IPv6 के साथ सार्वजनिक नेटवर्क का उपयोग करने के कुछ सुरक्षित तरीके

Tags:
Categories:

कुछ लोगों के पास IPv6 का उपयोग करके घर वापस जाने की आवश्यकता होती है, Tailscale/ZeroTier जैसे VPN के विपरीत जिन्हें बिना नेटवर्क के प्रत्यक्ष कनेक्शन स्थापित करने के लिए टनलिंग की आवश्यकता होती है, IPv6 घर वापस आना सीधा कनेक्शन है, मोबाइल सेल नेटवर्क में अधिकतर समय IPv6 होता है, घर वापस जाना बहुत सुविधाजनक है।

मैंने पहले एक लेख साझा किया था घरेलू ब्रॉडबैंड का सामान्य उपयोग DDns उप-डोमेन के उपयोग से टेलीकॉम ब्रॉडबैंड सेवा को कमजोर कर सकता है, जिसमें IPv6 का उपयोग करते समय ऑपरेटर द्वारा खोदा गया एक गड्ढा बताया गया है, संक्षेप में यह कहना है कि डोमेन को स्कैन किया जा सकता है, अपना डोमेन उजागर करना IPv6 को उजागर करने के बराबर है, इसलिए इसे स्कैन किया जा सकता है, सेवा को स्कैन करने के बाद आने वाले कनेक्शन अधिक होने पर ब्रॉडबैंड सेवा कमजोर हो जाती है।

उस साझा किए गए लेख में केवल डोमेन स्कैनिंग का उल्लेख किया गया था, नेटवर्क स्पेस स्कैनिंग का नहीं, इस प्रकार की स्कैनिंग किसी भी उजागर जानकारी की परवाह किए बिना सीधे IP पूल को स्कैन करती है, इस स्थिति को रोकना कठिन है।

नेटवर्क स्पेस स्कैनिंग में आमतौर पर निम्नलिखित कई पहलू शामिल होते हैं:

  • IP एक्टिविटी डिटेक्शन: ऑनलाइन होस्ट की पहचान करने के लिए ARP, ICMP, TCP आदि प्रोटोकॉल का उपयोग करना।
  • पोर्ट/सर्विस डिटेक्शन: पोर्ट स्कैनिंग के माध्यम से ऑनलाइन होस्ट के ओपन पोर्ट को फ़िल्टर करना और लक्ष्य होस्ट की सेवा जानकारी, संस्करण जानकारी और ऑपरेटिंग सिस्टम जानकारी प्राप्त करना।
  • ऑपरेटिंग सिस्टम डिटेक्शन: लक्ष्य होस्ट के ऑपरेटिंग सिस्टम के प्रकार और संस्करण को अनुमानित करने के लिए प्रतिक्रिया डेटा पैकेट का विश्लेषण करना।
  • ट्रैफ़िक संग्रह: असामान्य व्यवहार या हमले के पैटर्न को खोजने के लिए नेटवर्क ट्रैफ़िक की निगरानी करना।
  • एलियास रिज़ॉल्यूशन: एकाधिक IP पते वाले राउटर के लिए, IP पते और राउटर के बीच मैपिंग संबंध स्थापित करना।
  • DNS प्रोबिंग: IP पते के रिवर्स रिज़ॉल्यूशन के माध्यम से IP पते और डोमेन के बीच संबंध स्थापित करना।

यहाँ कुछ तरीके हैं जिनसे नेटवर्क स्पेस स्कैनिंग से बचा जा सकता है:

  1. आंतरिक नेटवर्क DNS सर्वर AAAA रिकॉर्ड रिटर्न नहीं करता है
  2. आंतरिक नेटवर्क सेवा केवल डोमेन के माध्यम से एक्सेस करने की अनुमति देता है, सीधे IP के माध्यम से नहीं
  3. निजी DNS सेवा AdGuardPrivate का उपयोग करें

आंतरिक नेटवर्क DNS सर्वर AAAA रिकॉर्ड रिटर्न नहीं करता है

जब विभिन्न प्रकार की वेबसाइटों पर ब्राउज़ किया जाता है, तो इस प्रकार का प्राकृतिक एक्सेस स्रोत IPv6 को उजागर कर सकता है, दूसरी ओर सर्वर स्रोत IPv6 प्राप्त कर सकता है, यदि उपयोगकर्ता साइड फ़ायरवॉल नहीं चालू किया है, तो इस IPv6 को नेटवर्क स्पेस स्कैनिंग के प्राथमिक ट्रैवर्सल पूल में डाला जा सकता है।

/56 उपसर्ग IPv6 पते को स्कैन पूल में डाला जा सकता है, केवल निम्न 16 बिट को ट्रैवर्स करना, स्कैनिंग रेंज भी काफी कम हो सकती है।

IPv6 का वर्षों तक उपयोग करने के बाद मेरा अनुभव है कि IPv4 की तुलना में रोजमर्रा की ब्राउज़िंग में IPv6 में स्पष्ट अंतर नहीं है। इसलिए हम IPv6 के बाहरी आगमन का बलिदान कर सकते हैं, केवल घर वापस आने के लिए सीधे कनेक्शन के लिए।

अस्थायी IPv6 रिज़ॉल्यूशन सेटिंग्स नहीं रिटर्न करने का तरीका

आंतरिक नेटवर्क DNS सर्वर पर, AAAA रिकॉर्ड रिटर्न नहीं करने के लिए सेटिंग्स सेट करें।

आंतरिक नेटवर्क DNS सर्विस आमतौर पर AdGuardHome का उपयोग किया जाता है, सेटिंग्स का संदर्भ लें:

IPv6 को अक्षम करने की सेटिंग

सेटिंग के बाद, आंतरिक नेटवर्क डिवाइस बाहरी नेटवर्क पर जाने के लिए केवल IPv4 का उपयोग करेगा, IPv6 का उपयोग नहीं करेगा।

आंतरिक नेटवर्क सेवा केवल डोमेन के माध्यम से एक्सेस करने की अनुमति देता है

शायद घर में उजागर सेवा पोर्ट के माध्यम से एक्सेस की जा सकती है, इस प्रकार इसे स्कैन करना बहुत आसान है।

सेवा बनाते समय, 0.0.0.0 और :: जैसी सेटिंग्स को सुनने की कोशिश न करें, अनुभवी लोगों को एहसास होगा, लगभग सभी सेवा स्टार्टअप निर्देशों के डिफ़ॉल्ट केवल 127.0.0.1 और ::1 सुनते हैं, इसका कारण यह है कि पब्लिक IP सुनना जोखिम भरा होता है।

रिवर्स प्रॉक्सी केवल डोमेन एक्सेस की अनुमति देता है

nginx उदाहरण

मुख्य बात यह है कि server_name को डोमेन के रूप में सेट करें, _ या IP के रूप में नहीं।

server {
    listen 80;
    server_name yourdomain.com; # yourdomain.com को वास्तविक डोमेन के साथ बदलें

    # उन उपयोगकर्ताओं को 403 Forbidden वापस करें जो IP पते के माध्यम से एक्सेस करने की कोशिश करते हैं
    if ($host != 'yourdomain.com') {
        return 403;
    }

    location / {
        # यहाँ आपकी वेब रूट डायरेक्टरी और अन्य कॉन्फ़िगरेशन हैं
        root /path/to/your/web/root;
        index index.html index.htm;
    }

    # अन्य कॉन्फ़िगरेशन...
}

IIS उदाहरण

मुख्य बात यह है कि host name को डोमेन के रूप में सेट करें, खाली न छोड़ें।

IIS उदाहरण

निजी DNS सेवा का उपयोग करें

अपने निजी DNS सर्विस में कस्टम रिज़ॉल्यूशन जोड़ने के लिए फेक डोमेन को आंतरिक नेटवर्क सेवा में रिज़ॉल्व करें।

DNS पुनःलेखन क्षमता

इसके कुछ स्पष्ट फायदे हैं।

  1. सबसे पहले डोमेन को मनमाने ढंग से बनाया जा सकता है, डोमेन खरीदने की आवश्यकता नहीं है, डोमेन फीस की एक पेनी बचत होती है। यदि इस प्रकार के नकली डोमेन को स्कैन किया जाता है, तो हमलावर को अपने DNS सर्विस पर रिक्वेस्ट भेजकर सही रिज़ॉल्यूशन रिज़ल्ट प्राप्त करने की आवश्यकता होती है।
  2. अपने निजी DNS सर्वर एड्रेस और वर्चुअल डोमेन को उजागर करने की आवश्यकता होती है, फिर स्कैनर को डोमेन रिज़ॉल्यूशन लॉजिक को संशोधित करने और उजागर निजी DNS सर्वर पर वर्चुअल डोमेन के लिए रिक्वेस्ट भेजने की आवश्यकता होती है, फिर वर्चुअल डोमेन को बनाए गए रिक्वेस्ट Headers में भरने की आवश्यकता होती है, तभी स्कैनिंग शुरू की जा सकती है।
sequenceDiagram
  participant Scanner as नेटवर्क स्कैनर
  participant DNS as निजी DNS सर्वर
  participant Service as आंतरिक नेटवर्क सेवा

  Scanner->>DNS: 1. निजी DNS सर्वर एड्रेस खोजें
  Scanner->>DNS: 2. वर्चुअल डोमेन के लिए रिक्वेस्ट रिज़ॉल्यूशन
  DNS-->>Scanner: 3. आंतरिक नेटवर्क सेवा IP वापस करें
  Scanner->>Service: 4. वर्चुअल डोमेन के साथ Headers बनाएँ
  Note right of Service: यदि Headers में सही वर्चुअल डोमेन नहीं है<br/>तो एक्सेस अस्वीकृत कर दिया जाएगा
  alt Headers सही हैं
    Service-->>Scanner: 5a. सेवा रिस्पॉन्स वापस करें
  else Headers गलत हैं
    Service-->>Scanner: 5b. 403 एरर वापस करें
  end

स्कैनर ऊपर दिए गए सभी कदमों को पूरा करने के बाद ही आंतरिक नेटवर्क सेवा को स्कैन कर सकता है, इससे स्कैनिंग की कठिनाई में काफी वृद्धि होती है।

AdGuardPrivate पर आप निजी DNS सर्विस बना सकते हैं, नकली डोमेन जोड़ने के लिए कस्टम रिज़ॉल्यूशन फ़ंक्शन का उपयोग कर सकते हैं, बेशक आप dnspod.cn का भी उपयोग कर सकते हैं।

इन दोनों प्रदान करने वालों के बीच सेवा में बड़ा अंतर है, AdGuardPrivate सिर्फ मूल AdGuardHome से बदला हुआ है, dnspod की तुलना में बहुत अधिक कार्यक्षमता प्रदान करता है, आप स्वयं आकलन करें।

सारांश

  1. आंतरिक नेटवर्क DNS सर्वर AAAA रिकॉर्ड रिटर्न नहीं करता है
    • पूर्वापेक्षा
      • सार्वजनिक IPv6 है
      • आंतरिक नेटवर्क DNS सर्वर है
    • सेटिंग्स
      • AAAA रिकॉर्ड रिटर्न नहीं करता है
  2. आंतरिक नेटवर्क सेवा केवल डोमेन के माध्यम से एक्सेस करने की अनुमति देता है, सीधे IP के माध्यम से नहीं
    • पूर्वापेक्षा
      • अपना डोमेन है
      • डोमेन प्रदाता DDNS प्रदान करता है
      • आंतरिक नेटवर्क में रिवर्स प्रॉक्सी सेवा है
    • सेटिंग्स
      • DDNS टास्क सेट करें
      • केवल डोमेन के माध्यम से एक्सेस करने की अनुमति दें
  3. निजी DNS सेवा का उपयोग करें
    • पूर्वापेक्षा
      • निजी DNS सेवा है
      • निजी DNS सेवा कस्टम रिज़ॉल्यूशन प्रदान करता है
      • निजी DNS सेवा DDNS प्रदान करता है
    • सेटिंग्स
      • DDNS टास्क सेट करें
      • नकली डोमेन को आंतरिक नेटवर्क सेवा में रिज़ॉल्व करने के लिए कस्टम रिज़ॉल्यूशन जोड़ें

अंत में,

  • घर वापस जाने के लिए सबसे आसान और सुरक्षित तरीका घरेलू टनलिंग के बाद सफल tailscale/zerotier है, लेकिन कभी-कभी विभिन्न नेटवर्क कारणों से टनलिंग सफल नहीं होती है।
  • अजनबी Wifi से जुड़ने से बचें, एक बार में सभी जानकारी लीक हो सकती है। एक बड़े डेटा कार्ड खरीदें, अभी ऑपरेटर पर भरोसा करें, सस्ते बड़े डेटा कार्ड की आवश्यकता वाले लोग मुझसे संपर्क करें (नहीं), मुझे भी आवश्यकता है।