मुख्य सामग्री पर जाएं
हिन्दी

EAP विधियों की तुलना: PEAP, EAP-TLS, EAP-TTLS, और EAP-FAST

यह आधिकारिक तकनीकी संदर्भ गाइड एंटरप्राइज WiFi ऑथेंटिकेशन के लिए PEAP, EAP-TLS, EAP-TTLS, और EAP-FAST की तुलना प्रदान करती है। यह IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स को इष्टतम 802.1X परिनियोजन रणनीति चुनने में मदद करने के लिए सुरक्षा स्थिति, परिनियोजन जटिलता और डिवाइस संगतता पर व्यावहारिक मार्गदर्शन प्रदान करती है।

📖 6 मिनट का पाठ📝 1,483 शब्द🔧 2 हल किए गए उदाहरण3 अभ्यास प्रश्न📚 8 मुख्य परिभाषाएं

header_image.png

कार्यकारी सारांश

एंटरप्राइज IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए, सही एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल (EAP) विधि चुनना एक महत्वपूर्ण निर्णय है जो सुरक्षा स्थिति, परिनियोजन जटिलता और उपयोगकर्ता अनुभव को संतुलित करता है। जैसे-जैसे संगठन कमजोर प्री-शेयर्ड कीज़ (PSKs) से आगे बढ़कर 802.1X ऑथेंटिकेशन की ओर बढ़ रहे हैं, विकल्प आमतौर पर चार प्राथमिक विधियों तक सीमित हो जाता है: PEAP, EAP-TLS, EAP-TTLS, और EAP-FAST। यह गाइड इन विधियों की एक सीधी, तकनीकी तुलना प्रदान करती है, जो आपको अपने अतिथि WiFi और आंतरिक कॉर्पोरेट नेटवर्क के लिए सूचित आर्किटेक्चरल निर्णय लेने में सक्षम बनाती है। हम पासवर्ड-आधारित टनल विधियों और म्यूचुअल सर्टिफिकेट ऑथेंटिकेशन के बीच सुरक्षा अंतरों की जांच करेंगे, मूल्यांकन करेंगे कि विशिष्ट विधियां कब उपयुक्त हैं, और आधुनिक एंटरप्राइज वातावरण के लिए व्यावहारिक कार्यान्वयन मार्गदर्शन प्रदान करेंगे।

तकनीकी गहन विश्लेषण: EAP विधियों की तुलना

PEAP (Protected EAP)

PEAP को व्यापक रूप से 802.1X ऑथेंटिकेशन के लिए एंटरप्राइज वर्कहॉर्स माना जाता है। Cisco, Microsoft और RSA Security द्वारा सह-विकसित, यह सर्वर-साइड सर्टिफिकेट का उपयोग करके एक एन्क्रिप्टेड TLS टनल बनाता है। इस सुरक्षित टनल के भीतर, क्लाइंट एक लीगेसी विधि का उपयोग करके ऑथेंटिकेट करता है, जो आमतौर पर MSCHAPv2 है।

PEAP का प्राथमिक लाभ Windows, macOS, iOS, और Android सहित आधुनिक ऑपरेटिंग सिस्टमों में इसका लगभग सार्वभौमिक मूल समर्थन है। चूंकि इसके लिए केवल RADIUS सर्वर पर सर्टिफिकेट की आवश्यकता होती है, क्लाइंट डिवाइस पर नहीं, इसलिए इसका परिनियोजन सर्टिफिकेट-आधारित विकल्पों की तुलना में काफी कम जटिल है। यह PEAP को ब्रिंग योर ओन डिवाइस (BYOD) वातावरण या परिवहन हब जैसे बड़े सार्वजनिक स्थानों के लिए अत्यधिक आकर्षक बनाता है जहां क्लाइंट सर्टिफिकेट प्रबंधित करना व्यावहारिक नहीं है।

हालांकि, पासवर्ड (MSCHAPv2 के माध्यम से) पर PEAP की निर्भरता सुरक्षा जोखिम पैदा करती है। यदि क्लाइंट डिवाइस को सर्वर के सर्टिफिकेट को सत्यापित करने के लिए कड़ाई से कॉन्फ़िगर नहीं किया गया है, तो उपयोगकर्ताओं को एक दुष्ट एक्सेस पॉइंट (एक "evil twin" हमला) से कनेक्ट करने के लिए धोखा दिया जा सकता है। दुष्ट AP तब MSCHAPv2 चैलेंज-रिस्पॉन्स को कैप्चर कर सकता है, जिसे उपयोगकर्ता का पासवर्ड रिकवर करने के लिए ऑफलाइन क्रैक किया जा सकता है। इसलिए, PEAP को तैनात करते समय ग्रुप पॉलिसी या MDM के माध्यम से सख्त सर्वर सर्टिफिकेट सत्यापन लागू करना एक अनिवार्य सुरक्षा नियंत्रण है।

EAP-TLS (EAP-Transport Layer Security)

EAP-TLS एंटरप्राइज वायरलेस सुरक्षा के लिए गोल्ड स्टैंडर्ड का प्रतिनिधित्व करता है। PEAP के विपरीत, EAP-TLS के लिए म्यूचुअल सर्टिफिकेट ऑथेंटिकेशन की आवश्यकता होती है। कोई भी नेटवर्क एक्सेस दिए जाने से पहले RADIUS सर्वर और क्लाइंट डिवाइस दोनों को एक वैध डिजिटल सर्टिफिकेट प्रस्तुत करना होगा।

यह म्यूचुअल ऑथेंटिकेशन पासवर्ड की आवश्यकता को पूरी तरह से समाप्त कर देता है, जिससे क्रेडेंशियल चोरी, डिक्शनरी हमले और दुष्ट AP हमले अप्रभावी हो जाते हैं। यदि किसी डिवाइस में सही क्लाइंट सर्टिफिकेट नहीं है, तो वह नेटवर्क से कनेक्ट नहीं हो सकता। सख्त नियामक आवश्यकताओं के अधीन संगठनों के लिए, जैसे कि रिटेल क्षेत्र में PCI-DSS या स्वास्थ्य सेवा में HIPAA, EAP-TLS दृढ़ता से अनुशंसित दृष्टिकोण है।

इस बढ़ी हुई सुरक्षा का समझौता परिनियोजन की जटिलता है। EAP-TLS को लागू करने के लिए सर्टिफिकेट जारी करने, नवीनीकृत करने और रद्द करने के लिए एक मजबूत पब्लिक की इन्फ्रास्ट्रक्चर (PKI) की आवश्यकता होती है। इसके लिए एंडपॉइंट्स पर इन सर्टिफिकेट्स को सुरक्षित रूप से वितरित करने के लिए Microsoft Intune या Jamf जैसे मोबाइल डिवाइस मैनेजमेंट (MDM) समाधान की भी आवश्यकता होती है। Apple वातावरण पर मार्गदर्शन के लिए, हमारी गाइड Jamf और RADIUS: Apple डिवाइसों के लिए सर्टिफिकेट-आधारित WiFi ऑथेंटिकेशन देखें। EAP-TLS कॉर्पोरेट-स्वामित्व वाले, प्रबंधित डिवाइस बेड़े के लिए इष्टतम विकल्प है जहां सुरक्षा सर्वोपरि है।

eap_security_comparison_chart.png

EAP-TTLS (EAP Tunneled TLS)

Funk Software और Certicom द्वारा सह-विकसित EAP-TTLS, सर्वर-साइड सर्टिफिकेट का उपयोग करके एक एन्क्रिप्टेड TLS टनल स्थापित करके PEAP के समान काम करता है। मुख्य अंतर आंतरिक ऑथेंटिकेशन विधि के संबंध में इसका लचीलापन है। जबकि PEAP काफी हद तक MSCHAPv2 से जुड़ा हुआ है, EAP-TTLS टनल के भीतर PAP, CHAP, या MSCHAP सहित लगभग किसी भी ऑथेंटिकेशन प्रोटोकॉल को सुरक्षित रूप से समाहित कर सकता है।

यह लचीलापन EAP-TTLS को उन वातावरणों में अत्यधिक मूल्यवान बनाता है जिन्हें पुराने LDAP निर्देशिकाओं, RADIUS प्रॉक्सी, या गैर-Microsoft पहचान स्टोरों के खिलाफ ऑथेंटिकेट करने की आवश्यकता होती है जो मूल रूप से MSCHAPv2 का समर्थन नहीं करते हैं। यह प्रसिद्ध रूप से Eduroam के लिए अंतर्निहित प्रोटोकॉल है, जो अंतर्राष्ट्रीय अनुसंधान और शिक्षा समुदाय के लिए वैश्विक रोमिंग एक्सेस सेवा है। ऐतिहासिक रूप से, EAP-TTLS के लिए मूल क्लाइंट समर्थन PEAP की तुलना में कम सर्वव्यापी था, जिसके लिए अक्सर पुराने Windows संस्करणों पर तीसरे-पक्ष के सप्लीकेंट्स की आवश्यकता होती थी, लेकिन आधुनिक ऑपरेटिंग सिस्टम अब मजबूत मूल समर्थन प्रदान करते हैं।

EAP-FAST (Flexible Authentication via Secure Tunneling)

अत्यधिक संवेदनशील LEAP प्रोटोकॉल के त्वरित प्रतिस्थापन के रूप में Cisco द्वारा विकसित, EAP-FAST को डिजिटल सर्टिफिकेट तैनात करने की सख्त आवश्यकता के बिना सुरक्षित ऑथेंटिकेशन प्रदान करने के लिए डिज़ाइन किया गया था। सुरक्षित टनल स्थापित करने के लिए सर्वर सर्टिफिकेट का उपयोग करने के बजाय, EAP-FAST प्रोटेक्टेड एक्सेस क्रेडेंशियल्स (PACs)—डेटा के अपारदर्शी ब्लॉक जो ऑथेंटिकेशन सर्वर द्वारा क्लाइंट्स को गतिशील रूप से प्रदान किए जाते हैं—पर निर्भर करता है।

EAP-FAST को इसकी तीव्र सत्र बहाली क्षमताओं द्वारा जाना जाता है। हालांकि यह एक सुरक्षित, एन्क्रिप्टेड टनल प्रदान करता है, मानक X.509 सर्टिफिकेट के बजाय PACs पर इसकी निर्भरता इसे कुछ हद तक मालिकाना बनाती है और आधुनिक, विक्रेता-तटस्थ जीरो-ट्रस्ट आर्किटेक्चर के साथ कम संरेखित करती है। आज, EAP-FAST मुख्य रूप से लीगेसी Cisco-केंद्रित वातावरण, विशिष्ट IoT परिनियोजन, या विशेष मजबूत उपकरणों में प्रासंगिक है। अधिकांश नए एंटरप्राइज परिनियोजनों के लिए, PEAP या EAP-TLS को प्राथमिकता दी जाती है।

कार्यान्वयन गाइड

802.1X ऑथेंटिकेशन को तैनात करने के लिए वायरलेस एक्सेस पॉइंट्स से लेकर RADIUS इन्फ्रास्ट्रक्चर और पहचान प्रदाताओं तक, पूरे नेटवर्क स्टैक में सावधानीपूर्वक योजना बनाने की आवश्यकता होती है। जब Purple के प्लेटफॉर्म के साथ एकीकृत किया जाता है, तो हमारे RADIUS सर्वर सभी प्रमुख EAP विधियों का समर्थन करते हैं, जिससे उपयोगकर्ता वेफाइंडिंग या WiFi एनालिटिक्स जैसी सुविधाओं के साथ बातचीत करने से पहले निर्बाध ऑथेंटिकेशन सुनिश्चित करते हैं।

eap_deployment_scenario.png

चरण 1: ऑथेंटिकेशन रणनीति को परिभाषित करें

अपने एंडपॉइंट बेड़े का आकलन करें। यदि डिवाइस कॉर्पोरेट-स्वामित्व वाले हैं और MDM के माध्यम से प्रबंधित हैं, तो EAP-TLS को लक्षित करें। यदि आप BYOD का समर्थन कर रहे हैं, तो PEAP व्यावहारिक विकल्प है। सुनिश्चित करें कि आपका पहचान प्रदाता (Active Directory, Google Workspace, Okta) आवश्यक प्रोटोकॉल (जैसे, PEAP के लिए MSCHAPv2) का समर्थन करता है।

चरण 2: सर्टिफिकेट प्रबंधन

EAP-FAST को छोड़कर सभी विधियों के लिए, आपको अपने RADIUS सर्वर पर एक सर्वर सर्टिफिकेट तैनात करना होगा। क्लाइंट-साइड ट्रस्ट चेतावनियों को कम करने के लिए यह सर्टिफिकेट आदर्श रूप से एक विश्वसनीय सार्वजनिक सर्टिफिकेट अथॉरिटी (CA) द्वारा जारी किया जाना चाहिए, हालांकि यदि आप सभी एंडपॉइंट्स को नियंत्रित करते हैं तो एक आंतरिक एंटरप्राइज CA का उपयोग किया जा सकता है। EAP-TLS के लिए, अपना PKI स्थापित करें और अपने MDM को सही सब्जेक्ट अल्टरनेटिव नेम (SAN) मैपिंग के साथ क्लाइंट सर्टिफिकेट को स्वचालित रूप से प्रोविज़न करने के लिए कॉन्फ़िगर करें।

चरण 3: RADIUS और एक्सेस पॉइंट कॉन्फ़िगरेशन

अपने वायरलेस एक्सेस पॉइंट्स को WPA2-Enterprise या WPA3-Enterprise का उपयोग करने के लिए कॉन्फ़िगर करें, उन्हें सही शेयर्ड सीक्रेट्स के साथ अपने RADIUS सर्वर IP पते पर इंगित करें। RADIUS सर्वर पर, अपनी नेटवर्क नीतियां परिभाषित करें, अनुमत EAP विधियों को निर्दिष्ट करें और उपयोगकर्ता या डिवाइस समूह सदस्यता के आधार पर सफल ऑथेंटिकेशन को उपयुक्त VLANs से मैप करें।

चरण 4: एंडपॉइंट सप्लीकेंट कॉन्फ़िगरेशन

सुरक्षा के लिए यह सबसे महत्वपूर्ण चरण है। PEAP के लिए, डिवाइसों पर पहले से कॉन्फ़िगर किए गए WiFi प्रोफाइल को पुश करने के लिए MDM या ग्रुप पॉलिसी का उपयोग करें। इस प्रोफाइल में स्पष्ट रूप से विश्वसनीय RADIUS सर्वर नाम और सर्वर सर्टिफिकेट जारी करने वाले विश्वसनीय रूट CA को निर्दिष्ट किया जाना चाहिए। महत्वपूर्ण रूप से, उस विकल्प को अक्षम करें जो उपयोगकर्ताओं को नए सर्वर या सर्टिफिकेट पर भरोसा करने के लिए प्रेरित करता है।

सर्वोत्तम प्रथाएं

  1. सर्टिफिकेट के लिए कभी भी उपयोगकर्ता के निर्णय पर भरोसा न करें: PEAP या EAP-TTLS को तैनात करते समय, विशिष्ट सर्वर सर्टिफिकेट पर भरोसा करने के लिए हमेशा एंडपॉइंट सप्लीकेंट्स को पहले से कॉन्फ़िगर करें। सर्टिफिकेट चेतावनी पर उपयोगकर्ताओं द्वारा "स्वीकार करें" क्लिक करने पर भरोसा करना पूरे सुरक्षा मॉडल को कमजोर करता है और नेटवर्क को दुष्ट AP हमलों के प्रति संवेदनशील बनाता है।
  2. सर्टिफिकेट लाइफसाइकिल प्रबंधन को स्वचालित करें: सर्टिफिकेट की समाप्ति 802.1X आउटेज का एक प्रमुख कारण है। EAP-TLS परिनियोजनों में RADIUS सर्वर सर्टिफिकेट और क्लाइंट सर्टिफिकेट दोनों के लिए स्वचालित निगरानी और नवीनीकरण प्रक्रियाओं को लागू करें।
  3. लागू करें WPA3-Enterprise: जहां क्लाइंट समर्थन अनुमति देता है, वहां WPA3-Enterprise पर संक्रमण करें। यह प्रोटेक्टेड मैनेजमेंट फ्रेम्स (PMF) के उपयोग को अनिवार्य करता है और 192-बिट सुरक्षा सूट विकल्प प्रदान करता है, जो WPA2 की तुलना में मजबूत क्रिप्टोग्राफिक सुरक्षा प्रदान करता।
  4. नेटवर्क को विभाजित करें: प्रमाणित उपयोगकर्ताओं को उनकी भूमिका के आधार पर विशिष्ट VLANs में गतिशील रूप से असाइन करने के लिए RADIUS विशेषताओं (जैसे Filter-Id या Tunnel-Private-Group-Id) का उपयोग करें, जिससे कॉर्पोरेट संपत्तियों से अतिथि ट्रैफ़िक को अलग किया जा सके। आधुनिक नेटवर्क डिज़ाइन के बारे में अधिक जानकारी के लिए, आधुनिक व्यवसायों के लिए मुख्य SD WAN लाभ की समीक्षा करें।

समस्या निवारण और जोखिम शमन

EAP परिनियोजनों में सामान्य विफलता मोड आमतौर पर सर्टिफिकेट सत्यापन और पहचान प्रदाता एकीकरण के इर्द-गिर्द घूमते हैं।

  • लक्षण: RADIUS सर्वर अपडेट के बाद क्लाइंट कनेक्ट होने में विफल रहते हैं।
    • जोखिम: नया सर्वर सर्टिफिकेट क्लाइंट्स द्वारा विश्वसनीय रूट CA द्वारा जारी नहीं किया गया था, या सर्वर का नाम बदल गया था।
    • शमन: हमेशा स्टेजिंग वातावरण में सर्टिफिकेट रोलओवर का परीक्षण करें। उत्पादन में लागू करने से पहले सुनिश्चित करें कि नया सर्टिफिकेट चेन सभी एंडपॉइंट प्रोफाइल द्वारा पूरी तरह से विश्वसनीय है।
  • लक्षण: iOS डिवाइस ठीक से कनेक्ट होते हैं, लेकिन Windows डिवाइस विफल हो जाते हैं।
    • जोखिम: Windows सप्लीकेंट्स अक्सर सर्वर सर्टिफिकेट पर सर्वर नेम इंडिकेशन (SNI) या विशिष्ट EKU (एक्सटेंडेड की यूसेज) विशेषताओं को सत्यापित करने के बारे में अधिक सख्त होते हैं।
    • शमन: सत्यापित करें कि सर्वर सर्टिफिकेट में 'सर्वर ऑथेंटिकेशन' EKU शामिल है और SAN Windows WiFi प्रोफाइल में कॉन्फ़िगर किए गए नाम से मेल खाता है।

ROI और व्यावसायिक प्रभाव

एक मजबूत EAP विधि पर संक्रमण केवल सुरक्षा से परे महत्वपूर्ण व्यावसायिक मूल्य प्रदान करता है। साझा पासवर्ड को समाप्त करके, IT टीमें पासवर्ड रीसेट या समझौता किए गए PSKs से संबंधित हेल्पडेस्क टिकटों के परिचालन ओवरहेड को कम करती हैं। हॉस्पिटैलिटी जैसे वातावरण में, जहां कर्मचारियों का टर्नओवर अधिक हो सकता है, सर्टिफिकेट-आधारित ऑथेंटिकेशन (EAP-TLS) यह सुनिश्चित करता है कि डिवाइस के वाइप होने या सर्टिफिकेट समाप्त होने पर एक्सेस स्वचालित रूप से रद्द हो जाए, बिना किसी वैश्विक पासवर्ड को बदलने की आवश्यकता के।

इसके अलावा, मजबूत ऑथेंटिकेशन PCI-DSS और GDPR जैसे अनुपालन ढांचे के लिए एक पूर्वापेक्षा है। मजबूत एक्सेस नियंत्रणों का प्रदर्शन करके, संगठन डेटा उल्लंघनों से जुड़े नियामक जुर्माने और प्रतिष्ठित नुकसान के जोखिम को कम करते हैं। स्थान के बुनियादी ढांचे को अपग्रेड करने पर व्यापक नज़र डालने के लिए, आधुनिक हॉस्पिटैलिटी WiFi समाधान जिसके आपके अतिथि हकदार हैं देखें।

पॉडकास्ट ब्रीफिंग

EAP विधियों पर हमारे 10 मिनट के तकनीकी ब्रीफिंग को सुनें, जिसमें कार्यान्वयन रणनीतियों और सामान्य कमियों को शामिल किया गया है: eap_methods_compared_peap_eap_tls_eap_ttls_and_eap_fast_podcast.wav

मुख्य परिभाषाएं

802.1X

पोर्ट-आधारित नेटवर्क एक्सेस नियंत्रण के लिए एक IEEE मानक जो LAN या WLAN से जुड़ने के इच्छुक उपकरणों को एक ऑथेंटिकेशन तंत्र प्रदान करता है।

IT टीमें असुरक्षित साझा पासवर्ड (PSKs) को व्यक्तिगत, एंटरप्राइज-ग्रेड ऑथेंटिकेशन से बदलने के लिए 802.1X लागू करती हैं।

RADIUS (Remote Authentication Dial-In User Service)

एक नेटवर्किंग प्रोटोकॉल जो नेटवर्क सेवा से जुड़ने और उसका उपयोग करने वाले उपयोगकर्ताओं के लिए केंद्रीकृत ऑथेंटिकेशन, ऑथराइजेशन और अकाउंटिंग (AAA) प्रबंधन प्रदान करता है।

RADIUS सर्वर 802.1X परिनियोजन के केंद्रीय मस्तिष्क के रूप में कार्य करता है, पहचान प्रदाता के खिलाफ क्रेडेंशियल्स को सत्यापित करता है और एक्सेस पॉइंट को बताता है कि कनेक्शन की अनुमति दी जाए या नहीं।

Supplicant

एक एंडपॉइंट डिवाइस (लैपटॉप, स्मार्टफोन) पर सॉफ्टवेयर क्लाइंट जो 802.1X के माध्यम से नेटवर्क एक्सेस पर बातचीत करने के लिए ऑथेंटिकेटर (एक्सेस पॉइंट) के साथ संचार करता है।

गलत तरीके से कॉन्फ़िगर किए गए सप्लीकेंट्स PEAP परिनियोजनों में सुरक्षा कमजोरियों का प्राथमिक कारण हैं, विशेष रूप से तब जब सर्वर सर्टिफिकेट सत्यापन अक्षम हो।

Mutual Authentication

एक सुरक्षा प्रक्रिया जिसमें संचार लिंक में दोनों संस्थाएं एक-दूसरे को ऑथेंटिकेट करती हैं (जैसे, क्लाइंट सर्वर को सत्यापित करता है, और सर्वर क्लाइंट को सत्यापित करता है)।

दुष्ट AP हमलों को रोकने के लिए महत्वपूर्ण; EAP-TLS इसे स्वाभाविक रूप से लागू करता है, जबकि PEAP को क्लाइंट-टू-सर्वर सत्यापन प्राप्त करने के लिए सख्त सप्लीकेंट कॉन्फ़िगरेशन की आवश्यकता होती है।

PKI (Public Key Infrastructure)

डिजिटल सर्टिफिकेट बनाने, प्रबंधित करने, वितरित करने, उपयोग करने, संग्रहीत करने और रद्द करने के लिए आवश्यक भूमिकाओं, नीतियों, हार्डवेयर, सॉफ्टवेयर और प्रक्रियाओं का एक सेट।

EAP-TLS को तैनात करने के लिए एक मजबूत PKI पूर्वापेक्षा है, जो अक्सर छोटी IT टीमों के लिए प्रवेश की सबसे बड़ी बाधा का प्रतिनिधित्व करती है।

Evil Twin Attack

एक दुष्ट वायरलेस एक्सेस पॉइंट जो वायरलेस संचार की जासूसी करने या क्रेडेंशियल चुराने के लिए एक वैध एंटरप्राइज नेटवर्क का रूप धारण करता है।

यह खराब तरीके से कॉन्फ़िगर किए गए PEAP परिनियोजनों के खिलाफ प्राथमिक खतरा वेक्टर है जहां क्लाइंट RADIUS सर्वर सर्टिफिकेट को सत्यापित नहीं करते हैं।

PAC (Protected Access Credential)

एक ऑथेंटिकेशन सर्वर द्वारा क्लाइंट को गतिशील रूप से प्रदान किया गया एक मजबूत साझा रहस्य, जिसका उपयोग विशेष रूप से EAP-FAST में एक सुरक्षित टनल स्थापित करने के लिए किया जाता है।

PACs EAP-FAST को डिजिटल सर्टिफिकेट की तैनाती की आवश्यकता के बिना सुरक्षित ऑथेंटिकेशन प्रदान करने की अनुमति देते हैं।

MDM (Mobile Device Management)

एक IT विभाग द्वारा कई मोबाइल सेवा प्रदाताओं और कई मोबाइल ऑपरेटिंग सिस्टमों में कर्मचारियों के मोबाइल उपकरणों की निगरानी, प्रबंधन और सुरक्षा के लिए उपयोग किया जाने वाला सुरक्षा सॉफ्टवेयर।

आधुनिक EAP-TLS परिनियोजनों के लिए MDM आवश्यक है, जिससे IT को कॉर्पोरेट उपकरणों पर क्लाइंट सर्टिफिकेट और सख्त WiFi प्रोफाइल को चुपचाप पुश करने की अनुमति मिलती है।

हल किए गए उदाहरण

एक राष्ट्रीय रिटेल श्रृंखला को 500 स्टोर्स में पॉइंट-ऑफ-सेल (POS) टैबलेट के लिए सुरक्षित WiFi तैनात करने की आवश्यकता है। टैबलेट कॉर्पोरेट-स्वामित्व वाले हैं और Microsoft Intune के माध्यम से प्रबंधित हैं। उन्हें PCI-DSS आवश्यकताओं का पालन करना होगा। उन्हें कौन सी EAP विधि तैनात करनी चाहिए और कैसे?

संगठन को EAP-TLS तैनात करना चाहिए। Microsoft Intune का उपयोग करके, वे प्रत्येक POS टैबलेट पर विशिष्ट क्लाइंट सर्टिफिकेट को स्वचालित रूप से प्रोविज़न करने के लिए एक सिंपल सर्टिफिकेट एनरोलमेंट प्रोटोकॉल (SCEP) प्रोफाइल को कॉन्फ़िगर करेंगे। फिर वे Intune के माध्यम से एक WiFi प्रोफाइल पुश करेंगे जो टैबलेट को WPA2/WPA3-Enterprise का उपयोग करके कनेक्ट करने के लिए कॉन्फ़िगर करता है, ऑथेंटिकेशन विधि के रूप में EAP-TLS निर्दिष्ट करता है और प्रोविज़न किए गए क्लाइंट सर्टिफिकेट का चयन करता है। RADIUS सर्वर को इन सर्टिफिकेट्स के आधार पर उपकरणों को ऑथेंटिकेट करने के लिए कॉन्फ़िगर किया जाएगा, जिससे उन्हें एक प्रतिबंधित PCI-अनुपालन VLAN से मैप किया जा सके।

परीक्षक की टिप्पणी: यहाँ EAP-TLS ही एकमात्र सही विकल्प है। PCI-DSS कार्डधारक डेटा को संभालने वाले वातावरण को कड़ाई से नियंत्रित करता है। PEAP पासवर्ड पर निर्भर करेगा, जो समझौते के प्रति संवेदनशील हैं और जिनके लिए जटिल रोटेशन नीतियों की आवश्यकता होती है। EAP-TLS म्यूचुअल ऑथेंटिकेशन प्रदान करता है और पासवर्ड को पूरी तरह से हटा देता है, जिससे सख्त अनुपालन आवश्यकताएं पूरी होती हैं। Intune के माध्यम से परिनियोजन का प्रबंधन EAP-TLS से जुड़ी पारंपरिक जटिलता को समाप्त करता है।

एक बड़े विश्वविद्यालय को व्यक्तिगत लैपटॉप, स्मार्टफोन और टैबलेट (BYOD) के मिश्रण का उपयोग करने वाले 20,000 छात्रों के लिए सुरक्षित WiFi प्रदान करने की आवश्यकता है। विश्वविद्यालय पहचान प्रबंधन के लिए Active Directory का उपयोग करता है। उन्हें 802.1X के लिए क्या दृष्टिकोण अपनाना चाहिए?

विश्वविद्यालय को MSCHAPv2 के साथ PEAP तैनात करना चाहिए। वे अपने RADIUS सर्वर पर एक प्रसिद्ध सार्वजनिक सर्टिफिकेट अथॉरिटी (जैसे, DigiCert, Let's Encrypt) से एक सर्वर सर्टिफिकेट स्थापित करेंगे। सुरक्षा सुनिश्चित करने के लिए, उन्हें एक ऑनबोर्डिंग टूल (जैसे SecureW2 या एक कस्टम ऐप) प्रदान करना होगा जो छात्रों के उपकरणों को स्वचालित रूप से कॉन्फ़िगर करता है। यह टूल WiFi प्रोफाइल बनाएगा, स्पष्ट रूप से विश्वसनीय RADIUS सर्वर नामों को परिभाषित करेगा, और सर्वर सर्टिफिकेट सत्यापन लागू करेगा, जिससे छात्रों को दुष्ट APs से कनेक्ट होने से रोका जा सकेगा।

परीक्षक की टिप्पणी: विशाल BYOD परिनियोजनों के लिए PEAP व्यावहारिक विकल्प है क्योंकि अप्रबंधित उपकरणों (EAP-TLS) के लिए 20,000 क्लाइंट सर्टिफिकेट जारी करना और प्रबंधित करना एक परिचालन दुःस्वप्न है। यहाँ सफलता का महत्वपूर्ण कारक ऑनबोर्डिंग टूल है। यदि छात्र मैन्युअल रूप से अपने उपकरणों को कॉन्फ़िगर करते हैं, तो वे संभवतः सर्वर सत्यापन को सही ढंग से कॉन्फ़िगर करने में विफल रहेंगे, जिससे उनके Active Directory क्रेडेंशियल इंटरसेप्शन के प्रति संवेदनशील हो जाएंगे।

अभ्यास प्रश्न

Q1. आपका संगठन Google Workspace से एक नए क्लाउड-आधारित पहचान प्रदाता पर माइग्रेट कर रहा है जो केवल LDAP का समर्थन करता है और MSCHAPv2 का समर्थन नहीं करता है। आपको लीगेसी उपकरणों के लिए अपने मौजूदा पासवर्ड-आधारित 802.1X WiFi को बनाए रखने की आवश्यकता है। आपको अपने RADIUS सर्वर पर कौन सी EAP विधि कॉन्फ़िगर करनी होगी?

संकेत: विचार करें कि कौन सी टनल विधि MSCHAPv2 के अलावा अन्य आंतरिक ऑथेंटिकेशन प्रोटोकॉल की अनुमति देती है।

मॉडल उत्तर देखें

आपको EAP-TTLS कॉन्फ़िगर करना होगा। PEAP के विपरीत, जो आंतरिक ऑथेंटिकेशन के लिए MSCHAPv2 पर बहुत अधिक निर्भर है, EAP-TTLS अपने सुरक्षित TLS टनल के भीतर PAP या CHAP जैसे पुराने प्रोटोकॉल को समाहित कर सकता है, जिससे यह उन LDAP निर्देशिकाओं के साथ इंटरफेस कर सकता है जिनमें MSCHAPv2 समर्थन की कमी है।

Q2. एक सुरक्षा ऑडिट से पता चलता है कि जब उपयोगकर्ता कॉफी शॉप में सार्वजनिक WiFi नेटवर्क से अपने स्मार्टफोन कनेक्ट करते हैं तो उनके Active Directory पासवर्ड से समझौता हो रहा है। हमलावर कॉर्पोरेट SSID का प्रसारण कर रहे हैं। आपका वर्तमान परिनियोजन PEAP का उपयोग करता है। EAP विधि को बदले बिना आप इसे कैसे कम कर सकते हैं?

संकेत: समस्या यह है कि क्लाइंट डिवाइस आँख बंद करके दुष्ट AP पर भरोसा कर रहे हैं। आप क्लाइंट को यह सत्यापित करने के लिए कैसे बाध्य करते हैं कि वह वास्तविक कॉर्पोरेट नेटवर्क से बात कर रहा है?

मॉडल उत्तर देखें

आपको सख्त सर्वर सर्टिफिकेट सत्यापन लागू करने के लिए एंडपॉइंट सप्लीकेंट्स (MDM या ग्रुप पॉलिसी के माध्यम से) को कॉन्फ़िगर करना होगा। WiFi प्रोफाइल में स्पष्ट रूप से विश्वसनीय कॉर्पोरेट RADIUS सर्वर के नाम और उनके सर्टिफिकेट जारी करने वाले विशिष्ट रूट CA को निर्दिष्ट किया जाना चाहिए। इसके अतिरिक्त, आपको उस सेटिंग को अक्षम करना होगा जो उपयोगकर्ताओं को अज्ञात सर्टिफिकेट पर भरोसा करने के लिए प्रेरित करती है, जिससे यह सुनिश्चित हो सके कि सर्वर ऑथेंटिकेट न होने पर कनेक्शन चुपचाप विफल हो जाए।

Q3. आप एक गोदाम में मजबूत बारकोड स्कैनर का एक बेड़ा तैनात कर रहे हैं। डिवाइस एक लीगेसी एम्बेडेड OS चलाते हैं जो WPA2-Enterprise या मानक 802.1X सर्टिफिकेट का समर्थन नहीं करता है, लेकिन वे Cisco कम्पैटिबल एक्सटेंशन (CCX) का समर्थन करते हैं। आपको सुरक्षित ऑथेंटिकेशन की आवश्यकता है। उपयोग करने के लिए सबसे संभावित EAP विधि क्या है?

संकेत: उस प्रोटोकॉल की तलाश करें जिसे विशेष रूप से Cisco द्वारा उन वातावरणों के लिए विकसित किया गया है जहां सर्टिफिकेट परिनियोजन चुनौतीपूर्ण या असंभव है।

मॉडल उत्तर देखें

यहाँ EAP-FAST उपयुक्त विकल्प है। इसे Cisco द्वारा विशेष रूप से उन वातावरणों के लिए डिज़ाइन किया गया था जहाँ सर्टिफिकेट तैनात करना व्यावहारिक नहीं है। यह सुरक्षित टनल स्थापित करने के लिए गतिशील रूप से प्रोविज़न किए गए प्रोटेक्टेड एक्सेस क्रेडेंशियल्स (PACs) का उपयोग करता है, जिससे यह लीगेसी या विशेष हार्डवेयर के लिए उपयुक्त हो जाता है जो CCX का समर्थन करता है लेकिन जिसमें मजबूत PKI क्षमताओं की कमी है।

इस श्रृंखला में आगे पढ़ें

विक्रेता द्वारा प्रति-डिवाइस PSK: iPSK, DPSK, MPSK और PPSK की तुलना (और WPA3 सपोर्ट)

Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet, और Ubiquiti UniFi में प्रति-डिवाइस PSK कार्यान्वयन की एक व्यापक तुलना। जानें कि WPA3-SAE प्रति-डिवाइस कुंजी रणनीतियों को कैसे प्रभावित करता है और कब ट्रांज़िशन मोड को लागू करना चाहिए बनाम 802.1X पर जाना चाहिए।

गाइड पढ़ें →

कैप्टिव पोर्टल प्रमाणीकरण विधियों की तुलना

यह आधिकारिक तकनीकी संदर्भ गाइड पांच मुख्य कैप्टिव पोर्टल प्रमाणीकरण विधियों के आर्किटेक्चरल, परिचालन और अनुपालन ट्रेड-ऑफ का मूल्यांकन करती है। यह नेटवर्क आर्किटेक्ट्स, IT निदेशकों और मार्केटिंग प्रबंधकों को एंटरप्राइज़ वेन्यू में डेटा-संग्रह आवश्यकताओं के साथ गेस्ट ऑनबोर्डिंग घर्षण को संतुलित करने के लिए आवश्यक मात्रात्मक डेटा और निर्णय ढांचे प्रदान करती है।

गाइड पढ़ें →

MAC Address Authentication क्या है? इसका उपयोग कब करें और कब बचें

यह आधिकारिक तकनीकी संदर्भ गाइड एंटरप्राइज़ WiFi वातावरण में MAC एड्रेस ऑथेंटिकेशन को कवर करती है — लेयर 2 पर RADIUS-आधारित MAC ऑथेंटिकेशन कैसे काम करता है, इसकी अंतर्निहित सुरक्षा कमजोरियां (जिसमें MAC स्पूफिंग और OS-स्तरीय MAC रैंडमाइज़ेशन का प्रभाव शामिल है), और सटीक परिचालन संदर्भ जहां यह IoT और हेडलेस डिवाइसों के प्रबंधन के लिए एक वैध उपकरण बना हुआ है। यह हॉस्पिटैलिटी, रिटेल, हेल्थकेयर और सार्वजनिक क्षेत्र के स्थानों में IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए कार्रवाई योग्य डिप्लॉयमेंट मार्गदर्शन प्रदान करता है, जिसमें वास्तविक दुनिया के काम किए गए उदाहरण, निर्णय ढांचे और Purple के अतिथि WiFi और एनालिटिक्स प्लेटफ़ॉर्म के लिए एकीकरण संदर्भ शामिल हैं।

गाइड पढ़ें →