ALGO - logoKeselamatan Lapisan Pengangkutan TLS
Manual Arahan

Menjaga Titik Akhir IP Algo:
TLS dan Pengesahan Bersama

Perlukan Bantuan?
604-454-3792 or sokongan@algosolutions.com 

kandungan bersembunyi
1 Pengenalan kepada TLS
2 Penyulitan lwn Pengesahan Identiti
3 Sijil TLS
4 Pengesahan Bersama
5 Suite Cipher
6 Sijil Peranti Algo
7 Memuat naik Sijil CA Awam ke Titik Akhir Algo SIP
8 Web Pilihan Antara Muka
9 Isyarat SIP (dan Audio RTP)
10 Muat Turun Sijil Algo
11 Menyelesaikan masalah
12 Dokumen / Sumber
12.1 Rujukan
13 Catatan Berkaitan

Pengenalan kepada TLS

TLS (Transport Layer Security) ialah protokol kriptografi yang menyediakan pengesahan, privasi dan keselamatan hujung ke hujung data yang dihantar antara aplikasi atau peranti melalui Internet. Memandangkan platform telefon yang dihoskan telah menjadi lebih biasa, keperluan untuk TLS untuk menyediakan komunikasi selamat melalui internet awam telah meningkat. Peranti Algo yang menyokong perisian tegar 1.6.4 atau yang lebih baru menyokong Keselamatan Lapisan Pengangkutan (TLS) untuk kedua-dua Peruntukan dan Isyarat SIP.
Nota: titik akhir berikut tidak menyokong TLS: 8180 IP Audio Alerter (G1), 8028 IP Doorphone (G1), 8128 IP Visual Alerter (G1), 8061 IP Relay Controller.

Penyulitan lwn Pengesahan Identiti

Walaupun trafik TLS sentiasa disulitkan dan selamat daripada penyadapan atau pengubahsuaian pihak ketiga, lapisan keselamatan tambahan boleh disediakan dengan menggunakan Sijil untuk mengesahkan identiti pihak yang satu lagi. Ini membolehkan Pelayan mengesahkan identiti peranti Titik Akhir IP, dan sebaliknya.
Untuk melakukan semakan identiti, Sijil file mesti ditandatangani oleh Pihak Berkuasa Sijil (CA). Peranti lain kemudian menyemak tandatangan ini, menggunakan Sijil Awam (Dipercayai) daripada CA ini.

Sijil TLS

Titik Akhir IP Algo diprapasang dengan set sijil awam daripada Pihak Berkuasa Sijil (CA) pihak ketiga yang dipercayai, termasuk Comodo, Verisign, Symantec, DigiCert, dll. Pihak Berkuasa Sijil menyediakan sijil yang ditandatangani kepada perniagaan untuk membolehkan perniagaan ini membuktikan bahawa pelayan mereka atau webtapak sebenarnya adalah siapa yang mereka katakan. Peranti Algo boleh mengesahkan bahawa ia berkomunikasi dengan pelayan yang sahih dengan mengesahkan sijil yang ditandatangani pelayan terhadap sijil awam daripada CA yang menandatanganinya. Sijil awam tambahan juga boleh dimuat naik, untuk membolehkan peranti Algo mempercayai dan mengesahkan pelayan tambahan yang mungkin tidak disertakan dalam sijil yang diprapasang (untukample, sijil yang ditandatangani sendiri).

Pengesahan Bersama

Pengesahan Bersama menambah satu lapisan keselamatan tambahan dengan menghendaki pelayan juga mengesahkan dan mempercayai peranti titik akhir, sebagai tambahan kepada arah bertentangan titik akhir yang mengesahkan pelayan. Ini dilaksanakan menggunakan Sijil Peranti unik, dipasang pada setiap Titik Akhir Algo SIP pada masa pembuatan. Memandangkan alamat IP peranti Algo tidak tetap (ia ditentukan oleh rangkaian pelanggan), Algo tidak boleh menerbitkan maklumat ini terlebih dahulu dengan CA yang dipercayai, dan sebaliknya, Sijil Peranti ini mesti ditandatangani oleh CA Algo sendiri.
Untuk pelayan kemudian mempercayai peranti Algo, pentadbir sistem perlu memasang rantaian sijil Algo CA awam pada pelayan mereka (contohnyaample Sistem Telefon SIP atau pelayan peruntukan mereka) supaya pelayan ini boleh mengesahkan bahawa Sijil Peranti pada peranti Algo sebenarnya adalah sahih.

Nota: Titik akhir IP Algo yang dihasilkan pada tahun 2019 (bermula dengan perisian tegar 1.7.1) atau lebih baru mempunyai sijil peranti dipasang dari kilang.
Untuk mengesahkan sama ada sijil dipasang, navigasi ke Sistem -> tab Perihal. Lihat Sijil Pengeluar. Jika sijil tidak dipasang, sila e-mel sokongan@algosolutions.com. Keselamatan Lapisan Pengangkutan ALGO TLS - Rajah 1

Suite Cipher

Suite sifir ialah set algoritma yang digunakan semasa sesi TLS. Setiap suite termasuk algoritma untuk pengesahan, penyulitan dan pengesahan mesej. Peranti Algo menyokong banyak algoritma penyulitan yang biasa digunakan seperti AES256 dan algoritma kod pengesahan mesej seperti SHA-2.

Sijil Peranti Algo

Sijil Peranti yang ditandatangani oleh Algo Root CA telah dipasang di kilang pada peranti Algo sejak 2019, bermula dengan perisian tegar 1.7.1. Sijil dijana apabila peranti dibuat, dengan medan nama biasa dalam sijil yang mengandungi alamat MAC untuk setiap peranti.
Sijil peranti sah selama 30 tahun dan berada dalam partition yang berasingan, jadi ia tidak akan dipadamkan walaupun selepas menetapkan semula kilang titik akhir Algo.
Peranti Algo juga menyokong muat naik sijil peranti anda sendiri untuk digunakan dan bukannya sijil peranti yang dipasang kilang. Ini boleh dipasang dengan memuat naik PEM file mengandungi kedua-dua sijil peranti dan kunci peribadi ke direktori 'sijil' (bukan direktori 'sijil/dipercayai'!) dalam Sistem -> File Tab pengurus. ini file perlu dipanggil 'sip pelanggan.pem'.

Memuat naik Sijil CA Awam ke Titik Akhir Algo SIP

Jika anda menggunakan perisian tegar yang lebih rendah daripada 3.1.X, sila tingkatkan peranti itu.
Untuk memasang sijil pada peranti Algo yang menjalankan perisian tegar v3.1 & ke atas, ikut langkah di bawah:

  1. Dapatkan sijil awam daripada Pihak Berkuasa Sijil anda (sebarang sijil format X.509 yang sah boleh diterima). Tiada format khusus diperlukan untuk filenama.
  2. Dalam web antara muka peranti Algo, navigasi ke Sistem -> File Tab pengurus.
  3. Muat naik sijil files ke dalam direktori 'sijil/dipercayai'. Klik butang Muat Naik di penjuru kiri sebelah atas file pengurus dan semak imbas ke sijil.

Web Pilihan Antara Muka

Peruntukan HTTPS
Peruntukan boleh dijamin dengan menetapkan 'Kaedah Muat Turun' kepada 'HTTPS' (di bawah tab Tetapan Lanjutan > Peruntukan). Ini menghalang konfigurasi files daripada dibaca oleh pihak ketiga yang tidak diingini. Ini menyelesaikan potensi risiko data sensitif dicuri, seperti kata laluan pentadbir dan bukti kelayakan SIP. Keselamatan Lapisan Pengangkutan ALGO TLS - Rajah 2

Untuk melakukan pengesahan identiti pada Pelayan Peruntukan, tetapkan juga 'Sahkan Sijil Pelayan' kepada 'Didayakan'. Jika Sijil pelayan peruntukan ditandatangani oleh salah satu CA komersial biasa, maka peranti Algo sepatutnya sudah mempunyai sijil awam untuk CA ini dan boleh melakukan pengesahan.
Muat naik sijil tambahan (Sijil X.64 berkod Base509 file dalam format .pem, .cer atau .crt) dengan menavigasi ke “System > File Pengurus” ke folder 'sijil/dipercayai'.
NOTA: Parameter 'Sahkan Sijil Pelayan' juga boleh didayakan melalui peruntukan: prov.download.cert = 1

HTTPS Web Protokol antara muka
Prosedur untuk memuat naik sijil awam untuk HTTPS web penyemakan imbas adalah serupa seperti yang diterangkan dalam bahagian di atas. httpd.pem file ialah sijil peranti yang diminta oleh penyemak imbas komputer anda apabila anda menavigasi ke IP peranti. Memuat naik yang tersuai mungkin membolehkan anda menyingkirkan mesej amaran jika anda mengakses WebUI menggunakan HTTPS. Ia bukan sijil CA awam. Sijil mesti dimuat naik ke 'sijil'. Keselamatan Lapisan Pengangkutan ALGO TLS - Rajah 3

Isyarat SIP (dan Audio RTP)

Isyarat SIP dijamin dengan menetapkan 'Pengangkutan SIP' kepada 'TLS' (di bawah tab Tetapan Lanjutan > SIP Lanjutan).

  • Ia memastikan bahawa trafik SIP akan disulitkan.
  • Isyarat SIP bertanggungjawab untuk mewujudkan panggilan (isyarat kawalan untuk memulakan dan menamatkan panggilan dengan pihak lain), tetapi ia tidak mengandungi audio.
  • Untuk laluan audio (suara), gunakan tetapan 'Tawaran SDP SRTP'.
  • Menetapkan ini kepada 'Pilihan' bermakna data audio RTP panggilan SIP akan disulitkan (menggunakan SRTP) jika pihak lain turut menyokong penyulitan audio.
  • Jika pihak satu lagi tidak menyokong SRTP, maka panggilan masih akan diteruskan, tetapi dengan audio yang tidak disulitkan. Untuk menjadikan penyulitan audio wajib bagi semua panggilan, tetapkan 'Tawaran SDP SRTP' kepada 'Standard'. Dalam kes ini, jika pihak lain tidak menyokong penyulitan audio, maka percubaan panggilan akan ditolak.
  • Untuk melakukan pengesahan identiti pada Pelayan SIP, tetapkan juga 'Sahkan Sijil Pelayan' kepada 'Didayakan'.
  • Jika Sijil pelayan SIP ditandatangani oleh salah satu CA komersial biasa, maka peranti Algo sepatutnya sudah mempunyai sijil awam untuk CA ini dan boleh melakukan pengesahan. Jika tidak (contohnyaampdengan sijil yang ditandatangani sendiri), maka sijil awam yang sesuai boleh dimuat naik ke peranti Algo seperti yang diterangkan sebelum ini dalam dokumen ini.

Keselamatan Lapisan Pengangkutan ALGO TLS - Rajah 4

TLS Versi 1.2
Peranti Algo yang menjalankan perisian tegar v3.1 & ke atas menyokong TLS v1.1 dan v1.2. 'Paksa Secure TLS
Pilihan versi boleh digunakan untuk memerlukan sambungan TLS menggunakan TLSv1.2. Untuk mendayakan ciri ini:

  • Pergi ke Tetapan lanjutan > SIP Lanjutan
  • Tetapkan 'Paksa versi TLS selamat' sebagai didayakan dan simpan.
    NOTA: Pilihan ini telah dialih keluar dalam v4.0+ sejak TLS v1.2 digunakan secara lalai

Muat Turun Sijil Algo

Di bawah ialah satu set pautan untuk memuat turun rantaian sijil Algo CA. The files boleh dipasang pada Pelayan SIP atau Pelayan Peruntukan agar pelayan ini mengesahkan Sijil Peranti pada Titik Akhir Algo SIP, dan dengan itu membenarkan Pengesahan Bersama:
Algo Root CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo Intermediate CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Sijil Awam Algo: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

Menyelesaikan masalah

Jika jabat tangan TLS tidak selesai, sila hantar tangkapan paket kepada sokongan Algo untuk analisis. Untuk melakukan itu, anda perlu mencerminkan trafik, dari port titik akhir Algo disambungkan pada suis rangkaian, kembali ke komputer.

Produk Komunikasi Algo Ltd
4500 Beedie St Burnaby BC Kanada V5J 5L2
www.algosolutions.com
604-454-3792
sokongan@algosolutions.com

Dokumen / Sumber

Keselamatan Lapisan Pengangkutan ALGO TLS [pdf] Arahan
TLS, Keselamatan Lapisan Pengangkutan, Keselamatan Lapisan, TLS, Lapisan Pengangkutan

Rujukan

Catatan Berkaitan

Tinggalkan komen

Alamat e-mel anda tidak akan diterbitkan. Medan yang diperlukan ditanda *