वितरित फ़ायरवॉल

एक वितरित फ़ायरवॉल एक नेटवर्क के होस्ट (नेटवर्क) मशीन पर एक सुरक्षा अनुप्रयोग है जो अवांछित घुसपैठ के खिलाफ अपने उद्यम के नेटवर्क के सर्वर और उपयोगकर्ता मशीनों की सुरक्षा करता है। एक फ़ायरवॉल (कंप्यूटिंग) एक सिस्टम या सिस्टम का समूह (राउटर (कंप्यूटिंग), प्रॉक्सी सर्वर, या गेटवे (दूरसंचार)) है जो दो संगणक संजाल  के बीच एक्सेस कंट्रोल को लागू करने के लिए सुरक्षा नियमों के एक सेट को लागू करता है ताकि अंदर के नेटवर्क को बाहर से सुरक्षित किया जा सके। नेटवर्क। वे सभी ट्रैफ़िक को उसके मूल-इंटरनेट या आंतरिक नेटवर्क की परवाह किए बिना फ़िल्टर करते हैं। आमतौर पर पारंपरिक फ़ायरवॉल के पीछे तैनात, वे रक्षा की दूसरी परत प्रदान करते हैं। वितरित फ़ायरवॉल के लाभ सुरक्षा नियमों (सुरक्षा नीति) को परिभाषित करने और उद्यम-व्यापी आधार पर धकेलने की अनुमति देते हैं, जो बड़े उद्यमों के लिए आवश्यक है।

बेसिक वर्किंग
वितरित फ़ायरवॉल अक्सर कर्नेल (ऑपरेटिंग सिस्टम)|कर्नेल-मोड अनुप्रयोग होते हैं जो ऑपरेटिंग सिस्टम में OSI मॉडल के नीचे स्थित होते हैं। वे सभी ट्रैफ़िक को उसके मूल-इंटरनेट या आंतरिक नेटवर्क की परवाह किए बिना फ़िल्टर करते हैं। वे इंटरनेट और आंतरिक नेटवर्क दोनों को अमित्र मानते हैं। वे अलग-अलग मशीन की उसी तरह रक्षा करते हैं जैसे कि परिधि फ़ायरवॉल समग्र नेटवर्क की रक्षा करता है। वितरित फ़ायरवॉल फ़ंक्शन तीन धारणाओं पर आधारित है:


 * एक नीति भाषा जो बताती है कि किस प्रकार के कनेक्शन की अनुमति है या निषिद्ध है,
 * Microsoft के Microsoft समापन बिंदु कॉन्फ़िगरेशन प्रबंधक या ASD जैसे कई सिस्टम प्रबंधन उपकरण, और
 * IPSEC, इंटरनेट प्रोटोकॉल (TCP, UDP, आदि) के लिए नेटवर्क-स्तरीय एन्क्रिप्शन तंत्र।

मूल विचार सरल है। एक संकलक नीति भाषा को कुछ आंतरिक प्रारूप में अनुवादित करता है। सिस्टम प्रबंधन सॉफ़्टवेयर इस नीति फ़ाइल को उन सभी होस्ट में वितरित करता है जो फ़ायरवॉल द्वारा सुरक्षित हैं। और प्रत्येक प्रेषक की नीति और क्रिप्टोग्राफ़िक रूप से सत्यापित पहचान दोनों के अनुसार आने वाले पैकेट को प्रत्येक अंदर के होस्ट द्वारा स्वीकार या अस्वीकार कर दिया जाता है।

सुविधाएँ

 * नीतियों को डिजाइन करने के लिए एक केंद्रीय प्रबंधन प्रणाली,
 * इन नीतियों को प्रसारित करने के लिए एक संचरण प्रणाली, और
 * क्लाइंट एंड पर डिज़ाइन की गई नीतियों का कार्यान्वयन।

केंद्रीय प्रबंधन प्रणाली
वितरित फायरवॉल की सुरक्षा नीति को केंद्रीय रूप से परिभाषित किया गया है, और नीति का प्रवर्तन प्रत्येक समापन बिंदु (होस्ट, राउटर, आदि) पर होता है। केंद्रीकृत प्रबंधन सर्वर और अंतिम-उपयोगकर्ता मशीनों को पॉप्युलेट करने की क्षमता है, ताकि लगातार सुरक्षा को कॉन्फ़िगर और पुश किया जा सके। नीतियां, जो सीमित संसाधनों को अधिकतम करने में मदद करती हैं। रिपोर्ट एकत्र करने और अपडेट को केंद्रीय रूप से बनाए रखने की क्षमता वितरित सुरक्षा को व्यावहारिक बनाती है। वितरित फ़ायरवॉल की यह सुविधा दो तरह से मदद करती है। सबसे पहले, रिमोट एंड-यूज़र मशीनों को सुरक्षित किया जा सकता है। दूसरे, वे नेटवर्क पर महत्वपूर्ण सर्वरों को सुरक्षित करते हैं जो दुर्भावनापूर्ण कोड द्वारा घुसपैठ को रोकते हैं और संरक्षित सर्वर को विस्तारित हमलों के लिए लॉन्चपैड के रूप में उपयोग नहीं करने देते हैं।

पॉलिसी ट्रांसमिशन सिस्टम
नीति, या सुरक्षा नियमों का वितरण भिन्न हो सकता है और कार्यान्वयन के साथ बदलता रहता है। इसे या तो सीधे एंड सिस्टम में धकेला जा सकता है, या आवश्यकता पड़ने पर खींचा जा सकता है।

तकनीक खींचो
पुल तकनीक में, मेजबान, बूट करते समय, केंद्रीय प्रबंधन सर्वर को यह जाँचने के लिए सूचित करते हैं कि केंद्रीय प्रबंधन सर्वर चालू और सक्रिय है या नहीं। यह केंद्रीय प्रबंधन सर्वर के साथ पंजीकृत होता है और उन नीतियों का अनुरोध करता है जिन्हें इसे लागू करना चाहिए। केंद्रीय प्रबंधन सर्वर तब मेजबान को अपनी सुरक्षा नीतियां प्रदान करता है।

पुश तकनीक
पुश तकनीक का उपयोग तब किया जाता है जब नीतियों को नेटवर्क व्यवस्थापक द्वारा केंद्रीय-प्रबंधन की ओर से अपडेट किया जाता है, और होस्ट को तुरंत अपडेट करना होता है। यह पुश तकनीक यह सुनिश्चित करती है कि मेजबानों के पास हमेशा किसी भी समय अद्यतन नीतियां हों। नीति भाषा परिभाषित करती है कि नेटवर्क नीति डोमेन के किसी भी घटक पर कौन से इनबाउंड और आउटबाउंड कनेक्शन की अनुमति है, और नेटवर्क की किसी भी परत पर नीतिगत निर्णयों को प्रभावित कर सकती है, चाहे वे कुछ पैकेटों को अस्वीकार कर रहे हों या पास कर रहे हों या ओएसआई के अनुप्रयोग स्तर पर नीतियों को लागू कर रहे हों। ढेर।

होस्ट-एंड कार्यान्वयन
पारंपरिक फ़ायरवॉल कार्य करने के लिए प्रवेश बिंदुओं को नियंत्रित करने पर भरोसा करते हैं, या अधिक सटीक रूप से, इस धारणा पर भरोसा करते हैं कि प्रवेश बिंदु के एक तरफ हर कोई - फ़ायरवॉल - पर भरोसा किया जाना है, और दूसरी तरफ कोई भी व्यक्ति, कम से कम संभावित रूप से, एक दुश्मन। वितरित फायरवॉल अवांछित घुसपैठ को रोकने के लिए अन्य प्रकार के यातायात को प्रतिबंधित करने वाली मशीन में केवल आवश्यक यातायात को सक्षम करके काम करते हैं। केंद्रीय प्रबंधन सर्वर से प्रेषित सुरक्षा नीतियों को भी होस्ट द्वारा लागू किया जाना है। वितरित फ़ायरवॉल का होस्ट-एंड भाग नीतियों के कार्यान्वयन को नियंत्रित करने के लिए नेटवर्क व्यवस्थापक के लिए कोई प्रशासनिक नियंत्रण प्रदान नहीं करता है। होस्ट अपने द्वारा लागू किए गए सुरक्षा नियमों के आधार पर ट्रैफ़िक की अनुमति देता है।

एंड-टू-एंड एन्क्रिप्शन
एंड-टू-एंड एन्क्रिप्शन पारंपरिक फ़ायरवॉल के लिए एक खतरा है, क्योंकि फ़ायरवॉल में आम तौर पर देखने के लिए आवश्यक कुंजियाँ नहीं होती हैं कूटलेखन। वितरित फ़ायरवॉल एंड-टू-एंड एन्क्रिप्शन | एंड-टू-एंड IPsec कार्यान्वयन तकनीक का उपयोग करते हैं। IPSEC एक क्रिप्टोग्राफिक प्रोटोकॉल सूट है, जिसे हाल ही में इंटरनेट इंजीनियरिंग टास्क फोर्स द्वारा मानकीकृत किया गया है, जो पैकेट गोपनीयता, प्रमाणीकरण, डेटा अखंडता, रीप्ले सुरक्षा और स्वचालित कुंजी प्रबंधन जैसी नेटवर्क-परत सुरक्षा सेवाएँ प्रदान करता है। यह फ़ायरवॉल परिनियोजन का एक विरूपण साक्ष्य है: आंतरिक ट्रैफ़िक जिसे फ़ायरवॉल द्वारा नहीं देखा जाता है, उसे फ़िल्टर नहीं किया जा सकता है; परिणामस्वरूप, आंतरिक उपयोगकर्ता अन्य उपयोगकर्ताओं और नेटवर्क पर फ़ायरवॉल के बिना हस्तक्षेप करने में सक्षम होने पर हमले कर सकते हैं। बड़े नेटवर्क में आज बड़ी संख्या में प्रवेश बिंदु होते हैं। इसके अलावा, कई साइटें कुछ प्रकार के कंपार्टमेंटलाइज़ेशन प्रदान करने के लिए आंतरिक फायरवॉल का उपयोग करती हैं। यह व्यावहारिक दृष्टिकोण से और नीतिगत स्थिरता के संबंध में प्रशासन को विशेष रूप से कठिन बना देता है, क्योंकि कोई एकीकृत और व्यापक प्रबंधन तंत्र मौजूद नहीं है। एंड-टू-एंड IPSEC में, प्रत्येक आने वाला नेटवर्क पैकेट एक प्राधिकरण प्रमाणपत्र के साथ जुड़ा हुआ है; उस पैकेट को दी गई पहुँच उस प्रमाणपत्र को दिए गए अधिकारों द्वारा निर्धारित की जाती है। यदि प्रमाणपत्र का नाम अलग है, या कोई IPSEC सुरक्षा नहीं है, तो पैकेट को अनधिकृत के रूप में छोड़ दिया जाएगा। यह देखते हुए कि एक मजबूत वितरित फ़ायरवॉल में पहुँच अधिकार प्रमाणपत्र, पहुँच से बंधे हैं स्वीकृत प्रमाणपत्रों के सेट को बदलकर अधिकारों को सीमित किया जा सकता है। केवल नए प्रमाणपत्र वाले होस्ट को ही अंदर माना जाता है; यदि परिवर्तन संस्थापित नहीं है, तो मशीन के पास कम विशेषाधिकार होंगे।

नेटवर्क टोपोलॉजी
वितरित फ़ायरवॉल उन मेजबानों की रक्षा कर सकते हैं जो नेटवर्क टोपोलॉजी सीमा के भीतर नहीं हैं। सिस्टम प्रबंधन पैकेज का उपयोग अलग-अलग मशीनों को प्रशासित करने के लिए किया जाता है, इसलिए सुरक्षा प्रशासक मेजबान पहचानकर्ताओं के संदर्भ में सुरक्षा नीति को परिभाषित करते हैं और प्रत्येक व्यक्तिगत मेजबान द्वारा नीति लागू की जा सकती है। पारंपरिक फ़ायरवॉल केवल उस ट्रैफ़िक पर एक नीति लागू कर सकता है जो इसे पार करता है, इसलिए संरक्षित नेटवर्क में नोड्स के बीच ट्रैफ़िक का आदान-प्रदान नियंत्रित नहीं किया जा सकता है, जो एक हमलावर देता है जो पहले से ही एक अंदरूनी सूत्र है या किसी तरह फ़ायरवॉल को बायपास कर सकता है और एक नया, अनधिकृत प्रवेश बिंदु स्थापित कर सकता है। व्यवस्थापक के ज्ञान और सहमति के बिना नेटवर्क। पारंपरिक फ़ायरवॉल के लिए, RealAudio जैसे प्रोटोकॉल को प्रोसेस करना मुश्किल होता है, क्योंकि पारंपरिक फ़ायरवॉल में निश्चित ज्ञान का अभाव होता है जो एंडपॉइंट सुरक्षा पर आसानी से उपलब्ध होता है। बढ़ती लाइन गति और अधिक संगणना-गहन प्रोटोकॉल के कारण जो एक फ़ायरवॉल को समर्थन देना चाहिए, पारंपरिक फ़ायरवॉल भीड़ बिंदु बन जाते हैं। प्रसंस्करण और नेटवर्किंग गति के बीच यह अंतर बढ़ने की संभावना है, क्योंकि जैसे-जैसे कंप्यूटर (और इसलिए फायरवॉल) तेज होते जा रहे हैं, अधिक जटिल प्रोटोकॉल का संयोजन और डेटा की मात्रा में जबरदस्त वृद्धि जो फ़ायरवॉल के माध्यम से पारित की जानी चाहिए और होने की संभावना है मूर के नियम को पार करना जारी रखेगा।

सर्विस एक्सपोजर और पोर्ट स्कैनिंग
वितरित फ़ायरवॉल अनुपयुक्त सेवाओं के लिए कनेक्शन अनुरोधों को अस्वीकार करने में उत्कृष्ट हैं। वे आम तौर पर ऐसे अनुरोधों को होस्ट पर छोड़ देते हैं, लेकिन वैकल्पिक रूप से, वे बदले में एक प्रतिक्रिया वापस भेज सकते हैं, जिसमें अनुरोध किया गया है कि कनेक्शन को प्रमाणित किया जाए, जो बदले में होस्ट के अस्तित्व की सूचना देता है। शुद्ध नेटवर्क पैकेट फिल्टर पर निर्मित पारंपरिक फायरवॉल के विपरीत, जो कुछ पोर्ट स्कैनर को अस्वीकार नहीं कर सकता चुपके स्कैन बहुत अच्छी तरह से, वितरित फ़ायरवॉल एक पोर्ट स्कैनर से पैकेट को फिर से इकट्ठा करेंगे और फिर इसे अस्वीकार कर देंगे।

आईपी ​​पता स्पूफिंग
इन हमलों को नेटवर्क नीति डोमेन के अंदर से पैकेटों को हटाने के लिए संबंधित नियमों के साथ वितरित फायरवॉल द्वारा होस्ट पर निपटाया जा सकता है। वितरित फ़ायरवॉल जाली आईपी पते के आधार पर हमलों को रोकने के लिए क्रिप्टोग्राफी तंत्र का उपयोग कर सकते हैं, इस धारणा के तहत कि सभी आवश्यक प्रमाण-पत्रों से युक्त विश्वसनीय सूचना भंडार अपने आप में समझौता करने के अधीन नहीं है।

दुर्भावनापूर्ण सॉफ़्टवेयर
वितरित फ़ायरवॉल की रूपरेखा और नीति भाषा, जो अनुप्रयोग स्तर पर नीतिगत निर्णय लेने की अनुमति देती है, अनुप्रयोग में रहने वाले विभिन्न प्रकार के खतरों और संचार ट्रैफ़िक के मध्यवर्ती स्तर को दरकिनार कर सकती है। जटिल, संसाधन-खपत स्थितियों में जहां जावा (प्रोग्रामिंग भाषा) जैसे कोड पर निर्णय लिया जाना चाहिए, वितरित फ़ायरवॉल इस शर्त के तहत खतरों को कम कर सकते हैं कि ऐसे संचार पैकेट की सामग्री को नीति सत्यापन तंत्र द्वारा अर्थपूर्ण रूप से व्याख्या किया जा सकता है। पैकेटों का स्टेटफुल फ़ायरवॉल इन आवश्यकताओं के लिए आसानी से अनुकूलित होता है और निर्णय लेने में महीन ग्रैन्युलैरिटी (समानांतर कंप्यूटिंग) की अनुमति देता है। वितरित फ़ायरवॉल के नीति प्रवर्तन से भी समझौता नहीं किया जाता है जब दुर्भावनापूर्ण कोड सामग्री पूरी तरह से आभासी निजी नेटवर्क के उपयोग से प्रच्छन्न होती है और पारंपरिक फ़ायरवॉल के विपरीत, नेटवर्क परिधि पर स्क्रीनिंग यूनिट के लिए संचार ट्रैफ़िक को बाधित करती है।

घुसपैठ का पता लगाना
वितरित फ़ायरवॉल घुसपैठ के प्रयास का पता लगा सकते हैं, लेकिन जांच संग्रह में कठिनाई हो सकती है। एक नेटवर्क में प्रत्येक व्यक्तिगत होस्ट को जांच पर ध्यान देना होता है और प्रसंस्करण और सहसंबंध के लिए उन्हें कुछ केंद्रीय स्थान पर अग्रेषित करना होता है। पहली समस्या कठिन नहीं है; कई मेजबान पहले से ही ऐसे प्रयासों को लॉग कर चुके हैं। संग्रह अधिक समस्याग्रस्त है, विशेष रूप से केंद्रीय साइट से खराब कनेक्टिविटी के समय। प्रभावी रूप से समन्वित हमलों का जोखिम भी है, जिससे केंद्रीय मशीन के खिलाफ सेवा से इनकार किया जा सकता है।

अंदरूनी हमला
टोपोलॉजिकल बाधाओं पर एक वितरित फ़ायरवॉल की स्वतंत्रता नीतियों के प्रवर्तन का समर्थन करती है, चाहे मेजबान समग्र नीति डोमेन के सदस्य हों या बाहरी। वे अपने निर्णयों को प्रमाणीकरण तंत्र पर आधारित करते हैं जो नेटवर्क के लेआउट की अंतर्निहित विशेषताएं नहीं हैं। इसके अलावा, एक वैध उपयोगकर्ता या घुसपैठिए द्वारा एक समापन बिंदु का समझौता समग्र नेटवर्क को इस तरह से कमजोर नहीं करेगा जो सीधे अन्य मशीनों से समझौता करने की ओर ले जाता है, इस तथ्य को देखते हुए कि आभासी निजी नेटवर्क की तैनाती संचार यातायात के सूँघने वाले हमले को रोकती है जिसमें हमला मशीन शामिल नहीं है। लेकिन अंत-बिंदु पर ही, यह मानते हुए कि एक मशीन को एक विरोधी द्वारा कब्जा कर लिया गया है, इस निष्कर्ष पर पहुंचना चाहिए कि नीति प्रवर्तन तंत्र स्वयं ही टूट सकता है। एक बार सुरक्षा तंत्र त्रुटिपूर्ण होने के बाद इस मशीन पर बैकडोर की स्थापना काफी आसानी से की जा सकती है, और एक परिधि फ़ायरवॉल की कमी के साथ, कोई विश्वसनीय इकाई नहीं है जो समझौता किए गए होस्ट में प्रवेश करने या छोड़ने वाले मनमाने ट्रैफ़िक को रोक सके। इसके अतिरिक्त, उपकरण का उपयोग किया जा सकता है जो किसी अन्य एप्लिकेशन के संचार को टनलिंग करने की अनुमति देता है, और डिक्रिप्टिंग क्रेडेंशियल्स के उचित ज्ञान के बिना इसे रोका नहीं जा सकता है; इसके अलावा, इस तथ्य को देखते हुए कि एक हमले को सफलतापूर्वक किया गया है, मशीन के सत्यापन तंत्र पर अब और भरोसा नहीं किया जा सकता है।

उपयोगकर्ता सहयोग
पहली नज़र में, वितरित फ़ायरवॉल की सबसे बड़ी कमजोरी उपयोगकर्ताओं द्वारा सहयोग की कमी के प्रति उनकी अधिक संवेदनशीलता है। वितरित फ़ायरवॉल उपयोगकर्ताओं के छोटे समूहों को स्थापित करना आसान बनाकर अंदरूनी लोगों द्वारा वास्तविक हमलों के खतरे को कम कर सकते हैं। इस प्रकार, कोई फ़ाइल सर्वर तक पहुंच को केवल उन उपयोगकर्ताओं तक सीमित कर सकता है जिन्हें इसकी आवश्यकता है, कंपनी के अंदर किसी को भी पहुंच देने के बजाय। यह नीतियों के आकस्मिक विध्वंस को रोकने के लिए कुछ प्रयास करने लायक भी है। नीतियों को डिजिटल रूप से हस्ताक्षरित किया जा सकता है, और एक अजीब-से-प्रतिस्थापन स्थान में बार-बार बदलती कुंजी द्वारा सत्यापित किया जा सकता है। अधिक कड़े सुरक्षा के लिए, नीति प्रवर्तन को छेड़छाड़-प्रतिरोधी नेटवर्क कार्ड में शामिल किया जा सकता है।

किताबें

 * 1) सोननरेइच, वेस, और टॉम येट्स, बिल्डिंग लिनक्स और ओपनबीएसडी फायरवॉल्स, सिंगापुर: एडिसन विले
 * 2) ज़्विकी, डी. एलिज़ाबेथ, साइमन कूपर, ब्रेंट डी. चैपमैन, बिल्डिंग इंटरनेट फायरवॉल ओ'रेली प्रकाशन
 * 3) स्ट्रेबे, फायरवॉल्स 24 सेवन, बीपीबी पब्लिशर्स

श्वेत पत्र और रिपोर्ट

 * 1) डॉ। हैनकॉक, बिल होस्ट-रेजिडेंट फायरवॉल: नेटवर्क हमलों से विंडोज एनटी/2000 सर्वर और डेस्कटॉप का बचाव
 * 2) बेलोविन, एस.एम. और डब्ल्यू.आर. चेसविक, फायरवाल्स एंड इंटरनेट सिक्योरिटी: रिपेलिंग द विली हैकर, एडिसन-वेस्ले, 1994।
 * 3) Ioannidis, S. और Keromytis, A.D., और Bellovin, S.M. और जे.एम. स्मिथ, इम्प्लीमेंटिंग ए डिस्ट्रीब्यूटेड फायरवॉल, प्रोसीडिंग्स ऑफ कंप्यूटर एंड कम्युनिकेशंस सिक्योरिटी (सीसीएस), पीपी. 190-199, नवंबर 2000, एथेंस, ग्रीस।

श्रेणी:कंप्यूटर नेटवर्क सुरक्षा