Network Security &firewall concepts.Concept of DHCP Server.

Network Security &firewall concepts.

फ़ायरवॉल एक प्रणाली है जो उपयोगकर्ता द्वारा परिभाषित नियमों के एक सेट के आधार पर आने वाले और बाहर जाने वाले नेटवर्क ट्रैफ़िक को फ़िल्टर करके नेटवर्क सुरक्षा प्रदान करती है। सामान्य तौर पर, फ़ायरवॉल का उद्देश्य अवांछित नेटवर्क संचार की घटना को कम करना या समाप्त करना है, जबकि सभी वैध संचार को स्वतंत्र रूप से प्रवाह करने की अनुमति देता है। अधिकांश सर्वर इन्फ्रास्ट्रक्चर में, फ़ायरवॉल सुरक्षा की एक आवश्यक परत प्रदान करते हैं, जो अन्य उपायों के साथ मिलकर, हमलावरों को आपके सर्वर को दुर्भावनापूर्ण तरीके से एक्सेस करने से रोकते हैं।

यह मार्गदर्शिका चर्चा करेगी कि फायरवॉल कैसे काम करता है, स्टेटफुल सॉफ़्टवेयर फायरवॉल पर ध्यान केंद्रित करने के साथ, जैसे कि iptables और फ़ायरवॉल, क्योंकि वे क्लाउड सर्वर से संबंधित हैं। हम टीसीपी पैकेट और विभिन्न प्रकार के फायरवॉल के संक्षिप्त विवरण के साथ शुरुआत करेंगे। फिर हम विभिन्न विषयों पर चर्चा करेंगे, जो स्टेटफुल फायरवॉल के लिए प्रासंगिक हैं। अंत में, हम अन्य ट्यूटोरियल को लिंक प्रदान करेंगे जो आपको अपने सर्वर पर फ़ायरवॉल सेट करने में मदद करेंगे।

टीसीपी नेटवर्क पैकेट

विभिन्न प्रकार के फायरवॉल पर चर्चा करने से पहले, परिवहन नियंत्रण प्रोटोकॉल (टीसीपी) नेटवर्क ट्रैफ़िक कैसा दिखता है, इस पर एक नज़र डालें।

टीसीपी नेटवर्क ट्रैफ़िक पैकेट में एक नेटवर्क के चारों ओर घूमता है, जो कंटेनर होते हैं जिसमें एक पैकेट हेडर होता है - इसमें स्रोत और गंतव्य पते जैसे नियंत्रण जानकारी और पैकेट अनुक्रम जानकारी - और डेटा (जिसे पेलोड के रूप में भी जाना जाता है) होता है। जबकि प्रत्येक पैकेट में नियंत्रण जानकारी यह सुनिश्चित करने में मदद करती है कि इसका संबद्ध डेटा ठीक से वितरित हो, इसमें शामिल तत्व फ़ायरवॉल को फ़ायरवॉल नियमों के विरुद्ध पैकेट से मिलान करने के कई तरीके प्रदान करते हैं।

यह ध्यान रखना महत्वपूर्ण है कि आने वाले टीसीपी पैकेट को सफलतापूर्वक प्राप्त करने के लिए रिसीवर को प्रेषक को वापस भेजे गए पावती पैकेट भेजने की आवश्यकता होती है। इनकमिंग और आउटगोइंग पैकेट में नियंत्रण जानकारी के संयोजन का उपयोग प्रेषक और रिसीवर के बीच कनेक्शन की स्थिति (जैसे, नए, स्थापित, संबंधित) को निर्धारित करने के लिए किया जा सकता है।

फायरवॉल के प्रकार

आइए जल्दी से तीन बुनियादी प्रकार के नेटवर्क फायरवॉल पर चर्चा करें: पैकेट फ़िल्टरिंग (स्टेटलेस), स्टेटफुल और एप्लिकेशन लेयर।

पैकेट फ़िल्टरिंग, या स्टेटलेस, फायरवॉल अलगाव में अलग-अलग पैकेटों का निरीक्षण करके काम करते हैं। जैसे, वे कनेक्शन राज्य से अनजान हैं और केवल व्यक्तिगत पैकेट हेडर के आधार पर पैकेट की अनुमति या इनकार कर सकते हैं।

स्टेटफुल फायरवॉल पैकेट की कनेक्शन स्थिति को निर्धारित करने में सक्षम हैं, जो उन्हें स्टेटलेस फायरवॉल की तुलना में अधिक लचीला बनाता है। वे संबंधित पैकेट एकत्र करके तब तक काम करते हैं जब तक कि कनेक्शन की स्थिति को निर्धारित नहीं किया जा सकता है इससे पहले कि कोई फ़ायरवॉल नियम यातायात पर लागू हो।

अनुप्रयोग फायरवॉल डेटा के प्रेषित होने का विश्लेषण करके एक कदम आगे बढ़ते हैं, जो नेटवर्क ट्रैफ़िक को फ़ायरवॉल नियमों के विरुद्ध मिलान करने की अनुमति देता है जो व्यक्तिगत सेवाओं या अनुप्रयोगों के लिए विशिष्ट हैं। इन्हें प्रॉक्सी-आधारित फायरवॉल के रूप में भी जाना जाता है।

फ़ायरवॉल सॉफ़्टवेयर के अलावा, जो सभी आधुनिक ऑपरेटिंग सिस्टम पर उपलब्ध है, फ़ायरवॉल की कार्यक्षमता हार्डवेयर डिवाइस जैसे राउटर या फ़ायरवॉल उपकरण द्वारा भी प्रदान की जा सकती है। फिर, हमारी चर्चा उन स्टेटफुल सॉफ़्टवेयर फ़ायरवॉल पर केंद्रित होगी जो सर्वर पर चलते हैं, जिनकी सुरक्षा करना उनका उद्देश्य है।

फ़ायरवॉल नियम

जैसा कि ऊपर उल्लेख किया गया है, नेटवर्क ट्रैफ़िक जो एक फ़ायरवॉल का पता लगाता है, नियमों के विरुद्ध यह निर्धारित करने के लिए मिलान किया जाता है कि यह अनुमति दी जानी चाहिए या नहीं। फ़ायरवॉल नियम कैसा दिखता है, यह समझाने का एक आसान तरीका कुछ उदाहरण दिखाना है, इसलिए अब हम ऐसा करेंगे।

मान लीजिए कि आपके पास फ़ायरवॉल नियमों की इस सूची के साथ एक सर्वर है जो आने वाले ट्रैफ़िक पर लागू होता है:

पोर्ट 80 और 443 (HTTP और HTTPS वेब ट्रैफ़िक) पर सार्वजनिक नेटवर्क इंटरफ़ेस में नया और स्थापित इनकमिंग ट्रैफ़िक स्वीकार करें

अपने कार्यालय में गैर-तकनीकी कर्मचारियों के आईपी पते से आने वाले ट्रैफ़िक को 22 (एसएसएच) पर छोड़ें

पोर्ट 22 (SSH) पर निजी नेटवर्क इंटरफेस के लिए अपने कार्यालय आईपी रेंज से नए और स्थापित आने वाले ट्रैफ़िक को स्वीकार करें

ध्यान दें कि इन उदाहरणों में से प्रत्येक में पहला शब्द या तो "स्वीकार", "अस्वीकार" या "ड्रॉप" है। यह उस क्रिया को निर्दिष्ट करता है जो फ़ायरवॉल को उस घटना में करना चाहिए जो नेटवर्क ट्रैफ़िक का एक टुकड़ा एक नियम से मेल खाता है। एक्सेप्ट का अर्थ है ट्रैफ़िक को अनुमति देना, अस्वीकार करने का अर्थ है ट्रैफ़िक को रोकना लेकिन "अगम्य" त्रुटि के साथ उत्तर देना, और ट्रैफ़िक को अवरुद्ध करने और कोई उत्तर न भेजने का अर्थ है ड्रॉप करना। प्रत्येक नियम के बाकी हालत में प्रत्येक पैकेट के खिलाफ मिलान किया जाता है।

जैसा कि यह पता चला है, नेटवर्क ट्रैफ़िक को पहले या अंतिम क्रम से फ़ायरवॉल नियमों की एक सूची, या अनुक्रम में मेल किया जाता है। अधिक विशेष रूप से, एक बार एक नियम से मिलान होने पर, संबंधित कार्रवाई को नेटवर्क ट्रैफ़िक पर लागू किया जाता है। हमारे उदाहरण में, यदि एक लेखा कर्मचारी ने सर्वर पर एसएसएच कनेक्शन स्थापित करने का प्रयास किया, तो उन्हें नियम 2 के आधार पर खारिज कर दिया जाएगा, नियम 3 से पहले भी जाँच की जाती है। एक प्रणाली प्रशासक, हालांकि, स्वीकार किया जाएगा क्योंकि वे केवल नियम 3 से मेल खाते हैं।

Concept of DHCP Server.

एक डीएचसीपी सर्वर एक नेटवर्क सर्वर है जो क्लाइंट डिवाइसों को स्वचालित रूप से आईपी पते, डिफ़ॉल्ट गेटवे और अन्य नेटवर्क पैरामीटर प्रदान और असाइन करता है। यह मानक प्रोटोकॉल पर निर्भर करता है जिसे डायनेमिक होस्ट कॉन्फ़िगरेशन प्रोटोकॉल या डीएचसीपी के रूप में जाना जाता है ताकि ग्राहकों द्वारा प्रसारित प्रश्नों का जवाब दिया जा सके।

एक डीएचसीपी सर्वर ग्राहकों को नेटवर्क पर ठीक से संचार करने के लिए आवश्यक नेटवर्क मापदंडों को स्वचालित रूप से भेजता है। इसके बिना, नेटवर्क व्यवस्थापक को नेटवर्क से जुड़ने वाले प्रत्येक क्लाइंट को मैन्युअल रूप से सेट करना होगा, जो बोझिल हो सकता है, खासकर बड़े नेटवर्क में। डीएचसीपी सर्वर आमतौर पर प्रत्येक ग्राहक को एक अद्वितीय गतिशील आईपी पते के साथ असाइन करते हैं, जो उस आईपी पते के लिए ग्राहक के पट्टे की अवधि समाप्त होने पर बदल जाता है।

राउटर का उपयोग कब करें / अपने डीएचसीपी सर्वर के रूप में स्विच करें

कई उद्यम कंपनियां हैं जो अभी भी अपने राउटर / स्विच पर आईपीवी 4 के लिए डीएचसीपी का उपयोग कर रही हैं। यह आमतौर पर नेटवर्क प्रशासक द्वारा किया जाता है, जिन्हें डीएचसीपी क्षमता प्राप्त करने और जल्दी से चलाने की आवश्यकता होती है, लेकिन डीएचसीपी सर्वर तक पहुंच नहीं होती है। अधिकांश राउटर / स्विच में निम्नलिखित डीएचसीपी सर्वर समर्थन प्रदान करने की क्षमता होती है:

एक डीएचसीपी ग्राहक और एक अपस्ट्रीम डीएचसीपी सेवा से एक इंटरफ़ेस आईपीवी 4 पता प्राप्त करें

डीएचसीपी रिले और फॉरवर्ड यूडीपी डीएचसीपी संदेश क्लाइंट पर लैन से और डीएचसीपी सर्वर से

एक डीएचसीपी सर्वर जिससे राउटर / स्विच सेवाएं डीएचसीपी सीधे अनुरोध करती हैं। हालाँकि, DHCP सर्वर के रूप में राउटर / स्विच का उपयोग करने की सीमाएँ हैं

राउटर / स्विच पर डीएचसीपी सर्वर चलाने से नेटवर्क डिवाइस पर संसाधनों की खपत होती है। इन डीएचसीपी पैकेटों को सॉफ्टवेयर में संभाला जाता है (हार्डवेयर त्वरित अग्रेषण नहीं)। आवश्यक संसाधन इस अभ्यास को डीएचसीपी ग्राहकों की एक बड़ी संख्या (> 150) वाले नेटवर्क के लिए उपयुक्त नहीं बनाते हैं।

डायनेमिक डीएनएस का समर्थन नहीं करता है। राउटर / स्विच डीएचसीपी सर्वर क्लाइंट की ओर से ली गई आईपीवी 4 पते के आधार पर क्लाइंट की ओर से डीएनएस में एक प्रविष्टि नहीं बना सकता है।

ई-एबिलिटी की कोई क्षमता गुंजाइश का प्रबंधन नहीं करती है और कई राउटरों में वर्तमान डीएचसीपी बाइंडिंग और पट्टों को देखती है। DHCP बाइंडिंग के बारे में जानकारी प्राप्त करने के लिए व्यवस्थापक को व्यक्तिगत रूप से स्विच / राउटर में प्रवेश करना चाहिए।

डीएचसीपी बाइंडिंग की कोई उच्च उपलब्धता या अतिरेक नहीं। यदि वर्तमान डीएचसीपी सर्वर और डिफ़ॉल्ट गेटवे विफल रहता है तो यह समस्या पैदा कर सकता है।

राउटर / स्विच प्लेटफॉर्म पर डीएचसीपी विकल्पों को कॉन्फ़िगर करना अधिक कठिन है।

राउटर / स्विच पर चलने वाली डीएचसीपी सेवा एड्रेस ट्रैकिंग और स्कोप उपयोग या सुरक्षा फॉरेंसिक के लिए आईपी एड्रेस मैनेजमेंट (आईपीएएम) के साथ एकीकृत नहीं है।

एक समर्पित डीएचसीपी सर्वर के लाभ

अपने राउटर / स्विच पर डीएचसीपी का उपयोग करने की कोशिश करने से बेहतर तरीका एक केंद्रीकृत डीएचसीपी सर्वर का उपयोग करना है। यह नेटवर्क वातावरण के लिए विशेष रूप से सच है जिसे एक ही समय में आईपीवी 4 के लिए डीएचसीपी और डीएचसीपी दोनों के लिए डीएचसीपी के समर्थन की आवश्यकता होती है। वस्तुतः सभी डीएचसीपी सर्वर विक्रेता दोनों प्रोटोकॉल का समर्थन करते हैं ताकि आप आईपीवी 4 और आईपीवी 6 के लिए एक ही प्रबंधन इंटरफ़ेस का उपयोग कर सकें। ऐसे कई लाभ हैं जो उद्यम के लिए डीएचसीपीवी 6 का उपयोग करना लाभप्रद बनाते हैं।

एक डीएचसीपीवी 6 सर्वर जो आईपीवी 6 के लिए आपके आईपी एड्रेस मैनेजमेंट (आईपीएएम) सिस्टम में एकीकृत है, आईपीवी 6-सक्षम क्लाइंट नोड्स को दृश्यता देता है।

आप IPv4 के लिए भी यही कार्यक्षमता चाहते हैं। चूंकि IPv4 पता स्थान तेजी से बाधित हो जाता है, आप अपने डीएचसीपी स्कोप्स का ट्रैक रखना चाहेंगे और निर्धारित करेंगे कि यदि आपके लीज़ का समय BYOD सिस्टम के ढेरों के साथ पर्याप्त है जो आपके नेटवर्क वातावरण में शामिल हो रहा है।

डीएचसीपी सर्वर लॉगिंग और प्रबंधन इंटरफेस प्रदान करते हैं जो प्रशासकों को उनके आईपी एड्रेस स्कोप का प्रबंधन करने में सहायता करते हैं। आपका संगठन IP संस्करण के उपयोग की परवाह किए बिना आपके नेटवर्क पर क्या है, इसका लेखा-जोखा चाहेगा।

डीएचसीपी सर्वर अतिरेक और उच्च उपलब्धता प्रदान कर सकते हैं। यदि एक डीएचसीपी सर्वर विफल हो जाता है, तो क्लाइंट अपने वर्तमान आईपी पते को संरक्षित करेंगे और अंत-नोड्स के लिए रुकावट पैदा नहीं करेंगे।

संगठन एक डीएचसीपीवी 6 सर्वर को पसंद करेंगे जिसे आजमाया और परखा गया हो। उदाहरण के लिए, Infoblox DHCPv6 सर्वर को USGv6 प्रमाणन प्रयोगशाला द्वारा "IPv6 रेडी" के रूप में प्रमाणित किया गया है।

आईपीवी 6 को लागू करने के लिए शुरू होने वाले संगठनों को राउटर / स्विच से आईपीवी 4 गुंजाइश के लिए डीएचसीपी को स्थानांतरित करना चाहिए और उन्हें एक मजबूत डीएचसीपी सर्वर इंफ्रास्ट्रक्चर पर रखना चाहिए। इस परिवर्तन का अर्थ यह भी होगा कि आपका संगठन चाहेगा कि डीएचसीपी दोनों प्रोटोकॉल के लिए समान कार्य करे। एंटरप्राइज़ संगठन क्लाइंट डिवाइसों को IPv4 और IPv6 एड्रेस प्रदान करने के लिए केंद्रीकृत दोहरे-प्रोटोकॉल डीएचसीपी सर्वर का लाभ उठाना चाहेंगे।