মূল কন্টেন্টে যান
বাংলা

WiFi অথেন্টিকেশনের জন্য কীভাবে একটি RADIUS সার্ভার সেট আপ করবেন

এই প্রামাণিক গাইডটি IT লিডার এবং নেটওয়ার্ক আর্কিটেক্টদের এন্টারপ্রাইজ WiFi অথেন্টিকেশনের জন্য একটি RADIUS সার্ভার ডিপ্লয় করার একটি বিস্তৃত ব্লুপ্রিন্ট প্রদান করে। এটি অন-প্রিমিস এবং ক্লাউড-হোস্টেড ডিপ্লয়মেন্টের আর্কিটেকচারাল সুবিধা-অসুবিধা, EAP মেথড নির্বাচন, Active Directory ইন্টিগ্রেশন এবং ডায়নামিক VLAN অ্যাসাইনমেন্ট কভার করে। ভেন্যু অপারেটর এবং IT টিমগুলো এই ত্রৈমাসিকে একটি অনিরাপদ PSK পরিবেশ থেকে একটি শক্তিশালী 802.1X ইনফ্রাস্ট্রাকচারে যাওয়ার জন্য কার্যকর ইমপ্লিমেন্টেশন পদক্ষেপ, বাস্তব-বিশ্বের কেস স্টাডি এবং রিস্ক মিটিগেশন স্ট্র্যাটেজি খুঁজে পাবে।

📖 8 মিনিট পাঠ📝 1,860 শব্দ🔧 2 সমাধানকৃত উদাহরণ3 অনুশীলনী প্রশ্ন📚 9 মূল সংজ্ঞা

এই গাইডটি শুনুন

পডকাস্ট ট্রান্সক্রিপ্ট দেখুন
Purple-এর টেকনিক্যাল ব্রিফিংয়ে স্বাগতম। আজ আমরা যেকোনো এন্টারপ্রাইজ IT লিডারের জন্য একটি গুরুত্বপূর্ণ ইনফ্রাস্ট্রাকচার সিদ্ধান্ত নিয়ে আলোচনা করছি: WiFi অথেন্টিকেশনের জন্য কীভাবে একটি RADIUS সার্ভার সেট আপ করবেন। আপনি যদি একটি লার্জ-স্কেল ডিপ্লয়মেন্ট ম্যানেজ করেন — তা কোনো হোটেল চেইন, রিটেইল নেটওয়ার্ক বা বিস্তৃত বিশ্ববিদ্যালয় ক্যাম্পাস যাই হোক না কেন — একটি সাধারণ প্রি-শেয়ার্ড কির ওপর নির্ভর করা একটি উল্লেখযোগ্য সিকিউরিটি ঝুঁকি। আমাদের 802.1X প্রয়োজন, এবং এর মানে হলো আমাদের RADIUS প্রয়োজন। চলুন প্রেক্ষাপট দিয়ে শুরু করা যাক। RADIUS, বা Remote Authentication Dial-In User Service, আপনার নেটওয়ার্কের গেটকিপার হিসেবে কাজ করে। যখন কোনো ডিভাইস একটি WiFi অ্যাক্সেস পয়েন্টের সাথে কানেক্ট করার চেষ্টা করে, তখন অ্যাক্সেস পয়েন্টটি একটি অথেন্টিকেটর হিসেবে কাজ করে এবং ক্রেডেনশিয়ালগুলো RADIUS সার্ভারে ফরোয়ার্ড করে। সার্ভার সেই ক্রেডেনশিয়ালগুলো একটি ডিরেক্টরির বিপরীতে চেক করে — যেমন Active Directory বা একটি LDAP ডেটাবেস — এবং তারপর একটি অ্যাক্সেপ্ট বা রিজেক্ট মেসেজ রিটার্ন করে। এটি এন্টারপ্রাইজ WiFi সিকিউরিটির ভিত্তি, এবং এটি সেই মেকানিজম যা আপনাকে স্কেলে গ্র্যানুলার অ্যাক্সেস পলিসি এনফোর্স করার অনুমতি দেয়। এবার চলুন টেকনিক্যাল ডিপ-ডাইভে যাওয়া যাক। আপনি প্রথম যে বড় আর্কিটেকচারাল সিদ্ধান্তের মুখোমুখি হবেন তা হলো একটি অন-প্রিমিস RADIUS সার্ভার এবং একটি ক্লাউড-হোস্টেড সলিউশনের মধ্যে বেছে নেওয়া। ঐতিহাসিকভাবে, Microsoft-এর Network Policy Server, বা NPS, অথবা ওপেন-সোর্স FreeRADIUS-এর মতো অন-প্রিমিস সলিউশনগুলোই স্ট্যান্ডার্ড ছিল। এগুলো ইনফ্রাস্ট্রাকচারের ওপর সম্পূর্ণ কন্ট্রোল অফার করে এবং অথেন্টিকেশনের জন্য কোনো এক্সটার্নাল ইন্টারনেট কানেকশনের ওপর নির্ভর করে না। তবে, এগুলোর জন্য ডেডিকেটেড হার্ডওয়্যার, চলমান মেইনটেন্যান্স এবং রিডান্ডেন্সির ম্যানুয়াল কনফিগারেশন প্রয়োজন। আপনার যদি একটিমাত্র ডেটা সেন্টার এবং পর্যাপ্ত স্টাফ সহ একটি IT টিম থাকে, তবে এটি একটি সম্পূর্ণ বৈধ অ্যাপ্রোচ। অন্যদিকে, ক্লাউড RADIUS সলিউশনগুলো ক্রমবর্ধমানভাবে জনপ্রিয় হয়ে উঠেছে, বিশেষ করে রিটেইল চেইন বা হসপিটালিটি ভেন্যুর মতো ডিস্ট্রিবিউটেড পরিবেশের জন্য। ক্লাউড RADIUS হার্ডওয়্যার ম্যানেজমেন্টকে পুরোপুরি অ্যাবস্ট্রাক্ট করে, বিল্ট-ইন হাই অ্যাভেইলেবিলিটি অফার করে এবং Azure Active Directory বা Okta-এর মতো ক্লাউড আইডেন্টিটি প্রোভাইডারদের সাথে নির্বিঘ্নে ইন্টিগ্রেট করে। এর অসুবিধা হলো অথেন্টিকেশনের জন্য একটি নির্ভরযোগ্য ইন্টারনেট কানেকশন প্রয়োজন, এবং একটি চলমান সাবস্ক্রিপশন খরচ রয়েছে। পঞ্চাশ বা একশটি লোকেশন পরিচালনা করা একজন ভেন্যু অপারেটরের জন্য, প্রতিটি সাইটে অন-প্রিমিস সার্ভার ডিপ্লয় এবং মেইনটেইন না করার অপারেশনাল সাশ্রয় প্রায় নিশ্চিতভাবেই সেই খরচকে ছাড়িয়ে যাবে। RADIUS ডিপ্লয় করার সময়, Extensible Authentication Protocol — EAP — হলো সবচেয়ে গুরুত্বপূর্ণ অংশ। এটি সংজ্ঞায়িত করে কীভাবে ক্লায়েন্ট এবং সার্ভার নেগোশিয়েট করে এবং অথেন্টিকেশন সম্পন্ন করে। EAP-TLS হলো সিকিউরিটির জন্য গোল্ড স্ট্যান্ডার্ড কারণ এটি ক্লায়েন্ট এবং সার্ভার উভয়ের ক্ষেত্রেই ডিজিটাল সার্টিফিকেট ব্যবহার করে, যা পাসওয়ার্ডের প্রয়োজনীয়তা পুরোপুরি দূর করে। এর মানে হলো কোনো আক্রমণকারী যদি অথেন্টিকেশন এক্সচেঞ্জ ক্যাপচারও করে, তবুও চুরি করার মতো কোনো ক্রেডেনশিয়াল থাকে না। তবে, ক্লায়েন্ট সার্টিফিকেট ডিপ্লয় করা অ্যাডমিনিস্ট্রেটিভভাবে ভারী হতে পারে। প্রতিটি ডিভাইসে সার্টিফিকেট পুশ করার জন্য আপনার একটি Public Key Infrastructure এবং একটি MDM সলিউশন প্রয়োজন। PEAP-MSCHAPv2 হলো সবচেয়ে সাধারণ বিকল্প। এটি একটি এনক্রিপ্টেড TLS টানেল তৈরি করতে সার্ভার-সাইড সার্টিফিকেট ব্যবহার করে, যার ভেতরে ইউজার একটি ইউজারনেম এবং পাসওয়ার্ড দিয়ে অথেন্টিকেট করে। এটি EAP-TLS-এর চেয়ে ডিপ্লয় করা উল্লেখযোগ্যভাবে সহজ কারণ আপনাকে শুধুমাত্র একটি সার্টিফিকেট — সার্ভারের — ম্যানেজ করতে হয়। তবে, এবং এটি অত্যন্ত গুরুত্বপূর্ণ — যদি ক্লায়েন্টরা সার্ভারের সার্টিফিকেট যাচাই করার জন্য কঠোরভাবে কনফিগার করা না থাকে, তবে তারা রগ অ্যাক্সেস পয়েন্টের জন্য ঝুঁকিপূর্ণ। একজন আক্রমণকারী একটি ভুয়া অ্যাক্সেস পয়েন্ট দাঁড় করাতে পারে, একটি ভুয়া সার্টিফিকেট উপস্থাপন করতে পারে এবং ক্রেডেনশিয়াল ক্যাপচার করতে পারে। এটি কোনো তাত্ত্বিক অ্যাটাক নয়। এটি একটি সুপরিচিত বাস্তব-বিশ্বের হুমকি। চলুন ইমপ্লিমেন্টেশন রিকমেন্ডেশন এবং পিটফলগুলো নিয়ে কথা বলি। প্রথম রিকমেন্ডেশন হলো প্রতিটি ক্লায়েন্ট ডিভাইসে কঠোর সার্টিফিকেট ভ্যালিডেশন এনফোর্স করা। উইন্ডোজ ডিভাইসের জন্য Group Policy Objects এবং macOS ও মোবাইল ডিভাইসের জন্য MDM প্রোফাইল — তা Intune, Jamf বা অন্য কোনো সলিউশনই হোক না কেন — ব্যবহার করুন। প্রোফাইলে অবশ্যই উল্লেখ থাকতে হবে ঠিক কোন Certificate Authority-কে বিশ্বাস করতে হবে এবং প্রত্যাশিত সার্ভারের নাম কী। এটি ম্যানুয়ালি কনফিগার করার জন্য এন্ড ইউজারের ওপর ছেড়ে দেবেন না। দ্বিতীয় রিকমেন্ডেশন হলো ডায়নামিক VLAN অ্যাসাইনমেন্ট ইমপ্লিমেন্ট করা। সমস্ত অথেনটিকেটেড ইউজারকে একই ফ্ল্যাট নেটওয়ার্কে রাখার পরিবর্তে, ডিরেক্টরিতে তাদের গ্রুপ মেম্বারশিপের ওপর ভিত্তি করে ইউজারকে একটি নির্দিষ্ট VLAN-এ স্থাপন করার জন্য অ্যাক্সেস পয়েন্টকে নির্দেশ দিতে RADIUS সার্ভার কনফিগার করুন। BYOD বা গেস্ট ডিভাইসগুলো থেকে কর্পোরেট ডিভাইসগুলোকে সেগমেন্ট করার জন্য এটি অপরিহার্য। ফাইন্যান্স টিমের একজন স্টাফ মেম্বারকে দিনের জন্য ভিজিট করতে আসা একজন কন্ট্রাক্টরের চেয়ে আলাদা নেটওয়ার্ক সেগমেন্টে থাকতে হবে। তৃতীয় রিকমেন্ডেশনটি গেস্ট অ্যাক্সেস সম্পর্কিত। যেসব ভেন্যুকে ভিজিটরদের WiFi প্রদান করতে হয় — হোটেল, রিটেইল স্টোর, কনফারেন্স সেন্টার — তাদের জন্য Purple-এর Guest WiFi প্ল্যাটফর্মের মতো একটি Captive Portal সলিউশনের সাথে আপনার RADIUS ইনফ্রাস্ট্রাকচার ইন্টিগ্রেট করা একটি শক্তিশালী কম্বিনেশন। স্টাফ এবং কর্পোরেট ডিভাইসগুলো 802.1X-এর মাধ্যমে সাইলেন্টলি অথেন্টিকেট করে, অন্যদিকে গেস্টদের অথেন্টিকেশনের জন্য একটি ব্র্যান্ডেড পোর্টালে ডিরেক্ট করা হয়। Purple-এর প্ল্যাটফর্ম এরপর ফার্স্ট-পার্টি ডেটা ক্যাপচার করে এবং ভিজিটরদের আচরণের ওপর অ্যানালিটিক্স প্রদান করে, যা আপনার নেটওয়ার্ককে একটি কস্ট সেন্টার থেকে একটি বিজনেস ইন্টেলিজেন্স অ্যাসেটে পরিণত করে। এবার একটি র‍্যাপিড-ফায়ার প্রশ্নোত্তর পর্ব। প্রথম প্রশ্ন: RADIUS-এর জন্য কি আমার একটি ডেডিকেটেড সার্ভার প্রয়োজন? অন-প্রিমিস ডিপ্লয়মেন্টের জন্য, হ্যাঁ, ডোমেইন কন্ট্রোলারের সাথে রিসোর্স শেয়ার করার পরিবর্তে এটিকে একটি ডেডিকেটেড ভার্চুয়াল মেশিনে রান করা অত্যন্ত বাঞ্ছনীয়। অথেন্টিকেশন একটি ল্যাটেন্সি-সেনসিটিভ অপারেশন, এবং রিসোর্স কনটেনশন থেমে থেমে ফেইলিউরের কারণ হতে পারে যা ডায়াগনস করা খুব কঠিন। দ্বিতীয় প্রশ্ন: RADIUS কি প্রিন্টার বা IoT সেন্সরের মতো হেডলেস ডিভাইসের জন্য অথেন্টিকেশন হ্যান্ডেল করতে পারে? হ্যাঁ, MAC Authentication Bypass বা MAB-এর মাধ্যমে। এটি 802.1X সক্ষমতা ছাড়া ডিভাইসগুলোকে তাদের MAC অ্যাড্রেসের ওপর ভিত্তি করে অথেনটিকেটেড হওয়ার অনুমতি দেয়। তবে, যেহেতু MAC অ্যাড্রেসগুলো সহজেই স্পুফ করা যায়, তাই MAB-অথেনটিকেটেড ডিভাইসগুলোকে সর্বদা একটি হাইলি রেস্ট্রিক্টেড VLAN-এ স্থাপন করা উচিত। তৃতীয় প্রশ্ন: আমি কীভাবে RADIUS সার্ভার রিডান্ডেন্সি হ্যান্ডেল করব? সর্বদা কমপক্ষে দুটি RADIUS সার্ভার ডিপ্লয় করুন — একটি প্রাইমারি এবং একটি সেকেন্ডারি। প্রাইমারি আনরিচেবল হয়ে গেলে সেকেন্ডারিতে ফেইলওভার করার জন্য সমস্ত অ্যাক্সেস পয়েন্ট কনফিগার করুন। ক্লাউড RADIUS-এর ক্ষেত্রে, এই রিডান্ডেন্সি সাধারণত বিল্ট-ইন থাকে এবং প্রোভাইডার দ্বারা ম্যানেজ করা হয়। আজকের ব্রিফিংয়ের মূল বিষয়গুলো সংক্ষেপে বলতে গেলে... এন্টারপ্রাইজ WiFi-এর জন্য প্রি-শেয়ার্ড কি গ্রহণযোগ্য নয়। 802.1X ইমপ্লিমেন্ট করুন। আপনার IT রিসোর্স, আপনি কতগুলো লোকেশন ম্যানেজ করছেন এবং আপনার বিদ্যমান আইডেন্টিটি ইনফ্রাস্ট্রাকচারের ওপর ভিত্তি করে আপনার ডিপ্লয়মেন্ট মডেল — অন-প্রিমিস বা ক্লাউড — বেছে নিন। আপনি যদি ডিস্ট্রিবিউটেড এবং ক্লাউড-ফার্স্ট হন, তবে ক্লাউড RADIUS প্রায় নিশ্চিতভাবেই সঠিক উত্তর। ক্লায়েন্টদের ওপর কঠোর সার্টিফিকেট ভ্যালিডেশন এনফোর্স করুন। এটি অপরিহার্য। আপনার নেটওয়ার্ক সেগমেন্ট করতে ডায়নামিক VLAN অ্যাসাইনমেন্ট ব্যবহার করুন। এবং সবশেষে, বিবেচনা করুন কীভাবে আপনার অথেন্টিকেশন ইনফ্রাস্ট্রাকচার শুধুমাত্র অ্যাক্সেস কন্ট্রোল করার বাইরেও বিজনেস ভ্যালু ডেলিভার করতে বৃহত্তর প্ল্যাটফর্মগুলোর সাথে ইন্টিগ্রেট করতে পারে। আরও পড়ার জন্য, আমরা 802.1X WiFi অথেন্টিকেশন কনফিগার করা এবং শক্তিশালী DNS পলিসির মাধ্যমে আপনার নেটওয়ার্ক সুরক্ষিত করার বিষয়ে Purple-এর গাইডগুলো এক্সপ্লোর করার পরামর্শ দিচ্ছি। শোনার জন্য ধন্যবাদ।

header_image.png

এক্সিকিউটিভ সামারি

এন্টারপ্রাইজ পরিবেশের জন্য — তা বিস্তৃত কোনো বিশ্ববিদ্যালয় ক্যাম্পাস, উচ্চ-ঘনত্বের স্টেডিয়াম, বা ডিস্ট্রিবিউটেড রিটেইল চেইন যাই হোক না কেন — WiFi অ্যাক্সেসের জন্য Pre-Shared Key (PSK)-এর উপর নির্ভর করা একটি উল্লেখযোগ্য সিকিউরিটি ঝুঁকি। একটিমাত্র কম্প্রোমাইজড ক্রেডেনশিয়াল পুরো নেটওয়ার্ককে উন্মুক্ত করে দেয়, এবং অ্যাক্সেস বাতিল করার জন্য এস্টেটের প্রতিটি ডিভাইসের পাসওয়ার্ড পরিবর্তন করতে হয়। একটি RADIUS (Remote Authentication Dial-In User Service) সার্ভারের মাধ্যমে 802.1X অথেন্টিকেশন প্রয়োগ করলে এই সমস্যাটি পুরোপুরি দূর হয়: প্রতিটি ব্যবহারকারী আলাদাভাবে অথেন্টিকেট করে, অ্যাক্সেস তাৎক্ষণিকভাবে বাতিল করা যায় এবং নেটওয়ার্ক সেগমেন্টেশন ডায়নামিকভাবে এনফোর্স করা যায়。

এই গাইডটি IT ম্যানেজার এবং নেটওয়ার্ক আর্কিটেক্টদের জন্য RADIUS অথেন্টিকেশন ডিপ্লয় করার একটি চূড়ান্ত রোডম্যাপ প্রদান করে। আমরা অন-প্রিমিস এবং ক্লাউড-হোস্টেড ডিপ্লয়মেন্টের আর্কিটেকচারাল সুবিধা-অসুবিধা, Extensible Authentication Protocol (EAP) মেথডগুলোর কনফিগারেশন এবং Active Directory-এর মতো ডিরেক্টরি সার্ভিসের সাথে ইন্টিগ্রেশন নিয়ে আলোচনা করেছি। আমরা আরও দেখিয়েছি কীভাবে একটি শক্তিশালী অথেন্টিকেশন লেয়ার Guest WiFi সলিউশনের সাথে একীভূত হয়ে ভিজিটরদের জন্য নিরবচ্ছিন্ন অ্যাক্সেস প্রদান করে, এবং সেই সাথে WiFi Analytics ক্যাপচার করে যা আপনার নেটওয়ার্ককে একটি বিজনেস ইন্টেলিজেন্স অ্যাসেটে পরিণত করে।

টেকনিক্যাল ডিপ-ডাইভ

802.1X আর্কিটেকচার

IEEE 802.1X স্ট্যান্ডার্ড পোর্ট-ভিত্তিক Network Access Control (PNAC) সংজ্ঞায়িত করে। ওয়্যারলেস প্রেক্ষাপটে, এটি একসাথে কাজ করা তিনটি প্রাথমিক ভূমিকার সাথে জড়িত:

ভূমিকা কম্পোনেন্ট দায়িত্ব
Supplicant ক্লায়েন্ট ডিভাইস (ল্যাপটপ, স্মার্টফোন) নেটওয়ার্ক অ্যাক্সেসের অনুরোধ করতে ক্রেডেনশিয়াল উপস্থাপন করে
Authenticator WiFi অ্যাক্সেস পয়েন্ট বা কন্ট্রোলার অ্যাক্সেস কন্ট্রোল এনফোর্স করে; EAP মেসেজ রিলে করে
Authentication Server RADIUS সার্ভার ক্রেডেনশিয়াল যাচাই করে; অ্যাক্সেপ্ট/রিজেক্ট এবং পলিসি অ্যাট্রিবিউট রিটার্ন করে

যখন কোনো সাপ্লিক্যান্ট একটি অ্যাক্সেস পয়েন্টের সাথে যুক্ত হয়, তখন AP EAP (Extensible Authentication Protocol) মেসেজ ছাড়া অন্য সব ডেটা ট্রাফিক ব্লক করে দেয়। AP এই EAP মেসেজগুলোকে RADIUS প্যাকেটে এনক্যাপসুলেট করে এবং RADIUS সার্ভারে ফরোয়ার্ড করে। সার্ভার একটি ব্যাকএন্ড ডেটাবেস — সাধারণত LDAP বা Active Directory — এর বিপরীতে ক্রেডেনশিয়াল যাচাই করে এবং একটি Access-Accept বা Access-Reject মেসেজ রিটার্ন করে। যদি অ্যাক্সেপ্ট করা হয়, তবে AP পোর্টটি আনব্লক করে এবং ক্লায়েন্টের ট্রাফিক অবাধে প্রবাহিত হয়।

architecture_overview.png

একটি EAP মেথড বেছে নেওয়া

আপনার RADIUS ডিপ্লয়মেন্টের সিকিউরিটি মূলত নির্বাচিত EAP মেথডের উপর নির্ভর করে। এন্টারপ্রাইজ ডিপ্লয়মেন্টে সবচেয়ে প্রচলিত দুটি মেথড হলো:

EAP-TLS (Transport Layer Security) হলো গোল্ড স্ট্যান্ডার্ড। এর জন্য RADIUS সার্ভার এবং প্রতিটি ক্লায়েন্ট ডিভাইস উভয়েরই ডিজিটাল সার্টিফিকেটের প্রয়োজন হয়, যা পাসওয়ার্ডের প্রয়োজনীয়তা পুরোপুরি দূর করে। এমনকি কোনো আক্রমণকারী যদি সম্পূর্ণ অথেন্টিকেশন এক্সচেঞ্জ ক্যাপচারও করে, তবুও এক্সট্র্যাক্ট করার মতো কোনো ক্রেডেনশিয়াল থাকে না। এর অসুবিধা হলো অ্যাডমিনিস্ট্রেটিভ ওভারহেড: ক্লায়েন্ট সার্টিফিকেট ডিপ্লয় এবং ম্যানেজ করার জন্য একটি কার্যকর Public Key Infrastructure (PKI) এবং এন্ডপয়েন্টগুলোতে সার্টিফিকেট ডিস্ট্রিবিউট করার জন্য একটি MDM সলিউশন (যেমন, Microsoft Intune, Jamf) প্রয়োজন।

PEAP-MSCHAPv2 (Protected EAP) বাস্তবে সবচেয়ে বেশি ব্যবহৃত মেথড। এটি একটি এনক্রিপ্টেড TLS টানেল তৈরি করতে সার্ভার-সাইড সার্টিফিকেট ব্যবহার করে, যার ভেতরে ক্লায়েন্ট ইউজারনেম এবং পাসওয়ার্ড দিয়ে অথেন্টিকেট করে। এটি EAP-TLS-এর চেয়ে ডিপ্লয় করা অনেক সহজ কারণ শুধুমাত্র একটি সার্টিফিকেট — সার্ভারের — ম্যানেজ করতে হয়। তবে, এর একটি গুরুতর সতর্কতা রয়েছে: যদি ক্লায়েন্ট ডিভাইসগুলো RADIUS সার্ভারের সার্টিফিকেট যাচাই করার জন্য স্পষ্টভাবে কনফিগার করা না থাকে, তবে তারা রগ (rogue) অ্যাক্সেস পয়েন্টের মাধ্যমে Man-in-the-Middle (MitM) অ্যাটাকের শিকার হতে পারে।

> গুরুত্বপূর্ণ সিকিউরিটি নোট: ক্লায়েন্ট ডিভাইসে কঠোর সার্টিফিকেট ভ্যালিডেশন এনফোর্স করতে ব্যর্থ হলে PEAP-MSCHAPv2-এর সিকিউরিটি সুবিধাগুলো কার্যকরভাবে বাতিল হয়ে যায়। একজন আক্রমণকারী একটি রগ AP ডিপ্লয় করতে পারে, একটি ভুয়া সার্টিফিকেট উপস্থাপন করতে পারে এবং প্লেইনটেক্সটে ইউজার ক্রেডেনশিয়াল ক্যাপচার করতে পারে। এটি কোনো তাত্ত্বিক ঝুঁকি নয় — এটি একটি সুপরিচিত অ্যাটাক ভেক্টর যা বাস্তব-বিশ্বের পরিবেশে শোষিত হয়েছে।

ইমপ্লিমেন্টেশন গাইড

ধাপ ১: আর্কিটেকচারাল সিদ্ধান্ত — অন-প্রিমিস বনাম ক্লাউড RADIUS

প্রথম সিদ্ধান্ত হলো RADIUS ইনফ্রাস্ট্রাকচার কোথায় হোস্ট করা হবে। এটি মূলত একটি অপারেশনাল এবং খরচের প্রশ্ন, সিকিউরিটির নয় — উভয় মডেলই সুরক্ষিতভাবে ডিপ্লয় করা যায়।

comparison_chart.png

অন-প্রিমিস RADIUS (যেমন, Microsoft NPS, FreeRADIUS, Cisco ISE) এমন সংস্থাগুলোর জন্য উপযুক্ত যাদের ডেডিকেটেড IT স্টাফ, বিদ্যমান অন-প্রিমিস ডিরেক্টরি ইনফ্রাস্ট্রাকচার এবং কঠোর ডেটা সার্বভৌমত্ব বা কমপ্লায়েন্সের প্রয়োজনীয়তা রয়েছে। এটি অথেন্টিকেশনের জন্য ইন্টারনেট কানেক্টিভিটির উপর নির্ভর করে না, যা এমন পরিবেশের জন্য একটি অর্থবহ সুবিধা যেখানে ইন্টারনেটের আপটাইম নিশ্চিত করা যায় না।

ক্লাউড RADIUS ডিস্ট্রিবিউটেড পরিবেশের জন্য ক্রমবর্ধমানভাবে পছন্দের মডেল হয়ে উঠছে — Retail চেইন, Hospitality গ্রুপ এবং Transport হাব যেখানে প্রতিটি লোকেশনে সার্ভার ডিপ্লয় করা অপারেশনালভাবে অবাস্তব। ক্লাউড RADIUS ক্লাউড আইডেন্টিটি প্রোভাইডারদের (Azure AD, Google Workspace, Okta) সাথে নেটিভভাবে ইন্টিগ্রেট করে এবং বিল্ট-ইন হাই অ্যাভেইলেবিলিটি ও গ্লোবাল স্কেলেবিলিটি প্রদান করে।

ধাপ ২: RADIUS সার্ভার ইনস্টল এবং কনফিগার করা

Microsoft NPS (উইন্ডোজ-কেন্দ্রিক পরিবেশে সবচেয়ে সাধারণ পছন্দ) ব্যবহার করে অন-প্রিমিস ডিপ্লয়মেন্টের জন্য:

  1. Server Manager-এর মাধ্যমে Network Policy Server রোল ইনস্টল করুন।
  2. NPS সার্ভারকে Active Directory-তে রেজিস্টার করুন যাতে এটি ইউজারের ডায়াল-ইন প্রপার্টিজ পড়তে পারে।
  3. প্রতিটি অ্যাক্সেস পয়েন্ট বা ওয়্যারলেস কন্ট্রোলারের জন্য একটি RADIUS Client এন্ট্রি তৈরি করুন, যেখানে AP-এর IP অ্যাড্রেস এবং একটি শক্তিশালী, ইউনিক Shared Secret উল্লেখ থাকবে।
  4. অ্যাক্সেসের শর্তাবলী (যেমন, ইউজার গ্রুপ মেম্বারশিপ) এবং সীমাবদ্ধতা (যেমন, EAP মেথড, সেশন টাইমআউট) সংজ্ঞায়িত করে একটি Network Policy কনফিগার করুন।
  5. রিকোয়েস্টগুলো লোকালি প্রসেস করার জন্য Connection Request Policy কনফিগার করুন।

লিনাক্সে FreeRADIUS-এর জন্য:

  1. প্যাকেজ ম্যানেজারের মাধ্যমে ইনস্টল করুন: sudo apt-get install freeradius freeradius-ldap
  2. RADIUS ক্লায়েন্ট (AP) এবং তাদের শেয়ার্ড সিক্রেট সংজ্ঞায়িত করতে /etc/freeradius/3.0/clients.conf কনফিগার করুন।
  3. আপনার Active Directory বা LDAP সার্ভারকে পয়েন্ট করতে /etc/freeradius/3.0/mods-available/ldap-এ LDAP মডিউল কনফিগার করুন।
  4. LDAP মডিউল এনাবল করুন: sudo ln -s /etc/freeradius/3.0/mods-available/ldap /etc/freeradius/3.0/mods-enabled/
  5. /etc/freeradius/3.0/mods-available/eap-এ EAP মেথড সংজ্ঞায়িত করুন।

ধাপ ৩: অ্যাক্সেস পয়েন্ট কনফিগার করা

আপনার ওয়্যারলেস কন্ট্রোলার বা পৃথক অ্যাক্সেস পয়েন্টগুলোতে:

  1. RADIUS সার্ভারের IP অ্যাড্রেস এবং অথেন্টিকেশন পোর্ট (ডিফল্ট: UDP 1812) সংজ্ঞায়িত করুন।
  2. Shared Secret কনফিগার করুন — আলফানিউমেরিক এবং স্পেশাল ক্যারেক্টার মিলিয়ে কমপক্ষে ২২ ক্যারেক্টার ব্যবহার করুন। প্রতিটি লোকেশন বা AP গ্রুপের জন্য একটি ইউনিক সিক্রেট ব্যবহার করুন।
  3. 802.1X কী ম্যানেজমেন্টের সাথে WPA2-Enterprise বা WPA3-Enterprise সিকিউরিটি মোড ব্যবহার করার জন্য SSID কনফিগার করুন।
  4. ফেইলওভারের জন্য একটি সেকেন্ডারি RADIUS সার্ভার কনফিগার করুন।

ধাপ ৪: ডিরেক্টরি ইন্টিগ্রেশন

অন-প্রিমিস AD ইন্টিগ্রেশনের জন্য, RADIUS সার্ভারকে অবশ্যই ডোমেইনে জয়েন করতে হবে অথবা LDAP রিড অ্যাক্সেস থাকতে হবে। নিশ্চিত করুন যে LDAP বাইন্ডিংয়ের জন্য ব্যবহৃত সার্ভিস অ্যাকাউন্টগুলোর ন্যূনতম প্রয়োজনীয় পারমিশন রয়েছে। ক্লাউড RADIUS-এর জন্য, আপনার IdP-এর সাথে API-ভিত্তিক সিঙ্ক্রোনাইজেশন বা SAML/OIDC ইন্টিগ্রেশন কনফিগার করুন।

আপনার ডিরেক্টরিতে স্পষ্ট ইউজার গ্রুপ সংজ্ঞায়িত করুন, কারণ এগুলো অথরাইজেশন পলিসি পরিচালনা করবে। প্রস্তাবিত গ্রুপ স্ট্রাকচার:

গ্রুপ VLAN অ্যাক্সেস লেভেল
Corp_Staff VLAN 10 সম্পূর্ণ ইন্টারনাল নেটওয়ার্ক
Corp_Contractors VLAN 20 ইন্টারনেট + নির্দিষ্ট ইন্টারনাল রিসোর্স
Corp_IoT VLAN 30 আইসোলেটেড, শুধুমাত্র ডিভাইস-নির্দিষ্ট পোর্ট
Corp_Guests VLAN 100 Captive Portal-এর মাধ্যমে শুধুমাত্র ইন্টারনেট

ধাপ ৫: ক্লায়েন্ট কনফিগারেশন এবং সার্টিফিকেট ভ্যালিডেশন

এটি অপারেশনাল দিক থেকে সবচেয়ে গুরুত্বপূর্ণ ধাপ। ম্যানেজড ডিভাইসগুলোতে সাইলেন্টলি WiFi কনফিগারেশন পুশ করতে উইন্ডোজের জন্য Group Policy (GPO) এবং macOS/iOS/Android-এর জন্য MDM প্রোফাইল ব্যবহার করুন। প্রোফাইলে অবশ্যই উল্লেখ থাকতে হবে:

  • যে Root CA RADIUS সার্ভারের সার্টিফিকেট ইস্যু করেছে।
  • প্রত্যাশিত সার্ভারের নাম (সার্ভার সার্টিফিকেটের CN বা SAN)।
  • EAP মেথড এবং ইনার অথেন্টিকেশন প্রোটোকল।

আনম্যানেজড BYOD ডিভাইসের জন্য, স্পষ্ট সেলফ-সার্ভিস অনবোর্ডিং নির্দেশাবলী প্রদান করুন, আদর্শভাবে একটি Network Access Control (NAC) পোর্টালের মাধ্যমে।

ধাপ ৬: ডায়নামিক VLAN অ্যাসাইনমেন্ট ইমপ্লিমেন্ট করা

Access-Accept রেসপন্সে VLAN অ্যাসাইনমেন্ট অ্যাট্রিবিউট রিটার্ন করার জন্য RADIUS সার্ভার কনফিগার করুন:

  • Tunnel-Type = VLAN (13)
  • Tunnel-Medium-Type = IEEE-802 (6)
  • Tunnel-Private-Group-Id = ``

অ্যাক্সেস পয়েন্ট এই অ্যাট্রিবিউটগুলো পড়ে এবং অথেনটিকেটেড ক্লায়েন্টকে নির্দিষ্ট VLAN-এ স্থাপন করে — ব্যবহারকারীরা রোল বা লোকেশন পরিবর্তন করলেও কোনো ম্যানুয়াল রিকনফিগারেশনের প্রয়োজন হয় না।

বেস্ট প্র্যাকটিস

রিডান্ডেন্সি অপরিহার্য। কমপক্ষে দুটি RADIUS সার্ভার (প্রাইমারি এবং সেকেন্ডারি) ডিপ্লয় করুন এবং সমস্ত অ্যাক্সেস পয়েন্টকে স্বয়ংক্রিয়ভাবে ফেইলওভার করার জন্য কনফিগার করুন। অন-প্রিমিস ডিপ্লয়মেন্টের ক্ষেত্রে, সেকেন্ডারি সার্ভারটিকে একটি ভিন্ন ফিজিক্যাল লোকেশন বা অ্যাভেইলেবিলিটি জোনে রাখার কথা বিবেচনা করুন। RADIUS আউটেজ মানে কেউ অথেন্টিকেট করতে পারবে না, যা 802.1X-সুরক্ষিত SSID-গুলোর জন্য একটি সম্পূর্ণ নেটওয়ার্ক আউটেজ।

সার্টিফিকেটের মেয়াদ শেষ হওয়ার বিষয়টি প্রোঅ্যাক্টিভলি মনিটর করুন। RADIUS সার্ভার সার্টিফিকেটের মেয়াদ শেষ হওয়া হঠাৎ, ব্যাপক অথেন্টিকেশন ফেইলিউরের অন্যতম সাধারণ কারণ। মেয়াদ শেষ হওয়ার অন্তত ৩০ দিন আগে অ্যাডমিনিস্ট্রেটরদের সতর্ক করার জন্য মনিটরিং ইমপ্লিমেন্ট করুন। এটি সার্ভার সার্টিফিকেট এবং চেইনের যেকোনো ইন্টারমিডিয়েট CA সার্টিফিকেট উভয়ের ক্ষেত্রেই প্রযোজ্য。

Shared Secret-কে একটি ক্রিটিক্যাল ক্রেডেনশিয়াল হিসেবে বিবেচনা করুন। AP এবং RADIUS সার্ভারের মধ্যকার শেয়ার্ড সিক্রেট RADIUS প্যাকেটগুলোকে এনক্রিপ্ট করে। প্রতিটি লোকেশন বা AP গ্রুপের জন্য ইউনিক সিক্রেট ব্যবহার করুন, সেগুলোকে একটি সিক্রেটস ম্যানেজারে স্টোর করুন এবং পর্যায়ক্রমে রোটেট করুন। বৃহত্তর নেটওয়ার্ক সিকিউরিটি হাইজিন রিকমেন্ডেশনের জন্য আমাদের Protect Your Network with Strong DNS and Security গাইডটি দেখুন।

কমপ্লায়েন্স ফ্রেমওয়ার্কের সাথে সামঞ্জস্য রাখুন। PCI DSS-এর আওতাভুক্ত পরিবেশের জন্য (যেমন, রিটেইল পেমেন্ট নেটওয়ার্ক), 802.1X অথেন্টিকেশন সরাসরি নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল এবং অডিট লগিংয়ের প্রয়োজনীয়তাগুলোকে সমর্থন করে। GDPR কমপ্লায়েন্সের জন্য, RADIUS অ্যাকাউন্টিং লগ (পোর্ট 1813) কে, কোথা থেকে এবং কখন নেটওয়ার্ক অ্যাক্সেস করেছে তার একটি বিস্তারিত অডিট ট্রেইল প্রদান করে — যা ইনসিডেন্ট রেসপন্সের জন্য মূল্যবান। Healthcare পরিবেশের জন্য, ডায়নামিক VLAN অ্যাসাইনমেন্টের মাধ্যমে নেটওয়ার্ক সেগমেন্টেশন ইলেকট্রনিক প্রোটেক্টেড হেলথ ইনফরমেশন (ePHI) সুরক্ষার জন্য HIPAA-এর প্রয়োজনীয়তাগুলোকে সমর্থন করে।

ট্রাবলশুটিং এবং রিস্ক মিটিগেশন

ফেইলিউর মোড লক্ষণ সমাধান
সার্টিফিকেটের মেয়াদ শেষ হঠাৎ ব্যাপক অথেন্টিকেশন ফেইলিউর মেয়াদ শেষ হওয়ার বিষয়টি মনিটর করুন; সার্টিফিকেট রিনিউ এবং রিডিপ্লয় করুন
NTP ডিসিঙ্ক্রোনাইজেশন থেমে থেমে EAP-TLS ফেইলিউর নিশ্চিত করুন RADIUS সার্ভার এবং DC একই NTP সোর্সের সাথে সিঙ্ক করে
LDAP কানেক্টিভিটি লস AD আনরিচেবল হলে অথেন্টিকেশন ফেইল করে রিডান্ড্যান্ট DC ডিপ্লয় করুন; সাম্প্রতিক অথেন্টিকেশন ক্যাশ করার জন্য RADIUS কনফিগার করুন
ভুল Shared Secret AP লগে RADIUS timeout বা Bad authenticator দেখায় AP এবং RADIUS সার্ভার উভয়েই সিক্রেট মিলছে কিনা যাচাই করুন
ক্লায়েন্ট সার্টিফিকেট মিসম্যাচ নির্দিষ্ট ডিভাইসের জন্য EAP-TLS ফেইলিউর ক্লায়েন্ট সার্টিফিকেট ট্রাস্টেড CA দ্বারা ইস্যু করা হয়েছে কিনা যাচাই করুন; সার্টিফিকেটের মেয়াদ পরীক্ষা করুন
VLAN অ্যাসাইন করা হয়নি ইউজার অথেনটিকেটেড কিন্তু ভুল নেটওয়ার্ক সেগমেন্টে RADIUS অ্যাট্রিবিউটগুলো সঠিকভাবে রিটার্ন হচ্ছে কিনা যাচাই করুন; AP VLAN কনফিগারেশন পরীক্ষা করুন

802.1X কনফিগারেশন প্রক্রিয়ার আরও বিস্তারিত জানার জন্য, How to Configure 802.1X WiFi Authentication: A Step-by-Step Guide গ্র্যানুলার, ভেন্ডর-নির্দিষ্ট কনফিগারেশন ওয়াকথ্রু প্রদান করে।

ROI এবং বিজনেস ইমপ্যাক্ট

PSK থেকে RADIUS-সমর্থিত 802.1X-এ ট্রানজিশন করার জন্য কনফিগারেশনে প্রাথমিক বিনিয়োগের প্রয়োজন হয়, এবং ক্লাউড সলিউশনের জন্য লাইসেন্সিং বা অন-প্রিমিস ডিপ্লয়মেন্টের জন্য হার্ডওয়্যারের প্রয়োজন হতে পারে। এর ROI কেসটি খুবই সহজবোধ্য:

রিস্ক মিটিগেশন: যুক্তরাজ্যে ডেটা ব্রিচের গড় খরচ ৩ মিলিয়ন পাউন্ডের বেশি (IBM Cost of a Data Breach Report)। একটি কম্প্রোমাইজড PSK পুরো নেটওয়ার্ককে উন্মুক্ত করতে পারে। 802.1X ব্লাস্ট রেডিয়াসকে একটিমাত্র কম্প্রোমাইজড ইউজার অ্যাকাউন্টে সীমাবদ্ধ করে, যা ডিরেক্টরির মাধ্যমে কয়েক সেকেন্ডের মধ্যে ডিজেবল করা যায়।

অপারেশনাল এফিশিয়েন্সি: স্টাফদের রোল পরিবর্তনের সাথে সাথে ডায়নামিক VLAN অ্যাসাইনমেন্ট ম্যানুয়াল নেটওয়ার্ক রিকনফিগারেশন দূর করে। একজন নতুন কর্মীকে অনবোর্ড করার অর্থ হলো তাকে সঠিক AD গ্রুপে যুক্ত করা — নেটওয়ার্ক অ্যাক্সেস স্বয়ংক্রিয়ভাবে অনুসরণ করে।

কমপ্লায়েন্স পোসচার: PCI DSS, ISO 27001, বা Cyber Essentials Plus-এর আওতাভুক্ত সংস্থাগুলোর জন্য, 802.1X হলো একটি ডিরেক্ট কন্ট্রোল যা অডিটররা দেখতে আশা করেন। এটি ডিপ্লয় করা আপনার কমপ্লায়েন্স পোসচারকে শক্তিশালী করে এবং অডিট রেমিডিয়েশন খরচ কমায়।

গেস্ট এক্সপেরিয়েন্স এবং অ্যানালিটিক্স: ভেন্যু অপারেটরদের জন্য, ভিজিটর অ্যাক্সেসের জন্য Purple-এর Guest WiFi প্ল্যাটফর্মের সাথে স্টাফ অথেন্টিকেশনের জন্য RADIUS ইন্টিগ্রেট করা একটি ইউনিফায়েড, টিয়ার্ড অ্যাক্সেস মডেল তৈরি করে। স্টাফরা 802.1X-এর মাধ্যমে সাইলেন্টলি অথেন্টিকেট করে; গেস্টরা একটি ব্র্যান্ডেড Captive Portal-এর মাধ্যমে কানেক্ট করে। Purple-এর WiFi Analytics প্ল্যাটফর্ম এরপর ভিজিটরদের ডুয়েলের সময়, রিপিট ভিজিট রেট এবং এঙ্গেজমেন্ট মেট্রিক্সের রিয়েল-টাইম ভিজিবিলিটি প্রদান করে — যে ডেটা সরাসরি মার্কেটিং খরচ এবং ভেন্যু অপারেশনের সিদ্ধান্তগুলোকে প্রভাবিত করে।

আরও পড়ার জন্য, পর্তুগিজ ভাষার ইমপ্লিমেন্টেশন গাইডেন্সের জন্য Como Configurar a Autenticação 802.1X WiFi: Um Guia Passo a Passo দেখুন, এবং আন্ডারলায়িং কানেক্টিভিটি এন্টারপ্রাইজের প্রয়োজনীয়তা পূরণ করে তা নিশ্চিত করার গাইডেন্সের জন্য What Is a Leased Line? Dedicated Business Internet দেখুন।

মূল সংজ্ঞাসমূহ

RADIUS (Remote Authentication Dial-In User Service)

একটি নেটওয়ার্কিং প্রোটোকল যা নেটওয়ার্ক সার্ভিসের সাথে কানেক্ট করা ইউজারদের জন্য সেন্ট্রালাইজড Authentication, Authorization, এবং Accounting (AAA) ম্যানেজমেন্ট প্রদান করে। RFC 2865-এ সংজ্ঞায়িত।

কোর সার্ভার কম্পোনেন্ট যা WiFi অ্যাক্সেস দেওয়ার আগে একটি ডিরেক্টরির বিপরীতে ইউজার ক্রেডেনশিয়াল যাচাই করে। 802.1X ব্যবহার করা প্রতিটি এন্টারপ্রাইজ WiFi ডিপ্লয়মেন্টের জন্য একটি RADIUS সার্ভার প্রয়োজন।

802.1X

পোর্ট-ভিত্তিক Network Access Control (PNAC)-এর জন্য একটি IEEE স্ট্যান্ডার্ড। এটি LAN বা WLAN-এর সাথে যুক্ত হতে ইচ্ছুক ডিভাইসগুলোকে একটি অথেন্টিকেশন মেকানিজম প্রদান করে, যা অথেন্টিকেশন সফল না হওয়া পর্যন্ত সমস্ত নন-EAP ট্রাফিক ব্লক করে রাখে।

ওভারআর্চিং ফ্রেমওয়ার্ক স্ট্যান্ডার্ড যা Supplicant, Authenticator এবং Authentication Server কীভাবে যোগাযোগ করে তা সংজ্ঞায়িত করে। IT টিমগুলো যখন 'এন্টারপ্রাইজ WiFi সিকিউরিটি' বলে, তখন তারা সাধারণত 802.1X-এর সাথে WPA2/WPA3-Enterprise বুঝিয়ে থাকে।

Supplicant

ক্লায়েন্ট ডিভাইস — বা আরও নিখুঁতভাবে বললে, সেই ডিভাইসের 802.1X সফটওয়্যার স্ট্যাক — যা নেটওয়ার্কে ক্রেডেনশিয়াল উপস্থাপন করে অথেন্টিকেশন প্রক্রিয়া শুরু করে।

উইন্ডোজে, বিল্ট-ইন সাপ্লিক্যান্ট হলো Wireless AutoConfig সার্ভিস। macOS এবং iOS-এ, এটি OS-এর নেটিভ। সাপ্লিক্যান্ট সঠিকভাবে কনফিগার করা হয়েছে কিনা তা নিশ্চিত করা (বিশেষ করে সার্টিফিকেট ভ্যালিডেশনের জন্য) ডিপ্লয়মেন্ট সমস্যার সবচেয়ে সাধারণ উৎস।

Authenticator

নেটওয়ার্ক ডিভাইস — সাধারণত একটি WiFi অ্যাক্সেস পয়েন্ট বা ওয়্যারলেস কন্ট্রোলার — যা Supplicant এবং RADIUS সার্ভারের মধ্যে মধ্যস্থতাকারী হিসেবে কাজ করে, অথেন্টিকেশন ফলাফলের ওপর ভিত্তি করে অ্যাক্সেস কন্ট্রোল এনফোর্স করে।

RADIUS সার্ভার থেকে Access-Accept না পাওয়া পর্যন্ত AP পোর্টের সমস্ত ডেটা ট্রাফিক ব্লক করে রাখে। এটি Access-Accept রেসপন্স থেকে RADIUS অ্যাট্রিবিউটগুলো (যেমন, VLAN অ্যাসাইনমেন্ট) পড়ে এবং সেশনে অ্যাপ্লাই করে।

EAP (Extensible Authentication Protocol)

RFC 3748-এ সংজ্ঞায়িত একটি অথেন্টিকেশন ফ্রেমওয়ার্ক যা Supplicant এবং Authentication Server-এর মধ্যে বিভিন্ন অথেন্টিকেশন মেথডের (TLS, PEAP, TTLS ইত্যাদি) জন্য একটি স্ট্যান্ডার্ডাইজড ট্রান্সপোর্ট মেকানিজম প্রদান করে।

EAP হলো ক্লায়েন্ট এবং RADIUS সার্ভারের মধ্যে ব্যবহৃত 'ভাষা'। EAP মেথড (EAP-TLS বনাম PEAP) নির্বাচন অথেন্টিকেশন সিস্টেমের সিকিউরিটি স্ট্রেংথ এবং ডিপ্লয়মেন্টের জটিলতা নির্ধারণ করে।

PEAP (Protected EAP)

একটি EAP মেথড যা প্রথমে সার্ভারের সার্টিফিকেট ব্যবহার করে একটি TLS টানেল তৈরি করে, তারপর সেই এনক্রিপ্টেড টানেলের ভেতরে একটি সেকেন্ডারি অথেন্টিকেশন (সাধারণত ইউজারনেম/পাসওয়ার্ড সহ MSCHAPv2) সম্পন্ন করে।

সিকিউরিটি এবং ডিপ্লয়মেন্টের সরলতার ভারসাম্যের কারণে এটি সবচেয়ে সাধারণ এন্টারপ্রাইজ WiFi অথেন্টিকেশন মেথড। এর জন্য শুধুমাত্র একটি সার্ভার-সাইড সার্টিফিকেট প্রয়োজন, যা এটিকে EAP-TLS-এর চেয়ে রোল আউট করা অনেক সহজ করে তোলে।

Dynamic VLAN Assignment

একটি RADIUS ফিচার যেখানে সার্ভার Access-Accept রেসপন্সে VLAN-নির্দিষ্ট অ্যাট্রিবিউট (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-Id) অন্তর্ভুক্ত করে, যা AP-কে অথেনটিকেটেড ক্লায়েন্টকে একটি নির্দিষ্ট VLAN-এ স্থাপন করার নির্দেশ দেয়।

একটিমাত্র SSID-কে বিভিন্ন সিকিউরিটি রিকোয়ারমেন্ট সহ একাধিক ইউজার পপুলেশনকে সার্ভ করতে সক্ষম করে। বিভিন্ন ইউজার গ্রুপের জন্য একাধিক SSID ব্রডকাস্ট করার প্রয়োজনীয়তা দূর করে, যা RF ওভারহেড কমায় এবং ইউজার এক্সপেরিয়েন্স সহজ করে।

Shared Secret

একটি প্রি-কনফিগার করা টেক্সট স্ট্রিং যা শুধুমাত্র Authenticator (AP) এবং RADIUS সার্ভারের জানা থাকে, যা RADIUS প্যাকেটগুলোতে সাইন এবং এনক্রিপ্ট করতে ব্যবহৃত হয়, যোগাযোগের ইন্টিগ্রিটি এবং অথেন্টিসিটি নিশ্চিত করে।

একটি ক্রিটিক্যাল সিকিউরিটি কনফিগারেশন এলিমেন্ট। শেয়ার্ড সিক্রেট দুর্বল বা কম্প্রোমাইজড হলে, একজন আক্রমণকারী RADIUS Access-Accept রেসপন্স ফোর্জ করতে পারে, যা অননুমোদিত নেটওয়ার্ক অ্যাক্সেস প্রদান করে। প্রতিটি লোকেশনের জন্য ইউনিক সিক্রেট ব্যবহার করুন এবং সেগুলোকে একটি সিক্রেটস ম্যানেজারে স্টোর করুন।

MAC Authentication Bypass (MAB)

একটি ফলব্যাক অথেন্টিকেশন মেকানিজম যেখানে কোনো ডিভাইসের MAC অ্যাড্রেস তার আইডেন্টিটি ক্রেডেনশিয়াল হিসেবে ব্যবহৃত হয়, যা 802.1X সাপ্লিক্যান্ট সমর্থন করে না এমন ডিভাইসগুলোর জন্য নেটওয়ার্ক অ্যাক্সেস এনাবল করে।

হেডলেস ডিভাইসের (প্রিন্টার, IoT সেন্সর, IP ক্যামেরা) জন্য ব্যবহৃত হয়। যেহেতু MAC অ্যাড্রেসগুলো পাবলিকলি ভিজিবল এবং সহজেই স্পুফ করা যায়, তাই MAB স্ট্রং অথেন্টিকেশনের পরিবর্তে ডিভাইস আইডেন্টিফিকেশন প্রদান করে। সর্বদা রেস্ট্রিক্টিভ VLAN অ্যাসাইনমেন্টের সাথে পেয়ার করুন।

সমাধানকৃত উদাহরণসমূহ

৫০০টি লোকেশন বিশিষ্ট একটি জাতীয় রিটেইল চেইনের স্টোর ম্যানেজারদের ট্যাবলেট এবং POS টার্মিনালগুলোর জন্য সুরক্ষিত WiFi ইমপ্লিমেন্ট করা প্রয়োজন। তারা বর্তমানে সমস্ত স্টোরে একটিমাত্র PSK ব্যবহার করে, যা প্রায়শই অননুমোদিত স্টাফ এবং কন্ট্রাক্টরদের সাথে শেয়ার করা হয়। তারা আইডেন্টিটি ম্যানেজমেন্টের জন্য Azure AD ব্যবহার করে এবং ব্রাঞ্চ লোকেশনগুলোতে কোনো ডেডিকেটেড IT স্টাফ নেই।

সরাসরি Azure AD-এর সাথে ইন্টিগ্রেটেড একটি ক্লাউড RADIUS সলিউশন ডিপ্লয় করুন। এটি ৫০০টি লোকেশনে অন-প্রিমিস RADIUS সার্ভার ডিপ্লয় এবং ম্যানেজ করার প্রয়োজনীয়তা দূর করে। IT টিম Microsoft Intune ব্যবহার করে সমস্ত স্টোর ম্যানেজারের ট্যাবলেট এবং POS টার্মিনালে PEAP-MSCHAPv2-এর জন্য কনফিগার করা একটি WiFi প্রোফাইল পুশ করে, যা ক্লাউড RADIUS সার্ভারের সার্টিফিকেট ভ্যালিডেশন কঠোরভাবে এনফোর্স করে। ক্লাউড RADIUS পলিসি অ্যাক্সেস দেওয়ার আগে ইউজারের Azure AD গ্রুপ মেম্বারশিপ চেক করে: 'Store_Managers' গ্রুপ VLAN 10 (সম্পূর্ণ POS এবং ব্যাক-অফিস অ্যাক্সেস) পায়, 'Contractors' গ্রুপ VLAN 20 (শুধুমাত্র ইন্টারনেট) পায়। যখন কোনো কন্ট্রাক্টরের কাজের মেয়াদ শেষ হয়, তখন তাকে Azure AD গ্রুপ থেকে সরিয়ে দিলে একই সাথে ৫০০টি লোকেশনে তার WiFi অ্যাক্সেস তাৎক্ষণিকভাবে বাতিল হয়ে যায় — কোনো PSK পরিবর্তনের প্রয়োজন নেই।

পরীক্ষকের মন্তব্য: এই অ্যাপ্রোচটি অপারেশনাল সীমাবদ্ধতাগুলো (ব্রাঞ্চে IT স্টাফ নেই, Azure AD পরিবেশ) স্বীকার করার পাশাপাশি মূল দুর্বলতা (শেয়ার্ড PSK) সমাধান করে। ক্লাউড RADIUS প্রয়োজনীয় স্কেলেবিলিটি প্রদান করে এবং বিদ্যমান আইডেন্টিটি প্রোভাইডারের সাথে নেটিভভাবে ইন্টিগ্রেট করে। ডায়নামিক VLAN অ্যাসাইনমেন্টের ব্যবহার নিশ্চিত করে যে, কোনো কন্ট্রাক্টরের কাজের মেয়াদ শেষ হওয়ার পর তার ডিভাইসটি অন-সাইটে থাকলেও, ডিরেক্টরি গ্রুপ থেকে তাকে সরিয়ে দেওয়াই অ্যাক্সেস বাতিল করার জন্য একমাত্র প্রয়োজনীয় পদক্ষেপ।

একটি ৪০০-রুমের সিটি-সেন্টার হোটেলের স্টাফ (ফ্রন্ট ডেস্ক, হাউসকিপিং, ম্যানেজমেন্ট) এবং গেস্ট উভয়ের জন্যই সুরক্ষিত WiFi প্রদান করা প্রয়োজন। স্টাফদের প্রপার্টি ম্যানেজমেন্ট সিস্টেম (PMS) এবং ইন্টারনাল সার্ভারে অ্যাক্সেস প্রয়োজন। গেস্টদের শুধুমাত্র ইন্টারনেট অ্যাক্সেস প্রয়োজন। হোটেলটিতে একটিমাত্র অন-প্রিমিস উইন্ডোজ সার্ভার পরিবেশ রয়েছে।

একটি ডেডিকেটেড উইন্ডোজ সার্ভার VM-এ Microsoft NPS ডিপ্লয় করুন। ওয়্যারলেস ইনফ্রাস্ট্রাকচারে দুটি SSID কনফিগার করুন: 'Hotel_Staff' (WPA2-Enterprise, 802.1X) এবং 'Hotel_Guest' (ওপেন বা WPA2-Personal, যা একটি Captive Portal-এ রিডাইরেক্ট করে)। স্টাফ SSID-এর জন্য, NPS Active Directory-এর বিপরীতে ক্রেডেনশিয়াল যাচাই করে এবং ডায়নামিক VLAN অ্যাসাইনমেন্ট রিটার্ন করে: 'Management' AD গ্রুপ → VLAN 10 (সম্পূর্ণ অ্যাক্সেস), 'FrontDesk' → VLAN 20 (PMS অ্যাক্সেস), 'Housekeeping' → VLAN 30 (শুধুমাত্র ইন্টারনেট + শিডিউলিং অ্যাপ)। গেস্টদের জন্য, একটি ব্র্যান্ডেড লগইন এক্সপেরিয়েন্স প্রদান করতে, ফার্স্ট-পার্টি ডেটা (ইমেইল, মার্কেটিং সম্মতি) সংগ্রহ করতে এবং ডুয়েলের সময় ও রিপিট ভিজিটের অ্যানালিটিক্স পেতে Captive Portal-টিকে Purple-এর Guest WiFi প্ল্যাটফর্মের সাথে ইন্টিগ্রেট করুন। টু-SSID মডেলটি নেটওয়ার্ক লেয়ারে স্টাফ এবং গেস্ট ট্রাফিককে সম্পূর্ণ আলাদা রাখে।

পরীক্ষকের মন্তব্য: জটিল পলিসি রাউটিং সহ একটিমাত্র SSID-এর পরিবর্তে এখানে টু-SSID মডেলটি সঠিক অ্যাপ্রোচ। এটি স্পষ্ট অপারেশনাল সেপারেশন প্রদান করে এবং ট্রাবলশুটিং সহজ করে। গেস্ট SSID-এর জন্য Purple ইন্টিগ্রেট করা বাণিজ্যিকভাবে বুদ্ধিমান সিদ্ধান্ত: এটি গেস্ট নেটওয়ার্ককে একটি কস্ট সেন্টার থেকে ডেটা ক্যাপচার এবং মার্কেটিং চ্যানেলে রূপান্তরিত করে, যা রিপিট ভিজিট রেট এবং ইমেইল মার্কেটিং এঙ্গেজমেন্টের মাধ্যমে পরিমাপযোগ্য ROI প্রদান করে।

অনুশীলনী প্রশ্নসমূহ

Q1. আপনার সংস্থা ২,০০০ উইন্ডোজ ল্যাপটপকে একটি শেয়ার্ড PSK থেকে PEAP-MSCHAPv2 সহ 802.1X-এ মাইগ্রেট করছে। আপনার সিকিউরিটি টিম ফ্ল্যাগ করেছে যে PEAP রগ অ্যাক্সেস পয়েন্টের মাধ্যমে ক্রেডেনশিয়াল হারভেস্টিংয়ের জন্য ঝুঁকিপূর্ণ। এই ঝুঁকি কমানোর জন্য সবচেয়ে গুরুত্বপূর্ণ কনফিগারেশন পদক্ষেপটি কী এবং আপনি কীভাবে এটি স্কেলে ডিপ্লয় করবেন?

ইঙ্গিত: একটি ক্লায়েন্টকে সেলফ-সাইনড সার্টিফিকেট উপস্থাপনকারী কোনো ভুয়া RADIUS সার্ভারকে বিশ্বাস করা থেকে কী বাধা দেয় তা বিবেচনা করুন।

মডেল উত্তর দেখুন

গুরুত্বপূর্ণ পদক্ষেপটি হলো প্রতিটি ক্লায়েন্ট ডিভাইসে কঠোর সার্ভার সার্টিফিকেট ভ্যালিডেশন এনফোর্স করা। Group Policy Objects (GPO) ব্যবহার করে, সমস্ত ২,০০০ ল্যাপটপে একটি WiFi প্রোফাইল পুশ করুন যা নির্দিষ্ট করে: (১) সঠিক Root CA সার্টিফিকেট যা RADIUS সার্ভারের সার্টিফিকেট ইস্যু করেছে, (২) প্রত্যাশিত সার্ভারের নাম (CN/SAN), এবং (৩) ক্লায়েন্ট যেন নতুন সার্টিফিকেট বিশ্বাস করার জন্য ইউজারকে প্রম্পট না করে। এটি নিশ্চিত করে যে কোনো আক্রমণকারী যদি ভুয়া সার্টিফিকেট সহ একটি রগ AP ডিপ্লয়ও করে, ক্লায়েন্ট TLS হ্যান্ডশেক রিজেক্ট করবে এবং ক্রেডেনশিয়াল পাঠাতে অস্বীকার করবে। এই কনফিগারেশন ছাড়া, PEAP রগ AP অ্যাটাকের বিরুদ্ধে কোনো অর্থবহ সুরক্ষা প্রদান করে না।

Q2. একজন হাসপাতালের IT ডিরেক্টরকে ৩০০টি মেডিকেল IoT ডিভাইসের (ইনফিউশন পাম্প, মনিটরিং ইকুইপমেন্ট) জন্য নেটওয়ার্ক অ্যাক্সেস প্রদান করতে হবে যা 802.1X সমর্থন করে না। এই ডিভাইসগুলো একই ওয়্যারলেস ইনফ্রাস্ট্রাকচারে স্টাফ ওয়ার্কস্টেশনগুলোর পাশাপাশি বসে। RADIUS ইনফ্রাস্ট্রাকচার কীভাবে এই ডিভাইসগুলো হ্যান্ডেল করবে এবং কী কী নেটওয়ার্ক কন্ট্রোল থাকতে হবে?

ইঙ্গিত: হেডলেস ডিভাইসের জন্য উপলব্ধ অথেন্টিকেশন মেথড এবং এর অন্তর্নিহিত দুর্বলতা কীভাবে পূরণ করা যায় সে সম্পর্কে চিন্তা করুন।

মডেল উত্তর দেখুন

এই নির্দিষ্ট ডিভাইসগুলোর জন্য RADIUS সার্ভারে MAC Authentication Bypass (MAB) কনফিগার করুন। একটি ডেডিকেটেড Active Directory গ্রুপ বা RADIUS ডেটাবেসে প্রতিটি ডিভাইসের MAC অ্যাড্রেস রেজিস্টার করুন। যেহেতু MAC অ্যাড্রেসগুলো সহজেই স্পুফ করা যায়, তাই সমস্ত MAB-অথেনটিকেটেড ডিভাইসকে একটি ডেডিকেটেড, হাইলি রেস্ট্রিক্টেড VLAN-এ (যেমন, VLAN 30 - IoT) স্থাপন করার জন্য RADIUS সার্ভারকে অবশ্যই ডায়নামিক VLAN অ্যাসাইনমেন্ট ব্যবহার করতে হবে। এই VLAN-কে ফায়ারওয়াল করা উচিত যাতে শুধুমাত্র নির্দিষ্ট মেডিকেল সার্ভার IP অ্যাড্রেসগুলোর সাথে যোগাযোগ করা যায় এবং ইন্টারনেট অ্যাক্সেস ও স্টাফ VLAN-এ ল্যাটারাল মুভমেন্ট সহ অন্য সমস্ত ট্রাফিক ব্লক করা যায়। স্টাফ ওয়ার্কস্টেশনগুলো 802.1X-এর মাধ্যমে অথেন্টিকেট করে এবং একটি আলাদা VLAN-এ স্থাপন করা হয়। এই আর্কিটেকচারটি ePHI-সংলগ্ন ডিভাইসগুলোর জন্য HIPAA নেটওয়ার্ক সেগমেন্টেশনের প্রয়োজনীয়তা পূরণ করে।

Q3. আপনি একটি ৫০-ভেন্যুর রেস্টুরেন্ট চেইনের নেটওয়ার্ক আর্কিটেক্ট। ক্লাউড RADIUS ব্যবহার করে ৪৯টি ভেন্যুতে অথেন্টিকেশন সঠিকভাবে কাজ করছে, কিন্তু একটি নির্দিষ্ট ভেন্যু রিপোর্ট করেছে যে সমস্ত ডিভাইস অথেন্টিকেট করতে ব্যর্থ হচ্ছে। ক্লাউড RADIUS ম্যানেজমেন্ট পোর্টাল দেখাচ্ছে যে ওই ভেন্যু থেকে শূন্য অথেন্টিকেশন রিকোয়েস্ট আসছে। আপনার ডায়াগনস্টিক অ্যাপ্রোচ কী হবে?

ইঙ্গিত: যদি RADIUS সার্ভার কোনো রিকোয়েস্টই না পায়, তবে সমস্যাটি Authenticator এবং সার্ভারের মধ্যকার কমিউনিকেশন পাথে রয়েছে — অথেন্টিকেশন লজিকে নয়।

মডেল উত্তর দেখুন

যেহেতু RADIUS সার্ভার এই ভেন্যু থেকে শূন্য রিকোয়েস্ট পাচ্ছে, তাই ত্রুটিটি অ্যাক্সেস পয়েন্ট এবং ক্লাউড RADIUS সার্ভারের মধ্যে রয়েছে। ক্রমানুসারে ডায়াগনস্টিক পদক্ষেপগুলো: (১) ভেন্যুর AP বা ওয়্যারলেস কন্ট্রোলারে কনফিগার করা RADIUS সার্ভারের IP অ্যাড্রেস এবং পোর্ট (UDP 1812) যাচাই করুন — এখানে টাইপো সবচেয়ে সাধারণ কারণ। (২) ক্লাউড RADIUS IP রেঞ্জে আউটবাউন্ড UDP 1812 ট্রাফিক অনুমোদিত কিনা তা নিশ্চিত করতে ওই ভেন্যুর লোকাল ফায়ারওয়াল বা রাউটার রুলস চেক করুন। (৩) AP-তে কনফিগার করা Shared Secret ক্লাউড RADIUS পোর্টালে ওই ভেন্যুর জন্য কনফিগার করা সিক্রেটের সাথে মিলছে কিনা তা যাচাই করুন — মিসম্যাচ হলে RADIUS সার্ভার সাইলেন্টলি প্যাকেট ডিসকার্ড করে। (৪) ভেন্যুর ইন্টারনেট কানেকশন কাজ করছে কিনা তা চেক করুন — ক্লাউড RADIUS-এর জন্য নির্ভরযোগ্য ইন্টারনেট কানেক্টিভিটি প্রয়োজন। AP বা আপস্ট্রিম রাউটারে প্যাকেট ক্যাপচার রান করলে নিশ্চিত হওয়া যাবে যে RADIUS প্যাকেট পাঠানো হচ্ছে কিনা এবং রেসপন্স পাওয়া যাচ্ছে কিনা।

এই সিরিজে পড়া চালিয়ে যান

ভেন্ডর অনুযায়ী প্রতি-ডিভাইস PSK: iPSK, DPSK, MPSK এবং PPSK-এর তুলনা (এবং WPA3 সাপোর্ট)

Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet এবং Ubiquiti UniFi-এর প্রতি-ডিভাইস PSK ইমপ্লিমেন্টেশনের একটি বিস্তারিত তুলনা। জানুন কীভাবে WPA3-SAE প্রতি-ডিভাইস কী (key) কৌশলগুলোকে প্রভাবিত করে এবং কখন ট্রানজিশন মোড স্থাপন করতে হবে বনাম 802.1X-এ স্থানান্তরিত হতে হবে।

গাইডটি পড়ুন →

MAC Address Authentication কী? কখন এটি ব্যবহার করবেন এবং কখন এড়িয়ে চলবেন

এই অথরিটেটিভ টেকনিক্যাল রেফারেন্স গাইডটি এন্টারপ্রাইজ WiFi এনভায়রনমেন্টে MAC অ্যাড্রেস অথেনটিকেশন কভার করে — কীভাবে RADIUS-ভিত্তিক MAC অথেনটিকেশন Layer 2-তে কাজ করে, এর অন্তর্নিহিত সিকিউরিটি দুর্বলতাগুলো (যার মধ্যে MAC স্পুফিং এবং OS-লেভেল MAC র‍্যান্ডমাইজেশনের প্রভাব অন্তর্ভুক্ত) এবং সুনির্দিষ্ট অপারেশনাল কনটেক্সট যেখানে এটি IoT এবং হেডলেস ডিভাইসগুলো ম্যানেজ করার জন্য একটি বৈধ টুল হিসেবে রয়ে গেছে। এটি হসপিটালিটি, রিটেইল, হেলথকেয়ার এবং পাবলিক-সেক্টর ভেন্যুগুলোর আইটি ম্যানেজার এবং নেটওয়ার্ক আর্কিটেক্টদের জন্য রিয়েল-ওয়ার্ল্ড ওয়ার্কড এক্সাম্পল, ডিসিশন ফ্রেমওয়ার্ক এবং Purple-এর গেস্ট WiFi ও অ্যানালিটিক্স প্ল্যাটফর্মের ইন্টিগ্রেশন কনটেক্সটসহ অ্যাকশনেবল ডিপ্লয়মেন্ট গাইডেন্স প্রদান করে।

গাইডটি পড়ুন →

কীভাবে 802.1X এর মাধ্যমে iOS এবং macOS-এ এন্টারপ্রাইজ WiFi সেট আপ করবেন

এই প্রামাণিক গাইডটি সিনিয়র IT লিডারদের iOS এবং macOS ডিভাইসে 802.1X এন্টারপ্রাইজ WiFi ডিপ্লয় করার জন্য কার্যকর পদক্ষেপ প্রদান করে। এটি BYOD উদ্যোগগুলোকে সমর্থন করার পাশাপাশি কর্পোরেট নেটওয়ার্ক সুরক্ষিত করতে সার্টিফিকেট-ভিত্তিক অথেন্টিকেশন (EAP-TLS), MDM কনফিগারেশন প্রোফাইল এবং আর্কিটেকচার ইন্টিগ্রেশন কভার করে।

গাইডটি পড়ুন →