ইন্টারনেটের MANRS মেনে চলুন
by CIRT Team
রাউটিং অবকাঠামো হল ইন্টারনেটের প্রাণ। বিশ্বব্যাপী বিস্তৃত এই রাউটিং অবকাঠামো প্রায়শই বিভিন্ন অনাকাঙ্ক্ষিত ঘটনায় আক্রান্ত হয়। অনিচ্ছাকৃত বা ইচ্ছাকৃত এসব ঘটনার ফলে ইন্টারনেটের ছোটবড় অনেক প্রতিষ্ঠানের ব্যবসা এবং সুনাম যেমন মারাত্মকভাবে বিঘ্নিত হয় তেমনি ব্যবহারকারীরাও সম্পূর্ন বা আংশিকভাবে ইন্টারনেট বিভ্রাটের সম্মুখীন হন। তাই ইন্টারনেট রাউটিং অবকাঠামোকে সম্পূর্ন নিরাপদ ও নিরবিচ্ছিন্নভাবে সচল রাখতে সকল নেটওয়ার্ক অপারেটরদের একযোগে চারটি সুনির্দিষ্ট প্রতিরোধক পদক্ষেপ গ্রহণের ব্যাপারে উৎসাহিত করা হয়েছে যা Mutually Agreed Norms for Routing Security বা MANRS নামে সুপরিচিত (https://manrs.org)। এই চারটি সুনির্দিষ্ট প্রতিরোধক পদক্ষেপ হলঃ
১। ভুল রাউটিং এনাউন্সমেন্ট বাদে শুধুমাত্র সঠিকগুলোকে গ্রহণ করাঃ
BGP Peering এর ক্ষেত্রে প্রতিটি eBGP Neighbor হতে রাউটিং তথ্য গ্রহণের সময় প্রিফিক্স এবং/অথবা এএস যাচাই করে শুধুমাত্র সঠিকগুলোকে গ্রহণ করুন। অন্যথায় Neighbor হতে আসা ভুল রাউটিং তথ্য আপনার এএস হয়ে ইন্টারনেট রাউটিং টেবিলে বা অন্য Neighbor এর কাছে যেতে পারে। অর্থাৎ অন্যের ভুল তথ্য প্রচারে আপনি নিজের অজান্তেই সহযোগিতা করে ফেলতে পারেন। ভুল রাউটিং তথ্য ইন্টারনেট অবকাঠামোতে ব্যাপক ক্ষতি সাধন করতে পারে। নেটওয়ার্ক অপারেটরগণ তাঁদের Neighbor এর সাথে বিজিপি কনফিগারেশন করার ক্ষেত্রে Neighbor এর নির্দিষ্ট Prefix এবং AS এর তথ্য Public Whois ( যেমন whois.apnic.net) থেকে যাচাই করে সঠিক প্রিফিক্স এবং এএস এর জন্য BGP Inbound Filter কনফিগার করতে পারেন। এছাড়া, RPKI ROA যাচাইয়ের মাধ্যমে অথবা IRR এর মাধ্যমেও এই ফিল্টার নিশ্চিত করা যায়। এর ফলে Neighbor প্রেরিত প্রিফিক্সসমূহের মধ্য শুধুমাত্র সঠিকগুলোই গৃহীত হবে। আর ভুল রাউটিং তথ্য থাকলে তা স্বয়ংক্রিয়ভাবে বাদ পরবে। সকল নেটওয়ার্ক অপারেটরগণ এমন ব্যবস্থা করতে পারলে ইন্টারনেট রাউটিং টেবিলে ভুল রাউট আর থাকবেনা। এখানে আরও বিস্তারিত বর্ণিত আছেঃ
https://www.manrs.org/isps/guide/filtering/
২। অবৈধ সোর্স আইপি বাদে শুধুমাত্র বৈধসমূহের ট্র্যাফিক গ্রহণ এবং ফরোয়ার্ড করাঃ
একটি LAN -এর সকল ডিভাইসের আইপি একই সাবনেটের হয়ে থাকে। ওই সাবনেটের একটি আইপি গেটওয়ে ইন্টারফেসে ব্যবহৃত হয় ( যেমন রাউটারের পোর্ট বা VLAN ইন্টারফেসের আইপি)। ডাটা প্যাকেটের সোর্স আইপি পরিবর্তনের মাধ্যমে DDoS এট্যাক করা সম্ভব। ফলে নেটওয়ার্ক অপারেটরদের উচিত তাঁদের প্রত্যেক LAN -এর গেটওয়েতে প্যাকেটের সোর্স আইপি যাচাই করা। সোর্স আইপি যাচাইয়ের এই পদ্ধতিকে Unicast Reverse Path Forwarding (uRPF) (অথবা BCP38 ) বলা হয়। এর ফলে গেটওয়ে রাউটার যখন কোন LAN থেকে ডাটা প্যাকেট গ্রহণ করে তখন ওই প্যাকেটের সোর্স আইপিকে গৃহীত ইন্টারফেসের আইপির সাথে তুলনা করে। যদি তা একই সাবনেটের হয় তাহলেই কেবলমাত্র ওই প্যাকেট রাউট করে, অন্যথায় তা ড্রপ করে (এই পদ্ধতিকে অনেক সময় First Hope Routing Security বলা হয়)। একই পদ্ধতিতে, ট্রানসিট রাউটার যখন ডাটা প্যাকেট গ্রহণ করে তখন ওই প্যাকেটের সোর্স আইপিতে বিপরীতভাবে পৌঁছানোর জন্য তার রাউটিং টেবিলে কোন রিটার্ন রাউট আছে কিনা তা যাচাই করে। যেসব সোর্সের রিভার্স রাউট পাওয়া যায় ট্রানসিট রাউটার কেবলমাত্র সেসব প্যাকেটকেই সামনের রাউটারের কাছে ফরোয়ার্ড করে, অন্যথায় তা ড্রপ করে। সঠিক সুফল পেতে প্রতিটি LAN গেটওয়ে এবং ট্রানসিট রাউটারে uRPF কনফিগার করতে হবে। এখানে আরও বিস্তারিত বর্ণিত আছেঃ
https://www.manrs.org/isps/guide/antispoofing/
৩। বিশ্বব্যাপী নেটওয়ার্ক অপারেটরদের মধ্যে পারস্পরিক যোগাযোগ ও সহযোগিতা সহজতর করাঃ
বিশ্বব্যাপী অসংখ্য নেটওয়ার্কের সমন্বয়ে ইন্টারনেট পরিচালিত হয়। ইন্টারনেটকে সচল এবং নিরাপদ রাখতে নেটওয়ার্ক অপারেটরদের মধ্যে পারস্পরিক যোগাযোগ ও সহযোগিতা অপরিহার্য। এক্ষেত্রে প্রত্যেক নেটওয়ার্ক অপারেটরদের নিজ নিজ Incident Response Team -এর সাথে যোগাযোগের তথ্য হালনাগাদ রাখতে হবে যাতে তাঁরা একে অন্যের সাথে সহজেই যোগাযোগ করতে বা যেকোন অস্বাভাবিক ঘটনা, ভুল রাউটিং এবং ইন্সিডেন্ট রিপোর্ট করতে পারেন। এভাবে বিশ্বব্যাপী নেটওয়ার্ক অপারেটরদের মধ্যে পারস্পরিক যোগাযোগ ও সহযোগিতা সহজতর করার মাধ্যমে রাউটিং তথা ইন্টারনেটের অবকাঠামোকে নিরাপদ রাখা সম্ভব। এখানে আরও বিস্তারিত বর্ণিত আছেঃ https://www.manrs.org/isps/guide/coordination/
৪। ইন্টারনেট রাউটিং ইনফরমেশন যাচাইয়ের ব্যবস্থা করাঃ
প্রত্যেক নেটওয়ার্ক অপারেটরদের নিজ নিজ তথ্য RIR Whois Database -এ যথাযথভাবে হালনাগাদ রাখা উচিত। সেইসাথে নিজ নিজ আইপি প্রিফিক্সের RPKI ROA সঠিকভাবে তৈরি রাখা জরুরী। APNIC মেম্বারগণ তাঁদের নিজ নিজ আইপি রিসোর্সের যাবতীয় তথ্য এবং প্রিফিক্সের RPKI ROA MyAPNIC পোর্টালের মাধ্যমে IRR Object আকারে Whois Database -এ সংযুক্ত বা হালনাগাদ করতে পারেন। এসব Object-এ ওই নেটওয়ার্ক অপারেটরের নাম, ঠিকানা, ফোন নাম্বার, ইমেইল এড্রেস, আইপি, এএস ইত্যাদি ছাড়াও রাউটিং পলিসি এবং RPKI ROA সম্পর্কিত যাবতীয় তথ্য থাকে। এসকল তথ্য পাবলিক Whois Database -এ সংযুক্ত বা হালনাগাদ না থাকলে বিশেষ প্রয়োজনে তা যাচাই বাছাই করা অসম্ভব হয়ে পরে। তাই সকল নেটওয়ার্ক অপারেটরদের নিজ নিজ ইন্টারনেট রাউটিং ইনফরমেশন সঠিকভাবে যাচাইয়ের ব্যবস্থা রাখা উচিত। এখানে আরও বিস্তারিত বর্ণিত আছেঃ
https://www.manrs.org/isps/guide/global-validation/