सर्वोत्तम DNS filtering: व्यवसायांसाठी एक व्यापक मार्गदर्शक

हे तांत्रिक संदर्भ मार्गदर्शक स्पष्ट करते की कशा प्रकारे एंटरप्राइझ DNS filtering हे कनेक्शन स्थापित होण्यापूर्वीच - रिझोल्यूशन लेयरवर दुर्भावनापूर्ण डोमेन्स ब्लॉक करून सार्वजनिक नेटवर्क सुरक्षित करते. हे IT संचालक, नेटवर्क आर्किटेक्ट आणि वेन्यू ऑपरेशन्स टीम्सना डेव्हलपमेंट आर्किटेक्चर, फायरवॉल कॉन्फिगरेशन आणि अनुपालन संदर्भ प्रदान करते जे त्यांना हॉस्पिटॅलिटी, रिटेल आणि सार्वजनिक क्षेत्रातील वातावरणात Guest WiFi सुरक्षित करण्यासाठी आवश्यक आहे. Purple Shield हे ८०,००० पेक्षा जास्त थेट वेन्यूवर DNS स्तरावर मालवेअर, बॉटनेट्स आणि अयोग्य कंटेंट ब्लॉक करते.

📖 8 मिनिट वाचन📝 1,807 शब्द🔧 2 सोडवलेली उदाहरणे❓ 4 सराव प्रश्न📚 9 महत्वाच्या व्याख्या

हे मार्गदर्शक ऐका

पॉडकास्ट ट्रान्सक्रिप्ट पहा

Purple च्या तांत्रिक माहिती पत्रकामध्ये आपले स्वागत आहे. आज आपण कॉर्पोरेट नेटवर्क सुरक्षेच्या एका महत्त्वपूर्ण घटकाकडे पाहत आहोत: DNS filtering.

जर तुम्ही हॉस्पिटॅलिटी, रिटेल किंवा मोठ्या थिएटर्स, स्टेडियम्स सारख्या ठिकाणी पब्लिक नेटवर्क व्यवस्थापित करणारे IT डायरेक्टर किंवा नेटवर्क आर्किटेक्ट असाल, तर तुम्हाला माहित आहे की WiFi प्रदान करणे ही एक मूलभूत गरज आहे. अगदी वीज किंवा HVAC सारखीच, ही एक अशी सेवा आहे जी अभ्यागत इमारतीमध्ये प्रवेश करताच सुरू होण्याची अपेक्षा करतात. परंतु सुरक्षेच्या दृष्टीने, ही सेवा एक प्रचंड, अनमॅनेज्ड अटॅक सरफेस निर्माण करते.

जेव्हा तुम्ही एखाद्या नेटवर्कला ओपन ॲक्सेस प्रदान करता, तेव्हा तुम्ही अनमॅनेज्ड डिवाइसेसना तुमच्या इन्फ्रास्ट्रक्चरवर आमंत्रित करत असता. तुम्ही पाहुण्यांच्या वैयक्तिक डिव्हाइसवर एंडपॉइंट प्रोटेक्शन इन्स्टॉल करू शकत नाही. पारंपारिक सुरक्षा परिमिती अपुरी पडते. याच कारणामुळे आधुनिक सुरक्षा संरचनेमध्ये DNS filtering हा सर्वात महत्त्वाचा स्तर बनला आहे. हे संरक्षणाला डिजिटल कनेक्शनच्या अगदी पहिल्या टप्प्यावर घेऊन जाते.

चला तांत्रिक सखोल विश्लेषणाने सुरुवात करूया. DNS filtering प्रत्यक्षात कसे काम करते?

Domain Name System, म्हणजेच DNS, हा इंटरनेटचा फोनबुक आहे. जेव्हा एखादा पाहुणा तुमच्या WiFi ला कनेक्ट करतो आणि त्यांच्या ब्राउझरमध्ये वेबसाइट पत्ता टाईप करतो, तेव्हा त्यांच्या डिव्हाइसने तो मानवाला वाचता येणारा डोमेन मशीनला वाचता येण्याजोग्या IP ॲड्रेसमध्ये ट्रान्सलेट केला पाहिजे. एका मानक सेटअपमध्ये, हा क्वीअरी डिफॉल्ट रिझॉल्व्हरकडे जातो, जो सहसा ISP द्वारे प्रदान केला जातो.

DNS filtering वापरणाऱ्या सुरक्षित आर्किटेक्चरमध्ये, DHCP सर्व्हर अतिथी डिव्हाइसला एक विशिष्ट, सुरक्षित DNS रिझॉल्व्हर नियुक्त करतो. जेव्हा हा क्वीअरी या फिल्टरिंग इंजिनवर पोहोचतो, तेव्हा ते केवळ IP ॲड्रेस रिझॉल्व्ह करत नाही. ते रिअल-टाइम थ्रेट इंटेलिजन्स फीड्स आणि तुमच्या विशिष्ट कॉर्पोरेट पॉलिसींच्या विरोधात डोमेनचे मूल्यांकन करते.

जर डोमेन सुरक्षित असेल, तर IP परत केला जातो आणि कनेक्शन पुढे सुरू राहते. हे मिलिसेकंदांमध्ये घडते. तथापि, जर डोमेनला घातक म्हणून चिन्हांकित केले गेले असेल, जसे की एखादी ज्ञात फिशिंग साइट किंवा बॉटनेट कमांड-अँड-कंट्रोल सर्व्हर, किंवा ते तुमच्या कंटेंट पॉलिसीचे उल्लंघन करत असल्यास, इंजिन हस्तक्षेप करते. हे एकतर नॉन-राउटेबल IP ॲड्रेस परत करते, ज्या तंत्राला सिंकहोलिंग म्हणून ओळखले जाते, किंवा वापरकर्त्याला ब्रँडेड ब्लॉक पेजवर रिडायरेक्ट करते.

Deep Packet Inspection किंवा प्रॉक्सी फिल्टरिंग सारख्या पर्यायांपेक्षा हा दृष्टिकोन का सरस आहे? हे कार्यप्रदर्शन आणि स्केलवर अवलंबून असते.

Deep Packet Inspection साठी नेटवर्क हार्डवेअरला प्रत्येक पॅकेटच्या पेलोडची तपासणी करणे आवश्यक असते. पन्नास हजार समवर्ती वापरकर्ते असलेल्या स्टेडियमसारख्या दाट वातावरणात, DPI मोठ्या प्रमाणावर लेटन्सी आणते आणि अत्यंत महागड्या हार्डवेअरची आवश्यकता असते. दुसरीकडे, DNS filtering कनेक्शन लाइफसायकलच्या अगदी सुरुवातीला कार्य करते. हे लाइटवेट UDP पॅकेटचे मूल्यांकन करते. एकदा DNS रिझोल्यूशन पूर्ण झाले की, वास्तविक डेटा ट्रान्सफर थेट क्लायंट आणि सुरक्षित सर्व्हर दरम्यान होते. फिल्टरिंग इंजिनला जड डेटा पेलोडवर प्रक्रिया करण्याची आवश्यकता नसते. याचा परिणाम जवळजवळ शून्य लेटन्सी प्रभावामध्ये होतो, जो सामान्यतः दोन मिलिसेकंदांपेक्षा कमी असतो.याव्यतिरिक्त, DNS filtering हे कनेक्शन प्रस्थापित होण्यापूर्वीच कार्य करत असल्याने, ते पूर्णपणे प्रोटोकॉल-स्वतंत्र असते. ॲप्लिकेशन HTTP, HTTPS, FTP किंवा कस्टम पोर्ट वापरण्याचा प्रयत्न करत असले, तरीही ते कनेक्शन ब्लॉक करते.

आता आपण एका वास्तविक जगातील उदाहरणावर नजर टाकूया. पाचशे खोल्यांच्या एका लक्झरी हॉटेल साखळीचा विचार करा. बेकायदेशीर स्ट्रीमिंगमुळे त्यांना हाय बँडविड्थ वापराचा सामना करावा लागत आहे आणि सार्वजनिक ठिकाणी अयोग्य कन्टेन्ट ॲक्सेस करता येत असल्याबद्दलच्या तक्रारी त्यांना मिळाल्या आहेत. त्यांची प्रॉपर्टी मॅनेजमेंट सिस्टम VLANs च्या माध्यमातून समान फिजिकल इन्फ्रास्ट्रक्चर शेअर करते.

यावरील योग्य उपाय म्हणजे क्लाउड-आधारित DNS filtering सोल्यूशन तैनात करणे आणि विशेषतः Guest WiFi VLAN साठी क्लाउड DNS IPs असाइन करण्यासाठी DHCP स्कोप कॉन्फिगर करणे. महत्त्वाचे म्हणजे, तुम्ही मंजूर DNS सर्व्हर्सशिवाय इतर कोणत्याही बाह्य IP वर गेस्ट VLAN कडून जाणारा आउटबाउंड UDP आणि TCP पोर्ट ५३ ट्रॅफिक ब्लॉक करण्यासाठी गेटवेवर फायरवॉल नियम लागू करता. त्यानंतर तुम्ही प्रौढ कन्टेन्ट, पायरसी आणि मालवेअर कॅटेगरी ब्लॉक करणारी पॉलिसी तयार करता. प्रॉपर्टी मॅनेजमेंट सिस्टम VLAN अंतर्गत DNS सर्व्हर्स वापरणे सुरू ठेवेल याची खात्री करणे हा मुख्य आर्किटेक्चरल निर्णय आहे, ज्यामुळे फिल्टरिंग पॉलिसी पूर्णपणे गेस्ट नेटवर्कसाठी आयसोलेट होते.

आता आपण अंमलबजावणीतील त्रुटींबद्दल बोलूया.

याचा पायाभूत टप्पा म्हणजे नेटवर्क कॉन्फिगरेशन. गेस्ट VLAN वरील सर्व क्लायंट्सना तुमच्या DNS filtering सेवेचे IP ॲड्रेस देण्यासाठी तुम्ही तुमचा गेटवे किंवा DHCP सर्व्हर कॉन्फिगर करणे आवश्यक आहे.

पण येथे एक महत्त्वाचा नियम आहे: पोर्ट ५३ ब्लॉक करा, अन्यथा ते फुकट आहे.

जर तुम्ही फक्त DHCP द्वारे DNS सर्व्हर्स असाइन केले, तर हुशार युजर्स किंवा दुर्भावनायुक्त ॲप्लिकेशन्स स्वतःचे DNS सेटिंग्ज (जसे की Google चे ८.८.८.८ किंवा Cloudflare चे १.१.१.१) हार्डकोड करून फिल्टर बायपास करू शकतात. ही चोरी रोखण्यासाठी, तुम्ही गेटवेवर फायरवॉल नियम लागू केले पाहिजेत जे तुमच्या नियुक्त फिल्टरिंग सर्व्हर्स व्यतिरिक्त इतर कोणत्याही IP ॲड्रेससाठी पोर्ट ५३ वरील सर्व आउटबाउंड ट्रॅफिक (UDP आणि TCP दोन्ही) ब्लॉक करतील.

दुसरी एक मोठी त्रुटी Captive Portals च्या बाबतीत आढळते. रिटेल आणि हॉस्पिटॅलिटी डेप्लॉयमेंट्समध्ये हे आपल्याला अनेकदा दिसते. एखादे ठिकाण कडक DNS filtering लागू करते आणि अचानक पाहुणे लॉग इन करू शकत नाहीत. असे का होते? कारण Captive Portal ऑथेंटिकेशनसाठी बाह्य डोमेन्सवर अवलंबून असते, उदाहरणार्थ, सोशल लॉगिनसाठी OAuth प्रदाते. जर तुमच्या DNS फिल्टरने युजर ऑथेंटिकेट होण्यापूर्वीच हे डोमेन्स ब्लॉक केले, तर एक पेचप्रसंग (catch-22) निर्माण होतो. युजर ऑथेंटिकेट होण्यासाठी इंटरनेट ॲक्सेस करू शकत नाही आणि इंटरनेट ॲक्सेस करण्यासाठी ऑथेंटिकेट होऊ शकत नाही.

याचा उपाय म्हणजे तुमचे Walled Garden योग्यरित्या कॉन्फिगर केले असल्याची खात्री करणे. तुम्ही DNS filtering पॉलिसीमध्ये Captive Portal अनुभवासाठी आवश्यक असलेल्या डोमेन्सना स्पष्टपणे अलाउलिस्ट (allowlist) केले पाहिजे.
दुसरे वास्तविक परिस्थितीचे उदाहरण: एका मोठ्या रिटेल शॉपिंग सेंटरला डेमोग्राफिक डेटा कॅप्चरसाठी Captive Portal सह मोफत सार्वजनिक WiFi ऑफर करायचे आहे, तसेच कौटुंबिक अनुकूल कॉर्पोरेट धोरणांचे काटेकोरपणे पालन करायचे आहे. DNS फिल्टरिंगचे Captive Portal सोबत एकत्रीकरण करण्यासाठी Microsoft Entra ID किंवा Google Workspace सारख्या ऑथेंटिकेशन डोमेन्सना प्री-ऑथेंटिकेशन अलावलिस्टमध्ये जोडणे आवश्यक आहे. त्यानंतरच युझर यशस्वीरित्या ऑथेंटिकेट झाल्यावर कंटेंट फिल्टरिंग पॉलिसी लागू केली जाते. हा दृष्टिकोन संभाव्य तांत्रिक समस्येला एका अखंड व्हिजिटर अनुभवात बदलतो.

आता आपण सामान्य परिस्थितींवर आधारित जलद प्रश्न आणि उत्तर सत्राकडे वळूया.

प्रश्न पहिला: आम्ही आमच्या गेस्ट नेटवर्कसाठी DNS फिल्टरिंग ऐवजी ट्रान्सपरंट HTTPS इन्स्पेक्शन वापरू शकतो का?

नाही. ट्रान्सपरंट HTTPS इन्स्पेक्शनसाठी ट्रॅफिक डिक्रिप्ट करण्यासाठी एंडपॉईंट डिव्हाइसवर सानुकूल रूट सर्टिफिकेट तैनात करणे आवश्यक असते. तुम्ही अनमॅनेज्ड गेस्ट डिव्हाइसेसवर सर्टिफिकेट्स तैनात करू शकत नाही. यामुळे गंभीर सुरक्षा चेतावण्यांसह त्यांचा ब्राउझिंग अनुभव खंडित होईल. ब्रिंग-युअर-ओन-डिव्हाइस (BYOD) वातावरणासाठी DNS फिल्टरिंग हाच योग्य दृष्टिकोन आहे.

प्रश्न दुसरा: DNS फिल्टरिंग हे DNS over HTTPS, किंवा DoH कसे हाताळते?

DoH हे DNS क्वेरी एन्क्रिप्ट करते, जे पारंपारिक नेटवर्क-स्तरीय इंटरसेप्शनला बायपास करू शकते. सर्वोत्तम सराव म्हणजे फायरवॉलवर ज्ञात DoH प्रदात्यांचे IP ॲड्रेस ओळखून ब्लॉक करणे, ज्यामुळे क्लायंटला मानक, फिल्टर करण्यायोग्य DNS वर परत येण्यास भाग पाडले जाते.

प्रश्न तिसरा: DNS फिल्टरिंग कॉम्पलायन्समध्ये मदत करते का?

नक्कीच. PCI-DSS सारख्या फ्रेमवर्कसाठी, नेटवर्क सेगमेंटेशन आणि मजबूत ॲक्सेस कंट्रोल्स दाखवणे अनिवार्य आहे. गेस्ट नेटवर्क्स नेहमी पेमेंट नेटवर्क्सपासून वेगळे (segmented) केले पाहिजेत, तरीही गेस्ट नेटवर्कवर मालवेअरचा प्रादुर्भाव रोखल्याने ठिकाणाचा एकूण जोखीम प्रोफाईल कमी होतो. GDPR च्या उद्देशांसाठी, तुम्ही तुमच्या नेटवर्कचा गैरवापर रोखण्यासाठी वाजवी तांत्रिक उपाययोजना केल्या आहेत हे दाखवणे हे कॉम्पलायन्सचे सकारात्मक लक्षण आहे.

आजच्या ब्रीफिंगचा सारांश सांगायचा तर. DNS फिल्टरिंग ही केवळ सुरक्षेची सर्वोत्तम पद्धत नाही. एंटरप्राइझ सार्वजनिक नेटवर्कसाठी ही एक ऑपरेशनल गरज आहे. हे मालवेअरच्या धोक्यांना ब्लॉक करण्यासाठी आणि स्वीकार्य वापर धोरणे लागू करण्यासाठी एक स्केलेबल, कमी-लेटन्सी यंत्रणा प्रदान करते.

महत्त्वाचे मुद्दे खालीलप्रमाणे आहेत. पहिले, कनेक्शन स्थापित होण्यापूर्वी DNS फिल्टरिंग डोमेन क्वेरी अडवते, ज्यामुळे दोन मिलिसेकंदांपेक्षा कमी लेटन्सी वाढते. दुसरे, कस्टम DNS सेटिंग्जद्वारे होणारी फसवणूक रोखण्यासाठी फायरवॉलवर आउटबाउंड पोर्ट 53 नेहमी ब्लॉक करा. तिसरे, Captive Portal ऑथेंटिकेशन डोमेन्स ब्लॉक होणार नाहीत याची खात्री करण्यासाठी तुमचे Walled Garden काळजीपूर्वक कॉन्फिगर करा. चौथे, ऑपरेशनल सिस्टम्सचे रक्षण करून, केवळ गेस्ट ट्रॅफिकवर फिल्टरिंग पॉलिसी लागू करण्यासाठी VLAN सेगमेंटेशन वापरा. आणि पाचवे, DNS फिल्टरिंग हे मजबूत नेटवर्क ॲक्सेस कंट्रोल्स दाखवून PCI-DSS आणि GDPR चे पालन करण्यास समर्थन देते.

तुमची पुढील पावले: तुमच्या सध्याच्या गेस्ट नेटवर्क DNS कॉन्फिगरेशनचे ऑडिट करा, आउटबाउंड पोर्ट 53 प्रतिबंधित असल्याची पडताळणी करा आणि तुमच्या सक्रिय DNS फिल्टरिंग पॉलिसीसह तुमच्या Captive Portal Walled Garden चे पुनरावलोकन करा.

हे Purple Technical Briefing ऐकल्याबद्दल धन्यवाद. अधिक तपशीलवार डिप्लॉयमेंट मार्गदर्शक आणि आर्किटेक्चर पॅटर्न्ससाठी, purple dot ai ला भेट द्या.

महत्वाचे मुद्दे

✓DNS filtering कोणतेही कनेक्शन स्थापित होण्यापूर्वी डोमेन रिझोल्यूशन विनंत्या अडवते, ज्यामुळे २ms पेक्षा कमी लॅटन्सी वाढते - ज्यामुळे ते उच्च-घनतेच्या गेस्ट नेटवर्क्ससाठी एकमेव व्यावहारिक कन्टेंट नियंत्रण पद्धत बनते.
✓केवळ DHCP असाइनमेंट म्हणजे अंमलबजावणी नव्हे. वापरकर्ते आणि मालवेअरना सानुकूल DNS सेटिंग्जसह फिल्टर बायपास करण्यापासून रोखण्यासाठी फायरवॉलवर आऊटबाउंड पोर्ट ५३ (UDP आणि TCP) ब्लॉक करा.
✓कोणतीही ब्लॉकिंग पॉलिसी लागू करण्यापूर्वी Walled Garden कॉन्फिगर करा. Captive Portal प्रमाणीकरण कार्य करण्यासाठी ओळख प्रदाता डोमेन्स (Microsoft Entra ID, Google Workspace, Okta) अलाउलिस्टमध्ये असणे आवश्यक आहे.
✓DNS filtering पॉलिसींची व्याप्ती केवळ गेस्ट VLAN पुरतीच मर्यादित ठेवा. आउटेज आणि PCI DSS अनुपालन अपयश टाळण्यासाठी POS आणि PMS सिस्टीम चालवणाऱ्या ऑपरेशनल VLANs नी अंतर्गत DNS रिझॉल्व्हर्सचा वापर केला पाहिजे.
✓आधुनिक ब्राउझर आणि डिव्हाइसेसवर एन्क्रिप्टेड DNS बायपास रोखण्यासाठी फायरवॉलवर ज्ञात DoH प्रदाता IP श्रेणी ब्लॉक करा.
✓DNS filtering हे PCI DSS आवश्यकता १.३ (नेटवर्क सेगमेंटेशन) आणि GDPR कलम ३२ (तांत्रिक सुरक्षा उपाय) ला समर्थन देते, जे अनुपालन ऑडिटसाठी दस्तऐवजीकरण पुरावे प्रदान करते.
✓Purple Shield हे प्रतिक्रियात्मक ब्लॅकलिस्ट प्रदात्यांपेक्षा १० दिवसांपर्यंत जलद गतीने शून्य-दिवसीय (zero-day) धोके ओळखते आणि ब्लॉक करते, यासाठी ते दुर्भावनायुक्त साइट्सची तक्रार होण्याची वाट पाहण्याऐवजी AI-आधारित डोमेन विश्लेषणाचा वापर करते.

मुख्य सारांश

मोठ्या प्रमाणावर सार्वजनिक नेटवर्क व्यवस्थापित करणाऱ्या IT नेत्यांसाठी, ब्राउझिंग वातावरण सुरक्षित करणे हे केवळ एक ऐच्छिक काम नसून एक परिचालन बंधन आहे. हॉस्पिटॅलिटी, रिटेल आणि सार्वजनिक ठिकाणी Guest WiFi हे मुळातच एक अविश्वासू वातावरण असते. मजबूत नियंत्रणांशिवाय, हे मालवेअर वितरण, बॉटनेट क्रियाकलाप आणि अयोग्य कंटेंटच्या प्रवेशाचे माध्यम बनते, ज्यामुळे ब्रँडच्या प्रतिष्ठेला हानी पोहोचते आणि कम्प्लायन्सचा धोका निर्माण होतो.

कंटेंट पॉलिसी लागू करण्यासाठी आणि नेटवर्क एजवर धोके रोखण्यासाठी DNS फिल्टरिंग ही सर्वात कार्यक्षम यंत्रणा आहे. संसाधन-केंद्रित असणाऱ्या डीप पॅकेट इन्स्पेक्शन (DPI) च्या तुलनेत, DNS फिल्टरिंग कोणताही डेटा पेलोड एक्सचेंज होण्यापूर्वी डोमेन रेझोल्यूशन रिक्वेस्ट अडवते. हे रिअल-टाइम थ्रेट इंटेलिजन्सच्या विरुद्ध हलक्या वजनाच्या UDP पॅकेटचे मूल्यांकन करते आणि वैध IP ॲड्रेस किंवा सिंकहोल परत करते, ज्यामुळे दोन मिलिसेकंदांपेक्षा कमी लेटन्सी येते. यामुळे हजारो समवर्ती अनमॅनेज्ड डिव्हाइसेसना सेवा देणाऱ्या उच्च-घनतेच्या वातावरणासाठी ही एकमेव व्यावहारिक कंटेंट नियंत्रण पद्धत बनते.

या मार्गदर्शकामध्ये VLAN सेगमेंटेशन, पोर्ट 53 सक्ती, कॅप्टिव्ह पोर्टल इंटिग्रेशन आणि DNS over HTTPS (DoH) इव्हिजन प्रिव्हेंशन यासह वितरीत एंटरप्राइझ ठिकाणी DNS फिल्टरिंग तैनात करण्यासाठी आवश्यक असलेल्या तांत्रिक आर्किटेक्चरचा समावेश आहे. हे PCI-DSS आणि GDPR चे पालन देखील संबोधित करते आणि हार्डवेअर बदलण्याची आवश्यकता नसताना Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks आणि Fortinet मधील विद्यमान हार्डवेअर स्टॅक्समध्ये Purple Shield कसे समाकलित होते हे स्पष्ट करते.

तांत्रिक सखोल विश्लेषण: DNS फिल्टरिंग कसे कार्य करते

डोमेन नेम सिस्टम (DNS) मानवाला वाचता येण्याजोग्या डोमेनचे मशीन-वाचनीय IP ॲड्रेसमध्ये भाषांतर करते. प्रत्येक इंटरनेट कनेक्शनची सुरुवात DNS रेझोल्यूशन रिक्वेस्टने होते. मानक नेटवर्कमध्ये, डिव्हाइसेस ISP द्वारे नियुक्त केलेल्या डीफॉल्ट रिझॉल्व्हरला क्वेरी करतात. सुरक्षित आर्किटेक्चरमध्ये, DHCP सर्व्हर गेस्ट VLAN वरील डिव्हाइसेसना पॉलिसी-लागू सुरक्षित DNS रिझॉल्व्हर नियुक्त करतो.

जेव्हा एखादे डिव्हाइस या सुरक्षित रिझॉल्व्हरला क्वेरी करते, तेव्हा फिल्टरिंग इंजिन एकाच वेळी अनेक डेटा स्त्रोतांविरुद्ध डोमेनचे मूल्यांकन करते: रिअल-टाइम थ्रेट इंटेलिजन्स फीड्स, कॅटेगरी ब्लॉकलिस्ट (प्रौढ कंटेंट, जुगार, पायरसी) आणि बॉटनेट कमांड-अँड-कंट्रोल डोमेन रजिस्ट्रीज. हा निर्णय मिलिसेकंदांमध्ये घेतला जातो.

डोमेन सुरक्षित असल्यास, इंजिन योग्य IP ॲड्रेस परत करते आणि कनेक्शन सामान्यपणे पुढे जाते. जर डोमेन हानीकारक म्हणून चिन्हांकित केले असेल किंवा तुमच्या स्वीकार्य वापर धोरणाचे (acceptable use policy) उल्लंघन करत असेल, तर इंजिन एक नॉन-राउटेबल IP ॲड्रेस परत करते (सिंकहोलिंग) किंवा वापरकर्त्याला ब्रँडेड ब्लॉक पेजवर रिडायरेक्ट करते. मुख्य मुद्दा: हा हस्तक्षेप डिव्हाइस आणि गंतव्य सर्व्हर दरम्यान कोणताही डेटा पेलोड एक्सचेंज होण्यापूर्वी होतो.

कामगिरी आणि स्केलचे फायदे

उच्च-घनतेच्या सार्वजनिक वातावरणासाठी DNS filtering हे आर्किटेक्चरलदृष्ट्या DPI पेक्षा उत्कृष्ट आहे. DPI ला प्रत्येक पॅकेटचा पेलोड तपासण्यासाठी नेटवर्क हार्डवेअरची आवश्यकता असते. ५०,००० एकाच वेळी वापरकर्ते असलेल्या ठिकाणी - स्टेडियम, कॉन्फरन्स सेंटर किंवा मोठी रिटेल इस्टेट - DPI लक्षणीय विलंब (latency) निर्माण करतो आणि प्रत्येक तपासणीच्या ठिकाणी महागड्या, विशेष-उद्देशीय हार्डवेअरची आवश्यकता असते.

DNS filtering कनेक्शनच्या जीवनचक्राच्या सुरुवातीला कार्य करते. हे एका सिंगल लाईटवेट UDP पॅकेटचे मूल्यांकन करते. एकदा रिझोल्यूशन पूर्ण झाल्यावर, डेटा थेट क्लायंट आणि डेस्टिनेशन सर्व्हर दरम्यान ट्रान्सफर होतो. फिल्टरिंग इंजिन कधीही डेटा पेलोडवर प्रक्रिया करत नाही. एकाच वेळी वापरकर्त्यांची संख्या कितीही असली तरी, लॅटन्सीचा प्रभाव सातत्याने दोन मिलिसेकंदांच्या खाली असतो.

कारण DNS filtering कनेक्शन स्थापित होण्यापूर्वी कार्य करते, ते प्रोटोकॉल-अज्ञेयवादी (protocol-agnostic) असते. अनुप्रयोग HTTP, HTTPS, FTP किंवा कस्टम पोर्ट वापरत असला तरीही ते कनेक्शन ब्लॉक करते. URL-आधारित फिल्टरिंगच्या तुलनेत हा एक महत्त्वपूर्ण फायदा आहे, जे केवळ HTTP/HTTPS ट्रॅफिक तपासते.

१०-दिवसांचा धोका शोधण्याचा फायदा

जुनी DNS सुरक्षा रिअॅक्टिव्ह ब्लॅकलिस्टिंगवर अवलंबून असते: एखादे डोमेन दुर्भावनापूर्ण म्हणून ओळखले जाते, मध्यवर्ती प्राधिकरणाकडे नोंदवले जाते, डेटाबेसमध्ये जोडले जाते आणि शेवटी तुमच्या फिल्टरमध्ये वितरीत केले जाते - ही प्रक्रिया पूर्ण होण्यासाठी काही दिवस लागू शकतात. आधुनिक मालवेअर मोहिमा या विलंबाचा फायदा घेतात. हल्लेखोर नवीन डोमेनची नोंदणी करतात, २४ तासांच्या कालावधीत मोहीम राबवतात आणि ते कोणत्याही मानक ब्लॉकलिस्टमध्ये पोहोचण्यापूर्वी डोमेन सोडून देतात.

Purple Shield रिअल टाइममध्ये डोमेन नोंदणी पॅटर्न, IP प्रतिष्ठा आणि क्रिप्टोग्राफिक स्वाक्षऱ्यांचे विश्लेषण करण्यासाठी AI-चालित धोका शोधण्याचा (threat detection) वापर करते. हा दृष्टिकोन पारंपारिक रिअॅक्टिव्ह प्रदात्यांच्या तुलनेत १० दिवस वेगाने उदयोन्मुख झिरो-डे धोके ओळखतो आणि ब्लॉक करतो (Purple अंतर्गत डेटा, २०२६). अशा वातावरणात जिथे अतिथी डिव्हाइसवरील एका दुर्भावनापूर्ण लिंकमुळे रॅन्समवेअर होऊ शकते, तो शोधण्याचा कालावधी ऑपरेशनलदृष्ट्या महत्त्वपूर्ण आहे.

अंमलबजावणी मार्गदर्शक: आर्किटेक्चर आणि उपयोजन

DNS filtering योग्यरित्या तैनात करण्यासाठी तीन स्तरांवर अचूक नेटवर्क कॉन्फिगरेशन आवश्यक आहे: DHCP, फायरवॉल आणि captive portal.

पायरी १: VLAN विभाजन

तुमचे नेटवर्क विभाजित करा जेणेकरून अतिथींचे ट्रॅफिक ऑपरेशनल सिस्टमपासून वेगळे केले जाईल. अतिथी डिव्हाइसेस एका समर्पित VLAN वर (उदा. VLAN 20) ठेवा आणि POS टर्मिनल, प्रॉपर्टी मॅनेजमेंट सिस्टीम आणि स्टाफ डिव्हाइसेस अंतर्गत DNS रिझॉल्व्हर्ससह स्वतंत्र VLAN वर ठेवा. हे सुनिश्चित करते की तुमचे DNS filtering धोरण केवळ अविश्वासू अतिथी ट्रॅफिकला लागू होईल आणि ऑपरेशनल सिस्टममध्ये व्यत्यय आणणार नाही.

हे विभाजन PCI-DSS आवश्यकता १.३ देखील पूर्ण करते, ज्यामध्ये कार्डधारक डेटाचे वातावरण अविश्वासू नेटवर्कपासून वेगळे असणे अनिवार्य आहे. अतिथी WiFi ने पेमेंट इन्फ्रास्ट्रक्चरसह कधीही VLAN सामायिक करू नये.

पायरी २: DHCP स्कोप कॉन्फिगरेशन

गेस्ट VLAN साठी DHCP स्कोप कॉन्फिगर करा जेणेकरून तुमच्या क्लाउड DNS फिल्टरिंग सेवेचे IP ॲड्रेस प्रायमरी आणि सेकंडरी DNS सर्व्हर म्हणून असाइन होतील. हे सुनिश्चित करते की गेस्ट नेटवर्कमध्ये सामील होणाऱ्या प्रत्येक डिव्हाइसला स्वयंचलितपणे योग्य रिझॉल्व्हर मिळेल.

पायरी ३: फायरवॉलवर Port 53 ची अंमलबजावणी

केवळ DHCP असाइनमेंट पुरेसे नाही. एखादा युझर त्यांचे डिव्हाइस मॅन्युअली कॉन्फिगर करून Google (8.8.8.8) किंवा Cloudflare (1.1.1.1) सारखे पब्लिक रिझॉल्व्हर वापरू शकतो आणि DHCP-ने दिलेले DNS सेटिंग्स ओव्हरराइड करू शकतो. मालवेअर सहसा नेटवर्क नियंत्रणे पूर्णपणे बायपास करण्यासाठी DNS सेटिंग्स हार्डकोड करतात.

तुम्ही एक फायरवॉल नियम लागू केला पाहिजे जो गेस्ट VLAN कडून तुमच्या नियुक्त फिल्टरिंग सर्व्हर्स व्यतिरिक्त इतर कोणत्याही IP ॲड्रेसवर पोर्ट 53 (UDP आणि TCP दोन्ही) वरील सर्व आउटबाउंड ट्रॅफिक ड्रॉप करेल. हे DNS फिल्टरला एका सल्लागार नियंत्रणाऐवजी सक्तीने लागू केलेल्या नियंत्रणात रूपांतरित करते.

पायरी ४: DNS over HTTPS (DoH) चे निवारण

आधुनिक ब्राउझर आणि ॲप्लिकेशन्स वाढत्या प्रमाणात DoH वापरतात, जे पोर्ट 443 वरील स्टँडर्ड HTTPS ट्रॅफिकमध्ये DNS क्वेरी एन्क्रिप्ट करतात. हे पोर्ट 53 इंटरसेप्शन पूर्णपणे बायपास करते. कव्हरेज राखण्यासाठी, मुख्य DoH प्रदात्यांच्या ज्ञात IP ॲड्रेस रेंजेस ब्लॉक करण्यासाठी तुमची फायरवॉल कॉन्फिगर करा. हे क्लायंट डिव्हाइसेसना स्टँडर्ड अनएन्क्रिप्टेड DNS वर परत येण्यास भाग पाडते, ज्याची तुमची फिल्टरिंग इंजिन तपासणी करू शकते. NIST SP 800-81r3 (मार्च २०२६ मध्ये प्रकाशित) विशेषतः एंटरप्राइझ DNS सुरक्षा विचार म्हणून DoH ला संबोधित करते.

पायरी ५: Captive Portal वॉर्ड गार्डन कॉन्फिगरेशन

जर तुम्ही गेस्ट ऑथेंटिकेशनसाठी Captive Portal ऑपरेट करत असाल, तर तुम्ही कोणतीही ब्लॉकिंग पॉलिसी लागू करण्यापूर्वी Walled Garden कॉन्फिगर केले पाहिजे. Walled Garden ही अशा डोमेन्सची यादी आहे जी डिव्हाइसेस ऑथेंटिकेट होण्यापूर्वी ॲक्सेस करू शकतात. यामध्ये Captive Portal कार्य करण्यासाठी आवश्यक असलेल्या सर्व डोमेन्सचा समावेश असावा: तुमच्या पोर्टलचे स्वतःचे डोमेन, कोणतेही आयडेंटिटी प्रदाते (Microsoft Entra ID, Okta, Google Workspace), आणि कोणतेही सोशल लॉगिन OAuth एंडपॉइंट्स.

ऑथेंटिकेशनपूर्वी हे डोमेन्स ब्लॉक केले गेल्यास, युझर्स लॉगिन फ्लो पूर्ण करू शकत नाहीत. याचा परिणाम खराब ऑनबोर्डिंग अनुभवात आणि निराश पाहुण्यांमध्ये होतो. प्रथम Walled Garden कॉन्फिगर करा, नंतर केवळ ऑथेंटिकेट केलेल्या सेशन्सवर तुमची कंटेंट फिल्टरिंग पॉलिसी लागू करा.

SSID आर्किटेक्चर आणि गेस्ट WiFi, स्टाफ WiFi आणि IoT नेटवर्क्सची रचना कशी असावी याबद्दल अधिक माहितीसाठी, Three SSIDs to rule them all: guest, Passpoint, and IoT WiFi पहा.

सर्वोत्तम पद्धती: पॉलिसी डिझाईन आणि सतत व्यवस्थापन

कॅटेगरी-आधारित ब्लॉकिंग

तुमची DNS फिल्टरिंग पॉलिसी वैयक्तिक डोमेन ब्लॉकलिस्टऐवजी कंटेंट कॅटेगरीभोवती आयोजित करा. कॅटेगरीमध्ये सहसा खालील गोष्टींचा समावेश होतो: मालवेअर आणि फिशिंग, बॉटनेट कमांड-अँड-कंट्रोल, प्रौढ कंटेंट, जुगार, बेकायदेशीर स्ट्रीमिंग आणि पीअर-टू-पीअर फाईल शेअरिंग. कॅटेगरी-आधारित पॉलिसी राखणे सोपे असते आणि थ्रेट इंटेलिजन्स अपडेट्सनुसार नवीन डोमेन्स स्वयंचलितपणे कॅप्चर करतात.

थ्रेट इंटेलिजन्स अपडेट वारंवारता

असा DNS फिल्टरिंग प्रदाता निवडा जो रिअल-टाइम किंवा जवळजवळ रिअल-टाइममध्ये थ्रेट इंटेलिजन्स अपडेट करतो. दररोज अपडेट केल्या जाणाऱ्या स्टॅटिक ब्लॉकलिस्ट्स आधुनिक फास्ट-फ्लक्स मालवेअर मोहिमांविरूद्ध अपुऱ्या ठरतात. Purple Shield त्याचे थ्रेट इंटेलिजन्स सतत अपडेट करते, जे रिऍक्टिव्ह प्रदात्यांपेक्षा १० दिवसांचा फायदा देणारे AI-चालित डिटेक्शन प्रतिबिंबित करते.

हार्डवेअर-अज्ञेयवादी (Hardware-agnostic) डिप्लॉयमेंट

Purple Shield क्लाउड ओव्हरले म्हणून काम करते, म्हणजेच ते हार्डवेअर बदलल्याशिवाय तुमच्या सध्याच्या ॲक्सेस पॉइंट इन्फ्रास्ट्रक्चरसह समाकलित होते. हे Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme आणि Fortinet शी सुसंगत आहे. फिल्टरिंग पॉलिसी DNS लेयरवर लागू केली जाते, त्यामुळे ॲक्सेस पॉइंट हार्डवेअरला फक्त DNS क्वेरी योग्य रिझॉल्व्हरकडे फॉरवर्ड कराव्या लागतात.

अ‍ॅनालिटिक्स आणि रिपोर्टिंग

DNS फिल्टरिंग तपशीलवार क्वेरी लॉग्स तयार करते जे नेटवर्क वर्तनाची दृश्यमानता प्रदान करतात. ट्रेंड्स ओळखण्यासाठी या लॉग्सचा वापर करा: एखाद्या विशिष्ट ॲक्सेस पॉइंटवरून ब्लॉक केलेल्या फिशिंग प्रयत्नांमधील वाढ हा लक्ष्यित हल्ल्याचा संकेत असू शकतो. ब्लॉक केलेल्या कॅटेगरी रिपोर्टचे नियमित पुनरावलोकन कंप्लायन्स ऑडिटला देखील समर्थन देते, जे PCI-DSS निर्धारक आणि GDPR ऑडिटर्सना हे दर्शवते की तुमच्याकडे सक्रिय नियंत्रणे अस्तित्वात आहेत.

सुरक्षा इव्हेंट्स आणि नेटवर्क परफॉर्मन्स दरम्यान युनिफाइड व्हिज्युअलिटी प्रदान करण्यासाठी Purple चे WiFi Analytics प्लॅटफॉर्म Shield सोबत समाकलित होते.

ट्रबलशूटिंग आणि जोखीम कमी करणे

कस्टम DNS द्वारे फिल्टर बायपास

लक्षण: वापरकर्ते अशा कंटेंटमध्ये प्रवेश करत असल्याचे अहवाल देतात जे ब्लॉक असायला हवेत. फायरवॉल लॉग्स गेस्ट VLAN मधून 8.8.8.8 किंवा 1.1.1.1 वर DNS क्वेरी दाखवतात.

कारण: फायरवॉलवर पोर्ट ५३ ब्लॉक केलेले नाही. वापरकर्ते DHCP-असाइन केलेल्या DNS सेटिंग्ज ओव्हरराइड करत आहेत.

उपाय: गेस्ट VLAN कडून तुमच्या फिल्टरिंग इंजिनशिवाय इतर कोणत्याही IP कडे जाणारा सर्व आउटबाउंड UDP/TCP पोर्ट ५३ ट्रॅफिक ड्रॉप करणारा फायरवॉल नियम लागू करा.

Captive Portal ऑथेंटिकेशन अयशस्वी होणे

लक्षण: अतिथी लॉगिन प्रक्रिया पूर्ण करू शकत नाहीत. Captive Portal पेज लोड होत नाही किंवा सोशल लॉगिन बटणे प्रतिसाद देत नाहीत.

कारण: ऑथेंटिकेशन होण्यापूर्वी DNS फिल्टर आयडेंटिटी प्रदाता डोमेन्स ब्लॉक करत आहे. Microsoft Entra ID, Google Workspace किंवा तुमच्या पोर्टलचे स्वतःचे डोमेन ब्लॉक केलेल्या कॅटेगरी सूचीमध्ये आहे.

उपाय: तुमच्या वॉल्ड गार्डन (Walled Garden) कॉन्फिगरेशनचे ऑडिट करा. सर्व आवश्यक ऑथेंटिकेशन डोमेन्स प्री-ऑथेंटिकेशन परवानगी सूचीमध्ये जोडा. पॉलिसी बदल लागू करण्यापूर्वी स्टेजिंग वातावरणात संपूर्ण लॉगिन प्रक्रियेची चाचणी घ्या.

DoH बायपास

लक्षण: हाय नेटवर्क वापरानंतरही DNS फिल्टर लॉग्स कमी क्वेरी व्हॉल्यूम दर्शवतात. काही उपकरणे फिल्टरिंग पूर्णपणे बायपास करत असल्याचे दिसतात.

कारण: ब्राउझर किंवा ॲप्लिकेशन्स DoH वापरत आहेत, जे एन्क्रिप्टेड DNS क्वेरी पोर्ट ४४३ वरून बाह्य रिझॉल्व्हर्सकडे पाठवत आहेत.

उपाय: फायरवॉलवर प्रमुख DoH प्रदात्यांचे ज्ञात IP श्रेणी ब्लॉक करा. ज्ञात DoH रिझॉल्व्हर IP वरील HTTPS कनेक्शनचे निरीक्षण करून कव्हरेजची पडताळणी करा.

ऑपरेशनल VLAN व्यत्यय

लक्षण: DNS फिल्टर डिप्लॉयमेंटनंतर POS टर्मिनल्स किंवा प्रॉपर्टी मॅनेजमेंट सिस्टीम्सची कनेक्टिव्हिटी खंडित होते. कारण: DNS filtering पॉलिसी चुकीच्या VLAN वर लागू केली गेली आहे, किंवा DHCP ऑपरेशनल डिव्हाइसेसना क्लाउड DNS रिझॉल्व्हर नियुक्त करत आहे.

निवारण: सर्व स्विच पोर्ट्स आणि ॲक्सेस पॉइंट्सवर VLAN टॅगिंगची पडताळणी करा. ऑपरेशनल डिव्हाइस VLANs केवळ अंतर्गत DNS रिझॉल्व्हर्स वापरण्यासाठी कॉन्फिगर केले आहेत याची खात्री करा.

ROI आणि व्यावसायिक प्रभाव

DNS filtering तीन आयामांमध्ये मोजण्यायोग्य परतावा देते.

बँडविड्थ रिक्लमेशन: बेकायदेशीर स्ट्रीमिंग, पीअर-टू-पीअर शेअरिंग आणि ऑटोमेटेड बॉटनेट ट्रॅफिक ब्लॉक केल्याने लक्षणीय बँडविड्थ परत मिळते. हॉटेलच्या वातावरणात, यामुळे गेस्ट VLAN चा वापर २०-४०% ने कमी होऊ शकतो, ज्यामुळे सर्किट अपग्रेडची आवश्यकता नसताना वैध वापरकर्त्यांसाठी कार्यप्रदर्शन सुधारते.

अनुपालन खर्च कमी करणे: सक्रिय DNS-स्तरीय नियंत्रणे दाखवून दिल्याने PCI DSS मूल्यमापनाची व्याप्ती आणि खर्च कमी होतो. हे GDPR Article 32 (डेटा सुरक्षा सुनिश्चित करण्यासाठी तांत्रिक उपाय) साठी दस्तऐवजीकरण केलेले पुरावे देखील प्रदान करते आणि मालवेअर संरक्षणासाठी Cyber Essentials प्रमाणन आवश्यकतांचे समर्थन करते.

ब्रँड आणि दायित्व संरक्षण: रिटेल आणि हॉस्पिटॅलिटी वातावरणात कुटुंब-अनुकूल ब्राउझिंग धोरणे लागू केल्याने अयोग्य सामग्रीचे सार्वजनिक प्रदर्शन रोखले जाते. लहान मुलांना सेवा देणाऱ्या ठिकाणी - शॉपिंग सेंटर्स, फॅमिली हॉटेल्स, स्टेडियम - हे अनेक अधिकारक्षेत्रांमध्ये ब्रँडची आवश्यकता आणि कायदेशीर विचार दोन्ही आहे.

क्षेत्र-विशिष्ट उपयोजन मार्गदर्शनासाठी, Hospitality , Retail , Healthcare , आणि Transport साठी आमची उद्योग पृष्ठे पहा.

महत्वाच्या व्याख्या

DNS filtering

एक सुरक्षा तंत्र जे डोमेन रिझोल्यूशन विनंत्यांना प्रतिबंधित करते आणि कनेक्शनला परवानगी देण्यापूर्वी किंवा ब्लॉक करण्यापूर्वी थ्रेट इंटेलिजन्स फीड्स आणि कंटेंट पॉलिसींच्या आधारे त्याचे मूल्यांकन करते.

सार्वजनिक नेटवर्कवरील अनमॅनेज्ड अतिथी डिव्हाइसेससाठी प्राथमिक कंटेंट नियंत्रण पद्धत. कोणत्याही एंडपॉइंट एजंटची आवश्यकता नाही.

Sinkholing

दुर्भावनापूर्ण डोमेनसाठी DNS क्वेरीला प्रतिसाद म्हणून नॉन-राउटेबल IP ॲड्रेस (जसे की 0.0.0.0) परत करणे, ज्यामुळे डिव्हाइसला कनेक्शन स्थापित करण्यापासून रोखले जाते.

मैलवेअरला ते शोधले गेले आहे याची चेतावणी न देता बॉटनेट कमांड आणि कंट्रोल ट्रॅफिक शांतपणे ब्लॉक करण्यासाठी वापरले जाते.

Walled Garden

एक मर्यादित प्री-ऑथेंटिकेशन नेटवर्क वातावरण जे वापरकर्त्याने captive portal लॉगिन प्रक्रिया पूर्ण करण्यापूर्वी मंजूर डोमेनच्या विशिष्ट संचात प्रवेश करण्यास अनुमती देते.

ऑथेंटिकेशन अयशस्वी होण्यापासून रोखण्यासाठी सर्व आयडेंटिटी प्रदाता डोमेन (Microsoft Entra ID, Google Workspace, Okta) आणि captive portal मालमत्ता समाविष्ट असणे आवश्यक आहे.

DNS over HTTPS (DoH)

एक प्रोटोकॉल जो पोर्ट 443 वरील मानक HTTPS ट्रॅफिकमध्ये DNS क्वेरी एनक्रिप्ट करतो, नेटवर्क स्तरावरील तपासणीपासून गंतव्य डोमेन लपवतो.

आधुनिक ब्राउझरमध्ये डीफॉल्टनुसार वाढत्या प्रमाणात वापरले जाते. DNS फिल्टरिंग कव्हरेज राखण्यासाठी DoH प्रदाता IP श्रेणींचे फायरवॉल स्तरावर ब्लॉकिंग आवश्यक आहे.

VLAN segmentation

802.1Q टॅगिंगचा वापर करून एकाच फिजिकल नेटवर्कला अनेक स्वतंत्र लॉजिकल नेटवर्क्समध्ये विभागणे.

ऑपरेशनल सिस्टम्सपासून गेस्ट ट्रॅफिक वेगळे करण्यासाठी महत्त्वपूर्ण आहे. PCI-DSS आवश्यकता 1.3 नुसार कार्डधारक डेटा वातावरण गेस्ट WiFi सह अविश्वसनीय नेटवर्कपासून वेगळे केले जाणे अनिवार्य आहे.

Captive portal

एक वेब पृष्ठ ज्याच्याशी डिव्हाइसेसनी पूर्ण नेटवर्क प्रवेश मिळविण्यापूर्वी संवाद साधला पाहिजे, ज्याचा वापर ऑथेंटिकेशन, सेवा अटींचा स्वीकार आणि फर्स्ट-पार्टी डेटा कॅप्चर करण्यासाठी केला जातो.

DNS फिल्टरिंगसह अचूकपणे कार्य करण्यासाठी काळजीपूर्वक Walled Garden कॉन्फिगरेशन आवश्यक आहे.

Deep Packet Inspection (DPI)

एक नेटवर्क फिल्टरिंग पद्धत जी तपासणी बिंदूवर पॅकेट्सच्या संपूर्ण पेलोडची तपासणी करते, ज्यामुळे कंटेंट-अवेअर फिल्टरिंग सक्षम होते परंतु लक्षणीय प्रोसेसिंग ओव्हरहेड वाढते.

लेटन्सी आणि हार्डवेअर खर्चामुळे हाय-डेन्सिटी गेस्ट नेटवर्क्ससाठी अव्यवहार्य आहे. अनमॅनेज्ड डिव्हाइस वातावरणासाठी DNS फिल्टरिंग हा पसंतीचा पर्याय आहे.

Threat intelligence feed

माहित असलेल्या दुर्भावनापूर्ण IP ॲड्रेस, डोमेन आणि URL पॅटर्नचा सतत अपडेट केला जाणारा डेटाबेस, ज्याचा वापर रीअल-टाइम DNS फिल्टरिंग निर्णय घेण्यासाठी केला जातो.

थ्रेट इंटेलिजन्स फीडची गुणवत्ता आणि अपडेट वारंवारता यावरून हे ठरते की एखादा DNS फिल्टर नवीन झिरो-डे धोक्यांना किती लवकर प्रतिसाद देतो.

Zero-day domain

एक नवीन नोंदणीकृत डोमेन जे कोणत्याही मानक ब्लॉकलिस्टवर दिसण्यापूर्वी मैलवेअर किंवा फिशिंग मोहिमेमध्ये वापरले जाते.

आधुनिक हल्ल्यांच्या मोहिमांमध्ये डिस्पोजेबल डोमेन वापरले जातात जे २४ तासांपेक्षा कमी काळासाठी सक्रिय असतात. AI-चालित थ्रेट डिटेक्शन रिपोट्सची वाट पाहण्याऐवजी नोंदणी पॅटर्नचे विश्लेषण करून हे डोमेन ओळखते.

सोडवलेली उदाहरणे

एक ४०० खोल्यांची हॉटेल साखळी १२ मालमत्तांवर Guest WiFi उपयोजित करत आहे. ते कॅप्टिव्ह पोर्टल ऑथेंटिकेशनसाठी Microsoft Entra ID वापरतात आणि त्यांची प्रॉपर्टी मॅनेजमेंट सिस्टम (PMS) त्याच फिजिकल स्विच इन्फ्रास्ट्रक्चरवर चालते. DNS filtering सुरू केल्यानंतर, तीन मालमत्तांवरील अतिथी अहवाल देतात की ते लॉगिन प्रक्रिया पूर्ण करू शकत नाहीत. याचे मूळ कारण काय आहे आणि टीमने याचे निराकरण कसे करावे?

याचे मूळ कारण अपूर्ण Walled Garden कॉन्फिगरेशन हे आहे. DNS फिल्टर अतिथी ऑथेंटिकेट होण्यापूर्वीच Microsoft Entra ID ऑथेंटिकेशन डोमेन्स ब्लॉक करत आहे, ज्यामुळे एक कोंडी निर्माण होत आहे जिथे अतिथी लॉगिन पेज लोड करू शकत नाहीत. निराकरणाची पावले: १. DNS filtering डॅशबोर्डमध्ये, एक प्री-ऑथेंटिकेशन पॉलिसी तयार करा जी login.microsoftonline.com, login.live.com आणि कोणत्याही टेनंट-विशिष्ट डोमेन्ससह सर्व Microsoft Entra ID डोमेन्सना स्पष्टपणे परवानगी देते (allowlist करते). २. कॅप्टिव्ह पोर्टलचे स्वतःचे डोमेन आणि ते लोड करत असलेले कोणतेही CDN ॲसेट्स देखील परवानगी यादीत असल्याचे सत्यापित करा. ३. PMS VLAN (VLAN 10) हे क्लाउड फिल्टरिंग इंजिनऐवजी अंतर्गत DNS रिझोल्व्हर्स वापरण्यासाठी कॉन्फिगर केले असल्याची खात्री करा. ४. रिस्ट्रिक्टिव्ह कंटेंट ब्लॉकिंग पॉलिसी फक्त अतिथी VLAN (VLAN 20) वरील पोस्ट-ऑथेंटिकेशन सेशन्सवर लागू करा. ५. घटना बंद करण्यापूर्वी प्रत्येक प्रभावित मालमत्तेवर संपूर्ण लॉगिन प्रक्रियेची चाचणी घ्या.

परीक्षकाचे भाष्य: हॉस्पिटॅलिटीमध्ये हे सर्वात सामान्य DNS filtering डेव्हलपमेंट अपयश आहे. याचे निराकरण सोपे आहे परंतु हे समजून घेणे आवश्यक आहे की DNS filtering डिव्हाइसवरील सर्व DNS क्वेरींवर लागू होते, ज्यामध्ये ऑथेंटिकेशनपूर्वी केलेल्या क्वेरींचाही समावेश आहे. कोणतीही ब्लॉकिंग पॉलिसी सक्रिय होण्यापूर्वी Walled Garden कॉन्फिगर करणे आवश्यक आहे. PMS आयसोलेशनची समस्या हा एक दुय्यम परंतु गंभीर शोध आहे - एकाच रिझोल्व्हरवर ऑपरेशनल आणि अतिथी DNS पॉलिसी एकत्र केल्याने PCI-DSS आवश्यकता १.३ अंतर्गत अनुपालन जोखीम निर्माण होते.

एक मोठी रिटेल साखळी २०० स्टोअर्स चालवते, ज्यामध्ये प्रत्येकाकडे एक अतिथी WiFi नेटवर्क आहे. त्यांची IT सुरक्षा टीम क्लाउड DNS फिल्टर तैनात करते आणि सर्व अतिथी VLANs वर DHCP स्कोप अपडेट करते. दोन आठवड्यांनंतर, एका पेनिट्रेशन चाचणीतून असे दिसून आले की १८% अतिथी डिव्हाइसेस ज्ञात दुर्भावनापूर्ण डोमेन्स यशस्वीरित्या रिझोल्व्ह करत आहेत. DNS फिल्टर लॉग्स या डिव्हाइसेसमधून कोणतीही ब्लॉक केलेली क्वेरी दाखवत नाहीत. आर्किटेक्चरल त्रुटी काय आहे आणि त्यावर काय उपाय आहे?

त्रुटी अशी आहे की फायरवॉलवर पोर्ट ५३ ब्लॉक केलेले नाही. १८% डिव्हाइसेस हार्डकोड केलेले रिझोल्व्हर्स (8.8.8.8, 1.1.1.1) वापरून किंवा HTTPS वर DNS वापरून DHCP-नियुक्त DNS सर्व्हरना बायपास करत आहेत. त्यांच्या DNS क्वेरी कधीही फिल्टरिंग इंजिनपर्यंत पोहोचत नसल्यामुळे, लॉगमध्ये कोणतीही ब्लॉक केलेली क्वेरी दिसत नाही. उपाय: १. अतिथी VLAN गेटवेवर एक फायरवॉल नियम लागू करा जो मंजूर फिल्टरिंग इंजिन IPs व्यतिरिक्त इतर कोणत्याही IP साठी पोर्ट ५३ वरील सर्व आउटबाउंड UDP आणि TCP ट्रॅफिक ड्रॉप करेल. २. एन्क्रिप्टेड बायपास रोखण्यासाठी फायरवॉलवर प्रमुख DoH प्रदात्यांच्या (Cloudflare, Google, NextDNS) IP श्रेणी ओळखा आणि ब्लॉक करा. ३. कव्हरेजची पुष्टी करण्यासाठी पुन्हा पेनिट्रेशन चाचणी चालवा. ४. नियम सक्रिय असल्याची खात्री करण्यासाठी पोर्ट ५३ ट्रॅफिकसाठी फायरवॉल ड्रॉप लॉग्सचे निरीक्षण करा.

परीक्षकाचे भाष्य: DHCP ही एक सूचना आहे, अंमलबजावणीची यंत्रणा नाही. फायरवॉल नियम हा वास्तविक अंमलबजावणीचा स्तर आहे. हा फरक गंभीर आहे आणि सुरुवातीच्या उपयोजनांमध्ये वारंवार सुटतो. DoH बायपास हा एक दुय्यम मार्ग आहे ज्यासाठी स्वतंत्र निवारण आवश्यक आहे. एकत्रितपणे, हे दोन नियंत्रणे - पोर्ट ५३ ब्लॉकिंग आणि DoH प्रदाता IP ब्लॉकिंग - प्राथमिक टाळण्याचे मार्ग बंद करतात.

सराव प्रश्न

Q1. एक रिटेल साखळी १५० स्टोअरमध्ये क्लाउड DNS फिल्टर तैनात करते. ते फिल्टरिंग इंजिन आयपी नियुक्त करण्यासाठी सर्व गेस्ट VLANs वर DHCP व्याप्ती अपडेट करतात. एका आठवड्यानंतर, स्टोअर व्यवस्थापक अहवाल देतात की ग्राहक अद्याप ब्लॉक केलेल्या कंटेंट कॅटेगरीमध्ये प्रवेश करू शकतात. DNS फिल्टर डॅशबोर्ड या स्टोअरमधून खूप कमी क्वेरी व्हॉल्यूम दाखवतो. सर्वात संभाव्य कारण काय आहे आणि त्यावर उपाय काय आहे?

टीप: DHCP द्वारे नियुक्त केलेले सर्व्हर न वापरता डिव्हाइस DNS कसे रिझोल्व्ह करू शकते याचा विचार करा.

नमुना उत्तर पहा

सर्वात संभाव्य कारण म्हणजे फायरवॉलवर आउटबाउंड पोर्ट 53 ब्लॉक केलेले नाही. डिव्हाइसेस हार्डकोड केलेल्या पब्लिक रिझोल्व्हर्ससह DHCP-नियुक्त DNS सर्व्हर ओव्हरराइड करत आहेत. डॅशबोर्डमधील कमी क्वेरी व्हॉल्यूम हे पुष्टी करतो की क्वेरी फिल्टरिंग इंजिनपर्यंत पोहोचत नाहीत. यावरील उपाय म्हणजे गेस्ट VLAN कडून मंजूर फिल्टरिंग इंजिन IP व्यतिरिक्त इतर कोणत्याही IP वर पोर्ट 53 वरील सर्व आउटबाउंड UDP आणि TCP ट्रॅफिक ड्रॉप करणारा फायरवॉल नियम लागू करणे. याव्यतिरिक्त, एनक्रिप्टेड DNS बायपास रोखण्यासाठी माहित असलेल्या DoH प्रदाता IP श्रेणी ब्लॉक करा.

Q2. एक कॉन्फरन्स सेंटर पहिल्यांदाच DNS filtering तैनात करत आहे. ते त्यांच्या Captive Portal वर उपस्थितांच्या प्रमाणीकरणासाठी Google Workspace चा वापर करतात. चाचणीदरम्यान, उपस्थितांना लॉगिन प्रक्रिया पूर्ण करता येत नाही - Google साइन-इन पृष्ठ लोड होण्यास अपयशी ठरते. कोणती कॉन्फिगरेशन पायरी चुकली आहे आणि ती कशी दुरुस्त करावी?

टीप: डिव्हाइसला पूर्ण इंटरनेट प्रवेश मिळण्यापूर्वी ऑथेंटिकेशन होते. ऑथेंटिकेशन पूर्ण होण्यापूर्वी कोणती डोमेन पोहोचण्यायोग्य असणे आवश्यक आहे?

नमुना उत्तर पहा

DNS filtering पॉलिसी लागू करण्यापूर्वी Walled Garden कॉन्फिगर केले गेले नव्हते. DNS फिल्टर उपस्थितांचे प्रमाणीकरण होण्यापूर्वी Google Workspace प्रमाणीकरण डोमेन्स (accounts.google.com, oauth2.googleapis.com) ब्लॉक करत आहे. याचे निराकरण करण्यासाठी सर्व आवश्यक Google Workspace OAuth आणि प्रमाणीकरण डोमेन्स DNS filtering पॉलिसीमधील प्री-ऑथेंटिकेशन अलाउलिस्टमध्ये जोडणे आवश्यक आहे. Captive Portal चे स्वतःचे डोमेन आणि कोणतेही CDN ॲसेट्स देखील अलाउलिस्टमध्ये असले पाहिजेत. केवळ पोस्ट-ऑथेंटिकेशन सेशन्सनाच प्रतिबंधात्मक कन्टेंट पॉलिसी लागू करा.

Q3. स्टेडियमची IT टीम त्यांच्या ६०,००० क्षमतेच्या ठिकाणासाठी DNS filtering विरुद्ध Deep Packet Inspection (DPI) चे मूल्यमापन करत आहे. नेटवर्क टीमला गर्दीच्या इव्हेंट्स दरम्यान येणाऱ्या लॅटन्सीबद्दल (latency) चिंता आहे. कोणती पद्धत अधिक योग्य आहे आणि का?

टीप: ६०,००० समवर्ती (concurrent) वापरकर्त्यांच्या स्केलवर प्रत्येक पद्धतीच्या प्रक्रियेच्या ओव्हरहेडचा विचार करा.

नमुना उत्तर पहा

DNS filtering हा योग्य पर्याय आहे. हे रिझोल्यूशन लेयरवर काम करते, कोणतेही कनेक्शन स्थापित होण्यापूर्वी एका लाइटवेट UDP पॅकेटचे मूल्यमापन करते, ज्यामुळे समवर्ती वापरकर्त्यांच्या संख्येचा विचार न करता दोन मिलिसेकंदांपेक्षा कमी लॅटन्सी वाढते. DPI साठी प्रत्येक पॅकेटचे संपूर्ण पेलोड तपासणे आवश्यक असते, ज्यामुळे ६०,००० समवर्ती वापरकर्त्यांच्या वेळी लक्षणीय लॅटन्सी निर्माण होईल आणि प्रत्येक तपासणी बिंदूवर अत्यंत महागड्या हार्डवेअरची आवश्यकता भासेल. DNS filtering हे प्रोटोकॉल-अज्ञेयवादी (protocol-agnostic) देखील आहे, जे कोणत्याही पोर्टवरील कनेक्शन ब्लॉक करते, तर DPI सामान्यत: HTTP आणि HTTPS ट्रॅफिकपुरते मर्यादित असते.

Q4. एका हॉटेल समूहाचे IT संचालक त्यांच्या DNS filtering ची अंमलबजावणी PCI DSS आवश्यकता पूर्ण करते याची खात्री करू इच्छितात. त्यांचे पेमेंट टर्मिनल्स VLAN 10 वर आहेत आणि गेस्ट WiFi VLAN 20 वर आहे. DNS फिल्टर केवळ VLAN 20 वर लागू केला आहे. त्यांनी त्यांच्या PCI DSS मूल्यांकनकर्त्यासाठी कोणते अतिरिक्त पुरावे दस्तऐवजीकरण (document) केले पाहिजेत?

टीप: PCI DSS आवश्यकता १.३ ही विश्वसनीय आणि अविश्वासू नेटवर्कमधील नेटवर्क ॲक्सेस कंट्रोल्सचा समावेश करते.

नमुना उत्तर पहा

IT संचालकांनी खालील गोष्टींचे दस्तऐवजीकरण केले पाहिजे: १. फायरवॉल नियम जे हे स्पष्ट करतात की VLAN 10 (कार्डधारक डेटा एन्व्हायर्नमेंट) चा VLAN 20 (गेस्ट नेटवर्क) वरून प्रवेश केला जाऊ शकत नाही, जे PCI DSS आवश्यकता १.३ चे पालन करते. २. DHCP कॉन्फिगरेशन जे दर्शवते की VLAN 10 वरील डिव्हाइसेस क्लाउड फिल्टरिंग इंजिनऐवजी अंतर्गत DNS रिझॉल्व्हर्सचा वापर करतात. ३. फायरवॉल नियम जे VLAN 20 कडून गैर-मंजूर IPs कडे जाणारे आऊटबाउंड पोर्ट ५३ ब्लॉक करतात, ज्यामुळे सक्तीने लागू केलेले DNS filtering दिसून येते. ४. DNS फिल्टर पॉलिसीचे दस्तऐवजीकरण जे VLAN 20 वर सक्रिय मालवेअर आणि बॉटनेट ब्लॉकिंग श्रेणी दर्शवते. ५. DNS फिल्टर लॉग जे ब्लॉक केलेल्या क्वेरी इव्हेंट्स दर्शवतात, ज्यामुळे हा कंट्रोल सक्रिय आहे आणि त्यावर लक्ष ठेवले जात आहे हे सिद्ध होते.

या मालिकेमध्ये पुढे वाचा

कर्मचारी आणि अतिथी WiFi नेटवर्क सुरक्षितपणे कसे वेगळे करावे

हे अधिकृत तांत्रिक मार्गदर्शक IT नेत्यांना VLAN आणि 802.1X चा वापर करून कर्मचारी, अतिथी आणि IoT WiFi नेटवर्क्स सुरक्षितपणे वेगळे करण्यासाठी कृतीयोग्य रणनीती प्रदान करते. हे एंटरप्राइझ इन्फ्रास्ट्रक्चर सुरक्षित कसे करावे, PCI DSS अनुपालन कसे राखायचे आणि फर्स्ट-पार्टी डेटा कॅप्चर करण्यासाठी कॅप्टिव्ह पोर्टलचा कसा फायदा घ्यावा याचे तपशील प्रदान करते.

Cisco SUDI समजून घेणे: Secure Network Access Control मधील Hardware-Anchored Identity

हे मार्गदर्शक स्पष्ट करते की Cisco SUDI कशा प्रकारे एंटरप्राइझ नेटवर्क इन्फ्रास्ट्रक्चरसाठी hardware-anchored, गुपित-सुरक्षित (cryptographically secure) ओळख प्रदान करते. तुमच्या वेन्यूच्या नेटवर्क ॲक्सेस कंट्रोल सुरक्षित करण्यासाठी स्पूफ करता येण्याजोग्या MAC ॲड्रेसेस ऐवजी अपरिवर्तनीय 802.1AR सर्टिफिकेट्स वापरण्याची पद्धत जाणून घ्या.

स्वयंचलित Enterprise WiFi प्रमाणपत्र नावनोंदणीसाठी SCEP कसे कॉन्फिगर करावे

हे मार्गदर्शक स्वयंचलित enterprise WiFi प्रमाणपत्र नावनोंदणीसाठी SCEP (Simple Certificate Enrollment Protocol) कसे कॉन्फिगर करावे हे स्पष्ट करते, ज्यामध्ये PKI आणि NDES पासून ते MDM प्रोफाइल उपयोजन आणि RADIUS प्रमाणीकरणापर्यंतच्या संपूर्ण आर्किटेक्चरचा समावेश आहे. हे हॉटेल्स, रिटेल चेन्स, स्टेडियम, कॉन्फरन्स सेंटर्स आणि सार्वजनिक क्षेत्रातील संस्थांमधील आयटी व्यवस्थापक, नेटवर्क आर्किटेक्ट्स आणि CTOs ना उद्देशून आहे ज्यांना प्री-शेअर्ड कीजच्या पलीकडे जाऊन स्केलेबल, ओळख-आधारित 802.1X EAP-TLS प्रमाणीकरण लागू करायचे आहे. Purple चे हार्डवेअर-अज्ञेयवादी, क्लाउड ओव्हरले प्लॅटफॉर्म थेट या आर्किटेक्चरसह समाकलित होते, जे तुमच्या प्रमाणपत्र-प्रमाणित कर्मचारी नेटवर्कसह गेस्ट आणि BYOD WiFi स्तर प्रदान करते.