UCSoftware TLS sRTP 설정
UCSoftware TLS sRTP 설정
UCSoftware 는 Polycom 전화기에서 동작하는 운영체제입니다. Polycom SoundStation, SoundPoint, VVX, Trio 가 UCSoftware를 사용하고 있습니다.
UCSoftware에 대해 더 자세히 알고 싶으시면 아래 링크를 이용해 주세요.
여기서 알아볼 내용은 UCSoftware 에서 TLS 와 sRTP를 활성화하는 과정에 대해 알아보도록 하겠습니다.
TLS는 IP Telephony 에서 만 쓰이는 용어는 아닙니다. 보안을 위해 가장 널리 쓰이는 통신 규약입니다. 흔히 보는 HTTPS 가 TLS을 사용한 가장 흔한 예입니다. IP Telephony 에서는 Signaling Protocol 을 암호화하는데요. 이를 통해 2가지를 가능하게 합니다. (또 있으면 댓글 달아주세요.ㅎㅎ)
- Signaling Protocol 을 패킷을 캡쳐해도 TLS로 암호화 된 상태로 표기되기 때문에 보안이 강화 됩니다.(너무 당연한 이야기 인가요?)
- 실제 음성 영상 트래픽을 암호화하여 전달 할때 Signaling Protocol 을 통해 암복호화를 위한 키값을 대상 단말에 전달합니다. 이 때 Signaling Protocol 에 TLS를 적용 받지 못했다면 이 키값이 그대로 노출되는데요. 따라서, Signaling Protocol 을 TLS 암호화함으로서 미디어 트래픽에 대한 보안이 강화됩니다.
sRTP는 RTP를 암호화하였다는 의미인데요. 실제 네트워크 구간에서 패킷을 캡쳐해서 재생해도 지지직 거리만 들리게 됩니다. TLS를 설명하며 언급 드렸지만 sRTP를 정상적으로 듣고 보기 위해서는 복호화를 위한 키값이 필요합니다. 이는 Signaling Protocol 을 통해 전달되게 됩니다.
따라서, 일반적인 보안이 강화된 환경에서는 TLS와 sRTP를 동시에 사용하게 됩니다.
좀 더 공부를 하시길 원하시는 분들은 Nexpert 나 많은 인터넷 보안 블로그에 기술된 내용이 많으니 어렵지 않게 공부하실 수 있습니다.
이제 Polycom UCSoftware에서 설정하는 방법에 대해 알아 보도록 하겠습니다.
1-인증서 생성
IP-PBX벤더의 룰과 회사의 정책에 따라 Self-signed 인증서를 사용할 것인지, 공인인증서를 발급받아서 사용할 것인지를 결정해야 하며, 쌍방인증(Mutual authentication) 을 할 것인 등의 고지 받아야 합니다.
2-IP-PBX에서 보완 관련 설정(이 단말은 TLS와 sRTP 를 사용하겠다고 선언)
1번 과정을 거치면 IP-PBX 쪽에서 TLS, sRTP 적용을 위한 설정을 진행 합니다.
*. 1번, 2번 과정에 대해Asterisk Server 에서 설정방법을 기술한 웹페이지가 본 문서 가장 하단에 있습니다.
3-인증서를 Polycom IP-Phone 에 삽입
서버인증서를 전달 받는 다면 이를 IP-Phone 에 삽입해야 합니다. 삽입을 위해서는 웹서버를 준비해야 합니다. 웹서버가 준비 되면 인증서를 웹서버에 저장하고 아래와 같은 형식으로 삽입합니다.
Install 버튼을 누른 후 다음과 같이 나오면 정상적으로 삽입된 것입니다.
4-Polycom IP-Phone 에서 TLS관련 설정
인증서 삽입을 완료하면 IP-Phone 에서 TLS를 동작시키기 위한 설정을 합니다.
웹에서 Setting > Lines > Line x (*. X는 암호화 연결하고자 하는 Line 의 번호 입니다.) 으로 이동하여 Port 정보는 '5061' 로 변경합니다.
다음은 Transport 란을 'TLS' 로 변경합니다.
5-Polycom IP-Phone 에서 sRTP관련 설정
다음은 sRTP설정입니다.
Settings > Lines > Line x 로 이동하면 enable sSRTP 설정으로 'Yes' 로 변경합니다.
Offer sRTP를 'Yes'로 설정하면, RTP암호화를 할지 말지 결정하는 과정에서 Polycom IP-Phone 먼저 RTP암호화를 하자고 제안합니다. 'No'로 설정하면 상대편의 의사에 따라 결정하게 됩니다.
웹configuration 메뉴에는 없으나 configuration file 에는 sRTP가 아니면 통화가 이뤄지지 않도록하는 옵션도 있습니다.( sec.srtp.require="1" or reg.x.srtp.require="1" )
6-설정이 정상적으로 적용되었는지 확인
암호화가 적용된 단말과 연결하여 자물쇠가 표시되는지 확인합니다.
TLS
https://namu.wiki/w/TLS
인증서 생성(on Asterisk )
http://www.voip-info.org/wiki/view/SIP+TLS
UCSoftware TLS 적용방법
UCSoftware sRTP 적용방법
http://community.polycom.com/t5/VoIP/FAQ-How-can-I-setup-SRTP-Secure-RTP/td-p/33358