ALGO TLS Aktarım Katmanı Güvenlik Talimatları

TLS (Aktarım Katmanı Güvenliği), İnternet üzerinden uygulamalar veya cihazlar arasında gönderilen verilerin kimlik doğrulamasını, gizliliğini ve uçtan uca güvenliğini sağlayan bir şifreleme protokolüdür. Barındırılan telefon platformları daha yaygın hale geldikçe, halka açık internet üzerinden güvenli iletişim sağlamak için TLS'ye duyulan ihtiyaç arttı. Firmware 1.6.4 veya üstünü destekleyen Algo cihazları, hem Hazırlama hem de SIP Sinyalleme için Aktarım Katmanı Güvenliğini (TLS) destekler.
Not: aşağıdaki uç noktalar TLS'yi desteklemez: 8180 IP Audio Alerter (G1), 8028 IP Diyafon (G1), 8128 IP Visual Alerter (G1), 8061 IP Relay Controller.

Şifreleme ve Kimlik Doğrulaması

TLS trafiği her zaman şifrelenir ve üçüncü tarafların gizlice dinlenmesine veya değiştirilmesine karşı korunurken, diğer tarafın kimliğini doğrulamak için Sertifikalar kullanılarak ek bir güvenlik katmanı sağlanabilir. Bu, Sunucunun IP Uç Nokta cihazının kimliğini doğrulamasına (veya bunun tersi) olanak tanır.
Kimlik kontrolünü gerçekleştirmek için Sertifika file Sertifika Yetkilisi (CA) tarafından imzalanmalıdır. Daha sonra diğer cihaz, bu CA'nın Genel (Güvenilir) Sertifikasını kullanarak bu imzayı kontrol eder.

TLS Sertifikaları

Algo IP Uç Noktaları, Comodo, Verisign, Symantec, DigiCert vb. dahil olmak üzere güvenilir üçüncü taraf Sertifika Yetkililerinden (CA'lar) alınan bir dizi genel sertifikayla önceden yüklenmiş olarak gelir. Sertifika Yetkilileri, bu işletmelerin aşağıdakileri kanıtlamasına izin vermek için işletmelere imzalı sertifikalar sağlar: sunucuları veya websiteler aslında söyledikleri kişilerdir. Algo cihazları, sunucunun imzalı sertifikalarını, onu imzalayan CA'nın genel sertifikalarıyla karşılaştırarak doğrulayarak gerçek bir sunucuyla iletişim kurduğunu doğrulayabilir. Algo cihazının önceden yüklenmiş sertifikalara dahil edilmeyebilecek ek sunuculara güvenmesine ve bunları doğrulamasına izin vermek için ek genel sertifikalar da yüklenebilir (örn.ample, kendinden imzalı sertifikalar).

Karşılıklı Kimlik Doğrulama

Karşılıklı Kimlik Doğrulama, sunucuyu doğrulayan uç noktanın ters yönünün yanı sıra, sunucunun uç nokta cihazını da doğrulamasını ve ona güvenmesini gerektirerek ek bir güvenlik katmanı ekler. Bu, üretim sırasında her Algo SIP Uç Noktasına yüklenen benzersiz bir Cihaz Sertifikası kullanılarak uygulanır. Bir Algo cihazının IP adresi sabit olmadığından (müşterinin ağı tarafından belirlenir), Algo bu bilgiyi güvenilir CA'larla önceden yayınlayamaz ve bunun yerine bu Cihaz Sertifikalarının Algo'nun kendi CA'sı tarafından imzalanması gerekir.
Sunucunun Algo cihazına güvenebilmesi için sistem yöneticisinin genel Algo CA sertifika zincirini kendi sunucusuna yüklemesi gerekir (örn.ampBu sunucunun Algo cihazındaki Cihaz Sertifikasının gerçekten orijinal olduğunu doğrulayabilmesi için SIP Telefon Sistemini veya hazırlama sunucusunu kullanın.

Not: 2019'da (ürün yazılımı 1.7.1'den başlayarak) veya sonrasında üretilen Algo IP uç noktaları, fabrikada yüklenmiş cihaz sertifikasına sahiptir.
Sertifikanın kurulu olup olmadığını doğrulamak için Sistem -> Hakkında sekmesine gidin. Üretici Sertifikasına bakın. Sertifika yüklü değilse lütfen e-posta gönderin support@algosolutions.com.

Şifre Paketleri

Şifre paketleri, TLS oturumu sırasında kullanılan algoritma kümeleridir. Her paket kimlik doğrulama, şifreleme ve mesaj kimlik doğrulaması için algoritmalar içerir. Algo cihazları, AES256 gibi yaygın olarak kullanılan birçok şifreleme algoritmasını ve SHA-2 gibi mesaj kimlik doğrulama kodu algoritmalarını destekler.

Algo Cihaz Sertifikaları

Algo Root CA tarafından imzalanan Cihaz Sertifikaları, donanım yazılımı 2019'den itibaren 1.7.1'dan bu yana Algo cihazlarına fabrikada yüklenmiştir. Sertifika, cihaz üretildiğinde, sertifikadaki ortak ad alanı her cihazın MAC adresini içerecek şekilde oluşturulur.
Cihaz sertifikası 30 yıl geçerlidir ve ayrı bir bölümde bulunur; dolayısıyla Algo uç noktası fabrika ayarlarına sıfırlandıktan sonra bile silinmez.
Algo cihazları ayrıca fabrikada yüklenen cihaz sertifikası yerine kullanmak üzere kendi cihaz sertifikanızı yüklemeyi de destekler. Bu, bir PEM yüklenerek kurulabilir file Sistemde 'certs' dizinine ('certs/trusted' dizini değil!) hem bir aygıt sertifikası hem de özel bir anahtar içeren -> File Yönetici sekmesi. Bu file 'yudum' olarak adlandırılması gerekiyor istemci.pem'.

Genel CA Sertifikalarını Algo SIP Uç Noktalarına Yükleme

3.1.X'ten daha düşük bir ürün yazılımı kullanıyorsanız lütfen cihazı yükseltin.
Sertifikayı firmware v3.1 ve üstünü çalıştıran bir Algo cihazına yüklemek için aşağıdaki adımları izleyin:

Sertifika Yetkilinizden genel bir sertifika alın (geçerli herhangi bir X.509 biçimindeki sertifika kabul edilebilir). için özel bir format gerekli değildir. fileisim.
İçinde web Algo cihazının arayüzüne gidin, Sisteme gidin -> File Yönetici sekmesi.

Sertifikayı yükleyin file'sertifikalar/güvenilir' dizinine. Sol üst köşedeki Yükle düğmesini tıklayın file yöneticiye gidin ve sertifikaya göz atın.

Web Arayüz Seçenekleri

HTTPS Sağlama
Temel hazırlık, 'İndirme Yöntemi'nin 'HTTPS' (Gelişmiş Ayarlar > Temel Hazırlık sekmesi altında) olarak ayarlanmasıyla güvence altına alınabilir. Bu, yapılandırmayı engeller filee-postaların istenmeyen bir üçüncü tarafça okunmasını önler. Bu, yönetici şifreleri ve SIP kimlik bilgileri gibi hassas verilerin çalınması olasılığını ortadan kaldırır.

Hazırlama Sunucusunda kimlik doğrulaması gerçekleştirmek için 'Sunucu Sertifikasını Doğrula' seçeneğini de 'Etkin' olarak ayarlayın. Hazırlama sunucusunun Sertifikası yaygın ticari CA'lardan biri tarafından imzalanmışsa Algo cihazının bu CA için genel sertifikaya zaten sahip olması ve doğrulamayı gerçekleştirebilmesi gerekir.
Ek sertifikalar yükleyin (Base64 kodlu X.509 sertifikası file .pem, .cer veya .crt biçiminde) “Sistem > File Yönetici”yi 'sertifikalar/güvenilen' klasörüne kopyalayın.
NOT: 'Sunucu Sertifikasını Doğrula' parametresi, sağlama yoluyla da etkinleştirilebilir: pro.download.cert = 1

HTTPS Web Arayüz Protokolü
HTTPS için genel sertifika yükleme prosedürü web göz atma işlemi yukarıdaki bölümde açıklanana benzer. httpd.pem file cihazın IP'sine gittiğinizde bilgisayarınızın tarayıcısı tarafından istenen bir cihaz sertifikasıdır. Özel bir tane yüklemek, şuraya erişirseniz uyarı mesajından kurtulmanıza izin verebilir: WebHTTPS kullanan kullanıcı arayüzü. Bu genel bir CA sertifikası değil. Sertifika 'sertifikalara' yüklenmelidir.

SIP Sinyali (ve RTP Sesi)

SIP sinyali, 'SIP Aktarımı'nın 'TLS' olarak ayarlanmasıyla (Gelişmiş Ayarlar > Gelişmiş SIP sekmesi altında) güvence altına alınır.

SIP trafiğinin şifrelenmesini sağlar.

SIP sinyali, aramanın kurulmasından sorumludur (karşı tarafla aramayı başlatmak ve bitirmek için kontrol sinyalleri), ancak sesi içermez.
Ses (ses) yolu için 'SDP SRTP Teklifi' ayarını kullanın.

Bunu 'İsteğe Bağlı' olarak ayarlamak, karşı tarafın da ses şifrelemeyi desteklemesi durumunda SIP aramasının RTP ses verilerinin şifreleneceği (SRTP kullanılarak) anlamına gelir.
Karşı taraf SRTP'yi desteklemiyorsa, arama yine de şifrelenmemiş sesle devam edecektir. Tüm aramalarda ses şifrelemeyi zorunlu kılmak için 'SDP SRTP Teklifi'ni 'Standart' olarak ayarlayın. Bu durumda karşı taraf ses şifrelemeyi desteklemiyorsa arama girişimi reddedilecektir.

SIP Sunucusunda kimlik doğrulaması gerçekleştirmek için 'Sunucu Sertifikasını Doğrula' seçeneğini de 'Etkin' olarak ayarlayın.
SIP sunucusunun Sertifikası yaygın ticari CA'lardan biri tarafından imzalanmışsa Algo cihazının bu CA için genel sertifikaya zaten sahip olması ve doğrulamayı gerçekleştirebilmesi gerekir. Değilse (örneğinampKendinden imzalı sertifikalara sahip bir dosya), ardından uygun genel sertifika, bu belgede daha önce açıklandığı gibi Algo cihazına yüklenebilir.

TLS Sürüm 1.2
Firmware v3.1 ve üstünü çalıştıran Algo cihazları TLS v1.1 ve v1.2'yi destekler. 'Güvenli TLS'yi Zorla
Sürüm' seçeneği, TLS bağlantılarının TLSv1.2 kullanmasını zorunlu kılmak için kullanılabilir. Bu özelliği etkinleştirmek için:

Gelişmiş ayarlar > Gelişmiş SIP'ye gidin
'Güvenli TLS Sürümünü Zorla' seçeneğini etkin olarak ayarlayın ve kaydedin.
NOT: TLS v4.0 varsayılan olarak kullanıldığından bu seçenek v1.2+ sürümünde kaldırılmıştır.

Algo Sertifikalarını İndir

Aşağıda Algo CA sertifika zincirini indirmek için bir dizi bağlantı bulunmaktadır. fileBu sunucuların Algo SIP Uç Noktalarındaki Cihaz Sertifikalarının kimliğini doğrulayabilmesi ve böylece Karşılıklı Kimlik Doğrulamaya izin vermesi için SIP Sunucusu veya Hazırlama Sunucusu üzerine aşağıdakiler kurulabilir:
Algo Kök CA'sı: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo Ara CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Algo Kamu Sertifikası: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

Sorun giderme

TLS anlaşması tamamlanmıyorsa lütfen analiz için Algo desteğine bir paket yakalama gönderin. Bunu yapmak için, Algo uç noktasının ağ anahtarında bağlı olduğu bağlantı noktasından gelen trafiği bir bilgisayara yansıtmanız gerekir.

Algo İletişim Ürünleri Ltd.
4500 Beedie St Burnaby BC Kanada V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

Belgeler / Kaynaklar

ALGO TLS Aktarım Katmanı Güvenliği [pdf] Talimatlar
TLS, Aktarım Katmanı Güvenliği, Katman Güvenliği, TLS, Aktarım Katmanı

Referanslar

Kullanıcı Kılavuzu

TLS'ye giriş