Rogue Devices: কর্পোরেট নেটওয়ার্কে অননুমোদিত ডিভাইস শনাক্ত এবং ব্লক করার পদ্ধতি!

Rogue device কয়েকটি প্রধান categoriы-তে পড়ে:

Unauthorized Personal Devices: কর্মচারীদের personal laptop, phone, smartwatch যা corporate network-এ যুক্ত হয়েছে BYOD policy ছাড়াই। সবচেয়ে সাধারণ category এবং সাধারণত non-malicious কিন্তু risk বহন করে।

Shadow IT: Business unit-এর IT অনুমোদন ছাড়া deployed devices বা services—একটি department-এর নিজস্ব Wi-Fi router, একটি unmonitored cloud service, বা একটি unmanaged NAS।

Rogue Wireless Access Points: একজন employee সুবিধার জন্য একটি consumer-grade router এনেছেন কারণ corporate Wi-Fi signal weak। এই device সাধারণত default password সহ চলে এবং পুরো network-কে exposed করে।

Evil Twin Access Points: একজন আক্রমণকারী legitimate SSID-এর সাথে identical SSID broadcast করে user-দের connect করতে প্রলুব্ধ করে এবং তাদের traffic intercept করে।

Malicious Implants: Pwnagotchi, WiFi Pineapple, Bash Bunny, USB Rubber Ducky, LAN Turtle—Hak5-এর তৈরি pentesting tool যা concealed attack platform হিসেবে কাজ করে।

Compromised IoT Devices: Smart printer, IP camera, smart TV, conference room device—এই সব দুর্বল IoT device একবার compromised হলে network-এ একটি persistent foothold হয়ে যায়।

Mirai-style Botnets: Default credential সহ exposed IoT device automatically compromised হয়ে botnet-এর অংশ হয়।

একটি rogue device-এর potential impact বিশাল:

Network Reconnaissance: একটি concealed Raspberry Pi কয়েক মাস ধরে network mapping, credential capture, এবং vulnerability scanning করতে পারে।

Man-in-the-Middle Attacks: ARP spoofing, DNS poisoning, SSL strip—সবই rogue device থেকে launch করা যায়।

Lateral Movement Platform: একবার network-এ established হলে, rogue device আক্রমণকারীর জন্য command and control point হয়ে যায়।

Data Exfiltration: Cellular modem সহ একটি concealed device VPN-এর বাইরে ডেটা leak করতে পারে—যা DLP system দেখতে পায় না।

Backdoor Persistence: Even after primary breach remediated, rogue device থেকে আক্রমণকারীর অ্যাক্সেস বজায় থাকে।

২০২২ সালে একটি financial institution-এ একটি penetration testing exercise-এ আবিষ্কৃত হয়েছিল যে গত ছয় মাস ধরে একটি concealed USB-LAN bridge একটি conference room-এ active ছিল যা কোনো security team-এর নজরে আসেনি।

Rogue device শনাক্তকরণের জন্য multi-layered approach প্রয়োজন:

1. Network Access Control (NAC)

NAC সবচেয়ে কার্যকর প্রতিরোধমূলক control। Cisco ISE, Aruba ClearPass, Forescout CounterACT, Microsoft NPS—এই platform-গুলো নেটওয়ার্কে কোনো device যুক্ত হওয়ার আগে authenticate এবং authorize করে।

802.1X Authentication: প্রতিটি switch port-এ device-কে certificate বা username/password দিয়ে authenticate করতে হয়। Unauthenticated device গুলো guest VLAN-এ বা quarantine network-এ পাঠানো হয়।

MAC Authentication Bypass (MAB): যেসব device 802.1X support করে না (printer, IP phone), তাদের জন্য MAC address-based authentication। তবে MAC spoofing সম্ভব, তাই এটি একা যথেষ্ট নয়।

Device Profiling: NAC system DHCP fingerprint, HTTP user agent, এবং MAC OUI দিয়ে device type identify করে। একটি printer-এর MAC address-এ কোনো laptop attempt করলে block।

2. Wireless Intrusion Detection (WIDS/WIPS)

Cisco Meraki, Aruba, Mist (Juniper)-এর wireless system নিয়মিত spectrum scan করে।

Rogue AP Detection: যদি একটি unauthorized AP corporate SSID broadcast করে বা corporate network-এ wired side থেকে connected থাকে, alert।

Evil Twin Detection: BSSID, signal strength, location pattern analysis।

Containment: Automated deauth packet-এর মাধ্যমে rogue AP-কে client থেকে disconnect করা—যদিও এটি কিছু jurisdiction-এ legally restricted।

3. Asset Inventory এবং Discovery

Active এবং passive discovery দুটোই প্রয়োজন:

Active Scanning: Nmap, Tenable Nessus, Rumble (runZero)—নিয়মিত network scan করে নতুন device শনাক্ত। SNMP, WMI query দিয়ে authoritative inventory।

Passive Discovery: Zeek/Bro, Suricata, ntop-এর মতো tool network traffic analyze করে devices identify করে। কোন packet-ই generate করতে হয় না।

DHCP এবং DNS Log Monitoring: Centralized logging server-এ DHCP lease এবং DNS query monitor। নতুন hostname যা corporate naming convention অনুসরণ করে না—red flag।

4. Endpoint Detection

EDR সলিউশন (CrowdStrike, SentinelOne, Microsoft Defender) প্রতিটি managed endpoint থেকে telemetry সংগ্রহ করে। কোনো endpoint যদি network-এ থাকে কিন্তু EDR agent না থাকে—সম্ভাব্য rogue।

5. SIEM Correlation

Splunk, Microsoft Sentinel, Elastic Security-তে multiple data source correlate করা—DHCP log, NAC log, switch port log, AD authentication log। কোনো MAC address যা DHCP-তে দেখা যাচ্ছে কিন্তু Active Directory-তে computer object নেই—alert।

আক্রমণকারীরা কীভাবে rogue device deploy করে?

Social Engineering: একজন আক্রমণকারী delivery person বা technician সেজে অফিসে প্রবেশ করে। Conference room বা storage closet-এ একটি concealed device plug করে।

Insider Threat: একজন disgruntled employee নিজের laptop ছাড়াও একটি pentesting device আনে।

Tailgating এবং Physical Pentesting: Tailgating-এর মাধ্যমে অফিসে প্রবেশ করে Bash Bunny বা LAN Turtle plant করে।

USB Drop Attack: Malicious USB device parking lot-এ "fortuitously" drop করা হয়। কেউ একজন এটি কম্পিউটারে plug করলে এটি HID device হিসেবে কাজ করে এবং reverse shell দেয়।

Insider Procurement: Vendor relationship abuse করে hardware backdoor সহ legitimate device সরবরাহ। Supply chain attack-এর একটি form।

আক্রমণকারীদের ব্যবহৃত কিছু সাধারণ rogue device:

WiFi Pineapple: Hak5-এর তৈরি। Evil twin, MITM, এবং rogue access point platform।

Bash Bunny: USB device যা ৬ সেকেন্ডে multiple attack execute করতে পারে—keystroke injection, network attack, exfiltration।

Packet Squirrel: Inline network tap—ethernet cable-এর মধ্যে বসিয়ে traffic capture।

Raspberry Pi: $35-এ একটি full Linux computer যা concealed network attack platform হিসেবে ব্যবহার্য।

Cellular Modem-equipped Devices: 4G/5G USB stick বা LTE module সহ Raspberry Pi—যা corporate network এবং attacker-এর infrastructure-এর মধ্যে out-of-band channel তৈরি করে।

Plug Computer: PoisonTap-এর মতো USB device যা কোনো locked computer-এও cookie steal করতে পারে।

Flipper Zero: Multi-purpose RF/NFC/Sub-GHz device যা সাম্প্রতিক বছরগুলোতে অত্যন্ত জনপ্রিয়।

Bank Heist (2018): Eastern European bank-এ আক্রমণকারীরা lobby pretext-এ একটি Raspberry Pi network point-এ plug করে রেখেছিল। মাসের পর মাস তারা internal network থেকে $1M chuy chuyển করেছিল।

Healthcare Implant Discovery: একটি US hospital-এ network sweep-এ একটি unknown device আবিষ্কৃত হয় যা ১৪ মাস ধরে network-এ ছিল।

Tesla Factory Incident (2020): Russian intelligence একজন কর্মচারীকে $1M offer করেছিল Tesla factory-তে একটি malware install করতে।

Government Agency Breach: Multiple government agency-তে IoT printer compromise lateral movement-এর জন্য used হয়েছে।

Rogue device-এর বিরুদ্ধে কার্যকর প্রতিরক্ষা একটি comprehensive strategy দাবি করে:

Technical Controls

Network Access Control: 802.1X enterprise-wide deployment। Certificate-based authentication preferred over password-based। MAC Authentication Bypass-এর সাথে device profiling।

Network Segmentation: VLAN, microsegmentation দিয়ে network-কে compartmentalize করা। IoT VLAN, guest VLAN, server VLAN আলাদা। Cisco TrustSec বা Aruba Dynamic Segmentation।

Port Security: Switch port-এ port security configure করা—একই port-এ unauthorized MAC change হলে port shutdown। DHCP snooping, dynamic ARP inspection।

Wireless Security: WPA3-Enterprise with certificate-based EAP-TLS। PSK-based network avoidance। Rogue AP detection enabled। Continuous spectrum monitoring।

DHCP Snooping এবং IPv6 RA Guard: Layer 2 attack প্রতিরোধ।

Continuous Monitoring: Asset inventory automation। SIEM-এ correlation rules।

EDR Mandatory: প্রতিটি managed device-এ EDR agent। Agentless device আলাদা VLAN-এ।

NAC Posture Assessment: Connection-এর আগে device-এর security posture check—latest patches, AV status, encryption।

Administrative Controls

Clear BYOD Policy: যদি BYOD অনুমোদিত হয়, MDM (Microsoft Intune, Jamf, VMware Workspace ONE) বাধ্যতামূলক। Approved device list, app whitelist।

Vendor Management: Vendor-এর সব device-এর approval প্রয়োজন। Temporary network access, monitored।

Hardware Asset Management: প্রতিটি device-এর procurement থেকে decommission পর্যন্ত tracking। Lansweeper, ServiceNow CMDB।

Security Awareness Training: USB drop, social engineering, tailgating সম্পর্কে কর্মচারী শিক্ষা।

Physical Security: Visitor management, escort policy, monitored deliveries।

Periodic Audits: Quarterly physical sweep—conference room, common area-তে concealed device খোঁজা। RF spectrum analysis।

Incident Response Playbook: Rogue device discovery হলে specific response procedure—isolation, forensic capture, root cause analysis।

Detection এবং Hunting

Threat Hunting: ROIC team নিয়মিত network anomaly hunt করে। Unauthorized DNS queries, unusual data flow, off-hours activity।

Behavioral Analytics: User and Entity Behavior Analytics (UEBA) দিয়ে compromised credential বা anomalous device behavior শনাক্ত।

Wireless Site Survey: বছরে অন্তত একবার professional wireless site survey—coverage analysis এবং rogue AP discovery।

Penetration Testing: Physical pentest যেখানে tester rogue device deploy চেষ্টা করে।