Bảo mật lớp truyền tải TLS
Hướng dẫn sử dụng

Bảo mật các điểm cuối IP của Algo:
TLS và xác thực lẫn nhau

Cần trợ giúp?
604-454-3792 or support@algosolutions.com 

Giới thiệu về TLS

TLS (Bảo mật lớp truyền tải) là một giao thức mật mã cung cấp xác thực, quyền riêng tư và bảo mật đầu cuối của dữ liệu được gửi giữa các ứng dụng hoặc thiết bị qua Internet. Khi các nền tảng điện thoại được lưu trữ đã trở nên phổ biến hơn, nhu cầu về TLS để cung cấp thông tin liên lạc an toàn qua internet công cộng đã tăng lên. Các thiết bị Algo hỗ trợ chương trình cơ sở 1.6.4 trở lên hỗ trợ Bảo mật lớp truyền tải (TLS) cho cả Cấp phép và Tín hiệu SIP.
Ghi chú: các điểm cuối sau không hỗ trợ TLS: 8180 IP Audio Alerter (G1), 8028 IP Doorphone (G1), 8128 IP Visual Alerter (G1), 8061 IP Relay Controller.

Mã hóa và Xác minh danh tính

Mặc dù lưu lượng truy cập TLS luôn được mã hóa và an toàn trước sự nghe trộm hoặc sửa đổi của bên thứ ba, một lớp bảo mật bổ sung có thể được cung cấp bằng cách sử dụng Chứng chỉ để xác minh danh tính của bên kia. Điều này cho phép Máy chủ xác minh danh tính của thiết bị Điểm cuối IP và ngược lại.
Để thực hiện kiểm tra danh tính, Giấy chứng nhận file phải được ký bởi Tổ chức phát hành chứng chỉ (CA). Sau đó, thiết bị khác sẽ kiểm tra chữ ký này, sử dụng Chứng chỉ Công khai (Đáng tin cậy) từ CA này.

Chứng chỉ TLS

Điểm cuối IP của Algo được cài đặt sẵn một bộ chứng chỉ công khai từ Tổ chức phát hành chứng chỉ (CA) bên thứ ba đáng tin cậy, bao gồm Comodo, Verisign, Symantec, DigiCert, v.v. Tổ chức phát hành chứng chỉ cung cấp chứng chỉ đã ký cho các doanh nghiệp để cho phép các doanh nghiệp này chứng minh rằng máy chủ của họ hoặc webcác trang web trên thực tế là những người mà họ nói. Thiết bị Algo có thể xác nhận rằng nó đang giao tiếp với một máy chủ xác thực bằng cách xác minh các chứng chỉ đã ký của máy chủ so với các chứng chỉ công khai từ CA đã ký nó. Các chứng chỉ công khai bổ sung cũng có thể được tải lên, để cho phép thiết bị Algo tin cậy và xác minh các máy chủ bổ sung có thể không được bao gồm trong các chứng chỉ được cài đặt sẵn (ví dụ:ample, chứng chỉ tự ký).

Xác thực lẫn nhau

Xác thực lẫn nhau bổ sung thêm một lớp bảo mật bằng cách yêu cầu máy chủ cũng phải xác thực và tin cậy thiết bị điểm cuối, ngoài chiều ngược lại của điểm cuối xác thực máy chủ. Điều này được thực hiện bằng Chứng chỉ thiết bị duy nhất, được cài đặt trên mỗi Điểm cuối Algo SIP tại thời điểm sản xuất. Vì địa chỉ IP của thiết bị Algo không cố định (được xác định bởi mạng của khách hàng), Algo không thể công bố trước thông tin này với các CA đáng tin cậy và thay vào đó, các Chứng chỉ Thiết bị này phải được ký bởi CA của chính Algo.
Để máy chủ sau đó tin tưởng thiết bị Algo, quản trị viên hệ thống sẽ cần cài đặt chuỗi chứng chỉ Algo CA công khai trên máy chủ của họ (ví dụ:ample Hệ thống điện thoại SIP hoặc máy chủ cung cấp của họ) để máy chủ này có thể xác minh rằng Chứng chỉ thiết bị trên thiết bị Algo trên thực tế là xác thực.

Ghi chú: Các điểm cuối IP của Algo được sản xuất vào năm 2019 (bắt đầu với phần sụn 1.7.1) trở lên đã được cài đặt chứng chỉ thiết bị từ nhà máy.
Để xác minh xem chứng chỉ đã được cài đặt hay chưa, hãy điều hướng đến tab Hệ thống -> Giới thiệu. Xem Giấy chứng nhận của nhà sản xuất. Nếu chứng chỉ chưa được cài đặt, vui lòng gửi email support@algosolutions.com.

Bộ mật mã

Bộ mật mã là tập hợp các thuật toán được sử dụng trong một phiên TLS. Mỗi bộ phần mềm bao gồm các thuật toán xác thực, mã hóa và xác thực tin nhắn. Thiết bị Algo hỗ trợ nhiều thuật toán mã hóa thường được sử dụng như AES256 và các thuật toán mã xác thực tin nhắn như SHA-2.

Chứng chỉ thiết bị Algo

Chứng chỉ thiết bị do Algo Root CA ký đã được cài đặt tại nhà máy trên các thiết bị Algo kể từ năm 2019, bắt đầu với phần sụn 1.7.1. Chứng chỉ được tạo khi thiết bị được sản xuất, với trường tên chung trong chứng chỉ chứa địa chỉ MAC cho mỗi thiết bị.
Chứng chỉ thiết bị có giá trị trong 30 năm và nằm trong một phân vùng riêng biệt, vì vậy nó sẽ không bị xóa ngay cả sau khi khôi phục cài đặt gốc cho điểm cuối Algo.
Thiết bị Algo cũng hỗ trợ tải lên chứng chỉ thiết bị của riêng bạn để sử dụng thay vì chứng chỉ thiết bị do nhà sản xuất cài đặt. Điều này có thể được cài đặt bằng cách tải lên PEM file chứa cả chứng chỉ thiết bị và khóa riêng tư, nó vào thư mục 'certs' (không phải thư mục 'certs / trust'!) trong Hệ thống -> File Tab trình quản lý. Đây file cần được gọi là 'nhâm nhi khách hàng.pem'.

Tải lên chứng chỉ CA công khai cho các điểm cuối Algo SIP

Nếu bạn đang sử dụng chương trình cơ sở thấp hơn 3.1.X, vui lòng nâng cấp thiết bị.
Để cài đặt chứng chỉ trên thiết bị Algo chạy chương trình cơ sở v3.1 trở lên, hãy làm theo các bước bên dưới:

1. Nhận chứng chỉ công khai từ Tổ chức phát hành chứng chỉ của bạn (bất kỳ chứng chỉ định dạng X.509 hợp lệ nào đều có thể được chấp nhận). Không có định dạng cụ thể cần thiết cho filetên.
2. Trong web giao diện của thiết bị Algo, điều hướng đến Hệ thống -> File Tab trình quản lý.
3. Tải lên chứng chỉ filevào thư mục 'certs / trust'. Nhấp vào nút Tải lên ở góc trên cùng bên trái của file quản lý và duyệt đến chứng chỉ.

Web Tùy chọn giao diện

Cấp phép HTTPS
Việc cấp phép có thể được bảo mật bằng cách đặt 'Phương pháp tải xuống' thành 'HTTPS' (trong tab Cài đặt nâng cao> Cấp phép). Điều này ngăn cản cấu hình files khỏi bị đọc bởi một bên thứ ba không mong muốn. Điều này giải quyết nguy cơ có thể bị đánh cắp dữ liệu nhạy cảm, chẳng hạn như mật khẩu quản trị viên và thông tin đăng nhập SIP.

Để thực hiện xác minh danh tính trên Máy chủ cấp phép, hãy đặt 'Xác thực chứng chỉ máy chủ' thành 'Đã bật'. Nếu Chứng chỉ của máy chủ cung cấp được ký bởi một trong các CA thương mại phổ biến, thì thiết bị Algo phải có chứng chỉ công khai cho CA này và có thể thực hiện xác minh.
Tải lên các chứng chỉ bổ sung (chứng chỉ X.64 được mã hóa Base509 file ở định dạng .pem, .cer hoặc .crt) bằng cách điều hướng đến “Hệ thống> File Người quản lý ”vào thư mục 'certs / trust'.
LƯU Ý: Thông số 'Xác thực chứng chỉ máy chủ' cũng có thể được bật thông qua cấp phép: chứng minh.doad.cert = 1

HTTPS Web Giao thức giao diện
Quy trình tải lên chứng chỉ công khai cho HTTPS web duyệt tương tự như những gì được mô tả trong phần trên. Httpd.pem file là chứng chỉ thiết bị được trình duyệt trên máy tính của bạn yêu cầu khi bạn điều hướng đến IP của thiết bị. Tải lên một tùy chỉnh có thể cho phép bạn thoát khỏi thông báo cảnh báo nếu bạn truy cập vào WebGiao diện người dùng sử dụng HTTPS. Nó không phải là chứng chỉ CA công khai. Chứng chỉ phải được tải lên 'chứng chỉ'.

Tín hiệu SIP (và Âm thanh RTP)

Báo hiệu SIP được bảo mật bằng cách đặt 'Vận chuyển SIP' thành 'TLS' (trong tab Cài đặt nâng cao> SIP nâng cao).

• Nó đảm bảo rằng lưu lượng SIP sẽ được mã hóa.
• Tín hiệu SIP chịu trách nhiệm thiết lập cuộc gọi (tín hiệu điều khiển để bắt đầu và kết thúc cuộc gọi với bên kia), nhưng nó không chứa âm thanh.
• Đối với đường dẫn âm thanh (giọng nói), hãy sử dụng cài đặt 'Ưu đãi SDP SRTP'.
• Đặt tùy chọn này thành 'Tùy chọn' có nghĩa là dữ liệu âm thanh RTP của cuộc gọi SIP sẽ được mã hóa (sử dụng SRTP) nếu bên kia cũng hỗ trợ mã hóa âm thanh.
• Nếu bên kia không hỗ trợ SRTP, thì cuộc gọi sẽ vẫn tiếp tục, nhưng với âm thanh không được mã hóa. Để bắt buộc mã hóa âm thanh cho tất cả các cuộc gọi, hãy đặt 'Ưu đãi SDP SRTP' thành 'Chuẩn'. Trong trường hợp này, nếu bên kia không hỗ trợ mã hóa âm thanh thì cuộc gọi sẽ bị từ chối.
• Để thực hiện xác minh danh tính trên Máy chủ SIP, hãy đặt 'Xác thực chứng chỉ máy chủ' thành 'Đã bật'.
• Nếu Chứng chỉ của máy chủ SIP được ký bởi một trong những CA thương mại phổ biến, thì thiết bị Algo phải có chứng chỉ công khai cho CA này và có thể thực hiện xác minh. Nếu không (đối với người yêu cũample với các chứng chỉ tự ký), thì chứng chỉ công khai thích hợp có thể được tải lên thiết bị Algo như được mô tả trước đó trong tài liệu này.

Phiên bản TLS 1.2
Các thiết bị Algo chạy chương trình cơ sở v3.1 trở lên hỗ trợ TLS v1.1 và v1.2. 'Buộc TLS bảo mật
Tùy chọn phiên bản 'có thể được sử dụng để yêu cầu kết nối TLS để sử dụng TLSv1.2. Để bật tính năng này:

• Đi tới Cài đặt nâng cao> SIP nâng cao
• Đặt 'Buộc phiên bản TLS an toàn' như được bật và lưu.
  GHI CHÚ: Tùy chọn này đã bị xóa trong v4.0 + vì TLS v1.2 được sử dụng theo mặc định

Tải xuống chứng chỉ Algo

Dưới đây là một tập hợp các liên kết để tải xuống chuỗi chứng chỉ Algo CA. Các files có thể được cài đặt trên Máy chủ SIP hoặc Máy chủ cung cấp để các máy chủ này xác thực Chứng chỉ thiết bị trên Điểm cuối SIP của Algo và do đó cho phép Xác thực lẫn nhau:
Thuật toán gốc CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo trung gian CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Chứng chỉ công khai Algo: http: //firmware.algosolutions.com/pub/certs/algo_ca.crt

Xử lý sự cố

Nếu quá trình bắt tay TLS không hoàn tất, vui lòng gửi bản chụp gói tin đến bộ phận hỗ trợ của Algo để phân tích. Để làm điều đó, bạn sẽ phải phản chiếu lưu lượng truy cập, từ cổng mà điểm cuối Algo được kết nối trên switch mạng, trở lại máy tính.

Công Ty TNHH Sản Phẩm Truyền Thông Algo
4500 Beedie St Burnaby BC Canada V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

Tài liệu / Tài nguyên

ALGO TLS Bảo mật lớp truyền tải [tập tin pdf] Hướng dẫn TLS, Bảo mật lớp truyền tải, Bảo mật lớp, TLS, Lớp truyền tải

Tài liệu tham khảo

• Hướng dẫn sử dụng