ALGO - logoTLS Transport Layer Security
Manwal sa Instruksyon

Pagsiguro sa Algo IP Endpoints:
TLS ug Mutual Authentication

Nagkinahanglan ug Tabang?
604-454-3792 or suporta@algosolutions.com 

Mga sulod itago
1 Pasiuna sa TLS
2 Encryption vs Identity Verification
3 Mga Sertipiko sa TLS
4 Mutual Authentication
5 Cipher Suites
6 Mga Sertipiko sa Algo Device
7 Pag-upload sa Public CA Certificates sa Algo SIP Endpoints
8 Web Mga Opsyon sa Interface
9 SIP Signaling (ug RTP Audio)
10 Pag-download sa mga Sertipiko sa Algo
11 Pag-troubleshoot
12 Mga Dokumento / Mga Kapanguhaan
12.1 Mga pakisayran
13 May Kalabutan nga mga Post

Pasiuna sa TLS

Ang TLS (Transport Layer Security) usa ka cryptographic protocol nga naghatag og authentication, privacy, ug end-to-end nga seguridad sa datos nga gipadala tali sa mga aplikasyon o device sa Internet. Ingon nga nahimong mas komon ang gi-host nga telephony platform, ang panginahanglan alang sa TLS sa paghatag ug luwas nga komunikasyon sa publikong internet miuswag. Ang mga algo device nga nagsuporta sa firmware 1.6.4 o sa ulahi nagsuporta sa Transport Layer Security (TLS) para sa Provisioning ug SIP Signaling.
Mubo nga sulat: ang mosunod nga mga endpoint dili mosuporta sa TLS: 8180 IP Audio Alerter (G1), 8028 IP Doorphone (G1), 8128 IP Visual Alerter (G1), 8061 IP Relay Controller.

Encryption vs Identity Verification

Samtang ang trapiko sa TLS kanunay nga gi-encrypt ug luwas gikan sa pag-eavesdrop sa ikatulo nga partido o pagbag-o, ang usa ka dugang nga layer sa seguridad mahimong ihatag pinaagi sa paggamit sa mga Sertipiko aron mapamatud-an ang pagkatawo sa laing partido. Kini nagtugot sa Server sa pag-verify sa pagkatawo sa IP Endpoint device, ug vice-versa.
Aron mahimo ang pagsusi sa identidad, ang Sertipiko file kinahanglan nga pirmahan sa usa ka Certificate Authority (CA). Ang laing device unya mosusi niini nga pirma, gamit ang Public (Trusted) Certificate gikan niini nga CA.

Mga Sertipiko sa TLS

Ang Algo IP Endpoints kay na-pre-install uban ang usa ka set sa publikong mga sertipiko gikan sa kasaligang third-party nga Certificate Authority (CAs), lakip na ang Comodo, Verisign, Symantec, DigiCert, ug uban pa. ilang mga server o webAng mga site sa tinuud kung kinsa ang giingon nila. Ang mga aparato sa Algo mahimong makumpirma nga kini nakigsulti sa usa ka tinuud nga server pinaagi sa pag-verify sa mga gipirmahan nga sertipiko sa server batok sa mga publiko nga sertipiko gikan sa CA nga nagpirma niini. Mahimo usab nga ma-upload ang dugang nga mga sertipiko sa publiko, aron tugutan ang aparato nga Algo nga mosalig ug mapamatud-an ang dugang nga mga server nga mahimo’g wala maapil sa mga na-preinstall nga mga sertipiko (alang sa example, mga sertipiko nga gipirmahan sa kaugalingon).

Mutual Authentication

Ang Mutual Authentication nagdugang og usa ka dugang nga layer sa seguridad pinaagi sa pag-require sa server nga mag-validate usab ug mosalig sa endpoint device, dugang sa atbang nga direksyon sa endpoint nga nag-validate sa server. Gipatuman kini gamit ang usa ka talagsaon nga Sertipiko sa Device, nga gi-install sa matag Algo SIP Endpoint sa panahon sa paghimo. Tungod kay ang IP address sa usa ka Algo device wala ma-fix (kini gitino sa network sa customer), ang Algo dili makamantala niini nga impormasyon sa daan uban sa mga kasaligan nga CA, ug hinoon, kini nga Device Certificates kinahanglang pirmahan sa kaugalingong CA ni Algo.
Aron ang server mosalig dayon sa Algo device, ang system administrator kinahanglan nga i-install ang publiko nga Algo CA certificate chain sa ilang server (alang sa exampug ang SIP Phone System o ang ilang provisioning server) aron kini nga server makapamatuod nga ang Device Certificate sa Algo device tinuod gayud.

Mubo nga sulat: Ang mga endpoint sa Algo IP nga gihimo sa 2019 (nagsugod sa firmware 1.7.1) o sa ulahi na-install ang sertipiko sa aparato gikan sa pabrika.
Aron mapamatud-an kung ang sertipiko na-install, pag-navigate sa System -> About tab. Tan-awa ang Sertipiko sa Manufacturer. Kung wala ma-install ang sertipiko, palihug email suporta@algosolutions.com. ALGO TLS Transport Layer Security - Hulagway 1

Cipher Suites

Ang mga cipher suite kay mga set sa mga algorithm nga gigamit panahon sa sesyon sa TLS. Ang matag suite naglakip sa mga algorithm alang sa authentication, encryption, ug message authentication. Gisuportahan sa mga algo device ang daghang sagad nga gigamit nga mga algorithm sa pag-encrypt sama sa AES256 ug mga algorithm sa code sa pag-authenticate sa mensahe sama sa SHA-2.

Mga Sertipiko sa Algo Device

Ang mga Sertipiko sa Device nga gipirmahan sa Algo Root CA na-install sa pabrika sa mga device sa Algo sukad sa 2019, sugod sa firmware 1.7.1. Ang sertipiko namugna kung ang aparato gihimo, nga adunay sagad nga ngalan sa uma sa sertipiko nga adunay sulud nga MAC address alang sa matag aparato.
Ang sertipiko sa aparato balido sulod sa 30 ka tuig ug nagpuyo sa usa ka bulag nga partisyon, mao nga dili kini mapapas bisan human sa pag-reset sa pabrika sa Algo endpoint.
Gisuportahan usab sa mga Algo device ang pag-upload sa imong kaugalingon nga sertipiko sa aparato aron gamiton imbes sa sertipiko sa aparato nga na-install sa pabrika. Mahimo kining i-install pinaagi sa pag-upload og PEM file nga adunay duha ka sertipiko sa aparato ug usa ka pribado nga yawe kini sa direktoryo nga 'certs' (dili ang direktoryo nga 'certs/trusted'!) sa System -> File Tab sa manager. Kini file kinahanglan tawgon nga 'sip kliyente.pem'.

Pag-upload sa Public CA Certificates sa Algo SIP Endpoints

Kung naa ka sa firmware nga ubos sa 3.1.X, palihug i-upgrade ang aparato.
Aron ma-install ang sertipiko sa usa ka Algo device nga nagpadagan sa firmware v3.1 ug labaw pa, sunda ang mga lakang sa ubos:

  1. Pagkuha og usa ka publiko nga sertipiko gikan sa imong Certificate Authority (bisan unsang balido nga X.509 format nga sertipiko mahimong dawaton). Walay piho nga pormat nga gikinahanglan alang sa filengalan.
  2. Diha sa web interface sa Algo device, navigate sa System -> File Tab sa manager.
  3. I-upload ang sertipiko files ngadto sa 'certs/trusted' nga direktoryo. I-klik ang Upload button sa ibabaw nga wala nga suok sa file manager ug pag-browse sa sertipiko.

Web Mga Opsyon sa Interface

Paghatag sa HTTPS
Mahimong masiguro ang paghatag pinaagi sa pagbutang sa 'Paagi sa Pag-download' sa 'HTTPS' (ubos sa tab nga Advanced Settings > Provisioning). Gipugngan niini ang pag-configure files gikan sa pagbasa sa usa ka dili gusto nga ikatulo nga partido. Nasulbad niini ang posibleng risgo sa pagkawat sa sensitibong datos, sama sa mga password sa admin ug mga kredensyal sa SIP. ALGO TLS Transport Layer Security - Hulagway 2

Aron mahimo ang pag-verify sa pagkatawo sa Provisioning Server, itakda usab ang 'Validate Server Certificate' sa 'Enabled'. Kung ang Sertipiko sa provisioning server gipirmahan sa usa sa mga kasagarang komersyal nga CA, nan ang Algo device kinahanglan nga adunay publiko nga sertipiko alang niini nga CA ug makahimo sa pag-verify.
Pag-upload og dugang nga mga sertipiko (Base64 nga naka-encode sa X.509 nga sertipiko file sa .pem, .cer, o .crt nga format) pinaagi sa pag-navigate sa “System > File Manager” sa 'certs/trusted' folder.
PAHINUMDOM: Ang parameter nga 'Validate Server Certificate' mahimo usab nga magamit pinaagi sa paghatag: prov.download.cert = 1

HTTPS Web Interface Protocol
Ang pamaagi sa pag-upload og public certificate para sa HTTPS web Ang pag-browse parehas sa gihulagway sa seksyon sa taas. Ang httpd.pem file usa ka sertipiko sa aparato nga gihangyo sa browser sa imong computer kung nag-navigate ka sa IP sa aparato. Ang pag-upload sa usa ka kostumbre mahimo’g tugotan ka nga mawala ang mensahe sa pasidaan kung imong ma-access ang WebUI gamit ang HTTPS. Dili kini usa ka sertipiko sa publiko nga CA. Ang sertipiko kinahanglang i-upload sa 'certs'. ALGO TLS Transport Layer Security - Hulagway 3

SIP Signaling (ug RTP Audio)

Ang pagsenyas sa SIP gisiguro pinaagi sa pagbutang sa 'SIP Transportation' ngadto sa 'TLS' (ubos sa Advanced Settings > Advanced SIP tab).

  • Gisiguro niini nga ang trapiko sa SIP ma-encrypt.
  • Ang SIP signaling maoy responsable sa pag-establisar sa tawag (ang mga signal sa pagkontrol sa pagsugod ug pagtapos sa tawag uban sa laing partido), apan wala kini naglakip sa audio.
  • Para sa audio (tingog) nga agianan, gamita ang setting nga 'SDP SRTP Offer'.
  • Ang pagbutang niini sa 'Opsyonal' nagpasabot nga ang RTP audio data sa tawag sa SIP ma-encrypt (gamit ang SRTP) kung ang laing partido mosuporta usab sa audio encryption.
  • Kung ang laing partido dili mosuporta sa SRTP, nan ang tawag magpadayon gihapon, apan uban ang wala ma-encrypt nga audio. Para himoong mandatory ang audio encryption para sa tanang tawag, itakda ang 'SDP SRTP Offer' sa 'Standard'. Sa kini nga kaso, kung ang laing partido dili mosuporta sa audio encryption, nan ang pagsulay sa pagtawag isalikway.
  • Aron mahimo ang pag-verify sa pagkatawo sa SIP Server, itakda usab ang 'Validate Server Certificate' sa 'Enabled'.
  • Kung ang Sertipiko sa SIP server gipirmahan sa usa sa komon nga komersyal nga CA, nan ang Algo device kinahanglan nga adunay publiko nga sertipiko alang niini nga CA ug makahimo sa pag-verify. Kung dili (alang sa example with self-signed certificates), unya ang angay nga public certificate mahimong ma-upload sa Algo device sama sa gihulagway sa sayo pa niini nga dokumento.

ALGO TLS Transport Layer Security - Hulagway 4

TLS Bersyon 1.2
Ang mga Algo device nga nagdagan sa firmware v3.1 ug labaw pa nagsuporta sa TLS v1.1 ug v1.2. 'Force Secure TLS
Ang opsyon sa Bersyon mahimong gamiton aron mangayo ug TLS nga mga koneksyon sa paggamit sa TLSv1.2. Aron mahimo kini nga bahin:

  • Adto sa Advanced settings > Advanced SIP
  • I-set ang 'Force secure TLS Version' as enabled and save.
    NOTA: Kini nga opsyon gitangtang sa v4.0+ sukad ang TLS v1.2 gigamit sa default

Pag-download sa mga Sertipiko sa Algo

Sa ubos usa ka hugpong sa mga link aron ma-download ang kadena sa sertipiko sa Algo CA. Ang files mahimong ma-install sa SIP Server o Provisioning Server aron kini nga mga server ma-authenticate ang Device Certificates sa Algo SIP Endpoints, ug sa ingon tugotan ang Mutual Authentication:
Algo Root CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo Intermediate CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Algo Public Certificate: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

Pag-troubleshoot

Kung ang TLS handshake dili makompleto, palihug ipadala ang usa ka packet capture sa suporta sa Algo alang sa pagtuki. Aron mahimo kana kinahanglan nimo nga i-salamin ang trapiko, gikan sa pantalan ang Algo endpoint konektado sa switch sa network, balik sa usa ka kompyuter.

Algo Communication Products Ltd
4500 Beedie St Burnaby BC Canada V5J 5L2
www.algosolutions.com
604-454-3792
suporta@algosolutions.com

Mga Dokumento / Mga Kapanguhaan

ALGO TLS Transport Layer Security [pdf] Mga instruksiyon
TLS, Transport Layer Security, Layer Security, TLS, Transport Layer

Mga pakisayran

May Kalabutan nga mga Post

Pagbilin ug komento

Ang imong email address dili mamantala. Ang gikinahanglan nga mga natad gimarkahan *