मुख्य सामग्री पर जाएं
हिन्दी

EAP विधियों की तुलना: PEAP, EAP-TLS, EAP-TTLS, और EAP-FAST

यह आधिकारिक तकनीकी संदर्भ गाइड एंटरप्राइज WiFi प्रमाणीकरण के लिए PEAP, EAP-TLS, EAP-TTLS, और EAP-FAST की एक साथ तुलना प्रदान करती है। यह IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स को इष्टतम 802.1X परिनियोजन रणनीति चुनने में मदद करने के लिए सुरक्षा स्थिति, परिनियोजन जटिलता और डिवाइस अनुकूलता पर व्यावहारिक मार्गदर्शन प्रदान करती है।

📖 6 मिनट का पाठ📝 1,483 शब्द🔧 2 हल किए गए उदाहरण3 अभ्यास प्रश्न📚 8 मुख्य परिभाषाएं

header_image.png

कार्यकारी सारांश

एंटरप्राइज IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए, सही Extensible Authentication Protocol (EAP) विधि का चयन करना एक महत्वपूर्ण निर्णय है जो सुरक्षा स्थिति, परिनियोजन जटिलता और उपयोगकर्ता अनुभव को संतुलित करता है। जैसे-जैसे संगठन कमजोर प्री-शेयर्ड कीज़ (PSKs) से आगे बढ़कर 802.1X प्रमाणीकरण की ओर बढ़ रहे हैं, विकल्प आमतौर पर चार प्राथमिक विधियों तक सीमित हो जाते हैं: PEAP, EAP-TLS, EAP-TTLS, और EAP-FAST। यह गाइड इन विधियों की एक सीधी, तकनीकी तुलना प्रदान करती है, जो आपको अपने Guest WiFi और आंतरिक कॉर्पोरेट नेटवर्क के लिए सूचित आर्किटेक्चरल निर्णय लेने में सक्षम बनाती है। हम पासवर्ड-आधारित टनल विधियों और पारस्परिक प्रमाणपत्र प्रमाणीकरण के बीच सुरक्षा अंतरों की जांच करेंगे, मूल्यांकन करेंगे कि विशिष्ट विधियां कब उपयुक्त होती हैं, और आधुनिक एंटरप्राइज वातावरण के लिए व्यावहारिक कार्यान्वयन मार्गदर्शन प्रदान करेंगे।

तकनीकी गहन विश्लेषण: EAP विधियों की तुलना

PEAP (Protected EAP)

PEAP को व्यापक रूप से 802.1X प्रमाणीकरण के लिए एंटरप्राइज वर्कहॉर्स माना जाता है। Cisco, Microsoft, और RSA Security द्वारा सह-विकसित, यह सर्वर-साइड प्रमाणपत्र का उपयोग करके एक एन्क्रिप्टेड TLS टनल बनाता है। इस सुरक्षित टनल के भीतर, क्लाइंट एक लीगेसी विधि का उपयोग करके प्रमाणित करता है, जो आमतौर पर MSCHAPv2 है।

PEAP का प्राथमिक लाभ आधुनिक ऑपरेटिंग सिस्टमों में इसका लगभग सार्वभौमिक मूल समर्थन है, जिसमें Windows, macOS, iOS, और Android शामिल हैं। चूंकि इसके लिए केवल RADIUS सर्वर पर प्रमाणपत्र की आवश्यकता होती है न कि क्लाइंट डिवाइसों पर, इसलिए इसका परिनियोजन प्रमाणपत्र-आधारित विकल्पों की तुलना में काफी कम जटिल है। यह PEAP को ब्रिंग योर ओन डिवाइस (BYOD) वातावरण या परिवहन हब जैसे बड़े सार्वजनिक स्थानों के लिए अत्यधिक आकर्षक बनाता है जहां क्लाइंट प्रमाणपत्रों को प्रबंधित करना व्यावहारिक नहीं है।

हालांकि, पासवर्ड (MSCHAPv2 के माध्यम से) पर PEAP की निर्भरता सुरक्षा जोखिम पैदा करती है। यदि किसी क्लाइंट डिवाइस को सर्वर के प्रमाणपत्र को सत्यापित करने के लिए कड़ाई से कॉन्फ़िगर नहीं किया गया है, तो उपयोगकर्ताओं को एक दुष्ट एक्सेस पॉइंट (एक "evil twin" हमला) से कनेक्ट करने के लिए धोखा दिया जा सकता है। दुष्ट AP फिर MSCHAPv2 चैलेंज-रिस्पॉन्स को कैप्चर कर सकता है, जिसे उपयोगकर्ता के पासवर्ड को पुनर्प्राप्त करने के लिए ऑफ़लाइन क्रैक किया जा सकता है। इसलिए, PEAP को तैनात करते समय Group Policy या MDM के माध्यम से सख्त सर्वर प्रमाणपत्र सत्यापन लागू करना एक अनिवार्य सुरक्षा नियंत्रण है।

EAP-TLS (EAP-Transport Layer Security)

EAP-TLS एंटरप्राइज वायरलेस सुरक्षा के लिए गोल्ड स्टैंडर्ड का प्रतिनिधित्व करता है। PEAP के विपरीत, EAP-TLS के लिए पारस्परिक प्रमाणपत्र प्रमाणीकरण की आवश्यकता होती है। कोई भी नेटवर्क एक्सेस दिए जाने से पहले RADIUS सर्वर और क्लाइंट डिवाइस दोनों को एक वैध डिजिटल प्रमाणपत्र प्रस्तुत करना होगा।

यह पारस्परिक प्रमाणीकरण पासवर्ड की आवश्यकता को पूरी तरह से समाप्त कर देता है, जिससे क्रेडेंशियल चोरी, डिक्शनरी हमले और दुष्ट AP हमले अप्रभावी हो जाते हैं। यदि किसी डिवाइस में सही क्लाइंट प्रमाणपत्र नहीं है, तो वह नेटवर्क से कनेक्ट नहीं हो सकता। रिटेल क्षेत्र में PCI-DSS या हेल्थकेयर में HIPAA जैसी सख्त नियामक आवश्यकताओं के अधीन संगठनों के लिए, EAP-TLS दृढ़ता से अनुशंसित दृष्टिकोण है।

इस बढ़ी हुई सुरक्षा का समझौता परिनियोजन जटिलता है। EAP-TLS को लागू करने के लिए प्रमाणपत्र जारी करने, नवीनीकृत करने और रद्द करने के लिए एक मजबूत पब्लिक की इन्फ्रास्ट्रक्चर (PKI) की आवश्यकता होती है। इसके लिए एंडपॉइंट्स पर इन प्रमाणपत्रों को सुरक्षित रूप से वितरित करने के लिए Microsoft Intune या Jamf जैसे मोबाइल डिवाइस प्रबंधन (MDM) समाधान की भी आवश्यकता होती है। Apple वातावरण पर मार्गदर्शन के लिए, हमारी गाइड Apple डिवाइस बेड़े के लिए Jamf और RADIUS: प्रमाणपत्र-आधारित WiFi प्रमाणीकरण देखें। EAP-TLS कॉर्पोरेट-स्वामित्व वाले, प्रबंधित डिवाइस बेड़े के लिए इष्टतम विकल्प है जहां सुरक्षा सर्वोपरि है।

eap_security_comparison_chart.png

EAP-TTLS (EAP Tunneled TLS)

Funk Software और Certicom द्वारा सह-विकसित EAP-TTLS, सर्वर-साइड प्रमाणपत्र का उपयोग करके एक एन्क्रिप्टेड TLS टनल स्थापित करके PEAP के समान काम करता है। मुख्य अंतर आंतरिक प्रमाणीकरण विधि के संबंध में इसका लचीलापन है। जबकि PEAP काफी हद तक MSCHAPv2 से जुड़ा हुआ है, EAP-TTLS टनल के भीतर PAP, CHAP, या MSCHAP सहित लगभग किसी भी प्रमाणीकरण प्रोटोकॉल को सुरक्षित रूप से समाहित कर सकता है।

यह लचीलापन EAP-TTLS को उन वातावरणों में अत्यधिक मूल्यवान बनाता है जिन्हें पुरानी LDAP निर्देशिकाओं, RADIUS प्रॉक्सी, या गैर-Microsoft पहचान स्टोरों के खिलाफ प्रमाणित करने की आवश्यकता होती है जो मूल रूप से MSCHAPv2 का समर्थन नहीं करते हैं। यह प्रसिद्ध रूप से eduroam के लिए अंतर्निहित प्रोटोकॉल है, जो अंतर्राष्ट्रीय अनुसंधान और शिक्षा समुदाय के लिए वैश्विक रोमिंग एक्सेस सेवा है। ऐतिहासिक रूप से, EAP-TTLS के लिए मूल क्लाइंट समर्थन PEAP की तुलना में कम व्यापक था, जिसके लिए अक्सर पुराने Windows संस्करणों पर तृतीय-पक्ष सप्लीकेंट्स की आवश्यकता होती थी, लेकिन आधुनिक ऑपरेटिंग सिस्टम अब मजबूत मूल समर्थन प्रदान करते हैं।

EAP-FAST (Flexible Authentication via Secure Tunneling)

अत्यधिक संवेदनशील LEAP प्रोटोकॉल के त्वरित प्रतिस्थापन के रूप में Cisco द्वारा विकसित, EAP-FAST को डिजिटल प्रमाणपत्रों को तैनात करने की सख्त आवश्यकता के बिना सुरक्षित प्रमाणीकरण प्रदान करने के लिए डिज़ाइन किया गया था। सुरक्षित टनल स्थापित करने के लिए सर्वर प्रमाणपत्र का उपयोग करने के बजाय, EAP-FAST प्रोटेक्टेड एक्सेस क्रेडेंशियल्स (PACs) पर निर्भर करता है—डेटा के अपारदर्शी ब्लॉक जो प्रमाणीकरण सर्वर द्वारा क्लाइंट्स को गतिशील रूप से प्रदान किए जाते हैं।

EAP-FAST को इसकी तीव्र सत्र पुनरारंभ (session resumption) क्षमताओं द्वारा जाना जाता है। हालांकि यह एक सुरक्षित, एन्क्रिप्टेड टनल प्रदान करता है, मानक X.509 प्रमाणपत्रों के बजाय PACs पर इसकी निर्भरता इसे कुछ हद तक मालिकाना बनाती है और आधुनिक, विक्रेता-तटस्थ ज़ीरो-ट्रस्ट आर्किटेक्चर के साथ कम संरेखित करती है। आज, EAP-FAST मुख्य रूप से पुराने Cisco-केंद्रित वातावरणों, विशिष्ट IoT परिनियोजनों, या विशेष रूप से मजबूत (ruggedised) उपकरणों में प्रासंगिक है। अधिकांश नए एंटरप्राइज परिनियोजनों के लिए, PEAP या EAP-TLS को प्राथमिकता दी जाती है।

कार्यान्वयन गाइड

802.1X प्रमाणीकरण को तैनात करने के लिए वायरलेस एक्सेस पॉइंट्स से लेकर RADIUS इन्फ्रास्ट्रक्चर और पहचान प्रदाताओं तक, पूरे नेटवर्क स्टैक में सावधानीपूर्वक योजना बनाने की आवश्यकता होती है। Purple के प्लेटफॉर्म के साथ एकीकृत करते समय, हमारे RADIUS सर्वर सभी प्रमुख EAP विधियों का समर्थन करते हैं, जिससे उपयोगकर्ता Wayfinding या WiFi Analytics जैसी सुविधाओं के साथ बातचीत करने से पहले निर्बाध प्रमाणीकरण सुनिश्चित करते हैं।

eap_deployment_scenario.png

चरण 1: प्रमाणीकरण रणनीति को परिभाषित करें

अपने एंडपॉइंट बेड़े का आकलन करें। यदि डिवाइस कॉर्पोरेट-स्वामित्व वाले हैं और MDM के माध्यम से प्रबंधित हैं, तो EAP-TLS को लक्षित करें। यदि आप BYOD का समर्थन कर रहे हैं, तो PEAP व्यावहारिक विकल्प है। सुनिश्चित करें कि आपका पहचान प्रदाता (Active Directory, Google Workspace, Okta) आवश्यक प्रोटोकॉल (जैसे, PEAP के लिए MSCHAPv2) का समर्थन करता है।

चरण 2: प्रमाणपत्र प्रबंधन

EAP-FAST को छोड़कर अन्य सभी विधियों के लिए, आपको अपने RADIUS सर्वर पर एक सर्वर प्रमाणपत्र तैनात करना होगा। क्लाइंट-साइड ट्रस्ट चेतावनियों को कम करने के लिए यह प्रमाणपत्र आदर्श रूप से एक विश्वसनीय सार्वजनिक प्रमाणपत्र प्राधिकरण (CA) द्वारा जारी किया जाना चाहिए, हालांकि यदि आप सभी एंडपॉइंट्स को नियंत्रित करते हैं तो एक आंतरिक एंटरप्राइज CA का उपयोग किया जा सकता है। EAP-TLS के लिए, अपना PKI स्थापित करें और अपने MDM को सही सब्जेक्ट अल्टरनेटिव नेम (SAN) मैपिंग के साथ क्लाइंट प्रमाणपत्रों को स्वचालित रूप से प्रदान करने के लिए कॉन्फ़िगर करें।

चरण 3: RADIUS और एक्सेस पॉइंट कॉन्फ़िगरेशन

अपने वायरलेस एक्सेस पॉइंट्स को WPA2-Enterprise या WPA3-Enterprise का उपयोग करने के लिए कॉन्फ़िगर करें, उन्हें सही साझा रहस्यों के साथ अपने RADIUS सर्वर IP पतों पर इंगित करें। RADIUS सर्वर पर, अपनी नेटवर्क नीतियां परिभाषित करें, अनुमत EAP विधियों को निर्दिष्ट करें और उपयोगकर्ता या डिवाइस समूह सदस्यता के आधार पर सफल प्रमाणीकरण को उपयुक्त VLANs से मैप करें।

चरण 4: एंडपॉइंट सप्लीकेंट कॉन्फ़िगरेशन

सुरक्षा के लिए यह सबसे महत्वपूर्ण चरण है। PEAP के लिए, डिवाइसों पर पूर्व-कॉन्फ़िगर किए गए WiFi प्रोफाइल को पुश करने के लिए MDM या Group Policy का उपयोग करें। इस प्रोफाइल में स्पष्ट रूप से विश्वसनीय RADIUS सर्वर नाम और सर्वर प्रमाणपत्र जारी करने वाले विश्वसनीय रूट CA को निर्दिष्ट किया जाना चाहिए। महत्वपूर्ण रूप से, उस विकल्प को अक्षम करें जो उपयोगकर्ताओं को नए सर्वर या प्रमाणपत्रों पर भरोसा करने के लिए प्रेरित करता है।

सर्वोत्तम प्रथाएं

  1. प्रमाणपत्रों के लिए कभी भी उपयोगकर्ता के निर्णय पर निर्भर न रहें: PEAP या EAP-TTLS को तैनात करते समय, विशिष्ट सर्वर प्रमाणपत्रों पर भरोसा करने के लिए हमेशा एंडपॉइंट सप्लीकेंट्स को पहले से कॉन्फ़िगर करें। प्रमाणपत्र चेतावनी पर उपयोगकर्ताओं द्वारा "स्वीकार करें" पर क्लिक करने पर निर्भर रहना पूरे सुरक्षा मॉडल को कमजोर करता है और नेटवर्क को दुष्ट AP हमलों के प्रति संवेदनशील बनाता है।
  2. प्रमाणपत्र जीवनचक्र प्रबंधन को स्वचालित करें: प्रमाणपत्र की समाप्ति 802.1X आउटेज का एक प्रमुख कारण है। EAP-TLS परिनियोजनों में RADIUS सर्वर प्रमाणपत्रों और क्लाइंट प्रमाणपत्रों दोनों के लिए स्वचालित निगरानी और नवीनीकरण प्रक्रियाओं को लागू करें।
  3. WPA3-Enterprise लागू करें: जहां क्लाइंट समर्थन अनुमति देता है, वहां WPA3-Enterprise पर संक्रमण करें। यह प्रोटेक्टेड मैनेजमेंट फ्रेम्स (PMF) के उपयोग को अनिवार्य बनाता है और 192-बिट सुरक्षा सूट विकल्प प्रदान करता, जो WPA2 की तुलना में अधिक मजबूत क्रिप्टोग्राफिक सुरक्षा प्रदान करता है।
  4. नेटवर्क को विभाजित करें: प्रमाणित उपयोगकर्ताओं को उनकी भूमिका के आधार पर विशिष्ट VLANs में गतिशील रूप से असाइन करने के लिए RADIUS विशेषताओं (जैसे Filter-Id या Tunnel-Private-Group-Id) का उपयोग करें, जिससे कॉर्पोरेट संपत्तियों से अतिथि ट्रैफ़िक को अलग किया जा सके। आधुनिक नेटवर्क डिज़ाइन के बारे में अधिक जानकारी के लिए, आधुनिक व्यवसायों के लिए मुख्य SD WAN लाभ की समीक्षा करें।

समस्या निवारण और जोखिम शमन

आम विफलता मोड आमतौर पर प्रमाणपत्र सत्यापन और पहचान प्रदाता एकीकरण के इर्द-गिर्द घूमते हैं।

  • लक्षण: RADIUS सर्वर अपडेट के बाद क्लाइंट कनेक्ट होने में विफल रहते हैं।
    • जोखिम: नया सर्वर प्रमाणपत्र क्लाइंट्स द्वारा विश्वसनीय रूट CA द्वारा जारी नहीं किया गया था, या सर्वर का नाम बदल गया था।
    • शमन: हमेशा स्टेजिंग वातावरण में प्रमाणपत्र रोलओवर का परीक्षण करें। उत्पादन में लागू करने से पहले सुनिश्चित करें कि नया प्रमाणपत्र श्रृंखला सभी एंडपॉइंट प्रोफाइल द्वारा पूरी तरह से विश्वसनीय है।
  • लक्षण: iOS डिवाइस ठीक से कनेक्ट होते हैं, लेकिन Windows डिवाइस विफल हो जाते हैं।
    • जोखिम: Windows सप्लीकेंट्स अक्सर सर्वर प्रमाणपत्र पर सर्वर नेम इंडिकेशन (SNI) या विशिष्ट EKU (एक्सटेंडेड की यूसेज) विशेषताओं को सत्यापित करने के बारे में अधिक सख्त होते हैं।
    • शमन: सत्यापित करें कि सर्वर प्रमाणपत्र में 'सर्वर प्रमाणीकरण' EKU शामिल है और SAN Windows WiFi प्रोफाइल में कॉन्फ़िगर किए गए नाम से मेल खाता है।

ROI और व्यावसायिक प्रभाव

एक मजबूत EAP विधि पर संक्रमण केवल सुरक्षा से परे महत्वपूर्ण व्यावसायिक मूल्य प्रदान करता है। साझा पासवर्ड को समाप्त करके, IT टीमें पासवर्ड रीसेट या समझौता किए गए PSKs से संबंधित हेल्पडेस्क टिकटों के परिचालन ओवरहेड को कम करती हैं। हॉस्पिटैलिटी जैसे वातावरण में, जहां कर्मचारियों का टर्नओवर अधिक हो सकता है, प्रमाणपत्र-आधारित प्रमाणीकरण (EAP-TLS) यह सुनिश्चित करता है कि डिवाइस के वाइप होने या प्रमाणपत्र समाप्त होने पर वैश्विक पासवर्ड बदलने की आवश्यकता के बिना एक्सेस स्वचालित रूप से रद्द हो जाए।

इसके अलावा, मजबूत प्रमाणीकरण PCI-DSS और GDPR जैसे अनुपालन ढांचे के लिए एक पूर्वापेक्षा है। मजबूत एक्सेस नियंत्रणों का प्रदर्शन करके, संगठन डेटा उल्लंघनों से जुड़े नियामक जुर्मानों और प्रतिष्ठित क्षति के जोखिम को कम करते हैं। स्थान के बुनियादी ढांचे के उन्नयन पर व्यापक नज़र डालने के लिए, आधुनिक हॉस्पिटैलिटी WiFi समाधान जिसके आपके मेहमान हकदार हैं देखें।

पॉडकास्ट ब्रीफिंग

EAP विधियों पर हमारी 10 मिनट की तकनीकी ब्रीफिंग सुनें, जिसमें कार्यान्वयन रणनीतियों और सामान्य कमियों को शामिल किया गया है: eap_methods_compared_peap_eap_tls_eap_ttls_and_eap_fast_podcast.wav

मुख्य परिभाषाएं

802.1X

पोर्ट-आधारित नेटवर्क एक्सेस नियंत्रण के लिए एक IEEE मानक जो LAN या WLAN से जुड़ने के इच्छुक उपकरणों को एक प्रमाणीकरण तंत्र प्रदान करता है।

IT टीमें असुरक्षित साझा पासवर्ड (PSKs) को व्यक्तिगत, एंटरप्राइज-ग्रेड प्रमाणीकरण से बदलने के लिए 802.1X लागू करती हैं।

RADIUS (Remote Authentication Dial-In User Service)

एक नेटवर्किंग प्रोटोकॉल जो उन उपयोगकर्ताओं के लिए केंद्रीकृत प्रमाणीकरण, प्राधिकरण और लेखांकन (AAA) प्रबंधन प्रदान करता है जो नेटवर्क सेवा से जुड़ते हैं और उसका उपयोग करते हैं।

RADIUS सर्वर 802.1X परिनियोजन के केंद्रीय मस्तिष्क के रूप में कार्य करता है, जो पहचान प्रदाता के खिलाफ क्रेडेंशियल्स को सत्यापित करता है और एक्सेस पॉइंट को बताता है कि कनेक्शन की अनुमति दी जाए या नहीं।

Supplicant

एंडपॉइंट डिवाइस (लैपटॉप, स्मार्टफोन) पर सॉफ्टवेयर क्लाइंट जो 802.1X के माध्यम से नेटवर्क एक्सेस पर बातचीत करने के लिए प्रमाणक (एक्सेस पॉइंट) के साथ संचार करता है।

गलत तरीके से कॉन्फ़िगर किए गए सप्लीकेंट्स PEAP परिनियोजनों में सुरक्षा कमजोरियों का प्राथमिक कारण हैं, विशेष रूप से तब जब सर्वर प्रमाणपत्र सत्यापन अक्षम होता है।

Mutual Authentication

एक सुरक्षा प्रक्रिया जिसमें संचार लिंक में दोनों संस्थाएं एक-दूसरे को प्रमाणित करती हैं (जैसे, क्लाइंट सर्वर को सत्यापित करता है, और सर्वर क्लाइंट को सत्यापित करता है)।

दुष्ट AP हमलों को रोकने के लिए महत्वपूर्ण; EAP-TLS इसे स्वाभाविक रूप से लागू करता है, जबकि PEAP को क्लाइंट-टू-सर्वर सत्यापन प्राप्त करने के लिए सख्त सप्लीकेंट कॉन्फ़िगरेशन की आवश्यकता होती है।

PKI (Public Key Infrastructure)

डिजिटल प्रमाणपत्र बनाने, प्रबंधित करने, वितरित करने, उपयोग करने, संग्रहीत करने और रद्द करने के लिए आवश्यक भूमिकाओं, नीतियों, हार्डवेयर, सॉफ्टवेयर और प्रक्रियाओं का एक सेट।

EAP-TLS को तैनात करने के लिए एक मजबूत PKI पूर्वापेक्षा है, जो अक्सर छोटी IT टीमों के लिए प्रवेश की सबसे बड़ी बाधा का प्रतिनिधित्व करती है।

Evil Twin Attack

एक दुष्ट वायरलेस एक्सेस पॉइंट जो वायरलेस संचार पर नज़र रखने या क्रेडेंशियल चुराने के लिए एक वैध एंटरप्राइज नेटवर्क का रूप धारण करता है।

यह खराब तरीके से कॉन्फ़िगर किए गए PEAP परिनियोजनों के खिलाफ प्राथमिक खतरा वेक्टर है जहां क्लाइंट RADIUS सर्वर प्रमाणपत्र को सत्यापित नहीं करते हैं।

PAC (Protected Access Credential)

एक प्रमाणीकरण सर्वर द्वारा क्लाइंट को गतिशील रूप से प्रदान किया गया एक मजबूत साझा रहस्य, जिसका उपयोग विशेष रूप से EAP-FAST में एक सुरक्षित टनल स्थापित करने के लिए किया जाता है।

PACs डिजिटल प्रमाणपत्रों की तैनाती की आवश्यकता के बिना EAP-FAST को सुरक्षित प्रमाणीकरण प्रदान करने की अनुमति देते हैं।

MDM (Mobile Device Management)

एक IT विभाग द्वारा कई मोबाइल सेवा प्रदाताओं और कई मोबाइल ऑपरेटिंग सिस्टमों में कर्मचारियों के मोबाइल उपकरणों की निगरानी, प्रबंधन और सुरक्षा के लिए उपयोग किया जाने वाला सुरक्षा सॉफ्टवेयर।

आधुनिक EAP-TLS परिनियोजनों के लिए MDM आवश्यक है, जिससे IT को कॉर्पोरेट उपकरणों पर चुपचाप क्लाइंट प्रमाणपत्र और सख्त WiFi प्रोफाइल पुश करने की अनुमति मिलती है।

हल किए गए उदाहरण

एक राष्ट्रीय रिटेल श्रृंखला को 500 स्टोरों में पॉइंट-ऑफ-सेल (POS) टैबलेट के लिए सुरक्षित WiFi तैनात करने की आवश्यकता है। टैबलेट कॉर्पोरेट-स्वामित्व वाले हैं और Microsoft Intune के माध्यम से प्रबंधित हैं। उन्हें PCI-DSS आवश्यकताओं का पालन करना होगा। उन्हें कौन सी EAP विधि तैनात करनी चाहिए और कैसे?

संगठन को EAP-TLS तैनात करना चाहिए। Microsoft Intune का उपयोग करके, वे प्रत्येक POS टैबलेट को स्वचालित रूप से अद्वितीय क्लाइंट प्रमाणपत्र प्रदान करने के लिए एक Simple Certificate Enrollment Protocol (SCEP) प्रोफ़ाइल कॉन्फ़िगर करेंगे। फिर वे Intune के माध्यम से एक WiFi प्रोफ़ाइल पुश करेंगे जो टैबलेट को WPA2/WPA3-Enterprise का उपयोग करके कनेक्ट करने के लिए कॉन्फ़िगर करती है, जिसमें प्रमाणीकरण विधि के रूप में EAP-TLS निर्दिष्ट किया जाता है और प्रदान किए गए क्लाइंट प्रमाणपत्र का चयन किया जाता है। RADIUS सर्वर को इन प्रमाणपत्रों के आधार पर उपकरणों को प्रमाणित करने के लिए कॉन्फ़िगर किया जाएगा, जिससे उन्हें एक प्रतिबंधित PCI-अनुपालन VLAN से मैप किया जा सके।

परीक्षक की टिप्पणी: यहाँ EAP-TLS ही एकमात्र सही विकल्प है। PCI-DSS कार्डधारक डेटा को संभालने वाले वातावरण को कड़ाई से नियंत्रित करता है। PEAP पासवर्ड पर निर्भर करेगा, जो समझौते के प्रति संवेदनशील हैं और जिनके लिए जटिल रोटेशन नीतियों की आवश्यकता होती है। EAP-TLS पारस्परिक प्रमाणीकरण प्रदान करता है और पासवर्ड को पूरी तरह से हटा देता, जिससे सख्त अनुपालन आवश्यकताएं पूरी होती हैं। Intune के माध्यम से परिनियोजन को प्रबंधित करना EAP-TLS से जुड़ी पारंपरिक जटिलता को समाप्त करता है।

एक बड़े विश्वविद्यालय को व्यक्तिगत लैपटॉप, स्मार्टफोन और टैबलेट (BYOD) के मिश्रण का उपयोग करने वाले 20,000 छात्रों के लिए सुरक्षित WiFi प्रदान करने की आवश्यकता है। विश्वविद्यालय पहचान प्रबंधन के लिए Active Directory का उपयोग करता है। उन्हें 802.1X के प्रति क्या दृष्टिकोण अपनाना चाहिए?

विश्वविद्यालय को MSCHAPv2 के साथ PEAP तैनात करना चाहिए। वे अपने RADIUS सर्वर पर एक प्रसिद्ध सार्वजनिक प्रमाणपत्र प्राधिकरण (जैसे, DigiCert, Let's Encrypt) से एक सर्वर प्रमाणपत्र स्थापित करेंगे। सुरक्षा सुनिश्चित करने के लिए, उन्हें एक ऑनबोर्डिंग टूल (जैसे SecureW2 या एक कस्टम ऐप) प्रदान करना होगा जो छात्रों के उपकरणों को स्वचालित रूप से कॉन्फ़िगर करता है। यह टूल WiFi प्रोफ़ाइल बनाएगा, स्पष्ट रूप से विश्वसनीय RADIUS सर्वर नामों को परिभाषित करेगा, और सर्वर प्रमाणपत्र सत्यापन लागू करेगा, जिससे छात्रों को दुष्ट APs से कनेक्ट होने से रोका जा सकेगा।

परीक्षक की टिप्पणी: बड़े पैमाने पर BYOD परिनियोजनों के लिए PEAP व्यावहारिक विकल्प है क्योंकि अप्रबंधित उपकरणों (EAP-TLS) के लिए 20,000 क्लाइंट प्रमाणपत्र जारी करना और प्रबंधित करना एक परिचालन दुःस्वप्न है। यहाँ सफलता का महत्वपूर्ण कारक ऑनबोर्डिंग टूल है। यदि छात्र मैन्युअल रूप से अपने उपकरणों को कॉन्फ़िगर करते हैं, तो वे संभवतः सर्वर सत्यापन को सही ढंग से कॉन्फ़िगर करने में विफल रहेंगे, जिससे उनके Active Directory क्रेडेंशियल इंटरसेप्शन के प्रति संवेदनशील हो जाएंगे।

अभ्यास प्रश्न

Q1. आपका संगठन Google Workspace से एक नए क्लाउड-आधारित पहचान प्रदाता पर माइग्रेट कर रहा है जो केवल LDAP का समर्थन करता है और MSCHAPv2 का समर्थन नहीं करता है। आपको लीगेसी उपकरणों के लिए अपने मौजूदा पासवर्ड-आधारित 802.1X WiFi को बनाए रखने की आवश्यकता है। आपको अपने RADIUS सर्वर पर कौन सी EAP विधि कॉन्फ़िगर करनी होगी?

संकेत: विचार करें कि कौन सी टनल विधि MSCHAPv2 के अलावा अन्य आंतरिक प्रमाणीकरण प्रोटोकॉल की अनुमति देती है।

मॉडल उत्तर देखें

आपको EAP-TTLS कॉन्फ़िगर करना होगा। PEAP के विपरीत, जो आंतरिक प्रमाणीकरण के लिए MSCHAPv2 पर बहुत अधिक निर्भर है, EAP-TTLS अपने सुरक्षित TLS टनल के भीतर PAP या CHAP जैसे पुराने प्रोटोकॉल को समाहित कर सकता है, जिससे यह उन LDAP निर्देशिकाओं के साथ इंटरफेस कर सकता है जिनमें MSCHAPv2 समर्थन की कमी है।

Q2. एक सुरक्षा ऑडिट से पता चलता है कि जब उपयोगकर्ता कॉफी शॉप पर सार्वजनिक WiFi नेटवर्क से अपने स्मार्टफोन कनेक्ट करते हैं तो उनके Active Directory पासवर्ड से समझौता किया जा रहा है। हमलावर कॉर्पोरेट SSID का प्रसारण कर रहे हैं। आपका वर्तमान परिनियोजन PEAP का उपयोग करता है। EAP विधि को बदले बिना आप इसे कैसे कम कर सकते हैं?

संकेत: समस्या यह है कि क्लाइंट डिवाइस आँख बंद करके दुष्ट AP पर भरोसा कर रहे हैं। आप क्लाइंट को यह सत्यापित करने के लिए कैसे बाध्य करते हैं कि वह वास्तविक कॉर्पोरेट नेटवर्क से बात कर रहा है?

मॉडल उत्तर देखें

आपको सख्त सर्वर प्रमाणपत्र सत्यापन लागू करने के लिए एंडपॉइंट सप्लीकेंट्स (MDM या Group Policy के माध्यम से) को कॉन्फ़िगर करना होगा। WiFi प्रोफ़ाइल में स्पष्ट रूप से विश्वसनीय कॉर्पोरेट RADIUS सर्वरों के नाम और उनके प्रमाणपत्र जारी करने वाले विशिष्ट रूट CA को निर्दिष्ट किया जाना चाहिए। इसके अतिरिक्त, आपको उस सेटिंग को अक्षम करना होगा जो उपयोगकर्ताओं को अज्ञात प्रमाणपत्रों पर भरोसा करने के लिए प्रेरित करती है, जिससे यह सुनिश्चित हो सके कि सर्वर प्रमाणित न होने पर कनेक्शन चुपचाप विफल हो जाए।

Q3. आप एक गोदाम में मजबूत (ruggedised) बारकोड स्कैनर का एक बेड़ा तैनात कर रहे हैं। डिवाइस एक लीगेसी एम्बेडेड OS चलाते हैं जो WPA2-Enterprise या मानक 802.1X प्रमाणपत्रों का समर्थन नहीं करता है, लेकिन वे Cisco Compatible Extensions (CCX) का समर्थन करते हैं। आपको सुरक्षित प्रमाणीकरण की आवश्यकता है। उपयोग करने के लिए सबसे संभावित EAP विधि क्या है?

संकेत: उस प्रोटोकॉल की तलाश करें जिसे विशेष रूप से Cisco द्वारा उन वातावरणों के लिए विकसित किया गया है जहाँ प्रमाणपत्र परिनियोजन चुनौतीपूर्ण या असंभव है।

मॉडल उत्तर देखें

यहाँ EAP-FAST उपयुक्त विकल्प है। इसे Cisco द्वारा विशेष रूप से उन वातावरणों के लिए डिज़ाइन किया गया था जहाँ प्रमाणपत्रों को तैनात करना अव्यावहारिक है। यह सुरक्षित टनल स्थापित करने के लिए गतिशील रूप से प्रदान किए गए प्रोटेक्टेड एक्सेस क्रेडेंशियल्स (PACs) का उपयोग करता है, जिससे यह लीगेसी या विशेष हार्डवेयर के लिए उपयुक्त हो जाता है जो CCX का समर्थन करता है लेकिन जिसमें मजबूत PKI क्षमताओं की कमी है।

इस श्रृंखला में आगे पढ़ें

विक्रेता द्वारा प्रति-डिवाइस PSK: iPSK, DPSK, MPSK और PPSK की तुलना (और WPA3 सपोर्ट)

Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet, और Ubiquiti UniFi में प्रति-डिवाइस PSK इम्प्लीमेंटेशन की एक व्यापक तुलना। जानें कि WPA3-SAE प्रति-डिवाइस की (key) रणनीतियों को कैसे प्रभावित करता है और कब ट्रांज़िशन मोड को तैनात करना चाहिए बनाम 802.1X पर जाना चाहिए।

गाइड पढ़ें →

कैप्टिव पोर्टल प्रमाणीकरण विधियों की तुलना

यह आधिकारिक तकनीकी संदर्भ गाइड पांच मुख्य कैप्टिव पोर्टल प्रमाणीकरण विधियों के आर्किटेक्चरल, परिचालन और अनुपालन ट्रेड-ऑफ का मूल्यांकन करती है। यह नेटवर्क आर्किटेक्ट्स, IT निदेशकों और मार्केटिंग प्रबंधकों को एंटरप्राइज वेन्यू में डेटा-संग्रह आवश्यकताओं के साथ गेस्ट ऑनबोर्डिंग घर्षण को संतुलित करने के लिए आवश्यक मात्रात्मक डेटा और निर्णय ढांचे प्रदान करती है।

गाइड पढ़ें →

MAC एड्रेस ऑथेंटिकेशन क्या है? इसका उपयोग कब करें और इससे कब बचें

यह आधिकारिक तकनीकी संदर्भ गाइड एंटरप्राइज़ WiFi वातावरण में MAC एड्रेस ऑथेंटिकेशन को कवर करती है — कैसे RADIUS-आधारित MAC ऑथेंटिकेशन लेयर 2 पर काम करता है, इसकी अंतर्निहित सुरक्षा कमजोरियां (जिसमें MAC स्पूफिंग और OS-स्तरीय MAC रैंडमाइजेशन का प्रभाव शामिल है), और सटीक परिचालन संदर्भ जहां यह IoT और हेडलेस डिवाइसों के प्रबंधन के लिए एक वैध उपकरण बना हुआ है। यह हॉस्पिटैलिटी, रिटेल, हेल्थकेयर और सार्वजनिक क्षेत्र के परिसरों में IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए व्यावहारिक परिनियोजन मार्गदर्शन प्रदान करता है, जिसमें वास्तविक दुनिया के व्यावहारिक उदाहरण, निर्णय ढांचे और Purple के गेस्ट WiFi और एनालिटिक्स प्लेटफॉर्म के लिए एकीकरण संदर्भ शामिल हैं।

गाइड पढ़ें →