বাধ্যতামূলক সার্ভার-সার্টিফিকেট ভ্যালিডেশন
ক্রেডেনশিয়াল পাঠানোর আগে ক্লায়েন্টদের অবশ্যই RADIUS সার্ভারের সার্টিফিকেট যাচাই করতে হবে। এটি ইভিল-টুইন অ্যাটাক বন্ধ করে যা ভুলভাবে কনফিগার করা WPA2-Enterprise মোতায়েনকে জর্জরিত করেছিল।
WPA2 এবং WPA3-Enterprise। সুরক্ষিত WiFi, শেয়ার করা পাসওয়ার্ড ছাড়াই।
আপনার বিদ্যমান অ্যাক্সেস পয়েন্টগুলিতে 802.1X সহ WPA2-Enterprise বা WPA3-Enterprise মোতায়েন করুন। প্রতিটি ব্যবহারকারী আপনার আইডেন্টিটি প্রোভাইডারের বিপরীতে অথেন্টিকেট করে, প্রতিটি ডিভাইস একটি অনন্য সেশন কী পায় এবং এক ক্লিকেই ডিভাইস-প্রতি অ্যাক্সেস প্রত্যাহার করা যেতে পারে। Purple একটি ক্লাউড সার্ভিস হিসেবে RADIUS এবং সার্টিফিকেট ইনফ্রাস্ট্রাকচার পরিচালনা করে — আপনি আপনার ইতিমধ্যে মালিকানাধীন হার্ডওয়্যারটিই ব্যবহার করতে পারবেন।
TL;DR / Key Takeaways
- WPA2 and WPA3-Enterprise offer the highest level of WiFi security, utilizing 802.1X authentication to secure connections.
- Instead of a single pre-shared key (PSK), each user or device authenticates uniquely, preventing lateral movement and shared-password leaks.
- Provides centralized visibility and immediate revocation of access when employees leave or devices are compromised.
- Integrates natively with Identity Providers (IdP) like Microsoft Entra ID, Okta, and Google Workspace for seamless onboarding.
Personal বনাম Enterprise — সঠিক মোডটি বেছে নিন
WPA স্ট্যান্ডার্ডের দুটি মোড রয়েছে। WPA-Personal (WPA2-PSK, WPA3-SAE) একটি একক পাসওয়ার্ড ব্যবহার করে যা SSID-তে যোগদানকারী প্রত্যেকের মধ্যে শেয়ার করা হয়। একটি বাড়ির জন্য যথেষ্ট। WPA-Enterprise একটি RADIUS সার্ভারের বিপরীতে 802.1X এর মাধ্যমে প্রতিটি ব্যবহারকারী বা ডিভাইসকে আলাদাভাবে অথেন্টিকেট করে। যে কোনও ভেন্যুর জন্য এটি প্রয়োজন যা রিভোকেশন, অডিট বা কমপ্লায়েন্সের বিষয়ে গুরুত্ব দেয়।
| WPA-Personal (PSK / SAE) | WPA-Enterprise (802.1X) | |
|---|---|---|
| ক্রেডেনশিয়াল | শেয়ার করা পাসফ্রেজ | ব্যবহারকারী-প্রতি সার্টিফিকেট, পাসওয়ার্ড বা iPSK |
| ইনফ্রাস্ট্রাকচার | শুধুমাত্র অ্যাক্সেস পয়েন্টগুলি | APs + RADIUS সার্ভার (অথবা RADIUS-as-a-Service) |
| রিভোকেশন | নেটওয়ার্ক-ব্যাপী পাসফ্রেজ পরিবর্তন করুন | IdP-তে একজন ব্যবহারকারীকে নিষ্ক্রিয় করুন |
| অডিট ট্রেইল | কিছুই নেই — সব ডিভাইস দেখতে একই রকম | ব্যবহারকারী-প্রতি সেশন লগ |
| সঠিক | বাড়ি, ছোট একক-ট্রাস্ট ভেন্যু | অফিস, হোটেল, ক্যাম্পাস, স্টেডিয়াম, যে কোনও নিয়ন্ত্রিত স্থান |
WPA3-Enterprise বনাম WPA2-Enterprise
WPA3 শুধুমাত্র একটি বড় WPA2 নয়। এন্টারপ্রাইজ মোতায়েনের জন্য চারটি পরিবর্তন গুরুত্বপূর্ণ।
প্রোটেক্টেড ম্যানেজমেন্ট ফ্রেম (PMF)
ডিঅথেন্টিকেশন এবং ডিসঅ্যাসোসিয়েশন ফ্রেমগুলি ক্রিপ্টোগ্রাফিকভাবে সাইন করা থাকে, তাই আক্রমণকারীরা আর স্পুফড ফ্রেমের মাধ্যমে ক্লায়েন্টদের নেটওয়ার্ক থেকে বিচ্ছিন্ন করতে পারবে না।
১৯২-বিট Suite B মোড
সরকার, প্রতিরক্ষা এবং গুরুত্বপূর্ণ ইনফ্রাস্ট্রাকচারের জন্য ঐচ্ছিক উচ্চ-নিরাপত্তা মোড। পুরোটা জুড়ে Suite B ক্রিপ্টোগ্রাফি — কী এক্সচেঞ্জ, এনক্রিপশন এবং MAC।
ব্যাকওয়ার্ডস কম্প্যাটিবিলিটি
WPA3-Enterprise একই SSID-তে WPA2-এর সাথে ট্রানজিশন মোডে চলতে পারে, তাই আপনার হার্ড কাটওভারের প্রয়োজন নেই। নতুন ক্লায়েন্টরা WPA3 নেগোশিয়েট করে; পুরনোরা WPA2-Enterprise-এ ফিরে যায়।
802.1X অথেন্টিকেশন ফ্লো
তিনটি পক্ষ, একটি হ্যান্ডশেক। আপনি EAP-TLS, PEAP বা EAP-TTLS ব্যবহার করুন না কেন সিকোয়েন্সটি একই।
- supplicant (ক্লায়েন্ট ল্যাপটপ, ফোন, IoT) যুক্ত হওয়ার চেষ্টা করে।
- authenticator (অ্যাক্সেস পয়েন্ট) ক্লায়েন্টকে একটি 802.1X অনিয়ন্ত্রিত পোর্টে রাখে, শুধুমাত্র EAP ফ্রেম রিলে করে।
- supplicant তার ক্রেডেনশিয়াল উপস্থাপন করে — একটি সার্টিফিকেট (EAP-TLS), একটি ইউজারনেম + পাসওয়ার্ড (PEAP), অথবা একটি iPSK।
- অথেন্টিকেশন সার্ভার (RADIUS) আইডেন্টিটি প্রোভাইডারের বিপরীতে ক্রেডেনশিয়াল যাচাই করে।
- RADIUS VLAN এবং পলিসি সহ
Access-Acceptরিপ্লাই দেয়; AP সঠিক সেগমেন্টে নিয়ন্ত্রিত পোর্টটি খুলে দেয়। - সেশন কী 802.1X হ্যান্ডশেক থেকে প্রাপ্ত হয় — যা এই ডিভাইস এবং এই সেশনের জন্য অনন্য।
Purple কীভাবে WPA-Enterprise মোতায়েন করে
Purple ক্লাউড সার্ভিস হিসেবে RADIUS এবং (ঐচ্ছিকভাবে) সার্টিফিকেট অথরিটি পরিচালনা করে। আপনি আপনার বিদ্যমান অ্যাক্সেস পয়েন্টগুলি ব্যবহার করতে পারবেন।
- Day 0: আপনার IdP (Entra ID, Okta, Google Workspace) কানেক্ট করুন। EAP পদ্ধতি বেছে নিন — ম্যানেজড ফ্লিটের জন্য EAP-TLS, ট্রানজিশনাল মোতায়েনের জন্য PEAP, BYOD-এর জন্য iPSK।
- Day 1: অ্যাক্সেস পয়েন্টগুলির RADIUS সেটিং Purple-এর দিকে পয়েন্ট করুন। WPA2 বা WPA3-Enterprise-এর জন্য SSID কনফিগার করুন। MDM-এর মাধ্যমে অনবোর্ডিং প্রোফাইল পুশ করুন।
- Ongoing: ব্যবহারকারীদের SCIM-এর মাধ্যমে প্রোভিশন এবং ডি-প্রোভিশন করা হয় — কোনও ম্যানুয়াল WiFi পাসওয়ার্ড পরিবর্তনের প্রয়োজন নেই। সার্টিফিকেট স্বয়ংক্রিয়ভাবে রিনিউ হয়। SIEM ওয়েবহুকের মাধ্যমে সম্পূর্ণ অথেন্টিকেশন লগ পায়।
Purple প্রোডাক্ট জুড়ে কভারেজ
- Staff WiFi: ম্যানেজড ল্যাপটপের জন্য EAP-TLS এবং লেগ্যাসি ডিভাইসের জন্য PEAP সহ WPA2/3-Enterprise।
- Multi-Tenant WiFi: একটি একক SSID-তে iPSK, যেখানে প্রতিটি টেন্যান্ট একটি প্রাইভেট এরিয়া নেটওয়ার্কে আইসোলেটেড থাকে।
- Guest WiFi: পাবলিক SSID-তে OpenRoaming/Passpoint, যেখানে উপযুক্ত সেখানে ফলব্যাক হিসেবে WPA3-Enhanced Open থাকে।
- Passwordless WiFi: বিস্তৃত হাব যা EAP-TLS, iPSK, Passpoint এবং SAML কভার করে।
- RADIUS-as-a-Service: ক্লাউড RADIUS ইঞ্জিন যা প্রতিটি যোগদানের অনুরোধ অথেন্টিকেট করে।
সচরাচর জিজ্ঞাসিত প্রশ্ন
WPA-Enterprise কী?
WPA-Enterprise হল IEEE 802.11 সিকিউরিটি মোড যা সংস্থাগুলির জন্য ডিজাইন করা হয়েছে। একটি একক শেয়ার করা পাসওয়ার্ডের (WPA-Personal) পরিবর্তে, প্রতিটি ব্যবহারকারী বা ডিভাইস 802.1X এর মাধ্যমে একটি RADIUS সার্ভারের বিপরীতে আলাদাভাবে অথেন্টিকেট করে, সাধারণত একটি সার্টিফিকেট (EAP-TLS) বা ইউজারনেম এবং পাসওয়ার্ড (PEAP) দিয়ে। প্রতিটি সেশন একটি অনন্য এনক্রিপশন কী পায় এবং নেটওয়ার্কের বাকি অংশে ব্যাঘাত না ঘটিয়ে ডিভাইস-প্রতি অ্যাক্সেস প্রত্যাহার করা যেতে পারে।
WPA2-Enterprise এবং WPA3-Enterprise-এর মধ্যে পার্থক্য কী?
WPA3-Enterprise, WPA2-Enterprise-এর পরিচিত দুর্বলতাগুলি সমাধান করে। সবচেয়ে গুরুত্বপূর্ণ পরিবর্তনগুলি হল: সার্ভার-সার্টিফিকেট ভ্যালিডেশন এখন বাধ্যতামূলক (যা WPA2-কে জর্জরিত করা ইভিল-টুইন অ্যাটাক ভেক্টর বন্ধ করে), ম্যানেজমেন্ট ফ্রেমগুলি সুরক্ষিত এবং ঐচ্ছিক ১৯২-বিট Suite B মোড ডিফেন্স-গ্রেড ক্রিপ্টোগ্রাফি অফার করে। WPA3-Enterprise একটি ট্রানজিশন মোডে WPA2-Enterprise-এর সাথে ব্যাকওয়ার্ড-কম্প্যাটিবল, তাই আপনি ধীরে ধীরে আপগ্রেড করতে পারেন।
802.1X অথেন্টিকেশন কীভাবে কাজ করে?
তিনটি পক্ষ জড়িত। supplicant (ক্লায়েন্ট ডিভাইস) যোগদানের জন্য অনুরোধ করে। authenticator (অ্যাক্সেস পয়েন্ট) ক্লায়েন্টকে একটি কোয়ারেন্টাইন অবস্থায় রাখে এবং তার EAP মেসেজগুলি একটি অথেন্টিকেশন সার্ভারে (RADIUS) ফরোয়ার্ড করে। RADIUS সার্ভার ক্রেডেনশিয়াল — সার্টিফিকেট, পাসওয়ার্ড বা টোকেন — যাচাই করে এবং অ্যাক্সেস পয়েন্টকে গ্রহণ বা প্রত্যাখ্যান করতে বলে। প্রতিটি সফল সেশন অথেন্টিকেশন থেকে প্রাপ্ত একটি অনন্য এনক্রিপশন কী পায়, তাই একটি আপোসকৃত ডিভাইস অন্যটিকে ডিক্রিপ্ট করতে পারে না।
EAP-TLS কী এবং কেন এটি গোল্ড স্ট্যান্ডার্ড?
EAP-TLS মিউচুয়াল সার্টিফিকেট অথেন্টিকেশন সহ একটি TLS হ্যান্ডশেক ব্যবহার করে। ক্লায়েন্ট একটি ডিভাইস সার্টিফিকেটের মাধ্যমে তার পরিচয় প্রমাণ করে, সার্ভার একটি সার্ভার সার্টিফিকেটের মাধ্যমে তার পরিচয় প্রমাণ করে এবং এনক্রিপ্টেড টানেলের ভেতরে সেশন কী নেগোশিয়েট করা হয়। ফিশিং বা চুরি করার মতো কোনও পাসওয়ার্ড নেই — আপনাকে ডিভাইস থেকেই প্রাইভেট কী বের করতে হবে। MDM সহ ম্যানেজড ফ্লিটের জন্য, EAP-TLS হল সঠিক ডিফল্ট।
আমি কি আমার বিদ্যমান অ্যাক্সেস পয়েন্টগুলিতে WPA3-Enterprise মোতায়েন করতে পারি?
২০২০ সাল থেকে রিলিজ হওয়া বেশিরভাগ এন্টারপ্রাইজ-গ্রেড অ্যাক্সেস পয়েন্ট ফার্মওয়্যারে WPA3-Enterprise সাপোর্ট করে। আপনি সাধারণত SSID-তে WPA3-Enterprise এনাবল করেন এবং ট্রানজিশনের সময় ফলব্যাক হিসেবে WPA2 রাখেন। পুরনো APগুলি শুধুমাত্র WPA2-Enterprise সাপোর্ট করতে পারে — ক্লাউড RADIUS এবং EAP-TLS-এর সাথে পেয়ার করা হলে সেগুলি এখনও সুরক্ষিত, তাই ফর্কলিফট আপগ্রেডের খুব কমই প্রয়োজন হয়।
WPA-Enterprise ব্যবহার করার জন্য কি আমাকে একটি RADIUS সার্ভার চালাতে হবে?
হ্যাঁ — WPA-Enterprise একটি এক্সটার্নাল অথেন্টিকেশন সার্ভারের চারপাশে সংজ্ঞায়িত, যার অর্থ বাস্তবে RADIUS। আপনি এটি অন-প্রিমিস (FreeRADIUS, Microsoft NPS, Cisco ISE) চালাতে পারেন অথবা এটি একটি সার্ভিস হিসেবে গ্রহণ করতে পারেন। Purple RADIUS-as-a-Service হল ক্লাউড-হোস্টেড অপশন যা বেশিরভাগ গ্রাহক বেছে নেন যখন তারা সার্ভার পরিচালনা করতে চান না।
WPA2-Enterprise কি এখনও মোতায়েন করা নিরাপদ?
হ্যাঁ, যখন সঠিকভাবে মোতায়েন করা হয়। WPA2-Enterprise-এর পরিচিত আক্রমণগুলির জন্য হয় একটি ভুলভাবে কনফিগার করা ক্লায়েন্ট (কোনও সার্ভার-সার্টিফিকেট ভ্যালিডেশন নেই, যা WPA3 বাধ্যতামূলক করে) অথবা একটি ডিভাইসে ফিজিক্যাল অ্যাক্সেস প্রয়োজন। MDM-এর মাধ্যমে সার্ভার-সার্টিফিকেট ভ্যালিডেশন এনফোর্স করা এবং EAP-TLS ব্যবহার করা ব্যবহারিক ঝুঁকিগুলি বন্ধ করে। ভবিষ্যতে WPA3-Enterprise-কে অগ্রাধিকার দেওয়া হবে, তবে একটি সচল WPA2-Enterprise মোতায়েন নিয়ে আতঙ্কিত হয়ে মাইগ্রেট করার কোনও কারণ নেই।
আমি কীভাবে সেই ডিভাইসগুলি হ্যান্ডেল করব যা 802.1X সাপোর্ট করে না?
দুটি ভালো অপশন। প্রথমত, iPSK (Identity PSK) একটি একক SSID-তে প্রতিটি ডিভাইসকে একটি অনন্য প্রি-শেয়ারড কী দেয় — WPA-Personal-এর ইউজার এক্সপেরিয়েন্স, WPA-Enterprise-এর ডিভাইস-প্রতি রিভোকেশন। দ্বিতীয়ত, MAC Authentication Bypass (MAB) পরিচিত-ভালো MAC অ্যাড্রেসগুলিকে একটি সীমাবদ্ধ VLAN-এ অনুমতি দেয়। Purple একই নেটওয়ার্কে WPA2/3-Enterprise-এর পাশাপাশি উভয়কেই সাপোর্ট করে।
WPA-Enterprise for your industry
See how wpa-enterprise works in venues like yours, and how Purple compares to alternatives.
সুরক্ষিত WiFi, আপনার ইতিমধ্যে মালিকানাধীন অ্যাক্সেস পয়েন্টগুলিতে
Purple Cisco, Aruba, Ruckus, Juniper Mist, Meraki, বা Ubiquiti-এর উপরে WPA2/3-Enterprise, ক্লাউড RADIUS এবং ম্যানেজড সার্টিফিকেট লেয়ার করে। কয়েক দিনেই লাইভ হবে।