मुख्य सामग्री पर जाएं

अधिकतम नेटवर्क सुरक्षा और उपयोगकर्ता रूपांतरण के लिए Captive Portals को कैसे ऑप्टिमाइज़ करें

यह गाइड एंटरप्राइज़ स्थानों पर captive portals को ऑप्टिमाइज़ करने के लिए एक संपूर्ण तकनीकी खाका प्रदान करता है, जिसमें नेटवर्क सेगमेंटेशन आर्किटेक्चर, प्रमाणीकरण विधि चयन, GDPR-अनुरूप सहमति डिज़ाइन और रूपांतरण ऑप्टिमाइज़ेशन शामिल हैं। यह होटल, रिटेल चेन, स्टेडियम और सार्वजनिक क्षेत्र के संगठनों के IT प्रबंधकों, नेटवर्क आर्किटेक्ट्स और CTOs के लिए लिखा गया है जिन्हें फ़र्स्ट-पार्टी डेटा कैप्चर के साथ नेटवर्क सुरक्षा को संतुलित करने की आवश्यकता है। Purple 2024 में 440 मिलियन लॉगिन के साथ 80,000+ स्थानों पर captive portal इन्फ्रास्ट्रक्चर संचालित करता है, और यहाँ दिए गए फ्रेमवर्क उसी परिचालन अनुभव को दर्शाते हैं।

📖 10 मिनट का पाठ📝 2,314 शब्द🔧 2 हल किए गए उदाहरण4 अभ्यास प्रश्न📚 9 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें
Purple Technical Briefing में आपका स्वागत है। आज हम captive portals का विश्लेषण कर रहे हैं। विशेष रूप से, अधिकतम नेटवर्क सुरक्षा और उपयोगकर्ता रूपांतरण (user conversion) के लिए उन्हें कैसे अनुकूलित किया जाए। यदि आप किसी होटल समूह, एक रिटेल चेन या बड़े सार्वजनिक स्थल के लिए IT प्रबंधित करते हैं, तो captive portal आपका मुख्य प्रवेश द्वार है। यह वह चौराहा है जहां नेटवर्क सुरक्षा और मार्केटिंग संचालन मिलते हैं। इसे सही तरीके से स्थापित करें, और आप सत्यापित संपर्कों का first-party डेटाबेस बनाते हुए अपने नेटवर्क को सुरक्षित करते हैं। इसे गलत तरीके से स्थापित करें, और आप उपयोगकर्ताओं को निराश करते हैं, अनुपालन (compliance) तोड़ते हैं, और अपने नेटवर्क को असुरक्षित छोड़ देते हैं। आइए आर्किटेक्चर से शुरुआत करें। एक captive portal केवल एक वेब पेज नहीं है। यह नेटवर्क सेगमेंटेशन की एक प्रणाली है। जब कोई अतिथि डिवाइस आपके SSID से जुड़ता है, तो आपका एक्सेस पॉइंट, चाहे वह Cisco Meraki, HPE Aruba, Ruckus, या Juniper Mist हो, उस डिवाइस को एक क्वारंटाइन VLAN में रख देता है। इस क्वारंटाइन स्थिति में, डिवाइस के पास कोई इंटरनेट एक्सेस नहीं होता है। एक फ़ायरवॉल DNS प्रश्नों और अनुमत गंतव्यों की एक विशिष्ट सूची को छोड़कर बाकी सब कुछ ब्लॉक कर देता है, जिसे walled garden के रूप में जाना जाता है। यह walled garden अत्यंत महत्वपूर्ण है। इसमें पोर्टल URL और लॉगिन के लिए आवश्यक कोई भी बाहरी सेवाएँ शामिल होनी चाहिए, जैसे कि Google के प्रमाणीकरण सर्वर या आपका पेमेंट गेटवे। यदि आपका walled garden गलत तरीके से कॉन्फ़िगर किया गया है, तो पोर्टल लोड नहीं होगा। यह फ़ील्ड में विफलता का नंबर एक कारण है। एक बार जब उपयोगकर्ता लॉगिन पूरा कर लेता है, तो पोर्टल आपके RADIUS सर्वर के साथ संचार करता है। RADIUS का अर्थ Remote Authentication Dial-In User Service है। यह एंटरप्राइज़ नेटवर्क पर केंद्रीकृत प्रमाणीकरण के लिए मानक प्रोटोकॉल है। पोर्टल एक Change of Authorisation संदेश भेजता है, जिसे CoA के रूप में जाना जाता है। यह एक्सेस कंट्रोलर को बताता है: यह डिवाइस प्रमाणित है, क्वारंटाइन हटा दें। इसके बाद डिवाइस को प्रोडक्शन VLAN में स्थानांतरित कर दिया जाता है, और इंटरनेट एक्सेस प्रदान कर दिया जाता है। यह सेगमेंटेशन सुनिश्चित करता है कि अप्रमाणित डिवाइस आपके नेटवर्क की जाँच नहीं कर सकते हैं या आपके पॉइंट-ऑफ-सेल सिस्टम तक नहीं पहुँच सकते हैं। यदि आप PCI-DSS दायरे वाले वातावरण में काम कर रहे हैं, जिसका अर्थ है कि आपके पास उसी भौतिक बुनियादी ढांचे पर कार्ड भुगतान टर्मिनल हैं, तो यह अलगाव वैकल्पिक नहीं है। यह एक अनुपालन आवश्यकता है। अब आइए रूपांतरण (conversion) के बारे में बात करते हैं। captive portal एक मुख्य बिंदु (choke point) है। कनेक्ट होने वाला प्रत्येक डिवाइस इससे होकर गुजरता है। यह इसे आपके स्थल में सबसे मूल्यवान मार्केटिंग सतहों में से एक बनाता है। लेकिन यह नाजुक भी है। आपके लॉगिन फ़ॉर्म में जोड़ने वाला प्रत्येक फ़ील्ड आपकी रूपांतरण दर (conversion rate) को लगभग दस प्रतिशत तक कम कर देता है। यदि आप एक साधारण क्लिक-थ्रू पोर्टल तैनात करते हैं, जहाँ उपयोगकर्ता केवल शर्तों को स्वीकार करता है और कनेक्ट होता है, तो आप नब्बे प्रतिशत से अधिक रूपांतरण दर देखेंगे। लेकिन आप लगभग कोई डेटा एकत्र नहीं करते हैं। यदि आप एक ईमेल पते की मांग करते हैं, तो रूपांतरण घटकर लगभग सत्तर प्रतिशत रह जाता है। यदि आप नाम, ईमेल, फ़ोन और पोस्टकोड के साथ एक पूरा फ़ॉर्म मांगते हैं, तो आप भाग्यशाली होंगे यदि चालीस प्रतिशत लोग भी इसे पूरा करें। इसलिए आपको अपने स्थल और अपने उद्देश्यों के लिए सही तरीका चुनना होगा। मुझे आपको पाँच मुख्य विकल्पों के बारे में बताने दें। Click-through सबसे कम घर्षण (friction) वाला विकल्प है। यह सार्वजनिक क्षेत्र के स्थानों, NHS प्रतीक्षा कक्षों, पुस्तकालयों और काउंसिल भवनों के लिए सही है। आपका उद्देश्य सार्वजनिक WiFi से मार्केटिंग डेटाबेस बनाना नहीं है, और उस संदर्भ में व्यक्तिगत डेटा एकत्र करने का अनुपालन ओवरहेड (compliance overhead) महत्वपूर्ण होता है। Email capture गेस्ट WiFi मार्केटिंग का सबसे मुख्य साधन है। यह हॉस्पिटैलिटी, रिटेल और इवेंट्स के लिए सबसे सही डिफ़ॉल्ट विकल्प है। आपको सीधे मालिकाना हक वाला ईमेल पता मिलता है, तीसरे पक्ष के प्लेटफ़ॉर्म पर कोई निर्भरता नहीं होती, और GDPR के उद्देश्यों के लिए एक स्पष्ट डेटा ट्रेल मिलता है। Google, Apple और LinkedIn को कवर करने वाला OAuth के माध्यम से सोशल लॉगिन, घर्षण को कम करता है और पहचान प्रदाता (identity provider) से सत्यापित डेटा प्रदान करता है। यह उपभोक्ता-सामना वाले (consumer-facing) वातावरण में अच्छी तरह काम करता है। लेकिन इसमें एक निर्भरता जोखिम है। यदि कोई प्रदाता अपनी API शर्तों को बदलता है, तो आपका प्रमाणीकरण प्रवाह (authentication flow) बाधित हो जाता है। सोशल लॉगिन के साथ हमेशा कम से कम एक गैर-OAuth विधि को ज़रूर तैनात करें। डेटा गुणवत्ता के लिए SMS वन-टाइम पासकोड सर्वोत्कृष्ट मानक है। लॉयल्टी योजनाओं और समय-संवेदनशील संचार के लिए एक सत्यापित मोबाइल नंबर एक असत्यापित ईमेल पते की तुलना में काफी अधिक मूल्यवान है। इसके बदले में आपको कम रूपांतरण (conversion) - लगभग पचास प्रतिशत - और प्रति-संदेश लागत का समझौता करना पड़ता है। प्रति इवेंट पचास हजार लॉगिन प्रोसेस करने वाले स्टेडियम में, यह एक ऐसा खर्च है जिसे आपको अपने बिजनेस केस में शामिल करना होगा। फुल फॉर्म रजिस्ट्रेशन आपको सबसे समृद्ध डेटा देता है लेकिन इसमें रूपांतरण सबसे कम होता है। यह वहां समझदारी भरा है जहां डेटा का वास्तव में उपयोग किया जाता है, जैसे कि एक होटल समूह जो मेहमानों की प्रोफाइल को पहले से भर रहा है या एक स्वास्थ्य सेवा प्रदाता जो मरीज की प्राथमिकताओं को दर्ज कर रहा है। अब बात करते हैं अनुपालन (compliance) की। यही वह जगह है जहां अधिकांश सेटअप गलत हो जाते हैं। GDPR के तहत, आपको कनेक्शन को डेटा संग्रह से अलग करना होगा। आप वैध हित (legitimate interest) के आधार पर नेटवर्क एक्सेस प्रदान कर सकते हैं। लेकिन आप मार्केटिंग ईमेल भेजने के लिए उसी औचित्य का उपयोग नहीं कर सकते। मार्केटिंग के लिए स्पष्ट, सकारात्मक सहमति की आवश्यकता होती है। पहले से टिक किए गए बॉक्स का उपयोग न करें। मार्केटिंग ऑप्ट-इन के लिए एक स्पष्ट, अलग चेकबॉक्स प्रदान करें। चेकबॉक्स डिफ़ॉल्ट रूप से अनटिक होना चाहिए। यदि आप नेटवर्क एक्सेस की शर्तों को मार्केटिंग सहमति के साथ एक ही चेकबॉक्स में बंडल करते हैं, तो आप UK GDPR का उल्लंघन कर रहे हैं। आपकी कानूनी टीम को सालों तक इसके परिणामों से निपटना होगा। आइए मैं आपको दो वास्तविक दुनिया के परिदृश्य देता हूँ। पहला, HPE Aruba एक्सेस पॉइंट्स का उपयोग करने वाला एक दो सौ कमरों का होटल टियर्ड (tiered) WiFi प्रदान करना चाहता है। सामान्य मेहमानों के लिए बुनियादी मुफ्त पहुंच, और लॉयल्टी सदस्यों के लिए हाई-स्पीड पहुंच। इसके लिए सही दृष्टिकोण PMS (Property Management System) के साथ API के माध्यम से एकीकृत एक सिंगल गेस्ट SSID है। पोर्टल दो विकल्प प्रस्तुत करता है: कमरा नंबर और नाम के साथ लॉग इन करें, या लॉयल्टी क्रेडेंशियल्स के साथ लॉग इन करें। जब कोई लॉयल्टी सदस्य प्रमाणित होता है, तो पोर्टल PMS से पूछताछ करता है, टियर की पुष्टि करता है, और Aruba कंट्रोलर को एक RADIUS Change of Authorisation भेजता है जिसमें हाई-बैंडविड्थ भूमिका असाइन करने वाली विक्रेता-विशिष्ट विशेषता (vendor-specific attribute) शामिल होती है। सामान्य मेहमानों को एक रेट-लिमिटेड डिफ़ॉल्ट भूमिका मिलती है। एक SSID, गतिशील नीति (dynamic policy), और साफ-सुथरा उपयोगकर्ता अनुभव।दूसरा, पांच सौ स्थानों वाली एक राष्ट्रीय रिटेल चेन मार्केटिंग के लिए ईमेल पते कैप्चर करना चाहती है। कानूनी टीम GDPR को लेकर चिंतित है। पोर्टल का डिज़ाइन बिल्कुल सीधा है। एक सिंगल ईमेल इनपुट फ़ील्ड। इसके नीचे दो चेकबॉक्स। पहला चेकबॉक्स, जो अनिवार्य है, उसमें लिखा है: मैं नेटवर्क एक्सेस के लिए Terms of Service और Privacy Policy स्वीकार करता हूँ। दूसरा चेकबॉक्स, जो वैकल्पिक है और डिफ़ॉल्ट रूप से अनटिक है, उसमें लिखा है: मैं मार्केटिंग कम्युनिकेशन्स और विशेष ऑफ़र प्राप्त करने के लिए सहमति देता हूँ। बैकएंड प्रत्येक उपयोगकर्ता के लिए टाइमस्टैम्प, IP एड्रेस और सहमति इवेंट को लॉग करता है। एक साफ ऑडिट ट्रेल, स्पष्ट कानूनी आधार, और डिज़ाइन द्वारा अनुपालन (compliant by design)। आइए अब सामान्य विफलता मोड (failure modes) पर चर्चा करें। सबसे आम समस्या पोर्टल का दिखाई न देना है। यह लगभग हमेशा वॉल्ड गार्डन (walled garden) के कारण होता है। डिवाइस का ऑपरेटिंग सिस्टम एक ज्ञात URL पर कैप्टिविटी प्रोब भेजता है, जैसे कि iOS डिवाइस के लिए captive.apple.com। यदि आपका फ़ायरवॉल उस डोमेन को ब्लॉक करता है, तो OS यह पता नहीं लगा सकता कि वह एक कैप्टिव नेटवर्क पर है, और पोर्टल कभी लॉन्च नहीं होता है। हर बार, सबसे पहले अपने वॉल्ड गार्डन की जाँच करें। दूसरी समस्या MAC एड्रेस रैंडमाइजेशन (randomisation) है। आधुनिक iOS और Android डिवाइस ट्रैकिंग को रोकने के लिए डिफ़ॉल्ट रूप से रैंडमाइज्ड MAC एड्रेस का उपयोग करते हैं। इसका मतलब है कि लौटने वाला मेहमान एक नए उपयोगकर्ता के रूप में दिखाई देता है। पोर्टल उन्हें फिर से चुनौती देता है, और उन्हें दोबारा लॉग इन करना पड़ता है। इसका समाधान उपयोगकर्ताओं को Passpoint प्रोफ़ाइल इंस्टॉल करने के लिए प्रोत्साहित करना है या ऐप-आधारित ऑथेंटिकेशन फ्लो का उपयोग करना है जो MAC एड्रेस के बजाय आइडेंटिटी टोकन पर निर्भर करता है। तीसरी समस्या बड़े पैमाने पर DHCP और DNS का समाप्त होना है। किसी स्टेडियम या कॉन्फ्रेंस सेंटर में, हजारों डिवाइस एक साथ कनेक्ट होते हैं। यदि आपके DHCP पूल में एड्रेस समाप्त हो जाते हैं, या आपका DNS सर्वर क्वेरी वॉल्यूम को संभालने में असमर्थ है, तो ऑथेंटिकेशन फ्लो पोर्टल तक पहुँचने से पहले ही रुक जाता है। अपने इन्फ्रास्ट्रक्चर का आकार औसत लोड के लिए नहीं, बल्कि पीक लोड के लिए निर्धारित करें। अब कुछ त्वरित प्रश्नों पर नज़र डालते हैं। कौन सा ऑथेंटिकेशन तरीका GDPR के सबसे अधिक अनुकूल है? सभी तरीकों को अनुपालन योग्य बनाया जा सकता है। क्लिक-थ्रू में सबसे कम ओवरहेड होता है। मुख्य अंतर यह है कि आप डेटा कलेक्ट करने के बाद उसके साथ क्या करते हैं, न कि यह कि आप इसे कलेक्ट करने के लिए किस तरीके का उपयोग करते हैं। क्या मैं एक ही पोर्टल पर कई ऑथेंटिकेशन तरीके चला सकता हूँ? हाँ, और आपको ऐसा करना चाहिए। Purple Verify स्थल के प्रकार, उपयोगकर्ता के डिवाइस या दिन के समय के अनुसार कॉन्फ़िगरेशन के साथ, एक ही समय में सभी पांच तरीकों का समर्थन करता है। क्या SMS OTP अंतरराष्ट्रीय स्तर पर काम करता है? हाँ, लेकिन देश के अनुसार लागत में काफी अंतर होता है। व्यापक अंतरराष्ट्रीय कैरियर कवरेज वाले प्रदाता का उपयोग करें और उसी के अनुसार अपना बजट तय करें। Apple के Private Relay के बारे में क्या? Private Relay iOS डिवाइसों पर Captive Portal डिटेक्शन में बाधा डाल सकता है। सुनिश्चित करें कि आपका पोर्टल HTTPS पर होस्ट किया गया है और आपके कैप्टिविटी प्रोब डोमेन व्हाइटलिस्टेड हैं।संक्षेप में। VLANs के साथ अपने ट्रैफ़िक को विभाजित करें और एक साफ, सटीक walled garden बनाए रखें। अपने स्थल के प्रकार और डेटा उद्देश्यों के आधार पर अपनी प्रमाणीकरण विधि चुनें, न कि इस आधार पर कि किसे तैनात करना सबसे आसान है। रूपांतरण को अधिकतम करने के लिए फ़ॉर्म फ़ील्ड को न्यूनतम करें। अपने नेटवर्क एक्सेस नियमों को अपनी मार्केटिंग सहमति से अलग करें। और पहले दिन से ही MAC randomisation और पीक लोड की योजना बनाएं। Purple अस्सी हजार स्थानों पर Captive Portal इन्फ्रास्ट्रक्चर संचालित करता है, जिसमें 2024 में चालीस करोड़ चालीस लाख लॉगिन दर्ज किए गए। इस गाइड के फ्रेमवर्क उसी परिचालन अनुभव को दर्शाते हैं। यदि आप इनमें से किसी भी विषय पर अधिक विस्तार से जानना चाहते हैं, तो पूर्ण तकनीकी संदर्भ गाइड purple.ai पर उपलब्ध है। सुनने के लिए धन्यवाद।

header_image.png

कार्यकारी सारांश

एक Captive Portal पब्लिक WiFi पर लॉगिन पेज होता है। यह आपका सबसे महत्वपूर्ण नेटवर्क सुरक्षा निर्णय भी है; और यदि आप मार्केटिंग प्रोजेक्ट चला रहे हैं, तो यह आपका सबसे मूल्यवान डेटा संग्रह चैनल है। सुरक्षा और कन्वर्शन के दो लक्ष्य आपस में विरोधाभासी नहीं हैं, लेकिन उनके लिए अलग-अलग कॉन्फ़िगरेशन निर्णयों की आवश्यकता होती है, और यह गाइड दोनों को कवर करती है।

इसका मुख्य आर्किटेक्चर ऑथेंटिकेशन पूरा होने से पहले प्रत्येक विज़िटर डिवाइस को एक आइसोलेटेड VLAN में रखना है। एक RADIUS सर्वर सेशन को मैनेज करता है और Change of Authorization (CoA) मैसेज के ज़रिए डिवाइसेज को प्रोडक्शन VLAN में रिलीज़ करता है। नेटवर्क सेगमेंटेशन यह सुनिश्चित करता है कि गेस्ट ट्रैफिक कभी भी कॉर्पोरेट इन्फ्रास्ट्रक्चर या POS सिस्टम को न छुए। किसी भी ऐसे वातावरण में जहाँ पेमेंट टर्मिनल और गेस्ट WiFi फिजिकल इन्फ्रास्ट्रक्चर साझा करते हैं, यह एक सख्त PCI DSS आवश्यकता है।

कन्वर्शन के मोर्चे पर, जोड़े जाने वाले प्रत्येक फ़ॉर्म फ़ील्ड के लिए, सब्सक्रिप्शन दरें 8% से 12% तक गिर जाती हैं। सही ऑथेंटिकेशन विधि आपके वेन्यू के प्रकार और डेटा लक्ष्यों पर निर्भर करती है। ईमेल संग्रह 65% से 80% कन्वर्शन दर प्रदान करता है और फ़र्स्ट-पार्टी डेटा स्वामित्व देता है। OAuth 2.0 के ज़रिए सोशल लॉगिन घर्षण को कम करता है लेकिन थर्ड-पार्टी निर्भरता का जोखिम लाता है। SMS OTP उच्चतम डेटा गुणवत्ता प्रदान करता है लेकिन सबसे कम कन्वर्शन दर देता है। मार्केटिंग लक्ष्यों के बिना सार्वजनिक क्षेत्र के वातावरण के लिए, वन-क्लिक लॉगिन सही विकल्प है।

Purple 80,000 से अधिक वेन्यू में गेस्ट WiFi इन्फ्रास्ट्रक्चर चलाता है। इस दस्तावेज़ में दिए गए मार्गदर्शन 2024 में प्रोसेस किए गए 440 मिलियन लॉगिन को दर्शाते हैं (Purple आंतरिक डेटा, 2024)।


तकनीकी गहराई

Captive Portals वास्तव में कैसे काम करते हैं

एक डिवाइस के SSID से जुड़ने के बाद, Captive Portal HTTP और HTTPS रिक्वेस्ट को इंटरसेप्ट करता है। एक्सेस पॉइंट डिवाइस को एक आइसोलेटेड VLAN में रखता है, जहाँ फ़ायरवॉल केवल DNS क्वेरीज़ और प्री-अप्रूव्ड डेस्टिनेशन के एक छोटे सेट (Walled Garden) की अनुमति देता है। डिवाइस का ऑपरेटिंग सिस्टम ज्ञात URLs (जैसे iOS पर captive.apple.com या Android पर connectivitycheck.gstatic.com) की जांच करके इस प्रतिबंधित स्थिति का पता लगाता है। जब जांच में कोई असामान्य प्रतिक्रिया मिलती है, तो ऑपरेटिंग सिस्टम स्वचालित रूप से पोर्टल लॉन्च करता है।

यूज़र ऑथेंटिकेट करता है। पोर्टल एक CoA मैसेज के माध्यम से परिणामों को नेटवर्क के RADIUS सर्वर पर ट्रांसमिट करता है। एक्सेस कंट्रोलर आइसोलेशन प्रतिबंध को हटा देता है, डिवाइस को प्रोडक्शन VLAN में ले जाता है, और टाइमस्टैम्प, MAC एड्रेस, पहचान और लागू नीतियों वाले एक सेशन को लॉग करता है। ऑथेंटिकेशन विधि के आधार पर, इस एंड-टू-एंड प्रक्रिया में एक से दस सेकंड के बीच का समय लगता है।

security_architecture_diagram.png

Network Segmentation

एक आइसोलेटेड VLAN बेहद अनिवार्य है। इसके बिना, एक ओपन SSID पर अनएथेंटिकेटेड डिवाइस इंटरनल नेटवर्क की जांच कर सकते हैं, मैनेजमेंट इंटरफेस तक पहुंच सकते हैं, या पॉइंट-ऑफ-सेल (POS) सिस्टम को स्पर्श कर सकते हैं। PCI-DSS स्कोप वाले एनवायरनमेंट में (यानी, कोई भी ऐसा स्थान जहां कार्ड टर्मिनल और गेस्ट WiFi भौतिक बुनियादी ढांचे को साझा करते हैं), Payment Card Industry Data Security Standard v4.0 के तहत कार्डधारक डेटा एनवायरनमेंट और कस्टमर नेटवर्क के बीच पूर्ण नेटवर्क आइसोलेशन की आवश्यकता होती है।

नेटवर्क सेगमेंटेशन को एक्सेस कंट्रोलर स्तर पर लागू किया जाता है। Cisco Meraki पर, इसे Group Policies के माध्यम से कॉन्फ़िगर किया जाता है; HPE Aruba पर, User Roles के माध्यम से; Ruckus पर, Zone कॉन्फ़िगरेशन के माध्यम से; और Juniper Mist पर, WLAN पॉलिसियों के माध्यम से। चारों प्लेटफ़ॉर्म पर सिद्धांत समान है: अनएथेंटिकेटेड डिवाइसों पर एक प्रतिबंधित पॉलिसी लागू होती है; एथेंटिकेटेड डिवाइसों पर एक प्रोडक्शन पॉलिसी लागू होती है। RADIUS सर्वर इस बदलाव को लागू करने के लिए जिम्मेदार है।

कई प्रकार के उपयोगकर्ताओं (ग्राहकों, कर्मचारियों, ठेकेदारों) वाले स्थानों के लिए, अलग SSID तैनात करें और प्रत्येक SSID को समर्पित फ़ायरवॉल नियमों और बैंडविड्थ पॉलिसियों के साथ एक अलग VLAN पर मैप करें। एक ही Captive Portal के माध्यम से सिंगल SSID से सभी प्रकार के उपयोगकर्ताओं को सेवा देने का प्रयास न करें। पॉलिसी मैनेजमेंट की जटिलता किसी भी अनुमानित सुविधा की तुलना में कहीं अधिक होगी।

Securing the Wireless Edge

Captive Portal लेयर 7 पर काम करते हैं और वायरलेस लिंक को एन्क्रिप्ट नहीं करते हैं। एक ओपन SSID पर, डिवाइस और एक्सेस पॉइंट के बीच ट्रैफ़िक अनएन्क्रिप्टेड होता है और रेडियो रेंज के भीतर किसी भी डिवाइस को दिखाई देता है।

इस समस्या के समाधान के तीन तरीके हैं:

Captive Portal के साथ WPA3। WPA3-Personal Simultaneous Authentication of Equals (SAE) प्रदान करता है, जो WPA2-PSK के खिलाफ ऑफलाइन डिक्शनरी हमलों को समाप्त करता है। Captive Portal अभी भी ऑथेंटिकेशन के लिए ट्रिगर होता है, लेकिन वायरलेस लिंक एन्क्रिप्टेड होता है। 2026 में नई तैनाती के लिए यह न्यूनतम स्वीकार्य मानक है।

802.1X के साथ Passpoint (Hotspot 2.0)। Passpoint सर्टिफिकेट - या क्रेडेंशियल - आधारित ऑथेंटिकेशन प्रदान करने के लिए EAP-TLS या PEAP का उपयोग करता है। Captive Portal प्रारंभिक ऑनबोर्डिंग और सहमति हस्ताक्षर को संभालता है। दूसरी बार आने पर, Passpoint कॉन्फ़िगर किए गए प्रोफ़ाइल का उपयोग करके बैकग्राउंड में डिवाइस को स्वचालित रूप से ऑथेंटिकेट करता है, जिससे पोर्टल पूरी तरह से बाईपास हो जाता है। यह कैरियर - ग्रेड रोमिंग मानक OpenRoaming द्वारा उपयोग किया जाने वाला आर्किटेक्चर है। EAP विधियों के बारे में अधिक जानकारी के लिए, कृपया हमारी गाइड देखें: EAP Method WiFi: A Guide to Secure Network Access

iPSK (Identity Pre-Shared Key)। iPSK एक पोर्टल के माध्यम से प्रत्येक उपयोगकर्ता या डिवाइस के लिए एक विशिष्ट WPA2 या WPA3 पासवर्ड आवंटित करता है। यह पासवर्ड RADIUS सर्वर में संग्रहीत होता है और एक विशिष्ट VLAN और पॉलिसी पर मैप होता है। यह पूर्ण 802.1X को तैनात करने के इंफ्रास्ट्रक्चर ओवरहेड के बिना एक साझा SSID पर व्यक्तिगत एन्क्रिप्शन और जवाबदेही प्रदान करता है। बिल्ड-टू-रेंट और छात्र आवास वातावरण में Multi-Tenant WiFi के लिए यह मानक आर्किटेक्चर है। सर्टिफिकेट-आधारित प्रमाणीकरण (authentication) के विवरण के लिए, WiFi Certificate Authentication: Secure Network Access देखें।


इम्प्लीमेंटेशन गाइड

चरण 1: Walled Garden को परिभाषित करें

अपना पोर्टल सेट करने से पहले, प्रमाणीकरण के लिए आवश्यक सभी बाहरी डिपेंडेंसीज़ का मिलान और सत्यापन करें। यदि आप Google सोशल लॉगिन की पेशकश करते हैं, तो accounts.google.com और संबद्ध Google प्रमाणीकरण डोमेन को व्हाइटलिस्ट करें। यदि आप भुगतान आधारित एक्सेस के लिए Stripe का उपयोग करते हैं, तो Stripe के API एंडपॉइंट्स को व्हाइटलिस्ट करें। यदि आप Apple लॉगिन का उपयोग करते हैं, तो appleid.apple.com को व्हाइटलिस्ट करें।

सटीक walled garden बनाए रखने में विफलता प्रोडक्शन एनवायरनमेंट में Captive Portal रेंडरिंग विफलताओं का प्रमुख कारण है। अपने विशिष्ट कंट्रोलर के लिए कॉपी-एंड-पेस्ट नियम जनरेट करने के लिए एक walled garden वैलिडेशन टूल का उपयोग करें। Purple एक निःशुल्क Walled Garden Domain Validator प्रदान करता है जो Cisco Meraki, Ubiquiti UniFi, HPE Aruba और Catalyst कंट्रोलर्स के लिए उपयोग के लिए तैयार नियम आउटपुट करता है।

चरण 2: RADIUS इंटीग्रेशन कॉन्फ़िगर करें

अपने एक्सेस कंट्रोलर को अपने क्लाउड RADIUS प्रदाता के साथ एकीकृत करें। अप्रमाणित ट्रैफ़िक को पोर्टल URL पर रीडायरेक्ट करने के लिए कंट्रोलर को कॉन्फ़िगर करें, और प्रमाणीकरण और अकाउंटिंग के लिए RADIUS सर्वर निर्दिष्ट करें। सुनिश्चित करें कि RADIUS शेयर्ड सीक्रेट कम से कम 22 वर्णों का हो, जिसमें मिश्रित केस और विशेष वर्ण शामिल हों, और इसे हर 90 दिनों में बदला जाए।

Cisco Meraki डिप्लॉयमेंट के लिए, "Wireless > Access Control" के तहत RADIUS सर्वर कॉन्फ़िगर करें। HPE Aruba के लिए, "Security > Authentication Servers" के तहत कॉन्फ़िगर करें। Ruckus के लिए, "Services > Authentication" के तहत कॉन्फ़िगर करें। Juniper Mist के लिए, "Network > WLAN" के तहत कॉन्फ़िगर करें।

चरण 3: प्रमाणीकरण विधियां चुनें

authentication_conversion_chart.png

निम्न तालिका अनुशंसित प्रमाणीकरण विधियों और अपेक्षित कन्वर्शन दर सीमाओं के साथ स्थल प्रकारों का मिलान करती है।

स्थल का प्रकार अनुशंसित विधि अपेक्षित कन्वर्शन एकत्रित डेटा
होटल और हॉस्पिटैलिटी ईमेल संग्रह + सोशल लॉगिन 65-80% ईमेल, नाम, वैकल्पिक जनसांख्यिकी
रिटेल ईमेल संग्रह 68-75% ईमेल, नाम
स्टेडियम और इवेंट्स SMS वन-टाइम पासकोड (SMS OTP) 45-55% सत्यापित मोबाइल नंबर
कन्वेंशन सेंटर सोशल लॉगिन + ईमेल 60-70% ईमेल, प्रोफेशनल प्रोफ़ाइल
पब्लिक सेक्टर क्लिक-थ्रू 90-95% केवल MAC Address, टाइमस्टैम्प
हेल्थकेयर क्लिक-थ्रू 90-95% केवल MAC Address, टाइमस्टैम्प

स्रोत: Purple नेटवर्क डेटा, 440 मिलियन लॉगिन, 2024।

नेटवर्क एक्सेस के लिए आवश्यक सहमति को मार्केटिंग कम्युनिकेशन्स के लिए आवश्यक सहमति से अलग करें। UK GDPR (विनियम (EU) 2016/679 का रिटेन्ड यूके कानून संस्करण) के तहत, ये दो अलग-अलग वैध आधार हैं।

नेटवर्क एक्सेस को Article 6(1)(f) के तहत वैध हितों के आधार पर दिया जा सकता है, जिसमें नेटवर्क प्रशासन और सुरक्षा शामिल है। मार्केटिंग संचार के लिए Article 6(1)(a) के तहत स्पष्ट सहमति की आवश्यकता होती है। यह सहमति स्वतंत्र रूप से दी गई, विशिष्ट, सूचित और असंदिग्ध होनी चाहिए। पहले से टिक किए गए चेकबॉक्स इस मानक को पूरा नहीं करते हैं।

पोर्टल पर दो स्वतंत्र चेकबॉक्स लागू करें। पहला, जो अनिवार्य है, सेवा की शर्तों (Terms of Service) और नेटवर्क एक्सेस को कवर करता है। दूसरा, जो वैकल्पिक है और डिफ़ॉल्ट रूप से अनटिक रहता है, मार्केटिंग सब्सक्रिप्शन को कवर करता है। प्रत्येक सेशन के लिए टाइमस्टैम्प, IP एड्रेस, MAC एड्रेस और सहमति की स्थिति को लॉग करें। यह ऑडिट ट्रेल नियामक पूछताछ के मामले में आपके अनुपालन का प्रमाण है।

चरण 5: RADIUS VSAs के माध्यम से बैंडविड्थ नीतियां लागू करें

सफल प्रमाणीकरण पर Vendor-Specific Attributes (VSAs) वापस करने के लिए RADIUS सर्वर को कॉन्फ़िगर करें। VSAs एक्सेस पॉइंट को उपयोगकर्ता प्रोफ़ाइल के आधार पर विशिष्ट बैंडविड्थ सीमाएं, कंटेंट फ़िल्टर और सेशन टाइमआउट लागू करने का निर्देश देते हैं।

HPE Aruba पर, Aruba-User-Role VSA उपयोगकर्ताओं को पूर्वनिर्धारित नीतियों के साथ एक नामित भूमिका सौंपता है। Cisco Meraki पर, Filter-Id एट्रिब्यूट के माध्यम से ग्रुप पॉलिसी ID वापस की जाती है। Ruckus पर, Ruckus-User-Groups एट्रिब्यूट उपयोगकर्ताओं को कॉन्फ़िगर किए गए समूहों से मैप करता है। यह तंत्र अलग-अलग उपयोगकर्ता स्तरों के लिए अलग-अलग SSIDs कॉन्फ़िगर किए बिना डायनेमिक नीति प्रवर्तन को सक्षम बनाता है।

-

सर्वोत्तम प्रथाएं

रूपांतरण दर अनुकूलन (Conversion Rate Optimisation)

प्रोग्रेसिव प्रोफाइलिंग सिंगल-सेशन डेटा संग्रह की तुलना में बेहतर प्रदर्शन करती है। पहली विजिट पर ईमेल एड्रेस मांगें। दूसरी विजिट पर, जन्मतिथि या पोस्टकोड का अनुरोध करें। तीसरी विजिट पर, मार्केटिंग प्राथमिकताओं के बारे में पूछें। यह दृष्टिकोण समय के साथ समृद्ध प्रोफाइल बनाते हुए उच्च रूपांतरण दरों को बनाए रखता है।

Captive Portal के 85% से अधिक इंटरैक्शन मोबाइल उपकरणों पर होते हैं (Purple आंतरिक डेटा, 2024)। छोटे स्क्रीन के लिए डिज़ाइन करें। बटन इतने बड़े होने चाहिए कि बिना ज़ूम किए टैप किए जा सकें। टेक्स्ट डिफ़ॉल्ट फ़ॉन्ट साइज़ पर पढ़ने योग्य होना चाहिए। लॉगिन फ्लो तीन टैप के भीतर पूरा होना चाहिए।

रिटेल डिप्लॉयमेंट के लिए, पोर्टल को अपने CRM या लॉयल्टी प्लेटफॉर्म के साथ एकीकृत करें। Pizza Express ने दो वर्षों में अपने CRM में 3.7 मिलियन ग्राहकों को जोड़ने के लिए एक ब्रांडेड Captive Portal का उपयोग किया, जिससे प्रत्येक WiFi कनेक्शन को एक सत्यापित मार्केटिंग सब्सक्रिप्शन में बदल दिया गया (Purple ग्राहक डेटा, Pizza Express)। पोर्टल लॉयल्टी साइन-अप और प्रमोशनल री-एंगेजमेंट के लिए प्राथमिक चैनल बन गया।

व्यवहार विश्लेषिकी एकीकरण (Behavioral Analytics Integration)

Captive Portal सेशन भौतिक स्थल विश्लेषण और डिजिटल मार्केटिंग सिस्टम के बीच संबंध स्थापित करने की कुंजी हैं। प्रत्येक प्रमाणित सेशन टाइमस्टैम्प, ड्वेल टाइम और रिपीट विजिटर स्टेटस के साथ एक फुटफॉल इवेंट उत्पन्न करता है। WiFi Analytics के साथ एकीकृत, यह डेटा फुटफॉल एट्रिब्यूशन, जनसांख्यिकीय विभाजन और कैंपेन ROI माप को संचालित करता है।

यह जानने के लिए कि WiFi नेटवर्क से मिलने वाला व्यवहार संबंधी डेटा स्थल के संचालन को कैसे सूचित करता है, Behavioral Analytics: Insights for WiFi Networks देखें।

Security Hardening

पोर्टल्स को विशेष रूप से HTTPS पर सर्व करें, जिसके लिए एक विश्वसनीय Certificate Authority (CA) से वैध TLS सर्टिफिकेट का उपयोग किया जाना चाहिए। HTTP पोर्टल्स उपयोगकर्ता के क्रेडेंशियल्स को इंटरसेप्शन के प्रति संवेदनशील बनाते हैं और कन्वर्जन को नुकसान पहुँचाने वाली ब्राउज़र सुरक्षा चेतावनियाँ ट्रिगर करते हैं। न्यूनतम 31536000 सेकंड के max-age के साथ HTTP Strict Transport Security (HSTS) लागू करें। ऑथेंटिकेशन एंडपॉइंट्स पर रेट लिमिटिंग लागू करें। रेट लिमिटिंग के बिना, पोर्टल क्रेडेंशियल स्टफिंग और क्रेडेंशियल कोड के खिलाफ ब्रूट-फोर्स हमलों के प्रति संवेदनशील हो जाता है। ऑथेंटिकेशन प्रयासों को प्रति IP एड्रेस प्रति मिनट पाँच तक सीमित करें।

पोर्टल एप्लिकेशन पर वर्ष में कम से कम एक बार पेनेट्रेशन टेस्टिंग करें। Purple के पास ISO 27001 सर्टिफिकेशन और Cyber Essentials सर्टिफिकेशन है, और यह नियमित रूप से थर्ड-पार्टी पेनेट्रेशन टेस्टिंग से गुजरता है। Healthcare और Transport डिप्लॉयमेंट्स के लिए, त्रैमासिक टेस्टिंग एक उपयुक्त मानक है।


Troubleshooting and Risk Mitigation

Portal Not Displaying

यह सबसे आम विफलता मोड है। डिवाइस का ऑपरेटिंग सिस्टम एक ज्ञात URL पर एक कैप्टिव प्रोब भेजता है। यदि फ़ायरवॉल उस डोमेन को ब्लॉक करता है, तो ऑपरेटिंग सिस्टम कैप्टिव स्थिति का पता नहीं लगा पाता है, और पोर्टल कभी भी स्वचालित रूप से लॉन्च नहीं होगा। रीडायरेक्शन को ट्रिगर करने के लिए उपयोगकर्ताओं को मैन्युअल रूप से एक गैर-HTTPS URL पर जाना होगा।

सबसे पहले Walled Garden सेटिंग्स की जांच करें। सुनिश्चित करें कि ऑथेंटिकेशन से पहले निम्नलिखित डोमेन एक्सेसिबल हों: captive.apple.com, www.apple.com, connectivitycheck.gstatic.com, clients3.google.com, और msftconnecttest.com। ये क्रमशः iOS, Android, और Windows द्वारा उपयोग किए जाने वाले प्रोब URL हैं।

MAC Address Randomisation

iOS 14 और Android 10 ने डिफ़ॉल्ट रूप से प्रति-नेटवर्क MAC address randomisation की शुरुआत की है। लौटने वाले डिवाइस प्रत्येक कनेक्शन पर एक नया MAC एड्रेस पेश करते हैं, जिससे सेशन की निरंतरता टूट जाती है। पोर्टल उपयोगकर्ता को फिर से ऑथेंटिकेट करने के लिए प्रेरित करेगा, जिससे उन्हें एक बार फिर लॉगिन करना होगा।

पहले लॉगिन पर Passpoint प्रोफ़ाइल डिप्लॉय करके इसे कम करें। इस प्रोफ़ाइल में वे क्रेडेंशियल होते हैं जिनका उपयोग डिवाइस बाद के कनेक्शनों के लिए करता है, जिससे MAC-आधारित पहचान पूरी तरह से बाईपास हो जाती है। वैकल्पिक रूप से, एक ऐप-आधारित ऑथेंटिकेशन फ़्लो का उपयोग करें जो डिवाइस के MAC एड्रेस के बजाय ऐप में संग्रहीत आइडेंटिटी टोकन पर निर्भर करता है।

DHCP and DNS Exhaustion in Large-scale Environments

बड़े स्थानों (स्टेडियम, कन्वेंशन सेंटर, ट्रांसपोर्ट हब) में, किसी इवेंट या कॉन्फ्रेंस की शुरुआत में हजारों डिवाइस एक साथ कनेक्ट होते हैं। यदि DHCP पूल बहुत छोटा है, तो डिवाइस IP एड्रेस प्राप्त नहीं कर सकते हैं। यदि DNS सर्वर क्वेरीज़ की वॉल्यूम को संभालने में असमर्थ है, तो कैप्टिव प्रोब विफल हो जाते हैं, और पोर्टल प्रदर्शित नहीं होता है।

औसत के बजाय पीक कConcurrent कनेक्शन के आधार पर अपने DHCP पूल साइज की योजना बनाएं। 60,000 सीटों वाले स्टेडियम के लिए, 40,000 कConcurrent डिवाइस मानकर चलें। कम से कम 50,000 एड्रेस का DHCP पूल आवंटित करें और एड्रेस को तेजी से पुनः प्राप्त करने के लिए कम लीज टाइम (15 से 30 मिनट) कॉन्फ़िगर करें। गेस्ट नेटवर्क के लिए समर्पित DNS रिज़ॉल्वर तैनात करें, जो एंटरप्राइज DNS इन्फ्रास्ट्रक्चर से अलग हों।

OAuth प्रोवाइडर API बदलाव

सोशल लॉगिन प्रोवाइडर बिना किसी सूचना के अपनी API शर्तों को बदलते रहते हैं। Facebook ने अपने Graph API के माध्यम से उपलब्ध डेटा को उत्तरोत्तर प्रतिबंधित किया है। यदि सोशल लॉगिन आपकी एकमात्र ऑथेंटिकेशन विधि है और कोई प्रोवाइडर अपनी शर्तों को बदलता है, तो आपका पोर्टल सभी उपयोगकर्ताओं के लिए विफल हो जाएगा।

सोशल लॉगिन के साथ हमेशा कम से कम एक नॉन-OAuth ऑथेंटिकेशन विधि तैनात करें। ईमेल कलेक्शन इसका मानक बैकअप है। बढ़े हुए एरर रेट पर अलर्ट प्राप्त करने के लिए OAuth ऑथेंटिकेशन एंडपॉइंट्स की निगरानी सेट करें, जो अक्सर API बदलाव का पूर्व संकेत या उसके साथ होने वाली घटना होती है।


निवेश पर रिटर्न (ROI) और व्यावसायिक प्रभाव

यदि केवल इन्फ्रास्ट्रक्चर खर्च से मापा जाए, तो Captive Portal एक लागत केंद्र है; लेकिन यदि इसके द्वारा एकत्र किए गए डेटा के मूल्य और इसके द्वारा सक्षम विपणन कार्यक्रमों द्वारा मापा जाए, तो यह एक राजस्व संपत्ति है।

500 स्टोर वाला एक रिटेल ब्रांड, जो 65% ऑप्ट-इन दर के साथ प्रति स्टोर मासिक 10,000 लॉगिन प्रोसेस करता है, सालाना 3.9 करोड़ सत्यापित CRM संपर्क जनरेट करेगा। प्रति वर्ष प्रति संपर्क £0.10 के रूढ़िवादी ईमेल मार्केटिंग राजस्व एट्रिब्यूशन मॉडल का उपयोग करने पर, वह एकल डेटा कलेक्शन चैनल £39 लाख का एट्रिब्यूटेड राजस्व प्रदान करता है।

Hospitality ऑपरेटरों के लिए, पोर्टल गेस्ट यात्रा का पहला टचपॉइंट है। Premier Inn और Whitbread लॉयल्टी कार्यक्रमों को संचालित करने और WiFi जुड़ाव तथा बार-बार होने वाली बुकिंग के बीच संबंध को मापने के लिए गेस्ट WiFi डेटा का उपयोग करते हैं (Purple ग्राहक डेटा, Whitbread)।

परिवहन ऑपरेटरों के लिए, पोर्टल पैसेंजर फ्लो डेटा प्रदान करता है जो रिटेल लीजिंग, स्टाफिंग निर्णयों और रियायत प्रदर्शन की जानकारी देता है। Manchester Airport Group (MAG) टर्मिनल क्षेत्रों में पैसेंजर ड्वेल टाइम को मापने के लिए WiFi एनालिटिक्स का उपयोग करता है और WiFi सेशन डेटा को प्रति पैसेंजर रिटेल खर्च से जोड़ता है (Purple ग्राहक डेटा, MAG)।

तीन प्रमुख मेट्रिक्स पोर्टल की सफलता को परिभाषित करते हैं: ऑप्ट-इन दर (ईमेल कलेक्शन के लिए 60%+ का लक्ष्य रखें), डेटा गुणवत्ता दर (सत्यापित ईमेल एड्रेस का प्रतिशत, 80%+ का लक्ष्य रखें), और रिटर्न दर (उन रिपीट उपयोगकर्ताओं का प्रतिशत जो क्रेडेंशियल दोबारा दर्ज किए बिना ऑथेंटिकेट करते हैं, 70%+ का लक्ष्य रखें)।

Purple का WiFi Analytics प्लेटफॉर्म स्थान, समय ब्लॉक और यूजर कोहॉर्ट द्वारा सेगमेंटेशन का समर्थन करते हुए, सभी वेन्यू पर वास्तविक समय में ये मेट्रिक्स प्रदान करता है।

मुख्य परिभाषाएं

Captive portal

एक वेब एप्लिकेशन जो डिवाइस के SSID से जुड़ने के बाद नेटवर्क ट्रैफ़िक को रोकता है, जिससे इंटरनेट एक्सेस देने से पहले उपयोगकर्ता की बातचीत (प्रमाणीकरण, भुगतान, या शर्तों की स्वीकृति) की आवश्यकता होती है।

सार्वजनिक या गेस्ट WiFi नेटवर्क पर आगंतुकों को ऑनबोर्ड करने का प्राथमिक तंत्र। कनेक्ट होने वाला प्रत्येक डिवाइस इससे होकर गुजरता है, जिससे यह किसी भौतिक स्थान में सबसे सुसंगत डेटा कैप्चर सतह बन जाता है।

Walled garden

एक सीमित नेटवर्क वातावरण जो प्रमाणीकरण से पहले केवल विशिष्ट, स्वीकृत IP पते या डोमेन तक पहुंच की अनुमति देता है।

डिवाइसों को पूर्ण इंटरनेट एक्सेस दिए जाने से पहले captive portal पेज, DNS सर्वर और आवश्यक तृतीय-पक्ष प्रमाणीकरण सेवाओं तक पहुँचने की अनुमति देने के लिए आवश्यक है। गलत कॉन्फ़िगरेशन पोर्टल रेंडरिंग विफलताओं का प्रमुख कारण है।

RADIUS (Remote Authentication Dial-In User Service)

एक नेटवर्किंग प्रोटोकॉल जो नेटवर्क सेवा से जुड़ने वाले उपयोगकर्ताओं के लिए केंद्रीकृत प्रमाणीकरण, प्राधिकरण और लेखांकन प्रबंधन प्रदान करता है।

एक्सेस पॉइंट्स और कंट्रोलर्स के साथ संचार करने के लिए Captive Portal द्वारा उपयोग किया जाने वाला मानक प्रोटोकॉल। Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, और Ubiquiti UniFi का प्रत्येक एंटरप्राइज़-ग्रेड एक्सेस पॉइंट RADIUS का समर्थन करता है।

Change of Authorisation (CoA)

RFC 5176 में परिभाषित एक RADIUS एक्सटेंशन जो सर्वर को सक्रिय सत्र के प्राधिकरण विशेषताओं को गतिशील रूप से संशोधित करने की अनुमति देता है।

सफल लॉगिन के तुरंत बाद डिवाइस को पुनः कनेक्ट करने की आवश्यकता के बिना, डिवाइस को क्वारंटाइन VLAN से प्रोडक्शन VLAN में स्थानांतरित करने के लिए एक्सेस कंट्रोलर को निर्देश देने के लिए Captive Portal द्वारा उपयोग किया जाता है।

Passpoint (Hotspot 2.0)

एक IEEE 802.11u-आधारित मानक जो मोबाइल उपकरणों को बिना मैन्युअल पोर्टल इंटरैक्शन के, 802.1X प्रमाणीकरण का उपयोग करके स्वचालित रूप से और सुरक्षित रूप से WiFi नेटवर्क खोजने और कनेक्ट करने में सक्षम बनाता है।

एंटरप्राइज़ स्थानों में लौटने वाले उपयोगकर्ताओं के प्रमाणीकरण के लिए मानक दृष्टिकोण। Captive Portal पहली बार आने वाले उपयोगकर्ताओं की ऑनबोर्डिंग और सहमति कैप्चर को संभालता है; Passpoint बाद की सभी यात्राओं को चुपचाप और सुरक्षित रूप से संभालता है।

VLAN (Virtual Local Area Network)

एक तार्किक सबनेटवर्क जो विभिन्न भौतिक नेटवर्क खंडों के उपकरणों को समूहित करता है, जो डेटा लिंक लेयर पर ट्रैफ़िक अलगाव को लागू करता है।

कॉर्पोरेट ट्रैफ़िक से अतिथि ट्रैफ़िक को अलग करने के लिए उपयोग किया जाता है। VLAN अलगाव के बिना, पॉइंट-ऑफ-सेल टर्मिनल के समान भौतिक स्विच पर मौजूद अतिथि डिवाइस इसकी जांच या इस पर हमला कर सकता है।

iPSK (Identity Pre-Shared Key)

एक सुरक्षा विधि जहां प्रत्येक उपयोगकर्ता या डिवाइस को एक ही SSID के लिए एक अद्वितीय WPA2 या WPA3 पासफ़्रेज़ असाइन किया जाता है, जिसे RADIUS सर्वर द्वारा संग्रहीत और लागू किया जाता है।

पूर्ण 802.1X परिनियोजन के बुनियादी ढांचे के खर्च के बिना एक साझा SSID पर व्यक्तिगत एन्क्रिप्शन और प्रति-उपयोगकर्ता नीति प्रवर्तन प्रदान करता है। मल्टी-टेनेंट WiFi के लिए मानक आर्किटेक्चर।

MAC address randomisation

iOS 14+, Android 10+, और Windows 10+ में एक गोपनीयता सुविधा जो नेटवर्क ट्रैकिंग को रोकने के लिए प्रति-नेटवर्क यादृच्छिक MAC पता उत्पन्न करती है।

Captive Portals पर MAC-आधारित सत्र निरंतरता को बाधित करता है। वापस लौटने वाला उपकरण एक नया MAC पता प्रस्तुत करता है, जिससे पुनः प्रमाणीकरण शुरू हो जाता है। Passpoint प्रोफाइल या ऐप-आधारित पहचान टोकन द्वारा इसे कम किया जा सकता है।

Vendor-Specific Attribute (VSA)

विक्रेता-विशिष्ट नेमस्पेस (एट्रिब्यूट 26) में एक RADIUS विशेषता जो RADIUS सर्वर से एक्सेस कंट्रोलर तक हार्डवेयर-विक्रेता-विशिष्ट नीति निर्देश ले जाती है।

प्रमाणित उपयोगकर्ता के प्रोफ़ाइल के आधार पर गतिशील रूप से बैंडविड्थ सीमा, VLAN ID, सामग्री फ़िल्टर नीतियां और सत्र टाइमआउट असाइन करने के लिए उपयोग किया जाता है। प्रत्येक हार्डवेयर विक्रेता (Aruba, Meraki, Ruckus) अपना स्वयं का VSA नेमस्पेस परिभाषित करता है।

हल किए गए उदाहरण

HPE Aruba एक्सेस पॉइंट्स का उपयोग करने वाले एक 200 कमरों के होटल को टियर वाले WiFi की आवश्यकता है: मानक मेहमानों के लिए बुनियादी मुफ्त पहुंच और लॉयल्टी सदस्यों के लिए हाई-स्पीड पहुंच। captive portal और नेटवर्क को कैसे कॉन्फ़िगर किया जाना चाहिए?

पूरे प्रॉपर्टी में एक सिंगल गेस्ट SSID तैनात करें। API के माध्यम से होटल के प्रॉपर्टी मैनेजमेंट सिस्टम (PMS) के साथ एकीकृत करने के लिए captive portal को कॉन्फ़िगर करें। पोर्टल पर दो प्रमाणीकरण विकल्प प्रस्तुत करें: 'कमरा नंबर और नाम के साथ लॉग इन करें' और 'लॉयल्टी क्रेडेंशियल के साथ लॉग इन करें'। जब कोई लॉयल्टी सदस्य प्रमाणित होता है, तो पोर्टल PMS से पूछताछ करता है, टियर की पुष्टि करता है, और Aruba कंट्रोलर को एक RADIUS CoA भेजता है। RADIUS प्रतिक्रिया में एक Aruba-User-Role VSA शामिल होता है जो उपयोगकर्ता को एक हाई-बैंडविड्थ भूमिका (उदाहरण के लिए, 50 Mbps डाउन, 20 Mbps अप) सौंपता है। मानक मेहमानों को एक डिफ़ॉल्ट रेट-लिमिटेड भूमिका (5 Mbps डाउन, 2 Mbps अप) प्राप्त होती है। दोनों प्रकार के उपयोगकर्ता एक ही SSID और VLAN से जुड़ते हैं, लेकिन कंट्रोलर द्वारा लागू की गई विभिन्न बैंडविड्थ नीतियां प्राप्त करते हैं।

परीक्षक की टिप्पणी: यह दृष्टिकोण एक सिंगल SSID का उपयोग करता है, जिससे चैनल ओवरहेड कम होता है और उपयोगकर्ता अनुभव सरल होता है। RADIUS VSAs अलग SSIDs या जटिल प्री-शेयर्ड की प्रबंधन की आवश्यकता के बिना डायनेमिक नीति कार्यान्वयन को संभालते हैं। PMS एकीकरण यह सुनिश्चित करता है कि लॉयल्टी स्थिति की वास्तविक समय में पुष्टि की जाए, जिससे मेहमानों को खुद से उच्च टियर चुनने से रोका जा सके।

500 स्थानों वाली एक राष्ट्रीय रिटेल चेन मार्केटिंग के लिए ईमेल पते कैप्चर करने के लिए गेस्ट WiFi लागू करना चाहती है। कानूनी टीम ने GDPR अनुपालन चिंताओं को हरी झंडी दिखाई है। पोर्टल सहमति प्रवाह को कैसे डिज़ाइन किया जाना चाहिए?

एक सिंगल ईमेल इनपुट फ़ील्ड के साथ एक पोर्टल डिज़ाइन करें। फ़ील्ड के नीचे, दो अलग-अलग चेकबॉक्स लागू करें। चेकबॉक्स 1 (अनिवार्य, डिफ़ॉल्ट रूप से अनटिक किया हुआ): 'मैं सेवा की शर्तों और गोपनीयता नीति को स्वीकार करता हूँ। मैं समझता हूँ कि नेटवर्क एक्सेस प्रदान करने के लिए मेरे डिवाइस डेटा को प्रोसेस किया जाएगा।' चेकबॉक्स 2 (वैकल्पिक, डिफ़ॉल्ट रूप से अनटिक किया हुआ): 'मैं ईमेल द्वारा मार्केटिंग संचार, ऑफ़र और प्रचार प्राप्त करने के लिए सहमति देता हूँ।' प्रत्येक सेशन के लिए टाइमस्टैम्प, IP एड्रेस, MAC एड्रेस और दोनों चेकबॉक्स की स्थिति को लॉग करने के लिए बैकएंड को कॉन्फ़िगर करें। इस सहमति ऑडिट ट्रेल को GDPR-अनुरूप डेटा स्टोर में संग्रहीत करें जिसकी अवधारण अवधि मार्केटिंग कार्यक्रम से मेल खाती हो (आमतौर पर अंतिम बातचीत से 24 महीने)। API के माध्यम से CRM में सीधे चेकबॉक्स 2 ऑप्ट-इन से ईमेल पते एकीकृत करें।

परीक्षक की टिप्पणी: यह डिज़ाइन दोनों कानूनी आधारों को सख्ती से अलग करता है। नेटवर्क एक्सेस अनुबंध (सेवा की शर्तों) के आधार पर प्रदान की जाती है। मार्केटिंग संचार UK GDPR के अनुच्छेद 6(1)(a) के तहत स्पष्ट सहमति पर निर्भर करता है। सहमति ऑडिट ट्रेल अनुपालन का प्रमाण है। पहले से टिक किए गए बॉक्स, या दोनों उद्देश्यों को कवर करने वाला एक सिंगल चेकबॉक्स, अनुपालन का उल्लंघन माना जाएगा।

अभ्यास प्रश्न

Q1. एक स्टेडियम IT निदेशक रिपोर्ट करता है कि मध्यांतर के दौरान, हजारों उपयोगकर्ताओं के लिए एक साथ Captive Portal लोड होने में विफल रहता है, भले ही पूरे स्टेडियम में WiFi सिग्नल की शक्ति मजबूत हो। सबसे संभावित आर्किटेक्चरल बाधा क्या है, और इसका समाधान क्या है?

संकेत: उन सेवाओं पर विचार करें जिनकी आवश्यकता किसी डिवाइस को पोर्टल पेज का अनुरोध करने से पहले भी होती है। सिग्नल की शक्ति कोई बाधा नहीं है।

मॉडल उत्तर देखें

सबसे संभावित बाधा DHCP पूल की कमी या DNS रिज़ॉल्वर का ओवरलोड होना है। जब हजारों डिवाइस एक साथ कनेक्ट होते हैं, तो पोर्टल लोड होने से पहले प्रत्येक को DHCP के माध्यम से एक IP पता प्राप्त करना होगा और DNS के माध्यम से OS कैप्टिविटी प्रोब URL को हल करना होगा। यदि DHCP पूल छोटा है या DNS सर्वर क्वेरी वॉल्यूम को संभाल नहीं सकता है, तो उपयोगकर्ता को कुछ भी दिखाई देने से पहले प्रक्रिया रुक जाती है। समाधान: पीक समवर्ती कनेक्शन (औसत नहीं) के लिए DHCP पूल का आकार तय करें, पतों को रीसायकल करने के लिए 15 से 30 मिनट का छोटा लीज समय निर्धारित करें, और पीक क्वेरी दरों के लिए पर्याप्त क्षमता वाले अतिथि नेटवर्क के लिए एक समर्पित DNS रिज़ॉल्वर तैनात करें।

Q2. आप एक अस्पताल के प्रतीक्षा कक्ष में एक captive portal तैनात कर रहे हैं। प्राथमिक लक्ष्य रोगियों और आगंतुकों के लिए इंटरनेट का उपयोग प्रदान करना है। कोई मार्केटिंग उद्देश्य नहीं है। आपको कौन सी प्रमाणीकरण विधि चुननी चाहिए, और इसके अनुपालन निहितार्थ क्या हैं?

संकेत: एकत्र किए गए डेटा के मूल्य के साथ बाधा को संतुलित करें। विचार करें कि क्या होता है जब आप ऐसा व्यक्तिगत डेटा एकत्र करते हैं जिसकी आपको आवश्यकता नहीं है।

मॉडल उत्तर देखें

Click-through (केवल नियम और शर्तें) सबसे सही विकल्प है। यह न्यूनतम बाधा के साथ 90 से 95% रूपांतरण दर प्रदान करता है। चूंकि कोई मार्केटिंग उद्देश्य नहीं है, इसलिए ईमेल पते जैसे व्यक्तिगत डेटा को एकत्र करने से बिना किसी व्यावसायिक मूल्य के GDPR अनुपालन दायित्व (कानूनी आधार, डेटा न्यूनतमकरण, डेटा प्रतिधारण नीतियां, विषय पहुंच अधिकार) लागू हो जाते हैं। स्वास्थ्य सेवा के माहौल में, रोगी या आगंतुक के व्यक्तिगत डेटा से जुड़े डेटा उल्लंघन का प्रतिष्ठा संबंधी जोखिम विशेष रूप से महत्वपूर्ण है। Click-through डेटा संग्रह को केवल MAC address और टाइमस्टैम्प तक सीमित करता है, जो वैध हित के तहत नेटवर्क प्रबंधन के लिए पर्याप्त है।

Q3. एक रिटेलर अपने captive portal पर Google और Apple सोशल लॉगिन की सुविधा देना चाहता है। उनका नेटवर्क Cisco Meraki एक्सेस पॉइंट्स का उपयोग करता है। सोशल लॉगिन को काम करने के लिए कौन सा नेटवर्क कॉन्फ़िगरेशन अनिवार्य है, और फ़ॉलबैक जोखिम क्या है?

संकेत: इंटरनेट का उपयोग मिलने से पहले डिवाइस पहचान प्रदाता तक कैसे पहुंचता है? यदि प्रदाता अपनी शर्तों को बदलता है तो क्या होता है?

मॉडल उत्तर देखें

आपको दोनों प्रदाताओं के लिए प्रमाणीकरण डोमेन को अनुमति देने के लिए Meraki एक्सेस कंट्रोलर पर walled garden को कॉन्फ़िगर करना होगा: accounts.google.com और संबंधित Google OAuth एंडपॉइंट्स, और appleid.apple.com और संबंधित Apple प्रमाणीकरण एंडपॉइंट्स। इन प्रविष्टियों के बिना, क्वारंटाइन VLAN OAuth अनुरोध को ब्लॉक कर देगा, और सोशल लॉगिन बिना किसी चेतावनी के विफल हो जाएगा। फ़ॉलबैक जोखिम प्रदाता API परिवर्तन है: यदि Google या Apple अपनी OAuth शर्तों या API एंडपॉइंट्स में बदलाव करते हैं, तो उस पद्धति पर भरोसा करने वाले सभी उपयोगकर्ताओं के लिए प्रमाणीकरण प्रवाह बाधित हो जाता है। हमेशा ईमेल कैप्चर को एक समानांतर प्रमाणीकरण विकल्प के रूप में तैनात करें ताकि उपयोगकर्ताओं के पास एक गैर-OAuth फ़ॉलबैक उपलब्ध हो।

Q4. एक सम्मेलन केंद्र संचालक तीन दिवसीय कार्यक्रम के लिए प्राथमिक प्रमाणीकरण विधि के रूप में SMS OTP का उपयोग करना चाहता है, जिसमें प्रति दिन 8,000 अद्वितीय लॉगिन की उम्मीद है। इस पद्धति को लागू करने से पहले किन लागत निहितार्थों का मॉडल तैयार किया जाना चाहिए?

संकेत: SMS OTP की प्रति-संदेश लागत होती है। बड़े पैमाने पर कुल लागत की गणना करें और रूपांतरण दर के प्रभाव पर विचार करें।

मॉडल उत्तर देखें

तीन दिनों में प्रति दिन 8,000 लॉगिन के हिसाब से, आप 24,000 SMS संदेशों को प्रोसेस कर रहे हैं। 2 से 5 पेंस प्रति संदेश की सामान्य यूके कैरियर दर पर, इस कार्यक्रम के लिए लागत £480 और £1,200 के बीच होगी। यदि उपस्थित लोग अंतर्राष्ट्रीय हैं, तो लागत काफी बढ़ जाती है (कुछ बाजारों के लिए प्रति संदेश 10 से 15 पेंस तक)। इसके अतिरिक्त, SMS OTP रूपांतरण दर 45 से 55% है, जिसका अर्थ है कि अपेक्षित 8,000 लॉगिन में से केवल 4,400 से 4,800 ही पूर्ण हो पाएंगे। शेष उपस्थित लोगों को एक वैकल्पिक विधि की आवश्यकता होगी। प्रति-संदेश लागत का मॉडल तैयार करें, रूपांतरण दर को ध्यान में रखें, और सुनिश्चित करें कि जो उपयोगकर्ता SMS सत्यापन पूरा नहीं करते हैं उनके लिए एक फ़ॉलबैक विधि (ईमेल कैप्चर या click-through) उपलब्ध हो।

इस श्रृंखला में आगे पढ़ें

Ruijie के लिए कैप्टिव पोर्टल: इसे Purple गेस्ट WiFi के साथ सेटअप करें

कैसे Purple का क्लाउड गेस्ट WiFi वेब ऑथेंटिकेशन और RADIUS का उपयोग करके Ruijie RG Series एक्सेस पॉइंट्स के ऊपर काम करता है, जिसे कमांड लाइन से कॉन्फ़िगर किया गया है, और सटीक सेटअप चरण कहाँ खोजें।

गाइड पढ़ें →

B2B Captive Portals डिजाइन करना: पंजीकृत नाम और कंपनी डेटा एकत्र करना

यह गाइड IT प्रबंधकों और स्थल ऑपरेटरों को B2B captive portals डिजाइन करने के लिए एक विक्रेता-तटस्थ तकनीकी ढांचा प्रदान करती है। यह पंजीकृत नाम और कंपनी डेटा को कैप्चर करने के लिए पंजीकरण फ़ील्ड को संरचित करने का विवरण देती है, जिससे GDPR अनुपालन बनाए रखते हुए और खाता-स्तरीय बुद्धिमत्ता का निर्माण करते हुए उच्च पूर्णता दर सुनिश्चित होती है।

गाइड पढ़ें →

कैप्टिव पोर्टल आर्किटेक्चर: सुरक्षा, रीडायरेक्शन और सर्वोत्तम प्रथाएं

एंटरप्राइज कैप्टिव पोर्टल आर्किटेक्चर पर एक निश्चित तकनीकी संदर्भ। यह गाइड सुरक्षित, डेटा-समृद्ध गेस्ट WiFi नेटवर्क तैनात करने वाले IT लीडर्स के लिए नेटवर्क आइसोलेशन, DNS रीडायरेक्शन, RADIUS ऑथेंटिकेशन और सुरक्षा अनुपालन का विश्लेषण करती है।

गाइड पढ़ें →