मुख्य सामग्री पर जाएं
हिन्दी

WiFi ऑथेंटिकेशन के लिए Azure Entra ID (Azure AD) कैसे सेट अप करें

यह आधिकारिक गाइड एंटरप्राइज़ WiFi ऑथेंटिकेशन के लिए 802.1X के साथ Azure Entra ID को एकीकृत करने के आर्किटेक्चर, कार्यान्वयन चरणों और व्यावसायिक प्रभाव का विवरण देती है। यह नेटवर्क आर्किटेक्ट्स और IT प्रबंधकों को व्यावहारिक डिप्लॉयमेंट रणनीतियाँ प्रदान करती है, जो लिगेसी PSKs को ज़ीरो-ट्रस्ट, सर्टिफिकेट-आधारित नेटवर्क एक्सेस से बदल देती है।

📖 4 मिनट का पाठ📝 945 शब्द🔧 2 हल किए गए उदाहरण3 अभ्यास प्रश्न📚 8 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें
[INTRO - 1 MIN] Host: Purple एंटरप्राइज़ नेटवर्क ब्रीफिंग में आपका स्वागत है। मैं आपका होस्ट हूँ, और आज हम एक महत्वपूर्ण इंफ्रास्ट्रक्चर अपग्रेड पर चर्चा कर रहे हैं जो CTOs और नेटवर्क आर्किटेक्ट्स के लिए सर्वोच्च प्राथमिकता है: आपके कॉर्पोरेट WiFi ऑथेंटिकेशन को Azure Entra ID—पूर्व में Azure AD—में माइग्रेट करना। यदि आप एक होटल श्रृंखला, एक स्टेडियम, या एक बड़े सार्वजनिक क्षेत्र के डिप्लॉयमेंट का प्रबंधन कर रहे हैं, तो आप लिगेसी ऑन-प्रेम RADIUS सर्वर और साझा PSKs के सिरदर्द को जानते हैं। आज, हम ज़ीरो-ट्रस्ट नेटवर्क एक्सेस के बारे में बात कर रहे हैं, विशेष रूप से Azure Entra ID का उपयोग करके 802.1X सर्टिफिकेट-आधारित ऑथेंटिकेशन को कैसे लागू किया जाए। कोई फालतू बात नहीं, बस इसे डिप्लॉय करने की तकनीकी वास्तविकता। [TECHNICAL DEEP-DIVE - 5 MIN] Host: आइए सीधे आर्किटेक्चर में चलते हैं। स्टिकी नोट पर साझा पासवर्ड के साथ WPA2-Personal के दिन लद गए हैं। एक आधुनिक एंटरप्राइज़ में, चाहे आप रिटेल वातावरण में बैक-ऑफ़-हाउस संचालन को सुरक्षित कर रहे हों या अस्पताल में स्टाफ नेटवर्क को, आपको पहचान-संचालित (identity-driven) एक्सेस की आवश्यकता है। जब हम WiFi के लिए Azure Entra ID के बारे में बात करते हैं, तो हम मूल रूप से EAP-TLS के बारे में बात कर रहे हैं। वह है Extensible Authentication Protocol with Transport Layer Security। यह स्वर्ण मानक है। क्यों? क्योंकि यह सर्टिफिकेट पर निर्भर करता है, पासवर्ड पर नहीं। पासवर्ड को फ़िश किया जा सकता है, साझा किया जा सकता है, या ब्रूट-फोर्स किया जा सकता है। Intune के माध्यम से प्रबंधित डिवाइस से जुड़े सर्टिफिकेट के साथ ऐसा नहीं किया जा सकता। तो, ट्रैफ़िक कैसे प्रवाहित होता है? एक कॉर्पोरेट डिवाइस—मान लीजिए एक प्रबंधित लैपटॉप—कॉर्पोरेट SSID से कनेक्ट करने का प्रयास करता है। वायरलेस एक्सेस पॉइंट, ऑथेंटिकेटर के रूप में कार्य करते हुए, एक्सेस को ब्लॉक करता है और RADIUS के माध्यम से क्रेडेंशियल्स को आपके ऑथेंटिकेशन सर्वर को पास करता है। अब, Azure Entra ID मूल रूप से RADIUS नहीं बोलता है। यह महत्वपूर्ण आर्किटेक्चरल ब्रिज है। आपको एक क्लाउड RADIUS प्रदाता या Azure MFA एक्सटेंशन के साथ एक ऑन-प्रेम नेटवर्क पॉलिसी सर्वर (NPS) की आवश्यकता है। डिवाइस अपना क्लाइंट सर्टिफिकेट प्रस्तुत करता है। RADIUS सर्वर आपके सर्टिफिकेट अथॉरिटी के विरुद्ध उस सर्टिफिकेट को मान्य करता है—जिसे अक्सर Intune में SCEP के माध्यम से प्रबंधित किया जाता है। यदि सर्टिफिकेट वैध है, तो RADIUS सर्वर यह सुनिश्चित करने के लिए Azure Entra ID की जांच करता है कि उपयोगकर्ता खाता सक्रिय है, अक्षम नहीं है, और कंडीशनल एक्सेस नीतियों के अनुपालन में है। तभी RADIUS सर्वर AP को वापस Access-Accept संदेश भेजता है, जिससे उपयोगकर्ता सही VLAN पर आ जाता है। [IMPLEMENTATION RECOMMENDATIONS & PITFALLS - 2 MIN] Host: अब, डिप्लॉयमेंट कहाँ गलत होते हैं? मुझे तीन सामान्य कमियाँ दिखाई देती हैं। पहला: सर्टिफिकेट रिवोकेशन लिस्ट (CRL) की उपलब्धता। यदि आपका RADIUS सर्वर CRL तक नहीं पहुंच सकता है, तो ऑथेंटिकेशन विफल हो जाता है। सुनिश्चित करें कि आपके CRL एंडपॉइंट अत्यधिक उपलब्ध हैं और RADIUS इंफ्रास्ट्रक्चर से सुलभ हैं。 दूसरा: सप्लिकेंट कॉन्फ़िगरेशन। इसे अंतिम उपयोगकर्ता पर न छोड़ें। WiFi प्रोफाइल को पुश करने के लिए अपने MDM—Microsoft Intune, Workspace ONE, जो भी आप उपयोग करते हैं—का उपयोग करें। प्रोफाइल को स्पष्ट रूप से विश्वसनीय रूट CA को परिभाषित करना चाहिए और यह निर्दिष्ट करना चाहिए कि क्लाइंट को केवल आपके विशिष्ट RADIUS सर्वर नामों से कनेक्ट होना चाहिए। यदि आप ऐसा नहीं करते हैं, तो आप ईविल ट्विन (Evil Twin) हमलों के प्रति संवेदनशील हैं。 तीसरा: लिगेसी डिवाइस। IoT डिवाइस, पॉइंट-ऑफ़-सेल टर्मिनल, या वेयरहाउस में पुराने बारकोड स्कैनर अक्सर 802.1X या EAP-TLS का समर्थन नहीं करते हैं। आपको इन उपकरणों के लिए सख्त नेटवर्क अलगाव के साथ MAC ऑथेंटिकेशन बायपास (MAB) रणनीति या एक समर्पित प्री-शेयर्ड की नेटवर्क की योजना बनानी चाहिए। लिगेसी प्रिंटर के लिए अपने प्राथमिक कॉर्पोरेट SSID से समझौता न करें。 [RAPID-FIRE Q&A - 1 MIN] Host: आइए नेटवर्क आर्किटेक्ट्स से सुने जाने वाले कुछ त्वरित प्रश्नों पर आते हैं। प्रश्न एक: क्या हम Azure Entra ID के साथ PEAP-MSCHAPv2 का उपयोग कर सकते हैं? उत्तर: हाँ, NPS के माध्यम से, लेकिन Microsoft सक्रिय रूप से क्रेडेंशियल-आधारित ऑथेंटिकेशन को हटा रहा है। EAP-TLS पर जाएँ। यह अधिक सुरक्षित है और बेहतर उपयोगकर्ता अनुभव प्रदान करता है। प्रश्न दो: यह Purple के गेस्ट WiFi के साथ कैसे एकीकृत होता है? उत्तर: उन्हें अलग रखें। आपका कॉर्पोरेट नेटवर्क Azure Entra ID से जुड़े 802.1X का उपयोग करता है। आपका गेस्ट नेटवर्क एनालिटिक्स, शर्तों की स्वीकृति और मार्केटिंग डेटा कैप्चर के लिए Purple द्वारा संचालित Captive Portal के साथ एक ओपन SSID का उपयोग करता है। आप मेहमानों के निर्बाध रिटर्न विज़िट के लिए Purple के प्रोफाइल-आधारित ऑथेंटिकेशन का भी उपयोग कर सकते हैं, जिससे वह ट्रैफ़िक आपके कॉर्पोरेट डेटा से पूरी तरह अलग रहता है। [SUMMARY & NEXT STEPS - 1 MIN] Host: संक्षेप में: WiFi ऑथेंटिकेशन के लिए Azure Entra ID पर जाना ज़ीरो-ट्रस्ट आर्किटेक्चर की दिशा में एक बुनियादी कदम है। यह पासवर्ड रोटेशन हेल्पडेस्क टिकटों को समाप्त करता है, क्रेडेंशियल चोरी को कम करता है, और यह सुनिश्चित करता है कि केवल कंप्लायंट, प्रबंधित डिवाइस ही आपके आंतरिक नेटवर्क तक पहुंचें। आपका अगला कदम? अपने वर्तमान RADIUS इंफ्रास्ट्रक्चर का ऑडिट करें। यदि आप ऑन-प्रेम लिगेसी NPS चला रहे हैं, तो क्लाउड RADIUS समाधानों का मूल्यांकन करें जो सीधे Azure Entra ID और Intune के साथ एकीकृत होते हैं। अपनी सर्टिफिकेट डिप्लॉयमेंट रणनीति का खाका तैयार करें। इस तकनीकी ब्रीफिंग में शामिल होने के लिए धन्यवाद। अपने नेटवर्क को सुरक्षित करें, और हम आपसे अगली बार मिलेंगे।

header_image.png

कार्यकारी सारांश

जटिल वातावरण का प्रबंधन करने वाले CTOs और नेटवर्क आर्किटेक्ट्स के लिए—बड़े पैमाने के Hospitality स्थानों से लेकर गतिशील Retail स्थानों तक—कॉर्पोरेट नेटवर्क को सुरक्षित करना अब केवल मजबूत पासवर्ड तक सीमित नहीं है। लिगेसी प्री-शेयर्ड कीज़ (PSKs) और बुनियादी क्रेडेंशियल ऑथेंटिकेशन आधुनिक ज़ीरो-ट्रस्ट आर्किटेक्चर के साथ मौलिक रूप से असंगत हैं।

यह गाइड सीधे Azure Entra ID (पूर्व में Azure AD) के साथ एकीकृत 802.1X सर्टिफिकेट-आधारित WiFi ऑथेंटिकेशन में ट्रांज़िशन का विवरण देती है। EAP-TLS (Extensible Authentication Protocol with Transport Layer Security) पर जाकर, संगठन क्रेडेंशियल चोरी से जुड़े जोखिमों को समाप्त कर सकते हैं, मोबाइल डिवाइस मैनेजमेंट (MDM) के माध्यम से डिवाइस ऑनबोर्डिंग को स्वचालित कर सकते हैं, और यह सुनिश्चित कर सकते हैं कि केवल कंप्लायंट, प्रबंधित डिवाइस ही संवेदनशील कॉर्पोरेट VLANs तक पहुंच सकें। हम तकनीकी आर्किटेक्चर, डिप्लॉयमेंट के चरणों और यह कॉर्पोरेट सुरक्षा व्यवस्था Purple जैसे प्लेटफॉर्म द्वारा प्रबंधित गेस्ट नेटवर्क रणनीतियों के समानांतर कैसे चलती है, इसका पता लगाएंगे।

तकनीकी डीप-डाइव

क्रेडेंशियल्स से सर्टिफिकेट्स की ओर बदलाव

ऐतिहासिक रूप से, एंटरप्राइज़ WiFi PEAP-MSCHAPv2 पर निर्भर था, जिसमें उपयोगकर्ताओं को अपने डोमेन क्रेडेंशियल्स दर्ज करने की आवश्यकता होती थी। हालाँकि, Microsoft एडवर्सरी-इन-द-मिडिल (AiTM) हमलों के प्रति इसकी भेद्यता के कारण क्रेडेंशियल-आधारित ऑथेंटिकेशन को सक्रिय रूप से हटा रहा है। उद्योग मानक अब EAP-TLS है, जो म्यूचुअल सर्टिफिकेट ऑथेंटिकेशन का उपयोग करता है।

EAP-TLS डिप्लॉयमेंट में, RADIUS सर्वर और क्लाइंट डिवाइस दोनों डिजिटल सर्टिफिकेट प्रस्तुत करते हैं। यदि किसी डिवाइस में आपके विश्वसनीय सर्टिफिकेट अथॉरिटी (CA) द्वारा जारी किया गया वैध सर्टिफिकेट नहीं है, तो डिवाइस को IP एड्रेस मिलने से पहले ही RADIUS सर्वर कनेक्शन को अस्वीकार कर देता है।

architecture_overview.png

आर्किटेक्चरल ब्रिज: RADIUS और Entra ID

Azure Entra ID एक क्लाउड आइडेंटिटी प्रोवाइडर (IdP) है जो SAML और OIDC जैसे आधुनिक प्रोटोकॉल का उपयोग करता है; यह मूल रूप से RADIUS नहीं बोलता है, जो वायरलेस एक्सेस पॉइंट्स (WAPs) द्वारा उपयोग किया जाने वाला प्रोटोकॉल है। इस अंतर को पाटने के लिए, नेटवर्क आर्किटेक्ट्स को एक RADIUS सर्वर डिप्लॉय करना होगा जो Entra ID के साथ संचार कर सके। यह आमतौर पर इसके माध्यम से प्राप्त किया जाता है:

  1. क्लाउड RADIUS समाधान: उद्देश्य-निर्मित प्लेटफॉर्म (जैसे, SecureW2, SCEPman, या Portnox) जो APIs के माध्यम से सीधे Entra ID और Intune के साथ एकीकृत होते हैं।
  2. ऑन-प्रिमाइसेस नेटवर्क पॉलिसी सर्वर (NPS): Azure MFA एक्सटेंशन का उपयोग करते हुए, हालांकि क्लाउड-नेटिव RADIUS की तुलना में इसे तेजी से एक लिगेसी दृष्टिकोण के रूप में देखा जा रहा है。

eap_comparison_chart.png

इम्प्लीमेंटेशन गाइड

WiFi ऑथेंटिकेशन के लिए Azure Entra ID को डिप्लॉय करने के लिए आइडेंटिटी, डिवाइस मैनेजमेंट और नेटवर्क इंफ्रास्ट्रक्चर टीमों के बीच समन्वय की आवश्यकता होती है।

चरण 1: पब्लिक की इंफ्रास्ट्रक्चर (PKI) स्थापित करें

क्लाइंट और सर्वर सर्टिफिकेट जारी करने के लिए आपको एक CA स्थापित करना होगा। क्लाउड-फर्स्ट वातावरण में, यह अक्सर सिंपल सर्टिफिकेट एनरोलमेंट प्रोटोकॉल (SCEP) के माध्यम से Microsoft Intune के साथ एकीकृत एक क्लाउड PKI होता है।

चरण 2: RADIUS सर्वर कॉन्फ़िगर करें

अपना RADIUS इंफ्रास्ट्रक्चर डिप्लॉय करें और इसे अपने Entra ID टेनेंट से बाइंड करें। EAP हैंडशेक के दौरान अपनी पहचान साबित करने के लिए, RADIUS सर्वर को अपने स्वयं के सर्वर सर्टिफिकेट की आवश्यकता होती है, जिस पर आपके क्लाइंट डिवाइस भरोसा करते हों।

चरण 3: Intune के माध्यम से MDM प्रोफाइल डिप्लॉय करें

उपयोगकर्ताओं पर अपनी WiFi सेटिंग्स को मैन्युअल रूप से कॉन्फ़िगर करने के लिए निर्भर न रहें। एक व्यापक WiFi प्रोफाइल पुश करने के लिए Intune का उपयोग करें जिसमें शामिल हैं:

  • विश्वसनीय रूट CA सर्टिफिकेट।
  • क्लाइंट सर्टिफिकेट का अनुरोध करने के लिए SCEP प्रोफाइल।
  • स्वयं WiFi कॉन्फ़िगरेशन, जो ईविल ट्विन (Evil Twin) हमलों को रोकने के लिए SSID और आपके RADIUS इंफ्रास्ट्रक्चर के सटीक सर्वर नामों को स्पष्ट रूप से परिभाषित करता है।

चरण 4: वायरलेस लैन कंट्रोलर (WLC) कॉन्फ़िगर करें

WPA2/WPA3-Enterprise (802.1X) का उपयोग करने के लिए अपने एक्सेस पॉइंट्स या WLC को कॉन्फ़िगर करें। ऑथेंटिकेशन और अकाउंटिंग ट्रैफ़िक को अपने नए RADIUS सर्वर IP एड्रेस पर पॉइंट करें और साझा RADIUS सीक्रेट्स कॉन्फ़िगर करें।

> "802.1X कॉन्फ़िगर करते समय, सुनिश्चित करें कि WLC पर आपके RADIUS टाइमआउट मान क्लाउड-आधारित सर्टिफिकेट वैलिडेशन की लेटेंसी को संभालने के लिए पर्याप्त हैं, जो आमतौर पर 2 सेकंड से बढ़कर 5 सेकंड हो जाते हैं।" [1]

सर्वोत्तम प्रथाएँ

  • कॉर्पोरेट और गेस्ट ट्रैफ़िक को अलग करें: कॉर्पोरेट डिवाइस को Entra ID से जुड़े 802.1X का उपयोग करना चाहिए। गेस्ट डिवाइस को Captive Portal के साथ एक ओपन SSID का उपयोग करना चाहिए। मजबूत गेस्ट एक्सेस और एनालिटिक्स के लिए, Guest WiFi समाधानों का लाभ उठाएं। यह अविश्वसनीय ट्रैफ़िक का पूर्ण अलगाव सुनिश्चित करता है।
  • MAC ऑथेंटिकेशन बायपास (MAB) को सावधानीपूर्वक लागू करें: IoT डिवाइस और लिगेसी हार्डवेयर (जैसे, Transport हब में पुराने स्कैनर) अक्सर 802.1X का समर्थन नहीं कर सकते हैं। इन्हें MAB या एक समर्पित PSK का उपयोग करके एक अलग SSID पर रखें, और सख्त ACLs के माध्यम से उनके नेटवर्क एक्सेस को प्रतिबंधित करें।
  • सर्टिफिकेट रिवोकेशन को प्राथमिकता दें: सुनिश्चित करें कि आपके सर्टिफिकेट रिवोकेशन लिस्ट (CRL) या ऑनलाइन सर्टिफिकेट स्टेटस प्रोटोकॉल (OCSP) एंडपॉइंट्स अत्यधिक उपलब्ध हैं। यदि RADIUS सर्वर रिवोकेशन स्थिति को सत्यापित नहीं कर सकता है, तो ऑथेंटिकेशन विफल हो जाएगा।

ट्रबलशूटिंग और जोखिम न्यूनीकरण

जब डिप्लॉयमेंट विफल होते हैं, तो शायद ही कभी क्लाउड IdP की गलती होती है। सामान्य विफलता मोड में शामिल हैं:

  • क्लॉक स्क्यू (Clock Skew): EAP-TLS समय के प्रति अत्यधिक संवेदनशील है। सुनिश्चित करें कि सभी इंफ्रास्ट्रक्चर घटक, विशेष रूप से WLC और RADIUS सर्वर, NTP के माध्यम से सिंक्रनाइज़ हैं。
  • Intune सिंक में देरी: जब कोई नया डिवाइस एनरोल किया जाता है, तो SCEP सर्टिफिकेट जारी होने और डिवाइस द्वारा कनेक्शन का प्रयास करने में समय लग सकता है। ऑनबोर्डिंग के दौरान इस लेटेंसी के लिए योजना बनाएं。
  • Radius सर्वर नाम बेमेल: यदि Intune WiFi प्रोफाइल में परिभाषित सर्वर नाम RADIUS सर्वर के सर्टिफिकेट पर कॉमन नेम (CN) या सब्जेक्ट अल्टरनेटिव नेम (SAN) से बिल्कुल मेल नहीं खाता है, तो क्लाइंट दुष्ट (rogue) APs से बचाव के लिए चुपचाप कनेक्शन को ड्रॉप कर देगा।

अपने इंफ्रास्ट्रक्चर को सुरक्षित करने के बारे में अधिक जानकारी के लिए, मजबूत DNS और सुरक्षा के साथ अपने नेटवर्क की रक्षा कैसे करें पर हमारी गाइड देखें।

ROI और व्यावसायिक प्रभाव

Azure Entra ID WiFi ऑथेंटिकेशन में ट्रांज़िशन मापने योग्य रिटर्न प्रदान करता है:

  1. हेल्पडेस्क ओवरहेड में कमी: पासवर्ड-आधारित ऑथेंटिकेशन को समाप्त करने से पासवर्ड लॉकआउट और WiFi क्रेडेंशियल अपडेट से संबंधित टिकटों में भारी कमी आती है।
  2. अनुपालन (Compliance) में तेजी: EAP-TLS PCI DSS और ISO 27001 जैसे फ्रेमवर्क द्वारा आवश्यक पहचान का क्रिप्टोग्राफ़िक प्रमाण प्रदान करता है, जो Healthcare और रिटेल वातावरण के लिए महत्वपूर्ण है।
  3. स्वचालित ऑफबोर्डिंग: जब कोई कर्मचारी छोड़ता है, तो Entra ID में उनके खाते को अक्षम करने से सभी स्थानों पर उनका नेटवर्क एक्सेस तुरंत रद्द हो जाता है, जिससे अंदरूनी खतरों को कम किया जा सकता है।

कॉर्पोरेट बैकबोन को सुरक्षित करके, IT टीमें राजस्व-उत्पन्न करने वाली पहलों पर ध्यान केंद्रित कर सकती हैं, जैसे कि आगंतुक व्यवहार को समझने और जुड़ाव बढ़ाने के लिए WiFi Analytics का लाभ उठाना।

संदर्भ

[1] Microsoft Learn. (2023). Intune और EAP-TLS के साथ सुरक्षित Wi-Fi एक्सेस

मुख्य परिभाषाएं

802.1X

पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल के लिए एक IEEE मानक, जिसमें उपकरणों को LAN या WLAN तक पहुंच प्राप्त करने से पहले ऑथेंटिकेट करने की आवश्यकता होती है।

यह वह अंतर्निहित प्रोटोकॉल है जो एंटरप्राइज़ WiFi को सुरक्षित बनाता है, जो साधारण साझा पासवर्ड से आगे बढ़ता है।

EAP-TLS

Extensible Authentication Protocol with Transport Layer Security। एक ऑथेंटिकेशन विधि जिसमें क्लाइंट और सर्वर दोनों पर डिजिटल सर्टिफिकेट की आवश्यकता होती है।

WiFi ऑथेंटिकेशन के लिए सबसे सुरक्षित तरीका माना जाता है, जो क्रेडेंशियल चोरी और AiTM हमलों को रोकता है।

RADIUS

Remote Authentication Dial-In User Service। एक नेटवर्किंग प्रोटोकॉल जो केंद्रीकृत ऑथेंटिकेशन, ऑथराइजेशन और अकाउंटिंग (AAA) प्रदान करता है।

वह प्रोटोकॉल जिसका उपयोग आपके एक्सेस पॉइंट ऑथेंटिकेशन सर्वर से पूछने के लिए करते हैं, 'क्या मुझे इस डिवाइस को नेटवर्क पर आने देना चाहिए?'

SCEP

Simple Certificate Enrollment Protocol। नेटवर्क उपकरणों को सुरक्षित रूप से सर्टिफिकेट जारी करने के लिए उपयोग किया जाने वाला एक प्रोटोकॉल।

Intune जैसे MDM प्लेटफॉर्म द्वारा कॉर्पोरेट लैपटॉप और फोन पर क्लाइंट सर्टिफिकेट का चुपचाप अनुरोध करने और इंस्टॉल करने के लिए उपयोग किया जाता है।

MAC Authentication Bypass (MAB)

उपयोगकर्ता नाम या सर्टिफिकेट के बजाय डिवाइस के MAC एड्रेस के आधार पर नेटवर्क एक्सेस प्रदान करने की एक विधि।

लिगेसी उपकरणों (जैसे पुराने प्रिंटर या IoT सेंसर) के लिए फ़ॉलबैक के रूप में उपयोग किया जाता है जिनमें 802.1X हैंडशेक करने के लिए सॉफ़्टवेयर का अभाव होता है।

Evil Twin Attack

एक दुष्ट एक्सेस पॉइंट जो ट्रैफ़िक को इंटरसेप्ट करने या क्रेडेंशियल चुराने के लिए वैध कॉर्पोरेट SSID का रूप धारण करता है।

EAP-TLS इसे कम करता है क्योंकि क्लाइंट डिवाइस को केवल वैध कॉर्पोरेट RADIUS सर्वर के विशिष्ट सर्टिफिकेट पर भरोसा करने के लिए कॉन्फ़िगर किया गया है।

Supplicant

एंडपॉइंट डिवाइस पर सॉफ़्टवेयर क्लाइंट (उदा., Windows WiFi मैनेजर) जो 802.1X ऑथेंटिकेशन प्रक्रिया को संभालता है।

IT टीमों को यह सुनिश्चित करने के लिए MDM के माध्यम से सप्लिकेंट को कॉन्फ़िगर करना चाहिए कि यह सुरक्षित रूप से व्यवहार करे और उपयोगकर्ताओं को अविश्वसनीय सर्वर सर्टिफिकेट स्वीकार करने के लिए प्रेरित न करे।

Conditional Access

Azure Entra ID नीतियां जो एक्सेस निर्णय लेने के लिए सिग्नल (उपयोगकर्ता, स्थान, डिवाइस अनुपालन) का मूल्यांकन करती हैं।

आधुनिक क्लाउड RADIUS समाधान WiFi हैंडशेक के दौरान कंडीशनल एक्सेस की जांच कर सकते हैं, यदि Intune डिवाइस को गैर-अनुपालन (non-compliant) के रूप में फ़्लैग करता है तो नेटवर्क एक्सेस से इनकार कर सकते हैं।

हल किए गए उदाहरण

एक 500-साइट वाली रिटेल चेन को इन्वेंट्री प्रबंधन के लिए उपयोग किए जाने वाले बैक-ऑफ़-हाउस iPads को सुरक्षित करने की आवश्यकता है। वर्तमान में, वे सभी स्टोरों में एक ही साझा PSK का उपयोग करते हैं। उन्हें Azure Entra ID ऑथेंटिकेशन में कैसे माइग्रेट करना चाहिए?

  1. सभी iPads को Microsoft Intune में एनरोल करें।
  2. कॉर्पोरेट Entra ID टेनेंट के साथ एकीकृत एक क्लाउड RADIUS समाधान डिप्लॉय करें।
  3. प्रत्येक iPad पर SCEP सर्टिफिकेट डिप्लॉय करने के लिए Intune को कॉन्फ़िगर करें।
  4. Intune के माध्यम से एक WiFi प्रोफाइल पुश करें जो क्लाउड RADIUS सर्वर के सर्टिफिकेट को मान्य करते हुए, EAP-TLS का उपयोग करके 'Corporate-BOH' SSID से कनेक्ट करने के लिए iPads को कॉन्फ़िगर करता है।
  5. 'Corporate-BOH' SSID के लिए क्लाउड RADIUS IP एड्रेस को पॉइंट करने के लिए सभी 500 स्टोरों में Meraki/Aruba एक्सेस पॉइंट्स को अपडेट करें।
  6. चरणबद्ध रोलआउट: नया SSID सक्षम करें, Intune रिपोर्टिंग के माध्यम से iPad कनेक्टिविटी सत्यापित करें, फिर लिगेसी PSK SSID को डिकमीशन करें।
परीक्षक की टिप्पणी: यह दृष्टिकोण साझा PSK को समाप्त करता है, जो डिवाइस चोरी होने पर एक बड़ा सुरक्षा जोखिम है। EAP-TLS और Intune का उपयोग करके, ऑथेंटिकेशन डिवाइस की प्रबंधन स्थिति से जुड़ जाता है। यदि कोई iPad खो जाता है, तो IT टीम बस सर्टिफिकेट को रद्द कर देती है या Intune में डिवाइस को वाइप कर देती है, जिससे अन्य 499 स्टोरों को प्रभावित किए बिना नेटवर्क एक्सेस तुरंत कट जाता है।

एक विश्वविद्यालय परिसर ऑन-प्रेम एक्टिव डायरेक्टरी से Azure Entra ID में माइग्रेट कर रहा है। उनके पास हजारों BYOD (Bring Your Own Device) छात्र लैपटॉप हैं जो वर्तमान में PEAP-MSCHAPv2 (उपयोगकर्ता नाम और पासवर्ड) का उपयोग करके कनेक्ट होते हैं। वे क्लाउड-फर्स्ट Entra ID वातावरण में BYOD को कैसे संभालते हैं?

  1. एक ऑनबोर्डिंग पोर्टल डिप्लॉय करें (जैसे, SecureW2 JoinNow या समान BYOD ऑनबोर्डिंग टूल)।
  2. छात्र एक ओपन 'Onboarding' SSID से जुड़ते हैं, जो उन्हें पोर्टल पर रीडायरेक्ट करता है।
  3. पोर्टल छात्र को Azure Entra ID (उनके विश्वविद्यालय ईमेल और MFA का उपयोग करके) के विरुद्ध ऑथेंटिकेट करने के लिए प्रेरित करता है।
  4. सफल ऑथेंटिकेशन पर, पोर्टल एक अद्वितीय क्लाइंट सर्टिफिकेट उत्पन्न करता है और स्वचालित रूप से EAP-TLS के लिए छात्र के डिवाइस को कॉन्फ़िगर करता है।
  5. डिवाइस नए सर्टिफिकेट का उपयोग करके स्वचालित रूप से सुरक्षित 'Edu-Secure' SSID से जुड़ जाता है।
परीक्षक की टिप्पणी: अप्रबंधित BYOD उपकरणों के लिए सर्टिफिकेट प्रबंधित करना 802.1X का सबसे कठिन हिस्सा है। आप Intune का उपयोग नहीं कर सकते क्योंकि विश्वविद्यालय के पास लैपटॉप का स्वामित्व नहीं है। ऑनबोर्डिंग पोर्टल का उपयोग इस अंतर को पाटता है, जिससे IT को हजारों छात्र लैपटॉप को मैन्युअल रूप से छुए बिना सुरक्षित EAP-TLS के उपयोग की अनुमति मिलती है।

अभ्यास प्रश्न

Q1. आपका संगठन Azure Entra ID और Intune में माइग्रेट कर रहा है। आप वर्तमान में WiFi के लिए PEAP-MSCHAPv2 का उपयोग करते हैं। सुरक्षा टीम यह अनिवार्य करती है कि WiFi ऑथेंटिकेशन क्रेडेंशियल चोरी के प्रति प्रतिरोधी होना चाहिए। आपको कौन सी EAP विधि डिप्लॉय करनी चाहिए?

संकेत: कौन सी विधि पासवर्ड के बजाय पूरी तरह से सर्टिफिकेट पर निर्भर करती है?

मॉडल उत्तर देखें

आपको EAP-TLS डिप्लॉय करना चाहिए। EAP-TLS म्यूचुअल सर्टिफिकेट ऑथेंटिकेशन का उपयोग करता है, जिसका अर्थ है कि क्लाइंट डिवाइस को आपके PKI द्वारा जारी एक वैध सर्टिफिकेट प्रस्तुत करना होगा। क्योंकि यह पासवर्ड का उपयोग नहीं करता है, यह क्रेडेंशियल चोरी और एडवर्सरी-इन-द-मिडिल हमलों के प्रति अत्यधिक प्रतिरोधी है।

Q2. Intune के माध्यम से EAP-TLS डिप्लॉय करने के बाद, उपयोगकर्ता रिपोर्ट करते हैं कि वे WiFi से कनेक्ट नहीं हो सकते हैं। RADIUS लॉग को देखने पर, आपको 'Certificate Revocation Check Failed' दिखाई देता है। इसका सबसे संभावित कारण क्या है?

संकेत: यह सत्यापित करने के लिए कि सर्टिफिकेट से समझौता नहीं किया गया है, RADIUS सर्वर को किस इंफ्रास्ट्रक्चर के साथ संचार करना चाहिए?

मॉडल उत्तर देखें

RADIUS सर्वर आपके सर्टिफिकेट अथॉरिटी के सर्टिफिकेट रिवोकेशन लिस्ट (CRL) या OCSP एंडपॉइंट तक पहुंचने में असमर्थ है। सुनिश्चित करें कि फ़ायरवॉल RADIUS सर्वर को क्लाइंट सर्टिफिकेट में निर्दिष्ट HTTP URLs तक आउटबाउंड एक्सेस की अनुमति देते हैं।

Q3. एक अस्पताल को 50 लिगेसी हार्ट-रेट मॉनिटर को नेटवर्क से कनेक्ट करने की आवश्यकता है। ये डिवाइस केवल WPA2-Personal (प्री-शेयर्ड की) का समर्थन करते हैं और इन्हें Intune में एनरोल नहीं किया जा सकता है। कॉर्पोरेट लैपटॉप के लिए अपने Entra ID 802.1X डिप्लॉयमेंट को बनाए रखते हुए आपको उन्हें कैसे सुरक्षित करना चाहिए?

संकेत: एक ही SSID पर ऑथेंटिकेशन प्रकारों को न मिलाएं।

मॉडल उत्तर देखें

विशेष रूप से मेडिकल IoT उपकरणों के लिए एक समर्पित, अलग SSID बनाएं। एक मजबूत, अद्वितीय प्री-शेयर्ड की (या आइडेंटिटी PSK/iPSK यदि आपके नेटवर्क वेंडर द्वारा समर्थित हो) या MAC ऑथेंटिकेशन बायपास (MAB) का उपयोग करें। महत्वपूर्ण रूप से, इस SSID को सख्त एक्सेस कंट्रोल लिस्ट (ACLs) के साथ अत्यधिक प्रतिबंधित VLAN पर रखें जो केवल मॉनिटरों को उनके विशिष्ट मेडिकल सर्वर के साथ संचार करने की अनुमति देता है, अन्य सभी लेटरल नेटवर्क एक्सेस को अवरुद्ध करता है।

इस श्रृंखला में आगे पढ़ें

विक्रेता द्वारा प्रति-डिवाइस PSK: iPSK, DPSK, MPSK और PPSK की तुलना (और WPA3 सपोर्ट)

Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet, और Ubiquiti UniFi में प्रति-डिवाइस PSK इम्प्लीमेंटेशन की एक व्यापक तुलना। जानें कि WPA3-SAE प्रति-डिवाइस की (key) रणनीतियों को कैसे प्रभावित करता है और कब ट्रांज़िशन मोड को तैनात करना चाहिए बनाम 802.1X पर जाना चाहिए।

गाइड पढ़ें →

कैप्टिव पोर्टल प्रमाणीकरण विधियों की तुलना

यह आधिकारिक तकनीकी संदर्भ गाइड पांच मुख्य कैप्टिव पोर्टल प्रमाणीकरण विधियों के आर्किटेक्चरल, परिचालन और अनुपालन से जुड़े समझौतों (trade-offs) का मूल्यांकन करती है। यह नेटवर्क आर्किटेक्ट्स, IT निदेशकों और मार्केटिंग प्रबंधकों को एंटरप्राइज वेन्यू में डेटा-संग्रह आवश्यकताओं के साथ गेस्ट ऑनबोर्डिंग घर्षण को संतुलित करने के लिए आवश्यक मात्रात्मक डेटा और निर्णय ढांचे प्रदान करती है।

गाइड पढ़ें →

MAC एड्रेस ऑथेंटिकेशन क्या है? इसका उपयोग कब करें और इससे कब बचें

यह आधिकारिक तकनीकी संदर्भ गाइड एंटरप्राइज़ WiFi वातावरण में MAC एड्रेस ऑथेंटिकेशन को कवर करती है — कैसे RADIUS-आधारित MAC ऑथेंटिकेशन लेयर 2 पर काम करता है, इसकी अंतर्निहित सुरक्षा कमजोरियां (जिसमें MAC स्पूफिंग और OS-स्तरीय MAC रैंडमाइजेशन का प्रभाव शामिल है), और सटीक परिचालन संदर्भ जहां यह IoT और हेडलेस डिवाइसों के प्रबंधन के लिए एक वैध उपकरण बना हुआ है। यह हॉस्पिटैलिटी, रिटेल, हेल्थकेयर और सार्वजनिक क्षेत्र के परिसरों में IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए व्यावहारिक परिनियोजन मार्गदर्शन प्रदान करता है, जिसमें वास्तविक दुनिया के व्यावहारिक उदाहरण, निर्णय ढांचे और Purple के गेस्ट WiFi और एनालिटिक्स प्लेटफॉर्म के लिए एकीकरण संदर्भ शामिल हैं।

गाइड पढ़ें →