ALGO TLS Transport Layer คำแนะนำในการรักษาความปลอดภัย

TLS (Transport Layer Security) เป็นโปรโตคอลการเข้ารหัสที่ให้การรับรองความถูกต้อง ความเป็นส่วนตัว และการรักษาความปลอดภัยแบบ end-to-end ของข้อมูลที่ส่งระหว่างแอปพลิเคชันหรืออุปกรณ์ผ่านทางอินเทอร์เน็ต เนื่องจากแพลตฟอร์มโทรศัพท์ที่โฮสต์กลายเป็นเรื่องธรรมดามากขึ้น ความจำเป็นของ TLS ในการจัดหาการสื่อสารที่ปลอดภัยผ่านอินเทอร์เน็ตสาธารณะจึงเพิ่มขึ้น อุปกรณ์ Algo ที่รองรับเฟิร์มแวร์ 1.6.4 หรือใหม่กว่ารองรับ Transport Layer Security (TLS) สำหรับทั้งการจัดเตรียมและการส่งสัญญาณ SIP
บันทึก: ปลายทางต่อไปนี้ไม่รองรับ TLS: 8180 IP Audio Alerter (G1), 8028 IP Doorphone (G1), 8128 IP Visual Alerter (G1), 8061 IP Relay Controller

การเข้ารหัสและการยืนยันตัวตน

แม้ว่าการรับส่งข้อมูล TLS จะถูกเข้ารหัสและปลอดภัยจากการแอบฟังหรือแก้ไขโดยบุคคลที่สามเสมอ แต่สามารถให้การรักษาความปลอดภัยอีกชั้นหนึ่งโดยใช้ใบรับรองเพื่อยืนยันตัวตนของอีกฝ่ายหนึ่ง ซึ่งช่วยให้เซิร์ฟเวอร์ตรวจสอบข้อมูลประจำตัวของอุปกรณ์ปลายทาง IP และในทางกลับกัน
เพื่อดำเนินการตรวจสอบตัวตน Certificate file ต้องลงนามโดยผู้ออกใบรับรอง (CA) จากนั้นอุปกรณ์อีกเครื่องจะตรวจสอบลายเซ็นนี้โดยใช้ใบรับรองสาธารณะ (ที่เชื่อถือได้) จาก CA นี้

ใบรับรอง TLS

Algo IP Endpoints มาพร้อมกับชุดใบรับรองสาธารณะที่ติดตั้งไว้ล่วงหน้าจากผู้ออกใบรับรองบุคคลที่สามที่เชื่อถือได้ (CA) รวมถึง Comodo, Verisign, Symantec, DigiCert เป็นต้น ผู้ออกใบรับรองจะมอบใบรับรองที่ลงนามให้กับธุรกิจเพื่อให้ธุรกิจเหล่านี้พิสูจน์ได้ว่า เซิร์ฟเวอร์ของพวกเขาหรือ webไซต์เป็นจริงที่พวกเขากล่าวว่าเป็น อุปกรณ์ Algo สามารถยืนยันได้ว่ากำลังสื่อสารกับเซิร์ฟเวอร์ของแท้โดยตรวจสอบใบรับรองที่ลงนามของเซิร์ฟเวอร์กับใบรับรองสาธารณะจาก CA ที่ลงนาม นอกจากนี้ยังสามารถอัปโหลดใบรับรองสาธารณะเพิ่มเติมเพื่อให้อุปกรณ์ Algo เชื่อถือและตรวจสอบเซิร์ฟเวอร์เพิ่มเติมที่อาจไม่ได้รวมอยู่ในใบรับรองที่ติดตั้งไว้ล่วงหน้า (เช่นample ใบรับรองที่ลงนามเอง)

การพิสูจน์ความถูกต้องร่วมกัน

การตรวจสอบความถูกต้องร่วมกันเพิ่มระดับการรักษาความปลอดภัยอีกชั้นหนึ่งโดยกำหนดให้เซิร์ฟเวอร์ต้องตรวจสอบและเชื่อถืออุปกรณ์ปลายทางด้วย นอกเหนือจากทิศทางที่ตรงกันข้ามกับจุดสิ้นสุดที่ตรวจสอบเซิร์ฟเวอร์แล้ว การดำเนินการนี้ดำเนินการโดยใช้ใบรับรองอุปกรณ์เฉพาะ ซึ่งติดตั้งอยู่บนปลายทางของ Algo SIP แต่ละจุด ณ เวลาที่ทำการผลิต เนื่องจากที่อยู่ IP ของอุปกรณ์ Algo ไม่ได้รับการแก้ไข (ถูกกำหนดโดยเครือข่ายของลูกค้า) Algo จึงไม่สามารถเผยแพร่ข้อมูลนี้ล่วงหน้ากับ CA ที่เชื่อถือได้ และจะต้องลงนามใบรับรองอุปกรณ์เหล่านี้โดย CA ของ Algo เอง
เพื่อให้เซิร์ฟเวอร์เชื่อถืออุปกรณ์ Algo ได้ ผู้ดูแลระบบจะต้องติดตั้งชุดใบรับรอง Algo CA สาธารณะบนเซิร์ฟเวอร์ของตน (เช่นampระบบโทรศัพท์ SIP หรือเซิร์ฟเวอร์การจัดเตรียม) เพื่อให้เซิร์ฟเวอร์นี้สามารถตรวจสอบว่าใบรับรองอุปกรณ์บนอุปกรณ์ Algo เป็นของแท้หรือไม่

บันทึก: อุปกรณ์ปลายทาง Algo IP ที่ผลิตในปี 2019 (เริ่มต้นด้วยเฟิร์มแวร์ 1.7.1) หรือใหม่กว่ามีใบรับรองอุปกรณ์ติดตั้งมาจากโรงงาน
หากต้องการตรวจสอบว่ามีการติดตั้งใบรับรองหรือไม่ ให้ไปที่แท็บระบบ -> เกี่ยวกับ ดูใบรับรองผู้ผลิต หากไม่ได้ติดตั้งใบรับรอง โปรดส่งอีเมลถึง support@algosolutions.com.

ชุดรหัสลับ

ชุดการเข้ารหัสคือชุดของอัลกอริทึมที่ใช้ระหว่างเซสชัน TLS แต่ละชุดประกอบด้วยอัลกอริธึมสำหรับการตรวจสอบสิทธิ์ การเข้ารหัส และการตรวจสอบข้อความ อุปกรณ์ Algo รองรับอัลกอริธึมการเข้ารหัสที่ใช้กันทั่วไปมากมาย เช่น AES256 และอัลกอริธึมรหัสตรวจสอบข้อความ เช่น SHA-2

ใบรับรองอุปกรณ์ Algo

ใบรับรองอุปกรณ์ที่ลงนามโดย Algo Root CA ได้รับการติดตั้งจากโรงงานในอุปกรณ์ Algo ตั้งแต่ปี 2019 โดยเริ่มด้วยเฟิร์มแวร์ 1.7.1 ใบรับรองจะถูกสร้างขึ้นเมื่อมีการผลิตอุปกรณ์ โดยมีฟิลด์ชื่อทั่วไปในใบรับรองที่มีที่อยู่ MAC สำหรับแต่ละอุปกรณ์
ใบรับรองอุปกรณ์มีอายุ 30 ปีและอยู่ในพาร์ติชั่นที่แยกจากกัน ดังนั้นจะไม่ถูกลบแม้ว่าโรงงานจะรีเซ็ตตำแหน่งข้อมูล Algo แล้ว
อุปกรณ์ Algo ยังรองรับการอัปโหลดใบรับรองอุปกรณ์ของคุณเองเพื่อใช้แทนใบรับรองอุปกรณ์ที่ติดตั้งมาจากโรงงาน สามารถติดตั้งได้โดยอัปโหลด PEM file ที่มีทั้งใบรับรองอุปกรณ์และคีย์ส่วนตัวไปยังไดเร็กทอรี 'certs' (ไม่ใช่ไดเร็กทอรี 'certs/trusted'!) ในระบบ -> File แท็บผู้จัดการ นี้ file ต้องเรียกว่า ซิบ ไคลเอนต์.pem-

การอัปโหลดใบรับรอง CA สาธารณะไปยัง Algo SIP Endpoints

หากคุณใช้เฟิร์มแวร์ที่ต่ำกว่า 3.1.X โปรดอัปเกรดอุปกรณ์
ในการติดตั้งใบรับรองบนอุปกรณ์ Algo ที่ใช้เฟิร์มแวร์ v3.1 ขึ้นไป ให้ทำตามขั้นตอนด้านล่าง:

รับใบรับรองสาธารณะจากผู้ออกใบรับรองของคุณ (สามารถยอมรับใบรับรองรูปแบบ X.509 ที่ถูกต้องได้) ไม่มีรูปแบบเฉพาะที่จำเป็นสำหรับ fileชื่อ.
ใน web อินเทอร์เฟซของอุปกรณ์ Algo ไปที่ System -> File แท็บผู้จัดการ

อัพโหลดใบรับรอง fileลงในไดเร็กทอรี 'certs/trusted' คลิกปุ่มอัปโหลดที่มุมบนซ้ายของ file ผู้จัดการและเรียกดูใบรับรอง

Web ตัวเลือกอินเทอร์เฟซ

การจัดสรร HTTPS
การจัดสรรสามารถรักษาความปลอดภัยได้โดยการตั้งค่า 'วิธีการดาวน์โหลด' เป็น 'HTTPS' (ภายใต้การตั้งค่าขั้นสูง > แท็บการจัดสรร) สิ่งนี้จะป้องกันการกำหนดค่า fileจากการถูกอ่านโดยบุคคลที่สามที่ไม่ต้องการ วิธีนี้ช่วยแก้ปัญหาความเสี่ยงที่อาจเกิดขึ้นจากการถูกขโมยข้อมูลสำคัญ เช่น รหัสผ่านของผู้ดูแลระบบและข้อมูลรับรอง SIP

ในการดำเนินการยืนยันตัวตนบนเซิร์ฟเวอร์การเตรียมใช้งาน ให้ตั้งค่า 'ตรวจสอบใบรับรองเซิร์ฟเวอร์' เป็น 'เปิดใช้งาน' ด้วย หากใบรับรองของเซิร์ฟเวอร์การจัดเตรียมมีการลงนามโดย CA เชิงพาณิชย์รายใดรายหนึ่ง อุปกรณ์ Algo ควรมีใบรับรองสาธารณะสำหรับ CA นี้อยู่แล้วและสามารถดำเนินการตรวจสอบได้
อัปโหลดใบรับรองเพิ่มเติม (ใบรับรอง X.64 ที่เข้ารหัส Base509 file ในรูปแบบ .pem, .cer หรือ .crt) โดยไปที่ “System > File Manager” ไปยังโฟลเดอร์ 'certs/trusted'
หมายเหตุ: พารามิเตอร์ 'ตรวจสอบใบรับรองเซิร์ฟเวอร์' ยังสามารถเปิดใช้งานผ่านการจัดเตรียม: prov.download.cert = 1

HTTPS Web โปรโตคอลการเชื่อมต่อ
ขั้นตอนการอัปโหลดใบรับรองสาธารณะสำหรับ HTTPS web การเรียกดูจะคล้ายกับที่อธิบายไว้ในส่วนข้างต้น httpd.pem file เป็นใบรับรองอุปกรณ์ที่เบราว์เซอร์ของคอมพิวเตอร์ร้องขอเมื่อคุณไปที่ IP ของอุปกรณ์ การอัปโหลดแบบกำหนดเองอาจช่วยให้คุณกำจัดข้อความเตือนหากคุณเข้าถึง WebUI ที่ใช้ HTTPS ไม่ใช่ใบรับรอง CA สาธารณะ ต้องอัปโหลดใบรับรองไปที่ 'ใบรับรอง'

การส่งสัญญาณ SIP (และเสียง RTP)

การส่งสัญญาณ SIP นั้นปลอดภัยโดยการตั้งค่า 'การขนส่ง SIP' เป็น 'TLS' (ภายใต้การตั้งค่าขั้นสูง > แท็บ SIP ขั้นสูง)

ช่วยให้มั่นใจได้ว่าการรับส่งข้อมูล SIP จะได้รับการเข้ารหัส

การส่งสัญญาณ SIP มีหน้าที่ในการสร้างการโทร (สัญญาณควบคุมเพื่อเริ่มต้นและสิ้นสุดการโทรกับอีกฝ่ายหนึ่ง) แต่ไม่มีเสียง
สำหรับเส้นทางเสียง (เสียง) ให้ใช้การตั้งค่า 'SDP SRTP Offer'

การตั้งค่านี้เป็น "ไม่บังคับ" หมายความว่าข้อมูลเสียง RTP ของการโทร SIP จะได้รับการเข้ารหัส (โดยใช้ SRTP) หากอีกฝ่ายสนับสนุนการเข้ารหัสเสียงด้วย
หากอีกฝ่ายไม่รองรับ SRTP การโทรจะยังคงดำเนินต่อไป แต่มีเสียงที่ไม่ได้เข้ารหัส หากต้องการกำหนดให้เข้ารหัสเสียงสำหรับการโทรทั้งหมด ให้ตั้งค่า 'SDP SRTP Offer' เป็น 'Standard' ในกรณีนี้ หากอีกฝ่ายไม่รองรับการเข้ารหัสเสียง ความพยายามในการโทรจะถูกปฏิเสธ

ในการดำเนินการตรวจสอบข้อมูลประจำตัวบนเซิร์ฟเวอร์ SIP ให้ตั้งค่า 'ตรวจสอบใบรับรองเซิร์ฟเวอร์' เป็น 'เปิดใช้งาน' ด้วย
หากใบรับรองของเซิร์ฟเวอร์ SIP ได้รับการลงนามโดย CA เชิงพาณิชย์รายใดรายหนึ่ง อุปกรณ์ Algo ควรมีใบรับรองสาธารณะสำหรับ CA นี้อยู่แล้วและสามารถดำเนินการตรวจสอบได้ ถ้าไม่ (สำหรับexampด้วยใบรับรองที่ลงนามเอง) จากนั้นใบรับรองสาธารณะที่เหมาะสมสามารถอัปโหลดไปยังอุปกรณ์ Algo ตามที่อธิบายไว้ก่อนหน้าในเอกสารนี้

TLS เวอร์ชัน 1.2
อุปกรณ์ Algo ที่ใช้เฟิร์มแวร์ v3.1 ขึ้นไปรองรับ TLS v1.1 และ v1.2 'บังคับ TLS ที่ปลอดภัย
ตัวเลือกเวอร์ชันอาจใช้เพื่อกำหนดให้มีการเชื่อมต่อ TLS เพื่อใช้ TLSv1.2 ในการเปิดใช้งานคุณลักษณะนี้:

ไปที่ การตั้งค่าขั้นสูง > ขั้นสูง SIP
ตั้งค่า 'บังคับเวอร์ชัน TLS ที่ปลอดภัย' เป็นเปิดใช้งานและบันทึก
บันทึก: ตัวเลือกนี้ถูกลบใน v4.0+ เนื่องจาก TLS v1.2 ถูกใช้โดยค่าเริ่มต้น

ดาวน์โหลดใบรับรอง Algo

ด้านล่างนี้คือชุดลิงก์สำหรับดาวน์โหลดสายใบรับรอง Algo CA ดิ fileสามารถติดตั้งบน SIP Server หรือ Provisioning Server เพื่อให้เซิร์ฟเวอร์เหล่านี้ตรวจสอบความถูกต้องของ Device Certificates บน Algo SIP Endpoints และอนุญาต Mutual Authentication:
อัลโกรูท CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo ระดับกลาง CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Algo ใบรับรองสาธารณะ: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

การแก้ไขปัญหา

หากการแฮนด์เชค TLS ไม่เสร็จสมบูรณ์ โปรดส่งการดักจับแพ็กเก็ตไปยังฝ่ายสนับสนุนของ Algo เพื่อทำการวิเคราะห์ ในการทำเช่นนั้น คุณจะต้องจำลองการรับส่งข้อมูล จากพอร์ตที่ปลายทาง Algo เชื่อมต่อกับสวิตช์เครือข่าย กลับไปที่คอมพิวเตอร์

อัลโก คอมมูนิเคชั่น โปรดักส์ บจก
4500 Beedie St Burnaby BC แคนาดา V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

เอกสาร / แหล่งข้อมูล

ALGO TLS Transport Layer การรักษาความปลอดภัย [พีดีเอฟ] คำแนะนำ
TLS, การรักษาความปลอดภัยชั้นการขนส่ง, การรักษาความปลอดภัยชั้น, TLS, ชั้นการขนส่ง

อ้างอิง

คู่มือการใช้งาน

ข้อมูลเบื้องต้นเกี่ยวกับ TLS