वितरित फ़ायरवॉल

डिस्ट्रिब्यूटेड फ़ायरवॉल एक नेटवर्क के होस्ट (नेटवर्क) मशीन पर एक सुरक्षा एप्लीकेशन है जो अवांछित आक्षेप के विपरीत अपने एंटरप्राइस के नेटवर्क के सर्वर और उपयोगकर्ता मशीनों की सुरक्षा करता है। एक फ़ायरवॉल (कंप्यूटिंग) एक सिस्टम या सिस्टम का समूह राउटर (कंप्यूटिंग), प्रॉक्सी सर्वर, या गेटवे (दूरसंचार) है है जो "बाहरी" नेटवर्क से "अंदर" नेटवर्क की सुरक्षा के लिए दो नेटवर्क के बीच अभिगम नियंत्रण प्रयुक्त करने के लिए सुरक्षा नियमों का एक सेट प्रयुक्त करता है। वे सभी ट्रैफ़िक को उसके मूल-इंटरनेट या आंतरिक नेटवर्क के ध्यान किए बिना फ़िल्टर करते हैं। सामान्य रूप से पारंपरिक फ़ायरवॉल के पीछे परिनियोजित, है। वे सुरक्षा की दूसरी परत प्रदान करते हैं। डिस्ट्रिब्यूटेड फ़ायरवॉल के लाभ सुरक्षा नियमों (सुरक्षा नीति) को परिभाषित करने और एंटरप्राइस-व्यापी आधार पर पुश की स्वीकृति देते हैं, जो बड़े एंटरप्राइस के लिए आवश्यक है।

मौलिक कार्य
डिस्ट्रिब्यूटेड फ़ायरवॉल प्रायः (ऑपरेटिंग सिस्टम) कर्नेल-मोड एप्लीकेशन होते हैं जो ऑपरेटिंग सिस्टम में ओएसआई मॉडल के नीचे स्थित होते हैं। वे सभी ट्रैफ़िक को उसके मूल-इंटरनेट या आंतरिक नेटवर्क की ध्यान किए बिना फ़िल्टर करते हैं। वे इंटरनेट और आंतरिक नेटवर्क दोनों को प्रतिकूल मानते हैं। वे अलग-अलग मशीन की उसी तरह सुरक्षा करते हैं जैसे कि पेरीमीटर फ़ायरवॉल समग्र नेटवर्क की सुरक्षा करता है। डिस्ट्रिब्यूटेड फ़ायरवॉल फ़ंक्शन तीन धारणाओं पर आधारित है:


 * एक नीति भाषा जो बताती है कि किस प्रकार के संयोजन की स्वीकृति है या निषिद्ध है,
 * माइक्रोसॉफ्ट के माइक्रोसॉफ्ट समापन बिंदु कॉन्फ़िगरेशन प्रबंधक या एएसडी जैसे कई सिस्टम प्रबंधन उपकरण, और
 * इंटरनेट प्रोटोकॉल सुरक्षा, इंटरनेट प्रोटोकॉल (टीसीपी, यूडीपी, आदि) के लिए नेटवर्क-स्तरीय एन्क्रिप्शन तंत्र होता है।

मूल विचार सरल है। एक संकलक नीति भाषा को कुछ आंतरिक प्रारूप में अनुवादित करता है। सिस्टम प्रबंधन सॉफ़्टवेयर इस नीति फ़ाइल को उन सभी होस्ट में डिस्ट्रिब्यूटेड करता है जो फ़ायरवॉल द्वारा सुरक्षित हैं। और प्रत्येक प्रेषक की नीति और क्रिप्टोग्राफ़िक रूप से सत्यापित पहचान दोनों के अनुसार आने वाले पैकेट को प्रत्येक अंदर के होस्ट द्वारा स्वीकार या अस्वीकार कर दिया जाता है।

सुविधाएँ

 * योजनाओ को डिजाइन करने के लिए एक केंद्रीय प्रबंधन प्रणाली,
 * इन योजनाओ को प्रसारित करने के लिए एक संचरण प्रणाली, और
 * क्लाइंट एंड पर डिज़ाइन की गई योजनाओ का कार्यान्वयन।

केंद्रीय प्रबंधन प्रणाली
डिस्ट्रिब्यूटेड फायरवॉल की सुरक्षा नीति को केंद्रीय रूप से परिभाषित किया गया है, और नीति का प्रवर्तन प्रत्येक समापन बिंदु (होस्ट, राउटर, आदि) पर होता है। केंद्रीकृत प्रबंधन सर्वर और अंतिम-उपयोगकर्ता मशीनों को पॉप्युलेट करने की क्षमता है, ताकि निरंतर सुरक्षा को कॉन्फ़िगर और पुश किया जा सके। नीतियां, जो सीमित संसाधनों को अधिकतम करने में सहायता करती हैं। रिपोर्ट एकत्र करने और अपडेट को केंद्रीय रूप से बनाए रखने की क्षमता डिस्ट्रिब्यूटेड सुरक्षा को व्यावहारिक बनाती है। डिस्ट्रिब्यूटेड फ़ायरवॉल की यह सुविधा दो तरह से सहायता करती है। सबसे पहले, दूरस्थ एंड-उपयोगकर्ता मशीनों को सुरक्षित किया जा सकता है। दूसरे, वे नेटवर्क पर महत्वपूर्ण सर्वरों को सुरक्षित करते हैं जो मेलिसियस कोड द्वारा आक्षेप को रोकते हैं और संरक्षित सर्वर को विस्तारित आक्षेपों के लिए लॉन्चपैड के रूप में उपयोग नहीं करने देते हैं।

नीति संचरण प्रणाली
नीति, या सुरक्षा नियमों का वितरण भिन्न हो सकता है और कार्यान्वयन के साथ बदलता रहता है। इसे या तो सीधे एंड सिस्टम में पुल किया जा सकता है, या आवश्यकता पड़ने पर पुश किया जा सकता है।

पुल तकनीक
पुल तकनीक में, होस्ट, बूट करते समय, केंद्रीय प्रबंधन सर्वर को यह जाँचने के लिए सूचित करते हैं कि केंद्रीय प्रबंधन सर्वर प्रारंभ और सक्रिय है या नहीं है। यह केंद्रीय प्रबंधन सर्वर के साथ पंजीकृत होता है और उन योजनाओ का अनुरोध करता है जिन्हें इसे प्रयुक्त करना चाहिए। केंद्रीय प्रबंधन सर्वर तब होस्ट को अपनी सुरक्षा नीतियां प्रदान करता है।

पुश तकनीक
पुश तकनीक का उपयोग तब किया जाता है जब योजनाओ को नेटवर्क व्यवस्थापक द्वारा केंद्रीय-प्रबंधन की ओर से अपडेट किया जाता है, और होस्ट को तुरंत अपडेट करना होता है। यह पुश तकनीक यह सुनिश्चित करती है कि होस्ट के पास सदैव किसी भी समय अपडेट नीतियां हों। नीति भाषा परिभाषित करती है कि नेटवर्क नीति डोमेन के किसी भी घटक पर कौन से इनबाउंड और आउटबाउंड संयोजन की स्वीकृति है, और नेटवर्क की किसी भी परत पर नीतिगत निर्णयों को प्रभावित कर सकती है, चाहे वे कुछ पैकेटों को अस्वीकार कर रहे हों या पास कर रहे हों या ओएसआई स्टैक के एप्लिकेशन स्तर पर नीतियां प्रयुक्त कर रहे हों।

होस्ट-एंड कार्यान्वयन
पारंपरिक फ़ायरवॉल कार्य करने के लिए प्रवेश बिंदुओं को नियंत्रित करने पर निर्भर करते हैं, या अधिक परिशुद्ध रूप से, इस धारणा पर निर्भर करते हैं कि प्रवेश बिंदु के एक तरफ हर कोई - फ़ायरवॉल - पर निर्भर किया जाना है, और दूसरी तरफ कोई भी व्यक्ति कम से कम संभावित रूप से एक विरोधी है। डिस्ट्रिब्यूटेड फायरवॉल अवांछित आक्षेप को प्रतिबंधित करने के लिए अन्य प्रकार के ट्रैफिक को प्रतिबंधित करने वाली मशीन में केवल आवश्यक ट्रैफिक को सक्षम करके काम करते हैं। केंद्रीय प्रबंधन सर्वर से प्रेषित सुरक्षा योजनाओ को भी होस्ट द्वारा प्रयुक्त किया जाना है। डिस्ट्रिब्यूटेड फ़ायरवॉल का होस्ट-एंड भाग योजनाओ के कार्यान्वयन को नियंत्रित करने के लिए नेटवर्क व्यवस्थापक के लिए कोई प्रशासनिक नियंत्रण प्रदान नहीं करता है। होस्ट अपने द्वारा प्रयुक्त किए गए सुरक्षा नियमों के आधार पर ट्रैफ़िक की स्वीकृति देता है।

एंड-टू-एंड एन्क्रिप्शन
एंड-टू-एंड एन्क्रिप्शन पारंपरिक फायरवॉल के लिए खतरा है, क्योंकि फ़ायरवॉल में सामान्य रूप से एन्क्रिप्शन के माध्यम से देखने के लिए आवश्यक कुंजियाँ नहीं होती हैं। वितरित फ़ायरवॉल कार्यान्वयन तकनीक का उपयोग प्रारंभ से अंत तक इंटरनेट प्रोटोकॉल सुरक्षा करते हैं। इंटरनेट प्रोटोकॉल सुरक्षा एक क्रिप्टोग्राफिक प्रोटोकॉल सूट है, जिसे हाल ही में इंटरनेट अभियांत्रिक कार्य दल द्वारा मानकीकृत किया गया है, जो पैकेट गोपनीयता, प्रमाणीकरण, डेटा शुद्धता, रीप्ले सुरक्षा और स्वचालित कुंजी प्रबंधन जैसी नेटवर्क-परत सुरक्षा सेवाएँ प्रदान करता है। यह फ़ायरवॉल परिनियोजन का एक विरूपण प्रमाण है: आंतरिक ट्रैफ़िक जिसे फ़ायरवॉल द्वारा नहीं देखा जाता है, उसे फ़िल्टर नहीं किया जा सकता है; परिणामस्वरूप, आंतरिक उपयोगकर्ता अन्य उपयोगकर्ताओं और नेटवर्क पर फ़ायरवॉल के बिना अन्तःक्षेप करने में सक्षम होने पर आक्षेप कर सकते हैं। बड़े नेटवर्क में आज बड़ी संख्या में प्रवेश बिंदु होते हैं। इसके अतिरिक्त, कई साइटें कुछ प्रकार के विभागीकरण प्रदान करने के लिए आंतरिक फायरवॉल का उपयोग करती हैं। यह व्यावहारिक दृष्टिकोण से और नीतिगत स्थिरता के संबंध में प्रशासन को विशेष रूप से कठिन बना देता है, क्योंकि कोई एकीकृत और व्यापक प्रबंधन तंत्र सम्मिलित नहीं है। एंड-टू-एंड इंटरनेट प्रोटोकॉल सुरक्षा में, प्रत्येक आने वाला नेटवर्क पैकेट एक प्राधिकरण प्रमाणपत्र के साथ जुड़ा हुआ है; उस पैकेट को दी गई पहुँच उस प्रमाणपत्र को दिए गए अधिकारों द्वारा निर्धारित की जाती है। यदि प्रमाणपत्र का नाम अलग है, या कोई इंटरनेट प्रोटोकॉल सुरक्षा सुरक्षा नहीं है, तो पैकेट को अनधिकृत के रूप में छोड़ दिया जाएगा। यह देखते हुए कि एक प्रबल डिस्ट्रिब्यूटेड फ़ायरवॉल में अभिगम अधिकार प्रमाणपत्र, पहुँच से परिबद्ध हैं स्वीकृत प्रमाणपत्रों के सेट को बदलकर अधिकारों को सीमित किया जा सकता है। केवल नए प्रमाणपत्र वाले होस्ट को ही अंदर माना जाता है; यदि परिवर्तन संस्थापित नहीं है, तो मशीन के पास कम विशेषाधिकार होंगे।

नेटवर्क टोपोलॉजी
डिस्ट्रिब्यूटेड फ़ायरवॉल उन होस्ट की सुरक्षा कर सकते हैं जो नेटवर्क टोपोलॉजी सीमा के अंदर नहीं हैं। सिस्टम प्रबंधन पैकेज का उपयोग अलग-अलग मशीनों को प्रशासित करने के लिए किया जाता है, इसलिए सुरक्षा प्रशासक होस्ट पहचानकर्ताओं के संदर्भ में सुरक्षा नीति को परिभाषित करते हैं और प्रत्येक व्यक्तिगत होस्ट द्वारा नीति प्रयुक्त की जा सकती है। पारंपरिक फ़ायरवॉल केवल उस ट्रैफ़िक पर एक नीति प्रयुक्त कर सकता है जो इसे पार करता है, इसलिए संरक्षित नेटवर्क में नोड्स के बीच ट्रैफ़िक का आदान-प्रदान नियंत्रित नहीं किया जा सकता है, जो एक आक्षेपक देता है जो पहले से ही एक अनधिकृत सूत्र है या किसी तरह फ़ायरवॉल को बायपास कर सकता है और एक नया, अनधिकृत प्रवेश बिंदु स्थापित कर सकता है। व्यवस्थापक के ज्ञान और सहमति के बिना नेटवर्क पारंपरिक फ़ायरवॉल के लिए, वास्तविक ऑडियो जैसे प्रोटोकॉल को प्रोसेस करना कठिन होता है, क्योंकि पारंपरिक फ़ायरवॉल में निश्चित ज्ञान का अभाव होता है जो एंडपॉइंट सुरक्षा पर आसानी से उपलब्ध होता है। बढ़ती लाइन गति और अधिक संगणना-गहन प्रोटोकॉल के कारण जो एक फ़ायरवॉल को समर्थन देना चाहिए, पारंपरिक फ़ायरवॉल अत्यधिक बिंदु बन जाते हैं। प्रसंस्करण और नेटवर्किंग गति के बीच यह अंतर बढ़ने की संभावना है, क्योंकि जैसे-जैसे कंप्यूटर (और इसलिए फायरवॉल) तेजी से बढ़ रहे हैं, अधिक जटिल प्रोटोकॉल का संयोजन और फ़ायरवॉल के माध्यम से पारित होने वाले डेटा की मात्रा में अत्यधिक वृद्धि हुई है और संभवतः मूर के नियम से आगे बढ़ना जारी रहेगा।

सेवा जोखिम और पोर्ट क्रमवीक्षण
डिस्ट्रिब्यूटेड फ़ायरवॉल अनुपयुक्त सेवाओं के लिए संयोजन अनुरोधों को अस्वीकार करने में उत्कृष्ट हैं। वे सामान्य रूप से ऐसे अनुरोधों को होस्ट पर छोड़ देते हैं, लेकिन वैकल्पिक रूप से, वे बदले में एक प्रतिक्रिया वापस प्रेषित कर सकते हैं, जिसमें अनुरोध किया गया है कि संयोजन को प्रमाणित किया जाए, जो बदले में होस्ट के अस्तित्व की सूचना देता है। शुद्ध पैकेट फिल्टर पर बने पारंपरिक फायरवॉल के विपरीत, जो कुछ "स्टील्थ स्कैन" को बहुत अच्छी तरह से अस्वीकार नहीं कर सकते, वितरित फायरवॉल एक पोर्ट स्कैनर से पैकेट को पुनः जोड़ेंगे और फिर इसे अस्वीकार कर देंगे।

आईपी एड्रैस स्पूफिंग
इन आक्षेपों को नेटवर्क नीति डोमेन के अंदर से पैकेटों को हटाने के लिए संबंधित नियमों के साथ डिस्ट्रिब्यूटेड फायरवॉल द्वारा होस्ट पर निर्धारित किया जा सकता है। डिस्ट्रिब्यूटेड फ़ायरवॉल जाली आईपी एड्रैस के आधार पर आक्षेपों को प्रतिबंधित करने के लिए क्रिप्टोग्राफी तंत्र का उपयोग कर सकते हैं, इस धारणा के अंतर्गत कि सभी आवश्यक प्रमाण-पत्रों से युक्त विश्वसनीय सूचना भंडार स्वयं में समझौता करने के अधीन नहीं है।

मेलिसियस सॉफ़्टवेयर
डिस्ट्रिब्यूटेड फ़ायरवॉल की रूपरेखा और नीति भाषा, जो एप्लीकेशन स्तर पर नीतिगत निर्णय लेने की स्वीकृति कर देती है, एप्लीकेशन में रहने वाले विभिन्न प्रकार के जोखिमों और संचार ट्रैफ़िक के मध्यवर्ती स्तर को अलग कर सकती है। जटिल, संसाधन-क्षय स्थितियों में जहां जावा (प्रोग्रामिंग भाषा) जैसे कोड पर निर्णय लिया जाना चाहिए, डिस्ट्रिब्यूटेड फ़ायरवॉल इस शर्त के अंतर्गत जोखिमों को कम कर सकते हैं कि ऐसे संचार पैकेट की वस्तु को नीति सत्यापन तंत्र द्वारा अर्थपूर्ण रूप से व्याख्या किया जा सकता है। पैकेटों का स्टेटफुल फ़ायरवॉल इन आवश्यकताओं के लिए आसानी से अनुकूलित होता है और निर्णय लेने में सूक्ष्म ग्रैन्युलैरिटी (पैरेलेल कंप्यूटिंग) की स्वीकृति देता है। डिस्ट्रिब्यूटेड फ़ायरवॉल के नीति प्रवर्तन से भी समझौता नहीं किया जाता है जब मेलिसियस कोड वस्तु पूरी तरह से आभासी निजी नेटवर्क के उपयोग से प्रच्छन्न होती है और पारंपरिक फ़ायरवॉल के विपरीत, नेटवर्क पेरीमीटर पर स्क्रीनिंग यूनिट के लिए संचार ट्रैफ़िक को बाधित करती है।

आक्षेप का पता लगाना
डिस्ट्रिब्यूटेड फ़ायरवॉल आक्षेप के प्रयास का पता लगा सकते हैं, लेकिन जांच संग्रह में कठिनाई हो सकती है। एक नेटवर्क में प्रत्येक व्यक्तिगत होस्ट को जांच पर ध्यान देना होता है और प्रसंस्करण और सहसंबंध के लिए उन्हें कुछ केंद्रीय स्थान पर अग्रेषित करना होता है। पहली समस्या कठिन नहीं है; कई होस्ट पहले से ही ऐसे प्रयासों को लॉग कर चुके हैं। संग्रह अधिक समस्याग्रस्त है, विशेष रूप से केंद्रीय स्थल से विकृत संयोजन के समय होती है। प्रभावी रूप से समन्वित आक्षेपों का जोखिम भी है, जिससे केंद्रीय मशीन के विपरीत सेवा से अस्वीकृत किया जा सकता है।

अनधिकृत आक्षेप
सांंस्थितिक प्रतिबंध पर एक डिस्ट्रिब्यूटेड फ़ायरवॉल की स्वतंत्रता योजनाओ के प्रवर्तन का समर्थन करती है, फिर होस्ट समग्र नीति डोमेन के सदस्य हों या बाहरी हो। वे अपने निर्णयों को प्रमाणीकरण तंत्र पर आधारित करते हैं जो नेटवर्क के लेआउट की अंतर्निहित विशेषताएं नहीं हैं। इसके अतिरिक्त, एक वैध उपयोगकर्ता या आक्षेपक द्वारा एक समापन बिंदु का समझौता समग्र नेटवर्क को इस तरह से दुर्बल नहीं करेगा जो सीधे अन्य मशीनों से समझौता करने की ओर ले जाता है, इस तथ्य को देखते हुए कि आभासी निजी नेटवर्क की परिणियोजित संचार ट्रैफिक के खोजी आक्षेप को प्रतिबंधित करती है जिसमें आक्षेप मशीन सम्मिलित नहीं है। लेकिन अंत-बिंदु पर ही, यह मानते हुए कि एक मशीन को एक विरोधी द्वारा प्रगहण कर लिया गया है, इस निष्कर्ष पर पहुंचना चाहिए कि नीति प्रवर्तन तंत्र स्वयं ही नष्ट हो सकता है। एक बार सुरक्षा तंत्र त्रुटिपूर्ण होने के बाद इस मशीन पर बैकडोर की स्थापना अधिकतम आसानी से की जा सकती है, और एक पेरीमीटर फ़ायरवॉल की कमी के साथ, कोई विश्वसनीय इकाई नहीं है जो समझौता किए गए होस्ट में प्रवेश करने या छोड़ने वाले यादृच्छिक ट्रैफ़िक को रोक सके। इसके अतिरिक्त, उपकरण का उपयोग किया जा सकता है जो किसी अन्य एप्लिकेशन के संचार को टनलिंग करने की स्वीकृति देता है, और डिक्रिप्टिंग क्रेडेंशियल्स के उपयुक्त ज्ञान के बिना इसे रोका नहीं जा सकता है; इसके अतिरिक्त, इस तथ्य को देखते हुए कि एक आक्षेप को सफलतापूर्वक किया गया है, मशीन के सत्यापन तंत्र पर अब और विश्वास नहीं किया जा सकता है।

उपयोगकर्ता सहयोग
पहली नज़र में, डिस्ट्रिब्यूटेड फ़ायरवॉल की सबसे बड़ी दुर्बलता उपयोगकर्ताओं द्वारा सहयोग की कमी के प्रति उनकी अधिक संवेदनशीलता है। डिस्ट्रिब्यूटेड फ़ायरवॉल उपयोगकर्ताओं के छोटे समूहों को स्थापित करना आसान बनाकर द्वारा वास्तविक आक्षेपों के खतरे को कम कर सकते हैं। इस प्रकार, कोई फ़ाइल सर्वर तक पहुंच को केवल उन उपयोगकर्ताओं तक सीमित कर सकता है जिन्हें इसकी आवश्यकता है, कंपनी के अंदर किसी को भी अभिगम देने के अतिरिक्त होती है। यह योजनाओ के आकस्मिक विकृत को प्रतिबंधित करने के लिए कुछ प्रयास करने योग्य भी है। योजनाओ को डिजिटल रूप से हस्ताक्षरित किया जा सकता है, और एक अद्वितीय-से-प्रतिस्थापन स्थान में बार-बार बदलती कुंजी द्वारा सत्यापित किया जा सकता है। अधिक प्रबल सुरक्षा के लिए, नीति प्रवर्तन को विकृत-प्रतिरोधी नेटवर्क कार्ड में सम्मिलित किया जा सकता है।

किताबें

 * 1) सोननरेइच, वेस, और टॉम येट्स, बिल्डिंग लिनक्स और ओपनबीएसडी फायरवॉल्स, सिंगापुर: एडिसन विले
 * 2) ज़्विकी, डी. एलिज़ाबेथ, साइमन कूपर, ब्रेंट डी. चैपमैन, बिल्डिंग इंटरनेट फायरवॉल ओ'रेली प्रकाशन
 * 3) स्ट्रेबे, फायरवॉल्स 24 सेवन, बीपीबी पब्लिशर्स

श्वेत पत्र और रिपोर्ट

 * 1) डॉ। हैनकॉक, बिल होस्ट-रेजिडेंट फायरवॉल: नेटवर्क आक्षेपों से विंडोज एनटी/2000 सर्वर और डेस्कटॉप का बचाव
 * 2) बेलोविन, एस.एम. और डब्ल्यू.आर. चेसविक, फायरवाल्स एंड इंटरनेट सिक्योरिटी: रिपेलिंग द विली हैकर, एडिसन-वेस्ले, 1994।
 * 3) Ioannidis, S. और Keromytis, A.D., और Bellovin, S.M. और जे.एम. स्मिथ, इम्प्लीमेंटिंग ए डिस्ट्रीब्यूटेड फायरवॉल, प्रोसीडिंग्स ऑफ कंप्यूटर एंड कम्युनिकेशंस सिक्योरिटी (सीसीएस), पीपी. 190-199, नवंबर 2000, एथेंस, ग्रीस।

श्रेणी:कंप्यूटर नेटवर्क सुरक्षा