মূল কন্টেন্টে যান
বাংলা

PEAP-MSCHAPv2: কেন এটি এখনও সাধারণ, কেন এটি ঝুঁকিপূর্ণ এবং কীভাবে এগিয়ে যেতে হবে

PEAP-MSCHAPv2-এর জটিল নিরাপত্তা দুর্বলতাগুলোর বিশদ বিবরণ সম্বলিত একটি বিস্তৃত টেকনিক্যাল রেফারেন্স গাইড, যার মধ্যে ইভিল টুইন আক্রমণ এবং ক্রেডেনশিয়াল ক্যাপচার অন্তর্ভুক্ত রয়েছে। এটি আইটি টিমগুলোর জন্য এন্টারপ্রাইজ WiFi নেটওয়ার্কগুলোকে সুরক্ষিত, সার্টিফিকেট-ভিত্তিক EAP-TLS প্রমাণীকরণে মাইগ্রেট করার একটি ব্যবহারিক, ভেন্ডর-নিরপেক্ষ রোডম্যাপ প্রদান করে।

📖 5 মিনিট পাঠ📝 1,170 শব্দ🔧 2 সমাধানকৃত উদাহরণ3 অনুশীলনী প্রশ্ন📚 8 মূল সংজ্ঞা

এই গাইডটি শুনুন

পডকাস্ট ট্রান্সক্রিপ্ট দেখুন
হ্যালো, এবং এই Purple টেকনিক্যাল ব্রিফিংয়ে স্বাগতম। আমি আপনাদের হোস্ট, এবং আজ আমরা এমন একটি বিষয় নিয়ে আলোচনা করছি যা নেটওয়ার্ক আর্কিটেকচার, নিরাপত্তা কমপ্লায়েন্স এবং সত্যি বলতে, লিগ্যাসি টেকনিক্যাল ডেটের সংযোগস্থলে অবস্থিত। আমরা PEAP-MSCHAPv2 নিয়ে কথা বলছি。 বিশেষ করে, আমরা দেখছি কেন এটি এখনও এন্টারপ্রাইজ WiFi-এ সবচেয়ে সাধারণ প্রমাণীকরণ পদ্ধতি, কেন এটি আজকের থ্রেট ল্যান্ডস্কেপে মৌলিকভাবে ঝুঁকিপূর্ণ এবং সবচেয়ে গুরুত্বপূর্ণভাবে, কীভাবে আপনি আপনার প্রতিষ্ঠানকে আরও ভালো কিছুর দিকে বাস্তবসম্মতভাবে এগিয়ে নিতে পারেন。 চলুন প্রেক্ষাপট দিয়ে শুরু করা যাক। আপনি যদি কোনো হোটেল, রিটেইল চেইন বা বড় পাবলিক ভেন্যুর আইটি ডিরেক্টর বা নেটওয়ার্ক আর্কিটেক্ট হন, তবে আপনার স্টাফ WiFi নেটওয়ার্ক—এবং সম্ভবত আপনার কর্পোরেট ডিভাইসগুলো—PEAP-MSCHAPv2 ব্যবহার করে প্রমাণীকরণ করার সম্ভাবনা খুব বেশি। এটি প্রায় দুই দশক ধরে WPA2-Enterprise নেটওয়ার্কগুলোর জন্য ডিফল্ট স্ট্যান্ডার্ড হিসেবে রয়েছে। কেন? কারণ এটি ডিপ্লয় করা অবিশ্বাস্যভাবে সহজ। এটি একটি RADIUS সার্ভারের মাধ্যমে সরাসরি Active Directory-তে হুক করে এবং ব্যবহারকারীরা কেবল তাদের স্ট্যান্ডার্ড Windows ইউজারনেম এবং পাসওয়ার্ড টাইপ করে। পরিচালনা করার জন্য কোনো সার্টিফিকেট নেই, তৈরি করার জন্য কোনো জটিল পাবলিক কি ইনফ্রাস্ট্রাকচার নেই। এটি কেবল কাজ করে。 তবে "কেবল কাজ করা" আর যথেষ্ট নয়। PEAP-MSCHAPv2-এর অন্তর্নিহিত নিরাপত্তা আর্কিটেকচার, স্পষ্টভাবে বলতে গেলে, ভেঙে পড়েছে。 চলুন টেকনিক্যাল বাস্তবতায় ডুব দেওয়া যাক। MSCHAPv2 MD4 হ্যাশিং অ্যালগরিদম এবং DES এনক্রিপশনের উপর নির্ভর করে। এই উভয় ক্রিপ্টোগ্রাফিক স্ট্যান্ডার্ড ১৯৯০-এর দশকে ডিজাইন করা হয়েছিল এবং এক দশকেরও বেশি সময় ধরে দুর্বল বলে বিবেচিত হয়ে আসছে। ২০১২ সালে, DEF CON সিকিউরিটি কনফারেন্সে, গবেষক মক্সি মার্লিনস্পাইক প্রমাণ করেছিলেন যে MSCHAPv2 হ্যান্ডশেক ডিটারমিনিস্টিকভাবে ক্র্যাক করা যেতে পারে। তিনি এমন একটি টুল প্রকাশ করেছিলেন যা ক্র্যাকিং প্রক্রিয়াটিকে একটি একক DES কী ক্র্যাকে নামিয়ে এনেছিল, যার অর্থ হলো পরিমিত কম্পিউটিং শক্তি সম্পন্ন একজন আক্রমণকারী—বা ক্লাউড ক্র্যাকিং পরিষেবাতে অ্যাক্সেস থাকা কেউ—ক্যাপচার করা হ্যান্ডশেক থেকে কয়েক ঘণ্টার মধ্যে, এমনকি কয়েক মিনিটের মধ্যে ব্যবহারকারীর প্লেইনটেক্সট Active Directory পাসওয়ার্ড পুনরুদ্ধার করতে পারে。 তাহলে, একজন আক্রমণকারী বাস্তবে কীভাবে সেই হ্যান্ডশেক ক্যাপচার করে? এটি আমাদের "ইভিল টুইন" (Evil Twin) আক্রমণের দিকে নিয়ে যায়。 একটি কর্পোরেট অফিস বা হোটেলের ব্যাক-অফ-হাউস এলাকার কথা কল্পনা করুন। একজন আক্রমণকারী একটি রোগ অ্যাক্সেস পয়েন্ট নিয়ে প্রবেশ করে—প্রায়শই তাদের ব্যাকপ্যাকে থাকা Wi-Fi Pineapple-এর মতো ছোট কিছু। তারা এই রোগ AP-কে আপনার কর্পোরেট নেটওয়ার্কের মতো হুবহু একই SSID সম্প্রচার করার জন্য কনফিগার করে, ধরুন, "Staff-WiFi"। তারা সিগন্যালের শক্তি বাড়িয়ে দেয় যাতে কাছাকাছি থাকা ডিভাইসগুলো স্বাভাবিকভাবেই আপনার বৈধ অ্যাক্সেস পয়েন্টগুলোর চেয়ে এটিকে পছন্দ করে。 যখন কোনো কর্মীর ল্যাপটপ বা ফোন সংযোগ করার চেষ্টা করে, তখন রোগ AP প্রমাণীকরণকারী হিসেবে কাজ করে এবং আক্রমণকারীর নিয়ন্ত্রিত একটি ফেক RADIUS সার্ভারের দিকে নির্দেশ করে। কর্মীর ডিভাইস PEAP টানেল শুরু করে। এখন, এখানে একটি জটিল ব্যর্থতার পয়েন্ট রয়েছে: এটি আসল কর্পোরেট RADIUS সার্ভারের সাথে কথা বলছে তা নিশ্চিত করতে PEAP ক্লায়েন্ট ডিভাইসের সার্ভারের ডিজিটাল সার্টিফিকেট যাচাই করার উপর নির্ভর করে। তবে, বেশিরভাগ ডিপ্লয়মেন্টে, ক্লায়েন্ট ডিভাইসগুলো হয় ভুলভাবে কনফিগার করা থাকে, অথবা ব্যবহারকারীদের কেবল একটি পপ-আপ দিয়ে প্রম্পট করা হয় যেখানে লেখা থাকে "আপনি কি এই সার্টিফিকেটটি বিশ্বাস করেন?" এবং তারা অনলাইনে যাওয়ার জন্য কেবল "Yes" ক্লিক করে。 একবার সেই ফেক সার্টিফিকেটটি গৃহীত হলে, ডিভাইসটি টানেলের মাধ্যমে MSCHAPv2 চ্যালেঞ্জ-রেসপন্স পাঠায়। আক্রমণকারী এটি ক্যাপচার করে, চলে যায় এবং অফলাইনে হ্যাশটি ক্র্যাক করে। এখন তাদের কাছে বৈধ Active Directory ক্রেডেনশিয়াল রয়েছে, যা তারা আপনার VPN, আপনার ইমেল সিস্টেম বা অন্য কোনো কর্পোরেট পরিষেবাতে লগ ইন করতে ব্যবহার করতে পারে。 এটি কোনো তাত্ত্বিক ঝুঁকি নয়। এটি পেনিট্রেশন টেস্টার এবং ক্ষতিকারক অ্যাক্টর উভয়ের জন্যই একটি স্ট্যান্ডার্ড অপারেশনাল পদ্ধতি। এবং আপনি যদি PCI DSS বা GDPR-এর মতো কমপ্লায়েন্স ফ্রেমওয়ার্কের আওতাভুক্ত হন, তবে একটি আপস করা প্রমাণীকরণ প্রোটোকলের উপর নির্ভর করা একটি উল্লেখযোগ্য দায়বদ্ধতা。 সুতরাং, যদি ঝুঁকি এত বেশি হয়, তবে কেন আমরা সবাই এগিয়ে যাইনি? এর উত্তর সাধারণত অনুভূত জটিলতা এবং লিগ্যাসি হার্ডওয়্যারের মিশ্রণ। PEAP থেকে দূরে সরে যাওয়ার অর্থ হলো সার্টিফিকেট-ভিত্তিক প্রমাণীকরণ, বিশেষ করে EAP-TLS-এর দিকে এগিয়ে যাওয়া। EAP-TLS হলো গোল্ড স্ট্যান্ডার্ড। এর জন্য সার্ভার এবং ক্লায়েন্ট ডিভাইস উভয়কেই একটি বৈধ ডিজিটাল সার্টিফিকেট উপস্থাপন করতে হয়। এখানে কোনো পাসওয়ার্ড প্রেরণ, হ্যাশ বা অন্য কোনোভাবে পাঠানো হয় না। এটি অফলাইন ডিকশনারি আক্রমণের বিরুদ্ধে সম্পূর্ণ অনাক্রম্য এবং ইভিল টুইন আক্রমণের বিরুদ্ধে অত্যন্ত প্রতিরোধী কারণ ক্লায়েন্ট নীরবে যেকোনো ফেক RADIUS সার্ভারকে প্রত্যাখ্যান করবে যার কাছে আপনার বিশ্বস্ত সার্টিফিকেট অথরিটি দ্বারা স্বাক্ষরিত কোনো সার্টিফিকেট নেই。 তবে EAP-TLS ডিপ্লয় করার অর্থ হলো আপনার একটি পাবলিক কি ইনফ্রাস্ট্রাকচার বা PKI প্রয়োজন। আপনার ফ্লিটের প্রতিটি ল্যাপটপ, ফোন এবং ট্যাবলেটে সার্টিফিকেট তৈরি এবং নিরাপদে বিতরণ করার জন্য আপনার একটি উপায় প্রয়োজন। পাঁচ বছর আগে, একটি Microsoft Active Directory Certificate Services ইনফ্রাস্ট্রাকচার তৈরি করা একটি কঠিন, ব্যয়বহুল প্রকল্প ছিল。 তবে আজ, দৃশ্যপট পরিবর্তিত হয়েছে। ইমপ্লিমেন্টেশন পথটি অনেক বেশি পরিষ্কার。 আপনি যদি মাইগ্রেশনের পরিকল্পনা করে থাকেন, তবে এখানে একটি বাস্তবসম্মত পদ্ধতি রয়েছে যা আমরা Purple-এ আমাদের ক্লায়েন্টদের সুপারিশ করি。 প্রথমত, আপনাকে হার্ড কাটওভার করতে হবে না। আধুনিক RADIUS সার্ভারগুলো—তা Cisco ISE, Aruba ClearPass বা ক্লাউড-নেটিভ সলিউশন যাই হোক না কেন—আপনাকে একই SSID-তে একই সাথে PEAP-MSCHAPv2 এবং EAP-TLS চালানোর অনুমতি দেয়。 প্রথম ধাপ হলো আপনার PKI ডিপ্লয় করা। আপনাকে আর এটি অন-প্রিমিসে তৈরি করার প্রয়োজন নেই। ক্লাউড PKI সলিউশনগুলো সরাসরি আপনার আইডেন্টিটি প্রোভাইডার—যেমন Entra ID বা Google Workspace—এবং আপনার মোবাইল ডিভাইস ম্যানেজমেন্ট প্ল্যাটফর্ম যেমন Intune বা Jamf-এর সাথে ইন্টিগ্রেট করে。 দ্বিতীয় ধাপ হলো আপনার ম্যানেজড ডিভাইসগুলোতে নীরবে ক্লায়েন্ট সার্টিফিকেট পুশ করতে আপনার MDM ব্যবহার করা। আপনি EAP-TLS পছন্দ করার জন্য MDM-এর মাধ্যমে WiFi প্রোফাইল কনফিগার করতে পারেন। এর মানে হলো আপনার কর্পোরেট ল্যাপটপগুলো কোনো ব্যবহারকারীর ইন্টারঅ্যাকশন ছাড়াই স্বয়ংক্রিয়ভাবে সুরক্ষিত, সার্টিফিকেট-ভিত্তিক পদ্ধতিতে স্যুইচ করবে。 তৃতীয় ধাপ হলো ট্রানজিশন পর্যায়। আপনি আপনার RADIUS লগগুলো মনিটর করুন। আপনি দেখতে পাবেন যে আপনার ম্যানেজড ডিভাইসগুলো EAP-TLS-এর মাধ্যমে প্রমাণীকরণ করছে, যখন আনম্যানেজড বা লিগ্যাসি ডিভাইসগুলো PEAP ব্যবহার করা চালিয়ে যাচ্ছে。 এটি আমাদের সাধারণ সমস্যায় নিয়ে আসে: লিগ্যাসি ডিভাইস। আপনার গুদামে থাকা দশ বছরের পুরোনো বারকোড স্ক্যানার, বা পুরোনো পয়েন্ট-অফ-সেল টার্মিনালগুলো নিয়ে আপনি কী করবেন যা কেবল EAP-TLS সমর্থন করে না? এর সমাধান হলো সেগমেন্টেশন। সর্বনিম্ন সাধারণ ডিনোমিনেটরকে সামঞ্জস্য করতে আপনার প্রাথমিক স্টাফ নেটওয়ার্কের নিরাপত্তা কখনোই কমানো উচিত নয়। এর পরিবর্তে, সেই লিগ্যাসি ডিভাইসগুলোকে একটি ডেডিকেটেড VLAN-এ আইসোলেট করুন। আপনি কঠোর নেটওয়ার্ক অ্যাক্সেস কন্ট্রোলের সাথে যুক্ত MAC-ভিত্তিক প্রমাণীকরণ ব্যবহার করতে পারেন, এটি নিশ্চিত করে যে সেই ডিভাইসগুলো শুধুমাত্র তাদের প্রয়োজনীয় নির্দিষ্ট অভ্যন্তরীণ সার্ভারগুলোর সাথেই কথা বলতে পারে এবং অন্য কিছুর সাথে নয়。 একবার আপনার ম্যানেজড ফ্লিট সম্পূর্ণভাবে EAP-TLS-এ মাইগ্রেট হয়ে গেলে, আপনি অবশেষে আপনার মূল কর্পোরেট SSID-তে PEAP-MSCHAPv2 নিষ্ক্রিয় করতে পারেন, যা দুর্বলতার উইন্ডোটি চিরতরে বন্ধ করে দেয়。 আইটি ডিরেক্টরদের কাছ থেকে আমরা যে সাধারণ প্রশ্নগুলো পাই তার উপর ভিত্তি করে চলুন একটি দ্রুত র‍্যাপিড-ফায়ার প্রশ্নোত্তর পর্ব করি。 প্রশ্ন এক: "WPA3 কি PEAP-MSCHAPv2 সমস্যার সমাধান করে?" উত্তর: না। WPA3 ওভার-দ্য-এয়ার এনক্রিপশন উন্নত করে, কিন্তু অন্তর্নিহিত EAP প্রমাণীকরণ পদ্ধতি একই থাকে। আপনি যদি PEAP-MSCHAPv2-এর সাথে WPA3-Enterprise ব্যবহার করেন, তবে ক্লায়েন্ট যদি কঠোরভাবে সার্ভার সার্টিফিকেট ভ্যালিডেট না করে তবে আপনি এখনও ইভিল টুইনের মাধ্যমে ক্রেডেনশিয়াল ক্যাপচারের জন্য ঝুঁকিপূর্ণ。 প্রশ্ন দুই: "EAP-TTLS সম্পর্কে কী বলবেন?" উত্তর: EAP-TTLS PEAP-এর চেয়ে ভালো কারণ এটি প্রমাণীকরণকে টানেল করে, প্রায়শই MSCHAPv2-এর পরিবর্তে PAP ব্যবহার করে, যা MSCHAPv2-এর নির্দিষ্ট ক্রিপ্টোগ্রাফিক দুর্বলতাগুলো এড়িয়ে যায়। তবে, এটি এখনও পাসওয়ার্ডের উপর নির্ভর করে এবং সার্ভার সার্টিফিকেট ভ্যালিডেট না হলে এটি এখনও ঝুঁকিপূর্ণ। এটি একটি পদক্ষেপ মাত্র, তবে EAP-TLS-ই চূড়ান্ত লক্ষ্য হওয়া উচিত。 প্রশ্ন তিন: "এটি আমাদের Purple গেস্ট WiFi-কে কীভাবে প্রভাবিত করে?" উত্তর: এটি সরাসরি প্রভাবিত করে না। গেস্ট WiFi সাধারণত Captive Portal বা WPA2/3-Personal সহ ওপেন নেটওয়ার্ক ব্যবহার করে, যা আপনার 802.1X এন্টারপ্রাইজ প্রমাণীকরণ থেকে আলাদা। তবে, আপনার ব্যাক-অফ-হাউস নেটওয়ার্ক সুরক্ষিত করা আপনার গেস্ট পরিষেবা এবং অ্যানালিটিক্স প্ল্যাটফর্মসহ আপনার সমস্ত ভেন্যু অপারেশনকে সমর্থনকারী ইনফ্রাস্ট্রাকচার রক্ষার জন্য অত্যন্ত গুরুত্বপূর্ণ。 সংক্ষেপে বলতে গেলে: PEAP-MSCHAPv2 আমাদের ভালোভাবে পরিষেবা দিয়েছে, কিন্তু এর সময় পেরিয়ে গেছে। ক্রিপ্টোগ্রাফিক ত্রুটিগুলো সর্বজনীন, এবং আক্রমণ টুলগুলো স্বয়ংক্রিয়। EAP-TLS-এ মাইগ্রেশন আর কোনো ব্লিডিং-এজ প্রকল্প নয়; এটি একটি স্ট্যান্ডার্ড, অর্জনযোগ্য আপগ্রেড, যা আধুনিক MDM এবং ক্লাউড PKI সলিউশনগুলোর দ্বারা উল্লেখযোগ্যভাবে সহজতর হয়েছে。 কিছুই না করার ঝুঁকি—একটি আপস করা Active Directory পাসওয়ার্ড যা একটি বৃহত্তর নেটওয়ার্ক ব্রিচের দিকে পরিচালিত করে—মাইগ্রেশনের অপারেশনাল প্রচেষ্টার চেয়ে অনেক বেশি। আজই আপনার RADIUS লগগুলোর একটি অডিট দিয়ে শুরু করুন, আপনার লিগ্যাসি ডিভাইসগুলো শনাক্ত করুন এবং সার্টিফিকেট-ভিত্তিক প্রমাণীকরণে আপনার ট্রানজিশন ম্যাপ করা শুরু করুন。 এই Purple টেকনিক্যাল ব্রিফিং শোনার জন্য আপনাকে ধন্যবাদ। আরও বিস্তারিত ডিপ্লয়মেন্ট গাইড এবং আর্কিটেকচার ডায়াগ্রামের জন্য, এই পডকাস্টের সাথে থাকা সম্পূর্ণ টেকনিক্যাল রেফারেন্স গাইডটি পড়তে ভুলবেন না।

header_image.png

এক্সিকিউটিভ সামারি

সুস্পষ্ট ক্রিপ্টোগ্রাফিক দুর্বলতা থাকা সত্ত্বেও, হসপিটালিটি, রিটেইল এবং পাবলিক সেক্টর জুড়ে এন্টারপ্রাইজ WiFi প্রমাণীকরণের জন্য PEAP-MSCHAPv2 এখনও সর্বাধিক ব্যবহৃত EAP পদ্ধতি। এর অব্যাহত প্রসারের কারণ হলো এর সহজ ডিপ্লয়মেন্ট—বিশেষ করে Active Directory-এর সাথে এর নেটিভ ইন্টিগ্রেশন—নিরাপত্তা কার্যকারিতা নয়। তবে, ঝুঁকির মাত্রা নাটকীয়ভাবে পরিবর্তিত হয়েছে। স্বয়ংক্রিয় এক্সপ্লয়টেশন টুলগুলো "ইভিল টুইন" (evil twin) আক্রমণকে সহজলভ্য করে তুলেছে, যা থ্রেট অ্যাক্টরদের খুব সহজেই MSCHAPv2 চ্যালেঞ্জ-রেসপন্স হ্যাশ ক্যাপচার এবং ক্র্যাক করার সুযোগ দেয়, যার ফলে সরাসরি Active Directory ক্রেডেনশিয়ালগুলো আপস করা হয়।

আইটি ডিরেক্টর এবং নেটওয়ার্ক আর্কিটেক্টদের জন্য নির্দেশিকাটি স্পষ্ট: PCI DSS বা GDPR-এর মতো কমপ্লায়েন্স ফ্রেমওয়ার্কের আওতাভুক্ত কোনো পরিবেশেই PEAP-MSCHAPv2 আর উপযুক্ত নয়। এই গাইডটি PEAP-MSCHAPv2-কে লক্ষ্য করে পরিচালিত নির্দিষ্ট আক্রমণ ভেক্টরগুলোর একটি সমালোচনামূলক বিশ্লেষণ প্রদান করে এবং EAP-TLS-এ স্থানান্তরের একটি বাস্তবসম্মত, পর্যায়ক্রমিক মাইগ্রেশন পথ রূপরেখা দেয়। আধুনিক মোবাইল ডিভাইস ম্যানেজমেন্ট (MDM) এবং ক্লাউড পাবলিক কি ইনফ্রাস্ট্রাকচার (PKI) সলিউশনগুলো ব্যবহার করে, প্রতিষ্ঠানগুলো ব্যবসায়িক কার্যক্রমে ব্যাঘাত না ঘটিয়ে বা লিগ্যাসি ডিভাইসগুলোকে বিচ্ছিন্ন না করেই শক্তিশালী, সার্টিফিকেট-ভিত্তিক প্রমাণীকরণে রূপান্তরিত হতে পারে।

টেকনিক্যাল ডিপ-ডাইভ: দুর্বলতার অ্যানাটমি

কেন PEAP-MSCHAPv2 বাতিল করা উচিত তা বুঝতে হলে এর অন্তর্নিহিত ক্রিপ্টোগ্রাফিক আর্কিটেকচার পরীক্ষা করতে হবে। MSCHAPv2 (Microsoft Challenge Handshake Authentication Protocol version 2) ১৯৯০-এর দশকের শেষের দিকে ডিজাইন করা হয়েছিল এবং এটি MD4 হ্যাশিং অ্যালগরিদম এবং ডেটা এনক্রিপশন স্ট্যান্ডার্ড (DES) [1]-এর উপর নির্ভর করে। আধুনিক ক্রিপ্টোগ্রাফিক মানদণ্ড অনুযায়ী উভয়কেই সেকেলে বলে মনে করা হয়।

ক্রিপ্টোগ্রাফিক ত্রুটি

মৌলিক দুর্বলতাটি হলো MSCHAPv2 কীভাবে ব্যবহারকারীর পাসওয়ার্ডের NT হ্যাশ পরিচালনা করে। প্রোটোকলটি NT হ্যাশ থেকে প্রাপ্ত একটি ২১-বাইট কী-কে তিনটি ৭-বাইট DES কী-তে বিভক্ত করে। সবচেয়ে গুরুত্বপূর্ণ বিষয় হলো, তৃতীয় কী-টি হ্যাশের শুধুমাত্র দুটি উল্লেখযোগ্য বাইট ব্যবহার করে এবং বাকি অংশ নাল (null) বাইট দিয়ে পূরণ করে। এই কাঠামোগত ত্রুটি ক্রিপ্টোগ্রাফিক জটিলতাকে সূচকীয়ভাবে হ্রাস করে।

২০১২ সালে, নিরাপত্তা গবেষক মক্সি মার্লিনস্পাইক (Moxie Marlinspike) প্রমাণ করেছিলেন যে MSCHAPv2 হ্যান্ডশেককে একটি একক DES কী ক্র্যাকে নামিয়ে এনে ডিটারমিনিস্টিকভাবে ক্র্যাক করা সম্ভব [2]। ক্লাউড-ভিত্তিক ক্র্যাকিং পরিষেবা বা হ্যাশক্যাট (hashcat)-এর মতো টুল চালানো আধুনিক GPU রিগ ব্যবহার করে, একজন আক্রমণকারী পাসওয়ার্ডের জটিলতা নির্বিশেষে মাত্র কয়েক ঘণ্টার মধ্যে একটি ক্যাপচার করা হ্যান্ডশেক থেকে প্লেইনটেক্সট Active Directory পাসওয়ার্ড পুনরুদ্ধার করতে পারে।

ইভিল টুইন অ্যাটাক ভেক্টর

ক্রিপ্টোগ্রাফিক দুর্বলতাটি "ইভিল টুইন" (evil twin) আক্রমণের মাধ্যমে বাস্তবে শোষিত হয়। একটি কর্পোরেট অফিস বা হসপিটালিটি ভেন্যুতে একটি সাধারণ পরিস্থিতিতে:

১. রোগ AP ডিপ্লয়মেন্ট: আক্রমণকারী টার্গেট কর্পোরেট SSID (যেমন, "Staff-WiFi") সম্প্রচারকারী একটি রোগ (rogue) অ্যাক্সেস পয়েন্ট স্থাপন করে। ২. সিগন্যাল ডমিন্যান্স: রোগ AP উচ্চতর ট্রান্সমিট পাওয়ারে কাজ করে, যা কাছাকাছি থাকা ক্লায়েন্ট ডিভাইসগুলোকে বৈধ ইনফ্রাস্ট্রাকচারের পরিবর্তে এর সাথে যুক্ত হতে বাধ্য করে। ৩. ফেক RADIUS প্রমাণীকরণ: ক্লায়েন্ট যখন PEAP টানেল শুরু করে, তখন রোগ AP রিকোয়েস্টটিকে আক্রমণকারী-নিয়ন্ত্রিত একটি RADIUS সার্ভারে (যেমন hostapd-wpe) প্রক্সি করে। ৪. সার্টিফিকেট ভ্যালিডেশন ব্যর্থতা: রোগ RADIUS সার্ভার একটি সেলফ-সাইন্ড বা যাচাই না করা ডিজিটাল সার্টিফিকেট উপস্থাপন করে। যদি ক্লায়েন্ট ডিভাইসটি কঠোর সার্ভার সার্টিফিকেট ভ্যালিডেশন বাইপাস করার জন্য ভুলভাবে কনফিগার করা থাকে—বা ব্যবহারকারী যদি ট্রাস্ট প্রম্পটে কেবল "Accept" ক্লিক করেন—তবে টানেলটি প্রতিষ্ঠিত হয়। ৫. ক্রেডেনশিয়াল ক্যাপচার: ক্লায়েন্ট আপস করা টানেলের মাধ্যমে MSCHAPv2 চ্যালেঞ্জ-রেসপন্স প্রেরণ করে। আক্রমণকারী হ্যাশটি ক্যাপচার করে এবং সংযোগটি বিচ্ছিন্ন করে দেয়。

evil_twin_attack_diagram.png

এন্ডপয়েন্ট স্তরে কঠোর সার্ভার সার্টিফিকেট ভ্যালিডেশন প্রয়োগ না করা হলে, PEAP-MSCHAPv2 ব্যবহার করা প্রতিটি ডিভাইস এই ক্রেডেনশিয়াল ক্যাপচার কৌশলের কাছে ঝুঁকিপূর্ণ। এটি বিশেষ করে রিটেইল পরিবেশের জন্য উদ্বেগজনক, যেখানে ব্যাক-অফিস নেটওয়ার্কগুলো প্রায়শই পাবলিক স্পেসের কাছাকাছি থাকে।

ইমপ্লিমেন্টেশন গাইড: EAP-TLS-এ মাইগ্রেট করা

MSCHAPv2 দুর্বলতাগুলোর চূড়ান্ত প্রশমন হলো EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)-এ মাইগ্রেট করা। EAP-TLS মিউচুয়াল অথেনটিকেশন বাধ্যতামূলক করে: RADIUS সার্ভার এবং ক্লায়েন্ট ডিভাইস উভয়কেই অবশ্যই বৈধ ডিজিটাল সার্টিফিকেট উপস্থাপন করতে হবে। যেহেতু হ্যান্ডশেকের সময় কোনো পাসওয়ার্ড প্রেরণ বা হ্যাশ করা হয় না, তাই EAP-TLS অফলাইন ডিকশনারি আক্রমণের বিরুদ্ধে সম্পূর্ণ অনাক্রম্য এবং ইভিল টুইন স্পুফিংয়ের বিরুদ্ধে অত্যন্ত প্রতিরোধী।

ঐতিহাসিকভাবে, EAP-TLS গ্রহণের ক্ষেত্রে প্রধান বাধা ছিল একটি অন-প্রিমিস পাবলিক কি ইনফ্রাস্ট্রাকচার (PKI) ডিপ্লয় করার জটিলতা। বর্তমানে, ক্লাউড PKI এবং আধুনিক MDM ইন্টিগ্রেশনগুলো এই প্রক্রিয়াটিকে সহজতর করেছে।

পর্যায় ১: অডিট এবং ইনভেন্টরি

প্রমাণীকরণ নীতি পরিবর্তন করার আগে, আপনার বর্তমান RADIUS লগগুলোর (যেমন, Cisco ISE, Aruba ClearPass, বা Windows NPS) একটি বিস্তৃত অডিট পরিচালনা করুন। বর্তমানে PEAP-এর মাধ্যমে প্রমাণীকরণ করা সমস্ত ডিভাইস শনাক্ত করুন। এই ডিভাইসগুলোকে দুটি গ্রুপে ভাগ করুন:

  • ম্যানেজড ডিভাইস: MDM প্ল্যাটফর্মে (যেমন, Intune, Jamf) এনরোল করা কর্পোরেট ল্যাপটপ, ট্যাবলেট এবং স্মার্টফোন।
  • আনম্যানেজড/লিগ্যাসি ডিভাইস: IoT সেন্সর, পুরোনো পয়েন্ট-অফ-সেল টার্মিনাল, বারকোড স্ক্যানার, বা BYOD ডিভাইস যা সার্টিফিকেট এনরোলমেন্ট সমর্থন করতে পারে না।

পর্যায় ২: PKI ডিপ্লয়মেন্ট এবং RADIUS কনফিগারেশন

ক্লায়েন্ট এবং সার্ভার সার্টিফিকেট ইস্যু করার জন্য একটি PKI সলিউশন ডিপ্লয় করুন। ক্লাউড-নেটিভ PKI প্ল্যাটফর্মগুলো সরাসরি Entra ID বা Google Workspace-এর সাথে ইন্টিগ্রেট করতে পারে, যা ভারী অন-প্রিমিস Microsoft AD CS ফুটপ্রিন্টের প্রয়োজনীয়তা দূর করে। EAP-TLS প্রমাণীকরণ গ্রহণ করার জন্য আপনার RADIUS সার্ভার কনফিগার করুন। সবচেয়ে গুরুত্বপূর্ণ হলো, ট্রানজিশন পিরিয়ডের সময় একই SSID-তে একই সাথে PEAP এবং EAP-TLS উভয়কেই সমর্থন করার জন্য নেটওয়ার্ক পলিসি কনফিগার করুন।

eap_comparison_chart.png

পর্যায় ৩: MDM-এর মাধ্যমে সার্টিফিকেট ডিস্ট্রিবিউশন

SCEP (Simple Certificate Enrollment Protocol)-এর মতো প্রোটোকল ব্যবহার করে ম্যানেজড ডিভাইসগুলোতে নীরবে ক্লায়েন্ট সার্টিফিকেট বিতরণ করতে আপনার MDM প্ল্যাটফর্মটি কাজে লাগান। একই সাথে, MDM-এর মাধ্যমে একটি আপডেট করা WiFi প্রোফাইল পেলোড পুশ করুন যা ডিভাইসগুলোকে কর্পোরেট SSID-এর জন্য EAP-TLS-কে অগ্রাধিকার দেওয়ার নির্দেশ দেয়। এটি এন্ড-ইউজারদের জন্য একটি জিরো-টাচ ট্রানজিশন নিশ্চিত করে।

পর্যায় ৪: লিগ্যাসি ডিভাইসগুলো পরিচালনা করা

যেসব লিগ্যাসি ডিভাইস EAP-TLS সমর্থন করতে পারে না, তাদের কখনোই প্রাথমিক কর্পোরেট নেটওয়ার্কের নিরাপত্তা ব্যবস্থা নির্ধারণ করা উচিত নয়। এর পরিবর্তে, এই ডিভাইসগুলোকে একটি ডেডিকেটেড VLAN-এ সেগমেন্ট করুন। কঠোর অ্যাক্সেস কন্ট্রোল লিস্ট (ACLs)-এর সাথে যুক্ত MAC-ভিত্তিক অথেনটিকেশন বাইপাস (MAB) প্রয়োগ করুন যাতে এই ডিভাইসগুলো শুধুমাত্র তাদের কাজের জন্য প্রয়োজনীয় নির্দিষ্ট অভ্যন্তরীণ সার্ভারগুলোর সাথেই যোগাযোগ করতে পারে।

migration_roadmap.png

বেস্ট প্র্যাকটিস এবং কমপ্লায়েন্স

একটি সুরক্ষিত এন্টারপ্রাইজ ওয়্যারলেস পরিবেশ বজায় রাখার জন্য শিল্পের মানদণ্ডগুলো ধারাবাহিকভাবে মেনে চলা প্রয়োজন।

  • সার্ভার সার্টিফিকেট ভ্যালিডেশন প্রয়োগ করুন: যদি আপনাকে সাময়িকভাবে PEAP-MSCHAPv2 বজায় রাখতে হয়, তবে সমস্ত এন্ডপয়েন্টে কঠোর সার্ভার সার্টিফিকেট পিনিং প্রয়োগ করতে MDM ব্যবহার করুন। ব্যবহারকারীদের ম্যানুয়ালি অজানা সার্টিফিকেট বিশ্বাস করা থেকে বিরত রাখুন।
  • WPA2-Personal বাতিল করুন: নিশ্চিত করুন যে সমস্ত কর্পোরেট অ্যাক্সেস 802.1X (WPA2/WPA3-Enterprise)-এর উপর নির্ভর করে। প্রি-শেয়ার্ড কী (PSK) কঠোরভাবে আইসোলেটেড IoT নেটওয়ার্কগুলোর মধ্যে সীমাবদ্ধ রাখা উচিত।
  • PCI DSS-এর সাথে সামঞ্জস্যতা: পেমেন্ট প্রসেস করা ভেন্যুগুলোর জন্য, PCI DSS রিকোয়ারমেন্ট ৪ ওয়্যারলেস নেটওয়ার্কের মাধ্যমে কার্ডহোল্ডার ডেটা প্রেরণের জন্য শক্তিশালী ক্রিপ্টোগ্রাফি বাধ্যতামূলক করে। PCI সিকিউরিটি স্ট্যান্ডার্ডস কাউন্সিল শক্তিশালী প্রমাণীকরণের জন্য স্পষ্টভাবে EAP-TLS-এর সুপারিশ করে [3]।
  • অ্যানালিটিক্স মনিটর করুন: নেটওয়ার্কের স্বাস্থ্য পর্যবেক্ষণ করতে, অস্বাভাবিক সংযোগের ধরন শনাক্ত করতে এবং লিগ্যাসি ডিভাইসগুলো সীমাবদ্ধ সাবনেটগুলোতে অ্যাক্সেস করার চেষ্টা করছে না তা নিশ্চিত করতে Purple-এর WiFi Analytics -এর মতো প্ল্যাটফর্মগুলো ব্যবহার করুন।

ROI এবং ব্যবসায়িক প্রভাব

EAP-TLS-এ মাইগ্রেট করার রিটার্ন অন ইনভেস্টমেন্ট (ROI) মূলত ঝুঁকি প্রশমনের মাধ্যমে পরিমাপ করা হয়। PEAP-MSCHAPv2-এর বিরুদ্ধে একটি সফল ইভিল টুইন আক্রমণ বৈধ Active Directory ক্রেডেনশিয়াল প্রদান করে, যা থ্রেট অ্যাক্টরদের কর্পোরেট নেটওয়ার্কে প্রাথমিক অ্যাক্সেস দেয়। এর ফলে সৃষ্ট ডেটা ব্রিচ, র‍্যানসমওয়্যার ডিপ্লয়মেন্ট বা নিয়ন্ত্রক জরিমানার (যেমন GDPR-এর অধীনে) আর্থিক প্রভাব একটি ক্লাউড PKI ডিপ্লয় করা এবং MDM প্রোফাইল আপডেট করার অপারেশনাল খরচের চেয়ে অনেক বেশি।

অধিকন্তু, সার্টিফিকেট-ভিত্তিক প্রমাণীকরণ পাসওয়ার্ডের মেয়াদোত্তীর্ণ এবং লকআউট সম্পর্কিত হেল্পডেস্ক টিকিটের পরিমাণ উল্লেখযোগ্যভাবে হ্রাস করে। EAP-TLS-এ স্থানান্তরের মাধ্যমে, আইটি টিমগুলো পাসওয়ার্ড-ভিত্তিক WiFi অ্যাক্সেসের ঘর্ষণ দূর করে, একটি নিরবচ্ছিন্ন, সুরক্ষিত কানেক্টিভিটি অভিজ্ঞতা প্রদান করে যা আধুনিক জিরো-ট্রাস্ট নেটওয়ার্ক আর্কিটেকচারকে সমর্থন করে।

রেফারেন্স

[১] মাইক্রোসফট সিকিউরিটি রেসপন্স সেন্টার। "Weaknesses in MS-CHAPv2 authentication।" আগস্ট ২০১২। [২] মার্লিনস্পাইক, মক্সি। "Defeating PPTP VPNs and WPA2 Enterprise with MS-CHAPv2।" DEF CON 20, 2012। [৩] PCI সিকিউরিটি স্ট্যান্ডার্ডস কাউন্সিল। "Information Supplement: PCI DSS Wireless Guidelines।"

মূল সংজ্ঞাসমূহ

PEAP (Protected Extensible Authentication Protocol)

একটি EAP পদ্ধতি যা ওভার-দ্য-এয়ার ইন্টারসেপ্ট হওয়া থেকে অভ্যন্তরীণ প্রমাণীকরণ ক্রেডেনশিয়ালগুলোকে রক্ষা করতে একটি সুরক্ষিত TLS টানেলের মধ্যে প্রমাণীকরণ প্রক্রিয়াকে এনক্যাপসুলেট করে।

ব্যাপকভাবে ব্যবহৃত হয় কারণ এতে শুধুমাত্র সার্ভার-সাইড সার্টিফিকেটের প্রয়োজন হয়, যা মিউচুয়ালি অথেনটিকেটেড পদ্ধতির চেয়ে ডিপ্লয় করা সহজ করে তোলে।

MSCHAPv2

PEAP টানেলের ভিতরে সাধারণত ব্যবহৃত অভ্যন্তরীণ প্রমাণীকরণ প্রোটোকল, যা ব্যবহারকারীর পাসওয়ার্ডের NT হ্যাশ ব্যবহার করে একটি চ্যালেঞ্জ-রেসপন্স মেকানিজমের উপর নির্ভর করে।

সেকেলে MD4 হ্যাশিং এবং DES এনক্রিপশনের উপর নির্ভরতার কারণে PEAP ডিপ্লয়মেন্টে দুর্বলতার প্রাথমিক উৎস।

EAP-TLS

একটি EAP পদ্ধতি যার জন্য মিউচুয়াল অথেনটিকেশন প্রয়োজন, যেখানে RADIUS সার্ভার এবং ক্লায়েন্ট ডিভাইস উভয়ই তাদের পরিচয় প্রমাণ করার জন্য ডিজিটাল সার্টিফিকেট উপস্থাপন করে।

এন্টারপ্রাইজ WiFi নিরাপত্তার জন্য ইন্ডাস্ট্রির গোল্ড স্ট্যান্ডার্ড, যা অফলাইন ডিকশনারি এবং ইভিল টুইন আক্রমণের বিরুদ্ধে অনাক্রম্য।

ইভিল টুইন অ্যাটাক (Evil Twin Attack)

একটি ওয়্যারলেস আক্রমণ যেখানে একটি রোগ অ্যাক্সেস পয়েন্ট ক্লায়েন্ট ডিভাইসগুলোকে সংযোগ করতে প্রতারিত করার জন্য একটি বৈধ কর্পোরেট SSID অনুকরণ করে, যা আক্রমণকারীকে ট্রাফিক ইন্টারসেপ্ট করতে বা প্রমাণীকরণ ক্রেডেনশিয়াল ক্যাপচার করতে দেয়।

দুর্বল PEAP ডিপ্লয়মেন্ট থেকে MSCHAPv2 হ্যান্ডশেক ক্যাপচার করতে আক্রমণকারীদের দ্বারা ব্যবহৃত প্রাথমিক ভেক্টর।

RADIUS (Remote Authentication Dial-In User Service)

একটি নেটওয়ার্কিং প্রোটোকল যা নেটওয়ার্ক পরিষেবার সাথে সংযোগকারী এবং ব্যবহারকারী ব্যবহারকারীদের জন্য কেন্দ্রীভূত অথেনটিকেশন, অথরাইজেশন এবং অ্যাকাউন্টিং (AAA) ম্যানেজমেন্ট প্রদান করে।

মূল সার্ভার ইনফ্রাস্ট্রাকচার (যেমন Cisco ISE বা NPS) যা অ্যাক্সেস পয়েন্টগুলো থেকে 802.1X প্রমাণীকরণ রিকোয়েস্টগুলো প্রক্রিয়া করে।

PKI (Public Key Infrastructure)

ডিজিটাল সার্টিফিকেট তৈরি, পরিচালনা, বিতরণ, ব্যবহার, সংরক্ষণ এবং বাতিল করার জন্য প্রয়োজনীয় ভূমিকা, নীতি, হার্ডওয়্যার, সফ্টওয়্যার এবং পদ্ধতিগুলোর একটি সেট।

EAP-TLS ডিপ্লয় করার জন্য প্রয়োজনীয় মৌলিক ইনফ্রাস্ট্রাকচার, যা ক্রমবর্ধমানভাবে ক্লাউড-নেটিভ SaaS প্ল্যাটফর্মের মাধ্যমে সরবরাহ করা হয়।

MDM (Mobile Device Management)

সফ্টওয়্যার যা আইটি অ্যাডমিনিস্ট্রেটরদের স্মার্টফোন, ট্যাবলেট এবং এন্ডপয়েন্টগুলোতে নিয়ন্ত্রণ, সুরক্ষা এবং নীতি প্রয়োগ করতে দেয়।

EAP-TLS মাইগ্রেশনের জন্য অপরিহার্য, কারণ এটি কর্পোরেট ডিভাইসগুলোতে নীরবে ক্লায়েন্ট সার্টিফিকেট এবং কঠোর WiFi প্রোফাইল পুশ করতে ব্যবহৃত হয়।

MAB (MAC Authentication Bypass)

একটি পোর্ট-ভিত্তিক অ্যাক্সেস কন্ট্রোল পদ্ধতি যা ব্যবহারকারীর নাম/পাসওয়ার্ড বা সার্টিফিকেটের প্রয়োজনের পরিবর্তে ডিভাইসগুলোকে তাদের MAC ঠিকানার উপর ভিত্তি করে প্রমাণীকরণ করে।

লিগ্যাসি 'হেডলেস' ডিভাইসগুলোকে (যেমন প্রিন্টার) প্রমাণীকরণ করার জন্য একটি ফলব্যাক মেকানিজম হিসেবে ব্যবহৃত হয় যা 802.1X প্রোটোকল সমর্থন করতে পারে না।

সমাধানকৃত উদাহরণসমূহ

একটি ৪০০-রুমের হোটেল চেইন বর্তমানে তাদের ব্যাক-অফ-হাউস স্টাফ নেটওয়ার্কের জন্য PEAP-MSCHAPv2 ব্যবহার করছে। আইটি ডিরেক্টর EAP-TLS-এ মাইগ্রেট করতে চান কিন্তু ৫০টি লিগ্যাসি হ্যান্ডহেল্ড ইনভেন্টরি স্ক্যানার নিয়ে চিন্তিত যেগুলো একটি সেকেলে OS চালায় এবং সার্টিফিকেট এনরোলমেন্ট সমর্থন করে না। ইনভেন্টরি কার্যক্রমে ব্যাঘাত না ঘটিয়ে নেটওয়ার্ক আর্কিটেক্টের কীভাবে এই মাইগ্রেশন পরিচালনা করা উচিত?

নেটওয়ার্ক আর্কিটেক্টের একটি সেগমেন্টেড পদ্ধতি প্রয়োগ করা উচিত। প্রথমে, একটি ক্লাউড PKI ডিপ্লয় করুন এবং EAP-TLS এবং PEAP-MSCHAPv2 উভয়ই গ্রহণ করার জন্য সেন্ট্রাল RADIUS সার্ভার কনফিগার করুন। সমস্ত আধুনিক স্টাফ ল্যাপটপ এবং ট্যাবলেটে ক্লায়েন্ট সার্টিফিকেট এবং একটি আপডেট করা EAP-TLS WiFi প্রোফাইল পুশ করতে হোটেলের MDM প্ল্যাটফর্ম ব্যবহার করুন। ৫০টি লিগ্যাসি স্ক্যানারের জন্য, একটি আইসোলেটেড VLAN-এ ম্যাপ করা একটি ডেডিকেটেড, লুকানো SSID তৈরি করুন। RADIUS সার্ভারে এই নির্দিষ্ট স্ক্যানার MAC ঠিকানাগুলোর জন্য MAC-ভিত্তিক অথেনটিকেশন বাইপাস (MAB) কনফিগার করুন। এই VLAN-এ কঠোর নেটওয়ার্ক ACL প্রয়োগ করুন যাতে স্ক্যানারগুলো শুধুমাত্র ইনভেন্টরি ডেটাবেস সার্ভারে পৌঁছাতে পারে এবং অন্য কোথাও নয়। একবার সমস্ত আধুনিক ডিভাইস EAP-TLS ব্যবহার করা শুরু করলে, প্রাথমিক স্টাফ নেটওয়ার্কে PEAP-MSCHAPv2 নিষ্ক্রিয় করুন।

পরীক্ষকের মন্তব্য: এই পদ্ধতিটি লিগ্যাসি হার্ডওয়্যারের জন্য অপারেশনাল ধারাবাহিকতার সাথে বেশিরভাগ ডিভাইসের জন্য শক্তিশালী নিরাপত্তার নিখুঁত ভারসাম্য বজায় রাখে। লিগ্যাসি ডিভাইসগুলোকে একটি সীমাবদ্ধ VLAN-এ আইসোলেট করার মাধ্যমে, আর্কিটেক্ট আপস করা হলে সেই ডিভাইসগুলোকে পিভট পয়েন্ট হিসেবে ব্যবহার করার ঝুঁকি প্রশমিত করেন, পাশাপাশি প্রাথমিক কর্পোরেট নেটওয়ার্ক থেকে PEAP-MSCHAPv2 দুর্বলতা সফলভাবে দূর করেন।

একটি রিটেইল প্রতিষ্ঠান তাদের কর্পোরেট ফ্লিটে Windows 11 22H2 রোল আউট করেছে। আইটি হেল্পডেস্ক হঠাৎ করে টিকিট পাচ্ছে যে ব্যবহারকারীরা কর্পোরেট WPA2-Enterprise WiFi নেটওয়ার্কের সাথে সংযোগ করতে পারছে না, যা PEAP-MSCHAPv2 ব্যবহার করে। এর সম্ভাব্য কারণ কী এবং তাৎক্ষণিক প্রতিকার কী?

সম্ভাব্য কারণ হলো Windows Defender Credential Guard-এর প্রবর্তন, যা Windows 11 22H2 এবং নতুন সংস্করণগুলোতে ডিফল্টরূপে সক্রিয় থাকে। Credential Guard NTLM পাসওয়ার্ড হ্যাশ এবং Kerberos Ticket Granting Tickets-কে আইসোলেট এবং সুরক্ষিত করে। যেহেতু চ্যালেঞ্জ-রেসপন্স তৈরি করতে PEAP-MSCHAPv2-এর NT হ্যাশে অ্যাক্সেস প্রয়োজন, তাই ক্রেডেনশিয়াল চুরি রোধ করতে Credential Guard ইচ্ছাকৃতভাবে এই প্রমাণীকরণ পদ্ধতিটি ভেঙে দেয়। তাৎক্ষণিক প্রতিকার হলো EAP-TLS-এ মাইগ্রেশন ত্বরান্বিত করা, যা সার্টিফিকেট-ভিত্তিক প্রমাণীকরণ ব্যবহার করে এবং Credential Guard-এর সাথে সম্পূর্ণ সামঞ্জস্যপূর্ণ। একটি অস্থায়ী, কম সুরক্ষিত ওয়ার্কঅ্যারাউন্ড হতে পারে গ্রুপ পলিসির মাধ্যমে Credential Guard নিষ্ক্রিয় করা, তবে এটি দৃঢ়ভাবে নিরুৎসাহিত করা হয় কারণ এটি সামগ্রিক OS নিরাপত্তা ব্যবস্থাকে দুর্বল করে দেয়।

পরীক্ষকের মন্তব্য: এই দৃশ্যপটটি PEAP থেকে দূরে সরে যাওয়ার জন্য একটি গুরুত্বপূর্ণ আধুনিক অপারেশনাল চালককে তুলে ধরে। মাইক্রোসফটের নিজস্ব OS নিরাপত্তা বর্ধনগুলো সক্রিয়ভাবে MSCHAPv2-এর জন্য প্রয়োজনীয় লিগ্যাসি হ্যাশগুলোতে অ্যাক্সেস বাতিল করছে। সমাধানটি অনিরাপদ OS ডাউনগ্রেডের উপর নির্ভর করার পরিবর্তে EAP-TLS-কে স্থায়ী সমাধান হিসেবে সঠিকভাবে চিহ্নিত করে।

অনুশীলনী প্রশ্নসমূহ

Q1. আপনি একটি নতুন অধিগ্রহণ করা সাবসিডিয়ারির ওয়্যারলেস নেটওয়ার্ক অডিট করছেন। তারা PEAP-MSCHAPv2 ব্যবহার করে। আইটি ম্যানেজার দাবি করেন যে তারা ইভিল টুইন আক্রমণ থেকে সুরক্ষিত কারণ তারা SSID লুকিয়ে রেখেছে এবং SSID সম্প্রচার নিষ্ক্রিয় করেছে। তাদের নেটওয়ার্ক কি ক্রেডেনশিয়াল ক্যাপচার থেকে সুরক্ষিত?

ইঙ্গিত: লুকানো নেটওয়ার্কগুলোর সাথে সংযোগ করার জন্য কনফিগার করা হলে ক্লায়েন্ট ডিভাইসগুলো কীভাবে আচরণ করে এবং একটি SSID লুকানো থাকলে তা কোনো রোগ AP-কে স্পুফ করা থেকে বাধা দেয় কিনা তা বিবেচনা করুন।

মডেল উত্তর দেখুন

না, নেটওয়ার্কটি সুরক্ষিত নয়। SSID লুকানো (বীকন ফ্রেম নিষ্ক্রিয় করা) শূন্য ক্রিপ্টোগ্রাফিক নিরাপত্তা প্রদান করে। প্রকৃতপক্ষে, লুকানো নেটওয়ার্কগুলোর সাথে সংযোগ করার জন্য কনফিগার করা ডিভাইসগুলো সক্রিয়ভাবে SSID নাম ধারণকারী প্রোব রিকোয়েস্ট সম্প্রচার করে, যা কার্যকরভাবে যেকোনো আক্রমণকারীর কাছে লুকানো নেটওয়ার্কের ঘোষণা দেয়। একজন আক্রমণকারী সহজেই SSID নাম ক্যাপচার করতে পারে, সেই সঠিক SSID সম্প্রচারকারী একটি ইভিল টুইন AP চালু করতে পারে এবং স্ট্যান্ডার্ড MSCHAPv2 ক্রেডেনশিয়াল ক্যাপচার আক্রমণ চালাতে পারে। একমাত্র প্রতিরক্ষা হলো কঠোর সার্ভার সার্টিফিকেট ভ্যালিডেশন বা EAP-TLS-এ মাইগ্রেট করা।

Q2. একটি EAP-TLS মাইগ্রেশন পাইলটের সময়, আপনি Intune-এর মাধ্যমে ২০টি Windows ল্যাপটপে ক্লায়েন্ট সার্টিফিকেট পুশ করেন। তবে, ২০টি ডিভাইসের জন্যই প্রমাণীকরণ ব্যর্থ হয়। RADIUS সার্ভার লগগুলো 'Client Certificate Not Trusted' দেখায়। ক্লায়েন্ট সার্টিফিকেটগুলো আপনার নতুন ক্লাউড PKI দ্বারা ইস্যু করা হয়েছিল। কোন গুরুত্বপূর্ণ কনফিগারেশন ধাপটি বাদ পড়েছে?

ইঙ্গিত: মিউচুয়াল অথেনটিকেশন কাজ করার জন্য, উভয় পক্ষকেই অবশ্যই সেই সত্তাকে বিশ্বাস করতে হবে যা অন্য পক্ষের সার্টিফিকেট ইস্যু করেছে।

মডেল উত্তর দেখুন

নতুন ক্লাউড PKI-এর রুট CA-কে বিশ্বাস করার জন্য RADIUS সার্ভার কনফিগার করা হয়নি। যদিও ল্যাপটপগুলোতে সঠিক ক্লায়েন্ট সার্টিফিকেট রয়েছে, যখন তারা সেগুলো RADIUS সার্ভারে উপস্থাপন করে, সার্ভার সেগুলো প্রত্যাখ্যান করে কারণ এর লোকাল ট্রাস্ট স্টোরে ক্লাউড PKI-এর রুট/ইন্টারমিডিয়েট সার্টিফিকেট নেই। আপনাকে অবশ্যই ক্লাউড PKI-এর পাবলিক রুট CA সার্টিফিকেটটি RADIUS সার্ভারের বিশ্বস্ত সার্টিফিকেট অথরিটি স্টোরে ইমপোর্ট করতে হবে।

Q3. আপনার প্রতিষ্ঠান কর্পোরেট WiFi-এর জন্য EAP-TLS বাধ্যতামূলক করেছে। একজন সিনিয়র এক্সিকিউটিভ অভ্যন্তরীণ আর্থিক ড্যাশবোর্ডগুলো অ্যাক্সেস করার জন্য কর্পোরেট নেটওয়ার্কের সাথে তার ব্যক্তিগত, আনম্যানেজড iPad সংযোগ করার জন্য জোর দিচ্ছেন। EAP-TLS নিরাপত্তা ব্যবস্থা বজায় রেখে আপনি কীভাবে এই অনুরোধটি পূরণ করবেন?

ইঙ্গিত: EAP-TLS-এর পূর্বশর্ত এবং একটি 'ম্যানেজড' ডিভাইসের সংজ্ঞা বিবেচনা করুন।

মডেল উত্তর দেখুন

EAP-TLS আর্কিটেকচারের সাথে আপস না করে আপনি প্রাথমিক কর্পোরেট নেটওয়ার্কে নিরাপদে এই অনুরোধটি পূরণ করতে পারবেন না। EAP-TLS-এর জন্য একটি ক্লায়েন্ট সার্টিফিকেট প্রয়োজন। যেহেতু iPad-টি আনম্যানেজড (BYOD), তাই আইটি বিভাগ নিরাপদে MDM-এর মাধ্যমে একটি সার্টিফিকেট পুশ করতে পারে না। এক্সিকিউটিভকে ম্যানুয়ালি একটি সার্টিফিকেট ইনস্টল করার অনুমতি দেওয়া উল্লেখযোগ্য ঝুঁকি এবং প্রশাসনিক ওভারহেড তৈরি করে। সঠিক পদ্ধতি হলো কর্পোরেট SSID-তে অ্যাক্সেস অস্বীকার করা। এর পরিবর্তে, এক্সিকিউটিভের উচিত গেস্ট WiFi-এর সাথে সংযোগ করা এবং অভ্যন্তরীণ সংস্থানগুলো অ্যাক্সেস করতে একটি সুরক্ষিত কর্পোরেট VPN (যা আধুনিক MFA/SAML প্রমাণীকরণ সমর্থন করে) ব্যবহার করা, অথবা একটি সার্টিফিকেট পাওয়ার জন্য ডিভাইসটিকে কর্পোরেট MDM-এ এনরোল করতে হবে।

এই সিরিজে পড়া চালিয়ে যান

স্টাফ WiFi শর্তাবলী: আইনি এবং কমপ্লায়েন্সের প্রয়োজনীয় বিষয়সমূহ

এই নির্দেশিকাটি এন্টারপ্রাইজ ভেন্যুগুলোর জন্য স্টাফ WiFi শর্তাবলী খসড়া এবং প্রয়োগ করার আইনি ও প্রযুক্তিগত প্রয়োজনীয় বিষয়গুলো কভার করে। এতে একটি গ্রহণযোগ্য ব্যবহার নীতি (AUP)-তে কী অন্তর্ভুক্ত করতে হবে, কীভাবে GDPR এবং PCI DSS-এর প্রয়োজনীয়তাগুলো পূরণ করতে হবে এবং কর্পোরেট সম্পদ সুরক্ষায় কীভাবে আইডেন্টিটি-ভিত্তিক প্রমাণীকরণ এবং নেটওয়ার্ক সেগমেন্টেশন স্থাপন করতে হবে তা বিস্তারিতভাবে আলোচনা করা হয়েছে। হোটেল, রিটেইল চেইন, স্টেডিয়াম এবং পাবলিক সেক্টর প্রতিষ্ঠানের IT ম্যানেজার, HR টিম এবং অপারেশন ডিরেক্টররা এই ত্রৈমাসিকে বাস্তবায়নযোগ্য কার্যকরী নির্দেশনা পাবেন।

গাইডটি পড়ুন →

Wi-Fi সিকিউরিটির ভবিষ্যৎ: এআই-চালিত NAC এবং থ্রেট ডিটেকশন

এই প্রামাণিক গাইডটি লিগ্যাসি WPA2 থেকে এআই-চালিত Network Access Control (NAC) এবং থ্রেট ডিটেকশন পর্যন্ত এন্টারপ্রাইজ Wi-Fi সিকিউরিটির বিবর্তন নিয়ে আলোচনা করে। আইটি লিডারদের জন্য ডিজাইন করা এই গাইডটি Purple-এর আইডেন্টিটি-ভিত্তিক নেটওয়ার্কগুলো ব্যবহার করে রিটেইল, হসপিটালিটি এবং স্টেডিয়ামের মতো হাই-ডেনসিটি এনভায়রনমেন্ট সুরক্ষিত করার জন্য কার্যকর ডিপ্লয়মেন্ট কৌশল প্রদান করে।

গাইডটি পড়ুন →

NAC এবং MPSK-এর মাধ্যমে IoT ডিভাইসের নিরাপত্তা পরিচালনা

এই টেকনিক্যাল গাইডে বিস্তারিত আলোচনা করা হয়েছে কীভাবে এন্টারপ্রাইজ ভেন্যুগুলো মাল্টিপল প্রি-শেয়ারড কি (MPSK) আর্কিটেকচার এবং নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল (NAC) ব্যবহার করে হেডলেস IoT ডিভাইসগুলোকে সুরক্ষিত করতে পারে। এটি স্কেলেবিলিটির সাথে আপস না করে মাইক্রো-সেগমেন্টেশন অর্জন, সিকিউরিটি ব্লাস্ট রেডিয়াস নিয়ন্ত্রণ এবং কমপ্লায়েন্স বজায় রাখার জন্য কার্যকর ইমপ্লিমেন্টেশন পদক্ষেপ প্রদান করে।

গাইডটি পড়ুন →