EAP পদ্ধতির তুলনা: PEAP, EAP-TLS, EAP-TTLS, এবং EAP-FAST
এই প্রামাণিক প্রযুক্তিগত রেফারেন্স গাইডটি এন্টারপ্রাইজ WiFi অথেন্টিকেশনের জন্য PEAP, EAP-TLS, EAP-TTLS এবং EAP-FAST-এর একটি পাশাপাশি তুলনা প্রদান করে। এটি সিকিউরিটি পজিশন, ডেপ্লয়মেন্ট জটিলতা এবং ডিভাইসের সামঞ্জস্যের উপর কার্যকর নির্দেশনা প্রদান করে যাতে IT ম্যানেজার এবং নেটওয়ার্ক আর্কিটেক্টরা সর্বোত্তম 802.1X ডেপ্লয়মেন্ট কৌশল বেছে নিতে পারেন।
নির্বাহী সারসংক্ষেপ
এন্টারপ্রাইজ IT ম্যানেজার এবং নেটওয়ার্ক আর্কিটেক্টদের জন্য, সঠিক এক্সটেনসিবল অথেন্টিকেশন প্রোটোকল (EAP) পদ্ধতি নির্বাচন করা একটি গুরুত্বপূর্ণ সিদ্ধান্ত যা সিকিউরিটি পজিশন, ডেপ্লয়মেন্ট জটিলতা এবং ব্যবহারকারীর অভিজ্ঞতার মধ্যে ভারসাম্য বজায় রাখে। যেহেতু সংস্থাগুলি অনিরাপদ প্রি-শেয়ারড কী (PSKs) থেকে 802.1X অথেন্টিকেশনের দিকে অগ্রসর হচ্ছে, পছন্দটি সাধারণত চারটি প্রাথমিক পদ্ধতিতে সংকুচিত হয়: PEAP, EAP-TLS, EAP-TTLS এবং EAP-FAST। এই গাইডটি এই পদ্ধতিগুলোর একটি সরাসরি, প্রযুক্তিগত তুলনা প্রদান করে, যা আপনাকে আপনার Guest WiFi এবং অভ্যন্তরীণ কর্পোরেট নেটওয়ার্কের জন্য সঠিক আর্কিটেকচারাল সিদ্ধান্ত নিতে সাহায্য করবে। আমরা পাসওয়ার্ড-ভিত্তিক টানেলড পদ্ধতি এবং মিউচুয়াল সার্টিফিকেট অথেন্টিকেশনের মধ্যে নিরাপত্তার পার্থক্য পরীক্ষা করব, কখন নির্দিষ্ট পদ্ধতিগুলো উপযুক্ত তা মূল্যায়ন করব এবং আধুনিক এন্টারপ্রাইজ পরিবেশের জন্য কার্যকর বাস্তবায়ন নির্দেশনা প্রদান করব।
প্রযুক্তিগত বিশ্লেষণ: EAP পদ্ধতির তুলনা
PEAP (প্রোটেক্টড EAP)
PEAP-কে ব্যাপকভাবে 802.1X অথেন্টিকেশনের জন্য এন্টারপ্রাইজ ওয়ার্কহর্স হিসেবে বিবেচনা করা হয়। Cisco, Microsoft এবং RSA Security দ্বারা যৌথভাবে তৈরি এই পদ্ধতিটি একটি সার্ভার-সাইড সার্টিফিকেট ব্যবহার করে একটি এনক্রিপ্টেড TLS টানেল তৈরি করে। এই সুরক্ষিত টানেলের মধ্যে, ক্লায়েন্ট একটি লিগ্যাসি পদ্ধতি ব্যবহার করে অথেন্টিকেট করে, যার মধ্যে সবচেয়ে সাধারণ হলো MSCHAPv2।
PEAP-এর প্রাথমিক সুবিধা হলো Windows, macOS, iOS এবং Android সহ আধুনিক অপারেটিং সিস্টেমগুলোতে এর ব্যাপক নেটিভ সাপোর্ট। যেহেতু এতে শুধুমাত্র RADIUS সার্ভারে একটি সার্টিফিকেটের প্রয়োজন হয় এবং ক্লায়েন্ট ডিভাইসে নয়, তাই এর ডেপ্লয়মেন্ট সার্টিফিকেট-ভিত্তিক বিকল্পগুলোর তুলনায় উল্লেখযোগ্যভাবে কম জটিল। এটি PEAP-কে Bring Your Own Device (BYOD) পরিবেশ বা পরিবহন হাবের মতো বড় পাবলিক ভেন্যুগুলোর জন্য অত্যন্ত আকর্ষণীয় করে তোলে যেখানে ক্লায়েন্ট সার্টিফিকেট পরিচালনা করা অবাস্তব।
যাইহোক, পাসওয়ার্ডের ওপর PEAP-এর নির্ভরতা (MSCHAPv2-এর মাধ্যমে) নিরাপত্তার ঝুঁকি তৈরি করে। যদি একটি ক্লায়েন্ট ডিভাইস সার্ভারের সার্টিফিকেট যাচাই করার জন্য কঠোরভাবে কনফিগার করা না থাকে, তবে ব্যবহারকারীদের একটি রোগ অ্যাক্সেস পয়েন্ট (একটি "ইভিল টুইন" অ্যাটাক)-এ সংযোগ করতে প্রলুব্ধ করা যেতে পারে। রোগ AP তখন MSCHAPv2 চ্যালেঞ্জ-রেসপন্স ক্যাপচার করতে পারে, যা ব্যবহারকারীর পাসওয়ার্ড পুনরুদ্ধার করতে অফলাইনে ক্র্যাক করা সম্ভব। তাই, PEAP ডেপ্লয় করার সময় গ্রুপ পলিসি বা MDM-এর মাধ্যমে কঠোর সার্ভার সার্টিফিকেট যাচাইকরণ বাধ্যতামূলক।
EAP-TLS (EAP-ট্রান্সপোর্ট লেয়ার সিকিউরিটি)
EAP-TLS এন্টারপ্রাইজ ওয়্যারলেস সিকিউরিটির জন্য গোল্ড স্ট্যান্ডার্ড হিসেবে বিবেচিত। PEAP-এর বিপরীতে, EAP-TLS-এ মিউচুয়াল সার্টিফিকেট অথেন্টিকেশন প্রয়োজন। নেটওয়ার্ক অ্যাক্সেস মঞ্জুর করার আগে RADIUS সার্ভার এবং ক্লায়েন্ট ডিভাইস উভয়কেই একটি বৈধ ডিজিটাল সার্টিফিকেট প্রদর্শন করতে হয়।
এই মিউচুয়াল অথেন্টিকেশন পাসওয়ার্ডের প্রয়োজনীয়তা পুরোপুরি দূর করে, যা ক্রেডেনশিয়াল চুরি, ডিকশনারি অ্যাটাক এবং রোগ AP অ্যাটাককে অকার্যকর করে তোলে। যদি কোনো ডিভাইসে সঠিক ক্লায়েন্ট সার্টিফিকেট না থাকে, তবে এটি নেটওয়ার্কের সাথে সংযোগ করতে পারে না। যেসব সংস্থা কঠোর রেগুলেটরি প্রয়োজনীয়তার অধীন, যেমন রিটেইল সেক্টরে PCI DSS বা হেলথকেয়ার -এ HIPAA, তাদের জন্য EAP-TLS দৃঢ়ভাবে সুপারিশকৃত পদ্ধতি।
এই উন্নত নিরাপত্তার বিনিময়ে ডেপ্লয়মেন্টের জটিলতা বৃদ্ধি পায়। EAP-TLS বাস্তবায়নের জন্য সার্টিফিকেট ইস্যু, রিনিউ এবং রিভোক করার জন্য একটি শক্তিশালী পাবলিক কী ইনফ্রাস্ট্রাকচার (PKI) প্রয়োজন। এন্ডপয়েন্টগুলোতে এই সার্টিফিকেটগুলো নিরাপদে বিতরণ করার জন্য Microsoft Intune বা Jamf-এর মতো একটি মোবাইল ডিভাইস ম্যানেজমেন্ট (MDM) সলিউশনও প্রয়োজন। Apple পরিবেশের নির্দেশনার জন্য, Jamf e RADIUS: Autenticação WiFi Baseada em Certificado para Frotas de Dispositivos Apple সংক্রান্ত আমাদের গাইডটি দেখুন। কর্পোরেট-মালিকানাধীন, ম্যানেজড ডিভাইস ফ্লিটের জন্য EAP-TLS হলো সর্বোত্তম পছন্দ যেখানে নিরাপত্তা সবচেয়ে গুরুত্বপূর্ণ।
EAP-TTLS (EAP টানেলড TLS)
Funk Software এবং Certicom দ্বারা যৌথভাবে তৈরি EAP-TTLS, সার্ভার-সাইড সার্টিফিকেট ব্যবহার করে একটি এনক্রিপ্টেড TLS টানেল তৈরি করার মাধ্যমে PEAP-এর মতোই কাজ করে। এর প্রধান পার্থক্য হলো ইনার অথেন্টিকেশন পদ্ধতির নমনীয়তা। যেখানে PEAP মূলত MSCHAPv2-এর সাথে যুক্ত, সেখানে EAP-TTLS টানেলের মধ্যে PAP, CHAP বা MSCHAP সহ প্রায় যেকোনো অথেন্টিকেশন প্রোটোকল নিরাপদে এনক্যাপসুলেট করতে পারে।
এই নমনীয়তা EAP-TTLS-কে এমন পরিবেশের জন্য অত্যন্ত মূল্যবান করে তোলে যেখানে পুরানো LDAP ডিরেক্টরি, RADIUS প্রক্সি বা নন-Microsoft আইডেন্টিটি স্টোরগুলোর বিপরীতে অথেন্টিকেট করা প্রয়োজন যা নেটিভভাবে MSCHAPv2 সাপোর্ট করে না। এটি আন্তর্জাতিক গবেষণা ও শিক্ষা সম্প্রদায়ের জন্য গ্লোবাল রোমিং অ্যাক্সেস সার্ভিস eduroam-এর অন্তর্নিহিত প্রোটোকল হিসেবে পরিচিত। ঐতিহাসিকভাবে, EAP-TTLS-এর জন্য নেটিভ ক্লায়েন্ট সাপোর্ট PEAP-এর মতো সর্বজনীন ছিল না, প্রায়শই পুরানো Windows ভার্সনগুলোতে থার্ড-পার্টি সাপ্লিক্যান্টের প্রয়োজন হতো, কিন্তু আধুনিক অপারেটিং সিস্টেমগুলো এখন শক্তিশালী নেটিভ সাপোর্ট প্রদান করে।
EAP-FAST (ফ্লেক্সিবল অথেন্টিকেশন ভায়া সিকিউর টানেলিং)
অত্যন্ত ঝুঁকিপূর্ণ LEAP প্রোটোকলের দ্রুত প্রতিস্থাপন হিসেবে Cisco দ্বারা তৈরি EAP-FAST ডিজিটাল সার্টিফিকেট ডেপ্লয় করার কঠোর প্রয়োজনীয়তা ছাড়াই নিরাপদ অথেন্টিকেশন প্রদানের জন্য ডিজাইন করা হয়েছিল। সুরক্ষিত টানেল তৈরির জন্য সার্ভার সার্টিফিকেট ব্যবহারের পরিবর্তে, EAP-FAST প্রোটেক্টড অ্যাক্সেস ক্রেডেনশিয়াল (PACs)-এর ওপর নির্ভর করে—যা অথেন্টিকেশন সার্ভার দ্বারা ক্লায়েন্টদের ডায়নামিকভাবে প্রদান করা ডেটা ব্লক।
EAP-FAST এর দ্রুত সেশন রেজাম্পশন ক্ষমতার জন্য পরিচিত। যদিও এটি একটি সুরক্ষিত, এনক্রিপ্টেড টানেল প্রদান করে, স্ট্যান্ডার্ড X.509 সার্টিফিকেটের পরিবর্তে PACs-এর ওপর এর নির্ভরতা একে কিছুটা প্রোপ্রাইটারি করে তোলে এবং আধুনিক, ভেন্ডর-নিউট্রাল জিরো-ট্রাস্ট আর্কিটেকচারের সাথে কম সামঞ্জস্যপূর্ণ করে তোলে। বর্তমানে, EAP-FAST মূলত লিগ্যাসি Cisco-কেন্দ্রিক পরিবেশ, নির্দিষ্ট IoT ডেপ্লয়মেন্ট বা বিশেষায়িত রাগাডাইজড ডিভাইসের ক্ষেত্রে প্রাসঙ্গিক। বেশিরভাগ নতুন এন্টারপ্রাইজ ডেপ্লয়মেন্টের জন্য, PEAP বা EAP-TLS পছন্দ করা হয়।## ইমপ্লিমেন্টেশন গাইড
802.1X অথেন্টিকেশন ডেপ্লয় করার জন্য ওয়্যারলেস অ্যাক্সেস পয়েন্ট থেকে শুরু করে RADIUS ইনফ্রাস্ট্রাকচার এবং আইডেন্টিটি প্রোভাইডার পর্যন্ত পুরো নেটওয়ার্ক স্ট্যাক জুড়ে সতর্ক পরিকল্পনার প্রয়োজন। Purple-এর প্ল্যাটফর্মের সাথে ইন্টিগ্রেট করার সময়, আমাদের RADIUS সার্ভারগুলো সমস্ত প্রধান EAP মেথড সমর্থন করে, যা ব্যবহারকারীরা Wayfinding বা WiFi Analytics -এর মতো ফিচারগুলো ব্যবহার করার আগে নিরবচ্ছিন্ন অথেন্টিকেশন নিশ্চিত করে।
ধাপ ১: অথেন্টিকেশন স্ট্র্যাটেজি নির্ধারণ করুন
আপনার এন্ডপয়েন্ট ফ্লিট মূল্যায়ন করুন। যদি ডিভাইসগুলো কর্পোরেট মালিকানাধীন হয় এবং MDM-এর মাধ্যমে পরিচালিত হয়, তবে EAP-TLS লক্ষ্য করুন। আপনি যদি BYOD সমর্থন করেন, তবে PEAP একটি বাস্তবসম্মত পছন্দ। আপনার আইডেন্টিটি প্রোভাইডার (Active Directory, Google Workspace, Okta) প্রয়োজনীয় প্রোটোকল (যেমন, PEAP-এর জন্য MSCHAPv2) সমর্থন করে কিনা তা নিশ্চিত করুন।
ধাপ ২: সার্টিফিকেট ম্যানেজমেন্ট
EAP-FAST বাদে বাকি সব মেথডের জন্য, আপনাকে অবশ্যই আপনার RADIUS সার্ভারে একটি সার্ভার সার্টিফিকেট ডেপ্লয় করতে হবে। ক্লায়েন্ট-সাইড ট্রাস্ট ওয়ার্নিং কমাতে এই সার্টিফিকেটটি আদর্শভাবে একটি বিশ্বস্ত পাবলিক সার্টিফিকেট অথরিটি (CA) দ্বারা ইস্যু করা উচিত, যদিও আপনি যদি সমস্ত এন্ডপয়েন্ট নিয়ন্ত্রণ করেন তবে একটি ইন্টারনাল এন্টারপ্রাইজ CA ব্যবহার করা যেতে পারে। EAP-TLS-এর জন্য, আপনার PKI স্থাপন করুন এবং সঠিক Subject Alternative Name (SAN) ম্যাপিং সহ স্বয়ংক্রিয়ভাবে ক্লায়েন্ট সার্টিফিকেট প্রদানের জন্য আপনার MDM কনফিগার করুন।
ধাপ ৩: RADIUS এবং অ্যাক্সেস পয়েন্ট কনফিগারেশন
আপনার ওয়্যারলেস অ্যাক্সেস পয়েন্টগুলোকে WPA2-Enterprise বা WPA3-Enterprise ব্যবহার করার জন্য কনফিগার করুন এবং সঠিক শেয়ারড সিক্রেট সহ সেগুলোকে আপনার RADIUS সার্ভার IP অ্যাড্রেসে পয়েন্ট করুন। RADIUS সার্ভারে আপনার নেটওয়ার্ক পলিসিগুলো সংজ্ঞায়িত করুন, অনুমোদিত EAP মেথডগুলো নির্দিষ্ট করুন এবং ব্যবহারকারী বা ডিভাইস গ্রুপের সদস্যতার ভিত্তিতে সফল অথেন্টিকেশনগুলোকে উপযুক্ত VLAN-এ ম্যাপ করুন।
ধাপ ৪: এন্ডপয়েন্ট সাপ্লিক্যান্ট কনফিগারেশন
নিরাপত্তার জন্য এটি সবচেয়ে গুরুত্বপূর্ণ ধাপ। PEAP-এর জন্য, ডিভাইসগুলোতে একটি প্রি-কনফিগার করা WiFi প্রোফাইল পুশ করতে MDM বা গ্রুপ পলিসি ব্যবহার করুন। এই প্রোফাইলে অবশ্যই স্পষ্টভাবে বিশ্বস্ত RADIUS সার্ভারের নাম এবং সার্ভার সার্টিফিকেট ইস্যুকারী বিশ্বস্ত রুট CA উল্লেখ থাকতে হবে। গুরুত্বপূর্ণভাবে, ব্যবহারকারীদের নতুন সার্ভার বা সার্টিফিকেট ট্রাস্ট করার জন্য অনুরোধ জানানো অপশনটি নিষ্ক্রিয় করুন।
সেরা অনুশীলনসমূহ
১. সার্টিফিকেটের জন্য কখনোই ব্যবহারকারীর বিচারের ওপর নির্ভর করবেন না: PEAP বা EAP-TTLS ডেপ্লয় করার সময়, নির্দিষ্ট সার্ভার সার্টিফিকেট ট্রাস্ট করার জন্য সর্বদা এন্ডপয়েন্ট সাপ্লিক্যান্টগুলোকে আগে থেকে কনফিগার করুন। সার্টিফিকেট ওয়ার্নিং-এ ব্যবহারকারীদের "Accept" ক্লিক করার ওপর নির্ভর করা পুরো সিকিউরিটি মডেলকে দুর্বল করে এবং নেটওয়ার্ককে রোগ (rogue) AP অ্যাটাকের ঝুঁকিতে ফেলে। ২. সার্টিফিকেট লাইফসাইকেল ম্যানেজমেন্ট স্বয়ংক্রিয় করুন: সার্টিফিকেট এক্সপায়ার হওয়া 802.1X আউটেজের একটি প্রধান কারণ। EAP-TLS ডেপ্লয়মেন্টে RADIUS সার্ভার সার্টিফিকেট এবং ক্লায়েন্ট সার্টিফিকেট উভয়ের জন্য স্বয়ংক্রিয় মনিটরিং এবং রিনিউয়াল প্রক্রিয়া বাস্তবায়ন করুন। ৩. WPA3-Enterprise বাস্তবায়ন করুন: যেখানে ক্লায়েন্ট সাপোর্ট আছে, সেখানে WPA3-Enterprise-এ স্থানান্তরিত হন। এটি প্রোটেক্টেড ম্যানেজমেন্ট ফ্রেম (PMF) ব্যবহার বাধ্যতামূলক করে এবং একটি ১৯২-বিট সিকিউরিটি সুইট অপশন অফার করে, যা WPA2-এর তুলনায় শক্তিশালী ক্রিপ্টোগ্রাফিক সুরক্ষা প্রদান করে। ৪. নেটওয়ার্ক সেগমেন্ট করুন: ব্যবহারকারীর ভূমিকার ওপর ভিত্তি করে অথেন্টিকেটেড ব্যবহারকারীদের ডাইনামিকভাবে নির্দিষ্ট VLAN-এ অ্যাসাইন করতে RADIUS অ্যাট্রিবিউট (যেমন Filter-Id বা Tunnel-Private-Group-Id) ব্যবহার করুন, যা গেস্ট ট্রাফিককে কর্পোরেট অ্যাসেট থেকে আলাদা রাখে। আধুনিক নেটওয়ার্ক ডিজাইন সম্পর্কে আরও জানতে, The Core SD WAN Benefits for Modern Businesses দেখুন।
ট্রাবলশুটিং এবং ঝুঁকি প্রশমন
EAP ডেপ্লয়মেন্টে সাধারণ ব্যর্থতাগুলো সাধারণত সার্টিফিকেট ভ্যালিডেশন এবং আইডেন্টিটি প্রোভাইডার ইন্টিগ্রেশনকে কেন্দ্র করে ঘটে।
- লক্ষণ: RADIUS সার্ভার আপডেটের পর ক্লায়েন্টরা কানেক্ট করতে পারছে না।
- ঝুঁকি: নতুন সার্ভার সার্টিফিকেটটি ক্লায়েন্টদের দ্বারা বিশ্বস্ত রুট CA দ্বারা ইস্যু করা হয়নি, অথবা সার্ভারের নাম পরিবর্তিত হয়েছে।
- প্রশমন: সর্বদা একটি স্টেজিং এনভায়রনমেন্টে সার্টিফিকেট রোলওভার পরীক্ষা করুন। প্রোডাকশনে প্রয়োগ করার আগে নিশ্চিত করুন যে নতুন সার্টিফিকেট চেইনটি সমস্ত এন্ডপয়েন্ট প্রোফাইল দ্বারা সম্পূর্ণরূপে বিশ্বস্ত।
- লক্ষণ: iOS ডিভাইসগুলো ঠিকঠাক কানেক্ট হচ্ছে, কিন্তু Windows ডিভাইসগুলো ব্যর্থ হচ্ছে।
- ঝুঁকি: Windows সাপ্লিক্যান্টগুলো প্রায়ই সার্ভার সার্টিফিকেটে Server Name Indication (SNI) বা নির্দিষ্ট EKU (Extended Key Usage) অ্যাট্রিবিউট ভ্যালিডেশনের ক্ষেত্রে বেশি কঠোর হয়।
- প্রশমন: সার্ভার সার্টিফিকেটে 'Server Authentication' EKU অন্তর্ভুক্ত আছে কিনা এবং SAN-টি Windows WiFi প্রোফাইলে কনফিগার করা নামের সাথে মিলছে কিনা তা যাচাই করুন।
ROI এবং ব্যবসায়িক প্রভাব
একটি শক্তিশালী EAP মেথডে স্থানান্তর করা নিছক নিরাপত্তার বাইরেও উল্লেখযোগ্য ব্যবসায়িক মূল্য প্রদান করে। শেয়ারড পাসওয়ার্ড বর্জন করার মাধ্যমে, IT টিমগুলো পাসওয়ার্ড রিসেট বা আপোষকৃত PSK সংক্রান্ত হেল্পডেস্ক টিকিটের অপারেশনাল ওভারহেড কমিয়ে আনে। Hospitality -এর মতো পরিবেশে, যেখানে কর্মীদের পরিবর্তন বেশি হতে পারে, সার্টিফিকেট-ভিত্তিক অথেন্টিকেশন (EAP-TLS) নিশ্চিত করে যে কোনো ডিভাইস ওয়াইপ করা হলে বা সার্টিফিকেটের মেয়াদ শেষ হলে গ্লোবাল পাসওয়ার্ড পরিবর্তন করার প্রয়োজন ছাড়াই অ্যাক্সেস স্বয়ংক্রিয়ভাবে বাতিল হয়ে যায়।
তদুপরি, PCI DSS এবং GDPR-এর মতো কমপ্লায়েন্স ফ্রেমওয়ার্কের জন্য শক্তিশালী অথেন্টিকেশন একটি পূর্বশর্ত। শক্তিশালী অ্যাক্সেস কন্ট্রোল প্রদর্শনের মাধ্যমে, সংস্থাগুলো ডেটা ব্রিচ সংক্রান্ত রেগুলেটরি জরিমানা এবং সুনামের ক্ষতির ঝুঁকি প্রশমন করে। ভেন্যু ইনফ্রাস্ট্রাকচার আপগ্রেড করার বিষয়ে আরও বিস্তারিত জানতে, Modern Hospitality WiFi Solutions Your Guests Deserve দেখুন।
পডকাস্ট ব্রিফিং
ইমপ্লিমেন্টেশন স্ট্র্যাটেজি এবং সাধারণ সমস্যাগুলো নিয়ে EAP মেথডের ওপর আমাদের ১০ মিনিটের টেকনিক্যাল ব্রিফিংটি শুনুন:
মূল শব্দ ও সংজ্ঞা
802.1X
An IEEE standard for port-based network access control that provides an authentication mechanism to devices wishing to attach to a LAN or WLAN.
IT teams implement 802.1X to replace insecure shared passwords (PSKs) with individualised, enterprise-grade authentication.
RADIUS (Remote Authentication Dial-In User Service)
A networking protocol that provides centralised Authentication, Authorization, and Accounting (AAA) management for users who connect and use a network service.
The RADIUS server acts as the central brain of an 802.1X deployment, verifying credentials against an identity provider and telling the access point whether to allow the connection.
Supplicant
The software client on an endpoint device (laptop, smartphone) that communicates with the authenticator (access point) to negotiate network access via 802.1X.
Misconfigured supplicants are the primary cause of security vulnerabilities in PEAP deployments, particularly when server certificate validation is disabled.
Mutual Authentication
A security process in which both entities in a communications link authenticate each other (e.g., the client verifies the server, and the server verifies the client).
Crucial for preventing rogue AP attacks; EAP-TLS enforces this inherently, while PEAP requires strict supplicant configuration to achieve the client-to-server verification.
PKI (Public Key Infrastructure)
A set of roles, policies, hardware, software and procedures needed to create, manage, distribute, use, store and revoke digital certificates.
A robust PKI is the prerequisite for deploying EAP-TLS, often representing the largest barrier to entry for smaller IT teams.
Evil Twin Attack
A rogue wireless access point that masquerades as a legitimate enterprise network to eavesdrop on wireless communications or steal credentials.
This is the primary threat vector against poorly configured PEAP deployments where clients do not validate the RADIUS server certificate.
PAC (Protected Access Credential)
A strong shared secret dynamically provisioned to a client by an authentication server, used specifically in EAP-FAST to establish a secure tunnel.
PACs allow EAP-FAST to provide secure authentication without requiring the deployment of digital certificates.
MDM (Mobile Device Management)
Security software used by an IT department to monitor, manage, and secure employees' mobile devices across multiple mobile service providers and across multiple mobile operating systems.
MDM is essential for modern EAP-TLS deployments, allowing IT to silently push client certificates and strict WiFi profiles to corporate devices.
কেস স্টাডিজ
A national retail chain needs to deploy secure WiFi for point-of-sale (POS) tablets across 500 stores. The tablets are corporate-owned and managed via Microsoft Intune. They must comply with PCI DSS requirements. Which EAP method should they deploy and how?
The organisation should deploy EAP-TLS. Using Microsoft Intune, they will configure a Simple Certificate Enrollment Protocol (SCEP) profile to automatically provision unique client certificates to each POS tablet. They will then push a Wi-Fi profile via Intune that configures the tablets to connect using WPA2/WPA3-Enterprise, specifying EAP-TLS as the authentication method and selecting the provisioned client certificate. The RADIUS servers will be configured to authenticate the devices based on these certificates, mapping them to a restricted PCI-compliant VLAN.
A large university needs to provide secure WiFi for 20,000 students using a mix of personal laptops, smartphones, and tablets (BYOD). The university uses Active Directory for identity management. How should they approach 802.1X?
The university should deploy PEAP with MSCHAPv2. They will install a server certificate from a well-known public Certificate Authority (e.g., DigiCert, Let's Encrypt) on their RADIUS servers. To ensure security, they must provide an onboarding tool (like SecureW2 or a custom app) that automatically configures the students' devices. This tool will create the WiFi profile, explicitly define the trusted RADIUS server names, and enforce server certificate validation, preventing students from connecting to rogue APs.
দৃশ্যপট বিশ্লেষণ
Q1. Your organisation is migrating from Google Workspace to a new cloud-based identity provider that only supports LDAP and does not support MSCHAPv2. You need to maintain your existing password-based 802.1X WiFi for legacy devices. Which EAP method must you configure on your RADIUS server?
💡 ইঙ্গিত:Consider which tunneled method allows for inner authentication protocols other than MSCHAPv2.
প্রস্তাবিত পদ্ধতি দেখুন
You must configure EAP-TTLS. Unlike PEAP, which is heavily reliant on MSCHAPv2 for inner authentication, EAP-TTLS can encapsulate older protocols like PAP or CHAP within its secure TLS tunnel, allowing it to interface with LDAP directories that lack MSCHAPv2 support.
Q2. A security audit reveals that users' Active Directory passwords are being compromised when they connect their smartphones to public WiFi networks at coffee shops. The attackers are broadcasting the corporate SSID. Your current deployment uses PEAP. How do you mitigate this without changing the EAP method?
💡 ইঙ্গিত:The issue is that the client devices are blindly trusting the rogue AP. How do you force the client to verify it's talking to the real corporate network?
প্রস্তাবিত পদ্ধতি দেখুন
You must configure the endpoint supplicants (via MDM or Group Policy) to enforce strict server certificate validation. The WiFi profile must explicitly specify the names of the trusted corporate RADIUS servers and the specific Root CA that issued their certificates. Additionally, you must disable the setting that prompts users to trust unknown certificates, ensuring the connection fails silently if the server is not authenticated.
Q3. You are deploying a fleet of ruggedised barcode scanners in a warehouse. The devices run a legacy embedded OS that does not support WPA2-Enterprise or standard 802.1X certificates, but they do support Cisco Compatible Extensions (CCX). You need secure authentication. What is the most likely EAP method to use?
💡 ইঙ্গিত:Look for the protocol developed specifically by Cisco for environments where certificate deployment is challenging or impossible.
প্রস্তাবিত পদ্ধতি দেখুন
EAP-FAST is the appropriate choice here. It was designed by Cisco specifically for environments where deploying certificates is impractical. It uses dynamically provisioned Protected Access Credentials (PACs) to establish the secure tunnel, making it suitable for legacy or specialised hardware that supports CCX but lacks robust PKI capabilities.
মূল বিষয়সমূহ
- ✓PEAP is the versatile workhorse, ideal for BYOD environments due to broad native support, but requires strict client-side configuration to prevent credential theft.
- ✓EAP-TLS is the gold standard for security, mandating mutual certificate authentication and eliminating passwords entirely, making it perfect for PCI DSS compliance.
- ✓EAP-TLS requires significant deployment infrastructure, specifically a robust PKI and MDM solution to manage client certificates.
- ✓EAP-TTLS provides a secure tunnel similar to PEAP but offers flexibility to use older inner authentication protocols (like PAP), making it useful for non-Microsoft identity stores.
- ✓EAP-FAST uses Protected Access Credentials (PACs) instead of certificates, remaining relevant primarily in legacy Cisco-centric or specific IoT environments.
- ✓Regardless of the method chosen, automating certificate lifecycle management is critical to preventing network outages.
- ✓Purple's platform integrates seamlessly with RADIUS servers supporting all major EAP methods, enabling secure foundations for advanced venue analytics.
