ALGO - লোগোTLS পরিবহন স্তর নিরাপত্তা
নির্দেশিকা ম্যানুয়াল

আলগো আইপি এন্ডপয়েন্ট সুরক্ষিত করা:
TLS এবং পারস্পরিক প্রমাণীকরণ

সাহায্য প্রয়োজন?
604-454-3792 or support@algosolutions.com 

বিষয়বস্তু লুকান
1 TLS এর ভূমিকা
2 এনক্রিপশন বনাম পরিচয় যাচাইকরণ
3 TLS সার্টিফিকেট
4 পারস্পরিক প্রমাণীকরণ
5 সাইফার স্যুট
6 Algo ডিভাইস সার্টিফিকেট
7 Algo SIP এন্ডপয়েন্টে পাবলিক CA সার্টিফিকেট আপলোড করা হচ্ছে
8 Web ইন্টারফেস বিকল্প
9 SIP সিগন্যালিং (এবং RTP অডিও)
10 Algo সার্টিফিকেট ডাউনলোড
11 সমস্যা সমাধান
12 দলিল/সম্পদ
12.1 তথ্যসূত্র
13 সম্পর্কিত পোস্ট

TLS এর ভূমিকা

TLS (ট্রান্সপোর্ট লেয়ার সিকিউরিটি) হল একটি ক্রিপ্টোগ্রাফিক প্রোটোকল যা ইন্টারনেটের মাধ্যমে অ্যাপ্লিকেশন বা ডিভাইসগুলির মধ্যে প্রেরিত ডেটার প্রমাণীকরণ, গোপনীয়তা এবং এন্ড-টু-এন্ড নিরাপত্তা প্রদান করে। যেহেতু হোস্ট করা টেলিফোনি প্ল্যাটফর্মগুলি আরও সাধারণ হয়ে উঠেছে, তাই পাবলিক ইন্টারনেটে নিরাপদ যোগাযোগ প্রদানের জন্য TLS-এর প্রয়োজনীয়তা বৃদ্ধি পেয়েছে। অ্যালগো ডিভাইস যা ফার্মওয়্যার 1.6.4 বা তার পরে সমর্থন করে ট্রান্সপোর্ট লেয়ার সিকিউরিটি (TLS) প্রভিশনিং এবং SIP সিগন্যালিং উভয়ের জন্য।
দ্রষ্টব্য: নিম্নলিখিত শেষ পয়েন্টগুলি TLS সমর্থন করে না: 8180 IP অডিও অ্যালার্টার (G1), 8028 IP ডোরফোন (G1), 8128 IP ভিজ্যুয়াল অ্যালার্টার (G1), 8061 IP রিলে কন্ট্রোলার।

এনক্রিপশন বনাম পরিচয় যাচাইকরণ

যদিও TLS ট্র্যাফিক সর্বদা এনক্রিপ্ট করা হয় এবং তৃতীয় পক্ষের গোপন কথা বা পরিবর্তন থেকে নিরাপদ থাকে, অন্য পক্ষের পরিচয় যাচাই করার জন্য সার্টিফিকেট ব্যবহার করে নিরাপত্তার একটি অতিরিক্ত স্তর প্রদান করা যেতে পারে। এটি সার্ভারকে আইপি এন্ডপয়েন্ট ডিভাইসের পরিচয় যাচাই করতে দেয় এবং এর বিপরীতে।
পরিচয় পরীক্ষা করতে, সার্টিফিকেট file একটি সার্টিফিকেট অথরিটি (CA) দ্বারা স্বাক্ষরিত হতে হবে। অন্য ডিভাইস তারপর এই CA থেকে পাবলিক (বিশ্বস্ত) শংসাপত্র ব্যবহার করে এই স্বাক্ষর পরীক্ষা করে।

TLS সার্টিফিকেট

অ্যালগো আইপি এন্ডপয়েন্টগুলি বিশ্বস্ত তৃতীয় পক্ষের সার্টিফিকেট অথরিটি (CAs) এর একটি সেটের সাথে আগে থেকে ইনস্টল করা হয়, যার মধ্যে রয়েছে Comodo, Verisign, Symantec, DigiCert, ইত্যাদি তাদের সার্ভার বা webসাইট আসলে তারা যারা তারা বলে. অ্যালগো ডিভাইসগুলি নিশ্চিত করতে পারে যে এটি একটি খাঁটি সার্ভারের সাথে যোগাযোগ করছে সার্ভারের স্বাক্ষরিত সার্টিফিকেট যাচাই করে CA থেকে পাবলিক সার্টিফিকেট যা এটি স্বাক্ষর করেছে। অতিরিক্ত পাবলিক সার্টিফিকেটগুলিও আপলোড করা যেতে পারে, যাতে Algo ডিভাইসটিকে অতিরিক্ত সার্ভারগুলি বিশ্বাস ও যাচাই করার অনুমতি দেওয়া যায় যা পূর্বে ইনস্টল করা শংসাপত্রগুলিতে অন্তর্ভুক্ত নাও হতে পারে (উদাহরণস্বরূপample, স্ব-স্বাক্ষরিত শংসাপত্র)।

পারস্পরিক প্রমাণীকরণ

পারস্পরিক প্রমাণীকরণ সার্ভারকে যাচাইকরণ এবং শেষপয়েন্ট ডিভাইসের বিপরীত দিক ছাড়াও সার্ভারকে বৈধতা দেওয়ার জন্য নিরাপত্তার একটি অতিরিক্ত স্তর যোগ করে। এটি একটি অনন্য ডিভাইস শংসাপত্র ব্যবহার করে প্রয়োগ করা হয়, যা উত্পাদনের সময় প্রতিটি Algo SIP এন্ডপয়েন্টে ইনস্টল করা হয়। যেহেতু একটি Algo ডিভাইসের IP ঠিকানা স্থির করা হয় না (এটি গ্রাহকের নেটওয়ার্ক দ্বারা নির্ধারিত হয়), Algo এই তথ্যটি বিশ্বস্ত CA-এর সাথে আগে থেকে প্রকাশ করতে পারে না এবং পরিবর্তে, এই ডিভাইস শংসাপত্রগুলিকে অবশ্যই Algo-এর নিজস্ব CA দ্বারা স্বাক্ষর করতে হবে৷
সার্ভারের জন্য Algo ডিভাইসটিকে বিশ্বাস করার জন্য, সিস্টেম প্রশাসককে তাদের সার্ভারে সর্বজনীন Algo CA শংসাপত্র চেইন ইনস্টল করতে হবে (প্রাক্তনample SIP ফোন সিস্টেম বা তাদের প্রভিশনিং সার্ভার) যাতে এই সার্ভারটি যাচাই করতে পারে যে Algo ডিভাইসে ডিভাইস সার্টিফিকেট প্রকৃতপক্ষে খাঁটি।

দ্রষ্টব্য: 2019 সালে তৈরি Algo IP এন্ডপয়েন্ট (ফার্মওয়্যার 1.7.1 দিয়ে শুরু) বা তার পরে কারখানা থেকে ডিভাইস সার্টিফিকেট ইনস্টল করা আছে।
শংসাপত্রটি ইনস্টল করা আছে কিনা তা যাচাই করতে, সিস্টেম -> সম্পর্কে ট্যাবে নেভিগেট করুন। প্রস্তুতকারকের সার্টিফিকেট দেখুন। শংসাপত্র ইনস্টল করা না থাকলে, ইমেল করুন support@algosolutions.com. ALGO TLS পরিবহন স্তর নিরাপত্তা - চিত্র 1

সাইফার স্যুট

সাইফার স্যুট হল একটি TLS সেশনের সময় ব্যবহৃত অ্যালগরিদমের সেট। প্রতিটি স্যুটে প্রমাণীকরণ, এনক্রিপশন এবং বার্তা প্রমাণীকরণের জন্য অ্যালগরিদম অন্তর্ভুক্ত। অ্যালগো ডিভাইসগুলি অনেকগুলি সাধারণভাবে ব্যবহৃত এনক্রিপশন অ্যালগরিদম সমর্থন করে যেমন AES256 এবং বার্তা প্রমাণীকরণ কোড অ্যালগরিদম যেমন SHA-2।

Algo ডিভাইস সার্টিফিকেট

Algo Root CA দ্বারা স্বাক্ষরিত ডিভাইস শংসাপত্রগুলি ফার্মওয়্যার 2019 থেকে শুরু করে, 1.7.1 সাল থেকে Algo ডিভাইসগুলিতে ফ্যাক্টরি ইনস্টল করা হয়েছে। শংসাপত্রটি তৈরি হয় যখন ডিভাইসটি তৈরি করা হয়, সার্টিফিকেটের সাধারণ নামের ক্ষেত্রে প্রতিটি ডিভাইসের জন্য MAC ঠিকানা থাকে।
ডিভাইস শংসাপত্রটি 30 বছরের জন্য বৈধ এবং একটি পৃথক পার্টিশনে থাকে, তাই অ্যালগো এন্ডপয়েন্ট ফ্যাক্টরি রিসেট করার পরেও এটি মুছে ফেলা হবে না।
Algo ডিভাইসগুলি ফ্যাক্টরি-ইনস্টল করা ডিভাইস শংসাপত্রের পরিবর্তে ব্যবহার করার জন্য আপনার নিজস্ব ডিভাইস শংসাপত্র আপলোড করা সমর্থন করে। এটি একটি PEM আপলোড করে ইনস্টল করা যেতে পারে file একটি ডিভাইস শংসাপত্র এবং একটি ব্যক্তিগত কী উভয়ই ধারণ করে এটি সিস্টেমে 'সার্ট' ডিরেক্টরিতে ('সার্টিস/বিশ্বস্ত' ডিরেক্টরি নয়!) -> File ম্যানেজার ট্যাব। এই file 'চুমুক' বলা দরকার ক্লায়েন্ট.পিইএম'

Algo SIP এন্ডপয়েন্টে পাবলিক CA সার্টিফিকেট আপলোড করা হচ্ছে

আপনি যদি 3.1.X এর চেয়ে কম ফার্মওয়্যারে থাকেন তবে অনুগ্রহ করে ডিভাইসটি আপগ্রেড করুন৷
ফার্মওয়্যার v3.1 এবং তার উপরে চলমান একটি Algo ডিভাইসে শংসাপত্রটি ইনস্টল করতে, নীচের পদক্ষেপগুলি অনুসরণ করুন:

  1. আপনার শংসাপত্র কর্তৃপক্ষের কাছ থেকে একটি সর্বজনীন শংসাপত্র পান (যেকোন বৈধ X.509 ফর্ম্যাট শংসাপত্র গ্রহণ করা যেতে পারে)। এর জন্য প্রয়োজনীয় কোনো নির্দিষ্ট বিন্যাস নেই fileনাম
  2. মধ্যে web Algo ডিভাইসের ইন্টারফেস, সিস্টেমে নেভিগেট করুন -> File ম্যানেজার ট্যাব।
  3. সার্টিফিকেট আপলোড করুন files 'শংসাপত্র/বিশ্বস্ত' ডিরেক্টরিতে। উপরের বাম কোণে আপলোড বোতামে ক্লিক করুন file ম্যানেজার এবং সার্টিফিকেট ব্রাউজ করুন.

Web ইন্টারফেস বিকল্প

HTTPS বিধান
'HTTPS' (উন্নত সেটিংস > বিধান ট্যাবের অধীনে) 'ডাউনলোড পদ্ধতি' সেট করে বিধান সুরক্ষিত করা যেতে পারে। এটি কনফিগারেশন প্রতিরোধ করে fileএকটি অবাঞ্ছিত তৃতীয় পক্ষ দ্বারা পড়া থেকে s. এটি অ্যাডমিন পাসওয়ার্ড এবং এসআইপি শংসাপত্রের মতো সংবেদনশীল ডেটা চুরি হওয়ার সম্ভাব্য ঝুঁকির সমাধান করে। ALGO TLS পরিবহন স্তর নিরাপত্তা - চিত্র 2

প্রভিশনিং সার্ভারে পরিচয় যাচাই করার জন্য, 'সক্ষম'-এ 'ভ্যালিডেট সার্ভার সার্টিফিকেট' সেট করুন। যদি প্রভিশনিং সার্ভারের শংসাপত্রটি সাধারণ বাণিজ্যিক CA-এর একটি দ্বারা স্বাক্ষরিত হয়, তবে Algo ডিভাইসটির ইতিমধ্যেই এই CA-এর জন্য সর্বজনীন শংসাপত্র থাকা উচিত এবং যাচাইকরণ করতে সক্ষম হওয়া উচিত৷
অতিরিক্ত শংসাপত্র আপলোড করুন (বেস64 এনকোডেড X.509 শংসাপত্র file .pem, .cer, বা .crt ফরম্যাটে) “সিস্টেম > এ নেভিগেট করে File 'শংসাপত্র/বিশ্বস্ত' ফোল্ডারে ম্যানেজার।
দ্রষ্টব্য: 'ভ্যালিডেট সার্ভার সার্টিফিকেট' প্যারামিটারটিও প্রভিশনিংয়ের মাধ্যমে সক্ষম করা যেতে পারে: prov.download.cert = 1

HTTPS Web ইন্টারফেস প্রোটোকল
HTTPS-এর জন্য একটি সর্বজনীন শংসাপত্র আপলোড করার পদ্ধতি web ব্রাউজিং উপরের বিভাগে বর্ণিত হিসাবে অনুরূপ। httpd.pem file একটি ডিভাইস শংসাপত্র যা আপনার কম্পিউটারের ব্রাউজার দ্বারা অনুরোধ করা হয় যখন আপনি ডিভাইসের IP-এ নেভিগেট করেন। আপনি যদি অ্যাক্সেস করেন তবে একটি কাস্টম আপলোড করা আপনাকে সতর্কতা বার্তা থেকে মুক্তি দিতে পারে৷ WebHTTPS ব্যবহার করে UI। এটি একটি পাবলিক CA সার্টিফিকেট নয়। শংসাপত্রটি অবশ্যই 'সার্টে' আপলোড করতে হবে। ALGO TLS পরিবহন স্তর নিরাপত্তা - চিত্র 3

SIP সিগন্যালিং (এবং RTP অডিও)

SIP সিগন্যালিং 'SIP Transportation' কে 'TLS' এ সেট করে সুরক্ষিত করা হয় (উন্নত সেটিংস > অ্যাডভান্সড এসআইপি ট্যাবের অধীনে)।

  • এটি নিশ্চিত করে যে SIP ট্র্যাফিক এনক্রিপ্ট করা হবে।
  • এসআইপি সিগন্যালিং কলটি প্রতিষ্ঠার জন্য দায়ী (অন্য পক্ষের সাথে কল শুরু এবং শেষ করার জন্য নিয়ন্ত্রণ সংকেত), তবে এতে অডিও থাকে না।
  • অডিও (ভয়েস) পাথের জন্য, 'SDP SRTP অফার' সেটিংটি ব্যবহার করুন।
  • এটিকে 'ঐচ্ছিক'-এ সেট করার অর্থ হল SIP কলের RTP অডিও ডেটা এনক্রিপ্ট করা হবে (SRTP ব্যবহার করে) যদি অন্য পক্ষও অডিও এনক্রিপশন সমর্থন করে।
  • যদি অন্য পক্ষ SRTP সমর্থন না করে, তবে কলটি এখনও এগিয়ে যাবে, তবে এনক্রিপ্ট করা অডিও সহ। সমস্ত কলের জন্য অডিও এনক্রিপশন বাধ্যতামূলক করতে, 'SDP SRTP অফার' সেট করুন 'স্ট্যান্ডার্ড'। এই ক্ষেত্রে, যদি অন্য পক্ষ অডিও এনক্রিপশন সমর্থন না করে, তাহলে কলের প্রচেষ্টা প্রত্যাখ্যান করা হবে।
  • SIP সার্ভারে পরিচয় যাচাইকরণ করতে, 'সক্ষম'-এ 'ভ্যালিডেট সার্ভার সার্টিফিকেট' সেট করুন।
  • যদি SIP সার্ভারের শংসাপত্রটি সাধারণ বাণিজ্যিক CA-এর একটি দ্বারা স্বাক্ষরিত হয়, তবে Algo ডিভাইসটির ইতিমধ্যেই এই CA-এর জন্য সর্বজনীন শংসাপত্র থাকা উচিত এবং যাচাইকরণ করতে সক্ষম হওয়া উচিত৷ যদি না হয় (উদাহরণস্বরূপampস্ব-স্বাক্ষরিত শংসাপত্র সহ), তারপর উপযুক্ত সর্বজনীন শংসাপত্রটি Algo ডিভাইসে আপলোড করা যেতে পারে যেমনটি এই নথিতে আগে বর্ণিত হয়েছে৷

ALGO TLS পরিবহন স্তর নিরাপত্তা - চিত্র 4

TLS সংস্করণ 1.2
ফার্মওয়্যার v3.1 এবং তার উপরে চলমান Algo ডিভাইসগুলি TLS v1.1 এবং v1.2 সমর্থন করে। 'ফোর্স সিকিউর TLS
TLSv1.2 ব্যবহার করার জন্য TLS সংযোগের প্রয়োজনের জন্য সংস্করণ' বিকল্প ব্যবহার করা যেতে পারে। এই বৈশিষ্ট্যটি সক্ষম করতে:

  • অ্যাডভান্সড সেটিংস > অ্যাডভান্সড এসআইপি-তে যান
  • 'ফোর্স সিকিউর TLS ভার্সন' সেট করুন এবং সেভ করুন।
    দ্রষ্টব্য: এই বিকল্পটি v4.0+ এ সরানো হয়েছে যেহেতু TLS v1.2 ডিফল্টরূপে ব্যবহৃত হয়

Algo সার্টিফিকেট ডাউনলোড

Algo CA সার্টিফিকেট চেইন ডাউনলোড করার জন্য নীচে লিঙ্কগুলির একটি সেট রয়েছে৷ দ্য fileএসআইপি সার্ভার বা প্রভিশনিং সার্ভারে s ইনস্টল করা যেতে পারে যাতে এই সার্ভারগুলি Algo SIP এন্ডপয়েন্টে ডিভাইস শংসাপত্রগুলিকে প্রমাণীকরণ করতে পারে এবং এইভাবে পারস্পরিক প্রমাণীকরণের অনুমতি দেয়:
আলগো রুট CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
আলগো ইন্টারমিডিয়েট CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Algo পাবলিক সার্টিফিকেট: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

সমস্যা সমাধান

TLS হ্যান্ডশেক সম্পূর্ণ না হলে, বিশ্লেষণের জন্য Algo সমর্থনে একটি প্যাকেট ক্যাপচার পাঠান। এটি করার জন্য আপনাকে ট্র্যাফিক মিরর করতে হবে, পোর্ট থেকে অ্যালগো এন্ডপয়েন্ট নেটওয়ার্ক সুইচের সাথে সংযুক্ত আছে, একটি কম্পিউটারে ফিরে যান।

অ্যালগো কমিউনিকেশন প্রোডাক্টস লিমিটেড
4500 বিডি সেন্ট বার্নাবি বিসি কানাডা V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

দলিল/সম্পদ

ALGO TLS ট্রান্সপোর্ট লেয়ার সিকিউরিটি [পিডিএফ] নির্দেশনা
TLS, ট্রান্সপোর্ট লেয়ার সিকিউরিটি, লেয়ার সিকিউরিটি, TLS, ট্রান্সপোর্ট লেয়ার

তথ্যসূত্র

সম্পর্কিত পোস্ট

একটি মন্তব্য করুন

আপনার ইমেল ঠিকানা প্রকাশ করা হবে না. প্রয়োজনীয় ক্ষেত্রগুলি চিহ্নিত করা হয়েছে *