मुख्य सामग्री पर जाएं

802.1X WiFi प्रमाणीकरण को कैसे कॉन्फ़िगर करें: एक चरण-दर-चरण मार्गदर्शिका

यह तकनीकी मार्गदर्शिका 802.1X एंटरप्राइज़ WiFi प्रमाणीकरण को कॉन्फ़िगर करने के लिए एक चरण-दर-चरण मार्गदर्शिका प्रदान करती है। इसमें RADIUS सर्वर सेटअप, प्रमाणपत्र परिनियोजन, और उच्च-फ़ुटफ़ॉल वाले स्थानों पर IT लीडर्स के लिए व्यावहारिक परिनियोजन रणनीतियाँ शामिल हैं।

📖 5 मिनट का पाठ📝 1,126 शब्द🔧 2 हल किए गए उदाहरण3 अभ्यास प्रश्न📚 8 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें
802.1X WiFi प्रमाणीकरण को कैसे कॉन्फ़िगर करें: एक चरण-दर-चरण मार्गदर्शिका एक Purple Enterprise WiFi Intelligence पॉडकास्ट [प्रस्तावना — लगभग 1 मिनट] आपका स्वागत है। मैं आज एक सीनियर सॉल्यूशंस आर्किटेक्ट के रूप में बोल रहा हूँ, और यदि आप इसे सुन रहे हैं, तो आप शायद एक नेटवर्क सुरक्षा परियोजना का सामना कर रहे हैं जिसमें 802.1X प्रमाणीकरण शामिल है - या तो इसलिए क्योंकि आपकी अनुपालन टीम ने इसे हरी झंडी दिखाई है, आपके बीमाकर्ता ने इसके बारे में पूछा है, या आपको सिर्फ एक ऐसा नेटवर्क विरासत में मिला है जो एक साझा PSK पर चल रहा है और आप जानते हैं कि अब यह पर्याप्त नहीं है। तो सीधे मुद्दे पर आते हैं। 802.1X पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल के लिए IEEE मानक है। यह एंटरप्राइज WiFi सुरक्षा की रीढ़ है - वह तंत्र जो यह सुनिश्चित करता है कि आपके नेटवर्क से कनेक्ट होने वाले प्रत्येक डिवाइस की सकारात्मक रूप से पहचान की गई है और उसे अधिकृत किया गया है, इससे पहले कि वह ट्रैफिक का एक भी बाइट प्राप्त कर सके। यह PCI-DSS के तहत भुगतान कार्ड डेटा को संभालने वाले संगठनों के लिए वैकल्पिक नहीं है, यह GDPR और NHS डेटा सुरक्षा मानकों के तहत स्वास्थ्य सेवा वातावरण के लिए वैकल्पिक नहीं है, और सच कहें तो, कुछ चुनिंदा एक्सेस पॉइंट्स से अधिक चलाने वाले किसी भी संगठन के लिए, यह सही आर्किटेक्चर है। अगले दस मिनटों में, मैं आपको तकनीकी आर्किटेक्चर, RADIUS कॉन्फ़िगरेशन, प्रमाणपत्र परिनियोजन और वास्तविक दुनिया के उन परिदृश्यों के बारे में बताऊंगा जहाँ यह जटिल हो जाता है। चलिए शुरू करते हैं। [तकनीकी गहन विश्लेषण — लगभग 5 मिनट] ठीक है, तो 802.1X फ्रेमवर्क के तीन घटक होते हैं। आपके पास Supplicant है - वह क्लाइंट डिवाइस है, जैसे लैपटॉप, फोन, IoT सेंसर। आपके पास Authenticator है - वह आपका एक्सेस पॉइंट या आपका नेटवर्क स्विच है, जिसे कभी-कभी NAS यानी नेटवर्क एक्सेस सर्वर कहा जाता है। और आपके पास Authentication Server है - एंटरप्राइज डिप्लॉयमेंट में लगभग सार्वभौमिक रूप से एक RADIUS सर्वर होता है। यहाँ बताया गया है कि हैंडशेक कैसे काम करता है। जब कोई डिवाइस 802.1X-सुरक्षित SSID से कनेक्ट करने का प्रयास करता है, तो एक्सेस पॉइंट उसे केवल प्रवेश नहीं करने देता है। इसके बजाय, यह एक नियंत्रित पोर्ट खोलता है - एक सीमित चैनल जो केवल EAP ट्रैफिक यानी एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल को पास करता है। AP डिवाइस को एक EAP-Request Identity भेजता है। डिवाइस अपनी पहचान के साथ प्रतिक्रिया करता है। AP फिर उसे RADIUS Access-Request पैकेट में लपेटकर RADIUS सर्वर को फॉरवर्ड करता है। RADIUS सर्वर प्रमाणीकरण चलाता है - एक्टिव डायरेक्टरी, एक सर्टिफिकेट स्टोर, या जो भी पहचान बैकएंड आपने कॉन्फ़िगर किया है, उसके विरुद्ध क्रेडेंशियल्स की जांच करता है - और या तो एक Access-Accept या Access-Reject वापस भेजता है। केवल Accept होने पर ही AP पूर्ण डेटा पोर्ट खोलता है और डिवाइस को उपयुक्त VLAN में असाइन करता है। अब, यहाँ आप जो EAP तरीका चुनते हैं वह बहुत मायने रखता है। ऐसे पांच तरीके हैं जिनका सामना आप एंटरप्राइज डिप्लॉयमेंट में करेंगे।EAP-TLS गोल्ड स्टैंडर्ड है। क्लाइंट और सर्वर दोनों X.509 सर्टिफिकेट प्रस्तुत करते हैं। इसमें कोई पासवर्ड शामिल नहीं होता है। यह सबसे सुरक्षित विकल्प है और उच्चतम PCI-DSS अनुपालन स्तरों के लिए आवश्यक है। पेंच यह है कि क्लाइंट सर्टिफिकेट जारी करने और प्रबंधित करने के लिए आपको एक पूर्ण PKI — यानी पब्लिक की इन्फ्रास्ट्रक्चर — की आवश्यकता होती है। इसका मतलब है कि एक सर्टिफिकेट अथॉरिटी, सर्टिफिकेट लाइफसाइकिल मैनेजमेंट, और प्रत्येक डिवाइस पर सर्टिफिकेट पुश करने के लिए एक तंत्र की आवश्यकता होगी। उन संगठनों के लिए जिनके पास Microsoft Active Directory और Active Directory Certificate Services हैं, यह बहुत आसानी से प्राप्त किया जा सकता है। बिना इस इन्फ्रास्ट्रक्चर वाले संगठनों के लिए, यह एक महत्वपूर्ण निवेश है। PEAP-MSCHAPv2 व्यवहार में सबसे व्यापक रूप से तैनात की जाने वाली विधि है। यह केवल सर्वर-साइड सर्टिफिकेट का उपयोग करके एक TLS टनल बनाता है, फिर उस टनल के भीतर यूजरनेम और पासवर्ड क्रेडेंशियल पास करता है। यह व्यावहारिक रूप से हर डिवाइस के साथ तुरंत संगत है, Windows Server पर NPS के माध्यम से सीधे Active Directory के साथ एकीकृत होता है, और इसके लिए क्लाइंट सर्टिफिकेट की आवश्यकता नहीं होती है। इसका नुकसान यह है कि यदि यूजर्स को किसी कपटी AP से जुड़ने के लिए धोखा दिया जाता है, तो यह क्रेडेंशियल हार्वेस्टिंग हमलों के प्रति संवेदनशील हो जाता है - क्योंकि क्लाइंट डिफ़ॉल्ट रूप से सर्वर सर्टिफिकेट को सत्यापित नहीं करता है। आपको अपने सप्लिकेंट प्रोफाइल में सर्वर सर्टिफिकेट सत्यापन लागू करना होगा। EAP-TTLS, PEAP के समान है लेकिन आंतरिक प्रमाणीकरण विधि में अधिक लचीला है। यह Linux वातावरण में और वहां आम है जहां आपको लीगेसी प्रमाणीकरण बैकएंड का समर्थन करने की आवश्यकता होती है। EAP-FAST को Cisco द्वारा LEAP की कमजोरियों के जवाब में विकसित किया गया था। यह सर्टिफिकेट के बजाय प्रोटेक्टेड एक्सेस क्रेडेंशियल्स का उपयोग करता है। यह मुख्य रूप से तब प्रासंगिक है जब आप Cisco-भारी वातावरण में हों या उन लीगेसी उपकरणों से निपट रहे हों जो अन्य का समर्थन नहीं कर सकते। EAP-SIM और EAP-AKA का उपयोग कैरियर-ग्रेड डिप्लॉयमेंट में किया जाता है - जैसे OpenRoaming या Passpoint - जहां प्रमाणीकरण SIM कार्ड या USIM से जुड़ा होता है। ये सार्वजनिक स्थानों के WiFi के लिए तेजी से प्रासंगिक हो रहे हैं जहां आप Captive Portal के बिना निर्बाध, सुरक्षित ऑनबोर्डिंग चाहते हैं। अब आइए RADIUS कॉन्फ़िगरेशन के बारे में बात करते हैं। चाहे आप Microsoft NPS, FreeRADIUS, Cisco ISE, या Aruba ClearPass तैनात कर रहे हों, मुख्य कॉन्फ़िगरेशन चरण समान हैं। सबसे पहले, आप अपने RADIUS क्लाइंट को परिभाषित करते हैं - ये आपके एक्सेस पॉइंट या वायरलेस LAN कंट्रोलर हैं। प्रत्येक क्लाइंट को उसके IP एड्रेस और एक शेयर्ड सीक्रेट के साथ रजिस्टर्ड किया जाता है। उस शेयर्ड सीक्रेट का उपयोग AP और सर्वर के बीच RADIUS संदेशों को प्रमाणित करने के लिए किया जाता है। कम से कम 22 वर्णों का उपयोग करें, जो रैंडम रूप से जनरेट किए गए हों, और प्रत्येक NAS डिवाइस के लिए अद्वितीय हों। दूसरा, आप अपनी नेटवर्क पॉलिसी कॉन्फ़िगर करते हैं। यह वह जगह है जहां आप परिभाषित करते हैं कि किसे क्या एक्सेस मिलता है। NPS के संदर्भ में, आप एक नेटवर्क पॉलिसी बना रहे हैं जो शर्तों से मेल खाती है - Active Directory में ग्रुप मेंबरशिप, डिवाइस का प्रकार, दिन का समय - और एट्रिब्यूट्स असाइन करती है - VLAN ID, सेशन टाइमआउट, बैंडविड्थ सीमाएं। जिस RADIUS एट्रिब्यूट का आप सबसे अधिक उपयोग करेंगे वह VLAN असाइनमेंट है, विशेष रूप से टनल-टाइप को VLAN पर सेट करना, टनल-मीडियम-टाइप को 802 पर सेट करना, और टनल-प्राइवेट-ग्रुप-ID को आपके VLAN नंबर पर सेट करना। तीसरा, आप अपनी कनेक्शन अनुरोध नीति को कॉन्फ़िगर करते हैं। यह NPS को बताता है कि आने वाले RADIUS अनुरोधों को कैसे संभालना है - चाहे स्थानीय रूप से प्रमाणित करना हो या किसी अन्य RADIUS सर्वर पर अग्रेषित करना हो। एक वितरित परिनियोजन में, आपके पास प्रत्येक साइट पर NPS प्रॉक्सी के साथ एक केंद्रीय RADIUS सर्वर हो सकता है। प्रमाणपत्र के मोर्चे पर, PEAP और EAP-TLS के लिए, आपके RADIUS सर्वर को आपके क्लाइंट्स द्वारा विश्वसनीय सर्वर प्रमाणपत्र की आवश्यकता होती है। सबसे आसान तरीका एक सार्वजनिक CA - DigiCert, Sectigo, Let's Encrypt - से प्रमाणपत्र का उपयोग करना है क्योंकि वे रूट प्रमाणपत्र पहले से ही सभी प्रमुख ऑपरेटिंग सिस्टम द्वारा विश्वसनीय हैं। यदि आप आंतरिक CA का उपयोग कर रहे हैं, तो आपको समूह नीति या अपने MDM प्लेटफ़ॉर्म के माध्यम से सभी क्लाइंट डिवाइसों पर रूट प्रमाणपत्र पुश करना होगा। विशेष रूप से EAP-TLS के लिए, आपको क्लाइंट प्रमाणपत्रों की भी आवश्यकता होती है। Active Directory परिवेश में, आप डोमेन-शामिल डिवाइसों पर प्रमाणपत्र पुश करने के लिए समूह नीति के माध्यम से ऑटो-नामांकन के साथ ADCS का उपयोग करेंगे। BYOD डिवाइसों के लिए, आप प्रमाणपत्र और WiFi प्रोफ़ाइल दोनों को पुश करने के लिए अपने MDM - Intune, Jamf, VMware Workspace ONE - का उपयोग करेंगे। एक्सेस पॉइंट की तरफ, कॉन्फ़िगरेशन सीधा है। आप एक नया SSID बनाते हैं, सुरक्षा को WPA2-Enterprise या WPA3-Enterprise पर सेट करते हैं, RADIUS प्रमाणीकरण सर्वर को UDP पोर्ट 1812 पर अपने NPS IP पर इंगित करते हैं, UDP पोर्ट 1813 पर RADIUS अकाउंटिंग सर्वर सेट करते हैं, साझा रहस्य दर्ज करते हैं, और यदि आप इसका उपयोग कर रहे हैं तो डायनेमिक VLAN असाइनमेंट सक्षम करते हैं। अधिकांश एंटरप्राइज़ AP प्लेटफ़ॉर्म - Cisco Meraki, Aruba, Ruckus, Extreme - के पास इसके लिए एक GUI होता है जो आपके RADIUS सर्वर के तैयार होने के बाद लगभग दस मिनट लेता है। [कार्यान्वयन सिफारिशें और संभावित खामियां - लगभग 2 मिनट] ठीक है, आइए बात करते हैं कि परिनियोजन कहाँ गलत होते हैं, क्योंकि यहीं पर मैं अपनी कंसल्टेंसी फीस कमाता हूँ। सबसे आम विफलता बिंदु प्रमाणपत्र सत्यापन है। मैंने संगठनों को सर्वर साइड पर PEAP-MSCHAPv2 को सही ढंग से तैनात करते हुए देखा है, फिर क्लाइंट सप्लीकेंट प्रोफ़ाइल को किसी भी प्रमाणपत्र को स्वीकार करने के लिए कॉन्फ़िगर छोड़ दिया है। यह पूरी तरह से सुरक्षा मॉडल को कमजोर करता है। प्रत्येक सप्लीकेंट प्रोफ़ाइल - चाहे समूह नीति या MDM के माध्यम से पुश की गई हो - को विश्वसनीय रूट CA और अपेक्षित सर्वर नाम निर्दिष्ट करना चाहिए। इसके बिना, आप इविल ट्विन हमलों के प्रति संवेदनशील हैं। दूसरा सामान्य मुद्दा RADIUS साझा रहस्य प्रबंधन है। मैंने प्रोडक्शन नेटवर्क को साझा रहस्य को "radius" या विक्रेता डिफॉल्ट पर सेट करके चलते देखा है। ये रहस्य आपके प्रमाणीकरण बुनियादी ढांचे की कुंजी हैं। उन्हें बेतरतीब ढंग से जनरेट करें, उन्हें सीक्रेट मैनेजर में स्टोर करें, और उन्हें एक शेड्यूल पर रोटेट करें। तीसरा: VLAN गलत कॉन्फ़िगरेशन। डायनेमिक VLAN असाइनमेंट शक्तिशाली है - यह आपको स्टाफ के उपकरणों को कॉर्पोरेट VLAN पर, ठेकेदारों को एक प्रतिबंधित VLAN पर, और IoT उपकरणों को एक पृथक VLAN पर रखने की अनुमति देता है, सभी एक ही SSID से। लेकिन यदि RADIUS विशेषताएँ सही ढंग से कॉन्फ़िगर नहीं की गई हैं, या स्विच ट्रंक पोर्ट सही VLAN को नहीं ले जा रहे हैं, तो डिवाइस या तो कनेक्ट होने में विफल हो जाएंगे या गलत सेगमेंट पर चले जाएंगे। प्रोडक्शन में रोल आउट करने से पहले लैब में इसका गहन परीक्षण करें।चौथा: रिडंडेंसी (redundancy)। आपका RADIUS सर्वर अब इन्फ्रास्ट्रक्चर का एक महत्वपूर्ण हिस्सा है। यदि यह डाउन हो जाता है, तो कोई भी कनेक्ट नहीं कर पाएगा। आपको हर AP पर कम से कम एक प्राइमरी और सेकेंडरी RADIUS सर्वर कॉन्फ़िगर करना होगा। बड़े डिप्लॉयमेंट में, हेल्थ मॉनिटरिंग के साथ RADIUS प्रॉक्सी क्लस्टर पर विचार करें। पांचवां, और यह विशेष रूप से हॉस्पिटैलिटी और रिटेल एनवायरनमेंट के लिए है: गेस्ट बनाम कॉर्पोरेट अलगाव। आपका 802.1X कॉर्पोरेट SSID और आपका गेस्ट WiFi SSID पूरी तरह से अलग होना चाहिए - अलग VLANs, अलग फ़ायरवॉल नीतियां, अलग DNS। Purple जैसा प्लेटफॉर्म अपने स्वयं के Captive Portal और एनालिटिक्स लेयर के साथ गेस्ट साइड को संभालता है, जबकि आपका 802.1X इन्फ्रास्ट्रक्चर कॉर्पोरेट साइड को संभालता है। ये पूरक हैं, प्रतिस्पर्धी सिस्टम नहीं। [रैपिड-फायर प्रश्नोत्तर - लगभग 1 मिनट] मुझे उन प्रश्नों को देखने दें जो मुझे अक्सर मिलते हैं। क्या मैं क्लाउड-मैनेज्ड AP प्लेटफॉर्म पर 802.1X चला सकता हूँ? हाँ - Meraki, Aruba Central, और Ruckus Cloud सभी इसका समर्थन करते हैं। आप क्लाउड डैशबोर्ड में RADIUS सर्वर डिटेल्स कॉन्फ़िगर करते हैं, और APs EAP प्रॉक्सीइंग को संभालते हैं। क्या मुझे Active Directory की आवश्यकता है? नहीं। FreeRADIUS LDAP, SQL डेटाबेस, फ्लैट फाइलों या REST APIs के खिलाफ भी ऑथेंटिकेट कर सकता है। लेकिन NPS के माध्यम से AD इंटीग्रेशन अब तक का सबसे आम एंटरप्राइज पाथ है। उन IoT उपकरणों का क्या जो 802.1X का समर्थन नहीं करते हैं? बैकअप के रूप में MAC ऑथेंटिकेशन बायपास - MAB - का उपयोग करें। डिवाइस का MAC एड्रेस RADIUS को यूजरनेम और पासवर्ड के रूप में भेजा जाता है। यह EAP जितना सुरक्षित नहीं है, लेकिन यह आपको IoT उपकरणों को एक प्रतिबंधित VLAN में रखते हुए उन्हें ऑनबोर्ड करने की अनुमति देता है। क्या 802.1X WPA3 के साथ काम करता है? हाँ। WPA3-Enterprise मूल रूप से 802.1X ऑथेंटिकेशन के साथ WPA3 है। यह मजबूत एन्क्रिप्शन जोड़ता है - हाई-सिक्योरिटी मोड में 192-बिट - और नए डिप्लॉयमेंट के लिए अनुशंसित मानक है। [सारांश और अगले कदम - लगभग 1 मिनट] तो इसे एक साथ लाने के लिए: 802.1X केवल एक विकल्प नहीं है। संवेदनशील डेटा को संभालने वाले, भुगतान प्रोसेस करने वाले, या विनियमित एनवायरनमेंट में काम करने वाले किसी भी संगठन के लिए, यह एंटरप्राइज WiFi सुरक्षा का बेसलाइन है। आर्किटेक्चर अच्छी तरह से स्थापित है, टूलिंग परिपक्व है, और डिप्लॉयमेंट पाथ स्पष्ट है। अपने EAP मेथड सिलेक्शन के साथ शुरुआत करें - यदि आपको त्वरित लाभ और व्यापक अनुकूलता की आवश्यकता है तो PEAP-MSCHAPv2, यदि आपके पास PKI इन्फ्रास्ट्रक्चर है और आपको सबसे मजबूत सुरक्षा की आवश्यकता है तो EAP-TLS। एक भी AP को छूने से पहले अपने RADIUS सर्वर को कॉन्फ़िगर और रिडंडेंट करें। लाइव होने से पहले अपने सप्लिकेंट प्रोफाइल को ग्रुप पॉलिसी या MDM के माध्यम से पुश करें। और अपने गेस्ट WiFi को पूरी तरह से अलग रखें - उस लेयर के लिए विशेष रूप से निर्मित प्लेटफॉर्म का उपयोग करें। यदि आप एक मल्टी-वेन्यू एनवायरनमेंट - होटल, रिटेल चेन, स्टेडियम - संचालित कर रहे हैं, तो जटिलता साइटों की संख्या के साथ बढ़ती है, लेकिन आर्किटेक्चर नहीं बदलता है। मुख्य कुंजी साइट-लोकल रिडंडेंसी के साथ सेंट्रलाइज्ड RADIUS है, और आपके डिवाइस बेड़े में एक सुसंगत MDM-पुश किया गया सप्लिकेंट प्रोफाइल है।सुनने के लिए धन्यवाद। पूरा लिखित गाइड, आर्किटेक्चर आरेख और कॉन्फ़िगरेशन चेकलिस्ट purple.ai पर उपलब्ध हैं। यदि आप 802.1X डिप्लॉयमेंट की योजना बना रहे हैं और अपने एनवायरनमेंट की बारीकियों पर चर्चा करना चाहते हैं, तो सीधे Purple टीम से संपर्क करें।

header_image.png

कार्यकारी सारांश (Executive Summary)

एंटरप्राइज नेटवर्क के लिए, कॉर्पोरेट इन्फ्रास्ट्रक्चर की सुरक्षा के लिए एक साझा PSK (pre-shared key) अब पर्याप्त नहीं है। चूंकि संगठनों को सख्त अनुपालन आवश्यकताओं (PCI-DSS, GDPR) और बढ़ते सुरक्षा खतरों का सामना करना पड़ रहा है, इसलिए 802.1X प्रमाणीकरण (authentication) पर जाना एक महत्वपूर्ण सुरक्षा आवश्यकता बन गया है।

यह गाइड एंटरप्राइज एक्सेस पॉइंट्स पर 802.1X को कॉन्फ़िगर करने के लिए एक व्यावहारिक, विक्रेता-निरपेक्ष (vendor-agnostic) परिनियोजन वॉकथ्रू प्रदान करता है। हम मुख्य आर्किटेक्चर - सप्लीकेंट, ऑथेंटिकेटर और ऑथेंटिकेशन सर्वर - के साथ-साथ प्रमाणपत्र प्रबंधन, RADIUS कॉन्फ़िगरेशन और सामान्य परिनियोजन त्रुटियों को कवर करते हैं। रिटेल, हॉस्पिटैलिटी या सार्वजनिक क्षेत्र के वातावरण में काम करने वाले IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए, यह संदर्भ कॉर्पोरेट और गेस्ट ट्रैफ़िक को पूरी तरह से अलग रखते हुए मजबूत, पहचान-आधारित नेटवर्क एक्सेस कंट्रोल को लागू करने के लिए आवश्यक व्यावहारिक कदम प्रदान करता है।

आर्किटेक्चर और कार्यान्वयन रणनीतियों के 10 मिनट के त्वरित विवरण के लिए नीचे दिए गए हमारे साथी पॉडकास्ट को सुनें।

गहरा विश्लेषण: 802.1X आर्किटेक्चर

IEEE 802.1X मानक पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल को परिभाषित करता है। एक वायरलेस WiFi वातावरण में, यह क्लाइंट डिवाइसों को तब तक डेटा ट्रैफ़िक भेजने या प्राप्त करने से रोकता है जब तक कि वे एक केंद्रीय निर्देशिका (central directory) के विरुद्ध सफलतापूर्वक प्रमाणित नहीं हो जाते।

architecture_overview.png

तीन मुख्य घटक (The Three Core Components)

  1. सप्लीकेंट (क्लाइंट डिवाइस): लैपटॉप, स्मार्टफोन या IoT डिवाइस पर मौजूद वह सॉफ़्टवेयर जो एक्सेस का अनुरोध करता है। इसे चुने गए EAP (Extensible Authentication Protocol) मेथड का समर्थन करना चाहिए।
  2. ऑथेंटिकेटर (एक्सेस पॉइंट/WLC): नेटवर्क डिवाइस जो द्वारपाल के रूप में कार्य करता है। यह एक "नियंत्रित पोर्ट" खोलता है जो प्रमाणीकरण सफल होने तक केवल EAP ट्रैफ़िक की अनुमति देता है।
  3. ऑथेंटिकेशन सर्वर (RADIUS): केंद्रीय सर्वर (जैसे, Microsoft NPS, FreeRADIUS, Cisco ISE) जो किसी पहचान स्टोर (जैसे Active Directory) के विरुद्ध क्रेडेंशियल को सत्यापित करता है और Access-Accept या Access-Reject संदेश वापस भेजता है।

EAP मेथड्स: सही सुरक्षा स्थिति चुनना

EAP मेथड का चुनाव आपकी सुरक्षा के स्तर और परिनियोजन की जटिलता को निर्धारित करता है।

eap_comparison_chart.png

  • EAP-TLS (Transport Layer Security): सबसे बेहतरीन मानक। सर्वर और क्लाइंट दोनों पर सर्टिफिकेट की आवश्यकता होती है। कोई पासवर्ड ट्रांसफर नहीं किया जाता है। उच्च-सुरक्षा वाले वातावरण के लिए महत्वपूर्ण है, लेकिन इसके लिए एक पूर्ण Public Key Infrastructure (PKI) की आवश्यकता होती है।
  • PEAP-MSCHAPv2 (Protected EAP): सबसे आम एंटरप्राइज परिनियोजन। एक सुरक्षित TLS टनल बनाने के लिए सर्वर-साइड सर्टिफिकेट का उपयोग करता है जिसके भीतर क्लाइंट यूजरनेम और पासवर्ड भेजता है। इसे लागू करना आसान है, लेकिन यदि क्लाइंट डिवाइसों को सर्वर सर्टिफिकेट को कड़ाई से सत्यापित करने के लिए कॉन्फ़िगर नहीं किया गया है, तो क्रेडेंशियल चोरी होने का खतरा रहता है।
  • EAP-SIM/AKA: प्रमाणीकरण के लिए SIM कार्ड क्रेडेंशियल का उपयोग करता है। निर्बाध ऑनबोर्डिंग के लिए परिवहन केंद्रों और बड़े सार्वजनिक स्थानों में यह तेजी से प्रासंगिक हो रहा है।

कार्यान्वयन मार्गदर्शिका: चरण-दर-चरण कॉन्फ़िगरेशन

802.1X को तैनात करने के लिए आपके RADIUS सर्वर, एक्सेस पॉइंट्स और क्लाइंट डिवाइसेज पर समन्वित कॉन्फ़िगरेशन की आवश्यकता होती है।

चरण 1: RADIUS सर्वर की तैयारी

चाहे आप Microsoft Network Policy Server (NPS) का उपयोग कर रहे हों या किसी अन्य विकल्प का, इसके मूल सिद्धांत समान रहते हैं।

  1. RADIUS क्लाइंट्स को परिभाषित करें: RADIUS सर्वर में प्रत्येक एक्सेस पॉइंट (या वायरलेस कंट्रोलर) को पंजीकृत करें। AP और RADIUS सर्वर के बीच संचार को सुरक्षित करने के लिए एक मजबूत, यादृच्छिक रूप से जनरेट किया गया साझा सीक्रेट (कम से कम 22 वर्ण) असाइन करें।
  2. सर्वर सर्टिफिकेट इंस्टॉल करें: PEAP या EAP-TLS के लिए, RADIUS सर्वर पर एक X.509 सर्टिफिकेट इंस्टॉल करें। एक विश्वसनीय सार्वजनिक सर्टिफिकेट अथॉरिटी (CA) से सर्टिफिकेट का उपयोग करने से BYOD परिनियोजन सरल हो जाता है, क्योंकि रूट सर्टिफिकेट पर क्लाइंट ऑपरेटिंग सिस्टम द्वारा पहले से ही भरोसा किया जाता है।

चरण 2: पॉलिसी कॉन्फ़िगरेशन

पहचान के आधार पर एक्सेस तय करने के लिए नेटवर्क नीतियां कॉन्फ़िगर करें।

  1. कनेक्शन अनुरोध नीतियां: यह परिभाषित करें कि RADIUS सर्वर आने वाले अनुरोधों को कैसे संभालता है। आमतौर पर, इसमें NAS-Port-Type (Wireless - IEEE 802.11) का मिलान करना और स्थानीय रूप से अनुरोधों को प्रमाणित करना शामिल होता है।
  2. नेटवर्क नीतियां: Active Directory समूहों को नेटवर्क एक्सेस विशेषाधिकारों से मैप करें। उदाहरण के लिए, "Domain Computers" समूह को कॉर्पोरेट VLAN से मैप करें। सफल प्रमाणीकरण पर डायनेमिक रूप से VLAN असाइन करने के लिए RADIUS विशेषताओं (Tunnel-Type=VLAN, Tunnel-Medium-Type=802, Tunnel-Private-Group-ID=[VLAN_ID]) का उपयोग करें।

चरण 3: एक्सेस पॉइंट कॉन्फ़िगरेशन

अपने वायरलेस इन्फ्रास्ट्रक्चर (जैसे, Meraki, Aruba, Cisco) पर SSID कॉन्फ़िगर करें।

  1. एक नया SSID बनाएं और सुरक्षा प्रकार के रूप में WPA2-Enterprise या WPA3-Enterprise चुनें।
  2. अपने प्राथमिक और द्वितीयक RADIUS सर्वर के IP पते दर्ज करें।
  3. चरण 1 में परिभाषित साझा सीक्रेट दर्ज करें।
  4. यदि आपका RADIUS सर्वर VLAN विशेषताओं को पुश कर रहा है, तो Dynamic VLAN Assignment सक्षम करें।

चरण 4: क्लाइंट सप्लिकेंट कॉन्फ़िगरेशन

यह सबसे महत्वपूर्ण और अक्सर अनदेखा किया जाने वाला चरण है। उपयोगकर्ताओं द्वारा मैन्युअल रूप से अपने डिवाइस कॉन्फ़िगर करने पर निर्भर न रहें।

  • कॉर्पोरेट डिवाइस: WiFi प्रोफाइल पुश करने के लिए ग्रुप पॉलिसी ऑब्जेक्ट्स (GPO) या अपने मोबाइल डिवाइस मैनेजमेंट (MDM) प्लेटफॉर्म का उपयोग करें। मैन-इन-द-मिडल (इविल ट्विन) हमलों को रोकने के लिए प्रोफाइल में विश्वसनीय रूट CA और RADIUS सर्वरों के सटीक सर्वर नाम अनिवार्य रूप से निर्दिष्ट होने चाहिए।
  • BYOD: कर्मचारियों के स्वामित्व वाले उपकरणों पर सुरक्षित प्रोफाइल पुश करने के लिए एक ऑनबोर्डिंग पोर्टल या MDM समाधान लागू करें।

सर्वोत्तम प्रथाएं और उद्योग मानक

एक मजबूत डिप्लॉयमेंट सुनिश्चित करने के लिए, इन आर्किटेक्चरल सर्वोत्तम प्रथाओं का पालन करें:

  1. सख्त प्रमाणपत्र सत्यापन लागू करें: ग्राहकों को कभी भी किसी भी सर्वर प्रमाणपत्र को बिना सोचे-समझे स्वीकार करने की अनुमति न दें। यह PEAP क्रेडेंशियल हार्वेस्टिंग का प्राथमिक जरिया है।
  2. अतिथि ट्रैफ़िक को अलग करें: आपका 802.1X इन्फ्रास्ट्रक्चर कॉर्पोरेट एक्सेस के लिए है। अतिथि ट्रैफ़िक पूरी तरह से अलग रहना चाहिए। एक समर्पित Guest WiFi प्लेटफॉर्म स्थापित करें, जो अपने स्वयं के Captive Portal और एनालिटिक्स लेयर से लैस हो। जैसा कि हमारे Securing Your Network: Robust DNS and Security गाइड में चर्चा की गई है, नेटवर्क सुरक्षा के लिए लॉजिकल आइसोलेशन बुनियादी है।
  3. रेडंडेंसी लागू करें: RADIUS एक महत्वपूर्ण मार्ग सेवा है। प्राथमिक और माध्यमिक RADIUS सर्वर तैनात करें। वितरित वातावरण में, जैसे कि बड़ी रिटेल श्रृंखलाओं में, यदि WAN लिंक डाउन हो जाता है तो उत्तरजीविता बनाए रखने के लिए स्थानीय RADIUS प्रॉक्सी पर विचार करें।

समस्या निवारण और जोखिम न्यूनीकरण

जब डिप्लॉयमेंट विफल हो जाते हैं, तो यह आमतौर पर कुछ सामान्य कॉन्फ़िगरेशन त्रुटियों के कारण होता है:

  • RADIUS टाइमआउट त्रुटियां: आमतौर पर AP और RADIUS सर्वर के बीच साझा सीक्रेट के बेमेल होने के कारण, या UDP पोर्ट 1812 (प्रमाणीकरण) और 1813 (अकाउंटिंग) को ब्लॉक करने वाले फ़ायरवॉल नियमों के कारण होता है।
  • क्लाइंट रिजेक्शन: RADIUS इवेंट लॉग की जांच करें (जैसे, Windows इवेंट व्यूअर -> कस्टम व्यू -> सर्वर रोल -> नेटवर्क पॉलिसी और एक्सेस सर्विसेज)। इवेंट ID 6273 देखें। सामान्य कारणों में समाप्त हो चुके क्लाइंट प्रमाणपत्र या क्लाइंट द्वारा सर्वर की प्रमाणपत्र श्रृंखला पर भरोसा न करना शामिल है।
  • VLAN असाइनमेंट विफलताएं: यदि प्रमाणीकरण सफल होता है लेकिन क्लाइंट को IP पता नहीं मिलता है, तो सत्यापित करें कि AP से जुड़ा स्विच पोर्ट एक ट्रंक पोर्ट के रूप में कॉन्फ़िगर किया गया है, जो गतिशील रूप से असाइन किए गए VLANs की अनुमति देता है।

ROI और व्यावसायिक प्रभाव

802.1X लागू करने से महत्वपूर्ण परिचालन और सुरक्षा ROI मिलता है:

  • जोखिम न्यूनीकरण: एक एकल समझौता किए गए PSK द्वारा संपूर्ण कॉर्पोरेट नेटवर्क को खतरे में डालने के जोखिम को समाप्त करता है, जो सीधे PCI-DSS और GDPR अनुपालन प्रयासों का समर्थन करता है।
  • परिचालन दक्षता: एक्सेस कंट्रोल को केंद्रीकृत करता है। जब कोई कर्मचारी नौकरी छोड़ता है, तो उसके Active Directory खाते को अक्षम करने से उसकी WiFi पहुंच तुरंत रद्द हो जाती है। पूरे एंटरप्राइज में PSKs को बदलने की कोई आवश्यकता नहीं है।
  • नेटवर्क दृश्यता: नेटवर्क पर वास्तव में कौन है और वे किन उपकरणों का उपयोग कर रहे हैं, इसकी विस्तृत दृश्यता प्रदान करता है, जिससे बेहतर क्षमता नियोजन और खतरे की पहचान की जा सकती है।खेल स्टेडियमों या hospitality क्षेत्र जैसे उच्च-घनत्व वाले जटिल वातावरण के लिए, अतिथि पहुंच प्रदान करने के साथ-साथ कॉर्पोरेट सुरक्षा का प्रबंधन करना एक चुनौती है। 802.1X के साथ कॉर्पोरेट संपत्तियों को सुरक्षित करके और गेस्ट ट्रैफ़िक को संभालने के लिए एक मजबूत WiFi analytics प्लेटफ़ॉर्म का लाभ उठाकर, IT लीडर सुरक्षित, स्केलेबल कनेक्टिविटी प्रदान कर सकते हैं जो एंटरप्राइज़ और उसके ग्राहकों दोनों के काम आती है। उच्च-घनत्व वाले वातावरण के प्रबंधन के बारे में अधिक जानकारी के लिए, हमारा Zoo और Theme Park WiFi: अधिक भीड़-भाड़ वाले स्थानों के लिए कनेक्टिविटी गाइड देखें।

मुख्य परिभाषाएं

802.1X

पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल के लिए एक IEEE मानक जो LAN या WLAN से जुड़ने के इच्छुक उपकरणों को एक प्रमाणीकरण तंत्र प्रदान करता है।

एंटरप्राइज़ WiFi सुरक्षा के लिए आधारभूत प्रोटोकॉल, जो संवेदनशील साझा पासवर्ड को प्रतिस्थापित करता है।

Supplicant

क्लाइंट डिवाइस या सॉफ़्टवेयर एप्लिकेशन जो नेटवर्क तक पहुँच का अनुरोध कर रहा है।

सुरक्षित कनेक्शन सुनिश्चित करने के लिए IT टीमों को MDM के माध्यम से सप्लीकेंट कॉन्फ़िगरेशन को प्रबंधित करना चाहिए।

Authenticator

नेटवर्क डिवाइस (Access Point या स्विच) जो Supplicant और प्रमाणीकरण सर्वर के बीच एक प्रॉक्सी के रूप में कार्य करके प्रमाणीकरण प्रक्रिया को सुगम बनाता है।

EAP ट्रैफ़िक को सुरक्षित रूप से अग्रेषित करने के लिए RADIUS सर्वर IP और एक साझा रहस्य के साथ कॉन्फ़िगर किया गया।

RADIUS

रिमोट ऑथेंटिकेशन डायल-इन यूजर सर्विस; एक नेटवर्किंग प्रोटोकॉल जो केंद्रीकृत प्रमाणीकरण, प्राधिकरण और लेखा (AAA) प्रबंधन प्रदान करता है।

बैकएंड सर्वर (जैसे Microsoft NPS) जो वास्तव में एक निर्देशिका के विरुद्ध उपयोगकर्ता के क्रेडेंशियल्स को सत्यापित करता है।

EAP (Extensible Authentication Protocol)

एक प्रमाणीकरण ढांचा जो अक्सर वायरलेस नेटवर्क और पॉइंट-टू-पॉइंट कनेक्शन में उपयोग किया जाता है, जो कई प्रमाणीकरण विधियों का समर्थन करता है।

Supplicant और RADIUS सर्वर के बीच बोली जाने वाली 'भाषा'।

EAP-TLS

एक EAP विधि जो ट्रांसपोर्ट लेयर सिक्योरिटी का उपयोग करती है, जिसमें पारस्परिक प्रमाणीकरण के लिए सर्वर और क्लाइंट-साइड दोनों प्रमाणपत्रों की आवश्यकता होती है।

उपलब्ध सबसे सुरक्षित विधि, जिसे अक्सर उच्च-सुरक्षा या वर्गीकृत वातावरण के लिए अनिवार्य किया जाता है।

PEAP

Protected Extensible Authentication Protocol; यह एक एन्क्रिप्टेड और प्रमाणित TLS टनल के भीतर EAP को एनकैप्सुलेट करता है।

सबसे व्यापक रूप से तैनात किया जाने वाला एंटरप्राइज तरीका, जो केवल सर्वर-साइड सर्टिफिकेट की आवश्यकता रखकर परिनियोजन में आसानी के साथ सुरक्षा को संतुलित करता है।

Dynamic VLAN Assignment

वह प्रक्रिया जिसमें एक RADIUS सर्वर एक्सेस पॉइंट को निर्देश देता है कि वह किसी प्रमाणित उपयोगकर्ता को उसकी डायरेक्टरी ग्रुप सदस्यता के आधार पर एक विशिष्ट VLAN पर रखे।

केवल एक कॉर्पोरेट SSID को प्रसारित करते हुए नेटवर्क ट्रैफ़िक को विभाजित करने के लिए (जैसे, HR, इंजीनियरिंग और IoT उपकरणों को अलग करना) महत्वपूर्ण है।

हल किए गए उदाहरण

एक 300-कमरों वाले लक्जरी होटल को अपने बैक-ऑफ-हाउस परिचालन नेटवर्क (कर्मचारियों के टैबलेट, VoIP फोन, प्रबंधन लैपटॉप) को पूरी तरह से गेस्ट नेटवर्क से अलग रखते हुए सुरक्षित करने की आवश्यकता है। वे वर्तमान में कर्मचारियों के लिए एकल PSK का उपयोग करते हैं।

  1. होटल के मौजूदा Active Directory से जुड़े Microsoft NPS को परिनियोजित करें।
  2. टैबलेट ऑनबोर्डिंग को सरल बनाने के लिए NPS सर्वर पर एक सार्वजनिक प्रमाणपत्र (जैसे, DigiCert) का उपयोग करके PEAP-MSCHAPv2 को कॉन्फ़िगर करें।
  3. APs पर एक 802.1X SSID ('Hotel_Ops') बनाएं।
  4. सभी कर्मचारी टैबलेट और लैपटॉप पर 'Hotel_Ops' WiFi प्रोफ़ाइल भेजने के लिए होटल के MDM प्लेटफ़ॉर्म का उपयोग करें, और इस प्रोफ़ाइल को स्पष्ट रूप से DigiCert रूट CA पर भरोसा करने और NPS सर्वर नाम को सत्यापित करने के लिए कॉन्फ़िगर करें।
  5. मौजूदा ओपन गेस्ट SSID को बनाए रखें, और नियमों की स्वीकृति और एनालिटिक्स के लिए इसे Purple के Captive Portal के माध्यम से रूट करें, यह सुनिश्चित करते हुए कि गेस्ट VLANs परिचालन VLANs पर रूट न हो सकें।
परीक्षक की टिप्पणी: यह दृष्टिकोण सुरक्षा और परिनियोजन की जटिलता के बीच संतुलन बनाता है। RADIUS सर्वर पर एक सार्वजनिक प्रमाणपत्र का उपयोग करके, होटल एक पूर्ण PKI को तैनात करने के ओवरहेड से बचता है और साथ ही साझा PSK के जोखिम को भी समाप्त करता है। VLANs और विशिष्ट प्रमाणीकरण तंत्रों के माध्यम से गेस्ट और कॉर्पोरेट ट्रैफ़िक का सख्त पृथक्करण होटल के पॉइंट-ऑफ-सेल सिस्टम के लिए PCI-DSS आवश्यकताओं के अनुरूप है।

एक विश्वविद्यालय परिसर 802.1X पर माइग्रेट कर रहा है और उसे विभिन्न ऑपरेटिंग सिस्टम वाले 15,000 छात्रों के लिए एक बड़े BYOD वातावरण का समर्थन करने की आवश्यकता है।

  1. लोड बैलेंसिंग के साथ एक मजबूत RADIUS क्लस्टर (जैसे, FreeRADIUS या Cisco ISE) परिनियोजित करें।
  2. व्यापक डिवाइस संगतता के लिए PEAP-MSCHAPv2 लागू करें।
  3. एक ऑनबोर्डिंग पोर्टल (जैसे, SecureW2) परिनियोजित करें जो स्वचालित रूप से छात्र के डिवाइस सप्लीकेंट को सही EAP सेटिंग्स का उपयोग करने और विश्वविद्यालय के RADIUS सर्वर प्रमाणपत्र पर भरोसा करने के लिए कॉन्फ़िगर करता है।
  4. ब्रॉडकास्ट डोमेन को प्रबंधित करने के लिए छात्रों को उनके परिसर के स्थान के आधार पर उचित सबनेट में रखने के लिए RADIUS विशेषताओं के माध्यम से डायनामिक VLAN असाइनमेंट का उपयोग करें।
परीक्षक की टिप्पणी: उच्च शिक्षा में, BYOD सबसे बड़ी चुनौती है। छात्रों द्वारा मैन्युअल कॉन्फ़िगरेशन पर भरोसा करना उच्च हेल्पडेस्क टिकट वॉल्यूम और असुरक्षित कॉन्फ़िगरेशन (अमान्य प्रमाणपत्रों को स्वीकार करने वाले उपयोगकर्ता) की गारंटी देता है। ऑनबोर्डिंग पोर्टल यहाँ सफलता का महत्वपूर्ण कारक है, जो क्रेडेंशियल हार्वेस्टिंग को रोकने के लिए सप्लीकेंट को सुरक्षित रखना सुनिश्चित करता है।

अभ्यास प्रश्न

Q1. आपका संगठन PEAP-MSCHAPv2 का उपयोग करके 802.1X तैनात कर रहा है। परीक्षण के दौरान, उपयोगकर्ता रिपोर्ट करते हैं कि पहली बार कनेक्ट करते समय उन्हें 'Accept a Certificate' का निर्देश दिया जाता है। आपको इसका समाधान कैसे करना चाहिए?

संकेत: उपयोगकर्ताओं को नेटवर्क इन्फ्रास्ट्रक्चर के संबंध में विश्वास के निर्णय लेने की अनुमति देने के सुरक्षा निहितार्थों पर विचार करें।

मॉडल उत्तर देखें

आपको क्लाइंट सप्लीकेंट प्रोफाइल को (MDM या ग्रुप पॉलिसी के माध्यम से) कॉन्फ़िगर करना होगा ताकि वे उस Root CA पर स्पष्ट रूप से भरोसा करें जिसने RADIUS सर्वर का सर्टिफिकेट जारी किया है, और विशिष्ट सर्वर नाम को सत्यापित करें। सर्टिफिकेट को मैन्युअल रूप से स्वीकार करने के लिए उपयोगकर्ताओं पर भरोसा करने से उन्हें सुरक्षा चेतावनियों को अनदेखा करने की आदत पड़ती है और नेटवर्क Evil Twin (क्रेडेंशियल हार्वेस्टिंग) हमलों के प्रति संवेदनशील हो जाता है।

Q2. आपको वेयरहाउस बारकोड स्कैनर्स के एक बेड़े को सुरक्षित करने की आवश्यकता है। वे WPA2-Enterprise का समर्थन करते हैं लेकिन उनके पास क्लाइंट सर्टिफिकेट इंस्टॉल करने या Active Directory में शामिल होने का कोई तंत्र नहीं है। सबसे सुरक्षित परिनियोजन दृष्टिकोण क्या है?

संकेत: उन EAP तरीकों का मूल्यांकन करें जिनमें क्लाइंट-साइड सर्टिफिकेट की आवश्यकता नहीं होती है लेकिन फिर भी वे एन्क्रिप्टेड प्रमाणीकरण प्रदान करते हैं।

मॉडल उत्तर देखें

PEAP-MSCHAPv2 तैनात करें। स्कैनर्स के लिए अपनी डायरेक्टरी में एक समर्पित सर्विस अकाउंट बनाएं। TLS टनल स्थापित करने के लिए RADIUS सर्वर को सर्वर सर्टिफिकेट के साथ कॉन्फ़िगर करें, और टनल के भीतर सर्विस अकाउंट क्रेडेंशियल्स का उपयोग करके प्रमाणित करने के लिए स्कैनर्स को कॉन्फ़िगर करें। सुनिश्चित करें कि RADIUS पॉलिसी इस सर्विस अकाउंट को एक विशिष्ट, पृथक वेयरहाउस VLAN तक सीमित रखती है।

Q3. APs और RADIUS सर्वर को कॉन्फ़िगर करने के बाद, क्लाइंट डिवाइस सफलतापूर्वक प्रमाणित हो जाते हैं (RADIUS लॉग में Access-Accept के साथ सत्यापित), लेकिन वे IP एड्रेस प्राप्त करने में विफल रहते हैं और नेटवर्क तक नहीं पहुँच पाते हैं। सबसे संभावित इन्फ्रास्ट्रक्चर समस्या क्या है?

संकेत: प्रमाणीकरण सफल हो गया है, जिसका अर्थ है कि 802.1X चरण पूरा हो गया है। समस्या बाद के नेटवर्क प्रोविज़निंग चरण में है।

मॉडल उत्तर देखें

सबसे संभावित समस्या वायर्ड नेटवर्क पर एक VLAN मिसकॉन्फ़िगरेशन है। यदि RADIUS सर्वर क्लाइंट को एक विशिष्ट VLAN (जैसे, VLAN 20) पर रखने के लिए dynamic VLAN assignment का उपयोग कर रहा है, तो एक्सेस पॉइंट को जोड़ने वाले स्विच पोर्ट को एक 802.1Q ट्रंक पोर्ट के रूप में कॉन्फ़िगर किया जाना चाहिए जो VLAN 20 की अनुमति देता है। यदि VLAN को AP से ट्रंक नहीं किया गया है, तो क्लाइंट के DHCP अनुरोधों को ड्रॉप कर दिया जाएगा।

इस श्रृंखला में आगे पढ़ें

अतिथि और स्टाफ WiFi नेटवर्क के लिए RADIUS ऑथेंटिकेशन को कॉन्फ़िगर करना

यह तकनीकी संदर्भ गाइड एंटरप्राइज़ अतिथि और स्टाफ WiFi नेटवर्क के लिए RADIUS ऑथेंटिकेशन के आर्किटेक्चर, कॉन्फ़िगरेशन और डिप्लॉयमेंट की रूपरेखा तैयार करती है। यह नेटवर्क आर्किटेक्ट्स और IT प्रबंधकों को सुरक्षित, स्केलेबल वायरलेस एक्सेस कंट्रोल सिस्टम बनाने के लिए आवश्यक सटीक प्रोटोकॉल, सुरक्षा मानक और ट्रबलशूटिंग कार्यप्रणाली प्रदान करती है।

गाइड पढ़ें →

Passpoint और OpenRoaming: संपूर्ण गाइड

यह तकनीकी संदर्भ गाइड एंटरप्राइज़ WiFi नेटवर्क के भीतर Passpoint (हॉटस्पॉट 2.0) और WBA OpenRoaming फ्रेमवर्क का एक व्यापक विश्लेषण प्रदान करती है। यह सुरक्षित, निर्बाध अतिथि कनेक्टिविटी स्थापित करने के लिए आवश्यक बुनियादी ऑथेंटिकेशन प्रोटोकॉल, आर्किटेक्चरल घटकों और परिनियोजन रणनीतियों का विवरण देती है। नेटवर्क आर्किटेक्ट और IT लीडर्स सीखेंगे कि कैसे इन मानकों को डिज़ाइन, लागू और ट्रबलशूट किया जाए ताकि एंटरप्राइज़-ग्रेड सुरक्षा बनाए रखते हुए मैनुअल लॉगिन बाधाओं को समाप्त किया जा सके।

गाइड पढ़ें →

उच्च शिक्षा में सुरक्षित BYOD और नेटवर्क नामांकन के लिए SCEP को कैसे लागू करें

यह तकनीकी मार्गदर्शिका नेटवर्क आर्किटेक्ट्स और IT प्रबंधकों को उच्च शिक्षा परिसर नेटवर्क को सुरक्षित करने के लिए SCEP-आधारित प्रमाणपत्र नामांकन को तैनात करने के लिए एक वेंडर-न्यूट्रल ब्लूप्रिंट प्रदान करती है। यह विवरण देती है कि पासवर्ड-आधारित PEAP से 802.1X EAP-TLS पर कैसे माइग्रेट करें, BYOD ऑनबोर्डिंग को स्वचालित करें, और मजबूत VLAN सेगमेंटेशन लागू करें।

गाइड पढ़ें →