Keamanan Lapisan Transportasi TLS
Manual Instruksi

Mengamankan Titik Akhir IP Algo:
TLS dan Otentikasi Saling

Butuh Bantuan?
Telepon: 604-454-3792 or dukungan@algosolutions.com 

Pengantar TLS

TLS (Transport Layer Security) adalah protokol kriptografi yang menyediakan otentikasi, privasi, dan keamanan ujung ke ujung data yang dikirim antar aplikasi atau perangkat melalui Internet. Seiring dengan semakin banyaknya platform telepon yang dihosting, kebutuhan akan TLS untuk menyediakan komunikasi yang aman melalui internet publik semakin meningkat. Perangkat Algo yang mendukung firmware 1.6.4 atau lebih baru mendukung Transport Layer Security (TLS) untuk Provisioning dan SIP Signaling.
Catatan: titik akhir berikut tidak mendukung TLS: 8180 IP Audio Alerter (G1), 8028 IP Doorphone (G1), 8128 IP Visual Alerter (G1), 8061 IP Relay Controller.

Enkripsi vs Verifikasi Identitas

Meskipun lalu lintas TLS selalu terenkripsi dan aman dari penyadapan atau modifikasi pihak ketiga, lapisan keamanan tambahan dapat diberikan dengan menggunakan Sertifikat untuk memverifikasi identitas pihak lain. Hal ini memungkinkan Server untuk memverifikasi identitas perangkat IP Endpoint, dan sebaliknya.
Untuk melakukan pemeriksaan identitas, Sertifikat file harus ditandatangani oleh Certificate Authority (CA). Perangkat lain kemudian memeriksa tanda tangan ini, menggunakan Sertifikat Publik (Tepercaya) dari CA ini.

Sertifikat TLS

Titik Akhir IP Algo sudah diinstal sebelumnya dengan serangkaian sertifikat publik dari Otoritas Sertifikat (CA) pihak ketiga yang tepercaya, termasuk Comodo, Verisign, Symantec, DigiCert, dll. Otoritas Sertifikat memberikan sertifikat yang ditandatangani kepada bisnis untuk memungkinkan bisnis ini membuktikan bahwa server mereka atau websitus sebenarnya adalah seperti yang mereka katakan. Perangkat Algo dapat mengonfirmasi bahwa perangkat tersebut berkomunikasi dengan server autentik dengan memverifikasi sertifikat yang ditandatangani server terhadap sertifikat publik dari CA yang menandatanganinya. Sertifikat publik tambahan juga dapat diunggah, untuk memungkinkan perangkat Algo memercayai dan memverifikasi server tambahan yang mungkin tidak disertakan dalam sertifikat yang telah diinstal sebelumnya (misalnyaample, sertifikat yang ditandatangani sendiri).

Autentikasi Bersama

Mutual Authentication menambahkan satu lapisan keamanan tambahan dengan mengharuskan server juga memvalidasi dan memercayai perangkat titik akhir, selain arah berlawanan dari titik akhir yang memvalidasi server. Hal ini diimplementasikan menggunakan Sertifikat Perangkat unik, yang diinstal pada setiap Titik Akhir SIP Algo pada saat pembuatan. Karena alamat IP perangkat Algo tidak tetap (ditentukan oleh jaringan pelanggan), Algo tidak dapat mempublikasikan informasi ini terlebih dahulu dengan CA tepercaya, dan sebagai gantinya, Sertifikat Perangkat ini harus ditandatangani oleh CA Algo sendiri.
Agar server dapat mempercayai perangkat Algo, administrator sistem perlu menginstal rantai sertifikat Algo CA publik ke server mereka (misalnyaample Sistem Telepon SIP atau server penyediaannya) sehingga server ini dapat memverifikasi bahwa Sertifikat Perangkat pada perangkat Algo memang asli.

Catatan: Titik akhir Algo IP yang diproduksi pada tahun 2019 (dimulai dengan firmware 1.7.1) atau lebih baru memiliki sertifikat perangkat yang diinstal dari pabrik.
Untuk memverifikasi apakah sertifikat telah diinstal, navigasikan ke tab Sistem -> Tentang. Lihat Sertifikat Produsen. Jika sertifikat belum terpasang, silakan kirim email dukungan@algosolutions.com.

Suite Cipher

Cipher suite adalah kumpulan algoritma yang digunakan selama sesi TLS. Setiap suite mencakup algoritma untuk otentikasi, enkripsi, dan otentikasi pesan. Perangkat Algo mendukung banyak algoritma enkripsi yang umum digunakan seperti AES256 dan algoritma kode otentikasi pesan seperti SHA-2.

Sertifikat Perangkat Algo

Sertifikat Perangkat yang ditandatangani oleh Algo Root CA telah diinstal dari pabrik pada perangkat Algo sejak 2019, dimulai dengan firmware 1.7.1. Sertifikat dibuat saat perangkat diproduksi, dengan kolom nama umum di sertifikat berisi alamat MAC untuk setiap perangkat.
Sertifikat perangkat berlaku selama 30 tahun dan berada di partisi terpisah, sehingga tidak akan terhapus bahkan setelah titik akhir Algo diatur ulang ke setelan pabrik.
Perangkat Algo juga mendukung pengunggahan sertifikat perangkat Anda sendiri untuk digunakan sebagai ganti sertifikat perangkat yang diinstal pabrik. Ini dapat dipasang dengan mengunggah PEM file berisi sertifikat perangkat dan kunci pribadi ke direktori 'sertifikat' (bukan direktori 'sertifikat/tepercaya'!) di Sistem -> File Tab manajer. Ini file perlu disebut 'sip klien.pem'.

Mengunggah Sertifikat CA Publik ke Titik Akhir Algo SIP

Jika Anda menggunakan firmware yang lebih rendah dari 3.1.X, harap tingkatkan perangkat.
Untuk menginstal sertifikat pada perangkat Algo yang menjalankan firmware v3.1 & yang lebih baru, ikuti langkah-langkah di bawah ini:

1. Dapatkan sertifikat publik dari Otoritas Sertifikat Anda (sertifikat format X.509 apa pun yang valid dapat diterima). Tidak ada format khusus yang diperlukan untuk filenama.
2. Di dalam web antarmuka perangkat Algo, navigasikan ke Sistem -> File tab manajer.
3. Unggah sertifikat files ke dalam direktori 'sertifikat/tepercaya'. Klik tombol Unggah di sudut kiri atas file manajer dan telusuri sertifikat.

Web Opsi Antarmuka

Penyediaan HTTPS
Penyediaan dapat diamankan dengan mengatur 'Metode Pengunduhan' ke 'HTTPS' (di bawah tab Pengaturan Lanjutan > Penyediaan). Ini mencegah konfigurasi files agar tidak dibaca oleh pihak ketiga yang tidak diinginkan. Hal ini mengatasi potensi risiko pencurian data sensitif, seperti kata sandi admin dan kredensial SIP.

Untuk melakukan verifikasi identitas pada Server Penyedia, setel juga 'Validasi Sertifikat Server' ke 'Diaktifkan'. Jika Sertifikat server penyediaan ditandatangani oleh salah satu CA komersial umum, maka perangkat Algo harus sudah memiliki sertifikat publik untuk CA ini dan dapat melakukan verifikasi.
Unggah sertifikat tambahan (sertifikat X.64 yang dikodekan Base509 file dalam format .pem, .cer, atau .crt) dengan membuka “System > File Manajer” ke folder 'sertifikat/tepercaya'.
CATATAN: Parameter 'Validasi Sertifikat Server' juga dapat diaktifkan melalui penyediaan: prov.download.cert = 1

Bahasa Indonesia: HTTPS Web Protokol Antarmuka
Prosedur untuk mengunggah sertifikat publik untuk HTTPS web penjelajahan serupa dengan apa yang dijelaskan pada bagian di atas. httpd.pem file adalah sertifikat perangkat yang diminta oleh browser komputer Anda saat Anda menavigasi ke IP perangkat. Mengunggah yang khusus mungkin memungkinkan Anda menghilangkan pesan peringatan jika Anda mengakses WebUI menggunakan HTTPS. Ini bukan sertifikat CA publik. Sertifikat harus diunggah ke 'sertifikat'.

Pensinyalan SIP (dan Audio RTP)

Pensinyalan SIP diamankan dengan mengatur 'Transportasi SIP' ke 'TLS' (di bawah tab Pengaturan Lanjutan > SIP Lanjutan).

• Ini memastikan bahwa lalu lintas SIP akan dienkripsi.
• Sinyal SIP bertanggung jawab untuk menetapkan panggilan (sinyal kontrol untuk memulai dan mengakhiri panggilan dengan pihak lain), tetapi tidak berisi audio.
• Untuk jalur audio (suara), gunakan pengaturan 'Penawaran SDP SRTP'.
• Menyetelnya ke 'Opsional' berarti data audio RTP panggilan SIP akan dienkripsi (menggunakan SRTP) jika pihak lain juga mendukung enkripsi audio.
• Jika pihak lain tidak mendukung SRTP, maka panggilan akan tetap dilanjutkan, namun dengan audio yang tidak terenkripsi. Untuk mewajibkan enkripsi audio pada semua panggilan, setel 'Penawaran SDP SRTP' ke 'Standar'. Dalam hal ini, jika pihak lain tidak mendukung enkripsi audio, maka upaya panggilan akan ditolak.
• Untuk melakukan verifikasi identitas pada Server SIP, setel juga 'Validasi Sertifikat Server' ke 'Diaktifkan'.
• Jika Sertifikat server SIP ditandatangani oleh salah satu CA komersial umum, maka perangkat Algo harus sudah memiliki sertifikat publik untuk CA ini dan dapat melakukan verifikasi. Jika tidak (misalnyaampfile dengan sertifikat yang ditandatangani sendiri), maka sertifikat publik yang sesuai dapat diunggah ke perangkat Algo seperti yang dijelaskan sebelumnya dalam dokumen ini.

TLS Versi 1.2
Perangkat algo yang menjalankan firmware v3.1 & di atasnya mendukung TLS v1.1 dan v1.2. 'Paksa Amankan TLS
Opsi versi dapat digunakan untuk mewajibkan koneksi TLS untuk menggunakan TLSv1.2. Untuk mengaktifkan fitur ini:

• Buka Pengaturan lanjutan > SIP lanjutan
• Setel 'Paksa Versi TLS aman' sebagai diaktifkan dan simpan.
  CATATAN: Opsi ini telah dihapus di v4.0+ karena TLS v1.2 digunakan secara default

Unduh Sertifikat Algo

Di bawah ini adalah serangkaian tautan untuk mengunduh rantai sertifikat Algo CA. Itu files dapat diinstal pada Server SIP atau Server Penyediaan agar server ini dapat mengautentikasi Sertifikat Perangkat pada Titik Akhir SIP Algo, dan dengan demikian memungkinkan Otentikasi Bersama:
Algo Root CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Juga CA Menengah: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Sertifikat Publik Algo: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

Penyelesaian Masalah

Jika jabat tangan TLS belum selesai, kirimkan tangkapan paket ke dukungan Algo untuk dianalisis. Untuk melakukan itu, Anda harus mencerminkan lalu lintas, dari port tempat titik akhir Algo terhubung pada switch jaringan, kembali ke komputer.

Produk Komunikasi Algo Ltd
4500 Beedie St Burnaby BC Kanada V5J 5L2
www.algosolutions.com
Telepon: 604-454-3792
dukungan@algosolutions.com

Dokumen / Sumber Daya

Keamanan Lapisan Transportasi ALGO TLS [Bahasa Indonesia:] Instruksi TLS, Keamanan Lapisan Transportasi, Keamanan Lapisan, TLS, Lapisan Transportasi

Referensi

• Panduan Pengguna