This site is best viewed using the updated version of Mozilla Firefox

Cisco Network Foundation Protection (NFP) Concept

Cisco NFP বা Network Foundation Protection ফ্রেমওয়ার্ক হলো এমন একটি ধারণা যা আমাদেরকে কোন একটি নেটওয়ার্ক কাঠামোর নিরাপত্তা নিশ্চিত করার জন্য এক ধরণের নির্দেশনা প্রদান করে। কোন একটি বৃহৎ নেটওয়ার্ক অবকাঠামোকে একাধিক ছোট ছোট লজিক্যাল অংশে বিভক্ত করে ঐ অংশগুলোর নিরাপত্তাজনিত দুর্বলতাগুলো (Velnerabilities) বিশেষভাবে পর্যালোচনা করে উক্ত দূর্বলতাগুলো দূর করার লক্ষ্যে কি ধরণের প্রয়োজনীয় ব্যবস্থা গ্রহণ করা দরকার তা নির্ণয় করার ক্ষেত্রে এই NFP বিশেষ ভূমিকা রাখে।

NFP বিভিন্ন ধরণের নেটওয়ার্ক ডিভাইসযুক্ত একটি নেটওয়ার্কের ট্রাফিকসমূহকে এদের ফাংশনের উপর ভিত্তি করে তিনটি Functional Area বা লজিক্যাল অংশে বিভক্ত করে। এগুলো হলঃ
১. Management Plane
২. Control Plane
৩. Data Plane

Management Plane

Management Plane হলো NFP তে বর্ণিত এমন একটি অংশ যা নেটওয়ার্কের বিভিন্ন ডিভাইসের মধ্যে বিনিময়কৃত ট্রাফিকসমূহ যেমনঃ Telnet, SSH, TFTP, FTP, AAA, SNMP, DNS, Syslog ইত্যাদির উপর গুরুত্বারোপ করে এবং এই ট্রাফিকসমূহের নিরাপত্তা নিশ্চিত করার জন্য প্রয়োজনীয় নির্দেশনা প্রদান করে।

NFP আমাদের বলে দেয় এই Management Plane এর ট্রাফিকের নিরাপত্তা বৃদ্ধির জন্য আমাদের নিম্নোক্ত পদক্ষেপ গ্রহণ করা উচিত।

i) Login and Password Policy: এর মাধ্যমে কোন ডিভাইসে ইউজার এ্যাকসেস নিয়ন্ত্রন করা হয়। কোন ডিভাইসে কে এ্যাকসেস পাবে এবং কিভাবে পাবে সেই পলিসি নির্ধারণ করা হয়। এছাড়া পাসওয়ার্ডভিত্তিক এ্যাকসেসের ক্ষেত্রে পাসওয়ার্ডের আকার ও ফরম্যাট কিরকম হবে তাও নির্দিষ্ট করা হয়।
ii) Present Legal Notification: এর মাধ্যমে কোন ডিভাইসে লগইনের সময় ইউজারদেরকে একটি আইনি বার্তা প্রদর্শন করে সতর্ক করা হয় যে, যেকোন অননুমোদিত ব্যবহারকারীর জন্য ঐ ডিভাইসে লগইন করা নিষিদ্ধ।
iii) Encrypted Management Protocol: এর মাধ্যমে বিভিন্ন ম্যানেজমেন্ট ট্রাফিক/ডাটাসমূহকে Encrypt করে নেটওয়ার্কে চলাচলের উপযোগী করে তোলা হয় যাতে অননুমোদিত কেউ সেই ডাটার গোপনীয় অংশ উদ্ধার না করতে পারে।
iv) Authorized Action: এর মাধ্যমে কোন একজন ইউজারকে একটি ডিভাইসে এ্যাকসেস দেওয়ার পরও তার ক্ষমতা নিয়ন্ত্রন করা হয়। অর্থাৎ সে ডিভাইসটিতে কি কি ধরণের Comaand প্রয়োগ করতে পারবে আর কি কি পারবে না তা আগে থেকেই নির্ধারণ করে দেওয়া হয়।
v) Role Based Access Control: কোন ডিভাইসে যদি অধিকসংখ্যক ব্যাক্তির এ্যাকসেসের প্রয়োজন হয় তাহলে ঐ ব্যাক্তিবর্গের কাজের ধরণের উপর ভিত্তি করে তাদেরকে বিভিন্ন গ্রুপে ভাগ করা হয় এবং সেই গ্রুপ অনুযায়ী পারমিশন প্রদান করা হয়।
vi) Enable Management Access Reporting: কোন ডিভাইসে এ্যাকসেস পাওয়া ব্যাক্তিগণ ঐ ডিভাইসে কখন কি কি কাজ করেছে তা একটি রিপোর্ট আকারে সংরক্ষণ করা হয়।
vii) Secure NTP: কোন নেটওয়ার্কের একাধিক ডিভাইসসমূহের মধ্যে সময়ের সামঞ্জস্যতা বজায় রাখার জন্য বিশেষ ধরণের NTP সার্ভার যোগ করা হয় এবং তার নিরাপত্তাও নিশ্চিত করা হয়।

Control Plane

নেটওয়ার্কের বিভিন্ন ডিভাইসসমূহের মধ্যে রাউটিং ডাটাসহ অন্যান্য ট্রাফিক যেমনঃ ARP. CDP, Link State Packet, Routing Authentication Data ইত্যাদি কে Control Plane ট্রাফিক হিসেবে গন্য করা হয় এবং এর নিরাপত্তা বৃদ্ধি ও ডিভাইসসমূহের CPU Utilization স্বাভাবিক রাখার জন্য প্রয়োজনীয় ব্যবস্থা গ্রহণ করা হয়।

Control Plane ট্রাফিকসমূহের নিরাপত্তা বৃদ্ধির জন্য নিম্নোক্ত ব্যবস্থা গ্রহণ করা হয়।

i) Authenticating Routing Protocols: এর মাধ্যমে নেটওয়ার্কের দুইটি রাউটারের মধ্যে রাউটিং তথ্য বিনিময়ের সময় Authentication মেকানিজম যুক্ত করা হয় যাতে করে শুধুমাত্র অনুমোদিত ডিভাইসগুলোই সেই আপডেট পায়।
ii) Control Plane Policing: এর মাধ্যমে নেটওয়ার্কে কোন একটি ডিভাইস তার নির্দিষ্ট একটি ইন্টারফেসে কি পরিমান ট্রাফিক হ্যান্ডল করবে তা নির্ধারণ করে দেওয়া হয়। এর ফলে ডিভাইসসমূহের CPU Utilization স্বাভাবিক পর্যায়ে থাকে।

Data Plane

একটি নেটওয়ার্কের কোন একটি হোষ্ট থেকে আরেকটি হোষ্ট এ যে ট্রাফিক চলাচল করে তাকে Data Plane ট্রাফিক হিসেবে গন্য করা হয়। নেটওয়ার্কে এই ট্রাফিকের পরিমাণ-ই বেশি তাই এই ধরণের ট্রাফিকসমূহকে Fast Switching Cache এর মাধ্যমে দ্রুততর সময়ের মধ্যে প্রসেস করা হয়।

Data Plane ট্রাফিকসমূহের নিরাপত্তা বৃদ্ধির জন্য নিম্নোক্ত ব্যবস্থা গ্রহণ করা হয়।

i) Blocking Unwanted Traffic using ACL: এর মাধ্যমে কোন একটি ডিভাইস থেকে আরেকটি ডিভাইসে কি ধরণের ডাটা যেতে পারবে আর কি ধরণের ডাটা যেতে পারবে না তা নিয়ন্ত্রন করা হয়। যেমনঃ Access Control List (ACL)।
ii) Mitigating Spoofing Attack: এর মাধ্যমে নেটওয়ার্কে বিভিন্ন ধরণের Spoofing Attack প্রতিহত করা হয়।
iii) Providing Bandwidth Control: এর মাধ্যমে একটি ডিভাইস থেকে আরেকটি ডিভাইসে কি পরিমাণ ডাটা বিনিময় হবে তাও নিয়ন্ত্রন করা হয়।
iv) Configuring Port Security: কোন ডিভাইসের বিভিন্ন পোর্টসমূহ বিশেষভাবে কনফিগার করার মাধ্যমে নেটওয়ার্কের নিরাপত্তা বৃদ্ধি করা হয়। যেমনঃ Port Security, STP Safeguard, BPDU Guard, Root Guard ইত্যাদি।
v) Implementing Firewall, IDS/IPS: কোন নেটওয়ার্ককে তার বাইরের নেটওয়ার্কের আক্রমন থেকে রক্ষা করার জন্য বিভিন্ন ধরণের বিশেষায়িত ডিভাইস যেমনঃ Firewall, IPS, IDS ইত্যাদি ব্যবহার করা হয়।

Conceptual Terminology of Network Security

নেটওয়ার্ক সিকিউরিটির কতিপয় Conceptual Terminology নিম্নরূপঃ
১. Asset: Asset হলো একধরণের ভ্যালু যা ফিজিক্যাল বা লজিক্যাল উভয় ধরণেরই হতে পারে। Asset হতে পারে একজন মানুষ বা একটি প্রসেস বা কোন ডাটাবেজ রেকর্ড বা একটি ফিজিক্যাল হার্ডডিস্ক বা একটি কম্পিউটার। নেটওয়ার্ক সিকিউরিটি লাইফ সাইকেলের কোন একটি Asset এর মূল্যমান সম্পর্কে যথাযথ ধারণা থাকা খুবই গুরুত্বপূর্ন।
২. Threats: ইহা যেকোন এক ধরণের ঘটনা যা নেটওয়ার্ক ডাটা, হার্ডওয়্যার বা সফটওয়্যার এর জন্য হুমকিস্বরূপ।
৩. Vulnerabilities: Vulnerabilities হলো নেটওয়ার্কের একটি নিরাপত্তাজনিত দূর্বলতা বা নেটওয়ার্ক নিরাপত্তার ফাঁক-ফোকর। এমন কোন ধরণের প্রোগ্রাম বা সফটওয়্যার যা নেটওয়ার্ক নিরাপত্তা ব্যবস্থাকে জোরদার করতে পারে না, সেগুলোও এই Vulnerabilities এর অংশ। যেমনঃ Unsecured NTP, Telnet Session ইত্যাদি।
৪. Exploits: ইহা এক ধরণের সফটওয়্যার বা কমান্ড সেট যা Vulnerabilities এর সুযোগে নেটওয়ার্কে অনাকাঙ্খিত পরিবর্তন সাধন করে।
৫. Risk: নেটওয়ার্ক Vulnerabilities এর সুযোগে নেটওয়ার্কে যে সকল ক্ষতি সাধন হতে পারে তার সম্ভ্যাব্যতাই হলো Risk । Risk Analysis বা Risk Assessment হলো নেটওয়ার্ক সিকিউরিটির একটি গুরুত্বপূর্ন অংশ।


আশাকরি এই টিউটোরিয়ালটি দেখে আপনারা Cisco Network Foundation Protection (NFP) সম্পর্কে কিছু ধারণা পাবেন। ভাল থাকবেন। আল্লাহ হাফেজ।