ALGO - โลโก้ความปลอดภัยของเลเยอร์การขนส่ง TLS
คู่มือการใช้งาน

การรักษาความปลอดภัยปลายทาง Algo IP:
TLS และการตรวจสอบความถูกต้องร่วมกัน

ต้องการความช่วยเหลือหรือไม่?
604-454-3792 or support@algosolutions.com 

ข้อมูลเบื้องต้นเกี่ยวกับ TLS

TLS (Transport Layer Security) เป็นโปรโตคอลการเข้ารหัสที่ให้การรับรองความถูกต้อง ความเป็นส่วนตัว และการรักษาความปลอดภัยแบบ end-to-end ของข้อมูลที่ส่งระหว่างแอปพลิเคชันหรืออุปกรณ์ผ่านทางอินเทอร์เน็ต เนื่องจากแพลตฟอร์มโทรศัพท์ที่โฮสต์กลายเป็นเรื่องธรรมดามากขึ้น ความจำเป็นของ TLS ในการจัดหาการสื่อสารที่ปลอดภัยผ่านอินเทอร์เน็ตสาธารณะจึงเพิ่มขึ้น อุปกรณ์ Algo ที่รองรับเฟิร์มแวร์ 1.6.4 หรือใหม่กว่ารองรับ Transport Layer Security (TLS) สำหรับทั้งการจัดเตรียมและการส่งสัญญาณ SIP
บันทึก: ปลายทางต่อไปนี้ไม่รองรับ TLS: 8180 IP Audio Alerter (G1), 8028 IP Doorphone (G1), 8128 IP Visual Alerter (G1), 8061 IP Relay Controller

การเข้ารหัสและการยืนยันตัวตน

แม้ว่าการรับส่งข้อมูล TLS จะถูกเข้ารหัสและปลอดภัยจากการแอบฟังหรือแก้ไขโดยบุคคลที่สามเสมอ แต่สามารถให้การรักษาความปลอดภัยอีกชั้นหนึ่งโดยใช้ใบรับรองเพื่อยืนยันตัวตนของอีกฝ่ายหนึ่ง ซึ่งช่วยให้เซิร์ฟเวอร์ตรวจสอบข้อมูลประจำตัวของอุปกรณ์ปลายทาง IP และในทางกลับกัน
เพื่อดำเนินการตรวจสอบตัวตน Certificate file ต้องลงนามโดยผู้ออกใบรับรอง (CA) จากนั้นอุปกรณ์อีกเครื่องจะตรวจสอบลายเซ็นนี้โดยใช้ใบรับรองสาธารณะ (ที่เชื่อถือได้) จาก CA นี้

ใบรับรอง TLS

Algo IP Endpoints มาพร้อมกับชุดใบรับรองสาธารณะที่ติดตั้งไว้ล่วงหน้าจากผู้ออกใบรับรองบุคคลที่สามที่เชื่อถือได้ (CA) รวมถึง Comodo, Verisign, Symantec, DigiCert เป็นต้น ผู้ออกใบรับรองจะมอบใบรับรองที่ลงนามให้กับธุรกิจเพื่อให้ธุรกิจเหล่านี้พิสูจน์ได้ว่า เซิร์ฟเวอร์ของพวกเขาหรือ webไซต์เป็นจริงที่พวกเขากล่าวว่าเป็น อุปกรณ์ Algo สามารถยืนยันได้ว่ากำลังสื่อสารกับเซิร์ฟเวอร์ของแท้โดยตรวจสอบใบรับรองที่ลงนามของเซิร์ฟเวอร์กับใบรับรองสาธารณะจาก CA ที่ลงนาม นอกจากนี้ยังสามารถอัปโหลดใบรับรองสาธารณะเพิ่มเติมเพื่อให้อุปกรณ์ Algo เชื่อถือและตรวจสอบเซิร์ฟเวอร์เพิ่มเติมที่อาจไม่ได้รวมอยู่ในใบรับรองที่ติดตั้งไว้ล่วงหน้า (เช่นample ใบรับรองที่ลงนามเอง)

การพิสูจน์ความถูกต้องร่วมกัน

การตรวจสอบความถูกต้องร่วมกันเพิ่มระดับการรักษาความปลอดภัยอีกชั้นหนึ่งโดยกำหนดให้เซิร์ฟเวอร์ต้องตรวจสอบและเชื่อถืออุปกรณ์ปลายทางด้วย นอกเหนือจากทิศทางที่ตรงกันข้ามกับจุดสิ้นสุดที่ตรวจสอบเซิร์ฟเวอร์แล้ว การดำเนินการนี้ดำเนินการโดยใช้ใบรับรองอุปกรณ์เฉพาะ ซึ่งติดตั้งอยู่บนปลายทางของ Algo SIP แต่ละจุด ณ เวลาที่ทำการผลิต เนื่องจากที่อยู่ IP ของอุปกรณ์ Algo ไม่ได้รับการแก้ไข (ถูกกำหนดโดยเครือข่ายของลูกค้า) Algo จึงไม่สามารถเผยแพร่ข้อมูลนี้ล่วงหน้ากับ CA ที่เชื่อถือได้ และจะต้องลงนามใบรับรองอุปกรณ์เหล่านี้โดย CA ของ Algo เอง
เพื่อให้เซิร์ฟเวอร์เชื่อถืออุปกรณ์ Algo ได้ ผู้ดูแลระบบจะต้องติดตั้งชุดใบรับรอง Algo CA สาธารณะบนเซิร์ฟเวอร์ของตน (เช่นampระบบโทรศัพท์ SIP หรือเซิร์ฟเวอร์การจัดเตรียม) เพื่อให้เซิร์ฟเวอร์นี้สามารถตรวจสอบว่าใบรับรองอุปกรณ์บนอุปกรณ์ Algo เป็นของแท้หรือไม่

บันทึก: อุปกรณ์ปลายทาง Algo IP ที่ผลิตในปี 2019 (เริ่มต้นด้วยเฟิร์มแวร์ 1.7.1) หรือใหม่กว่ามีใบรับรองอุปกรณ์ติดตั้งมาจากโรงงาน
หากต้องการตรวจสอบว่ามีการติดตั้งใบรับรองหรือไม่ ให้ไปที่แท็บระบบ -> เกี่ยวกับ ดูใบรับรองผู้ผลิต หากไม่ได้ติดตั้งใบรับรอง โปรดส่งอีเมลถึง support@algosolutions.com. ALGO TLS Transport Layer Security - รูปที่ 1

ชุดรหัสลับ

ชุดการเข้ารหัสคือชุดของอัลกอริทึมที่ใช้ระหว่างเซสชัน TLS แต่ละชุดประกอบด้วยอัลกอริธึมสำหรับการตรวจสอบสิทธิ์ การเข้ารหัส และการตรวจสอบข้อความ อุปกรณ์ Algo รองรับอัลกอริธึมการเข้ารหัสที่ใช้กันทั่วไปมากมาย เช่น AES256 และอัลกอริธึมรหัสตรวจสอบข้อความ เช่น SHA-2

ใบรับรองอุปกรณ์ Algo

ใบรับรองอุปกรณ์ที่ลงนามโดย Algo Root CA ได้รับการติดตั้งจากโรงงานในอุปกรณ์ Algo ตั้งแต่ปี 2019 โดยเริ่มด้วยเฟิร์มแวร์ 1.7.1 ใบรับรองจะถูกสร้างขึ้นเมื่อมีการผลิตอุปกรณ์ โดยมีฟิลด์ชื่อทั่วไปในใบรับรองที่มีที่อยู่ MAC สำหรับแต่ละอุปกรณ์
ใบรับรองอุปกรณ์มีอายุ 30 ปีและอยู่ในพาร์ติชั่นที่แยกจากกัน ดังนั้นจะไม่ถูกลบแม้ว่าโรงงานจะรีเซ็ตตำแหน่งข้อมูล Algo แล้ว
อุปกรณ์ Algo ยังรองรับการอัปโหลดใบรับรองอุปกรณ์ของคุณเองเพื่อใช้แทนใบรับรองอุปกรณ์ที่ติดตั้งมาจากโรงงาน สามารถติดตั้งได้โดยอัปโหลด PEM file ที่มีทั้งใบรับรองอุปกรณ์และคีย์ส่วนตัวไปยังไดเร็กทอรี 'certs' (ไม่ใช่ไดเร็กทอรี 'certs/trusted'!) ในระบบ -> File แท็บผู้จัดการ นี้ file ต้องเรียกว่า ซิบ ไคลเอนต์.pem-

การอัปโหลดใบรับรอง CA สาธารณะไปยัง Algo SIP Endpoints

หากคุณใช้เฟิร์มแวร์ที่ต่ำกว่า 3.1.X โปรดอัปเกรดอุปกรณ์
ในการติดตั้งใบรับรองบนอุปกรณ์ Algo ที่ใช้เฟิร์มแวร์ v3.1 ขึ้นไป ให้ทำตามขั้นตอนด้านล่าง:

  1. รับใบรับรองสาธารณะจากผู้ออกใบรับรองของคุณ (สามารถยอมรับใบรับรองรูปแบบ X.509 ที่ถูกต้องได้) ไม่มีรูปแบบเฉพาะที่จำเป็นสำหรับ fileชื่อ.
  2. ใน web อินเทอร์เฟซของอุปกรณ์ Algo ไปที่ System -> File แท็บผู้จัดการ
  3. อัพโหลดใบรับรอง fileลงในไดเร็กทอรี 'certs/trusted' คลิกปุ่มอัปโหลดที่มุมบนซ้ายของ file ผู้จัดการและเรียกดูใบรับรอง

Web ตัวเลือกอินเทอร์เฟซ

การจัดสรร HTTPS
การจัดสรรสามารถรักษาความปลอดภัยได้โดยการตั้งค่า 'วิธีการดาวน์โหลด' เป็น 'HTTPS' (ภายใต้การตั้งค่าขั้นสูง > แท็บการจัดสรร) สิ่งนี้จะป้องกันการกำหนดค่า fileจากการถูกอ่านโดยบุคคลที่สามที่ไม่ต้องการ วิธีนี้ช่วยแก้ปัญหาความเสี่ยงที่อาจเกิดขึ้นจากการถูกขโมยข้อมูลสำคัญ เช่น รหัสผ่านของผู้ดูแลระบบและข้อมูลรับรอง SIP ALGO TLS Transport Layer Security - รูปที่ 2

ในการดำเนินการยืนยันตัวตนบนเซิร์ฟเวอร์การเตรียมใช้งาน ให้ตั้งค่า 'ตรวจสอบใบรับรองเซิร์ฟเวอร์' เป็น 'เปิดใช้งาน' ด้วย หากใบรับรองของเซิร์ฟเวอร์การจัดเตรียมมีการลงนามโดย CA เชิงพาณิชย์รายใดรายหนึ่ง อุปกรณ์ Algo ควรมีใบรับรองสาธารณะสำหรับ CA นี้อยู่แล้วและสามารถดำเนินการตรวจสอบได้
อัปโหลดใบรับรองเพิ่มเติม (ใบรับรอง X.64 ที่เข้ารหัส Base509 file ในรูปแบบ .pem, .cer หรือ .crt) โดยไปที่ “System > File Manager” ไปยังโฟลเดอร์ 'certs/trusted'
หมายเหตุ: พารามิเตอร์ 'ตรวจสอบใบรับรองเซิร์ฟเวอร์' ยังสามารถเปิดใช้งานผ่านการจัดเตรียม: prov.download.cert = 1

HTTPS Web โปรโตคอลการเชื่อมต่อ
ขั้นตอนการอัปโหลดใบรับรองสาธารณะสำหรับ HTTPS web การเรียกดูจะคล้ายกับที่อธิบายไว้ในส่วนข้างต้น httpd.pem file เป็นใบรับรองอุปกรณ์ที่เบราว์เซอร์ของคอมพิวเตอร์ร้องขอเมื่อคุณไปที่ IP ของอุปกรณ์ การอัปโหลดแบบกำหนดเองอาจช่วยให้คุณกำจัดข้อความเตือนหากคุณเข้าถึง WebUI ที่ใช้ HTTPS ไม่ใช่ใบรับรอง CA สาธารณะ ต้องอัปโหลดใบรับรองไปที่ 'ใบรับรอง' ALGO TLS Transport Layer Security - รูปที่ 3

การส่งสัญญาณ SIP (และเสียง RTP)

การส่งสัญญาณ SIP นั้นปลอดภัยโดยการตั้งค่า 'การขนส่ง SIP' เป็น 'TLS' (ภายใต้การตั้งค่าขั้นสูง > แท็บ SIP ขั้นสูง)

  • ช่วยให้มั่นใจได้ว่าการรับส่งข้อมูล SIP จะได้รับการเข้ารหัส
  • การส่งสัญญาณ SIP มีหน้าที่ในการสร้างการโทร (สัญญาณควบคุมเพื่อเริ่มต้นและสิ้นสุดการโทรกับอีกฝ่ายหนึ่ง) แต่ไม่มีเสียง
  • สำหรับเส้นทางเสียง (เสียง) ให้ใช้การตั้งค่า 'SDP SRTP Offer'
  • การตั้งค่านี้เป็น "ไม่บังคับ" หมายความว่าข้อมูลเสียง RTP ของการโทร SIP จะได้รับการเข้ารหัส (โดยใช้ SRTP) หากอีกฝ่ายสนับสนุนการเข้ารหัสเสียงด้วย
  • หากอีกฝ่ายไม่รองรับ SRTP การโทรจะยังคงดำเนินต่อไป แต่มีเสียงที่ไม่ได้เข้ารหัส หากต้องการกำหนดให้เข้ารหัสเสียงสำหรับการโทรทั้งหมด ให้ตั้งค่า 'SDP SRTP Offer' เป็น 'Standard' ในกรณีนี้ หากอีกฝ่ายไม่รองรับการเข้ารหัสเสียง ความพยายามในการโทรจะถูกปฏิเสธ
  • ในการดำเนินการตรวจสอบข้อมูลประจำตัวบนเซิร์ฟเวอร์ SIP ให้ตั้งค่า 'ตรวจสอบใบรับรองเซิร์ฟเวอร์' เป็น 'เปิดใช้งาน' ด้วย
  • หากใบรับรองของเซิร์ฟเวอร์ SIP ได้รับการลงนามโดย CA เชิงพาณิชย์รายใดรายหนึ่ง อุปกรณ์ Algo ควรมีใบรับรองสาธารณะสำหรับ CA นี้อยู่แล้วและสามารถดำเนินการตรวจสอบได้ ถ้าไม่ (สำหรับexampด้วยใบรับรองที่ลงนามเอง) จากนั้นใบรับรองสาธารณะที่เหมาะสมสามารถอัปโหลดไปยังอุปกรณ์ Algo ตามที่อธิบายไว้ก่อนหน้าในเอกสารนี้

ALGO TLS Transport Layer Security - รูปที่ 4

TLS เวอร์ชัน 1.2
อุปกรณ์ Algo ที่ใช้เฟิร์มแวร์ v3.1 ขึ้นไปรองรับ TLS v1.1 และ v1.2 'บังคับ TLS ที่ปลอดภัย
ตัวเลือกเวอร์ชันอาจใช้เพื่อกำหนดให้มีการเชื่อมต่อ TLS เพื่อใช้ TLSv1.2 ในการเปิดใช้งานคุณลักษณะนี้:

  • ไปที่ การตั้งค่าขั้นสูง > ขั้นสูง SIP
  • ตั้งค่า 'บังคับเวอร์ชัน TLS ที่ปลอดภัย' เป็นเปิดใช้งานและบันทึก
    บันทึก: ตัวเลือกนี้ถูกลบใน v4.0+ เนื่องจาก TLS v1.2 ถูกใช้โดยค่าเริ่มต้น

ดาวน์โหลดใบรับรอง Algo

ด้านล่างนี้คือชุดลิงก์สำหรับดาวน์โหลดสายใบรับรอง Algo CA ดิ fileสามารถติดตั้งบน SIP Server หรือ Provisioning Server เพื่อให้เซิร์ฟเวอร์เหล่านี้ตรวจสอบความถูกต้องของ Device Certificates บน Algo SIP Endpoints และอนุญาต Mutual Authentication:
อัลโกรูท CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo ระดับกลาง CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Algo ใบรับรองสาธารณะ: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

การแก้ไขปัญหา

หากการแฮนด์เชค TLS ไม่เสร็จสมบูรณ์ โปรดส่งการดักจับแพ็กเก็ตไปยังฝ่ายสนับสนุนของ Algo เพื่อทำการวิเคราะห์ ในการทำเช่นนั้น คุณจะต้องจำลองการรับส่งข้อมูล จากพอร์ตที่ปลายทาง Algo เชื่อมต่อกับสวิตช์เครือข่าย กลับไปที่คอมพิวเตอร์

อัลโก คอมมูนิเคชั่น โปรดักส์ บจก
4500 Beedie St Burnaby BC แคนาดา V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

เอกสาร / แหล่งข้อมูล

ALGO TLS Transport Layer การรักษาความปลอดภัย [พีดีเอฟ] คำแนะนำ
TLS, การรักษาความปลอดภัยชั้นการขนส่ง, การรักษาความปลอดภัยชั้น, TLS, ชั้นการขนส่ง

อ้างอิง

ฝากความคิดเห็น

ที่อยู่อีเมลของคุณจะไม่ถูกเผยแพร่ ช่องที่ต้องกรอกข้อมูลมีเครื่องหมาย *