eduroam और 802.1X: उच्च शिक्षा के लिए सुरक्षित WiFi प्रमाणीकरण
यह आधिकारिक तकनीकी संदर्भ मार्गदर्शिका eduroam और 802.1X प्रमाणीकरण के आर्किटेक्चर, परिनियोजन और सुरक्षा की व्याख्या करती है। IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए डिज़ाइन की गई, यह व्यावहारिक कार्यान्वयन चरणों, EAP विधि चयन, और स्थल संचालक सुरक्षित रूप से शैक्षणिक रोमिंग का समर्थन कैसे कर सकते हैं, इस पर चर्चा करती है।
इस गाइड को सुनें
पॉडकास्ट ट्रांसक्रिप्ट देखें
- कार्यकारी सारांश
- तकनीकी गहन विश्लेषण: 802.1X और eduroam आर्किटेक्चर
- 802.1X ट्राइएंगल मॉडल
- eduroam का RADIUS प्रॉक्सी पदानुक्रम
- EAP तरीके: सुरक्षा और परिनियोजन क्षमता के बीच समझौता
- कार्यान्वयन गाइड
- 1. इन्फ्रास्ट्रक्चर की तैयारी
- 2. प्रमाणपत्र प्रबंधन (Certificate Management)
- 3. क्लाइंट कॉन्फ़िगरेशन (CAT टूल)
- 4. VLAN असाइनमेंट और सेगमेंटेशन
- सर्वोत्तम अभ्यास और विक्रेता-तटस्थ अनुशंसाएँ
- समस्या निवारण और जोखिम न्यूनीकरण
- ROI और व्यावसायिक प्रभाव

कार्यकारी सारांश
उच्च शिक्षा संस्थानों और उनके कर्मचारियों और छात्रों को सेवा प्रदान करने वाले स्थानों के लिए, सुरक्षित, निर्बाध वायरलेस कनेक्टिविटी प्रदान करना अब कोई विलासिता नहीं बल्कि एक परिचालन आवश्यकता है। इस कनेक्टिविटी का मानक eduroam है, जो IEEE 802.1X फ्रेमवर्क पर निर्मित एक वैश्विक रोमिंग सेवा है।
यह गाइड IT प्रबंधकों, नेटवर्क आर्किटेक्ट्स और स्थल संचालन निदेशकों को 802.1X और eduroam को समझने, तैनात करने और समस्या निवारण के लिए एक व्यापक, वेंडर-तटस्थ संदर्भ प्रदान करती है। हम यह जांचने के लिए बुनियादी सैद्धांतिक मॉडलों से आगे जाते हैं कि एंटरप्राइज-ग्रेड कैंपस WiFi वास्तव में व्यवहार में कैसे काम करता है, जिसमें सर्टिफिकेट प्रबंधन, RADIUS प्रॉक्सी आर्किटेक्चर और एक व्यापक गेस्ट नेटवर्क रणनीति के साथ एकीकरण शामिल है।
चाहे आप किसी पुराने विश्वविद्यालय नेटवर्क को अपग्रेड कर रहे हों या शैक्षणिक आगंतुकों का समर्थन करने के लिए एक सम्मेलन केंद्र को कॉन्फ़िगर कर रहे हों, 802.1X को सही ढंग से लागू करने से सुरक्षा जोखिम - विशेष रूप से क्रेडेंशियल चोरी - काफी कम हो जाता है, जबकि सहायता ओवरहेड में भारी कटौती होती है। पारंपरिक उच्च शिक्षा से बाहर के स्थानों के लिए, इन मानकों को समझना OpenRoaming जैसे वाणिज्यिक रोमिंग महासंघों के मूल्यांकन के लिए आवश्यक है, जो समान अंतर्निहित आर्किटेक्चर साझा करते हैं।
तकनीकी गहन विश्लेषण: 802.1X और eduroam आर्किटेक्चर
अपने मूल में, eduroam IEEE 802.1X का एक कार्यान्वयन है, जो पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल मानक है। 802.1X मूल रूप से वायर्ड नेटवर्क के लिए डिज़ाइन किया गया था, लेकिन यह WPA2-Enterprise और WPA3-Enterprise सुरक्षा की नींव बनाता है।
802.1X ट्राइएंगल मॉडल
802.1X फ्रेमवर्क पहुंच को अधिकृत करने के लिए तीन अलग-अलग घटकों की परस्पर क्रिया पर निर्भर करता है:
- सप्लीकेंट (Supplicant): नेटवर्क एक्सेस का अनुरोध करने वाला क्लाइंट डिवाइस (उदाहरण के लिए, एक छात्र का लैपटॉप या स्मार्टफोन)।
- प्रमाणीकर्ता (Authenticator): नेटवर्क एक्सेस डिवाइस (उदाहरण के लिए, एक वायरलेस एक्सेस पॉइंट या प्रबंधित स्विच)। यह एक द्वारपाल के रूप में कार्य करता है, जब तक कि डिवाइस अधिकृत न हो जाए, प्रमाणीकरण संदेशों को छोड़कर सभी ट्रैफ़िक को अवरुद्ध करता है।
- प्रमाणीकरण सर्वर (Authentication Server): बैक-एंड सिस्टम जो क्रेडेंशियल को मान्य करता है, जो लगभग सार्वभौमिक रूप से एक RADIUS (रिमोट ऑथेंटिकेशन डायल-इन यूजर सर्विस) सर्वर है।
जब कोई डिवाइस कनेक्ट होता है, तो प्रमाणीकर्ता एक नियंत्रित पोर्ट स्थापित करता है। यह सप्लीकेंट और प्रमाणीकरण सर्वर के बीच एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल (EAP) संदेशों को रिले करता है। यदि क्रेडेंशियल मान्य हैं, तो सर्वर एक RADIUS Access-Accept संदेश लौटाता है, और प्रमाणीकर्ता मानक IP ट्रैफ़िक को गुजरने की अनुमति देने के लिए पोर्ट खोलता है।

eduroam का RADIUS प्रॉक्सी पदानुक्रम
eduroam को जो चीज़ विशिष्ट बनाती है वह इसका फ़ेडरेटेड आर्किटेक्चर है। यह उपयोगकर्ताओं को किसी भी भाग लेने वाले संस्थान में अपने होम क्रेडेंशियल का उपयोग करके प्रमाणित करने की अनुमति देता है, बिना होस्ट संस्थान के पास उन क्रेडेंशियल की कोई कॉपी रखे।
यह RADIUS प्रॉक्सी की एक पदानुक्रमित श्रृंखला के माध्यम से प्राप्त किया जाता है। जब username@university.ac.uk का कोई उपयोगकर्ता किसी होस्ट स्थान पर eduroam SSID से कनेक्ट होता है:
- उपयोगकर्ता का डिवाइस
username@university.ac.ukके रूप में एक प्रमाणीकरण अनुरोध भेजता है। - होस्ट स्थान का RADIUS सर्वर रीयलम (
@प्रतीक के बाद का भाग) का निरीक्षण करता है। इसे एक बाहरी डोमेन के रूप में पहचानते हुए, यह अनुरोध को राष्ट्रीय शीर्ष-स्तरीय RADIUS सर्वर (राष्ट्रीय अनुसंधान और शिक्षा नेटवर्क, या NREN द्वारा संचालित) पर प्रॉक्सी करता है। - राष्ट्रीय सर्वर अनुरोध को होम संस्थान के RADIUS सर्वर (
university.ac.uk) पर रूट करता है। - होम संस्थान क्रेडेंशियल को मान्य करता है और श्रृंखला के माध्यम से वापस एक
Access-AcceptयाAccess-Rejectसंदेश भेजता है।
यह पूरी प्रक्रिया आमतौर पर दो सेकंड से भी कम समय में पूरी हो जाती है। सबसे महत्वपूर्ण बात यह है कि उपयोगकर्ता का पासवर्ड कभी भी होस्ट संस्थान या मध्यवर्ती प्रॉक्सी सर्वर के सामने प्रकट नहीं होता है; यह सप्लिकेंट और होम RADIUS सर्वर के बीच सीधे स्थापित एक एन्क्रिप्टेड EAP टनल के अंदर सुरक्षित रहता है।
EAP तरीके: सुरक्षा और परिनियोजन क्षमता के बीच समझौता
EAP तरीके का चयन यह निर्धारित करता है कि एन्क्रिप्टेड टनल कैसे बनती है और क्रेडेंशियल का आदान-प्रदान कैसे होता है। eduroam नीति सेवा परिभाषा सुरक्षा सुनिश्चित करने के लिए अनुमत तरीकों को सख्ती से सीमित करती है।
- PEAP (Protected EAP): सबसे आम परिनियोजन विधि। यह TLS टनल स्थापित करने के लिए RADIUS सर्वर पर सर्वर-साइड सर्टिफिकेट का उपयोग करता है। क्लाइंट फिर उस टनल के अंदर प्रमाणित होता है, आमतौर पर PEAP (MSCHAPv2 का उपयोग करके उपयोगकर्ता नाम और पासवर्ड) का उपयोग करके। इसे परिनियोजित करना अपेक्षाकृत आसान है, लेकिन यदि क्लाइंट्स को सर्वर सर्टिफिकेट को सख्ती से मान्य करने के लिए कॉन्फ़िगर नहीं किया गया है, तो यह नकली एक्सेस पॉइंट हमलों के प्रति संवेदनशील है।
- EAP-TLS: सुरक्षा के लिए स्वर्ण मानक। इसमें पारस्परिक प्रमाणीकरण की आवश्यकता होती है, जिसका अर्थ है कि RADIUS सर्वर और क्लाइंट डिवाइस दोनों को वैध सर्टिफिकेट प्रस्तुत करने होंगे। हालांकि यह क्रेडेंशियल फ़िशिंग से सुरक्षित है, लेकिन क्लाइंट सर्टिफिकेट जारी करने और प्रबंधित करने के लिए एक मजबूत पब्लिक की इन्फ्रास्ट्रक्चर (PKI) की आवश्यकता होती है, जिससे बड़े पैमाने पर परिनियोजन अधिक जटिल हो जाता है।
कार्यान्वयन गाइड
802.1X और eduroam को परिनियोजित करने के लिए नेटवर्क इन्फ्रास्ट्रक्चर, पहचान प्रबंधन और क्लाइंट कॉन्फ़िगरेशन के बीच सावधानीपूर्वक समन्वय की आवश्यकता होती है।
1. इन्फ्रास्ट्रक्चर की तैयारी
सुनिश्चित करें कि आपके वायरलेस एक्सेस पॉइंट और कंट्रोलर WPA2-Enterprise/WPA3-Enterprise और 802.1X का समर्थन करते हैं। कोई भी आधुनिक एंटरप्राइज़-ग्रेड हार्डवेयर (Cisco, Aruba, Juniper, और अन्य) इस आवश्यकता को पूरा करेगा। आपको एक मजबूत RADIUS इन्फ्रास्ट्रक्चर (जैसे FreeRADIUS, Cisco ISE, या Aruba ClearPass) भी तैनात करना होगा जो अपेक्षित प्रमाणीकरण लोड को संभालने और अनुरोधों को प्रॉक्सी करने में सक्षम हो।
2. प्रमाणपत्र प्रबंधन (Certificate Management)
PEAP तैनाती के लिए, आपके RADIUS सर्वर को आपके क्लाइंट द्वारा विश्वसनीय प्रमाणपत्र प्राधिकरण (CA) द्वारा जारी किए गए TLS प्रमाणपत्र की आवश्यकता होती है। प्रोडक्शन eduroam तैनाती में कभी भी स्व-हस्ताक्षरित (self-signed) प्रमाणपत्रों का उपयोग न करें। प्रमाणीकरण आउटेज को रोकने के लिए प्रमाणपत्रों को नियमित रूप से नवीनीकृत किया जाना चाहिए।
3. क्लाइंट कॉन्फ़िगरेशन (CAT टूल)
eduroam तैनाती में विफलता का सबसे आम कारण क्लाइंट का गलत कॉन्फ़िगरेशन है। जब उपयोगकर्ता मैन्युअल रूप से कनेक्ट होते हैं, तो वे अक्सर प्रमाणपत्र सत्यापन को कॉन्फ़िगर करने में विफल रहते हैं, जिससे वे क्रेडेंशियल-हार्वेस्टिंग हमलों के प्रति संवेदनशील हो जाते हैं।
इस जोखिम को कम करने के लिए, संस्थानों को पूर्व-कॉन्फ़िगर किए गए प्रोफाइल वितरित करने के लिए eduroam कॉन्फ़िगरेशन असिस्टेंट टूल (CAT) या एक MDM समाधान का उपयोग करना चाहिए। ये प्रोफाइल स्वचालित रूप से सही EAP विधि को कॉन्फ़िगर करते हैं, अपेक्षित RADIUS सर्वर प्रमाणपत्र को पिन करते हैं, और उपयुक्त आंतरिक प्रमाणीकरण प्रोटोकॉल सेट करते हैं।
4. VLAN असाइनमेंट और सेगमेंटेशन
एक परिपक्व तैनाती उपयोगकर्ता की पहचान के आधार पर गतिशील रूप से VLAN असाइन करने के लिए RADIUS विशेषताओं का उपयोग करती है।
- आंतरिक उपयोगकर्ता: परिसर के संसाधनों तक उचित पहुंच के साथ आंतरिक VLANs में असाइन किए जाते हैं।
- आगंतुक उपयोगकर्ता: केवल इंटरनेट पहुंच प्रदान करने वाले एक सीमित गेस्ट VLAN में असाइन किए जाते हैं।
यह सेगमेंटेशन सुरक्षा और अनुपालन के लिए महत्वपूर्ण है, जो यह सुनिश्चित करता है कि आने वाले डिवाइस संवेदनशील आंतरिक नेटवर्क तक नहीं पहुंच सकते।

सर्वोत्तम अभ्यास और विक्रेता-तटस्थ अनुशंसाएँ
- WPA3 को प्राथमिकता दें: नई तैनाती के लिए, अनिवार्य 192-बिट एन्क्रिप्शन और ऑफ़लाइन डिक्शनरी हमलों के खिलाफ बेहतर सुरक्षा प्राप्त करने के लिए WPA3-Enterprise को सक्षम करें।
- प्रमाणपत्र सत्यापन लागू करें: यह सुनिश्चित करने के लिए कॉन्फ़िगरेशन प्रोफाइल (CAT या MDM के माध्यम से) के उपयोग की आवश्यकता है कि सप्लीकेंट क्रेडेंशियल प्रसारित करने से पहले RADIUS सर्वर प्रमाणपत्र को कड़ाई से सत्यापित करे।
- RadSec का उपयोग करें: राष्ट्रीय फ़ेडरेशन के लिए RADIUS प्रॉक्सी कनेक्शन कॉन्फ़िगर करते समय, सादे UDP के बजाय RadSec (TLS पर RADIUS) का उपयोग करें। यह प्रॉक्सी ट्रैफ़िक को एन्क्रिप्ट करता है और वाइड-एरिया लिंक पर विश्वसनीयता में सुधार करता है।
- गेस्ट समाधान के साथ एकीकृत करें: eduroam केवल शैक्षणिक क्रेडेंशियल वाले उपयोगकर्ताओं को सेवा प्रदान करता है। आपको ठेकेदारों, आम जनता के सदस्यों और कार्यक्रम में भाग लेने वालों के लिए एक अलग, सुरक्षित Guest WiFi समाधान बनाए रखना होगा।* संबंधित बुनियादी ढांचे की समीक्षा करें: सुनिश्चित करें कि आपका अंतर्निहित नेटवर्क सुरक्षित है। अधिक विवरण के लिए हमारी गाइड सशक्त DNS और सुरक्षा के साथ अपने नेटवर्क को सुरक्षित करना पढ़ें। यदि विश्वविद्यालय के आयोजनों के लिए अस्थायी बुनियादी ढांचा तैनात कर रहे हैं, तो Event WiFi: अस्थायी वायरलेस नेटवर्क की योजना बनाना और तैनात करना या पुर्तगाली भाषा का संस्करण Event WiFi: Planeamento e Implementação de Redes Sem Fios Temporárias देखें।
समस्या निवारण और जोखिम न्यूनीकरण
जब प्रमाणीकरण विफल हो जाता है, तो व्यवस्थित समस्या निवारण आवश्यक है।
- विफलता डोमेन को अलग करें: निर्धारित करें कि खराबी स्थानीय है (आपके अपने नेटवर्क पर उपयोगकर्ताओं को प्रभावित कर रही है), दूरस्थ है (आपके उपयोगकर्ताओं को कहीं और प्रभावित कर रही है), या इनबाउंड है (आपके नेटवर्क पर आगंतुकों को प्रभावित कर रही है)।
- RADIUS लॉग की जांच करें: RADIUS सर्वर लॉग सत्य के आधिकारिक स्रोत हैं।
Access-Rejectसंदेशों (खराब क्रेडेंशियल या नीति उल्लंघनों को इंगित करने वाले) या टाइमआउट (प्रॉक्सी कनेक्टिविटी समस्याओं को इंगित करने वाले) की तलाश करें। - प्रमाणपत्र वैधता सत्यापित करें: सुनिश्चित करें कि RADIUS सर्वर प्रमाणपत्र समाप्त नहीं हुआ है और ग्राहकों को पूर्ण प्रमाणपत्र श्रृंखला प्रस्तुत की जा रही है।
- अपस्ट्रीम विलंबता (लेटेंसी) की निगरानी करें: राष्ट्रीय RADIUS प्रॉक्सी के लिए उच्च विलंबता ग्राहक टाइमआउट का कारण बन सकती है, जिसके परिणामस्वरूप क्रेडेंशियल सही होने पर भी कनेक्शन विफल हो जाते हैं।
ROI और व्यावसायिक प्रभाव
उच्च शिक्षा संस्थानों के लिए, उचित रूप से तैनात eduroam कार्यान्वयन का रिटर्न सपोर्ट टिकटों में भारी कमी के रूप में दिखाई देता है। Captive Portal और मैन्युअल पासवर्ड प्रविष्टि को समाप्त करके, IT हेल्पडेस्क को कनेक्टिविटी से संबंधित कॉलों में महत्वपूर्ण गिरावट दिखाई देती है। (इस क्षेत्र के प्रति Purple की प्रतिबद्धता स्पष्ट है; देखें Purple उच्च शिक्षा की आकांक्षाओं को रेखांकित करते हुए टिम पीयर्स को शिक्षा के VP के रूप में नियुक्त करता है )।
व्यावसायिक स्थलों - जैसे कि आतिथ्य , खुदरा , स्वास्थ्य सेवा , या परिवहन - के लिए eduroam Visitor Access (eVA) या OpenRoaming जैसे समान संघों का समर्थन करना एक उच्च-मूल्य वाले जनसांख्यिकी के लिए एक सहज अनुभव प्रदान करता है। यह सुनिश्चित करता है कि शैक्षणिक आगंतुक स्वचालित रूप से और सुरक्षित रूप से कनेक्ट हों, जिससे संतुष्टि में सुधार होता है और स्थल को सख्त नेटवर्क विभाजन बनाए रखने की अनुमति मिलती है। यदि आपके स्थल को इस मांग का समर्थन करने के लिए समर्पित बैंडविड्थ की आवश्यकता है, तो लीज्ड लाइन क्या है? व्यवसाय के लिए बना इंटरनेट पढ़ने पर विचार करें।
नेटवर्क अपग्रेड की योजना बनाते समय, 802.1X क्षमता को एकीकृत करना यह सुनिश्चित करता है कि आपका बुनियादी ढांचा आधुनिक पहचान-संचालित नेटवर्किंग के लिए तैयार है, जो उन्नत WiFi Analytics और स्थान-आधारित सेवाओं के लिए आधार तैयार करता है।
मुख्य परिभाषाएं
802.1X
पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल (PNAC) के लिए एक IEEE मानक। यह उन डिवाइसेस को एक ऑथेंटिकेशन मैकेनिज्म प्रदान करता है जो LAN या WLAN से जुड़ना चाहते हैं।
एंटरप्राइज-ग्रेड WiFi सुरक्षा के लिए बुनियादी प्रोटोकॉल, जो साझा पासवर्ड (PSKs) को व्यक्तिगत ऑथेंटिकेशन से बदल देता है।
RADIUS (Remote Authentication Dial-In User Service)
एक नेटवर्किंग प्रोटोकॉल जो नेटवर्क सेवा से जुड़ने और उसका उपयोग करने वाले यूजर्स के लिए सेंट्रलाइज्ड ऑथेंटिकेशन, ऑथराइजेशन और अकाउंटिंग (AAA) मैनेजमेंट प्रदान करता है।
802.1X डिप्लॉयमेंट में बैकएंड सर्वर जो वास्तव में डायरेक्टरी (जैसे Active Directory) के खिलाफ यूजर क्रेडेंशियल की जांच करता है।
EAP (Extensible Authentication Protocol)
एक ऑथेंटिकेशन फ्रेमवर्क जिसका उपयोग अक्सर वायरलेस नेटवर्क और पॉइंट-टू-पॉइंट कनेक्शन में किया जाता है। यह विभिन्न ऑथेंटिकेशन मैकेनिज्म के ट्रांसपोर्ट और उपयोग का प्रावधान करता है।
802.1X हैंडशेक के दौरान क्लाइंट डिवाइस और RADIUS सर्वर के बीच बोली जाने वाली भाषा।
Supplicant
क्लाइंट डिवाइस (जैसे, लैपटॉप, स्मार्टफोन) या उस डिवाइस पर मौजूद सॉफ्टवेयर जो 802.1X का उपयोग करके नेटवर्क पर ऑथेंटिकेट करने का प्रयास कर रहा है।
पहुंच का अनुरोध करने वाली इकाई। इसका कॉन्फ़िगरेशन (विशेष रूप से सर्टिफिकेट वैलिडेशन के संबंध में) सुरक्षा के लिए महत्वपूर्ण है।
Authenticator
नेटवर्क डिवाइस (जैसे, वायरलेस एक्सेस पॉइंट, ईथरनेट स्विच) जो Supplicant और ऑथेंटिकेशन सर्वर के बीच मैसेज पास करके 802.1X ऑथेंटिकेशन प्रक्रिया को सुगम बनाता है।
वह गेटकीपर जो नेटवर्क ट्रैफ़िक को तब तक ब्लॉक करता है जब तक कि RADIUS सर्वर हरी झंडी न दे दे।
PEAP (Protected Extensible Authentication Protocol)
एक EAP विधि जो सर्वर-साइड सर्टिफिकेट का उपयोग करके स्थापित TLS टनल के भीतर EAP ट्रांजैक्शन को एनकैप्सुलेट करती है, जिससे आंतरिक ऑथेंटिकेशन (आमतौर पर पासवर्ड) सुरक्षित रहता है।
eduroam के लिए सबसे आम ऑथेंटिकेशन विधि, जो सुरक्षा के साथ डिप्लॉयमेंट की आसानी को संतुलित करती है।
RadSec
पारंपरिक UDP के बजाय TCP और TLS पर RADIUS डेटा ट्रांसमिट करने का एक प्रोटोकॉल।
संस्थानों और राष्ट्रीय eduroam फेडरेशन के बीच प्रॉक्सी कनेक्शन को सुरक्षित करने के लिए अनुशंसित, जो ऑथेंटिकेशन ट्रैफ़िक को बीच में रोके जाने से रोकता है।
Realm
यूज़र की पहचान का वह हिस्सा जो '@' सिंबल के बाद आता है (जैसे, 'user@university.ac.uk' में 'university.ac.uk')।
eduroam जैसे फ़ेडरेटेड वातावरण में ऑथेंटिकेशन अनुरोध को कहाँ रूट करना है, यह निर्धारित करने के लिए RADIUS प्रॉक्सी सर्वर द्वारा उपयोग किया जाता है।
हल किए गए उदाहरण
एक प्रमुख विश्वविद्यालय के निकट स्थित 400 कमरों वाला कॉन्फ्रेंस होटल अक्सर शैक्षणिक संगोष्ठियों की मेजबानी करता है। IT निदेशक चाहते हैं कि आगंतुक शिक्षाविद होटल के मानक Captive Portal का उपयोग किए बिना स्वचालित रूप से कनेक्ट हो सकें, लेकिन यह सुनिश्चित करना होगा कि ये आगंतुक होटल के कॉर्पोरेट नेटवर्क या मानक अतिथि नेटवर्क VLAN तक नहीं पहुंच सकें।
होटल को eduroam Visitor Access (eVA) लागू करना चाहिए या OpenRoaming जैसे वाणिज्यिक संघ में शामिल होना चाहिए।
- होटल अपने एंटरप्राइज एक्सेस पॉइंट्स पर एक नया SSID ('eduroam' या 'OpenRoaming') कॉन्फ़िगर करता है।
- APs को WPA2-Enterprise/802.1X का उपयोग करने के लिए कॉन्फ़िगर किया गया है।
- होटल एक स्थानीय RADIUS सर्वर तैनात करता है जो बाहरी डोमेन के लिए प्रमाणीकरण अनुरोधों को राष्ट्रीय संघ (eduroam के लिए) या OpenRoaming हब पर प्रॉक्सी करने के लिए कॉन्फ़िगर किया गया है।
- सबसे महत्वपूर्ण रूप से, स्थानीय RADIUS सर्वर को सभी प्रॉक्सीड प्रमाणीकरण के लिए
Access-Acceptसंदेश में एक विशिष्ट VLAN ID विशेषता वापस करने के लिए कॉन्फ़िगर किया गया है। - एक्सेस पॉइंट्स इन प्रमाणित उपयोगकर्ताओं को एक अलग, केवल-इंटरनेट VLAN पर रखते हैं, जो होटल के कॉर्पोरेट और मानक अतिथि ट्रैफ़िक से पूरी तरह से अलग है।
एक विश्वविद्यालय की IT टीम ने छात्र खातों के क्रेडेंशियल लीक होने में तेजी देखी है। जांच से पता चलता है कि छात्र एक स्थानीय कॉफी शॉप में 'eduroam' SSID प्रसारित करने वाले एक दुष्ट (rogue) एक्सेस पॉइंट से कनेक्ट हो रहे हैं। यह दुष्ट AP PEAP के माध्यम से क्रेडेंशियल्स चुराने के लिए स्व-हस्ताक्षरित प्रमाणपत्र का उपयोग कर रहा है।
IT टीम को तुरंत सभी क्लाइंट उपकरणों पर सख्त प्रमाणपत्र सत्यापन लागू करना होगा।
- उन्हें छात्रों को मैन्युअल रूप से SSID से कनेक्ट करने और 'प्रमाणपत्र चेतावनी स्वीकार करने' की सलाह देना बंद करना होगा।
- वे BYOD उपकरणों के लिए eduroam Configuration Assistant Tool (CAT) तैनात करते हैं और प्रबंधित उपकरणों के लिए MDM प्रोफाइल अपडेट करते हैं।
- ये प्रोफाइल सप्लिकेंट को केवल उसी विशिष्ट प्रमाणपत्र प्राधिकरण (CA) पर भरोसा करने के लिए कॉन्फ़िगर करते हैं जिसने विश्वविद्यालय के RADIUS सर्वर प्रमाणपत्र को जारी किया है, और सर्वर के कॉमन नेम (CN) को सत्यापित करने के लिए कहते हैं।
- एक बार कॉन्फ़िगर होने के बाद, यदि किसी छात्र का उपकरण दुष्ट AP का सामना करता है, तो EAP टनल स्थापना विफल हो जाएगी क्योंकि दुष्ट प्रमाणपत्र पिन किए गए CA/CN से मेल नहीं खाता है, जिससे क्रेडेंशियल का प्रसारण रुक जाता है।
एक रिटेल चेन अपने मौजूदा अतिथि WiFi बुनियादी ढांचे का उपयोग करके 50 स्थानों पर OpenRoaming की पेशकश करना चाहती है, जो वर्तमान में Captive Portal के साथ एक खुले SSID पर निर्भर है।
रिटेल चेन को 802.1X और RADIUS प्रॉक्सीइंग का समर्थन करने के लिए अपने नेटवर्क को अपग्रेड करना होगा।
- नेटवर्क टीम OpenRoaming कंसोर्टियम OI (ऑर्गनाइजेशन आइडेंटिफायर) को प्रसारित करने वाला एक नया SSID सक्षम करती है।
- वे एक्सेस पॉइंट्स को 802.1X के माध्यम से प्रमाणित करने के लिए कॉन्फ़िगर करते हैं।
- वे अपने केंद्रीय RADIUS सर्वर को OpenRoaming फेडरेशन हब पर अनुरोधों को प्रॉक्सी करने के लिए कॉन्फ़िगर करते हैं।
- वे यह सुनिश्चित करते हैं कि उनका इंटरनेट बैकहॉल स्वचालित कनेक्शन में अपेक्षित वृद्धि का समर्थन कर सके, यदि आवश्यक हो तो समर्पित लीज्ड लाइनों में अपग्रेड किया जा सके।
अभ्यास प्रश्न
Q1. आपकी यूनिवर्सिटी एक नया वायरलेस नेटवर्क डिप्लॉय कर रही है। CISO का आदेश है कि दुष्ट एक्सेस पॉइंट्स के माध्यम से क्रेडेंशियल फ़िशिंग गणितीय रूप से असंभव होनी चाहिए। आपको कौन सी EAP विधि चुननी होगी?
संकेत: विचार करें कि कौन सी विधि पासवर्ड पर निर्भर करती है और कौन सी पूरी तरह से क्रिप्टोग्राफिक कीज पर निर्भर करती है।
मॉडल उत्तर देखें
आपको EAP-TLS चुनना होगा। PEAP के विपरीत, जो TLS टनल के भीतर एक पासवर्ड पर निर्भर करता है, EAP-TLS के लिए म्यूचुअल सर्टिफिकेट ऑथेंटिकेशन की आवश्यकता होती है। चूंकि क्लाइंट डिवाइस पासवर्ड के बजाय क्रिप्टोग्राफिक सर्टिफिकेट का उपयोग करके ऑथेंटिकेट करता है, इसलिए किसी दुष्ट एक्सेस पॉइंट के लिए फ़िश करने हेतु कोई क्रेडेंशियल नहीं होते हैं।
Q2. दूसरी यूनिवर्सिटी का एक विजिटिंग रिसर्चर शिकायत करता है कि वे आपके eduroam नेटवर्क से कनेक्ट नहीं हो पा रहे हैं। आपके लोकल यूजर्स ठीक से कनेक्ट हो रहे हैं। आप अपने लोकल RADIUS सर्वर लॉग की जांच करते हैं और अनुरोध को आते हुए देखते हैं, लेकिन Access-Accept प्राप्त होने से पहले यह टाइम आउट हो जाता है। इसका सबसे संभावित कारण क्या है?
संकेत: एक विजिटिंग यूजर बनाम एक लोकल यूजर के लिए ऑथेंटिकेशन अनुरोध के मार्ग के बारे में सोचें।
मॉडल उत्तर देखें
सबसे संभावित कारण आपके लोकल RADIUS सर्वर और राष्ट्रीय NREN RADIUS प्रॉक्सी के बीच कनेक्टिविटी या लेटेंसी की समस्या है। चूंकि लोकल यूजर्स सीधे आपके सर्वर के खिलाफ ऑथेंटिकेट करते हैं, इसलिए वे प्रभावित नहीं होते हैं। विजिटिंग यूजर के अनुरोध को अपस्ट्रीम प्रॉक्सी किया जाना चाहिए, और टाइमआउट इंगित करता है कि होम संस्थान से प्रतिक्रिया समय पर वापस नहीं आ रही है।
Q3. आप एक बड़ी यूनिवर्सिटी के पास स्थित एक रिटेल चेन के लिए नेटवर्क आर्किटेक्ट हैं। आप eduroam Visitor Access (eVA) का उपयोग करने वाले छात्रों को निर्बाध WiFi प्रदान करना चाहते हैं, लेकिन आपको अपने पॉइंट-ऑफ-सेल टर्मिनल्स के लिए PCI-DSS का अनुपालन करना होगा। आप eVA को सुरक्षित रूप से कैसे एकीकृत करते हैं?
संकेत: 802.1X नेटवर्क एक्सेस पॉइंट को ऑथेंटिकेशन के बाद ट्रैफ़िक को अलग करने की अनुमति कैसे देता है?
मॉडल उत्तर देखें
आप eVA को एकीकृत करने के लिए अपने RADIUS सर्वर को इस प्रकार कॉन्फ़िगर करते हैं कि सभी सफल eVA ऑथेंटिकेशन एक समर्पित, केवल-इंटरनेट गेस्ट VLAN को असाइन किए जा सकें। RADIUS सर्वर से आने वाले Access-Accept संदेश में विशिष्ट VLAN ID शामिल होनी चाहिए। यह सुनिश्चित करता है कि छात्रों के डिवाइस पूरी तरह से पॉइंट-ऑफ-सेल टर्मिनलों द्वारा उपयोग किए जाने वाले PCI-अनुपालक VLAN से अलग हैं, जो अनुपालन आवश्यकताओं को पूरा करता है।
इस श्रृंखला में आगे पढ़ें
उच्च शिक्षा में सुरक्षित BYOD और नेटवर्क नामांकन के लिए SCEP को कैसे लागू करें
यह तकनीकी मार्गदर्शिका नेटवर्क आर्किटेक्ट्स और IT प्रबंधकों को उच्च शिक्षा परिसर नेटवर्क को सुरक्षित करने के लिए SCEP-आधारित प्रमाणपत्र नामांकन को तैनात करने के लिए एक वेंडर-न्यूट्रल ब्लूप्रिंट प्रदान करती है। यह विवरण देती है कि पासवर्ड-आधारित PEAP से 802.1X EAP-TLS पर कैसे माइग्रेट करें, BYOD ऑनबोर्डिंग को स्वचालित करें, और मजबूत VLAN सेगमेंटेशन लागू करें।
Server RADIUS: व्यवसायों के लिए एक व्यापक गाइड
यह गाइड IT प्रबंधकों, नेटवर्क आर्किटेक्ट्स और CTOs को एंटरप्राइज WiFi के लिए server RADIUS प्रमाणीकरण पर एक निश्चित तकनीकी संदर्भ प्रदान करती है। इसमें AAA फ्रेमवर्क, 802.1X आर्किटेक्चर, EAP विधि चयन, क्लाउड बनाम ऑन-प्रिमाइसेस डिप्लॉयमेंट के बीच समझौता, और डायनेमिक VLAN असाइनमेंट शामिल हैं। हॉस्पिटैलिटी, रिटेल, इवेंट्स और सार्वजनिक क्षेत्र के वेन्यू ऑपरेटरों को इसमें व्यावहारिक कार्यान्वयन मार्गदर्शन, वास्तविक दुनिया के केस स्टडीज और असुरक्षित प्री-शेयर्ड कीज़ से एक सुरक्षित, पहचान-आधारित नेटवर्क एक्सेस कंट्रोल आर्किटेक्चर पर माइग्रेट करने के लिए आवश्यक निर्णय फ्रेमवर्क मिलेंगे।
Aruba ClearPass बनाम Purple WiFi: सुविधाओं और सह-तैनाती की तुलना
Aruba ClearPass और Purple WiFi के सह-तैनाती आर्किटेक्चर का विवरण देने वाली एक व्यापक तकनीकी गाइड। इसमें RADIUS प्रॉक्सी कॉन्फ़िगरेशन, डायनेमिक VLAN असाइनमेंट, और एंटरप्राइज़ NAC के साथ सुरक्षित, एनालिटिक्स-संचालित अतिथि नेटवर्क प्रदान करने के सर्वोत्तम अभ्यास शामिल हैं।