FIREWALLALLOW :443DENY :3389

फ़ायरवाल

11 मिनट पढ़ासुरक्षा

फ़ायरवॉल नेटवर्क सुरक्षा का सबसे पुराना टुकड़ा है जो अभी भी व्यापक रूप से उपयोग में है, और यह शब्द 30 डॉलर के होम राउटर से लेकर एक मिलियन-डॉलर के एंटरप्राइज़ उपकरण तक सब कुछ कवर करने के लिए विस्तारित हो गया है। यह समझना कि प्रत्येक पीढ़ी वास्तव में क्या करती है - और क्या नहीं - बताती है कि "हमारे पास फ़ायरवॉल क्यों है" सुरक्षा प्रश्न का लगभग कभी भी पर्याप्त उत्तर नहीं है।

संपूर्ण लेख का मुख्य भाग नीचे अंग्रेजी में दिया गया है।

A firewall एक प्रणाली है जो नियमों के एक सेट के आधार पर दो क्षेत्रों के बीच नेटवर्क ट्रैफ़िक को नियंत्रित करती है। यातायात को अनुमति दी गई है, अस्वीकार किया गया है, या रूपांतरित किया गया है; ज़ोन आम तौर पर "अंदर" (एक विश्वसनीय नेटवर्क) और "बाहर" (सार्वजनिक इंटरनेट) होते हैं, हालांकि आधुनिक माइक्रोसेगमेंटेशन में कई ज़ोन होते हैं। आईपी पते, पोर्ट नंबर और प्रोटोकॉल पर। 198.51.100.0/24 को TCP/443 की अनुमति दें, बाकी सभी चीज़ों को अस्वीकार करें। सस्ता और तेज़; नए कनेक्शन से रिटर्न ट्रैफ़िक नहीं बता सकता।

  • स्टेटफुल निरीक्षण (1990)। "स्थापित कनेक्शनों के लिए रिटर्न ट्रैफ़िक की अनुमति देना" संभव हो गया है, जिससे नियमों की सटीकता और सुरक्षा में नाटकीय रूप से सुधार हुआ है। चेक प्वाइंट फ़ायरवॉल-1 ने 1993 में इसकी शुरुआत की थी।
  • एप्लिकेशन-लेयर फ़ायरवॉल (2000)। HTTP-अवेयर फ़ायरवॉल (वेब ​​​​एप्लिकेशन फ़ायरवॉल) URL, विधियों, कुकीज़ को समझते हैं, और "केवल POST को /api/लॉगिन करने की अनुमति है" जैसी नीतियों को लागू कर सकते हैं।
  • नेक्स्ट-जेनरेशन फ़ायरवॉल (2010)। पालो ऑल्टो, फोर्टिनेट, चेक प्वाइंट, सिस्को सभी वेरिएंट बेचते हैं।
  • Zero ट्रस्ट / पहचान-जागरूक (2020)। फ़ायरवॉल फ़ंक्शन व्यापक एक्सेस प्रॉक्सी (क्लाउडफ्लेयर एक्सेस, ज़ेडस्केलर, बियॉन्डकॉर्प) में धुंधला हो जाता है।

    • मूल नियम संरचना इंटरफ़ेस
  • गंतव्य - आईपी या रेंज
  • प्रोटोकॉल - टीसीपी, यूडीपी, आईसीएमपी, ईएसपी, आदि।
  • स्रोत पोर्ट - आमतौर पर Any
  • गंतव्य पोर्ट - एक्सेस की जा रही सेवा
  • Action - अनुमति दें, अस्वीकार करें, लॉग करें, अस्वीकार करें

    • नियमों का मूल्यांकन ऊपर से नीचे किया जाता है। पहला मैच जीतता है, इसलिए क्रम मायने रखता है। पारंपरिक पैटर्न: विशिष्ट अपवादों की अनुमति दें, फिर default-deny.

    Stateful बनाम स्टेटलेस: अंतर क्यों मायने रखता है आउटबाउंड टीसीपी/443 की अनुमति दें; ACK बिट सेट के साथ इनबाउंड टीसीपी/443 प्रतिक्रियाओं की अनुमति दें। इनबाउंड नियम ACK वाले किसी भी पैकेट को अनुमति देता है - जिसमें उस बिट के साथ तैयार किए गए अनचाहे जांच पैकेट भी शामिल हैं। वास्तविक हमलावरों ने वर्षों से इसका उपयोग किया है। रिटर्न ट्रैफ़िक का मिलान कनेक्शन तालिका से किया जाता है; उत्तर होने का दिखावा करने वाले अनचाहे पैकेटों की कोई प्रविष्टि नहीं होती और उन्हें हटा दिया जाता है। प्रभावी रूप से सभी आधुनिक फ़ायरवॉल स्टेटफुल हैं। एप्लिकेशन द्वारा देखे जाने से पहले OS नेटवर्क स्टैक पर ट्रैफ़िक फ़िल्टर करता है। यदि एंडपॉइंट से समझौता किया गया है तो बायपास करना आसान है, लेकिन अवसरवादी नेटवर्क स्कैनिंग बंद हो जाती है। सभी यातायात को सीमा पार करते हुए देखता है। फ़ायरवॉल से समझौता किए बिना इसे बायपास नहीं किया जा सकता। दोनों पूरक हैं; डिफेंस-इन-डेप्थ दोनों का उपयोग करता है।

    सामान्य फ़ायरवॉल ग़लतियाँ

    • अनिवार्य अनुमति. एक नियम सूची जो स्पष्ट इनकार के बिना समाप्त होती है, डिफ़ॉल्ट नीति प्राप्त करती है, जो कुछ उत्पादों पर "अनुमति" होती है। प्रलयंकारी.
    • "आंतरिक" से सभी की अनुमति। शून्य-विश्वास मानता है कि परिधि का पहले ही उल्लंघन हो चुका है। प्रत्येक नियम आक्रमण सतह है; उनका ऑडिट करें।
    • T स्रोत पोर्ट पर भरोसा करें। नियम जो एक विशिष्ट स्रोत पोर्ट की अनुमति देते हैं, उस पोर्ट को चुनने वाले किसी भी व्यक्ति द्वारा ट्रिगर किया जा सकता है।
    • ICMP कंबल-ब्लॉक। ICMP प्रकार 3 (गंतव्य पहुंच योग्य नहीं) और 11 (समय से अधिक) को न्यूनतम पर अनुमति दें। क्लासिक परिधि फ़ायरवॉल अब अधिकांश ट्रैफ़िक को नहीं देखता है जो अब मायने रखता है। प्रतिक्रिया स्तरित है: उपयोगकर्ताओं के लिए पहचान-जागरूक प्रॉक्सी, सेवा-से-सेवा के लिए सेवा जाल, हर जगह होस्ट-स्तरीय सूक्ष्म-विभाजन। फ़ायरवॉल दूर नहीं गया है; यह कई गुना बढ़ गया है और प्रत्येक कार्यभार के करीब चला गया है।

    अक्सर पूछे जाने वाले प्रश्नों

    क्या राउटर का फ़ायरवॉल घरेलू उपयोग के लिए पर्याप्त है?
    सामान्य घरेलू उपयोग के लिए, हाँ - डिफ़ॉल्ट सेटिंग्स वाला एक स्टेटफुल राउटर अनचाहे इनबाउंड ट्रैफ़िक को रोकता है, जो मुख्य बाहरी खतरा है। इसे प्रत्येक डिवाइस पर एक उचित ओएस फ़ायरवॉल के साथ जोड़ें और आपने आधारों को कवर कर लिया है। एंटरप्राइज़-ग्रेड फ़ायरवॉल ऐसी सुविधाएँ (आईपीएस, एप्लिकेशन नियंत्रण, वीपीएन कंसन्ट्रेटर) जोड़ते हैं जिनकी घरेलू उपयोग के लिए आमतौर पर आवश्यकता नहीं होती है।
    क्या कोई वीपीएन फ़ायरवॉल को बायपास करता है?
    अंदर से, हाँ - वीपीएन एंडपॉइंट पर आउटबाउंड ट्रैफ़िक एक अनुमत प्रवाह है; बाकी सब कुछ उस सुरंग के अंदर चलता है। अधिकांश कॉर्पोरेट फ़ायरवॉल विशेष रूप से इस कारण से सामान्य वीपीएन पोर्ट को ब्लॉक कर देते हैं। बाहर से, नहीं - फ़ायरवॉल अभी भी वीपीएन सेवा में अनचाहे इनबाउंड ट्रैफ़िक को छोड़ता है जब तक कि स्पष्ट रूप से अनुमति न दी गई हो।
    फ़ायरवॉल और आईपीएस के बीच क्या अंतर है?
    फ़ायरवॉल हेडर (और तेजी से बढ़ते पेलोड) पर नियमों के आधार पर अनुमति देता है या ब्लॉक करता है। एक आईपीएस (घुसपैठ रोकथाम प्रणाली) सक्रिय रूप से ज्ञात हमले के पैटर्न या विसंगतियों के लिए ट्रैफ़िक का निरीक्षण करता है और पता चलने पर ब्लॉक कर सकता है। आधुनिक फ़ायरवॉल आईपीएस कार्यक्षमता को बंडल करते हैं; वैचारिक रूप से वे विशिष्ट विशेषताएं हैं।
    क्या मैं किसी कनेक्शन समस्या को ठीक करने के लिए फ़ायरवॉल को बंद कर सकता हूँ?
    अस्थायी तौर पर भी मत करो. यदि किसी कनेक्शन के लिए फ़ायरवॉल को बंद करने की आवश्यकता है, तो एक विशिष्ट पोर्ट या नियम है जिसे खोलने की आवश्यकता है - कौन सा ढूंढें। "डीबगिंग" के दौरान फ़ायरवॉल को अक्षम करना कई वास्तविक घटनाओं की शुरुआत रही है।
    वेब एप्लिकेशन फ़ायरवॉल क्या है?
    WAF एक विशेष फ़ायरवॉल है जो HTTP को समझता है। यह यूआरएल पथ, हेडर, अनुरोध निकाय और कुकीज़ का निरीक्षण करता है, और ज्ञात आक्रमण पैटर्न (एसक्यूएल इंजेक्शन, एक्सएसएस, कमांड इंजेक्शन) के खिलाफ नियम लागू करता है। यह वेब एप्लिकेशन के सामने चलता है, अक्सर क्लाउडफ़ेयर या AWS WAF जैसे CDN के भाग के रूप में। यह नेटवर्क-लेयर फ़ायरवॉल को प्रतिस्थापित करने के बजाय पूरक करता है।
    फ़ायरवॉल की व्याख्या: पैकेट फ़िल्टरिंग, स्टेटफुल निरीक्षण, और आधुनिक नेटवर्क सुरक्षा वास्तव में क्या करती है