समस्या
अज्ञात सेवाएं अक्सर विभिन्न ब्राउज़िंग प्रतिबंधों और इंटरनेट फ़ायरवॉल को बाईपास करने के लिए उपयोग की जाती हैं। कई सम्मानित और लोकप्रिय अज्ञातक NGFW/पारंपरिक फ़ायरवॉल को बचने की तकनीकों का उपयोग करके बाईपास करते हैं। इन तकनीकों में SNI स्पूफिंग, बचने वाले प्रोटोकॉल, CDNs के पीछे छिपना, और सर्वर IP के बीच जम्पिंग शामिल हैं। कोई भी अज्ञातिकरण सेवा जिसे Cato द्वारा एप्लिकेशन या सेवा के रूप में पहचाना जा सकता है उसे "अज्ञातक" के अंतर्गत वर्गीकृत किया जाएगा। उदाहरण के लिए, ClearVPN, Hola VPN, Mullvad VPN, NordVPN, CyberGhost VPN, TunnelBear VPN, Private Internet Access (PIA), Surfshark VPN, Express VPN, और कई अन्य।
यह लेख यह बताता है कि अज्ञात सेवाओं को प्रभावी रूप से अवरुद्ध करने के लिए बेसलाइन फ़ायरवॉल नियम कैसे बनाया जाए। हालांकि, अज्ञातकर्ताओं द्वारा उपयोग की जाने वाली विभिन्न बचने की तकनीकों के कारण, उन्हें सभी को सफलतापूर्वक अवरुद्ध करना चुनौतीपूर्ण हो सकता है। यदि अज्ञातक बेसलाइन नियमों के कॉन्फ़िगर के बावजूद अवरुद्ध नहीं होता है, सहायता के लिए सहायता से संपर्क करें।
नोट: TLS निरीक्षण और IPS को भी सक्षम किया जाना चाहिए।
समाधान
बेसलाइन सुरक्षा स्थापित करने के लिए, दो इंटरनेट फ़ायरवॉल (IFW) नियम बनाने की आवश्यकता है। इसके अतिरिक्त, सर्वोत्तम प्रथा के रूप में एक एप्लिकेशन नियंत्रण नीति बनाना, जिसमें एक मान्य CASB लाइसेंस की आवश्यकता होती है।
- पहला नियम IFW नियम का उपयोग करके एनोनिमाइज़र श्रेणी को अवरुद्ध करता है।
- दूसरा नियम IFW नियम का उपयोग करके अज्ञातकों द्वारा उपयोग किए जाने वाले सामान्य प्रोटोकॉल और बचने की तकनीकों को अवरुद्ध करता है।
- (वैकल्पिक) तीसरा नियम एप्लिकेशन नियंत्रण नीति का उपयोग करके OpenVPN फाइलों को अवरुद्ध करता है। (इसके लिए एक मान्य CASB लाइसेंस की आवश्यकता होती है)
Cato सबसे सामान्य उपयोग में आने वाले अज्ञातकों की एक चयनित सूची बनाए रखता है। इस सूची को देखने के लिए, संसाधन > ऐप्लिकेशन कैटलॉग पर जाएं और "श्रेणी" के अंतर्गत "अज्ञातक" चुनें।
इस सूची में न आने वाले अन्य अज्ञातकों के लिए, हम उन्हें उनके द्वारा उपयोग किए गए प्रोटोकॉल और बचाव तकनीकों के माध्यम से पहचानते हैं। WireGuard, OpenVPN, Evasive DNS, और Evasive TLS प्रोटोकॉल और तकनीकें हैं, जो अज्ञातकर्ता गोपनीयता बढ़ाने और नेटवर्क प्रतिबंधों को बाईपास करने के लिए प्रायः उपयोग करते हैं।
WireGuard
WireGuard प्रोटोकॉल को अवरोधित करने के लिए इंटरनेट फ़ायरवॉल नियम में WireGuard प्रोटोकॉल को अवरोधित करना आवश्यक है।
OpenVPN
OpenVPN एक सुरक्षित टनलिंग प्रोटोकॉल है जो साइट-से-साइट तथा बिंदु-से-बिंदु कनेक्शनों के लिए उपयोग किया जाता है। यह TCP या UDP के माध्यम से संचार कर सकता है, और उपयोगकर्ता पोर्ट को परिभाषित कर सकता है।
OpenVPN प्रोटोकॉल को अवरुद्ध करने के लिए इंटरनेट फ़ायरवॉल नियम में OpenVPN प्रोटोकॉल को अवरोधित करना और फाइल नियंत्रण नियम का उपयोग करके OpenVPN कॉन्फ़िगरेशन फाइलें अवरुद्ध करना आवश्यक है।
Evasive DNS
कई एनोनिमाइज़र DNS टनलिंग और अन्य UDP ट्रैफ़िक का उपयोग पोर्ट 53 पर (ज्ञात रूप में "चालाक DNS") फ़ायरवॉल को बचाने के लिए करते हैं।
TCP/443 पर चालाक ट्रैफ़िक
पोर्ट 443 पर चालाक ट्रैफ़िक एक तकनीक है जो एनोनिमाइज़र अपनी गतिविधियों को वैध दिखने वाले TLS ट्रैफ़िक में छुपाने के लिए उपयोग करते हैं। आधिकारिक RFC के अनुसार, ये वास्तविक TLS ट्रैफ़िक नहीं हैं।
कई एनोनिमाइज़र फ़ायरवॉल को बायपास करने के लिए चालाक TLS ट्रैफ़िक का उपयोग करते हैं।
निम्नलिखित कुछ ज्ञात एनोनिमाइज़र हैं जिन्हें एनोनिमाइज़र श्रेणी और संबंधित IFW सेवाएँ ब्लॉक करके सफलतापूर्वक ब्लॉक किया जा सकता है।
|
इंटरनेट फ़ायरवॉल (IFW) सेवाएँ |
||||||
| एनोनिमाइज़र | WireGuard प्रोटोकॉल | OpenVPN प्रोटोकॉल | चालाक DNS | TCP/443 पर चालाक ट्रैफ़िक | एनोनिमाइज़र श्रेणी को ब्लॉक करने के लिए IFW नियम को कॉन्फ़िगर करें | टिप्पणियाँ |
| साफ़ करें VPN | ✔︎ | |||||
| Hola VPN | ✔︎ | IFW सेवाHTTP प्रॉक्सी को भी ब्लॉक करने की आवश्यकता है | ||||
| Mullvad | ✔︎ | |||||
| NordVPN | ✔︎ | ✔︎ | ✔︎ | ✔︎ | ✔︎ | विंडोज में "मोड" निष्क्रिय सर्वर मोड ब्लॉक नहीं होगा |
| CyberGhost VPN | ✔︎ | ✔︎ | ||||
| TunnelBear VPN | ✔︎ | ✔︎ | ✔︎ | IFW सेवाएँISAMP औरIPsec NAT Traversal को भी ब्लॉक करने की आवश्यकता है। IFW पोर्ट/प्रोटोकॉल TCP/6418 को ब्लॉक करना आवश्यक है | ||
| PIA (निजी इंटरनेट पहुँच) | ✔︎ | |||||
| Sufshark VPN | ✔︎ | ✔︎ | ✔︎ | ✔︎ | ||
| ExpressVPN | ✔︎ | ✔︎ | विंडोज डिवाइस के लिए IFW नियम में OpenVPN सेवा को ब्लॉक करना आवश्यक है | |||
| अनलिमिटेड VPN | ✔︎ | ✔︎ | ✔︎ | ✔︎ | IPS को सक्षम करना आवश्यक है। IFW सेवाएं IPsec NAT Traversal को भी ब्लॉक करने की आवश्यकता है। | |
ऊपर दी गई तालिका में सूचीबद्ध नहीं किए गए एनोनिमाइज़र के लिए, उन्हें ब्लॉक करने के लिए बेसलाइन फ़ायरवॉल नियम बनाने हेतु नीचे दिए गए चरणों का पालन करें।
नियम 1: एनोनिमाइज़र श्रेणी को ब्लॉक करें
- सुरक्षा पर जाएँ > इंटरनेट फ़ायरवॉल
- नया पर क्लिक करें > नया नियम
- एप्लिकेशन/श्रेणी के अंतर्गत, एप्लिकेशन श्रेणी का चयन करें। फिर, ड्रॉपडाउन सूची से एनोनिमाइज़र चुनें।
नियम 2: संदिग्ध सेवाओं को ब्लॉक करें
- सुरक्षा पर जाएँ > इंटरनेट फ़ायरवॉल
- नया पर क्लिक करें > नया नियम
- सेवा/पोर्ट के अंतर्गत, निम्नलिखित सेवाओं को कॉन्फ़िगर करें
एक बार ये दो नियम कॉन्फ़िगर हो जाने के बाद, वे नीचे दिखाए गए उदाहरण के समान होने चाहिए:
नोट: संदिग्ध सेवाओं को ब्लॉक करने के लिए नियम 2 को कॉन्फ़िगर करना गलती से वैध अनुप्रयोगों को ब्लॉक कर सकता है, क्योंकि ये प्रोटोकॉल और तकनीकें केवल एनोनिमाइज़र द्वारा विशेष रूप से उपयोग नहीं की जाती हैं। उदाहरण के लिए, टेलीग्राम TCP/443 के माध्यम से चालाक ट्रैफ़िक का उपयोग करता है। एक सर्वोत्तम प्रथा के रूप में, हम एक सप्ताह के लिए किसी भी गलत सकारात्मक की पहचान करने के लिए नियम को निगरानी करने के लिए सेट करने का सुझाव देते हैं। यदि गलत सकारात्मक होते हैं, तो उचित एप्लिकेशन को ठीक से कार्य करने की अनुमति देने के लिए नियम में एक अपवाद बनाएँ। किसी भी गलत सकारात्मक को संबोधित करने के बाद, नियम को अवरुद्ध करें में परिवर्तन करें।
इंटरनेट कनेक्शन की अनुमति देने के लिए अपवादों का उपयोग करने के तरीके पर अपवाद नियम बनाने के लिए दिशानिर्देश देखें।
नियम 3 (वैकल्पिक): OpenVPN फ़ाइलें अवरुद्ध करें
- सुरक्षा > एप्लिकेशन नियंत्रण नीति पर जाएं
- एक नया फाइल नियंत्रण नियम बनाएँ
- फाइल विशेषताएँ के अंतर्गत, सामग्री प्रकार के रूप में OpenVPN कॉन्फ़िगरेशन फ़ाइल विन्यस्त करें।
एक बार नियम को कॉन्फ़िगर कर लिए जाने के बाद, यह नीचे दिए गए उदाहरण के समान दिखना चाहिए:
नोट:
- एक वैध CASB लाइसेंस की आवश्यकता होती है।
- TLS निरीक्षण को सक्रिय करने की आवश्यकता होती है।
0 टिप्पणियां
कृपया टिप्पणी करने के लिए साइन इन करें करें.