ALGO - लोगोTLS वाहतूक स्तर सुरक्षा
सूचना पुस्तिका

अल्गो आयपी एंडपॉइंट्स सुरक्षित करणे:
TLS आणि म्युच्युअल ऑथेंटिकेशन

मदत हवी आहे?
५७४-५३७-८९०० or support@algosolutions.com 

सामग्री लपवा
1 TLS चा परिचय
2 एन्क्रिप्शन वि ओळख सत्यापन
3 TLS प्रमाणपत्रे
4 परस्पर प्रमाणीकरण
5 सायफर सूट
6 अल्गो डिव्हाइस प्रमाणपत्रे
7 Algo SIP एंडपॉइंट्सवर सार्वजनिक CA प्रमाणपत्रे अपलोड करणे
8 Web इंटरफेस पर्याय
9 SIP सिग्नलिंग (आणि RTP ऑडिओ)
10 अल्गो प्रमाणपत्रे डाउनलोड करा
11 समस्यानिवारण
12 कागदपत्रे / संसाधने
12.1 संदर्भ
13 संबंधित पोस्ट

TLS चा परिचय

TLS (ट्रान्सपोर्ट लेयर सिक्युरिटी) हा एक क्रिप्टोग्राफिक प्रोटोकॉल आहे जो इंटरनेटवर ऍप्लिकेशन्स किंवा डिव्हाइसेस दरम्यान पाठवलेल्या डेटाची प्रमाणीकरण, गोपनीयता आणि एंड-टू-एंड सुरक्षा प्रदान करतो. होस्ट केलेले टेलिफोनी प्लॅटफॉर्म अधिक सामान्य झाले आहेत, सार्वजनिक इंटरनेटवर सुरक्षित संप्रेषण प्रदान करण्यासाठी TLS ची गरज वाढली आहे. फर्मवेअर 1.6.4 किंवा नंतरचे समर्थन करणारी अल्गो उपकरणे प्रोव्हिजनिंग आणि SIP सिग्नलिंग दोन्हीसाठी ट्रान्सपोर्ट लेयर सिक्युरिटी (TLS) ला समर्थन देतात.
टीप: खालील एंडपॉइंट्स TLS चे समर्थन करत नाहीत: 8180 IP ऑडिओ अलर्टर (G1), 8028 IP डोअरफोन (G1), 8128 IP व्हिज्युअल अलर्टर (G1), 8061 IP रिले कंट्रोलर.

एन्क्रिप्शन वि ओळख सत्यापन

TLS ट्रॅफिक नेहमी कूटबद्ध आणि तृतीय-पक्षाच्या इव्हस्रॉपिंग किंवा बदलांपासून सुरक्षित असताना, इतर पक्षाची ओळख सत्यापित करण्यासाठी प्रमाणपत्रे वापरून सुरक्षिततेचा अतिरिक्त स्तर प्रदान केला जाऊ शकतो. हे सर्व्हरला IP एंडपॉईंट डिव्हाइसची ओळख सत्यापित करण्यास अनुमती देते आणि त्याउलट.
ओळख तपासण्यासाठी, प्रमाणपत्र file प्रमाणपत्र प्राधिकरणाने (CA) स्वाक्षरी केलेली असणे आवश्यक आहे. या CA कडील सार्वजनिक (विश्वसनीय) प्रमाणपत्र वापरून दुसरे उपकरण नंतर ही स्वाक्षरी तपासते.

TLS प्रमाणपत्रे

Algo IP एंडपॉइंट्स विश्वासार्ह तृतीय-पक्ष प्रमाणपत्र प्राधिकरणांच्या (CAs) सार्वजनिक प्रमाणपत्रांच्या संचासह पूर्व-स्थापित केले जातात, ज्यात Comodo, Verisign, Symantec, DigiCert, इ. या व्यवसायांना हे सिद्ध करण्याची परवानगी देण्यासाठी प्रमाणपत्र अधिकारी व्यवसायांना स्वाक्षरी केलेले प्रमाणपत्र प्रदान करतात. त्यांचे सर्व्हर किंवा webसाइट्स खरं तर ते कोण आहेत असे म्हणतात. अल्गो डिव्‍हाइसेस पुष्‍टी करू शकतात की ते अस्‍वाक्षरीच्‍या CA च्‍या सार्वजनिक प्रमाणपत्रांच्‍या विरुद्ध सर्व्हरच्‍या स्वाक्षरीच्‍या प्रमाणपत्रांची पडताळणी करून अस्सल सर्व्हरशी संप्रेषण करत आहे. अतिरिक्त सार्वजनिक प्रमाणपत्रे देखील अपलोड केली जाऊ शकतात, ज्यामुळे अल्गो डिव्हाइसला अतिरिक्त सर्व्हरवर विश्वास ठेवता यावा आणि ते सत्यापित करू शकता जे पूर्व-स्थापित प्रमाणपत्रांमध्ये समाविष्ट केले जाऊ शकत नाहीत (उदा.ample, स्व-स्वाक्षरी केलेले प्रमाणपत्रे).

परस्पर प्रमाणीकरण

म्युच्युअल ऑथेंटिकेशन सुरक्षेचा एक अतिरिक्त स्तर जोडते ज्यामुळे सर्व्हरने एंडपॉईंट डिव्हाइसचे प्रमाणीकरण करणे आणि त्यावर विश्वास ठेवणे आवश्यक असते, त्याव्यतिरिक्त, सर्व्हरचे सत्यापन करणार्‍या एंडपॉईंटच्या विरुद्ध दिशेने. उत्पादनाच्या वेळी प्रत्येक अल्गो एसआयपी एंडपॉईंटवर स्थापित केलेले अद्वितीय डिव्हाइस प्रमाणपत्र वापरून याची अंमलबजावणी केली जाते. Algo डिव्हाइसचा IP पत्ता निश्चित केलेला नसल्यामुळे (तो ग्राहकाच्या नेटवर्कद्वारे निर्धारित केला जातो), Algo ही माहिती विश्वसनीय CA सह आगाऊ प्रकाशित करू शकत नाही आणि त्याऐवजी, या डिव्हाइस प्रमाणपत्रांवर Algo च्या स्वतःच्या CA द्वारे स्वाक्षरी करणे आवश्यक आहे.
सर्व्हरने अल्गो डिव्हाइसवर विश्वास ठेवण्यासाठी, सिस्टम प्रशासकास त्यांच्या सर्व्हरवर सार्वजनिक अल्गो सीए प्रमाणपत्र शृंखला स्थापित करणे आवश्यक आहे (उदा.ample SIP फोन सिस्टीम किंवा त्यांचे प्रोव्हिजनिंग सर्व्हर) जेणेकरुन हा सर्व्हर अल्गो डिव्हाइसवरील डिव्हाइस प्रमाणपत्र खरे आहे हे सत्यापित करू शकेल.

टीप: 2019 मध्ये तयार केलेले अल्गो आयपी एंडपॉइंट्स (फर्मवेअर 1.7.1 पासून सुरू होणारे) किंवा नंतर फॅक्टरीमधून डिव्हाइस प्रमाणपत्र स्थापित केलेले आहे.
प्रमाणपत्र स्थापित केले आहे की नाही हे सत्यापित करण्यासाठी, सिस्टम -> बद्दल टॅब वर नेव्हिगेट करा. निर्माता प्रमाणपत्र पहा. प्रमाणपत्र स्थापित केले नसल्यास, कृपया ईमेल करा support@algosolutions.com. ALGO TLS परिवहन स्तर सुरक्षा - आकृती 1

सायफर सूट

सायफर सूट हे TLS सत्रादरम्यान वापरल्या जाणार्‍या अल्गोरिदमचे संच असतात. प्रत्येक सूटमध्ये प्रमाणीकरण, एन्क्रिप्शन आणि संदेश प्रमाणीकरणासाठी अल्गोरिदम समाविष्ट आहेत. अल्गो उपकरणे अनेक सामान्यतः वापरल्या जाणार्‍या एन्क्रिप्शन अल्गोरिदमला समर्थन देतात जसे की AES256 आणि संदेश प्रमाणीकरण कोड अल्गोरिदम जसे की SHA-2.

अल्गो डिव्हाइस प्रमाणपत्रे

अल्गो रूट CA द्वारे स्वाक्षरी केलेले डिव्हाइस प्रमाणपत्रे फर्मवेअर 2019 पासून सुरू होऊन, 1.7.1 पासून अल्गो उपकरणांवर फॅक्टरी स्थापित केली गेली आहेत. प्रत्येक उपकरणासाठी MAC पत्ता असलेल्या प्रमाणपत्रातील सामान्य नाव फील्डसह, डिव्हाइस तयार केल्यावर प्रमाणपत्र तयार केले जाते.
डिव्हाइस प्रमाणपत्र 30 वर्षांसाठी वैध आहे आणि ते वेगळ्या विभाजनात राहते, त्यामुळे अल्गो एंडपॉइंट फॅक्टरी रीसेट केल्यानंतरही ते मिटवले जाणार नाही.
अल्गो डिव्हाइस फॅक्टरी-इंस्टॉल केलेल्या डिव्हाइस प्रमाणपत्राऐवजी वापरण्यासाठी तुमचे स्वतःचे डिव्हाइस प्रमाणपत्र अपलोड करण्यास देखील समर्थन देतात. हे PEM अपलोड करून स्थापित केले जाऊ शकते file सिस्टममधील 'प्रमाणपत्र' निर्देशिकेत ('प्रमाणपत्र/विश्वसनीय' निर्देशिकेत नाही!) डिव्हाइस प्रमाणपत्र आणि खाजगी की दोन्ही समाविष्टीत आहे -> File व्यवस्थापक टॅब. या file 'सिप' म्हणणे आवश्यक आहे client.pem'.

Algo SIP एंडपॉइंट्सवर सार्वजनिक CA प्रमाणपत्रे अपलोड करणे

तुम्ही 3.1.X पेक्षा कमी फर्मवेअरवर असल्यास, कृपया डिव्हाइस अपग्रेड करा.
फर्मवेअर v3.1 आणि त्यावरील चालणार्‍या अल्गो डिव्हाइसवर प्रमाणपत्र स्थापित करण्यासाठी, खालील चरणांचे अनुसरण करा:

  1. तुमच्या प्रमाणपत्र प्राधिकरणाकडून सार्वजनिक प्रमाणपत्र मिळवा (कोणतेही वैध X.509 स्वरूपाचे प्रमाणपत्र स्वीकारले जाऊ शकते). साठी कोणतेही विशिष्ट स्वरूप आवश्यक नाही fileनाव
  2. मध्ये web अल्गो उपकरणाचा इंटरफेस, सिस्टम -> वर नेव्हिगेट करा File व्यवस्थापक टॅब.
  3. प्रमाणपत्र अपलोड करा file'प्रमाणपत्र/विश्वसनीय' निर्देशिकेत आहे. च्या वरच्या डाव्या कोपर्यात अपलोड बटणावर क्लिक करा file व्यवस्थापक आणि प्रमाणपत्र ब्राउझ करा.

Web इंटरफेस पर्याय

HTTPS तरतूद
'HTTPS' (प्रगत सेटिंग्ज > तरतूदी टॅब अंतर्गत) 'डाउनलोड पद्धत' सेट करून तरतूद सुरक्षित केली जाऊ शकते. हे कॉन्फिगरेशन प्रतिबंधित करते fileअवांछित तृतीय पक्षाद्वारे वाचले जाण्यापासून. हे ऍडमिन पासवर्ड आणि SIP क्रेडेन्शियल यांसारख्या संवेदनशील डेटाची चोरी होण्याच्या संभाव्य धोक्याचे निराकरण करते. ALGO TLS परिवहन स्तर सुरक्षा - आकृती 2

प्रोव्हिजनिंग सर्व्हरवर ओळख पडताळणी करण्यासाठी, 'सक्षम सर्व्हर प्रमाणपत्र' देखील सेट करा. जर प्रोव्हिजनिंग सर्व्हरचे प्रमाणपत्र सामान्य व्यावसायिक CA पैकी एकाने स्वाक्षरी केलेले असेल, तर Algo डिव्हाइसकडे आधीपासून या CA साठी सार्वजनिक प्रमाणपत्र असणे आवश्यक आहे आणि ते सत्यापन करण्यास सक्षम असावे.
अतिरिक्त प्रमाणपत्रे अपलोड करा (Base64 एन्कोड केलेले X.509 प्रमाणपत्र file .pem, .cer, किंवा .crt फॉरमॅटमध्ये) “सिस्टम > वर नेव्हिगेट करून File "प्रमाणपत्र/विश्वासू" फोल्डरमध्ये व्यवस्थापक”.
टीप: 'व्हॅलिडेट सर्व्हर सर्टिफिकेट' पॅरामीटर देखील तरतूदीद्वारे सक्षम केले जाऊ शकते: prov.download.cert = 1

HTTPS Web इंटरफेस प्रोटोकॉल
HTTPS साठी सार्वजनिक प्रमाणपत्र अपलोड करण्याची प्रक्रिया web ब्राउझिंग वरील विभागात वर्णन केल्याप्रमाणे आहे. httpd.pem file हे एक डिव्हाइस प्रमाणपत्र आहे जे तुम्ही डिव्हाइसच्या IP वर नेव्हिगेट करता तेव्हा तुमच्या संगणकाच्या ब्राउझरद्वारे विनंती केली जाते. सानुकूल अपलोड केल्याने तुम्ही अ‍ॅक्सेस केल्यास चेतावणी संदेशातून सुटका होऊ शकते WebHTTPS वापरून UI. हे सार्वजनिक CA प्रमाणपत्र नाही. प्रमाणपत्र 'प्रमाणपत्र' वर अपलोड करणे आवश्यक आहे. ALGO TLS परिवहन स्तर सुरक्षा - आकृती 3

SIP सिग्नलिंग (आणि RTP ऑडिओ)

SIP सिग्नलिंग 'SIP Transportation' ला 'TLS' (प्रगत सेटिंग्ज > प्रगत SIP टॅब अंतर्गत) सेट करून सुरक्षित केले जाते.

  • हे सुनिश्चित करते की SIP रहदारी एनक्रिप्ट केली जाईल.
  • कॉल स्थापित करण्यासाठी SIP सिग्नलिंग जबाबदार आहे (इतर पक्षासह कॉल सुरू आणि समाप्त करण्यासाठी नियंत्रण सिग्नल), परंतु त्यात ऑडिओ नाही.
  • ऑडिओ (व्हॉइस) पथासाठी, 'SDP SRTP ऑफर' सेटिंग वापरा.
  • हे 'पर्यायी' वर सेट करणे म्हणजे SIP कॉलचा RTP ऑडिओ डेटा कूटबद्ध केला जाईल (SRTP वापरून) जर इतर पक्ष ऑडिओ एन्क्रिप्शनला समर्थन देत असेल.
  • जर दुसरा पक्ष SRTP ला सपोर्ट करत नसेल, तर कॉल अजूनही सुरू राहील, परंतु एनक्रिप्टेड ऑडिओसह. सर्व कॉलसाठी ऑडिओ एन्क्रिप्शन अनिवार्य करण्यासाठी, 'SDP SRTP ऑफर' 'स्टँडर्ड' वर सेट करा. या प्रकरणात, इतर पक्ष ऑडिओ एन्क्रिप्शनला समर्थन देत नसल्यास, कॉल प्रयत्न नाकारला जाईल.
  • SIP सर्व्हरवर ओळख पडताळणी करण्यासाठी, 'Validate Server Certificate' देखील 'Enabled' वर सेट करा.
  • जर SIP सर्व्हरचे प्रमाणपत्र सामान्य व्यावसायिक CA पैकी एकाने स्वाक्षरी केलेले असेल, तर Algo डिव्हाइसकडे आधीपासून या CA साठी सार्वजनिक प्रमाणपत्र असणे आवश्यक आहे आणि ते सत्यापन करण्यास सक्षम असावे. नसल्यास (उदाample स्व-स्वाक्षरित प्रमाणपत्रांसह), नंतर या दस्तऐवजात आधी वर्णन केल्याप्रमाणे योग्य सार्वजनिक प्रमाणपत्र अल्गो डिव्हाइसवर अपलोड केले जाऊ शकते.

ALGO TLS परिवहन स्तर सुरक्षा - आकृती 4

TLS आवृत्ती 1.2
फर्मवेअर v3.1 आणि त्यावरील चालणारी अल्गो उपकरणे TLS v1.1 आणि v1.2 ला समर्थन देतात. 'फोर्स सिक्योर TLS
TLSv1.2 वापरण्यासाठी TLS कनेक्शन आवश्यक असण्यासाठी आवृत्ती' पर्याय वापरला जाऊ शकतो. हे वैशिष्ट्य सक्षम करण्यासाठी:

  • Advanced settings > Advanced SIP वर जा
  • 'फोर्स सेक्युर टीएलएस व्हर्जन' सेट करा आणि सेव्ह करा.
    टीप: हा पर्याय v4.0+ मध्ये काढून टाकला आहे कारण TLS v1.2 डीफॉल्टनुसार वापरला जातो

अल्गो प्रमाणपत्रे डाउनलोड करा

अल्गो CA प्रमाणपत्र साखळी डाउनलोड करण्यासाठी खाली लिंक्सचा संच आहे. द files ला SIP सर्व्हर किंवा प्रोव्हिजनिंग सर्व्हरवर स्थापित केले जाऊ शकते जेणेकरुन या सर्व्हरना Algo SIP एंडपॉइंट्सवर डिव्हाइस प्रमाणपत्रे प्रमाणित करण्यासाठी आणि अशा प्रकारे परस्पर प्रमाणीकरणास अनुमती द्या:
अल्गो रूट CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
अल्गो इंटरमीडिएट CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
अल्गो सार्वजनिक प्रमाणपत्र: एचttp://firmware.algosolutions.com/pub/certs/algo_ca.crt

समस्यानिवारण

TLS हँडशेक पूर्ण होत नसल्यास, कृपया विश्लेषणासाठी Algo समर्थनाकडे पॅकेट कॅप्चर पाठवा. हे करण्यासाठी तुम्हाला ट्रॅफिक मिरर करावे लागेल, अल्गो एंडपॉईंट पोर्टवरून नेटवर्क स्विचवर कनेक्ट केलेले आहे, परत संगणकावर.

अल्गो कम्युनिकेशन प्रॉडक्ट्स लि
4500 बीडी सेंट बर्नबी बीसी कॅनडा V5J 5L2
www.algosolutions.com
५७४-५३७-८९००
support@algosolutions.com

कागदपत्रे / संसाधने

ALGO TLS वाहतूक स्तर सुरक्षा [pdf] सूचना
TLS, ट्रान्सपोर्ट लेयर सिक्युरिटी, लेयर सिक्युरिटी, TLS, ट्रान्सपोर्ट लेयर

संदर्भ

संबंधित पोस्ट

एक टिप्पणी द्या

तुमचा ईमेल पत्ता प्रकाशित केला जाणार नाही. आवश्यक फील्ड चिन्हांकित आहेत *