RADIUS-এর দুর্বলতা প্রশমন: একটি সিকিউরিটি হার্ডেনিং গাইড
এই গাইডটি হসপিটালিটি, রিটেইল, ইভেন্ট এবং পাবলিক-সেক্টর পরিবেশ জুড়ে এন্টারপ্রাইজ WiFi পরিকাঠামোর জন্য দায়ী আইটি ম্যানেজার, নেটওয়ার্ক আর্কিটেক্ট এবং CTO-দের জন্য একটি ব্যাপক, কার্যকরী রেফারেন্স প্রদান করে। এটি RADIUS সার্ভার ডিপ্লয়মেন্টের সম্পূর্ণ অ্যাটাক সারফেস কভার করে — MD5 কলিশন দুর্বলতা এবং দুর্বল শেয়ার্ড সিক্রেট থেকে শুরু করে আনএনক্রিপ্টেড UDP ট্রান্সপোর্ট এবং মিসকনফিগার করা EAP মেথড পর্যন্ত — এবং IEEE 802.1X, PCI DSS এবং GDPR প্রয়োজনীয়তার সাথে সামঞ্জস্যপূর্ণ একটি অগ্রাধিকারভিত্তিক হার্ডেনিং রোডম্যাপ প্রদান করে। যে সংস্থাগুলো এই সুপারিশগুলো বাস্তবায়ন করবে তারা ক্রেডেনশিয়াল-ভিত্তিক নেটওয়ার্ক আক্রমণের ঝুঁকি উল্লেখযোগ্যভাবে হ্রাস করবে, কমপ্লায়েন্স বাধ্যবাধকতা পূরণ করবে এবং তাদের গেস্ট ও কর্পোরেট WiFi পরিকাঠামোর জন্য একটি শক্তিশালী সিকিউরিটি পসচার তৈরি করবে।
এই গাইডটি শুনুন
পডকাস্ট ট্রান্সক্রিপ্ট দেখুন
কার্যনির্বাহী সারাংশ
হসপিটালিটি, রিটেইল এস্টেট, স্টেডিয়াম, কনফারেন্স সেন্টার এবং পাবলিক-সেক্টর বিল্ডিংগুলোতে IEEE 802.1X অথেনটিকেশনের ভিত্তি হিসেবে এন্টারপ্রাইজ WiFi ডিপ্লয়মেন্ট জুড়ে নেটওয়ার্ক অ্যাক্সেস কন্ট্রোলের ক্ষেত্রে RADIUS (রিমোট অথেনটিকেশন ডায়াল-ইন ইউজার সার্ভিস) এখনও প্রধান প্রোটোকল। তবে, RADIUS-এর আর্কিটেকচার ১৯৯০-এর দশকে তৈরি করা হয়েছিল, এবং এর বেশ কয়েকটি মৌলিক ডিজাইনের সিদ্ধান্ত — যেমন MD5 হ্যাশিংয়ের ওপর নির্ভরতা, নেটিভ এনক্রিপশন ছাড়া UDP ট্রান্সপোর্ট এবং স্ট্যাটিক শেয়ার্ড সিক্রেট — বর্তমান থ্রেট এনভায়রনমেন্টে বড় ধরনের দুর্বলতায় পরিণত হয়েছে।
জুলাই ২০২৪-এ, BlastRADIUS দুর্বলতা (CVE-2024-3596) প্রমাণ করেছে যে একজন ম্যান-ইন-দ্য-মিডল অ্যাটাকার Access-Request প্যাকেটে MD5 ইন্টিগ্রিটি দুর্বলতাকে কাজে লাগিয়ে RADIUS Access-Accept রেসপন্স জাল করতে পারে। এটি FreeRADIUS, Cisco ISE এবং Microsoft NPS সহ সমস্ত প্রধান RADIUS ইমপ্লিমেন্টেশনকে প্রভাবিত করে। আনপ্যাচ করা ডিপ্লয়মেন্টগুলো এখনও ঝুঁকির মুখে রয়েছে।
এই গাইডটি প্যাচ ম্যানেজমেন্ট, শেয়ার্ড সিক্রেট হাইজিন, EAP মেথড নির্বাচন, RadSec ডিপ্লয়মেন্ট, অ্যাডমিনিস্ট্রেটিভ অ্যাক্সেসের জন্য মাল্টি-ফ্যাক্টর অথেনটিকেশন এবং অ্যানোমালি ডিটেকশনের জন্য SIEM ইন্টিগ্রেশন কভার করে একটি অগ্রাধিকারভিত্তিক হার্ডেনিং রোডম্যাপ প্রদান করে। এটি সেই আইটি প্রফেশনালদের জন্য লেখা হয়েছে যাদের আগামী বছর নয়, বরং এই প্রান্তিকেই একটি যুক্তিসঙ্গত সিদ্ধান্ত নিতে হবে।
টেকনিক্যাল ডিপ-ডাইভ
RADIUS কীভাবে কাজ করে এবং কোথায় এটি ব্যর্থ হয়
RADIUS একটি নেটওয়ার্ক অ্যাক্সেস সার্ভার (NAS) — সাধারণত একটি WiFi অ্যাক্সেস পয়েন্ট, সুইচ বা VPN কনসেন্ট্রেটর — এবং একটি RADIUS সার্ভারের মধ্যে ক্লায়েন্ট-সার্ভার প্রোটোকল হিসেবে কাজ করে, যা Active Directory বা LDAP-এর মতো ব্যাকএন্ড আইডেন্টিটি স্টোরের বিপরীতে ক্রেডেনশিয়াল যাচাই করে। অথেনটিকেশন এক্সচেঞ্জটি RFC 2865-এ সংজ্ঞায়িত একটি রিকোয়েস্ট-চ্যালেঞ্জ-রেসপন্স মডেল অনুসরণ করে, যেখানে অ্যাকাউন্টিং আলাদাভাবে RFC 2866-এর অধীনে পরিচালিত হয়।
প্রোটোকলটি UDP-এর মাধ্যমে অথেনটিকেশন প্যাকেট ট্রান্সমিট করে, অথেনটিকেশনের জন্য পোর্ট 1812 এবং অ্যাকাউন্টিংয়ের জন্য পোর্ট 1813 ব্যবহার করে। শেয়ার্ড সিক্রেট — যা NAS এবং RADIUS সার্ভার উভয়তেই কনফিগার করা একটি প্রি-শেয়ার্ড কী — Response Authenticator ফিল্ড তৈরি করতে এবং একটি MD5-ভিত্তিক XOR সাইফারের মাধ্যমে User-Password অ্যাট্রিবিউটকে অস্পষ্ট করতে ব্যবহৃত হয়। এটি আধুনিক অর্থে কোনো এনক্রিপশন নয়; এটি কেবল অস্পষ্টকরণ, এবং এটি সম্পূর্ণভাবে শেয়ার্ড সিক্রেটের গোপনীয়তা এবং শক্তির ওপর নির্ভর করে।
একটি সাধারণ RADIUS ডিপ্লয়মেন্টে পাঁচটি প্রধান দুর্বলতার শ্রেণী নিচে দেওয়া হলো।
MD5 কলিশন এবং ইন্টিগ্রিটি দুর্বলতা। BlastRADIUS আক্রমণ (CVE-2024-3596) Access-Request প্যাকেটে ইন্টিগ্রিটি সুরক্ষার অভাবকে কাজে লাগায়। যেহেতু অনেক কনফিগারেশনে NAS ডিফল্টভাবে Message-Authenticator অ্যাট্রিবিউট অন্তর্ভুক্ত করে না, তাই ম্যান-ইন-দ্য-মিডল পজিশনে থাকা একজন অ্যাটাকার প্যাকেটটি RADIUS সার্ভারে পৌঁছানোর আগেই তাতে একটি ক্রাফটেড অ্যাট্রিবিউট ইনজেক্ট করতে পারে। MD5 চোজেন-প্রিফিক্স কলিশন টেকনিক ব্যবহার করে, অ্যাটাকার প্যাকেটটিকে এমনভাবে ম্যানিপুলেট করতে পারে যাতে RADIUS সার্ভার মডিফাই করা প্যাকেটের জন্য একটি ভ্যালিড Response Authenticator গণনা করে এবং যে রিকোয়েস্টটি রিজেক্ট হওয়া উচিত ছিল তার জন্য একটি Access-Accept রিটার্ন করে। এর প্রতিকার হলো সমস্ত Access-Request প্যাকেটে Message-Authenticator অ্যাট্রিবিউট এনফোর্স করা, যা সম্পূর্ণ প্যাকেটের ওপর HMAC-MD5 ইন্টিগ্রিটি সুরক্ষা প্রদান করে। এটি কেবল একটি সার্ভার প্যাচ নয়, বরং NAS এবং RADIUS সার্ভার উভয়ের কনফিগারেশন পরিবর্তন।
দুর্বল বা স্ট্যাটিক শেয়ার্ড সিক্রেট। শেয়ার্ড সিক্রেট হলো RADIUS এক্সচেঞ্জের ক্রিপ্টোগ্রাফিক অ্যাংকর। যদি এটি ছোট হয়, অনুমানযোগ্য হয় বা রোটেট করা না হয়, তবে যে অ্যাটাকার RADIUS ট্রাফিক ক্যাপচার করে — যা ARP স্পুফিং বা আপোসকৃত নেটওয়ার্ক ডিভাইসের মাধ্যমে সম্ভব — সে User-Password অ্যাট্রিবিউটের বিরুদ্ধে একটি অফলাইন ব্রুট-ফোর্স আক্রমণ চালাতে পারে। মেমোরাইজড সিক্রেটের ওপর NIST SP 800-63B গাইডেন্স এখানে প্রযোজ্য: সিক্রেটগুলো কমপক্ষে ২০ ক্যারেক্টারের হতে হবে, র্যান্ডমলি জেনারেট করা হতে হবে এবং একটি সিক্রেটস ম্যানেজমেন্ট সিস্টেমে স্টোর করতে হবে। ডজন বা শত শত NAS ডিভাইস থাকা বড় এস্টেটগুলোর জন্য ম্যানুয়াল রোটেশন অপারেশনালি অসম্ভব; HashiCorp Vault বা সমতুল্য সিক্রেটস ম্যানেজারের মাধ্যমে অটোমেশনই হলো সঠিক পদ্ধতি।
আনএনক্রিপ্টেড UDP ট্রান্সপোর্ট। UDP-এর ওপর স্ট্যান্ডার্ড RADIUS কোনো ট্রান্সপোর্ট-লেয়ার কনফিডেনশিয়ালিটি প্রদান করে না। User-Password অ্যাট্রিবিউটটি অস্পষ্ট করা হয় কিন্তু এনক্রিপ্ট করা হয় না। ইউজারনেম, NAS IP এবং সেশন মেটাডেটা সহ অন্যান্য সমস্ত অ্যাট্রিবিউট ক্লিয়ারটেক্সটে ট্রান্সমিট করা হয়। RadSec (TLS-এর ওপর RADIUS), যা RFC 6614-এ সংজ্ঞায়িত এবং RFC 7360-এ আপডেট করা হয়েছে, TCP পোর্ট 2083-এর ওপর একটি TLS 1.2 বা TLS 1.3 সেশনে RADIUS প্রোটোকলকে র্যাপ করে এর সমাধান করে। RadSec NAS এবং RADIUS সার্ভারের মধ্যে মিউচুয়াল সার্টিফিকেট অথেনটিকেশন, সম্পূর্ণ পেলোড এনক্রিপশন এবং রিপ্লে সুরক্ষা প্রদান করে। আনট্রাস্টেড নেটওয়ার্ক বাউন্ডারি অতিক্রম করে এমন যেকোনো RADIUS ট্রাফিকের জন্য এটি সঠিক ট্রান্সপোর্ট।
EAP মেথড নির্বাচন। এক্সটেনসিবল অথেনটিকেশন প্রোটোকল (EAP) 802.1X ফ্রেমওয়ার্কের মধ্যে ব্যবহৃত ইনার অথেনটিকেশন মেথডকে সংজ্ঞায়িত করে। EAP-MD5 ডেপ্রিকেটেড এবং এটি অবিলম্বে সমস্ত ডিপ্লয়মেন্ট থেকে সরিয়ে ফেলা উচিত — এটি কোনো মিউচুয়াল অথেনটিকেশন প্রদান করে না এবং ক্রেডেনশিয়াল হারভেস্টিংয়ের বিরুদ্ধে কোনো সুরক্ষা দেয় না। PEAP (প্রোটেক্টেড EAP) এবং EAP-TTLS ক্রেডেনশিয়াল ট্রান্সমিট করার আগে একটি সার্ভার সার্টিফিকেট ব্যবহার করে একটি TLS টানেল স্থাপন করে, যা মিউচুয়াল অথেনটিকেশন প্রদান করে এবং ইনার মেথডকে ইভসড্রপিং থেকে রক্ষা করে। EAP-TLS পাসওয়ার্ডের প্রয়োজনীয়তা সম্পূর্ণভাবে দূর করে, সার্ভার এবং ক্লায়েন্ট উভয়কেই X.509 সার্টিফিকেট উপস্থাপন করতে হয়। এটি ফিশিং এবং ব্রুট-ফোর্স আক্রমণের বিরুদ্ধে ইমিউন এবং উচ্চ-নিরাপত্তা পরিবেশের জন্য প্রস্তাবিত মেথড।
অপর্যাপ্ত লগিং এবং মনিটরিং। RADIUS অ্যাকাউন্টিং প্রতিটি অথেনটিকেশন ইভেন্ট রেকর্ড করে — সাফল্য, ব্যর্থতা, সেশন শুরু, সেশন শেষ। এই ডেটা ক্যাপাসিটি প্ল্যানিংয়ের জন্য অপারেশনালি মূল্যবান এবং WiFi অ্যানালিটিক্স -এর জন্য বাণিজ্যিকভাবে মূল্যবান, তবে এটি একটি গুরুত্বপূর্ণ সিকিউরিটি টেলিমেট্রি সোর্সও। ফেইলড অথেনটিকেশন স্টর্ম, অপ্রত্যাশিত MAC অ্যাড্রেস থেকে অথেনটিকেশন এবং অফ-আওয়ার্স অ্যাক্সেস প্যাটার্ন সবই RADIUS অ্যাকাউন্টিং লগ থেকে শনাক্ত করা যায়। বেশিরভাগ সংস্থাই এই ডেটা SIEM-এ ইনজেস্ট করছে না, এবং যারা করছে তাদের প্রায়শই কোনো অ্যালার্ট থ্রেশহোল্ড কনফিগার করা থাকে না।
BlastRADIUS আক্রমণের বিস্তারিত
BlastRADIUS জুলাই ২০২৪-এ বস্টন ইউনিভার্সিটি এবং ইউনিভার্সিটি অফ ক্যালিফোর্নিয়া সান দিয়েগোর গবেষকদের দ্বারা প্রকাশ করা হয়েছিল। আক্রমণটির জন্য NAS এবং RADIUS সার্ভারের মধ্যে একটি ম্যান-ইন-দ্য-মিডল পজিশন প্রয়োজন — যা একটি শেয়ার্ড নেটওয়ার্ক সেগমেন্টে ARP পয়জনিং, একটি আপোসকৃত রাউটার বা নেটওয়ার্ক অ্যাক্সেস থাকা কোনো ক্ষতিকারক ইনসাইডারের মাধ্যমে অর্জন করা সম্ভব।
আক্রমণটি এভাবে এগিয়ে যায়: অ্যাটাকার NAS থেকে একটি Access-Request প্যাকেট ইন্টারসেপ্ট করে। যেহেতু প্যাকেটে Message-Authenticator অ্যাট্রিবিউট নেই (অনেক কনফিগারেশনে ডিফল্ট), তাই অ্যাটাকারের কাছে প্যাকেটের অ্যাট্রিবিউট লিস্ট মডিফাই করার স্বাধীনতা থাকে। একটি MD5 চোজেন-প্রিফিক্স কলিশন ব্যবহার করে, অ্যাটাকার একটি মডিফাই করা প্যাকেট তৈরি করে যা RADIUS সার্ভার দ্বারা প্রসেস করার সময় মূল প্যাকেটের মতোই একই Response Authenticator তৈরি করে। তাই সার্ভার এমন একটি রিকোয়েস্টের জন্য Access-Accept রিটার্ন করে যাতে অ্যাটাকার-নিয়ন্ত্রিত অ্যাট্রিবিউট থাকে — যার মধ্যে অ্যাডমিনিস্ট্রেটিভ Service-Type অন্তর্ভুক্ত, যা সম্পূর্ণ নেটওয়ার্ক অ্যাক্সেস প্রদান করে।
আক্রমণটি PEAP এবং EAP-TTLS ডিপ্লয়মেন্টের বিরুদ্ধে কার্যকর যেখানে ইনার মেথড MSCHAPv2 ব্যবহার করে। এটি EAP-TLS ডিপ্লয়মেন্টকে প্রভাবিত করে না, কারণ সার্টিফিকেট-ভিত্তিক মিউচুয়াল অথেনটিকেশন এমন ইন্টিগ্রিটি সুরক্ষা প্রদান করে যা MD5 ক্ষুণ্ন করতে পারে না।
কর্পোরেট 802.1X-এর পাশাপাশি গেস্ট WiFi চালানো সংস্থাগুলোর জন্য, গেস্ট নেটওয়ার্কের RADIUS ইনস্ট্যান্সটিও প্যাচ করতে হবে, এমনকি যদি এটি EAP-এর পরিবর্তে MAC অথেনটিকেশন বাইপাস ব্যবহার করে। শেয়ার্ড সিক্রেট হাইজিন এবং Message-Authenticator-এর প্রয়োজনীয়তা সমানভাবে প্রযোজ্য।
ইমপ্লিমেন্টেশন গাইড
পর্যায় ১: তাৎক্ষণিক প্রতিকার (সপ্তাহ ১–২)
প্রথম অগ্রাধিকার হলো প্যাচিং। FreeRADIUS 3.2.5 এবং 3.0.27-এ BlastRADIUS ফিক্স অন্তর্ভুক্ত রয়েছে এবং ডিফল্টভাবে Message-Authenticator এনফোর্স করে। Cisco ISE 3.1 Patch 8, 3.2 Patch 4 এবং 3.3 Patch 1 দুর্বলতাটির সমাধান করে। Microsoft জুলাই ২০২৪-এ Windows Server 2022 NPS-এর জন্য KB5040434 রিলিজ করেছে। আপনার বর্তমান ভার্সনগুলো যাচাই করুন এবং আপনার পরবর্তী নির্ধারিত চেঞ্জ উইন্ডোর মধ্যে প্যাচগুলো প্রয়োগ করুন।
একই সাথে, আপনার NAS ডিভাইসের ফার্মওয়্যার অডিট করুন। Message-Authenticator এনফোর্সমেন্ট তখনই কার্যকর হয় যদি NAS-ও অ্যাট্রিবিউটটি পাঠায়। আপনার অ্যাক্সেস পয়েন্ট এবং সুইচ ভেন্ডরের অ্যাডভাইজরি চেক করুন — Aruba, Ruckus, Cisco এবং Juniper সবাই BlastRADIUS-এর সমাধান করে ফার্মওয়্যার আপডেট রিলিজ করেছে। আপনি যদি Ruckus হার্ডওয়্যার চালান, তবে ওয়্যারলেস অ্যাক্সেস পয়েন্ট Ruckus গাইড প্রাসঙ্গিক ফার্মওয়্যার ম্যানেজমেন্ট কনটেক্সট প্রদান করে।
প্যাচ-পরবর্তী উদ্ভূত Windows 11 802.1X অথেনটিকেশন সমস্যা ট্রাবলশুটিং -এর জন্য, সবচেয়ে সাধারণ কারণ হলো NPS সার্ভার সেই ক্লায়েন্টদের কানেকশন রিজেক্ট করে যারা Message-Authenticator অন্তর্ভুক্ত করে না — এটি একটি সঠিক সিকিউরিটি বিহেভিয়ার যার জন্য পুরোনো Windows ক্লায়েন্টগুলোতে সাপ্লিক্যান্ট রিকনফিগারেশনের প্রয়োজন হতে পারে।
পর্যায় ২: শেয়ার্ড সিক্রেট হাইজিন (সপ্তাহ ২–৪)
আপনার RADIUS সার্ভারে রেজিস্টার করা NAS ক্লায়েন্টগুলোর সম্পূর্ণ তালিকা এক্সপোর্ট করুন। প্রতিটি এন্ট্রির জন্য, শেয়ার্ড সিক্রেটের দৈর্ঘ্য এবং এটি সর্বশেষ কবে পরিবর্তন করা হয়েছিল তা রেকর্ড করুন। ২০ ক্যারেক্টারের কম বা ২৪ মাসের বেশি সময় ধরে অপরিবর্তিত থাকা যেকোনো সিক্রেট অবিলম্বে রোটেট করা উচিত।
নতুন সিক্রেটের জন্য, একটি ক্রিপ্টোগ্রাফিক্যালি র্যান্ডম জেনারেটর ব্যবহার করুন — openssl rand -base64 32 একটি ৪৪-ক্যারেক্টারের base64 স্ট্রিং তৈরি করে যা RADIUS শেয়ার্ড সিক্রেট হিসেবে ব্যবহারের জন্য উপযুক্ত। সমস্ত সিক্রেট একটি সিক্রেটস ম্যানেজমেন্ট সিস্টেমে স্টোর করুন। একটি রোটেশন শিডিউল বাস্তবায়ন করুন: কম-ঝুঁকিপূর্ণ NAS ডিভাইসের জন্য বার্ষিক, PCI DSS স্কোপে থাকা NAS ডিভাইসের জন্য প্রতি ছয় মাসে।
পর্যায় ৩: EAP মেথড র্যাশনালাইজেশন (মাস ১–২)
আপনার RADIUS সার্ভারের অনুমোদিত EAP মেথডগুলো অডিট করুন। EAP-MD5 ডিজেবল করুন। আপনি যদি PEAP-MSCHAPv2 চালান, তবে যাচাই করুন যে সমস্ত সাপ্লিক্যান্টে সার্ভার সার্টিফিকেট ভ্যালিডেশন এনফোর্স করা হয়েছে — একটি মিসকনফিগার করা সাপ্লিক্যান্ট যা যেকোনো সার্ভার সার্টিফিকেট গ্রহণ করে তা রোগ (rogue) RADIUS সার্ভার আক্রমণের জন্য ঝুঁকিপূর্ণ। PCI DSS স্কোপে থাকা পরিবেশের জন্য, EAP-TLS হলো প্রস্তাবিত পথ। আপনার যদি বিদ্যমান সার্টিফিকেট ইনফ্রাস্ট্রাকচার না থাকে তবে PKI প্ল্যানিং শুরু করুন।
গেস্ট WiFi নেটওয়ার্ক সুরক্ষিত করা -এর জন্য, মনে রাখবেন যে গেস্ট নেটওয়ার্কগুলো সাধারণত 802.1X-এর পরিবর্তে Captive Portal অথেনটিকেশন ব্যবহার করে, তাই EAP মেথড হার্ডেনিং মূলত কর্পোরেট এবং স্টাফ SSID-গুলোর জন্য প্রযোজ্য।
পর্যায় ৪: RadSec ডিপ্লয়মেন্ট (মাস ২–৩)
আনট্রাস্টেড নেটওয়ার্ক বাউন্ডারি অতিক্রম করে এমন সমস্ত RADIUS ট্রাফিক পাথ শনাক্ত করুন। সাধারণ দৃশ্যপটগুলোর মধ্যে রয়েছে: ইন্টারনেটের মাধ্যমে রিমোট হোটেল প্রপার্টিগুলোতে পরিষেবা প্রদানকারী একটি সেন্ট্রাল RADIUS সার্ভার; অন-প্রিমিসেস NAS ডিভাইস দ্বারা অ্যাক্সেস করা একটি ক্লাউড-হোস্টেড RADIUS পরিষেবা; এবং RADIUS প্রক্সি চেইন যেখানে ট্রাফিক একাধিক নেটওয়ার্ক ডোমেইনের মধ্য দিয়ে যায়।
প্রতিটি শনাক্ত করা পাথের জন্য, RadSec কনফিগার করুন। FreeRADIUS-এ, এর জন্য পোর্ট 2083-এ tls লিসেনার এনাবল করতে হবে এবং আপনার PKI থেকে সার্টিফিকেট সহ মিউচুয়াল TLS কনফিগার করতে হবে। Cisco ISE-তে, Administration > Network Devices-এর অধীনে RadSec কনফিগার করা হয়। নিশ্চিত করুন যে TLS 1.2 হলো ন্যূনতম ভার্সন; TLS 1.0 এবং 1.1 স্পষ্টভাবে ডিজেবল করুন।
পর্যায় ৫: অ্যাডমিনিস্ট্রেটিভ অ্যাক্সেসের জন্য MFA (মাস ২–৩)
RADIUS সার্ভারের ম্যানেজমেন্ট ইন্টারফেস একটি হাই-ভ্যালু টার্গেট। যে অ্যাটাকার RADIUS সার্ভারে আপোস করে সে অথেনটিকেশন পলিসি পরিবর্তন করতে পারে, শেয়ার্ড সিক্রেট এক্সট্র্যাক্ট করতে পারে এবং অথেনটিকেশন ট্রাফিক রিডাইরেক্ট করতে পারে। RADIUS সার্ভার এবং এর আন্ডারলায়িং অপারেটিং সিস্টেমে সমস্ত অ্যাডমিনিস্ট্রেটিভ লগইনের জন্য MFA এনফোর্স করুন। ম্যানেজমেন্ট অ্যাক্সেসকে একটি ডেডিকেটেড আউট-অফ-ব্যান্ড ম্যানেজমেন্ট VLAN-এ সীমাবদ্ধ করুন। রোল-বেসড অ্যাক্সেস কন্ট্রোল বাস্তবায়ন করুন: নেটওয়ার্ক ইঞ্জিনিয়ারদের সিকিউরিটি অ্যাডমিনিস্ট্রেটরদের মতো একই প্রিভিলেজ থাকা উচিত নয়।
পর্যায় ৬: SIEM ইন্টিগ্রেশন এবং অ্যালার্টিং (মাস ৩–৪)
রিয়েল টাইমে আপনার SIEM-এ অ্যাকাউন্টিং লগ ফরোয়ার্ড করার জন্য আপনার RADIUS সার্ভার কনফিগার করুন। বেসলাইন হিসেবে নিচের অ্যালার্ট থ্রেশহোল্ডগুলো নির্ধারণ করুন:
| অ্যালার্ট | থ্রেশহোল্ড | তীব্রতা |
|---|---|---|
| সিঙ্গেল MAC থেকে ব্যর্থ অথেনটিকেশন | ৬০ সেকেন্ডে >৫ | উচ্চ |
| Access-Reject রেট স্পাইক | ৭-দিনের বেসলাইনের >২০০% | মাঝারি |
| কর্পোরেট SSID-এ নতুন MAC থেকে অথেনটিকেশন | প্রথম ঘটনা | মাঝারি |
| RADIUS সার্ভার সার্টিফিকেটের মেয়াদ শেষ | ৯০ / ৩০ / ৭ দিন | উচ্চ / ক্রিটিক্যাল / ক্রিটিক্যাল |
| শেয়ার্ড সিক্রেট মিসম্যাচ এরর | যেকোনো ঘটনা | উচ্চ |
বেস্ট প্র্যাকটিস
নিচের সুপারিশগুলো IEEE 802.1X, NIST SP 800-63B, PCI DSS v4.0 এবং ভেন্ডর সিকিউরিটি অ্যাডভাইজরিগুলোর ঐক্যমত্যের প্রতিনিধিত্ব করে।
সার্টিফিকেট ম্যানেজমেন্ট। EAP-TLS বা RadSec ব্যবহার করা যেকোনো ডিপ্লয়মেন্টের অথেনটিকেশন পাথে X.509 সার্টিফিকেট থাকে। এন্টারপ্রাইজ WiFi ডিপ্লয়মেন্টে হঠাৎ, সম্পূর্ণ অথেনটিকেশন ব্যর্থতার সবচেয়ে সাধারণ কারণ হলো সার্টিফিকেটের মেয়াদ শেষ হওয়া। অটোমেটেড সার্টিফিকেট লাইফসাইকেল ম্যানেজমেন্ট বাস্তবায়ন করুন। মেয়াদ শেষ হওয়ার ৯০, ৩০ এবং ৭ দিন আগে মনিটরিং অ্যালার্ট সেট করুন। RADIUS সার্ভার সার্টিফিকেটের জন্য, SHA-256 বা আরও শক্তিশালী সিগনেচার অ্যালগরিদম সহ ন্যূনতম 2048-বিট RSA বা 256-বিট ECDSA কী সাইজ ব্যবহার করুন। SHA-1 ব্যবহার করবেন না।
নেটওয়ার্ক সেগমেন্টেশন। RADIUS সার্ভারটি গেস্ট নেটওয়ার্ক এবং সাধারণ কর্পোরেট নেটওয়ার্ক উভয় থেকে আইসোলেটেড একটি ডেডিকেটেড ম্যানেজমেন্ট নেটওয়ার্ক সেগমেন্টে থাকা উচিত। RADIUS পোর্টে (UDP 1812, 1813, RadSec-এর জন্য TCP 2083) অ্যাক্সেস ফায়ারওয়াল ACL দ্বারা রেজিস্টার করা NAS ডিভাইসের নির্দিষ্ট IP অ্যাড্রেসগুলোতে সীমাবদ্ধ করা উচিত। RADIUS পোর্টে কোনো সরাসরি ইন্টারনেট অ্যাক্সেস থাকা উচিত নয়।
রিডান্ডেন্সি এবং হাই অ্যাভেইলেবিলিটি। একটি একক RADIUS সার্ভার হলো আপনার সম্পূর্ণ নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল ইনফ্রাস্ট্রাকচারের জন্য একটি সিঙ্গেল পয়েন্ট অফ ফেইলিওর। অ্যাক্টিভ-প্যাসিভ বা অ্যাক্টিভ-অ্যাক্টিভ কনফিগারেশনে ন্যূনতম দুটি RADIUS সার্ভার ডিপ্লয় করুন। 24/7 গেস্ট কানেক্টিভিটির প্রয়োজনীয়তা থাকা হসপিটালিটি ডিপ্লয়মেন্টের জন্য, RADIUS সার্ভারের ডাউনটাইম সরাসরি গেস্ট WiFi ডাউনটাইমের সমতুল্য — যা একটি রেপুটেশনাল এবং কমার্শিয়াল ঝুঁকি।
WPA3 এবং 802.1X। WPA3-Enterprise সরকারি এবং উচ্চ-নিরাপত্তা ডিপ্লয়মেন্টের জন্য 192-বিট সিকিউরিটি মোড ব্যবহার বাধ্যতামূলক করে, যার জন্য ডেটা এনক্রিপশনের জন্য AES-256-GCMP এবং অথেনটিকেশনের জন্য HMAC-SHA-384 প্রয়োজন। বেশিরভাগ এন্টারপ্রাইজ ডিপ্লয়মেন্টের জন্য, স্ট্যান্ডার্ড 128-বিট সিকিউরিটি সহ WPA3-Enterprise হলো WPA2-Enterprise-এর তুলনায় একটি উল্লেখযোগ্য উন্নতি, বিশেষ করে EAP-TLS-এর সাথে একত্রে। কার্ড পেমেন্ট প্রসেস করা রিটেইল পরিবেশগুলোর WPA3-Enterprise গ্রহণকে PCI DSS ঝুঁকি কমানোর ব্যবস্থা হিসেবে বিবেচনা করা উচিত।
ভেন্ডর প্যাচ ক্যাডেন্স। আপনার RADIUS সার্ভার ভেন্ডর এবং আপনার NAS ডিভাইস ভেন্ডরদের সিকিউরিটি অ্যাডভাইজরি সাবস্ক্রাইব করুন। FreeRADIUS, Cisco, Microsoft, Aruba এবং Ruckus সবাই CVE নোটিফিকেশন প্রকাশ করে। একটি সংজ্ঞায়িত SLA সহ এগুলোকে আপনার ভালনারেবিলিটি ম্যানেজমেন্ট প্রোগ্রামে একীভূত করুন: ক্রিটিক্যাল দুর্বলতাগুলো (CVSS ≥ 9.0) ৭২ ঘণ্টার মধ্যে প্যাচ করতে হবে; উচ্চ দুর্বলতাগুলো (CVSS 7.0–8.9) ১৪ দিনের মধ্যে।
ট্রাবলশুটিং এবং ঝুঁকি প্রশমন
সাধারণ ব্যর্থতার ধরন
প্যাচ-পরবর্তী অথেনটিকেশন ব্যর্থতা। BlastRADIUS প্যাচ প্রয়োগ করার পরে, কিছু NAS ডিভাইস অথেনটিকেট করতে ব্যর্থ হতে পারে যদি তাদের ফার্মওয়্যার Message-Authenticator সমর্থন না করে। লক্ষণ: ব্যবহারকারীর ক্রেডেনশিয়ালে কোনো পরিবর্তন ছাড়াই Access-Reject রেসপন্স হঠাৎ বৃদ্ধি। ডায়াগনোসিস: RADIUS ডিবাগ লগিং এনাবল করুন এবং "Message-Authenticator required but not present" এরর চেক করুন। সমাধান: NAS ফার্মওয়্যার আপডেট করুন বা, একটি অস্থায়ী ব্যবস্থা হিসেবে, ফার্মওয়্যার আপডেট শিডিউল করা থাকাকালীন নির্দিষ্ট NAS IP থেকে Message-Authenticator ছাড়াই রিকোয়েস্ট গ্রহণ করার জন্য RADIUS সার্ভার কনফিগার করুন।
EAP-TLS-এ সার্টিফিকেট ভ্যালিডেশন ব্যর্থতা। লক্ষণ: ক্লায়েন্টরা RADIUS লগে কোনো সংশ্লিষ্ট Access-Reject ছাড়াই "Authentication Failed" মেসেজ পায়। ডায়াগনোসিস: RADIUS সার্ভারের সার্টিফিকেট চেইন চেক করুন — ইস্যুকারী CA কি ক্লায়েন্টের সাপ্লিক্যান্ট দ্বারা ট্রাস্টেড? সার্ভার সার্টিফিকেট কি তার ভ্যালিডিটি পিরিয়ডের মধ্যে আছে? সমাধান: নিশ্চিত করুন যে সম্পূর্ণ সার্টিফিকেট চেইন (লিফ + ইন্টারমিডিয়েট + রুট) RADIUS সার্ভারে কনফিগার করা আছে। MDM বা গ্রুপ পলিসির মাধ্যমে ক্লায়েন্ট ডিভাইসে রুট CA সার্টিফিকেট পুশ করুন।
RadSec TLS হ্যান্ডশেক ব্যর্থতা। লক্ষণ: কনফিগারেশন পরিবর্তনের পরে NAS ডিভাইসগুলো RadSec কানেকশন স্থাপন করতে ব্যর্থ হয়। ডায়াগনোসিস: TLS ভার্সন কম্প্যাটিবিলিটি চেক করুন — পুরোনো NAS ফার্মওয়্যার TLS 1.2 সমর্থন নাও করতে পারে। মিউচুয়াল সার্টিফিকেট অথেনটিকেশন চেক করুন — উভয় প্রান্তকে অবশ্যই একে অপরের CA-কে ট্রাস্ট করতে হবে। সমাধান: NAS ফার্মওয়্যার রিলিজ নোটে TLS ভার্সন সাপোর্ট যাচাই করুন; নিশ্চিত করুন যে NAS ডিভাইস সার্টিফিকেটগুলো RADIUS সার্ভার দ্বারা ট্রাস্টেড একই CA দ্বারা ইস্যু করা হয়েছে।
শেয়ার্ড সিক্রেট মিসম্যাচ। লক্ষণ: একটি নির্দিষ্ট NAS থেকে সমস্ত অথেনটিকেশন "Invalid authenticator" এরর সহ ব্যর্থ হয়। ডায়াগনোসিস: NAS কনফিগারেশন এবং RADIUS সার্ভার ক্লায়েন্ট এন্ট্রির মধ্যে শেয়ার্ড সিক্রেট মিসম্যাচ। সমাধান: উভয় দিকে শেয়ার্ড সিক্রেট পুনরায় এন্টার করুন, নিশ্চিত করুন যে কোনো ট্রেইলিং স্পেস বা ক্যারেক্টার এনকোডিং সমস্যা নেই। ট্রান্সক্রিপশন এরর এড়াতে একটি সিক্রেটস ম্যানেজার থেকে কপি-পেস্ট ব্যবহার করুন।
রিস্ক রেজিস্টার
| ঝুঁকি | সম্ভাবনা | প্রভাব | প্রশমন কন্ট্রোল |
|---|---|---|---|
| BlastRADIUS এক্সপ্লয়টেশন | উচ্চ (আনপ্যাচড) | ক্রিটিক্যাল | প্যাচ + Message-Authenticator এনফোর্সমেন্ট |
| শেয়ার্ড সিক্রেট ব্রুট-ফোর্স | মাঝারি | উচ্চ | ৩২-ক্যারেক্টারের র্যান্ডম সিক্রেট, বার্ষিক রোটেশন |
| রোগ (Rogue) RADIUS সার্ভার | মাঝারি | উচ্চ | EAP-TLS মিউচুয়াল অথেনটিকেশন, সার্টিফিকেট পিনিং |
| RADIUS সার্ভার সার্টিফিকেটের মেয়াদ শেষ | উচ্চ | ক্রিটিক্যাল | অটোমেটেড মনিটরিং, ৯০-দিনের অ্যালার্ট |
| 802.1X-এর মাধ্যমে ক্রেডেনশিয়াল স্টাফিং | মাঝারি | উচ্চ | অ্যাকাউন্ট লকআউট পলিসি, SIEM অ্যালার্টিং |
| RADIUS সার্ভার কম্প্রোমাইজ | নিম্ন | ক্রিটিক্যাল | অ্যাডমিন অ্যাক্সেসের জন্য MFA, নেটওয়ার্ক সেগমেন্টেশন |
ROI এবং ব্যবসায়িক প্রভাব
ঝুঁকি পরিমাপ করা
ব্রিচ খরচের বিপরীতে বিবেচনা করলে RADIUS হার্ডেনিংয়ের আর্থিক যুক্তিটি সোজা। ২০২৪ সালে যুক্তরাজ্যে ডেটা ব্রিচের গড় খরচ ছিল ৩.৫৮ মিলিয়ন পাউন্ড, যার মধ্যে রেগুলেটরি জরিমানা, প্রতিকার, আইনি খরচ এবং রেপুটেশনাল ড্যামেজ অন্তর্ভুক্ত। PCI DSS স্কোপে থাকা সংস্থাগুলোর জন্য — যার মধ্যে WiFi-এর মাধ্যমে কার্ড পেমেন্ট প্রসেস করা প্রায় প্রতিটি রিটেইল এবং হসপিটালিটি অপারেটর অন্তর্ভুক্ত — একটি নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল ব্রিচ যা কার্ডহোল্ডার ডেটা এক্সপোজ করে তা বাধ্যতামূলক ফরেনসিক তদন্ত, সম্ভাব্য কার্ড স্কিম জরিমানা এবং কার্ড প্রসেসিং প্রিভিলেজ স্থগিত করার কারণ হতে পারে।
হেলথকেয়ার সংস্থাগুলোর জন্য, একটি আপোসকৃত RADIUS সার্ভারের মাধ্যমে অ্যাক্সেস করা রোগীর ডেটা জড়িত একটি GDPR লঙ্ঘনের ক্ষেত্রে আর্টিকেল 83(5)-এর অধীনে গ্লোবাল বার্ষিক টার্নওভারের ৪% পর্যন্ত জরিমানা হতে পারে। ICO-এর এনফোর্সমেন্ট রেকর্ড প্রমাণ করে যে নেটওয়ার্ক সিকিউরিটি ব্যর্থতাকে প্রযুক্তিগত দুর্ঘটনা নয়, বরং অবহেলা হিসেবে বিবেচনা করা হয়।
ইমপ্লিমেন্টেশন খরচের বেঞ্চমার্ক
নিচের খরচের অনুমানগুলো একটি ৫০০-ডিভাইসের এন্টারপ্রাইজ এস্টেটের জন্য নির্দেশক:
| হার্ডেনিং অ্যাক্টিভিটি | আনুমানিক খরচ | সময়সীমা |
|---|---|---|
| প্যাচিং (FreeRADIUS / NPS / ISE) | শুধুমাত্র অভ্যন্তরীণ শ্রম | ১–২ সপ্তাহ |
| শেয়ার্ড সিক্রেট অডিট এবং রোটেশন | অভ্যন্তরীণ শ্রম + সিক্রেটস ম্যানেজার লাইসেন্স (~£২,০০০/বছর) | ২–৪ সপ্তাহ |
| EAP-TLS PKI ডিপ্লয়মেন্ট | £১৫,০০০–£৩০,০০০ (টুলিং + প্রফেশনাল সার্ভিসেস) | ২–৩ মাস |
| RadSec ইমপ্লিমেন্টেশন | অভ্যন্তরীণ শ্রম + সার্টিফিকেট খরচ (~£১,৫০০) | ৪–৬ সপ্তাহ |
| SIEM ইন্টিগ্রেশন এবং অ্যালার্টিং | বিদ্যমান SIEM-এর ওপর নির্ভরশীল; £০–£১০,০০০ | ৪–৮ সপ্তাহ |
একটি মাঝারি আকারের এস্টেটের জন্য মোট হার্ডেনিং বিনিয়োগ: প্রায় £২০,০০০–£৪৫,০০০। ৩.৫৮ মিলিয়ন পাউন্ডের ব্রিচ খরচের বেসলাইনের বিপরীতে, কম ব্রিচ সম্ভাবনার অনুমানেও ঝুঁকি-সমন্বিত ROI অত্যন্ত আকর্ষণীয়।
নিরাপত্তার বাইরে অপারেশনাল সুবিধা
একটি হার্ডেনড RADIUS ইনফ্রাস্ট্রাকচার অপারেশনাল সুবিধাও প্রদান করে। নির্ভরযোগ্য, ভালোভাবে মনিটর করা অথেনটিকেশন WiFi কানেক্টিভিটি সম্পর্কিত হেল্পডেস্ক টিকিট কমায়। RADIUS অ্যাকাউন্টিং ডেটা, যখন WiFi অ্যানালিটিক্স -এর সাথে একীভূত করা হয়, তখন নেটওয়ার্ক ব্যবহারের প্যাটার্ন, ডুয়েল টাইম এবং ডিভাইসের ধরন সম্পর্কে সেশন-লেভেল ভিজিবিলিটি প্রদান করে — যে ডেটার হসপিটালিটি এবং ট্রান্সপোর্ট পরিবেশে ভেন্যু অপারেটরদের জন্য সরাসরি বাণিজ্যিক মূল্য রয়েছে।
পাবলিক-সেক্টর এবং হেলথকেয়ার সংস্থাগুলোর জন্য, একটি ডকুমেন্টেড RADIUS হার্ডেনিং প্রোগ্রাম Cyber Essentials Plus, ISO 27001 এবং NHS DSPT অ্যাসেসমেন্টের জন্য টেকনিক্যাল কন্ট্রোলের প্রমাণ প্রদান করে — যা অডিট ওভারহেড কমায় এবং রেগুলেটরদের কাছে ডিউ ডিলিজেন্স প্রদর্শন করে।
মূল সংজ্ঞাসমূহ
RADIUS (Remote Authentication Dial-In User Service)
RFC 2865-এ সংজ্ঞায়িত একটি ক্লায়েন্ট-সার্ভার প্রোটোকল যা নেটওয়ার্ক অ্যাক্সেসের জন্য সেন্ট্রালাইজড অথেনটিকেশন, অথরাইজেশন এবং অ্যাকাউন্টিং (AAA) প্রদান করে। RADIUS সার্ভারগুলো Active Directory বা LDAP-এর মতো ব্যাকএন্ড আইডেন্টিটি স্টোরের বিপরীতে নেটওয়ার্ক ডিভাইস (NAS) দ্বারা সাবমিট করা ক্রেডেনশিয়াল যাচাই করে।
আইটি টিমগুলো 802.1X WiFi, ওয়্যার্ড পোর্ট অথেনটিকেশন, VPN অ্যাক্সেস এবং নেটওয়ার্ক ডিভাইস ম্যানেজমেন্টের জন্য অথেনটিকেশন ব্যাকএন্ড হিসেবে RADIUS-এর সম্মুখীন হয়। এটি সেই প্রোটোকল যা সিদ্ধান্ত নেয় কে নেটওয়ার্কে প্রবেশ করবে।
IEEE 802.1X
পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস কন্ট্রোলের জন্য একটি IEEE স্ট্যান্ডার্ড যা LAN-এর ওপর EAP-এর এনক্যাপসুলেশন (EAPOL) সংজ্ঞায়িত করে। এটি ওয়্যার্ড এবং ওয়্যারলেস উভয় নেটওয়ার্কের জন্য একটি অথেনটিকেশন ফ্রেমওয়ার্ক প্রদান করে, যেখানে নেটওয়ার্ক অ্যাক্সেস দেওয়ার আগে ডিভাইসগুলোকে অথেনটিকেট করতে হয়।
802.1X হলো সেই স্ট্যান্ডার্ড যা এন্টারপ্রাইজ WiFi অথেনটিকেশনকে কাজ করতে সাহায্য করে। যখন কোনো স্টাফ মেম্বার একটি কর্পোরেট SSID-এর সাথে কানেক্ট করে এবং ক্রেডেনশিয়ালের জন্য প্রম্পট করা হয়, তখন 802.1X হলো সেই ফ্রেমওয়ার্ক যা ব্যাকএন্ড হিসেবে RADIUS-এর সাথে সেই এক্সচেঞ্জটি অর্কেস্ট্রেট করে।
EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)
একটি EAP মেথড যা ক্লায়েন্ট এবং RADIUS সার্ভারের মধ্যে মিউচুয়াল অথেনটিকেশনের জন্য X.509 সার্টিফিকেট ব্যবহার করে। উভয় পক্ষকেই অবশ্যই ভ্যালিড সার্টিফিকেট উপস্থাপন করতে হবে, যা অথেনটিকেশন এক্সচেঞ্জ থেকে পাসওয়ার্ডের প্রয়োজনীয়তা সম্পূর্ণভাবে দূর করে।
EAP-TLS হলো এন্টারপ্রাইজ WiFi অথেনটিকেশনের জন্য গোল্ড স্ট্যান্ডার্ড। এটি ক্রেডেনশিয়াল ফিশিং এবং ব্রুট-ফোর্স আক্রমণের বিরুদ্ধে ইমিউন। এর অপারেশনাল রিকোয়ারমেন্ট হলো ক্লায়েন্ট সার্টিফিকেট ইস্যু এবং ম্যানেজ করার জন্য একটি PKI ইনফ্রাস্ট্রাকচার।
RadSec (RADIUS over TLS)
RFC 6614-এ সংজ্ঞায়িত একটি প্রোটোকল যা TCP পোর্ট 2083-এর ওপর একটি TLS সেশনের মধ্যে RADIUS প্যাকেটগুলোকে এনক্যাপসুলেট করে। এটি RADIUS ট্রাফিকের জন্য ট্রান্সপোর্ট-লেয়ার এনক্রিপশন, মিউচুয়াল সার্টিফিকেট অথেনটিকেশন এবং রিপ্লে সুরক্ষা প্রদান করে।
আনট্রাস্টেড নেটওয়ার্ক বাউন্ডারি — WAN লিংক, ইন্টারনেট কানেকশন বা শেয়ার্ড নেটওয়ার্ক ইনফ্রাস্ট্রাকচার অতিক্রম করে এমন যেকোনো RADIUS ট্রাফিকের জন্য RadSec প্রয়োজন। মাল্টি-সাইট ডিপ্লয়মেন্টে UDP-এর ওপর স্ট্যান্ডার্ড RADIUS-এর সঠিক রিপ্লেসমেন্ট হলো এটি।
BlastRADIUS (CVE-2024-3596)
জুলাই ২০২৪-এ প্রকাশিত একটি ম্যান-ইন-দ্য-মিডল আক্রমণ যা RADIUS Access-Request প্যাকেটে ইন্টিগ্রিটি সুরক্ষার অভাবকে কাজে লাগায়। MD5 চোজেন-প্রিফিক্স কলিশন টেকনিক ব্যবহার করে, একজন অ্যাটাকার একটি Access-Accept রেসপন্স জাল করতে পারে, যা একজন আনঅথেনটিকেটেড ব্যবহারকারীকে নেটওয়ার্ক অ্যাক্সেস প্রদান করে।
BlastRADIUS FreeRADIUS, Cisco ISE এবং Microsoft NPS সহ সমস্ত প্রধান RADIUS ইমপ্লিমেন্টেশনকে প্রভাবিত করে। যে সংস্থাগুলো জুলাই ২০২৪-এ রিলিজ হওয়া প্যাচগুলো প্রয়োগ করেনি তারা এই আক্রমণের ঝুঁকিতে রয়েছে।
Message-Authenticator
একটি RADIUS অ্যাট্রিবিউট (অ্যাট্রিবিউট 80) যা সম্পূর্ণ RADIUS প্যাকেটের ওপর HMAC-MD5 ইন্টিগ্রিটি সুরক্ষা প্রদান করে। যখন এটি একটি Access-Request-এ উপস্থিত থাকে, তখন এটি BlastRADIUS-এ ব্যবহৃত প্যাকেট মডিফিকেশন আক্রমণ প্রতিরোধ করে।
সমস্ত Access-Request প্যাকেটে Message-Authenticator এনফোর্স করা হলো BlastRADIUS-এর প্রাথমিক প্রতিকার। এটি অবশ্যই RADIUS সার্ভার (অ্যাট্রিবিউট রিকোয়ার করার জন্য) এবং NAS ডিভাইস (রিকোয়েস্টে অ্যাট্রিবিউট অন্তর্ভুক্ত করার জন্য) উভয়তেই কনফিগার করতে হবে।
NAS (Network Access Server)
RADIUS পরিভাষায়, NAS হলো সেই নেটওয়ার্ক ডিভাইস — সাধারণত একটি WiFi অ্যাক্সেস পয়েন্ট, সুইচ বা VPN কনসেন্ট্রেটর — যা RADIUS ক্লায়েন্ট হিসেবে কাজ করে। এটি এন্ড ডিভাইসগুলো থেকে কানেকশন রিকোয়েস্ট ইন্টারসেপ্ট করে এবং RADIUS সার্ভারে অথেনটিকেশন রিকোয়েস্ট ফরোয়ার্ড করে।
NAS ডিভাইসগুলো হলো একটি ডিপ্লয়মেন্টে RADIUS ক্লায়েন্ট। শেয়ার্ড সিক্রেটগুলো প্রতি-NAS কনফিগার করা হয়। BlastRADIUS প্রতিকারের জন্য RADIUS সার্ভারে প্যাচের পাশাপাশি NAS ডিভাইসগুলোতে ফার্মওয়্যার আপডেট প্রয়োজন।
PEAP (Protected Extensible Authentication Protocol)
একটি EAP মেথড যা ইনার অথেনটিকেশন মেথড (সাধারণত MSCHAPv2) ট্রান্সমিট করার আগে একটি সার্ভার-সাইড সার্টিফিকেট ব্যবহার করে একটি TLS টানেল স্থাপন করে। এটি মিউচুয়াল অথেনটিকেশন প্রদান করে এবং ক্রেডেনশিয়ালগুলোকে ইভসড্রপিং থেকে রক্ষা করে।
PEAP-MSCHAPv2 হলো সবচেয়ে ব্যাপকভাবে ডিপ্লয় করা এন্টারপ্রাইজ WiFi অথেনটিকেশন মেথড। এটি PCI DSS কমপ্লায়েন্ট এবং EAP-TLS-এর চেয়ে অপারেশনালি সহজ কারণ এর জন্য ক্লায়েন্ট সার্টিফিকেটের প্রয়োজন হয় না। তবে, ক্লায়েন্ট-সাইড সার্টিফিকেট ভ্যালিডেশন এনফোর্স করা না হলে এটি রোগ (rogue) RADIUS সার্ভার আক্রমণের জন্য ঝুঁকিপূর্ণ।
Shared Secret
RADIUS সার্ভার এবং প্রতিটি NAS ডিভাইস উভয়তেই কনফিগার করা একটি প্রি-শেয়ার্ড কী। এটি Response Authenticator ফিল্ড তৈরি করতে এবং User-Password অ্যাট্রিবিউটকে অস্পষ্ট করতে ব্যবহৃত হয়। এটি এন্ড ইউজারদের জন্য কোনো পাসওয়ার্ড নয় — এটি একটি সার্ভার-টু-সার্ভার অথেনটিকেশন ক্রেডেনশিয়াল।
দুর্বল বা স্ট্যাটিক শেয়ার্ড সিক্রেট হলো সবচেয়ে সাধারণ RADIUS দুর্বলতাগুলোর মধ্যে একটি। যে অ্যাটাকার RADIUS ট্রাফিক ক্যাপচার করে সে একটি দুর্বল শেয়ার্ড সিক্রেটের বিরুদ্ধে অফলাইন ব্রুট-ফোর্স আক্রমণ চালাতে পারে। ন্যূনতম প্রস্তাবিত দৈর্ঘ্য হলো ৩২ ক্যারেক্টার, র্যান্ডমলি জেনারেট করা।
PCI DSS (Payment Card Industry Data Security Standard)
কার্ডহোল্ডার ডেটা প্রসেস, স্টোর বা ট্রান্সমিট করে এমন সংস্থাগুলোর জন্য প্রধান কার্ড স্কিমগুলো (Visa, Mastercard, Amex) দ্বারা বাধ্যতামূলক সিকিউরিটি স্ট্যান্ডার্ডের একটি সেট। ভার্সন 4.0, যা মার্চ ২০২৪ থেকে কার্যকর, এতে নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল এবং স্ট্রং অথেনটিকেশনের জন্য নির্দিষ্ট প্রয়োজনীয়তা অন্তর্ভুক্ত রয়েছে।
WiFi-কানেক্টেড POS টার্মিনাল থাকা রিটেইল এবং হসপিটালিটি সংস্থাগুলো PCI DSS স্কোপে রয়েছে। RADIUS সার্ভারের দুর্বলতা যা কার্ডহোল্ডার ডেটা এনভায়রনমেন্টে অননুমোদিত নেটওয়ার্ক অ্যাক্সেসের অনুমতি দিতে পারে তা একটি সরাসরি কমপ্লায়েন্স ঝুঁকি।
সমাধানকৃত উদাহরণসমূহ
১২টি প্রপার্টি সহ একটি ৩৫০-রুমের হোটেল গ্রুপ তাদের হেড অফিস ডেটা সেন্টারে হোস্ট করা একটি সেন্ট্রালাইজড RADIUS সার্ভার ব্যবহার করে। প্রতিটি প্রপার্টি একটি শেয়ার্ড MPLS WAN-এর মাধ্যমে কানেক্ট করে। একটি সিকিউরিটি অডিটে ফ্ল্যাগ করা হয়েছে যে WAN-এর ওপর RADIUS ট্রাফিক আনএনক্রিপ্টেড, শেয়ার্ড সিক্রেটগুলো হলো পাঁচ বছর আগে প্রাথমিক ডিপ্লয়মেন্টের সময় সেট করা ৮-ক্যারেক্টারের স্ট্রিং এবং RADIUS সার্ভারটি FreeRADIUS 3.0.21 চালাচ্ছে। গ্রুপটি তাদের রেস্তোরাঁ এবং স্পা সুবিধাগুলোতে WiFi-কানেক্টেড POS টার্মিনালের মাধ্যমে কার্ড পেমেন্ট প্রসেস করে। প্রতিকারের অগ্রাধিকার এবং বাস্তবায়নের ক্রম কী হওয়া উচিত?
প্রতিকারের ক্রমটি ঝুঁকি এবং বাস্তবায়নের গতির ওপর ভিত্তি করে হওয়া উচিত। ধাপ ১ (তাৎক্ষণিক, ৭২ ঘণ্টার মধ্যে): FreeRADIUS-কে 3.2.5 বা 3.0.27-এ প্যাচ করুন। এটি BlastRADIUS-এর সমাধান করে এবং ডিফল্টভাবে Message-Authenticator এনফোর্স করে। একই সাথে, সমস্ত ১২টি প্রপার্টি জুড়ে অ্যাক্সেস পয়েন্ট ফার্মওয়্যার ভার্সন চেক করুন এবং Message-Authenticator সমর্থন করে না এমন যেকোনো NAS ডিভাইসের জন্য ফার্মওয়্যার আপডেট শিডিউল করুন। ধাপ ২ (সপ্তাহ ১–২): সমস্ত শেয়ার্ড সিক্রেট রোটেট করুন। ১২টি প্রপার্টি NAS রেজিস্ট্রেশনের প্রতিটির জন্য openssl rand -base64 32 ব্যবহার করে ৩২-ক্যারেক্টারের র্যান্ডম সিক্রেট তৈরি করুন। HashiCorp Vault বা সমতুল্য সিস্টেমে স্টোর করুন। রোটেশনের তারিখ ডকুমেন্ট করুন। ধাপ ৩ (মাস ১–২): WAN পাথে RadSec বাস্তবায়ন করুন। TCP 2083-এ RadSec কানেকশন গ্রহণ করার জন্য FreeRADIUS সার্ভার কনফিগার করুন। একটি ইন্টারনাল CA থেকে প্রতিটি প্রপার্টির NAS ডিভাইসে TLS সার্টিফিকেট ইস্যু করুন। প্রপার্টি NAS IP রেঞ্জ থেকে RADIUS সার্ভারে TCP 2083 পারমিট করার জন্য ফায়ারওয়াল রুল আপডেট করুন। RadSec অপারেশনাল নিশ্চিত হওয়ার পরে WAN-ফেসিং ইন্টারফেসগুলো থেকে UDP 1812/1813 ডিজেবল করুন। ধাপ ৪ (মাস ২–৩): PCI DSS-স্কোপড POS WiFi SSID-এর জন্য, PEAP-MSCHAPv2 থেকে EAP-TLS-এ মাইগ্রেট করুন। একটি ইন্টারনাল PKI (Microsoft ADCS বা HashiCorp Vault PKI ইঞ্জিন) ডিপ্লয় করুন। MDM-এর মাধ্যমে POS টার্মিনালগুলোতে ক্লায়েন্ট সার্টিফিকেট ইস্যু করুন। POS SSID-এর জন্য EAP-TLS বাধ্যতামূলক করতে RADIUS পলিসি আপডেট করুন। ধাপ ৫ (মাস ৩): SIEM-এ RADIUS অ্যাকাউন্টিং লগ একীভূত করুন। ফেইলড অথেনটিকেশন স্পাইক এবং সার্টিফিকেটের মেয়াদ শেষ হওয়ার জন্য অ্যালার্ট কনফিগার করুন।
৪৫টি স্টোর সহ একটি আঞ্চলিক রিটেইল চেইন স্টাফ WiFi-এর জন্য WPA2-Personal (প্রি-শেয়ার্ড কী) এবং কাস্টমার WiFi-এর জন্য একটি ওপেন নেটওয়ার্ক ব্যবহার করে। আইটি ডিরেক্টর Active Directory-এর সাথে একীভূত RADIUS সার্ভার হিসেবে Microsoft NPS ব্যবহার করে স্টাফ WiFi-কে 802.1X অথেনটিকেশনে মাইগ্রেট করতে চান। স্টোরগুলোতে Aruba এবং Cisco অ্যাক্সেস পয়েন্টের মিশ্রণ রয়েছে। চেইনটি PCI DSS স্কোপে রয়েছে। তাদের কোন আর্কিটেকচার ডিপ্লয় করা উচিত এবং মূল কনফিগারেশন সিদ্ধান্তগুলো কী কী?
প্রস্তাবিত আর্কিটেকচার হলো প্রাথমিক EAP মেথড হিসেবে PEAP-MSCHAPv2 সহ 802.1X, সাথে EAP-TLS-এর একটি ডকুমেন্টেড রোডম্যাপ। NPS সার্ভারটি সেন্ট্রাল ডেটা সেন্টারে একটি রিডান্ড্যান্ট পেয়ার (প্রাইমারি + সেকেন্ডারি) হিসেবে ডিপ্লয় করা উচিত, যাতে স্বয়ংক্রিয়ভাবে ফেইলওভার করার জন্য অ্যাক্সেস পয়েন্টগুলোতে RADIUS প্রক্সি কনফিগারেশন থাকে। কনফিগারেশন সিদ্ধান্ত: (১) NPS নেটওয়ার্ক পলিসি: PEAP-MSCHAPv2 সহ স্টাফ SSID-এর সাথে ম্যাচ করে এমন একটি পলিসি তৈরি করুন, যার জন্য একটি AD সিকিউরিটি গ্রুপে (যেমন, 'WiFi-Staff-Access') গ্রুপ মেম্বারশিপ প্রয়োজন। রি-অথেনটিকেশন ফোর্স করতে সেশন টাইমআউট ৮ ঘণ্টায় সেট করুন। (২) সার্টিফিকেট: একটি ইন্টারনাল Microsoft ADCS CA থেকে একটি NPS সার্ভার সার্টিফিকেট ডিপ্লয় করুন। গ্রুপ পলিসি (Windows) এবং MDM (iOS/Android)-এর মাধ্যমে সমস্ত স্টাফ ডিভাইসে রুট CA সার্টিফিকেট পুশ করুন। (৩) সাপ্লিক্যান্ট কনফিগারেশন: গ্রুপ পলিসির (Computer Configuration > Windows Settings > Security Settings > Wireless Network Policies) মাধ্যমে Windows ডিভাইসগুলো কনফিগার করুন। iOS এবং Android ডিভাইসের জন্য, একটি MDM প্রোফাইল ব্যবহার করুন। সার্ভার সার্টিফিকেট ভ্যালিডেশন এনফোর্স করুন — ব্যবহারকারীদের যেকোনো আরবিট্রারি সার্টিফিকেট গ্রহণ করার অনুমতি দেবেন না। (৪) অ্যাক্সেস পয়েন্ট কনফিগারেশন: Aruba-তে, Authentication > Servers-এর অধীনে RADIUS সার্ভার কনফিগার করুন। শেয়ার্ড সিক্রেটটি একটি ৩২-ক্যারেক্টারের র্যান্ডম স্ট্রিংয়ে সেট করুন। Aruba ফার্মওয়্যার সমর্থন করলে (AOS 8.9+) RadSec এনাবল করুন। Cisco-তে, Security > AAA > RADIUS-এর অধীনে কনফিগার করুন। (৫) NPS লগিং: একটি SQL Server ডেটাবেসে NPS অ্যাকাউন্টিং লগিং এনাবল করুন। PCI DSS কমপ্লায়েন্সের জন্য ন্যূনতম ৯০ দিনের লগ রিটেনশন পিরিয়ড কনফিগার করুন। (৬) মাইগ্রেশন-পরবর্তী: স্টাফ SSID-এ WPA2-Personal ডিজেবল করুন। এটি কেবল একটি ব্রেক-গ্লাস SSID হিসেবে রাখুন যার একটি কমপ্লেক্স PSK সিক্রেটস ম্যানেজারে স্টোর করা থাকবে, যা শুধুমাত্র NPS আনঅ্যাভেইলেবল থাকলেই ব্যবহার করা হবে।
অনুশীলনী প্রশ্নসমূহ
Q1. আপনার সংস্থা একটি সিঙ্গেল-সাইট ক্যাম্পাস জুড়ে ৮০০ স্টাফ ডিভাইসের জন্য 802.1X অথেনটিকেশন সমর্থনকারী একটি FreeRADIUS 3.0.21 সার্ভার চালায়। RADIUS সার্ভারটি সমস্ত অ্যাক্সেস পয়েন্টের মতো একই ম্যানেজমেন্ট VLAN-এ রয়েছে। একটি পেনিট্রেশন টেস্টে শনাক্ত করা হয়েছে যে অ্যাক্সেস পয়েন্টগুলো Message-Authenticator অ্যাট্রিবিউট ছাড়াই Access-Request প্যাকেট পাঠাচ্ছে। সিকিউরিটি টিম অবিলম্বে Message-Authenticator এনফোর্স করতে চায়, কিন্তু নেটওয়ার্ক অপারেশন টিম ৮০০ ব্যবহারকারীর জন্য অথেনটিকেশন ব্রেক হওয়ার বিষয়ে উদ্বিগ্ন। সার্ভিস ডিসরাপশন কমানোর জন্য আপনি কীভাবে প্রতিকারের ক্রম নির্ধারণ করবেন?
ইঙ্গিত: RADIUS সার্ভারের Message-Authenticator রিকোয়ার করা বনাম NAS ডিভাইসগুলোর এটি পাঠানোর মধ্যে পার্থক্য বিবেচনা করুন। এগুলো ভিন্ন রিস্ক প্রোফাইল সহ দুটি আলাদা কনফিগারেশন পরিবর্তন।
মডেল উত্তর দেখুন
সঠিক ক্রমটি হলো: (১) প্রথমে, FreeRADIUS-কে 3.2.5-এ প্যাচ করুন। এই ভার্সনটি ডিফল্টভাবে Message-Authenticator এনফোর্স করে কিন্তু এতে একটি কম্প্যাটিবিলিটি মোড রয়েছে যা অ্যাট্রিবিউট নেই এমন প্যাকেট রিজেক্ট করার পরিবর্তে একটি ওয়ার্নিং লগ করে। এটি আপনাকে অবিলম্বে অথেনটিকেশন ব্রেক না করেই প্যাচটি প্রদান করে। (২) অ্যাক্সেস পয়েন্ট ফার্মওয়্যার ভার্সন অডিট করুন। কোন মডেল এবং ফার্মওয়্যার ভার্সনগুলো Access-Request প্যাকেটে Message-Authenticator সমর্থন করে তা শনাক্ত করুন। (৩) ৫০টি ডিভাইসের একটি পাইলট গ্রুপ দিয়ে শুরু করে ব্যাচে অ্যাক্সেস পয়েন্ট ফার্মওয়্যার আপডেট করুন। প্রতিটি ব্যাচের পরে অথেনটিকেশন কাজ চালিয়ে যাচ্ছে কিনা তা যাচাই করুন। (৪) একবার সমস্ত অ্যাক্সেস পয়েন্ট Message-Authenticator পাঠাচ্ছে বলে নিশ্চিত হওয়ার পরে, FreeRADIUS সার্ভারে স্ট্রিক্ট এনফোর্সমেন্ট এনাবল করুন (clients.conf-এ require_message_authenticator = yes)। (৫) কোনো অবশিষ্ট 'Message-Authenticator missing' ওয়ার্নিংয়ের জন্য RADIUS লগ মনিটর করুন, যা ফার্মওয়্যার আপডেট মিস করা NAS ডিভাইসগুলোকে নির্দেশ করবে। মূল নীতিটি হলো যে আপনি কোনো কিছু ব্রেক না করেই প্রথমে সার্ভার প্যাচ করতে পারেন, কারণ কম্প্যাটিবিলিটি মোড একটি ট্রানজিশন পিরিয়ডের অনুমতি দেয়। সার্ভারে স্ট্রিক্ট রিজেকশন এনফোর্স করা শেষ ধাপ হওয়া উচিত, সমস্ত NAS ডিভাইস আপডেট হওয়ার পরে।
Q2. একজন কনফারেন্স সেন্টার অপারেটর কর্পোরেট স্টাফ SSID (PEAP-MSCHAPv2 সহ 802.1X) এবং ইভেন্ট গেস্ট WiFi (MAC অথেনটিকেশন বাইপাস সহ Captive Portal) উভয়কেই সমর্থনকারী একটি একক RADIUS সার্ভার চালায়। আইটি ম্যানেজার জানতে চান যে গেস্ট WiFi RADIUS ইনস্ট্যান্সটিকে কর্পোরেট RADIUS ইনস্ট্যান্সের মতো একই স্ট্যান্ডার্ডে হার্ডেন করার প্রয়োজন আছে কিনা, কারণ গেস্টরা কর্পোরেট ক্রেডেনশিয়াল দিয়ে অথেনটিকেট করছে না। আপনার সুপারিশ কী?
ইঙ্গিত: MAC অথেনটিকেশন বাইপাস বনাম EAP-ভিত্তিক অথেনটিকেশনের ক্ষেত্রে প্রযোজ্য অ্যাটাক ভেক্টরগুলো এবং গেস্ট ও কর্পোরেট RADIUS ইনস্ট্যান্সের মধ্যে ল্যাটারাল মুভমেন্টের ঝুঁকি বিবেচনা করুন।
মডেল উত্তর দেখুন
গেস্ট WiFi RADIUS ইনস্ট্যান্সের হার্ডেনিং প্রয়োজন, তবে নির্দিষ্ট কন্ট্রোলগুলো কর্পোরেট ইনস্ট্যান্স থেকে আলাদা। BlastRADIUS প্যাচ সমানভাবে প্রযোজ্য — ক্লায়েন্টদের দ্বারা ব্যবহৃত অথেনটিকেশন মেথড নির্বিশেষে দুর্বলতাটি RADIUS সার্ভারকে প্রভাবিত করে। শেয়ার্ড সিক্রেট হাইজিন সমানভাবে প্রযোজ্য — গেস্ট Captive Portal কন্ট্রোলার এবং RADIUS সার্ভারের মধ্যে একটি দুর্বল শেয়ার্ড সিক্রেট এক্সপ্লয়টেবল, EAP ব্যবহার করা হোক বা না হোক। মূল অতিরিক্ত ঝুঁকি হলো শেয়ার্ড RADIUS সার্ভার: যদি গেস্ট এবং কর্পোরেট SSID অথেনটিকেশন রিকোয়েস্টগুলো একই RADIUS সার্ভার প্রসেস দ্বারা পরিচালিত হয়, তবে গেস্ট RADIUS পাথের একটি দুর্বলতা কর্পোরেট অথেনটিকেশন পলিসিতে পিভট করতে ব্যবহার করা যেতে পারে। প্রস্তাবিত আর্কিটেকচার হলো গেস্ট এবং কর্পোরেট অথেনটিকেশনের জন্য আলাদা RADIUS ইনস্ট্যান্স (বা অন্তত FreeRADIUS-এর মধ্যে আলাদা ভার্চুয়াল সার্ভার) চালানো, যেখানে আলাদা শেয়ার্ড সিক্রেট এবং আলাদা পলিসি সেট থাকবে। এটি এমন আইসোলেশন প্রদান করে যাতে গেস্ট RADIUS পাথের আপোস কর্পোরেট ক্রেডেনশিয়াল এক্সপোজ না করে। বিশেষভাবে গেস্ট ইনস্ট্যান্সের জন্য: BlastRADIUS-এর জন্য প্যাচ করুন, শেয়ার্ড সিক্রেট রোটেট করুন এবং নিশ্চিত করুন যে গেস্ট RADIUS ইনস্ট্যান্সের কর্পোরেট Active Directory-তে কোনো অ্যাক্সেস নেই। Captive Portal ডিপ্লয়মেন্টের জন্য EAP-TLS এবং RadSec রিকোয়ারমেন্টগুলো কম প্রাসঙ্গিক, তবে Captive Portal কন্ট্রোলারটি RADIUS সার্ভার থেকে ভিন্ন নেটওয়ার্ক সেগমেন্টে থাকলে RadSec এখনও বিবেচনা করা উচিত।
Q3. একটি হেলথকেয়ার ট্রাস্ট তাদের ক্লিনিক্যাল WiFi-কে WPA2-Personal থেকে 802.1X অথেনটিকেশনে মাইগ্রেট করার পরিকল্পনা করছে। ট্রাস্টের Windows ল্যাপটপ, iOS ট্যাবলেট এবং Android হ্যান্ডহেল্ড সহ ১,২০০টি ক্লিনিক্যাল ডিভাইস রয়েছে। CISO টার্গেট স্টেট হিসেবে EAP-TLS চান। আইটি ডিরেক্টর PKI ডিপ্লয়মেন্টের জটিলতা নিয়ে উদ্বিগ্ন এবং একটি স্থায়ী সমাধান হিসেবে PEAP-MSCHAPv2 প্রস্তাব করেন। আপনি CISO এবং আইটি ডিরেক্টরকে কীভাবে পরামর্শ দেবেন এবং প্রস্তাবিত ইমপ্লিমেন্টেশন পাথ কী?
ইঙ্গিত: একটি হেলথকেয়ার পরিবেশের জন্য নির্দিষ্ট থ্রেট মডেল বিবেচনা করুন — একটি ক্রেডেনশিয়াল আপোসের পরিণতি কী, এবং EAP-TLS কীভাবে সেই ঝুঁকিগুলোর সমাধান করে যা PEAP-MSCHAPv2 করে না?
মডেল উত্তর দেখুন
CISO-এর প্রবৃত্তি সঠিক, তবে আইটি ডিরেক্টরের উদ্বেগও বৈধ। প্রস্তাবিত পরামর্শ হলো: একটি অন্তর্বর্তীকালীন অবস্থান হিসেবে এখনই PEAP-MSCHAPv2 বাস্তবায়ন করুন, সাথে EAP-TLS-এর জন্য একটি প্রতিশ্রুতিবদ্ধ ১২-মাসের রোডম্যাপ রাখুন। হেলথকেয়ারে স্থায়ী সমাধান হিসেবে PEAP-MSCHAPv2 গ্রহণ না করার যুক্তি হলো: (১) ক্লায়েন্ট-সাইড সার্টিফিকেট ভ্যালিডেশন এনফোর্স করা না হলে PEAP-MSCHAPv2 রোগ (rogue) RADIUS সার্ভার আক্রমণের জন্য ঝুঁকিপূর্ণ। একটি হেলথকেয়ার পরিবেশে যেখানে ক্লিনিক্যাল স্টাফরা ব্যক্তিগত ডিভাইস কানেক্ট করতে পারে, সেখানে ১,২০০টি ডিভাইস জুড়ে ধারাবাহিকভাবে সাপ্লিক্যান্ট কনফিগারেশন এনফোর্স করা অপারেশনালি চ্যালেঞ্জিং। (২) MSCHAPv2 ক্রেডেনশিয়াল, যদি একটি রোগ RADIUS আক্রমণের মাধ্যমে ক্যাপচার করা হয়, তবে hashcat-এর মতো টুল ব্যবহার করে অফলাইনে ক্র্যাক করা যেতে পারে। একটি হেলথকেয়ার কনটেক্সটে, সেই ক্রেডেনশিয়ালগুলো সম্ভবত ক্লিনিক্যাল সিস্টেমেও অ্যাক্সেস প্রদান করে। (৩) NHS DSPT এবং CQC অ্যাসেসমেন্টগুলো ক্লিনিক্যাল নেটওয়ার্ক অ্যাক্সেসের জন্য ক্রমবর্ধমানভাবে স্ট্রং অথেনটিকেশন কন্ট্রোল আশা করে। EAP-TLS একটি শক্তিশালী অডিট এভিডেন্স পজিশন প্রদান করে। ইমপ্লিমেন্টেশন পাথ: মাস ১-২: সমস্ত ১,২০০টি ডিভাইসে MDM প্রোফাইলের মাধ্যমে এনফোর্সড সার্ভার সার্টিফিকেট ভ্যালিডেশন সহ PEAP-MSCHAPv2 ডিপ্লয় করুন। মাস ৩-৬: PKI ইনফ্রাস্ট্রাকচার হিসেবে Microsoft ADCS ডিপ্লয় করুন। গ্রুপ পলিসি অটো-এনরোলমেন্টের মাধ্যমে Windows ডিভাইসগুলো এনরোল করুন। মাস ৬-৯: MDM সার্টিফিকেট প্রোফাইলের মাধ্যমে iOS এবং Android ডিভাইসগুলো এনরোল করুন। মাস ৯-১২: ক্লিনিক্যাল SSID পলিসিকে PEAP থেকে EAP-TLS-এ মাইগ্রেট করুন। এনহ্যান্সড মনিটরিং সহ সার্টিফিকেট এনরোলমেন্টে ব্যর্থ হওয়া যেকোনো ডিভাইসের জন্য ফলব্যাক হিসেবে PEAP ধরে রাখুন। ক্লিনিক্যাল নেটওয়ার্ক সিকিউরিটি আর্কিটেকচার সম্পর্কে আরও জানতে, হাসপাতালে WiFi গাইড প্রাসঙ্গিক ডিপ্লয়মেন্ট কনটেক্সট প্রদান করে।
এই সিরিজে পড়া চালিয়ে যান
এন্টারপ্রাইজ নেটওয়ার্ক কন্ট্রোলারে Captive Portal রিডাইরেকশন কনফিগার করা
এই নির্ভরযোগ্য নির্দেশিকাটি এন্টারপ্রাইজ নেটওয়ার্ক কন্ট্রোলারে Captive Portal রিডাইরেকশন বাস্তবায়নের জন্য প্রয়োজনীয় প্রযুক্তিগত আর্কিটেকচার এবং ভেন্ডর-নির্দিষ্ট কনফিগারেশন ধাপগুলো বিস্তারিতভাবে বর্ণনা করে। এটি আইটি (IT) টিমগুলোর জন্য ওয়াল্ড গার্ডেন (walled gardens) কনফিগার করা, RADIUS অথেন্টিকেশন একীভূত করা এবং GDPR ও PCI DSS-এর সাথে সম্মতি নিশ্চিত করার বিষয়ে কার্যকর নির্দেশনা প্রদান করে।
ধাপ-ভিত্তিক নির্দেশিকা: গেস্ট WiFi Captive Portals-এর জন্য Ruijie ওয়্যারলেস কন্ট্রোলার কনফিগার করা
এই নির্দেশিকাটি এন্টারপ্রাইজ-গ্রেড গেস্ট WiFi Captive Portals স্থাপন করার জন্য Ruijie ওয়্যারলেস কন্ট্রোলার এবং গেটওয়ে কনফিগার করার একটি সম্পূর্ণ প্রযুক্তিগত ওয়াকথ্রু প্রদান করে। এতে VLAN সেগমেন্টেশন, WISPr প্রোটোকলের মাধ্যমে এক্সটার্নাল RADIUS অথেনটিকেশন, ওয়াল্ড গার্ডেন কনফিগারেশন এবং ফার্স্ট-পার্টি ডেটা সংগ্রহ করতে ও হসপিটালিটি, রিটেইল এবং পাবলিক-সেক্টর পরিবেশে পরিমাপযোগ্য ব্যবসায়িক ভ্যালু তৈরি করতে Purple-এর আইডেন্টিটি-বেসড নেটওয়ার্ক প্ল্যাটফর্মের সাথে নির্বিঘ্ন ইন্টিগ্রেশন কভার করা হয়েছে।
সুরক্ষিত BYOD এবং 802.1X নেটওয়ার্ক অথেন্টিকেশনের জন্য কীভাবে SCEP কনফিগার করবেন
এই নির্দেশিকাটি সার্টিফিকেট-ভিত্তিক 802.1X নেটওয়ার্ক অথেন্টিকেশন স্থাপনের জন্য SCEP কনফিগার করার একটি বিস্তৃত প্রযুক্তিগত রেফারেন্স প্রদান করে। এটি শেয়ারড পাসওয়ার্ড থেকে EAP-TLS-এ আর্কিটেকচারাল পরিবর্তন, মোবাইল ডিভাইস ম্যানেজমেন্ট ইন্টিগ্রেশন এবং এন্টারপ্রাইজ পরিবেশে সুরক্ষিত BYOD অ্যাক্সেসের জন্য কঠোর নেটওয়ার্ক সেগমেন্টেশন কভার করে।