Port Basics: কম্পিউটার নেটওয়ার্কিংয়ের পোর্ট এবং প্রোটোকলের প্রাথমিক ধারণা!

কম্পিউটার নেটওয়ার্কিংয়ে Port হলো একটি ১৬-বিট সংখ্যা যা একটি নির্দিষ্ট প্রক্রিয়া বা সেবাকে চিহ্নিত করে। যেহেতু ১৬-বিটে ০ থেকে ৬৫৫৩৫ পর্যন্ত সংখ্যা প্রকাশ করা যায়, মোট ৬৫,৫৩৬টি Port নম্বর রয়েছে। Internet Assigned Numbers Authority (IANA) এই Port-গুলোকে তিনটি প্রধান শ্রেণীতে ভাগ করেছে।

Well-Known Ports (০-১০২৩) সাধারণ সেবার জন্য সংরক্ষিত। HTTP-এর জন্য ৮০, HTTPS-এর জন্য ৪৪৩, SSH-এর জন্য ২২, DNS-এর জন্য ৫৩—এসব Port বিশ্বব্যাপী মান অনুযায়ী নির্দিষ্ট সেবার জন্য নির্ধারিত। অধিকাংশ অপারেটিং সিস্টেমে এই Range-এর Port-এ Bind করতে Administrator অধিকার প্রয়োজন।

Registered Ports (১০২৪-৪৯১৫১) বিভিন্ন সফটওয়্যার বিক্রেতা এবং অ্যাপ্লিকেশনের জন্য IANA-র কাছে নিবন্ধিত। MySQL ব্যবহার করে ৩৩০৬, PostgreSQL ৫৪৩২, Redis ৬৩৭৯, MongoDB ২৭০১৭—এসব Port এই শ্রেণীর অন্তর্ভুক্ত। Dynamic বা Ephemeral Ports (৪৯১৫২-৬৫৫৩৫) ক্লায়েন্ট সংযোগের জন্য অস্থায়ীভাবে বরাদ্দ হয়। যখন আপনি একটি ওয়েবসাইটে যান, আপনার ব্রাউজার একটি Ephemeral Port ব্যবহার করে সার্ভারের ৪৪৩ Port-এ সংযোগ স্থাপন করে।

Port-এর কাজ Transport Layer Protocol-এর সাথে নিবিড়ভাবে জড়িত। দুটি প্রধান Transport Protocol হলো TCP (Transmission Control Protocol) এবং UDP (User Datagram Protocol)। উভয়ই Port নম্বর ব্যবহার করে কিন্তু সম্পূর্ণ ভিন্নভাবে কাজ করে।

TCP হলো Connection-oriented এবং Reliable। দুটি কম্পিউটারের মধ্যে ডেটা পাঠানোর আগে একটি সংযোগ স্থাপিত হয় Three-way Handshake-এর মাধ্যমে—Client পাঠায় SYN, Server প্রতিক্রিয়া দেয় SYN-ACK, এবং Client নিশ্চিত করে ACK। এই Handshake নিশ্চিত করে উভয় পক্ষই যোগাযোগের জন্য প্রস্তুত। তারপর ডেটা পাঠানো শুরু হয়, এবং প্রতিটি প্যাকেট প্রাপ্তির নিশ্চয়তা (Acknowledgement) প্রদান করা হয়। যদি কোনো প্যাকেট হারিয়ে যায়, TCP স্বয়ংক্রিয়ভাবে পুনরায় পাঠায়। তাই TCP নির্ভরযোগ্য কিন্তু কিছুটা ধীর। ওয়েব ব্রাউজিং (HTTP/HTTPS), ইমেইল (SMTP/IMAP), ফাইল স্থানান্তর (FTP, SFTP)—এসব নির্ভুলতার প্রয়োজনে TCP ব্যবহার করে।

UDP Connectionless এবং Unreliable। কোনো Handshake নেই, কোনো Acknowledgement নেই। ডেটা প্যাকেট পাঠিয়ে দেওয়া হয় এবং প্রেরক জানে না সেটি পৌঁছেছে কিনা। UDP দ্রুত এবং কম Overhead-যুক্ত, তাই এটি Real-time অ্যাপ্লিকেশনে আদর্শ। DNS Query, ভিডিও স্ট্রিমিং, ভয়েস কল (VoIP), অনলাইন গেমিং—এসব ক্ষেত্রে UDP ব্যবহৃত হয়। ভিডিও কলে একটি Frame হারিয়ে গেলে পরবর্তী Frame দেখানোই উত্তম, পুরনোটি পুনরায় পাঠানোর জন্য অপেক্ষা করার চেয়ে।

একটি গুরুত্বপূর্ণ বিষয় হলো একই Port নম্বর TCP এবং UDP উভয়ের জন্য পৃথকভাবে বরাদ্দ হতে পারে। যেমন DNS Port ৫৩ TCP এবং UDP উভয়ই ব্যবহার করে—সাধারণ Query-এর জন্য UDP, Zone Transfer-এর জন্য TCP।

প্রতিটি নেটওয়ার্ক প্রশাসক এবং নিরাপত্তা পেশাদারের জন্য কিছু পরিচিত Port-এর জ্ঞান অপরিহার্য। ২০ এবং ২১ Port FTP (File Transfer Protocol)-এর জন্য—২১ Control Connection এবং ২০ Data Connection। FTP-এর ডেটা প্লেইন টেক্সটে যায়, তাই এটি অনিরাপদ। ২২ Port SSH (Secure Shell)-এর জন্য, যা এনক্রিপ্টেড Remote Login প্রদান করে। ২৩ Port Telnet-এর জন্য—অনিরাপদ Remote Login, এখন প্রায় অপ্রচলিত।

২৫ Port SMTP (Simple Mail Transfer Protocol)-এর জন্য, ইমেইল পাঠানোর প্রোটোকল। ৫৩ Port DNS (Domain Name System)-এর জন্য, যা ডোমেইন নাম IP Address-এ রূপান্তর করে। ৬৭ এবং ৬৮ Port DHCP-এর জন্য—সার্ভার ৬৭, ক্লায়েন্ট ৬৮। ৮০ Port HTTP-এর জন্য, ওয়েব ব্রাউজিং-এর মৌলিক প্রোটোকল। ১১০ Port POP3-এর জন্য, পুরনো ইমেইল প্রাপ্তির প্রোটোকল। ১৪৩ Port IMAP-এর জন্য, আধুনিক ইমেইল প্রোটোকল।

৪৪৩ Port HTTPS-এর জন্য—HTTP-এর এনক্রিপ্টেড সংস্করণ যা আজ ইন্টারনেটের প্রধান প্রোটোকল। ৪৪৫ Port SMB (Server Message Block)-এর জন্য, যা Windows ফাইল শেয়ারিং-এ ব্যবহৃত হয়—এটি WannaCry Ransomware আক্রমণের প্রবেশপথ ছিল। ৩৩৮৯ Port RDP (Remote Desktop Protocol)-এর জন্য, যা Windows Remote Access-এ ব্যবহৃত হয় এবং ব্যাপকভাবে আক্রান্ত হয়।

ডেটাবেস Port-গুলো জানা গুরুত্বপূর্ণ। MySQL ৩৩০৬, PostgreSQL ৫৪৩২, Microsoft SQL Server ১৪৩৩, Oracle ১৫২১, MongoDB ২৭০১৭, Redis ৬৩৭৯, Elasticsearch ৯২০০। এসব Port সরাসরি ইন্টারনেট থেকে অ্যাক্সেসযোগ্য থাকলে ডেটা ব্রিচের ঝুঁকি উচ্চ। ২০১৭-২০১৯ সালে অসংখ্য Unprotected MongoDB এবং Elasticsearch ডেটাবেস ইন্টারনেটে উন্মুক্ত পাওয়া গিয়েছিল।

একটি Port তিনটি প্রধান অবস্থায় থাকতে পারে। Open অবস্থায় কোনো অ্যাপ্লিকেশন সক্রিয়ভাবে সেই Port-এ Listening করছে এবং সংযোগ গ্রহণে প্রস্তুত। আপনি যখন একটি Web Server চালান, এটি ৮০ বা ৪৪৩ Port-এ Listen করে—এই Port-গুলো Open অবস্থায় থাকে।

Closed Port-এ কোনো অ্যাপ্লিকেশন Listening নেই, কিন্তু Port নিজে নেটওয়ার্ক থেকে Reachable। যখন একটি প্যাকেট Closed Port-এ পৌঁছায়, অপারেটিং সিস্টেম TCP RST (Reset) প্যাকেট পাঠায় যা নির্দেশ করে কোনো সেবা নেই। এটি আক্রমণকারীকে জানিয়ে দেয় যে Host সক্রিয় কিন্তু সেই নির্দিষ্ট সেবা চালু নেই।

Filtered অবস্থায় Firewall বা অন্য কোনো Network Device প্যাকেটকে ব্লক করছে—প্রতিক্রিয়ায় কিছুই আসে না বা ICMP Unreachable বার্তা আসে। নিরাপত্তার দৃষ্টিকোণ থেকে Filtered সাধারণত Closed-এর চেয়ে ভালো কারণ এটি Host-এর অস্তিত্ব প্রকাশ করে না।

আক্রমণকারীরা Port Scanner ব্যবহার করে Target Host-এর Open Port শনাক্ত করেন। Nmap সবচেয়ে জনপ্রিয় টুল। SYN Scan (-sS) সম্পূর্ণ Three-way Handshake সম্পন্ন না করেই Port অবস্থা নির্ধারণ করে, এটি দ্রুত এবং স্টিলদি। Connect Scan (-sT) সম্পূর্ণ সংযোগ স্থাপন করে—এটি স্পষ্টভাবে Log-এ ধরা পড়ে। UDP Scan (-sU) ধীর এবং কম নির্ভরযোগ্য কারণ UDP-তে কোনো নিশ্চিতকরণ নেই।

Port সাইবার নিরাপত্তার কেন্দ্রবিন্দুতে অবস্থিত কারণ অধিকাংশ আক্রমণ নেটওয়ার্ক সেবার মাধ্যমে ঘটে। একটি দুর্বল সেবা একটি Port-এ Listening করলে আক্রমণকারী সেই দুর্বলতা শোষণ করতে পারে। নিরাপত্তার মূলনীতি হলো "Attack Surface Reduction"—অপ্রয়োজনীয় সেবা বন্ধ করে Open Port-এর সংখ্যা সর্বনিম্ন রাখা।

প্রতিটি Open Port একটি সম্ভাব্য আক্রমণ ভেক্টর। ২০১৭ সালের WannaCry Ransomware Microsoft-এর SMB Protocol-এ EternalBlue exploit ব্যবহার করেছিল—যা SMB Port ৪৪৫-এ পৌঁছানো যেতো। যেসব সংস্থা ৪৪৫ Port ইন্টারনেটে উন্মুক্ত রেখেছিল, তারা সবচেয়ে বেশি ক্ষতিগ্রস্ত হয়েছিল। UK National Health Service-এর হাজার হাজার কম্পিউটার আক্রান্ত হয়েছিল।

Brute-force আক্রমণ সাধারণত SSH (২২), RDP (৩৩৮৯), এবং MySQL (৩৩০৬)-এর মতো Authentication-যুক্ত Port-এ লক্ষ্য করে। ইন্টারনেটে Open RDP Port-এ মুহূর্তে হাজার হাজার Login চেষ্টা চলে। ২০২০-২০২২ সালে Ryuk এবং Conti-এর মতো Ransomware Group RDP Brute-force-কে প্রধান প্রবেশপথ হিসেবে ব্যবহার করেছিল।

Exposed Service-এর সমস্যা শুধু Brute-force-এ সীমিত নয়। দুর্বল ভার্সনের Apache, Nginx, OpenSSH-এর Zero-day exploit সরাসরি কোড এক্সিকিউশন প্রদান করতে পারে। ২০২১ সালে Log4Shell দুর্বলতা যেকোনো Java অ্যাপ্লিকেশনে লগ ম্যানিপুলেশনের মাধ্যমে RCE অর্জন সম্ভব করেছিল—এটি Internet-facing সেবার মাধ্যমে ছড়িয়েছিল।

Shodan একটি বিশেষায়িত সার্চ ইঞ্জিন যা ইন্টারনেট-উন্মুক্ত সেবাগুলো নিয়মিত স্ক্যান করে। যেকেউ Shodan-এ গিয়ে দেখতে পারেন বিশ্বে কতটি RDP Port (৩৩৮৯) ইন্টারনেটে উন্মুক্ত—সংখ্যাটি লক্ষাধিক। অনেক ICS/SCADA সিস্টেমের Modbus Port (৫০২) ইন্টারনেটে উন্মুক্ত যা সম্ভাব্য বিপর্যয়কর। Shodan-কে "Hacker-এর Google" বলা হয়।

Censys এবং BinaryEdge অনুরূপ সেবা প্রদান করে। নিরাপত্তা গবেষকরা এগুলো ব্যবহার করে Attack Surface ম্যাপিং, এবং নিজেদের সংস্থার External-facing সেবা পরিদর্শন করেন। প্রতিটি প্রতিষ্ঠানের নিজস্ব IP Range-এ Shodan স্ক্যান চালানো উচিত যেন অজানা Exposed Service শনাক্ত করা যায়।

২০২৩ সালে MOVEit Transfer-এর Zero-day দুর্বলতা শোষণ করে Cl0p Ransomware Group ২০০০-এর বেশি সংস্থা ক্ষতিগ্রস্ত করেছিল। MOVEit সাধারণত TCP Port ৪৪৩ বা ৮০-এ চলে—এই Port ইন্টারনেট-facing থাকার কারণে আক্রমণ সম্ভব হয়েছিল।

ইতিবাচক উদাহরণ হিসেবে, Zero Trust Network Access (ZTNA) মডেলে সেবাগুলো সরাসরি ইন্টারনেটে Expose করা হয় না। সব অ্যাক্সেস একটি Identity-aware Proxy-এর মাধ্যমে আসে যা Authentication, Authorization এবং Encryption নিশ্চিত করে। Google BeyondCorp, Cloudflare Access, Zscaler Private Access—এসব আধুনিক সমাধান প্রচলিত VPN-এর বিকল্প হিসেবে জনপ্রিয় হচ্ছে।

Port-ভিত্তিক ঝুঁকি কমাতে কিছু মৌলিক নীতি অনুসরণ করুন। প্রথমত, Minimize Exposure—শুধুমাত্র অপরিহার্য সেবা ইন্টারনেট-facing রাখুন। Database, Admin Panel, এবং Internal Tool কখনো সরাসরি ইন্টারনেটে Expose করবেন না। এসবে VPN, Bastion Host, বা Zero Trust Gateway-এর মাধ্যমে অ্যাক্সেস দিন।

Firewall সঠিকভাবে কনফিগার করুন। Default-deny নীতি প্রয়োগ করুন—অর্থাৎ ডিফল্টে সব ব্লক, শুধু প্রয়োজনীয় Port-এর জন্য নিয়ম তৈরি। Stateful Firewall ব্যবহার করুন যা সংযোগের অবস্থা ট্র্যাক করে। ক্লাউড পরিবেশে Security Group এবং Network ACL সঠিকভাবে কনফিগার করুন—Public 0.0.0.0/0-এর জন্য সংবেদনশীল Port কখনো খুলবেন না।

নিয়মিত Port Audit পরিচালনা করুন। Nmap, Masscan, বা বাণিজ্যিক Vulnerability Scanner (Nessus, Qualys) দিয়ে নিজের Network নিয়মিত স্ক্যান করুন। External Attack Surface Management (EASM) সরঞ্জাম যেমন CyberSwarm, RiskIQ ব্যবহার করে অজানা Exposed Asset শনাক্ত করুন। প্রতিটি Open Port-এর জন্য একটি Business Justification ডকুমেন্টেড রাখুন।

প্রতিটি Open Port-এর সেবা Hardened রাখুন। সর্বশেষ Security Patch প্রয়োগ করুন। অপ্রয়োজনীয় Default Account নিষ্ক্রিয় করুন। Strong Password এবং Multi-factor Authentication বাধ্যতামূলক করুন। Rate Limiting এবং Brute-force প্রতিরক্ষা (Fail2Ban) স্থাপন করুন।

Service-নির্দিষ্ট Hardening গুরুত্বপূর্ণ। SSH-এ Public Key Authentication ব্যবহার করুন এবং Password Authentication নিষ্ক্রিয় করুন। RDP-তে Network Level Authentication বাধ্যতামূলক এবং VPN-এর মাধ্যমে অ্যাক্সেস। Database-গুলো Bind করুন শুধুমাত্র localhost বা Private Network-এ। Web Server-এ অপ্রয়োজনীয় Module নিষ্ক্রিয় করুন।

Network Segmentation প্রয়োগ করুন। DMZ, Internal Network, এবং Sensitive Zone পৃথক করুন। প্রতিটি Zone-এর মধ্যে শুধুমাত্র অনুমোদিত Port-এর Traffic অনুমতি দিন। Lateral Movement প্রতিরোধে Microsegmentation বিবেচনা করুন।

Monitoring এবং Detection স্থাপন করুন। SIEM সিস্টেমে Firewall Log সংগ্রহ করুন। অস্বাভাবিক Port Scan, Brute-force প্রচেষ্টা, এবং Anomalous Traffic Pattern সনাক্তে Rule তৈরি করুন। IDS/IPS (Suricata, Snort) ব্যবহার করে পরিচিত আক্রমণ Signature ব্লক করুন।