সেরা DNS filtering: ব্যবসার জন্য একটি ব্যাপক নির্দেশিকা
এই প্রযুক্তিগত রেফারেন্স নির্দেশিকাটি ব্যাখ্যা করে যে কীভাবে এন্টারপ্রাইজ DNS filtering কোনো কানেকশন স্থাপন করার আগেই - রেজোলিউশন স্তরে ক্ষতিকারক ডোমেনগুলিকে ব্লক করে পাবলিক নেটওয়ার্কগুলিকে সুরক্ষিত করে। এটি আইটি ডিরেক্টর, নেটওয়ার্ক আর্কিটেক্ট এবং ভেন্যু অপারেশন টিমকে ডেপ্লয়মেন্ট আর্কিটেকচার, ফায়ারওয়াল কনফিগারেশন এবং কমপ্লায়েন্সের প্রসঙ্গ প্রদান করে যা হসপিটালিটি, রিটেল এবং পাবলিক সেক্টর এনভায়রনমেন্টে গেস্ট WiFi সুরক্ষিত রাখতে তাদের প্রয়োজন। Purple Shield ৮০,০০০+ এরও বেশি লাইভ ভেন্যু জুড়ে DNS স্তরে ম্যালওয়্যার, বটনেট এবং অনুপযুক্ত কন্টেন্ট ব্লক করে।
এই গাইডটি শুনুন
পডকাস্ট ট্রান্সক্রিপ্ট দেখুন
কার্যনির্বাহী সংক্ষিপ্তসার (Executive summary)
বৃহৎ আকারের পাবলিক নেটওয়ার্ক পরিচালনাকারী IT লিডারদের জন্য ব্রাউজিং পরিবেশ সুরক্ষিত করা একটি কার্যক্ষম বাধ্যতামূলক বিষয়, এটি কোনো ঐচ্ছিক বিষয় নয়। হসপিটালিটি, রিটেইল এবং পাবলিক ভেন্যুতে Guest WiFi সহজাতভাবেই একটি অবিশ্বাস্য পরিবেশ। জোরালো নিয়ন্ত্রণ ব্যবস্থা ছাড়া, এটি ম্যালওয়্যার বিতরণ, বটনেট অ্যাক্টিভিটি এবং অনুপযুক্ত সামগ্রীতে অ্যাক্সেসের একটি মাধ্যম হয়ে ওঠে যা ব্র্যান্ডের সুনাম নষ্ট করে এবং কমপ্লায়েন্সের ঝুঁকি তৈরি করে।
DNS ফিল্টারিং হলো নেটওয়ার্ক এজে কনটেন্ট পলিসি প্রয়োগ করার এবং হুমকি ব্লক করার সবচেয়ে কার্যকর প্রক্রিয়া। রিসোর্স-ইনটেনসিভ ডিপ প্যাকেট ইন্সপেকশন (DPI) এর বিপরীতে, DNS ফিল্টারিং কোনো পেলোড এক্সচেঞ্জ হওয়ার আগেই ডোমেন রেজোলিউশন রিকোয়েস্ট আটকে দেয়। এটি রিয়েল-টাইম থ্রেট ইন্টেলিজেন্সের বিপরীতে একটি লাইটওয়েট UDP প্যাকেট মূল্যায়ন করে এবং একটি বৈধ IP অ্যাড্রেস বা একটি সিঙ্কহোল রিটার্ন করে, যা দুই মিলিসেকেন্ডেরও কম লেটেন্সি যোগ করে। এটি হাজার হাজার সমসাময়িক আনম্যানেজড ডিভাইস পরিচালনা করে এমন হাই-ডেন্সিটি পরিবেশের জন্য একমাত্র ব্যবহারিক কনটেন্ট কন্ট্রোল পদ্ধতি।
এই গাইডটিতে VLAN সেগমেন্টেশন, পোর্ট 53 প্রয়োগ, Captive Portal ইন্টিগ্রেশন এবং DNS over HTTPS (DoH) ফাঁকি প্রতিরোধ সহ ডিস্ট্রিবিউটেড এন্টারপ্রাইজ ভেন্যু জুড়ে DNS ফিল্টারিং মোতায়েন করার জন্য প্রয়োজনীয় প্রযুক্তিগত আর্কিটেকচার কভার করা হয়েছে। এটি PCI-DSS এবং GDPR-এর সাথে কমপ্লায়েন্সের বিষয়টিও কভার করে এবং কীভাবে কোনো হার্ডওয়্যার প্রতিস্থাপন ছাড়াই Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti, UniFi, Cambium, Extreme Networks এবং Fortinet-এর বিদ্যমান হার্ডওয়্যার স্ট্যাকের সাথে Purple Shield একীভূত হয় তা ব্যাখ্যা করে।
টেকনিক্যাল ডিপ-ডাইভ: DNS ফিল্টারিং কীভাবে কাজ করে
ডোমেন নেম সিস্টেম (DNS) মানুষের পঠনযোগ্য ডোমেনগুলোকে মেশিন-পঠনযোগ্য IP অ্যাড্রেসে রূপান্তর করে। প্রতিটি ইন্টারনেট সংযোগ একটি DNS রেজোলিউশন রিকোয়েস্টের মাধ্যমে শুরু হয়। একটি স্ট্যান্ডার্ড নেটওয়ার্কে, ডিভাইসগুলো ISP দ্বারা নির্ধারিত একটি ডিফল্ট রিজলভারকে কোয়েরি করে। একটি সুরক্ষিত আর্কিটেকচারে, DHCP সার্ভার গেস্ট VLAN-এর ডিভাইসগুলোতে একটি পলিসি-প্রয়োগকারী DNS রিজলভার অ্যাসাইন করে।
যখন কোনো ডিভাইস এই সুরক্ষিত রিজলভারকে কোয়েরি করে, তখন ফিল্টারিং ইঞ্জিন একই সাথে একাধিক ডেটা সোর্সের বিপরীতে ডোমেনটি মূল্যায়ন করে: রিয়েল-টাইম থ্রেট ইন্টেলিজেন্স ফিড, ক্যাটাগরি ব্লক লিস্ট (প্রাপ্তবয়স্কদের কনটেন্ট, জুয়া, পাইরেসি) এবং বটনেট কমান্ড অ্যান্ড কন্ট্রোল ডোমেন রেজিস্ট্রি। এই সিদ্ধান্তটি মিলিসেকেন্ডের মধ্যে নেওয়া হয়।
ডোমেনটি নিরাপদ হলে, ইঞ্জিনটি সঠিক IP অ্যাড্রেস রিটার্ন করে এবং সংযোগটি স্বাভাবিকভাবে এগিয়ে যায়। ডোমেনটি ক্ষতিকারক হিসেবে চিহ্নিত হলে বা আপনার গ্রহণযোগ্য ব্যবহার নীতি লঙ্ঘন করলে, ইঞ্জিনটি হয় একটি নন-রাউটেবল IP অ্যাড্রেস রিটার্ন করে (সিঙ্কহোলিং) অথবা ব্যবহারকারীকে একটি ব্র্যান্ডেড ব্লক পেজে রিডাইরেক্ট করে। মূল বিষয়টি হলো: ডিভাইস এবং ডেস্টিনেশন সার্ভারের মধ্যে কোনো ডেটা পেলোড এক্সচেঞ্জ হওয়ার আগেই এই হস্তক্ষেপটি ঘটে।
পারফরম্যান্স এবং স্কেলের সুবিধা
উচ্চ-ঘনত্বের পাবলিক পরিবেশের জন্য DNS filtering আর্কিটেকচারগতভাবে DPI-এর চেয়ে অনেক উন্নত। DPI-এর জন্য প্রতিটি প্যাকেটের পেলোড পরীক্ষা করতে নেটওয়ার্ক হার্ডওয়্যারের প্রয়োজন হয়। ৫০,০০০ সহগামী ব্যবহারকারী বিশিষ্ট একটি ভেন্যুতে - যেমন একটি স্টেডিয়াম, সম্মেলন কেন্দ্র বা বড় রিটেল এস্টেট - DPI উল্লেখযোগ্য লেটেন্সি তৈরি করে এবং প্রতিটি পরিদর্শন পয়েন্টে ব্যয়বহুল, নির্দিষ্ট উদ্দেশ্যে তৈরি হার্ডওয়্যারের প্রয়োজন হয়।
DNS filtering সংযোগ লাইফসাইকেলের শুরুতেই কাজ করে। এটি একটি সাধারণ হালকা UDP প্যাকেট মূল্যায়ন করে। রেজোলিউশন সম্পন্ন হলে, ক্লায়েন্ট এবং ডেস্টিনেশন সার্ভারের মধ্যে সরাসরি ডেটা ট্রান্সফার হয়। ফিল্টারিং ইঞ্জিন কখনই ডেটা পেলোড প্রসেস করে না। সহগামী ব্যবহারকারীর সংখ্যা যাই হোক না কেন, লেটেন্সির প্রভাব সবসময় দুই মিলিসেকেন্ডের কম থাকে।
যেহেতু সংযোগ স্থাপনের আগেই DNS filtering কাজ করে, তাই এটি প্রোটোকল-নিরপেক্ষ। অ্যাপ্লিকেশনটি HTTP, HTTPS, FTP নাকি কোনো কাস্টম পোর্ট ব্যবহার করছে, তা নির্বিশেষে এটি সংযোগ ব্লক করে। URL-ভিত্তিক ফিল্টারিংয়ের তুলনায় এটি একটি বড় সুবিধা, যা কেবল HTTP/HTTPS ট্রাফিক পরীক্ষা করে।
১০ দিনের থ্রেট ডিটেকশন সুবিধা
ঐতিহ্যগত DNS নিরাপত্তা রিঅ্যাক্টিভ ব্ল্যাকলিস্টিংয়ের ওপর নির্ভর করে: একটি ডোমেন ক্ষতিকারক হিসেবে চিহ্নিত করা হয়, একটি কেন্দ্রীয় সংস্থাকে রিপোর্ট করা হয়, ডাটাবেজে যুক্ত করা হয় এবং অবশেষে আপনার ফিল্টারে পাঠানো হয় - এই প্রক্রিয়াটি সম্পন্ন হতে কয়েক দিন পর্যন্ত সময় লাগতে পারে। আধুনিক ম্যালওয়্যার ক্যাম্পেইনগুলো এই সময়ের ব্যবধানকে কাজে লাগায়। হামলাকারীরা নতুন ডোমেন রেজিস্টার করে, ২৪ ঘণ্টার মধ্যে একটি ক্যাম্পেইন চালায় এবং কোনো স্ট্যান্ডার্ড ব্লকলিস্টে পৌঁছানোর আগেই ডোমেনটি পরিত্যাগ করে।
Purple Shield রিয়েল টাইমে ডোমেন রেজিস্ট্রেশন প্যাটার্ন, IP রেপুটেশন এবং ক্রিপ্টোগ্রাফিক সিগনেচার বিশ্লেষণ করতে AI-চালিত থ্রেট ডিটেকশন ব্যবহার করে। এই পদ্ধতিটি প্রচলিত রিঅ্যাক্টিভ প্রদানকারীদের তুলনায় ১০ দিন পর্যন্ত দ্রুত নতুন জিরো-ডে থ্রেট সনাক্ত এবং ব্লক করে (Purple অভ্যন্তরীণ ডেটা, ২০২৬)। এমন একটি পরিবেশে যেখানে গেস্ট ডিভাইসের একটিমাত্র ক্ষতিকারক লিঙ্ক র্যানসমওয়্যারের কারণ হতে পারে, সেখানে এই ডিটেকশন উইন্ডোটি অত্যন্ত গুরুত্বপূর্ণ।
ইমপ্লিমেন্টেশন গাইড: আর্কিটেকচার এবং ডিপ্লয়মেন্ট
সঠিকভাবে DNS filtering ডিপ্লয় করতে তিনটি স্তরে সুনির্দিষ্ট নেটওয়ার্ক কনফিগারেশন প্রয়োজন: DHCP, ফায়ারওয়াল এবং Captive Portal।
ধাপ ১: VLAN সেগমেন্টেশন
আপনার নেটওয়ার্ককে এমনভাবে সেগমেন্ট করুন যাতে গেস্ট ট্রাফিক অপারেশনাল সিস্টেম থেকে বিচ্ছিন্ন থাকে। গেস্ট ডিভাইসগুলোকে একটি ডেডিকেটেড VLAN-এ (যেমন, VLAN 20) রাখুন এবং POS টার্মিনাল, প্রপার্টি ম্যানেজমেন্ট সিস্টেম এবং কর্মীদের ডিভাইসগুলোকে ইন্টারনাল DNS রিজলভার সহ আলাদা VLAN-এ রাখুন। এটি নিশ্চিত করে যে আপনার DNS filtering পলিসি শুধুমাত্র অনিরাপদ গেস্ট ট্রাফিকের ওপর প্রযোজ্য হবে এবং অপারেশনাল সিস্টেমগুলোতে কোনো ব্যাঘাত ঘটাবে না।
এই সেগমেন্টেশনটি PCI-DSS রিকোয়ারমেন্ট ১.৩-ও পূরণ করে, যা নির্দেশ করে যে কার্ডহোল্ডারদের ডেটা এনভায়রনমেন্ট যেন অনিরাপদ নেটওয়ার্ক থেকে বিচ্ছিন্ন থাকে। গেস্ট WiFi কখনই পেমেন্ট ইনফ্রাস্ট্রাকচারের সাথে VLAN শেয়ার করবে না।
ধাপ ২: DHCP স্কোপ কনফিগারেশন
গেস্ট VLAN-এর জন্য DHCP স্কোপ কনফিগার করুন যাতে আপনার ক্লাউড DNS ফিল্টারিং সার্ভিসের IP অ্যাড্রেসগুলোকে প্রাইমারি এবং সেকেন্ডারি DNS সার্ভার হিসেবে অ্যাসাইন করা যায়। এটি নিশ্চিত করে যে গেস্ট নেটওয়ার্কে যুক্ত হওয়া প্রতিটি ডিভাইস স্বয়ংক্রিয়ভাবে সঠিক রিজলভার গ্রহণ করছে।
ধাপ ৩: ফায়ারওয়ালে Port 53 এনফোর্সমেন্ট
শুধুমাত্র DHCP অ্যাসাইনমেন্ট যথেষ্ট নয়। একজন ব্যবহারকারী ম্যানুয়ালি তাদের ডিভাইসটিকে Google (8.8.8.8) বা Cloudflare (1.1.1.1)-এর মতো কোনো পাবলিক রিজলভার ব্যবহার করার জন্য কনফিগার করে DHCP-দ্বারা প্রদত্ত DNS সেটিংস ওভাররাইড করতে পারেন। ম্যালওয়্যার প্রায়শই নেটওয়ার্ক নিয়ন্ত্রণগুলোকে সম্পূর্ণভাবে এড়াতে DNS সেটিংস হার্ডকোড করে রাখে।
আপনাকে এমন একটি ফায়ারওয়াল রুল ইমপ্লিমেন্ট করতে হবে যা গেস্ট VLAN থেকে আপনার নির্ধারিত ফিল্টারিং সার্ভার ছাড়া অন্য যেকোনো IP অ্যাড্রেসে পোর্ট ৫৩ (UDP এবং TCP উভয়ই) এর সমস্ত আউটবাউন্ড ট্রাফিক ড্রপ করবে। এটি DNS ফিল্টারকে একটি পরামর্শমূলক নিয়ন্ত্রণ থেকে একটি বাধ্যতামূলক নিয়ন্ত্রণে রূপান্তর করে।
ধাপ ৪: DNS over HTTPS (DoH) মিটিগেশন
আধুনিক ব্রাউজার এবং অ্যাপ্লিকেশনগুলো দিন দিন DoH-এর ব্যবহার বাড়িয়ে দিচ্ছে, যা পোর্ট ৪৪৩-এ স্ট্যান্ডার্ড HTTPS ট্রাফিকের ভেতরে DNS কোয়েরিগুলোকে এনক্রিপ্ট করে। এটি পোর্ট ৫৩ ইন্টারসেপশনকে সম্পূর্ণভাবে এড়িয়ে যায়। কভারেজ বজায় রাখতে, বড় DoH প্রদানকারীদের পরিচিত IP অ্যাড্রেস রেঞ্জগুলো ব্লক করার জন্য আপনার ফায়ারওয়াল কনফিগার করুন। এটি ক্লায়েন্ট ডিভাইসগুলোকে স্ট্যান্ডার্ড আনএনক্রিপ্টেড DNS-এ ফিরে যেতে বাধ্য করে, যা আপনার ফিল্টারিং ইঞ্জিন পরিদর্শন করতে পারে। NIST SP 800-81r3 (মার্চ ২০২৬-এ প্রকাশিত) বিশেষভাবে একটি এন্টারপ্রাইজ DNS সিকিউরিটি বিবেচনা হিসেবে DoH-কে সম্বোধন করে।
ধাপ ৫: Captive Portal ওয়াল্ড গার্ডেন কনফিগারেশন
আপনি যদি গেস্ট অথেন্টিকেশনের জন্য একটি Captive Portal পরিচালনা করেন, তবে কোনো ব্লকিং পলিসি প্রয়োগ করার আগে আপনাকে অবশ্যই একটি Walled Garden কনফিগার করতে হবে। Walled Garden হলো এমন ডোমেনের একটি তালিকা যা ডিভাইসগুলো অথেন্টিকেট করার আগেই অ্যাক্সেস করতে পারে। এতে Captive Portal কার্যকরভাবে কাজ করার জন্য প্রয়োজনীয় সমস্ত ডোমেন অন্তর্ভুক্ত থাকতে হবে: আপনার পোর্টালের নিজস্ব ডোমেন, যেকোনো আইডেন্টিটি প্রোভাইডার (Microsoft Entra ID, Okta, Google Workspace), এবং যেকোনো সোশ্যাল লগইন OAuth এন্ডপয়েন্ট।
অথেন্টিকেশনের আগে এই ডোমেনগুলো ব্লক করা থাকলে, ব্যবহারকারীরা লগইন ফ্লো সম্পন্ন করতে পারবেন না। এর ফলে অনবোর্ডিং অভিজ্ঞতা ব্যাহত হবে এবং গেস্টরা অসন্তুষ্ট হবেন। প্রথমে Walled Garden কনফিগার করুন, তারপর শুধুমাত্র অথেন্টিকেটেড সেশনগুলোর জন্য আপনার কন্টেন্ট ফিল্টারিং পলিসি প্রয়োগ করুন।
SSID আর্কিটেকচার এবং কীভাবে Guest WiFi, Staff WiFi, এবং IoT নেটওয়ার্কগুলো গঠন করা উচিত সে সম্পর্কে আরও জানতে, Three SSIDs to rule them all: guest, Passpoint, and IoT WiFi দেখুন।
সর্বোত্তম অনুশীলন: পলিসি ডিজাইন এবং চলমান ব্যবস্থাপনা
ক্যাটাগরি-ভিত্তিক ব্লকিং
ব্যক্তিগত ডোমেন ব্লকলিস্টের পরিবর্তে কন্টেন্ট ক্যাটাগরিকে কেন্দ্র করে আপনার DNS ফিল্টারিং পলিসি সাজান। ক্যাটাগরিগুলোর মধ্যে সাধারণত থাকে: ম্যালওয়্যার এবং ফিশিং, বটনেট কমান্ড-অ্যান্ড-কন্ট্রোল, অ্যাডাল্ট কন্টেন্ট, জুয়া, অবৈধ স্ট্রিমিং এবং পিয়ার-টু-পিয়ার ফাইল শেয়ারিং। ক্যাটাগরি-ভিত্তিক পলিসিগুলো পরিচালনা করা সহজ এবং থ্রেট ইন্টেলিজেন্স আপডেট হওয়ার সাথে সাথে স্বয়ংক্রিয়ভাবে নতুন ডোমেনগুলো ক্যাপচার করে।
থ্রেট ইন্টেলিজেন্স আপডেট ফ্রিকোয়েন্সি
এমন একটি DNS filtering প্রদানকারী বেছে নিন যা রিয়েল-টাইমে বা প্রায় রিয়েল-টাইমে থ্রেট ইন্টেলিজেন্স আপডেট করে। আধুনিক ফাস্ট-ফ্লাক্স ম্যালওয়্যার ক্যাম্পেইনের বিরুদ্ধে প্রতিদিন আপডেট হওয়া স্ট্যাটিক ব্লকলিস্টগুলো যথেষ্ট নয়। Purple Shield তার থ্রেট ইন্টেলিজেন্স ক্রমাগত আপডেট করে, যা একই AI-চালিত সনাক্তকরণকে প্রতিফলিত করে এবং রিয়্যাক্টিভ প্রদানকারীদের তুলনায় ১০ দিনের সুবিধা প্রদান করে।
হার্ডওয়্যার-নিরপেক্ষ ডিপ্লয়মেন্ট
Purple Shield একটি ক্লাউড ওভারলে হিসেবে কাজ করে, যার অর্থ হলো এটি কোনো হার্ডওয়্যার প্রতিস্থাপন ছাড়াই আপনার বিদ্যমান অ্যাক্সেস পয়েন্ট পরিকাঠামোর সাথে সংহত বা ইন্টিগ্রেট হয়। এটি Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme এবং Fortinet-এর সাথে সামঞ্জস্যপূর্ণ। ফিল্টারিং পলিসিটি DNS স্তরে প্রয়োগ করা হয়, তাই অ্যাক্সেস পয়েন্ট হার্ডওয়্যারকে শুধুমাত্র সঠিক রিজলভারের কাছে DNS কোয়েরি পাঠাতে হবে।
অ্যানালিটিক্স এবং রিপোর্টিং
DNS filtering বিস্তারিত কোয়েরি লগ তৈরি করে যা নেটওয়ার্ক আচরণের দৃশ্যমানতা প্রদান করে। ট্রেন্ডগুলো সনাক্ত করতে এই লগগুলো ব্যবহার করুন: একটি নির্দিষ্ট অ্যাক্সেস পয়েন্ট থেকে ব্লক করা ফিশিং প্রচেষ্টার হঠাৎ বৃদ্ধি একটি টার্গেটেড আক্রমণ নির্দেশ করতে পারে। ব্লক করা ক্যাটাগরির রিপোর্টের নিয়মিত পর্যালোচনা কমপ্লায়েন্স অডিটকেও সমর্থন করে, যা PCI-DSS মূল্যায়নকারী এবং GDPR অডিটরদের কাছে প্রমাণ করে যে আপনার কাছে সক্রিয় নিয়ন্ত্রণ ব্যবস্থা রয়েছে।
Purple-এর WiFi Analytics প্ল্যাটফর্ম সিকিউরিটি ইভেন্ট এবং নেটওয়ার্ক পারফরম্যান্স জুড়ে একীভূত দৃশ্যমানতা প্রদান করতে Shield-এর সাথে ইন্টিগ্রেট করে।
সমস্যা সমাধান এবং ঝুঁকি হ্রাস
কাস্টম DNS-এর মাধ্যমে ফিল্টার বাইপাস
লক্ষণ: ব্যবহারকারীরা এমন কন্টেন্ট অ্যাক্সেস করার রিপোর্ট করছেন যা ব্লক করা থাকার কথা। ফায়ারওয়াল লগ গেস্ট VLAN থেকে 8.8.8.8 বা 1.1.1.1-এ DNS কোয়েরি দেখাচ্ছে।
কারণ: ফায়ারওয়ালে Port 53 ব্লক করা নেই। ব্যবহারকারীরা DHCP-অ্যাসাইন করা DNS সেটিংস ওভাররাইড করছেন।
সমাধান: আপনার ফিল্টারিং ইঞ্জিন ছাড়া অন্য কোনো IP-তে গেস্ট VLAN থেকে সমস্ত আউটবাউন্ড UDP/TCP port 53 ট্রাফিক ড্রপ করার জন্য একটি ফায়ারওয়াল নিয়ম বা রুল প্রয়োগ করুন।
Captive Portal অথেন্টিকেশন ব্যর্থতা
লক্ষণ: গেস্টরা লগইন ফ্লো সম্পন্ন করতে পারছেন না। Captive Portal পেজ লোড হতে ব্যর্থ হচ্ছে বা সোশ্যাল লগইন বোতামগুলো কাজ করছে না।
কারণ: DNS ফিল্টার অথেন্টিকেশনের আগেই আইডেন্টিটি প্রোভাইডার ডোমেনগুলোকে ব্লক করছে। Microsoft Entra ID, Google Workspace, বা আপনার পোর্টালের নিজস্ব ডোমেন একটি ব্লক করা ক্যাটাগরির তালিকায় রয়েছে।
সমাধান: আপনার Walled Garden কনফিগারেশন অডিট করুন। প্রি-অথেন্টিকেশন অনুমতি তালিকায় (allowlist) সমস্ত প্রয়োজনীয় অথেন্টিকেশন ডোমেন যোগ করুন। পলিসি পরিবর্তনগুলো প্রয়োগ করার আগে একটি স্টেজিং এনভায়রনমেন্টে সম্পূর্ণ লগইন ফ্লো পরীক্ষা করুন।
DoH বাইপাস
লক্ষণ: উচ্চ নেটওয়ার্ক ব্যবহার সত্ত্বেও DNS ফিল্টার লগ কম কোয়েরি ভলিউম দেখাচ্ছে। কিছু ডিভাইস ফিল্টারিংকে সম্পূর্ণভাবে বাইপাস করছে বলে মনে হচ্ছে।
কারণ: ব্রাউজার বা অ্যাপ্লিকেশনগুলো DoH ব্যবহার করছে, যা পোর্ট ৪৪৩-এর মাধ্যমে এক্সটার্নাল রিজলভারগুলিতে এনক্রিপ্ট করা DNS কোয়েরি পাঠাচ্ছে।
সমাধান: ফায়ারওয়ালে প্রধান DoH প্রদানকারীদের পরিচিত IP রেঞ্জগুলো ব্লক করুন। পরিচিত DoH রিজলভার IP-তে HTTPS কানেকশনগুলো মনিটর করার মাধ্যমে এটি যাচাই করুন।
অপারেশনাল VLAN বিঘ্নিত হওয়া
লক্ষণ: DNS ফিল্টার ডিপ্লয়মেন্টের পরে POS টার্মিনাল বা প্রোপার্টি ম্যানেজমেন্ট সিস্টেমগুলো কানেক্টিভিটি হারাচ্ছে।
কারণ: DNS ফিল্টারিং পলিসিটি ভুল VLAN-এ প্রয়োগ করা হয়েছে, অথবা DHCP অপারেশনাল ডিভাইসগুলিতে ক্লাউড DNS রিজলভার অ্যাসাইন করছে।
সমাধান: সমস্ত সুইচ পোর্ট এবং অ্যাক্সেস পয়েন্টে VLAN ট্যাগিং যাচাই করুন। নিশ্চিত করুন যে অপারেশনাল ডিভাইসের VLAN-গুলি কেবল অভ্যন্তরীণ DNS রিজলভার ব্যবহারের জন্য কনফিগার করা হয়েছে।
ROI এবং ব্যবসায়িক প্রভাব
DNS ফিল্টারিং তিনটি ক্ষেত্রে পরিমাপযোগ্য রিটার্ন প্রদান করে।
ব্যান্ডউইথ পুনরুদ্ধার: অবৈধ স্ট্রিমিং, পিয়ার-টু-পিয়ার শেয়ারিং এবং স্বয়ংক্রিয় বটনেট ট্রাফিক ব্লক করা উল্লেখযোগ্য ব্যান্ডউইথ পুনরুদ্ধার করে। একটি হোটেল পরিবেশে, এটি গেস্ট VLAN ব্যবহার ২০-৪০% হ্রাস করতে পারে, যা সার্কিট আপগ্রেডের প্রয়োজন ছাড়াই বৈধ ব্যবহারকারীদের জন্য পারফরম্যান্স উন্নত করে।
কমপ্লায়েন্স খরচ হ্রাস: সক্রিয় DNS-স্তরের নিয়ন্ত্রণ প্রদর্শন করা PCI DSS মূল্যায়নের পরিধি এবং খরচ কমিয়ে দেয়। এটি GDPR Article 32 (ডেটা নিরাপত্তা নিশ্চিত করার জন্য প্রযুক্তিগত ব্যবস্থা) এর জন্য নথিভুক্ত প্রমাণ সরবরাহ করে এবং ম্যালওয়্যার সুরক্ষার জন্য Cyber Essentials সার্টিফিকেশনের প্রয়োজনীয়তাগুলিকে সমর্থন করে।
ব্র্যান্ড এবং দায়বদ্ধতা সুরক্ষা: রিটেইল এবং হসপিটালিটি পরিবেশে পরিবার-বান্ধব ব্রাউজিং পলিসি প্রয়োগ করা অনুপযুক্ত সামগ্রীর সর্বজনীন প্রদর্শন প্রতিরোধ করে। শিশুদের পরিষেবা প্রদানকারী ভেন্যুগুলিতে - শপিং সেন্টার, ফ্যামিলি হোটেল, স্টেডিয়াম - এটি অনেক বিচারব্যবস্থায় একটি ব্র্যান্ডের প্রয়োজনীয়তা এবং একটি আইনি বিবেচনা উভয়ই।
সেক্টর-নির্দিষ্ট ডিপ্লয়মেন্ট নির্দেশিকার জন্য, Hospitality , Retail , Healthcare , এবং Transport এর জন্য আমাদের ইন্ডাস্ট্রি পেজগুলি দেখুন।
মূল সংজ্ঞাসমূহ
DNS filtering
একটি সিকিউরিটি টেকনিক যা ডোমেন রেজোলিউশন রিকোয়েস্টগুলোকে ইন্টারসেপ্ট করে এবং কোনো সংযোগের অনুমতি দেওয়া বা ব্লক করার আগে থ্রেট ইন্টেলিজেন্স ফিড এবং কন্টেন্ট পলিসির বিপরীতে সেগুলোকে মূল্যায়ন করে।
পাবলিক নেটওয়ার্কে আনম্যানেজড গেস্ট ডিভাইসগুলির জন্য প্রাথমিক কন্টেন্ট নিয়ন্ত্রণের পদ্ধতি। কোনো এন্ডপয়েন্ট এজেন্টের প্রয়োজন নেই।
Sinkholing
একটি ক্ষতিকারক ডোমেনের জন্য DNS কুয়েরির জবাবে একটি নন-রাউটেবল IP অ্যাড্রেস (যেমন 0.0.0.0) পাঠানো, যা ডিভাইসটিকে কোনো সংযোগ স্থাপন করা থেকে বিরত রাখে।
ম্যালওয়্যারটিকে সতর্ক না করেই নিরিবিলিতে বটনেট কমান্ড-অ্যান্ড-কন্ট্রোল ট্রাফিক ব্লক করতে ব্যবহৃত হয় যাতে ম্যালওয়্যারটি বুঝতে না পারে যে এটি শনাক্ত হয়েছে।
Walled Garden
একটি সীমিত প্রি-অথেনটিকেশন নেটওয়ার্ক এনভায়রনমেন্ট যা একজন ব্যবহারকারী captive portal লগইন ফ্লো সম্পন্ন করার আগে একটি নির্দিষ্ট অনুমোদিত ডোমেন সেট অ্যাক্সেস করার অনুমতি দেয়।
অথেনটিকেশন ব্যর্থতা প্রতিরোধ করতে অবশ্যই সমস্ত আইডেন্টিটি প্রোভাইডার ডোমেন (Microsoft Entra ID, Google Workspace, Okta) এবং captive portal অ্যাসেট অন্তর্ভুক্ত করতে হবে।
DNS over HTTPS (DoH)
একটি প্রোটোকল যা পোর্ট 443-এ স্ট্যান্ডার্ড HTTPS ট্রাফিকের মধ্যে DNS কুয়েরিগুলোকে এনক্রিপ্ট করে, যা নেটওয়ার্ক-লেভেল ইন্সপেকশন থেকে গন্তব্য ডোমেনটিকে লুকিয়ে রাখে।
আধুনিক ব্রাউজারগুলোতে ডিফল্ট হিসেবে এর ব্যবহার ক্রমশ বাড়ছে। DNS ফিল্টারিং কভারেজ বজায় রাখতে ফায়ারওয়াল স্তরে DoH প্রোভাইডার IP রেঞ্জ ব্লক করার প্রয়োজন হয়।
VLAN segmentation
802.1Q ট্যাগের সাহায্যে একটি একক ফিজিক্যাল নেটওয়ার্ককে একাধিক আইসোলেটেড লজিক্যাল নেটওয়ার্কে বিভক্ত করা।
অপারেশনাল সিস্টেম থেকে গেস্ট ট্রাফিককে আলাদা করার জন্য অত্যন্ত গুরুত্বপূর্ণ। PCI-DSS রিকোয়ারমেন্ট 1.3 অনুযায়ী কার্ডহোল্ডার ডেটা এনভায়রনমেন্টগুলোকে গেস্ট WiFi সহ সমস্ত অনিরাপদ নেটওয়ার্ক থেকে আলাদা রাখা বাধ্যতামূলক।
Captive portal
একটি ওয়েব পেজ যার সাথে ফুল নেটওয়ার্ক অ্যাক্সেস পাওয়ার আগে ডিভাইসগুলোকে অবশ্যই ইন্টারঅ্যাক্ট করতে হবে, যা অথেনটিকেশন, টার্মস অফ সার্ভিস গ্রহণ এবং ফার্স্ট-পার্টি ডেটা ক্যাপচারের জন্য ব্যবহৃত হয়।
DNS ফিল্টারিংয়ের পাশাপাশি সঠিকভাবে কাজ করার জন্য সতর্কতার সাথে Walled Garden কনফিগারেশন করা প্রয়োজন।
Deep Packet Inspection (DPI)
একটি নেটওয়ার্ক ফিল্টারিং পদ্ধতি যা একটি ইন্সপেকশন পয়েন্টে প্যাকেটের সম্পূর্ণ পেলোড পরীক্ষা করে, যা কন্টেন্ট-অ্যাওয়ার ফিল্টারিং সক্ষম করে তবে এতে উল্লেখযোগ্য প্রসেসিং ওভারহেড যুক্ত হয়।
লেটেন্সি এবং হার্ডওয়্যার খরচের কারণে হাই-ডেনসিটি গেস্ট নেটওয়ার্কের জন্য এটি অবাস্তব। আনম্যানেজড ডিভাইস এনভায়রনমেন্টের জন্য DNS ফিল্টারিং একটি চমৎকার বিকল্প।
Threat intelligence feed
পরিচিত ক্ষতিকারক IP অ্যাড্রেস, ডোমেন এবং URL প্যাটার্নের একটি ক্রমাগত আপডেট হওয়া ডেটাবেস, যা রিয়েল-টাইম DNS ফিল্টারিং সিদ্ধান্তগুলো পরিচালনা করতে ব্যবহৃত হয়।
থ্রেট ইন্টেলিজেন্স ফিডের গুণমান এবং আপডেট হওয়ার ফ্রিকোয়েন্সি নির্ধারণ করে যে একটি DNS ফিল্টার নতুন জিরো-ডে থ্রেটের বিরুদ্ধে কত দ্রুত প্রতিক্রিয়া জানাবে।
Zero-day domain
একটি নতুন রেজিস্টার্ড ডোমেন যা কোনো স্ট্যান্ডার্ড ব্লক-লিস্টে আসার আগেই ম্যালওয়্যার বা ফিশিং ক্যাম্পেইনে ব্যবহৃত হয়।
আধুনিক অ্যাটাক ক্যাম্পেইনগুলোতে এমন সব ডোমেন ব্যবহার করা হয় যা ২৪ ঘণ্টারও কম সময় সক্রিয় থাকে। AI-চালিত থ্রেট ডিটেকশন কোনো রিপোর্টের জন্য অপেক্ষা না করে রেজিস্ট্রেশন প্যাটার্ন বিশ্লেষণ করে এই ডোমেনগুলোকে শনাক্ত করে।
সমাধানকৃত উদাহরণসমূহ
একটি ৪০০-রুমের হোটেল চেইন ১২টি প্রপার্টি জুড়ে গেস্ট WiFi ডেপ্লয় করছে। তারা Captive Portal অথেন্টিকেশনের জন্য Microsoft Entra ID ব্যবহার করে এবং তাদের প্রপার্টি ম্যানেজমেন্ট সিস্টেম (PMS) একই ফিজিক্যাল সুইচ ইনফ্রাস্ট্রাকচারে চলে। DNS filtering চালু করার পরে, তিনটি প্রপার্টির অতিথিরা রিপোর্ট করেছেন যে তারা লগইন ফ্লো সম্পন্ন করতে পারছেন না। এর মূল কারণ কী এবং টিমের কীভাবে এটি সমাধান করা উচিত?
মূল কারণটি হলো একটি অসম্পূর্ণ Walled Garden কনফিগারেশন। DNS ফিল্টারটি অতিথিরা অথেন্টিকেট করার আগেই Microsoft Entra ID অথেন্টিকেশন ডোমেনগুলিকে ব্লক করছে, যার ফলে এমন একটি জটিল পরিস্থিতির সৃষ্টি হচ্ছে যেখানে অতিথিরা লগইন পেজ লোড করতে পারছেন না। সমাধানের ধাপসমূহ: ১. DNS filtering ড্যাশবোর্ডে, একটি প্রি-অথেন্টিকেশন পলিসি তৈরি করুন যা login.microsoftonline.com, login.live.com এবং যেকোনো টেন্যান্ট-নির্দিষ্ট ডোমেনসহ সমস্ত Microsoft Entra ID ডোমেনকে স্পষ্টভাবে অনুমোদন করে (allowlist)। ২. যাচাই করুন যে Captive Portal-এর নিজস্ব ডোমেন এবং এটি লোড করা যেকোনো CDN অ্যাসেটও অনুমোদিত। ৩. নিশ্চিত করুন যে PMS VLAN (VLAN ১০) ক্লাউড ফিল্টারিং ইঞ্জিনের পরিবর্তে ইন্টারনাল DNS রিজলভার ব্যবহার করার জন্য কনফিগার করা হয়েছে। ৪. গেস্ট VLAN (VLAN ২০) এ শুধুমাত্র পোস্ট-অথেন্টিকেশন সেশনের জন্য কঠোর কন্টেন্ট ব্লকিং পলিসি প্রয়োগ করুন। ৫. ইনসিডেন্ট বন্ধ করার আগে প্রতিটি প্রভাবিত প্রপার্টিতে সম্পূর্ণ লগইন ফ্লো পরীক্ষা করুন।
একটি বড় রিটেল চেইন ২০০টি স্টোর পরিচালনা করে, যার প্রতিটিতে একটি গেস্ট WiFi নেটওয়ার্ক রয়েছে। তাদের আইটি সিকিউরিটি টিম একটি ক্লাউড DNS ফিল্টার ডেপ্লয় করে এবং সমস্ত গেস্ট VLAN-এ DHCP স্কোপ আপডেট করে। দুই সপ্তাহ পরে, একটি পেনিট্রেশন টেস্টে দেখা যায় যে ১৮% গেস্ট ডিভাইস সফলভাবে পরিচিত ক্ষতিকারক ডোমেনগুলি রেজলভ করছে। DNS ফিল্টার লগগুলি এই ডিভাইসগুলি থেকে কোনো ব্লকড কোয়েরি দেখায় না। আর্কিটেকচারাল ত্রুটিটি কী এবং এর সমাধান কী?
ত্রুটিটি হলো ফায়ারওয়ালে পোর্ট ৫৩ ব্লক করা হয়নি। ১৮% ডিভাইস হার্ডকোডেড রিজলভার (৮.৮.৮.৮, ১.১.১.১) ব্যবহার করে অথবা DNS over HTTPS ব্যবহার করে DHCP-বরাদ্দকৃত DNS সার্ভারগুলিকে বাইপাস করছে। যেহেতু তাদের DNS কোয়েরিগুলি কখনই ফিল্টারিং ইঞ্জিনে পৌঁছায় না, তাই লগগুলিতে কোনো ব্লকড কোয়েরি প্রদর্শিত হয় না। সমাধান: ১. গেস্ট VLAN গেটওয়েতে একটি ফায়ারওয়াল রুল প্রয়োগ করুন যা অনুমোদিত ফিল্টারিং ইঞ্জিন আইপি ছাড়া অন্য যেকোনো আইপিতে পোর্ট ৫৩-এর সমস্ত আউটবাউন্ড UDP এবং TCP ট্রাফিক ড্রপ করে। ২. এনক্রিপ্টেড বাইপাস প্রতিরোধ করতে ফায়ারওয়ালে প্রধান DoH প্রদানকারীদের (Cloudflare, Google, NextDNS) আইপি রেঞ্জ চিহ্নিত করে ব্লক করুন। ৩. কভারেজ নিশ্চিত করতে পেনিট্রেশন টেস্টটি পুনরায় চালান। ৪. রুলটি সক্রিয় আছে কিনা তা যাচাই করতে পোর্ট ৫৩ ট্রাফিকের জন্য ফায়ারওয়াল ড্রপ লগগুলি পর্যবেক্ষণ করুন।
অনুশীলনী প্রশ্নসমূহ
Q1. একটি রিটেইল চেইন ১৫০টি স্টোর জুড়ে একটি ক্লাউড DNS ফিল্টার স্থাপন করেছে। তারা ফিল্টারিং ইঞ্জিন IP গুলো অ্যাসাইন করতে সমস্ত গেস্ট VLAN-এ DHCP স্কোপ আপডেট করেছে। এক সপ্তাহ পরে, স্টোর ম্যানেজাররা রিপোর্ট করেন যে কাস্টমাররা এখনও ব্লক করা কন্টেন্ট ক্যাটাগরিগুলো অ্যাক্সেস করতে পারছেন। DNS ফিল্টার ড্যাশবোর্ডে এই স্টোরগুলো থেকে খুব কম কুয়েরি ভলিউম দেখা যাচ্ছে। এর সম্ভাব্য কারণ কী এবং এর সমাধান কী?
ইঙ্গিত: DHCP দ্বারা অ্যাসাইন করা সার্ভার ব্যবহার না করে একটি ডিভাইস কীভাবে DNS রিজলভ করতে পারে তা বিবেচনা করুন।
মডেল উত্তর দেখুন
সবচেয়ে সম্ভাব্য কারণ হলো ফায়ারওয়ালে আউটবাউন্ড পোর্ট 53 ব্লক করা নেই। ডিভাইসগুলো হার্ডকোড করা পাবলিক রিজলভার দিয়ে DHCP-অ্যাসাইন করা DNS সার্ভারগুলোকে ওভাররাইড করছে। ড্যাশবোর্ডে কম কুয়েরি ভলিউম নিশ্চিত করে যে কুয়েরিগুলো ফিল্টারিং ইঞ্জিনে পৌঁছাচ্ছে না। এর সমাধান হলো একটি ফায়ারওয়াল রুল সেট করা যা গেস্ট VLAN থেকে অনুমোদিত ফিল্টারিং ইঞ্জিন IP ছাড়া অন্য যেকোনো IP-তে পোর্ট 53-এর সমস্ত আউটবাউন্ড UDP এবং TCP ট্রাফিক ড্রপ করবে। উপরন্তু, এনক্রিপ্ট করা DNS বাইপাস রোধ করতে পরিচিত DoH প্রোভাইডার IP রেঞ্জগুলো ব্লক করুন।
Q2. একটি কনফারেন্স সেন্টার প্রথমবার DNS filtering স্থাপন করছে। তারা তাদের captive portal-এ অংশগ্রহণকারীদের প্রমাণীকরণের জন্য Google Workspace ব্যবহার করে। পরীক্ষার সময়, অংশগ্রহণকারীরা লগইন প্রক্রিয়া সম্পন্ন করতে পারছেন না - Google সাইন-ইন পেজ লোড হতে ব্যর্থ হচ্ছে। কোন কনফিগারেশন ধাপটি বাদ পড়েছিল এবং কীভাবে এটি সংশোধন করা উচিত?
ইঙ্গিত: ডিভাইসটির ফুল ইন্টারনেট অ্যাক্সেস পাওয়ার আগেই অথেনটিকেশন ঘটে থাকে। অথেনটিকেশন সম্পন্ন হওয়ার আগে কোন ডোমেনগুলোতে পৌঁছানো আবশ্যক?
মডেল উত্তর দেখুন
DNS filtering পলিসি প্রয়োগ করার আগে Walled Garden কনফিগার করা হয়নি। DNS ফিল্টারটি অংশগ্রহণকারীরা প্রমাণীকরণ করার আগেই Google Workspace প্রমাণীকরণ ডোমেনগুলি (accounts.google.com, oauth2.googleapis.com) ব্লক করছে। এর সমাধান হলো DNS filtering পলিসির প্রি-অথেনটিকেশন অ্যালওলিস্টে সমস্ত প্রয়োজনীয় Google Workspace OAuth এবং প্রমাণীকরণ ডোমেন যুক্ত করা। captive portal-এর নিজস্ব ডোমেন এবং যেকোনো CDN অ্যাসেটও অ্যালওলিস্টে রাখতে হবে। কেবল পোস্ট-অথেনটিকেশন সেশনের জন্য সীমাবদ্ধ কনটেন্ট পলিসি প্রয়োগ করুন।
Q3. একটি স্টেডিয়ামের IT টিম তাদের ৬০,০০০-ধারণক্ষমতার ভেন্যুর জন্য DNS filtering বনাম Deep Packet Inspection-এর মূল্যায়ন করছে। নেটওয়ার্ক টিম পিক ইভেন্টের সময় লেটেন্সি নিয়ে চিন্তিত। কোন পদ্ধতিটি বেশি উপযুক্ত এবং কেন?
ইঙ্গিত: ৬০,০০০ সমসাময়িক ব্যবহারকারীর স্কেলে প্রতিটি পদ্ধতির প্রসেসিং ওভারহেডের কথা বিবেচনা করুন।
মডেল উত্তর দেখুন
DNS filtering হলো উপযুক্ত পছন্দ। এটি রেজোলিউশন লেয়ারে কাজ করে, কোনো সংযোগ স্থাপন করার আগেই একটি মাত্র লাইটওয়েট UDP প্যাকেট মূল্যায়ন করে, যার ফলে সমসাময়িক ব্যবহারকারীর সংখ্যা নির্বিশেষে ২ মিলিসেকেন্ডেরও কম লেটেন্সি যোগ হয়। DPI-এর জন্য প্রতিটি প্যাকেটের সম্পূর্ণ পে-লোড পরীক্ষা করা প্রয়োজন, যা ৬০,০০০ সমসাময়িক ব্যবহারকারীর ক্ষেত্রে উল্লেখযোগ্য লেটেন্সি তৈরি করবে এবং প্রতিটি ইন্সপেকশন পয়েন্টে অত্যন্ত ব্যয়বহুল হার্ডওয়্যারের প্রয়োজন হবে। DNS filtering প্রোটোকল-অজ্ঞাতও বটে, যা যেকোনো পোর্টের সংযোগ ব্লক করতে পারে, যেখানে DPI সাধারণত HTTP এবং HTTPS ট্রাফিকের মধ্যে সীমাবদ্ধ থাকে।
Q4. একটি হোটেল গ্রুপের IT ডিরেক্টর নিশ্চিত করতে চান যে তাদের DNS filtering স্থাপনা PCI DSS প্রয়োজনীয়তা পূরণ করে। তাদের পেমেন্ট টার্মিনালগুলি VLAN 10-এ এবং গেস্ট WiFi VLAN 20-এ রয়েছে। DNS ফিল্টারটি কেবল VLAN 20-এ প্রয়োগ করা হয়েছে। তাদের PCI DSS অ্যাসেসরের জন্য আর কী অতিরিক্ত প্রমাণ নথিভুক্ত করা উচিত?
ইঙ্গিত: PCI DSS Requirement 1.3 বিশ্বস্ত এবং অবিশ্বস্ত নেটওয়ার্কগুলির মধ্যে নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল কভার করে।
মডেল উত্তর দেখুন
IT ডিরেক্টরের নথিভুক্ত করা উচিত: ১. ফায়ারওয়াল নিয়মাবলী যা নিশ্চিত করে যে VLAN 10 (কার্ডহোল্ডার ডেটা এনভায়রনমেন্ট) VLAN 20 (গেস্ট নেটওয়ার্ক) থেকে অ্যাক্সেস করা যাবে না, যা PCI DSS Requirement 1.3 পূরণ করে। ২. DHCP কনফিগারেশন যা দেখায় যে VLAN 10 ডিভাইসগুলি অভ্যন্তরীণ DNS রিজলভার ব্যবহার করে, ক্লাউড ফিল্টারিং ইঞ্জিন নয়। ৩. ফায়ারওয়াল নিয়মাবলী যা VLAN 20 থেকে অননুমোদিত IP-তে আউটবাউন্ড পোর্ট ৫৩ ব্লক করে, যা প্রয়োগকৃত DNS filtering প্রদর্শন করে। ৪. DNS ফিল্টার পলিসি ডকুমেন্টেশন যা VLAN 20-এ সক্রিয় ম্যালওয়্যার এবং বটনেট ব্লকিং ক্যাটাগরিগুলি দেখায়। ৫. DNS ফিল্টার লগ যা ব্লক করা কোয়েরি ইভেন্টগুলি দেখায়, যা প্রমাণ করে যে নিয়ন্ত্রণটি সক্রিয় এবং পর্যবেক্ষণ করা হচ্ছে।
এই সিরিজে পড়া চালিয়ে যান
কীভাবে নিরাপদে Staff এবং Guest WiFi নেটওয়ার্ক পৃথক করবেন
এই তথ্যবহুল টেকনিক্যাল গাইডটি IT লিডারদের VLAN এবং 802.1X ব্যবহার করে নিরাপদে staff, guest এবং IoT WiFi নেটওয়ার্ক পৃথক করার জন্য কার্যকর কৌশল প্রদান করে। এটি কীভাবে এন্টারপ্রাইজ ইনফ্রাস্ট্রাকচার সুরক্ষিত করতে হয়, PCI-DSS কমপ্লায়েন্স বজায় রাখতে হয় এবং ফার্স্ট-পার্টি ডেটা সংগ্রহ করার জন্য captive portal ব্যবহার করতে হয় তার বিস্তারিত বিবরণ দেয়।
Cisco SUDI বোঝা: Secure Network Access Control-এ হার্ডওয়্যার-অ্যাঙ্কর্ড আইডেন্টিটি
এই নির্দেশিকাটি ব্যাখ্যা করে যে কিভাবে Cisco SUDI এন্টারপ্রাইজ নেটওয়ার্ক পরিকাঠামোর জন্য হার্ডওয়্যার-অ্যাঙ্কর্ড, ক্রিপ্টোগ্রাফিকভাবে সুরক্ষিত আইডেন্টিটি প্রদান করে। আপনার ভেন্যুর নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল সুরক্ষিত করতে সহজে স্পুফ করা যায় এমন MAC অ্যাড্রেসের পরিবর্তে অপরিবর্তনীয় 802.1AR সার্টিফিকেট কিভাবে ব্যবহার করবেন তা জানুন।
কীভাবে স্বয়ংক্রিয় এন্টারপ্রাইজ WiFi সার্টিফিকেট এনরোলমেন্টের জন্য SCEP কনফিগার করবেন
এই নির্দেশিকাটি স্বয়ংক্রিয় এন্টারপ্রাইজ WiFi সার্টিফিকেট এনরোলমেন্টের জন্য SCEP (সিম্পল সার্টিফিকেট এনরোলমেন্ট প্রোটোকল) কীভাবে কনফিগার করতে হয় তা ব্যাখ্যা করে, যা PKI এবং NDES থেকে শুরু করে MDM প্রোফাইল ডিপ্লয়মেন্ট এবং RADIUS ভ্যালিডেশন পর্যন্ত সম্পূর্ণ আর্কিটেকচার কভার করে। এটি মূলত হোটেল, রিটেইল চেইন, স্টেডিয়াম, কনফারেন্স সেন্টার এবং পাবলিক-সেক্টর অর্গানাইজেশনের IT ম্যানেজার, নেটওয়ার্ক আর্কিটেক্ট এবং CTO-দের উদ্দেশ্যে তৈরি করা হয়েছে যাদের প্রি-শেয়ার্ড কী-এর বাইরে গিয়ে স্কেলযোগ্য, আইডেন্টিটি-ভিত্তিক 802.1X EAP-TLS অথেন্টিকেশন বাস্তবায়ন করা প্রয়োজন। Purple-এর হার্ডওয়্যার-অ্যাগনস্টিক, ক্লাউড ওভারলে প্ল্যাটফর্ম সরাসরি এই আর্কিটেকচারের সাথে সংহত হয়, যা আপনার সার্টিফিকেট-অথেন্টিকেটেড স্টাফ নেটওয়ার্কের পাশাপাশি গেস্ট এবং BYOD WiFi লেয়ার প্রদান করে।