АЛГО - логоТЛС безбедност транспортног слоја
Упутство за употребу

Обезбеђивање Алго ИП крајњих тачака:
ТЛС и узајамна аутентификација

Треба вам помоћ?
604-454-3792 or суппорт@алгосолутионс.цом 

Садржај сакрити
1 Увод у ТЛС
2 Шифровање наспрам верификације идентитета
3 ТЛС сертификати
4 Мутуал Аутхентицатион
5 Ципхер Суитес
6 Алго сертификати уређаја
7 Отпремање јавних ЦА сертификата на Алго СИП крајње тачке
8 Web Опције интерфејса
9 СИП сигнализација (и РТП аудио)
10 Алго сертификати Преузимање
11 Решавање проблема
12 Документи / Ресурси
12.1 Референце
13 Релатед Постс

Увод у ТЛС

ТЛС (Транспорт Лаиер Сецурити) је криптографски протокол који обезбеђује аутентификацију, приватност и сигурност од краја до краја података који се шаљу између апликација или уређаја преко Интернета. Како су хостоване телефонске платформе постале све чешће, повећала се потреба за ТЛС-ом да обезбеди безбедну комуникацију преко јавног интернета. Алго уређаји који подржавају фирмвер 1.6.4 или новији подржавају безбедност транспортног слоја (ТЛС) и за обезбеђивање и за СИП сигнализацију.
Напомена: следеће крајње тачке не подржавају ТЛС: 8180 ИП Аудио Алертер (Г1), 8028 ИП Доорпхоне (Г1), 8128 ИП Висуал Алертер (Г1), 8061 ИП Релаи Цонтроллер.

Шифровање наспрам верификације идентитета

Иако је ТЛС саобраћај увек шифрован и безбедан од прислушкивања или модификације трећих страна, додатни ниво безбедности се може обезбедити коришћењем сертификата за верификацију идентитета друге стране. Ово омогућава серверу да провери идентитет ИП крајње тачке, и обрнуто.
Да бисте извршили проверу идентитета, сертификат file мора бити потписан од стране органа за издавање сертификата (ЦА). Други уређај затим проверава овај потпис, користећи јавни (поуздани) сертификат овог ЦА.

ТЛС сертификати

Алго ИП крајње тачке долазе унапред инсталиране са скупом јавних сертификата од поузданих независних ауторитета за издавање сертификата (ЦА), укључујући Цомодо, Верисигн, Симантец, ДигиЦерт, итд. Ауторитети за издавање сертификата обезбеђују потписане сертификате предузећима како би омогућили овим предузећима да докажу да њихови сервери или webсајтови су у ствари оно за шта кажу да јесу. Алго уређаји могу да потврде да комуницирају са аутентичним сервером верификовањем потписаних сертификата сервера у односу на јавне сертификате ЦА који га је потписао. Додатни јавни сертификати такође могу да се отпреме како би се Алго уређају омогућило да верује и верификује додатне сервере који можда нису укључени у унапред инсталиране сертификате (нпр.ampле, самопотписани сертификати).

Мутуал Аутхентицатион

Узајамна аутентикација додаје још један додатни ниво сигурности тако што захтева од сервера да такође потврди валидност уређаја крајње тачке и да му верује, поред супротног смера од крајње тачке која потврђује сервер. Ово се спроводи коришћењем јединственог сертификата уређаја, инсталираног на свакој Алго СИП крајњој тачки у време производње. Пошто ИП адреса Алго уређаја није фиксна (одређује је мрежа клијента), Алго не може унапред да објави ове информације код поузданих ЦА, већ уместо тога, ове сертификате уређаја мора да потпише Алгов сопствени ЦА.
Да би сервер тада веровао Алго уређају, администратор система ће морати да инсталира јавни ланац Алго ЦА сертификата на свој сервер (нпр.ampсамо СИП телефонски систем или њихов сервер за обезбеђивање) тако да овај сервер може да провери да ли је сертификат уређаја на Алго уређају заправо аутентичан.

Напомена: Алго ИП крајње тачке произведене 2019. године (почев од фирмвера 1.7.1) или новије имају сертификат уређаја инсталиран из фабрике.
Да бисте проверили да ли је сертификат инсталиран, идите на Систем -> О картици. Погледајте сертификат произвођача. Ако сертификат није инсталиран, пошаљите емаил суппорт@алгосолутионс.цом. АЛГО ТЛС безбедност транспортног слоја – Слика 1

Ципхер Суитес

Пакети шифри су скупови алгоритама који се користе током ТЛС сесије. Сваки пакет укључује алгоритме за аутентификацију, шифровање и аутентификацију порука. Алго уређаји подржавају многе најчешће коришћене алгоритме за шифровање као што је АЕС256 и алгоритме кода за аутентификацију порука као што је СХА-2.

Алго сертификати уређаја

Сертификати уређаја потписани од стране Алго Роот ЦА су фабрички инсталирани на Алго уређајима од 2019. године, почевши од фирмвера 1.7.1. Сертификат се генерише када је уређај произведен, са заједничким именом у сертификату које садржи МАЦ адресу за сваки уређај.
Сертификат уређаја важи 30 година и налази се у посебној партицији, тако да неће бити избрисан чак ни након фабричког ресетовања Алго крајње тачке.
Алго уређаји такође подржавају отпремање сопственог сертификата уређаја за коришћење уместо фабрички инсталираног сертификата уређаја. Ово се може инсталирати постављањем ПЕМ-а file који садржи и сертификат уређаја и приватни кључ у директоријум 'цертс' (не у директоријум 'цертс/трустед'!) у систему -> File Картица менаџер. Ово file треба назвати 'гут цлиент.пем'.

Отпремање јавних ЦА сертификата на Алго СИП крајње тачке

Ако користите фирмвер нижи од 3.1.Кс, надоградите уређај.
Да бисте инсталирали сертификат на Алго уређај са фирмвером в3.1 и новијим, следите доле наведене кораке:

  1. Набавите јавни сертификат од свог ауторитета за сертификацију (може се прихватити било који важећи сертификат формата Кс.509). Није потребан посебан формат за fileиме.
  2. У web интерфејс Алго уређаја, идите на Систем -> File Картица менаџер.
  3. Отпремите сертификат fileс у директоријум 'цертс/трустед'. Кликните на дугме Отпреми у горњем левом углу file менаџера и идите до сертификата.

Web Опције интерфејса

ХТТПС Провисионинг
Додељивање се може обезбедити постављањем „Метода преузимања“ на „ХТТПС“ (на картици Напредна подешавања > Омогућавање). Ово спречава конфигурацију fileда их не прочита нежељена трећа страна. Ово решава потенцијални ризик од крађе осетљивих података, као што су администраторске лозинке и СИП акредитиви. АЛГО ТЛС безбедност транспортног слоја – Слика 2

Да бисте извршили верификацију идентитета на серверу за обезбеђивање, такође подесите „Валидате Сервер Цертифицате“ на „Енаблед“. Ако је сертификат сервера за доделу потписан од стране једног од уобичајених комерцијалних ЦА, онда би Алго уређај већ требало да има јавни сертификат за овај ЦА и да може да изврши верификацију.
Отпремите додатне сертификате (сертификат Кс.64 кодиран у Басе509 file у .пем, .цер или .црт формату) навигацијом до „Систем > File Манагер“ у фасциклу „цертс/трустед“.
НАПОМЕНА: Параметар 'Валидате Сервер Цертифицате' се такође може омогућити кроз провизију: пров.довнлоад.церт = 1

ХТТПС Web Интерфаце Протоцол
Процедура за отпремање јавног сертификата за ХТТПС web прегледање је слично ономе што је описано у одељку изнад. Тхе хттпд.пем file је сертификат уређаја који тражи претраживач вашег рачунара када дођете до ИП адресе уређаја. Отпремање прилагођеног може вам омогућити да се решите поруке упозорења ако приступите WebУИ користећи ХТТПС. То није јавни ЦА сертификат. Сертификат се мора учитати у 'цертс'. АЛГО ТЛС безбедност транспортног слоја – Слика 3

СИП сигнализација (и РТП аудио)

СИП сигнализација је обезбеђена постављањем 'СИП транспорта' на 'ТЛС' (у оквиру Адванцед Сеттингс > Адванцед СИП таб).

  • Осигурава да ће СИП саобраћај бити шифрован.
  • СИП сигнализација је одговорна за успостављање позива (контролни сигнали за почетак и завршетак разговора са другом страном), али не садржи аудио.
  • За аудио (гласовну) путању користите поставку „СДП СРТП понуда“.
  • Подешавање на „Опционално“ значи да ће РТП аудио подаци СИП позива бити шифровани (користећи СРТП) ако друга страна такође подржава аудио шифровање.
  • Ако друга страна не подржава СРТП, позив ће се и даље наставити, али са нешифрованим звуком. Да би шифровање звука постало обавезно за све позиве, подесите „СДП СРТП понуда“ на „Стандардно“. У овом случају, ако друга страна не подржава шифровање звука, покушај позива ће бити одбијен.
  • Да бисте извршили верификацију идентитета на СИП серверу, такође подесите 'Валидате Сервер Цертифицате' на 'Енаблед'.
  • Ако је сертификат СИП сервера потписан од стране једног од уобичајених комерцијалних ЦА, онда би Алго уређај већ требало да има јавни сертификат за овај ЦА и да може да изврши верификацију. Ако не (нпрampле са самопотписаним сертификатима), онда се одговарајући јавни сертификат може учитати на Алго уређај као што је описано раније у овом документу.

АЛГО ТЛС безбедност транспортног слоја – Слика 4

ТЛС верзија 1.2
Алго уређаји са фирмвером в3.1 и новијим подржавају ТЛС в1.1 и в1.2. „Форце Сецуре ТЛС
Опција Версион' се може користити да захтева ТЛС везе за коришћење ТЛСв1.2. Да бисте омогућили ову функцију:

  • Идите на Напредна подешавања > Напредни СИП
  • Поставите 'Присилно безбедну ТЛС верзију' као омогућену и сачувајте.
    НАПОМЕНА: Ова опција је уклоњена у в4.0+ пошто се ТЛС в1.2 користи подразумевано

Алго сертификати Преузимање

Испод је скуп веза за преузимање ланца сертификата Алго ЦА. Тхе fileс се могу инсталирати на СИП серверу или серверу за обезбеђивање како би ови сервери потврдили аутентичност сертификата уређаја на Алго СИП крајњим тачкама и тако омогућили међусобну аутентификацију:
Алго Роот ЦА: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Алго Интермедиате ЦА: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Алго јавни сертификат: хттп://фирмваре.алгосолутионс.цом/пуб/цертс/алго_ца.црт

Решавање проблема

Ако се ТЛС руковање не заврши, пошаљите снимање пакета Алго подршци на анализу. Да бисте то урадили, мораћете да пресликате саобраћај, са порта на који је Алго крајња тачка повезана на мрежном прекидачу, назад на рачунар.

Алго Цоммуницатион Продуцтс Лтд
4500 Беедие Ст Бурнаби БЦ Цанада В5Ј 5Л2
ввв.алгосолутионс.цом
604-454-3792
суппорт@алгосолутионс.цом

Документи / Ресурси

АЛГО ТЛС безбедност транспортног слоја [пдфУпутства
ТЛС, безбедност транспортног слоја, безбедност слоја, ТЛС, транспортни слој

Референце

Релатед Постс

Оставите коментар

Ваша емаил адреса неће бити објављена. Обавезна поља су означена *