ALGO - लोगोTLS यातायात तह सुरक्षा
निर्देशन पुस्तिका

अल्गो आईपी समापन बिन्दुहरू सुरक्षित गर्दै:
TLS र पारस्परिक प्रमाणीकरण

मद्दत चाहिन्छ?
८००-५५५-०१९९ or support@algosolutions.com 

सामग्री लुकाउनुहोस्
1 TLS को परिचय
2 एन्क्रिप्शन बनाम पहिचान प्रमाणिकरण
3 TLS प्रमाणपत्रहरू
4 पारस्परिक प्रमाणीकरण
5 साइफर सुइट्स
6 Algo उपकरण प्रमाणपत्रहरू
7 Algo SIP Endpoints मा सार्वजनिक CA प्रमाणपत्रहरू अपलोड गर्दै
8 Web इन्टरफेस विकल्प
9 SIP सिग्नलिङ (र RTP अडियो)
10 Algo प्रमाणपत्रहरू डाउनलोड गर्नुहोस्
11 समस्या निवारण
12 कागजातहरू / स्रोतहरू
12.1 सन्दर्भहरू
13 सम्बन्धित पोस्टहरू

TLS को परिचय

TLS (ट्रान्सपोर्ट लेयर सेक्युरिटी) एक क्रिप्टोग्राफिक प्रोटोकल हो जसले प्रमाणीकरण, गोपनीयता, र इन्टरनेट मार्फत अनुप्रयोगहरू वा उपकरणहरू बीच पठाइएका डेटाको अन्त्य-देखि-अन्त सुरक्षा प्रदान गर्दछ। होस्टेड टेलिफोनी प्लेटफर्महरू धेरै सामान्य भएकाले, सार्वजनिक इन्टरनेटमा सुरक्षित संचार प्रदान गर्न TLS को आवश्यकता बढेको छ। एल्गो उपकरणहरू जसले फर्मवेयर 1.6.4 वा पछि समर्थन गर्दछ यातायात तह सुरक्षा (TLS) दुवै प्रावधान र SIP सिग्नलिङका लागि समर्थन गर्दछ।
नोट: निम्न अन्तबिन्दुहरूले TLS समर्थन गर्दैन: 8180 IP अडियो अलर्टर (G1), 8028 IP डोरफोन (G1), 8128 IP भिजुअल अलर्टर (G1), 8061 IP रिले कन्ट्रोलर।

एन्क्रिप्शन बनाम पहिचान प्रमाणिकरण

जबकि TLS ट्राफिक सधैं गुप्तिकरण गरिएको छ र तेस्रो-पक्ष इभड्रपिङ वा परिमार्जनबाट सुरक्षित छ, अर्को पक्षको पहिचान प्रमाणित गर्न प्रमाणपत्रहरू प्रयोग गरेर सुरक्षाको अतिरिक्त तह प्रदान गर्न सकिन्छ। यसले सर्भरलाई IP एन्डपोइन्ट यन्त्रको पहिचान प्रमाणित गर्न अनुमति दिन्छ, र उल्टो।
पहिचान जाँच गर्न, प्रमाणपत्र file प्रमाणपत्र प्राधिकरण (CA) द्वारा हस्ताक्षर गरिएको हुनुपर्छ। त्यसपछि अर्को यन्त्रले यस CA बाट सार्वजनिक (विश्वसनीय) प्रमाणपत्र प्रयोग गरेर यो हस्ताक्षर जाँच गर्छ।

TLS प्रमाणपत्रहरू

Algo IP Endpoints Comodo, Verisign, Symantec, DigiCert, इत्यादि सहित विश्वस्त तेस्रो-पक्ष प्रमाणपत्र प्राधिकरणहरू (CAs) बाट सार्वजनिक प्रमाणपत्रहरूको सेटको साथ पूर्व-स्थापित हुन्छन्। प्रमाणपत्र अधिकारीहरूले यी व्यवसायहरूलाई प्रमाणित गर्न अनुमति दिन व्यवसायहरूलाई हस्ताक्षरित प्रमाणपत्रहरू प्रदान गर्छन्। तिनीहरूको सर्भर वा webसाइटहरू वास्तवमा तिनीहरू हुन् भनी तिनीहरू हुन्। Algo यन्त्रहरूले CA बाट सार्वजनिक प्रमाणपत्रहरू विरुद्ध सर्भरको हस्ताक्षरित प्रमाणपत्रहरू प्रमाणित गरेर प्रमाणिक सर्भरसँग सञ्चार गरिरहेको छ भनी पुष्टि गर्न सक्छ। थप सार्वजनिक प्रमाणपत्रहरू पनि अपलोड गर्न सकिन्छ, Algo उपकरणलाई विश्वास गर्न र थप सर्भरहरू प्रमाणित गर्न अनुमति दिन जुन पूर्व-स्थापित प्रमाणपत्रहरूमा समावेश नहुन सक्छ (पूर्वको लागि।ample, स्व-हस्ताक्षरित प्रमाणपत्रहरू)।

पारस्परिक प्रमाणीकरण

पारस्परिक प्रमाणीकरणले सर्भरलाई प्रमाणीकरण गर्न र अन्तिम बिन्दुको सर्भरको विपरित दिशाको साथसाथै सर्भरलाई प्रमाणीकरण गर्न र विश्वास गर्न आवश्यक पारेर सुरक्षाको एक अतिरिक्त तह थप्छ। यो एक अद्वितीय यन्त्र प्रमाणपत्र प्रयोग गरी कार्यान्वयन गरिएको छ, निर्माणको समयमा प्रत्येक Algo SIP अन्त्य बिन्दुमा स्थापित। Algo यन्त्रको IP ठेगाना निश्चित नभएको कारण (यो ग्राहकको नेटवर्कद्वारा निर्धारण गरिन्छ), Algo ले विश्वसनीय CAs सँग पहिले नै यो जानकारी प्रकाशित गर्न सक्दैन, र यसको सट्टा, यी यन्त्र प्रमाणपत्रहरू Algo को आफ्नै CA द्वारा हस्ताक्षर गरिएको हुनुपर्छ।
सर्भरको लागि Algo उपकरणमा विश्वास गर्नको लागि, प्रणाली प्रशासकले तिनीहरूको सर्भरमा सार्वजनिक Algo CA प्रमाणपत्र श्रृंखला स्थापना गर्न आवश्यक हुनेछ (पूर्वको लागिample the SIP फोन प्रणाली वा तिनीहरूको प्रावधान सर्भर) ताकि यो सर्भरले Algo उपकरणमा यन्त्र प्रमाणपत्र वास्तवमा प्रामाणिक छ भनेर प्रमाणित गर्न सक्छ।

नोट: 2019 मा निर्मित Algo IP एन्डपोइन्टहरू (फर्मवेयर 1.7.1 बाट सुरु हुँदै) वा पछि कारखानाबाट उपकरण प्रमाणपत्र स्थापना गरिएको छ।
प्रमाणपत्र स्थापित छ कि छैन भनेर प्रमाणित गर्न, प्रणाली -> ट्याब बारे नेभिगेट गर्नुहोस्। निर्माताको प्रमाणपत्र हेर्नुहोस्। यदि प्रमाणपत्र स्थापना गरिएको छैन भने, कृपया इमेल गर्नुहोस् support@algosolutions.com. ALGO TLS यातायात तह सुरक्षा - चित्र 1

साइफर सुइट्स

साइफर सुइटहरू TLS सत्रमा प्रयोग गरिने एल्गोरिदमहरूको सेटहरू हुन्। प्रत्येक सुइटले प्रमाणीकरण, इन्क्रिप्शन, र सन्देश प्रमाणीकरणका लागि एल्गोरिदमहरू समावेश गर्दछ। एल्गो उपकरणहरूले धेरै सामान्य रूपमा प्रयोग हुने एन्क्रिप्शन एल्गोरिदमहरू समर्थन गर्दछ जस्तै AES256 र सन्देश प्रमाणीकरण कोड एल्गोरिदमहरू जस्तै SHA-2।

Algo उपकरण प्रमाणपत्रहरू

Algo Root CA द्वारा हस्ताक्षरित यन्त्र प्रमाणपत्रहरू फर्मवेयर १.७.१ बाट सुरु हुँदै, २०१९ देखि Algo उपकरणहरूमा फ्याक्ट्री स्थापना गरिएको छ। प्रत्येक यन्त्रको लागि MAC ठेगाना समावेश भएको प्रमाणपत्रमा सामान्य नाम क्षेत्रको साथ यन्त्र निर्माण हुँदा प्रमाणपत्र उत्पन्न हुन्छ।
यन्त्र प्रमाणपत्र 30 वर्षको लागि मान्य छ र छुट्टै विभाजनमा रहन्छ, त्यसैले यो Algo अन्त्य बिन्दु फ्याक्ट्री रिसेट गरेपछि पनि मेटिने छैन।
Algo उपकरणहरूले कारखाना-स्थापित उपकरण प्रमाणपत्रको सट्टा प्रयोग गर्नको लागि तपाईंको आफ्नै उपकरण प्रमाणपत्र अपलोड गर्न समर्थन गर्दछ। यो PEM अपलोड गरेर स्थापना गर्न सकिन्छ file प्रणालीमा 'प्रमाणपत्र' डाइरेक्टरी ('प्रमाणपत्र/विश्वसनीय' डाइरेक्टरी होइन!) मा उपकरण प्रमाणपत्र र निजी कुञ्जी दुवै समावेश गर्दछ -> File प्रबन्धक ट्याब। यो file 'sip' भन्न आवश्यक छ client.pem'।

Algo SIP Endpoints मा सार्वजनिक CA प्रमाणपत्रहरू अपलोड गर्दै

यदि तपाईं 3.1.X भन्दा कम फर्मवेयरमा हुनुहुन्छ भने, कृपया यन्त्र अपग्रेड गर्नुहोस्।
फर्मवेयर v3.1 र माथि चलिरहेको Algo उपकरणमा प्रमाणपत्र स्थापना गर्न, तलका चरणहरू पालना गर्नुहोस्:

  1. तपाईंको प्रमाणपत्र प्राधिकरणबाट सार्वजनिक प्रमाणपत्र प्राप्त गर्नुहोस् (कुनै पनि मान्य X.509 ढाँचा प्रमाणपत्र स्वीकार गर्न सकिन्छ)। को लागि कुनै विशेष ढाँचा आवश्यक छैन fileनाम।
  2. मा web Algo उपकरणको इन्टरफेस, प्रणालीमा नेभिगेट गर्नुहोस् -> File प्रबन्धक ट्याब।
  3. प्रमाणपत्र अपलोड गर्नुहोस् file'प्रमाणपत्र/विश्वसनीय' डाइरेक्टरीमा छ। माथिल्लो बायाँ कुनामा रहेको अपलोड बटनमा क्लिक गर्नुहोस् file प्रबन्धक र प्रमाणपत्र ब्राउज गर्नुहोस्।

Web इन्टरफेस विकल्प

HTTPS प्रावधान
'HTTPS' मा 'डाउनलोड विधि' सेट गरेर प्रावधान सुरक्षित गर्न सकिन्छ (उन्नत सेटिङहरू > प्रावधान ट्याब अन्तर्गत)। यसले कन्फिगरेसनलाई रोक्छ fileएक नचाहिने तेस्रो पक्ष द्वारा पढ्नबाट। यसले प्रशासक पासवर्डहरू र SIP प्रमाणहरू जस्ता संवेदनशील डेटा चोरी हुने सम्भावित जोखिमलाई समाधान गर्छ। ALGO TLS यातायात तह सुरक्षा - चित्र 2

प्रावधान सर्भरमा पहिचान प्रमाणीकरण गर्न, 'सक्षम सर्भर प्रमाणपत्र' लाई पनि सेट गर्नुहोस्। यदि प्रावधान सर्भरको प्रमाणपत्रमा कुनै एक साझा व्यावसायिक CA द्वारा हस्ताक्षर गरिएको छ भने, Algo उपकरणसँग पहिले नै यस CA को लागि सार्वजनिक प्रमाणपत्र हुनुपर्दछ र प्रमाणीकरण गर्न सक्षम हुनुपर्दछ।
अतिरिक्त प्रमाणपत्रहरू अपलोड गर्नुहोस् (Base64 एन्कोड गरिएको X.509 प्रमाणपत्र file pem, .cer, वा .crt ढाँचामा) "प्रणाली > मा नेभिगेट गरेर File 'प्रमाणपत्र/विश्वसनीय' फोल्डरमा प्रबन्धक।
नोट: 'प्रमाणीकरण सर्भर प्रमाणपत्र' प्यारामिटर पनि प्रावधान मार्फत सक्षम गर्न सकिन्छ: prov.download.cert = १

HTTPS Web ईन्टरफेस प्रोटोकल
HTTPS को लागि सार्वजनिक प्रमाणपत्र अपलोड गर्ने प्रक्रिया web ब्राउजिङ माथिको खण्डमा वर्णन गरिएको जस्तै हो। httpd.pem file तपाईँले यन्त्रको IP मा नेभिगेट गर्दा तपाईँको कम्प्युटरको ब्राउजरद्वारा अनुरोध गरिएको उपकरण प्रमाणपत्र हो। यदि तपाइँ पहुँच गर्नुहुन्छ भने अनुकूलन सन्देश अपलोड गर्नाले तपाइँलाई चेतावनी सन्देशबाट छुटकारा पाउन सक्छ WebHTTPS प्रयोग गरेर UI। यो सार्वजनिक CA प्रमाणपत्र होइन। प्रमाणपत्र 'प्रमाणपत्र' मा अपलोड हुनुपर्छ। ALGO TLS यातायात तह सुरक्षा - चित्र 3

SIP सिग्नलिङ (र RTP अडियो)

SIP सिग्नलिङ 'SIP यातायात' लाई 'TLS' मा सेट गरेर सुरक्षित गरिन्छ (उन्नत सेटिङहरू > उन्नत SIP ट्याब अन्तर्गत)।

  • यसले सुनिश्चित गर्दछ कि SIP ट्राफिक इन्क्रिप्टेड हुनेछ।
  • SIP सिग्नलिङ कल स्थापना गर्न जिम्मेवार हुन्छ (अर्को पक्षसँग कल सुरु गर्न र अन्त्य गर्नको लागि नियन्त्रण संकेतहरू), तर यसले अडियो समावेश गर्दैन।
  • अडियो (आवाज) पथको लागि, सेटिङ 'SDP SRTP प्रस्ताव' प्रयोग गर्नुहोस्।
  • यसलाई 'वैकल्पिक' मा सेट गर्नुको अर्थ SIP कलको RTP अडियो डेटा इन्क्रिप्ट हुनेछ (SRTP प्रयोग गरेर) यदि अर्को पक्षले पनि अडियो इन्क्रिप्सनलाई समर्थन गर्छ भने।
  • यदि अर्को पक्षले SRTP लाई समर्थन गर्दैन भने, कल अझै पनि अगाडि बढ्नेछ, तर अनइन्क्रिप्टेड अडियोको साथ। सबै कलहरूको लागि अडियो इन्क्रिप्सन अनिवार्य बनाउनको लागि, 'SDP SRTP प्रस्ताव' लाई 'मानक' मा सेट गर्नुहोस्। यस अवस्थामा, यदि अर्को पक्षले अडियो इन्क्रिप्सनलाई समर्थन गर्दैन भने, कल प्रयास अस्वीकार गरिनेछ।
  • SIP सर्भरमा पहिचान प्रमाणीकरण गर्न, 'सक्षम सर्भर प्रमाणपत्र' लाई पनि सेट गर्नुहोस्।
  • यदि SIP सर्भरको प्रमाणपत्रमा कुनै एक साझा व्यावसायिक CA द्वारा हस्ताक्षर गरिएको छ भने, Algo उपकरणसँग पहिले नै यस CA को लागि सार्वजनिक प्रमाणपत्र हुनुपर्दछ र प्रमाणीकरण गर्न सक्षम हुनुपर्दछ। यदि होइन भने (उदाहरणका लागिampस्व-हस्ताक्षरित प्रमाणपत्रहरू सहित), त्यसपछि यस कागजातमा पहिले वर्णन गरिए अनुसार उपयुक्त सार्वजनिक प्रमाणपत्र Algo उपकरणमा अपलोड गर्न सकिन्छ।

ALGO TLS यातायात तह सुरक्षा - चित्र 4

TLS संस्करण १.२
फर्मवेयर v3.1 र माथि चलिरहेको Algo उपकरणहरूले TLS v1.1 र v1.2 समर्थन गर्दछ। 'फोर्स सेक्योर TLS
TLSv1.2 प्रयोग गर्न TLS जडानहरू आवश्यक हुन संस्करण' विकल्प प्रयोग गर्न सकिन्छ। यो सुविधा सक्षम गर्न:

  • उन्नत सेटिङहरू > उन्नत SIP मा जानुहोस्
  • 'फोर्स सेक्युर TLS संस्करण' लाई सक्षम र सुरक्षित रूपमा सेट गर्नुहोस्।
    नोट: यो विकल्प v4.0+ मा हटाइएको छ किनभने TLS v1.2 पूर्वनिर्धारित रूपमा प्रयोग गरिन्छ

Algo प्रमाणपत्रहरू डाउनलोड गर्नुहोस्

तल Algo CA प्रमाणपत्र श्रृंखला डाउनलोड गर्न लिङ्कहरूको सेट छन्। द files लाई SIP सर्भर वा प्रोभिजनिङ सर्भरमा स्थापित गर्न सकिन्छ ताकि यी सर्भरहरूलाई Algo SIP Endpoints मा यन्त्र प्रमाणपत्रहरू प्रमाणीकरण गर्न, र यसरी पारस्परिक प्रमाणीकरणलाई अनुमति दिनुहोस्:
अल्गो रूट CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo मध्यवर्ती CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Algo सार्वजनिक प्रमाणपत्र: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

समस्या निवारण

यदि TLS ह्यान्डशेक पूरा भइरहेको छैन भने, विश्लेषणको लागि Algo समर्थनमा प्याकेट क्याप्चर पठाउनुहोस्। त्यसो गर्नको लागि तपाईंले ट्राफिक मिरर गर्नुपर्नेछ, पोर्टबाट एल्गो एन्डपोइन्ट नेटवर्क स्विचमा जडान भएको छ, कम्प्युटरमा फिर्ता।

एल्गो कम्युनिकेशन प्रोडक्ट्स लिमिटेड
4500 Beedie सेन्ट Burnaby बीसी क्यानाडा V5J 5L2
www.algosolutions.com
८००-५५५-०१९९
support@algosolutions.com

कागजातहरू / स्रोतहरू

ALGO TLS यातायात तह सुरक्षा [pdf] निर्देशनहरू
TLS, यातायात तह सुरक्षा, तह सुरक्षा, TLS, यातायात तह

सन्दर्भहरू

सम्बन्धित पोस्टहरू

एक टिप्पणी छोड्नुहोस्

तपाईंको इमेल ठेगाना प्रकाशित गरिने छैन। आवश्यक क्षेत्रहरू चिन्ह लगाइएका छन् *