মূল কন্টেন্টে যান
বাংলা

WiFi অথেন্টিকেশনের জন্য কীভাবে Azure Entra ID (Azure AD) সেট আপ করবেন

এই প্রামাণিক গাইডে এন্টারপ্রাইজ WiFi অথেন্টিকেশনের জন্য 802.1X-এর সাথে Azure Entra ID ইন্টিগ্রেট করার আর্কিটেকচার, ইমপ্লিমেন্টেশনের ধাপ এবং ব্যবসায়িক প্রভাব বিস্তারিতভাবে আলোচনা করা হয়েছে। এটি নেটওয়ার্ক আর্কিটেক্ট এবং IT ম্যানেজারদের ব্যবহারিক ডিপ্লয়মেন্ট স্ট্র্যাটেজি প্রদান করে, যা লিগ্যাসি PSK-কে জিরো-ট্রাস্ট, সার্টিফিকেট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস দিয়ে প্রতিস্থাপন করে।

📖 4 মিনিট পাঠ📝 945 শব্দ🔧 2 সমাধানকৃত উদাহরণ3 অনুশীলনী প্রশ্ন📚 8 মূল সংজ্ঞা

এই গাইডটি শুনুন

পডকাস্ট ট্রান্সক্রিপ্ট দেখুন
[INTRO - 1 MIN] হোস্ট: Purple এন্টারপ্রাইজ নেটওয়ার্ক ব্রিফিং-এ স্বাগতম। আমি আপনাদের হোস্ট, এবং আজ আমরা একটি গুরুত্বপূর্ণ ইনফ্রাস্ট্রাকচার আপগ্রেড নিয়ে আলোচনা করছি যা CTO এবং নেটওয়ার্ক আর্কিটেক্টদের কাছে সবচেয়ে বেশি অগ্রাধিকার পাচ্ছে: আপনার কর্পোরেট WiFi অথেন্টিকেশনকে Azure Entra ID (পূর্বে Azure AD)-তে মাইগ্রেট করা। আপনি যদি কোনো হোটেল চেইন, স্টেডিয়াম বা বড় পাবলিক সেক্টর ডিপ্লয়মেন্ট পরিচালনা করেন, তবে আপনি লিগ্যাসি অন-প্রিমিসেস RADIUS সার্ভার এবং শেয়ার্ড PSK-এর মাথাব্যথা সম্পর্কে জানেন। আজ, আমরা জিরো-ট্রাস্ট নেটওয়ার্ক অ্যাক্সেস নিয়ে কথা বলছি, বিশেষ করে কীভাবে Azure Entra ID ব্যবহার করে 802.1X সার্টিফিকেট-ভিত্তিক অথেন্টিকেশন ইমপ্লিমেন্ট করা যায়। কোনো বাড়তি কথা নয়, শুধু এটি ডিপ্লয় করার টেকনিক্যাল বাস্তবতা নিয়ে আলোচনা হবে। [TECHNICAL DEEP-DIVE - 5 MIN] হোস্ট: চলুন সরাসরি আর্কিটেকচারে চলে যাই। স্টিকি নোটে শেয়ার্ড পাসওয়ার্ড লিখে WPA2-Personal ব্যবহারের দিন শেষ। একটি আধুনিক এন্টারপ্রাইজে, আপনি রিটেইল এনভায়রনমেন্টে ব্যাক-অফিস অপারেশন সুরক্ষিত করুন বা হাসপাতালে স্টাফ নেটওয়ার্ক সুরক্ষিত করুন, আপনার আইডেন্টিটি-ড্রিভেন অ্যাক্সেস প্রয়োজন। যখন আমরা WiFi-এর জন্য Azure Entra ID নিয়ে কথা বলি, তখন আমরা মূলত EAP-TLS নিয়ে কথা বলছি। এটি হলো Extensible Authentication Protocol with Transport Layer Security। এটি হলো গোল্ড স্ট্যান্ডার্ড। কেন? কারণ এটি পাসওয়ার্ডের ওপর নয়, সার্টিফিকেটের ওপর নির্ভর করে। পাসওয়ার্ড ফিশিং, শেয়ার বা ব্রুট-ফোর্স করা যেতে পারে। কিন্তু Intune-এর মাধ্যমে একটি ম্যানেজড ডিভাইসের সাথে যুক্ত সার্টিফিকেটগুলোর ক্ষেত্রে তা সম্ভব নয়। তাহলে, ট্রাফিক কীভাবে ফ্লো করে? একটি কর্পোরেট ডিভাইস—ধরা যাক একটি ম্যানেজড ল্যাপটপ—কর্পোরেট SSID-এর সাথে কানেক্ট হওয়ার চেষ্টা করে। ওয়্যারলেস অ্যাক্সেস পয়েন্ট, অথেন্টিকেটর হিসেবে কাজ করে, অ্যাক্সেস ব্লক করে এবং RADIUS-এর মাধ্যমে ক্রেডেনশিয়ালগুলো আপনার অথেন্টিকেশন সার্ভারে পাঠায়। এখন, Azure Entra ID নেটিভভাবে RADIUS সাপোর্ট করে না। এটি হলো একটি গুরুত্বপূর্ণ আর্কিটেকচারাল ব্রিজ। আপনার একটি ক্লাউড RADIUS প্রোভাইডার বা Azure MFA এক্সটেনশন-সহ একটি অন-প্রিমিসেস Network Policy Server (NPS) প্রয়োজন। ডিভাইসটি তার ক্লায়েন্ট সার্টিফিকেট উপস্থাপন করে। RADIUS সার্ভার আপনার Certificate Authority-এর বিপরীতে সেই সার্টিফিকেটটি ভ্যালিডেট করে—যা প্রায়শই Intune-এ SCEP-এর মাধ্যমে পরিচালিত হয়। যদি সার্টিফিকেটটি বৈধ হয়, তবে RADIUS সার্ভার Azure Entra ID চেক করে নিশ্চিত করে যে ইউজার অ্যাকাউন্টটি সক্রিয় আছে, নিষ্ক্রিয় নয় এবং কন্ডিশনাল অ্যাক্সেস পলিসিগুলোর সাথে কমপ্লায়েন্ট। শুধুমাত্র তখনই RADIUS সার্ভার AP-তে একটি Access-Accept মেসেজ ফেরত পাঠায়, যা ব্যবহারকারীকে সঠিক VLAN-এ রাখে। [IMPLEMENTATION RECOMMENDATIONS & PITFALLS - 2 MIN] হোস্ট: এখন, ডিপ্লয়মেন্টগুলো কোথায় ভুল হয়? আমি তিনটি সাধারণ ত্রুটি দেখতে পাই। প্রথমত: Certificate Revocation List (CRL) অ্যাভেইলেবিলিটি। যদি আপনার RADIUS সার্ভার CRL-এ পৌঁছাতে না পারে, তবে অথেন্টিকেশন ব্যর্থ হয়। নিশ্চিত করুন যে আপনার CRL এন্ডপয়েন্টগুলো হাইলি অ্যাভেইলেবল এবং RADIUS ইনফ্রাস্ট্রাকচার থেকে অ্যাক্সেসযোগ্য। দ্বিতীয়ত: সাপ্লিক্যান্ট কনফিগারেশন। এটি এন্ড ইউজারের ওপর ছেড়ে দেবেন না। WiFi প্রোফাইল পুশ করতে আপনার MDM—Microsoft Intune, Workspace ONE, আপনি যা-ই ব্যবহার করুন না কেন—ব্যবহার করুন। প্রোফাইলটিকে অবশ্যই বিশ্বস্ত রুট CA স্পষ্টভাবে সংজ্ঞায়িত করতে হবে এবং নির্দিষ্ট করতে হবে যে ক্লায়েন্ট শুধুমাত্র আপনার নির্দিষ্ট RADIUS সার্ভারের নামগুলোর সাথেই কানেক্ট হবে। আপনি যদি এটি না করেন, তবে আপনি ইভিল টুইন (Evil Twin) আক্রমণের ঝুঁকিতে পড়বেন। তৃতীয়ত: লিগ্যাসি ডিভাইস। ওয়্যারহাউসের IoT ডিভাইস, পয়েন্ট-অফ-সেল টার্মিনাল বা পুরোনো বারকোড স্ক্যানারগুলো প্রায়শই 802.1X বা EAP-TLS সাপোর্ট করে না। এই ডিভাইসগুলোর জন্য আপনাকে অবশ্যই একটি MAC Authentication Bypass (MAB) স্ট্র্যাটেজি বা কঠোর নেটওয়ার্ক আইসোলেশন-সহ একটি ডেডিকেটেড প্রি-শেয়ার্ড কী নেটওয়ার্কের পরিকল্পনা করতে হবে। একটি লিগ্যাসি প্রিন্টারের জন্য আপনার প্রাথমিক কর্পোরেট SSID-এর সাথে আপস করবেন না। [RAPID-FIRE Q&A - 1 MIN] হোস্ট: চলুন নেটওয়ার্ক আর্কিটেক্টদের কাছ থেকে শোনা কয়েকটি দ্রুত প্রশ্নের উত্তর দিই。 প্রশ্ন এক: আমরা কি Azure Entra ID-এর সাথে PEAP-MSCHAPv2 ব্যবহার করতে পারি? উত্তর: হ্যাঁ, NPS-এর মাধ্যমে, তবে মাইক্রোসফট সক্রিয়ভাবে ক্রেডেনশিয়াল-ভিত্তিক অথেন্টিকেশন বাতিল করছে। EAP-TLS-এ চলে যান। এটি আরও সুরক্ষিত এবং আরও ভালো ইউজার এক্সপেরিয়েন্স প্রদান করে। প্রশ্ন দুই: এটি কীভাবে Purple-এর গেস্ট WiFi-এর সাথে ইন্টিগ্রেট করে? উত্তর: এগুলোকে আলাদা রাখুন। আপনার কর্পোরেট নেটওয়ার্ক Azure Entra ID-এর সাথে যুক্ত 802.1X ব্যবহার করে। আপনার গেস্ট নেটওয়ার্ক অ্যানালিটিক্স, শর্তাবলী গ্রহণ এবং মার্কেটিং ডেটা ক্যাপচারের জন্য Purple দ্বারা পরিচালিত একটি Captive Portal-সহ একটি ওপেন SSID ব্যবহার করে। এমনকি আপনি গেস্টদের নির্বিঘ্নে ফিরে আসার জন্য Purple-এর প্রোফাইল-ভিত্তিক অথেন্টিকেশন ব্যবহার করতে পারেন, যা সেই ট্রাফিককে আপনার কর্পোরেট ডেটা থেকে সম্পূর্ণ আলাদা রাখে। [SUMMARY & NEXT STEPS - 1 MIN] হোস্ট: পরিশেষে: WiFi অথেন্টিকেশনের জন্য Azure Entra ID-তে মাইগ্রেট করা জিরো-ট্রাস্ট আর্কিটেকচারের দিকে একটি মৌলিক পদক্ষেপ। এটি পাসওয়ার্ড রোটেশন হেল্পডেস্ক টিকিটগুলো দূর করে, ক্রেডেনশিয়াল চুরি প্রশমিত করে এবং নিশ্চিত করে যে শুধুমাত্র কমপ্লায়েন্ট, ম্যানেজড ডিভাইসগুলোই আপনার ইন্টারনাল নেটওয়ার্কে অ্যাক্সেস পায়। আপনার পরবর্তী পদক্ষেপ? আপনার বর্তমান RADIUS ইনফ্রাস্ট্রাকচার অডিট করুন। আপনি যদি অন-প্রিমিসেস লিগ্যাসি NPS চালান, তবে ক্লাউড RADIUS সলিউশনগুলো মূল্যায়ন করুন যা সরাসরি Azure Entra ID এবং Intune-এর সাথে ইন্টিগ্রেট করে। আপনার সার্টিফিকেট ডিপ্লয়মেন্ট স্ট্র্যাটেজির ম্যাপ তৈরি করুন। এই টেকনিক্যাল ব্রিফিংয়ে যোগ দেওয়ার জন্য ধন্যবাদ। আপনার নেটওয়ার্কগুলো সুরক্ষিত করুন, এবং আগামীতে আবার দেখা হবে।

header_image.png

এক্সিকিউটিভ সামারি

জটিল এনভায়রনমেন্ট—যেমন বড় পরিসরের Hospitality ভেন্যু থেকে শুরু করে ডায়নামিক Retail স্পেস—পরিচালনাকারী CTO এবং নেটওয়ার্ক আর্কিটেক্টদের জন্য কর্পোরেট নেটওয়ার্ক সুরক্ষিত করা এখন আর শুধু শক্তিশালী পাসওয়ার্ডের মধ্যে সীমাবদ্ধ নেই। লিগ্যাসি Pre-Shared Keys (PSKs) এবং বেসিক ক্রেডেনশিয়াল অথেন্টিকেশন আধুনিক জিরো-ট্রাস্ট আর্কিটেকচারের সাথে একেবারেই বেমানান।

এই গাইডে সরাসরি Azure Entra ID (পূর্বে Azure AD)-এর সাথে ইন্টিগ্রেট করা 802.1X সার্টিফিকেট-ভিত্তিক WiFi অথেন্টিকেশন-এ ট্রানজিশনের বিস্তারিত আলোচনা করা হয়েছে। EAP-TLS (Extensible Authentication Protocol with Transport Layer Security)-এ স্থানান্তরের মাধ্যমে, প্রতিষ্ঠানগুলো ক্রেডেনশিয়াল চুরির ঝুঁকি দূর করতে পারে, Mobile Device Management (MDM)-এর মাধ্যমে ডিভাইস অনবোর্ডিং অটোমেট করতে পারে এবং শুধুমাত্র কমপ্লায়েন্ট ও ম্যানেজড ডিভাইসগুলোই যাতে সংবেদনশীল কর্পোরেট VLAN-এ অ্যাক্সেস পায় তা নিশ্চিত করতে পারে। আমরা টেকনিক্যাল আর্কিটেকচার, ডিপ্লয়মেন্টের ধাপ এবং Purple-এর মতো প্ল্যাটফর্ম দ্বারা পরিচালিত গেস্ট নেটওয়ার্ক স্ট্র্যাটেজির সাথে এই কর্পোরেট সিকিউরিটি ব্যবস্থা কীভাবে সমান্তরালভাবে কাজ করে তা অন্বেষণ করব।

টেকনিক্যাল ডিপ-ডাইভ

ক্রেডেনশিয়াল থেকে সার্টিফিকেটে রূপান্তর

ঐতিহাসিকভাবে, এন্টারপ্রাইজ WiFi PEAP-MSCHAPv2-এর উপর নির্ভরশীল ছিল, যেখানে ব্যবহারকারীদের তাদের ডোমেইন ক্রেডেনশিয়াল লিখতে হতো। তবে, অ্যাডভারসারি-ইন-দ্য-মিডল (AiTM) আক্রমণের ঝুঁকির কারণে মাইক্রোসফট সক্রিয়ভাবে ক্রেডেনশিয়াল-ভিত্তিক অথেন্টিকেশন বাতিল করছে। বর্তমান ইন্ডাস্ট্রি স্ট্যান্ডার্ড হলো EAP-TLS, যা মিউচুয়াল সার্টিফিকেট অথেন্টিকেশন ব্যবহার করে।

একটি EAP-TLS ডিপ্লয়মেন্টে, RADIUS সার্ভার এবং ক্লায়েন্ট ডিভাইস উভয়ই ডিজিটাল সার্টিফিকেট উপস্থাপন করে। যদি কোনো ডিভাইসে আপনার বিশ্বস্ত Certificate Authority (CA) দ্বারা ইস্যু করা বৈধ সার্টিফিকেট না থাকে, তবে ডিভাইসটি একটি IP অ্যাড্রেস পাওয়ার আগেই RADIUS সার্ভার কানেকশনটি প্রত্যাখ্যান করে।

architecture_overview.png

আর্কিটেকচারাল ব্রিজ: RADIUS এবং Entra ID

Azure Entra ID হলো একটি ক্লাউড Identity Provider (IdP) যা SAML এবং OIDC-এর মতো আধুনিক প্রোটোকল ব্যবহার করে; এটি নেটিভভাবে RADIUS সাপোর্ট করে না, যা Wireless Access Points (WAPs) দ্বারা ব্যবহৃত প্রোটোকল। এই শূন্যস্থান পূরণের জন্য, নেটওয়ার্ক আর্কিটেক্টদের অবশ্যই এমন একটি RADIUS সার্ভার ডিপ্লয় করতে হবে যা Entra ID-এর সাথে যোগাযোগ করতে পারে। এটি সাধারণত নিচের মাধ্যমগুলোতে অর্জন করা হয়:

১. ক্লাউড RADIUS সলিউশন: পারপাস-বিল্ট প্ল্যাটফর্ম (যেমন, SecureW2, SCEPman, বা Portnox) যা API-এর মাধ্যমে সরাসরি Entra ID এবং Intune-এর সাথে ইন্টিগ্রেট করে। ২. অন-প্রিমিসেস Network Policy Server (NPS): Azure MFA এক্সটেনশন ব্যবহার করে, যদিও ক্লাউড-নেটিভ RADIUS-এর তুলনায় এটিকে ক্রমশ একটি লিগ্যাসি পদ্ধতি হিসেবে দেখা হচ্ছে।

eap_comparison_chart.png

ইমপ্লিমেন্টেশন গাইড

WiFi অথেন্টিকেশনের জন্য Azure Entra ID ডিপ্লয় করতে আইডেন্টিটি, ডিভাইস ম্যানেজমেন্ট এবং নেটওয়ার্ক ইনফ্রাস্ট্রাকচার টিমের মধ্যে সমন্বয় প্রয়োজন।

ধাপ ১: Public Key Infrastructure (PKI) স্থাপন করা

ক্লায়েন্ট এবং সার্ভার সার্টিফিকেট ইস্যু করার জন্য আপনাকে অবশ্যই একটি CA স্থাপন করতে হবে। ক্লাউড-ফার্স্ট এনভায়রনমেন্টে, এটি প্রায়শই একটি ক্লাউড PKI যা Simple Certificate Enrollment Protocol (SCEP)-এর মাধ্যমে Microsoft Intune-এর সাথে ইন্টিগ্রেট করা থাকে।

ধাপ ২: RADIUS সার্ভার কনফিগার করা

আপনার RADIUS ইনফ্রাস্ট্রাকচার ডিপ্লয় করুন এবং এটিকে আপনার Entra ID টেন্যান্টের সাথে যুক্ত করুন। EAP হ্যান্ডশেকের সময় নিজের পরিচয় প্রমাণ করার জন্য RADIUS সার্ভারের নিজস্ব সার্ভার সার্টিফিকেট প্রয়োজন, যা আপনার ক্লায়েন্ট ডিভাইসগুলোর কাছে বিশ্বস্ত।

ধাপ ৩: Intune-এর মাধ্যমে MDM প্রোফাইল ডিপ্লয় করা

ব্যবহারকারীদের ম্যানুয়ালি তাদের WiFi সেটিংস কনফিগার করার উপর নির্ভর করবেন না। একটি কমপ্রিহেন্সিভ WiFi প্রোফাইল পুশ করতে Intune ব্যবহার করুন, যার মধ্যে অন্তর্ভুক্ত থাকবে:

  • বিশ্বস্ত Root CA সার্টিফিকেট।
  • ক্লায়েন্ট সার্টিফিকেটের জন্য রিকোয়েস্ট করতে SCEP প্রোফাইল।
  • ইভিল টুইন (Evil Twin) আক্রমণ প্রতিরোধ করতে SSID এবং আপনার RADIUS ইনফ্রাস্ট্রাকচারের সঠিক সার্ভার নামগুলো স্পষ্টভাবে সংজ্ঞায়িত করে মূল WiFi কনফিগারেশন।

ধাপ ৪: Wireless LAN Controller (WLC) কনফিগার করা

WPA2/WPA3-Enterprise (802.1X) ব্যবহার করার জন্য আপনার অ্যাক্সেস পয়েন্ট বা WLC কনফিগার করুন। অথেন্টিকেশন এবং অ্যাকাউন্টিং ট্রাফিক আপনার নতুন RADIUS সার্ভারের IP অ্যাড্রেসগুলোতে পয়েন্ট করুন এবং শেয়ার্ড RADIUS সিক্রেটগুলো কনফিগার করুন।

> "802.1X কনফিগার করার সময়, নিশ্চিত করুন যে WLC-তে আপনার RADIUS টাইমআউট ভ্যালুগুলো ক্লাউড-ভিত্তিক সার্টিফিকেট ভ্যালিডেশনের ল্যাটেন্সি পরিচালনা করার জন্য যথেষ্ট, যা সাধারণত ২ সেকেন্ড থেকে বাড়িয়ে ৫ সেকেন্ড করা হয়।" [১]

বেস্ট প্র্যাকটিস

  • কর্পোরেট এবং গেস্ট ট্রাফিক আলাদা রাখা: কর্পোরেট ডিভাইসগুলোর Entra ID-এর সাথে যুক্ত 802.1X ব্যবহার করা উচিত। গেস্ট ডিভাইসগুলোর একটি Captive Portal-সহ ওপেন SSID ব্যবহার করা উচিত। শক্তিশালী গেস্ট অ্যাক্সেস এবং অ্যানালিটিক্সের জন্য, Guest WiFi সলিউশনগুলো কাজে লাগান। এটি অবিশ্বস্ত ট্রাফিকের সম্পূর্ণ আইসোলেশন নিশ্চিত করে।
  • সতর্কতার সাথে MAC Authentication Bypass (MAB) ইমপ্লিমেন্ট করা: IoT ডিভাইস এবং লিগ্যাসি হার্ডওয়্যার (যেমন, Transport হাবের পুরোনো স্ক্যানার) প্রায়শই 802.1X সাপোর্ট করতে পারে না। MAB বা একটি ডেডিকেটেড PSK ব্যবহার করে এগুলোকে একটি আলাদা SSID-তে রাখুন এবং কঠোর ACL-এর মাধ্যমে তাদের নেটওয়ার্ক অ্যাক্সেস সীমাবদ্ধ করুন।
  • সার্টিফিকেট রিভোকেশনকে অগ্রাধিকার দেওয়া: নিশ্চিত করুন যে আপনার Certificate Revocation List (CRL) বা Online Certificate Status Protocol (OCSP) এন্ডপয়েন্টগুলো হাইলি অ্যাভেইলেবল। যদি RADIUS সার্ভার রিভোকেশন স্ট্যাটাস ভেরিফাই করতে না পারে, তবে অথেন্টিকেশন ব্যর্থ হবে।

ট্রাবলশুটিং এবং ঝুঁকি প্রশমন

ডিপ্লয়মেন্ট ব্যর্থ হলে, এর জন্য ক্লাউড IdP খুব কমই দায়ী থাকে। সাধারণ ব্যর্থতার কারণগুলোর মধ্যে রয়েছে:

  • ক্লক স্কিউ (Clock Skew): EAP-TLS সময়ের প্রতি অত্যন্ত সংবেদনশীল। নিশ্চিত করুন যে সমস্ত ইনফ্রাস্ট্রাকচার কম্পোনেন্ট, বিশেষ করে WLC এবং RADIUS সার্ভারগুলো NTP-এর মাধ্যমে সিঙ্ক্রোনাইজ করা আছে।
  • Intune সিঙ্ক বিলম্ব: যখন একটি নতুন ডিভাইস এনরোল করা হয়, তখন SCEP সার্টিফিকেট ইস্যু হতে এবং ডিভাইসটির কানেকশনের চেষ্টা করতে সময় লাগতে পারে। অনবোর্ডিংয়ের সময় এই ল্যাটেন্সির জন্য পরিকল্পনা করুন।
  • Radius সার্ভারের নামের অমিল: যদি Intune WiFi প্রোফাইলে সংজ্ঞায়িত সার্ভারের নামটি RADIUS সার্ভারের সার্টিফিকেটে থাকা Common Name (CN) বা Subject Alternative Name (SAN)-এর সাথে হুবহু মিলে না যায়, তবে ক্লায়েন্ট রগ (rogue) AP থেকে রক্ষা পেতে নীরবে কানেকশনটি ড্রপ করবে।

আপনার ইনফ্রাস্ট্রাকচার সুরক্ষিত করার বিষয়ে আরও অন্তর্দৃষ্টি পেতে, কীভাবে শক্তিশালী DNS এবং সিকিউরিটি দিয়ে আপনার নেটওয়ার্ক রক্ষা করবেন সে সম্পর্কে আমাদের গাইডটি দেখুন।

ROI এবং ব্যবসায়িক প্রভাব

Azure Entra ID WiFi অথেন্টিকেশনে ট্রানজিশন পরিমাপযোগ্য রিটার্ন প্রদান করে:

১. হেল্পডেস্ক ওভারহেড হ্রাস: পাসওয়ার্ড-ভিত্তিক অথেন্টিকেশন বাদ দিলে পাসওয়ার্ড লকআউট এবং WiFi ক্রেডেনশিয়াল আপডেট সম্পর্কিত টিকিটগুলো ব্যাপকভাবে হ্রাস পায়。 ২. কমপ্লায়েন্স ত্বরান্বিত করা: EAP-TLS ক্রিপ্টোগ্রাফিক পরিচয়ের প্রমাণ প্রদান করে যা PCI DSS এবং ISO 27001-এর মতো ফ্রেমওয়ার্কগুলোর জন্য প্রয়োজনীয়, যা Healthcare এবং রিটেইল এনভায়রনমেন্টের জন্য অত্যন্ত গুরুত্বপূর্ণ। ৩. অটোমেটেড অফবোর্ডিং: যখন কোনো কর্মী চাকরি ছেড়ে দেন, তখন Entra ID-তে তাদের অ্যাকাউন্ট নিষ্ক্রিয় করলে তাৎক্ষণিকভাবে সমস্ত লোকেশনে তাদের নেটওয়ার্ক অ্যাক্সেস বাতিল হয়ে যায়, যা ইনসাইডার থ্রেট প্রশমিত করে।

কর্পোরেট ব্যাকবোন সুরক্ষিত করার মাধ্যমে, IT টিমগুলো রেভিনিউ জেনারেট করার উদ্যোগগুলোতে ফোকাস করতে পারে, যেমন ভিজিটরদের আচরণ বুঝতে এবং এনগেজমেন্ট বাড়াতে WiFi Analytics কাজে লাগানো।

রেফারেন্স

[১] Microsoft Learn. (২০২৩)। Secure Wi-Fi access with Intune and EAP-TLS

মূল সংজ্ঞাসমূহ

802.1X

পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস কন্ট্রোলের জন্য একটি IEEE স্ট্যান্ডার্ড, যেখানে LAN বা WLAN-এ অ্যাক্সেস পাওয়ার আগে ডিভাইসগুলোকে অথেন্টিকেট করতে হয়।

এটি হলো অন্তর্নিহিত প্রোটোকল যা সাধারণ শেয়ার্ড পাসওয়ার্ডের বাইরে গিয়ে এন্টারপ্রাইজ WiFi-কে সুরক্ষিত করে।

EAP-TLS

Extensible Authentication Protocol with Transport Layer Security। এটি এমন একটি অথেন্টিকেশন পদ্ধতি যার জন্য ক্লায়েন্ট এবং সার্ভার উভয় ক্ষেত্রেই ডিজিটাল সার্টিফিকেট প্রয়োজন।

WiFi অথেন্টিকেশনের জন্য সবচেয়ে সুরক্ষিত পদ্ধতি হিসেবে বিবেচিত, যা ক্রেডেনশিয়াল চুরি এবং AiTM আক্রমণ প্রতিরোধ করে।

RADIUS

Remote Authentication Dial-In User Service। একটি নেটওয়ার্কিং প্রোটোকল যা সেন্ট্রালাইজড Authentication, Authorization, এবং Accounting (AAA) প্রদান করে।

আপনার অ্যাক্সেস পয়েন্টগুলো অথেন্টিকেশন সার্ভারকে জিজ্ঞাসা করতে যে প্রোটোকল ব্যবহার করে, 'আমার কি এই ডিভাইসটিকে নেটওয়ার্কে প্রবেশ করতে দেওয়া উচিত?'

SCEP

Simple Certificate Enrollment Protocol। নেটওয়ার্ক ডিভাইসগুলোতে নিরাপদে সার্টিফিকেট ইস্যু করার জন্য ব্যবহৃত একটি প্রোটোকল।

কর্পোরেট ল্যাপটপ এবং ফোনগুলোতে নীরবে ক্লায়েন্ট সার্টিফিকেটের রিকোয়েস্ট এবং ইনস্টল করার জন্য Intune-এর মতো MDM প্ল্যাটফর্মগুলো দ্বারা ব্যবহৃত হয়।

MAC Authentication Bypass (MAB)

ইউজারনেম বা সার্টিফিকেটের পরিবর্তে ডিভাইসের MAC অ্যাড্রেসের ওপর ভিত্তি করে নেটওয়ার্ক অ্যাক্সেস দেওয়ার একটি পদ্ধতি।

লিগ্যাসি ডিভাইসগুলোর (যেমন পুরোনো প্রিন্টার বা IoT সেন্সর) জন্য ফলব্যাক হিসেবে ব্যবহৃত হয় যেগুলোতে 802.1X হ্যান্ডশেক করার জন্য প্রয়োজনীয় সফ্টওয়্যার নেই।

ইভিল টুইন অ্যাটাক (Evil Twin Attack)

ট্রাফিক ইন্টারসেপ্ট করতে বা ক্রেডেনশিয়াল চুরি করতে বৈধ কর্পোরেট SSID-এর ছদ্মবেশে থাকা একটি রগ (rogue) অ্যাক্সেস পয়েন্ট।

EAP-TLS এটি প্রশমিত করে কারণ ক্লায়েন্ট ডিভাইসটি শুধুমাত্র বৈধ কর্পোরেট RADIUS সার্ভারের নির্দিষ্ট সার্টিফিকেটকে বিশ্বাস করার জন্য কনফিগার করা থাকে।

সাপ্লিক্যান্ট (Supplicant)

এন্ডপয়েন্ট ডিভাইসে থাকা সফ্টওয়্যার ক্লায়েন্ট (যেমন, Windows WiFi ম্যানেজার) যা 802.1X অথেন্টিকেশন প্রক্রিয়া পরিচালনা করে।

IT টিমগুলোকে অবশ্যই MDM-এর মাধ্যমে সাপ্লিক্যান্ট কনফিগার করতে হবে যাতে এটি নিরাপদে আচরণ করে এবং ব্যবহারকারীদের অবিশ্বস্ত সার্ভার সার্টিফিকেট গ্রহণ করতে প্রম্পট না করে।

কন্ডিশনাল অ্যাক্সেস (Conditional Access)

Azure Entra ID পলিসি যা অ্যাক্সেসের সিদ্ধান্ত নেওয়ার জন্য সিগন্যালগুলো (ব্যবহারকারী, অবস্থান, ডিভাইস কমপ্লায়েন্স) মূল্যায়ন করে।

আধুনিক ক্লাউড RADIUS সলিউশনগুলো WiFi হ্যান্ডশেকের সময় কন্ডিশনাল অ্যাক্সেস চেক করতে পারে, যদি Intune ডিভাইসটিকে নন-কমপ্লায়েন্ট হিসেবে ফ্ল্যাগ করে তবে নেটওয়ার্ক অ্যাক্সেস অস্বীকার করে।

সমাধানকৃত উদাহরণসমূহ

একটি ৫০০-সাইটের রিটেইল চেইনের ইনভেন্টরি ম্যানেজমেন্টের জন্য ব্যবহৃত ব্যাক-অফিস iPad-গুলো সুরক্ষিত করা প্রয়োজন। বর্তমানে, তারা সমস্ত স্টোরে একটি একক শেয়ার্ড PSK ব্যবহার করে। তাদের কীভাবে Azure Entra ID অথেন্টিকেশনে মাইগ্রেট করা উচিত?

১. সমস্ত iPad-কে Microsoft Intune-এ এনরোল করুন। ২. কর্পোরেট Entra ID টেন্যান্টের সাথে ইন্টিগ্রেট করা একটি ক্লাউড RADIUS সলিউশন ডিপ্লয় করুন। ৩. প্রতিটি iPad-এ একটি SCEP সার্টিফিকেট ডিপ্লয় করতে Intune কনফিগার করুন। ৪. Intune-এর মাধ্যমে একটি WiFi প্রোফাইল পুশ করুন যা ক্লাউড RADIUS সার্ভারের সার্টিফিকেট ভ্যালিডেট করে EAP-TLS ব্যবহার করে 'Corporate-BOH' SSID-এর সাথে কানেক্ট হতে iPad-গুলোকে কনফিগার করে। ৫. 'Corporate-BOH' SSID-এর জন্য ক্লাউড RADIUS IP অ্যাড্রেসগুলোতে পয়েন্ট করতে সমস্ত ৫০০টি স্টোরের Meraki/Aruba অ্যাক্সেস পয়েন্টগুলো আপডেট করুন। ৬. পর্যায়ক্রমিক রোলআউট: নতুন SSID চালু করুন, Intune রিপোর্টিংয়ের মাধ্যমে iPad কানেক্টিভিটি ভেরিফাই করুন, তারপর লিগ্যাসি PSK SSID ডিকমিশন করুন।

পরীক্ষকের মন্তব্য: এই পদ্ধতিটি শেয়ার্ড PSK দূর করে, যা কোনো ডিভাইস চুরি হলে একটি বিশাল সিকিউরিটি ঝুঁকি তৈরি করে। EAP-TLS এবং Intune ব্যবহার করার মাধ্যমে, অথেন্টিকেশন ডিভাইসের ম্যানেজমেন্ট স্টেটের সাথে যুক্ত থাকে। যদি কোনো iPad হারিয়ে যায়, IT টিম কেবল সার্টিফিকেটটি বাতিল করে দেয় বা Intune-এ ডিভাইসটি ওয়াইপ করে দেয়, যা অন্য ৪৯৯টি স্টোরকে প্রভাবিত না করেই তাৎক্ষণিকভাবে নেটওয়ার্ক অ্যাক্সেস বন্ধ করে দেয়।

একটি বিশ্ববিদ্যালয়ের ক্যাম্পাস অন-প্রিমিসেস Active Directory থেকে Azure Entra ID-তে মাইগ্রেট করছে। তাদের হাজার হাজার BYOD (Bring Your Own Device) স্টুডেন্ট ল্যাপটপ রয়েছে যা বর্তমানে PEAP-MSCHAPv2 (ইউজারনেম এবং পাসওয়ার্ড) ব্যবহার করে কানেক্ট হয়। তারা কীভাবে একটি ক্লাউড-ফার্স্ট Entra ID এনভায়রনমেন্টে BYOD পরিচালনা করবে?

১. একটি অনবোর্ডিং পোর্টাল ডিপ্লয় করুন (যেমন, SecureW2 JoinNow বা অনুরূপ BYOD অনবোর্ডিং টুল)। ২. শিক্ষার্থীরা একটি ওপেন 'Onboarding' SSID-এর সাথে কানেক্ট হয়, যা তাদের পোর্টালে রিডাইরেক্ট করে। ৩. পোর্টালটি শিক্ষার্থীকে Azure Entra ID-এর বিপরীতে অথেন্টিকেট করতে প্রম্পট করে (তাদের বিশ্ববিদ্যালয়ের ইমেইল এবং MFA ব্যবহার করে)। ৪. সফল অথেন্টিকেশনের পর, পোর্টালটি একটি ইউনিক ক্লায়েন্ট সার্টিফিকেট জেনারেট করে এবং স্বয়ংক্রিয়ভাবে শিক্ষার্থীর ডিভাইসটিকে EAP-TLS-এর জন্য কনফিগার করে। ৫. ডিভাইসটি নতুন সার্টিফিকেট ব্যবহার করে স্বয়ংক্রিয়ভাবে সুরক্ষিত 'Edu-Secure' SSID-এর সাথে কানেক্ট হয়।

পরীক্ষকের মন্তব্য: আনম্যানেজড BYOD ডিভাইসগুলোর জন্য সার্টিফিকেট পরিচালনা করা 802.1X-এর সবচেয়ে কঠিন অংশ। আপনি Intune ব্যবহার করতে পারবেন না কারণ বিশ্ববিদ্যালয় ল্যাপটপগুলোর মালিক নয়। একটি অনবোর্ডিং পোর্টাল ব্যবহার করা এই শূন্যস্থান পূরণ করে, যা IT-কে হাজার হাজার স্টুডেন্ট ল্যাপটপ ম্যানুয়ালি স্পর্শ করার প্রয়োজন ছাড়াই সুরক্ষিত EAP-TLS ব্যবহারের অনুমতি দেয়।

অনুশীলনী প্রশ্নসমূহ

Q1. আপনার প্রতিষ্ঠান Azure Entra ID এবং Intune-এ মাইগ্রেট করছে। আপনি বর্তমানে WiFi-এর জন্য PEAP-MSCHAPv2 ব্যবহার করছেন। সিকিউরিটি টিমের নির্দেশ হলো WiFi অথেন্টিকেশন অবশ্যই ক্রেডেনশিয়াল চুরির প্রতিরোধী হতে হবে। আপনার কোন EAP পদ্ধতি ডিপ্লয় করা উচিত?

ইঙ্গিত: কোন পদ্ধতিটি পাসওয়ার্ডের পরিবর্তে সম্পূর্ণভাবে সার্টিফিকেটের ওপর নির্ভর করে?

মডেল উত্তর দেখুন

আপনার EAP-TLS ডিপ্লয় করা উচিত। EAP-TLS মিউচুয়াল সার্টিফিকেট অথেন্টিকেশন ব্যবহার করে, যার অর্থ ক্লায়েন্ট ডিভাইসটিকে অবশ্যই আপনার PKI দ্বারা ইস্যু করা একটি বৈধ সার্টিফিকেট উপস্থাপন করতে হবে। যেহেতু এটি পাসওয়ার্ড ব্যবহার করে না, তাই এটি ক্রেডেনশিয়াল চুরি এবং অ্যাডভারসারি-ইন-দ্য-মিডল আক্রমণের বিরুদ্ধে অত্যন্ত প্রতিরোধী।

Q2. Intune-এর মাধ্যমে EAP-TLS ডিপ্লয় করার পর, ব্যবহারকারীরা রিপোর্ট করে যে তারা WiFi-এর সাথে কানেক্ট হতে পারছে না। RADIUS লগগুলো দেখে আপনি 'Certificate Revocation Check Failed' দেখতে পান। এর সবচেয়ে সম্ভাব্য কারণ কী?

ইঙ্গিত: একটি সার্টিফিকেট আপস করা হয়নি তা ভেরিফাই করতে RADIUS সার্ভারকে কোন ইনফ্রাস্ট্রাকচারের সাথে যোগাযোগ করতে হবে?

মডেল উত্তর দেখুন

RADIUS সার্ভারটি আপনার Certificate Authority-এর Certificate Revocation List (CRL) বা OCSP এন্ডপয়েন্টে পৌঁছাতে অক্ষম। নিশ্চিত করুন যে ফায়ারওয়ালগুলো RADIUS সার্ভারকে ক্লায়েন্ট সার্টিফিকেটগুলোতে নির্দিষ্ট করা HTTP URL-গুলোতে আউটবাউন্ড অ্যাক্সেসের অনুমতি দেয়।

Q3. একটি হাসপাতালের নেটওয়ার্কে ৫০টি লিগ্যাসি হার্ট-রেট মনিটর কানেক্ট করা প্রয়োজন। এই ডিভাইসগুলো শুধুমাত্র WPA2-Personal (Pre-Shared Key) সাপোর্ট করে এবং এগুলোকে Intune-এ এনরোল করা যায় না। কর্পোরেট ল্যাপটপগুলোর জন্য আপনার Entra ID 802.1X ডিপ্লয়মেন্ট বজায় রেখে আপনি কীভাবে এগুলোকে সুরক্ষিত করবেন?

ইঙ্গিত: একই SSID-তে অথেন্টিকেশনের ধরনগুলো মিশ্রিত করবেন না।

মডেল উত্তর দেখুন

মেডিকেল IoT ডিভাইসগুলোর জন্য বিশেষভাবে একটি ডেডিকেটেড, আলাদা SSID তৈরি করুন। একটি শক্তিশালী, ইউনিক Pre-Shared Key (বা Identity PSK/iPSK যদি আপনার নেটওয়ার্ক ভেন্ডর সাপোর্ট করে) অথবা MAC Authentication Bypass (MAB) ব্যবহার করুন। সবচেয়ে গুরুত্বপূর্ণ বিষয় হলো, এই SSID-টিকে কঠোর Access Control Lists (ACLs)-সহ একটি অত্যন্ত নিয়ন্ত্রিত VLAN-এ রাখুন যা শুধুমাত্র মনিটরগুলোকে তাদের নির্দিষ্ট মেডিকেল সার্ভারের সাথে যোগাযোগ করার অনুমতি দেয় এবং অন্যান্য সমস্ত ল্যাটারাল নেটওয়ার্ক অ্যাক্সেস ব্লক করে।

এই সিরিজে পড়া চালিয়ে যান

ভেন্ডর অনুযায়ী প্রতি-ডিভাইস PSK: iPSK, DPSK, MPSK এবং PPSK-এর তুলনা (এবং WPA3 সাপোর্ট)

Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet এবং Ubiquiti UniFi-এর প্রতি-ডিভাইস PSK ইমপ্লিমেন্টেশনের একটি বিস্তারিত তুলনা। জানুন কীভাবে WPA3-SAE প্রতি-ডিভাইস কী (key) কৌশলগুলোকে প্রভাবিত করে এবং কখন ট্রানজিশন মোড স্থাপন করতে হবে বনাম 802.1X-এ স্থানান্তরিত হতে হবে।

গাইডটি পড়ুন →

MAC Address Authentication কী? কখন এটি ব্যবহার করবেন এবং কখন এড়িয়ে চলবেন

এই অথরিটেটিভ টেকনিক্যাল রেফারেন্স গাইডটি এন্টারপ্রাইজ WiFi এনভায়রনমেন্টে MAC অ্যাড্রেস অথেনটিকেশন কভার করে — কীভাবে RADIUS-ভিত্তিক MAC অথেনটিকেশন Layer 2-তে কাজ করে, এর অন্তর্নিহিত সিকিউরিটি দুর্বলতাগুলো (যার মধ্যে MAC স্পুফিং এবং OS-লেভেল MAC র‍্যান্ডমাইজেশনের প্রভাব অন্তর্ভুক্ত) এবং সুনির্দিষ্ট অপারেশনাল কনটেক্সট যেখানে এটি IoT এবং হেডলেস ডিভাইসগুলো ম্যানেজ করার জন্য একটি বৈধ টুল হিসেবে রয়ে গেছে। এটি হসপিটালিটি, রিটেইল, হেলথকেয়ার এবং পাবলিক-সেক্টর ভেন্যুগুলোর আইটি ম্যানেজার এবং নেটওয়ার্ক আর্কিটেক্টদের জন্য রিয়েল-ওয়ার্ল্ড ওয়ার্কড এক্সাম্পল, ডিসিশন ফ্রেমওয়ার্ক এবং Purple-এর গেস্ট WiFi ও অ্যানালিটিক্স প্ল্যাটফর্মের ইন্টিগ্রেশন কনটেক্সটসহ অ্যাকশনেবল ডিপ্লয়মেন্ট গাইডেন্স প্রদান করে।

গাইডটি পড়ুন →

কীভাবে 802.1X এর মাধ্যমে iOS এবং macOS-এ এন্টারপ্রাইজ WiFi সেট আপ করবেন

এই প্রামাণিক গাইডটি সিনিয়র IT লিডারদের iOS এবং macOS ডিভাইসে 802.1X এন্টারপ্রাইজ WiFi ডিপ্লয় করার জন্য কার্যকর পদক্ষেপ প্রদান করে। এটি BYOD উদ্যোগগুলোকে সমর্থন করার পাশাপাশি কর্পোরেট নেটওয়ার্ক সুরক্ষিত করতে সার্টিফিকেট-ভিত্তিক অথেন্টিকেশন (EAP-TLS), MDM কনফিগারেশন প্রোফাইল এবং আর্কিটেকচার ইন্টিগ্রেশন কভার করে।

গাইডটি পড়ুন →