মূল কন্টেন্টে যান
বাংলা

সাধারণ অ্যাক্সেস পয়েন্ট প্ল্যাটফর্মে (Cisco, Aruba, Ubiquiti) কীভাবে WPA2-Enterprise কনফিগার করবেন

এই টেকনিক্যাল রেফারেন্স গাইডটি সিনিয়র আইটি প্রফেশনাল এবং নেটওয়ার্ক আর্কিটেক্টদের জন্য Cisco, Aruba এবং Ubiquiti প্ল্যাটফর্মে WPA2-Enterprise ডিপ্লয় করার একটি সুনির্দিষ্ট, ভেন্ডর-স্পেসিফিক ওয়াকথ্রু প্রদান করে। এটি এন্টারপ্রাইজ এবং ভেন্যু এনভায়রনমেন্ট জুড়ে আর্কিটেকচার, RADIUS ইন্টিগ্রেশন, কমপ্লায়েন্স রিকোয়ারমেন্ট এবং রিয়েল-ওয়ার্ল্ড ডিপ্লয়মেন্ট সিনারিওগুলো বিস্তারিতভাবে তুলে ধরে।

📖 6 মিনিট পাঠ📝 1,309 শব্দ🔧 2 সমাধানকৃত উদাহরণ3 অনুশীলনী প্রশ্ন📚 8 মূল সংজ্ঞা

এই গাইডটি শুনুন

পডকাস্ট ট্রান্সক্রিপ্ট দেখুন
সাধারণ অ্যাক্সেস পয়েন্ট প্ল্যাটফর্মে (Cisco, Aruba এবং Ubiquiti) কীভাবে WPA2-Enterprise কনফিগার করবেন একটি Purple WiFi ইন্টেলিজেন্স ব্রিফিং [ইন্ট্রো — আনুমানিক ১ মিনিট] Purple WiFi ইন্টেলিজেন্স সিরিজে আপনাকে স্বাগতম। আমি আপনাদের হোস্ট, এবং আজ আমরা আমাদের এন্টারপ্রাইজ ক্লায়েন্টদের কাছ থেকে সবচেয়ে বেশি অনুরোধ করা একটি টপিক নিয়ে সরাসরি আলোচনা করব: সবচেয়ে বেশি ব্যবহৃত তিনটি অ্যাক্সেস পয়েন্ট প্ল্যাটফর্ম — Cisco, Aruba এবং Ubiquiti-তে কীভাবে WPA2-Enterprise কনফিগার করতে হয়। আপনি যদি একটি ৫০০-রুমের হোটেল গ্রুপের আইটি ডিরেক্টর, কোনো জাতীয় রিটেইল চেইনের নেটওয়ার্ক আর্কিটেক্ট, অথবা কোনো কনফারেন্স সেন্টার অপারেটরের CTO হয়ে থাকেন, তবে এই ব্রিফিংটি আপনার জন্য। আমরা শুধু থিওরি নিয়ে আলোচনা করব না। একটি ডিপ্লয়মেন্টের সিদ্ধান্ত নিতে, এটি সঠিকভাবে কার্যকর করতে এবং এমনকি অভিজ্ঞ টিমগুলোও যে ভুলগুলো করে তা এড়াতে আপনার কী জানা প্রয়োজন, আমরা তা নিয়ে আলোচনা করব। চলুন শুরু করা যাক। [টেকনিক্যাল ডিপ-ডাইভ — আনুমানিক ৫ মিনিট] প্রথমে, WPA2-Enterprise আসলে কী তা নিয়ে সংক্ষেপে আলোচনা করা যাক, কারণ মার্কেটে এখনও WPA2-Personal এবং WPA2-Enterprise-এর মধ্যে আশ্চর্যজনকভাবে অনেক বিভ্রান্তি রয়েছে — এবং কমপ্লায়েন্স ও রিস্ক পোস্চারের জন্য এই পার্থক্যটি অত্যন্ত গুরুত্বপূর্ণ। WPA2-Personal — যে ভার্সনটির সাথে বেশিরভাগ মানুষ পরিচিত — একটি সিঙ্গেল প্রি-শেয়ারড কি ব্যবহার করে। নেটওয়ার্কের সবাই একই পাসওয়ার্ড ব্যবহার করে। এটি হোম নেটওয়ার্কের জন্য ঠিক আছে। কিন্তু একটি বিজনেস এনভায়রনমেন্টের জন্য এটি একেবারেই গ্রহণযোগ্য নয়, যেখানে আপনার পার-ইউজার অথেন্টিকেশন, অডিট ট্রেইল এবং তাৎক্ষণিকভাবে অ্যাক্সেস বাতিল করার ক্ষমতা প্রয়োজন। IEEE 802.1X-এর অধীনে সংজ্ঞায়িত WPA2-Enterprise, সেই শেয়ারড কি-কে একটি ইন্ডিভিজুয়াল অথেন্টিকেশন এক্সচেঞ্জ দিয়ে প্রতিস্থাপন করে। প্রতিটি ইউজার বা ডিভাইস তার নিজস্ব ক্রেডেনশিয়াল উপস্থাপন করে — তা ইউজারনেম এবং পাসওয়ার্ড, ডিজিটাল সার্টিফিকেট বা টোকেন যাই হোক না কেন — এবং নেটওয়ার্ক অ্যাক্সেস দেওয়ার আগে সেই ক্রেডেনশিয়ালগুলো একটি RADIUS সার্ভার দ্বারা ভ্যালিডেট করা হয়। অ্যাক্সেস পয়েন্ট নিজে কখনোই ক্রেডেনশিয়ালগুলো দেখতে পায় না। এটি সম্পূর্ণভাবে একটি অথেন্টিকেটর হিসেবে কাজ করে, যা ক্লায়েন্ট এবং RADIUS সার্ভারের মধ্যে EAP — Extensible Authentication Protocol — এক্সচেঞ্জ পাস করে। এটি মৌলিকভাবে আরও সুরক্ষিত একটি আর্কিটেকচার, এবং পেমেন্ট কার্ড ডেটা হ্যান্ডেল করে এমন যেকোনো এনভায়রনমেন্টে PCI DSS কমপ্লায়েন্সের জন্য এটি বেসলাইন রিকোয়ারমেন্ট, পাশাপাশি ওয়্যারলেস নেটওয়ার্কের মাধ্যমে পার্সোনাল ডেটা প্রসেস করা প্রতিষ্ঠানগুলোর জন্য GDPR-এর অধীনে এটি জোরালোভাবে সুপারিশ করা হয়। এখন, চলুন তিনটি প্ল্যাটফর্ম নিয়ে কথা বলি। Cisco দিয়ে শুরু করা যাক। Cisco-এর এন্টারপ্রাইজ WiFi পোর্টফোলিও — মূলত Catalyst এবং Meraki লাইন — লার্জ-স্কেল ডিপ্লয়মেন্টের জন্য প্রধান পছন্দ। Cisco DNA Center সেন্ট্রালাইজড পলিসি ম্যানেজমেন্ট প্রদান করে, এবং Meraki ড্যাশবোর্ড ডিস্ট্রিবিউটেড এস্টেটগুলোর জন্য ক্লাউড-ম্যানেজড সিম্পলিসিটি অফার করে। একটি Cisco Catalyst অ্যাক্সেস পয়েন্টে WPA2-Enterprise কনফিগার করতে, আপনাকে WLC — Wireless LAN Controller — বা DNA Center-এর মাধ্যমে কাজ করতে হবে। মূল ধাপগুলো হলো: Security, তারপর AAA, তারপর RADIUS Authentication Servers-এর অধীনে আপনার RADIUS সার্ভার ডিফাইন করুন; একটি নতুন WLAN প্রোফাইল তৈরি করুন; কি ম্যানেজমেন্ট মেথড হিসেবে 802.1X-এর সাথে সিকিউরিটি পলিসি WPA2-তে সেট করুন; এবং RADIUS সার্ভারটিকে সেই WLAN-এর সাথে বাইন্ড করুন। Cisco-এর ক্ষেত্রে একটি গুরুত্বপূর্ণ বিষয়: নিশ্চিত করুন যে আপনি অথেন্টিকেশনের পাশাপাশি RADIUS অ্যাকাউন্টিংও কনফিগার করছেন। অ্যাকাউন্টিং আপনাকে পার-সেশন অডিট ট্রেইল দেয় যা কমপ্লায়েন্স ফ্রেমওয়ার্কের জন্য প্রয়োজন। Meraki-তে, প্রক্রিয়াটি আরও সহজ — Wireless, তারপর SSIDs-এ নেভিগেট করুন, আপনার টার্গেট SSID নির্বাচন করুন, সিকিউরিটি 'WPA2-Enterprise with my RADIUS server'-এ সেট করুন এবং আপনার RADIUS সার্ভার IP, পোর্ট — সাধারণত অথেন্টিকেশনের জন্য 1812 এবং অ্যাকাউন্টিংয়ের জন্য 1813 — এবং শেয়ারড সিক্রেট এন্টার করুন। Meraki ড্যাশবোর্ড থেকে সরাসরি RADIUS টেস্টিংও সাপোর্ট করে, যা কমিশনিংয়ের সময় অত্যন্ত মূল্যবান। এবার Aruba-তে আসা যাক। Aruba Networks, যা এখন HPE-এর অংশ, হসপিটালিটি এবং উচ্চশিক্ষার ক্ষেত্রে প্রধান পছন্দ। Aruba Central ক্লাউড ম্যানেজমেন্ট প্রদান করে, এবং ArubaOS হলো এর অন্তর্নিহিত প্ল্যাটফর্ম। Aruba-তে, WPA2-Enterprise কনফিগারেশন SSID প্রোফাইলের মধ্যে থাকে। আপনি একটি AAA প্রোফাইল ডিফাইন করবেন যা আপনার RADIUS সার্ভারকে রেফারেন্স করে, তারপর সেই AAA প্রোফাইলটিকে আপনার ভার্চুয়াল AP প্রোফাইলের সাথে অ্যাটাচ করবেন। Aruba-এর ClearPass Policy Manager এখানে বিশেষভাবে উল্লেখ করার মতো — এটি Aruba-এর নিজস্ব RADIUS এবং পলিসি ইঞ্জিন, এবং এটি ডিভাইস প্রোফাইলিং, রোল-বেসড অ্যাক্সেস কন্ট্রোল এবং গেস্ট অনবোর্ডিংয়ের ক্ষেত্রে উল্লেখযোগ্য সক্ষমতা যোগ করে। আপনি যদি স্টাফ, কন্ট্রাক্টর এবং গেস্টদের একই ইনফ্রাস্ট্রাকচারে কানেক্ট করার মতো একটি মিক্সড এনভায়রনমেন্ট চালান, তবে ClearPass আপনাকে তাদের যথাযথভাবে সেগমেন্ট করার জন্য পলিসি গ্র্যানুলারিটি দেয়। স্টাফ এবং ব্যাক-অফ-হাউস নেটওয়ার্কে WPA2-Enterprise ডিপ্লয় করা এবং Purple-এর মতো প্ল্যাটফর্মের মাধ্যমে একটি আলাদা গেস্ট WiFi সলিউশন চালানো কোনো হোটেলের জন্য, স্টাফ অথেন্টিকেশনের জন্য ClearPass-এর সাথে Aruba-এর SSID সেগমেন্টেশনের সমন্বয় একটি অত্যন্ত পরিচ্ছন্ন আর্কিটেকচার। এখন Ubiquiti। Ubiquiti-এর UniFi প্ল্যাটফর্ম SMB এবং মিড-মার্কেট স্পেসে — এবং ক্রমবর্ধমানভাবে বুটিক হসপিটালিটি ও রিটেইলে — এর প্রতিযোগিতামূলক প্রাইস পয়েন্ট এবং সত্যিই সক্ষম ম্যানেজমেন্ট ইন্টারফেসের কারণে উল্লেখযোগ্য জনপ্রিয়তা অর্জন করেছে। UniFi Network Controller-এই আপনাকে মূল কাজগুলো করতে হবে। UniFi-তে WPA2-Enterprise কনফিগার করতে, Settings, তারপর WiFi-এ নেভিগেট করুন, আপনার SSID তৈরি বা এডিট করুন, সিকিউরিটি WPA2 Enterprise-এ সেট করুন এবং আপনার RADIUS প্রোফাইল কনফিগার করুন — আবারও, IP অ্যাড্রেস, অথেন্টিকেশন পোর্ট 1812, অ্যাকাউন্টিং পোর্ট 1813 এবং শেয়ারড সিক্রেট। Ubiquiti-এর ক্ষেত্রে একটি গুরুত্বপূর্ণ বিবেচ্য বিষয়: কিছু এন্টারপ্রাইজ প্ল্যাটফর্মের মতো এটি বিল্ট-ইন RADIUS সার্ভারের সাথে আসে না। আপনার একটি এক্সটার্নাল RADIUS সার্ভার প্রয়োজন হবে — তা Windows Server NPS, FreeRADIUS বা কোনো ক্লাউড RADIUS সার্ভিস যাই হোক না কেন। এটি মূলত কোনো সীমাবদ্ধতা নয়, তবে এটি এমন একটি ডিপেন্ডেন্সি যার জন্য পরিকল্পনা করা প্রয়োজন। ছোট ডিপ্লয়মেন্টের জন্য, UniFi Network Application-এ একটি বেসিক RADIUS সার্ভার অন্তর্ভুক্ত থাকে, তবে প্রোডাকশন এনভায়রনমেন্টের জন্য আমি সবসময় একটি ডেডিকেটেড RADIUS ইনস্ট্যান্স সুপারিশ করব। তিনটি প্ল্যাটফর্ম জুড়েই, EAP মেথড নির্বাচন করার বিষয়টি মনোযোগের দাবি রাখে। MSCHAPv2-এর সাথে PEAP হলো সবচেয়ে বেশি ব্যবহৃত মেথড কারণ এটি ক্লায়েন্ট-সাইড সার্টিফিকেটের প্রয়োজন ছাড়াই Active Directory ক্রেডেনশিয়ালের সাথে কাজ করে। EAP-TLS আরও সুরক্ষিত — এটি মিউচুয়াল সার্টিফিকেট অথেন্টিকেশন ব্যবহার করে — তবে এর জন্য একটি PKI ইনফ্রাস্ট্রাকচার এবং প্রতিটি ক্লায়েন্ট ডিভাইসে সার্টিফিকেট ডিপ্লয়মেন্ট প্রয়োজন, যা অপারেশনাল ওভারহেড বাড়ায়। বেশিরভাগ এন্টারপ্রাইজ ডিপ্লয়মেন্টের জন্য, একটি সঠিকভাবে কনফিগার করা RADIUS সার্ভার এবং ক্লায়েন্ট সাইডে সার্টিফিকেট ভ্যালিডেশনের সাথে PEAP-MSCHAPv2 হলো সিকিউরিটি এবং অপারেশনাল ম্যানেজেবিলিটির সঠিক ভারসাম্য। [ইমপ্লিমেন্টেশন রেকমেন্ডেশন এবং পিটফল — আনুমানিক ২ মিনিট] এখন আমি আপনাদের WPA2-Enterprise ডিপ্লয়মেন্টে দেখা সবচেয়ে সাধারণ তিনটি ফেইলিওর মোড এবং সেগুলো কীভাবে এড়ানো যায় তা জানাব। এক নম্বর: RADIUS সার্ভার অ্যাভেইলেবিলিটি। আপনার RADIUS সার্ভার এখন প্রতিটি ওয়্যারলেস অথেন্টিকেশনের জন্য ক্রিটিক্যাল পাথে রয়েছে। এটি ডাউন হয়ে গেলে, কেউ কানেক্ট করতে পারবে না। এর মানে হলো আপনার RADIUS রিডান্ডেন্সি প্রয়োজন — প্রতিটি অ্যাক্সেস পয়েন্টে অন্তত একটি প্রাইমারি এবং সেকেন্ডারি RADIUS সার্ভার কনফিগার করা থাকতে হবে। বেশিরভাগ প্ল্যাটফর্ম এটি নেটিভলি সাপোর্ট করে। Cisco-তে, আপনি ফেইলওভারের সাথে RADIUS সার্ভার গ্রুপ কনফিগার করতে পারেন। Aruba-তে, AAA প্রোফাইল কনফিগারেবল রিট্রাই এবং টাইমআউট ভ্যালুসহ একাধিক RADIUS সার্ভার সাপোর্ট করে। Ubiquiti-তে, আপনি RADIUS প্রোফাইলে একটি সেকেন্ডারি RADIUS সার্ভার নির্দিষ্ট করতে পারেন। এই ধাপটি স্কিপ করবেন না। দুই নম্বর: সার্টিফিকেট ভ্যালিডেশন। আমি রিভিউ করেছি এমন ডিপ্লয়মেন্টগুলোর একটি আশ্চর্যজনকভাবে বড় অংশে ক্লায়েন্ট ডিভাইসগুলো যেকোনো RADIUS সার্ভার সার্টিফিকেট গ্রহণ করার জন্য কনফিগার করা থাকে। এটি সিকিউরিটি মডেলটিকে সম্পূর্ণভাবে দুর্বল করে দেয় — এটি আপনাকে ইভিল টুইন অ্যাটাকের সম্মুখীন করে যেখানে একটি রগ অ্যাক্সেস পয়েন্ট আপনার নেটওয়ার্কের ছদ্মবেশ ধারণ করে এবং ক্রেডেনশিয়াল চুরি করে। একটি বিশ্বস্ত CA থেকে আপনার RADIUS সার্ভার সার্টিফিকেট কনফিগার করুন এবং সেই সার্টিফিকেট ভ্যালিডেট করার জন্য আপনার ক্লায়েন্ট সাপ্লিক্যান্টগুলোকে কনফিগার করুন। Windows-এ, এটি Group Policy-এর মাধ্যমে করা হয়। iOS এবং Android-এ, এটি MDM প্রোফাইলের মাধ্যমে হ্যান্ডেল করা হয়। সেনসিটিভ ডেটা হ্যান্ডেল করে এমন যেকোনো এনভায়রনমেন্টের জন্য এটি নন-নেগোশিয়েবল। তিন নম্বর: VLAN অ্যাসাইনমেন্ট। WPA2-Enterprise ডায়নামিক VLAN অ্যাসাইনমেন্ট এনাবল করে — RADIUS সার্ভার Access-Accept মেসেজে একটি VLAN অ্যাট্রিবিউট রিটার্ন করতে পারে, যা প্রতিটি অথেন্টিকেটেড ইউজারকে তাদের আইডেন্টিটি বা রোলের ওপর ভিত্তি করে উপযুক্ত নেটওয়ার্ক সেগমেন্টে রাখে। এটি 802.1X আর্কিটেকচারের অন্যতম শক্তিশালী ফিচার, এবং এটি প্রায়শই আনকনফিগার করা অবস্থায় থেকে যায়। আপনি যদি একই ফিজিক্যাল ইনফ্রাস্ট্রাকচারে স্টাফ, ম্যানেজমেন্ট এবং IoT ডিভাইসসহ কোনো ভেন্যু চালান, তবে ডায়নামিক VLAN অ্যাসাইনমেন্টের মাধ্যমেই আপনি একাধিক SSID ম্যানেজ না করে নেটওয়ার্ক সেগমেন্টেশন এনফোর্স করতে পারবেন। Purple ইন্টিগ্রেশনের ক্ষেত্রে: আপনি যদি আপনার স্টাফ এবং অপারেশনাল নেটওয়ার্কের জন্য WPA2-Enterprise ডিপ্লয় করেন এবং ভিজিটর কানেক্টিভিটির জন্য Purple-এর গেস্ট WiFi প্ল্যাটফর্ম চালান, তবে এই দুটি সিস্টেম খুব সুন্দরভাবে সহাবস্থান করে। Purple গেস্ট অথেন্টিকেশন, ডেটা ক্যাপচার এবং অ্যানালিটিক্স লেয়ার হ্যান্ডেল করে — যার মধ্যে রয়েছে WiFi অ্যানালিটিক্স এবং ফুটফল ইন্টেলিজেন্স যা ভেন্যু অপারেটররা অপারেশনাল সিদ্ধান্তের জন্য ব্যবহার করে — অন্যদিকে আপনার WPA2-Enterprise ইনফ্রাস্ট্রাকচার কর্পোরেট নেটওয়ার্ককে সুরক্ষিত করে। মূল বিষয় হলো অ্যাক্সেস পয়েন্ট লেভেলে ক্লিন SSID এবং VLAN সেপারেশন, যা তিনটি প্ল্যাটফর্মই সাপোর্ট করে। [র‍্যাপিড-ফায়ার Q&A — আনুমানিক ১ মিনিট] চলুন নিয়মিত আসা কয়েকটি প্রশ্ন নিয়ে আলোচনা করা যাক। আমি কি একই অ্যাক্সেস পয়েন্টে WPA2-Enterprise এবং একটি গেস্ট নেটওয়ার্ক চালাতে পারি? হ্যাঁ, অবশ্যই। তিনটি প্ল্যাটফর্মই প্রতি রেডিওতে একাধিক SSID সাপোর্ট করে, যার প্রতিটির স্বাধীন সিকিউরিটি পলিসি রয়েছে। আপনার কর্পোরেট SSID WPA2-Enterprise চালাবে; আপনার গেস্ট SSID যথাযথ আইসোলেশনের সাথে Purple-এর Captive Portal-এর মাধ্যমে চলতে পারে। WPA2-Enterprise ডিপ্লয় করার জন্য কি আমার বিদ্যমান অ্যাক্সেস পয়েন্টগুলো পরিবর্তন করতে হবে? প্রায় নিশ্চিতভাবেই না। এক দশকেরও বেশি সময় ধরে এন্টারপ্রাইজ-গ্রেড অ্যাক্সেস পয়েন্টগুলোতে WPA2-Enterprise সাপোর্ট করা হচ্ছে। আপনার হার্ডওয়্যার যদি আট বছরের কম পুরোনো হয় এবং বর্তমান ফার্মওয়্যার রান করে, তবে এটি 802.1X সাপোর্ট করবে। WPA2-Enterprise এবং WPA3-Enterprise-এর মধ্যে পার্থক্য কী? WPA3-Enterprise Suite B ক্রিপ্টোগ্রাফি ব্যবহার করে 192-বিট সিকিউরিটি মোড যোগ করে, যা সরকারি এবং প্রতিরক্ষা এনভায়রনমেন্টের জন্য প্রাসঙ্গিক। বেশিরভাগ কমার্শিয়াল ডিপ্লয়মেন্টের জন্য, শক্তিশালী EAP মেথডসহ WPA2-Enterprise-ই স্ট্যান্ডার্ড হিসেবে রয়ে গেছে। নতুন ডিপ্লয়মেন্টের জন্য WPA3 ট্রানজিশনের পরিকল্পনা করা যেতে পারে, তবে বেশিরভাগ প্রতিষ্ঠানের জন্য এটি কোনো জরুরি মাইগ্রেশন নয়। ক্লাউড RADIUS কি একটি কার্যকর বিকল্প? হ্যাঁ, এবং এটি ক্রমশ জনপ্রিয় হচ্ছে। ক্লাউডে Cisco ISE, সার্ভিস হিসেবে Aruba ClearPass, অথবা JumpCloud এবং Foxpass-এর মতো থার্ড-পার্টি অপশনগুলো একটি ম্যানেজড সার্ভিস হিসেবে RADIUS প্রদান করে, যা ইনফ্রাস্ট্রাকচার ওভারহেড দূর করে। ডিস্ট্রিবিউটেড এস্টেটগুলোর জন্য — ধরুন ২০০টি লোকেশন বিশিষ্ট একটি রিটেইল চেইন — ক্লাউড RADIUS অপারেশনাল জটিলতা উল্লেখযোগ্যভাবে কমাতে পারে। [সামারি এবং পরবর্তী ধাপ — আনুমানিক ১ মিনিট] পরিশেষে: যেকোনো এন্টারপ্রাইজ ওয়্যারলেস ডিপ্লয়মেন্টের জন্য WPA2-Enterprise হলো নন-নেগোশিয়েবল বেসলাইন। Cisco, Aruba এবং Ubiquiti জুড়ে কনফিগারেশন প্রক্রিয়া একই মৌলিক প্যাটার্ন অনুসরণ করে — আপনার RADIUS সার্ভার ডিফাইন করুন, 802.1X কি ম্যানেজমেন্টের সাথে আপনার SSID তৈরি করুন, আপনার EAP মেথড নির্বাচন করুন এবং লাইভ হওয়ার আগে টেস্ট করুন। পার্থক্যগুলো হলো ম্যানেজমেন্ট ইন্টারফেস এবং প্রতিটি প্ল্যাটফর্মের চারপাশের ইকোসিস্টেম টুলগুলোতে। যে তিনটি বিষয় সঠিকভাবে করতে হবে: RADIUS রিডান্ডেন্সি, ক্লায়েন্টগুলোতে সার্টিফিকেট ভ্যালিডেশন এবং ডায়নামিক VLAN অ্যাসাইনমেন্ট। এই তিনটি বিষয় সঠিকভাবে করলে আপনার একটি সলিড, কমপ্লায়েন্ট এবং অডিটেবল ওয়্যারলেস সিকিউরিটি পোস্চার থাকবে। আপনার পরবর্তী ধাপগুলোর জন্য: আপনি যদি প্ল্যাটফর্মগুলো মূল্যায়ন করে থাকেন, তবে সাথে থাকা গাইডের ভেন্ডর কম্পারিজন ফ্রেমওয়ার্কটি ব্যবহার করুন। আপনি যদি ডিপ্লয় করার জন্য প্রস্তুত হন, তবে ইমপ্লিমেন্টেশন সেকশনে প্রতিটি প্ল্যাটফর্মের জন্য ধাপে ধাপে কনফিগারেশন ওয়াকথ্রু দেওয়া আছে। আর আপনি যদি ভাবছেন যে আপনার এন্টারপ্রাইজ নেটওয়ার্কের পাশাপাশি গেস্ট WiFi কীভাবে মানানসই হবে, তবে Purple প্ল্যাটফর্মের ডকুমেন্টেশনে ইন্টিগ্রেশন আর্কিটেকচার সম্পর্কে বিস্তারিত আলোচনা করা হয়েছে। শোনার জন্য ধন্যবাদ। পরবর্তী ব্রিফিংয়ে দেখা হবে।

এক্সিকিউটিভ সামারি

WPA2-Enterprise ডিপ্লয় করা এখন আর কোনো ঐচ্ছিক সিকিউরিটি আপগ্রেড নয়; এটি যেকোনো এন্টারপ্রাইজ ওয়্যারলেস নেটওয়ার্কের জন্য একটি মৌলিক বেসলাইন। হসপিটালিটি, রিটেইল এবং পাবলিক-সেক্টর পরিবেশে কর্মরত আইটি ম্যানেজার এবং নেটওয়ার্ক আর্কিটেক্টদের জন্য, প্রি-শেয়ারড কি (pre-shared keys) থেকে 802.1X অথেন্টিকেশনে এই পরিবর্তন মূলত PCI DSS এবং GDPR-এর মতো কঠোর কমপ্লায়েন্স ম্যান্ডেট দ্বারা পরিচালিত। এই টেকনিক্যাল রেফারেন্স গাইডটি তিনটি প্রধান অ্যাক্সেস পয়েন্ট ভেন্ডর: Cisco, Aruba এবং Ubiquiti-এর জন্য কার্যকর, প্ল্যাটফর্ম-নির্দিষ্ট কনফিগারেশন ধাপ প্রদান করে。

WPA2-Enterprise-এ ট্রানজিশন করার মাধ্যমে, প্রতিষ্ঠানগুলো শেয়ারড ক্রেডেনশিয়ালের সাথে যুক্ত ঝুঁকি দূর করে, গ্র্যানুলার পার-সেশন অডিট ট্রেইল লাভ করে এবং ডায়নামিক নেটওয়ার্ক সেগমেন্টেশন সক্ষম করে। সঠিকভাবে বাস্তবায়িত হলে, এই আর্কিটেকচারটি কেবল কর্পোরেট পেরিমিটারকেই সুরক্ষিত করে না, বরং একটি বিস্তৃত Guest WiFi প্ল্যাটফর্ম দ্বারা পরিচালিত ভিজিটর নেটওয়ার্কগুলোর সাথে নির্বিঘ্নে ইন্টিগ্রেট হয়। পরবর্তী সেকশনগুলোতে একটি সফল রোলআউটের জন্য প্রয়োজনীয় টেকনিক্যাল আর্কিটেকচার, ডিপ্লয়মেন্টের ধাপ এবং ঝুঁকি প্রশমন কৌশলগুলো বিস্তারিতভাবে আলোচনা করা হয়েছে।

header_image.png

টেকনিক্যাল ডিপ-ডাইভ

WPA2-Enterprise পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল প্রদান করতে IEEE 802.1X স্ট্যান্ডার্ডের ওপর নির্ভর করে। WPA2-Personal-এর বিপরীতে, যা একটি স্ট্যাটিক প্রি-শেয়ারড কি (PSK) ব্যবহার করে, WPA2-Enterprise-এ নেটওয়ার্ক অ্যাক্সেস দেওয়ার আগে প্রতিটি সাপ্লিক্যান্টকে (ক্লায়েন্ট ডিভাইস) একটি এক্সটার্নাল অথেন্টিকেশন সার্ভারের (সাধারণত একটি RADIUS সার্ভার) বিপরীতে আলাদাভাবে অথেন্টিকেট করতে হয়।

এই আর্কিটেকচারটি তিনটি প্রাথমিক উপাদান নিয়ে গঠিত:

  1. সাপ্লিক্যান্ট (The Supplicant): নেটওয়ার্কে কানেক্ট করার চেষ্টাকারী ক্লায়েন্ট ডিভাইস।
  2. অথেন্টিকেটর (The Authenticator): এন্টারপ্রাইজ অ্যাক্সেস পয়েন্ট বা ওয়্যারলেস ল্যান কন্ট্রোলার (যেমন, Cisco WLC, Aruba Mobility Controller) যা অথেন্টিকেশন প্রক্রিয়াকে সহজতর করে।
  3. অথেন্টিকেশন সার্ভার (The Authentication Server): ব্যাকএন্ড RADIUS সার্ভার (যেমন, Cisco ISE, Aruba ClearPass, Windows NPS) যা Active Directory বা LDAP-এর মতো ডিরেক্টরি সার্ভিসের বিপরীতে ক্রেডেনশিয়াল ভ্যালিডেট করে।

EAP এক্সচেঞ্জ প্রক্রিয়া

অথেন্টিকেশন প্রক্রিয়াটি LAN-এর ওপর এনক্যাপসুলেট করা Extensible Authentication Protocol (EAP) ব্যবহার করে (EAPOL)। প্রাথমিক পর্যায়ে অথেন্টিকেটরটি সম্পূর্ণভাবে একটি পাস-থ্রু প্রক্সি হিসেবে কাজ করে। RADIUS সার্ভার ক্রেডেনশিয়াল ভ্যালিডেট করার পর, এটি অথেন্টিকেটরকে একটি Access-Accept মেসেজ পাঠায়, যা পরবর্তীতে ওয়্যারলেস সেশন সুরক্ষিত করার জন্য প্রয়োজনীয় এনক্রিপশন কি (keys) তৈরি করে।

EAP মেথড নির্বাচন করা অত্যন্ত গুরুত্বপূর্ণ। PEAP-MSCHAPv2 হলো সবচেয়ে বেশি ব্যবহৃত মেথড কারণ এটি লিগ্যাসি Active Directory পাসওয়ার্ড অথেন্টিকেশন সাপোর্ট করে এবং সার্ভারের সার্টিফিকেটের মাধ্যমে প্রতিষ্ঠিত একটি TLS টানেলের মধ্যে এক্সচেঞ্জকে সুরক্ষিত রাখে। তবে, সর্বোচ্চ নিরাপত্তার জন্য EAP-TLS সুপারিশ করা হয়। EAP-TLS-এর জন্য মিউচুয়াল সার্টিফিকেট অথেন্টিকেশন প্রয়োজন—সার্ভার এবং ক্লায়েন্ট উভয়কেই বৈধ সার্টিফিকেট প্রদান করতে হবে—যা ক্রেডেনশিয়াল চুরির ঝুঁকি কমায়, তবে সার্টিফিকেট ডিস্ট্রিবিউশনের জন্য একটি শক্তিশালী Public Key Infrastructure (PKI) বা Mobile Device Management (MDM) সলিউশন প্রয়োজন।

architecture_overview.png

ইমপ্লিমেন্টেশন গাইড

WPA2-Enterprise কনফিগার করার মৌলিক নীতিগুলো সব ভেন্ডরের ক্ষেত্রেই সামঞ্জস্যপূর্ণ, তবে ম্যানেজমেন্ট ইন্টারফেস এবং ইকোসিস্টেমের ওপর ভিত্তি করে এর বাস্তবায়ন ভিন্ন হয়।

vendor_comparison_chart.png

Cisco (Catalyst এবং Meraki)

Cisco এনভায়রনমেন্ট সাধারণত ক্যাম্পাস ডিপ্লয়মেন্ট থেকে শুরু করে ডিস্ট্রিবিউটেড এন্টারপ্রাইজ নেটওয়ার্ক পর্যন্ত স্কেল করা যায়।

Cisco Catalyst (WLC/DNA Center):

  1. RADIUS সার্ভার ডিফাইন করুন: Security ট্যাবে নেভিগেট করুন, AAA নির্বাচন করুন এবং প্রাইমারি ও সেকেন্ডারি RADIUS Authentication এবং Accounting সার্ভার কনফিগার করুন। নিশ্চিত করুন যে শেয়ারড সিক্রেটটি RADIUS সার্ভার কনফিগারেশনের সাথে মিলে যায়।
  2. WLAN প্রোফাইল তৈরি করুন: WLANs ট্যাবের অধীনে, একটি নতুন প্রোফাইল তৈরি করুন।
  3. সিকিউরিটি পলিসি কনফিগার করুন: Layer 2 Security-কে WPA+WPA2-তে সেট করুন এবং Authentication Key Management (AKM) মেথড হিসেবে 802.1X এনাবল করুন।
  4. AAA সার্ভার বাইন্ড করুন: পূর্বে ডিফাইন করা RADIUS সার্ভারগুলোকে WLAN প্রোফাইলের সাথে ম্যাপ করুন। ডায়নামিক VLAN অ্যাসাইনমেন্টের প্রয়োজন হলে 'AAA Override' এনাবল করুন।

Cisco Meraki:

  1. SSID কনফিগারেশন: Meraki ড্যাশবোর্ডে, Wireless > SSIDs-এ নেভিগেট করুন এবং টার্গেট নেটওয়ার্ক নির্বাচন করুন।
  2. অ্যাক্সেস কন্ট্রোল: অ্যাসোসিয়েশন রিকোয়ারমেন্ট হিসেবে 'WPA2-Enterprise with my RADIUS server' সেট করুন।
  3. RADIUS সেটিংস: আপনার RADIUS ইনফ্রাস্ট্রাকচারের জন্য IP অ্যাড্রেস, অথেন্টিকেশন পোর্ট (সাধারণত 1812), অ্যাকাউন্টিং পোর্ট (1813) এবং শেয়ারড সিক্রেট ইনপুট করুন। ডিপ্লয়মেন্টের আগে RADIUS কানেক্টিভিটি ভেরিফাই করার জন্য Meraki-এর ড্যাশবোর্ডে একটি বিল্ট-ইন টেস্টিং টুল রয়েছে।

Aruba Networks

Aruba হলো Hospitality এবং উচ্চশিক্ষার ক্ষেত্রে একটি প্রভাবশালী প্ল্যাটফর্ম, যা অ্যাডভান্সড অ্যাক্সেস কন্ট্রোলের জন্য এর ClearPass Policy Manager-কে ব্যাপকভাবে ব্যবহার করে।

  1. AAA প্রোফাইল ডিফাইন করুন: Aruba Central বা Mobility Controller UI-তে, একটি নতুন AAA প্রোফাইল তৈরি করুন। এই প্রোফাইলটি নির্ধারণ করে কীভাবে অথেন্টিকেশন পরিচালিত হবে।
  2. RADIUS সার্ভার গ্রুপ কনফিগার করুন: ফেইলওভার রুল এবং টাইমআউট ভ্যালু নির্দিষ্ট করে আপনার RADIUS সার্ভারগুলোকে একটি সার্ভার গ্রুপে যুক্ত করুন। এই গ্রুপটিকে AAA প্রোফাইলের সাথে অ্যাটাচ করুন।
  3. ভার্চুয়াল AP কনফিগারেশন: একটি ভার্চুয়াল AP (SSID) প্রোফাইল তৈরি বা মডিফাই করুন। সিকিউরিটি টাইপ হিসেবে WPA2-Enterprise সেট করুন।
  4. প্রোফাইল অ্যাটাচ করুন: AAA প্রোফাইলটিকে ভার্চুয়াল AP প্রোফাইলের সাথে বাইন্ড করুন। ClearPass ব্যবহার করলে, ডায়নামিক পলিসি এনফোর্সমেন্টের জন্য নিশ্চিত করুন যে RADIUS CoA (Change of Authorization) পোর্ট (3799) যেকোনো মধ্যবর্তী ফায়ারওয়ালের মাধ্যমে অনুমোদিত।

Ubiquiti (UniFi)

Ubiquiti UniFi Network Controller-এর মাধ্যমে Retail এবং SMB এনভায়রনমেন্টের জন্য একটি সাশ্রয়ী সলিউশন প্রদান করে।

  1. RADIUS প্রোফাইল তৈরি: Settings > Profiles > RADIUS-এ নেভিগেট করুন। আপনার এক্সটার্নাল RADIUS সার্ভারের IP অ্যাড্রেস, পোর্ট (1812/1813) এবং শেয়ারড সিক্রেট দিয়ে একটি নতুন প্রোফাইল তৈরি করুন।
  2. SSID কনফিগারেশন: Settings > WiFi-এ যান এবং একটি নতুন ওয়্যারলেস নেটওয়ার্ক তৈরি করুন।
  3. সিকিউরিটি সেটিংস: সিকিউরিটি প্রোটোকল হিসেবে 'WPA2 Enterprise' নির্বাচন করুন এবং নতুন তৈরি করা RADIUS প্রোফাইলটি অ্যাটাচ করুন।
  4. RADIUS ইনফ্রাস্ট্রাকচার সম্পর্কিত নোট: এন্টারপ্রাইজ কন্ট্রোলারগুলোর মতো (যা লোকালাইজড সারভাইভেবল RADIUS অফার করতে পারে) না হয়ে, UniFi মূলত এক্সটার্নাল সার্ভারের (যেমন, FreeRADIUS, Windows NPS) ওপর ব্যাপকভাবে নির্ভর করে। UniFi AP এবং RADIUS ব্যাকএন্ডের মধ্যে নির্ভরযোগ্য কানেক্টিভিটি নিশ্চিত করুন।

বেস্ট প্র্যাকটিস

একটি রেজিলিয়েন্ট এবং সুরক্ষিত ডিপ্লয়মেন্ট নিশ্চিত করতে, নেটওয়ার্ক আর্কিটেক্টদের অবশ্যই কয়েকটি গুরুত্বপূর্ণ বেস্ট প্র্যাকটিস মেনে চলতে হবে:

  1. সার্টিফিকেট ভ্যালিডেশন এনফোর্স করুন: একটি বিশ্বস্ত Certificate Authority (CA)-এর বিপরীতে RADIUS সার্ভারের সার্টিফিকেট ভ্যালিডেট করার জন্য ক্লায়েন্ট ডিভাইসগুলোকে স্পষ্টভাবে কনফিগার করতে হবে। এটি করতে ব্যর্থ হলে নেটওয়ার্কটি 'Evil Twin' অ্যাটাকের সম্মুখীন হতে পারে, যেখানে রগ (rogue) অ্যাক্সেস পয়েন্টগুলো ইউজারের ক্রেডেনশিয়াল চুরি করে।
  2. RADIUS রিডান্ডেন্সি ইমপ্লিমেন্ট করুন: নেটওয়ার্ক অ্যাক্সেসের ক্ষেত্রে RADIUS সার্ভার একটি ক্রিটিক্যাল পাথে থাকে। সর্বদা প্রাইমারি এবং সেকেন্ডারি RADIUS সার্ভার কনফিগার করুন। ডিস্ট্রিবিউটেড এনভায়রনমেন্টে, হাই অ্যাভেইলেবিলিটির জন্য ক্লাউড-হোস্টেড RADIUS সলিউশন বিবেচনা করুন।
  3. ডায়নামিক VLAN অ্যাসাইনমেন্ট ব্যবহার করুন: ইউজারদের Active Directory গ্রুপ মেম্বারশিপের ওপর ভিত্তি করে নির্দিষ্ট VLAN-এ ডায়নামিকভাবে অ্যাসাইন করতে RADIUS অ্যাট্রিবিউট (যেমন, Tunnel-Pvt-Group-ID) ব্যবহার করুন। এটি একাধিক SSID ব্রডকাস্ট না করেই নেটওয়ার্ক সেগমেন্টেশন এনফোর্স করে।
  4. RADIUS অ্যাকাউন্টিং এনাবল করুন: শুধুমাত্র অথেন্টিকেশন কনফিগার করবেন না। কমপ্লায়েন্স ফ্রেমওয়ার্কের জন্য প্রয়োজনীয় অডিট ট্রেইল জেনারেট করতে RADIUS অ্যাকাউন্টিং (Port 1813) বাধ্যতামূলক।
  5. নেটওয়ার্ক এজ সুরক্ষিত করুন: কীভাবে Protect Your Network with Strong DNS and Security করবেন সে সম্পর্কে আমাদের গাইডে আপনার ইনফ্রাস্ট্রাকচার সুরক্ষিত করার বিষয়ে আরও পড়ুন।

ট্রাবলশুটিং এবং রিস্ক মিটিগেশন

সতর্ক পরিকল্পনার পরও, ডিপ্লয়মেন্টে সমস্যা দেখা দিতে পারে। সাধারণ ফেইলিওর মোডগুলোর মধ্যে রয়েছে:

  • শেয়ারড সিক্রেট মিসম্যাচ: RADIUS শেয়ারড সিক্রেটে একটি সাধারণ টাইপো সাইলেন্ট অথেন্টিকেশন ফেইলিওরের কারণ হতে পারে। অথেন্টিকেটর এবং RADIUS সার্ভার উভয় স্থানেই সিক্রেট ভেরিফাই করুন।
  • টাইম সিঙ্ক্রোনাইজেশন এরর: সার্টিফিকেট ভ্যালিডেশনের জন্য সঠিক টাইমকিপিং প্রয়োজন। নিশ্চিত করুন যে সমস্ত AP, কন্ট্রোলার এবং RADIUS সার্ভার একটি নির্ভরযোগ্য NTP সোর্সের মাধ্যমে সিঙ্ক্রোনাইজ করা আছে।
  • ফায়ারওয়াল RADIUS ট্রাফিক ব্লক করা: নিশ্চিত করুন যে AP/কন্ট্রোলার এবং RADIUS সার্ভারের মধ্যে UDP পোর্ট 1812 (Authentication) এবং 1813 (Accounting) খোলা আছে। CoA ব্যবহার করলে, নিশ্চিত করুন যে UDP 3799 খোলা আছে।
  • ক্লায়েন্ট সাপ্লিক্যান্ট মিসকনফিগারেশন: সবচেয়ে সাধারণ সমস্যা হলো ক্লায়েন্ট ডিভাইসটি RADIUS সার্ভারের সার্টিফিকেট ইস্যুকারী CA-কে বিশ্বাস করার জন্য কনফিগার করা থাকে না। কর্পোরেট ডিভাইসগুলোতে সঠিক ওয়্যারলেস প্রোফাইল পুশ করতে MDM বা Group Policy ব্যবহার করুন।

অথেন্টিকেশন প্রোটোকল সম্পর্কে আরও ভালোভাবে বুঝতে, How to Configure 802.1X WiFi Authentication: A Step-by-Step Guide রিভিউ করুন।

ROI এবং বিজনেস ইমপ্যাক্ট

WPA2-Enterprise-এ ট্রানজিশন করা শুধুমাত্র সিকিউরিটি ইমপ্রুভমেন্টের বাইরেও উল্লেখযোগ্য বিজনেস ভ্যালু প্রদান করে।

  • রিস্ক মিটিগেশন: শেয়ারড পাসওয়ার্ড বাদ দেওয়ার ফলে অ্যাটাক সারফেস এবং ডেটা ব্রিচের ঝুঁকি ব্যাপকভাবে হ্রাস পায়, যা গুরুতর আর্থিক এবং রেপুটেশনাল ক্ষতির কারণ হতে পারে。
  • অপারেশনাল এফিশিয়েন্সি: বিদ্যমান আইডেন্টিটি প্রোভাইডারদের (যেমন Active Directory) সাথে WiFi অথেন্টিকেশন ইন্টিগ্রেট করা এমপ্লয়িদের অনবোর্ডিং এবং অফবোর্ডিং স্বয়ংক্রিয় করে। কোনো এমপ্লয়ি চলে গেলে, তাদের AD অ্যাকাউন্ট ডিজেবল করার সাথে সাথে তাদের WiFi অ্যাক্সেসও বাতিল হয়ে যায়।
  • কমপ্লায়েন্স এনাবলমেন্ট: গ্র্যানুলার অডিট ট্রেইল এবং পার-ইউজার অথেন্টিকেশন হলো PCI DSS এবং ISO 27001 কমপ্লায়েন্সের পূর্বশর্ত।
  • ইউনিফায়েড ইনফ্রাস্ট্রাকচার: ডায়নামিক VLAN অ্যাসাইনমেন্ট ব্যবহার করে, ভেন্যুগুলো গেস্ট অ্যাক্সেসের জন্য ব্যবহৃত একই ফিজিক্যাল হার্ডওয়্যারের ওপর কর্পোরেট, ব্যাক-অফ-হাউস এবং IoT ট্রাফিক নিরাপদে চালাতে পারে। এরপর একটি ডেডিকেটেড WiFi Analytics সলিউশন ব্যবহার করে গেস্ট নেটওয়ার্ককে মনিটাইজ এবং অ্যানালাইজ করা যায়, যা হার্ডওয়্যার ইনভেস্টমেন্টের রিটার্ন সর্বোচ্চ করে। What Is a Leased Line? Dedicated Business Internet বোঝার মাধ্যমে আপনার প্রয়োজনীয় ব্যান্ডউইথ আছে কিনা তা নিশ্চিত করুন।

মূল সংজ্ঞাসমূহ

WPA2-Enterprise

ওয়্যারলেস নেটওয়ার্কের জন্য একটি সিকিউরিটি প্রোটোকল যা একটি একক শেয়ারড পাসওয়ার্ডের পরিবর্তে একটি এক্সটার্নাল সার্ভারের মাধ্যমে পার-ইউজার অথেন্টিকেশন প্রদান করতে IEEE 802.1X ব্যবহার করে।

এন্টারপ্রাইজ এনভায়রনমেন্টে কর্পোরেট এবং অপারেশনাল WiFi নেটওয়ার্ক সুরক্ষিত করার জন্য বাধ্যতামূলক স্ট্যান্ডার্ড।

802.1X

পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস কন্ট্রোলের জন্য একটি IEEE স্ট্যান্ডার্ড যা LAN বা WLAN-এ যুক্ত হতে ইচ্ছুক ডিভাইসগুলোকে একটি অথেন্টিকেশন মেকানিজম প্রদান করে।

অন্তর্নিহিত ফ্রেমওয়ার্ক যা WPA2-Enterprise-কে কাজ করতে সাহায্য করে।

RADIUS

Remote Authentication Dial-In User Service; একটি নেটওয়ার্কিং প্রোটোকল যা সেন্ট্রালাইজড Authentication, Authorization এবং Accounting (AAA) ম্যানেজমেন্ট প্রদান করে।

সার্ভার কম্পোনেন্ট যা Active Directory-এর মতো ডেটাবেসের বিপরীতে ইউজারের ক্রেডেনশিয়াল ভ্যালিডেট করে।

Supplicant

একটি ডিভাইসের (ল্যাপটপ, স্মার্টফোন) সফটওয়্যার ক্লায়েন্ট যা নেটওয়ার্ক অ্যাক্সেসের রিকোয়েস্ট করতে অথেন্টিকেটরের সাথে কমিউনিকেট করে।

এন্ডপয়েন্ট যা অবশ্যই সঠিক EAP সেটিংস এবং সার্টিফিকেট ট্রাস্টের সাথে কনফিগার করা থাকতে হবে।

Authenticator

নেটওয়ার্ক ডিভাইস (অ্যাক্সেস পয়েন্ট বা সুইচ) যা সাপ্লিক্যান্ট এবং অথেন্টিকেশন সার্ভারের মধ্যে মেসেজ পাস করার মাধ্যমে অথেন্টিকেশন প্রক্রিয়াকে সহজতর করে।

আইটি টিম দ্বারা পরিচালিত Cisco, Aruba বা Ubiquiti হার্ডওয়্যার।

EAP (Extensible Authentication Protocol)

একটি অথেন্টিকেশন ফ্রেমওয়ার্ক যা প্রায়শই ওয়্যারলেস নেটওয়ার্ক এবং পয়েন্ট-টু-পয়েন্ট কানেকশনে ব্যবহৃত হয়, যা একাধিক অথেন্টিকেশন মেথড সাপোর্ট করে।

ক্রেডেনশিয়াল এক্সচেঞ্জ এনক্যাপসুলেট করতে ব্যবহৃত প্রোটোকল।

PEAP-MSCHAPv2

একটি EAP মেথড যা সার্ভারের সার্টিফিকেটের মাধ্যমে প্রতিষ্ঠিত একটি সুরক্ষিত TLS টানেলের মধ্যে MSCHAPv2 পাসওয়ার্ড এক্সচেঞ্জকে এনক্যাপসুলেট করে।

সবচেয়ে সাধারণ ডিপ্লয়মেন্ট মেথড কারণ এটি স্ট্যান্ডার্ড AD পাসওয়ার্ড ব্যবহারের সুবিধার সাথে সিকিউরিটির ভারসাম্য বজায় রাখে।

Dynamic VLAN Assignment

এমন একটি প্রক্রিয়া যেখানে একটি RADIUS সার্ভার অ্যাক্সেস পয়েন্টকে নির্দেশ দেয় যাতে একজন অথেন্টিকেটেড ইউজারকে তার আইডেন্টিটি বা গ্রুপ মেম্বারশিপের ওপর ভিত্তি করে একটি নির্দিষ্ট VLAN-এ রাখা হয়।

নেটওয়ার্ক সেগমেন্টেশনের জন্য অত্যন্ত গুরুত্বপূর্ণ, যা বিভিন্ন ধরনের ইউজারকে একই ফিজিক্যাল AP নিরাপদে শেয়ার করার অনুমতি দেয়।

সমাধানকৃত উদাহরণসমূহ

একটি ২০০-রুমের হোটেলের বিদ্যমান Aruba অ্যাক্সেস পয়েন্ট ব্যবহার করে তাদের ব্যাক-অফ-হাউস স্টাফদের (হাউসকিপিং, ম্যানেজমেন্ট) জন্য সুরক্ষিত WiFi ডিপ্লয় করা প্রয়োজন, যেখানে স্টাফ ট্রাফিককে গেস্ট নেটওয়ার্ক থেকে কঠোরভাবে আলাদা রাখতে হবে।

আইটি টিম WPA2-Enterprise ব্যবহার করে একটি একক 'Hotel_Staff' SSID কনফিগার করে। তারা হোটেলের Active Directory-এর সাথে Aruba ClearPass ইন্টিগ্রেট করে। ClearPass-এ, তারা এনফোর্সমেন্ট পলিসি কনফিগার করে: যদি কোনো ইউজার 'Management' AD গ্রুপে থাকে, তবে ClearPass একটি RADIUS অ্যাট্রিবিউট রিটার্ন করে যা তাদের VLAN 10 (Management Network)-এ অ্যাসাইন করে। যদি ইউজার 'Housekeeping' গ্রুপে থাকে, তবে তাদের VLAN 20 (Operations Network)-এ অ্যাসাইন করা হয়। এই ডায়নামিক VLAN অ্যাসাইনমেন্টগুলো এনফোর্স করার জন্য AP-গুলো কনফিগার করা হয়।

পরীক্ষকের মন্তব্য: এই পদ্ধতিটি ডায়নামিক VLAN অ্যাসাইনমেন্টের ক্ষমতা প্রদর্শন করে। এটি একাধিক SSID ('Hotel_Management', 'Hotel_Housekeeping') ব্রডকাস্ট করার RF ইন্টারফারেন্স এবং ম্যানেজমেন্ট ওভারহেড এড়ায়, পাশাপাশি কঠোর নেটওয়ার্ক সেগমেন্টেশন নিশ্চিত করে এবং বিদ্যমান ডিরেক্টরি আইডেন্টিটিগুলো কাজে লাগায়।

৫০টি লোকেশন বিশিষ্ট একটি জাতীয় রিটেইল চেইন Cisco Meraki ব্যবহার করে। তাদের পুরোনো WPA2-Personal সেটআপ পরিবর্তন করে PCI DSS কমপ্লায়েন্স পূরণের জন্য WiFi-এর মাধ্যমে তাদের পয়েন্ট-অফ-সেল (POS) টার্মিনালগুলো সুরক্ষিত করা প্রয়োজন।

প্রতিটি স্টোরে লোকাল সার্ভার ডিপ্লয় করা এড়াতে নেটওয়ার্ক আর্কিটেক্ট একটি ক্লাউড-হোস্টেড RADIUS সার্ভিস ডিপ্লয় করেন। Meraki ড্যাশবোর্ডে, তারা WPA2-Enterprise-এর জন্য 'Retail_POS' SSID কনফিগার করেন এবং এটিকে ক্লাউড RADIUS IP-তে পয়েন্ট করেন। তারা তাদের MDM প্ল্যাটফর্মের মাধ্যমে প্রতিটি POS টার্মিনালের জন্য ইউনিক ক্লায়েন্ট সার্টিফিকেট জেনারেট করেন এবং EAP-TLS রিকোয়ার করার জন্য RADIUS সার্ভার কনফিগার করেন। ক্লাউড সার্ভিসে RADIUS Authentication এবং Accounting উভয় ডেটা পাঠানোর জন্য Meraki AP-গুলো কনফিগার করা হয়।

পরীক্ষকের মন্তব্য: এই সিনারিওটি হাই-সিকিউরিটি এনভায়রনমেন্টের জন্য EAP-TLS-এ ট্রানজিশন হাইলাইট করে। পাসওয়ার্ডের পরিবর্তে সার্টিফিকেট ব্যবহার করার মাধ্যমে, POS টার্মিনালগুলো সাইলেন্টলি এবং সুরক্ষিতভাবে অথেন্টিকেট করে। RADIUS Accounting অন্তর্ভুক্ত করার ফলে চেইনটি অ্যাক্সেস অডিটিংয়ের জন্য PCI DSS রিকোয়ারমেন্ট পূরণ করে তা নিশ্চিত হয়।

অনুশীলনী প্রশ্নসমূহ

Q1. আপনার প্রতিষ্ঠান Ubiquiti UniFi অ্যাক্সেস পয়েন্ট ব্যবহার করে WPA2-Enterprise ডিপ্লয় করছে। টেস্টিংয়ের সময়, ক্লায়েন্টরা সফলভাবে কানেক্ট করতে পারে, কিন্তু কমপ্লায়েন্স টিম লক্ষ্য করে যে সেন্ট্রাল লগিং সিস্টেমে ইউজার সেশনের সময়কাল বা ডেটা ইউসেজের কোনো লগ নেই। সবচেয়ে সম্ভাব্য কনফিগারেশন ত্রুটি কোনটি?

ইঙ্গিত: অথেন্টিকেশন অ্যাক্সেস প্রদান করে, কিন্তু অন্য একটি প্রক্রিয়া ইউসেজ ট্র্যাক করে।

মডেল উত্তর দেখুন

RADIUS Accounting পোর্ট (1813) কনফিগার করা হয়নি বা ফায়ারওয়াল দ্বারা ব্লক করা হচ্ছে। যদিও Authentication (পোর্ট 1812) কাজ করছে, সেশন অডিট ট্রেইল জেনারেট করার জন্য Accounting স্পষ্টভাবে এনাবল করতে হবে।

Q2. একজন ইউজার রিপোর্ট করেছেন যে তিনি কর্পোরেট WPA2-Enterprise নেটওয়ার্কে কানেক্ট করতে পারছেন না। আপনি Cisco WLC লগ চেক করে দেখেন যে AP EAP-Request পাস করছে, কিন্তু RADIUS সার্ভার লগে 'Unknown CA'-এর কারণে একটি 'Access-Reject' দেখাচ্ছে। কী ঠিক করতে হবে?

ইঙ্গিত: TLS টানেল সেটআপের সময় প্রতিষ্ঠিত ট্রাস্ট রিলেশনশিপ সম্পর্কে চিন্তা করুন।

মডেল উত্তর দেখুন

ক্লায়েন্ট ডিভাইসের সাপ্লিক্যান্টটি RADIUS সার্ভারের সার্টিফিকেট ইস্যুকারী Certificate Authority (CA)-কে বিশ্বাস করার জন্য কনফিগার করা নেই। একটি সম্ভাব্য Evil Twin অ্যাটাক প্রতিরোধ করতে ক্লায়েন্ট কানেকশনটি টার্মিনেট করছে। CA সার্টিফিকেটটি ক্লায়েন্ট ডিভাইসে পুশ করতে হবে।

Q3. আপনি একটি স্টেডিয়ামের জন্য নেটওয়ার্ক ডিজাইন করছেন। আপনাকে কর্পোরেট স্টাফ, টিকেটিং টার্মিনাল এবং গেস্ট WiFi সাপোর্ট করতে হবে। সিকিউরিটি বজায় রেখে RF ইন্টারফারেন্স কমানোর জন্য আপনার কীভাবে SSID-গুলোর আর্কিটেকচার তৈরি করা উচিত?

ইঙ্গিত: প্রতিটি একক ইউজ কেসের জন্য একটি SSID ব্রডকাস্ট করা এড়িয়ে চলুন।

মডেল উত্তর দেখুন

সর্বোচ্চ দুটি SSID ডিপ্লয় করুন। Captive Portal (যেমন Purple) ব্যবহার করে গেস্টদের জন্য একটি SSID। WPA2-Enterprise ব্যবহার করে সমস্ত কর্পোরেট অপারেশনের জন্য দ্বিতীয় একটি SSID। অথেন্টিকেশন ক্রেডেনশিয়ালের ওপর ভিত্তি করে কর্পোরেট স্টাফদের একটি VLAN-এ এবং টিকেটিং টার্মিনালগুলোকে অন্য একটি VLAN-এ সেগমেন্ট করতে RADIUS সার্ভারের মাধ্যমে ডায়নামিক VLAN অ্যাসাইনমেন্ট ব্যবহার করুন।

এই সিরিজে পড়া চালিয়ে যান

ভেন্ডর অনুযায়ী প্রতি-ডিভাইস PSK: iPSK, DPSK, MPSK এবং PPSK-এর তুলনা (এবং WPA3 সাপোর্ট)

Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet এবং Ubiquiti UniFi-এর প্রতি-ডিভাইস PSK ইমপ্লিমেন্টেশনের একটি বিস্তারিত তুলনা। জানুন কীভাবে WPA3-SAE প্রতি-ডিভাইস কী (key) কৌশলগুলোকে প্রভাবিত করে এবং কখন ট্রানজিশন মোড স্থাপন করতে হবে বনাম 802.1X-এ স্থানান্তরিত হতে হবে।

গাইডটি পড়ুন →

MAC Address Authentication কী? কখন এটি ব্যবহার করবেন এবং কখন এড়িয়ে চলবেন

এই অথরিটেটিভ টেকনিক্যাল রেফারেন্স গাইডটি এন্টারপ্রাইজ WiFi এনভায়রনমেন্টে MAC অ্যাড্রেস অথেনটিকেশন কভার করে — কীভাবে RADIUS-ভিত্তিক MAC অথেনটিকেশন Layer 2-তে কাজ করে, এর অন্তর্নিহিত সিকিউরিটি দুর্বলতাগুলো (যার মধ্যে MAC স্পুফিং এবং OS-লেভেল MAC র‍্যান্ডমাইজেশনের প্রভাব অন্তর্ভুক্ত) এবং সুনির্দিষ্ট অপারেশনাল কনটেক্সট যেখানে এটি IoT এবং হেডলেস ডিভাইসগুলো ম্যানেজ করার জন্য একটি বৈধ টুল হিসেবে রয়ে গেছে। এটি হসপিটালিটি, রিটেইল, হেলথকেয়ার এবং পাবলিক-সেক্টর ভেন্যুগুলোর আইটি ম্যানেজার এবং নেটওয়ার্ক আর্কিটেক্টদের জন্য রিয়েল-ওয়ার্ল্ড ওয়ার্কড এক্সাম্পল, ডিসিশন ফ্রেমওয়ার্ক এবং Purple-এর গেস্ট WiFi ও অ্যানালিটিক্স প্ল্যাটফর্মের ইন্টিগ্রেশন কনটেক্সটসহ অ্যাকশনেবল ডিপ্লয়মেন্ট গাইডেন্স প্রদান করে।

গাইডটি পড়ুন →

কীভাবে 802.1X এর মাধ্যমে iOS এবং macOS-এ এন্টারপ্রাইজ WiFi সেট আপ করবেন

এই প্রামাণিক গাইডটি সিনিয়র IT লিডারদের iOS এবং macOS ডিভাইসে 802.1X এন্টারপ্রাইজ WiFi ডিপ্লয় করার জন্য কার্যকর পদক্ষেপ প্রদান করে। এটি BYOD উদ্যোগগুলোকে সমর্থন করার পাশাপাশি কর্পোরেট নেটওয়ার্ক সুরক্ষিত করতে সার্টিফিকেট-ভিত্তিক অথেন্টিকেশন (EAP-TLS), MDM কনফিগারেশন প্রোফাইল এবং আর্কিটেকচার ইন্টিগ্রেশন কভার করে।

গাইডটি পড়ুন →