TLS போக்குவரத்து அடுக்கு பாதுகாப்பு
அறிவுறுத்தல் கையேடு
ஆல்கோ ஐபி எண்ட்பாயிண்ட்களைப் பாதுகாத்தல்:
TLS மற்றும் பரஸ்பர அங்கீகாரம்
உதவி தேவையா?
604-454-3792 or support@algosolutions.com
TLS அறிமுகம்
TLS (போக்குவரத்து அடுக்கு பாதுகாப்பு) என்பது கிரிப்டோகிராஃபிக் நெறிமுறையாகும், இது இணையத்தில் பயன்பாடுகள் அல்லது சாதனங்களுக்கு இடையே அனுப்பப்படும் தரவின் அங்கீகாரம், தனியுரிமை மற்றும் இறுதி முதல் இறுதி வரை பாதுகாப்பை வழங்குகிறது. ஹோஸ்ட் செய்யப்பட்ட தொலைபேசி தளங்கள் மிகவும் பொதுவானதாகிவிட்டதால், பொது இணையத்தில் பாதுகாப்பான தகவல்தொடர்புகளை வழங்குவதற்கு TLS இன் தேவை அதிகரித்துள்ளது. ஃபார்ம்வேர் 1.6.4 ஐ ஆதரிக்கும் அல்கோ சாதனங்கள் அல்லது அதற்குப் பிறகு வழங்குதல் மற்றும் SIP சிக்னலிங் ஆகிய இரண்டிற்கும் டிரான்ஸ்போர்ட் லேயர் செக்யூரிட்டியை (TLS) ஆதரிக்கிறது.
குறிப்பு: பின்வரும் இறுதிப்புள்ளிகள் TLSஐ ஆதரிக்கவில்லை: 8180 IP ஆடியோ அலர்ட்டர் (G1), 8028 IP Doorphone (G1), 8128 IP விஷுவல் அலர்ட்டர் (G1), 8061 IP ரிலே கன்ட்ரோலர்.
குறியாக்கம் vs அடையாள சரிபார்ப்பு
TLS ட்ராஃபிக் எப்போதுமே என்க்ரிப்ட் செய்யப்பட்டு மூன்றாம் தரப்பு ஒட்டுக்கேட்குதல் அல்லது மாற்றத்திலிருந்து பாதுகாப்பாக இருக்கும் போது, மற்ற தரப்பினரின் அடையாளத்தை சரிபார்க்க சான்றிதழ்களைப் பயன்படுத்தி கூடுதல் பாதுகாப்பு அடுக்கு வழங்கப்படலாம். இது சேவையகத்தை ஐபி எண்ட்பாயிண்ட் சாதனத்தின் அடையாளத்தைச் சரிபார்க்க அனுமதிக்கிறது, மேலும் நேர்மாறாகவும்.
அடையாளச் சரிபார்ப்பைச் செய்ய, சான்றிதழ் file ஒரு சான்றிதழ் ஆணையத்தால் (CA) கையொப்பமிட வேண்டும். பிற சாதனம் இந்த CA இன் பொது (நம்பகமான) சான்றிதழைப் பயன்படுத்தி இந்த கையொப்பத்தைச் சரிபார்க்கிறது.
TLS சான்றிதழ்கள்
ஆல்கோ ஐபி எண்ட்பாயிண்ட்ஸ், கொமோடோ, வெரிசைன், சைமென்டெக், டிஜிசெர்ட் போன்ற நம்பகமான மூன்றாம் தரப்பு சான்றிதழ் அதிகாரிகளின் (CAக்கள்) பொதுச் சான்றிதழ்களின் தொகுப்புடன் முன்பே நிறுவப்பட்டுள்ளது. இந்த வணிகங்களை நிரூபிக்க வணிகங்களுக்கு சான்றிதழ் அதிகாரிகள் கையொப்பமிடப்பட்ட சான்றிதழ்களை வழங்குகிறார்கள். அவர்களின் சேவையகங்கள் அல்லது webதளங்கள் உண்மையில் அவர்கள் யார் என்று கூறுகிறார்கள். CA கையொப்பமிட்ட பொதுச் சான்றிதழ்களுக்கு எதிராக, சர்வரின் கையொப்பமிடப்பட்ட சான்றிதழ்களைச் சரிபார்ப்பதன் மூலம், அது ஒரு உண்மையான சேவையகத்துடன் தொடர்பு கொள்கிறது என்பதை அல்கோ சாதனங்கள் உறுதிப்படுத்த முடியும். முன்பே நிறுவப்பட்ட சான்றிதழ்களில் சேர்க்கப்படாத கூடுதல் சேவையகங்களை ஆல்கோ சாதனம் நம்பவும் சரிபார்க்கவும் அனுமதிக்க, கூடுதல் பொதுச் சான்றிதழ்களையும் பதிவேற்றலாம் (எ.கா.ample, சுய கையொப்பமிட்ட சான்றிதழ்கள்).
பரஸ்பர அங்கீகாரம்
பரஸ்பர அங்கீகாரமானது, சர்வரைச் சரிபார்க்கும் எண்ட்பாயின்ட்டின் எதிர் திசையைத் தவிர, எண்ட்பாயிண்ட் சாதனத்தை சரிபார்க்கவும் மற்றும் நம்பவும் சர்வர் தேவைப்படுவதன் மூலம் ஒரு கூடுதல் பாதுகாப்பைச் சேர்க்கிறது. இது ஒரு தனிப்பட்ட சாதனச் சான்றிதழைப் பயன்படுத்தி செயல்படுத்தப்படுகிறது, உற்பத்தியின் போது ஒவ்வொரு Algo SIP எண்ட்பாயிண்டிலும் நிறுவப்பட்டுள்ளது. Algo சாதனத்தின் IP முகவரி சரி செய்யப்படாததால் (வாடிக்கையாளரின் நெட்வொர்க்கால் தீர்மானிக்கப்படுகிறது), Algo ஆல் இந்தத் தகவலை நம்பகமான CAக்களுடன் முன்கூட்டியே வெளியிட முடியாது, அதற்குப் பதிலாக, இந்தச் சாதனச் சான்றிதழ்கள் Algoவின் சொந்த CA ஆல் கையொப்பமிடப்பட வேண்டும்.
அல்கோ சாதனத்தை சர்வர் நம்புவதற்கு, சிஸ்டம் அட்மினிஸ்ட்ரேட்டர் பொது ஆல்கோ சிஏ சான்றிதழ் சங்கிலியை தங்கள் சர்வரில் நிறுவ வேண்டும் (எ.கா.ample SIP ஃபோன் சிஸ்டம் அல்லது அவற்றின் வழங்கல் சேவையகம்) இதன் மூலம் அல்கோ சாதனத்தில் உள்ள சாதனச் சான்றிதழ் உண்மையில் உண்மையானதா என்பதை இந்தச் சேவையகம் சரிபார்க்க முடியும்.
குறிப்பு: 2019 இல் தயாரிக்கப்பட்ட Algo IP எண்ட்பாயிண்ட்ஸ் (ஃபர்ம்வேர் 1.7.1 இல் தொடங்கி) அல்லது அதற்குப் பிறகு தொழிற்சாலையிலிருந்து சாதனச் சான்றிதழை நிறுவியிருக்கும்.
சான்றிதழ் நிறுவப்பட்டுள்ளதா என்பதைச் சரிபார்க்க, கணினி -> பற்றி தாவலுக்குச் செல்லவும். உற்பத்தியாளர் சான்றிதழைப் பார்க்கவும். சான்றிதழ் நிறுவப்படவில்லை என்றால், மின்னஞ்சல் செய்யவும் support@algosolutions.com. 
சைபர் சூட்ஸ்
சைஃபர் தொகுப்புகள் என்பது TLS அமர்வின் போது பயன்படுத்தப்படும் அல்காரிதம்களின் தொகுப்பு ஆகும். ஒவ்வொரு தொகுப்பிலும் அங்கீகாரம், குறியாக்கம் மற்றும் செய்தி அங்கீகாரத்திற்கான வழிமுறைகள் உள்ளன. அல்கோ சாதனங்கள் AES256 போன்ற பொதுவாகப் பயன்படுத்தப்படும் பல குறியாக்க வழிமுறைகளையும் SHA-2 போன்ற செய்தி அங்கீகாரக் குறியீடு அல்காரிதங்களையும் ஆதரிக்கின்றன.
அல்கோ சாதன சான்றிதழ்கள்
Algo Root CA ஆல் கையொப்பமிடப்பட்ட சாதனச் சான்றிதழ்கள் 2019 ஆம் ஆண்டு முதல் Algo சாதனங்களில் ஃபார்ம்வேர் 1.7.1 இல் தொடங்கி தொழிற்சாலை நிறுவப்பட்டுள்ளன. ஒவ்வொரு சாதனத்திற்கும் MAC முகவரியைக் கொண்ட சான்றிதழில் பொதுவான பெயர் புலத்துடன், சாதனம் தயாரிக்கப்படும் போது சான்றிதழ் உருவாக்கப்படும்.
சாதனச் சான்றிதழ் 30 ஆண்டுகளுக்கு செல்லுபடியாகும் மற்றும் ஒரு தனி பகிர்வில் உள்ளது, எனவே அல்கோ இறுதிப்புள்ளியை தொழிற்சாலை மீட்டமைத்த பிறகும் அது அழிக்கப்படாது.
தொழிற்சாலையில் நிறுவப்பட்ட சாதனச் சான்றிதழைப் பயன்படுத்துவதற்குப் பதிலாக, அல்கோ சாதனங்கள் உங்கள் சொந்தச் சாதனச் சான்றிதழைப் பதிவேற்றுவதையும் ஆதரிக்கின்றன. PEM ஐ பதிவேற்றுவதன் மூலம் இதை நிறுவலாம் file கணினியில் உள்ள 'சான்றிதழ்கள்' கோப்பகத்திற்கு ('சான்றிதழ்கள்/நம்பகமான' கோப்பகம் அல்ல!) சாதனச் சான்றிதழ் மற்றும் தனிப்பட்ட விசை இரண்டையும் கொண்டுள்ளது -> File மேலாளர் தாவல். இது file 'சிப்' என்று அழைக்க வேண்டும் வாடிக்கையாளர்.பெம்'.
பொது CA சான்றிதழ்களை Algo SIP எண்ட்பாயிண்ட்டுகளில் பதிவேற்றுகிறது
நீங்கள் 3.1.X க்கும் குறைவான ஃபார்ம்வேரில் இருந்தால், சாதனத்தை மேம்படுத்தவும்.
ஃபார்ம்வேர் v3.1 மற்றும் அதற்கு மேல் இயங்கும் Algo சாதனத்தில் சான்றிதழை நிறுவ, கீழே உள்ள படிகளைப் பின்பற்றவும்:
- உங்கள் சான்றிதழ் ஆணையத்திடம் இருந்து பொதுச் சான்றிதழைப் பெறுங்கள் (எந்தவொரு செல்லுபடியாகும் X.509 வடிவச் சான்றிதழும் ஏற்றுக்கொள்ளப்படலாம்). இதற்கு குறிப்பிட்ட வடிவம் எதுவும் தேவையில்லை fileபெயர்.
- இல் web அல்கோ சாதனத்தின் இடைமுகம், கணினி -> க்கு செல்லவும் File மேலாளர் தாவல்.
- சான்றிதழை பதிவேற்றவும் file'சான்றிதழ்கள்/நம்பகமான' கோப்பகத்தில் கள். மேல் இடது மூலையில் உள்ள பதிவேற்ற பொத்தானைக் கிளிக் செய்யவும் file மேலாளர் மற்றும் சான்றிதழில் உலாவவும்.
Web இடைமுக விருப்பங்கள்
HTTPS வழங்கல்
'பதிவிறக்க முறையை' 'HTTPS' ஆக அமைப்பதன் மூலம் வழங்குதலைப் பாதுகாக்க முடியும் (மேம்பட்ட அமைப்புகள் > வழங்குதல் தாவலின் கீழ்). இது கட்டமைப்பைத் தடுக்கிறது fileதேவையற்ற மூன்றாம் தரப்பினரால் படிக்கப்படுவதிலிருந்து கள். நிர்வாகி கடவுச்சொற்கள் மற்றும் SIP நற்சான்றிதழ்கள் போன்ற முக்கியமான தரவு திருடப்படுவதற்கான சாத்தியமான அபாயத்தை இது தீர்க்கிறது. 
வழங்குதல் சேவையகத்தில் அடையாளச் சரிபார்ப்பைச் செய்ய, 'செர்வர் சான்றிதழைச் சரிபார்க்கவும்' என்பதை 'இயக்கப்பட்டது' என்றும் அமைக்கவும். வழங்குதல் சேவையகத்தின் சான்றிதழில் பொதுவான வணிக CA கள் ஒன்றில் கையொப்பமிடப்பட்டிருந்தால், Algo சாதனம் ஏற்கனவே இந்த CAக்கான பொதுச் சான்றிதழைக் கொண்டிருக்க வேண்டும் மற்றும் சரிபார்ப்பைச் செய்ய முடியும்.
கூடுதல் சான்றிதழ்களைப் பதிவேற்றவும் (Base64 குறியிடப்பட்ட X.509 சான்றிதழ் file .pem, .cer அல்லது .crt வடிவத்தில்) “System> என்பதற்குச் செல்வதன் மூலம் File 'சான்றிதழ்கள்/நம்பகமான' கோப்புறைக்கு மேலாளர்”.
குறிப்பு: 'சரிபார்ப்பு சர்வர் சான்றிதழ்' அளவுருவை வழங்குவதன் மூலம் இயக்கலாம்: prov.download.cert = 1
HTTPS Web இடைமுக நெறிமுறை
HTTPSக்கான பொதுச் சான்றிதழைப் பதிவேற்றுவதற்கான செயல்முறை web உலாவல் மேலே உள்ள பிரிவில் விவரிக்கப்பட்டுள்ளதைப் போன்றது. httpd.pem file சாதனத்தின் ஐபிக்கு நீங்கள் செல்லும்போது உங்கள் கணினியின் உலாவியால் கோரப்படும் சாதனச் சான்றிதழாகும். தனிப்பயன் ஒன்றைப் பதிவேற்றுவது, நீங்கள் அணுகினால் எச்சரிக்கை செய்தியிலிருந்து விடுபடலாம் WebHTTPS ஐப் பயன்படுத்தும் UI. இது பொது CA சான்றிதழ் அல்ல. சான்றிதழை 'சான்றிதழ்களில்' பதிவேற்ற வேண்டும். 
SIP சிக்னலிங் (மற்றும் RTP ஆடியோ)
'SIP போக்குவரத்து' 'TLS' ஆக அமைப்பதன் மூலம் SIP சமிக்ஞை பாதுகாக்கப்படுகிறது (மேம்பட்ட அமைப்புகள் > மேம்பட்ட SIP தாவலின் கீழ்).
- SIP ட்ராஃபிக் குறியாக்கம் செய்யப்படுவதை இது உறுதி செய்கிறது.
- SIP சிக்னலிங் அழைப்பை நிறுவுவதற்கு பொறுப்பாகும் (மற்ற தரப்பினருடன் அழைப்பைத் தொடங்க மற்றும் முடிப்பதற்கான கட்டுப்பாட்டு சமிக்ஞைகள்), ஆனால் அதில் ஆடியோ இல்லை.
- ஆடியோ (குரல்) பாதைக்கு, 'SDP SRTP ஆஃபர்' அமைப்பைப் பயன்படுத்தவும்.
- இதை 'விரும்பினால்' அமைப்பது என்பது மற்ற தரப்பினரும் ஆடியோ குறியாக்கத்தை ஆதரித்தால், SIP அழைப்பின் RTP ஆடியோ தரவு என்க்ரிப்ட் செய்யப்படும் (SRTPயைப் பயன்படுத்தி).
- மற்ற தரப்பினர் SRTP ஐ ஆதரிக்கவில்லை என்றால், அழைப்பு இன்னும் தொடரும், ஆனால் என்க்ரிப்ட் செய்யப்படாத ஆடியோவுடன். அனைத்து அழைப்புகளுக்கும் ஆடியோ என்க்ரிப்ஷனை கட்டாயமாக்க, 'SDP SRTP ஆஃபர்' என்பதை 'ஸ்டாண்டர்ட்' ஆக அமைக்கவும். இந்த வழக்கில், மற்ற தரப்பினர் ஆடியோ குறியாக்கத்தை ஆதரிக்கவில்லை என்றால், அழைப்பு முயற்சி நிராகரிக்கப்படும்.
- SIP சேவையகத்தில் அடையாளச் சரிபார்ப்பைச் செய்ய, 'செர்வர் சான்றிதழைச் சரிபார்க்கவும்' என்பதை 'இயக்கப்பட்டது' என்றும் அமைக்கவும்.
- SIP சேவையகத்தின் சான்றிதழில் பொதுவான வணிக CA கள் ஒன்றில் கையொப்பமிடப்பட்டிருந்தால், Algo சாதனம் ஏற்கனவே இந்த CAக்கான பொதுச் சான்றிதழைக் கொண்டிருக்க வேண்டும் மற்றும் சரிபார்ப்பைச் செய்ய முடியும். இல்லையென்றால் (எ.காampசுய கையொப்பமிடப்பட்ட சான்றிதழ்களுடன் le), பின்னர் இந்த ஆவணத்தில் முன்னர் விவரிக்கப்பட்டுள்ளபடி Algo சாதனத்தில் பொருத்தமான பொதுச் சான்றிதழை பதிவேற்றலாம்.
TLS பதிப்பு 1.2
ஃபார்ம்வேர் v3.1 மற்றும் அதற்கு மேல் இயங்கும் அல்கோ சாதனங்கள் TLS v1.1 மற்றும் v1.2 ஐ ஆதரிக்கின்றன. 'Force Secure TLS
TLSv1.2 ஐப் பயன்படுத்துவதற்கு TLS இணைப்புகள் தேவைப்படுவதற்கு பதிப்பு' விருப்பம் பயன்படுத்தப்படலாம். இந்த அம்சத்தை இயக்க:
- மேம்பட்ட அமைப்புகள் > மேம்பட்ட SIP என்பதற்குச் செல்லவும்
- 'ஃபோர்ஸ் செக்யூட் TLS பதிப்பை' இயக்கப்பட்டதாக அமைத்து, சேமிக்கவும்.
குறிப்பு: TLS v4.0 இயல்பாகப் பயன்படுத்தப்படுவதால், இந்த விருப்பம் v1.2+ இல் அகற்றப்பட்டது
அல்கோ சான்றிதழ்கள் பதிவிறக்கம்
Algo CA சான்றிதழ் சங்கிலியைப் பதிவிறக்குவதற்கான இணைப்புகளின் தொகுப்பு கீழே உள்ளது. தி fileஅல்கோ எஸ்ஐபி எண்ட்பாயிண்ட்களில் சாதனச் சான்றிதழ்களை அங்கீகரிக்க இந்த சேவையகங்களுக்கு SIP சேவையகம் அல்லது வழங்கல் சேவையகத்தில் கள் நிறுவப்படலாம், இதனால் பரஸ்பர அங்கீகாரத்தை அனுமதிக்கலாம்:
அல்கோ ரூட் CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
அல்கோ இடைநிலை CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
அல்கோ பொதுச் சான்றிதழ்: மttp://firmware.algosolutions.com/pub/certs/algo_ca.crt
சரிசெய்தல்
TLS ஹேண்ட்ஷேக் முடிவடையவில்லை என்றால், பகுப்பாய்வுக்காக Algo ஆதரவுக்கு ஒரு பாக்கெட் கேப்சரை அனுப்பவும். இதைச் செய்ய, நீங்கள் போக்குவரத்தை பிரதிபலிக்க வேண்டும், போர்ட்டில் இருந்து அல்கோ எண்ட்பாயிண்ட் நெட்வொர்க் சுவிட்சில் இணைக்கப்பட்டுள்ளது, மீண்டும் ஒரு கணினிக்கு.
அல்கோ கம்யூனிகேஷன் ப்ராடக்ட்ஸ் லிமிடெட்
4500 பீடி செயின்ட் பர்னாபி BC கனடா V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com
ஆவணங்கள் / ஆதாரங்கள்
 |
ALGO TLS போக்குவரத்து அடுக்கு பாதுகாப்பு [pdf] வழிமுறைகள் டிஎல்எஸ், டிரான்ஸ்போர்ட் லேயர் செக்யூரிட்டி, லேயர் செக்யூரிட்டி, டிஎல்எஸ், டிரான்ஸ்போர்ட் லேயர் |
