ALGO - logoKeamanan Lapisan Transport TLS
Instruksi Manual

Ngamanake Titik Akhir IP Algo:
TLS lan Mutual Authentication

Perlu Bantuan?
604-454-3792 or support@algosolutions.com 

Isine ndhelikake
1 Pambuka kanggo TLS
2 Enkripsi vs Verifikasi Identitas
3 Sertifikat TLS
4 Mutual Authentication
5 Cipher Suites
6 Sertifikat Piranti Algo
7 Ngunggah Sertifikat CA Umum menyang Algo SIP Endpoints
8 Web Pilihan Antarmuka
9 Sinyal SIP (lan RTP Audio)
10 Download Sertifikat Algo
11 Ngatasi masalah
12 Dokumen / Sumber Daya
12.1 Referensi
13 Kiriman sing gegandhengan

Pambuka kanggo TLS

TLS (Transport Layer Security) minangka protokol kriptografi sing nyedhiyakake otentikasi, privasi, lan keamanan end-to-end data sing dikirim antarane aplikasi utawa piranti liwat Internet. Minangka platform telephony host wis dadi luwih umum, perlu kanggo TLS kanggo nyedhiyani komunikasi aman liwat internet umum wis tambah. Piranti Algo sing ndhukung firmware 1.6.4 utawa luwih anyar ndhukung Transport Layer Security (TLS) kanggo Provisioning lan SIP Signaling.
Cathetan: endpoints ing ngisor iki ora ndhukung TLS: 8180 IP Audio Alerter (G1), 8028 IP Doorphone (G1), 8128 IP Visual Alerter (G1), 8061 IP Relay Controller.

Enkripsi vs Verifikasi Identitas

Nalika lalu lintas TLS tansah dienkripsi lan aman saka eavesdropping utawa modifikasi pihak katelu, lapisan keamanan tambahan bisa diwenehake kanthi nggunakake Sertifikat kanggo verifikasi identitas pihak liya. Iki ngidini Server kanggo verifikasi identitas piranti IP Endpoint, lan kosok balene.
Kanggo nindakake mriksa identitas, Certificate file kudu ditandatangani dening Certificate Authority (CA). Piranti liyane banjur mriksa tandha tangan iki, nggunakake Sertifikat Umum (Terpercaya) saka CA iki.

Sertifikat TLS

Algo IP Endpoints wis diinstal kanthi sakumpulan sertifikat umum saka Panguwasa Sertifikat (CA) pihak katelu sing dipercaya, kalebu Comodo, Verisign, Symantec, DigiCert, lsp. Panguwasa Sertifikat nyedhiyakake sertifikat sing ditandatangani kanggo bisnis supaya bisnis kasebut mbuktekake manawa server sing utawa webCamping ing kasunyatan sing padha ngomong lagi. Piranti Algo bisa ngonfirmasi yen komunikasi karo server asli kanthi verifikasi sertifikat sing ditandatangani server marang sertifikat umum saka CA sing mlebu. Sertifikat umum tambahan uga bisa diunggah, kanggo ngidini piranti Algo dipercaya lan verifikasi server tambahan sing bisa uga ora kalebu ing sertifikat sing wis diinstal (kanggo ex.ample, sertifikat sing ditandatangani dhewe).

Mutual Authentication

Mutual Authentication nambahake siji lapisan keamanan tambahan kanthi mbutuhake server uga validasi lan dipercaya piranti endpoint, saliyane arah ngelawan saka endpoint sing validasi server. Iki dileksanakake nggunakake Certificate Piranti unik, diinstal ing saben Algo SIP Endpoint ing wektu Pabrik. Amarga alamat IP piranti Algo ora tetep (ditemtokake dening jaringan pelanggan), Algo ora bisa nerbitake informasi kasebut luwih dhisik karo CA sing dipercaya, nanging Sertifikat Piranti kasebut kudu ditandatangani dening CA Algo dhewe.
Supaya server bisa dipercaya piranti Algo, administrator sistem kudu nginstal rantai sertifikat Algo CA umum menyang server (kanggo ex.ample Sistem Telpon SIP utawa server sing nyedhiyakake) supaya server iki bisa verifikasi manawa Sertifikat Piranti ing piranti Algo kasebut asline.

Cathetan: Titik pungkasan IP Algo sing diprodhuksi ing 2019 (diwiwiti karo firmware 1.7.1) utawa mengko duwe sertifikat piranti diinstal saka pabrik.
Kanggo verifikasi yen sertifikat wis diinstal, navigasi menyang Sistem -> Babagan tab. Waca Sertifikat Produsen. Yen sertifikat ora diinstal, please email support@algosolutions.com. Keamanan Lapisan Transport ALGO TLS - Gambar 1

Cipher Suites

Cipher suites minangka set algoritma sing digunakake sajrone sesi TLS. Saben suite kalebu algoritma kanggo otentikasi, enkripsi, lan otentikasi pesen. Piranti Algo ndhukung akeh algoritma enkripsi sing umum digunakake kayata AES256 lan algoritma kode otentikasi pesen kayata SHA-2.

Sertifikat Piranti Algo

Sertifikat Piranti sing ditandatangani dening Algo Root CA wis diinstal pabrik ing piranti Algo wiwit 2019, diwiwiti karo firmware 1.7.1. Sertifikat kasebut digawe nalika piranti digawe, kanthi kolom jeneng umum ing sertifikat sing ngemot alamat MAC kanggo saben piranti.
Sertifikat piranti bener kanggo 30 taun lan manggon ing partisi kapisah, supaya ora bakal dibusak sanajan sawise pabrik ngreset titik pungkasan Algo.
Piranti Algo uga ndhukung upload sertifikat piranti sampeyan dhewe kanggo digunakake tinimbang sertifikat piranti sing diinstal pabrik. Iki bisa diinstal kanthi ngunggah PEM file ngemot sertifikat piranti lan kunci pribadi menyang direktori 'sertifikat' (dudu direktori 'certs/dipercaya'!) ing Sistem -> File tab Manager. Iki file kudu diarani 'sip klien.pem'.

Ngunggah Sertifikat CA Umum menyang Algo SIP Endpoints

Yen sampeyan nggunakake perangkat kukuh luwih murah tinimbang 3.1.X, mangga nganyarke piranti kasebut.
Kanggo nginstal sertifikat ing piranti Algo sing nganggo firmware v3.1 & ndhuwur, tindakake langkah ing ngisor iki:

  1. Entuk sertifikat umum saka Otoritas Sertifikat (sertifikat format X.509 sing valid bisa ditampa). Ora ana format khusus sing dibutuhake kanggo filejeneng.
  2. Ing web antarmuka piranti Algo, navigasi menyang Sistem -> File tab Manager.
  3. Unggah sertifikat files menyang direktori 'certs/dipercaya'. Klik tombol Upload ing pojok kiwa ndhuwur file manager lan browsing menyang sertifikat.

Web Pilihan Antarmuka

Penyediaan HTTPS
Penyediaan bisa diamanake kanthi nyetel 'Metode Ngundhuh' dadi 'HTTPS' (ing tab Setelan Lanjut > Penyediaan). Iki ngalangi konfigurasi files saka diwaca dening pihak katelu sing ora dikarepake. Iki ngrampungake risiko potensial data sensitif dicolong, kayata sandhi admin lan kredensial SIP. Keamanan Lapisan Transport ALGO TLS - Gambar 2

Kanggo nindakake verifikasi identitas ing Server Penyedia, setel uga 'Validasi Sertifikat Server' dadi 'Aktif'. Yen Sertifikat server provisioning ditandatangani dening salah sawijining CA komersial umum, mula piranti Algo kudu duwe sertifikat umum kanggo CA iki lan bisa nindakake verifikasi kasebut.
Unggah sertifikat tambahan (sertifikat X.64 sing dienkode Base509 file ing format .pem, .cer, utawa .crt) kanthi navigasi menyang "Sistem > File Manager" menyang folder 'certs/trusted'.
CATETAN: Parameter 'Validate Server Certificate' uga bisa diaktifake liwat provisioning: prov.download.cert = 1

HTTPS Web Protokol Antarmuka
Prosedur kanggo ngunggah sertifikat umum kanggo HTTPS web browsing padha karo sing diterangake ing bagean ndhuwur. httpd.pem file minangka sertifikat piranti sing dijaluk browser komputer nalika sampeyan navigasi menyang IP piranti. Ngunggah adat bisa ngidini sampeyan ngilangi pesen peringatan yen sampeyan ngakses WebUI nggunakake HTTPS. Iku dudu sertifikat CA umum. Sertifikat kasebut kudu diunggah menyang 'sertifikat'. Keamanan Lapisan Transport ALGO TLS - Gambar 3

Sinyal SIP (lan RTP Audio)

Sinyal SIP diamanake kanthi nyetel 'SIP Transportation' dadi 'TLS' (ing tab Advanced Settings > Advanced SIP).

  • Iki njamin lalu lintas SIP bakal dienkripsi.
  • Sinyal SIP tanggung jawab kanggo nggawe telpon (sinyal kontrol kanggo miwiti lan mungkasi telpon karo pihak liyane), nanging ora ngemot audio.
  • Kanggo path audio (swara), gunakake setelan 'SDP SRTP Offer'.
  • Nyetel iki dadi 'Opsional' tegese data audio RTP telpon SIP bakal dienkripsi (nggunakake SRTP) yen pihak liya uga ndhukung enkripsi audio.
  • Yen pihak liya ora ndhukung SRTP, banjur telpon bakal diterusake, nanging nganggo audio sing ora dienkripsi. Kanggo nggawe prentah enkripsi audio kanggo kabeh telpon, setel 'SDP SRTP Offer' dadi 'Standar'. Ing kasus iki, yen pihak liya ora ndhukung enkripsi audio, banjur nyoba nelpon bakal ditolak.
  • Kanggo nindakake verifikasi identitas ing Server SIP, setel uga 'Validasi Sertifikat Server' dadi 'Aktif'.
  • Yen Sertifikat server SIP ditandatangani dening salah sawijining CA komersial umum, piranti Algo kudu duwe sertifikat umum kanggo CA iki lan bisa nindakake verifikasi kasebut. Yen ora (kanggo example karo sertifikat sing ditandatangani dhewe), banjur sertifikat umum sing cocog bisa diunggah menyang piranti Algo kaya sing diterangake sadurunge ing dokumen iki.

Keamanan Lapisan Transport ALGO TLS - Gambar 4

TLS Versi 1.2
Piranti Algo sing nganggo firmware v3.1 & ndhuwur ndhukung TLS v1.1 lan v1.2. 'Force Secure TLS
Opsi versi bisa digunakake kanggo mbutuhake sambungan TLS kanggo nggunakake TLSv1.2. Kanggo ngaktifake fitur iki:

  • Pindhah menyang Setelan Lanjut > SIP Lanjut
  • Setel 'Force secure TLS Version' minangka aktif lan simpen.
    CATETAN: Opsi iki wis dibusak ing v4.0+ wiwit TLS v1.2 digunakake minangka standar

Download Sertifikat Algo

Ing ngisor iki ana kumpulan pranala kanggo ngundhuh rantai sertifikat Algo CA. Ing files bisa diinstal ing Server SIP utawa Server Provisioning supaya server iki bisa otentikasi Sertifikat Piranti ing Algo SIP Endpoints, lan kanthi mangkono ngidini Mutual Authentication:
Algo Root CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo Intermediate CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Sertifikat Umum Algo: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

Ngatasi masalah

Yen jabat tangan TLS ora rampung, kirim tangkapan paket menyang dhukungan Algo kanggo analisis. Kanggo nindakake iki, sampeyan kudu nggambarake lalu lintas, saka port titik pungkasan Algo disambungake menyang switch jaringan, bali menyang komputer.

Algo Komunikasi Produk Ltd.
4500 Beedie St Burnaby BC Kanada V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

Dokumen / Sumber Daya

Keamanan Lapisan Transport ALGO TLS [pdf] Pandhuan
TLS, Transport Layer Security, Layer Security, TLS, Transport Layer

Referensi

Kiriman sing gegandhengan

Ninggalake komentar

Alamat email sampeyan ora bakal diterbitake. Kolom sing dibutuhake ditandhani *