মূল কন্টেন্টে যান

EAP-TLS WiFi অথেন্টিকেশনের জন্য ডিজিটাল সার্টিফিকেট পরিচালনা

এই টেকনিক্যাল রেফারেন্স গাইডটি EAP-TLS WiFi অথেন্টিকেশনের জন্য ডিজিটাল সার্টিফিকেটের লাইফসাইকেল ম্যানেজমেন্ট বিস্তারিতভাবে বর্ণনা করে। এটি SCEP এবং MDM ইন্টিগ্রেশন ব্যবহার করে এন্টারপ্রাইজ নেটওয়ার্কজুড়ে স্কেলে সার্টিফিকেট ডেপ্লয়, রিনিউ এবং রিভোক করার জন্য কার্যকরী কৌশল প্রদান করে।

📖 4 মিনিট পাঠ📝 892 শব্দ🔧 2 সমাধানকৃত উদাহরণ3 অনুশীলনী প্রশ্ন📚 8 মূল সংজ্ঞা

এই গাইডটি শুনুন

পডকাস্ট ট্রান্সক্রিপ্ট দেখুন
Speak in British English with a confident, authoritative, and conversational tone - like a senior consultant briefing a client. Measured pace, clear diction, warm but direct. Occasional natural pauses for emphasis: Purple টেকনিক্যাল ব্রিফিং সিরিজে আপনাকে স্বাগতম। আজ আমরা EAP-TLS সার্টিফিকেট ম্যানেজমেন্ট নিয়ে কথা বলছি - বিশেষ করে, কীভাবে একটি সার্টিফিকেট-ভিত্তিক WiFi অথেন্টিকেশন প্রোগ্রাম স্কেলে চালানো যায়, এটিকে একটি ফুল-টাইম অপারেশনাল বোঝা না বানিয়ে। [medium pause] আপনি যদি একাধিক সাইটজুড়ে কর্পোরেট বা স্টাফ WiFi-এর জন্য দায়ী হন - তা কোনো হোটেল গ্রুপ, রিটেল এস্টেট, ইউনিভার্সিটি ক্যাম্পাস বা পাবলিক-সেক্টর এস্টেটই হোক না কেন - এই ব্রিফিংটি আপনার জন্য। আমরা সম্পূর্ণ সার্টিফিকেট লাইফসাইকেল কভার করতে যাচ্ছি: আপনার CA হায়ারার্কি সেট আপ করা থেকে শুরু করে, SCEP এবং MDM-এর মাধ্যমে স্বয়ংক্রিয় ডেপ্লয়মেন্ট, রিনিউয়াল এবং রিভোকেশন পর্যন্ত। এবং আমরা কথা বলব কোথায় জিনিসগুলো ভুল হতে পারে, কারণ সেগুলো ভুল হয়, এবং কীভাবে সবচেয়ে সাধারণ ফাঁদগুলো এড়ানো যায়। [medium pause] আসুন মৌলিক বিষয়গুলো দিয়ে শুরু করি। EAP-TLS - যা হলো Extensible Authentication Protocol with Transport Layer Security - হলো 802.1X WiFi অথেন্টিকেশনের জন্য গোল্ড স্ট্যান্ডার্ড। PEAP-এর মতো নয়, যা একটি ইউজারনেম এবং পাসওয়ার্ডের ওপর নির্ভর করে, EAP-TLS মিউচুয়াল সার্টিফিকেট-ভিত্তিক অথেন্টিকেশন ব্যবহার করে। ডিভাইসটি একটি ক্লায়েন্ট সার্টিফিকেট দিয়ে তার পরিচয় প্রমাণ করে। RADIUS সার্ভার একটি সার্ভার সার্টিফিকেট দিয়ে তার পরিচয় প্রমাণ করে। উভয় পক্ষই অপর পক্ষকে যাচাই করে। ফিশিং করার মতো কোনো পাসওয়ার্ড নেই। চুরি করার মতো কোনো ক্রেডেনশিয়াল নেই। এই কারণেই PCI DSS 4.0 এবং NCSC-এর জিরো-ট্রাস্ট গাইডলাইন উভয়ই স্টাফ নেটওয়ার্কের জন্য সার্টিফিকেট-ভিত্তিক অথেন্টিকেশনের দিকে নির্দেশ করে। [medium pause] এখন, আর্কিটেকচার। EAP-TLS কাজ করার জন্য আপনার তিনটি জিনিস প্রয়োজন। প্রথমত, একটি Public Key Infrastructure - আপনার CA হায়ারার্কি। দ্বিতীয়ত, ডিভাইসে সার্টিফিকেট পাওয়ার একটি মেকানিজম - যা হলো SCEP বা আপনার MDM প্ল্যাটফর্ম। তৃতীয়ত, একটি RADIUS সার্ভার যা আপনার CA-কে বিশ্বাস করে এবং রিয়েল-টাইমে ক্লায়েন্ট সার্টিফিকেট যাচাই করতে পারে। [medium pause] CA হায়ারার্কি হলো এমন একটি জায়গা যেখানে বেশিরভাগ প্রতিষ্ঠান শুরুতেই সমস্যায় পড়ে। সঠিক প্যাটার্নটি হলো একটি থ্রি-টিয়ার মডেল। আপনার শীর্ষে একটি Root CA রয়েছে - এটি অফলাইন, এয়ার-গ্যাপড হওয়া উচিত এবং কেবল আপনার Intermediate CA সার্টিফিকেটে স্বাক্ষর করার জন্য অনলাইনে আনা উচিত। Intermediate CA - যাকে কখনও কখনও Issuing CA বলা হয় - হলো সেটি যা আসলে প্রতিদিনের সার্টিফিকেটগুলোতে স্বাক্ষর করে। এটি অনলাইন, তবে এর প্রাইভেট কী ভালোভাবে সুরক্ষিত থাকে। এর নিচে, আপনি দুই ধরণের সার্টিফিকেট ইস্যু করেন: আপনার RADIUS ইনফ্রাস্ট্রাকচারের জন্য সার্ভার সার্টিফিকেট এবং আপনার ডিভাইস ও ব্যবহারকারীদের জন্য ক্লায়েন্ট সার্টিফিকেট। [medium pause] কেন এটি গুরুত্বপূর্ণ? কারণ যদি আপনার Root CA আপোসকৃত হয়, তবে আপনাকে স্ক্র্যাচ থেকে আপনার সম্পূর্ণ PKI পুনর্নির্মাণ করতে হবে এবং প্রতিটি ডিভাইস পুনরায় নথিভুক্ত করতে হবে। এটিকে অফলাইনে রাখা সেই ঝুঁকি দূর করে। Root-কে স্পর্শ না করেই Intermediate CA প্রতিস্থাপন করা যেতে পারে। এটিই থ্রি-টিয়ার মডেলের অপারেশনাল স্থিতিস্থাপকতার যুক্তি। [medium pause] আসুন সার্টিফিকেটের মেয়াদের সময়কাল নিয়ে কথা বলি। এখানে একটি উল্লেখযোগ্য ইন্ডাস্ট্রি শিফট হয়েছে। Apple, Google এবং Mozilla সবাই সার্টিফিকেটের সংক্ষিপ্ততম সর্বোচ্চ লাইফটাইম প্রয়োগ করার জন্য পদক্ষেপ নিয়েছে। TLS সার্ভার সার্টিফিকেটের জন্য, সর্বোচ্চ মেয়াদ এখন ৩৯৮ দিন। এন্টারপ্রাইজ WiFi-এ ক্লায়েন্ট সার্টিফিকেটের জন্য, আপনার আরও নমনীয়তা রয়েছে - এক থেকে দুই বছর সাধারণ - তবে প্রবণতাটি ম্যানুয়ালি পরিচালিত দীর্ঘস্থায়ী সার্টিফিকেটের পরিবর্তে সংক্ষিপ্ত লাইফটাইম এবং স্বয়ংক্রিয় রিনিউয়ালের দিকে। কারণটি সহজ: একটি সার্টিফিকেট আপোসকৃত হলে একটি সংক্ষিপ্ত লাইফটাইম এক্সপোজারের উইন্ডোকে সীমিত করে। [medium pause] এটি আমাদের অটোমেশনের দিকে নিয়ে আসে। ম্যানুয়াল সার্টিফিকেট ম্যানেজমেন্ট স্কেল করে না। আপনার যদি ৫০০টি ডিভাইস থাকে, তবে আপনি কোনোমতে হাত দিয়ে রিনিউয়াল পরিচালনা করতে পারেন। আপনার যদি ৫০টি সাইটজুড়ে ৫,০০০টি ডিভাইস থাকে, তবে আপনি তা পারবেন না। আপনার SCEP - Simple Certificate Enrolment Protocol - বা এর আধুনিক উত্তরসূরি EST প্রয়োজন। SCEP সরাসরি Microsoft Intune, Jamf Pro এবং VMware Workspace ONE সহ MDM প্ল্যাটফর্মগুলোর সাথে ইন্টিগ্রেট করে। MDM ডিভাইসে একটি SCEP কনফিগারেশন প্রোফাইল পুশ করে। ডিভাইসটি একটি কী পেয়ার তৈরি করে, আপনার SCEP সার্ভারে একটি সার্টিফিকেট সাইনিং রিকোয়েস্ট পাঠায় এবং একটি স্বাক্ষরিত সার্টিফিকেট ফেরত পায় - কোনো ব্যবহারকারীর হস্তক্ষেপ ছাড়াই। [medium pause] একটি Active Directory পরিবেশে Windows ডিভাইসগুলোর জন্য, আপনার একটি বিকল্প রয়েছে: Active Directory Certificate Services-এর মাধ্যমে Group Policy-চালিত অটো-এনরোলমেন্ট। ডিভাইসটি ডোমেনে অথেন্টিকেট করে, CA স্বয়ংক্রিয়ভাবে একটি সার্টিফিকেট ইস্যু করে এবং কোনো ম্যানুয়াল হস্তক্ষেপ ছাড়াই মেয়াদ শেষ হওয়ার আগে সার্টিফিকেটটি রিনিউ করা হয়। Windows-প্রধান এস্টেটগুলোর জন্য এটি সবচেয়ে নির্বিঘ্ন পথ। [medium pause] এখন, রিভোকেশন। এটি এমন একটি অংশ যেখানে প্রতিষ্ঠানগুলো প্রায়শই কম বিনিয়োগ করে, এবং কোনো কিছু ভুল হলে এটিই সবচেয়ে বেশি গুরুত্বপূর্ণ হয়ে দাঁড়ায়। যদি কোনো ডিভাইস হারিয়ে যায়, চুরি হয়ে যায় বা কোনো কর্মচারী চলে যান, তবে আপনাকে অবিলম্বে তাদের সার্টিফিকেট রিভোক করতে হবে। দুটি মেকানিজম রয়েছে: CRL - Certificate Revocation Lists - এবং OCSP - Online Certificate Status Protocol। [medium pause] CRL হলো পুরানো মেকানিজম। আপনার CA একটি পরিচিত URL-এ রিভোকড সার্টিফিকেটের সিরিয়াল নম্বরের একটি তালিকা প্রকাশ করে। RADIUS সার্ভার পর্যায়ক্রমে এই তালিকাটি ডাউনলোড করে এবং এর বিপরীতে পরীক্ষা করে। CRL-এর সমস্যা হলো লেটেন্সি - যদি আপনার CRL-এর ২৪ ঘণ্টার মেয়াদের সময়কাল থাকে, তবে একটি রিভোকড সার্টিফিকেট রিভোকেশনের পরেও ২৪ ঘণ্টা পর্যন্ত অথেন্টিকেট করতে পারে। [medium pause] OCSP হলো রিয়েল-টাইম বিকল্প। RADIUS সার্ভার প্রতিটি অথেন্টিকেশনের চেষ্টার জন্য OCSP রেসপন্ডারকে একটি কুয়েরি পাঠায় এবং একটি লাইভ গুড বা রিভোকড রেসপন্স পায়। এর অসুবিধা হলো যে আপনার OCSP রেসপন্ডার একটি গুরুত্বপূর্ণ ডিপেন্ডেন্সি হয়ে ওঠে - যদি এটি অনুপলব্ধ হয়, তবে আপনাকে সিদ্ধান্ত নিতে হবে যে ফেইল ওপেন হবে নাকি ফেইল ক্লোজড হবে। উচ্চ-নিরাপত্তা পরিবেশের জন্য, ফেইল ক্লোজড হলো সঠিক উত্তর। অপারেশনাল পরিবেশের জন্য যেখানে প্রাপ্যতা গুরুত্বপূর্ণ, আপনি একটি সংক্ষিপ্ত OCSP গ্রেস পিরিয়ড কনফিগার করতে পারেন। [medium pause] এটি বাস্তবসম্মত করতে আমাকে দুটি সুনির্দিষ্ট দৃশ্যপট দিতে দিন। [medium pause] প্রথম: একটি ১৫০-প্রপার্টির হোটেল গ্রুপ। তারা স্টাফ WiFi-এর জন্য একটি শেয়ার্ড পাসওয়ার্ড সহ PEAP চালাচ্ছিল। পাসওয়ার্ড রোটেশন ছিল ত্রৈমাসিক, যার অর্থ প্রতি কোয়ার্টারে দুই সপ্তাহের একটি উইন্ডো ছিল যেখানে স্টাফরা লক আউট হয়ে যেত বা পুরানো পাসওয়ার্ড ব্যবহার করত। তারা সার্টিফিকেট ডেপ্লয়মেন্টের জন্য Microsoft Intune ব্যবহার করে EAP-TLS-এ স্থানান্তরিত হয়েছে। SCEP প্রোফাইলগুলো সমস্ত Windows and iOS ডিভাইসে পুশ করা হয়েছে। CA হিসেবে Active Directory Certificate Services। ফলাফল: শূন্য পাসওয়ার্ড রোটেশন ইভেন্ট, মেয়াদ শেষ হওয়ার ৩০ দিন আগে সার্টিফিকেট রিনিউয়াল স্বয়ংক্রিয়ভাবে পরিচালিত হয় এবং যখন কোনো স্টাফ সদস্য চলে যান, তখন Microsoft Entra ID-তে তাদের অ্যাকাউন্ট নিষ্ক্রিয় করার কয়েক মিনিটের মধ্যে MDM-এ তাদের সার্টিফিকেট রিভোক করা হয়। IT টিম অনুমান করেছে যে তারা পাসওয়ার্ড রিসেট এবং হেল্পডেস্ক টিকিটে প্রতি কোয়ার্টারে প্রায় ৪০ ঘণ্টা সাশ্রয় করেছে। [medium pause] দ্বিতীয়: ২০০টি স্টোরজুড়ে ৩,০০০টি স্টাফ ডিভাইস সহ একটি মাল্টি-সাইট রিটেল চেইন। এখানে চ্যালেঞ্জটি ছিল ডিভাইসের বৈচিত্র্য - Windows ল্যাপটপ, Android হ্যান্ডহেল্ড এবং iOS ডিভাইসের মিশ্রণ। তারা Apple ডিভাইসের জন্য Jamf Pro এবং Windows ও Android-এর জন্য Microsoft Intune ব্যবহার করেছিল, উভয়ই একটি Microsoft ADCS Intermediate CA দ্বারা ব্যাকড একই SCEP সার্ভারকে নির্দেশ করে। WiFi ইনফ্রাস্ট্রাকচার ছিল Cisco Meraki, যার RADIUS অথেন্টিকেশন Purple-এর সাথে ইন্টিগ্রেটেড একটি ক্লাউড-হোস্টেড RADIUS সার্ভিস দ্বারা পরিচালিত হতো। মূল ডিজাইন সিদ্ধান্তটি ছিল ১২ মাসের মেয়াদ সহ সার্টিফিকেট ইস্যু করা এবং মেয়াদ শেষ হওয়ার ৬০ দিন আগে স্বয়ংক্রিয় রিনিউয়াল কনফিগার করা। এটি অপারেশনাল ওভারহেড তৈরি না করেই একটি আরামদায়ক রিনিউয়াল উইন্ডো প্রদান করেছে। [medium pause] এখন, ত্রুটিগুলো। এখানে চারটি ত্রুটি রয়েছে যা আমি ক্রমাগত দেখতে পাই। [medium pause] প্রথম: রিভোকেশন পরীক্ষা না করা। প্রতিষ্ঠানগুলো তাদের PKI সেট আপ করে, সার্টিফিকেট ডেপ্লয় করে এবং রিভোকেশন শেষ থেকে শেষ পর্যন্ত কাজ করে কিনা তা কখনই পরীক্ষা করে না। এটি পরীক্ষা করুন। একটি টেস্ট সার্টিফিকেট রিভোক করুন, আপনার প্রত্যাশিত উইন্ডোর মধ্যে RADIUS সার্ভার রিভোকেশনটি সনাক্ত করছে কিনা তা নিশ্চিত করুন এবং ডিভাইসটির অ্যাক্সেস প্রত্যাখ্যান করা হয়েছে কিনা তা নিশ্চিত করুন। [medium pause] দ্বিতীয়: এক্সপায়ারি ক্লিফ-এজ। আপনি যদি একই মেয়াদের সময়কাল সহ একই সময়ে আপনার সমস্ত সার্টিফিকেট ইস্যু করেন, তবে সেগুলো সবই একই সময়ে শেষ হয়ে যাবে। আপনার ইস্যু করা ধাপে ধাপে করুন, অথবা অন্তত আপনার রিনিউয়াল ট্রিগারগুলো ধাপে ধাপে করুন। একই সাথে ৫,০০০টি ডিভাইসে ১০% রিনিউয়াল ব্যর্থতার হার একটি বড় ধরনের ঘটনা। [medium pause] তৃতীয়: EAP-TLS ডেপ্লয় করার আগে সমস্ত ডিভাইসে Root CA সার্টিফিকেট বিতরণ না করা। যদি ডিভাইসটি আপনার Root CA-কে বিশ্বাস না করে, তবে এটি RADIUS সার্ভারের সার্টিফিকেট প্রত্যাখ্যান করবে এবং অথেন্টিকেশন ব্যর্থ হবে। এটি স্পষ্ট শোনায়, তবে এটি প্রতিষ্ঠানগুলোকে বিপদে ফেলে যখন তাদের কাছে BYOD ডিভাইস বা ঠিকাদারের ল্যাপটপ থাকে যা MDM-এ নথিভুক্ত নয়। [medium pause] চতুর্থ: OCSP রেসপন্ডারের প্রাপ্যতা। যদি আপনার OCSP রেসপন্ডার ডাউন হয়ে যায় এবং আপনার RADIUS সার্ভারটি OCSP ত্রুটিতে ফেইল ক্লোজড হওয়ার জন্য কনফিগার করা থাকে, তবে আপনার সম্পূর্ণ WiFi এস্টেট কাজ করা বন্ধ করে দেবে। আপনার OCSP ইনফ্রাস্ট্রাকচারে রেডান্ডেন্সি তৈরি করুন, অথবা উপযুক্ত মনিটরিং সহ একটি সংক্ষিপ্ত গ্রেস পিরিয়ড কনফিগার করুন। [medium pause] ঠিক আছে, র্যাপিড-ফায়ার প্রশ্ন। [medium pause] আমি কি EAP-TLS ক্লায়েন্ট সার্টিফিকেটের জন্য একটি পাবলিক CA ব্যবহার করতে পারি? টেকনিক্যালি হ্যাঁ, কিন্তু বাস্তবে না। পাবলিক CAs নির্বিচার ডিভাইসের জন্য ক্লায়েন্ট সার্টিফিকেট ইস্যু করবে না। ক্লায়েন্ট সার্টিফিকেটের জন্য আপনার নিজস্ব CA প্রয়োজন। RADIUS সার্ভার সার্টিফিকেটের জন্য, একটি পাবলিক CA ঠিক আছে এবং ট্রাস্ট বিতরণকে সহজ করে। [medium pause] BYOD-এর কী হবে? BYOD হলো একটি কঠিন ক্ষেত্র। আপনি MDM-এর মাধ্যমে আনম্যানেজড ডিভাইসে সার্টিফিকেট পুশ করতে পারবেন না। বিকল্পগুলোর মধ্যে রয়েছে একটি নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল পোর্টাল যা ব্যবহারকারীর অথেন্টিকেশনের পরে স্বল্পস্থায়ী সার্টিফিকেট ইস্যু করে, অথবা কেবল একটি ভিন্ন অথেন্টিকেশন পদ্ধতি সহ একটি পৃথক SSID-তে BYOD রাখা। [medium pause] এটি WPA3-এর সাথে কীভাবে ইন্টারঅ্যাক্ট করে? WPA3-Enterprise সংবেদনশীল পরিবেশের জন্য ১৯২-বিট সিকিউরিটি মোড বাধ্যতামূল করে, যার জন্য নির্দিষ্ট সাইফার সুইট প্রয়োজন। EAP-TLS WPA3-Enterprise-এর সাথে সম্পূর্ণরূপে সামঞ্জস্যপূর্ণ এবং প্রকৃতপক্ষে এটিই প্রস্তাবিত অথেন্টিকেশন পদ্ধতি। [medium pause] সংক্ষেপে বলতে গেলে। EAP-TLS সার্টিফিকেট ম্যানেজমেন্ট সহজ নয়, তবে আপনি যদি শুরু থেকেই আর্কিটেকচারটি সঠিকভাবে পান তবে এটি পরিচালনাযোগ্য। থ্রি-টিয়ার CA হায়ারার্কি। SCEP বা MDM-এর মাধ্যমে স্বয়ংক্রিয় এনরোলমেন্ট। স্বয়ংক্রিয় রিনিউয়াল সহ সার্টিফিকেটের সংক্ষিপ্ত লাইফটাইম। OCSP-এর মাধ্যমে রিয়েল-টাইম রিভোকেশন। সবকিছু পরীক্ষা করুন, বিশেষ করে রিভোকেশন। এবং আপনার আইডেন্টিটি প্রোভাইডার - Microsoft Entra ID, Okta, বা Google Workspace-এর সাথে আপনার সার্টিফিকেট লাইফসাইকেল ইন্টিগ্রেট করুন - যাতে কোনো অ্যাকাউন্ট ডিপ্রোভিশন করার সময় সার্টিফিকেট রিভোকেশন স্বয়ংক্রিয়ভাবে ট্রিগার হয়। [medium pause] আপনি যদি Purple-লিঙ্কড RADIUS সার্ভারগুলো চালান, তবে ইন্টিগ্রেশন পয়েন্টগুলো হলো আপনার SCEP সার্ভার URL, আপনার RADIUS সার্ভার সার্টিফিকেট এবং আপনার CRL বা OCSP এন্ডপয়েন্ট। Purple-এর হার্ডওয়্যার-অ্যাগনস্টিক আর্কিটেকচারের অর্থ হলো এটি Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist এবং ক্যানোনিকাল হার্ডওয়্যার তালিকার বাকি অংশজুড়ে কাজ করে - আপনি কোনো একক ভেন্ডরের PKI টুলের মধ্যে সীমাবদ্ধ নন। [medium pause] পরবর্তী পদক্ষেপ: আপনার বর্তমান সার্টিফিকেট ইনভেন্টরি অডিট করুন। আপনার কতগুলো সার্টিফিকেট আছে, কখন সেগুলোর মেয়াদ শেষ হবে এবং কে সেগুলো ইস্যু করেছে তা যদি আপনি না জানেন, তবে প্রথমে সেটি ঠিক করতে হবে। সেখান থেকে, সম্পূর্ণ অটোমেশনের পথটি সুনির্দিষ্ট। শোনার জন্য ধন্যবাদ।

header_image.png

এক্সিকিউটিভ সামারি

EAP-TLS WiFi অথেন্টিকেশনের জন্য ডিজিটাল সার্টিফিকেট পরিচালনা করা এন্টারপ্রাইজ IT টিমগুলোর জন্য একটি বড় অপারেশনাল চ্যালেঞ্জ। যেহেতু প্রতিষ্ঠানগুলো Zero Trust কমপ্লায়েন্সের সাথে সামঞ্জস্য রাখতে ক্রেডেনশিয়াল-ভিত্তিক অথেন্টিকেশন পর্যায়ক্রমে বন্ধ করে দিচ্ছে, তাই অপারেশনাল চাপ পাসওয়ার্ড রিসেট থেকে সার্টিফিকেট লাইফসাইকেল ম্যানেজমেন্টের দিকে স্থানান্তরিত হচ্ছে। এই গাইডটি জটিল এস্টেট পরিবেশজুড়ে স্কেলে ক্লায়েন্ট-সাইড সার্টিফিকেট ডেপ্লয়, রিনিউ এবং রিভোক করার জন্য প্রয়োজনীয় আর্কিটেকচারাল প্যাটার্নগুলো বিস্তারিতভাবে বর্ণনা করে।

CTO এবং নেটওয়ার্ক আর্কিটেক্টদের জন্য উদ্দেশ্যটি স্পষ্ট: একটি শক্তিশালী Public Key Infrastructure (PKI) বাস্তবায়ন করা যা বিদ্যমান Mobile Device Management (MDM) প্ল্যাটফর্মগুলোর সাথে নির্বিঘ্নে সংহত হয়। Simple Certificate Enrolment Protocol (SCEP) এর মাধ্যমে সার্টিফিকেট ইস্যু করা স্বয়ংক্রিয় করে এবং রিয়েল-টাইম রিভোকেশন কার্যকর করার মাধ্যমে ম্যানুয়াল হস্তক্ষেপ দূর করা হয়। এই পদ্ধতিটি নেটওয়ার্কের পরিধি সুরক্ষিত করে, PCI DSS 4.0 সহ কমপ্লায়েন্স ফ্রেমওয়ার্কগুলো পূরণ করে এবং কর্পোরেট হার্ডওয়্যার চালানো ৮০,০০০-এরও বেশি ফিজিক্যাল ভেন্যুর জন্য নিরবচ্ছিন্ন কানেক্টিভিটি নিশ্চিত করে।

টেকনিক্যাল ডিপ ডাইভ

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) হলো 802.1X নেটওয়ার্ক অ্যাক্সেস কন্ট্রোলের জন্য গোল্ড স্ট্যান্ডার্ড। এটি মিউচুয়াল অথেন্টিকেশন প্রয়োগ করে। ক্লায়েন্টের কাছে নিজের পরিচয় প্রমাণ করতে RADIUS সার্ভার তার সার্টিফিকেট উপস্থাপন করে, অন্যদিকে নেটওয়ার্কের কাছে নিজের পরিচয় প্রমাণ করতে ক্লায়েন্ট তার সার্টিফিকেট উপস্থাপন করে।

থ্রি-টিয়ার PKI আর্কিটেকচার

একটি ফ্ল্যাট PKI হায়ারার্কি অগ্রহণযোগ্য ঝুঁকি তৈরি করে। প্রস্তাবিত প্যাটার্নটি হলো একটি থ্রি-টিয়ার আর্কিটেকচার:

  1. Root Certificate Authority (Root CA): এটি হলো চূড়ান্ত ট্রাস্ট অ্যাঙ্কর। এই সার্ভারটি অফলাইনে এবং নেটওয়ার্ক থেকে এয়ার-গ্যাপড থাকে। এর একমাত্র কাজ হলো ইন্টারমিডিয়েট CA সার্টিফিকেটগুলোতে স্বাক্ষর করা।
  2. Intermediate CA (Issuing CA): এই সার্ভারটি অনলাইনে থাকে এবং প্রতিদিনের ক্লায়েন্ট ও সার্ভার সার্টিফিকেট স্বাক্ষরের কাজ পরিচালনা করে। এটি আপোসকৃত হলে, সম্পূর্ণ ট্রাস্ট ইনফ্রাস্ট্রাকচার পুনর্নির্মাণ না করেই Root CA দ্বারা এটি রিভোক করা যেতে পারে।
  3. End-Entity Certificates: এগুলো হলো আসল সার্টিফিকেট যা RADIUS সার্ভার এবং ক্লায়েন্ট ডিভাইসে ডেপ্লয় করা হয়।

pki_trust_chain_diagram.png

সার্টিফিকেট লাইফস্প্যান এবং ক্রিপ্টোগ্রাফিক স্ট্যান্ডার্ড

একটি কী আপোসকৃত হলে এক্সপোজার উইন্ডো সীমিত করতে ইন্ডাস্ট্রি সার্টিফিকেটের সংক্ষিপ্ত লাইফস্প্যান বাধ্যতামূলক করছে। যদিও পাবলিক TLS সার্টিফিকেটগুলোর মেয়াদ ৩৯৮ দিনে সীমাবদ্ধ, WiFi অথেন্টিকেশনের জন্য ব্যবহৃত ইন্টারনাল ক্লায়েন্ট সার্টিফিকেটগুলো সাধারণত ৩৬৫ দিনের মেয়াদের জন্য ব্যবহৃত হয়।

ক্রিপ্টোগ্রাফিক প্রয়োজনীয়তার জন্য ন্যূনতম RSA 2048-বিট কী বা P-256 কার্ভ ব্যবহার করে Elliptic Curve Cryptography (ECC) বাধ্যতামূলক। WPA3-Enterprise ১৯২-বিট মোডের জন্য নির্দিষ্ট সাইফার সুইট প্রয়োজন এবং EAP-TLS হলো একমাত্র অথেন্টিকেশন পদ্ধতি যা এই প্রয়োজনীয়তাগুলো সম্পূর্ণরূপে পূরণ করে।

ইমপ্লিমেন্টেশন গাইড

ডিস্ট্রিবিউটেড ভেন্যুগুলোতে EAP-TLS ডেপ্লয় করার জন্য আপনার আইডেন্টিটি প্রোভাইডার, MDM প্ল্যাটফর্ম এবং নেটওয়ার্ক হার্ডওয়্যারের মধ্যে নিবিড় ইন্টিগ্রেশন প্রয়োজন। Purple-এর ক্লাউড ওভারলে Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, এবং Fortinet-এর সাথে ইন্টিগ্রেট করে।

ধাপ ১: ট্রাস্ট চেইন প্রতিষ্ঠা করা

যেকোনো ডিভাইস অথেন্টিকেট করার আগে, সেটিকে অবশ্যই RADIUS সার্ভারকে বিশ্বাস করতে হবে। আপনার MDM-এর মাধ্যমে সমস্ত ম্যানেজড ডিভাইসে Root CA সার্টিফিকেট ডেপ্লয় করুন। আনম্যানেজড ডিভাইসের জন্য, ট্রাস্ট প্রোফাইল ইনস্টল করতে আপনাকে একটি বুটস্ট্র্যাপিং অনবোর্ডিং পোর্টাল প্রদান করতে হবে।

ধাপ ২: SCEP-এর মাধ্যমে ইস্যু করা স্বয়ংক্রিয় করা

ম্যানুয়ালি সার্টিফিকেট তৈরি করা কার্যকর নয়। এই ওয়ার্কফ্লো স্বয়ংক্রিয় করতে SCEP ইমপ্লিমেন্ট করুন:

  1. MDM (যেমন, Microsoft Intune) ডিভাইসে একটি SCEP পে-লোড পুশ করে।
  2. ডিভাইসটি স্থানীয়ভাবে একটি প্রাইভেট কী তৈরি করে।
  3. ডিভাইসটি SCEP সার্ভারে একটি Certificate Signing Request (CSR) জমা দেয়।
  4. CA সার্টিফিকেটটি ইস্যু করে এবং ডিভাইসটি তার হার্ডওয়্যার-ব্যাকড কীস্টোরে এটি ইনস্টল করে।

ধাপ ৩: RADIUS পলিসি কনফিগার করা

EAP-TLS বাধ্যতামূলক করতে আপনার RADIUS সার্ভার কনফিগার করুন। ব্যবহারকারীর অ্যাকাউন্টটি এখনও সক্রিয় আছে কিনা তা নিশ্চিত করতে সার্ভারটি যেন আপনার আইডেন্টিটি ডিরেক্টরি (Microsoft Entra ID, Okta, বা Google Workspace)-এর বিপরীতে ক্লায়েন্ট সার্টিফিকেটের Subject Alternative Name (SAN) যাচাই করে তা নিশ্চিত করুন।

certificate_lifecycle_infographic.png

বেস্ট প্র্যাকটিস

  • রিনিউয়াল আগে থেকেই স্বয়ংক্রিয় করুন: মেয়াদ শেষ হওয়ার অন্তত ৩০ দিন আগে সার্টিফিকেট রিনিউয়াল ট্রিগার করতে MDM প্রোফাইল কনফিগার করুন। এটি সম্পূর্ণ ভেন্যুজুড়ে আকস্মিক অথেন্টিকেশন ব্যর্থতা প্রতিরোধ করে।
  • হার্ডওয়্যার কীস্টোর বাধ্যতামূলক করুন: প্রাইভেট কীগুলো যেন ডিভাইসের Trusted Platform Module (TPM) বা Secure Enclave-এর মধ্যে তৈরি এবং সংরক্ষিত হয় তা আবশ্যক করুন। কীগুলোকে নন-এক্সপোর্টেবল হিসেবে কনফিগার করতে হবে।
  • রিয়েল-টাইম রিভোকেশন ইমপ্লিমেন্ট করুন: স্ট্যাটিক Certificate Revocation Lists (CRLs)-এর ওপর নির্ভর করা লেটেন্সি তৈরি করে। Online Certificate Status Protocol (OCSP) ইমপ্লিমেন্ট করুন যাতে RADIUS সার্ভার অথেন্টিকেশনের সময় রিয়েল টাইমে সার্টিফিকেটের স্ট্যাটাস যাচাই করতে পারে।

ট্রাবলশুটিং এবং ঝুঁকি প্রশমন

EAP-TLS ডেপ্লয়মেন্টে সবচেয়ে সাধারণ ব্যর্থতার কারণগুলো ট্রাস্ট এবং সময়ের সাথে সম্পর্কিত।

ট্রাস্ট অ্যাঙ্কর ব্যর্থতা

যদি কোনো ক্লায়েন্ট ডিভাইস RADIUS সার্ভার সার্টিফিকেট প্রত্যাখ্যান করে, তবে অথেন্টিকেশন নীরবে ব্যর্থ হবে। ডিভাইসের ট্রাস্ট স্টোরে Root CA সার্টিফিকেট অনুপস্থিত থাকলে এমনটি ঘটে। WiFi প্রোফাইলের আগে ট্রাস্ট প্রোফাইলটি প্রয়োগ করা হয়েছে কিনা তা নিশ্চিত করতে MDM ডেপ্লয়মেন্ট লগগুলো যাচাই করুন। কানেক্টিভিটি সমস্যার আরও ডায়াগনস্টিকসের জন্য, Troubleshooting Public WiFi: Fixing 'Connected, No Internet' and Splash Page Redirection Failures দেখুন।

এক্সপায়ারি ক্লিফ

একই সাথে হাজার হাজার সার্টিফিকেট ইস্যু করা একটি রিনিউয়াল স্পাইক ক্লিফ-এজ তৈরি করে। এই উইন্ডোর সময় SCEP সার্ভার ডাউনটাইমের সম্মুখীন হলে, ডিভাইসগুলো নেটওয়ার্ক থেকে বিচ্ছিন্ন হয়ে যাবে। রিনিউয়াল লোড ছড়িয়ে দিতে প্রাথমিক ডেপ্লয়মেন্টগুলো ধাপে ধাপে করুন।

OCSP টাইমআউট

যদি RADIUS সার্ভার OCSP রেসপন্ডারের কাছে পৌঁছাতে না পারে, তবে এটিকে ফেইল ওপেন নাকি ফেইল ক্লোজড হবে তা সিদ্ধান্ত নিতে হবে। এন্টারপ্রাইজ নেটওয়ার্কের জন্য, ফেইল ক্লোজড হওয়া একটি স্ট্যান্ডার্ড প্র্যাকটিস। আপনার OCSP ইনফ্রাস্ট্রাকচার অত্যন্ত নির্ভরযোগ্য এবং ভৌগোলিকভাবে ডিস্ট্রিবিউটেড তা নিশ্চিত করুন।

ROI এবং ব্যবসায়িক প্রভাব

EAP-TLS-এ রূপান্তরের জন্য প্রাথমিক ইঞ্জিনিয়ারিং প্রচেষ্টার প্রয়োজন হয়, তবে এর অপারেশনাল রিটার্ন উল্লেখযোগ্য। ৫,০০০ ব্যবহারকারীর একটি প্রতিষ্ঠান সাধারণত PEAP পাসওয়ার্ড রোটেশনের কারণে সৃষ্ট পাসওয়ার্ড রিসেট এবং RADIUS লকআউট সমাধানের জন্য প্রতি মাসে ৪০ ঘণ্টা সময় ব্যয় করে।

সার্টিফিকেট লাইফসাইকেল স্বয়ংক্রিয় করার মাধ্যমে, আপনি এই সাপোর্ট টিকিটগুলো দূর করতে পারেন। উপরন্তু, আপনি ISO 27001 এবং PCI DSS-এর কঠোর অ্যাক্সেস কন্ট্রোল প্রয়োজনীয়তাগুলো পূরণ করেন, যা অডিট ওভারহেড কমিয়ে দেয়। Guest WiFi এবং WiFi Analytics -এর সাথে ইন্টিগ্রেট করা হলে, Purple সমস্ত ধরণের ব্যবহারকারীর জন্য নেটওয়ার্ক অ্যাক্সেসের একটি ইউনিফাইড ভিউ প্রদান করে, যা ডিস্ট্রিবিউটেড লোকেশনজুড়ে কমপ্লায়েন্স রিপোর্টিংকে সহজ করে তোলে।

মূল সংজ্ঞাসমূহ

EAP-TLS

Extensible Authentication Protocol with Transport Layer Security. একটি অথেন্টিকেশন ফ্রেমওয়ার্ক যা ক্লায়েন্ট এবং সার্ভার উভয়কেই ডিজিটাল সার্টিফিকেট ব্যবহার করে তাদের পরিচয় প্রমাণ করতে বাধ্য করে।

দুর্বল পাসওয়ার্ডের ওপর নির্ভর না করে এন্টারপ্রাইজ WiFi নেটওয়ার্ক সুরক্ষিত করার জন্য ইন্ডাস্ট্রির স্ট্যান্ডার্ড।

SCEP

Simple Certificate Enrolment Protocol. ডিভাইসগুলোতে ডিজিটাল সার্টিফিকেটের অনুরোধ এবং ইনস্টলেশন সুরক্ষিতভাবে স্বয়ংক্রিয় করতে MDM প্ল্যাটফর্মগুলোর দ্বারা ব্যবহৃত একটি প্রোটোকল।

ম্যানুয়াল সার্টিফিকেট হ্যান্ডলিং দূর করে মাত্র কয়েকটি ডিভাইসের বাইরে EAP-TLS ডেপ্লয়মেন্ট স্কেল করার জন্য অপরিহার্য।

RADIUS

Remote Authentication Dial-In User Service. নেটওয়ার্কিং প্রোটোকল যা সেন্ট্রালাইজড অথেন্টিকেশন, অথরাইজেশন এবং অ্যাকাউন্টিং ম্যানেজমেন্ট প্রদান করে।

সার্ভার উপাদান যা ক্লায়েন্ট সার্টিফিকেট যাচাই করে এবং অ্যাক্সেস পয়েন্টকে নেটওয়ার্ক অ্যাক্সেস দেওয়ার নির্দেশ দেয়।

OCSP

Online Certificate Status Protocol. রিয়েল টাইমে একটি X.509 ডিজিটাল সার্টিফিকেটের রিভোকেশন স্ট্যাটাস পাওয়ার জন্য ব্যবহৃত একটি ইন্টারনেট প্রোটোকল।

একটি রিভোকড সার্টিফিকেট যেন অবিলম্বে নেটওয়ার্ক থেকে ব্লক করা হয় তা নিশ্চিত করতে স্ট্যাটিক CRLs-কে প্রতিস্থাপন করে।

Root CA

Root Certificate Authority. একটি Public Key Infrastructure-এর শীর্ষ-স্তরের ক্রিপ্টোগ্রাফিক অথরিটি, যা সাবঅর্ডিনেট CAs-এ স্বাক্ষর করতে ব্যবহৃত হয়।

প্রতিষ্ঠানের সম্পূর্ণ ট্রাস্ট চেইন সুরক্ষিত রাখতে অবশ্যই অত্যন্ত নিরাপদ এবং অফলাইনে রাখতে হবে।

SAN

Subject Alternative Name. X.509-এর একটি এক্সটেনশন যা একটি সিকিউরিটি সার্টিফিকেটের সাথে বিভিন্ন মান যুক্ত করার অনুমতি দেয়, যেমন ইমেল ঠিকানা বা UPNs।

আইডেন্টিটি ডিরেক্টরিতে একটি নির্দিষ্ট ব্যবহারকারী অ্যাকাউন্টের সাথে সার্টিফিকেটটি ম্যাপ করতে RADIUS সার্ভার দ্বারা ব্যবহৃত হয়।

MDM

Mobile Device Management. কর্মীদের মোবাইল ডিভাইসগুলো মনিটর, ম্যানেজ এবং সুরক্ষিত করতে IT বিভাগ দ্বারা ব্যবহৃত সফটওয়্যার।

ডেলিভারি মেকানিজম যা এন্ড-ইউজার ডিভাইসে SCEP কনফিগারেশন এবং WiFi প্রোফাইলগুলো পুশ করে।

CRL

Certificate Revocation List. ডিজিটাল সার্টিফিকেটের একটি তালিকা যা ইস্যুকারী CA দ্বারা তাদের নির্ধারিত মেয়াদের আগেই রিভোক করা হয়েছে।

সার্টিফিকেটের বৈধতা পরীক্ষা করার একটি লেগাসি পদ্ধতি যা OCSP-এর তুলনায় লেটেন্সি সমস্যায় ভোগে।

সমাধানকৃত উদাহরণসমূহ

একটি ১৫০-প্রপার্টির হোটেল গ্রুপের ৩,০০০টি ডিভাইসে স্টাফ অ্যাক্সেস সুরক্ষিত করা প্রয়োজন। তারা বর্তমানে একটি শেয়ার্ড পাসওয়ার্ড সহ PEAP ব্যবহার করে যা ত্রৈমাসিক ভিত্তিতে রোটেট করা হয়, যার ফলে হেল্পডেস্কে প্রচুর টিকিট আসে। তাদের কীভাবে EAP-TLS বাস্তবায়ন করা উচিত?

সমস্ত কর্পোরেট ডিভাইস পরিচালনা করতে Microsoft Intune ডেপ্লয় করুন। Intune Certificate Connector-এর মাধ্যমে Intune-এর সাথে ইন্টিগ্রেটেড একটি Microsoft ADCS Intermediate CA প্রতিষ্ঠা করুন। সমস্ত ডিভাইসে Root CA সার্টিফিকেট পুশ করুন, তারপরে একটি SCEP প্রোফাইল পুশ করুন যা ৩৬৫ দিনের মেয়াদ সহ একটি ক্লায়েন্ট সার্টিফিকেটের অনুরোধ করে। EAP-TLS ব্যবহার করতে এবং Purple-লিঙ্কড RADIUS সার্ভারগুলোকে নির্দেশ করতে WiFi প্রোফাইলটি কনফিগার করুন। ২০% অবশিষ্ট মেয়াদে (৭৩ দিন) স্বয়ংক্রিয়ভাবে রিনিউ করার জন্য SCEP প্রোফাইলটি সেট করুন।

পরীক্ষকের মন্তব্য: এই পদ্ধতিটি ত্রৈমাসিক পাসওয়ার্ড রোটেশন সম্পূর্ণরূপে দূর করে। একটি প্রাথমিক রিনিউয়াল ট্রিগার সেট করার মাধ্যমে, IT টিম এক্সপায়ারি ক্লিফ-এজ এড়াতে পারে। সরাসরি Intune-এর সাথে ইন্টিগ্রেট করা নিশ্চিত করে যে যখন কোনো স্টাফ সদস্য চলে যান এবং তাদের Entra ID অ্যাকাউন্ট নিষ্ক্রিয় করা হয়, তখন MDM স্বয়ংক্রিয়ভাবে সার্টিফিকেটটি রিভোক করে এবং WiFi প্রোফাইলটি মুছে ফেলে।

একটি রিটেল চেইনের ২০০টি লোকেশনে পয়েন্ট-অফ-সেল হ্যান্ডহেল্ডের জন্য সুরক্ষিত WiFi প্রয়োজন। ডিভাইসগুলো Android-এ চলে এবং প্রায়শই সেন্ট্রাল ম্যানেজমেন্ট সার্ভারের সাথে কানেক্টিভিটি হারায়। আপনি কীভাবে সার্টিফিকেট রিভোকেশন পরিচালনা করবেন?

RADIUS সার্ভার স্তরে রিয়েল-টাইম রিভোকেশন চেকিংয়ের জন্য OCSP ইমপ্লিমেন্ট করুন। প্রতিটি অথেন্টিকেশনের চেষ্টার জন্য OCSP রেসপন্ডারকে কুয়েরি করতে RADIUS সার্ভারটি কনফিগার করুন। যদি কোনো হ্যান্ডহেল্ড হারিয়ে গেছে বলে রিপোর্ট করা হয়, তবে সিকিউরিটি টিম CA-তে সার্টিফিকেটটি রিভোক করে। পরের বার যখন ডিভাইসটি কোনো অ্যাক্সেস পয়েন্টের সাথে যুক্ত হওয়ার চেষ্টা করবে, তখন RADIUS সার্ভার OCSP থেকে একটি "revoked" রেসপন্স পাবে এবং অবিলম্বে অ্যাক্সেস প্রত্যাখ্যান করবে।

পরীক্ষকের মন্তব্য: ডিভাইসটি অফলাইনে বা শিল্ডেড থাকলে হারিয়ে যাওয়া ডিভাইসটি মুছে ফেলার জন্য MDM-এর ওপর নির্ভর করা যথেষ্ট নয়। OCSP-এর মাধ্যমে নেটওয়ার্কের প্রান্তে রিভোকেশন চেক বাধ্যতামূলক করার মাধ্যমে, RADIUS সার্ভার এনফোর্সমেন্টポイント হিসেবে কাজ করে, যা নিশ্চিত করে যে ডিভাইসটি নিজেই MDM দ্বারা অ্যাক্সেস করা না গেলেও আপোসকৃত সার্টিফিকেটটি ব্যবহার করা যাবে না।

অনুশীলনী প্রশ্নসমূহ

Q1. আপনি ২,০০০টি কর্পোরেট ল্যাপটপের জন্য EAP-TLS ডেপ্লয় করছেন। SCEP ইনফ্রাস্ট্রাকচার কনফিগার করা হয়েছে, কিন্তু পরীক্ষার সময় ল্যাপটপগুলো WiFi-এ কানেক্ট হতে ব্যর্থ হচ্ছে। RADIUS লগগুলো 'Unknown CA' দেখাচ্ছে। সবচেয়ে সম্ভাব্য কারণ কী?

ইঙ্গিত: ট্রাস্ট প্রোফাইল বনাম অথেন্টিকেশন প্রোফাইল ডেপ্লয় করার সময় অপারেশনের ক্রম বিবেচনা করুন।

মডেল উত্তর দেখুন

ল্যাপটপগুলোর ট্রাস্টেড রুট স্টোরে Root CA সার্টিফিকেট ইনস্টল করা নেই। SCEP পে-লোড বা EAP-TLS WiFi প্রোফাইল পুশ করার আগে ডিভাইসে Root CA সার্টিফিকেট পে-লোড পুশ করার জন্য MDM কনফিগার করতে হবে। Root CA ছাড়া, ক্লায়েন্ট RADIUS সার্ভারের সার্টিফিকেট প্রত্যাখ্যান করে।

Q2. একটি আপোসকৃত ডিভাইস হারিয়ে গেছে বলে রিপোর্ট করা হয়েছে। IT টিম MDM থেকে ডিভাইসটি মুছে ফেলে এবং CA-তে সার্টিফিকেটটি রিভোক করে। তবে, পরীক্ষায় দেখা গেছে যে ডিভাইসটি এখনও ১২ ঘণ্টা পর্যন্ত নেটওয়ার্কে কানেক্ট হতে পারে। আপনি কীভাবে এটি সমাধান করবেন?

ইঙ্গিত: RADIUS সার্ভার কীভাবে সার্টিফিকেটের স্ট্যাটাস যাচাই করে তা দেখুন।

মডেল উত্তর দেখুন

RADIUS সার্ভারটি সম্ভবত একটি Certificate Revocation List (CRL)-এর ওপর নির্ভর করছে যা কেবল প্রতি ১২ থেকে ২৪ ঘণ্টায় প্রকাশিত বা ডাউনলোড হয়। এটি সমাধান করতে, Online Certificate Status Protocol (OCSP) ইমপ্লিমেন্ট করুন এবং প্রতিটি অথেন্টিকেশনের চেষ্টার সময় রিয়েল-টাইম যাচাইকরণের জন্য OCSP রেসপন্ডারকে কুয়েরি করতে RADIUS সার্ভারটি কনফিগার করুন।

Q3. আপনি সার্টিফিকেট লাইফসাইকেল পলিসি ডিজাইন করছেন। সিকিউরিটি টিম ঝুঁকি কমাতে ৩০ দিনের সার্টিফিকেট লাইফটাইম চায়, কিন্তু নেটওয়ার্ক টিম SCEP সার্ভার লোড এবং কানেক্টিভিটি ড্রপ নিয়ে চিন্তিত। প্রস্তাবিত ভারসাম্য কী?

ইঙ্গিত: পাবলিক ওয়েব সার্টিফিকেট এবং ইন্টারনাল ম্যানেজড PKI-এর মধ্যে পার্থক্য বিবেচনা করুন।

মডেল উত্তর দেখুন

মেয়াদ শেষ হওয়ার ৬০ বা ৯০ দিন আগে ট্রিগার হওয়া স্বয়ংক্রিয় রিনিউয়াল সহ ৩৬৫ দিনের মেয়াদ একটি সর্বোত্তম ভারসাম্য প্রদান করে। WiFi সার্টিফিকেটের জন্য ৩০ দিনের লাইফটাইম অতিরিক্ত অপারেশনাল ঝুঁকি তৈরি করে যদি ডিভাইসগুলো তাদের সংকীর্ণ রিনিউয়াল উইন্ডোর সময় অফলাইনে থাকে। আক্রমণাত্মকভাবে সংক্ষিপ্ত লাইফটাইমের পরিবর্তে শক্তিশালী, রিয়েল-টাইম OCSP রিভোকেশনের মাধ্যমে নিরাপত্তা বজায় রাখা হয়।

এই সিরিজে পড়া চালিয়ে যান

Guest এবং Staff WiFi নেটওয়ার্কের জন্য RADIUS Authentication কনফিগার করা

এই টেকনিক্যাল রেফারেন্স গাইডটি এন্টারপ্রাইজ guest এবং staff WiFi নেটওয়ার্কের জন্য RADIUS authentication-এর আর্কিটেকচার, কনফিগারেশন এবং ডিপ্লয়মেন্টের রূপরেখা প্রদান করে। এটি নেটওয়ার্ক আর্কিটেক্ট এবং IT ম্যানেজারদের সুরক্ষিত, স্কেলযোগ্য ওয়্যারলেস অ্যাক্সেস কন্ট্রোল সিস্টেম তৈরি করার জন্য প্রয়োজনীয় সঠিক প্রোটোকল, সিকিউরিটি স্ট্যান্ডার্ড এবং ট্রাবলশুটিং মেথডোলজি প্রদান করে।

গাইডটি পড়ুন →

Passpoint এবং OpenRoaming: সম্পূর্ণ নির্দেশিকা

এই প্রযুক্তিগত রেফারেন্স নির্দেশিকাটি এন্টারপ্রাইজ WiFi নেটওয়ার্কের মধ্যে Passpoint (Hotspot 2.0) এবং WBA OpenRoaming ফ্রেমওয়ার্কের একটি বিস্তৃত বিশ্লেষণ প্রদান করে। এটি একটি নিরাপদ, ঝামেলামুক্ত অতিথি সংযোগ স্থাপন করার জন্য প্রয়োজনীয় অন্তর্নিহিত প্রমাণীকরণ প্রোটোকল, আর্কিটেকচারাল উপাদান এবং স্থাপনার কৌশলগুলি বিস্তারিতভাবে বর্ণনা করে। নেটওয়ার্ক স্থপতি এবং IT লিডাররা এন্টারপ্রাইজ-গ্রেড নিরাপত্তা বজায় রেখে ম্যানুয়াল লগইন বাধাগুলি দূর করতে কীভাবে এই মানগুলি ডিজাইন, বাস্তবায়ন এবং সমস্যা সমাধান করবেন তা শিখবেন।

গাইডটি পড়ুন →

উচ্চশিক্ষায় সুরক্ষিত BYOD এবং নেটওয়ার্ক এনরোলমেন্টের জন্য কীভাবে SCEP বাস্তবায়ন করবেন

এই প্রযুক্তিগত নির্দেশিকাটি নেটওয়ার্ক আর্কিটেক্ট এবং IT ম্যানেজারদের উচ্চশিক্ষার ক্যাম্পাস নেটওয়ার্ক সুরক্ষিত করতে SCEP ভিত্তিক সার্টিফিকেট এনরোলমেন্ট স্থাপনের জন্য একটি ভেন্ডর - নিরপেক্ষ ব্লুপ্রিন্ট প্রদান করে। এটি কীভাবে পাসওয়ার্ড ভিত্তিক PEAP থেকে 802.1X EAP-TLS-এ স্থানান্তরিত হতে হবে, BYOD অনবোর্ডিং স্বয়ংক্রিয় করতে হবে এবং শক্তিশালী VLAN সেগমেন্টেশন কার্যকর করতে হবে তা বিস্তারিতভাবে বর্ণনা করে।

গাইডটি পড়ুন →