Udhëzime për sigurinë e shtresës së transportit ALGO TLS

TLS (Transport Layer Security) është një protokoll kriptografik që siguron vërtetimin, privatësinë dhe sigurinë nga fundi në fund të të dhënave të dërguara midis aplikacioneve ose pajisjeve përmes Internetit. Ndërsa platformat e telefonisë së pritur janë bërë më të zakonshme, nevoja për TLS për të ofruar komunikim të sigurt përmes internetit publik është rritur. Pajisjet Algo që mbështesin firmware 1.6.4 ose më të ri mbështesin Sigurinë e Shtresës së Transportit (TLS) si për sigurimin ashtu edhe për sinjalizimin SIP.
Shënim: pikat fundore të mëposhtme nuk mbështesin TLS: 8180 IP Audio Alerter (G1), 8028 IP Doorphone (G1), 8128 IP Visual Alerter (G1), 8061 IP Relay Controller.

Kriptimi kundrejt verifikimit të identitetit

Ndërsa trafiku TLS është gjithmonë i koduar dhe i sigurt nga përgjimet ose modifikimet e palëve të treta, një shtresë shtesë sigurie mund të sigurohet duke përdorur Certifikatat për të verifikuar identitetin e palës tjetër. Kjo i lejon Serverit të verifikojë identitetin e pajisjes IP Endpoint dhe anasjelltas.
Për të kryer kontrollin e identitetit, Certifikata file duhet të nënshkruhet nga një Autoritet Certifikues (CA). Pajisja tjetër më pas kontrollon këtë nënshkrim, duke përdorur Certifikatën Publike (të Besuar) nga kjo CA.

Certifikatat TLS

Algo IP Endpoints vijnë të para-instaluara me një sërë certifikatash publike nga Autoritetet Certifikuese të palëve të treta (CA), duke përfshirë Comodo, Verisign, Symantec, DigiCert, etj. Autoritetet e Certifikatës ofrojnë certifikata të nënshkruara për bizneset për t'i lejuar këto biznese të provojnë se serverët e tyre ose webfaqet janë në fakt ata që thonë se janë. Pajisjet Algo mund të konfirmojnë se është duke komunikuar me një server autentik duke verifikuar certifikatat e nënshkruara të serverit kundrejt certifikatave publike nga CA që e ka nënshkruar atë. Mund të ngarkohen gjithashtu certifikata publike shtesë, për të lejuar pajisjen Algo të besojë dhe të verifikojë serverë shtesë që mund të mos përfshihen në certifikatat e parainstaluara (p.sh.ample, certifikata të vetë-nënshkruara).

Autentifikimi i ndërsjellë

Autentifikimi i ndërsjellë shton një shtresë shtesë sigurie duke kërkuar që serveri të verifikojë dhe besojë gjithashtu pajisjen e pikës fundore, përveç drejtimit të kundërt të pikës fundore që vërteton serverin. Kjo zbatohet duke përdorur një certifikatë unike të pajisjes, të instaluar në çdo pikë përfundimtare të Algo SIP në kohën e prodhimit. Duke qenë se adresa IP e një pajisjeje Algo nuk është fikse (ajo përcaktohet nga rrjeti i klientit), Algo nuk mund ta publikojë këtë informacion paraprakisht me CA-të e besuara dhe në vend të kësaj, këto Certifikata të Pajisjes duhet të nënshkruhen nga CA e vetë Algo-s.
Që serveri t'i besojë më pas pajisjes Algo, administratori i sistemit do të duhet të instalojë zinxhirin publik të certifikatave Algo CA në serverin e tij (p.sh.ampnë sistemin telefonik SIP ose serverin e tyre të furnizimit) në mënyrë që ky server të mund të verifikojë që Certifikata e Pajisjes në pajisjen Algo është në fakt autentike.

Shënim: Pikat fundore të Algo IP të prodhuara në vitin 2019 (duke filluar me firmware 1.7.1) ose më vonë kanë certifikatën e pajisjes të instaluar nga fabrika.
Për të verifikuar nëse certifikata është e instaluar, lundroni te sistemi -> skeda Rreth. Shikoni Certifikatën e Prodhuesit. Nëse certifikata nuk është e instaluar, ju lutemi dërgoni email support@algosolutions.com.

Shifra Suites

Paketat e shifrave janë grupe algoritmesh të përdorura gjatë një sesioni TLS. Çdo grup përfshin algoritme për vërtetimin, enkriptimin dhe vërtetimin e mesazheve. Pajisjet Algo mbështesin shumë algoritme enkriptimi të përdorura zakonisht si AES256 dhe algoritme të kodit të vërtetimit të mesazheve si SHA-2.

Certifikatat e pajisjes Algo

Certifikatat e pajisjes të nënshkruara nga Algo Root CA janë instaluar në fabrikë në pajisjet Algo që nga viti 2019, duke filluar me firmware 1.7.1. Certifikata gjenerohet kur pajisja prodhohet, me fushën e emrit të përbashkët në certifikatë që përmban adresën MAC për secilën pajisje.
Certifikata e pajisjes është e vlefshme për 30 vjet dhe qëndron në një ndarje të veçantë, kështu që nuk do të fshihet edhe pas rivendosjes së fabrikës së pikës fundore të Algo.
Pajisjet Algo mbështesin gjithashtu ngarkimin e certifikatës së pajisjes tuaj për t'u përdorur në vend të certifikatës së pajisjes së instaluar në fabrikë. Kjo mund të instalohet duke ngarkuar një PEM file që përmban një certifikatë pajisjeje dhe një çelës privat në drejtorinë 'certs' (jo direktorinë 'certs/trusted'!) në System -> File Skeda e menaxherit. Kjo file duhet të quhet "gllënjka". klient.pem'.

Ngarkimi i certifikatave publike CA në pikat përfundimtare të Algo SIP

Nëse jeni me një firmware më të ulët se 3.1.X, ju lutemi përditësoni pajisjen.
Për të instaluar certifikatën në një pajisje Algo që funksionon firmware v3.1 dhe më lart, ndiqni hapat e mëposhtëm:

Merrni një certifikatë publike nga Autoriteti juaj i Certifikatës (mund të pranohet çdo certifikatë e vlefshme e formatit X.509). Nuk kërkohet një format specifik për fileemri.
Në web ndërfaqja e pajisjes Algo, lundroni te Sistemi -> File Skeda e menaxherit.

Ngarko certifikatën files në drejtorinë 'certet/i besuar'. Klikoni butonin Ngarko në këndin e sipërm të majtë të file menaxher dhe shfletoni te certifikata.

Web Opsionet e ndërfaqes

Sigurimi HTTPS
Sigurimi mund të sigurohet duke vendosur "Metodën e shkarkimit" në "HTTPS" (nën skedën Cilësimet e avancuara > Sigurimi). Kjo parandalon konfigurimin files nga leximi nga një palë e tretë e padëshiruar. Kjo zgjidh rrezikun e mundshëm të vjedhjes së të dhënave të ndjeshme, të tilla si fjalëkalimet e administratorit dhe kredencialet SIP.

Për të kryer verifikimin e identitetit në serverin e furnizimit, vendosni gjithashtu 'Validoni certifikatën e serverit' në 'Enabled'. Nëse Certifikata e serverit provizionues nënshkruhet nga një nga CA-të e zakonshme tregtare, atëherë pajisja Algo duhet të ketë tashmë certifikatën publike për këtë CA dhe të jetë në gjendje të kryejë verifikimin.
Ngarko certifikata shtesë (certifikata X.64 e koduar nga Base509 file në formatin .pem, .cer ose .crt) duke lundruar te “System > File Menaxher" në dosjen "certet/i besuar".
SHËNIM: Parametri 'Validoni certifikatën e serverit' mund të aktivizohet gjithashtu duke siguruar: prov.shkarkoj.cert = 1

HTTPS Web Protokolli i ndërfaqes
Procedura për të ngarkuar një certifikatë publike për HTTPS web shfletimi është i ngjashëm me atë që përshkruhet në seksionin e mësipërm. httpd.pem file është një certifikatë pajisjeje që kërkohet nga shfletuesi i kompjuterit tuaj kur lundroni te IP-ja e pajisjes. Ngarkimi i një mesazhi të personalizuar mund t'ju lejojë të heqni qafe mesazhin paralajmërues nëse i qaseni WebUI duke përdorur HTTPS. Nuk është një certifikatë publike CA. Certifikata duhet të ngarkohet te 'certet'.

Sinjalizim SIP (dhe RTP Audio)

Sinjalizimi SIP sigurohet duke vendosur "Transport SIP" në "TLS" (nën skedën Cilësimet e avancuara > SIP i avancuar).

Siguron që trafiku SIP do të jetë i koduar.

Sinjalizimi SIP është përgjegjës për vendosjen e thirrjes (sinjalet e kontrollit për të filluar dhe përfunduar thirrjen me palën tjetër), por nuk përmban audio.
Për shtegun e audios (zërit), përdorni cilësimin "SDP SRTP Oferta".

Vendosja e kësaj në "Opsionale" do të thotë që të dhënat audio RTP të thirrjes SIP do të kodohen (duke përdorur SRTP) nëse pala tjetër mbështet gjithashtu enkriptimin audio.
Nëse pala tjetër nuk e mbështet SRTP, atëherë telefonata do të vazhdojë përsëri, por me audio të pakriptuar. Për ta bërë të detyrueshëm enkriptimin e audios për të gjitha telefonatat, vendosni 'SDP SRTP Oferta' në 'Standard'. Në këtë rast, nëse pala tjetër nuk e mbështet enkriptimin audio, atëherë përpjekja për thirrje do të refuzohet.

Për të kryer verifikimin e identitetit në serverin SIP, vendosni gjithashtu "Vërteto certifikatën e serverit" në "Enabled".
Nëse Certifikata e serverit SIP është e nënshkruar nga një nga CA-të e zakonshme tregtare, atëherë pajisja Algo duhet të ketë tashmë certifikatën publike për këtë CA dhe të jetë në gjendje të kryejë verifikimin. Nëse jo (për shembullample me certifikata të vetë-nënshkruara), atëherë certifikata e duhur publike mund të ngarkohet në pajisjen Algo siç përshkruhet më parë në këtë dokument.

Versioni TLS 1.2
Pajisjet Algo që përdorin firmware v3.1 dhe më lart mbështesin TLS v1.1 dhe v1.2. "Forco Siguro TLS".
Opsioni i versionit mund të përdoret për të kërkuar lidhjet TLS për të përdorur TLSv1.2. Për të aktivizuar këtë veçori:

Shkoni te Cilësimet e avancuara > SIP i avancuar
Cakto "Force safe version TLS" si të aktivizuar dhe ruaje.
SHËNIM: Ky opsion është hequr në v4.0+ pasi TLS v1.2 përdoret si parazgjedhje

Shkarko Certifikatat Algo

Më poshtë janë një sërë lidhjesh për të shkarkuar zinxhirin e certifikatave Algo CA. Të files mund të instalohen në Serverin SIP ose Serverin e Sigurimit në mënyrë që këta serverë të vërtetojnë Certifikatat e Pajisjes në pikat përfundimtare të Algo SIP dhe kështu të lejojnë vërtetimin e ndërsjellë:
Algo Root CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo Intermediate CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Certifikata Publike Algo: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

Zgjidhja e problemeve

Nëse shtrëngimi i duarve TLS nuk po përfundon, ju lutemi dërgoni një kapje pakete në mbështetjen e Algo për analizë. Për ta bërë këtë, do të duhet të pasqyroni trafikun, nga porti me të cilin është lidhur pika fundore e Algo në çelësin e rrjetit, përsëri në një kompjuter.

Produktet e Komunikimit Algo Ltd
4500 Beedie St Burnaby BC Kanada V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

Dokumentet / Burimet

Siguria e shtresës së transportit ALGO TLS [pdfUdhëzime
TLS, Siguria e Shtresës së Transportit, Siguria e Shtresave, TLS, Shtresa e Transportit

Referencat

Manuali i Përdoruesit

Hyrje në TLS