মূল কন্টেন্টে যান
বাংলা

EAP-TLS এর মাধ্যমে Android ডিভাইসে এন্টারপ্রাইজ WiFi কীভাবে সেট আপ করবেন

এই টেকনিক্যাল রেফারেন্স গাইডটি সিনিয়র আইটি লিডারদের Android ডিভাইসে 802.1X EAP-TLS অথেনটিকেশন ডিপ্লয় করার জন্য একটি বিস্তৃত ব্লুপ্রিন্ট প্রদান করে। এটি এন্টারপ্রাইজ ওয়্যারলেস নেটওয়ার্কগুলিকে সুরক্ষিত করার জন্য প্রয়োজনীয় আর্কিটেকচারাল মেকানিক্স, ম্যানুয়াল এবং MDM-চালিত ইমপ্লিমেন্টেশন কৌশল এবং ট্রাবলশুটিং পদ্ধতিগুলি কভার করে।

📖 5 মিনিট পাঠ📝 1,161 শব্দ🔧 2 সমাধানকৃত উদাহরণ3 অনুশীলনী প্রশ্ন📚 8 মূল সংজ্ঞা

এই গাইডটি শুনুন

পডকাস্ট ট্রান্সক্রিপ্ট দেখুন
EAP-TLS এর মাধ্যমে Android ডিভাইসে এন্টারপ্রাইজ WiFi কীভাবে সেট আপ করবেন একটি Purple টেকনিক্যাল ব্রিফিং — আনুমানিক ১০ মিনিট --- ভূমিকা এবং প্রেক্ষাপট — আনুমানিক ১ মিনিট Purple টেকনিক্যাল ব্রিফিং সিরিজে স্বাগতম। আমি আপনাদের হোস্ট, এবং আজ আমরা Android ডিভাইসে 802.1X EAP-TLS অথেনটিকেশন ডিপ্লয় করার সুনির্দিষ্ট বিষয়গুলিতে প্রবেশ করছি — আপনি একটি হোটেল এস্টেট, একটি রিটেইল চেইন, একটি স্টেডিয়াম, বা একটি পাবলিক-সেক্টর ক্যাম্পাস পরিচালনা করুন না কেন। আপনি যদি এমন একটি নেটওয়ার্কের জন্য দায়ী হন যার শেয়ার্ড পাসওয়ার্ডের উপর নির্ভর না করে কর্পোরেট বা BYOD Android ডিভাইসগুলিকে অথেনটিকেট করা প্রয়োজন, তবে এই পর্বটি আপনার জন্য। EAP-TLS হলো এন্টারপ্রাইজ WiFi সিকিউরিটির জন্য গোল্ড স্ট্যান্ডার্ড — এটি মিউচুয়াল সার্টিফিকেট-ভিত্তিক অথেনটিকেশন ব্যবহার করে, যার অর্থ ফিশ করার জন্য কোনো ক্রেডেনশিয়াল নেই, রোটেশন করার জন্য কোনো পাসওয়ার্ড নেই এবং এমন একটি কমপ্লায়েন্স পসচার যা PCI DSS, ISO 27001 এবং বেশিরভাগ পাবলিক-সেক্টর সিকিউরিটি ফ্রেমওয়ার্ককে সন্তুষ্ট করে। এই ব্রিফিংয়ের শেষে, আপনি বুঝতে পারবেন ঠিক কীভাবে Android-এ EAP-TLS কাজ করে, আপনার ডিপ্লয়মেন্ট বিকল্পগুলি কী কী এবং তিনটি সবচেয়ে সাধারণ ভুল যা ব্যর্থ রোলআউটের কারণ হয়। চলুন শুরু করা যাক। --- টেকনিক্যাল ডিপ-ডাইভ — আনুমানিক ৫ মিনিট আর্কিটেকচার দিয়ে শুরু করা যাক। 802.1X হলো IEEE স্ট্যান্ডার্ড যা পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল পরিচালনা করে। যখন একটি Android ডিভাইস একটি এন্টারপ্রাইজ WiFi নেটওয়ার্কের সাথে কানেক্ট হয় — যা WPA2-Enterprise বা WPA3-Enterprise হিসেবে কনফিগার করা থাকে — তখন অ্যাক্সেস পয়েন্টটি অথেনটিকেটর হিসেবে কাজ করে। এটি নিজে অথেনটিকেশনের সিদ্ধান্ত নেয় না; এটি ডিভাইস এবং একটি RADIUS সার্ভারের মধ্যে কথোপকথন পাস করে, যা হলো আসল অথেনটিকেশন সার্ভার। EAP-TLS — অর্থাৎ এক্সটেনসিবল অথেনটিকেশন প্রোটোকল উইথ ট্রান্সপোর্ট লেয়ার সিকিউরিটি — হলো সেই 802.1X ফ্রেমওয়ার্কের ভিতরে চলা অথেনটিকেশন পদ্ধতি। যা এটিকে EAP-PEAP বা EAP-TTLS থেকে আলাদা করে, যা একটি TLS টানেলের ভিতরে ইউজারনেম এবং পাসওয়ার্ড ব্যবহার করে, তা হলো EAP-TLS উভয় দিকে X.509 সার্টিফিকেট ব্যবহার করে। RADIUS সার্ভার ডিভাইসের কাছে একটি সার্ভার সার্টিফিকেট উপস্থাপন করে এবং ডিভাইসটি RADIUS সার্ভারের কাছে একটি ক্লায়েন্ট সার্টিফিকেট উপস্থাপন করে। উভয় পক্ষ একে অপরকে ভ্যালিডেট করে। এটি হলো মিউচুয়াল অথেনটিকেশন, এবং এটিই EAP-TLS-কে উপলব্ধ সবচেয়ে সুরক্ষিত বিকল্প করে তোলে। এখন, বিশেষভাবে Android-এ, আপনাকে কয়েকটি বিষয় বুঝতে হবে। Android 11 এবং তার পরের সংস্করণগুলি কঠোর সার্টিফিকেট ভ্যালিডেশন রিকোয়ারমেন্ট প্রবর্তন করেছে। আপনি যদি Android 11 বা তার উপরের সংস্করণে ডিপ্লয় করেন — যা এই মুহূর্তে আপনার এস্টেটের বিশাল সংখ্যাগরিষ্ঠ — RADIUS সার্ভার সার্টিফিকেট স্পষ্টভাবে ট্রাস্ট করা না হলে ডিভাইসটি কানেক্ট হতে অস্বীকার করবে। আপনি শুধুমাত্র সিস্টেম ট্রাস্ট স্টোরের উপর নির্ভর করতে পারবেন না; আপনাকে অবশ্যই ডিভাইসে root CA সার্টিফিকেট পুশ করতে হবে অথবা এটিকে স্পষ্টভাবে রেফারেন্স করার জন্য WiFi প্রোফাইল কনফিগার করতে হবে। সার্টিফিকেট চেইন সম্পর্কে কথা বলা যাক। একটি একক Android ডিভাইস EAP-TLS-এর মাধ্যমে অথেনটিকেট করার আগে আপনার তিনটি কম্পোনেন্ট থাকা প্রয়োজন। প্রথমত, একটি সার্টিফিকেট অথরিটি — হয় আপনার অভ্যন্তরীণ PKI, Microsoft Active Directory Certificate Services, অথবা Intune-এর মাধ্যমে SCEP-এর মতো একটি ক্লাউড PKI। দ্বিতীয়ত, আপনার RADIUS সার্ভারকে ইস্যু করা একটি সার্ভার সার্টিফিকেট, যা সেই CA দ্বারা সাইন করা। তৃতীয়ত, প্রতিটি ডিভাইস বা ইউজারকে ইস্যু করা একটি ইউনিক ক্লায়েন্ট সার্টিফিকেট, যা একই CA দ্বারা সাইন করা। ডিভাইসটি TLS হ্যান্ডশেকের সময় তার ক্লায়েন্ট সার্টিফিকেট উপস্থাপন করে এবং RADIUS সার্ভার CA-এর সার্টিফিকেট রিভোকেশন লিস্ট বা CRL-এর বিপরীতে বা OCSP — অনলাইন সার্টিফিকেট স্ট্যাটাস প্রোটোকল-এর মাধ্যমে এটি ভ্যালিডেট করে। Android-এর জন্য, ক্লায়েন্ট সার্টিফিকেট এবং প্রাইভেট কি সাধারণত একটি PKCS12 ফাইল হিসেবে প্যাকেজ করা হয় — যা একটি ডট-P12 বা ডট-PFX ফাইল — যাতে সার্টিফিকেট এবং এনক্রিপ্ট করা প্রাইভেট কি উভয়ই থাকে। একটি ম্যানুয়ালি কনফিগার করা ডিভাইসে, ইউজার Settings, তারপর Security, তারপর Install a Certificate-এর মাধ্যমে এই ফাইলটি ইম্পোর্ট করেন। একটি MDM-পরিচালিত ডিভাইসে, সার্টিফিকেটটি নীরবে ডিভাইসের পরিচালিত কিস্টোরে পুশ করা হয় — কোনো ইউজার ইন্টারঅ্যাকশনের প্রয়োজন নেই। এখন WiFi প্রোফাইল সম্পর্কে কথা বলা যাক। Android-এ একটি এন্টারপ্রাইজ WiFi কানেকশন কনফিগার করার সময়, আপনাকে নির্দিষ্ট করতে হবে: SSID, সিকিউরিটি টাইপ — WPA2-Enterprise বা WPA3-Enterprise — EAP মেথড — যা হলো TLS — সার্ভার ভ্যালিডেশনের জন্য CA সার্টিফিকেট, ডিভাইস অথেনটিকেশনের জন্য ক্লায়েন্ট সার্টিফিকেট এবং আইডেন্টিটি স্ট্রিং, যা সাধারণত ডিভাইসের কমন নেম বা ইউজারের UPN। Android 11 এবং তার উপরের সংস্করণে, ম্যান-ইন-দ্য-মিডল আক্রমণ প্রতিরোধ করতে আপনাকে ডোমেইন সাফিক্স ম্যাচ বা সার্ভার সার্টিফিকেট সাবজেক্টও নির্দিষ্ট করতে হবে। MDM ডিপ্লয়মেন্টের জন্য — এবং এখানেই আসল স্কেল আসে — আপনি এই সবগুলিকে একটি স্ট্রাকচার্ড কনফিগারেশন প্রোফাইল হিসেবে পুশ করছেন। Microsoft Intune-এ, আপনি একটি SCEP সার্টিফিকেট প্রোফাইল তৈরি করেন যা স্বয়ংক্রিয়ভাবে প্রতিটি এনরোল করা Android ডিভাইসে একটি ইউনিক ক্লায়েন্ট সার্টিফিকেটের রিকোয়েস্ট করে এবং ইন্সটল করে। এরপর আপনি একটি WiFi কনফিগারেশন প্রোফাইল তৈরি করেন যা সেই সার্টিফিকেট প্রোফাইলকে রেফারেন্স করে। যখন ডিভাইসটি চেক ইন করে, তখন এটি সার্টিফিকেট এবং WiFi প্রোফাইল উভয়ই গ্রহণ করে এবং এটি স্বয়ংক্রিয়ভাবে আপনার 802.1X নেটওয়ার্কের সাথে কানেক্ট হয়। কোনো ইউজার ইন্টারঅ্যাকশন নেই, কোনো সাপোর্ট কল নেই। আপনি যদি এর জন্য Intune ব্যবহার করেন, তবে ডিভাইসগুলিতে WiFi সার্টিফিকেট পুশ করতে Microsoft Intune কীভাবে ব্যবহার করবেন সে সম্পর্কে আমাদের কম্প্যানিয়ন গাইডটি সঠিক কনফিগারেশন ধাপগুলির মধ্য দিয়ে নিয়ে যায় — আমি এই ব্রিফিংয়ের পাশাপাশি সেটি পড়ার পরামর্শ দেব। VMware Workspace ONE এবং Jamf Connect-এর জন্য, প্রক্রিয়াটি আর্কিটেকচারালভাবে অভিন্ন — SCEP বা PKCS সার্টিফিকেট প্রোফাইল, তারপরে একটি WiFi প্রোফাইল যা এটিকে রেফারেন্স করে। নির্দিষ্ট UI ভিন্ন, তবে সার্টিফিকেট চেইন এবং RADIUS কনফিগারেশন রিকোয়ারমেন্ট একই। RADIUS সাইডে একটি বিষয় ফ্ল্যাগ করার মতো: আপনি যদি FreeRADIUS, Microsoft NPS, বা Cisco ISE চালান, তবে নিশ্চিত করুন যে আপনার সার্ভার সার্টিফিকেটে সঠিক এক্সটেন্ডেড কি ইউসেজ অ্যাট্রিবিউট অন্তর্ভুক্ত রয়েছে — বিশেষ করে, Server Authentication, OID 1.3.6.1.5.5.7.3.1। Android এই বিষয়ে কঠোর। একটি সার্টিফিকেট যা Windows ক্লায়েন্টদের সাথে সূক্ষ্মভাবে কাজ করে তা Android-এ ব্যর্থ হতে পারে যদি EKU অনুপস্থিত বা ভুল কনফিগার করা থাকে। --- ইমপ্লিমেন্টেশন সুপারিশ এবং ত্রুটি — আনুমানিক ২ মিনিট ঠিক আছে, আসুন কথা বলি ফিল্ডে আসলে কী ভুল হয়, কারণ এখানেই বেশিরভাগ ডিপ্লয়মেন্ট সমস্যায় পড়ে। প্রথম এবং সবচেয়ে সাধারণ ব্যর্থতা হলো সার্টিফিকেট ট্রাস্ট। RADIUS সার্ভারের সার্টিফিকেট চেইন ভ্যালিডেট করা না গেলে Android 11 এবং তার উপরের সংস্করণগুলি কানেক্ট হবে না। সমাধানটি সহজ: MDM-এর মাধ্যমে ডিভাইসের ইউজার সার্টিফিকেট স্টোরে আপনার root CA সার্টিফিকেট পুশ করুন এবং WiFi প্রোফাইলের CA সার্টিফিকেট ফিল্ডে এটিকে স্পষ্টভাবে রেফারেন্স করুন। এটিকে "Do not validate" হিসেবে ছেড়ে দেবেন না — এটি একটি সিকিউরিটি হোল এবং এটি যেকোনোভাবেই কিছু Android সংস্করণে ব্যর্থ হবে। দ্বিতীয় ত্রুটি হলো সার্টিফিকেটের মেয়াদ শেষ হওয়া। ক্লায়েন্ট সার্টিফিকেটগুলির সাধারণত এক থেকে দুই বছরের বৈধতার মেয়াদ থাকে। আপনার যদি SCEP বা NDES-এর মাধ্যমে স্বয়ংক্রিয় রিনিউয়াল না থাকে, তবে আপনি একদিন সকালে ঘুম থেকে উঠে দেখতে পাবেন যে আপনার অর্ধেক ডিভাইস এস্টেট একই সাথে WiFi অ্যাক্সেস হারিয়েছে। প্রথম দিন থেকেই আপনার MDM ওয়ার্কফ্লোতে সার্টিফিকেট রিনিউয়াল অটোমেশন তৈরি করুন, পরে চিন্তাভাবনা হিসেবে নয়। তৃতীয় সমস্যা হলো RADIUS সার্ভারের ক্যাপাসিটি। সম্পূর্ণ মিউচুয়াল সার্টিফিকেট এক্সচেঞ্জের কারণে EAP-TLS হ্যান্ডশেকগুলি PEAP হ্যান্ডশেকগুলির চেয়ে কম্পিউটেশনালভাবে বেশি ব্যয়বহুল। হাজার হাজার যুগপৎ অথেনটিকেশন সহ একটি স্টেডিয়াম বা কনফারেন্স সেন্টারে, একটি আন্ডারসাইজড RADIUS সার্ভার একটি বটলনেক হয়ে উঠবে। গড় লোডের জন্য নয়, বরং পিক কনকারেন্ট অথেনটিকেশনের জন্য আপনার RADIUS ইনফ্রাস্ট্রাকচার সাইজ করুন। পরিশেষে, Android সাইডে, সচেতন থাকুন যে বিভিন্ন নির্মাতাদের — Samsung, Google, Xiaomi — WiFi কনফিগারেশন API-এর কিছুটা ভিন্ন ইমপ্লিমেন্টেশন রয়েছে। স্কেলে রোল আউট করার আগে আপনার এস্টেটের প্রতিটি নির্মাতার রিপ্রেজেন্টেটিভ ডিভাইসগুলিতে আপনার MDM-পুশড প্রোফাইলগুলি পরীক্ষা করুন। বিশেষ করে Samsung ডিভাইসগুলিতে ঐতিহাসিকভাবে আইডেন্টিটি ফিল্ডটি স্পষ্টভাবে সেট করার প্রয়োজন হয়েছে, এমনকি যখন এটি সার্টিফিকেট থেকে অনুমান করা যায়। --- র‍্যাপিড-ফায়ার প্রশ্নোত্তর — আনুমানিক ১ মিনিট কয়েকটি দ্রুত প্রশ্ন যা আমাকে নিয়মিত জিজ্ঞাসা করা হয়। আমি কি BYOD ডিভাইসের জন্য EAP-TLS ব্যবহার করতে পারি? হ্যাঁ, তবে এর জন্য ইউজারকে তাদের ব্যক্তিগত ডিভাইসে একটি ক্লায়েন্ট সার্টিফিকেট ইন্সটল করতে হবে। স্কেলে BYOD-এর জন্য, বিবেচনা করুন যে PAP বা PEAP-MSCHAPv2-এর সাথে EAP-TTLS একটি আরও ব্যবহারিক ট্রেড-অফ কিনা, যেখানে EAP-TLS কর্পোরেট-মালিকানাধীন ডিভাইসগুলির জন্য সংরক্ষিত। EAP-TLS কি WPA3-Enterprise-এর সাথে কাজ করে? হ্যাঁ, এবং 192-বিট মোড সহ WPA3-Enterprise আসলে EAP-TLS বাধ্যতামূলক করে। আপনি যদি উচ্চ-নিরাপত্তা পরিবেশে WPA3-Enterprise ডিপ্লয় করেন, তবে EAP-TLS হলো আপনার একমাত্র কমপ্লায়েন্ট বিকল্প। আমার কোন ন্যূনতম Android সংস্করণ টার্গেট করা উচিত? Android 8 এবং তার উপরের সংস্করণগুলি নেটিভভাবে EAP-TLS সাপোর্ট করে। Android 11 এবং তার উপরের সংস্করণের জন্য, এক্সপ্লিসিট CA সার্টিফিকেট ভ্যালিডেশন এনফোর্স করুন। Android 13 এবং তার উপরের সংস্করণের জন্য, আপনি আরও গ্র্যানুলার কন্ট্রোলের জন্য উন্নত সার্টিফিকেট ম্যানেজমেন্ট API-গুলি কাজে লাগাতে পারেন। Purple-এর প্ল্যাটফর্ম কি EAP-TLS নেটওয়ার্কের সাথে ইন্টিগ্রেট করতে পারে? Purple-এর গেস্ট WiFi এবং অ্যানালিটিক্স প্ল্যাটফর্ম আপনার 802.1X কর্পোরেট নেটওয়ার্ক থেকে একটি পৃথক SSID-তে কাজ করে। আপনার কর্পোরেট ডিভাইসগুলি সুরক্ষিত SSID-তে EAP-TLS-এর মাধ্যমে অথেনটিকেট করে, যেখানে গেস্ট ডিভাইসগুলি গেস্ট SSID-তে Purple-এর Captive Portal ব্যবহার করে। এই দুটি একই অ্যাক্সেস পয়েন্ট ইনফ্রাস্ট্রাকচারে সহাবস্থান করে, যেখানে VLAN সেপারেশন সিকিউরিটি বাউন্ডারি প্রদান করে। --- সারাংশ এবং পরবর্তী পদক্ষেপ — আনুমানিক ১ মিনিট শেষ করার জন্য: Android-এ EAP-TLS হলো উপলব্ধ সবচেয়ে সুরক্ষিত এন্টারপ্রাইজ WiFi অথেনটিকেশন পদ্ধতি, এবং আধুনিক MDM টুলিংয়ের সাহায্যে এটি স্কেলে ডিপ্লয় করা সম্পূর্ণ ব্যবহারিক। যে তিনটি বিষয় সঠিকভাবে করতে হবে তা হলো: স্বয়ংক্রিয় সার্টিফিকেট রিনিউয়াল সহ একটি সঠিকভাবে কনফিগার করা PKI, Android 11 এবং তার উপরের সংস্করণে এক্সপ্লিসিট CA সার্টিফিকেট ট্রাস্ট এবং পিক লোডের জন্য সাইজ করা একটি RADIUS ইনফ্রাস্ট্রাকচার। আপনি যদি মিশ্র কর্পোরেট এবং গেস্ট ট্রাফিক সহ একটি ভেন্যুতে ডিপ্লয় করেন, তবে Purple-এর প্ল্যাটফর্ম আপনাকে গেস্ট নেটওয়ার্কে অ্যানালিটিক্স এবং এনগেজমেন্ট লেয়ার দেয় যেখানে আপনার EAP-TLS ইনফ্রাস্ট্রাকচার কর্পোরেট দিকটি সুরক্ষিত করে। এই দুটি একে অপরের পরিপূরক। আপনার পরবর্তী পদক্ষেপের জন্য: সম্পূর্ণ গাইডে আমাদের আর্কিটেকচার ডায়াগ্রামটি পর্যালোচনা করুন, Intune ডিপ্লয়মেন্ট ওয়াকথ্রু নিয়ে কাজ করুন এবং আপনার সম্পূর্ণ এস্টেটে রোল আউট করার আগে ডিভাইসের একটি সাবসেটে একটি পাইলট রান করুন। পঞ্চাশটি ডিভাইসের একটি নিয়ন্ত্রিত গ্রুপ দিয়ে শুরু করুন, সার্টিফিকেট ডেলিভারি এবং WiFi কানেক্টিভিটি ভ্যালিডেট করুন, তারপর আত্মবিশ্বাসের সাথে স্কেল করুন। Purple টেকনিক্যাল ব্রিফিং শোনার জন্য ধন্যবাদ। আপনি purple.ai-তে সম্পূর্ণ লিখিত গাইড, ডায়াগ্রাম এবং কনফিগারেশন রেফারেন্স পাবেন। পরবর্তী সময় পর্যন্ত বিদায়।

header_image.png

এক্সিকিউটিভ সামারি

ক্রেডেনশিয়াল চুরি এবং অননুমোদিত অ্যাক্সেস থেকে এন্টারপ্রাইজ ওয়্যারলেস নেটওয়ার্কগুলিকে সুরক্ষিত করতে শেয়ার্ড পাসওয়ার্ডের বাইরে যাওয়া প্রয়োজন। কর্পোরেট পরিবেশে Android ডিভাইসের বহরের জন্য, 802.1X EAP-TLS (এক্সটেনসিবল অথেনটিকেশন প্রোটোকল উইথ ট্রান্সপোর্ট লেয়ার সিকিউরিটি) হলো চূড়ান্ত সিকিউরিটি স্ট্যান্ডার্ড। মিউচুয়াল সার্টিফিকেট-ভিত্তিক অথেনটিকেশন কাজে লাগিয়ে, EAP-TLS পাসওয়ার্ড ফ্যাটিগ, ফিশিং এবং দুর্বল ক্রেডেনশিয়ালের সাথে যুক্ত ঝুঁকিগুলি দূর করে।

এই টেকনিক্যাল রেফারেন্স গাইডটি নেটওয়ার্ক আর্কিটেক্ট, আইটি ম্যানেজার এবং CTO-দের Android ডিভাইসে EAP-TLS ডিপ্লয় করার জন্য কার্যকর কৌশল প্রদান করে। Retail -এ পয়েন্ট-অফ-সেল টার্মিনাল, Healthcare -এ ক্লিনিক্যাল ডিভাইস, বা Hospitality -এ ব্যাক-অফ-হাউস অপারেশন পরিচালনা করা হোক না কেন, এই ডিপ্লয়মেন্ট আয়ত্ত করা এন্ড-ইউজারদের জন্য একটি নিরবচ্ছিন্ন কানেকশন অভিজ্ঞতা প্রদানের পাশাপাশি শক্তিশালী সিকিউরিটি কমপ্লায়েন্স (PCI DSS, GDPR, ISO 27001) নিশ্চিত করে। আমরা BYOD পরিবেশের জন্য ম্যানুয়াল কনফিগারেশন এবং কর্পোরেট-মালিকানাধীন বহরের জন্য জিরো-টাচ MDM প্রভিশনিং উভয়ই কভার করি।

ব্রিফিংটি শুনুন

টেকনিক্যাল ডিপ-ডাইভ

802.1X আর্কিটেকচার এবং EAP-TLS মেকানিক্স

মূলত, 802.1X হলো পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস কন্ট্রোলের জন্য একটি IEEE স্ট্যান্ডার্ড। ওয়্যারলেস প্রেক্ষাপটে, অ্যাক্সেস পয়েন্টটি অথেনটিকেটর হিসেবে কাজ করে, যা Android ডিভাইস (সাপ্লিক্যান্ট) এবং RADIUS সার্ভারের (অথেনটিকেশন সার্ভার) মধ্যে যোগাযোগের সুবিধা দেয়।

PEAP বা TTLS-এর বিপরীতে যা TLS-এর মধ্যে লিগ্যাসি পাসওয়ার্ড অথেনটিকেশন টানেল করে, EAP-TLS সম্পূর্ণভাবে X.509 সার্টিফিকেটের উপর নির্ভর করে। এটি একটি মিউচুয়াল অথেনটিকেশন প্যারাডাইম তৈরি করে:

  1. নেটওয়ার্কটি বৈধ তা প্রমাণ করতে RADIUS সার্ভার Android ডিভাইসের কাছে তার সার্টিফিকেট উপস্থাপন করে।
  2. এটি একটি অনুমোদিত এন্ডপয়েন্ট তা প্রমাণ করতে Android ডিভাইস RADIUS সার্ভারের কাছে তার ইউনিক ক্লায়েন্ট সার্টিফিকেট উপস্থাপন করে。

eap_tls_architecture_overview.png

Android-নির্দিষ্ট সার্টিফিকেট রিকোয়ারমেন্টস

Android-এ ডিপ্লয় করার ক্ষেত্রে কিছু নির্দিষ্ট সীমাবদ্ধতা রয়েছে, বিশেষ করে Android 11 থেকে। ম্যান-ইন-দ্য-মিডল (MitM) আক্রমণ প্রশমিত করতে Google সার্ভার সার্টিফিকেটের জন্য "Do not validate" বিকল্পটি বাতিল করেছে। ফলস্বরূপ, Android ডিভাইসে অবশ্যই সেই Root CA সার্টিফিকেট থাকতে হবে যা RADIUS সার্ভারের সার্টিফিকেট সাইন করেছে।

অধিকন্তু, RADIUS সার্ভার সার্টিফিকেটে অবশ্যই সঠিক এক্সটেন্ডেড কি ইউসেজ (EKU) অ্যাট্রিবিউট থাকতে হবে—বিশেষ করে Server Authentication (OID 1.3.6.1.5.5.7.3.1)। এটি ছাড়া, Android সাপ্লিক্যান্ট নীরবে TLS হ্যান্ডশেক ড্রপ করবে।

ক্লায়েন্ট সাইডের জন্য, Android-এ প্রাইভেট কি এবং সার্টিফিকেট একসাথে বান্ডেল করা প্রয়োজন, সাধারণত PKCS#12 ফর্ম্যাটে (.p12 বা .pfx)।

Purple-এর ইকোসিস্টেমের সাথে ইন্টিগ্রেশন

যদিও EAP-TLS আপনার কর্পোরেট ডিভাইস এবং অপারেশনাল ইনফ্রাস্ট্রাকচার সুরক্ষিত করে, ভেন্যু অপারেটরদের অবশ্যই ভিজিটর অ্যাক্সেসও পরিচালনা করতে হবে। এখানেই একটি ডুয়াল-SSID কৌশল গুরুত্বপূর্ণ হয়ে ওঠে। আপনার কর্পোরেট SSID 802.1X EAP-TLS ব্যবহার করে, যেখানে আপনার পাবলিক SSID Purple-এর Guest WiFi প্ল্যাটফর্ম কাজে লাগায়। এই বিভাজন অপারেশনাল সিকিউরিটি নিশ্চিত করে এবং একই সাথে মার্কেটিং টিমকে গেস্ট নেটওয়ার্কে WiFi Analytics ব্যবহার করার সুযোগ দেয়। ফিজিক্যাল ইনফ্রাস্ট্রাকচার সুরক্ষিত করার বিষয়ে আরও বিস্তারিত জানতে, Access Point Security: Your 2026 Enterprise Guide দেখুন।

ইমপ্লিমেন্টেশন গাইড

Android-এ EAP-TLS ডিপ্লয়মেন্ট ছোট BYOD সেটআপের জন্য ম্যানুয়ালি বা এন্টারপ্রাইজ স্কেলের জন্য মোবাইল ডিভাইস ম্যানেজমেন্ট (MDM)-এর মাধ্যমে করা যেতে পারে।

mdm_deployment_comparison.png

পদ্ধতি ১: ম্যানুয়াল কনফিগারেশন (BYOD / ছোট স্কেল)

এই পদ্ধতিটি সাপোর্ট-নিবিড় এবং শুধুমাত্র সীমিত রোলআউট বা টেস্টিংয়ের জন্য প্রস্তাবিত।

  1. সার্টিফিকেট ডেলিভারি: .p12 ক্লায়েন্ট সার্টিফিকেট এবং Root CA .cer ফাইলটি নিরাপদে Android ডিভাইসে ডেলিভার করুন (যেমন, সুরক্ষিত পোর্টাল বা এনক্রিপ্ট করা ইমেলের মাধ্যমে)।
  2. ইন্সটলেশন:
    • Settings > Security > Encryption & credentials > Install a certificate-এ নেভিগেট করুন।
    • Root CA-কে "Wi-Fi certificate" হিসেবে ইন্সটল করুন।
    • প্রম্পট করা হলে এক্সট্রাকশন পাসওয়ার্ড প্রদান করে .p12 ফাইলটি ইন্সটল করুন।
  3. নেটওয়ার্ক কনফিগারেশন:
    • Settings > Network & internet > Wi-Fi-এ যান এবং "Add network" নির্বাচন করুন।
    • SSID লিখুন।
    • Security-কে WPA/WPA2/WPA3-Enterprise-এ সেট করুন।
    • EAP method-কে TLS-এ সেট করুন।
    • CA certificate-কে ইন্সটল করা Root CA-তে সেট করুন।
    • Online Certificate Status-কে Request certificate status-এ সেট করুন।
    • RADIUS সার্ভারের সার্টিফিকেটের সাবজেক্ট অল্টারনেটিভ নেম (SAN)-এর সাথে মেলাতে Domain সেট করুন।
    • ইন্সটল করা ক্লায়েন্ট সার্টিফিকেট নির্বাচন করুন।
    • আইডেন্টিটি লিখুন (সাধারণত ইউজারের UPN বা ডিভাইসের MAC)।

পদ্ধতি ২: MDM-পুশড প্রোফাইল (এন্টারপ্রাইজ স্কেল)

বড় এস্টেটের জন্য, যেমন একটি বিশ্ববিদ্যালয় ক্যাম্পাস বা Transport -এর লজিস্টিক হাব, MDM বাধ্যতামূলক। এটি জিরো-টাচ প্রভিশনিং এবং লাইফসাইকেল ম্যানেজমেন্ট প্রদান করে।

  1. PKI ইন্টিগ্রেশন: SCEP বা NDES ব্যবহার করে আপনার MDM (Intune, Workspace ONE, Jamf)-কে আপনার সার্টিফিকেট অথরিটির সাথে কানেক্ট করুন。
  2. সার্টিফিকেট প্রোফাইল: ডিভাইসের ট্রাস্ট স্টোরে Root CA পুশ করার জন্য একটি কনফিগারেশন প্রোফাইল তৈরি করুন। স্বয়ংক্রিয়ভাবে ইউনিক ক্লায়েন্ট সার্টিফিকেটের রিকোয়েস্ট এবং ইন্সটল করার জন্য একটি দ্বিতীয় প্রোফাইল (SCEP) তৈরি করুন।
  3. WiFi প্রোফাইল: ডিপ্লয় করা সার্টিফিকেটগুলিকে লিঙ্ক করে একটি Wi-Fi কনফিগারেশন প্রোফাইল তৈরি করুন।
    • Security Type: WPA2/WPA3 Enterprise
    • EAP Type: EAP-TLS
    • Authentication Method: Certificate
    • Server Trust: Root CA এবং সঠিক সার্ভার ডোমেইন নেম নির্দিষ্ট করুন।

মাইক্রোসফ্ট-নির্দিষ্ট বিস্তারিত নির্দেশাবলীর জন্য, আমাদের গাইডটি দেখুন: How to Use Microsoft Intune to Push WiFi Certificates to Devices

বেস্ট প্র্যাকটিস

  1. WPA3-Enterprise এনফোর্স করুন: যেখানে হার্ডওয়্যার সাপোর্ট করে, সেখানে WPA3-Enterprise বাধ্যতামূলক করুন। 192-বিট সিকিউরিটি স্যুটের জন্য স্পষ্টভাবে EAP-TLS প্রয়োজন, যা সর্বোচ্চ ক্রিপ্টোগ্রাফিক স্ট্যান্ডার্ড নিশ্চিত করে।
  2. সার্টিফিকেট লাইফসাইকেল অটোমেট করুন: ক্লায়েন্ট সার্টিফিকেটের মেয়াদ শেষ হয়। আপনি যদি ম্যানুয়াল রিনিউয়ালের উপর নির্ভর করেন, তবে আপনি ব্যাপক আউটেজের সম্মুখীন হবেন। মেয়াদ শেষ হওয়ার ৩০ দিন আগে স্বয়ংক্রিয়ভাবে সার্টিফিকেট রিনিউ করতে SCEP/NDES ইমপ্লিমেন্ট করুন।
  3. শক্তিশালী DNS ইমপ্লিমেন্ট করুন: সার্টিফিকেট রিভোকেশন লিস্ট (CRL) চেক এবং OCSP-এর জন্য এজ থেকে নির্ভরযোগ্য DNS রেজোলিউশন প্রয়োজন। Protect Your Network with Strong DNS and Security -এ আরও পড়ুন।
  4. VLAN সেগমেন্টেশন: Tunnel-Private-Group-Id-এর মতো RADIUS অ্যাট্রিবিউট ব্যবহার করে সার্টিফিকেট অ্যাট্রিবিউটের উপর ভিত্তি করে (যেমন, ম্যানেজার ট্যাবলেট থেকে POS টার্মিনাল আলাদা করা) নির্দিষ্ট VLAN-এ EAP-TLS অথেনটিকেটেড সেশনগুলিকে ম্যাপ করুন।

ট্রাবলশুটিং এবং ঝুঁকি প্রশমন

যখন Android ডিভাইসগুলি EAP-TLS-এর মাধ্যমে কানেক্ট হতে ব্যর্থ হয়, তখন সমস্যাটি প্রায় সবসময়ই সার্টিফিকেট চেইন বা RADIUS কনফিগারেশনে থাকে।

  • লক্ষণ: Android 11+ ডিভাইসগুলি অবিলম্বে ডিসকানেক্ট হয়ে যায় বা ইউজারকে প্রম্পট না করেই "Authentication error" দেখায়।
    • মূল কারণ: ডিভাইসটি RADIUS সার্ভার সার্টিফিকেটকে ট্রাস্ট করে না। WiFi প্রোফাইলের "Domain" ফিল্ডটি অবশ্যই সার্ভার সার্টিফিকেটের SAN-এর সাথে হুবহু মিলতে হবে এবং Root CA ইন্সটল করা থাকতে হবে।
  • লক্ষণ: TLS হ্যান্ডশেকের সময় কানেকশন টাইম আউট হয়ে যায়।
    • মূল কারণ: ক্লায়েন্ট সার্টিফিকেটের রিভোকেশন স্ট্যাটাস ভেরিফাই করার জন্য RADIUS সার্ভার CRL ডিস্ট্রিবিউশন পয়েন্টে পৌঁছাতে পারে না। নিশ্চিত করুন যে আপনার RADIUS সার্ভারের আপনার PKI-এর CRL এন্ডপয়েন্টগুলিতে আউটবাউন্ড HTTP অ্যাক্সেস রয়েছে।
  • লক্ষণ: Windows ডিভাইস কানেক্ট হয়, কিন্তু Android ডিভাইস ব্যর্থ হয়。
    • মূল কারণ: RADIUS সার্টিফিকেটে Server Authentication EKU অনুপস্থিত, অথবা Android সাপ্লিক্যান্ট একটি অসমর্থিত সাইফার স্যুট ব্যবহার করার চেষ্টা করছে। TLS নেগোসিয়েশন ব্যর্থতার জন্য RADIUS লগ চেক করুন।

ROI এবং ব্যবসায়িক প্রভাব

EAP-TLS-এ ট্রানজিশন করার জন্য PKI এবং MDM ইনফ্রাস্ট্রাকচারে অগ্রিম বিনিয়োগের প্রয়োজন, তবে সিনিয়র আইটি লিডারদের জন্য রিটার্ন অন ইনভেস্টমেন্ট (ROI) যথেষ্ট।

  • হেল্পডেস্ক খরচ হ্রাস: আইটি হেল্পডেস্ক টিকিটের ২০-৩০% হলো পাসওয়ার্ড রিসেট। সার্টিফিকেট-ভিত্তিক অথেনটিকেশন নেটওয়ার্ক অ্যাক্সেসের জন্য পাসওয়ার্ড রোটেশন পলিসি দূর করে, যা সাপোর্ট ওভারহেড ব্যাপকভাবে হ্রাস করে।
  • ঝুঁকি প্রশমন: EAP-TLS ক্রেডেনশিয়াল হার্ভেস্টিং এবং অফলাইন ডিকশনারি অ্যাটাকের বিরুদ্ধে অনাক্রম্যতা প্রদান করে। Healthcare -এর মতো নিয়ন্ত্রিত শিল্পে একটি একক ব্রিচের খরচ একটি PKI-এর ডিপ্লয়মেন্ট খরচের চেয়ে অনেক বেশি।
  • অপারেশনাল কন্টিনিউটি: স্বয়ংক্রিয় সার্টিফিকেট প্রভিশনিং নিশ্চিত করে যে ওয়্যারহাউস স্ক্যানার থেকে শুরু করে রিটেইল POS সিস্টেম পর্যন্ত গুরুত্বপূর্ণ অপারেশনাল ডিভাইসগুলি মেয়াদোত্তীর্ণ ক্রেডেনশিয়ালের কারণে কখনই নেটওয়ার্ক থেকে ড্রপ অফ করবে না। যেহেতু Purple তার পরিধি প্রসারিত করে চলেছে, যা Purple Signals Higher Education Ambitions with Appointment of VP Education Tim Peers -এর মতো সাম্প্রতিক কৌশলগত পদক্ষেপগুলির দ্বারা হাইলাইট করা হয়েছে, শক্তিশালী ফাউন্ডেশনাল কানেক্টিভিটি অ্যাডভান্সড অ্যানালিটিক্স এবং এনগেজমেন্টের জন্য সহায়ক হয়ে ওঠে।

মূল সংজ্ঞাসমূহ

802.1X

পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল (PNAC)-এর জন্য একটি IEEE স্ট্যান্ডার্ড যা LAN বা WLAN-এর সাথে যুক্ত হতে ইচ্ছুক ডিভাইসগুলিকে একটি অথেনটিকেশন মেকানিজম প্রদান করে।

ফাউন্ডেশনাল ফ্রেমওয়ার্ক যা অননুমোদিত ডিভাইসগুলিকে এজে কর্পোরেট নেটওয়ার্ক অ্যাক্সেস করা থেকে বাধা দেয়।

EAP-TLS

এক্সটেনসিবল অথেনটিকেশন প্রোটোকল উইথ ট্রান্সপোর্ট লেয়ার সিকিউরিটি। একটি অথেনটিকেশন ফ্রেমওয়ার্ক যা ক্লায়েন্ট এবং সার্ভারের মধ্যে মিউচুয়াল অথেনটিকেশনের জন্য X.509 সার্টিফিকেট ব্যবহার করে।

সবচেয়ে সুরক্ষিত EAP ধরন হিসেবে বিবেচিত, এটি পাসওয়ার্ডের উপর নির্ভরতা দূর করে, যা এটিকে উচ্চ-নিরাপত্তা পরিবেশের জন্য অপরিহার্য করে তোলে।

RADIUS

রিমোট অথেনটিকেশন ডায়াল-ইন ইউজার সার্ভিস। একটি নেটওয়ার্কিং প্রোটোকল যা সেন্ট্রালাইজড অথেনটিকেশন, অথরাইজেশন এবং অ্যাকাউন্টিং (AAA) ম্যানেজমেন্ট প্রদান করে।

সার্ভার কম্পোনেন্ট (যেমন, Cisco ISE, Microsoft NPS) যা PKI-এর বিপরীতে Android ডিভাইসের সার্টিফিকেট ভ্যালিডেট করে।

Supplicant

ক্লায়েন্ট ডিভাইস (এই ক্ষেত্রে, Android স্মার্টফোন বা ট্যাবলেট) যা নেটওয়ার্কে অ্যাক্সেসের রিকোয়েস্ট করছে।

সাপ্লিক্যান্টের নির্দিষ্ট OS সীমাবদ্ধতাগুলি (যেমন Android 11-এর কঠোর ভ্যালিডেশন) বোঝা একটি সফল ডিপ্লয়মেন্টের চাবিকাঠি।

Authenticator

নেটওয়ার্ক ডিভাইস (WiFi অ্যাক্সেস পয়েন্ট) যা সাপ্লিক্যান্ট এবং RADIUS সার্ভারের মধ্যে অথেনটিকেশন প্রক্রিয়ার সুবিধা দেয়।

AP সিদ্ধান্ত নেয় না; এটি কেবল RADIUS সার্ভারের রেসপন্সের উপর ভিত্তি করে পোর্ট কন্ট্রোল প্রয়োগ করে।

PKI

পাবলিক কি ইনফ্রাস্ট্রাকচার। ডিজিটাল সার্টিফিকেট তৈরি, পরিচালনা, বিতরণ, ব্যবহার, সংরক্ষণ এবং বাতিল করার জন্য প্রয়োজনীয় ভূমিকা, পলিসি, হার্ডওয়্যার, সফ্টওয়্যার এবং পদ্ধতিগুলির একটি সেট।

EAP-TLS-এর মেরুদণ্ড। একটি শক্তিশালী PKI ছাড়া, সার্টিফিকেট-ভিত্তিক অথেনটিকেশন অসম্ভব।

SCEP

সিম্পল সার্টিফিকেট এনরোলমেন্ট প্রোটোকল। ডিজিটাল সার্টিফিকেট ইস্যু করা এবং বাতিল করা যতটা সম্ভব স্কেলেবল করার জন্য ডিজাইন করা একটি প্রোটোকল।

ইউজারের হস্তক্ষেপ ছাড়াই Android ডিভাইসে স্বয়ংক্রিয়ভাবে ক্লায়েন্ট সার্টিফিকেট প্রভিশন করতে MDM প্ল্যাটফর্মগুলি দ্বারা ব্যবহৃত হয়।

SAN

সাবজেক্ট অল্টারনেটিভ নেম। X.509-এর একটি এক্সটেনশন যা একটি সিকিউরিটি সার্টিফিকেটের সাথে বিভিন্ন ভ্যালু যুক্ত করার অনুমতি দেয়।

Android 11+-এ WiFi প্রোফাইলের 'Domain' ফিল্ডটি RADIUS সার্ভারের সার্টিফিকেটের SAN-এর সাথে মেলা প্রয়োজন।

সমাধানকৃত উদাহরণসমূহ

একটি জাতীয় রিটেইল চেইনের ৫,০০০টি Android-ভিত্তিক পয়েন্ট-অফ-সেল (POS) ট্যাবলেট ডিপ্লয় করা প্রয়োজন। সিকিউরিটি টিমের নির্দেশ হলো যে এই ডিভাইসগুলিতে শেয়ার্ড পাসওয়ার্ড ব্যবহার করা যাবে না এবং ক্রেডেনশিয়াল ফিশিং থেকে মুক্ত হতে হবে। ইনফ্রাস্ট্রাকচার টিমের এই ডিপ্লয়মেন্টের ক্ষেত্রে কীভাবে অগ্রসর হওয়া উচিত?

টিমকে অবশ্যই SCEP-এর মাধ্যমে তাদের অভ্যন্তরীণ পাবলিক কি ইনফ্রাস্ট্রাকচার (PKI)-এর সাথে ইন্টিগ্রেটেড একটি মোবাইল ডিভাইস ম্যানেজমেন্ট (MDM) সলিউশন ডিপ্লয় করতে হবে। MDM একটি কনফিগারেশন প্রোফাইল পুশ করবে যাতে Root CA সার্টিফিকেট থাকবে, প্রতিটি POS ট্যাবলেটের জন্য স্বয়ংক্রিয়ভাবে একটি ইউনিক ক্লায়েন্ট সার্টিফিকেটের রিকোয়েস্ট করবে এবং EAP-TLS ব্যবহার করার জন্য WPA3-Enterprise WiFi প্রোফাইল কনফিগার করবে। সফল সার্টিফিকেট ভ্যালিডেশনের উপর ভিত্তি করে এই ডিভাইসগুলিকে একটি আইসোলেটেড POS VLAN-এ অ্যাসাইন করার জন্য RADIUS সার্ভার কনফিগার করা হবে।

পরীক্ষকের মন্তব্য: এটি হলো সর্বোত্তম এন্টারপ্রাইজ অ্যাপ্রোচ। ৫,০০০টি ডিভাইসের জন্য ম্যানুয়াল কনফিগারেশনের চেষ্টা করা অপারেশনালভাবে অবাস্তব। MDM এবং SCEP ব্যবহার করে, প্রতিষ্ঠানটি জিরো-টাচ প্রভিশনিং এবং স্বয়ংক্রিয় সার্টিফিকেট রিনিউয়াল অর্জন করে, যা ডিপ্লয়মেন্টের ঘর্ষণ কমিয়ে সিকিউরিটি ম্যান্ডেট পূরণ করে।

একজন হাসপাতালের আইটি ম্যানেজার ওয়্যারলেস নেটওয়ার্ক আপগ্রেড করছেন। আপগ্রেডের পর, পুরোনো Android 9 ডিভাইসগুলি সফলভাবে EAP-TLS নেটওয়ার্কের সাথে কানেক্ট হয়, কিন্তু নতুন কেনা Android 12 ডিভাইসগুলি ট্রাস্ট এরর দেখিয়ে অথেনটিকেট করতে ব্যর্থ হয়।

আইটি ম্যানেজারকে অবশ্যই ডিভাইসগুলিতে পুশ করা WiFi কনফিগারেশন প্রোফাইল আপডেট করতে হবে। Android 11+ কঠোর সার্ভার সার্টিফিকেট ভ্যালিডেশন প্রয়োগ করে। MitM আক্রমণ প্রতিরোধ করার জন্য ট্রাস্ট করার মতো Root CA সার্টিফিকেট স্পষ্টভাবে সংজ্ঞায়িত করতে এবং সঠিক 'Domain' (RADIUS সার্ভারের SAN-এর সাথে মিল রেখে) নির্দিষ্ট করতে প্রোফাইলটি আপডেট করতে হবে।

পরীক্ষকের মন্তব্য: এটি Android-এর সাপ্লিক্যান্ট আচরণে একটি গুরুত্বপূর্ণ OS-স্তরের পরিবর্তন হাইলাইট করে। লিগ্যাসি 'Do not validate' কনফিগারেশনগুলি একটি উল্লেখযোগ্য সিকিউরিটি ঝুঁকি এবং আধুনিক Android সংস্করণগুলিতে কঠোরভাবে বাতিল করা হয়েছে। সলিউশনটি সঠিকভাবে এক্সপ্লিসিট ট্রাস্ট কনফিগারেশনের প্রয়োজনীয়তা চিহ্নিত করে।

অনুশীলনী প্রশ্নসমূহ

Q1. আপনার প্রতিষ্ঠান PEAP-MSCHAPv2 থেকে EAP-TLS-এ মাইগ্রেট করছে। পাইলট পর্বে, বেশ কয়েকটি Android 13 ডিভাইস কানেক্ট হতে ব্যর্থ হয়। RADIUS লগগুলি দেখায় যে TLS হ্যান্ডশেক শুরু হয়েছে কিন্তু ক্লায়েন্ট সার্টিফিকেট পাঠানোর আগেই ক্লায়েন্ট দ্বারা ড্রপ করা হয়েছে। সবচেয়ে সম্ভাব্য কনফিগারেশন ত্রুটি কী?

ইঙ্গিত: সার্ভারের আইডেন্টিটি সম্পর্কিত সাম্প্রতিক Android সংস্করণগুলিতে প্রবর্তিত কঠোর ভ্যালিডেশন রিকোয়ারমেন্টগুলি বিবেচনা করুন।

মডেল উত্তর দেখুন

সবচেয়ে সম্ভাব্য ত্রুটি হলো Android 13 ডিভাইসগুলিতে পুশ করা WiFi প্রোফাইলটি সঠিকভাবে 'Domain' সাফিক্স ম্যাচ নির্দিষ্ট করে না, অথবা Root CA প্রোফাইলে সঠিকভাবে লিঙ্ক করা নেই। Android একটি ম্যান-ইন-দ্য-মিডল আক্রমণ প্রতিরোধ করতে কানেকশনটি ড্রপ করে কারণ এটি RADIUS সার্ভারের সার্টিফিকেট ভ্যালিডেট করতে পারে না।

Q2. আপনি একটি বড় স্টেডিয়াম ডিপ্লয়মেন্টের জন্য আর্কিটেকচার ডিজাইন করছেন। ক্লায়েন্ট সমস্ত স্টাফ ডিভাইসের জন্য EAP-TLS ব্যবহার করতে চায়। একটি স্ট্যান্ডার্ড WPA2-PSK নেটওয়ার্কের তুলনায় কোন নির্দিষ্ট ইনফ্রাস্ট্রাকচার কম্পোনেন্টটি স্কেল আপ করতে হবে এবং কেন?

ইঙ্গিত: কানেকশন পর্বে EAP-TLS-এ জটিল ক্রিপ্টোগ্রাফিক অপারেশন জড়িত থাকে।

মডেল উত্তর দেখুন

RADIUS সার্ভার ইনফ্রাস্ট্রাকচার উল্লেখযোগ্যভাবে স্কেল আপ করতে হবে। EAP-TLS-এর জন্য সম্পূর্ণ মিউচুয়াল সার্টিফিকেট ভ্যালিডেশন (অ্যাসিমেট্রিক ক্রিপ্টোগ্রাফি) প্রয়োজন, যা কম্পিউটেশনালভাবে ব্যয়বহুল। হাজার হাজার ডিভাইস সম্ভাব্যভাবে রোমিং বা একই সাথে অথেনটিকেট করার মতো একটি স্টেডিয়াম পরিবেশে, একটি আন্ডারসাইজড RADIUS ডিপ্লয়মেন্ট অথেনটিকেশন টাইমআউট এবং কানেকশন ব্যর্থতার কারণ হবে।

Q3. একটি হারিয়ে যাওয়া Android ট্যাবলেটে একটি ক্লায়েন্ট সার্টিফিকেটের সাথে আপস করা হয়েছে। নেটওয়ার্কটি ঠিক কোন মেকানিজমের মাধ্যমে এই ডিভাইসটিকে EAP-TLS-এর মাধ্যমে কানেক্ট হতে বাধা দেয়?

ইঙ্গিত: মেয়াদ শেষ হওয়ার তারিখের আগে RADIUS সার্ভার কীভাবে জানবে যে সার্টিফিকেটটি আর বৈধ নয়?

মডেল উত্তর দেখুন

আইটি অ্যাডমিনিস্ট্রেটর PKI-তে ক্লায়েন্ট সার্টিফিকেট বাতিল করেন। PKI তার সার্টিফিকেট রিভোকেশন লিস্ট (CRL) বা OCSP রেসপন্ডার আপডেট করে। যখন হারিয়ে যাওয়া ট্যাবলেটটি কানেক্ট করার চেষ্টা করে, তখন RADIUS সার্ভার CRL/OCSP-এর বিপরীতে ক্লায়েন্ট সার্টিফিকেট চেক করে। এটি বাতিল করা হয়েছে দেখে, RADIUS সার্ভার অথেনটিকেশন রিকোয়েস্ট প্রত্যাখ্যান করে।

এই সিরিজে পড়া চালিয়ে যান

ভেন্ডর অনুযায়ী প্রতি-ডিভাইস PSK: iPSK, DPSK, MPSK এবং PPSK-এর তুলনা (এবং WPA3 সাপোর্ট)

Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet এবং Ubiquiti UniFi-এর প্রতি-ডিভাইস PSK ইমপ্লিমেন্টেশনের একটি বিস্তারিত তুলনা। জানুন কীভাবে WPA3-SAE প্রতি-ডিভাইস কী (key) কৌশলগুলোকে প্রভাবিত করে এবং কখন ট্রানজিশন মোড স্থাপন করতে হবে বনাম 802.1X-এ স্থানান্তরিত হতে হবে।

গাইডটি পড়ুন →

MAC Address Authentication কী? কখন এটি ব্যবহার করবেন এবং কখন এড়িয়ে চলবেন

এই অথরিটেটিভ টেকনিক্যাল রেফারেন্স গাইডটি এন্টারপ্রাইজ WiFi এনভায়রনমেন্টে MAC অ্যাড্রেস অথেনটিকেশন কভার করে — কীভাবে RADIUS-ভিত্তিক MAC অথেনটিকেশন Layer 2-তে কাজ করে, এর অন্তর্নিহিত সিকিউরিটি দুর্বলতাগুলো (যার মধ্যে MAC স্পুফিং এবং OS-লেভেল MAC র‍্যান্ডমাইজেশনের প্রভাব অন্তর্ভুক্ত) এবং সুনির্দিষ্ট অপারেশনাল কনটেক্সট যেখানে এটি IoT এবং হেডলেস ডিভাইসগুলো ম্যানেজ করার জন্য একটি বৈধ টুল হিসেবে রয়ে গেছে। এটি হসপিটালিটি, রিটেইল, হেলথকেয়ার এবং পাবলিক-সেক্টর ভেন্যুগুলোর আইটি ম্যানেজার এবং নেটওয়ার্ক আর্কিটেক্টদের জন্য রিয়েল-ওয়ার্ল্ড ওয়ার্কড এক্সাম্পল, ডিসিশন ফ্রেমওয়ার্ক এবং Purple-এর গেস্ট WiFi ও অ্যানালিটিক্স প্ল্যাটফর্মের ইন্টিগ্রেশন কনটেক্সটসহ অ্যাকশনেবল ডিপ্লয়মেন্ট গাইডেন্স প্রদান করে।

গাইডটি পড়ুন →

কীভাবে 802.1X এর মাধ্যমে iOS এবং macOS-এ এন্টারপ্রাইজ WiFi সেট আপ করবেন

এই প্রামাণিক গাইডটি সিনিয়র IT লিডারদের iOS এবং macOS ডিভাইসে 802.1X এন্টারপ্রাইজ WiFi ডিপ্লয় করার জন্য কার্যকর পদক্ষেপ প্রদান করে। এটি BYOD উদ্যোগগুলোকে সমর্থন করার পাশাপাশি কর্পোরেট নেটওয়ার্ক সুরক্ষিত করতে সার্টিফিকেট-ভিত্তিক অথেন্টিকেশন (EAP-TLS), MDM কনফিগারেশন প্রোফাইল এবং আর্কিটেকচার ইন্টিগ্রেশন কভার করে।

গাইডটি পড়ুন →