ALGO - لوگوTLS ٹرانسپورٹ لیئر سیکیورٹی
ہدایت نامہ

Algo IP اینڈ پوائنٹس کو محفوظ بنانا:
TLS اور باہمی توثیق

مدد کی ضرورت ہے؟
604-454-3792 or support@algosolutions.com۔ 

مشمولات چھپائیں
1 TLS کا تعارف
2 خفیہ کاری بمقابلہ شناختی تصدیق
3 TLS سرٹیفکیٹس
4 باہمی تصدیق
5 سائفر سویٹس
6 الگو ڈیوائس سرٹیفکیٹس
7 Algo SIP اینڈ پوائنٹس پر پبلک CA سرٹیفکیٹس اپ لوڈ کرنا
8 Web انٹرفیس کے اختیارات
9 SIP سگنلنگ (اور RTP آڈیو)
10 الگو سرٹیفکیٹس ڈاؤن لوڈ کریں۔
11 خرابی کا سراغ لگانا
12 دستاویزات / وسائل
12.1 حوالہ جات
13 متعلقہ پوسٹس

TLS کا تعارف

TLS (ٹرانسپورٹ لیئر سیکیورٹی) ایک کرپٹوگرافک پروٹوکول ہے جو انٹرنیٹ پر ایپلیکیشنز یا ڈیوائسز کے درمیان بھیجے گئے ڈیٹا کی تصدیق، رازداری اور اینڈ ٹو اینڈ سیکیورٹی فراہم کرتا ہے۔ چونکہ میزبان ٹیلی فونی پلیٹ فارمز زیادہ عام ہو گئے ہیں، عوامی انٹرنیٹ پر محفوظ مواصلت فراہم کرنے کے لیے TLS کی ضرورت بڑھ گئی ہے۔ Algo ڈیوائسز جو فرم ویئر 1.6.4 یا بعد میں سپورٹ کرتی ہیں وہ پروویژننگ اور SIP سگنلنگ دونوں کے لیے ٹرانسپورٹ لیئر سیکیورٹی (TLS) کو سپورٹ کرتی ہیں۔
نوٹ: درج ذیل اینڈ پوائنٹس TLS کو سپورٹ نہیں کرتے ہیں: 8180 IP آڈیو الرٹر (G1)، 8028 IP ڈور فون (G1)، 8128 IP ویژول الرٹر (G1)، 8061 IP ریلے کنٹرولر۔

خفیہ کاری بمقابلہ شناختی تصدیق

اگرچہ TLS ٹریفک ہمیشہ انکرپٹڈ اور تیسرے فریق کی خبروں یا ترمیم سے محفوظ رہتی ہے، دوسرے فریق کی شناخت کی توثیق کرنے کے لیے سرٹیفکیٹس کا استعمال کرکے سیکیورٹی کی ایک اضافی تہہ فراہم کی جا سکتی ہے۔ یہ سرور کو آئی پی اینڈ پوائنٹ ڈیوائس کی شناخت کی تصدیق کرنے کی اجازت دیتا ہے، اور اس کے برعکس۔
شناخت کی جانچ کرنے کے لیے، سرٹیفکیٹ file ایک سرٹیفکیٹ اتھارٹی (CA) کی طرف سے دستخط ہونا ضروری ہے. دوسرا آلہ پھر اس CA سے عوامی (ٹرسٹڈ) سرٹیفکیٹ کا استعمال کرتے ہوئے اس دستخط کو چیک کرتا ہے۔

TLS سرٹیفکیٹس

Algo IP Endpoints پہلے سے انسٹال شدہ عوامی سرٹیفکیٹس کے ایک سیٹ کے ساتھ قابل اعتماد تھرڈ پارٹی سرٹیفکیٹ اتھارٹیز (CAs) کے ساتھ آتے ہیں، بشمول Comodo, Verisign, Symantec, DigiCert، وغیرہ۔ سرٹیفکیٹ اتھارٹیز کاروباروں کو دستخط شدہ سرٹیفکیٹ فراہم کرتی ہیں تاکہ ان کاروباروں کو یہ ثابت کرنے کی اجازت دی جا سکے۔ ان کے سرورز یا webسائٹس دراصل وہ ہیں جو کہتے ہیں کہ وہ ہیں۔ Algo ڈیوائسز اس بات کی تصدیق کر سکتی ہیں کہ یہ CA کے عوامی سرٹیفکیٹس کے خلاف سرور کے دستخط شدہ سرٹیفکیٹس کی تصدیق کر کے مستند سرور کے ساتھ بات چیت کر رہا ہے جس نے اس پر دستخط کیے ہیں۔ اضافی عوامی سرٹیفکیٹس کو بھی اپ لوڈ کیا جا سکتا ہے، تاکہ Algo ڈیوائس کو اضافی سرورز پر بھروسہ کرنے اور ان کی تصدیق کرنے کی اجازت دی جا سکے جو پہلے سے نصب شدہ سرٹیفکیٹس میں شامل نہیں ہوسکتے ہیں (سابقہ ​​کے لیےample، خود دستخط شدہ سرٹیفکیٹ)۔

باہمی تصدیق

باہمی توثیق سرور کی توثیق کرنے والے اختتامی نقطہ کی مخالف سمت کے علاوہ، اینڈ پوائنٹ ڈیوائس کی توثیق اور بھروسہ کرنے کی ضرورت کے ذریعے سیکیورٹی کی ایک اضافی پرت کا اضافہ کرتی ہے۔ یہ ایک منفرد ڈیوائس سرٹیفکیٹ کا استعمال کرتے ہوئے لاگو کیا جاتا ہے، جو کہ تیاری کے وقت ہر Algo SIP اینڈ پوائنٹ پر نصب ہوتا ہے۔ چونکہ Algo ڈیوائس کا IP ایڈریس طے نہیں ہوتا ہے (اس کا تعین گاہک کے نیٹ ورک سے ہوتا ہے)، Algo اس معلومات کو قابل اعتماد CAs کے ساتھ پہلے سے شائع نہیں کر سکتا، اور اس کے بجائے، ان ڈیوائس سرٹیفکیٹس پر Algo کے اپنے CA کے دستخط ہونے چاہئیں۔
سرور کے لیے پھر Algo ڈیوائس پر بھروسہ کرنے کے لیے، سسٹم ایڈمنسٹریٹر کو اپنے سرور پر عوامی Algo CA سرٹیفکیٹ چین انسٹال کرنے کی ضرورت ہوگی (سابقہ ​​کے لیےampایس آئی پی فون سسٹم یا ان کے پروویژننگ سرور) تاکہ یہ سرور اس بات کی تصدیق کر سکے کہ آلگو ڈیوائس پر موجود ڈیوائس سرٹیفکیٹ حقیقت میں مستند ہے۔

نوٹ: 2019 میں تیار کردہ Algo IP اینڈ پوائنٹس (فرم ویئر 1.7.1 سے شروع) یا بعد میں فیکٹری سے ڈیوائس سرٹیفکیٹ انسٹال ہے۔
تصدیق کرنے کے لیے کہ آیا سرٹیفکیٹ انسٹال ہے، سسٹم -> کے بارے میں ٹیب پر جائیں۔ مینوفیکچرر سرٹیفکیٹ دیکھیں۔ اگر سرٹیفکیٹ انسٹال نہیں ہے تو براہ کرم ای میل کریں۔ support@algosolutions.com۔. ALGO TLS ٹرانسپورٹ لیئر سیکیورٹی - شکل 1

سائفر سویٹس

سائفر سویٹس TLS سیشن کے دوران استعمال ہونے والے الگورتھم کے سیٹ ہیں۔ ہر سوٹ میں تصدیق، خفیہ کاری، اور پیغام کی توثیق کے لیے الگورتھم شامل ہیں۔ الگو ڈیوائسز بہت سے عام طور پر استعمال ہونے والے انکرپشن الگورتھم جیسے AES256 اور پیغام کی توثیق کوڈ الگورتھم جیسے SHA-2 کو سپورٹ کرتی ہیں۔

الگو ڈیوائس سرٹیفکیٹس

Algo Root CA کی طرف سے دستخط کردہ ڈیوائس سرٹیفکیٹ فرم ویئر 2019 سے شروع ہونے والے 1.7.1 سے Algo ڈیوائسز پر فیکٹری انسٹال ہیں۔ سرٹیفکیٹ اس وقت تیار ہوتا ہے جب آلہ تیار کیا جاتا ہے، سرٹیفکیٹ میں عام نام کی فیلڈ جس میں ہر ڈیوائس کے لیے MAC ایڈریس ہوتا ہے۔
ڈیوائس سرٹیفکیٹ 30 سال کے لیے کارآمد ہے اور ایک الگ پارٹیشن میں رہتا ہے، اس لیے یہ الگو اینڈ پوائنٹ کو فیکٹری ری سیٹ کرنے کے بعد بھی نہیں مٹایا جائے گا۔
Algo ڈیوائسز فیکٹری میں نصب ڈیوائس سرٹیفکیٹ کے بجائے استعمال کرنے کے لیے آپ کے اپنے ڈیوائس سرٹیفکیٹ کو اپ لوڈ کرنے کی بھی حمایت کرتی ہیں۔ اسے پی ای ایم اپ لوڈ کرکے انسٹال کیا جاسکتا ہے۔ file سسٹم میں 'سرٹیفکیٹ' ڈائرکٹری (نہیں 'سرٹیفکیٹ/ٹرسٹڈ' ڈائرکٹری!) میں ڈیوائس سرٹیفکیٹ اور نجی کلید دونوں پر مشتمل ہے -> File مینیجر ٹیب۔ یہ file 'sip' کہلانے کی ضرورت ہے۔ client.pem'

Algo SIP اینڈ پوائنٹس پر پبلک CA سرٹیفکیٹس اپ لوڈ کرنا

اگر آپ 3.1.X سے کم فرم ویئر پر ہیں، تو براہ کرم ڈیوائس کو اپ گریڈ کریں۔
فرم ویئر v3.1 اور اس سے اوپر چلنے والے Algo ڈیوائس پر سرٹیفکیٹ انسٹال کرنے کے لیے، ذیل کے مراحل پر عمل کریں:

  1. اپنے سرٹیفکیٹ اتھارٹی سے عوامی سرٹیفکیٹ حاصل کریں (کسی بھی درست X.509 فارمیٹ کا سرٹیفکیٹ قبول کیا جا سکتا ہے)۔ کے لیے کوئی مخصوص فارمیٹ درکار نہیں ہے۔ fileنام
  2. میں web Algo ڈیوائس کا انٹرفیس، سسٹم -> پر جائیں۔ File مینیجر ٹیب۔
  3. سرٹیفکیٹ اپ لوڈ کریں۔ files 'سرٹیفکیٹ/ٹرسٹڈ' ڈائرکٹری میں۔ کے اوپری بائیں کونے میں اپ لوڈ بٹن پر کلک کریں۔ file مینیجر اور سرٹیفکیٹ کو براؤز کریں۔

Web انٹرفیس کے اختیارات

HTTPS پروویژننگ
'ڈاؤن لوڈ طریقہ' کو 'HTTPS' پر سیٹ کر کے پروویژننگ کو محفوظ کیا جا سکتا ہے (اعلی درجے کی ترتیبات > پروویژننگ ٹیب کے تحت)۔ یہ ترتیب کو روکتا ہے۔ fileکسی ناپسندیدہ تیسرے فریق کے ذریعہ پڑھے جانے سے۔ یہ حساس ڈیٹا چوری ہونے کے ممکنہ خطرے کو حل کرتا ہے، جیسے ایڈمن پاس ورڈز اور SIP اسناد۔ ALGO TLS ٹرانسپورٹ لیئر سیکیورٹی - شکل 2

پروویژننگ سرور پر شناخت کی توثیق کرنے کے لیے، 'Validate Server Certificate' کو 'Enabled' پر بھی سیٹ کریں۔ اگر پروویژننگ سرور کے سرٹیفکیٹ پر عام کمرشل CAs میں سے کسی ایک نے دستخط کیے ہیں، تو Algo ڈیوائس کے پاس پہلے سے ہی اس CA کا عوامی سرٹیفکیٹ ہونا چاہیے اور وہ تصدیق کرنے کے قابل ہونا چاہیے۔
اضافی سرٹیفکیٹس اپ لوڈ کریں (Base64 انکوڈ شدہ X.509 سرٹیفکیٹ file pem، .cer، یا .crt فارمیٹ میں) "سسٹم > پر نیویگیٹ کر کے File 'سرٹیفکیٹ/ٹرسٹڈ' فولڈر میں مینیجر۔
نوٹ: 'Validate Server Certificate' پیرامیٹر کو پروویژننگ کے ذریعے بھی فعال کیا جا سکتا ہے: prov.download.cert = 1

HTTPS Web انٹرفیس پروٹوکول
HTTPS کے لیے عوامی سرٹیفکیٹ اپ لوڈ کرنے کا طریقہ کار web براؤزنگ اسی طرح کی ہے جیسا کہ اوپر والے حصے میں بیان کیا گیا ہے۔ httpd.pem file ایک ڈیوائس سرٹیفکیٹ ہے جو آپ کے کمپیوٹر کے براؤزر سے اس وقت طلب کیا جاتا ہے جب آپ ڈیوائس کے IP پر جاتے ہیں۔ اپنی مرضی کے مطابق اپ لوڈ کرنے سے آپ کو انتباہی پیغام سے چھٹکارا مل سکتا ہے اگر آپ اس تک رسائی حاصل کرتے ہیں۔ WebHTTPS کا استعمال کرتے ہوئے UI۔ یہ عوامی CA سرٹیفکیٹ نہیں ہے۔ سرٹیفکیٹ کو 'سرٹیفکیٹ' پر اپ لوڈ کرنا ضروری ہے۔ ALGO TLS ٹرانسپورٹ لیئر سیکیورٹی - شکل 3

SIP سگنلنگ (اور RTP آڈیو)

SIP سگنلنگ کو 'SIP ٹرانسپورٹیشن' کو 'TLS' پر سیٹ کر کے محفوظ کیا جاتا ہے (ایڈوانسڈ سیٹنگز > ایڈوانسڈ ایس آئی پی ٹیب کے تحت)۔

  • یہ یقینی بناتا ہے کہ SIP ٹریفک کو خفیہ کیا جائے گا۔
  • SIP سگنلنگ کال کو قائم کرنے کے لیے ذمہ دار ہے (دوسرے فریق کے ساتھ کال شروع کرنے اور ختم کرنے کے لیے کنٹرول سگنل)، لیکن اس میں آڈیو شامل نہیں ہے۔
  • آڈیو (آواز) کے راستے کے لیے، 'SDP SRTP پیشکش' کی ترتیب استعمال کریں۔
  • اسے 'اختیاری' پر سیٹ کرنے کا مطلب ہے کہ اگر دوسرا فریق بھی آڈیو انکرپشن کو سپورٹ کرتا ہے تو SIP کال کا RTP آڈیو ڈیٹا انکرپٹ ہو جائے گا (SRTP کا استعمال کرتے ہوئے)۔
  • اگر دوسرا فریق SRTP کی حمایت نہیں کرتا ہے، تب بھی کال جاری رہے گی، لیکن غیر خفیہ کردہ آڈیو کے ساتھ۔ تمام کالوں کے لیے آڈیو انکرپشن کو لازمی بنانے کے لیے، 'SDP SRTP پیشکش' کو 'معیاری' پر سیٹ کریں۔ اس صورت میں، اگر دوسرا فریق آڈیو انکرپشن کی حمایت نہیں کرتا ہے، تو کال کی کوشش کو مسترد کر دیا جائے گا۔
  • SIP سرور پر شناخت کی تصدیق کرنے کے لیے، 'Validate Server Certificate' کو بھی 'Enabled' پر سیٹ کریں۔
  • اگر SIP سرور کے سرٹیفکیٹ پر عام تجارتی CAs میں سے کسی ایک کے دستخط ہیں، تو Algo ڈیوائس کے پاس پہلے سے ہی اس CA کے لیے عوامی سرٹیفکیٹ ہونا چاہیے اور وہ تصدیق کرنے کے قابل ہونا چاہیے۔ اگر نہیں (مثال کے طور پرampخود دستخط شدہ سرٹیفکیٹس کے ساتھ)، پھر مناسب عوامی سرٹیفکیٹ Algo ڈیوائس پر اپ لوڈ کیا جا سکتا ہے جیسا کہ اس دستاویز میں پہلے بیان کیا گیا ہے۔

ALGO TLS ٹرانسپورٹ لیئر سیکیورٹی - شکل 4

TLS ورژن 1.2
فرم ویئر v3.1 اور اس سے اوپر چلانے والے Algo آلات TLS v1.1 اور v1.2 کو سپورٹ کرتے ہیں۔ 'فورس سیکیور TLS
TLSv1.2 استعمال کرنے کے لیے TLS کنکشن کی ضرورت کے لیے ورژن' کا اختیار استعمال کیا جا سکتا ہے۔ اس خصوصیت کو فعال کرنے کے لیے:

  • ایڈوانسڈ سیٹنگز > ایڈوانسڈ ایس آئی پی پر جائیں۔
  • 'فورس سیکیور ٹی ایل ایس ورژن' کو فعال کے طور پر سیٹ کریں اور محفوظ کریں۔
    نوٹ: یہ اختیار v4.0+ میں ہٹا دیا گیا ہے کیونکہ TLS v1.2 بطور ڈیفالٹ استعمال ہوتا ہے۔

الگو سرٹیفکیٹس ڈاؤن لوڈ کریں۔

Algo CA سرٹیفکیٹ چین کو ڈاؤن لوڈ کرنے کے لیے ذیل میں لنکس کا ایک سیٹ ہے۔ دی files کو SIP سرور یا پروویژننگ سرور پر انسٹال کیا جا سکتا ہے تاکہ ان سرورز Algo SIP اینڈ پوائنٹس پر ڈیوائس سرٹیفکیٹس کی تصدیق کر سکیں، اور اس طرح باہمی توثیق کی اجازت دیں:
الگو روٹ CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
الگو انٹرمیڈیٹ CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
الگو پبلک سرٹیفکیٹ: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

خرابی کا سراغ لگانا

اگر TLS ہینڈ شیک مکمل نہیں ہو رہا ہے، تو براہ کرم تجزیہ کے لیے Algo سپورٹ کو ایک پیکٹ کیپچر بھیجیں۔ ایسا کرنے کے لیے آپ کو ٹریفک کا عکس دینا پڑے گا، پورٹ سے Algo اینڈ پوائنٹ نیٹ ورک سوئچ پر منسلک ہے، واپس کمپیوٹر پر۔

الگو کمیونیکیشن پروڈکٹس لمیٹڈ
4500 بیڈی سینٹ برنبی بی سی کینیڈا V5J 5L2۔
www.algosolutions.com
604-454-3792
support@algosolutions.com۔

دستاویزات / وسائل

ALGO TLS ٹرانسپورٹ لیئر سیکیورٹی [پی ڈی ایف] ہدایات
TLS، ٹرانسپورٹ لیئر سیکیورٹی، لیئر سیکیورٹی، TLS، ٹرانسپورٹ لیئر

حوالہ جات

متعلقہ پوسٹس

ایک تبصرہ چھوڑیں۔

آپ کا ای میل پتہ شائع نہیں کیا جائے گا۔ مطلوبہ فیلڈز نشان زد ہیں۔ *