निम्नलिखित लेख फ़ायरवॉल और डीएनएस के उदाहरण का उपयोग करके सुरक्षा नीति बनाने के विषय को संबोधित करने का प्रयास करता है। यह अपनी कंपनी में अपनी संपूर्णता में या आगे के विकास के लिए एक मॉडल के रूप में इस्तेमाल किया जा सकता है ।
फ़ायरवॉल
1.फ़ायरवॉल का उपयोग करके आपके संगठन की सुरक्षा बढ़ाने के लिए डिज़ाइन किया गया है:
- अनधिकृत पहुंच प्रयासों को अवरुद्ध करें (आंतरिक नेटवर्क तक पहुंच को नियंत्रित और प्रतिबंधित करें)।
- कई स्तरों पर नेटवर्क यातायात का निरीक्षण (m.in फायरवॉल आईपी पतों, दिशा और कनेक्शन, प्रोटोकॉल और अनुप्रयोगों की स्थिति, व्यक्तिगत उपयोगकर्ताओं के आधार पर नियंत्रण आयोजित करता है)।
- उन दोनों के बीच सुरक्षा क्षेत्र और मॉडल यातायात विशेषताओं का निर्माण करें।
- नेटवर्क के आंतरिक संगठन और संरचना को छिपाएं।
- उपयुक्त अलार्म उत्पन्न करने के लिए सुरक्षा क्षेत्रों की निगरानी करें।
- घटनाओं के बारे में लॉग एकत्र करें और आंकड़े और रिपोर्ट बनाने के अवसर प्रदान करें।
2. agd.com बाहर यातायात बंदरगाह ४४३ पर बाहर अपनी सार्वजनिक वेबसाइट तक पहुंच तक ही सीमित है । पृष्ठ का प्रशासनिक हिस्सा केवल बंदरगाह 8080 पर आंतरिक नेटवर्क से उपलब्ध है। डीएनएस सेवा पोर्ट 53 पर उपलब्ध है। इसके अलावा, पोर्ट 110 पर एक मेल सर्वर के लिए एक इंट्रा कंपनी कनेक्शन, डेटाबेस कनेक्शन के लिए पोर्ट 3306, और रिमोट सर्वर प्रशासन के लिए एसएसएच करने के लिए पोर्ट 2020 के लिए एक कनेक्शन खुला है।
3. निम्नलिखित प्रक्रिया नेटवर्क प्रशासकों को संबोधित किया जाता है और अनधिकृत व्यक्तियों को नहीं बताया जाना चाहिए:
- विस्तृत iptables स्क्रिप्ट अव्यक्त है और एक इमारत की 8 वीं मंजिल पर एक सुरक्षित में स्थित है । यदि आप अपने फायरवॉल कॉन्फ़िगरेशन में परिवर्तन करते हैं तो इसका उपयोग करें। नेटवर्क का प्रमुख प्रशासक ऐसा करने के लिए अधिकृत व्यक्ति है।
फायरवॉल को iptables के लिए एक स्क्रिप्ट के साथ कॉन्फ़िगर किया गया है जो इस तरह दिखता है:
#!/बिन/श
##############################################################################
IPTABLES= iptables
पथ ="/usr/sbin"
# सर्वर पता
सर्वर ="192.168.1.3"
# प्रशासक कंप्यूटर पता
व्यवस्थापक ="192.168.1.10"
# हमारे वेब का पता अंतरिक्ष और कार्ड मैं समर्थन
WEW_NET ="192.168.1.0/24"
WEW_DEV = "eth0"
# निकास पता - बाहरी और सेवा कार्ड
ZEW_NET ="0/0"
ZEW_DEV = "eth1"
# टीसीपी सेवाएं जिन्हें हम पास करना चाहते हैं
TCP_IN ="ssl, dns" # 443, 53
TCP_OUT = "एसएसएल, डीएनएस" # 443, 53
# यूडीपी सेवाएं, जो माध्यम से गुजरती हैं
UDP_IN = "443"
UDP_OUT =""
# आईसीएमपी सेवाएं जिन्हें हम पारित करना चाहते हैं
ICMP_IN =""
ICMP_OUT =""
#################################################################################
# हम पिछले नियमों को हटा दें
$IPTABLES -एफ इनपुट
$IPTABLES -एफ फॉरवर्ड
$IPTABLES -एफ आउटपुट
# डिफ़ॉल्ट नीति की स्थापना
$IPTABLES -P इनपुट ड्रॉप
$IPTABLES -P आउटपुट स्वीकार करते हैं
$IPTABLES -पी फॉरवर्ड ड्रॉप
# लॉग में हमारे सभी यातायात को बचाओ
$IPTABLES -एक इनपुट -j LOG -m सीमा --सीमा 15/
$IPTABLES -एक आउटपुट -j LOG-m सीमा --सीमा 15/घंटा
$IPTABLES-एक आगे-j LOG-m सीमा--सीमा 15/घंटा
# लिंक का पालन करने की संभावना लोड
मॉडप्रोब ip_conntarck
मॉडप्रोब ip_conntarck_ftp
# पिंग्स के जवाब बंद करें
गूंज "1" >/proc/sys/net/ipv4/icmp_echo_ignore_all
# Smurf हमलों के खिलाफ सुरक्षा
गूंज "1" >/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# हम आईसीएमपी त्रुटि संचार के खिलाफ सुरक्षा पर डाल दिया
गूंज "1" >/proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
# अजीब संकुल के प्रवेश को सक्षम बनाता है (स्पूफ्ड। स्रोत रूट किया गया। रीडायरेक्ट)
गूंज "1" >/proc/sys/net/ipv4/conf/all/log_martians
# हम "स्रोत मार्ग" विकल्प के साथ आईपी डेटाग्राम स्वीकार नहीं करते
गूंज "0" >/proc/sys/net/ipv4/conf/all/accept_source_route
# हम आईसीएमपी रेडिक्ट पैकेज स्वीकार नहीं करते हैं जो हमारे रूटिंग बोर्डों को बदल सकते हैं
गूंज "0" /proc/sys/net/ipv4/conf/all/accept_redirects
# सभी कार्ड उन लोगों के अलावा अन्य बुवाई से संकुल का इस्तेमाल नहीं किया जाएगा
# रूटिंग सरणी से
गूंज "1" /proc/sys/net/ipv4/conf/all/rp_filter
# हम संकुल हमारे कंप्यूटर के आसपास चलाने के लिए अनुमति देते हैं
# यानी, पेटल रिटर्न लूपबैक अनलॉक करें
$IPTABLES -एक इनपुट -मैं लो -जे स्वीकार
$IPTABLES -एक आउटपुट -ओ लो -जे स्वीकार करें
# हम मोड पर निष्क्रिय में प्रोटोकॉल के उपयोग की अनुमति
$IPTABLES -एक इनपुट -एम राज्य --राज्य की स्थापना की, संबंधित -j स्वीकार करें
# बाहर से आने वाले अन्य लोगों के लिए सर्वर पर सेवाएं अनलॉक करें
#$IPTABLES -A इनपुट -p tcp -s 0/0 --dport 443 -j स्वीकार
#$IPTABLES -A इनपुट -p udp -s 0/0 --dport 443 -j स्वीकार करें
$IPTABLES -a इनपुट -p tcp -s 0/0 --खेल 443 -j स्वीकार करें
$IPTABLES-एक इनपुट-पी udp-s 0/0--खेल ४४३-j स्वीकार
# दिए गए आईपी पते के लिए सीवर सेवाओं को अनलॉक करें - COMP TCP_IN की परिभाषाओं के ऊपर देखें, UDP_IN
#$IPTABLES -एक इनपुट -पी टीसीपी -एस $KOMP -m मल्टीपोर्ट--dport $TCP_IN-j स्वीकार # प्रोटोकॉल टीसीपी
#$IPTABLES -एक इनपुट -पी यूडीपी -एस $KOMP -एम मल्टीपोर्ट --dport $UDP_IN-j स्वीकार # प्रोटोकॉल यूडीपी
#$IPTABLES -a इनपुट -p udp -s $KOMP --dport 137:139 -j स्वीकार # प्रोटोकॉल यूडीपी
# हम दिए गए आईपी पते से सब कुछ अनुमति देते हैं - इस पते से प्रशासन जम्मू
$IPTABLES -a इनपुट -s $KOMP -j स्वीकार # इसलिए उपरोक्त नियम बंद हैं
# डीएनएस तक पहुंच
$IPTABLES -a इनपुट -p tcp -s 0/0 --खेल 53 -d $SERWER -j स्वीकार करें
$IPTABLES -a इनपुट -p udp -s 0/0--खेल 53 -d $SERWER -j स्वीकार
#$IPTABLES-एक आउटपुट-पी टीसीपी-एस $SERWER-डी 0/0--dport ५३-j स्वीकार
#$IPTABLES-एक आउटपुट-पी यूडीपी-एस $SERWER-डी 0/0--dport ५३-j स्वीकार करें
# हम जन्म के पते के साथ संकुल बंद हमारे लिए सेट
$IPTABLES -a इनपुट -i $WEW_देव -s $SERWER -j DROP # लैंड अटैक
# गैर-लीक, मल्टीकास्ट और आरक्षित पतों के साथ पैकेट
$IPTABLES -a इनपुट -i $WEW_देव -s 10.0.0.0/8 -j ड्रॉप #class A
$IPTABLES -a इनपुट -i $WEW_देव -s 172.16.0.0.0/12 -j ड्रॉप #class बी
# $IPTABLES -A इनपुट -i $WEW_देव -s 192.168.0.0/16 -j ड्रॉप #class सी - यह वही है जो हम उपयोग करते हैं
$IPTABLES -a इनपुट -i $WEW_देव -s 224.0.0.0/4 -j ड्रॉप #multicast
$IPTABLES -a इनपुट -i $WEW_देव -d 224.0.0.0.0/4 -j ड्रॉप #multicast
$IPTABLES -a इनपुट -i $WEW_देव -s 240.0.0.0.0/5 -j ड्रॉप #reserved
$IPTABLES -a इनपुट -i $WEW_देव -s 127.0.0.0/5 -j ड्रॉप #lo
- हम 700 एक्सेस राइट्स के साथ इस स्क्रिप्ट को सेव करते हैं और सर्वर पर चलते हैं।
- फिर, जब आप फायरवॉल स्क्रिप्ट चलाते हैं, तो आप लॉग स्टोरेज सक्षम करते हैं। ऐसा करने के लिए, /आदि/syslog.conf फ़ाइल के अंत में निम्नलिखित कोड टाइप करें:
*.* /देव/tty12
*.* /var/log/फ़ायरवॉल- सिस्लेज़ डेमन को पुनः आरंभ करें:
# killall -HUP syslogd- अब से फाइल/वीएआर/लॉग/फिरवाल (कंसोल 12 पर भी-ऑल्ट +12)में हमारे पास सभी सिस्टम लॉग होंगे ।
4. फायरवॉल विन्यास में परिवर्तन केवल मुख्य नेटवर्क प्रशासक द्वारा किया जा सकता है। यह नेटवर्क प्रशासकों से 43 डाउनलोड का अनुरोध करके किया जाता है, जिसे आईटी के मुख्य आईटी प्रबंधक द्वारा अनुमोदित किया जाना चाहिए।
5. फायरवॉल विन्यास में परिवर्तन केवल व्यक्तिगत आईटी विभागों के प्रबंधकों द्वारा अनुरोध किया जा सकता है।
6. यदि कोई फायरवॉल लटका हुआ है, तो नेटवर्क प्रशासक फायरवॉल को रीसेट करने के लिए जिम्मेदार हैं, या बैकअप सर्वर में वृद्धि के चरम मामले में।
7. असत्यापित अनुरोध के आधार पर फायरवॉल कॉन्फ़िगरेशन में परिवर्तन न करें।
8. आपके ऑपरेटिंग सिस्टम के लिए कोई भी अपडेट और आपके द्वारा उपयोग किए जाने वाले अनुप्रयोगों को दिखाई देते ही इंस्टॉल किया जाना चाहिए। यदि यह कथन महत्वपूर्ण उत्पादन प्रणालियों के संचालन में हस्तक्षेप करता है, तो जब भी संभव हो अपडेट किया जाना चाहिए।
9. सेटिंग्स के सत्यापन नेटवर्क प्रशासकों द्वारा त्रैमासिक लेखा परीक्षा की जानी चाहिए ।
- यह बाहरी नेटवर्क कमांड से एनएममैप टूल का उपयोग करके किया जा सकता है:
एनएमईपी -पी 1-65535 -T4 -a -v firma.com -Pn- परिणाम इस प्रकार होना चाहिए:
agd.com के लिए Nmap स्कैन रिपोर्ट (x.x.x.x)
मेजबान (0.00047s विलंबता) है।
नहीं दिखाया गया: 65533 फ़िल्टर किए गए बंदरगाह
पोर्ट स्टेट सर्विस वर्जन
53/टीसीपी ओपन टीसीपीलैप
443/टीसीपी ओपन टीसीपीलैप- अनुपालन न करने की स्थिति में, इस तथ्य को प्राथमिक नेटवर्क प्रशासक को रिपोर्ट करें जो भेद्यता पैदा करने के लिए जिम्मेदार है।
डीएनएस
1. डीएनएस विन्यास सुरक्षा तीन बुनियादी सिद्धांतों पर आधारित है:
- सर्वर को केवल एक डोमेन के साथ किसी से मेल र कहना चाहिए जिसका वे समर्थन करते हैं;
- प्रत्येक प्रश्न का उत्तर केवल उस नेटवर्क पर दें जिसे आप समर्थन करते हैं;
- आपको अपने डोमेन को केवल अपने डाउनस्ट्रीम सर्वर पर स्थानांतरित करने की अनुमति देता है;
2. डीएनएस विन्यास परिवर्तन केवल रूट नेटवर्क प्रशासक द्वारा किया जा सकता है। यह नेटवर्क प्रशासकों से 45 डाउनलोड का अनुरोध करके किया जाता है, जिसे मुख्य आईटी प्रबंधक द्वारा अनुमोदित किया जाना चाहिए।
3. केवल व्यक्तिगत आईटी विभागों के प्रबंधक डीएनएस विन्यास में परिवर्तन का अनुरोध कर सकते हैं।
4. असत्यापित अनुरोध के आधार पर फायरवॉल कॉन्फ़िगरेशन में परिवर्तन न करें।
5. यदि डीएनएस हैंग किया जाता है, तो नेटवर्क प्रशासक नेटवर्क को रीसेट करने के लिए जिम्मेदार हैं, या बैकअप सर्वर में वृद्धि के चरम मामले में।
6. आपके ऑपरेटिंग सिस्टम के लिए कोई भी अपडेट और आपके द्वारा उपयोग किए जाने वाले अनुप्रयोगों को दिखाई देते ही इंस्टॉल किया जाना चाहिए। यदि यह कथन महत्वपूर्ण उत्पादन प्रणालियों के संचालन में हस्तक्षेप करता है, तो जब भी संभव हो अपडेट किया जाना चाहिए।
7. निम्नलिखित विन्यास नेटवर्क प्रशासकों को संबोधित किया जाता है और अनधिकृत व्यक्तियों को नहीं बताया जाना चाहिए:
डीएनएस agd.com पर बिंद डीएनएस पर आधारित है और इस तरह दिखता है:
- नाम.conf.options के वैश्विक विकल्प अनुभाग से पहले, आपको यह परिभाषित करना होगा कि किसी भी डोमेन के लिए सर्वर से कौन क्वेरी कर सकता है:
- इसके बाद, आपको सेटिंग्स को कॉन्फ़िगर करने की आवश्यकता है जो हमारे डोमेन के लिए पूछ सकते हैं:
- अनुमति हस्तांतरण निर्देश पर विशेष ध्यान दिया जाना चाहिए, जो हमारे डोमेन में सभी प्रविष्टियों को प्रकट कर सकता है। यदि हमारे पास बैकअप सर्वर नहीं है, तो हम इस विकल्प को ऊपर प्रविष्टि के रूप में ब्लॉक करते हैं।
- अगला कदम विन्यास की शुद्धता का ऑडिट करना है।
- इस उद्देश्य के लिए, हम खुदाई उपकरण का उपयोग कर सकते हैं।
- हम अन्य पतों के लिए हमारे सर्वर को अवरुद्ध करने की जांच करते हैं, दूसरे नेटवर्क से ऐसा करते हैं:
डीआईजी @ip_naszego_serwera jakieś_inne_ip - कार्रवाई का परिणाम निम्नलिखित के समान होना चाहिए:
<>> DiG ९.३.२ <> > @agd.com wp.pl A
; (1 सर्वर मिला)
;; वैश्विक विकल्प: प्रिंटसीएमडी
;; जवाब मिला:
;; ->>हेडर<- opcode: QUERY, status: REFUSED, id: 65151
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0- हम बाहरी सर्वर के माध्यम से डोमेन हस्तांतरण की संभावना की जांच करते हैं:
एक्सएफआर agd.com खुदाई- कार्रवाई का परिणाम निम्नलिखित के समान होना चाहिए:
<>> डीईजी 9.3.2 <> > agd.com एक्सएफआर
;; वैश्विक विकल्प: प्रिंटसीएमडी
; ट्रांसफर फेल हो गया।- अनुपालन न करने की स्थिति में, इस तथ्य को प्राथमिक नेटवर्क प्रशासक को रिपोर्ट करें जो भेद्यता पैदा करने के लिए जिम्मेदार है।
