মূল কন্টেন্টে যান

Guest এবং Staff WiFi নেটওয়ার্কের জন্য RADIUS Authentication কনফিগার করা

এই টেকনিক্যাল রেফারেন্স গাইডটি এন্টারপ্রাইজ guest এবং staff WiFi নেটওয়ার্কের জন্য RADIUS authentication-এর আর্কিটেকচার, কনফিগারেশন এবং ডিপ্লয়মেন্টের রূপরেখা প্রদান করে। এটি নেটওয়ার্ক আর্কিটেক্ট এবং IT ম্যানেজারদের সুরক্ষিত, স্কেলযোগ্য ওয়্যারলেস অ্যাক্সেস কন্ট্রোল সিস্টেম তৈরি করার জন্য প্রয়োজনীয় সঠিক প্রোটোকল, সিকিউরিটি স্ট্যান্ডার্ড এবং ট্রাবলশুটিং মেথডোলজি প্রদান করে।

📖 8 মিনিট পাঠ📝 1,876 শব্দ🔧 2 সমাধানকৃত উদাহরণ3 অনুশীলনী প্রশ্ন📚 8 মূল সংজ্ঞা

header_image.png

Executive Summary

আধুনিক এন্টারপ্রাইজ পরিবেশে, ওয়্যারলেস নেটওয়ার্ক সুরক্ষিত করা একটি অত্যন্ত গুরুত্বপূর্ণ অপারেশনাল প্রয়োজনীয়তা। পুরোনো সিকিউরিটি পদ্ধতি, যেমন শেয়ার্ড প্রি-শেয়ার্ড কী (PSKs), উল্লেখযোগ্য সিকিউরিটি দুর্বলতা তৈরি করে। যদি একজন কর্মী প্রতিষ্ঠান ছেড়ে চলে যান, অথবা যদি কোনো গেস্ট একটি শেয়ার্ড পাসওয়ার্ডের সাথে আপস করেন, তবে সম্পূর্ণ নেটওয়ার্কের সিকিউরিটির অবস্থা হুমকির মুখে পড়ে। এই নির্দেশিকায় বিস্তারিত আলোচনা করা হয়েছে কিভাবে অ্যাক্সেস কন্ট্রোলকে কেন্দ্রীভূত করতে, গ্র্যানুলার সিকিউরিটি পলিসি প্রয়োগ করতে এবং গেস্ট ও কর্মীদের ট্রাফিককে বিভক্ত করতে Remote Authentication Dial-In User Service (RADIUS) বাস্তবায়ন করা যায়।

একটি কেন্দ্রীভূত RADIUS আর্কিটেকচারে স্থানান্তরিত হয়ে, সংস্থাগুলি কর্মীদের জন্য 802.1X অথেন্টিকেশন প্রয়োগ করতে পারে - যাতে প্রতিটি ডিভাইস ইউনিক, প্রত্যাহারযোগ্য ক্রেডেন্সিয়ালের সাহায্যে অথেন্টিকেট করতে পারে - পাশাপাশি গেস্ট ব্যবহারকারীদের জন্য সুরক্ষিত Captive Portal এবং MAC Authentication Bypass (MAB) ব্যবহার করতে পারে। এই টেকনিক্যাল রেফারেন্সটি একটি স্থিতিস্থাপক, এন্টারপ্রাইজ-গ্রেড ওয়্যারলেস অথেন্টিকেশন ইনফ্রাস্ট্রাকচার মোতায়েন করার জন্য প্রয়োজনীয় আর্কিটেকচারাল ব্লুপ্রিন্ট, কনফিগারেশন পদক্ষেপ এবং ট্রাবলশুটিং ফ্রেমওয়ার্ক প্রদান করে।

Technical Deep-Dive

The AAA Framework

RADIUS মূলত AAA ফ্রেমওয়ার্কের উপর কাজ করে, যা অ্যাক্সেস কন্ট্রোলের মূল পর্যায়গুলিকে সংজ্ঞায়িত করে:

  1. Authentication: WiFi নেটওয়ার্কে সংযোগ করার চেষ্টা করা ব্যবহারকারী বা ডিভাইসের পরিচয় যাচাই করা। এটি ক্রেডেন্সিয়াল, ডিজিটাল সার্টিফিকেট বা টোকেনের মাধ্যমে অর্জন করা হয়।
  2. Authorization: অথেন্টিকেট হওয়া সত্ত্বাকে দেওয়া নেটওয়ার্ক অ্যাক্সেসের স্তর নির্ধারণ করা। এর মধ্যে রয়েছে নির্দিষ্ট VLAN বরাদ্দ করা, Access Control Lists (ACLs) প্রয়োগ করা, বা ব্যান্ডউইথ সীমা প্রয়োগ করা।
  3. Accounting: সেশনের সময়কাল, স্থানান্তরিত ডেটা এবং লগইন/লগআউট সময় সহ নেটওয়ার্ক রিসোর্স ব্যবহার ট্র্যাক করা। এই ডেটা অডিটিং, কমপ্লায়েন্স এবং নেটওয়ার্ক পরিকল্পনার জন্য অত্যন্ত গুরুত্বপূর্ণ।
  4. Auditing: কোনো অসঙ্গতি, সিকিউরিটি লঙ্ঘন বা পলিসি লঙ্ঘন সনাক্ত করতে সংগৃহীত অ্যাকাউন্টিং ডেটা পর্যালোচনা করা।

RADIUS Architecture Components

একটি স্ট্যান্ডার্ড এন্টারপ্রাইজ RADIUS ডেপ্লয়মেন্টে তিনটি প্রাথমিক উপাদান থাকে:

  • The Supplicant: ব্যবহারকারীর ডিভাইসে (যেমন, ল্যাপটপ, স্মার্টফোন) চালিত ক্লায়েন্ট সফ্টওয়্যার যা নেটওয়ার্কে অ্যাক্সেসের জন্য অনুরোধ করে এবং ক্রেডেন্সিয়াল বা সার্টিফিকেট প্রদান করে।
  • The Authenticator (Network Access Server / NAS): ফিজিক্যাল বা ভার্চুয়াল নেটওয়ার্ক ডিভাইস - সাধারণত একটি Wireless LAN Controller (WLC) বা একটি Access Point (AP) - যা নেটওয়ার্কে ফিজিক্যাল অ্যাক্সেস নিয়ন্ত্রণ করে। অথেন্টিকেটর ক্রেডেন্সিয়ালগুলি বৈধ কিনা তা সিদ্ধান্ত নেয় না; এটি একটি প্রক্সি হিসাবে কাজ করে, অথেন্টিকেশন অনুরোধটিকে RADIUS প্যাকেটে প্যাকেজ করে এবং RADIUS সার্ভারে ফরোয়ার্ড করে।
  • The Authentication Server: কেন্দ্রীয় সার্ভার (যেমন FreeRADIUS, Cisco ISE, Aruba ClearPass, বা Purple-এর ক্লাউড-ভিত্তিক RADIUS ইঞ্জিন) যা একটি আইডেন্টিটি স্টোরের (যেমন, Active Directory, LDAP, বা একটি ক্লাউড আইডেন্টিটি প্রদানকারী) বিপরীতে ক্রেডেন্সিয়ালগুলি যাচাই করে এবং অথেন্টিকেটরকে একটি Access-Accept বা Access-Reject বার্তা ফেরত পাঠায়।

EAP Methods for Staff WiFi

স্টাফ নেটওয়ার্কের জন্য, 802.1X কাঠামোর মধ্যে প্রমাণীকরণ আলোচনার জন্য Extensible Authentication Protocol (EAP) ব্যবহৃত হয়। সবচেয়ে সাধারণ দুটি এন্টারপ্রাইজ EAP পদ্ধতি হলো:

  • PEAP-MSCHAPv2 (Protected EAP): এই পদ্ধতিটি সার্ভারের ডিজিটাল সার্টিফিকেট ব্যবহার করে সাপ্লিক্যান্ট এবং RADIUS সার্ভারের মধ্যে একটি সুরক্ষিত, এনক্রিপ্ট করা TLS টানেল স্থাপন করে। এই সুরক্ষিত টানেলের ভিতরে, ব্যবহারকারীর ইউজারনেম এবং পাসওয়ার্ড MSCHAPv2 প্রোটোকল ব্যবহার করে প্রমাণীকরণ করা হয়। এটি স্থাপনের সহজতার কারণে অত্যন্ত জনপ্রিয়, কারণ এর জন্য ক্লায়েন্ট ডিভাইসে কোনো সার্টিফিকেট ইনস্টল করার প্রয়োজন হয় না।
  • EAP-TLS: উপলব্ধ সবচেয়ে নিরাপদ প্রমাণীকরণ পদ্ধতি। এর জন্য পারস্পরিক প্রমাণীকরণের প্রয়োজন হয়, যার অর্থ RADIUS সার্ভার এবং ক্লায়েন্ট ডিভাইস উভয়কেই বৈধ ডিজিটাল সার্টিফিকেট উপস্থাপন করতে হবে। এটি পাসওয়ার্ড-ভিত্তিক আক্রমণ দূর করে তবে সার্টিফিকেট বিতরণ এবং প্রত্যাহার পরিচালনা করার জন্য একটি শক্তিশালী Public Key Infrastructure (PKI) এর প্রয়োজন হয়।

Guest WiFi প্রমাণীকরণ প্রবাহ

Guest নেটওয়ার্কগুলো সাধারণত ব্যবহারকারীর সুবিধার সাথে নিরাপত্তার ভারসাম্য বজায় রাখতে একটি ভিন্ন প্রবাহ ব্যবহার করে। 802.1X এর পরিবর্তে, guest নেটওয়ার্কগুলো প্রায়শই একটি Captive Portal এর সাথে যুক্ত একটি Open SSID ব্যবহার করে।

যখন কোনো guest সংযোগ করে, তখন Authenticator ব্যবহারকারীকে Purple এর মতো প্ল্যাটফর্ম দ্বারা হোস্ট করা একটি captive portal এ পাঠানোর জন্য MAC Authentication Bypass (MAB) বা একটি রিডাইরেকশন পলিসি ব্যবহার করে। ব্যবহারকারী পোর্টালে নিবন্ধন বা লগইন প্রক্রিয়া সম্পন্ন করার পরে, পোর্টাল প্ল্যাটফর্মটি RADIUS সার্ভারের সাথে যোগাযোগ করে, যা পরে WLC/AP এ একটি Access-Accept বার্তা পাঠায়, এবং একটি নির্দিষ্ট সেশনের সময়কালের জন্য নেটওয়ার্ক অ্যাক্সেসের জন্য guest এর MAC অ্যাড্রেসকে অনুমোদিত করে।

সুরক্ষিত পরিবহন: RadSec

ঐতিহ্যগত RADIUS ট্রাফিক UDP এর মাধ্যমে (প্রমাণীকরণের জন্য পোর্ট 1812 এবং অ্যাকাউন্টিংয়ের জন্য 1813) ক্লিয়ারটেক্সটে পাঠানো হয়, যেখানে শুধুমাত্র ব্যবহারকারীর পাসওয়ার্ড ক্ষেত্রটি একটি শেয়ার্ড সিক্রেট ব্যবহার করে অস্পষ্ট করা থাকে। এটি পাবলিক WAN সংযোগ বা ইন্টারনেটের মাধ্যমে প্রমাণীকরণ ট্রাফিক রাউটিং করার সময় নিরাপত্তা ঝুঁকি তৈরি করে।

এটি প্রশমিত করতে, RadSec (RADIUS over TLS) প্রয়োগ করা উচিত। RadSec স্ট্যান্ডার্ড RADIUS প্যাকেটগুলোকে একটি সুরক্ষিত TLS টানেলের ভিতরে মোড়ানো থাকে (সাধারণত TCP পোর্ট 2083 ব্যবহার করে)। এটি নিশ্চিত করে যে ইউজারনেম, MAC অ্যাড্রেস এবং সেশন বৈশিষ্ট্যসহ সমস্ত প্রমাণীকরণ এবং অ্যাকাউন্টিং ডেটা স্থানীয় নেটওয়ার্ক এবং ক্লাউড-ভিত্তিক RADIUS সার্ভারগুলোর মধ্যে স্থানান্তরের সময় সম্পূর্ণরূপে এনক্রিপ্ট করা থাকে।

বাস্তবায়ন নির্দেশিকা

ধাপ ১: সার্ভারে RADIUS ক্লায়েন্টদের সংজ্ঞায়িত করুন

যেকোনো নেটওয়ার্ক ডিভাইস RADIUS সার্ভারের সাথে যোগাযোগ করার আগে, এটিকে একটি ক্লায়েন্ট হিসাবে নিবন্ধিত করতে হবে।

১. আপনার RADIUS সার্ভার অ্যাডমিনিস্ট্রেশন কনসোলে লগ ইন করুন। ২. Clients বা Network Devices বিভাগে নেভিগেট করুন। ৩. প্রতিটি WLC বা AP এর জন্য একটি নতুন ক্লায়েন্ট এন্ট্রি যোগ করুন। ৪. authenticator এর IP অ্যাড্রেস বা সাবনেট লিখুন। ৫. একটি উচ্চ-এনট্রপির Shared Secret তৈরি করুন। এই সিক্রেটটি অবশ্যই কমপক্ষে ২২টি অক্ষর দীর্ঘ হতে হবে, যার মধ্যে বড় হাতের অক্ষর, ছোট হাতের অক্ষর, সংখ্যা এবং বিশেষ অক্ষরের মিশ্রণ থাকতে হবে। সাধারণ অভিধানের শব্দ ব্যবহার করা এড়িয়ে চলুন।

ধাপ ২: Wireless LAN Controller (WLC) / Access Points কনফিগার করুন

অথেন্টিকেশন এবং অ্যাকাউন্টিংয়ের জন্য RADIUS সার্ভার নির্দেশ করতে আপনার ওয়্যারলেস হার্ডওয়্যার কনফিগার করুন।

১. আপনার WLC বা AP ম্যানেজমেন্ট ইন্টারফেসে লগ ইন করুন। ২. Security > AAA > RADIUS > Authentication-এ যান। ৩. একটি নতুন RADIUS অথেন্টিকেশন সার্ভার যোগ করুন: * Server IP Address: আপনার প্রাথমিক RADIUS সার্ভারের IP ঠিকানা লিখুন। * Shared Secret: ধাপ ১-এ কনফিগার করা হুবহু শেয়ার্ড সিক্রেটটি লিখুন। * Port: 1812 (অথবা RadSec ব্যবহার করলে 2083)। * Timeout: নেটওয়ার্ক ল্যাটেন্সির জন্য ৫ সেকেন্ড সেট করুন। * Retry Count: ৩ সেট করুন। ৪. RADIUS Accounting-এ যান এবং ১৮১৩ পোর্ট (অথবা RadSec-এর জন্য ২০৮৩) ব্যবহার করে একটি নতুন সার্ভার এন্ট্রি যোগ করুন। ৫. উচ্চ প্রাপ্যতা বা হাই অ্যাভেইলেবিলিটির জন্য একটি সেকেন্ডারি (ব্যাকআপ) RADIUS সার্ভার যোগ করতে এই ধাপগুলোর পুনরাবৃত্তি করুন।

ধাপ ৩: স্টাফ SSID (802.1X) কনফিগার করুন

১. Staff_Enterprise নামে একটি নতুন SSID তৈরি করুন। ২. সিকিউরিটি টাইপ WPA3-Enterprise সেট করুন (অথবা লিগ্যাসি ডিভাইস সমর্থনের প্রয়োজন হলে WPA2/WPA3-Enterprise ট্রানজিশন মোড সেট করুন)। ৩. কী ম্যানেজমেন্ট প্রোটোকল হিসেবে 802.1X নির্বাচন করুন। ৪. ধাপ ২-এ কনফিগার করা RADIUS অথেন্টিকেশন এবং অ্যাকাউন্টিং সার্ভারগুলোর সাথে SSID-টিকে সংযুক্ত করুন। ৫. SSID-টিকে সুরক্ষিত স্টাফ VLAN (যেমন, VLAN 10)-এর সাথে ম্যাপ করুন।

ধাপ ৪: Captive Portal সহ গেস্ট SSID কনফিগার করুন

১. Guest_WiFi নামে একটি নতুন SSID তৈরি করুন। ২. সিকিউরিটি টাইপ Open সেট করুন (অথবা সুবিধাজনক ওয়্যারলেস এনক্রিপশনের জন্য Enhanced Open / OWE সেট করুন)। ৩. MAC Filtering বা MAC Authentication সক্ষম করুন এবং এটিকে RADIUS সার্ভারে নির্দেশ করুন। ৪. Captive Portal / Web Portal রিডাইরেকশন সক্ষম করুন। ৫. Purple Captive Portal লগইন পেজ নির্দেশ করতে রিডাইরেকশন URL কনফিগার করুন। ৬. অথেন্টিকেশন সম্পন্ন হওয়ার আগে Captive Portal ডোমেন, DNS সার্ভার এবং প্রয়োজনীয় CDN অ্যাসেটগুলোতে ট্রাফিকের অনুমতি দিতে ওয়াল্ড গার্ডেন (প্রি-অথেন্টিকেশন ACLs) কনফিগার করুন। ৭. SSID-টিকে একটি পৃথক গেস্ট VLAN (যেমন, VLAN 20)-এর সাথে ম্যাপ করুন।

সর্বোত্তম অনুশীলন

উচ্চ প্রাপ্যতা এবং রিডান্ডেন্সি

সবসময় রিডান্ডেন্ট পেয়ার (প্রাথমিক এবং সেকেন্ডারি) হিসেবে RADIUS সার্ভার স্থাপন করুন। নিশ্চিত করুন যে এই সার্ভারগুলো আলাদা ফিজিক্যাল হার্ডওয়্যারে বা আলাদা ক্লাউড অ্যাভেইলেবিলিটি জোনে অবস্থিত। প্রাথমিক সার্ভারটি সাড়া না দিলে আপনার WLC-গুলোকে সেকেন্ডারি সার্ভারে সুন্দরভাবে ফেইলওভার করার জন্য কনফিগার করুন। অথেন্টিকেশন ট্রাফিক সমানভাবে বন্টন করতে যেখানে উপযুক্ত সেখানে লোড ব্যালেন্সিং প্রয়োগ করুন।

সার্টিফিকেট ম্যানেজমেন্ট

PEAP এবং EAP-TLS স্থাপনের জন্য, RADIUS সার্ভারের সার্টিফিকেটের বৈধতা এবং নির্ভরযোগ্যতা অত্যন্ত গুরুত্বপূর্ণ।

  • ব্যবহারকারীর ডিভাইসে সার্টিফিকেট সংক্রান্ত সতর্কবার্তা প্রতিরোধ করতে গেস্ট পোর্টাল এবং PEAP স্থাপনের জন্য একটি বিশ্বস্ত পাবলিক সার্টিফিকেট অথরিটি (CA) দ্বারা ইস্যু করা সার্টিফিকেট ব্যবহার করুন।
  • EAP-TLS-এর জন্য, ক্লায়েন্ট এবং সার্ভার সার্টিফিকেট ইস্যু ও পরিচালনা করতে একটি ডেডিকেটেড অভ্যন্তরীণ প্রাইভেট CA প্রতিষ্ঠা করুন।
  • সার্টিফিকেটের মেয়াদ শেষ হওয়ার তারিখগুলো নিবিড়ভাবে পর্যবেক্ষণ করুন এবং আকস্মিক নেটওয়ার্ক-ব্যাপী অথেন্টিকেশন ব্যর্থতা রোধ করতে স্বয়ংক্রিয় নবায়ন প্রক্রিয়া (যেমন SCEP বা ACME) প্রয়োগ করুন।

VLAN সেগমেন্টেশন

VLANs ব্যবহার করে আপনার নেটওয়ার্ক ট্র্যাফিক কঠোরভাবে সেগমেন্ট করুন। গেস্ট ট্র্যাফিক অবশ্যই কর্পোরেট রিসোর্স থেকে সম্পূর্ণ আলাদা রাখতে হবে। গেস্ট VLAN এবং স্টাফ/ম্যানেজমেন্ট VLAN-এর মধ্যে ইন্টার-VLAN রাউটিং প্রতিরোধ করতে কোর সুইচ বা গেটওয়েতে ফায়ারওয়াল নিয়ম প্রয়োগ করুন। শুধুমাত্র গেস্ট ট্র্যাফিককে সরাসরি ইন্টারনেটে রাউট করার অনুমতি দিন।

সেশন টাইমআউট এবং অ্যাকাউন্টিং ইন্টারভাল

পুরানো সেশনগুলি যাতে IP অ্যাড্রেস এবং নেটওয়ার্ক রিসোর্স ব্যবহার না করে, সেজন্য উপযুক্ত সেশন টাইমআউট কনফিগার করুন।

  • স্টাফ নেটওয়ার্কের জন্য, একটি স্ট্যান্ডার্ড কাজের শিফটের সাথে মিল রেখে 8 থেকে 12 ঘন্টার সেশন টাইমআউট সেট করুন।
  • গেস্ট নেটওয়ার্কের জন্য, 2 থেকে 4 ঘন্টার একটি ছোট সেশন টাইমআউট সেট করুন।
  • RADIUS অ্যাকাউন্টিং অন্তর্বর্তীকালীন-আপডেট (interim-update) ইন্টারভাল 10 বা 15 মিনিটে কনফিগার করুন। এটি নিশ্চিত করে যে RADIUS সার্ভারটি অ্যাকাউন্টিং প্যাকেট দিয়ে ওভারলোডেড না হয়ে ডিভাইসের কানেক্টিভিটি এবং ডেটা ব্যবহারের নিয়মিত আপডেট পায়।

ট্রাবলশুটিং এবং ঝুঁকি হ্রাসকরণ

সাধারণ ব্যর্থতার মোড এবং সমাধান

১. শেয়ার্ড সিক্রেট অমিল (Shared Secret Mismatch)

  • লক্ষণ: WLC লগগুলিতে "RADIUS server not responding" দেখায় এবং RADIUS সার্ভার লগগুলিতে "Packet dropped - invalid authenticator" বা "Bad authenticator in request" দেখায়।
  • মূল কারণ: WLC-তে কনফিগার করা শেয়ার্ড সিক্রেটটি RADIUS সার্ভারে কনফিগার করা শেয়ার্ড সিক্রেটের সাথে মেলে না।
  • সমাধান: উভয় ডিভাইসেই শেয়ার্ড সিক্রেটটি পুনরায় প্রবেশ করান, নিশ্চিত করুন যে কোনও ট্রেইলিং স্পেস বা লুকানো অক্ষর কপি করা হয়নি।

২. সার্টিফিকেট ট্রাস্টের সমস্যা

  • লক্ষণ: ক্লায়েন্ট ডিভাইসগুলি স্টাফ SSID-এর সাথে কানেক্ট হতে ব্যর্থ হয়, যার ফলে "Untrusted Server Certificate" বা "Connection Rejected"-এর মতো ত্রুটিগুলি প্রদর্শিত হয়।
  • মূল কারণ: ক্লায়েন্ট ডিভাইসটি RADIUS সার্ভারের সার্টিফিকেট স্বাক্ষরকারী CA-কে বিশ্বাস করে না, অথবা সার্টিফিকেটের মেয়াদ শেষ হয়ে গেছে।
  • সমাধান: ক্লায়েন্ট ডিভাইসের বিশ্বস্ত রুট স্টোরে রুট এবং ইন্টারমিডিয়েট CA সার্টিফিকেট ইনস্টল করা আছে কিনা তা নিশ্চিত করুন। কর্পোরেট-পরিচালিত ডিভাইসগুলির জন্য, MDM বা গ্রুপ পলিসির মাধ্যমে এই সার্টিফিকেটগুলি পুশ করুন।

৩. ফায়ারওয়াল ব্লক

  • লক্ষণ: রাউটিং যাচাই করা সত্ত্বেও WLC থেকে RADIUS সার্ভার দ্বারা কোনো ট্র্যাফিক গ্রহণ করা হচ্ছে না।
  • মূল কারণ: মধ্যবর্তী ফায়ারওয়ালগুলি UDP পোর্ট 1812 এবং 1813 ব্লক করছে।
  • সমাধান: WLC ম্যানেজমেন্ট IP এবং RADIUS সার্ভার IP-এর মধ্যে UDP 1812 এবং 1813 (অথবা RadSec-এর জন্য TCP 2083) অনুমতি দেওয়ার জন্য স্পষ্ট ফায়ারওয়াল নিয়ম তৈরি করুন।

৪. লেটেন্সি-জনিত টাইমআউট

  • লক্ষণ: মাঝে মাঝে অথেনটিকেশন ব্যর্থতা, বিশেষ করে পিক আওয়ারে বা ক্লাউড-ভিত্তিক RADIUS সার্ভার ব্যবহার করার সময়।
  • মূল কারণ: নেটওয়ার্ক লেটেন্সি WLC-এর RADIUS টাইমআউট থ্রেশহোল্ড অতিক্রম করে, যার ফলে WLC মনে করে সার্ভারটি অফলাইনে আছে।
  • সমাধান: WLC-এর RADIUS টাইমআউট সেটিং ডিফল্ট (সাধারণত 2 সেকেন্ড) থেকে বাড়িয়ে 5 বা 7 সেকেন্ড করুন। WAN রাউটিং অপ্টিমাইজ করুন বা অথেনটিকেশন রিকোয়েস্ট ক্যাশ করার জন্য লোকাল RADIUS প্রক্সি প্রয়োগ করুন।

ROI এবং ব্যবসায়িক প্রভাব

একটি সেন্ট্রালাইজড RADIUS অথেনটিকেশন মডেলে স্থানান্তরিত হওয়া বিভিন্ন গুরুত্বপূর্ণ ক্ষেত্রে পরিমাপযোগ্য ব্যবসায়িক মূল্য প্রদান করে:

  • পরিচালন সংক্রান্ত অতিরিক্ত খরচ হ্রাস: কর্মীরা প্রতিষ্ঠান ছেড়ে চলে গেলে শেয়ার করা WiFi পাসওয়ার্ড পরিবর্তন করার জন্য প্রয়োজনীয় ম্যানুয়াল প্রচেষ্টা দূর করে। ব্যবহারকারীর অ্যাকাউন্টগুলো Active Directory বা আপনার আইডেন্টিটি প্রোভাইডারে তাৎক্ষণিকভাবে নিষ্ক্রিয় করা যেতে পারে, যা সরাসরি তাদের নেটওয়ার্ক অ্যাক্সেস বাতিল করে।
  • উন্নত নিরাপত্তা ব্যবস্থা: ক্রেডেনশিয়াল চুরি বা অননুমোদিত নেটওয়ার্ক অ্যাক্সেসের কারণে ডেটা লঙ্ঘনের ঝুঁকি কমায়। 802.1X এবং সার্টিফিকেট-ভিত্তিক প্রমাণীকরণ বাধ্যতামূলক করার মাধ্যমে, সংস্থাগুলো নিশ্চিত করে যে শুধুমাত্র অনুমোদিত, অনুগত ডিভাইসগুলোই সংবেদনশীল কর্পোরেট রিসোর্স অ্যাক্সেস করতে পারে।
  • অনুকূলিত ভেন্যু কার্যক্রম: গেস্ট WiFi-কে Purple-এর ক্লাউড RADIUS প্ল্যাটফর্মের সাথে সংহত করে, ভেন্যু অপারেটররা মূল্যবান জনসংখ্যাগত এবং আচরণগত ডেটা সংগ্রহ করতে পারে। এই ডেটা লক্ষ্যযুক্ত বিপণন ক্যাম্পেইন ডিজাইন করতে, ভিজিটরদের সম্পৃক্ততা বাড়াতে এবং ফুটফল অ্যানালিটিক্সের ভিত্তিতে ভৌত স্থানের ব্যবহার অপ্টিমাইজ করতে ব্যবহার করা যেতে পারে।
  • নিয়ন্ত্রণকারী সম্মতি: কেন্দ্রীভূত RADIUS অ্যাকাউন্টিং লগগুলো নেটওয়ার্ক অ্যাক্সেসের একটি অডিট ট্রেইল প্রদান করে, যা সংস্থাগুলোকে PCI-DSS, ISO 27001 এবং GDPR-এর মতো মানদণ্ডগুলোর সম্মতির প্রয়োজনীয়তা পূরণ করতে সহায়তা করে।

মূল সংজ্ঞাসমূহ

RADIUS

Remote Authentication Dial-In User Service। একটি নেটওয়ার্কিং প্রোটোকল যা কোনও নেটওয়ার্ক পরিষেবা সংযোগ এবং ব্যবহারকারী ব্যবহারকারীদের জন্য সেন্ট্রালাইজড Authentication, Authorization এবং Accounting ম্যানেজমেন্ট প্রদান করে।

এটি সেন্ট্রাল আইডেন্টিটি ডেটাবেসের সাথে ওয়্যারলেস নেটওয়ার্ক হার্ডওয়্যার সংযোগ করতে ব্যবহৃত একটি ইন্ডাস্ট্রি-স্ট্যান্ডার্ড প্রোটোকল।

Supplicant

ক্লায়েন্ট সফ্টওয়্যার বা ডিভাইস (যেমন একটি ল্যাপটপ, ফোন, বা ট্যাবলেট) যা একটি নেটওয়ার্কে অ্যাক্সেসের জন্য অনুরোধ করে এবং যাচাইকরণের জন্য ক্রেডেনশিয়াল বা সার্টিফিকেট প্রদান করে।

সফলভাবে অথেন্টিকেশনের জন্য supplicant-কে অবশ্যই RADIUS সার্ভারে কনফিগার করা নির্দিষ্ট EAP পদ্ধতি সমর্থন করতে হবে।

Authenticator

নেটওয়ার্ক ডিভাইস (সাধারণত একটি Wireless LAN Controller বা Access Point) যা নেটওয়ার্কে ফিজিক্যাল অ্যাক্সেস নিয়ন্ত্রণ করে এবং supplicant ও RADIUS সার্ভারের মধ্যে প্রক্সি হিসাবে কাজ করে।

authenticator নিজে ক্রেডেনশিয়াল যাচাই করে না; এটি কেবল সেগুলি RADIUS সার্ভারে ফরোয়ার্ড করে।

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security। একটি অত্যন্ত নিরাপদ অথেন্টিকেশন পদ্ধতি যা পরিচয় যাচাইকরণের জন্য ক্লায়েন্ট এবং সার্ভার উভয় ক্ষেত্রেই পারস্পরিক ডিজিটাল সার্টিফিকেট ব্যবহার করে।

এটি স্টাফ WiFi নেটওয়ার্কগুলিতে কর্পোরেট-পরিচালিত ডিভাইসগুলির জন্য পছন্দের অথেন্টিকেশন পদ্ধতি।

PEAP-MSCHAPv2

Protected Extensible Authentication Protocol with Microsoft Challenge Handshake Authentication Protocol version 2। একটি ক্রেডেনশিয়াল-ভিত্তিক অথেন্টিকেশন পদ্ধতি যা একটি এনক্রিপ্ট করা TLS টানেলের ভিতরে পাসওয়ার্ড ট্রান্সমিশন সুরক্ষিত করে।

এটি স্টাফ নেটওয়ার্কগুলির জন্য ব্যাপকভাবে ব্যবহৃত হয় কারণ এতে ক্লায়েন্ট-সাইড সার্টিফিকেটের প্রয়োজন হয় না, যা এটিকে EAP-TLS-এর চেয়ে মোতায়েন করা সহজ করে তোলে।

RadSec

একটি প্রোটোকল যা একটি Transport Layer Security (TLS) টানেলের মধ্যে স্ট্যান্ডার্ড RADIUS প্যাকেটগুলি মোড়ানোর মাধ্যমে RADIUS ট্র্যাফিক সুরক্ষিত করে, যা সাধারণত TCP port 2083-এর উপর চালিত হয়।

ক্লাউড-পরিচালিত WiFi নেটওয়ার্কগুলির জন্য অপরিহার্য যেখানে অথেন্টিকেশন ট্র্যাফিক অবশ্যই পাবলিক ইন্টারনেটের মাধ্যমে যাতায়াত করে।

Captive Portal

নতুন সংযুক্ত ওয়্যারলেস ব্যবহারকারীদের আরও ব্যাপক নেটওয়ার্ক অ্যাক্সেস দেওয়ার আগে তাদের সামনে প্রদর্শিত একটি ওয়েব পেজ। এটি সাধারণত গেস্ট প্রমাণীকরণ, পরিষেবার শর্তাবলী গ্রহণ এবং মার্কেটিং ডেটা সংগ্রহের জন্য ব্যবহৃত হয়।

Purple একটি ক্লাউড-হোস্টেড captive portal প্রদান করে যা RADIUS-এর মাধ্যমে স্থানীয় নেটওয়ার্ক হার্ডওয়্যারের সাথে একীভূত হয়।

MAC Authentication Bypass (MAB)

একটি প্রক্রিয়া যা একটি ক্লায়েন্ট ডিভাইসের MAC ঠিকানার উপর ভিত্তি করে নেটওয়ার্ক অ্যাক্সেস নিয়ন্ত্রণ সক্ষম করে। এটি সাধারণত এমন ডিভাইসগুলির জন্য ব্যবহৃত হয় যা 802.1X প্রমাণীকরণ সমর্থন করে না।

প্রায়শই গেস্ট WiFi নেটওয়ার্কে ব্যবহৃত হয় যাতে ডিভাইসগুলি বারবার captive portal না দেখেই নির্বিঘ্নে পুনরায় সংযোগ করতে পারে।

সমাধানকৃত উদাহরণসমূহ

১৫০টি স্টোর সহ একটি মাল্টি-সাইট রিটেইল ব্র্যান্ড একটি সুরক্ষিত staff WiFi নেটওয়ার্ক ডিপ্লয় করতে চায়। তারা বর্তমানে সমস্ত স্টোর জুড়ে একটি একক প্রি-শেয়ার্ড কী (PSK) ব্যবহার করে, যা প্রায়শই ফাঁস হয়ে যায়। তাদের এমন একটি সমাধান প্রয়োজন যা তাদের বিদ্যমান Microsoft Azure Active Directory (বর্তমানে Microsoft Entra ID)-এর সাথে একীভূত হয় এবং এটি নিশ্চিত করে যে কর্মীরা কেবল কর্পোরেট-পরিচালিত ল্যাপটপ ব্যবহার করেই অথেন্টিকেট করতে পারবেন।

এটি সমাধান করার জন্য, আমরা ক্লাউড-ভিত্তিক RADIUS সার্ভিসের মাধ্যমে Microsoft Entra ID-এর সাথে একীভূত করে EAP-TLS authentication সহ WPA3-Enterprise ইমপ্লিমেন্ট করব।

  1. একটি Private CA প্রতিষ্ঠা করুন: সমস্ত কর্পোরেট-পরিচালিত ল্যাপটপে ডিভাইস সার্টিফিকেট ইস্যু করার জন্য একটি ক্লাউড-ভিত্তিক পাবলিক কী ইনফ্রাস্ট্রাকচার (PKI) ডিপ্লয় করুন বা একটি বিদ্যমান Active Directory Certificate Services (AD CS) ডিপ্লয়মেন্ট ব্যবহার করুন।
  2. সার্টিফিকেট ডিস্ট্রিবিউশন: প্রতিটি পরিচালিত ল্যাপটপে Root CA সার্টিফিকেট এবং একটি অনন্য ক্লায়েন্ট সার্টিফিকেট স্বয়ংক্রিয়ভাবে ডিস্ট্রিবিউট করতে সংস্থার মোবাইল ডিভাইস ম্যানেজমেন্ট (MDM) সিস্টেম (যেমন, Microsoft Intune) কনফিগার করুন। ক্লায়েন্ট সার্টিফিকেটে অবশ্যই সাবজেক্ট অল্টারনেটিভ নেম (SAN)-এ ডিভাইসের হোস্ট নেম বা সিরিয়াল নম্বর অন্তর্ভুক্ত থাকতে হবে।
  3. ক্লাউড RADIUS সার্ভার কনফিগার করুন: একটি ক্লাউড RADIUS সার্ভিস সেট আপ করুন যা Microsoft Entra ID-এর সাথে একীভূত হয়। ট্রাস্টেড Private CA-এর বিপরীতে ইনকামিং ক্লায়েন্ট সার্টিফিকেট যাচাই করার জন্য RADIUS সার্ভারটি কনফিগার করুন।
  4. WLC/AP-গুলি কনফিগার করুন: প্রতিটি রিটেইল স্টোরের ওয়্যারলেস কন্ট্রোলারে, Retail_Staff নামে একটি নতুন SSID কনফিগার করুন। সিকিউরিটি WPA3-Enterprise-এ সেট করুন এবং পাবলিক ইন্টারনেটে অথেন্টিকেশন ট্রাফিক সুরক্ষিত করতে RadSec (TCP পোর্ট ২০৮৩) ব্যবহার করে ক্লাউড RADIUS সার্ভার IP-তে অথেন্টিকেশন নির্দেশ করুন।
  5. অ্যাক্সেস পলিসি সংজ্ঞায়িত করুন: RADIUS সার্ভারে, একটি পলিসি তৈরি করুন যা কেবল তখনই অ্যাক্সেসের অনুমতি দেয় যদি ক্লায়েন্ট সার্টিফিকেটটি বৈধ হয়, সার্টিফিকেটটি বাতিল করা না হয় (CRL বা OCSP-এর মাধ্যমে যাচাই করা হয়), এবং ডিভাইসের পরিচয় Microsoft Entra ID-এর মধ্যে বিদ্যমান এবং সক্রিয় থাকে।
পরীক্ষকের মন্তব্য: এই সমাধানটি সিকিউরিটি এবং স্কেলেবিলিটি উভয়ই সমাধান করে। PEAP-MSCHAPv2-এর পরিবর্তে EAP-TLS বেছে নিয়ে, ব্র্যান্ডটি ক্রেডেন্সিয়াল-ভিত্তিক অ্যাটাকের (যেমন পাসওয়ার্ড স্প্রেয়িং বা ম্যান-ইন-দ্য-মিডল অ্যাটাক) ঝুঁকি দূর করে। এখানে RadSec ব্যবহার করা অত্যন্ত গুরুত্বপূর্ণ কারণ অথেন্টিকেশন ট্রাফিককে পৃথক রিটেইল স্টোর থেকে ক্লাউড RADIUS সার্ভারে পাবলিক ইন্টারনেটের মাধ্যমে যাতায়াত করতে হবে। এটি অথেন্টিকেশন পে-লোডের সম্পূর্ণ এনক্রিপশন নিশ্চিত করে।

একই সাথে ২০,০০০ পর্যন্ত ব্যবহারকারীকে হোস্ট করতে সক্ষম একটি বড় কনভেনশন সেন্টারে একটি guest WiFi নেটওয়ার্ক ডিপ্লয় করতে হবে। নেটওয়ার্কটিতে অবশ্যই একটি captive portal-এর মাধ্যমে নিরবচ্ছিন্ন লগইন অভিজ্ঞতা দিতে হবে, ব্যান্ডউইথ হোর্ডিং প্রতিরোধ করতে ৩ ঘণ্টার সেশন লিমিট কার্যকর করতে হবে এবং GDPR মেনে মার্কেটিং সম্মতি সংগ্রহ করতে হবে। এর ইনফ্রাস্ট্রাকচারটি Cisco Catalyst WLC দ্বারা গঠিত।

আমরা Purple প্ল্যাটফর্মের সাথে একীভূত MAC Authentication Bypass (MAB) এবং captive portal রিডাইরেকশন সহ একটি Open SSID মোতায়েন করব।

  1. Guest SSID কনফিগার করুন: Cisco WLC-তে Convention_Guest নামে একটি SSID তৈরি করুন। সিকিউরিটি Open-এ সেট করুন। MAC Filtering সক্ষম করুন এবং Purple-এর সাথে যুক্ত RADIUS সার্ভার গ্রুপটি নির্বাচন করুন।
  2. Redirection কনফিগার করুন: অ-অথেন্টিকেটেড ব্যবহারকারীদের Purple captive portal URL-এ রিডাইরেক্ট করতে WLC-তে একটি Web Auth পলিসি সেট আপ করুন: https://portal.purplewifi.net/...
  3. Walled Garden কনফিগার করুন: WLC-তে GUEST_RED_ACL নামে একটি Access Control List (ACL) তৈরি করুন। এই ACL-টিতে অবশ্যই DNS ট্র্যাফিক (UDP port 53), DHCP ট্র্যাফিক (UDP ports 67 এবং 68), এবং Purple-এর IP রেঞ্জ এবং CDN-এ আসা-যাওয়ার ট্র্যাফিক অনুমোদিত হতে হবে। অন্যান্য সমস্ত HTTP/HTTPS ট্র্যাফিক রিডাইরেক্ট করতে হবে।
  4. RADIUS Accounting কনফিগার করুন: ১০ মিনিটের অন্তর্বর্তীকালীন-আপডেট ব্যবধান সহ Purple-এর অ্যাকাউন্টিং সার্ভারগুলিকে নির্দেশ করে WLC-তে RADIUS অ্যাকাউন্টিং সক্ষম করুন।
  5. Session Limits কনফিগার করুন: Purple portal ড্যাশবোর্ডে, ৩ ঘণ্টার সেশন টাইমআউট প্রয়োগ করতে অ্যাক্সেস জার্নি কনফিগার করুন। যখন একজন ব্যবহারকারী লগইন সম্পূর্ণ করেন এবং GDPR-সম্মত মার্কেটিং শর্তাবলী স্বীকার করেন, তখন Purple-এর RADIUS সার্ভার Cisco WLC-তে ১০৮০০ সেকেন্ড (৩ ঘণ্টা) সেট করা Session-Timeout অ্যাট্রিবিউট সহ একটি Access-Accept প্যাকেট পাঠায়।
  6. Re-authentication Flow: ৩ ঘণ্টা পর, WLC সেশনটি বন্ধ করে দেয়। ব্যবহারকারী যদি আবার সংযোগ করার চেষ্টা করেন, তবে তাদের পুনরায় অথেন্টিকেশনের জন্য captive portal-এ রিডাইরেক্ট করা হয়।
পরীক্ষকের মন্তব্য: কনভেনশন সেন্টারের মতো উচ্চ-ঘনত্বের পরিবেশে, IP অ্যাড্রেস পুল এবং সেশনের অবস্থা পরিচালনা করা অত্যন্ত গুরুত্বপূর্ণ। RADIUS অ্যাট্রিবিউটের মাধ্যমে একটি কঠোর ৩-ঘণ্টার সেশন টাইমআউট প্রয়োগ করা নিশ্চিত করে যে নিষ্ক্রিয় ডিভাইসগুলি IP অ্যাড্রেসগুলি ধরে রাখছে না, যা DHCP পুলের ঘাটতি রোধ করে। MAB ব্যবহার নিশ্চিত করে যে একবার অথেন্টিকেটেড হয়ে গেলে, সেশনের সময়কালের জন্য ব্যবহারকারীর MAC অ্যাড্রেস ক্যাশ করা থাকে, যাতে ডিভাইসটি সাময়িকভাবে স্লিপ মোডে গেলে বিরক্তিকর সংযোগ বিচ্ছিন্নতা রোধ করা যায়।

অনুশীলনী প্রশ্নসমূহ

Q1. একটি সংস্থা সম্প্রতি তাদের RADIUS সার্ভারে SSL সার্টিফিকেট পুনর্নবীকরণ করেছে। এর ঠিক পরেই, বেশ কয়েকটি কর্পোরেট-পরিচালিত Windows ল্যাপটপ Staff WiFi নেটওয়ার্কে সংযোগ করতে পারছিল না, যেখানে macOS এবং iOS ডিভাইসগুলি কোনো সমস্যা ছাড়াই সংযুক্ত হয়েছিল। এই সমস্যার সবচেয়ে সম্ভাব্য কারণ কী এবং কীভাবে এটির সমাধান করা উচিত?

ইঙ্গিত: বিভিন্ন অপারেটিং সিস্টেম কীভাবে সার্ভার সার্টিফিকেট যাচাই করে এবং সার্টিফিকেট অথরিটি (CA) চেইনের ভূমিকা বিবেচনা করুন।

মডেল উত্তর দেখুন

সবচেয়ে সম্ভাব্য কারণ হল নতুন RADIUS সার্ভার সার্টিফিকেট একটি ভিন্ন Certificate Authority (CA) বা ইন্টারমিডিয়েট CA দ্বারা জারি করা হয়েছিল যা প্রভাবিত Windows ল্যাপটপ দ্বারা বিশ্বস্ত নয়, অথবা Windows গ্রুপ পলিসি একটি নির্দিষ্ট সার্ভারের নাম বা রুট CA যাচাই করার জন্য কনফিগার করা হয়েছে যা নতুন সার্টিফিকেটের সাথে মেলে না। macOS এবং iOS ডিভাইসগুলি প্রায়শই বেশি শিথিল হয় বা ব্যবহারকারীকে ম্যানুয়ালি নতুন সার্টিফিকেট বিশ্বাস করার জন্য অনুরোধ করে, যেখানে Windows এন্টারপ্রাইজ কনফিগারেশনগুলি অনুরোধ ছাড়াই অবিশ্বাস্য সার্টিফিকেটগুলির সাথে সংযোগ কঠোরভাবে ব্লক করে। এটি সমাধান করতে, যাচাই করুন যে নতুন CA-এর রুট এবং ইন্টারমিডিয়েট সার্টিফিকেটগুলি গ্রুপ পলিসি বা MDM-এর মাধ্যমে সমস্ত Windows ডিভাইসে বিতরণ করা হয়েছে এবং নতুন CA-কে বিশ্বাস করতে ওয়্যারলেস প্রোফাইল কনফিগারেশন আপডেট করুন।

Q2. একটি বড় স্পোর্টস স্টেডিয়ামে পিক আওয়ারের সময়, গেস্ট WiFi ব্যবহারকারীরা রিপোর্ট করছেন যে তারা সফলভাবে captive portal নিবন্ধন সম্পন্ন করছেন কিন্তু ইন্টারনেটে রিডাইরেক্ট হচ্ছেন না। পরিবর্তে, তাদের বারবার captive portal লগইন পেজ দেখানো হচ্ছে। WLC লগ 'RADIUS authentication timeout' প্রদর্শন করছে। আপনি কীভাবে এই সমস্যাটি সনাক্ত এবং সমাধান করবেন?

ইঙ্গিত: RADIUS প্যাকেটের পথ এবং ওয়্যারলেস কন্ট্রোলারে টাইমআউট সেটিংস বিশ্লেষণ করুন।

মডেল উত্তর দেখুন

এটি একটি ক্লাসিক ল্যাটেন্সি-জনিত টাইমআউট সমস্যা। পিক আওয়ারের সময়, উচ্চ ট্রাফিকের পরিমাণের কারণে WAN লিঙ্কে কনজেশন বা RADIUS সার্ভারে উচ্চ CPU ব্যবহার হয়, যার ফলে RADIUS Access-Accept প্রতিক্রিয়া বিলম্বিত হয়। যেহেতু WLC-এর ডিফল্ট টাইমআউট খুব কম সেট করা থাকে (সাধারণত ২ সেকেন্ড), তাই WLC ধরে নেয় যে RADIUS সার্ভারটি অফলাইন এবং সেশনটি ড্রপ করে দেয়, যা ব্যবহারকারীকে আবার captive portal-এ ফিরে যেতে বাধ্য করে। সনাক্ত করতে, পিক আওয়ারের সময় RADIUS প্যাকেটের রাউন্ড-ট্রিপ সময় (RTT) পরীক্ষা করুন। সমাধান করতে: ১) WLC-তে RADIUS টাইমআউট ৫ বা ৭ সেকেন্ডে বৃদ্ধি করুন। ২) পুনরায় চেষ্টা করার সংখ্যা (retry count) ৩-এ বৃদ্ধি করুন। ৩) সাধারণ গেস্ট ইন্টারনেট ট্রাফিকের তুলনায় RADIUS ট্রাফিককে (UDP 1812/1813) অগ্রাধিকার দিতে WAN গেটওয়েতে Quality of Service (QoS) প্রয়োগ করুন।

Q3. একটি সিকিউরিটি অডিটে দেখা গেছে যে গেস্ট WiFi ব্যবহারকারীরা নেটওয়ার্ক সুইচ এবং WLC-এর অভ্যন্তরীণ ম্যানেজমেন্ট ইন্টারফেস অ্যাক্সেস করতে পারছে। গেস্ট নেটওয়ার্কটি একটি captive portal সহ একটি Open SSID হিসাবে কনফিগার করা হয়েছে। এই দুর্বলতা দূর করতে কী ধরনের আর্কিটেকচারাল পরিবর্তন করতে হবে?

ইঙ্গিত: নেটওয়ার্ক সেগমেন্টেশন এবং কোথায় অ্যাক্সেস কন্ট্রোল পলিসি প্রয়োগ করা উচিত সে সম্পর্কে চিন্তা করুন।

মডেল উত্তর দেখুন

এই দুর্বলতা দূর করতে, কঠোর নেটওয়ার্ক সেগমেন্টেশন প্রয়োগ করতে হবে। প্রথমত, নিশ্চিত করুন যে Guest SSID একটি ডেডিকেটেড Guest VLAN (যেমন, VLAN 20)-এ ম্যাপ করা হয়েছে যা Staff VLAN এবং Management VLAN (যেখানে সুইচ এবং WLC থাকে) থেকে সম্পূর্ণ আলাদা। দ্বিতীয়ত, নেটওয়ার্ক ইনফ্রাস্ট্রাকচারের ম্যানেজমেন্ট আইপি-গুলিকে লক্ষ্য করে গেস্ট VLAN থেকে উৎপন্ন এবং যেকোনো অভ্যন্তরীণ প্রাইভেট আইপি সাবনেট (RFC 1918 রেঞ্জ) অভিমুখে সমস্ত ট্রাফিক ব্লক করতে কোর রাউটার বা গেটওয়েতে Access Control Lists (ACLs) বা ফায়ারওয়াল নিয়ম কনফিগার করুন। গেস্ট VLAN-এর কেবল ইন্টারনেটে এবং প্রাক-প্রমাণীকরণের জন্য প্রয়োজনীয় নির্দিষ্ট DNS সার্ভার এবং captive portal আইপি-তে রাউটিং পাথ থাকা উচিত।

এই সিরিজে পড়া চালিয়ে যান

Passpoint এবং OpenRoaming: সম্পূর্ণ নির্দেশিকা

এই প্রযুক্তিগত রেফারেন্স নির্দেশিকাটি এন্টারপ্রাইজ WiFi নেটওয়ার্কের মধ্যে Passpoint (Hotspot 2.0) এবং WBA OpenRoaming ফ্রেমওয়ার্কের একটি বিস্তৃত বিশ্লেষণ প্রদান করে। এটি একটি নিরাপদ, ঝামেলামুক্ত অতিথি সংযোগ স্থাপন করার জন্য প্রয়োজনীয় অন্তর্নিহিত প্রমাণীকরণ প্রোটোকল, আর্কিটেকচারাল উপাদান এবং স্থাপনার কৌশলগুলি বিস্তারিতভাবে বর্ণনা করে। নেটওয়ার্ক স্থপতি এবং IT লিডাররা এন্টারপ্রাইজ-গ্রেড নিরাপত্তা বজায় রেখে ম্যানুয়াল লগইন বাধাগুলি দূর করতে কীভাবে এই মানগুলি ডিজাইন, বাস্তবায়ন এবং সমস্যা সমাধান করবেন তা শিখবেন।

গাইডটি পড়ুন →

উচ্চশিক্ষায় সুরক্ষিত BYOD এবং নেটওয়ার্ক এনরোলমেন্টের জন্য কীভাবে SCEP বাস্তবায়ন করবেন

এই প্রযুক্তিগত নির্দেশিকাটি নেটওয়ার্ক আর্কিটেক্ট এবং IT ম্যানেজারদের উচ্চশিক্ষার ক্যাম্পাস নেটওয়ার্ক সুরক্ষিত করতে SCEP ভিত্তিক সার্টিফিকেট এনরোলমেন্ট স্থাপনের জন্য একটি ভেন্ডর - নিরপেক্ষ ব্লুপ্রিন্ট প্রদান করে। এটি কীভাবে পাসওয়ার্ড ভিত্তিক PEAP থেকে 802.1X EAP-TLS-এ স্থানান্তরিত হতে হবে, BYOD অনবোর্ডিং স্বয়ংক্রিয় করতে হবে এবং শক্তিশালী VLAN সেগমেন্টেশন কার্যকর করতে হবে তা বিস্তারিতভাবে বর্ণনা করে।

গাইডটি পড়ুন →

Server RADIUS: ব্যবসার জন্য একটি বিস্তৃত নির্দেশিকা

এই নির্দেশিকাটি IT ম্যানেজার, নেটওয়ার্ক আর্কিটেক্ট এবং CTO-দের এন্টারপ্রাইজ WiFi-এর জন্য Server RADIUS অথেন্টিকেশনের একটি সুনির্দিষ্ট টেকনিক্যাল রেফারেন্স প্রদান করে। এটি AAA ফ্রেমওয়ার্ক, 802.1X আর্কিটেকচার, EAP পদ্ধতি নির্বাচন, ক্লাউড বনাম অন-প্রিমিসেস স্থাপনার সুবিধা-অসুবিধা এবং ডাইনামিক VLAN অ্যাসাইনমেন্ট কভার করে। আতিথেয়তা, খুচরা ব্যবসা, ইভেন্ট এবং পাবলিক সেক্টর জুড়ে ভেন্যু অপারেটররা অনিরাপদ প্রি-শেয়ার্ড কী থেকে একটি সুরক্ষিত, আইডেন্টিটি-চালিত নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল আর্কিটেকচারে স্থানান্তরিত হওয়ার জন্য প্রয়োজনীয় কার্যকর বাস্তবায়ন নির্দেশিকা, বাস্তব-জগতের কেস স্টাডি এবং সিদ্ধান্ত গ্রহণের ফ্রেমওয়ার্ক পাবেন।

গাইডটি পড়ুন →