जैसे-जैसे हम सार्वजनिक WiFi नेटवर्क से अधिक से अधिक डिवाइस जोड़ रहे हैं, सुरक्षा और उपयोगकर्ता प्रमाणीकरण से जुड़ी चिंताएं चर्चा का मुख्य विषय बनी हुई हैं। यह विशेष रूप से तब सच होता है जब बड़े पैमाने के गेस्ट WiFi नेटवर्क के लिए उचित सुरक्षा प्रोटोकॉल पर बहस की जाती है, जो एक दिन में सैकड़ों, हजारों या लाखों उपयोगकर्ताओं को जोड़ते हैं। आवश्यक सुरक्षा उपायों के बिना, साझा नेटवर्क पर उपयोगकर्ता असुरक्षित रह जाते हैं। नेटवर्क का संचालन करने वालों को भी नेटवर्क को प्रबंधित करना मुश्किल लग सकता है।
सुरक्षा के एक बुनियादी मानक के रूप में, उच्च-ट्रैफ़िक वाले सार्वजनिक WiFi को WPA-एंटरप्राइज़ प्रोटोकॉल के साथ सेट किया जाना चाहिए जो 802.1X प्रमाणीकरण तंत्र का उपयोग करते हैं। 802.1X दो सुरक्षित नेटवर्किंग प्रोटोकॉल के साथ मिलकर काम करता है: एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल ओवर लैन (EAPoL) और रिमोट ऑथेंटिकेशन डायल-इन यूजर सर्विस (RADIUS) सर्वर। ये 802.1x को आपके मानक WPA-PSK या WPA2-PSK की तुलना में स्वाभाविक रूप से अधिक सुरक्षित बनाते हैं, जिनमें नेटवर्क तक पहुंचने के लिए सभी उपयोगकर्ताओं के लिए एक साझा पासवर्ड की आवश्यकता होती है।
802.1x प्रमाणीकरण पर कब विचार करें
जब कोई इंटरनेट उपयोगकर्ता WPA-PSK या WPA2-PSK नेटवर्क (PSK का अर्थ 'प्रीसिलेक्टेड की' है) पर लॉग इन करता है, तो प्रमाणीकरण तब होता है जब उपयोगकर्ता सही नेटवर्क पासवर्ड / सुरक्षा कुंजी दर्ज करता है। यह उपयोगकर्ता की मशीन या डिवाइस को बिना किसी पहचान क्रेडेंशियल के नेटवर्क से जुड़ने, उस पर काम करने और संभावित रूप से उसे नियंत्रित करने की अनुमति देता है। यह विशेष रूप से तब समस्याग्रस्त हो जाता है जब व्यवसाय (कनेक्टेड कंप्यूटर, टिल्स और IoT डिवाइस के साथ) अपने मुख्य नेटवर्क को अपने ग्राहकों के साथ साझा करते हैं। जैसे-जैसे अधिक से अधिक उपयोगकर्ता आपके गेस्ट WiFi पर लॉग इन करते हैं, यह जानना लगभग असंभव हो जाता है कि आपके नेटवर्क का उपयोग कौन करता है (या पासवर्ड कौन जानता है)। अवांछित उपयोगकर्ताओं को नेटवर्क से हटाने के लिए बार-बार पासवर्ड बदलना भी श्रमसाध्य और अक्षम है, और उच्च मात्रा में उपयोगकर्ताओं वाले बड़े नेटवर्क के लिए आदर्श नहीं है।
यदि आप एक ऐसा व्यवसाय या प्रतिष्ठान हैं जो पोर्ट सुरक्षा प्रदान करता है (डिवाइस के MAC पते के आधार पर यह निर्धारित करता है कि कौन सी मशीनें नेटवर्क से जुड़ सकती हैं), तो भी सुरक्षा संबंधी चिंताएं उत्पन्न होती हैं। हालांकि अवांछित उपयोगकर्ता अपने स्वयं के उपकरणों पर नेटवर्क से नहीं जुड़ पाएंगे, लेकिन कीथ बोगार्ट के अनुसार उन्हें अवसर मिलने पर उस डिवाइस पर किसी व्यक्ति का रूप धारण करने से कोई नहीं रोक सकता (यानी: यदि कोई अधिकृत डिवाइस चोरी हो जाता है, तो यह निर्धारित नहीं किया जा सकता है कि सही उपयोगकर्ता मशीन चला रहा है या नहीं)।
802.1x प्रमाणीकरण डिवाइस की परवाह किए बिना उपयोगकर्ता को प्रमाणित करने की मांग करके पासवर्ड या पोर्ट सुरक्षा नेटवर्क प्रोटोकॉल से जुड़ी समस्याओं का समाधान करता है। इस कारण से, हम अनुशंसा करते हैं कि वाणिज्यिक और व्यावसायिक वातावरण इन AAA (प्रमाणीकरण, प्राधिकरण और अकाउंटिंग) फ्रेमवर्क का एक मानक उपाय के रूप में उपयोग करें।
802.1x प्रमाणीकरण प्रक्रिया की व्याख्या
802.1x प्रमाणीकरण के तीन भाग होते हैं जो उपयोगकर्ता को किसी दिए गए नेटवर्क पर लॉग इन करने की अनुमति देने के लिए एक साथ काम करते हैं: सप्लिकेंट (supplicant), ऑथेंटिकेटर (authenticator), और प्रमाणीकरण सर्वर (authentication server)।
SSID नेटवर्क से जुड़ने का प्रयास कर रहे सप्लिकेंट (या अंतिम उपयोगकर्ता) को सबसे पहले एक ऑथेंटिकेटर द्वारा एक्सेस करने से रोका जाता है। सप्लिकेंट और ऑथेंटिकेटर के बीच होने वाला संचार EAPoL प्रोटोकॉल का हिस्सा है, और इसमें इथरनेट फ्रेम होते हैं जो किसी विशेष नेटवर्क के लिए सप्लिकेंट के अद्वितीय लॉगिन क्रेडेंशियल ले जाते हैं। आवश्यक सुरक्षा के स्तर के आधार पर, ऑथेंटिकेटर सप्लिकेंट से अधिक विवरण या इंटरैक्शन के लिए कह सकते हैं (जैसे, पिन की आवश्यकता या कैप्चा कोड भरना)।
ऑथेंटिकेटर द्वारा EAPoL डेटा को लॉगिन प्रयास के रूप में पहचाने जाने के बाद, ऑथेंटिकेटर प्रमाणीकरण सर्वर के लिए डेटा तैयार करता है, जो अंततः अंतिम उपयोगकर्ता को नेटवर्क एक्सेस की अनुमति देगा या अस्वीकार करेगा। इसमें EAPoL डेटा को RADIUS पैकेट में बदलना शामिल है जो सर्वर को लॉगिन क्रेडेंशियल को एक्सेस अनुरोध के रूप में व्याख्या करने की अनुमति देता है।
RADIUS सुरक्षा प्रोटोकॉल पर काम करने वाले सर्वर एक प्रमाणीकरण, प्राधिकरण और अकाउंटिंग (AAA या ट्रिपल A) प्रणाली का उपयोग करते हैं, जो नेटवर्क / सर्वर / कंप्यूटर आदि तक पहुंच को नियंत्रित करने का एक कहीं अधिक बुद्धिमान और सुरक्षित तरीका है। इस तरह के सर्वरों के लिए आवश्यक है कि ऑथेंटिकेटर द्वारा प्रदान किए गए डेटा को बैकएंड इन्फ्रास्ट्रक्चर जैसे निर्देशिकाओं या डेटाबेस के साथ क्रॉस-रेफरेंस (या प्रमाणित) किया जाए, जिसमें उपयोगकर्ता का विवरण और प्रमाणीकरण के लिए आवश्यक संबंधित क्रेडेंशियल हों। एक बार जब RADIUS पैकेट के भीतर की जानकारी सर्वर द्वारा स्वीकृत हो जाती है, तो ऑथेंटिकेटर को एक स्वीकृति अनुरोध वापस भेजा जाता है, जो सप्लिकेंट को उचित एक्सेस अधिकार और अनुमतियां प्रदान करता है।
जीवन को आसान बनाना
चूंकि 802.1x प्रमाणीकरण RADIUS प्रोटोकॉल-सक्षम सर्वर पर काम करता है, इसलिए WPA संरक्षित नेटवर्क के लिए उपयोगकर्ता प्रबंधन और स्केलेबिलिटी से जुड़ी कठिनाइयां मौजूद नहीं हैं। 802.1x प्रमाणीकरण पर नेटवर्क से जुड़ने वाले उपयोगकर्ता डेटा एन्क्रिप्शन के दो स्तरों से गुजरते हैं और विशेष नेटवर्क के भीतर उनके सुरक्षित सत्रों की निगरानी RADIUS सर्वर द्वारा की जाती है। पासवर्ड संरक्षित (WPA) नेटवर्क के विपरीत, प्रमाणित उपयोगकर्ताओं को व्यक्तिगत रूप से ट्रैक किया जा सकता है और किसी भी प्रकार का खतरा पैदा होने पर उन्हें नेटवर्क से हटाया जा सकता है। पासवर्ड के अभाव में उपयोगकर्ताओं की संख्या को स्केल करना भी बहुत आसान है, क्योंकि उपयोगकर्ताओं को पृष्ठभूमि में स्वचालित रूप से प्रमाणित किया जा सकता है। उन व्यवसायों के संदर्भ में जो दूसरों के साथ कनेक्शन साझा करते हैं, RADIUS सर्वर पर नेटवर्क के कुछ क्षेत्रों तक पहुंच को भी प्रतिबंधित किया जा सकता है, जो एक ओपन-एक्सेस नेटवर्क होने की तुलना में काफी अधिक सुरक्षित है जिसमें आसानी से घुसपैठ की जा सकती है।
अंततः, बड़े पैमाने पर WiFi संचालन को एक प्रमाणित नेटवर्क लागू करने से बहुत लाभ होता है। यदि वे सार्वजनिक पहुंच वाले WPA-PSK या WPA2-PSK नेटवर्क के संचालन में शामिल सुरक्षा जोखिमों को नजरअंदाज करते हैं, तो उन्हें बहुत नुकसान भी हो सकता है।
