সুরক্ষিত BYOD এবং 802.1X নেটওয়ার্ক অথেন্টিকেশনের জন্য কীভাবে SCEP কনফিগার করবেন

হ্যালো, এবং Purple-এর এই টেকনিক্যাল ব্রিফিং-এ আপনাকে স্বাগত। আমি আপনার হোস্ট, এবং আজ আমরা SCEP - Simple Certificate Enrollment Protocol - এবং সুরক্ষিত BYOD এবং 802.1X নেটওয়ার্ক অথেন্টিকেশনের জন্য এটি কীভাবে সঠিকভাবে কনফিগার করতে হয় সে সম্পর্কে বিস্তারিত আলোচনা করব। আপনি যদি কোনও হোটেল গ্রুপ, রিটেল এস্টেট, স্টেডিয়াম বা পাবলিক-সেক্টর সংস্থার WiFi পরিকাঠামোর দায়িত্বে থাকা একজন আইটি ম্যানেজার, নেটওয়ার্ক আর্কিটেক্ট বা CTO হন, তবে এটি সরাসরি আপনার সাথে সম্পর্কিত। আজ আমরা কোনও তাত্ত্বিক আলোচনা করছি না। আমরা আর্কিটেকচার এবং সিদ্ধান্ত গ্রহণের বিষয়ে আলোচনা করছি। চলুন শুরু করা যাক। [SECTION: Introduction and Context - approximately 1 minute] আপনি সম্ভবত এই সমস্যার মুখোমুখি হচ্ছেন। আপনার কর্মীদের ডিভাইস, ঠিকাদারদের ল্যাপটপ এবং ব্যক্তিগত ফোন—সবেরই নেটওয়ার্ক অ্যাক্সেস প্রয়োজন। আপনার কাছে সম্ভবত ম্যানেজড এবং আনম্যানেজড উভয় ধরনের ডিভাইসেরই মিশ্রণ রয়েছে। এবং আপনার পরিকাঠামোর কোথাও না কোথাও এখনও একটি শেয়ার্ড WPA2 প্রি-শেয়ার্ড কী রয়েছে যা বারোজন মানুষ জানেন, যাদের মধ্যে তিনজন গত বছরই কোম্পানি ছেড়ে চলে গেছেন। এটি কোনও সিকিউরিটি পোসচার নয়। এটি একটি লায়াবিলিটি বা দায়বদ্ধতা। এর সমাধান হল 802.1X - পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস কন্ট্রোলের জন্য IEEE স্ট্যান্ডার্ড। এটি নিশ্চিত করে যে কোনও ডিভাইস স্পষ্টভাবে অথেন্টিকেট না হওয়া পর্যন্ত ট্রাফিক পাস করতে পারবে না। কিন্তু 802.1X হল কেবল ফ্রেমওয়ার্ক। আসল প্রশ্ন হল এর ভেতরে কোন অথেন্টিকেশন পদ্ধতি কাজ করছে। এবং স্কেলে BYOD-এর জন্য সমাধান হল SCEP-এর মাধ্যমে প্রভিশন করা সার্টিফিকেটের সাথে EAP-TLS। আজ আমরা সেটাই বিস্তারিতভাবে আলোচনা করছি। [SECTION: Technical Deep-Dive - approximately 5 minutes] চলুন প্রথমে জেনে নেওয়া যাক SCEP আসলে কী কাজ করে। SCEP - Simple Certificate Enrollment Protocol - মূলত ১৯৯৯ সালে VeriSign দ্বারা তৈরি একটি ইন্টারনেট ড্রাফ্ট হিসেবে IETF দ্বারা প্রকাশিত হয়েছিল। এটি RFC 8894 হিসেবে প্রাতিষ্ঠানিক রূপ পায়। এর কাজ খুবই সহজ: প্রতিটি ডিভাইসে ম্যানুয়ালি সার্টিফিকেট তৈরি ও ইনস্টল করার জন্য কোনও মানুষের প্রয়োজন ছাড়াই, স্কেলে ডিভাইসগুলোতে X.509 ডিজিটাল সার্টিফিকেট ইস্যু করার প্রক্রিয়াটিকে স্বয়ংক্রিয় করা। এখানে চার ধাপের প্রক্রিয়াটি দেওয়া হল। প্রথম ধাপ: ডিভাইসটি একটি SCEP এন্ডপয়েন্টের সাথে সংযোগ স্থাপন করে - এটি NDES (Network Device Enrollment Service) নামক একটি Windows সার্ভার রোলের মাধ্যমে অন-প্রাঙ্গনে হোস্টিং করা একটি URL, অথবা একটি ক্লাউড PKI প্রোভাইডারের মাধ্যমে হোস্টিং করা একটি URL। এই URL-টি হল আপনার সার্টিফিকেট অথরিটির গেটওয়ে। দ্বিতীয় ধাপ: ডিভাইসটি একটি SCEP চ্যালেঞ্জ উপস্থাপন করে - একটি শেয়ার্ড সিক্রেট যা প্রমাণ করে যে এটি একটি সার্টিফিকেটের জন্য অনুরোধ করার অনুমতিপ্রাপ্ত। Microsoft Intune-এর মতো একটি MDM-দ্বারা পরিচালিত পরিবেশে, এই চ্যালেঞ্জটি প্রতি ডিভাইসে ডাইনামিক এবং ইউনিকভাবে প্রদান করা হয়, যা সব ডিভাইসের জন্য শেয়ার করা একটি স্ট্যাটিক পাসওয়ার্ডের চেয়ে অনেক বেশি নিরাপদ। তৃতীয় ধাপ: ডিভাইসটি স্থানীয়ভাবে নিজস্ব প্রাইভেট এবং পাবলিক কি (key) পেয়ার তৈরি করে। এটি পাবলিক কি ব্যবহার করে একটি সার্টিফিকেট সাইনিং রিকোয়েস্ট (CSR) তৈরি করে এবং সেটি SCEP সার্ভারে পাঠায়। এখানে অত্যন্ত গুরুত্বপূর্ণ সিকিউরিটি পয়েন্টটি হল: প্রাইভেট কি-টি কখনই ডিভাইস ছেড়ে যায় না। এটি স্থানীয়ভাবে তৈরি হয়, ডিভাইসের সিকিউর এনক্লেভে - যেমন Windows-এর ক্ষেত্রে TPM অথবা iOS-এর ক্ষেত্রে Secure Enclave-এ সংরক্ষিত থাকে এবং কখনই স্থানান্তরিত হয় না। এই কারণেই নেটওয়ার্ক অথেন্টিকেশনের জন্য SCEP হল সঠিক পছন্দ, PKCS নয়, যেখানে CA সেন্ট্রালভাবে কি তৈরি করে এবং ডিভাইসে পুশ করতে হয়। চতুর্থ ধাপ: সার্টিফিকেট অথরিটি (CA) CSR-টি যাচাই করে, CA-এর প্রাইভেট কী দিয়ে এটি সাইন করে এবং সাইন করা X.509 সার্টিফিকেটটি ডিভাইসে ফেরত পাঠায়। ডিভাইসটির এখন একটি অনন্য ক্রিপ্টোগ্রাফিক আইডেন্টিটি রয়েছে। এখন, 802.1X অথেনটিকেশনের জন্য সেই সার্টিফিকেটটি কীভাবে ব্যবহার করা হয়? ডিভাইসটি যখন আপনার WiFi SSID-এর সাথে সংযুক্ত হয়, তখন অ্যাক্সেস পয়েন্টটি - সেটি Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist বা Ubiquiti UniFi যা-ই হোক না কেন - অথেনটিকেটর হিসেবে কাজ করে। এটি নিজে কোনো অথেনটিকেশনের সিদ্ধান্ত নেয় না। এটি EAP এক্সচেঞ্জকে আপনার RADIUS সার্ভারে ফরোয়ার্ড করে। সেটি Microsoft NPS, Cisco ISE বা Aruba ClearPass হতে পারে। RADIUS সার্ভার একটি EAP-TLS হ্যান্ডশেক শুরু করে। ডিভাইসটি তার SCEP-প্রভিশনড ক্লায়েন্ট সার্টিফিকেটটি উপস্থাপন করে। RADIUS সার্ভার তিনটি জিনিস যাচাই করে: ট্রাস্টেড রুট CA পর্যন্ত সার্টিফিকেট চেইন, সার্টিফিকেটের মেয়াদ শেষ হওয়ার তারিখ এবং সার্টিফিকেটটি বাতিল করা হয়েছে কিনা - যা একটি সার্টিফিকেট রিভোকেশন লিস্ট (CRL) বা OCSP (অনলাইন সার্টিফিকেট স্ট্যাটাস প্রোটোকল)-এর মাধ্যমে পরীক্ষা করা হয়। যদি তিনটি পরীক্ষাই সফল হয়, তবে RADIUS সার্ভার একটি EAP-Success মেসেজ পাঠায় এবং অ্যাক্সেস পয়েন্ট পোর্টটি খুলে দেয়। ডিভাইসটি নেটওয়ার্কের সাথে যুক্ত হয়। এটি পারস্পরিক অথেনটিকেশন (mutual authentication)। ডিভাইসটিও RADIUS সার্ভারের সার্টিফিকেট যাচাই করে। কেউ যদি কোনো রোগ (rogue) অ্যাক্সেস পয়েন্ট সেট আপ করে, তবে ডিভাইসটি তা প্রত্যাখ্যান করবে কারণ সার্ভার সার্টিফিকেটটি ট্রাস্টেড CA-এর সাথে যাচাই করা যাবে না। এটিই এভিল টুইন অ্যাটাকের (evil twin attacks) বিরুদ্ধে আপনার সুরক্ষা। এখন আসুন Microsoft Intune-এ ডেপ্লয়মেন্ট সিকোয়েন্স নিয়ে কথা বলা যাক, কারণ এটিই আমরা এন্টারপ্রাইজ পরিবেশে সবচেয়ে বেশি ব্যবহৃত হতে দেখি এমন MDM প্ল্যাটফর্ম। আপনি তিনটি Intune কনফিগারেশন প্রোফাইল কঠোরভাবে সিকোয়েন্স অনুযায়ী ডেপ্লয় করবেন। প্রথমত, Trusted Root Certificate প্রোফাইল - এটি প্রতিটি ডিভাইসে আপনার রুট CA সার্টিফিকেট পুশ করে যাতে তারা আপনার PKI-কে বিশ্বাস করে। দ্বিতীয়ত, SCEP Certificate প্রোফাইল - এটি ডিভাইসগুলোকে SCEP URL, সাবজেক্ট নেম ফরম্যাট, কী ব্যবহার (key usage) এবং ক্লায়েন্ট অথেনটিকেশনের জন্য এক্সটেন্ডেড কী ব্যবহার নির্দেশ করে। ক্লায়েন্ট অথেনটিকেশনের জন্য OID হলো 1.3.6.1.5.5.7.3.2। তৃতীয়ত, WiFi প্রোফাইল - এটি SSID নির্দিষ্ট করে, সিকিউরিটি টাইপ WPA2-Enterprise বা WPA3-Enterprise-এ সেট করে, EAP টাইপ EAP-TLS-এ সেট করে এবং SCEP সার্টিফিকেট প্রোফাইলের সাথে লিংক করে। এই সিকোয়েন্সটি অত্যন্ত গুরুত্বপূর্ণ। WiFi প্রোফাইলটি SCEP প্রোফাইলের ওপর নির্ভরশীল, যা আবার Trusted Root প্রোফাইলের ওপর নির্ভরশীল। এগুলো সিকোয়েন্সের বাইরে ডেপ্লয় করলে আপনি ত্রুটি (errors) দেখতে পাবেন। একটি আর্কিটেকচারাল সিদ্ধান্ত যা আপনাকে নিতে হবে তা হলো NDES সার্ভার কোথায় হোস্ট করবেন। এটি ইন্টারনেট থেকে অ্যাক্সেসযোগ্য হওয়া প্রয়োজন যাতে ডিভাইসগুলো অন-সাইটে আসার আগেই এনরোল করতে পারে। এটি করার নিরাপদ উপায় হলো Microsoft Entra ID Application Proxy-এর মাধ্যমে NDES URL প্রকাশ করা। এটি ইনবাউন্ড ফায়ারওয়াল পোর্ট খোলার প্রয়োজনীয়তা দূর করে এবং আপনাকে এনরোলমেন্ট ফ্লোতে কন্ডিশনাল অ্যাক্সেস পলিসি প্রয়োগ করার সুবিধা দেয়। যেসব প্রতিষ্ঠান অন-প্রিমিসেস অবকাঠামো সম্পূর্ণভাবে বাদ দিতে চায়, তাদের জন্য ক্লাউড PKI প্রোভাইডার - যেমন Intune-এ Microsoft-এর নিজস্ব Cloud PKI অথবা থার্ড-পার্টি অপশনগুলো - NDES-এর উপর নির্ভরতা সম্পূর্ণভাবে দূর করে দেয়। [SECTION: Implementation Recommendations and Pitfalls - approximately 2 minutes] আসুন আমরা সচরাচর যে তিনটি ব্যর্থতার ধরণ দেখতে পাই তা আলোচনা করি। ব্যর্থতার ধরণ এক: গ্রুপ টার্গেটিং অমিল। Intune-এ WiFi প্রোফাইল স্থাপনে ব্যর্থতার সবচেয়ে সাধারণ কারণ এটি। আপনার Trusted Root প্রোফাইলটি যদি কোনো User গ্রুপে, আপনার SCEP প্রোফাইলটি কোনো Device গ্রুপে এবং আপনার WiFi প্রোফাইলটি সম্পূর্ণ ভিন্ন কোনো User গ্রুপে অ্যাসাইন করা থাকে, তবে Intune এই নির্ভরতা চেইনটির সমাধান করতে পারে না। তিনটি প্রোফাইলকেই অবশ্যই ঠিক একই Azure AD গ্রুপকে টার্গেট করতে হবে - হয় সমস্ত Users অথবা সমস্ত Devices। যেকোনো একটি বেছে নিন এবং সেটিতেই অবিচল থাকুন। ব্যর্থতার ধরণ দুই: CRL প্রাপ্যতা। সার্টিফিকেট বাতিল করা হয়েছে কিনা তা যাচাই করতে আপনার RADIUS সার্ভারটি CRL চেক করে। যদি CRL ডিস্ট্রিবিউশন পয়েন্ট - সার্টিফিকেটে এমবেড করা CDP URL-টি - অ্যাক্সেস করা না যায়, তবে প্রতিটি ডিভাইসের জন্য অথেনটিকেশন ব্যর্থ হয়। নেটওয়ার্ক পরিবর্তনের পর এটি ব্যাপক বিভ্রাটের একটি সাধারণ কারণ। আপনার CDP-গুলি যাতে উচ্চমাত্রায় সহজলভ্য থাকে তা নিশ্চিত করুন, আদর্শভাবে রিমোট ডিভাইসগুলির জন্য একটি অভ্যন্তরীণ URL এবং একটি বাহ্যিক URL উভয় জায়গাতেই প্রকাশ করুন। CRL চেকিংয়ের আরও স্থিতিস্থাপক বিকল্প হিসেবে OCSP-এর কথা বিবেচনা করতে পারেন। ব্যর্থতার ধরণ তিন: ক্লায়েন্টদের উপর সার্ভার সার্টিফিকেট ভ্যালিডেশন বাধ্যতামূলক না করা। 802.1X ডেপ্লয়মেন্টে এটি সবচেয়ে বড় ক্ষতিকর ভুল কনফিগারেশন। আপনার MDM-ডেপ্লয় করা WiFi প্রোফাইল যদি বিশ্বস্ত CA এবং প্রত্যাশিত RADIUS সার্ভারের নাম নির্দিষ্ট না করে, তবে ডিভাইসগুলি যেকোনো সার্টিফিকেট প্রদানকারী যেকোনো সার্ভারের সাথে সংযুক্ত হয়ে যাবে। এটি EAP-TLS-এর মূল উদ্দেশ্যকেই ব্যাহত করে। আপনার WiFi প্রোফাইলে সর্বদা সার্ভার ভ্যালিডেশন কনফিগার করুন। [SECTION: Rapid-Fire Q and A - approximately 1 minute] আসুন দ্রুত কয়েকটি প্রশ্ন দেখে নেওয়া যাক। প্রশ্ন: আমাদের কি WPA3 প্রয়োজন? হ্যাঁ। WPA3-Enterprise-এ মাইগ্রেট করুন। এটি Protected Management Frames বাধ্যতামূলক করে, যা ডি-অথেনটিকেশন আক্রমণ প্রতিরোধ করে। Cisco Meraki, HPE Aruba, Ruckus, এবং Juniper Mist-এর সমস্ত হার্ডওয়্যার এটি সমর্থন করে। প্রশ্ন: যেসব ডিভাইস 802.1X সমর্থন করতে পারে না - যেমন IoT সেন্সর বা পুরোনো প্রিন্টার, সেগুলোর ক্ষেত্রে কী হবে? বিকল্প হিসেবে MAC Authentication Bypass ব্যবহার করুন, তবে সেই ডিভাইসগুলিকে অত্যন্ত সীমিত অ্যাক্সেসযুক্ত VLAN-এ রাখুন যার সাথে কর্পোরেট রিসোর্সের কোনো সংযোগ নেই। প্রশ্ন: Purple এর সাথে কীভাবে খাপ খায়? Purple-এর গেস্ট WiFi প্ল্যাটফর্মটি ভিজিটর এবং গেস্ট অ্যাক্সেস লেয়ার পরিচালনা করে - যা Captive Portal, ডেটা ক্যাপচার এবং অ্যানালিটিক্স হ্যান্ডেল করে। আর আপনার 802.1X এবং SCEP ইনফ্রাস্ট্রাকচার স্টাফ এবং ম্যানেজড ডিভাইস অ্যাক্সেস পরিচালনা করে। এগুলি আলাদা SSID এবং আলাদা VLAN-এ চলে। Purple মূলত Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme এবং Fortinet-এর সাথে ইন্টিগ্রেট করে - তাই আপনার হার্ডওয়্যার বিনিয়োগ সুরক্ষিত থাকে। [SECTION: Summary and Next Steps - approximately 1 minute] সংক্ষেপে বলতে গেলে। SCEP বড় পরিসরে সার্টিফিকেট ইস্যু করা স্বয়ংক্রিয় করে। প্রাইভেট কী ডিভাইসের মধ্যেই থাকে - PKCS-এর তুলনায় এটিই এর সিকিউরিটি সুবিধা। MDM-এর মাধ্যমে কঠোর ক্রমানুসারে ডেপ্লয় করুন: প্রথমে Trusted Root, তারপর SCEP প্রোফাইল, তারপর WiFi প্রোফাইল, যেখানে সবই একই গ্রুপকে টার্গেট করবে। Application Proxy-এর মাধ্যমে NDES পাবলিশ করুন অথবা ক্লাউড PKI-তে চলে যান। আপনার RADIUS সার্ভারে CRL বা OCSP চেকিং বাধ্যতামূলক করুন। এবং ক্লায়েন্ট সাপ্লিক্যান্টগুলিতে সর্বদা সার্ভার সার্টিফিকেট ভ্যালিডেশন কনফিগার করুন। আপনি যদি এখনও স্টাফদের WiFi-এর জন্য একটি শেয়ারড প্রি-শেয়ারড কী ব্যবহার করে থাকেন, তবে এই ত্রৈমাসিকে আপনার এই পরিবর্তনটিই করা উচিত। সার্টিফিকেট অবকাঠামো তৈরিতে শুরুতে কিছুটা বেশি পরিশ্রম হলেও, এটি শংসাপত্র-ভিত্তিক (credential-based) সমস্ত আক্রমণকে পুরোপুরি দূর করে এবং একবার স্থাপন করার পর সাধারণত WiFi-সংক্রান্ত হেল্পডেস্ক টিকিট ৭০ থেকে ৮০ শতাংশ কমিয়ে দেয়। সম্পূর্ণ প্রযুক্তিগত নির্দেশিকা, আর্কিটেকচার ডায়াগ্রাম এবং বাস্তব উদাহরণের জন্য, purple dot ai ভিজিট করুন। শোনার জন্য ধন্যবাদ।