Proxy Configurations: কর্পোরেট নেটওয়ার্কে সুরক্ষিত প্রক্সি সার্ভার স্থাপন এবং পরিচালনা!

প্রক্সি সার্ভার মূলত তিনটি প্রধান শ্রেণিতে বিভক্ত: Forward Proxy, Reverse Proxy, এবং Transparent Proxy।

Forward Proxy

এটি ক্লায়েন্ট এবং ইন্টারনেটের মধ্যে অবস্থান করে। সমস্ত আউটবাউন্ড ট্রাফিক প্রক্সির মধ্য দিয়ে যায়। কর্পোরেট পরিবেশে Forward Proxy দিয়ে কর্মীদের ওয়েব ব্রাউজিং নিয়ন্ত্রণ করা হয় — কোন ওয়েবসাইট অনুমোদিত, কোনটি নিষিদ্ধ, কত ব্যান্ডউইথ ব্যবহার হচ্ছে।

জনপ্রিয় Forward Proxy সফটওয়্যার: Squid, Apache Traffic Server, Blue Coat ProxySG, Forcepoint Web Security, Zscaler Internet Access।

Reverse Proxy

এটি ইন্টারনেট এবং ইন্টারনাল সার্ভারের মধ্যে অবস্থান করে। বাহ্যিক ক্লায়েন্ট সরাসরি ইন্টারনাল সার্ভারের সাথে যোগাযোগ করে না, বরং প্রক্সির সাথে। Reverse Proxy লোড ব্যালেন্সিং, SSL টার্মিনেশন, ক্যাশিং, এবং DDoS সুরক্ষা প্রদান করে।

জনপ্রিয় Reverse Proxy: NGINX, HAProxy, Cloudflare, AWS CloudFront, F5 BIG-IP।

Transparent Proxy

ক্লায়েন্ট জানে না যে তার ট্রাফিক প্রক্সির মধ্য দিয়ে যাচ্ছে। সাধারণত নেটওয়ার্ক লেভেলে রাউটিং বা PBR (Policy-Based Routing) দিয়ে কনফিগার করা হয়। ISP এবং কিছু কর্পোরেট নেটওয়ার্কে ব্যবহৃত হয়।

Squid Forward Proxy

Squid ওপেন-সোর্স Forward Proxy-গুলোর মধ্যে সবচেয়ে জনপ্রিয়। একটি বেসিক কনফিগারেশন:

# /etc/squid/squid.conf

http_port 3128

acl localnet src 192.168.1.0/24
acl SSL_ports port 443
acl Safe_ports port 80 443
acl CONNECT method CONNECT

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access deny all

# Authentication
auth_param basic program /usr/lib/squid/basic_ldap_auth -b "ou=users,dc=corp,dc=local" -f "uid=%s" ldap.corp.local
acl authenticated proxy_auth REQUIRED
http_access allow authenticated

# URL filtering
acl blocked_sites dstdomain "/etc/squid/blocked_sites.txt"
http_access deny blocked_sites

# Logging
access_log /var/log/squid/access.log squid

# Cache
cache_dir ufs /var/spool/squid 10000 16 256

NGINX Reverse Proxy

upstream backend {
    least_conn;
    server backend1.corp.local:8080;
    server backend2.corp.local:8080;
    server backend3.corp.local:8080;
}

server {
    listen 443 ssl http2;
    server_name app.corp.local;

    ssl_certificate /etc/nginx/ssl/corp.crt;
    ssl_certificate_key /etc/nginx/ssl/corp.key;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers ECDHE+AESGCM:ECDHE+CHACHA20:!aNULL;

    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
    add_header X-Frame-Options "SAMEORIGIN" always;
    add_header X-Content-Type-Options "nosniff" always;

    location / {
        proxy_pass http://backend;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        
        proxy_connect_timeout 5s;
        proxy_send_timeout 30s;
        proxy_read_timeout 30s;
    }
}

SSL/TLS Inspection

কর্পোরেট প্রক্সিতে SSL Inspection (MITM) ম্যালওয়্যার ডিটেকশন এবং DLP-এর জন্য অপরিহার্য, কিন্তু এর সাথে অনেক জটিলতা রয়েছে।

প্রক্রিয়াটি কাজ করে এভাবে: ক্লায়েন্ট যখন HTTPS রিকোয়েস্ট করে, প্রক্সি সেই কানেকশন টার্মিনেট করে, কনটেন্ট স্ক্যান করে, এবং নতুন একটি SSL কানেকশন তৈরি করে গন্তব্য সার্ভারের সাথে। এই কাজের জন্য প্রক্সির একটি Root CA সার্টিফিকেট সমস্ত ক্লায়েন্ট মেশিনে ইনস্টল করতে হয়।

# Root CA তৈরি
openssl req -newkey rsa:4096 -x509 -sha256 -days 3650 \
  -nodes -out corporate-ca.crt -keyout corporate-ca.key \
  -subj "/C=BD/O=Corporation/CN=Corporate Root CA"

# Group Policy via Active Directory
# Computer Configuration → Windows Settings → Security Settings 
# → Public Key Policies → Trusted Root Certification Authorities

প্রিভিলেজড ডোমেইন বাইপাস

ব্যাঙ্কিং, স্বাস্থ্যসেবা, এবং সরকারি সাইট SSL Inspection থেকে বাদ দিতে হবে — কর্মীদের গোপনীয়তা এবং আইনি সম্মতি উভয়ের জন্যই। PCI DSS, HIPAA, GDPR-এর মতো নিয়ন্ত্রণ এ ক্ষেত্রে প্রাসঙ্গিক।

acl bypass_ssl_inspection dstdomain "/etc/squid/bypass_domains.txt"
ssl_bump splice bypass_ssl_inspection
ssl_bump bump all

সার্টিফিকেট পিনিং সমস্যা

কিছু অ্যাপ্লিকেশন (যেমন মোবাইল ব্যাংকিং অ্যাপ) সার্টিফিকেট পিনিং ব্যবহার করে। SSL Inspection এসব অ্যাপকে ভাঙবে। তাই হোয়াইটলিস্ট প্রস্তুত রাখা জরুরি।

অথেন্টিকেশন

কর্পোরেট প্রক্সিতে অথেন্টিকেশন কয়েকটি পদ্ধতিতে করা যায়: Basic Auth (দুর্বল, শুধু LDAP-ভিত্তিক), NTLM (Windows-এ স্বয়ংক্রিয়), Kerberos (আধুনিক, SSO), এবং SAML/OAuth (ক্লাউড প্রক্সির জন্য)।

# Kerberos authentication
auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth -s HTTP/proxy.corp.local
auth_param negotiate children 20 startup=0 idle=1
auth_param negotiate keep_alive on

লগিং এবং প্রাইভেসি

প্রক্সি লগে ব্যবহারকারীর ব্রাউজিং কার্যকলাপের বিস্তারিত থাকে। এই লগ অত্যন্ত সংবেদনশীল। GDPR এবং স্থানীয় ডেটা প্রোটেকশন আইন অনুযায়ী:

• লগ রিটেনশন পলিসি স্পষ্টভাবে নির্দিষ্ট
• লগ অ্যাক্সেস কঠোরভাবে নিয়ন্ত্রিত
• কর্মচারীদের পূর্বে অবহিত করা
• লগ এনক্রিপ্ট করা স্টোরেজে রাখা

Open Proxy অপব্যবহার

ভুলভাবে কনফিগার করা প্রক্সি, যেখানে কোনো অথেন্টিকেশন নেই এবং সবার জন্য খোলা, আক্রমণকারীরা ব্যবহার করে তাদের আক্রমণ গোপন করতে। ফলে আপনার প্রতিষ্ঠানের IP অন্যের আক্রমণের জন্য দায়ী হিসেবে চিহ্নিত হতে পারে।

Proxy Smuggling

HTTP request smuggling-এর একটি বিশেষ রূপ যেখানে প্রক্সি এবং ব্যাকএন্ডের পার্সিংয়ে পার্থক্য কাজে লাগিয়ে আক্রমণকারী রিকোয়েস্ট ইনজেক্ট করে। Content-Length এবং Transfer-Encoding হেডারের অসামঞ্জস্য এই আক্রমণের ভিত্তি।

CONNECT Method অপব্যবহার

প্রক্সিতে CONNECT মেথড সীমাবদ্ধ না করলে আক্রমণকারী এটি ব্যবহার করে অভ্যন্তরীণ পরিষেবার সাথে যোগাযোগ স্থাপন করতে পারে।

প্রথমত, প্রক্সি সার্ভার শক্তিশালীকরণ। OS হার্ডেনিং (CIS Benchmark), অপ্রয়োজনীয় পরিষেবা বন্ধ, নিয়মিত প্যাচিং, এবং কঠোর ফায়ারওয়াল রুল।

দ্বিতীয়ত, উচ্চ উপলব্ধতা। প্রক্সি একটি ক্রিটিক্যাল কম্পোনেন্ট। ব্যর্থ হলে পুরো প্রতিষ্ঠানের ইন্টারনেট অ্যাক্সেস বন্ধ হতে পারে। তাই Active-Passive বা Active-Active ক্লাস্টারিং, লোড ব্যালেন্সার, এবং রিজিওনাল রিডান্ডেন্সি।

তৃতীয়ত, ক্যাপাসিটি প্ল্যানিং। ক্রমবর্ধমান ট্রাফিক, বিশেষত ভিডিও কনফারেন্সিং এবং ক্লাউড অ্যাপ্লিকেশনের জন্য পর্যাপ্ত ক্ষমতা।

চতুর্থত, ক্যাটাগোরাইজেশন এবং পলিসি ম্যানেজমেন্ট। URL ক্যাটাগোরি ডাটাবেস (Webroot, Forcepoint, Bluecoat) ব্যবহার করে নীতি প্রয়োগ। সাইট ক্যাটাগরি অনুযায়ী ভিন্ন ভিন্ন নীতি।

পঞ্চমত, মনিটরিং এবং অ্যালার্টিং। অস্বাভাবিক ট্রাফিক প্যাটার্ন, ব্যর্থ অথেন্টিকেশন প্রচেষ্টা, এবং পলিসি লঙ্ঘন SIEM-এ মনিটর করুন।

ষষ্ঠত, ক্লাউড-ভিত্তিক প্রক্সি বিবেচনা। Zscaler, Netskope, এবং Cisco Umbrella-র মতো SASE সলিউশন রিমোট কর্মীদের জন্য কার্যকর। অন-প্রিমাইজ এবং ক্লাউড উভয় বিবেচনা করতে হবে।

সপ্তমত, ব্যবহারকারীর অভিজ্ঞতা। অতিরিক্ত কঠোর প্রক্সি কর্মীদের উৎপাদনশীলতা হ্রাস করে। নিয়মিত ফিডব্যাক সংগ্রহ এবং পলিসি পুনর্মূল্যায়ন প্রয়োজন।