মূল কন্টেন্টে যান

802.1X Supplicant কী? ক্লায়েন্টের ধরন এবং ডিভাইস কনফিগারেশন

এই গাইডটি এন্টারপ্রাইজ WiFi অথেনটিকেশনে 802.1X supplicant এর ভূমিকা ব্যাখ্যা করে। এটি টেকনিক্যাল আর্কিটেকচার কভার করে, নেটিভ OS supplicants এর সাথে থার্ড-পার্টি ক্লায়েন্টদের তুলনা করে এবং EAP-TLS ও PEAP মোতায়েনকারী IT টিমের জন্য ব্যবহারিক কনফিগারেশন নির্দেশিকা প্রদান করে।

📖 5 মিনিট পাঠ📝 1,091 শব্দ🔧 2 সমাধানকৃত উদাহরণ3 অনুশীলনী প্রশ্ন📚 8 মূল সংজ্ঞা

এই গাইডটি শুনুন

পডকাস্ট ট্রান্সক্রিপ্ট দেখুন
একজন সিনিয়র নেটওয়ার্ক সিকিউরিটি কনসালট্যান্ট যেভাবে ক্লায়েন্টকে ব্রিফিং করেন, ঠিক সেইভাবে আত্মবিশ্বাসী, কর্তৃত্বপূর্ণ এবং কথোপকথনের সুরে ব্রিটিশ ইংরেজিতে কথা বলুন। পরিমাপিত গতি, স্পষ্ট উচ্চারণ এবং পেশাদার অথচ অনমনীয় নয় এমন কণ্ঠস্বর বজায় রাখুন। জোর দেওয়ার জন্য মাঝে মাঝে স্বাভাবিক বিরতি দিন: Purple টেকনিক্যাল ব্রিফিং সিরিজে আপনাকে স্বাগত জানাই। আজ আমরা এমন একটি বিষয় আলোচনা করব যা এন্টারপ্রাইজ WiFi সুরক্ষার একেবারে কেন্দ্রবিন্দুতে রয়েছে - 802.1X সাপ্লিক্যান্ট। আপনি যদি কখনো ভেবে থাকেন যে কেন কিছু ডিভাইস কোনো পাসওয়ার্ড প্রম্পট ছাড়াই আপনার কর্পোরেট নেটওয়ার্কে সংযুক্ত হয়, যেখানে অন্যান্য ডিভাইসগুলো সার্টিফিকেট ত্রুটি এবং হেল্পডেস্ক টিকিট দেখায়, তবে আজকের এই পর্বটি আপনার জন্যই। [মাঝারি বিরতি] আসুন মূল বিষয় দিয়ে শুরু করি। 802.1X সাপ্লিক্যান্ট হলো ক্লায়েন্ট ডিভাইসের - যেমন একটি ল্যাপটপ, একটি স্মার্টফোন, একটি ট্যাবলেট - একটি সফ্টওয়্যার উপাদান যা IEEE 802.1X দ্বারা সুরক্ষিত কোনো নেটওয়ার্কে ডিভাইসটি যুক্ত হতে চাইলে প্রমাণীকরণ হ্যান্ডশেক পরিচালনা করে। এটিকে ডিভাইসের আইডি কার্ড প্রদানকারী হিসেবে ভাবুন। নেটওয়ার্ক যেকোনো কাউকেই ভেতরে প্রবেশ করতে দেয় না। এটি ক্রেডেনশিয়াল যাচাই করতে চায়। সাপ্লিক্যান্টই এগিয়ে এসে বলে: আমি কে তা এখানে দেওয়া হলো, এটি আমার সার্টিফিকেট, আমাকে প্রবেশ করতে দিন। স্ট্যান্ডার্ডটি নিজেই - IEEE 802.1X - পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল সংজ্ঞায়িত করে। প্রমাণীকরণ সফল হওয়ার আগে, অ্যাক্সেস পয়েন্ট বা সুইচ শুধুমাত্র একটি খুব সংকীর্ণ ধরনের ট্রাফিককে অনুমতি দেয়: EAPOL ফ্রেম, যার অর্থ ল্যানের মাধ্যমে এক্সটেনসিবল প্রমাণীকরণ প্রোটোকল (Extensible Authentication Protocol over LAN)। বাকি সবকিছু ব্লক করে দেওয়া হয়। একবার সাপ্লিক্যান্ট অথেনটিকেটর এর মাধ্যমে RADIUS সার্ভারের কাছে নিজের পরিচয় প্রমাণ করলে, পোর্টটি খুলে যায় এবং স্বাভাবিক ট্রাফিক প্রবাহিত হয়। [মাঝারি বিরতি] এখন, এই প্রক্রিয়ায় তিনটি পক্ষ রয়েছে। প্রথমত, সাপ্লিক্যান্ট - যা ক্লায়েন্ট ডিভাইস। দ্বিতীয়ত, অথেনটিকেটর - আপনার অ্যাক্সেস পয়েন্ট বা সুইচ, যেমন Cisco Meraki, HPE Aruba, Ruckus, বা Juniper Mist এর মতো হার্ডওয়্যার। তৃতীয়ত, অথেনটিকেশন সার্ভার - যা সাধারণত সর্বদা একটি RADIUS সার্ভার হয়ে থাকে, এটি Microsoft Entra ID বা Okta এর মতো ডিরেক্টরির বিপরীতে ক্রেডেনশিয়াল যাচাই করে। সাপ্লিক্যান্ট একটি EAPOL-Start বার্তা পাঠানোর মাধ্যমে প্রক্রিয়াটি শুরু করে। অথেনটিকেটর পরিচয়ের জন্য একটি EAP-Request দিয়ে সাড়া দেয়। সাপ্লিক্যান্ট তার পরিচয় দিয়ে উত্তর দেয়। সেই পরিচয় RADIUS সার্ভারে ফরোয়ার্ড করা হয়, যা পরে সম্মত EAP পদ্ধতিতে সাপ্লিক্যান্টকে চ্যালেঞ্জ করে। সবকিছু ঠিকঠাক থাকলে, RADIUS সার্ভার একটি Access-Accept পাঠায়, পোর্টটি খোলে এবং ডিভাইসটিকে সঠিক VLAN-এ স্থাপন করা হয়। [মাঝারি বিরতি] আসুন EAP পদ্ধতিগুলো নিয়ে কথা বলি, কারণ এখানেই বেশিরভাগ ডেপ্লয়মেন্টের সিদ্ধান্ত নেওয়া হয়। EAP-TLS - অর্থাৎ Transport Layer Security সহ Extensible Authentication Protocol - হলো গোল্ড স্ট্যান্ডার্ড। এর জন্য ক্লায়েন্ট এবং সার্ভার উভয়েরই সার্টিফিকেট উপস্থাপন করা প্রয়োজন। পারস্পরিক প্রমাণীকরণ। কোনো পাসওয়ার্ড নেই। ক্লায়েন্ট সার্টিফিকেটটি ডিভাইসের সত্যতা প্রমাণ করে; সার্ভার সার্টিফিকেটটি প্রমাণ করে যে নেটওয়ার্কটি আসল, যা ইভিল টুইন আক্রমণ থেকে রক্ষা করে যেখানে একটি অননুমোদিত অ্যাক্সেস পয়েন্ট ক্রেডেন্সিয়াল হাতিয়ে নেওয়ার চেষ্টা করে। EAP-TLS বারোটি ধাপে সম্পন্ন হয় এবং এর পুরো প্রক্রিয়া জুড়েই পাবলিক-প্রাইভেট কি ক্রিপ্টোগ্রাফি ব্যবহৃত হয়। WPA3-Enterprise-এর সর্বোচ্চ সিকিউরিটি মোডের জন্য এটি একটি আবশ্যক পদ্ধতি, এবং এটি ডিভাইস আইডেন্টিটি ভেরিফিকেশনের জন্য NIST SP 800-171 প্রয়োজনীয়তাগুলোর সাথে সামঞ্জস্যপূর্ণ। PEAP - Protected EAP - হলো এমন সংস্থাগুলোর জন্য আরও সাধারণ একটি প্রারম্ভিক বিন্দু যাদের এখনও সম্পূর্ণ PKI ব্যবস্থা নেই। PEAP একটি TLS টানেলের ভেতরে সাধারণত MSCHAPv2 নামক পাসওয়ার্ড-ভিত্তিক অভ্যন্তরীণ পদ্ধতিকে আবৃত করে রাখে। সার্ভার একটি সার্টিফিকেট উপস্থাপন করে; কিন্তু ক্লায়েন্ট করে না। এর মানে হলো এর ডিপ্লয়মেন্ট অনেক সহজ - আপনার ক্লায়েন্ট সার্টিফিকেট সরবরাহ করার প্রয়োজন হয় না - তবে এটি তুলনামূলকভাবে কম নিরাপদ। MSCHAPv2-এ MD4 হ্যাশিং ব্যবহৃত হয়, যা ১৯৯৫ সাল থেকেই ঝুঁকিপূর্ণ হিসেবে বিবেচিত হয়ে আসছে। কোনো ব্যবহারকারী যদি একটি অননুমোদিত অ্যাক্সেস পয়েন্টের সাথে সংযুক্ত হন যা একটি বিশ্বস্ত দেখতে সার্টিফিকেট প্রদর্শন করে, তবে তাদের ক্রেডেন্সিয়াল হাতিয়ে নেওয়া সম্ভব। তাই PEAP চালানোর সময় ক্লায়েন্ট সাইডে সার্ভার সার্টিফিকেট ভ্যালিডেশন অত্যন্ত আবশ্যক। [medium pause] এখন চলুন আমরা সাপ্লিক্যান্টের বিষয়ে বিস্তারিত আলোচনা করি - বিশেষ করে নেটিভ OS সাপ্লিক্যান্ট এবং থার্ড-পার্টি ক্লায়েন্ট সফটওয়্যারের মধ্যকার নির্বাচন। প্রতিটি প্রধান অপারেটিং সিস্টেমে বিল্ট-ইন 802.1X সাপ্লিক্যান্ট থাকে। Windows-এ XP থেকে শুরু করে Wireless AutoConfig এবং Wired AutoConfig সার্ভিসের মাধ্যমে নেটিভভাবে এটি সমর্থিত। macOS এবং iOS তাদের নেটওয়ার্ক কনফিগারেশন প্রোফাইলের মাধ্যমে 802.1X পরিচালনা করে। Android এটি WiFi সেটিংস প্যানেলের মাধ্যমে সমর্থন করে। এই নেটিভ সাপ্লিক্যান্টগুলো সমস্ত বর্তমান প্ল্যাটফর্মে EAP-TLS এবং PEAP-MSCHAPv2 সমর্থন করে। নেটিভ সাপ্লিক্যান্টের সুবিধাগুলো স্পষ্ট: কোনো অতিরিক্ত সফটওয়্যার ডিপ্লয় করার প্রয়োজন নেই, কোনো লাইসেন্সিং খরচ নেই, স্বয়ংক্রিয় OS সিকিউরিটি আপডেট এবং অপারেটিং সিস্টেমের সার্টিফিকেট স্টোরের সাথে নিবিড় একীকরণ। ম্যানেজড ডিভাইস ফ্লিটের ক্ষেত্রে - যেমন Microsoft Intune-এ নথিভুক্ত Windows ডিভাইস, Jamf-এর মাধ্যমে ম্যানেজ করা Mac - আপনি MDM-এর মাধ্যমে ব্যাকগ্রাউন্ডে 802.1X কনফিগারেশন প্রোফাইলগুলো পুশ করতে পারেন এবং ব্যবহারকারীরা কোনো প্রম্পট দেখতে পাবেন না। ডিভাইসটি প্রতিবার সীমার মধ্যে আসলেই স্বয়ংক্রিয়ভাবে প্রমাণীকরণ সম্পন্ন করে। নির্দিষ্ট কিছু ক্ষেত্রে থার্ড-পার্টি সাপ্লিক্যান্টের ব্যবহার প্রয়োজন হয়। আপনি যদি Cisco ইনফ্রাস্ট্রাকচার ব্যবহার করেন এবং EAP-FAST - যা Cisco-এর নিজস্ব EAP পদ্ধতি - ব্যবহার করতে চান, তবে আপনার Cisco-এর ক্লায়েন্ট সফটওয়্যার প্রয়োজন হবে, যা ঐতিহাসিকভাবে Secure Services Client বা AnyConnect Network Access Manager নামে পরিচিত। আপনার যদি একটি মিশ্র-OS এস্টেট জুড়ে সামঞ্জস্যপূর্ণ কনফিগারেশন ম্যানেজমেন্টের প্রয়োজন হয় এবং আপনি সাপ্লিক্যান্ট সেটিংস লক ডাউন করতে চান যাতে ব্যবহারকারীরা দুর্ঘটনাক্রমে সেগুলিকে ভুল কনফিগার করতে না পারেন, তবে একটি থার্ড-পার্টি ক্লায়েন্ট আপনাকে সেই নিয়ন্ত্রণ দেয়। SecureW2-এর JoinNow সুইটের মতো টুলগুলি অনবোর্ডিং এজেন্ট হিসাবেও কাজ করে - এগুলি নেটিভ সাপ্লিক্যান্টকে প্রতিস্থাপন করার পরিবর্তে কনফিগার করে, ব্যবহারকারীদের সার্টিফিকেট এনরোলমেন্ট এবং প্রোফাইল ইনস্টলেশনের ধাপগুলি বুঝিয়ে দেয়। [medium pause] বিষয়টি আরও স্পষ্ট করার জন্য আমি আপনাকে দুটি বাস্তব-ভিত্তিক পরিস্থিতি বুঝিয়ে বলছি। প্রথমত, একটি ৪০০ রুমের হোটেল। এই প্রপার্টিতে বর্তমানে PEAP-MSCHAPv2 সহ WPA2-Enterprise-এ একটি স্টাফ নেটওয়ার্ক চলছে। IT টিম পাসওয়ার্ড-ভিত্তিক অথেনটিকেশন দূর করতে এবং ক্রেডেন্সিয়াল চুরির ঝুঁকি কমাতে EAP-TLS-এ মাইগ্রেট করতে চায়। চ্যালেঞ্জটি হলো: স্টাফদের ডিভাইসগুলির মধ্যে রয়েছে Intune-এর মাধ্যমে পরিচালিত Windows ল্যাপটপ, প্রপার্টি ম্যানেজমেন্ট সফটওয়্যারের জন্য ব্যবহৃত ব্যক্তিগত Android ফোন এবং ব্যাক-অফিসে থাকা অল্প কিছু লেগাসি Windows 7 মেশিন। এখানে পদ্ধতিটি হবে পর্যায়ক্রমিক। ম্যানেজড Windows ডিভাইসগুলি দিয়ে শুরু করুন। একটি Intune কনফিগারেশন প্রোফাইল পুশ করুন যা RADIUS সার্ভারের রুট CA সার্টিফিকেট ইনস্টল করে, EAP-TLS-এর জন্য WiFi প্রোফাইল কনফিগার করে এবং ইন্টারনাল PKI থেকে SCEP-ভিত্তিক সার্টিফিকেট এনরোলমেন্ট ট্রিগার করে। সেই ডিভাইসগুলি প্রথম দিন থেকেই স্বয়ংক্রিয়ভাবে অথেনটিকেট হবে। Android BYOD ডিভাইসগুলির জন্য, একটি সেলফ-সার্ভিস অনবোর্ডিং পোর্টাল ডেপ্লয় করুন - ব্যবহারকারীরা একটি URL ভিজিট করবেন, একটি কনফিগারেশন প্রোফাইল ডাউনলোড করবেন এবং তাদের জন্য সাপ্লিক্যান্ট কনফিগার হয়ে যাবে। লেগাসি Windows 7 মেশিনগুলি কঠোর সার্ভার সার্টিফিকেট ভ্যালিডেশন সহ PEAP-এ থাকবে, যা ডিকমিশন না হওয়া পর্যন্ত সীমিত অ্যাক্সেস সহ একটি পৃথক VLAN-এ আইসোলেট করে রাখা হবে। [medium pause] দ্বিতীয় পরিস্থিতি: ২০০টি স্টোর বিশিষ্ট একটি বড় রিটেল চেইন। প্রতিটি স্টোরে পয়েন্ট-অফ-সেল টার্মিনাল, স্টাফদের ট্যাবলেট এবং একটি গেস্ট WiFi নেটওয়ার্কের মিশ্রণ রয়েছে। PCI-DSS অনুযায়ী কার্ডহোল্ডার ডেটা এনভায়রনমেন্ট অন্যান্য নেটওয়ার্ক সেগমেন্ট থেকে আইসোলেট করা আবশ্যক। রিটেইলার স্টাফ এবং POS নেটওয়ার্কে 802.1X ব্যবহার করে, যেখানে VLAN অ্যাসাইনমেন্ট সার্টিফিকেট অ্যাট্রিবিউট দ্বারা পরিচালিত হয়। একটি POS টার্মিনাল "POS" অর্গানাইজেশনাল ইউনিট সহ একটি ডিভাইস সার্টিফিকেট প্রদর্শন করে - RADIUS পলিসি এটিকে PCI VLAN-এ অ্যাসাইন করে। একটি স্টাফ ট্যাবলেট "Staff" সহ একটি সার্টিফিকেট প্রদর্শন করে - এটি স্টাফ VLAN-এ যুক্ত হয়। গেস্ট ডিভাইসগুলি সম্পূর্ণ আলাদা একটি SSID-এর সাথে সংযুক্ত হয়, যা একটি Captive Portal সলিউশন দ্বারা পরিচালিত হয়। POS টার্মিনালগুলির সাপ্লিক্যান্ট কনফিগারেশন MDM-এর মাধ্যমে লক ডাউন করা থাকে। কোনো ব্যবহারকারীর ইন্টারঅ্যাকশনের প্রয়োজন হয় না। টার্মিনালগুলি বুট করার সময় নীরবে অথেনটিকেট হয়। SCEP-এর মাধ্যমে সার্টিফিকেট রিনিউয়াল স্বয়ংক্রিয় করা হয়, তাই সার্টিফিকেটের মেয়াদ শেষ হয়ে গেলে কোনো ম্যানুয়াল হস্তক্ষেপের প্রয়োজন হয় না। [medium pause] এবার আসা যাক ইমপ্লিমেন্টেশনের সাধারণ ভুলত্রুটিতে। আমি আপনাকে সবচেয়ে সাধারণ চারটি ভুলের কথা বলছি। এক নম্বর: PEAP ডেপ্লয়মেন্টে সার্ভার সার্টিফিকেট ভ্যালিডেশন না থাকা। আপনি যদি RADIUS সার্ভারের সার্টিফিকেট ভ্যালিডেট করতে এবং সার্ভারের নাম যাচাই করতে সাপ্লিক্যান্ট কনফিগার না করেন, তবে ব্যবহারকারীরা একটি ক্ষতিকারক অ্যাক্সেস পয়েন্টের সাথে কানেক্ট হওয়ার ঝুঁকিতে থাকবেন। সাপ্লিক্যান্ট প্রোফাইলে সর্বদা বিশ্বস্ত রুট CA এবং সার্ভারের নাম উল্লেখ করুন। দুই নম্বর: সার্টিফিকেটের মেয়াদ শেষ হওয়া যার ফলে একসাথে ব্যাপক অথেন্টিকেশন ব্যর্থতা ঘটে। ক্লায়েন্ট সার্টিফিকেটের একটি নির্দিষ্ট মেয়াদের সময়সীমা থাকে। আপনার যদি SCEP বা NDES-এর মাধ্যমে অটোমেটেড রিনিউয়াল চালু না থাকে, তবে আপনি এমন একটি চরম সংকটের মুখোমুখি হবেন যেখানে শত শত ডিভাইস একসাথে অথেন্টিকেশন করা বন্ধ করে দেবে। লাইভ করার আগেই রিনিউয়াল অটোমেশন তৈরি করুন। তিন নম্বর: অসঙ্গতিপূর্ণ সাপ্লিক্যান্ট আচরণ সহ BYOD ডিভাইস। বিশেষ করে Android-এর ক্ষেত্রে বিভিন্ন ম্যানুফ্যাকচারারদের মধ্যে 802.1X সাপোর্ট ভিন্ন হয়ে থাকে। কিছু ভার্সনে WiFi প্রোফাইল এটি গ্রহণ করার আগে ব্যবহারকারীকে ম্যানুয়ালি CA সার্টিফিকেট ইনস্টল করতে হয়। একটি অনবোর্ডিং পোর্টাল যা এই ধাপটি পরিচালনা করে, তা হেল্পডেস্কের কাজের চাপ উল্লেখযোগ্যভাবে হ্রাস করে। চার নম্বর: Windows 11 ফিচার আপডেট যা সাপ্লিক্যান্ট কনফিগারেশন নষ্ট করে দেয়। Microsoft বেশ কয়েকটি Windows 11 আপডেটে 802.1X আচরণ পরিবর্তন করেছে। নির্দিষ্টভাবে, 24H2 আপডেটটি নেটিভ সাপ্লিক্যান্ট কীভাবে EAP-TLS ফলব্যাক পরিচালনা করে সে বিষয়ে পরিবর্তন এনেছে। প্রোডাকশনে রোল আউট করার আগে নতুন OS ভার্সনের সাথে আপনার সাপ্লিক্যান্ট প্রোফাইলগুলো পরীক্ষা করে নিন। [medium pause] এবার দ্রুত কিছু প্রশ্নোত্তর। IoT ডিভাইস কি 802.1X সাপোর্ট করতে পারে? বেশিরভাগই পারে না। IoT ডিভাইসগুলোতে সাধারণত কোনো সাপ্লিক্যান্ট থাকেই না। এর বিকল্প সমাধান হলো MAC Authentication Bypass - MAB - যেখানে RADIUS সার্ভার ডিভাইসের MAC অ্যাড্রেসের ভিত্তিতে সেটিকে অথেন্টিকেট করে। MAC অ্যাড্রেস স্পুফ (নকল) করা সম্ভব, তাই MAB ডিভাইসগুলোকে সর্বদা কঠোর ফায়ারওয়াল নিয়ম সহ একটি আইসোলেটেড IoT VLAN-এ রাখা উচিত। 802.1X চালানোর জন্য কি আমার একটি PKI প্রয়োজন? PEAP-এর জন্য প্রয়োজন নেই - আপনার কেবল RADIUS সার্ভারে একটি সার্ভার সার্টিফিকেট প্রয়োজন। EAP-TLS-এর জন্য প্রয়োজন - ক্লায়েন্ট সার্টিফিকেট ইস্যু করার জন্য আপনার একটি PKI লাগবে। ক্লাউড-ভিত্তিক PKI সার্ভিসগুলো পরিকাঠামোগত খরচ এবং জটিলতা অনেক কমিয়ে দেয়। Purple-এর নেটওয়ার্ক অ্যাক্সেস প্ল্যাটফর্মের সাথে 802.1X কীভাবে কাজ করে? Purple আপনার বিদ্যমান হার্ডওয়্যার - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist এবং অন্যান্য প্ল্যাটফর্মের উপর একটি ক্লাউড ওভারলে হিসেবে কাজ করে। Staff WiFi নেটওয়ার্কগুলোতে, Purple-এর SecurePass অ্যাড-অন আপনার আইডেন্টিটি প্রোভাইডার - Microsoft Entra ID, Okta, বা Google Workspace-এর সাথে ইন্টিগ্রেট করে অন-প্রেমিস RADIUS পরিকাঠামোর প্রয়োজন ছাড়াই 802.1X অথেন্টিকেশন কার্যকর করতে এবং প্রতি ব্যবহারকারী অনুযায়ী VLAN পলিসি প্রয়োগ করতে সাহায্য করে। [medium pause] পরিশেষে: 802.1X সাপ্লিক্যান্ট হলো ডিভাইস-সাইড এজেন্ট যা পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস কন্ট্রোলকে সচল রাখে। আপনার পছন্দের EAP পদ্ধতি - সর্বোচ্চ সুরক্ষার জন্য EAP-TLS, ট্রানজিশনাল অপশন হিসেবে PEAP - আপনার PKI প্রয়োজনীয়তা এবং সাপ্লিক্যান্ট কনফিগারেশন পদ্ধতি নির্ধারণ করে। MDM-এর মাধ্যমে ডেপ্লয় করা হলে নেটিভ OS সাপ্লিক্যান্টগুলো বেশিরভাগ ম্যানেজড ডিভাইসের ক্ষেত্রে কাজ সম্পন্ন করে। থার্ড-পার্টি ক্লায়েন্টগুলো নির্দিষ্ট ক্ষেত্রে বাড়তি সুবিধা যোগ করে: প্রোপ্রাইটারি EAP পদ্ধতি, ভিন্ন ভিন্ন OS-এর অধীনে থাকা ডিভাইস যেখানে অভিন্ন কনফিগারেশন প্রয়োজন, অথবা সেলফ-সার্ভিস BYOD অনবোর্ডিং।মনে রাখার মতো তিনটি বিষয়: প্রতিটি সাপ্লিক্যান্ট প্রোফাইলে আপনার RADIUS সার্ভার সার্টিফিকেট যাচাই করুন, বড় পরিসরে EAP-TLS মোতায়েন করার আগে সার্টিফিকেট রিনিউয়াল স্বয়ংক্রিয় করুন, এবং যে ডিভাইসগুলো 802.1X সমর্থন করতে পারে না - IoT, লেগ্যাসি হার্ডওয়্যার - সেগুলোকে MAC Authentication Bypass-কে ফলব্যাক হিসেবে ব্যবহার করে ডেডিকেটেড VLANs-এ আলাদা করুন। আপনার নেটওয়ার্ক অ্যাক্সেস আর্কিটেকচারের সাথে Purple কীভাবে একীভূত হয় সে সম্পর্কে আরও জানতে, purple dot ai ভিজিট করুন। শোনার জন্য ধন্যবাদ।

header_image.png

এক্সিকিউটিভ সামারি

যখন একটি ডিভাইস কোনো এন্টারপ্রাইজ নেটওয়ার্কের সাথে সংযুক্ত হয়, তখন 802.1X supplicant হলো সেই সফটওয়্যার উপাদান যা এর পরিচয় প্রমাণ করার জন্য দায়ী। বড় ভেন্যুর IT ম্যানেজার এবং নেটওয়ার্ক আর্কিটেক্টদের জন্য, হেল্পডেস্ক টিকিট তৈরি না করে নেটওয়ার্ক অ্যাক্সেস সুরক্ষিত করার জন্য supplicant কীভাবে কাজ করে তা বোঝা অত্যন্ত গুরুত্বপূর্ণ। এই নির্দেশিকাটি IEEE 802.1X অথেনটিকেশনে ডিভাইস-সাইড এজেন্টকে সহজভাবে ব্যাখ্যা করে, যেখানে নেটিভ OS ক্ষমতার সাথে থার্ড-পার্টি supplicant সফটওয়্যারের তুলনা করা হয়েছে। আমরা দেখব কীভাবে EAP-TLS এবং PEAP-MSCHAPv2 এর জন্য supplicants কনফিগার করতে হয়, হসপিটালিটি এবং রিটেল জুড়ে বাস্তব-জগতের স্থাপনার পরিস্থিতি অন্বেষণ করব এবং কীভাবে সঠিক supplicant কনফিগারেশন অ্যাক্সেস অপ্টিমাইজ করতে আইডেন্টিটি-বেসড নেটওয়ার্কের সাথে সংহত হয় তা বিস্তারিতভাবে আলোচনা করব। আপনি ২০০ কক্ষের একটি হোটেল পরিচালনা করুন বা ৮০,০০০-এর বেশি আসন বিশিষ্ট একটি সক্রিয় ভেন্যু, সঠিক supplicant কনফিগারেশন হলো নিরাপদ ও নির্ভরযোগ্য WiFi গড়ে তোলার অন্যতম ভিত্তি।

গভীর প্রযুক্তিগত বিশ্লেষণ

IEEE 802.1X স্ট্যান্ডার্ডটি পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল সংজ্ঞায়িত করে। এটি একটি সাধারণ ধারণার উপর কাজ করে: কোনো ডিভাইস তার পরিচয় প্রমাণ না করা পর্যন্ত নেটওয়ার্কের প্রান্তে সমস্ত ট্রাফিক ব্লক করে রাখা। এই প্রক্রিয়ায় supplicant হলো ক্লায়েন্ট-সাইডের অংশগ্রহণকারী।

802.1X এর তিনটি উপাদান

অথেনটিকেশনের জন্য তিনটি পৃথক সত্তার প্রয়োজন হয়:

  1. Supplicant: ক্লায়েন্ট ডিভাইস (ল্যাপটপ, স্মার্টফোন বা ট্যাবলেট) যা নেটওয়ার্ক অ্যাক্সেসের জন্য অনুরোধ করছে।
  2. Authenticator: নেটওয়ার্ক অ্যাক্সেস ডিভাইস, যেমন Cisco Meraki, HPE Aruba, Ruckus, বা Juniper Mist অ্যাক্সেস পয়েন্ট।
  3. Authentication Server: RADIUS সার্ভার যা Microsoft Entra ID বা Okta-এর মতো আইডেন্টিটি প্রোভাইডারের বিরুদ্ধে ক্রেডেনশিয়াল যাচাই করে।

অথেনটিকেশনের পূর্বে, authenticator-এর পোর্টটি একটি আনঅথরাইজড অবস্থায় থাকে, যা কেবল Extensible Authentication Protocol over LAN (EAPOL) ট্রাফিকের অনুমতি দেয়। supplicant একটি EAPOL-Start ফ্রেমের মাধ্যমে প্রক্রিয়াটি শুরু করে। authenticator পরিচয় জিজ্ঞাসা করে এবং supplicant সাড়া দেয়। এই পরিচয়টি RADIUS সার্ভারে পাঠানো হয়, যা নির্ধারণ করে কোন EAP পদ্ধতি ব্যবহার করা হবে। সফলভাবে যাচাইকরণের পর, RADIUS সার্ভার একটি Access-Accept বার্তা পাঠায়, পোর্টটি একটি অথরাইজড অবস্থায় স্থানান্তরিত হয় এবং ডিভাইসটিকে সাধারণত একটি নির্দিষ্ট VLAN-এ অ্যাসাইন করা হয়।

architecture_overview.png

EAP পদ্ধতিসমূহ: Supplicant এর ভাষা

supplicant এবং RADIUS সার্ভারকে অবশ্যই একটি Extensible Authentication Protocol (EAP) পদ্ধতির বিষয়ে একমত হতে হবে। EAP পদ্ধতির পছন্দটি নিরাপত্তা ব্যবস্থা এবং supplicant-এর উপর কনফিগারেশনের চাপ নির্ধারণ করে।

EAP-TLS (Transport Layer Security) EAP-TLS এর জন্য সার্টিফিকেট-ভিত্তিক পারস্পরিক প্রমাণীকরণ প্রয়োজন। সাপ্লিক্যান্ট তার পরিচয় প্রমাণের জন্য একটি ক্লায়েন্ট সার্টিফিকেট প্রদান করে, এবং RADIUS সার্ভার নেটওয়ার্কের বৈধতা প্রমাণের জন্য একটি সার্ভার সার্টিফিকেট প্রদান করে। এই পাসওয়ার্ডহীন পদ্ধতিটি ক্রেডেনশিয়াল চুরি নির্মূল করে এবং NIST SP 800-171 এর মতো কঠোর সিকিউরিটি ফ্রেমওয়ার্ক দ্বারা এটি প্রয়োজন। সাপ্লিক্যান্টকে অবশ্যই ইস্যুকারী সার্টিফিকেট অথরিটি (CA) কে বিশ্বাস করতে এবং একটি বৈধ ক্লায়েন্ট সার্টিফিকেট ধারণ করার জন্য কনফিগার করতে হবে।

PEAP (Protected EAP) যেসব ক্ষেত্রে একটি সম্পূর্ণ পাবলিক কি ইনফ্রাস্ট্রাকচার (PKI) সম্ভব নয়, সেখানে PEAP ব্যাপকভাবে ব্যবহৃত হয়। এটি একটি সুরক্ষিত TLS টানেলের মধ্যে একটি অভ্যন্তরীণ প্রমাণীকরণ পদ্ধতি (সাধারণত MSCHAPv2) এনক্যাপসুলেট করে। RADIUS সার্ভার একটি সার্টিফিকেট প্রদান করে, কিন্তু সাপ্লিক্যান্টকে শুধুমাত্র একটি ইউজারনেম এবং পাসওয়ার্ড প্রদান করতে হয়। যদিও PEAP স্থাপন করা সহজ, তবে সাপ্লিক্যান্ট যদি সার্ভার সার্টিফিকেট যাচাই করার জন্য কঠোরভাবে কনফিগার করা না থাকে তবে এটি ক্রেডেনশিয়াল হার্ভেস্টিংয়ের জন্য অত্যন্ত ঝুঁকিপূর্ণ।

বাস্তবায়ন নির্দেশিকা

802.1X স্থাপন করার সময়, আইটি টিমগুলোকে অপারেটিং সিস্টেমে বিল্ট-ইন নেটিভ সাপ্লিক্যান্ট ব্যবহার করা বা থার্ড-পার্টি সাপ্লিক্যান্ট সফটওয়্যার স্থাপন করার মধ্যে সিদ্ধান্ত নিতে হবে।

নেটিভ OS সাপ্লিক্যান্ট

প্রতিটি আধুনিক অপারেটিং সিস্টেমে একটি নেটিভ 802.1X সাপ্লিক্যান্ট অন্তর্ভুক্ত থাকে। Windows এর ক্ষেত্রে Wired AutoConfig এবং WLAN AutoConfig সার্ভিস ব্যবহার করা হয়। Apple ডিভাইসগুলো Network Profiles ব্যবহার করে। Android এটিকে তার WiFi সেটিংসের মধ্যে একীভূত করে।

নেটিভ সাপ্লিক্যান্টগুলো পরিচালিত ডিভাইসের জন্য আদর্শ। Microsoft Intune বা Jamf এর মতো মোবাইল ডিভাইস ম্যানেজমেন্ট (MDM) প্ল্যাটফর্ম ব্যবহার করে, আইটি অ্যাডমিনরা নীরবে কনফিগারেশন প্রোফাইলগুলো পুশ করতে পারেন যা SCEP এর মাধ্যমে SSID, EAP পদ্ধতি, বিশ্বস্ত রুট CA এবং সার্টিফিকেট এনরোলমেন্ট প্রক্রিয়া সংজ্ঞায়িত করে। এর ব্যবহারকারীর অভিজ্ঞতা অত্যন্ত নির্বিঘ্ন; ডিভাইসটি ব্যাকগ্রাউন্ডে প্রমাণীকরণ করে।

থার্ড-পার্টি সাপ্লিক্যান্ট সফটওয়্যার

নির্দিষ্ট পরিস্থিতিতে থার্ড-পার্টি সাপ্লিক্যান্ট, যেমন Cisco AnyConnect Network Access Manager বা SecureW2 JoinNow এর প্রয়োজন হয়:

  • মালিকানাধীন প্রোটোকল: Cisco EAP-FAST ব্যবহারের জন্য একটি Cisco সাপ্লিক্যান্ট প্রয়োজন।
  • BYOD অনবোর্ডিং: থার্ড-পার্টি টুলগুলো প্রায়শই অনবোর্ডিং উইজার্ড হিসেবে কাজ করে, যা ব্যবহারকারীদের এমন অনিয়ন্ত্রিত ডিভাইসে সার্টিফিকেট ইনস্টল করতে গাইড করে যেখানে নেটিভ কনফিগারেশন জটিল (বিশেষ করে ফ্র্যাগমেন্টেড Android পরিবেশে)।
  • কঠোর কনফিগারেশন নিয়ন্ত্রণ: থার্ড-পার্টি সাপ্লিক্যান্ট সেটিংস লক ডাউন করতে পারে, যা ব্যবহারকারীদের সার্ভার সার্টিফিকেট যাচাইকরণ নিষ্ক্রিয় করা থেকে বিরত রাখে।

native_vs_thirdparty_comparison.png

সার্ভার সার্টিফিকেট যাচাইকরণ কনফিগার করা

নির্বাচিত সাপ্লিক্যান্ট যাই হোক না কেন, সার্ভার সার্টিফিকেট যাচাইকরণ কনফিগার করা অত্যন্ত গুরুত্বপূর্ণ, বিশেষ করে PEAP এর জন্য। সাপ্লিক্যান্ট যদি RADIUS সার্ভারের সার্টিফিকেট যাচাই না করে, তবে এটি আপনার SSID অনুকরণকারী একটি প্রতারণামূলক অ্যাক্সেস পয়েন্টে অন্ধভাবে ক্রেডেনশিয়াল পাঠিয়ে দেবে।Windows-এ, এর অর্থ হলো PEAP প্রোপার্টিজে "Verify the server's identity by validating the certificate" টিক দেওয়া, Trusted Root Certification Authority (Root CA) নির্বাচন করা, এবং ক্লায়েন্টের প্রত্যাশা করা নির্দিষ্ট সার্ভার নামগুলো উল্লেখ করা। Apple ডিভাইসে, কনফিগারেশন প্রোফাইলে স্পষ্টভাবে বিশ্বস্ত সার্টিফিকেট তালিকাভুক্ত থাকতে হবে।

সর্বোত্তম অনুশীলন (Best Practices)

  1. Server Validation প্রয়োগ করুন: PEAP ডেপ্লয় করার সময়, RADIUS সার্ভার সার্টিফিকেট যাচাই করার জন্য supplicants কনফিগার না করে কখনই এটি করবেন না। "evil twin" আক্রমণের বিরুদ্ধে এটিই প্রথম স্তরের প্রতিরক্ষা।
  2. Certificate Lifecycle স্বয়ংক্রিয় করুন: EAP-TLS ব্যবহার করার সময়, SCEP বা NDES ব্যবহার করে MDM-এর মাধ্যমে ক্লায়েন্ট সার্টিফিকেট তালিকাভুক্তি এবং নবায়ন স্বয়ংক্রিয় করুন। ম্যানুয়াল সার্টিফিকেট ম্যানেজমেন্ট স্কেল করা যায় না এবং এর ফলে হঠাৎ প্রমাণীকরণ (authentication) ব্যর্থ হতে পারে।
  3. Identity দ্বারা পৃথক করুন: যাচাইকৃত পরিচয়ের উপর ভিত্তি করে VLAN বরাদ্দ করতে RADIUS অ্যাট্রিবিউট ব্যবহার করুন। কর্মীদের ডিভাইস এবং POS টার্মিনাল একই SSID-তে প্রমাণীকরণ করা উচিত তবে সম্পূর্ণ ভিন্ন VLAN-এ থাকা উচিত।
  4. IoT-এর জন্য পরিকল্পনা করুন: বেশিরভাগ IoT ডিভাইসে 802.1X supplicants থাকে না। এই ডিভাইসগুলির জন্য, MAC Address Bypass (MAB) ব্যবহার করুন, তবে নিশ্চিত করুন যে সেগুলি একটি ডেডিকেটেড IoT VLAN-এ কঠোরভাবে বিচ্ছিন্ন রয়েছে।

সমস্যা সমাধান এবং ঝুঁকি হ্রাস (Troubleshooting and Risk Mitigation)

যখন কোনও ডিভাইস সংযোগ করতে ব্যর্থ হয়, তখন সমস্যাটি প্রায়শই ক্লায়েন্ট কনফিগারেশন বা সার্টিফিকেট চেইনের মধ্যে থাকে।

  • "Connected, No Internet": এটি সাধারণত একটি VLAN অ্যাসাইনমেন্ট ব্যর্থতা বা পোস্ট-অথেন্টিকেশন DHCP সমস্যা নির্দেশ করে। Access-Accept মেসেজে সঠিক Tunnel-Private-Group-Id রয়েছে কিনা তা যাচাই করতে RADIUS লগ পরীক্ষা করুন।
  • Windows 11-এ নীরব ব্যর্থতা: সাম্প্রতিক Windows 11 ফিচার আপডেটগুলি (যেমন 24H2) নেটিভ supplicant কীভাবে EAP-TLS ফলব্যাক পরিচালনা করে তা পরিবর্তন করেছে। ব্যাপক ডেপ্লয়মেন্টের আগে সর্বদা নতুন OS বিল্ডের বিপরীতে প্রোফাইলগুলি পরীক্ষা করুন।
  • Certificate-এর মেয়াদ শেষ হওয়া: যদি একদল ডিভাইস হঠাৎ অফলাইন হয়ে যায়, তবে ক্লায়েন্ট সার্টিফিকেটের বৈধতার সময়কাল পরীক্ষা করুন। আপনার MDM যাতে মেয়াদ শেষ হওয়ার আগেই সেগুলি সফলভাবে নবায়ন করে তা নিশ্চিত করুন।

ROI এবং ব্যবসায়িক প্রভাব (ROI and Business Impact)

সঠিকভাবে কনফিগার করা supplicants সহ 802.1X-এ স্থানান্তরিত হওয়া পরিমাপযোগ্য ব্যবসায়িক মূল্য প্রদান করে। শেয়ার্ড পাসওয়ার্ড (Pre-Shared Keys/PSK) বাদ দিয়ে, কর্মচারীরা চলে যাওয়ার সময় পাসওয়ার্ড পরিবর্তন করার অপারেশনাল ঝামেলা আপনি সম্পূর্ণরূপে দূর করতে পারেন। EAP-TLS-এ স্থানান্তরিত হওয়া পাসওয়ার্ড-রিসেট সংক্রান্ত টিকিট সম্পূর্ণরূপে দূর করতে পারে, যা সার্ভিস ডেস্কের জন্য উল্লেখযোগ্য উৎপাদনশীলতার সময় বাঁচায়।

তদুপরি, 802.1X একটি একক SSID-তে পরিচয়-ভিত্তিক নেটওয়ার্ক বিচ্ছিন্নকরণ সক্ষম করে। Guest WiFi , কর্মী এবং অপারেশনগুলির জন্য আলাদা নেটওয়ার্ক সম্প্রচার করার পরিবর্তে, একটি একক SSID ক্লায়েন্ট ক্রেডেনশিয়ালের উপর ভিত্তি করে নিরাপদে ট্রাফিক রাউট করতে পারে। এটি চ্যানেল ইন্টারফেয়ারেন্স হ্রাস করে এবং সামগ্রিক নেটওয়ার্ক কর্মক্ষমতা উন্নত করে, যা হার্ডওয়্যার-অজ্ঞেয়বাদী নেটওয়ার্ক পরিচালনায় Purple-এর ক্লাউড ওভারলে পদ্ধতিকে সরাসরি সমর্থন করে। আরও গভীর বিশ্লেষণাত্মক অন্তর্দৃষ্টির জন্য, আমাদের WiFi Analytics ফিচারটি এক্সপ্লোর করুন।

মূল সংজ্ঞাসমূহ

802.1X Supplicant

একটি ক্লায়েন্ট ডিভাইসের সফ্টওয়্যার উপাদান যা একটি IEEE 802.1X সুরক্ষিত নেটওয়ার্কে যোগদানের জন্য প্রয়োজনীয় অথেনটিকেশন প্রক্রিয়া পরিচালনা করে।

IT টিমগুলো একটি ডিভাইস কীভাবে নেটওয়ার্কের কাছে তার পরিচয় প্রমাণ করবে তা নির্ধারণ করতে supplicant কনফিগার করে।

Authenticator

নেটওয়ার্ক ডিভাইস (সুইচ বা অ্যাক্সেস পয়েন্ট) যা supplicant সফলভাবে অথেনটিকেট না করা পর্যন্ত ট্রাফিক ব্লক করে।

Cisco Meraki বা HPE Aruba এর মতো ভেন্ডরদের হার্ডওয়্যার authenticator হিসেবে কাজ করে, যা ডিভাইস এবং সার্ভারের মধ্যে মেসেজ রিলে করে।

RADIUS

Remote Authentication Dial-In User Service। সার্ভার যা supplicant দ্বারা প্রদত্ত ক্রেডেনশিয়াল যাচাই করে।

RADIUS সার্ভার অ্যাক্সেস দেওয়ার আগে Okta বা Microsoft Entra ID এর মতো ডিরেক্টরির বিপরীতে পরিচয় যাচাই করে।

EAP-TLS

Extensible Authentication Protocol with Transport Layer Security। একটি অথেনটিকেশন পদ্ধতি যার জন্য ক্লায়েন্ট এবং সার্ভার উভয়েরই ডিজিটাল সার্টিফিকেট প্রয়োজন হয়।

পাসওয়ার্ডের প্রয়োজনীয়তা দূর করে এন্টারপ্রাইজ নেটওয়ার্কের জন্য সবচেয়ে নিরাপদ পদ্ধতি হিসেবে বিবেচিত।

PEAP

Protected Extensible Authentication Protocol। একটি অথেনটিকেশন পদ্ধতি যা পাসওয়ার্ড-ভিত্তিক অথেনটিকেশন সুরক্ষিত করতে একটি নিরাপদ TLS টানেল তৈরি করে।

সাধারণত BYOD পরিবেশে ব্যবহৃত হয় যেখানে অনিয়ন্ত্রিত ডিভাইসগুলোতে ক্লায়েন্ট সার্টিফিকেট মোতায়েন করা খুব জটিল।

EAPOL

LAN-এর উপর Extensible Authentication Protocol। এই প্রোটোকলটি supplicant এবং authenticator-এর মধ্যে EAP বার্তাগুলিকে এনক্যাপসুলেট করতে ব্যবহৃত হয়।

অথেনটিকেশনের আগে, EAPOL হল একমাত্র ট্রাফিক যা authenticator পোর্টের মধ্য দিয়ে যাওয়ার অনুমতি দেয়।

MAC Authentication Bypass (MAB)

একটি ফলব্যাক প্রমাণীকরণ পদ্ধতি যেখানে নেটওয়ার্ক ডিভাইসের MAC অ্যাড্রেসকে তার পরিচয় হিসেবে ব্যবহার করে।

প্রিন্টার, ক্যামেরা এবং IoT ডিভাইসের জন্য ব্যবহৃত হয় যেগুলিতে 802.1X supplicant নেই।

VLAN Assignment

একটি নির্দিষ্ট ভার্চুয়াল নেটওয়ার্ক সেগমেন্টে একটি অনুমোদিত ডিভাইসকে ডাইনামিকভাবে স্থাপন করার প্রক্রিয়া।

RADIUS সার্ভার authenticator-কে বলে যে supplicant-এর পরিচয়ের উপর ভিত্তি করে কোন VLAN বরাদ্দ করতে হবে।

সমাধানকৃত উদাহরণসমূহ

একটি ২০০ রুমের হোটেলের তাদের স্টাফ নেটওয়ার্ক সুরক্ষিত করা প্রয়োজন। বর্তমানে একটি শেয়ার্ড পাসওয়ার্ড সহ WPA2-Personal ব্যবহার করছে, তারা 802.1X-এ স্থানান্তরিত হতে চায়। স্টাফরা শিডিউলিংয়ের জন্য কর্পোরেট-মালিকানাধীন Windows ল্যাপটপ এবং ব্যক্তিগত Android ফোনের মিশ্রণ ব্যবহার করে। কীভাবে তাদের supplicant কনফিগার করা উচিত?

হোটেলের একটি হাইব্রিড পদ্ধতি মোতায়েন করা উচিত। কর্পোরেট Windows ল্যাপটপের জন্য, তাদের Microsoft Intune-এর মাধ্যমে কনফিগার করা নেটিভ Windows supplicant ব্যবহার করা উচিত। MDM প্রোফাইলের উচিত EAP-TLS সেটিংস পুশ করা, Root CA ইনস্টল করা এবং SCEP-এর মাধ্যমে ক্লায়েন্ট সার্টিফিকেট এনরোলমেন্ট স্বয়ংক্রিয় করা। ব্যক্তিগত Android ফোনের জন্য, তাদের একটি সেলফ-সার্ভিস পোর্টালের মাধ্যমে একটি থার্ড-পার্টি অনবোর্ডিং এজেন্ট (যেমন SecureW2) মোতায়েন করা উচিত। স্টাফ মেম্বার তাদের Microsoft Entra ID ক্রেডেনশিয়াল ব্যবহার করে পোর্টালে লগইন করেন এবং এজেন্টটি স্বয়ংক্রিয়ভাবে PEAP-MSCHAPv2 এর জন্য নেটিভ Android supplicant কনফিগার করে, যা সার্ভার সার্টিফিকেট ভ্যালিডেশন লকড ইন থাকা নিশ্চিত করে।

পরীক্ষকের মন্তব্য: এই পদ্ধতিটি অপারেশনাল বাস্তবতার সাথে নিরাপত্তার ভারসাম্য বজায় রাখে। যেখানে MDM নিয়ন্ত্রণ রয়েছে সেখানে EAP-TLS প্রয়োগ করা হয়, যা সর্বোচ্চ নিরাপত্তা প্রদান করে। BYOD-এর জন্য PEAP ব্যবহার করা হয় যেখানে ক্লায়েন্ট সার্টিফিকেট বিতরণ করা জটিল, তবে অনবোর্ডিং এজেন্ট এটি নিশ্চিত করে যে supplicant সুরক্ষিতভাবে কনফিগার করা হয়েছে, যা রোগ অ্যাক্সেস পয়েন্টের ঝুঁকি হ্রাস করে।

৫০টি স্টোর সহ একটি বড় রিটেল চেইন নতুন মোবাইল পয়েন্ট-অফ-সেল (POS) ট্যাবলেট চালু করছে। PCI DSS এর জন্য কঠোর নেটওয়ার্ক আইসোলেশন প্রয়োজন। কীভাবে supplicant কনফিগারেশন কমপ্লায়েন্স নিশ্চিত করবে?

ট্যাবলেটগুলো MDM এর মাধ্যমে পরিচালনা করা উচিত। MDM একটি নেটিভ supplicant কনফিগারেশন প্রোফাইল পুশ করে যা EAP-TLS প্রয়োগ করে। প্রতিটি ট্যাবলেট একটি অনন্য ক্লায়েন্ট সার্টিফিকেট পায় যাতে একটি অ্যাট্রিবিউট থাকে যা এটিকে POS ডিভাইস হিসেবে চিহ্নিত করে। যখন ট্যাবলেটের supplicant অথেনটিকেট করে, তখন RADIUS সার্ভার এই অ্যাট্রিবিউটটি পড়ে এবং বিশেষভাবে PCI-কমপ্লায়েন্ট নেটওয়ার্ক সেগমেন্টের জন্য একটি VLAN অ্যাসাইনমেন্ট ফেরত দেয়। supplicant কনফিগারেশন লক ডাউন করা আবশ্যক যাতে স্টোর স্টাফ নেটওয়ার্ক সেটিংস পরিবর্তন করতে না পারে।

পরীক্ষকের মন্তব্য: সার্টিফিকেট-ভিত্তিক VLAN অ্যাসাইনমেন্ট সহ EAP-TLS ব্যবহার করা ওয়্যারলেস নেটওয়ার্কে PCI কমপ্লায়েন্স অর্জনের পাঠ্যপুস্তকীয় পদ্ধতি। এটি নেটওয়ার্ক সেগমেন্টেশন থেকে মানুষের ভুল দূর করে এবং এটি নিশ্চিত করে যে ডিভাইসটি অসাবধানতাবশত কম সুরক্ষিত স্টাফ বা [Retail](/industries/retail) গেস্ট নেটওয়ার্কের সাথে সংযুক্ত হতে পারবে না।

অনুশীলনী প্রশ্নসমূহ

Q1. আপনার প্রতিষ্ঠান একটি নতুন কর্মীদের BYOD নেটওয়ার্কের জন্য PEAP-MSCHAPv2 স্থাপন করছে। পরীক্ষার সময়, আপনি লক্ষ্য করেছেন যে ডিভাইসগুলি একই SSID ব্রডকাস্ট করা একটি টেস্ট অ্যাক্সেস পয়েন্টের সাথে সংযোগ করতে পারে, যদিও এটি আপনার RADIUS সার্ভারের সাথে সংযুক্ত নয়। কোন supplicant কনফিগারেশন ধাপটি মিস করা হয়েছিল?

ইঙ্গিত: MSCHAPv2 ক্রেডেনশিয়াল পাঠানোর আগে supplicant কীভাবে নেটওয়ার্কের পরিচয় যাচাই করে তা বিবেচনা করুন।

মডেল উত্তর দেখুন

supplicant-কে সার্ভার সার্টিফিকেট যাচাই করার জন্য কনফিগার করা হয়নি। PEAP-এ, RADIUS সার্ভারের সার্টিফিকেট ইস্যুকারী নির্দিষ্ট Root CA-কে বিশ্বাস করতে এবং সার্ভারের ডোমেন নাম যাচাই করতে supplicant-কে স্পষ্টভাবে কনফিগার করতে হবে। এটি ছাড়া, supplicant সার্টিফিকেট উপস্থাপনকারী যেকোনো সার্ভারের সাথে একটি TLS টানেল স্থাপন করবে, যা ব্যবহারকারীর ক্রেডেনশিয়ালকে একটি অননুমোদিত অ্যাক্সেস পয়েন্টের কাছে প্রকাশ করে দেবে।

Q2. একটি বিশ্ববিদ্যালয় তার পরিচালিত Windows ল্যাপটপ বহরকে PEAP থেকে EAP-TLS-এ স্থানান্তরিত করছে। তারা MDM-এর মাধ্যমে নতুন কনফিগারেশন প্রোফাইল পুশ করে, কিন্তু সমস্ত ডিভাইস প্রমাণীকরণ করতে ব্যর্থ হয়। RADIUS লগগুলি 'EAP-TLS failed SSL/TLS handshake' প্রদর্শন করছে। সবচেয়ে সম্ভাব্য কারণ কী?

ইঙ্গিত: EAP-TLS-এর জন্য পারস্পরিক প্রমাণীকরণ প্রয়োজন। PEAP-এর জন্য যা প্রয়োজন ছিল না, ক্লায়েন্টের জন্য এমন কী প্রয়োজন?

মডেল উত্তর দেখুন

ক্লায়েন্ট ডিভাইসগুলিতে একটি বৈধ ক্লায়েন্ট সার্টিফিকেটের অভাব রয়েছে। EAP-TLS-এর জন্য supplicant-কে RADIUS সার্ভারে একটি সার্টিফিকেট উপস্থাপন করতে হয়। MDM প্রোফাইলটি কেবল EAP পদ্ধতিকে TLS-এ সেট করার জন্যই নয়, বরং প্রমাণীকরণের চেষ্টা করার আগে প্রতিষ্ঠানের PKI থেকে ক্লায়েন্ট সার্টিফিকেটের অনুরোধ এবং ইনস্টল করার জন্য SCEP-এর মতো একটি প্রোটোকল ট্রিগার করার জন্যও কনফিগার করতে হবে।

Q3. আপনাকে একটি [Healthcare](/industries/healthcare) পরিবেশে নেটওয়ার্কের সাথে ৫০টি স্মার্ট TV সংযুক্ত করতে হবে। TV-গুলি কেবল WPA2-Personal (Pre-Shared Key) সমর্থন করে এবং এগুলিতে কোনো 802.1X supplicant নেই। কর্মীদের ডিভাইসের জন্য 802.1X বজায় রাখার সাথে সাথে আপনি কীভাবে তাদের অ্যাক্সেস সুরক্ষিত করবেন?

ইঙ্গিত: ডিভাইসটি যদি EAP-তে কথা বলতে না পারে, তবে authenticator-কে অবশ্যই অন্য উপায়ে এটি সনাক্ত করতে হবে।

মডেল উত্তর দেখুন

আপনার MAC Authentication Bypass (MAB) ব্যবহার করা উচিত। authenticator স্মার্ট TV-এর MAC অ্যাড্রেসকে ব্যবহারকারীর নাম এবং পাসওয়ার্ড হিসেবে ব্যবহার করবে যা RADIUS সার্ভারে পাঠানো হয়। যেহেতু MAC অ্যাড্রেস স্পুফ করা যেতে পারে, তাই RADIUS সার্ভারকে এই ডিভাইসগুলিকে একটি অত্যন্ত সীমাবদ্ধ, বিচ্ছিন্ন IoT VLAN-এ বরাদ্দ করার জন্য কনফিগার করতে হবে যা কেবল প্রয়োজনীয় ট্রাফিকের অনুমতি দেয়।

এই সিরিজে পড়া চালিয়ে যান

Guest এবং Staff WiFi নেটওয়ার্কের জন্য RADIUS Authentication কনফিগার করা

এই টেকনিক্যাল রেফারেন্স গাইডটি এন্টারপ্রাইজ guest এবং staff WiFi নেটওয়ার্কের জন্য RADIUS authentication-এর আর্কিটেকচার, কনফিগারেশন এবং ডিপ্লয়মেন্টের রূপরেখা প্রদান করে। এটি নেটওয়ার্ক আর্কিটেক্ট এবং IT ম্যানেজারদের সুরক্ষিত, স্কেলযোগ্য ওয়্যারলেস অ্যাক্সেস কন্ট্রোল সিস্টেম তৈরি করার জন্য প্রয়োজনীয় সঠিক প্রোটোকল, সিকিউরিটি স্ট্যান্ডার্ড এবং ট্রাবলশুটিং মেথডোলজি প্রদান করে।

গাইডটি পড়ুন →

Passpoint এবং OpenRoaming: সম্পূর্ণ নির্দেশিকা

এই প্রযুক্তিগত রেফারেন্স নির্দেশিকাটি এন্টারপ্রাইজ WiFi নেটওয়ার্কের মধ্যে Passpoint (Hotspot 2.0) এবং WBA OpenRoaming ফ্রেমওয়ার্কের একটি বিস্তৃত বিশ্লেষণ প্রদান করে। এটি একটি নিরাপদ, ঝামেলামুক্ত অতিথি সংযোগ স্থাপন করার জন্য প্রয়োজনীয় অন্তর্নিহিত প্রমাণীকরণ প্রোটোকল, আর্কিটেকচারাল উপাদান এবং স্থাপনার কৌশলগুলি বিস্তারিতভাবে বর্ণনা করে। নেটওয়ার্ক স্থপতি এবং IT লিডাররা এন্টারপ্রাইজ-গ্রেড নিরাপত্তা বজায় রেখে ম্যানুয়াল লগইন বাধাগুলি দূর করতে কীভাবে এই মানগুলি ডিজাইন, বাস্তবায়ন এবং সমস্যা সমাধান করবেন তা শিখবেন।

গাইডটি পড়ুন →

উচ্চশিক্ষায় সুরক্ষিত BYOD এবং নেটওয়ার্ক এনরোলমেন্টের জন্য কীভাবে SCEP বাস্তবায়ন করবেন

এই প্রযুক্তিগত নির্দেশিকাটি নেটওয়ার্ক আর্কিটেক্ট এবং IT ম্যানেজারদের উচ্চশিক্ষার ক্যাম্পাস নেটওয়ার্ক সুরক্ষিত করতে SCEP ভিত্তিক সার্টিফিকেট এনরোলমেন্ট স্থাপনের জন্য একটি ভেন্ডর - নিরপেক্ষ ব্লুপ্রিন্ট প্রদান করে। এটি কীভাবে পাসওয়ার্ড ভিত্তিক PEAP থেকে 802.1X EAP-TLS-এ স্থানান্তরিত হতে হবে, BYOD অনবোর্ডিং স্বয়ংক্রিয় করতে হবে এবং শক্তিশালী VLAN সেগমেন্টেশন কার্যকর করতে হবে তা বিস্তারিতভাবে বর্ণনা করে।

গাইডটি পড়ুন →