ALGO - 로고TLS 전송 계층 보안
사용 설명서

Algo IP 엔드포인트 보안:
TLS 및 상호 인증

도움이 필요하신가요?
604-454-3792 or support@algosolutions.com 

내용물 숨다
1 TLS 소개
2 암호화 대 신원 확인
3 TLS 인증서
4 상호 인증
5 암호 모음
6 Algo 장치 인증서
7 Algo SIP 엔드포인트에 공개 CA 인증서 업로드
8 Web 인터페이스 옵션
9 SIP 신호(및 RTP 오디오)
10 Algo 인증서 다운로드
11 문제 해결
12 문서 / 리소스
12.1 참고문헌
13 관련 게시물

TLS 소개

TLS(전송 계층 보안)는 인터넷을 통해 애플리케이션이나 장치 간에 전송되는 데이터의 인증, 개인 정보 보호 및 종단 간 보안을 제공하는 암호화 프로토콜입니다. 호스팅 텔레포니 플랫폼이 보편화됨에 따라 공용 인터넷을 통해 안전한 통신을 제공하기 위한 TLS에 대한 필요성이 커졌습니다. 펌웨어 1.6.4 이상을 지원하는 Algo 장치는 프로비저닝과 SIP 신호 모두에 대해 전송 계층 보안(TLS)을 지원합니다.
메모: 다음 엔드포인트는 TLS를 지원하지 않습니다: 8180 IP 오디오 알림(G1), 8028 IP 도어폰(G1), 8128 IP 시각 알림(G1), 8061 IP 릴레이 컨트롤러.

암호화 대 신원 확인

TLS 트래픽은 항상 암호화되어 제3자의 도청이나 수정으로부터 안전하지만, 인증서를 사용하여 다른 당사자의 신원을 확인함으로써 추가적인 보안 계층을 제공할 수 있습니다. 이를 통해 서버는 IP 엔드포인트 장치의 신원을 확인할 수 있으며, 그 반대의 경우도 마찬가지입니다.
신원 확인을 수행하려면 인증서가 필요합니다. file 인증 기관(CA)에서 서명해야 합니다. 그런 다음 다른 장치가 이 CA의 공개(신뢰할 수 있는) 인증서를 사용하여 이 서명을 확인합니다.

TLS 인증서

Algo IP Endpoint에는 Comodo, Verisign, Symantec, DigiCert 등을 포함한 신뢰할 수 있는 제3자 인증 기관(CA)의 공개 인증서 세트가 미리 설치되어 제공됩니다. 인증 기관은 이러한 기업이 서버 또는 web사이트는 실제로 그들이 말하는 그대로입니다. Algo 장치는 서버의 서명된 인증서를 서명한 CA의 공개 인증서와 비교하여 검증하여 진정한 서버와 통신하고 있음을 확인할 수 있습니다. 추가 공개 인증서도 업로드하여 Algo 장치가 사전 설치된 인증서에 포함되지 않을 수 있는 추가 서버를 신뢰하고 검증할 수 있도록 할 수 있습니다(예:amp즉, 자체 서명된 인증서).

상호 인증

상호 인증은 엔드포인트가 서버를 검증하는 반대 방향 외에도 엔드포인트 장치를 검증하고 신뢰하도록 요구함으로써 보안 계층을 하나 더 추가합니다. 이는 제조 시 각 Algo SIP 엔드포인트에 설치된 고유한 장치 인증서를 사용하여 구현됩니다. Algo 장치의 IP 주소는 고정되지 않으므로(고객의 네트워크에서 결정됨) Algo는 신뢰할 수 있는 CA에 미리 이 정보를 게시할 수 없으며 대신 이러한 장치 인증서는 Algo 자체 CA에서 서명해야 합니다.
서버가 Algo 장치를 신뢰하려면 시스템 관리자가 공개 Algo CA 인증서 체인을 서버에 설치해야 합니다(예:ampSIP 전화 시스템이나 해당 프로비저닝 서버를 통해 이 서버가 Algo 장치의 장치 인증서가 실제로 진짜인지 확인할 수 있도록 합니다.

메모: 2019년 이후에 제조된 Algo IP 엔드포인트(펌웨어 1.7.1부터)에는 공장에서 장치 인증서가 설치되어 있습니다.
인증서가 설치되었는지 확인하려면 시스템 -> 정보 탭으로 이동합니다. 제조업체 인증서를 확인합니다. 인증서가 설치되지 않은 경우 이메일을 보내주세요. support@algosolutions.com. ALGO TLS 전송 계층 보안 - 그림 1

암호 모음

암호 모음은 TLS 세션 동안 사용되는 알고리즘 세트입니다. 각 모음에는 인증, 암호화 및 메시지 인증을 위한 알고리즘이 포함됩니다. Algo 장치는 AES256과 같은 일반적으로 사용되는 암호화 알고리즘과 SHA-2와 같은 메시지 인증 코드 알고리즘을 많이 지원합니다.

Algo 장치 인증서

Algo Root CA에서 서명한 장치 인증서는 2019년부터 펌웨어 1.7.1부터 Algo 장치에 공장에서 설치되었습니다. 인증서는 장치가 제조될 때 생성되며, 인증서의 일반 이름 필드에는 각 장치의 MAC 주소가 포함됩니다.
장치 인증서는 30년 동안 유효하며 별도의 파티션에 보관되므로 Algo 엔드포인트를 공장 초기화한 후에도 삭제되지 않습니다.
Algo 기기는 공장에서 설치된 기기 인증서 대신 사용할 자체 기기 인증서를 업로드하는 것도 지원합니다. 이는 PEM을 업로드하여 설치할 수 있습니다. file 장치 인증서와 개인 키를 모두 포함하여 시스템의 'certs' 디렉토리('certs/trusted' 디렉토리가 아님!)에 저장합니다. File 관리자 탭. 이 file 'sip'이라고 불러야 해 클라이언트.pem'.

Algo SIP 엔드포인트에 공개 CA 인증서 업로드

펌웨어 버전이 3.1.X보다 낮은 경우 기기를 업그레이드하세요.
펌웨어 v3.1 이상을 실행하는 Algo 장치에 인증서를 설치하려면 다음 단계를 따르세요.

  1. 인증 기관에서 공개 인증서를 받으세요(모든 유효한 X.509 형식 인증서 허용). 특정 형식은 필요하지 않습니다. file이름.
  2. 에서 web Algo 장치의 인터페이스에서 시스템으로 이동하세요 -> File 관리자 탭.
  3. 인증서를 업로드하세요 file'certs/trusted' 디렉토리로 s를 넣으세요. 왼쪽 상단 모서리에 있는 업로드 버튼을 클릭하세요. file 관리자를 클릭하고 인증서를 찾아보세요.

Web 인터페이스 옵션

HTTPS 프로비저닝
프로비저닝은 '다운로드 방법'을 'HTTPS'로 설정하여 보안할 수 있습니다(고급 설정 > 프로비저닝 탭 아래). 이렇게 하면 구성이 방지됩니다. file원치 않는 제3자가 읽지 못하도록 합니다. 이렇게 하면 관리자 비밀번호 및 SIP 자격 증명과 같은 민감한 데이터가 도난당할 수 있는 잠재적인 위험이 해결됩니다. ALGO TLS 전송 계층 보안 - 그림 2

프로비저닝 서버에서 신원 확인을 수행하려면 '서버 인증서 검증'도 '활성화'로 설정합니다. 프로비저닝 서버의 인증서가 일반적인 상용 CA 중 하나에서 서명된 경우 Algo 디바이스는 이미 이 CA에 대한 공개 인증서를 가지고 있어야 하며 확인을 수행할 수 있어야 합니다.
추가 인증서 업로드(Base64 인코딩된 X.509 인증서) file .pem, .cer 또는 .crt 형식으로 "시스템 > File 'certs/trusted' 폴더로 "관리자"를 추가합니다.
참고: '서버 인증서 검증' 매개변수는 프로비저닝을 통해서도 활성화할 수 있습니다. prov.download.cert = 1

HTTPS Web 인터페이스 프로토콜
HTTPS에 대한 공개 인증서를 업로드하는 절차 web 탐색은 위 섹션에 설명된 것과 유사합니다. httpd.pem file 는 장치의 IP로 이동할 때 컴퓨터 브라우저에서 요청하는 장치 인증서입니다. 사용자 지정 인증서를 업로드하면 액세스하는 경우 경고 메시지를 제거할 수 있습니다. WebHTTPS를 사용하는 UI입니다. 공개 CA 인증서가 아닙니다. 인증서는 'certs'에 업로드해야 합니다. ALGO TLS 전송 계층 보안 - 그림 3

SIP 신호(및 RTP 오디오)

SIP 신호는 'SIP 전송'을 'TLS'로 설정하여 보안됩니다(고급 설정 > 고급 SIP 탭).

  • SIP 트래픽이 암호화되도록 보장합니다.
  • SIP 신호는 통화를 설정하는 역할을 하며(다른 당사자와의 통화를 시작하고 종료하는 제어 신호), 오디오는 포함하지 않습니다.
  • 오디오(음성) 경로의 경우 'SDP SRTP 제공' 설정을 사용합니다.
  • 이 옵션을 '선택 사항'으로 설정하면 상대방도 오디오 암호화를 지원하는 경우 SIP 통화의 RTP 오디오 데이터가 SRTP를 사용하여 암호화됩니다.
  • 상대방이 SRTP를 지원하지 않으면 통화는 계속 진행되지만 오디오는 암호화되지 않습니다. 모든 통화에 오디오 암호화를 필수로 하려면 'SDP SRTP Offer'를 'Standard'로 설정합니다. 이 경우 상대방이 오디오 암호화를 지원하지 않으면 통화 시도가 거부됩니다.
  • SIP 서버에서 신원 확인을 수행하려면 '서버 인증서 검증'도 '활성화'로 설정하세요.
  • SIP 서버의 인증서가 일반적인 상용 CA 중 하나에서 서명된 경우 Algo 장치는 이미 이 CA에 대한 공개 인증서를 가지고 있어야 하며 검증을 수행할 수 있어야 합니다. 그렇지 않은 경우(예:amp자체 서명된 인증서가 있는 경우) 적절한 공개 인증서를 이 문서의 앞부분에서 설명한 대로 Algo 장치에 업로드할 수 있습니다.

ALGO TLS 전송 계층 보안 - 그림 4

TLS 버전 1.2
펌웨어 v3.1 이상을 실행하는 Algo 장치는 TLS v1.1 및 v1.2를 지원합니다. 'Force Secure TLS
버전' 옵션은 TLS 연결이 TLSv1.2를 사용하도록 요구하는 데 사용될 수 있습니다. 이 기능을 활성화하려면:

  • 고급 설정 > 고급 SIP로 이동하세요
  • '보안 TLS 버전 강제 적용'을 활성화하고 저장합니다.
    메모: TLS v4.0가 기본적으로 사용되기 때문에 이 옵션은 v1.2+에서 제거되었습니다.

Algo 인증서 다운로드

아래는 Algo CA 인증서 체인을 다운로드하기 위한 링크 세트입니다. fileAlgo SIP 엔드포인트에서 장치 인증서를 인증하고 상호 인증을 허용하려면 SIP 서버 또는 프로비저닝 서버에 s를 설치할 수 있습니다.
알고 루트 CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
알고 인터미디에이트 CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Algo Public 인증서: hhttps://firmware.algosolutions.com/pub/certs/algo_ca.crt에서 확인하세요.

문제 해결

TLS 핸드셰이크가 완료되지 않으면 패킷 캡처를 Algo 지원팀에 보내 분석해 주세요. 그러려면 네트워크 스위치에서 Algo 엔드포인트가 연결된 포트에서 트래픽을 미러링하여 컴퓨터로 다시 보내야 합니다.

알고 통신 제품 주식 회사
4500 Beedie St Burnaby BC 캐나다 V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

문서 / 리소스

ALGO TLS 전송 계층 보안 [PDF 파일] 지침
TLS, 전송 계층 보안, 계층 보안, TLS, 전송 계층

참고문헌

관련 게시물

댓글을 남겨주세요

이메일 주소는 공개되지 않습니다. 필수 항목은 표시되어 있습니다. *