ওয়াই-ফাই নেটওয়ার্ক কতটুকু নিরাপদ? প্রতিকার কী-শেষ পর্ব

Shawnchoy.Rahman's picture

আগের পর্বের লিংক
pic_intransit_wifi_01
চিত্রঃ Google Image
আগের পর্বে SSID ও Network Security key-নির্ধারণের ক্ষেত্রে কী উপায় অনুসরণ করা যেতে পারে তা নিয়ে আলোচনা করা হয়েছে। এ পর্বে অন্য ব্যাপারগুলো আলোচনা করা হবে।

আইপি এড্রেস ফিল্টারিং / ডিসঅ্যাবল ডিএইচসিপি (IP Address filtering/disable DHCP)
ওয়াই-ফাই নেটওয়ার্কে নিরাপত্তা বাড়ানোর জন্য আরেকটি উপায় যোগ করা যেতে পারে, সেটি হল আইপি এড্রেস ফিল্টারিং। নেটওয়ার্কে যুক্ত হওয়ার ক্ষেত্রে প্রতিটি ডিভাইসের একটি করে স্বতন্ত্র নাম্বার /ঠিকানা থাকে যা দিয়ে উক্ত ডিভাইসটিকে চেনা যায়।এটিকে বলা হয় আইপি এড্রেস (IP Address)। যেকোনো আইটি পেশাজীবী/ছাত্র এটা জানেন, আমি একটু সংক্ষেপে বললাম যাদের পেশা আইটি নয় তাদের জন্য। এই আইপি এড্রেস দুইভাবে দেওয়া যায় -
১. একটি রেঞ্জ (range) ঠিক করে দিয়ে সব ডিভাইসকে বলা হয় যাতে যে যার ইচ্ছেমত আইপি এড্রেস নিয়ে নেয় সেই রেঞ্জ থেকে, যেমন ক্লাস সি এড্রেসের ক্ষেত্রে সর্বমোট ২৫৬ টি এড্রেস পাওয়া যায়।
২. প্রতিটি ডিভাইসকে নির্দিষ্ট একটি আইপি এড্রেস ঠিক করে দেওয়া হয়।

ওয়্যারলেস নেটওয়ার্কের ক্ষেত্রে এই কাজটি করে থাকে ওয়্যারলেস রাউটার বা এক্সেস পয়েন্ট। অ্যাডমিনিস্ট্রেটর ওয়্যারলেস রাউটার কনফিগার করার ক্ষেত্রে ঠিক করে থাকেন - কোন পদ্ধতিটি অনুসরণ করা হবে। আইপি এড্রেস স্বয়ংক্রিয়ভাবে (automatically) বণ্টন করার পদ্ধতিটি হল Dynamic Host Configuration Protocol বা DHCP। সাধারণত ওয়্যারলেস রাউটারটিকে ইউজার ফ্রেন্ডলি করার জন্য ডিএইচসিপি এনাবল (enable) করা থাকে । ব্যবহারকারী টেকনিক্যাল ঝামেলার জন্য সাধারণত এটা নিয়ে মাথা ঘামান না। কিন্তু এটা হ্যাকারদের জন্য দরজা খুলে দেয়। যেকোনো হ্যাকার সহজেই একটি আইপি এড্রেস নিয়ে নেটওয়ার্কে ঢুকে পরতে পারে। আবার নেটওয়ার্কটি আনলক করা থাকলে প্রতিবেশী দিনের পর দিন ফ্রি নেটওয়ার্ক ব্যবহার করতে পারে ও আপনার নেটওয়ার্কটি বাড়তি ট্রাফিকের জন্য স্লো হয়ে যেতে পারে। তাই এ ব্যাপারে সতর্ক হওয়া উচিত। চলুন দেখি কী করা যেতে পারে এক্ষেত্রে।

ওয়্যারলেস রাউটারে যদি ডিএইচসিপি এনাবল থাকে, তাহলে আইপি এড্রেস-এর উপর নির্ভর করে আইপি এড্রেস রেঞ্জ বা পুল (IP Address range/pool) নির্ধারিত হয়ে থাকে, যেমন ক্লাস সি (Class C) এড্রেস হলে সর্বচ্চো ২৫৪টি আইপি এড্রেস বিভিন্ন ডিভাইসের জন্য বরাদ্দ থাকতে পারে কারণ দুটি এড্রেস নির্ধারিত থাকে ডিফল্ট নেটওয়ার্ক ও ব্রডকাস্ট এড্রেস-এর জন্য। একটি ক্লাস সি এড্রেস হতে পারে এমন - 200.11.8.0; আমার ২৫৪টি এড্রেস দরকার নাও হতে পারে তাই সার্ভার কনফিগারেশনে রেঞ্জ (range) ঠিক করে দেওয়া যেতে পারে - যা নেটওয়ার্কের নিরাপত্তা বাড়িয়ে দেয়।

DLink-Reserved-DHCP-IPs
চিত্রঃ Google Image

ধরা যাক, আমার বাসায় ডেস্কটপ কম্পিউটারটি ওয়্যারড ইন্টারনেট (wired internet) ব্যবহার করবে ও আমার দুটি ল্যাপটপ, ১টি ট্যাবলেট, ও ১টি স্মার্টফোন ওয়্যারলেস নেটওয়ার্ক ব্যবহার করবে।তাহলে আমার ওয়্যারলেস নেটওয়ার্কে সর্বচ্চো মোট পাঁচটি ডিভাইস একই সময়ে সংযুক্ত হবে। ডিএইচসিপি সার্ভার কনফিগারেশনের সময় আমি রেঞ্জটি এমনভাবে ঠিক করতে পারি যাতে রেঞ্জটি ছয় পর্যন্ত বিস্তৃত হতে পারে। ১টি এড্রেস ব্যবহার করবে রাউটার নিজে। এটা হতে পারে এমন -192.168.0.100-192.168.0.105। এক্ষেত্রে কথা থেকে যায়, যদি কোন সময়ে শুধুমাত্র চারটি ডিভাইস যুক্ত থাকে (একটি ডিভাইস হয়তবা আমি সে মুহূর্তে ব্যবহার করছি না) ,তাহলে রেঞ্জে একটি এড্রেস খালি থাকে যা নাকি প্রতিবেশী বা হ্যাকার ব্যবহার করতে পারে। তাহলে কী করা? আসলে ব্যাপারটি এমন, আমরা যতই আমাদের বাসা নিরাপদ করতে থাকব, চোরও ততবেশী স্মার্ট হতেই থাকবে। আমার মনে হয় চোর-পুলিশের এই খেলা আজীবন চলবে। যাই হোক প্রসঙ্গে চলে যাই। আমি আগেই বলেছিলাম আইপি এড্রেস এসাইন (assign) করার আরো একটি পদ্ধতি আছে। এবার আমরা আইপি এড্রেস এসাইন করার স্বয়ংক্রিয় পদ্ধতিটি বন্ধ করে দিব অর্থাৎ ডিএইচসিপি ডিসঅ্যাবল (disable) করে দিব। এই পদ্ধতিটি একটু কঠিন অর্থাৎ কিছুটা টেকনিক্যাল। কিছু করার নেই কারণ আমাদের চোর আগের চেয়ে স্মার্ট হয়ে গিয়েছে। আমরা প্রতিটি ডিভাইসের জন্য একটি করে আইপি এড্রেস নির্দিষ্ট করে দিব। এটি হল static ip addressing।

Static DHCP
চিত্রঃ Google Image

প্রথমেই আমরা ওয়্যারলেস রাউটারে Disable DHCP অপশনটি বেছে নিব। বেশিরভাগ ওয়্যারলেস রাউটারে ডিএইচসিপি ডিসঅ্যাবল করার পর রাউটারে আর কিছু করার থাকে না। আবার কোন কোন রাউটের ক্ষেত্রে একটি advance অপশন থাকে যেমন বলা থাকে Add Static IP address বা Add DHCP reservation -এই ধরণের অপশনের ক্ষেত্রে প্রতিটি ডিভাইসের ম্যাক এড্রেস (ম্যাক এড্রেস কি একটু পরেই আলোচনা করা হবে) ও ম্যাক এড্রেস বরাবর আলাদা আলাদা নির্দিষ্ট আইপি এড্রেস যোগ করতে হবে। আইপি এড্রেসগুলো কেমন হতে পারে তা উপরে রেঞ্জে বলা হয়েছে যেমন - 192.168.0.101; 192.168.0.102; 192.168.0.103; 192.168.0.104, 192.168.0.105। এবার প্রতিটি ডিভাইসের জন্য আলাদা আলাদাভাবে আইপি এড্রেস কনফিগার করতে হবে। তাহলেই অন্য কোন অযাচিত ডিভাইসের পক্ষে নেটওয়ার্কে ঢুকা কষ্টকর হয়ে যাবে। কীভাবে ডিভাইসগুলির স্ট্যাটিক আইপি এড্রেস কনফিগার করতে হবে সেটা সংক্ষেপে বলি। আমাদের দুটি জিনিস দরকার হবে - একটিকে বলা হয় সাবনেট মাস্ক (subnet mask), অপরটি হল ডিফল্ট গেটওয়ে (default gateway)। সাবনেট মাস্ক হতে পারে এমন - 255.255.255.0 আর ডিফল্ট গেটওয়ে হতে পারে এমন - 193.168.10.0; এদেরকে সহজে পেতে হলে ওয়্যারড কম্পিউটারটিতে গিয়ে (ধরা যাক ডেস্কটপ) start>run>command-এ গিয়ে এন্টার দিতে হবে অর্থাৎ আমাদেরকে কমান্ড প্রম্পটে যেতে হবে।তারপরে টাইপ করতে হবে ipconfig/all, তারপরে এন্টার দিলেই আমরা আমাদের ডেস্কটপটির আইপি এড্রেস, সাবনেট মাস্ক, ডিফল্ট গেটওয়ে, ডিএনএস সার্ভারসহ সব তথ্য পেয়ে যাব। তারপর ডিভাইসগুলির আইপি এড্রেস কনফিগার করার ক্ষেত্রে (ধরা যাক ল্যাপটপ এবং উইন্ডোজ সিস্টেম) সে ডিভাইসটির TCP/IP Address-এ গিয়ে নির্ধারিত আইপি এড্রেস, কমান্ড প্রম্পট থেকে পাওয়া সাবনেট মাস্ক ও ডিফল্ট গেটওয়ে দিতে হবে। আমাদের এই চারটি ডিভাইসের আইপি এড্রেস ভিন্ন হলেও সাবনেট মাস্ক ও ডিফল্ট গেটওয়ে সবার ক্ষেত্রে একই থাকবে। TCP/IP address-এ যাওয়ার জন্য start>control panel>network connection/network sharing center>Local area connection>Properties>Internet Protocol (TCP/IP) (IPV4) সিলেক্ট করে প্রোপার্টিজ-এ ক্লিক করতে হবে। Local Area Connection-এ সরাসরি যাওয়ার আরেকটি সহজ উপায় হচ্ছে start>run>command prompt (win xp) অথবা win vista-এর ক্ষেত্রে start-এ গিয়ে start search box-এ ncpa.cpl লিখলে সরাসরি লোকাল এরিয়া কানেকশনে চলে যাবে।

ডাইনামিক (ডিএইচসিপি) এড্রেস ব্যবহার না করে স্ট্যাটিক এড্রেস ব্যবহার করার সুবিধাটা কী? ডাইনামিক এড্রেস-এর ব্যাপারটি অনেকটা এমন, আমার বাসার দরজা খোলা, বাসায় ৫ টি বেড আছে যেকেউ যেকোনোটা খালি পেলে শুয়ে পড়তে পারে অর্থাৎ রেঞ্জ না থাকলে পুরো ২৫৫টি এড্রেসের যেকোনো খালি এড্রেস আর রেঞ্জ নির্ধারণ করা থাকলে কোন একটি এড্রেস খালি থাকলে সেই এড্রেস যেকেউ নিয়ে নেটওয়ার্ক ব্যবহার করতে পারে। স্ট্যাটিক এড্রেসের ক্ষেত্রে আমার বেড খালি থাকলেও দরজা বন্ধ থাকবে, দরজা খুলে তারপর বেড-এর দখল নিতে হবে অর্থাৎ নেটওয়ার্ক ব্যবহার করতে চাইলে হ্যাকারকে আমার সাবনেট, সাবনেট মাস্ক, ডিফল্ট গেটওয়ে জানতে হবে।স্ট্যাটিক এড্রেস-এর ক্ষেত্রে হ্যাকিং কাজটি আরেকটু কঠিন।
আইপি এড্রেস ফিল্টারিং যদিও এটি একটি শক্তিশালী উপায় নয়, তবুও আমাদের উদ্দেশ্য হল হ্যাকারদের কাজটাকে শুধুমাত্র বিভিন্ন উপায়ে কঠিন করে দেওয়া।

ম্যাক এড্রেস ফিল্টারিং (Mac Address Filtering)

Wireless_MAC_Filter
চিত্রঃ Google Image

ম্যাক এড্রেস ফিল্টারিং-এ যাওয়ার আগে আমাদের প্রথমেই জানা দরকার ম্যাক এড্রেস (Media Access Control Address) কী? সহজ ভাবে বলতে গেলে প্রতিটি ডিভাইসকে আলাদাভাবে চেনার জন্য ম্যানুফাকচারার কর্তৃক প্রতিটি ডিভাইসে ৬টি গ্রুপে ১২ ডিজিটের একটি হেক্সাডেসিম্যাল ভ্যালু দেওয়া হয়। এটিই ম্যাক এড্রেস। ম্যাক এড্রেসের দ্বারা প্রতিটি ডিভাইসকে স্বতন্ত্রভাবে চেনা যায়। পিসি বা ল্যাপটপের ক্ষেত্রে এটি সাধারণত নেটওয়ার্ক ইন্টারফেস কার্ডে বার্ন করে দেওয়া হয়। ম্যাক এড্রেস হতে পারে এমন - 08-12-64-89-0B-26। এক্ষেত্রে ওয়্যারলেস রাউটার কনফিগার করার ক্ষেত্রে ম্যাক এড্রেস ফিল্টারিং এনাবল করে যে যে ডিভাইস নেটওয়ার্কে সংযুক্ত করতে চাই তাদের ম্যাক এড্রেসের লিস্ট দিয়ে দিতে হবে। আমার বাসায় যদি ৪ টি ডিভাইস ওয়্যারলেস নেটওয়ার্কে সংযুক্ত করতে চাই, তাহলে ৪-টি ডিভাইসের ম্যাক এড্রেস ওয়্যারলেস রাউটারের কনফিগারেশনে উল্লেখ করে দিতে হবে। এভাবে আমরা অন্য কোন অনাকাঙ্ক্ষিত ডিভাইস ফিল্টার আউট করতে পারি।

তাহলে হোম ওয়্যারলেস নেটওয়ার্কের নিরাপত্তার ক্ষেত্রে আমরা যে ব্যাপারগুলো দেখতে পেলাম ঃ
১. ওয়্যারলেস নেটওয়ার্ক কনফিগারেশনে ঢুকার জন্য রাউটারের ম্যানুফ্যাকচারার কতৃক ডিফল্ট ইউজার আইডি ও পাসওয়ার্ড দেওয়া হয়। প্রথমেই সেটা পরিবর্তন করতে হবে।
২. ডিফল্ট SSID পরিবর্তন করে ফেলতে হবে।
৩. SSID ব্রডকাস্ট করা যাবে না অর্থাৎ ওয়্যারলেস নেটওয়ার্ক কনফিগারেশনে গিয়ে SSID Hide অপশনটি বেছে নিতে হবে বা ব্রডকাস্ট SSID অপশনটি আনচেক করে দিতে হবে।
৪. ডিফল্ট নেটওয়ার্ক পাসওয়ার্ড বা নেটওয়ার্ক কী (network key) পরিবর্তন করে ফেলতে হবে। পরিবর্তন করার সময় WPA+TKIP অপশনটি বেছে নিতে হবে।নেটওয়ার্ক কী নির্ধারণের সময় কম্বিনেশন যতটা পারা যায় কঠিন করতে হবে।
৫. ডিএইচসিপি সার্ভার ডিসঅ্যাবল করে স্ট্যাটিক আইপি এড্রেস ব্যবহার করতে হবে বা আইপি এড্রেস-এর রেঞ্জ নির্ধারণ করে দিতে হবে।
৬. ম্যাক এড্রেস ফিল্টার করতে হবে।
৭. ওয়্যারলেস রাউটার এবং ডিভাইস - সব ক্ষেত্রেই ফায়ারওয়াল থাকলে অন করে দিতে হবে।
৮. ওয়্যারলেস রাউটারের ফার্মওয়্যার নিয়মিত আপডেট থাকতে হবে।
বর্তমানে অনেক রকমের সফটওয়্যার যেমন- নেটওয়ার্ক ম্যাজিক পাওয়া যায়, যা দিয়ে খুব সহজেই উপরোক্ত কাজগুলি করা যায় ও নেটওয়ার্ক মনিটর করা যায়। তারপরেও যা করছি সে ব্যাপারগুলো জানা থাকা থাকলে কাজটা করা সহজ হয়ে যায়।

ওয়্যারলেস নেটওয়ার্ক নিরাপত্তার ক্ষেত্রে আরো বিভিন্ন উপায় আছে যেমন - রেডিয়াস সার্ভারের (Radius Server) মাধ্যমে অথেন্টিকেশন, EAP/EAP-MD5, ভিপিএন টেকনোলজিতে PPP/L2TP/IPSec-IKE protocol -এর ব্যবহার, ডিজিটাল সার্টিফিকেট Rogue device detection ইত্যাদি। এগুলো সবই সাধারণত প্রাতিষ্ঠানিক ক্ষেত্রে ব্যবহৃত হয়ে থাকে তাই আলোচনা থেকে বাদ দিলাম। তাছাড়া স্বল্প-পরিসরে এগুলো আলোচনা করা খুবই কঠিন।

শতভাগ নিরাপদ কোনকিছুই নয়। আমাদের কাজ হল সবরকমের উপায় অনুসরণ করে হ্যাকারের কাজটাকে অনেক কঠিন করে দেওয়া এবং হ্যাকার পুরোপুরি হ্যাক করার আগেই যেন চোরকে ধরে ফেলা।

সঞ্চয় রহমান
আগষ্ট ২১, ২০১১

কিছু ইন্টারেস্টিং রিডিং
১. http://www.zdnet.com/blog/ou/the-six-dumbest-ways-to-secure-a-wireless-l...
২. http://www.lanarchitect.net/Articles/Wireless/SecurityRating/

তথ্যসূত্রঃ
১. Data Communication and Networking, Behrouz A. Forouzan, Third Edition
২. CCNA: Cisco certified network associate study guide, Todd Lammle

2Comments

1
karter85
Fri, 05/12/2014 - 10:56am

Bien que n ° 1 en appeler grâce à un partenariat des tags et des organisations que l'autorité yastores , de Hokkaido à Okinawa dans une voiture privée à la campagne de projet à lutter ensemble pour renforcer les liens de fans et des joueurs a également élargi. Dans le W Coupe circonférence cette Canada Goose Freestyle Gilet fois et caravanes, j'ai écrit un message de soutien à la taille du Japon Jersey géants supporters représentatifs de 25m. Un message Jersey que plus de 50 000 ont été reçus et sont énumérés tous les jours pour le fait que le camp d'entraînement de l'équipe nationale Canada Goose Heli Arctic , ces activités ont encouragé les joueurs s'affrontent en route mène également à l'entreprise.

Ce n'est pas que je le ferai, mais ce gant est Canada Goose Hybridge également une troisième génération Alors vous devenez invalide dans environ six mois. Grip est totalement différente d'avant, c'est la première photo de cette. Je Jack, je suis dans un tel paume de glissement.

Par exemple, une jupe transformable Canada Goose Langford , utilise une seule plis, et la facilité de mouvement de la femme. Lors de la création d'un espace pour déplacer les corps, les plis et les boucles à l'épaule, la poitrine Mercurial Vapor IX TF Mauve Vert , les hanches et mince finition élégante crée sur mesure pour la forme et le corps de la femme. Conformément à la première saison, les couleurs et les matériaux distinctifs de connaître jusque dans les villes dans la nature .

2
WatchDog
WatchDog's picture
Mon, 22/08/2011 - 11:58am

বড় সমস্যায় আছি ল্যাপটপ নিয়া। একে একে ৫টা কিনেছি। ৪টা-ই এখন মৃত। আপনার লেখাটা পড়ে আরও একবার চেষ্টা করলাম। আসলে এ ব্যাপারে আমার জ্ঞান খুবই সীমিত। আশাকরি অনেকেই উপকৃত হবে লেখাটা পড়ে। ধন্যবাদ।