Инструкции за безбедност на транспортниот слој ALGO TLS

TLS (Transport Layer Security) е криптографски протокол кој обезбедува автентикација, приватност и безбедност од крај до крај на податоците испратени помеѓу апликации или уреди преку Интернет. Како што станаа се почести хостираните телефонски платформи, потребата TLS да обезбеди безбедна комуникација преку јавниот интернет се зголеми. Алго уредите што поддржуваат фирмвер 1.6.4 или понова верзија поддржуваат безбедност на транспортниот слој (TLS) и за обезбедување и за SIP сигнализација.
Забелешка: следните крајни точки не поддржуваат TLS: 8180 IP аудио предупредување (G1), 8028 IP телефон за врата (G1), 8128 IP визуелно предупредување (G1), 8061 IP контролер за реле.

Шифрирање наспроти верификација на идентитет

Додека сообраќајот TLS е секогаш шифриран и безбеден од прислушување или модификација од трета страна, може да се обезбеди дополнителен слој на безбедност со користење на сертификати за да се потврди идентитетот на другата страна. Ова му овозможува на серверот да го потврди идентитетот на уредот со IP крајна точка и обратно.
За да се изврши проверката на идентитетот, Сертификатот file мора да биде потпишан од орган за сертификати (CA). Другиот уред потоа го проверува овој потпис, користејќи го јавниот (доверлив) сертификат од овој CA.

TLS сертификати

Algo IP крајните точки се претходно инсталирани со збир на јавни сертификати од доверливи органи за сертификати (CAs) од трети страни, вклучувајќи Comodo, Verisign, Symantec, DigiCert итн. Органите за сертификати обезбедуваат потпишани сертификати за бизнисите за да им овозможат на овие бизниси да докажат дека нивните сервери или webсајтовите се всушност оние што велат дека се. Алго уредите може да потврдат дека комуницира со автентичен сервер со потврдување на потпишаните сертификати на серверот во однос на јавните сертификати од CA што го потпишала. Може да се прикачат и дополнителни јавни сертификати, за да му се овозможи на уредот Algo да верува и да потврди дополнителни сервери кои можеби не се вклучени во претходно инсталираните сертификати (на пр.ampле, самопотпишани сертификати).

Взаемна автентикација

Взаемната автентикација додава уште еден дополнителен слој на безбедност со тоа што бара од серверот да го потврдува и да му верува на уредот со крајна точка, покрај спротивната насока на крајната точка што го потврдува серверот. Ова е имплементирано со помош на уникатен сертификат за уред, инсталиран на секоја крајна точка на Algo SIP во времето на производството. Бидејќи IP-адресата на уредот Algo не е фиксна (таа ја одредува мрежата на клиентот), Algo не може однапред да ги објавува овие информации кај доверливите CA, и наместо тоа, овие сертификати на уредот мора да бидат потпишани од сопствениот CA на Algo.
За серверот потоа да му верува на уредот Algo, системскиот администратор ќе треба да го инсталира јавниот синџир на сертификати Algo CA на нивниот сервер (на пр.ampод SIP телефонскиот систем или нивниот сервер за обезбедување) за овој сервер да може да потврди дали сертификатот за уредот на уредот Algo е всушност автентичен.

Забелешка: Крајните точки на Algo IP произведени во 2019 година (почнувајќи со фирмверот 1.7.1) или подоцна имаат фабрички инсталиран сертификат за уредот.
За да потврдите дали сертификатот е инсталиран, одете до Систем -> картичката За. Видете го сертификатот на производителот. Ако сертификатот не е инсталиран, ве молиме е-пошта support@algosolutions.com.

Шифри апартмани

Пакетите со шифри се збир на алгоритми што се користат за време на TLS сесија. Секој пакет вклучува алгоритми за автентикација, шифрирање и автентикација на пораки. Алго уредите поддржуваат многу вообичаено користени алгоритми за шифрирање како што се AES256 и алгоритми за код за автентикација на пораки како што е SHA-2.

Сертификати за уред Algo

Сертификатите за уреди потпишани од Algo Root CA се фабрички инсталирани на уредите Algo од 2019 година, почнувајќи со фирмверот 1.7.1. Сертификатот се генерира кога уредот е произведен, со полето за заедничко име во сертификатот што ја содржи MAC адресата за секој уред.
Сертификатот на уредот е валиден 30 години и се наоѓа во посебна партиција, така што нема да се избрише дури и по фабрички ресетирање на крајната точка на Algo.
Уредите Algo поддржуваат и поставување на сопствен сертификат за уред за користење наместо фабрички инсталиран сертификат за уред. Ова може да се инсталира со поставување на PEM file кој содржи и сертификат за уред и приватен клуч во директориумот „серти“ (не во директориумот „серти/доверливи“!) во системот -> File Јазичето Менаџер. Ова file треба да се нарече „голтка“. клиент.pem'.

Поставување јавни сертификати CA на крајните точки на Algo SIP

Ако сте на фирмвер помал од 3.1.X, надградете го уредот.
За да го инсталирате сертификатот на уред Algo со фирмвер 3.1 и погоре, следете ги чекорите подолу:

Добијте јавен сертификат од вашиот орган за сертификати (секој валиден сертификат за формат X.509 може да се прифати). Не е потребен специфичен формат за fileиме.
Во web интерфејс на уредот Алго, одете до Систем -> File Јазичето Менаџер.

Поставете го сертификатот fileво директориумот „серти/доверливи“. Кликнете на копчето Постави во горниот лев агол на file менаџер и прелистајте до сертификатот.

Web Опции за интерфејс

Обезбедување HTTPS
Обезбедувањето може да се обезбеди со поставување на „Метод за преземање“ на „HTTPS“ (под картичката Напредни поставки > Обезбедување). Ова ја спречува конфигурацијата files од читање од несакана трета страна. Ова го решава потенцијалниот ризик од украдени чувствителни податоци, како што се администраторските лозинки и ингеренциите за SIP.

За да извршите проверка на идентитетот на серверот за обезбедување, исто така поставете „Потврди сертификат за серверот“ на „Овозможено“. Ако сертификатот на серверот за обезбедување е потпишан од еден од вообичаените комерцијални CA, тогаш уредот Algo треба веќе да го има јавниот сертификат за овој CA и да може да ја изврши верификацијата.
Поставете дополнителни сертификати (Base64 кодиран X.509 сертификат file во формат .pem, .cer или .crt) со навигација до „Систем > File Менаџер“ во папката „серти/доверливи“.
ЗАБЕЛЕШКА: параметарот „Потврди сертификат за сервер“ може да се овозможи и преку обезбедување: пров.преземи.серт = 1

HTTPS Web Протокол за интерфејс
Постапката за поставување јавен сертификат за HTTPS web прелистувањето е слично како она што е опишано во делот погоре. На httpd.pem file е сертификат за уред што го бара прелистувачот на вашиот компјутер кога се движите до IP адресата на уредот. Поставувањето приспособено може да ви овозможи да се ослободите од предупредувачката порака ако пристапите до WebUI користејќи HTTPS. Тоа не е јавен CA сертификат. Сертификатот мора да биде поставен на „сертиите“.

SIP сигнализација (и RTP аудио)

SIP сигнализацијата е обезбедена со поставување на „SIP Transportation“ на „TLS“ (под табулаторот Advanced Settings > Advanced SIP).

Обезбедува дека SIP сообраќајот ќе биде шифриран.

Сигнализацијата SIP е одговорна за воспоставување на повикот (контролните сигнали за започнување и завршување на повикот со другата страна), но не го содржи аудиото.
За аудио (гласовна) патека, користете ја поставката „Понуда SDP SRTP“.

Поставувањето на ова на „Изборно“ значи дека RTP аудио податоците на повикот SIP ќе бидат шифрирани (со користење на SRTP) ако и другата страна поддржува аудио шифрирање.
Ако другата страна не поддржува SRTP, тогаш повикот сепак ќе продолжи, но со нешифриран звук. За да го направите аудио шифрирањето задолжително за сите повици, поставете ја „Понуда SDP SRTP“ на „Стандард“. Во овој случај, ако другата страна не поддржува аудио шифрирање, тогаш обидот за повик ќе биде одбиен.

За да извршите проверка на идентитетот на SIP серверот, поставете и „Потврди сертификат за серверот“ на „Овозможено“.
Ако сертификатот на SIP серверот е потпишан од еден од вообичаените комерцијални CA, тогаш уредот Algo веќе треба да го има јавниот сертификат за овој CA и да може да ја изврши верификацијата. Ако не (на прampсо самопотпишани сертификати), тогаш соодветниот јавен сертификат може да се постави на уредот Algo како што е опишано претходно во овој документ.

TLS верзија 1.2
Алго уредите што работат на фирмверот 3.1 и погоре поддржуваат TLS v1.1 и v1.2. „Присили безбеден TLS
Опцијата Version' може да се користи за да се бара TLS конекции да користат TLSv1.2. За да ја овозможите оваа функција:

Одете во Напредни поставки > Напредно SIP
Поставете ја „Присилно безбедна TLS верзија“ како овозможена и зачувајте.
ЗАБЕЛЕШКА: Оваа опција е отстранета во v4.0+ бидејќи TLS v1.2 стандардно се користи

Преземи Algo сертификати

Подолу се дадени збир на врски за преземање на синџирот на сертификати Algo CA. На files може да се инсталираат на серверот SIP или серверот за обезбедување со цел овие сервери да ги автентицираат сертификатите на уредот на крајните точки на Algo SIP и на тој начин да дозволат меѓусебна автентикација:
Algo Root CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo Intermediate CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Алго јавен сертификат: чttp://firmware.algosolutions.com/pub/certs/algo_ca.crt

Решавање проблеми

Ако ракувањето со TLS не е завршено, испратете фаќање пакети до поддршката на Algo за анализа. За да го направите тоа, ќе треба да го пресликате сообраќајот, од пристаништето на кое е поврзана крајната точка Algo на мрежниот прекинувач, назад на компјутерот.

Алго комуникациски производи ООД
4500 Beedie St Burnaby BC Канада V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

Документи / ресурси

ALGO TLS за безбедност на транспортниот слој [pdf] Инструкции
TLS, безбедност на транспортниот слој, безбедност на слојот, TLS, транспортен слој

Референци

Упатство за употреба

Вовед во TLS