EAP-TLS बनाम EAP-TTLS: आपको कौन सा सर्टिफिकेट-आधारित WiFi प्रोटोकॉल चुनना चाहिए?
यह गाइड IEEE 802.1X के तहत एंटरप्राइज WiFi ऑथेंटिकेशन के लिए EAP-TLS और EAP-TTLS की एक निश्चित और सीधी तुलना प्रदान करता है। यह म्यूचुअल सर्टिफिकेट ऑथेंटिकेशन और सर्वर-ओनली सर्टिफिकेट टनलिंग के बीच आर्किटेक्चरल अंतर को समझाता है, और IT प्रबंधकों, नेटवर्क आर्किटेक्ट्स और CISOs को डिवाइस प्रबंधन क्षमताओं और अनुपालन आवश्यकताओं के आधार पर एक स्पष्ट निर्णय ढांचा देता है। Purple स्टाफ WiFi के लिए EAP-TLS और EAP-TTLS दोनों ऑथेंटिकेशन पाथ का समर्थन करता है, और यह गाइड संगठनों को किसी भी दृष्टिकोण को अपनाने से पहले इंफ्रास्ट्रक्चर के समझौतों को समझने में मदद करता है।
इस गाइड को सुनें
पॉडकास्ट ट्रांसक्रिप्ट देखें
कार्यकारी सारांश (Executive summary)
अपने 802.1X डिप्लॉयमेंट के लिए सही EAP विधि चुनना यह तय करता है कि आपका एंटरप्राइज WiFi वास्तव में सुरक्षित है या केवल कागजों पर ही अनुपालन करता है। EAP-TLS (Extensible Authentication Protocol - Transport Layer Security), जो RFC 5216 में परिभाषित है, को आपसी प्रमाणपत्र प्रमाणीकरण (mutual certificate authentication) की आवश्यकता होती है: नेटवर्क एक्सेस मिलने से पहले क्लाइंट डिवाइस और RADIUS सर्वर दोनों वैध X.509 प्रमाणपत्र प्रस्तुत करते हैं। किसी भी समय पासवर्ड का आदान-प्रदान नहीं किया जाता है। EAP-TTLS (Tunneled Transport Layer Security), जो RFC 5281 में परिभाषित है, को एक एन्क्रिप्टेड TLS टनल स्थापित करने के लिए केवल एक सर्वर-साइड प्रमाणपत्र की आवश्यकता होती है, जिसके अंदर क्लाइंट मौजूदा निर्देशिका क्रेडेंशियल का उपयोग करके प्रमाणित होता है।
रिटेल चेन, हॉस्पिटैलिटी स्थलों और सार्वजनिक क्षेत्र के संगठनों में बुनियादी ढांचे का प्रबंधन करने वाले CTOs और नेटवर्क आर्किटेक्ट्स के लिए, यह निर्णय केवल एक प्रश्न पर निर्भर करता है: क्या आप उपकरणों का प्रबंधन करते हैं? यदि आप MDM के माध्यम से डिवाइस बेड़े को नियंत्रित करते हैं, तो EAP-TLS निश्चित विकल्प है। यदि आप एक विविध BYOD वातावरण का समर्थन करते हैं या एक मजबूत पब्लिक की इन्फ्रास्ट्रक्चर (PKI) की कमी है, तो EAP-TTLS एक व्यावहारिक, अत्यधिक सुरक्षित विकल्प प्रदान करता है। Purple 80,000+ से अधिक लाइव स्थलों पर Staff WiFi के लिए दोनों प्रमाणीकरण पथों का समर्थन करता है।
तकनीकी गहन विश्लेषण (Technical deep-dive)
EAP-TLS की वास्तुकला
EAP-TLS, IEEE 802.1X पोर्ट-आधारित एक्सेस कंट्रोल फ्रेमवर्क के भीतर एक आपसी प्रमाणीकरण (mutual authentication) मॉडल पर काम करता है। प्रत्येक प्रमाणीकरण विनिमय में तीन मुख्य कारक होते हैं: सप्लिकेंट (क्लाइंट डिवाइस), ऑथेंटिकेटर (वायरलेस एक्सेस पॉइंट), और ऑथेंटिकेशन सर्वर (RADIUS सर्वर)। एक्सेस पॉइंट स्वयं प्रमाणीकरण निर्णय नहीं लेता है। यह एक पारदर्शी रिले के रूप में कार्य करता है, जो EAP संदेशों को RADIUS पैकेटों में समाहित करता है और उन्हें ऑथेंटिकेशन सर्वर पर भेजता है।
EAP-TLS हैंडशेक इस प्रकार आगे बढ़ता है। एक्सेस पॉइंट कनेक्ट होने वाले डिवाइस को एक EAP-Request/Identity भेजता है। डिवाइस अपनी पहचान के साथ प्रतिक्रिया देता है। RADIUS सर्वर EAP-TLS/Start संदेश के साथ TLS हैंडशेक शुरू करता है। क्लाइंट एक ClientHello भेजता है, जो इसके समर्थित TLS साइफर सुइट्स का विज्ञापन करता है। RADIUS सर्वर ServerHello, अपने X.509 सर्वर सर्टिफिकेट और एक सर्टिफिकेट अनुरोध के साथ प्रतिक्रिया देता है। क्लाइंट अपने विश्वसनीय रूट CA स्टोर के खिलाफ सर्वर सर्टिफिकेट को सत्यापित करता है। यदि सत्यापन विफल हो जाता है, तो हैंडशेक समाप्त हो जाता है - जो अनधिकृत (rogue) एक्सेस पॉइंट से सुरक्षा प्रदान करता है। इसके बाद क्लाइंट अपना स्वयं का X.509 सर्टिफिकेट प्रस्तुत करता है। RADIUS सर्वर क्लाइंट सर्टिफिकेट को सत्यापित करता है, विश्वसनीय रूट CA तक सिग्नेचर चेन की जांच करता है, सत्यापित करता है कि सर्टिफिकेट समाप्त नहीं हुआ है, और सर्टिफिकेट निरसन सूची (CRL) की जांच करता है या OCSP से पूछताछ करता है। केवल तभी जब दोनों पक्ष संतुष्ट होते हैं, TLS टनल स्थापित होती है और नेटवर्क एक्सेस प्रदान किया जाता है।
चूंकि किसी भी पासवर्ड का आदान-प्रदान नहीं होता है, इसलिए EAP-TLS ऑफलाइन डिक्शनरी हमलों, क्रेडेंशियल स्टफिंग और फ़िशिंग से सुरक्षित है। यह एकमात्र EAP तरीका है जो WPA3-Enterprise 192-bit (Suite B) आवश्यकताओं को पूरा करता है, और इसे कार्डधारक डेटा वातावरण के लिए PCI DSS 4.0 द्वारा और उच्च-सुरक्षा वायरलेस परिनियोजन के लिए NIST SP 800-120 द्वारा अनिवार्य या दृढ़ता से अनुशंसित किया गया है।
EAP-TLS के लिए एक PKI की आवश्यकता होती है। आपको कम से कम एक ऑफलाइन रूट CA और एक ऑनलाइन जारी करने वाले CA की आवश्यकता होती है। रूट CA एयर-गैप्ड होना चाहिए, क्योंकि इसकी प्राइवेट की (private key) आपके संपूर्ण सर्टिफिकेट पदानुक्रम के लिए मास्टर ट्रस्ट एंकर है। जारी करने वाला CA दैनिक सर्टिफिकेट जारी करने का काम संभालता है और CRL प्रकाशित करता है। क्लाइंट सर्टिफिकेट व्यक्तिगत उपकरणों को जारी किए जाते हैं, उपयोगकर्ताओं को नहीं - यह एक डिवाइस-आइडेंटिटी मॉडल है। यह अंतर IoT उपकरणों, साझा टर्मिनलों और हेडलेस सिस्टम के लिए महत्वपूर्ण है।
EAP-TTLS की संरचना
EAP-TTLS को हर क्लाइंट डिवाइस पर सर्टिफिकेट तैनात करने के परिचालन बोझ के बिना मजबूत 802.1X सुरक्षा प्रदान करने के लिए डिज़ाइन किया गया था। यह दो चरणों में काम करता है। पहले चरण में, RADIUS सर्वर अपना सर्टिफिकेट प्रस्तुत करता है और एक सुरक्षित TLS टनल स्थापित करता है। केवल सर्वर को ही सर्टिफिकेट की आवश्यकता होती है। दूसरे चरण में, क्लाइंट एक आंतरिक प्रमाणीकरण पद्धति का उपयोग करके उस एन्क्रिप्टेड टनल के भीतर प्रमाणित होता है। सामान्य आंतरिक तरीकों में PAP (Password Authentication Protocol), CHAP, और MS-CHAPv2 शामिल हैं। क्लाइंट अपना उपयोगकर्ता नाम और पासवर्ड भेजता है, लेकिन क्योंकि यह आदान-प्रदान TLS टनल के भीतर होता है, क्रेडेंशियल ट्रांज़िट में एन्क्रिप्टेड होते हैं और कभी भी हवा में उजागर नहीं होते हैं।
EAP-TTLS macOS, Linux, Android, और iOS पर उत्कृष्ट क्रॉस-प्लेटफ़ॉर्म सहायता प्रदान करता है। चेतावनी Windows को लेकर है: इन-बिल्ट Windows सप्लिकेंट वायरलेस 802.1X के लिए EAP-TTLS को पूरी तरह से लागू नहीं करता है। अधिक Windows वाले वातावरणों को एक तृतीय-पक्ष सप्लिकेंट की आवश्यकता हो सकती है, जो परिचालन जटिलता को बढ़ाता है। Windows-केंद्रित वातावरणों के लिए, MS-CHAPv2 के साथ PEAP अक्सर अधिक व्यावहारिक विकल्प होता है।
EAP-TTLS की सबसे बड़ी सीमा यह है कि यह पासवर्ड के अंतर्निहित जोखिमों को समाप्त नहीं करता है। यदि कोई उपयोगकर्ता कमज़ोर पासवर्ड चुनता है, तो वह बाद में ऑफ़लाइन ब्रूट फ़ोर्स के प्रति संवेदनशील रहता है। यदि आंतरिक प्रमाणीकरण PAP का उपयोग करता है, तो पासवर्ड टनल के भीतर प्लेनटेक्स्ट में भेजा जाता है - जो तब स्वीकार्य है जब आप अपने RADIUS इन्फ्रास्ट्रक्चर पर भरोसा करते हैं, लेकिन इसे एक ट्रस्ट मॉडल के रूप में समझना आवश्यक है।
आमने-सामने तुलना
| विशेषता | EAP-TLS | EAP-TTLS |
|---|---|---|
| RFC मानक | RFC 5216 | RFC 5281 |
| क्लाइंट प्रमाणपत्र आवश्यक | हाँ | नहीं |
| सर्वर प्रमाणपत्र आवश्यक | हाँ | हाँ |
| प्रमाणीकरण मॉडल | आपसी (दोनों पक्ष) | केवल-सर्वर |
| पासवर्ड का जोखिम | कोई नहीं - पासवर्ड रहित | एन्क्रिप्टेड टनल में पासवर्ड |
| PKI आवश्यकता | पूर्ण PKI (रूट CA + जारीकर्ता CA + MDM) | केवल सर्वर प्रमाणपत्र |
| WPA3-Enterprise 192-bit | आवश्यक विधि | समर्थित नहीं |
| PCI DSS 4.0 संरेखण | दृढ़ता से अनुशंसित | मजबूत आंतरिक प्रमाणीकरण के साथ स्वीकार्य |
| BYOD उपयुक्तता | कम (क्लाइंट प्रमाणपत्र की आवश्यकता होती है) | उच्च (केवल क्रेडेंशियल्स) |
| IoT डिवाइस उपयुक्तता | उच्च (स्टेजिंग पर प्रमाणपत्र प्रदान किया गया) | कम (क्रेडेंशियल इनपुट के लिए कोई UI नहीं) |
| Windows मूल समर्थन | हाँ | आंशिक (अक्सर तृतीय-पक्ष सप्लीकेंट की आवश्यकता होती है) |
| macOS/Linux/Android समर्थन | हाँ | हाँ |
| परिनियोजन जटिलता | उच्च | मध्यम |
कार्यान्वयन गाइड
प्रबंधित फ़्लीट के लिए EAP-TLS तैनात करना
EAP-TLS को तैनात करने के लिए एक कार्यात्मक PKI और एक MDM प्लेटफॉर्म की आवश्यकता होती है। मैन्युअल प्रमाणपत्र स्थापना एंटरप्राइज़ स्तर पर व्यवहार्य नहीं है। आपको SCEP (सिंपल सर्टिफिकेट एनरोलमेंट प्रोटोकॉल) या EST (एनरोलमेंट ओवर सिक्योर ट्रांसपोर्ट) का उपयोग करके अपने PKI को अपने MDM के साथ एकीकृत करना होगा। जब एक कॉर्पोरेट डिवाइस नामांकित होता है, तो यह उपयोगकर्ता के हस्तक्षेप के बिना स्वचालित रूप से अपने प्रमाणपत्र का अनुरोध करता है और प्राप्त करता है।
पहचान प्रबंधन के लिए, Connect लाइसेंस के तहत OpenRoaming जैसी सेवाओं के लिए Purple एक निःशुल्क पहचान प्रदाता के रूप में कार्य करता है, जो अंतर्निहित प्रमाणपत्र और पहचान ढांचे का उपयोग करके विभिन्न स्थानों पर सुरक्षित रोमिंग की सुविधा प्रदान करता है।
RADIUS की ओर, अपने आंतरिक CA के विरुद्ध क्लाइंट प्रमाणपत्रों को मान्य करने और रीयल-टाइम निरसन जाँच के लिए CRL की जाँच करने या OCSP का उपयोग करने के लिए अपने सर्वर को कॉन्फ़िगर करें। समर्थित RADIUS प्लेटफॉर्म में FreeRADIUS, Microsoft NPS और Cisco ISE शामिल हैं। Purple का क्लाउड ओवरले Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme और Fortinet हार्डवेयर के साथ एकीकृत होता है।
मिश्रित परिवेशों के लिए EAP-TTLS तैनात करना
अप्रबंधित उपकरणों वाले परिवेशों के लिए EAP-TTLS इष्टतम विकल्प है। आपको केवल अपने RADIUS सर्वर पर एक विश्वसनीय प्रमाणपत्र तैनात करने की आवश्यकता है। सुनिश्चित करें कि आपका RADIUS सर्वर आंतरिक प्रमाणीकरण क्रेडेंशियल्स को मान्य करने के लिए सीधे आपकी निर्देशिका सेवा - Microsoft Entra ID, Okta, या Google Workspace - के साथ एकीकृत हो। अपने MDM-तैनात WiFi प्रोफाइल को अपने विशिष्ट विश्वसनीय CA के विरुद्ध सर्वर प्रमाणपत्र सत्यापन लागू करने के लिए कॉन्फ़िगर करें। इस चरण के बिना, TLS टनल दुष्ट एक्सेस पॉइंट्स के खिलाफ कोई सुरक्षा प्रदान नहीं करती है।
सर्वोत्तम प्रथाएं
प्रत्येक क्लाइंट पर सर्वर प्रमाणपत्र सत्यापन लागू करें
EAP-TLS और EAP-TTLS दोनों के लिए सबसे महत्वपूर्ण कॉन्फ़िगरेशन चरण क्लाइंट डिवाइस पर सर्वर प्रमाणपत्र सत्यापन को लागू करना है। यदि कोई डिवाइस किसी विशिष्ट विश्वसनीय CA के विरुद्ध RADIUS सर्वर के प्रमाणपत्र को सत्यापित नहीं करता है, तो यह किसी भी प्रमाणपत्र को प्रस्तुत करने वाले किसी भी सर्वर से जुड़ जाएगा - जिसमें एक दुष्ट एक्सेस पॉइंट भी शामिल है। हमेशा अपने MDM-नियोजित WiFi प्रोफाइल में विश्वसनीय CA और अपेक्षित सर्वर नाम निर्दिष्ट करें। यह एकल कॉन्फ़िगरेशन जांच सबसे प्रभावी सुरक्षा सुधार है जिसे आप आज लागू कर सकते हैं।
प्रमाणपत्र जीवनचक्र प्रबंधन को स्वचालित करें
प्रमाणपत्रों की अवधि समाप्त हो जाती है। यदि आपके पास स्वचालित नवीनीकरण प्रक्रिया नहीं है, तो प्रमाणपत्रों की अवधि एक साथ समाप्त होने पर आपको बड़े पैमाने पर प्रमाणीकरण विफलताओं का सामना करना पड़ेगा। नवीनीकरण को स्वचालित करने के लिए SCEP या EST का उपयोग करें, और समाप्ति तिथियों से काफी पहले निगरानी अलर्ट कॉन्फ़िगर करें। यदि कोई डिवाइस खो जाता है या कोई कर्मचारी चला जाता है, तो प्रमाणपत्र को तुरंत निरस्त कर दें। रीयल-टाइम सत्यापन के लिए CRL की जांच करने या OCSP का उपयोग करने के लिए अपने RADIUS सर्वर को कॉन्फ़िगर करें।
प्रमाणीकरण विधि द्वारा अपने नेटवर्क को विभाजित करें
बड़े या वितरित परिवेशों में, अलग-अलग SSID पर दोनों प्रोटोकॉल चलाने पर विचार करें। कॉर्पोरेट प्रबंधित डिवाइस एक समर्पित स्टाफ WiFi SSID पर EAP-TLS के माध्यम से प्रमाणित होते हैं। ठेकेदार और BYOD डिवाइस उपयुक्त VLAN विभाजन के साथ एक अलग SSID पर EAP-TTLS के माध्यम से प्रमाणित होते हैं। यह पैटर्न प्रीमियर इन और व्हिटब्रेड जैसे आतिथ्य समूहों में आम है, जहां स्टाफ उपकरणों को प्रबंधित और प्रमाणपत्र जारी किए जाते हैं, जबकि मेहमानों के लिए बुनियादी ढांचा एक अलग प्रमाणीकरण पथ का उपयोग करता है। SSID आर्किटेक्चर के बारे में अधिक जानकारी के लिए, हमारा गाइड देखें Three SSIDs to rule them all: the WiFi design for guest, staff and IoT ।
सभी बुनियादी ढांचे में समय को सिंक्रनाइज़ करें
प्रमाणपत्र सत्यापन सटीक सिस्टम समय पर निर्भर करता है। क्लाइंट उपकरणों या RADIUS सर्वरों पर घड़ी का विचलन 'अभी तक मान्य नहीं' या 'समय समाप्त' प्रमाणपत्र त्रुटियां उत्पन्न करता है जिनका निदान करना कठिन होता है। सुनिश्चित करें कि सभी बुनियादी ढांचा घटक विश्वसनीय NTP सर्वरों के साथ सिंक्रनाइज़ हों।
समस्या निवारण और जोखिम शमन
अज्ञात CA त्रुटियां
यदि RADIUS लॉग 'अज्ञात CA' दिखाते हैं, तो क्लाइंट डिवाइस उस CA पर भरोसा नहीं करता है जिसने RADIUS सर्वर का प्रमाणपत्र जारी किया है। सत्यापित करें कि आपके MDM प्रोफ़ाइल में रूट CA प्रमाणपत्र शामिल है और उस पर भरोसा करने के लिए सप्लीकेंट को कॉन्फ़िगर किया गया है। CA रोटेशन या प्रमाणपत्र नवीनीकरण के बाद, अपडेट किए गए CA बंडल को सभी उपकरणों पर फिर से पुश करें।
EAP विधि बेमेल
यदि डिवाइस एक्सेस पॉइंट से कनेक्ट होते हैं लेकिन प्रमाणीकरण विफल हो जाता है, तो जांचें कि क्लाइंट पर कॉन्फ़िगर की गई EAP विधि RADIUS सर्वर द्वारा स्वीकार की जाने वाली विधि से मेल खाती है। EAP-TLS के लिए सेट किया गया डिवाइस प्रोफ़ाइल केवल PEAP के लिए कॉन्फ़िगर किए गए RADIUS सर्वर पर विफल हो जाएगा।
सर्टिफिकेट की समय सीमा समाप्त होने के कारण सामूहिक विफलताएं
यदि बड़ी संख्या में डिवाइस एक साथ प्रमाणित होने में विफल रहते हैं, तो सबसे पहले सर्टिफिकेट की समाप्ति तिथियों की जांच करें। यह EAP-TLS डिप्लॉयमेंट में बड़े पैमाने पर 802.1X विफलताओं का सबसे आम कारण है। ऐसा मॉनिटरिंग सिस्टम लागू करें जो समाप्ति से 60 दिन, 30 दिन और सात दिन पहले अलर्ट भेजे।
RADIUS क्लाइंट का गलत कॉन्फ़िगरेशन
प्रत्येक एक्सेस पॉइंट या वायरलेस कंट्रोलर को सही IP एड्रेस और शेयर्ड सीक्रेट के साथ RADIUS क्लाइंट के रूप में परिभाषित किया जाना चाहिए। बेमेल होने के कारण प्रमाणीकरण टाइमआउट होता है जिसे अक्सर गलत तरीके से EAP विधि के कारण मान लिया जाता है। पहले दिन से ही विस्तृत RADIUS लॉगिंग सक्षम करें। अधिक WiFi समस्या निवारण मार्गदर्शन के लिए, हमारी गाइड Troubleshooting Public WiFi: Fixing 'Connected, No Internet' and Splash Page Redirection Failures देखें।
अनुपालन और नियामक संरेखण
CISOs और नेटवर्क आर्किटेक्ट्स के लिए EAP-TLS बनाम EAP-TTLS का निर्णय लेने के लिए नियामक परिदृश्य को समझना आवश्यक है। EAP विधि का चयन सीधे कई प्रमुख फ्रेमवर्क में आपके अनुपालन की स्थिति को प्रभावित करता है।
PCI DSS 4.0 (पेमेंट कार्ड इंडस्ट्री डेटा सिक्योरिटी स्टैंडर्ड) को कार्डधारक डेटा परिवेश में वायरलेस नेटवर्क के लिए मजबूत क्रिप्टोग्राफिक प्रमाणीकरण की आवश्यकता होती है। आवश्यकता 8.3 CDE तक की सभी पहुंच के लिए मल्टी-फैक्टर प्रमाणीकरण को अनिवार्य बनाती है, और दायरे में आने वाले वायरलेस नेटवर्क को मजबूत प्रमाणीकरण तंत्र का उपयोग करना चाहिए। सर्टिफिकेट-आधारित म्यूचुअल प्रमाणीकरण के साथ EAP-TLS इस आवश्यकता को निश्चित रूप से पूरा करता है। MS-CHAPv2 के साथ EAP-TTLS स्वीकार्य है यदि आंतरिक प्रमाणीकरण ठीक से सुरक्षित है और सर्वर सर्टिफिकेट सत्यापन लागू किया गया है, लेकिन EAP-TLS अधिक मजबूत और ऑडिटर-अनुकूल विकल्प है।
HIPAA (हेल्थ इंश्योरेंस पोर्टेबिलिटी एंड अकाउंटेबिलिटी एक्ट) के तहत कवर की गई संस्थाओं के लिए तकनीकी सुरक्षा उपाय लागू करना आवश्यक है जो इलेक्ट्रॉनिक संचार नेटवर्क पर प्रसारित होने वाली इलेक्ट्रॉनिक संरक्षित स्वास्थ्य जानकारी (ePHI) की रक्षा करते हैं। HIPAA सुरक्षा नियम विशिष्ट प्रोटोकॉल को अनिवार्य नहीं करता है, लेकिन ePHI ले जाने वाले वायरलेस नेटवर्क के लिए एन्क्रिप्शन और एक्सेस कंट्रोल की उम्मीद प्रबंधित चिकित्सा उपकरण बेड़े के लिए EAP-TLS और स्टाफ उपकरणों के लिए लागू सर्वर सर्टिफिकेट सत्यापन के साथ EAP-TTLS के पक्ष में मजबूती से झुकी हुई है।
WPA3-Enterprise 192-bit (जिसे सुइट B या CNSA मोड के रूप में भी जाना जाता है) Wi-Fi Alliance के WPA3 सर्टिफिकेशन का उच्चतम सुरक्षा स्तर है। यह एकमात्र अनुमत प्रमाणीकरण विधि के रूप में EAP-TLS को अनिवार्य करता है, विशिष्ट सिफर सुइट्स (P-384 के साथ ECDHE, AES-256-GCM) के साथ TLS 1.2 या उच्चतर की आवश्यकता होती है, और ECDSA या RSA-3072 सर्टिफिकेट की आवश्यकता होती है। सरकारी, रक्षा, या महत्वपूर्ण बुनियादी ढांचा अनुप्रयोगों के लिए WPA3-Enterprise 192-bit तैनात करने वाले संगठनों को EAP-TLS का उपयोग करना चाहिए। ISO/IEC 27001 विशिष्ट प्रोटोकॉल को अनिवार्य नहीं करता है, लेकिन संगठनों को नेटवर्क संसाधनों के लिए उपयुक्त एक्सेस नियंत्रण लागू करने की आवश्यकता होती है। EAP-TLS या EAP-TTLS (लागू सर्वर प्रमाणपत्र सत्यापन के साथ) में से किसी एक के साथ 802.1X परिनियोजन (deployment) Annex A.9.1 और A.13.1 की नेटवर्क एक्सेस नियंत्रण आवश्यकताओं को पूरा करता है।
ROI और व्यावसायिक प्रभाव
EAP-TLS पर माइग्रेट करने के लिए PKI और MDM एकीकरण में शुरुआती निवेश की आवश्यकता होती है, लेकिन यह पासवर्ड रीसेट के परिचालन ओवरहेड और क्रेडेंशियल से समझौता होने के कारण होने वाले नेटवर्क ब्रीच के वित्तीय जोखिम को समाप्त करता है। 400 स्टोर वाली एक रिटेल चेन के लिए, साझा PSK नेटवर्क पर एक सिंगल कॉम्प्रोमाइज्ड पासवर्ड पूरे एस्टेट को खतरे में डाल सकता है। EAP-TLS उस अटैक वेक्टर को पूरी तरह से समाप्त कर देता है।
मल्टी-टेनेंट वातावरण और ट्रैवल हब के लिए, सुरक्षित प्रमाणीकरण (authentication) यह सुनिश्चित करता है कि केवल अधिकृत उपयोगकर्ता ही नेटवर्क बैंडविड्थ का उपयोग करें, जिससे बुनियादी ढांचे (infrastructure) के उपयोग को अनुकूलित किया जा सके। RADIUS प्रमाणपत्र विशेषताओं के माध्यम से डायनामिक VLAN असाइनमेंट क्रिप्टोग्राफिक रूप से लागू नेटवर्क सेगमेंटेशन को सक्षम बनाता है, जिससे SSID चयन या MAC address फ़िल्टरिंग पर निर्भर रहने के बजाय प्रमाणपत्र गुणों के आधार पर उपकरणों को सही नेटवर्क सेगमेंट पर रखा जा सकता है।
Purple का WiFi Analytics प्लेटफ़ॉर्म दोनों प्रमाणीकरण पथों के साथ एकीकृत होता है, जो आपके पूरे एस्टेट में डिवाइस की संख्या, सत्र की अवधि (session durations) और नेटवर्क उपयोग की दृश्यता प्रदान करता है। क्षेत्र-विशिष्ट परिनियोजन मार्गदर्शन के लिए, हॉस्पिटैलिटी , रिटेल , हेल्थकेयर , और ट्रांसपोर्ट के लिए हमारे संसाधनों को एक्सप्लोर करें।
मुख्य परिभाषाएं
EAP-TLS (एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल - ट्रांसपोर्ट लेयर सिक्योरिटी)
RFC 5216 में परिभाषित एक 802.1X प्रमाणीकरण विधि जिसमें क्लाइंट डिवाइस और RADIUS सर्वर दोनों को वैध X.509 प्रमाणपत्र प्रस्तुत करने की आवश्यकता होती है। कोई पासवर्ड साझा नहीं किया जाता है। प्रमाणीकरण पारस्परिक और क्रिप्टोग्राफ़िक रूप से बाध्य होता है।
एंटरप्राइज़ वायरलेस सुरक्षा के लिए स्वर्ण मानक। WPA3-Enterprise 192-बिट के लिए आवश्यक और PCI DSS 4.0 कार्डधारक डेटा वातावरण के लिए दृढ़ता से अनुशंसित।
EAP-TTLS (एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल - टनलड ट्रांसपोर्ट लेयर सिक्योरिटी)
RFC 5281 में परिभाषित एक 802.1X प्रमाणीकरण विधि जिसके लिए केवल एक एन्क्रिप्टेड TLS टनल स्थापित करने के लिए सर्वर-साइड प्रमाणपत्र की आवश्यकता होती है। क्लाइंट टनल के अंदर एक माध्यमिक आंतरिक प्रमाणीकरण विधि, आमतौर पर एक उपयोगकर्ता नाम और पासवर्ड का उपयोग करके प्रमाणित करता है।
BYOD वातावरण और मिश्रित-OS नेटवर्क के लिए पसंदीदा विकल्प जहां क्लाइंट प्रमाणपत्रों को तैनात करना परिचालन रूप से अव्यावहारिक है।
802.1X
पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल के लिए एक IEEE मानक जो LAN या WLAN से जुड़ने वाले उपकरणों के लिए एक प्रमाणीकरण तंत्र प्रदान करता है। यह सप्लीकेंट, ऑथेंटिकेटर और ऑथेंटिकेशन सर्वर की भूमिकाओं को परिभाषित करता है।
बुनियादी ढांचा जो एंटरप्राइज़ नेटवर्क को एकल साझा पासवर्ड पर निर्भर रहने के बजाय व्यक्तिगत उपकरणों को प्रमाणित करने में सक्षम बनाता है। EAP-TLS और EAP-TTLS दोनों इस ढांचे के भीतर काम करते हैं।
RADIUS (रिमोट ऑथेंटिकेशन डायल-इन यूजर सर्विस)
एक नेटवर्किंग प्रोटोकॉल जो नेटवर्क सेवा से जुड़ने वाले उपयोगकर्ताओं के लिए केंद्रीकृत प्रमाणीकरण, प्राधिकरण और लेखांकन प्रबंधन प्रदान करता है। 802.1X परिनियोजन में, RADIUS सर्वर प्रमाणीकरण सर्वर होता है जो प्रमाणपत्रों या क्रेडेंशियल्स को सत्यापित करता है।
सर्वर घटक जो प्रमाणपत्रों या पासवर्डों को सत्यापित करता है और एक्सेस पॉइंट को निर्देश देता है कि नेटवर्क एक्सेस देना है या अस्वीकार करना है। समर्थित प्लेटफ़ॉर्म में FreeRADIUS, Microsoft NPS और Cisco ISE शामिल हैं।
PKI (पब्लिक की इन्फ्रास्ट्रक्चर)
डिजिटल प्रमाणपत्र बनाने, प्रबंधित करने, वितरित करने, उपयोग करने, संग्रहीत करने और निरस्त करने के लिए आवश्यक भूमिकाओं, नीतियों, हार्डवेयर, सॉफ्टवेयर और प्रक्रियाओं का एक सेट। एक सामान्य एंटरप्राइज़ PKI में एक ऑफ़लाइन रूट CA और एक ऑनलाइन जारी करने वाला CA शामिल होता है।
EAP-TLS प्रमाणीकरण में उपयोग किए जाने वाले क्लाइंट और सर्वर प्रमाणपत्र जारी करने के लिए आवश्यक बैकएंड इन्फ्रास्ट्रक्चर। बिना PKI के, EAP-TLS को तैनात नहीं किया जा सकता है।
MDM (मोबाइल डिवाइस मैनेजमेंट)
आईटी विभागों द्वारा कर्मचारियों के मोबाइल उपकरणों और लैपटॉप की निगरानी, प्रबंधन और सुरक्षा के लिए उपयोग किया जाने वाला सॉफ़्टवेयर। Microsoft Intune और Jamf जैसे MDM प्लेटफ़ॉर्म नामांकित उपकरणों पर प्रमाणपत्रों और WiFi प्रोफाइल के परिनियोजन को स्वचालित कर सकते हैं।
बड़े पैमाने पर EAP-TLS के लिए क्लाइंट प्रमाणपत्रों की तैनाती को स्वचालित करने के लिए आवश्यक है। MDM एकीकरण के बिना, हजारों उपकरणों पर मैन्युअल रूप से प्रमाणपत्र स्थापित करना परिचालन रूप से असंभव है।
SCEP (सिंपल सर्टिफिकेट एनरोलमेंट प्रोटोकॉल)
नेटवर्क उपकरणों को डिजिटल प्रमाणपत्र जारी करने को स्वचालित करने के लिए उपयोग किया जाने वाला एक प्रोटोकॉल। MDM प्लेटफ़ॉर्म उपयोगकर्ता के हस्तक्षेप के बिना नामांकित कॉर्पोरेट उपकरणों पर प्रमाणपत्रों के लिए अनुरोध करने और उन्हें स्थापित करने के लिए SCEP का उपयोग करते हैं।
EAP-TLS परिनियोजन में जीरो-टच प्रमाणपत्र प्रावधान के लिए मानक तंत्र। Microsoft Intune, Jamf और अधिकांश एंटरप्राइज़ MDM प्लेटफ़ॉर्म द्वारा समर्थित।
CRL (सर्टिफिकेट रिवोकेशन लिस्ट)
डिजिटल प्रमाणपत्रों की एक सूची जिन्हें जारी करने वाले सर्टिफिकेट अथॉरिटी द्वारा उनकी निर्धारित समाप्ति तिथि से पहले रद्द कर दिया गया है। RADIUS सर्वर यह सत्यापित करने के लिए CRL की जांच करते हैं कि कनेक्ट होने वाले डिवाइस का प्रमाणपत्र अभी भी मान्य है या नहीं।
वह तंत्र जो आपको किसी चोरी या खोए हुए डिवाइस के प्रमाणपत्र को निरस्त करके उसे तुरंत नेटवर्क से ब्लॉक करने की अनुमति देता है। RADIUS सर्वर को लगातार CRL की जांच करने के लिए कॉन्फ़िगर किया जाना चाहिए, या वास्तविक समय सत्यापन के लिए OCSP का उपयोग करना चाहिए।
X.509
सार्वजनिक कुंजी प्रमाणपत्रों के प्रारूप को परिभाषित करने वाला एक ITU-T मानक। EAP-TLS और EAP-TTLS दोनों सर्वर प्रमाणीकरण के लिए X.509 प्रमाणपत्रों का उपयोग करते हैं। EAP-TLS के लिए क्लाइंट डिवाइस पर भी X.509 प्रमाणपत्रों की आवश्यकता होती है।
सभी एंटरप्राइज PKI डिप्लॉयमेंट में उपयोग किया जाने वाला प्रमाणपत्र प्रारूप। जब IT टीमें 802.1X के संदर्भ में 'डिजिटल प्रमाणपत्र' की बात करती हैं, तो उनका मतलब X.509 प्रमाणपत्रों से होता है।
आंतरिक प्रमाणीकरण विधि (Inner authentication method)
EAP-TTLS द्वारा स्थापित एन्क्रिप्टेड TLS टनल के भीतर उपयोग किया जाने वाला द्वितीयक प्रमाणीकरण प्रोटोकॉल। सामान्य आंतरिक विधियों में PAP (पासवर्ड ऑथेंटिकेशन प्रोटोकॉल), CHAP, और MS-CHAPv2 शामिल हैं।
आंतरिक प्रमाणीकरण विधि का चयन EAP-TTLS डिप्लॉयमेंट के सुरक्षा गुणों को प्रभावित करता है। PAP टनल के अंदर प्लेनटेक्स्ट में पासवर्ड भेजता है; MS-CHAPv2 एक चैलेंज-रिस्पॉन्स मैकेनिज्म का उपयोग करता है। टनल सभी आंतरिक प्रमाणीकरण ट्रैफ़िक को एन्क्रिप्ट करती है।
हल किए गए उदाहरण
400 स्टोर वाली एक राष्ट्रीय रिटेल चेन को अपने पॉइंट-ऑफ-सेल (POS) टर्मिनलों और स्टाफ हैंडहेल्ड स्कैनर्स को सुरक्षित करने की आवश्यकता है। यह वातावरण PCI DSS 4.0 के दायरे में आता है। सभी डिवाइस Microsoft Intune में नामांकित हैं। उन्हें कौन सा प्रोटोकॉल तैनात करना चाहिए, और मुख्य कॉन्फ़िगरेशन चरण क्या हैं?
EAP-TLS तैनात करें। चरण 1: एक एयर-गैप्ड ऑफलाइन रूट CA और एक ऑनलाइन जारी करने वाले CA के साथ दो-स्तरीय PKI स्थापित करें। चरण 2: सभी POS और स्कैनर उपकरणों को लक्षित करते हुए SCEP सर्टिफिकेट प्रोफाइल के साथ Microsoft Intune कॉन्फ़िगर करें। चरण 3: एक RADIUS सर्वर (Microsoft NPS या क्लाउड RADIUS) तैनात करें और इसे आंतरिक CA के खिलाफ क्लाइंट सर्टिफिकेट को सत्यापित करने के लिए कॉन्फ़िगर करें। चरण 4: RADIUS सर्वर पर CRL चेकिंग या OCSP सक्षम करें। चरण 5: Intune के माध्यम से SSID, ऑथेंटिकेशन विधि के रूप में EAP-TLS, विश्वसनीय रूट CA और अपेक्षित RADIUS सर्वर नाम निर्दिष्ट करते हुए एक WiFi प्रोफाइल पुश करें। चरण 6: सभी 400 साइटों पर रोल आउट करने से पहले 10 उपकरणों के पायलट समूह के साथ परीक्षण करें। चरण 7: समाप्ति से 60, 30 और सात दिन पहले अलर्ट के साथ सर्टिफिकेट समाप्ति निगरानी प्रक्रिया स्थापित करें।
एक बड़े विश्वविद्यालय परिसर को व्यक्तिगत लैपटॉप, स्मार्टफोन और टैबलेट (BYOD) के मिश्रण का उपयोग करने वाले 20,000 छात्रों के लिए सुरक्षित WiFi प्रदान करने की आवश्यकता है। IT टीम व्यक्तिगत उपकरणों पर सर्टिफिकेट इंस्टॉल नहीं कर सकती है। विश्वविद्यालय पहचान प्रबंधन के लिए Microsoft Entra ID का उपयोग करता है। उन्हें कौन सा प्रोटोकॉल तैनात करना चाहिए?
RADIUS के माध्यम से Microsoft Entra ID के साथ एकीकृत, आंतरिक ऑथेंटिकेशन विधि के रूप में MS-CHAPv2 के साथ EAP-TTLS तैनात करें। चरण 1: सभी प्रमुख ऑपरेटिंग सिस्टम द्वारा विश्वसनीय सार्वजनिक CA से एक सर्वर सर्टिफिकेट प्राप्त करें, या एक आंतरिक CA तैनात करें और प्रबंधित उपकरणों के लिए विश्वविद्यालय के डिवाइस प्रबंधन टूल के माध्यम से रूट सर्टिफिकेट वितरित करें। चरण 2: LDAP या RADIUS प्रॉक्सी का उपयोग करके Microsoft Entra ID के खिलाफ प्रमाणित करने के लिए RADIUS सर्वर को कॉन्फ़िगर करें। चरण 3: छात्रों के लिए एक WiFi ऑनबोर्डिंग गाइड बनाएं जिसमें SSID, EAP-TTLS, MS-CHAPv2 और विश्वसनीय CA निर्दिष्ट हो। चरण 4: Entra ID स्तर पर मजबूत पासवर्ड नीतियां लागू करें और प्रारंभिक नामांकन के लिए मल्टी-फैक्टर ऑथेंटिकेशन सक्षम करने पर विचार करें। चरण 5: सर्वर सर्टिफिकेट सत्यापन लागू करने के लिए WiFi प्रोफाइल कॉन्फ़िगर करें और विश्वसनीय CA और RADIUS सर्वर नाम निर्दिष्ट करें।
अभ्यास प्रश्न
Q1. आप 50 कार्यालय स्थानों में 5,000 कॉर्पोरेट लैपटॉप के बेड़े के लिए EAP-TLS डिप्लॉय कर रहे हैं। Microsoft Intune के माध्यम से WiFi प्रोफ़ाइल पुश करने के बाद, डिवाइस कनेक्ट होने में विफल हो रहे हैं। RADIUS सर्वर लॉग प्रत्येक विफल प्रमाणीकरण प्रयास के लिए 'Unknown CA' दिखाते हैं। इसका सबसे संभावित कारण क्या है, और आप इसे कैसे हल करेंगे?
संकेत: क्लाइंट साइड पर प्रमाणपत्र सत्यापन श्रृंखला पर विचार करें, और MDM प्रोफ़ाइल में केवल EAP विधि सेटिंग के अलावा क्या शामिल होना चाहिए।
मॉडल उत्तर देखें
क्लाइंट डिवाइस उस आंतरिक सर्टिफिकेट अथॉरिटी पर भरोसा करने के लिए कॉन्फ़िगर नहीं हैं जिसने RADIUS सर्वर का प्रमाणपत्र जारी किया था। MDM WiFi प्रोफ़ाइल में रूट CA प्रमाणपत्र (और कोई भी मध्यवर्ती CA प्रमाणपत्र) शामिल होना चाहिए और सर्वर सत्यापन के लिए उन पर भरोसा करने के लिए सप्लीकेंट को कॉन्फ़िगर किया जाना चाहिए। इसके बिना, क्लाइंट RADIUS सर्वर के प्रमाणपत्र को अस्वीकार कर देता है और हैंडशेक को समाप्त कर देता है। समाधान: 'सर्वर सत्यापन के लिए रूट प्रमाणपत्र' सेटिंग के तहत विश्वसनीय रूट CA प्रमाणपत्र शामिल करने के लिए Intune WiFi प्रोफ़ाइल को अपडेट करें, और सभी डिवाइसों पर प्रोफ़ाइल को फिर से पुश करें।
Q2. आपके संगठन ने मिश्रित BYOD वातावरण के लिए EAP-TTLS डिप्लॉय किया है। एक सुरक्षा समीक्षा के दौरान, आपकी पेनेट्रेशन टेस्टिंग टीम यह प्रदर्शित करती है कि वे स्व-हस्ताक्षरित प्रमाणपत्र के साथ एक नकली एक्सेस पॉइंट सेट करके उपयोगकर्ता क्रेडेंशियल कैप्चर कर सकते हैं। आप EAP-TLS पर माइग्रेट किए बिना इस भेद्यता को कैसे ठीक करेंगे?
संकेत: इस बारे में सोचें कि आंतरिक प्रमाणीकरण से पहले क्या होता है और क्लाइंट साइड पर कौन सा कॉन्फ़िगरेशन किसी अविश्वसनीय सर्वर के साथ TLS टनल स्थापित होने से रोकता है।
मॉडल उत्तर देखें
यह भेद्यता इसलिए मौजूद है क्योंकि क्लाइंट डिवाइस RADIUS सर्वर के प्रमाणपत्र को सत्यापित करने के लिए कॉन्फ़िगर नहीं हैं। समाधान: सर्वर प्रमाणपत्र सत्यापन को लागू करने के लिए सभी WiFi प्रोफ़ाइल को अपडेट करें (प्रबंधित डिवाइसों के लिए MDM के माध्यम से, और BYOD के लिए एक नए ऑनबोर्डिंग गाइड के माध्यम से)। प्रोफ़ाइल में विश्वसनीय CA और अपेक्षित RADIUS सर्वर नाम निर्दिष्ट करें। इस तरह से कॉन्फ़िगर किए गए क्लाइंट किसी भी ऐसे सर्वर के साथ TLS टनल स्थापित करने से इनकार कर देंगे जो निर्दिष्ट विश्वसनीय CA द्वारा हस्ताक्षरित प्रमाणपत्र प्रस्तुत नहीं कर सकता, जिससे नकली एक्सेस पॉइंट का खतरा समाप्त हो जाता है।
Q3. एक अस्पताल का IT निदेशक अपने मेडिकल IoT उपकरणों (इन्फ्यूजन पंप, रोगी मॉनिटर, पर्यावरणीय सेंसर) के लिए 802.1X लागू करना चाहता है। वे EAP-TTLS पर विचार कर रहे हैं क्योंकि उनका मानना है कि प्रमाणपत्र प्रबंधन बहुत जटिल है। यह तर्क त्रुटिपूर्ण क्यों है, और सही दृष्टिकोण क्या है?
संकेत: इस बात पर विचार करें कि हेडलेस IoT डिवाइस प्रमाणीकरण प्रांप्ट को कैसे संभालते हैं और क्या होता है जब कोई डिवाइस क्रेडेंशियल इनपुट नहीं कर सकता है।
मॉडल उत्तर देखें
यह तर्क दो कारणों से त्रुटिपूर्ण है। पहला, अधिकांश हेडलेस मेडिकल IoT उपकरणों में क्रेडेंशियल्स दर्ज करने के लिए कोई यूजर इंटरफेस नहीं होता है, जिससे यूजरनेम/पासवर्ड इनर ऑथेंटिकेशन के साथ EAP-TTLS को व्यावहारिक रूप से चलाना असंभव हो जाता है। दूसरा, EAP-TLS वास्तव में IoT के लिए व्यवहार में अधिक सरल है: परिनियोजन (deployment) से पहले डिवाइस स्टेजिंग के दौरान सर्टिफिकेट प्रदान किए जा सकते हैं, और डिवाइस बिना किसी यूजर इंटरैक्शन के स्वचालित रूप से प्रमाणित होता है। सही दृष्टिकोण स्टेजिंग के दौरान उपयोग किए जाने वाले डिवाइस प्रबंधन सिस्टम के माध्यम से प्रदान किए गए सर्टिफिकेट के साथ EAP-TLS है। यह स्वास्थ्य सेवा वातावरण में मजबूत वायरलेस ऑथेंटिकेशन के लिए HIPAA आवश्यकताओं को भी पूरा करता है।
Q4. आप 200 संपत्तियों वाले एक होटल समूह के नेटवर्क आर्किटेक्ट हैं। आपको 3,000 प्रबंधित स्टाफ उपकरणों (Intune में नामांकित) के लिए Staff WiFi को सुरक्षित करना है और उन ठेकेदारों और तीसरे पक्ष के विक्रेताओं के लिए भी सुरक्षित WiFi प्रदान करना है जो अपने स्वयं के लैपटॉप लाते हैं। ऑथेंटिकेशन आर्किटेक्चर को डिज़ाइन करें।
संकेत: विचार करें कि क्या एकल SSID और एकल EAP विधि दोनों आबादी की सेवा कर सकती है, और दो यूजर प्रकारों से क्या नेटवर्क सेगमेंटेशन प्रभाव उत्पन्न होते हैं।
मॉडल उत्तर देखें
विभिन्न ऑथेंटिकेशन विधियों और VLAN असाइनमेंट के साथ दो अलग-अलग SSID तैनात करें। SSID 1 (Staff WiFi): EAP-TLS, Intune SCEP के माध्यम से भेजे गए सर्टिफिकेट, होटल प्रबंधन प्रणालियों तक पूर्ण पहुंच के साथ स्टाफ नेटवर्क सेगमेंट को असाइन किया गया VLAN। SSID 2 (Contractor WiFi): MS-CHAPv2 के साथ EAP-TTLS, एक अलग डायरेक्टरी या Microsoft Entra ID में समय-सीमित ठेकेदार खाते के विरुद्ध मान्य क्रेडेंशियल, बिना किसी आंतरिक सिस्टम तक पहुंच के एक अलग केवल-इंटरनेट सेगमेंट को असाइन किया गया VLAN। दोनों SSID को सर्वर सर्टिफिकेट वैलिडेशन लागू करना चाहिए। यह आर्किटेक्चर स्टाफ को उच्चतम सुरक्षा देता है जबकि ठेकेदारों को एक व्यावहारिक ऑथेंटिकेशन विधि प्रदान करता है, और नेटवर्क सेगमेंटेशन यह सुनिश्चित करता है कि एक समझौता किया गया ठेकेदार क्रेडेंशियल आंतरिक होटल प्रबंधन प्रणालियों तक नहीं पहुंच सकता है।
इस श्रृंखला में आगे पढ़ें
Server RADIUS: व्यवसायों के लिए एक व्यापक गाइड
यह गाइड IT प्रबंधकों, नेटवर्क आर्किटेक्ट्स और CTOs को एंटरप्राइज WiFi के लिए server RADIUS प्रमाणीकरण पर एक निश्चित तकनीकी संदर्भ प्रदान करती है। इसमें AAA फ्रेमवर्क, 802.1X आर्किटेक्चर, EAP विधि चयन, क्लाउड बनाम ऑन-प्रिमाइसेस डिप्लॉयमेंट के बीच समझौता, और डायनेमिक VLAN असाइनमेंट शामिल हैं। हॉस्पिटैलिटी, रिटेल, इवेंट्स और सार्वजनिक क्षेत्र के वेन्यू ऑपरेटरों को इसमें व्यावहारिक कार्यान्वयन मार्गदर्शन, वास्तविक दुनिया के केस स्टडीज और असुरक्षित प्री-शेयर्ड कीज़ से एक सुरक्षित, पहचान-आधारित नेटवर्क एक्सेस कंट्रोल आर्किटेक्चर पर माइग्रेट करने के लिए आवश्यक निर्णय फ्रेमवर्क मिलेंगे।
Aruba ClearPass बनाम Purple WiFi: सुविधाओं और सह-तैनाती (Co-deployment) की तुलना
Aruba ClearPass और Purple WiFi के सह-तैनाती आर्किटेक्चर का विवरण देने वाली एक व्यापक तकनीकी मार्गदर्शिका। इसमें RADIUS प्रॉक्सी कॉन्फ़िगरेशन, डायनेमिक VLAN असाइनमेंट, और एंटरप्राइज़ NAC के साथ सुरक्षित, एनालिटिक्स-संचालित गेस्ट नेटवर्क प्रदान करने के लिए सर्वोत्तम अभ्यास शामिल हैं।
Cisco ISE बनाम Purple WiFi: वे कैसे तुलना करते हैं और एक साथ कैसे काम करते हैं
यह मार्गदर्शिका बताती है कि कैसे Cisco ISE और Purple WiFi एंटरप्राइज़ नेटवर्क में अलग लेकिन पूरक भूमिकाएं निभाते हैं। यह विवरण देता है कि सुरक्षित 802.1X कॉर्पोरेट एक्सेस के लिए Cisco ISE का उपयोग कैसे करें, जबकि GDPR-अनुरूप अतिथि WiFi, मार्केटिंग एनालिटिक्स और CRM एकीकरण के लिए Purple का लाभ उठाएं।