ওয়াই-ফাই নেটওয়ার্ক কতটুকু নিরাপদ? প্রতিকার কী-শেষ পর্ব

আগের পর্বের লিংক

চিত্রঃ Google Image
আগের পর্বে SSID ও Network Security key-নির্ধারণের ক্ষেত্রে কী উপায় অনুসরণ করা যেতে পারে তা নিয়ে আলোচনা করা হয়েছে। এ পর্বে অন্য ব্যাপারগুলো আলোচনা করা হবে।

আইপি এড্রেস ফিল্টারিং / ডিসঅ্যাবল ডিএইচসিপি (IP Address filtering/disable DHCP)
ওয়াই-ফাই নেটওয়ার্কে নিরাপত্তা বাড়ানোর জন্য আরেকটি উপায় যোগ করা যেতে পারে, সেটি হল আইপি এড্রেস ফিল্টারিং। নেটওয়ার্কে যুক্ত হওয়ার ক্ষেত্রে প্রতিটি ডিভাইসের একটি করে স্বতন্ত্র নাম্বার /ঠিকানা থাকে যা দিয়ে উক্ত ডিভাইসটিকে চেনা যায়।এটিকে বলা হয় আইপি এড্রেস (IP Address)। যেকোনো আইটি পেশাজীবী/ছাত্র এটা জানেন, আমি একটু সংক্ষেপে বললাম যাদের পেশা আইটি নয় তাদের জন্য। এই আইপি এড্রেস দুইভাবে দেওয়া যায় -
১. একটি রেঞ্জ (range) ঠিক করে দিয়ে সব ডিভাইসকে বলা হয় যাতে যে যার ইচ্ছেমত আইপি এড্রেস নিয়ে নেয় সেই রেঞ্জ থেকে, যেমন ক্লাস সি এড্রেসের ক্ষেত্রে সর্বমোট ২৫৬ টি এড্রেস পাওয়া যায়।
২. প্রতিটি ডিভাইসকে নির্দিষ্ট একটি আইপি এড্রেস ঠিক করে দেওয়া হয়।

ওয়্যারলেস নেটওয়ার্কের ক্ষেত্রে এই কাজটি করে থাকে ওয়্যারলেস রাউটার বা এক্সেস পয়েন্ট। অ্যাডমিনিস্ট্রেটর ওয়্যারলেস রাউটার কনফিগার করার ক্ষেত্রে ঠিক করে থাকেন - কোন পদ্ধতিটি অনুসরণ করা হবে। আইপি এড্রেস স্বয়ংক্রিয়ভাবে (automatically) বণ্টন করার পদ্ধতিটি হল Dynamic Host Configuration Protocol বা DHCP। সাধারণত ওয়্যারলেস রাউটারটিকে ইউজার ফ্রেন্ডলি করার জন্য ডিএইচসিপি এনাবল (enable) করা থাকে । ব্যবহারকারী টেকনিক্যাল ঝামেলার জন্য সাধারণত এটা নিয়ে মাথা ঘামান না। কিন্তু এটা হ্যাকারদের জন্য দরজা খুলে দেয়। যেকোনো হ্যাকার সহজেই একটি আইপি এড্রেস নিয়ে নেটওয়ার্কে ঢুকে পরতে পারে। আবার নেটওয়ার্কটি আনলক করা থাকলে প্রতিবেশী দিনের পর দিন ফ্রি নেটওয়ার্ক ব্যবহার করতে পারে ও আপনার নেটওয়ার্কটি বাড়তি ট্রাফিকের জন্য স্লো হয়ে যেতে পারে। তাই এ ব্যাপারে সতর্ক হওয়া উচিত। চলুন দেখি কী করা যেতে পারে এক্ষেত্রে।

ওয়্যারলেস রাউটারে যদি ডিএইচসিপি এনাবল থাকে, তাহলে আইপি এড্রেস-এর উপর নির্ভর করে আইপি এড্রেস রেঞ্জ বা পুল (IP Address range/pool) নির্ধারিত হয়ে থাকে, যেমন ক্লাস সি (Class C) এড্রেস হলে সর্বচ্চো ২৫৪টি আইপি এড্রেস বিভিন্ন ডিভাইসের জন্য বরাদ্দ থাকতে পারে কারণ দুটি এড্রেস নির্ধারিত থাকে ডিফল্ট নেটওয়ার্ক ও ব্রডকাস্ট এড্রেস-এর জন্য। একটি ক্লাস সি এড্রেস হতে পারে এমন - 200.11.8.0; আমার ২৫৪টি এড্রেস দরকার নাও হতে পারে তাই সার্ভার কনফিগারেশনে রেঞ্জ (range) ঠিক করে দেওয়া যেতে পারে - যা নেটওয়ার্কের নিরাপত্তা বাড়িয়ে দেয়।

চিত্রঃ Google Image

ধরা যাক, আমার বাসায় ডেস্কটপ কম্পিউটারটি ওয়্যারড ইন্টারনেট (wired internet) ব্যবহার করবে ও আমার দুটি ল্যাপটপ, ১টি ট্যাবলেট, ও ১টি স্মার্টফোন ওয়্যারলেস নেটওয়ার্ক ব্যবহার করবে।তাহলে আমার ওয়্যারলেস নেটওয়ার্কে সর্বচ্চো মোট পাঁচটি ডিভাইস একই সময়ে সংযুক্ত হবে। ডিএইচসিপি সার্ভার কনফিগারেশনের সময় আমি রেঞ্জটি এমনভাবে ঠিক করতে পারি যাতে রেঞ্জটি ছয় পর্যন্ত বিস্তৃত হতে পারে। ১টি এড্রেস ব্যবহার করবে রাউটার নিজে। এটা হতে পারে এমন -192.168.0.100-192.168.0.105। এক্ষেত্রে কথা থেকে যায়, যদি কোন সময়ে শুধুমাত্র চারটি ডিভাইস যুক্ত থাকে (একটি ডিভাইস হয়তবা আমি সে মুহূর্তে ব্যবহার করছি না) ,তাহলে রেঞ্জে একটি এড্রেস খালি থাকে যা নাকি প্রতিবেশী বা হ্যাকার ব্যবহার করতে পারে। তাহলে কী করা? আসলে ব্যাপারটি এমন, আমরা যতই আমাদের বাসা নিরাপদ করতে থাকব, চোরও ততবেশী স্মার্ট হতেই থাকবে। আমার মনে হয় চোর-পুলিশের এই খেলা আজীবন চলবে। যাই হোক প্রসঙ্গে চলে যাই। আমি আগেই বলেছিলাম আইপি এড্রেস এসাইন (assign) করার আরো একটি পদ্ধতি আছে। এবার আমরা আইপি এড্রেস এসাইন করার স্বয়ংক্রিয় পদ্ধতিটি বন্ধ করে দিব অর্থাৎ ডিএইচসিপি ডিসঅ্যাবল (disable) করে দিব। এই পদ্ধতিটি একটু কঠিন অর্থাৎ কিছুটা টেকনিক্যাল। কিছু করার নেই কারণ আমাদের চোর আগের চেয়ে স্মার্ট হয়ে গিয়েছে। আমরা প্রতিটি ডিভাইসের জন্য একটি করে আইপি এড্রেস নির্দিষ্ট করে দিব। এটি হল static ip addressing।

চিত্রঃ Google Image

প্রথমেই আমরা ওয়্যারলেস রাউটারে Disable DHCP অপশনটি বেছে নিব। বেশিরভাগ ওয়্যারলেস রাউটারে ডিএইচসিপি ডিসঅ্যাবল করার পর রাউটারে আর কিছু করার থাকে না। আবার কোন কোন রাউটের ক্ষেত্রে একটি advance অপশন থাকে যেমন বলা থাকে Add Static IP address বা Add DHCP reservation -এই ধরণের অপশনের ক্ষেত্রে প্রতিটি ডিভাইসের ম্যাক এড্রেস (ম্যাক এড্রেস কি একটু পরেই আলোচনা করা হবে) ও ম্যাক এড্রেস বরাবর আলাদা আলাদা নির্দিষ্ট আইপি এড্রেস যোগ করতে হবে। আইপি এড্রেসগুলো কেমন হতে পারে তা উপরে রেঞ্জে বলা হয়েছে যেমন - 192.168.0.101; 192.168.0.102; 192.168.0.103; 192.168.0.104, 192.168.0.105। এবার প্রতিটি ডিভাইসের জন্য আলাদা আলাদাভাবে আইপি এড্রেস কনফিগার করতে হবে। তাহলেই অন্য কোন অযাচিত ডিভাইসের পক্ষে নেটওয়ার্কে ঢুকা কষ্টকর হয়ে যাবে। কীভাবে ডিভাইসগুলির স্ট্যাটিক আইপি এড্রেস কনফিগার করতে হবে সেটা সংক্ষেপে বলি। আমাদের দুটি জিনিস দরকার হবে - একটিকে বলা হয় সাবনেট মাস্ক (subnet mask), অপরটি হল ডিফল্ট গেটওয়ে (default gateway)। সাবনেট মাস্ক হতে পারে এমন - 255.255.255.0 আর ডিফল্ট গেটওয়ে হতে পারে এমন - 193.168.10.0; এদেরকে সহজে পেতে হলে ওয়্যারড কম্পিউটারটিতে গিয়ে (ধরা যাক ডেস্কটপ) start>run>command-এ গিয়ে এন্টার দিতে হবে অর্থাৎ আমাদেরকে কমান্ড প্রম্পটে যেতে হবে।তারপরে টাইপ করতে হবে ipconfig/all, তারপরে এন্টার দিলেই আমরা আমাদের ডেস্কটপটির আইপি এড্রেস, সাবনেট মাস্ক, ডিফল্ট গেটওয়ে, ডিএনএস সার্ভারসহ সব তথ্য পেয়ে যাব। তারপর ডিভাইসগুলির আইপি এড্রেস কনফিগার করার ক্ষেত্রে (ধরা যাক ল্যাপটপ এবং উইন্ডোজ সিস্টেম) সে ডিভাইসটির TCP/IP Address-এ গিয়ে নির্ধারিত আইপি এড্রেস, কমান্ড প্রম্পট থেকে পাওয়া সাবনেট মাস্ক ও ডিফল্ট গেটওয়ে দিতে হবে। আমাদের এই চারটি ডিভাইসের আইপি এড্রেস ভিন্ন হলেও সাবনেট মাস্ক ও ডিফল্ট গেটওয়ে সবার ক্ষেত্রে একই থাকবে। TCP/IP address-এ যাওয়ার জন্য start>control panel>network connection/network sharing center>Local area connection>Properties>Internet Protocol (TCP/IP) (IPV4) সিলেক্ট করে প্রোপার্টিজ-এ ক্লিক করতে হবে। Local Area Connection-এ সরাসরি যাওয়ার আরেকটি সহজ উপায় হচ্ছে start>run>command prompt (win xp) অথবা win vista-এর ক্ষেত্রে start-এ গিয়ে start search box-এ ncpa.cpl লিখলে সরাসরি লোকাল এরিয়া কানেকশনে চলে যাবে।

ডাইনামিক (ডিএইচসিপি) এড্রেস ব্যবহার না করে স্ট্যাটিক এড্রেস ব্যবহার করার সুবিধাটা কী? ডাইনামিক এড্রেস-এর ব্যাপারটি অনেকটা এমন, আমার বাসার দরজা খোলা, বাসায় ৫ টি বেড আছে যেকেউ যেকোনোটা খালি পেলে শুয়ে পড়তে পারে অর্থাৎ রেঞ্জ না থাকলে পুরো ২৫৫টি এড্রেসের যেকোনো খালি এড্রেস আর রেঞ্জ নির্ধারণ করা থাকলে কোন একটি এড্রেস খালি থাকলে সেই এড্রেস যেকেউ নিয়ে নেটওয়ার্ক ব্যবহার করতে পারে। স্ট্যাটিক এড্রেসের ক্ষেত্রে আমার বেড খালি থাকলেও দরজা বন্ধ থাকবে, দরজা খুলে তারপর বেড-এর দখল নিতে হবে অর্থাৎ নেটওয়ার্ক ব্যবহার করতে চাইলে হ্যাকারকে আমার সাবনেট, সাবনেট মাস্ক, ডিফল্ট গেটওয়ে জানতে হবে।স্ট্যাটিক এড্রেস-এর ক্ষেত্রে হ্যাকিং কাজটি আরেকটু কঠিন।
আইপি এড্রেস ফিল্টারিং যদিও এটি একটি শক্তিশালী উপায় নয়, তবুও আমাদের উদ্দেশ্য হল হ্যাকারদের কাজটাকে শুধুমাত্র বিভিন্ন উপায়ে কঠিন করে দেওয়া।

ম্যাক এড্রেস ফিল্টারিং (Mac Address Filtering)

চিত্রঃ Google Image

ম্যাক এড্রেস ফিল্টারিং-এ যাওয়ার আগে আমাদের প্রথমেই জানা দরকার ম্যাক এড্রেস (Media Access Control Address) কী? সহজ ভাবে বলতে গেলে প্রতিটি ডিভাইসকে আলাদাভাবে চেনার জন্য ম্যানুফাকচারার কর্তৃক প্রতিটি ডিভাইসে ৬টি গ্রুপে ১২ ডিজিটের একটি হেক্সাডেসিম্যাল ভ্যালু দেওয়া হয়। এটিই ম্যাক এড্রেস। ম্যাক এড্রেসের দ্বারা প্রতিটি ডিভাইসকে স্বতন্ত্রভাবে চেনা যায়। পিসি বা ল্যাপটপের ক্ষেত্রে এটি সাধারণত নেটওয়ার্ক ইন্টারফেস কার্ডে বার্ন করে দেওয়া হয়। ম্যাক এড্রেস হতে পারে এমন - 08-12-64-89-0B-26। এক্ষেত্রে ওয়্যারলেস রাউটার কনফিগার করার ক্ষেত্রে ম্যাক এড্রেস ফিল্টারিং এনাবল করে যে যে ডিভাইস নেটওয়ার্কে সংযুক্ত করতে চাই তাদের ম্যাক এড্রেসের লিস্ট দিয়ে দিতে হবে। আমার বাসায় যদি ৪ টি ডিভাইস ওয়্যারলেস নেটওয়ার্কে সংযুক্ত করতে চাই, তাহলে ৪-টি ডিভাইসের ম্যাক এড্রেস ওয়্যারলেস রাউটারের কনফিগারেশনে উল্লেখ করে দিতে হবে। এভাবে আমরা অন্য কোন অনাকাঙ্ক্ষিত ডিভাইস ফিল্টার আউট করতে পারি।

তাহলে হোম ওয়্যারলেস নেটওয়ার্কের নিরাপত্তার ক্ষেত্রে আমরা যে ব্যাপারগুলো দেখতে পেলাম ঃ
১. ওয়্যারলেস নেটওয়ার্ক কনফিগারেশনে ঢুকার জন্য রাউটারের ম্যানুফ্যাকচারার কতৃক ডিফল্ট ইউজার আইডি ও পাসওয়ার্ড দেওয়া হয়। প্রথমেই সেটা পরিবর্তন করতে হবে।
২. ডিফল্ট SSID পরিবর্তন করে ফেলতে হবে।
৩. SSID ব্রডকাস্ট করা যাবে না অর্থাৎ ওয়্যারলেস নেটওয়ার্ক কনফিগারেশনে গিয়ে SSID Hide অপশনটি বেছে নিতে হবে বা ব্রডকাস্ট SSID অপশনটি আনচেক করে দিতে হবে।
৪. ডিফল্ট নেটওয়ার্ক পাসওয়ার্ড বা নেটওয়ার্ক কী (network key) পরিবর্তন করে ফেলতে হবে। পরিবর্তন করার সময় WPA+TKIP অপশনটি বেছে নিতে হবে।নেটওয়ার্ক কী নির্ধারণের সময় কম্বিনেশন যতটা পারা যায় কঠিন করতে হবে।
৫. ডিএইচসিপি সার্ভার ডিসঅ্যাবল করে স্ট্যাটিক আইপি এড্রেস ব্যবহার করতে হবে বা আইপি এড্রেস-এর রেঞ্জ নির্ধারণ করে দিতে হবে।
৬. ম্যাক এড্রেস ফিল্টার করতে হবে।
৭. ওয়্যারলেস রাউটার এবং ডিভাইস - সব ক্ষেত্রেই ফায়ারওয়াল থাকলে অন করে দিতে হবে।
৮. ওয়্যারলেস রাউটারের ফার্মওয়্যার নিয়মিত আপডেট থাকতে হবে।
বর্তমানে অনেক রকমের সফটওয়্যার যেমন- নেটওয়ার্ক ম্যাজিক পাওয়া যায়, যা দিয়ে খুব সহজেই উপরোক্ত কাজগুলি করা যায় ও নেটওয়ার্ক মনিটর করা যায়। তারপরেও যা করছি সে ব্যাপারগুলো জানা থাকা থাকলে কাজটা করা সহজ হয়ে যায়।

ওয়্যারলেস নেটওয়ার্ক নিরাপত্তার ক্ষেত্রে আরো বিভিন্ন উপায় আছে যেমন - রেডিয়াস সার্ভারের (Radius Server) মাধ্যমে অথেন্টিকেশন, EAP/EAP-MD5, ভিপিএন টেকনোলজিতে PPP/L2TP/IPSec-IKE protocol -এর ব্যবহার, ডিজিটাল সার্টিফিকেট Rogue device detection ইত্যাদি। এগুলো সবই সাধারণত প্রাতিষ্ঠানিক ক্ষেত্রে ব্যবহৃত হয়ে থাকে তাই আলোচনা থেকে বাদ দিলাম। তাছাড়া স্বল্প-পরিসরে এগুলো আলোচনা করা খুবই কঠিন।

শতভাগ নিরাপদ কোনকিছুই নয়। আমাদের কাজ হল সবরকমের উপায় অনুসরণ করে হ্যাকারের কাজটাকে অনেক কঠিন করে দেওয়া এবং হ্যাকার পুরোপুরি হ্যাক করার আগেই যেন চোরকে ধরে ফেলা।

সঞ্চয় রহমান
আগষ্ট ২১, ২০১১

কিছু ইন্টারেস্টিং রিডিং
১. http://www.zdnet.com/blog/ou/the-six-dumbest-ways-to-secure-a-wireless-l...
২. http://www.lanarchitect.net/Articles/Wireless/SecurityRating/

তথ্যসূত্রঃ
১. Data Communication and Networking, Behrouz A. Forouzan, Third Edition
২. CCNA: Cisco certified network associate study guide, Todd Lammle