वितरित फ़ायरवॉल: Difference between revisions

From Vigyanwiki
(Created page with "{{Short description|Type of computer firewall}} एक वितरित फ़ायरवॉल एक नेटवर्क के होस्ट (नेटवर्क...")
 
No edit summary
Line 1: Line 1:
{{Short description|Type of computer firewall}}
{{Short description|Type of computer firewall}}
एक वितरित फ़ायरवॉल एक नेटवर्क के [[होस्ट (नेटवर्क)]] मशीन पर एक सुरक्षा अनुप्रयोग है जो अवांछित घुसपैठ के खिलाफ अपने उद्यम के नेटवर्क के सर्वर और उपयोगकर्ता मशीनों की सुरक्षा करता है। एक [[फ़ायरवॉल (कंप्यूटिंग)]] एक सिस्टम या सिस्टम का समूह ([[राउटर (कंप्यूटिंग)]], [[प्रॉक्सी सर्वर]], या [[गेटवे (दूरसंचार)]]) है जो दो [[ संगणक संजाल ]] के बीच एक्सेस कंट्रोल को लागू करने के लिए सुरक्षा नियमों के एक सेट को लागू करता है ताकि अंदर के नेटवर्क को बाहर से सुरक्षित किया जा सके। नेटवर्क। वे सभी ट्रैफ़िक को उसके मूल-इंटरनेट या आंतरिक नेटवर्क की परवाह किए बिना फ़िल्टर करते हैं। आमतौर पर पारंपरिक फ़ायरवॉल के पीछे तैनात, वे रक्षा की दूसरी परत प्रदान करते हैं। वितरित फ़ायरवॉल के लाभ सुरक्षा नियमों ([[सुरक्षा नीति]]) को परिभाषित करने और उद्यम-व्यापी आधार पर धकेलने की अनुमति देते हैं, जो बड़े उद्यमों के लिए आवश्यक है।
'''डिस्ट्रिब्यूटेड फ़ायरवॉल''' एक नेटवर्क के [[होस्ट (नेटवर्क)]] मशीन पर एक सुरक्षा एप्लीकेशन है जो अवांछित आक्षेप के विपरीत अपने एंटरप्राइस के नेटवर्क के सर्वर और उपयोगकर्ता मशीनों की सुरक्षा करता है। एक [[फ़ायरवॉल (कंप्यूटिंग)]] एक सिस्टम या सिस्टम का समूह [[राउटर (कंप्यूटिंग)]], [[प्रॉक्सी सर्वर]], या [[गेटवे (दूरसंचार)]] है है जो "बाहरी" नेटवर्क से "अंदर" नेटवर्क की सुरक्षा के लिए दो नेटवर्क के बीच अभिगम नियंत्रण प्रयुक्त करने के लिए सुरक्षा नियमों का एक सेट प्रयुक्त करता है। वे सभी ट्रैफ़िक को उसके मूल-इंटरनेट या आंतरिक नेटवर्क के ध्यान किए बिना फ़िल्टर करते हैं। सामान्य रूप से पारंपरिक फ़ायरवॉल के पीछे परिनियोजित, है। वे सुरक्षा की दूसरी परत प्रदान करते हैं। डिस्ट्रिब्यूटेड फ़ायरवॉल के लाभ सुरक्षा नियमों ([[सुरक्षा नीति]]) को परिभाषित करने और एंटरप्राइस-व्यापी आधार पर पुश की स्वीकृति देते हैं, जो बड़े एंटरप्राइस के लिए आवश्यक है।


== बेसिक वर्किंग ==
== मौलिक कार्य ==


वितरित फ़ायरवॉल अक्सर [[कर्नेल (ऑपरेटिंग सिस्टम)]]|कर्नेल-मोड अनुप्रयोग होते हैं जो ऑपरेटिंग सिस्टम में OSI मॉडल के नीचे स्थित होते हैं। वे सभी ट्रैफ़िक को उसके मूल-इंटरनेट या आंतरिक नेटवर्क की परवाह किए बिना फ़िल्टर करते हैं। वे इंटरनेट और आंतरिक नेटवर्क दोनों को अमित्र मानते हैं। वे अलग-अलग मशीन की उसी तरह रक्षा करते हैं जैसे कि परिधि फ़ायरवॉल समग्र नेटवर्क की रक्षा करता है। वितरित फ़ायरवॉल फ़ंक्शन तीन धारणाओं पर आधारित है:
डिस्ट्रिब्यूटेड फ़ायरवॉल प्रायः [[कर्नेल (ऑपरेटिंग सिस्टम)|(ऑपरेटिंग सिस्टम)]] कर्नेल-मोड एप्लीकेशन होते हैं जो ऑपरेटिंग सिस्टम में ओएसआई मॉडल के नीचे स्थित होते हैं। वे सभी ट्रैफ़िक को उसके मूल-इंटरनेट या आंतरिक नेटवर्क की ध्यान किए बिना फ़िल्टर करते हैं। वे इंटरनेट और आंतरिक नेटवर्क दोनों को प्रतिकूल मानते हैं। वे अलग-अलग मशीन की उसी तरह सुरक्षा करते हैं जैसे कि पेरीमीटर फ़ायरवॉल समग्र नेटवर्क की सुरक्षा करता है। डिस्ट्रिब्यूटेड फ़ायरवॉल फ़ंक्शन तीन धारणाओं पर आधारित है:


* एक नीति भाषा जो बताती है कि किस प्रकार के कनेक्शन की अनुमति है या निषिद्ध है,
* एक नीति भाषा जो बताती है कि किस प्रकार के संयोजन की स्वीकृति है या निषिद्ध है,
* Microsoft के [[Microsoft समापन बिंदु कॉन्फ़िगरेशन प्रबंधक]] या ASD जैसे कई सिस्टम प्रबंधन उपकरण, और
* माइक्रोसॉफ्ट के [[Microsoft समापन बिंदु कॉन्फ़िगरेशन प्रबंधक|माइक्रोसॉफ्ट समापन बिंदु कॉन्फ़िगरेशन प्रबंधक]] या एएसडी जैसे कई सिस्टम प्रबंधन उपकरण, और
* IPSEC, [[इंटरनेट प्रोटोकॉल]] (TCP, UDP, आदि) के लिए नेटवर्क-स्तरीय एन्क्रिप्शन तंत्र।
* इंटरनेट प्रोटोकॉल सुरक्षा, [[इंटरनेट प्रोटोकॉल]] (टीसीपी, यूडीपी, आदि) के लिए नेटवर्क-स्तरीय एन्क्रिप्शन तंत्र होता है।


मूल विचार सरल है। एक संकलक नीति भाषा को कुछ आंतरिक प्रारूप में अनुवादित करता है। सिस्टम प्रबंधन सॉफ़्टवेयर इस नीति फ़ाइल को उन सभी होस्ट में वितरित करता है जो फ़ायरवॉल द्वारा सुरक्षित हैं। और प्रत्येक प्रेषक की नीति और क्रिप्टोग्राफ़िक रूप से सत्यापित पहचान दोनों के अनुसार आने वाले पैकेट को प्रत्येक अंदर के होस्ट द्वारा स्वीकार या अस्वीकार कर दिया जाता है।
मूल विचार सरल है। एक संकलक नीति भाषा को कुछ आंतरिक प्रारूप में अनुवादित करता है। सिस्टम प्रबंधन सॉफ़्टवेयर इस नीति फ़ाइल को उन सभी होस्ट में डिस्ट्रिब्यूटेड करता है जो फ़ायरवॉल द्वारा सुरक्षित हैं। और प्रत्येक प्रेषक की नीति और क्रिप्टोग्राफ़िक रूप से सत्यापित पहचान दोनों के अनुसार आने वाले पैकेट को प्रत्येक अंदर के होस्ट द्वारा स्वीकार या अस्वीकार कर दिया जाता है।


== सुविधाएँ ==
== सुविधाएँ ==


* नीतियों को डिजाइन करने के लिए एक केंद्रीय प्रबंधन प्रणाली,
* योजनाओ को डिजाइन करने के लिए एक केंद्रीय प्रबंधन प्रणाली,
* इन नीतियों को प्रसारित करने के लिए एक संचरण प्रणाली, और
* इन योजनाओ को प्रसारित करने के लिए एक संचरण प्रणाली, और
* क्लाइंट एंड पर डिज़ाइन की गई नीतियों का कार्यान्वयन।
* क्लाइंट एंड पर डिज़ाइन की गई योजनाओ का कार्यान्वयन।


=== केंद्रीय प्रबंधन प्रणाली ===
=== केंद्रीय प्रबंधन प्रणाली ===


वितरित फायरवॉल की सुरक्षा नीति को केंद्रीय रूप से परिभाषित किया गया है, और नीति का प्रवर्तन प्रत्येक समापन बिंदु (होस्ट, राउटर, आदि) पर होता है। केंद्रीकृत प्रबंधन सर्वर और अंतिम-उपयोगकर्ता मशीनों को पॉप्युलेट करने की क्षमता है, ताकि लगातार सुरक्षा को कॉन्फ़िगर और पुश किया जा सके। नीतियां, जो सीमित संसाधनों को अधिकतम करने में मदद करती हैं। रिपोर्ट एकत्र करने और अपडेट को केंद्रीय रूप से बनाए रखने की क्षमता वितरित सुरक्षा को व्यावहारिक बनाती है। वितरित फ़ायरवॉल की यह सुविधा दो तरह से मदद करती है। सबसे पहले, रिमोट एंड-यूज़र मशीनों को सुरक्षित किया जा सकता है। दूसरे, वे नेटवर्क पर महत्वपूर्ण सर्वरों को सुरक्षित करते हैं जो दुर्भावनापूर्ण कोड द्वारा घुसपैठ को रोकते हैं और संरक्षित सर्वर को विस्तारित हमलों के लिए लॉन्चपैड के रूप में उपयोग नहीं करने देते हैं।
डिस्ट्रिब्यूटेड फायरवॉल की सुरक्षा नीति को केंद्रीय रूप से परिभाषित किया गया है, और नीति का प्रवर्तन प्रत्येक समापन बिंदु (होस्ट, राउटर, आदि) पर होता है। केंद्रीकृत प्रबंधन सर्वर और अंतिम-उपयोगकर्ता मशीनों को पॉप्युलेट करने की क्षमता है, ताकि निरंतर सुरक्षा को कॉन्फ़िगर और पुश किया जा सके। नीतियां, जो सीमित संसाधनों को अधिकतम करने में सहायता करती हैं। रिपोर्ट एकत्र करने और अपडेट को केंद्रीय रूप से बनाए रखने की क्षमता डिस्ट्रिब्यूटेड सुरक्षा को व्यावहारिक बनाती है। डिस्ट्रिब्यूटेड फ़ायरवॉल की यह सुविधा दो तरह से सहायता करती है। सबसे पहले, दूरस्थ एंड-उपयोगकर्ता मशीनों को सुरक्षित किया जा सकता है। दूसरे, वे नेटवर्क पर महत्वपूर्ण सर्वरों को सुरक्षित करते हैं जो मेलिसियस कोड द्वारा आक्षेप को रोकते हैं और संरक्षित सर्वर को विस्तारित आक्षेपों के लिए लॉन्चपैड के रूप में उपयोग नहीं करने देते हैं।


=== पॉलिसी ट्रांसमिशन सिस्टम ===
=== नीति संचरण प्रणाली ===


नीति, या सुरक्षा नियमों का वितरण भिन्न हो सकता है और कार्यान्वयन के साथ बदलता रहता है। इसे या तो सीधे एंड सिस्टम में धकेला जा सकता है, या आवश्यकता पड़ने पर खींचा जा सकता है।
नीति, या सुरक्षा नियमों का वितरण भिन्न हो सकता है और कार्यान्वयन के साथ बदलता रहता है। इसे या तो सीधे एंड सिस्टम में पुल किया जा सकता है, या आवश्यकता पड़ने पर पुश किया जा सकता है।


==== तकनीक खींचो ====
==== पुल तकनीक ====


पुल तकनीक में, मेजबान, बूट करते समय, केंद्रीय प्रबंधन सर्वर को यह जाँचने के लिए सूचित करते हैं कि केंद्रीय प्रबंधन सर्वर चालू और सक्रिय है या नहीं। यह केंद्रीय प्रबंधन सर्वर के साथ पंजीकृत होता है और उन नीतियों का अनुरोध करता है जिन्हें इसे लागू करना चाहिए। केंद्रीय प्रबंधन सर्वर तब मेजबान को अपनी सुरक्षा नीतियां प्रदान करता है।
पुल तकनीक में, होस्ट, बूट करते समय, केंद्रीय प्रबंधन सर्वर को यह जाँचने के लिए सूचित करते हैं कि केंद्रीय प्रबंधन सर्वर प्रारंभ और सक्रिय है या नहीं है। यह केंद्रीय प्रबंधन सर्वर के साथ पंजीकृत होता है और उन योजनाओ का अनुरोध करता है जिन्हें इसे प्रयुक्त करना चाहिए। केंद्रीय प्रबंधन सर्वर तब होस्ट को अपनी सुरक्षा नीतियां प्रदान करता है।


==== पुश तकनीक ====
==== पुश तकनीक ====


पुश तकनीक का उपयोग तब किया जाता है जब नीतियों को नेटवर्क व्यवस्थापक द्वारा केंद्रीय-प्रबंधन की ओर से अपडेट किया जाता है, और होस्ट को तुरंत अपडेट करना होता है। यह पुश तकनीक यह सुनिश्चित करती है कि मेजबानों के पास हमेशा किसी भी समय अद्यतन नीतियां हों। नीति भाषा परिभाषित करती है कि नेटवर्क नीति डोमेन के किसी भी घटक पर कौन से इनबाउंड और आउटबाउंड कनेक्शन की अनुमति है, और नेटवर्क की किसी भी परत पर नीतिगत निर्णयों को प्रभावित कर सकती है, चाहे वे कुछ पैकेटों को अस्वीकार कर रहे हों या पास कर रहे हों या ओएसआई के अनुप्रयोग स्तर पर नीतियों को लागू कर रहे हों। ढेर।
पुश तकनीक का उपयोग तब किया जाता है जब योजनाओ को नेटवर्क व्यवस्थापक द्वारा केंद्रीय-प्रबंधन की ओर से अपडेट किया जाता है, और होस्ट को तुरंत अपडेट करना होता है। यह पुश तकनीक यह सुनिश्चित करती है कि होस्ट के पास सदैव किसी भी समय अपडेट नीतियां हों। नीति भाषा परिभाषित करती है कि नेटवर्क नीति डोमेन के किसी भी घटक पर कौन से इनबाउंड और आउटबाउंड संयोजन की स्वीकृति है, और नेटवर्क की किसी भी परत पर नीतिगत निर्णयों को प्रभावित कर सकती है, चाहे वे कुछ पैकेटों को अस्वीकार कर रहे हों या पास कर रहे हों या ओएसआई स्टैक के एप्लिकेशन स्तर पर नीतियां प्रयुक्त कर रहे हों।


=== होस्ट-एंड कार्यान्वयन ===
=== होस्ट-एंड कार्यान्वयन ===


पारंपरिक फ़ायरवॉल कार्य करने के लिए प्रवेश बिंदुओं को नियंत्रित करने पर भरोसा करते हैं, या अधिक सटीक रूप से, इस धारणा पर भरोसा करते हैं कि प्रवेश बिंदु के एक तरफ हर कोई - फ़ायरवॉल - पर भरोसा किया जाना है, और दूसरी तरफ कोई भी व्यक्ति, कम से कम संभावित रूप से, एक दुश्मन। वितरित फायरवॉल अवांछित घुसपैठ को रोकने के लिए अन्य प्रकार के यातायात को प्रतिबंधित करने वाली मशीन में केवल आवश्यक यातायात को सक्षम करके काम करते हैं। केंद्रीय प्रबंधन सर्वर से प्रेषित सुरक्षा नीतियों को भी होस्ट द्वारा लागू किया जाना है। वितरित फ़ायरवॉल का होस्ट-एंड भाग नीतियों के कार्यान्वयन को नियंत्रित करने के लिए नेटवर्क व्यवस्थापक के लिए कोई प्रशासनिक नियंत्रण प्रदान नहीं करता है। होस्ट अपने द्वारा लागू किए गए सुरक्षा नियमों के आधार पर ट्रैफ़िक की अनुमति देता है।
पारंपरिक फ़ायरवॉल कार्य करने के लिए प्रवेश बिंदुओं को नियंत्रित करने पर निर्भर करते हैं, या अधिक परिशुद्ध रूप से, इस धारणा पर निर्भर करते हैं कि प्रवेश बिंदु के एक तरफ हर कोई - फ़ायरवॉल - पर निर्भर किया जाना है, और दूसरी तरफ कोई भी व्यक्ति कम से कम संभावित रूप से एक विरोधी है। डिस्ट्रिब्यूटेड फायरवॉल अवांछित आक्षेप को प्रतिबंधित करने के लिए अन्य प्रकार के ट्रैफिक को प्रतिबंधित करने वाली मशीन में केवल आवश्यक ट्रैफिक को सक्षम करके काम करते हैं। केंद्रीय प्रबंधन सर्वर से प्रेषित सुरक्षा योजनाओ को भी होस्ट द्वारा प्रयुक्त किया जाना है। डिस्ट्रिब्यूटेड फ़ायरवॉल का होस्ट-एंड भाग योजनाओ के कार्यान्वयन को नियंत्रित करने के लिए नेटवर्क व्यवस्थापक के लिए कोई प्रशासनिक नियंत्रण प्रदान नहीं करता है। होस्ट अपने द्वारा प्रयुक्त किए गए सुरक्षा नियमों के आधार पर ट्रैफ़िक की स्वीकृति देता है।


=== [[एंड-टू-एंड एन्क्रिप्शन]] ===
=== [[एंड-टू-एंड एन्क्रिप्शन]] ===


एंड-टू-एंड एन्क्रिप्शन पारंपरिक फ़ायरवॉल के लिए एक खतरा है, क्योंकि फ़ायरवॉल में आम तौर पर देखने के लिए आवश्यक कुंजियाँ नहीं होती हैं
एंड-टू-एंड एन्क्रिप्शन पारंपरिक फायरवॉल के लिए खतरा है, क्योंकि फ़ायरवॉल में सामान्य रूप से एन्क्रिप्शन के माध्यम से देखने के लिए आवश्यक कुंजियाँ नहीं होती हैं। वितरित फ़ायरवॉल कार्यान्वयन तकनीक का उपयोग प्रारंभ से अंत तक इंटरनेट प्रोटोकॉल सुरक्षा करते हैं।<ref name="Bellovin">Bellovin, M. Steven "Distributed Firewalls", login, November 1999, pp.&nbsp;39–47  https://www.cs.columbia.edu/~smb/papers/distfw.pdf</ref> इंटरनेट प्रोटोकॉल सुरक्षा एक [[क्रिप्टोग्राफिक प्रोटोकॉल]] सूट है, जिसे हाल ही में [[इंटरनेट इंजीनियरिंग टास्क फोर्स|इंटरनेट अभियांत्रिक कार्य दल]] द्वारा मानकीकृत किया गया है, जो पैकेट गोपनीयता, प्रमाणीकरण, डेटा शुद्धता, रीप्ले सुरक्षा और स्वचालित कुंजी प्रबंधन जैसी नेटवर्क-परत सुरक्षा सेवाएँ प्रदान करता है। यह फ़ायरवॉल परिनियोजन का एक विरूपण प्रमाण है: आंतरिक ट्रैफ़िक जिसे फ़ायरवॉल द्वारा नहीं देखा जाता है, उसे फ़िल्टर नहीं किया जा सकता है; परिणामस्वरूप, आंतरिक उपयोगकर्ता अन्य उपयोगकर्ताओं और नेटवर्क पर फ़ायरवॉल के बिना अन्तःक्षेप करने में सक्षम होने पर आक्षेप कर सकते हैं। बड़े नेटवर्क में आज बड़ी संख्या में प्रवेश बिंदु होते हैं। इसके अतिरिक्त, कई साइटें कुछ प्रकार के विभागीकरण प्रदान करने के लिए आंतरिक फायरवॉल का उपयोग करती हैं। यह व्यावहारिक दृष्टिकोण से और नीतिगत स्थिरता के संबंध में प्रशासन को विशेष रूप से कठिन बना देता है, क्योंकि कोई एकीकृत और व्यापक प्रबंधन तंत्र सम्मिलित नहीं है। एंड-टू-एंड इंटरनेट प्रोटोकॉल सुरक्षा में, प्रत्येक आने वाला [[नेटवर्क पैकेट]] एक प्राधिकरण प्रमाणपत्र के साथ जुड़ा हुआ है; उस पैकेट को दी गई पहुँच उस प्रमाणपत्र को दिए गए अधिकारों द्वारा निर्धारित की जाती है।<ref name="Bellovin"/> यदि प्रमाणपत्र का नाम अलग है, या कोई इंटरनेट प्रोटोकॉल सुरक्षा सुरक्षा नहीं है, तो पैकेट को अनधिकृत के रूप में छोड़ दिया जाएगा। यह देखते हुए कि एक प्रबल डिस्ट्रिब्यूटेड फ़ायरवॉल में अभिगम अधिकार प्रमाणपत्र, पहुँच से परिबद्ध हैं स्वीकृत प्रमाणपत्रों के सेट को बदलकर अधिकारों को सीमित किया जा सकता है। केवल नए प्रमाणपत्र वाले होस्ट को ही अंदर माना जाता है; यदि परिवर्तन संस्थापित नहीं है, तो मशीन के पास कम विशेषाधिकार होंगे।<ref name="Bellovin"/>
कूटलेखन। वितरित फ़ायरवॉल एंड-टू-एंड एन्क्रिप्शन | एंड-टू-एंड [[IPsec]] कार्यान्वयन तकनीक का उपयोग करते हैं।<ref name="Bellovin">Bellovin, M. Steven "Distributed Firewalls", login, November 1999, pp.&nbsp;39–47  https://www.cs.columbia.edu/~smb/papers/distfw.pdf</ref> IPSEC एक [[क्रिप्टोग्राफिक प्रोटोकॉल]] सूट है, जिसे हाल ही में [[इंटरनेट इंजीनियरिंग टास्क फोर्स]] द्वारा मानकीकृत किया गया है, जो पैकेट गोपनीयता, प्रमाणीकरण, डेटा अखंडता, रीप्ले सुरक्षा और स्वचालित कुंजी प्रबंधन जैसी नेटवर्क-परत सुरक्षा सेवाएँ प्रदान करता है। यह फ़ायरवॉल परिनियोजन का एक विरूपण साक्ष्य है: आंतरिक ट्रैफ़िक जिसे फ़ायरवॉल द्वारा नहीं देखा जाता है, उसे फ़िल्टर नहीं किया जा सकता है; परिणामस्वरूप, आंतरिक उपयोगकर्ता अन्य उपयोगकर्ताओं और नेटवर्क पर फ़ायरवॉल के बिना हस्तक्षेप करने में सक्षम होने पर हमले कर सकते हैं। बड़े नेटवर्क में आज बड़ी संख्या में प्रवेश बिंदु होते हैं। इसके अलावा, कई साइटें कुछ प्रकार के कंपार्टमेंटलाइज़ेशन प्रदान करने के लिए आंतरिक फायरवॉल का उपयोग करती हैं। यह व्यावहारिक दृष्टिकोण से और नीतिगत स्थिरता के संबंध में प्रशासन को विशेष रूप से कठिन बना देता है, क्योंकि कोई एकीकृत और व्यापक प्रबंधन तंत्र मौजूद नहीं है। एंड-टू-एंड IPSEC में, प्रत्येक आने वाला [[नेटवर्क पैकेट]] एक प्राधिकरण प्रमाणपत्र के साथ जुड़ा हुआ है; उस पैकेट को दी गई पहुँच उस प्रमाणपत्र को दिए गए अधिकारों द्वारा निर्धारित की जाती है।<ref name="Bellovin"/>यदि प्रमाणपत्र का नाम अलग है, या कोई IPSEC सुरक्षा नहीं है, तो पैकेट को अनधिकृत के रूप में छोड़ दिया जाएगा। यह देखते हुए कि एक मजबूत वितरित फ़ायरवॉल में पहुँच अधिकार प्रमाणपत्र, पहुँच से बंधे हैं
स्वीकृत प्रमाणपत्रों के सेट को बदलकर अधिकारों को सीमित किया जा सकता है। केवल नए प्रमाणपत्र वाले होस्ट को ही अंदर माना जाता है; यदि परिवर्तन संस्थापित नहीं है, तो मशीन के पास कम विशेषाधिकार होंगे।<ref name="Bellovin"/>




=== [[नेटवर्क टोपोलॉजी]] ===
=== [[नेटवर्क टोपोलॉजी]] ===


वितरित फ़ायरवॉल उन मेजबानों की रक्षा कर सकते हैं जो नेटवर्क टोपोलॉजी सीमा के भीतर नहीं हैं। सिस्टम प्रबंधन पैकेज का उपयोग अलग-अलग मशीनों को प्रशासित करने के लिए किया जाता है, इसलिए सुरक्षा प्रशासक मेजबान पहचानकर्ताओं के संदर्भ में सुरक्षा नीति को परिभाषित करते हैं और प्रत्येक व्यक्तिगत मेजबान द्वारा नीति लागू की जा सकती है। पारंपरिक फ़ायरवॉल केवल उस ट्रैफ़िक पर एक नीति लागू कर सकता है जो इसे पार करता है, इसलिए संरक्षित नेटवर्क में नोड्स के बीच ट्रैफ़िक का आदान-प्रदान नियंत्रित नहीं किया जा सकता है, जो एक हमलावर देता है जो पहले से ही एक अंदरूनी सूत्र है या किसी तरह फ़ायरवॉल को बायपास कर सकता है और एक नया, अनधिकृत प्रवेश बिंदु स्थापित कर सकता है। व्यवस्थापक के ज्ञान और सहमति के बिना नेटवर्क। पारंपरिक फ़ायरवॉल के लिए, [[RealAudio]] जैसे प्रोटोकॉल को प्रोसेस करना मुश्किल होता है, क्योंकि पारंपरिक फ़ायरवॉल में निश्चित ज्ञान का अभाव होता है जो एंडपॉइंट सुरक्षा पर आसानी से उपलब्ध होता है।<ref name="Bellovin"/>बढ़ती लाइन गति और अधिक संगणना-गहन प्रोटोकॉल के कारण जो एक फ़ायरवॉल को समर्थन देना चाहिए, पारंपरिक फ़ायरवॉल भीड़ बिंदु बन जाते हैं। प्रसंस्करण और नेटवर्किंग गति के बीच यह अंतर बढ़ने की संभावना है, क्योंकि जैसे-जैसे कंप्यूटर (और इसलिए फायरवॉल) तेज होते जा रहे हैं, अधिक जटिल प्रोटोकॉल का संयोजन और डेटा की मात्रा में जबरदस्त वृद्धि जो फ़ायरवॉल के माध्यम से पारित की जानी चाहिए और होने की संभावना है मूर के नियम को पार करना जारी रखेगा।
डिस्ट्रिब्यूटेड फ़ायरवॉल उन होस्ट की सुरक्षा कर सकते हैं जो नेटवर्क टोपोलॉजी सीमा के अंदर नहीं हैं। सिस्टम प्रबंधन पैकेज का उपयोग अलग-अलग मशीनों को प्रशासित करने के लिए किया जाता है, इसलिए सुरक्षा प्रशासक होस्ट पहचानकर्ताओं के संदर्भ में सुरक्षा नीति को परिभाषित करते हैं और प्रत्येक व्यक्तिगत होस्ट द्वारा नीति प्रयुक्त की जा सकती है। पारंपरिक फ़ायरवॉल केवल उस ट्रैफ़िक पर एक नीति प्रयुक्त कर सकता है जो इसे पार करता है, इसलिए संरक्षित नेटवर्क में नोड्स के बीच ट्रैफ़िक का आदान-प्रदान नियंत्रित नहीं किया जा सकता है, जो एक आक्षेपक देता है जो पहले से ही एक अनधिकृत सूत्र है या किसी तरह फ़ायरवॉल को बायपास कर सकता है और एक नया, अनधिकृत प्रवेश बिंदु स्थापित कर सकता है। व्यवस्थापक के ज्ञान और सहमति के बिना नेटवर्क पारंपरिक फ़ायरवॉल के लिए, वास्तविक ऑडियो जैसे प्रोटोकॉल को प्रोसेस करना कठिन होता है, क्योंकि पारंपरिक फ़ायरवॉल में निश्चित ज्ञान का अभाव होता है जो एंडपॉइंट सुरक्षा पर आसानी से उपलब्ध होता है।<ref name="Bellovin"/> बढ़ती लाइन गति और अधिक संगणना-गहन प्रोटोकॉल के कारण जो एक फ़ायरवॉल को समर्थन देना चाहिए, पारंपरिक फ़ायरवॉल अत्यधिक बिंदु बन जाते हैं। प्रसंस्करण और नेटवर्किंग गति के बीच यह अंतर बढ़ने की संभावना है, क्योंकि जैसे-जैसे कंप्यूटर (और इसलिए फायरवॉल) तेजी से बढ़ रहे हैं, अधिक जटिल प्रोटोकॉल का संयोजन और फ़ायरवॉल के माध्यम से पारित होने वाले डेटा की मात्रा में अत्यधिक वृद्धि हुई है और संभवतः मूर के नियम से आगे बढ़ना जारी रहेगा।


== प्रभावशीलता ==
== प्रभावशीलता ==


=== सर्विस एक्सपोजर और पोर्ट स्कैनिंग ===
=== सेवा जोखिम और पोर्ट क्रमवीक्षण ===


वितरित फ़ायरवॉल अनुपयुक्त सेवाओं के लिए कनेक्शन अनुरोधों को अस्वीकार करने में उत्कृष्ट हैं। वे आम तौर पर ऐसे अनुरोधों को होस्ट पर छोड़ देते हैं, लेकिन वैकल्पिक रूप से, वे बदले में एक प्रतिक्रिया वापस भेज सकते हैं, जिसमें अनुरोध किया गया है कि कनेक्शन को प्रमाणित किया जाए, जो बदले में होस्ट के अस्तित्व की सूचना देता है। शुद्ध नेटवर्क पैकेट फिल्टर पर निर्मित पारंपरिक फायरवॉल के विपरीत, जो कुछ पोर्ट स्कैनर को अस्वीकार नहीं कर सकता चुपके स्कैन बहुत अच्छी तरह से, वितरित फ़ायरवॉल एक पोर्ट स्कैनर से पैकेट को फिर से इकट्ठा करेंगे और फिर इसे अस्वीकार कर देंगे।
डिस्ट्रिब्यूटेड फ़ायरवॉल अनुपयुक्त सेवाओं के लिए संयोजन अनुरोधों को अस्वीकार करने में उत्कृष्ट हैं। वे सामान्य रूप से ऐसे अनुरोधों को होस्ट पर छोड़ देते हैं, लेकिन वैकल्पिक रूप से, वे बदले में एक प्रतिक्रिया वापस प्रेषित कर सकते हैं, जिसमें अनुरोध किया गया है कि संयोजन को प्रमाणित किया जाए, जो बदले में होस्ट के अस्तित्व की सूचना देता है। शुद्ध पैकेट फिल्टर पर बने पारंपरिक फायरवॉल के विपरीत, जो कुछ "स्टील्थ स्कैन" को बहुत अच्छी तरह से अस्वीकार नहीं कर सकते, वितरित फायरवॉल एक पोर्ट स्कैनर से पैकेट को पुनः जोड़ेंगे और फिर इसे अस्वीकार कर देंगे।


=== [[आईपी ​​पता]] स्पूफिंग ===
=== [[आईपी ​​पता|आईपी एड्रैस]] स्पूफिंग ===


इन हमलों को नेटवर्क नीति डोमेन के अंदर से पैकेटों को हटाने के लिए संबंधित नियमों के साथ वितरित फायरवॉल द्वारा होस्ट पर निपटाया जा सकता है। वितरित फ़ायरवॉल जाली आईपी पते के आधार पर हमलों को रोकने के लिए [[क्रिप्टोग्राफी]] तंत्र का उपयोग कर सकते हैं, इस धारणा के तहत कि सभी आवश्यक प्रमाण-पत्रों से युक्त विश्वसनीय [[सूचना भंडार]] अपने आप में समझौता करने के अधीन नहीं है।
इन आक्षेपों को नेटवर्क नीति डोमेन के अंदर से पैकेटों को हटाने के लिए संबंधित नियमों के साथ डिस्ट्रिब्यूटेड फायरवॉल द्वारा होस्ट पर निर्धारित किया जा सकता है। डिस्ट्रिब्यूटेड फ़ायरवॉल जाली आईपी एड्रैस के आधार पर आक्षेपों को प्रतिबंधित करने के लिए [[क्रिप्टोग्राफी]] तंत्र का उपयोग कर सकते हैं, इस धारणा के अंतर्गत कि सभी आवश्यक प्रमाण-पत्रों से युक्त विश्वसनीय [[सूचना भंडार]] स्वयं में समझौता करने के अधीन नहीं है।


=== दुर्भावनापूर्ण सॉफ़्टवेयर ===
=== मेलिसियस सॉफ़्टवेयर ===


वितरित फ़ायरवॉल की रूपरेखा और नीति भाषा, जो अनुप्रयोग स्तर पर नीतिगत निर्णय लेने की अनुमति देती है, अनुप्रयोग में रहने वाले विभिन्न प्रकार के खतरों और संचार ट्रैफ़िक के मध्यवर्ती स्तर को दरकिनार कर सकती है। जटिल, संसाधन-खपत स्थितियों में जहां [[जावा (प्रोग्रामिंग भाषा)]] जैसे कोड पर निर्णय लिया जाना चाहिए, वितरित फ़ायरवॉल इस शर्त के तहत खतरों को कम कर सकते हैं कि ऐसे संचार पैकेट की सामग्री को नीति सत्यापन तंत्र द्वारा अर्थपूर्ण रूप से व्याख्या किया जा सकता है। पैकेटों का [[स्टेटफुल फ़ायरवॉल]] इन आवश्यकताओं के लिए आसानी से अनुकूलित होता है और निर्णय लेने में महीन [[ग्रैन्युलैरिटी (समानांतर कंप्यूटिंग)]] की अनुमति देता है। वितरित फ़ायरवॉल के नीति प्रवर्तन से भी समझौता नहीं किया जाता है जब दुर्भावनापूर्ण कोड सामग्री पूरी तरह से आभासी निजी नेटवर्क के उपयोग से प्रच्छन्न होती है और पारंपरिक फ़ायरवॉल के विपरीत, नेटवर्क परिधि पर स्क्रीनिंग यूनिट के लिए संचार ट्रैफ़िक को बाधित करती है।
डिस्ट्रिब्यूटेड फ़ायरवॉल की रूपरेखा और नीति भाषा, जो एप्लीकेशन स्तर पर नीतिगत निर्णय लेने की स्वीकृति कर देती है, एप्लीकेशन में रहने वाले विभिन्न प्रकार के जोखिमों और संचार ट्रैफ़िक के मध्यवर्ती स्तर को अलग कर सकती है। जटिल, संसाधन-क्षय स्थितियों में जहां [[जावा (प्रोग्रामिंग भाषा)]] जैसे कोड पर निर्णय लिया जाना चाहिए, डिस्ट्रिब्यूटेड फ़ायरवॉल इस शर्त के अंतर्गत जोखिमों को कम कर सकते हैं कि ऐसे संचार पैकेट की वस्तु को नीति सत्यापन तंत्र द्वारा अर्थपूर्ण रूप से व्याख्या किया जा सकता है। पैकेटों का [[स्टेटफुल फ़ायरवॉल]] इन आवश्यकताओं के लिए आसानी से अनुकूलित होता है और निर्णय लेने में सूक्ष्म [[ग्रैन्युलैरिटी (समानांतर कंप्यूटिंग)|ग्रैन्युलैरिटी (पैरेलेल कंप्यूटिंग)]] की स्वीकृति देता है। डिस्ट्रिब्यूटेड फ़ायरवॉल के नीति प्रवर्तन से भी समझौता नहीं किया जाता है जब मेलिसियस कोड वस्तु पूरी तरह से आभासी निजी नेटवर्क के उपयोग से प्रच्छन्न होती है और पारंपरिक फ़ायरवॉल के विपरीत, नेटवर्क पेरीमीटर पर स्क्रीनिंग यूनिट के लिए संचार ट्रैफ़िक को बाधित करती है।


=== घुसपैठ का पता लगाना ===
=== आक्षेप का पता लगाना ===


वितरित फ़ायरवॉल घुसपैठ के प्रयास का पता लगा सकते हैं, लेकिन जांच संग्रह में कठिनाई हो सकती है। एक नेटवर्क में प्रत्येक व्यक्तिगत होस्ट को जांच पर ध्यान देना होता है और प्रसंस्करण और सहसंबंध के लिए उन्हें कुछ केंद्रीय स्थान पर अग्रेषित करना होता है। पहली समस्या कठिन नहीं है; कई मेजबान पहले से ही ऐसे प्रयासों को लॉग कर चुके हैं। संग्रह अधिक समस्याग्रस्त है, विशेष रूप से केंद्रीय साइट से खराब कनेक्टिविटी के समय। प्रभावी रूप से समन्वित हमलों का जोखिम भी है, जिससे केंद्रीय मशीन के खिलाफ सेवा से इनकार किया जा सकता है।
डिस्ट्रिब्यूटेड फ़ायरवॉल आक्षेप के प्रयास का पता लगा सकते हैं, लेकिन जांच संग्रह में कठिनाई हो सकती है। एक नेटवर्क में प्रत्येक व्यक्तिगत होस्ट को जांच पर ध्यान देना होता है और प्रसंस्करण और सहसंबंध के लिए उन्हें कुछ केंद्रीय स्थान पर अग्रेषित करना होता है। पहली समस्या कठिन नहीं है; कई होस्ट पहले से ही ऐसे प्रयासों को लॉग कर चुके हैं। संग्रह अधिक समस्याग्रस्त है, विशेष रूप से केंद्रीय स्थल से विकृत संयोजन के समय होती है। प्रभावी रूप से समन्वित आक्षेपों का जोखिम भी है, जिससे केंद्रीय मशीन के विपरीत सेवा से अस्वीकृत किया जा सकता है।


=== अंदरूनी हमला ===
=== अनधिकृत आक्षेप ===


टोपोलॉजिकल बाधाओं पर एक वितरित फ़ायरवॉल की स्वतंत्रता नीतियों के प्रवर्तन का समर्थन करती है, चाहे मेजबान समग्र नीति डोमेन के सदस्य हों या बाहरी। वे अपने निर्णयों को प्रमाणीकरण तंत्र पर आधारित करते हैं जो नेटवर्क के लेआउट की अंतर्निहित विशेषताएं नहीं हैं। इसके अलावा, एक वैध उपयोगकर्ता या घुसपैठिए द्वारा एक समापन बिंदु का समझौता समग्र नेटवर्क को इस तरह से कमजोर नहीं करेगा जो सीधे अन्य मशीनों से समझौता करने की ओर ले जाता है, इस तथ्य को देखते हुए कि आभासी निजी नेटवर्क की तैनाती संचार यातायात के सूँघने वाले हमले को रोकती है जिसमें हमला मशीन शामिल नहीं है। लेकिन अंत-बिंदु पर ही, यह मानते हुए कि एक मशीन को एक विरोधी द्वारा कब्जा कर लिया गया है, इस निष्कर्ष पर पहुंचना चाहिए कि नीति प्रवर्तन तंत्र स्वयं ही टूट सकता है। एक बार सुरक्षा तंत्र त्रुटिपूर्ण होने के बाद इस मशीन पर बैकडोर की स्थापना काफी आसानी से की जा सकती है, और एक परिधि फ़ायरवॉल की कमी के साथ, कोई विश्वसनीय इकाई नहीं है जो समझौता किए गए होस्ट में प्रवेश करने या छोड़ने वाले मनमाने ट्रैफ़िक को रोक सके। इसके अतिरिक्त, उपकरण का उपयोग किया जा सकता है जो किसी अन्य एप्लिकेशन के संचार को टनलिंग करने की अनुमति देता है, और डिक्रिप्टिंग क्रेडेंशियल्स के उचित ज्ञान के बिना इसे रोका नहीं जा सकता है; इसके अलावा, इस तथ्य को देखते हुए कि एक हमले को सफलतापूर्वक किया गया है, मशीन के सत्यापन तंत्र पर अब और भरोसा नहीं किया जा सकता है।
सांंस्थितिक प्रतिबंध पर एक डिस्ट्रिब्यूटेड फ़ायरवॉल की स्वतंत्रता योजनाओ के प्रवर्तन का समर्थन करती है, फिर होस्ट समग्र नीति डोमेन के सदस्य हों या बाहरी हो। वे अपने निर्णयों को प्रमाणीकरण तंत्र पर आधारित करते हैं जो नेटवर्क के लेआउट की अंतर्निहित विशेषताएं नहीं हैं। इसके अतिरिक्त, एक वैध उपयोगकर्ता या आक्षेपक द्वारा एक समापन बिंदु का समझौता समग्र नेटवर्क को इस तरह से दुर्बल नहीं करेगा जो सीधे अन्य मशीनों से समझौता करने की ओर ले जाता है, इस तथ्य को देखते हुए कि आभासी निजी नेटवर्क की परिणियोजित संचार ट्रैफिक के खोजी आक्षेप को प्रतिबंधित करती है जिसमें आक्षेप मशीन सम्मिलित नहीं है। लेकिन अंत-बिंदु पर ही, यह मानते हुए कि एक मशीन को एक विरोधी द्वारा प्रगहण कर लिया गया है, इस निष्कर्ष पर पहुंचना चाहिए कि नीति प्रवर्तन तंत्र स्वयं ही नष्ट हो सकता है। एक बार सुरक्षा तंत्र त्रुटिपूर्ण होने के बाद इस मशीन पर बैकडोर की स्थापना अधिकतम आसानी से की जा सकती है, और एक पेरीमीटर फ़ायरवॉल की कमी के साथ, कोई विश्वसनीय इकाई नहीं है जो समझौता किए गए होस्ट में प्रवेश करने या छोड़ने वाले यादृच्छिक ट्रैफ़िक को रोक सके। इसके अतिरिक्त, उपकरण का उपयोग किया जा सकता है जो किसी अन्य एप्लिकेशन के संचार को टनलिंग करने की स्वीकृति देता है, और डिक्रिप्टिंग क्रेडेंशियल्स के उपयुक्त ज्ञान के बिना इसे रोका नहीं जा सकता है; इसके अतिरिक्त, इस तथ्य को देखते हुए कि एक आक्षेप को सफलतापूर्वक किया गया है, मशीन के सत्यापन तंत्र पर अब और विश्वास नहीं किया जा सकता है।


=== उपयोगकर्ता सहयोग ===
=== उपयोगकर्ता सहयोग ===


पहली नज़र में, वितरित फ़ायरवॉल की सबसे बड़ी कमजोरी उपयोगकर्ताओं द्वारा सहयोग की कमी के प्रति उनकी अधिक संवेदनशीलता है। वितरित फ़ायरवॉल उपयोगकर्ताओं के छोटे समूहों को स्थापित करना आसान बनाकर अंदरूनी लोगों द्वारा वास्तविक हमलों के खतरे को कम कर सकते हैं। इस प्रकार, कोई फ़ाइल सर्वर तक पहुंच को केवल उन उपयोगकर्ताओं तक सीमित कर सकता है जिन्हें इसकी आवश्यकता है, कंपनी के अंदर किसी को भी पहुंच देने के बजाय। यह नीतियों के आकस्मिक विध्वंस को रोकने के लिए कुछ प्रयास करने लायक भी है। नीतियों को डिजिटल रूप से हस्ताक्षरित किया जा सकता है, और एक अजीब-से-प्रतिस्थापन स्थान में बार-बार बदलती कुंजी द्वारा सत्यापित किया जा सकता है। अधिक कड़े सुरक्षा के लिए, नीति प्रवर्तन को छेड़छाड़-प्रतिरोधी नेटवर्क कार्ड में शामिल किया जा सकता है।
पहली नज़र में, डिस्ट्रिब्यूटेड फ़ायरवॉल की सबसे बड़ी दुर्बलता उपयोगकर्ताओं द्वारा सहयोग की कमी के प्रति उनकी अधिक संवेदनशीलता है। डिस्ट्रिब्यूटेड फ़ायरवॉल उपयोगकर्ताओं के छोटे समूहों को स्थापित करना आसान बनाकर द्वारा वास्तविक आक्षेपों के खतरे को कम कर सकते हैं। इस प्रकार, कोई फ़ाइल सर्वर तक पहुंच को केवल उन उपयोगकर्ताओं तक सीमित कर सकता है जिन्हें इसकी आवश्यकता है, कंपनी के अंदर किसी को भी अभिगम देने के अतिरिक्त होती है। यह योजनाओ के आकस्मिक विकृत को प्रतिबंधित करने के लिए कुछ प्रयास करने योग्य भी है। योजनाओ को डिजिटल रूप से हस्ताक्षरित किया जा सकता है, और एक अद्वितीय-से-प्रतिस्थापन स्थान में बार-बार बदलती कुंजी द्वारा सत्यापित किया जा सकता है। अधिक प्रबल सुरक्षा के लिए, नीति प्रवर्तन को विकृत-प्रतिरोधी नेटवर्क कार्ड में सम्मिलित किया जा सकता है।


== संदर्भ ==
== संदर्भ ==
Line 87: Line 85:


=== श्वेत पत्र और रिपोर्ट ===
=== श्वेत पत्र और रिपोर्ट ===
#डॉ। हैनकॉक, बिल होस्ट-रेजिडेंट फायरवॉल: नेटवर्क हमलों से विंडोज एनटी/2000 सर्वर और डेस्कटॉप का बचाव
#डॉ। हैनकॉक, बिल होस्ट-रेजिडेंट फायरवॉल: नेटवर्क आक्षेपों से विंडोज एनटी/2000 सर्वर और डेस्कटॉप का बचाव
#बेलोविन, एस.एम. और डब्ल्यू.आर. चेसविक, फायरवाल्स एंड इंटरनेट सिक्योरिटी: रिपेलिंग द विली हैकर, एडिसन-वेस्ले, 1994।
#बेलोविन, एस.एम. और डब्ल्यू.आर. चेसविक, फायरवाल्स एंड इंटरनेट सिक्योरिटी: रिपेलिंग द विली हैकर, एडिसन-वेस्ले, 1994।
#Ioannidis, S. और Keromytis, A.D., और Bellovin, S.M. और जे.एम. स्मिथ, इम्प्लीमेंटिंग ए डिस्ट्रीब्यूटेड फायरवॉल, प्रोसीडिंग्स ऑफ कंप्यूटर एंड कम्युनिकेशंस सिक्योरिटी (सीसीएस), पीपी. 190-199, नवंबर 2000, एथेंस, ग्रीस।
#Ioannidis, S. और Keromytis, A.D., और Bellovin, S.M. और जे.एम. स्मिथ, इम्प्लीमेंटिंग ए डिस्ट्रीब्यूटेड फायरवॉल, प्रोसीडिंग्स ऑफ कंप्यूटर एंड कम्युनिकेशंस सिक्योरिटी (सीसीएस), पीपी. 190-199, नवंबर 2000, एथेंस, ग्रीस।

Revision as of 13:53, 22 May 2023

डिस्ट्रिब्यूटेड फ़ायरवॉल एक नेटवर्क के होस्ट (नेटवर्क) मशीन पर एक सुरक्षा एप्लीकेशन है जो अवांछित आक्षेप के विपरीत अपने एंटरप्राइस के नेटवर्क के सर्वर और उपयोगकर्ता मशीनों की सुरक्षा करता है। एक फ़ायरवॉल (कंप्यूटिंग) एक सिस्टम या सिस्टम का समूह राउटर (कंप्यूटिंग), प्रॉक्सी सर्वर, या गेटवे (दूरसंचार) है है जो "बाहरी" नेटवर्क से "अंदर" नेटवर्क की सुरक्षा के लिए दो नेटवर्क के बीच अभिगम नियंत्रण प्रयुक्त करने के लिए सुरक्षा नियमों का एक सेट प्रयुक्त करता है। वे सभी ट्रैफ़िक को उसके मूल-इंटरनेट या आंतरिक नेटवर्क के ध्यान किए बिना फ़िल्टर करते हैं। सामान्य रूप से पारंपरिक फ़ायरवॉल के पीछे परिनियोजित, है। वे सुरक्षा की दूसरी परत प्रदान करते हैं। डिस्ट्रिब्यूटेड फ़ायरवॉल के लाभ सुरक्षा नियमों (सुरक्षा नीति) को परिभाषित करने और एंटरप्राइस-व्यापी आधार पर पुश की स्वीकृति देते हैं, जो बड़े एंटरप्राइस के लिए आवश्यक है।

मौलिक कार्य

डिस्ट्रिब्यूटेड फ़ायरवॉल प्रायः (ऑपरेटिंग सिस्टम) कर्नेल-मोड एप्लीकेशन होते हैं जो ऑपरेटिंग सिस्टम में ओएसआई मॉडल के नीचे स्थित होते हैं। वे सभी ट्रैफ़िक को उसके मूल-इंटरनेट या आंतरिक नेटवर्क की ध्यान किए बिना फ़िल्टर करते हैं। वे इंटरनेट और आंतरिक नेटवर्क दोनों को प्रतिकूल मानते हैं। वे अलग-अलग मशीन की उसी तरह सुरक्षा करते हैं जैसे कि पेरीमीटर फ़ायरवॉल समग्र नेटवर्क की सुरक्षा करता है। डिस्ट्रिब्यूटेड फ़ायरवॉल फ़ंक्शन तीन धारणाओं पर आधारित है:

मूल विचार सरल है। एक संकलक नीति भाषा को कुछ आंतरिक प्रारूप में अनुवादित करता है। सिस्टम प्रबंधन सॉफ़्टवेयर इस नीति फ़ाइल को उन सभी होस्ट में डिस्ट्रिब्यूटेड करता है जो फ़ायरवॉल द्वारा सुरक्षित हैं। और प्रत्येक प्रेषक की नीति और क्रिप्टोग्राफ़िक रूप से सत्यापित पहचान दोनों के अनुसार आने वाले पैकेट को प्रत्येक अंदर के होस्ट द्वारा स्वीकार या अस्वीकार कर दिया जाता है।

सुविधाएँ

  • योजनाओ को डिजाइन करने के लिए एक केंद्रीय प्रबंधन प्रणाली,
  • इन योजनाओ को प्रसारित करने के लिए एक संचरण प्रणाली, और
  • क्लाइंट एंड पर डिज़ाइन की गई योजनाओ का कार्यान्वयन।

केंद्रीय प्रबंधन प्रणाली

डिस्ट्रिब्यूटेड फायरवॉल की सुरक्षा नीति को केंद्रीय रूप से परिभाषित किया गया है, और नीति का प्रवर्तन प्रत्येक समापन बिंदु (होस्ट, राउटर, आदि) पर होता है। केंद्रीकृत प्रबंधन सर्वर और अंतिम-उपयोगकर्ता मशीनों को पॉप्युलेट करने की क्षमता है, ताकि निरंतर सुरक्षा को कॉन्फ़िगर और पुश किया जा सके। नीतियां, जो सीमित संसाधनों को अधिकतम करने में सहायता करती हैं। रिपोर्ट एकत्र करने और अपडेट को केंद्रीय रूप से बनाए रखने की क्षमता डिस्ट्रिब्यूटेड सुरक्षा को व्यावहारिक बनाती है। डिस्ट्रिब्यूटेड फ़ायरवॉल की यह सुविधा दो तरह से सहायता करती है। सबसे पहले, दूरस्थ एंड-उपयोगकर्ता मशीनों को सुरक्षित किया जा सकता है। दूसरे, वे नेटवर्क पर महत्वपूर्ण सर्वरों को सुरक्षित करते हैं जो मेलिसियस कोड द्वारा आक्षेप को रोकते हैं और संरक्षित सर्वर को विस्तारित आक्षेपों के लिए लॉन्चपैड के रूप में उपयोग नहीं करने देते हैं।

नीति संचरण प्रणाली

नीति, या सुरक्षा नियमों का वितरण भिन्न हो सकता है और कार्यान्वयन के साथ बदलता रहता है। इसे या तो सीधे एंड सिस्टम में पुल किया जा सकता है, या आवश्यकता पड़ने पर पुश किया जा सकता है।

पुल तकनीक

पुल तकनीक में, होस्ट, बूट करते समय, केंद्रीय प्रबंधन सर्वर को यह जाँचने के लिए सूचित करते हैं कि केंद्रीय प्रबंधन सर्वर प्रारंभ और सक्रिय है या नहीं है। यह केंद्रीय प्रबंधन सर्वर के साथ पंजीकृत होता है और उन योजनाओ का अनुरोध करता है जिन्हें इसे प्रयुक्त करना चाहिए। केंद्रीय प्रबंधन सर्वर तब होस्ट को अपनी सुरक्षा नीतियां प्रदान करता है।

पुश तकनीक

पुश तकनीक का उपयोग तब किया जाता है जब योजनाओ को नेटवर्क व्यवस्थापक द्वारा केंद्रीय-प्रबंधन की ओर से अपडेट किया जाता है, और होस्ट को तुरंत अपडेट करना होता है। यह पुश तकनीक यह सुनिश्चित करती है कि होस्ट के पास सदैव किसी भी समय अपडेट नीतियां हों। नीति भाषा परिभाषित करती है कि नेटवर्क नीति डोमेन के किसी भी घटक पर कौन से इनबाउंड और आउटबाउंड संयोजन की स्वीकृति है, और नेटवर्क की किसी भी परत पर नीतिगत निर्णयों को प्रभावित कर सकती है, चाहे वे कुछ पैकेटों को अस्वीकार कर रहे हों या पास कर रहे हों या ओएसआई स्टैक के एप्लिकेशन स्तर पर नीतियां प्रयुक्त कर रहे हों।

होस्ट-एंड कार्यान्वयन

पारंपरिक फ़ायरवॉल कार्य करने के लिए प्रवेश बिंदुओं को नियंत्रित करने पर निर्भर करते हैं, या अधिक परिशुद्ध रूप से, इस धारणा पर निर्भर करते हैं कि प्रवेश बिंदु के एक तरफ हर कोई - फ़ायरवॉल - पर निर्भर किया जाना है, और दूसरी तरफ कोई भी व्यक्ति कम से कम संभावित रूप से एक विरोधी है। डिस्ट्रिब्यूटेड फायरवॉल अवांछित आक्षेप को प्रतिबंधित करने के लिए अन्य प्रकार के ट्रैफिक को प्रतिबंधित करने वाली मशीन में केवल आवश्यक ट्रैफिक को सक्षम करके काम करते हैं। केंद्रीय प्रबंधन सर्वर से प्रेषित सुरक्षा योजनाओ को भी होस्ट द्वारा प्रयुक्त किया जाना है। डिस्ट्रिब्यूटेड फ़ायरवॉल का होस्ट-एंड भाग योजनाओ के कार्यान्वयन को नियंत्रित करने के लिए नेटवर्क व्यवस्थापक के लिए कोई प्रशासनिक नियंत्रण प्रदान नहीं करता है। होस्ट अपने द्वारा प्रयुक्त किए गए सुरक्षा नियमों के आधार पर ट्रैफ़िक की स्वीकृति देता है।

एंड-टू-एंड एन्क्रिप्शन

एंड-टू-एंड एन्क्रिप्शन पारंपरिक फायरवॉल के लिए खतरा है, क्योंकि फ़ायरवॉल में सामान्य रूप से एन्क्रिप्शन के माध्यम से देखने के लिए आवश्यक कुंजियाँ नहीं होती हैं। वितरित फ़ायरवॉल कार्यान्वयन तकनीक का उपयोग प्रारंभ से अंत तक इंटरनेट प्रोटोकॉल सुरक्षा करते हैं।[1] इंटरनेट प्रोटोकॉल सुरक्षा एक क्रिप्टोग्राफिक प्रोटोकॉल सूट है, जिसे हाल ही में इंटरनेट अभियांत्रिक कार्य दल द्वारा मानकीकृत किया गया है, जो पैकेट गोपनीयता, प्रमाणीकरण, डेटा शुद्धता, रीप्ले सुरक्षा और स्वचालित कुंजी प्रबंधन जैसी नेटवर्क-परत सुरक्षा सेवाएँ प्रदान करता है। यह फ़ायरवॉल परिनियोजन का एक विरूपण प्रमाण है: आंतरिक ट्रैफ़िक जिसे फ़ायरवॉल द्वारा नहीं देखा जाता है, उसे फ़िल्टर नहीं किया जा सकता है; परिणामस्वरूप, आंतरिक उपयोगकर्ता अन्य उपयोगकर्ताओं और नेटवर्क पर फ़ायरवॉल के बिना अन्तःक्षेप करने में सक्षम होने पर आक्षेप कर सकते हैं। बड़े नेटवर्क में आज बड़ी संख्या में प्रवेश बिंदु होते हैं। इसके अतिरिक्त, कई साइटें कुछ प्रकार के विभागीकरण प्रदान करने के लिए आंतरिक फायरवॉल का उपयोग करती हैं। यह व्यावहारिक दृष्टिकोण से और नीतिगत स्थिरता के संबंध में प्रशासन को विशेष रूप से कठिन बना देता है, क्योंकि कोई एकीकृत और व्यापक प्रबंधन तंत्र सम्मिलित नहीं है। एंड-टू-एंड इंटरनेट प्रोटोकॉल सुरक्षा में, प्रत्येक आने वाला नेटवर्क पैकेट एक प्राधिकरण प्रमाणपत्र के साथ जुड़ा हुआ है; उस पैकेट को दी गई पहुँच उस प्रमाणपत्र को दिए गए अधिकारों द्वारा निर्धारित की जाती है।[1] यदि प्रमाणपत्र का नाम अलग है, या कोई इंटरनेट प्रोटोकॉल सुरक्षा सुरक्षा नहीं है, तो पैकेट को अनधिकृत के रूप में छोड़ दिया जाएगा। यह देखते हुए कि एक प्रबल डिस्ट्रिब्यूटेड फ़ायरवॉल में अभिगम अधिकार प्रमाणपत्र, पहुँच से परिबद्ध हैं स्वीकृत प्रमाणपत्रों के सेट को बदलकर अधिकारों को सीमित किया जा सकता है। केवल नए प्रमाणपत्र वाले होस्ट को ही अंदर माना जाता है; यदि परिवर्तन संस्थापित नहीं है, तो मशीन के पास कम विशेषाधिकार होंगे।[1]


नेटवर्क टोपोलॉजी

डिस्ट्रिब्यूटेड फ़ायरवॉल उन होस्ट की सुरक्षा कर सकते हैं जो नेटवर्क टोपोलॉजी सीमा के अंदर नहीं हैं। सिस्टम प्रबंधन पैकेज का उपयोग अलग-अलग मशीनों को प्रशासित करने के लिए किया जाता है, इसलिए सुरक्षा प्रशासक होस्ट पहचानकर्ताओं के संदर्भ में सुरक्षा नीति को परिभाषित करते हैं और प्रत्येक व्यक्तिगत होस्ट द्वारा नीति प्रयुक्त की जा सकती है। पारंपरिक फ़ायरवॉल केवल उस ट्रैफ़िक पर एक नीति प्रयुक्त कर सकता है जो इसे पार करता है, इसलिए संरक्षित नेटवर्क में नोड्स के बीच ट्रैफ़िक का आदान-प्रदान नियंत्रित नहीं किया जा सकता है, जो एक आक्षेपक देता है जो पहले से ही एक अनधिकृत सूत्र है या किसी तरह फ़ायरवॉल को बायपास कर सकता है और एक नया, अनधिकृत प्रवेश बिंदु स्थापित कर सकता है। व्यवस्थापक के ज्ञान और सहमति के बिना नेटवर्क पारंपरिक फ़ायरवॉल के लिए, वास्तविक ऑडियो जैसे प्रोटोकॉल को प्रोसेस करना कठिन होता है, क्योंकि पारंपरिक फ़ायरवॉल में निश्चित ज्ञान का अभाव होता है जो एंडपॉइंट सुरक्षा पर आसानी से उपलब्ध होता है।[1] बढ़ती लाइन गति और अधिक संगणना-गहन प्रोटोकॉल के कारण जो एक फ़ायरवॉल को समर्थन देना चाहिए, पारंपरिक फ़ायरवॉल अत्यधिक बिंदु बन जाते हैं। प्रसंस्करण और नेटवर्किंग गति के बीच यह अंतर बढ़ने की संभावना है, क्योंकि जैसे-जैसे कंप्यूटर (और इसलिए फायरवॉल) तेजी से बढ़ रहे हैं, अधिक जटिल प्रोटोकॉल का संयोजन और फ़ायरवॉल के माध्यम से पारित होने वाले डेटा की मात्रा में अत्यधिक वृद्धि हुई है और संभवतः मूर के नियम से आगे बढ़ना जारी रहेगा।

प्रभावशीलता

सेवा जोखिम और पोर्ट क्रमवीक्षण

डिस्ट्रिब्यूटेड फ़ायरवॉल अनुपयुक्त सेवाओं के लिए संयोजन अनुरोधों को अस्वीकार करने में उत्कृष्ट हैं। वे सामान्य रूप से ऐसे अनुरोधों को होस्ट पर छोड़ देते हैं, लेकिन वैकल्पिक रूप से, वे बदले में एक प्रतिक्रिया वापस प्रेषित कर सकते हैं, जिसमें अनुरोध किया गया है कि संयोजन को प्रमाणित किया जाए, जो बदले में होस्ट के अस्तित्व की सूचना देता है। शुद्ध पैकेट फिल्टर पर बने पारंपरिक फायरवॉल के विपरीत, जो कुछ "स्टील्थ स्कैन" को बहुत अच्छी तरह से अस्वीकार नहीं कर सकते, वितरित फायरवॉल एक पोर्ट स्कैनर से पैकेट को पुनः जोड़ेंगे और फिर इसे अस्वीकार कर देंगे।

आईपी एड्रैस स्पूफिंग

इन आक्षेपों को नेटवर्क नीति डोमेन के अंदर से पैकेटों को हटाने के लिए संबंधित नियमों के साथ डिस्ट्रिब्यूटेड फायरवॉल द्वारा होस्ट पर निर्धारित किया जा सकता है। डिस्ट्रिब्यूटेड फ़ायरवॉल जाली आईपी एड्रैस के आधार पर आक्षेपों को प्रतिबंधित करने के लिए क्रिप्टोग्राफी तंत्र का उपयोग कर सकते हैं, इस धारणा के अंतर्गत कि सभी आवश्यक प्रमाण-पत्रों से युक्त विश्वसनीय सूचना भंडार स्वयं में समझौता करने के अधीन नहीं है।

मेलिसियस सॉफ़्टवेयर

डिस्ट्रिब्यूटेड फ़ायरवॉल की रूपरेखा और नीति भाषा, जो एप्लीकेशन स्तर पर नीतिगत निर्णय लेने की स्वीकृति कर देती है, एप्लीकेशन में रहने वाले विभिन्न प्रकार के जोखिमों और संचार ट्रैफ़िक के मध्यवर्ती स्तर को अलग कर सकती है। जटिल, संसाधन-क्षय स्थितियों में जहां जावा (प्रोग्रामिंग भाषा) जैसे कोड पर निर्णय लिया जाना चाहिए, डिस्ट्रिब्यूटेड फ़ायरवॉल इस शर्त के अंतर्गत जोखिमों को कम कर सकते हैं कि ऐसे संचार पैकेट की वस्तु को नीति सत्यापन तंत्र द्वारा अर्थपूर्ण रूप से व्याख्या किया जा सकता है। पैकेटों का स्टेटफुल फ़ायरवॉल इन आवश्यकताओं के लिए आसानी से अनुकूलित होता है और निर्णय लेने में सूक्ष्म ग्रैन्युलैरिटी (पैरेलेल कंप्यूटिंग) की स्वीकृति देता है। डिस्ट्रिब्यूटेड फ़ायरवॉल के नीति प्रवर्तन से भी समझौता नहीं किया जाता है जब मेलिसियस कोड वस्तु पूरी तरह से आभासी निजी नेटवर्क के उपयोग से प्रच्छन्न होती है और पारंपरिक फ़ायरवॉल के विपरीत, नेटवर्क पेरीमीटर पर स्क्रीनिंग यूनिट के लिए संचार ट्रैफ़िक को बाधित करती है।

आक्षेप का पता लगाना

डिस्ट्रिब्यूटेड फ़ायरवॉल आक्षेप के प्रयास का पता लगा सकते हैं, लेकिन जांच संग्रह में कठिनाई हो सकती है। एक नेटवर्क में प्रत्येक व्यक्तिगत होस्ट को जांच पर ध्यान देना होता है और प्रसंस्करण और सहसंबंध के लिए उन्हें कुछ केंद्रीय स्थान पर अग्रेषित करना होता है। पहली समस्या कठिन नहीं है; कई होस्ट पहले से ही ऐसे प्रयासों को लॉग कर चुके हैं। संग्रह अधिक समस्याग्रस्त है, विशेष रूप से केंद्रीय स्थल से विकृत संयोजन के समय होती है। प्रभावी रूप से समन्वित आक्षेपों का जोखिम भी है, जिससे केंद्रीय मशीन के विपरीत सेवा से अस्वीकृत किया जा सकता है।

अनधिकृत आक्षेप

सांंस्थितिक प्रतिबंध पर एक डिस्ट्रिब्यूटेड फ़ायरवॉल की स्वतंत्रता योजनाओ के प्रवर्तन का समर्थन करती है, फिर होस्ट समग्र नीति डोमेन के सदस्य हों या बाहरी हो। वे अपने निर्णयों को प्रमाणीकरण तंत्र पर आधारित करते हैं जो नेटवर्क के लेआउट की अंतर्निहित विशेषताएं नहीं हैं। इसके अतिरिक्त, एक वैध उपयोगकर्ता या आक्षेपक द्वारा एक समापन बिंदु का समझौता समग्र नेटवर्क को इस तरह से दुर्बल नहीं करेगा जो सीधे अन्य मशीनों से समझौता करने की ओर ले जाता है, इस तथ्य को देखते हुए कि आभासी निजी नेटवर्क की परिणियोजित संचार ट्रैफिक के खोजी आक्षेप को प्रतिबंधित करती है जिसमें आक्षेप मशीन सम्मिलित नहीं है। लेकिन अंत-बिंदु पर ही, यह मानते हुए कि एक मशीन को एक विरोधी द्वारा प्रगहण कर लिया गया है, इस निष्कर्ष पर पहुंचना चाहिए कि नीति प्रवर्तन तंत्र स्वयं ही नष्ट हो सकता है। एक बार सुरक्षा तंत्र त्रुटिपूर्ण होने के बाद इस मशीन पर बैकडोर की स्थापना अधिकतम आसानी से की जा सकती है, और एक पेरीमीटर फ़ायरवॉल की कमी के साथ, कोई विश्वसनीय इकाई नहीं है जो समझौता किए गए होस्ट में प्रवेश करने या छोड़ने वाले यादृच्छिक ट्रैफ़िक को रोक सके। इसके अतिरिक्त, उपकरण का उपयोग किया जा सकता है जो किसी अन्य एप्लिकेशन के संचार को टनलिंग करने की स्वीकृति देता है, और डिक्रिप्टिंग क्रेडेंशियल्स के उपयुक्त ज्ञान के बिना इसे रोका नहीं जा सकता है; इसके अतिरिक्त, इस तथ्य को देखते हुए कि एक आक्षेप को सफलतापूर्वक किया गया है, मशीन के सत्यापन तंत्र पर अब और विश्वास नहीं किया जा सकता है।

उपयोगकर्ता सहयोग

पहली नज़र में, डिस्ट्रिब्यूटेड फ़ायरवॉल की सबसे बड़ी दुर्बलता उपयोगकर्ताओं द्वारा सहयोग की कमी के प्रति उनकी अधिक संवेदनशीलता है। डिस्ट्रिब्यूटेड फ़ायरवॉल उपयोगकर्ताओं के छोटे समूहों को स्थापित करना आसान बनाकर द्वारा वास्तविक आक्षेपों के खतरे को कम कर सकते हैं। इस प्रकार, कोई फ़ाइल सर्वर तक पहुंच को केवल उन उपयोगकर्ताओं तक सीमित कर सकता है जिन्हें इसकी आवश्यकता है, कंपनी के अंदर किसी को भी अभिगम देने के अतिरिक्त होती है। यह योजनाओ के आकस्मिक विकृत को प्रतिबंधित करने के लिए कुछ प्रयास करने योग्य भी है। योजनाओ को डिजिटल रूप से हस्ताक्षरित किया जा सकता है, और एक अद्वितीय-से-प्रतिस्थापन स्थान में बार-बार बदलती कुंजी द्वारा सत्यापित किया जा सकता है। अधिक प्रबल सुरक्षा के लिए, नीति प्रवर्तन को विकृत-प्रतिरोधी नेटवर्क कार्ड में सम्मिलित किया जा सकता है।

संदर्भ

  1. 1.0 1.1 1.2 1.3 Bellovin, M. Steven "Distributed Firewalls", login, November 1999, pp. 39–47 https://www.cs.columbia.edu/~smb/papers/distfw.pdf



किताबें

  1. सोननरेइच, वेस, और टॉम येट्स, बिल्डिंग लिनक्स और ओपनबीएसडी फायरवॉल्स, सिंगापुर: एडिसन विले
  2. ज़्विकी, डी. एलिज़ाबेथ, साइमन कूपर, ब्रेंट डी. चैपमैन, बिल्डिंग इंटरनेट फायरवॉल ओ'रेली प्रकाशन
  3. स्ट्रेबे, फायरवॉल्स 24 सेवन, बीपीबी पब्लिशर्स

श्वेत पत्र और रिपोर्ट

  1. डॉ। हैनकॉक, बिल होस्ट-रेजिडेंट फायरवॉल: नेटवर्क आक्षेपों से विंडोज एनटी/2000 सर्वर और डेस्कटॉप का बचाव
  2. बेलोविन, एस.एम. और डब्ल्यू.आर. चेसविक, फायरवाल्स एंड इंटरनेट सिक्योरिटी: रिपेलिंग द विली हैकर, एडिसन-वेस्ले, 1994।
  3. Ioannidis, S. और Keromytis, A.D., और Bellovin, S.M. और जे.एम. स्मिथ, इम्प्लीमेंटिंग ए डिस्ट्रीब्यूटेड फायरवॉल, प्रोसीडिंग्स ऑफ कंप्यूटर एंड कम्युनिकेशंस सिक्योरिटी (सीसीएस), पीपी. 190-199, नवंबर 2000, एथेंस, ग्रीस।

श्रेणी:कंप्यूटर नेटवर्क सुरक्षा

Retrieved from ‘https://www.vigyanwiki.in/index.php?title=वितरित_फ़ायरवॉल&oldid=169632