কীভাবে নিরাপদ এন্টারপ্রাইজ WiFi এবং BYOD প্রভিশনিংয়ের জন্য SCEP কনফিগার করবেন
এই প্রযুক্তিগত নির্দেশিকাতে ব্যাখ্যা করা হয়েছে যে কীভাবে নিরাপদ 802.1X এন্টারপ্রাইজ WiFi অথেনটিকেশন এবং BYOD প্রভিশনিং স্বয়ংক্রিয় করতে Simple Certificate Enrolment Protocol (SCEP) কনফিগার করতে হয়। এটি নেটওয়ার্ক আর্কিটেক্ট এবং IT ম্যানেজারদের একটি সুনির্দিষ্ট ডিপ্লয়মেন্ট সিকোয়েন্স, হসপিটালিটি এবং রিটেইল থেকে বাস্তবায়নের বাস্তব পরিস্থিতি, এবং এন্টারপ্রাইজ নেটওয়ার্ক থেকে ঝুঁকিপূর্ণ প্রি-শেয়ার্ড কী এবং MAC Authentication Bypass দূর করার জন্য ঝুঁকি হ্রাস করার কৌশল প্রদান করে।
এই গাইডটি শুনুন
পডকাস্ট ট্রান্সক্রিপ্ট দেখুন

এক্সিকিউটিভ সামারি
হসপিটালিটি, রিটেইল এবং পাবলিক সেক্টরে কর্মরত এন্টারপ্রাইজ ভেন্যুগুলোর জন্য, কর্মীদের এবং BYOD ডিভাইসের WiFi অ্যাক্সেস দেওয়ার জন্য Pre-Shared Keys (PSK) বা MAC Authentication Bypass (MAB)-এর ওপর নির্ভর করা একটি নিরাপত্তা ঝুঁকি। আধুনিক নেটওয়ার্ক আর্কিটেকচারে EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) ব্যবহার করে 802.1X অথেন্টিকেশন প্রয়োজন, যা নেটওয়ার্ক অ্যাক্সেস করার আগে প্রতিটি ডিভাইস ক্রিপ্টোগ্রাফিকভাবে যাচাই করা নিশ্চিত করে। আসল কার্যক্ষম চ্যালেঞ্জটি হলো আইটি হেল্পডেস্ককে অতিরিক্ত সাপোর্ট টিকিটের চাপে না ফেলে হাজার হাজার আনম্যানেজড ডিভাইসে ইউনিক ক্লায়েন্ট সার্টিফিকেট বিতরণ করা।
RFC 8894-এ সংজ্ঞায়িত Simple Certificate Enrolment Protocol (SCEP), স্বয়ংক্রিয় সার্টিফিকেট লাইফসাইকেল ম্যানেজমেন্টের মাধ্যমে এই বিতরণ সমস্যার সমাধান করে। SCEP ব্যবহার করে, আইটি টিম ট্রাস্টেড রুট সার্টিফিকেট এবং ক্লায়েন্ট সার্টিফিকেট এন্ডপয়েন্টে পুশ করতে পারে, যা নিশ্চিত করে যে প্রাইভেট কী কখনোই ডিভাইস থেকে বাইরে যাবে না। এই নির্দেশিকাটি SCEP WiFi সার্টিফিকেট স্থাপনের জন্য চূড়ান্ত আর্কিটেকচারাল ব্লুপ্রিন্ট এবং ধাপে ধাপে বাস্তবায়ন কৌশল প্রদান করে। আমরা সফলতার জন্য প্রয়োজনীয় গুরুত্বপূর্ণ ডেপ্লয়মেন্ট সিকোয়েন্স, হসপিটালিটি ও রিটেইল থেকে বাস্তব উদাহরণ এবং আপনার Guest WiFi ও কর্পোরেট নেটওয়ার্ক সুরক্ষিত ও কর্মক্ষম রাখার জন্য ঝুঁকি কমানোর কৌশলগুলো আলোচনা করেছি।
টেকনিক্যাল ডিপ-ডাইভ: SCEP আর্কিটেকচার
SCEP হলো এন্টারপ্রাইজ ডিভাইস এনরোলমেন্টের জন্য ইন্ডাস্ট্রি স্ট্যান্ডার্ড, যা VeriSign দ্বারা তৈরি এবং ১৯৯৯ সালে IETF ইন্টারনেট ড্রাফট হিসেবে প্রকাশিত হয়েছিল। এটি একটি Public Key Infrastructure (PKI) এনভায়রনমেন্টের মধ্যে X.509 সার্টিফিকেট প্রদান স্বয়ংক্রিয় করে, যা স্কেলে ম্যানুয়ালি সার্টিফিকেট পরিচালনা করার প্রয়োজনীয়তা দূর করে।

একটি SCEP ওয়ার্কফ্লোতে, ডিভাইসটি স্থানীয়ভাবে নিজস্ব প্রাইভেট এবং পাবলিক কী জোড়া তৈরি করে। এটি একটি Certificate Signing Request (CSR) তৈরি করে এবং একটি Network Device Enrolment Service (NDES) সার্ভারের মাধ্যমে আপনার Certificate Authority (CA)-তে পাঠায়। CA একটি শেয়ার্ড সিক্রেট ব্যবহার করে অনুরোধটি যাচাই করে এবং স্বাক্ষরিত পাবলিক সার্টিফিকেটটি ডিভাইসে ফেরত পাঠায়। এর প্রধান নিরাপত্তা সুবিধা হলো প্রাইভেট কী কখনই ডিভাইস থেকে বাইরে যায় না। এটি স্থানীয়ভাবে তৈরি হয় এবং ডিভাইসের হার্ডওয়্যার সিকিউর এনক্লেভে সংরক্ষিত থাকে — Windows-এর ক্ষেত্রে Trusted Platform Module (TPM) বা iOS-এর ক্ষেত্রে Secure Enclave। এটি SCEP-কে 802.1X অথেন্টিকেশনের জন্য অত্যন্ত সুপারিশকৃত পদ্ধতিতে পরিণত করে, PKCS (Public Key Cryptography Standards)-এর বিপরীতে, যেখানে CA কেন্দ্রীয়ভাবে কী জোড়া তৈরি করে এবং নেটওয়ার্কের মাধ্যমে তা প্রেরণ করে।
SCEP সার্টিফিকেট এনরোলমেন্টের চারটি ধাপ নিম্নরূপ। প্রথমত, ডিভাইসটি NDES সার্ভার দ্বারা হোস্ট করা SCEP এন্ডপয়েন্ট URL-এর সাথে সংযুক্ত হয়। দ্বিতীয়ত, ডিভাইসটি এনরোলমেন্টের অনুরোধ যাচাই করার জন্য SCEP শেয়ার্ড সিক্রেট (MDM প্ল্যাটফর্ম দ্বারা তৈরি একটি স্ট্যাটিক পাসওয়ার্ড বা ডায়নামিক চ্যালেঞ্জ) পেশ করে। তৃতীয়ত, ডিভাইসটি একটি CSR তৈরি করে যাতে এটির পাবলিক কী এবং সনাক্তকারী তথ্য থাকে। চতুর্থত, CA CSR-টি যাচাই করে এবং একটি স্বাক্ষরিত X.509 সার্টিফিকেট প্রদান করে, যা ডিভাইসে ফেরত পাঠানো হয়।
SCEP বনাম PKCS: সঠিক মেকানিজম নির্বাচন করা
আপনার সার্টিফিকেট ডেপ্লয়মেন্ট স্ট্র্যাটেজি ডিজাইন করার সময়, SCEP এবং PKCS-এর মধ্যে নির্বাচন সরাসরি নিরাপত্তাকে প্রভাবিত করে। নিচের টেবিলে মূল পার্থক্যগুলো সংক্ষেপে তুলে ধরা হলো।
| বৈশিষ্ট্য | SCEP | PKCS |
|---|---|---|
| প্রাইভেট কী জেনারেশন | ডিভাইসে (সিকিউর এনক্লেভ) | CA সার্ভারে |
| প্রাইভেট কী ট্রান্সমিশন | কখনই স্থানান্তরিত হয় না | নেটওয়ার্কের মাধ্যমে স্থানান্তরিত হয় |
| ইনফ্রাস্ট্রাকচার প্রয়োজনীয়তা | একটি NDES সার্ভার প্রয়োজন | কোনো NDES প্রয়োজন নেই |
| সবচেয়ে উপযুক্ত | WiFi এবং VPN অথেন্টিকেশন | S/MIME ইমেল এনক্রিপশন |
| 802.1X-এর জন্য নিরাপত্তা ব্যবস্থা | সুপারিশকৃত | সুপারিশকৃত নয় |
SCEP সহ এন্টারপ্রাইজ WiFi-এর জন্য, সর্বদা SCEP বেছে নিন। ডিভাইসে প্রাইভেট কী রাখা হলো মৌলিক নিরাপত্তা বৈশিষ্ট্য যা সার্টিফিকেট-ভিত্তিক 802.1X অথেন্টিকেশনকে যেকোনো ক্রেডেনশিয়াল-ভিত্তিক অথেন্টিকেশন পদ্ধতির চেয়ে উন্নত করে তোলে।
BYOD সেলফ-সার্ভিস অনবোর্ডিং ফ্লো
নিরাপদ BYOD অনবোর্ডিংয়ের ভিত্তি হলো সম্পূর্ণ Mobile Device Management (MDM) এনরোলমেন্টের প্রয়োজন ছাড়াই লেগ্যাসি অথেন্টিকেশন থেকে EAP-TLS-এ স্থানান্তরিত হওয়া। কর্মীদের ব্যক্তিগত স্মার্টফোন কর্পোরেট MDM-এ এনরোল করতে বাধ্য করা বৈধ গোপনীয়তার উদ্বেগ তৈরি করে এবং তীব্র প্রতিরোধের সম্মুখীন হয়। একটি সেলফ-সার্ভিস অনবোর্ডিং পোর্টাল এই সমস্যার সমাধান করে।
ব্যবহারকারীরা তাদের ব্যক্তিগত ডিভাইসটিকে একটি ডেডিকেটেড প্রভিশনিং SSID-এর সাথে সংযুক্ত করেন, যা একটি ওয়াল্ড গার্ডেন হিসাবে কাজ করে এবং শুধুমাত্র অনবোর্ডিং পোর্টাল এবং আইডেন্টিটি প্রোভাইডারের অ্যাক্সেসকে সীমাবদ্ধ করে। ব্যবহারকারীরা Microsoft Entra ID, Okta, বা Google Workspace-এর সাথে SAML বা OAuth ইন্টিগ্রেশনের মাধ্যমে প্রমাণীকরণ করেন। সফল প্রমাণীকরণের পর, সিস্টেমটি SCEP-এর মাধ্যমে একটি অনন্য, ডিভাইস-নির্দিষ্ট ক্লায়েন্ট সার্টিফিকেট তৈরি করে। একটি কনফিগারেশন প্রোফাইল (Apple-এর জন্য একটি .mobileconfig ফাইল বা একটি Android Passpoint প্রোফাইল) ডিভাইসে পুশ করা হয়। এরপর ডিভাইসটি EAP-TLS ব্যবহার করে স্বয়ংক্রিয়ভাবে সুরক্ষিত কর্পোরেট SSID-এর সাথে সংযুক্ত হয়। ব্যবহারকারীকে কখনই সার্টিফিকেট বা 802.1X সম্পর্কে কিছু বোঝার প্রয়োজন হয় না।
Implementation Guide: The Deployment Sequence
802.1X-এর জন্য SCEP সফলভাবে কনফিগার করার জন্য একটি নির্দিষ্ট ডেপ্লয়মেন্ট সিকোয়েন্স কঠোরভাবে অনুসরণ করা প্রয়োজন। প্রমাণীকরণ কনফিগার করার আগেই বিশ্বাস স্থাপন করতে হবে। এই সিকোয়েন্স থেকে বিচ্যুত হওয়া ব্যর্থ ডেপ্লয়মেন্টের সবচেয়ে সাধারণ কারণ।
ধাপ ১: ট্রাস্টেড রুট সার্টিফিকেট ডেপ্লয় করুন। কোনো ডিভাইস ক্লায়েন্ট সার্টিফিকেটের জন্য অনুরোধ করার আগে বা আপনার RADIUS সার্ভারকে বিশ্বাস করার আগে, তাকে প্রথমে ইস্যুকারী সার্টিফিকেট অথরিটি (CA)-কে বিশ্বাস করতে হবে। আপনার রুট CA সার্টিফিকেট (এবং যেকোনো ইন্টারমিডিয়েট CA সার্টিফিকেট) একটি .cer ফাইল হিসেবে এক্সপোর্ট করুন। আপনার MDM প্ল্যাটফর্মের মাধ্যমে আপনার লক্ষ্যযুক্ত ডিভাইস গ্রুপগুলিতে এই প্রোফাইলটি ডেপ্লয় করুন। এই ধাপটি অনস্বীকার্য।
ধাপ ২: SCEP সার্টিফিকেট প্রোফাইল কনফিগার করুন। এটি ডিভাইসগুলোকে নির্দেশ দেয় কীভাবে তাদের ক্লায়েন্ট সার্টিফিকেট পেতে হবে। সাবজেক্ট নেম ফরম্যাট কনফিগার করুন - ব্যবহারকারী-চালিত প্রমাণীকরণের জন্য স্ট্যান্ডার্ড হলো CN={{UserPrincipalName}}; ডিভাইস প্রমাণীকরণের জন্য CN={{AAD_Device_ID}} ব্যবহার করুন। কি-এর ব্যবহার Digital signature এবং Key encipherment-এ সেট করুন। বর্ধিত কি ব্যবহারের অধীনে, Client Authentication (OID: 1.3.6.1.5.5.7.3.2) নির্দিষ্ট করুন। এই প্রোফাইলটিকে ধাপ ১-এর ট্রাস্টেড রুট সার্টিফিকেট প্রোফাইলের সাথে লিঙ্ক করুন। আপনার NDES সার্ভারের বাহ্যিক URL প্রদান করুন।
ধাপ ৩: 802.1X WiFi প্রোফাইল ডেপ্লয় করুন। WiFi কনফিগারেশন পুশ করুন যা সার্টিফিকেটটিকে নেটওয়ার্ক SSID-এর সাথে বাইন্ড করে। আপনার অ্যাক্সেস পয়েন্ট (APs) দ্বারা যেভাবে ব্রডকাস্ট করা হচ্ছে ঠিক সেভাবে নেটওয়ার্কের নামটি লিখুন। সিকিউরিটি টাইপ WPA2-Enterprise বা WPA3-Enterprise-এ সেট করুন। EAP টাইপ EAP-TLS-এ সেট করুন। ক্লায়েন্ট অথেন্টিকেশন সার্টিফিকেট হিসেবে SCEP সার্টিফিকেট প্রোফাইল নির্বাচন করুন। সার্ভার ভ্যালিডেশনের জন্য ট্রাস্টেড রুট সার্টিফিকেট নির্দিষ্ট করুন, যাতে ডিভাইসগুলো শুধুমাত্র আপনার বৈধ RADIUS সার্ভারের সাথেই সংযুক্ত হয়।
এই সিকোয়েন্সটি সমস্ত সমর্থিত হার্ডওয়্যার প্ল্যাটফর্মের ক্ষেত্রে প্রযোজ্য: Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme এবং Fortinet। Purple-এর হার্ডওয়্যার-নিরপেক্ষ ক্লাউড ওভারলে এই সমস্ত প্ল্যাটফর্মের সাথে সংহত হয়, যার অর্থ আপনার সার্টিফিকেট অবকাঠামো কোনো একক হার্ডওয়্যার বিক্রেতার কাছে লক হয়ে থাকে না।
Best Practices
Azure AD Application Proxy-এর মাধ্যমে NDES পাবলিশ করুন। NDES সার্ভারটি অবশ্যই ইন্টারনেট থেকে অ্যাক্সেসযোগ্য হতে হবে যাতে রিমোট ডিভাইসগুলি অন-সাইটে পৌঁছানোর আগে সার্টিফিকেট প্রভিশন করতে পারে। সরাসরি ইন্টারনেটে একটি ইন্টারনাল সার্ভার এক্সপোজ করা একটি উল্লেখযোগ্য নিরাপত্তা ঝুঁকি তৈরি করে। Azure AD Application Proxy-এর মাধ্যমে পাবলিশ করা ইনবাউন্ড ফায়ারওয়াল পোর্টগুলি না খুলেই নিরাপদ রিমোট অ্যাক্সেস প্রদান করে, এবং আপনাকে এনরোলমেন্ট ফ্লোতে Conditional Access পলিসি প্রয়োগ করার অনুমতি দেয়।
BYOD-এর জন্য স্বল্পমেয়াদী সার্টিফিকেট ইস্যু করুন। যেহেতু BYOD ডিভাইসগুলি আনম্যানেজড, তাই নেটওয়ার্কে একটি আপোসকৃত ডিভাইস থেকে যাওয়ার ঝুঁকি বেশি থাকে। বছরের পর বছর মেয়াদের বদলে ৯০ দিনের জন্য বৈধ সার্টিফিকেট ইস্যু করুন। যখন একটি সার্টিফিকেটের মেয়াদ শেষ হয়ে যাবে, তখন ব্যবহারকারীকে অনবোর্ডিং পোর্টালের মাধ্যমে পুনরায় প্রমাণীকরণ করতে হবে। এটি কোনো ম্যানুয়াল IT হস্তক্ষেপ ছাড়াই নেটওয়ার্ক থেকে স্বাভাবিকভাবেই নিষ্ক্রিয় ডিভাইসগুলিকে ছাঁটাই করে।
RADIUS সার্ভারে কঠোর CRL চেকিং প্রয়োগ করুন। সার্টিফিকেট ডেপ্লয়মেন্ট হলো নিরাপত্তা সমীকরণের অর্ধেক মাত্র। যদি কোনো কর্মচারী চাকরি ছেড়ে দেন, তবে তাদের Active Directory অ্যাকাউন্ট নিষ্ক্রিয় করার পরেও তাদের ক্লায়েন্ট সার্টিফিকেট বৈধ থাকা অবস্থায় তাদের WiFi অ্যাক্সেস অবিলম্বে প্রত্যাহার নাও হতে পারে। কঠোর Certificate Revocation List (CRL) চেকিং প্রয়োগ করতে আপনার RADIUS সার্ভার কনফিগার করুন। আপনার CRL Distribution Point (CDP) অত্যন্ত হাইলি অ্যাভেলেবল তা নিশ্চিত করুন। যদি RADIUS সার্ভার CRL-এ পৌঁছাতে না পারে, তবে সমস্ত ব্যবহারকারীর জন্য প্রমাণীকরণ ব্যর্থ হবে, যা একটি বড় ধরনের আউটএজ সৃষ্টি করবে।
BYOD-কে একটি ডেডিকেটেড VLAN-এ সেগমেন্ট করুন। BYOD ডিভাইসগুলি আনম্যানেজড। তাদের অপারেটিং সিস্টেম আপডেট, অ্যান্টিভাইরাস স্ট্যাটাস বা ইনস্টল করা অ্যাপ্লিকেশনের ওপর আপনার কোনো নিয়ন্ত্রণ নেই। BYOD ডিভাইসগুলিকে একটি ডেডিকেটেড VLAN-এ রাখুন যা শুধুমাত্র ইন্টারনেট অ্যাক্সেস প্রদান করে, এবং কর্মচারীর ভূমিকার জন্য প্রয়োজনীয় নির্দিষ্ট ইন্টারনাল অ্যাপ্লিকেশনগুলিতে অ্যাক্সেস সীমাবদ্ধ করে। কর্পোরেট সার্ভার বা ম্যানেজড ডিভাইসগুলির মতো একই VLAN-এ কখনও BYOD ডিভাইসগুলি রাখবেন না।

ট্রাবলশুটিং এবং ঝুঁকি প্রশমন
WiFi প্রোফাইল প্রয়োগ হতে ব্যর্থ হচ্ছে। ডিভাইসটি ট্রাস্টেড রুট সার্টিফিকেট এবং SCEP সার্টিফিকেট পেয়েছে, কিন্তু MDM কনসোলে WiFi প্রোফাইলটি "Error" হিসাবে দেখাচ্ছে। এটি প্রায় সবসময় একটি গ্রুপ টার্গেটিং অমিলের কারণে ঘটে। যদি SCEP প্রোফাইলটি একটি "ইউজার গ্রুপ"-এ অ্যাসাইন করা হয় এবং WiFi প্রোফাইলটি একটি "ডিভাইস গ্রুপ"-এ অ্যাসাইন করা হয়, তবে MDM এই ডিপেনডেন্সি সমাধান করতে পারে না। আপনার অ্যাসাইনমেন্টগুলি অডিট করুন এবং নিশ্চিত করুন যে ট্রাস্টেড রুট, SCEP, এবং WiFi প্রোফাইলগুলি সবই হুবহু একই Azure AD গ্রুপকে টার্গেট করছে।
NDES 403 Forbidden ত্রুটি। ডিভাইসগুলো SCEP সার্টিফিকেট পুনরুদ্ধার করতে পারে না এবং NDES IIS লগগুলোতে HTTP 403 ত্রুটি দেখায়। এর সবচেয়ে বড় কারণ সম্ভবত এই যে কানেক্টর সার্ভিস অ্যাকাউন্টে সার্টিফিকেট টেমপ্লেটে প্রয়োজনীয় পারমিশন নেই, অথবা আপনার ফায়ারওয়াল SCEP দ্বারা ব্যবহৃত নির্দিষ্ট কোয়েরি স্ট্রিং প্যারামিটারগুলোকে ব্লক করছে। CA টেমপ্লেটে কানেক্টর অ্যাকাউন্টের "Read" এবং "Enrol" পারমিশন আছে কিনা তা যাচাই করুন। ?operation=GetCACaps থাকা URL গুলো ব্লক করা হচ্ছে না তা নিশ্চিত করতে ফায়ারওয়াল লগগুলো পরীক্ষা করুন।
Android ফ্র্যাগমেন্টেশন। Apple iOS ডিভাইসগুলো .mobileconfig প্রোফাইলগুলো অত্যন্ত সুসংগতভাবে পরিচালনা করে। তবে Android অত্যন্ত ফ্র্যাগমেন্টেড - বিভিন্ন নির্মাতা এবং OS সংস্করণগুলো WiFi প্রোফাইল এবং সার্টিফিকেট ইনস্টলেশন আলাদাভাবে পরিচালনা করে। অনবোর্ডিং পোর্টালে স্পষ্ট, OS-নির্দিষ্ট নির্দেশনা প্রদান করুন। Passpoint (Hotspot 2.0) ব্যবহার করলে বিভিন্ন নির্মাতার ডিভাইস জুড়ে একটি সুসংগত সংযোগ প্রবাহ পাওয়া যায়, যা Android অভিজ্ঞতাকে উল্লেখযোগ্যভাবে উন্নত করে।
সার্টিফিকেট রিভোকেশন বিলম্ব। যখন কোনো কর্মচারী চলে যান, তখন তার অ্যাক্সেস অবিলম্বে বাতিল করতে হবে। তাদের IdP অ্যাকাউন্ট নিষ্ক্রিয় করা প্রথম পদক্ষেপ, তবে RADIUS সার্ভারকে অবশ্যই সার্টিফিকেটের স্থিতি যাচাই করতে হবে। CRL চেকিংয়ের পাশাপাশি অনলাইন সার্টিফিকেট স্ট্যাটাস প্রোটোকল (OCSP) ব্যবহার করতে আপনার RADIUS সার্ভার কনফিগার করুন। OCSP পর্যায়ক্রমে আপডেট করা তালিকার উপর নির্ভর করার পরিবর্তে রিয়েল-টাইম রিভোকেশন স্ট্যাটাস প্রদান করে।
ROI এবং ব্যবসায়িক প্রভাব
SCEP 802.1X সার্টিফিকেট স্থাপনে রূপান্তর নিরাপত্তা এবং অপারেশন উভয় ক্ষেত্রেই পরিমাপযোগ্য রিটার্ন প্রদান করে। পাসওয়ার্ড-ভিত্তিক WiFi পাসওয়ার্ডের মেয়াদ শেষ হওয়া, লকআউট এবং টাইপিং ভুলের কারণে প্রচুর পরিমাণে হেল্পডেস্ক টিকিট তৈরি করে। সার্টিফিকেট-ভিত্তিক প্রমাণীকরণ ব্যবহারকারীর কাছে অদৃশ্য - ডিভাইসগুলো স্বয়ংক্রিয়ভাবে সংযুক্ত হয়। এটি সাধারণত WiFi-সম্পর্কিত হেল্পডেস্ক কাজের চাপ ৭০% কমিয়ে দেয়, যা আইটি কর্মীদের কৌশলগত কাজে মনোযোগ দেওয়ার সুযোগ করে দেয়।
EAP-TLS ক্রেডেন্সিয়াল হার্ভেস্টিং এবং ম্যান-ইন-দ্য-মিডল (MitM) আক্রমণের ঝুঁকি দূর করে। এটি রিটেইল পরিবেশের জন্য PCI-DSS কমপ্লায়েন্স এবং সমস্ত শিল্প জুড়ে GDPR কমপ্লায়েন্সের জন্য অত্যন্ত গুরুত্বপূর্ণ। হসপিটালিটি শিল্পে, যেখানে কর্মীরা পেমেন্ট ডেটা এবং অতিথিদের ব্যক্তিগত তথ্য পরিচালনা করেন, সেখানে একটি ডেটা লঙ্ঘনের ক্ষতি একটি সুপরিকল্পিত PKI অবকাঠামো স্থাপনের খরচের চেয়ে অনেক বেশি। একই কমপ্লায়েন্স প্রয়োজনীয়তা পরিবহন অপারেটর এবং হেলথকেয়ার ভেন্যুগুলোর ক্ষেত্রেও প্রযোজ্য।
যেসব ভেন্যু ইতিমধ্যে Purple এর Guest WiFi এবং WiFi Analytics প্ল্যাটফর্মগুলো ব্যবহার করছে, তাদের জন্য কর্মীদের BYOD ডিভাইসে সুরক্ষিত অনবোর্ডিং সম্প্রসারণ একটি সমন্বিত এবং শক্তিশালী নেটওয়ার্ক ম্যানেজমেন্ট কৌশল প্রদান করে। Purple বিশ্বব্যাপী ৮০,০০০-এরও বেশি ফিজিক্যাল ভেন্যুতে কাজ করে, ২০২৪ সালে ৪৪০ মিলিয়ন লগইন প্রসেস করেছে (Purple অভ্যন্তরীণ ডেটা), এবং ISO 27001, GDPR, CCPA ও Cyber Essentials সার্টিফিকেশন ধারণ করে। আমাদের SecurePass এবং Shield নিরাপত্তা অ্যাড-অনগুলো এই গাইডে বর্ণিত সার্টিফিকেট-ভিত্তিক প্রমাণীকরণ আর্কিটেকচারের সাথে সরাসরি একীভূত হয়। এন্টারপ্রাইজ নেটওয়ার্ক নিরাপত্তার বিষয়ে আরও বিশদ ধারণার জন্য, আমাদের Enterprise WiFi Security: The Complete 2026 Guide দেখুন। নেটওয়ার্ক অ্যাডমিনিস্ট্রেটরদের জন্য নির্দিষ্ট GDPR সম্মতি সংক্রান্ত বিবেচনার জন্য, The Network Administrator's Guide to GDPR and Guest Data Privacy Compliance দেখুন।
মূল সংজ্ঞাসমূহ
SCEP (Simple Certificate Enrolment Protocol)
RFC 8894-এ সংজ্ঞায়িত একটি প্রোটোকল যা একটি PKI পরিবেশের মধ্যে ডিভাইসগুলিতে X.509 ডিজিটাল সার্টিফিকেট প্রদানকে স্বয়ংক্রিয় করে। ডিভাইসটি স্থানীয়ভাবে নিজস্ব প্রাইভেট কি তৈরি করে, যা কখনই ডিভাইস থেকে বাইরে যায় না।
ম্যানুয়াল IT হস্তক্ষেপ ছাড়াই স্কেলে কর্পোরেট এবং BYOD ডিভাইসে WiFi অথেনটিকেশন সার্টিফিকেট ডিপ্লয় করতে ব্যবহৃত হয়। এটি 802.1X সার্টিফিকেট প্রভিশনিংয়ের জন্য ইন্ডাস্ট্রি স্ট্যান্ডার্ড।
802.1X
পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস নিয়ন্ত্রণের জন্য একটি IEEE স্ট্যান্ডার্ড (IEEE Std 802.1X-2020)। এটি এমন ডিভাইসগুলির জন্য একটি অথেনটিকেশন মেকানিজম প্রদান করে যা নেটওয়ার্ক রিসোর্সে অ্যাক্সেস পাওয়ার আগে একটি LAN বা WLAN-এর সাথে সংযুক্ত হতে চায়।
সুরক্ষিত এন্টারপ্রাইজ WiFi-এর ভিত্তি, যা ঝুঁকিপূর্ণ প্রি-শেয়ার্ড কি-এর বিকল্প হিসেবে কাজ করে। এর জন্য একটি RADIUS সার্ভার, ক্লায়েন্ট ডিভাইসে একটি সাপ্লিক্যান্ট এবং অ্যাক্সেস পয়েন্টে একটি অথেনটিকেটর প্রয়োজন।
EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)
একটি অথেনটিকেশন ফ্রেমওয়ার্ক যার জন্য সার্ভার এবং ক্লায়েন্ট উভয়কেই বৈধ ডিজিটাল সার্টিফিকেট উপস্থাপন করতে হয়। এটি পারস্পরিক অথেনটিকেশন প্রদান করে, যা নিশ্চিত করে যে ডিভাইসটি নেটওয়ার্ককে বিশ্বাস করে এবং নেটওয়ার্কটি ডিভাইসটিকে বিশ্বাস করে।
802.1X অথেনটিকেশনের জন্য সবচেয়ে নিরাপদ পদ্ধতি। এটি ক্রেডেনশিয়াল চুরি এবং ম্যান-ইন-দ্য-মিডল আক্রমণ প্রতিরোধ করে। এটি হলো টার্গেট অথেনটিকেশন প্রোটোকল যা SCEP সার্টিফিকেট ডিপ্লয়মেন্টের মাধ্যমে সক্ষম করার জন্য ডিজাইন করা হয়েছে।
NDES (Network Device Enrolment Service)
একটি Microsoft Windows Server রোল যা একটি সেতু হিসেবে কাজ করে, যার ফলে ডোমেন ক্রেডেনশিয়াল ছাড়া ডিভাইসগুলি SCEP-এর মাধ্যমে Active Directory Certificate Services CA থেকে সার্টিফিকেট পেতে পারে।
Microsoft Intune-এর সাথে SCEP বাস্তবায়নের সময় একটি প্রয়োজনীয় অবকাঠামোগত উপাদান। সুরক্ষিত রিমোট সার্টিফিকেট প্রভিশনিংয়ের অনুমতি দিতে এটি Azure AD অ্যাপ্লিকেশন প্রক্সির মাধ্যমে প্রকাশ করা উচিত।
BYOD (Bring Your Own Device)
কর্মচারীদের এন্টারপ্রাইজ নেটওয়ার্ক এবং অ্যাপ্লিকেশন অ্যাক্সেস করতে তাদের ব্যক্তিগত স্মার্টফোন, ট্যাবলেট বা ল্যাপটপ ব্যবহার করার অনুমতি দেওয়ার অনুশীলন।
অপরিচালিত ডিভাইস যাতে কর্পোরেট নেটওয়ার্কের নিরাপত্তা বিঘ্নিত করতে না পারে, সেজন্য সতর্ক নেটওয়ার্ক সেগমেন্টেশন এবং সুরক্ষিত অনবোর্ডিং প্রয়োজন। গোপনীয়তার উদ্বেগের কারণে ব্যক্তিগত ডিভাইসের জন্য সম্পূর্ণ MDM এনরোলমেন্ট প্রায়শই অবাস্তব হয়।
CRL (Certificate Revocation List)
সার্টিফিকেট অথরিটি দ্বারা প্রকাশিত একটি তালিকা যাতে মেয়াদ শেষ হওয়ার তারিখের আগেই বাতিল করা সার্টিফিকেটের সিরিয়াল নম্বর থাকে।
চাকরিচ্যুত কর্মচারী বা আপোসকৃত ডিভাইসগুলি যাতে নেটওয়ার্কে অ্যাক্সেস করতে না পারে তা নিশ্চিত করতে প্রতিটি অথেনটিকেশন প্রচেষ্টার সময় RADIUS সার্ভার দ্বারা এটি পরীক্ষা করা আবশ্যক। CRL ডিস্ট্রিবিউশন পয়েন্টগুলি অত্যন্ত সহজলভ্য হতে হবে।
CSR (Certificate Signing Request)
একটি ডিভাইস দ্বারা জেনারেট করা এবং একটি ডিজিটাল আইডেন্টিটি সার্টিফিকেটের জন্য আবেদন করতে একটি সার্টিফিকেট অথরিটির কাছে পাঠানো বার্তা। এতে ডিভাইসের পাবলিক কি এবং আইডেন্টিটি সংক্রান্ত তথ্য থাকে।
SCEP প্রক্রিয়া চলাকালীন ডিভাইস দ্বারা জেনারেট করা হয়। CSR স্বাক্ষর করতে ব্যবহৃত প্রাইভেট কি ডিভাইসেই থাকে এবং কখনই স্থানান্তরিত হয় না।
RADIUS (Remote Authentication Dial-In User Service)
একটি নেটওয়ার্কিং প্রোটোকল যা নেটওয়ার্কের সাথে সংযোগকারী ব্যবহারকারী এবং ডিভাইসগুলির জন্য সেন্ট্রালাইজড অথেনটিকেশন, অথরাইজেশন এবং অ্যাকাউন্টিং (AAA) ম্যানেজমেন্ট প্রদান করে।
সার্ভার যা 802.1X অথেনটিকেশন চলাকালীন ক্লায়েন্ট সার্টিফিকেট যাচাই করে এবং নেটওয়ার্ক অ্যাক্সেস প্রদান বা প্রত্যাখ্যান করে। কঠোর CRL বা OCSP চেকিং প্রয়োগ করার জন্য এটি কনফিগার করা আবশ্যক।
PKCS (Public Key Cryptography Standards)
এমন এক সেট স্ট্যান্ডার্ড যেখানে পাবলিক এবং প্রাইভেট কি উভয়ই সার্টিফিকেট অথরিটি দ্বারা জেনারেট করা হয় এবং তারপরে সুরক্ষিতভাবে এন্ডপয়েন্টে পৌঁছে দেওয়া হয়।
WiFi অথেনটিকেশনের জন্য SCEP-এর চেয়ে কম উপযুক্ত কারণ প্রাইভেট কি নেটওয়ার্কের মাধ্যমে স্থানান্তরিত হয়। এটি S/MIME ইমেল এনক্রিপশনের জন্য বেশি উপযুক্ত যেখানে কি এসক্রো প্রয়োজন।
OCSP (Online Certificate Status Protocol)
একটি প্রোটোকল যা পর্যায়ক্রমে আপডেট হওয়া CRL-এর বিকল্প হিসেবে রিয়েল-টাইম সার্টিফিকেট বাতিলকরণের স্ট্যাটাস প্রদান করে।
উচ্চ-সুরক্ষা সম্পন্ন পরিবেশের জন্য CRL-এর চেয়ে বেশি পছন্দসই কারণ এটি কয়েক ঘন্টা পুরানো হতে পারে এমন একটি তালিকার উপর নির্ভর করার পরিবর্তে তাৎক্ষণিক বাতিলকরণের স্ট্যাটাস প্রদান করে।
সমাধানকৃত উদাহরণসমূহ
একটি ২০০ রুমের হোটেলের ৫০ জন হাউসকিপিং স্টাফের জন্য তাদের ব্যক্তিগত স্মার্টফোন (BYOD) ব্যবহার করে হাউসকিপিং শিডিউলিং অ্যাপ অ্যাক্সেস করার জন্য নিরাপদ WiFi অ্যাক্সেস প্রদান করা প্রয়োজন। IT ম্যানেজার স্টাফদের গোপনীয়তাকে সম্মান জানাতে সম্পূর্ণ MDM এনরোলমেন্ট এড়াতে চান, কিন্তু কোনো স্টাফ পদত্যাগ করলে অবিলম্বে অ্যাক্সেস প্রত্যাহার করা নিশ্চিত করতে চান।
হোটেলটি Microsoft Entra ID-এর সাথে একীভূত একটি সেলফ-সার্ভিস অনবোর্ডিং পোর্টাল স্থাপন করে। স্টাফরা একটি ওপেন প্রভিশনিং SSID-এর সাথে সংযোগ করে, তাদের Entra ID ক্রেডেনশিয়াল দিয়ে অথেনটিকেট করে এবং একটি SCEP প্রোফাইল ডাউনলোড করে। SCEP সার্ভার সরাসরি ডিভাইসে একটি ৩০ দিনের ক্লায়েন্ট সার্টিফিকেট ইস্যু করে, যার প্রাইভেট কী স্মার্টফোনের সিকিউর এনক্লেভে স্থানীয়ভাবে তৈরি এবং সংরক্ষণ করা হয়। ডিভাইসটি EAP-TLS ব্যবহার করে স্বয়ংক্রিয়ভাবে 'Staff_WiFi' SSID-এর সাথে সংযুক্ত হয়। RADIUS সার্ভার এই ডিভাইসগুলিকে একটি সীমাবদ্ধ VLAN-এ অ্যাসাইন করে যা কেবল শিডিউলিং অ্যাপ এবং ইন্টারনেট অ্যাক্সেসের অনুমতি দেয়। যখন কোনো স্টাফ সদস্য পদত্যাগ করেন, তখন তাদের Entra ID অ্যাকাউন্ট নিষ্ক্রিয় করে দেওয়া হয়। কঠোর CRL চেকিংয়ের জন্য কনফিগার করা RADIUS সার্ভারটি পরবর্তী অথেনটিকেশনের চেষ্টায় নেটওয়ার্ক অ্যাক্সেস প্রত্যাখ্যান করে। ৩০ দিনের সার্টিফিকেট বৈধতা নিশ্চিত করে যে CRL চেকিংয়ে বিলম্ব হলেও এক মাসের মধ্যে অ্যাক্সেস বন্ধ হয়ে যাবে।
৫০০টি স্টোর বিশিষ্ট একটি জাতীয় রিটেইল চেইনের Windows চালিত কর্পোরেট-মালিকানাধীন পয়েন্ট-অফ-সেল (POS) ট্যাবলেটের জন্য নিরাপদ WiFi স্থাপন করা প্রয়োজন। নেটওয়ার্ক আর্কিটেক্টকে অবশ্যই নিশ্চিত করতে হবে যে একটি ট্যাবলেট চুরি হয়ে গেলেও, নেটওয়ার্ক ক্রেডেনশিয়ালগুলি বের করা যাবে না এবং অন্য ডিভাইস থেকে কর্পোরেট নেটওয়ার্ক অ্যাক্সেস করতে ব্যবহার করা যাবে না। PCI-DSS কমপ্লায়েন্স বাধ্যতামূলক।
নেটওয়ার্ক আর্কিটেক্ট SCEP-এর মাধ্যমে সার্টিফিকেট ডিপ্লয় করতে Microsoft Intune কনফিগার করেন। Intune 'POS Devices' গ্রুপে ট্রাস্টেড রুট সার্টিফিকেট পুশ করে, তারপরে একটি SCEP প্রোফাইল পাঠায় যা প্রতিটি ট্যাবলেটকে Windows TPM-এ নিজস্ব প্রাইভেট কী তৈরি করার নির্দেশ দেয়। ট্যাবলেটটি NDES সার্ভারে একটি CSR জমা দেয়, ক্লায়েন্ট সার্টিফিকেট গ্রহণ করে এবং WPA3-Enterprise এবং EAP-TLS ব্যবহার করে 'Retail_POS' SSID-এর সাথে সংযোগ স্থাপন করে। RADIUS সার্ভার সার্টিফিকেটটি অথেনটিকেট করে এবং ডিভাইসটিকে আইসোলেটেড POS VLAN-এ রাখে, যা কেবল পেমেন্ট প্রসেসর এবং ইনভেন্টরি ম্যানেজমেন্ট সিস্টেমে ট্রাফিকের অনুমতি দেয়। নির্ভরশীলতার ব্যর্থতা রোধ করতে তিনটি Intune প্রোফাইল - Trusted Root, SCEP, এবং WiFi - একই 'POS Devices' ডিভাইস গ্রুপে অ্যাসাইন করা হয়েছে। অন-সাইটে ট্যাবলেট থাকার প্রয়োজন ছাড়াই সার্টিফিকেট রিনিউ করার অনুমতি দিতে Azure AD Application Proxy-এর মাধ্যমে NDES পাবলিশ করা হয়েছে।
অনুশীলনী প্রশ্নসমূহ
Q1. আপনি Windows ল্যাপটপের একটি বহরে Intune-এর মাধ্যমে একটি SCEP প্রোফাইল ডেপ্লয় করছেন। ডিভাইসগুলো সফলভাবে Trusted Root সার্টিফিকেট পেলেও WiFi প্রোফাইলটি প্রয়োগ হতে ব্যর্থ হয় এবং Intune কনসোলে 'Error' হিসেবে দেখায়। SCEP প্রোফাইলটি 'All Users' Azure AD গ্রুপে অ্যাসাইন করা হয়েছে, যেখানে WiFi প্রোফাইলটি 'Corporate Laptops' ডিভাইস গ্রুপে অ্যাসাইন করা হয়েছে। এই ব্যর্থতার কারণ কী এবং আপনি কীভাবে এটির সমাধান করবেন?
ইঙ্গিত: প্রোফাইলগুলির মধ্যে নির্ভরশীলতা এবং একটি প্রোফাইল অন্য প্রোফাইলের উপর নির্ভরশীল হলে কীভাবে Intune গ্রুপ টার্গেটিং সমাধান করে তা বিবেচনা করুন।
মডেল উত্তর দেখুন
এই ব্যর্থতার কারণ হলো গ্রুপ টার্গেটিংয়ের অমিল। Intune SCEP প্রোফাইল এবং WiFi প্রোফাইলের মধ্যে নির্ভরশীলতা সমাধান করতে পারে না কারণ তারা ভিন্ন গ্রুপ টাইপকে টার্গেট করে - একটি ব্যবহারকারীদের টার্গেট করে এবং অন্যটি ডিভাইসগুলোকে টার্গেট করে। এটি সমাধান করতে, তিনটি প্রোফাইল অ্যাসাইনমেন্টই অডিট করুন এবং নিশ্চিত করুন যে Trusted Root, SCEP এবং WiFi প্রোফাইলগুলো সবই হুবহু একই Azure AD গ্রুপে ডেপ্লয় করা হয়েছে। সমস্ত প্রোফাইল জুড়ে ধারাবাহিকভাবে ব্যবহারকারী টার্গেটিং বা ডিভাইস টার্গেটিংয়ের যেকোনো একটি বেছে নিন।
Q2. একটি রিটেইল ভেন্যু তাদের POS ট্যাবলেটগুলো সুরক্ষিত করতে চায়। IT ডিরেক্টর SCEP-এর পরিবর্তে PKCS ব্যবহার করার পরামর্শ দিচ্ছেন কারণ এটি একটি NDES সার্ভারের প্রয়োজনীয়তা দূর করে পরিকাঠামোকে সহজ করে তোলে। নেটওয়ার্ক আর্কিটেক্ট হিসেবে, কেন আপনার 802.1X WiFi অথেন্টিকেশনের জন্য SCEP সাজেস্ট করা উচিত, এবং কোন পরিস্থিতিতে PKCS সঠিক পছন্দ হবে?
ইঙ্গিত: উভয় প্রোটোকলে প্রাইভেট কি (private key) কোথায় জেনারেট এবং স্টোর করা হয় সে সম্পর্কে চিন্তা করুন, এবং নেটওয়ার্ক অথেন্টিকেশন বনাম ইমেল এনক্রিপশনের জন্য সুরক্ষার প্রভাবগুলো বিবেচনা করুন।
মডেল উত্তর দেখুন
802.1X WiFi অথেন্টিকেশনের জন্য SCEP সাজেস্ট করুন কারণ প্রাইভেট কি লোকালি ডিভাইসে জেনারেট হয় এবং এর হার্ডওয়্যার সিকিউর এনক্লেভে স্টোর করা হয়। প্রাইভেট কি কখনই ডিভাইস ছেড়ে যায় না এবং কখনই নেটওয়ার্কের মাধ্যমে স্থানান্তরিত হয় না। কোনো ট্যাবলেট চুরি হয়ে গেলে, অন্য কোনো ডিভাইস থেকে ক্রেডেন্সিয়াল বের করে ব্যবহার করা যাবে না। PKCS-এর ক্ষেত্রে, CA সেন্ট্রালি কি পেয়ার (key pair) জেনারেট করে এবং তা ডিভাইসে ট্রান্সমিট করে, যা একটি ট্রান্সমিশন ঝুঁকি তৈরি করে যা নেটওয়ার্ক অথেন্টিকেশনের জন্য গ্রহণযোগ্য নয়। PKCS শুধুমাত্র S/MIME ইমেল এনক্রিপশনের জন্য সঠিক পছন্দ, যেখানে মূল ডিভাইসটি হারিয়ে গেলে এনক্রিপ্ট করা ইমেলগুলো ডিক্রিপ্ট করার অনুমতি দেওয়ার জন্য কি এসক্রো (key escrow) প্রয়োজন হয়।
Q3. আপনি একটি ৫০০ শয্যার হাসপাতালের জন্য একটি BYOD অনবোর্ডিং পোর্টাল ডিজাইন করছেন। ক্লিনিকাল স্টাফরা স্টাফ রোটা এবং ইন্টারনাল মেসেজিংয়ের মতো সাধারণ অভ্যন্তরীণ অ্যাপগুলো অ্যাক্সেস করতে তাদের ব্যক্তিগত স্মার্টফোন ব্যবহার করবেন। স্টাফ চলে যাওয়ার পরে নেটওয়ার্কে নিষ্ক্রিয় ডিভাইসগুলো থেকে যাওয়ার ঝুঁকি আপনাকে ন্যূনতম করতে হবে, এবং প্রতিটি প্রস্থানের জন্য আইটির ম্যানুয়াল হস্তক্ষেপের প্রয়োজন ছাড়াই এটি করতে হবে। আপনার কোন নির্দিষ্ট সার্টিফিকেট কনফিগারেশন ইমপ্লিমেন্ট করা উচিত?
ইঙ্গিত: সার্টিফিকেটের লাইফসাইকেল এবং আইটি-কে ম্যানুয়ালি প্রতিটি সার্টিফিকেট রিভোক না করেই কীভাবে আপনি ডিভাইসগুলোকে পর্যায়ক্রমিক পুনরায় অথেন্টিকেট করতে বাধ্য করতে পারেন তা বিবেচনা করুন।
মডেল উত্তর দেখুন
৩০ থেকে ৯০ দিনের মেয়াদ সহ স্বল্পমেয়াদী সার্টিফিকেট ইমপ্লিমেন্ট করুন। যখন সার্টিফিকেটের মেয়াদ শেষ হয়ে যাবে, তখন BYOD ডিভাইসটি স্টাফ মেম্বারের কর্পোরেট IdP ক্রেডেন্সিয়াল ব্যবহার করে Captive Portal-এর মাধ্যমে পুনরায় অথেন্টিকেট করতে বাধ্য হবে। যদি স্টাফ মেম্বার চলে যান এবং তার IdP অ্যাকাউন্ট নিষ্ক্রিয় করা থাকে, তবে তারা পুনরায় অথেন্টিকেশন সম্পন্ন করতে পারবেন না এবং কোনো নতুন সার্টিফিকেট পাবেন না। এটি আইটি-কে ম্যানুয়ালি পৃথক সার্টিফিকেট রিভোক করার প্রয়োজন ছাড়াই নেটওয়ার্ক থেকে স্বাভাবিকভাবেই নিষ্ক্রিয় ডিভাইসগুলোকে বাদ দিয়ে দেয়। অ্যাকাউন্ট নিষ্ক্রিয় করার সাথে সাথে অবিলম্বে বাতিলকরণ নিশ্চিত করতে RADIUS সার্ভারে OCSP চেকিংয়ের সাথে এটি একত্রিত করুন, যা সার্টিফিকেট মেয়াদের সাইকেলের মধ্যে আরও গভীর সুরক্ষা প্রদান করে।
Q4. আপনার NDES সার্ভার সমস্ত SCEP সার্টিফিকেট রিকোয়েস্টের জন্য HTTP 403 Forbidden এরর দেখাচ্ছে। NDES সার্ভারটি Azure AD Application Proxy-এর মাধ্যমে ইন্টারনেট থেকে অ্যাক্সেসযোগ্য। এই এররের সম্ভাব্য দুটি প্রধান কারণ কী এবং আপনি কীভাবে প্রতিটি ডায়াগনসিস করবেন?
ইঙ্গিত: সার্টিফিকেট টেমপ্লেটের পারমিশন এবং ডিভাইস ও NDES সার্ভারের মধ্যকার নেটওয়ার্ক পাথ উভয়ই বিবেচনা করুন।
মডেল উত্তর দেখুন
সবচেয়ে সম্ভাব্য দুটি কারণ হলো: প্রথমত, Intune Certificate Connector সার্ভিস অ্যাকাউন্টের CA সার্টিফিকেট টেমপ্লেটে প্রয়োজনীয় অনুমতি নেই। CA কনসোলে টেমপ্লেটে সার্ভিস অ্যাকাউন্টের 'Read' এবং 'Enrol' অনুমতি রয়েছে কিনা তা যাচাই করুন। দ্বিতীয়ত, ফায়ারওয়াল বা অ্যাপ্লিকেশন প্রক্সি SCEP দ্বারা ব্যবহৃত নির্দিষ্ট কোয়েরি স্ট্রিং প্যারামিটারগুলোকে ব্লক করছে। '?operation=GetCACaps' বা '?operation=PKIOperation' এর মতো প্যারামিটার ধারণকারী অনুরোধগুলোর জন্য ফায়ারওয়াল এবং অ্যাপ্লিকেশন প্রক্সি লগ পরীক্ষা করুন। এগুলো স্ট্যান্ডার্ড SCEP অপারেশন যা অবশ্যই অনুমোদিত হতে হবে। যদি অ্যাপ্লিকেশন প্রক্সি কোয়েরি স্ট্রিংগুলো বাদ দিয়ে দেয়, তাহলে NDES URL পাথের জন্য পাস-থ্রু অনুমোদন করতে প্রি-অথেন্টিকেশন সেটিংস সামঞ্জস্য করুন।
এই সিরিজে পড়া চালিয়ে যান
কীভাবে স্টাফ এবং গেস্ট WiFi নেটওয়ার্ক নিরাপদে আলাদা করবেন
এই নির্ভরযোগ্য টেকনিক্যাল গাইডটি IT লিডারদের VLAN এবং 802.1X ব্যবহার করে স্টাফ, গেস্ট এবং IoT WiFi নেটওয়ার্কগুলোকে নিরাপদে আলাদা করার জন্য কার্যকর কৌশল প্রদান করে। এটি কীভাবে এন্টারপ্রাইজ ইনফ্রাস্ট্রাকচার সুরক্ষিত করতে হয়, PCI DSS কমপ্লায়েন্স বজায় রাখতে হয় এবং ফার্স্ট-পার্টি ডেটা সংগ্রহ করতে ক্যাপটিভ পোর্টালগুলোর সুবিধা নিতে হয় তা বিস্তারিতভাবে বর্ণনা করে।
সেরা DNS ফিল্টারিং: ব্যবসার জন্য একটি বিস্তৃত নির্দেশিকা
এই প্রযুক্তিগত রেফারেন্স নির্দেশিকাটি ব্যাখ্যা করে যে কীভাবে এন্টারপ্রাইজ DNS ফিল্টারিং রেজোলিউশন স্তরে ক্ষতিকারক ডোমেনগুলো ব্লক করার মাধ্যমে — কোনো সংযোগ স্থাপন করার আগেই — পাবলিক নেটওয়ার্কগুলোকে সুরক্ষিত করে। এটি IT ডিরেক্টর, নেটওয়ার্ক আর্কিটেক্ট এবং ভেন্যু অপারেশন টিমগুলোকে হসপিটালিটি, রিটেইল এবং পাবলিক-সেক্টর পরিবেশ জুড়ে Guest WiFi সুরক্ষিত করার জন্য প্রয়োজনীয় ডিপ্লয়মেন্ট আর্কিটেকচার, ফায়ারওয়াল কনফিগারেশন এবং কমপ্লায়েন্সের বিবরণ প্রদান করে। Purple Shield ৮০,০০০-এরও বেশি লাইভ ভেন্যুতে DNS স্তরে ম্যালওয়্যার, বটনেট এবং অনুপযুক্ত কন্টেন্ট ব্লক করে।
Cisco SUDI বোঝা: Secure Network Access Control-এ হার্ডওয়্যার-অ্যাঙ্কর্ড আইডেন্টিটি
এই নির্দেশিকাটি ব্যাখ্যা করে যে কিভাবে Cisco SUDI এন্টারপ্রাইজ নেটওয়ার্ক পরিকাঠামোর জন্য হার্ডওয়্যার-অ্যাঙ্কর্ড, ক্রিপ্টোগ্রাফিকভাবে সুরক্ষিত আইডেন্টিটি প্রদান করে। আপনার ভেন্যুর নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল সুরক্ষিত করতে সহজে স্পুফ করা যায় এমন MAC অ্যাড্রেসের পরিবর্তে অপরিবর্তনীয় 802.1AR সার্টিফিকেট কিভাবে ব্যবহার করবেন তা জানুন।