যেহেতু আমরা পাবলিক WiFi নেটওয়ার্কে আরও বেশি সংখ্যক ডিভাইস যুক্ত করছি, তাই নিরাপত্তা এবং ইউজার অথেন্টিকেশন সংক্রান্ত উদ্বেগগুলো আলোচনার শীর্ষে রয়েছে। এটি বিশেষ করে তখন সত্য হয় যখন প্রতিদিন শত শত, হাজার হাজার বা এমনকি লক্ষ লক্ষ ইউজার যুক্ত হওয়া বৃহৎ পরিসরের গেস্ট WiFi নেটওয়ার্কের জন্য উপযুক্ত সিকিউরিটি প্রোটোকল নিয়ে বিতর্ক করা হয়। প্রয়োজনীয় নিরাপত্তা ব্যবস্থা না থাকলে, শেয়ার্ড নেটওয়ার্কের ইউজাররা ঝুঁকির সম্মুখীন হন। যারা নেটওয়ার্ক পরিচালনা করছেন তাদের কাছেও নেটওয়ার্কটি নিয়ন্ত্রণ অযোগ্য মনে হতে পারে।
নিরাপত্তার একটি মৌলিক মান হিসেবে, হাই-ট্রাফিক পাবলিক WiFi-কে WPA-এন্টারপ্রাইজ প্রোটোকলের সাথে সেট আপ করা উচিত যা একটি 802.1X অথেন্টিকেশন মেকানিজম ব্যবহার করে। 802.1X দুটি সুরক্ষিত নেটওয়ার্কিং প্রোটোকলের সাথে একত্রে কাজ করে: এক্সটেনসিবল অথেন্টিকেশন প্রোটোকল ওভার ল্যানস (EAPoL) এবং রিমোট অথেন্টিকেশন ডায়াল-ইন ইউজার সার্ভিস (RADIUS) সার্ভার। এগুলো 802.1x-কে আপনার স্ট্যান্ডার্ড WPA-PSK বা WPA2-PSK-এর চেয়ে স্বভাবতই বেশি সুরক্ষিত করে তোলে, যেখানে নেটওয়ার্ক অ্যাক্সেস করার জন্য সকল ইউজারের একটি শেয়ার্ড পাসওয়ার্ডের প্রয়োজন হয়।
কখন 802.1x অথেন্টিকেশন বিবেচনা করবেন
যখন কোনো ইন্টারনেট ইউজার একটি WPA-PSK বা WPA2-PSK নেটওয়ার্কে (PSK মানে 'প্রিসিলেক্টেড কি') লগ ইন করেন, তখন ইউজার সঠিক নেটওয়ার্ক পাসওয়ার্ড / সিকিউরিটি কি প্রবেশ করালে অথেন্টিকেশন সম্পন্ন হয়। এটি ইউজারের মেশিন বা ডিভাইসকে কোনো শনাক্তকারী ক্রেডেনশিয়াল ছাড়াই নেটওয়ার্কে যুক্ত হতে, কাজ করতে এবং সম্ভাব্যভাবে নেটওয়ার্ক নিয়ন্ত্রণ করতে দেয়। এটি বিশেষ করে তখন সমস্যাযুক্ত হয়ে ওঠে যখন ব্যবসা প্রতিষ্ঠানগুলো (সংযুক্ত কম্পিউটার, টিল এবং IoT ডিভাইসসহ) তাদের গ্রাহকদের সাথে তাদের মূল নেটওয়ার্ক শেয়ার করে। আপনার গেস্ট WiFi-এ যত বেশি ইউজার লগ ইন করবে, ঠিক কে আপনার নেটওয়ার্ক ব্যবহার করছে (বা কে পাসওয়ার্ড জানে) তা জানা প্রায় অসম্ভব হয়ে পড়ে। নেটওয়ার্ক থেকে অবাঞ্ছিত ইউজারদের সরাতে ঘন ঘন পাসওয়ার্ড পরিবর্তন করাও শ্রমসাধ্য এবং অদক্ষ একটি কাজ, এবং বিপুল সংখ্যক ইউজার থাকা বড় নেটওয়ার্কগুলোর জন্য এটি আদর্শ নয়।
আপনি যদি এমন কোনো ব্যবসা বা প্রতিষ্ঠান হন যা পোর্ট সিকিউরিটি অফার করে (ডিভাইসের MAC অ্যাড্রেসের ওপর ভিত্তি করে কোন মেশিনগুলো নেটওয়ার্কে যুক্ত হতে পারবে তা নির্ধারণ করে), তবুও নিরাপত্তা সংক্রান্ত উদ্বেগ থেকেই যায়। যদিও অনাকাঙ্ক্ষিত ইউজাররা তাদের নিজস্ব ডিভাইসে নেটওয়ার্কে যুক্ত হতে পারবে না, সুযোগ পেলে সেই ডিভাইসে অন্য কোনো ব্যক্তির ছদ্মবেশ ধারণ করা থেকে তাদের আটকানোর কোনো উপায় নেই (যেমন: যদি কোনো অনুমোদিত ডিভাইস চুরি হয়ে যায়, তবে সঠিক ইউজার মেশিনটি চালাচ্ছেন কিনা তা নির্ধারণ করা যায় না)।
802.1x অথেন্টিকেশন ডিভাইস নির্বিশেষে ইউজারকে অথেন্টিকেট করার দাবি জানিয়ে পাসওয়ার্ড বা পোর্ট সিকিউরিটি নেটওয়ার্ক প্রোটোকল সংক্রান্ত সমস্যাগুলোর সমাধান করে। সেই কারণে, আমরা বাণিজ্যিক এবং পেশাদার পরিবেশে এই AAA (অথেন্টিকেশন, অথোরাইজেশন এবং অ্যাকাউন্টিং) ফ্রেমওয়ার্কগুলোকে একটি স্ট্যান্ডার্ড পরিমাপ হিসেবে ব্যবহার করার পরামর্শ দিই।
802.1x অথেন্টিকেশন প্রক্রিয়াটির ব্যাখ্যা
802.1x অথেন্টিকেশনের তিনটি অংশ রয়েছে যা একজন ইউজারকে নির্দিষ্ট নেটওয়ার্কে লগ ইন করার অনুমতি দিতে একসাথে কাজ করে: সাপ্লিক্যান্ট, অথেন্টিকেটর এবং অথেন্টিকেশন সার্ভার।
যে সাপ্লিক্যান্ট (বা এন্ড ইউজার) একটি SSID নেটওয়ার্কে যুক্ত হওয়ার চেষ্টা করে, তাকে প্রথমে একটি অথেন্টিকেটর দ্বারা অ্যাক্সেস করতে বাধা দেওয়া হয়। সাপ্লিক্যান্ট এবং অথেন্টিকেটরের মধ্যে যে যোগাযোগ ঘটে তা EAPoL প্রোটোকলের অংশ, এবং এতে ইথারনেট ফ্রেম থাকে যা একটি নির্দিষ্ট নেটওয়ার্কের জন্য সাপ্লিক্যান্টের ইউনিক লগইন ক্রেডেনশিয়াল বহন করে। প্রয়োজনীয় নিরাপত্তার স্তরের ওপর নির্ভর করে, অথেন্টিকেটররা সাপ্লিক্যান্টের কাছ থেকে আরও বিশদ বিবরণ বা ইন্টারঅ্যাকশনের জন্য প্রম্পট করতে পারে (যেমন, একটি পিন প্রয়োজন হওয়া বা ক্যাপচা কোড পূরণ করা)।
অথেন্টিকেটর দ্বারা EAPoL ডেটাকে লগইন প্রচেষ্টা হিসেবে শনাক্ত করার পর, অথেন্টিকেটর অথেন্টিকেশন সার্ভারের জন্য ডেটা প্রস্তুত করে, যা শেষ পর্যন্ত এন্ড ইউজারকে নেটওয়ার্ক অ্যাক্সেস করার অনুমতি দেবে বা প্রত্যাখ্যান করবে। এর মধ্যে EAPoL ডেটাকে RADIUS প্যাকেটে রূপান্তর করা জড়িত যা সার্ভারকে লগইন ক্রেডেনশিয়ালগুলোকে অ্যাক্সেস রিকোয়েস্ট হিসেবে ব্যাখ্যা করতে দেয়।
যে সার্ভারগুলো RADIUS সিকিউরিটি প্রোটোকলে কাজ করে সেগুলো একটি অথেন্টিকেশন, অথোরাইজেশন এবং অ্যাকাউন্টিং (AAA বা ট্রিপল A) সিস্টেম ব্যবহার করে, যা নেটওয়ার্ক / সার্ভার / কম্পিউটার ইত্যাদিতে অ্যাক্সেস নিয়ন্ত্রণ করার একটি অনেক বেশি বুদ্ধিমান এবং সুরক্ষিত পদ্ধতি। এই ধরনের সার্ভারগুলোর প্রয়োজন হয় যে অথেন্টিকেটর দ্বারা প্রদত্ত ডেটা ব্যাকএন্ড ইনফ্রাস্ট্রাকচার যেমন ডিরেক্টরি বা ডেটাবেসের বিপরীতে ক্রস-রেফারেন্স (বা অথেন্টিকেট) করা হয়, যেখানে ইউজারের বিবরণ এবং অথেন্টিকেশনের জন্য প্রয়োজনীয় সংশ্লিষ্ট ক্রেডেনশিয়াল থাকে। একবার RADIUS প্যাকেটের ভেতরের তথ্য সার্ভার দ্বারা অনুমোদিত হলে, একটি অনুমোদন রিকোয়েস্ট অথেন্টিকেটরের কাছে ফেরত পাঠানো হয়, যা সাপ্লিক্যান্টকে উপযুক্ত অ্যাক্সেস রাইট এবং পারমিশন প্রদান করে।
জীবনকে আরও সহজ করা
যেহেতু 802.1x অথেন্টিকেশন একটি RADIUS প্রোটোকল-সক্ষম সার্ভারে কাজ করে, তাই WPA সুরক্ষিত নেটওয়ার্কগুলোর জন্য ইউজার ম্যানেজমেন্ট এবং স্কেলেবিলিটি সংক্রান্ত অসুবিধাগুলো আর থাকে না। যে ইউজাররা 802.1x অথেন্টিকেশনে নেটওয়ার্কে যুক্ত হন তারা ডেটা এনক্রিপশনের দুটি স্তরের মধ্য দিয়ে যান এবং নির্দিষ্ট নেটওয়ার্কের মধ্যে তাদের সুরক্ষিত সেশনগুলো RADIUS সার্ভার দ্বারা মনিটর করা হয়। পাসওয়ার্ড সুরক্ষিত (WPA) নেটওয়ার্কের বিপরীতে, অথেন্টিকেটেড ইউজারদের ব্যক্তিগতভাবে ট্র্যাক করা যায় এবং তারা কোনো ধরনের হুমকি সৃষ্টি করলে নেটওয়ার্ক থেকে সরিয়ে দেওয়া যায়। পাসওয়ার্ডের অনুপস্থিতিতে ইউজারের সংখ্যা স্কেল করাও অনেক সহজ, কারণ ইউজারদের ব্যাকগ্রাউন্ডে স্বয়ংক্রিয়ভাবে অথেন্টিকেট করা যায়। যে ব্যবসাগুলো অন্যদের সাথে কানেকশন শেয়ার করে, তাদের ক্ষেত্রে একটি RADIUS সার্ভারে নেটওয়ার্কের নির্দিষ্ট কিছু এলাকায় অ্যাক্সেস সীমাবদ্ধ করা যেতে পারে, যা একটি ওপেন-অ্যাক্সেস নেটওয়ার্ক থাকার চেয়ে উল্লেখযোগ্যভাবে বেশি সুরক্ষিত, যেখানে সহজেই অনুপ্রবেশ করা যায়।
পরিশেষে, একটি অথেন্টিকেটেড নেটওয়ার্ক বাস্তবায়নের মাধ্যমে বৃহৎ পরিসরের WiFi অপারেশনগুলোর অনেক কিছু লাভ করার আছে। পাবলিক অ্যাক্সেসসহ WPA-PSK বা WPA2-PSK নেটওয়ার্ক পরিচালনার সাথে জড়িত ���িরাপত্তা ঝুঁকিগুলো উপেক্ষা করলে তাদের অনেক কিছু হারানোরও সম্ভাবনা রয়েছে।
