मुख्य सामग्री पर जाएं

eduroam और 802.1X: उच्च शिक्षा के लिए सुरक्षित WiFi प्रमाणीकरण

यह आधिकारिक तकनीकी संदर्भ मार्गदर्शिका eduroam और 802.1X प्रमाणीकरण के आर्किटेक्चर, परिनियोजन और सुरक्षा की व्याख्या करती है। IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए डिज़ाइन की गई, यह व्यावहारिक कार्यान्वयन चरणों, EAP विधि चयन, और स्थल संचालक सुरक्षित रूप से शैक्षणिक रोमिंग का समर्थन कैसे कर सकते हैं, इस पर चर्चा करती है।

📖 6 मिनट का पाठ📝 1,343 शब्द🔧 3 हल किए गए उदाहरण3 अभ्यास प्रश्न📚 8 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें
पॉडकास्ट स्क्रिप्ट: eduroam और 802.1X - उच्च शिक्षा के लिए सुरक्षित WiFi प्रमाणीकरण रनटाइम: लगभग 10 मिनट आवाज: UK English, पुरुष, वरिष्ठ सलाहकार का लहजा - आत्मविश्वासी, संवादात्मक, आधिकारिक --- [परिचय - 1 मिनट] वापस स्वागत है। मैं अगले दस मिनट आपको eduroam और 802.1X के बारे में बताने में बिताऊंगा - वे क्या हैं, वे वास्तव में कैसे काम करते हैं, और आपकी टीम को इन्हें लागू करने या एकीकृत करने से पहले क्या जानने की आवश्यकता है। यदि आप किसी विश्वविद्यालय, कॉलेज, या अनुसंधान संस्थान में IT प्रबंधक, नेटवर्क आर्किटेक्ट, या CTO हैं - या यदि आप एक वेन्यू ऑपरेटर हैं जिन्हें यह समझने की आवश्यकता है कि आपके शैक्षणिक आगंतुक आपके वायरलेस इंफ्रास्ट्रक्चर से क्या उम्मीद कर रहे हैं - तो यह ब्रीफिंग आपके लिए ही है। आइए बड़े परिदृश्य से शुरुआत करें। eduroam का अर्थ है "education roaming"। यह एक वैश्विक WiFi रोमिंग सेवा है जो सदस्य संस्थानों के छात्रों, शोधकर्ताओं और कर्मचारियों को किसी भी भागीदार वेन्यू पर इंटरनेट से जुड़ने की अनुमति देती है - स्वचालित रूप से, सुरक्षित रूप से, उनके गृह संस्थान के क्रेडेंशियल्स का उपयोग करके। कोई गेस्ट पोर्टल नहीं। कोई वाउचर कोड नहीं। फ्रंट डेस्क से पासवर्ड मांगने की कोई आवश्यकता नहीं। यह 2003 से चल रहा है, यह अब 100 से अधिक देशों में 10,000 से अधिक संस्थानों को कवर करता है, और यह दुनिया भर में उच्च शिक्षा में कैंपस वायरलेस नेटवर्किंग के लिए वास्तविक मानक है। यदि आपका संगठन विश्वविद्यालयों से जुड़ा है - चाहे आप किसी कैंपस के पास होटल हों, शैक्षणिक कार्यक्रमों की मेजबानी करने वाले कॉन्फ्रेंस सेंटर हों, या किसी विश्वविद्यालय शहर में सार्वजनिक पुस्तकालय हों - eduroam को समझना आपकी नेटवर्क रणनीति के लिए सीधे तौर पर प्रासंगिक है। --- [तकनीकी गहन विश्लेषण - 5 मिनट] ठीक है। आइए इसकी कार्यप्रणाली को समझते हैं। eduroam को IEEE 802.1X के ऊपर बनाया गया है - जो पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल मानक है। 802.1X उन उपकरणों को प्रमाणित करने के लिए एक ढांचा परिभाषित करता है जिन्हें नेटवर्क तक पहुंच दी जाती है। इसे मूल रूप से वायर्ड ईथरनेट के लिए डिज़ाइन किया गया था लेकिन यह वायरलेस पर भी पूरी तरह से काम करता है, और यह उस सुरक्षा की नींव है जिसे हम WPA2-Enterprise या WPA3-Enterprise सुरक्षा कहते हैं। 802.1X मॉडल के तीन घटक हैं। पहला, Supplicant - वह उपकरण जो कनेक्ट करने का प्रयास कर रहा है। किसी छात्र का लैपटॉप, शोधकर्ता का फोन। दूसरा, Authenticator - यह आपका नेटवर्क एक्सेस पॉइंट या प्रबंधित स्विच है। यह Supplicant और बाकी नेटवर्क के बीच बैठता है और गेटकीपर के रूप में कार्य करता है। तीसरा, Authentication Server - जो लगभग हमेशा एक RADIUS सर्वर होता है। RADIUS का अर्थ है Remote Authentication Dial-In User Service। यह वह घटक है जो वास्तव में क्रेडेंशियल्स को सत्यापित करता है। यहाँ बताया गया है कि यह हैंडशेक कैसे काम करता है। छात्र का डिवाइस वायरलेस एक्सेस पॉइंट से जुड़ता है। एक्सेस पॉइंट अभी तक पूर्ण नेटवर्क एक्सेस नहीं देता है - यह एक नियंत्रित पोर्ट खोलता है, लेकिन केवल EAP ट्रैफ़िक के लिए। EAP का अर्थ एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल (Extensible Authentication Protocol) है। एक्सेस पॉइंट डिवाइस और RADIUS सर्वर के बीच EAP बातचीत को प्रॉक्सी करता है। RADIUS सर्वर डिवाइस को चुनौती देता है, डिवाइस क्रेडेंशियल्स - आमतौर पर एक यूजरनेम और पासवर्ड, या एक सर्टिफिकेट - के साथ प्रतिक्रिया करता है और यदि RADIUS सर्वर संतुष्ट होता है, तो यह वापस एक Access-Accept संदेश भेजता है। इसके बाद एक्सेस पॉइंट पूर्ण नेटवर्क पोर्ट खोलता है। एक अच्छी तरह से कॉन्फ़िगर किए गए डिप्लॉयमेंट में यह पूरी प्रक्रिया दो सेकंड से भी कम समय में पूरी हो जाती है। अब, eduroam इसके ऊपर कैसे काम करता है? eduroam एक पदानुक्रमित (hierarchical) RADIUS प्रॉक्सी इंफ्रास्ट्रक्चर का उपयोग करता है। प्रत्येक भाग लेने वाला संस्थान अपना स्वयं का RADIUS सर्वर चलाता है - जिसे आइडेंटिटी प्रोवाइडर, या IdP कहा जाता है। जब मान लीजिए यूनिवर्सिटी ऑफ़ मैनचेस्टर का कोई छात्र इंपीरियल कॉलेज लंदन जाता है और eduroam SSID से जुड़ता है, तो उनका डिवाइस उनके क्रेडेंशियल्स को username@manchester.ac.uk प्रारूप में भेजता है। इंपीरियल का RADIUS सर्वर क्षेत्र (realm) - जो कि @ प्रतीक के बाद का हिस्सा है - को देखता है और ऑथेंटिकेशन अनुरोध को राष्ट्रीय RADIUS सर्वर पर प्रॉक्सी करता है, जिसे यूके में Jisc द्वारा संचालित किया जाता है, जो राष्ट्रीय अनुसंधान और शिक्षा नेटवर्क है। इसके बाद Jisc इस अनुरोध को यूनिवर्सिटी ऑफ़ मैनचेस्टर के RADIUS सर्वर पर रूट करता है, जो क्रेडेंशियल्स को सत्यापित करता है और Accept या Reject वापस भेजता है। यह पूरी श्रृंखला मिलीसेकंड में पूरी हो जाती है। यही प्रॉक्सी श्रृंखला संस्थानों के बीच बिना किसी पूर्व-साझा रहस्यों के eduroam को संस्थागत सीमाओं के पार काम करने में सक्षम बनाती है। श्रृंखला का प्रत्येक हॉप केवल अपने निकटतम पड़ोसी के साथ एक साझा RADIUS रहस्य का उपयोग करता है। छात्र का वास्तविक पासवर्ड कभी भी गृह संस्थान के RADIUS सर्वर से बाहर नहीं जाता है - यह EAP टनल द्वारा एंड-टू-एंड सुरक्षित रहता है। EAP तरीकों की बात करें तो - यहीं पर बहुत सारे डिप्लॉयमेंट गलत हो जाते हैं, इसलिए ध्यान दें। eduroam में सबसे आम EAP तरीके PEAP - प्रोटेक्टेड EAP - और EAP-TLS हैं। PEAP एक आंतरिक ऑथेंटिकेशन विधि, आमतौर पर MSCHAPv2 को, एक TLS टनल के भीतर लपेटता है। इसके लिए RADIUS सर्वर पर एक सर्वर-साइड सर्टिफिकेट की आवश्यकता होती है, लेकिन क्लाइंट को केवल एक यूजरनेम और पासवर्ड की आवश्यकता होती है। EAP-TLS अधिक सुरक्षित विकल्प है - यह म्यूचुअल सर्टिफिकेट ऑथेंटिकेशन का उपयोग करता है, जिसका अर्थ है कि सर्वर और क्लाइंट दोनों सर्टिफिकेट प्रस्तुत करते हैं। इसे बड़े पैमाने पर तैनात करना अधिक कठिन है क्योंकि क्लाइंट सर्टिफिकेट जारी करने के लिए आपको एक PKI की आवश्यकता होती है, लेकिन यह क्रेडेंशियल फ़िशिंग से पूरी तरह सुरक्षित है। महत्वपूर्ण सुरक्षा आवश्यकता जिसे कई संस्थान गलत समझते हैं, वह क्लाइंट साइड पर सर्टिफिकेट वैलिडेशन (प्रमाणपत्र सत्यापन) है। जब कोई डिवाइस PEAP का उपयोग करके eduroam से कनेक्ट होता है, तो क्रेडेंशियल सबमिट करने से पहले डिवाइस को RADIUS सर्वर के सर्टिफिकेट को सत्यापित करना आवश्यक है। यदि डिवाइस किसी भी सर्टिफिकेट को स्वीकार करने के लिए गलत तरीके से कॉन्फ़िगर किया गया है, तो एक हमलावर eduroam SSID प्रसारित करने वाला एक नकली एक्सेस पॉइंट खड़ा कर सकता है, एक सेल्फ-हस्ताक्षरित सर्टिफिकेट प्रस्तुत कर सकता है, और क्रेडेंशियल चुरा सकता है। यह एक ज्ञात अटैक वेक्टर है। इसका समाधान आपके सप्लिकेंट प्रोफाइल को कॉन्फ़िगर करना है - प्रबंधित डिवाइसों के लिए MDM के माध्यम से, या व्यक्तिगत डिवाइसों के लिए eduroam कॉन्फ़िगरेशन असिस्टेंट टूल, जिसे CAT के रूप में जाना जाता है, के माध्यम से - ताकि अपेक्षित सर्टिफिकेट अथॉरिटी और सर्वर नाम को पिन किया जा सके। मानकों के दृष्टिकोण से, eduroam परिनियोजन से eduroam पॉलिसी सर्विस डेफिनिशन का अनुपालन करने की अपेक्षा की जाती है, जो TLS पर सभी RADIUS कनेक्शनों के लिए TLS 1.2 या उच्चतर को अनिवार्य करता है, EAP-MD5 या LEAP जैसे कमजोर EAP तरीकों के उपयोग को प्रतिबंधित करता है, और यह आवश्यक बनाता है कि जहां तक संभव हो सभी RADIUS प्रॉक्सी कनेक्शन सामान्य UDP RADIUS के बजाय RadSec - TLS पर RADIUS - का उपयोग करें। यह UK में NCSC मार्गदर्शन और US में NIST SP 800-120 के अनुरूप है। एक और तकनीकी बिंदु जिस पर ध्यान देना आवश्यक है: VLAN असाइनमेंट। एक अच्छे से डिज़ाइन किए गए eduroam परिनियोजन में, RADIUS Access-Accept रिस्पॉन्स में VLAN विशेषताएं शामिल होती हैं जो एक्सेस पॉइंट को बताती हैं कि कनेक्टिंग डिवाइस को किस VLAN में असाइन करना है। यह आपको ट्रैफ़िक को विभाजित करने की अनुमति देता है - विजिट करने वाले छात्रों को केवल-इंटरनेट एक्सेस वाले प्रतिबंधित VLAN पर रखना, जबकि आपके अपने कर्मचारियों को आंतरिक नेटवर्क पर रूट किया जाता है। यह अनुपालन के लिए आवश्यक है, विशेष रूप से तब जब आप PCI DSS के अधीन हों या अनुसंधान डेटा नेटवर्क और सामान्य इंटरनेट ट्रैफ़िक के बीच पृथकता बनाए रखना चाहते हों। - - - [कार्यान्वयन अनुशंसाएं और कमियां - 2 मिनट] मैं आपको व्यावहारिक मार्गदर्शन प्रदान करता हूं। यदि आप पहली बार eduroam तैनात कर रहे हैं, तो आपका पहला संपर्क आपके राष्ट्रीय NREN से होना चाहिए - UK में यह Jisc है, आयरलैंड में HEAnet है, US में Internet2 है। वे फेडरेशन सदस्यता का प्रबंधन करते हैं और आपको एक RADIUS रियल्म (realm) असाइन करेंगे। आप अपने राष्ट्रीय फेडरेशन का सदस्य बने बिना eduroam में भाग नहीं ले सकते। आपकी इन्फ्रास्ट्रक्चर चेकलिस्ट: आपको 802.1X-सक्षम एक्सेस पॉइंट की आवश्यकता है - Cisco, Aruba, Juniper, Ruckus, या Ubiquiti UniFi का कोई भी एंटरप्राइज़-ग्रेड किट इसके लिए काम करेगा। आपको एक RADIUS सर्वर की आवश्यकता है - FreeRADIUS ओपन-सोर्स मानक है, या आप Microsoft NPS, Cisco ISE, या Aruba ClearPass का उपयोग कर सकते हैं। आपको eduroam समुदाय द्वारा विश्वसनीय CA से अपने RADIUS सर्वर के लिए एक वैध TLS सर्टिफिकेट की आवश्यकता है - आमतौर पर आपके संस्थान के PKI या eduroam की स्वीकृत सूची में शामिल किसी कमर्शियल CA से मिला सर्टिफिकेट।तीन सबसे आम डिप्लॉयमेंट विफलताएं जो मैं देखता हूँ वे हैं: पहला, सर्टिफिकेट मिसकॉन्फ़िगरेशन - या तो RADIUS सर्टिफिकेट समाप्त हो गया है, या क्लाइंट सप्लिकेंट प्रोफाइल सही तरीके से पिन नहीं किए गए हैं। दूसरा, RADIUS प्रॉक्सी टाइमआउट - यदि आपके अपस्ट्रीम NREN कनेक्शन में लेटेंसी की समस्याएं हैं, तो ऑथेंटिकेशन टाइमआउट हो जाएगा और उपयोगकर्ताओं को कनेक्शन विफलताएं दिखाई देंगी जो क्रेडेंशियल एरर जैसी दिखती हैं। तीसरा, VLAN मिसकॉन्फ़िगरेशन - विजिट करने वाले उपयोगकर्ता गलत नेटवर्क सेगमेंट पर पहुंच जाते हैं, जिससे या तो उन्हें इंटरनेट एक्सेस नहीं मिलता है या, इससे भी बदतर, उन आंतरिक संसाधनों तक एक्सेस मिल जाता है जिन्हें उन्हें नहीं देखना चाहिए। क्लाइंट की ओर, अपने MDM प्लेटफॉर्म के माध्यम से सभी प्रबंधित डिवाइसेस पर eduroam CAT प्रोफाइल डिप्लॉय करें। पर्सनल डिवाइसेस के लिए, CAT इंस्टॉलर लिंक को प्रमुखता से पब्लिश करें। यह अकेला कदम अधिकांश सपोर्ट टिकटों को समाप्त कर देता है। उन वेन्यू के लिए जो उच्च शिक्षा संस्थान नहीं हैं लेकिन eduroam एक्सेस देना चाहते हैं - जैसे कॉन्फ्रेंस सेंटर, होटल और इसी तरह के स्थान - इस प्रक्रिया को eduroam Visitor Access, या eVA कहा जाता है। यह गैर-सदस्य संगठनों को पूर्ण सदस्य बने बिना eduroam SSID को होस्ट करने और फेडरेशन में ऑथेंटिकेशन को प्रॉक्सी करने की अनुमति देता है। यदि आप नियमित रूप से शैक्षणिक सम्मेलनों या विश्वविद्यालय कार्यक्रमों की मेजबानी करते हैं, तो इसकी जांच करना फायदेमंद है। - - - [रैपिड-फायर Q&A - 1 मिनट] त्वरित प्रश्न जो मुझसे नियमित रूप से पूछे जाते हैं। "क्या eduroam हमारे गेस्ट WiFi को पूरी तरह से रिप्लेस कर सकता है?" नहीं। eduroam केवल उन उपयोगकर्ताओं के लिए काम करता है जिनके पास किसी सदस्य संस्थान के क्रेडेंशियल हैं। आपको बाकी सभी लोगों - विजिटर्स, कॉन्ट्रैक्टर्स, आम जनता के लिए अभी भी एक अलग गेस्ट WiFi समाधान की आवश्यकता होगी। "क्या eduroam GDPR के अनुकूल है?" हाँ, कुछ शर्तों के साथ। फेडरेशन आर्किटेक्चर का मतलब है कि आपका संस्थान ऑथेंटिकेशन डेटा को प्रोसेस करता है, लेकिन आपको यह सुनिश्चित करना होगा कि आपके प्राइवेसी नोटिस इसे कवर करते हों और आपके RADIUS लॉग्स को उचित रूप से संभाला जाता हो। "क्या हम eduroam के साथ WPA3 का उपयोग कर सकते हैं?" हाँ। WPA3-Enterprise पूरी तरह से 802.1X के साथ संगत है और नए डिप्लॉयमेंट के लिए अनुशंसित मानक है। यह उच्च-सुरक्षा परिवेशों के लिए 192-बिट मोड एन्क्रिप्शन जोड़ता है। "eduroam और OpenRoaming में क्या अंतर है?" OpenRoaming वायरलेस ब्रॉडबैंड एलायंस की एक व्यापक उद्योग पहल है जो उसी 802.1X और RADIUS प्रॉक्सी आर्किटेक्चर का उपयोग करती है लेकिन रोमिंग को शिक्षा से परे कमर्शियल वेन्यू तक विस्तारित करती है। Purple सहित कुछ प्लेटफॉर्म, अपनी गेस्ट WiFi पेशकश के हिस्से के रूप में OpenRoaming का समर्थन करते हैं। - - - [सारांश और अगले कदम - 1 मिनट] समापन के लिए। eduroam एक परिपक्व, सुव्यवस्थित, विश्व स्तर पर डिप्लॉय की गई WiFi रोमिंग सेवा है जो 802.1X और एक पदानुक्रमित RADIUS प्रॉक्सी इन्फ्रास्ट्रक्चर पर बनी है। यह साझा पासवर्ड या Captive Portals के बिना, प्रति-उपयोगकर्ता ऑथेंटिकेशन, मजबूत एन्क्रिप्शन और 10,000 से अधिक संस्थानों में निर्बाध रोमिंग प्रदान करता है। कैंपस वायरलेस को डिप्लॉय या अपग्रेड करने वाली IT टीमों के लिए: जहां आपका PKI इसका समर्थन कर सके वहां PEAP पर EAP-TLS को प्राथमिकता दें, सभी क्लाइंट प्रोफाइल पर सर्टिफिकेट वेरिफिकेशन लागू करें, सभी RADIUS प्रॉक्सी कनेक्शन के लिए RadSec का उपयोग करें, और विजिट करने वाले उपयोगकर्ताओं को एक समर्पित VLAN में विभाजित करें।वेन्यू ऑपरेटरों के लिए: यदि आप नियमित रूप से शैक्षणिक आगंतुकों की मेजबानी करते हैं, तो eduroam Visitor Access की जांच करें। और भले ही आप eduroam को तैनात करें या न करें, आपका गेस्ट WiFi इन्फ्रास्ट्रक्चर एंटरप्राइज़-ग्रेड 802.1X सिद्धांतों पर बनाया जाना चाहिए - न कि साझा PSKs पर। यदि आप इनमें से किसी भी विषय पर गहराई से जानना चाहते हैं - RADIUS आर्किटेक्चर, EAP-TLS के लिए PKI डिज़ाइन, या कैसे Purple जैसे प्लेटफॉर्म eduroam और OpenRoaming के साथ एकीकृत होते हैं - तो पूरी लिखित गाइड शो नोट्स में लिंक की गई है। सुनने के लिए धन्यवाद। अगली बार तक। --- स्क्रिप्ट का अंत

header_image.png

कार्यकारी सारांश

उच्च शिक्षा संस्थानों और उनके कर्मचारियों और छात्रों को सेवा प्रदान करने वाले स्थानों के लिए, सुरक्षित, निर्बाध वायरलेस कनेक्टिविटी प्रदान करना अब कोई विलासिता नहीं बल्कि एक परिचालन आवश्यकता है। इस कनेक्टिविटी का मानक eduroam है, जो IEEE 802.1X फ्रेमवर्क पर निर्मित एक वैश्विक रोमिंग सेवा है।

यह गाइड IT प्रबंधकों, नेटवर्क आर्किटेक्ट्स और स्थल संचालन निदेशकों को 802.1X और eduroam को समझने, तैनात करने और समस्या निवारण के लिए एक व्यापक, वेंडर-तटस्थ संदर्भ प्रदान करती है। हम यह जांचने के लिए बुनियादी सैद्धांतिक मॉडलों से आगे जाते हैं कि एंटरप्राइज-ग्रेड कैंपस WiFi वास्तव में व्यवहार में कैसे काम करता है, जिसमें सर्टिफिकेट प्रबंधन, RADIUS प्रॉक्सी आर्किटेक्चर और एक व्यापक गेस्ट नेटवर्क रणनीति के साथ एकीकरण शामिल है।

चाहे आप किसी पुराने विश्वविद्यालय नेटवर्क को अपग्रेड कर रहे हों या शैक्षणिक आगंतुकों का समर्थन करने के लिए एक सम्मेलन केंद्र को कॉन्फ़िगर कर रहे हों, 802.1X को सही ढंग से लागू करने से सुरक्षा जोखिम - विशेष रूप से क्रेडेंशियल चोरी - काफी कम हो जाता है, जबकि सहायता ओवरहेड में भारी कटौती होती है। पारंपरिक उच्च शिक्षा से बाहर के स्थानों के लिए, इन मानकों को समझना OpenRoaming जैसे वाणिज्यिक रोमिंग महासंघों के मूल्यांकन के लिए आवश्यक है, जो समान अंतर्निहित आर्किटेक्चर साझा करते हैं।

तकनीकी गहन विश्लेषण: 802.1X और eduroam आर्किटेक्चर

अपने मूल में, eduroam IEEE 802.1X का एक कार्यान्वयन है, जो पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल मानक है। 802.1X मूल रूप से वायर्ड नेटवर्क के लिए डिज़ाइन किया गया था, लेकिन यह WPA2-Enterprise और WPA3-Enterprise सुरक्षा की नींव बनाता है।

802.1X ट्राइएंगल मॉडल

802.1X फ्रेमवर्क पहुंच को अधिकृत करने के लिए तीन अलग-अलग घटकों की परस्पर क्रिया पर निर्भर करता है:

  1. सप्लीकेंट (Supplicant): नेटवर्क एक्सेस का अनुरोध करने वाला क्लाइंट डिवाइस (उदाहरण के लिए, एक छात्र का लैपटॉप या स्मार्टफोन)।
  2. प्रमाणीकर्ता (Authenticator): नेटवर्क एक्सेस डिवाइस (उदाहरण के लिए, एक वायरलेस एक्सेस पॉइंट या प्रबंधित स्विच)। यह एक द्वारपाल के रूप में कार्य करता है, जब तक कि डिवाइस अधिकृत न हो जाए, प्रमाणीकरण संदेशों को छोड़कर सभी ट्रैफ़िक को अवरुद्ध करता है।
  3. प्रमाणीकरण सर्वर (Authentication Server): बैक-एंड सिस्टम जो क्रेडेंशियल को मान्य करता है, जो लगभग सार्वभौमिक रूप से एक RADIUS (रिमोट ऑथेंटिकेशन डायल-इन यूजर सर्विस) सर्वर है।

जब कोई डिवाइस कनेक्ट होता है, तो प्रमाणीकर्ता एक नियंत्रित पोर्ट स्थापित करता है। यह सप्लीकेंट और प्रमाणीकरण सर्वर के बीच एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल (EAP) संदेशों को रिले करता है। यदि क्रेडेंशियल मान्य हैं, तो सर्वर एक RADIUS Access-Accept संदेश लौटाता है, और प्रमाणीकर्ता मानक IP ट्रैफ़िक को गुजरने की अनुमति देने के लिए पोर्ट खोलता है। architecture_overview.png

eduroam का RADIUS प्रॉक्सी पदानुक्रम

eduroam को जो चीज़ विशिष्ट बनाती है वह इसका फ़ेडरेटेड आर्किटेक्चर है। यह उपयोगकर्ताओं को किसी भी भाग लेने वाले संस्थान में अपने होम क्रेडेंशियल का उपयोग करके प्रमाणित करने की अनुमति देता है, बिना होस्ट संस्थान के पास उन क्रेडेंशियल की कोई कॉपी रखे।

यह RADIUS प्रॉक्सी की एक पदानुक्रमित श्रृंखला के माध्यम से प्राप्त किया जाता है। जब username@university.ac.uk का कोई उपयोगकर्ता किसी होस्ट स्थान पर eduroam SSID से कनेक्ट होता है:

  1. उपयोगकर्ता का डिवाइस username@university.ac.uk के रूप में एक प्रमाणीकरण अनुरोध भेजता है।
  2. होस्ट स्थान का RADIUS सर्वर रीयलम (@ प्रतीक के बाद का भाग) का निरीक्षण करता है। इसे एक बाहरी डोमेन के रूप में पहचानते हुए, यह अनुरोध को राष्ट्रीय शीर्ष-स्तरीय RADIUS सर्वर (राष्ट्रीय अनुसंधान और शिक्षा नेटवर्क, या NREN द्वारा संचालित) पर प्रॉक्सी करता है।
  3. राष्ट्रीय सर्वर अनुरोध को होम संस्थान के RADIUS सर्वर (university.ac.uk) पर रूट करता है।
  4. होम संस्थान क्रेडेंशियल को मान्य करता है और श्रृंखला के माध्यम से वापस एक Access-Accept या Access-Reject संदेश भेजता है।

यह पूरी प्रक्रिया आमतौर पर दो सेकंड से भी कम समय में पूरी हो जाती है। सबसे महत्वपूर्ण बात यह है कि उपयोगकर्ता का पासवर्ड कभी भी होस्ट संस्थान या मध्यवर्ती प्रॉक्सी सर्वर के सामने प्रकट नहीं होता है; यह सप्लिकेंट और होम RADIUS सर्वर के बीच सीधे स्थापित एक एन्क्रिप्टेड EAP टनल के अंदर सुरक्षित रहता है।

EAP तरीके: सुरक्षा और परिनियोजन क्षमता के बीच समझौता

EAP तरीके का चयन यह निर्धारित करता है कि एन्क्रिप्टेड टनल कैसे बनती है और क्रेडेंशियल का आदान-प्रदान कैसे होता है। eduroam नीति सेवा परिभाषा सुरक्षा सुनिश्चित करने के लिए अनुमत तरीकों को सख्ती से सीमित करती है।

  • PEAP (Protected EAP): सबसे आम परिनियोजन विधि। यह TLS टनल स्थापित करने के लिए RADIUS सर्वर पर सर्वर-साइड सर्टिफिकेट का उपयोग करता है। क्लाइंट फिर उस टनल के अंदर प्रमाणित होता है, आमतौर पर PEAP (MSCHAPv2 का उपयोग करके उपयोगकर्ता नाम और पासवर्ड) का उपयोग करके। इसे परिनियोजित करना अपेक्षाकृत आसान है, लेकिन यदि क्लाइंट्स को सर्वर सर्टिफिकेट को सख्ती से मान्य करने के लिए कॉन्फ़िगर नहीं किया गया है, तो यह नकली एक्सेस पॉइंट हमलों के प्रति संवेदनशील है।
  • EAP-TLS: सुरक्षा के लिए स्वर्ण मानक। इसमें पारस्परिक प्रमाणीकरण की आवश्यकता होती है, जिसका अर्थ है कि RADIUS सर्वर और क्लाइंट डिवाइस दोनों को वैध सर्टिफिकेट प्रस्तुत करने होंगे। हालांकि यह क्रेडेंशियल फ़िशिंग से सुरक्षित है, लेकिन क्लाइंट सर्टिफिकेट जारी करने और प्रबंधित करने के लिए एक मजबूत पब्लिक की इन्फ्रास्ट्रक्चर (PKI) की आवश्यकता होती है, जिससे बड़े पैमाने पर परिनियोजन अधिक जटिल हो जाता है।

कार्यान्वयन गाइड

802.1X और eduroam को परिनियोजित करने के लिए नेटवर्क इन्फ्रास्ट्रक्चर, पहचान प्रबंधन और क्लाइंट कॉन्फ़िगरेशन के बीच सावधानीपूर्वक समन्वय की आवश्यकता होती है।

1. इन्फ्रास्ट्रक्चर की तैयारी

सुनिश्चित करें कि आपके वायरलेस एक्सेस पॉइंट और कंट्रोलर WPA2-Enterprise/WPA3-Enterprise और 802.1X का समर्थन करते हैं। कोई भी आधुनिक एंटरप्राइज़-ग्रेड हार्डवेयर (Cisco, Aruba, Juniper, और अन्य) इस आवश्यकता को पूरा करेगा। आपको एक मजबूत RADIUS इन्फ्रास्ट्रक्चर (जैसे FreeRADIUS, Cisco ISE, या Aruba ClearPass) भी तैनात करना होगा जो अपेक्षित प्रमाणीकरण लोड को संभालने और अनुरोधों को प्रॉक्सी करने में सक्षम हो।

2. प्रमाणपत्र प्रबंधन (Certificate Management)

PEAP तैनाती के लिए, आपके RADIUS सर्वर को आपके क्लाइंट द्वारा विश्वसनीय प्रमाणपत्र प्राधिकरण (CA) द्वारा जारी किए गए TLS प्रमाणपत्र की आवश्यकता होती है। प्रोडक्शन eduroam तैनाती में कभी भी स्व-हस्ताक्षरित (self-signed) प्रमाणपत्रों का उपयोग न करें। प्रमाणीकरण आउटेज को रोकने के लिए प्रमाणपत्रों को नियमित रूप से नवीनीकृत किया जाना चाहिए।

3. क्लाइंट कॉन्फ़िगरेशन (CAT टूल)

eduroam तैनाती में विफलता का सबसे आम कारण क्लाइंट का गलत कॉन्फ़िगरेशन है। जब उपयोगकर्ता मैन्युअल रूप से कनेक्ट होते हैं, तो वे अक्सर प्रमाणपत्र सत्यापन को कॉन्फ़िगर करने में विफल रहते हैं, जिससे वे क्रेडेंशियल-हार्वेस्टिंग हमलों के प्रति संवेदनशील हो जाते हैं।

इस जोखिम को कम करने के लिए, संस्थानों को पूर्व-कॉन्फ़िगर किए गए प्रोफाइल वितरित करने के लिए eduroam कॉन्फ़िगरेशन असिस्टेंट टूल (CAT) या एक MDM समाधान का उपयोग करना चाहिए। ये प्रोफाइल स्वचालित रूप से सही EAP विधि को कॉन्फ़िगर करते हैं, अपेक्षित RADIUS सर्वर प्रमाणपत्र को पिन करते हैं, और उपयुक्त आंतरिक प्रमाणीकरण प्रोटोकॉल सेट करते हैं।

4. VLAN असाइनमेंट और सेगमेंटेशन

एक परिपक्व तैनाती उपयोगकर्ता की पहचान के आधार पर गतिशील रूप से VLAN असाइन करने के लिए RADIUS विशेषताओं का उपयोग करती है।

  • आंतरिक उपयोगकर्ता: परिसर के संसाधनों तक उचित पहुंच के साथ आंतरिक VLANs में असाइन किए जाते हैं।
  • आगंतुक उपयोगकर्ता: केवल इंटरनेट पहुंच प्रदान करने वाले एक सीमित गेस्ट VLAN में असाइन किए जाते हैं।

यह सेगमेंटेशन सुरक्षा और अनुपालन के लिए महत्वपूर्ण है, जो यह सुनिश्चित करता है कि आने वाले डिवाइस संवेदनशील आंतरिक नेटवर्क तक नहीं पहुंच सकते।

comparison_chart.png

सर्वोत्तम अभ्यास और विक्रेता-तटस्थ अनुशंसाएँ

  • WPA3 को प्राथमिकता दें: नई तैनाती के लिए, अनिवार्य 192-बिट एन्क्रिप्शन और ऑफ़लाइन डिक्शनरी हमलों के खिलाफ बेहतर सुरक्षा प्राप्त करने के लिए WPA3-Enterprise को सक्षम करें।
  • प्रमाणपत्र सत्यापन लागू करें: यह सुनिश्चित करने के लिए कॉन्फ़िगरेशन प्रोफाइल (CAT या MDM के माध्यम से) के उपयोग की आवश्यकता है कि सप्लीकेंट क्रेडेंशियल प्रसारित करने से पहले RADIUS सर्वर प्रमाणपत्र को कड़ाई से सत्यापित करे।
  • RadSec का उपयोग करें: राष्ट्रीय फ़ेडरेशन के लिए RADIUS प्रॉक्सी कनेक्शन कॉन्फ़िगर करते समय, सादे UDP के बजाय RadSec (TLS पर RADIUS) का उपयोग करें। यह प्रॉक्सी ट्रैफ़िक को एन्क्रिप्ट करता है और वाइड-एरिया लिंक पर विश्वसनीयता में सुधार करता है।
  • गेस्ट समाधान के साथ एकीकृत करें: eduroam केवल शैक्षणिक क्रेडेंशियल वाले उपयोगकर्ताओं को सेवा प्रदान करता है। आपको ठेकेदारों, आम जनता के सदस्यों और कार्यक्रम में भाग लेने वालों के लिए एक अलग, सुरक्षित Guest WiFi समाधान बनाए रखना होगा।* संबंधित बुनियादी ढांचे की समीक्षा करें: सुनिश्चित करें कि आपका अंतर्निहित नेटवर्क सुरक्षित है। अधिक विवरण के लिए हमारी गाइड सशक्त DNS और सुरक्षा के साथ अपने नेटवर्क को सुरक्षित करना पढ़ें। यदि विश्वविद्यालय के आयोजनों के लिए अस्थायी बुनियादी ढांचा तैनात कर रहे हैं, तो Event WiFi: अस्थायी वायरलेस नेटवर्क की योजना बनाना और तैनात करना या पुर्तगाली भाषा का संस्करण Event WiFi: Planeamento e Implementação de Redes Sem Fios Temporárias देखें।

समस्या निवारण और जोखिम न्यूनीकरण

जब प्रमाणीकरण विफल हो जाता है, तो व्यवस्थित समस्या निवारण आवश्यक है।

  1. विफलता डोमेन को अलग करें: निर्धारित करें कि खराबी स्थानीय है (आपके अपने नेटवर्क पर उपयोगकर्ताओं को प्रभावित कर रही है), दूरस्थ है (आपके उपयोगकर्ताओं को कहीं और प्रभावित कर रही है), या इनबाउंड है (आपके नेटवर्क पर आगंतुकों को प्रभावित कर रही है)।
  2. RADIUS लॉग की जांच करें: RADIUS सर्वर लॉग सत्य के आधिकारिक स्रोत हैं। Access-Reject संदेशों (खराब क्रेडेंशियल या नीति उल्लंघनों को इंगित करने वाले) या टाइमआउट (प्रॉक्सी कनेक्टिविटी समस्याओं को इंगित करने वाले) की तलाश करें।
  3. प्रमाणपत्र वैधता सत्यापित करें: सुनिश्चित करें कि RADIUS सर्वर प्रमाणपत्र समाप्त नहीं हुआ है और ग्राहकों को पूर्ण प्रमाणपत्र श्रृंखला प्रस्तुत की जा रही है।
  4. अपस्ट्रीम विलंबता (लेटेंसी) की निगरानी करें: राष्ट्रीय RADIUS प्रॉक्सी के लिए उच्च विलंबता ग्राहक टाइमआउट का कारण बन सकती है, जिसके परिणामस्वरूप क्रेडेंशियल सही होने पर भी कनेक्शन विफल हो जाते हैं।

ROI और व्यावसायिक प्रभाव

उच्च शिक्षा संस्थानों के लिए, उचित रूप से तैनात eduroam कार्यान्वयन का रिटर्न सपोर्ट टिकटों में भारी कमी के रूप में दिखाई देता है। Captive Portal और मैन्युअल पासवर्ड प्रविष्टि को समाप्त करके, IT हेल्पडेस्क को कनेक्टिविटी से संबंधित कॉलों में महत्वपूर्ण गिरावट दिखाई देती है। (इस क्षेत्र के प्रति Purple की प्रतिबद्धता स्पष्ट है; देखें Purple उच्च शिक्षा की आकांक्षाओं को रेखांकित करते हुए टिम पीयर्स को शिक्षा के VP के रूप में नियुक्त करता है )।

व्यावसायिक स्थलों - जैसे कि आतिथ्य , खुदरा , स्वास्थ्य सेवा , या परिवहन - के लिए eduroam Visitor Access (eVA) या OpenRoaming जैसे समान संघों का समर्थन करना एक उच्च-मूल्य वाले जनसांख्यिकी के लिए एक सहज अनुभव प्रदान करता है। यह सुनिश्चित करता है कि शैक्षणिक आगंतुक स्वचालित रूप से और सुरक्षित रूप से कनेक्ट हों, जिससे संतुष्टि में सुधार होता है और स्थल को सख्त नेटवर्क विभाजन बनाए रखने की अनुमति मिलती है। यदि आपके स्थल को इस मांग का समर्थन करने के लिए समर्पित बैंडविड्थ की आवश्यकता है, तो लीज्ड लाइन क्या है? व्यवसाय के लिए बना इंटरनेट पढ़ने पर विचार करें।

नेटवर्क अपग्रेड की योजना बनाते समय, 802.1X क्षमता को एकीकृत करना यह सुनिश्चित करता है कि आपका बुनियादी ढांचा आधुनिक पहचान-संचालित नेटवर्किंग के लिए तैयार है, जो उन्नत WiFi Analytics और स्थान-आधारित सेवाओं के लिए आधार तैयार करता है।

मुख्य परिभाषाएं

802.1X

पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल (PNAC) के लिए एक IEEE मानक। यह उन डिवाइसेस को एक ऑथेंटिकेशन मैकेनिज्म प्रदान करता है जो LAN या WLAN से जुड़ना चाहते हैं।

एंटरप्राइज-ग्रेड WiFi सुरक्षा के लिए बुनियादी प्रोटोकॉल, जो साझा पासवर्ड (PSKs) को व्यक्तिगत ऑथेंटिकेशन से बदल देता है।

RADIUS (Remote Authentication Dial-In User Service)

एक नेटवर्किंग प्रोटोकॉल जो नेटवर्क सेवा से जुड़ने और उसका उपयोग करने वाले यूजर्स के लिए सेंट्रलाइज्ड ऑथेंटिकेशन, ऑथराइजेशन और अकाउंटिंग (AAA) मैनेजमेंट प्रदान करता है।

802.1X डिप्लॉयमेंट में बैकएंड सर्वर जो वास्तव में डायरेक्टरी (जैसे Active Directory) के खिलाफ यूजर क्रेडेंशियल की जांच करता है।

EAP (Extensible Authentication Protocol)

एक ऑथेंटिकेशन फ्रेमवर्क जिसका उपयोग अक्सर वायरलेस नेटवर्क और पॉइंट-टू-पॉइंट कनेक्शन में किया जाता है। यह विभिन्न ऑथेंटिकेशन मैकेनिज्म के ट्रांसपोर्ट और उपयोग का प्रावधान करता है।

802.1X हैंडशेक के दौरान क्लाइंट डिवाइस और RADIUS सर्वर के बीच बोली जाने वाली भाषा।

Supplicant

क्लाइंट डिवाइस (जैसे, लैपटॉप, स्मार्टफोन) या उस डिवाइस पर मौजूद सॉफ्टवेयर जो 802.1X का उपयोग करके नेटवर्क पर ऑथेंटिकेट करने का प्रयास कर रहा है।

पहुंच का अनुरोध करने वाली इकाई। इसका कॉन्फ़िगरेशन (विशेष रूप से सर्टिफिकेट वैलिडेशन के संबंध में) सुरक्षा के लिए महत्वपूर्ण है।

Authenticator

नेटवर्क डिवाइस (जैसे, वायरलेस एक्सेस पॉइंट, ईथरनेट स्विच) जो Supplicant और ऑथेंटिकेशन सर्वर के बीच मैसेज पास करके 802.1X ऑथेंटिकेशन प्रक्रिया को सुगम बनाता है।

वह गेटकीपर जो नेटवर्क ट्रैफ़िक को तब तक ब्लॉक करता है जब तक कि RADIUS सर्वर हरी झंडी न दे दे।

PEAP (Protected Extensible Authentication Protocol)

एक EAP विधि जो सर्वर-साइड सर्टिफिकेट का उपयोग करके स्थापित TLS टनल के भीतर EAP ट्रांजैक्शन को एनकैप्सुलेट करती है, जिससे आंतरिक ऑथेंटिकेशन (आमतौर पर पासवर्ड) सुरक्षित रहता है।

eduroam के लिए सबसे आम ऑथेंटिकेशन विधि, जो सुरक्षा के साथ डिप्लॉयमेंट की आसानी को संतुलित करती है।

RadSec

पारंपरिक UDP के बजाय TCP और TLS पर RADIUS डेटा ट्रांसमिट करने का एक प्रोटोकॉल।

संस्थानों और राष्ट्रीय eduroam फेडरेशन के बीच प्रॉक्सी कनेक्शन को सुरक्षित करने के लिए अनुशंसित, जो ऑथेंटिकेशन ट्रैफ़िक को बीच में रोके जाने से रोकता है।

Realm

यूज़र की पहचान का वह हिस्सा जो '@' सिंबल के बाद आता है (जैसे, 'user@university.ac.uk' में 'university.ac.uk')।

eduroam जैसे फ़ेडरेटेड वातावरण में ऑथेंटिकेशन अनुरोध को कहाँ रूट करना है, यह निर्धारित करने के लिए RADIUS प्रॉक्सी सर्वर द्वारा उपयोग किया जाता है।

हल किए गए उदाहरण

एक प्रमुख विश्वविद्यालय के निकट स्थित 400 कमरों वाला कॉन्फ्रेंस होटल अक्सर शैक्षणिक संगोष्ठियों की मेजबानी करता है। IT निदेशक चाहते हैं कि आगंतुक शिक्षाविद होटल के मानक Captive Portal का उपयोग किए बिना स्वचालित रूप से कनेक्ट हो सकें, लेकिन यह सुनिश्चित करना होगा कि ये आगंतुक होटल के कॉर्पोरेट नेटवर्क या मानक अतिथि नेटवर्क VLAN तक नहीं पहुंच सकें।

होटल को eduroam Visitor Access (eVA) लागू करना चाहिए या OpenRoaming जैसे वाणिज्यिक संघ में शामिल होना चाहिए।

  1. होटल अपने एंटरप्राइज एक्सेस पॉइंट्स पर एक नया SSID ('eduroam' या 'OpenRoaming') कॉन्फ़िगर करता है।
  2. APs को WPA2-Enterprise/802.1X का उपयोग करने के लिए कॉन्फ़िगर किया गया है।
  3. होटल एक स्थानीय RADIUS सर्वर तैनात करता है जो बाहरी डोमेन के लिए प्रमाणीकरण अनुरोधों को राष्ट्रीय संघ (eduroam के लिए) या OpenRoaming हब पर प्रॉक्सी करने के लिए कॉन्फ़िगर किया गया है।
  4. सबसे महत्वपूर्ण रूप से, स्थानीय RADIUS सर्वर को सभी प्रॉक्सीड प्रमाणीकरण के लिए Access-Accept संदेश में एक विशिष्ट VLAN ID विशेषता वापस करने के लिए कॉन्फ़िगर किया गया है।
  5. एक्सेस पॉइंट्स इन प्रमाणित उपयोगकर्ताओं को एक अलग, केवल-इंटरनेट VLAN पर रखते हैं, जो होटल के कॉर्पोरेट और मानक अतिथि ट्रैफ़िक से पूरी तरह से अलग है।
परीक्षक की टिप्पणी: यह दृष्टिकोण प्रमाणीकरण को आगंतुकों के गृह संस्थानों पर स्थानांतरित करने के लिए RADIUS प्रॉक्सी आर्किटेक्चर का सही ढंग से लाभ उठाता है। RADIUS विशेषताओं के माध्यम से गतिशील VLAN असाइनमेंट का उपयोग करके, होटल सख्त नेटवर्क विभाजन बनाए रखता है, जो सुरक्षा आवश्यकताओं को पूरा करते हुए एक घर्षण रहित उपयोगकर्ता अनुभव प्रदान करता है।

एक विश्वविद्यालय की IT टीम ने छात्र खातों के क्रेडेंशियल लीक होने में तेजी देखी है। जांच से पता चलता है कि छात्र एक स्थानीय कॉफी शॉप में 'eduroam' SSID प्रसारित करने वाले एक दुष्ट (rogue) एक्सेस पॉइंट से कनेक्ट हो रहे हैं। यह दुष्ट AP PEAP के माध्यम से क्रेडेंशियल्स चुराने के लिए स्व-हस्ताक्षरित प्रमाणपत्र का उपयोग कर रहा है।

IT टीम को तुरंत सभी क्लाइंट उपकरणों पर सख्त प्रमाणपत्र सत्यापन लागू करना होगा।

  1. उन्हें छात्रों को मैन्युअल रूप से SSID से कनेक्ट करने और 'प्रमाणपत्र चेतावनी स्वीकार करने' की सलाह देना बंद करना होगा।
  2. वे BYOD उपकरणों के लिए eduroam Configuration Assistant Tool (CAT) तैनात करते हैं और प्रबंधित उपकरणों के लिए MDM प्रोफाइल अपडेट करते हैं।
  3. ये प्रोफाइल सप्लिकेंट को केवल उसी विशिष्ट प्रमाणपत्र प्राधिकरण (CA) पर भरोसा करने के लिए कॉन्फ़िगर करते हैं जिसने विश्वविद्यालय के RADIUS सर्वर प्रमाणपत्र को जारी किया है, और सर्वर के कॉमन नेम (CN) को सत्यापित करने के लिए कहते हैं।
  4. एक बार कॉन्फ़िगर होने के बाद, यदि किसी छात्र का उपकरण दुष्ट AP का सामना करता है, तो EAP टनल स्थापना विफल हो जाएगी क्योंकि दुष्ट प्रमाणपत्र पिन किए गए CA/CN से मेल नहीं खाता है, जिससे क्रेडेंशियल का प्रसारण रुक जाता है।
परीक्षक की टिप्पणी: यह परिदृश्य PEAP परिनियोजन में सबसे महत्वपूर्ण संवेदनशीलता को उजागर करता है। समाधान सही ढंग से पहचानता है कि इसका सुधार क्लाइंट-साइड कॉन्फ़िगरेशन है। नकली प्रमाणपत्रों की पहचान करने के लिए उपयोगकर्ता शिक्षा पर निर्भर रहना अप्रभावी है; तकनीकी नियंत्रण (प्रोफाइल पिनिंग) अनिवार्य हैं।

एक रिटेल चेन अपने मौजूदा अतिथि WiFi बुनियादी ढांचे का उपयोग करके 50 स्थानों पर OpenRoaming की पेशकश करना चाहती है, जो वर्तमान में Captive Portal के साथ एक खुले SSID पर निर्भर है।

रिटेल चेन को 802.1X और RADIUS प्रॉक्सीइंग का समर्थन करने के लिए अपने नेटवर्क को अपग्रेड करना होगा।

  1. नेटवर्क टीम OpenRoaming कंसोर्टियम OI (ऑर्गनाइजेशन आइडेंटिफायर) को प्रसारित करने वाला एक नया SSID सक्षम करती है।
  2. वे एक्सेस पॉइंट्स को 802.1X के माध्यम से प्रमाणित करने के लिए कॉन्फ़िगर करते हैं।
  3. वे अपने केंद्रीय RADIUS सर्वर को OpenRoaming फेडरेशन हब पर अनुरोधों को प्रॉक्सी करने के लिए कॉन्फ़िगर करते हैं।
  4. वे यह सुनिश्चित करते हैं कि उनका इंटरनेट बैकहॉल स्वचालित कनेक्शन में अपेक्षित वृद्धि का समर्थन कर सके, यदि आवश्यक हो तो समर्पित लीज्ड लाइनों में अपग्रेड किया जा सके।
परीक्षक की टिप्पणी: यह इस बात पर प्रकाश डालता है कि Captive Portal से एक संघबद्ध (federated) 802.1X मॉडल पर जाने के लिए मौलिक आर्किटेक्चरल बदलावों की आवश्यकता होती है, विशेष रूप से RADIUS प्रॉक्सीइंग के कार्यान्वयन और बढ़े हुए स्वचालित कनेक्शनों को संभालने की क्षमता।

अभ्यास प्रश्न

Q1. आपकी यूनिवर्सिटी एक नया वायरलेस नेटवर्क डिप्लॉय कर रही है। CISO का आदेश है कि दुष्ट एक्सेस पॉइंट्स के माध्यम से क्रेडेंशियल फ़िशिंग गणितीय रूप से असंभव होनी चाहिए। आपको कौन सी EAP विधि चुननी होगी?

संकेत: विचार करें कि कौन सी विधि पासवर्ड पर निर्भर करती है और कौन सी पूरी तरह से क्रिप्टोग्राफिक कीज पर निर्भर करती है।

मॉडल उत्तर देखें

आपको EAP-TLS चुनना होगा। PEAP के विपरीत, जो TLS टनल के भीतर एक पासवर्ड पर निर्भर करता है, EAP-TLS के लिए म्यूचुअल सर्टिफिकेट ऑथेंटिकेशन की आवश्यकता होती है। चूंकि क्लाइंट डिवाइस पासवर्ड के बजाय क्रिप्टोग्राफिक सर्टिफिकेट का उपयोग करके ऑथेंटिकेट करता है, इसलिए किसी दुष्ट एक्सेस पॉइंट के लिए फ़िश करने हेतु कोई क्रेडेंशियल नहीं होते हैं।

Q2. दूसरी यूनिवर्सिटी का एक विजिटिंग रिसर्चर शिकायत करता है कि वे आपके eduroam नेटवर्क से कनेक्ट नहीं हो पा रहे हैं। आपके लोकल यूजर्स ठीक से कनेक्ट हो रहे हैं। आप अपने लोकल RADIUS सर्वर लॉग की जांच करते हैं और अनुरोध को आते हुए देखते हैं, लेकिन Access-Accept प्राप्त होने से पहले यह टाइम आउट हो जाता है। इसका सबसे संभावित कारण क्या है?

संकेत: एक विजिटिंग यूजर बनाम एक लोकल यूजर के लिए ऑथेंटिकेशन अनुरोध के मार्ग के बारे में सोचें।

मॉडल उत्तर देखें

सबसे संभावित कारण आपके लोकल RADIUS सर्वर और राष्ट्रीय NREN RADIUS प्रॉक्सी के बीच कनेक्टिविटी या लेटेंसी की समस्या है। चूंकि लोकल यूजर्स सीधे आपके सर्वर के खिलाफ ऑथेंटिकेट करते हैं, इसलिए वे प्रभावित नहीं होते हैं। विजिटिंग यूजर के अनुरोध को अपस्ट्रीम प्रॉक्सी किया जाना चाहिए, और टाइमआउट इंगित करता है कि होम संस्थान से प्रतिक्रिया समय पर वापस नहीं आ रही है।

Q3. आप एक बड़ी यूनिवर्सिटी के पास स्थित एक रिटेल चेन के लिए नेटवर्क आर्किटेक्ट हैं। आप eduroam Visitor Access (eVA) का उपयोग करने वाले छात्रों को निर्बाध WiFi प्रदान करना चाहते हैं, लेकिन आपको अपने पॉइंट-ऑफ-सेल टर्मिनल्स के लिए PCI-DSS का अनुपालन करना होगा। आप eVA को सुरक्षित रूप से कैसे एकीकृत करते हैं?

संकेत: 802.1X नेटवर्क एक्सेस पॉइंट को ऑथेंटिकेशन के बाद ट्रैफ़िक को अलग करने की अनुमति कैसे देता है?

मॉडल उत्तर देखें

आप eVA को एकीकृत करने के लिए अपने RADIUS सर्वर को इस प्रकार कॉन्फ़िगर करते हैं कि सभी सफल eVA ऑथेंटिकेशन एक समर्पित, केवल-इंटरनेट गेस्ट VLAN को असाइन किए जा सकें। RADIUS सर्वर से आने वाले Access-Accept संदेश में विशिष्ट VLAN ID शामिल होनी चाहिए। यह सुनिश्चित करता है कि छात्रों के डिवाइस पूरी तरह से पॉइंट-ऑफ-सेल टर्मिनलों द्वारा उपयोग किए जाने वाले PCI-अनुपालक VLAN से अलग हैं, जो अनुपालन आवश्यकताओं को पूरा करता है।

इस श्रृंखला में आगे पढ़ें

उच्च शिक्षा में सुरक्षित BYOD और नेटवर्क नामांकन के लिए SCEP को कैसे लागू करें

यह तकनीकी मार्गदर्शिका नेटवर्क आर्किटेक्ट्स और IT प्रबंधकों को उच्च शिक्षा परिसर नेटवर्क को सुरक्षित करने के लिए SCEP-आधारित प्रमाणपत्र नामांकन को तैनात करने के लिए एक वेंडर-न्यूट्रल ब्लूप्रिंट प्रदान करती है। यह विवरण देती है कि पासवर्ड-आधारित PEAP से 802.1X EAP-TLS पर कैसे माइग्रेट करें, BYOD ऑनबोर्डिंग को स्वचालित करें, और मजबूत VLAN सेगमेंटेशन लागू करें।

गाइड पढ़ें →

Server RADIUS: व्यवसायों के लिए एक व्यापक गाइड

यह गाइड IT प्रबंधकों, नेटवर्क आर्किटेक्ट्स और CTOs को एंटरप्राइज WiFi के लिए server RADIUS प्रमाणीकरण पर एक निश्चित तकनीकी संदर्भ प्रदान करती है। इसमें AAA फ्रेमवर्क, 802.1X आर्किटेक्चर, EAP विधि चयन, क्लाउड बनाम ऑन-प्रिमाइसेस डिप्लॉयमेंट के बीच समझौता, और डायनेमिक VLAN असाइनमेंट शामिल हैं। हॉस्पिटैलिटी, रिटेल, इवेंट्स और सार्वजनिक क्षेत्र के वेन्यू ऑपरेटरों को इसमें व्यावहारिक कार्यान्वयन मार्गदर्शन, वास्तविक दुनिया के केस स्टडीज और असुरक्षित प्री-शेयर्ड कीज़ से एक सुरक्षित, पहचान-आधारित नेटवर्क एक्सेस कंट्रोल आर्किटेक्चर पर माइग्रेट करने के लिए आवश्यक निर्णय फ्रेमवर्क मिलेंगे।

गाइड पढ़ें →

Aruba ClearPass बनाम Purple WiFi: सुविधाओं और सह-तैनाती की तुलना

Aruba ClearPass और Purple WiFi के सह-तैनाती आर्किटेक्चर का विवरण देने वाली एक व्यापक तकनीकी गाइड। इसमें RADIUS प्रॉक्सी कॉन्फ़िगरेशन, डायनेमिक VLAN असाइनमेंट, और एंटरप्राइज़ NAC के साथ सुरक्षित, एनालिटिक्स-संचालित अतिथि नेटवर्क प्रदान करने के सर्वोत्तम अभ्यास शामिल हैं।

गाइड पढ़ें →