EAP विधियों की तुलना: PEAP, EAP-TLS, EAP-TTLS, और EAP-FAST

कार्यकारी सारांश

एंटरप्राइज IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए, सही एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल (EAP) विधि चुनना एक महत्वपूर्ण निर्णय है जो सुरक्षा स्थिति, परिनियोजन (deployment) जटिलता और उपयोगकर्ता अनुभव को संतुलित करता है। चूंकि संगठन कमजोर प्री-शेयर्ड कीज़ (PSKs) से आगे बढ़कर 802.1X ऑथेंटिकेशन को अपना रहे हैं, इसलिए विकल्प आमतौर पर चार प्राथमिक विधियों तक सीमित हो जाता है: PEAP, EAP-TLS, EAP-TTLS, और EAP-FAST। यह गाइड इन विधियों की एक सीधी, तकनीकी तुलना प्रदान करती है, जिससे आप अपने Guest WiFi और आंतरिक कॉर्पोरेट नेटवर्क के लिए सोच-समझकर आर्किटेक्चरल निर्णय ले सकें। हम पासवर्ड-आधारित टनल विधियों और पारस्परिक प्रमाणपत्र (mutual certificate) ऑथेंटिकेशन के बीच सुरक्षा अंतरों की जांच करेंगे, यह मूल्यांकन करेंगे कि विशिष्ट विधियां कब उपयुक्त होती हैं, और आधुनिक एंटरप्राइज वातावरण के लिए व्यावहारिक कार्यान्वयन मार्गदर्शन प्रदान करेंगे।

तकनीकी गहन विश्लेषण: EAP विधियों की तुलना

PEAP (Protected EAP)

PEAP को व्यापक रूप से 802.1X ऑथेंटिकेशन के लिए एंटरप्राइज का मुख्य आधार माना जाता है। Cisco, Microsoft और RSA Security द्वारा संयुक्त रूप से विकसित, यह सर्वर-साइड प्रमाणपत्र का उपयोग करके एक एन्क्रिप्टेड TLS टनल बनाता है। इस सुरक्षित टनल के भीतर, क्लाइंट एक लीगेसी विधि का उपयोग करके ऑथेंटिकेट करता है, जो आमतौर पर MSCHAPv2 होती है।

PEAP का प्राथमिक लाभ Windows, macOS, iOS, और Android सहित आधुनिक ऑपरेटिंग सिस्टम पर इसका लगभग सार्वभौमिक नेटिव सपोर्ट है। चूंकि इसके लिए केवल RADIUS सर्वर पर प्रमाणपत्र की आवश्यकता होती है न कि क्लाइंट डिवाइस पर, इसलिए इसका परिनियोजन प्रमाणपत्र-आधारित विकल्पों की तुलना में काफी कम जटिल है। यह PEAP को ब्रिंग योर ओन डिवाइस (BYOD) वातावरण या Transport हब जैसे बड़े सार्वजनिक स्थानों के लिए अत्यधिक आकर्षक बनाता है जहां क्लाइंट प्रमाणपत्रों को प्रबंधित करना व्यावहारिक नहीं है।

हालांकि, पासवर्ड (MSCHAPv2 के माध्यम से) पर PEAP की निर्भरता सुरक्षा जोखिम पैदा करती है। यदि क्लाइंट डिवाइस को सर्वर के प्रमाणपत्र को सत्यापित करने के लिए कड़ाई से कॉन्फ़िगर नहीं किया गया है, तो उपयोगकर्ताओं को एक नकली एक्सेस पॉइंट (एक "इविल ट्विन" हमला) से कनेक्ट करने के लिए धोखा दिया जा सकता है। नकली AP तब MSCHAPv2 चैलेंज-रिस्पॉन्स को कैप्चर कर सकता है, जिसे उपयोगकर्ता का पासवर्ड रिकवर करने के लिए ऑफलाइन क्रैक किया जा सकता है। इसलिए, PEAP को तैनात करते समय ग्रुप पॉलिसी या MDM के माध्यम से सख्त सर्वर प्रमाणपत्र सत्यापन लागू करना एक अनिवार्य सुरक्षा नियंत्रण है।

EAP-TLS (EAP-Transport Layer Security)

EAP-TLS एंटरप्राइज वायरलेस सुरक्षा के लिए गोल्ड स्टैंडर्ड का प्रतिनिधित्व करता है। PEAP के विपरीत, EAP-TLS के लिए पारस्परिक प्रमाणपत्र (mutual certificate) ऑथेंटिकेशन की आवश्यकता होती है। कोई भी नेटवर्क एक्सेस दिए जाने से पहले RADIUS सर्वर और क्लाइंट डिवाइस दोनों को एक वैध डिजिटल प्रमाणपत्र प्रस्तुत करना होगा।

यह पारस्परिक ऑथेंटिकेशन पासवर्ड की आवश्यकता को पूरी तरह से समाप्त कर देता है, जिससे क्रेडेंशियल चोरी, डिक्शनरी हमले और नकली AP हमले अप्रभावी हो जाते हैं। यदि किसी डिवाइस में सही क्लाइंट प्रमाणपत्र नहीं है, तो वह नेटवर्क से कनेक्ट नहीं हो सकता है। Retail क्षेत्र में PCI-DSS या Healthcare में HIPAA जैसी सख्त नियामक आवश्यकताओं के अधीन संगठनों के लिए, EAP-TLS दृढ़ता से अनुशंसित दृष्टिकोण है।

इस बढ़ी हुई सुरक्षा का समझौता परिनियोजन की जटिलता है। EAP-TLS को लागू करने के लिए प्रमाणपत्र जारी करने, नवीनीकृत करने और रद्द करने के लिए एक मजबूत पब्लिक की इन्फ्रास्ट्रक्चर (PKI) की आवश्यकता होती है। इसके लिए एंडपॉइंट्स पर इन प्रमाणपत्रों को सुरक्षित रूप से वितरित करने के लिए Microsoft Intune या Jamf जैसे मोबाइल डिवाइस मैनेजमेंट (MDM) समाधान की भी आवश्यकता होती है। Apple वातावरण पर मार्गदर्शन के लिए, हमारी गाइड Jamf e RADIUS: Autenticação WiFi Baseada em Certificado para Frotas de Dispositivos Apple देखें। EAP-TLS कॉर्पोरेट-स्वामित्व वाले, प्रबंधित डिवाइस बेड़े के लिए इष्टतम विकल्प है जहां सुरक्षा सर्वोपरि है।

EAP-TTLS (EAP Tunneled TLS)

Funk Software और Certicom द्वारा संयुक्त रूप से विकसित EAP-TTLS, सर्वर-साइड प्रमाणपत्र का उपयोग करके एक एन्क्रिप्टेड TLS टनल स्थापित करके PEAP के समान काम करता है। मुख्य अंतर आंतरिक ऑथेंटिकेशन विधि के संबंध में इसका लचीलापन है। जबकि PEAP काफी हद तक MSCHAPv2 से जुड़ा हुआ है, EAP-TTLS टनल के भीतर सुरक्षित रूप से PAP, CHAP, या MSCHAP सहित लगभग किसी भी ऑथेंटिकेशन प्रोटोकॉल को समाहित कर सकता है।

यह लचीलापन EAP-TTLS को उन वातावरणों में अत्यधिक मूल्यवान बनाता है जिन्हें पुराने LDAP डायरेक्टरी, RADIUS प्रॉक्सी, या गैर-Microsoft पहचान स्टोर के खिलाफ ऑथेंटिकेट करने की आवश्यकता होती है जो नेटिव रूप से MSCHAPv2 का समर्थन नहीं करते हैं। यह अंतरराष्ट्रीय अनुसंधान और शिक्षा समुदाय के लिए वैश्विक रोमिंग एक्सेस सेवा, eduroam के लिए प्रसिद्ध अंतर्निहित प्रोटोकॉल है। ऐतिहासिक रूप से, EAP-TTLS के लिए नेटिव क्लाइंट सपोर्ट PEAP की तुलना में कम सर्वव्यापी था, जिसके लिए अक्सर पुराने Windows संस्करणों पर तीसरे पक्ष के सप्लीकेंट्स की आवश्यकता होती थी, लेकिन आधुनिक ऑपरेटिंग सिस्टम अब मजबूत नेटिव सपोर्ट प्रदान करते हैं।

EAP-FAST (Flexible Authentication via Secure Tunneling)

अत्यधिक संवेदनशील LEAP प्रोटोकॉल के त्वरित प्रतिस्थापन के रूप में Cisco द्वारा विकसित, EAP-FAST को डिजिटल प्रमाणपत्रों को तैनात करने की सख्त आवश्यकता के बिना सुरक्षित ऑथेंटिकेशन प्रदान करने के लिए डिज़ाइन किया गया था। सुरक्षित टनल स्थापित करने के लिए सर्वर प्रमाणपत्र का उपयोग करने के बजाय, EAP-FAST प्रोटेक्टेड एक्सेस क्रेडेंशियल्स (PACs) पर निर्भर करता है—डेटा के अपारदर्शी ब्लॉक जो ऑथेंटिकेशन सर्वर द्वारा क्लाइंट्स को गतिशील रूप से प्रदान किए जाते हैं।

EAP-FAST को इसकी तीव्र सत्र बहाली (session resumption) क्षमताओं द्वारा जाना जाता है। हालांकि यह एक सुरक्षित, एन्क्रिप्टेड टनल प्रदान करता है, मानक X.509 प्रमाणपत्रों के बजाय PACs पर इसकी निर्भरता इसे कुछ हद तक मालिकाना (proprietary) बनाती है और आधुनिक, विक्रेता-तटस्थ जीरो-ट्रस्ट आर्किटेक्चर के साथ कम संरेखित करती है। आज, EAP-FAST मुख्य रूप से लीगेसी Cisco-केंद्रित वातावरण, विशिष्ट IoT परिनियोजन, या विशेष रग्डाइज्ड उपकरणों में प्रासंगिक है। अधिकांश नए एंटरप्राइज परिनियोजनों के लिए, PEAP या EAP-TLS को प्राथमिकता दी जाती है।

कार्यान्वयन गाइड

802.1X ऑथेंटिकेशन को तैनात करने के लिए वायरलेस एक्सेस पॉइंट्स से लेकर RADIUS इन्फ्रास्ट्रक्चर और पहचान प्रदाताओं तक, पूरे नेटवर्क स्टैक में सावधानीपूर्वक योजना बनाने की आवश्यकता होती है। Purple के प्लेटफॉर्म के साथ एकीकृत करते समय, हमारे RADIUS सर्वर सभी प्रमुख EAP विधियों का समर्थन करते हैं, जिससे उपयोगकर्ता Wayfinding या WiFi Analytics जैसी सुविधाओं के साथ बातचीत करने से पहले निर्बाध ऑथेंटिकेशन सुनिश्चित करते हैं।

चरण 1: ऑथेंटिकेशन रणनीति को परिभाषित करें

अपने एंडपॉइंट बेड़े का आकलन करें। यदि डिवाइस कॉर्पोरेट-स्वामित्व वाले हैं और MDM के माध्यम से प्रबंधित हैं, तो EAP-TLS को लक्षित करें। यदि आप BYOD का समर्थन कर रहे हैं, तो PEAP व्यावहारिक विकल्प है। सुनिश्चित करें कि आपका पहचान प्रदाता (Active Directory, Google Workspace, Okta) आवश्यक प्रोटोकॉल (जैसे, PEAP के लिए MSCHAPv2) का समर्थन करता है।

चरण 2: प्रमाणपत्र प्रबंधन

EAP-FAST को छोड़कर अन्य सभी विधियों के लिए, आपको अपने RADIUS सर्वर पर एक सर्वर प्रमाणपत्र तैनात करना होगा। क्लाइंट-साइड ट्रस्ट चेतावनियों को कम करने के लिए यह प्रमाणपत्र आदर्श रूप से एक विश्वसनीय सार्वजनिक प्रमाणपत्र प्राधिकरण (CA) द्वारा जारी किया जाना चाहिए, हालांकि यदि आप सभी एंडपॉइंट्स को नियंत्रित करते हैं तो एक आंतरिक एंटरप्राइज CA का उपयोग किया जा सकता है। EAP-TLS के लिए, अपना PKI स्थापित करें और अपने MDM को सही सब्जेक्ट अल्टरनेटिव नेम (SAN) मैपिंग के साथ क्लाइंट प्रमाणपत्रों को स्वचालित रूप से प्रदान करने के लिए कॉन्फ़िगर करें।

चरण 3: RADIUS और एक्सेस पॉइंट कॉन्फ़िगरेशन

अपने वायरलेस एक्सेस पॉइंट्स को WPA2-Enterprise या WPA3-Enterprise का उपयोग करने के लिए कॉन्फ़िगर करें, उन्हें सही साझा रहस्यों (shared secrets) के साथ अपने RADIUS सर्वर IP पतों पर इंगित करें। RADIUS सर्वर पर, अपनी नेटवर्क नीतियां परिभाषित करें, अनुमत EAP विधियों को निर्दिष्ट करें और उपयोगकर्ता या डिवाइस समूह सदस्यता के आधार पर सफल ऑथेंटिकेशन को उपयुक्त VLANs से मैप करें।

चरण 4: एंडपॉइंट सप्लीकेंट कॉन्फ़िगरेशन

सुरक्षा के लिए यह सबसे महत्वपूर्ण चरण है। PEAP के लिए, डिवाइस पर पूर्व-कॉन्फ़िगर किए गए WiFi प्रोफाइल को पुश करने के लिए MDM या ग्रुप पॉलिसी का उपयोग करें। इस प्रोफाइल में स्पष्ट रूप से विश्वसनीय RADIUS सर्वर नाम और सर्वर प्रमाणपत्र जारी करने वाले विश्वसनीय रूट CA को निर्दिष्ट किया जाना चाहिए। महत्वपूर्ण रूप से, उस विकल्प को अक्षम करें जो उपयोगकर्ताओं को नए सर्वर या प्रमाणपत्रों पर भरोसा करने के लिए प्रेरित करता है।

सर्वोत्तम प्रथाएं

1. प्रमाणपत्रों के लिए कभी भी उपयोगकर्ता के निर्णय पर निर्भर न रहें: PEAP या EAP-TTLS को तैनात करते समय, विशिष्ट सर्वर प्रमाणपत्रों पर भरोसा करने के लिए हमेशा एंडपॉइंट सप्लीकेंट्स को पहले से कॉन्फ़िगर करें। प्रमाणपत्र चेतावनी पर उपयोगकर्ताओं द्वारा "स्वीकार करें" पर क्लिक करने पर निर्भर रहना पूरे सुरक्षा मॉडल को कमजोर करता है और नेटवर्क को नकली AP हमलों के प्रति संवेदनशील बनाता है।
2. प्रमाणपत्र जीवनचक्र प्रबंधन को स्वचालित करें: प्रमाणपत्र की समाप्ति 802.1X आउटेज का एक प्रमुख कारण है। EAP-TLS परिनियोजन में RADIUS सर्वर प्रमाणपत्र और क्लाइंट प्रमाणपत्र दोनों के लिए स्वचालित निगरानी और नवीनीकरण प्रक्रियाएं लागू करें।
3. WPA3-Enterprise लागू करें: जहां क्लाइंट सपोर्ट अनुमति देता है, वहां WPA3-Enterprise पर स्विच करें। यह प्रोटेक्टेड मैनेजमेंट फ्रेम्स (PMF) के उपयोग को अनिवार्य बनाता है और 192-बिट सुरक्षा सूट विकल्प प्रदान करता, जो WPA2 की तुलना में अधिक मजबूत क्रिप्टोग्राफिक सुरक्षा प्रदान करता है।
4. नेटवर्क को विभाजित करें: प्रमाणित उपयोगकर्ताओं को उनकी भूमिका के आधार पर विशिष्ट VLANs में गतिशील रूप से असाइन करने के लिए RADIUS विशेषताओं (जैसे Filter-Id या Tunnel-Private-Group-Id) का उपयोग करें, जिससे कॉर्पोरेट संपत्तियों से गेस्ट ट्रैफ़िक को अलग किया जा सके। आधुनिक नेटवर्क डिज़ाइन के बारे में अधिक जानने के लिए, The Core SD WAN Benefits for Modern Businesses की समीक्षा करें।

समस्या निवारण और जोखिम शमन

EAP परिनियोजन में सामान्य विफलता मोड आमतौर पर प्रमाणपत्र सत्यापन और पहचान प्रदाता एकीकरण के इर्द-गिर्द घूमते हैं।

• लक्षण: RADIUS सर्वर अपडेट के बाद क्लाइंट कनेक्ट होने में विफल रहते हैं।
  • जोखिम: नया सर्वर प्रमाणपत्र क्लाइंट्स द्वारा विश्वसनीय रूट CA द्वारा जारी नहीं किया गया था, या सर्वर का नाम बदल गया था।
  • शमन: हमेशा स्टेजिंग वातावरण में प्रमाणपत्र रोलओवर का परीक्षण करें। उत्पादन (production) में लागू करने से पहले सुनिश्चित करें कि नया प्रमाणपत्र चेन सभी एंडपॉइंट प्रोफाइल द्वारा पूरी तरह से विश्वसनीय है।
• लक्षण: iOS डिवाइस ठीक से कनेक्ट होते हैं, लेकिन Windows डिवाइस विफल हो जाते हैं।
  • जोखिम: Windows सप्लीकेंट्स अक्सर सर्वर प्रमाणपत्र पर सर्वर नेम इंडिकेशन (SNI) या विशिष्ट EKU (एक्सटेंडेड की यूसेज) विशेषताओं को सत्यापित करने के बारे में अधिक सख्त होते हैं।
  • शमन: सत्यापित करें कि सर्वर प्रमाणपत्र में 'सर्वर ऑथेंटिकेशन' EKU शामिल है और SAN Windows WiFi प्रोफाइल में कॉन्फ़िगर किए गए नाम से मेल खाता है।

ROI और व्यावसायिक प्रभाव

एक मजबूत EAP विधि पर संक्रमण केवल सुरक्षा से परे महत्वपूर्ण व्यावसायिक मूल्य प्रदान करता है। साझा पासवर्ड को समाप्त करके, IT टीमें पासवर्ड रीसेट या समझौता किए गए PSKs से संबंधित हेल्पडेस्क टिकटों के परिचालन ओवरहेड को कम करती हैं। Hospitality जैसे वातावरण में, जहां कर्मचारियों का टर्नओवर अधिक हो सकता है, प्रमाणपत्र-आधारित ऑथेंटिकेशन (EAP-TLS) यह सुनिश्चित करता है कि डिवाइस के वाइप होने या प्रमाणपत्र समाप्त होने पर वैश्विक पासवर्ड बदलने की आवश्यकता के बिना एक्सेस स्वचालित रूप से रद्द हो जाए।

इसके अलावा, मजबूत ऑथेंटिकेशन PCI-DSS और GDPR जैसे अनुपालन ढांचे के लिए एक पूर्वापेक्षा है। मजबूत एक्सेस नियंत्रणों का प्रदर्शन करके, संगठन डेटा उल्लंघनों से जुड़े नियामक जुर्मानों और प्रतिष्ठित क्षति के जोखिम को कम करते हैं। वेन्यू इन्फ्रास्ट्रक्चर को अपग्रेड करने पर व्यापक नज़र डालने के लिए, Modern Hospitality WiFi Solutions Your Guests Deserve देखें।

पॉडकास्ट ब्रीफिंग

EAP विधियों पर हमारी 10 मिनट की तकनीकी ब्रीफिंग सुनें, जिसमें कार्यान्वयन रणनीतियों और सामान्य कमियों को शामिल किया गया है: