मुख्य सामग्री पर जाएं
हिन्दी

कर्मचारी के नौकरी छोड़ने पर WiFi एक्सेस कैसे निरस्त करें

यह गाइड विस्तार से बताती है कि कर्मचारी के जाने पर WiFi एक्सेस को कैसे निरस्त किया जाए, असुरक्षित साझा पासवर्ड को प्रति-उपयोगकर्ता 802.1X सर्टिफिकेट या iPSK से बदला जाए। इसमें ISO 27001 और SOC 2 ऑडिट आवश्यकताओं को पूरा करने के लिए SCIM के माध्यम से स्वचालित डीप्रोविज़निंग को शामिल किया गया है।

📖 5 मिनट का पाठ📝 1,063 शब्द🔧 2 हल किए गए उदाहरण3 अभ्यास प्रश्न📚 8 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें
Purple टेक्निकल ब्रीफिंग में आपका स्वागत है। मैं आपका होस्ट हूँ, और आज हम एंटरप्राइज ऑफबोर्डिंग में सबसे आम कमियों में से एक से निपट रहे हैं: जब कोई कर्मचारी छोड़ता है तो वास्तव में WiFi एक्सेस का क्या होता है? यह सीधा लगता है। कोई अपना बैज सौंपता है, HR उनका खाता बंद कर देता है, और आप आगे बढ़ जाते हैं। लेकिन अगर आपका नेटवर्क अभी भी साझा WPA2 पासवर्ड पर चलता है, तो वह व्यक्ति बाहर जाते समय भी पासवर्ड जानता रहता है। और जब तक आप इसे सभी के लिए नहीं बदलते, वे कार पार्क से फिर से कनेक्ट कर सकते हैं। यही वह समस्या है जिसे हम आज हल कर रहे हैं। हम प्रति-उपयोगकर्ता WiFi निरस्तीकरण के लिए तीन विश्वसनीय मॉडलों को कवर करेंगे, उसी दिन निरस्तीकरण चेकलिस्ट के माध्यम से चलेंगे, और समझाएंगे कि एक ISO 27001 या SOC 2 ऑडिटर आपके लॉग में वास्तव में क्या देखने की उम्मीद करता है। चलिए शुरू करते हैं। भाग एक: साझा पासवर्ड इस काम के लिए गलत उपकरण क्यों हैं। WPA2-Personal, जो मानक होम-राउटर सेटअप है, एक एकल प्री-शेयर्ड कुंजी का उपयोग करता है। नेटवर्क पर हर कोई एक ही पासवर्ड जानता है। जब कोई एक व्यक्ति छोड़ता है, तो वह पासवर्ड अभी भी उनके फोन, उनके लैपटॉप, उनके द्वारा कनेक्ट किए गए किसी भी डिवाइस पर वैध रहता है। उनके एक्सेस को निरस्त करने का एकमात्र तरीका पूरे नेटवर्क के लिए पासवर्ड बदलना और इसे हर शेष उपयोगकर्ता और डिवाइस में फिर से वितरित करना है। 200 कर्मचारियों वाले होटल में, इसका मतलब है कि हर पॉइंट-ऑफ-सेल टर्मिनल, हर बैक-ऑफिस PC, हर मैनेजर के फोन को अपडेट करना। 50 स्टोर वाली रिटेल चेन में, इसका मतलब है हर साइट पर एक समन्वित रोलआउट। परिचालन लागत अधिक है, व्यवधान वास्तविक है, और जाने वाले कर्मचारी के अंतिम दिन और पूर्ण रोटेशन के बीच की अवधि एक वास्तविक सुरक्षा अंतर (security gap) है। PCI DSS, जो भुगतान कार्ड उद्योग मानक है, मांग करता है कि जब भी उनके ज्ञान वाले कर्मी छोड़ें, तो आप साझा क्रेडेंशियल्स बदलें। इसलिए यदि आपके टिल (tills) आपके स्टाफ WiFi के समान नेटवर्क पर हैं, तो जाने वाला कर्मचारी केवल एक सर्वोत्तम-प्रथा सिफारिश नहीं, बल्कि एक अनुपालन दायित्व को ट्रिगर करता है। मूल कारण सरल है: एक साझा पासवर्ड से कोई पहचान नहीं जुड़ी होती है। नेटवर्क वर्तमान कर्मचारी और पूर्व कर्मचारी के बीच अंतर नहीं कर सकता है। इसे ठीक करने के लिए, आपको प्रति-उपयोगकर्ता क्रेडेंशियल्स की आवश्यकता है। भाग दो: तीन मॉडल जो वास्तव में काम करते हैं। मॉडल एक EAP-TLS सर्टिफिकेट-आधारित प्रमाणीकरण के साथ 802.1X है। यह एंटरप्राइज WiFi सुरक्षा के लिए स्वर्ण मानक है। इस मॉडल में, प्रत्येक उपयोगकर्ता या डिवाइस के पास आपकी सर्टिफिकेट अथॉरिटी (CA) द्वारा जारी एक अद्वितीय डिजिटल सर्टिफिकेट होता है। जब वे WiFi से कनेक्ट होते हैं, तो RADIUS सर्वर उस सर्टिफिकेट को क्रिप्टोग्राफिक रूप से सत्यापित करता है। सर्टिफिकेट एक पहचान से जुड़ा होता है, पासवर्ड से नहीं। एक्सेस निरस्त करने के लिए, आप CA स्तर पर सर्टिफिकेट को निरस्त करते हैं। RADIUS सर्वर OCSP, यानी Online Certificate Status Protocol का उपयोग करके वास्तविक समय में निरस्तीकरण स्थिति की जांच करता है। जब आप किसी सर्टिफिकेट को निरस्त के रूप में चिह्नित करते हैं, तो अगली बार जब वह डिवाइस प्रमाणित करने का प्रयास करता है, तो RADIUS सर्वर OCSP रिस्पॉन्डर से पूछताछ करता है, एक निरस्त प्रतिक्रिया प्राप्त करता है, और एक्सेस पॉइंट को एक Access-Reject भेजता है। डिवाइस अगले प्रमाणीकरण प्रयास के कुछ सेकंड के भीतर नेटवर्क से बाहर हो जाता है। सक्रिय सत्रों के लिए, आप मौजूदा सत्र को तुरंत समाप्त करने के लिए RADIUS Change of Authorisation, या CoA का उपयोग करते हैं। संयुक्त रूप से, OCSP और CoA का अर्थ है कि आप अपने RADIUS लॉग में पूर्ण ऑडिट ट्रेल के साथ, एक मिनट से भी कम समय में जाने वाले कर्मचारी के लिए WiFi एक्सेस निरस्त कर सकते हैं। EAP-TLS के साथ चुनौती PKI ओवरहेड है। आपको एक सर्टिफिकेट अथॉरिटी, उपकरणों को सर्टिफिकेट जारी करने के लिए एक तंत्र (आमतौर पर Microsoft Intune जैसे MDM के माध्यम से), और उन्हें निरस्त करने की एक प्रक्रिया की आवश्यकता होती है। परिपक्व MDM और पहचान बुनियादी ढांचे वाले संगठनों के लिए, यह सही उत्तर है। छोटी टीमों या IoT उपकरणों वाले वातावरण के लिए जो सर्टिफिकेट प्रमाणीकरण का समर्थन नहीं कर सकते हैं, आपको एक अलग दृष्टिकोण की आवश्यकता है। मॉडल दो iPSK, यानी Identity Pre-Shared Key है। Cisco इसे iPSK कहता है, Ruckus इसे DPSK कहता है, Aruba इसे MPSK कहता है, लेकिन अवधारणा वही है: प्रत्येक उपयोगकर्ता या डिवाइस को एक अद्वितीय पासवर्ड मिलता है, भले ही वे सभी एक ही SSID से कनेक्ट हों। RADIUS सर्वर प्रत्येक अद्वितीय कुंजी को एक विशिष्ट पहचान और वैकल्पिक रूप से एक विशिष्ट VLAN से मैप करता है। जब आप RADIUS डेटाबेस से उस कुंजी को हटाते हैं, तो डिवाइस अब प्रमाणित नहीं हो सकता है। जाने वाले कर्मचारी का प्रभाव क्षेत्र (blast radius) बिल्कुल एक व्यक्ति होता है। बाकी सभी की कुंजियाँ वैध रहती हैं। iPSK विशेष रूप से मिश्रित डिवाइस प्रकारों वाले वातावरण के लिए उपयुक्त है। IoT डिवाइस, पॉइंट-ऑफ-सेल टर्मिनल और पुराने हार्डवेयर जो 802.1X सर्टिफिकेट का समर्थन नहीं कर सकते, वे सभी iPSK का उपयोग कर सकते हैं। यह पूर्ण PKI परिनियोजन की तुलना में संचालित करने में भी सरल है, जो इसे उन मध्यम-बाजार संगठनों के लिए सही विकल्प बनाता है जिन्हें बुनियादी ढांचे के ओवरहेड के बिना प्रति-उपयोगकर्ता निरस्तीकरण की आवश्यकता होती है। iPSK के लिए निरस्तीकरण का समय आमतौर पर कुछ मिनट होता है, सेकंड नहीं। कुंजी विलोपन RADIUS सर्वर तक प्रसारित होता है, लेकिन सक्रिय सत्र तब तक बने रह सकते हैं जब तक कि डिवाइस फिर से प्रमाणित न हो जाए या जब तक आप जबरन डिस्कनेक्ट करने के लिए CoA पैकेट न भेजें। मॉडल तीन SCIM-संचालित डीप्रोविज़निंग है। SCIM का अर्थ System for Cross-domain Identity Management है। यह एक खुला मानक है, जिसे RFC 7643 और RFC 7644 में परिभाषित किया गया है, जो आपके पहचान प्रदाता को वास्तविक समय में डाउनस्ट्रीम सिस्टम में उपयोगकर्ता जीवनचक्र इवेंट भेजने की अनुमति देता है। व्यावहारिक रूप से यह इस तरह काम करता है। आपका पहचान प्रदाता, चाहे वह Microsoft Entra ID, Okta, या Google Workspace हो, उपयोगकर्ता खातों के लिए सत्य का आधिकारिक स्रोत है। जब HR पहचान प्रदाता में जाने वाले कर्मचारी के खाते को अक्षम करता है, तो SCIM आपके WiFi प्रबंधन प्लेटफॉर्म सहित प्रत्येक जुड़े हुए सिस्टम को एक अनुरोध भेजता है। Purple SCIM के माध्यम से आपके पहचान प्रदाता से जुड़ता है। जैसे ही आप Entra ID, Okta, या Google Workspace में किसी उपयोगकर्ता को अक्षम करते हैं, Purple को SCIM इवेंट प्राप्त होता है और वह अगले प्रमाणीकरण पर उनके WiFi क्रेडेंशियल्स को निरस्त कर देता है। इवेंट को एक टाइमस्टैम्प, उपयोगकर्ता की पहचान और की गई कार्रवाई के साथ लॉग किया जाता है। वह लॉग प्रविष्टि बिल्कुल वही है जो एक ISO 27001 ऑडिटर को देखने की आवश्यकता होती है। SCIM 802.1X या iPSK को प्रतिस्थापित नहीं करता है। यह उनके ऊपर बैठता है। SCIM पहचान जीवनचक्र को संभालता है; प्रमाणीकरण प्रोटोकॉल नेटवर्क प्रवर्तन (network enforcement) को संभालता है। SCIM और 802.1X का संयोजन आपको पूर्ण ऑडिट ट्रेल और शून्य मैन्युअल चरणों के साथ स्वचालित, वास्तविक समय में निरस्तीकरण प्रदान करता है। भाग तीन: उसी दिन निरस्तीकरण चेकलिस्ट। जब जाने वाले कर्मचारी का अंतिम दिन आता है, तो आपकी IT टीम को इस क्रम का पालन करना चाहिए। चरण एक: अपने पहचान प्रदाता में खाता अक्षम करें। यह बाकी सब चीजों के लिए ट्रिगर है। Microsoft Entra ID में, खाते को अक्षम (disabled) पर सेट करें। Okta में, उपयोगकर्ता को निष्क्रिय (deactivate) करें। Google Workspace में, खाते को निलंबित (suspend) करें। चरण दो: यदि आप SCIM चला रहे हैं, तो सत्यापित करें कि डीप्रोविज़निंग इवेंट ट्रिगर हुआ है। संबंधित इवेंट के लिए अपने SCIM लॉग या अपने WiFi प्रबंधन प्लेटफॉर्म की जांच करें। यदि SCIM लागू नहीं है, तो अपने CA में सर्टिफिकेट को मैन्युअल रूप से निरस्त करें या अपने RADIUS डेटाबेस से iPSK कुंजी को हटा दें। चरण तीन: किसी भी सक्रिय WiFi सत्र को समाप्त करने के लिए एक RADIUS CoA भेजें। अधिकांश एंटरप्राइज RADIUS सर्वर, और Purple जैसे प्लेटफॉर्म, डीप्रोविज़निंग इवेंट पर इसे स्वचालित रूप से कर सकते हैं। यदि आप इसे मैन्युअल रूप से कर रहे हैं, तो उपयोगकर्ता के डिवाइस को MAC पते या सत्र ID द्वारा डिस्कनेक्ट करने के लिए अपने RADIUS सर्वर के CoA इंटरफ़ेस का उपयोग करें। चरण चार: पुष्टि करें कि कोई सक्रिय सत्र शेष नहीं है। अपने WiFi कंट्रोलर डैशबोर्ड की जांच करें। Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, या Fortinet पर, आपको उपयोगकर्ता नाम या डिवाइस द्वारा खोजने और शून्य सक्रिय जुड़ाव (associations) की पुष्टि करने में सक्षम होना चाहिए। चरण पांच: ऑडिट लॉग प्रविष्टि को संग्रहीत (archive) करें। प्रासंगिक उपयोगकर्ता और तिथि के लिए RADIUS प्रमाणीकरण लॉग, SCIM इवेंट लॉग और CoA लॉग को निर्यात या चिह्नित करें। इन्हें अपने ITSM या सुरक्षा सूचना और इवेंट प्रबंधन प्लेटफॉर्म में संग्रहीत करें। ISO 27001 एनेक्स ए नियंत्रण A.9.2.6 की आवश्यकता है कि आप समाप्ति पर सभी कर्मचारियों और ठेकेदारों के एक्सेस अधिकारों को हटाएं या समायोजित करें। आपका लॉग ही इसका प्रमाण है। चरण छह: यदि आप WPA2 साझा PSK चला रहे हैं और उपरोक्त में से कुछ भी लागू नहीं होता है, तो पासवर्ड बदलें। यदि संभव हो तो जाने वाले कर्मचारी के अंतिम दिन से पहले, या उसके तुरंत बाद सभी साइटों और उपकरणों पर रोलआउट का समन्वय करें। भाग चार: ऑडिटर क्या उम्मीद करता है। ISO 27001 और SOC 2 दोनों के लिए आपको यह प्रदर्शित करने की आवश्यकता होती है कि रोजगार समाप्त होने पर एक्सेस तुरंत हटा दिया जाता है। विशेष रूप से WiFi के लिए, ऑडिटर चार चीजें देखते हैं। पहला, एक प्रलेखित ऑफबोर्डिंग प्रक्रिया जिसमें स्पष्ट रूप से नेटवर्क एक्सेस शामिल हो। दूसरा, सबूत कि पिछले बारह महीनों से चुने गए आमतौर पर दस से पच्चीस व्यक्तियों के जाने वाले कर्मचारियों के नमूने के लिए प्रक्रिया का पालन किया गया था। तीसरा, एक लॉग जो खाता अक्षम करने का टाइमस्टैम्प और WiFi एक्सेस निरस्तीकरण का टाइमस्टैम्प दिखाता है, जिसमें उनके बीच का अंतर स्पष्ट रूप से दिखाई देता है। चौथा, पुष्टि कि किसी भी पूर्व कर्मचारी के खाते सक्रिय WiFi सत्र नहीं दिखा रहे हैं। यदि आप WPA2 साझा PSK चला रहे हैं, तो आप आइटम तीन और चार के लिए सबूत पेश नहीं कर सकते। कोई प्रति-उपयोगकर्ता लॉग नहीं है। आप सबसे अच्छा यह कर सकते हैं कि पासवर्ड रोटेशन की तारीख दिखाएं और तर्क दें कि यह जाने वाले कर्मचारी के अंतिम दिन या उससे पहले पूरा हो गया था। ऑडिटर तेजी से इस पर आपत्ति जता रहे हैं। यदि आप SCIM के साथ 802.1X चला रहे हैं, तो लॉग स्वचालित होता है। Purple प्रत्येक SCIM डीप्रोविज़निंग इवेंट को UTC टाइमस्टैम्प, पहचान प्रदाता स्रोत, उपयोगकर्ता के विशिष्ट पहचानकर्ता और परिणामी कार्रवाई के साथ रिकॉर्ड करता है। यह एक स्पष्ट, ऑडिट योग्य रिकॉर्ड है। भाग पांच: कार्यान्वयन की कमियां और उनसे कैसे बचें। सबसे आम गलती यह मान लेना है कि पहचान प्रदाता में खाता अक्षम करना पर्याप्त है। ऐसा नहीं है, जब तक कि आपका WiFi प्लेटफॉर्म SCIM या इसी तरह के वास्तविक समय के एकीकरण के माध्यम से उस पहचान प्रदाता से जुड़ा न हो। उस कनेक्शन के बिना, WiFi सिस्टम के पास यह जानने का कोई तरीका नहीं है कि खाता अक्षम कर दिया गया था। दूसरा नुकसान सर्टिफिकेट कैशिंग है। OCSP के साथ भी, RADIUS सर्वर एक कॉन्फ़िगर करने योग्य अवधि के लिए अच्छी प्रतिक्रियाओं को कैश करते हैं, आमतौर पर 15 से 60 मिनट। यदि आप एक सर्टिफिकेट को निरस्त करते हैं और RADIUS सर्वर के पास एक कैश्ड अच्छी प्रतिक्रिया है, तो डिवाइस कैश समाप्त होने तक प्रमाणित होना जारी रख सकता है। उच्च-सुरक्षा वातावरण के लिए अपने OCSP कैश TTL को 15 मिनट या उससे कम पर सेट करें। तीसरा नुकसान सक्रिय सत्रों को भूलना है। क्रेडेंशियल्स को निरस्त करना नए प्रमाणीकरण को रोकता है लेकिन मौजूदा WiFi सत्र को समाप्त नहीं करता है। डिवाइस को तुरंत डिस्कनेक्ट करने के लिए क्रेडेंशियल्स निरस्त करने के बाद हमेशा एक RADIUS CoA भेजें। चौथा नुकसान IoT और साझा उपकरण हैं। जाने वाले कर्मचारी की पहचान पर पंजीकृत डिवाइस एक साझा वर्कस्टेशन या परिचालन हार्डवेयर का एक हिस्सा हो सकता है। निरस्त करने से पहले, पुष्टि करें कि डिवाइस व्यक्तिगत है, साझा नहीं। यदि यह साझा है, तो जाने वाले कर्मचारी के क्रेडेंशियल्स को निरस्त करने से पहले इसे एक सर्विस खाते के तहत फिर से पंजीकृत करें। भाग छह: रैपिड-फायर प्रश्न। प्रश्न: सर्टिफिकेट-आधारित WiFi एक्सेस को कितनी तेजी से निरस्त किया जा सकता है? OCSP और RADIUS CoA के साथ, CA पर सर्टिफिकेट निरस्त करने के क्षण से 60 सेकंड से भी कम समय में। OCSP जांच अगले प्रमाणीकरण प्रयास पर होती है। CoA सक्रिय सत्र को तुरंत समाप्त कर देता है। प्रश्न: क्या SCIM सभी WiFi हार्डवेयर के साथ काम करता है? SCIM पहचान प्रबंधन परत (identity management layer) पर काम करता है, हार्डवेयर परत पर नहीं। Purple हार्डवेयर-अज्ञेयवादी (hardware-agnostic) है और Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, और Fortinet के साथ काम करता है। SCIM एकीकरण Purple के साथ है, सीधे एक्सेस पॉइंट्स के साथ नहीं। प्रश्न: क्या होगा यदि हमारे पास कोई MDM नहीं है और हम सर्टिफिकेट तैनात नहीं कर सकते हैं? iPSK आपका उत्तर है। यह आपको सर्टिफिकेट बुनियादी ढांचे की आवश्यकता के बिना प्रति-उपयोगकर्ता निरस्तीकरण देता है। Purple iPSK कुंजियों का प्रबंधन कर सकता है और जीवनचक्र को स्वचालित करने के लिए आपके पहचान प्रदाता से जुड़ सकता है। सारांश और अगले कदम। मुख्य संदेश यह है: यदि आप दूसरों को प्रभावित किए बिना किसी एक व्यक्ति के लिए WiFi एक्सेस निरस्त नहीं कर सकते हैं, तो आपको साझा-क्रेडेंशियल की समस्या है। इसका समाधान प्रति-उपयोगकर्ता क्रेडेंशियल्स हैं, या तो 802.1X EAP-TLS के माध्यम से सर्टिफिकेट या iPSK के माध्यम से अद्वितीय कुंजियाँ, और जैसे ही HR कार्रवाई करता है, निरस्तीकरण को स्वचालित करने के लिए SCIM-संचालित डीप्रोविज़निंग के साथ संयुक्त रूप से। Purple SCIM के माध्यम से Microsoft Entra ID, Okta, और Google Workspace से जुड़ता है, 80,000 लाइव स्थानों पर चलता है, और ऑडिट के लिए प्रत्येक डीप्रोविज़निंग इवेंट को लॉग करता है। यदि आप ISO 27001 या SOC 2 की तैयारी कर रहे हैं, या केवल जाने वाले कर्मचारी के अंतर को घटना बनने से पहले बंद करना चाहते हैं, तो यहीं से शुरुआत करें। सर्टिफिकेट निरस्तीकरण और OCSP के पूर्ण तकनीकी विश्लेषण के लिए, WiFi प्रमाणीकरण के लिए OCSP और सर्टिफिकेट निरस्तीकरण पर हमारी गाइड देखें। व्यापक जॉइनर-मूवर-लीवर स्वचालन चित्र के लिए, हमारी एंटरप्राइज WiFi सुरक्षा गाइड देखें। Purple टेक्निकल ब्रीफिंग सुनने के लिए धन्यवाद।

header_image.png

कार्यकारी सारांश

जब कोई कर्मचारी किसी संगठन को छोड़ता है, तो उसकी भौतिक पहुंच (physical access) को निरस्त करना आसान होता है। लेकिन उनके WiFi एक्सेस को निरस्त करना अक्सर आसान नहीं होता है। यदि आपका नेटवर्क एक साझा (shared) WPA2 पासवर्ड पर निर्भर करता है, तो जाने वाला कर्मचारी बाहर जाते समय भी क्रेडेंशियल्स जानता रहता है। उनकी पहुंच को हटाने का एकमात्र तरीका पूरे नेटवर्क के लिए पासवर्ड बदलना है, जिससे संचालन में बाधा आती है और सभी डिवाइसों पर मैन्युअल अपडेट करने के लिए मजबूर होना पड़ता है। यह एक गंभीर सुरक्षा भेद्यता (critical vulnerability) है और PCI DSS और ISO 27001 जैसे मानकों के तहत अनुपालन की विफलता है।

यह गाइड बताती है कि साझा पासवर्ड से कैसे दूर हटें और प्रति-उपयोगकर्ता (per-user) WiFi निरस्तीकरण को कैसे लागू करें। हम तीन विश्वसनीय मॉडलों की जांच करते हैं: सर्टिफिकेट निरस्तीकरण के साथ 802.1X EAP-TLS, प्रति-पहचान कुंजी विलोपन (per-identity key deletion) के साथ Identity Pre-Shared Key (iPSK), और SCIM-संचालित डीप्रोविज़निंग (deprovisioning)। नेटवर्क एक्सेस को सीधे अपने पहचान प्रदाता (identity provider)—जैसे कि Microsoft Entra ID, Okta, या Google Workspace—से जोड़कर, आप खाता अक्षम (disabled) होने के क्षण ही निरस्तीकरण को स्वचालित कर सकते हैं, जिससे बिल्कुल वही ऑडिट ट्रेल उत्पन्न होता है जिसकी एक मूल्यांकनकर्ता (assessor) अपेक्षा करता है।

इस विषय पर हमारा तकनीकी ब्रीफिंग पॉडकास्ट सुनें:

तकनीकी गहन विश्लेषण

साझा पासवर्ड के साथ समस्या

एक साझा WPA2-Personal पासवर्ड में पहचान संदर्भ (identity context) का अभाव होता है। नेटवर्क वर्तमान कर्मचारी और पूर्व कर्मचारी के बीच अंतर नहीं कर सकता है। परिणामस्वरूप, एक्सेस निरस्त करने के लिए कंपनी-व्यापी पासवर्ड रोटेशन की आवश्यकता होती है। यह कर्मचारी के जाने और रोटेशन के पूरा होने के बीच एक सुरक्षा भेद्यता विंडो (vulnerability window) बनाता है।

मॉडल 1: 802.1X EAP-TLS सर्टिफिकेट निरस्तीकरण

WiFi सुरक्षा के लिए एंटरप्राइज मानक EAP-TLS का उपयोग करने वाला 802.1X है। इस मॉडल में, प्रत्येक डिवाइस को सर्टिफिकेट अथॉरिटी (CA) से एक अद्वितीय डिजिटल सर्टिफिकेट प्राप्त होता है। जब कोई डिवाइस कनेक्ट होता है, तो RADIUS सर्वर सर्टिफिकेट को क्रिप्टोग्राफिक रूप से सत्यापित करता है।

एक्सेस निरस्त करने के लिए, आप CA पर सर्टिफिकेट को निरस्त करते हैं। RADIUS सर्वर Online Certificate Status Protocol (OCSP) का उपयोग करके वास्तविक समय में निरस्तीकरण स्थिति की जांच करता है। यदि OCSP रिस्पॉन्डर 'Revoked' स्थिति लौटाता है, तो RADIUS सर्वर एक Access-Reject संदेश भेजता है। सक्रिय सत्रों (active sessions) के लिए, सर्वर कनेक्शन को तुरंत समाप्त करने के लिए Change of Authorisation (CoA) जारी करता है। यह प्रक्रिया बाकी नेटवर्क पर शून्य प्रभाव के साथ निरस्तीकरण को केवल एक उपयोगकर्ता तक सीमित करती है।

मॉडल 2: iPSK प्रति-पहचान कुंजी विलोपन

मिश्रित डिवाइस प्रकारों वाले वातावरण के लिए, जिसमें हेडलेस हार्डवेयर भी शामिल है जो 802.1X सर्टिफिकेट का समर्थन नहीं कर सकता है, Identity Pre-Shared Key (iPSK) सबसे अच्छा समाधान है। iPSK एक ही SSID पर प्रत्येक व्यक्तिगत उपयोगकर्ता या डिवाइस को एक अद्वितीय पासवर्ड प्रदान करता है।

RADIUS सर्वर प्रत्येक अद्वितीय कुंजी को एक विशिष्ट पहचान से मैप करता है। जब कोई कर्मचारी छोड़ता है, तो IT बस RADIUS डेटाबेस से उनकी विशिष्ट कुंजी को हटा देता है। इसका प्रभाव पूरी तरह से केवल उसी एक उपयोगकर्ता तक सीमित रहता है। यह दृष्टिकोण एक मानक पासवर्ड की सादगी के साथ एंटरप्राइज नेटवर्क की व्यक्तिगत सुरक्षा प्रदान करता है।

revocation_models_comparison.png

मॉडल 3: SCIM ऑटो-डीप्रोविज़निंग

System for Cross-domain Identity Management (SCIM) एक खुला मानक है जो उपयोगकर्ता पहचान जानकारी के आदान-प्रदान को स्वचालित करता है। SCIM आपके पहचान प्रदाता और आपके WiFi प्रबंधन प्लेटफॉर्म जैसे डाउनस्ट्रीम सिस्टम के बीच एक जोड़ने वाली कड़ी के रूप में कार्य करता है।

जब HR Microsoft Entra ID, Okta, या Google Workspace में जाने वाले कर्मचारी को अक्षम करता है, तो SCIM Purple को एक डीप्रोविज़निंग इवेंट भेजता है। Purple अगले प्रमाणीकरण (authentication) पर उपयोगकर्ता के WiFi क्रेडेंशियल्स—चाहे सर्टिफिकेट हो या iPSK—को तुरंत निरस्त कर देता है। यह एक क्लोज्ड-लूप सिस्टम बनाता है जहां पहचान जीवनचक्र परिवर्तन स्वचालित रूप से नेटवर्क एक्सेस नीतियों को लागू करते हैं।

कार्यान्वयन गाइड

प्रति-उपयोगकर्ता निरस्तीकरण को तैनात करने के लिए आपके पहचान प्रदाता, RADIUS सर्वर और WiFi हार्डवेयर के बीच समन्वय की आवश्यकता होती है। Purple, Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, और Fortinet के हार्डवेयर के साथ एकीकृत होता है।

चरण 1: पहचान को सत्य के एकमात्र स्रोत (Source of Truth) के रूप में स्थापित करें

सुनिश्चित करें कि आपका पहचान प्रदाता उपयोगकर्ता की स्थिति के लिए सत्य का एकमात्र स्रोत है। सभी ऑनबोर्डिंग और ऑफबोर्डिंग प्रक्रियाएं Microsoft Entra ID, Okta, या Google Workspace में शुरू और समाप्त होनी चाहिए।

चरण 2: सही प्रमाणीकरण प्रोटोकॉल चुनें

यदि आपके पास एक परिपक्व मोबाइल डिवाइस प्रबंधन (MDM) परिनियोजन है जो सभी कॉर्पोरेट उपकरणों पर सर्टिफिकेट भेजने में सक्षम है, तो 802.1X EAP-TLS चुनें। यदि आपको अप्रबंधित उपकरणों, पॉइंट-ऑफ-सेल टर्मिनलों, या IoT हार्डवेयर की एक विस्तृत श्रृंखला का समर्थन करने की आवश्यकता है, तो iPSK चुनें।

चरण 3: SCIM एकीकरण कॉन्फ़िगर करें

अपने पहचान प्रदाता और Purple के बीच एक SCIM कनेक्शन कॉन्फ़िगर करें। उपयोगकर्ता स्थिति विशेषता (attribute) को मैप करें ताकि निर्देशिका (directory) में 'disabled' स्थिति Purple में एक निरस्तीकरण इवेंट को ट्रिगर करे।

चरण 4: RADIUS टाइमर को ट्यून करें

यदि EAP-TLS का उपयोग कर रहे हैं, तो अपने RADIUS सर्वर के OCSP कैश टाइम-टू-लाइव (TTL) को उचित रूप से कॉन्फ़िगर करें। एक छोटा TTL (जैसे, 15 मिनट) उस समय को कम करके सुरक्षा बढ़ाता है जिसके दौरान एक निरस्त सर्टिफिकेट वैध रहता है, लेकिन यह CA पर लोड बढ़ाता है।

offboarding_checklist.png

सर्वोत्तम प्रथाएं

उद्योग मानकों के अनुसार, संगठनों को नेटवर्क एक्सेस को कड़ाई से नियंत्रित करना चाहिए। सुरक्षित स्थिति बनाए रखने के लिए इन प्रथाओं को लागू करें:

  1. SCIM के साथ स्वचालित करें: मैन्युअल निरस्तीकरण में मानवीय भूल की संभावना होती है। अपने WiFi प्लेटफॉर्म को सीधे अपने पहचान प्रदाता से जोड़कर इस प्रक्रिया को स्वचालित करें।
  2. RADIUS CoA लागू करें: क्रेडेंशियल्स को निरस्त करने से नए कनेक्शन तो रुक जाते हैं लेकिन सक्रिय सत्र समाप्त नहीं होते हैं। सुनिश्चित करें कि आपका सिस्टम डिवाइस को तुरंत डिस्कनेक्ट करने के लिए Change of Authorisation कमांड भेजता है।
  3. अतिथि (Guest) और स्टाफ ट्रैफ़िक को अलग करें: स्टाफ के उपकरणों को कभी भी Guest WiFi नेटवर्क पर न रखें। अलगाव बनाए रखने के लिए अलग VLANs और SSIDs का उपयोग करें।
  4. ऑडिट लॉग: सभी डीप्रोविज़निंग इवेंट्स के अपरिवर्तनीय (immutable) लॉग बनाए रखें। ISO 27001 मूल्यांकनकर्ताओं को इस बात के प्रमाण की आवश्यकता होती है कि समाप्ति पर तुरंत एक्सेस हटा दिया गया था।

समस्या निवारण और जोखिम शमन

WiFi निरस्तीकरण में सबसे आम विफलता मोड एक डिस्कनेक्ट की गई प्रक्रिया है। यदि IT निर्देशिका में खाता अक्षम कर देता है लेकिन स्टैंडअलोन RADIUS डेटाबेस को अपडेट करने में विफल रहता है, तो जाने वाले कर्मचारी के पास एक्सेस बना रहता है। SCIM एकीकरण इस जोखिम को पूरी तरह से कम करता है।

दूसरा जोखिम सर्टिफिकेट कैशिंग है। यदि कोई RADIUS सर्वर 24 घंटे के लिए 'Good' OCSP प्रतिक्रिया को कैश करता है, तो एक निरस्त डिवाइस कैश समाप्त होने तक प्रमाणित होना जारी रख सकता है। सुरक्षा आवश्यकताओं के साथ प्रदर्शन को संतुलित करने के लिए अपनी OCSP कैश सेटिंग्स को ट्यून करें।

साझा उपकरणों के लिए, जैसे कि कई शिफ्ट कर्मचारियों द्वारा उपयोग किया जाने वाला रिटेल टैबलेट, डिवाइस प्रमाणीकरण को किसी व्यक्तिगत कर्मचारी की पहचान से न जोड़ें। किसी व्यक्ति के जाने से हार्डवेयर के एक महत्वपूर्ण हिस्से को ऑफलाइन होने से बचाने के लिए सर्विस खातों या डिवाइस-विशिष्ट सर्टिफिकेट का उपयोग करें।

ROI और व्यावसायिक प्रभाव

प्रति-उपयोगकर्ता WiFi निरस्तीकरण पर जाने से मापने योग्य व्यावसायिक मूल्य मिलता है। यह कंपनी-व्यापी पासवर्ड रोटेशन के समन्वय में खर्च होने वाले IT सपोर्ट के घंटों को समाप्त करता है। यह एक पूर्व कर्मचारी से उत्पन्न होने वाले डेटा उल्लंघन के जोखिम को कम करता है, जिससे संगठन नियामक जुर्मानों और प्रतिष्ठा के नुकसान से बचता है।

इसके अलावा, यह ISO 27001 और SOC 2 मूल्यांकनों को सुचारू रूप से पास करने के लिए आवश्यक स्पष्ट ऑडिट ट्रेल प्रदान करता है। जॉइनर-मूवर-लीवर प्रक्रिया को स्वचालित करके, IT टीमें मैन्युअल क्रेडेंशियल प्रबंधन के बजाय रणनीतिक पहलों पर ध्यान केंद्रित कर सकती हैं। अपने नेटवर्क को सुरक्षित करने के बारे में अधिक विवरण के लिए, हमारी Enterprise WiFi Security: A Complete Guide for 2026 पढ़ें।

मुख्य परिभाषाएं

802.1X

पोर्ट-आधारित नेटवर्क एक्सेस नियंत्रण के लिए एक IEEE मानक जो LAN या WLAN से जुड़ने के इच्छुक उपकरणों को एक प्रमाणीकरण तंत्र प्रदान करता है।

एंटरप्राइज WiFi सुरक्षा की नींव, जिसमें नेटवर्क एक्सेस प्राप्त करने से पहले उपकरणों को RADIUS सर्वर के खिलाफ प्रमाणित करने की आवश्यकता होती है।

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. एक अत्यधिक सुरक्षित प्रमाणीकरण विधि जो क्लाइंट और सर्वर दोनों पर डिजिटल सर्टिफिकेट का उपयोग करती है।

WiFi प्रमाणीकरण के लिए स्वर्ण मानक (gold standard) माना जाता है क्योंकि यह पासवर्ड को पूरी तरह से समाप्त कर देता है, और इसके बजाय क्रिप्टोग्राफिक सर्टिफिकेट पर निर्भर करता है।

iPSK

Identity Pre-Shared Key. एक सुरक्षा विधि जो एक ही नेटवर्क नाम पर प्रत्येक व्यक्तिगत उपयोगकर्ता या डिवाइस को एक अद्वितीय WiFi पासवर्ड प्रदान करती है।

उन वातावरणों के लिए आदर्श समाधान जिन्हें प्रति-उपयोगकर्ता निरस्तीकरण की आवश्यकता होती है लेकिन उनके पास ऐसे उपकरण (जैसे IoT या गेमिंग कंसोल) हैं जो 802.1X सर्टिफिकेट का समर्थन नहीं कर सकते हैं।

SCIM

System for Cross-domain Identity Management. पहचान डोमेन के बीच उपयोगकर्ता पहचान जानकारी के आदान-प्रदान को स्वचालित करने के लिए एक खुला मानक।

पहचान प्रदाता से WiFi सिस्टम पर 'उपयोगकर्ता अक्षम' इवेंट को स्वचालित रूप से भेजने के लिए उपयोग किया जाता है, जिससे तत्काल एक्सेस निरस्तीकरण ट्रिगर होता है।

RADIUS

Remote Authentication Dial-In User Service. एक नेटवर्किंग प्रोटोकॉल जो केंद्रीकृत प्रमाणीकरण (Authentication), प्राधिकरण (Authorization), और लेखांकन (Accounting) प्रबंधन प्रदान करता है।

वह सर्वर जो किसी डिवाइस को नेटवर्क पर अनुमति देने से पहले WiFi क्रेडेंशियल्स को सत्यापित करता है और निरस्तीकरण स्थिति की जांच करता है।

OCSP

Online Certificate Status Protocol. एक इंटरनेट प्रोटोकॉल जिसका उपयोग X.509 डिजिटल सर्टिफिकेट की निरस्तीकरण स्थिति प्राप्त करने के लिए किया जाता है।

वास्तविक समय की जांच जो RADIUS सर्वर यह सुनिश्चित करने के लिए करता है कि कनेक्ट होने वाले डिवाइस का सर्टिफिकेट जारी होने के बाद से निरस्त नहीं किया गया है।

CoA

Change of Authorisation. एक RADIUS सुविधा जो सर्वर को सक्रिय सत्र के प्राधिकरण विशेषताओं (authorization attributes) को गतिशील रूप से बदलने की अनुमति देती है।

क्रेडेंशियल्स निरस्त होने के क्षण ही डिवाइस को WiFi नेटवर्क से तुरंत डिस्कनेक्ट करने के लिए उपयोग किया जाता है, बजाय इसके कि सत्र के स्वाभाविक रूप से समाप्त होने की प्रतीक्षा की जाए।

WPA2-Personal

WiFi Protected Access 2. एक सुरक्षा प्रमाणन कार्यक्रम जो नेटवर्क पर सभी उपयोगकर्ताओं के लिए एकल, साझा पासवर्ड का उपयोग करता है।

एंटरप्राइज वातावरण में इससे दूर हटने का मानक, क्योंकि इसमें केवल एक जाने वाले कर्मचारी के लिए एक्सेस निरस्त करने के लिए सभी के लिए पासवर्ड बदलना आवश्यक होता है।

हल किए गए उदाहरण

एक 200 कमरों वाले होटल को जाने वाले शिफ्ट मैनेजर के लिए WiFi एक्सेस निरस्त करने की आवश्यकता है। होटल कॉर्पोरेट लैपटॉप और हेडलेस पॉइंट-ऑफ-सेल टर्मिनलों के मिश्रण का उपयोग करता है, जो वर्तमान में सभी एक ही WPA2 पासवर्ड साझा कर रहे हैं। उन्हें ऑफबोर्डिंग प्रक्रिया को कैसे सुरक्षित करना चाहिए?

होटल को साझा WPA2 पासवर्ड से iPSK पर माइग्रेट करना चाहिए। SCIM के माध्यम से Purple को अपने पहचान प्रदाता के साथ एकीकृत करके, वे प्रत्येक स्टाफ सदस्य और डिवाइस को एक अद्वितीय iPSK सौंप सकते हैं। जब शिफ्ट मैनेजर छोड़ता है, तो HR Microsoft Entra ID में उनके खाते को अक्षम कर देता है। SCIM इस इवेंट को Purple पर भेजता है, जो तुरंत मैनेजर के विशिष्ट iPSK को हटा देता है। पॉइंट-ऑफ-सेल टर्मिनल और अन्य स्टाफ डिवाइस बिना किसी रुकावट के जुड़े रहते हैं।

परीक्षक की टिप्पणी: यह दृष्टिकोण आतिथ्य (hospitality) क्षेत्र में परिचालन वास्तविकता के साथ सुरक्षा को पूरी तरह से संतुलित करता है। हेडलेस POS टर्मिनलों के लिए पूर्ण 802.1X EAP-TLS लागू करना बहुत जटिल होगा। iPSK सर्टिफिकेट प्रबंधन की आवश्यकता के बिना आवश्यक प्रति-उपयोगकर्ता निरस्तीकरण क्षमता प्रदान करता है, जबकि SCIM ऑडिट ट्रेल को स्वचालित करता है।

802.1X EAP-TLS चलाने वाला एक सार्वजनिक क्षेत्र का संगठन सुबह 9:00 बजे एक ठेकेदार (contractor) का सर्टिफिकेट निरस्त करता है, लेकिन ठेकेदार का लैपटॉप सुबह 10:00 बजे तक WiFi से जुड़ा रहता है। ऐसा क्यों हुआ और इसे कैसे ठीक किया जा सकता है?

देरी इसलिए हुई क्योंकि RADIUS सर्वर के पास ठेकेदार के सर्टिफिकेट के लिए एक कैश्ड 'Good' OCSP प्रतिक्रिया थी, और सिस्टम ने RADIUS Change of Authorisation (CoA) कमांड नहीं भेजा था। इसे ठीक करने के लिए, संगठन को RADIUS सर्वर पर OCSP कैश TTL को घटाकर 15 मिनट करना होगा और सिस्टम को कॉन्फ़िगर करना होगा ताकि सर्टिफिकेट निरस्त होते ही एक्सेस पॉइंट पर स्वचालित रूप से एक CoA डिस्कनेक्ट संदेश भेजा जा सके।

परीक्षक की टिप्पणी: यह एक महत्वपूर्ण अंतर को उजागर करता है: क्रेडेंशियल को निरस्त करना भविष्य के प्रमाणीकरण को रोकता है, लेकिन सक्रिय सत्र को समाप्त करने के लिए CoA की आवश्यकता होती है। समाधान कैश समय और सक्रिय सत्र समाप्ति दोनों को संबोधित करता है।

अभ्यास प्रश्न

Q1. आप एक रिटेल चेन की ऑफबोर्डिंग प्रक्रिया का ऑडिट कर रहे हैं। वे अपने स्टाफ WiFi के लिए एकल साझा WPA2 पासवर्ड का उपयोग करते हैं। वे बताते हैं कि वे पासवर्ड को 'त्रैमासिक' रूप से बदलते हैं। क्या यह एक्सेस निरस्तीकरण के लिए ISO 27001 आवश्यकताओं को पूरा करता है?

संकेत: कर्मचारी के जाने और अगले त्रैमासिक (quarterly) रोटेशन के बीच के समय के अंतर पर विचार करें।

मॉडल उत्तर देखें

नहीं, यह ISO 27001 आवश्यकताओं को पूरा नहीं करता है। ISO 27001 एनेक्स ए नियंत्रण A.9.2.6 समाप्ति पर तुरंत एक्सेस अधिकारों को हटाने की मांग करता है। एक त्रैमासिक रोटेशन तीन महीने तक की सुरक्षा भेद्यता विंडो छोड़ता है जहां एक पूर्व कर्मचारी के पास वैध क्रेडेंशियल्स बने रहते हैं। तत्काल निरस्तीकरण को सक्षम करने के लिए चेन को प्रति-उपयोगकर्ता क्रेडेंशियल्स (iPSK या 802.1X) पर जाना चाहिए।

Q2. एक अस्पताल को WiFi नेटवर्क पर अपने मेडिकल IoT उपकरणों को सुरक्षित करने की आवश्यकता है। ये उपकरण 802.1X सर्टिफिकेट का समर्थन नहीं कर सकते। वे प्रति-डिवाइस निरस्तीकरण कैसे प्राप्त कर सकते हैं?

संकेत: कौन सा प्रोटोकॉल एकल SSID पर अद्वितीय पासवर्ड प्रदान करता है?

मॉडल उत्तर देखें

अस्पताल को Identity Pre-Shared Key (iPSK) तैनात करना चाहिए। यह प्रत्येक मेडिकल IoT डिवाइस को अपना अनूठा WPA2 पासवर्ड रखने की अनुमति देता है। यदि कोई डिवाइस सेवामुक्त (decommissioned) या समझौताग्रस्त (compromised) हो जाता है, तो IT नेटवर्क पर किसी अन्य डिवाइस को प्रभावित किए बिना, RADIUS सर्वर से उस विशिष्ट कुंजी को हटा सकता है, जिससे उसका एक्सेस निरस्त हो जाता है।

Q3. आपका संगठन Google Workspace को Purple से जोड़ने के लिए SCIM का उपयोग करता है। एक कर्मचारी को बर्खास्त कर दिया जाता है और उनका Google खाता निलंबित कर दिया जाता है। क्या आपको उनके WiFi सर्टिफिकेट को मैन्युअल रूप से हटाने की आवश्यकता है?

संकेत: पहचान जीवनचक्र में SCIM की भूमिका पर विचार करें।

मॉडल उत्तर देखें

किसी मैन्युअल कार्रवाई की आवश्यकता नहीं है। Google Workspace में खाते को निलंबित करने से एक SCIM डीप्रोविज़निंग इवेंट ट्रिगर होता है। Purple इस इवेंट को प्राप्त करता है और स्वचालित रूप से उपयोगकर्ता के WiFi क्रेडेंशियल्स को निरस्त करता है और कार्रवाई को लॉग करता है, जिससे एक पूर्ण ऑडिट ट्रेल मिलता है।

इस श्रृंखला में आगे पढ़ें

Starlink पर कैप्टिव पोर्टल कैसे सेटअप करें: दूरस्थ और समुद्री स्थानों के लिए एक गाइड

यह गाइड विवरण देती है कि मूल Starlink हार्डवेयर को कैसे बायपास करें और एंटरप्राइज़ राउटिंग उपकरणों का उपयोग करके क्लाउड-प्रबंधित कैप्टिव पोर्टल को कैसे एकीकृत करें। आप सीखेंगे कि CGNAT सीमा को कैसे पार करें, VLAN सेगमेंटेशन लागू करें, सैटेलाइट बैंडविड्थ बाधाओं को प्रबंधित करें और नियामक अनुपालन सुनिश्चित करें।

गाइड पढ़ें →

होटल गेस्ट WiFi प्रबंधन: PMS, पोर्टल और ब्रांड मानकों को एकीकृत करना

यह तकनीकी मार्गदर्शिका विवरण देती है कि एंटरप्राइज़-ग्रेड होटल WiFi नेटवर्क को कैसे आर्किटेक्ट किया जाए, जिसमें VLAN सेगमेंटेशन, स्वचालित सत्र प्रबंधन के लिए PMS एकीकरण, और GDPR-अनुपालन डेटा कैप्चर के लिए कैप्टिव पोर्टल अनुकूलन पर ध्यान केंद्रित किया गया है।

गाइड पढ़ें →

कैप्टिव पोर्टल सर्वोत्तम प्रथाएं: उच्च रूपांतरण और अनुपालन के लिए डिज़ाइन करना

यह तकनीकी गाइड IT प्रबंधकों, नेटवर्क आर्किटेक्ट्स और स्थान संचालन निदेशकों को कैप्टिव पोर्टल तैनात करने के लिए एक संपूर्ण खाका देती है जो उच्च उपयोगकर्ता रूपांतरण के साथ नेटवर्क सुरक्षा को संतुलित करता है। यह VLAN सेगमेंटेशन और RADIUS प्रमाणीकरण से लेकर GDPR-अनुपालक सहमति डिज़ाइन और प्रमाणीकरण विधि चयन तक के संपूर्ण आर्किटेक्चर को कवर करता है। 2024 में 80,000+ स्थानों और 440 मिलियन लॉगिन में Purple के परिचालन अनुभव से ली गई, प्रत्येक सिफारिश वास्तविक परिनियोजन डेटा पर आधारित है।

गाइड पढ़ें →