একক প্যাকেট অনুমোদন

PortGuard

৩.২ ক্লাউড পরিবেশে পরিষেবা সুরক্ষা

দৃশ্যকল্প:AWS, Azure এবং অন্যান্য ক্লাউড প্ল্যাটফর্মের অভ্যন্তরীণ পরিষেবাগুলি (যেমন, ডাটাবেস, ওয়েব সার্ভার) পাবলিক নেটওয়ার্কের মাধ্যমে অ্যাক্সেস করা প্রয়োজন, তবে পোর্টগুলি সরাসরি উন্মুক্ত হওয়া এড়াতে হবে।

বাস্তবায়ন: পোর্টগার্ড NAT-এর সাথে একীভূত হয় যাতে বহিরাগত ক্লায়েন্টরা SPA-এর মাধ্যমে RFC 1918 ঠিকানা স্থানে অভ্যন্তরীণ পরিষেবাগুলি অ্যাক্সেস করতে পারে।

সুবিধাদি: হাইব্রিড ক্লাউড এবং মাল্টি-টেন্যান্ট পরিবেশের জন্য উপযুক্ত জটিল নেটওয়ার্ক টপোলজি সমর্থন করে।

উদাহরণ: AWS EC2 ইনস্ট্যান্সে fwknopd চালান, অনুমোদিত ব্যবহারকারীদের অ্যাক্সেসের জন্য গতিশীলভাবে MySQL পোর্ট (3306) খুলুন।

৩.৩ পোর্ট স্ক্যানিং এবং ব্রুট ফোর্সের বিরুদ্ধে রক্ষা করুন

দৃশ্যকল্প:সার্ভারগুলি পোর্ট স্ক্যানিং (যেমন, Nmap) বা ব্রুট ফোর্স আক্রমণের সম্মুখীন হয় এবং আক্রমণের পৃষ্ঠ কমাতে পরিষেবা পোর্টগুলি লুকিয়ে রাখতে হয়।

বাস্তবায়ন: পোর্টগার্ড ডিফল্ট ড্রপ ফায়ারওয়াল নীতি বজায় রাখে, বৈধ SPA ডেটা প্যাকেট পাওয়ার পরেই কেবল পোর্টগুলি খোলা হয়।

সুবিধাদি: এমনকি যদি অপ্রকাশিত দুর্বলতা থাকে, আক্রমণকারীরা পরিষেবা পোর্টগুলি আবিষ্কার করতে পারে না।

উদাহরণ: SSH ব্রুট ফোর্স প্রতিরোধ করুন, fwknop শুধুমাত্র HMAC যাচাই করার পরে পোর্ট খোলে।

৩.৪ একাধিক পরিষেবা সুরক্ষা সমর্থন করুন

দৃশ্যকল্প:এন্টারপ্রাইজগুলিকে একাধিক পরিষেবা (যেমন, SSH, RDP, VPN, ডাটাবেস) সুরক্ষিত রাখতে হবে কিন্তু তারা চায় না যে সমস্ত পোর্ট সর্বদা খোলা থাকুক।

বাস্তবায়ন: fwknop access.conf-এ একাধিক পরিষেবা এবং পোর্ট সংজ্ঞায়িত করতে সহায়তা করে এবং ক্লায়েন্ট লক্ষ্য প্রোটোকল এবং পোর্ট নির্দিষ্ট করতে পারে।

সুবিধাদি: নমনীয় নিয়ম কনফিগারেশন, কাস্টম টাইমআউট এবং পোর্ট ওপেন কৌশল সমর্থন করে।

উদাহরণ: SSH (tcp/22) এবং OpenVPN (udp/1194) উভয়কেই সুরক্ষিত রাখতে fwknop কনফিগার করুন।

৩.৫ এমবেডেড বা আইওটি ডিভাইস সুরক্ষা

দৃশ্যকল্প:আইওটি ডিভাইস বা এমবেডেড সিস্টেমের জন্য রিমোট ম্যানেজমেন্ট প্রয়োজন, কিন্তু ডিভাইসের রিসোর্স সীমিত এবং আক্রমণের জন্য ঝুঁকিপূর্ণ।

বাস্তবায়ন: রিসোর্স-সীমাবদ্ধ ডিভাইসে হালকা ওজনের fwknopd অথবা tnokd চালান, SPA অথবা TOTP এর মাধ্যমে অ্যাক্সেস নিয়ন্ত্রণ করুন।

সুবিধাদি: কম সম্পদ খরচ, ছোট ডিভাইসের জন্য উপযুক্ত।

উদাহরণ: রাস্পবেরি পাইতে চলমান ওয়েব পরিষেবাটি সুরক্ষিত করুন।

৩.৬ তৃতীয় পক্ষের ডিভাইস ইন্টিগ্রেশন

দৃশ্যকল্প:নেটিভ fwknop (যেমন, সিসকো রাউটার) সমর্থন করে না এমন ডিভাইসগুলির সাথে একীভূত করতে হবে, ফায়ারওয়াল নিয়ম নিয়ন্ত্রণ করতে হবে।

বাস্তবায়ন: fwknop-এর কমান্ড ওপেন/ক্লোজ সাইকেল (কমান্ড ওপেন/ক্লোজ সাইকেল) বৈশিষ্ট্যটি কাস্টম স্ক্রিপ্টগুলি কার্যকর করে তৃতীয় পক্ষের ডিভাইসের ACL গতিশীলভাবে পরিবর্তন করতে দেয়।

সুবিধাদি: এক্সটেনসিবল, অ-মানক ফায়ারওয়াল ডিভাইসগুলিকে সমর্থন করে।

উদাহরণ: লিনাক্স সার্ভারে fwknopd চালান, SSH এর মাধ্যমে সিসকো রাউটারের ACL আপডেট করুন।

৩.৭ প্রযুক্তিগত বিবরণ

• fwknop টাইমআউট নির্ধারণ সমর্থন করে (CMD_CYCLE_TIMER), পোর্ট খোলা স্বয়ংক্রিয়ভাবে বন্ধ হয়ে যায়, এক্সপোজার সময় হ্রাস করে।
• একটি নিরাপদ ব্যক্তিগত নেটওয়ার্ক তৈরি করতে VPN (যেমন, WireGuard, OpenVPN) এর সাথে একত্রিত করা যেতে পারে।
• HTTP পরিবেশে SPA-এর জন্য উপযুক্ত, X-Forwarded-For হেডার পার্সিং সমর্থন করে।

৪.২ পোর্ট স্ক্যানিং প্রতিরোধ করুন

প্রক্রিয়া: পোর্টগার্ড ডিফল্ট ড্রপ ফায়ারওয়াল নীতি ব্যবহার করে এবং অনুমোদিত না থাকলে সার্ভিস পোর্টটি অদৃশ্য থাকে, তাই এনম্যাপ এবং অন্যান্য সরঞ্জামগুলি এটি সনাক্ত করতে পারে না।

নিরাপত্তা: আক্রমণের পৃষ্ঠ উল্লেখযোগ্যভাবে হ্রাস করে, এমনকি যদি শূন্য-দিনের দুর্বলতা থাকে, আক্রমণকারীরা পরিষেবা পোর্টটি সনাক্ত করতে পারে না।

সীমাবদ্ধতা: যদি নক ডেটা প্যাকেটটি স্নিগ্ধ করা হয় (ঐতিহ্যবাহী পোর্ট নকিং এর জন্য বেশি সংবেদনশীল), আক্রমণকারীরা পুনরায় খেলার চেষ্টা করতে পারে (SPA HMAC এর মাধ্যমে এই সমস্যার সমাধান করেছে)।

৪.৩ ব্রুট ফোর্স প্রতিরোধ করুন

প্রক্রিয়া: SPA ডেটা প্যাকেটগুলি সঠিকভাবে এনক্রিপ্ট করা এবং HMAC প্রমাণীকরণ করা প্রয়োজন, ব্রুট ফোর্স প্রায় অসম্ভব (ব্যর্থ HMAC সহ ডেটা প্যাকেটগুলি সরাসরি বাতিল করা হয়)।

নিরাপত্তা: ঐতিহ্যবাহী পোর্ট নকিংয়ের তুলনায়, SPA-এর একক-প্যাকেট নকশা এবং এনক্রিপশন প্রক্রিয়া নৃশংস বল প্রতিরোধের ক্ষমতা উল্লেখযোগ্যভাবে উন্নত করে।

সীমাবদ্ধতা: কনফিগারেশন ত্রুটি (যেমন, দুর্বল কী বা অক্ষম HMAC) নিরাপত্তা হ্রাস করতে পারে।