अधिकांश सलाह जो WiFi सुरक्षा को बेहतर बनाने के बारे में होती है, वह अभी भी गलत प्रश्न से शुरू होती है। यह पूछती है, "आपका Wi-Fi पासवर्ड कितना मजबूत है?" एक एंटरप्राइज, एक होटल, एक रिटेल एस्टेट, एक अस्पताल, या एक मल्टी-टेनेंट बिल्डिंग में, अब यह मुख्य मुद्दा नहीं है।
समस्या shared trust (साझा विश्वास) है। यदि कर्मचारी, अतिथि, ठेकेदार, कियोस्क, टीवी, सेंसर, टिल और टैबलेट सभी एक ही क्रेडेंशियल मॉडल पर निर्भर हैं, तो एक कमजोर बिंदु बहुत अधिक उजागर कर सकता है। एक लंबा पासवर्ड बुनियादी एन्क्रिप्शन में मदद करता है। यह आपको पहचान, जवाबदेही, निरसन (revocation), या नियंत्रण नहीं देता है।
आधुनिक WiFi सुरक्षा किसी एक रहस्य का अनुमान लगाना कठिन बनाने के बारे में कम है और यह सुनिश्चित करने के बारे में अधिक है कि कोई भी एक रहस्य पहली बार में व्यापक पहुंच प्रदान न करे। इसका मतलब है वायरलेस को एक पहचान और नीति परत के रूप में मानना, न कि केवल एक RF सेवा के रूप में।
अपने WiFi सुरक्षा मॉडल पर पुनर्विचार करना
कई एंटरप्राइज WiFi परिनियोजनों का सबसे कमजोर हिस्सा रेडियो, सिफर, या एक्सेस पॉइंट नहीं है। यह असंबंधित उपयोगकर्ताओं और उपकरणों के बड़े समूहों को एक ही ट्रस्ट मॉडल साझा करने देने का निर्णय है।
एक साझा WiFi पासवर्ड कागज़ पर कुशल दिखता है। व्यवहार में, यह परिचालन ऋण (operational debt) बनाता है। कर्मचारी इसे चैट में इधर-उधर भेजते हैं। काम खत्म होने के बाद भी ठेकेदार इसे अपने पास रखते हैं। फ्रंट डेस्क टीमें इसे पूरे दिन देती हैं। सुविधाएं टीमें प्रिंटर, डिस्प्ले और सेंसर को उसी क्रेडेंशियल के साथ जोड़ती हैं क्योंकि यह त्वरित है। उसके बाद, पहुंच को रद्द करने का मतलब आमतौर पर सभी के लिए पासवर्ड बदलना होता है, फिर उस पर निर्भर प्रत्येक डिवाइस में होने वाली समस्याओं से निपटना होता है।
यह मॉडल होटलों, परिसरों, रिटेल एस्टेटों, अस्पतालों, स्टेडियमों और मल्टी-टेनेंट बिल्डिंगों में तेजी से विफल हो जाता है।
पासवर्ड पर्याप्त क्यों नहीं रह गए
मुख्य समस्या पासवर्ड की मजबूती नहीं है। जब कई उपयोगकर्ता या डिवाइस एक ही रहस्य के साथ प्रमाणित होते हैं, तो व्यक्तिगत जवाबदेही और नियंत्रण की कमी होती है।
एंटरप्राइज वातावरण में वायरलेस हमले अक्सर एक ऐसे डिवाइस से शुरू होते हैं जो ठीक उसी तरह जुड़ा था जैसा इरादा था। एक प्रबंधित लैपटॉप को फ़िशिंग के माध्यम से मैलवेयर मिलता है। एक ठेकेदार डिवाइस आवश्यकता से अधिक समय तक अधिकृत रहता है। खराब सुरक्षा वाला एक IoT एंडपॉइंट एक ऐसे नेटवर्क पर आता है जो इसे बहुत अधिक पहुंच प्रदान करता है। प्रत्येक मामले में, प्रारंभिक WiFi जुड़ाव वैध हो सकता है। समस्या इस बात से आती है कि वह कनेक्शन प्रवेश के बाद क्या प्रतिनिधित्व करता है।
साझा क्रेडेंशियल एक साझा ब्लास्ट रेडियस (blast radius) बनाते हैं।
एक साझा कुंजी के साथ, किसी विशिष्ट व्यक्ति या एंडपॉइंट से गतिविधि को जोड़ने का कोई स्पष्ट तरीका नहीं है, दूसरों को प्रभावित किए बिना एक पक्ष को रद्द करने का कोई सटीक तरीका नहीं है, और भूमिका द्वारा पहुंच निर्दिष्ट करने का कोई मजबूत आधार नहीं है। यह उन वातावरणों के लिए बिल्कुल अनुपयुक्त है जहां कर्मचारियों, मेहमानों, निवासियों, किरायेदारों, पॉइंट-ऑफ-सेल सिस्टम, साइनेज, चिकित्सा उपकरणों, कैमरों और बिल्डिंग सिस्टम सभी को विभिन्न स्तरों के ट्रस्ट की आवश्यकता होती है।
एक बेहतर मॉडल कैसा दिखता है
एक मजबूत WiFi सुरक्षा मॉडल प्रति पहचान पहुंच प्रदान करता है, न कि प्रति पासवर्ड।
इसका अर्थ यह है कि प्रत्येक उपयोगकर्ता या डिवाइस अपनी शर्तों पर प्रमाणित होता है, नीतियां यह मूल्यांकन करती हैं कि कौन या क्या कनेक्ट हो रहा है, और नेटवर्क उस सेशन को एक्सेस के सही स्तर पर रखता है। व्यवहार में, प्रवेश के निर्णय पहचान (identity), डिवाइस प्रकार, पोस्चर, स्वामित्व, स्थान और व्यावसायिक भूमिका को दर्शाने वाले होने चाहिए।
कर्मचारियों के लिए, एक्सेस को 802.1X , सर्टिफिकेट-आधारित ऑथेंटिकेशन या SSO-समर्थित ऑनबोर्डिंग के माध्यम से कॉर्पोरेट पहचान प्रणालियों का पालन करना चाहिए। मेहमानों (guests) के लिए, एक्सेस प्राप्त करना आसान होना चाहिए लेकिन आंतरिक सेवाओं से पूरी तरह से अलग होना चाहिए। किरायेदारों और तीसरे पक्षों के लिए, एक्सेस उनके अपने संसाधनों तक ही सीमित होना चाहिए और किसी अन्य चीज़ के लिए नहीं। उन डिवाइसेस के लिए जो आधुनिक तरीकों का समर्थन नहीं कर सकते, उनके लिए हर डिवाइस के अनुसार एक अलग क्रेडेंशियल और बेहद सीमित ईस्ट-वेस्ट रीच वाला एक प्रतिबंधित सेगमेंट होना चाहिए।
एक SSID अभी भी सर्विस सेट को व्यवस्थित करने में मदद कर सकता है, लेकिन इस पर सुरक्षा डिजाइन का पूरा बोझ नहीं होना चाहिए। इसके बजाय, मुख्य नियंत्रण बिंदु पहचान स्टोर, पॉलिसी इंजन, सर्टिफिकेट लाइफसाइकिल और सेगमेंटेशन नियम हैं जो यह तय करते हैं कि किसी सेशन को कहाँ जाने की अनुमति है।
नया लक्षित राज्य
लक्षित राज्य स्पष्ट है। जहां भी वातावरण इसकी अनुमति देता है, वहां से साझा किए गए पासवर्ड हटा दें।
परिपक्व डिप्लॉयमेंट में, स्टाफ WiFi किसी डायरेक्टरी या पहचान प्रदाता के विरुद्ध 802.1X का उपयोग करता है। गेस्ट एक्सेस केवल वहीं कैप्टिव ऑनबोर्डिंग का उपयोग करता है जहाँ आवश्यक हो, या जहाँ समर्थित हो वहाँ Passpoint का उपयोग करता है, ताकि उपयोगकर्ता आंतरिक नेटवर्क को उजागर किए बिना या किसी स्थिर साझा रहस्य (shared secret) पर निर्भर रहे बिना कनेक्ट हो सकें। मल्टी-टीनेंट वातावरण उपयोगकर्ताओं और डिवाइसेस को शुरू से ही सही पॉलिसी डोमेन से मैप करते हैं, न कि केवल इसलिए उन पर भरोसा करते हैं क्योंकि वे एक पासवर्ड जानते हैं।
इसके कुछ फायदे और नुकसान भी हैं। पहचान-आधारित एक्सेस के लिए योजना, PKI या सर्टिफिकेट प्रबंधन, RADIUS डिजाइन और पुराने लेगेसी एंडपॉइंट्स के लिए समर्थन की आवश्यकता होती है। लेकिन यह काम कुछ ऐसा प्रदान करता है जो एक मजबूत PSK कभी नहीं दे पाएगा - स्पष्ट एट्रिब्यूशन, नियंत्रित ऑनबोर्डिंग, चुनिंदा निरसन (selective revocation), और डिवाइस के हैक होने पर उसका नियंत्रण।
बुनियादी नेटवर्क हार्डनिंग लागू करना
ऑथेंटिकेशन को आधुनिक बनाने से पहले, बुनियादी ढांचे को सुरक्षित करें। कई संगठन अच्छे WiFi एन्क्रिप्शन को सक्षम करते हैं और फिर भी कमजोर डिफॉल्ट्स और उपेक्षित प्रबंधन सेटिंग्स के माध्यम से कंट्रोल प्लेन को असुरक्षित छोड़ देते हैं।
यूके में, बुनियादी बातों पर सार्वजनिक मार्गदर्शन स्पष्ट है। NCSC साझा या डिफॉल्ट WiFi क्रेडेंशियल्स से दूर जाने और WPA3 Personal या, जहाँ WPA3 अनुपलब्ध हो, WPA2 Personal का उपयोग करने की सलाह देता है, क्योंकि एन्क्रिप्शन ट्रांजिट में डेटा की सुरक्षा करता है। FTC यह भी बताता है कि WPA3 नया और सबसे अच्छा विकल्प है, जिसमें WPA2 फॉलबैक के रूप में है। प्रशासकों के लिए, व्यावहारिक मील का पत्थर राउटर को एक प्रबंधित सुरक्षा डिवाइस के रूप में मानना है: डिफॉल्ट एडमिन यूजरनेम, पासवर्ड और SSIDs बदलें, रिमोट मैनेजमेंट, WPS और UPnP को अक्षम करें, और फर्मवेयर को अपडेट रखें, जैसा कि यहाँ संदर्भित FTC राउटर सुरक्षा मार्गदर्शन में वर्णित है।
मैनेजमेंट प्लेन से शुरुआत करें
यदि कोई हमलावर राउटर, कंट्रोलर, या एक्सेस पॉइंट को प्रबंधित कर सकता है, तो आपके SSID सेटिंग्स से कोई विशेष फर्क नहीं पड़ता।
सुरक्षा को मजबूत करने के लिए इसे एक बेसलाइन के रूप में उपयोग करें:
- डिफ़ॉल्ट एडमिनिस्ट्रेटर क्रेडेंशियल बदलें। राउटर, AP या कंट्रोलर पर फ़ैक्टरी यूजरनेम या पासवर्ड न छोड़ें।
- डिफ़ॉल्ट SSIDs का नाम बदलें। डिफ़ॉल्ट नामकरण अक्सर वेंडर या डिप्लॉयमेंट पैटर्न को उजागर करता है जिसे आपको प्रचारित करने की आवश्यकता नहीं है।
- जब तक कोई निश्चित परिचालन आवश्यकता न हो, तब तक रिमोट मैनेजमेंट को अक्षम करें। यदि आपको इसकी आवश्यकता है, तो इसे अपने मैनेजमेंट नेटवर्क और एक्सेस कंट्रोल के माध्यम से कसकर सीमित करें।
- WPS को अक्षम करें। यह एक ऐसी सुविधा समस्या को हल करता है जो एंटरप्राइज वातावरण में नहीं होनी चाहिए।
- UPnP को अक्षम करें। सेवाओं का स्वचालित रूप से सामने आना न्यूनतम विशेषाधिकार (least privilege) के सिद्धांत के विपरीत है।
- लोकल एडमिन खातों की समीक्षा करें। पुराने ब्रेक-ग्लास यूजर्स को हटा दें और उन क्रेडेंशियल्स को बदलें जिन्हें वर्षों से किसी ने नहीं छुआ है।
पैचिंग सबसे मूल्यवान नियंत्रणों में से एक है
यूके के संगठनों के लिए, फर्मवेयर पैचिंग और डिवाइस स्वच्छता सबसे मूल्यवान परिचालन नियंत्रणों में से हैं क्योंकि हैक किए गए राउटर और एक्सेस पॉइंट अक्सर ज्ञात कमजोरियों के माध्यम से शोषण योग्य होते हैं। NCSC की Cyber Essentials योजना के तहत इंटरनेट-फेसिंग डिवाइस और सुरक्षा सॉफ़्टवेयर को अपडेट रखना आवश्यक है, और सुरक्षा मार्गदर्शन भी WiFi सुरक्षा संचालन के इस अवलोकन में डिफ़ॉल्ट राउटर पासवर्ड को एक सामान्य हमला पथ के रूप में उजागर करता है।
एक व्यावहारिक पैचिंग चक्र इस प्रकार दिखता है:
- प्रत्येक AP, कंट्रोलर, वायरलेस गेटवे, और एज राउटर की सूची बनाएं
- सपोर्ट स्थिति की जांच करें ताकि आप जीवनकाल समाप्त हो चुके हार्डवेयर को सुरक्षित करने की कोशिश न कर रहे हों
- मेंटेनेंस विंडो के दौरान वर्तमान फर्मवेयर लागू करें
- अपग्रेड के बाद कॉन्फ़िगरेशन की दृढ़ता सत्यापित करें
- बदलावों के बाद कनेक्टेड-डिवाइस सूची की समीक्षा करें ताकि किसी भी विचलन या आश्चर्यजनक बदलावों को पकड़ा जा सके
व्यावहारिक नियम: यदि आप केवल WiFi पासवर्ड बदलते हैं लेकिन एडमिन डिफ़ॉल्ट, WPS, या रिमोट मैनेजमेंट को वैसे ही छोड़ देते हैं, तो आपने नेटवर्क को सुरक्षित नहीं किया है। आपने केवल एक दृश्यमान सेटिंग बदली है।
क्या काम नहीं करता
कुछ सलाह सिर्फ इसलिए बची रहती हैं क्योंकि वे सहज लगती हैं, इसलिए नहीं कि वे प्रभावी हैं।
एक छिपा हुआ SSID इसका सामान्य उदाहरण है। यह कोई सार्थक सुरक्षा नहीं बनाता है। यह सहायता घर्षण, अजीब क्लाइंट व्यवहार और सुरक्षा की एक झूठी भावना पैदा करता है। यदि आप एक बड़े वातावरण में WiFi सुरक्षा में सुधार करने का प्रयास कर रहे हैं, तो छिपाने के तरीकों पर परिचालन प्रयास खर्च न करें। इसे पहचान, विभाजन और प्रबंधन स्वच्छता पर खर्च करें।
बुनियादी मजबूती के बारे में सोचने का एक आसान तरीका यह है:
| क्षेत्र | क्या काम करता है | क्या काम नहीं करता है |
|---|---|---|
| प्रशासन | अद्वितीय एडमिन क्रेडेंशियल, सीमित प्रबंधन पहुंच | फ़ैक्टरी डिफ़ॉल्ट |
| डिवाइस सुरक्षा | नवीनतम फर्मवेयर और समर्थित हार्डवेयर | एंड-ऑफ़-लाइफ APs को उनके स्थान पर छोड़ना |
| सुविधा सुविधाएँ | अक्षम WPS और UPnP | एंटरप्राइज सेटिंग्स में उपभोक्ता डिफ़ॉल्ट |
| दृश्यता | प्रबंधित इन्वेंट्री और कॉन्फ़िगरेशन समीक्षा | यह उम्मीद करना कि WLAN नियंत्रक पूरी कहानी बताएगा |
बुनियादी मजबूती हर वायरलेस जोखिम का समाधान नहीं करेगी। लेकिन यह उन आसान विफलताओं को हटा देती है जिनका हमलावर अभी भी फायदा उठाते हैं।
एंटरप्राइज-ग्रेड प्रमाणीकरण में अपग्रेड करना
एंटरप्राइज, गेस्ट और मल्टी-टीनेंट वातावरण में सबसे बड़ी WiFi सुरक्षा गलती एक साझा पासवर्ड को एक स्वीकार्य नियंत्रण स्तर के रूप में मानना है। इसे जारी करना आसान है, फॉरवर्ड करना आसान है, और कर्मचारियों, ठेकेदारों, निवासियों, किरायेदारों और अप्रबंधित उपकरणों में फैलने के बाद इसे नियंत्रित करना कठिन है।
बड़े वातावरणों के लिए, व्यावहारिक अपग्रेड 802.1X के साथ WPA2-Enterprise या WPA3-Enterprise है। यह पहुंच को एक साझा रहस्य से पहचान निर्णय में बदल देता है। नेटवर्क मूल्यांकन कर सकता है कि उपयोगकर्ता कौन है, कौन सा डिवाइस कनेक्ट हो रहा है, और उस समय कौन सी नीति लागू होनी चाहिए।
परिचालन की दृष्टि से 802.1X क्यों महत्वपूर्ण है
साझा-पासवर्ड WiFi सामान्य परिचालन दबाव के तहत विफल हो जाता है। ऑफबोर्डिंग एक पासवर्ड रीसेट अभ्यास में बदल जाती है। जांच में स्पष्ट विशेषता की कमी होती है। ठेकेदार और अल्पकालिक उपयोगकर्ता उसी एक्सेस मॉडल पर समाप्त हो जाते हैं जैसे स्थायी कर्मचारी क्योंकि एक वास्तविक एक्सेस नीति की तुलना में एक पासफ़्रेज़ को प्रशासित करना अधिक सरल होता है।
802.1X प्रत्येक सत्र को एक पहचान देकर इसे ठीक करता है। इस प्रक्रिया के तीन भाग हैं:
- सप्लीकेंट, जो कि क्लाइंट डिवाइस है
- प्रमाणक, आमतौर पर एक्सेस पॉइंट या स्विच पोर्ट
- प्रमाणीकरण सर्वर, आमतौर पर RADIUS
यदि आप उस तीसरी भूमिका के लिए एक सरल संदर्भ चाहते हैं, तो एक RADIUS सर्वर क्या करता है का यह अवलोकन एक उपयोगी प्रारंभिक बिंदु है।
यह मॉडल उन एंटरप्राइज नियंत्रणों का समर्थन करता है जिन्हें PSKs ठीक से या बिल्कुल भी संभाल नहीं पाते हैं।
मजबूत एन्क्रिप्शन के अलावा आपको क्या हासिल होता है
एन्क्रिप्शन मायने रखता है, लेकिन प्राथमिक सुधार प्रशासनिक नियंत्रण है।
एक व्यावहारिक तुलना अंतर को स्पष्ट करती है:
| आवश्यकता | साझा पासवर्ड मॉडल | एंटरप्राइज़ प्रमाणीकरण मॉडल |
|---|---|---|
| एक उपयोगकर्ता को हटाना | पूरा पासवर्ड बदलें, फिर उसे फिर से वितरित करें | व्यक्तिगत खाते या प्रमाणपत्र को निष्क्रिय करें |
| गतिविधि की जांच करना | स्पष्ट रूप से जिम्मेदार ठहराना कठिन है | इवेंट को किसी उपयोगकर्ता या डिवाइस पहचान से जोड़ें |
| भूमिका-आधारित पहुंच लागू करना | अपरिष्कृत और मैन्युअल | नीति निर्णयों में निर्मित |
| छोड़ने वालों और ठेकेदारों को संभालना | त्रुटि की संभावना | केंद्रीय निरसन |
| मिश्रित संपदा की रक्षा करना | पैमाने के लिए कमजोर | कर्मचारियों, BYOD, और प्रबंधित उपकरणों के लिए उपयुक्त |
सबसे मजबूत परिनियोजन पैटर्न आमतौर पर सीधा होता है:
- SSID पर एंटरप्राइज़ प्रमाणीकरण सक्षम करें
- कर्मचारियों के लिए एक केंद्रीय पहचान स्रोत का उपयोग करें
- लीगेसी सिफर को अक्षम करें
- प्रमाणित उपयोगकर्ताओं और डिवाइस प्रकारों को सही नेटवर्क नीतियों से मैप करें
- नियमित रूप से प्रमाणीकरण पथ का ऑडिट करें
परिनियोजन आमतौर पर कहाँ रुकते हैं
जटिलता एक आम आपत्ति है, और यह एक उचित आपत्ति है।
एक PSK पहचान डिजाइन से बचाता है। 802.1X पहचान स्टोर, प्रमाणपत्र जीवनचक्र, डिवाइस ऑनबोर्डिंग, अतिथि पहुंच, फ़ॉलबैक विधियों और पुराने हार्डवेयर के लिए अपवाद प्रबंधन के बारे में निर्णय लेने के लिए मजबूर करता है। उस योजना में समय लगता है, लेकिन यह बाद में होने वाली आवर्ती समस्याओं की एक लंबी सूची को हटा देता है।
एंटरप्राइज़ WiFi तब प्रबंधनीय हो जाता है जब पहुंच उन पहचानों से जुड़ी होती है जिन्हें आप पहले से ही कहीं और नियंत्रित करते हैं।
अनुकूलता दूसरी समस्या है। लैपटॉप और फोन आमतौर पर प्रमाणपत्र-आधारित पहुंच या निर्देशिका-समर्थित प्रमाणीकरण के साथ अच्छी तरह काम करते हैं। प्रिंटर, स्कैनर, चिकित्सा उपकरण, OT सिस्टम और पुराने IoT उपकरण अक्सर ऐसा नहीं करते हैं। एक परिपक्व डिजाइन शुरुआत में ही इसका ध्यान रखता है। आधुनिक उपयोगकर्ता पहुंच को 802.1X पर रखें, अपवादों को अलग करें, और मुट्ठी भर सीमित उपकरणों को पूरी संपदा के लिए नीति निर्धारित न करने दें।
मल्टी-टेनेंट और बड़े सार्वजनिक स्थानों में, अतिथि पहुंच पर विशेष ध्यान दिया जाना चाहिए। कर्मचारियों और टेनेंट उपयोगकर्ताओं को उन पहचानों के साथ प्रमाणित होना चाहिए जिन्हें आप निरस्त और ऑडिट कर सकते हैं। अतिथियों को एक अलग ऑनबोर्डिंग प्रवाह का उपयोग करना चाहिए, आदर्श रूप से Captive Portal पंजीकरण, फ़ेडरेटेड साइन-इन, या Passpoint के साथ जहां पर्यावरण इसका समर्थन करता है। इससे पासवर्ड साझाकरण कम होता है, सपोर्ट ओवरहेड कम होता है, और सभी साइटों पर एक्सेस पॉलिसी को लगातार लागू करना आसान हो जाता है।
व्यवहार में क्या चुनें
अधिकांश संगठनों के लिए, यह वह क्रम है जो काम करता है:
- कर्मचारियों के डिवाइस 802.1X के साथ WPA2-Enterprise या WPA3-Enterprise का उपयोग करते हैं
- कॉर्पोरेट-प्रबंधित एंडपॉइंट प्रमाणपत्र-आधारित प्रमाणीकरण को प्राथमिकता देते हैं
- BYOD उपयोगकर्ता नीतिगत प्रतिबंधों के साथ नियंत्रित पहचान वर्कफ़्लो के माध्यम से प्रमाणित होते हैं
- अतिथि एक अलग एक्सेस फ़्लो का उपयोग करते हैं और कर्मचारी ट्रस्ट मॉडल से बाहर रहते हैं
- लीगेसी एंडपॉइंट कड़े दायरे और स्पष्ट स्वामित्व के साथ अपवाद हैंडलिंग प्राप्त करते हैं
यदि लक्ष्य उद्यम स्तर पर WiFi सुरक्षा में सुधार करना है, तो एक बेहतर साझा पासवर्ड के बजाय पहचान के इर्द-गिर्द निर्माण करें। व्यवहार में इसका मतलब है कार्यबल पहुंच के लिए 802.1X, जहां उपयुक्त हो वहां SSO या फ़ेडरेटेड पहचान, उच्च-मात्रा वाले अतिथि वातावरण के लिए Passpoint, और पासवर्ड वितरण के इर्द-गिर्द बने नेटवर्क के बजाय नियंत्रित अपवादों की एक संक्षिप्त सूची।
एक सुरक्षित खंडित नेटवर्क आर्किटेक्चर डिजाइन करना
यदि प्रमाणीकरण उत्तर देता है कि "कौन अंदर आता है", तो विभाजन उत्तर देता है कि "वे कहाँ पहुँचते हैं"।
एक फ्लैट वायरलेस नेटवर्क बिना लेन, बिना बैरियर और किस वाहन को किस गंतव्य तक पहुंचना चाहिए, इसके बिना नियमों के मोटरवे चलाने जैसा है। यह ट्रैफ़िक को स्थानांतरित कर सकता है। यह घटनाओं को अच्छी तरह से नियंत्रित नहीं कर पाएगा।
सुविधा के आधार पर नहीं, बल्कि विश्वास के आधार पर विभाजित करें
अतिथि पहुंच को अक्सर एक साधारण पासवर्ड समस्या के रूप में माना जाता है, लेकिन मजबूत डिज़ाइन अतिथि WiFi को एक अलग सबनेट या नेटवर्क में विभाजित करना और इसे संवेदनशील संसाधनों से अलग करना है, जैसा कि Ekahau's guidance on secure Wi-Fi design में चर्चा की गई है। यह SSID को छिपाने जैसे कॉस्मेटिक विचारों की तुलना में कहीं अधिक मायने रखता है।
बड़े वातावरण में सबसे साफ विभाजन मॉडल में आमतौर पर निम्न के लिए अलग क्षेत्र शामिल होते हैं:
- कॉर्पोरेट कर्मचारी
- अतिथि
- IoT और परिचालन उपकरण
- सुरक्षित सर्वर या एप्लिकेशन क्षेत्र
- जहां आवश्यक हो वहां किरायेदार-विशिष्ट या साइट-विशिष्ट नेटवर्क
प्रत्येक क्षेत्र का अपना VLAN या समकक्ष नीति सीमा होनी चाहिए, और अंतर-क्षेत्र ट्रैफ़िक को फ़ायरवॉल या नीति इंजन के माध्यम से गुजरना चाहिए। सभी वायरलेस कंट्रोलर इसे समान रूप से अच्छी तरह से लागू नहीं करते हैं, इसलिए जांचें कि आपकी स्टैक में नीति कहाँ रहती है।
एक खाका जो वास्तविक स्थानों में काम करता है
विभाजन नियमों का उपयोग करें जो वास्तविक व्यावसायिक कार्य को दर्शाते हैं।
आतिथ्य और मनोरंजन
होटल, बार, स्टेडियम और इवेंट स्थानों को आमतौर पर कम से कम इन पृथक्करणों की आवश्यकता होती:
- बैक-ऑफिस सिस्टम के लिए बिना किसी रूट के अतिथि इंटरनेट एक्सेस
- स्टाफ संचालन हैंडहेल्ड, PMS क्लाइंट और आंतरिक अनुप्रयोगों के लिए
- POS और भुगतान वातावरण अत्यधिक सीमित पूर्व-पश्चिम ट्रैफ़िक के साथ
- बिल्डिंग सिस्टम और IoT जैसे कि IPTV, थर्मोस्टैट्स, साइनेज, लॉक या कैमरे
आतिथ्य (hospitality) क्षेत्र में, आम विफलता सुविधा को डिज़ाइन संचालित करने देना है। कोई "सब कुछ" के लिए एक SSID चाहता है। एक सप्ताह के लिए सपोर्ट आसान हो जाता है। जोखिम वर्षों के लिए बढ़ जाता है।
रिटेल और शॉपिंग सेंटर
रिटेल संपत्तियों को आमतौर पर इन्हें अलग करने की आवश्यकता होती है:
- स्टोर स्टाफ डिवाइस
- ग्राहक अतिथि एक्सेस
- POS और भुगतान टर्मिनल
- डिजिटल साइनेज और सेंसर
- मकान मालिक या केंद्र-प्रबंधन सिस्टम
मुख्य बात यह है कि किसी एक स्टोर, एक कियोस्क या एक गलत तरीके से कॉन्फ़िगर किए गए वेंडर डिवाइस को दूसरे परिचालन डोमेन में ब्रिज बनने से रोका जाए।
मल्टी-टेनेंट प्रॉपर्टी
आवासीय, BTR, छात्र आवास और मिश्रित उपयोग वाली संपत्तियों में, वायरलेस डिज़ाइन अक्सर विफल हो जाता है क्योंकि ऑपरेटर घरेलू अपेक्षाओं को एंटरप्राइज़ जोखिम के साथ मिला देते हैं। किरायेदारों को सरल कनेक्टिविटी चाहिए। ऑपरेटरों को सख्त अलगाव की आवश्यकता होती है।
एक व्यावहारिक मॉडल है:
| नेटवर्क श्रेणी | एक्सेस मॉडल | अनुमत पहुंच |
|---|---|---|
| किरायेदार एक्सेस | किरायेदार-विशिष्ट पहचान या प्रोफ़ाइल | इंटरनेट और स्वीकृत निवासी सेवाएं |
| भवन संचालन | प्रबंधित डिवाइस पहचान | केवल आवश्यक आंतरिक सिस्टम |
| अतिथि/सामान्य क्षेत्र WiFi | अलग अतिथि पथ | केवल इंटरनेट |
| ठेकेदार एक्सेस | समय-बाध्य नीति | केवल विशिष्ट ऐप्स या सपोर्ट सेवाएं |
VLAN आरेखों से अधिक फ़ायरवॉल नियम महत्वपूर्ण हैं
टीमें अक्सर VLAN डिज़ाइन पर आकर रुक जाती हैं और काम को पूरा मान लेती हैं। यह केवल आधा काम है।
आपके फ़ायरवॉल नियमों को इन जैसे प्रश्नों का उत्तर देना चाहिए:
- क्या कोई अतिथि डिवाइस इंटरनेट पथ के अलावा किसी भी चीज़ तक पहुँच सकता है?
- क्या कोई IoT डिवाइस उपयोगकर्ता नेटवर्क में सेशन शुरू कर सकता है?
- क्या स्टाफ डिवाइस केवल स्वीकृत पोर्ट और सेवाओं के माध्यम से संरक्षित अनुप्रयोगों तक पहुँच सकते हैं?
- क्या एक किरायेदार नेटवर्क कभी दूसरे किरायेदार नेटवर्क को देख सकता है?
- क्या ऑनबोर्डिंग सिस्टम इन सेवाओं को व्यापक रूप से उजागर किए बिना पहचान सेवाओं से बात कर सकते हैं?
सेगमेंटेशन तब विफल हो जाता है जब नीति को लागू करने के बजाय मान लिया जाता है।
एक अच्छा आर्किटेक्चर यह मानकर नहीं चलता कि डिवाइस सही व्यवहार करेंगे। यह मानकर चलता है कि उनमें से कुछ नहीं करेंगे, और उसी के अनुसार नुकसान को सीमित करता है। यही कारण है कि सेगमेंटेशन किसी भी ऐसे वातावरण में WiFi सुरक्षा को बेहतर बनाने के तरीके का केंद्र है जहां अस्थायी उपयोगकर्ता, अप्रबंधित डिवाइस या मिश्रित विश्वास स्तर होते हैं।
सुरक्षित ऑनबोर्डिंग और एक्सेस प्रबंधन को स्वचालित करना
जब आपके पास कर्मचारियों का आना-जाना, BYOD, ठेकेदार, मेहमान और कई स्थानों पर फैले हुए पुराने उपकरण हों, तो मैन्युअल WiFi व्यवस्थापन काम नहीं आता। लोग चले जाते हैं। उपकरण बदल दिए जाते हैं। अस्थायी एक्सेस स्थायी हो जाता है क्योंकि इसे हटाना किसी को याद नहीं रहता।
ऑटोमेशन पहचान, प्रमाणीकरण और नेटवर्क नीति को जोड़कर इसे ठीक करता है।
कर्मचारी एक्सेस को पहचान जीवनचक्र का पालन करना चाहिए
जब कोई कर्मचारी शामिल होता है, तो उनका WiFi एक्सेस उसी पहचान प्रक्रिया के हिस्से के रूप में दिखाई देना चाहिए जो उनके व्यावसायिक खाते बनाती है। जब वे टीमें बदलते हैं, तो नीति अपडेट होनी चाहिए। जब वे चले जाते हैं, तो पुराने पासवर्ड या पुराने MAC प्रविष्टियों को खोजे बिना एक्सेस बंद हो जाना चाहिए।
यही कारण है कि परिपक्व परिनियोजन वायरलेस एक्सेस को उन्हीं पहचान प्रदाताओं से जोड़ते हैं जो संगठन में पहले से उपयोग किए जा रहे हैं, जैसे कि Entra ID, Google Workspace, या Okta। इसका परिणाम एक आसान ऑनबोर्डिंग पथ, कम मैन्युअल अपवाद और केंद्रीय निरसन है।
यदि आप नीति प्रवर्तन और पहचान-संचालित प्रवेश के आसपास ऑर्केस्ट्रेशन विकल्पों का मूल्यांकन कर रहे हैं, तो ये नेटवर्क एक्सेस नियंत्रण समाधान उस व्यापक नियंत्रण परत को दिखाते हैं जिसकी आपको वायरलेस के आसपास आवश्यकता है, न कि केवल स्वयं रेडियो की।
विभिन्न उपयोगकर्ता समूहों को विभिन्न ऑनबोर्डिंग पथों की आवश्यकता होती है
एक ही वर्कफ़्लो शायद ही कभी सभी के लिए उपयुक्त हो। अलग-अलग ट्रस्ट स्तरों के लिए अलग-अलग तरीकों का उपयोग करें।
- प्रबंधित कर्मचारी उपकरणों को न्यूनतम उपयोगकर्ता घर्षण के साथ प्रमाणपत्र-आधारित या निर्देशिका-समर्थित प्रमाणीकरण का उपयोग करना चाहिए।
- BYOD उपयोगकर्ताओं को एक नियंत्रित नामांकन प्रवाह की आवश्यकता होती है जो प्रतिबंधित नीति और स्पष्ट समाप्ति या समीक्षा शर्तों को लागू करता है।
- मेहमानों को कर्मचारी ट्रस्ट डोमेन में शामिल हुए बिना आसान पहुंच की आवश्यकता होती है।
- पुराने उपकरणों को कड़ाई से सीमित विशेषाधिकारों के साथ अपवाद हैंडलिंग की आवश्यकता होती है।
यह वह जगह भी है जहां एक प्लेटफ़ॉर्म विकल्प परिनियोजन को सरल बना सकता है। Purple पुराने उपकरणों के लिए WPA2/3-Enterprise एक्सेस, SSO-समर्थित प्रमाणीकरण, Passpoint/OpenRoaming, और iPSK का समर्थन करता है, जो ऑन-प्रिमाइसेस RADIUS और Captive Portal वर्कफ़्लो के आसपास सब कुछ बनाए बिना साझा पासवर्ड को बदलने का प्रयास करने वाले वातावरण के साथ अच्छी तरह से मेल खाता है।
Passpoint और पासवर्ड रहित अतिथि एक्सेस
पारंपरिक अतिथि WiFi अक्सर उपयोगकर्ताओं को एक Captive Portal और एक साझा पासवर्ड के माध्यम से जाने के लिए बाध्य करता है, और फिर उन्हें एक अलग इंटरनेट पथ पर छोड़ देता है। यह काम कर सकता है, लेकिन यह बोझिल है और अभी भी संगठनों को "अतिथि पासवर्ड" के संदर्भ में सोचने के लिए प्रेरित करता है।
एक बेहतर मॉडल Passpoint या संबंधित रोमिंग फ़्रेमवर्क के माध्यम से पासवर्ड रहित ऑनबोर्डिंग है, जहाँ पहचान का आदान-प्रदान स्पष्ट रूप से होता है और सत्र की शुरुआत से ही ट्रैफ़िक एन्क्रिप्टेड होता है। इससे सुरक्षा और उपयोगकर्ता अनुभव दोनों में सुधार होता है। यह होटलों में फ्रंट-डेस्क के काम, रिटेल टीमों पर दबाव और स्वास्थ्य सेवा प्रतीक्षा क्षेत्रों या परिवहन हबों में होने वाली परेशानी को भी कम करता है।
अच्छी ऑनबोर्डिंग उपयोगकर्ता के अनुभव से साझा रहस्यों को हटा देती है और एडमिन टीम के लिए मैन्युअल सफ़ाई के काम को समाप्त कर देती है।
मानक को कमजोर किए बिना अपवादों को संभालें
हर डिवाइस 802.1X का समर्थन नहीं कर सकती। प्रिंटर, विशेषज्ञ स्कैनर, स्मार्ट टीवी, साइनेज प्लेयर और कुछ परिचालन डिवाइस अभी भी पीछे हैं। इसका मतलब यह नहीं है कि आप पूरे परिसर के लिए एक पासवर्ड पर निर्भर हो जाएं।
उन डिवाइसों के लिए, प्रति-डिवाइस दृष्टिकोण जैसे कि iPSK का उपयोग करें, फिर प्रत्येक क्रेडेंशियल को सही सेगमेंट से बांधें और इसकी पहुंच को सीमित करें। यदि एक डिवाइस से समझौता किया जाता है, तो आप केवल उसी एक डिवाइस को निरस्त करते हैं। आप पूरे नेटवर्क को नहीं बदलते हैं।
यहाँ ऑटोमेशन का बहुत महत्व है क्योंकि बड़े पैमाने पर सब कुछ बदल जाता है। कुछ अपवादों को मैन्युअल रूप से प्रबंधित किया जा सकता है। लेकिन संपत्तियों, स्थानों या परिसरों में सैकड़ों अपवादों का होना वह जगह है जहाँ स्प्रेडशीट सुरक्षा संबंधी कमियाँ पैदा करने लगती हैं।
सक्रिय निगरानी और घटना प्रतिक्रिया स्थापित करना
WiFi सुरक्षा डिज़ाइन की तुलना में संचालन में अधिक बार विफल होती है।
एक उद्यम 802.1X तैनात कर सकता है, कर्मचारियों से मेहमानों को अलग कर सकता है, और साझा पासवर्ड को पहचान-आधारित पहुंच से बदल सकता है, लेकिन फिर भी नियंत्रण खो सकता है क्योंकि कोई भी बदलावों पर नज़र नहीं रख रहा है। एक प्रमाणपत्र समाप्त हो जाता है। एक इवेंट के बाद भी एक अस्थायी SSID सक्रिय रहता है। एक किरायेदार साझा स्थान में एक अप्रबंधित AP जोड़ता है। एक नीति परिवर्तन डिवाइसों को गलत सेगमेंट में भेज देता है। बड़े स्थानों और बहु-किरायेदार संपत्तियों में, ये विफलताएं आम हैं क्योंकि वायरलेस लगातार बदलता रहता है।
लगातार क्या मॉनिटर करें
केवल अपटाइम के बजाय एक्सेस कंट्रोल और नीति प्रवर्तन से जुड़े संकेतों के साथ शुरुआत करें।
इन पर ध्यान केंद्रित करें:
- RADIUS, पहचान प्रदाताओं, या क्लाउड NAC प्लेटफ़ॉर्म से सफल और असफल प्रमाणीकरण
- कंट्रोलर, AP, स्विच और गेटवे पर प्रशासनिक लॉगिन और कॉन्फ़िगरेशन परिवर्तन
- अनुमोदित परिवर्तन विंडो के बाहर बनाए गए नए SSID, नीति ऑब्जेक्ट या अपवाद नियम
- क्लाइंट असाइनमेंट पैटर्न जो उपयोगकर्ताओं या डिवाइसों को गलत भूमिका, VLAN, या नीति समूह में जाते हुए दिखाते हैं
- विभिन्न साइटों और संपत्तियों में AP की स्थिति, फ़र्मवेयर स्थिति और कंट्रोलर सिंक स्थिति
प्रमाणीकरण विफलताओं को संदर्भ के साथ देखा जाना चाहिए। विफलताओं की अचानक बाढ़ प्रमाणपत्र नवीनीकरण के बाद एक सहायता समस्या हो सकती है या SSO से जुड़ी ऑनबोर्डिंग त्रुटि हो सकती है। यह क्रेडेंशियल के दुरुपयोग, डिवाइस क्लोनिंग, या संपूर्ण उपयोगकर्ता समूह को प्रभावित करने वाली गलत नीति का शुरुआती प्रमाण भी हो सकता है।
मुद्दा सरल है। उन नियंत्रणों की निगरानी करें जो यह तय करते हैं कि किसे एक्सेस मिलता है, उन्हें यह कैसे मिलता है, और उसके बाद वे कहाँ पहुँचते हैं।
Rogue AP डिटेक्शन एक नियमित नियंत्रण है
एक अच्छी तरह से डिज़ाइन किए गए वायरलेस वातावरण में Rogue AP अभी भी कुछ सबसे आसान कमियां पैदा करते हैं। वे हमेशा दुर्भावनापूर्ण नहीं होते हैं। व्यवहार में, कई सुविधा के लिए आते हैं। एक कर्मचारी नेटवर्क के मृत स्थान को ठीक करने के लिए कम लागत वाला राउटर प्लग इन करता है। एक ठेकेदार एक इवेंट के बाद ब्रिज छोड़ जाता है। एक किरायेदार एक साझा इमारत में उपभोक्ता गियर स्थापित करता है और आपकी ऑथेंटिकेशन और सेगमेंटेशन नीतियों के आसपास एक अप्रबंधित मार्ग बनाता है।
यही कारण है कि नियमित RF और इन्फ्रास्ट्रक्चर जांच सामान्य ऑपरेशन्स का हिस्सा हैं, न कि वार्षिक ऑडिट का। समस्याग्रस्त क्षेत्रों में कॉन्फ़िगरेशन समीक्षाओं, स्विच-पोर्ट जांच और फिजिकल वॉकथ्रू के साथ-साथ rogue access points और सिग्नल विसंगतियों के लिए WiFi स्कैन चलाएं।
एक rogue AP इसलिए मायने रखता है क्योंकि यह आपके द्वारा कहीं और लिए गए पहचान और नीतिगत निर्णयों को बायपास कर देता है।
एक WiFi-विशिष्ट रिस्पॉन्स प्लेबुक बनाएं
सामान्य SOC रनबुक पर्याप्त नहीं हैं। वायरलेस घटनाओं के लिए ऐसे कार्यों की आवश्यकता होती है जो वायरलेस विफलता मोड से मेल खाते हों।
एक सरल प्लेबुक संरचना का उपयोग करें:
इवेंट की पहचान करें
पुष्टि करें कि समस्या rogue AP है, सर्टिफिकेट की विफलता है, नीतिगत बदलाव है, असामान्य ऑथेंटिकेशन गतिविधि है, या वायरलेस सेगमेंट से संदिग्ध लेटरल मूवमेंट है।एक्सपोजर को सीमित करें
SSID को अक्षम करें, क्रेडेंशियल रद्द करें, एंडपॉइंट को क्वारंटाइन करें, स्विच पोर्ट को हटा दें, या कंट्रोलर से AP को ब्लॉक करें।सबूत सुरक्षित रखें
कंट्रोलर लॉग, RADIUS लेनदेन, पहचान-प्रदाता इवेंट, कॉन्फ़िगरेशन स्नैपशॉट और परिवर्तन रिकॉर्ड रखें।एक्सेस पाथ का पता लगाएं
निर्धारित करें कि किस पहचान को प्रमाणित किया गया था, कौन सी नीति लागू की गई थी, कौन सा सेगमेंट असाइन किया गया था, और डिवाइस कहाँ तक पहुँच सकता था।कंट्रोल गैप को ठीक करें
मूल कारण को हटा दें। यदि किसी अस्थायी ऑनबोर्डिंग पाथ की कोई समाप्ति तिथि नहीं थी, तो समाप्ति तिथि जोड़ें। यदि किसी किरायेदार पोर्ट ने अप्रबंधित गियर की अनुमति दी थी, तो पोर्ट नीति को सख्त करें।
एंटरप्राइज और गेस्ट वातावरण में, रिस्पॉन्स स्पीड मायने रखती है क्योंकि एक कमजोर अपवाद एक साथ कई उपयोगकर्ताओं को प्रभावित कर सकता है। एक गलत कॉन्फ़िगर किया गया स्टाफ SSID आंतरिक एक्सेस को व्यापक रूप से उजागर कर सकता है। एक गेस्ट पॉलिसी त्रुटि पूरे स्थान पर आइसोलेशन को तोड़ सकती है। एक साझा-पासवर्ड मॉडल रोकथाम को कठिन बनाता है क्योंकि रद्द करने के लिए कोई एकल पहचान नहीं होती है। पहचान-आधारित एक्सेस टीम को एक स्पष्ट रिस्पॉन्स पाथ देता है।
उस चीज़ का ऑडिट करें जिसे लोग भूल जाते हैं
उच्च-मूल्य वाली जांच अक्सर परिचालन संबंधी घरेलू रखरखाव होती हैं:
| ऑडिट आइटम | यह क्यों मायने रखता है |
|---|---|
| लीगेसी सिफर समीक्षा | पुराने सेटिंग्स माइग्रेशन के बाद भी बचे रहते हैं और नए नीति मानकों को कमजोर करते हैं |
| गेस्ट पाथ सत्यापन | Guest ट्रैफ़िक अक्सर डिज़ाइन के सुझाव की तुलना में कम अलग (isolated) होता है |
| Authentication-server सेटिंग्स | यहाँ विचलन होने से सुरक्षा आश्वासन टूट जाता है |
| AP इन्वेंट्री समाधान | अज्ञात या बदले गए हार्डवेयर समय के साथ दिखाई देते हैं |
| अपवाद डिवाइस समीक्षा | अस्थायी अनुमतियाँ अक्सर स्थायी बन जाती हैं |
WiFi मॉनिटरिंग को एक्सेस कंट्रोल संचालन के हिस्से के रूप में देखें। एंटरप्राइज, गेस्ट और मल्टी-टेनेंट वातावरण में, टीमें इसी तरह पहचान (identity), सेगमेंटेशन और अपवाद प्रबंधन को डिज़ाइन के साथ संरेखित रखती हैं।
आपकी WiFi सुरक्षा एक्शन चेकलिस्ट
साझा किए गए पासवर्ड अभी भी कई WiFi रोलआउट पर हावी हैं। एंटरप्राइज, गेस्ट और मल्टी-टेनेंट वातावरण में, वह मॉडल ही समस्या है। व्यावहारिक समाधान व्यापक साझा एक्सेस को पहचान (identity), नीति (policy) और त्वरित निरसन (fast revocation) से बदलना है।
नीचे दी गई चेकलिस्ट का उपयोग उस वातावरण का परीक्षण करने के लिए करें जिसे आप चलाते हैं, न कि उस वातावरण का जो डिज़ाइन आरेख पर दिखाया गया है।
हॉस्पिटैलिटी और अतिथि-प्रधान स्थान
- नीति स्तर (policy layer) पर अतिथि और कर्मचारियों की एक्सेस को अलग करें। कर्मचारियों के डिवाइस, POS, PMS और बैक-ऑफिस सिस्टम को अलग तरह से प्रमाणित होना चाहिए और अलग-अलग नेटवर्क सेगमेंट में जाना चाहिए।
- प्रिंटेड साझा पासवर्ड को हटाएँ। कैप्टिव ऑनबोर्डिंग, जहाँ उपयुक्त हो SSO, समर्थित यात्राओं के लिए Passpoint/OpenRoaming, और कर्मचारियों के लिए पहचान-आधारित एक्सेस का उपयोग करें।
- कमरे और स्थान के उपकरणों को अलग करें। टीवी, साइनेज, थर्मोस्टेट, लॉक और अन्य IoT सिस्टम को कड़े दायरे वाले एक्सेस की आवश्यकता होती है, न कि व्यापक स्थानीय दृश्यता की।
- अस्थायी एक्सेस पर समाप्ति और स्वामित्व लागू करें। इवेंट नेटवर्क, कॉन्फ्रेंस बदलाव और ठेकेदार की एक्सेस के लिए एक नामित मालिक और एक स्वचालित समाप्ति तिथि होनी चाहिए।
- उपयोगकर्ता पक्ष से परीक्षण करें। एक अतिथि के रूप में कनेक्ट करें और सत्यापित करें कि क्या पहुँच योग्य है। कर्मचारियों, ठेकेदारों और कमरे के उपकरणों के लिए भी ऐसा ही करें।
कॉर्पोरेट और कैंपस IT
- वर्कफोर्स एक्सेस के लिए 802.1X के साथ WPA2-Enterprise या WPA3-Enterprise का उपयोग करें।
- WiFi एक्सेस को पहचान जीवनचक्र (identity lifecycle) प्रक्रियाओं से जोड़ें। नए शामिल होने वाले लोगों को सही एक्सेस जल्दी मिलती है। जाने वाले उपयोगकर्ता इसे जल्दी से खो देते हैं।
- प्रबंधित एंडपॉइंट के लिए प्रमाणपत्र-आधारित प्रमाणीकरण (certificate-based authentication) को प्राथमिकता दें। यह फ़िशिंग जोखिम को कम करता है और साझा रहस्यों को बदलने के सपोर्ट बोझ से बचाता है।
- BYOD को प्रबंधित एक्सेस से अलग रखें। अलग-अलग डिवाइस ट्रस्ट स्तरों के परिणामस्वरूप अलग-अलग नीतियां, अलग-अलग VLAN या भूमिकाएं, और अलग-अलग गंतव्य होने चाहिए।
- पुराने प्रोटोकॉल और सिफर अपवादों को हटाएं। यदि एक विरासत डिवाइस को अभी भी कमजोर सेटिंग्स की आवश्यकता है, तो मुख्य संपत्ति को कमजोर करने के बजाय इसे एक सीमित पथ पर ले जाएं।
मल्टी-टेनेंट संपत्ति और आवासीय संचालन
- प्रत्येक टेनेंट को डिज़ाइन द्वारा अलग रखें। एक फ्लैट, कार्यालय, या निवासी नेटवर्क के पास दूसरे नेटवर्क तक पार्श्व पहुंच (lateral access) नहीं होनी चाहिए।
- किराएदार की पहुंच से भवन के संचालन को अलग रखें। कैमरे, लिफ्ट, एक्सेस कंट्रोल, मीटरिंग और प्लांट सिस्टम को अपने स्वयं के प्रमाणित पथ और सीमित एडमिनिस्ट्रेशन मॉडल की आवश्यकता होती है।
- उस हार्डवेयर के लिए प्रति-उपकरण क्रेडेंशियल जारी करें जो आधुनिक उपयोगकर्ता प्रमाणीकरण का उपयोग नहीं कर सकता है। इससे टीम को ऑडिट करने और एक्सेस वापस लेने के लिए एक विशिष्ट माध्यम मिलता है।
- ठेकेदार की पहुंच को समय और गंतव्य के अनुसार सीमित करें। रखरखाव सप्लायर्स को शायद ही कभी व्यापक नेटवर्क पहुंच की आवश्यकता होती है, और उन्हें शायद ही कभी लंबे समय तक इसकी आवश्यकता होती है।
- अप्रबंधित और छोड़े गए उपकरणों की समीक्षा करें। किराएदारों द्वारा स्थापित गियर, बदले गए APs और भूले हुए स्विच जोखिम प्रोफाइल को तेजी से बदलते हैं।
किसी भी वातावरण के लिए सार्वभौमिक जांच
- सभी डिफॉल्ट एडमिन क्रेडेंशियल बदलें
- WPS, UPnP और रिमोट मैनेजमेंट को अक्षम करें जिसका आप सक्रिय रूप से उपयोग नहीं करते हैं
- APs, कंट्रोलर, गेटवे और RADIUS इंफ्रास्ट्रक्चर को समर्थित सॉफ़्टवेयर पर रखें
- अनधिकृत एक्सेस पॉइंट्स और अनधिकृत SSIDs के लिए स्कैन करें
- सत्यापित करें कि असाइन की गई पॉलिसी, सेगमेंट और सुलभ संसाधन डिज़ाइन से मेल खाते हैं
- हर महीने अपवादों की समीक्षा करें। अस्थायी अनुमतियाँ वे स्थान हैं जहाँ कमजोर नियंत्रण स्थायी हो जाते हैं
यदि लक्ष्य 2026 में WiFi सुरक्षा में सुधार करना है, तो इसकी शुरुआत इस बात से करें कि किसे पहुंच मिलती है, उस पहुंच को कैसे प्रमाणित किया जाता है, और इसे कितनी तेजी से निरस्त किया जा सकता है। पासवर्ड की मजबूती अभी भी महत्वपूर्ण है। बड़े परिसरों में, पहचान, सेगमेंटेशन और नियंत्रित ऑनबोर्डिंग अधिक मायने रखते हैं।
यदि आप मेहमानों, कर्मचारियों या किराएदारों के लिए साझा पासवर्ड को पहचान-आधारित WiFi पहुंच से बदल रहे हैं, तो Purple मूल्यांकन करने के लिए एक विकल्प है। यह एंटरप्राइज़ प्रमाणीकरण, SSO-आधारित ऑनबोर्डिंग, Passpoint/OpenRoaming, और पुराने हार्डवेयर के लिए प्रति-उपकरण एक्सेस मॉडल का समर्थन करता है, जो बड़े स्थानों और वितरित परिसरों को व्यापक साझा क्रेडेंशियल्स पर भरोसा किए बिना WiFi सुरक्षा को आधुनिक बनाने में मदद कर सकता है।
