मुख्य सामग्री पर जाएं
हिन्दी

सर्वश्रेष्ठ DNS filtering: व्यवसायों के लिए एक व्यापक गाइड

यह तकनीकी संदर्भ गाइड बताती है कि कैसे एंटरप्राइज़ DNS filtering रिज़ॉल्यूशन लेयर पर दुर्भावनापूर्ण डोमेन को ब्लॉक करके सार्वजनिक नेटवर्क को सुरक्षित करता है - इससे पहले कि कोई कनेक्शन स्थापित हो। यह IT डायरेक्टर्स, नेटवर्क आर्किटेक्ट्स और वेन्यू ऑपरेशंस टीमों को वह डिप्लॉयमेंट आर्किटेक्चर, फ़ायरवॉल कॉन्फ़िगरेशन और अनुपालन संदर्भ देता है जो उन्हें हॉस्पिटैलिटी, रिटेल और पब्लिक-सेक्टर के वातावरण में गेस्ट WiFi की सुरक्षा के लिए चाहिए। Purple Shield 80,000+ से अधिक लाइव वेन्यू में DNS स्तर पर मैलवेयर, बॉटनेट्स और अनुचित सामग्री को ब्लॉक करता है।

📖 8 मिनट का पाठ📝 1,807 शब्द🔧 2 हल किए गए उदाहरण4 अभ्यास प्रश्न📚 9 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें
Purple के टेक्निकल ब्रीफिंग में आपका स्वागत है। आज हम एंटरप्राइज़ नेटवर्क सुरक्षा के एक अत्यंत महत्वपूर्ण घटक पर चर्चा कर रहे हैं: DNS फ़िल्टरिंग। यदि आप हॉस्पिटैलिटी, रिटेल, या बड़े वेन्यूज़ में सार्वजनिक नेटवर्क का प्रबंधन करने वाले IT डायरेक्टर या नेटवर्क आर्किटेक्ट हैं, तो आप जानते हैं कि WiFi प्रदान करना एक बुनियादी आवश्यकता है। बिजली या HVAC की तरह ही, यह एक ऐसी सेवा है जिसे विज़िटर्स किसी इमारत में प्रवेश करते ही सक्रिय देखने की अपेक्षा करते हैं। लेकिन सुरक्षा के दृष्टिकोण से, यह उपयोगिता एक विशाल, अनप्रबंधित अटैक सरफ़ेस का निर्माण करती है। जब आप किसी नेटवर्क पर ओपन एक्सेस प्रदान करते हैं, तो आप अनप्रबंधित डिवाइसों को अपने इंफ्रास्ट्रक्चर पर आमंत्रित करते हैं। आप किसी गेस्ट के व्यक्तिगत डिवाइस पर एंडपॉइंट प्रोटेक्शन इंस्टॉल नहीं कर सकते। पारंपरिक सुरक्षा उपाय यहाँ नाकाफ़ी साबित होते हैं। यही कारण है कि DNS फ़िल्टरिंग आधुनिक सुरक्षा स्टैक में सबसे महत्वपूर्ण लेयर बन गई है। यह सुरक्षा को डिजिटल कनेक्शन के सबसे पहले कदम पर ले जाती है। आइए तकनीकी बारीकियों के साथ शुरुआत करते हैं। DNS फ़िल्टरिंग वास्तव में कैसे काम करती है? डोमेन नेम सिस्टम, या DNS, इंटरनेट की फोनबुक है। जब कोई गेस्ट आपके WiFi से जुड़ता है और अपने ब्राउज़र में एक वेबसाइट का पता टाइप करता है, तो उसके डिवाइस को उस डोमेन को मशीन द्वारा पढ़े जा सकने वाले IP एड्रेस में अनुवाद करना होता है। एक सामान्य सेटअप में, यह क्वेरी डिफ़ॉल्ट रिज़ॉल्वर के पास जाती है, जो अक्सर ISP द्वारा प्रदान किया जाता है। DNS फ़िल्टरिंग का उपयोग करने वाले एक सुरक्षित आर्किटेक्चर में, DHCP सर्वर गेस्ट डिवाइस को एक विशिष्ट, सुरक्षित DNS रिज़ॉल्वर असाइन करता है। जब क्वेरी इस फ़िल्टरिंग इंजन तक पहुँचती है, तो यह केवल IP एड्रेस को रिज़ॉल्व नहीं करती। यह रीयल-टाइम थ्रेट इंटेलिजेंस फ़ीड्स और आपकी विशिष्ट कॉर्पोरेट नीतियों के खिलाफ उस डोमेन का मूल्यांकन करती है। यदि डोमेन सुरक्षित है, तो IP वापस कर दिया जाता है और कनेक्शन आगे बढ़ता है। यह काम मिलीसेकंड में होता है। हालाँकि, यदि डोमेन को दुर्भावनापूर्ण के रूप में चिह्नित किया गया है, जैसे कि कोई ज्ञात फ़िशिंग साइट या बॉटनेट कमांड-एंड-कंट्रोल सर्वर, या यदि यह आपकी कंटेंट पॉलिसी का उल्लंघन करता है, तो इंजन हस्तक्षेप करता है। यह या तो एक नॉन-राउटेबल IP एड्रेस लौटाता है, जिसे सिंकहोलिंग तकनीक के रूप में जाना जाता है, या उपयोगकर्ता को एक ब्रांडेड ब्लॉक पेज पर रीडायरेक्ट कर देता है। यह दृष्टिकोण डीप पैकेट इंस्पेक्शन या प्रॉक्सी फ़िल्टरिंग जैसे विकल्पों से बेहतर क्यों है? यह परफ़ॉर्मेंस और स्केल की बात है। डीप पैकेट इंस्पेक्शन के लिए नेटवर्क हार्डवेयर को प्रत्येक पैकेट के पेलोड का निरीक्षण करना पड़ता है। पचास हजार समवर्ती उपयोगकर्ताओं वाले स्टेडियम जैसे घने माहौल में, DPI अत्यधिक लेटेंसी पैदा करता है और इसके लिए अविश्वसनीय रूप से महंगे हार्डवेयर की आवश्यकता होती है। दूसरी ओर, DNS फ़िल्टरिंग कनेक्शन लाइफसाइकिल के बिल्कुल शुरुआती चरण में काम करती है। यह एक लाइटवेट UDP पैकेट का मूल्यांकन करती है। एक बार DNS रिज़ॉल्यूशन पूरा हो जाने पर, वास्तविक डेटा ट्रांसफर सीधे क्लाइंट और सुरक्षित सर्वर के बीच होता है। फ़िल्टरिंग इंजन को भारी डेटा पेलोड को प्रोसेस करने की आवश्यकता नहीं होती है। इसके परिणामस्वरूप लगभग शून्य लेटेंसी प्रभाव पड़ता है, जो आमतौर पर दो मिलीसेकंड से भी कम होता है।इसके अतिरिक्त, चूंकि DNS फ़िल्टरिंग कनेक्शन स्थापित होने से पहले काम करती है, इसलिए यह पूरी तरह से प्रोटोकॉल-स्वतंत्र है। यह कनेक्शन को ब्लॉक कर देती है, चाहे एप्लिकेशन HTTP, HTTPS, FTP, या किसी कस्टम पोर्ट का उपयोग करने का प्रयास कर रहा हो। आइए अब एक वास्तविक दुनिया का उदाहरण देखें। एक पांच सौ कमरों वाली लक्जरी होटल श्रृंखला पर विचार करें। वे अवैध स्ट्रीमिंग के कारण हाई बैंडविड्थ उपयोग का सामना कर रहे हैं, और उन्हें सार्वजनिक क्षेत्रों में अनुचित कंटेंट उपलब्ध होने के बारे में शिकायतें मिली हैं। उनका प्रॉपर्टी मैनेजमेंट सिस्टम VLANs के माध्यम से समान भौतिक बुनियादी ढांचे को साझा करता है। सही तरीका एक क्लाउड-आधारित DNS फ़िल्टरिंग समाधान को तैनात करना और क्लाउड DNS IPs को असाइन करने के लिए विशेष रूप से Guest WiFi VLAN के लिए DHCP स्कोप को कॉन्फ़िगर करना है। महत्वपूर्ण रूप से, आप स्वीकृत DNS सर्वरों के अलावा किसी भी बाहरी IP पर Guest VLAN से आउटबाउंड UDP और TCP पोर्ट तिरेपन (53) ट्रैफ़िक को ब्लॉक करने के लिए गेटवे पर फ़ायरवॉल नियम लागू करते हैं। फिर आप एडल्ट कंटेंट, पाइरेसी और मैलवेयर श्रेणियों को ब्लॉक करने वाली एक पॉलिसी बनाते हैं। मुख्य आर्किटेक्चरल निर्णय यह सुनिश्चित करना है कि प्रॉपर्टी मैनेजमेंट सिस्टम VLAN आंतरिक DNS सर्वरों का उपयोग करना जारी रखे, जिससे फ़िल्टरिंग पॉलिसी पूरी तरह से गेस्ट नेटवर्क तक ही सीमित रहे। आइए अब कार्यान्वयन की कमियों के बारे में बात करते हैं। बुनियादी कदम नेटवर्क कॉन्फ़िगरेशन है। आपको अपने गेटवे या DHCP सर्वर को गेस्ट VLAN पर सभी क्लाइंट्स को अपनी DNS फ़िल्टरिंग सेवा के IP पते देने के लिए कॉन्फ़िगर करना होगा। लेकिन यहाँ एक महत्वपूर्ण नियम है: पोर्ट तिरेपन (53) को ब्लॉक करें, अन्यथा यह अप्रभावी है। यदि आप केवल DHCP के माध्यम से DNS सर्वर असाइन करते हैं, तो जानकार उपयोगकर्ता या दुर्भावनापूर्ण एप्लिकेशन अपने स्वयं के DNS सेटिंग्स, जैसे Google के आठ-आठ-आठ-आठ या Cloudflare के एक-एक-एक-एक को हार्डकोड करके फ़िल्टर को बायपास कर सकते हैं। इस बचाव को रोकने के लिए, आपको गेटवे पर फ़ायरवॉल नियम लागू करने होंगे जो आपके निर्दिष्ट फ़िल्टरिंग सर्वरों के अलावा किसी भी IP पते पर पोर्ट तिरेपन (53), UDP और TCP दोनों पर सभी आउटबाउंड ट्रैफ़िक को ब्लॉक करते हैं। एक और बड़ी कमी Captive Portal से जुड़ी है। हम इसे अक्सर रिटेल और हॉस्पिटैलिटी डेप्लॉयमेंट में देखते हैं। एक स्थान सख्त DNS फ़िल्टरिंग लागू करता है, और अचानक, मेहमान लॉग इन नहीं कर पाते हैं। ऐसा क्यों? क्योंकि Captive Portal प्रमाणीकरण के लिए बाहरी डोमेन पर निर्भर करता है, उदाहरण के लिए, सोशल लॉगिन के लिए OAuth प्रदाता। यदि आपका DNS फ़िल्टर उपयोगकर्ता के प्रमाणित होने से पहले इन डोमेन को ब्लॉक कर देता है, तो आप एक कठिन परिस्थिति पैदा कर देते हैं। उपयोगकर्ता इंटरनेट तक पहुँचने के लिए प्रमाणित नहीं हो सकता है, और वे इंटरनेट तक पहुँचने के लिए प्रमाणित नहीं हो सकते हैं। इसका समाधान यह सुनिश्चित करना है कि आपका Walled Garden ठीक से कॉन्फ़िगर किया गया है। आपको DNS फ़िल्टरिंग पॉलिसी के भीतर Captive Portal अनुभव के लिए आवश्यक डोमेन को स्पष्ट रूप से अनुमति सूची (allowlist) में डालना होगा।दूसरा वास्तविक दुनिया का परिदृश्य: एक बड़ा रिटेल शॉपिंग सेंटर जनसांख्यिकीय डेटा कैप्चर के लिए Captive Portal के साथ मुफ्त सार्वजनिक WiFi प्रदान करना चाहता है, साथ ही सख्त परिवार-अनुकूल कॉर्पोरेट नीतियों का अनुपालन भी करना चाहता है। Captive Portal के साथ DNS फ़िल्टरिंग के एकीकरण के लिए प्री-ऑथेंटिकेशन अनुमति सूची (allowlist) में Microsoft Entra ID या Google Workspace जैसे ऑथेंटिकेशन डोमेन जोड़ना आवश्यक है। इसके बाद कंटेंट फ़िल्टरिंग नीति केवल तभी लागू की जाती है जब उपयोगकर्ता सफलतापूर्वक ऑथेंटिकेट हो जाता है। यह दृष्टिकोण एक संभावित तकनीकी संघर्ष को एक सहज विज़िटर अनुभव में बदल देता है। आइए अब सामान्य परिदृश्यों पर आधारित एक त्वरित प्रश्न और उत्तर सत्र की ओर बढ़ें। प्रश्न एक: क्या हम अपने गेस्ट नेटवर्क के लिए DNS फ़िल्टरिंग के बजाय पारदर्शी HTTPS निरीक्षण का उपयोग कर सकते हैं? नहीं। पारदर्शी HTTPS निरीक्षण के लिए ट्रैफ़िक को डिक्रिप्ट करने के लिए एंडपॉइंट डिवाइस पर एक कस्टम रूट प्रमाणपत्र तैनात करने की आवश्यकता होती है। आप अप्रबंधित गेस्ट डिवाइसों पर प्रमाणपत्र तैनात नहीं कर सकते। यह गंभीर सुरक्षा चेतावनियों के साथ उनके ब्राउज़िंग अनुभव को बाधित करेगा। bring-your-own-device (BYOD) वातावरण के लिए DNS फ़िल्टरिंग सही दृष्टिकोण है। प्रश्न दो: DNS फ़िल्टरिंग DNS over HTTPS या DoH को कैसे संभालती है? DoH DNS क्वेरी को एन्क्रिप्ट करता है, जो पारंपरिक नेटवर्क-स्तरीय इंटरसेप्शन को बायपास कर सकता है। सबसे अच्छा अभ्यास फ़ायरवॉल पर ज्ञात DoH प्रदाताओं के IP पतों की पहचान करना और उन्हें ब्लॉक करना है, जिससे क्लाइंट को मानक, फ़िल्टर करने योग्य DNS पर वापस जाने के लिए मजबूर होना पड़े। प्रश्न तीन: क्या DNS फ़िल्टरिंग अनुपालन (compliance) में मदद करती है? बिल्कुल। PCI-DSS जैसे फ्रेमवर्क के लिए, नेटवर्क सेगमेंटेशन और मजबूत एक्सेस कंट्रोल का प्रदर्शन करना अनिवार्य है। हालांकि गेस्ट नेटवर्क को हमेशा भुगतान नेटवर्क से अलग किया जाना चाहिए, फिर भी गेस्ट नेटवर्क पर मैलवेयर के निष्पादन को रोकना स्थान के समग्र जोखिम प्रोफाइल को कम करता है। GDPR के प्रयोजनों के लिए, यह प्रदर्शित करना कि आपने अपने नेटवर्क के दुरुपयोग को रोकने के लिए उचित तकनीकी उपाय किए हैं, अनुपालन का एक सकारात्मक संकेतक है। आज की ब्रीफिंग को संक्षेप में प्रस्तुत करने के लिए - DNS फ़िल्टरिंग केवल एक सुरक्षा सर्वोत्तम अभ्यास नहीं है। यह एंटरप्राइज़ सार्वजनिक नेटवर्क के लिए एक परिचालन आवश्यकता है। यह दुर्भावनापूर्ण खतरों को ब्लॉक करने और स्वीकार्य उपयोग नीतियों को लागू करने के लिए एक स्केलेबल, कम-लेटेंसी तंत्र प्रदान करता है। मुख्य बातें इस प्रकार हैं। पहला, DNS फ़िल्टरिंग कनेक्शन स्थापित होने से पहले डोमेन क्वेरीज़ को इंटरसेप्ट करती है, जिससे दो मिलीसेकंड से भी कम की लेटेंसी जुड़ती है। दूसरा, कस्टम DNS सेटिंग्स के माध्यम से बचाव को रोकने के लिए फ़ायरवॉल पर हमेशा आउटबाउंड पोर्ट 53 को ब्लॉक करें। तीसरा, यह सुनिश्चित करने के लिए अपने Walled Garden को सावधानीपूर्वक कॉन्फ़िगर करें कि Captive Portal ऑथेंटिकेशन डोमेन ब्लॉक न हों। चौथा, परिचालन प्रणालियों की सुरक्षा करते हुए विशेष रूप से गेस्ट ट्रैफ़िक पर फ़िल्टरिंग नीतियों को लागू करने के लिए VLAN सेगमेंटेशन का उपयोग करें। और पांचवां, DNS फ़िल्टरिंग मजबूत नेटवर्क एक्सेस कंट्रोल का प्रदर्शन करके PCI-DSS और GDPR के अनुपालन का समर्थन करती है। आपके अगले कदम: अपने वर्तमान गेस्ट नेटवर्क DNS कॉन्फ़िगरेशन का ऑडिट करें, सत्यापित करें कि आउटबाउंड पोर्ट 53 प्रतिबंधित है, और अपनी सक्रिय DNS फ़िल्टरिंग नीति के विरुद्ध अपने Captive Portal Walled Garden की समीक्षा करें।इस Purple Technical Briefing को सुनने के लिए धन्यवाद। अधिक विस्तृत डिप्लॉयमेंट गाइड और आर्किटेक्चर पैटर्न के लिए, purple dot ai पर जाएं।

header_image.png

कार्यकारी सारांश (Executive summary)

बड़े पैमाने पर सार्वजनिक नेटवर्क का प्रबंधन करने वाले IT लीडर्स के लिए, ब्राउज़िंग वातावरण को सुरक्षित रखना एक परिचालन आवश्यकता है, कोई वैकल्पिक विकल्प नहीं। हॉस्पिटैलिटी, रिटेल और सार्वजनिक स्थानों पर Guest WiFi स्वाभाविक रूप से एक अविश्वसनीय वातावरण होता है। मजबूत नियंत्रणों के बिना, यह मैलवेयर वितरण, बॉटनेय एक्टिविटी और अनुचित सामग्री तक पहुंच का माध्यम बन जाता है, जिससे ब्रांड की प्रतिष्ठा को नुकसान पहुंचता है और अनुपालन (compliance) संबंधी जोखिम पैदा होते हैं।

नेटवर्क एज पर कंटेंट पॉलिसी लागू करने और खतरों को ब्लॉक करने के लिए DNS फ़िल्टरिंग सबसे कुशल तंत्र है। संसाधन-गहन डीप पैकेट इंस्पेक्शन (DPI) के विपरीत, DNS फ़िल्टरिंग किसी भी पेलोड के आदान-प्रदान से पहले डोमेन रिज़ॉल्यूशन अनुरोध को बीच में ही रोक देती है। यह रियल-टाइम थ्रेट इंटेलिजेंस के खिलाफ एक लाइटवेट UDP पैकेट का मूल्यांकन करती है और दो मिलीसेकंड से भी कम समय की लेटेंसी के साथ या तो एक वैध IP एड्रेस या सिंकहोल वापस करती है। यह इसे हजारों समवर्ती अनमैनेज्ड डिवाइसेज को सेवा देने वाले हाई-डेंसिटी वाले वातावरण के लिए एकमात्र व्यावहारिक कंटेंट कंट्रोल तरीका बनाता है।

इस गाइड में वितरित एंटरप्राइज स्थानों पर DNS फ़िल्टरिंग तैनात करने के लिए आवश्यक तकनीकी आर्किटेक्चर शामिल है, जिसमें VLAN सेगमेंटेशन, पोर्ट 53 प्रवर्तन, कैप्टिव पोर्टल एकीकरण और DNS over HTTPS (DoH) चोरी की रोकथाम शामिल है। यह PCI-DSS और GDPR के अनुपालन को भी संबोधित करता है, और बताता है कि Purple Shield मौजूदा हार्डवेयर प्रतिस्थापन की आवश्यकता के बिना Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks और Fortinet के मौजूदा हार्डवेयर स्टैक में कैसे एकीकृत होता है।

तकनीकी गहराई: DNS फ़िल्टरिंग कैसे काम करती है

डोमेन नेम सिस्टम (DNS) मानव-पठनीय डोमेन को मशीन-पठनीय IP एड्रेस में अनुवादित करता है। प्रत्येक इंटरनेट कनेक्शन एक DNS रिज़ॉल्यूशन अनुरोध के साथ शुरू होता है। एक मानक नेटवर्क में, डिवाइस ISP द्वारा असाइन किए गए एक डिफ़ॉल्ट रिज़ॉल्वर से क्वेरी करते हैं। एक सुरक्षित आर्किटेक्चर में, DHCP सर्वर गेस्ट VLAN पर मौजूद डिवाइसेज को एक पॉलिसी-एन्फोर्स्ड DNS रिज़ॉल्वर असाइन करता है।

जब कोई डिवाइस इस सुरक्षित रिज़ॉल्वर से क्वेरी करता है, तो फ़िल्टरिंग इंजन एक साथ कई डेटा स्रोतों के खिलाफ डोमेन का मूल्यांकन करता है: रियल-टाइम थ्रेट इंटेलिजेंस फीड, श्रेणी ब्लॉकलिस्ट (वयस्क सामग्री, जुआ, पाइरेसी), और बॉटनेट कमांड-एंड-कंट्रोल डोमेन रजिस्ट्री। यह निर्णय मिलीसेकंड में होता है।

यदि डोमेन सुरक्षित है, तो इंजन सही IP एड्रेस लौटाता है और कनेक्शन सामान्य रूप से आगे बढ़ता है। यदि डोमेन को दुर्भावनापूर्ण के रूप में चिह्नित किया जाता है या यह आपकी स्वीकार्य उपयोग नीति का उल्लंघन करता है, तो इंजन या तो एक नॉन-रूट करने योग्य IP एड्रेस लौटाता है (सिंकहोलिंग) या उपयोगकर्ता को एक ब्रांडेड ब्लॉक पेज पर रीडायरेक्ट करता है। मुख्य बिंदु: यह हस्तक्षेप डिवाइस और गंतव्य सर्वर के बीच किसी भी डेटा पेलोड का आदान-प्रदान होने से पहले होता है।

dns_architecture_overview.png

प्रदर्शन और स्केल के लाभ

उच्च-घनत्व वाले सार्वजनिक वातावरण के लिए DNS फ़िल्टरिंग संरचनात्मक रूप से DPI से बेहतर है। DPI को प्रत्येक पैकेट के पेलोड का निरीक्षण करने के लिए नेटवर्क हार्डवेयर की आवश्यकता होती है। 50,000 समवर्ती उपयोगकर्ताओं वाले स्थान - जैसे कि स्टेडियम, सम्मेलन केंद्र, या बड़े रिटेल एस्टेट - में DPI महत्वपूर्ण लेटेंसी पैदा करता है और प्रत्येक निरीक्षण बिंदु पर महंगे, उद्देश्य-निर्मित हार्डवेयर की आवश्यकता होती है।

DNS फ़िल्टरिंग कनेक्शन जीवनचक्र की शुरुआत में काम करता है। यह एक सिंगल लाइटवेट UDP पैकेट का मूल्यांकन करता है। एक बार रिज़ॉल्यूशन पूरा हो जाने पर, डेटा सीधे क्लाइंट और डेस्टिनेशन सर्वर के बीच ट्रांसफर होता है। फ़िल्टरिंग इंजन कभी भी डेटा पेलोड को प्रोसेस नहीं करता है। समवर्ती उपयोगकर्ता संख्या की परवाह किए बिना, लेटेंसी प्रभाव लगातार दो मिलीसेकंड से कम रहता है।

चूंकि DNS फ़िल्टरिंग कनेक्शन स्थापित होने से पहले काम करता है, इसलिए यह प्रोटोकॉल-अज्ञेयवादी है। यह कनेक्शन को ब्लॉक करता है चाहे एप्लिकेशन HTTP, HTTPS, FTP, या किसी कस्टम पोर्ट का उपयोग करता हो। यह URL-आधारित फ़िल्टरिंग की तुलना में एक महत्वपूर्ण लाभ है, जो केवल HTTP/HTTPS ट्रैफ़िक का निरीक्षण करता है।

deployment_comparison_chart.png

10-दिवसीय थ्रेट डिटेक्शन का लाभ

विरासत DNS सुरक्षा प्रतिक्रियाशील ब्लैकलिस्टिंग पर निर्भर करती है: एक डोमेन को दुर्भावनापूर्ण के रूप में पहचाना जाता है, एक केंद्रीय प्राधिकरण को रिपोर्ट किया जाता है, एक डेटाबेस में जोड़ा जाता है, और अंततः आपके फ़िल्टर में वितरित किया जाता है - एक ऐसी प्रक्रिया जिसमें कई दिन लग सकते हैं। आधुनिक मैलवेयर अभियान इस अंतर का फायदा उठाते हैं। हमलावर नए डोमेन पंजीकृत करते हैं, 24 घंटे की खिड़की के भीतर एक अभियान चलाते हैं, और किसी भी मानक ब्लॉकलिस्ट तक पहुँचने से पहले डोमेन को छोड़ देते हैं।

Purple Shield रीयल-टाइम में डोमेन पंजीकरण पैटर्न, IP प्रतिष्ठा और क्रिप्टोग्राफिक हस्ताक्षरों का विश्लेषण करने के लिए AI-संचालित थ्रेट डिटेक्शन का उपयोग करता है। यह दृष्टिकोण पारंपरिक प्रतिक्रियाशील प्रदाताओं की तुलना में 10 दिन तेजी से उभरते हुए ज़ीरो-डे खतरों की पहचान करता है और उन्हें ब्लॉक करता है (Purple आंतरिक डेटा, 2026)। ऐसे वातावरण में जहां अतिथि डिवाइस पर एक भी दुर्भावनापूर्ण लिंक रैंसमवेयर का कारण बन सकता है, वह डिटेक्शन विंडो परिचालन रूप से महत्वपूर्ण है।

कार्यान्वयन गाइड: आर्किटेक्चर और परिनियोजन

DNS फ़िल्टरिंग को सही ढंग से लागू करने के लिए तीन परतों पर सटीक नेटवर्क कॉन्फ़िगरेशन की आवश्यकता होती है: DHCP, फ़ायरवॉल और Captive Portal

चरण 1: VLAN सेगमेंटेशन

अपने नेटवर्क को इस तरह विभाजित करें कि अतिथि ट्रैफ़िक परिचालन प्रणालियों से अलग रहे। अतिथि उपकरणों को एक समर्पित VLAN (उदाहरण के लिए, VLAN 20) पर रखें और POS टर्मिनलों, संपत्ति प्रबंधन प्रणालियों और कर्मचारियों के उपकरणों को आंतरिक DNS रिज़ॉल्वर के साथ अलग VLAN पर रखें। यह सुनिश्चित करता है कि आपकी DNS फ़िल्टरिंग नीति विशेष रूप से अविश्वसनीय अतिथि ट्रैफ़िक पर लागू होती है और परिचालन प्रणालियों को बाधित नहीं करती है।

यह सेगमेंटेशन PCI DSS आवश्यकता 1.3 को भी पूरा करता है, जो अनिवार्य करता है कि कार्डधारक डेटा वातावरण को अविश्वसनीय नेटवर्क से अलग रखा जाए। अतिथि WiFi को कभी भी भुगतान बुनियादी ढांचे के साथ VLAN साझा नहीं करना चाहिए।

चरण 2: DHCP स्कोप कॉन्फ़िगरेशन

गेस्ट VLAN के लिए DHCP स्कोप को इस तरह कॉन्फ़िगर करें कि आपके क्लाउड DNS फ़िल्टरिंग सर्विस के IP एड्रेस प्राथमिक और द्वितीयक DNS सर्वर के रूप में असाइन हों। यह सुनिश्चित करता है कि गेस्ट नेटवर्क से जुड़ने वाले प्रत्येक डिवाइस को स्वचालित रूप से सही रिज़ॉल्वर प्राप्त हो।

स्टेप 3: फ़ायरवॉल पर पोर्ट 53 लागू करना

केवल DHCP असाइनमेंट ही पर्याप्त नहीं है। कोई उपयोगकर्ता अपने डिवाइस पर Google (8.8.8.8) या Cloudflare (1.1.1.1) जैसे सार्वजनिक रिज़ॉल्वर का उपयोग करने के लिए मैन्युअल रूप से कॉन्फ़िगर करके DHCP द्वारा प्रदान की गई DNS सेटिंग्स को ओवरराइड कर सकता है। मैलवेयर अक्सर नेटवर्क नियंत्रणों को पूरी तरह से बायपास करने के लिए DNS सेटिंग्स को हार्डकोड कर देता है।

आपको एक फ़ायरवॉल नियम लागू करना होगा जो गेस्ट VLAN से आपके निर्दिष्ट फ़िल्टरिंग सर्वर के अलावा किसी भी अन्य IP एड्रेस पर पोर्ट 53 (UDP और TCP दोनों) पर सभी आउटबाउंड ट्रैफ़िक को ब्लॉक कर दे। यह DNS फ़िल्टर को एक सामान्य नियंत्रण से एक बाध्यकारी नियंत्रण में बदल देता है।

स्टेप 4: DNS over HTTPS (DoH) न्यूनीकरण

आधुनिक ब्राउज़र और एप्लिकेशन तेजी से DoH का उपयोग कर रहे हैं, जो पोर्ट 443 पर मानक HTTPS ट्रैफ़िक के भीतर DNS क्वेरी को एन्क्रिप्ट करता है। यह पोर्ट 53 इंटरसेप्शन को पूरी तरह से बायपास कर देता है। कवरेज बनाए रखने के लिए, अपने फ़ायरवॉल को प्रमुख DoH प्रदाताओं के ज्ञात IP एड्रेस रेंज को ब्लॉक करने के लिए कॉन्फ़िगर करें। यह क्लाइंट डिवाइस को मानक अनएन्क्रिप्टेड DNS पर वापस जाने के लिए मजबूर करता है, जिसे आपका फ़िल्टरिंग इंजन जांच सकता है। NIST SP 800-81r3 (मार्च 2026 में प्रकाशित) विशेष रूप से एंटरप्राइज DNS सुरक्षा विचार के रूप में DoH को संबोधित करता है।

स्टेप 5: Captive Portal वॉल्ड गार्डन (Walled Garden) कॉन्फ़िगरेशन

यदि आप गेस्ट ऑथेंटिकेशन के लिए Captive Portal संचालित करते हैं, तो आपको कोई भी ब्लॉकिंग पॉलिसी लागू करने से पहले एक Walled Garden कॉन्फ़िगर करना होगा। Walled Garden उन डोमेन की एक सूची है जिन तक डिवाइस ऑथेंटिकेशन से पहले पहुंच सकते हैं। इसमें Captive Portal के काम करने के लिए आवश्यक सभी डोमेन शामिल होने चाहिए: आपके पोर्टल का अपना डोमेन, कोई भी आइडेंटिटी प्रोवाइडर (Microsoft Entra ID, Okta, Google Workspace), और कोई भी सोशल लॉगिन OAuth एंडपॉइंट।

यदि ऑथेंटिकेशन से पहले ये डोमेन ब्लॉक हो जाते हैं, तो उपयोगकर्ता लॉगिन प्रक्रिया को पूरा नहीं कर सकते हैं। इसका परिणाम एक खराब ऑनबोर्डिंग अनुभव और परेशान मेहमान होंगे। पहले Walled Garden को कॉन्फ़िगर करें, फिर अपनी कंटेंट फ़िल्टरिंग पॉलिसी को केवल ऑथेंटिकेट हो चुके सेशन पर लागू करें।

SSID आर्किटेक्चर के बारे में और गेस्ट WiFi, स्टाफ WiFi, और IoT नेटवर्क को कैसे संरचित किया जाना चाहिए, इसके बारे में अधिक जानकारी के लिए, Three SSIDs to rule them all: guest, Passpoint, and IoT WiFi देखें।

सर्वोत्तम प्रथाएं: पॉलिसी डिज़ाइन और निरंतर प्रबंधन

श्रेणी-आधारित ब्लॉकिंग

अपनी DNS फ़िल्टरिंग पॉलिसी को व्यक्तिगत डोमेन ब्लॉकलिस्ट के बजाय कंटेंट श्रेणियों के आधार पर व्यवस्थित करें। श्रेणियों में आम तौर पर शामिल हैं: मैलवेयर और फ़िशिंग, बॉटनेट कमांड-एंड-कंट्रोल, एडल्ट कंटेंट, जुआ, अवैध स्ट्रीमिंग, और पीयर-टू-पीयर फ़ाइल शेयरिंग। श्रेणी-आधारित पॉलिसियों को बनाए रखना आसान होता है और जैसे ही थ्रेट इंटेलिजेंस अपडेट होती है, ये नए डोमेन को स्वचालित रूप से कैप्चर कर लेती हैं।

थ्रेट इंटेलिजेंस अपडेट की आवृत्ति

एक ऐसे DNS फ़िल्टरिंग प्रदाता का चयन करें जो रीयल-टाइम या लगभग रीयल-टाइम में थ्रेट इंटेलिजेंस को अपडेट करता है। दैनिक रूप से अपडेट की जाने वाली स्टेटिक ब्लॉकलिस्ट आधुनिक फ़ास्ट-फ़्लक्स मैलवेयर अभियानों के खिलाफ अपर्याप्त हैं। Purple Shield अपनी थ्रेट इंटेलिजेंस को लगातार अपडेट करता है, जो उसी AI-संचालित डिटेक्शन को दर्शाता है जो रिएक्टिव प्रदाताओं पर 10 दिनों का लाभ प्रदान करता है।

Hardware-agnostic deployment

Purple Shield क्लाउड ओवरले के रूप में काम करता है, जिसका अर्थ है कि यह हार्डवेयर रिप्लेसमेंट के बिना आपके मौजूदा एक्सेस पॉइंट इन्फ्रास्ट्रक्चर के साथ एकीकृत होता है। यह Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti, UniFi, Cambium, Extreme Networks, और Fortinet के साथ संगत है। फ़िल्टरिंग नीति DNS लेयर पर लागू की जाती है, इसलिए एक्सेस पॉइंट हार्डवेयर को केवल सही रिज़ॉल्वर पर DNS क्वेरीज़ को फॉरवर्ड करने की आवश्यकता होती है।

Analytics and reporting

DNS फ़िल्टरिंग विस्तृत क्वेरी लॉग जेनरेट करती है जो नेटवर्क व्यवहार में दृश्यता प्रदान करती है। रुझानों की पहचान करने के लिए इन लॉग का उपयोग करें: किसी विशिष्ट एक्सेस पॉइंट से ब्लॉक किए गए फ़िशिंग प्रयासों में वृद्धि एक लक्षित हमले का संकेत दे सकती है। ब्लॉक की गई कैटेगरी रिपोर्ट की नियमित समीक्षा अनुपालन ऑडिट का भी समर्थन करती है, जो PCI-DSS निर्धारकों और GDPR ऑडिटर्स को यह प्रदर्शित करती है कि आपके पास सक्रिय नियंत्रण मौजूद हैं।

Purple का WiFi Analytics प्लेटफ़ॉर्म सुरक्षा घटनाओं और नेटवर्क प्रदर्शन में एकीकृत दृश्यता प्रदान करने के लिए Shield के साथ एकीकृत होता है।

Troubleshooting and risk mitigation

Filter bypass via custom DNS

लक्षण: उपयोगकर्ता उन सामग्रियों तक पहुँचने की रिपोर्ट करते हैं जिन्हें ब्लॉक किया जाना चाहिए। फ़ायरवॉल लॉग गेस्ट VLAN से 8.8.8.8 या 1.1.1.1 पर DNS क्वेरीज़ दिखाते हैं।

कारण: फ़ायरवॉल पर पोर्ट 53 ब्लॉक नहीं है। उपयोगकर्ता DHCP-असाइन की गई DNS सेटिंग्स को ओवरराइड कर रहे हैं।

समाधान: एक फ़ायरवॉल नियम लागू करें जो गेस्ट VLAN से आपके फ़िल्टरिंग इंजन के अलावा किसी भी अन्य IP पर सभी आउटबाउंड UDP/TCP पोर्ट 53 ट्रैफ़िक को ब्लॉक करता है।

Captive Portal authentication failure

लक्षण: मेहमान लॉगिन प्रक्रिया को पूरा नहीं कर पा रहे हैं। Captive Portal पेज लोड होने में विफल रहता है या सोशल लॉगिन बटन प्रतिक्रिया नहीं देते हैं।

कारण: DNS फ़िल्टर प्रमाणीकरण से पहले पहचान प्रदाता डोमेन को ब्लॉक कर रहा है। Microsoft Entra ID, Google Workspace, या आपके पोर्टल का अपना डोमेन ब्लॉक की गई श्रेणी सूची में है।

समाधान: अपने Walled Garden कॉन्फ़िगरेशन का ऑडिट करें। प्री-ऑथेंटिकेशन अनुमति सूची (allowlist) में सभी आवश्यक प्रमाणीकरण डोमेन जोड़ें। नीतिगत बदलावों को लागू करने से पहले स्टेजिंग वातावरण में संपूर्ण लॉगिन प्रक्रिया का परीक्षण करें।

DoH bypass

लक्षण: उच्च नेटवर्क उपयोग के बावजूद DNS फ़िल्टर लॉग कम क्वेरी वॉल्यूम दिखाते हैं। कुछ डिवाइस फ़िल्टरिंग को पूरी तरह से बायपास करते हुए प्रतीत होते हैं।

कारण: ब्राउज़र या एप्लिकेशन DoH का उपयोग कर रहे हैं, जो पोर्ट 443 पर एन्क्रिप्टेड DNS क्वेरीज़ को बाहरी रिज़ॉल्वर पर रूट करते हैं।

समाधान: फ़ायरवॉल पर प्रमुख DoH प्रदाताओं की ज्ञात IP रेंज को ब्लॉक करें। ज्ञात DoH रिज़ॉल्वर IP के लिए HTTPS कनेक्शन की निगरानी करके कवरेज की पुष्टि करें।

Operational VLAN disruption

लक्षण: DNS फ़िल्टर परिनियोजन के बाद POS टर्मिनल या प्रॉपर्टी मैनेजमेंट सिस्टम कनेक्टिविटी खो देते हैं।

Cause: DNS filtering policy को गलत VLAN पर लागू किया गया है, या DHCP ऑपरेशनल डिवाइसेज को क्लाउड DNS रिज़ॉल्वर असाइन कर रहा है।

Fix: सभी स्विच पोर्ट और एक्सेस पॉइंट्स पर VLAN टैगिंग की पुष्टि करें। पुष्टि करें कि ऑपरेशनल डिवाइस VLAN केवल आंतरिक DNS रिज़ॉलवर्स का उपयोग करने के लिए कॉन्फ़िगर किए गए हैं।

-

ROI और व्यावसायिक प्रभाव

DNS filtering तीन आयामों में मापने योग्य रिटर्न प्रदान करता है।

बैंडविड्थ की बचत: अवैध स्ट्रीमिंग, पीयर-टू-पीयर शेयरिंग और ऑटोमेटेड बॉटनेट ट्रैफ़िक को ब्लॉक करने से महत्वपूर्ण बैंडविड्थ वापस मिलती है। एक होटल के वातावरण में, यह गेस्ट VLAN के उपयोग को 20-40% तक कम कर सकता है, जिससे सर्किट अपग्रेड की आवश्यकता के बिना वैध उपयोगकर्ताओं के लिए प्रदर्शन में सुधार होता है।

अनुपालन लागत में कमी: सक्रिय DNS-स्तरीय नियंत्रणों का प्रदर्शन करने से PCI DSS आकलन का दायरा और लागत कम हो जाती है। यह GDPR Article 32 (डेटा सुरक्षा सुनिश्चित करने के लिए तकनीकी उपाय) के लिए प्रलेखित प्रमाण भी प्रदान करता है और मैलवेयर सुरक्षा के लिए Cyber Essentials प्रमाणन आवश्यकताओं का समर्थन करता है।

ब्रांड और लायबिलिटी सुरक्षा: रिटेल और हॉस्पिटैलिटी वातावरण में फ़ैमिली-फ्रेंडली ब्राउज़िंग नीतियों को लागू करने से अनुपयुक्त कंटेंट के सार्वजनिक प्रदर्शन को रोका जा सकता है। बच्चों को सेवा देने वाले स्थानों - शॉपिंग सेंटरों, फ़ैमिली होटलों, स्टेडियमों - में यह एक ब्रांड आवश्यकता और कई न्यायक्षेत्रों में एक कानूनी विचार दोनों है।

क्षेत्र-विशिष्ट परिनियोजन मार्गदर्शन के लिए, हमारे उद्योग पेज देखें: Hospitality , Retail , Healthcare , और Transport

मुख्य परिभाषाएं

DNS filtering

एक सुरक्षा तकनीक जो डोमेन रिज़ॉल्यूशन अनुरोधों को बीच में ही रोकती है और कनेक्शन की अनुमति देने या ब्लॉक करने से पहले खतरे की खुफिया जानकारी (थ्रेट इंटेलिजेंस फीड) और कंटेंट नीतियों के आधार पर उनका मूल्यांकन करती है।

सार्वजनिक नेटवर्क पर अप्रबंधित गेस्ट उपकरणों के लिए प्राथमिक सामग्री नियंत्रण विधि। किसी एंडपॉइंट एजेंट की आवश्यकता नहीं होती है।

Sinkholing

किसी दुर्भावनापूर्ण डोमेन के लिए DNS क्वेरी के उत्तर में एक नॉन-रूटेबल IP पता (जैसे 0.0.0.0) वापस करना, जिससे डिवाइस को कनेक्शन स्थापित करने से रोका जा सके।

मैलवेयर को यह पता चलने से बचाते हुए कि उसका पता लगा लिया गया है, चुपचाप बॉटनेट कमांड-एंड-कंट्रोल ट्रैफ़िक को ब्लॉक करने के लिए उपयोग किया जाता है।

Walled Garden

एक प्रतिबंधित प्री-ऑथेंटिकेशन नेटवर्क वातावरण जो उपयोगकर्ता द्वारा captive portal लॉगिन फ्लो को पूरा करने से पहले स्वीकृत डोमेन के एक विशिष्ट सेट तक पहुंच की अनुमति देता है।

प्रमाणीकरण विफलताओं को रोकने के लिए इसमें सभी पहचान प्रदाता डोमेन (Microsoft Entra ID, Google Workspace, Okta) और captive portal एसेट शामिल होने चाहिए।

DNS over HTTPS (DoH)

एक प्रोटोकॉल जो पोर्ट 443 पर मानक HTTPS ट्रैफ़िक के भीतर DNS क्वेरीज़ को एन्क्रिप्ट करता है, जिससे नेटवर्क-स्तरीय निरीक्षण से गंतव्य डोमेन छिप जाता है।

आधुनिक ब्राउज़रों में डिफ़ॉल्ट रूप से तेजी से उपयोग किया जा रहा है। DNS फ़िल्टरिंग कवरेज बनाए रखने के लिए DoH प्रदाता IP सीमाओं को फ़ायरवॉल-स्तर पर ब्लॉक करने की आवश्यकता होती है।

VLAN segmentation

802.1Q टैगिंग का उपयोग करके एक एकल भौतिक नेटवर्क को कई अलग-अलग लॉजिकल नेटवर्क में विभाजित करना।

परिचालन प्रणालियों से गेस्ट ट्रैफ़िक को अलग करने के लिए महत्वपूर्ण है। PCI-DSS की आवश्यकता 1.3 यह अनिवार्य करती है कि कार्डधारक डेटा वातावरण गेस्ट WiFi सहित अविश्वसनीय नेटवर्क से अलग हो।

Captive portal

एक वेब पेज जिससे उपकरणों को पूर्ण नेटवर्क एक्सेस प्राप्त करने से पहले इंटरैक्ट करना पड़ता है, जिसका उपयोग प्रमाणीकरण, सेवा की शर्तों की स्वीकृति और फर्स्ट-पार्टी डेटा कैप्चर के लिए किया जाता है।

DNS फ़िल्टरिंग के साथ सही ढंग से कार्य करने के लिए सावधानीपूर्वक Walled Garden कॉन्फ़िगरेशन की आवश्यकता होती है।

Deep Packet Inspection (DPI)

एक नेटवर्क फ़िल्टरिंग विधि जो निरीक्षण बिंदु पर पैकेट के पूरे पेलोड की जांच करती है, जिससे कंटेंट-अवेयर फ़िल्टरिंग सक्षम होती है लेकिन महत्वपूर्ण प्रोसेसिंग ओवरहेड उत्पन्न होता है।

लेटेंसी और हार्डवेयर लागत के कारण उच्च-घनत्व वाले गेस्ट नेटवर्क के लिए अव्यावहारिक है। अप्रबंधित डिवाइस वातावरण के लिए DNS फ़िल्टरिंग पसंदीदा विकल्प है।

Threat intelligence feed

ज्ञात दुर्भावनापूर्ण IP पतों, डोमेन और URL पैटर्न का लगातार अपडेट होने वाला डेटाबेस, जिसका उपयोग रीयल-टाइम DNS फ़िल्टरिंग निर्णयों को संचालित करने के लिए किया जाता है।

थ्रेट इंटेलिजेंस फीड की गुणवत्ता और अपडेट की आवृत्ति यह निर्धारित करती है कि कोई DNS फ़िल्टर नए जीरो-डे खतरों पर कितनी तेज़ी से प्रतिक्रिया करता है।

Zero-day domain

मैलवेयर या फ़िशिंग अभियान में उपयोग किया जाने वाला एक नया पंजीकृत डोमेन, इससे पहले कि वह किसी मानक ब्लॉकलिस्ट पर दिखाई दे।

आधुनिक हमले के अभियानों में डिस्पोजेबल डोमेन का उपयोग किया जाता है जो 24 घंटे से भी कम समय के लिए सक्रिय रहते हैं। AI-संचालित खतरे का पता लगाने वाली प्रणाली रिपोर्ट की प्रतीक्षा करने के बजाय पंजीकरण पैटर्न का विश्लेषण करके इन डोमेन की पहचान करती है।

हल किए गए उदाहरण

एक 400-कमरों वाली होटल श्रृंखला 12 संपत्तियों में गेस्ट WiFi तैनात कर रही है। वे Captive Portal प्रमाणीकरण के लिए Microsoft Entra ID का उपयोग करते हैं और उनका प्रॉपर्टी मैनेजमेंट सिस्टम (PMS) उसी भौतिक स्विच इन्फ्रास्ट्रक्चर पर चलता है। DNS filtering सक्षम करने के बाद, तीन संपत्तियों के मेहमान रिपोर्ट करते हैं कि वे लॉगिन प्रक्रिया पूरी नहीं कर पा रहे हैं। इसका मूल कारण क्या है और टीम को इसका समाधान कैसे करना चाहिए?

मूल कारण एक अपूर्ण Walled Garden कॉन्फ़िगरेशन है। DNS फ़िल्टर मेहमानों के प्रमाणित होने से पहले Microsoft Entra ID प्रमाणीकरण डोमेन को ब्लॉक कर रहा है, जिससे एक ऐसी स्थिति पैदा हो रही है जहाँ मेहमान लॉगिन पेज लोड नहीं कर सकते। समाधान के चरण: 1. DNS filtering डैशबोर्ड में, एक प्री-ऑथेंटिकेशन पॉलिसी बनाएं जो स्पष्ट रूप से सभी Microsoft Entra ID डोमेन को अनुमति देती है, जिसमें login.microsoftonline.com, login.live.com और कोई भी टेनेंट-विशिष्ट डोमेन शामिल हैं। 2. सत्यापित करें कि Captive Portal का अपना डोमेन और इसके द्वारा लोड की जाने वाली कोई भी CDN संपत्तियां भी अनुमति सूची में हैं। 3. पुष्टि करें कि PMS VLAN (VLAN 10) को क्लाउड फ़िल्टरिंग इंजन के बजाय आंतरिक DNS रिज़ॉल्वर्स का उपयोग करने के लिए कॉन्फ़िगर किया गया है। 4. केवल गेस्ट VLAN (VLAN 20) पर पोस्ट-ऑथेंटिकेशन सत्रों पर ही प्रतिबंधात्मक सामग्री ब्लॉकिंग पॉलिसी लागू करें। 5. घटना को बंद करने से पहले प्रत्येक प्रभावित संपत्ति पर पूर्ण लॉगिन प्रक्रिया का परीक्षण करें।

परीक्षक की टिप्पणी: हॉस्पिटैलिटी में यह सबसे आम DNS filtering डिप्लॉयमेंट विफलता है। इसका समाधान सीधा है लेकिन इसके लिए यह समझना आवश्यक है कि DNS filtering किसी डिवाइस से सभी DNS प्रश्नों पर लागू होती है, जिसमें प्रमाणीकरण से पहले किए गए प्रश्न भी शामिल हैं। किसी भी ब्लॉकिंग पॉलिसी के सक्रिय होने से पहले Walled Garden को कॉन्फ़िगर किया जाना चाहिए। PMS अलगाव की समस्या एक द्वितीयक लेकिन महत्वपूर्ण खोज है - एक ही रिज़ॉलवर पर परिचालन और गेस्ट DNS नीतियों को मिलाने से PCI DSS आवश्यकता 1.3 के तहत अनुपालन जोखिम पैदा होता है।

एक बड़ी रिटेल श्रृंखला 200 स्टोर संचालित करती है, जिनमें से प्रत्येक में एक गेस्ट WiFi नेटवर्क है। उनकी IT सुरक्षा टीम एक क्लाउड DNS फ़िल्टर तैनात करती है और सभी गेस्ट VLAN पर DHCP स्कोप को अपडेट करती है। दो सप्ताह बाद, एक पैठ परीक्षण (पेनिट्रेशन टेस्ट) से पता चलता है कि 18% गेस्ट डिवाइस ज्ञात दुर्भावनापूर्ण डोमेन को सफलतापूर्वक रिज़ॉल्व कर रहे हैं। DNS फ़िल्टर लॉग इन उपकरणों से कोई ब्लॉक किए गए प्रश्न नहीं दिखाते हैं। आर्किटेक्चरल खामी क्या है और इसका समाधान क्या है?

खामी यह है कि फ़ायरवॉल पर पोर्ट 53 ब्लॉक नहीं है। 18% डिवाइस हार्डकोडेड रिज़ॉल्वर्स (8.8.8.8, 1.1.1.1) या DNS over HTTPS का उपयोग करके DHCP-असाइन किए गए DNS सर्वरों को बायपास कर रहे हैं। चूंकि उनके DNS प्रश्न कभी फ़िल्टरिंग इंजन तक नहीं पहुंचते हैं, इसलिए लॉग में कोई ब्लॉक किया गया प्रश्न दिखाई नहीं देता है। समाधान: 1. गेस्ट VLAN गेटवे पर एक फ़ायरवॉल नियम लागू करें जो स्वीकृत फ़िल्टरिंग इंजन IP के अलावा किसी भी अन्य IP पर पोर्ट 53 पर सभी आउटबाउंड UDP और TCP ट्रैफ़िक को ड्रॉप करता है। 2. एन्क्रिप्टेड बाईपास को रोकने के लिए फ़ायरवॉल पर प्रमुख DoH प्रदाताओं (Cloudflare, Google, NextDNS) के IP रेंज को पहचानें और ब्लॉक करें। 3. कवरेज की पुष्टि करने के लिए पैठ परीक्षण दोबारा चलाएं। 4. नियम सक्रिय है यह सत्यापित करने के लिए पोर्ट 53 ट्रैफ़िक के लिए फ़ायरवॉल ड्रॉप लॉग की निगरानी करें।

परीक्षक की टिप्पणी: DHCP एक सुझाव है, प्रवर्तन तंत्र नहीं। फ़ायरवॉल नियम ही वास्तविक प्रवर्तन परत है। यह अंतर महत्वपूर्ण है और प्रारंभिक डिप्लॉयमेंट में अक्सर छूट जाता है। DoH बाईपास एक द्वितीयक वेक्टर है जिसके लिए एक अलग समाधान की आवश्यकता होती है। साथ मिलकर, ये दो नियंत्रण - पोर्ट 53 ब्लॉकिंग और DoH प्रदाता IP ब्लॉकिंग - प्राथमिक बचाव मार्गों को बंद कर देते हैं।

अभ्यास प्रश्न

Q1. एक रिटेल चेन 150 स्टोरों में क्लाउड DNS फ़िल्टर तैनात करती है। वे फ़िल्टरिंग इंजन IP को असाइन करने के लिए सभी गेस्ट VLAN पर DHCP स्कोप को अपडेट करते हैं। एक हफ्ते बाद, स्टोर मैनेजर रिपोर्ट करते हैं कि ग्राहक अभी भी ब्लॉक की गई कंटेंट श्रेणियों तक पहुंच सकते हैं। DNS फ़िल्टर डैशबोर्ड इन स्टोरों से बहुत कम क्वेरी वॉल्यूम दिखाता है। इसका सबसे संभावित कारण क्या है और इसका समाधान क्या है?

संकेत: इस बात पर विचार करें कि कोई डिवाइस DHCP द्वारा असाइन किए गए सर्वर का उपयोग किए बिना DNS को कैसे हल कर सकता है।

मॉडल उत्तर देखें

सबसे संभावित कारण यह है कि फ़ायरवॉल पर आउटबाउंड पोर्ट 53 ब्लॉक नहीं है। डिवाइस हार्डकोडेड सार्वजनिक रिज़ॉल्वर के साथ DHCP-असाइन किए गए DNS सर्वरों को ओवरराइड कर रहे हैं। डैशबोर्ड में कम क्वेरी वॉल्यूम इस बात की पुष्टि करता है कि क्वेरी फ़िल्टरिंग इंजन तक नहीं पहुंच रही हैं। इसका समाधान एक फ़ायरवॉल नियम लागू करना है जो गेस्ट VLAN से स्वीकृत फ़िल्टरिंग इंजन IP के अलावा किसी भी अन्य IP पर पोर्ट 53 पर सभी आउटबाउंड UDP और TCP ट्रैफ़िक को रोक दे। इसके अतिरिक्त, एन्क्रिप्टेड DNS बाईपास को रोकने के लिए ज्ञात DoH प्रदाता IP सीमाओं को ब्लॉक करें।

Q2. एक कॉन्फ्रेंस सेंटर पहली बार DNS फ़िल्टरिंग लागू कर रहा है। वे अपने Captive Portal पर उपस्थित लोगों के प्रमाणीकरण (authentication) के लिए Google Workspace का उपयोग करते हैं। परीक्षण के दौरान, उपस्थित लोग लॉगिन प्रक्रिया पूरी नहीं कर पा रहे हैं - Google साइन-इन पेज लोड होने में विफल रहता है। कौन सा कॉन्फ़िगरेशन चरण छूट गया था और इसे कैसे सुधारा जाना चाहिए?

संकेत: डिवाइस को पूर्ण इंटरनेट एक्सेस मिलने से पहले प्रमाणीकरण होता है। प्रमाणीकरण पूरा होने से पहले किन डोमेन तक पहुंच योग्य होना चाहिए?

मॉडल उत्तर देखें

DNS फ़िल्टरिंग नीति लागू होने से पहले Walled Garden को कॉन्फ़िगर नहीं किया गया था। DNS फ़िल्टर उपस्थित लोगों द्वारा प्रमाणित होने से पहले Google Workspace प्रमाणीकरण डोमेन (accounts.google.com, oauth2.googleapis.com) को ब्लॉक कर रहा है। इसका समाधान DNS फ़िल्टरिंग नीति में प्री-ऑथेंटिकेशन अनुमति सूची (allowlist) में सभी आवश्यक Google Workspace OAuth और प्रमाणीकरण डोमेन को जोड़ना है। Captive Portal के अपने डोमेन और किसी भी CDN संपत्तियों को भी अनुमति सूची में शामिल किया जाना चाहिए। प्रतिबंधात्मक सामग्री नीति को केवल प्रमाणीकरण के बाद वाले सत्रों पर लागू करें।

Q3. एक स्टेडियम की IT टीम अपने 60,000 की क्षमता वाले वेन्यू के लिए DNS फ़िल्टरिंग बनाम डीप पैकेट इंस्पेक्शन (DPI) का मूल्यांकन कर रही है। नेटवर्क टीम पीक इवेंट्स के दौरान लेटेंसी (latency) को लेकर चिंतित है। कौन सा दृष्टिकोण अधिक उपयुक्त है और क्यों?

संकेत: 60,000 समवर्ती (concurrent) उपयोगकर्ताओं के पैमाने पर प्रत्येक विधि के प्रोसेसिंग ओवरहेड पर विचार करें।

मॉडल उत्तर देखें

DNS फ़िल्टरिंग उपयुक्त विकल्प है। यह रिज़ॉल्यूशन लेयर पर काम करता है, कोई भी कनेक्शन स्थापित होने से पहले एक हल्के UDP पैकेट का मूल्यांकन करता है, जिससे समवर्ती उपयोगकर्ता संख्या की परवाह किए बिना दो मिलीसेकंड से भी कम लेटेंसी जुड़ती है। DPI को प्रत्येक पैकेट के पूर्ण पेलोड का निरीक्षण करने की आवश्यकता होती है, जो 60,000 समवर्ती उपयोगकर्ताओं पर अत्यधिक लेटेंसी पैदा करेगा और हर निरीक्षण बिंदु पर अत्यधिक महंगे हार्डवेयर की आवश्यकता होगी। DNS फ़िल्टरिंग प्रोटोकॉल-अज्ञेयवादी (protocol-agnostic) भी है, जो किसी भी पोर्ट पर कनेक्शन को ब्लॉक करती है, जबकि DPI आमतौर पर HTTP और HTTPS ट्रैफ़िक तक सीमित होती है।

Q4. एक होटल समूह के IT निदेशक यह पुष्टि करना चाहते हैं कि उनका DNS फ़िल्टरिंग परिनियोजन PCI DSS आवश्यकताओं को पूरा करता है या नहीं। उनके भुगतान टर्मिनल VLAN 10 पर हैं और गेस्ट WiFi VLAN 20 पर है। DNS फ़िल्टर केवल VLAN 20 पर लागू किया गया है। उन्हें अपने PCI DSS मूल्यांकनकर्ता के लिए अतिरिक्त रूप से क्या दस्तावेजी साक्ष्य देने चाहिए?

संकेत: PCI DSS आवश्यकता 1.3 विश्वसनीय और अविश्वसनीय नेटवर्क के बीच नेटवर्क एक्सेस कंट्रोल को कवर करती है।

मॉडल उत्तर देखें

IT निदेशक को निम्नलिखित दस्तावेज़ तैयार करने चाहिए: 1. फ़ायरवॉल नियम जो यह पुष्टि करते हों कि VLAN 10 (कार्डधारक डेटा वातावरण) को VLAN 20 (गेस्ट नेटवर्क) से एक्सेस नहीं किया जा सकता है, जो PCI DSS आवश्यकता 1.3 को पूरा करता है। 2. DHCP कॉन्फ़िगरेशन जो यह दर्शाता हो कि VLAN 10 डिवाइस आंतरिक DNS रिज़ॉल्वर का उपयोग करते हैं, न कि क्लाउड फ़िल्टरिंग इंजन का। 3. फ़ायरवॉल नियम जो VLAN 20 से गैर-अनुमोदित IP पर आउटबाउंड पोर्ट 53 को ब्लॉक करते हैं, जो लागू की गई DNS फ़िल्टरिंग को प्रदर्शित करते हैं। 4. DNS फ़िल्टर नीति दस्तावेज़ जो VLAN 20 पर सक्रिय मैलवेयर और बॉटनेट ब्लॉकिंग श्रेणियों को दिखाते हैं। 5. DNS फ़िल्टर लॉग जो ब्लॉक किए गए क्वेरी इवेंट दिखाते हैं, यह प्रदर्शित करते हुए कि नियंत्रण सक्रिय है और इसकी निगरानी की जा रही है।

इस श्रृंखला में आगे पढ़ें

Staff और Guest WiFi नेटवर्क को सुरक्षित रूप से कैसे अलग करें

यह आधिकारिक तकनीकी गाइड IT लीडर्स को VLAN और 802.1X का उपयोग करके staff, guest और IoT WiFi नेटवर्क को सुरक्षित रूप से अलग करने के लिए व्यावहारिक रणनीतियाँ प्रदान करती है। यह विवरण देती है कि एंटरप्राइज़ इन्फ्रास्ट्रक्चर को कैसे सुरक्षित किया जाए, PCI DSS अनुपालन कैसे बनाए रखा जाए, और फर्स्ट-पार्टी डेटा कैप्चर करने के लिए captive portals का लाभ कैसे उठाया जाए।

गाइड पढ़ें →

Cisco SUDI को समझना: सुरक्षित नेटवर्क एक्सेस कंट्रोल में हार्डवेयर-एंकर वाली पहचान

यह गाइड बताती है कि Cisco SUDI एंटरप्राइज़ नेटवर्क इंफ्रास्ट्रक्चर के लिए हार्डवेयर-एंकर वाली, क्रिप्टोग्राफ़िक रूप से सुरक्षित पहचान कैसे प्रदान करता है। सीखें कि अपने स्थान के नेटवर्क एक्सेस कंट्रोल को सुरक्षित करने के लिए स्पूफ़ किए जा सकने वाले MAC पते को अपरिवर्तनीय 802.1AR प्रमाणपत्रों से कैसे बदलें।

गाइड पढ़ें →

स्वचालित एंटरप्राइज WiFi सर्टिफिकेट एनरोलमेंट के लिए SCEP को कैसे कॉन्फ़िगर करें

यह गाइड स्वचालित एंटरप्राइज WiFi सर्टिफिकेट एनरोलमेंट के लिए SCEP (Simple Certificate Enrollment Protocol) को कॉन्फ़िगर करने का तरीका बताती है, जिसमें PKI और NDES से लेकर MDM प्रोफाइल डिप्लॉयमेंट और RADIUS सत्यापन तक की पूरी आर्किटेक्चर शामिल है। यह उन IT प्रबंधकों, नेटवर्क आर्किटेक्ट्स और CTOs के लिए है जो होटलों, रिटेल चेन, स्टेडियमों, कॉन्फ्रेंस सेंटरों और सार्वजनिक क्षेत्र के संगठनों में काम करते हैं और जिन्हें प्री-शेयर्ड कीज़ से आगे बढ़कर स्केलेबल, पहचान-आधारित 802.1X EAP-TLS ऑथेंटिकेशन लागू करने की आवश्यकता है। Purple का हार्डवेयर-अज्ञेयवादी, क्लाउड ओवरले प्लेटफॉर्म सीधे इस आर्किटेक्चर के साथ एकीकृत होता है, जो गेस्ट और BYOD WiFi लेयर प्रदान करता है जो आपके सर्टिफिकेट-प्रमाणित स्टाफ नेटवर्क के साथ काम करती है।

गाइड पढ़ें →