელეო კონტროლერი.

დაშიფვრა პირადობის დადასტურების წინააღმდეგ

მიუხედავად იმისა, რომ TLS ტრაფიკი ყოველთვის დაშიფრულია და დაცულია მესამე მხარის მოსმენისგან ან მოდიფიკაციისგან, უსაფრთხოების დამატებითი ფენა შეიძლება უზრუნველყოფილი იყოს სერტიფიკატების გამოყენებით მეორე მხარის იდენტურობის დასადასტურებლად. ეს საშუალებას აძლევს სერვერს გადაამოწმოს IP Endpoint მოწყობილობის იდენტურობა და პირიქით.
პირადობის შემოწმების ჩასატარებლად სერტიფიკატი file ხელი უნდა მოაწეროს სერტიფიკატის ორგანოს (CA). შემდეგ სხვა მოწყობილობა ამოწმებს ამ ხელმოწერას ამ CA-ს საჯარო (სანდო) სერტიფიკატის გამოყენებით.

TLS სერთიფიკატები

Algo IP Endpoints მოყვება წინასწარ დაინსტალირებული საჯარო სერთიფიკატების ნაკრები სანდო მესამე მხარის სერთიფიკატების ორგანოებისგან (CA), მათ შორის Comodo, Verisign, Symantec, DigiCert და ა.შ. მათი სერვერები ან webსაიტები სინამდვილეში არიან ის, ვინც ამბობენ, რომ არიან. Algo-ს მოწყობილობებს შეუძლიათ დაადასტურონ, რომ ის აკავშირებს ავთენტურ სერვერს სერვერის ხელმოწერილი სერთიფიკატების შემოწმებით საჯარო სერთიფიკატებთან CA-დან, რომელმაც ხელი მოაწერა მას. ასევე შესაძლებელია დამატებითი საჯარო სერთიფიკატების ატვირთვა, რათა Algo მოწყობილობას მიეცეს ნდობა და გადაამოწმოს დამატებითი სერვერები, რომლებიც შეიძლება არ იყოს ჩართული წინასწარ დაინსტალირებულ სერთიფიკატებში (მაგ.ampლე, თვით ხელმოწერილი სერთიფიკატები).

ორმხრივი ავთენტიფიკაცია

ორმხრივი ავტორიზაცია ამატებს უსაფრთხოების კიდევ ერთ ფენას, რომელიც მოითხოვს, რომ სერვერმა ასევე შეამოწმოს და ენდოს საბოლოო წერტილის მოწყობილობას, გარდა სერვერის ვალიდაციის საბოლოო წერტილის საპირისპირო მიმართულებისა. ეს განხორციელებულია უნიკალური მოწყობილობის სერთიფიკატის გამოყენებით, რომელიც დაყენებულია Algo SIP-ის თითოეულ ბოლო წერტილზე წარმოების დროს. იმის გამო, რომ Algo მოწყობილობის IP მისამართი არ არის დაფიქსირებული (მას განსაზღვრავს მომხმარებლის ქსელი), Algo-ს არ შეუძლია წინასწარ გამოაქვეყნოს ეს ინფორმაცია სანდო CA-ებთან და ამის ნაცვლად, ამ მოწყობილობის სერთიფიკატებს ხელი უნდა მოაწეროს Algo-ს საკუთარ CA-ს მიერ.
იმისათვის, რომ სერვერმა შემდეგ ენდოს Algo მოწყობილობას, სისტემის ადმინისტრატორს უნდა დააინსტალიროს საჯარო Algo CA სერტიფიკატების ჯაჭვი თავის სერვერზე (მაგ.ampSIP სატელეფონო სისტემა ან მათი უზრუნველყოფის სერვერი), რათა ამ სერვერმა შეძლოს დაადასტუროს, რომ მოწყობილობის სერთიფიკატი Algo მოწყობილობაზე ფაქტობრივად ავთენტურია.

შენიშვნა: 2019 წელს წარმოებულ Algo IP საბოლოო წერტილებს (დაწყებული firmware 1.7.1-ით) ან უფრო გვიან აქვთ მოწყობილობის სერტიფიკატი დაინსტალირებული ქარხნიდან.
იმის დასადასტურებლად, არის თუ არა სერთიფიკატი დაინსტალირებული, გადადით სისტემა -> ჩანართზე შესახებ. იხილეთ მწარმოებლის სერთიფიკატი. თუ სერტიფიკატი არ არის დაინსტალირებული, გთხოვთ, ელ support@algosolutions.com.

შიფრული ლუქსი

შიფრული კომპლექტები არის ალგორითმების ნაკრები, რომლებიც გამოიყენება TLS სესიის დროს. თითოეული კომპლექტი მოიცავს ავთენტიფიკაციის, დაშიფვრის და შეტყობინებების ავთენტიფიკაციის ალგორითმებს. Algo მოწყობილობები მხარს უჭერენ ბევრ ხშირად გამოყენებულ დაშიფვრის ალგორითმს, როგორიცაა AES256 და შეტყობინების ავთენტიფიკაციის კოდის ალგორითმები, როგორიცაა SHA-2.

Algo მოწყობილობის სერთიფიკატები

Algo Root CA-ს მიერ ხელმოწერილი მოწყობილობის სერთიფიკატები ქარხნულად დაინსტალირებულია Algo მოწყობილობებზე 2019 წლიდან, დაწყებული firmware 1.7.1-ით. სერთიფიკატი გენერირდება მოწყობილობის წარმოებისას, სერთიფიკატში საერთო სახელის ველით, რომელიც შეიცავს თითოეული მოწყობილობის MAC მისამართს.
მოწყობილობის სერტიფიკატი მოქმედებს 30 წლის განმავლობაში და განთავსებულია ცალკეულ დანაყოფში, ასე რომ, ის არ წაიშლება ალგოს საბოლოო წერტილის ქარხნული გადატვირთვის შემდეგაც კი.
Algo მოწყობილობები ასევე მხარს უჭერენ თქვენი მოწყობილობის სერთიფიკატის ატვირთვას ქარხნულად დაინსტალირებული მოწყობილობის სერთიფიკატის ნაცვლად გამოსაყენებლად. ეს შეიძლება დაინსტალირდეს PEM-ის ატვირთვით file შეიცავს როგორც მოწყობილობის სერთიფიკატს, ასევე პირად კლავიშს, რომელიც შედის "certs" დირექტორიაში (არა "certs/trusted" დირექტორიაში!) სისტემაში -> File მენეჯერის ჩანართი. ეს file უნდა ეწოდოს "sip". კლიენტი.პემ'.

საჯარო CA სერთიფიკატების ატვირთვა Algo SIP ბოლო წერტილებში

თუ თქვენ გაქვთ 3.1.X-ზე დაბალი პროგრამული უზრუნველყოფა, გთხოვთ განაახლოთ მოწყობილობა.
სერთიფიკატის დასაყენებლად Algo მოწყობილობაზე, რომელიც მუშაობს firmware v3.1 და ზემოთ, მიჰყევით ქვემოთ მოცემულ ნაბიჯებს:

მიიღეთ საჯარო სერტიფიკატი თქვენი სერტიფიკატის ორგანოსგან (ნებისმიერი მოქმედი X.509 ფორმატის სერტიფიკატი შეიძლება მიღებულ იქნეს). ამისთვის არ არის საჭირო კონკრეტული ფორმატი fileსახელი.
ში web Algo მოწყობილობის ინტერფეისი, გადადით სისტემაში -> File მენეჯერის ჩანართი.

ატვირთეთ სერთიფიკატი files შევიდა 'certs/trusted' დირექტორიაში. დააჭირეთ ატვირთვის ღილაკს ზედა მარცხენა კუთხეში file მენეჯერი და დაათვალიერეთ სერტიფიკატი.

Web ინტერფეისის პარამეტრები

HTTPS უზრუნველყოფა
უზრუნველყოფის უზრუნველყოფა შესაძლებელია „ჩამოტვირთვის მეთოდის“ დაყენებით „HTTPS“-ზე (მოწინავე პარამეტრები > უზრუნველყოფის ჩანართის ქვეშ). ეს ხელს უშლის კონფიგურაციას fileარასასურველი მესამე მხარის მიერ წაკითხვისგან. ეს აგვარებს მგრძნობიარე მონაცემების მოპარვის პოტენციურ რისკს, როგორიცაა ადმინისტრატორის პაროლები და SIP რწმუნებათა სიგელები.

უზრუნველყოფის სერვერზე პირადობის დადასტურების შესასრულებლად, ასევე დააყენეთ „სერვერის სერთიფიკატის შემოწმება“ „ჩართული“. თუ უზრუნველყოფის სერვერის სერთიფიკატს ხელს აწერს ერთ-ერთი საერთო კომერციული CA, მაშინ Algo მოწყობილობას უკვე უნდა ჰქონდეს საჯარო სერტიფიკატი ამ CA-სთვის და შეძლებს შეასრულოს ვერიფიკაცია.
ატვირთეთ დამატებითი სერთიფიკატები (Base64 კოდირებული X.509 სერთიფიკატი file .pem, .cer ან .crt ფორმატში) ნავიგაციით „System > File მენეჯერი“ საქაღალდეში „სერთიფიკატები/სანდო“.
შენიშვნა: „სერვერის სერთიფიკატის გადამოწმების“ პარამეტრი ასევე შეიძლება ჩართოთ უზრუნველყოფის გზით: prov.download.cert = 1

HTTPS Web ინტერფეისის პროტოკოლი
HTTPS-ისთვის საჯარო სერტიფიკატის ატვირთვის პროცედურა web დათვალიერება იგივეა, რაც ზემოთ მოცემულ განყოფილებაშია აღწერილი. httpd.pem file არის მოწყობილობის სერტიფიკატი, რომელსაც ითხოვს თქვენი კომპიუტერის ბრაუზერი მოწყობილობის IP-ზე ნავიგაციისას. მორგებულის ატვირთვამ შეიძლება მოგცეთ გამაფრთხილებელი შეტყობინების მოშორება, თუ მასზე წვდებით Webინტერფეისი HTTPS-ის გამოყენებით. ეს არ არის საჯარო CA სერთიფიკატი. სერთიფიკატი უნდა აიტვირთოს "სერთიფიკატებში".

SIP სიგნალიზაცია (და RTP აუდიო)

SIP სიგნალიზაცია უზრუნველყოფილია „SIP ტრანსპორტირების“ დაყენებით „TLS“-ზე (მოწინავე პარამეტრები > გაფართოებული SIP ჩანართის ქვეშ).

ის უზრუნველყოფს, რომ SIP ტრაფიკი დაშიფრული იქნება.

SIP სიგნალიზაცია პასუხისმგებელია ზარის დამყარებაზე (საკონტროლო სიგნალები მეორე მხარესთან ზარის დასაწყებად და დასასრულებლად), მაგრამ ის არ შეიცავს აუდიოს.
აუდიო (ხმოვანი) ბილიკისთვის გამოიყენეთ პარამეტრი „SDP SRTP შეთავაზება“.

ამის „სურვილისამებრ“ დაყენება ნიშნავს, რომ SIP ზარის RTP აუდიო მონაცემები დაშიფრული იქნება (SRTP-ის გამოყენებით), თუ მეორე მხარე ასევე მხარს უჭერს აუდიო დაშიფვრას.
თუ მეორე მხარე არ უჭერს მხარს SRTP-ს, მაშინ ზარი კვლავ გაგრძელდება, მაგრამ დაშიფრული აუდიო. იმისათვის, რომ აუდიო დაშიფვრა სავალდებულო გახდეს ყველა ზარისთვის, დააყენეთ „SDP SRTP შეთავაზება“ „სტანდარტულად“. ამ შემთხვევაში, თუ მეორე მხარე არ უჭერს მხარს აუდიო დაშიფვრას, მაშინ ზარის მცდელობა უარყოფილი იქნება.

SIP სერვერზე პირადობის დადასტურების შესასრულებლად ასევე დააყენეთ „სერვერის სერთიფიკატის გადამოწმება“ „ჩართული“.
თუ SIP სერვერის სერთიფიკატს ხელს აწერს ერთ-ერთი საერთო კომერციული CA, მაშინ Algo მოწყობილობას უკვე უნდა ჰქონდეს საჯარო სერტიფიკატი ამ CA-სთვის და შეძლებს შეასრულოს ვერიფიკაცია. თუ არა (მაგampთვით ხელმოწერილი სერთიფიკატებით), მაშინ შესაბამისი საჯარო სერტიფიკატი შეიძლება აიტვირთოს Algo მოწყობილობაში, როგორც ეს ადრე იყო აღწერილი ამ დოკუმენტში.

TLS ვერსია 1.2
Algo მოწყობილობები, რომლებიც მუშაობენ firmware v3.1 და ზემოთ, მხარს უჭერენ TLS v1.1 და v1.2. იძულებით დაიცავით TLS
ვერსიის ოფცია შეიძლება გამოყენებულ იქნას TLS კავშირების მოთხოვნით TLSv1.2-ის გამოსაყენებლად. ამ ფუნქციის გასააქტიურებლად:

გადადით გაფართოებული პარამეტრები > გაფართოებული SIP
დააყენეთ „Force safe TLS Version“ ჩართული სახით და შეინახეთ.
შენიშვნა: ეს პარამეტრი ამოღებულია v4.0+-ში, რადგან TLS v1.2 გამოიყენება ნაგულისხმევად

Algo სერთიფიკატების ჩამოტვირთვა

ქვემოთ მოცემულია ბმულების ნაკრები Algo CA სერთიფიკატების ჯაჭვის ჩამოსატვირთად. The files შეიძლება დაინსტალირდეს SIP სერვერზე ან უზრუნველყოფის სერვერზე, რათა ამ სერვერებმა მოახდინოს მოწყობილობის სერთიფიკატების ავთენტიფიკაცია Algo SIP ბოლო წერტილებზე და ამით დაუშვას ურთიერთდამოწმება:
Algo Root CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo Intermediate CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
ალღოს საჯარო სერტიფიკატი: თttp://firmware.algosolutions.com/pub/certs/algo_ca.crt

პრობლემების მოგვარება

თუ TLS ხელის ჩამორთმევა არ სრულდება, გთხოვთ, გაუგზავნოთ პაკეტის აღება Algo მხარდაჭერას ანალიზისთვის. ამისათვის თქვენ მოგიწევთ ტრაფიკის ასახვა, პორტიდან Algo-ს ბოლო წერტილი დაკავშირებულია ქსელის გადამრთველზე, უკან კომპიუტერზე.

შპს ალგო კომუნიკაციის პროდუქტები
4500 Beedie St Burnaby BC კანადა V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

დოკუმენტები / რესურსები

ALGO TLS სატრანსპორტო ფენის უსაფრთხოება [pdf] ინსტრუქციები
TLS, სატრანსპორტო ფენის უსაფრთხოება, ფენის უსაფრთხოება, TLS, სატრანსპორტო ფენა

ცნობები

მომხმარებლის სახელმძღვანელო

შესავალი TLS-ში