Fortinet FortiAP এবং গেস্ট WiFi: Purple-এর সাথে captive portal সেটআপ

Purple আর্কিটেকচার ব্রিফিং-এ আপনাকে স্বাগত জানাই। আজ আমরা এন্টারপ্রাইজ নেটওয়ার্কের জন্য একটি অত্যন্ত গুরুত্বপূর্ণ ইন্টিগ্রেশন নিয়ে আলোচনা করছি: Fortinet ইনফ্রাস্ট্রাকচারের সাথে, বিশেষ করে FortiAP অ্যাক্সেস পয়েন্ট এবং FortiGate ফায়ারওয়ালের পাশাপাশি Purple WiFi ডেপ্লয় করা। আপনি যদি কোনো IT ম্যানেজার, নেটওয়ার্ক আর্কিটেক্ট, বা কোনো ভেন্যু - হোক তা রিটেল চেইন, স্টেডিয়াম বা হাসপাতাল - ম্যানেজ করা CTO হন, তাহলে এই সেশনটি আপনাকে এই দুটি শক্তিশালী প্ল্যাটফর্মকে একসাথে নির্বিঘ্নে কাজ করানোর জন্য একটি কার্যকর ব্লুপ্রিন্ট দেওয়ার জন্য ডিজাইন করা হয়েছে। আসুন প্রেক্ষাপটটি সেট করা যাক। Fortinet তার শক্তিশালী সিকিউরিটি পোশচারের জন্য সুপরিচিত। FortiGate ইউনিফাইড থ্রেট ম্যানেজমেন্ট অ্যাপ্লায়েন্স গভীর, লেয়ার 7 ট্রাফিক ইন্সপেকশন প্রদান করে। তবে, গেস্ট WiFi-এর ক্ষেত্রে আপনি কেবল সিকিউরিটিই চান না - আপনি বিজনেস ভ্যালুও চান। আপনি ডেমোগ্রাফিক ডেটা ক্যাপচার করতে চান, ভিজিটরদের আচরণ বুঝতে চান এবং মার্কেটিং রিটার্ন অন ইনভেস্টমেন্ট বাড়াতে চান। সেখানেই Purple-এর ভূমিকা। Purple-কে একটি এক্সটার্নাল Captive Portal হিসেবে ইন্টিগ্রেট করার মাধ্যমে, আপনি গেস্ট আইডেন্টিটি ম্যানেজমেন্ট, GDPR কনসেন্ট এবং সোশ্যাল লগইনের মতো জটিল কাজগুলো Purple-এর ক্লাউড RADIUS-এ অফলোড করতে পারেন, এবং FortiGate-কে তার সেরা কাজটি করতে দিতে পারেন: পেরিমিটার সিকিউর করা। তাহলে, এটি আসলে পর্দার আড়ালে কীভাবে কাজ করে? আসুন টেকনিক্যাল ডিটেইলসে যাওয়া যাক। এই আর্কিটেকচারটি স্ট্যান্ডার্ড RADIUS প্রোটোকল এবং HTTP রিডাইরেকশনের উপর নির্ভর করে। যখন কোনো গেস্ট ডিভাইস FortiAP দ্বারা ব্রডকাস্ট করা আপনার ওপেন গেস্ট SSID-এর সাথে যুক্ত হয়, তখন FortiGate সেই প্রাথমিক ওয়েব রিকোয়েস্টটি ইন্টারসেপ্ট করে। একটি সাধারণ, লোকাল স্টোরেজে থাকা পোর্টাল পেজ দেখানোর পরিবর্তে, FortiGate ক্লায়েন্টকে Purple-এর ক্লাউড-হোস্টেড স্প্ল্যাশ পেজে রিডাইরেক্ট করে। এখন, এখানে একটি গুরুত্বপূর্ণ ধারণা রয়েছে: Walled Garden। এই প্রি-অথেনটিকেশন ফেজ চলাকালীন, গেস্টের কোনো ইন্টারনেট অ্যাক্সেস থাকে না। কিন্তু পোর্টালের গ্রাফিক্স লোড করার জন্য এবং লগ ইন করার জন্য তাদের Facebook বা Google-এ পৌঁছানোর প্রয়োজন হতে পারে। Walled Garden হলো FortiGate-এ কনফিগার করা একটি কঠোর অ্যালাউলিস্ট যা এই নির্দিষ্ট ডোমেনগুলোতে ট্রাফিকের অনুমতি দেয়। ব্যবহারকারী অথেনটিকেট করার পর, Purple-এর প্ল্যাটফর্ম FortiGate-এ একটি RADIUS Access-Accept মেসেজ ফেরত পাঠায়। তারপর FortiGate সেশন স্টেটকে অথেনটিকেটেড-এ পরিবর্তন করে এবং ব্যবহারকারীকে আপনার পোস্ট-অথেনটিকেশন ফায়ারওয়াল পলিসিতে নিয়ে যায়। আসুন RADIUS কনফিগারেশন সম্পর্কে আরও বিশদে আলোচনা করি, কারণ এখানেই নিখুঁত হওয়া প্রয়োজন। Purple আপনাকে দুই সেট RADIUS ক্রেডেনশিয়াল প্রদান করে: একটি পোর্ট ১৮১২-এ অথেনটিকেশনের জন্য এবং অন্যটি পোর্ট ১৮১৩-এ অ্যাকাউন্টিংয়ের জন্য। দুটিই কনফিগার করতে হবে। অ্যাকাউন্টিং সার্ভার ঐচ্ছিক নয়। এটি এমন একটি মেকানিজম যার মাধ্যমে FortiGate সেশন ডেটা - সময়কাল, ব্যবহৃত ব্যান্ডউইথ এবং সেশন সমাপ্তির ঘটনাগুলো Purple-এ রিপোর্ট করে। সঠিক অ্যাকাউন্টিং ডেটা ছাড়া, আপনার Purple অ্যানালিটিক্স ড্যাশবোর্ড অসম্পূর্ণ বা ভুল ভিজিটর মেট্রিক্স দেখাবে। আপনার অ্যাকাউন্টিং ইন্টারিম ইন্টারভাল ১২০ সেকেন্ডে সেট করুন। এটি রিয়েল-টাইম ভিজিবিলিটি এবং নেটওয়ার্ক ওভারহেডের মধ্যে একটি ভালো ভারসাম্য প্রদান করে।একটি অত্যন্ত সাধারণ দৃশ্যপটে FortiAuthenticator জড়িত থাকে। অনেক এন্টারপ্রাইজ তাদের কর্মীদের WiFi এর জন্য FortiAuthenticator ব্যবহার করে - Active Directory-এর বিপরীতে করপোরেট ডিভাইসগুলিকে প্রমাণীকরণ করতে 802.1X এবং PEAP ব্যবহার করে। প্রশ্নটি সর্বদা থাকে: আমি কি কর্মীদের জন্য আমার FortiAuthenticator রাখতে পারি এবং অতিথিদের জন্য Purple ব্যবহার করতে পারি? উত্তরটি হলো অবশ্যই হ্যাঁ, এবং এখানকার মূল নিয়মটি হলো কঠোর পৃথকীকরণ। আপনি আপনার কর্মীদের SSID-টিকে FortiAuthenticator-এর দিকে নির্দেশ করে রাখবেন। আপনি অতিথিদের জন্য একটি সম্পূর্ণ আলাদা, ওপেন SSID তৈরি করবেন যা Purple-এর বাহ্যিক Captive Portal এবং ক্লাউড RADIUS-এর দিকে নির্দেশ করবে। FortiGate SSID-এর উপর ভিত্তি করে প্রমাণীকরণ অনুরোধগুলি রুট করে। কর্মীদের পরিচয় FortiAuthenticator-এর সাথে অন-প্রিমিসেই থাকে। অতিথিদের পরিচয় Purple মার্কেটিং ক্লাউডে যায়। জিরো ক্রসওভার, সর্বোচ্চ নিরাপত্তা। এই আর্কিটেকচারের একটি উল্লেখযোগ্য কমপ্লায়েন্স সুবিধাও রয়েছে। PCI-DSS প্রয়োজনীয়তার অধীনে, অতিথি WiFi নেটওয়ার্কগুলিকে অবশ্যই কার্ডধারীর ডেটা হ্যান্ডেল করে এমন যেকোনো নেটওয়ার্ক সেগমেন্ট থেকে সম্পূর্ণ আলাদা রাখতে হবে। অতিথি SSID-টিকে একটি ডেডিকেটেড VLAN-এ রেখে এবং সমস্ত RFC 1918 প্রাইভেট IP স্পেস গন্তব্যগুলিকে ব্লক করার জন্য FortiGate-এ কঠোর ফায়ারওয়াল পলিসি প্রয়োগ করে, আপনি এই প্রয়োজনীয়তাটি পরিষ্কারভাবে পূরণ করতে পারেন। এখন চলুন বাস্তবায়নের সুপারিশগুলিতে এগিয়ে যাওয়া যাক। আপনি যখন এটি সেট আপ করছেন, তখন IP অ্যাসাইনমেন্টের বিষয়ে আপনাকে একটি অত্যন্ত গুরুত্বপূর্ণ সিদ্ধান্ত নিতে হবে: NAT মোড বনাম Bridge মোড। আপনি যদি সম্ভবত পঞ্চাশ থেকে একশটি সমসাময়িক অতিথি সংযোগ সহ একটি ছোট খুচরা শাখা স্থাপন করেন, তবে NAT মোড সম্পূর্ণ উপযুক্ত। FortiGate একটি ডেডিকেটেড ইন্টারনাল সাবনেট থেকে অতিথিদের DHCP অ্যাড্রেস প্রদান করে এবং ট্রাফিক ফায়ারওয়াল থেকে বের হওয়ার সময় সেগুলিকে অনুবাদ (translate) করে। এটি সহজ এবং এর জন্য ন্যূনতম অতিরিক্ত পরিকাঠামোর প্রয়োজন হয়। কিন্তু আপনি যদি একটি উচ্চ-ঘনত্বের পরিবেশ স্থাপন করেন - ধরা যাক, একটি পাঁচশো রুমের হোটেল, একাধিক সমসাময়িক ইভেন্ট সহ একটি কনফারেন্স সেন্টার বা একটি স্টেডিয়াম - তবে আপনাকে অবশ্যই Bridge মোড ব্যবহার করতে হবে। Bridge মোডে, FortiAP অতিথিদের ট্রাফিক সরাসরি একটি ডেডিকেটেড VLAN-এ ফেলে দেয়, যা আপনার কোর এন্টারপ্রাইজ DHCP সার্ভারগুলিকে লোড হ্যান্ডেল করতে সাহায্য করে। এটি পিক কানেকশন ইভেন্টগুলির সময় FortiGate-কে একটি DHCP বটলেনেক হতে বাধা দেয়। Bridge মোড এটিও নিশ্চিত করে যে Purple প্ল্যাটফর্ম ক্লায়েন্টের আসল IP অ্যাড্রেসটি দেখতে পাচ্ছে, যা সঠিক অ্যানালিটিক্স এবং ট্রাবলশুটিংয়ের জন্য অত্যন্ত গুরুত্বপূর্ণ। আসুন ধাপে ধাপে কনফিগারেশন সিকোয়েন্স সম্পর্কে কথা বলি, কারণ এখানে ক্রমটি অত্যন্ত গুরুত্বপূর্ণ। Purple পোর্টালে শুরু করুন। আপনার RADIUS সার্ভারের ক্রেডেনশিয়ালগুলি পুনরুদ্ধার করুন - সার্ভার IP অ্যাড্রেসসমূহ, শেয়ার্ড সিক্রেটসমূহ, Captive Portal URL এবং রিডাইরেক্ট URL। Fortinet কনফিগারেশনে হাত দেওয়ার আগে আপনার এই চারটি গুরুত্বপূর্ণ তথ্যের প্রয়োজন হবে। তারপর, FortiCloud ড্যাশবোর্ড বা আপনার FortiGate ম্যানেজমেন্ট ইন্টারফেসে যান। প্রথমে আপনার RADIUS সার্ভারগুলিকে সংজ্ঞায়িত করুন - 1812-এ প্রমাণীকরণ (authentication), 1813-এ অ্যাকাউন্টিং। তারপর আপনার গেস্ট SSID তৈরি করুন, প্রমাণীকরণ Open সেট করুন, External Captive Portal সক্ষম করুন এবং Purple পোর্টাল URL ও রিডাইরেক্ট URL ইনপুট করুন। আপনার Walled Garden কনফিগার করুন। এবং সবশেষে, আপনার UTM প্রোফাইলগুলির সাথে আপনার পোস্ট-প্রমাণীকরণ ফায়ারওয়াল পলিসি নির্ধারণ করুন।ভুলত্রুটির বিষয়গুলো কেমন? সাধারণত ডেপ্লয়মেন্টের সময় কোথায় ভুল হয়? কোনো সন্দেহ ছাড়াই, এক নম্বর সমস্যাটি হলো একটি অসম্পূর্ণ Walled Garden। যদি কোনো গেস্ট কানেক্ট করার পর একটি ফাঁকা স্ক্রিন বা কানেকশন টাইমআউট দেখতে পান, তবে এর অর্থ প্রায় সবসময়ই এই যে, FortiGate অথেন্টিকেশনের আগে Purple-এর CSS ফাইল, JavaScript অ্যাসেট বা সোশ্যাল লগইন API-গুলোতে অ্যাক্সেস ব্লক করছে। আপনাকে অবশ্যই নিশ্চিত করতে হবে যে প্রয়োজনীয় প্রতিটি ডোমেন সেই প্রি-অথেন্টিকেশন পলিসিতে স্পষ্টভাবে অনুমোদিত রয়েছে। Purple প্রয়োজনীয় ডোমেনের একটি বিস্তৃত তালিকা প্রদান করে - এটি সম্পূর্ণভাবে ব্যবহার করুন। এছাড়াও, DNS-এর কথা ভুলে যাবেন না। নন-অথেন্টিকেটেড ক্লায়েন্টদের অবশ্যই DNS কোয়েরি রিজলভ করার অনুমতি দিতে হবে, অন্যথায় রিডাইরেক্ট একেবারেই কাজ করবে না। পেজ লোড করার চেষ্টা করার আগেই ডিভাইসটিকে Purple পোর্টাল হোস্টনেমটি রিজলভ করতে হবে। দ্বিতীয় সবচেয়ে সাধারণ ভুলটি হলো সার্টিফিকেট সংক্রান্ত ত্রুটি। নিশ্চিত করুন যে আপনার FortiGate রিডাইরেকশন ইন্টারফেসের জন্য একটি বৈধ, পাবলিকলি ট্রাস্টেড SSL সার্টিফিকেট প্রদর্শন করছে। আপনি যদি ডিফল্ট সেলফ-সাইনড সার্টিফিকেট ব্যবহার করেন, তবে আধুনিক iPhones এবং Android ডিভাইসগুলো বড় ধরনের সিকিউরিটি ওয়ার্নিং দেখাবে এবং আপনার গেস্টরা কানেকশনটি পুরোপুরি ছেড়ে দেবেন। এটি বিশেষ করে হসপিটালিটি পরিবেশের জন্য একটি বড় সমস্যা যেখানে গেস্ট এক্সপেরিয়েন্স সবচেয়ে গুরুত্বপূর্ণ। তৃতীয় ভুলটি হলো RADIUS টাইমআউট ত্রুটি। যদি পোর্টাল লোড হয় কিন্তু অথেন্টিকেশন বারবার ব্যর্থ হয়, তবে আপনার FortiGate কনফিগারেশন এবং Purple পোর্টালের মধ্যে শেয়ারড সিক্রেটগুলো হুবহু মিলছে কিনা তা যাচাই করুন। এমনকি একটি অক্ষরের পার্থক্যও সমস্ত অথেন্টিকেশন প্রচেষ্টাকে সাইলেন্টলি ব্যর্থ করে দেবে। এছাড়াও যাচাই করুন যে আপনার Fortinet ইনফ্রাস্ট্রাকচার এবং Purple-এর ক্লাউড RADIUS সার্ভারের মধ্যে কোনো ইন্টারমিডিয়েট ফায়ারওয়াল UDP পোর্ট 1812 এবং 1813 ব্লক করছে না। আসুন ক্লায়েন্টদের কাছ থেকে আমরা যে সাধারণ প্রশ্নগুলো পেয়ে থাকি, তার ওপর ভিত্তি করে একটি দ্রুত প্রশ্নোত্তর পর্বের মাধ্যমে আলোচনাটি শেষ করি। প্রশ্ন এক: Purple ব্যবহার করলে কি আমার FortiGate সিকিউরিটি পলিসি বাইপাস হয়ে যায়? একেবারেই না। Purple অথেন্টিকেশন এবং আইডেন্টিটি ক্যাপচারের কাজ পরিচালনা করে। একবার অথেন্টিকেটেড হয়ে গেলে, সমস্ত গেস্ট ট্রাফিক আপনার FortiGate-এর পোস্ট-অথেন্টিকেশন পলিসির মাধ্যমে প্রবাহিত হয়। ঠিক এখানেই আপনি FortiGuard ওয়েব ফিল্টারিং প্রয়োগ করেন, পিয়ার-টু-পিয়ার ট্রাফিক ব্লক করেন এবং ব্যান্ডউইথ নিয়ন্ত্রণ করেন। বিষয়টি এভাবে ভাবুন: প্রি-অথেন্টিকেশন হলো লগইনের অনুমতি দেওয়ার জন্য শিথিল; আর পোস্ট-অথেন্টিকেশন হলো নেটওয়ার্ক সুরক্ষার জন্য কঠোর। প্রশ্ন দুই: আমার কি লোকাল RADIUS সার্ভার ডেপ্লয় করার প্রয়োজন আছে? না। Purple RADIUS-as-a-Service প্রদান করে। আপনি FortiGate-টিকে সরাসরি Purple-এর ক্লাউড RADIUS IP অ্যাড্রেসগুলোর দিকে পয়েন্ট করার জন্য কনফিগার করবেন। গেস্ট নেটওয়ার্কের জন্য FreeRADIUS, Windows NPS বা অন্য কোনো লোকাল RADIUS ইনফ্রাস্ট্রাকচার ডেপ্লয় এবং রক্ষণাবেক্ষণ করার কোনো প্রয়োজন নেই। প্রশ্ন তিন: Purple কি FortiWLM-এর সাথে কাজ করতে পারে? হ্যাঁ। ইন্টিগ্রেশন পদ্ধতিটি একই রকম - FortiWLM কন্ট্রোলারের মধ্যে এক্সটার্নাল Captive Portal URL, RADIUS সার্ভার ক্রিডেনশিয়াল এবং walled garden কনফিগার করুন, ঠিক FortiGate কনফিগারেশনের মতোই একই লজিক্যাল সিকোয়েন্স অনুসরণ করে।চতুর্থ প্রশ্ন: GDPR সম্মতির ক্ষেত্রে কী হবে? Purple পোর্টাল স্তরে স্পষ্ট সম্মতি গ্রহণ করে, যা প্রমাণীকরণের আগে আপনার শর্তাবলী এবং ডেটা প্রক্রিয়াকরণ সংক্রান্ত নোটিশ প্রদর্শন করে। এই সম্মতির ডেটা Purple প্ল্যাটফর্মের মধ্যে সংরক্ষিত হয় এবং এটি নিরীক্ষণযোগ্য। FortiGate-এর ভূমিকা শুধুমাত্র নেটওয়ার্ক প্রয়োগ করা - এটির সরাসরি সম্মতির ডেটা পরিচালনা করার প্রয়োজন নেই। আজকের ব্রিফিংয়ের মূল বিষয়গুলি সংক্ষেপে আলোচনা করতে: প্রথম: আপনার স্টাফ এবং গেস্ট SSIDs সম্পূর্ণ আলাদা করুন। 802.1X সহ FortiAuthenticator-এ স্টাফ। এক্সটার্নাল captive portal সহ Purple-এ গেস্ট। দ্বিতীয়: আপনার Walled Garden অত্যন্ত সতর্কতার সাথে কনফিগার করুন। এটি সবচেয়ে সাধারণ ব্যর্থতার পয়েন্ট এবং সবচেয়ে গুরুত্বপূর্ণ প্রাক-প্রমাণীকরণ কনফিগারেশন উপাদান। তৃতীয়: DHCP জটিলতা এড়াতে এবং সঠিক ক্লায়েন্ট IP দৃশ্যমানতা নিশ্চিত করতে যেকোনো উচ্চ-ঘনত্বের ডিপ্লয়মেন্টের জন্য Bridge mode ব্যবহার করুন। চতুর্থ: RADIUS প্রমাণীকরণ এবং অ্যাকাউন্টিং সার্ভার উভয়ই কনফিগার করুন। আপনি যদি অর্থপূর্ণ অ্যানালিটিক্স চান তবে অ্যাকাউন্টিং ঐচ্ছিক নয়। পঞ্চম: প্রমাণীকরণ-পরবর্তী সময়ে Fortinet-এর UTM বৈশিষ্ট্যগুলোর সুবিধা নিন। ওয়েব ফিল্টারিং, অ্যাপ্লিকেশন নিয়ন্ত্রণ এবং ব্যান্ডউইথ শেপিং সবই প্রমাণীকরণ-পরবর্তী ফায়ারওয়াল পলিসিতে প্রয়োগ করা উচিত। এই ইন্টিগ্রেশনটি সঠিকভাবে সম্পন্ন করার মাধ্যমে, আপনি গেস্ট WiFi-কে একটি খরচের জায়গা থেকে একটি অনুগত, নিরাপদ এবং রাজস্ব-উৎপাদনকারী সম্পদে রূপান্তর করতে পারেন। Fortinet-এর গভীর নিরাপত্তা এবং Purple-এর বিপণন বুদ্ধিমত্তার সংমিশ্রণ যেকোনো ভেন্যু অপারেটরের জন্য সত্যিই শক্তিশালী, যারা তাদের গেস্ট অভিজ্ঞতা এবং ডেটা কৌশলকে গুরুত্ব সহকারে নিতে চান। Purple আর্কিটেকচার ব্রিফিং শোনার জন্য ধন্যবাদ। আপনি যদি আপনার নির্দিষ্ট ডিপ্লয়মেন্টের প্রয়োজনীয়তা নিয়ে আলোচনা করতে চান, তবে সলিউশন টিমের সাথে কথা বলতে purple.ai ভিজিট করুন।