Network Pentesting: কর্পোরেট নেটওয়ার্কের দুর্বলতা খুঁজে বের করতে পেনিট্রেশন টেস্টিং!

Network Penetration Testing হলো একটি authorized simulated cyber attack যার উদ্দেশ্য network infrastructure-এর security posture মূল্যায়ন করা। এটি vulnerability assessment থেকে আলাদা কারণ এখানে শুধু দুর্বলতা চিহ্নিত করা হয় না, বরং সেগুলোকে actually exploit করে real-world impact demonstrate করা হয়।

Pentest-এর কয়েকটি প্রধান ধরন রয়েছে। Black Box Testing-এ tester-এর কোনো prior knowledge থাকে না - সম্পূর্ণ outsider perspective থেকে কাজ করেন। White Box Testing-এ tester সম্পূর্ণ network diagram, credential এবং documentation পান, যা insider threat simulation-এর জন্য আদর্শ। Gray Box Testing হলো এই দুটির মাঝামাঝি, যেখানে কিছু basic information প্রদান করা হয়।

Engagement-এর scope-ও কয়েকভাবে define করা যায়। External Pentest internet-facing asset যেমন web server, mail server, VPN target করে। Internal Pentest assume করে আক্রমণকারী ইতিমধ্যে network-এ আছে এবং সেখান থেকে কতদূর যেতে পারে তা পরীক্ষা করে। Wireless Pentest Wi-Fi network-এর security যাচাই করে। Social Engineering Pentest মানুষের দুর্বলতাকে target করে।

Network pentesting শুধু একটি technical exercise নয়, এটি একটি business risk assessment-ও। একটি ভালো pentest report শুধু কোন vulnerability আছে তা বলে না, বরং সেই vulnerability-র business impact, exploitation likelihood এবং remediation strategy-ও explain করে।

Network Pentesting-এর জন্য বিভিন্ন standardized methodology রয়েছে। সবচেয়ে জনপ্রিয় হলো Penetration Testing Execution Standard (PTES), OWASP Testing Guide, এবং NIST SP 800-115। এদের প্রায় সবগুলোতেই কিছু common phase রয়েছে।

প্রথম phase হলো Pre-Engagement। এখানে scope definition, rules of engagement, legal authorization, এবং communication channel স্থাপন করা হয়। Get-Out-of-Jail-Free card অর্থাৎ লিখিত authorization letter অত্যন্ত গুরুত্বপূর্ণ যাতে কোনো আইনি জটিলতা না হয়।

দ্বিতীয় phase হলো Intelligence Gathering বা Reconnaissance। এখানে target সম্পর্কে যত বেশি সম্ভব তথ্য সংগ্রহ করা হয়। Passive reconnaissance-এ Shodan, Censys, WHOIS, DNS enumeration, এবং OSINT-এর মতো technique ব্যবহার করা হয় target-কে directly contact না করে। Active reconnaissance-এ port scan, service enumeration-এর মতো কাজ করা হয় যা detectable।

তৃতীয় phase হলো Threat Modeling। সংগৃহীত তথ্য বিশ্লেষণ করে সম্ভাব্য attack vector চিহ্নিত করা হয় এবং priority নির্ধারণ করা হয়।

চতুর্থ phase হলো Vulnerability Analysis। Automated scanner এবং manual technique ব্যবহার করে দুর্বলতা চিহ্নিত করা হয়। শুধু scanner-এর output-এর ওপর নির্ভর করা যাবে না, manual verification অপরিহার্য কারণ false positive বেশি থাকে।

পঞ্চম phase হলো Exploitation। চিহ্নিত দুর্বলতাগুলোকে actually exploit করে system-এ access নেওয়া হয়। এটি সবচেয়ে hands-on এবং technical phase।

ষষ্ঠ phase হলো Post-Exploitation। Initial access পাওয়ার পর pivoting, privilege escalation, lateral movement, এবং data exfiltration simulation-এর মাধ্যমে আক্রমণের real impact demonstrate করা হয়।

সপ্তম এবং শেষ phase হলো Reporting। সব findings একটি comprehensive report-এ document করা হয় - executive summary, technical details, proof of concept, business impact এবং remediation recommendation সহ।

Reconnaissance phase-এ অনেক tool এবং technique ব্যবহৃত হয়। DNS enumeration-এর জন্য dnsenum, fierce, এবং dnsrecon জনপ্রিয়। Subdomain discovery-র জন্য Subfinder, Amass, এবং Sublist3r ব্যবহার করা হয়।

Port scanning-এর জন্য Nmap industry standard। Nmap-এর basic syntax থেকে advanced scripting (NSE) পর্যন্ত প্রতিটি pentester-এর জানা থাকতে হবে। nmap -sS -sV -O -A target একটি comprehensive scan run করে যা service version, OS এবং common script-এর output প্রদান করে।

Masscan একটি faster alternative যা বিশাল IP range-এ দ্রুত scan করতে পারে। Rustscan আরেকটি newer option যা Nmap-এর সাথে integrate হয়।

Service enumeration-এর জন্য specific tool আছে। SMB enumeration-এ enum4linux, smbclient, এবং smbmap; SNMP-এ snmpwalk, snmp-check; LDAP-এ ldapsearch; FTP-এ FTP banner grabbing।

Vulnerability scanning-এর জন্য Nessus, OpenVAS, Qualys এবং Nexpose ব্যবহৃত হয়। তবে এগুলো শুধু starting point - manual verification এবং exploitation-এর জন্য আলাদা tools প্রয়োজন।

Network exploitation-এ Metasploit Framework সবচেয়ে জনপ্রিয় platform। হাজার হাজার exploit, payload, এবং auxiliary module-এর collection নিয়ে এটি pentester-এর জন্য সবচেয়ে valuable resource। msfconsole-এ working এবং specific exploit search করা একটি basic skill।

Active Directory environment-এ pentesting-এর জন্য বিশেষ কৌশল রয়েছে। Kerberoasting-এর মাধ্যমে service account-এর password crack করা যায়। AS-REP Roasting-এ pre-authentication disabled account target করা হয়। Pass-the-Hash এবং Pass-the-Ticket attack credential reuse করে। Tools হিসেবে Impacket suite (psexec.py, secretsdump.py), CrackMapExec, এবং BloodHound অপরিহার্য।

BloodHound বিশেষভাবে গুরুত্বপূর্ণ। এটি AD environment-এর attack path visualize করে যা manually খুঁজে বের করা প্রায় অসম্ভব। SharpHound-এর মাধ্যমে data collect করা হয় এবং BloodHound GUI-তে graph visualization দেখা যায়।

Lateral movement-এর জন্য PowerShell remoting, WMI, PsExec, এবং SMB exec-এর মতো legitimate Windows feature abuse করা হয়। Cobalt Strike, Sliver, এবং Mythic-এর মতো commercial/open-source C2 framework professional red team operation-এ ব্যবহৃত হয়।

Privilege escalation Windows-এ kernel exploit, service misconfiguration, unquoted service path, এবং DLL hijacking-এর মতো technique exploit করে। Linux-এ SUID binary, sudo misconfiguration, kernel exploit, এবং cron job abuse common পদ্ধতি। LinPEAS এবং WinPEAS-এর মতো automated tool privilege escalation path চিহ্নিত করতে সাহায্য করে।

একজন pentester-এর কাজের একটি বাস্তব scenario বিবেচনা করুন। ধরা যাক একটি বাংলাদেশি ব্যাংক একটি comprehensive penetration test commission করেছে। External pentest-এ tester প্রথমে DNS enumeration করে subdomain খুঁজে পান, যার মধ্যে একটি forgotten test server পাওয়া যায়। সেই server-এ outdated Apache version-এ একটি known CVE exploit করে initial foothold পাওয়া যায়।

Internal network-এ pivot করার পর AD environment-এ Kerberoasting করে কয়েকটি service account-এর password crack করা যায়। তার একটি service account-এর domain-wide privilege ছিল না কিন্তু DACL misconfiguration থাকায় সেটি অন্য একটি account-এর password reset করতে পারত। সেই account-এর local admin access ছিল একটি Tier-0 server-এ, যেখানে domain admin credential cached ছিল।

পুরো attack chain-এ প্রায় ৩ দিন লেগেছিল কিন্তু সর্বশেষে full domain compromise সম্ভব হয়েছিল। এই findings ব্যাংকের জন্য একটি wake-up call ছিল।

বাস্তব breach-এর উদাহরণ হিসেবে Equifax এবং Capital One-এর কথা ইতিমধ্যে আলোচিত। এই ঘটনাগুলো প্রমাণ করেছে যে regular pentesting-এর মাধ্যমে এই ধরনের attack আগে থেকেই চিহ্নিত করা সম্ভব ছিল।

বাংলাদেশের প্রেক্ষাপটে, ২০১৬ সালের Bangladesh Bank heist-এর পর থেকে দেশের financial sector পেনিট্রেশন টেস্টিংকে গুরুত্ব দিয়ে দেখছে। বেশ কিছু local cybersecurity firm এখন এই service প্রদান করছে।

একজন network pentester-এর কাছে কিছু essential tool থাকা প্রয়োজন। Kali Linux বা Parrot OS pentesting-এর জন্য সবচেয়ে জনপ্রিয় distribution, যেগুলোতে শত শত pre-installed tool আসে।

Practice-এর জন্য Hack The Box, TryHackMe, OffSec Proving Grounds, এবং VulnHub চমৎকার platform। বাড়িতে নিজস্ব lab তৈরি করতে চাইলে VMware বা VirtualBox-এ Windows Server (Active Directory), Linux server, এবং vulnerable VM (যেমন Metasploitable, DVWA) deploy করা যায়।

Certification-এর দিক থেকে OSCP (Offensive Security Certified Professional) network pentesting-এর জন্য gold standard। PNPT (Practical Network Penetration Tester), CEH (Certified Ethical Hacker), GPEN, এবং CRTP-ও জনপ্রিয়।

Pentesting একটি ethically এবং legally সংবেদনশীল কাজ। অনুমতি ছাড়া কোনো system test করা বাংলাদেশের Digital Security Act এবং তথ্য ও যোগাযোগ প্রযুক্তি আইনের অধীনে অপরাধ। প্রতিটি engagement-এ written authorization, scope agreement, এবং rules of engagement clearly document করতে হবে।

Data handling-এর ক্ষেত্রেও সতর্কতা প্রয়োজন। Test-এর সময় sensitive data (যেমন customer information) accessed হতে পারে। এই data-কে কীভাবে handle করতে হবে, কোথায় store করতে হবে, এবং কখন destroy করতে হবে - সব কিছু আগে থেকেই নির্ধারিত থাকতে হবে।

Reporting-এর সময় responsible disclosure principle মেনে চলতে হবে। কোনো critical vulnerability পাওয়া গেলে সেটি immediately client-কে জানাতে হবে, public disclosure-এর আগে patch-এর সুযোগ দিতে হবে।