Wi-Fi Security: আপনার অফিস বা বাসার ওয়াইফাই নেটওয়ার্ক কি হ্যাকারদের অনুপ্রবেশের জন্য উন্মুক্ত? নিরাপদ ওয়্যারলেস কনফিগারেশন জেনে নিন!

Wi-Fi নিরাপত্তার ইতিহাস একটি ক্রমাগত আক্রমণ এবং প্রতিরক্ষার গল্প। WEP (Wired Equivalent Privacy) ১৯৯৭ সালে চালু হয়েছিল কিন্তু এর দুর্বলতা শীঘ্রই প্রকাশিত হয়। RC4 stream cipher এবং দুর্বল ২৪-বিট IV (Initialization Vector) ব্যবহারের কারণে aircrack-ng-এর মতো টুল দিয়ে কয়েক মিনিটেই WEP key crack করা যায়। আধুনিক যুগে কোনো নেটওয়ার্কে WEP ব্যবহার করা অগ্রহণযোগ্য, যদি কোনো ডিভাইস WPA2 সমর্থন না করে, তা বদলে ফেলুন।

WPA (২০০৩) WEP-এর দ্রুত প্রতিস্থাপন হিসেবে এসেছিল, TKIP ব্যবহার করে। তবে এটিও পরে দুর্বল প্রমাণিত হয়েছিল। WPA2 (২০০৪) AES-CCMP ব্যবহার করে যা আজও মূলত নিরাপদ। তবে WPA2-PSK-এ KRACK (Key Reinstallation Attack) এবং PMKID আক্রমণের মতো গুরুত্বপূর্ণ দুর্বলতা পাওয়া গেছে। WPA3 (২০১৮) সর্বশেষ স্ট্যান্ডার্ড যা SAE (Simultaneous Authentication of Equals) ব্যবহার করে dictionary attack অনেক কঠিন করে। Forward Secrecy WPA3-এ অন্তর্ভুক্ত, যা মানে এক সেশন কম্প্রোমাইজ হলেও অন্যগুলো সুরক্ষিত থাকে। WPA3-Enterprise 192-bit security mode সংবেদনশীল পরিবেশের জন্য। নতুন নেটওয়ার্ক ডিপ্লয়ের সময় সম্ভব হলে WPA3 ব্যবহার করুন, না হলে অন্তত WPA2-AES (TKIP নয়)।

হ্যাকাররা Wi-Fi নেটওয়ার্ক আক্রমণে বিভিন্ন কৌশল ব্যবহার করেন। সবচেয়ে সাধারণ হলো WPA/WPA2 Handshake Capture এবং Offline Cracking। আক্রমণকারী একটি Monitor Mode-এ ওয়্যারলেস কার্ড ব্যবহার করে কাছাকাছি AP-গুলোর 4-Way Handshake ক্যাপচার করেন। এটি সংগ্রহ করতে হয় তখন যখন একজন বৈধ ক্লায়েন্ট সংযোগ স্থাপন করেন। যদি কেউ স্বাভাবিকভাবে সংযোগ না করে, আক্রমণকারী Deauthentication Attack-এর মাধ্যমে existing ক্লায়েন্টকে disconnect করেন, যাতে তারা reconnect করতে বাধ্য হন।

একবার Handshake ক্যাপচার হলে, আক্রমণকারী Hashcat বা John the Ripper-এর মতো টুল দিয়ে offline brute force বা dictionary attack চালান। দুর্বল পাসওয়ার্ড কয়েক ঘণ্টা থেকে দিনের মধ্যে crack হতে পারে। PMKID Attack ২০১৮ সালে আবিষ্কৃত একটি নতুন কৌশল যা client connection ছাড়াই WPA2 key crack করতে সক্ষম। Evil Twin Attack-এ একটি জাল AP তৈরি করা হয় যার SSID আসল AP-এর মতো, এবং ব্যবহারকারীরা ভুল করে সংযোগ স্থাপন করেন। তারপর আক্রমণকারী Man-in-the-Middle আক্রমণ চালান বা phishing page প্রদর্শন করেন। WPS PIN Attack (Reaver, Bully) WPS সক্রিয় AP-তে কাজ করে এবং প্রায়ই কয়েক ঘণ্টায় সফল হয়।

বাংলাদেশের প্রেক্ষাপটে কয়েকটি Wi-Fi আক্রমণ পরিদৃশ্য বিশেষভাবে প্রচলিত। প্রথমটি হলো residential network থেকে ISP লাইন চুরি। প্রতিবেশীরা প্রায়ই দুর্বল পাসওয়ার্ড ক্র্যাক করে ফ্রি ইন্টারনেট ব্যবহার করেন। এতে শুধু গতি কমে যায় না, ISP-র সাথে আইনি সমস্যা হতে পারে যদি অপরাধী কর্মকাণ্ডে IP ব্যবহার হয়। দ্বিতীয়টি হলো অফিস এবং বাণিজ্যিক প্রতিষ্ঠানে Wi-Fi কম্প্রোমাইজ। অনেক প্রতিষ্ঠানে একই Wi-Fi নেটওয়ার্কে guest, কর্মী, এবং সার্ভার সবাই থাকে। একবার কেউ এই নেটওয়ার্কে প্রবেশ করলে অভ্যন্তরীণ সিস্টেমে আক্রমণ সহজ হয়।

ক্যাফে এবং হোটেলের পাবলিক Wi-Fi একটি বড় ঝুঁকি। এই নেটওয়ার্কগুলো সাধারণত open বা একটি sharing password ব্যবহার করে, ফলে যেকোনো ব্যবহারকারী অন্যদের traffic দেখতে পারেন। ARP Spoofing এবং DNS Spoofing আক্রমণে ব্যবহারকারীদের ব্যাংকিং পাসওয়ার্ড চুরি হওয়ার ঘটনা ঘটেছে। মোবাইল ব্যাংকিং এবং বিকাশ/নগদের পাসওয়ার্ড পাবলিক Wi-Fi-তে ব্যবহার করা অত্যন্ত বিপজ্জনক। বিমানবন্দরের ফ্রি Wi-Fi এবং বিভিন্ন অনুষ্ঠানে temporary networks-এ Evil Twin আক্রমণ সাধারণ। সচেতন না হলে গুরুত্বপূর্ণ corporate document এবং ব্যক্তিগত তথ্য আক্রমণকারীর হাতে চলে যায়।

আপনার Wi-Fi নেটওয়ার্ক সুরক্ষিত করার প্রথম ধাপ হলো রাউটার সঠিকভাবে কনফিগার করা। ডিফল্ট পাসওয়ার্ড অবশ্যই পরিবর্তন করুন, যা প্রায়ই admin/admin বা admin/password হয়। RouterPasswords.com-এর মতো সাইটে সব ব্র্যান্ডের ডিফল্ট পাসওয়ার্ড পাবলিকলি পাওয়া যায়। রাউটারের ওয়েব ইন্টারফেসে শুধু https অ্যাক্সেস সক্ষম করুন এবং remote management সম্পূর্ণ disable রাখুন, যদি প্রয়োজন না হয়।

ডিফল্ট SSID পরিবর্তন করুন। ডিফল্ট SSID প্রায়ই রাউটার ব্র্যান্ড এবং মডেল প্রকাশ করে (যেমন TP-Link_1234), যা আক্রমণকারীকে নির্দিষ্ট দুর্বলতা খুঁজতে সাহায্য করে। তবে SSID-তে ব্যক্তিগত তথ্য (যেমন আপনার নাম বা ঠিকানা) যোগ করবেন না। SSID hiding সাধারণ ব্যবহারকারীর জন্য কাজে আসে না কারণ wireless scanner সহজেই hidden SSID দেখতে পায়। সর্বদা সর্বশেষ firmware ইনস্টল করুন। অনেক রাউটার ভেন্ডর গুরুত্বপূর্ণ নিরাপত্তা প্যাচ প্রকাশ করে, কিন্তু ব্যবহারকারীরা আপডেট করেন না। OpenWrt বা DD-WRT-এর মতো ওপেন সোর্স firmware বিবেচনা করুন যেগুলো সাধারণত আরো নিয়মিত আপডেট পায় এবং অতিরিক্ত নিরাপত্তা ফিচার প্রদান করে।

Wi-Fi পাসওয়ার্ড আপনার নেটওয়ার্কের প্রাথমিক প্রতিরক্ষা। একটি শক্তিশালী পাসওয়ার্ড কমপক্ষে ১৬ অক্ষর দীর্ঘ হওয়া উচিত, যেখানে অক্ষর, সংখ্যা, এবং বিশেষ চিহ্ন থাকবে। সাধারণ শব্দ, জন্মতারিখ, বা ফোন নম্বর ব্যবহার করবেন না। একটি ভালো পদ্ধতি হলো random passphrase, যেমন "Correct-Horse-Battery-Staple-2024!" যা মনে রাখা সহজ কিন্তু crack করা কঠিন। Diceware পদ্ধতিতে dice ব্যবহার করে random শব্দ নির্বাচন করা যায়।

WPS (Wi-Fi Protected Setup) disable করুন। যদিও এটি সুবিধাজনক, WPS PIN attack এর মাধ্যমে কয়েক ঘণ্টায় Wi-Fi password আবিষ্কার করা যায়। কর্পোরেট পরিবেশে WPA2/WPA3-Enterprise ব্যবহার করুন, যেখানে প্রতিটি ব্যবহারকারীর জন্য আলাদা credentials থাকে। RADIUS server (যেমন FreeRADIUS) ব্যবহার করে centralized authentication প্রয়োগ করুন। 802.1X EAP-TLS certificate-based authentication সবচেয়ে নিরাপদ, যেখানে প্রতিটি ডিভাইসে digital certificate থাকে। EAP-PEAP password-based, যা সহজ কিন্তু কম নিরাপদ। নিয়মিত পাসওয়ার্ড পরিবর্তন করুন, বিশেষত যদি কোনো কর্মচারী চলে যান বা কোনো ডিভাইস হারান। শেয়ার পাসওয়ার্ড সাবধানে এবং নিরাপদ চ্যানেলে।

একটি কার্যকর Wi-Fi নিরাপত্তা কৌশলে network segmentation অপরিহার্য। সমস্ত ডিভাইস একই নেটওয়ার্কে রাখলে একটি কম্প্রোমাইজড ডিভাইস বাকি সব ডিভাইসকে ঝুঁকিতে ফেলে। আধুনিক home router-এ Guest Network ফিচার ব্যবহার করুন আপনার অতিথি এবং IoT ডিভাইসের জন্য। Guest network আলাদা subnet-এ থাকে এবং main network-এর সাথে যোগাযোগ করতে পারে না। ফলে আপনার অতিথির ফোনে ম্যালওয়্যার থাকলেও আপনার কম্পিউটার সুরক্ষিত থাকে।

IoT ডিভাইস (স্মার্ট বাল্ব, স্মার্ট থার্মোস্ট্যাট, স্মার্ট স্পিকার) প্রায়ই দুর্বল নিরাপত্তা সহ আসে। এদেরকে একটি আলাদা VLAN বা guest network-এ রাখুন। কর্পোরেট পরিবেশে multiple VLAN ব্যবহার করুন: কর্মী, অতিথি, IoT, এবং production server-এর জন্য আলাদা। 802.1Q VLAN tagging-এর মাধ্যমে একই physical infrastructure-এ লজিকাল segmentation সম্ভব। Inter-VLAN routing-এ কঠোর firewall rules প্রয়োগ করুন। Wireless Intrusion Prevention System (WIPS) ব্যবহার করুন rogue AP শনাক্ত এবং ব্লক করতে। প্রতিটি segment-এ আলাদা SSID এবং password ব্যবহার করুন। Network Access Control (NAC) ডিভাইস authentication এবং posture check করতে পারে। MAC address filtering সম্পূর্ণ সুরক্ষা প্রদান করে না (MAC spoof করা যায়) কিন্তু একটি অতিরিক্ত স্তর হতে পারে।

পাবলিক Wi-Fi একটি বিশেষ চ্যালেঞ্জ। এই নেটওয়ার্কগুলো ব্যবহার করতে হলে কিছু সতর্কতা মেনে চলুন। প্রথমত, সর্বদা একটি বিশ্বস্ত VPN ব্যবহার করুন। VPN আপনার ট্র্যাফিক এনক্রিপ্ট করে, ফলে পাবলিক Wi-Fi-তে অন্যরা আপনার ডেটা দেখতে পারে না। বিনামূল্যের VPN এড়িয়ে চলুন, কারণ এরা প্রায়ই ডেটা বিক্রি করে। দ্বিতীয়ত, সংবেদনশীল কাজ (ব্যাংকিং, পাসওয়ার্ড পরিবর্তন) পাবলিক Wi-Fi-তে এড়িয়ে চলুন। যদি অপরিহার্য, সেলুলার ডেটা বা VPN ব্যবহার করুন।

তৃতীয়ত, HTTPS Everywhere এক্সটেনশন ইনস্টল করুন (যদিও আধুনিক ব্রাউজার এখন ডিফল্টরূপে এটি প্রয়োগ করে)। শুধু HTTPS সাইট ব্যবহার করুন। SSL warning এড়িয়ে যাবেন না, এটি Man-in-the-Middle আক্রমণের সংকেত হতে পারে। চতুর্থত, File Sharing এবং Network Discovery disable করুন। Windows-এ "Public network" হিসেবে পাবলিক Wi-Fi চিহ্নিত করুন। পঞ্চমত, "Auto-connect to open networks" disable করুন। আপনার ডিভাইস automatically Evil Twin AP-তে সংযুক্ত হতে পারে। ষষ্ঠত, ব্যবহার শেষে "Forget Network" করুন যাতে ভবিষ্যতে automatic connection না হয়। MAC Address Randomization আধুনিক ডিভাইসে সক্ষম রাখুন যা tracking কঠিন করে।

আপনার নেটওয়ার্ক ক্রমাগত মনিটর করা গুরুত্বপূর্ণ। অনেক রাউটার Connected Devices তালিকা দেখায়। নিয়মিত পরীক্ষা করুন, অপরিচিত ডিভাইস আছে কিনা। প্রতিটি ডিভাইসের MAC address এবং hostname যাচাই করুন। অস্বাভাবিক bandwidth ব্যবহার লক্ষ্য করুন, একটি কম্প্রোমাইজড ডিভাইস বা অননুমোদিত ব্যবহারকারী অস্বাভাবিকভাবে বেশি ডেটা ব্যবহার করতে পারেন।

Fing-এর মতো অ্যাপ্লিকেশন network discovery এবং device identification-এ সাহায্য করে। কর্পোরেট পরিবেশে Wireless IDS/IPS যেমন Cisco CleanAir, Aruba RFProtect, অথবা Kismet ব্যবহার করুন। এগুলো rogue AP, Evil Twin, এবং Deauth Attack শনাক্ত করতে পারে। SIEM সিস্টেমে wireless logs ইন্টিগ্রেট করুন। Wireshark ব্যবহার করে নিজে network analysis করতে পারেন। Channel utilization এবং interference নিয়মিত পরিমাপ করুন। লোগো-বিহীন বা ভুল-নামের SSID-গুলো লক্ষ্য করুন যা আপনার ব্যবসার নাম অনুকরণ করছে কিনা। মোবাইল ম্যানেজমেন্ট সলিউশন (যেমন Microsoft Intune) ব্যবহার করুন কর্পোরেট ডিভাইসের wireless configuration কেন্দ্রীয়ভাবে পরিচালনা করতে। Penetration Testing নিয়মিত করুন আপনার নিজের Wi-Fi নেটওয়ার্কের বিরুদ্ধে।

একটি ব্যাপক Wi-Fi নিরাপত্তা কৌশল তৈরি করতে এই Best Practices অনুসরণ করুন। প্রথমত, WPA3 ব্যবহার করুন যদি সমস্ত ডিভাইস সমর্থন করে। অন্যথায় WPA2-AES (TKIP নয়) ব্যবহার করুন। দ্বিতীয়ত, ১৬+ অক্ষরের শক্তিশালী passphrase ব্যবহার করুন এবং প্রতি ৬-১২ মাসে পরিবর্তন করুন। তৃতীয়ত, WPS সম্পূর্ণ disable করুন। চতুর্থত, রাউটার firmware এবং সমস্ত সংযুক্ত ডিভাইস নিয়মিত আপডেট করুন।

পঞ্চমত, Guest Network এবং VLAN segmentation ব্যবহার করে main network থেকে IoT এবং অতিথি ডিভাইস আলাদা করুন। ষষ্ঠত, কর্পোরেট পরিবেশে WPA2/3-Enterprise এবং RADIUS server ব্যবহার করুন। সপ্তমত, Remote Management এবং অপ্রয়োজনীয় services (Telnet, FTP) disable করুন। অষ্টমত, রাউটার admin password শক্তিশালী রাখুন এবং HTTPS-only management সক্ষম করুন। নবমত, Wireless Intrusion Detection System ডিপ্লয় করুন corporate পরিবেশে। দশমত, পাবলিক Wi-Fi ব্যবহারের সময় সর্বদা VPN চালু রাখুন। একাদশত, Connected Devices তালিকা নিয়মিত পরীক্ষা করুন। দ্বাদশত, কর্মীদের Wi-Fi নিরাপত্তা প্রশিক্ষণ দিন, বিশেষত Evil Twin এবং Phishing সম্পর্কে। ত্রয়োদশত, Physical security অবহেলা করবেন না, রাউটার এমন জায়গায় রাখুন যেখানে অননুমোদিত ব্যক্তি reset button চাপতে পারবেন না। চতুর্দশত, একটি Incident Response Plan প্রস্তুত করুন wireless compromise-এর ক্ষেত্রে। অবশেষে, নিয়মিত wireless penetration testing করুন যাতে দুর্বলতা শনাক্ত হলে দ্রুত সমাধান করা যায়।