ALGO - logotipsTLS transporta slāņa drošība
Lietošanas pamācība

Algo IP galapunktu nodrošināšana:
TLS un savstarpējā autentifikācija

Vai nepieciešama palīdzība?
604-454-3792 or support@algosolutions.com 

Saturs paslēpties
1 Ievads TLS
2 Šifrēšana pret identitātes verifikāciju
3 TLS sertifikāti
4 Savstarpēja autentifikācija
5 Cipher Suites
6 Algo ierīču sertifikāti
7 Publisko CA sertifikātu augšupielāde Algo SIP galapunktos
8 Web Interfeisa opcijas
9 SIP signalizācija (un RTP audio)
10 Algo sertifikātu lejupielāde
11 Problēmu novēršana
12 Dokumenti / Resursi
12.1 Atsauces
13 Saistītās ziņas

Ievads TLS

TLS (Transport Layer Security) ir kriptogrāfijas protokols, kas nodrošina autentifikāciju, privātumu un pilnīgu drošību datiem, kas tiek nosūtīti starp lietojumprogrammām vai ierīcēm, izmantojot internetu. Tā kā mitinātās telefonijas platformas ir kļuvušas izplatītākas, ir pieaugusi nepieciešamība pēc TLS nodrošināt drošu saziņu publiskajā internetā. Algo ierīces, kas atbalsta programmaparatūras versiju 1.6.4 vai jaunāku versiju, atbalsta transporta slāņa drošību (TLS) gan nodrošināšanai, gan SIP signalizācijai.
Piezīme: šādi galapunkti neatbalsta TLS: 8180 IP audio brīdinājums (G1), 8028 IP durvju tālrunis (G1), 8128 IP vizuālais brīdinājums (G1), 8061 IP releja kontrolieris.

Šifrēšana pret identitātes verifikāciju

Lai gan TLS datplūsma vienmēr ir šifrēta un aizsargāta pret trešo pušu noklausīšanos vai modificēšanu, var nodrošināt papildu drošības līmeni, izmantojot sertifikātus, lai pārbaudītu otras puses identitāti. Tas ļauj serverim pārbaudīt IP galapunkta ierīces identitāti un otrādi.
Lai veiktu identitātes pārbaudi, Sertifikāts file jāparaksta sertifikācijas iestādei (CA). Pēc tam otra ierīce pārbauda šo parakstu, izmantojot šīs CA publisko (uzticamo) sertifikātu.

TLS sertifikāti

Algo IP galapunktos ir iepriekš instalēta publisko sertifikātu kopa no uzticamām trešās puses sertifikācijas iestādēm (CA), tostarp Comodo, Verisign, Symantec, DigiCert utt. Sertifikācijas iestādes nodrošina uzņēmumiem parakstītus sertifikātus, lai šie uzņēmumi varētu pierādīt, ka viņu serveri vai webvietnes patiesībā ir tas, par ko viņi saka. Algo ierīces var apstiprināt, ka tā sazinās ar autentisku serveri, pārbaudot servera parakstītos sertifikātus salīdzinājumā ar publiskajiem sertifikātiem no CA, kas to parakstījusi. Var augšupielādēt arī papildu publiskos sertifikātus, lai ļautu Algo ierīcei uzticēties un pārbaudīt papildu serverus, kas var nebūt iekļauti iepriekš instalētajos sertifikātos (piemēram,ample, pašparakstītus sertifikātus).

Savstarpēja autentifikācija

Savstarpējā autentifikācija pievieno vienu papildu drošības līmeni, pieprasot, lai serveris arī validētu galapunkta ierīci un uzticētos tai, papildus galapunktam, kas apstiprina serveri. Tas tiek ieviests, izmantojot unikālu ierīces sertifikātu, kas ražošanas laikā ir instalēts katrā Algo SIP galapunktā. Tā kā Algo ierīces IP adrese nav fiksēta (to nosaka klienta tīkls), Algo nevar publicēt šo informāciju iepriekš ar uzticamām CA, un tā vietā šie ierīču sertifikāti ir jāparaksta paša Algo CA.
Lai serveris pēc tam uzticētos Algo ierīcei, sistēmas administratoram savā serverī būs jāinstalē publiskā Algo CA sertifikātu ķēde (piemēram,ampSIP tālruņa sistēmu vai to nodrošināšanas serveri), lai šis serveris varētu pārbaudīt, vai Algo ierīcē esošais ierīces sertifikāts patiešām ir autentisks.

Piezīme: Algo IP galapunktos, kas ražoti 2019. gadā (sākot ar programmaparatūru 1.7.1) vai jaunāku versiju, ierīces sertifikāts ir instalēts no rūpnīcas.
Lai pārbaudītu, vai sertifikāts ir instalēts, dodieties uz cilni Sistēma -> Par. Skatiet ražotāja sertifikātu. Ja sertifikāts nav instalēts, lūdzu, rakstiet uz e-pastu support@algosolutions.com. ALGO TLS transporta slāņa drošība — 1. attēls

Cipher Suites

Šifru komplekti ir algoritmu kopas, ko izmanto TLS sesijas laikā. Katrā komplektā ir iekļauti autentifikācijas, šifrēšanas un ziņojumu autentifikācijas algoritmi. Algo ierīces atbalsta daudzus bieži lietotus šifrēšanas algoritmus, piemēram, AES256, un ziņojumu autentifikācijas koda algoritmus, piemēram, SHA-2.

Algo ierīču sertifikāti

Algo Root CA parakstītie ierīču sertifikāti ir rūpnīcā instalēti Algo ierīcēs kopš 2019. gada, sākot ar programmaparatūru 1.7.1. Sertifikāts tiek ģenerēts, kad ierīce tiek ražota, un sertifikāta parastajā nosaukuma laukā ir katras ierīces MAC adrese.
Ierīces sertifikāts ir derīgs 30 gadus un atrodas atsevišķā nodalījumā, tāpēc tas netiks dzēsts pat pēc Algo galapunkta rūpnīcas atiestatīšanas.
Algo ierīces atbalsta arī jūsu ierīces sertifikāta augšupielādi, lai to izmantotu rūpnīcā instalētā ierīces sertifikāta vietā. To var instalēt, augšupielādējot PEM file kas satur gan ierīces sertifikātu, gan privāto atslēgu, to uz direktoriju “certs” (nevis direktoriju “certs/trusted”!) Sistēmā -> File Pārvaldnieka cilne. Šis file jāsauc par 'sip klients.pem'.

Publisko CA sertifikātu augšupielāde Algo SIP galapunktos

Ja izmantojat programmaparatūru, kas ir zemāka par 3.1.X, lūdzu, jauniniet ierīci.
Lai instalētu sertifikātu Algo ierīcē, kurā darbojas programmaparatūras v3.1 un jaunāka versija, veiciet tālāk norādītās darbības.

  1. Iegūstiet publisku sertifikātu no savas sertifikācijas iestādes (var pieņemt jebkuru derīgu X.509 formāta sertifikātu). Nav nepieciešams īpašs formāts filenosaukums.
  2. In web Algo ierīces saskarni, dodieties uz Sistēma -> File Pārvaldnieka cilne.
  3. Augšupielādējiet sertifikātu files direktorijā “certs/trusted”. Noklikšķiniet uz pogas Augšupielādēt augšējā kreisajā stūrī file pārvaldnieku un pārlūkojiet līdz sertifikātam.

Web Interfeisa opcijas

HTTPS nodrošināšana
Nodrošinājumu var nodrošināt, iestatot “Lejupielādes metodi” uz “HTTPS” (cilnē Papildu iestatījumi > Nodrošināšana). Tas novērš konfigurāciju files, lai to nelasītu nevēlama trešā puse. Tas novērš iespējamo risku, ka tiks nozagti sensitīvi dati, piemēram, administratora paroles un SIP akreditācijas dati. ALGO TLS transporta slāņa drošība — 2. attēls

Lai veiktu identitātes verifikāciju nodrošināšanas serverī, iestatiet arī “Apstiprināt servera sertifikātu” uz “Iespējots”. Ja nodrošināšanas servera sertifikātu ir parakstījis kāds no izplatītākajiem komerciālajiem CA, tad Algo ierīcei jau ir jābūt šīs CA publiskajam sertifikātam, un tai ir jābūt iespējai veikt verifikāciju.
Augšupielādējiet papildu sertifikātus (Base64 kodēts X.509 sertifikāts file .pem, .cer vai .crt formātā), pārejot uz “Sistēma > File Manager” uz mapi “certs/trusted”.
PIEZĪME. Parametru “Apstiprināt servera sertifikātu” var iespējot arī, nodrošinot: prov.download.cert = 1

HTTPS Web Saskarnes protokols
HTTPS publiskā sertifikāta augšupielādes procedūra web pārlūkošana ir līdzīga iepriekš sadaļā aprakstītajai. Vietnē httpd.pem file ir ierīces sertifikāts, ko pieprasa jūsu datora pārlūkprogramma, kad pārejat uz ierīces IP. Augšupielādējot pielāgotu, iespējams, varēsit atbrīvoties no brīdinājuma ziņojuma, ja piekļūstat WebUI, izmantojot HTTPS. Tas nav publisks CA sertifikāts. Sertifikāts ir jāaugšupielādē 'certs'. ALGO TLS transporta slāņa drošība — 3. attēls

SIP signalizācija (un RTP audio)

SIP signalizācija tiek nodrošināta, iestatot “SIP transportēšana” uz “TLS” (cilnē Advanced Settings > Advanced SIP).

  • Tas nodrošina, ka SIP trafiks tiks šifrēts.
  • SIP signalizācija ir atbildīga par zvana izveidi (vadības signāli, lai sāktu un beigtu sarunu ar otru pusi), taču tajā nav audio.
  • Audio (balss) ceļam izmantojiet iestatījumu “SDP SRTP piedāvājums”.
  • Iestatīšana uz “Neobligāti” nozīmē, ka SIP zvana RTP audio dati tiks šifrēti (izmantojot SRTP), ja arī otra puse atbalsta audio šifrēšanu.
  • Ja otra puse neatbalsta SRTP, zvans joprojām turpināsies, bet ar nešifrētu audio. Lai audio šifrēšana būtu obligāta visiem zvaniem, iestatiet “SDP SRTP piedāvājums” uz “Standarta”. Šādā gadījumā, ja otra puse neatbalsta audio šifrēšanu, zvana mēģinājums tiks noraidīts.
  • Lai veiktu identitātes verifikāciju SIP serverī, iestatiet arī “Validate Server Certificate” uz “Enabled”.
  • Ja SIP servera sertifikātu ir parakstījis kāds no izplatītākajiem komerciālajiem CA, tad Algo ierīcei jau ir jābūt šīs CA publiskajam sertifikātam un jāspēj veikt verifikāciju. Ja nē (piemēram,ample ar pašparakstītiem sertifikātiem), tad attiecīgo publisko sertifikātu var augšupielādēt Algo ierīcē, kā aprakstīts iepriekš šajā dokumentā.

ALGO TLS transporta slāņa drošība — 4. attēls

TLS versija 1.2
Algo ierīces, kurās darbojas programmaparatūra v3.1 un jaunāka versija, atbalsta TLS v1.1 un v1.2. "Piespiedu kārtā Secure TLS
Opciju Versija var izmantot, lai pieprasītu TLS savienojumus izmantot TLSv1.2. Lai iespējotu šo funkciju:

  • Atveriet sadaļu Papildu iestatījumi > Papildu SIP
  • Iestatiet opciju “Force safe TLS Version” kā iespējotu un saglabājiet.
    PIEZĪME: Šī opcija ir noņemta versijā v4.0+, jo TLS v1.2 tiek izmantota pēc noklusējuma

Algo sertifikātu lejupielāde

Tālāk ir norādītas saišu kopas, lai lejupielādētu Algo CA sertifikātu ķēdi. The files var instalēt SIP serverī vai nodrošināšanas serverī, lai šie serveri autentificētu ierīces sertifikātus Algo SIP galapunktos un tādējādi atļautu savstarpēju autentifikāciju:
Algo Root CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo vidējā līmeņa CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Algo publiskais sertifikāts: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

Problēmu novēršana

Ja TLS rokasspiediens netiek pabeigts, lūdzu, nosūtiet pakešu uztveršanu Algo atbalsta dienestam analīzei. Lai to izdarītu, jums ir jāatspoguļo trafiks, no porta, ar kuru Algo galapunkts ir savienots ar tīkla slēdzi, atpakaļ uz datoru.

Algo Communication Products Ltd
4500 Beedie St Burnaby BC Canada V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

Dokumenti / Resursi

ALGO TLS transporta slāņa drošība [pdfNorādījumi
TLS, transporta slāņa drošība, slāņa drošība, TLS, transporta slānis

Atsauces

Saistītās ziņas

Atstājiet komentāru

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti *