0

WiFi নেটওয়ার্ক নিরাপদ রাখার উপায়!!

 

 

১ম পর্ব:

WiFi নেটওয়ার্ক নিরাপদ রাখার উপায়।
বাসায় ওয়াই-ফাই প্রযুক্তি থাকলে খুব সহজেই ডেস্কটপ ছাড়াও একাধিক ল্যাপটপ ব্যবহার করা যায়। বর্তমান যুগে শুধুমাত্র একাধিক ল্যাপটপ-ই নয়, এর সাথে যোগ হয়েছে ই-বুক রিডার, আইপ্যাড, ট্যাবলেট, স্মার্টফোন ইত্যাদি।ইন্টারনেট থাকলে সেলফোন বা ল্যান্ডফোনেরও দরকার নেই কারণ স্কাইপ, ফেইসটাইম, গুগল ভয়েস ইত্যাদি ব্যবহার করে খুব সহজেই অডিও/ভিডিও কল করা যাচ্ছে। ওয়াই-ফাই প্রযুক্তি সবকিছু যেমন সহজ করে দিয়েছে, তেমনি নিরাপত্তার ব্যাপারটাও আবার নূতন করে ভাবতে হচ্ছে। ওয়াই-ফাই নিরাপত্তা ব্যাপারটা নিয়ে বলতে গেলে ওয়াই-ফাই প্রযুক্তি কী - সেটা কিছুটা জানা থাকলে নিরাপত্তা ব্যাপারটা আরো বেশি জোরালো করা যায়।


ওয়্যারলেস নেটওয়ার্ক কী?
তারবিহীন সবধরনের যোগাযোগ-নেটওয়ার্ককেই (communication network) ওয়্যারলেস নেটওয়ার্কের আয়ত্তাধীন ধরা যেতে পারে। এই ধরণের নেটওয়ার্ককে বৃহত্তর  ভাবে কেউ কেউ অবকাঠামো-বিহীন এড-হক নেটওয়ার্ক (Ad hoc networks) ও অবকাঠামো-ভিত্তিক নেটওয়ার্ক (Infrastructure networks) - এই দুই ধরণের শ্রেণীতে ফেলেন, আবার কেউ কেউ ওয়্যারলেস নেটওয়ার্কটিকে অবকাঠামো-বিহীন এড-হক নেটওয়ার্ক ও সেলুলার নেটওয়ার্ক (cellular network) - এই দুই ধরণের শ্রেণীতেও ফেলেন। যাই হোক,  GSM ও CDMA হল পরিচিত সেলুলার নেটওয়ার্ক। সেলুলার নেটওয়ার্কটি অবকাঠামো-ভিত্তিক ওয়্যারলেস নেটওয়ার্কের আয়ত্তাধীন। ওয়্যারলেস ল্যান (Wireless LAN) আবার এড হক ও অবকাঠামো-ভিত্তিক - দুই ভাবেই কাজ করে।
এড-হক নেটওয়ার্কের ক্ষেত্রে কোনরকম অবকাঠামো তৈরির প্রয়োজন নেই। এক্ষেত্রে দুটি নেটওয়ার্ক নোড একে অপরের সাথে সংযুক্ত হয়ে তথ্য (নেটওয়ার্ক প্যাকেট) আদান-প্রদান করে। পক্ষান্তরে অবকাঠামো-ভিত্তিক নেটওয়ার্কের ক্ষেত্রে অবশ্যই একটি অবকাঠামো তৈরির প্রয়োজন হয়, যেমন সেলুলার নেটওয়ার্কের ক্ষেত্রে সাধারণত একটি ফোন আরেকটি ফোনের সাথে সরাসরি যোগাযোগ স্থাপন করে না।এক্ষেত্রে বেস স্টেশন, মোবাইল সুইচ সেন্টার ইত্যাদির দরকার পড়ে।

ওয়্যারলেস এড-হক নেটওয়ার্ক
আগেই বলেছি কোন ধরণের অবকাঠামো ছাড়াই এড-হক নেটওয়ার্ক তৈরি হয় ও একটি নোড আরেকটি নোডের সাথে সংযুক্ত হয়ে তথ্য আদান-প্রদান করে যেমন- পিসিতে ওয়্যারলেস নেটওয়ার্ক অ্যাডাপটার থাকলেই এই ধরণের নেটওয়ার্ক তৈরি সম্ভব। ওয়্যারলেস সেন্সর নেটওয়ার্ক (Wireless sensor network) একটি এড-হক নেটওয়ার্ক। যেকোনো বিল্ডিং কিংবা ক্যাম্পাসে কয়েকটি সেন্সর স্থাপনের মাধ্যমে এড-হক নেটওয়ার্ক তৈরি সম্ভব। প্রতিটি সেন্সর একে অপরের সাথে সংযুক্ত থাকে ও নিজেদের মধ্যে যোগাযোগ স্থাপনের মাধ্যমে প্রয়োজন অনুযায়ী নিজেরা নিজেদের দিক-নির্দেশনা পরিবর্তন করতে পারে। ওয়্যারলেস সেন্সর নেটওয়ার্কের প্রধান কাজ হল, নির্ধারিত পরিসীমা পর্যবেক্ষণ করা ও সমস্ত তথ্য (দৃশ্য) কেন্দ্রীয় সার্ভারে প্রেরণ করা।
ওয়্যারলেস মেশ নেটওয়ার্কও (Wireless Mesh Network) একটি এড-হক নেটওয়ার্ক।এক্ষেত্রে প্রতিটি নোড প্রয়োজন অনুযায়ী হোস্ট এবং রাউটার উভয়ভাবেই কাজ করতে পারে। এমনও হতে পারে যে, দুটি নোড দুটি নেটওয়ার্কের অন্তর্ভুক্ত ও তাদের দূরত্বটাও অনেক। এক্ষেত্রে দুটি নোড যদি একে অপরের সাথে যোগাযোগ স্থাপন করতে চায়, সেক্ষেত্রে রাউটারের প্রয়োজন পড়বে নেটওয়ার্ক প্যাকেটটি রাউট করানোর জন্য। এই রাউটারটিকে বলা হয় ওয়্যারলেস মেশ রাউটার। অর্থাৎ প্রয়োজন অনুযায়ী প্রতিটি নোড মেশ ক্লায়েন্ট ও মেশ রাউটার দুই-ই হতে পারে।
সেলুলার নেটওয়ার্ক
সেলুলার নেটওয়ার্কের জন্য একটি অবকাঠামোর প্রয়োজন হয়। আমি এখানে সেলুলার নেটওয়ার্ক নিয়ে বিস্তারিত আলোচনা করব না কারণ শুধুমাত্র এটি দিয়েই বিশাল একটি বই লিখে ফেলা যাবে। যাই হোক, সেলুলার নেটওয়ার্কের ক্ষেত্রে মোবাইল ফোনে একটি কল তৈরি হওয়ার পরে সেটা মোবাইলটি যে বেস স্টেশনে সংযুক্ত আছে, প্রথমে সে বেস স্টেশনে পাঠানো হয়, তারপর সেটা রিলে করা হয় গন্তব্য স্থানের ফোনটি যে বেস স্টেশনের সাথে সংযুক্ত আছে সেই বেস স্টেশনে। তারপরে গন্তব্য স্থানের বেস স্টেশন কলটি গন্তব্য ফোনে পৌঁছে দেয়। দেখাই যাচ্ছে সেলুলার নেটওয়ার্কটি অবকাঠামো-ভিত্তিক ওয়্যারলেস নেটওয়ার্কের অন্তর্ভুক্ত।সেলুলার নেটওয়ার্কের ক্ষেত্রে আমরা GSM ও CDMA প্রযুক্তির কথা জানি।

GSM সেলুলার নেটওয়ার্ক TDMA এক্সেস মেথড ব্যবহার করে অর্থাৎ এক্ষেত্রে একটি সিঙ্গেল ফ্রিকোয়েন্সি চ্যানেলকে কয়েকটি টাইম স্লটে ভাগ করা হয় এবং একজন ব্যবহারকারীকে তার জন্য নির্ধারিত টাইম স্লটের জন্য পুরো চ্যানেলটিকে দেওয়া (allocate) হয় অর্থাৎ টাইম স্লটের ভিত্তিতে একাধিক ব্যবহারকারী একটি সিঙ্গেল চ্যানেল ব্যবহার করতে পারে। CDMA এক্সেস মেথডে একজন ব্যবহারকারীকে পুরো স্প্রেড স্পেকট্রামটি / পুরো চ্যানেলটি সব সময়ের জন্য ব্যবহার করতে দেওয়া হয় তবে এক্ষেত্রে শুধুমাত্র একজন ব্যবহারকারী থাকে না। এক্ষেত্রে একাধিক ব্যবহারকারী একই সময়ে পুরো চ্যানেলটি সব সময়ের জন্য (যতক্ষণ কল অ্যাকটিভ থাকে) ব্যবহার করতে পারেন। ব্যাপারটি রহস্যময় মনে হচ্ছে। আসলে এক্ষেত্রে ব্যবহারকারীকে আলাদা করা হয় কোডের ভিত্তিতে অর্থাৎ প্রেরক যখন কল জেনারেট করেন, তার কলটিকে ডিজিটাইজড করে একটি নির্দিষ্ট কোডের মাধ্যমে পাঠানো হয় এবং শুধুমাত্র প্রাপকই উক্ত কোডটি ডিকোড করে কল গ্রহণ করে কথা বলতে পারে। দেখা যাচ্ছে, একটি সিঙ্গেল চ্যানেলে একাধিক ব্যবহারকারী একই সময়ে কল জেনারেট করলেও কোনরকম সমস্যা (Interferenece) হচ্ছে না।

ওয়্যারলেস ল্যান
ল্যান বা লোকাল এরিয়া নেটওয়ার্ক বলতে একটি সীমাবদ্ধ নির্দিষ্ট জায়গায় অবস্থিত কম্পিউটারগুলির মধ্যে নেটওয়ার্ক-কে বোঝানো হয়। যেমন এটি হতে পারে একটি বিল্ডিং বা একটি ক্যাম্পাসের মধ্যে। আরো বৃহত্তর পরিসরে ব্যবহৃত হয় ম্যান (MAN), ওয়ান  (WAN) প্রযুক্তি। ল্যান যদি হয় ওয়ারলেস, তাহলে সেটিই হল ওয়্যারলেস ল্যান।ওয়ারলেস ল্যান এতটাই বিশাল যে, IEEE 802.11 workgroup এটার জন্য কাজ করছে ও করে যাচ্ছে। ওয়্যারলেস ল্যান এড-হক ও অবকাঠামো-ভিত্তিক দুইভাবেই কাজ করে। ওয়্যারলেস ল্যান নেটওয়ার্ক যখন এক্সেস পয়েন্ট (Access Point বা AP) বা রাউটারের মাধ্যমে তৈরি করা হয় অর্থাৎ নেটওয়ার্কে অবস্থিত নোডগুলি তাদের বেস স্টেশন এক্সেস পয়েন্টের মাধ্যমে একে অপরের সাথে যোগাযোগ করবে তখন এটাকে বলা হয় অবকাঠামো-ভিত্তিক ওয়্যারলেস নেটওয়ার্ক আর নেটওয়ার্ক যদি এক্সেস পয়েন্ট ব্যতিরেকে তৈরি হয় ও দুটি বা ততোধিক নোড এক্সেস পয়েন্ট ছাড়াই একে অপরের সাথে যোগাযোগ স্থাপন করে তখন সেটা হয় এড-হক নেটওয়ার্ক।
আমাদের আলোচ্য বিষয় এই ওয়্যারলেস ল্যান-কে ঘিরেই।

২য় পর্ব:

বাসায় যে ওয়াই-ফাই বা ওয়্যারলেস নেটওয়ার্কটি তৈরি করা হয় যাতে একটি মাত্র ইন্টারনেট কানেকশন নিয়ে একাধিক ল্যাপটপ, ডেস্কটপ ব্যাবহার করা হয় এটি একটি অবকাঠামো-ভিত্তিক ওয়্যারলেস নেটওয়ার্ক অর্থাৎ Infrastructure mode-এ কাজ করে। এধরণের নেটওয়ার্ক অফিস, ইউনিভার্সিটি, হাসপাতালসহ বিভিন্ন জায়গায় দেখা যায়। সাধারণত ইন্টারনেট সার্ভিস প্রোভাইডার গ্রাহককে ক্যাবল মোডেম (cable modem) বা ডিএসএল মোডেম (dsl modem) দিয়ে থাকে। ওয়্যারলেস রাউটারটি (wireless router) গ্রাহককে নিজেকে কিনতে হয়। আবার বর্তমানে বেশির ভাগ ক্ষেত্রেই আলাদা ওয়্যারলেস রাউটার কেনার প্রয়োজন পড়ে না।
WEP
ইন্টারনেট সার্ভিস প্রোভাইডার সরাসরি ওয়্যারলেস রাউটার দিয়ে থাকে। এই ওয়্যারলেস রাউটারটির কাজ হচ্ছে প্রতিনিয়ত ওয়্যারলেস সিগন্যাল প্রেরণ করা। প্রতিটি ওয়্যারলেস নেটওয়ার্কের একটি আলাদা পরিচয় থাকে। একে বলা হয় service set identifier সংক্ষেপে SSID। এই SSID দিয়ে প্রতিবেশীর ওয়্যারলেস নেটওয়ার্কের কাছ থেকে নিজের নেটওয়ার্ক-কে আলাদা করা যায়। ওয়্যারলেস রাউটার যখন ওয়্যারলেস সিগন্যাল প্রেরণ করে তখন সিগন্যালের মধ্য দিয়ে বেকন ফ্রেম (Beacon frame) প্রেরণ করে এবং এই বেকন ফ্রেমের মধ্য দিয়ে ওয়্যারলেস রাউটার নিজের SSID প্রচার করে থাকে। যে ডিভাইসটি (ডেস্কটপ/ল্যাপটপ/স্মার্টফোন/ট্যাবলেট) এই নেটওয়ার্কে যুক্ত হতে চায়, সে ডিভাইসটির কাজ হচ্ছে সারাক্ষণ ওয়্যারলেস সিগন্যাল খোঁজা (scanning/listening for beacon frames)। ওয়্যারলেস সিগন্যাল পাওয়ার সাথে সাথেই সেটা যদি আনলক্‌ করা থাকে, তাহলে সহজেই উক্ত ওয়্যারলেস নেটওয়ার্কের সাথে সংযুক্ত হয়ে ইন্টারনেট বিশ্বে খুব সহজেই প্রবেশ করা যায়। এভাবে ওয়্যারলেস নেটওয়ার্কে যুক্ত হওয়ার পদ্ধতিটি হল Passive scanning। আবার আরেকটি পদ্ধতি আছে Active scanning -এক্ষেত্রে যে ডিভাইসটি ওয়্যারলেস নেটওয়ার্কে যুক্ত হতে চায় সে নিজেই Probe request frame পাঠায়। যদি আগে থেকে SSID জানা থাকে, তাহলে Probe request frame-এর মধ্যে SSID যুক্ত করে দেয়া হয়। ওয়্যারলেস রাউটার বা এক্সেস পয়েন্ট যখন Probe request frame-টিতে নিজের SSID দেখতে পায়, তখন যে ডিভাইসটি Probe request frame পাঠিয়েছিল তাকে একটি Probe response frame পাঠায়, তারপরে অনুমোদন (authentication) প্রক্রিয়া শুরু হয়ে যায় যাতে ডিভাইসটি ওয়্যারলেস নেটওয়ার্কে যুক্ত হতে পারে। সাধারণভাবে ওয়্যারলেস নেটওয়ার্কে কাজ করার প্রক্রিয়াটি ব্যাখ্যা করলাম।
নিরাপত্তা ব্যাপারটি ভাবতে হলে প্রথমেই দেখা যাচ্ছে যে, default SSID পরিবর্তন করে নিজের পছন্দমত SSID ঠিক করে নিতে হবে। প্রতিটি ভেন্ডারই তাদের ওয়্যারলেস নেটওয়ার্কের default SSID নির্ধারণ করে দিয়ে থাকে যা নাকি অনলাইন ম্যানুয়াল থেকে সহজেই পাওয়া যায়। কাজেই প্রথমেই SSID পরিবর্তন করা জরুরী। যদি নেটওয়ার্কটি প্রাতিষ্ঠানিক হয় তাহলে নাম নির্ধারণে KISS (keep it super simple) থিওরি প্রয়োগ করা যাবে না। যেমন - অনেকেই Finance বিভাগের SSID শুরু করে থাকেন ‘Fin’ দিয়ে কিংবা Marketing বিভাগের SSID শুরু করে থাকেন ‘Mark’ দিয়ে। এটা কোনভাবেই করা যাবে না। এতে হ্যাকার খুব সহজেই নেটওয়ার্ক সম্পর্কে ধারণা পেয়ে যায়।
SSID নিরাপত্তার ক্ষেত্রে আরেকটি যে পদ্ধতি সেটি হল SSID ব্রডকাস্ট না করা। আগেই বলেছিলাম যে, ওয়্যারলেস রাউটার সবসময়েই বেকন ফ্রেম প্রেরণ করতে থাকে যেখানে তার নিজের SSID-টি থাকে। SSID-টি যেমন নেটওয়ার্কে যুক্ত হতে চাওয়া ডিভাইসটির কাছে উন্মুক্ত থাকে, ঠিক তেমনই হ্যাকারদের কাছেও উন্মুক্ত থাকে। ওয়্যারলেস নেটওয়ার্কের নিরাপত্তা নিশ্চিতকরণের আরেকটি উপায় হচ্ছে SSID-টি লুকিয়ে ফেলা বা বেকন ফ্রেম ও প্রুব রেসপন্স ফ্রেমের মধ্যে ব্রডকাস্ট না করা। এটি খুব সহজেই করা যায়। আসলে প্রতিটি ভেন্ডারের ক্ষেত্রেই ওয়্যারলেস নেটওয়ার্ক এখন তাদের ওয়েবসাইটে গিয়ে কনফিগার করা যায়। কনফিগার করার ক্ষেত্রে SSID লুকিয়ে ফেলা বা ব্রডকাস্ট না করার অপশনটি থাকে।
এবার আসা যাক পাসওয়ার্ডের বিষয়। সাধারণ ব্যবহারকারীগণ এটিকে পাসওয়ার্ড বললেও আইটি প্রফেশনাল এটিকে কী (key) বলে থাকেন । আমি এ বিষয়টিকে হয়তবা কখনো কী কিংবা কখনো পাসওয়ার্ড বলব। সিকিউরিটি কী বা পাসওয়ার্ড নির্ধারণে বিভিন্ন পদ্ধতি আছে:
Wired Equivalent Privacy (WEP):
ওয়্যারলেস নেটওয়ার্কের সিকিউরিটি সেটআপের সময়ে WEP পদ্ধতি অনুসরণ করে নেটওয়ার্ক সিকিউরিটি কী (Network security key) বা পাসওয়ার্ড নির্ধারণ করা যায়। নেটওয়ার্ক সিকিউরিটি কী নির্ধারণের সময়ে আবার দুটি পদ্ধতি আছে Open system authentication এবং Shared key authentication। সিকিউরিটি কী নির্ধারণের সময়ে এ দুটি পদ্ধতির যেকোনো একটি অনুসরণ করা যেতে পারে। এখন কথা হল, কোনটি অনুসরণ করব? Open system authentication-এ কোন একটি ওয়্যারলেস স্টেশন শুধুমাত্র SSID-এর উপর ভিত্তি করে অর্থাৎ SSID মিলে গেলেই নেটওয়ার্কে যুক্ত হতে পারে। এক্ষেত্রে নেটওয়ার্ক সিকিউরিটি কী ব্যবহৃত হয় পরবর্তী পর্যায়ে অর্থাৎ তথ্য আদান-প্রদানে সমস্ত তথ্য এই WEP key দিয়ে এনক্রিপ্ট (encrypt) করা হয়। Shared key authentication-ক্ষেত্রে ওয়্যারলেস স্টেশন শুধুমাত্র SSID মিলে গেলেই নেটওয়ার্কে যুক্ত হতে পারে না। এক্ষেত্রে প্রথমেই নেটওয়ার্ক সিকিউরিটি কী বা WEP key নির্ধারণের সময়ে ওয়্যারলেস স্টেশন বা ক্লায়েন্ট এবং ওয়্যারলেস রাউটার বা এক্সেস পয়েন্ট - দুই জায়গাতেই একই WEP key দেওয়া হয়। এখানে চারটি ধাপ আছে।
১.নেটওয়ার্কে যুক্ত হওয়ার ক্ষেত্রে ক্লায়েন্ট প্রথমে এক্সেস পয়েন্ট-এর কাছে অনুরোধ (request) পাঠায়।
২.প্রতিউত্তরে এক্সেস পয়েন্ট ক্লায়েন্ট-এর কাছে একটি চ্যালেঞ্জ প্লেইন টেক্সট (plain text) পাঠায় ।
৩.ক্লায়েন্ট সেই চ্যালেঞ্জ প্লেইন টেক্সট WEP key দিয়ে এনক্রিপ্ট করে পুনরায় এক্সেস পয়েন্টের নিকট পাঠায়
৪.এক্সেস পয়েন্ট তার নিজের কাছে রাখা একই WEP key দিয়ে এনক্রিপ্টেড টেক্সটি ডিকৃপ্ট (decrypt) করে মিলিয়ে দেখে। যদি টেক্সটি মিলে যায়, তাহলে ধরা হয় যে ক্লায়েন্ট-এর নিকট সঠিক WEP key আছে ও ক্লায়েন্টকে নেটওয়ার্কে যুক্ত হতে দেয়। তারপর থেকে সমস্ত তথ্য যোগাযোগ WEP key দিয়ে এনকৃপ্ট করা হয়।
এখানে হয়তবা দেখা যাচ্ছে যে, shared key authentication পদ্ধতি বেশি নিরাপদ। প্রকৃতপক্ষে তা নয়। Shared key authentication পদ্ধতিতে যেহেতু এক্সেস পয়েন্ট চ্যালেঞ্জ টেক্সটি প্লেইন টেক্সট আকারে পাঠিয়ে থাকে, তাই হ্যাকার খুব সহজেই প্লেইন টেক্সটি পড়তে পারে ও এটার সূত্র ধরে WEP key -টি জেনে যেতে পারে। তাই shared key authentication প্রথমেই হ্যাকারদের সহজ একটি পথ খুলে দেয়। পক্ষান্তরে Open system authentication নামে ওপেন হলেও এধরণের কোন ব্যাপার নেই। এখানে শুধুমাত্র সমস্ত তথ্য-যোগাযোগ WEP key দিয়ে এনকৃপ্ট করা হয়। তাই হ্যাকারদের নিকট এটি বের করা কষ্টসাধ্য। তাই সিকিউরিটি কী হিসেবে WEP key অনুসরণ করলে অবশ্যই open system authentication পদ্ধতি নির্বাচন করা উচিত।
পরবর্তী ক্ষেত্রে দেখা গিয়েছে যে পুরো WEP key পদ্ধতটিই নিরাপদ নয়। এক্ষেত্রে WEP key টি সাধারণত ৬৪ বিট বা ১২৮ বিটের হয় ও এর মধ্যে initialization vector-টি হয় ২৪ বিটের। এলগোরিদম হিসেবে বেছে নেওয়া হয়েছে RC4 Stream cipher-কে। RC4 stream cipher-এর ক্ষেত্রে eavesdropper তথ্য যোগাযোগের মাঝপথে ঢুকে দুটি cipher text নিয়ে খুব সহজেই দুটি plain text-এর XOR পেতে পারে ও statistical analysis-এর মাধ্যমে plain text উদ্ধার করতে পারে। এছাড়াও আছে Bit flipping পদ্ধতি। আবার eavesdropping প্রতিরোধ করার জন্য initialization vector (IV) যুক্ত করা হলেও IV -টি মাত্র ২৪-বিটের। তাই এক্ষেত্রেও গাণিতিকভাবে টেক্সট উদ্ধার করা যায়। আমি এটা এখানে দেখাতে পারতাম কিন্তু জটিল গাণিতিক ব্যাপারটি বাদ দিলাম।
পরবর্তীতে নিরাপত্তা বাড়ানোর জন্য WEP key-এর length বাড়িয়ে ২৫৬ বিট পর্যন্ত করা হয়েছে। AES আরো একধাপ এগিয়ে RC4-er পরিবর্তে Rijnadel (RINE-dale) এলগোরিদম ব্যবহার করেছে। IEEE 802.11 task group নূতন একটি প্রটোকল TKIP (Temporal Key Integrity Protocol) তৈরি করেছে। TKIP-এর ক্ষেত্রে IV-এর length ২৪ বিট থেকে বাড়িয়ে ৪৮ বিট করা হয়েছে। তথ্য এনকৃপ্ট করার সময়ে IV ও MAC address মিলিয়ে এনকৃপশন কী (encryption key) তৈরি করা হয়েছে এবং বিভিন্ন Data stream-এ বিভিন্ন রকমের key ব্যবহার করা হয়। তাছাড়া Message Integrity Check -ও যোগ করা হয়েছে data integrity ঠিক রাখার জন্য। তাই বাসার ছোটখাটো নেটওয়ার্কের ক্ষেত্রে WEP+TKIP মোটামুটি নিরাপদ বলা যেতে পারে অর্থাৎ হ্যাকারদের জন্য খুবই কঠিন।
WEP key-এর বিভিন্ন রকম দুর্বলতার কথা চিন্তা করে IEEE 802.11 task group আরো একটি পদ্ধতি নিয়ে এসেছে যেটি WPA ও WPA2 নামে পরিচিত।
Wi-Fi Protected Access (WPA) ও WPA 2:
প্রথমে Wi-Fi Alliance ও পরে IEEE 802.11i গ্রুপ WEP key-এর দূর্বলতা দূরীকরণে Wi-Fi Protected Access (WPA) ও WPA2 নিয়ে আসে । WPA-এর ক্ষেত্রে প্রথমেই key-এর length বাড়িয়ে ১২৮ বিট করা হয় যেখানে IV করা হয় ৪৮ বিটের। এছাড়া TKIP এলগোরিদম ব্যবহার করা হয় যাতে প্রতিনিয়ত key পরিবর্তন করা যায় (একটি নির্দিষ্ট সময়ে প্রতি ১০০০০ প্যাকেটে একবার); তারপরে মাঝপথে ডাটা পরিবর্তন হলে যাতে ধরে ফেলা যায়, সেজন্য ডাটা প্যাকেটে Message Integrity check (MIC) যুক্ত করা হয়। MIC হল ৬৪ বিটের একটি মেসেজ ভ্যালু যা নাকি Michael এলগোরিদম ব্যবহার করে বের করা হয়।
WPA2 এর সাথে WPA-এর খুব একটা ব্যবধান নেই। WPA-এর ক্ষেত্রে TKIP বাধ্যতামূলক থাকলেও Advanced Encryption System (AES) বাধ্যতামূলক ছিল না। WPA2-এর ক্ষেত্রে TKIP ও AES বাধ্যতামূলক করা হয়। AES হল একটি ব্লক সাইফার (Block Cipher) পদ্ধতি যেখানে RC4 ছিল স্ট্রিম সাইফার (Stream Cipher) । এক্ষেত্রে key size সাধারণত ১২৮ বিট, ১৯৬ বিট, ও ২৫৬ বিটের করা হয়। কাজেই WPA হচ্ছে সবচেয়ে নিরাপদ পদ্ধতি। রাউটারে key নির্ধারণের সময়ে যদি WPA অপশন থাকে, তাহলে অবশ্যই WPA নির্বাচন করা উচিত।

৩য় পর্ব: 


আগের পর্বের লিংক
pic_intransit_wifi_01
চিত্রঃ Google Image

আগের পর্বে SSID ও Network Security key-নির্ধারণের ক্ষেত্রে কী উপায় অনুসরণ করা যেতে পারে তা নিয়ে আলোচনা করা হয়েছে। এ পর্বে অন্য ব্যাপারগুলো আলোচনা করা হবে।
আইপি এড্রেস ফিল্টারিং / ডিসঅ্যাবল ডিএইচসিপি (IP Address filtering/disable DHCP)
ওয়াই-ফাই নেটওয়ার্কে নিরাপত্তা বাড়ানোর জন্য আরেকটি উপায় যোগ করা যেতে পারে, সেটি হল আইপি এড্রেস ফিল্টারিং। নেটওয়ার্কে যুক্ত হওয়ার ক্ষেত্রে প্রতিটি ডিভাইসের একটি করে স্বতন্ত্র নাম্বার /ঠিকানা থাকে যা দিয়ে উক্ত ডিভাইসটিকে চেনা যায়।এটিকে বলা হয় আইপি এড্রেস (IP Address)। যেকোনো আইটি পেশাজীবী/ছাত্র এটা জানেন, আমি একটু সংক্ষেপে বললাম যাদের পেশা আইটি নয় তাদের জন্য। এই আইপি এড্রেস দুইভাবে দেওয়া যায় -
১. একটি রেঞ্জ (range) ঠিক করে দিয়ে সব ডিভাইসকে বলা হয় যাতে যে যার ইচ্ছেমত আইপি এড্রেস নিয়ে নেয় সেই রেঞ্জ থেকে, যেমন ক্লাস সি এড্রেসের ক্ষেত্রে সর্বমোট ২৫৬ টি এড্রেস পাওয়া যায়।
২. প্রতিটি ডিভাইসকে নির্দিষ্ট একটি আইপি এড্রেস ঠিক করে দেওয়া হয়।
ওয়্যারলেস নেটওয়ার্কের ক্ষেত্রে এই কাজটি করে থাকে ওয়্যারলেস রাউটার বা এক্সেস পয়েন্ট। অ্যাডমিনিস্ট্রেটর ওয়্যারলেস রাউটার কনফিগার করার ক্ষেত্রে ঠিক করে থাকেন - কোন পদ্ধতিটি অনুসরণ করা হবে। আইপি এড্রেস স্বয়ংক্রিয়ভাবে (automatically) বণ্টন করার পদ্ধতিটি হল Dynamic Host Configuration Protocol বা DHCP। সাধারণত ওয়্যারলেস রাউটারটিকে ইউজার ফ্রেন্ডলি করার জন্য ডিএইচসিপি এনাবল (enable) করা থাকে । ব্যবহারকারী টেকনিক্যাল ঝামেলার জন্য সাধারণত এটা নিয়ে মাথা ঘামান না। কিন্তু এটা হ্যাকারদের জন্য দরজা খুলে দেয়। যেকোনো হ্যাকার সহজেই একটি আইপি এড্রেস নিয়ে নেটওয়ার্কে ঢুকে পরতে পারে। আবার নেটওয়ার্কটি আনলক করা থাকলে প্রতিবেশী দিনের পর দিন ফ্রি নেটওয়ার্ক ব্যবহার করতে পারে ও আপনার নেটওয়ার্কটি বাড়তি ট্রাফিকের জন্য স্লো হয়ে যেতে পারে। তাই এ ব্যাপারে সতর্ক হওয়া উচিত। চলুন দেখি কী করা যেতে পারে এক্ষেত্রে।
ওয়্যারলেস রাউটারে যদি ডিএইচসিপি এনাবল থাকে, তাহলে আইপি এড্রেস-এর উপর নির্ভর করে আইপি এড্রেস রেঞ্জ বা পুল (IP Address range/pool) নির্ধারিত হয়ে থাকে, যেমন ক্লাস সি (Class C) এড্রেস হলে সর্বচ্চো ২৫৪টি আইপি এড্রেস বিভিন্ন ডিভাইসের জন্য বরাদ্দ থাকতে পারে কারণ দুটি এড্রেস নির্ধারিত থাকে ডিফল্ট নেটওয়ার্ক ও ব্রডকাস্ট এড্রেস-এর জন্য। একটি ক্লাস সি এড্রেস হতে পারে এমন - 200.11.8.0; আমার ২৫৪টি এড্রেস দরকার নাও হতে পারে তাই সার্ভার কনফিগারেশনে রেঞ্জ (range) ঠিক করে দেওয়া যেতে পারে - যা নেটওয়ার্কের নিরাপত্তা বাড়িয়ে দেয়।

DLink-Reserved-DHCP-IPs
চিত্রঃ Google Image

ধরা যাক, আমার বাসায় ডেস্কটপ কম্পিউটারটি ওয়্যারড ইন্টারনেট (wired internet) ব্যবহার করবে ও আমার দুটি ল্যাপটপ, ১টি ট্যাবলেট, ও ১টি স্মার্টফোন ওয়্যারলেস নেটওয়ার্ক ব্যবহার করবে।তাহলে আমার ওয়্যারলেস নেটওয়ার্কে সর্বচ্চো মোট পাঁচটি ডিভাইস একই সময়ে সংযুক্ত হবে। ডিএইচসিপি সার্ভার কনফিগারেশনের সময় আমি রেঞ্জটি এমনভাবে ঠিক করতে পারি যাতে রেঞ্জটি ছয় পর্যন্ত বিস্তৃত হতে পারে। ১টি এড্রেস ব্যবহার করবে রাউটার নিজে। এটা হতে পারে এমন -192.168.0.100-192.168.0.105। এক্ষেত্রে কথা থেকে যায়, যদি কোন সময়ে শুধুমাত্র চারটি ডিভাইস যুক্ত থাকে (একটি ডিভাইস হয়তবা আমি সে মুহূর্তে ব্যবহার করছি না) ,তাহলে রেঞ্জে একটি এড্রেস খালি থাকে যা নাকি প্রতিবেশী বা হ্যাকার ব্যবহার করতে পারে। তাহলে কী করা? আসলে ব্যাপারটি এমন, আমরা যতই আমাদের বাসা নিরাপদ করতে থাকব, চোরও ততবেশী স্মার্ট হতেই থাকবে। আমার মনে হয় চোর-পুলিশের এই খেলা আজীবন চলবে। যাই হোক প্রসঙ্গে চলে যাই। আমি আগেই বলেছিলাম আইপি এড্রেস এসাইন (assign) করার আরো একটি পদ্ধতি আছে। এবার আমরা আইপি এড্রেস এসাইন করার স্বয়ংক্রিয় পদ্ধতিটি বন্ধ করে দিব অর্থাৎ ডিএইচসিপি ডিসঅ্যাবল (disable) করে দিব। এই পদ্ধতিটি একটু কঠিন অর্থাৎ কিছুটা টেকনিক্যাল। কিছু করার নেই কারণ আমাদের চোর আগের চেয়ে স্মার্ট হয়ে গিয়েছে। আমরা প্রতিটি ডিভাইসের জন্য একটি করে আইপি এড্রেস নির্দিষ্ট করে দিব। এটি হল static ip addressing।

Static DHCP
চিত্রঃ Google Image

প্রথমেই আমরা ওয়্যারলেস রাউটারে Disable DHCP অপশনটি বেছে নিব। বেশিরভাগ ওয়্যারলেস রাউটারে ডিএইচসিপি ডিসঅ্যাবল করার পর রাউটারে আর কিছু করার থাকে না। আবার কোন কোন রাউটের ক্ষেত্রে একটি advance অপশন থাকে যেমন বলা থাকে Add Static IP address বা Add DHCP reservation -এই ধরণের অপশনের ক্ষেত্রে প্রতিটি ডিভাইসের ম্যাক এড্রেস (ম্যাক এড্রেস কি একটু পরেই আলোচনা করা হবে) ও ম্যাক এড্রেস বরাবর আলাদা আলাদা নির্দিষ্ট আইপি এড্রেস যোগ করতে হবে। আইপি এড্রেসগুলো কেমন হতে পারে তা উপরে রেঞ্জে বলা হয়েছে যেমন - 192.168.0.101; 192.168.0.102; 192.168.0.103; 192.168.0.104, 192.168.0.105। এবার প্রতিটি ডিভাইসের জন্য আলাদা আলাদাভাবে আইপি এড্রেস কনফিগার করতে হবে। তাহলেই অন্য কোন অযাচিত ডিভাইসের পক্ষে নেটওয়ার্কে ঢুকা কষ্টকর হয়ে যাবে। কীভাবে ডিভাইসগুলির স্ট্যাটিক আইপি এড্রেস কনফিগার করতে হবে সেটা সংক্ষেপে বলি। আমাদের দুটি জিনিস দরকার হবে - একটিকে বলা হয় সাবনেট মাস্ক (subnet mask), অপরটি হল ডিফল্ট গেটওয়ে (default gateway)। সাবনেট মাস্ক হতে পারে এমন - 255.255.255.0 আর ডিফল্ট গেটওয়ে হতে পারে এমন - 193.168.10.0; এদেরকে সহজে পেতে হলে ওয়্যারড কম্পিউটারটিতে গিয়ে (ধরা যাক ডেস্কটপ) start>run>command-এ গিয়ে এন্টার দিতে হবে অর্থাৎ আমাদেরকে কমান্ড প্রম্পটে যেতে হবে।তারপরে টাইপ করতে হবে ipconfig/all, তারপরে এন্টার দিলেই আমরা আমাদের ডেস্কটপটির আইপি এড্রেস, সাবনেট মাস্ক, ডিফল্ট গেটওয়ে, ডিএনএস সার্ভারসহ সব তথ্য পেয়ে যাব। তারপর ডিভাইসগুলির আইপি এড্রেস কনফিগার করার ক্ষেত্রে (ধরা যাক ল্যাপটপ এবং উইন্ডোজ সিস্টেম) সে ডিভাইসটির TCP/IP Address-এ গিয়ে নির্ধারিত আইপি এড্রেস, কমান্ড প্রম্পট থেকে পাওয়া সাবনেট মাস্ক ও ডিফল্ট গেটওয়ে দিতে হবে। আমাদের এই চারটি ডিভাইসের আইপি এড্রেস ভিন্ন হলেও সাবনেট মাস্ক ও ডিফল্ট গেটওয়ে সবার ক্ষেত্রে একই থাকবে। TCP/IP address-এ যাওয়ার জন্য start>control panel>network connection/network sharing center>Local area connection>Properties>Internet Protocol (TCP/IP) (IPV4) সিলেক্ট করে প্রোপার্টিজ-এ ক্লিক করতে হবে। Local Area Connection-এ সরাসরি যাওয়ার আরেকটি সহজ উপায় হচ্ছে start>run>command prompt (win xp) অথবা win vista-এর ক্ষেত্রে start-এ গিয়ে start search box-এ ncpa.cpl লিখলে সরাসরি লোকাল এরিয়া কানেকশনে চলে যাবে।
ডাইনামিক (ডিএইচসিপি) এড্রেস ব্যবহার না করে স্ট্যাটিক এড্রেস ব্যবহার করার সুবিধাটা কী? ডাইনামিক এড্রেস-এর ব্যাপারটি অনেকটা এমন, আমার বাসার দরজা খোলা, বাসায় ৫ টি বেড আছে যেকেউ যেকোনোটা খালি পেলে শুয়ে পড়তে পারে অর্থাৎ রেঞ্জ না থাকলে পুরো ২৫৫টি এড্রেসের যেকোনো খালি এড্রেস আর রেঞ্জ নির্ধারণ করা থাকলে কোন একটি এড্রেস খালি থাকলে সেই এড্রেস যেকেউ নিয়ে নেটওয়ার্ক ব্যবহার করতে পারে। স্ট্যাটিক এড্রেসের ক্ষেত্রে আমার বেড খালি থাকলেও দরজা বন্ধ থাকবে, দরজা খুলে তারপর বেড-এর দখল নিতে হবে অর্থাৎ নেটওয়ার্ক ব্যবহার করতে চাইলে হ্যাকারকে আমার সাবনেট, সাবনেট মাস্ক, ডিফল্ট গেটওয়ে জানতে হবে।স্ট্যাটিক এড্রেস-এর ক্ষেত্রে হ্যাকিং কাজটি আরেকটু কঠিন।
আইপি এড্রেস ফিল্টারিং যদিও এটি একটি শক্তিশালী উপায় নয়, তবুও আমাদের উদ্দেশ্য হল হ্যাকারদের কাজটাকে শুধুমাত্র বিভিন্ন উপায়ে কঠিন করে দেওয়া।

ম্যাক এড্রেস ফিল্টারিং (Mac Address Filtering)
Wireless_MAC_Filter
চিত্রঃ Google Image

ম্যাক এড্রেস ফিল্টারিং-এ যাওয়ার আগে আমাদের প্রথমেই জানা দরকার ম্যাক এড্রেস (Media Access Control Address) কী? সহজ ভাবে বলতে গেলে প্রতিটি ডিভাইসকে আলাদাভাবে চেনার জন্য ম্যানুফাকচারার কর্তৃক প্রতিটি ডিভাইসে ৬টি গ্রুপে ১২ ডিজিটের একটি হেক্সাডেসিম্যাল ভ্যালু দেওয়া হয়। এটিই ম্যাক এড্রেস। ম্যাক এড্রেসের দ্বারা প্রতিটি ডিভাইসকে স্বতন্ত্রভাবে চেনা যায়। পিসি বা ল্যাপটপের ক্ষেত্রে এটি সাধারণত নেটওয়ার্ক ইন্টারফেস কার্ডে বার্ন করে দেওয়া হয়। ম্যাক এড্রেস হতে পারে এমন - 08-12-64-89-0B-26। এক্ষেত্রে ওয়্যারলেস রাউটার কনফিগার করার ক্ষেত্রে ম্যাক এড্রেস ফিল্টারিং এনাবল করে যে যে ডিভাইস নেটওয়ার্কে সংযুক্ত করতে চাই তাদের ম্যাক এড্রেসের লিস্ট দিয়ে দিতে হবে। আমার বাসায় যদি ৪ টি ডিভাইস ওয়্যারলেস নেটওয়ার্কে সংযুক্ত করতে চাই, তাহলে ৪-টি ডিভাইসের ম্যাক এড্রেস ওয়্যারলেস রাউটারের কনফিগারেশনে উল্লেখ করে দিতে হবে। এভাবে আমরা অন্য কোন অনাকাঙ্ক্ষিত ডিভাইস ফিল্টার আউট করতে পারি।
তাহলে হোম ওয়্যারলেস নেটওয়ার্কের নিরাপত্তার ক্ষেত্রে আমরা যে ব্যাপারগুলো দেখতে পেলাম ঃ
১. ওয়্যারলেস নেটওয়ার্ক কনফিগারেশনে ঢুকার জন্য রাউটারের ম্যানুফ্যাকচারার কতৃক ডিফল্ট ইউজার আইডি ও পাসওয়ার্ড দেওয়া হয়। প্রথমেই সেটা পরিবর্তন করতে হবে।
২. ডিফল্ট SSID পরিবর্তন করে ফেলতে হবে।
৩. SSID ব্রডকাস্ট করা যাবে না অর্থাৎ ওয়্যারলেস নেটওয়ার্ক কনফিগারেশনে গিয়ে SSID Hide অপশনটি বেছে নিতে হবে বা ব্রডকাস্ট SSID অপশনটি আনচেক করে দিতে হবে।
৪. ডিফল্ট নেটওয়ার্ক পাসওয়ার্ড বা নেটওয়ার্ক কী (network key) পরিবর্তন করে ফেলতে হবে। পরিবর্তন করার সময় WPA+TKIP অপশনটি বেছে নিতে হবে।নেটওয়ার্ক কী নির্ধারণের সময় কম্বিনেশন যতটা পারা যায় কঠিন করতে হবে।
৫. ডিএইচসিপি সার্ভার ডিসঅ্যাবল করে স্ট্যাটিক আইপি এড্রেস ব্যবহার করতে হবে বা আইপি এড্রেস-এর রেঞ্জ নির্ধারণ করে দিতে হবে।
৬. ম্যাক এড্রেস ফিল্টার করতে হবে।
৭. ওয়্যারলেস রাউটার এবং ডিভাইস - সব ক্ষেত্রেই ফায়ারওয়াল থাকলে অন করে দিতে হবে।
৮. ওয়্যারলেস রাউটারের ফার্মওয়্যার নিয়মিত আপডেট থাকতে হবে।
বর্তমানে অনেক রকমের সফটওয়্যার যেমন- নেটওয়ার্ক ম্যাজিক পাওয়া যায়, যা দিয়ে খুব সহজেই উপরোক্ত কাজগুলি করা যায় ও নেটওয়ার্ক মনিটর করা যায়। তারপরেও যা করছি সে ব্যাপারগুলো জানা থাকা থাকলে কাজটা করা সহজ হয়ে যায়।
ওয়্যারলেস নেটওয়ার্ক নিরাপত্তার ক্ষেত্রে আরো বিভিন্ন উপায় আছে যেমন - রেডিয়াস সার্ভারের (Radius Server) মাধ্যমে অথেন্টিকেশন, EAP/EAP-MD5, ভিপিএন টেকনোলজিতে PPP/L2TP/IPSec-IKE protocol -এর ব্যবহার, ডিজিটাল সার্টিফিকেট Rogue device detection ইত্যাদি। এগুলো সবই সাধারণত প্রাতিষ্ঠানিক ক্ষেত্রে ব্যবহৃত হয়ে থাকে তাই আলোচনা থেকে বাদ দিলাম। তাছাড়া স্বল্প-পরিসরে এগুলো আলোচনা করা খুবই কঠিন।
শতভাগ নিরাপদ কোনকিছুই নয়। আমাদের কাজ হল সবরকমের উপায় অনুসরণ করে হ্যাকারের কাজটাকে অনেক কঠিন করে দেওয়া এবং হ্যাকার পুরোপুরি হ্যাক করার আগেই যেন চোরকে ধরে ফেলা।
ধন্যবাদ।

Post a Comment

 
Top