UNIT 2: नेटवर्क सुरक्षा कमजोरियाँ और समाधान

 

UNIT 2: नेटवर्क सुरक्षा कमजोरियाँ और समाधान

---

2.1. लोकप्रिय नेटवर्किंग प्रोटोकॉल में सुरक्षा कमजोरियों को समझना

नेटवर्किंग प्रोटोकॉल नेटवर्क पर संचार के लिए आवश्यक हैं। हालांकि, इन प्रोटोकॉल में सुरक्षा कमजोरियाँ हो सकती हैं जिन्हें हमलावर द्वारा उपयोग किया जा सकता है। आइए हम सामान्य नेटवर्किंग प्रोटोकॉल और उनकी सुरक्षा कमजोरियों का पता लगाते हैं:

---

2.1.1. IP (इंटरनेट प्रोटोकॉल)

सुरक्षा कमजोरियाँ:

• IP Spoofing: हमलावर IP पैकेट के स्रोत पते को बदल सकते हैं, जिससे यह प्रतीत होता है कि यह एक विश्वसनीय स्रोत से आ रहा है। इसका उपयोग DoS (Denial of Service) हमलों या वैध उपकरणों की नकल करने के लिए किया जा सकता है।
• एन्क्रिप्शन की कमी: IP पैकेट्स एन्क्रिप्टेड नहीं होते, जिससे डेटा को ट्रांसमिशन के दौरान अवैध उपयोगकर्ताओं द्वारा इंटरसेप्ट और पढ़ा जा सकता है।
• मैन-इन-द-मिडल (MITM) अटैक: चूंकि IP में प्रमाणीकरण और एन्क्रिप्शन का अभाव होता है, हमलावर डेटा को इंटरसेप्ट और संभवतः संशोधित कर सकते हैं।

निवारण:

• IPsec (इंटरनेट प्रोटोकॉल सुरक्षा) का उपयोग करें, जो उपकरणों के बीच संचार को एन्क्रिप्ट करता है और सुरक्षित बनाता है।

---

2.1.2. TCP (ट्रांसमिशन कंट्रोल प्रोटोकॉल)

सुरक्षा कमजोरियाँ:

• SYN फ्लड अटैक: TCP तीन-तरफा हैंडशेक (SYN, SYN-ACK, ACK) का उपयोग करता है। हमलावर SYN अनुरोध भेज सकते हैं और हैंडशेक को पूरा किए बिना, जिससे संसाधन समाप्त हो जाते हैं (DoS हमला)।
• सत्र अपहरण (Session Hijacking): एक बार TCP कनेक्शन स्थापित होने के बाद, हमलावर क्रमांक का अनुमान लगा कर कनेक्शन को अपहरण कर सकते हैं और संचार पर नियंत्रण कर सकते हैं।
• TCP Spoofing: हमलावर TCP कनेक्शन का शोषण कर सकते हैं ताकि वे पहचान न बता सकें और दुर्भावनापूर्ण डेटा इंजेक्ट कर सकें।

निवारण:

• TCP अनुक्रम संख्या यादृच्छिककरण (Sequence Number Randomization) का उपयोग करें ताकि अपहरण को रोका जा सके।
• SYN फ्लड सुरक्षा को लागू करें, ताकि आधे खुले कनेक्शनों की संख्या को सीमित किया जा सके।

---

2.1.3. UDP (यूजर डेटाग्राम प्रोटोकॉल)

सुरक्षा कमजोरियाँ:

• कनेक्शन-रहित संचार: TCP के विपरीत, UDP कनेक्शन स्थापित किए बिना डेटा भेजता है, जिससे हमलावरों के लिए डेटा की नकल करना आसान हो जाता है।
• त्रुटि रिकवरी की कमी: UDP में अंतर्निहित त्रुटि रिकवरी नहीं होती है, जिससे दुर्भावनापूर्ण पैकेट्स भेजे जा सकते हैं और इन्हें पता नहीं चलता।
• एंप्लीफिकेशन हमले (Amplification Attacks): UDP अक्सर परावृत्ति हमलों में उपयोग किया जाता है, जैसे DNS एंप्लीफिकेशन, जहां एक छोटा अनुरोध बहुत बड़ा उत्तर उत्पन्न करता है और लक्ष्य प्रणाली को ओवरलोड कर देता है।

निवारण:

• फ़ायरवॉल और इन्फ्रेशन डिटेक्शन सिस्टम (IDS) का उपयोग करें, ताकि दुर्भावनापूर्ण UDP ट्रैफ़िक को फ़िल्टर किया जा सके और रोका जा सके।
• UDP-आधारित एंप्लीफिकेशन हमलों को रोकने के लिए दर-सीमिती (Rate Limiting) लागू करें।

---

2.1.4. RIP (राउटिंग सूचना प्रोटोकॉल)

सुरक्षा कमजोरियाँ:

• प्रमाणीकरण की कमी: RIP स्पष्ट रूप से राउटिंग अपडेट भेजता है, जिसे हमलावर इंटरसेप्ट कर सकते हैं। प्रमाणीकरण के अभाव में हमलावर दुर्भावनापूर्ण राउटिंग जानकारी भेज सकते हैं, जिससे ट्रैफिक गलत स्थान पर भेजा जा सकता है (रूटिंग हमले)।
• सीमित स्केलेबिलिटी: RIP बड़े नेटवर्कों के लिए उपयुक्त नहीं होता है और कुछ स्थितियों में प्रदर्शन गिर सकता है।

निवारण:

• RIP प्रमाणीकरण का उपयोग करें, ताकि राउटिंग जानकारी एक विश्वसनीय स्रोत से ही प्राप्त हो।
• बड़े नेटवर्कों के लिए OSPF जैसे अधिक सुरक्षित प्रोटोकॉल का उपयोग करें।

---

2.1.5. OSPF (ओपन शॉर्टेस्ट पथ पहले)

सुरक्षा कमजोरियाँ:

• Spoofing और DoS हमले: RIP की तरह, OSPF राउटिंग जानकारी भेजता है, और हमलावर इसे दुर्भावनापूर्ण अपडेट भेजने या नेटवर्क को अनावश्यक राउटिंग जानकारी से भरने का शोषण कर सकते हैं।
• डिफ़ॉल्ट कॉन्फ़िगरेशन में एन्क्रिप्शन नहीं होता: OSPF राउटिंग जानकारी एन्क्रिप्ट नहीं करता है, जिससे इसे इंटरसेप्ट या संशोधित किया जा सकता है।

निवारण:

• OSPF प्रमाणीकरण सक्षम करें ताकि केवल विश्वसनीय राउटर नेटवर्क में भाग ले सकें।
• IPsec का उपयोग करें ताकि OSPF राउटिंग अपडेट्स को एन्क्रिप्ट किया जा सके और इंटरसेप्शन और परिवर्तन से बचा जा सके।

---

2.1.6. HTTP (हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल)

सुरक्षा कमजोरियाँ:

• एन्क्रिप्शन की कमी: HTTP डेटा को स्पष्ट रूप से भेजता है, जिसे हमलावर इंटरसेप्ट और पढ़ सकते हैं।
• मैन-इन-द-मिडल अटैक (MITM): चूंकि HTTP में एन्क्रिप्शन या प्रमाणीकरण नहीं होता, हमलावर क्लाइंट और सर्वर के बीच संचार को इंटरसेप्ट कर सकते हैं।
• सत्र स्थिरता (Session Fixation): हमलावर सत्र पहचानकर्ता को नियंत्रित कर सकते हैं, जिससे उपयोगकर्ता किसी हमलावर के द्वारा बनाए गए सत्र में लॉग इन हो जाते हैं।

निवारण:

• HTTPS का उपयोग करें, जो SSL/TLS का उपयोग करके डेटा ट्रांसफर को एन्क्रिप्ट करता है।
• सुरक्षित कुकी फ्लैग्स और सत्र प्रबंधन सर्वोत्तम प्रथाएँ लागू करें ताकि सत्र स्थिरता हमलों से बचा जा सके।

---

2.1.7. SMTP (सिंपल मेल ट्रांसफर प्रोटोकॉल)

सुरक्षा कमजोरियाँ:

• एन्क्रिप्शन की कमी: SMTP ईमेल्स को स्पष्ट रूप से भेजता है, जिसे हमलावर इंटरसेप्ट कर सकते हैं और पढ़ सकते हैं।
• स्पूफिंग और फ़िशिंग: हमलावर ईमेल पते की नकल कर सकते हैं, जिससे यह प्रतीत होता है कि ईमेल एक विश्वसनीय स्रोत से आ रहा है, जबकि ऐसा नहीं है। इसका उपयोग फ़िशिंग हमलों में किया जाता है।
• प्रमाणीकरण की कमी: SMTP में प्रमाणीकरण की कोई अंतर्निहित प्रणाली नहीं होती, जिससे इसका दुरुपयोग हो सकता है।

निवारण:

• SMTPS का उपयोग करें, जो ईमेल संचार को एन्क्रिप्ट करता है।
• SPF (Sender Policy Framework) और DKIM (DomainKeys Identified Mail) का उपयोग करें, ताकि ईमेल प्रेषकों को प्रमाणित किया जा सके और स्पूफिंग से बचा जा सके।

---

2.2. सामान्य नेटवर्किंग उपकरणों में सुरक्षा कमजोरियाँ

नेटवर्किंग उपकरण जैसे स्विच, राउटर और हब भी हमलों के प्रति संवेदनशील होते हैं। यहाँ इनकी कमजोरियाँ दी गई हैं:

---

2.2.1. हब (Hub)

सुरक्षा कमजोरियाँ:

• ट्रैफ़िक फ़िल्टरिंग की कमी: हब सभी आने वाले ट्रैफ़िक को सभी पोर्ट्स पर प्रसारित करता है, जिसका मतलब है कि कोई भी जुड़ा हुआ उपकरण सभी ट्रैफ़िक को इंटरसेप्ट कर सकता है, जिससे संभावित रूप से नेटवर्क स्निफ़िंग हो सकती है।
• ट्रैफ़िक खंडन की कमी: हब पर सभी उपकरण एक ही ब्रॉडकास्ट डोमेन में होते हैं, जिससे हमलावरों के लिए नेटवर्क ट्रैफ़िक को स्निफ़ करना आसान हो जाता है।

निवारण:

• हब को स्विच से बदलें, ताकि ट्रैफ़िक केवल इच्छित गंतव्य उपकरण पर भेजा जाए।
• नेटवर्क खंडन (network segmentation) का उपयोग करें, ताकि किसी भी हमले का प्रसार सीमित किया जा सके।

---

2.2.2. स्विच (Switch)

सुरक्षा कमजोरियाँ:

• MAC पता तालिका ओवरफ़्लो: हमलावर स्विच की MAC पता तालिका को नकली पते से भर सकते हैं, जिससे स्विच हब जैसा व्यवहार करना शुरू कर देता है और हमलावर को नेटवर्क ट्रैफ़िक को इंटरसेप्ट करने का अवसर मिलता है।
• VLAN होपिंग: अगर VLANs ठीक से कॉन्फ़िगर नहीं की जातीं, तो हमलावर गलत VLANs तक पहुंच प्राप्त कर सकते हैं।

निवारण:

• पोर्ट सुरक्षा का उपयोग करें, ताकि पोर्ट पर कनेक्ट किए गए MAC पते की संख्या सीमित की जा सके।
• VLAN खंडन और प्राइवेट VLANs का उपयोग करें ताकि विभिन्न VLANs के बीच ट्रैफ़िक सुरक्षित रहे।

---

2.2.3. राउटर (Router)

सुरक्षा कमजोरियाँ:

• डिफ़ॉल्ट कॉन्फ़िगरेशन: राउटर अक्सर डिफ़ॉल्ट सेटिंग्स (जैसे, प्रशासन क्रेडेंशियल्स) के साथ आते हैं, जो यदि बदली नहीं जातीं, तो हमलावरों द्वारा उनका शोषण किया जा सकता है।
• राउटिंग तालिका हेरफेर: हमलावर राउटिंग तालिकाओं को झूठी राउटिंग अपडेट भेजकर बदल सकते हैं।
• DoS हमले: राउटर अक्सर DDoS हमलों का लक्ष्य बनते हैं, जो ट्रैफ़िक से ओवरलोड हो जाते हैं और दुर्घटनाग्रस्त हो जाते हैं।

निवारण:

• डिफ़ॉल्ट क्रेडेंशियल्स बदलें और अप्रयुक्त सेवाओं को अक्षम करें।
• राउटर पर एक्सेस कंट्रोल सूचियाँ (ACLs) लागू करें ताकि ट्रैफ़िक को सीमित किया जा सके।
• एंटी-स्पूफिंग तकनीकों और IPsec का उपयोग करें ताकि राउटिंग जानकारी सुरक्षित हो सके।

---

2.2.4. वाई-फाई (WiFi)

सुरक्षा कमजोरियाँ:

• कमजोर एन्क्रिप्शन (WEP): पुराने एन्क्रिप्शन प्रोटोकॉल जैसे WEP को आसानी से क्रैक किया जा सकता है और यह पर्याप्त सुरक्षा नहीं प्रदान करता।
• रोग एक्सेस प्वाइंट (Rogue Access Points): हमलावर अपनी एक्सेस प्वाइंट को वैध SSID के साथ सेट कर सकते हैं, ताकि उपयोगकर्ता उसे कनेक्ट कर लें और उनकी संवेदनशील जानकारी चुरा लें।
• इव्सड्रॉपिंग: यदि Wi-Fi एन्क्रिप्टेड नहीं है या कमजोर एन्क्रिप्शन का उपयोग किया गया है, तो हमलावर नेटवर्क पर डेटा इंटरसेप्ट कर सकते हैं।

निवारण:

• WPA2 या WPA3 एन्क्रिप्शन का उपयोग करें ताकि Wi-Fi संचार सुरक्षित हो।
• मजबूत पासवर्ड और SSID छुपाना सक्षम करें ताकि रोग एक्सेस प्वाइंट्स से बचा जा सके।
• VPN का उपयोग करें ताकि अनवांछित नेटवर्कों पर ट्रैफ़िक एन्क्रिप्ट किया जा सके।

---

2.3. सुरक्षा जोखिम को कम करने के लिए सुरक्षा समाधान

नेटवर्क प्रोटोकॉल और उपकरणों की सुरक्षा के लिए कई सुरक्षा समाधान लागू किए जा सकते हैं:

---

2.3.1. नेटवर्किंग प्रोटोकॉल

• IPsec: IP ट्रैफ़िक को एन्क्रिप्ट और प्रमाणीकरण प्रदान करता है, जो अनवांछित नेटवर्कों पर सुरक्षित संचार सुनिश्चित करता है।
• HTTPS: HTTP संचार को SSL/TLS का उपयोग करके एन्क्रिप्ट करता है, जो डेटा को सुरक्षित रूप से ट्रांसफर करता है।
• TLS/SSL: SMTP, HTTP, FTP आदि जैसे प्रोटोकॉल के लिए एन्क्रिप्शन प्रदान करता है, जिससे इंटरसेप्शन और संशोधन से सुरक्षा होती है।

---

2.3.2. उपकरण

• VLAN (वर्चुअल लोकल एरिया नेटवर्क): एक भौतिक नेटवर्क को कई वर्चुअल नेटवर्कों में विभाजित करता है, जिससे सुरक्षा बढ़ती है और ट्रैफ़िक केवल संबंधित नेटवर्क तक सीमित रहता है।
• VPN (वर्चुअल प्राइवेट नेटवर्क): इंटरनेट ट्रैफ़िक को एन्क्रिप्ट करता है, जिससे दूरस्थ उपयोगकर्ताओं और नेटवर्क के बीच सुरक्षित संचार होता है।
• इन्ग्रेस फ़िल्टरिंग: नेटवर्क के बाहर से दुर्भावनापूर्ण ट्रैफ़िक को आने से रोकता है, यह सुनिश्चित करता है कि केवल वैध डेटा पैकेट्स ही अनुमति प्राप्त करें।
• पोर्ट सुरक्षा: स्विच पोर्ट पर जुड़े उपकरणों की संख्या सीमित करता है, जिससे अनधिकृत उपकरणों को नेटवर्क में जोड़ने से रोका जा सकता है।