উচ্চশিক্ষায় নিরাপদ BYOD এবং WiFi অথেনটিকেশনের জন্য SCEP ডিপ্লয়মেন্ট

Purple টেকনিক্যাল ব্রিফিং-এ আপনাকে স্বাগত। আমি আপনাদের হোস্ট, এবং আজ আমরা এমন একটি বিষয় নিয়ে আলোচনা করছি যা উচ্চশিক্ষা প্রতিষ্ঠানের IT বিভাগে ক্রমাগত সামনে আসে: সুরক্ষিত BYOD এবং WiFi অথেন্টিকেশনের জন্য SCEP ডেপ্লয় করা। আপনি যদি আপনার ক্যাম্পাস নেটওয়ার্কে PEAP-MSCHAPv2 ব্যবহার করে থাকেন, তবে এই ব্রিফিংটি সরাসরি আপনার জন্য প্রাসঙ্গিক। আর আপনি যদি ইতিমধ্যেই সার্টিফিকেট-ভিত্তিক অথেন্টিকেশনে স্থানান্তরিত হওয়ার পরিকল্পনা করে থাকেন, তবে আমরা আপনাকে সেখানে পৌঁছানোর আর্কিটেকচার, সম্ভাব্য সমস্যা এবং বাস্তবায়নের ধাপগুলো জানাব। চলুন সমস্যাটি দিয়ে শুরু করা যাক। বিশ্ববিদ্যালয়গুলো স্বাভাবিকভাবেই উন্মুক্ত পরিবেশের হয়ে থাকে। সেপ্টেম্বরে শিক্ষার্থীরা দুটি, তিনটি, এমনকি কখনও কখনও পাঁচটি ব্যক্তিগত ডিভাইস নিয়ে আসে। তারা হেল্পডেস্কে যোগাযোগ না করেই অবিলম্বে এবং নিরাপদে সংযুক্ত হতে চায়। অধিকাংশ প্রতিষ্ঠানের ক্ষেত্রে বাস্তব চিত্র হলো টার্ম শুরু হওয়ার আটচল্লিশ ঘণ্টার মধ্যে হেল্পডেস্কে টিকিটের সংখ্যা দুই হাজারে পৌঁছে যায়। এটি কোনো স্টাফ সংকটের সমস্যা নয়। এটি একটি আর্কিটেকচারাল সমস্যা। এর মূল কারণটি প্রায় সবসময়ই এক: পাসওয়ার্ড-ভিত্তিক WiFi অথেন্টিকেশন। আপনি যখন PEAP এবং MSCHAPv2 সহ WPA2-Enterprise ব্যবহার করেন, তখন আপনি শিক্ষার্থীদের প্রতিটি ডিভাইসে ম্যানুয়ালি 802.1X সেটিংস কনফিগার করতে বলছেন। একটি ভুল সেটিংসের কারণে তারা ম্যান-ইন-দ্য-মিডল (man-in-the-middle) আক্রমণের ঝুঁকিতে পড়তে পারে। আরও খারাপ বিষয় হলো, যখন বিশ্ববিদ্যালয় প্রতি নব্বই দিনে পাসওয়ার্ড রিসেট করতে বাধ্য করে, তখন ক্যাম্পাসের প্রতিটি ডিভাইস একই সাথে WiFi অ্যাক্সেস হারিয়ে ফেলে। এটি একটি অনুমানযোগ্য এবং প্রতিরোধযোগ্য বিপর্যয়। এর সমাধান হলো EAP-TLS ব্যবহার করে সার্টিফিকেট-ভিত্তিক অথেন্টিকেশন, এবং যে মেকানিজম এটিকে স্কেলযোগ্য করে তোলে তা হলো SCEP: Simple Certificate Enrollment Protocol। SCEP ২০২০ সালে RFC 8894-এ IETF দ্বারা আনুষ্ঠানিকভাবে রূপায়িত হয়েছিল, যদিও এটি ২০০০-এর দশকের শুরু থেকেই ব্যবহৃত হয়ে আসছে। এটি প্রতিটি ডিভাইসে কোনো ম্যানুয়াল IT হস্তক্ষেপ ছাড়াই ডিভাইসে X.509 ডিজিটাল সার্টিফিকেটের অনুরোধ ও ইনস্টল করার প্রক্রিয়াটিকে স্বয়ংক্রিয় করে। সহজ ভাষায় এটি যেভাবে কাজ করে তা নিচে দেওয়া হলো। আপনার MDM প্ল্যাটফর্ম, তা Microsoft Intune বা Jamf যাই হোক না কেন, প্রতিটি এনরোল করা ডিভাইসে একটি SCEP পে-লোড পুশ করে। সেই পে-লোডে দুটি জিনিস থাকে: SCEP গেটওয়ে URL এবং একটি শেয়ার করা চ্যালেঞ্জ পাসওয়ার্ড। ডিভাইসটি একটি Certificate Signing Request তৈরি করে SCEP গেটওয়েতে পাঠায়, যা চ্যালেঞ্জ পাসওয়ার্ডটি যাচাই করে অনুরোধটি আপনার Certificate Authority-র কাছে ফরোয়ার্ড করে। CA সার্টিফিকেটটি স্বাক্ষর করে এবং ডিভাইসে ফেরত পাঠায়। সেখান থেকে, ডিভাইসটি EAP-TLS ব্যবহার করে আপনার WiFi নেটওয়ার্কে অথেন্টিকেট করে: সার্টিফিকেটটি RADIUS সার্ভারের কাছে ডিভাইসের পরিচয় প্রমাণ করে এবং RADIUS সার্ভারের সার্টিফিকেটটি ডিভাইসের কাছে নেটওয়ার্কের পরিচয় প্রমাণ করে। পারস্পরিক অথেন্টিকেশন। নেটওয়ার্কের মাধ্যমে কোনো পাসওয়ার্ড আদান-প্রদান হয় না। এই পারস্পরিক অথেন্টিকেশন অংশটি অত্যন্ত গুরুত্বপূর্ণ। PEAP-এর ক্ষেত্রে, কোনো শিক্ষার্থী আপনার SSID প্রচারকারী একটি ক্ষতিকারক অ্যাক্সেস পয়েন্টে (rogue access point) সংযুক্ত হওয়ার সময় সহজেই তাদের ক্রেডেনশিয়াল প্রদান করে ফেলবে। EAP-TLS-এর মাধ্যমে, ডিভাইসটি পরবর্তী ধাপে যাওয়ার আগে RADIUS সার্ভার সার্টিফিকেট যাচাই করে। যদি এটি বিশ্বস্ত CA-র সাথে না মেলে, তবে কোনো নোটিফিকেশন ছাড়াই সংযোগটি ব্যর্থ হয়। এর মাধ্যমে আপনি 'evil twin' আক্রমণের সম্পূর্ণ ঝুঁকিটি দূর করে ফেললেন। এবার আর্কিটেকচার নিয়ে আলোচনা করা যাক। একটি বিশ্ববিদ্যালয়ের জন্য প্রোডাকশন SCEP ডিপ্লয়মেন্টে ছয়টি মূল উপাদান থাকে। প্রথমত, আপনার আইডেন্টিটি প্রোভাইডার: Microsoft Entra ID, Okta, বা Google Workspace। দ্বিতীয়ত, আপনার MDM প্ল্যাটফর্ম: Windows এবং Android-এর জন্য Intune, macOS এবং iOS-এর জন্য Jamf। তৃতীয়ত, আপনার সার্টিফিকেট অথরিটি: হয় অন-প্রেমিসেস Microsoft Active Directory Certificate Services, অথবা ক্লাউড PKI। চতুর্থত, আপনার SCEP গেটওয়ে: HTTP এন্ডপয়েন্ট যা সার্টিফিকেটের অনুরোধগুলো গ্রহণ করে। পঞ্চমত, অথেনটিকেশনের জন্য আপনার RADIUS সার্ভার। ষষ্ঠত, আপনার অ্যাক্সেস লেয়ার: 802.1X-এর জন্য কনফিগার করা Cisco Meraki, HPE Aruba, Ruckus, বা Juniper Mist অ্যাক্সেস পয়েন্টসমূহ। ট্রাস্ট চেইনটি এভাবে কাজ করে। CA একটি রুট সার্টিফিকেট ইস্যু করে। সেই রুটটি MDM-এর মাধ্যমে প্রতিটি ডিভাইসে বিতরণ করা হয়, যা ট্রাস্ট বা বিশ্বাস স্থাপন করে। এরপর CA SCEP-এর মাধ্যমে ডিভাইসগুলোতে ক্লায়েন্ট সার্টিফিকেট ইস্যু করে। যখন একটি ডিভাইস সংযুক্ত হয়, তখন এটি তার ক্লায়েন্ট সার্টিফিকেট RADIUS সার্ভারের কাছে উপস্থাপন করে এবং RADIUS সার্ভার তার সার্ভার সার্টিফিকেটটি ডিভাইসের কাছে উপস্থাপন করে। উভয় পক্ষই বিশ্বস্ত রুটের বিপরীতে এটি যাচাই করে। পাসওয়ার্ডের পরিবর্তে সার্টিফিকেটের বৈধতার ওপর ভিত্তি করে অ্যাক্সেস মঞ্জুর বা প্রত্যাখ্যান করা হয়। আসুন আমি আপনাকে ইমপ্লিমেন্টেশন সিকোয়েন্স বা বাস্তবায়নের ধাপগুলো বুঝিয়ে দিই। এই নিয়মেই এটি কাজ করে। ধাপ এক: আপনার আইডেন্টিটি স্টোর পরিষ্কার করুন। নিশ্চিত করুন যে আপনার Active Directory বা Entra ID-তে ছাত্র, স্টাফ এবং অতিথিদের জন্য সুনির্দিষ্ট গ্রুপ রয়েছে। সার্টিফিকেট পলিসি এবং VLAN অ্যাসাইনমেন্ট এই গ্রুপগুলোর সাথে যুক্ত থাকবে। ধাপ দুই: আপনার সার্টিফিকেট অথরিটি ডিপ্লয় করুন। আপনি যদি Microsoft ADCS ব্যবহার করেন, তবে একটি দ্বি-স্তরের অনুক্রম (two-tier hierarchy) তৈরি করুন: একটি অফলাইন রুট CA এবং একটি অনলাইন ইস্যুয়িং CA। প্রাথমিক সেটআপের পর রুট CA-টি এয়ার-গ্যাপড (air-gapped) অবস্থায় থাকা উচিত। ধাপ তিন: আপনার SCEP গেটওয়ে কনফিগার করুন। এটি এমন একটি HTTP এন্ডপয়েন্ট যার দিকে আপনার MDM ডিভাইসগুলোকে নির্দেশ করবে। নিশ্চিত করুন যে নেটওয়ার্কের যে অংশ থেকে ডিভাইসগুলো প্রাথমিক এনরোলমেন্ট বা নিবন্ধন সম্পন্ন করে—সাধারণত আপনার অনবোর্ডিং SSID—সেখান থেকে এটি অ্যাক্সেসযোগ্য। ধাপ চার: আপনার RADIUS সার্ভার কনফিগার করুন। ইস্যুয়িং CA সার্টিফিকেটটি একটি বিশ্বস্ত CA হিসেবে ইম্পোর্ট করুন। অথেনটিকেশন পদ্ধতি হিসেবে EAP-TLS কনফিগার করুন। VLAN রিটার্ন অ্যাট্রিবিউট সেট আপ করুন যাতে RADIUS ডাইনামিকালি শিক্ষার্থীদের সঠিক নেটওয়ার্ক সেগমেন্টে অ্যাসাইন করতে পারে। ধাপ পাঁচ: আপনার MDM প্রোফাইলগুলো কনফিগার করুন। Intune-এ, প্রথমে একটি Trusted Certificate প্রোফাইল তৈরি করুন, তারপর একটি SCEP Certificate প্রোফাইল এবং এরপর একটি WiFi প্রোফাইল যা SCEP সার্টিফিকেটটিকে নির্দেশ করে। ঠিক এই ক্রমেই এগুলো ডিপ্লয় করুন। প্রতিটি প্রোফাইল তার পূর্ববর্তী প্রোফাইলের ওপর নির্ভরশীল। ধাপ ছয়: আপনার অ্যাক্সেস পয়েন্টগুলো কনফিগার করুন। Cisco Meraki, HPE Aruba, Ruckus, বা Juniper Mist-এ, WPA2-Enterprise বা WPA3-Enterprise-এর জন্য আপনার সুরক্ষিত SSID কনফিগার করুন। পিক অনবোর্ডিংয়ের সময়ে সার্টিফিকেট যাচাইকরণের বিলম্ব বা ল্যাটেন্সি সামাল দিতে RADIUS টাইমআউট অন্তত পাঁচ সেকেন্ডে সেট করুন। এবার আসা যাক সম্ভাব্য ভুলত্রুটি বা পিটফলগুলোর বিষয়ে। আমি বারবার এগুলো ডিপ্লয়মেন্টকে বাধাগ্রস্ত করতে দেখেছি। প্রথমটি হলো ভুল ক্রমে MDM প্রোফাইলগুলো ডিপ্লয় করা। যদি SCEP সার্টিফিকেট প্রোফাইলের আগে ডিভাইসে WiFi প্রোফাইলটি চলে আসে, তবে ডিভাইসের কাছে অথেনটিকেট করার মতো কোনো সার্টিফিকেট থাকে না। ফলে সংযোগটি ব্যর্থ হয় এবং ব্যবহারকারী হেল্পডেস্কে কল করেন。 দ্বিতীয় ত্রুটিটি হলো BYOD ডিভাইসগুলোর কথা ভুলে যাওয়া। Intune এবং Jamf আপনার প্রতিষ্ঠানের মালিকানাধীন ডিভাইসগুলো পরিচালনা করে। কিন্তু শিক্ষার্থীদের ব্যক্তিগত ডিভাইসগুলো আপনার MDM-এ নিবন্ধিত থাকে না। সেগুলোর জন্য আপনার একটি সেলফ-সার্ভিস অনবোর্ডিং পোর্টাল প্রয়োজন। শিক্ষার্থী তাদের বিশ্ববিদ্যালয়ের ক্রেডেনশিয়াল ব্যবহার করে Single Sign-On-এর মাধ্যমে প্রমাণীকরণ করে এবং পোর্টালটি সার্টিফিকেট প্রদানের জন্য SCEP ব্যবহার করে। Purple-এর প্ল্যাটফর্ম এই অনবোর্ডিং ফ্লো সরাসরি captive portal অভিজ্ঞতার সাথে সংহত করে, যাতে শিক্ষার্থীরা আইটি-র কোনো সহায়তা ছাড়াই দুই মিনিটেরও কম সময়ে তাদের নিবন্ধন সম্পন্ন করতে পারে। তৃতীয় ত্রুটিটি হলো পিক অনবোর্ডিংয়ের সময় RADIUS টাইমআউট ব্যর্থতা। সেপ্টেম্বর মাসে নয়, তার আগেই আপনার RADIUS ইনফ্রাস্ট্রাকচারের লোড টেস্ট করুন। অন্তত দুটি RADIUS নোডের মধ্যে লোড ব্যালেন্সিং প্রয়োগ করুন। চতুর্থ ত্রুটিটি হলো সার্টিফিকেট প্রত্যাহার (revocation)। কোনো শিক্ষার্থী চলে গেলে অথবা কোনো ডিভাইস হারিয়ে গেলে বা চুরি হয়ে গেলে, আপনাকে অবিলম্বে সার্টিফিকেটটি প্রত্যাহার করতে হবে। আপনার CA যাতে একটি Certificate Revocation List প্রকাশ করে এবং আপনার RADIUS সার্ভার যাতে প্রতিটি প্রমাণীকরণের সময় এটি যাচাই করে তা নিশ্চিত করুন। এবার আমরা সবচেয়ে বেশি যে প্রশ্নগুলো শুনি সেগুলোর ওপর একটি দ্রুত প্রশ্নোত্তর পর্ব। SCEP কি MDM ছাড়া কাজ করতে পারে? প্রযুক্তিগতভাবে হ্যাঁ, কিন্তু ব্যবহারিক ক্ষেত্রে না। SCEP পে-লোড এবং WiFi প্রোফাইল পুশ করার জন্য একটি MDM ছাড়া, আপনাকে আবার ম্যানুয়াল ডিভাইস কনফিগারেশনে ফিরে যেতে হবে। সার্টিফিকেটের বৈধতা কতদিন হওয়া উচিত? শিক্ষার্থীদের ডিভাইসের জন্য, এক থেকে দুই বছর হলো স্ট্যান্ডার্ড। এটি নবায়নের ঝামেলা ছাড়াই শিক্ষাবর্ষ পার করার জন্য যথেষ্ট দীর্ঘ, আবার সার্টিফিকেটটি অপব্যবহৃত হলে ঝুঁকি সীমিত করার জন্য যথেষ্ট সংক্ষিপ্ত। 802.1X সমর্থন করে না এমন IoT ডিভাইসগুলোর ক্ষেত্রে কী হবে? একটি সেলফ-সার্ভিস ডিভাইস রেজিস্ট্রেশন পোর্টালের সাথে MAC Authentication Bypass ব্যবহার করুন। শিক্ষার্থীরা তাদের গেমিং কনসোল বা স্মার্ট টিভির MAC অ্যাড্রেস রেজিস্টার করবে এবং আপনার NAC সিস্টেম এটিকে সঠিক VLAN-এ স্থাপন করবে। এটি কি eduroam-এর সাথে কাজ করে? হ্যাঁ। EAP-TLS সম্পূর্ণরূপে eduroam ফেডারেশন দ্বারা সমর্থিত। আপনার ক্যাম্পাস CA দ্বারা ইস্যু করা সার্টিফিকেটগুলো বিশ্বজুড়ে যেকোনো অংশগ্রহণকারী প্রতিষ্ঠানে eduroam-এ শিক্ষার্থীদের প্রমাণীকরণ করতে পারে। পরিশেষে, এখানে তিনটি সিদ্ধান্ত রয়েছে যা একটি সফল SCEP ডিপ্লয়মেন্ট নির্ধারণ করে। প্রথমত: অন্য যেকোনো কিছুর আগে আপনার CA আর্কিটেকচার বেছে নিন। অন-প্রেমিসেস ADCS আপনাকে সম্পূর্ণ নিয়ন্ত্রণ দেয়। ক্লাউড PKI আপনাকে অপারেশনাল সহজতা দেয়। এখানে ভুল সিদ্ধান্তের কারণে আপনাকে কয়েক মাস ধরে পুনরায় কাজ করতে হতে পারে। দ্বিতীয়ত: প্রথম দিন থেকেই BYOD অনবোর্ডিং স্বয়ংক্রিয় করুন। শিক্ষার্থীরা তাদের ব্যক্তিগত ডিভাইসগুলো ম্যানুয়ালি কনফিগার করবে—এমনটি ধরে নেবেন না। তারা করবে না। টার্ম শুরু হওয়ার আগেই সেলফ-সার্ভিস পোর্টালটি তৈরি করুন। তৃতীয়ত: সেপ্টেম্বরের আগে লোডের অধীনে আপনার RADIUS ক্ষমতা পরীক্ষা করুন। টার্মের প্রথম দিনে RADIUS আউটজ সম্পূর্ণরূপে প্রতিরোধযোগ্য। Purple-এর প্ল্যাটফর্ম এই তিনটিকে সমর্থন করে: ক্লাউড ওভারলে PKI ইন্টিগ্রেশন, আমাদের captive portal-এর মাধ্যমে সেলফ-সার্ভিস BYOD অনবোর্ডিং, এবং নিরানব্বই দশমিক নয় নয় নয় শতাংশ আপটাইম সহ আশি হাজার লাইভ ভেন্যুতে পরীক্ষিত RADIUS ইনফ্রাস্ট্রাকচার। Purple টেকনিক্যাল ব্রিফিংয়ে যোগ দেওয়ার জন্য আপনাকে ধন্যবাদ। আরও নির্দেশনার জন্য, purple.ai দেখুন।