মূল কন্টেন্টে যান

কীভাবে 802.1X WiFi অথেন্টিকেশন কনফিগার করবেন: একটি ধাপে ধাপে নির্দেশিকা

এই টেকনিক্যাল নির্দেশিকাটি 802.1X এন্টারপ্রাইজ WiFi অথেন্টিকেশন কনফিগার করার জন্য একটি ধাপে ধাপে গাইড প্রদান করে। এটি RADIUS সার্ভার সেটআপ, সার্টিফিকেট ডিপ্লয়মেন্ট এবং উচ্চ-জনসমাগমপূর্ণ ভেন্যু জুড়ে IT লিডারদের জন্য ব্যবহারিক ডিপ্লয়মেন্ট কৌশলগুলি কভার করে।

📖 5 মিনিট পাঠ📝 1,126 শব্দ🔧 2 সমাধানকৃত উদাহরণ3 অনুশীলনী প্রশ্ন📚 8 মূল সংজ্ঞা

এই গাইডটি শুনুন

পডকাস্ট ট্রান্সক্রিপ্ট দেখুন
কীভাবে 802.1X WiFi অথেন্টিকেশন কনফিগার করবেন: একটি ধাপে ধাপে নির্দেশিকা একটি Purple এন্টারপ্রাইজ WiFi ইন্টেলিজেন্স পডকাস্ট [ভূমিকা — প্রায় ১ মিনিট] আবারও স্বাগতম। আমি আজ একজন সিনিয়র সলিউশন আর্কিটেক্ট হিসেবে কথা বলছি, এবং আপনি যদি এটি শুনে থাকেন, তবে আপনি সম্ভবত একটি নেটওয়ার্ক সিকিউরিটি প্রজেক্টের মুখোমুখি হচ্ছেন যাতে 802.1X অথেন্টিকেশন জড়িত — হয় আপনার কমপ্লায়েন্স টিম এটি চিহ্নিত করেছে, আপনার বীমাকারী এই বিষয়ে জিজ্ঞাসা করেছে, অথবা আপনি এমন একটি নেটওয়ার্ক পেয়েছেন যা একটি শেয়ার্ড PSK-তে চলছে এবং আপনি জানেন যে এটি আর যথেষ্ট নয়। তাই চলুন সরাসরি মূল বিষয়ে চলে যাই। 802.1X হলো পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস কন্ট্রোলের জন্য IEEE স্ট্যান্ডার্ড। এটি এন্টারপ্রাইজ WiFi নিরাপত্তার মেরুদণ্ড — এমন একটি মেকানিজম যা নিশ্চিত করে যে আপনার নেটওয়ার্কের সাথে সংযুক্ত প্রতিটি ডিভাইস এক বাইট ট্রাফিক পাওয়ার আগেই ইতিবাচকভাবে চিহ্নিত এবং অনুমোদিত হয়েছে। PCI-DSS-এর অধীনে পেমেন্ট কার্ডের ডেটা পরিচালনা করা সংস্থাগুলির জন্য এটি ঐচ্ছিক নয়, GDPR এবং NHS ডেটা সিকিউরিটি স্ট্যান্ডার্ডের অধীনে স্বাস্থ্যসেবা পরিবেশের জন্য এটি ঐচ্ছিক নয়, এবং সত্যি বলতে, গুটি কয়েক অ্যাক্সেস পয়েন্টের বেশি চালানো যেকোনো সংস্থার জন্য এটিই সঠিক আর্কিটেকচার। পরবর্তী দশ মিনিটে, আমি আপনাকে টেকনিক্যাল আর্কিটেকচার, RADIUS কনফিগারেশন, সার্টিফিকেট ডিপ্লয়মেন্ট এবং বাস্তব-জগতের পরিস্থিতিগুলির মধ্য দিয়ে নিয়ে যাব যেখানে এটি জটিল হয়ে ওঠে। চলুন শুরু করা যাক। [টেকনিক্যাল ডিপ-ডাইভ — প্রায় ৫ মিনিট] ঠিক আছে, তাহলে 802.1X ফ্রেমওয়ার্কের তিনটি উপাদান রয়েছে। আপনার কাছে আছে Supplicant — এটি হলো ক্লায়েন্ট ডিভাইস, ল্যাপটপ, ফোন, IoT সেন্সর। আপনার কাছে আছে Authenticator — এটি আপনার অ্যাক্সেস পয়েন্ট বা আপনার নেটওয়ার্ক সুইচ, যাকে কখনও কখনও NAS বা নেটওয়ার্ক অ্যাক্সেস সার্ভার বলা হয়। এবং আপনার কাছে আছে অথেন্টিকেশন সার্ভার — যা এন্টারপ্রাইজ ডিপ্লয়মেন্টে প্রায় সর্বজনীনভাবে একটি RADIUS সার্ভার। হ্যান্ডশেক কীভাবে কাজ করে তা এখানে দেওয়া হলো। যখন একটি ডিভাইস একটি 802.1X-সুরক্ষিত SSID-এর সাথে সংযোগ করার চেষ্টা করে, তখন অ্যাক্সেস পয়েন্টটি কেবল এটিকে প্রবেশ করতে দেয় না। পরিবর্তে, এটি একটি নিয়ন্ত্রিত পোর্ট (controlled port) খোলে — একটি সীমিত চ্যানেল যা কেবল EAP ট্রাফিক, অর্থাৎ এক্সটেনসিবল অথেন্টিকেশন প্রোটোকল পাস করে। AP ডিভাইসটিতে একটি EAP-Request Identity পাঠায়। ডিভাইসটি তার আইডেন্টিটি দিয়ে সাড়া দেয়। AP তখন একটি RADIUS Access-Request প্যাকেটে মুড়িয়ে সেটি RADIUS সার্ভারে ফরোয়ার্ড করে। RADIUS সার্ভার অথেন্টিকেশন চালায় — Active Directory, একটি সার্টিফিকেট স্টোর বা আপনার কনফিগার করা যেকোনো আইডেন্টিটি ব্যাকএন্ডের বিপরীতে ক্রেডেনশিয়াল পরীক্ষা করে — এবং একটি Access-Accept বা Access-Reject ফেরত পাঠায়। শুধুমাত্র একটি Accept পেলেই AP সম্পূর্ণ ডেটা পোর্টটি খোলে এবং ডিভাইসটিকে উপযুক্ত VLAN-এ অ্যাসাইন করে। এখন, আপনি এখানে যে EAP পদ্ধতিটি বেছে নেবেন তা অত্যন্ত গুরুত্বপূর্ণ। এন্টারপ্রাইজ ডিপ্লয়মেন্টে আপনি পাঁচটি পদ্ধতির মুখোমুখি হবেন। EAP-TLS হলো গোল্ড স্ট্যান্ডার্ড। ক্লায়েন্ট এবং সার্ভার উভয়ই X.509 সার্টিফিকেট উপস্থাপন করে। এখানে কোনো পাসওয়ার্ড জড়িত থাকে না। এটি সবচেয়ে নিরাপদ বিকল্প এবং সর্বোচ্চ PCI-DSS কমপ্লায়েন্স স্তরের জন্য প্রয়োজনীয়। সমস্যা হলো ক্লায়েন্ট সার্টিফিকেট ইস্যু এবং পরিচালনা করার জন্য আপনার একটি সম্পূর্ণ PKI — একটি পাবলিক কি ইনফ্রাস্ট্রাকচার — প্রয়োজন। এর অর্থ হলো একটি সার্টিফিকেট অথরিটি, সার্টিফিকেট লাইফসাইকেল ম্যানেজমেন্ট এবং প্রতিটি ডিভাইসে সার্টিফিকেট পুশ করার একটি মেকানিজম। Microsoft Active Directory এবং Active Directory Certificate Services থাকা সংস্থাগুলির জন্য এটি খুব সহজেই অর্জনযোগ্য। এই ইনফ্রাস্ট্রাকচার ছাড়া সংস্থাগুলির জন্য এটি একটি উল্লেখযোগ্য বিনিয়োগ। PEAP-MSCHAPv2 বাস্তবে সবচেয়ে ব্যাপকভাবে ব্যবহৃত পদ্ধতি। এটি শুধুমাত্র একটি সার্ভার-সাইড সার্টিফিকেট ব্যবহার করে একটি TLS টানেল তৈরি করে, তারপর সেই টানেলের ভিতরে ইউজারনেম এবং পাসওয়ার্ড ক্রেডেনশিয়াল পাস করে। এটি কোনো অতিরিক্ত ঝামেলা ছাড়াই প্রায় প্রতিটি ডিভাইসের সাথে সামঞ্জস্যপূর্ণ, Windows Server-এ NPS-এর মাধ্যমে সরাসরি Active Directory-এর সাথে একীভূত হয় এবং ক্লায়েন্ট সার্টিফিকেটের প্রয়োজন হয় না। এর অসুবিধা হলো ব্যবহারকারীদের যদি কোনো রোগ (rogue) AP-এর সাথে সংযোগ করতে প্রলুব্ধ করা হয়, তবে এটি ক্রেডেনশিয়াল চুরির আক্রমণের শিকার হতে পারে — কারণ ক্লায়েন্ট ডিফল্টরূপে সার্ভার সার্টিফিকেট যাচাই করে না। আপনাকে অবশ্যই আপনার Supplicant প্রোফাইলগুলিতে সার্ভার সার্টিফিকেট যাচাইকরণ প্রয়োগ করতে হবে। EAP-TTLS দেখতে PEAP-এর মতো কিন্তু অভ্যন্তরীণ অথেন্টিকেশন পদ্ধতিতে আরও নমনীয়। এটি Linux পরিবেশে এবং যেখানে আপনাকে লেগাসি অথেন্টিকেশন ব্যাকএন্ড সমর্থন করতে হবে সেখানে সাধারণ। EAP-FAST-টি Cisco দ্বারা LEAP-এর দুর্বলতার প্রতিক্রিয়া হিসেবে তৈরি করা হয়েছিল। এটি সার্টিফিকেটের পরিবর্তে প্রোটেক্টেড অ্যাক্সেস ক্রেডেনশিয়াল ব্যবহার করে। আপনি যদি একটি Cisco-ভারী পরিবেশে থাকেন বা লেগাসি ডিভাইসগুলি নিয়ে কাজ করেন যা অন্যগুলি সমর্থন করতে পারে না, তবে এটি প্রাথমিকভাবে প্রাসঙ্গিক। EAP-SIM এবং EAP-AKA ক্যারিয়ার-গ্রেড ডিপ্লয়মেন্টে ব্যবহৃত হয় — যেমন OpenRoaming বা Passpoint — যেখানে অথেন্টিকেশন একটি SIM কার্ড বা USIM-এর সাথে যুক্ত থাকে। পাবলিক ভেন্যু WiFi-এর জন্য এগুলি ক্রমবর্ধমানভাবে প্রাসঙ্গিক যেখানে আপনি ক্যাপティブ পোর্টাল ছাড়াই নিরবচ্ছিন্ন, নিরাপদ অনবোর্ডিং চান। এখন RADIUS কনফিগারেশন সম্পর্কে কথা বলা যাক। আপনি Microsoft NPS, FreeRADIUS, Cisco ISE বা Aruba ClearPass ডিপ্লয় করছেন কিনা তা নির্বিশেষে, মূল কনফিগারেশন ধাপগুলি একই। প্রথমত, আপনি আপনার RADIUS ক্লায়েন্টদের সংজ্ঞায়িত করবেন — এগুলি হলো আপনার অ্যাক্সেস পয়েন্ট বা ওয়্যারলেস ল্যান কন্ট্রোলার। প্রতিটি ক্লায়েন্ট তার IP অ্যাড্রেস এবং একটি শেয়ার্ড সিক্রেট দিয়ে রেজিস্টার করা হয়। সেই শেয়ার্ড সিক্রেটটি AP এবং সার্ভারের মধ্যে RADIUS মেসেজগুলি অথেন্টিকেট করতে ব্যবহৃত হয়। কমপক্ষে ২২টি ক্যারেক্টার ব্যবহার করুন, যা র্যান্ডমলি জেনারেট করা এবং প্রতিটি NAS ডিভাইসের জন্য অনন্য। দ্বিতীয়ত, আপনি আপনার নেটওয়ার্ক পলিসি কনফিগার করবেন। এখানেই আপনি সংজ্ঞায়িত করবেন কে কিসে অ্যাক্সেস পাবে। NPS-এর ক্ষেত্রে, আপনি একটি নেটওয়ার্ক পলিসি তৈরি করছেন যা শর্তাবলীর সাথে মেলে — Active Directory-তে গ্রুপ মেম্বারশিপ, ডিভাইসের ধরন, দিনের সময় — এবং অ্যাট্রিবিউট অ্যাসাইন করে — VLAN ID, সেশন টাইমআউট, ব্যান্ডউইথ লিমিট। আপনি যে RADIUS অ্যাট্রিবিউটটি সবচেয়ে বেশি ব্যবহার করবেন তা হলো VLAN অ্যাসাইনমেন্ট, বিশেষ করে Tunnel-Type সেট করা VLAN, Tunnel-Medium-Type সেট করা 802, এবং Tunnel-Private-Group-ID সেট করা আপনার VLAN নম্বর। তৃতীয়ত, আপনি আপনার কানেকশন রিকোয়েস্ট পলিসি কনফিগার করবেন। এটি NPS-কে বলে যে কীভাবে ইনকামিং RADIUS অনুরোধগুলি পরিচালনা করতে হবে — স্থানীয়ভাবে অথেন্টিকেট করতে হবে নাকি অন্য কোনো RADIUS সার্ভারে ফরোয়ার্ড করতে হবে। একটি ডিস্ট্রিবিউটেড ডিপ্লয়মেন্টে, আপনার প্রতিটি সাইটে NPS প্রক্সি সহ একটি সেন্ট্রাল RADIUS সার্ভার থাকতে পারে। সার্টিফিকেটের ক্ষেত্রে, PEAP এবং EAP-TLS-এর জন্য, আপনার RADIUS সার্ভারের একটি সার্ভার সার্টিফিকেট প্রয়োজন যা আপনার ক্লায়েন্টদের দ্বারা বিশ্বস্ত。 সবচেয়ে সহজ উপায় হলো একটি পাবলিক CA — DigiCert, Sectigo, Let's Encrypt — থেকে একটি সার্টিফিকেট ব্যবহার করা কারণ সেই রুট সার্টিফিকেটগুলি ইতিমধ্যেই সমস্ত প্রধান অপারেটিং সিস্টেম দ্বারা বিশ্বস্ত। আপনি যদি একটি ইন্টারনাল CA ব্যবহার করেন, তবে আপনাকে গ্রুপ পলিসি বা আপনার MDM প্ল্যাটফর্মের মাধ্যমে সমস্ত ক্লায়েন্ট ডিভাইসে রুট সার্টিফিকেট পুশ করতে হবে। বিশেষ করে EAP-TLS-এর জন্য, আপনার ক্লায়েন্ট সার্টিফিকেটেরও প্রয়োজন। একটি Active Directory পরিবেশে, আপনি ডোমেন-যুক্ত ডিভাইসগুলিতে সার্টিফিকেট পুশ করতে গ্রুপ পলিসির মাধ্যমে অটো-এনরোলমেন্ট সহ ADCS ব্যবহার করবেন। BYOD ডিভাইসের জন্য, আপনি সার্টিফিকেট এবং WiFi প্রোফাইল উভয়ই পুশ করতে আপনার MDM — Intune, Jamf, VMware Workspace ONE — ব্যবহার করবেন। অ্যাক্সেস পয়েন্টের ক্ষেত্রে, কনফিগারেশনটি সহজ। আপনি একটি নতুন SSID তৈরি করুন, সিকিউরিটি WPA2-Enterprise বা WPA3-Enterprise-এ সেট করুন, UDP পোর্ট ১৮১২-এ আপনার NPS IP-তে RADIUS অথেন্টিকেশন সার্ভার নির্দেশ করুন, UDP পোর্ট ১৮১৩-এ RADIUS অ্যাকাউন্টিং সার্ভার সেট করুন, শেয়ার্ড সিক্রেটটি লিখুন এবং আপনি যদি এটি ব্যবহার করেন তবে ডাইনামিক VLAN অ্যাসাইনমেন্ট সক্ষম করুন। বেশিরভাগ এন্টারপ্রাইজ AP প্ল্যাটফর্ম — Cisco Meraki, Aruba, Ruckus, Extreme — এর জন্য একটি GUI রয়েছে যা আপনার RADIUS সার্ভার প্রস্তুত হয়ে গেলে প্রায় দশ মিনিট সময় নেয়। [বাস্তবায়ন সুপারিশ এবং ভুলত্রুটি — প্রায় ২ মিনিট] ঠিক আছে, চলুন কথা বলা যাক কোথায় ডিপ্লয়মেন্টগুলি ভুল হয়, কারণ এখানেই আমি আমার কনসালটেন্সি ফি উপার্জন করি। সবচেয়ে সাধারণ ব্যর্থতার পয়েন্ট হলো সার্টিফিকেট যাচাইকরণ। আমি দেখেছি সংস্থাগুলি সার্ভার সাইডে সঠিকভাবে PEAP-MSCHAPv2 ডিপ্লয় করে, তারপর ক্লায়েন্ট Supplicant প্রোফাইলগুলিকে যেকোনো সার্টিফিকেট গ্রহণ করার জন্য কনফিগার করে রেখে দেয়। এটি সিকিউরিটি মডেলটিকে সম্পূর্ণভাবে দুর্বল করে দেয়। প্রতিটি Supplicant প্রোফাইল — গ্রুপ পলিসি বা MDM-এর মাধ্যমে পুশ করা হোক না কেন — অবশ্যই বিশ্বস্ত রুট CA এবং প্রত্যাশিত সার্ভারের নাম উল্লেখ করতে হবে। এটি ছাড়া, আপনি ইভিল টুইন (evil twin) আক্রমণের ঝুঁকিতে থাকবেন। দ্বিতীয় সাধারণ সমস্যাটি হলো RADIUS শেয়ার্ড সিক্রেট ম্যানেজমেন্ট। আমি প্রোডাকশন নেটওয়ার্কগুলিকে শেয়ার্ড সিক্রেট "radius" বা ভেন্ডর ডিফল্ট সেট করে চলতে দেখেছি। এই সিক্রেটগুলি আপনার অথেন্টিকেশন ইনফ্রাস্ট্রাকচারের চাবিকাঠি। এগুলি র্যান্ডমলি জেনারেট করুন, একটি সিক্রেট ম্যানেজারে সংরক্ষণ করুন এবং একটি সময়সূচী অনুযায়ী পরিবর্তন করুন। তৃতীয়ত: VLAN মিসকনফিগারেশন। ডাইনামিক VLAN অ্যাসাইনমেন্ট শক্তিশালী — এটি আপনাকে একই SSID থেকে স্টাফ ডিভাইসগুলিকে কর্পোরেট VLAN-এ, ঠিকাদারদের একটি সীমাবদ্ধ VLAN-এ এবং IoT ডিভাইসগুলিকে একটি আইসোলেটেড VLAN-এ রাখার অনুমতি দেয়। কিন্তু RADIUS অ্যাট্রিবিউটগুলি যদি সঠিকভাবে কনফিগার করা না থাকে, অথবা সুইচ ট্রাঙ্ক পোর্টগুলি যদি সঠিক VLAN বহন না করে, তবে ডিভাইসগুলি সংযোগ করতে ব্যর্থ হবে অথবা ভুল সেগমেন্টে চলে যাবে। প্রোডাকশনে যাওয়ার আগে একটি ল্যাবে এটি পুঙ্খানুপুঙ্খভাবে পরীক্ষা করুন। চতুর্থত: রেডান্ডেন্সি। আপনার RADIUS সার্ভার এখন ইনফ্রাস্ট্রাকচারের একটি অত্যন্ত গুরুত্বপূর্ণ অংশ। এটি ডাউন হয়ে গেলে, কেউ সংযোগ করতে পারবে না। প্রতিটি AP-তে আপনার কমপক্ষে একটি প্রাইমারি এবং সেকেন্ডারি RADIUS সার্ভার কনফিগার করা প্রয়োজন। বড় ডিপ্লয়মেন্টে, হেলথ মনিটরিং সহ RADIUS প্রক্সি ক্লাস্টারের কথা বিবেচনা করুন। পঞ্চমত, এবং এটি হসপিটালিটি এবং রিটেইল পরিবেশের জন্য নির্দিষ্ট: গেস্ট বনাম কর্পোরেট সেপারেশন। আপনার 802.1X কর্পোরেট SSID এবং আপনার গেস্ট WiFi SSID সম্পূর্ণ আলাদা হওয়া উচিত — আলাদা VLAN, আলাদা ফায়ারওয়াল পলিসি, আলাদা DNS। Purple-এর মতো একটি প্ল্যাটফর্ম তার নিজস্ব ক্যাপティブ পোর্টাল এবং অ্যানালিটিক্স লেয়ার দিয়ে গেস্ট সাইড পরিচালনা করে, যখন আপনার 802.1X ইনফ্রাস্ট্রাকচার কর্পোরেট সাইড পরিচালনা করে। এগুলি পরিপূরক, প্রতিযোগী সিস্টেম নয়। [র‌্যাপিড-ফায়ার প্রশ্নোত্তর — প্রায় ১ মিনিট] আমাকে সবচেয়ে বেশি জিজ্ঞাসা করা প্রশ্নগুলির মধ্য দিয়ে যেতে দিন। আমি কি একটি ক্লাউড-ম্যানেজড AP প্ল্যাটফর্মে 802.1X চালাতে পারি? হ্যাঁ — Meraki, Aruba Central এবং Ruckus Cloud সবই এটি সমর্থন করে। আপনি ক্লাউড ড্যাশবোর্ডে RADIUS সার্ভারের বিবরণ কনফিগার করবেন এবং AP-গুলি EAP প্রক্সিং পরিচালনা করবে। আমার কি Active Directory প্রয়োজন? না। FreeRADIUS LDAP, SQL ডেটাবেস, ফ্ল্যাট ফাইল বা এমনকি REST API-এর বিপরীতে অথেন্টিকেট করতে পারে। তবে NPS-এর মাধ্যমে AD ইন্টিগ্রেশন এন্টারপ্রাইজের জন্য এখন পর্যন্ত সবচেয়ে সাধারণ পথ। যে IoT ডিভাইসগুলি 802.1X সমর্থন করে না সেগুলির কী হবে? ফলব্যাক হিসেবে MAC Authentication Bypass — MAB — ব্যবহার করুন। ডিভাইসের MAC অ্যাড্রেসটি ইউজারনেম এবং পাসওয়ার্ড হিসেবে RADIUS-এ পাঠানো হয়। এটি EAP-এর মতো নিরাপদ নয়, তবে এটি আপনাকে IoT ডিভাইসগুলিকে একটি সীমাবদ্ধ VLAN-এ রেখে অনবোর্ড করার অনুমতি দেয়। 802.1X কি WPA3-এর সাথে কাজ করে? হ্যাঁ। WPA3-Enterprise মূলত 802.1X অথেন্টিকেশন সহ WPA3। এটি আরও শক্তিশালী এনক্রিপশন যোগ করে — উচ্চ-নিরাপত্তা মোডে ১৯২-বিট — এবং নতুন ডিপ্লয়মেন্টের জন্য প্রস্তাবিত স্ট্যান্ডার্ড। [সারসংক্ষেপ এবং পরবর্তী পদক্ষেপ — প্রায় ১ মিনিট] তাই সবশেষে বলা যায়: 802.1X কেবল একটি অতিরিক্ত সুবিধা নয়। সংবেদনশীল ডেটা পরিচালনা করা, পেমেন্ট প্রসেস করা বা নিয়ন্ত্রিত পরিবেশে কাজ করা যেকোনো সংস্থার জন্য এটি এন্টারপ্রাইজ WiFi নিরাপত্তার বেসলাইন। আর্কিটেকচারটি সুপ্রতিষ্ঠিত, টুলিং পরিপক্ক এবং ডিপ্লয়মেন্টের পথ স্পষ্ট। আপনার EAP পদ্ধতি নির্বাচন দিয়ে শুরু করুন — আপনার যদি দ্রুত ফলাফল এবং ব্যাপক সামঞ্জস্যের প্রয়োজন হয় তবে PEAP-MSCHAPv2, আর আপনার যদি PKI ইনফ্রাস্ট্রাকচার থাকে এবং সবচেয়ে শক্তিশালী সিকিউরিটি পোস্টার প্রয়োজন হয় তবে EAP-TLS। একটি একক AP স্পর্শ করার আগেই আপনার RADIUS সার্ভার কনফিগার এবং রেডান্ডেন্ট করুন। লাইভে যাওয়ার আগে গ্রুপ পলিসি বা MDM-এর মাধ্যমে আপনার Supplicant প্রোফাইলগুলি পুশ করুন। এবং আপনার গেস্ট WiFi সম্পূর্ণ আলাদা রাখুন — সেই লেয়ারের জন্য একটি বিশেষভাবে তৈরি প্ল্যাটফর্ম ব্যবহার করুন। আপনি যদি একটি মাল্টি-ভেন্যু পরিবেশ পরিচালনা করেন — হোটেল, রিটেইল চেইনে, স্টেডিয়াম — তবে সাইটের সংখ্যার সাথে সাথে জটিলতা বৃদ্ধি পায়, কিন্তু আর্কিটেকচার পরিবর্তন হয় না। মূল চাবিকাঠি হলো সাইট-লোকাল রেডান্ডেন্সি সহ সেন্ট্রালাইজড RADIUS এবং আপনার ডিভাইস ফ্লিট জুড়ে একটি সামঞ্জস্যপূর্ণ MDM-পুশড Supplicant প্রোফাইল। শোনার জন্য ধন্যবাদ। সম্পূর্ণ লিখিত নির্দেশিকা, আর্কিটেকচার ডায়াগ্রাম এবং কনফিগারেশন চেকলিস্ট purple.ai-তে উপলব্ধ। আপনি যদি একটি 802.1X ডিপ্লয়মেন্টের পরিকল্পনা করে থাকেন এবং আপনার পরিবেশের সুনির্দিষ্ট বিষয়গুলি নিয়ে কথা বলতে চান, তবে সরাসরি Purple টিমের সাথে যোগাযোগ করুন।

header_image.png

সারসংক্ষেপ

এন্টারপ্রাইজ নেটওয়ার্কের জন্য, কোম্পানির অবকাঠামো সুরক্ষিত রাখতে একটি শেয়ার্ড PSK (প্রি-শেয়ার্ড কি) আর যথেষ্ট নয়। যেহেতু সংস্থাগুলি আরও কঠোর কমপ্লায়েন্স প্রয়োজনীয়তা (PCI-DSS, GDPR) এবং ক্রমাগত প্রসারিত অ্যাটাক সারফেসের মুখোমুখি হচ্ছে, তাই 802.1X অথেন্টিকেশনে রূপান্তর করা একটি অত্যন্ত গুরুত্বপূর্ণ সুরক্ষার প্রয়োজনীয়তা হয়ে দাঁড়িয়েছে।

এই নির্দেশিকাটি এন্টারপ্রাইজ অ্যাক্সেস পয়েন্টগুলিতে 802.1X কনফিগার করার জন্য একটি ব্যবহারিক, ভেন্ডর-নিরপেক্ষ ডিপ্লয়মেন্ট গাইড প্রদান করে। আমরা মূল আর্কিটেকচার—Supplicant, Authenticator এবং অথেন্টিকেশন সার্ভার—এর পাশাপাশি সার্টিফিকেট ম্যানেজমেন্ট, RADIUS কনফিগারেশন এবং সাধারণ ডিপ্লয়মেন্টের ভুলত্রুটিগুলি কভার করেছি। রিটেইল, হসপিটালিটি বা পাবলিক সেক্টর পরিবেশে কর্মরত IT ম্যানেজার এবং নেটওয়ার্ক আর্কিটেক্টদের জন্য, এই রেফারেন্সটি কোম্পানির ট্রাফিক এবং গেস্ট ট্রাফিক কঠোরভাবে আলাদা রেখে একটি শক্তিশালী আইডেন্টিটি-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল বাস্তবায়নের জন্য প্রয়োজনীয় কার্যকরী পদক্ষেপগুলি প্রদান করে।

আর্কিটেকচার এবং বাস্তবায়ন কৌশলগুলির একটি ১০ মিনিটের ওভারভিউ পেতে নিচের সহযোগী পডকাস্ট ব্রিফিংটি শুনুন।

টেকনিক্যাল ডিপ ডাইভ: 802.1X আর্কিটেকচার

IEEE 802.1X স্ট্যান্ডার্ড পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস কন্ট্রোলকে সংজ্ঞায়িত করে। একটি ওয়্যারলেস পরিবেশে, এটি ক্লায়েন্ট ডিভাইসগুলিকে একটি সেন্ট্রাল ডিরেক্টরিতে সফলভাবে অথেন্টিকেট করার আগে ডেটা ট্রাফিক পাঠানো বা গ্রহণ করা থেকে বিরত রাখে।

architecture_overview.png

তিনটি মূল উপাদান

  1. Supplicant (ক্লায়েন্ট ডিভাইস): ল্যাপটপ, স্মার্টফোন বা IoT ডিভাইসে অ্যাক্সেসের জন্য অনুরোধকারী সফ্টওয়্যার। এটি অবশ্যই নির্বাচিত EAP (এক্সটেনসিবল অথেন্টিকেশন প্রোটোকল) পদ্ধতি সমর্থন করবে।
  2. Authenticator (অ্যাক্সেস পয়েন্ট/ওয়্যারলেস ল্যান控制器): নেটওয়ার্ক ডিভাইস যা গেটকিপার হিসেবে কাজ করে। এটি একটি "নিয়ন্ত্রিত পোর্ট" খোলে যা অথেন্টিকেশন সফল হওয়ার আগে শুধুমাত্র EAP ট্রাফিকের অনুমতি দেয়।
  3. অথেন্টিকেশন সার্ভার (RADIUS): সেন্ট্রাল সার্ভার (যেমন, Microsoft NPS, FreeRADIUS, Cisco ISE) যা আইডেন্টিটি স্টোরের (যেমন Active Directory) বিপরীতে ক্রেডেনশিয়াল যাচাই করে এবং Access-Accept বা Access-Reject মেসেজ পাঠায়।

EAP পদ্ধতি: সঠিক সিকিউরিটি পোস্টার নির্বাচন করা

EAP পদ্ধতির পছন্দ আপনার সুরক্ষার স্তর এবং ডিপ্লয়মেন্টের জটিলতা নির্ধারণ করে।

eap_comparison_chart.png

  • EAP-TLS (ট্রান্সপোর্ট লেয়ার সিকিউরিটি): গোল্ড স্ট্যান্ডার্ড। সার্ভার এবং ক্লায়েন্ট উভয়েরই সার্টিফিকেট প্রয়োজন। কোনো পাসওয়ার্ড ট্রান্সমিট হয় না। উচ্চ-নিরাপত্তা পরিবেশের জন্য অত্যন্ত গুরুত্বপূর্ণ, তবে একটি সম্পূর্ণ পাবলিক কি ইনফ্রাস্ট্রাকচার (PKI) প্রয়োজন।
  • PEAP-MSCHAPv2 (প্রোটেক্টed EAP): সবচেয়ে সাধারণ এন্টারপ্রাইজ ডিপ্লয়মেন্ট। সার্ভার-সাইড সার্টিফিকেট ব্যবহার করে একটি সুরক্ষিত TLS টানেল তৈরি করে, যার মধ্যে ক্লায়েন্ট ইউজারনেম এবং পাসওয়ার্ড পাঠায়। ডিপ্লয়মেন্ট সহজ, তবে ক্লায়েন্ট ডিভাইস যদি সার্ভার সার্টিফিকেট কঠোরভাবে যাচাই করার জন্য কনফিগার করা না static থাকে, তবে এটি ক্রেডেনশিয়াল চুরির আক্রমণের শিকার হতে পারে।
  • EAP-SIM/AKA: অথেন্টিকেশনের জন্য SIM কার্ডের ক্রেডেনশিয়াল ব্যবহার করে। পরিবহন হাব এবং বড় পাবলিক ভেন্যুতে নিরবচ্ছিন্ন অনবোর্ডিং সক্ষম করার জন্য এটি ক্রমবর্ধমানভাবে প্রাসঙ্গিক হয়ে উঠছে।

বাস্তবায়ন নির্দেশিকা: ধাপে ধাপে কনফিগারেশন

802.1X ডিপ্লয় করার জন্য RADIUS সার্ভার, অ্যাক্সেস পয়েন্ট和ক্লায়েন্ট ডিভাইসের মধ্যে সমন্বিত কনফিগারেশন প্রয়োজন।

ধাপ ১: RADIUS সার্ভার প্রস্তুতি

আপনি Microsoft নেটওয়ার্ক পলিসি সার্ভার (NPS) বা অন্য কোনো বিকল্প ব্যবহার করছেন কিনা তা নির্বিশেষে, মূল নীতিগুলি একই থাকে।

  1. RADIUS ক্লায়েন্ট সংজ্ঞায়িত করুন: RADIUS সার্ভারে প্রতিটি অ্যাক্সেস পয়েন্ট (বা ওয়্যারলেস ল্যান কন্ট্রোলার) রেজিস্টার করুন। AP এবং RADIUS সার্ভারের মধ্যে যোগাযোগ সুরক্ষিত করতে একটি শক্তিশালী, র্যান্ডমলি জেনারেট করা শেয়ার্ড সিক্রেট (কমপক্ষে ২২টি ক্যারেক্টার) অ্যাসাইন করুন।
  2. সার্ভার সার্টিফিকেট ইনস্টল করুন: PEAP বা EAP-TLS-এর জন্য, RADIUS সার্ভারে একটি X.509 সার্টিফিকেট ইনস্টল করুন। একটি বিশ্বস্ত পাবলিক সার্টিফিকেট অথরিটি (CA) থেকে সার্টিফিকেট ব্যবহার করলে BYOD পরিবেশের ডিপ্লয়মেন্ট সহজ হয়, কারণ রুট সার্টিফিকেট ইতিমধ্যেই ক্লায়েন্ট অপারেটিং সিস্টেম দ্বারা বিশ্বস্ত।

步骤2:策略配置

আইডেন্টিটির উপর ভিত্তি করে অ্যাক্সেসের অধিকার নির্ধারণ করতে নেটওয়ার্ক পলিসি কনফিগার করুন।

  1. কানেকশন রিকোয়েস্ট পলিসি: RADIUS সার্ভার কীভাবে ইনকামিং রিকোয়েস্টগুলি পরিচালনা করবে তা সংজ্ঞায়িত করুন। সাধারণত, এর মধ্যে NAS-Port-Type (ওয়্যারলেস - IEEE 802.11) মেলানো এবং স্থানীয়ভাবে অনুরোধটি অথেন্টিকেট করা অন্তর্ভুক্ত থাকে।
  2. 网络策略: Active Directory গ্রুপগুলিকে নেটওয়ার্ক অ্যাক্সেস অধিকারের সাথে ম্যাপ করুন। উদাহরণস্বরূপ, "Domain Computers" গ্রুপটিকে কর্পোরেট VLAN-এর সাথে ম্যাপ করুন। সফল অথেন্টিকেশনের পর ডাইনামিকভাবে VLAN অ্যাসাইন করতে RADIUS অ্যাট্রিবিউট (Tunnel-Type=VLAN, Tunnel-Medium-Type=802, Tunnel-Private-Group-ID=[VLAN_ID]) ব্যবহার করুন।

ধাপ ৩: অ্যাক্সেস পয়েন্ট কনফিগারেশন

আপনার ওয়্যারলেস ইনফ্রাস্ট্রাকচারে SSID কনফিগার করুন (যেমন, Meraki, Aruba, Cisco)।

  1. একটি নতুন SSID তৈরি করুন এবং WPA2-Enterprise বা WPA3-Enterprise নির্বাচন করুন।
  2. আপনার প্রাইমারি RADIUS সার্ভার এবং সেকেন্ডারি RADIUS সার্ভারের IP অ্যাড্রেস লিখুন।
  3. ধাপ ১-এ সংজ্ঞায়িত শেয়ার্ড সিক্রেটটি লিখুন।
  4. আপনার RADIUS সার্ভার যদি VLAN অ্যাট্রিবিউট পুশ করে থাকে, তবে ডাইনামিক VLAN অ্যাসাইনমেন্ট সক্ষম করুন।

ধাপ ৪: ক্লায়েন্ট Supplicant কনফিগারেশন

এটি সবচেয়ে গুরুত্বপূর্ণ এবং প্রায়শই উপেক্ষিত ধাপ। ব্যবহারকারীরা ম্যানুয়ালি তাদের ডিভাইস কনফিগার করবে তার উপর নির্ভর করবেন错。

  • কর্পোরেট ডিভাইস: WiFi প্রোফাইল পুশ করতে গ্রুপ পলিসি অবজেক্ট (GPO) বা আপনার মোবাইল ডিভাইস ম্যানেজমেন্ট (MDM) প্ল্যাটফর্ম ব্যবহার করুন। ইভিল টুইন (Evil Twin) আক্রমণ প্রতিরোধ করতে প্রোফাইলে অবশ্যই বিশ্বস্ত রুট CA এবং RADIUS সার্ভারের সঠিক সার্ভার নাম উল্লেখ থাকতে হবে।
  • BYOD: কর্মীদের নিজস্ব ডিভাইসে সুরক্ষিত প্রোফাইল পুশ করতে একটি অনবোর্ডিং পোর্টাল বা MDM সলিউশন বাস্তবায়ন করুন。

সেরা অনুশীলন এবং ইন্ডাস্ট্রি স্ট্যান্ডার্ড

একটি শক্তিশালী ডিপ্লয়মেন্ট নিশ্চিত করতে, এই আর্কিটেকচারাল সেরা অনুশীলনগুলি অনুসরণ করুন:

  1. কঠোর সার্টিফিকেট যাচাইকরণ: ক্লায়েন্টদের কখনই অন্ধভাবে যেকোনো সার্ভার সার্টিফিকেট গ্রহণ করতে দেবেন না। এটি PEAP ক্রেডেনশিয়াল চুরির প্রধান মাধ্যম।
  2. গেস্ট ট্রাফিক আলাদা করা: আপনার 802.1X ইনফ্রাস্ট্রাকচার কর্পোরেট অ্যাক্সেসের জন্য। গেস্ট ট্রাফিক অবশ্যই সম্পূর্ণ আলাদা রাখতে হবে। নিজস্ব ক্যাপティブ পোর্টাল এবং অ্যানালিটিক্স লেয়ার সহ একটি ডেডিকেটেড Guest WiFi প্ল্যাটফর্ম ডিপ্লয় করুন। যেমনটি আমরা আমাদের আপনার নেটওয়ার্ক সুরক্ষিত করা: শক্তিশালী DNS এবং নিরাপত্তা নির্দেশিকায় আলোচনা করেছি, লজিক্যাল সেপারেশন হলো নেটওয়ার্ক প্রতিরক্ষার ভিত্তি।
  3. রেডান্ডেন্সি বাস্তবায়ন করুন: RADIUS একটি অত্যন্ত গুরুত্বপূর্ণ সার্ভিস। একটি প্রাইমারি RADIUS সার্ভার এবং একটি সেকেন্ডারি RADIUS সার্ভার ডিপ্লয় করুন। একটি ডিস্ট্রিবিউটেড পরিবেশে, যেমন একটি বড় রিটেইল চেইনে, WAN লিঙ্ক ডাউন থাকা অবস্থায়ও সচল থাকার জন্য লোকাল RADIUS প্রক্সি ব্যবহার করার কথা বিবেচনা করুন。

ট্রাবলশুটিং এবং ঝুঁকি প্রশমন

যখন ডিপ্লয়মেন্ট ব্যর্থ হয়, তখন এটি সাধারণত কয়েকটি সাধারণ কনফিগারেশন ভুলের কারণে হয়:

  • RADIUS টাইমআউট ত্রুটি: সাধারণত AP এবং RADIUS সার্ভারের মধ্যে শেয়ার্ড সিক্রেট অমিল হওয়ার কারণে অথবা ফায়ারওয়াল নিয়ম দ্বারা UDP পোর্ট ১৮১২ (অথেন্টিকেশন) এবং ১৮১৩ (অ্যাকাউন্টিং) ব্লক করার কারণে ঘটে。
  • ক্লায়েন্ট রিজেকশন: RADIUS ইভেন্ট লগগুলি পরীক্ষা করুন (যেমন, Windows ইভেন্ট ভিউয়ার -> কাস্টম ভিউ -> সার্ভার রোলস -> নেটওয়ার্ক পলিসি এবং অ্যাক্সেস সার্ভিসেস)। ইভেন্ট ID 6273 খুঁজুন। সাধারণ কারণগুলির মধ্যে রয়েছে ক্লায়েন্ট সার্টিফিকেটের মেয়াদ শেষ হয়ে যাওয়া বা ক্লায়েন্ট সার্ভারের সার্টিফিকেট চেইনকে বিশ্বাস করতে ব্যর্থ হওয়া。
  • VLAN অ্যাসাইনমেন্ট ব্যর্থতা: অথেন্টিকেশন সফল হলেও ক্লায়েন্ট যদি কোনো IP অ্যাড্রেস না পায়, তবে AP-এর সাথে সংযুক্ত সুইচ পোর্টটি ট্রাঙ্ক পোর্ট হিসেবে কনফিগার করা আছে কিনা তা যাচাই করুন, যা ডাইনামিকভাবে অ্যাসাইন করা VLAN-এর অনুমতি দেয়。

ROI এবং ব্যবসায়িক প্রভাব

802.1X বাস্তবায়ন করলে উল্লেখযোগ্য অপারেশনাল এবং সিকিউরিটি ROI পাওয়া যায়:

  • ঝুঁকি প্রশমন: একটি একক আপোসকৃত PSK-এর কারণে পুরো কর্পোরেট নেটওয়ার্ক ঝুঁকির মধ্যে পড়ার সম্ভাবনা দূর করে, যা সরাসরি PCI-DSS এবং GDPR কমপ্লায়েন্সের প্রচেষ্টাকে সমর্থন করে。
  • অপারেশনাল দক্ষতা: অ্যাক্সেস কন্ট্রোল কেন্দ্রীভূত করে। যখন কোনো কর্মচারী চলে যান, তখন তার Active Directory অ্যাকাউন্ট নিষ্ক্রিয় করলে অবিলম্বে তার WiFi অ্যাক্সেস বাতিল হয়ে যায়। পুরো এন্টারপ্রাইজ জুড়ে PSK পরিবর্তন করার কোনো প্রয়োজন নেই。
  • নেটওয়ার্ক ভিজিবিলিটি: নেটওয়ার্কে কারা আছেন এবং তারা কী ডিভাইস ব্যবহার করছেন সে সম্পর্কে সুনির্দিষ্ট ভিজিবিলিটি প্রদান করে, যা আরও ভালো ক্যাপাসিটি প্ল্যানিং এবং থ্রেট হান্টিং সক্ষম করে。

স্পোর্টস স্টেডিয়াম বা হসপিটালিটি শিল্পের মতো উচ্চ-ঘনত্বের জটিল পরিবেশের জন্য, গেস্ট অ্যাক্সেস প্রদানের পাশাপাশি কর্পোরেট নিরাপত্তা পরিচালনা করা একটি挑战। 802.1X ব্যবহার করে কর্পোরেট সম্পদ সুরক্ষিত করার মাধ্যমে এবং গেস্ট ট্রাফিক পরিচালনা করতে একটি শক্তিশালী WiFi অ্যানালিটিক্স প্ল্যাটফর্ম ব্যবহার করে, IT লিডাররা এন্টারপ্রাইজ এবং তাদের গ্রাহক উভয়ের সেবা করার সাথে সাথে নিরাপদ, স্কেলযোগ্য কানেক্টিভিটি প্রদান করতে পারেন। উচ্চ-ঘনত্বের পরিবেশ পরিচালনার বিষয়ে বিস্তারিত জানতে, আমাদের চিড়িয়াখানা এবং থিম পার্ক WiFi: উচ্চ-জনসমাগমপূর্ণ ভেন্যু কানেক্টিভিটি নির্দেশিকা দেখুন।

মূল সংজ্ঞাসমূহ

802.1X

পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস কন্ট্রোলের জন্য একটি IEEE স্ট্যান্ডার্ড যা LAN বা WLAN-এর সাথে যুক্ত হতে চাওয়া ডিভাইসগুলিকে একটি অথেন্টিকেশন মেকানিজম প্রদান করে।

এন্টারপ্রাইজ WiFi নিরাপত্তার জন্য মৌলিক প্রোটোকল, যা দুর্বল শেয়ার্ড পাসওয়ার্ডের বিকল্প হিসেবে কাজ করে।

Supplicant

ক্লায়েন্ট ডিভাইস বা সফ্টওয়্যার অ্যাপ্লিকেশন যা নেটওয়ার্কে অ্যাক্সেসের জন্য অনুরোধ করছে।

নিরাপদ সংযোগ নিশ্চিত করতে IT টিমকে অবশ্যই MDM-এর মাধ্যমে Supplicant কনফিগারেশন পরিচালনা করতে হবে।

Authenticator

নেটওয়ার্ক ডিভাইস (অ্যাক্সেস পয়েন্ট বা সুইচ) যা Supplicant এবং অথেন্টিকেশন সার্ভারের মধ্যে প্রক্সি হিসেবে কাজ করে অথেন্টিকেশন প্রক্রিয়াটিকে সহজতর করে।

EAP ট্রাফিক নিরাপদে ফরোয়ার্ড করতে RADIUS সার্ভার IP এবং একটি শেয়ার্ড সিক্রেট দিয়ে কনফিগার করা হয়েছে।

RADIUS

Remote Authentication Dial-In User Service; একটি নেটওয়ার্কিং প্রোটোকল যা সেন্ট্রালাইজড অথেন্টিকেশন, অথরাইজেশন এবং অ্যাকাউন্টিং (AAA) ম্যানেজমেন্ট প্রদান করে।

ব্যাকএন্ড সার্ভার (যেমন Microsoft NPS) যা আসলে একটি ডিরেক্টরির বিপরীতে ব্যবহারকারীর ক্রেডেনশিয়াল যাচাই করে।

EAP (Extensible Authentication Protocol)

একটি অথেন্টিকেশন ফ্রেমওয়ার্ক যা প্রায়শই ওয়্যারলেস নেটওয়ার্ক এবং পয়েন্ট-টু-পয়েন্ট সংযোগে ব্যবহৃত হয়, যা একাধিক অথেন্টিকেশন পদ্ধতি সমর্থন করে।

Supplicant এবং RADIUS সার্ভারের মধ্যে কথোপকথনের 'ভাষা'।

EAP-TLS

একটি EAP পদ্ধতি যা ট্রান্সপোর্ট লেয়ার সিকিউরিটি ব্যবহার করে, যার জন্য পারস্পরিক অথেন্টিকেশনের জন্য সার্ভার এবং ক্লায়েন্ট-সাইড উভয় সার্টিফিকেটের প্রয়োজন হয়।

উপলব্ধ সবচেয়ে নিরাপদ পদ্ধতি, যা প্রায়শই উচ্চ-নিরাপত্তা বা ক্লাসিফাইড পরিবেশের জন্য বাধ্যতামূলক করা হয়।

PEAP

Protected Extensible Authentication Protocol; এটি একটি এনক্রিপ্ট করা এবং অথেন্টিকেটেড TLS টানেলের মধ্যে EAP-কে এনক্যাপসুলেট করে।

সবচেয়ে ব্যাপকভাবে ব্যবহৃত এন্টারপ্রাইজ পদ্ধতি, যা শুধুমাত্র একটি সার্ভার-সাইড সার্টিফিকেটের প্রয়োজন হওয়ার মাধ্যমে সহজ ডিপ্লয়মেন্টের সাথে নিরাপত্তার ভারসাম্য বজায় রাখে।

Dynamic VLAN Assignment

এমন একটি প্রক্রিয়া যেখানে একটি RADIUS সার্ভার অ্যাক্সেস পয়েন্টকে নির্দেশ দেয় একজন অথেন্টিকেটেড ব্যবহারকারীকে তাদের ডিরেক্টরি গ্রুপ মেম্বারশিপের উপর ভিত্তি করে একটি নির্দিষ্ট VLAN-এ রাখার জন্য।

শুধুমাত্র একটি একক কর্পোরেট SSID ব্রডকাস্ট করার সময় নেটওয়ার্ক ট্রাফিক সেগমেন্ট করার জন্য (যেমন, HR, ইঞ্জিনিয়ারিং এবং IoT ডিভাইস আলাদা করা) অত্যন্ত গুরুত্বপূর্ণ।

সমাধানকৃত উদাহরণসমূহ

একটি ৩০০ রুমের লাক্সারি হোটেলের ব্যাক-অফ-হাউস অপারেশনাল নেটওয়ার্ক (স্টাফ ট্যাবলেট, VoIP ফোন, ম্যানেজমেন্ট ল্যাপটপ) সুরক্ষিত করা প্রয়োজন এবং এটিকে গেস্ট নেটওয়ার্ক থেকে সম্পূর্ণ আলাদা রাখতে হবে। তারা বর্তমানে স্টাফদের জন্য একটি একক PSK ব্যবহার করে।

১. হোটেলের বিদ্যমান Active Directory-এর সাথে যুক্ত Microsoft NPS ডিপ্লয় করুন। ২. ট্যাবলেট অনবোর্ডিং সহজ করতে NPS সার্ভারে একটি পাবলিক সার্টিফিকেট (যেমন, DigiCert) ব্যবহার করে PEAP-MSCHAPv2 কনফিগার করুন। ৩. AP-গুলিতে একটি 802.1X SSID ('Hotel_Ops') তৈরি করুন। ৪. সমস্ত স্টাফ ট্যাবলেট এবং ল্যাপটপে 'Hotel_Ops' WiFi প্রোফাইল পুশ করতে হোটেলের MDM প্ল্যাটফর্ম ব্যবহার করুন, প্রোফাইলটিকে স্পষ্টভাবে DigiCert রুট CA-কে বিশ্বাস করতে এবং NPS সার্ভারের নাম যাচাই করতে কনফিগার করুন। ৫. বিদ্যমান ওপেন গেস্ট SSID বজায় রাখুন, শর্তাবলী গ্রহণ এবং অ্যানালিটিক্সের জন্য এটিকে Purple-এর ক্যাপティブ পোর্টাল-এর মাধ্যমে রাউট করুন, যাতে গেস্ট VLAN-গুলি অপারেশনাল VLAN-গুলিতে রাউট হতে না পারে।

পরীক্ষকের মন্তব্য: এই পদ্ধতিটি ডিপ্লয়মেন্টের জটিলতার সাথে নিরাপত্তার ভারসাম্য বজায় রাখে। RADIUS সার্ভারে একটি পাবলিক সার্টিফিকেট ব্যবহার করে, হোটেলটি একটি সম্পূর্ণ PKI ডিপ্লয় করার ঝামেলা এড়ায় এবং একই সাথে শেয়ার্ড PSK-এর ঝুঁকিও দূর করে। VLAN এবং পৃথক অথেন্টিকেশন মেকানিজমের মাধ্যমে গেস্ট এবং কর্পোরেট ট্রাফিকের কঠোর বিভাজন হোটেলের পয়েন্ট-অফ-সেল সিস্টেমের জন্য PCI-DSS প্রয়োজনীয়তার সাথে সামঞ্জস্যপূর্ণ।

একটি বিশ্ববিদ্যালয় ক্যাম্পাস 802.1X-এ স্থানান্তরিত হচ্ছে এবং বিভিন্ন অপারেটিং সিস্টেম জুড়ে ১৫,০০০ শিক্ষার্থীর জন্য একটি বিশাল BYOD পরিবেশ সমর্থন করা প্রয়োজন।

১. লোড ব্যালেন্সিং সহ একটি শক্তিশালী RADIUS ক্লাস্টার (যেমন, FreeRADIUS বা Cisco ISE) ডিপ্লয় করুন। ২. ব্যাপক ডিভাইস সামঞ্জস্যের জন্য PEAP-MSCHAPv2 বাস্তবায়ন করুন। ৩. একটি অনবোর্ডিং পোর্টাল (যেমন, SecureW2) ডিপ্লয় করুন যা স্বয়ংক্রিয়ভাবে শিক্ষার্থীর ডিভাইসের Supplicant-কে সঠিক EAP সেটিংস ব্যবহার করতে এবং বিশ্ববিদ্যালয়ের RADIUS সার্ভার সার্টিফিকেটকে বিশ্বাস করতে কনফিগার করে। ৪. ব্রডকাস্ট ডোমেনগুলি পরিচালনা করতে ক্যাম্পাসে তাদের অবস্থানের উপর ভিত্তি করে শিক্ষার্থীদের উপযুক্ত সাবনেটে রাখতে RADIUS অ্যাট্রিবিউটের মাধ্যমে ডাইনামিক VLAN অ্যাসাইনমেন্ট ব্যবহার করুন।

পরীক্ষকের মন্তব্য: উচ্চশিক্ষায়, BYOD হলো প্রধান চ্যালেঞ্জ। শিক্ষার্থীদের ম্যানুয়াল কনফিগারেশনের উপর নির্ভর করলে হেল্পডেস্ক টিকিটের পরিমাণ বৃদ্ধি পাবে এবং অনিরাপদ কনফিগারেশন (ব্যবহারকারীরা অবৈধ সার্টিফিকেট গ্রহণ করা) নিশ্চিত হবে। অনবোর্ডিং পোর্টালটি এখানে সাফল্যের অন্যতম প্রধান চাবিকাঠি, যা ক্রেডেনশিয়াল চুরি প্রতিরোধ করতে Supplicant-কে সুরক্ষিত রাখে।

অনুশীলনী প্রশ্নসমূহ

Q1. আপনার সংস্থা PEAP-MSCHAPv2 ব্যবহার করে 802.1X ডিপ্লয় করছে। পরীক্ষার সময়, ব্যবহারকারীরা রিপোর্ট করেছেন যে প্রথমবার সংযোগ করার সময় তাদের একটি 'সার্টিফিকেট গ্রহণ' (Accept a Certificate) করার জন্য অনুরোধ করা হচ্ছে। আপনার কীভাবে এটি সমাধান করা উচিত?

ইঙ্গিত: নেটওয়ার্ক ইনফ্রাস্ট্রাকচার সম্পর্কিত ট্রাস্টের সিদ্ধান্ত নেওয়ার জন্য ব্যবহারকারীদের অনুমতি দেওয়ার সিকিউরিটি প্রভাবগুলি বিবেচনা করুন।

মডেল উত্তর দেখুন

আপনাকে অবশ্যই ক্লায়েন্ট Supplicant প্রোফাইলগুলি (MDM বা গ্রুপ পলিসির মাধ্যমে) কনফিগার করতে হবে যাতে RADIUS সার্ভারের সার্টিফিকেট ইস্যুকারী রুট CA-কে স্পষ্টভাবে বিশ্বাস করা হয় এবং নির্দিষ্ট সার্ভারের নাম যাচাই করা হয়। ব্যবহারকারীদের ম্যানুয়ালি সার্টিফিকেট গ্রহণ করার উপর নির্ভর করলে তারা সিকিউরিটি সতর্কতা উপেক্ষা করতে অভ্যস্ত হয়ে পড়ে এবং নেটওয়ার্কটি ইভিল টুইন (ক্রেডেনশিয়াল চুরি) আক্রমণের ঝুঁকিতে পড়ে।

Q2. আপনার গুদামের বারকোড স্ক্যানারগুলির একটি বহর সুরক্ষিত করা প্রয়োজন। এগুলি WPA2-Enterprise সমর্থন করে কিন্তু ক্লায়েন্ট সার্টিফিকেট ইনস্টল করার বা Active Directory-তে যোগ দেওয়ার কোনো মেকানিজম নেই। সবচেয়ে নিরাপদ ডিপ্লয়মেন্ট পদ্ধতি কোনটি?

ইঙ্গিত: যে EAP পদ্ধতিগুলিতে ক্লায়েন্ট-সাইড সার্টিফিকেটের প্রয়োজন হয় না কিন্তু তবুও এনক্রিপ্ট করা অথেন্টিকেশন প্রদান করে সেগুলি মূল্যায়ন করুন।

মডেল উত্তর দেখুন

PEAP-MSCHAPv2 ডিপ্লয় করুন। স্ক্যানারগুলির জন্য আপনার ডিরেক্টরিতে একটি ডেডিকেটেড সার্ভিস অ্যাকাউন্ট তৈরি করুন। TLS টানেল স্থাপন করতে একটি সার্ভার সার্টিফিকেট দিয়ে RADIUS সার্ভার কনফিগার করুন এবং টানেলের ভিতরে সার্ভিস অ্যাকাউন্ট ক্রেডেনশিয়াল ব্যবহার করে অথেন্টিকেট করার জন্য স্ক্যানারগুলি কনফিগার করুন। নিশ্চিত করুন যে RADIUS পলিসি এই সার্ভিস অ্যাকাউন্টটিকে একটি নির্দিষ্ট, আইসোলেটেড ওয়্যারহাউস VLAN-এ সীমাবদ্ধ করে।

Q3. AP এবং RADIUS সার্ভার কনফিগার করার পর, ক্লায়েন্ট ডিভাইসগুলি সফলভাবে অথেন্টিকেট হয় (RADIUS লগে Access-Accept দিয়ে যাচাই করা হয়েছে), কিন্তু তারা কোনো IP অ্যাড্রেস পেতে ব্যর্থ হয় এবং নেটওয়ার্ক অ্যাক্সেস করতে পারে না। সবচেয়ে সম্ভাব্য ইনফ্রাস্ট্রাকচার সমস্যাটি কী?

ইঙ্গিত: অথেন্টিকেশন সফল হয়েছে, যার অর্থ 802.1X পর্বটি সম্পন্ন হয়েছে। সমস্যাটি পরবর্তী নেটওয়ার্ক প্রভিশনিং পর্বে রয়েছে।

মডেল উত্তর দেখুন

সবচেয়ে সম্ভাব্য সমস্যাটি হলো ওয়্যার্ড নেটওয়ার্কে একটি VLAN মিসকনফিগারেশন। RADIUS সার্ভার যদি ক্লায়েন্টকে একটি নির্দিষ্ট VLAN-এ (যেমন, VLAN 20) রাখার জন্য ডাইনামিক VLAN অ্যাসাইনমেন্ট ব্যবহার করে, তবে অ্যাক্সেস পয়েন্টের সাথে সংযোগকারী সুইচ পোর্টটি অবশ্যই একটি 802.1Q ট্রাঙ্ক পোর্ট হিসেবে কনফিগার করতে হবে যা VLAN 20-এর অনুমতি দেয়। VLAN যদি AP-তে ট্রাঙ্ক করা না থাকে, তবে ক্লায়েন্টের DHCP অনুরোধগুলি ড্রপ হয়ে যাবে।

এই সিরিজে পড়া চালিয়ে যান

Guest এবং Staff WiFi নেটওয়ার্কের জন্য RADIUS Authentication কনফিগার করা

এই টেকনিক্যাল রেফারেন্স গাইডটি এন্টারপ্রাইজ guest এবং staff WiFi নেটওয়ার্কের জন্য RADIUS authentication-এর আর্কিটেকচার, কনফিগারেশন এবং ডিপ্লয়মেন্টের রূপরেখা প্রদান করে। এটি নেটওয়ার্ক আর্কিটেক্ট এবং IT ম্যানেজারদের সুরক্ষিত, স্কেলযোগ্য ওয়্যারলেস অ্যাক্সেস কন্ট্রোল সিস্টেম তৈরি করার জন্য প্রয়োজনীয় সঠিক প্রোটোকল, সিকিউরিটি স্ট্যান্ডার্ড এবং ট্রাবলশুটিং মেথডোলজি প্রদান করে।

গাইডটি পড়ুন →

Passpoint এবং OpenRoaming: সম্পূর্ণ নির্দেশিকা

এই প্রযুক্তিগত রেফারেন্স নির্দেশিকাটি এন্টারপ্রাইজ WiFi নেটওয়ার্কের মধ্যে Passpoint (Hotspot 2.0) এবং WBA OpenRoaming ফ্রেমওয়ার্কের একটি বিস্তৃত বিশ্লেষণ প্রদান করে। এটি একটি নিরাপদ, ঝামেলামুক্ত অতিথি সংযোগ স্থাপন করার জন্য প্রয়োজনীয় অন্তর্নিহিত প্রমাণীকরণ প্রোটোকল, আর্কিটেকচারাল উপাদান এবং স্থাপনার কৌশলগুলি বিস্তারিতভাবে বর্ণনা করে। নেটওয়ার্ক স্থপতি এবং IT লিডাররা এন্টারপ্রাইজ-গ্রেড নিরাপত্তা বজায় রেখে ম্যানুয়াল লগইন বাধাগুলি দূর করতে কীভাবে এই মানগুলি ডিজাইন, বাস্তবায়ন এবং সমস্যা সমাধান করবেন তা শিখবেন।

গাইডটি পড়ুন →

উচ্চশিক্ষায় সুরক্ষিত BYOD এবং নেটওয়ার্ক এনরোলমেন্টের জন্য কীভাবে SCEP বাস্তবায়ন করবেন

এই প্রযুক্তিগত নির্দেশিকাটি নেটওয়ার্ক আর্কিটেক্ট এবং IT ম্যানেজারদের উচ্চশিক্ষার ক্যাম্পাস নেটওয়ার্ক সুরক্ষিত করতে SCEP ভিত্তিক সার্টিফিকেট এনরোলমেন্ট স্থাপনের জন্য একটি ভেন্ডর - নিরপেক্ষ ব্লুপ্রিন্ট প্রদান করে। এটি কীভাবে পাসওয়ার্ড ভিত্তিক PEAP থেকে 802.1X EAP-TLS-এ স্থানান্তরিত হতে হবে, BYOD অনবোর্ডিং স্বয়ংক্রিয় করতে হবে এবং শক্তিশালী VLAN সেগমেন্টেশন কার্যকর করতে হবে তা বিস্তারিতভাবে বর্ণনা করে।

গাইডটি পড়ুন →