ALGO - logotipVarnost transportnega sloja TLS
Navodila za uporabo

Zaščita končnih točk Algo IP:
TLS in medsebojna avtentikacija

Potrebujete pomoč?
604-454-3792 or support@algosolutions.com 

Vsebina skriti
1 Uvod v TLS
2 Šifriranje proti preverjanju identitete
3 TLS certifikati
4 Vzajemna avtentikacija
5 Cipher Suites
6 Potrdila za naprave Algo
7 Nalaganje javnih potrdil CA na končne točke Algo SIP
8 Web Možnosti vmesnika
9 SIP signalizacija (in RTP zvok)
10 Prenos potrdil Algo
11 Odpravljanje težav
12 Dokumenti / Viri
12.1 Reference
13 Sorodne objave

Uvod v TLS

TLS (Transport Layer Security) je kriptografski protokol, ki zagotavlja avtentikacijo, zasebnost in varnost od konca do konca podatkov, poslanih med aplikacijami ali napravami prek interneta. Ker so gostujoče telefonske platforme postale pogostejše, se je potreba po TLS za zagotavljanje varne komunikacije prek javnega interneta povečala. Naprave Algo, ki podpirajo vdelano programsko opremo 1.6.4 ali novejšo, podpirajo varnost transportnega sloja (TLS) za zagotavljanje in signalizacijo SIP.
Opomba: naslednje končne točke ne podpirajo TLS: 8180 IP Audio Alerter (G1), 8028 IP Doorphone (G1), 8128 IP Visual Alarter (G1), 8061 IP Relay Controller.

Šifriranje proti preverjanju identitete

Medtem ko je promet TLS vedno šifriran in varen pred prisluškovanjem ali spreminjanjem tretjih oseb, lahko dodaten sloj varnosti zagotovite z uporabo potrdil za preverjanje identitete druge strani. To omogoča strežniku, da preveri identiteto naprave končne točke IP in obratno.
Za izvedbo preverjanja identitete potrdilo file mora biti podpisan s strani overitelja potrdil (CA). Druga naprava nato preveri ta podpis z uporabo javnega (zaupanja vrednega) potrdila tega CA.

TLS certifikati

Končne točke Algo IP so vnaprej nameščene z naborom javnih potrdil zaupanja vrednih tretjih organov za potrdila (CA), vključno s Comodo, Verisign, Symantec, DigiCert itd. Organi za potrdila podjetjem zagotovijo podpisana potrdila, da lahko ta podjetja dokažejo, da njihovih strežnikih oz webspletna mesta so v resnici tista, za katera se predstavljajo. Naprave Algo lahko potrdijo, da komunicirajo s pristnim strežnikom, tako da preverijo podpisana potrdila strežnika glede na javna potrdila CA, ki jih je podpisala. Naložite lahko tudi dodatna javna potrdila, da napravi Algo omogočite zaupanje in preverjanje dodatnih strežnikov, ki morda niso vključeni v predhodno nameščena potrdila (npr.ample, samopodpisana potrdila).

Vzajemna avtentikacija

Vzajemna avtentikacija dodaja eno dodatno plast varnosti, tako da zahteva, da strežnik tudi potrdi in zaupa končni napravi, poleg tega, da končna točka preverja strežnik v nasprotni smeri. To se izvede z uporabo edinstvenega potrdila naprave, nameščenega na vsaki končni točki Algo SIP v času izdelave. Ker naslov IP naprave Algo ni fiksen (določi ga strankino omrežje), Algo ne more vnaprej objaviti teh informacij pri zaupanja vrednih CA-jih, namesto tega mora ta potrdila naprave podpisati Algov lastni CA.
Da strežnik nato zaupa napravi Algo, bo moral sistemski skrbnik na svoj strežnik namestiti javno verigo potrdil Algo CA (npr.ample telefonski sistem SIP ali njihov strežnik za zagotavljanje), tako da lahko ta strežnik preveri, ali je potrdilo naprave na napravi Algo dejansko pristno.

Opomba: Končne točke Algo IP, izdelane leta 2019 (začenši z vdelano programsko opremo 1.7.1) ali novejše, imajo tovarniško nameščen certifikat naprave.
Če želite preveriti, ali je potrdilo nameščeno, se pomaknite do Sistem -> zavihek Vizitka. Glejte potrdilo proizvajalca. Če certifikat ni nameščen, pošljite e-pošto support@algosolutions.com. Varnost transportne plasti ALGO TLS – Slika 1

Cipher Suites

Šifrirani paketi so nizi algoritmov, ki se uporabljajo med sejo TLS. Vsak paket vključuje algoritme za preverjanje pristnosti, šifriranje in preverjanje pristnosti sporočil. Naprave Algo podpirajo številne pogosto uporabljene šifrirne algoritme, kot je AES256, in kodne algoritme za preverjanje pristnosti sporočil, kot je SHA-2.

Potrdila za naprave Algo

Certifikati naprav, ki jih je podpisal Algo Root CA, so bili tovarniško nameščeni na napravah Algo od leta 2019, začenši z vdelano programsko opremo 1.7.1. Potrdilo se ustvari, ko je naprava izdelana, pri čemer polje s splošnim imenom v potrdilu vsebuje naslov MAC za vsako napravo.
Certifikat naprave je veljaven 30 let in se nahaja v ločeni particiji, tako da ne bo izbrisan niti po ponastavitvi končne točke Algo na tovarniške nastavitve.
Naprave Algo podpirajo tudi nalaganje lastnega potrdila naprave za uporabo namesto tovarniško nameščenega potrdila naprave. To je mogoče namestiti tako, da naložite PEM file vsebuje tako potrdilo naprave kot zasebni ključ v imenik 'certs' (ne v imenik 'certs/trusted'!) v sistemu -> File Zavihek Upravitelj. to file je treba imenovati "sip". stranka.pem'.

Nalaganje javnih potrdil CA na končne točke Algo SIP

Če uporabljate vdelano programsko opremo, starejšo od 3.1.X, nadgradite napravo.
Če želite namestiti potrdilo v napravo Algo z vdelano programsko opremo v3.1 in novejšo, sledite spodnjim korakom:

  1. Pridobite javno potrdilo pri izdajatelju potrdil (sprejema se lahko katero koli veljavno potrdilo formata X.509). Za fileime.
  2. V web vmesnika naprave Algo, pojdite na Sistem -> File Zavihek Upravitelj.
  3. Naložite potrdilo files v imenik 'certs/trusted'. Kliknite gumb Naloži v zgornjem levem kotu file upravitelja in poiščite potrdilo.

Web Možnosti vmesnika

Omogočanje HTTPS
Oskrbo lahko zavarujete tako, da 'Način prenosa' nastavite na 'HTTPS' (pod Napredne nastavitve > zavihek Omogočanje). To prepreči konfiguracijo files pred branjem s strani neželene tretje osebe. To odpravi morebitno tveganje kraje občutljivih podatkov, kot so skrbniška gesla in poverilnice SIP. Varnost transportne plasti ALGO TLS – Slika 2

Če želite izvesti preverjanje identitete na strežniku za zagotavljanje, nastavite tudi »Validate Server Certificate« na »Enabled«. Če je potrdilo strežnika za oskrbo podpisano s strani enega od običajnih komercialnih CA, bi morala naprava Algo že imeti javno potrdilo za to CA in bi morala biti sposobna izvesti preverjanje.
Naložite dodatna potrdila (kodirano potrdilo X.64 Base509 file v formatu .pem, .cer ali .crt), tako da se pomaknete na »Sistem > File Manager« v mapo »certs/trusted«.
OPOMBA: Parameter 'Validate Server Certificate' je mogoče omogočiti tudi prek zagotavljanja: prov.download.cert = 1

HTTPS Web Protokol vmesnika
Postopek za nalaganje javnega potrdila za HTTPS web brskanje je podobno tistemu, ki je opisano v zgornjem razdelku. httpd.pem file je potrdilo naprave, ki ga zahteva brskalnik vašega računalnika, ko se pomaknete na naslov IP naprave. Če naložite po meri, se lahko znebite opozorilnega sporočila, če dostopate do Webuporabniški vmesnik, ki uporablja HTTPS. To ni javno potrdilo CA. Certifikat je treba naložiti v 'certs'. Varnost transportne plasti ALGO TLS – Slika 3

SIP signalizacija (in RTP zvok)

Signalizacija SIP je zavarovana z nastavitvijo »SIP Transportation« na »TLS« (pod Napredne nastavitve > Napredni zavihek SIP).

  • Zagotavlja, da bo promet SIP šifriran.
  • Signalizacija SIP je odgovorna za vzpostavitev klica (kontrolni signali za začetek in konec klica z drugo stranjo), vendar ne vsebuje zvoka.
  • Za zvočno (glasovno) pot uporabite nastavitev 'Ponudba SDP SRTP'.
  • Če to nastavite na »Izbirno«, pomeni, da bodo zvočni podatki RTP klica SIP šifrirani (z uporabo SRTP), če druga stranka podpira tudi šifriranje zvoka.
  • Če druga stranka ne podpira SRTP, bo klic še vedno potekal, vendar z nešifriranim zvokom. Če želite, da je šifriranje zvoka obvezno za vse klice, nastavite »Ponudba SDP SRTP« na »Standardno«. V tem primeru, če druga stranka ne podpira šifriranja zvoka, bo poskus klica zavrnjen.
  • Če želite izvesti preverjanje identitete na strežniku SIP, nastavite tudi 'Validate Server Certificate' na 'Enabled'.
  • Če je potrdilo strežnika SIP podpisano s strani enega od običajnih komercialnih CA, bi morala naprava Algo že imeti javno potrdilo za to CA in bi morala biti sposobna izvesti preverjanje. Če ne (nprample s samopodpisanimi potrdili), potem lahko ustrezno javno potrdilo naložite v napravo Algo, kot je opisano prej v tem dokumentu.

Varnost transportne plasti ALGO TLS – Slika 4

TLS različica 1.2
Naprave Algo z vdelano programsko opremo v3.1 in novejšo podpirajo TLS v1.1 in v1.2. »Vsili varni TLS
Možnost »Različica« se lahko uporabi za zahtevanje povezav TLS za uporabo TLSv1.2. Če želite omogočiti to funkcijo:

  • Pojdite v Napredne nastavitve > Napredni SIP
  • Nastavite možnost »Vsiljena varna različica TLS« kot omogočeno in shranite.
    OPOMBA: Ta možnost je bila odstranjena v različici 4.0+, ker se privzeto uporablja TLS različica 1.2

Prenos potrdil Algo

Spodaj je nabor povezav za prenos verige potrdil Algo CA. The files je mogoče namestiti na strežnik SIP ali strežnik za zagotavljanje, da ti strežniki avtentikirajo potrdila naprav na končnih točkah Algo SIP in tako omogočijo medsebojno avtentikacijo:
Algo Root CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo Intermediate CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Javno potrdilo Algo: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

Odpravljanje težav

Če se rokovanje TLS ne zaključi, pošljite zajem paketa podpori Algo v analizo. Če želite to narediti, boste morali zrcaliti promet iz vrat, s katerimi je končna točka Algo povezana na omrežnem stikalu, nazaj v računalnik.

Algo Communication Products Ltd.
4500 Beedie St Burnaby BC Kanada V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

Dokumenti / Viri

Varnost transportne plasti ALGO TLS [pdfNavodila
TLS, Transport Layer Security, Layer Security, TLS, Transport Layer

Reference

Sorodne objave

Pustite komentar

Vaš elektronski naslov ne bo objavljen. Obvezna polja so označena *