मुख्य सामग्री पर जाएं
हिन्दी

EAP विधियों की तुलना: PEAP, EAP-TLS, EAP-TTLS, और EAP-FAST

यह आधिकारिक तकनीकी संदर्भ गाइड एंटरप्राइज WiFi प्रमाणीकरण के लिए PEAP, EAP-TLS, EAP-TTLS, और EAP-FAST की साथ-साथ तुलना प्रदान करती है। यह IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स को इष्टतम 802.1X परिनियोजन रणनीति चुनने में मदद करने के लिए सुरक्षा स्थिति, परिनियोजन जटिलता और डिवाइस संगतता पर व्यावहारिक मार्गदर्शन प्रदान करती है.

📖 6 मिनट का पाठ📝 1,483 शब्द🔧 2 हल किए गए उदाहरण3 अभ्यास प्रश्न📚 8 मुख्य परिभाषाएं

header_image.png

कार्यकारी सारांश

एंटरप्राइज IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए, सही एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल (EAP) विधि चुनना एक महत्वपूर्ण निर्णय है जो सुरक्षा स्थिति, परिनियोजन (deployment) जटिलता और उपयोगकर्ता अनुभव को संतुलित करता है। जैसे-जैसे संगठन असुरक्षित प्री-शेयर्ड कीज़ (PSKs) से आगे बढ़कर 802.1X प्रमाणीकरण की ओर बढ़ रहे हैं, विकल्प आमतौर पर चार प्राथमिक विधियों तक सीमित हो जाता है: PEAP, EAP-TLS, EAP-TTLS, और EAP-FAST। यह गाइड इन विधियों की एक सीधी, तकनीकी तुलना प्रदान करती है, जो आपको अपने Guest WiFi और आंतरिक कॉर्पोरेट नेटवर्क के लिए सूचित आर्किटेक्चरल निर्णय लेने में सक्षम बनाती है। हम पासवर्ड-आधारित टनल विधियों और पारस्परिक प्रमाणपत्र प्रमाणीकरण (mutual certificate authentication) के बीच सुरक्षा अंतरों की जांच करेंगे, मूल्यांकन करेंगे कि विशिष्ट विधियां कब उपयुक्त हैं, और आधुनिक एंटरप्राइज वातावरण के लिए व्यावहारिक कार्यान्वयन मार्गदर्शन प्रदान करेंगे।

तकनीकी गहन विश्लेषण: EAP विधियों की तुलना

PEAP (Protected EAP)

PEAP को व्यापक रूप से 802.1X प्रमाणीकरण के लिए एंटरप्राइज का मुख्य आधार माना जाता है। Cisco, Microsoft और RSA Security द्वारा सह-विकसित, यह सर्वर-साइड प्रमाणपत्र का उपयोग करके एक एन्क्रिप्टेड TLS टनल बनाता है। इस सुरक्षित टनल के भीतर, क्लाइंट एक लीगेसी विधि का उपयोग करके प्रमाणित करता है, जो आमतौर पर MSCHAPv2 है।

PEAP का प्राथमिक लाभ Windows, macOS, iOS, और Android सहित आधुनिक ऑपरेटिंग सिस्टमों में इसकी लगभग-सार्वभौमिक मूल (native) सहायता है। चूंकि इसके लिए केवल RADIUS सर्वर पर प्रमाणपत्र की आवश्यकता होती है, न कि क्लाइंट डिवाइसों पर, इसलिए इसका परिनियोजन प्रमाणपत्र-आधारित विकल्पों की तुलना में काफी कम जटिल है। यह PEAP को ब्रिंग योर ओन डिवाइस (BYOD) वातावरण या Transport हब जैसे बड़े सार्वजनिक स्थानों के लिए अत्यधिक आकर्षक बनाता है जहां क्लाइंट प्रमाणपत्रों को प्रबंधित करना व्यावहारिक नहीं है।

हालांकि, पासवर्ड (MSCHAPv2 के माध्यम से) पर PEAP की निर्भरता सुरक्षा जोखिम पैदा करती है। यदि क्लाइंट डिवाइस को सर्वर के प्रमाणपत्र को सत्यापित करने के लिए कड़ाई से कॉन्फ़िगर नहीं किया गया है, तो उपयोगकर्ताओं को एक नकली एक्सेस पॉइंट (एक "evil twin" हमला) से कनेक्ट करने के लिए धोखा दिया जा सकता है। नकली AP तब MSCHAPv2 चैलेंज-रिस्पॉन्स को कैप्चर कर सकता है, जिसे उपयोगकर्ता के पासवर्ड को पुनः प्राप्त करने के लिए ऑफ़लाइन क्रैक किया जा सकता है। इसलिए, PEAP को तैनात करते समय समूह नीति (Group Policy) या MDM के माध्यम से सख्त सर्वर प्रमाणपत्र सत्यापन लागू करना एक अनिवार्य सुरक्षा नियंत्रण है।

EAP-TLS (EAP-Transport Layer Security)

EAP-TLS एंटरप्राइज वायरलेस सुरक्षा के लिए स्वर्ण मानक का प्रतिनिधित्व करता है। PEAP के विपरीत, EAP-TLS को पारस्परिक प्रमाणपत्र प्रमाणीकरण (mutual certificate authentication) की आवश्यकता होती है। कोई भी नेटवर्क एक्सेस दिए जाने से पहले RADIUS सर्वर और क्लाइंट डिवाइस दोनों को एक वैध डिजिटल प्रमाणपत्र प्रस्तुत करना होगा।

यह पारस्परिक प्रमाणीकरण पासवर्ड की आवश्यकता को पूरी तरह से समाप्त कर देता है, जिससे क्रेडेंशियल चोरी, डिक्शनरी हमले और नकली AP हमले अप्रभावी हो जाते हैं। यदि किसी डिवाइस में सही क्लाइंट प्रमाणपत्र नहीं है, तो वह नेटवर्क से कनेक्ट नहीं हो सकता है। Retail क्षेत्र में PCI-DSS या Healthcare में HIPAA जैसी सख्त नियामक आवश्यकताओं के अधीन संगठनों के लिए, EAP-TLS दृढ़ता से अनुशंसित दृष्टिकोण है।

इस बढ़ी हुई सुरक्षा का समझौता परिनियोजन की जटिलता है। EAP-TLS को लागू करने के लिए प्रमाणपत्र जारी करने, नवीनीकृत करने और निरस्त करने के लिए एक मजबूत पब्लिक की इन्फ्रास्ट्रक्चर (PKI) की आवश्यकता होती है। इसके लिए एंडपॉइंट्स पर इन प्रमाणपत्रों को सुरक्षित रूप से वितरित करने के लिए एक मोबाइल डिवाइस प्रबंधन (MDM) समाधान, जैसे कि Microsoft Intune या Jamf की भी आवश्यकता होती है। Apple वातावरण पर मार्गदर्शन के लिए, Jamf और RADIUS: Apple डिवाइसों के लिए प्रमाणपत्र-आधारित WiFi प्रमाणीकरण पर हमारी गाइड देखें। EAP-TLS कॉर्पोरेट-स्वामित्व वाले, प्रबंधित डिवाइस बेड़े के लिए इष्टतम विकल्प है जहां सुरक्षा सर्वोपरि है।

eap_security_comparison_chart.png

EAP-TTLS (EAP Tunneled TLS)

Funk Software और Certicom द्वारा सह-विकसित EAP-TTLS, सर्वर-साइड प्रमाणपत्र का उपयोग करके एक एन्क्रिप्टेड TLS टनल स्थापित करके PEAP के समान काम करता है। मुख्य अंतर आंतरिक प्रमाणीकरण विधि के संबंध में इसकी लचीलापन है। जबकि PEAP काफी हद तक MSCHAPv2 से जुड़ा हुआ है, EAP-TTLS टनल के भीतर PAP, CHAP, या MSCHAP सहित लगभग किसी भी प्रमाणीकरण प्रोटोकॉल को सुरक्षित रूप से समाहित कर सकता है।

यह लचीलापन EAP-TTLS को उन वातावरणों में अत्यधिक मूल्यवान बनाता है जिन्हें पुराने LDAP निर्देशिकाओं, RADIUS प्रॉक्सी, या गैर-Microsoft पहचान स्टोरों के खिलाफ प्रमाणित करने की आवश्यकता होती है जो मूल रूप से MSCHAPv2 का समर्थन नहीं करते हैं। यह प्रसिद्ध रूप से Eduroam के लिए अंतर्निहित प्रोटोकॉल है, जो अंतर्राष्ट्रीय अनुसंधान और शिक्षा समुदाय के लिए वैश्विक रोमिंग एक्सेस सेवा है। ऐतिहासिक रूप से, EAP-TTLS के लिए मूल क्लाइंट समर्थन PEAP की तुलना में कम सर्वव्यापी था, जिसके लिए अक्सर पुराने Windows संस्करणों पर तीसरे पक्ष के सप्लीकेंट्स की आवश्यकता होती थी, लेकिन आधुनिक ऑपरेटिंग सिस्टम अब मजबूत मूल समर्थन प्रदान करते हैं।

EAP-FAST (Flexible Authentication via Secure Tunneling)

अत्यधिक असुरक्षित LEAP प्रोटोकॉल के त्वरित प्रतिस्थापन के रूप में Cisco द्वारा विकसित, EAP-FAST को डिजिटल प्रमाणपत्रों को तैनात करने की सख्त आवश्यकता के बिना सुरक्षित प्रमाणीकरण प्रदान करने के लिए डिज़ाइन किया गया था। सुरक्षित टनल स्थापित करने के लिए सर्वर प्रमाणपत्र का उपयोग करने के बजाय, EAP-FAST प्रोटेक्टेड एक्सेस क्रेडेंशियल (PACs) पर निर्भर करता है—डेटा के अपारदर्शी ब्लॉक जो प्रमाणीकरण सर्वर द्वारा क्लाइंट्स को गतिशील रूप से प्रदान किए जाते हैं।

EAP-FAST अपनी तीव्र सत्र पुनरारंभ (session resumption) क्षमताओं के लिए जाना जाता है। हालांकि यह एक सुरक्षित, एन्क्रिप्टेड टनल प्रदान करता है, मानक X.509 प्रमाणपत्रों के बजाय PACs पर इसकी निर्भरता इसे कुछ हद तक मालिकाना (proprietary) बनाती है और आधुनिक, विक्रेता-तटस्थ ज़ीरो-ट्रस्ट आर्किटेक्चर के साथ कम संरेखित करती है। आज, EAP-FAST मुख्य रूप से पुराने Cisco-केंद्रित वातावरण, विशिष्ट IoT परिनियोजन, या विशेष मजबूत (ruggedised) उपकरणों में प्रासंगिक है। अधिकांश नए एंटरप्राइज परिनियोजनों के लिए, PEAP या EAP-TLS को प्राथमिकता दी जाती है।

कार्यान्वयन गाइड

802.1X प्रमाणीकरण को तैनात करने के लिए वायरलेस एक्सेस पॉइंट्स से लेकर RADIUS इन्फ्रास्ट्रक्चर और पहचान प्रदाताओं तक, नेटवर्क स्टैक में सावधानीपूर्वक योजना की आवश्यकता होती है। Purple के प्लेटफॉर्म के साथ एकीकृत करते समय, हमारे RADIUS सर्वर सभी प्रमुख EAP विधियों का समर्थन करते हैं, जिससे उपयोगकर्ता Wayfinding या WiFi Analytics जैसी सुविधाओं के साथ बातचीत करने से पहले निर्बाध प्रमाणीकरण सुनिश्चित करते हैं।

eap_deployment_scenario.png

चरण 1: प्रमाणीकरण रणनीति को परिभाषित करें

अपने एंडपॉइंट बेड़े का आकलन करें। यदि डिवाइस कॉर्पोरेट-स्वामित्व वाले हैं और MDM के माध्यम से प्रबंधित हैं, तो EAP-TLS को लक्षित करें। यदि आप BYOD का समर्थन कर रहे हैं, तो PEAP व्यावहारिक विकल्प है। सुनिश्चित करें कि आपका पहचान प्रदाता (Active Directory, Google Workspace, Okta) आवश्यक प्रोटोकॉल (जैसे, PEAP के लिए MSCHAPv2) का समर्थन करता है।

चरण 2: प्रमाणपत्र प्रबंधन

EAP-FAST को छोड़कर अन्य सभी विधियों के लिए, आपको अपने RADIUS सर्वर पर एक सर्वर प्रमाणपत्र तैनात करना होगा। क्लाइंट-साइड ट्रस्ट चेतावनियों को कम करने के लिए यह प्रमाणपत्र आदर्श रूप से एक विश्वसनीय सार्वजनिक प्रमाणपत्र प्राधिकरण (CA) द्वारा जारी किया जाना चाहिए, हालांकि यदि आप सभी एंडपॉइंट्स को नियंत्रित करते हैं तो एक आंतरिक एंटरप्राइज CA का उपयोग किया जा सकता है। EAP-TLS के लिए, अपना PKI स्थापित करें और अपने MDM को सही सब्जेक्ट अल्टरनेटिव नेम (SAN) मैपिंग के साथ क्लाइंट प्रमाणपत्रों को स्वचालित रूप से प्रदान करने के लिए कॉन्फ़िगर करें।

चरण 3: RADIUS और एक्सेस पॉइंट कॉन्फ़िगरेशन

अपने वायरलेस एक्सेस पॉइंट्स को WPA2-Enterprise या WPA3-Enterprise का उपयोग करने के लिए कॉन्फ़िगर करें, उन्हें सही साझा रहस्यों (shared secrets) के साथ अपने RADIUS सर्वर IP पतों पर निर्देशित करें। RADIUS सर्वर पर, अपनी नेटवर्क नीतियां परिभाषित करें, अनुमत EAP विधियों को निर्दिष्ट करें और उपयोगकर्ता या डिवाइस समूह सदस्यता के आधार पर सफल प्रमाणीकरण को उपयुक्त VLANs से मैप करें।

चरण 4: एंडपॉइंट सप्लीकेंट कॉन्फ़िगरेशन

सुरक्षा के लिए यह सबसे महत्वपूर्ण चरण है। PEAP के लिए, डिवाइसों पर पूर्व-कॉन्फ़िगर किए गए WiFi प्रोफाइल को पुश करने के लिए MDM या समूह नीति (Group Policy) का उपयोग करें। इस प्रोफाइल में स्पष्ट रूप से विश्वसनीय RADIUS सर्वर नाम और सर्वर प्रमाणपत्र जारी करने वाले विश्वसनीय रूट CA को निर्दिष्ट किया जाना चाहिए। महत्वपूर्ण रूप से, उस विकल्प को अक्षम करें जो उपयोगकर्ताओं को नए सर्वर या प्रमाणपत्रों पर भरोसा करने के लिए प्रेरित करता है।

सर्वोत्तम प्रथाएं

  1. प्रमाणपत्रों के लिए कभी भी उपयोगकर्ता के निर्णय पर निर्भर न रहें: PEAP या EAP-TTLS को तैनात करते समय, विशिष्ट सर्वर प्रमाणपत्रों पर भरोसा करने के लिए हमेशा एंडपॉइंट सप्लीकेंट्स को पहले से कॉन्फ़िगर करें। प्रमाणपत्र चेतावनी पर "स्वीकार करें" क्लिक करने के लिए उपयोगकर्ताओं पर भरोसा करना संपूर्ण सुरक्षा मॉडल को कमजोर करता है और नेटवर्क को नकली AP हमलों के प्रति संवेदनशील बनाता है।
  2. प्रमाणपत्र जीवनचक्र प्रबंधन को स्वचालित करें: प्रमाणपत्र की समाप्ति 802.1X आउटेज का एक प्रमुख कारण है। EAP-TLS परिनियोजनों में RADIUS सर्वर प्रमाणपत्र और क्लाइंट प्रमाणपत्र दोनों के लिए स्वचालित निगरानी और नवीनीकरण प्रक्रियाएं लागू करें।
  3. WPA3-Enterprise लागू करें: जहां क्लाइंट समर्थन अनुमति देता है, वहां WPA3-Enterprise पर संक्रमण करें। यह प्रोटेक्टेड मैनेजमेंट फ्रेम्स (PMF) के उपयोग को अनिवार्य करता है और 192-बिट सुरक्षा सूट विकल्प प्रदान करता है, जो WPA2 की तुलना में अधिक मजबूत क्रिप्टोग्राफिक सुरक्षा प्रदान करता है।
  4. नेटवर्क को विभाजित करें: प्रमाणित उपयोगकर्ताओं को उनकी भूमिका के आधार पर विशिष्ट VLANs में गतिशील रूप से असाइन करने के लिए RADIUS विशेषताओं (जैसे Filter-Id या Tunnel-Private-Group-Id) का उपयोग करें, जिससे अतिथि ट्रैफ़िक को कॉर्पोरेट संपत्तियों से अलग किया जा सके। आधुनिक नेटवर्क डिज़ाइन के बारे में अधिक जानने के लिए, आधुनिक व्यवसायों के लिए मुख्य SD WAN लाभ की समीक्षा करें।

समस्या निवारण और जोखिम न्यूनीकरण

EAP परिनियोजनों में सामान्य विफलता मोड आमतौर पर प्रमाणपत्र सत्यापन और पहचान प्रदाता एकीकरण के इर्द-गिर्द घूमते हैं।

  • लक्षण: RADIUS सर्वर अपडेट के बाद क्लाइंट कनेक्ट होने में विफल रहते हैं।
    • जोखिम: नया सर्वर प्रमाणपत्र क्लाइंट्स द्वारा विश्वसनीय रूट CA द्वारा जारी नहीं किया गया था, या सर्वर का नाम बदल गया था।
    • न्यूनीकरण: हमेशा स्टेजिंग वातावरण में प्रमाणपत्र रोलओवर का परीक्षण करें। सुनिश्चित करें कि नया प्रमाणपत्र श्रृंखला सभी एंडपॉइंट प्रोफाइल द्वारा पूरी तरह से विश्वसनीय है।
  • लक्षण: iOS डिवाइस ठीक से कनेक्ट होते हैं, लेकिन Windows डिवाइस विफल हो जाते हैं।
    • जोखिम: Windows सप्लीकेंट्स अक्सर सर्वर प्रमाणपत्र पर सर्वर नाम संकेत (SNI) या विशिष्ट EKU (विस्तारित कुंजी उपयोग) विशेषताओं को सत्यापित करने के बारे में अधिक सख्त होते हैं।
    • न्यूनीकरण: सत्यापित करें कि सर्वर प्रमाणपत्र में 'सर्वर प्रमाणीकरण' EKU शामिल है और SAN Windows WiFi प्रोफाइल में कॉन्फ़िगर किए गए नाम से मेल खाता है।

ROI और व्यावसायिक प्रभाव

एक मजबूत EAP विधि पर संक्रमण केवल सुरक्षा से परे महत्वपूर्ण व्यावसायिक मूल्य प्रदान करता है। साझा पासवर्ड को समाप्त करके, IT टीमें पासवर्ड रीसेट या समझौता किए गए PSKs से संबंधित हेल्पडेस्क टिकटों के परिचालन ओवरहेड को कम करती हैं। Hospitality जैसे वातावरण में, जहां कर्मचारियों का टर्नओवर अधिक हो सकता है, प्रमाणपत्र-आधारित प्रमाणीकरण (EAP-TLS) यह सुनिश्चित करता है कि डिवाइस के वाइप होने या प्रमाणपत्र समाप्त होने पर वैश्विक पासवर्ड बदलने की आवश्यकता के बिना एक्सेस स्वचालित रूप से निरस्त हो जाए।

इसके अलावा, मजबूत प्रमाणीकरण PCI-DSS और GDPR जैसे अनुपालन ढांचे के लिए एक पूर्व-आवश्यकता है। मजबूत एक्सेस नियंत्रणों का प्रदर्शन करके, संगठन डेटा उल्लंघनों से जुड़े नियामक जुर्मानों और प्रतिष्ठित क्षति के जोखिम को कम करते हैं। स्थल के बुनियादी ढांचे के उन्नयन पर व्यापक नज़र डालने के लिए, आधुनिक हॉस्पिटैलिटी WiFi समाधान जिसके आपके मेहमान हकदार हैं देखें।

पॉडकास्ट ब्रीफिंग

EAP विधियों पर हमारी 10 मिनट की तकनीकी ब्रीफिंग सुनें, जिसमें कार्यान्वयन रणनीतियों और सामान्य कमियों को शामिल किया गया है: eap_methods_compared_peap_eap_tls_eap_ttls_and_eap_fast_podcast.wav

मुख्य परिभाषाएं

802.1X

पोर्ट-आधारित नेटवर्क एक्सेस नियंत्रण के लिए एक IEEE मानक जो LAN या WLAN से जुड़ने के इच्छुक उपकरणों को एक प्रमाणीकरण तंत्र प्रदान करता है।

IT टीमें असुरक्षित साझा पासवर्ड (PSKs) को व्यक्तिगत, एंटरप्राइज-ग्रेड प्रमाणीकरण से बदलने के लिए 802.1X लागू करती हैं।

RADIUS (Remote Authentication Dial-In User Service)

एक नेटवर्किंग प्रोटोकॉल जो उन उपयोगकर्ताओं के लिए केंद्रीकृत प्रमाणीकरण, प्राधिकरण और लेखांकन (AAA) प्रबंधन प्रदान करता है जो नेटवर्क सेवा से जुड़ते हैं और उसका उपयोग करते हैं।

RADIUS सर्वर 802.1X परिनियोजन के केंद्रीय मस्तिष्क के रूप में कार्य करता है, एक पहचान प्रदाता के खिलाफ क्रेडेंशियल्स को सत्यापित करता है और एक्सेस पॉइंट को बताता है कि कनेक्शन की अनुमति दी जाए या नहीं।

Supplicant

एक एंडपॉइंट डिवाइस (लैपटॉप, स्मार्टफोन) पर सॉफ्टवेयर क्लाइंट जो 802.1X के माध्यम से नेटवर्क एक्सेस पर बातचीत करने के लिए प्रमाणक (एक्सेस पॉइंट) के साथ संचार करता है।

गलत तरीके से कॉन्फ़िगर किए गए सप्लीकेंट्स PEAP परिनियोजनों में सुरक्षा कमजोरियों का प्राथमिक कारण हैं, विशेष रूप से तब जब सर्वर प्रमाणपत्र सत्यापन अक्षम होता है।

Mutual Authentication

एक सुरक्षा प्रक्रिया जिसमें संचार लिंक में दोनों संस्थाएं एक-दूसरे को प्रमाणित करती हैं (जैसे, क्लाइंट सर्वर को सत्यापित करता है, और सर्वर क्लाइंट को सत्यापित करता है)।

नकली AP हमलों को रोकने के लिए महत्वपूर्ण; EAP-TLS इसे स्वाभाविक रूप से लागू करता है, जबकि PEAP को क्लाइंट-टू-सर्वर सत्यापन प्राप्त करने के लिए सख्त सप्लीकेंट कॉन्फ़िगरेशन की आवश्यकता होती है।

PKI (Public Key Infrastructure)

डिजिटल प्रमाणपत्र बनाने, प्रबंधित करने, वितरित करने, उपयोग करने, संग्रहीत करने और निरस्त करने के लिए आवश्यक भूमिकाओं, नीतियों, हार्डवेयर, सॉफ्टवेयर और प्रक्रियाओं का एक सेट।

EAP-TLS को तैनात करने के लिए एक मजबूत PKI पूर्व-आवश्यकता है, जो अक्सर छोटी IT टीमों के लिए प्रवेश की सबसे बड़ी बाधा का प्रतिनिधित्व करती है।

Evil Twin Attack

एक नकली वायरलेस एक्सेस पॉइंट जो वायरलेस संचार की जासूसी करने या क्रेडेंशियल चुराने के लिए एक वैध एंटरप्राइज नेटवर्क का रूप धारण करता है।

यह खराब तरीके से कॉन्फ़िगर किए गए PEAP परिनियोजनों के खिलाफ प्राथमिक खतरा वेक्टर है जहां क्लाइंट RADIUS सर्वर प्रमाणपत्र को सत्यापित नहीं करते हैं।

PAC (Protected Access Credential)

एक प्रमाणीकरण सर्वर द्वारा क्लाइंट को गतिशील रूप से प्रदान किया गया एक मजबूत साझा रहस्य, जिसका उपयोग विशेष रूप से EAP-FAST में एक सुरक्षित टनल स्थापित करने के लिए किया जाता है।

PACs डिजिटल प्रमाणपत्रों की तैनाती की आवश्यकता के बिना EAP-FAST को सुरक्षित प्रमाणीकरण प्रदान करने की अनुमति देते हैं।

MDM (Mobile Device Management)

एक IT विभाग द्वारा कई मोबाइल सेवा प्रदाताओं और कई मोबाइल ऑपरेटिंग सिस्टमों में कर्मचारियों के मोबाइल उपकरणों की निगरानी, प्रबंधन और सुरक्षा के लिए उपयोग किया जाने वाला सुरक्षा सॉफ्टवेयर।

आधुनिक EAP-TLS परिनियोजनों के लिए MDM आवश्यक है, जिससे IT को कॉर्पोरेट उपकरणों पर क्लाइंट प्रमाणपत्र और सख्त WiFi प्रोफाइल को चुपचाप पुश करने की अनुमति मिलती है।

हल किए गए उदाहरण

एक राष्ट्रीय रिटेल श्रृंखला को 500 स्टोरों में पॉइंट-ऑफ-सेल (POS) टैबलेट के लिए सुरक्षित WiFi तैनात करने की आवश्यकता है। टैबलेट कॉर्पोरेट-स्वामित्व वाले हैं और Microsoft Intune के माध्यम से प्रबंधित हैं। उन्हें PCI-DSS आवश्यकताओं का अनुपालन करना होगा। उन्हें कौन सी EAP विधि तैनात करनी चाहिए और कैसे?

संगठन को EAP-TLS तैनात करना चाहिए। Microsoft Intune का उपयोग करके, वे प्रत्येक POS टैबलेट पर विशिष्ट क्लाइंट प्रमाणपत्रों को स्वचालित रूप से प्रदान करने के लिए एक साधारण प्रमाणपत्र नामांकन प्रोटोकॉल (SCEP) प्रोफ़ाइल को कॉन्फ़िगर करेंगे। फिर वे Intune के माध्यम से एक WiFi प्रोफ़ाइल पुश करेंगे जो टैबलेट को WPA2/WPA3-Enterprise का उपयोग करके कनेक्ट करने के लिए कॉन्फ़िगर करती है, प्रमाणीकरण विधि के रूप में EAP-TLS निर्दिष्ट करती है और प्रदान किए गए क्लाइंट प्रमाणपत्र का चयन करती है। RADIUS सर्वर को इन प्रमाणपत्रों के आधार पर उपकरणों को प्रमाणित करने के लिए कॉन्फ़िगर किया जाएगा, जिससे उन्हें एक प्रतिबंधित PCI-अनुपालन VLAN से मैप किया जा सके।

परीक्षक की टिप्पणी: यहाँ EAP-TLS ही एकमात्र सही विकल्प है। PCI-DSS कार्डधारक डेटा को संभालने वाले वातावरण को कड़ाई से नियंत्रित करता है। PEAP पासवर्ड पर निर्भर करेगा, जो समझौते के प्रति संवेदनशील हैं और जिनके लिए जटिल रोटेशन नीतियों की आवश्यकता होती है। EAP-TLS पारस्परिक प्रमाणीकरण प्रदान करता है और पासवर्ड को पूरी तरह से हटा देता है, जिससे सख्त अनुपालन आवश्यकताएं पूरी होती हैं। Intune के माध्यम से परिनियोजन को प्रबंधित करना EAP-TLS से जुड़ी पारंपरिक जटिलता को समाप्त करता है।

एक बड़े विश्वविद्यालय को व्यक्तिगत लैपटॉप, स्मार्टफोन और टैबलेट (BYOD) के मिश्रण का उपयोग करने वाले 20,000 छात्रों के लिए सुरक्षित WiFi प्रदान करने की आवश्यकता है। विश्वविद्यालय पहचान प्रबंधन के लिए Active Directory का उपयोग करता है। उन्हें 802.1X के प्रति क्या दृष्टिकोण अपनाना चाहिए?

विश्वविद्यालय को MSCHAPv2 के साथ PEAP तैनात करना चाहिए। वे अपने RADIUS सर्वर पर एक प्रसिद्ध सार्वजनिक प्रमाणपत्र प्राधिकरण (जैसे, DigiCert, Let's Encrypt) से एक सर्वर प्रमाणपत्र स्थापित करेंगे। सुरक्षा सुनिश्चित करने के लिए, उन्हें एक ऑनबोर्डिंग टूल (जैसे SecureW2 या एक कस्टम ऐप) प्रदान करना होगा जो छात्रों के उपकरणों को स्वचालित रूप से कॉन्फ़िगर करता है। यह टूल WiFi प्रोफ़ाइल बनाएगा, स्पष्ट रूप से विश्वसनीय RADIUS सर्वर नामों को परिभाषित करेगा, और सर्वर प्रमाणपत्र सत्यापन लागू करेगा, जिससे छात्रों को नकली APs से कनेक्ट होने से रोका जा सकेगा।

परीक्षक की टिप्पणी: PEAP बड़े पैमाने पर BYOD परिनियोजनों के लिए व्यावहारिक विकल्प है क्योंकि अप्रबंधित उपकरणों (EAP-TLS) के लिए 20,000 क्लाइंट प्रमाणपत्र जारी करना और प्रबंधित करना एक परिचालन दुःस्वप्न है। यहाँ सफलता का महत्वपूर्ण कारक ऑनबोर्डिंग टूल है। यदि छात्र मैन्युअल रूप से अपने उपकरणों को कॉन्फ़िगर करते हैं, तो वे संभवतः सर्वर सत्यापन को सही ढंग से कॉन्फ़िगर करने में विफल रहेंगे, जिससे उनके Active Directory क्रेडेंशियल इंटरसेप्शन के प्रति संवेदनशील हो जाएंगे।

अभ्यास प्रश्न

Q1. आपका संगठन Google Workspace से एक नए क्लाउड-आधारित पहचान प्रदाता पर माइग्रेट कर रहा है जो केवल LDAP का समर्थन करता है और MSCHAPv2 का समर्थन नहीं करता है। आपको पुराने उपकरणों के लिए अपने मौजूदा पासवर्ड-आधारित 802.1X WiFi को बनाए रखने की आवश्यकता है। आपको अपने RADIUS सर्वर पर कौन सी EAP विधि कॉन्फ़िगर करनी होगी?

संकेत: विचार करें कि कौन सी टनल विधि MSCHAPv2 के अलावा अन्य आंतरिक प्रमाणीकरण प्रोटोकॉल की अनुमति देती है।

मॉडल उत्तर देखें

आपको EAP-TTLS कॉन्फ़िगर करना होगा। PEAP के विपरीत, जो आंतरिक प्रमाणीकरण के लिए MSCHAPv2 पर बहुत अधिक निर्भर है, EAP-TTLS अपने सुरक्षित TLS टनल के भीतर PAP या CHAP जैसे पुराने प्रोटोकॉल को समाहित कर सकता है, जिससे यह उन LDAP निर्देशिकाओं के साथ इंटरफेस कर सकता है जिनमें MSCHAPv2 समर्थन की कमी है।

Q2. एक सुरक्षा ऑडिट से पता चलता है कि जब उपयोगकर्ता कॉफी शॉप में सार्वजनिक WiFi नेटवर्क से अपने स्मार्टफोन कनेक्ट करते हैं तो उनके Active Directory पासवर्ड से समझौता हो रहा है। हमलावर कॉर्पोरेट SSID का प्रसारण कर रहे हैं। आपका वर्तमान परिनियोजन PEAP का उपयोग करता है। EAP विधि को बदले बिना आप इसे कैसे कम कर सकते हैं?

संकेत: समस्या यह है कि क्लाइंट डिवाइस आँख बंद करके नकली AP पर भरोसा कर रहे हैं। आप क्लाइंट को यह सत्यापित करने के लिए कैसे बाध्य करते हैं कि वह वास्तविक कॉर्पोरेट नेटवर्क से बात कर रहा है?

मॉडल उत्तर देखें

आपको सख्त सर्वर प्रमाणपत्र सत्यापन लागू करने के लिए एंडपॉइंट सप्लीकेंट्स (MDM या समूह नीति के माध्यम से) को कॉन्फ़िगर करना होगा। WiFi प्रोफ़ाइल में स्पष्ट रूप से विश्वसनीय कॉर्पोरेट RADIUS सर्वर के नाम और उनके प्रमाणपत्र जारी करने वाले विशिष्ट रूट CA को निर्दिष्ट किया जाना चाहिए। इसके अतिरिक्त, आपको उस सेटिंग को अक्षम करना होगा जो उपयोगकर्ताओं को अज्ञात प्रमाणपत्रों पर भरोसा करने के लिए प्रेरित करती है, जिससे यह सुनिश्चित हो सके कि सर्वर प्रमाणित न होने पर कनेक्शन चुपचाप विफल हो जाए।

Q3. आप एक गोदाम में मजबूत (ruggedised) बारकोड स्कैनर का एक बेड़ा तैनात कर रहे हैं। डिवाइस एक लीगेसी एम्बेडेड OS चलाते हैं जो WPA2-Enterprise या मानक 802.1X प्रमाणपत्रों का समर्थन नहीं करता है, लेकिन वे Cisco Compatible Extensions (CCX) का समर्थन करते हैं। आपको सुरक्षित प्रमाणीकरण की आवश्यकता है। उपयोग करने के लिए सबसे संभावित EAP विधि क्या है?

संकेत: उस प्रोटोकॉल की तलाश करें जिसे विशेष रूप से Cisco द्वारा उन वातावरणों के लिए विकसित किया गया है जहां प्रमाणपत्र परिनियोजन चुनौतीपूर्ण या असंभव है।

मॉडल उत्तर देखें

EAP-FAST यहाँ उपयुक्त विकल्प है। इसे Cisco द्वारा विशेष रूप से उन वातावरणों के लिए डिज़ाइन किया गया था जहाँ प्रमाणपत्रों को तैनात करना व्यावहारिक नहीं है। यह सुरक्षित टनल स्थापित करने के लिए गतिशील रूप से प्रदान किए गए प्रोटेक्टेड एक्सेस क्रेडेंशियल (PACs) का उपयोग करता है, जिससे यह लीगेसी या विशेष हार्डवेयर के लिए उपयुक्त हो जाता है जो CCX का समर्थन करता है लेकिन जिसमें मजबूत PKI क्षमताओं की कमी है।

इस श्रृंखला में आगे पढ़ें

Server RADIUS: व्यवसायों के लिए एक व्यापक गाइड

यह गाइड IT प्रबंधकों, नेटवर्क आर्किटेक्ट्स और CTOs को एंटरप्राइज WiFi के लिए server RADIUS प्रमाणीकरण पर एक निश्चित तकनीकी संदर्भ प्रदान करती है। इसमें AAA फ्रेमवर्क, 802.1X आर्किटेक्चर, EAP विधि चयन, क्लाउड बनाम ऑन-प्रिमाइसेस डिप्लॉयमेंट के बीच समझौता, और डायनेमिक VLAN असाइनमेंट शामिल हैं। हॉस्पिटैलिटी, रिटेल, इवेंट्स और सार्वजनिक क्षेत्र के वेन्यू ऑपरेटरों को इसमें व्यावहारिक कार्यान्वयन मार्गदर्शन, वास्तविक दुनिया के केस स्टडीज और असुरक्षित प्री-शेयर्ड कीज़ से एक सुरक्षित, पहचान-आधारित नेटवर्क एक्सेस कंट्रोल आर्किटेक्चर पर माइग्रेट करने के लिए आवश्यक निर्णय फ्रेमवर्क मिलेंगे।

गाइड पढ़ें →

Aruba ClearPass बनाम Purple WiFi: सुविधाओं और सह-तैनाती (Co-deployment) की तुलना

Aruba ClearPass और Purple WiFi के सह-तैनाती आर्किटेक्चर का विवरण देने वाली एक व्यापक तकनीकी मार्गदर्शिका। इसमें RADIUS प्रॉक्सी कॉन्फ़िगरेशन, डायनेमिक VLAN असाइनमेंट, और एंटरप्राइज़ NAC के साथ सुरक्षित, एनालिटिक्स-संचालित गेस्ट नेटवर्क प्रदान करने के लिए सर्वोत्तम अभ्यास शामिल हैं।

गाइड पढ़ें →

Cisco ISE बनाम Purple WiFi: वे कैसे तुलना करते हैं और एक साथ कैसे काम करते हैं

यह मार्गदर्शिका बताती है कि कैसे Cisco ISE और Purple WiFi एंटरप्राइज़ नेटवर्क में अलग लेकिन पूरक भूमिकाएं निभाते हैं। यह विवरण देता है कि सुरक्षित 802.1X कॉर्पोरेट एक्सेस के लिए Cisco ISE का उपयोग कैसे करें, जबकि GDPR-अनुरूप अतिथि WiFi, मार्केटिंग एनालिटिक्स और CRM एकीकरण के लिए Purple का लाभ उठाएं।

गाइड पढ़ें →