WiFi অথেন্টিকেশনের জন্য কীভাবে একটি RADIUS সার্ভার সেট আপ করবেন

এক্সিকিউটিভ সামারি

এন্টারপ্রাইজ পরিবেশের জন্য — তা বিস্তৃত কোনো বিশ্ববিদ্যালয় ক্যাম্পাস, উচ্চ-ঘনত্বের স্টেডিয়াম, বা ডিস্ট্রিবিউটেড রিটেইল চেইন যাই হোক না কেন — WiFi অ্যাক্সেসের জন্য Pre-Shared Key (PSK)-এর উপর নির্ভর করা একটি উল্লেখযোগ্য সিকিউরিটি ঝুঁকি। একটিমাত্র কম্প্রোমাইজড ক্রেডেনশিয়াল পুরো নেটওয়ার্ককে উন্মুক্ত করে দেয়, এবং অ্যাক্সেস বাতিল করার জন্য এস্টেটের প্রতিটি ডিভাইসের পাসওয়ার্ড পরিবর্তন করতে হয়। একটি RADIUS (Remote Authentication Dial-In User Service) সার্ভারের মাধ্যমে 802.1X অথেন্টিকেশন প্রয়োগ করলে এই সমস্যাটি পুরোপুরি দূর হয়: প্রতিটি ব্যবহারকারী আলাদাভাবে অথেন্টিকেট করে, অ্যাক্সেস তাৎক্ষণিকভাবে বাতিল করা যায় এবং নেটওয়ার্ক সেগমেন্টেশন ডায়নামিকভাবে এনফোর্স করা যায়。

এই গাইডটি IT ম্যানেজার এবং নেটওয়ার্ক আর্কিটেক্টদের জন্য RADIUS অথেন্টিকেশন ডিপ্লয় করার একটি চূড়ান্ত রোডম্যাপ প্রদান করে। আমরা অন-প্রিমিস এবং ক্লাউড-হোস্টেড ডিপ্লয়মেন্টের আর্কিটেকচারাল সুবিধা-অসুবিধা, Extensible Authentication Protocol (EAP) মেথডগুলোর কনফিগারেশন এবং Active Directory-এর মতো ডিরেক্টরি সার্ভিসের সাথে ইন্টিগ্রেশন নিয়ে আলোচনা করেছি। আমরা আরও দেখিয়েছি কীভাবে একটি শক্তিশালী অথেন্টিকেশন লেয়ার Guest WiFi সলিউশনের সাথে একীভূত হয়ে ভিজিটরদের জন্য নিরবচ্ছিন্ন অ্যাক্সেস প্রদান করে, এবং সেই সাথে WiFi Analytics ক্যাপচার করে যা আপনার নেটওয়ার্ককে একটি বিজনেস ইন্টেলিজেন্স অ্যাসেটে পরিণত করে।

টেকনিক্যাল ডিপ-ডাইভ

802.1X আর্কিটেকচার

IEEE 802.1X স্ট্যান্ডার্ড পোর্ট-ভিত্তিক Network Access Control (PNAC) সংজ্ঞায়িত করে। ওয়্যারলেস প্রেক্ষাপটে, এটি একসাথে কাজ করা তিনটি প্রাথমিক ভূমিকার সাথে জড়িত:

যখন কোনো সাপ্লিক্যান্ট একটি অ্যাক্সেস পয়েন্টের সাথে যুক্ত হয়, তখন AP EAP (Extensible Authentication Protocol) মেসেজ ছাড়া অন্য সব ডেটা ট্রাফিক ব্লক করে দেয়। AP এই EAP মেসেজগুলোকে RADIUS প্যাকেটে এনক্যাপসুলেট করে এবং RADIUS সার্ভারে ফরোয়ার্ড করে। সার্ভার একটি ব্যাকএন্ড ডেটাবেস — সাধারণত LDAP বা Active Directory — এর বিপরীতে ক্রেডেনশিয়াল যাচাই করে এবং একটি Access-Accept বা Access-Reject মেসেজ রিটার্ন করে। যদি অ্যাক্সেপ্ট করা হয়, তবে AP পোর্টটি আনব্লক করে এবং ক্লায়েন্টের ট্রাফিক অবাধে প্রবাহিত হয়।

একটি EAP মেথড বেছে নেওয়া

আপনার RADIUS ডিপ্লয়মেন্টের সিকিউরিটি মূলত নির্বাচিত EAP মেথডের উপর নির্ভর করে। এন্টারপ্রাইজ ডিপ্লয়মেন্টে সবচেয়ে প্রচলিত দুটি মেথড হলো:

EAP-TLS (Transport Layer Security) হলো গোল্ড স্ট্যান্ডার্ড। এর জন্য RADIUS সার্ভার এবং প্রতিটি ক্লায়েন্ট ডিভাইস উভয়েরই ডিজিটাল সার্টিফিকেটের প্রয়োজন হয়, যা পাসওয়ার্ডের প্রয়োজনীয়তা পুরোপুরি দূর করে। এমনকি কোনো আক্রমণকারী যদি সম্পূর্ণ অথেন্টিকেশন এক্সচেঞ্জ ক্যাপচারও করে, তবুও এক্সট্র্যাক্ট করার মতো কোনো ক্রেডেনশিয়াল থাকে না। এর অসুবিধা হলো অ্যাডমিনিস্ট্রেটিভ ওভারহেড: ক্লায়েন্ট সার্টিফিকেট ডিপ্লয় এবং ম্যানেজ করার জন্য একটি কার্যকর Public Key Infrastructure (PKI) এবং এন্ডপয়েন্টগুলোতে সার্টিফিকেট ডিস্ট্রিবিউট করার জন্য একটি MDM সলিউশন (যেমন, Microsoft Intune, Jamf) প্রয়োজন।

PEAP-MSCHAPv2 (Protected EAP) বাস্তবে সবচেয়ে বেশি ব্যবহৃত মেথড। এটি একটি এনক্রিপ্টেড TLS টানেল তৈরি করতে সার্ভার-সাইড সার্টিফিকেট ব্যবহার করে, যার ভেতরে ক্লায়েন্ট ইউজারনেম এবং পাসওয়ার্ড দিয়ে অথেন্টিকেট করে। এটি EAP-TLS-এর চেয়ে ডিপ্লয় করা অনেক সহজ কারণ শুধুমাত্র একটি সার্টিফিকেট — সার্ভারের — ম্যানেজ করতে হয়। তবে, এর একটি গুরুতর সতর্কতা রয়েছে: যদি ক্লায়েন্ট ডিভাইসগুলো RADIUS সার্ভারের সার্টিফিকেট যাচাই করার জন্য স্পষ্টভাবে কনফিগার করা না থাকে, তবে তারা রগ (rogue) অ্যাক্সেস পয়েন্টের মাধ্যমে Man-in-the-Middle (MitM) অ্যাটাকের শিকার হতে পারে।

> গুরুত্বপূর্ণ সিকিউরিটি নোট: ক্লায়েন্ট ডিভাইসে কঠোর সার্টিফিকেট ভ্যালিডেশন এনফোর্স করতে ব্যর্থ হলে PEAP-MSCHAPv2-এর সিকিউরিটি সুবিধাগুলো কার্যকরভাবে বাতিল হয়ে যায়। একজন আক্রমণকারী একটি রগ AP ডিপ্লয় করতে পারে, একটি ভুয়া সার্টিফিকেট উপস্থাপন করতে পারে এবং প্লেইনটেক্সটে ইউজার ক্রেডেনশিয়াল ক্যাপচার করতে পারে। এটি কোনো তাত্ত্বিক ঝুঁকি নয় — এটি একটি সুপরিচিত অ্যাটাক ভেক্টর যা বাস্তব-বিশ্বের পরিবেশে শোষিত হয়েছে।

ইমপ্লিমেন্টেশন গাইড

ধাপ ১: আর্কিটেকচারাল সিদ্ধান্ত — অন-প্রিমিস বনাম ক্লাউড RADIUS

প্রথম সিদ্ধান্ত হলো RADIUS ইনফ্রাস্ট্রাকচার কোথায় হোস্ট করা হবে। এটি মূলত একটি অপারেশনাল এবং খরচের প্রশ্ন, সিকিউরিটির নয় — উভয় মডেলই সুরক্ষিতভাবে ডিপ্লয় করা যায়।

অন-প্রিমিস RADIUS (যেমন, Microsoft NPS, FreeRADIUS, Cisco ISE) এমন সংস্থাগুলোর জন্য উপযুক্ত যাদের ডেডিকেটেড IT স্টাফ, বিদ্যমান অন-প্রিমিস ডিরেক্টরি ইনফ্রাস্ট্রাকচার এবং কঠোর ডেটা সার্বভৌমত্ব বা কমপ্লায়েন্সের প্রয়োজনীয়তা রয়েছে। এটি অথেন্টিকেশনের জন্য ইন্টারনেট কানেক্টিভিটির উপর নির্ভর করে না, যা এমন পরিবেশের জন্য একটি অর্থবহ সুবিধা যেখানে ইন্টারনেটের আপটাইম নিশ্চিত করা যায় না।

ক্লাউড RADIUS ডিস্ট্রিবিউটেড পরিবেশের জন্য ক্রমবর্ধমানভাবে পছন্দের মডেল হয়ে উঠছে — Retail চেইন, Hospitality গ্রুপ এবং Transport হাব যেখানে প্রতিটি লোকেশনে সার্ভার ডিপ্লয় করা অপারেশনালভাবে অবাস্তব। ক্লাউড RADIUS ক্লাউড আইডেন্টিটি প্রোভাইডারদের (Azure AD, Google Workspace, Okta) সাথে নেটিভভাবে ইন্টিগ্রেট করে এবং বিল্ট-ইন হাই অ্যাভেইলেবিলিটি ও গ্লোবাল স্কেলেবিলিটি প্রদান করে।

ধাপ ২: RADIUS সার্ভার ইনস্টল এবং কনফিগার করা

Microsoft NPS (উইন্ডোজ-কেন্দ্রিক পরিবেশে সবচেয়ে সাধারণ পছন্দ) ব্যবহার করে অন-প্রিমিস ডিপ্লয়মেন্টের জন্য:

1. Server Manager-এর মাধ্যমে Network Policy Server রোল ইনস্টল করুন।
2. NPS সার্ভারকে Active Directory-তে রেজিস্টার করুন যাতে এটি ইউজারের ডায়াল-ইন প্রপার্টিজ পড়তে পারে।
3. প্রতিটি অ্যাক্সেস পয়েন্ট বা ওয়্যারলেস কন্ট্রোলারের জন্য একটি RADIUS Client এন্ট্রি তৈরি করুন, যেখানে AP-এর IP অ্যাড্রেস এবং একটি শক্তিশালী, ইউনিক Shared Secret উল্লেখ থাকবে।
4. অ্যাক্সেসের শর্তাবলী (যেমন, ইউজার গ্রুপ মেম্বারশিপ) এবং সীমাবদ্ধতা (যেমন, EAP মেথড, সেশন টাইমআউট) সংজ্ঞায়িত করে একটি Network Policy কনফিগার করুন।
5. রিকোয়েস্টগুলো লোকালি প্রসেস করার জন্য Connection Request Policy কনফিগার করুন।

লিনাক্সে FreeRADIUS-এর জন্য:

1. প্যাকেজ ম্যানেজারের মাধ্যমে ইনস্টল করুন: sudo apt-get install freeradius freeradius-ldap।
2. RADIUS ক্লায়েন্ট (AP) এবং তাদের শেয়ার্ড সিক্রেট সংজ্ঞায়িত করতে /etc/freeradius/3.0/clients.conf কনফিগার করুন।
3. আপনার Active Directory বা LDAP সার্ভারকে পয়েন্ট করতে /etc/freeradius/3.0/mods-available/ldap-এ LDAP মডিউল কনফিগার করুন।
4. LDAP মডিউল এনাবল করুন: sudo ln -s /etc/freeradius/3.0/mods-available/ldap /etc/freeradius/3.0/mods-enabled/।
5. /etc/freeradius/3.0/mods-available/eap-এ EAP মেথড সংজ্ঞায়িত করুন।

ধাপ ৩: অ্যাক্সেস পয়েন্ট কনফিগার করা

আপনার ওয়্যারলেস কন্ট্রোলার বা পৃথক অ্যাক্সেস পয়েন্টগুলোতে:

1. RADIUS সার্ভারের IP অ্যাড্রেস এবং অথেন্টিকেশন পোর্ট (ডিফল্ট: UDP 1812) সংজ্ঞায়িত করুন।
2. Shared Secret কনফিগার করুন — আলফানিউমেরিক এবং স্পেশাল ক্যারেক্টার মিলিয়ে কমপক্ষে ২২ ক্যারেক্টার ব্যবহার করুন। প্রতিটি লোকেশন বা AP গ্রুপের জন্য একটি ইউনিক সিক্রেট ব্যবহার করুন।
3. 802.1X কী ম্যানেজমেন্টের সাথে WPA2-Enterprise বা WPA3-Enterprise সিকিউরিটি মোড ব্যবহার করার জন্য SSID কনফিগার করুন।
4. ফেইলওভারের জন্য একটি সেকেন্ডারি RADIUS সার্ভার কনফিগার করুন।

ধাপ ৪: ডিরেক্টরি ইন্টিগ্রেশন

অন-প্রিমিস AD ইন্টিগ্রেশনের জন্য, RADIUS সার্ভারকে অবশ্যই ডোমেইনে জয়েন করতে হবে অথবা LDAP রিড অ্যাক্সেস থাকতে হবে। নিশ্চিত করুন যে LDAP বাইন্ডিংয়ের জন্য ব্যবহৃত সার্ভিস অ্যাকাউন্টগুলোর ন্যূনতম প্রয়োজনীয় পারমিশন রয়েছে। ক্লাউড RADIUS-এর জন্য, আপনার IdP-এর সাথে API-ভিত্তিক সিঙ্ক্রোনাইজেশন বা SAML/OIDC ইন্টিগ্রেশন কনফিগার করুন।

আপনার ডিরেক্টরিতে স্পষ্ট ইউজার গ্রুপ সংজ্ঞায়িত করুন, কারণ এগুলো অথরাইজেশন পলিসি পরিচালনা করবে। প্রস্তাবিত গ্রুপ স্ট্রাকচার:

ধাপ ৫: ক্লায়েন্ট কনফিগারেশন এবং সার্টিফিকেট ভ্যালিডেশন

এটি অপারেশনাল দিক থেকে সবচেয়ে গুরুত্বপূর্ণ ধাপ। ম্যানেজড ডিভাইসগুলোতে সাইলেন্টলি WiFi কনফিগারেশন পুশ করতে উইন্ডোজের জন্য Group Policy (GPO) এবং macOS/iOS/Android-এর জন্য MDM প্রোফাইল ব্যবহার করুন। প্রোফাইলে অবশ্যই উল্লেখ থাকতে হবে:

• যে Root CA RADIUS সার্ভারের সার্টিফিকেট ইস্যু করেছে।
• প্রত্যাশিত সার্ভারের নাম (সার্ভার সার্টিফিকেটের CN বা SAN)।
• EAP মেথড এবং ইনার অথেন্টিকেশন প্রোটোকল।

আনম্যানেজড BYOD ডিভাইসের জন্য, স্পষ্ট সেলফ-সার্ভিস অনবোর্ডিং নির্দেশাবলী প্রদান করুন, আদর্শভাবে একটি Network Access Control (NAC) পোর্টালের মাধ্যমে।

ধাপ ৬: ডায়নামিক VLAN অ্যাসাইনমেন্ট ইমপ্লিমেন্ট করা

Access-Accept রেসপন্সে VLAN অ্যাসাইনমেন্ট অ্যাট্রিবিউট রিটার্ন করার জন্য RADIUS সার্ভার কনফিগার করুন:

• Tunnel-Type = VLAN (13)
• Tunnel-Medium-Type = IEEE-802 (6)
• Tunnel-Private-Group-Id = ``

অ্যাক্সেস পয়েন্ট এই অ্যাট্রিবিউটগুলো পড়ে এবং অথেনটিকেটেড ক্লায়েন্টকে নির্দিষ্ট VLAN-এ স্থাপন করে — ব্যবহারকারীরা রোল বা লোকেশন পরিবর্তন করলেও কোনো ম্যানুয়াল রিকনফিগারেশনের প্রয়োজন হয় না।

বেস্ট প্র্যাকটিস

রিডান্ডেন্সি অপরিহার্য। কমপক্ষে দুটি RADIUS সার্ভার (প্রাইমারি এবং সেকেন্ডারি) ডিপ্লয় করুন এবং সমস্ত অ্যাক্সেস পয়েন্টকে স্বয়ংক্রিয়ভাবে ফেইলওভার করার জন্য কনফিগার করুন। অন-প্রিমিস ডিপ্লয়মেন্টের ক্ষেত্রে, সেকেন্ডারি সার্ভারটিকে একটি ভিন্ন ফিজিক্যাল লোকেশন বা অ্যাভেইলেবিলিটি জোনে রাখার কথা বিবেচনা করুন। RADIUS আউটেজ মানে কেউ অথেন্টিকেট করতে পারবে না, যা 802.1X-সুরক্ষিত SSID-গুলোর জন্য একটি সম্পূর্ণ নেটওয়ার্ক আউটেজ।

সার্টিফিকেটের মেয়াদ শেষ হওয়ার বিষয়টি প্রোঅ্যাক্টিভলি মনিটর করুন। RADIUS সার্ভার সার্টিফিকেটের মেয়াদ শেষ হওয়া হঠাৎ, ব্যাপক অথেন্টিকেশন ফেইলিউরের অন্যতম সাধারণ কারণ। মেয়াদ শেষ হওয়ার অন্তত ৩০ দিন আগে অ্যাডমিনিস্ট্রেটরদের সতর্ক করার জন্য মনিটরিং ইমপ্লিমেন্ট করুন। এটি সার্ভার সার্টিফিকেট এবং চেইনের যেকোনো ইন্টারমিডিয়েট CA সার্টিফিকেট উভয়ের ক্ষেত্রেই প্রযোজ্য。

Shared Secret-কে একটি ক্রিটিক্যাল ক্রেডেনশিয়াল হিসেবে বিবেচনা করুন। AP এবং RADIUS সার্ভারের মধ্যকার শেয়ার্ড সিক্রেট RADIUS প্যাকেটগুলোকে এনক্রিপ্ট করে। প্রতিটি লোকেশন বা AP গ্রুপের জন্য ইউনিক সিক্রেট ব্যবহার করুন, সেগুলোকে একটি সিক্রেটস ম্যানেজারে স্টোর করুন এবং পর্যায়ক্রমে রোটেট করুন। বৃহত্তর নেটওয়ার্ক সিকিউরিটি হাইজিন রিকমেন্ডেশনের জন্য আমাদের Protect Your Network with Strong DNS and Security গাইডটি দেখুন।

কমপ্লায়েন্স ফ্রেমওয়ার্কের সাথে সামঞ্জস্য রাখুন। PCI DSS-এর আওতাভুক্ত পরিবেশের জন্য (যেমন, রিটেইল পেমেন্ট নেটওয়ার্ক), 802.1X অথেন্টিকেশন সরাসরি নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল এবং অডিট লগিংয়ের প্রয়োজনীয়তাগুলোকে সমর্থন করে। GDPR কমপ্লায়েন্সের জন্য, RADIUS অ্যাকাউন্টিং লগ (পোর্ট 1813) কে, কোথা থেকে এবং কখন নেটওয়ার্ক অ্যাক্সেস করেছে তার একটি বিস্তারিত অডিট ট্রেইল প্রদান করে — যা ইনসিডেন্ট রেসপন্সের জন্য মূল্যবান। Healthcare পরিবেশের জন্য, ডায়নামিক VLAN অ্যাসাইনমেন্টের মাধ্যমে নেটওয়ার্ক সেগমেন্টেশন ইলেকট্রনিক প্রোটেক্টেড হেলথ ইনফরমেশন (ePHI) সুরক্ষার জন্য HIPAA-এর প্রয়োজনীয়তাগুলোকে সমর্থন করে।

ট্রাবলশুটিং এবং রিস্ক মিটিগেশন

802.1X কনফিগারেশন প্রক্রিয়ার আরও বিস্তারিত জানার জন্য, How to Configure 802.1X WiFi Authentication: A Step-by-Step Guide গ্র্যানুলার, ভেন্ডর-নির্দিষ্ট কনফিগারেশন ওয়াকথ্রু প্রদান করে।

ROI এবং বিজনেস ইমপ্যাক্ট

PSK থেকে RADIUS-সমর্থিত 802.1X-এ ট্রানজিশন করার জন্য কনফিগারেশনে প্রাথমিক বিনিয়োগের প্রয়োজন হয়, এবং ক্লাউড সলিউশনের জন্য লাইসেন্সিং বা অন-প্রিমিস ডিপ্লয়মেন্টের জন্য হার্ডওয়্যারের প্রয়োজন হতে পারে। এর ROI কেসটি খুবই সহজবোধ্য:

রিস্ক মিটিগেশন: যুক্তরাজ্যে ডেটা ব্রিচের গড় খরচ ৩ মিলিয়ন পাউন্ডের বেশি (IBM Cost of a Data Breach Report)। একটি কম্প্রোমাইজড PSK পুরো নেটওয়ার্ককে উন্মুক্ত করতে পারে। 802.1X ব্লাস্ট রেডিয়াসকে একটিমাত্র কম্প্রোমাইজড ইউজার অ্যাকাউন্টে সীমাবদ্ধ করে, যা ডিরেক্টরির মাধ্যমে কয়েক সেকেন্ডের মধ্যে ডিজেবল করা যায়।

অপারেশনাল এফিশিয়েন্সি: স্টাফদের রোল পরিবর্তনের সাথে সাথে ডায়নামিক VLAN অ্যাসাইনমেন্ট ম্যানুয়াল নেটওয়ার্ক রিকনফিগারেশন দূর করে। একজন নতুন কর্মীকে অনবোর্ড করার অর্থ হলো তাকে সঠিক AD গ্রুপে যুক্ত করা — নেটওয়ার্ক অ্যাক্সেস স্বয়ংক্রিয়ভাবে অনুসরণ করে।

কমপ্লায়েন্স পোসচার: PCI DSS, ISO 27001, বা Cyber Essentials Plus-এর আওতাভুক্ত সংস্থাগুলোর জন্য, 802.1X হলো একটি ডিরেক্ট কন্ট্রোল যা অডিটররা দেখতে আশা করেন। এটি ডিপ্লয় করা আপনার কমপ্লায়েন্স পোসচারকে শক্তিশালী করে এবং অডিট রেমিডিয়েশন খরচ কমায়।

গেস্ট এক্সপেরিয়েন্স এবং অ্যানালিটিক্স: ভেন্যু অপারেটরদের জন্য, ভিজিটর অ্যাক্সেসের জন্য Purple-এর Guest WiFi প্ল্যাটফর্মের সাথে স্টাফ অথেন্টিকেশনের জন্য RADIUS ইন্টিগ্রেট করা একটি ইউনিফায়েড, টিয়ার্ড অ্যাক্সেস মডেল তৈরি করে। স্টাফরা 802.1X-এর মাধ্যমে সাইলেন্টলি অথেন্টিকেট করে; গেস্টরা একটি ব্র্যান্ডেড Captive Portal-এর মাধ্যমে কানেক্ট করে। Purple-এর WiFi Analytics প্ল্যাটফর্ম এরপর ভিজিটরদের ডুয়েলের সময়, রিপিট ভিজিট রেট এবং এঙ্গেজমেন্ট মেট্রিক্সের রিয়েল-টাইম ভিজিবিলিটি প্রদান করে — যে ডেটা সরাসরি মার্কেটিং খরচ এবং ভেন্যু অপারেশনের সিদ্ধান্তগুলোকে প্রভাবিত করে।

আরও পড়ার জন্য, পর্তুগিজ ভাষার ইমপ্লিমেন্টেশন গাইডেন্সের জন্য Como Configurar a Autenticação 802.1X WiFi: Um Guia Passo a Passo দেখুন, এবং আন্ডারলায়িং কানেক্টিভিটি এন্টারপ্রাইজের প্রয়োজনীয়তা পূরণ করে তা নিশ্চিত করার গাইডেন্সের জন্য What Is a Leased Line? Dedicated Business Internet দেখুন।