ALGO - logoTLS Transport Layer Security
Manwal ng Pagtuturo

Pag-secure ng Algo IP Endpoints:
TLS at Mutual Authentication

Kailangan ng Tulong?
604-454-3792 or support@algosolutions.com 

Mga nilalaman magtago
1 Panimula sa TLS
2 Encryption vs Identity Verification
3 Mga Sertipiko ng TLS
4 Mutual Authentication
5 Mga Cipher Suites
6 Mga Sertipiko ng Algo Device
7 Pag-upload ng Mga Public CA Certificate sa Algo SIP Endpoints
8 Web Mga Opsyon sa Interface
9 SIP Signaling (at RTP Audio)
10 Algo Certificates Download
11 Pag-troubleshoot
12 Mga Dokumento / Mga Mapagkukunan
12.1 Mga sanggunian
13 Mga Kaugnay na Post

Panimula sa TLS

Ang TLS (Transport Layer Security) ay isang cryptographic protocol na nagbibigay ng authentication, privacy, at end-to-end na seguridad ng data na ipinadala sa pagitan ng mga application o device sa Internet. Dahil naging mas karaniwan na ang mga naka-host na telephony platform, tumaas ang pangangailangan para sa TLS na magbigay ng secure na komunikasyon sa pampublikong internet. Ang mga Algo device na sumusuporta sa firmware 1.6.4 o mas bago ay sumusuporta sa Transport Layer Security (TLS) para sa parehong Provisioning at SIP Signaling.
Tandaan: ang mga sumusunod na endpoint ay hindi sumusuporta sa TLS: 8180 IP Audio Alerter (G1), 8028 IP Doorphone (G1), 8128 IP Visual Alerter (G1), 8061 IP Relay Controller.

Encryption vs Identity Verification

Bagama't palaging naka-encrypt at ligtas ang trapiko ng TLS mula sa pag-eavesdrop o pagbabago ng third-party, maaaring magbigay ng karagdagang layer ng seguridad sa pamamagitan ng paggamit ng Mga Certificate upang i-verify ang pagkakakilanlan ng kabilang partido. Nagbibigay-daan ito sa Server na i-verify ang pagkakakilanlan ng IP Endpoint device, at vice-versa.
Upang maisagawa ang pagsusuri ng pagkakakilanlan, ang Sertipiko file dapat pirmahan ng isang Certificate Authority (CA). Sinusuri ng ibang device ang lagdang ito, gamit ang Public (Trusted) Certificate mula sa CA na ito.

Mga Sertipiko ng TLS

Ang Algo IP Endpoints ay paunang naka-install na may isang hanay ng mga pampublikong certificate mula sa mga pinagkakatiwalaang third-party na Certificate Authority (CA), kabilang ang Comodo, Verisign, Symantec, DigiCert, atbp. Ang Mga Awtoridad ng Certificate ay nagbibigay ng mga pinirmahang certificate sa mga negosyo upang payagan ang mga negosyong ito na patunayan iyon kanilang mga server o webang mga site ay sa katunayan kung sino ang sinasabi nila. Maaaring kumpirmahin ng mga Algo device na ito ay nakikipag-ugnayan sa isang tunay na server sa pamamagitan ng pag-verify sa mga pinirmahang certificate ng server laban sa mga pampublikong sertipiko mula sa CA na lumagda dito. Maaari ding mag-upload ng mga karagdagang pampublikong certificate, upang payagan ang Algo device na magtiwala at mag-verify ng mga karagdagang server na maaaring hindi kasama sa mga paunang naka-install na certificate (para sa example, self-signed certificates).

Mutual Authentication

Ang Mutual Authentication ay nagdaragdag ng isang karagdagang layer ng seguridad sa pamamagitan ng pag-aatas sa server na patunayan at pagtiwalaan din ang endpoint device, bilang karagdagan sa kabaligtaran na direksyon ng endpoint na nagpapatunay sa server. Ito ay ipinatupad gamit ang isang natatanging Device Certificate, na naka-install sa bawat Algo SIP Endpoint sa oras ng paggawa. Dahil hindi naayos ang IP address ng isang Algo device (ito ay tinutukoy ng network ng customer), hindi maaaring i-publish ng Algo ang impormasyong ito nang maaga kasama ang mga pinagkakatiwalaang CA, at sa halip, ang Mga Device Certificate na ito ay dapat na lagdaan ng sariling CA ng Algo.
Para pagkatiwalaan ng server ang Algo device, kakailanganin ng system administrator na i-install ang pampublikong Algo CA certificate chain sa kanilang server (para sa examptingnan ang SIP Phone System o ang kanilang provisioning server) upang ma-verify ng server na ito na ang Certificate ng Device sa device na Algo ay sa katunayan ay tunay.

Tandaan: Ang mga endpoint ng Algo IP na ginawa noong 2019 (nagsisimula sa firmware 1.7.1) o mas bago ay naka-install ang certificate ng device mula sa pabrika.
Upang i-verify kung naka-install ang certificate, mag-navigate sa System -> About tab. Tingnan ang Sertipiko ng Manufacturer. Kung hindi naka-install ang certificate, mangyaring mag-email support@algosolutions.com. ALGO TLS Transport Layer Security - Larawan 1

Mga Cipher Suites

Ang mga cipher suite ay mga hanay ng mga algorithm na ginagamit sa isang TLS session. Kasama sa bawat suite ang mga algorithm para sa pagpapatotoo, pag-encrypt, at pagpapatunay ng mensahe. Sinusuportahan ng mga Algo device ang maraming karaniwang ginagamit na encryption algorithm gaya ng AES256 at message authentication code algorithm gaya ng SHA-2.

Mga Sertipiko ng Algo Device

Ang Mga Certificate ng Device na nilagdaan ng Algo Root CA ay factory install sa mga Algo device mula noong 2019, simula sa firmware 1.7.1. Nabubuo ang certificate kapag ginawa ang device, na may field ng common name sa certificate na naglalaman ng MAC address para sa bawat device.
Ang certificate ng device ay may bisa sa loob ng 30 taon at naninirahan sa isang hiwalay na partition, kaya hindi ito mabubura kahit na pagkatapos na i-factory reset ang Algo endpoint.
Sinusuportahan din ng mga Algo device ang pag-upload ng sarili mong certificate ng device na gagamitin sa halip na ang certificate ng device na naka-install sa factory. Maaari itong i-install sa pamamagitan ng pag-upload ng PEM file naglalaman ng parehong sertipiko ng device at isang pribadong key ito sa direktoryo ng 'certs' (hindi ang direktoryo ng 'certs/pinagkakatiwalaan'!) sa System -> File Tab ng manager. Ito file kailangang tawaging 'sip kliyente.pem'.

Pag-upload ng Mga Public CA Certificate sa Algo SIP Endpoints

Kung ikaw ay nasa firmware na mas mababa sa 3.1.X, mangyaring i-upgrade ang device.
Para i-install ang certificate sa isang Algo device na nagpapatakbo ng firmware v3.1 at mas bago, sundin ang mga hakbang sa ibaba:

  1. Kumuha ng pampublikong sertipiko mula sa iyong Awtoridad ng Sertipiko (anumang valid X.509 na format na sertipiko ay maaaring tanggapin). Walang kinakailangang partikular na format para sa filepangalan.
  2. Sa web interface ng Algo device, mag-navigate sa System -> File Tab ng manager.
  3. I-upload ang sertipiko files sa 'certs/trusted' na direktoryo. I-click ang button na Mag-upload sa kaliwang sulok sa itaas ng file manager at mag-browse sa sertipiko.

Web Mga Opsyon sa Interface

Pagbibigay ng HTTPS
Maaaring ma-secure ang provisioning sa pamamagitan ng pagtatakda ng 'Paraan ng Pag-download' sa 'HTTPS' (sa ilalim ng tab na Mga Advanced na Setting > Provisioning). Pinipigilan nito ang pagsasaayos filemula sa pagbabasa ng isang hindi gustong third party. Niresolba nito ang potensyal na panganib ng pagnanakaw ng sensitibong data, gaya ng mga password ng admin at mga kredensyal ng SIP. ALGO TLS Transport Layer Security - Larawan 2

Upang magsagawa ng pag-verify ng pagkakakilanlan sa Provisioning Server, itakda din ang 'Validate Server Certificate' sa 'Enabled'. Kung ang Sertipiko ng provisioning server ay nilagdaan ng isa sa mga karaniwang komersyal na CA, kung gayon ang Algo device ay dapat na mayroon nang pampublikong sertipiko para sa CA na ito at maisagawa ang pag-verify.
Mag-upload ng mga karagdagang certificate (Base64 na naka-encode na X.509 certificate file sa .pem, .cer, o .crt na format) sa pamamagitan ng pag-navigate sa “System > File Manager” sa folder na 'certs/trusted'.
TANDAAN: Ang parameter na 'Validate Server Certificate' ay maaari ding paganahin sa pamamagitan ng provisioning: prov.download.cert = 1

HTTPS Web Interface Protocol
Ang pamamaraan upang mag-upload ng isang pampublikong sertipiko para sa HTTPS web Ang pagba-browse ay katulad ng kung ano ang inilarawan sa seksyon sa itaas. Ang httpd.pem file ay isang certificate ng device na hinihiling ng browser ng iyong computer kapag nag-navigate ka sa IP ng device. Ang pag-upload ng custom na isa ay maaaring magbigay-daan sa iyong alisin ang babalang mensahe kung i-access mo ang WebUI gamit ang HTTPS. Ito ay hindi isang pampublikong CA certificate. Dapat i-upload ang certificate sa 'certs'. ALGO TLS Transport Layer Security - Larawan 3

SIP Signaling (at RTP Audio)

Ang SIP signaling ay sinigurado sa pamamagitan ng pagtatakda ng 'SIP Transportation' sa 'TLS' (sa ilalim ng Advanced na Mga Setting > Advanced na SIP tab).

  • Tinitiyak nito na mai-encrypt ang trapiko ng SIP.
  • Ang pagsenyas ng SIP ay may pananagutan para sa pagtatatag ng tawag (ang mga signal ng kontrol upang simulan at tapusin ang tawag sa kabilang partido), ngunit hindi ito naglalaman ng audio.
  • Para sa audio (voice) path, gamitin ang setting na 'SDP SRTP Offer'.
  • Ang pagtatakda nito sa 'Opsyonal' ay nangangahulugan na ang RTP audio data ng SIP na tawag ay mae-encrypt (gamit ang SRTP) kung sinusuportahan din ng kabilang partido ang audio encryption.
  • Kung hindi sinusuportahan ng kabilang partido ang SRTP, magpapatuloy pa rin ang tawag, ngunit may hindi naka-encrypt na audio. Upang gawing mandatoryo ang audio encryption para sa lahat ng tawag, itakda ang 'SDP SRTP Offer' sa 'Standard'. Sa kasong ito, kung hindi sinusuportahan ng kabilang partido ang audio encryption, tatanggihan ang pagtatangkang tumawag.
  • Upang magsagawa ng pag-verify ng pagkakakilanlan sa SIP Server, itakda din ang 'Validate Server Certificate' sa 'Enabled'.
  • Kung ang Sertipiko ng SIP server ay nilagdaan ng isa sa mga karaniwang komersyal na CA, kung gayon ang Algo device ay dapat na mayroon nang pampublikong sertipiko para sa CA na ito at magagawang isagawa ang pag-verify. Kung hindi (para sa example with self-signed certificates), kung gayon ang naaangkop na pampublikong sertipiko ay maaaring i-upload sa Algo device gaya ng inilarawan kanina sa dokumentong ito.

ALGO TLS Transport Layer Security - Larawan 4

TLS Bersyon 1.2
Ang mga Algo device na nagpapatakbo ng firmware v3.1 at mas mataas ay sumusuporta sa TLS v1.1 at v1.2. 'Force Secure TLS
Maaaring gamitin ang opsyon ng bersyon upang mangailangan ng mga koneksyon sa TLS na gumamit ng TLSv1.2. Upang paganahin ang tampok na ito:

  • Pumunta sa Advanced na mga setting > Advanced SIP
  • Itakda ang 'Force secure TLS Version' bilang pinagana at i-save.
    TANDAAN: Ang opsyong ito ay inalis sa v4.0+ dahil ang TLS v1.2 ay ginagamit bilang default

Algo Certificates Download

Nasa ibaba ang isang hanay ng mga link upang i-download ang Algo CA certificate chain. Ang files ay maaaring i-install sa SIP Server o Provisioning Server upang mapatunayan ng mga server na ito ang Mga Certificate ng Device sa Algo SIP Endpoints, at sa gayon ay payagan ang Mutual Authentication:
Algo Root CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo Intermediate CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Algo Public Certificate: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

Pag-troubleshoot

Kung ang TLS handshake ay hindi nakukumpleto, mangyaring magpadala ng packet capture sa Algo support para sa pagsusuri. Upang gawin iyon, kailangan mong i-mirror ang trapiko, mula sa port kung saan nakakonekta ang Algo endpoint sa switch ng network, pabalik sa isang computer.

Algo Communication Products Ltd.
4500 Beedie St Burnaby BC Canada V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

Mga Dokumento / Mga Mapagkukunan

ALGO TLS Transport Layer Security [pdf] Mga tagubilin
TLS, Transport Layer Security, Layer Security, TLS, Transport Layer

Mga sanggunian

Mga Kaugnay na Post

Mag-iwan ng komento

Ang iyong email address ay hindi maipa-publish. Ang mga kinakailangang field ay minarkahan *