মূল কন্টেন্টে যান

কীভাবে WiFi অথেনটিকেশনের জন্য Azure Entra ID (Azure AD) সেট আপ করবেন

এই নির্ভরযোগ্য নির্দেশিকাটি এন্টারপ্রাইজ WiFi অথেনটিকেশনের জন্য 802.1X এর সাথে Azure Entra ID সংহতকরণের আর্কিটেকচার, বাস্তবায়নের পদক্ষেপ এবং ব্যবসায়িক প্রভাব বিস্তারিতভাবে বর্ণনা করে। এটি নেটওয়ার্ক আর্কিটেক্ট এবং IT ম্যানেজারদের বাস্তবসম্মত ডেপ্লয়মেন্ট স্ট্র্যাটেজি প্রদান করে, যা লেগাসি PSK-কে জিরো - ট্রাস্ট, সার্টিফিকেট - ভিত্তিক নেটওয়ার্ক অ্যাক্সেস দ্বারা প্রতিস্থাপন করে।

📖 4 মিনিট পাঠ📝 945 শব্দ🔧 2 সমাধানকৃত উদাহরণ3 অনুশীলনী প্রশ্ন📚 8 মূল সংজ্ঞা

এই গাইডটি শুনুন

পডকাস্ট ট্রান্সক্রিপ্ট দেখুন
[INTRO - 1 MIN] Host: Purple Enterprise Network Briefing-এ আপনাকে স্বাগত। আমি আপনাদের হোস্ট, এবং আজ আমরা একটি গুরুত্বপূর্ণ পরিকাঠামো আপগ্রেড নিয়ে আলোচনা করছি যা CTO এবং নেটওয়ার্ক আর্কিটেক্টদের জন্য অত্যন্ত গুরুত্বপূর্ণ: আপনার কর্পোরেট WiFi অথেন্টিকেশনকে Azure Entra ID (পূর্বে Azure AD) তে মাইগ্রেট করা। আপনি যদি একটি হোটেল চেইন, একটি স্টেডিয়াম, বা একটি বড় পাবলিক সেক্টর ডেপ্লয়মেন্ট পরিচালনা করেন, তবে আপনি লেগাসি অন-প্রেম RADIUS সার্ভার এবং শেয়ার্ড PSK-এর ঝামেলা সম্পর্কে জানেন। আজ আমরা জিরো-ট্রাস্ট নেটওয়ার্ক অ্যাক্সেস নিয়ে কথা বলছি, বিশেষ করে কীভাবে Azure Entra ID ব্যবহার করে 802.1X সার্টিফিকেট-ভিত্তিক অথেন্টিকেশন বাস্তবায়ন করা যায়। কোনো বাজে কথা নয়, শুধু এটি ডেপ্লয় করার প্রযুক্তিগত বাস্তবতাই তুলে ধরা হবে। [TECHNICAL DEEP-DIVE - 5 MIN] Host: চলুন সরাসরি আর্কিটেকচারে চলে যাই। একটি স্টিকি নোটে শেয়ার্ড পাসওয়ার্ড সহ WPA2-Personal-এর দিন শেষ। একটি আধুনিক এন্টারপ্রাইজে, আপনি কোনো রিটেইল পরিবেশে ব্যাক-অফ-হাউস অপারেশন সুরক্ষিত করছেন বা কোনো হাসপাতালে স্টাফ নেটওয়ার্ক সুরক্ষিত করছেন না কেন, আপনার আইডেন্টিটি-চালিত অ্যাক্সেস প্রয়োজন। আমরা যখন WiFi-এর জন্য Azure Entra ID-এর কথা বলি, তখন আমরা মূলত EAP-TLS সম্পর্কে কথা বলি। এটি হল Transport Layer Security সহ Extensible Authentication Protocol। এটি গোল্ড স্ট্যান্ডার্ড। কেন? কারণ এটি সার্টিফিকেটের ওপর নির্ভর করে, পাসওয়ার্ডের ওপর নয়। পাসওয়ার্ড ফিশিং, শেয়ার বা ব্রুট-ফোর্স করা যেতে পারে। কিন্তু Intune-এর মাধ্যমে একটি ম্যানেজড ডিভাইসের সাথে যুক্ত সার্টিফিকেট তা করা যায় না। তাহলে, ট্রাফিক কীভাবে প্রবাহিত হয়? একটি কর্পোরেট ডিভাইস - ধরা যাক একটি ম্যানেজড ল্যাপটপ - কর্পোরেট SSID-এর সাথে সংযোগ করার চেষ্টা করে। Wireless Access Point, যা অথেন্টিকেটর হিসেবে কাজ করে, অ্যাক্সেস ব্লক করে এবং RADIUS-এর মাধ্যমে আপনার অথেন্টিকেশন সার্ভারে ক্রেডেনশিয়াল পাঠায়। এখন, Azure Entra ID কিন্তু নেটিভভাবে RADIUS সাপোর্ট করে না। এটি একটি গুরুত্বপূর্ণ আর্কিটেকচারাল ব্রিজ। আপনার একটি ক্লাউড RADIUS প্রোভাইডার বা Azure MFA এক্সটেনশন সহ একটি অন-প্রেম Network Policy Server (NPS) প্রয়োজন। ডিভাইসটি তার ক্লায়েন্ট সার্টিফিকেট পেশ করে। RADIUS সার্ভারটি আপনার Certificate Authority-র (যা প্রায়শই Intune-এ SCEP-এর মাধ্যমে পরিচালিত হয়) বিপরীতে সেই সার্টিফিকেট যাচাই করে। সার্টিফিকেটটি বৈধ হলে, ব্যবহারকারীর অ্যাকাউন্টটি সক্রিয় আছে কি না, নিষ্ক্রিয় করা নেই এবং Conditional Access পলিসিগুলোর সাথে সঙ্গতিপূর্ণ কি না তা নিশ্চিত করতে RADIUS সার্ভার Azure Entra ID পরীক্ষা করে। কেবল তখনই RADIUS সার্ভার AP-তে একটি Access-Accept বার্তা ফেরত পাঠায়, যা ব্যবহারকারীকে সঠিক VLAN-এ যুক্ত করে। [IMPLEMENTATION RECOMMENDATIONS & PITFALLS - 2 MIN] Host: এখন, ডেপ্লয়মেন্টগুলো কোথায় ভুল হয়? আমি তিনটি সাধারণ ত্রুটি দেখতে পাই। প্রথম: Certificate Revocation List (CRL) প্রাপ্যতা। আপনার RADIUS সার্ভার যদি CRL-এ পৌঁছাতে না পারে, তবে অথেন্টিকেশন ব্যর্থ হবে। নিশ্চিত করুন যে আপনার CRL এন্ডপয়েন্টগুলো অত্যন্ত সহজলভ্য এবং RADIUS পরিকাঠামো থেকে অ্যাক্সেসযোগ্য। দ্বিতীয়: সাপ্লিক্যান্ট কনফিগারেশন। এটি এন্ড ইউজারের ওপর ছেড়ে দেবেন না। WiFi প্রোফাইল পুশ করতে আপনার MDM - Microsoft Intune, Workspace ONE বা আপনি যা-ই ব্যবহার করেন না কেন - সেটি ব্যবহার করুন। প্রোফাইলটিতে অবশ্যই ট্রাস্টেড রুট CA স্পষ্টভাবে সংজ্ঞায়িত করতে হবে এবং এটি নির্দিষ্ট করতে হবে যে ক্লায়েন্টের শুধুমাত্র আপনার নির্দিষ্ট RADIUS সার্ভারের নামের সাথেই সংযোগ করা উচিত। আপনি যদি এটি না করেন, তবে আপনি Evil Twin অ্যাটাকের ঝুঁকিতে থাকবেন। তৃতীয়ত: লিগ্যাসি ডিভাইস। IoT ডিভাইস, পয়েন্ট-অফ-সেল টার্মিনাল, বা গুদামে থাকা পুরানো বারকোড স্ক্যানারগুলো প্রায়শই 802.1X বা EAP-TLS সমর্থন করে না। আপনাকে অবশ্যই এই ডিভাইসগুলোর জন্য একটি MAC Authentication Bypass (MAB) কৌশল বা কঠোর নেটওয়ার্ক আইসোলেশনসহ একটি ডেডিকেটেড প্রি-শেয়ার্ড কী নেটওয়ার্কের পরিকল্পনা করতে হবে। একটি লিগ্যাসি প্রিন্টারের জন্য আপনার প্রাথমিক করপোরেট SSID-এর সাথে আপস করবেন না। [র‌্যাপিড-ফায়ার প্রশ্নোত্তর - ১ মিনিট] উপস্থাপক: আসুন নেটওয়ার্ক আর্কিটেক্টদের কাছ থেকে আমরা যে কয়েকটি দ্রুত প্রশ্ন শুনি সেগুলোর উত্তর দেওয়া যাক। প্রশ্ন এক: আমরা কি Azure Entra ID-এর সাথে PEAP-MSCHAPv2 ব্যবহার করতে পারি? উত্তর: হ্যাঁ, NPS-এর মাধ্যমে, কিন্তু Microsoft সক্রিয়ভাবে ক্রেডেনশিয়াল-ভিত্তিক প্রমাণীকরণ বাতিল করছে। EAP-TLS-এ চলে যান। এটি আরও নিরাপদ এবং আরও ভাল ব্যবহারকারীর অভিজ্ঞতা প্রদান করে। প্রশ্ন দুই: এটি কীভাবে Purple-এর গেস্ট WiFi-এর সাথে সংহত হয়? উত্তর: এগুলো আলাদা রাখুন। আপনার করপোরেট নেটওয়ার্ক Azure Entra ID-এর সাথে যুক্ত 802.1X ব্যবহার করে। আপনার গেস্ট নেটওয়ার্ক বিশ্লেষণ, শর্তাবলী গ্রহণ এবং বিপণন ডেটা ক্যাপচারের জন্য Purple দ্বারা চালিত একটি Captive Portal সহ একটি ওপেন SSID ব্যবহার করে। এমনকি গেস্টদের নির্বিঘ্নে পুনরায় ভিজিট করার জন্য আপনি Purple-এর প্রোফাইল-ভিত্তিক প্রমাণীকরণ ব্যবহার করতে পারেন, যা সেই ট্রাফিককে আপনার করপোরেট ডেটা থেকে সম্পূর্ণ আলাদা রাখে। [সারসংক্ষেপ এবং পরবর্তী পদক্ষেপ - ১ মিনিট] উপস্থাপক: শেষ করার জন্য: WiFi প্রমাণীকরণের জন্য Azure Entra ID-এ স্থানান্তরিত হওয়া একটি জিরো-ট্রাস্ট আর্কিটেকচারের দিকে একটি মৌলিক পদক্ষেপ। এটি পাসওয়ার্ড পরিবর্তনের হেল্পডেস্ক টিকিটগুলোকে দূর করে, ক্রেডেনশিয়াল চুরি হ্রাস করে এবং শুধুমাত্র অনুগত, পরিচালিত ডিভাইসগুলো যাতে আপনার অভ্যন্তরীণ নেটওয়ার্কে অ্যাক্সেস পায় তা নিশ্চিত করে। আপনার পরবর্তী পদক্ষেপ? আপনার বর্তমান RADIUS পরিকাঠামো অডিট করুন। আপনি যদি অন-প্রিমে লিগ্যাসি NPS চালান, তাহলে ক্লাউড RADIUS সমাধানগুলো মূল্যায়ন করুন যা সরাসরি Azure Entra ID এবং Intune-এর সাথে সংহত হয়। আপনার সার্টিফিকেট স্থাপনের কৌশলের পরিকল্পনা করুন। এই প্রযুক্তিগত ব্রিফিংয়ে যোগ দেওয়ার জন্য ধন্যবাদ। আপনার নেটওয়ার্কগুলো সুরক্ষিত রাখুন এবং পরবর্তী সময়ে আপনার সাথে আবার দেখা হবে।

header_image.png

কার্যনির্বাহী সংক্ষিপ্তসার (Executive Summary)

বৃহৎ hospitality ভেন্যু থেকে শুরু করে গতিশীল retail স্পেসের মতো জটিল পরিবেশ পরিচালনাকারী CTO এবং নেটওয়ার্ক স্থপতিদের জন্য - কর্পোরেট নেটওয়ার্ক সুরক্ষিত করা এখন আর কেবল শক্তিশালী পাসওয়ার্ডের বিষয় নয়। ঐতিহ্যবাহী প্রি-শেয়ার্ড কি (PSKs) এবং মৌলিক ক্রেডেনশিয়াল যাচাইকরণ মূলত আধুনিক জিরো-ট্রাস্ট আর্কিটেকচারের সাথে বেমানান।

এই নির্দেশিকাটি সরাসরি Azure Entra ID (পূর্বে Azure AD)-এর সাথে একীভূত 802.1X সার্টিফিকেট-ভিত্তিক WiFi অথেন্টিকেশন-এ স্থানান্তরের বিস্তারিত বর্ণনা করে। EAP-TLS (এক্সটেনসিবল অথেন্টিকেশন প্রোটোকল উইথ ট্রান্সপোর্ট লেয়ার সিকিউরিটি)-এ স্থানান্তরিত হওয়ার মাধ্যমে, এন্টারপ্রাইজগুলি ক্রেডেনশিয়াল চুরির সাথে সম্পর্কিত ঝুঁকিগুলি দূর করতে পারে, মোবাইল ডিভাইস ম্যানেজমেন্ট (MDM)-এর মাধ্যমে ডিভাইস তালিকাভুক্তি স্বয়ংক্রিয় করতে পারে এবং এটি নিশ্চিত করতে পারে যে কেবল অনুগত, পরিচালিত ডিভাইসগুলিই সংবেদনশীল কর্পোরেট VLAN-গুলিতে অ্যাক্সেস করতে পারে। আমরা টেকনিক্যাল আর্কিটেকচার, ডিপ্লয়মেন্টের ধাপগুলি এবং Purple-এর মতো প্ল্যাটফর্ম দ্বারা পরিচালিত গেস্ট নেটওয়ার্ক কৌশলগুলির সমান্তরালে এই এন্টারপ্রাইজ সিকিউরিটি পজিশন কীভাবে কাজ করে তা অন্বেষণ করব।

টেকনিক্যাল ডিপ ডাইভ (Technical Deep Dive)

ক্রেডেনশিয়াল থেকে ডিজিটাল সার্টিফিকেটে রূপান্তর

ঐতিহাসিকভাবে, এন্টারপ্রাইজ WiFi PEAP-MSCHAPv2-এর উপর নির্ভর করত, যার জন্য ব্যবহারকারীদের তাদের ডোমেন ক্রেডেনশিয়াল লিখতে হতো। তবে, অ্যাডভারসারি-ইন-দ্য-মিডল (AiTM) আক্রমণের প্রতি সংবেদনশীলতার কারণে, Microsoft সক্রিয়ভাবে ক্রেডেনশিয়াল-ভিত্তিক অথেন্টিকেশন বাতিল করছে। বর্তমান শিল্প মান হলো EAP-TLS, যা পারস্পরিক সার্টিফিকেট যাচাইকরণ ব্যবহার করে।

একটি EAP-TLS ডিপ্লয়মেন্টে, RADIUS সার্ভার এবং ক্লায়েন্ট ডিভাইস উভয়ই ডিজিটাল সার্টিফিকেট উপস্থাপন করে। যদি কোনও ডিভাইসে আপনার বিশ্বস্ত সার্টিফিকেট অথরিটি (CA) দ্বারা জারি করা বৈধ সার্টিফিকেট না থাকে, তবে ডিভাইসটি একটি IP অ্যাড্রেস পাওয়ার আগেই RADIUS সার্ভার সংযোগটি প্রত্যাখ্যান করে।

architecture_overview.png

আর্কিটেকচারাল ব্রিজ: RADIUS এবং Entra ID

Azure Entra ID হলো একটি ক্লাউড আইডেন্টিটি প্রোভাইডার (IdP) যা SAML এবং OIDC-এর মতো আধুনিক প্রোটোকল ব্যবহার করে; এটি ওয়্যারলেস অ্যাক্সেস পয়েন্ট (WAPs) দ্বারা ব্যবহৃত RADIUS প্রোটোকল স্থানীয়ভাবে বোঝে না। এই ব্যবধানটি দূর করতে, নেটওয়ার্ক স্থপতিদের অবশ্যই এমন একটি RADIUS সার্ভার স্থাপন করতে হবে যা Entra ID-এর সাথে যোগাযোগ করতে সক্ষম। এটি সাধারণত এর মাধ্যমে অর্জিত হয়:

  1. ক্লাউড RADIUS সমাধান: বিশেষভাবে তৈরি প্ল্যাটফর্ম (যেমন SecureW2, SCEPman বা Portnox) যা API-এর মাধ্যমে সরাসরি Entra ID এবং Intune-এর সাথে একীভূত হয়।
  2. অন-প্রিমিসেস নেটওয়ার্ক পলিসি সার্ভার (NPS): Azure MFA এক্সটেনশন ব্যবহার করে, যদিও ক্লাউড-নেটিভ RADIUS-এর তুলনায় এটিকে ক্রমবর্ধমানভাবে একটি লেগ্যাসি পদ্ধতি হিসাবে বিবেচনা করা হয়।

eap_comparison_chart.png

Implementation Guide

WiFi অথেনটিকেশনের জন্য Azure Entra ID স্থাপন করার জন্য আইডেন্টিটি, ডিভাইস ম্যানেজমেন্ট এবং নেটওয়ার্ক ইনফ্রাস্ট্রাকচার টিমের মধ্যে সমন্বয় প্রয়োজন।

Step 1: Establish the Public Key Infrastructure (PKI)

ক্লায়েন্ট এবং সার্ভার সার্টিফিকেট ইস্যু করার জন্য আপনাকে একটি CA প্রতিষ্ঠা করতে হবে। ক্লাউড ফার্স্ট পরিবেশে, এটি সাধারণত Simple Certificate Enrolment Protocol (SCEP) এর মাধ্যমে Microsoft Intune এর সাথে একীভূত একটি ক্লাউড PKI।

Step 2: Configure the RADIUS Server

আপনার RADIUS ইনফ্রাস্ট্রাকচার স্থাপন করুন এবং এটিকে আপনার Entra ID টেন্যান্টের সাথে যুক্ত করুন। EAP হ্যান্ডশেকের সময় নিজের আইডেন্টিটি প্রমাণ করার জন্য RADIUS সার্ভারের নিজস্ব একটি সার্ভার সার্টিফিকেট প্রয়োজন - যা আপনার ক্লায়েন্ট ডিভাইস দ্বারা বিশ্বস্ত।

Step 3: Deploy MDM Profiles via Intune

ব্যবহারকারীদের ম্যানুয়ালি তাদের WiFi সেটিংস কনফিগার করার উপর নির্ভর করবেন না। একটি সম্পূর্ণ WiFi প্রোফাইল পুশ করতে Intune ব্যবহার করুন যার মধ্যে রয়েছে:

  • বিশ্বস্ত রুট CA সার্টিফিকেট।
  • ক্লায়েন্ট সার্টিফিকেটের জন্য অনুরোধ করতে ব্যবহৃত SCEP প্রোফাইল।
  • WiFi কনফিগারেশন নিজেই, যা Evil Twin আক্রমণ প্রতিরোধ করতে SSID এবং RADIUS ইনফ্রাস্ট্রাকচারের সঠিক সার্ভার নামগুলি স্পষ্টভাবে সংজ্ঞায়িত করে।

Step 4: Configure the Wireless LAN Controller (WLC)

WPA2/WPA3-Enterprise (802.1X) ব্যবহার করতে আপনার অ্যাক্সেস পয়েন্ট বা WLC কনফিগার করুন। অথেনটিকেশন এবং অ্যাকাউন্টিং ট্রাফিক আপনার নতুন RADIUS সার্ভার IP অ্যাড্রেসগুলিতে নির্দেশ করুন, এবং শেয়ার্ড RADIUS সিক্রেট সেট করুন।

> "802.1X কনফিগার করার সময়, নিশ্চিত করুন যে WLC-তে RADIUS টাইমআউট মানগুলি ক্লাউড সার্টিফিকেট যাচাইকরণের লেটেন্সির জন্য পর্যাপ্ত, যা সাধারণত ২ সেকেন্ড থেকে বাড়িয়ে ৫ সেকেন্ড করা হয়।" [1]

Best Practices

  • কর্পোরেট এবং গেস্ট ট্রাফিক আলাদা করুন: কর্পোরেট ডিভাইসগুলির Entra ID এর সাথে যুক্ত 802.1X ব্যবহার করা উচিত। গেস্ট ডিভাইসগুলির একটি captive portal সহ একটি ওপেন SSID ব্যবহার করা উচিত। শক্তিশালী গেস্ট অ্যাক্সেস এবং অ্যানালিটিক্সের জন্য, একটি Guest WiFi সমাধান ব্যবহার করুন। এটি অবিশ্বাস্য ট্রাফিকের সম্পূর্ণ আইসোলেশন নিশ্চিত করে।
  • সতর্কতার সাথে MAC Authentication Bypass (MAB) প্রয়োগ করুন: IoT ডিভাইস এবং লেগ্যাসি হার্ডওয়্যার - যেমন transport হাবগুলির পুরানো স্ক্যানার - প্রায়শই 802.1X সমর্থন করতে পারে না। এই ডিভাইসগুলিকে MAB বা একটি ডেডিকেটেড PSK ব্যবহার করে একটি পৃথক SSID-তে রাখুন এবং কঠোর ACL দিয়ে তাদের নেটওয়ার্ক অ্যাক্সেস সীমিত করুন।
  • সার্টিফিকেট রিভোকেশনকে অগ্রাধিকার দিন: আপনার Certificate Revocation List (CRL) বা Online Certificate Status Protocol (OCSP) এন্ডপয়েন্টগুলি অত্যন্ত উপলব্ধ রয়েছে তা নিশ্চিত করুন। RADIUS সার্ভার যদি রিভোকেশন স্ট্যাটাস যাচাই করতে না পারে, তবে অথেনটিকেশন ব্যর্থ হবে।

Troubleshooting and Risk Mitigation

যখন ডেপ্লয়মেন্ট ব্যর্থ হয়, তখন ক্লাউড IdP-এর ত্রুটি খুব কমই থাকে। সাধারণ ব্যর্থতার কারণগুলির মধ্যে রয়েছে:

  • ক্লক স্কিউ (Clock skew): EAP-TLS অত্যন্ত সময় সংবেদনশীল। নিশ্চিত করুন যে সমস্ত ইনফ্রাস্ট্রাকচার উপাদান - বিশেষ করে WLC এবং RADIUS সার্ভারগুলি - NTP-এর মাধ্যমে সিঙ্ক্রোনাইজ করা হয়েছে।
  • Intune সিঙ্ক লেটেন্সি: নতুন ডিভাইসগুলি এনরোল করার সময়, SCEP সার্টিফিকেট ইস্যু করা এবং ডিভাইসের সংযোগ করার চেষ্টার মধ্যে একটি বিলম্ব হতে পারে। অনবোর্ডিংয়ের সময় এই বিলম্বের জন্য পরিকল্পনা রাখুন।
  • RADIUS server name mismatch: Intune WiFi প্রোফাইলে ডিফাইন করা সার্ভার নেমটি যদি RADIUS সার্ভার সার্টিফিকেটের Common Name (CN) বা Subject Alternative Name (SAN) এর সাথে হুবহু না মেলে, তবে ক্ষতিকারক AP-র হাত থেকে রক্ষা পেতে ক্লায়েন্টরা কোনো সতর্কবার্তা ছাড়াই ডিসকানেক্ট হয়ে যাবে।

আপনার ইনফ্রাস্ট্রাকচার সুরক্ষিত করার আরও গভীর বিশ্লেষণের জন্য, কিভাবে রোবাস্ট DNS এবং সিকিউরিটি দিয়ে আপনার নেটওয়ার্ক সুরক্ষিত করবেন সংক্রান্ত আমাদের গাইডটি দেখুন।

ROI এবং ব্যবসায়িক প্রভাব

Azure Entra ID WiFi অথেন্টিকেশনে স্থানান্তরিত হওয়া উল্লেখযোগ্য সুবিধা প্রদান করে:

  1. হেল্পডেস্কের খরচ হ্রাস: পাসওয়ার্ড-ভিত্তিক অথেন্টিকেশন বাদ দিলে পাসওয়ার্ড লকআউট এবং WiFi ক্রেডেনশিয়াল রিনিউয়াল সম্পর্কিত সাপোর্ট টিকিট নাটকীয়ভাবে কমে যায়।
  2. দ্রুত কমপ্লায়েন্স অর্জন: EAP-TLS এমন ক্রিপ্টোগ্রাফিক প্রুফ অফ আইডেন্টিটি প্রদান করে যা PCI-DSS এবং ISO 27001 এর মতো ফ্রেমওয়ার্কগুলোর জন্য অত্যন্ত প্রয়োজনীয়, যা বিশেষ করে healthcare এবং রিটেল এনভায়রনমেন্টে অপরিহার্য।
  3. স্বয়ংক্রিয় অফবোর্ডিং: কোনো কর্মচারী চলে গেলে, Entra ID-তে তার অ্যাকাউন্টটি নিষ্ক্রিয় করার সাথে সাথে সমস্ত লোকেশনে তার নেটওয়ার্ক অ্যাক্সেস বাতিল হয়ে যায়, যা ইনসাইডার থ্রেট হ্রাস করে।

কর্পোরেট কোর নেটওয়ার্ক সুরক্ষিত করার মাধ্যমে, IT টিমগুলো রেভিনিউ জেনারেটিং উদ্যোগের ওপর ফোকাস করতে পারে, যেমন ভিজিটরদের আচরণ বুঝতে এবং এনগেজমেন্ট বাড়াতে WiFi Analytics ব্যবহার করা।


References

[1] Microsoft Learn. (2023). Secure Wi-Fi access with Intune and EAP-TLS.

মূল সংজ্ঞাসমূহ

802.1X

পোর্ট - ভিত্তিক নেটওয়ার্ক অ্যাক্সেস নিয়ন্ত্রণের জন্য একটি IEEE স্ট্যান্ডার্ড, যেখানে LAN বা WLAN-এ অ্যাক্সেস পাওয়ার আগে ডিভাইসগুলোকে অথেনটিকেট করতে হয়।

এটি হলো অন্তর্নিহিত প্রোটোকল যা এন্টারপ্রাইজ WiFi-কে সুরক্ষিত করে, যা সাধারণ শেয়ার্ড পাসওয়ার্ডের বাইরে কাজ করে।

EAP-TLS

ট্রান্সপোর্ট লেয়ার সিকিউরিটি সহ এক্সটেনসিবল অথেনটিকেশন প্রোটোকল। একটি অথেনটিকেশন পদ্ধতি যার জন্য ক্লায়েন্ট এবং সার্ভার উভয়ের ক্ষেত্রেই ডিজিটাল সার্টিফিকেটের প্রয়োজন হয়।

WiFi অথেনটিকেশনের জন্য সবচেয়ে নিরাপদ পদ্ধতি হিসেবে বিবেচিত, যা ক্রেডেনশিয়াল চুরি এবং AiTM আক্রমণ প্রতিরোধ করে।

RADIUS

রিমোট অথেনটিকেশন ডায়াল-ইন ইউজার সার্ভিস। একটি নেটওয়ার্কিং প্রোটোকল যা সেন্ট্রালাইজড অথেনটিকেশন, অথরাইজেশন এবং অ্যাকাউন্টিং (AAA) প্রদান করে।

অথেনটিকেশন সার্ভারকে "আমি কি এই ডিভাইসটিকে নেটওয়ার্কে প্রবেশ করতে দেব?" জিজ্ঞেস করার জন্য আপনার অ্যাক্সেস পয়েন্টগুলো এই প্রোটোকলটি ব্যবহার করে।

SCEP

সিম্পল সার্টিফিকেট এনরোলমেন্ট প্রোটোকল। নেটওয়ার্ক ডিভাইসে নিরাপদে সার্টিফিকেট ইস্যু করার জন্য ব্যবহৃত একটি প্রোটোকল।

কর্পোরেট ল্যাপটপ এবং ফোনে নীরবে ক্লায়েন্ট সার্টিফিকেটের জন্য অনুরোধ এবং ইনস্টল করতে Intune-এর মতো MDM প্ল্যাটফর্মগুলো এটি ব্যবহার করে।

MAC Authentication Bypass (MAB)

ইউজারনেম বা সার্টিফিকেটের পরিবর্তে ডিভাইসের MAC অ্যাড্রেসের ওপর ভিত্তি করে নেটওয়ার্ক অ্যাক্সেস দেওয়ার একটি পদ্ধতি।

লেগাসি ডিভাইসগুলোর (যেমন পুরানো প্রিন্টার বা IoT সেন্সর) ব্যাকআপ হিসেবে ব্যবহৃত হয় যেগুলোতে 802.1X হ্যান্ডশেক করার জন্য প্রয়োজনীয় সফটওয়্যার নেই।

Evil Twin Attack

একটি প্রতারণামূলক অ্যাক্সেস পয়েন্ট যা ট্র্যাফিক ইন্টারসেপ্ট করতে বা ক্রেডেনশিয়াল চুরি করতে একটি বৈধ কর্পোরেট SSID-এর ছদ্মবেশ ধারণ করে।

EAP-TLS এটিকে প্রশমিত করে কারণ ক্লায়েন্ট ডিভাইসটিকে শুধুমাত্র বৈধ কর্পোরেট RADIUS সার্ভারের নির্দিষ্ট শংসাপত্রকে বিশ্বাস করার জন্য কনফিগার করা হয়।

Supplicant

এন্ডপয়েন্ট ডিভাইসের সফটওয়্যার ক্লায়েন্ট (যেমন, Windows WiFi ম্যানেজার) যা 802.1X প্রমাণীকরণ প্রক্রিয়া পরিচালনা করে।

আইটি টিমকে অবশ্যই MDM-এর মাধ্যমে supplicant কনফিগার করতে হবে যাতে এটি সুরক্ষিতভাবে আচরণ করে এবং ব্যবহারকারীদের যেন অবিশ্বস্ত সার্ভার শংসাপত্র গ্রহণ করার জন্য অনুরোধ না করে।

Conditional Access

Azure Entra ID নীতি যা অ্যাক্সেসের সিদ্ধান্ত নিতে সিগন্যাল (ব্যবহারকারী, অবস্থান, ডিভাইসের কমপ্লায়েন্স) মূল্যায়ন করে।

আধুনিক Cloud RADIUS সমাধানগুলি WiFi হ্যান্ডশেকের সময় Conditional Access পরীক্ষা করতে পারে, যদি Intune ডিভাইসটিকে নন-কমপ্লায়েন্ট হিসেবে ফ্ল্যাগ করে তবে নেটওয়ার্ক অ্যাক্সেস প্রত্যাখ্যান করে।

সমাধানকৃত উদাহরণসমূহ

একটি ৫০০-সাইটের রিটেইল চেইনের ইনভেন্টরি ম্যানেজমেন্টের জন্য ব্যবহৃত ব্যাক - অফ - হাউস iPad-গুলোর নিরাপত্তা নিশ্চিত করতে হবে। বর্তমানে, তারা সমস্ত স্টোর জুড়ে একটি একক শেয়ার্ড PSK ব্যবহার করে। কীভাবে তাদের Azure Entra ID অথেনটিকেশনে মাইগ্রেট করা উচিত?

১. সমস্ত iPad-কে Microsoft Intune-এ এনরোল করুন। ২. কর্পোরেট Entra ID টেন্যান্টের সাথে সংহত একটি Cloud RADIUS সমাধান ডেপ্লয় করুন। ৩. প্রতিটি iPad-এ একটি SCEP সার্টিফিকেট ডেপ্লয় করতে Intune কনফিগার করুন। ৪. Intune-এর মাধ্যমে একটি WiFi প্রোফাইল পুশ করুন যা Cloud RADIUS সার্ভারের সার্টিফিকেট যাচাই করে, EAP-TLS ব্যবহার করে 'Corporate-BOH' SSID-এর সাথে সংযোগ করার জন্য iPad-গুলোকে কনফিগার করে। ৫. ৫০০টি স্টোরের সবকটিতে Meraki/Aruba অ্যাক্সেস পয়েন্টগুলো আপডেট করুন যাতে সেগুলো 'Corporate-BOH' SSID-এর জন্য Cloud RADIUS IP অ্যাড্রেসগুলোকে নির্দেশ করে। ৬. পর্যায়ভিত্তিক রোলআউট: নতুন SSID সক্ষম করুন, Intune রিপোর্টিংয়ের মাধ্যমে iPad কানেক্টিভিটি যাচাই করুন, তারপর লেগাসি PSK SSID বন্ধ করে দিন।

পরীক্ষকের মন্তব্য: এই পদ্ধতিটি শেয়ার্ড PSK-এর ব্যবহার দূর করে, যা কোনো ডিভাইস চুরি হলে একটি বিশাল নিরাপত্তা ঝুঁকি। EAP-TLS এবং Intune ব্যবহার করে অথেনটিকেশনটিকে ডিভাইসের ম্যানেজমেন্ট স্টেটের সাথে যুক্ত করা হয়। যদি কোনো iPad হারিয়ে যায়, IT টিম কেবল সার্টিফিকেটটি বাতিল করে দেয় বা Intune-এ ডিভাইসটি ওয়াইপ করে দেয়, যা অন্য ৪৯৯টি স্টোরকে প্রভাবিত না করেই তাৎক্ষণিকভাবে নেটওয়ার্ক অ্যাক্সেস বন্ধ করে দেয়।

একটি বিশ্ববিদ্যালয় ক্যাম্পাস অন - প্রেম Active Directory থেকে Azure Entra ID-তে মাইগ্রেট করছে। তাদের হাজার হাজার BYOD (Bring Your Own Device) শিক্ষার্থীর ল্যাপটপ রয়েছে যা বর্তমানে PEAP-MSCHAPv2 (ইউজারনেম এবং পাসওয়ার্ড) ব্যবহার করে সংযোগ করে। একটি ক্লাউড - ফার্স্ট Entra ID এনভায়রনমেন্টে তারা কীভাবে BYOD পরিচালনা করবে?

১. একটি অনবোর্ডিং পোর্টাল ডেপ্লয় করুন (যেমন, SecureW2 JoinNow বা অনুরূপ BYOD অনবোর্ডিং টুল)। ২. শিক্ষার্থীরা একটি ওপেন 'Onboarding' SSID-এর সাথে সংযোগ করবে, যা তাদের পোর্টালে রিডাইরেক্ট করবে। ৩. পোর্টালটি শিক্ষার্থীকে Azure Entra ID-এর বিপরীতে (তাদের বিশ্ববিদ্যালয়ের ইমেল এবং MFA ব্যবহার করে) অথেনটিকেট করতে অনুরোধ করবে। ৪. সফল অথেনটিকেশনের পর, পোর্টালটি একটি অনন্য ক্লায়েন্ট সার্টিফিকেট তৈরি করে এবং শিক্ষার্থীর ডিভাইসটিকে EAP-TLS-এর জন্য স্বয়ংক্রিয়ভাবে কনফিগার করে। ৫. ডিভাইসটি নতুন সার্টিফিকেট ব্যবহার করে স্বয়ংক্রিয়ভাবে সুরক্ষিত 'Edu-Secure' SSID-এর সাথে সংযুক্ত হবে।

পরীক্ষকের মন্তব্য: আনম্যানেজড BYOD ডিভাইসগুলোর জন্য সার্টিফিকেট পরিচালনা করা 802.1X-এর সবচেয়ে কঠিন অংশ। আপনি Intune ব্যবহার করতে পারবেন না কারণ বিশ্ববিদ্যালয় ল্যাপটপগুলোর মালিক নয়। একটি অনবোর্ডিং পোর্টাল ব্যবহার এই ব্যবধানটি পূরণ করে, যা IT টিমকে ম্যানুয়ালি হাজার হাজার শিক্ষার্থীর ল্যাপটপ স্পর্শ না করেই সুরক্ষিত EAP-TLS ব্যবহারের সুবিধা দেয়।

অনুশীলনী প্রশ্নসমূহ

Q1. আপনার প্রতিষ্ঠান Azure Entra ID এবং Intune-এ স্থানান্তরিত হচ্ছে। আপনি বর্তমানে WiFi-এর জন্য PEAP-MSCHAPv2 ব্যবহার করছেন। সিকিউরিটি টিম নির্দেশ দিয়েছে যে WiFi প্রমাণীকরণ অবশ্যই ক্রেডেনশিয়াল চুরি প্রতিরোধী হতে হবে। আপনার কোন EAP পদ্ধতি স্থাপন করা উচিত?

ইঙ্গিত: কোন পদ্ধতিটি পাসওয়ার্ডের পরিবর্তে সম্পূর্ণরূপে শংসাপত্রের উপর নির্ভর করে?

মডেল উত্তর দেখুন

আপনার EAP-TLS স্থাপন করা উচিত। EAP-TLS পারস্পরিক শংসাপত্র প্রমাণীকরণ ব্যবহার করে, যার অর্থ ক্লায়েন্ট ডিভাইসটিকে অবশ্যই আপনার PKI দ্বারা জারি করা একটি বৈধ শংসাপত্র উপস্থাপন করতে হবে। যেহেতু এটি পাসওয়ার্ড ব্যবহার করে না, এটি ক্রেডেনশিয়াল চুরি এবং অ্যাডভারসারি-ইন-দ্য-মিডল আক্রমণের বিরুদ্ধে অত্যন্ত প্রতিরোধী।

Q2. Intune-এর মাধ্যমে EAP-TLS স্থাপন করার পরে, ব্যবহারকারীরা রিপোর্ট করছেন যে তারা WiFi-এর সাথে সংযোগ করতে পারছেন না। RADIUS লগগুলি দেখে আপনি 'Certificate Revocation Check Failed' দেখতে পাচ্ছেন। এর সবচেয়ে সম্ভাব্য কারণ কী?

ইঙ্গিত: একটি শংসাপত্র আপোস করা হয়েছে কিনা তা যাচাই করতে RADIUS সার্ভারকে কোন অবকাঠামোর সাথে যোগাযোগ করতে হবে?

মডেল উত্তর দেখুন

RADIUS সার্ভারটি আপনার Certificate Authority-এর Certificate Revocation List (CRL) বা OCSP এন্ডপয়েন্টে পৌঁছাতে পারছে না। নিশ্চিত করুন যে ফায়ারওয়ালগুলি RADIUS সার্ভারকে ক্লায়েন্ট শংসাপত্রে নির্দিষ্ট করা HTTP URL-গুলিতে আউটবাউন্ড অ্যাক্সেসের অনুমতি দেয়।

Q3. একটি হাসপাতালে ৫০টি লিগ্যাসি হার্ট-রেট মনিটর নেটওয়ার্কের সাথে সংযুক্ত করা প্রয়োজন। এই ডিভাইসগুলি কেবল WPA2-Personal (Pre-Shared Key) সমর্থন করে এবং Intune-এ নথিভুক্ত করা যায় না। কর্পোরেট ল্যাপটপের জন্য আপনার Entra ID 802.1X স্থাপনা বজায় রাখার পাশাপাশি আপনি কীভাবে সেগুলিকে সুরক্ষিত করবেন?

ইঙ্গিত: একই SSID-তে প্রমাণীকরণের ধরনগুলি মিশ্রিত করবেন না।

মডেল উত্তর দেখুন

মেডিকেল IoT ডিভাইসগুলির জন্য বিশেষভাবে একটি ডেডিকেটেড, পৃথক SSID তৈরি করুন। একটি শক্তিশালী, অনন্য Pre-Shared Key (অথবা আপনার নেটওয়ার্ক ভেন্ডর দ্বারা সমর্থিত হলে Identity PSK/iPSK) বা MAC Authentication Bypass (MAB) ব্যবহার করুন। অত্যন্ত গুরুত্বপূর্ণ বিষয় হলো, এই SSID-টিকে কঠোর অ্যাক্সেস কন্ট্রোল লিস্ট (ACLs) সহ একটি অত্যন্ত সীমাবদ্ধ VLAN-এ রাখুন যা কেবল মনিটরগুলিকে তাদের নির্দিষ্ট মেডিকেল সার্ভারের সাথে যোগাযোগ করার অনুমতি দেয় এবং অন্য সমস্ত ল্যাটারাল নেটওয়ার্ক অ্যাক্সেস ব্লক করে।

এই সিরিজে পড়া চালিয়ে যান

Guest এবং Staff WiFi নেটওয়ার্কের জন্য RADIUS Authentication কনফিগার করা

এই টেকনিক্যাল রেফারেন্স গাইডটি এন্টারপ্রাইজ guest এবং staff WiFi নেটওয়ার্কের জন্য RADIUS authentication-এর আর্কিটেকচার, কনফিগারেশন এবং ডিপ্লয়মেন্টের রূপরেখা প্রদান করে। এটি নেটওয়ার্ক আর্কিটেক্ট এবং IT ম্যানেজারদের সুরক্ষিত, স্কেলযোগ্য ওয়্যারলেস অ্যাক্সেস কন্ট্রোল সিস্টেম তৈরি করার জন্য প্রয়োজনীয় সঠিক প্রোটোকল, সিকিউরিটি স্ট্যান্ডার্ড এবং ট্রাবলশুটিং মেথডোলজি প্রদান করে।

গাইডটি পড়ুন →

Passpoint এবং OpenRoaming: সম্পূর্ণ নির্দেশিকা

এই প্রযুক্তিগত রেফারেন্স নির্দেশিকাটি এন্টারপ্রাইজ WiFi নেটওয়ার্কের মধ্যে Passpoint (Hotspot 2.0) এবং WBA OpenRoaming ফ্রেমওয়ার্কের একটি বিস্তৃত বিশ্লেষণ প্রদান করে। এটি একটি নিরাপদ, ঝামেলামুক্ত অতিথি সংযোগ স্থাপন করার জন্য প্রয়োজনীয় অন্তর্নিহিত প্রমাণীকরণ প্রোটোকল, আর্কিটেকচারাল উপাদান এবং স্থাপনার কৌশলগুলি বিস্তারিতভাবে বর্ণনা করে। নেটওয়ার্ক স্থপতি এবং IT লিডাররা এন্টারপ্রাইজ-গ্রেড নিরাপত্তা বজায় রেখে ম্যানুয়াল লগইন বাধাগুলি দূর করতে কীভাবে এই মানগুলি ডিজাইন, বাস্তবায়ন এবং সমস্যা সমাধান করবেন তা শিখবেন।

গাইডটি পড়ুন →

উচ্চশিক্ষায় সুরক্ষিত BYOD এবং নেটওয়ার্ক এনরোলমেন্টের জন্য কীভাবে SCEP বাস্তবায়ন করবেন

এই প্রযুক্তিগত নির্দেশিকাটি নেটওয়ার্ক আর্কিটেক্ট এবং IT ম্যানেজারদের উচ্চশিক্ষার ক্যাম্পাস নেটওয়ার্ক সুরক্ষিত করতে SCEP ভিত্তিক সার্টিফিকেট এনরোলমেন্ট স্থাপনের জন্য একটি ভেন্ডর - নিরপেক্ষ ব্লুপ্রিন্ট প্রদান করে। এটি কীভাবে পাসওয়ার্ড ভিত্তিক PEAP থেকে 802.1X EAP-TLS-এ স্থানান্তরিত হতে হবে, BYOD অনবোর্ডিং স্বয়ংক্রিয় করতে হবে এবং শক্তিশালী VLAN সেগমেন্টেশন কার্যকর করতে হবে তা বিস্তারিতভাবে বর্ণনা করে।

গাইডটি পড়ুন →