টেকসিঁড়ি টিউটোরিয়ালঃ আধুনিক নেটওয়ার্ক ব্যবস্থায় নিরাপত্তা নিশ্চিত করতে ‘ডিফেন্স-ইন-ডেপথ’ বা বহুমাত্রিক নিরাপত্তা ব্যবস্থা অত্যন্ত গুরুত্বপূর্ণ। আমরা সাধারণত ফায়ারওয়াল বা পেরিমিটার সিকিউরিটি নিয়ে বেশি চিন্তিত থাকি, কিন্তু নেটওয়ার্কের অভ্যন্তরীণ লেয়ার-২ (Data Link Layer) অবকাঠামো প্রায়ই অরক্ষিত থেকে যায়। এই দুর্বলতাকে কাজে লাগিয়ে হ্যাকাররা সহজেই পুরো নেটওয়ার্কের নিয়ন্ত্রণ নিতে পারে। আমাদের আজকের টিউটরিয়ালে আমরা নেটওয়ার্ক থ্রেড এবং তার প্রতিকার সম্পর্কে বিস্তারিত আলোচনা করবো। লিখেছেন প্রকৌশলী সামিউল হক সুমন।
নেটওয়ার্কের অভ্যন্তরীণ সাধারণ থ্রেডসমূহ
অভ্যন্তরীণ সুইচিং ইনফ্রাস্ট্রাকচারে হ্যাকাররা বিভিন্ন কৌশলে আক্রমণ চালিয়ে থাকে। এর মধ্যে উল্লেখযোগ্য কিছু আক্রমণ হলো:
১. স্পুফিং অ্যাটাক (Spoofing Attacks): কোনো ডিভাইস যখন নিজের পরিচয় গোপন করে অন্য ডিভাইসের পরিচয় ধারণ করে, তাকে স্পুফিং বলে, যেমনঃ
MAC Spoofing: ডিভাইসের হার্ডওয়্যার অ্যাড্রেস পরিবর্তন করে অ্যাক্সেস কন্ট্রোল বাইপাস করে।
IP Spoofing: বিশ্বস্ত কোনো সোর্সের আইপি অ্যাড্রেস ব্যবহার করে নেটওয়ার্কে প্রবেশ করে।
DHCP Spoofing: একটি নকল DHCP সার্ভার তৈরি করে ক্লায়েন্টদের ভুল আইপি তথ্য প্রদান করা, যা মূলত ‘ম্যান-ইন-দ্য-মিডল’ আক্রমণের পথ তৈরি করে।
২. ARP অ্যাটাক: হ্যাকাররা মেলিশিয়াস ARP মেসেজ পাঠিয়ে কোনো বৈধ সার্ভার বা গেটওয়ের আইপি-র সাথে নিজের ম্যাক (MAC) অ্যাড্রেস যুক্ত করে দেয়। এর ফলে সব ট্রাফিক হ্যাকারের ডিভাইসের ভেতর দিয়ে যায়।
৩. রিকনেসান্স (Reconnaissance): এটি সরাসরি আক্রমণ না হলেও, এর মাধ্যমে হ্যাকাররা নেটওয়ার্কের বিভিন্ন সিস্টেম, সার্ভিস এবং দুর্বলতাগুলো খুঁজে বের করে ম্যাপিং তৈরি করে।
নেটওয়ার্ক সুরক্ষায় প্রতিকারসমুহ
সিসকো ক্যাটালিস্ট সুইচের মতো আধুনিক নেটওয়ার্ক ডিভাইসগুলোতে লেয়ার-২ সুরক্ষার জন্য বেশ কিছু কার্যকর ফিচার রয়েছে:
পোর্ট সিকিউরিটি (Port Security): একটি সুইচ পোর্টে সর্বোচ্চ কয়টি এবং কোন কোন ম্যাক অ্যাড্রেস কানেক্ট হতে পারবে তা নির্ধারণ করা যায়। এটি ম্যাক ফ্লাডিং এবং অননুমোদিত ডিভাইস সংযোগ রোধ করে।
DHCP স্নুপিং (DHCP Snooping): এটি নেটওয়ার্কে একটি বিশ্বস্ত সীমানা তৈরি করে। ফলে কোনো নকল বা আনট্রাস্টেড DHCP সার্ভার ক্লায়েন্টদের ভুল তথ্য দিতে পারে না।
ডায়নামিক এআরপি ইন্সপেকশন (DAI): এটি নেটওয়ার্কের প্রতিটি ARP প্যাকেট যাচাই করে। যদি কোনো আইপি ও ম্যাক বাইন্ডিং সঠিক না থাকে, তবে সেই প্যাকেটটি ড্রপ করে দেয়, যা ARP পয়জনিং থেকে রক্ষা করে।
আইপি সোর্স গার্ড (IPSG):এটি নিশ্চিত করে যে প্রতিটি হোস্ট কেবল তার জন্য বরাদ্দকৃত আইপি অ্যাড্রেস থেকেই ডাটা পাঠাচ্ছে কি না। এটি আইপি স্পুফিং রোধে অত্যন্ত কার্যকর।
সিসকো এনএফপি (NFP) ফ্রেমওয়ার্ক
নেটওয়ার্ক অবকাঠামোকে সুসংগঠিতভাবে সুরক্ষিত রাখতে সিসকো ‘নেটওয়ার্ক ফাউন্ডেশন প্রোটেকশন’ (NFP) ফ্রেমওয়ার্ক প্রদান করে। এটি ডিভাইস ফাংশনকে তিনটি ভাগে ভাগ করা হয়, যেমন:
১. ম্যানেজমেন্ট প্লেন (Management Plane): ডিভাইসের ম্যানেজমেন্ট ট্রাফিক (যেমন- SSH, SNMP) নিয়ন্ত্রণ করে। এখানে শক্তিশালী পাসওয়ার্ড এবং এনক্রিপশন ব্যবহার করা জরুরি।
২. কন্ট্রোল প্লেন (Control Plane): এটি রাউটিং প্রোটোকল (যেমন- OSPF, BGP) পরিচালনা করে। রাউটিং প্রোটোকল অথেন্টিকেশন এবং ‘কন্ট্রোল প্লেন পলিসিং’ (CoPP) এর মাধ্যমে একে সুরক্ষিত রাখা হয়।
৩. ডাটা প্লেন (Data Plane):এটি মূলত ব্যবহারকারীর ডাটা প্যাকেট ফরওয়ার্ড করার কাজ করে। এক্সেস কন্ট্রোল লিস্ট (ACL) এবং উপরে উল্লিখিত লেয়ার-২ সিকিউরিটি ফিচারের মাধ্যমে এটি সুরক্ষিত রাখা হয়।
সবশেষ
একটি নিরাপদ নেটওয়ার্ক গড়ার জন্য লেয়ার-২ বা ডেটা লিংক লেয়ারের নিরাপত্তা নিশ্চিত করা অপরিহার্য। সুইচগুলোর বিল্ট-ইন সিকিউরিটি ফিচার সঠিকভাবে কনফিগার করার মাধ্যমে আমরা অভ্যন্তরীণ হুমকি অনেকাংশেই কমিয়ে আনতে পারি। টেকনিক্যাল এই ফিচারগুলো প্রয়োগের পাশাপাশি সিসকো এনএফপি ফ্রেমওয়ার্ক অনুসরণ করলে যেকোনো প্রতিষ্ঠান তাদের নেটওয়ার্ক অবকাঠামোকে আরও শক্তিশালী ও নিরাপদ করতে সক্ষম হবে।
লেখকঃ নেটওয়ার্ক প্রকৌশলী, আমেরিকান ইন্টারন্যাশনাল ইউনিভার্সিটি – বাংলাদেশ।
