মূল কন্টেন্টে যান
বাংলা

Captive Portal আর্কিটেকচার: নিরাপত্তা, রিডাইরেকশন এবং সর্বোত্তম অনুশীলন

এন্টারপ্রাইজ captive portal আর্কিটেকচারের একটি সুনির্দিষ্ট প্রযুক্তিগত রেফারেন্স। এই নির্দেশিকাটি আইটি লিডারদের জন্য নেটওয়ার্ক আইসোলেশন, DNS রিডাইরেকশন, RADIUS প্রমাণীকরণ এবং নিরাপত্তা সম্মতি উন্মোচন করে যারা নিরাপদ, ডেটা-সমৃদ্ধ গেস্ট WiFi নেটওয়ার্ক স্থাপন করছেন।

📖 5 মিনিট পাঠ📝 1,232 শব্দ🔧 2 সমাধানকৃত উদাহরণ3 অনুশীলনী প্রশ্ন📚 8 মূল সংজ্ঞা

এই গাইডটি শুনুন

পডকাস্ট ট্রান্সক্রিপ্ট দেখুন
British English-এ আত্মবিশ্বাসী, কর্তৃত্বপূর্ণ এবং কথোপকথনমূলক টোনে কথা বলুন - যেমন একজন সিনিয়র নেটওয়ার্ক কনসালট্যান্ট কফি খেতে খেতে কোনো ক্লায়েন্টকে ব্রিফ করছেন। পরিমিত গতি, স্পষ্ট উচ্চারণ, কোনো তাড়া নেই। জোর দেওয়ার জন্য মাঝে মাঝে স্বাভাবিক বিরতি। পেশাদার কিন্তু আড়ষ্ট নয়: Purple টেকনিক্যাল ব্রিফিং-এ স্বাগতম। আমি আপনাদের হোস্ট, এবং আজ আমরা captive portal আর্কিটেকচার নিয়ে বিস্তারিত আলোচনা করছি - বিশেষ করে সিকিউরিটি মডেল, রিডাইরেকশন মেকানিক্স এবং ডিজাইনের সিদ্ধান্তগুলো যা একটি কমপ্লায়েন্ট, সুনিয়ন্ত্রিত ডেপ্লয়মেন্টকে এমন একটি ডেপ্লয়মেন্ট থেকে আলাদা করে যা শেষ রাতে আপনার সমস্যার কারণ হতে পারে। [medium pause] চলুন পরিস্থিতিটা একটু বুঝে নেওয়া যাক। আপনি একটি hotel chain, retail estate বা stadium-এ গেস্ট WiFi চালাচ্ছেন। প্রতিদিন হাজার হাজার ডিভাইস সংযুক্ত হচ্ছে। এর মধ্যে কিছু ডিভাইসে malware থাকতে পারে। কিছু ব্যবহারকারী এমন content অ্যাক্সেস করার চেষ্টা করতে পারেন যা তাদের করা উচিত নয়। এবং আপনার legal team লিখিতভাবে জানতে চায় যে, আপনি একটি single byte ব্যক্তিগত ডেটা সংরক্ষণ করার আগে বৈধ সম্মতি নিয়েছেন কিনা। [medium pause] এই সমস্যাটি সমাধান করার জন্যই captive portal আর্কিটেকচার ডিজাইন করা হয়েছে। চলুন বিশদভাবে জানা যাক এটি আসলে কীভাবে কাজ করে। [medium pause] সেকশন এক। রিডাইরেকশন চেইন। যখন একটি গেস্ট ডিভাইস আপনার WiFi SSID-এর সাথে সংযুক্ত হয়, তখন এটি একটি ডেডিকেটেড গেস্ট VLAN - ধরুন VLAN 20 -এর একটি DHCP pool থেকে একটি IP address পায়। আপনার কর্পোরেট ডিভাইসগুলো VLAN 10-এ রয়েছে। এই দুটি VLAN-এর কখনোই একে অপরের সাথে route করা উচিত নয়। এটি PCI DSS-এর দৃষ্টিকোণ থেকে আপসহীন, এবং সত্যি বলতে একটি মৌলিক নিরাপত্তার দৃষ্টিকোণ থেকেও। এখন, ডিভাইসটি সংযুক্ত হয়েছে, কিন্তু এটি এখনও authenticate করেনি। কন্ট্রোলার এটিকে একটি pre-authentication state-এ রাখে। ডিভাইসটি শুধুমাত্র ডোমেনের একটি ছোট whitelist-এ পৌঁছাতে পারে - যাকে walled garden বলা হয়। অন্য সবকিছু intercept করা হয়। এখানেই আসল চতুরতা। যখন ডিভাইসটি কোনো webpage load করার চেষ্টা করে - অথবা যখন অপারেটিং সিস্টেম তার captive portal detection check করে, যা iOS স্বয়ংক্রিয়ভাবে captive.apple.com-এ hit করে করে থাকে - তখন gateway-র DNS resolver আসল গন্তব্যের পরিবর্তে captive portal সার্ভারের IP address ফেরত দেয়। ব্রাউজারটি সেই redirect অনুসরণ করে এবং আপনার splash page-এ পৌঁছায়। [medium pause] এটি Layer 3 এবং Layer 7 একসাথে কাজ করার উদাহরণ। VLAN নেটওয়ার্ক isolation পরিচালনা করে। DNS intercept রিডাইরেক্ট পরিচালনা করে। এবং captive portal আইডেন্টিটি এবং consent layer পরিচালনা করে। তিনটি ভিন্ন মেকানিজম, সবগুলো ক্রমানুসারে কাজ করে। [medium pause] সেকশন দুই। অথেন্টিকেশন এবং RADIUS। গেস্ট একবার splash page-এর সাথে ইন্টারঅ্যাক্ট করলে - তা শর্তাবলী মেনে নেওয়া হোক, কোনো email address দেওয়া হোক, social login-এর মাধ্যমে authenticate করা হোক বা একটি SMS code যাচাই করা হোক - প্ল্যাটফর্মটিকে সেই নির্দিষ্ট ডিভাইসের জন্য firewall খোলার জন্য নেটওয়ার্ক কন্ট্রোলারকে জানাতে হবে। এখানেই RADIUS-এর ভূমিকা আসে। RADIUS-এর অর্থ হলো Remote Authentication Dial-In User Service। এটি RFC 2865-এ সংজ্ঞায়িত একটি প্রোটোকল, এবং এটি একটি policy server এবং একটি network access device-এর মধ্যে অথেন্টিকেশন সিদ্ধান্তগুলো আদান-প্রদান করার জন্য ইন্ডাস্ট্রির স্ট্যান্ডার্ড প্রোটোকল। Purple একটি ক্লাউড-হোস্টেড RADIUS সার্ভার হিসাবে কাজ করে। যখন একজন অতিথি Captive Portal ফ্লো সম্পন্ন করেন, তখন Purple লোকাল WiFi কন্ট্রোলারে একটি RADIUS Access-Accept বার্তা পাঠায় - সেটি Cisco Meraki, একটি HPE Aruba কন্ট্রোলার, একটি Ruckus SmartZone বা একটি Juniper Mist অ্যাক্সেস পয়েন্ট যাই হোক না কেন। কন্ট্রোলারটি সেই বার্তাটি পায় এবং অতিথি ডিভাইসটিকে প্রাক-অথেন্টিকেশন স্টেট থেকে অথরাইজড স্টেটে স্থানান্তরিত করে, ফায়ারওয়াল নিয়মগুলি উন্মুক্ত করে এবং ইন্টারনেট অ্যাক্সেস মঞ্জুর করে। [medium pause] RADIUS-এর একটি গুরুত্বপূর্ণ এক্সটেনশন রয়েছে যা আপনার জানা উচিত: Change of Authorisation বা CoA। CoA RADIUS সার্ভারকে ইতিমধ্যেই সক্রিয় থাকা একটি সেশন বাতিল বা সংশোধন করার জন্য কন্ট্রোলারে একটি মিড-সেশন বার্তা পাঠানোর অনুমতি দেয়। Purple সেশন টাইমআউট প্রয়োগ করতে, নীতি লঙ্ঘনের জন্য চিহ্নিত ডিভাইসগুলির সংযোগ বিচ্ছিন্ন করতে এবং GDPR-এর অধীনে রাইট-টু-ইরেজার (right-to-erasure) ওয়ার্কফ্লো সমর্থন করতে CoA ব্যবহার করে - যেখানে একজন ব্যবহারকারী তাদের ডেটা মুছে ফেলার অনুরোধ করেন এবং Purple অবিলম্বে তাদের সক্রিয় সেশন বাতিল করতে পারে। [medium pause] সেকশন তিন। The walled garden (ওয়াল্ড গার্ডেন)। Walled garden হলো আইপি অ্যাড্রেস এবং ডোমেন নামের একটি হোয়াইটলিস্ট যা অনঅথেন্টিকেটেড ডিভাইসগুলি Captive Portal ফ্লো সম্পন্ন করার আগে অ্যাক্সেস করতে পারে। এটি ভুল হলে আপনার স্প্ল্যাশ পেজ লোড হবে না। এটি খুব বেশি ভুল হলে আপনি একটি নিরাপত্তা ত্রুটি তৈরি করে ফেলবেন। ন্যূনতমপক্ষে, আপনার walled garden-এ Captive Portal URL নিজেই, পোর্টালের অ্যাসেটগুলি পরিবেশনকারী যেকোনো CDN এন্ডপয়েন্ট এবং আপনি যে সামাজিক লগইন প্রদানকারীগুলি ব্যবহার করছেন - Google, Facebook, Microsoft-এর অথেন্টিকেশন এন্ডপয়েন্টগুলি অন্তর্ভুক্ত করা প্রয়োজন। আপনি যদি SMS ভেরিফিকেশন ব্যবহার করেন, তবে আপনাকে SMS গেটওয়ের API এন্ডপয়েন্টটিকে হোয়াইটলিস্ট করতে হবে। যে ফাঁদটি বেশিরভাগ ডেপ্লয়মেন্টকে সমস্যায় ফেলে তা হলো ডায়নামিক আইপি অ্যাড্রেস। ক্লাউড পরিষেবাগুলিতে সর্বদা স্ট্যাটিক আইপি থাকে না। আপনি যদি ডোমেনের পরিবর্তে একটি আইপি হোয়াইটলিস্ট করেন এবং সেই আইপি পরিবর্তিত হয়, তবে আপনার পোর্টালটি কাজ করা বন্ধ করে দেবে। আপনার কন্ট্রোলার যেখানে এটি সমর্থন করে সেখানে ডোমেন-ভিত্তিক হোয়াইটলিস্টিং ব্যবহার করুন এবং প্রতিটি পরিবর্তনের পরে পরীক্ষা করুন। [medium pause] সেকশন চার। নিরাপত্তা ডিজাইন। আসুন নিরাপত্তা আর্কিটেকচার সম্পর্কে আরও বিশদ আলোচনা করি, কারণ এখানেই বেশিরভাগ ডেপ্লয়মেন্টে ত্রুটি থাকে। প্রথমত: ক্লায়েন্ট আইসোলেশন। এটি সক্রিয় করুন। এটি অ্যাক্সেস পয়েন্টের একটি সেটিং যা অতিথি ডিভাইসগুলিকে ওয়্যারলেস মাধ্যমে একে অপরের সাথে সরাসরি যোগাযোগ করতে বাধা দেয়। এটি ছাড়া, আপনার অতিথি নেটওয়ার্কের একটি ক্ষতিগ্রস্থ ডিভাইস অন্যান্য অতিথি ডিভাইসগুলিতে অনুসন্ধান এবং আক্রমণ চালাতে পারে। এটি একটি ওয়ান-চেকবক্স সমাধান যা সম্পূর্ণ এক শ্রেণীর পিয়ার-টু-পিয়ার আক্রমণকে দূর করে। দ্বিতীয়ত: DHCP লিজ টাইম। উচ্চ-টার্নওভারের স্থানে - যেমন একটি পরিবহন হাব, একটি স্টেডিয়াম, একটি ব্যস্ত রিটেল স্টোর - আপনার সংক্ষিপ্ত লিজ টাইম প্রয়োজন। ত্রিশ থেকে ষাট মিনিট। আপনি যদি ডিফল্ট হিসেবে চব্বিশ ঘণ্টা রেখে দেন এবং ম্যাচ ডে-তে আপনার দশ হাজার ডিভাইস সংযুক্ত হয়, তবে হাফ-টাইমের আগেই আপনার আইপি অ্যাড্রেস পুল শেষ হয়ে যাবে। নতুন ডিভাইসগুলি সংযোগ করতে পারবে না। আপনার অপারেশন টিম অভিযোগ পাবে। লিজ টাইম সংক্ষিপ্ত রাখুন। তৃতীয়ত: এনক্রিপশন। আপনার Captive Portal অবশ্যই একটি বৈধ TLS সার্টিফিকেট সহ HTTPS-এর মাধ্যমে পরিবেশন করা উচিত। যদি এটি HTTP-এর মাধ্যমে পরিবেশন করা হয়, তবে আধুনিক ব্রাউজারগুলো এটিকে অনিরাপদ হিসেবে চিহ্নিত করবে, ব্যবহারকারীরা এটিকে অবিশ্বাস করবে এবং আপনি প্লেইনটেক্সটে ক্রেডেন্সিয়াল প্রেরণ করছেন। ন্যূনতম TLS 1.2 ব্যবহার করুন; TLS 1.3-কে অগ্রাধিকার দেওয়া হয়। WiFi ট্রান্সপোর্ট লেয়ারে WPA2-AES বা WPA3 ব্যবহার করা উচিত - কখনই WEP বা TKIP ব্যবহার করবেন না। চতুর্থত: VLAN সেগমেন্টেশন। আপনার গেস্ট VLAN অবশ্যই পেমেন্ট কার্ডের ডেটা স্পর্শ করে এমন যেকোনো নেটওয়ার্ক সেগমেন্ট থেকে সম্পূর্ণ আলাদা হতে হবে। PCI DSS সংস্করণ 4.0 এই বিষয়ে সুস্পষ্ট। যদি আপনার গেস্ট নেটওয়ার্ক কোনো পয়েন্ট-অফ-সেল সিস্টেম ধারণকারী সাবনেটে রাউট করতে পারে, তবে আপনার সমগ্র POS নেটওয়ার্ক একটি PCI অডিটের আওতাভুক্ত হবে। এটি একটি উল্লেখযোগ্য কমপ্লায়েন্সের বোঝা। প্রথম দিন থেকেই সঠিকভাবে সেগমেন্ট করুন। [medium pause] পঞ্চম বিভাগ। GDPR এবং ডেটা কমপ্লায়েন্স। প্রতিটি Captive Portal যা ব্যক্তিগত ডেটা সংগ্রহ করে - এবং ইমেল ঠিকানা, ফোন নম্বর এবং সোশ্যাল লগইন সবই GDPR-এর অধীনে ব্যক্তিগত ডেটা হিসেবে গণ্য হয় - সেগুলোকে অবশ্যই নির্দিষ্ট প্রয়োজনীয়তা পূরণ করতে হবে। প্রসেসিংয়ের জন্য আপনার একটি আইনি ভিত্তি প্রয়োজন। গেস্ট WiFi-এর জন্য, সেটি সাধারণত সম্মতি (consent)। এই সম্মতি অবশ্যই অবাধে দেওয়া, সুনির্দিষ্ট, অবহিত এবং দ্ব্যর্থহীন হতে হবে। আগে থেকে টিক দেওয়া বক্সগুলো গণ্য হবে না। মার্কেটিংয়ের সম্মতির সাথে WiFi-এর সম্মতি একত্রিত করা যাবে না। Purple-এর সচেতন-পছন্দের অপ্ট-ইন মডেল নেটওয়ার্ক অ্যাক্সেসের সম্মতিকে মার্কেটিংয়ের সম্মতি থেকে আলাদা করে, যাতে অতিথিরা মার্কেটিং ইমেল গ্রহণ করতে বাধ্য না হয়েই অনলাইনে যুক্ত হতে পারেন। আপনার কী ডেটা সংগ্রহ করছেন, কেন সংগ্রহ করছেন, এটি কোথায় সংরক্ষণ করা হচ্ছে এবং কতদিন রাখছেন তা নথিভুক্ত করতে হবে। Purple হলো ISO 27001 সার্টিফাইড, GDPR কমপ্লায়েন্ট, CCPA কমপ্লায়েন্ট এবং Cyber Essentials সার্টিফাইড। প্ল্যাটফর্মটি নথিবদ্ধ রিটেনশন পলিসি সহ কমপ্লায়েন্ট ডেটা সেন্টারে ডেটা সংরক্ষণ করে। এবং আপনার একটি 'রাইট-টু-ইরেজার' (মুছে ফেলার অধিকার) ওয়ার্কফ্লো প্রয়োজন। কোনো অতিথি যদি তাদের ডেটা মুছে ফেলার অনুরোধ করেন, তবে আপনাকে অবশ্যই ত্রিশ দিনের মধ্যে তা কার্যকর করতে হবে। Purple-এর প্ল্যাটফর্ম এটিকে নেটিভভাবে সমর্থন করে এবং আমি আগে যে RADIUS CoA মেকানিজমের কথা উল্লেখ করেছি তার অর্থ হলো আপনি একই সময়ে সক্রিয় সেশনগুলো বাতিল করতে পারবেন। [medium pause] এখন চলুন ইমপ্লিমেন্টেশন সংক্রান্ত সুপারিশ এবং আমরা সবচেয়ে বেশি যে ভুলগুলো দেখতে পাই সেগুলোর দিকে যাওয়া যাক। [medium pause] প্রথম ভুল: ভুল কনফিগার করা ওয়াল্ড গার্ডেন (walled gardens)। স্প্ল্যাশ পেজটি লোড হয়, কিন্তু সোশ্যাল লগইন বোতামটি কাজ করে না। অথবা পেজটি লোড হয় কিন্তু লোগোটি প্রদর্শিত হয় না কারণ CDN ডোমেনটি হোয়াইটলিস্ট করা নেই। লাইভ করার আগে কোনো ক্যাশড DNS ছাড়া একটি নতুন ডিভাইসে আপনার ওয়াল্ড গার্ডেন পরীক্ষা করুন। দ্বিতীয় ভুল: শেয়ার করা PSK। কিছু ভেন্যু এখনও একটি চকবোর্ডে লেখা একটি একক WiFi পাসওয়ার্ড ব্যবহার করে। এটি কোনো Captive Portal নয় - এটি একটি শেয়ার করা গোপন বিষয় যা যে কেউ ছবি তুলে শেয়ার করতে পারে। এটি আপনাকে কোনো আইডেন্টিটি ডেটা, সম্মতির রেকর্ড এবং ব্যক্তিগত অ্যাক্সেস বাতিল করার কোনো ক্ষমতা দেয় না। এটিকে একটি ম্যানেজড Captive Portal দিয়ে প্রতিস্থাপন করুন। তৃতীয় ভুল: অপর্যাপ্ত DHCP পুল সাইজিং। আমি এটি আলোচনা করেছি, তবে এটি পুনরায় উল্লেখ করা প্রয়োজন। আপনার DHCP পুলের আকার গড় সংযোগের জন্য নয়, বরং পিক কনকারেন্ট সংযোগের জন্য নির্ধারণ করুন। চল্লিশ হাজার দর্শক ধারণক্ষমতার একটি স্টেডিয়ামে, আপনার একসাথে বিশ হাজার ডিভাইস সংযোগ করার চেষ্টা করতে পারে। সেই অনুযায়ী পরিকল্পনা করুন। চতুর্থ সমস্যা: কোনো সেশন টাইমআউট না থাকা। সেশন টাইমআউট না থাকলে, ছয় মাস আগে সংযুক্ত হওয়া এবং আর কখনো ফিরে না আসা একটি ডিভাইস এখনও আপনার কন্ট্রোলারে একটি অনুমোদিত সেশন স্টেট ধরে রাখে। এটি একটি পুরানো রেকর্ড যা রিসোর্স নষ্ট করে এবং অডিট নয়েজ তৈরি করে। সেশন টাইমআউট সেট করুন। ৩০ মিনিটের নিষ্ক্রিয়তা একটি যুক্তিসঙ্গত ডিফল্ট সময়। [medium pause] দ্রুত প্রশ্নোত্তর। প্রশ্ন: Captive Portal কি সব ডিভাইসে কাজ করে? উত্তর: আধুনিক অপারেটিং সিস্টেম - iOS, Android, Windows, macOS - সবগুলিতেই Captive Portal ডিটেকশন বিল্ট-ইন থাকে। এগুলো রিডাইরেক্ট সনাক্ত করে এবং স্বয়ংক্রিয়ভাবে পোর্টালটি প্রদর্শন করে। পুরানো ডিভাইসগুলোর ক্ষেত্রে ব্যবহারকারীকে ম্যানুয়ালি একটি ব্রাউজার খুলতে হতে পারে। Purple-এর প্ল্যাটফর্ম উভয় ফ্লোই পরিচালনা করে। প্রশ্ন: আমরা কি 802.1X এর পাশাপাশি Captive Portal ব্যবহার করতে পারি? উত্তর: হ্যাঁ। অনেক এন্টারপ্রাইজ ডেপ্লয়মেন্টে কর্মীদের ডিভাইসের জন্য 802.1X ব্যবহার করা হয় - যেখানে সার্টিফিকেট বা ক্রেডেনশিয়াল স্বয়ংক্রিয়ভাবে প্রমাণীকরণ করে - এবং একটি পৃথক SSID-তে গেস্ট ডিভাইসের জন্য একটি Captive Portal ব্যবহার করা হয়। Purple এমন RADIUS ইনফাস্ট্রাকচারের সাথে সংহত হয় যা একসাথে উভয় ফ্লো সমর্থন করে। প্রশ্ন: OpenRoaming-এর ব্যাপারে কী বলা যায়? উত্তর: OpenRoaming হল একটি স্ট্যান্ডার্ড যা ডিভাইসগুলোকে সার্টিফিকেট-ভিত্তিক প্রমাণীকরণ ব্যবহার করে স্বয়ংক্রিয়ভাবে WiFi-এর সাথে সংযুক্ত হতে দেয়, যার ফলে Captive Portal সম্পূর্ণভাবে এড়ানো যায়। Purple কানেক্ট লাইসেন্সের অধীনে OpenRoaming-এর জন্য একটি ফ্রি আইডেন্টিটি প্রোভাইডার হিসেবে কাজ করে। এটি নির্বিঘ্ন গেস্ট কানেক্টিভিটির জন্য ভবিষ্যতের দিকনির্দেশনা, তবে ডেটা ক্যাপচার এবং সম্মতি ব্যবস্থাপনার জন্য আজ Captive Portal-ই স্ট্যান্ডার্ড হিসেবে রয়ে গেছে। [medium pause] সংক্ষেপে বলতে গেলে। একটি সুপরিকল্পিত Captive Portal ডেপ্লয়মেন্ট পাঁচটি ভিত্তির ওপর নির্ভর করে। আপনার কর্পোরেট নেটওয়ার্ককে সুরক্ষিত করতে VLAN আইসোলেশন। স্প্ল্যাশ পেজটি প্রদর্শন করার জন্য DNS ইন্টারসেপশন এবং HTTPS রিডাইরেকশন। সম্মতির পরে ফায়ারওয়াল খোলার জন্য RADIUS প্রমাণীকরণ। পোর্টালটি যাতে নির্ভরযোগ্যভাবে লোড হয় তা নিশ্চিত করতে একটি সঠিকভাবে কনফিগার করা ওয়াল্ড গার্ডেন (walled garden)। এবং আপনার গেস্ট ও আপনার প্রতিষ্ঠান উভয়কে সুরক্ষিত রাখতে GDPR-সম্মত ডেটা হ্যান্ডলিং। Purple-এর প্ল্যাটফর্ম ৮০,০০০ লাইভ ভেন্যু জুড়ে এই পাঁচটি লেয়ারই পরিচালনা করে, যা ২০২৪ সালে ৪৪০ মিলিয়ন লগইন প্রসেস করেছে এবং এর আপটাইম ৯৯.৯৯৯%। এটি নেটিভলি Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme এবং Fortinet-এর সাথে সংহত হয় - তাই আপনি যে হার্ডওয়্যারই ব্যবহার করুন না কেন, কোনো কিছু পরিবর্তন না করেই এটি ডেপ্লয় করতে পারবেন। যদি আপনি এই বিষয়গুলোর কোনোটি সম্পর্কে বিস্তারিত জানতে চান - SSID ডিজাইন, RADIUS কনফিগারেশন, বা GDPR কমপ্লায়েন্স ওয়ার্কফ্লো - তাহলে সম্পূর্ণ টেকনিক্যাল গাইড লাইব্রেরির জন্য purple.ai ভিজিট করুন। শোনার জন্য ধন্যবাদ।

header_image.png

এক্সিকিউটিভ সামারি

এন্টারপ্রাইজ ভেন্যুগুলোর জন্য, গেস্ট WiFi হলো একটি অত্যন্ত গুরুত্বপূর্ণ পরিকাঠামো যার জন্য কঠোর আর্কিটেকচারাল শৃঙ্খলার প্রয়োজন। উন্মুক্ত পাবলিক অ্যাক্সেস এবং সুরক্ষিত কর্পোরেট নেটওয়ার্কিংয়ের মধ্যে ব্যবধান দূর করতে VLAN আইসোলেশন, DNS ইন্টারসেপশন এবং আইডেন্টিটি ম্যানেজমেন্টের সুনির্দিষ্ট কনফিগারেশন প্রয়োজন। এই নির্দেশিকাটি এন্টারপ্রাইজ Captive Portal আর্কিটেকচারের মেকানিক্স বিশ্লেষণ করে, মার্কেটিংয়ের জটিল শব্দগুলো বাদ দিয়ে প্যাকেট স্তরে এটি কীভাবে কাজ করে তা অবিকল ব্যাখ্যা করে। আমরা মূল প্রযুক্তিগত উপাদানগুলো কভার করি: VLAN সেগমেন্টেশন, DHCP পুল ম্যানেজমেন্ট, HTTP রিডাইরেকশন, RADIUS অথেন্টিকেশন এবং ব্যান্ডউইথ শেপিং।

আপনি কোনো হসপিটালিটি চেইনের জন্য নতুন নেটওয়ার্ক স্থাপন করছেন বা হেলথকেয়ার -এ লিগ্যাসি ইনফ্রাস্ট্রাকচার আপগ্রেড করছেন না কেন, ঝুঁকি কমাতে, PCI DSS এবং GDPR কমপ্লায়েন্স নিশ্চিত করতে এবং আমাদের WiFi অ্যানালিটিক্স প্ল্যাটফর্মের মাধ্যমে কার্যকর ফার্স্ট-পার্টি ডেটা সংগ্রহ করতে এই মেকানিক্সগুলো বোঝা অপরিহার্য।

টেকনিক্যাল ব্রিফিং পডকাস্টটি শুনুন:

টেকনিক্যাল ডিপ-ডাইভ: Captive Portal কীভাবে কাজ করে

মৌলিক স্তরে, একটি এন্টারপ্রাইজ গেস্ট WiFi নেটওয়ার্ক ক্লায়েন্ট ডিভাইসকে কিছুটা বিভ্রান্ত করে কাজ করে যাতে এর ট্রাফিক ইন্টারসেপ্ট করা যায়, অথেন্টিকেশন বাধ্যতামূলক করা যায় এবং তারপর কর্পোরেট LAN স্পর্শ না করেই সুরক্ষিতভাবে ইন্টারনেটে রাউট করা যায়।

১. VLAN-এর মাধ্যমে লজিক্যাল আইসোলেশন

যেকোনো সুরক্ষিত গেস্ট WiFi নেটওয়ার্কের ভিত্তি হলো লজিক্যাল সেপারেশন। যখন একজন ভেন্যু ব্যবহারকারী গেস্ট SSID-এর সাথে সংযুক্ত হন, তখন অ্যাক্সেস পয়েন্ট তাদের ট্রাফিককে একটি নির্দিষ্ট ভার্চুয়াল লোকাল এরিয়া নেটওয়ার্ক (VLAN) ID (যেমন, VLAN 20) দিয়ে ট্যাগ করে, যেখানে কর্পোরেট ট্রাফিক একটি পৃথক VLAN-এ (যেমন, VLAN 10) কাজ করে।

এই ট্যাগের ফলে সুইচ এবং ফায়ারওয়াল স্তরে নিশ্চিত করা হয় যে, গেস্ট ট্রাফিক পয়েন্ট-অফ-সেল সিস্টেম বা রোগীর রেকর্ড সম্বলিত অভ্যন্তরীণ সাবনেটে রাউট হতে শারীরিকভাবে অক্ষম হয়। ফায়ারওয়ালটি ইন্টার-VLAN রাউটিংয়ের জন্য স্পষ্ট ডিনাই (deny) রুলস সহ কনফিগার করা থাকে, যা গেস্ট ট্রাফিককে সরাসরি WAN ইন্টারফেস দিয়ে বের হতে বাধ্য করে।

architecture_overview.png

২. DHCP এবং IP অ্যাড্রেস পুল

সংযোগের পর, ক্লায়েন্ট ডিভাইসটি একটি DHCP Discover প্যাকেট ব্রডকাস্ট করে। নেটওয়ার্কটি একটি ডেডিকেটেড গেস্ট সাবনেট থেকে একটি IP অ্যাড্রেস বরাদ্দ করে এর উত্তর দেয়। এখানে একটি গুরুত্বপূর্ণ প্রযুক্তিগত পার্থক্য হলো লিজ টাইম (lease time)। যেখানে কর্পোরেট ডিভাইসগুলো আট দিন পর্যন্ত একটি IP ধরে রাখতে পারে, সেখানে পরিবহন হাবের মতো উচ্চ-টার্নওভারের পরিবেশগুলোতে IP পুল শেষ হয়ে যাওয়া রোধ করতে গেস্ট নেটওয়ার্কগুলোকে অবশ্যই কম লিজ টাইম (৩০ থেকে ৬০ মিনিট) ব্যবহার করতে হবে।

৩. DNS ইন্টারসেপশন এবং Captive Portal

এখান থেকেই ব্যবহারকারীর অভিজ্ঞতা শুরু হয়। যখন সদ্য সংযুক্ত ডিভাইসটি কোনো ওয়েবসাইটে পৌঁছানোর চেষ্টা করে (অথবা যখন OS তার Captive Portal সনাক্তকরণ পরীক্ষা সম্পন্ন করে, যেমন Apple-এর captive.apple.com), তখন নেটওয়ার্কটি DNS অনুরোধটিকে ইন্টারসেপ্ট করে।

অনুরোধ করা সাইটের প্রকৃত IP অ্যাড্রেস সমাধান করার পরিবর্তে, গেটওয়েটি Captive Portal-এর IP অ্যাড্রেস ফেরত পাঠায়। এরপর ক্লায়েন্টের ব্রাউজারটিকে Purple দ্বারা হোস্ট করা স্প্ল্যাশ পেজে HTTP-রিডাইরেক্ট করা হয়।

৪. অথেন্টিকেশন এবং RADIUS

ব্যবহারকারী যখন Captive Portal-এর সাথে ইন্টারঅ্যাক্ট করেন - তা শর্তাবলী স্বীকার করা, একটি ইমেল প্রবেশ করানো বা সোশ্যাল লগইন ব্যবহার করার মাধ্যমেই হোক না কেন - প্ল্যাটফর্মটিকে অবশ্যই স্থানীয় নেটওয়ার্ক কন্ট্রোলারকে ট্রাফিকটি অনুমোদন করার জন্য জানাতে হবে।

এটি RADIUS (Remote Authentication Dial-In User Service) প্রোটোকলের মাধ্যমে পরিচালিত হয়। Purple ক্লাউড RADIUS সার্ভার হিসেবে কাজ করে, যা স্থানীয় WiFi কন্ট্রোলার বা গেটওয়েতে একটি Access-Accept বার্তা ফেরত পাঠায়। কন্ট্রোলার তখন ব্যবহারকারীর স্টেটটিকে 'অননুমোদিত' (শুধুমাত্র ওয়াল্ড গার্ডেন অ্যাক্সেস) থেকে 'অনুমোদিত' অবস্থায় পরিবর্তন করে, যা স্ট্যান্ডার্ড ইন্টারনেট অ্যাক্সেসের জন্য ফায়ারওয়াল পোর্টগুলো খুলে দেয়।

বাস্তবায়ন নির্দেশিকা: স্কেল করার জন্য তৈরি করা

গেস্ট WiFi স্থাপন করার জন্য ব্যবহারকারীর বাধা-বিপত্তির সাথে নিরাপত্তা এবং ডেটা ক্যাপচারের প্রয়োজনীয়তার ভারসাম্য বজায় রাখতে হয়। আমাদের ক্লাউড ওভারলে Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme এবং Fortinet হার্ডওয়্যারের সাথে নেটিভভাবে সংহত হয়।

ধাপ ১: নেটওয়ার্ক টপোলজি আর্কিটেক্ট করা

নিশ্চিত করুন যে আপনার কোর সুইচ এবং ফায়ারওয়ালগুলো 802.1Q VLAN ট্যাগিং সমর্থন করে। আপনার গেস্ট VLAN-টিকে ফায়ারওয়ালের একটি DMZ ইন্টারফেসে টার্মিনেট করার জন্য কনফিগার করুন, যা অভ্যন্তরীণ রাউটিং টেবিলগুলোকে সম্পূর্ণভাবে বাইপাস করে।

ধাপ ২: ওয়াল্ড গার্ডেন (Walled Garden) কনফিগার করা

একটি ওয়াল্ড গার্ডেন হলো IP অ্যাড্রেস এবং ডোমেনগুলোর একটি তালিকা যা অননুমোদিত ব্যবহারকারীদের অ্যাক্সেস করার অনুমতি দেওয়া হয়। এর মধ্যে অবশ্যই Captive Portal লোড করার জন্য প্রয়োজনীয় URL, লোগোর জন্য CDN অ্যাসেট এবং সোশ্যাল লগইনের জন্য অথেন্টিকেশন এন্ডপয়েন্ট (যেমন, Microsoft Entra ID, Okta, Google Workspace) অন্তর্ভুক্ত থাকতে হবে। ওয়াল্ড গার্ডেনটি ভুলভাবে কনফিগার করা হলে, স্প্ল্যাশ পেজটি লোড হতে ব্যর্থ হবে, যার ফলে ব্যবহারকারী একটি ডেড এন্ডে পৌঁছাবেন।

ধাপ ৩: ক্লায়েন্ট আইসোলেশন বাস্তবায়ন করা

আপনার অ্যাক্সেস পয়েন্টগুলোতে ক্লায়েন্ট আইসোলেশন সক্ষম করুন। এটি সংযুক্ত গেস্ট ডিভাইসগুলোকে ওয়্যারলেস মিডিয়ামে একে অপরের সাথে সরাসরি যোগাযোগ করতে বাধা দেয়, যা কার্যকরভাবে গেস্ট সাবনেটের মধ্যে পিয়ার-টু-পিয়ার আক্রমণ এবং ম্যালওয়্যার ছড়ানো প্রশমিত করে।

ধাপ ৪: আইডেন্টিটি ম্যানেজমেন্ট সংহত করা

শেয়ার্ড PSKs থেকে দূরে সরে আসুন। এমন একটি পরিচালিত Captive Portal প্রয়োগ করুন যা সচেতন-পছন্দের অপ্ট-ইনগুলির মাধ্যমে ফার্স্ট-পার্টি ডেটা সংগ্রহ করে। নির্বিঘ্ন, নিরাপদ অনবোর্ডিংয়ের জন্য, OpenRoaming বাস্তবায়ন করার কথা বিবেচনা করুন। Purple কানেক্ট প্ল্যানের অধীনে OpenRoaming-এর জন্য একটি ফ্রি আইডেন্টিটি প্রোভাইডার হিসেবে কাজ করে, যা ডিভাইসগুলোকে কোনো প্রথাগত স্প্ল্যাশ পেজ ছাড়াই সার্টিফিকেটের মাধ্যমে নিরাপদে প্রমাণীকরণ করতে দেয়। মাল্টি-নেটওয়ার্ক এনভায়রনমেন্ট ডিজাইন করার বিষয়ে আরও জানতে, আমাদের নির্দেশিকাটি পড়ুন: Three SSIDs to rule them all: the WiFi design for guest, staff, and IoT

সর্বোত্তম অনুশীলন এবং কমপ্লায়েন্স

কমপ্লায়েন্স ঐচ্ছিক নয়। একটি সঠিকভাবে প্রকৌশলী করা Captive Portal আপনার সংস্থাকে দায়বদ্ধতা এবং নিয়ন্ত্রক জরিমানা থেকে রক্ষা করে।

security_compliance_checklist.png

GDPR এবং ডেটা গোপনীয়তা

একটি Captive Portal ব্যবহারকারী সংযোগ করার মুহূর্ত থেকেই ব্যক্তিগত ডেটা সংগ্রহ করে। GDPR-এর প্রয়োজনীয়তা পূরণ করতে, এই ডেটা প্রক্রিয়া করার আগে আপনাকে অবশ্যই স্পষ্ট সম্মতি সংগ্রহ করতে হবে। Purple-এর প্ল্যাটফর্ম GDPR কমপ্লায়েন্সের জন্য প্রয়োজনীয় Layer 7 আইডেন্টিটি এবং সম্মতি সংক্রান্ত প্রয়োজনীয়তাগুলি পরিচালনা করে, যা নিশ্চিত করে যে ডেটা আইনত সংগ্রহ করা হয়েছে, নিরাপদে সংরক্ষণ করা হয়েছে এবং স্বয়ংক্রিয় ওয়ার্কফ্লোর মাধ্যমে অনুরোধের ভিত্তিতে মুছে ফেলা যেতে পারে।

PCI DSS v4.0 কমপ্লায়েন্স

আপনার সংস্থা যদি ক্রেডিট কার্ড প্রসেস করে, তবে আপনার নেটওয়ার্কটি PCI DSS-এর আওতাভুক্ত। POS সিস্টেমের মতো একই নেটওয়ার্কে চলা গেস্ট WiFi নেটওয়ার্কগুলি গেস্ট নেটওয়ার্ককে PCI DSS-এর আওতায় নিয়ে আসতে পারে, যা উল্লেখযোগ্য অডিট জটিলতা তৈরি করে। গেস্ট ট্র্যাফিক যাতে কখনও কার্ডহোল্ডার ডেটা এনভায়রনমেন্ট স্পর্শ না করে তা নিশ্চিত করতে কঠোর VLAN সেগমেন্টেশন বাধ্যতামূলক।

নেটওয়ার্ক সিকিউরিটি স্ট্যান্ডার্ড

ওয়্যারলেস ট্রান্সপোর্ট লেয়ারে WPA3 বা WPA2-AES এনক্রিপশন প্রয়োগ করুন। প্রমাণীকরণ পর্বের সময় ব্যবহারকারীর ক্রেডেনশিয়াল সুরক্ষিত রাখতে TLS 1.2 বা TLS 1.3 ব্যবহার করে HTTPS-এর মাধ্যমে আপনার Captive Portal পরিবেশন করা হচ্ছে তা নিশ্চিত করুন।

ট্রাবলশুটিং এবং ঝুঁকি হ্রাস

এমনকি ভালোভাবে ডিজাইন করা নেটওয়ার্কেও সমস্যা দেখা দিতে পারে। এখানে সবচেয়ে সাধারণ ব্যর্থতার ধরন এবং সেগুলি এড়ানোর উপায় দেওয়া হলো।

ব্যর্থতার ধরন: IP অ্যাড্রেস শেষ হয়ে যাওয়া একটি ব্যস্ত Retail এনভায়রনমেন্টে, ডিভাইসগুলি ক্রমাগত ওপেন নেটওয়ার্কগুলি অনুসন্ধান করে এবং সংযুক্ত হয়। আপনার DHCP লিজ সময় যদি ২৪ ঘণ্টা হয়, তবে একজন ক্রেতা যিনি পাঁচ মিনিটের জন্য আপনার দোকানের পাশ দিয়ে হেঁটে যান, তিনি পুরো দিনের জন্য একটি IP অ্যাড্রেস ব্যবহার করে ফেলেন। সমাধান: গেস্ট VLAN-এ DHCP লিজের সময় কমিয়ে ৩০ মিনিট করুন।

ব্যর্থতার ধরন: Walled garden ব্লকসমূহ ক্লাউড পরিষেবাগুলি প্রায়শই তাদের IP অ্যাড্রেস পরিবর্তন করে। আপনার Walled garden যদি সোশ্যাল লগইন এন্ডপয়েন্টের জন্য স্ট্যাটিক IP হোয়াইটলিস্টিং ব্যবহার করে, তবে সেই IPগুলি পরিবর্তিত হলে প্রমাণীকরণ ভেঙে যাবে। সমাধান: আপনার হার্ডওয়্যার কন্ট্রোলার যেখানেই এটি সমর্থন করে, সেখানে Walled garden এন্ট্রির জন্য ডোমেইন-ভিত্তিক হোয়াইটলিস্টিং ব্যবহার করুন।

ব্যর্থতার ধরন: স্টেল সেশন (Stale sessions) ব্যবহারকারীরা সংযোগ বিচ্ছিন্ন না করেই ভেন্যু ছেড়ে চলে যান, কিন্তু তাদের সেশন কন্ট্রোলারে সক্রিয় থাকে, যা রিসোর্স খরচ করে। প্রশমন: আগ্রাসী নিষ্ক্রিয় সময়সীমা (যেমন, ৩০ মিনিট) প্রয়োগ করুন এবং সময়সীমা শেষ হয়ে গেলে সক্রিয়ভাবে সেশনগুলি বাতিল করতে RADIUS Change of Authorisation (CoA) ব্যবহার করুন।

ROI এবং ব্যবসায়িক প্রভাব

একটি সুরক্ষিত captive portal একটি ঐতিহ্যবাহী IT কস্ট সেন্টারকে একটি রাজস্ব-উৎপাদনকারী সম্পদে রূপান্তরিত করে। যাচাইকৃত ফার্স্ট-পার্টি ডেটা সংগ্রহের মাধ্যমে, ভেন্যুগুলো বিস্তারিত ভিজিটর প্রোফাইল তৈরি করতে পারে। Purple ২০২৪ সালে ৮০,০০০+ লাইভ ভেন্যুতে ৪৪০ মিলিয়ন লগইন প্রসেস করেছে, যা এই পদ্ধতির স্কেল এবং নির্ভরযোগ্যতা প্রমাণ করে।

উদাহরণস্বরূপ, McDonald's ডাইনারদের অবস্থানের সময়কাল এবং পরিদর্শনের ফ্রিকোয়েন্সি বোঝার জন্য captive portal ডেটা ব্যবহার করে, অন্যদিকে Manchester Airports Group কানেকশন অ্যানালিটিক্সের ভিত্তিতে যাত্রী প্রবাহ অপ্টিমাইজ করে। ROI কেবল মার্কেটিং ডাটাবেসের বৃদ্ধির মাধ্যমেই পরিমাপ করা হয় না, বরং প্ল্যাটফর্মের সংগৃহীত ২৯ বিলিয়ন ডেটা পয়েন্ট থেকে প্রাপ্ত অপারেশনাল ইনসাইটের মাধ্যমেও পরিমাপ করা হয়।

মূল সংজ্ঞাসমূহ

Captive Portal

একটি ওয়েব পেজ যা নেটওয়ার্ক ট্রাফিককে বাধা দেয় এবং সম্পূর্ণ ইন্টারনেট অ্যাক্সেস দেওয়ার আগে ব্যবহারকারীর মিথস্ক্রিয়া (যেমন শর্তাবলী স্বীকার করা বা লগ ইন করা) প্রয়োজন হয়।

গেস্ট নেটওয়ার্কে ফার্স্ট-পার্টি ডেটা সংগ্রহ এবং ব্যবহারের শর্তাবলী প্রয়োগ করার প্রাথমিক প্রক্রিয়া।

RADIUS

Remote Authentication Dial-In User Service. একটি নেটওয়ার্কিং প্রোটোকল যা কেন্দ্রীভূত প্রমাণীকরণ, অনুমোদন এবং অ্যাকাউন্টিং ব্যবস্থাপনা প্রদান করে।

আপনার স্থানীয় WiFi হার্ডওয়্যারকে একজন গেস্টের ইন্টারনেট অ্যাক্সেস অনুমোদিত বলে জানানোর জন্য Purple যে প্রোটোকলটি ব্যবহার করে।

Walled Garden

IP ঠিকানা বা ডোমেনগুলির একটি সীমাবদ্ধ তালিকা যা একজন ব্যবহারকারী captive portal-এর মাধ্যমে প্রমাণীকরণের আগে অ্যাক্সেস করতে পারেন।

ডিভাইসটি এখনও প্রি-অথেন্টিকেশন অবস্থায় থাকা অবস্থায় স্প্ল্যাশ পেজ এবং সোশ্যাল লগইন প্রদানকারীদের লোড করার অনুমতি দেওয়ার জন্য অপরিহার্য।

VLAN

Virtual Local Area Network. একটি লজিক্যাল সাবনেটওয়ার্ক যা বিভিন্ন ফিজিক্যাল LAN থেকে ডিভাইসের একটি সংগ্রহকে গ্রুপ করে।

কর্পোরেট ট্রাফিক থেকে গেস্ট ট্রাফিককে নিরাপদে আলাদা করতে ব্যবহৃত হয়, যা PCI DSS সম্মতি নিশ্চিত করে।

Client Isolation

একটি ওয়্যারলেস সিকিউরিটি সেটিং যা একই অ্যাক্সেস পয়েন্টের সাথে সংযুক্ত ডিভাইসগুলিকে একে অপরের সাথে সরাসরি যোগাযোগ করতে বাধা দেয়।

পাবলিক নেটওয়ার্ক জুড়ে পিয়ার-টু-পিয়ার আক্রমণ এবং ম্যালওয়্যার ছড়ানো থেকে গেস্টদের রক্ষা করার জন্য অত্যন্ত গুরুত্বপূর্ণ।

DHCP Lease Time

একটি IP address মেয়াদ শেষ হওয়ার আগে এবং উপলব্ধ পুলে ফিরে আসার আগে কোনো ডিভাইসে কত সময়ের জন্য বরাদ্দ থাকে তার সময়কাল।

গেস্টরা আসা-যাওয়ার সাথে সাথে যাতে IP ঠিকানা শেষ না হয়ে যায়, তার জন্য গেস্ট নেটওয়ার্কে এটি সংক্ষিপ্ত (৩০-৬০ মিনিট) রাখতে হবে।

RADIUS CoA

Change of Authorisation। RADIUS-এর একটি এক্সটেনশন যা সার্ভারকে একটি অ্যাক্টিভ ক্লায়েন্টের সেশন স্টেট পরিবর্তন করার অনুমতি দেয়।

ব্যবহারকারীদের সময়সীমা শেষ হয়ে গেলে বা GDPR-এর অধীনে তারা ডেটা মুছে ফেলার অনুরোধ জানালে তাদেরকে তাৎক্ষণিকভাবে সংযোগ বিচ্ছিন্ন করতে Purple দ্বারা ব্যবহৃত হয়।

OpenRoaming

একটি রোমিং ফেডারেশন পরিষেবা যা ডিভাইসগুলোকে সার্টিফিকেট ব্যবহার করে অংশগ্রহণকারী WiFi নেটওয়ার্কগুলোর সাথে স্বয়ংক্রিয়ভাবে এবং সুরক্ষিতভাবে সংযুক্ত হতে দেয়।

নিরবচ্ছিন্ন কানেক্টিভিটির পরবর্তী প্রজন্ম, যেখানে Connect প্ল্যানের অধীনে Purple একটি ফ্রি আইডেন্টিটি প্রোভাইডার হিসেবে কাজ করে।

সমাধানকৃত উদাহরণসমূহ

একটি ২০০ কক্ষের হোটেলে তার সম্পত্তি জুড়ে গেস্ট WiFi স্থাপন করা প্রয়োজন। তারা বর্তমানে ফ্রন্ট ডেস্ক, ব্যাক অফিস এবং একটি শেয়ার্ড পাসওয়ার্ডের মাধ্যমে গেস্ট অ্যাক্সেসের জন্য একটি একক ফ্ল্যাট নেটওয়ার্ক (192.168.1.0/24) ব্যবহার করে। তারা ফ্রন্ট ডেস্ক সিস্টেমের নিরাপত্তা নিশ্চিত করার সাথে সাথে মার্কেটিংয়ের জন্য গেস্টদের ইমেল ঠিকানা সংগ্রহ করতে চায়।

১. নেটওয়ার্ক সেগমেন্টেশন প্রয়োগ করুন: ফ্রন্ট ডেস্ক/অফিসের জন্য VLAN 10 এবং গেস্টদের জন্য VLAN 20 তৈরি করুন। ২. ফায়ারওয়াল কনফিগার করুন: VLAN 20 থেকে VLAN 10-এ সমস্ত রাউটিং ব্লক করুন। VLAN 20 সরাসরি WAN-এ রাউট করুন। ৩. শেয়ার্ড পাসওয়ার্ড সরান: 'Hotel_Guest' নামে একটি ওপেন SSID স্থাপন করুন। ৪. captive portal সেট আপ করুন: অপ্রমাণিত HTTP ট্রাফিককে Purple-এর captive portal URL-এ রিডাইরেক্ট করতে WiFi কন্ট্রোলার কনফিগার করুন। ৫. walled garden কনফিগার করুন: Purple পোর্টাল ডোমেন এবং CDN অ্যাসেটগুলিকে হোয়াইটলিস্ট করুন যাতে স্প্ল্যাশ পেজটি লোড হয়। ৬. RADIUS কনফিগার করুন: WiFi কন্ট্রোলারে Purple-এর RADIUS সার্ভার IP ঠিকানা এবং শেয়ার্ড সিক্রেট যোগ করুন। ৭. DHCP সামঞ্জস্য করুন: ডিভাইসগুলির দ্রুত পরিবর্তন পরিচালনা করতে VLAN 20 DHCP পুলকে ৬০-মিনিটের লিজ টাইম সহ একটি /22 সাবনেটে সেট করুন।

পরীক্ষকের মন্তব্য: এই পদ্ধতিটি ফ্রন্ট ডেস্ক সিস্টেমগুলিকে আইসোলেট করে তাত্ক্ষণিক PCI DSS সম্মতির ঝুঁকি সমাধান করে। একটি শেয়ার্ড পাসওয়ার্ড থেকে একটি RADIUS-ব্যাকড captive portal-এ স্থানান্তরিত হওয়া ব্যক্তিগত সেশন নিয়ন্ত্রণ এবং জবাবদিহিতা প্রদানের পাশাপাশি প্রয়োজনীয় ডেটা সংগ্রহ সক্ষম করে।

একটি বড় স্টেডিয়াম একটি ম্যাচের জন্য ৪০,০০০ দর্শকের প্রত্যাশা করছে। তারা একটি captive portal স্থাপন করেছে কিন্তু ৩ ঘণ্টার ইভেন্টের সময় নেটওয়ার্কের কার্যক্ষমতা এবং IP শেষ হয়ে যাওয়া নিয়ে চিন্তিত।

১. DHCP সাইজিং: ৬৫,০০০-এর বেশি উপলব্ধ IP ঠিকানা প্রদানের জন্য গেস্ট VLAN-এর জন্য একটি /16 সাবনেট স্থাপন করুন। ২. লিজ টাইম: যে সকল ভক্তরা তাড়াতাড়ি চলে যান তাদের কাছ থেকে দ্রুত IP পুনরুদ্ধার করতে DHCP লিজ টাইম ৩০ মিনিট সেট করুন। ৩. ব্যান্ডউইথ শেপিং: কয়েকজন ব্যবহারকারী যাতে ১০ Gbps ইন্টারনেট পাইপকে সম্পূর্ণ ব্যবহার করে না ফেলে তার জন্য কন্ট্রোলার স্তরে প্রতি ব্যবহারকারীর রেট লিমিট ৫ Mbps ডাউন / ২ Mbps আপ প্রয়োগ করুন। ৪. ক্লায়েন্ট আইসোলেশন: ঘন স্টেডিয়াম পরিবেশে ওয়্যারলেস কর্মক্ষমতা হ্রাস করা থেকে ব্রডকাস্ট স্টর্ম এবং পিয়ার-টু-পিয়ার ট্রাফিক প্রতিরোধ করতে AP-স্তরের ক্লায়েন্ট আইসোলেশন সক্ষম করুন।

পরীক্ষকের মন্তব্য: উচ্চ-ঘনত্বের পরিবেশের জন্য আক্রমণাত্মক রিসোর্স ম্যানেজমেন্ট প্রয়োজন। একটি বড় সাবনেট, সংক্ষিপ্ত লিজ এবং কঠোর ব্যান্ডউইথ শেপিংয়ের সমন্বয় মূল নেটওয়ার্কের স্থিতিশীলতা রক্ষা করার সাথে সাথে সমস্ত ভক্তদের জন্য ন্যায্য অ্যাক্সেস নিশ্চিত করে।

অনুশীলনী প্রশ্নসমূহ

Q1. আপনি একটি হাসপাতালের ওয়েটিং রুমে একটি captive portal স্থাপন করছেন। স্প্ল্যাশ পেজটি Android ডিভাইসে সফলভাবে লোড হচ্ছে, কিন্তু iOS ডিভাইসে একটি ফাঁকা সাদা স্ক্রিন দেখাচ্ছে। এর সম্ভাব্য আর্কিটেকচারাল কারণ কী?

ইঙ্গিত: বিভিন্ন অপারেটিং সিস্টেম কীভাবে captive portals সনাক্ত করে এবং সেগুলোর কোন কোন রিসোর্সে পৌঁছানো প্রয়োজন তা বিবেচনা করুন।

মডেল উত্তর দেখুন

ওয়ালড গার্ডেনটি (walled garden) সম্ভবত ভুলভাবে কনফিগার করা হয়েছে। iOS ডিভাইসগুলো পোর্টাল মিনি-ব্রাউজার চালু করতে নির্দিষ্ট কিছু Apple ডোমেনে (যেমন captive.apple.com) পৌঁছানোর চেষ্টা করে। যদি এই ডোমেনগুলো বা স্প্ল্যাশ পেজের জন্য প্রয়োজনীয় নির্দিষ্ট CDN অ্যাসেটগুলো ওয়ালড গার্ডেনে হোয়াইটলিস্ট করা না থাকে, তবে পেজটি Apple CNA (Captive Network Assistant)-এ সঠিকভাবে রেন্ডার করতে ব্যর্থ হবে।

Q2. একটি রিটেইল চেইন ফ্রি WiFi দিতে চায় কিন্তু ব্যবহারকারীদের তাদের Microsoft Entra ID ক্রেডেনশিয়াল ব্যবহার করে লগ ইন করতে হবে। টেস্টিংয়ের সময়, ব্যবহারকারীদের স্প্ল্যাশ পেজে রিডাইরেক্ট করা হচ্ছে, তারা 'Log in with Microsoft' বাটনে ক্লিক করছেন, কিন্তু পেজটির টাইম আউট হয়ে যাচ্ছে। কেন?

ইঙ্গিত: RADIUS অথেন্টিকেশন সম্পন্ন হওয়ার আগে ফায়ারওয়ালের অবস্থা সম্পর্কে ভাবুন।

মডেল উত্তর দেখুন

Microsoft Entra ID অথেন্টিকেশন এন্ডপয়েন্টগুলো ওয়ালড গার্ডেনে যোগ করা হয়নি। যেহেতু ব্যবহারকারী প্রি-অথেন্টিকেশন স্টেটে আছেন, ফায়ারওয়াল ইন্টারনেটের সমস্ত ট্রাফিক ব্লক করে দেয়। এটি সমাধান করতে, নির্দিষ্ট Microsoft লগইন ডোমেন এবং IP রেঞ্জগুলো হোয়াইটলিস্ট করতে হবে যাতে ওঅথ (OAuth) ফ্লো সম্পন্ন করার জন্য ডিভাইসটি আইডেন্টিটি প্রোভাইডারের সাথে যোগাযোগ করতে পারে।

Q3. একটি ভেন্যুতে প্রতিদিন বিকেলে তাদের গেস্ট নেটওয়ার্কে IP address শেষ হয়ে যাচ্ছে, যদিও তাদের কনকারেন্ট ব্যবহারকারীর সংখ্যা DHCP পুল সাইজের চেয়ে কম। কোন কনফিগারেশন পরিবর্তন করা প্রয়োজন?

ইঙ্গিত: কোনো ডিভাইস বিল্ডিং থেকে চলে যাওয়ার পর কতক্ষণ একটি IP address ধরে রাখে তা বিবেচনা করুন।

মডেল উত্তর দেখুন

DHCP লিজ টাইম (lease time) খুব বেশি সেট করা আছে (সম্ভবত ডিফল্ট ১২ বা ২৪ ঘণ্টা)। যেসব ডিভাইস অল্প সময়ের জন্য সংযুক্ত হয়ে চলে যাচ্ছে, সেগুলো তাদের IP address ধরে রাখছে, যা নতুন ডিভাইসগুলোকে সংযুক্ত হতে বাধা দিচ্ছে। চলে যাওয়া গেস্টদের কাছ থেকে দ্রুত IP রিসাইকেল করার জন্য লিজ টাইম কমিয়ে ৩০ থেকে ৬০ মিনিট করা উচিত।

এই সিরিজে পড়া চালিয়ে যান

B2B Captive Portals অপ্টিমাইজ করা: কোম্পানির নাম এবং পেশাদার ডেটা সংগ্রহ করা

এই নির্দেশিকাটি ব্যাখ্যা করে যে কীভাবে IT ম্যানেজার, নেটওয়ার্ক আর্কিটেক্ট এবং ভেন্যু অপারেশন ডিরেক্টররা WiFi লগইনের সময় পেশাদার ডেটা - কোম্পানির নাম, চাকরির পদবি এবং ব্যবসায়িক ইমেল ঠিকানা - সংগ্রহ করতে B2B captive portals কনফিগার করতে পারেন। এটি VLAN আইসোলেশন এবং RADIUS অথেনটিকেশন থেকে শুরু করে Salesforce এবং HubSpot-এর সাথে CRM ইন্টিগ্রেশন পর্যন্ত সম্পূর্ণ প্রযুক্তিগত আর্কিটেকচার কভার করে, যার মধ্যে GDPR এবং CCPA কমপ্লায়েন্স বিল্ট-ইন রয়েছে। যে ভেন্যুগুলো এটি সঠিকভাবে স্থাপন করে তারা তাদের গেস্ট WiFi নেটওয়ার্ককে একটি ফার্স্ট-পার্টি ডেটা ইঞ্জিন এবং স্বয়ংক্রিয় লিড জেনারেশন সিস্টেমে রূপান্তরিত করে।

গাইডটি পড়ুন →

Starlink-এ কীভাবে একটি Captive Portal সেট আপ করবেন: দূরবর্তী এবং সামুদ্রিক ভেন্যুগুলোর জন্য একটি নির্দেশিকা

এই নির্দেশিকাটিতে কীভাবে নেটিভ Starlink হার্ডওয়্যার বাইপাস করতে হয় এবং এন্টারপ্রাইজ রাউটিং সরঞ্জাম ব্যবহার করে একটি ক্লাউড-পরিচালিত captive portal সংহত করতে হয় তা বিস্তারিতভাবে আলোচনা করা হয়েছে। আপনি কীভাবে CGNAT সীমাবদ্ধতা কাটিয়ে উঠবেন, VLAN সেগমেন্টেশন প্রয়োগ করবেন, স্যাটেলাইট ব্যান্ডউইথ সীমাবদ্ধতা পরিচালনা করবেন এবং নিয়ন্ত্রক সম্মতি নিশ্চিত করবেন তা শিখবেন।

গাইডটি পড়ুন →

Captive Portal-এর সর্বোত্তম অনুশীলনসমূহ: উচ্চ কনভার্সন এবং কমপ্লায়েন্সের জন্য ডিজাইন

এই টেকনিক্যাল গাইডটি IT ম্যানেজার, নেটওয়ার্ক আর্কিটেক্ট এবং ভেন্যু অপারেশন ডিরেক্টরদের জন্য নেটওয়ার্ক সিকিউরিটির সাথে উচ্চ ইউজার কনভার্সনের ভারসাম্য বজায় রেখে captive portals স্থাপনের একটি সম্পূর্ণ ব্লুপ্রিন্ট প্রদান করে। এটি VLAN সেগমেন্টেশন এবং RADIUS অথেন্টিকেশন থেকে শুরু করে GDPR-সম্মত সম্মতি (consent) ডিজাইন এবং অথেন্টিকেশন পদ্ধতি নির্বাচন পর্যন্ত সম্পূর্ণ আর্কিটেকচার কভার করে। ২০২৪ সালে ৮০,০০০-এরও বেশি ভেন্যু এবং ৪৪০ মিলিয়ন লগইনে Purple-এর অপারেশনাল অভিজ্ঞতা থেকে নেওয়া প্রতিটি সুপারিশ বাস্তব ডিপ্লয়মেন্ট ডেটার ওপর ভিত্তি করে তৈরি।

গাইডটি পড়ুন →