মূল কন্টেন্টে যান
বাংলা

eduroam এবং 802.1X: উচ্চশিক্ষার জন্য নিরাপদ WiFi প্রমাণীকরণ

এই প্রামাণিক টেকনিক্যাল রেফারেন্স গাইডটি eduroam এবং 802.1X প্রমাণীকরণের আর্কিটেকচার, ডিপ্লয়মেন্ট এবং নিরাপত্তা ব্যাখ্যা করে। আইটি ম্যানেজার এবং নেটওয়ার্ক আর্কিটেক্টদের জন্য ডিজাইন করা এই গাইডে ব্যবহারিক ইমপ্লিমেন্টেশন পদক্ষেপ, EAP মেথড নির্বাচন এবং ভেন্যু অপারেটররা কীভাবে নিরাপদে একাডেমিক রোমিং সমর্থন করতে পারে তা কভার করা হয়েছে।

📖 6 মিনিট পাঠ📝 1,343 শব্দ🔧 3 সমাধানকৃত উদাহরণ3 অনুশীলনী প্রশ্ন📚 8 মূল সংজ্ঞা

এই গাইডটি শুনুন

পডকাস্ট ট্রান্সক্রিপ্ট দেখুন
পডকাস্ট স্ক্রিপ্ট: eduroam এবং 802.1X — উচ্চশিক্ষার জন্য নিরাপদ WiFi প্রমাণীকরণ রানটাইম: প্রায় ১০ মিনিট ভয়েস: ইউকে ইংরেজি, পুরুষ, সিনিয়র কনসালট্যান্ট টোন — আত্মবিশ্বাসী, কথোপকথনমূলক, প্রামাণিক --- [ইন্ট্রো — ১ মিনিট] আবারও স্বাগতম। আমি আগামী দশ মিনিট আপনাদের eduroam এবং 802.1X সম্পর্কে জানাবো — এগুলি কী, এগুলি আসলে কীভাবে কাজ করে এবং এগুলির কোনোটি ডিপ্লয় বা ইন্টিগ্রেট করার আগে আপনার টিমের কী জানা প্রয়োজন। আপনি যদি কোনো বিশ্ববিদ্যালয়, কলেজ বা গবেষণা প্রতিষ্ঠানের আইটি ম্যানেজার, নেটওয়ার্ক আর্কিটেক্ট বা CTO হন — অথবা আপনি যদি এমন একজন ভেন্যু অপারেটর হন যাকে বুঝতে হবে যে আপনার একাডেমিক দর্শনার্থীরা আপনার ওয়্যারলেস ইনফ্রাস্ট্রাকচার থেকে কী প্রত্যাশা করছে — তবে এই ব্রিফিংটি আপনার জন্য। চলুন বড় পরিসরে শুরু করা যাক। eduroam-এর অর্থ হলো "এডুকেশন রোমিং"। এটি একটি গ্লোবাল WiFi রোমিং পরিষেবা যা সদস্য প্রতিষ্ঠানগুলির শিক্ষার্থী, গবেষক এবং কর্মীদের যেকোনো অংশগ্রহণকারী ভেন্যুতে ইন্টারনেটের সাথে কানেক্ট হতে দেয় — স্বয়ংক্রিয়ভাবে, নিরাপদে, তাদের হোম প্রতিষ্ঠানের ক্রেডেনশিয়াল ব্যবহার করে। কোনো গেস্ট পোর্টাল নেই। কোনো ভাউচার কোড নেই। ফ্রন্ট ডেস্কে পাসওয়ার্ড চাওয়ার কোনো প্রয়োজন নেই। এটি ২০০৩ সাল থেকে চলছে, এটি এখন ১০০টিরও বেশি দেশে ১০,০০০-এরও বেশি প্রতিষ্ঠান কভার করে এবং এটি বিশ্বব্যাপী উচ্চশিক্ষায় ক্যাম্পাস ওয়্যারলেস নেটওয়ার্কিংয়ের ডি ফ্যাক্টো স্ট্যান্ডার্ড। যদি আপনার সংস্থা বিশ্ববিদ্যালয়গুলির সাথে যুক্ত থাকে — আপনি ক্যাম্পাসের কাছের কোনো হোটেল, একাডেমিক ইভেন্ট হোস্ট করা কোনো কনফারেন্স সেন্টার বা বিশ্ববিদ্যালয় শহরের কোনো পাবলিক লাইব্রেরি হোন না কেন — eduroam বোঝা আপনার নেটওয়ার্ক স্ট্র্যাটেজির সাথে সরাসরি প্রাসঙ্গিক। --- [টেকনিক্যাল ডিপ-ডাইভ — ৫ মিনিট] ঠিক আছে। চলুন এর মেকানিক্সে প্রবেশ করা যাক। eduroam IEEE 802.1X-এর ওপর তৈরি — যা পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল স্ট্যান্ডার্ড। 802.1X কোনো নেটওয়ার্কে অ্যাক্সেস দেওয়ার আগে ডিভাইসগুলিকে প্রমাণীকরণ করার জন্য একটি ফ্রেমওয়ার্ক সংজ্ঞায়িত করে। এটি প্রাথমিকভাবে ওয়্যারড ইথারনেটের জন্য ডিজাইন করা হয়েছিল তবে এটি ওয়্যারলেসেও সুন্দরভাবে ম্যাপ করে এবং এটিই হলো সেই ভিত্তি যাকে আমরা WPA2-Enterprise বা WPA3-Enterprise নিরাপত্তা বলি। 802.1X মডেলের তিনটি উপাদান রয়েছে। প্রথমত, সাপ্লিক্যান্ট — এটি হলো সেই ডিভাইস যা কানেক্ট করার চেষ্টা করছে। একজন শিক্ষার্থীর ল্যাপটপ, একজন গবেষকের ফোন। দ্বিতীয়ত, অথেনটিকেটর — এটি হলো আপনার নেটওয়ার্ক অ্যাক্সেস পয়েন্ট বা ম্যানেজড সুইচ। এটি সাপ্লিক্যান্ট এবং নেটওয়ার্কের বাকি অংশের মধ্যে থাকে এবং একটি গেটকিপার হিসেবে কাজ করে। তৃতীয়ত, অথেনটিকেশন সার্ভার — প্রায় সবসময়ই একটি RADIUS সার্ভার। RADIUS-এর পূর্ণরূপ হলো রিমোট অথেনটিকেশন ডায়াল-ইন ইউজার সার্ভিস। এটি হলো সেই উপাদান যা প্রকৃতপক্ষে ক্রেডেনশিয়াল যাচাই করে। হ্যান্ডশেক কীভাবে কাজ করে তা এখানে দেওয়া হলো। শিক্ষার্থীর ডিভাইস ওয়্যারলেস অ্যাক্সেস পয়েন্টের সাথে যুক্ত হয়। অ্যাক্সেস পয়েন্টটি এখনও সম্পূর্ণ নেটওয়ার্ক অ্যাক্সেস দেয় না — এটি একটি নিয়ন্ত্রিত পোর্ট খোলে, তবে শুধুমাত্র EAP ট্রাফিকের জন্য। EAP হলো এক্সটেনসিবল অথেনটিকেশন প্রোটোকল। অ্যাক্সেস পয়েন্টটি ডিভাইস এবং RADIUS সার্ভারের মধ্যে EAP কথোপকথন প্রক্সি করে। RADIUS সার্ভার ডিভাইসটিকে চ্যালেঞ্জ করে, ডিভাইসটি ক্রেডেনশিয়াল দিয়ে সাড়া দেয় — সাধারণত একটি ইউজারনেম এবং পাসওয়ার্ড, বা একটি সার্টিফিকেট — এবং যদি RADIUS সার্ভার সন্তুষ্ট হয়, তবে এটি একটি Access-Accept মেসেজ ফেরত পাঠায়। এরপর অ্যাক্সেস পয়েন্টটি সম্পূর্ণ নেটওয়ার্ক পোর্ট খুলে দেয়। একটি ভালোভাবে কনফিগার করা ডিপ্লয়মেন্টে পুরো আদান-প্রদানটি দুই সেকেন্ডের কম সময় নেয়। এখন, এর ওপর eduroam কোথায় লেয়ার করে? eduroam একটি হায়ারার্কিকাল RADIUS প্রক্সি ইনফ্রাস্ট্রাকচার ব্যবহার করে। প্রতিটি অংশগ্রহণকারী প্রতিষ্ঠান তাদের নিজস্ব RADIUS সার্ভার চালায় — যাকে আইডেন্টিটি প্রোভাইডার বা IdP বলা হয়। যখন, ধরুন, ইউনিভার্সিটি অফ ম্যানচেস্টারের একজন শিক্ষার্থী ইম্পেরিয়াল কলেজ লন্ডনে যান এবং eduroam SSID-এর সাথে কানেক্ট করেন, তখন তাদের ডিভাইস username@manchester.ac.uk ফরম্যাটে তাদের ক্রেডেনশিয়াল পাঠায়। ইম্পেরিয়ালের RADIUS সার্ভার রিয়েলমটি দেখে — যা @ চিহ্নের পরের অংশ — এবং প্রমাণীকরণ অনুরোধটিকে জাতীয় RADIUS সার্ভারে প্রক্সি করে, যা ইউকে-তে জাতীয় গবেষণা এবং শিক্ষা নেটওয়ার্ক Jisc দ্বারা পরিচালিত হয়। এরপর Jisc অনুরোধটিকে ইউনিভার্সিটি অফ ম্যানচেস্টারের RADIUS সার্ভারে রাউট করে, যা ক্রেডেনশিয়াল যাচাই করে এবং একটি Accept বা Reject ফেরত পাঠায়। পুরো চেইনটি কয়েক মিলিসেকেন্ডের মধ্যে সমাধান হয়ে যায়। এই প্রক্সি চেইনটিই প্রতিষ্ঠানগুলির মধ্যে কোনো প্রি-শেয়ার্ড সিক্রেট ছাড়াই eduroam-কে প্রাতিষ্ঠানিক সীমানা পেরিয়ে কাজ করতে সাহায্য করে। চেইনের প্রতিটি হপ শুধুমাত্র তার নিকটবর্তী প্রতিবেশীর সাথে একটি শেয়ার্ড RADIUS সিক্রেট ব্যবহার করে। শিক্ষার্থীর আসল পাসওয়ার্ড কখনোই হোম প্রতিষ্ঠানের RADIUS সার্ভার ছেড়ে যায় না — এটি EAP টানেল দ্বারা এন্ড-টু-এন্ড সুরক্ষিত থাকে। EAP মেথডের কথা বলতে গেলে — এখানেই অনেক ডিপ্লয়মেন্ট ভুল হয়ে যায়, তাই মনোযোগ দিন। eduroam-এ সবচেয়ে সাধারণ EAP মেথডগুলি হলো PEAP — প্রোটেক্টেড EAP — এবং EAP-TLS। PEAP একটি TLS টানেলের ভেতরে একটি অভ্যন্তরীণ প্রমাণীকরণ মেথড, সাধারণত MSCHAPv2-কে র‍্যাপ করে। এর জন্য RADIUS সার্ভারে একটি সার্ভার-সাইড সার্টিফিকেট প্রয়োজন, তবে ক্লায়েন্টের শুধুমাত্র একটি ইউজারনেম এবং পাসওয়ার্ড প্রয়োজন। EAP-TLS হলো আরও সুরক্ষিত বিকল্প — এটি মিউচুয়াল সার্টিফিকেট প্রমাণীকরণ ব্যবহার করে, যার অর্থ সার্ভার এবং ক্লায়েন্ট উভয়ই সার্টিফিকেট উপস্থাপন করে। এটি বড় পরিসরে ডিপ্লয় করা কঠিন কারণ ক্লায়েন্ট সার্টিফিকেট ইস্যু করার জন্য আপনার একটি PKI প্রয়োজন, তবে এটি মূলত ক্রেডেনশিয়াল ফিশিং থেকে মুক্ত। অনেক প্রতিষ্ঠান যে গুরুত্বপূর্ণ নিরাপত্তার প্রয়োজনীয়তাটি ভুল করে তা হলো ক্লায়েন্ট সাইডে সার্টিফিকেট ভ্যালিডেশন। যখন কোনো ডিভাইস PEAP ব্যবহার করে eduroam-এর সাথে কানেক্ট হয়, তখন ক্রেডেনশিয়াল জমা দেওয়ার আগে ডিভাইসটিকে অবশ্যই RADIUS সার্ভারের সার্টিফিকেট যাচাই করতে হবে। যদি ডিভাইসটি যেকোনো সার্টিফিকেট গ্রহণ করার জন্য মিসকনফিগার করা থাকে, তবে একজন আক্রমণকারী eduroam SSID সম্প্রচারকারী একটি রগ অ্যাক্সেস পয়েন্ট দাঁড় করাতে পারে, একটি সেলফ-সাইন্ড সার্টিফিকেট উপস্থাপন করতে পারে এবং ক্রেডেনশিয়াল চুরি করতে পারে। এটি একটি পরিচিত অ্যাটাক ভেক্টর। এর প্রতিকার হলো আপনার সাপ্লিক্যান্ট প্রোফাইলগুলি কনফিগার করা — ম্যানেজড ডিভাইসের জন্য MDM-এর মাধ্যমে, বা ব্যক্তিগত ডিভাইসের জন্য eduroam Configuration Assistant Tool, যা CAT নামে পরিচিত, তার মাধ্যমে — যাতে প্রত্যাশিত সার্টিফিকেট অথরিটি এবং সার্ভারের নাম পিন করা যায়। স্ট্যান্ডার্ডের দৃষ্টিকোণ থেকে, eduroam ডিপ্লয়মেন্টগুলি eduroam পলিসি সার্ভিস ডেফিনিশন মেনে চলবে বলে আশা করা হয়, যা সমস্ত RADIUS over TLS কানেকশনের জন্য TLS 1.2 বা উচ্চতর বাধ্যতামূলক করে, EAP-MD5 বা LEAP-এর মতো দুর্বল EAP মেথডগুলির ব্যবহার নিষিদ্ধ করে এবং যেখানে সম্ভব প্লেইন UDP RADIUS-এর পরিবর্তে সমস্ত RADIUS প্রক্সি কানেকশনে RadSec — RADIUS over TLS — ব্যবহার করা প্রয়োজন। এটি ইউকে-তে NCSC নির্দেশিকা এবং ইউএস-এ NIST SP 800-120-এর সাথে সামঞ্জস্যপূর্ণ। আরও একটি টেকনিক্যাল পয়েন্ট উল্লেখ করার মতো: VLAN অ্যাসাইনমেন্ট। একটি সুগঠিত eduroam ডিপ্লয়মেন্টে, RADIUS Access-Accept রেসপন্সে VLAN অ্যাট্রিবিউট অন্তর্ভুক্ত থাকে যা অ্যাক্সেস পয়েন্টকে বলে দেয় যে কানেক্টিং ডিভাইসটিকে কোন VLAN-এ অ্যাসাইন করতে হবে। এটি আপনাকে ট্রাফিক সেগমেন্ট করতে দেয় — ভিজিটিং শিক্ষার্থীদের শুধুমাত্র ইন্টারনেট অ্যাক্সেস সহ একটি নিয়ন্ত্রিত VLAN-এ রাখা, যেখানে আপনার নিজস্ব কর্মীদের ইন্টারনাল নেটওয়ার্কে রাউট করা হয়। এটি কমপ্লায়েন্সের জন্য অপরিহার্য, বিশেষ করে যদি আপনি PCI DSS-এর অধীন হন বা রিসার্চ ডেটা নেটওয়ার্ক এবং সাধারণ ইন্টারনেট ট্রাফিকের মধ্যে পার্থক্য বজায় রাখতে চান। --- [ইমপ্লিমেন্টেশন সুপারিশ এবং ত্রুটি — ২ মিনিট] আমাকে আপনাকে ব্যবহারিক নির্দেশিকা দিতে দিন। আপনি যদি প্রথমবারের মতো eduroam ডিপ্লয় করেন, তবে আপনার প্রথম কলটি আপনার জাতীয় NREN-কে করা উচিত — ইউকে-তে এটি Jisc, আয়ারল্যান্ডে HEAnet, ইউএস-এ Internet2। তারা ফেডারেশন মেম্বারশিপ পরিচালনা করে এবং আপনাকে একটি RADIUS রিয়েলম অ্যাসাইন করবে। আপনার জাতীয় ফেডারেশনের সদস্য না হয়ে আপনি eduroam-এ অংশগ্রহণ করতে পারবেন না। আপনার ইনফ্রাস্ট্রাকচার চেকলিস্ট: আপনার 802.1X-সক্ষম অ্যাক্সেস পয়েন্ট প্রয়োজন — Cisco, Aruba, Juniper, Ruckus বা Ubiquiti UniFi-এর যেকোনো এন্টারপ্রাইজ-গ্রেড কিট এটি করবে। আপনার একটি RADIUS সার্ভার প্রয়োজন — FreeRADIUS হলো ওপেন-সোর্স স্ট্যান্ডার্ড, অথবা আপনি Microsoft NPS, Cisco ISE বা Aruba ClearPass ব্যবহার করতে পারেন। eduroam কমিউনিটি দ্বারা বিশ্বস্ত একটি CA থেকে আপনার RADIUS সার্ভারের জন্য আপনার একটি বৈধ TLS সার্টিফিকেট প্রয়োজন — সাধারণত আপনার প্রতিষ্ঠানের PKI থেকে একটি সার্টিফিকেট বা eduroam অনুমোদিত তালিকার একটি কমার্শিয়াল CA। আমি যে তিনটি সবচেয়ে সাধারণ ডিপ্লয়মেন্ট ব্যর্থতা দেখি তা হলো: প্রথমত, সার্টিফিকেট মিসকনফিগারেশন — হয় RADIUS সার্টিফিকেটের মেয়াদ শেষ হয়ে গেছে, অথবা ক্লায়েন্ট সাপ্লিক্যান্ট প্রোফাইলগুলি সঠিকভাবে পিন করা হয়নি। দ্বিতীয়ত, RADIUS প্রক্সি টাইমআউট — যদি আপনার আপস্ট্রিম NREN কানেকশনে ল্যাটেন্সি সমস্যা থাকে, তবে প্রমাণীকরণ টাইমআউট হয়ে যাবে এবং ব্যবহারকারীরা কানেকশন ব্যর্থতা দেখতে পাবেন যা ক্রেডেনশিয়াল ত্রুটির মতো দেখায়। তৃতীয়ত, VLAN মিসকনফিগারেশন — ভিজিটিং ইউজাররা ভুল নেটওয়ার্ক সেগমেন্টে চলে যায়, হয় কোনো ইন্টারনেট অ্যাক্সেস পায় না বা, আরও খারাপ, ইন্টারনাল রিসোর্সগুলিতে অ্যাক্সেস পায় যা তাদের দেখা উচিত নয়। ক্লায়েন্ট সাইডে, আপনার MDM প্ল্যাটফর্মের মাধ্যমে সমস্ত ম্যানেজড ডিভাইসে eduroam CAT প্রোফাইল ডিপ্লয় করুন। ব্যক্তিগত ডিভাইসের জন্য, CAT ইনস্টলার লিঙ্কটি স্পষ্টভাবে প্রকাশ করুন। এই একটি পদক্ষেপই বেশিরভাগ সাপোর্ট টিকিট দূর করে। যেসব ভেন্যু উচ্চশিক্ষা প্রতিষ্ঠান নয় কিন্তু eduroam অ্যাক্সেস অফার করতে চায় — কনফারেন্স সেন্টার, হোটেল এবং অনুরূপ — তাদের জন্য এই প্রক্রিয়াটিকে eduroam ভিজিটর অ্যাক্সেস বা eVA বলা হয়। এটি নন-মেম্বার সংস্থাগুলিকে পূর্ণ সদস্য না হয়েও eduroam SSID হোস্ট করতে এবং ফেডারেশনে প্রমাণীকরণ প্রক্সি করার অনুমতি দেয়। আপনি যদি নিয়মিত একাডেমিক কনফারেন্স বা বিশ্ববিদ্যালয়ের ইভেন্ট হোস্ট করেন তবে এটি তদন্ত করে দেখার মতো। --- [র‍্যাপিড-ফায়ার প্রশ্নোত্তর — ১ মিনিট] কিছু দ্রুত প্রশ্ন যা আমাকে নিয়মিত জিজ্ঞাসা করা হয়। "eduroam কি আমাদের গেস্ট WiFi-কে সম্পূর্ণভাবে প্রতিস্থাপন করতে পারে?" না। eduroam শুধুমাত্র সেই ব্যবহারকারীদের জন্য কাজ করে যাদের কোনো সদস্য প্রতিষ্ঠানে ক্রেডেনশিয়াল আছে। অন্য সবার জন্য — দর্শনার্থী, কন্ট্রাক্টর, সাধারণ জনগণ — আপনার এখনও একটি পৃথক গেস্ট WiFi সলিউশন প্রয়োজন। "eduroam কি GDPR কমপ্লায়েন্ট?" হ্যাঁ, তবে কিছু শর্ত আছে। ফেডারেশন আর্কিটেকচারের অর্থ হলো আপনার প্রতিষ্ঠান প্রমাণীকরণ ডেটা প্রসেস করে, তবে আপনাকে নিশ্চিত করতে হবে যে আপনার প্রাইভেসি নোটিশগুলি এটি কভার করে এবং আপনার RADIUS লগগুলি যথাযথভাবে পরিচালনা করা হয়। "আমরা কি eduroam-এর সাথে WPA3 ব্যবহার করতে পারি?" হ্যাঁ। WPA3-Enterprise 802.1X-এর সাথে সম্পূর্ণ সামঞ্জস্যপূর্ণ এবং এটি নতুন ডিপ্লয়মেন্টের জন্য প্রস্তাবিত স্ট্যান্ডার্ড। এটি উচ্চ-নিরাপত্তা পরিবেশের জন্য 192-বিট মোড এনক্রিপশন যোগ করে। "eduroam এবং OpenRoaming-এর মধ্যে পার্থক্য কী?" OpenRoaming হলো ওয়্যারলেস ব্রডব্যান্ড অ্যালায়েন্সের একটি বৃহত্তর শিল্প উদ্যোগ যা একই 802.1X এবং RADIUS প্রক্সি আর্কিটেকচার ব্যবহার করে তবে রোমিংকে শিক্ষার বাইরে কমার্শিয়াল ভেন্যুগুলিতে প্রসারিত করে। Purple সহ কিছু প্ল্যাটফর্ম তাদের গেস্ট WiFi অফারিংয়ের অংশ হিসেবে OpenRoaming সমর্থন করে। --- [সারাংশ এবং পরবর্তী পদক্ষেপ — ১ মিনিট] পরিশেষে। eduroam হলো 802.1X এবং একটি হায়ারার্কিকাল RADIUS প্রক্সি ইনফ্রাস্ট্রাকচারের ওপর তৈরি একটি পরিণত, সুশাসিত, বিশ্বব্যাপী ডিপ্লয় করা WiFi রোমিং পরিষেবা। এটি শেয়ার্ড পাসওয়ার্ড বা Captive Portal ছাড়াই ১০,০০০-এরও বেশি প্রতিষ্ঠান জুড়ে প্রতি-ব্যবহারকারী প্রমাণীকরণ, শক্তিশালী এনক্রিপশন এবং নিরবচ্ছিন্ন রোমিং প্রদান করে। ক্যাম্পাস ওয়্যারলেস ডিপ্লয় বা আপগ্রেড করা আইটি টিমগুলির জন্য: যেখানে আপনার PKI এটি সমর্থন করতে পারে সেখানে PEAP-এর চেয়ে EAP-TLS-কে অগ্রাধিকার দিন, সমস্ত ক্লায়েন্ট প্রোফাইলে সার্টিফিকেট ভ্যালিডেশন প্রয়োগ করুন, সমস্ত RADIUS প্রক্সি কানেকশনের জন্য RadSec ব্যবহার করুন এবং ভিজিটিং ইউজারদের একটি ডেডিকেটেড VLAN-এ সেগমেন্ট করুন। ভেন্যু অপারেটরদের জন্য: আপনি যদি নিয়মিত একাডেমিক দর্শনার্থীদের হোস্ট করেন, তবে eduroam ভিজিটর অ্যাক্সেস তদন্ত করুন। এবং আপনি eduroam ডিপ্লয় করুন বা না করুন, আপনার গেস্ট WiFi ইনফ্রাস্ট্রাকচার এন্টারপ্রাইজ-গ্রেড 802.1X নীতিগুলির ওপর তৈরি হওয়া উচিত — শেয়ার্ড PSK-এর ওপর নয়। আপনি যদি এর যেকোনো বিষয়ে আরও গভীরে যেতে চান — RADIUS আর্কিটেকচার, EAP-TLS-এর জন্য PKI ডিজাইন, বা Purple-এর মতো প্ল্যাটফর্মগুলি কীভাবে eduroam এবং OpenRoaming-এর সাথে ইন্টিগ্রেট করে — তবে সম্পূর্ণ লিখিত গাইডটি শো নোটে লিঙ্ক করা আছে。 শোনার জন্য ধন্যবাদ। পরের বার পর্যন্ত বিদায়। --- স্ক্রিপ্টের সমাপ্তি

header_image.png

কার্যনির্বাহী সারাংশ

উচ্চশিক্ষা প্রতিষ্ঠান এবং তাদের শিক্ষার্থী ও কর্মীদের হোস্ট করা ভেন্যুগুলির জন্য, নিরাপদ ও নিরবচ্ছিন্ন ওয়্যারলেস কানেক্টিভিটি প্রদান করা এখন আর কোনো বিলাসিতা নয়—এটি একটি অপারেশনাল বাধ্যবাধকতা। এই কানেক্টিভিটির স্ট্যান্ডার্ড হলো eduroam, যা IEEE 802.1X ফ্রেমওয়ার্কের ওপর তৈরি একটি গ্লোবাল রোমিং পরিষেবা।

এই গাইডটি আইটি ম্যানেজার, নেটওয়ার্ক আর্কিটেক্ট এবং ভেন্যু অপারেশন ডিরেক্টরদের 802.1X এবং eduroam বোঝা, ডিপ্লয় করা এবং ট্রাবলশুট করার জন্য একটি বিস্তৃত, ভেন্ডর-নিরপেক্ষ রেফারেন্স প্রদান করে। আমরা বেসিক তাত্ত্বিক মডেলের বাইরে গিয়ে এন্টারপ্রাইজ ক্যাম্পাস WiFi-এর বাস্তব পরিস্থিতি নিয়ে আলোচনা করেছি, যার মধ্যে রয়েছে সার্টিফিকেট ম্যানেজমেন্ট, RADIUS প্রক্সি আর্কিটেকচার এবং বৃহত্তর গেস্ট নেটওয়ার্ক স্ট্র্যাটেজির সাথে ইন্টিগ্রেশন।

আপনি কোনো পুরোনো বিশ্ববিদ্যালয় নেটওয়ার্ক আপগ্রেড করুন বা একাডেমিক দর্শনার্থীদের সহায়তার জন্য কোনো কনফারেন্স সেন্টার কনফিগার করুন, 802.1X-এর সঠিক বাস্তবায়ন উল্লেখযোগ্য নিরাপত্তা ঝুঁকি—বিশেষ করে ক্রেডেনশিয়াল চুরি—হ্রাস করে এবং সাপোর্ট ওভারহেড ব্যাপকভাবে কমিয়ে দেয়। প্রথাগত উচ্চশিক্ষার বাইরের ভেন্যুগুলির জন্য, OpenRoaming-এর মতো কমার্শিয়াল রোমিং ফেডারেশনগুলি মূল্যায়নের ক্ষেত্রে এই স্ট্যান্ডার্ডগুলি বোঝা অত্যন্ত গুরুত্বপূর্ণ, কারণ এগুলি একই অন্তর্নিহিত আর্কিটেকচার শেয়ার করে।

টেকনিক্যাল ডিপ-ডাইভ: 802.1X এবং eduroam আর্কিটেকচার

মূলত, eduroam হলো IEEE 802.1X-এর একটি বাস্তবায়ন, যা পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস কন্ট্রোলের স্ট্যান্ডার্ড। যদিও এটি প্রাথমিকভাবে ওয়্যারড নেটওয়ার্কের জন্য ডিজাইন করা হয়েছিল, 802.1X হলো WPA2-Enterprise এবং WPA3-Enterprise নিরাপত্তার ভিত্তি。

802.1X ট্রায়াঙ্গেল

802.1X ফ্রেমওয়ার্ক অ্যাক্সেস অনুমোদনের জন্য তিনটি ভিন্ন উপাদানের ইন্টারঅ্যাকশনের ওপর নির্ভর করে:

  1. সাপ্লিক্যান্ট (Supplicant): ক্লায়েন্ট ডিভাইস (যেমন, একজন শিক্ষার্থীর ল্যাপটপ বা স্মার্টফোন) যা নেটওয়ার্ক অ্যাক্সেসের অনুরোধ করে।
  2. অথেনটিকেটর (Authenticator): নেটওয়ার্ক অ্যাক্সেস ডিভাইস (যেমন, একটি ওয়্যারলেস অ্যাক্সেস পয়েন্ট বা ম্যানেজড সুইচ)। এটি একটি গেটকিপার হিসেবে কাজ করে, যা ডিভাইসটি অনুমোদিত না হওয়া পর্যন্ত প্রমাণীকরণ মেসেজ ছাড়া অন্য সব ট্রাফিক ব্লক করে রাখে।
  3. অথেনটিকেশন সার্ভার (Authentication Server): ব্যাকএন্ড সিস্টেম যা ক্রেডেনশিয়াল যাচাই করে, যা প্রায় সর্বজনীনভাবে একটি RADIUS (রিমোট অথেনটিকেশন ডায়াল-ইন ইউজার সার্ভিস) সার্ভার।

যখন কোনো ডিভাইস কানেক্ট হয়, তখন অথেনটিকেটর একটি নিয়ন্ত্রিত পোর্ট স্থাপন করে। এটি সাপ্লিক্যান্ট এবং অথেনটিকেশন সার্ভারের মধ্যে এক্সটেনসিবল অথেনটিকেশন প্রোটোকল (EAP) মেসেজ পাস করে। যদি ক্রেডেনশিয়াল বৈধ হয়, তবে সার্ভার একটি RADIUS Access-Accept মেসেজ ফেরত পাঠায় এবং অথেনটিকেটর স্ট্যান্ডার্ড IP ট্রাফিকের জন্য পোর্টটি খুলে দেয়।

architecture_overview.png

eduroam RADIUS প্রক্সি হায়ারার্কি

eduroam-কে যা অনন্য করে তোলে তা হলো এর ফেডারেটেড আর্কিটেকচার। এটি ব্যবহারকারীদের তাদের হোম ক্রেডেনশিয়াল ব্যবহার করে যেকোনো অংশগ্রহণকারী প্রতিষ্ঠানে প্রমাণীকরণের অনুমতি দেয়, যেখানে হোস্ট প্রতিষ্ঠানের কাছে সেই ক্রেডেনশিয়ালের কোনো কপির প্রয়োজন হয় না।

এটি একটি হায়ারার্কিকাল RADIUS প্রক্সি চেইনের মাধ্যমে অর্জিত হয়। যখন username@university.ac.uk-এর কোনো ব্যবহারকারী হোস্ট ভেন্যুতে eduroam SSID-এর সাথে কানেক্ট করেন:

  1. ব্যবহারকারীর ডিভাইস username@university.ac.uk ফরম্যাটে একটি প্রমাণীকরণ অনুরোধ পাঠায়।
  2. হোস্ট ভেন্যুর RADIUS সার্ভার রিয়েলম (realm) (@-এর পরের অংশ) পরীক্ষা করে। এটিকে একটি এক্সটার্নাল ডোমেইন হিসেবে চিহ্নিত করে, এটি জাতীয় শীর্ষ-স্তরের RADIUS সার্ভারে (ন্যাশনাল রিসার্চ অ্যান্ড এডুকেশন নেটওয়ার্ক বা NREN দ্বারা পরিচালিত) অনুরোধটি প্রক্সি করে।
  3. জাতীয় সার্ভার অনুরোধটিকে হোম প্রতিষ্ঠানের RADIUS সার্ভারে (university.ac.uk) রাউট করে।
  4. হোম প্রতিষ্ঠান ক্রেডেনশিয়াল যাচাই করে এবং চেইনের নিচের দিকে একটি Access-Accept বা Access-Reject মেসেজ ফেরত পাঠায়।

এই সম্পূর্ণ প্রক্রিয়াটি সাধারণত দুই সেকেন্ডের কম সময়ে সম্পন্ন হয়। সবচেয়ে গুরুত্বপূর্ণ বিষয় হলো, ব্যবহারকারীর পাসওয়ার্ড কখনোই হোস্ট প্রতিষ্ঠান বা মধ্যবর্তী প্রক্সিগুলির কাছে উন্মোচিত হয় না; এটি সরাসরি সাপ্লিক্যান্ট এবং হোম RADIUS সার্ভারের মধ্যে স্থাপিত একটি এনক্রিপ্টেড EAP টানেলের মধ্যে সুরক্ষিত থাকে।

EAP মেথড: নিরাপত্তা বনাম ডিপ্লয়যোগ্যতা

EAP মেথড নির্বাচন নির্ধারণ করে কীভাবে এনক্রিপ্টেড টানেল তৈরি হবে এবং কীভাবে ক্রেডেনশিয়াল আদান-প্রদান করা হবে। নিরাপত্তা নিশ্চিত করতে eduroam পলিসি সার্ভিস ডেফিনিশন অনুমোদিত মেথডগুলিকে কঠোরভাবে সীমাবদ্ধ করে।

  • PEAP (প্রোটেক্টেড EAP): সবচেয়ে সাধারণ ডিপ্লয়মেন্ট। এটি RADIUS সার্ভারে একটি সার্ভার-সাইড সার্টিফিকেট ব্যবহার করে একটি TLS টানেল স্থাপন করে। এরপর ক্লায়েন্ট এই টানেলের ভেতরে প্রমাণীকরণ করে, সাধারণত MSCHAPv2 (ইউজারনেম এবং পাসওয়ার্ড) ব্যবহার করে। এটি ডিপ্লয় করা তুলনামূলকভাবে সহজ, তবে ক্লায়েন্টরা যদি সার্ভার সার্টিফিকেট কঠোরভাবে যাচাই করার জন্য কনফিগার করা না থাকে, তবে এটি রগ (rogue) অ্যাক্সেস পয়েন্ট আক্রমণের ঝুঁকিতে থাকে।
  • EAP-TLS: নিরাপত্তার গোল্ড স্ট্যান্ডার্ড। এর জন্য মিউচুয়াল প্রমাণীকরণের প্রয়োজন, যার অর্থ RADIUS সার্ভার এবং ক্লায়েন্ট ডিভাইস উভয়কেই বৈধ সার্টিফিকেট উপস্থাপন করতে হবে। যদিও এটি ক্রেডেনশিয়াল ফিশিং থেকে মুক্ত, ক্লায়েন্ট সার্টিফিকেট ইস্যু এবং পরিচালনা করার জন্য এর একটি শক্তিশালী পাবলিক কি ইনফ্রাস্ট্রাকচার (PKI) প্রয়োজন, যা এটিকে বড় পরিসরে ডিপ্লয় করা আরও জটিল করে তোলে।

ইমপ্লিমেন্টেশন গাইড

802.1X এবং eduroam ডিপ্লয় করার জন্য নেটওয়ার্ক ইনফ্রাস্ট্রাকচার, আইডেন্টিটি ম্যানেজমেন্ট এবং ক্লায়েন্ট কনফিগারেশনের মধ্যে সতর্ক সমন্বয় প্রয়োজন।

১. ইনফ্রাস্ট্রাকচার প্রস্তুতি

নিশ্চিত করুন যে আপনার ওয়্যারলেস অ্যাক্সেস পয়েন্ট এবং কন্ট্রোলারগুলি WPA2-Enterprise/WPA3-Enterprise এবং 802.1X সমর্থন করে। যেকোনো আধুনিক এন্টারপ্রাইজ-গ্রেড হার্ডওয়্যার (Cisco, Aruba, Juniper ইত্যাদি) এই প্রয়োজনীয়তা পূরণ করবে। প্রত্যাশিত প্রমাণীকরণ লোড এবং প্রক্সি অনুরোধগুলি পরিচালনা করতে সক্ষম একটি শক্তিশালী RADIUS ইনফ্রাস্ট্রাকচার (যেমন, FreeRADIUS, Cisco ISE, Aruba ClearPass) আপনাকে অবশ্যই ডিপ্লয় করতে হবে।

২. সার্টিফিকেট ম্যানেজমেন্ট

PEAP ডিপ্লয়মেন্টের জন্য, আপনার RADIUS সার্ভারের একটি TLS সার্টিফিকেট প্রয়োজন যা আপনার ক্লায়েন্টদের দ্বারা বিশ্বস্ত একটি সার্টিফিকেট অথরিটি (CA) দ্বারা ইস্যু করা হয়েছে। প্রোডাকশন eduroam ডিপ্লয়মেন্টের জন্য সেলফ-সাইন্ড সার্টিফিকেট ব্যবহার করবেন না। প্রমাণীকরণ বিভ্রাট রোধ করতে সার্টিফিকেটটি নিয়মিত রিনিউ করতে হবে।

৩. ক্লায়েন্ট কনফিগারেশন (CAT টুল)

eduroam ডিপ্লয়মেন্টে ব্যর্থতার সবচেয়ে সাধারণ কারণ হলো ক্লায়েন্ট মিসকনফিগারেশন। ম্যানুয়ালি কানেক্ট করা ব্যবহারকারীরা প্রায়ই সার্টিফিকেট ভ্যালিডেশন কনফিগার করতে ব্যর্থ হন, যা তাদের ক্রেডেনশিয়াল চুরির ঝুঁকিতে ফেলে।

এটি প্রশমিত করতে, প্রতিষ্ঠানগুলিকে অবশ্যই প্রি-কনফিগার করা প্রোফাইলগুলি বিতরণ করার জন্য eduroam Configuration Assistant Tool (CAT) বা একটি MDM সলিউশন ব্যবহার করতে হবে। এই প্রোফাইলগুলি স্বয়ংক্রিয়ভাবে সঠিক EAP মেথড কনফিগার করে, প্রত্যাশিত RADIUS সার্ভার সার্টিফিকেট পিন করে এবং উপযুক্ত অভ্যন্তরীণ প্রমাণীকরণ প্রোটোকল সেট করে।

৪. VLAN অ্যাসাইনমেন্ট এবং সেগমেন্টেশন

একটি পরিণত ডিপ্লয়মেন্ট ব্যবহারকারীর পরিচয়ের ওপর ভিত্তি করে ডায়নামিকভাবে VLAN অ্যাসাইন করতে RADIUS অ্যাট্রিবিউট ব্যবহার করে।

  • হোম ইউজার: ক্যাম্পাস রিসোর্সগুলিতে উপযুক্ত অ্যাক্সেস সহ ইন্টারনাল VLAN-এ অ্যাসাইন করা হয়।
  • ভিজিটিং ইউজার: শুধুমাত্র ইন্টারনেট অ্যাক্সেস সহ একটি নিয়ন্ত্রিত গেস্ট VLAN-এ অ্যাসাইন করা হয়。

এই সেগমেন্টেশন নিরাপত্তা এবং কমপ্লায়েন্সের জন্য অত্যন্ত গুরুত্বপূর্ণ, যা নিশ্চিত করে যে ভিজিটিং ডিভাইসগুলি সংবেদনশীল ইন্টারনাল নেটওয়ার্কগুলিতে অ্যাক্সেস করতে পারবে না।

comparison_chart.png

বেস্ট প্র্যাকটিস এবং ভেন্ডর-নিরপেক্ষ সুপারিশ

  • WPA3-কে অগ্রাধিকার দিন: নতুন ডিপ্লয়মেন্টের জন্য, বাধ্যতামূলক 192-বিট এনক্রিপশন এবং অফলাইন ডিকশনারি অ্যাটাকের বিরুদ্ধে উন্নত সুরক্ষার সুবিধা পেতে WPA3-Enterprise চালু করুন।
  • সার্টিফিকেট ভ্যালিডেশন প্রয়োগ করুন: ক্রেডেনশিয়াল ট্রান্সমিট করার আগে সাপ্লিক্যান্টরা যাতে কঠোরভাবে RADIUS সার্ভার সার্টিফিকেট যাচাই করে তা নিশ্চিত করতে কনফিগারেশন প্রোফাইলের (CAT বা MDM-এর মাধ্যমে) ব্যবহার বাধ্যতামূলক করুন।
  • RadSec ব্যবহার করুন: জাতীয় ফেডারেশনের সাথে RADIUS প্রক্সি কানেকশন কনফিগার করার সময়, প্লেইন UDP-এর পরিবর্তে RadSec (RADIUS over TLS) ব্যবহার করুন। এটি প্রক্সি ট্রাফিককে এনক্রিপ্ট করে এবং WAN লিঙ্কের ওপর নির্ভরযোগ্যতা উন্নত করে।
  • গেস্ট সলিউশনের সাথে ইন্টিগ্রেট করুন: eduroam শুধুমাত্র একাডেমিক ক্রেডেনশিয়াল থাকা ব্যবহারকারীদের পরিষেবা দেয়। কন্ট্রাক্টর, সাধারণ দর্শনার্থী এবং ইভেন্টে অংশগ্রহণকারীদের জন্য আপনাকে অবশ্যই একটি পৃথক, সুরক্ষিত গেস্ট WiFi সলিউশন বজায় রাখতে হবে।
  • সম্পর্কিত ইনফ্রাস্ট্রাকচার পর্যালোচনা করুন: আপনার অন্তর্নিহিত নেটওয়ার্ক সুরক্ষিত কিনা তা নিশ্চিত করুন। আরও বিস্তারিত জানতে আমাদের শক্তিশালী DNS এবং সিকিউরিটি দিয়ে আপনার নেটওয়ার্ক সুরক্ষিত করুন গাইডটি পড়ুন। যদি বিশ্ববিদ্যালয়ের ইভেন্টগুলির জন্য অস্থায়ী ইনফ্রাস্ট্রাকচার ডিপ্লয় করেন, তবে ইভেন্ট WiFi: অস্থায়ী ওয়্যারলেস নেটওয়ার্কগুলির পরিকল্পনা এবং ডিপ্লয়মেন্ট বা পর্তুগিজ সংস্করণ Event WiFi: Planeamento e Implementação de Redes Sem Fios Temporárias দেখুন।

ট্রাবলশুটিং এবং ঝুঁকি প্রশমন

প্রমাণীকরণ ব্যর্থ হলে, নিয়মতান্ত্রিক ট্রাবলশুটিং অপরিহার্য।

  1. ফেইলিওর ডোমেইন আলাদা করুন: ব্যর্থতাটি লোকাল (আপনার নিজস্ব নেটওয়ার্কে আপনার নিজস্ব ব্যবহারকারীদের প্রভাবিত করছে), রিমোট (অন্য কোথাও আপনার ব্যবহারকারীদের প্রভাবিত করছে), নাকি ইনবাউন্ড (আপনার নেটওয়ার্কে দর্শনার্থীদের প্রভাবিত করছে) তা নির্ধারণ করুন।
  2. RADIUS লগ চেক করুন: RADIUS সার্ভার লগ হলো সত্যের চূড়ান্ত উৎস। Access-Reject মেসেজ (ভুল ক্রেডেনশিয়াল বা পলিসি লঙ্ঘনের ইঙ্গিত দেয়) বা টাইমআউট (প্রক্সি কানেক্টিভিটি সমস্যার ইঙ্গিত দেয়) খুঁজুন।
  3. সার্টিফিকেটের বৈধতা যাচাই করুন: নিশ্চিত করুন যে RADIUS সার্ভার সার্টিফিকেটের মেয়াদ শেষ হয়নি এবং সম্পূর্ণ সার্টিফিকেট চেইনটি ক্লায়েন্টের কাছে উপস্থাপন করা হচ্ছে।
  4. আপস্ট্রিম ল্যাটেন্সি মনিটর করুন: জাতীয় RADIUS প্রক্সির কানেকশনে উচ্চ ল্যাটেন্সি ক্লায়েন্ট টাইমআউটের কারণ হতে পারে, যার ফলে সঠিক ক্রেডেনশিয়াল থাকা সত্ত্বেও কানেকশন ব্যর্থ হতে পারে।

ROI এবং ব্যবসায়িক প্রভাব

উচ্চশিক্ষা প্রতিষ্ঠানগুলির জন্য, একটি সঠিক eduroam ডিপ্লয়মেন্টের ROI ব্যাপকভাবে হ্রাস পাওয়া সাপোর্ট টিকিটের মাধ্যমে পরিমাপ করা হয়। Captive Portal এবং ম্যানুয়াল পাসওয়ার্ড এন্ট্রি দূর করার মাধ্যমে, আইটি হেল্পডেস্কগুলি কানেক্টিভিটি-সম্পর্কিত কলগুলিতে উল্লেখযোগ্য হ্রাস দেখতে পায়। (এই সেক্টরে Purple-এর প্রতিশ্রুতি স্পষ্ট; দেখুন ভিপি এডুকেশন টিম পিয়ার্সকে নিয়োগের মাধ্যমে Purple উচ্চশিক্ষার উচ্চাকাঙ্ক্ষার ইঙ্গিত দেয় )।

কমার্শিয়াল ভেন্যুগুলির জন্য—যেমন হসপিটালিটি , রিটেইল , হেলথকেয়ার , বা ট্রান্সপোর্ট —eduroam ভিজিটর অ্যাক্সেস (eVA) বা OpenRoaming-এর মতো অনুরূপ ফেডারেশনগুলিকে সমর্থন করা উচ্চ-মূল্যের ডেমোগ্রাফিকের জন্য একটি বাধাহীন অভিজ্ঞতা প্রদান করে। এটি নিশ্চিত করে যে একাডেমিক দর্শনার্থীরা স্বয়ংক্রিয়ভাবে এবং নিরাপদে কানেক্ট করতে পারে, যা সন্তুষ্টি উন্নত করার পাশাপাশি ভেন্যুকে কঠোর নেটওয়ার্ক সেগমেন্টেশন বজায় রাখতে দেয়। যদি এটি সমর্থন করার জন্য আপনার ভেন্যুর ডেডিকেটেড ব্যান্ডউইথের প্রয়োজন হয়, তবে লিজড লাইন কী? ডেডিকেটেড বিজনেস ইন্টারনেট পড়ার কথা বিবেচনা করুন।

নেটওয়ার্ক আপগ্রেডের পরিকল্পনা করার সময়, 802.1X সক্ষমতাগুলিকে ইন্টিগ্রেট করা নিশ্চিত করে যে ইনফ্রাস্ট্রাকচারটি আধুনিক আইডেন্টিটি-চালিত নেটওয়ার্কিংয়ের জন্য প্রস্তুত, যা উন্নত WiFi অ্যানালিটিক্স এবং লোকেশন-ভিত্তিক পরিষেবাগুলির ভিত্তি স্থাপন করে।

মূল সংজ্ঞাসমূহ

802.1X

পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস কন্ট্রোলের (PNAC) জন্য একটি IEEE স্ট্যান্ডার্ড। এটি LAN বা WLAN-এর সাথে যুক্ত হতে ইচ্ছুক ডিভাইসগুলিকে একটি প্রমাণীকরণ মেকানিজম প্রদান করে।

এন্টারপ্রাইজ-গ্রেড WiFi নিরাপত্তার ভিত্তিগত প্রোটোকল, যা শেয়ার্ড পাসওয়ার্ড (PSK)-কে ব্যক্তিগতকৃত প্রমাণীকরণ দিয়ে প্রতিস্থাপন করে।

RADIUS (রিমোট অথেনটিকেশন ডায়াল-ইন ইউজার সার্ভিস)

একটি নেটওয়ার্কিং প্রোটোকল যা নেটওয়ার্ক পরিষেবার সাথে কানেক্ট হওয়া এবং ব্যবহার করা ব্যবহারকারীদের জন্য সেন্ট্রালাইজড অথেনটিকেশন, অথরাইজেশন এবং অ্যাকাউন্টিং (AAA) ম্যানেজমেন্ট প্রদান করে।

একটি 802.1X ডিপ্লয়মেন্টের ব্যাকএন্ড সার্ভার যা প্রকৃতপক্ষে একটি ডিরেক্টরির (যেমন অ্যাক্টিভ ডিরেক্টরি) বিপরীতে ব্যবহারকারীর ক্রেডেনশিয়াল চেক করে।

EAP (এক্সটেনসিবল অথেনটিকেশন প্রোটোকল)

একটি প্রমাণীকরণ ফ্রেমওয়ার্ক যা প্রায়শই ওয়্যারলেস নেটওয়ার্ক এবং পয়েন্ট-টু-পয়েন্ট কানেকশনে ব্যবহৃত হয়। এটি বিভিন্ন প্রমাণীকরণ মেকানিজমের পরিবহন এবং ব্যবহারের সুবিধা প্রদান করে।

802.1X হ্যান্ডশেকের সময় ক্লায়েন্ট ডিভাইস এবং RADIUS সার্ভারের মধ্যে ব্যবহৃত ভাষা।

সাপ্লিক্যান্ট (Supplicant)

ক্লায়েন্ট ডিভাইস (যেমন, ল্যাপটপ, স্মার্টফোন) বা সেই ডিভাইসের সফ্টওয়্যার যা 802.1X ব্যবহার করে কোনো নেটওয়ার্কে প্রমাণীকরণের চেষ্টা করে।

অ্যাক্সেসের অনুরোধকারী সত্তা। এর কনফিগারেশন (বিশেষ করে সার্টিফিকেট ভ্যালিডেশন সম্পর্কিত) নিরাপত্তার জন্য অত্যন্ত গুরুত্বপূর্ণ।

অথেনটিকেটর (Authenticator)

নেটওয়ার্ক ডিভাইস (যেমন, ওয়্যারলেস অ্যাক্সেস পয়েন্ট, ইথারনেট সুইচ) যা সাপ্লিক্যান্ট এবং অথেনটিকেশন সার্ভারের মধ্যে মেসেজ পাস করার মাধ্যমে 802.1X প্রমাণীকরণ প্রক্রিয়া সহজতর করে।

গেটকিপার যা RADIUS সার্ভার সবুজ সংকেত না দেওয়া পর্যন্ত নেটওয়ার্ক ট্রাফিক ব্লক করে রাখে।

PEAP (প্রোটেক্টেড এক্সটেনসিবল অথেনটিকেশন প্রোটোকল)

একটি EAP মেথড যা একটি সার্ভার-সাইড সার্টিফিকেট ব্যবহার করে স্থাপিত একটি TLS টানেলের মধ্যে EAP ট্রানজ্যাকশনকে এনক্যাপসুলেট করে, যা অভ্যন্তরীণ প্রমাণীকরণকে (সাধারণত একটি পাসওয়ার্ড) সুরক্ষিত করে।

eduroam-এর জন্য সবচেয়ে সাধারণ প্রমাণীকরণ মেথড, যা নিরাপত্তার সাথে ডিপ্লয়মেন্টের সহজতার ভারসাম্য বজায় রাখে।

RadSec

প্রথাগত UDP-এর পরিবর্তে TCP এবং TLS-এর মাধ্যমে RADIUS ডেটা ট্রান্সমিট করার জন্য একটি প্রোটোকল।

প্রতিষ্ঠান এবং জাতীয় eduroam ফেডারেশনের মধ্যে প্রক্সি কানেকশন সুরক্ষিত করার জন্য প্রস্তাবিত, যা প্রমাণীকরণ ট্রাফিক ইন্টারসেপশন প্রতিরোধ করে।

রিয়েলম (Realm)

'@' চিহ্নের পরে থাকা ব্যবহারকারীর পরিচয়ের অংশ (যেমন, 'user@university.ac.uk'-এ 'university.ac.uk')।

eduroam-এর মতো একটি ফেডারেটেড পরিবেশে প্রমাণীকরণ অনুরোধ কোথায় রাউট করতে হবে তা নির্ধারণ করতে RADIUS প্রক্সি সার্ভার দ্বারা ব্যবহৃত হয়।

সমাধানকৃত উদাহরণসমূহ

একটি বড় বিশ্ববিদ্যালয়ের সংলগ্ন ৪০০-রুমের একটি কনফারেন্স হোটেলে প্রায়ই একাডেমিক সিম্পোজিয়াম অনুষ্ঠিত হয়। আইটি ডিরেক্টর চান ভিজিটিং শিক্ষাবিদরা হোটেলের স্ট্যান্ডার্ড Captive Portal ব্যবহার না করেই স্বয়ংক্রিয়ভাবে কানেক্ট করতে পারুক, তবে তাকে অবশ্যই নিশ্চিত করতে হবে যে এই দর্শনার্থীরা হোটেলের কর্পোরেট নেটওয়ার্ক বা স্ট্যান্ডার্ড গেস্ট নেটওয়ার্ক VLAN অ্যাক্সেস করতে পারবে না।

হোটেলটির eduroam ভিজিটর অ্যাক্সেস (eVA) বাস্তবায়ন করা উচিত বা OpenRoaming-এর মতো একটি কমার্শিয়াল ফেডারেশনে যোগদান করা উচিত।

১. হোটেলটি তাদের এন্টারপ্রাইজ অ্যাক্সেস পয়েন্টগুলিতে একটি নতুন SSID ('eduroam' বা 'OpenRoaming') কনফিগার করে। ২. AP-গুলিকে WPA2-Enterprise/802.1X ব্যবহার করার জন্য কনফিগার করা হয়। ৩. হোটেলটি একটি লোকাল RADIUS সার্ভার ডিপ্লয় করে যা এক্সটার্নাল রিয়েলমগুলির প্রমাণীকরণ অনুরোধগুলিকে জাতীয় ফেডারেশন (eduroam-এর জন্য) বা OpenRoaming হাবে প্রক্সি করার জন্য কনফিগার করা থাকে। ৪. সবচেয়ে গুরুত্বপূর্ণভাবে, লোকাল RADIUS সার্ভারটি সমস্ত প্রক্সি করা প্রমাণীকরণের জন্য Access-Accept মেসেজে একটি নির্দিষ্ট VLAN ID অ্যাট্রিবিউট ফেরত দেওয়ার জন্য কনফিগার করা থাকে। ৫. অ্যাক্সেস পয়েন্টগুলি এই প্রমাণীকৃত ব্যবহারকারীদের একটি আইসোলেটেড, শুধুমাত্র-ইন্টারনেট VLAN-এ রাখে, যা হোটেলের কর্পোরেট এবং স্ট্যান্ডার্ড গেস্ট ট্রাফিক থেকে সম্পূর্ণ আলাদা।

পরীক্ষকের মন্তব্য: এই পদ্ধতিটি দর্শনার্থীদের হোম প্রতিষ্ঠানে প্রমাণীকরণ অফলোড করতে RADIUS প্রক্সি আর্কিটেকচারকে সঠিকভাবে কাজে লাগায়। RADIUS অ্যাট্রিবিউটের মাধ্যমে ডায়নামিক VLAN অ্যাসাইনমেন্ট ব্যবহার করে, হোটেলটি কঠোর নেটওয়ার্ক সেগমেন্টেশন বজায় রাখে, যা একটি বাধাহীন ব্যবহারকারীর অভিজ্ঞতা প্রদানের পাশাপাশি নিরাপত্তার প্রয়োজনীয়তাগুলি পূরণ করে।

একটি বিশ্ববিদ্যালয়ের আইটি টিম আপসকৃত (compromised) স্টুডেন্ট অ্যাকাউন্টের সংখ্যা বৃদ্ধি লক্ষ্য করে। তদন্তে দেখা যায় যে শিক্ষার্থীরা স্থানীয় একটি কফি শপে 'eduroam' SSID সম্প্রচারকারী একটি রগ (rogue) অ্যাক্সেস পয়েন্টের সাথে কানেক্ট করছে। রগ AP-টি PEAP-এর মাধ্যমে ক্রেডেনশিয়াল চুরি করার জন্য একটি সেলফ-সাইন্ড সার্টিফিকেট ব্যবহার করছে।

আইটি টিমকে অবশ্যই অবিলম্বে সমস্ত ক্লায়েন্ট ডিভাইসে কঠোর সার্টিফিকেট ভ্যালিডেশন প্রয়োগ করতে হবে।

১. তাদের অবশ্যই শিক্ষার্থীদের ম্যানুয়ালি SSID-এর সাথে কানেক্ট করার এবং 'সার্টিফিকেট ওয়ার্নিং গ্রহণ করার' পরামর্শ দেওয়া বন্ধ করতে হবে। ২. তারা BYOD ডিভাইসের জন্য eduroam Configuration Assistant Tool (CAT) ডিপ্লয় করে এবং ম্যানেজড ডিভাইসের জন্য MDM প্রোফাইল আপডেট করে। ৩. এই প্রোফাইলগুলি সাপ্লিক্যান্টকে শুধুমাত্র সেই নির্দিষ্ট সার্টিফিকেট অথরিটিকে (CA) বিশ্বাস করার জন্য কনফিগার করে যা বিশ্ববিদ্যালয়ের RADIUS সার্ভার সার্টিফিকেট ইস্যু করেছে এবং সার্ভারের কমন নেম (CN) যাচাই করে। ৪. একবার কনফিগার করা হয়ে গেলে, যদি কোনো শিক্ষার্থীর ডিভাইস রগ AP-এর সম্মুখীন হয়, তবে EAP টানেল স্থাপন ব্যর্থ হবে কারণ রগ সার্টিফিকেটটি পিন করা CA/CN-এর সাথে মেলে না, যা ক্রেডেনশিয়াল ট্রান্সমিশন প্রতিরোধ করে।

পরীক্ষকের মন্তব্য: এই দৃশ্যপটটি PEAP ডিপ্লয়মেন্টের সবচেয়ে জটিল দুর্বলতা তুলে ধরে। সমাধানটি সঠিকভাবে চিহ্নিত করে যে এর প্রতিকার হলো ক্লায়েন্ট-সাইড কনফিগারেশন। ভুয়া সার্টিফিকেট শনাক্ত করতে ব্যবহারকারীর শিক্ষার ওপর নির্ভর করা অকার্যকর; টেকনিক্যাল কন্ট্রোল (প্রোফাইল পিনিং) বাধ্যতামূলক।

একটি রিটেইল চেইন তাদের বিদ্যমান গেস্ট WiFi ইনফ্রাস্ট্রাকচার ব্যবহার করে ৫০টি লোকেশন জুড়ে OpenRoaming অফার করতে চায়, যা বর্তমানে একটি Captive Portal সহ একটি ওপেন SSID-এর ওপর নির্ভর করে।

রিটেইল চেইনটিকে 802.1X এবং RADIUS প্রক্সিং সমর্থন করার জন্য তাদের নেটওয়ার্ক আপগ্রেড করতে হবে।

১. নেটওয়ার্ক টিম OpenRoaming কনসোর্টিয়াম OI (অর্গানাইজেশন আইডেন্টিফায়ার) সম্প্রচারকারী একটি নতুন SSID চালু করে। ২. তারা 802.1X-এর মাধ্যমে প্রমাণীকরণের জন্য অ্যাক্সেস পয়েন্টগুলি কনফিগার করে। ৩. তারা OpenRoaming ফেডারেশন হাবে অনুরোধগুলি প্রক্সি করার জন্য তাদের সেন্ট্রাল RADIUS সার্ভার কনফিগার করে। ৪. তারা নিশ্চিত করে যে তাদের ইন্টারনেট ব্যাকহল স্বয়ংক্রিয় কানেকশনের প্রত্যাশিত বৃদ্ধি সমর্থন করতে পারে, প্রয়োজনে ডেডিকেটেড লিজড লাইনে আপগ্রেড করে।

পরীক্ষকের মন্তব্য: এটি তুলে ধরে যে একটি Captive Portal থেকে একটি ফেডারেটেড 802.1X মডেলে যাওয়ার জন্য মৌলিক আর্কিটেকচারাল পরিবর্তনের প্রয়োজন, বিশেষ করে RADIUS প্রক্সিং বাস্তবায়ন এবং বর্ধিত স্বয়ংক্রিয় কানেকশনগুলি পরিচালনা করার ক্ষমতা।

অনুশীলনী প্রশ্নসমূহ

Q1. আপনার বিশ্ববিদ্যালয় একটি নতুন ওয়্যারলেস নেটওয়ার্ক ডিপ্লয় করছে। CISO নির্দেশ দিয়েছেন যে রগ অ্যাক্সেস পয়েন্টের মাধ্যমে ক্রেডেনশিয়াল ফিশিং গাণিতিকভাবে অসম্ভব হতে হবে। আপনাকে কোন EAP মেথড নির্বাচন করতে হবে?

ইঙ্গিত: বিবেচনা করুন কোন মেথডটি পাসওয়ার্ডের ওপর নির্ভর করে এবং কোনটি সম্পূর্ণভাবে ক্রিপ্টোগ্রাফিক কি-এর ওপর নির্ভর করে।

মডেল উত্তর দেখুন

আপনাকে অবশ্যই EAP-TLS নির্বাচন করতে হবে। PEAP-এর বিপরীতে, যা একটি TLS টানেলের ভেতরে পাসওয়ার্ডের ওপর নির্ভর করে, EAP-TLS-এর মিউচুয়াল সার্টিফিকেট প্রমাণীকরণের প্রয়োজন। যেহেতু ক্লায়েন্ট ডিভাইস পাসওয়ার্ডের পরিবর্তে একটি ক্রিপ্টোগ্রাফিক সার্টিফিকেট ব্যবহার করে প্রমাণীকরণ করে, তাই রগ অ্যাক্সেস পয়েন্টের ফিশিং করার মতো কোনো ক্রেডেনশিয়াল থাকে না।

Q2. অন্য বিশ্ববিদ্যালয় থেকে আসা একজন ভিজিটিং গবেষক অভিযোগ করেছেন যে তিনি আপনার eduroam নেটওয়ার্কে কানেক্ট করতে পারছেন না। আপনার লোকাল ইউজাররা ঠিকমতো কানেক্ট করতে পারছে। আপনি আপনার লোকাল RADIUS সার্ভার লগ চেক করে দেখেন যে অনুরোধটি আসছে, কিন্তু Access-Accept পাওয়ার আগেই এটি টাইমআউট হয়ে যাচ্ছে। এর সবচেয়ে সম্ভাব্য কারণ কী?

ইঙ্গিত: একজন ভিজিটিং ইউজার বনাম একজন লোকাল ইউজারের জন্য প্রমাণীকরণ অনুরোধটি যে পথ অনুসরণ করে তা নিয়ে ভাবুন।

মডেল উত্তর দেখুন

সবচেয়ে সম্ভাব্য কারণ হলো আপনার লোকাল RADIUS সার্ভার এবং জাতীয় NREN RADIUS প্রক্সির মধ্যে কানেক্টিভিটি বা ল্যাটেন্সি সমস্যা। যেহেতু লোকাল ইউজাররা সরাসরি আপনার সার্ভারের বিপরীতে প্রমাণীকরণ করে, তাই তারা প্রভাবিত হয় না। ভিজিটিং ইউজারের অনুরোধটি অবশ্যই আপস্ট্রিমে প্রক্সি করতে হবে এবং একটি টাইমআউট নির্দেশ করে যে হোম প্রতিষ্ঠান থেকে প্রতিক্রিয়া সময়মতো ফিরে আসছে না।

Q3. আপনি একটি বড় বিশ্ববিদ্যালয়ের কাছাকাছি অবস্থিত একটি রিটেইল চেইনের নেটওয়ার্ক আর্কিটেক্ট। আপনি eduroam ভিজিটর অ্যাক্সেস (eVA) ব্যবহার করে শিক্ষার্থীদের নিরবচ্ছিন্ন WiFi অফার করতে চান, তবে আপনার পয়েন্ট-অফ-সেল টার্মিনালগুলির জন্য আপনাকে অবশ্যই PCI DSS মেনে চলতে হবে। আপনি কীভাবে নিরাপদে eVA ইন্টিগ্রেট করবেন?

ইঙ্গিত: প্রমাণীকরণের পরে 802.1X কীভাবে নেটওয়ার্ক অ্যাক্সেস পয়েন্টকে ট্রাফিক আলাদা করার অনুমতি দেয়?

মডেল উত্তর দেখুন

আপনি আপনার RADIUS সার্ভারকে সমস্ত সফল eVA প্রমাণীকরণগুলিকে একটি ডেডিকেটেড, শুধুমাত্র-ইন্টারনেট গেস্ট VLAN-এ অ্যাসাইন করার জন্য কনফিগার করে eVA ইন্টিগ্রেট করবেন। RADIUS সার্ভার থেকে আসা Access-Accept মেসেজে অবশ্যই নির্দিষ্ট VLAN ID অন্তর্ভুক্ত থাকতে হবে। এটি নিশ্চিত করে যে স্টুডেন্ট ডিভাইসগুলি পয়েন্ট-অফ-সেল টার্মিনাল দ্বারা ব্যবহৃত PCI-কমপ্লায়েন্ট VLAN থেকে সম্পূর্ণ আলাদা, যা কমপ্লায়েন্সের প্রয়োজনীয়তাগুলি পূরণ করে।

এই সিরিজে পড়া চালিয়ে যান

ভেন্ডর অনুযায়ী প্রতি-ডিভাইস PSK: iPSK, DPSK, MPSK এবং PPSK-এর তুলনা (এবং WPA3 সাপোর্ট)

Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet এবং Ubiquiti UniFi-এর প্রতি-ডিভাইস PSK ইমপ্লিমেন্টেশনের একটি বিস্তারিত তুলনা। জানুন কীভাবে WPA3-SAE প্রতি-ডিভাইস কী (key) কৌশলগুলোকে প্রভাবিত করে এবং কখন ট্রানজিশন মোড স্থাপন করতে হবে বনাম 802.1X-এ স্থানান্তরিত হতে হবে।

গাইডটি পড়ুন →

MAC Address Authentication কী? কখন এটি ব্যবহার করবেন এবং কখন এড়িয়ে চলবেন

এই অথরিটেটিভ টেকনিক্যাল রেফারেন্স গাইডটি এন্টারপ্রাইজ WiFi এনভায়রনমেন্টে MAC অ্যাড্রেস অথেনটিকেশন কভার করে — কীভাবে RADIUS-ভিত্তিক MAC অথেনটিকেশন Layer 2-তে কাজ করে, এর অন্তর্নিহিত সিকিউরিটি দুর্বলতাগুলো (যার মধ্যে MAC স্পুফিং এবং OS-লেভেল MAC র‍্যান্ডমাইজেশনের প্রভাব অন্তর্ভুক্ত) এবং সুনির্দিষ্ট অপারেশনাল কনটেক্সট যেখানে এটি IoT এবং হেডলেস ডিভাইসগুলো ম্যানেজ করার জন্য একটি বৈধ টুল হিসেবে রয়ে গেছে। এটি হসপিটালিটি, রিটেইল, হেলথকেয়ার এবং পাবলিক-সেক্টর ভেন্যুগুলোর আইটি ম্যানেজার এবং নেটওয়ার্ক আর্কিটেক্টদের জন্য রিয়েল-ওয়ার্ল্ড ওয়ার্কড এক্সাম্পল, ডিসিশন ফ্রেমওয়ার্ক এবং Purple-এর গেস্ট WiFi ও অ্যানালিটিক্স প্ল্যাটফর্মের ইন্টিগ্রেশন কনটেক্সটসহ অ্যাকশনেবল ডিপ্লয়মেন্ট গাইডেন্স প্রদান করে।

গাইডটি পড়ুন →

কীভাবে 802.1X এর মাধ্যমে iOS এবং macOS-এ এন্টারপ্রাইজ WiFi সেট আপ করবেন

এই প্রামাণিক গাইডটি সিনিয়র IT লিডারদের iOS এবং macOS ডিভাইসে 802.1X এন্টারপ্রাইজ WiFi ডিপ্লয় করার জন্য কার্যকর পদক্ষেপ প্রদান করে। এটি BYOD উদ্যোগগুলোকে সমর্থন করার পাশাপাশি কর্পোরেট নেটওয়ার্ক সুরক্ষিত করতে সার্টিফিকেট-ভিত্তিক অথেন্টিকেশন (EAP-TLS), MDM কনফিগারেশন প্রোফাইল এবং আর্কিটেকচার ইন্টিগ্রেশন কভার করে।

গাইডটি পড়ুন →