WatchGuard Wi-Fi Cloud AP এবং guest WiFi: Purple এর সাথে captive portal সেটআপ

ইন্টিগ্রেশন ব্রিফিংয়ে আপনাকে স্বাগত। আজ আমরা Purple WiFi-এর সাথে WatchGuard Firebox এবং Access Point ইন্টিগ্রেশন আলোচনা করব। এটি IT ম্যানেজার, নেটওয়ার্ক আর্কিটেক্ট এবং ভেন্যু অপারেশনস ডিরেক্টরদের জন্য একটি টেকনিক্যাল প্লেবুক যাদের সুরক্ষিত, স্কেলেবল ওয়্যারলেস পরিকাঠামো স্থাপন করতে হবে। আমরা গেস্ট WiFi Captive Portal, 802.1X ব্যবহার করে সুরক্ষিত স্টাফ WiFi এবং WatchGuard Private Pre-Shared Keys বা PPSK ব্যবহার করে মাল্টি-টেন্যান্ট সেগমেন্টেশন পর্যালোচনা করব। চলুন সরাসরি প্রসঙ্গে যাওয়া যাক। আপনি যখন কোনো জটিল ভেন্যু যেমন একটি স্টেডিয়াম, একটি বড় রিটেল সেন্টার বা মাল্টি-ডুয়েলিং ইউনিট পরিচালনা করছেন, তখন নেটওয়ার্ক কার অ্যাক্সেস আছে এবং কানেক্ট হওয়ার পর তারা কী করতে পারবে সে বিষয়ে আপনার নিখুঁত নিয়ন্ত্রণের প্রয়োজন হয়। মার্কেটিং রেভিনিউ বাড়াতে আপনার ফার্স্ট-পার্টি ডেটা সংগ্রহ করারও প্রয়োজন হয়। WatchGuard ইউনিফাইড সিকিউরিটি প্ল্যাটফর্ম এবং হার্ডওয়্যার প্রদান করে। Purple ক্লাউড ওভারলে, আইডেন্টিটি ম্যানেজমেন্ট এবং অ্যানালিটিক্স প্রদান করে। এই দুটিকে ইন্টিগ্রেট করার মাধ্যমে, আপনি আইডেন্টিটি-ভিত্তিক অ্যাক্সেস কন্ট্রোল অটোমেট করতে পারেন। এর ফলে আলাদা গেস্ট এবং স্টাফ গেটওয়ের প্রয়োজনীয়তা থাকে না, যা হার্ডওয়্যার খরচ কমায় এবং ম্যানেজমেন্ট সহজ করে তোলে। Purple বর্তমানে ৮০,০০০-এরও বেশি লাইভ ভেন্যুতে পরিষেবা দিচ্ছে এবং শুধুমাত্র ২০২৪ সালেই ৪৪০ মিলিয়ন লগইন প্রসেস করেছে, তাই আপনি যে কোনো ভেন্যু পরিচালনা করতে পারেন না কেন, তার স্কেল অনুযায়ী কাজ করার জন্য এই প্ল্যাটফর্মটি তৈরি করা হয়েছে। আসুন টেকনিক্যাল ডিপ-ডাইভের দিকে এগিয়ে যাই। এই আর্কিটেকচারটি স্ট্যান্ডার্ড RADIUS প্রোটোকল এবং HTTP রিডাইরেকশনের উপর নির্ভর করে। আমাদের কাছে তিনটি প্রধান অ্যাক্সেস টিয়ার রয়েছে। প্রথমত, গেস্ট WiFi। এটি একটি ওপেন SSID। WatchGuard AP মূলত HTTP রিকোয়েস্ট ইন্টারসেপ্ট করে এবং ব্যবহারকারীকে Purple-এর হোস্ট করা স্প্ল্যাশ পেজে রিডাইরেক্ট করে। দ্বিতীয়ত, স্টাফ WiFi। এটি 802.1X ব্যবহার করে একটি সুরক্ষিত WPA3-Enterprise SSID। ডিভাইসগুলো EAP-TLS বা PEAP ব্যবহার করে সরাসরি Purple-এর RADIUS সার্ভারের সাথে অথেন্টিকেট করে। তৃতীয়ত, মাল্টি-টেন্যান্ট WiFi। এটি WatchGuard PPSK ব্যবহার করে। একাধিক ব্যবহারকারী একটি সিঙ্গেল SSID-এর সাথে কানেক্ট হন, কিন্তু প্রত্যেকে একটি ইউনিক পাসওয়ার্ড ব্যবহার করেন। WatchGuard AP মূলত Purple-এর RADIUS সার্ভারকে কোয়েরি করে, যা পরে সেই নির্দিষ্ট কির উপর ভিত্তি করে ডাইনামিকালি একটি VLAN অ্যাসাইন করে। তাহলে, আমরা গেস্ট WiFi Captive Portal কীভাবে কনফিগার করব? প্রথম ধাপ হলো WatchGuard Cloud বা Firebox পলিসি ম্যানেজারে RADIUS সার্ভার সেট আপ করা। আপনি প্রাইমারি RADIUS সার্ভারটিকে আপনার অঞ্চলের জন্য নির্ধারিত Purple-এর IP অ্যাড্রেসে নির্দেশ করবেন। অথেন্টিকেশন পোর্ট ১৮১২-এ এবং অ্যাকাউন্টিং পোর্ট ১৮১৩-এ হবে। আপনি Purple-এর প্রদান করা শেয়ার্ড সিক্রেটটি ইনপুট করবেন এবং অত্যন্ত গুরুত্বপূর্ণ বিষয় হলো, আপনাকে নিশ্চিত করতে হবে যেন NAS ID-টি Firebox বা AP-এর MAC অ্যাড্রেসের সাথে ম্যাচ করে। এটি Purple-কে জানায় যে রিকোয়েস্টটি কোন ভেন্যু থেকে আসছে। দ্বিতীয় ধাপ হলো স্বয়ং Captive Portal রিডাইরেকশন। SSID সেটিংসে, আপনি RADIUS Authentication সহ Third-Party Hosted Captive Portal সিলেক্ট করবেন। আপনি Purple স্প্ল্যাশ পেজের URL লিখবেন এবং পোর্টাল শেয়ার্ড সিক্রেটটি ইনপুট করবেন। এটি Purple Analyze ড্যাশবোর্ডে জেনারেট হওয়া একটি নির্দিষ্ট সিক্রেট এবং এটি অথেন্টিকেশন রিকোয়েস্ট ভ্যালিডেট করার জন্য একটি HMAC ডাইজেস্ট তৈরি করতে ব্যবহৃত হয়। HMAC-SHA1 অ্যালগরিদম নিশ্চিত করে যে Purple থেকে আসা অথেন্টিকেশন সফল হওয়ার মেসেজটি জেনুইন এবং ট্রানজিটের সময় এতে কোনো পরিবর্তন বা ট্যাম্পারিং করা হয়নি।ধাপ তিন, এবং এখানে অনেক ডেপ্লয়মেন্টই বাধার সম্মুখীন হয়, তা হলো Walled Garden। আপনি যদি এটি কনফিগার না করেন, তবে ডিভাইসটি স্প্ল্যাশ পেজ লোড করতে পারবে না। লগইন করার আগে আপনাকে star dot mypurple dot com, api dot mypurple dot com, এবং cdn dot mypurple dot com-এ অ্যাক্সেস অনুমোদিত করতে হবে। আপনি যদি Microsoft Entra ID বা Google Workspace-এর মতো সোশ্যাল লগইন ব্যবহার করেন, তবে আপনাকে সেই আইডেন্টিটি প্রোভাইডার ডোমেনগুলোও যোগ করতে হবে। Walled Garden-কে প্রি-অথেন্টিকেশন লবি হিসেবে বিবেচনা করুন। এটি ছাড়া, গেস্ট এমনকি সদর দরজাতেও পৌঁছাতে পারবে না। এখন, WatchGuard PPSK-এর মাধ্যমে Multi-Tenant সেগমেন্টেশন আলোচনা করা যাক। আপনি যদি ১৫টি দোকান বিশিষ্ট একটি রিটেল সেন্টার পরিচালনা করেন, তবে ১৫টি ভিন্ন SSID ব্রডকাস্ট করা একটি অত্যন্ত দুর্বল পদ্ধতি। এটি কো-চ্যানেল ইন্টারফারেন্স ঘটায়, এয়ারস্পেসকে জটলাপূর্ণ করে তোলে এবং ম্যানেজমেন্টের কাজের চাপ বাড়ায়। PPSK এটির চমৎকার সমাধান করে। আপনি একটি SSID ব্রডকাস্ট করবেন, ধরা যাক Centre-Retail। আপনি WatchGuard SSID সেটিংসে Private Pre-Shared Key চালু করবেন, যার জন্য আপনার WatchGuard Access Points-এ ফার্মওয়্যার সংস্করণ ২.৬ বা তার বেশি থাকা প্রয়োজন। Purple-এ, আপনি প্রতিটি টেন্যান্টের জন্য একটি করে ইউনিক কী তৈরি করবেন। ট্রাফিক আইসোলেট করার জন্য, আপনি Dynamic VLAN Assignment ব্যবহার করবেন। WatchGuard Cloud-এ, আপনি VLAN-কে Dynamic VLAN assigned by RADIUS-এ সেট করবেন। কোনো দোকান যখন তাদের নির্দিষ্ট কী ব্যবহার করে একটি ডিভাইস কানেক্ট করে, তখন AP Purple-এর RADIUS সার্ভারে একটি Access-Request পাঠায়। Purple কী-টি যাচাই করে এবং তিনটি গুরুত্বপূর্ণ IETF RADIUS অ্যাট্রিবিউটসহ একটি Access-Accept প্যাকেট ফেরত পাঠায়। Tunnel-Type, যা অ্যাট্রিবিউট ৬৪, VLAN-এ সেট করা থাকে। Tunnel-Medium-Type, অ্যাট্রিবিউট ৬৫, 802-এ সেট করা থাকে। এবং Tunnel-Private-Group-ID, অ্যাট্রিবিউট ৮১, যা অ্যাসাইন করা VLAN ID-তে সেট করা থাকে, যেমন Retail Tenant A-এর জন্য VLAN 100। WatchGuard AP তখন সেই ডিভাইসটিকে VLAN 100-এ স্থাপন করে, যা অন্য টেন্যান্টদের থেকে সম্পূর্ণ আলাদা। এটিই বাস্তবে প্রয়োগকৃত Identity-Based Networking। চলুন ইমপ্লিমেন্টেশন সংক্রান্ত সুপারিশ এবং সাধারণ ভুলত্রুটিগুলো নিয়ে আলোচনা করা যাক। প্রথমত, সেশন টাইমআউট। রি-অথেন্টিকেশন বাধ্য করতে Purple এবং WatchGuard উভয়ের মধ্যেই কঠোর সেশন টাইমআউট কনফিগার করুন। এটি আপনার অ্যানালিটিক্স সঠিক রাখে এবং পুরানো সেশনগুলো যাতে ব্যান্ডউইথ অপচয় না করে তা নিশ্চিত করে। আপনার RADIUS Interim-Update ইন্টারভাল ১০ মিনিটে সেট করুন। দ্বিতীয়ত, ফার্মওয়্যার। PPSK সমর্থন করার জন্য আপনার WatchGuard Access Points-এ ফার্মওয়্যার সংস্করণ ২.৬ বা তার বেশি চলছে কিনা তা আপনাকে নিশ্চিত করতে হবে। পূর্ববর্তী ফার্মওয়্যার সংস্করণগুলো এই ফিচারটি সমর্থন করে না। তৃতীয়ত, MAC র্যান্ডমাইজেশন। আধুনিক ডিভাইসগুলো ডিফল্টরূপে তাদের MAC অ্যাড্রেস র্যান্ডমাইজ করে। আপনার সুরক্ষিত স্টাফ WiFi নেটওয়ার্কের জন্য, স্থিতিশীল 802.1X অথেন্টিকেশন নিশ্চিত করতে সেই নির্দিষ্ট SSID-এর জন্য এই ফিচারটি নিষ্ক্রিয় করতে আপনার স্টাফদের নির্দেশ দিন। MAC র্যান্ডমাইজেশন অথেন্টিকেশনের ব্যর্থতা এবং অসামঞ্জস্যপূর্ণ অ্যানালিটিক্স ডেটার কারণ হতে পারে। কোনো কিছু ভুল হলে কী ঘটে? যদি Captive Portal লোড হতে ব্যর্থ হয়, তাহলে প্রথমে Walled Garden পরীক্ষা করুন। ডিভাইসটি যদি DNS রিসলভ করতে বা Purple সার্ভারগুলিতে পৌঁছাতে না পারে, তাহলে এটি স্প্ল্যাশ পেজের পরিবর্তে একটি টাইমআউট ত্রুটি দেখাবে। যদি VLAN স্টিয়ারিং ব্যর্থ হয় এবং ক্লায়েন্ট ভুল VLAN থেকে একটি IP পায়, তাহলে Purple পোর্টালে RADIUS লগগুলি পরীক্ষা করুন। Tunnel-Private-Group-ID অ্যাট্রিবিউটটি একটি স্ট্রিং হিসাবে সঠিকভাবে ফর্ম্যাট করা হয়েছে এবং AP-এর সাথে সংযুক্ত সুইচ পোর্টে বাস্তবে বিদ্যমান একটি VLAN-এর সাথে মিলেছে কিনা তা নিশ্চিত করুন। আপনি যদি WatchGuard লগগুলিতে HMAC ডাইজেস্ট ত্রুটি দেখতে পান, তবে আপনার Captive Portal Shared Secret-টি WatchGuard এবং Purple-এর মধ্যে মিলছে না। এটি উভয় সিস্টেমে প্রতিটি অক্ষরে হুবহু এক হতে হবে। এবার দ্রুত কিছু প্রশ্নোত্তর। প্রশ্ন: আমি কি একই SSID-তে PPSK এবং Captive Portal ব্যবহার করতে পারি? উত্তর: না। WatchGuard একই SSID-তে একই সাথে PPSK-এর মাধ্যমে ডায়নামিক VLAN এবং একটি Captive Portal চালানো সমর্থন করে না। পোর্টালের জন্য আপনার একটি SSID এবং PPSK-এর জন্য একটি পৃথক SSID প্রয়োজন। সেই অনুযায়ী আপনার SSID আর্কিটেকচার পরিকল্পনা করুন। প্রশ্ন: RADIUS সার্ভার যদি কোনো PPSK ব্যবহারকারীর জন্য VLAN ID রিটার্ন না করে তবে কী হবে? উত্তর: WatchGuard Cloud-এ, আপনি একটি Unassigned Clients ফলব্যাক বিকল্প কনফিগার করতে পারেন। তারা যাতে করপোরেট নেটওয়ার্কে অ্যাক্সেস না পায় তা নিশ্চিত করতে আপনি তাদের একটি আনট্যাগড VLAN বা একটি নির্দিষ্ট আইসোলেটেড কোয়ারেন্টাইন VLAN-এ পাঠাতে পারেন। অনাকাঙ্ক্ষিত অ্যাক্সেস এড়াতে সর্বদা এই ফলব্যাকটি কনফিগার করুন। সংক্ষেপে, WatchGuard Firebox-এর সাথে Purple একত্রিত করলে তা আপনাকে Guest, Staff এবং মাল্টি-টেন্যান্ট নেটওয়ার্ক জুড়ে নিরাপত্তা, পরিচয় এবং অ্যানালিটিক্সের জন্য একটি ইউনিফাইড প্ল্যাটফর্ম প্রদান করে। আপনি অতিথিদের জন্য এক্সটার্নাল Captive Portal রিডাইরেকশন, স্টাফদের জন্য 802.1X এবং মাল্টি-টেন্যান্ট পরিবেশের জন্য ডায়নামিক VLAN সহ PPSK ব্যবহার করবেন। এর ROI স্পষ্ট। আপনি গেটওয়েগুলিকে একীভূত করে হার্ডওয়্যার খরচ হ্রাস করছেন, একটি একক ক্লাউড প্ল্যাটফর্মের মাধ্যমে পরিচালনা সহজ করছেন এবং Purple Captive Portal-এর মাধ্যমে ফার্স্ট-পার্টি ডেটা সংগ্রহ করে রাজস্ব বৃদ্ধি করছেন। আপনার পরবর্তী পদক্ষেপগুলি হলো আপনার বর্তমান SSID আর্কিটেকচার পর্যালোচনা করা, আপনার WatchGuard ফার্মওয়্যার সংস্করণ ২.৬ বা তার বেশি কিনা তা নিশ্চিত করা এবং Purple পোর্টালে আপনার RADIUS সেটিংস কনফিগার করা শুরু করা। শোনার জন্য ধন্যবাদ।