মূল কন্টেন্টে যান
বাংলা

সেরা DNS filtering: ব্যবসার জন্য একটি ব্যাপক নির্দেশিকা

এই প্রযুক্তিগত রেফারেন্স নির্দেশিকাটি ব্যাখ্যা করে যে কীভাবে এন্টারপ্রাইজ DNS filtering কোনো কানেকশন স্থাপন করার আগেই - রেজোলিউশন স্তরে ক্ষতিকারক ডোমেনগুলিকে ব্লক করে পাবলিক নেটওয়ার্কগুলিকে সুরক্ষিত করে। এটি আইটি ডিরেক্টর, নেটওয়ার্ক আর্কিটেক্ট এবং ভেন্যু অপারেশন টিমকে ডেপ্লয়মেন্ট আর্কিটেকচার, ফায়ারওয়াল কনফিগারেশন এবং কমপ্লায়েন্সের প্রসঙ্গ প্রদান করে যা হসপিটালিটি, রিটেল এবং পাবলিক সেক্টর এনভায়রনমেন্টে গেস্ট WiFi সুরক্ষিত রাখতে তাদের প্রয়োজন। Purple Shield ৮০,০০০+ এরও বেশি লাইভ ভেন্যু জুড়ে DNS স্তরে ম্যালওয়্যার, বটনেট এবং অনুপযুক্ত কন্টেন্ট ব্লক করে।

📖 8 মিনিট পাঠ📝 1,807 শব্দ🔧 2 সমাধানকৃত উদাহরণ4 অনুশীলনী প্রশ্ন📚 9 মূল সংজ্ঞা

এই গাইডটি শুনুন

পডকাস্ট ট্রান্সক্রিপ্ট দেখুন
Purple টেকনিক্যাল ব্রিফিংয়ে আপনাকে স্বাগত। আজ আমরা এন্টারপ্রাইজ নেটওয়ার্ক নিরাপত্তার একটি অত্যন্ত গুরুত্বপূর্ণ উপাদান নিয়ে আলোচনা করছি: DNS ফিল্টারিং। আপনি যদি হসপিটালিটি, রিটেইল বা বড় ভেন্যুতে পাবলিক নেটওয়ার্ক পরিচালনা করেন এমন একজন IT ডিরেক্টর বা নেটওয়ার্ক আর্কিটেক্ট হন, তবে আপনি জানেন যে WiFi প্রদান করা একটি মৌলিক পরিষেবা। বিদ্যুৎ বা HVAC-এর মতোই, এটি এমন একটি পরিষেবা যা ভিজিটররা একটি বিল্ডিংয়ে প্রবেশ করার মুহূর্তেই কাজ করবে বলে আশা করেন। কিন্তু নিরাপত্তার দিক থেকে, এই পরিষেবাটি একটি বিশাল, আনম্যানেজড অ্যাটাক সারফেস তৈরি করে। আপনি যখন কোনো নেটওয়ার্কে ওপেন অ্যাক্সেস প্রদান করেন, তখন আপনি আপনার ইনফ্রাস্ট্রাকচারে আনম্যানেজড ডিভাইসকে আমন্ত্রণ জানান। আপনি কোনো গেস্টের ব্যক্তিগত ডিভাইসে এন্ডপয়েন্ট প্রটেকশন ইনস্টল করতে পারবেন না। ঐতিহ্যগত নিরাপত্তা পরিধি এখানে ব্যর্থ হয়। এই কারণেই DNS ফিল্টারিং আধুনিক সিকিউরিটি স্ট্যাকের সবচেয়ে গুরুত্বপূর্ণ স্তর হয়ে উঠেছে। এটি ডিফেন্সকে একটি ডিজিটাল কানেকশনের একদম প্রথম ধাপে নিয়ে যায়। আসুন আমরা টেকনিক্যাল ডিপ-ডাইভ দিয়ে শুরু করি। DNS ফিল্টারিং আসলে কীভাবে কাজ করে? Domain Name System, বা DNS হলো ইন্টারনেটের ফোনবুক। যখন কোনো গেস্ট আপনার WiFi-এ কানেক্ট করেন এবং তাদের ব্রাউজারে একটি ওয়েবসাইট অ্যাড্রেস টাইপ করেন, তখন তাদের ডিভাইসকে মানুষের পাঠযোগ্য ডোমেনটিকে একটি মেশিন-রিডেবল IP অ্যাড্রেসে অনুবাদ করতে হয়। একটি স্ট্যান্ডার্ড সেটআপে, এই কোয়েরিটি একটি ডিফল্ট রিজলভারের কাছে যায়, যা প্রায়শই ISP দ্বারা সরবরাহ করা হয়। DNS ফিল্টারিং ব্যবহার করে একটি সুরক্ষিত আর্কিটেকচারে, DHCP সার্ভার গেস্ট ডিভাইসে একটি নির্দিষ্ট, সুরক্ষিত DNS রিজলভার অ্যাসাইন করে। যখন কোয়েরিটি এই ফিল্টারিং ইঞ্জিনে পৌঁছায়, তখন এটি কেবল IP অ্যাড্রেসটিই রিজলভ করে না। এটি রিয়েল-টাইম থ্রেট ইন্টেলিজেন্স ফিড এবং আপনার নির্দিষ্ট কর্পোরেট পলিসির বিপরীতে ডোমেনটিকে মূল্যায়ন করে। ডোমেনটি যদি নিরাপদ হয়, তবে IP রিটার্ন করা হয় এবং কানেকশনটি এগিয়ে যায়। এটি মিলিসেকেন্ডের মধ্যে ঘটে। তবে, ডোমেনটি যদি ক্ষতিকারক হিসেবে ফ্ল্যাগ করা হয়, যেমন কোনো পরিচিত ফিশিং সাইট বা বটনেট কমান্ড-অ্যান্ড-কন্ট্রোল সার্ভার, অথবা এটি যদি আপনার কন্টেন্ট পলিসি লঙ্ঘন করে, তবে ইঞ্জিনটি হস্তক্ষেপ করে। এটি হয় একটি নন-রাউটেবল IP অ্যাড্রেস রিটার্ন করে, যা সিংখোলিং (sinkholing) নামে পরিচিত একটি প্রযুক্তি, অথবা ব্যবহারকারীকে একটি ব্র্যান্ডেড ব্লক পেজে রিডাইরেক্ট করে। Deep Packet Inspection বা প্রক্সি ফিল্টারিংয়ের মতো বিকল্পগুলোর চেয়ে এই পদ্ধতিটি কেন উন্নত? এটি কার্যক্ষমতা এবং স্কেলের ওপর নির্ভর করে। Deep Packet Inspection-এর জন্য নেটওয়ার্ক হার্ডওয়্যারকে প্রতিটি প্যাকেটের পেলোড পরীক্ষা করতে হয়। পঞ্চাশ হাজার কনকারেন্ট ব্যবহারকারী বিশিষ্ট স্টেডিয়ামের মতো একটি ঘন পরিবেশে, DPI ব্যাপক লেটেন্সি তৈরি করে এবং এর জন্য অবিশ্বাস্য রকমের ব্যয়বহুল হার্ডওয়্যারের প্রয়োজন হয়। অন্যদিকে, DNS ফিল্টারিং কানেকশন লাইফসাইকেলের একদম শুরুতে কাজ করে। এটি একটি লাইটওয়েট UDP প্যাকেট মূল্যায়ন করে। একবার DNS রেজোলিউশন সম্পন্ন হয়ে গেলে, আসল ডেটা ট্রান্সফার ক্লায়েন্ট এবং নিরাপদ সার্ভারের মধ্যে সরাসরি ঘটে। ফিল্টারিং ইঞ্জিনের ভারী ডেটা পেলোড প্রসেস করার প্রয়োজন হয় না। এর ফলে লেটেন্সির প্রভাব প্রায় শূন্যের কাছাকাছি থাকে, যা সাধারণত দুই মিলিসেকেন্ডেরও কম।তাছাড়া, যেহেতু DNS ফিল্টারিং কানেকশন তৈরি হওয়ার আগেই কাজ করে, তাই এটি সম্পূর্ণ প্রোটোকল-নিরপেক্ষ। অ্যাপ্লিকেশনটি HTTP, HTTPS, FTP নাকি কোনো কাস্টম পোর্ট ব্যবহার করার চেষ্টা করছে, তা বিবেচনা না করেই এটি কানেকশন ব্লক করে দেয়। এবার চলুন একটি বাস্তব উদাহরণ দেখা যাক। ধরুন একটি পাঁচশ রুমের বিলাসবহুল হোটেল চেইনের কথা। তারা অবৈধ স্ট্রিমিংয়ের কারণে উচ্চ ব্যান্ডউইথ ব্যবহারের সম্মুখীন হচ্ছে এবং পাবলিক এলাকায় অনুপযুক্ত কন্টেন্ট অ্যাক্সেসযোগ্য হওয়া নিয়ে অভিযোগ পেয়েছে। তাদের প্রোপার্টি ম্যানেজমেন্ট সিস্টেম VLANs এর মাধ্যমে একই ফিজিক্যাল ইনফ্রাস্ট্রাকচার শেয়ার করে। সঠিক পদ্ধতি হলো একটি ক্লাউড-ভিত্তিক DNS ফিল্টারিং সলিউশন ডেপ্লয় করা এবং ক্লাউড DNS IP গুলি অ্যাসাইন করতে বিশেষভাবে Guest WiFi VLAN এর জন্য DHCP স্কোপ কনফিগার করা। গুরুত্বপূর্ণভাবে, আপনি গেটওয়েতে ফায়ারওয়াল রুলস ইমপ্লিমেন্ট করবেন যাতে Guest VLAN থেকে অনুমোদিত DNS সার্ভার ছাড়া অন্য কোনো এক্সটার্নাল IP-তে আউটবাউন্ড UDP এবং TCP পোর্ট ৫৩ ট্রাফিক ব্লক করা যায়। এরপর আপনি অ্যাডাল্ট কন্টেন্ট, পাইরেসি এবং ম্যালওয়্যার ক্যাটাগরি ব্লক করার একটি পলিসি তৈরি করবেন। মূল আর্কিটেকচারাল সিদ্ধান্তটি হলো প্রোপার্টি ম্যানেজমেন্ট সিস্টেম VLAN যাতে ইন্টার্নাল DNS সার্ভার ব্যবহার করা অব্যাহত রাখে তা নিশ্চিত করা, যা ফিল্টারিং পলিসিকে গেস্ট নেটওয়ার্ক থেকে সম্পূর্ণ আলাদা করে। এবার চলুন ইমপ্লিমেন্টেশনের সাধারণ ভুলত্রুটিগুলো নিয়ে কথা বলা যাক। ভিত্তিপ্রস্তর ধাপটি হলো নেটওয়ার্ক কনফিগারেশন। গেস্ট VLAN-এর সমস্ত ক্লায়েন্টদের কাছে আপনার DNS ফিল্টারিং সার্ভিসের IP অ্যাড্রেসগুলো পৌঁছে দিতে আপনাকে অবশ্যই আপনার গেটওয়ে বা DHCP সার্ভার কনফিগার করতে হবে। তবে এখানে একটি গুরুত্বপূর্ণ নিয়ম রয়েছে: পোর্ট ৫৩ ব্লক করুন, নয়তো এটি সবার জন্য উন্মুক্ত হয়ে যাবে। আপনি যদি কেবল DHCP-র মাধ্যমে DNS সার্ভারগুলো অ্যাসাইন করেন, তবে অভিজ্ঞ ব্যবহারকারী বা ক্ষতিকারক অ্যাপ্লিকেশনগুলো Google-এর ৮.৮.৮.৮ বা Cloudflare-এর ১.১.১.১-এর মতো নিজস্ব DNS সেটিংস হার্ডকোড করে ফিল্টারটিকে বাইপাস করতে পারে। এই এভিয়েশন প্রতিরোধ করতে, আপনাকে গেটওয়েতে এমন ফায়ারওয়াল রুলস ইমপ্লিমেন্ট করতে হবে যা আপনার নির্দিষ্ট ফিল্টারিং সার্ভার ছাড়া অন্য যেকোনো IP অ্যাড্রেসে পোর্ট ৫৩-এর সমস্ত আউটবাউন্ড ট্রাফিক (UDP এবং TCP উভয়ই) ব্লক করে। আরেকটি বড় সমস্যা দেখা দেয় Captive Portal নিয়ে। রিটেইল এবং হসপিটালিটি ডেপ্লয়মেন্টে আমরা এটি প্রায়শই দেখতে পাই। একটি ভেন্যু কঠোর DNS ফিল্টারিং ইমপ্লিমেন্ট করে, এবং হঠাৎ করে গেস্টরা লগইন করতে পারে না। কেন? কারণ Captive Portal অথেন্টিকেশনের জন্য এক্সটার্নাল ডোমেইনের ওপর নির্ভর করে, যেমন সোশ্যাল লগইনের জন্য OAuth প্রোভাইডার। ব্যবহারকারী অথেন্টিকেট করার আগেই যদি আপনার DNS ফিল্টার এই ডোমেইনগুলোকে ব্লক করে দেয়, তবে আপনি একটি ফাঁদে পড়ে যাবেন। ব্যবহারকারী অথেন্টিকেট করার জন্য ইন্টারনেট অ্যাক্সেস করতে পারেন না, আবার ইন্টারনেটে অ্যাক্সেস করার জন্য অথেন্টিকেট করতে পারেন না। সমাধানটি হলো আপনার Walled Garden সঠিকভাবে কনফিগার করা হয়েছে তা নিশ্চিত করা। DNS ফিল্টারিং পলিসির মধ্যে Captive Portal অভিজ্ঞতার জন্য প্রয়োজনীয় ডোমেইনগুলোকে আপনাকে অবশ্যই স্পষ্টভাবে এলাউলিস্ট করতে হবে।একটি দ্বিতীয় বাস্তব পরিস্থিতি: একটি বড় রিটেইল শপিং সেন্টার ডেমোগ্রাফিক ডেটা ক্যাপচারের জন্য একটি Captive Portal সহ বিনামূল্যে পাবলিক WiFi অফার করতে চায়, পাশাপাশি কঠোর ফ্যামিলি-ফ্রেন্ডলি কর্পোরেট নীতিগুলি মেনে চলতে চায়। Captive Portal-এর সাথে DNS ফিল্টারিংয়ের ইন্টিগ্রেশনের জন্য প্রি-অথেন্টিকেশন অ্যালওলিস্টে Microsoft Entra ID বা Google Workspace-এর মতো অথেন্টিকেশন ডোমেনগুলি যোগ করা প্রয়োজন। ব্যবহারকারী সফলভাবে অথেন্টিকেট করার পরেই কেবল কন্টেন্ট ফিল্টারিং নীতি প্রয়োগ করা হয়। এই পদ্ধতিটি একটি সম্ভাব্য প্রযুক্তিগত দ্বন্দ্বকে একটি নিরবচ্ছিন্ন ভিজিটর অভিজ্ঞতায় পরিণত করে। এখন সাধারণ পরিস্থিতির ওপর ভিত্তি করে একটি দ্রুত প্রশ্নোত্তর সেশনে যাওয়া যাক। প্রশ্ন এক: আমরা কি আমাদের গেস্ট নেটওয়ার্কের জন্য DNS ফিল্টারিংয়ের পরিবর্তে ট্রান্সপারেন্ট HTTPS ইন্সপেকশন ব্যবহার করতে পারি? না। ট্রান্সপারেন্ট HTTPS ইন্সপেকশনের জন্য ট্রাফিক ডিক্রিপ্ট করতে এন্ডপয়েন্ট ডিভাইসে একটি কাস্টম রুট সার্টিফিকেট ডেপ্লয় করতে হয়। আপনি আনম্যানেজড গেস্ট ডিভাইসগুলিতে সার্টিফিকেট ডেপ্লয় করতে পারবেন না। এটি গুরুতর সিকিউরিটি ওয়ার্নিং সহ তাদের ব্রাউজিং অভিজ্ঞতাকে ব্যাহত করবে। ব্রিং-ইউর-ওন-ডিভাইস (BYOD) পরিবেশের জন্য DNS ফিল্টারিং হলো সঠিক পদ্ধতি। প্রশ্ন দুই: DNS ফিল্টারিং কীভাবে DNS over HTTPS, বা DoH পরিচালনা করে? DoH DNS কোয়েরি এনক্রিপ্ট করে, যা প্রথাগত নেটওয়ার্ক-লেভেল ইন্টারসেপশনকে বাইপাস করতে পারে। ফায়ারওয়ালে পরিচিত DoH প্রোভাইডারদের IP অ্যাড্রেস সনাক্ত এবং ব্লক করা হলো সবচেয়ে ভালো অনুশীলন, যা ক্লায়েন্টকে স্ট্যান্ডার্ড, ফিল্টারযোগ্য DNS-এ ফিরে যেতে বাধ্য করে। প্রশ্ন তিন: DNS ফিল্টারিং কি কমপ্লায়েন্সে সাহায্য করে? অবশ্যই। PCI-DSS এর মতো ফ্রেমওয়ার্কের জন্য নেটওয়ার্ক সেগমেন্টেশন এবং শক্তিশালী অ্যাক্সেস কন্ট্রোল প্রদর্শন করা বাধ্যতামূলক। যদিও গেস্ট নেটওয়ার্কগুলিকে সর্বদা পেমেন্ট নেটওয়ার্ক থেকে আলাদা করা উচিত, তবুও গেস্ট নেটওয়ার্কে ম্যালওয়্যার এক্সিকিউশন প্রতিরোধ করা ভেন্যুর সামগ্রিক ঝুঁকি হ্রাস করে। GDPR-এর উদ্দেশ্যে, আপনার নেটওয়ার্কের অপব্যবহার রোধ করতে আপনি যে যুক্তিসঙ্গত প্রযুক্তিগত ব্যবস্থা নিয়েছেন তা প্রদর্শন করা কমপ্লায়েন্সের একটি ইতিবাচক নির্দেশক। আজকের ব্রিফিং সংক্ষেপে বলতে গেলে - DNS ফিল্টারিং কেবল একটি সিকিউরিটি বেস্ট প্র্যাকটিস নয়। এটি এন্টারপ্রাইজ পাবলিক নেটওয়ার্কের জন্য একটি অপারেশনাল প্রয়োজনীয়তা। এটি ক্ষতিকারক হুমকি ব্লক করতে এবং গ্রহণযোগ্য ব্যবহারের নীতিগুলি প্রয়োগ করতে একটি স্কেলেবল, লো-লেটেন্সি মেকানিজম প্রদান করে। মূল বিষয়গুলি হলো - প্রথমত, DNS ফিল্টারিং সংযোগ স্থাপন করার আগে ডোমেন কোয়েরি ইন্টারসেপ্ট করে, যা দুই মিলিসেকেন্ডেরও কম লেটেন্সি যোগ করে। দ্বিতীয়ত, কাস্টম DNS সেটিংসের মাধ্যমে এভেইশন প্রতিরোধ করতে সর্বদা ফায়ারওয়ালে আউটবাউন্ড পোর্ট ৫৩ ব্লক করুন। তৃতীয়ত, Captive Portal অথেন্টিকেশন ডোমেনগুলি যাতে ব্লক না হয় তা নিশ্চিত করতে আপনার Walled Garden সাবধানে কনফিগার করুন। চতুর্থত, অপারেশনাল সিস্টেমগুলিকে সুরক্ষিত রেখে কেবল গেস্ট ট্রাফিকের ওপর ফিল্টারিং নীতিগুলি প্রয়োগ করতে VLAN সেগমেন্টেশন ব্যবহার করুন। এবং পঞ্চমত, DNS ফিল্টারিং শক্তিশালী নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল প্রদর্শনের মাধ্যমে PCI-DSS এবং GDPR-এর কমপ্লায়েন্স সমর্থন করে। আপনার পরবর্তী পদক্ষেপ: আপনার বর্তমান গেস্ট নেটওয়ার্ক DNS কনফিগারেশন অডিট করুন, আউটবাউন্ড পোর্ট ৫৩ সীমাবদ্ধ করা আছে কিনা তা যাচাই করুন, এবং আপনার অ্যাক্টিভ DNS ফিল্টারিং নীতির বিপরীতে আপনার Captive Portal Walled Garden পর্যালোচনা করুন।এই Purple Technical Briefing শোনার জন্য আপনাকে ধন্যবাদ। আরও বিস্তারিত ডেপ্লয়মেন্ট গাইড এবং আর্কিটেকচার প্যাটার্নের জন্য, purple dot ai ভিজিট করুন।

header_image.png

কার্যনির্বাহী সংক্ষিপ্তসার (Executive summary)

বৃহৎ আকারের পাবলিক নেটওয়ার্ক পরিচালনাকারী IT লিডারদের জন্য ব্রাউজিং পরিবেশ সুরক্ষিত করা একটি কার্যক্ষম বাধ্যতামূলক বিষয়, এটি কোনো ঐচ্ছিক বিষয় নয়। হসপিটালিটি, রিটেইল এবং পাবলিক ভেন্যুতে Guest WiFi সহজাতভাবেই একটি অবিশ্বাস্য পরিবেশ। জোরালো নিয়ন্ত্রণ ব্যবস্থা ছাড়া, এটি ম্যালওয়্যার বিতরণ, বটনেট অ্যাক্টিভিটি এবং অনুপযুক্ত সামগ্রীতে অ্যাক্সেসের একটি মাধ্যম হয়ে ওঠে যা ব্র্যান্ডের সুনাম নষ্ট করে এবং কমপ্লায়েন্সের ঝুঁকি তৈরি করে।

DNS ফিল্টারিং হলো নেটওয়ার্ক এজে কনটেন্ট পলিসি প্রয়োগ করার এবং হুমকি ব্লক করার সবচেয়ে কার্যকর প্রক্রিয়া। রিসোর্স-ইনটেনসিভ ডিপ প্যাকেট ইন্সপেকশন (DPI) এর বিপরীতে, DNS ফিল্টারিং কোনো পেলোড এক্সচেঞ্জ হওয়ার আগেই ডোমেন রেজোলিউশন রিকোয়েস্ট আটকে দেয়। এটি রিয়েল-টাইম থ্রেট ইন্টেলিজেন্সের বিপরীতে একটি লাইটওয়েট UDP প্যাকেট মূল্যায়ন করে এবং একটি বৈধ IP অ্যাড্রেস বা একটি সিঙ্কহোল রিটার্ন করে, যা দুই মিলিসেকেন্ডেরও কম লেটেন্সি যোগ করে। এটি হাজার হাজার সমসাময়িক আনম্যানেজড ডিভাইস পরিচালনা করে এমন হাই-ডেন্সিটি পরিবেশের জন্য একমাত্র ব্যবহারিক কনটেন্ট কন্ট্রোল পদ্ধতি।

এই গাইডটিতে VLAN সেগমেন্টেশন, পোর্ট 53 প্রয়োগ, Captive Portal ইন্টিগ্রেশন এবং DNS over HTTPS (DoH) ফাঁকি প্রতিরোধ সহ ডিস্ট্রিবিউটেড এন্টারপ্রাইজ ভেন্যু জুড়ে DNS ফিল্টারিং মোতায়েন করার জন্য প্রয়োজনীয় প্রযুক্তিগত আর্কিটেকচার কভার করা হয়েছে। এটি PCI-DSS এবং GDPR-এর সাথে কমপ্লায়েন্সের বিষয়টিও কভার করে এবং কীভাবে কোনো হার্ডওয়্যার প্রতিস্থাপন ছাড়াই Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti, UniFi, Cambium, Extreme Networks এবং Fortinet-এর বিদ্যমান হার্ডওয়্যার স্ট্যাকের সাথে Purple Shield একীভূত হয় তা ব্যাখ্যা করে।

টেকনিক্যাল ডিপ-ডাইভ: DNS ফিল্টারিং কীভাবে কাজ করে

ডোমেন নেম সিস্টেম (DNS) মানুষের পঠনযোগ্য ডোমেনগুলোকে মেশিন-পঠনযোগ্য IP অ্যাড্রেসে রূপান্তর করে। প্রতিটি ইন্টারনেট সংযোগ একটি DNS রেজোলিউশন রিকোয়েস্টের মাধ্যমে শুরু হয়। একটি স্ট্যান্ডার্ড নেটওয়ার্কে, ডিভাইসগুলো ISP দ্বারা নির্ধারিত একটি ডিফল্ট রিজলভারকে কোয়েরি করে। একটি সুরক্ষিত আর্কিটেকচারে, DHCP সার্ভার গেস্ট VLAN-এর ডিভাইসগুলোতে একটি পলিসি-প্রয়োগকারী DNS রিজলভার অ্যাসাইন করে।

যখন কোনো ডিভাইস এই সুরক্ষিত রিজলভারকে কোয়েরি করে, তখন ফিল্টারিং ইঞ্জিন একই সাথে একাধিক ডেটা সোর্সের বিপরীতে ডোমেনটি মূল্যায়ন করে: রিয়েল-টাইম থ্রেট ইন্টেলিজেন্স ফিড, ক্যাটাগরি ব্লক লিস্ট (প্রাপ্তবয়স্কদের কনটেন্ট, জুয়া, পাইরেসি) এবং বটনেট কমান্ড অ্যান্ড কন্ট্রোল ডোমেন রেজিস্ট্রি। এই সিদ্ধান্তটি মিলিসেকেন্ডের মধ্যে নেওয়া হয়।

ডোমেনটি নিরাপদ হলে, ইঞ্জিনটি সঠিক IP অ্যাড্রেস রিটার্ন করে এবং সংযোগটি স্বাভাবিকভাবে এগিয়ে যায়। ডোমেনটি ক্ষতিকারক হিসেবে চিহ্নিত হলে বা আপনার গ্রহণযোগ্য ব্যবহার নীতি লঙ্ঘন করলে, ইঞ্জিনটি হয় একটি নন-রাউটেবল IP অ্যাড্রেস রিটার্ন করে (সিঙ্কহোলিং) অথবা ব্যবহারকারীকে একটি ব্র্যান্ডেড ব্লক পেজে রিডাইরেক্ট করে। মূল বিষয়টি হলো: ডিভাইস এবং ডেস্টিনেশন সার্ভারের মধ্যে কোনো ডেটা পেলোড এক্সচেঞ্জ হওয়ার আগেই এই হস্তক্ষেপটি ঘটে।

dns_architecture_overview.png

পারফরম্যান্স এবং স্কেলের সুবিধা

উচ্চ-ঘনত্বের পাবলিক পরিবেশের জন্য DNS filtering আর্কিটেকচারগতভাবে DPI-এর চেয়ে অনেক উন্নত। DPI-এর জন্য প্রতিটি প্যাকেটের পেলোড পরীক্ষা করতে নেটওয়ার্ক হার্ডওয়্যারের প্রয়োজন হয়। ৫০,০০০ সহগামী ব্যবহারকারী বিশিষ্ট একটি ভেন্যুতে - যেমন একটি স্টেডিয়াম, সম্মেলন কেন্দ্র বা বড় রিটেল এস্টেট - DPI উল্লেখযোগ্য লেটেন্সি তৈরি করে এবং প্রতিটি পরিদর্শন পয়েন্টে ব্যয়বহুল, নির্দিষ্ট উদ্দেশ্যে তৈরি হার্ডওয়্যারের প্রয়োজন হয়।

DNS filtering সংযোগ লাইফসাইকেলের শুরুতেই কাজ করে। এটি একটি সাধারণ হালকা UDP প্যাকেট মূল্যায়ন করে। রেজোলিউশন সম্পন্ন হলে, ক্লায়েন্ট এবং ডেস্টিনেশন সার্ভারের মধ্যে সরাসরি ডেটা ট্রান্সফার হয়। ফিল্টারিং ইঞ্জিন কখনই ডেটা পেলোড প্রসেস করে না। সহগামী ব্যবহারকারীর সংখ্যা যাই হোক না কেন, লেটেন্সির প্রভাব সবসময় দুই মিলিসেকেন্ডের কম থাকে।

যেহেতু সংযোগ স্থাপনের আগেই DNS filtering কাজ করে, তাই এটি প্রোটোকল-নিরপেক্ষ। অ্যাপ্লিকেশনটি HTTP, HTTPS, FTP নাকি কোনো কাস্টম পোর্ট ব্যবহার করছে, তা নির্বিশেষে এটি সংযোগ ব্লক করে। URL-ভিত্তিক ফিল্টারিংয়ের তুলনায় এটি একটি বড় সুবিধা, যা কেবল HTTP/HTTPS ট্রাফিক পরীক্ষা করে।

deployment_comparison_chart.png

১০ দিনের থ্রেট ডিটেকশন সুবিধা

ঐতিহ্যগত DNS নিরাপত্তা রিঅ্যাক্টিভ ব্ল্যাকলিস্টিংয়ের ওপর নির্ভর করে: একটি ডোমেন ক্ষতিকারক হিসেবে চিহ্নিত করা হয়, একটি কেন্দ্রীয় সংস্থাকে রিপোর্ট করা হয়, ডাটাবেজে যুক্ত করা হয় এবং অবশেষে আপনার ফিল্টারে পাঠানো হয় - এই প্রক্রিয়াটি সম্পন্ন হতে কয়েক দিন পর্যন্ত সময় লাগতে পারে। আধুনিক ম্যালওয়্যার ক্যাম্পেইনগুলো এই সময়ের ব্যবধানকে কাজে লাগায়। হামলাকারীরা নতুন ডোমেন রেজিস্টার করে, ২৪ ঘণ্টার মধ্যে একটি ক্যাম্পেইন চালায় এবং কোনো স্ট্যান্ডার্ড ব্লকলিস্টে পৌঁছানোর আগেই ডোমেনটি পরিত্যাগ করে।

Purple Shield রিয়েল টাইমে ডোমেন রেজিস্ট্রেশন প্যাটার্ন, IP রেপুটেশন এবং ক্রিপ্টোগ্রাফিক সিগনেচার বিশ্লেষণ করতে AI-চালিত থ্রেট ডিটেকশন ব্যবহার করে। এই পদ্ধতিটি প্রচলিত রিঅ্যাক্টিভ প্রদানকারীদের তুলনায় ১০ দিন পর্যন্ত দ্রুত নতুন জিরো-ডে থ্রেট সনাক্ত এবং ব্লক করে (Purple অভ্যন্তরীণ ডেটা, ২০২৬)। এমন একটি পরিবেশে যেখানে গেস্ট ডিভাইসের একটিমাত্র ক্ষতিকারক লিঙ্ক র‍্যানসমওয়্যারের কারণ হতে পারে, সেখানে এই ডিটেকশন উইন্ডোটি অত্যন্ত গুরুত্বপূর্ণ।

ইমপ্লিমেন্টেশন গাইড: আর্কিটেকচার এবং ডিপ্লয়মেন্ট

সঠিকভাবে DNS filtering ডিপ্লয় করতে তিনটি স্তরে সুনির্দিষ্ট নেটওয়ার্ক কনফিগারেশন প্রয়োজন: DHCP, ফায়ারওয়াল এবং Captive Portal।

ধাপ ১: VLAN সেগমেন্টেশন

আপনার নেটওয়ার্ককে এমনভাবে সেগমেন্ট করুন যাতে গেস্ট ট্রাফিক অপারেশনাল সিস্টেম থেকে বিচ্ছিন্ন থাকে। গেস্ট ডিভাইসগুলোকে একটি ডেডিকেটেড VLAN-এ (যেমন, VLAN 20) রাখুন এবং POS টার্মিনাল, প্রপার্টি ম্যানেজমেন্ট সিস্টেম এবং কর্মীদের ডিভাইসগুলোকে ইন্টারনাল DNS রিজলভার সহ আলাদা VLAN-এ রাখুন। এটি নিশ্চিত করে যে আপনার DNS filtering পলিসি শুধুমাত্র অনিরাপদ গেস্ট ট্রাফিকের ওপর প্রযোজ্য হবে এবং অপারেশনাল সিস্টেমগুলোতে কোনো ব্যাঘাত ঘটাবে না।

এই সেগমেন্টেশনটি PCI-DSS রিকোয়ারমেন্ট ১.৩-ও পূরণ করে, যা নির্দেশ করে যে কার্ডহোল্ডারদের ডেটা এনভায়রনমেন্ট যেন অনিরাপদ নেটওয়ার্ক থেকে বিচ্ছিন্ন থাকে। গেস্ট WiFi কখনই পেমেন্ট ইনফ্রাস্ট্রাকচারের সাথে VLAN শেয়ার করবে না।

ধাপ ২: DHCP স্কোপ কনফিগারেশন

গেস্ট VLAN-এর জন্য DHCP স্কোপ কনফিগার করুন যাতে আপনার ক্লাউড DNS ফিল্টারিং সার্ভিসের IP অ্যাড্রেসগুলোকে প্রাইমারি এবং সেকেন্ডারি DNS সার্ভার হিসেবে অ্যাসাইন করা যায়। এটি নিশ্চিত করে যে গেস্ট নেটওয়ার্কে যুক্ত হওয়া প্রতিটি ডিভাইস স্বয়ংক্রিয়ভাবে সঠিক রিজলভার গ্রহণ করছে।

ধাপ ৩: ফায়ারওয়ালে Port 53 এনফোর্সমেন্ট

শুধুমাত্র DHCP অ্যাসাইনমেন্ট যথেষ্ট নয়। একজন ব্যবহারকারী ম্যানুয়ালি তাদের ডিভাইসটিকে Google (8.8.8.8) বা Cloudflare (1.1.1.1)-এর মতো কোনো পাবলিক রিজলভার ব্যবহার করার জন্য কনফিগার করে DHCP-দ্বারা প্রদত্ত DNS সেটিংস ওভাররাইড করতে পারেন। ম্যালওয়্যার প্রায়শই নেটওয়ার্ক নিয়ন্ত্রণগুলোকে সম্পূর্ণভাবে এড়াতে DNS সেটিংস হার্ডকোড করে রাখে।

আপনাকে এমন একটি ফায়ারওয়াল রুল ইমপ্লিমেন্ট করতে হবে যা গেস্ট VLAN থেকে আপনার নির্ধারিত ফিল্টারিং সার্ভার ছাড়া অন্য যেকোনো IP অ্যাড্রেসে পোর্ট ৫৩ (UDP এবং TCP উভয়ই) এর সমস্ত আউটবাউন্ড ট্রাফিক ড্রপ করবে। এটি DNS ফিল্টারকে একটি পরামর্শমূলক নিয়ন্ত্রণ থেকে একটি বাধ্যতামূলক নিয়ন্ত্রণে রূপান্তর করে।

ধাপ ৪: DNS over HTTPS (DoH) মিটিগেশন

আধুনিক ব্রাউজার এবং অ্যাপ্লিকেশনগুলো দিন দিন DoH-এর ব্যবহার বাড়িয়ে দিচ্ছে, যা পোর্ট ৪৪৩-এ স্ট্যান্ডার্ড HTTPS ট্রাফিকের ভেতরে DNS কোয়েরিগুলোকে এনক্রিপ্ট করে। এটি পোর্ট ৫৩ ইন্টারসেপশনকে সম্পূর্ণভাবে এড়িয়ে যায়। কভারেজ বজায় রাখতে, বড় DoH প্রদানকারীদের পরিচিত IP অ্যাড্রেস রেঞ্জগুলো ব্লক করার জন্য আপনার ফায়ারওয়াল কনফিগার করুন। এটি ক্লায়েন্ট ডিভাইসগুলোকে স্ট্যান্ডার্ড আনএনক্রিপ্টেড DNS-এ ফিরে যেতে বাধ্য করে, যা আপনার ফিল্টারিং ইঞ্জিন পরিদর্শন করতে পারে। NIST SP 800-81r3 (মার্চ ২০২৬-এ প্রকাশিত) বিশেষভাবে একটি এন্টারপ্রাইজ DNS সিকিউরিটি বিবেচনা হিসেবে DoH-কে সম্বোধন করে।

ধাপ ৫: Captive Portal ওয়াল্ড গার্ডেন কনফিগারেশন

আপনি যদি গেস্ট অথেন্টিকেশনের জন্য একটি Captive Portal পরিচালনা করেন, তবে কোনো ব্লকিং পলিসি প্রয়োগ করার আগে আপনাকে অবশ্যই একটি Walled Garden কনফিগার করতে হবে। Walled Garden হলো এমন ডোমেনের একটি তালিকা যা ডিভাইসগুলো অথেন্টিকেট করার আগেই অ্যাক্সেস করতে পারে। এতে Captive Portal কার্যকরভাবে কাজ করার জন্য প্রয়োজনীয় সমস্ত ডোমেন অন্তর্ভুক্ত থাকতে হবে: আপনার পোর্টালের নিজস্ব ডোমেন, যেকোনো আইডেন্টিটি প্রোভাইডার (Microsoft Entra ID, Okta, Google Workspace), এবং যেকোনো সোশ্যাল লগইন OAuth এন্ডপয়েন্ট।

অথেন্টিকেশনের আগে এই ডোমেনগুলো ব্লক করা থাকলে, ব্যবহারকারীরা লগইন ফ্লো সম্পন্ন করতে পারবেন না। এর ফলে অনবোর্ডিং অভিজ্ঞতা ব্যাহত হবে এবং গেস্টরা অসন্তুষ্ট হবেন। প্রথমে Walled Garden কনফিগার করুন, তারপর শুধুমাত্র অথেন্টিকেটেড সেশনগুলোর জন্য আপনার কন্টেন্ট ফিল্টারিং পলিসি প্রয়োগ করুন।

SSID আর্কিটেকচার এবং কীভাবে Guest WiFi, Staff WiFi, এবং IoT নেটওয়ার্কগুলো গঠন করা উচিত সে সম্পর্কে আরও জানতে, Three SSIDs to rule them all: guest, Passpoint, and IoT WiFi দেখুন।

সর্বোত্তম অনুশীলন: পলিসি ডিজাইন এবং চলমান ব্যবস্থাপনা

ক্যাটাগরি-ভিত্তিক ব্লকিং

ব্যক্তিগত ডোমেন ব্লকলিস্টের পরিবর্তে কন্টেন্ট ক্যাটাগরিকে কেন্দ্র করে আপনার DNS ফিল্টারিং পলিসি সাজান। ক্যাটাগরিগুলোর মধ্যে সাধারণত থাকে: ম্যালওয়্যার এবং ফিশিং, বটনেট কমান্ড-অ্যান্ড-কন্ট্রোল, অ্যাডাল্ট কন্টেন্ট, জুয়া, অবৈধ স্ট্রিমিং এবং পিয়ার-টু-পিয়ার ফাইল শেয়ারিং। ক্যাটাগরি-ভিত্তিক পলিসিগুলো পরিচালনা করা সহজ এবং থ্রেট ইন্টেলিজেন্স আপডেট হওয়ার সাথে সাথে স্বয়ংক্রিয়ভাবে নতুন ডোমেনগুলো ক্যাপচার করে।

থ্রেট ইন্টেলিজেন্স আপডেট ফ্রিকোয়েন্সি

এমন একটি DNS filtering প্রদানকারী বেছে নিন যা রিয়েল-টাইমে বা প্রায় রিয়েল-টাইমে থ্রেট ইন্টেলিজেন্স আপডেট করে। আধুনিক ফাস্ট-ফ্লাক্স ম্যালওয়্যার ক্যাম্পেইনের বিরুদ্ধে প্রতিদিন আপডেট হওয়া স্ট্যাটিক ব্লকলিস্টগুলো যথেষ্ট নয়। Purple Shield তার থ্রেট ইন্টেলিজেন্স ক্রমাগত আপডেট করে, যা একই AI-চালিত সনাক্তকরণকে প্রতিফলিত করে এবং রিয়্যাক্টিভ প্রদানকারীদের তুলনায় ১০ দিনের সুবিধা প্রদান করে।

হার্ডওয়্যার-নিরপেক্ষ ডিপ্লয়মেন্ট

Purple Shield একটি ক্লাউড ওভারলে হিসেবে কাজ করে, যার অর্থ হলো এটি কোনো হার্ডওয়্যার প্রতিস্থাপন ছাড়াই আপনার বিদ্যমান অ্যাক্সেস পয়েন্ট পরিকাঠামোর সাথে সংহত বা ইন্টিগ্রেট হয়। এটি Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme এবং Fortinet-এর সাথে সামঞ্জস্যপূর্ণ। ফিল্টারিং পলিসিটি DNS স্তরে প্রয়োগ করা হয়, তাই অ্যাক্সেস পয়েন্ট হার্ডওয়্যারকে শুধুমাত্র সঠিক রিজলভারের কাছে DNS কোয়েরি পাঠাতে হবে।

অ্যানালিটিক্স এবং রিপোর্টিং

DNS filtering বিস্তারিত কোয়েরি লগ তৈরি করে যা নেটওয়ার্ক আচরণের দৃশ্যমানতা প্রদান করে। ট্রেন্ডগুলো সনাক্ত করতে এই লগগুলো ব্যবহার করুন: একটি নির্দিষ্ট অ্যাক্সেস পয়েন্ট থেকে ব্লক করা ফিশিং প্রচেষ্টার হঠাৎ বৃদ্ধি একটি টার্গেটেড আক্রমণ নির্দেশ করতে পারে। ব্লক করা ক্যাটাগরির রিপোর্টের নিয়মিত পর্যালোচনা কমপ্লায়েন্স অডিটকেও সমর্থন করে, যা PCI-DSS মূল্যায়নকারী এবং GDPR অডিটরদের কাছে প্রমাণ করে যে আপনার কাছে সক্রিয় নিয়ন্ত্রণ ব্যবস্থা রয়েছে।

Purple-এর WiFi Analytics প্ল্যাটফর্ম সিকিউরিটি ইভেন্ট এবং নেটওয়ার্ক পারফরম্যান্স জুড়ে একীভূত দৃশ্যমানতা প্রদান করতে Shield-এর সাথে ইন্টিগ্রেট করে।

সমস্যা সমাধান এবং ঝুঁকি হ্রাস

কাস্টম DNS-এর মাধ্যমে ফিল্টার বাইপাস

লক্ষণ: ব্যবহারকারীরা এমন কন্টেন্ট অ্যাক্সেস করার রিপোর্ট করছেন যা ব্লক করা থাকার কথা। ফায়ারওয়াল লগ গেস্ট VLAN থেকে 8.8.8.8 বা 1.1.1.1-এ DNS কোয়েরি দেখাচ্ছে।

কারণ: ফায়ারওয়ালে Port 53 ব্লক করা নেই। ব্যবহারকারীরা DHCP-অ্যাসাইন করা DNS সেটিংস ওভাররাইড করছেন।

সমাধান: আপনার ফিল্টারিং ইঞ্জিন ছাড়া অন্য কোনো IP-তে গেস্ট VLAN থেকে সমস্ত আউটবাউন্ড UDP/TCP port 53 ট্রাফিক ড্রপ করার জন্য একটি ফায়ারওয়াল নিয়ম বা রুল প্রয়োগ করুন।

Captive Portal অথেন্টিকেশন ব্যর্থতা

লক্ষণ: গেস্টরা লগইন ফ্লো সম্পন্ন করতে পারছেন না। Captive Portal পেজ লোড হতে ব্যর্থ হচ্ছে বা সোশ্যাল লগইন বোতামগুলো কাজ করছে না।

কারণ: DNS ফিল্টার অথেন্টিকেশনের আগেই আইডেন্টিটি প্রোভাইডার ডোমেনগুলোকে ব্লক করছে। Microsoft Entra ID, Google Workspace, বা আপনার পোর্টালের নিজস্ব ডোমেন একটি ব্লক করা ক্যাটাগরির তালিকায় রয়েছে।

সমাধান: আপনার Walled Garden কনফিগারেশন অডিট করুন। প্রি-অথেন্টিকেশন অনুমতি তালিকায় (allowlist) সমস্ত প্রয়োজনীয় অথেন্টিকেশন ডোমেন যোগ করুন। পলিসি পরিবর্তনগুলো প্রয়োগ করার আগে একটি স্টেজিং এনভায়রনমেন্টে সম্পূর্ণ লগইন ফ্লো পরীক্ষা করুন।

DoH বাইপাস

লক্ষণ: উচ্চ নেটওয়ার্ক ব্যবহার সত্ত্বেও DNS ফিল্টার লগ কম কোয়েরি ভলিউম দেখাচ্ছে। কিছু ডিভাইস ফিল্টারিংকে সম্পূর্ণভাবে বাইপাস করছে বলে মনে হচ্ছে।

কারণ: ব্রাউজার বা অ্যাপ্লিকেশনগুলো DoH ব্যবহার করছে, যা পোর্ট ৪৪৩-এর মাধ্যমে এক্সটার্নাল রিজলভারগুলিতে এনক্রিপ্ট করা DNS কোয়েরি পাঠাচ্ছে।

সমাধান: ফায়ারওয়ালে প্রধান DoH প্রদানকারীদের পরিচিত IP রেঞ্জগুলো ব্লক করুন। পরিচিত DoH রিজলভার IP-তে HTTPS কানেকশনগুলো মনিটর করার মাধ্যমে এটি যাচাই করুন।

অপারেশনাল VLAN বিঘ্নিত হওয়া

লক্ষণ: DNS ফিল্টার ডিপ্লয়মেন্টের পরে POS টার্মিনাল বা প্রোপার্টি ম্যানেজমেন্ট সিস্টেমগুলো কানেক্টিভিটি হারাচ্ছে।

কারণ: DNS ফিল্টারিং পলিসিটি ভুল VLAN-এ প্রয়োগ করা হয়েছে, অথবা DHCP অপারেশনাল ডিভাইসগুলিতে ক্লাউড DNS রিজলভার অ্যাসাইন করছে।

সমাধান: সমস্ত সুইচ পোর্ট এবং অ্যাক্সেস পয়েন্টে VLAN ট্যাগিং যাচাই করুন। নিশ্চিত করুন যে অপারেশনাল ডিভাইসের VLAN-গুলি কেবল অভ্যন্তরীণ DNS রিজলভার ব্যবহারের জন্য কনফিগার করা হয়েছে।

ROI এবং ব্যবসায়িক প্রভাব

DNS ফিল্টারিং তিনটি ক্ষেত্রে পরিমাপযোগ্য রিটার্ন প্রদান করে।

ব্যান্ডউইথ পুনরুদ্ধার: অবৈধ স্ট্রিমিং, পিয়ার-টু-পিয়ার শেয়ারিং এবং স্বয়ংক্রিয় বটনেট ট্রাফিক ব্লক করা উল্লেখযোগ্য ব্যান্ডউইথ পুনরুদ্ধার করে। একটি হোটেল পরিবেশে, এটি গেস্ট VLAN ব্যবহার ২০-৪০% হ্রাস করতে পারে, যা সার্কিট আপগ্রেডের প্রয়োজন ছাড়াই বৈধ ব্যবহারকারীদের জন্য পারফরম্যান্স উন্নত করে।

কমপ্লায়েন্স খরচ হ্রাস: সক্রিয় DNS-স্তরের নিয়ন্ত্রণ প্রদর্শন করা PCI DSS মূল্যায়নের পরিধি এবং খরচ কমিয়ে দেয়। এটি GDPR Article 32 (ডেটা নিরাপত্তা নিশ্চিত করার জন্য প্রযুক্তিগত ব্যবস্থা) এর জন্য নথিভুক্ত প্রমাণ সরবরাহ করে এবং ম্যালওয়্যার সুরক্ষার জন্য Cyber Essentials সার্টিফিকেশনের প্রয়োজনীয়তাগুলিকে সমর্থন করে।

ব্র্যান্ড এবং দায়বদ্ধতা সুরক্ষা: রিটেইল এবং হসপিটালিটি পরিবেশে পরিবার-বান্ধব ব্রাউজিং পলিসি প্রয়োগ করা অনুপযুক্ত সামগ্রীর সর্বজনীন প্রদর্শন প্রতিরোধ করে। শিশুদের পরিষেবা প্রদানকারী ভেন্যুগুলিতে - শপিং সেন্টার, ফ্যামিলি হোটেল, স্টেডিয়াম - এটি অনেক বিচারব্যবস্থায় একটি ব্র্যান্ডের প্রয়োজনীয়তা এবং একটি আইনি বিবেচনা উভয়ই।

সেক্টর-নির্দিষ্ট ডিপ্লয়মেন্ট নির্দেশিকার জন্য, Hospitality , Retail , Healthcare , এবং Transport এর জন্য আমাদের ইন্ডাস্ট্রি পেজগুলি দেখুন।

মূল সংজ্ঞাসমূহ

DNS filtering

একটি সিকিউরিটি টেকনিক যা ডোমেন রেজোলিউশন রিকোয়েস্টগুলোকে ইন্টারসেপ্ট করে এবং কোনো সংযোগের অনুমতি দেওয়া বা ব্লক করার আগে থ্রেট ইন্টেলিজেন্স ফিড এবং কন্টেন্ট পলিসির বিপরীতে সেগুলোকে মূল্যায়ন করে।

পাবলিক নেটওয়ার্কে আনম্যানেজড গেস্ট ডিভাইসগুলির জন্য প্রাথমিক কন্টেন্ট নিয়ন্ত্রণের পদ্ধতি। কোনো এন্ডপয়েন্ট এজেন্টের প্রয়োজন নেই।

Sinkholing

একটি ক্ষতিকারক ডোমেনের জন্য DNS কুয়েরির জবাবে একটি নন-রাউটেবল IP অ্যাড্রেস (যেমন 0.0.0.0) পাঠানো, যা ডিভাইসটিকে কোনো সংযোগ স্থাপন করা থেকে বিরত রাখে।

ম্যালওয়্যারটিকে সতর্ক না করেই নিরিবিলিতে বটনেট কমান্ড-অ্যান্ড-কন্ট্রোল ট্রাফিক ব্লক করতে ব্যবহৃত হয় যাতে ম্যালওয়্যারটি বুঝতে না পারে যে এটি শনাক্ত হয়েছে।

Walled Garden

একটি সীমিত প্রি-অথেনটিকেশন নেটওয়ার্ক এনভায়রনমেন্ট যা একজন ব্যবহারকারী captive portal লগইন ফ্লো সম্পন্ন করার আগে একটি নির্দিষ্ট অনুমোদিত ডোমেন সেট অ্যাক্সেস করার অনুমতি দেয়।

অথেনটিকেশন ব্যর্থতা প্রতিরোধ করতে অবশ্যই সমস্ত আইডেন্টিটি প্রোভাইডার ডোমেন (Microsoft Entra ID, Google Workspace, Okta) এবং captive portal অ্যাসেট অন্তর্ভুক্ত করতে হবে।

DNS over HTTPS (DoH)

একটি প্রোটোকল যা পোর্ট 443-এ স্ট্যান্ডার্ড HTTPS ট্রাফিকের মধ্যে DNS কুয়েরিগুলোকে এনক্রিপ্ট করে, যা নেটওয়ার্ক-লেভেল ইন্সপেকশন থেকে গন্তব্য ডোমেনটিকে লুকিয়ে রাখে।

আধুনিক ব্রাউজারগুলোতে ডিফল্ট হিসেবে এর ব্যবহার ক্রমশ বাড়ছে। DNS ফিল্টারিং কভারেজ বজায় রাখতে ফায়ারওয়াল স্তরে DoH প্রোভাইডার IP রেঞ্জ ব্লক করার প্রয়োজন হয়।

VLAN segmentation

802.1Q ট্যাগের সাহায্যে একটি একক ফিজিক্যাল নেটওয়ার্ককে একাধিক আইসোলেটেড লজিক্যাল নেটওয়ার্কে বিভক্ত করা।

অপারেশনাল সিস্টেম থেকে গেস্ট ট্রাফিককে আলাদা করার জন্য অত্যন্ত গুরুত্বপূর্ণ। PCI-DSS রিকোয়ারমেন্ট 1.3 অনুযায়ী কার্ডহোল্ডার ডেটা এনভায়রনমেন্টগুলোকে গেস্ট WiFi সহ সমস্ত অনিরাপদ নেটওয়ার্ক থেকে আলাদা রাখা বাধ্যতামূলক।

Captive portal

একটি ওয়েব পেজ যার সাথে ফুল নেটওয়ার্ক অ্যাক্সেস পাওয়ার আগে ডিভাইসগুলোকে অবশ্যই ইন্টারঅ্যাক্ট করতে হবে, যা অথেনটিকেশন, টার্মস অফ সার্ভিস গ্রহণ এবং ফার্স্ট-পার্টি ডেটা ক্যাপচারের জন্য ব্যবহৃত হয়।

DNS ফিল্টারিংয়ের পাশাপাশি সঠিকভাবে কাজ করার জন্য সতর্কতার সাথে Walled Garden কনফিগারেশন করা প্রয়োজন।

Deep Packet Inspection (DPI)

একটি নেটওয়ার্ক ফিল্টারিং পদ্ধতি যা একটি ইন্সপেকশন পয়েন্টে প্যাকেটের সম্পূর্ণ পেলোড পরীক্ষা করে, যা কন্টেন্ট-অ্যাওয়ার ফিল্টারিং সক্ষম করে তবে এতে উল্লেখযোগ্য প্রসেসিং ওভারহেড যুক্ত হয়।

লেটেন্সি এবং হার্ডওয়্যার খরচের কারণে হাই-ডেনসিটি গেস্ট নেটওয়ার্কের জন্য এটি অবাস্তব। আনম্যানেজড ডিভাইস এনভায়রনমেন্টের জন্য DNS ফিল্টারিং একটি চমৎকার বিকল্প।

Threat intelligence feed

পরিচিত ক্ষতিকারক IP অ্যাড্রেস, ডোমেন এবং URL প্যাটার্নের একটি ক্রমাগত আপডেট হওয়া ডেটাবেস, যা রিয়েল-টাইম DNS ফিল্টারিং সিদ্ধান্তগুলো পরিচালনা করতে ব্যবহৃত হয়।

থ্রেট ইন্টেলিজেন্স ফিডের গুণমান এবং আপডেট হওয়ার ফ্রিকোয়েন্সি নির্ধারণ করে যে একটি DNS ফিল্টার নতুন জিরো-ডে থ্রেটের বিরুদ্ধে কত দ্রুত প্রতিক্রিয়া জানাবে।

Zero-day domain

একটি নতুন রেজিস্টার্ড ডোমেন যা কোনো স্ট্যান্ডার্ড ব্লক-লিস্টে আসার আগেই ম্যালওয়্যার বা ফিশিং ক্যাম্পেইনে ব্যবহৃত হয়।

আধুনিক অ্যাটাক ক্যাম্পেইনগুলোতে এমন সব ডোমেন ব্যবহার করা হয় যা ২৪ ঘণ্টারও কম সময় সক্রিয় থাকে। AI-চালিত থ্রেট ডিটেকশন কোনো রিপোর্টের জন্য অপেক্ষা না করে রেজিস্ট্রেশন প্যাটার্ন বিশ্লেষণ করে এই ডোমেনগুলোকে শনাক্ত করে।

সমাধানকৃত উদাহরণসমূহ

একটি ৪০০-রুমের হোটেল চেইন ১২টি প্রপার্টি জুড়ে গেস্ট WiFi ডেপ্লয় করছে। তারা Captive Portal অথেন্টিকেশনের জন্য Microsoft Entra ID ব্যবহার করে এবং তাদের প্রপার্টি ম্যানেজমেন্ট সিস্টেম (PMS) একই ফিজিক্যাল সুইচ ইনফ্রাস্ট্রাকচারে চলে। DNS filtering চালু করার পরে, তিনটি প্রপার্টির অতিথিরা রিপোর্ট করেছেন যে তারা লগইন ফ্লো সম্পন্ন করতে পারছেন না। এর মূল কারণ কী এবং টিমের কীভাবে এটি সমাধান করা উচিত?

মূল কারণটি হলো একটি অসম্পূর্ণ Walled Garden কনফিগারেশন। DNS ফিল্টারটি অতিথিরা অথেন্টিকেট করার আগেই Microsoft Entra ID অথেন্টিকেশন ডোমেনগুলিকে ব্লক করছে, যার ফলে এমন একটি জটিল পরিস্থিতির সৃষ্টি হচ্ছে যেখানে অতিথিরা লগইন পেজ লোড করতে পারছেন না। সমাধানের ধাপসমূহ: ১. DNS filtering ড্যাশবোর্ডে, একটি প্রি-অথেন্টিকেশন পলিসি তৈরি করুন যা login.microsoftonline.com, login.live.com এবং যেকোনো টেন্যান্ট-নির্দিষ্ট ডোমেনসহ সমস্ত Microsoft Entra ID ডোমেনকে স্পষ্টভাবে অনুমোদন করে (allowlist)। ২. যাচাই করুন যে Captive Portal-এর নিজস্ব ডোমেন এবং এটি লোড করা যেকোনো CDN অ্যাসেটও অনুমোদিত। ৩. নিশ্চিত করুন যে PMS VLAN (VLAN ১০) ক্লাউড ফিল্টারিং ইঞ্জিনের পরিবর্তে ইন্টারনাল DNS রিজলভার ব্যবহার করার জন্য কনফিগার করা হয়েছে। ৪. গেস্ট VLAN (VLAN ২০) এ শুধুমাত্র পোস্ট-অথেন্টিকেশন সেশনের জন্য কঠোর কন্টেন্ট ব্লকিং পলিসি প্রয়োগ করুন। ৫. ইনসিডেন্ট বন্ধ করার আগে প্রতিটি প্রভাবিত প্রপার্টিতে সম্পূর্ণ লগইন ফ্লো পরীক্ষা করুন।

পরীক্ষকের মন্তব্য: হসপিটালিটি সেক্টরে এটিই সবচেয়ে সাধারণ DNS filtering ডেপ্লয়মেন্ট ব্যর্থতা। এর সমাধান সহজ কিন্তু এটি বোঝার প্রয়োজন যে DNS filtering কোনো ডিভাইস থেকে আসা সমস্ত DNS কোয়েরিতে প্রযোজ্য হয়, যার মধ্যে অথেন্টিকেশনের আগে করা কোয়েরিগুলিও অন্তর্ভুক্ত। যেকোনো ব্লকিং পলিসি সক্রিয় করার আগে Walled Garden কনফিগার করতে হবে। PMS আইসোলেশন সমস্যাটি একটি সেকেন্ডারি কিন্তু অত্যন্ত গুরুত্বপূর্ণ বিষয় - একই রিজলভারে অপারেশনাল এবং গেস্ট DNS পলিসি মিশ্রিত করা PCI-DSS Requirement ১.৩ এর অধীনে কমপ্লায়েন্সের ঝুঁকি তৈরি করে।

একটি বড় রিটেল চেইন ২০০টি স্টোর পরিচালনা করে, যার প্রতিটিতে একটি গেস্ট WiFi নেটওয়ার্ক রয়েছে। তাদের আইটি সিকিউরিটি টিম একটি ক্লাউড DNS ফিল্টার ডেপ্লয় করে এবং সমস্ত গেস্ট VLAN-এ DHCP স্কোপ আপডেট করে। দুই সপ্তাহ পরে, একটি পেনিট্রেশন টেস্টে দেখা যায় যে ১৮% গেস্ট ডিভাইস সফলভাবে পরিচিত ক্ষতিকারক ডোমেনগুলি রেজলভ করছে। DNS ফিল্টার লগগুলি এই ডিভাইসগুলি থেকে কোনো ব্লকড কোয়েরি দেখায় না। আর্কিটেকচারাল ত্রুটিটি কী এবং এর সমাধান কী?

ত্রুটিটি হলো ফায়ারওয়ালে পোর্ট ৫৩ ব্লক করা হয়নি। ১৮% ডিভাইস হার্ডকোডেড রিজলভার (৮.৮.৮.৮, ১.১.১.১) ব্যবহার করে অথবা DNS over HTTPS ব্যবহার করে DHCP-বরাদ্দকৃত DNS সার্ভারগুলিকে বাইপাস করছে। যেহেতু তাদের DNS কোয়েরিগুলি কখনই ফিল্টারিং ইঞ্জিনে পৌঁছায় না, তাই লগগুলিতে কোনো ব্লকড কোয়েরি প্রদর্শিত হয় না। সমাধান: ১. গেস্ট VLAN গেটওয়েতে একটি ফায়ারওয়াল রুল প্রয়োগ করুন যা অনুমোদিত ফিল্টারিং ইঞ্জিন আইপি ছাড়া অন্য যেকোনো আইপিতে পোর্ট ৫৩-এর সমস্ত আউটবাউন্ড UDP এবং TCP ট্রাফিক ড্রপ করে। ২. এনক্রিপ্টেড বাইপাস প্রতিরোধ করতে ফায়ারওয়ালে প্রধান DoH প্রদানকারীদের (Cloudflare, Google, NextDNS) আইপি রেঞ্জ চিহ্নিত করে ব্লক করুন। ৩. কভারেজ নিশ্চিত করতে পেনিট্রেশন টেস্টটি পুনরায় চালান। ৪. রুলটি সক্রিয় আছে কিনা তা যাচাই করতে পোর্ট ৫৩ ট্রাফিকের জন্য ফায়ারওয়াল ড্রপ লগগুলি পর্যবেক্ষণ করুন।

পরীক্ষকের মন্তব্য: DHCP একটি পরামর্শ মাত্র, এটি কোনো প্রয়োগকারী ব্যবস্থা নয়। ফায়ারওয়াল রুল হলো আসল প্রয়োগকারী স্তর (enforcement layer)। এই পার্থক্যটি অত্যন্ত গুরুত্বপূর্ণ এবং প্রাথমিক ডেপ্লয়মেন্টের সময় প্রায়শই এটি এড়িয়ে যাওয়া হয়। DoH বাইপাস হলো একটি সেকেন্ডারি ভেক্টর যার জন্য আলাদা প্রশমনের প্রয়োজন। একসাথে, এই দুটি নিয়ন্ত্রণ - পোর্ট ৫৩ ব্লকিং এবং DoH প্রদানকারীর আইপি ব্লকিং - প্রাথমিক এভেশন পথগুলি বন্ধ করে দেয়।

অনুশীলনী প্রশ্নসমূহ

Q1. একটি রিটেইল চেইন ১৫০টি স্টোর জুড়ে একটি ক্লাউড DNS ফিল্টার স্থাপন করেছে। তারা ফিল্টারিং ইঞ্জিন IP গুলো অ্যাসাইন করতে সমস্ত গেস্ট VLAN-এ DHCP স্কোপ আপডেট করেছে। এক সপ্তাহ পরে, স্টোর ম্যানেজাররা রিপোর্ট করেন যে কাস্টমাররা এখনও ব্লক করা কন্টেন্ট ক্যাটাগরিগুলো অ্যাক্সেস করতে পারছেন। DNS ফিল্টার ড্যাশবোর্ডে এই স্টোরগুলো থেকে খুব কম কুয়েরি ভলিউম দেখা যাচ্ছে। এর সম্ভাব্য কারণ কী এবং এর সমাধান কী?

ইঙ্গিত: DHCP দ্বারা অ্যাসাইন করা সার্ভার ব্যবহার না করে একটি ডিভাইস কীভাবে DNS রিজলভ করতে পারে তা বিবেচনা করুন।

মডেল উত্তর দেখুন

সবচেয়ে সম্ভাব্য কারণ হলো ফায়ারওয়ালে আউটবাউন্ড পোর্ট 53 ব্লক করা নেই। ডিভাইসগুলো হার্ডকোড করা পাবলিক রিজলভার দিয়ে DHCP-অ্যাসাইন করা DNS সার্ভারগুলোকে ওভাররাইড করছে। ড্যাশবোর্ডে কম কুয়েরি ভলিউম নিশ্চিত করে যে কুয়েরিগুলো ফিল্টারিং ইঞ্জিনে পৌঁছাচ্ছে না। এর সমাধান হলো একটি ফায়ারওয়াল রুল সেট করা যা গেস্ট VLAN থেকে অনুমোদিত ফিল্টারিং ইঞ্জিন IP ছাড়া অন্য যেকোনো IP-তে পোর্ট 53-এর সমস্ত আউটবাউন্ড UDP এবং TCP ট্রাফিক ড্রপ করবে। উপরন্তু, এনক্রিপ্ট করা DNS বাইপাস রোধ করতে পরিচিত DoH প্রোভাইডার IP রেঞ্জগুলো ব্লক করুন।

Q2. একটি কনফারেন্স সেন্টার প্রথমবার DNS filtering স্থাপন করছে। তারা তাদের captive portal-এ অংশগ্রহণকারীদের প্রমাণীকরণের জন্য Google Workspace ব্যবহার করে। পরীক্ষার সময়, অংশগ্রহণকারীরা লগইন প্রক্রিয়া সম্পন্ন করতে পারছেন না - Google সাইন-ইন পেজ লোড হতে ব্যর্থ হচ্ছে। কোন কনফিগারেশন ধাপটি বাদ পড়েছিল এবং কীভাবে এটি সংশোধন করা উচিত?

ইঙ্গিত: ডিভাইসটির ফুল ইন্টারনেট অ্যাক্সেস পাওয়ার আগেই অথেনটিকেশন ঘটে থাকে। অথেনটিকেশন সম্পন্ন হওয়ার আগে কোন ডোমেনগুলোতে পৌঁছানো আবশ্যক?

মডেল উত্তর দেখুন

DNS filtering পলিসি প্রয়োগ করার আগে Walled Garden কনফিগার করা হয়নি। DNS ফিল্টারটি অংশগ্রহণকারীরা প্রমাণীকরণ করার আগেই Google Workspace প্রমাণীকরণ ডোমেনগুলি (accounts.google.com, oauth2.googleapis.com) ব্লক করছে। এর সমাধান হলো DNS filtering পলিসির প্রি-অথেনটিকেশন অ্যালওলিস্টে সমস্ত প্রয়োজনীয় Google Workspace OAuth এবং প্রমাণীকরণ ডোমেন যুক্ত করা। captive portal-এর নিজস্ব ডোমেন এবং যেকোনো CDN অ্যাসেটও অ্যালওলিস্টে রাখতে হবে। কেবল পোস্ট-অথেনটিকেশন সেশনের জন্য সীমাবদ্ধ কনটেন্ট পলিসি প্রয়োগ করুন।

Q3. একটি স্টেডিয়ামের IT টিম তাদের ৬০,০০০-ধারণক্ষমতার ভেন্যুর জন্য DNS filtering বনাম Deep Packet Inspection-এর মূল্যায়ন করছে। নেটওয়ার্ক টিম পিক ইভেন্টের সময় লেটেন্সি নিয়ে চিন্তিত। কোন পদ্ধতিটি বেশি উপযুক্ত এবং কেন?

ইঙ্গিত: ৬০,০০০ সমসাময়িক ব্যবহারকারীর স্কেলে প্রতিটি পদ্ধতির প্রসেসিং ওভারহেডের কথা বিবেচনা করুন।

মডেল উত্তর দেখুন

DNS filtering হলো উপযুক্ত পছন্দ। এটি রেজোলিউশন লেয়ারে কাজ করে, কোনো সংযোগ স্থাপন করার আগেই একটি মাত্র লাইটওয়েট UDP প্যাকেট মূল্যায়ন করে, যার ফলে সমসাময়িক ব্যবহারকারীর সংখ্যা নির্বিশেষে ২ মিলিসেকেন্ডেরও কম লেটেন্সি যোগ হয়। DPI-এর জন্য প্রতিটি প্যাকেটের সম্পূর্ণ পে-লোড পরীক্ষা করা প্রয়োজন, যা ৬০,০০০ সমসাময়িক ব্যবহারকারীর ক্ষেত্রে উল্লেখযোগ্য লেটেন্সি তৈরি করবে এবং প্রতিটি ইন্সপেকশন পয়েন্টে অত্যন্ত ব্যয়বহুল হার্ডওয়্যারের প্রয়োজন হবে। DNS filtering প্রোটোকল-অজ্ঞাতও বটে, যা যেকোনো পোর্টের সংযোগ ব্লক করতে পারে, যেখানে DPI সাধারণত HTTP এবং HTTPS ট্রাফিকের মধ্যে সীমাবদ্ধ থাকে।

Q4. একটি হোটেল গ্রুপের IT ডিরেক্টর নিশ্চিত করতে চান যে তাদের DNS filtering স্থাপনা PCI DSS প্রয়োজনীয়তা পূরণ করে। তাদের পেমেন্ট টার্মিনালগুলি VLAN 10-এ এবং গেস্ট WiFi VLAN 20-এ রয়েছে। DNS ফিল্টারটি কেবল VLAN 20-এ প্রয়োগ করা হয়েছে। তাদের PCI DSS অ্যাসেসরের জন্য আর কী অতিরিক্ত প্রমাণ নথিভুক্ত করা উচিত?

ইঙ্গিত: PCI DSS Requirement 1.3 বিশ্বস্ত এবং অবিশ্বস্ত নেটওয়ার্কগুলির মধ্যে নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল কভার করে।

মডেল উত্তর দেখুন

IT ডিরেক্টরের নথিভুক্ত করা উচিত: ১. ফায়ারওয়াল নিয়মাবলী যা নিশ্চিত করে যে VLAN 10 (কার্ডহোল্ডার ডেটা এনভায়রনমেন্ট) VLAN 20 (গেস্ট নেটওয়ার্ক) থেকে অ্যাক্সেস করা যাবে না, যা PCI DSS Requirement 1.3 পূরণ করে। ২. DHCP কনফিগারেশন যা দেখায় যে VLAN 10 ডিভাইসগুলি অভ্যন্তরীণ DNS রিজলভার ব্যবহার করে, ক্লাউড ফিল্টারিং ইঞ্জিন নয়। ৩. ফায়ারওয়াল নিয়মাবলী যা VLAN 20 থেকে অননুমোদিত IP-তে আউটবাউন্ড পোর্ট ৫৩ ব্লক করে, যা প্রয়োগকৃত DNS filtering প্রদর্শন করে। ৪. DNS ফিল্টার পলিসি ডকুমেন্টেশন যা VLAN 20-এ সক্রিয় ম্যালওয়্যার এবং বটনেট ব্লকিং ক্যাটাগরিগুলি দেখায়। ৫. DNS ফিল্টার লগ যা ব্লক করা কোয়েরি ইভেন্টগুলি দেখায়, যা প্রমাণ করে যে নিয়ন্ত্রণটি সক্রিয় এবং পর্যবেক্ষণ করা হচ্ছে।

এই সিরিজে পড়া চালিয়ে যান

কীভাবে নিরাপদে Staff এবং Guest WiFi নেটওয়ার্ক পৃথক করবেন

এই তথ্যবহুল টেকনিক্যাল গাইডটি IT লিডারদের VLAN এবং 802.1X ব্যবহার করে নিরাপদে staff, guest এবং IoT WiFi নেটওয়ার্ক পৃথক করার জন্য কার্যকর কৌশল প্রদান করে। এটি কীভাবে এন্টারপ্রাইজ ইনফ্রাস্ট্রাকচার সুরক্ষিত করতে হয়, PCI-DSS কমপ্লায়েন্স বজায় রাখতে হয় এবং ফার্স্ট-পার্টি ডেটা সংগ্রহ করার জন্য captive portal ব্যবহার করতে হয় তার বিস্তারিত বিবরণ দেয়।

গাইডটি পড়ুন →

Cisco SUDI বোঝা: Secure Network Access Control-এ হার্ডওয়্যার-অ্যাঙ্কর্ড আইডেন্টিটি

এই নির্দেশিকাটি ব্যাখ্যা করে যে কিভাবে Cisco SUDI এন্টারপ্রাইজ নেটওয়ার্ক পরিকাঠামোর জন্য হার্ডওয়্যার-অ্যাঙ্কর্ড, ক্রিপ্টোগ্রাফিকভাবে সুরক্ষিত আইডেন্টিটি প্রদান করে। আপনার ভেন্যুর নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল সুরক্ষিত করতে সহজে স্পুফ করা যায় এমন MAC অ্যাড্রেসের পরিবর্তে অপরিবর্তনীয় 802.1AR সার্টিফিকেট কিভাবে ব্যবহার করবেন তা জানুন।

গাইডটি পড়ুন →

কীভাবে স্বয়ংক্রিয় এন্টারপ্রাইজ WiFi সার্টিফিকেট এনরোলমেন্টের জন্য SCEP কনফিগার করবেন

এই নির্দেশিকাটি স্বয়ংক্রিয় এন্টারপ্রাইজ WiFi সার্টিফিকেট এনরোলমেন্টের জন্য SCEP (সিম্পল সার্টিফিকেট এনরোলমেন্ট প্রোটোকল) কীভাবে কনফিগার করতে হয় তা ব্যাখ্যা করে, যা PKI এবং NDES থেকে শুরু করে MDM প্রোফাইল ডিপ্লয়মেন্ট এবং RADIUS ভ্যালিডেশন পর্যন্ত সম্পূর্ণ আর্কিটেকচার কভার করে। এটি মূলত হোটেল, রিটেইল চেইন, স্টেডিয়াম, কনফারেন্স সেন্টার এবং পাবলিক-সেক্টর অর্গানাইজেশনের IT ম্যানেজার, নেটওয়ার্ক আর্কিটেক্ট এবং CTO-দের উদ্দেশ্যে তৈরি করা হয়েছে যাদের প্রি-শেয়ার্ড কী-এর বাইরে গিয়ে স্কেলযোগ্য, আইডেন্টিটি-ভিত্তিক 802.1X EAP-TLS অথেন্টিকেশন বাস্তবায়ন করা প্রয়োজন। Purple-এর হার্ডওয়্যার-অ্যাগনস্টিক, ক্লাউড ওভারলে প্ল্যাটফর্ম সরাসরি এই আর্কিটেকচারের সাথে সংহত হয়, যা আপনার সার্টিফিকেট-অথেন্টিকেটেড স্টাফ নেটওয়ার্কের পাশাপাশি গেস্ট এবং BYOD WiFi লেয়ার প্রদান করে।

গাইডটি পড়ুন →