মূল কন্টেন্টে যান

কীভাবে সাধারণ Access Point প্ল্যাটফর্মগুলিতে (Cisco, Aruba, Ubiquiti) WPA2-Enterprise কনফিগার করবেন

এই টেকনিক্যাল রেফারেন্স নির্দেশিকাটি সিনিয়র IT পেশাদার এবং নেটওয়ার্ক আর্কিটেক্টদের Cisco, Aruba, এবং Ubiquiti প্ল্যাটফর্মগুলিতে WPA2-Enterprise স্থাপনের জন্য একটি নির্দিষ্ট, ভেন্ডর-ভিত্তিক নির্দেশিকা প্রদান করে। এটি এন্টারপ্রাইজ এবং ভেন্যু এনভায়রনমেন্ট জুড়ে আর্কিটেকচার, RADIUS ইন্টিগ্রেশন, কমপ্লায়েন্সের প্রয়োজনীয়তা এবং বাস্তব-জগতের স্থাপনার পরিস্থিতি বিশদভাবে বর্ণনা করে।

📖 6 মিনিট পাঠ📝 1,309 শব্দ🔧 2 সমাধানকৃত উদাহরণ3 অনুশীলনী প্রশ্ন📚 8 মূল সংজ্ঞা

এই গাইডটি শুনুন

পডকাস্ট ট্রান্সক্রিপ্ট দেখুন
কিভাবে সাধারণ অ্যাক্সেস পয়েন্ট প্ল্যাটফর্মগুলিতে WPA2-Enterprise কনফিগার করবেন — Cisco, Aruba, এবং Ubiquiti একটি Purple WiFi ইন্টেলিজেন্স ব্রিফিং [সূচনা — প্রায় ১ মিনিট] Purple WiFi ইন্টেলিজেন্স সিরিজে আপনাকে স্বাগত জানাই। আমি আপনার হোস্ট, এবং আজ আমরা আমাদের এন্টারপ্রাইজ ক্লায়েন্টদের কাছ থেকে সবচেয়ে বেশি অনুরোধ করা বিষয়গুলির মধ্যে একটি নিয়ে সরাসরি আলোচনা করব: সবচেয়ে বেশি ব্যবহৃত তিনটি অ্যাক্সেস পয়েন্ট প্ল্যাটফর্ম — Cisco, Aruba, এবং Ubiquiti-এ কীভাবে WPA2-Enterprise কনফিগার করবেন। আপনি একটি ৫০০-রুমের হোটেল গ্রুপের আইটি ডিরেক্টর, একটি জাতীয় খুচরা চেইনের নেটওয়ার্ক আর্কিটেক্ট, বা একটি কনফারেন্স সেন্টার অপারেটরের সিটিও হোন না কেন, এই ব্রিফিংটি আপনার জন্য। আমরা শুধু তত্ত্ব নিয়ে আলোচনা করব না। আমরা সেই বিষয়গুলো দেখাব যা আপনাকে একটি ডিপ্লয়মেন্টের সিদ্ধান্ত নিতে, এটি সঠিকভাবে সম্পাদন করতে এবং অভিজ্ঞ দলগুলিও যে ভুলগুলিতে পড়ে তা এড়াতে সাহায্য করবে। চলুন শুরু করা যাক। [টেকনিক্যাল ডিপ-ডাইভ — প্রায় ৫ মিনিট] প্রথমে, WPA2-Enterprise আসলে কী সে সম্পর্কে একটি দ্রুত ধারণা দেওয়া যাক, কারণ বাজারে এখনও WPA2-Personal এবং WPA2-Enterprise-এর মধ্যে আশ্চর্যজনক বিভ্রান্তি রয়েছে - এবং কমপ্লায়েন্স এবং ঝুঁকির ক্ষেত্রে এই পার্থক্যটি অত্যন্ত গুরুত্বপূর্ণ। WPA2-Personal — যেটির সাথে বেশিরভাগ মানুষ পরিচিত — একটি একক প্রি-শেয়ার্ড কী ব্যবহার করে। নেটওয়ার্কের সবাই একই পাসওয়ার্ড ব্যবহার করে। এটি একটি হোম নেটওয়ার্কের জন্য ঠিক আছে। তবে এটি একটি ব্যবসায়িক পরিবেশের জন্য একেবারেই গ্রহণযোগ্য নয় যেখানে আপনার প্রতি-ব্যবহারকারীর প্রমাণীকরণ (authentication), অডিট ট্রেইল এবং তাত্ক্ষণিকভাবে অ্যাক্সেস বাতিল করার ক্ষমতা প্রয়োজন। WPA2-Enterprise, যা 802.1X-এর অধীনে সংজ্ঞায়িত করা হয়েছে, সেই শেয়ার্ড কী-কে একটি ব্যক্তিগত প্রমাণীকরণ এক্সচেঞ্জ দ্বারা প্রতিস্থাপন করে। প্রতিটি ব্যবহারকারী বা ডিভাইস নিজস্ব শংসাপত্র উপস্থাপন করে — তা ইউজারনেম এবং পাসওয়ার্ড, একটি ডিজিটাল সার্টিফিকেট বা একটি টোকেন যাই হোক না কেন — এবং নেটওয়ার্ক অ্যাক্সেস দেওয়ার আগে একটি RADIUS সার্ভার দ্বারা সেই শংসাপত্রগুলি যাচাই করা হয়। অ্যাক্সেস পয়েন্ট নিজেই কখনও শংসাপত্রগুলি দেখে না। এটি কেবল একটি প্রমাণীকরণকারী হিসাবে কাজ করে, ক্লায়েন্ট এবং RADIUS সার্ভারের মধ্যে EAP — এক্সটেনসিবল অথেন্টিকেশন প্রোটোকল — এক্সচেঞ্জ পাস করে। এটি একটি মৌলিকভাবে আরও নিরাপদ আর্কিটেকচার, এবং এটি পেমেন্ট কার্ডের ডেটা পরিচালনা করে এমন যেকোনো পরিবেশে PCI-DSS কমপ্লায়েন্সের জন্য একটি মৌলিক প্রয়োজন, সেইসাথে ওয়্যারলেস নেটওয়ার্কের মাধ্যমে ব্যক্তিগত ডেটা প্রসেসকারী সংস্থাগুলির জন্য GDPR-এর অধীনে এটি দৃঢ়ভাবে সুপারিশ করা হয়। এখন, আসুন তিনটি প্ল্যাটফর্ম সম্পর্কে কথা বলা যাক।Cisco দিয়ে শুরু করা যাক। Cisco-এর এন্টারপ্রাইজ WiFi পোর্টফোলিও - মূলত Catalyst এবং Meraki লাইন - বৃহৎ আকারের ডেপ্লয়মেন্টের জন্য প্রচলিত পছন্দ। Cisco DNA Center কেন্দ্রীভূত নীতি পরিচালনা প্রদান করে, এবং Meraki ড্যাশবোর্ড বিতরণকৃত এস্টেটের জন্য ক্লাউড-পরিচালিত সহজতা অফার করে। Cisco Catalyst অ্যাক্সেস পয়েন্টে WPA2-Enterprise কনফিগার করতে, আপনাকে WLC - ওয়্যারলেস ল্যান কন্ট্রোলার - বা DNA Center-এর মাধ্যমে কাজ করতে হবে। প্রধান ধাপগুলো হলো: Security, তারপর AAA, তারপর RADIUS Authentication Servers-এর অধীনে আপনার RADIUS সার্ভার নির্ধারণ করুন; একটি নতুন WLAN প্রোফাইল তৈরি করুন; সিকিউরিটি পলিসিকে WPA2-এ সেট করুন যেখানে কি ম্যানেজমেন্ট পদ্ধতি হিসেবে 802.1X থাকবে; এবং RADIUS সার্ভারটিকে সেই WLAN-এর সাথে বাইন্ড করুন। Cisco-এর ক্ষেত্রে একটি গুরুত্বপূর্ণ বিষয়: নিশ্চিত করুন যে আপনি অথেন্টিকেশনের পাশাপাশি RADIUS অ্যাকাউন্টিংও কনফিগার করছেন। অ্যাকাউন্টিং আপনাকে প্রতি-সেশনের অডিট ট্রেইল দেয় যা কমপ্লায়েন্স ফ্রেমওয়ার্কগুলোর জন্য প্রয়োজন। Meraki-তে এই প্রক্রিয়াটি আরও সহজ - Wireless-এ যান, তারপর SSIDs-এ ক্লিক করুন, আপনার লক্ষ্যযুক্ত SSID নির্বাচন করুন, সিকিউরিটি সেট করুন WPA2-Enterprise with my RADIUS server-এ, এবং আপনার RADIUS সার্ভার IP, পোর্ট - সাধারণত অথেন্টিকেশনের জন্য 1812 এবং অ্যাকাউন্টিংয়ের জন্য 1813 - এবং শেয়ার্ড সিক্রেট লিখুন। Meraki ড্যাশবোর্ড থেকে সরাসরি RADIUS টেস্টিংও সমর্থন করে, যা কমিশনিংয়ের সময় অত্যন্ত মূল্যবান। এবার Aruba-তে আসা যাক। Aruba Networks, যা এখন HPE-এর অংশ, হসপিটালিটি এবং উচ্চ শিক্ষায় একটি অন্যতম প্রধান পছন্দ। Aruba Central ক্লাউড ম্যানেজমেন্ট প্রদান করে এবং ArubaOS হলো এর মূল প্ল্যাটফর্ম। Aruba-তে, WPA2-Enterprise কনফিগারেশন SSID প্রোফাইলের মধ্যে থাকে। আপনি একটি AAA প্রোফাইল নির্ধারণ করবেন যা আপনার RADIUS সার্ভারকে নির্দেশ করে, তারপর সেই AAA প্রোফাইলটি আপনার ভার্চুয়াল AP প্রোফাইলের সাথে সংযুক্ত করবেন। Aruba-এর ClearPass Policy Manager এখানে বিশেষভাবে উল্লেখ করার মতো - এটি Aruba-এর নিজস্ব RADIUS এবং পলিসি ইঞ্জিন, এবং এটি ডিভাইস প্রোফাইলিং, রোল-ভিত্তিক অ্যাক্সেস কন্ট্রোল এবং গেস্ট অনবোর্ডিংয়ের ক্ষেত্রে উল্লেখযোগ্য সক্ষমতা যোগ করে। আপনি যদি এমন একটি মিশ্র পরিবেশ পরিচালনা করেন যেখানে কর্মী, কন্ট্রাক্টর এবং গেস্ট সবাই একই পরিকাঠামোতে সংযুক্ত হচ্ছেন, ClearPass আপনাকে তাদের যথাযথভাবে বিভক্ত করার জন্য পলিসি গ্র্যানুলারিটি প্রদান করে। Purple-এর মতো প্ল্যাটফর্মের মাধ্যমে একটি পৃথক গেস্ট WiFi সমাধান চালানোর পাশাপাশি স্টাফ এবং ব্যাক-অফ-হাউস নেটওয়ার্কে WPA2-Enterprise ডেপ্লয় করা হোটেলের জন্য, স্টাফ অথেন্টিকেশনের জন্য ClearPass-এর সাথে Aruba-এর SSID সেগমেন্টেশনের সংমিশ্রণ একটি অত্যন্ত পরিচ্ছন্ন আর্কিটেকচার।এখন Ubiquiti। Ubiquiti-এর UniFi প্ল্যাটফর্মটি SMB এবং মিড-মার্কেট স্পেসে - এবং ক্রমবর্ধমানভাবে বুটিক হসপিটালিটি এবং রিটেইলে - এর প্রতিযোগিতামূলক মূল্য এবং সত্যিই সক্ষম ম্যানেজমেন্ট ইন্টারফেসের কারণে উল্লেখযোগ্য ট্র্যাকশন অর্জন করেছে। UniFi Network Controller-এ আপনি মূল কাজগুলো করবেন। UniFi-তে WPA2-Enterprise কনফিগার করতে, Settings-এ যান, তারপর WiFi-এ যান, আপনার SSID তৈরি বা এডিট করুন, সিকিউরিটি সেট করুন WPA2 Enterprise-এ এবং আপনার RADIUS প্রোফাইল কনফিগার করুন - আবার, IP অ্যাড্রেস, অথেন্টিকেশন পোর্ট 1812, অ্যাকাউন্টিং পোর্ট 1813 এবং শেয়ার্ড সিক্রেট। Ubiquiti-এর ক্ষেত্রে একটি গুরুত্বপূর্ণ বিবেচনা: কিছু এন্টারপ্রাইজ প্ল্যাটফর্মের মতো এটি বিল্ট-ইন RADIUS সার্ভারের সাথে আসে না। আপনার একটি এক্সটার্নাল RADIUS সার্ভারের প্রয়োজন হবে - তা Windows Server NPS, FreeRADIUS বা কোনো ক্লাউড RADIUS সার্ভিস হতে পারে। এটি কোনো সীমাবদ্ধতা নয়, তবে এটি একটি ডিপেন্ডেন্সি যার জন্য পরিকল্পনা করা প্রয়োজন। ছোট ডেপ্লয়মেন্টের জন্য, UniFi Network Application-এ একটি বেসিক RADIUS সার্ভার অন্তর্ভুক্ত থাকে, তবে প্রোডাকশন এনভায়রনমেন্টের জন্য আমি সবসময় একটি ডেডিকেটেড RADIUS ইনস্ট্যান্সের পরামর্শ দেব। তিনটি প্ল্যাটফর্ম জুড়েই, EAP মেথড সিলেকশন মনোযোগ পাওয়ার যোগ্য। MSCHAPv2 সহ PEAP হলো সবচেয়ে বহুল ব্যবহৃত মেথড কারণ এটি ক্লায়েন্ট-সাইড সার্টিফিকেটের প্রয়োজন ছাড়াই Active Directory ক্রেডেনশিয়ালের সাথে কাজ করে। EAP-TLS আরও সুরক্ষিত - এটি মিউচুয়াল সার্টিফিকেট অথেন্টিকেশন ব্যবহার করে - তবে এর জন্য একটি PKI ইনফ্রাস্ট্রাকচার এবং প্রতিটি ক্লায়েন্ট ডিভাইসে সার্টিফিকেট ডেপ্লয়মেন্টের প্রয়োজন হয়, যা অপারেশনাল ওভারহেড বাড়িয়ে দেয়। বেশিরভাগ এন্টারপ্রাইজ ডেপ্লয়মেন্টের জন্য, ক্লায়েন্ট সাইডে সঠিকভাবে কনফিগার করা RADIUS সার্ভার এবং সার্টিফিকেট ভ্যালিডেশন সহ PEAP-MSCHAPv2 হলো নিরাপত্তা এবং অপারেশনাল ম্যানেজমেন্টের সঠিক ভারসাম্য। [ইমপ্লিমেন্টেশন সুপারিশ এবং ত্রুটিসমূহ - প্রায় ২ মিনিট] এখন আমি আপনাকে WPA2-Enterprise ডেপ্লয়মেন্টে সাধারণত দেখা যায় এমন তিনটি সবচেয়ে সাধারণ ফেইলিওর মোড এবং সেগুলো কীভাবে এড়ানো যায় সে সম্পর্কে বলব। নম্বর এক: RADIUS সার্ভারের সহজলভ্যতা। আপনার RADIUS সার্ভার এখন প্রতিটি ওয়ারলেস অথেন্টিকেশনের জন্য ক্রিটিক্যাল পাথে রয়েছে। এটি বন্ধ হয়ে গেলে কেউ কানেক্ট করতে পারবে না। এর মানে হলো আপনার RADIUS রিডান্ডেন্সি প্রয়োজন - প্রতিটি অ্যাক্সেস পয়েন্টে ন্যূনতম একটি প্রাইমারি এবং সেকেন্ডারি RADIUS সার্ভার কনফিগার করা থাকতে হবে। বেশিরভাগ প্ল্যাটফর্ম এটি নেটিভভাবে সমর্থন করে। Cisco-তে, আপনি ফেইলওভার সহ RADIUS সার্ভার গ্রুপ কনফিগার করতে পারেন। Aruba-তে, AAA প্রোফাইলটি কনফিগারযোগ্য রিট্রাই এবং টাইমআউট ভ্যালু সহ একাধিক RADIUS সার্ভার সমর্থন করে। Ubiquiti-তে, আপনি RADIUS প্রোফাইলে একটি সেকেন্ডারি RADIUS সার্ভার নির্দিষ্ট করতে পারেন। এই ধাপটি এড়িয়ে যাবেন না।নম্বর দুই: সার্টিফিকেট যাচাইকরণ। আমার পর্যালোচনা করা ডেপ্লয়মেন্টের মধ্যে একটি আশ্চর্যজনকভাবে উচ্চ অনুপাতে ক্লায়েন্ট ডিভাইসগুলো যেকোনো RADIUS সার্ভার সার্টিফিকেট গ্রহণ করার জন্য কনফিগার করা থাকে। এটি নিরাপত্তা মডেলকে সম্পূর্ণরূপে দুর্বল করে দেয় — এটি আপনাকে ইভিল টুইন আক্রমণের ঝুঁকিতে ফেলে দেয় যেখানে একটি নকল অ্যাক্সেস পয়েন্ট আপনার নেটওয়ার্কের ছদ্মবেশ ধারণ করে এবং ক্রেডেনশিয়াল হাতিয়ে নেয়। একটি বিশ্বস্ত CA থেকে আপনার RADIUS সার্ভার সার্টিফিকেট কনফিগার করুন, এবং সেই সার্টিফিকেট যাচাই করার জন্য আপনার ক্লায়েন্ট সাপ্লিক্যান্টগুলো কনফিগার করুন। Windows-এ, এটি Group Policy-এর মাধ্যমে করা হয়। iOS এবং Android-এ, এটি MDM প্রোফাইলের মাধ্যমে পরিচালিত হয়। সংবেদনশীল ডেটা পরিচালনা করে এমন যেকোনো পরিবেশের জন্য এটি অ-আলোচনাযোগ্য। নম্বর তিন: VLAN অ্যাসাইনমেন্ট। WPA2-Enterprise ডাইনামিক VLAN অ্যাসাইনমেন্ট সক্ষম করে — RADIUS সার্ভার Access-Accept মেসেজে একটি VLAN অ্যাট্রিবিউট ফেরত পাঠাতে পারে, যা প্রতিটি প্রমাণীকৃত ব্যবহারকারীকে তাদের পরিচয় বা ভূমিকার ভিত্তিতে উপযুক্ত নেটওয়ার্ক সেগমেন্টে রাখে। এটি 802.1X আর্কিটেকচারের অন্যতম শক্তিশালী বৈশিষ্ট্য, এবং এটি প্রায়শই কনফিগার না করেই রেখে দেওয়া হয়। আপনি যদি এমন একটি ভেন্যু পরিচালনা করেন যেখানে কর্মী, ম্যানেজমেন্ট এবং IoT ডিভাইস সবই একই ফিজিক্যাল ইনফ্রাস্ট্রাকচারে রয়েছে, তবে ডাইনামিক VLAN অ্যাসাইনমেন্ট হলো একাধিক SSID পরিচালনা না করেই নেটওয়ার্ক সেগমেন্টেশন প্রয়োগ করার উপায়। Purple ইন্টিগ্রেশনের ক্ষেত্রে: আপনি যদি আপনার কর্মী এবং অপারেশনাল নেটওয়ার্কের জন্য WPA2-Enterprise ডেপ্লয় করেন এবং ভিজিটর কানেক্টিভিটির জন্য Purple-এর গেস্ট WiFi প্ল্যাটফর্ম ব্যবহার করেন, তবে এই দুটি সিস্টেম একসাথে নির্বিঘ্নে কাজ করে। Purple গেস্ট অথেন্টিকেশন, ডেটা ক্যাপচার এবং অ্যানালিটিক্স লেয়ার পরিচালনা করে — যার মধ্যে WiFi অ্যানালিটিক্স এবং ফুটফল ইন্টেলিজেন্স অন্তর্ভুক্ত যা ভেন্যু অপারেটররা অপারেশনাল সিদ্ধান্তের জন্য ব্যবহার করেন — এবং আপনার WPA2-Enterprise ইনফ্রাস্ট্রাকচার করপোরেট নেটওয়ার্ককে সুরক্ষিত রাখে। আসল বিষয়টি হলো অ্যাক্সেস পয়েন্ট স্তরে পরিষ্কার SSID এবং VLAN পৃথকীকরণ, যা তিনটি প্ল্যাটফর্মই সমর্থন করে। [দ্রুত প্রশ্নোত্তর — প্রায় ১ মিনিট] নিয়মিত সামনে আসে এমন কয়েকটি প্রশ্ন সংক্ষেপে দেখে নেওয়া যাক। আমি কি একই অ্যাক্সেস পয়েন্টে WPA2-Enterprise এবং একটি গেস্ট নেটওয়ার্ক চালাতে পারি? হ্যাঁ, অবশ্যই। তিনটি প্ল্যাটফর্মই প্রতি রেডিওতে একাধিক SSID সমর্থন করে, যার প্রতিটিতে স্বাধীন নিরাপত্তা নীতি থাকে। আপনার করপোরেট SSID WPA2-Enterprise চালায়; আপনার গেস্ট SSID উপযুক্ত আইসোলেশন সহ Purple-এর captive portal-এর মাধ্যমে চলতে পারে। WPA2-Enterprise ডেপ্লয় করার জন্য কি আমার বিদ্যমান অ্যাক্সেস পয়েন্টগুলো প্রতিস্থাপন করতে হবে? প্রায় নিশ্চিতভাবেই না। এন্টারপ্রাইজ-গ্রেড অ্যাক্সেস পয়েন্টগুলোতে এক দশকেরও বেশি সময় ধরে WPA2-Enterprise সমর্থিত হচ্ছে। আপনার হার্ডওয়্যার যদি আট বছরের কম পুরানো হয় এবং বর্তমান ফার্মওয়্যার চলে, তবে এটি 802.1X সমর্থন করবে। WPA2-Enterprise এবং WPA3-Enterprise-এর মধ্যে পার্থক্য কী? WPA3-Enterprise-এ Suite B ক্রিপ্টোগ্রাফি ব্যবহার করে 192-বিট সিকিউরিটি মোড যোগ করা হয়েছে, যা সরকারি এবং প্রতিরক্ষা পরিবেশের জন্য প্রাসঙ্গিক। বেশিরভাগ বাণিজ্যিক ডেপ্লয়মেন্টের জন্য, শক্তিশালী EAP মেথড সহ WPA2-Enterprise এখনও মানদণ্ড হিসেবে রয়ে গেছে। নতুন ডেপ্লয়মেন্টের জন্য WPA3 ট্রানজিশনের পরিকল্পনা করা উচিত, তবে বেশিরভাগ সংস্থার জন্য এটি কোনো জরুরি মাইগ্রেশন নয়। cloud RADIUS কি একটি বাস্তবসম্মত বিকল্প? হ্যাঁ, এবং দিন দিন এটি আরও বেশি কার্যকরী হয়ে উঠছে। ক্লাউডে Cisco ISE, একটি সার্ভিস হিসেবে Aruba ClearPass, অথবা JumpCloud এবং Foxpass-এর মতো থার্ড-পার্টি বিকল্পগুলো একটি ম্যানেজড সার্ভিস হিসেবে RADIUS প্রদান করে, যা ইনফ্রাস্ট্রাকচারের অতিরিক্ত ঝামেলা দূর করে। ডিস্ট্রিবিউটেড এস্টেটের ক্ষেত্রে - যেমন ২০০টি আউটলেট বিশিষ্ট একটি রিটেইল চেইন - cloud RADIUS উল্লেখযোগ্যভাবে অপারেশনাল জটিলতা কমাতে পারে। [সংক্ষিপ্তসার এবং পরবর্তী পদক্ষেপ - আনুমানিক ১ মিনিট] পরিশেষে বলা যায়: যেকোনো এন্টারপ্রাইজ ওয়্যারলেস ডেপ্লয়মেন্টের জন্য WPA2-Enterprise হলো একটি আপোষহীন বেসলাইন। Cisco, Aruba, এবং Ubiquiti জুড়ে কনফিগারেশন প্রক্রিয়াটি একই মৌলিক প্যাটার্ন অনুসরণ করে - আপনার RADIUS সার্ভার নির্ধারণ করুন, 802.1X কী ম্যানেজমেন্ট সহ আপনার SSID তৈরি করুন, আপনার EAP পদ্ধতি নির্বাচন করুন, এবং লাইভ করার আগে পরীক্ষা করুন। পার্থক্যগুলো মূলত ম্যানেজমেন্ট ইন্টারফেস এবং প্রতিটি প্ল্যাটফর্মের চারপাশের ইকোসিস্টেম টুলসগুলোর মধ্যে। যে তিনটি বিষয় সঠিকভাবে সম্পন্ন করতে হবে: RADIUS রিডান্ডেন্সি, ক্লায়েন্টদের উপর সার্টিফিকেট ভ্যালিডেশন, এবং ডাইনামিক VLAN অ্যাসাইনমেন্ট। এই তিনটি বিষয় সঠিকভাবে সম্পন্ন করতে পারলে আপনার কাছে একটি শক্তিশালী, কমপ্লায়েন্ট এবং অডিটেবল ওয়্যারলেস সিকিউরিটি ব্যবস্থা থাকবে। আপনার পরবর্তী পদক্ষেপের জন্য: আপনি যদি প্ল্যাটফর্মগুলো মূল্যায়ন করেন, তবে সহযোগী গাইডে থাকা ভেন্ডর তুলনা ফ্রেমওয়ার্কটি ব্যবহার করুন। আপনি যদি ডেপ্লয় করতে প্রস্তুত হন, তবে প্রতিটি প্ল্যাটফর্মের জন্য ধাপে ধাপে কনফিগারেশন নির্দেশিকাগুলো ইমপ্লিমেন্টেশন সেকশনে রয়েছে। আর আপনি যদি আপনার এন্টারপ্রাইজ নেটওয়ার্কের পাশাপাশি গেস্ট WiFi কীভাবে খাপ খাবে তা নিয়ে ভাবছেন, তবে Purple প্ল্যাটফর্ম ডকুমেন্টেশনে ইন্টিগ্রেশন আর্কিটেকচারটি বিস্তারিতভাবে কভার করা হয়েছে। শোনার জন্য ধন্যবাদ। পরবর্তী ব্রিফিংয়ে আপনার সাথে দেখা হবে।

Executive Summary

WPA2-Enterprise মোতায়েন করা এখন আর কোনো ঐচ্ছিক নিরাপত্তা আপগ্রেড নয় - এটি যেকোনো এন্টারপ্রাইজ-গ্রেড ওয়্যারলেস নেটওয়ার্কের জন্য একটি অপরিহার্য বেসলাইন। হসপিটালিটি, রিটেইল এবং পাবলিক সেক্টর পরিবেশে কর্মরত IT ম্যানেজার এবং নেটওয়ার্ক আর্কিটেক্টদের জন্য, প্রি-শেয়ার্ড কি থেকে সরে এসে 802.1X অথেনটিকেশনের দিকে যাওয়ার প্রধান কারণ হলো PCI-DSS এবং GDPR-সহ কঠোর কমপ্লায়েন্স ম্যান্ডেট। এই টেকনিক্যাল রেফারেন্স গাইডটিতে তিনটি শীর্ষস্থানীয় অ্যাক্সেস পয়েন্ট ভেন্ডর: Cisco, Aruba এবং Ubiquiti-এর জন্য সুনির্দিষ্ট, কার্যকর এবং প্ল্যাটফর্ম-নির্দিষ্ট কনফিগারেশন ধাপ প্রদান করা হয়েছে।

WPA2-Enterprise-এ স্থানান্তরের মাধ্যমে, এন্টারপ্রাইজ সংস্থাগুলি শেয়ার্ড ক্রেডেনশিয়ালের সাথে সম্পর্কিত ঝুঁকিগুলি দূর করতে পারে, প্রতিটি সেশনের জন্য সুনির্দিষ্ট অডিট ট্রেইল পেতে পারে এবং ডায়নামিক নেটওয়ার্ক সেগমেন্টেশন সক্ষম করতে পারে। সঠিকভাবে বাস্তবায়িত হলে, এই আর্কিটেকচারটি কেবল কর্পোরেট পেরিমিটারকেই সুরক্ষিত করে না, বরং একটি ব্যাপক Guest WiFi প্ল্যাটফর্মের মাধ্যমে পরিচালিত ভিজিটর নেটওয়ার্কের সাথেও নির্বিঘ্নে সংহত হয়। নিম্নলিখিত বিভাগগুলিতে একটি সফল রোলআউটের জন্য প্রয়োজনীয় প্রযুক্তিগত আর্কিটেকচার, মোতায়েন প্রক্রিয়া এবং ঝুঁকি প্রশমন কৌশলগুলি বিস্তারিতভাবে আলোচনা করা হয়েছে।

header_image.png

Technical Deep-Dive

WPA2-Enterprise পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল প্রদানের জন্য IEEE 802.1X স্ট্যান্ডার্ডের উপর নির্ভর করে। WPA2-Personal-এর মতো নয়, যা একটি স্ট্যাটিক প্রি-শেয়ার্ড কি (PSK) ব্যবহার করে, WPA2-Enterprise-এর জন্য প্রতিটি সাপ্লিক্যান্ট (ক্লায়েন্ট ডিভাইস)-কে নেটওয়ার্কে অ্যাক্সেস পাওয়ার আগে একটি বাহ্যিক অথেনটিকেশন সার্ভার - সাধারণত একটি RADIUS সার্ভার - এর বিরুদ্ধে আলাদাভাবে অথেনটিকেট করতে হয়।

এই আর্কিটেকচারটি তিনটি প্রধান উপাদান নিয়ে গঠিত:

  1. The Supplicant: নেটওয়ার্কের সাথে সংযোগ করার চেষ্টা করা ক্লায়েন্ট ডিভাইস।
  2. The Authenticator: এন্টারপ্রাইজ-গ্রেড অ্যাক্সেস পয়েন্ট বা ওয়্যারলেস LAN কন্ট্রোলার (যেমন, একটি Cisco WLC বা Aruba মবিলিটি কন্ট্রোলার) যা অথেনটিকেশন প্রক্রিয়া সহজতর করে।
  3. The Authentication Server: ব্যাক-এন্ড RADIUS সার্ভার (যেমন, Cisco ISE, Aruba ClearPass বা Windows NPS), যা অ্যাক্টিভ ডিরেক্টরি বা LDAP-এর মতো ডিরেক্টরি সার্ভিসের বিপরীতে ক্রেডেনশিয়াল যাচাই করে।

The EAP Exchange Process

অথেনটিকেশন প্রক্রিয়াটি ল্যানের উপর এক্সটেনসিবল অথেনটিকেশন প্রোটোকল (EAPOL) ব্যবহার করে। প্রাথমিক পর্যায়ে, অথেনটিকেটরটি সম্পূর্ণভাবে একটি স্বচ্ছ প্রক্সি হিসাবে কাজ করে। একবার RADIUS সার্ভার ক্রেডেনশিয়াল যাচাই করার পর, এটি অথেনটিকেটরকে একটি Access-Accept বার্তা পাঠায়, যা পরে ওয়্যারলেস সেশনটি সুরক্ষিত করার জন্য প্রয়োজনীয় এনক্রিপশন কি তৈরি করে।EAP পদ্ধতি নির্বাচন করা অত্যন্ত গুরুত্বপূর্ণ। PEAP-MSCHAPv2 হলো সবচেয়ে বেশি ব্যবহৃত পদ্ধতি কারণ এটি সার্ভার সার্টিফিকেট দ্বারা প্রতিষ্ঠিত একটি TLS টানেলের মধ্যে বিনিময় রক্ষা করার পাশাপাশি ঐতিহ্যবাহী Active Directory পাসওয়ার্ড প্রমাণীকরণ সমর্থন করে। তবে, সর্বোচ্চ সুরক্ষার জন্য EAP-TLS ব্যবহার করার পরামর্শ দেওয়া হচ্ছে। EAP-TLS-এর জন্য পারস্পরিক সার্টিফিকেট প্রমাণীকরণ (সার্ভার এবং ক্লায়েন্ট উভয়কেই বৈধ সার্টিফিকেট উপস্থাপন করতে হবে) প্রয়োজন, যা শংসাপত্র চুরি থেকে রক্ষা করে তবে সার্টিফিকেট বিতরণের জন্য একটি শক্তিশালী Public Key Infrastructure (PKI) বা Mobile Device Management (MDM) সমাধানের প্রয়োজন হয়।

architecture_overview.png

ইমপ্লিমেন্টেশন গাইড

WPA2-Enterprise কনফিগার করার মৌলিক নীতিগুলো সব ভেন্ডরের ক্ষেত্রে একই, তবে ম্যানেজমেন্ট ইন্টারফেস এবং ইকোসিস্টেম অনুযায়ী এর বাস্তবায়ন ভিন্ন হয়।

vendor_comparison_chart.png

Cisco (Catalyst এবং Meraki)

Cisco এনভায়রনমেন্টের পরিধি সাধারণত ক্যাম্পাস ডিপ্লয়মেন্ট থেকে শুরু করে বিস্তৃত এন্টারপ্রাইজ নেটওয়ার্ক পর্যন্ত হয়ে থাকে।

Cisco Catalyst (WLC/DNA Center):

  1. RADIUS সার্ভার সংজ্ঞায়িত করুন: "Security" ট্যাবে যান, "AAA" নির্বাচন করুন এবং প্রাইমারি ও সেকেন্ডারি RADIUS প্রমাণীকরণ এবং অ্যাকাউন্টিং সার্ভার কনফিগার করুন। শেয়ারড সিক্রেটটি যাতে RADIUS সার্ভার কনফিগারেশনের সাথে মেলে তা নিশ্চিত করুন।
  2. একটি WLAN প্রোফাইল তৈরি করুন: "WLANs" ট্যাবের অধীনে একটি নতুন প্রোফাইল তৈরি করুন।
  3. সিকিউরিটি পলিসি কনফিগার করুন: লেয়ার ২ সিকিউরিটি WPA+WPA2 সেট করুন এবং প্রমাণীকরণ কী ব্যবস্থাপনা (AKM) পদ্ধতি হিসাবে 802.1X সক্ষম করুন।
  4. AAA সার্ভারগুলো বাইন্ড করুন: পূর্বে সংজ্ঞায়িত RADIUS সার্ভারগুলোকে WLAN প্রোফাইলের সাথে ম্যাপ করুন। ডাইনামিক VLAN অ্যাসাইনমেন্টের প্রয়োজন হলে "AAA Override" সক্ষম করুন।

Cisco Meraki:

  1. SSID কনফিগারেশন: Meraki ড্যাশবোর্ডে Wireless > SSIDs-এ যান এবং টার্গেট নেটওয়ার্কটি নির্বাচন করুন।
  2. অ্যাক্সেস কন্ট্রোল: অ্যাসোসিয়েশন প্রয়োজনীয়তা "WPA2-Enterprise with my RADIUS server" সেট করুন।
  3. RADIUS সেটিংস: আপনার RADIUS অবকাঠামোর IP ঠিকানা, প্রমাণীকরণ পোর্ট (সাধারণত 1812), অ্যাকাউন্টিং পোর্ট (1813) এবং শেয়ারড সিক্রেট লিখুন। ডিপ্লয়মেন্টের আগে RADIUS কানেক্টিভিটি যাচাই করার জন্য Meraki ড্যাশবোর্ডে একটি বিল্ট-ইন টেস্ট টুল রয়েছে।

Aruba Networks

হসপিটালিটি এবং উচ্চ শিক্ষায় Aruba একটি অগ্রগণ্য প্ল্যাটফর্ম, যা উন্নত অ্যাক্সেস কন্ট্রোলের জন্য এর ClearPass পলিসি ম্যানেজার ব্যাপকভাবে ব্যবহার করে।

  1. একটি AAA প্রোফাইল সংজ্ঞায়িত করুন: Aruba Central বা Mobility Controller UI-তে একটি নতুন AAA প্রোফাইল তৈরি করুন। এই প্রোফাইলটি নির্ধারণ করে যে প্রমাণীকরণ কীভাবে পরিচালনা করা হবে।
  2. একটি RADIUS সার্ভার গ্রুপ কনফিগার করুন: ফেইলওভার নিয়ম এবং টাইমআউট মান নির্দিষ্ট করে একটি সার্ভার গ্রুপে আপনার RADIUS সার্ভারগুলো যোগ করুন। এই গ্রুপটি AAA প্রোফাইলের সাথে সংযুক্ত করুন।৩. Virtual AP কনফিগারেশন: Virtual AP (SSID) প্রোফাইল তৈরি বা সংশোধন করুন। সিকিউরিটি টাইপ WPA2-Enterprise-এ সেট করুন। ৪. প্রোফাইলগুলি বাইন্ড করুন: AAA প্রোফাইলটিকে Virtual AP প্রোফাইলের সাথে বাইন্ড করুন। ClearPass ব্যবহার করলে, ডাইনামিক পলিসি এনফোর্সমেন্ট সক্রিয় করতে RADIUS CoA (Change of Authorization) পোর্ট (3799) যাতে যেকোনো ইন্টারমিডিয়েট ফায়ারওয়ালের মাধ্যমে অ্যাক্সেস করা যায় তা নিশ্চিত করুন।

Ubiquiti (UniFi)

Ubiquiti, UniFi Network Controller-এর মাধ্যমে, রিয়েল এস্টেট এবং রিটেল ও SMB পরিবেশের জন্য একটি ব্যয়-সাশ্রয়ী সমাধান অফার করে।

১. একটি RADIUS প্রোফাইল তৈরি করুন: Settings > Profiles > RADIUS-এ যান। আপনার এক্সটার্নাল RADIUS সার্ভারের IP অ্যাড্রেস, পোর্ট (1812/1813) এবং শেয়ার্ড সিক্রেট ব্যবহার করে একটি নতুন প্রোফাইল তৈরি করুন। ২. SSID কনফিগারেশন: Settings > WiFi-এ যান এবং একটি নতুন ওয়্যারলেস নেটওয়ার্ক তৈরি করুন। ৩. সিকিউরিটি সেটিংস: সিকিউরিটি প্রোটোকল হিসেবে "WPA2 Enterprise" সিলেক্ট করুন এবং নতুন তৈরি করা RADIUS প্রোফাইলটি বাইন্ড করুন। ৪. RADIUS আর্কিটেকচার সংক্রান্ত বিষয়: এন্টারপ্রাইজ-গ্রেড কন্ট্রোলার যা লোকাল সারভাইভেবল RADIUS অফার করতে পারে তার বিপরীতে, UniFi মূলত এক্সটার্নাল সার্ভারের (যেমন, FreeRADIUS বা Windows NPS) উপর নির্ভর করে। UniFi AP এবং RADIUS ব্যাক-এন্ডের মধ্যে নির্ভরযোগ্য কানেক্টিভিটি নিশ্চিত করুন।

সর্বোত্তম অনুশীলনসমূহ

ডেপ্লয়মেন্টটি যাতে স্থিতিস্থাপক এবং সুরক্ষিত থাকে তা নিশ্চিত করতে, নেটওয়ার্ক স্থপতিদের অবশ্যই বেশ কয়েকটি গুরুত্বপূর্ণ সর্বোত্তম অনুশীলন অনুসরণ করতে হবে:

১. সার্টিফিকেট ভ্যালিডেশন বাধ্যতামূলক করুন: ক্লায়েন্ট ডিভাইসগুলিকে একটি বিশ্বস্ত সার্টিফিকেট অথরিটি (CA) এর বিপরীতে RADIUS সার্ভারের সার্টিফিকেট যাচাই করার জন্য স্পষ্টভাবে কনফিগার করতে হবে। এটি করতে ব্যর্থ হলে নেটওয়ার্কটি "Evil Twin" আক্রমণের মুখোমুখি হতে পারে, যার ফলে একটি প্রতারণামূলক অ্যাক্সেস পয়েন্ট ব্যবহারকারীর ক্রেডেনশিয়াল চুরি করতে পারে। ২. RADIUS রিডানডেন্সি প্রয়োগ করুন: নেটওয়ার্ক অ্যাক্সেসের জন্য RADIUS সার্ভারটি অত্যন্ত গুরুত্বপূর্ণ ভূমিকা পালন করে। সবসময় প্রাইমারি এবং সেকেন্ডারি RADIUS সার্ভার কনফিগার করুন। ডিস্ট্রিবিউটেড পরিবেশে, উচ্চ প্রাপ্যতার (high availability) জন্য একটি ক্লাউড-হোস্টেড RADIUS সমাধান বিবেচনা করুন। ৩. ডাইনামিক VLAN অ্যাসাইনমেন্টের সুবিধা নিন: ব্যবহারকারীদের তাদের Active Directory গ্রুপ মেম্বারশিপের উপর ভিত্তি করে নির্দিষ্ট VLAN-এ ডাইনামিকভাবে অ্যাসাইন করতে RADIUS অ্যাট্রিবিউট (যেমন Tunnel-Pvt-Group-ID) ব্যবহার করুন। এটি একাধিক SSID ব্রডকাস্ট না করেই নেটওয়ার্ক সেগমেন্টেশন কার্যকর করে। ৪. RADIUS অ্যাকাউন্টিং সক্রিয় করুন: শুধু অথেন্টিকেশন কনফিগার করবেন না। কমপ্লায়েন্স ফ্রেমওয়ার্কের জন্য প্রয়োজনীয় অডিট ট্রেইল তৈরি করতে RADIUS অ্যাকাউন্টিং (পোর্ট 1813) বাধ্যতামূলক। ৫. নেটওয়ার্কের প্রান্ত সুরক্ষিত করুন: আমাদের রোবস্ট DNS এবং সিকিউরিটি দিয়ে আপনার নেটওয়ার্ক সুরক্ষিত করা গাইডে আপনার ইনফ্রাস্ট্রাকচার সুরক্ষিত করার বিষয়ে আরও পড়ুন।

সমস্যা সমাধান এবং ঝুঁকি হ্রাস

সতর্ক পরিকল্পনার পরেও ডেপ্লয়মেন্টে সমস্যা হতে পারে। সাধারণ ব্যর্থতার কারণগুলির মধ্যে রয়েছে:

  • শেয়ার্ড সিক্রেট অমিল: RADIUS শেয়ার্ড সিক্রেটে একটি সাধারণ টাইপো নিরব অথেন্টিকেশন ব্যর্থতার কারণ হতে পারে। অথেন্টিকেটর এবং RADIUS সার্ভার উভয়ের ক্ষেত্রেই সিক্রেটটি যাচাই করুন।
  • সময় সিনক্রোনাইজেশন ত্রুটি: সার্টিফিকেট ভ্যালিডেশনের জন্য সঠিক টাইমস্ট্যাম্প প্রয়োজন। একটি নির্ভরযোগ্য NTP উৎসের মাধ্যমে সমস্ত AP, কন্ট্রোলার এবং RADIUS সার্ভার সিনক্রোনাইজ করা হয়েছে তা নিশ্চিত করুন।* ফায়ারওয়াল RADIUS ট্রাফিক ব্লক করছে: AP/কন্ট্রোলার এবং RADIUS সার্ভারের মধ্যে UDP পোর্ট ১৮১২ (authentication) এবং ১৮১৩ (accounting) খোলা আছে কিনা তা নিশ্চিত করুন। CoA ব্যবহার করলে, UDP ৩৭৯৯ খোলা আছে কিনা তা নিশ্চিত করুন।
  • ক্লায়েন্ট কনফিগারেশন ত্রুটি: সবচেয়ে সাধারণ সমস্যা হলো ক্লায়েন্ট ডিভাইসগুলো RADIUS সার্ভারের সার্টিফিকেট ইস্যুকারী CA-কে বিশ্বাস করার জন্য কনফিগার করা থাকে না। কর্পোরেট ডিভাইসগুলোতে সঠিক ওয়্যারলেস প্রোফাইল পুশ করতে MDM বা Group Policy ব্যবহার করুন।

অথেনটিকেশন প্রোটোকল সম্পর্কে আরও বিস্তারিত জানতে, How to Configure 802.1X WiFi Authentication: A Step-by-Step Guide দেখুন।

ROI এবং ব্যবসায়িক প্রভাব

দৃশ্যমান নিরাপত্তা উন্নতির পাশাপাশি, WPA2-Enterprise-এ স্থানান্তরিত হওয়া উল্লেখযোগ্য ব্যবসায়িক মূল্য প্রদান করে।

  • ঝুঁকি হ্রাস: শেয়ারড পাসওয়ার্ড দূর করা নাটকীয়ভাবে আক্রমণের ঝুঁকি এবং ডেটা লঙ্ঘনের সম্ভাবনা কমিয়ে দেয়, যা মারাত্মক আর্থিক এবং সুনামহানির কারণ হতে পারে।
  • অপারেশনাল দক্ষতা: আপনার বিদ্যমান আইডেন্টিটি প্রোভাইডারের (যেমন Active Directory) সাথে WiFi অথেনটিকেশন একীভূত করলে কর্মচারীদের স্বয়ংক্রিয় অনবোর্ডিং এবং অফবোর্ডিং করা সম্ভব হয়। যখন একজন কর্মচারী চলে যান, তখন তাদের AD অ্যাকাউন্ট নিষ্ক্রিয় করার সাথে সাথে তাদের WiFi অ্যাক্সেস বাতিল হয়ে যায়।
  • কমপ্লায়েন্স সামঞ্জস্যতা: বিস্তারিত অডিট ট্রেইল এবং ব্যবহারকারী প্রতি অথেনটিকেশন PCI-DSS এবং ISO 27001 কমপ্লায়েন্সের জন্য পূর্বশর্ত।
  • একীভূত অবকাঠামো: ডাইনামিক VLAN অ্যাসাইনমেন্ট ব্যবহার করে, ভেন্যুগুলো গেস্ট অ্যাক্সেসের জন্য ব্যবহৃত একই ফিজিক্যাল হার্ডওয়্যারে কর্পোরেট, ব্যাক-অফ-হাউস এবং IoT ট্রাফিক নিরাপদে চালাতে পারে। এরপর একটি ডেডিকেটেড WiFi Analytics সমাধান ব্যবহার করে গেস্ট নেটওয়ার্ক থেকে অর্থ উপার্জন এবং বিশ্লেষণ করা যেতে পারে, যা হার্ডওয়্যার বিনিয়োগের সর্বোচ্চ রিটার্ন নিশ্চিত করে। What Is a Leased Line? Dedicated Business Internet সম্পর্কে জেনে আপনার পর্যাপ্ত ব্যান্ডউইথ রয়েছে কিনা তা নিশ্চিত করুন।

মূল সংজ্ঞাসমূহ

WPA2-Enterprise

ওয়্যারলেস নেটওয়ার্কের জন্য একটি সিকিউরিটি প্রোটোকল যা একটি একক শেয়ার্ড পাসওয়ার্ডের পরিবর্তে একটি এক্সটার্নাল সার্ভারের মাধ্যমে প্রতি-ব্যবহারকারী অথেন্টিকেশন প্রদান করতে 802.1X ব্যবহার করে।

এন্টারপ্রাইজ এনভায়রনমেন্টে কর্পোরেট এবং অপারেশনাল WiFi নেটওয়ার্কগুলি সুরক্ষিত করার জন্য বাধ্যতামূলক স্ট্যান্ডার্ড।

802.1X

পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস কন্ট্রোলের জন্য একটি IEEE স্ট্যান্ডার্ড যা LAN বা WLAN-এর সাথে সংযুক্ত হতে ইচ্ছুক ডিভাইসগুলিকে একটি অথেন্টিকেশন মেকানিজম প্রদান করে।

মূল ফ্রেমওয়ার্ক যা WPA2-Enterprise-কে কার্যকর করে তোলে।

RADIUS

Remote Authentication Dial-In User Service; একটি নেটওয়ার্কিং প্রোটোকল যা সেন্ট্রালাইজড Authentication, Authorisation, এবং Accounting (AAA) ম্যানেজমেন্ট প্রদান করে।

সার্ভার উপাদান যা Active Directory-র মতো ডাটাবেসের বিপরীতে ব্যবহারকারীর ক্রেডেনশিয়াল যাচাই করে।

Supplicant

একটি ডিভাইসের (ল্যাপটপ, স্মার্টফোন) সফটওয়্যার ক্লায়েন্ট যা নেটওয়ার্ক অ্যাক্সেসের অনুরোধ করতে অথেন্টিকেটরের সাথে যোগাযোগ করে।

এন্ডপয়েন্ট যা সঠিক EAP সেটিংস এবং সার্টিফিকেট ট্রাস্টের সাথে কনফিগার করা আবশ্যক।

Authenticator

নেটওয়ার্ক ডিভাইস (Access Point বা সুইচ) যা সাপ্লিক্যান্ট এবং অথেন্টিকেশন সার্ভারের মধ্যে বার্তা আদান-প্রদান করে অথেন্টিকেশন প্রক্রিয়া সহজতর করে।

IT টিম দ্বারা পরিচালিত Cisco, Aruba, বা Ubiquiti হার্ডওয়্যার।

EAP (Extensible Authentication Protocol)

ওয়্যারলেস নেটওয়ার্ক এবং পয়েন্ট-টু-পয়েন্ট কানেকশনে প্রায়শই ব্যবহৃত একটি অথেন্টিকেশন ফ্রেমওয়ার্ক, যা একাধিক অথেন্টিকেশন পদ্ধতি সমর্থন করে।

ক্রেডেনশিয়াল আদান-প্রদান এনক্যাপসুলেট করতে ব্যবহৃত প্রোটোকল।

PEAP-MSCHAPv2

একটি EAP পদ্ধতি যা সার্ভারের সার্টিফিকেট দ্বারা প্রতিষ্ঠিত একটি সুরক্ষিত TLS টানেলের মধ্যে MSCHAPv2 পাসওয়ার্ড বিনিময়কে এনক্যাপসুলেট করে।

সবচেয়ে সাধারণ স্থাপনা পদ্ধতি কারণ এটি স্ট্যান্ডার্ড AD পাসওয়ার্ড ব্যবহারের সুবিধার সাথে সুরক্ষার ভারসাম্য বজায় রাখে।

Dynamic VLAN Assignment

এমন একটি প্রক্রিয়া যেখানে একটি RADIUS সার্ভার অ্যাক্সেস পয়েন্টকে নির্দেশ দেয় যে কোনো অথেনটিকেটেড ব্যবহারকারীকে তাদের আইডি বা গ্রুপ মেম্বারশিপের উপর ভিত্তি করে একটি নির্দিষ্ট VLAN-এ রাখার জন্য।

নেটওয়ার্ক সেগমেন্টেশনের জন্য অত্যন্ত গুরুত্বপূর্ণ, যা বিভিন্ন ব্যবহারকারীকে একই ফিজিক্যাল AP-গুলি নিরাপদে শেয়ার করার অনুমতি দেয়।

সমাধানকৃত উদাহরণসমূহ

একটি ২০০ রুমের হোটেলের ব্যাক-অফ-হাউস স্টাফদের (হাউসকিপিং, ম্যানেজমেন্ট) জন্য বিদ্যমান Aruba অ্যাক্সেস পয়েন্ট ব্যবহার করে সুরক্ষিত WiFi স্থাপন করা প্রয়োজন, যেখানে স্টাফদের ট্রাফিক গেস্ট নেটওয়ার্ক থেকে কঠোরভাবে আলাদা রাখতে হবে।

IT টিম WPA2-Enterprise ব্যবহার করে একটি একক 'Hotel_Staff' SSID কনফিগার করে। তারা হোটেলের Active Directory-র সাথে Aruba ClearPass ইন্টিগ্রেট করে। ClearPass-এ, তারা এনফোর্সমেন্ট পলিসি কনফিগার করে: যদি কোনো ব্যবহারকারী 'Management' AD গ্রুপে থাকে, তবে ClearPass একটি RADIUS অ্যাট্রিবিউট ফেরত দেয় যা তাদের VLAN 10 (ম্যানেজমেন্ট নেটওয়ার্ক)-এ অ্যাসাইন করে। যদি ব্যবহারকারী 'Housekeeping' গ্রুপে থাকে, তবে তাদের VLAN 20 (অপারেশনস নেটওয়ার্ক)-এ অ্যাসাইন করা হয়। AP-গুলি এই ডায়নামিক VLAN অ্যাসাইনমেন্টগুলি প্রয়োগ করার জন্য কনফিগার করা হয়েছে।

পরীক্ষকের মন্তব্য: এই পদ্ধতিটি ডায়নামিক VLAN অ্যাসাইনমেন্টের ক্ষমতা প্রদর্শন করে। এটি কঠোর নেটওয়ার্ক সেগমেন্টেশন নিশ্চিত করার এবং বিদ্যমান ডিরেক্টরি আইডেন্টিটি ব্যবহার করার পাশাপাশি একাধিক SSID ('Hotel_Management', 'Hotel_Housekeeping') ব্রডকাস্ট করার RF ইন্টারফেরেন্স এবং ম্যানেজমেন্ট ওভারহেড এড়ায়।

৫০টি লোকেশন সহ একটি জাতীয় রিটেল চেইনে Cisco Meraki ব্যবহৃত হয়। তাদের পুরনো WPA2-Personal সেট-আপ পরিবর্তন করে PCI DSS কমপ্লায়েন্স পূরণ করার জন্য WiFi-এর মাধ্যমে তাদের পয়েন্ট-অফ-সেল (POS) টার্মিনালগুলি সুরক্ষিত করতে হবে।

নেটওয়ার্ক আর্কিটেক্ট প্রতিটি দোকানে লোকাল সার্ভার স্থাপন এড়াতে একটি ক্লাউড-হোস্টেড RADIUS সার্ভিস মোতায়েন করেন। Meraki ড্যাশবোর্ডে, তারা WPA2-Enterprise-এর জন্য 'Retail_POS' SSID কনফিগার করেন এবং এটিকে ক্লাউড RADIUS IP-র দিকে নির্দেশ করেন। তারা তাদের MDM প্ল্যাটফর্মের মাধ্যমে প্রতিটি POS টার্মিনালের জন্য অনন্য ক্লায়েন্ট সার্টিফিকেট জেনারেট করেন এবং RADIUS সার্ভারটিকে EAP-TLS আবশ্যিক করার জন্য কনফিগার করেন। Meraki AP-গুলি ক্লাউড সার্ভিসে RADIUS Authentication এবং Accounting উভয় ডেটা পাঠানোর জন্য কনফিগার করা হয়েছে।

পরীক্ষকের মন্তব্য: এই দৃশ্যপটটি উচ্চ-নিরাপত্তা এনভায়রনমেন্টের জন্য EAP-TLS-এ স্থানান্তরের বিষয়টি তুলে ধরে। পাসওয়ার্ডের পরিবর্তে সার্টিফিকেট ব্যবহার করে, POS টার্মিনালগুলি নীরবে এবং সুরক্ষিতভাবে অথেন্টিকেট করে। RADIUS Accounting অন্তর্ভুক্ত করার ফলে চেইনটি অ্যাক্সেস অডিটিংয়ের জন্য PCI DSS প্রয়োজনীয়তাগুলি পূরণ করতে পারে।

অনুশীলনী প্রশ্নসমূহ

Q1. আপনার প্রতিষ্ঠান Ubiquiti UniFi অ্যাক্সেস পয়েন্ট ব্যবহার করে WPA2-Enterprise ডেপ্লয় করছে। টেস্টিংয়ের সময় ক্লায়েন্টরা সফলভাবে সংযোগ করতে পারছে, কিন্তু কমপ্লায়েন্স টিম লক্ষ্য করেছে যে সেন্ট্রাল লগিং সিস্টেমে ব্যবহারকারীর সেশন ডিউরেশন বা ডেটা ব্যবহারের কোনো লগ নেই। সবচেয়ে সম্ভাব্য কনফিগারেশন ত্রুটি কোনটি?

ইঙ্গিত: অথেনটিকেশন অ্যাক্সেস মঞ্জুর করে, কিন্তু অন্য একটি প্রক্রিয়া ব্যবহার ট্র্যাক করে।

মডেল উত্তর দেখুন

RADIUS Accounting পোর্ট (1813) কনফিগার করা হয়নি বা ফায়ারওয়াল দ্বারা ব্লক করা হচ্ছে। যখন অথেনটিকেশন (পোর্ট 1812) কাজ করছে, সেশন অডিট ট্রেইল তৈরি করতে Accounting স্পষ্টভাবে সক্রিয় করতে হবে।

Q2. একজন ব্যবহারকারী রিপোর্ট করেছেন যে তিনি কর্পোরেট WPA2-Enterprise নেটওয়ার্কে সংযোগ করতে পারছেন না। আপনি Cisco WLC লগ চেক করে দেখলেন যে AP-টি EAP-রিকোয়েস্ট পাস করছে, কিন্তু RADIUS সার্ভার লগ 'Unknown CA'-এর কারণে একটি 'Access-Reject' দেখায়। কী সমাধান করা প্রয়োজন?

ইঙ্গিত: TLS টানেল সেটআপের সময় প্রতিষ্ঠিত ট্রাস্ট রিলেশনশিপ সম্পর্কে চিন্তা করুন।

মডেল উত্তর দেখুন

ক্লায়েন্ট ডিভাইসের সাপ্লিক্যান্টটি এমনভাবে কনফিগার করা নেই যাতে সেটি RADIUS সার্ভারের সার্টিফিকেট ইস্যুকারী সার্টিফিকেট অথরিটি (CA)-কে বিশ্বাস (trust) করে। একটি সম্ভাব্য Evil Twin অ্যাটাক প্রতিরোধ করতে ক্লায়েন্ট সংযোগটি বন্ধ করে দিচ্ছে। CA সার্টিফিকেটটি ক্লায়েন্ট ডিভাইসে পুশ করতে হবে।

Q3. আপনি একটি স্টেডিয়ামের জন্য একটি নেটওয়ার্ক ডিজাইন করছেন। আপনাকে কর্পোরেট স্টাফ, টিকিটিং টার্মিনাল এবং গেস্ট WiFi সাপোর্ট করতে হবে। নিরাপত্তা বজায় রেখে RF ইন্টারফারেন্স কমানোর জন্য আপনি কীভাবে SSID-গুলি আর্কিটেক্ট করবেন?

ইঙ্গিত: প্রতিটি আলাদা ব্যবহারের ক্ষেত্রের জন্য একটি SSID ব্রডকাস্ট করা এড়িয়ে চলুন।

মডেল উত্তর দেখুন

সর্বোচ্চ দুটি SSID ডেপ্লয় করুন। একটি Captive Portal (যেমন Purple) ব্যবহারকারী গেস্টদের জন্য একটি SSID। WPA2-Enterprise ব্যবহারকারী সমস্ত কর্পোরেট অপারেশনের জন্য একটি দ্বিতীয় SSID। কর্পোরেট স্টাফদের একটি VLAN-এ এবং টিকিটিং টার্মিনালকে অন্য একটি VLAN-এ তাদের অথেনটিকেশন ক্রেডেনশিয়ালের ভিত্তিতে সেগমেন্ট করতে RADIUS সার্ভারের মাধ্যমে Dynamic VLAN Assignment ব্যবহার করুন।

এই সিরিজে পড়া চালিয়ে যান

Guest এবং Staff WiFi নেটওয়ার্কের জন্য RADIUS Authentication কনফিগার করা

এই টেকনিক্যাল রেফারেন্স গাইডটি এন্টারপ্রাইজ guest এবং staff WiFi নেটওয়ার্কের জন্য RADIUS authentication-এর আর্কিটেকচার, কনফিগারেশন এবং ডিপ্লয়মেন্টের রূপরেখা প্রদান করে। এটি নেটওয়ার্ক আর্কিটেক্ট এবং IT ম্যানেজারদের সুরক্ষিত, স্কেলযোগ্য ওয়্যারলেস অ্যাক্সেস কন্ট্রোল সিস্টেম তৈরি করার জন্য প্রয়োজনীয় সঠিক প্রোটোকল, সিকিউরিটি স্ট্যান্ডার্ড এবং ট্রাবলশুটিং মেথডোলজি প্রদান করে।

গাইডটি পড়ুন →

Passpoint এবং OpenRoaming: সম্পূর্ণ নির্দেশিকা

এই প্রযুক্তিগত রেফারেন্স নির্দেশিকাটি এন্টারপ্রাইজ WiFi নেটওয়ার্কের মধ্যে Passpoint (Hotspot 2.0) এবং WBA OpenRoaming ফ্রেমওয়ার্কের একটি বিস্তৃত বিশ্লেষণ প্রদান করে। এটি একটি নিরাপদ, ঝামেলামুক্ত অতিথি সংযোগ স্থাপন করার জন্য প্রয়োজনীয় অন্তর্নিহিত প্রমাণীকরণ প্রোটোকল, আর্কিটেকচারাল উপাদান এবং স্থাপনার কৌশলগুলি বিস্তারিতভাবে বর্ণনা করে। নেটওয়ার্ক স্থপতি এবং IT লিডাররা এন্টারপ্রাইজ-গ্রেড নিরাপত্তা বজায় রেখে ম্যানুয়াল লগইন বাধাগুলি দূর করতে কীভাবে এই মানগুলি ডিজাইন, বাস্তবায়ন এবং সমস্যা সমাধান করবেন তা শিখবেন।

গাইডটি পড়ুন →

উচ্চশিক্ষায় সুরক্ষিত BYOD এবং নেটওয়ার্ক এনরোলমেন্টের জন্য কীভাবে SCEP বাস্তবায়ন করবেন

এই প্রযুক্তিগত নির্দেশিকাটি নেটওয়ার্ক আর্কিটেক্ট এবং IT ম্যানেজারদের উচ্চশিক্ষার ক্যাম্পাস নেটওয়ার্ক সুরক্ষিত করতে SCEP ভিত্তিক সার্টিফিকেট এনরোলমেন্ট স্থাপনের জন্য একটি ভেন্ডর - নিরপেক্ষ ব্লুপ্রিন্ট প্রদান করে। এটি কীভাবে পাসওয়ার্ড ভিত্তিক PEAP থেকে 802.1X EAP-TLS-এ স্থানান্তরিত হতে হবে, BYOD অনবোর্ডিং স্বয়ংক্রিয় করতে হবে এবং শক্তিশালী VLAN সেগমেন্টেশন কার্যকর করতে হবে তা বিস্তারিতভাবে বর্ণনা করে।

গাইডটি পড়ুন →