अतिथि और स्टाफ WiFi नेटवर्क के लिए RADIUS ऑथेंटिकेशन को कॉन्फ़िगर करना
यह तकनीकी संदर्भ गाइड एंटरप्राइज़ अतिथि और स्टाफ WiFi नेटवर्क के लिए RADIUS ऑथेंटिकेशन के आर्किटेक्चर, कॉन्फ़िगरेशन और डिप्लॉयमेंट की रूपरेखा तैयार करती है। यह नेटवर्क आर्किटेक्ट्स और IT प्रबंधकों को सुरक्षित, स्केलेबल वायरलेस एक्सेस कंट्रोल सिस्टम बनाने के लिए आवश्यक सटीक प्रोटोकॉल, सुरक्षा मानक और ट्रबलशूटिंग कार्यप्रणाली प्रदान करती है।
- Executive Summary
- Technical Deep-Dive
- AAA फ्रेमवर्क
- RADIUS आर्किटेक्चर घटक
- स्टाफ WiFi के लिए EAP विधियां
- Guest WiFi प्रमाणीकरण फ्लो
- सुरक्षित परिवहन: RadSec
- कार्यान्वयन गाइड
- चरण 1: सर्वर पर RADIUS क्लाइंट्स को परिभाषित करें
- चरण 2: वायरलेस LAN कंट्रोलर (WLC) / एक्सेस पॉइंट्स को कॉन्फ़िगर करें
- चरण 3: कर्मचारी SSID कॉन्फ़िगर करें (802.1X)
- चरण 4: Captive Portal के साथ अतिथि SSID को कॉन्फ़िगर करें
- सर्वोत्तम प्रथाएं
- उच्च उपलब्धता और अतिरेकता (High Availability and Redundancy)
- प्रमाणपत्र प्रबंधन (Certificate Management)
- VLAN पृथक्करण
- सत्र टाइमआउट और अकाउंटिंग अंतराल (Session Timeout and Accounting Intervals)
- समस्या निवारण और जोखिम न्यूनीकरण (Troubleshooting & Risk Mitigation)
- सामान्य विफलता मोड और समाधान
- ROI और व्यावसायिक प्रभाव

Executive Summary
आधुनिक एंटरप्राइज परिवेशों में, वायरलेस नेटवर्क को सुरक्षित करना एक महत्वपूर्ण परिचालन आवश्यकता है। विरासत में मिली सुरक्षा विधियाँ, जैसे कि साझा प्री-शेयर्ड कीज़ (PSKs), महत्वपूर्ण सुरक्षा संवेदनशीलताएँ उत्पन्न करती हैं। यदि कोई एक कर्मचारी संगठन छोड़ता है, या यदि कोई अतिथि साझा पासवर्ड से समझौता करता है, तो पूरे नेटवर्क की सुरक्षा स्थिति से समझौता हो जाता है। यह गाइड विवरण देता है कि एक्सेस कंट्रोल को केंद्रीकृत करने, बारीक सुरक्षा नीतियों को लागू करने, और अतिथि तथा स्टाफ ट्रैफ़िक को अलग करने के लिए Remote Authentication Dial-In User Service (RADIUS) को कैसे लागू किया जाए।
एक केंद्रीकृत RADIUS आर्किटेक्चर में संक्रमण करके, संगठन स्टाफ के लिए 802.1X प्रमाणीकरण लागू कर सकते हैं - यह सुनिश्चित करते हुए कि प्रत्येक डिवाइस विशिष्ट, प्रतिसंहरणीय क्रेडेंशियल्स के साथ प्रमाणित हो - जबकि अतिथि उपयोगकर्ताओं के लिए सुरक्षित Captive Portals और MAC Authentication Bypass (MAB) का उपयोग किया जा सके। यह तकनीकी संदर्भ एक लचीला, एंटरप्राइज-ग्रेड वायरलेस प्रमाणीकरण बुनियादी ढांचा तैनात करने के लिए आवश्यक आर्किटेक्चरल ब्लूप्रिंट, कॉन्फ़िगरेशन चरण और समस्या निवारण ढांचे प्रदान करता है।
Technical Deep-Dive
AAA फ्रेमवर्क
RADIUS, AAA फ्रेमवर्क पर काम करता है, जो एक्सेस कंट्रोल के मुख्य चरणों को परिभाषित करता है:
- Authentication (प्रमाणीकरण): WiFi नेटवर्क से कनेक्ट करने का प्रयास करने वाले उपयोगकर्ता या डिवाइस की पहचान को सत्यापित करना। यह क्रेडेंशियल्स, डिजिटल प्रमाणपत्रों या टोकन के माध्यम से प्राप्त किया जाता है।
- Authorization (प्राधिकरण): प्रमाणित इकाई को दी गई नेटवर्क एक्सेस के स्तर को निर्धारित करना। इसमें विशिष्ट VLANs असाइन करना, Access Control Lists (ACLs) लागू करना, या बैंडविड्थ सीमाएं लागू करना शामिल है।
- Accounting (लेखांकन): सत्र की अवधि, स्थानांतरित डेटा और लॉगिन/लॉगआउट समय सहित नेटवर्क संसाधन खपत को ट्रैक करना। यह डेटा ऑडिटिंग, अनुपालन और नेटवर्क योजना के लिए महत्वपूर्ण है।
- Auditing (ऑडिटिंग): विसंगतियों, सुरक्षा उल्लंघनों, या नीति उल्लंघनों की पहचान करने के लिए एकत्र किए गए लेखांकन डेटा की समीक्षा करना।
RADIUS आर्किटेक्चर घटक
एक मानक एंटरप्राइज RADIUS परिनियोजन में तीन प्राथमिक घटक होते हैं:
- The Supplicant (सप्लीकेंट): उपयोगकर्ता के डिवाइस (जैसे, लैपटॉप, स्मार्टफोन) पर चलने वाला क्लाइंट सॉफ़्टवेयर जो नेटवर्क तक पहुंच का अनुरोध करता है और क्रेडेंशियल्स या प्रमाणपत्र प्रदान करता है।
- The Authenticator (नेटवर्क एक्सेस सर्वर / NAS): भौतिक या वर्चुअल नेटवर्क डिवाइस - आमतौर पर एक Wireless LAN Controller (WLC) या एक Access Point (AP) - जो नेटवर्क पर भौतिक पहुंच को नियंत्रित करता है। ऑथेंटिकेटर यह तय नहीं करता है कि क्रेडेंशियल्स मान्य हैं या नहीं; यह एक प्रॉक्सी के रूप में कार्य करता है, प्रमाणीकरण अनुरोध को RADIUS पैकेट में पैकेज करता है और उन्हें RADIUS सर्वर पर अग्रेषित करता है।
- The Authentication Server (प्रमाणीकरण सर्वर): केंद्रीय सर्वर (जैसे FreeRADIUS, Cisco ISE, Aruba ClearPass, या Purple का क्लाउड-आधारित RADIUS इंजन) जो एक पहचान स्टोर (जैसे, Active Directory, LDAP, या क्लाउड पहचान प्रदाता) के खिलाफ क्रेडेंशियल्स को मान्य करता है और ऑथेंटिकेटर को एक Access-Accept या Access-Reject संदेश भेजता है।
स्टाफ WiFi के लिए EAP विधियां
स्टाफ नेटवर्क के लिए, प्रमाणीकरण पर बातचीत करने के लिए 802.1X फ्रेमवर्क के भीतर एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल (EAP) का उपयोग किया जाता है। दो सबसे आम एंटरप्राइज EAP तरीके हैं:
- PEAP-MSCHAPv2 (प्रोटेक्टेड EAP): यह तरीका सर्वर के डिजिटल सर्टिफिकेट का उपयोग करके सप्लिकेंट और RADIUS सर्वर के बीच एक सुरक्षित, एन्क्रिप्टेड TLS टनल स्थापित करता है। इस सुरक्षित टनल के अंदर, MSCHAPv2 प्रोटोकॉल का उपयोग करके उपयोगकर्ता के यूजरनेम और पासवर्ड को प्रमाणित किया जाता है। यह अपने आसान परिनियोजन के कारण अत्यधिक लोकप्रिय है, क्योंकि इसके लिए क्लाइंट डिवाइस पर सर्टिफिकेट इंस्टॉल करने की आवश्यकता नहीं होती है।
- EAP-TLS: उपलब्ध सबसे सुरक्षित प्रमाणीकरण तरीका। इसके लिए आपसी प्रमाणीकरण की आवश्यकता होती है, जिसका अर्थ है कि RADIUS सर्वर और क्लाइंट डिवाइस दोनों को वैध डिजिटल सर्टिफिकेट प्रस्तुत करने होंगे। यह पासवर्ड-आधारित हमलों को समाप्त करता है लेकिन सर्टिफिकेट वितरण और निरसन को प्रबंधित करने के लिए एक मजबूत पब्लिक की इन्फ्रास्ट्रक्चर (PKI) की आवश्यकता होती है।
Guest WiFi प्रमाणीकरण फ्लो
Guest नेटवर्क आमतौर पर सुरक्षा और उपयोगकर्ता सुविधा के बीच संतुलन बनाने के लिए एक अलग फ्लो का उपयोग करते हैं। 802.1X के बजाय, guest नेटवर्क अक्सर एक Captive Portal के साथ संयुक्त Open SSID का उपयोग करते हैं।
जब कोई guest कनेक्ट होता है, तो ऑथेंटिकेटर उपयोगकर्ता को Purple जैसे प्लेटफॉर्म द्वारा होस्ट किए गए captive portal पर भेजने के लिए MAC Authentication Bypass (MAB) या रीडायरेक्शन पॉलिसी का उपयोग करता है। एक बार जब उपयोगकर्ता पोर्टल पर रजिस्ट्रेशन या लॉगिन प्रक्रिया पूरी कर लेता है, तो पोर्टल प्लेटफॉर्म RADIUS सर्वर के साथ संचार करता है, जो फिर WLC/AP को एक Access-Accept संदेश भेजता है, जो एक निर्दिष्ट सत्र अवधि के लिए नेटवर्क एक्सेस के लिए guest के MAC एड्रेस को अधिकृत करता है।
सुरक्षित परिवहन: RadSec
पारंपरिक RADIUS ट्रैफ़िक को UDP (प्रमाणीकरण के लिए पोर्ट 1812 और अकाउंटिंग के लिए 1813) पर क्लियरटेक्स्ट में भेजा जाता है, जिसमें केवल उपयोगकर्ता पासवर्ड फ़ील्ड को एक शेयर्ड सीक्रेट का उपयोग करके अस्पष्ट किया जाता है। सार्वजनिक WAN कनेक्शन या इंटरनेट पर प्रमाणीकरण ट्रैफ़िक को रूट करते समय यह सुरक्षा जोखिम पैदा करता है।
इसे कम करने के लिए, RadSec (TLS पर RADIUS) को लागू किया जाना चाहिए। RadSec मानक RADIUS पैकेट को एक सुरक्षित TLS टनल (आमतौर पर TCP पोर्ट 2083 का उपयोग करके) के भीतर लपेटता है। यह सुनिश्चित करता है कि स्थानीय नेटवर्क और क्लाउड-आधारित RADIUS सर्वर के बीच पारगमन के दौरान यूजरनेम, MAC एड्रेस और सत्र विशेषताओं सहित सभी प्रमाणीकरण और अकाउंटिंग डेटा पूरी तरह से एन्क्रिप्टेड हैं।
कार्यान्वयन गाइड
चरण 1: सर्वर पर RADIUS क्लाइंट्स को परिभाषित करें
इससे पहले कि कोई भी नेटवर्क डिवाइस RADIUS सर्वर के साथ संचार कर सके, उसे एक क्लाइंट के रूप में पंजीकृत होना चाहिए।
- अपने RADIUS सर्वर एडमिनिस्ट्रेशन कंसोल में लॉग इन करें।
- Clients या Network Devices सेक्शन पर जाएं।
- प्रत्येक WLC या AP के लिए एक नई क्लाइंट प्रविष्टि जोड़ें।
- ऑथेंटिकेटर का IP एड्रेस या सबनेट दर्ज करें।
- एक उच्च-एन्ट्रॉपी शेयर्ड सीक्रेट जनरेट करें। यह सीक्रेट कम से कम 22 वर्ण लंबा होना चाहिए, जिसमें बड़े अक्षर, छोटे अक्षर, संख्याएं और विशेष वर्ण शामिल हों। सरल डिक्शनरी शब्दों के उपयोग से बचें।
चरण 2: वायरलेस LAN कंट्रोलर (WLC) / एक्सेस पॉइंट्स को कॉन्फ़िगर करें
प्रमाणीकरण और अकाउंटिंग के लिए RADIUS सर्वर को इंगित करने के लिए अपने वायरलेस हार्डवेयर को कॉन्फ़िगर करें।
- अपने WLC या AP प्रबंधन इंटरफ़ेस में लॉग इन करें।
- Security > AAA > RADIUS > Authentication पर जाएं।
- एक नया RADIUS प्रमाणीकरण सर्वर जोड़ें:
- Server IP Address: अपने प्राथमिक RADIUS सर्वर का IP पता दर्ज करें।
- Shared Secret: चरण 1 में कॉन्फ़िगर किया गया सटीक साझा रहस्य (shared secret) दर्ज करें।
- Port: 1812 (या RadSec का उपयोग करने पर 2083)।
- Timeout: नेटवर्क विलंबता को समायोजित करने के लिए 5 सेकंड पर सेट करें।
- Retry Count: 3 पर सेट करें।
- RADIUS Accounting पर जाएं और पोर्ट 1813 (या RadSec के लिए 2083) का उपयोग करके एक नई सर्वर प्रविष्टि जोड़ें।
- उच्च उपलब्धता (high availability) सुनिश्चित करने के लिए द्वितीयक (बैकअप) RADIUS सर्वर जोड़ने के लिए इन चरणों को दोहराएं।
चरण 3: कर्मचारी SSID कॉन्फ़िगर करें (802.1X)
Staff_Enterpriseनाम से एक नया SSID बनाएं।- सुरक्षा प्रकार को WPA3-Enterprise (या यदि पुराने डिवाइस सपोर्ट की आवश्यकता हो तो WPA2/WPA3-Enterprise ट्रांज़िशन मोड) पर सेट करें।
- कुंजी प्रबंधन प्रोटोकॉल के रूप में 802.1X का चयन करें।
- SSID को चरण 2 में कॉन्फ़िगर किए गए RADIUS प्रमाणीकरण और अकाउंटिंग सर्वरों से संबद्ध करें।
- SSID को सुरक्षित कर्मचारी VLAN (जैसे, VLAN 10) से मैप करें।
चरण 4: Captive Portal के साथ अतिथि SSID को कॉन्फ़िगर करें
Guest_WiFiनाम से एक नया SSID बनाएं।- सुरक्षा प्रकार को Open (या अवसरवादी वायरलेस एन्क्रिप्शन के लिए Enhanced Open / OWE) पर सेट करें।
- MAC Filtering या MAC Authentication को सक्षम करें और इसे RADIUS सर्वर पर इंगित करें।
- Captive Portal / Web Portal रीडायरेक्शन को सक्षम करें।
- रीडायरेक्शन URL को Purple Captive Portal लॉगिन पेज को इंगित करने के लिए कॉन्फ़िगर करें।
- प्रमाणीकरण पूरा होने से पहले Captive Portal डोमेन, DNS सर्वर और आवश्यक CDN संपत्तियों तक ट्रैफ़िक की अनुमति देने के लिए Walled Garden (प्रमाणीकरण-पूर्व ACL) को कॉन्फ़िगर करें।
- SSID को एक अलग अतिथि VLAN (जैसे, VLAN 20) से मैप करें।
सर्वोत्तम प्रथाएं
उच्च उपलब्धता और अतिरेकता (High Availability and Redundancy)
हमेशा RADIUS सर्वर को रिडंडेंट जोड़े (प्राथमिक और द्वितीयक) में तैनात करें। सुनिश्चित करें कि ये सर्वर अलग-अलग भौतिक हार्डवेयर या विभिन्न क्लाउड उपलब्धता क्षेत्रों में स्थित हैं। यदि प्राथमिक सर्वर अनुत्तरदायी हो जाता है, तो द्वितीयक सर्वर पर सुचारू रूप से फ़ेलओवर करने के लिए अपने WLC को कॉन्फ़िगर करें। प्रमाणीकरण ट्रैफ़िक को समान रूप से वितरित करने के लिए जहां उपयुक्त हो वहां लोड बैलेंसिंग लागू करें।
प्रमाणपत्र प्रबंधन (Certificate Management)
PEAP और EAP-TLS परिनियोजन के लिए, RADIUS सर्वर के प्रमाणपत्र की वैधता और विश्वास सर्वोपरि हैं।
- उपयोगकर्ता उपकरणों पर प्रमाणपत्र चेतावनी संकेतों को रोकने के लिए अतिथि पोर्टल और PEAP परिनियोजन के लिए एक विश्वसनीय सार्वजनिक प्रमाणपत्र प्राधिकरण (CA) द्वारा जारी किए गए प्रमाणपत्र का उपयोग करें।
- EAP-TLS के लिए, क्लाइंट और सर्वर प्रमाणपत्र जारी करने और प्रबंधित करने के लिए एक समर्पित आंतरिक निजी CA स्थापित करें।
- प्रमाणपत्र समाप्ति तिथियों की बारीकी से निगरानी करें और अचानक नेटवर्क-व्यापी प्रमाणीकरण विफलताओं को रोकने के लिए स्वचालित नवीनीकरण प्रक्रियाओं (जैसे SCEP या ACME) को लागू करें।
VLAN पृथक्करण
VLANs का उपयोग करके अपने नेटवर्क ट्रैफ़िक को सख्ती से विभाजित करें। अतिथि (Guest) ट्रैफ़िक कॉर्पोरेट संसाधनों से पूरी तरह से अलग होना चाहिए। Guest VLAN और Staff/Management VLANs के बीच इंटर-VLAN रूटिंग को रोकने के लिए कोर स्विच या गेटवे पर फ़ायरवॉल नियम लागू करें। अतिथि ट्रैफ़िक को केवल सीधे इंटरनेट पर रूट करने की अनुमति दें।
सत्र टाइमआउट और अकाउंटिंग अंतराल (Session Timeout and Accounting Intervals)
बासी सत्रों को IP पते और नेटवर्क संसाधनों का उपभोग करने से रोकने के लिए उपयुक्त सत्र टाइमआउट कॉन्फ़िगर करें।
- Staff नेटवर्क के लिए, मानक कार्य पाली के साथ संरेखित करते हुए, 8 से 12 घंटे का सत्र टाइमआउट सेट करें।
- अतिथि नेटवर्क के लिए, 2 से 4 घंटे का छोटा सत्र टाइमआउट सेट करें।
- RADIUS अकाउंटिंग अंतरिम-अपडेट अंतराल (interim-update interval) को 10 या 15 मिनट पर कॉन्फ़िगर करें। यह सुनिश्चित करता है कि RADIUS सर्वर को अकाउंटिंग पैकेटों के साथ अभिभूत किए बिना डिवाइस कनेक्टिविटी और डेटा उपयोग पर नियमित अपडेट प्राप्त हों।
समस्या निवारण और जोखिम न्यूनीकरण (Troubleshooting & Risk Mitigation)
सामान्य विफलता मोड और समाधान
1. शेयर्ड सीक्रेट बेमेल (Shared Secret Mismatch)
- लक्षण: WLC लॉग "RADIUS server not responding" दिखाते हैं, और RADIUS सर्वर लॉग "Packet dropped - invalid authenticator" या "Bad authenticator in request" दिखाते हैं।
- मूल कारण: WLC पर कॉन्फ़िगर किया गया शेयर्ड सीक्रेट RADIUS सर्वर पर कॉन्फ़िगर किए गए शेयर्ड सीक्रेट से मेल नहीं खाता है।
- न्यूनीकरण: दोनों डिवाइस पर शेयर्ड सीक्रेट को फिर से दर्ज करें, यह सुनिश्चित करते हुए कि कोई ट्रेलिंग स्पेस या छिपे हुए कैरेक्टर कॉपी न हों।
2. प्रमाणपत्र ट्रस्ट समस्याएं
- लक्षण: क्लाइंट डिवाइस Staff SSID से कनेक्ट होने में विफल रहते हैं, जिससे "Untrusted Server Certificate" या "Connection Rejected" जैसी त्रुटियां प्रदर्शित होती हैं।
- मूल कारण: क्लाइंट डिवाइस उस CA पर भरोसा नहीं करता है जिसने RADIUS सर्वर के प्रमाणपत्र पर हस्ताक्षर किए हैं, या प्रमाणपत्र की अवधि समाप्त हो गई है।
- न्यूनीकरण: सुनिश्चित करें कि रूट और इंटरमीडिएट CA प्रमाणपत्र क्लाइंट डिवाइस के विश्वसनीय रूट स्टोर में इंस्टॉल किए गए हैं। कॉर्पोरेट-प्रबंधित डिवाइस के लिए, इन प्रमाणपत्रों को MDM या समूह नीति के माध्यम से पुश करें।
3. फ़ायरवॉल ब्लॉक
- लक्षण: WLC से RADIUS सर्वर द्वारा कोई ट्रैफ़िक प्राप्त नहीं होता है, भले ही रूटिंग सत्यापित हो।
- मूल कारण: मध्यवर्ती फ़ायरवॉल UDP पोर्ट 1812 और 1813 को ब्लॉक कर रहे हैं।
- न्यूनीकरण: WLC प्रबंधन IP और RADIUS सर्वर IP के बीच UDP 1812 और 1813 (या RadSec के लिए TCP 2083) की अनुमति देने के लिए स्पष्ट फ़ायरवॉल नियम बनाएं।
4. विलंबता-प्रेरित टाइमआउट (Latency-Induced Timeouts)
- लक्षण: रुक-रुक कर प्रमाणीकरण विफलताएं, विशेष रूप से पीक आवर्स के दौरान या क्लाउड-आधारित RADIUS सर्वर का उपयोग करते समय।
- मूल कारण: नेटवर्क विलंबता WLC की RADIUS टाइमआउट सीमा से अधिक हो जाती है, जिससे WLC यह मान लेता है कि सर्वर ऑफ़लाइन है।
- न्यूनीकरण: WLC की RADIUS टाइमआउट सेटिंग को डिफ़ॉल्ट (आमतौर पर 2 सेकंड) से बढ़ाकर 5 या 7 सेकंड करें। WAN रूटिंग को ऑप्टिमाइज़ करें या प्रमाणीकरण अनुरोधों को कैश करने के लिए स्थानीय RADIUS प्रॉक्सी लागू करें।
ROI और व्यावसायिक प्रभाव
एक केंद्रीकृत RADIUS प्रमाणीकरण मॉडल पर संक्रमण कई प्रमुख क्षेत्रों में मापने योग्य व्यावसायिक मूल्य प्रदान करता है:
- कम परिचालन ओवरहेड: कर्मचारियों के संगठन छोड़ने पर साझा WiFi पासवर्ड को बदलने के लिए आवश्यक मैन्युअल प्रयास को समाप्त करता है। Active Directory या आपके पहचान प्रदाता में उपयोगकर्ता खातों को तुरंत निष्क्रिय किया जा सकता है, जिससे उनकी नेटवर्क पहुंच तुरंत रद्द हो जाती है।
- उन्नत सुरक्षा स्थिति: क्रेडेंशियल चोरी या अनधिकृत नेटवर्क पहुंच के कारण होने वाले डेटा उल्लंघन के जोखिम को कम करता है। 802.1X और प्रमाणपत्र-आधारित प्रमाणीकरण को लागू करके, संगठन यह सुनिश्चित करते हैं कि केवल अधिकृत, अनुपालन करने वाले उपकरण ही संवेदनशील कॉर्पोरेट संसाधनों तक पहुंच सकें।
- इष्टतम स्थल संचालन: अतिथि WiFi को Purple के क्लाउड RADIUS प्लेटफॉर्म के साथ एकीकृत करके, स्थल संचालक मूल्यवान जनसांख्यिकीय और व्यवहार संबंधी डेटा एकत्र करते हैं। इस डेटा का उपयोग लक्षित विपणन अभियानों को डिजाइन करने, आगंतुक जुड़ाव में सुधार करने और फुटफॉल एनालिटिक्स के आधार पर भौतिक स्थान के उपयोग को अनुकूलित करने के लिए किया जा सकता है।
- नियामक अनुपालन: केंद्रीकृत RADIUS अकाउंटिंग लॉग नेटवर्क पहुंच का एक ऑडिट ट्रेल प्रदान करते हैं, जिससे संगठनों को PCI-DSS, ISO 27001, और GDPR जैसे मानकों के लिए अनुपालन आवश्यकताओं को पूरा करने में मदद मिलती है।
मुख्य परिभाषाएं
RADIUS
रिमोट ऑथेंटिकेशन डायल-इन यूजर सर्विस। एक नेटवर्किंग प्रोटोकॉल जो नेटवर्क सेवा से जुड़ने और उसका उपयोग करने वाले उपयोगकर्ताओं के लिए केंद्रीकृत प्रमाणीकरण, प्राधिकरण और अकाउंटिंग प्रबंधन प्रदान करता है।
यह वायरलेस नेटवर्क हार्डवेयर को केंद्रीय पहचान डेटाबेस से जोड़ने के लिए उपयोग किया जाने वाला उद्योग-मानक प्रोटोकॉल है।
Supplicant
क्लाइंट सॉफ़्टवेयर या डिवाइस (जैसे लैपटॉप, फ़ोन या टैबलेट) जो किसी नेटवर्क तक पहुंच का अनुरोध करता है और सत्यापन के लिए क्रेडेंशियल या सर्टिफिकेट प्रदान करता है।
सफलतापूर्वक प्रमाणित होने के लिए सप्लीकेंट को RADIUS सर्वर पर कॉन्फ़िगर किए गए विशिष्ट EAP तरीके का समर्थन करना चाहिए।
Authenticator
नेटवर्क डिवाइस (आमतौर पर एक वायरलेस LAN कंट्रोलर या एक्सेस पॉइंट) जो नेटवर्क पर भौतिक पहुंच को नियंत्रित करता है और सप्लीकेंट और RADIUS सर्वर के बीच एक प्रॉक्सी के रूप में कार्य करता है।
ऑथेंटिकेटर स्वयं क्रेडेंशियल को सत्यापित नहीं करता है; यह केवल उन्हें RADIUS सर्वर पर फॉरवर्ड करता है।
EAP-TLS
एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल - ट्रांसपोर्ट लेयर सिक्योरिटी। एक अत्यंत सुरक्षित प्रमाणीकरण विधि जो पहचान सत्यापन के लिए क्लाइंट और सर्वर दोनों पर पारस्परिक डिजिटल प्रमाणपत्रों का उपयोग करती है।
यह स्टाफ WiFi नेटवर्क पर कॉर्पोरेट-प्रबंधित उपकरणों के लिए पसंदीदा प्रमाणीकरण विधि है।
PEAP-MSCHAPv2
माइक्रोसॉफ्ट चैलेंज हैंडशेक ऑथेंटिकेशन प्रोटोकॉल संस्करण 2 के साथ प्रोटेक्टेड एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल। एक क्रेडेंशियल-आधारित प्रमाणीकरण विधि जो एक एन्क्रिप्टेड TLS टनल के भीतर पासवर्ड ट्रांसमिशन को सुरक्षित करती है।
यह स्टाफ नेटवर्क के लिए व्यापक रूप से उपयोग किया जाता है क्योंकि इसमें क्लाइंट-साइड प्रमाणपत्रों की आवश्यकता नहीं होती है, जिससे इसे EAP-TLS की तुलना में तैनात करना आसान हो जाता।
RadSec
एक प्रोटोकॉल जो मानक RADIUS पैकेटों को ट्रांसपोर्ट लेयर सिक्योरिटी (TLS) टनल के भीतर लपेटकर RADIUS ट्रैफ़िक को सुरक्षित करता है, जो आमतौर पर TCP पोर्ट 2083 पर चलता है।
क्लाउड-प्रबंधित WiFi नेटवर्क के लिए आवश्यक है जहां प्रमाणीकरण ट्रैफ़िक को सार्वजनिक इंटरनेट पर यात्रा करनी चाहिए।
Captive Portal
नए जुड़े वायरलेस उपयोगकर्ताओं को व्यापक नेटवर्क एक्सेस दिए जाने से पहले दिखाया जाने वाला एक वेब पेज। इसका उपयोग आमतौर पर अतिथि प्रमाणीकरण (guest authentication), सेवा की शर्तों की स्वीकृति और मार्केटिंग डेटा संग्रह के लिए किया जाता है।
Purple एक क्लाउड-होस्टेड captive portal प्रदान करता है जो RADIUS के माध्यम से स्थानीय नेटवर्क हार्डवेयर के साथ एकीकृत होता है।
MAC Authentication Bypass (MAB)
एक ऐसी प्रणाली जो क्लाइंट डिवाइस के MAC पते के आधार पर नेटवर्क एक्सेस कंट्रोल को सक्षम बनाती है। यह आमतौर पर उन उपकरणों के लिए उपयोग किया जाता है जो 802.1X प्रमाणीकरण का समर्थन नहीं करते हैं।
अक्सर अतिथि WiFi नेटवर्क में इसका उपयोग किया जाता है ताकि बार-बार Captive Portal देखे बिना डिवाइस सहज रूप से दोबारा कनेक्ट हो सकें।
हल किए गए उदाहरण
150 स्टोर वाला एक मल्टी-साइट रिटेल ब्रांड एक सुरक्षित स्टाफ WiFi नेटवर्क डिप्लॉय करना चाहता है। वे वर्तमान में सभी स्टोरों में एक एकल प्री-शेयर्ड की (PSK) का उपयोग करते हैं, जो अक्सर लीक हो जाता है। उन्हें एक ऐसे समाधान की आवश्यकता है जो उनके मौजूदा Microsoft Azure Active Directory (अब Microsoft Entra ID) के साथ एकीकृत हो और यह सुनिश्चित करे कि स्टाफ केवल कॉर्पोरेट-प्रबंधित लैपटॉप का उपयोग करके ही ऑथेंटिकेट कर सके।
इसे हल करने के लिए, हम क्लाउड-आधारित RADIUS सेवा के माध्यम से Microsoft Entra ID के साथ एकीकृत, EAP-TLS ऑथेंटिकेशन के साथ WPA3-Enterprise को लागू करेंगे।
- एक प्राइवेट CA स्थापित करें: सभी कॉर्पोरेट-प्रबंधित लैपटॉप पर डिवाइस सर्टिफिकेट जारी करने के लिए एक क्लाउड-आधारित पब्लिक की इन्फ्रास्ट्रक्चर (PKI) डिप्लॉय करें या मौजूदा एक्टिव डायरेक्ट्री सर्टिफिकेट सर्विसेज (AD CS) डिप्लॉयमेंट का उपयोग करें।
- सर्टिफिकेट वितरण: प्रत्येक प्रबंधित लैपटॉप पर रूट CA सर्टिफिकेट और एक अद्वितीय क्लाइंट सर्टिफिकेट को स्वचालित रूप से वितरित करने के लिए संगठन के मोबाइल डिवाइस मैनेजमेंट (MDM) सिस्टम (जैसे, Microsoft Intune) को कॉन्फ़िगर करें। क्लाइंट सर्टिफिकेट में सब्जेक्ट अल्टरनेटिव नेम (SAN) में डिवाइस का होस्ट नाम या सीरियल नंबर शामिल होना चाहिए।
- क्लाउड RADIUS सर्वर कॉन्फ़िगर करें: एक क्लाउड RADIUS सेवा सेट करें जो Microsoft Entra ID के साथ एकीकृत हो। विश्वसनीय प्राइवेट CA के खिलाफ आने वाले क्लाइंट सर्टिफिकेट को मान्य करने के लिए RADIUS सर्वर को कॉन्फ़िगर करें।
- WLCs/APs को कॉन्फ़िगर करें: प्रत्येक रिटेल स्टोर पर वायरलेस कंट्रोलर पर,
Retail_Staffनाम से एक नया SSID कॉन्फ़िगर करें। सुरक्षा को WPA3-Enterprise पर सेट करें और सार्वजनिक इंटरनेट पर ऑथेंटिकेशन ट्रैफ़िक को सुरक्षित करने के लिए RadSec (TCP पोर्ट 2083) का उपयोग करके ऑथेंटिकेशन को क्लाउड RADIUS सर्वर IPs पर निर्देशित करें। - एक्सेस नीतियां परिभाषित करें: RADIUS सर्वर पर, एक ऐसी नीति बनाएं जो केवल तभी एक्सेस की अनुमति दे जब क्लाइंट सर्टिफिकेट मान्य हो, सर्टिफिकेट निरस्त न किया गया हो (CRL या OCSP के माध्यम से जाँच की गई हो), और डिवाइस की पहचान Microsoft Entra ID के भीतर मौजूद और सक्रिय हो।
20,000 तक एक साथ उपयोगकर्ताओं की मेजबानी करने वाले एक बड़े कन्वेंशन सेंटर को एक अतिथि WiFi नेटवर्क डिप्लॉय करने की आवश्यकता है। नेटवर्क को एक Captive Portal के माध्यम से एक सहज लॉगिन अनुभव प्रदान करना चाहिए, बैंडविड्थ की जमाखोरी को रोकने के लिए 3 घंटे की सत्र सीमा लागू करनी चाहिए, और GDPR के अनुपालन में मार्केटिंग सहमति एकत्र करनी चाहिए। इन्फ्रास्ट्रक्चर में Cisco Catalyst WLCs शामिल हैं।
हम Purple प्लेटफॉर्म के साथ एकीकृत MAC Authentication Bypass (MAB) और captive portal रीडायरेक्शन के साथ एक Open SSID तैनात करेंगे।
- Guest SSID कॉन्फ़िगर करें: Cisco WLC पर,
Convention_Guestनाम से एक SSID बनाएं। सिक्योरिटी को Open पर सेट करें। MAC फ़िल्टरिंग सक्षम करें और Purple से जुड़े RADIUS सर्वर ग्रुप का चयन करें। - रीडायरेक्शन कॉन्फ़िगर करें: गैर-प्रमाणित उपयोगकर्ताओं को Purple captive portal URL:
https://portal.purplewifi.net/...पर रीडायरेक्ट करने के लिए WLC पर एक Web Auth पॉलिसी सेटअप करें। - Walled Garden कॉन्फ़िगर करें: WLC पर
GUEST_RED_ACLनाम से एक एक्सेस कंट्रोल लिस्ट (ACL) बनाएं। इस ACL को DNS ट्रैफ़िक (UDP पोर्ट 53), DHCP ट्रैफ़िक (UDP पोर्ट 67 और 68), और Purple के IP रेंज और CDN के आने-जाने वाले ट्रैफ़िक को अनुमति देनी चाहिए। अन्य सभी HTTP/HTTPS ट्रैफ़िक को रीडायरेक्ट किया जाना चाहिए। - RADIUS Accounting कॉन्फ़िगर करें: 10 मिनट के अंतरिम-अपडेट अंतराल के साथ Purple के अकाउंटिंग सर्वर की ओर इशारा करते हुए WLC पर RADIUS अकाउंटिंग सक्षम करें।
- सत्र सीमाएं कॉन्फ़िगर करें: Purple पोर्टल डैशबोर्ड पर, 3 घंटे की सत्र समय-समाप्ति को लागू करने के लिए एक्सेस जर्नी को कॉन्फ़िगर करें। एक बार जब उपयोगकर्ता लॉगिन पूरा कर लेता है और GDPR-अनुरूप मार्केटिंग शर्तों को स्वीकार कर लेता है, तो Purple का RADIUS सर्वर Cisco WLC को एक Access-Accept पैकेट भेजता है जिसमें
Session-Timeoutविशेषता 10800 सेकंड (3 घंटे) पर सेट होती है। - पुनः-प्रमाणीकरण प्रवाह: 3 घंटे के बाद, WLC सत्र को समाप्त कर देता है। यदि उपयोगकर्ता फिर से कनेक्ट करने का प्रयास करता है, तो उन्हें पुनः प्रमाणित करने के लिए वापस captive portal पर रीडायरेक्ट कर दिया जाता है।
अभ्यास प्रश्न
Q1. एक संगठन ने हाल ही में अपने RADIUS सर्वर पर SSL प्रमाणपत्र का नवीनीकरण किया है। इसके तुरंत बाद, कई कॉर्पोरेट-प्रबंधित Windows लैपटॉप स्टाफ WiFi नेटवर्क से कनेक्ट होने में असमर्थ थे, जबकि macOS और iOS डिवाइस बिना किसी समस्या के कनेक्ट हो गए। इस समस्या का सबसे संभावित कारण क्या है, और इसे कैसे हल किया जाना चाहिए?
संकेत: इस बात पर विचार करें कि विभिन्न ऑपरेटिंग सिस्टम सर्वर प्रमाणपत्रों को कैसे सत्यापित करते हैं और सर्टिफिकेट अथॉरिटी (CA) श्रृंखला की क्या भूमिका होती है।
मॉडल उत्तर देखें
सबसे संभावित कारण यह है कि नया RADIUS सर्वर प्रमाणपत्र किसी भिन्न सर्टिफिकेट अथॉरिटी (CA) या मध्यवर्ती CA द्वारा जारी किया गया था जिस पर प्रभावित Windows लैपटॉप द्वारा भरोसा नहीं किया जाता है, या Windows समूह नीति (Group Policy) को किसी विशिष्ट सर्वर नाम या रूट CA से कनेक्शन सत्यापित करने के लिए कॉन्फ़िगर किया गया है जो नए प्रमाणपत्र से मेल नहीं खाता है। macOS और iOS डिवाइस अक्सर अधिक उदार होते हैं या उपयोगकर्ता को नए प्रमाणपत्र पर मैन्युअल रूप से भरोसा करने के लिए संकेत देते हैं, जबकि Windows एंटरप्राइज कॉन्फ़िगरेशन बिना किसी संकेत के अविश्वसनीय प्रमाणपत्रों के कनेक्शन को पूरी तरह से ब्लॉक कर देते हैं। इसे हल करने के लिए, सत्यापित करें कि नए CA के रूट और मध्यवर्ती प्रमाणपत्र समूह नीति या MDM के माध्यम से सभी Windows उपकरणों में वितरित किए गए हैं, और नए CA पर भरोसा करने के लिए वायरलेस प्रोफ़ाइल कॉन्फ़िगरेशन को अपडेट करें।
Q2. एक प्रमुख खेल स्टेडियम में व्यस्त समय के दौरान, अतिथि WiFi उपयोगकर्ताओं ने रिपोर्ट किया कि वे Captive Portal पंजीकरण को सफलतापूर्वक पूरा कर रहे हैं लेकिन उन्हें इंटरनेट पर रीडायरेक्ट नहीं किया जा रहा है। इसके बजाय, उन्हें बार-बार Captive Portal लॉगिन पेज दिखाया जा रहा है। WLC लॉग 'RADIUS authentication timeout' दिखाते हैं। आप इस समस्या का निदान और समाधान कैसे करेंगे?
संकेत: RADIUS पैकेट के पथ और वायरलेस कंट्रोलर पर टाइमआउट सेटिंग्स का विश्लेषण करें।
मॉडल उत्तर देखें
यह विलंबता (latency) के कारण होने वाली टाइमआउट की एक क्लासिक समस्या है। व्यस्त समय के दौरान, अधिक ट्रैफ़िक वॉल्यूम के कारण WAN लिंक पर भीड़भाड़ होती है या RADIUS सर्वर पर उच्च CPU उपयोग होता है, जिससे RADIUS Access-Accept प्रतिक्रिया में देरी होती है। चूंकि WLC का डिफ़ॉल्ट टाइमआउट बहुत कम (आमतौर पर 2 सेकंड) पर सेट होता है, इसलिए WLC मान लेता है कि RADIUS सर्वर ऑफ़लाइन है और सेशन को ड्रॉप कर देता है, जिससे उपयोगकर्ता वापस Captive Portal पर जाने के लिए मजबूर हो जाता है। निदान करने के लिए, व्यस्त समय के दौरान RADIUS पैकेट के राउंड-ट्रिप टाइम (RTT) की जांच करें। समाधान के लिए: 1) WLC पर RADIUS टाइमआउट को बढ़ाकर 5 या 7 सेकंड करें। 2) रीट्राय काउंट को बढ़ाकर 3 करें। 3) सामान्य अतिथि इंटरनेट ट्रैफ़िक की तुलना में RADIUS ट्रैफ़िक (UDP 1812/1813) को प्राथमिकता देने के लिए WAN गेटवे पर क्वालिटी ऑफ़ सर्विस (QoS) लागू करें।
Q3. एक सुरक्षा ऑडिट से पता चलता है कि अतिथि WiFi उपयोगकर्ता नेटवर्क स्विच और WLC के आंतरिक प्रबंधन इंटरफेस (management interfaces) तक पहुंच सकते हैं। अतिथि नेटवर्क को Captive Portal के साथ एक ओपन SSID के रूप में कॉन्फ़िगर किया गया है। इस भेद्यता को दूर करने के लिए कौन से आर्किटेक्चरल बदलाव किए जाने चाहिए?
संकेत: नेटवर्क सेगमेंटेशन और उन स्थानों के बारे में सोचें जहाँ एक्सेस कंट्रोल नीतियों को लागू किया जाना चाहिए।
मॉडल उत्तर देखें
इस भेद्यता को दूर करने के लिए, कड़ा नेटवर्क सेगमेंटेशन लागू किया जाना चाहिए। सबसे पहले, सुनिश्चित करें कि गेस्ट SSID को एक समर्पित गेस्ट VLAN (जैसे, VLAN 20) में मैप किया गया है जो स्टाफ VLAN और मैनेजमेंट VLAN (जहाँ स्विच और WLC होते हैं) से पूरी तरह से अलग है। दूसरा, कोर राउटर या गेटवे पर एक्सेस कंट्रोल लिस्ट (ACL) या फ़ायरवॉल नियमों को कॉन्फ़िगर करें ताकि गेस्ट VLAN से उत्पन्न होने वाले और किसी भी आंतरिक निजी IP सबनेट (RFC 1918 श्रेणियों) के लिए लक्षित सभी ट्रैफ़िक को ब्लॉक किया जा सके, विशेष रूप से नेटवर्क इंफ्रास्ट्रक्चर के प्रबंधन IP को लक्षित करते हुए। गेस्ट VLAN के पास केवल इंटरनेट और विशिष्ट DNS सर्वर तथा पूर्व-प्रमाणीकरण (pre-authentication) के लिए आवश्यक Captive Portal IP के लिए ही रूटिंग पथ होना चाहिए।
इस श्रृंखला में आगे पढ़ें
Passpoint और OpenRoaming: संपूर्ण गाइड
यह तकनीकी संदर्भ गाइड एंटरप्राइज़ WiFi नेटवर्क के भीतर Passpoint (हॉटस्पॉट 2.0) और WBA OpenRoaming फ्रेमवर्क का एक व्यापक विश्लेषण प्रदान करती है। यह सुरक्षित, निर्बाध अतिथि कनेक्टिविटी स्थापित करने के लिए आवश्यक बुनियादी ऑथेंटिकेशन प्रोटोकॉल, आर्किटेक्चरल घटकों और परिनियोजन रणनीतियों का विवरण देती है। नेटवर्क आर्किटेक्ट और IT लीडर्स सीखेंगे कि कैसे इन मानकों को डिज़ाइन, लागू और ट्रबलशूट किया जाए ताकि एंटरप्राइज़-ग्रेड सुरक्षा बनाए रखते हुए मैनुअल लॉगिन बाधाओं को समाप्त किया जा सके।
उच्च शिक्षा में सुरक्षित BYOD और नेटवर्क नामांकन के लिए SCEP को कैसे लागू करें
यह तकनीकी मार्गदर्शिका नेटवर्क आर्किटेक्ट्स और IT प्रबंधकों को उच्च शिक्षा परिसर नेटवर्क को सुरक्षित करने के लिए SCEP-आधारित प्रमाणपत्र नामांकन को तैनात करने के लिए एक वेंडर-न्यूट्रल ब्लूप्रिंट प्रदान करती है। यह विवरण देती है कि पासवर्ड-आधारित PEAP से 802.1X EAP-TLS पर कैसे माइग्रेट करें, BYOD ऑनबोर्डिंग को स्वचालित करें, और मजबूत VLAN सेगमेंटेशन लागू करें।
Server RADIUS: व्यवसायों के लिए एक व्यापक गाइड
यह गाइड IT प्रबंधकों, नेटवर्क आर्किटेक्ट्स और CTOs को एंटरप्राइज WiFi के लिए server RADIUS प्रमाणीकरण पर एक निश्चित तकनीकी संदर्भ प्रदान करती है। इसमें AAA फ्रेमवर्क, 802.1X आर्किटेक्चर, EAP विधि चयन, क्लाउड बनाम ऑन-प्रिमाइसेस डिप्लॉयमेंट के बीच समझौता, और डायनेमिक VLAN असाइनमेंट शामिल हैं। हॉस्पिटैलिटी, रिटेल, इवेंट्स और सार्वजनिक क्षेत्र के वेन्यू ऑपरेटरों को इसमें व्यावहारिक कार्यान्वयन मार्गदर्शन, वास्तविक दुनिया के केस स्टडीज और असुरक्षित प्री-शेयर्ड कीज़ से एक सुरक्षित, पहचान-आधारित नेटवर्क एक्सेस कंट्रोल आर्किटेक्चर पर माइग्रेट करने के लिए आवश्यक निर्णय फ्रेमवर्क मिलेंगे।