मुख्य सामग्री पर जाएं
हिन्दी

eduroam और 802.1X: उच्च शिक्षा के लिए सुरक्षित WiFi प्रमाणीकरण

यह आधिकारिक तकनीकी संदर्भ गाइड eduroam और 802.1X प्रमाणीकरण के आर्किटेक्चर, परिनियोजन और सुरक्षा की व्याख्या करती है। IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए डिज़ाइन की गई, यह व्यावहारिक कार्यान्वयन चरणों, EAP विधि चयन, और वेन्यू ऑपरेटर अकादमिक रोमिंग का सुरक्षित रूप से समर्थन कैसे कर सकते हैं, को कवर करती है।

📖 6 मिनट का पाठ📝 1,343 शब्द🔧 3 हल किए गए उदाहरण3 अभ्यास प्रश्न📚 8 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें
पॉडकास्ट स्क्रिप्ट: eduroam और 802.1X — उच्च शिक्षा के लिए सुरक्षित WiFi प्रमाणीकरण रनटाइम: लगभग 10 मिनट आवाज़: यूके अंग्रेज़ी, पुरुष, वरिष्ठ सलाहकार टोन — आत्मविश्वासी, संवादात्मक, आधिकारिक --- [परिचय — 1 मिनट] वापसी पर स्वागत है। मैं अगले दस मिनट आपको eduroam और 802.1X के बारे में बताने जा रहा हूँ — वे क्या हैं, वे वास्तव में कैसे काम करते हैं, और उन्हें तैनात करने या उनके साथ एकीकृत करने से पहले आपकी टीम को क्या जानना चाहिए। यदि आप किसी विश्वविद्यालय, कॉलेज या शोध संस्थान में IT प्रबंधक, नेटवर्क आर्किटेक्ट या CTO हैं — या यदि आप एक वेन्यू ऑपरेटर हैं जिन्हें यह समझने की आवश्यकता है कि आपके अकादमिक आगंतुक आपके वायरलेस इन्फ्रास्ट्रक्चर से क्या उम्मीद कर रहे हैं — तो यह ब्रीफिंग आपके लिए है। आइए बड़ी तस्वीर से शुरू करते हैं। eduroam का अर्थ है "एजुकेशन रोमिंग (education roaming)"। यह एक वैश्विक WiFi रोमिंग सेवा है जो सदस्य संस्थानों के छात्रों, शोधकर्ताओं और कर्मचारियों को किसी भी भाग लेने वाले स्थान पर इंटरनेट से जुड़ने की सुविधा देती है — स्वचालित रूप से, सुरक्षित रूप से, अपने होम संस्थान के क्रेडेंशियल्स का उपयोग करके। कोई गेस्ट पोर्टल नहीं। कोई वाउचर कोड नहीं। फ्रंट डेस्क से पासवर्ड मांगने की कोई ज़रूरत नहीं। यह 2003 से चल रहा है, अब यह 100 से अधिक देशों में 10,000 से अधिक संस्थानों को कवर करता है, और यह दुनिया भर में उच्च शिक्षा में कैंपस वायरलेस नेटवर्किंग के लिए वास्तविक मानक है। यदि आपका संगठन विश्वविद्यालयों के साथ जुड़ता है — चाहे आप कैंपस के पास एक होटल हों, अकादमिक कार्यक्रमों की मेज़बानी करने वाला एक सम्मेलन केंद्र हों, या विश्वविद्यालय शहर में एक सार्वजनिक पुस्तकालय हों — eduroam को समझना आपकी नेटवर्क रणनीति के लिए सीधे प्रासंगिक है। --- [तकनीकी डीप-डाइव — 5 मिनट] ठीक है। आइए इसके काम करने के तरीके में चलते हैं。 eduroam IEEE 802.1X के शीर्ष पर बनाया गया है — पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल मानक। 802.1X नेटवर्क तक पहुंच प्रदान करने से पहले उपकरणों को प्रमाणित करने के लिए एक रूपरेखा परिभाषित करता है। इसे मूल रूप से वायर्ड ईथरनेट के लिए डिज़ाइन किया गया था लेकिन यह वायरलेस पर भी पूरी तरह से लागू होता है, और यह उस चीज़ की नींव है जिसे हम WPA2-Enterprise या WPA3-Enterprise सुरक्षा कहते हैं। 802.1X मॉडल के तीन घटक हैं। पहला, सप्लिकेंट (Supplicant) — वह डिवाइस जो कनेक्ट करने का प्रयास कर रहा है। किसी छात्र का लैपटॉप, किसी शोधकर्ता का फोन। दूसरा, ऑथेंटिकेटर (Authenticator) — वह आपका नेटवर्क एक्सेस पॉइंट या मैनेज्ड स्विच है। यह सप्लिकेंट और बाकी नेटवर्क के बीच बैठता है और एक द्वारपाल के रूप में कार्य करता है। तीसरा, ऑथेंटिकेशन सर्वर (Authentication Server) — लगभग हमेशा एक RADIUS सर्वर। RADIUS का अर्थ है रिमोट ऑथेंटिकेशन डायल-इन यूज़र सर्विस। यह वह घटक है जो वास्तव में क्रेडेंशियल्स को मान्य करता है। यहाँ बताया गया है कि हैंडशेक कैसे काम करता है। छात्र का डिवाइस वायरलेस एक्सेस पॉइंट के साथ जुड़ता है। एक्सेस पॉइंट अभी तक पूर्ण नेटवर्क एक्सेस नहीं देता है — यह एक नियंत्रित पोर्ट खोलता है, लेकिन केवल EAP ट्रैफ़िक के लिए। EAP एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल है। एक्सेस पॉइंट डिवाइस और RADIUS सर्वर के बीच EAP वार्तालाप को प्रॉक्सी करता है। RADIUS सर्वर डिवाइस को चुनौती देता है, डिवाइस क्रेडेंशियल्स के साथ प्रतिक्रिया करता है — आमतौर पर एक उपयोगकर्ता नाम और पासवर्ड, या एक प्रमाणपत्र — और यदि RADIUS सर्वर संतुष्ट है, तो यह एक Access-Accept संदेश वापस भेजता है। एक्सेस पॉइंट तब पूर्ण नेटवर्क पोर्ट खोलता है। एक अच्छी तरह से कॉन्फ़िगर किए गए परिनियोजन में पूरे आदान-प्रदान में दो सेकंड से भी कम समय लगता है। अब, eduroam इसके ऊपर कहाँ लेयर करता है? eduroam एक पदानुक्रमित RADIUS प्रॉक्सी इन्फ्रास्ट्रक्चर का उपयोग करता है। प्रत्येक भाग लेने वाला संस्थान अपना स्वयं का RADIUS सर्वर चलाता है — जिसे आइडेंटिटी प्रोवाइडर, या IdP कहा जाता है। जब, मान लीजिए, मैनचेस्टर विश्वविद्यालय का कोई छात्र इंपीरियल कॉलेज लंदन जाता है और eduroam SSID से जुड़ता है, तो उनका डिवाइस username@manchester.ac.uk प्रारूप में उनके क्रेडेंशियल भेजता है। इंपीरियल का RADIUS सर्वर डोमेन (realm) देखता है — जो @ प्रतीक के बाद का हिस्सा है — और प्रमाणीकरण अनुरोध को राष्ट्रीय RADIUS सर्वर तक प्रॉक्सी करता है, जो यूके में Jisc द्वारा संचालित होता है, जो राष्ट्रीय अनुसंधान और शिक्षा नेटवर्क है। Jisc फिर अनुरोध को मैनचेस्टर विश्वविद्यालय के RADIUS सर्वर पर रूट करता है, जो क्रेडेंशियल्स को मान्य करता है और एक Accept या Reject वापस भेजता है। पूरी चेन मिलीसेकंड में हल हो जाती है। यह प्रॉक्सी चेन ही है जो eduroam को संस्थानों के बीच किसी भी पूर्व-साझा रहस्य के बिना संस्थागत सीमाओं के पार काम करने में सक्षम बनाती है। चेन में प्रत्येक हॉप केवल अपने तत्काल पड़ोसी के साथ एक साझा RADIUS रहस्य का उपयोग करता है। छात्र का वास्तविक पासवर्ड कभी भी होम संस्थान के RADIUS सर्वर से बाहर नहीं जाता है — यह EAP टनल द्वारा एंड-टू-एंड सुरक्षित रहता है। EAP विधियों की बात करें तो — यहीं पर कई परिनियोजन गलत हो जाते हैं, इसलिए ध्यान दें। eduroam में सबसे आम EAP विधियाँ PEAP — Protected EAP — और EAP-TLS हैं। PEAP एक TLS टनल के अंदर एक आंतरिक प्रमाणीकरण विधि, आमतौर पर MSCHAPv2 को लपेटता है। इसके लिए RADIUS सर्वर पर सर्वर-साइड प्रमाणपत्र की आवश्यकता होती है, लेकिन क्लाइंट को केवल उपयोगकर्ता नाम और पासवर्ड की आवश्यकता होती है। EAP-TLS अधिक सुरक्षित विकल्प है — यह पारस्परिक प्रमाणपत्र प्रमाणीकरण का उपयोग करता है, जिसका अर्थ है कि सर्वर और क्लाइंट दोनों प्रमाणपत्र प्रस्तुत करते हैं। इसे बड़े पैमाने पर तैनात करना कठिन है क्योंकि आपको क्लाइंट प्रमाणपत्र जारी करने के लिए PKI की आवश्यकता होती है, लेकिन यह क्रेडेंशियल फ़िशिंग से अनिवार्य रूप से सुरक्षित है। महत्वपूर्ण सुरक्षा आवश्यकता जिसे कई संस्थान गलत करते हैं, वह क्लाइंट साइड पर प्रमाणपत्र सत्यापन है। जब कोई डिवाइस PEAP का उपयोग करके eduroam से जुड़ता है, तो डिवाइस को क्रेडेंशियल सबमिट करने से पहले RADIUS सर्वर के प्रमाणपत्र को सत्यापित करना चाहिए। यदि डिवाइस को किसी भी प्रमाणपत्र को स्वीकार करने के लिए गलत तरीके से कॉन्फ़िगर किया गया है, तो एक हमलावर eduroam SSID प्रसारित करने वाला एक दुष्ट एक्सेस पॉइंट खड़ा कर सकता है, एक स्व-हस्ताक्षरित प्रमाणपत्र प्रस्तुत कर सकता है, और क्रेडेंशियल हार्वेस्ट कर सकता है। यह एक ज्ञात हमला वेक्टर है। इसका समाधान आपके सप्लिकेंट प्रोफ़ाइल को कॉन्फ़िगर करना है — प्रबंधित डिवाइसों के लिए MDM के माध्यम से, या व्यक्तिगत डिवाइसों के लिए eduroam Configuration Assistant Tool, जिसे CAT के रूप में जाना जाता है, के माध्यम से — अपेक्षित प्रमाणपत्र प्राधिकरण और सर्वर नाम को पिन करने के लिए। मानकों के दृष्टिकोण से, eduroam परिनियोजन से eduroam पॉलिसी सर्विस डेफिनिशन का अनुपालन करने की अपेक्षा की जाती है, जो सभी RADIUS ओवर TLS कनेक्शनों के लिए TLS 1.2 या उच्चतर को अनिवार्य करता है, EAP-MD5 या LEAP जैसी कमज़ोर EAP विधियों के उपयोग को प्रतिबंधित करता है, और यह आवश्यक करता है कि सभी RADIUS प्रॉक्सी कनेक्शन जहां संभव हो सादे UDP RADIUS के बजाय RadSec — RADIUS ओवर TLS — का उपयोग करें। यह यूके में NCSC मार्गदर्शन और अमेरिका में NIST SP 800-120 के अनुरूप है। एक और तकनीकी बिंदु ध्यान देने योग्य है: VLAN असाइनमेंट। एक अच्छी तरह से आर्किटेक्ट किए गए eduroam परिनियोजन में, RADIUS Access-Accept प्रतिक्रिया में VLAN विशेषताएँ शामिल होती हैं जो एक्सेस पॉइंट को बताती हैं कि कनेक्टिंग डिवाइस को किस VLAN को असाइन करना है। यह आपको ट्रैफ़िक को विभाजित करने देता है — विज़िटिंग छात्रों को केवल इंटरनेट एक्सेस वाले प्रतिबंधित VLAN पर रखना, जबकि आपके अपने कर्मचारियों को आंतरिक नेटवर्क पर रूट किया जाता है। यह अनुपालन के लिए आवश्यक है, विशेष रूप से यदि आप PCI DSS के अधीन हैं या अनुसंधान डेटा नेटवर्क और सामान्य इंटरनेट ट्रैफ़िक के बीच अलगाव बनाए रखने की आवश्यकता है। --- [कार्यान्वयन सिफ़ारिशें और नुकसान — 2 मिनट] मैं आपको व्यावहारिक मार्गदर्शन देता हूँ। यदि आप पहली बार eduroam तैनात कर रहे हैं, तो आपका पहला कॉल आपके राष्ट्रीय NREN को होना चाहिए — यूके में वह Jisc है, आयरलैंड में HEAnet, अमेरिका में Internet2। वे फेडरेशन सदस्यता को संभालते हैं और आपको एक RADIUS डोमेन (realm) सौंपेंगे। आप अपने राष्ट्रीय फेडरेशन के सदस्य हुए बिना eduroam में भाग नहीं ले सकते। आपकी इन्फ्रास्ट्रक्चर चेकलिस्ट: आपको 802.1X-सक्षम एक्सेस पॉइंट की आवश्यकता है — Cisco, Aruba, Juniper, Ruckus, या Ubiquiti UniFi का कोई भी एंटरप्राइज़-ग्रेड किट यह करेगा। आपको एक RADIUS सर्वर की आवश्यकता है — FreeRADIUS ओपन-सोर्स मानक है, या आप Microsoft NPS, Cisco ISE, या Aruba ClearPass का उपयोग कर सकते हैं। आपको अपने RADIUS सर्वर के लिए एक CA से एक वैध TLS प्रमाणपत्र की आवश्यकता है जो eduroam समुदाय द्वारा विश्वसनीय है — आमतौर पर आपके संस्थान के PKI से एक प्रमाणपत्र या eduroam अनुमोदित सूची में एक वाणिज्यिक CA। मेरे द्वारा देखी जाने वाली तीन सबसे आम परिनियोजन विफलताएँ हैं: पहला, प्रमाणपत्र मिसकॉन्फ़िगरेशन — या तो RADIUS प्रमाणपत्र समाप्त हो गया है, या क्लाइंट सप्लिकेंट प्रोफ़ाइल सही ढंग से पिन नहीं किए गए हैं। दूसरा, RADIUS प्रॉक्सी टाइमआउट — यदि आपके अपस्ट्रीम NREN कनेक्शन में लेटेंसी की समस्या है, तो प्रमाणीकरण टाइम आउट हो जाएगा और उपयोगकर्ताओं को कनेक्शन विफलताएँ दिखाई देंगी जो क्रेडेंशियल त्रुटियों की तरह दिखती हैं। तीसरा, VLAN मिसकॉन्फ़िगरेशन — विज़िटिंग उपयोगकर्ता गलत नेटवर्क सेगमेंट पर समाप्त होते हैं, या तो कोई इंटरनेट एक्सेस नहीं मिलता है या, इससे भी बदतर, आंतरिक संसाधनों तक पहुंच प्राप्त करते हैं जो उन्हें नहीं देखना चाहिए। क्लाइंट साइड पर, अपने MDM प्लेटफ़ॉर्म के माध्यम से सभी प्रबंधित डिवाइसों पर eduroam CAT प्रोफ़ाइल तैनात करें। व्यक्तिगत डिवाइसों के लिए, CAT इंस्टॉलर लिंक को प्रमुखता से प्रकाशित करें। यह एक कदम अधिकांश सपोर्ट टिकटों को समाप्त कर देता है। उन स्थानों के लिए जो उच्च शिक्षा संस्थान नहीं हैं लेकिन eduroam एक्सेस प्रदान करना चाहते हैं — सम्मेलन केंद्र, होटल और इसी तरह — इस प्रक्रिया को eduroam Visitor Access, या eVA कहा जाता है। यह गैर-सदस्य संगठनों को eduroam SSID होस्ट करने और पूर्ण सदस्य हुए बिना फेडरेशन को प्रमाणीकरण प्रॉक्सी करने की अनुमति देता है। यदि आप नियमित रूप से अकादमिक सम्मेलनों या विश्वविद्यालय के कार्यक्रमों की मेज़बानी करते हैं तो यह जांचने योग्य है। --- [रैपिड-फायर प्रश्नोत्तर — 1 मिनट] त्वरित प्रश्न जो मुझसे नियमित रूप से पूछे जाते हैं। "क्या eduroam हमारे गेस्ट WiFi को पूरी तरह से बदल सकता है?" नहीं। eduroam केवल उन उपयोगकर्ताओं के लिए काम करता है जिनके पास सदस्य संस्थान में क्रेडेंशियल हैं। आपको अभी भी बाकी सभी के लिए एक अलग गेस्ट WiFi समाधान की आवश्यकता है — आगंतुक, ठेकेदार, आम जनता। "क्या eduroam GDPR के अनुरूप है?" हाँ, चेतावनियों के साथ। फेडरेशन आर्किटेक्चर का मतलब है कि आपका संस्थान प्रमाणीकरण डेटा को संसाधित करता है, लेकिन आपको यह सुनिश्चित करने की आवश्यकता है कि आपके गोपनीयता नोटिस इसे कवर करते हैं और आपके RADIUS लॉग को उचित रूप से संभाला जाता है। "क्या हम eduroam के साथ WPA3 का उपयोग कर सकते हैं?" हाँ। WPA3-Enterprise 802.1X के साथ पूरी तरह से संगत है और नए परिनियोजन के लिए अनुशंसित मानक है। यह उच्च-सुरक्षा वातावरण के लिए 192-बिट मोड एन्क्रिप्शन जोड़ता है। "eduroam और OpenRoaming के बीच क्या अंतर है?" OpenRoaming वायरलेस ब्रॉडबैंड एलायंस की एक व्यापक उद्योग पहल है जो समान 802.1X और RADIUS प्रॉक्सी आर्किटेक्चर का उपयोग करती है लेकिन रोमिंग को शिक्षा से परे वाणिज्यिक स्थानों तक बढ़ाती है। Purple सहित कुछ प्लेटफ़ॉर्म, अपने गेस्ट WiFi पेशकश के हिस्से के रूप में OpenRoaming का समर्थन करते हैं। --- [सारांश और अगले कदम — 1 मिनट] समाप्त करने के लिए। eduroam एक परिपक्व, अच्छी तरह से शासित, विश्व स्तर पर तैनात WiFi रोमिंग सेवा है जो 802.1X और एक पदानुक्रमित RADIUS प्रॉक्सी इन्फ्रास्ट्रक्चर पर निर्मित है। यह साझा पासवर्ड या Captive Portal के बिना — 10,000 से अधिक संस्थानों में प्रति-उपयोगकर्ता प्रमाणीकरण, मजबूत एन्क्रिप्शन और निर्बाध रोमिंग प्रदान करता है। कैंपस वायरलेस को तैनात या अपग्रेड करने वाली IT टीमों के लिए: जहां आपका PKI इसका समर्थन कर सकता है वहां PEAP पर EAP-TLS को प्राथमिकता दें, सभी क्लाइंट प्रोफाइल पर प्रमाणपत्र सत्यापन लागू करें, सभी RADIUS प्रॉक्सी कनेक्शन के लिए RadSec का उपयोग करें, और विज़िटिंग उपयोगकर्ताओं को एक समर्पित VLAN में विभाजित करें। वेन्यू ऑपरेटरों के लिए: यदि आप नियमित रूप से अकादमिक आगंतुकों की मेज़बानी करते हैं, तो eduroam Visitor Access की जांच करें। और भले ही आप eduroam तैनात करें या नहीं, आपका गेस्ट WiFi इन्फ्रास्ट्रक्चर एंटरप्राइज़-ग्रेड 802.1X सिद्धांतों पर बनाया जाना चाहिए — साझा PSK पर नहीं। यदि आप इनमें से किसी पर भी गहराई से जाना चाहते हैं — RADIUS आर्किटेक्चर, EAP-TLS के लिए PKI डिज़ाइन, या Purple जैसे प्लेटफ़ॉर्म eduroam और OpenRoaming के साथ कैसे एकीकृत होते हैं — तो पूरी लिखित गाइड शो नोट्स में लिंक की गई है। सुनने के लिए धन्यवाद। अगली बार तक। --- स्क्रिप्ट का अंत

header_image.png

कार्यकारी सारांश

उच्च शिक्षा संस्थानों और उनके छात्रों व कर्मचारियों की मेज़बानी करने वाले स्थानों के लिए, सुरक्षित और निर्बाध वायरलेस कनेक्टिविटी प्रदान करना अब कोई विलासिता नहीं है—यह एक परिचालन अनिवार्यता है। इस कनेक्टिविटी का मानक eduroam है, जो IEEE 802.1X फ्रेमवर्क पर निर्मित एक वैश्विक रोमिंग सेवा है।

यह गाइड IT प्रबंधकों, नेटवर्क आर्किटेक्ट्स और वेन्यू ऑपरेशंस निदेशकों को 802.1X और eduroam को समझने, तैनात करने और ट्रबलशूट करने के लिए एक व्यापक, वेंडर-न्यूट्रल संदर्भ प्रदान करती है। हम बुनियादी सैद्धांतिक मॉडलों से आगे बढ़कर एंटरप्राइज़ कैंपस WiFi की व्यावहारिक वास्तविकताओं को संबोधित करते हैं, जिसमें प्रमाणपत्र प्रबंधन, RADIUS प्रॉक्सी आर्किटेक्चर और व्यापक गेस्ट नेटवर्क रणनीतियों के साथ एकीकरण शामिल है।

चाहे आप किसी पुराने विश्वविद्यालय नेटवर्क को अपग्रेड कर रहे हों या अकादमिक आगंतुकों का समर्थन करने के लिए किसी सम्मेलन केंद्र को कॉन्फ़िगर कर रहे हों, 802.1X को सही ढंग से लागू करने से महत्वपूर्ण सुरक्षा जोखिम—विशेष रूप से क्रेडेंशियल चोरी—कम हो जाते हैं, जबकि सपोर्ट ओवरहेड में भारी कमी आती है। पारंपरिक उच्च शिक्षा के बाहर के स्थानों के लिए, OpenRoaming जैसे वाणिज्यिक रोमिंग फेडरेशन का मूल्यांकन करने के लिए इन मानकों को समझना महत्वपूर्ण है, जो समान अंतर्निहित आर्किटेक्चर साझा करते हैं।

तकनीकी डीप-डाइव: 802.1X और eduroam आर्किटेक्चर

मूल रूप से, eduroam IEEE 802.1X का एक कार्यान्वयन है, जो पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल का मानक है। हालांकि इसे मूल रूप से वायर्ड नेटवर्क के लिए डिज़ाइन किया गया था, 802.1X WPA2-Enterprise और WPA3-Enterprise सुरक्षा की नींव बनाता है。

802.1X त्रिकोण

802.1X फ्रेमवर्क एक्सेस को अधिकृत करने के लिए परस्पर क्रिया करने वाले तीन अलग-अलग घटकों पर निर्भर करता है:

  1. सप्लिकेंट (Supplicant): नेटवर्क एक्सेस का अनुरोध करने वाला क्लाइंट डिवाइस (जैसे, किसी छात्र का लैपटॉप या स्मार्टफोन)।
  2. ऑथेंटिकेटर (Authenticator): नेटवर्क एक्सेस डिवाइस (जैसे, वायरलेस एक्सेस पॉइंट या मैनेज्ड स्विच)। यह एक द्वारपाल के रूप में कार्य करता है, जो डिवाइस के अधिकृत होने तक प्रमाणीकरण संदेशों को छोड़कर सभी ट्रैफ़िक को ब्लॉक करता है।
  3. ऑथेंटिकेशन सर्वर (Authentication Server): बैकएंड सिस्टम जो क्रेडेंशियल्स को मान्य करता है, लगभग सार्वभौमिक रूप से एक RADIUS (रिमोट ऑथेंटिकेशन डायल-इन यूज़र सर्विस) सर्वर।

जब कोई डिवाइस कनेक्ट होता है, तो ऑथेंटिकेटर एक नियंत्रित पोर्ट स्थापित करता है। यह सप्लिकेंट और ऑथेंटिकेशन सर्वर के बीच एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल (EAP) संदेशों को पास करता है। यदि क्रेडेंशियल मान्य हैं, तो सर्वर एक RADIUS Access-Accept संदेश लौटाता है, और ऑथेंटिकेटर मानक IP ट्रैफ़िक के लिए पोर्ट खोल देता है।

architecture_overview.png

eduroam RADIUS प्रॉक्सी पदानुक्रम

जो बात eduroam को अद्वितीय बनाती है, वह इसका फेडरेटेड आर्किटेक्चर है। यह उपयोगकर्ताओं को अपने होम क्रेडेंशियल्स का उपयोग करके किसी भी भाग लेने वाले संस्थान में प्रमाणित करने की अनुमति देता है, बिना होस्ट संस्थान को उन क्रेडेंशियल्स की एक प्रति की आवश्यकता के।

यह एक पदानुक्रमित RADIUS प्रॉक्सी चेन के माध्यम से प्राप्त किया जाता है। जब username@university.ac.uk का कोई उपयोगकर्ता किसी होस्ट स्थान पर eduroam SSID से कनेक्ट होता है:

  1. उपयोगकर्ता का डिवाइस username@university.ac.uk प्रारूप में एक प्रमाणीकरण अनुरोध भेजता है।
  2. होस्ट स्थान का RADIUS सर्वर डोमेन (realm) (@ के बाद का भाग) की जांच करता है। इसे एक बाहरी डोमेन के रूप में पहचानते हुए, यह राष्ट्रीय शीर्ष-स्तरीय RADIUS सर्वर (नेशनल रिसर्च एंड एजुकेशन नेटवर्क, या NREN द्वारा संचालित) को अनुरोध प्रॉक्सी करता है।
  3. राष्ट्रीय सर्वर अनुरोध को होम संस्थान के RADIUS सर्वर (university.ac.uk) पर रूट करता है。
  4. होम संस्थान क्रेडेंशियल्स को मान्य करता है और चेन के नीचे एक Access-Accept या Access-Reject संदेश लौटाता है।

यह पूरी प्रक्रिया आमतौर पर दो सेकंड से भी कम समय में पूरी हो जाती है। महत्वपूर्ण बात यह है कि उपयोगकर्ता का पासवर्ड कभी भी होस्ट संस्थान या मध्यवर्ती प्रॉक्सी के सामने उजागर नहीं होता है; यह सप्लिकेंट और होम RADIUS सर्वर के बीच सीधे स्थापित एक एन्क्रिप्टेड EAP टनल के भीतर सुरक्षित रहता है।

EAP विधियाँ: सुरक्षा बनाम परिनियोजन

EAP विधि का चुनाव यह निर्धारित करता है कि एन्क्रिप्टेड टनल कैसे बनती है और क्रेडेंशियल्स का आदान-प्रदान कैसे होता है। eduroam पॉलिसी सर्विस डेफिनिशन सुरक्षा सुनिश्चित करने के लिए अनुमत विधियों को सख्ती से प्रतिबंधित करता है।

  • PEAP (Protected EAP): सबसे आम परिनियोजन। यह RADIUS सर्वर पर सर्वर-साइड प्रमाणपत्र का उपयोग करके एक TLS टनल स्थापित करता है। क्लाइंट फिर इस टनल के अंदर प्रमाणित होता है, आमतौर पर MSCHAPv2 (उपयोगकर्ता नाम और पासवर्ड) का उपयोग करके। इसे तैनात करना अपेक्षाकृत आसान है, लेकिन यदि क्लाइंट्स को सर्वर प्रमाणपत्र को सख्ती से मान्य करने के लिए कॉन्फ़िगर नहीं किया गया है, तो यह दुष्ट (rogue) एक्सेस पॉइंट हमलों के प्रति संवेदनशील है।
  • EAP-TLS: सुरक्षा के लिए स्वर्ण मानक। इसके लिए पारस्परिक प्रमाणीकरण की आवश्यकता होती है, जिसका अर्थ है कि RADIUS सर्वर और क्लाइंट डिवाइस दोनों को वैध प्रमाणपत्र प्रस्तुत करने होंगे। हालांकि यह क्रेडेंशियल फ़िशिंग से सुरक्षित है, क्लाइंट प्रमाणपत्र जारी करने और प्रबंधित करने के लिए इसे एक मजबूत पब्लिक की इन्फ्रास्ट्रक्चर (PKI) की आवश्यकता होती है, जिससे इसे बड़े पैमाने पर तैनात करना अधिक जटिल हो जाता है।

कार्यान्वयन गाइड

802.1X और eduroam को तैनात करने के लिए नेटवर्क इन्फ्रास्ट्रक्चर, पहचान प्रबंधन और क्लाइंट कॉन्फ़िगरेशन के बीच सावधानीपूर्वक समन्वय की आवश्यकता होती है।

1. इन्फ्रास्ट्रक्चर की तैयारी

सुनिश्चित करें कि आपके वायरलेस एक्सेस पॉइंट और कंट्रोलर WPA2-Enterprise/WPA3-Enterprise और 802.1X का समर्थन करते हैं। कोई भी आधुनिक एंटरप्राइज़-ग्रेड हार्डवेयर (Cisco, Aruba, Juniper, आदि) इस आवश्यकता को पूरा करेगा। आपको अपेक्षित प्रमाणीकरण लोड और प्रॉक्सी अनुरोधों को संभालने में सक्षम एक मजबूत RADIUS इन्फ्रास्ट्रक्चर (जैसे, FreeRADIUS, Cisco ISE, Aruba ClearPass) भी तैनात करना होगा।

2. प्रमाणपत्र प्रबंधन

PEAP परिनियोजन के लिए, आपके RADIUS सर्वर को आपके क्लाइंट्स द्वारा विश्वसनीय प्रमाणपत्र प्राधिकरण (CA) द्वारा जारी TLS प्रमाणपत्र की आवश्यकता होती है। उत्पादन eduroam परिनियोजन के लिए स्व-हस्ताक्षरित (self-signed) प्रमाणपत्रों का उपयोग न करें। प्रमाणीकरण आउटेज को रोकने के लिए प्रमाणपत्र को नियमित रूप से नवीनीकृत किया जाना चाहिए।

3. क्लाइंट कॉन्फ़िगरेशन (CAT टूल)

eduroam परिनियोजन में विफलता का सबसे आम कारण क्लाइंट मिसकॉन्फ़िगरेशन है। मैन्युअल रूप से कनेक्ट होने वाले उपयोगकर्ता अक्सर प्रमाणपत्र सत्यापन को कॉन्फ़िगर करने में विफल रहते हैं, जिससे वे क्रेडेंशियल हार्वेस्टिंग के प्रति संवेदनशील हो जाते हैं।

इसे कम करने के लिए, संस्थानों को पूर्व-कॉन्फ़िगर किए गए प्रोफ़ाइल वितरित करने के लिए eduroam Configuration Assistant Tool (CAT) या MDM समाधान का उपयोग करना चाहिए। ये प्रोफ़ाइल स्वचालित रूप से सही EAP विधि को कॉन्फ़िगर करते हैं, अपेक्षित RADIUS सर्वर प्रमाणपत्र को पिन करते हैं, और उपयुक्त आंतरिक प्रमाणीकरण प्रोटोकॉल सेट करते हैं।

4. VLAN असाइनमेंट और सेगमेंटेशन

एक परिपक्व परिनियोजन उपयोगकर्ता की पहचान के आधार पर गतिशील रूप से VLAN असाइन करने के लिए RADIUS विशेषताओं का उपयोग करता है।

  • होम यूज़र्स: कैंपस संसाधनों तक उचित पहुंच के साथ आंतरिक VLAN को असाइन किए गए।
  • विज़िटिंग यूज़र्स: केवल इंटरनेट एक्सेस वाले प्रतिबंधित गेस्ट VLAN को असाइन किए गए।

यह सेगमेंटेशन सुरक्षा और अनुपालन के लिए महत्वपूर्ण है, यह सुनिश्चित करते हुए कि विज़िटिंग डिवाइस संवेदनशील आंतरिक नेटवर्क तक नहीं पहुंच सकते।

comparison_chart.png

सर्वोत्तम प्रथाएँ और वेंडर-न्यूट्रल सिफ़ारिशें

  • WPA3 को प्राथमिकता दें: नए परिनियोजन के लिए, अनिवार्य 192-बिट एन्क्रिप्शन और ऑफ़लाइन डिक्शनरी हमलों के खिलाफ बेहतर सुरक्षा का लाभ उठाने के लिए WPA3-Enterprise सक्षम करें।
  • प्रमाणपत्र सत्यापन लागू करें: यह सुनिश्चित करने के लिए कि सप्लिकेंट क्रेडेंशियल प्रसारित करने से पहले RADIUS सर्वर प्रमाणपत्र को सख्ती से मान्य करते हैं, कॉन्फ़िगरेशन प्रोफ़ाइल (CAT या MDM के माध्यम से) के उपयोग को अनिवार्य करें।
  • RadSec का उपयोग करें: राष्ट्रीय फेडरेशन के लिए RADIUS प्रॉक्सी कनेक्शन कॉन्फ़िगर करते समय, सादे UDP के बजाय RadSec (TLS पर RADIUS) का उपयोग करें। यह प्रॉक्सी ट्रैफ़िक को एन्क्रिप्ट करता है और WAN लिंक पर विश्वसनीयता में सुधार करता है।
  • गेस्ट समाधानों के साथ एकीकृत करें: eduroam केवल अकादमिक क्रेडेंशियल्स वाले उपयोगकर्ताओं को सेवा प्रदान करता है। आपको ठेकेदारों, सार्वजनिक आगंतुकों और इवेंट में भाग लेने वालों के लिए एक अलग, सुरक्षित Guest WiFi समाधान बनाए रखना होगा।
  • संबंधित इन्फ्रास्ट्रक्चर की समीक्षा करें: सुनिश्चित करें कि आपका अंतर्निहित नेटवर्क सुरक्षित है। अधिक जानकारी के लिए Protect Your Network with Strong DNS and Security पर हमारी गाइड पढ़ें। यदि विश्वविद्यालय के कार्यक्रमों के लिए अस्थायी इन्फ्रास्ट्रक्चर तैनात कर रहे हैं, तो Event WiFi: Planning and Deploying Temporary Wireless Networks या पुर्तगाली संस्करण Event WiFi: Planeamento e Implementação de Redes Sem Fios Temporárias देखें।

ट्रबलशूटिंग और जोखिम न्यूनीकरण

जब प्रमाणीकरण विफल हो जाता है, तो व्यवस्थित ट्रबलशूटिंग आवश्यक है।

  1. विफलता डोमेन को अलग करें: निर्धारित करें कि क्या विफलता स्थानीय है (आपके अपने नेटवर्क पर आपके अपने उपयोगकर्ताओं को प्रभावित कर रही है), दूरस्थ है (आपके उपयोगकर्ताओं को कहीं और प्रभावित कर रही है), या इनबाउंड है (आपके नेटवर्क पर आगंतुकों को प्रभावित कर रही है)।
  2. RADIUS लॉग जांचें: RADIUS सर्वर लॉग सच्चाई का निश्चित स्रोत हैं। Access-Reject संदेश (खराब क्रेडेंशियल्स या नीति उल्लंघन का संकेत) या टाइमआउट (प्रॉक्सी कनेक्टिविटी समस्याओं का संकेत) खोजें।
  3. प्रमाणपत्र की वैधता सत्यापित करें: सुनिश्चित करें कि RADIUS सर्वर प्रमाणपत्र समाप्त नहीं हुआ है और पूरी प्रमाणपत्र श्रृंखला क्लाइंट को प्रस्तुत की जा रही है।
  4. अपस्ट्रीम लेटेंसी की निगरानी करें: राष्ट्रीय RADIUS प्रॉक्सी के कनेक्शन पर उच्च लेटेंसी क्लाइंट टाइमआउट का कारण बन सकती है, जिसके परिणामस्वरूप सही क्रेडेंशियल्स के साथ भी कनेक्शन विफल हो सकते हैं।

ROI और व्यावसायिक प्रभाव

उच्च शिक्षा संस्थानों के लिए, एक उचित eduroam परिनियोजन का ROI काफी कम हुए सपोर्ट टिकटों में मापा जाता है। Captive Portal और मैन्युअल पासवर्ड प्रविष्टि को समाप्त करके, IT हेल्पडेस्क कनेक्टिविटी से संबंधित कॉलों में भारी गिरावट देखते हैं। (इस क्षेत्र के प्रति Purple की प्रतिबद्धता स्पष्ट है; देखें Purple Signals Higher Education Ambitions with Appointment of VP Education Tim Peers )।

वाणिज्यिक स्थानों के लिए—जैसे कि Hospitality , Retail , Healthcare , या Transport में—eduroam Visitor Access (eVA) या OpenRoaming जैसे समान फेडरेशन का समर्थन करना उच्च-मूल्य वाले जनसांख्यिकी के लिए एक घर्षण रहित अनुभव प्रदान करता है। यह सुनिश्चित करता है कि अकादमिक आगंतुक स्वचालित रूप से और सुरक्षित रूप से जुड़ सकें, जिससे संतुष्टि में सुधार होता है जबकि स्थान को सख्त नेटवर्क सेगमेंटेशन बनाए रखने की अनुमति मिलती है। यदि आपके स्थान को इसका समर्थन करने के लिए समर्पित बैंडविड्थ की आवश्यकता है, तो What Is a Leased Line? Dedicated Business Internet पढ़ने पर विचार करें।

नेटवर्क अपग्रेड की योजना बनाते समय, 802.1X क्षमताओं को एकीकृत करना यह सुनिश्चित करता है कि इन्फ्रास्ट्रक्चर आधुनिक पहचान-संचालित नेटवर्किंग के लिए तैयार है, जो उन्नत WiFi Analytics और स्थान-आधारित सेवाओं के लिए आधार तैयार करता है।

मुख्य परिभाषाएं

802.1X

पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल (PNAC) के लिए एक IEEE मानक। यह LAN या WLAN से जुड़ने के इच्छुक डिवाइसों को एक प्रमाणीकरण तंत्र प्रदान करता है।

एंटरप्राइज़-ग्रेड WiFi सुरक्षा के लिए मूलभूत प्रोटोकॉल, साझा पासवर्ड (PSK) को व्यक्तिगत प्रमाणीकरण के साथ बदलना।

RADIUS (Remote Authentication Dial-In User Service)

एक नेटवर्किंग प्रोटोकॉल जो नेटवर्क सेवा से जुड़ने और उसका उपयोग करने वाले उपयोगकर्ताओं के लिए केंद्रीकृत प्रमाणीकरण, प्राधिकरण और लेखांकन (AAA) प्रबंधन प्रदान करता है।

802.1X परिनियोजन में बैकएंड सर्वर जो वास्तव में एक निर्देशिका (जैसे Active Directory) के विरुद्ध उपयोगकर्ता के क्रेडेंशियल्स की जांच करता है।

EAP (Extensible Authentication Protocol)

वायरलेस नेटवर्क और पॉइंट-टू-पॉइंट कनेक्शन में अक्सर उपयोग किया जाने वाला एक प्रमाणीकरण ढांचा। यह विभिन्न प्रमाणीकरण तंत्रों के परिवहन और उपयोग के लिए प्रदान करता है।

802.1X हैंडशेक के दौरान क्लाइंट डिवाइस और RADIUS सर्वर के बीच बोली जाने वाली भाषा।

Supplicant

क्लाइंट डिवाइस (जैसे, लैपटॉप, स्मार्टफोन) या उस डिवाइस पर सॉफ़्टवेयर जो 802.1X का उपयोग करके नेटवर्क पर प्रमाणित करने का प्रयास कर रहा है।

एक्सेस का अनुरोध करने वाली इकाई। इसका कॉन्फ़िगरेशन (विशेष रूप से प्रमाणपत्र सत्यापन के संबंध में) सुरक्षा के लिए महत्वपूर्ण है।

Authenticator

नेटवर्क डिवाइस (जैसे, वायरलेस एक्सेस पॉइंट, ईथरनेट स्विच) जो सप्लिकेंट और ऑथेंटिकेशन सर्वर के बीच संदेश पास करके 802.1X प्रमाणीकरण प्रक्रिया को सुविधाजनक बनाता है।

द्वारपाल जो RADIUS सर्वर द्वारा हरी झंडी दिए जाने तक नेटवर्क ट्रैफ़िक को ब्लॉक करता है।

PEAP (Protected Extensible Authentication Protocol)

एक EAP विधि जो सर्वर-साइड प्रमाणपत्र का उपयोग करके स्थापित TLS टनल के भीतर EAP लेनदेन को एनकैप्सुलेट करती है, जो आंतरिक प्रमाणीकरण (आमतौर पर एक पासवर्ड) की रक्षा करती है।

eduroam के लिए सबसे आम प्रमाणीकरण विधि, जो परिनियोजन में आसानी के साथ सुरक्षा को संतुलित करती है।

RadSec

पारंपरिक UDP के बजाय TCP और TLS पर RADIUS डेटा प्रसारित करने के लिए एक प्रोटोकॉल।

संस्थानों और राष्ट्रीय eduroam फेडरेशन के बीच प्रॉक्सी कनेक्शन को सुरक्षित करने के लिए अनुशंसित, प्रमाणीकरण ट्रैफ़िक के अवरोधन को रोकना।

Realm

'@' प्रतीक के बाद उपयोगकर्ता की पहचान का हिस्सा (जैसे, 'user@university.ac.uk' में 'university.ac.uk')।

eduroam जैसे फेडरेटेड वातावरण में प्रमाणीकरण अनुरोध को कहां रूट करना है, यह निर्धारित करने के लिए RADIUS प्रॉक्सी सर्वर द्वारा उपयोग किया जाता है।

हल किए गए उदाहरण

एक प्रमुख विश्वविद्यालय के निकट 400 कमरों वाला एक सम्मेलन होटल अक्सर अकादमिक संगोष्ठियों की मेज़बानी करता है। IT निदेशक चाहते हैं कि विज़िटिंग शिक्षाविद होटल के मानक Captive Portal का उपयोग किए बिना स्वचालित रूप से कनेक्ट हो सकें, लेकिन यह सुनिश्चित करना चाहिए कि ये आगंतुक होटल के कॉर्पोरेट नेटवर्क या मानक गेस्ट नेटवर्क VLAN तक नहीं पहुंच सकें।

होटल को eduroam Visitor Access (eVA) लागू करना चाहिए या OpenRoaming जैसे वाणिज्यिक फेडरेशन में शामिल होना चाहिए।

  1. होटल अपने एंटरप्राइज़ एक्सेस पॉइंट पर एक नया SSID ('eduroam' या 'OpenRoaming') कॉन्फ़िगर करता है।
  2. AP को WPA2-Enterprise/802.1X का उपयोग करने के लिए कॉन्फ़िगर किया गया है।
  3. होटल बाहरी डोमेन के लिए प्रमाणीकरण अनुरोधों को राष्ट्रीय फेडरेशन (eduroam के लिए) या OpenRoaming हब में प्रॉक्सी करने के लिए कॉन्फ़िगर किया गया एक स्थानीय RADIUS सर्वर तैनात करता है।
  4. महत्वपूर्ण रूप से, स्थानीय RADIUS सर्वर को सभी प्रॉक्सी किए गए प्रमाणीकरणों के लिए Access-Accept संदेश में एक विशिष्ट VLAN ID विशेषता वापस करने के लिए कॉन्फ़िगर किया गया है।
  5. एक्सेस पॉइंट इन प्रमाणित उपयोगकर्ताओं को एक अलग, केवल-इंटरनेट VLAN पर रखते हैं, जो होटल के कॉर्पोरेट और मानक गेस्ट ट्रैफ़िक से पूरी तरह से अलग होता है।
परीक्षक की टिप्पणी: यह दृष्टिकोण आगंतुकों के होम संस्थानों में प्रमाणीकरण को ऑफ़लोड करने के लिए RADIUS प्रॉक्सी आर्किटेक्चर का सही ढंग से लाभ उठाता है। RADIUS विशेषताओं के माध्यम से डायनामिक VLAN असाइनमेंट का उपयोग करके, होटल घर्षण रहित उपयोगकर्ता अनुभव प्रदान करते हुए सुरक्षा आवश्यकताओं को पूरा करते हुए सख्त नेटवर्क सेगमेंटेशन बनाए रखता है।

एक विश्वविद्यालय की IT टीम को समझौता किए गए छात्र खातों में वृद्धि दिखाई देती है। जांच से पता चलता है कि छात्र एक स्थानीय कॉफी शॉप में 'eduroam' SSID प्रसारित करने वाले एक दुष्ट (rogue) एक्सेस पॉइंट से जुड़ रहे हैं। दुष्ट AP PEAP के माध्यम से क्रेडेंशियल हार्वेस्ट करने के लिए स्व-हस्ताक्षरित प्रमाणपत्र का उपयोग कर रहा है।

IT टीम को तुरंत सभी क्लाइंट डिवाइसों पर सख्त प्रमाणपत्र सत्यापन लागू करना चाहिए।

  1. उन्हें छात्रों को मैन्युअल रूप से SSID से कनेक्ट करने और 'प्रमाणपत्र चेतावनी स्वीकार करने' की सलाह देना बंद करना चाहिए।
  2. वे BYOD डिवाइसों के लिए eduroam Configuration Assistant Tool (CAT) तैनात करते हैं और प्रबंधित डिवाइसों के लिए MDM प्रोफ़ाइल अपडेट करते हैं।
  3. ये प्रोफ़ाइल सप्लिकेंट को केवल उस विशिष्ट प्रमाणपत्र प्राधिकरण (CA) पर भरोसा करने के लिए कॉन्फ़िगर करते हैं जिसने विश्वविद्यालय का RADIUS सर्वर प्रमाणपत्र जारी किया था, और सर्वर के सामान्य नाम (CN) को सत्यापित करने के लिए।
  4. एक बार कॉन्फ़िगर हो जाने पर, यदि किसी छात्र का डिवाइस दुष्ट AP का सामना करता है, तो EAP टनल की स्थापना विफल हो जाएगी क्योंकि दुष्ट प्रमाणपत्र पिन किए गए CA/CN से मेल नहीं खाता है, जिससे क्रेडेंशियल्स का प्रसारण रुक जाता है।
परीक्षक की टिप्पणी: यह परिदृश्य PEAP परिनियोजन में सबसे महत्वपूर्ण भेद्यता को उजागर करता है। समाधान सही ढंग से पहचानता है कि फिक्स क्लाइंट-साइड कॉन्फ़िगरेशन है। नकली प्रमाणपत्रों को पहचानने के लिए उपयोगकर्ता शिक्षा पर निर्भर रहना अप्रभावी है; तकनीकी नियंत्रण (प्रोफ़ाइल पिनिंग) अनिवार्य हैं।

एक रिटेल चेन अपने मौजूदा गेस्ट WiFi इन्फ्रास्ट्रक्चर का उपयोग करके 50 स्थानों पर OpenRoaming की पेशकश करना चाहती है, जो वर्तमान में Captive Portal के साथ एक खुले SSID पर निर्भर है।

रिटेल चेन को 802.1X और RADIUS प्रॉक्सीइंग का समर्थन करने के लिए अपने नेटवर्क को अपग्रेड करना होगा।

  1. नेटवर्क टीम OpenRoaming कंसोर्टियम OI (ऑर्गनाइज़ेशन आइडेंटिफ़ायर) प्रसारित करने वाला एक नया SSID सक्षम करती है।
  2. वे 802.1X के माध्यम से प्रमाणित करने के लिए एक्सेस पॉइंट कॉन्फ़िगर करते हैं।
  3. वे OpenRoaming फेडरेशन हब में अनुरोधों को प्रॉक्सी करने के लिए अपने केंद्रीय RADIUS सर्वर को कॉन्फ़िगर करते हैं।
  4. वे सुनिश्चित करते हैं कि उनका इंटरनेट बैकहॉल स्वचालित कनेक्शन में अपेक्षित वृद्धि का समर्थन कर सकता है, यदि आवश्यक हो तो संभावित रूप से समर्पित लीज़्ड लाइनों में अपग्रेड कर सकता है।
परीक्षक की टिप्पणी: यह इस बात पर प्रकाश डालता है कि Captive Portal से फेडरेटेड 802.1X मॉडल में जाने के लिए मूलभूत वास्तुशिल्प परिवर्तनों की आवश्यकता होती है, विशेष रूप से RADIUS प्रॉक्सीइंग का कार्यान्वयन और बढ़े हुए स्वचालित कनेक्शनों को संभालने की क्षमता।

अभ्यास प्रश्न

Q1. आपका विश्वविद्यालय एक नया वायरलेस नेटवर्क तैनात कर रहा है। CISO का आदेश है कि दुष्ट एक्सेस पॉइंट के माध्यम से क्रेडेंशियल फ़िशिंग गणितीय रूप से असंभव होनी चाहिए। आपको कौन सी EAP विधि चुननी चाहिए?

संकेत: विचार करें कि कौन सी विधि पासवर्ड पर निर्भर करती है बनाम कौन सी पूरी तरह से क्रिप्टोग्राफ़िक कुंजियों पर निर्भर करती है।

मॉडल उत्तर देखें

आपको EAP-TLS का चयन करना होगा। PEAP के विपरीत, जो TLS टनल के अंदर पासवर्ड पर निर्भर करता है, EAP-TLS को पारस्परिक प्रमाणपत्र प्रमाणीकरण की आवश्यकता होती है। चूंकि क्लाइंट डिवाइस पासवर्ड के बजाय क्रिप्टोग्राफ़िक प्रमाणपत्र का उपयोग करके प्रमाणित करता है, इसलिए दुष्ट एक्सेस पॉइंट के लिए फ़िश करने के लिए कोई क्रेडेंशियल नहीं होते हैं।

Q2. किसी अन्य विश्वविद्यालय का एक विज़िटिंग शोधकर्ता शिकायत करता है कि वे आपके eduroam नेटवर्क से कनेक्ट नहीं हो सकते हैं। आपके स्थानीय उपयोगकर्ता ठीक से कनेक्ट हो रहे हैं। आप अपने स्थानीय RADIUS सर्वर लॉग की जांच करते हैं और देखते हैं कि अनुरोध आ रहा है, लेकिन Access-Accept प्राप्त होने से पहले यह टाइम आउट हो जाता है। इसका सबसे संभावित कारण क्या है?

संकेत: विज़िटिंग उपयोगकर्ता बनाम स्थानीय उपयोगकर्ता के लिए प्रमाणीकरण अनुरोध द्वारा लिए जाने वाले पथ के बारे में सोचें।

मॉडल उत्तर देखें

सबसे संभावित कारण आपके स्थानीय RADIUS सर्वर और राष्ट्रीय NREN RADIUS प्रॉक्सी के बीच कनेक्टिविटी या लेटेंसी की समस्या है। चूंकि स्थानीय उपयोगकर्ता सीधे आपके सर्वर के विरुद्ध प्रमाणित होते हैं, इसलिए वे अप्रभावित रहते हैं। विज़िटिंग उपयोगकर्ता के अनुरोध को अपस्ट्रीम प्रॉक्सी किया जाना चाहिए, और एक टाइमआउट इंगित करता है कि होम संस्थान से प्रतिक्रिया समय पर वापस नहीं आ रही है।

Q3. आप एक बड़े विश्वविद्यालय के पास स्थित रिटेल चेन के लिए एक नेटवर्क आर्किटेक्ट हैं। आप eduroam Visitor Access (eVA) का उपयोग करके छात्रों को निर्बाध WiFi प्रदान करना चाहते हैं, लेकिन आपको अपने पॉइंट-ऑफ़-सेल टर्मिनलों के लिए PCI DSS का अनुपालन करना होगा। आप eVA को सुरक्षित रूप से कैसे एकीकृत करते हैं?

संकेत: 802.1X प्रमाणीकरण के बाद नेटवर्क एक्सेस पॉइंट को ट्रैफ़िक में अंतर करने की अनुमति कैसे देता है?

मॉडल उत्तर देखें

आप अपने RADIUS सर्वर को सभी सफल eVA प्रमाणीकरणों को एक समर्पित, केवल-इंटरनेट गेस्ट VLAN को असाइन करने के लिए कॉन्फ़िगर करके eVA को एकीकृत करते हैं। RADIUS सर्वर से Access-Accept संदेश में विशिष्ट VLAN ID शामिल होना चाहिए। यह सुनिश्चित करता है कि छात्र डिवाइस पॉइंट-ऑफ़-सेल टर्मिनलों द्वारा उपयोग किए जाने वाले PCI-अनुपालक VLAN से पूरी तरह से अलग हैं, जो अनुपालन आवश्यकताओं को पूरा करते हैं।

इस श्रृंखला में आगे पढ़ें

विक्रेता द्वारा प्रति-डिवाइस PSK: iPSK, DPSK, MPSK और PPSK की तुलना (और WPA3 सपोर्ट)

Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet, और Ubiquiti UniFi में प्रति-डिवाइस PSK इम्प्लीमेंटेशन की एक व्यापक तुलना। जानें कि WPA3-SAE प्रति-डिवाइस की (key) रणनीतियों को कैसे प्रभावित करता है और कब ट्रांज़िशन मोड को तैनात करना चाहिए बनाम 802.1X पर जाना चाहिए।

गाइड पढ़ें →

कैप्टिव पोर्टल प्रमाणीकरण विधियों की तुलना

यह आधिकारिक तकनीकी संदर्भ गाइड पांच मुख्य कैप्टिव पोर्टल प्रमाणीकरण विधियों के आर्किटेक्चरल, परिचालन और अनुपालन से जुड़े समझौतों (trade-offs) का मूल्यांकन करती है। यह नेटवर्क आर्किटेक्ट्स, IT निदेशकों और मार्केटिंग प्रबंधकों को एंटरप्राइज वेन्यू में डेटा-संग्रह आवश्यकताओं के साथ गेस्ट ऑनबोर्डिंग घर्षण को संतुलित करने के लिए आवश्यक मात्रात्मक डेटा और निर्णय ढांचे प्रदान करती है।

गाइड पढ़ें →

MAC एड्रेस ऑथेंटिकेशन क्या है? इसका उपयोग कब करें और इससे कब बचें

यह आधिकारिक तकनीकी संदर्भ गाइड एंटरप्राइज़ WiFi वातावरण में MAC एड्रेस ऑथेंटिकेशन को कवर करती है — कैसे RADIUS-आधारित MAC ऑथेंटिकेशन लेयर 2 पर काम करता है, इसकी अंतर्निहित सुरक्षा कमजोरियां (जिसमें MAC स्पूफिंग और OS-स्तरीय MAC रैंडमाइजेशन का प्रभाव शामिल है), और सटीक परिचालन संदर्भ जहां यह IoT और हेडलेस डिवाइसों के प्रबंधन के लिए एक वैध उपकरण बना हुआ है। यह हॉस्पिटैलिटी, रिटेल, हेल्थकेयर और सार्वजनिक क्षेत्र के परिसरों में IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए व्यावहारिक परिनियोजन मार्गदर्शन प्रदान करता है, जिसमें वास्तविक दुनिया के व्यावहारिक उदाहरण, निर्णय ढांचे और Purple के गेस्ट WiFi और एनालिटिक्स प्लेटफॉर्म के लिए एकीकरण संदर्भ शामिल हैं।

गाइड पढ़ें →