Logo guild iPSK: ব্যবসার জন্য একটি বিস্তারিত নির্দেশিকা

Purple-এর টেকনিক্যাল ব্রিফিংয়ে আপনাকে স্বাগতম। আজ আমরা iPSK (যার পূর্ণরূপ Identity Pre-Shared Key) কভার করছি, এবং কেন এটি প্রোপার্টি ডেভেলপার, BTR অপারেটর এবং মাল্টি-টেন্যান্ট আবাসিক ডেভেলপমেন্টের জন্য চূড়ান্ত WiFi সিকিউরিটি মডেল হয়ে উঠেছে। আসুন আমরা যে সমস্যাটি সমাধান করার চেষ্টা করছি তা দিয়ে শুরু করি। আপনি একটি Build-to-Rent ডেভেলপমেন্ট পরিচালনা করছেন। এটি ১০০টি ইউনিট হতে পারে, আবার ৫০০টিও হতে পারে। আপনি চান যে প্রথম দিন থেকেই প্রতিটি বাসিন্দার জন্য নিরাপদ, ব্যক্তিগত WiFi থাকুক। আপনি প্রতিটি ফ্ল্যাটে আলাদা রাউটার ইনস্টল করতে চান না। আপনি শত শত আলাদা নেটওয়ার্ক পরিচালনা করতে চান না। এবং আপনি কোনোভাবেই চান না যে নেটওয়ার্কে রেসিডেন্ট A রেসিডেন্ট B-এর স্মার্ট টিভি ব্রাউজ করুক। স্ট্যান্ডার্ড WPA2-PSK বা শেয়ার্ড পাসওয়ার্ড মডেলটি এই স্কেলে এসে সাথে সাথে ব্যর্থ হয়। পুরো বিল্ডিংয়ের জন্য একটি পাসওয়ার্ড থাকার মানে হলো একটি নিরাপত্তা লঙ্ঘন সবাইকে প্রভাবিত করবে। এবং আপনি সবার পাসওয়ার্ড পরিবর্তন না করে একক কোনো বাসিন্দার অ্যাক্সেস বাতিল করতে পারবেন না। এটি পরিচালনা করা কার্যত অসম্ভব। অন্য চরম দিকটি হলো 802.1X সহ WPA3-Enterprise। এটি অত্যন্ত নিরাপদ। তবে এর জন্য প্রতিটি ডিভাইসের জন্য ডিজিটাল সার্টিফিকেট বা ইউজারনেম-পাসওয়ার্ড ক্রেডেনশিয়াল প্রয়োজন হয়। আপনার বাসিন্দাদের গেমিং কনসোল, স্মার্ট স্পিকার এবং থার্মোস্ট্যাটগুলো সাধারণভাবেই একটি 802.1X নেটওয়ার্কের সাথে সংযুক্ত হতে পারে না। সেগুলোতে কোনো সাপ্লিক্যান্ট থাকে না। আপনাকে প্রতিদিন এই সংক্রান্ত সাপোর্ট কলের মুখোমুখি হতে হবে। iPSK ঠিক এর মাঝামাঝি স্থানে অবস্থান করে। প্রতিটি বাসিন্দা তাদের নিজস্ব অনন্য প্রি-শেয়ার্ড কী পান। বাসিন্দার কাছে এটি দেখতে এবং ব্যবহারে হুবহু একটি হোম WiFi পাসওয়ার্ডের মতোই মনে হয়। তারা এটি একবার টাইপ করেন এবং তাদের প্রতিটি ডিভাইস সংযুক্ত হয়ে যায়। তবে ব্যাকএন্ডে, ওয়্যারলেস অ্যাক্সেস পয়েন্টটি ক্লায়েন্টের MAC অ্যাড্রেস সহ Purple ক্লাউডে একটি RADIUS রিকোয়েস্ট পাঠায়। আমাদের RADIUS সার্ভার সেই MAC অ্যাড্রেসটি সন্ধান করে, মানানসই অথরাইজেশন প্রোফাইল খুঁজে বের করে এবং সঠিক PSK প্রদান করে। এরপর অ্যাক্সেস পয়েন্টটি সেই নির্দিষ্ট কী ব্যবহার করে সংযোগটি যাচাই করে। ফলাফল: পুরো বিল্ডিংয়ের জন্য একটি SSID, কিন্তু প্রতিটি বাসিন্দা তাদের নিজস্ব ব্যক্তিগত নেটওয়ার্ক সেগমেন্টে আলাদা বা আইসোলেটেড থাকেন। এখন আমি আপনাকে এর আর্কিটেকচারটি বুঝিয়ে বলি, কারণ এখানেই এর আসল শক্তি নিহিত রয়েছে। অথেনটিকেশন ফ্লো-টিতে চারটি ধাপ রয়েছে। প্রথমত, ক্লায়েন্ট ডিভাইসটি অ্যাক্সেস পয়েন্টে একটি অ্যাসোসিয়েশন রিকোয়েস্ট পাঠায়। দ্বিতীয়ত, ওয়্যারলেস কন্ট্রোলার - সেটি Cisco Meraki, HPE Aruba, Ruckus, অথবা Juniper Mist যাই হোক না কেন - ক্লায়েন্টের MAC অ্যাড্রেস সহ Purple ক্লাউডে একটি RADIUS Access-Request পাঠায়। তৃতীয়ত, আমাদের RADIUS সার্ভার অথরাইজেশন পলিসি মূল্যায়ন করে। এটি রেসিডেন্ট রেকর্ডের সাথে MAC অ্যাড্রেসটি মেলাবে, অ্যাসাইন করা PSK পুনরুদ্ধার করবে এবং সেই বাসিন্দার জন্য VLAN ID সম্বলিত একটি Access-Accept রেসপন্স ফেরত দেবে। চতুর্থত, অ্যাক্সেস পয়েন্টটি ক্লায়েন্টকে তাদের ডেডিকেটেড VLAN-এ ড্রপ করে। বাসিন্দার দৃষ্টিকোণ থেকে, এটি একটি স্ট্যান্ডার্ড হোম WiFi সংযোগ থেকে আলাদা করা অসম্ভব। এর সম্পূর্ণ জটিলতাটি সার্ভার-সাইডে সম্পন্ন হয়। এটাই iPSK-এর সৌন্দর্য।RADIUS-এর মাধ্যমে VLAN ওভাররাইডের অর্থ হল রেসিডেন্ট A VLAN 101-এ, রেসিডেন্ট B VLAN 102-এ প্রবেশ করবেন, এবং আপনার বিল্ডিংয়ের IoT ডিভাইস, ডোর সেন্সর, CCTV, স্মার্ট মিটার সম্পূর্ণ আলাদা একটি VLAN-এ থাকবে যার ফলে কোনো ক্রস-কন্টামিনেশন হবে না। আমরা যেটিকে প্রাইভেট এরিয়া নেটওয়ার্ক বা PAN বলি সেই সম্পর্কে কিছু কথা। এটি প্রতিটি রেসিডেন্টের ডিভাইসের চারপাশে তৈরি করা একটি ভার্চুয়াল বাবল। যদিও শত শত রেসিডেন্ট একই WiFi পরিকাঠামো শেয়ার করেন, iPSK লেয়ার 2 আইসোলেশন নিশ্চিত করে। রেসিডেন্ট A-এর ফোন নিজের Chromecast এবং প্রিন্টার দেখতে পাবে। পাশের ফ্ল্যাটের রেসিডেন্ট B কোনোভাবেই সেই ডিভাইসগুলো দেখতে বা সেগুলোর সাথে ইন্টারঅ্যাক্ট করতে পারবেন না। এটি mDNS রিফ্লেকশন নামক একটি সুবিধাও সক্ষম করে, যা ডিভাইসগুলোকে তাদের নিজস্ব প্রাইভেট সেগমেন্টের মধ্যে একে অপরকে আবিষ্কার করতে দেয়। তাই একটি Chromecast-এ Netflix কাস্ট করা একদম নিখুঁতভাবে কাজ করে, ঠিক যেমনটি একটি হোম রাউটারে করে, কিন্তু এটি করিডোরে বা অন্য কোনো রেসিডেন্টের নেটওয়ার্কে ছড়িয়ে পড়ে না। এবার আমি iPSK-এর সাথে বিকল্পগুলোর তুলনা করব, কারণ অথেন্টিকেশন মডেলের নির্বাচন আপনার নেটওয়ার্ক ডিজাইনে নেওয়া সবচেয়ে গুরুত্বপূর্ণ সিদ্ধান্তগুলোর একটি। স্ট্যান্ডার্ড PSK, WPA2-Personal, আপনাকে সরলতা প্রদান করে। সবাই একই পাসওয়ার্ড ব্যবহার করে। কিন্তু কোনো সেন্ট্রাল কন্ট্রোল থাকে না। যদি একজন রেসিডেন্ট পাসওয়ার্ডটি ফাঁস করে দেন, তবে পুরো নেটওয়ার্কটি ঝুঁকির মধ্যে পড়ে। একজন রেসিডেন্ট চলে যাওয়ার পর পাসওয়ার্ড পরিবর্তন করলে তা অন্য প্রতিটি রেসিডেন্টকে প্রভাবিত করে। ২০০টি ইউনিটের ক্ষেত্রে এটি পরিচালনা করা অসম্ভব। 802.1X EAP-TLS হল উচ্চ-সুরক্ষাসম্পন্ন কর্পোরেট স্ট্যান্ডার্ড। এটি প্রতি ডিভাইসের জন্য সার্টিফিকেট-ভিত্তিক অথেন্টিকেশন প্রদান করে। আপনি তাৎক্ষণিকভাবে ব্যক্তিগত অ্যাক্সেস বাতিল করতে পারেন। কিন্তু এর জন্য একটি সার্টিফিকেট অথরিটি, সার্টিফিকেট ম্যানেজমেন্ট এবং প্রতিটি ডিভাইসে একটি সাপ্লিক্যান্টের প্রয়োজন হয়। গেমিং কনসোল, স্মার্ট টিভি, Amazon Alexa ডিভাইস - এগুলোর কোনোটিই 802.1X সমর্থন করে না। একটি আবাসিক পরিবেশে এটি একেবারেই অসম্ভব। iPSK আপনাকে একটি হোম পাসওয়ার্ডের অপারেশনাল সরলতার সাথে 802.1X-এর প্রতি-ডিভাইস আইডেন্টিটি প্রদান করে। এটি আপনার রেসিডেন্টদের মালিকানাধীন প্রতিটি হেডলেস IoT ডিভাইস সহ ১০০% ডিভাইস সমর্থন করে। এবং এটি ম্যানেজমেন্ট ওভারহেড ছাড়াই হাজার হাজার ইউনিটে স্কেল করা যায়, কারণ এর লাইফসাইকেলটি স্বয়ংক্রিয়। ভেন্ডর ভেদে টার্মিনোলজি ভিন্ন হতে পারে, এবং এর সমতুল্য শব্দগুলো জেনে রাখা ভালো। HPE Aruba এটিকে MPSK, Multi-PSK বলে। Ruckus এবং Juniper Mist DPSK, Dynamic PSK ব্যবহার করে। Ubiquiti UniFi এটিকে PPSK, Private PSK বলে। এই ধারণাটি Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme এবং Fortinet-এর ক্ষেত্রে অভিন্ন। Purple এই সমস্ত প্ল্যাটফর্মের ওপর একটি ক্লাউড ওভারলে হিসেবে কাজ করে। আপনার অ্যাক্সেস পয়েন্টগুলো পরিবর্তন করার কোনো প্রয়োজন নেই। এখন আমি আপনাকে ইমপ্লিমেন্টেশনের বিষয়টি বুঝিয়ে বলি, কারণ এখানেই ডেপ্লয়মেন্টগুলো সাধারণত ভুল হয়ে যায়। প্রথম এবং সবচেয়ে সাধারণ ভুল হল DHCP স্কোপের আকার ছোট করা। নেটওয়ার্ক ইঞ্জিনিয়াররা কখনও কখনও IP অ্যাড্রেসের জায়গা বাঁচাতে অ্যাপার্টমেন্ট প্রতি একটি স্ল্যাশ-২৮ (slash-28) সাবনেট বরাদ্দ করেন। এটিতে মাত্র ১৪টি ব্যবহারযোগ্য অ্যাড্রেস থাকে। ২০২৬ সালে, একটি BTR ফ্ল্যাটে থাকা একটি দম্পতি মঙ্গলবার আসতে না আসতেই ১৪টি IP শেষ করে ফেলবে। একটি ফোন, একটি ল্যাপটপ, একটি ট্যাবলেট, একটি স্মার্ট টিভি, একটি গেমস কনসোল, একটি স্মার্ট স্পিকার এবং কয়েকটি স্মার্ট বাল্ব। তাদের কোনো বন্ধু বাড়িতে আসার আগেই আপনি ইতিমধ্যেই আটটি ডিভাইসে পৌঁছে গেছেন। সর্বদা বাসিন্দা প্রতি একটি স্ল্যাশ-২৪ (slash-24) সাবনেট ডিফল্ট হিসেবে রাখুন। দ্বিতীয় গুরুত্বপূর্ণ বিষয়টি হল ক্লায়েন্ট আইসোলেশন। বাসিন্দার VLAN-এর মধ্যে ক্লায়েন্ট আইসোলেশন নিষ্ক্রিয় করা আছে কিনা তা আপনাকে নিশ্চিত করতে হবে। আপনি যদি ক্লায়েন্ট আইসোলেশন চালু রাখেন, তবে আপনি সেই স্মার্ট হোম কার্যকারিতাটি নষ্ট করবেন যা সক্ষম করার জন্য iPSK ডিজাইন করা হয়েছে। একই কী-তে থাকা ডিভাইসগুলো একে অপরের সাথে যোগাযোগ করবে না এবং আপনি পুরো সপ্তাহ জুড়ে Chromecast সাপোর্ট টিকিট সামলাতে ব্যস্ত থাকবেন। তৃতীয় বিবেচ্য বিষয়টি হল রোমিং। কোনো বাসিন্দা যদি চতুর্থ তলায় তার ফ্ল্যাট থেকে নিচতলার জিমে যান, তবে তার কানেকশনটি সচল থাকা প্রয়োজন। এর অর্থ হল তাদের নির্দিষ্ট VLAN-টি জিমের অ্যাক্সেস পয়েন্টে ট্রাঙ্কড করতে হবে, অথবা ট্রাফিকটিকে একটি সেন্ট্রাল কন্ট্রোলারে টানেল করতে হবে। প্রাথমিক ডেপ্লয়মেন্টের ক্ষেত্রে এটি একটি সাধারণ ভুল। এবার আসা যাক সবচেয়ে বড় সমস্যাটিতে: WPA3 এবং 6 GHz ব্যান্ড। WiFi 6E এবং WiFi 7-এর জন্য 6 GHz ব্যান্ডের উপর WPA3 সিকিউরিটি বাধ্যতামূলক। WPA3 পুরনো ফোর-ওয়ে হ্যান্ডশেককে Simultaneous Authentication of Equals বা SAE দ্বারা প্রতিস্থাপন করে। সমস্যা হল, SAE-এর জন্য IEEE 802.11 স্ট্যান্ডার্ড বর্তমানে SSID প্রতি একাধিক পাসওয়ার্ড সমর্থন করে না যেভাবে WPA2 করত। এটি কোনো Cisco Meraki-র সমস্যা বা Aruba-র সমস্যা নয়। এটি IEEE স্ট্যান্ডার্ডেরই একটি শিল্প-ব্যাপী সীমাবদ্ধতা। বর্তমানে সর্বোত্তম অনুশীলন হল একটি হাইব্রিড পদ্ধতি ব্যবহার করা। লেগ্যাসি ডিভাইস এবং IoT হার্ডওয়্যারের জন্য 2.4 এবং 5 GHz ব্যান্ডে একটি WPA2 iPSK SSID বজায় রাখুন। 6 GHz ব্যান্ডের জন্য, ম্যানেজড কর্পোরেট এন্ডপয়েন্টগুলোর জন্য 802.1X ব্যবহার করে একটি আলাদা SSID ডেপ্লয় করুন। এছাড়াও MAC অ্যাড্রেস র্যান্ডমাইজেশনের চ্যালেঞ্জ রয়েছে। Apple iOS 14 এবং Android 10 নেটওয়ার্ক-ভিত্তিক র্যান্ডমাইজড MAC অ্যাড্রেস চালু করেছে। একটি MAC-ভিত্তিক iPSK ডেপ্লয়মেন্টে, অ্যাক্সেস পয়েন্ট র্যান্ডমাইজড MAC-টি RADIUS সার্ভারে পাঠায়। সার্ভার এটি চিনতে পারে না। অথেন্টিকেশন ব্যর্থ হয়। Cisco Meraki-র Easy PSK মোড মূলত MAC লুকআপের পরিবর্তে EAPOL প্যারামিটারের মাধ্যমে অথেন্টিকেট করে এটি সমাধান করে। আপনি যদি Meraki ব্যবহার করেন এবং আপনার iOS বা Android ক্লায়েন্ট থাকে, তবে Easy PSK মোড ব্যবহার করুন। বিষয়টি বাস্তবসম্মত করতে দুটি বাস্তব পরিস্থিতি তুলে ধরা হল।প্রথম দৃশ্যপট: একটি ৩৫০-ইউনিটের Build-to-Rent ডেভেলপমেন্ট। অপারেটর চেয়েছিলেন যাতে বাসিন্দারা তাদের থাকার ঘরে ওঠার আগেই তাদের WiFi ক্রেডেনশিয়াল পেয়ে যান। Purple-এর Multi-Tenant WiFi প্ল্যাটফর্ম প্রপার্টি ম্যানেজমেন্ট সিস্টেমের সাথে ইন্টিগ্রেট করা হয়েছিল। যখন একটি লিজ স্বাক্ষরিত হয়, PMS থেকে Purple-এ একটি API কল ট্রিগার হয়, যা একটি অনন্য iPSK তৈরি করে এবং এটি স্বয়ংক্রিয়ভাবে প্রভিশন করে। বাসিন্দা ইমেইলের মাধ্যমে তাদের কি (key) পেয়ে যান। তারা প্রথম দিনেই প্রবেশ করে তাদের সমস্ত ডিভাইস সংযুক্ত করেন এবং নেটওয়ার্কটি চালু হয়ে যায়। যখন তারা চলে যান, কি-টি স্বয়ংক্রিয়ভাবে বাতিল হয়ে যায়। ফ্যাসিলিটি টিমের কাছ থেকে কোনো ম্যানুয়াল হস্তক্ষেপের প্রয়োজন হয়নি। তাদের আগের শেয়ার্ড-পাসওয়ার্ড মডেলের তুলনায় অপারেটর WiFi সংক্রান্ত সাপোর্ট কল ৬০% এরও বেশি কমিয়েছেন। দ্বিতীয় দৃশ্যপট: একটি ১৮০-রুমের হোটেল প্রপার্টি। হোটেলটি সেই Captive Portal লগইনটি দূর করতে চেয়েছিল যা নিয়ে অতিথিরা বারবার অভিযোগ করতেন। iPSK-এর সাহায্যে, প্রতিটি রুম একটি অনন্য কি পেয়েছে যা কি কার্ডে প্রিন্ট করা ছিল অথবা বুকিং নিশ্চিতকরণ ইমেলের মাধ্যমে পাঠানো হয়েছিল। অতিথিরা একবার সংযুক্ত হন। তাদের ফোন, ট্যাবলেট এবং ল্যাপটপ সবই একই থাকার সময়কালের মধ্যে পরবর্তী ভিজিটে স্বয়ংক্রিয়ভাবে যুক্ত হয়ে যায়। রুমের IoT ডিভাইসগুলি একটি পৃথক VLAN-এ থাকে, যা অতিথিদের ট্রাফিক থেকে সম্পূর্ণ বিচ্ছিন্ন। কি-গুলি চেক-ইনের সময় তৈরি হয় এবং ফ্রন্ট ডেস্কে কোনো ম্যানুয়াল পদক্ষেপ ছাড়াই চেক-আউটের সময় বাতিল হয়ে যায়। এবার কিছু দ্রুত প্রশ্ন ও উত্তর। Cisco ISE ছাড়াই কি iPSK কাজ করতে পারে? হ্যাঁ। FreeRADIUS এবং Microsoft NPS উভয়ই Tunnel-Password অ্যাট্রিবিউট সমর্থন করে যা iPSK-এর জন্য প্রয়োজন। Purple নিজেই RADIUS সার্ভার হিসেবে কাজ করে, তাই আপনাকে আপনার নিজস্ব RADIUS অবকাঠামো মোতায়েন বা পরিচালনা করতে হবে না। iPSK কি PCI DSS সম্মত? iPSK PCI DSS 4.0-এর নেটওয়ার্ক সেগমেন্টেশন প্রয়োজনীয়তা সমর্থন করে। কার্ডহোল্ডার ডেটা এনভায়রনমেন্ট অবশ্যই গেস্ট এবং IoT নেটওয়ার্ক থেকে আলাদা হতে হবে। iPSK-এর VLAN ওভাররাইড ক্ষমতাই এই সেগমেন্টেশন অর্জনের মূল প্রক্রিয়া। এর বাণিজ্যিক সুবিধা কী? ব্রিটিশ প্রপার্টি ফেডারেশনের গবেষণা নির্দেশ করে যে ম্যানেজড WiFi যুক্তরাজ্যের Build-to-Rent ডেভেলপমেন্টগুলিতে প্রতি মাসে প্রতি ইউনিটে ১৫ থেকে ৩০ পাউন্ড পর্যন্ত ভাড়া প্রিমিয়াম প্রদান করে। একজন বাসিন্দা যখন একজন ISP ইঞ্জিনিয়ারের জন্য অপেক্ষা করেন, তখন যে পাঁচ থেকে দশ দিনের শূন্য সময় থাকে সেটিও আপনি দূর করতে পারেন। সংক্ষেপে বলতে গেলে, iPSK আপনাকে একটি একক SSID-এ প্রতি-ডিভাইস পরিচয় প্রদান করে, যা 802.1X সার্টিফিকেটের জটিলতা ছাড়াই এবং একটি শেয়ার্ড পাসওয়ার্ডের নিরাপত্তা ব্যর্থতা ছাড়াই সম্ভব হয়। এটি Build-to-Rent, হোটেল, রিটেইল এবং যেকোনো মাল্টি-টেন্যান্ট এনভায়রনমেন্টের জন্য সঠিক মডেল যেখানে আপনার ট্রাফিক আলাদা করা, অ্যাক্সেস লাইফসাইকেল স্বয়ংক্রিয় করা এবং প্রতিটি ধরণের ডিভাইস সমর্থন করা প্রয়োজন। বিদায় নেওয়ার আগে পাঁচটি নিয়ম। এক: আপনার যদি একটি একক SSID-এ ৫০টির বেশি ডিভাইস বা ব্যবহারকারী থাকে এবং আপনার প্রতি-ডিভাইস অ্যাক্সেস নিয়ন্ত্রণের প্রয়োজন হয়, তবে iPSK প্রায় নিশ্চিতভাবেই সঠিক মডেল। দুই: iPSK কনফিগার করার আগে সর্বদা আপনার VLAN আর্কিটেকচার পরিকল্পনা করুন। তিন: আপনি যদি iOS বা Android ক্লায়েন্ট সহ Cisco Meraki-তে থাকেন, তবে Easy PSK মোড ব্যবহার করুন। চার: একটি লাইফসাইকেল ম্যানেজমেন্ট লেয়ার ছাড়া iPSK মোতায়েন করবেন না। পাঁচ: এখনই আপনার WPA3 মাইগ্রেশন পরিকল্পনা করুন।Purple-এর Multi-Tenant WiFi প্ল্যাটফর্মটি লাইফসাইকেল অটোমেশনের কাজটি পরিচালনা করে, যা আপনার প্রোপার্টি ম্যানেজমেন্ট সিস্টেম বা আইডেন্টিটি প্রোভাইডারকে আপনার হার্ডওয়্যারের সাথে সংযুক্ত করে এবং ৮০,০০০-এরও বেশি লাইভ ভেন্যুতে বড় আকারে কী (key) প্রভিশনিং ও রদকরণ স্বয়ংক্রিয় করে। আপনি যদি আরও বিস্তারিত জানতে চান - তা কোনো আর্কিটেকচার পর্যালোচনা, কনফিগারেশন ওয়াকথ্রু, বা পাইলট ডেপ্লয়মেন্ট যাই হোক না কেন - আমাদের টিমের সাথে কথা বলার লিঙ্কটি গাইডের মধ্যে রয়েছে। শোনার জন্য ধন্যবাদ।