মূল কন্টেন্টে যান
বাংলা

Cisco SUDI বোঝা: নেটওয়ার্ক অ্যাক্সেস কন্ট্রোলে হার্ডওয়্যার-ভিত্তিক ডিভাইস আইডেন্টিটি

এই নির্দেশিকাটি Cisco SUDI-এর প্রযুক্তিগত আর্কিটেকচার বিস্তারিতভাবে বর্ণনা করে, যেখানে ব্যাখ্যা করা হয়েছে কীভাবে হার্ডওয়্যার-অ্যাঙ্করড আইডেন্টিটি নেটওয়ার্ক অ্যাক্সেস কন্ট্রোলকে সুরক্ষিত করে। এটি আইটি লিডারদের জন্য এন্টারপ্রাইজ ভেন্যু জুড়ে 802.1X EAP-TLS অথেন্টিকেশন স্থাপন এবং Zero Touch Provisioning স্বয়ংক্রিয় করার জন্য কার্যকর বাস্তবায়ন পদক্ষেপ প্রদান করে।

📖 6 মিনিট পাঠ📝 1,346 শব্দ🔧 2 সমাধানকৃত উদাহরণ3 অনুশীলনী প্রশ্ন📚 8 মূল সংজ্ঞা

এই গাইডটি শুনুন

পডকাস্ট ট্রান্সক্রিপ্ট দেখুন
Understanding Cisco SUDI: Hardware-Based Device Identity in Network Access Control A Purple Technical Briefing - Full Podcast Script (approx. 10 minutes) --- SEGMENT 1: INTRODUCTION AND CONTEXT (approx. 1 minute) হ্যালো এবং একটি Purple টেকনিক্যাল ব্রিফিংয়ে আপনাকে স্বাগত জানাই। আমি আগামী দশ মিনিট আপনাকে Cisco SUDI - Secure Unique Device Identifier - এটি আসলে কী, কীভাবে এটি আপনার নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল আর্কিটেকচারের সাথে খাপ খায় এবং আপনি যদি স্কেলে Cisco অবকাঠামো চালান তবে আপনাকে এটি নিয়ে কী করতে হবে তা বিস্তারিত জানাব। এটি ভেন্যুগুলোর নেটওয়ার্ক আর্কিটেক্ট, আইটি ম্যানেজার এবং CTO-দের উদ্দেশ্যে তৈরি করা হয়েছে - হোটেল, রিটেইল এস্টেট, স্টেডিয়াম, কনফারেন্স সেন্টার - যেখানেই আপনি এন্টারপ্রাইজ WiFi চালাচ্ছেন এবং আপনার নেটওয়ার্কের হার্ডওয়্যারটি ঠিক যা দাবি করছে তা নিশ্চিত হওয়া প্রয়োজন। আসুন SUDI যে সমস্যার সমাধান করে তা দিয়ে শুরু করি। যেকোনো বড় ভেন্যু নেটওয়ার্কে আপনার কয়েক ডজন বা শত শত অ্যাক্সেস পয়েন্ট, সুইচ এবং কন্ট্রোলার থাকে। আপনার নিরাপত্তা ব্যবস্থার কার্যকারিতা যে প্রশ্নের ওপর নির্ভর করে তা হলো: আপনি কীভাবে জানবেন যে এই ডিভাইসগুলোর প্রতিটি একটি আসল, অপরিবর্তিত Cisco পণ্য - এবং কোনো জাল, আপোসকৃত ইউনিট বা পরিবহনের সময় ট্যাম্পার করা ডিভাইস নয়? এই শূন্যতাটিই SUDI পূরণ করে। --- SEGMENT 2: TECHNICAL DEEP-DIVE (approx. 5 minutes) SUDI-এর পূর্ণরূপ হলো Secure Unique Device Identifier। এটি একটি X.509 সংস্করণ ৩ সার্টিফিকেট - HTTPS এবং TLS-এ ব্যবহৃত একই সার্টিফিকেট ফরম্যাট - তবে এটি কোনো ব্যক্তি বা সার্ভারকে ইস্যু করার পরিবর্তে, ম্যানুফ্যাকচারিংয়ের সময় একটি নির্দিষ্ট হার্ডওয়্যারকে ইস্যু করা হয়। এতে ডিভাইসের প্রোডাক্ট আইডেন্টিফায়ার এবং সিরিয়াল নম্বর থাকে এবং এটি Cisco-এর নিজস্ব পাবলিক কী ইনফ্রাস্ট্রাকচারের ওপর ভিত্তি করে তৈরি। আপনি নিজে ইনস্টল করবেন এমন একটি সফটওয়্যার সার্টিফিকেটের থেকে SUDI-কে যা আলাদা করে তা এখানে দেওয়া হলো। SUDI সার্টিফিকেট এবং এর সাথে সংশ্লিষ্ট কী পেয়ার (key pair) ট্রাস্ট অ্যাঙ্কর মডিউল বা TAm নামক একটি ট্যাম্পার-প্রতিরোধী চিপের ভেতরে থাকে। প্রাইভেট কী-টি সেই চিপের ভেতরে তৈরি হয় এবং এটি কখনই চিপ থেকে বের হয় না। আপনি এটি এক্সপোর্ট করতে পারবেন না। আপনি এটি ক্লোন করতে পারবেন না। যদি কেউ শারীরিকভাবে চিপটির সাথে ট্যাম্পার করে, তবে কী-টি ধ্বংস হয়ে যায়। এটিই হলো হার্ডওয়্যার রুট অফ ট্রাস্ট। SUDI হলো IEEE 802.1AR স্ট্যান্ডার্ডের Cisco-এর নিজস্ব বাস্তবায়ন - যা সিকিউর ডিভাইস আইডেন্টিফায়ার বা DevID-এর জন্য ইন্ডাস্ট্রি স্ট্যান্ডার্ড। 802.1AR-এর অধীনে, ম্যানুফ্যাকচারার-ইনস্টল করা ক্রেডেনশিয়ালকে ইনিশিয়াল ডিভাইস আইডেন্টিফায়ার বা IDevID বলা হয়। Cisco-এর SUDI ঠিক সেটাই - একটি IDevID যা Cisco ফ্যাক্টরিতে ইনস্টল করে। আপনি এটিকে একটি লোকালি সিগনিফিক্যান্ট ডিভাইস আইডেন্টিফায়ার বা LDevID দিয়ে পরিপূরক করতে পারেন, যা আপনার নিজস্ব PKI স্থানীয় অথরাইজেশন পলিসির জন্য ইস্যু করে। এখন, এটি কীভাবে নেটওয়ার্ক অ্যাক্সেস কন্ট্রোলের সাথে যুক্ত হয়? সবচেয়ে সাধারণ ইন্টিগ্রেশন পয়েন্ট হলো IEEE 802.1X - পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল স্ট্যান্ডার্ড। যখন একটি Cisco অ্যাক্সেস পয়েন্ট বা সুইচ অনলাইন হয়, তখন এটি EAP-TLS ব্যবহার করে একটি RADIUS সার্ভারে (সাধারণত Cisco ISE, Identity Services Engine) তার SUDI সার্টিফিকেট উপস্থাপন করতে পারে, যা হলো ট্রান্সপোর্ট লেয়ার সিকিউরিটি সহ এক্সটেনসিবল অথেন্টিকেশন প্রোটোকল। RADIUS সার্ভারটি Cisco-এর পাবলিক সার্টিফিকেট অথরিটির বিপরীতে সার্টিফিকেটটি যাচাই করে, ডিভাইসটি আসল কিনা তা নিশ্চিত করে এবং তারপরে উপযুক্ত নেটওয়ার্ক পলিসি প্রয়োগ করে। এটি MAC address bypass-এর চেয়ে উল্লেখযোগ্যভাবে শক্তিশালী, যা বেশিরভাগ নেটওয়ার্ক অবকাঠামো ডিভাইসের জন্য ফলব্যাক হিসেবে ব্যবহার করে। MAC অ্যাড্রেসগুলো এক মিনিটেরও কম সময়ে স্পুফ করা যেতে পারে। ডিভাইসটিকে শারীরিকভাবে ধ্বংস না করে একটি ট্যাম্পার-প্রতিরোধী চিপে থাকা হার্ডওয়্যার-বাউন্ড সার্টিফিকেট স্পুফ করা অসম্ভব। একটি ভেন্যুর প্রেক্ষাপটে, এটি তিনটি কারণে গুরুত্বপূর্ণ। প্রথমত, এটি আপনার নেটওয়ার্কে অননুমোদিত অ্যাক্সেস পয়েন্ট যুক্ত হওয়ার ঝুঁকি দূর করে। একটি জাল বা অননুমোদিত ডিভাইস কেবল একটি বৈধ SUDI উপস্থাপন করতে পারে না। দ্বিতীয়ত, এটি স্বয়ংক্রিয়, Zero Touch Provisioning সক্ষম করে - একটি নতুন ডিভাইস আপনার ভেন্যুতে পাঠানো হয়, চালু হয়, তার SUDI উপস্থাপন করে এবং আপনার ম্যানেজমেন্ট সিস্টেম কনফিগারেশন পুশ করার আগে আপনার ইনভেন্টরির সাথে এটি যাচাই করে। কোনো ম্যানুয়াল হস্তক্ষেপের প্রয়োজন হয় হয় না। তৃতীয়ত, এটি আপনাকে একটি ক্রিপ্টোগ্রাফিকভাবে যাচাইযোগ্য অডিট ট্রেইল দেয়। আপনার নেটওয়ার্কে অথেন্টিকেট হওয়া প্রতিটি ডিভাইস এমন একটি সার্টিফিকেট দিয়ে তা করেছে যা প্রমাণ করে যে এটি একটি নির্দিষ্ট, নামযুক্ত Cisco পণ্য। আমাকে ট্রাস্ট অ্যাঙ্কর মডিউল সম্পর্কে আরও কিছুটা বিস্তারিত বলতে দিন, কারণ এটিই হলো সেই ভিত্তি যার ওপর অন্য সবকিছু দাঁড়িয়ে আছে। TAm হলো একটি মালিকানাধীন Cisco চিপ যা তিনটি জিনিস প্রদান করে: SUDI এবং কীগুলোর জন্য নন-ভোলাটাইল সুরক্ষিত স্টোরেজ, র্যান্ডম নম্বর জেনারেশন সহ ক্রিপ্টোগ্রাফিক পরিষেবা এবং হার্ডওয়্যার ফিঙ্গারপ্রিন্টিং। শেষটি লক্ষণীয় - Cisco ম্যানুফ্যাকচারিংয়ের সময় একটি ডিভাইসের গুরুত্বপূর্ণ হার্ডওয়্যার উপাদানগুলোর ফিঙ্গারপ্রিন্ট নেয় এবং সেই ফিঙ্গারপ্রিন্টটি TAm-এ সংরক্ষণ করে। যখন ডিভাইসটি বুট হয়, তখন এটি সংরক্ষিত ফিঙ্গারপ্রিন্টের সাথে পরিলক্ষিত হার্ডওয়্যার ফিঙ্গারপ্রিন্টটি পরীক্ষা করে। যদি সেগুলো না মেলে, তবে ডিভাইসটি বুট হবে না। এটি পরিবহনের সময় হার্ডওয়্যার ট্যাম্পারিং সনাক্ত করে - যা বড় ভেন্যু স্থাপনের জন্য একটি বাস্তব উদ্বেগ যেখানে হার্ডওয়্যার ইনস্টলেশনের আগে একাধিক হাত ঘুরে আসতে পারে। একটি অপারেশনাল সমস্যা সম্পর্কে আপনার সচেতন হওয়া দরকার: মে ২০১৯-এর আগে জারি করা SUDI সার্টিফিকেটগুলোর মেয়াদ ম্যানুফ্যাকচারিংয়ের তারিখ থেকে দশ বছর বা ১৪ মে ২০২৯-এর মধ্যে যেটি আগে আসে, তাতে শেষ হয়ে যায়। Cisco এটিকে SUDI-2099 নামক একটি নতুন প্রজন্মের সার্টিফিকেটের মাধ্যমে সমাধান করেছে, যা ডিসেম্বর ২০৯৯ পর্যন্ত বৈধ। আপনি যদি ২০১৯-এর আগে তৈরি Catalyst 9000 সিরিজের হার্ডওয়্যার চালান, তবে আপনাকে এখনই আপনার SUDI-এর মেয়াদ শেষ হওয়ার তারিখগুলো পরীক্ষা করতে হবে। IOS-XE-তে কমান্ডটি হলো show crypto pki certificate। CISCO_IDEVID_SUDI ট্রাস্টপয়েন্টটি খুঁজুন এবং শেষ তারিখটি পরীক্ষা করুন। আপনি যদি Catalyst 9200-এ থাকেন, তবে আপনি সঠিক ২০৯৯ সার্টিফিকেট ব্যবহার করছেন তা নিশ্চিত করতে IOS-XE 17.12.2 বা তার পরবর্তী সংস্করণে আপগ্রেড করুন। --- SEGMENT 3: IMPLEMENTATION RECOMMENDATIONS AND PITFALLS (approx. 2 minutes) আমাকে আপনাকে ব্যবহারিক বাস্তবায়নের চিত্রটি দিতে দিন। আপনি যদি কোনো ভেন্যু পরিবেশে SUDI-ভিত্তিক অথেন্টিকেশন স্থাপন করেন, তবে এখানে সেই সিকোয়েন্সটি দেওয়া হলো যা কাজ করে। আপনার RADIUS অবকাঠামো দিয়ে শুরু করুন। আপনি যদি ইতিমধ্যে Cisco ইকোসিস্টেমে থাকেন তবে Cisco ISE একটি স্বাভাবিক পছন্দ, তবে EAP-TLS সমর্থন করে এবং একটি বাহ্যিক CA-এর বিপরীতে যাচাই করতে পারে এমন যেকোনো RADIUS সার্ভার কাজ করবে। আপনাকে আপনার RADIUS ট্রাস্ট স্টোরে Cisco-এর রুট CA এবং ACT2 SUDI CA সার্টিফিকেটগুলো ইম্পোর্ট করতে হবে। এগুলো Cisco-এর PKI পোর্টাল থেকে সর্বজনীনভাবে উপলব্ধ। এরপরে, অবকাঠামো ডিভাইসগুলোর জন্য সার্টিফিকেট-ভিত্তিক অথেন্টিকেশনের প্রয়োজন মেটাতে আপনার 802.1X পলিসি কনফিগার করুন। এটিকে আপনার শেষ-ব্যবহারকারী অথেন্টিকেশন পলিসি থেকে আলাদা করুন - স্টাফ এবং গেস্ট অথেন্টিকেশন ফ্লো আলাদা এবং ISE-তে আলাদা পলিসি সেটে থাকা উচিত। নতুন স্থাপনার জন্য, Zero Touch Provisioning সক্ষম করুন। আপনার নেটওয়ার্ক ম্যানেজমেন্ট সিস্টেম - Cisco DNA Centre বা Catalyst Centre - কনফিগারেশন পুশ করার আগে ডিভাইসের আইডেন্টিটি যাচাই করতে SUDI ব্যবহার করতে পারে। এটি ম্যানুয়াল স্টেজিং প্রক্রিয়া দূর করে এবং ডিভাইস প্রতি প্রোভিশনিংয়ের সময় কয়েক ঘণ্টা থেকে কমিয়ে কয়েক মিনিটে নিয়ে আসে। এখন, ত্রুটিগুলো। আমি সবচেয়ে সাধারণ যে ত্রুটিটি দেখি তা হলো একই পোর্টে MAC address bypass-এর সাথে SUDI অথেন্টিকেশন মিশ্রিত করা। SUDI ব্যর্থ হলে আপনি যদি MAB-তে ফিরে যান, তবে আপনি নিরাপত্তা মডেলটিকে দুর্বল করে ফেলেছেন। একটি স্পষ্ট পলিসি নির্ধারণ করুন: SUDI-সক্ষম ডিভাইসগুলোকে অবশ্যই SUDI-এর মাধ্যমে অথেন্টিকেট হতে হবে, ব্যস। নন-SUDI ডিভাইসগুলো ম্যানুয়াল পর্যালোচনার অপেক্ষায় একটি কোয়ারেন্টাইন VLAN-এ যাবে। দ্বিতীয় ত্রুটিটি হলো সার্টিফিকেটের মেয়াদ শেষ হওয়া। এখনই আপনার এস্টেট জুড়ে SUDI-এর মেয়াদ শেষ হওয়ার তারিখগুলোর জন্য মনিটরিং সেট আপ করুন। আপনার অ্যাক্সেস পয়েন্টগুলো আর অথেন্টিকেট করতে পারছে না তা আবিষ্কার করার জন্য কোনো পরিষেবা বিভ্রাটের অপেক্ষা করবেন না। Purple-এর প্ল্যাটফর্ম Cisco Meraki এবং অন্যান্য হার্ডওয়্যার ভেন্ডরদের সাথে একীভূত হয়ে একটি একক ড্যাশবোর্ডে ডিভাইসের হেলথ সিগন্যাল - অথেন্টিকেশন স্ট্যাটাস সহ - প্রদর্শন করে, যা স্কেলে এই ধরনের সক্রিয় মনিটরিংকে ব্যবহারিক করে তোলে। তৃতীয় ত্রুটিটি হলো স্কোপ ক্রিপ (scope creep)। SUDI হার্ডওয়্যার ডিভাইসটিকে অথেন্টিকেট করে। এটি সেই ডিভাইসের মাধ্যমে সংযোগকারী ব্যবহারকারীকে অথেন্টিকেট করে না। অতিথি, স্টাফ এবং বাসিন্দাদের জন্য আপনার এখনও একটি পৃথক আইডেন্টিটি লেয়ারের প্রয়োজন। সেখানেই Purple-এর মতো একটি প্ল্যাটফর্ম কাজ করে - আমরা মানুষের আইডেন্টিটি লেয়ার, সম্মতি গ্রহণ, গেস্ট ট্রাফিকের জন্য VLAN অ্যাসাইনমেন্ট এবং অ্যানালিটিক্স পরিচালনা করি, যখন SUDI নিচের অবকাঠামো লেয়ারটি পরিচালনা করে। --- SEGMENT 4: RAPID-FIRE Q AND A (approx. 1 minute) আমাকে নিয়মিত জিজ্ঞাসা করা হয় এমন তিনটি প্রশ্ন দ্রুত দেখে নেওয়া যাক। SUDI কি আমার বিদ্যমান PKI-কে প্রতিস্থাপন করে? না। SUDI হলো একটি ম্যানুফ্যাকচারার-ইনস্টল করা IDevID। এটি প্রমাণ করে যে ডিভাইসটি আসল Cisco হার্ডওয়্যার। আপনার এন্টারপ্রাইজ PKI অন্য সব কিছুর জন্য LDevID এবং ব্যবহারকারী সার্টিফিকেট ইস্যু করে। এগুলো সমান্তরালভাবে কাজ করে। আমি কি নন-Cisco হার্ডওয়্যারে SUDI ব্যবহার করতে পারি? না। SUDI হলো Cisco-নির্দিষ্ট। HPE Aruba-এর একটি সমতুল্য ব্যবস্থা রয়েছে যাকে IAP প্রোভিশনিং সার্টিফিকেট বলা হয়। Ruckus এবং Juniper Mist-এর নিজস্ব ডিভাইস আইডেন্টিটি মেকানিজম রয়েছে। অন্তর্নিহিত স্ট্যান্ডার্ড - IEEE 802.1AR - ভেন্ডর-নিরপেক্ষ, তবে প্রতিটি ম্যানুফ্যাকচারার এটি ভিন্নভাবে বাস্তবায়ন করে। SUDI সার্টিফিকেটের মেয়াদ শেষ হলে কী হয়? অথেন্টিকেশনের জন্য SUDI-এর ওপর নির্ভরশীল পরিষেবাগুলো - HTTPS, সার্টিফিকেট অথেন্টিকেশন সহ SSH, Zero Touch Provisioning - ব্যর্থ হবে। ডিভাইসটি নিজেই কাজ করতে থাকে, তবে এটি আর ক্রিপ্টোগ্রাফিকভাবে তার পরিচয় প্রমাণ করতে পারে না। এই কারণেই SUDI-2099 মাইগ্রেশন গুরুত্বপূর্ণ। --- SEGMENT 5: SUMMARY AND NEXT STEPS (approx. 1 minute) সারসংক্ষেপ করতে: Cisco SUDI আপনাকে হার্ডওয়্যার-রুটেড ডিভাইস আইডেন্টিটি দেয় যা স্পুফ, ক্লোন বা এক্সপোর্ট করা যায় না। এটি একটি বিশ্বস্ত অবকাঠামো লেয়ারের ভিত্তি। IEEE 802.1X এবং একটি সু-কনফিগার করা RADIUS পলিসির সাথে মিলিত হয়ে, এটি অননুমোদিত ডিভাইসের ঝুঁকি দূর করে এবং স্কেলে স্বয়ংক্রিয় প্রোভিশনিং সক্ষম করে। আপনার তিনটি তাৎক্ষণিক পদক্ষেপ: এক, show crypto pki certificate ব্যবহার করে SUDI-এর মেয়াদ শেষ হওয়ার তারিখগুলোর জন্য আপনার Cisco এস্টেট অডিট করুন। দুই, আপনার RADIUS ট্রাস্ট স্টোরে Cisco-এর রুট CA ইম্পোর্ট করুন এবং অবকাঠামো ডিভাইসগুলোর জন্য EAP-TLS পলিসি কনফিগার করুন। তিন, আপনার অবকাঠামো অথেন্টিকেশন পলিসিকে আপনার শেষ-ব্যবহারকারী অথেন্টিকেশন পলিসি থেকে আলাদা করুন - এগুলো ভিন্ন উদ্দেশ্যে কাজ করে এবং স্বাধীনভাবে পরিচালনা করা উচিত। অতিথি, স্টাফ এবং বাসিন্দাদের জন্য আইডেন্টিটি-ভিত্তিক নেটওয়ার্ক সেগমেন্টেশন প্রদান করতে Purple কীভাবে Cisco Meraki এবং অন্যান্য হার্ডওয়্যার ভেন্ডরদের সাথে একীভূত হয় সে সম্পর্কে আরও জানতে, purple.ai ভিজিট করুন বা এই এপিসোডের নিচে লিঙ্ক করা সম্পর্কিত নির্দেশিকাগুলো পড়ুন। শোনার জন্য ধন্যবাদ। পরবর্তী ব্রিফিংয়ে আপনার সাথে দেখা হবে। --- স্ক্রিপ্ট সমাপ্ত

header_image.png

এক্সিকিউটিভ সারসংক্ষেপ

হার্ডওয়্যার অথেন্টিকেশন এন্টারপ্রাইজ নেটওয়ার্কের ভৌত ভিত্তিকে সুরক্ষিত করে। Cisco Secure Unique Device Identifier (SUDI) অবকাঠামো ডিভাইসগুলোর জন্য একটি অপরিবর্তনীয়, ক্রিপ্টোগ্রাফিকভাবে যাচাইযোগ্য আইডেন্টিটি প্রদান করে, যা ম্যানুফ্যাকচারিংয়ের সময় সরাসরি একটি ট্যাম্পার-প্রতিরোধী চিপে এম্বেড করা হয়। হসপিটালিটি, রিটেইল এবং পাবলিক সেক্টর জুড়ে বড় আকারের স্থাপনা পরিচালনাকারী আইটি লিডারদের জন্য, SUDI অননুমোদিত হার্ডওয়্যারের ঝুঁকি দূর করে এবং স্বয়ংক্রিয় Zero Touch Provisioning সক্ষম করে।

এই নির্দেশিকাটি Cisco SUDI-এর প্রযুক্তিগত আর্কিটেকচার, IEEE 802.1X Network Access Control (NAC)-এর সাথে এর একীকরণ এবং স্কেলে হার্ডওয়্যার-ভিত্তিক আইডেন্টিটি স্থাপন ও বজায় রাখার জন্য প্রয়োজনীয় অপারেশনাল পদক্ষেপগুলো বিস্তারিতভাবে বর্ণনা করে। আপনি শিখবেন কীভাবে দুর্বল MAC address bypass থেকে শক্তিশালী EAP-TLS অথেন্টিকেশনে স্থানান্তরিত হতে হয়, SUDI-2099 সার্টিফিকেটের লাইফসাইকেল পরিচালনা করতে হয় এবং Purple-এর মতো ব্যবহারকারী আইডেন্টিটি ম্যানেজমেন্ট প্ল্যাটফর্মের সাথে অবকাঠামো নিরাপত্তাকে সামঞ্জস্যপূর্ণ করতে হয়।

প্রযুক্তিগত গভীর বিশ্লেষণ

হার্ডওয়্যার আইডেন্টিটির আর্কিটেকচার

Cisco Secure Unique Device Identifier (SUDI) হলো একটি X.509v3 সার্টিফিকেট যা নেটওয়ার্ক ডিভাইসগুলোর জন্য একটি স্থায়ী আইডেন্টিটি প্রদান করে। আইটি টিমগুলো যে সফটওয়্যার সার্টিফিকেট তৈরি এবং স্থাপন করে তার বিপরীতে, Cisco ম্যানুফ্যাকচারিং প্রক্রিয়ার সময় ডিভাইসে SUDI সার্টিফিকেট এবং এর সাথে সংশ্লিষ্ট কী পেয়ার ইনজেক্ট করে।

সার্টিফিকেটটি ট্রাস্ট অ্যাঙ্কর মডিউল (TAm) নামক একটি মালিকানাধীন, ট্যাম্পার-প্রতিরোধী চিপে নিরাপদে সংরক্ষিত থাকে। TAm অভ্যন্তরীণভাবে প্রাইভেট কী তৈরি করে, যা নিশ্চিত করে যে এটি কখনই এক্সপোর্ট বা ক্লোন করা যাবে না। এই হার্ডওয়্যার রুট অফ ট্রাস্ট গ্যারান্টি দেয় যে যদি কোনো ডিভাইস তার SUDI ব্যবহার করে সফলভাবে অথেন্টিকেট হয়, তবে এটি একটি আসল Cisco পণ্য।

SUDI সিকিউর ডিভাইস আইডেন্টিফায়ারের জন্য IEEE 802.1AR স্ট্যান্ডার্ড বাস্তবায়ন করে। এই স্ট্যান্ডার্ডের অধীনে, ম্যানুফ্যাকচারার-প্রদত্ত সার্টিফিকেটটি ইনিশিয়াল ডিভাইস আইডেন্টিফায়ার (IDevID) হিসেবে পরিচিত। can supplement the IDevID with a Locally Significant Device Identifier (LDevID) issued by their own enterprise Public Key Infrastructure (PKI).

sudi_architecture_overview.png

নেটওয়ার্ক অ্যাক্সেস কন্ট্রোলের সাথে একীকরণ

একটি এন্টারপ্রাইজ পরিবেশে, SUDI মূলত IEEE 802.1X পোর্ট-ভিত্তিক অথেন্টিকেশনের মাধ্যমে Network Access Control (NAC) সিস্টেমের সাথে একীভূত হয়। যখন একটি Cisco অ্যাক্সেস পয়েন্ট বা সুইচ নেটওয়ার্কের সাথে সংযুক্ত হয়, তখন এটি একটি সাপ্লিক্যান্ট হিসেবে কাজ করে এবং Cisco Identity Services Engine (ISE)-এর মতো একটি RADIUS সার্ভারে তার SUDI সার্টিফিকেট উপস্থাপন করে।

অথেন্টিকেশন প্রক্রিয়াটি ট্রান্সপোর্ট লেয়ার সিকিউরিটি সহ এক্সটেনসিবল অথেন্টিকেশন প্রোটোকল (EAP-TLS) ব্যবহার করে। RADIUS সার্ভারটি Cisco পাবলিক কী ইনফ্রাস্ট্রাকচারের বিপরীতে SUDI সার্টিফিকেটটি যাচাই করে। একবার যাচাই হয়ে গেলে, RADIUS সার্ভারটি ডিভাইসটিকে অথরাইজ করে এবং নেটওয়ার্ক অ্যাক্সেস পলিসির ওপর ভিত্তি করে সঠিক VLAN-এ অ্যাসাইন করে।

এই পদ্ধতিটি MAC Address Bypass (MAB)-কে প্রতিস্থাপিত করে, যা একটি লেগাসি পদ্ধতি যা সহজে স্পুফ করা যায় এমন MAC অ্যাড্রেসের ওপর নির্ভর করে। MAB ডিভাইসের আইডেন্টিটির কোনো ক্রিপ্টোগ্রাফিক নিশ্চয়তা প্রদান করে না, যা নেটওয়ার্কগুলোকে অননুমোদিত অ্যাক্সেস পয়েন্টের প্রতি ঝুঁকিপূর্ণ করে তোলে।

হার্ডওয়্যার ফিঙ্গারপ্রিন্টিং এবং ট্যাম্পার সনাক্তকরণ

ট্রাস্ট অ্যাঙ্কর মডিউল কেবল সুরক্ষিত স্টোরেজের চেয়েও বেশি কিছু প্রদান করে। এটি পরিবহন বা স্থাপনের সময় ডিভাইসের শারীরিক ট্যাম্পারিংয়ের বিরুদ্ধে সক্রিয়ভাবে সুরক্ষা দেয়।

ম্যানুফ্যাকচারিংয়ের সময়, Cisco সিপিইউ এবং এএসআইসি-এর মতো গুরুত্বপূর্ণ হার্ডওয়্যার উপাদানগুলোর একটি ক্রিপ্টোগ্রাফিক ফিঙ্গারপ্রিন্ট রেকর্ড করে। এই ফিঙ্গারপ্রিন্টটি TAm-এ স্থায়ীভাবে সংরক্ষিত থাকে। যখন ডিভাইসটি বুট হয়, তখন UEFI ফার্মওয়্যার পরিলক্ষিত হার্ডওয়্যারের একটি নতুন ফিঙ্গারপ্রিন্ট গণনা করে এবং TAm-এ থাকা মাস্টার ফিঙ্গারপ্রিন্টের সাথে তুলনা করে। যদি ফিঙ্গারপ্রিন্টগুলো না মেলে, তবে ডিভাইসটি বুট প্রক্রিয়া বন্ধ করে দেয়। এই মেকানিজমটি নিশ্চিত করে যে কোনো হোটেল বা রিটেইল স্টোরে স্থাপিত হার্ডওয়্যার ফ্যাক্টরি এবং ইনস্টলেশন সাইটের মধ্যে আপোসকৃত হয়নি।

বাস্তবায়ন নির্দেশিকা

SUDI-ভিত্তিক অথেন্টিকেশন স্থাপনের জন্য আপনার সুইচিং অবকাঠামো, আপনার RADIUS সার্ভার এবং আপনার নেটওয়ার্ক ম্যানেজমেন্ট প্ল্যাটফর্মের মধ্যে সমন্বয় প্রয়োজন। হার্ডওয়্যার আইডেন্টিটি বাস্তবায়ন করতে এই পদক্ষেপগুলো অনুসরণ করুন।

ধাপ ১: RADIUS ট্রাস্ট কনফিগার করুন

আপনার RADIUS সার্ভারকে অবশ্যই Cisco সার্টিফিকেট অথরিটিকে ট্রাস্ট করতে হবে যা SUDI ইস্যু করেছে।

১. Cisco PKI পোর্টাল থেকে Cisco Root CA এবং ACT2 SUDI CA সার্টিফিকেটগুলো ডাউনলোড করুন। ২. এই সার্টিফিকেটগুলো আপনার RADIUS সার্ভারের (যেমন, Cisco ISE) বিশ্বস্ত সার্টিফিকেট স্টোরে ইম্পোর্ট করুন। ৩. EAP-TLS অথেন্টিকেশনের জন্য এই সার্টিফিকেটগুলো ব্যবহার করতে RADIUS সার্ভারটি কনফিগার করুন।

ধাপ ২: 802.1X পলিসি নির্ধারণ করুন

ব্যবহারকারী অথেন্টিকেশন পলিসি থেকে আলাদা করে অবকাঠামো ডিভাইসগুলোর জন্য নির্দিষ্ট অথেন্টিকেশন পলিসি তৈরি করুন।

১. Cisco ISE-তে একটি পলিসি সেট তৈরি করুন যা SUDI সার্টিফিকেটের বৈশিষ্ট্যগুলোর সাথে মেলে (যেমন, প্রত্যাশিত ডিভাইস PID-এর বিপরীতে সাবজেক্ট অল্টারনেটিভ নেম মেলানো)। ২. সফল অথেন্টিকেশনগুলোকে অবকাঠামো ম্যানেজমেন্ট VLAN-এ অ্যাসাইন করুন। ৩. SUDI অথেন্টিকেশনে ব্যর্থ হওয়া ডিভাইসগুলোর জন্য একটি কোয়ারেন্টাইন VLAN কনফিগার করুন। অবকাঠামো পোর্টগুলোর জন্য MAB-তে কোনো ফলব্যাক কনফিগার করবেন না।

ধাপ ৩: Zero Touch Provisioning সক্ষম করুন

ডিভাইস অনবোর্ডিং স্বয়ংক্রিয় করতে SUDI ব্যবহার করুন।

১. ZTP সার্ভার হিসেবে কাজ করার জন্য আপনার নেটওয়ার্ক ম্যানেজমেন্ট সিস্টেম (যেমন Cisco Catalyst Center) কনফিগার করুন। ২. যখন একটি নতুন ডিভাইস সংযুক্ত হয়, তখন এটি তার SUDI সার্টিফিকেট উপস্থাপন করে। ৩. ম্যানেজমেন্ট সিস্টেম সার্টিফিকেটটি যাচাই করে, ইনভেন্টরি ডাটাবেসের বিপরীতে ডিভাইসের সিরিয়াল নম্বর নিশ্চিত করে এবং প্রাথমিক কনফিগারেশন পুশ করে।

sudi_lifecycle_diagram.png

ধাপ ৪: SUDI-2099 মাইগ্রেশন পরিচালনা করুন

মে ২০১৯-এর আগে জারি করা SUDI সার্টিফিকেটগুলোর মেয়াদ হয় ১০ বছর পর শেষ হয় উত্পাদনের তারিখ বা ১৪ মে ২০২৯, যার মধ্যে যেটি আগে ঘটে। যখন একটি SUDI-এর মেয়াদ শেষ হয়ে যায়, তখন এটির ওপর নির্ভরশীল ফিচারগুলো, যার মধ্যে HTTPS, SSH এবং Zero Touch Provisioning রয়েছে, সেগুলো কাজ করা বন্ধ করে দেবে।

Cisco নিয়ে এসেছে SUDI-2099 সার্টিফিকেট, যা ২০৯৯ সালের ডিসেম্বর পর্যন্ত বৈধ থাকবে। ধারাবাহিকতা নিশ্চিত করতে:

  1. IOS-XE ডিভাইসে show crypto pki certificate কমান্ড ব্যবহার করে আপনার ইনভেন্টরি অডিট করুন। CISCO_IDEVID_SUDI ট্রাস্টপয়েন্টের end date পরীক্ষা করুন।
  2. আক্রান্ত হার্ডওয়্যারকে প্রস্তাবিত সফ্টওয়্যার রিলিজে আপগ্রেড করুন। উদাহরণস্বরূপ, ২০৯৯ সালের মেয়াদ শেষ হওয়ার তারিখটি সঠিকভাবে পরিচালনা করতে Catalyst 9200 সুইচের জন্য IOS-XE 17.12.2 বা তার পরবর্তী সংস্করণের প্রয়োজন।

সেরা অনুশীলনসমূহ

হার্ডওয়্যার আইডেন্টিটির নিরাপত্তা সুবিধাগুলো সর্বাধিক করতে, এই ভেন্ডর-নিরপেক্ষ নীতিগুলো মেনে চলুন।

  1. কঠোর EAP-TLS প্রয়োগ করুন: সমস্ত ইনফ্রাস্ট্রাকচার ডিভাইসের জন্য EAP-TLS বাধ্যতামূলক করুন। ডিভাইস অথেন্টিকেশনের জন্য PEAP-এর মতো দুর্বল EAP পদ্ধতিগুলো অনুমোদন করবেন না।
  2. ইউজার আইডেন্টিটি থেকে ইনফ্রাস্ট্রাকচার আইডেন্টিটি আলাদা করুন: SUDI হার্ডওয়্যারকে অথেন্টিকেট করে, ব্যবহারকারীকে নয়। মানুষের আইডেন্টিটি পরিচালনা করতে একটি ডেডিকেটেড প্ল্যাটফর্ম ব্যবহার করুন। উদাহরণস্বরূপ, গেস্ট অথেন্টিকেশন, সম্মতি গ্রহণ এবং ফার্স্ট-পার্টি ডেটা সংগ্রহের জন্য Purple ব্যবহার করুন, এবং একই সাথে অন্তর্নিহিত Cisco Meraki বা HPE Aruba হার্ডওয়্যার সুরক্ষিত রাখতে SUDI-এর ওপর নির্ভর করুন।
  3. সার্টিফিকেট মনিটরিং স্বয়ংক্রিয় করুন: আপনার সম্পূর্ণ এস্টেট জুড়ে সার্টিফিকেটের মেয়াদ শেষ হওয়ার তারিখ ট্র্যাক করতে মনিটরিং টুলস ইমপ্লিমেন্ট করুন। প্রোঅ্যাক্টিভ মনিটরিং আকস্মিক অথেন্টিকেশন ব্যর্থতা প্রতিরোধ করে।
  4. মাইক্রো-সেগমেন্টেশন ইমপ্লিমেন্ট করুন: কঠোরভাবে নিয়ন্ত্রিত VLAN-এ ডিভাইসগুলো অ্যাসাইন করতে SUDI দ্বারা যাচাইকৃত আইডেন্টিটি ব্যবহার করুন। একটি অ্যাক্সেস পয়েন্টের শুধুমাত্র তার কন্ট্রোলার এবং ম্যানেজমেন্ট সিস্টেমের সাথে নেটওয়ার্ক রিচিবিলিটি থাকা উচিত, অন্য কিছুর সাথে নয়।

ট্রাবলশুটিং এবং ঝুঁকি প্রশমন

SUDI-ভিত্তিক অথেন্টিকেশন ডেপ্লয় করার সময়, এই সাধারণ ব্যর্থতার মোডগুলোর জন্য প্রস্তুতি নিন।

ব্যর্থতার মোড মূল কারণ প্রশমন কৌশল
EAP-TLS অথেন্টিকেশন ব্যর্থ হয় RADIUS সার্ভারে সঠিক Cisco Root বা Intermediate CA সার্টিফিকেট নেই। RADIUS সার্ভারের ট্রাস্টেড স্টোরে সম্পূর্ণ Cisco ট্রাস্ট চেইন ইনস্টল করা আছে কিনা তা যাচাই করুন।
ডিভাইস বুট হতে অস্বীকৃতি জানায় বুট করার সময় হিসাব করা হার্ডওয়্যার ফিঙ্গারপ্রিন্টটি TAm-এর মাস্টার ফিঙ্গারপ্রিন্টের সাথে মেলে না। ডিভাইসটিকে আপোসকৃত (compromised) হিসেবে বিবেচনা করুন। RMA প্রক্রিয়ার মাধ্যমে হার্ডওয়্যারটি ভেন্ডরের কাছে ফেরত দিন।
ম্যানেজমেন্ট অ্যাক্সেস ব্যর্থ হয় SUDI সার্টিফিকেটের মেয়াদ শেষ হয়ে গেছে, যা HTTPS এবং SSH সার্টিফিকেট অথেন্টিকেশনকে ব্যাহত করছে। ডিভাইসের ফার্মওয়্যার এমন একটি রিলিজে আপগ্রেড করুন যা SUDI-2099 সমর্থন করে, অথবা আপনার এন্টারপ্রাইজ PKI ব্যবহার করে একটি LDevID ডেপ্লয় করুন।
অননুমোদিত ডিভাইস অ্যাক্সেস পায় 802.1X ব্যর্থ হলে সুইচ পোর্টটি MAC Address Bypass (MAB)-এ ফিরে যাওয়ার জন্য কনফিগার করা থাকে। ইনফ্রাস্ট্রাকচার পোর্ট থেকে MAB ফলব্যাক কনফিগারেশনগুলো সরিয়ে ফেলুন। কঠোর 802.1X নীতি প্রয়োগ করুন।

ROI এবং ব্যবসায়িক প্রভাব

হার্ডওয়্যার-ভিত্তিক ডিভাইস আইডেন্টিটি ইমপ্লিমেন্ট করা তিনটি ক্ষেত্রে পরিমাপযোগ্য ব্যবসায়িক মূল্য প্রদান করে।

১. প্রোভিশনিং খরচ হ্রাস SUDI দ্বারা সুরক্ষিত Zero Touch Provisioning ম্যানুয়াল স্টেজিংয়ের প্রয়োজনীয়তা দূর করে। কোনো রিটেইল স্টোরে পাঠানোর আগে একজন ইঞ্জিনিয়ারের অ্যাক্সেস পয়েন্ট প্রি-কনফিগার করতে ৪৫ মিনিট ব্যয় করার পরিবর্তে, ডিভাইসটি সরাসরি ডিস্ট্রিবিউটরের কাছ থেকে পাঠানো হয়। এটি সংযোগ করার সাথে সাথে সুরক্ষিতভাবে অথেন্টিকেট হয় এবং স্বয়ংক্রিয়ভাবে এর কনফিগারেশন ডাউনলোড করে। ৫০০টি সাইটের রিটেইল ডেপ্লয়মেন্টের জন্য, এটি প্রায় ৩৭৫ ইঞ্জিনিয়ারিং ঘণ্টা সাশ্রয় করে।

২. অননুমোদিত ডিভাইসের ঝুঁকি দূরীকরণ ক্রিপ্টোগ্রাফিক হার্ডওয়্যার আইডেন্টিটির পক্ষে MAC Address Bypass বাতিল করার মাধ্যমে, আপনি কোনো আক্রমণকারীর ইনফ্রাস্ট্রাকচার পোর্টে অননুমোদিত ডিভাইস সংযোগ করার ঝুঁকি দূর করেন। এটি নেটওয়ার্ক অ্যাক্সেস নিয়ন্ত্রণের জন্য PCI DSS এবং ISO 27001-এর প্রয়োজনীয়তাগুলোর সাথে সম্মতি সরাসরি সমর্থন করে।

৩. স্পষ্ট আইডেন্টিটি সীমানা SUDI ডেপ্লয় করা একটি পরিচ্ছন্ন আর্কিটেকচারাল সীমানা স্থাপন করে। হার্ডওয়্যার লেয়ারটি ক্রিপ্টোগ্রাফিকভাবে নিজেকে অথেন্টিকেট করে, যা আপনাকে ব্যবহারকারীর আইডেন্টিটি লেয়ারে আপনার রিসোর্সগুলো ফোকাস করতে সাহায্য করে। আপনি যখন Guest WiFi এবং WiFi Analytics পরিচালনা করতে Purple-এর মতো একটি প্ল্যাটফর্ম ইন্টিগ্রেট করেন, তখন আপনি এটি একটি যাচাইযোগ্য, সুরক্ষিত ইনফ্রাস্ট্রাকচার ভিত্তির ওপর করেন।

মূল সংজ্ঞাসমূহ

SUDI (Secure Unique Device Identifier)

একটি X.509v3 সার্টিফিকেট এবং সংশ্লিষ্ট প্রাইভেট কী যা একটি অপরিবর্তনীয় হার্ডওয়্যার আইডেন্টিটি প্রদানের জন্য ম্যানুফ্যাকচারিংয়ের সময় একটি Cisco ডিভাইসে এম্বেড করা হয়।

নেটওয়ার্কের সাথে সংযুক্ত একটি ডিভাইস একটি আসল Cisco পণ্য কিনা তা ক্রিপ্টোগ্রাফিকভাবে যাচাই করতে আইটি টিম দ্বারা ব্যবহৃত হয়।

TAm (Trust Anchor module)

একটি মালিকানাধীন, ট্যাম্পার-প্রতিরোধী হার্ডওয়্যার চিপ যা নিরাপদে SUDI সার্টিফিকেট সংরক্ষণ করে, ক্রিপ্টোগ্রাফিক কী তৈরি করে এবং হার্ডওয়্যার ফিঙ্গারপ্রিন্টিং পরিচালনা করে।

হার্ডওয়্যার রুট অফ ট্রাস্ট প্রদান করে। যদি TAm আপোসকৃত (compromised) হয়, তবে ডিভাইসটি বুট বা অথেন্টিকেট হতে ব্যর্থ হবে।

IDevID (Initial Device Identifier)

IEEE 802.1AR স্ট্যান্ডার্ড দ্বারা সংজ্ঞায়িত ম্যানুফ্যাকচারার-ইনস্টল করা সুরক্ষিত ডিভাইস আইডেন্টিফায়ার। Cisco SUDI হলো একটি IDevID-এর বাস্তবায়ন।

একটি ডিভাইসকে কোনো প্রতিষ্ঠানের নিজস্ব PKI পরিবেশে একীভূত করার আগে তার জন্য মৌলিক আইডেন্টিটি প্রদান করে।

LDevID (Locally Significant Device Identifier)

একটি প্রতিষ্ঠানের নিজস্ব এন্টারপ্রাইজ পাবলিক কী ইনফ্রাস্ট্রাকচার (PKI) দ্বারা জারি করা একটি ডিভাইস সার্টিফিকেট, যা ম্যানুফ্যাকচারারের IDevID-কে পরিপূরক করে।

ব্যবহৃত হয় যখন আইটি টিমের প্রয়োজন হয় যে ডিভাইসগুলো ভেন্ডরের CA-এর পরিবর্তে তাদের অভ্যন্তরীণ কর্পোরেট CA দ্বারা জারি করা সার্টিফিকেট ব্যবহার করে অথেন্টিকেট করুক।

IEEE 802.1X

পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস কন্ট্রোলের জন্য IEEE স্ট্যান্ডার্ড, যা একটি LAN বা WLAN-এর সাথে যুক্ত হতে চাওয়া ডিভাইসগুলোকে একটি অথেন্টিকেশন মেকানিজম প্রদান করে।

নেটওয়ার্ক নিরাপত্তা প্রয়োগ করতে ব্যবহৃত প্রাথমিক প্রোটোকল, যা নিশ্চিত করে যে কেবল অনুমোদিত ডিভাইস এবং ব্যবহারকারীরাই একটি সুইচ পোর্টের মাধ্যমে ট্রাফিক পাঠাতে পারে।

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

একটি অত্যন্ত সুরক্ষিত অথেন্টিকেশন প্রোটোকল যার জন্য ক্লায়েন্ট এবং অথেন্টিকেশন সার্ভার উভয়কেই ডিজিটাল সার্টিফিকেট ব্যবহার করে তাদের পরিচয় প্রমাণ করতে হয়।

নেটওয়ার্ক ডিভাইস এবং RADIUS সার্ভারের মধ্যে SUDI সার্টিফিকেট যাচাই করতে 802.1X-এর মধ্যে ব্যবহৃত নির্দিষ্ট পদ্ধতি।

Zero Touch Provisioning (ZTP)

একটি স্বয়ংক্রিয় প্রক্রিয়া যা নেটওয়ার্ক ডিভাইসগুলোকে ম্যানুয়াল হস্তক্ষেপ ছাড়াই স্বয়ংক্রিয়ভাবে প্রোভিশন এবং কনফিগার করার অনুমতি দেয়।

ম্যানেজমেন্ট সিস্টেম কেবল যাচাইকৃত, আসল হার্ডওয়্যারে কনফিগারেশন পুশ করছে তা নিশ্চিত করার মাধ্যমে SUDI ZTP-কে সুরক্ষিত করে।

MAC Address Bypass (MAB)

একটি লেগাসি অথেন্টিকেশন পদ্ধতি যেখানে একটি সুইচ সংযোগকারী ডিভাইসের MAC অ্যাড্রেসকে তার আইডেন্টিটি ক্রেডেনশিয়াল হিসেবে ব্যবহার করে।

একটি অসুরক্ষিত ফলব্যাক পদ্ধতি যা দূর করা উচিত এবং SUDI-ভিত্তিক 802.1X অথেন্টিকেশন দ্বারা প্রতিস্থাপিত করা উচিত।

সমাধানকৃত উদাহরণসমূহ

একটি ৪০০-রুমের হোটেল তার নেটওয়ার্ক অবকাঠামো আপগ্রেড করছে এবং ২৫০টি নতুন Cisco Catalyst অ্যাক্সেস পয়েন্ট স্থাপন করতে হবে। আইটি টিম ইনস্টলেশনের আগে প্রতিটি ডিভাইস ম্যানুয়ালি কনফিগার করা এড়াতে চায় এবং একই সাথে নিশ্চিত করতে চায় যেন কোনো অননুমোদিত (rogue) ডিভাইস ম্যানেজমেন্ট VLAN-এ যুক্ত হতে না পারে।

১. আইটি টিম SUDI সার্টিফিকেট ট্রাস্ট করার জন্য Cisco Root CA-এর সাথে Cisco ISE কনফিগার করে। ২. তারা ISE-তে একটি 802.1X পলিসি তৈরি করে যা একটি বৈধ SUDI প্রদর্শনকারী ডিভাইসগুলোকে একটি সীমাবদ্ধ প্রোভিশনিং VLAN-এ অ্যাসাইন করে। ৩. অ্যাক্সেস পয়েন্টগুলো সরাসরি হোটেলে পাঠানো হয় এবং PoE সুইচে প্লাগ করা হয়। ৪. প্রতিটি AP বুট হয়, EAP-TLS-এর মাধ্যমে তার SUDI প্রদর্শন করে এবং ISE দ্বারা অথেন্টিকেট হয়। ৫. ম্যানেজমেন্ট সিস্টেম (Catalyst Center) সিরিয়াল নম্বর যাচাই করে, AP প্রোভিশন করে এবং ISE পোর্টটিকে প্রোডাকশন ম্যানেজমেন্ট VLAN-এ স্থানান্তরিত করে।

পরীক্ষকের মন্তব্য: এই পদ্ধতিটি হার্ডওয়্যার আইডেন্টিটি দ্বারা সুরক্ষিত Zero Touch Provisioning ব্যবহার করে। এটি ম্যানুয়াল স্টেজিং খরচ দূর করে এবং অননুমোদিত ডিভাইসগুলোকে ওপেন প্রোভিশনিং পোর্টগুলোর অপব্যবহার করা থেকে বিরত রাখে। ডিভাইসটিকে একটি প্রোভিশনিং VLAN থেকে প্রোডাকশন VLAN-এ স্থানান্তর করতে Change of Authorization (CoA) এর ব্যবহার শক্তিশালী নেটওয়ার্ক সেগমেন্টেশন প্রদর্শন করে।

১,২০০টি স্টোর বিশিষ্ট একটি জাতীয় রিটেইল চেইন আবিষ্কার করেছে যে তাদের লেগাসি সুইচগুলো অ্যাক্সেস পয়েন্ট অথেন্টিকেট করতে MAC Address Bypass (MAB) ব্যবহার করে। স্টোরগুলোতে কোনো বিভ্রাট না ঘটিয়ে তাদের একটি সুরক্ষিত স্ট্যান্ডার্ডে স্থানান্তরিত হতে হবে।

১. নেটওয়ার্ক টিম সমস্ত ডিভাইস 802.1X এবং SUDI সমর্থন করে কিনা তা নিশ্চিত করতে সুইচের ইনভেন্টরি অডিট করে। ২. তারা তাদের RADIUS অবকাঠামোতে Cisco CA সার্টিফিকেট স্থাপন করে। ৩. তারা সুইচ পোর্টগুলোকে 'মনিটর মোড' (ওপেন অথেন্টিকেশন)-এ কনফিগার করে, যা ডিভাইসগুলোকে SUDI ব্যবহার করে 802.1X EAP-TLS চেষ্টা করার অনুমতি দেয় এবং ব্যর্থ হলে MAB-তে ফিরে যায়, তবে ফলাফলগুলো লগ করে। ৪. RADIUS লগে সমস্ত বৈধ AP সফলভাবে SUDI-এর মাধ্যমে অথেন্টিকেট হচ্ছে তা যাচাই করার পর, তারা পোর্টগুলোকে 'ক্লোজড মোড'-এ পরিবর্তন করে, কঠোর 802.1X প্রয়োগ করে এবং MAB নিষ্ক্রিয় করে।

পরীক্ষকের মন্তব্য: মনিটর মোড ব্যবহার করে ধাপে ধাপে স্থানান্তর করা একটি বড় রিটেইল এস্টেটের জন্য সঠিক অপারেশনাল পদ্ধতি। এটি টিমকে অ্যাক্সেস পয়েন্টগুলোর জন্য নেটওয়ার্ক আইসোলেশনের ঝুঁকি না নিয়ে PKI ট্রাস্ট চেইন এবং সার্টিফিকেটের বৈধতা যাচাই করার অনুমতি দেয়। পরিবেশকে সুরক্ষিত করার জন্য MAB সম্পূর্ণরূপে সরিয়ে ফেলা একটি প্রয়োজনীয় চূড়ান্ত পদক্ষেপ।

অনুশীলনী প্রশ্নসমূহ

Q1. আপনি একটি স্টেডিয়াম পরিবেশে ৫০টি নতুন Cisco Catalyst সুইচ স্থাপন করছেন। নিরাপত্তা নীতি সমস্ত অবকাঠামো ডিভাইসের জন্য কঠোর 802.1X অথেন্টিকেশন বাধ্যতামূলক করে। পরীক্ষার সময়, সুইচগুলো আপনার Cisco ISE সার্ভারে অথেন্টিকেট হতে ব্যর্থ হয়। সবচেয়ে সম্ভাব্য কারণ কী?

ইঙ্গিত: EAP-TLS অথেন্টিকেশনের জন্য প্রয়োজনীয় ট্রাস্ট চেইন বিবেচনা করুন।

মডেল উত্তর দেখুন

Cisco ISE সার্ভারের বিশ্বস্ত সার্টিফিকেট স্টোরে Cisco Root CA বা ACT2 SUDI CA সার্টিফিকেটগুলো নেই। এগুলো ছাড়া, সুইচগুলো দ্বারা প্রদর্শিত SUDI সার্টিফিকেট ISE যাচাই করতে পারে না। আপনাকে অবশ্যই Cisco PKI পোর্টাল থেকে সার্টিফিকেটগুলো ডাউনলোড করতে হবে এবং সেগুলোকে ISE-তে ইম্পোর্ট করতে হবে।

Q2. একজন নেটওয়ার্ক ইঞ্জিনিয়ার সুইচ পোর্টগুলোকে প্রথমে 802.1X অথেন্টিকেশনের চেষ্টা করার জন্য কনফিগার করার প্রস্তাব করেন, তবে ডিভাইসে বৈধ সার্টিফিকেট না থাকলে MAC Address Bypass (MAB)-এ ফিরে যাওয়ার প্রস্তাব করেন। অবকাঠামো পোর্টগুলোর জন্য আপনার কেন এই প্রস্তাবটি প্রত্যাখ্যান করা উচিত?

ইঙ্গিত: ফলব্যাক মেকানিজমের নিরাপত্তা শক্তি মূল্যায়ন করুন।

মডেল উত্তর দেখুন

MAB-তে ফিরে যাওয়া সম্পূর্ণ নিরাপত্তা মডেলকে দুর্বল করে দেয়। একজন আক্রমণকারী সহজেই একটি অননুমোদিত ডিভাইস সংযোগ করতে পারে, 802.1X টাইমআউটের জন্য অপেক্ষা করতে পারে এবং অবকাঠামো VLAN-এ অ্যাক্সেস পেতে একটি বৈধ অ্যাক্সেস পয়েন্টের MAC অ্যাড্রেস স্পুফ করতে পারে। অবকাঠামো পোর্টগুলোতে SUDI-এর সাথে কঠোর 802.1X প্রয়োগ করা উচিত এবং নীতিবহির্ভূত ডিভাইসগুলোকে একটি সীমাবদ্ধ কোয়ারেন্টাইন VLAN-এ রাখা উচিত।

Q3. আপনি ২০১৮ সালে স্থাপিত Catalyst 9200 সুইচের একটি নেটওয়ার্ক অডিট করছেন। আপনি 'show crypto pki certificate' আদেশটি চালান এবং লক্ষ্য করেন যে CISCO_IDEVID_SUDI ট্রাস্টপয়েন্টটি মে ২০২৯-এ মেয়াদোত্তীর্ণ হবে। ভবিষ্যতে বিভ্রাট রোধ করতে আপনাকে কী পদক্ষেপ নিতে হবে?

ইঙ্গিত: লেগাসি হার্ডওয়্যারের জন্য SUDI-2099 মাইগ্রেশন প্রয়োজনীয়তাগুলো পর্যালোচনা করুন।

মডেল উত্তর দেখুন

আপনাকে অবশ্যই Catalyst 9200 সুইচের IOS-XE সফটওয়্যারটি সংস্করণ 17.12.2 বা তার পরবর্তী সংস্করণে আপগ্রেড করতে হবে। এই আপগ্রেডটি নিশ্চিত করে যে হার্ডওয়্যারটি সঠিকভাবে SUDI-2099 সার্টিফিকেট এক্সটেনশন সমর্থন করে, যা ডিভাইসের বৈধ আইডেন্টিটি ডিসেম্বর ২০৯৯ পর্যন্ত প্রসারিত করে এবং HTTPS এবং ZTP-এর মতো পরিষেবাগুলোর জন্য অথেন্টিকেশন ব্যর্থতা প্রতিরোধ করে।

এই সিরিজে পড়া চালিয়ে যান

Starlink-এ কীভাবে একটি Captive Portal সেট আপ করবেন: দূরবর্তী এবং সামুদ্রিক ভেন্যুগুলোর জন্য একটি নির্দেশিকা

এই নির্দেশিকাটিতে কীভাবে নেটিভ Starlink হার্ডওয়্যার বাইপাস করতে হয় এবং এন্টারপ্রাইজ রাউটিং সরঞ্জাম ব্যবহার করে একটি ক্লাউড-পরিচালিত captive portal সংহত করতে হয় তা বিস্তারিতভাবে আলোচনা করা হয়েছে। আপনি কীভাবে CGNAT সীমাবদ্ধতা কাটিয়ে উঠবেন, VLAN সেগমেন্টেশন প্রয়োগ করবেন, স্যাটেলাইট ব্যান্ডউইথ সীমাবদ্ধতা পরিচালনা করবেন এবং নিয়ন্ত্রক সম্মতি নিশ্চিত করবেন তা শিখবেন।

গাইডটি পড়ুন →

হোটেল গেস্ট WiFi ম্যানেজমেন্ট: PMS, পোর্টাল এবং ব্র্যান্ড স্ট্যান্ডার্ডের একীকরণ

এই টেকনিক্যাল গাইডটিতে এন্টারপ্রাইজ-গ্রেড হোটেল WiFi নেটওয়ার্ক কীভাবে আর্কিটেক্ট করতে হয় তা বিস্তারিতভাবে আলোচনা করা হয়েছে, যেখানে VLAN সেগমেন্টেশন, স্বয়ংক্রিয় সেশন ম্যানেজমেন্টের জন্য PMS ইন্টিগ্রেশন এবং GDPR-সম্মত ডেটা ক্যাপচারের জন্য captive portal অপ্টিমাইজেশনের ওপর আলোকপাত করা হয়েছে।

গাইডটি পড়ুন →

Captive Portal-এর সর্বোত্তম অনুশীলনসমূহ: উচ্চ কনভার্সন এবং কমপ্লায়েন্সের জন্য ডিজাইন

এই টেকনিক্যাল গাইডটি IT ম্যানেজার, নেটওয়ার্ক আর্কিটেক্ট এবং ভেন্যু অপারেশন ডিরেক্টরদের জন্য নেটওয়ার্ক সিকিউরিটির সাথে উচ্চ ইউজার কনভার্সনের ভারসাম্য বজায় রেখে captive portals স্থাপনের একটি সম্পূর্ণ ব্লুপ্রিন্ট প্রদান করে। এটি VLAN সেগমেন্টেশন এবং RADIUS অথেন্টিকেশন থেকে শুরু করে GDPR-সম্মত সম্মতি (consent) ডিজাইন এবং অথেন্টিকেশন পদ্ধতি নির্বাচন পর্যন্ত সম্পূর্ণ আর্কিটেকচার কভার করে। ২০২৪ সালে ৮০,০০০-এরও বেশি ভেন্যু এবং ৪৪০ মিলিয়ন লগইনে Purple-এর অপারেশনাল অভিজ্ঞতা থেকে নেওয়া প্রতিটি সুপারিশ বাস্তব ডিপ্লয়মেন্ট ডেটার ওপর ভিত্তি করে তৈরি।

গাইডটি পড়ুন →