EAP-TLS बनाम PEAP: आपके नेटवर्क के लिए कौन सा ऑथेंटिकेशन प्रोटोकॉल सही है?

EAP-TLS और PEAP ऑथेंटिकेशन प्रोटोकॉल की एक व्यापक तकनीकी तुलना, जिसमें सुरक्षा आर्किटेक्चर, डिप्लॉयमेंट जटिलता और अनुपालन प्रभाव शामिल हैं। यह मार्गदर्शिका हॉस्पिटैलिटी, रिटेल, इवेंट्स और सार्वजनिक क्षेत्र के वातावरण में IT लीडर्स के लिए व्यावहारिक निर्णय फ्रेमवर्क प्रदान करती है, जिन्हें अपने एंटरप्राइज WiFi इंफ्रास्ट्रक्चर के लिए सही 802.1X ऑथेंटिकेशन विधि का चयन करने की आवश्यकता है।

📖 6 मिनट का पाठ📝 1,341 शब्द🔧 2 हल किए गए उदाहरण❓ 3 अभ्यास प्रश्न📚 9 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें

EAP-TLS बनाम PEAP: आपके नेटवर्क के लिए कौन सा ऑथेंटिकेशन प्रोटोकॉल सही है?
एक Purple टेक्निकल ब्रीफिंग

[परिचय — लगभग 1 मिनट]

Purple टेक्निकल ब्रीफिंग में स्वागत है। मैं आपका होस्ट हूँ, और आज हम आपके एंटरप्राइज वायरलेस इंफ्रास्ट्रक्चर को डिजाइन या अपग्रेड करते समय आपके द्वारा लिए जाने वाले सबसे महत्वपूर्ण निर्णयों में से एक पर चर्चा कर रहे हैं: आपके 802.1X ऑथेंटिकेशन फ्रेमवर्क के लिए EAP-TLS और PEAP के बीच का चुनाव।

यदि आप एक IT प्रबंधक, नेटवर्क आर्किटेक्ट, या CTO हैं जो एक होटल समूह, एक रिटेल एस्टेट, एक स्टेडियम, या एक सार्वजनिक क्षेत्र के संगठन के लिए जिम्मेदार हैं, तो यह निर्णय आपकी सुरक्षा स्थिति, आपकी अनुपालन स्थिति और आपकी टीम द्वारा वहन किए जाने वाले दैनिक ऑपरेशनल ओवरहेड को प्रभावित करता है। तो चलिए सीधे मुद्दे पर आते हैं।

EAP-TLS और PEAP दोनों 802.1X ऑथेंटिकेशन विधियां हैं। वे दोनों ऑथेंटिकेशन अनुरोधों को संभालने के लिए एक RADIUS सर्वर पर निर्भर करते हैं, और वे दोनों एक साझा WPA2 पासफ़्रेज़ की तुलना में काफी मजबूत सुरक्षा प्रदान करते हैं। लेकिन पहचान को सत्यापित करने का उनका तरीका मौलिक रूप से भिन्न है — और उस अंतर का आपके नेटवर्क को डिप्लॉय, प्रबंधित और स्केल करने के तरीके पर बड़ा प्रभाव पड़ता है।

[तकनीकी विश्लेषण — लगभग 5 मिनट]

आइए EAP-TLS — Extensible Authentication Protocol Transport Layer Security से शुरू करें।

EAP-TLS एंटरप्राइज WiFi ऑथेंटिकेशन का गोल्ड स्टैंडर्ड है। इसकी परिभाषित विशेषता म्यूचुअल सर्टिफिकेट ऑथेंटिकेशन है। व्यवहार में इसका अर्थ यह है: जब कोई डिवाइस आपके नेटवर्क से कनेक्ट करने का प्रयास करता है, तो RADIUS सर्वर डिवाइस को एक डिजिटल सर्टिफिकेट प्रस्तुत करता है। डिवाइस अपने विश्वसनीय सर्टिफिकेट अथॉरिटीज के खिलाफ उस सर्टिफिकेट की जांच करता है। लेकिन PEAP से महत्वपूर्ण अंतर यहाँ है — डिवाइस फिर सर्वर को अपना सर्टिफिकेट वापस प्रस्तुत करता है। सर्वर उस क्लाइंट सर्टिफिकेट को सत्यापित करता है, और केवल तभी जब दोनों सर्टिफिकेट वैध और विश्वसनीय होते हैं, नेटवर्क एक्सेस प्रदान करता है।

इसमें कोई पासवर्ड शामिल नहीं है। बिल्कुल नहीं। ऑथेंटिकेशन पूरी तरह से सर्टिफिकेट-आधारित है। यह EAP-TLS को क्रेडेंशियल चोरी, डिक्शनरी हमलों और मैन-इन-द-मिडल हमलों के प्रति असाधारण रूप से प्रतिरोधी बनाता है। आप बस उस पासवर्ड को नहीं चुरा सकते जो ऑथेंटिकेशन फ्लो में मौजूद ही नहीं है।

अब, इसका दूसरा पहलू डिप्लॉयमेंट की जटिलता है। बड़े पैमाने पर EAP-TLS चलाने के लिए, आपको अपने नेटवर्क पर हर एक डिवाइस के लिए सर्टिफिकेट जारी करने, प्रबंधित करने और निरस्त करने के लिए एक पब्लिक की इंफ्रास्ट्रक्चर — एक PKI — की आवश्यकता होती है। आपको एंडपॉइंट्स पर उन सर्टिफिकेट्स को साइलेंट रूप से पुश करने के लिए एक मोबाइल डिवाइस मैनेजमेंट समाधान की भी आवश्यकता होती है। यदि आप Microsoft Intune या Jamf के साथ एक कॉर्पोरेट एस्टेट चला रहे हैं, तो यह पूरी तरह से प्रबंधनीय है। यदि आप ऐसा नहीं कर रहे हैं, तो EAP-TLS एक महत्वपूर्ण कार्य बन जाता है।

दूसरा ऑपरेशनल विचार सर्टिफिकेट लाइफसाइकिल प्रबंधन है। सर्टिफिकेट समाप्त हो जाते हैं। यदि आपका RADIUS सर्वर सर्टिफिकेट समाप्त हो जाता है, तो आपके नेटवर्क पर प्रत्येक डिवाइस एक साथ ऑथेंटिकेट करने में विफल हो जाएगा। यह एक विनाशकारी आउटेज है। सर्टिफिकेट की निगरानी और रिन्यूअल प्रक्रियाएं गैर-परक्राम्य हैं।

अब आइए PEAP — Protected Extensible Authentication Protocol को देखें।

PEAP को मजबूत सुरक्षा प्रदान करते हुए EAP-TLS की डिप्लॉयमेंट जटिलता को दूर करने के लिए डिज़ाइन किया गया था। PEAP के पीछे मुख्य विचार यह है: आपको केवल सर्वर के पास सर्टिफिकेट होने की आवश्यकता है। क्लाइंट को इसकी आवश्यकता नहीं है।

यह इस तरह काम करता है। RADIUS सर्वर क्लाइंट डिवाइस को अपना सर्टिफिकेट प्रस्तुत करता है। क्लाइंट सर्वर को सत्यापित करता है — ठीक वैसे ही जैसे EAP-TLS में होता है। इससे एक एन्क्रिप्टेड TLS टनल स्थापित होती है। उस टनल के भीतर, क्लाइंट फिर आपके पहचान स्टोर — Active Directory, LDAP, Google Workspace, जो भी आप उपयोग कर रहे हैं — के खिलाफ आमतौर पर MSCHAPv2 का उपयोग करके मानक पासवर्ड-आधारित ऑथेंटिकेशन करता है।

पासवर्ड कभी भी प्लेनटेक्स्ट में यात्रा नहीं करता है। यह हमेशा एन्क्रिप्टेड टनल के अंदर सुरक्षित रहता है। इसलिए PEAP वास्तव में सुरक्षित है — बशर्ते इसे सही ढंग से कॉन्फ़िगर किया गया हो।

और यहीं पर हमें PEAP डिप्लॉयमेंट में सबसे आम और सबसे खतरनाक गलत कॉन्फ़िगरेशन के बारे में बात करने की आवश्यकता है। यदि कोई क्लाइंट डिवाइस RADIUS सर्वर के सर्टिफिकेट को सख्ती से सत्यापित करने के लिए कॉन्फ़िगर नहीं है, तो एक हमलावर उसी नेटवर्क नाम के साथ एक दुष्ट एक्सेस पॉइंट स्थापित कर सकता है, एक फर्जी सर्टिफिकेट प्रस्तुत कर सकता है, और डिवाइस खुशी-खुशी कनेक्ट हो जाएगा। हमलावर फिर MSCHAPv2 ऑथेंटिकेशन एक्सचेंज को कैप्चर करता है, जिसे ऑफ़लाइन क्रैक किया जा सकता है। यह कोई सैद्धांतिक हमला नहीं है — यह वास्तविक दुनिया के पेनेट्रेशन परीक्षणों में उपयोग की जाने वाली एक अच्छी तरह से प्रलेखित तकनीक है।

इसका समाधान सीधा है: प्रत्येक क्लाइंट डिवाइस पर सख्त सर्वर सर्टिफिकेट सत्यापन लागू करने के लिए ग्रुप पॉलिसी, MDM प्रोफाइल या ऑनबोर्डिंग टूल का उपयोग करें। लेकिन ऑपरेशनल वास्तविकता यह है कि BYOD वातावरण में, यह सुनिश्चित करना कि यह कॉन्फ़िगरेशन हजारों अप्रबंधित व्यक्तिगत उपकरणों पर लगातार लागू हो, वास्तव में कठिन है।

मैं आपको एक ठोस तुलना देता हूँ। 500 स्थानों वाली एक रिटेल श्रृंखला पर विचार करें। उनके पास कॉर्पोरेट-स्वामित्व वाले टैबलेट और हैंडहेल्ड स्कैनर हैं, जो सभी Microsoft Intune के माध्यम से प्रबंधित हैं। EAP-TLS सही निर्णय है। Intune स्वचालित रूप से सर्टिफिकेट पुश करता है। यदि कोई स्कैनर खो जाता है, तो IT उसका सर्टिफिकेट निरस्त कर देता है और वह कुछ ही मिनटों में नेटवर्क से बाहर हो जाता है — कोई पासवर्ड रीसेट नहीं, 500 स्टोरों में कोई साझा पासफ़्रेज़ परिवर्तन नहीं। सुरक्षा पूर्ण है।

अब अपने व्यक्तिगत उपकरणों पर 3,000 कर्मचारियों के लिए WiFi चलाने वाले एक बड़े सम्मेलन केंद्र पर विचार करें। कोई MDM नहीं। कर्मचारी Google Workspace का उपयोग करते हैं। Google Secure LDAP के साथ एकीकृत PEAP व्यावहारिक विकल्प है। कर्मचारी अपने मानक क्रेडेंशियल्स के साथ ऑथेंटिकेट करते हैं। IT टीम सर्टिफिकेट सत्यापन को कॉन्फ़िगर करने के लिए ऑनबोर्डिंग दस्तावेज़ प्रदान करती है। इसे महीनों में नहीं, बल्कि दिनों में डिप्लॉय किया जा सकता है।

दोनों प्रोटोकॉल का समर्थन करने वाला आर्किटेक्चर एक ही तीन-घटक 802.1X मॉडल है: सप्लिकेंट — यानी क्लाइंट डिवाइस — ऑथेंटिकेटर, जो आपका एक्सेस पॉइंट या स्विच है, और RADIUS सर्वर। ऑथेंटिकेटर एक गेटकीपर के रूप में कार्य करता है, जो तब तक सभी ट्रैफ़िक को ब्लॉक करता है जब तक कि RADIUS सर्वर यह संकेत नहीं देता कि ऑथेंटिकेशन सफल हो गया है।

[कार्यान्वयन सिफारिशें और कमियां — लगभग 2 मिनट]

तो व्यावहारिक सिफारिशें क्या हैं?

पहला: यदि आपके पास एक MDM समाधान और कॉर्पोरेट-स्वामित्व वाले डिवाइस हैं, तो EAP-TLS डिप्लॉय करें। PKI और सर्टिफिकेट प्रबंधन में प्रारंभिक निवेश कम जोखिम और सरलीकृत अनुपालन ऑडिट के रूप में लाभांश देता है। विनियमित वातावरणों — स्वास्थ्य सेवा, वित्त, सार्वजनिक क्षेत्र — के लिए यह वैकल्पिक नहीं है। यह वह आर्किटेक्चर है जिसे आपके ऑडिटर्स देखने की उम्मीद करते हैं।

दूसरा: यदि आप BYOD वातावरण चला रहे हैं या आपके पास MDM इंफ्रास्ट्रक्चर नहीं है, तो PEAP डिप्लॉय करें। लेकिन सर्वर सर्टिफिकेट सत्यापन कॉन्फ़िगरेशन को न छोड़ें। इसे लागू करने के लिए जहां संभव हो ऑनबोर्डिंग टूल, नेटवर्क एक्सेस कंट्रोल पोर्टल या MDM प्रोफाइल का उपयोग करें। इसे एक अनिवार्य डिप्लॉयमेंट कदम के रूप में मानें, न कि एक वैकल्पिक सुरक्षा उपाय के रूप में।

तीसरा: चाहे आप कोई भी प्रोटोकॉल चुनें, अपने आर्किटेक्चर में RADIUS रिडंडेंसी का निर्माण करें। ऑथेंटिकेशन एक महत्वपूर्ण मार्ग है। एक एकल RADIUS सर्वर विफलता का मतलब है कि कोई भी नेटवर्क पर नहीं आ सकता है। क्लाउड-होस्टेड RADIUS समाधान ऑन-प्रिमाइसेस रिडंडेंट इंफ्रास्ट्रक्चर के प्रबंधन के ओवरहेड के बिना लचीलापन प्रदान कर सकते हैं।

चौथा: ऑथेंटिकेशन के बाद अपने नेटवर्क को सेगमेंट करें। एक सफल 802.1X ऑथेंटिकेशन को आपके पूरे कॉर्पोरेट नेटवर्क तक अप्रतिबंधित पहुंच प्रदान नहीं करनी चाहिए। उपयोगकर्ताओं को उचित एक्सेस कंट्रोल के साथ उपयुक्त नेटवर्क सेगमेंट में रखने के लिए VLAN असाइनमेंट पॉलिसियों का उपयोग करें।

बचने के लिए सामान्य कमियां: EAP-TLS डिप्लॉयमेंट में बड़े पैमाने पर ऑथेंटिकेशन विफलताओं का कारण बनने वाली सर्टिफिकेट की समाप्ति; PEAP डिप्लॉयमेंट में सर्वर सर्टिफिकेट को सत्यापित नहीं करने वाले क्लाइंट डिवाइस; और वायरलेस कंट्रोलर और ऑथेंटिकेशन सर्वर के बीच उच्च लेटेंसी के कारण होने वाली RADIUS टाइमआउट समस्याएं — विशेष रूप से भौगोलिक रूप से वितरित एस्टेट में प्रासंगिक।

[रैपिड-फायर प्रश्नोत्तर — लगभग 1 मिनट]

आइए मैं कुछ ऐसे सवालों पर नज़र डालूँ जो मैं अक्सर सुनता हूँ।

क्या मैं एक ही नेटवर्क पर EAP-TLS और PEAP दोनों चला सकता हूँ? हाँ। कई संगठन एक SSID पर कॉर्पोरेट उपकरणों के लिए EAP-TLS और एक अलग SSID पर BYOD या गेस्ट एक्सेस के लिए PEAP चलाते हैं, और उनके बीच उचित नेटवर्क सेगमेंटेशन होता है।

क्या WPA3 इस निर्णय को बदलता है? WPA3 Enterprise उच्च-सुरक्षा डिप्लॉयमेंट के लिए 192-बिट सुरक्षा मोड को अनिवार्य करता है, जो EAP-TLS के अनुरूप है। WPA3 Personal, PSK के बजाय SAE का उपयोग करता है, लेकिन एंटरप्राइज 802.1X डिप्लॉयमेंट के लिए, EAP विधि का चयन प्रासंगिक बना रहता है।

क्या PEAP, PCI-DSS के अनुरूप है? हाँ, जब सर्वर सर्टिफिकेट सत्यापन लागू होने के साथ सही ढंग से कॉन्फ़िगर किया गया हो। हालांकि, कार्डधारक डेटा को संभालने वाले वातावरण के लिए, सुरक्षा आकलनों में तेजी से EAP-TLS की सिफारिश की जा रही है।

OpenRoaming के बारे में क्या? OpenRoaming बैकएंड में सर्टिफिकेट-आधारित ऑथेंटिकेशन का उपयोग करता है, जो EAP-TLS सिद्धांतों के अनुरूप है। Purple जैसे प्लेटफॉर्म OpenRoaming के लिए एक पहचान प्रदाता के रूप में कार्य कर सकते हैं, जिससे बिना दोबारा ऑथेंटिकेट किए विभिन्न स्थानों पर निर्बाध, सुरक्षित रोमिंग सक्षम होती है।

[सारांश और अगले कदम — लगभग 1 मिनट]

संक्षेप में: EAP-TLS उच्चतम-सुरक्षा विकल्प है, जो म्यूचुअल सर्टिफिकेट ऑथेंटिकेशन के माध्यम से पासवर्ड को पूरी तरह से समाप्त कर देता है। इसके लिए PKI और MDM इंफ्रास्ट्रक्चर की आवश्यकता होती है लेकिन यह सबसे मजबूत अनुपालन स्थिति और सबसे विस्तृत डिवाइस-स्तरीय एक्सेस कंट्रोल प्रदान करता है। PEAP BYOD और बिना सर्टिफिकेट प्रबंधन इंफ्रास्ट्रक्चर वाले वातावरण के लिए व्यावहारिक विकल्प है, जो मौजूदा क्रेडेंशियल्स का उपयोग करके मजबूत एन्क्रिप्टेड ऑथेंटिकेशन प्रदान करता है — लेकिन केवल तभी जब सर्वर सर्टिफिकेट सत्यापन को सख्ती से लागू किया जाए।

निर्णय फ्रेमवर्क सीधा है: यदि आप अपने उपकरणों का प्रबंधन करते हैं, तो EAP-TLS का उपयोग करें। यदि आपके उपयोगकर्ता अपने स्वयं के उपकरण लाते हैं, तो PEAP का उपयोग करें — लेकिन इसे ठीक से कॉन्फ़िगर करें।

आपके अगले कदमों के लिए: अपने वर्तमान ऑथेंटिकेशन कॉन्फ़िगरेशन का ऑडिट करें, अपनी PKI और MDM तत्परता का आकलन करें, और रिडंडेंसी और लेटेंसी के लिए अपने RADIUS इंफ्रास्ट्रक्चर की समीक्षा करें। यदि आप अपने कॉर्पोरेट नेटवर्क के साथ गेस्ट WiFi डिप्लॉय या अपग्रेड कर रहे हैं, तो विचार करें कि Purple जैसा प्लेटफॉर्म आपके ऑथेंटिकेशन फ्रेमवर्क के साथ कैसे एकीकृत हो सकता है ताकि आपके नेटवर्क से सुरक्षा और व्यावहारिक एनालिटिक्स दोनों प्रदान किए जा सकें।

Purple टेक्निकल ब्रीफिंग सुनने के लिए धन्यवाद। अगली बार तक के लिए अलविदा।

मुख्य निष्कर्ष

✓EAP-TLS म्यूचुअल सर्टिफिकेट ऑथेंटिकेशन के माध्यम से एंटरप्राइज WiFi सुरक्षा का उच्चतम स्तर प्रदान करता है, जो ऑथेंटिकेशन फ्लो से पासवर्ड को पूरी तरह से समाप्त कर देता है।
✓PEAP एक एन्क्रिप्टेड TLS सेशन के भीतर मानक पासवर्ड ऑथेंटिकेशन को टनल करके मजबूत सुरक्षा प्रदान करता है, जिसके लिए केवल सर्वर-साइड सर्टिफिकेट की आवश्यकता होती है।
✓EAP-TLS कॉर्पोरेट-प्रबंधित डिवाइस वातावरण के लिए सही विकल्प है जहां PKI और MDM इंफ्रास्ट्रक्चर मौजूद हैं — विशेष रूप से विनियमित उद्योगों जैसे कि स्वास्थ्य सेवा, वित्त और सार्वजनिक क्षेत्र में।
✓PEAP BYOD वातावरण और स्वचालित सर्टिफिकेट प्रबंधन क्षमताओं की कमी वाले संगठनों के लिए व्यावहारिक विकल्प है, बशर्ते सर्वर सर्टिफिकेट सत्यापन को सख्ती से लागू किया जाए।
✓PEAP डिप्लॉयमेंट में प्राथमिक और सबसे अधिक शोषण की जाने वाली भेद्यता क्लाइंट डिवाइसों पर सख्त सर्वर सर्टिफिकेट सत्यापन लागू करने में विफलता है — इसे एक अनिवार्य कॉन्फ़िगरेशन कदम के रूप में माना जाना चाहिए।
✓दोनों प्रोटोकॉल के लिए एक मजबूत, अत्यधिक उपलब्ध RADIUS इंफ्रास्ट्रक्चर की आवश्यकता होती है; एक एकल RADIUS सर्वर विफलता पूरी तरह से ऑथेंटिकेशन आउटेज का कारण बनती है।
✓सुरक्षित 802.1X ऑथेंटिकेशन को Purple जैसे प्लेटफॉर्म के साथ एकीकृत करने से स्थानों को एंटरप्राइज-ग्रेड सुरक्षा को व्यावहारिक WiFi Analytics और निर्बाध गेस्ट ऑनबोर्डिंग के साथ संयोजित करने में मदद मिलती है।

कार्यकारी सारांश

सही ऑथेंटिकेशन प्रोटोकॉल चुनना एक महत्वपूर्ण आर्किटेक्चरल निर्णय है जो सुरक्षा स्थिति और ऑपरेशनल ओवरहेड दोनों को प्रभावित करता है। जटिल वातावरणों — जैसे हॉस्पिटैलिटी , रिटेल , स्टेडियमों और सार्वजनिक क्षेत्र के संगठनों — में काम करने वाले IT प्रबंधकों, नेटवर्क आर्किटेक्ट्स और CTOs के लिए, EAP-TLS और PEAP के बीच का चुनाव अक्सर मजबूत सुरक्षा और डिप्लॉयमेंट की व्यवहार्यता के बीच संतुलन तय करता है।

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) को व्यापक रूप से एंटरप्राइज WiFi सुरक्षा के लिए गोल्ड स्टैंडर्ड माना जाता है, जो म्यूचुअल सर्टिफिकेट-आधारित ऑथेंटिकेशन पर निर्भर करता है। इसके विपरीत, PEAP (Protected Extensible Authentication Protocol) एक एन्क्रिप्टेड TLS टनल के भीतर मानक पासवर्ड-आधारित ऑथेंटिकेशन को समाहित करता है, जिससे डिप्लॉयमेंट की जटिलता काफी कम हो जाती है।

यह तकनीकी संदर्भ मार्गदर्शिका दोनों प्रोटोकॉल का वेंडर-न्यूट्रल, आर्किटेक्चरल विश्लेषण प्रदान करती है। हम उनके ऑपरेशनल मैकेनिक्स का पता लगाते हैं, डिप्लॉयमेंट की जटिलताओं का मूल्यांकन करते हैं, और यह सुनिश्चित करने के लिए व्यावहारिक सुझाव देते हैं कि आपका नेटवर्क इंफ्रास्ट्रक्चर आधुनिक सुरक्षा मानकों — जिसमें PCI-DSS और GDPR अनुपालन शामिल हैं — को पूरा करे और साथ ही आपके उपयोगकर्ताओं के लिए निर्बाध कनेक्टिविटी बनी रहे।

तकनीकी विश्लेषण: प्रोटोकॉल आर्किटेक्चर

एक सूचित निर्णय लेने के लिए, यह समझना आवश्यक है कि ये प्रोटोकॉल 802.1X ऑथेंटिकेशन फ्रेमवर्क को कैसे सुरक्षित करते हैं। दोनों प्रोटोकॉल ऑथेंटिकेशन अनुरोधों को संभालने के लिए एक RADIUS सर्वर का उपयोग करते हैं, लेकिन पहचान को सत्यापित करने के उनके तरीके मौलिक रूप से भिन्न हैं। RADIUS इंफ्रास्ट्रक्चर की बुनियादी समझ के लिए, हमारी मार्गदर्शिका RADIUS क्या है? RADIUS सर्वर WiFi नेटवर्क को कैसे सुरक्षित करते हैं देखें।

EAP-TLS: म्यूचुअल सर्टिफिकेट ऑथेंटिकेशन

EAP-TLS म्यूचुअल ऑथेंटिकेशन के सिद्धांत पर काम करता है। कनेक्शन स्थापित करने के लिए क्लाइंट डिवाइस (सप्लिकेंट) और ऑथेंटिकेशन सर्वर (RADIUS) दोनों को वैध डिजिटल सर्टिफिकेट प्रस्तुत करने होंगे।

द हैंडशेक (The Handshake): जब कोई डिवाइस कनेक्ट करने का प्रयास करता है, तो RADIUS सर्वर क्लाइंट को अपना सर्टिफिकेट प्रस्तुत करता है। क्लाइंट अपने विश्वसनीय रूट सर्टिफिकेट अथॉरिटीज (CAs) के खिलाफ इस सर्टिफिकेट को सत्यापित करता है। एक बार सर्वर सत्यापित हो जाने के बाद, क्लाइंट सर्वर को अपना विशिष्ट सर्टिफिकेट प्रस्तुत करता है। यदि दोनों सर्टिफिकेट वैध हैं और उन्हें निरस्त नहीं किया गया है — जिसकी जांच CRL या OCSP के माध्यम से की जाती है — तो एक सुरक्षित TLS सेशन स्थापित होता है और नेटवर्क एक्सेस प्रदान किया जाता है।

यह म्यूचुअल वेरिफिकेशन EAP-TLS को क्रेडेंशियल चोरी, डिक्शनरी हमलों और मैन-इन-द-मिडल (MitM) हमलों के प्रति अत्यधिक प्रतिरोधी बनाता है। चूंकि कोई पासवर्ड प्रसारित नहीं होता है, इसलिए नेटवर्क में सेंध लगाने के लिए समझौता किए गए उपयोगकर्ता क्रेडेंशियल्स का उपयोग नहीं किया जा सकता है।

PEAP: टनेल्ड पासवर्ड ऑथेंटिकेशन

PEAP को EAP-TLS के अधिक आसानी से डिप्लॉय होने वाले विकल्प के रूप में विकसित किया गया था, जो मजबूत सुरक्षा प्रदान करते हुए क्लाइंट-साइड सर्टिफिकेट की आवश्यकता को समाप्त करता है।

टनल स्थापना (Tunnel Establishment): RADIUS सर्वर क्लाइंट को अपना सर्टिफिकेट प्रस्तुत करता है। क्लाइंट सर्वर को सत्यापित करता है, जिससे एक एन्क्रिप्टेड TLS टनल स्थापित होती है। इस सुरक्षित टनल के भीतर, क्लाइंट Active Directory जैसे पहचान प्रदाता के खिलाफ मानक पासवर्ड-आधारित ऑथेंटिकेशन — आमतौर पर MSCHAPv2 — करता है। RADIUS सर्वर क्रेडेंशियल्स को सत्यापित करता है और एक्सेस प्रदान करता है।

हालांकि सही ढंग से कॉन्फ़िगर होने पर PEAP अत्यधिक सुरक्षित है, लेकिन यह उपयोगकर्ताओं द्वारा मजबूत पासवर्ड बनाए रखने पर निर्भर करता है। महत्वपूर्ण रूप से, यदि उपयोगकर्ता का डिवाइस सर्वर सर्टिफिकेट को सत्यापित करने के लिए कॉन्फ़िगर नहीं है, तो एक दुष्ट एक्सेस पॉइंट क्रेडेंशियल्स को इंटरसेप्ट कर सकता है। यह कोई सैद्धांतिक जोखिम नहीं है; यह वास्तविक दुनिया के पेनेट्रेशन परीक्षणों में उपयोग किया जाने वाला एक अच्छी तरह से प्रलेखित हमला है।

आयाम	EAP-TLS	PEAP
सुरक्षा स्तर	बहुत उच्च — म्यूचुअल सर्टिफिकेट ऑथेंटिकेशन	उच्च — एन्क्रिप्टेड टनल, केवल सर्वर सर्टिफिकेट
क्रेडेंशियल प्रकार	क्लाइंट और सर्वर डिजिटल सर्टिफिकेट	यूजरनेम और पासवर्ड (TLS टनल के अंदर)
डिप्लॉयमेंट जटिलता	अधिक — PKI और MDM की आवश्यकता होती है	कम — मौजूदा डायरेक्टरी सेवाओं के साथ एकीकृत होता है
इसके लिए सर्वोत्तम	कॉर्पोरेट-स्वामित्व वाले डिवाइस बेड़े, विनियमित उद्योग	BYOD वातावरण, बिना PKI वाले संगठन
क्लाइंट सर्टिफिकेट आवश्यक	हाँ	नहीं
PCI-DSS / GDPR अनुकूलता	उत्कृष्ट — उच्च-अनुपालन वाले वातावरण के लिए पसंदीदा	अच्छा — सर्वर सत्यापन लागू होने पर अनुपालन योग्य

कार्यान्वयन गाइड: डिप्लॉयमेंट रणनीतियाँ

EAP-TLS और PEAP के बीच प्राथमिक अंतर उनकी डिप्लॉयमेंट जटिलता और लाइफसाइकिल प्रबंधन में है।

EAP-TLS डिप्लॉय करना

EAP-TLS को लागू करने के लिए नेटवर्क पर प्रत्येक डिवाइस के लिए सर्टिफिकेट जारी करने, प्रबंधित करने और निरस्त करने के लिए एक मजबूत पब्लिक की इंफ्रास्ट्रक्चर (PKI) की आवश्यकता होती है। बड़े पैमाने पर एंडपॉइंट्स पर सर्टिफिकेट प्रोविजनिंग को स्वचालित करने के लिए मोबाइल डिवाइस मैनेजमेंट (MDM) या एंटरप्राइज मोबिलिटी मैनेजमेंट (EMM) समाधान व्यावहारिक रूप से अनिवार्य हैं। IT टीमों को सर्टिफिकेट लाइफसाइकिल का प्रबंधन करना चाहिए, समाप्ति से पहले रिन्यूअल को संभालना चाहिए और खोए हुए उपकरणों या जाने वाले कर्मचारियों के लिए तुरंत निरस्तीकरण सुनिश्चित करना चाहिए। EAP-TLS कॉर्पोरेट-स्वामित्व वाले उपकरणों वाले कॉर्पोरेट नेटवर्क, हेल्थकेयर या वित्त जैसे अत्यधिक विनियमित वातावरण और ज़ीरो-ट्रस्ट आर्किटेक्चर के लिए सबसे उपयुक्त है।

PEAP डिप्लॉय करना

PEAP को डिप्लॉय करना काफी आसान है क्योंकि यह क्लाइंट सर्टिफिकेट की आवश्यकता के बिना मौजूदा पहचान स्टोर — Active Directory, LDAP, या क्लाउड डायरेक्टरी — का लाभ उठाता है। शुरू करने के लिए एक वैध सर्वर सर्टिफिकेट (आदर्श रूप से एक सार्वजनिक CA से) और आपकी मौजूदा डायरेक्टरी सेवा के साथ एकीकरण वाला एक RADIUS सर्वर पर्याप्त है। ऑपरेशनल ओवरहेड न्यूनतम है: उपयोगकर्ता अपने मानक कॉर्पोरेट क्रेडेंशियल्स के साथ ऑथेंटिकेट करते हैं। पासवर्ड रोटेशन नीतियां लागू होती हैं, जिससे पासवर्ड बदलने के बाद उपयोगकर्ताओं द्वारा अपने WiFi प्रोफाइल को अपडेट करना भूल जाने पर मामूली हेल्पडेस्क ओवरहेड हो सकता है। PEAP BYOD वातावरण, शिक्षा क्षेत्रों और बिना स्थापित PKI या MDM इंफ्रास्ट्रक्चर वाले संगठनों के लिए सबसे उपयुक्त है।

सर्वोत्तम अभ्यास और उद्योग मानक

चाहे कोई भी प्रोटोकॉल चुना जाए, जोखिम को कम करने के लिए उद्योग मानकों का पालन करना गैर-परक्राम्य है।

सर्वर सर्टिफिकेट सत्यापन लागू करें (Enforce Server Certificate Validation): PEAP डिप्लॉयमेंट में सबसे आम भेद्यता गलत तरीके से कॉन्फ़िगर किए गए क्लाइंट डिवाइस हैं जो RADIUS सर्वर के सर्टिफिकेट को सत्यापित नहीं करते हैं। यह हमलावरों को दुष्ट एक्सेस पॉइंट स्थापित करने और क्रेडेंशियल्स चुराने की अनुमति देता है। IT को प्रत्येक एंडपॉइंट पर सख्त सर्वर सत्यापन लागू करने के लिए ग्रुप पॉलिसियों या MDM प्रोफाइल का उपयोग करना चाहिए।

RADIUS रिडंडेंसी लागू करें (Implement RADIUS Redundancy): ऑथेंटिकेशन एक महत्वपूर्ण मार्ग है। सुनिश्चित करें कि आपका RADIUS इंफ्रास्ट्रक्चर अत्यधिक उपलब्ध हो। क्लाउड-आधारित RADIUS समाधान ऑन-प्रिमाइसेस सिंगल पॉइंट ऑफ फेलियर को कम कर सकते हैं। वितरित नेटवर्क लचीलेपन के लिए आर्किटेक्चरल विचारों पर आधुनिक व्यवसायों के लिए मुख्य SD WAN लाभ में आगे चर्चा की गई है।

आधुनिक पहचान प्रदाताओं के साथ एकीकृत करें (Integrate with Modern Identity Providers): सार्वजनिक स्थानों के लिए, एक मजबूत Guest WiFi प्लेटफॉर्म का लाभ उठाना जो एक सुरक्षित पहचान प्रदाता के रूप में कार्य करता है, सुरक्षा बनाए रखते हुए पहुंच को सुव्यवस्थित कर सकता है। उदाहरण के लिए, Purple का Connect लाइसेंस OpenRoaming जैसी सेवाओं के लिए एक मुफ्त पहचान प्रदाता प्रदान करता है, जो एंटरप्राइज-ग्रेड सुरक्षा और निर्बाध गेस्ट ऑनबोर्डिंग के बीच की खाई को पाटता है।

ऑथेंटिकेशन के बाद नेटवर्क सेगमेंटेशन (Network Segmentation Post-Authentication): एक सफल 802.1X ऑथेंटिकेशन को पूरे कॉर्पोरेट सबनेट तक अप्रतिबंधित पहुंच प्रदान नहीं करनी चाहिए। उपयोगकर्ताओं को प्रतिबंधित ACLs के साथ उपयुक्त नेटवर्क सेगमेंट में रखने के लिए डायनेमिक VLAN असाइनमेंट पॉलिसियों का उपयोग करें।

ट्रबलशूटिंग और जोखिम शमन

802.1X नेटवर्क का प्रबंधन करते समय, IT टीमों को सामान्य विफलता मोड के लिए तैयार रहना चाहिए।

सर्टिफिकेट की समाप्ति (EAP-TLS): यदि CA सर्टिफिकेट या RADIUS सर्वर सर्टिफिकेट समाप्त हो जाता है, तो सभी ऑथेंटिकेशन एक साथ विफल हो जाएंगे। सर्टिफिकेट की वैधता अवधि के लिए आक्रामक निगरानी और अलर्ट लागू करें — समाप्ति से 90, 30 और 7 दिन पहले अलर्ट सेट करें।

सप्लिकेंट गलत कॉन्फ़ग्यूरेशन (PEAP): सर्वर सर्टिफिकेट को सत्यापित करने में विफल होना एक गंभीर जोखिम है। यह सुनिश्चित करने के लिए एंडपॉइंट कॉन्फ़िगरेशन का नियमित रूप से ऑडिट करें कि "Validate server certificate" को सख्ती से लागू किया गया है। इसे अपनी सुरक्षा ऑडिट चेकलिस्ट में एक मानक आइटम के रूप में शामिल करें।

RADIUS टाइमआउट समस्याएं: वायरलेस कंट्रोलर और RADIUS सर्वर के बीच, या RADIUS सर्वर और Active Directory के बीच उच्च लेटेंसी के कारण EAP टाइमआउट और ऑथेंटिकेशन विफलताएं हो सकती हैं। मजबूत कनेक्टिविटी सुनिश्चित करें और वितरित साइटों के लिए स्थानीय RADIUS प्रॉक्सी पर विचार करें। यह विशेष रूप से मल्टी-साइट ट्रांसपोर्ट और रिटेल डिप्लॉयमेंट के लिए प्रासंगिक है।

दुष्ट एक्सेस पॉइंट हमले (Rogue Access Point Attacks): दुष्ट APs का पता लगाने के लिए समय-समय पर वायरलेस सुरक्षा आकलन करें। आपके एक्सेस पॉइंट इंफ्रास्ट्रक्चर में एकीकृत वायरलेस इंट्रूजन डिटेक्शन सिस्टम (WIDS) निरंतर निगरानी प्रदान कर सकते हैं।

ROI और व्यावसायिक प्रभाव

EAP-TLS और PEAP के बीच का निर्णय तकनीकी आर्किटेक्चर से परे महत्वपूर्ण व्यावसायिक प्रभाव डालता है।

EAP-TLS को PKI और MDM समाधानों के लिए उच्च प्रारंभिक CapEx की आवश्यकता होती है, साथ ही सर्टिफिकेट प्रबंधन के लिए निरंतर OpEx की भी आवश्यकता होती है। हालांकि, यह क्रेडेंशियल-आधारित उल्लंघनों के खिलाफ उच्चतम स्तर का जोखिम शमन प्रदान करता है, जिसके परिणामस्वरूप विनाशकारी वित्तीय और प्रतिष्ठित नुकसान हो सकता है। संवेदनशील डेटा को संभालने वाले या सख्त नियामक अनुपालन के तहत काम करने वाले स्थानों के लिए, EAP-TLS का ROI रोके गए उल्लंघन की लागतों और सुव्यवस्थित अनुपालन ऑडिट के माध्यम से प्राप्त होता है। रिटेल या हॉस्पिटैलिटी वातावरण में एक एकल क्रेडेंशियल-आधारित उल्लंघन से सुधार, नियामक जुर्माने और ब्रांड क्षति में लाखों का खर्च आ सकता है।

PEAP तेजी से टाइम-टू-वैल्यू और कम कार्यान्वयन लागत प्रदान करता है। यह उन वातावरणों के लिए अत्यधिक प्रभावी है जहां प्राथमिक लक्ष्य डिवाइस प्रबंधन के ओवरहेड के बिना सुरक्षित, एन्क्रिप्टेड पहुंच प्रदान करना है। PEAP को एक व्यापक WiFi Analytics समाधान के साथ एकीकृत करके, स्थान नेटवर्क उपयोग डेटा से मूल्यवान ऑपरेशनल अंतर्दृष्टि निकालते हुए सुरक्षित रूप से पहुंच का प्रबंधन कर सकते हैं — ऑथेंटिकेशन इंफ्रास्ट्रक्चर को मापने योग्य व्यावसायिक परिणामों जैसे कि ड्वेल टाइम विश्लेषण, फुटफॉल पैटर्न और लौटने वाले आगंतुकों की दरों से जोड़ते हैं।

मुख्य परिभाषाएं

EAP (Extensible Authentication Protocol)

IEEE 802.1X में परिभाषित एक ऑथेंटिकेशन फ्रेमवर्क जो नेटवर्क एक्सेस इंफ्रास्ट्रक्चर पर विभिन्न ऑथेंटिकेशन विधियों के लिए ट्रांसपोर्ट मैकेनिज्म प्रदान करता है।

EAP एक व्यापक फ्रेमवर्क है; EAP-TLS and PEAP विशिष्ट विधियाँ हैं जो इसके भीतर चलती हैं। RADIUS पॉलिसियों और वायरलेस सप्लिकेंट प्रोफाइल को कॉन्फ़िगर करते समय IT टीमों का सामना EAP से होता है।

Supplicant

क्लाइंट डिवाइस — लैपटॉप, स्मार्टफोन, स्कैनर, या IoT डिवाइस — जो नेटवर्क में शामिल होने के लिए ऑथेंटिकेशन अनुरोध शुरू करता है।

मैन-इन-द-मिडल हमलों को रोकने के लिए IT टीमों को यह सुनिश्चित करना चाहिए कि सप्लिकेंट सही ढंग से कॉन्फ़िगर किए गए हैं, विशेष रूप से सर्टिफिकेट सत्यापन के संबंध में। सप्लिकेंट कॉन्फ़िगरेशन PEAP भेद्यताओं का सबसे आम स्रोत है।

Authenticator

नेटवर्क डिवाइस — आमतौर पर एक वायरलेस एक्सेस पॉइंट या प्रबंधित स्विच — जो सप्लिकेंट से सभी ट्रैफ़िक को तब तक ब्लॉक करता है जब तक कि RADIUS सर्वर सफल ऑथेंटिकेशन की पुष्टि नहीं कर देता।

ऑथेंटिकेटर गेटकीपर के रूप में कार्य करता है, जो ऑथेंटिकेशन को स्वयं प्रोसेस किए बिना सप्लिकेंट और RADIUS सर्वर के बीच EAP संदेशों को पास करता है।

RADIUS Server

रिमोट ऑथेंटिकेशन डायल-इन यूजर सर्विस (Remote Authentication Dial-In User Service)। वह केंद्रीकृत सर्वर जो ऑथेंटिकेटर से ऑथेंटिकेशन अनुरोध प्राप्त करता है, पहचान स्टोर के खिलाफ क्रेडेंशियल्स को सत्यापित करता है, और Access-Accept या Access-Reject प्रतिक्रिया देता है।

RADIUS सर्वर 802.1X आर्किटेक्चर का दिमाग है। विश्वसनीय ऑथेंटिकेशन के लिए RADIUS सर्वर और पहचान स्टोर (Active Directory, LDAP) के बीच उच्च उपलब्धता और कम लेटेंसी महत्वपूर्ण हैं।

PKI (Public Key Infrastructure)

डिजिटल सर्टिफिकेट बनाने, प्रबंधित करने, वितरित करने और निरस्त करने के लिए आवश्यक भूमिकाओं, नीतियों, हार्डवेयर और सॉफ्टवेयर का फ्रेमवर्क।

पैमाने पर EAP-TLS को सफलतापूर्वक डिप्लॉय करने के लिए एक मजबूत PKI एक अत्यंत आवश्यक शर्त है। PKI के बिना, सर्टिफिकेट लाइफसाइकिल प्रबंधन असहज हो जाता है और महत्वपूर्ण ऑपरेशनल जोखिम पैदा करता है।

MDM (Mobile Device Management)

कॉर्पोरेट मोबाइल उपकरणों की निगरानी, प्रबंधन और सुरक्षा के लिए IT द्वारा उपयोग किया जाने वाला सॉफ़्टवेयर, जिसमें नामांकित उपकरणों पर कॉन्फ़िगरेशन प्रोफ़ाइल, सर्टिफिकेट और नीतियां साइलेंट रूप से पुश करने की क्षमता शामिल है।

एंड-यूज़र डिवाइसों पर क्लाइंट सर्टिफिकेट के साइलेंट प्रोविजनिंग को स्वचालित करने के लिए EAP-TLS डिप्लॉयमेंट के लिए MDM महत्वपूर्ण है। Microsoft Intune, Jamf, और VMware Workspace ONE सामान्य MDM प्लेटफॉर्म हैं।

Mutual Authentication

एक सुरक्षा प्रक्रिया जहां संचार लिंक में दोनों पक्ष डेटा का आदान-प्रदान होने से पहले एक-दूसरे को ऑथेंटिकेट करते हैं — एकतरफा ऑथेंटिकेशन के विपरीत जहां केवल एक पक्ष को सत्यापित किया जाता है।

EAP-TLS की परिभाषित विशेषता। म्यूचुअल ऑथेंटिकेशन यह सुनिश्चित करता है कि क्लाइंट जानता है कि वह वैध नेटवर्क सर्वर से बात कर रहा है, और सर्वर जानता है कि वह एक अधिकृत क्लाइंट डिवाइस से बात कर रहा है।

MSCHAPv2 (Microsoft Challenge Handshake Authentication Protocol v2)

एक पासवर्ड-आधारित ऑथेंटिकेशन प्रोटोकॉल जो आमतौर पर PEAP टनल के भीतर आंतरिक ऑथेंटिकेशन विधि के रूप में उपयोग किया जाता है। यह प्लेनटेक्स्ट में पासवर्ड प्रसारित करने से बचने के लिए चैलेंज-रिस्पॉन्स मैकेनिज्म का उपयोग करता है।

यदि PEAP टनल के साथ किसी दुष्ट एक्सेस पॉइंट द्वारा समझौता किया जाता है, तो MSCHAPv2 हैश को कैप्चर किया जा सकता है और ऑफ़लाइन क्रैक किया जा सकता है। यही कारण है कि PEAP में सर्वर सर्टिफिकेट सत्यापन गैर-परक्राम्य है।

OpenRoaming

एक WiFi फेडरेशन मानक जो उपयोगकर्ताओं को सर्टिफिकेट-आधारित ऑथेंटिकेशन का उपयोग करके, बिना दोबारा ऑथेंटिकेट किए विभिन्न स्थानों और ऑपरेटरों के भाग लेने वाले नेटवर्क से स्वचालित और सुरक्षित रूप से कनेक्ट होने की अनुमति देता है।

Purple अपने Connect लाइसेंस के तहत OpenRoaming के लिए एक मुफ्त पहचान प्रदाता के रूप में कार्य करता है, जिससे स्थानों को निर्बाध, सुरक्षित कनेक्टिविटी प्रदान करने में मदद मिलती है जो EAP-TLS सर्टिफिकेट ऑथेंटिकेशन सिद्धांतों के अनुरूप है।

हल किए गए उदाहरण

500 स्थानों वाली एक राष्ट्रीय रिटेल श्रृंखला को स्टोर प्रबंधकों के टैबलेट और हैंडहेल्ड इन्वेंट्री स्कैनर के लिए कॉर्पोरेट नेटवर्क एक्सेस को सुरक्षित करने की आवश्यकता है। वे वर्तमान में सभी साइटों पर एक साझा WPA2-PSK का उपयोग करते हैं। उनके पास डिवाइस प्रबंधन के लिए Microsoft Intune डिप्लॉय है।

EAP-TLS डिप्लॉय करें। चूंकि संगठन पहले से ही Microsoft Intune का उपयोग करता है, इसलिए सर्टिफिकेट डिप्लॉयमेंट का कठिन काम पहले ही हल हो चुका है। SCEP या PKCS सर्टिफिकेट प्रोफाइल के माध्यम से सभी कॉर्पोरेट-स्वामित्व वाले टैबलेट और स्कैनर पर अद्वितीय क्लाइंट सर्टिफिकेट पुश करने के लिए Intune को कॉन्फ़िगर करें। वायरलेस इंफ्रास्ट्रक्चर को एक केंद्रीय या क्लाउड-आधारित RADIUS सर्वर (जैसे Microsoft NPS या क्लाउड RADIUS सेवा) की ओर इशारा करते हुए 802.1X का उपयोग करने के लिए पुन: कॉन्फ़िगर किया गया है। RADIUS सर्वर को केवल संगठन के आंतरिक CA द्वारा जारी किए गए सर्टिफिकेट प्रस्तुत करने वाले उपकरणों से ऑथेंटिकेशन स्वीकार करने के लिए कॉन्फ़िगर किया गया है। ऑथेंटिकेशन के बाद, डायनेमिक VLAN असाइनमेंट उपकरणों को उपयुक्त स्टोर ऑपरेशंस सेगमेंट में रखता है।

परीक्षक की टिप्पणी: यह दृष्टिकोण 500 स्थानों पर साझा PSK के भारी सुरक्षा जोखिम को समाप्त करता है — एक स्टोर में समझौता किया गया PSK पहले हर साइट को उजागर कर देता था। EAP-TLS के साथ, यदि कोई स्कैनर खो जाता है या चोरी हो जाता है, तो IT बस PKI के माध्यम से उसके विशिष्ट सर्टिफिकेट को निरस्त कर देता है, जिससे किसी अन्य डिवाइस को प्रभावित किए बिना उसकी नेटवर्क पहुंच तुरंत समाप्त हो जाती है। EAP-TLS यहाँ सबसे अच्छा विकल्प है क्योंकि MDM इंफ्रास्ट्रक्चर सर्टिफिकेट लाइफसाइकिल प्रबंधन को स्केलेबल बनाता है। निगरानी करने के लिए मुख्य जोखिम सर्टिफिकेट की समाप्ति है — सुनिश्चित करें कि Intune में स्वचालित रिन्यूअल नीतियां कॉन्फ़िगर की गई हैं।

एक बड़े सम्मेलन केंद्र को अपने स्वयं के व्यक्तिगत उपकरणों (BYOD) का उपयोग करने वाले 3,000 आंतरिक कर्मचारियों के लिए सुरक्षित WiFi प्रदान करने की आवश्यकता है। वे कॉर्पोरेट पहचान के लिए Google Workspace का उपयोग करते हैं लेकिन कर्मचारियों के व्यक्तिगत फोन या लैपटॉप का प्रबंधन नहीं करते हैं।

PEAP डिप्लॉय करें (विशेष रूप से Google Secure LDAP के खिलाफ PEAP-MSCHAPv2 या EAP-TTLS/PAP)। IT टीम Google Workspace Secure LDAP के साथ एकीकृत एक RADIUS सर्वर स्थापित करती है। स्टाफ सदस्य अपने मानक Google Workspace ईमेल और पासवर्ड का उपयोग करके 'Staff_WiFi' SSID से कनेक्ट होते हैं। IT टीम ऑनबोर्डिंग दस्तावेज़ प्रदान करती है — आदर्श रूप से एक कैप्टिव पोर्टल या नेटवर्क ऑनबोर्डिंग टूल के माध्यम से — कर्मचारियों को अपने उपकरणों को विशिष्ट RADIUS सर्वर सर्टिफिकेट पर भरोसा करने और सर्वर के डोमेन नाम को सत्यापित करने के लिए कॉन्फ़िगर करने का निर्देश देती है। इवेंट में आने वालों के लिए एक अलग गेस्ट SSID बनाए रखा जाता है, जिसे एनालिटिक्स और एक्सेस कंट्रोल के लिए Purple के Guest WiFi प्लेटफॉर्म के माध्यम से प्रबंधित किया जाता।

परीक्षक की टिप्पणी: EAP-TLS यहाँ अव्यावहारिक है क्योंकि संगठन के पास सर्टिफिकेट पुश करने के लिए व्यक्तिगत उपकरणों पर MDM नियंत्रण नहीं है। PEAP मौजूदा क्रेडेंशियल्स का उपयोग करके ऑथेंटिकेशन के लिए एक सुरक्षित, एन्क्रिप्टेड टनल प्रदान करता है, जिससे यह ईव्सड्रॉपिंग (गुप्त रूप से सुनने) से सुरक्षा प्रदान करते हुए BYOD परिदृश्यों के लिए अत्यधिक डिप्लॉय करने योग्य बन जाता है। महत्वपूर्ण ऑपरेशनल कदम ऑनबोर्डिंग प्रक्रिया है — IT टीम को यह सुनिश्चित करना चाहिए कि प्रत्येक स्टाफ सदस्य का डिवाइस सर्वर सर्टिफिकेट को सत्यापित करने के लिए सही ढंग से कॉन्फ़िगर किया गया है। ऐसा करने में विफलता इस डिप्लॉयमेंट में सबसे बड़ा जोखिम है।

अभ्यास प्रश्न

Q1. एक विश्वविद्यालय का IT विभाग 20,000 छात्रों के लिए पूरे परिसर में सुरक्षित WiFi डिप्लॉय कर रहा है। छात्र अपने स्वयं के लैपटॉप और स्मार्टफोन लाते हैं जिनमें Windows, macOS, iOS और Android का मिश्रण होता है। IT निदेशक अधिकतम सुरक्षा पर जोर देते हैं और EAP-TLS का प्रस्ताव करते हैं। आपकी आर्किटेक्चरल सिफारिश क्या है?

संकेत: एक विषम डिवाइस एस्टेट में अप्रबंधित, व्यक्तिगत स्वामित्व वाले उपकरणों पर सर्टिफिकेट प्रबंधन के ऑपरेशनल ओवरहेड पर विचार करें।

मॉडल उत्तर देखें

इस विशिष्ट उपयोग के मामले के लिए EAP-TLS के खिलाफ सलाह दें। हालांकि EAP-TLS उच्चतम सुरक्षा प्रदान करता है, लेकिन MDM समाधान के बिना अप्रबंधित छात्र उपकरणों पर 20,000+ क्लाइंट सर्टिफिकेट को डिप्लॉय और प्रबंधित करना एक दुर्गम सहायता बोझ पैदा करेगा। छात्र अक्सर डिवाइस बदलते हैं, और MDM ऑटोमेशन के बिना iOS, Android, Windows और macOS पर सर्टिफिकेट इंस्टॉलेशन के लिए ऑनबोर्डिंग प्रक्रिया जटिल है। विश्वविद्यालय की छात्र डायरेक्टरी सेवा के साथ एकीकृत PEAP (या EAP-TTLS) की सिफारिश करें। सुनिश्चित करें कि छात्र उपकरणों को सर्वर सर्टिफिकेट को सख्ती से सत्यापित करने के लिए कॉन्फ़िगर करने के लिए मजबूत ऑनबोर्डिंग टूल का उपयोग किया जाता है। वैकल्पिक रूप से, विश्वविद्यालय द्वारा प्रबंधित कर्मचारियों के उपकरणों के लिए एक अलग SSID पर EAP-TLS डिप्लॉय करें, जिससे एक स्तरीय सुरक्षा आर्किटेक्चर तैयार हो सके।

Q2. एक सुरक्षा ऑडिट के दौरान, एक पेनेट्रेशन टेस्टर उसी SSID को प्रसारित करने वाला एक दुष्ट एक्सेस पॉइंट स्थापित करके आपके PEAP-सुरक्षित वायरलेस नेटवर्क से उपयोगकर्ता क्रेडेंशियल्स को सफलतापूर्वक चुरा लेता है। इस भेद्यता का मूल कारण क्या है, और इसका समाधान क्या है?

संकेत: इस बारे में सोचें कि PEAP में TLS टनल स्थापना चरण के दौरान क्या होता है, और क्लाइंट डिवाइस क्या जांच रहा है — या क्या नहीं जांच रहा है।

मॉडल उत्तर देखें

मूल कारण सप्लिकेंट का गलत कॉन्फ़िगरेशन है। क्लाइंट डिवाइस RADIUS सर्वर के डिजिटल सर्टिफिकेट को सख्ती से सत्यापित करने के लिए कॉन्फ़िगर नहीं हैं। जब दुष्ट AP ने एक फर्जी सर्टिफिकेट प्रस्तुत किया, तो क्लाइंट डिवाइसों ने उस पर आँख बंद करके भरोसा कर लिया, हमलावर के साथ TLS टनल स्थापित की, और MSCHAPv2 ऑथेंटिकेशन एक्सचेंज प्रसारित किया। हमलावर इसे ऑफ़लाइन क्रैक कर सकता है। इसका समाधान तीन गुना है: (1) सभी क्लाइंट डिवाइसों पर ग्रुप पॉलिसी या MDM प्रोफाइल के माध्यम से सख्त सर्वर सर्टिफिकेट सत्यापन लागू करें; (2) अन्य डोमेन से सर्टिफिकेट की स्वीकृति को रोकने के लिए सप्लिकेंट कॉन्फ़िगरेशन में सटीक अपेक्षित RADIUS सर्वर डोमेन नाम निर्दिष्ट करें; (3) दुष्ट एक्सेस पॉइंट का पता लगाने और अलर्ट करने के लिए एक वायरलेस इंट्रूजन डिटेक्शन सिस्टम (WIDS) डिप्लॉय करें।

Q3. एक स्वास्थ्य सेवा प्रदाता रोगी रिकॉर्ड तक पहुंचने वाले मोबाइल नर्सिंग वर्कस्टेशन का समर्थन करने के लिए अपने नेटवर्क को अपग्रेड कर रहा है। ये वर्कस्टेशन कॉर्पोरेट-स्वामित्व वाले हैं, Microsoft Intune के माध्यम से IT द्वारा सख्ती से प्रबंधित किए जाते हैं, और वातावरण को स्वास्थ्य सेवा डेटा सुरक्षा नियमों का अनुपालन करना चाहिए। क्या उन्हें PEAP या EAP-TLS डिप्लॉय करना चाहिए?

संकेत: नियामक वातावरण, डिवाइस नियंत्रण के स्तर और एक्सेस किए जा रहे डेटा की संवेदनशीलता का मूल्यांकन करें।

मॉडल उत्तर देखें

बिना किसी संकोच के EAP-TLS डिप्लॉय करें। स्वास्थ्य सेवा वातावरण को क्रेडेंशियल चोरी के खिलाफ सख्त अनुपालन और अधिकतम सुरक्षा की आवश्यकता होती है — स्वास्थ्य सेवा नेटवर्क में एक समझौता किया गया पासवर्ड रोगी के रिकॉर्ड को उजागर कर सकता है और GDPR और क्षेत्र-विशिष्ट डेटा सुरक्षा आवश्यकताओं के तहत महत्वपूर्ण नियामक दंड लगा सकता है। चूंकि डिवाइस कॉर्पोरेट-स्वामित्व वाले हैं और Microsoft Intune के माध्यम से सख्ती से प्रबंधित हैं, इसलिए क्लाइंट सर्टिफिकेट डिप्लॉय करना ऑपरेशनल रूप से व्यवहार्य है और इसे पूरी तरह से स्वचालित किया जा सकता है। EAP-TLS यह सुनिश्चित करने के लिए आवश्यक म्यूचुअल ऑथेंटिकेशन प्रदान करता है कि केवल अधिकृत, कॉर्पोरेट-प्रबंधित डिवाइस ही क्लिनिकल नेटवर्क तक पहुंच सकें। इसके अतिरिक्त, EAP-TLS अनुपालन ऑडिट को सरल बनाता है — नेटवर्क आर्किटेक्चर की समीक्षा करने वाले ऑडिटर्स एक सर्टिफिकेट-आधारित, पासवर्ड रहित ऑथेंटिकेशन सिस्टम देखेंगे जो पासवर्ड-आधारित विकल्पों की तुलना में स्वाभाविक रूप से अधिक सुरक्षित है।

इस श्रृंखला में आगे पढ़ें

विक्रेता द्वारा प्रति-डिवाइस PSK: iPSK, DPSK, MPSK और PPSK की तुलना (और WPA3 सपोर्ट)

Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet, और Ubiquiti UniFi में प्रति-डिवाइस PSK कार्यान्वयन की एक व्यापक तुलना। जानें कि WPA3-SAE प्रति-डिवाइस कुंजी रणनीतियों को कैसे प्रभावित करता है और कब ट्रांज़िशन मोड को लागू करना चाहिए बनाम 802.1X पर जाना चाहिए।

कैप्टिव पोर्टल प्रमाणीकरण विधियों की तुलना

यह आधिकारिक तकनीकी संदर्भ गाइड पांच मुख्य कैप्टिव पोर्टल प्रमाणीकरण विधियों के आर्किटेक्चरल, परिचालन और अनुपालन ट्रेड-ऑफ का मूल्यांकन करती है। यह नेटवर्क आर्किटेक्ट्स, IT निदेशकों और मार्केटिंग प्रबंधकों को एंटरप्राइज़ वेन्यू में डेटा-संग्रह आवश्यकताओं के साथ गेस्ट ऑनबोर्डिंग घर्षण को संतुलित करने के लिए आवश्यक मात्रात्मक डेटा और निर्णय ढांचे प्रदान करती है।

MAC Address Authentication क्या है? इसका उपयोग कब करें और कब बचें

यह आधिकारिक तकनीकी संदर्भ गाइड एंटरप्राइज़ WiFi वातावरण में MAC एड्रेस ऑथेंटिकेशन को कवर करती है — लेयर 2 पर RADIUS-आधारित MAC ऑथेंटिकेशन कैसे काम करता है, इसकी अंतर्निहित सुरक्षा कमजोरियां (जिसमें MAC स्पूफिंग और OS-स्तरीय MAC रैंडमाइज़ेशन का प्रभाव शामिल है), और सटीक परिचालन संदर्भ जहां यह IoT और हेडलेस डिवाइसों के प्रबंधन के लिए एक वैध उपकरण बना हुआ है। यह हॉस्पिटैलिटी, रिटेल, हेल्थकेयर और सार्वजनिक क्षेत्र के स्थानों में IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए कार्रवाई योग्य डिप्लॉयमेंट मार्गदर्शन प्रदान करता है, जिसमें वास्तविक दुनिया के काम किए गए उदाहरण, निर्णय ढांचे और Purple के अतिथि WiFi और एनालिटिक्स प्लेटफ़ॉर्म के लिए एकीकरण संदर्भ शामिल हैं।