ALGO TLS Транспорт катмарынын коопсуздук нускамалары

TLS (Transport Layer Security) – бул Интернет аркылуу тиркемелер же түзмөктөр ортосунда жөнөтүлгөн маалыматтардын аутентификациясын, купуялыгын жана аягына чейин коопсуздугун камсыз кылган криптографиялык протокол. Хост-телефония платформалары кеңири таралгандыктан, коомдук интернет аркылуу коопсуз байланышты камсыз кылуу үчүн TLS муктаждыгы көбөйдү. 1.6.4 же андан кийинки микропрограмманы колдогон Algo түзмөктөрү камсыздоо жана SIP сигнализациясы үчүн Транспорт катмарынын коопсуздугун (TLS) колдойт.
Эскертүү: төмөнкү акыркы чекиттер TLSди колдобойт: 8180 IP Audio Allerter (G1), 8028 IP Doorphone (G1), 8128 IP Visual Allerter (G1), 8061 IP Relay Controller.

Шифрлөө жана аныктыгын текшерүү

TLS трафиги ар дайым шифрленген жана үчүнчү тараптын тыңшоосунан же өзгөртүүсүнөн коопсуз болсо да, экинчи тараптын инсандыгын текшерүү үчүн Сертификаттарды колдонуу менен коопсуздуктун кошумча катмарын камсыз кылууга болот. Бул серверге IP Endpoint түзмөгүнүн идентификациясын текшерүүгө мүмкүндүк берет жана тескерисинче.
инсандыгын текшерүү жүргүзүү үчүн, күбөлүк file күбөлүк органы (CA) тарабынан кол коюлушу керек. Андан кийин башка түзмөк бул CAдан Коомдук (Ишенимдүү) Сертификат аркылуу бул кол тамганы текшерет.

TLS сертификаттары

Algo IP Endpoints ишенимдүү үчүнчү жактын тастыктама органдарынан (CA), анын ичинде Comodo, Verisign, Symantec, DigiCert ж. алардын серверлери же webсайттар чындыгында алар ким деп айтышат. Algo түзмөктөрү сервердин кол коюлган тастыктамаларын ага кол койгон CAнын жалпы тастыктамаларына каршы текшерүү аркылуу анык сервер менен байланышып жатканын ырастай алат. Алго түзмөгүнө алдын ала орнотулган сертификаттарга кирбей турган кошумча серверлерге ишенүүгө жана текшерүүгө уруксат берүү үчүн кошумча коомдук сертификаттарды да жүктөсө болот (мисалыampле, өз алдынча кол коюлган сертификаттар).

Өз ара аутентификация

Өз ара аутентификация серверди текшерүүчү акыркы чекиттин карама-каршы багытынан тышкары, серверден акыркы чекиттин аппаратын текшерүүсүн жана ишенүүсүн талап кылуу менен коопсуздуктун бир кошумча катмарын кошот. Бул өндүрүш учурунда ар бир Algo SIP акыркы чекитинде орнотулган уникалдуу Түзмөк сертификатын колдонуу менен ишке ашырылат. Algo түзмөгүнүн IP дареги бекитилбегендиктен (ал кардардын тармагы тарабынан аныкталат), Algo бул маалыматты ишенимдүү CAлар менен алдын ала жарыялай албайт, анын ордуна бул Түзмөктүн тастыктамаларына Algo компаниясынын өзүнүн CA тарабынан кол коюлушу керек.
Сервер Algo түзмөгүнө ишениши үчүн, системанын администратору өзүнүн серверине коомдук Algo CA тастыктама чынжырын орнотуусу керек (мисалы,ampSIP телефон тутумун же алардын камсыздоо серверин) бул сервер Algo түзмөгүндөгү Түзмөктүн сертификаты чындыгында анык экенин текшере алат.

Эскертүү: 2019-жылы чыгарылган Algo IP акыркы чекиттеринде (1.7.1 микропрограммасынан баштап) же андан кийин заводдон орнотулган түзмөк сертификаты бар.
Сертификат орнотулганын текшерүү үчүн Система -> Жөнүндө өтмөккө өтүңүз. Өндүрүүчүнүн сертификатын караңыз. Эгер сертификат орнотулбаса, электрондук кат жөнөтүңүз support@algosolutions.com.

Cipher Suites

Шифрдик топтомдор TLS сессиясында колдонулган алгоритмдердин жыйындысы. Ар бир топтом аутентификация, шифрлөө жана билдирүүнүн аныктыгын текшерүү үчүн алгоритмдерди камтыйт. Algo түзмөктөрү AES256 сыяктуу кеңири колдонулган шифрлөө алгоритмдерин жана SHA-2 сыяктуу билдирүүнүн аутентификация кодунун алгоритмдерин колдойт.

Algo түзмөк сертификаттары

Algo Root CA тарабынан кол коюлган түзмөк сертификаттары 2019-жылдан бери Algo түзмөктөрүндө 1.7.1 микропрограммасынан баштап орнотулган. Сертификат ар бир түзмөк үчүн MAC дарегин камтыган сертификаттагы жалпы аталыш талаасы менен аппарат өндүрүлгөндө түзүлөт.
Түзмөктүн сертификаты 30 жыл бою жарактуу жана өзүнчө бөлүмдө турат, андыктан Algo акыркы чекитин заводдон баштапкы абалга келтиргенден кийин да өчүрүлбөйт.
Algo түзмөктөрү фабрикада орнотулган түзмөк сертификатынын ордуна колдонуу үчүн өзүңүздүн түзмөк сертификатыңызды жүктөп берүүнү да колдойт. Бул PEM жүктөө аркылуу орнотсо болот file Түзмөктүн сертификатын жана аны тутумдагы 'certs' каталогуна («сертеттер/ишенимдүү» каталогго эмес!) жеке ачкычты камтыган -> File Башкаруучу өтмөк. Бул file сип деп атоого туура келет client.pem'.

Коомдук CA сертификаттарын Algo SIP Endpoints жүктөө

Эгерде сиз 3.1.X төмөн микропрограммада болсоңуз, аппаратты жаңыртыңыз.
Сертификатты Algo түзмөгүнө v3.1 жана андан жогору микропрограммалык камсыздоого орнотуу үчүн төмөнкү кадамдарды аткарыңыз:

Тастыктоо борборунан жалпыга ачык сертификат алыңыз (ар кандай жарактуу X.509 форматындагы сертификатты кабыл алууга болот). үчүн атайын формат талап кылынбайт fileаты.
Ичинде web Algo түзмөгүнүн интерфейси, Системага өтүңүз -> File Башкаруучу өтмөк.

Сертификат жүктөө files 'certs/trusted' каталогуна киргизиңиз. Жогорку сол бурчтагы Жүктөө баскычын чыкылдатыңыз file менеджер жана сертификатты карап чыгыңыз.

Web Интерфейс параметрлери

HTTPS камсыздоо
"Жүктөө ыкмасын" "HTTPS" кылып коюу менен камсыздоону камсыз кылууга болот (Өркүндөтүлгөн орнотуулар > Провизия өтмөгүндө). Бул конфигурацияга жол бербейт files керексиз үчүнчү тарап тарабынан окуудан. Бул администратордун сырсөздөрү жана SIP эсептик дайындары сыяктуу купуя маалыматтардын уурдалып кетүү коркунучун чечет.

Провизиялоо серверинде идентификацияны текшерүү үчүн, ошондой эле "Сервер сертификатын текшерүү" параметрин "Иштелген" кылып коюңуз. Эгерде камсыздоо серверинин Сертификатына жалпы коммерциялык САлардын бири кол койгон болсо, анда Algo түзмөгүндө бул СА үчүн коомдук сертификат мурунтан эле болушу керек жана текшерүүнү жүргүзө алат.
Кошумча сертификаттарды жүктөө (Base64 коддолгон X.509 сертификаты file .pem, .cer же .crt форматында) "Система >" бөлүмүнө өтүү менен File Менеджерди” 'certs/trusted' папкасына.
ЭСКЕРТҮҮ: 'Validate Server Certificate' параметрин камсыздоо аркылуу да иштетсе болот: prov.download.cert = 1

HTTPS Web Interface Protocol
HTTPS үчүн коомдук тастыктаманы жүктөө процедурасы web серептөө жогорудагы бөлүмдө сүрөттөлгөндөй окшош. httpd.pem file - бул аспаптын IP дарегине өткөндө компьютериңиздин браузери тарабынан суралган түзмөк сертификаты. Ыңгайлаштырылган файлды жүктөө, эгер сиз кире алсаңыз, эскертүү билдирүүсүнөн кутулууга мүмкүндүк берет WebHTTPS колдонгон UI. Бул жалпыга ачык CA тастыктамасы эмес. Күбөлүк "серттерге" жүктөлүшү керек.

SIP сигнализациясы (жана RTP аудио)

SIP сигнализациясы 'SIP транспортун' 'TLS'ге коюу менен камсыздалат (Өркүндөтүлгөн орнотуулар > Өркүндөтүлгөн SIP өтмөгүндө).

Бул SIP трафигинин шифрленгендигин камсыздайт.

SIP сигнализациясы чалуу үчүн жооптуу (башкаруу сигналдары башка тарап менен чалуу баштоо жана бүтүрүү үчүн), бирок анда аудио камтылган эмес.
Аудио (үн) жолу үчүн "SDP SRTP сунушу" жөндөөсүн колдонуңуз.

Муну "Милдеттүү эмес" деп коюу, эгер экинчи тарап аудио шифрлөөнү колдосо, SIP чалуусунун RTP аудио маалыматтары шифрлене турганын (SRTP аркылуу) билдирет.
Эгерде экинчи тарап SRTPди колдобосо, анда чалуу дагы эле уланат, бирок шифрленбеген аудио менен. Аудио шифрлөө бардык чалуулар үчүн милдеттүү кылуу үчүн, 'SDP SRTP сунушун' 'Стандарт' кылып коюңуз. Бул учурда, эгерде экинчи тарап аудио шифрлөөнү колдобосо, анда чалуу аракети четке кагылат.

SIP серверинде аныктыгын текшерүү үчүн, ошондой эле "Сервер сертификатын текшерүү" параметрин "Иштелген" кылып коюңуз.
Эгерде SIP серверинин Сертификатына жалпы коммерциялык САлардын бири кол койгон болсо, анда Algo түзмөгүндө бул СА үчүн коомдук сертификат мурунтан эле болушу керек жана текшерүүнү жүргүзө алат. Эгерде жок болсо (мисалыample өз алдынча кол коюлган сертификаттар менен), анда бул документте мурда сүрөттөлгөндөй, тийиштүү коомдук сертификатты Algo түзмөгүнө жүктөсө болот.

TLS версиясы 1.2
Микропрограмма v3.1 жана андан жогору иштеген Algo түзмөктөрү TLS v1.1 жана v1.2ди колдойт. 'Коопсуз TLS'ти мажбурлоо
Version' опциясы TLSv1.2 колдонуу үчүн TLS туташууларын талап кылуу үчүн колдонулушу мүмкүн. Бул функцияны иштетүү үчүн:

Өркүндөтүлгөн орнотуулар > Өркүндөтүлгөн SIP дегенге өтүңүз
"Коопсуз TLS версиясын мажбурлоону" иштетилген деп коюп, сактаңыз.
ЭСКЕРТҮҮ: TLS v4.0 демейки боюнча колдонулгандыктан, бул параметр v1.2+ версиясында алынып салынган

Algo сертификаттарын жүктөп алуу

Төмөндө Algo CA тастыктама чынжырын жүктөп алуу үчүн шилтемелердин топтому бар. The files бул серверлер Algo SIP Endpoints боюнча Түзмөктүн тастыктамаларын аутентификациялоосу жана өз ара аутентификацияга уруксат берүүсү үчүн SIP серверине же камсыздоо серверине орнотулушу мүмкүн:
Algo Root CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo Intermediate CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Algo коомдук күбөлүк: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

Проблемаларды чечүү

Эгер TLS кол алышуусу аягына чыкпай жатса, талдоо үчүн Algo колдоо бөлүмүнө пакетти тартууну жөнөтүңүз. Бул үчүн сиз трафикти чагылдырышыңыз керек, Algo акыркы чекити тармактын которуштуруусунда туташкан порттон кайра компьютерге.

Algo Communication Products Ltd
4500 Beedie St Burnaby BC Канада V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

Документтер / Ресурстар

ALGO TLS Транспорт катмарынын коопсуздугу [pdf] Instructions
TLS, транспорт катмарынын коопсуздугу, катмардын коопсуздугу, TLS, транспорт катмары

Шилтемелер

User Manual

TLS менен таанышуу