Sigurtà tas-Saff tat-Trasport TLS
Manwal ta' Istruzzjoni

L-iżgurar ta' Endpoints ta' Algo IP:
TLS u Awtentikazzjoni Reċiproka

Bżonn Għajnuna?
604-454-3792 or support@algosolutions.com 

Introduzzjoni għat-TLS

TLS (Transport Layer Security) huwa protokoll kriptografiku li jipprovdi awtentikazzjoni, privatezza, u sigurtà minn tarf sa tarf tad-dejta mibgħuta bejn applikazzjonijiet jew apparati fuq l-Internet. Hekk kif il-pjattaformi tat-telefonija ospitati saru aktar komuni, żdiedet il-ħtieġa li TLS jipprovdi komunikazzjoni sigura fuq l-internet pubbliku. Apparati Algo li jappoġġjaw il-firmware 1.6.4 jew aktar tard jappoġġjaw is-Sigurtà tas-Saff tat-Trasport (TLS) kemm għall-Provvista kif ukoll għas-Sinjali SIP.
Nota: l-endpoints li ġejjin ma jappoġġjawx TLS: 8180 IP Audio Alerter (G1), 8028 IP Doorphone (G1), 8128 IP Visual Alerter (G1), 8061 IP Relay Controller.

Encryption vs Verifika tal-Identità

Filwaqt li t-traffiku TLS huwa dejjem encrypted u sikur minn eavesdropping jew modifika ta 'parti terza, jista' jiġi pprovdut saff addizzjonali ta 'sigurtà billi jintużaw Ċertifikati biex tivverifika l-identità tal-parti l-oħra. Dan jippermetti lis-Server jivverifika l-identità tal-apparat tal-IP Endpoint, u viċeversa.
Biex twettaq il-verifika tal-identità, iċ-Ċertifikat file irid ikun iffirmat minn Awtorità taċ-Ċertifikati (CA). L-apparat l-ieħor imbagħad jiċċekkja din il-firma, billi juża ċ-Ċertifikat Pubbliku (Fdat) minn din is-CA.

Ċertifikati TLS

Algo IP Endpoints jiġu installati minn qabel b'sett ta' ċertifikati pubbliċi minn Awtoritajiet taċ-Ċertifikati (CAs) ta' partijiet terzi fdati, inklużi Comodo, Verisign, Symantec, DigiCert, eċċ. L-Awtoritajiet taċ-Ċertifikati jipprovdu ċertifikati ffirmati lin-negozji biex jippermettu lil dawn in-negozji jipprovaw li is-servers tagħhom jew websiti huma fil-fatt min jgħidu li huma. L-apparati Algo jistgħu jikkonfermaw li qed jikkomunikaw ma' server awtentiku billi jivverifikaw iċ-ċertifikati ffirmati tas-server maċ-ċertifikati pubbliċi mill-CA li ffirmawh. Jistgħu jittellgħu wkoll ċertifikati pubbliċi addizzjonali, biex jippermettu lill-apparat Algo jafda u jivverifika servers addizzjonali li jistgħu ma jiġux inklużi fiċ-ċertifikati installati minn qabel (eż.ample, ċertifikati ffirmati waħedhom).

Awtentikazzjoni Reċiproka

L-Awtentikazzjoni Reċiproka żżid saff addizzjonali ta’ sigurtà billi titlob lis-server jivvalida u jafda wkoll l-apparat tal-endpoint, minbarra d-direzzjoni opposta tal-endpoint li jivvalida s-server. Dan huwa implimentat bl-użu ta 'Ċertifikat ta' Apparat uniku, installat fuq kull Endpoint Algo SIP fil-ħin tal-manifattura. Peress li l-indirizz IP ta 'apparat Algo mhuwiex fiss (huwa determinat min-netwerk tal-klijent), Algo ma tistax tippubblika din l-informazzjoni minn qabel mal-CAs fdati, u minflok, dawn iċ-Ċertifikati tal-Apparat iridu jiġu ffirmati mill-CA ta' Algo stess.
Biex is-server imbagħad jafda l-apparat Algo, l-amministratur tas-sistema jeħtieġ li jinstalla l-katina pubblika taċ-ċertifikati Algo CA fuq is-server tagħhom (eż.ample is-SIP Phone System jew is-server tal-proviżjon tagħhom) sabiex dan is-server ikun jista’ jivverifika li ċ-Ċertifikat tal-Apparat fuq l-apparat Algo huwa fil-fatt awtentiku.

Nota: Algo IP endpoints manifatturati fl-2019 (li jibdew bil-firmware 1.7.1) jew aktar tard ikollhom iċ-ċertifikat tal-apparat installat mill-fabbrika.
Biex tivverifika jekk iċ-ċertifikat huwiex installat, naviga għal Sistema -> Tab Dwar. Ara ċ-Ċertifikat tal-Manifattur. Jekk iċ-ċertifikat ma jkunx installat, jekk jogħġbok ibgħat email support@algosolutions.com.

Cipher Suites

Cipher suites huma settijiet ta' algoritmi użati waqt sessjoni TLS. Kull suite tinkludi algoritmi għall-awtentikazzjoni, l-encryption, u l-awtentikazzjoni tal-messaġġi. L-apparati algoritmi jappoġġjaw ħafna algoritmi ta 'kodifikazzjoni użati b'mod komuni bħal AES256 u algoritmi ta' kodiċi ta 'awtentikazzjoni ta' messaġġi bħal SHA-2.

Ċertifikati tal-Apparat Algo

Iċ-Ċertifikati tal-Apparat iffirmati mill-Algo Root CA ilhom installati fil-fabbrika fuq it-tagħmir Algo mill-2019, li jibdew bil-firmware 1.7.1. Iċ-ċertifikat jiġi ġġenerat meta l-apparat jiġi manifatturat, bil-qasam tal-isem komuni fiċ-ċertifikat ikun fih l-indirizz MAC għal kull apparat.
Iċ-ċertifikat tal-apparat huwa validu għal 30 sena u jirrisjedi f'partizzjoni separata, għalhekk mhux se jitħassar anke wara li l-endpoint tal-Algo jiġi reset mill-fabbrika.
L-apparati Algo jappoġġjaw ukoll it-tlugħ taċ-ċertifikat tat-tagħmir tiegħek stess biex tuża minflok iċ-ċertifikat tal-apparat installat fil-fabbrika. Dan jista 'jiġi installat billi ttella' PEM file li jkun fih kemm ċertifikat tat-tagħmir kif ukoll ċavetta privata fid-direttorju 'certs' (mhux id-direttorju 'certs/trusted'!) fis-Sistema -> File Tab tal-maniġer. Dan file jeħtieġ li jissejjaħ 'sip klijent.pem“.

Tlugħ taċ-Ċertifikati CA Pubbliċi f'Algo SIP Endpoints

Jekk inti fuq firmware inqas minn 3.1.X, jekk jogħġbok aġġorna l-apparat.
Biex tinstalla ċ-ċertifikat fuq apparat Algo li jħaddem il-firmware v3.1 u 'l fuq, segwi l-passi hawn taħt:

1. Ikseb ċertifikat pubbliku mill-Awtorità taċ-Ċertifikati tiegħek (kwalunkwe ċertifikat validu tal-format X.509 jista' jiġi aċċettat). M'hemm l-ebda format speċifiku meħtieġ għall- fileisem.
2. Fil- web interface tal-apparat Algo, innaviga lejn is-Sistema -> File Tab tal-maniġer.
3. Tella' ċ-ċertifikat files fid-direttorju 'certs/trusted'. Ikklikkja l-buttuna Upload fir-rokna ta' fuq tax-xellug tal- file maniġer u tfittex iċ-ċertifikat.

Web Għażliet tal-Interface

Proviżjoni HTTPS
Il-forniment jista' jiġi żgurat billi tissettja l-'Metodu tat-Tniżżil' għal 'HTTPS' (taħt is-Settings Avvanzati > tab Proviżjoni). Dan jipprevjeni l-konfigurazzjoni files milli jinqraw minn parti terza mhux mixtieqa. Dan isolvi r-riskju potenzjali li tinsteraq dejta sensittiva, bħal passwords tal-amministraturi u kredenzjali SIP.

Biex twettaq verifika tal-identità fuq is-Server tal-Provvista, issettja wkoll 'Ivvalida Ċertifikat tas-Server' għal 'Ippermettiet'. Jekk iċ-Ċertifikat tas-server tal-forniment ikun iffirmat minn waħda mill-CAs kummerċjali komuni, allura l-apparat Algo għandu diġà jkollu ċ-ċertifikat pubbliku għal din is-CA u jkun jista 'jwettaq il-verifika.
Itella’ ċertifikati addizzjonali (ċertifikat X.64 kodifikat Base509 file fil-format .pem, .cer, jew .crt) billi tivvjaġġa lejn “Sistema > File Manager” lejn il-folder ta' 'certs/trusted'.
NOTA: Il-parametru 'Ivvalida Ċertifikat tas-Server' jista' wkoll jiġi attivat permezz ta' provvediment: prov.download.cert = 1

HTTPS Web Protokoll tal-Interface
Il-proċedura biex ittella' ċertifikat pubbliku għal HTTPS web browsing huwa simili għal dak deskritt fit-taqsima hawn fuq. Il-httpd.pem file huwa ċertifikat tal-apparat li jintalab mill-browser tal-kompjuter tiegħek meta tinnaviga għall-IP tal-apparat. It-tlugħ ta' wieħed personalizzat jista' jħallik teħles mill-messaġġ ta' twissija jekk ikollok aċċess għall- WebUI bl-użu ta' HTTPS. Mhuwiex ċertifikat CA pubbliku. Iċ-ċertifikat għandu jittella' fiċ-'ċerti'.

Sinjali SIP (u Awdjo RTP)

Is-sinjalar SIP huwa żgurat billi tissettja 'Trasport SIP' għal 'TLS' (taħt it-tab Settings Avvanzati > SIP Avvanzat).

• Jiżgura li t-traffiku SIP se jkun encrypted.
• Is-sinjalar SIP huwa responsabbli biex jistabbilixxi s-sejħa (is-sinjali ta 'kontroll biex jibdew u jispiċċaw is-sejħa mal-parti l-oħra), iżda ma fihx l-awdjo.
• Għall-mogħdija tal-awdjo (vuċi), uża l-issettjar 'SDP SRTP Offer'.
• L-issettjar ta' dan bħala 'Fakultattiv' ifisser li d-dejta tal-awdjo RTP tas-sejħa SIP se tkun encrypted (bl-użu tal-SRTP) jekk il-parti l-oħra tappoġġja wkoll l-encryption tal-awdjo.
• Jekk il-parti l-oħra ma tappoġġjax SRTP, allura s-sejħa xorta se tipproċedi, iżda b'awdjo mhux kriptat. Biex tagħmel il-kriptaġġ tal-awdjo obbligatorju għas-sejħiet kollha, issettja 'SDP SRTP Offer' għal 'Standard'. F'dan il-każ, jekk il-parti l-oħra ma tappoġġjax il-kriptaġġ tal-awdjo, allura l-attentat ta 'sejħa jiġi miċħud.
• Biex twettaq verifika tal-identità fuq is-SIP Server, issettja wkoll 'Ivvalida Ċertifikat tas-Server' għal 'Enabled'.
• Jekk iċ-Ċertifikat tas-server SIP huwa ffirmat minn waħda mill-CAs kummerċjali komuni, allura l-apparat Algo għandu diġà jkollu ċ-ċertifikat pubbliku għal din is-CA u jkun jista 'jwettaq il-verifika. Jekk le (eżample b'ċertifikati ffirmati waħedhom), allura ċ-ċertifikat pubbliku xieraq jista 'jittella' fuq l-apparat Algo kif deskritt aktar kmieni f'dan id-dokument.

TLS Verżjoni 1.2
L-apparati Algo li jmexxu l-firmware v3.1 u 'l fuq jappoġġjaw TLS v1.1 u v1.2. 'Forza TLS Sikur
L-għażla tal-verżjoni tista' tintuża biex tirrikjedi konnessjonijiet TLS biex jużaw TLSv1.2. Biex tippermetti din il-karatteristika:

• Mur f'Settings Avvanzati > SIP Avvanzat
• Issettja l-'Force secure TLS Version' bħala attivata u ssalva.
  NOTA: Din l-għażla tneħħiet f'v4.0+ peress li TLS v1.2 jintuża awtomatikament

Niżżel Ċertifikati Algo

Hawn taħt hawn sett ta 'links biex tniżżel il-katina taċ-ċertifikati ta' Algo CA. Il- files jistgħu jiġu installati fuq is-SIP Server jew is-Server tal-Provvista sabiex dawn is-servers jawtentikaw iċ-Ċertifikati tal-Apparat fuq Endpoints ta' Algo SIP, u b'hekk jippermettu Awtentikazzjoni Reċiproka:
Algo Root CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo Intermedju CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Ċertifikat Pubbliku Algo: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

Issolvi l-problemi

Jekk il-handshake TLS mhux qed jitlesta, jekk jogħġbok ibgħat qbid ta' pakkett lill-appoġġ ta' Algo għall-analiżi. Biex tagħmel dan, ikollok tirrifletti t-traffiku, mill-port l-endpoint ta' Algo huwa konness miegħu fuq is-swiċċ tan-netwerk, lura għal kompjuter.

Algo Communication Products Ltd.
4500 Beedie St Burnaby BC Canada V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

Dokumenti / Riżorsi

ALGO TLS Sigurtà tas-Saff tat-Trasport [pdf] Istruzzjonijiet TLS, Sigurtà tas-Saff tat-Trasport, Sigurtà tas-Saff, TLS, Saff tat-Trasport

Referenzi

• Manwal għall-Utent