নিকটবর্তী ইলেকট্রনিক্স দোকান থেকে $30 মূল্যের একটি রেঞ্জ এক্সটেন্ডার দিয়ে WiFi ডেড স্পট ঠিক করার চেষ্টা করা অথবা পেছনের অফিসের স্মার্ট স্পিকারটি সম্পূর্ণ ক্ষতিকারক নয় বলে ধরে নেওয়া বেশ আকর্ষণীয় মনে হতে পারে। এই সপ্তাহের দুটি ঘটনা আমাদের স্পষ্টভাবে মনে করিয়ে দেয় যে কনজিউমার-গ্রেড গিয়ার এবং অনিয়ন্ত্রিত রেডিওগুলোর এমন কোনো নেটওয়ার্কে স্থান নেই যার ওপর আপনার অতিথিরা নির্ভর করেন।
ইউএস সাইবার সিকিউরিটি অ্যান্ড ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সি (CISA) সম্প্রতি তাদের পরিচিত শোষিত দুর্বলতার ক্যাটালগে একটি WiFi রেঞ্জ এক্সটেন্ডার ত্রুটি যোগ করেছে এবং Amazon তাদের কনজিউমার ডিভাইসগুলোতে স্বয়ংক্রিয়ভাবে Sidewalk নেটওয়ার্ক চালু করা শুরু করেছে। ভিন্ন ভিন্ন গল্প, কিন্তু শিক্ষা একই: যা আপনার নিয়ন্ত্রণে নেই, তা আপনি সুরক্ষিত করতে পারবেন না।
একটি রেঞ্জ এক্সটেন্ডার ত্রুটি, যা সক্রিয়ভাবে শোষিত হচ্ছে
CISA এই সপ্তাহে TP-Link-এর TL-WA855RE রেঞ্জ এক্সটেন্ডারে একটি দুর্বলতা (CVE-2020-24363) সক্রিয় আক্রমণের অধীনে রয়েছে বলে চিহ্নিত করেছে এবং ফেডারেল এজেন্সিগুলোকে ২৩ সেপ্টেম্বরের মধ্যে এটি প্রতিকার করার নির্দেশ দিয়েছে। এই ত্রুটিটি ইতিমধ্যে নেটওয়ার্কে থাকা একজন আক্রমণকারীকে ডিভাইসটি রিসেট করতে এবং এটির নিয়ন্ত্রণ নিতে দেয়। একবার একটি ডিভাইস হাইজ্যাক হয়ে গেলে, এটি একটি শক্তিশালী ঘাঁটিতে পরিণত হয় - যেখান থেকে ট্রাফিক আটকে দেওয়া বা অন্যান্য সিস্টেমে প্রবেশ করা সম্ভব।
যেকোনো ভেন্যুর জন্য গুরুত্বপূর্ণ বিষয়টি কোনো নির্দিষ্ট মডেল নয়। এটি হলো এর ধরণ। কনজিউমার এক্সটেন্ডারগুলো বাড়ির জন্য তৈরি করা হয়, ব্যবসার জন্য নয়। এগুলো খুব কমই প্যাচ করা হয়, প্রায়শই ভুলে যাওয়া হয় এবং গুরুত্বপূর্ণ ট্রাফিক থেকে এগুলোকে প্রায় কখনোই আলাদা বা সেগমেন্ট করা হয় না। কভারেজের ঘাটতি মেটাতে আপনার গেস্ট নেটওয়ার্কে এমন একটি ডিভাইস প্লাগ ইন করলে আপনি আসলে অলক্ষ্যেই আপনার দর্শকদের ডেটা যাতায়াতের পথে একটি অননুমোদিত, অলক্ষিত ডিভাইস যুক্ত করলেন।
Amazon Sidewalk এবং "শ্যাডো" রেডিওর উত্থান
দ্বিতীয় ঘটনাটি কিছুটা সূক্ষ্ম। ৮ জুন থেকে, Amazon তাদের Echo এবং Ring হার্ডওয়্যার জুড়ে Sidewalk - একটি ফিচার যা আশেপাশের ডিভাইসগুলোর সাথে একটি নেইবারহুড মেশের মাধ্যমে ব্যান্ডউইথের একটি অংশ শেয়ার করে - স্বয়ংক্রিয়ভাবে সক্ষম করা শুরু করেছে। এই প্রযুক্তির বৈধ ব্যবহার রয়েছে, তবে যেকোনো প্রতিষ্ঠানের জন্য মূল বিষয় হলো এটি: যে রেডিওগুলো আপনি ইচ্ছাকৃতভাবে কনফিগার করেননি সেগুলো স্বয়ংক্রিয়ভাবে চালু হতে পারে এবং আপনার ভবনের ভেতরে ও চারপাশে ব্রডকাস্ট করা শুরু করতে পারে।
এটি "শ্যাডো" কানেক্টিভিটির একটি বড় সমস্যা - আপনার প্রাঙ্গনে বা তার কাছাকাছি ব্রডকাস্ট করা এমন ডিভাইসগুলো যা আপনার পরিচালিত নেটওয়ার্কের অংশ নয় এবং যিনি এটি পরিচালনা করছেন তার কাছে দৃশ্যমান নয়। একটি স্মার্ট স্পিকার, একজন স্টাফ মেম্বারের ট্রাভেল রাউটার, একটি ভুলে যাওয়া এক্সটেন্ডার: এগুলোর প্রতিটিই এমন এক একটি রেডিও যা আপনার নিয়ন্ত্রণে নেই, এবং প্রতিটিই আক্রমণকারীর আক্রমণ করার সুযোগ বাড়িয়ে দেয়।
কেন এটি শুধুমাত্র আরও ভালো পাসওয়ার্ডের নয়, বরং সেগমেন্টেশনের পক্ষে একটি যুক্তি
সহজাত প্রতিক্রিয়া হলো আরও শক্তিশালী পাসওয়ার্ড ব্যবহার করা। এটি দরকারী, তবে মূল বিষয়টিকে এড়িয়ে যায়। আসল সুরক্ষা হলো আর্কিটেকচারাল: গেস্ট নেটওয়ার্ককে অন্য সবকিছু থেকে আলাদা রাখুন এবং অননুমোদিত কনজিউমার গিয়ার সম্পূর্ণভাবে এর বাইরে রাখুন।
Network segmentation-এর অর্থ হলো গেস্ট ট্রাফিক আপনার point-of-sale সিস্টেম, ব্যাক-অফিস টুল এবং অপারেশনাল ডিভাইস থেকে সম্পূর্ণ আলাদা থাকে। যদি গেস্ট সাইডের কোনো কিছু ক্ষতিগ্রস্ত হয় - যেমন কোনো ভিজিটরের সংক্রামিত ল্যাপটপ বা অন্য কারো প্লাগ ইন করা কোনো ক্ষতিকারক ডিভাইস - তবে ক্ষতিটি একটি নির্দিষ্ট সীমার মধ্যেই সীমাবদ্ধ থাকে। এটি আপনার ব্যবসা পরিচালনার মূল সিস্টেমে পৌঁছাতে পারে না। এটিই হলো secure, managed guest WiFi -এর মূল নীতি: একটি নিয়ন্ত্রিত, মনিটর করা নেটওয়ার্ক যা সুনির্দিষ্ট সীমানায় ঘেরা, কোনো এলোমেলো এবং অভিভাবকহীন সাধারণ রাউটারের সমষ্টি নয়।
একটি ভেন্যুর জন্য যা আদর্শ
একটি সঠিকভাবে পরিচালিত guest WiFi সেটআপ এই দুটি ঘটনার দুর্বলতাগুলোকে দূর করে। এখানে গেস্ট ট্রাফিককে অপারেশনাল সিস্টেম থেকে সম্পূর্ণ আলাদা বা সেগমেন্টেড রাখা হয়, যাতে একদিকের কোনো ত্রুটি অন্য দিকে ছড়িয়ে পড়তে না পারে। সাধারণ এবং আপডেটবিহীন কনজিউমার এক্সটেন্ডারের পরিবর্তে এখানে বিজনেস-গ্রেড অ্যাক্সেস পয়েন্ট ব্যবহার করে নেটওয়ার্ক কভারেজের সমাধান করা হয়। নেটওয়ার্কটি কেন্দ্রীয়ভাবে মনিটর করা হয়, যার ফলে অপ্রত্যাশিত বা ক্ষতিকারক কোনো ডিভাইস অদৃশ্য থাকার পরিবর্তে সহজেই নজরে আসে। আর ফার্মওয়্যার এবং সিকিউরিটি আপডেটগুলো এই সার্ভিসের অংশ হিসেবেই স্বয়ংক্রিয়ভাবে পরিচালনা করা হয়, ভাগ্যের ওপর ছেড়ে দেওয়া হয় না।
একটি retail floor বা একটি hotel -এর ক্ষেত্রে, এটিই হলো এমন একটি নির্ভরযোগ্য গেস্ট নেটওয়ার্কের মধ্যে পার্থক্য যা আপনি নিশ্চিন্তে ব্যবহার করতে পারেন এবং অন্যটি যা গোপনে ঝুঁকি বাড়িয়ে চলেছে।
মূল শিক্ষা
CISA-এর সতর্কতা এবং Amazon-এর অটো-এনেবল রোলআউট এই সপ্তাহের একটি স্মরণিকা মাত্র, তবে এর মূল নীতিটি চিরন্তন: একটি গেস্ট নেটওয়ার্ক কেবল ততটুকুই বিশ্বস্ত, যতটুকু এর পেছনের ডিভাইস এবং এর সুরক্ষার সীমানা শক্তিশালী। সাধারণ কনজিউমার এক্সটেন্ডার এবং অনুমোদনহীন শ্যাডো ডিভাইসের স্থান এখানে একেবারেই নেই। Purple কীভাবে নিরাপদ এবং সেগমেন্টেড guest WiFi প্রদান করে তা দেখুন , অথবা একটি ডেমো বুক করুন ।
