ALGO - ロゴTLS トランスポート層セキュリティ
取扱説明書

Algo IP エンドポイントの保護:
TLS と相互認証

ヘルプが必要ですか?
604-454-3792 or support@algosolutions.com 

コンテンツ 隠れる
1 TLS の概要
2 暗号化と本人確認
3 TLS証明書
4 相互認証
5 暗号スイート
6 Algo デバイス証明書
7 Algo SIP エンドポイントへのパブリック CA 証明書のアップロード
8 Web インターフェースオプション
9 SIP シグナリング (および RTP オーディオ)
10 アルゴリズム証明書のダウンロード
11 トラブルシューティング
12 ドキュメント / リソース
12.1 参考文献
13 関連記事

TLS の概要

TLS (Transport Layer Security) は、インターネットを介してアプリケーションまたはデバイス間で送信されるデータの認証、プライバシー、およびエンドツーエンドのセキュリティを提供する暗号化プロトコルです。 ホステッド テレフォニー プラットフォームがより一般的になるにつれて、パブリック インターネット上で安全な通信を提供するための TLS の必要性が高まっています。 ファームウェア 1.6.4 以降をサポートする Algo デバイスは、プロビジョニングと SIP シグナリングの両方で Transport Layer Security (TLS) をサポートします。
注記: 次のエンドポイントは TLS をサポートしていません: 8180 IP Audio Alerter (G1)、8028 IP Doorphone (G1)、8128 IP Visual Alerter (G1)、8061 IP Relay Controller。

暗号化と本人確認

TLS トラフィックは常に暗号化されており、第三者の盗聴や変更から保護されていますが、証明書を使用して相手の身元を確認することにより、追加のセキュリティ レイヤーを提供できます。 これにより、サーバーは IP エンドポイント デバイスの身元を確認でき、その逆も可能です。
本人確認を行うために、証明書 file 認証局 (CA) によって署名されている必要があります。 次に、他のデバイスは、この CA からの公開 (信頼された) 証明書を使用して、この署名をチェックします。

TLS証明書

Algo IP エンドポイントには、Comodo、Verisign、Symantec、DigiCert などの信頼できるサードパーティの認証局 (CA) からの一連の公開証明書がプリインストールされています。彼らのサーバーまたは webサイトは実際に彼らが言う人です。 アルゴ デバイスは、署名した CA からの公開証明書に対してサーバーの署名付き証明書を検証することにより、認証済みのサーバーと通信していることを確認できます。 追加の公開証明書をアップロードして、Algo デバイスが、プリインストールされた証明書に含まれていない可能性のある追加のサーバーを信頼して検証できるようにすることもできます (例:ampル、自己署名証明書)。

相互認証

相互認証は、サーバーを検証するエンドポイントの反対方向に加えて、エンドポイント デバイスを検証して信頼することもサーバーに要求することにより、セキュリティのレイヤーを XNUMX つ追加します。 これは、製造時に各 Algo SIP エンドポイントにインストールされた固有のデバイス証明書を使用して実装されます。 Algo デバイスの IP アドレスは固定されていない (顧客のネットワークによって決定される) ため、Algo は信頼できる CA を使用してこの情報を事前に公開できません。代わりに、これらのデバイス証明書は Algo 独自の CA によって署名される必要があります。
サーバーが Algo デバイスを信頼できるようにするには、システム管理者が公開 Algo CA 証明書チェーンをサーバーにインストールする必要があります (例:ampこれにより、このサーバーは、Algo デバイスのデバイス証明書が実際に認証されていることを確認できます。

注記: 2019 年 (ファームウェア 1.7.1 以降) 以降に製造された Algo IP エンドポイントには、工場出荷時にデバイス証明書がインストールされています。
証明書がインストールされているかどうかを確認するには、[システム] -> [バージョン情報] タブに移動します。 メーカー証明書を参照してください。 証明書がインストールされていない場合は、メールでお問い合わせください support@algosolutions.com. ALGO TLS トランスポート層セキュリティ - 図 1

暗号スイート

暗号スイートは、TLS セッション中に使用される一連のアルゴリズムです。 各スイートには、認証、暗号化、およびメッセージ認証のアルゴリズムが含まれています。 Algo デバイスは、AES256 などの一般的に使用される多くの暗号化アルゴリズムや、SHA-2 などのメッセージ認証コード アルゴリズムをサポートしています。

Algo デバイス証明書

Algo ルート CA によって署名されたデバイス証明書は、ファームウェア 2019 以降、1.7.1 年以降、出荷時に Algo デバイスにインストールされています。 証明書はデバイスの製造時に生成され、証明書の共通名フィールドには各デバイスの MAC アドレスが含まれています。
デバイス証明書は 30 年間有効で、別のパーティションに存在するため、Algo エンドポイントを出荷時設定にリセットした後でも消去されません。
Algo デバイスは、出荷時にインストールされたデバイス証明書の代わりに使用する独自のデバイス証明書のアップロードもサポートしています。 これは、PEM をアップロードすることでインストールできます。 file システムの「certs」ディレクトリ (「certs/trusted」ディレクトリではありません!) にデバイス証明書と秘密鍵の両方を含めます -> File マネージャータブ。 これ file 「一口」と呼ばれる必要があります クライアント.pem'。

Algo SIP エンドポイントへのパブリック CA 証明書のアップロード

3.1.X より前のファームウェアを使用している場合は、デバイスをアップグレードしてください。
ファームウェア v3.1 以降を実行している Algo デバイスに証明書をインストールするには、次の手順に従います。

  1. 認証局から公開証明書を取得します (任意の有効な X.509 形式の証明書を受け入れることができます)。 に必要な特定の形式はありません。 file名前。
  2. では web Algo デバイスのインターフェイスで、[システム] -> [システム] に移動します。 File [マネージャー]タブ。
  3. 証明書をアップロードする files を「certs/trusted」ディレクトリに移動します。 の左上隅にある [アップロード] ボタンをクリックします。 file マネージャーを開き、証明書を参照します。

Web インターフェースオプション

HTTPS プロビジョニング
プロビジョニングは、[ダウンロード方法] を [HTTPS] に設定することで保護できます ([詳細設定] > [プロビジョニング] タブの下)。 これにより、構成が妨げられます file不要な第三者に読まれないようにします。 これにより、管理者パスワードや SIP 資格情報などの機密データが盗まれる潜在的なリスクが解決されます。 ALGO TLS トランスポート層セキュリティ - 図 2

プロビジョニング サーバーで ID 検証を実行するには、[サーバー証明書の検証] も [有効] に設定します。 プロビジョニング サーバーの証明書が一般的な商用 CA のいずれかによって署名されている場合、Algo デバイスにはこの CA の公開証明書が既にあり、検証を実行できるはずです。
追加の証明書をアップロードします (Base64 でエンコードされた X.509 証明書 file .pem、.cer、または .crt 形式で) 「システム > File Manager」を「certs/trusted」フォルダーにコピーします。
注: 「Validate Server Certificate」パラメーターは、プロビジョニングによっても有効にすることができます。 prov.download.cert = 1

翻訳 Web インターフェイスプロトコル
HTTPS の公開証明書をアップロードする手順 web ブラウジングは、上記のセクションで説明したものと似ています。 httpd.pem file デバイスの IP に移動するときにコンピューターのブラウザーによって要求されるデバイス証明書です。 カスタム ファイルをアップロードすると、 WebHTTPS を使用した UI。 パブリック CA 証明書ではありません。 証明書は「certs」にアップロードする必要があります。 ALGO TLS トランスポート層セキュリティ - 図 3

SIP シグナリング (および RTP オーディオ)

SIP シグナリングは、「SIP トランスポート」を「TLS」に設定することによって保護されます ([詳細設定] > [詳細 SIP] タブの下)。

  • これにより、SIP トラフィックが確実に暗号化されます。
  • SIP シグナリングは通話の確立を担当しますが (相手との通話を開始および終了するための制御信号)、音声は含まれません。
  • オーディオ (音声) パスの場合は、「SDP SRTP オファー」設定を使用します。
  • これを「オプション」に設定すると、相手側も音声暗号化をサポートしている場合、SIP 通話の RTP 音声データが (SRTP を使用して) 暗号化されます。
  • 相手が SRTP をサポートしていない場合でも、通話は続行されますが、音声は暗号化されません。 すべての通話で音声暗号化を必須にするには、「SDP SRTP オファー」を「標準」に設定します。 この場合、相手が音声暗号化をサポートしていない場合、通話の試行は拒否されます。
  • SIP サーバーで ID 検証を実行するには、[サーバー証明書の検証] も [有効] に設定します。
  • SIP サーバーの証明書が一般的な商用 CA のいずれかによって署名されている場合、Algo デバイスはこの CA の公開証明書を既に持っており、検証を実行できるはずです。 そうでない場合(例amp自己署名証明書を含むファイル)、このドキュメントで前述したように、適切な公開証明書を Algo デバイスにアップロードできます。

ALGO TLS トランスポート層セキュリティ - 図 4

TLS バージョン 1.2
ファームウェア v3.1 以降を実行する Algo デバイスは、TLS v1.1 および v1.2 をサポートします。 'セキュア TLS を強制する
Version' オプションは、TLS 接続が TLSv1.2 を使用することを要求するために使用できます。 この機能を有効にするには:

  • 詳細設定 > 詳細 SIP に移動します。
  • 「Force secure TLS Version」を有効に設定して保存します。
    注記: TLS v4.0 がデフォルトで使用されるため、このオプションは v1.2+ で削除されました。

アルゴリズム証明書のダウンロード

以下は、Algo CA 証明書チェーンをダウンロードするための一連のリンクです。 の fileを SIP サーバーまたはプロビジョニング サーバーにインストールして、これらのサーバーが Algo SIP エンドポイントでデバイス証明書を認証し、相互認証を許可することができます。
アルゴ ルート CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
アルゴ中間 CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
アルゴリズム公開証明書: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

トラブルシューティング

TLS ハンドシェイクが完了していない場合は、分析のためにパケット キャプチャをアルゴ サポートに送信してください。 そのためには、Algo エンドポイントが接続されているネットワーク スイッチのポートからコンピューターにトラフィックをミラーリングする必要があります。

アルゴコミュニケーションプロダクツ株式会社
4500ビーディーセントバーナビーBCカナダV5J5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

ドキュメント / リソース

ALGO TLS トランスポート層セキュリティ [pdf] 説明書
TLS、トランスポート層セキュリティ、レイヤー セキュリティ、TLS、トランスポート層

参考文献

関連記事

コメントを残す

あなたのメールアドレスは公開されません。 必須項目はマークされています *