ALGO TLS көлік деңгейінің қауіпсіздік нұсқаулары

TLS (Transport Layer Security) – Интернет арқылы қолданбалар немесе құрылғылар арасында жіберілген деректердің аутентификациясын, құпиялылығын және түпкілікті қауіпсіздігін қамтамасыз ететін криптографиялық протокол. Қондырылған телефония платформалары кең таралғандықтан, жалпыға қолжетімді интернет арқылы қауіпсіз байланысты қамтамасыз ету үшін TLS қажеттілігі артты. 1.6.4 немесе одан кейінгі микробағдарламаны қолдайтын Algo құрылғылары Provisioning және SIP сигнализациясы үшін Transport Layer Security (TLS) мүмкіндігін қолдайды.
Ескерту: келесі соңғы нүктелер TLS қолдамайды: 8180 IP Audio Alerter (G1), 8028 IP Doorphone (G1), 8128 IP Visual Alerter (G1), 8061 IP Relay Controller.

Шифрлау және жеке басын растау

TLS трафигі әрқашан шифрланған және үшінші тараптың тыңдауынан немесе өзгертуінен қауіпсіз болғанымен, екінші тараптың жеке басын тексеру үшін Сертификаттар арқылы қосымша қауіпсіздік деңгейін қамтамасыз етуге болады. Бұл Серверге IP Endpoint құрылғысының сәйкестігін тексеруге мүмкіндік береді және керісінше.
Жеке басын тексеруді орындау үшін Куәлік file сертификаттау орталығы (CA) қол қоюы керек. Содан кейін басқа құрылғы осы CA-ның жалпы (сенімді) сертификатын пайдаланып, осы қолтаңбаны тексереді.

TLS сертификаттары

Algo IP соңғы нүктелері Comodo, Verisign, Symantec, DigiCert және т.б. қоса, сенімді үшінші тарап сертификаттау орталықтарының (CA) жалпыға ортақ сертификаттарымен бірге алдын ала орнатылған. Куәлік органдары осы бизнеске осыны дәлелдеуге мүмкіндік беру үшін бизнеске қол қойылған сертификаттарды береді. олардың серверлері немесе webсайттар шын мәнінде олар кім деп айтады. Algo құрылғылары сервердің қол қойылған сертификаттарын оған қол қойған CA жалпы куәліктерімен салыстыру арқылы оның түпнұсқа сервермен байланысып жатқанын растай алады. Algo құрылғысына алдын ала орнатылған сертификаттарға кірмейтін қосымша серверлерге сенуге және тексеруге мүмкіндік беру үшін қосымша жалпы сертификаттарды да жүктеп салуға болады (мысалы,ample, өздігінен қол қойылған сертификаттар).

Өзара аутентификация

Өзара аутентификация серверді растайтын соңғы нүктенің қарама-қарсы бағытына қоса, серверден соңғы нүкте құрылғысын тексеруді және сенуді талап ету арқылы қауіпсіздіктің бір қосымша деңгейін қосады. Бұл өндіру кезінде әрбір Algo SIP соңғы нүктесінде орнатылған бірегей құрылғы сертификаты арқылы жүзеге асырылады. Algo құрылғысының IP мекенжайы бекітілмегендіктен (ол тұтынушының желісі арқылы анықталады), Algo бұл ақпаратты сенімді CA-мен алдын ала жариялай алмайды, оның орнына бұл құрылғы сертификаттарына Algo компаниясының жеке CA қол қоюы керек.
Сервер Algo құрылғысына сенуі үшін жүйелік әкімші өз серверіне жалпыға ортақ Algo CA сертификаттар тізбегін орнатуы керек (мысалы,ample SIP телефон жүйесі немесе олардың қамтамасыз ету сервері) бұл сервер Algo құрылғысындағы Құрылғы куәлігінің шын мәнінде түпнұсқа екенін тексере алады.

Ескерту: 2019 жылы шығарылған (1.7.1 микробағдарламасынан бастап) немесе одан кейінгі Algo IP соңғы нүктелерінде зауыттан орнатылған құрылғы сертификаты бар.
Куәліктің орнатылғанын тексеру үшін Жүйе -> Туралы қойындысына өтіңіз. Өндіруші сертификатын қараңыз. Егер сертификат орнатылмаған болса, электрондық поштаны жіберіңіз support@algosolutions.com.

Cipher Suites

Шифрлық жинақтар - TLS сеансы кезінде қолданылатын алгоритмдер жиыны. Әрбір жиынтықта аутентификация, шифрлау және хабарлама аутентификациясы үшін алгоритмдер бар. Algo құрылғылары AES256 сияқты көптеген жиі қолданылатын шифрлау алгоритмдерін және SHA-2 сияқты хабарламаның аутентификация кодының алгоритмдерін қолдайды.

Algo құрылғысының сертификаттары

Algo Root CA қол қойған құрылғы сертификаттары 2019 микробағдарламасынан бастап 1.7.1 жылдан бастап Algo құрылғыларында зауытта орнатылған. Сертификат әрбір құрылғы үшін MAC мекенжайын қамтитын сертификаттағы жалпы атау өрісімен құрылғы өндірілген кезде жасалады.
Құрылғы сертификаты 30 жыл бойы жарамды және бөлек бөлімде болады, сондықтан ол Algo соңғы нүктесін зауыттық параметрлерге қайтарғаннан кейін де өшірілмейді.
Algo құрылғылары зауытта орнатылған құрылғы сертификатының орнына пайдалану үшін жеке құрылғы сертификатын жүктеп салуды да қолдайды. Оны PEM жүктеп салу арқылы орнатуға болады file Құрал сертификатын және оның Жүйедегі 'certs' каталогына («certs/сенімді» каталог емес!) жеке кілтін қосады -> File Менеджер қойындысы. Бұл file «сип» деп атау керек client.pem'.

Қоғамдық CA сертификаттарын Algo SIP соңғы нүктелеріне жүктеп салу

3.1.X нұсқасынан төмен микробағдарламада болсаңыз, құрылғыны жаңартыңыз.
Микробағдарлама v3.1 және одан жоғары жұмыс істейтін Algo құрылғысына сертификатты орнату үшін төмендегі қадамдарды орындаңыз:

Сертификаттау орталығынан жалпыға ортақ сертификат алыңыз (кез келген жарамды X.509 пішімінің сертификатын қабылдауға болады). үшін арнайы пішім талап етілмейді fileаты.
жылы web Algo құрылғысының интерфейсінде Жүйе -> тармағына өтіңіз File Менеджер қойындысы.

Сертификат жүктеп салыңыз files «certs/сенімді» каталогына енгізіңіз. Жоғарғы сол жақ бұрыштағы Жүктеп салу түймесін басыңыз file менеджерге өтіп, сертификатты шолыңыз.

Web Интерфейс опциялары

HTTPS қамтамасыз ету
Қамтамасыз етуді «Жүктеп алу әдісін» «HTTPS» күйіне орнату арқылы қорғауға болады (Қосымша параметрлер > Қамтамасыз ету қойындысының астында). Бұл конфигурацияны болдырмайды fileқажетсіз үшінші тарап оқуына жол бермейді. Бұл әкімші құпия сөздері және SIP тіркелгі деректері сияқты құпия деректердің ұрлану қаупін шешеді.

Қамтамасыз ету серверінде сәйкестікті растауды орындау үшін, сондай-ақ "Сервер сертификатын тексеру" параметрін "Қосулы" күйіне орнатыңыз. Қамтамасыз ету серверінің Сертификатына жалпы коммерциялық CA-лардың бірі қол қойған болса, Algo құрылғысында осы CA үшін жалпыға ортақ сертификат болуы және тексеруді орындау мүмкіндігі болуы керек.
Қосымша сертификаттарды жүктеп салыңыз (Base64 кодталған X.509 сертификаты file .pem, .cer немесе .crt пішімінде) «Жүйе > тармағына өту арқылы File Менеджерді 'certs/сенімді' қалтаға таңдаңыз.
ЕСКЕРТПЕ: "Сервер сертификатын тексеру" параметрін дайындау арқылы да қосуға болады: prov.download.cert = 1

HTTPS Web Интерфейс хаттамасы
HTTPS үшін жалпыға ортақ сертификатты жүктеп салу процедурасы web шолу жоғарыдағы бөлімде сипатталғанға ұқсас. httpd.pem file — құрылғының IP мекенжайына өткен кезде компьютер браузері сұрайтын құрылғы сертификаты. Пайдаланушыны жүктеп салу, егер сіз кіруге болатын болса, ескерту хабарынан құтылуға мүмкіндік береді WebHTTPS пайдаланатын UI. Бұл жалпыға қолжетімді CA сертификаты емес. Куәлікті «сертификаттарға» жүктеп салу керек.

SIP сигнализациясы (және RTP дыбысы)

SIP сигнализациясы 'SIP тасымалдау' параметрін 'TLS' күйіне орнату арқылы қамтамасыз етіледі (Қосымша параметрлер > Қосымша SIP қойындысының астында).

Ол SIP трафигінің шифрлануын қамтамасыз етеді.

SIP сигнализациясы қоңырауды орнатуға жауап береді (басқа тараппен қоңырауды бастау және аяқтау үшін басқару сигналдары), бірақ оның құрамында дыбыс жоқ.
Дыбыс (дауыс) жолы үшін «SDP SRTP ұсынысы» параметрін пайдаланыңыз.

Мұны «Қосымша» күйіне орнату, егер екінші тарап аудио шифрлауды қолдаса, SIP қоңырауының RTP аудио деректері шифрланатынын (SRTP арқылы) білдіреді.
Егер екінші тарап SRTP-ге қолдау көрсетпесе, қоңырау шифрланбаған дыбыспен жалғасады. Барлық қоңыраулар үшін аудио шифрлауды міндетті ету үшін «SDP SRTP ұсынысын» «Стандартты» етіп орнатыңыз. Бұл жағдайда, егер екінші тарап аудио шифрлауды қолдамаса, онда қоңырау шалу әрекеті қабылданбайды.

SIP серверінде сәйкестікті растауды орындау үшін, сондай-ақ "Сервер сертификатын тексеру" параметрін "Қосулы" күйіне орнатыңыз.
Егер SIP серверінің Сертификатына жалпы коммерциялық CA-лардың бірімен қол қойылса, Algo құрылғысында осы CA үшін жалпыға ортақ сертификат болуы және тексеруді орындау мүмкіндігі болуы керек. Егер жоқ болса (мысалыampӨздігінен қол қойылған сертификаттармен), содан кейін тиісті жалпы сертификатты осы құжатта бұрын сипатталғандай Algo құрылғысына жүктеп салуға болады.

TLS 1.2 нұсқасы
Микробағдарлама v3.1 және одан жоғары жұмыс істейтін Algo құрылғылары TLS v1.1 және v1.2 қолдауына ие. 'Secure TLS мәжбүрлеу
Нұсқа' опциясы TLSv1.2 пайдалану үшін TLS қосылымдарын талап ету үшін пайдаланылуы мүмкін. Бұл мүмкіндікті қосу үшін:

Кеңейтілген параметрлер > Қосымша SIP тармағына өтіңіз
«Қауіпсіз TLS нұсқасын мәжбүрлеу» параметрін қосулы етіп орнатыңыз және сақтаңыз.
ЕСКЕРТУ: Бұл опция v4.0+ нұсқасында жойылған, себебі TLS v1.2 әдепкі бойынша пайдаланылады

Algo сертификаттарын жүктеп алу

Төменде Algo CA сертификаттар тізбегін жүктеп алуға арналған сілтемелер жинағы берілген. The files бұл серверлер Algo SIP соңғы нүктелеріндегі құрылғы сертификаттарының аутентификациясы және осылайша өзара аутентификацияға рұқсат беруі үшін SIP серверінде немесе қамтамасыз ету серверінде орнатылуы мүмкін:
Algo Root CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo Intermediate CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Algo қоғамдық сертификаты: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

Ақаулықтарды жою

TLS қол алысуы аяқталмаса, талдау үшін Algo қолдау қызметіне пакетті түсіруді жіберіңіз. Бұл әрекетті орындау үшін сізге трафикті бейнелеу керек, Algo соңғы нүктесі желі қосқышына қосылған порттан компьютерге қайта оралады.

Algo Communications Products Ltd
4500 Beedie St Burnaby BC Канада V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

Құжаттар / Ресурстар

ALGO TLS көлік деңгейінің қауіпсіздігі [pdf] Нұсқаулар
TLS, көлік деңгейінің қауіпсіздігі, деңгейдің қауіпсіздігі, TLS, тасымалдау деңгейі

Анықтамалар

Пайдаланушы нұсқаулығы

TLS-ке кіріспе