সমস্যা
অ্যানোনিমাইজেশন সেবাসমূহ প্রায়ই বিভিন্ন ব্রাউজিং নিষেধাজ্ঞা এবং ইন্টারনেট ফায়ারওয়ালকে বাইপাস করতে ব্যবহৃত হয়। অনেক সম্মানিত এবং জনপ্রিয় অ্যানোনিমাইজার NGFW/প্রথাগত ফায়ারওয়ালগুলি ইভাসিভ কৌশল ব্যবহার করে বাইপাস করে। এই কৌশলগুলির মধ্যে SNI স্পুফিং, ইভাসিভ প্রোটোকল, CDN-এর পেছনে লুকানো এবং সার্ভার আইপি-এর মধ্যে লাফানো অন্তর্ভুক্ত। ক্যাটো যে কোনো অজ্ঞাতনামা সেবা যা একটি অ্যাপ্লিকেশন বা সেবা হিসাবে শনাক্ত করতে পারে, তা "অজ্ঞাতনামা" নামে শ্রেণীভুক্ত হবে। উদাহরণস্বরূপ, ClearVPN, Hola VPN, Mullvad VPN, NordVPN, CyberGhost VPN, TunnelBear VPN, Private Internet Access (PIA), Surfshark VPN, Express VPN, এবং আরও অনেক।
এই নিবন্ধটি ব্যাখ্যা করে কিভাবে অ্যানোনিমাইজেশন সেবাসমূহকে কার্যকরভাবে ব্লক করার জন্য একটি বেসলাইন ফায়ারওয়াল নিয়ম তৈরি করবেন। তবে, অ্যানোনিমাইজার দ্বারা ব্যবহৃত বিভিন্ন ইভাসিভ কৌশলগুলির কারণে, সবগুলিকে সফলভাবে ব্লক করা চ্যালেঞ্জিং হতে পারে। যদি কোনো অ্যানোনিমাইজার বেসলাইন নিয়মগুলি কনফিগার করার পরেও ব্লক না হয়, সহায়তার জন্য সাপোর্ট যোগাযোগ করুন।
নোট: TLS এবং IPS-ও সক্রিয় করতে হবে।
সমাধান
বেসলাইন সুরক্ষা স্থাপন করতে, দুটি ইন্টারনেট ফায়ারওয়াল (IFW) নিয়ম তৈরি করতে হবে। অতিরিক্ত, এটি একটি অ্যাপ্লিকেশন নিয়ন্ত্রণ নীতি তৈরি করার সর্বোত্তম অনুশীলন, যা একটি বৈধ CASB লাইসেন্স প্রয়োজন।
- প্রথম নিয়মটি অ্যানোনিমাইজার বিভাগকে IFW নিয়ম ব্যবহার করে ব্লক করে।
- দ্বিতীয় নিয়মটি সাধারণ প্রোটোকল এবং অ্যানোনিমাইজার দ্বারা ব্যবহৃত ইভাসিভ কৌশলগুলিকে IFW নিয়ম ব্যবহার করে ব্লক করে।
- (ঐচ্ছিক) তৃতীয় নিয়মটি একটি অ্যাপ্লিকেশন নিয়ন্ত্রণ নীতি ব্যবহার করে OpenVPN ফাইলসমূহ ব্লক করে। (এটি একটি বৈধ CASB লাইসেন্স প্রয়োজন)
ক্যাটো সবচেয়ে সাধারণভাবে ব্যবহৃত অ্যানোনিমাইজারদের একটি নির্বাচিত তালিকা রক্ষণাবেক্ষণ করে। এই তালিকাটি দেখতে, সম্পদ > অ্যাপ ক্যাটালগ এ যান এবং "ক্যাটাগরি" এর অধীনে "অ্যানোনিমাইজার" নির্বাচন করুন।
এই তালিকায় অন্তর্ভুক্ত নয় এমন অন্যান্য অ্যানোনিমাইজারদের জন্য, আমরা তাদের প্রোটোকল এবং তারা যে ইভাসিভ কৌশল ব্যবহার করে তা দ্বারা শনাক্ত করি। WireGuard, OpenVPN, ইভাসিভ DNS, এবং ইভাসিভ TLS অ্যানোনিমাইজার দ্বারা প্রায়ই ব্যবহৃত প্রোটোকল এবং কৌশল যা গোপনীয়তা বাড়ায় এবং নেটওয়ার্ক বিধিনিষেধগুলি বাইপাস করে।
WireGuard
WireGuard প্রোটোকল ব্লক করতে ইন্টারনেট ফায়ারওয়াল নীতিসমূহ এ WireGuard প্রোটোকল ব্লক করতে হবে।
OpenVPN
OpenVPN একটি সুরক্ষিত সুড়ঙ্গ প্রোটোকল যা সাইট-টু-সাইট এবং পয়েন্ট-টু-পয়েন্ট সংযোগের জন্য ব্যবহৃত হয়। এটি TCP বা UDP মাধ্যমে যোগাযোগ করতে পারে এবং ব্যবহারকারী পোর্টকে সংজ্ঞায়িত করতে পারে।
OpenVPN প্রোটোকল ব্লক করতে ইন্টারনেট ফায়ারওয়াল নিয়মে OpenVPN প্রোটোকল ব্লক করুন এবং ফাইল নিয়ন্ত্রণ নিয়ম ব্যবহার করে OpenVPN কনফিগারেশন ফাইলসমূহ ব্লক করুন।
চালাক ডিএনএস
বহু অ্যানোনিমাইজার ফায়ারওয়ালকে বাইপাস করার জন্য পোর্ট 53 (যাকে "চালাক ডিএনএস" বলা হয়) এর মাধ্যমে ডিএনএস টানেলিং এবং অন্যান্য ইউডিপি ট্রাফিক ব্যবহার করে।
TCP/443 তে চালাক ট্রাফিক
পোর্ট 443 এর মাধ্যমে চালাক ট্রাফিক অ্যানোনিমাইজারগুলি তাদের কর্মকাণ্ডকে বৈধ TLS ট্রাফিকের মধ্যে আড়াল করতে ব্যবহৃত একটি কৌশল। সরকারী RFC অনুযায়ী, এগুলি প্রকৃত TLS ট্রাফিক নয়।
অনেক অ্যানোনিমাইজার ফায়ারওয়ালকে বাইপাস করার জন্য চালাক TLS ট্রাফিক ব্যবহার করে।
নিচে কিছু পরিচিত অ্যানোনিমাইজার রয়েছে যা আনোনিমাইজার ক্যাটাগরি এবং সংশ্লিষ্ট ইন্টারনেট ফায়ারওয়াল সেবা ব্লক করে সফলভাবে ব্লক করা যেতে পারে।
|
ইন্টারনেট ফায়ারওয়াল (IFW) সেবা |
||||||
| অ্যানোনিমাইজারস | WireGuard প্রোটোকল | OpenVPN প্রোটোকল | চালাক ডিএনএস | TCP/443 তে চালাক ট্রাফিক | অ্যানোনিমাইজার ক্যাটাগরি ব্লক করতে IFW নিয়ম কনফিগার করুন | মন্তব্যসমূহ |
| পরিষ্কার VPN | ✔︎ | |||||
| Hola VPN | ✔︎ | IFW সেবা HTTP প্রক্সিও ব্লক করতে হবে | ||||
| Mullvad | ✔︎ | |||||
| NordVPN | ✔︎ | ✔︎ | ✔︎ | ✔︎ | ✔︎ | উইন্ডোজ-এ “obfuscated servers” মোড ব্লক হবে না |
| CyberGhost VPN | ✔︎ | ✔︎ | ||||
| TunnelBear VPN | ✔︎ | ✔︎ | ✔︎ | IFW সেবা ISAMP এবং IPsec NAT Traversalও ব্লক করতে হবে। IFW পোর্ট/প্রোটোকল TCP/6418 ব্লক করতে হবে | ||
| PIA (ব্যক্তিগত ইন্টারনেট অ্যাক্সেস) | ✔︎ | |||||
| Sufshark VPN | ✔︎ | ✔︎ | ✔︎ | ✔︎ | ||
| ExpressVPN | ✔︎ | ✔︎ | উইন্ডোজ ডিভাইসের জন্য IFW নিয়মে OpenVPN সেবা ব্লক করা প্রয়োজন | |||
| অগ্রিম VPN | ✔︎ | ✔︎ | ✔︎ | ✔︎ | আইপিএস সক্রিয় করা প্রয়োজন। এছাড়াও IPsec NAT ট্রাভার্সাল এর IFW সেবাসমূহ ব্লক করা প্রয়োজন। | |
উপরের টেবিলে তালিকাভুক্ত নয় এমন অ্যানোনিমাইজারগুলির জন্য, সেগুলিকে ব্লক করার জন্য মূল ফায়ারওয়াল নিয়মগুলি তৈরি করতে নীচের ধাপগুলি অনুসরণ করুন।
নিয়ম 1: অ্যানোনিমাইজার ক্যাটাগরি ব্লক করুন
- নিরাপত্তা > ইন্টারনেট ফায়ারওয়াল এ যান
- নতুন এ ক্লিক করুন > নতুন নিয়ম
- অ্যাপ/বিভাগ এর অধীনে, অ্যাপ্লিকেশন ক্যাটাগরি নির্বাচন করুন। এরপর, ড্রপডাউন তালিকা থেকে অ্যানোনিমাইজার নির্বাচন করুন।
নিয়ম 2: সন্দেহজনক সেবা ব্লক করুন
- নিরাপত্তা > ইন্টারনেট ফায়ারওয়াল এ যান
- নতুন এ ক্লিক করুন > নতুন নিয়ম
- সেবা/পোর্ট এর অধীনে, নিম্নলিখিত সেবাসমূহ কনফিগার করুন
এই দুটি নিয়ম কনফিগার করার পরে, এগুলি নীচে প্রদর্শিত উদাহরণের মতো দেখতে হবে:
নোট: সন্দেহজনক সেবাসমূহ ব্লক করার জন্য নিয়ম 2 কনফিগার করলে এটি অনিচ্ছাকৃতভাবে বৈধ অ্যাপ্লিকেশনগুলোকে ব্লক করতে পারে, কারণ এই প্রোটোকল এবং প্রযুক্তিগুলো শুধুমাত্র অ্যানোনিমাইজার দ্বারা ব্যবহার করা হয় না। উদাহরণস্বরূপ, টেলিগ্রাম TCP/443 এর উপর ইভাসিভ ট্রাফিক ব্যবহার করে। সর্বোত্তম অনুশীলন হিসেবে, আমরা এক সপ্তাহের জন্য নিরীক্ষণ করতে নিয়ম সেট করার পরামর্শ দিই যাতে কোনো ভুল ইতিবাচক সনাক্ত করা যায়। যদি ভুল ইতিবাচক ঘটে, বৈধ অ্যাপ্লিকেশনকে সঠিকভাবে কাজ করতে অনুমতি দেওয়ার জন্য নিয়মে একটি ব্যতিক্রম তৈরি করুন। যেকোন ভুল ইতিবাচক সমাধানের পরে, নিয়মটি ব্লক করতে পরিবর্তন করুন।
একটি ব্যতিক্রম নিয়ম তৈরি করার উপায় সম্পর্কে ইন্টারনেট অনুমোদন করুন সংযোগের জন্য ব্যতিক্রম ব্যবহারসাথে পরামর্শ করুন।
নিয়ম 3 (ঐচ্ছিক): OpenVPN ফাইল ব্লক করুন
- নিরাপত্তা > অ্যাপ্লিকেশন নিয়ন্ত্রণ নীতি এ যান
- একটি নতুন ফাইল নিয়ন্ত্রণ নিয়ম তৈরি করুন
- ফাইল বৈশিষ্ট্য এর অধীনে, বিষয়বস্তু প্রকার OpenVPN কনফিগারেশন ফাইল হিসাবে কনফিগার করুন।
নিয়মটি কনফিগার করার পরে, এটি নীচে দেখানো উদাহরণের মতো দেখাবে:
নোট:
- একটি বৈধ CASB লাইসেন্স প্রয়োজন।
- TLS পরিদর্শন সক্রিয় করতে হবে।
0 মন্তব্য
একটি মন্তব্য করার জন্য সাইন ইন করুন করুন।