PEAP ऑथेंटिकेशन क्या है? PEAP आपके WiFi को कैसे सुरक्षित करता है

यह आधिकारिक गाइड एंटरप्राइज WiFi नेटवर्क के लिए PEAP ऑथेंटिकेशन का विश्लेषण करती है, इसके आर्किटेक्चर, EAP-TLS की तुलना में इसकी सुरक्षा सीमाओं और व्यावहारिक तैनाती रणनीतियों का विवरण देती है। IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए डिज़ाइन की गई, यह इस बात पर कार्रवाई योग्य अंतर्दृष्टि प्रदान करती है कि PEAP-MSCHAPv2 कब उपयुक्त रहता है और इसे आधुनिक खतरों से कैसे सुरक्षित किया जाए।

📖 5 मिनट का पाठ📝 1,239 शब्द🔧 2 हल किए गए उदाहरण❓ 3 अभ्यास प्रश्न📚 8 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें

PEAP ऑथेंटिकेशन क्या है? PEAP आपके WiFi को कैसे सुरक्षित करता है। एक Purple एंटरप्राइज WiFi इंटेलिजेंस ब्रीफिंग।

स्वागत है। यदि आप किसी होटल समूह, रिटेल एस्टेट, स्टेडियम या सार्वजनिक क्षेत्र के संगठन में नेटवर्क सुरक्षा के लिए जिम्मेदार हैं, तो यह ब्रीफिंग आपके लिए है। अगले दस मिनटों में, हम PEAP ऑथेंटिकेशन को कवर करने जा रहे हैं — यह वास्तव में क्या है, यह हुड के नीचे कैसे काम करता है, यह आपके सुरक्षा आर्किटेक्चर में कहां फिट बैठता है, और महत्वपूर्ण रूप से, यह कब सही निर्णय है बनाम आपको कब कुछ अधिक मजबूत देखना चाहिए। आइए शुरू करते हैं।

अनुभाग एक: संदर्भ और यह अभी क्यों महत्वपूर्ण है।

आज अधिकांश एंटरप्राइज WiFi डिप्लॉयमेंट अभी भी दो ऑथेंटिकेशन मॉडलों में से एक पर निर्भर करते हैं। आपके पास या तो एक प्री-शेयर्ड की है — पूरे संगठन में साझा किया गया एक एकल पासवर्ड — या आपके पास 802.1X है, जो पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल के लिए IEEE मानक है। PEAP मजबूती से 802.1X के पाले में बैठता है, और यह विश्व स्तर पर कॉर्पोरेट और संस्थागत वातावरण में अब तक का सबसे व्यापक रूप से तैनात किया जाने वाला EAP तरीका है।

PEAP के इतना हावी होने का कारण सीधा है: इसने एक वास्तविक परिचालन चुनौती को हल किया। PEAP से पहले, सर्टिफिकेट-आधारित WiFi ऑथेंटिकेशन तैनात करने का मतलब हर डिवाइस — हर लैपटॉप, हर फोन, हर टैबलेट — को क्लाइंट सर्टिफिकेट जारी करना था। पांच सौ कर्मचारियों और BYOD नीति वाले संगठन के लिए, यह एक PKI डिप्लॉयमेंट का सिरदर्द था जिसके लिए अधिकांश IT टीमों के पास बजट या समय नहीं था। PEAP ने एक मध्यम मार्ग की पेशकश की: क्लाइंट साइड पर यूज़रनेम और पासवर्ड क्रेडेंशियल्स के साथ, TLS के माध्यम से मजबूत सर्वर-साइड ऑथेंटिकेशन। किसी क्लाइंट सर्टिफिकेट की आवश्यकता नहीं है।

उस समझौते ने PEAP को 2000 और 2010 के दशक में एंटरप्राइज WiFi ऑथेंटिकेशन के लिए वास्तविक (de facto) मानक बना दिया, और यह आज भी बेहद आम है। इसके आर्किटेक्चर — और इसकी सीमाओं — को समझना 2024 और उसके बाद इंफ्रास्ट्रक्चर के निर्णय लेने वाले किसी भी व्यक्ति के लिए आवश्यक है।

अनुभाग दो: तकनीकी गहन विश्लेषण।

आइए देखें कि जब कोई डिवाइस PEAP के माध्यम से ऑथेंटिकेट करता है तो वास्तव में क्या होता है। इस प्रक्रिया के दो अलग-अलग चरण हैं, और दोनों को समझना महत्वपूर्ण है।

इस एक्सचेंज में तीन अभिनेता हैं: सप्लीकेंट — वह क्लाइंट डिवाइस है, चाहे वह लैपटॉप हो, स्मार्टफोन हो, या IoT टर्मिनल हो; ऑथेंटिकेटर — आमतौर पर वायरलेस एक्सेस पॉइंट या वायरलेस LAN कंट्रोलर; और ऑथेंटिकेशन सर्वर — लगभग हमेशा एक RADIUS सर्वर, जैसे कि Microsoft NPS, FreeRADIUS, या क्लाउड-होस्टेड RADIUS सेवा।

चरण एक TLS टनल स्थापना है। जब सप्लीकेंट कनेक्ट करने का प्रयास करता है, तो ऑथेंटिकेटर तुरंत एक्सेस प्रदान नहीं करता है। इसके बजाय, यह स्थानीय नेटवर्क पर एक EAP एक्सचेंज शुरू करता है — यह EAPOL, EAP over LAN है। ऑथेंटिकेटर इसे RADIUS सर्वर पर फॉरवर्ड करता है, जो क्लाइंट को अपना सर्वर-साइड TLS सर्टिफिकेट प्रस्तुत करता है। क्लाइंट अपने विश्वसनीय सर्टिफिकेट स्टोर के खिलाफ उस सर्टिफिकेट को सत्यापित करता है। यदि सत्यापन सफल होता है, तो क्लाइंट और RADIUS सर्वर के बीच एक TLS टनल स्थापित हो जाती है। यह टनल एन्क्रिप्टेड होती है — आमतौर पर आधुनिक डिप्लॉयमेंट में TLS 1.2 या 1.3।

चरण दो इनर ऑथेंटिकेशन है। उस एन्क्रिप्टेड टनल के अंदर, वास्तविक क्रेडेंशियल्स का आदान-प्रदान किया जाता है। सबसे आम डिप्लॉयमेंट — PEAP-MSCHAPv2 — में क्लाइंट Microsoft Challenge Handshake Authentication Protocol version 2 का उपयोग करके यूज़रनेम और पासवर्ड भेजता है। RADIUS सर्वर अपने आइडेंटिटी स्टोर के खिलाफ उन क्रेडेंशियल्स को सत्यापित करता है, जो Active Directory, LDAP, या क्लाउड आइडेंटिटी प्रोवाइडर हो सकता है। यदि क्रेडेंशियल सही पाए जाते हैं, तो RADIUS सर्वर ऑथेंटिकेटर के माध्यम से वापस एक Access-Accept संदेश भेजता है, और क्लाइंट को नेटवर्क एक्सेस प्रदान कर दिया जाता है।

यहाँ मुख्य सुरक्षा विशेषता यह है कि MSCHAPv2 एक्सचेंज TLS टनल के अंदर होता है। वायरलेस चैनल की पैसिव निगरानी करने वाला हमलावर पारगमन में क्रेडेंशियल्स को नहीं देख सकता है। यही PEAP का मुख्य मूल्य प्रस्ताव है।

अब, PEAP-MSCHAPv2 कहाँ कम पड़ जाता है? दो महत्वपूर्ण मुद्दे हैं जिन्हें किसी भी सुरक्षा-सचेत आर्किटेक्ट को समझने की आवश्यकता है।

पहला: सर्वर सर्टिफिकेट सत्यापन। PEAP के लिए केवल सर्वर को सर्टिफिकेट प्रस्तुत करने की आवश्यकता होती है — इसके लिए क्लाइंट को सर्टिफिकेट प्रस्तुत करने की आवश्यकता नहीं होती है। यह एक अच्छी तरह से प्रलेखित हमला वेक्टर बनाता है। यदि कोई क्लाइंट डिवाइस किसी भी सर्टिफिकेट को स्वीकार करने के लिए — या किसी भी CA से सर्टिफिकेट स्वीकार करने के लिए — गलत तरीके से कॉन्फ़िगर किया गया है, तो एक हमलावर एक दुष्ट एक्सेस पॉइंट खड़ा कर सकता है, एक फर्जी सर्टिफिकेट प्रस्तुत कर सकता है, और MSCHAPv2 हैंडशेक को इंटरसेप्ट कर सकता है। hostapd-wpe जैसे टूल ने इस हमले को आसानी से सुलभ बना दिया है। इसका समाधान सख्त सप्लीकेंट कॉन्फ़िगरेशन है: सर्वर सर्टिफिकेट सत्यापन लागू करें, अपेक्षित CA को पिन करें, और सर्वर का कॉमन नेम निर्दिष्ट करें। किसी भी गंभीर डिप्लॉयमेंट में यह गैर-परक्राम्य (non-negotiable) है।

दूसरा: MSCHAPv2 ज्ञात कमजोरियों वाला एक पुराना प्रोटोकॉल है। मोक्सी मार्लिनस्पाइक द्वारा 2012 के शोध ने प्रदर्शित किया कि पर्याप्त कंप्यूटिंग के साथ MSCHAPv2 चैलेंज-रिस्पॉन्स पेयर को ऑफ़लाइन क्रैक किया जा सकता है। यदि कोई हमलावर इनर ऑथेंटिकेशन एक्सचेंज को कैप्चर कर लेता है — उदाहरण के लिए ऊपर वर्णित दुष्ट AP हमले के माध्यम से — तो वे ऑफ़लाइन प्लेनटेक्स्ट पासवर्ड को पुनर्प्राप्त करने का प्रयास कर सकते हैं। इसलिए आपकी पासवर्ड नीति की मजबूती सीधे आपके जोखिम को प्रभावित करती है। लंबे, जटिल, बेतरतीब ढंग से उत्पन्न पासवर्ड इस जोखिम को काफी कम करते हैं।

इसकी तुलना EAP-TLS से करें, जहाँ सर्वर और क्लाइंट दोनों सर्टिफिकेट प्रस्तुत करते हैं। चुराने के लिए कोई पासवर्ड नहीं हैं। हमले का दायरा नाटकीय रूप से कम हो जाता है। इसका समझौता परिचालन जटिलता है: आपको एक PKI की आवश्यकता है, आपको क्लाइंट सर्टिफिकेट जारी करने और प्रबंधित करने की आवश्यकता है, और आपको उन्हें हर डिवाइस पर वितरित करने के लिए एक तंत्र की आवश्यकता है। परिपक्व MDM डिप्लॉयमेंट और अच्छी तरह से प्रबंधित PKI वाले संगठनों के लिए, EAP-TLS स्वर्ण मानक है। बाकी सभी के लिए, कड़े कॉन्फ़िगरेशन के साथ PEAP-MSCHAPv2 एक बचाव योग्य और व्यावहारिक विकल्प बना हुआ है।

अनुभाग तीन: कार्यान्वयन सिफारिशें और नुकसान।

मैं आपको व्यावहारिक परिनियोजन मार्गदर्शन देता हूँ। ये वे चीजें हैं जो एक सुरक्षित PEAP डिप्लॉयमेंट को एक संवेदनशील डिप्लॉयमेंट से अलग करती हैं।

नंबर एक: हर सप्लीकेंट पर सर्वर सर्टिफिकेट सत्यापन लागू करें। यह सबसे महत्वपूर्ण कॉन्फ़िगरेशन आइटम है। Windows में, यह वायरलेस नेटवर्क प्रोफ़ाइल में "Validate server certificate" चेकबॉक्स है। iOS और Android में, यह EAP कॉन्फ़िगरेशन में CA सर्टिफिकेट फ़ील्ड है। यदि यह कॉन्फ़िगर नहीं किया गया है, तो आपका PEAP डिप्लॉयमेंट दुष्ट AP हमलों के प्रति संवेदनशील है, चाहे बाकी सब कुछ कितनी भी अच्छी तरह से सेट किया गया हो।

नंबर दो: MDM या GPO के माध्यम से तैनात करें, मैन्युअल कॉन्फ़िगरेशन के माध्यम से नहीं। अंतिम उपयोगकर्ताओं द्वारा मैन्युअल कॉन्फ़िगरेशन अविश्वसनीय है। उपयोगकर्ता सर्टिफिकेट चेतावनियों पर क्लिक करके आगे बढ़ जाएंगे। वे CA फ़ील्ड को गलत तरीके से कॉन्फ़िगर करेंगे। अपने वायरलेस प्रोफाइल को Microsoft Intune, Jamf, या ग्रुप पॉलिसी के माध्यम से भेजें। यह आपकी पूरी संपत्ति में सुसंगत, नीति-अनुपालन सप्लीकेंट कॉन्फ़िगरेशन सुनिश्चित करता है।

नंबर तीन: अपने RADIUS सर्वर पर न्यूनतम के रूप में TLS 1.2 का उपयोग करें। TLS 1.0 और 1.1 को अक्षम करें। अधिकांश आधुनिक RADIUS कार्यान्वयन इसका समर्थन करते हैं, लेकिन इसे सत्यापित करना उचित है — विशेष रूप से पुराने ऑन-प्रिमाइसेस डिप्लॉयमेंट पर।

नंबर चार: अपने आइडेंटिटी प्रोवाइडर के साथ एकीकृत करें। PEAP-MSCHAPv2 एक क्रेडेंशियल स्टोर के खिलाफ ऑथेंटिकेट करता है। वह स्टोर आपका आधिकारिक आइडेंटिटी प्रोवाइडर होना चाहिए — Active Directory, NPS एक्सटेंशन के माध्यम से Azure AD, या LDAP एकीकरण के साथ एक क्लाउड RADIUS सेवा। इसका मतलब यह है कि जब कोई कर्मचारी छोड़ता है, तो उसके खाते को अक्षम करने से तुरंत उसका WiFi एक्सेस रद्द हो जाता है। बदलने के लिए कोई साझा रहस्य नहीं, कोई मैन्युअल डीप्रोविज़निंग नहीं।

नंबर पांच: अपने अतिथि नेटवर्क पर अलग से विचार करें। PEAP एक एंटरप्राइज ऑथेंटिकेशन तरीका है। अतिथि WiFi के लिए — जहां आप आगंतुकों, ग्राहकों या कार्यक्रम में शामिल होने वाले लोगों को ऑनबोर्ड कर रहे हैं — आपको एक अलग दृष्टिकोण की आवश्यकता है। Purple जैसे प्लेटफॉर्म एक उद्देश्य-निर्मित अतिथि WiFi परत प्रदान करते हैं जो अतिथि SSID पर RADIUS इंफ्रास्ट्रक्चर की आवश्यकता के बिना कैप्टिव पोर्टल ऑथेंटिकेशन, डेटा कैप्चर और एनालिटिक्स को संभालती है। अपने एंटरप्राइज SSID को PEAP के साथ 802.1X पर रखें, और अपने अतिथि SSID को उचित ऑनबोर्डिंग के साथ एक अलग, पृथक नेटवर्क पर रखें।

नंबर छह: सर्टिफिकेट रोटेशन की योजना बनाएं। आपका RADIUS सर्वर सर्टिफिकेट समाप्त हो जाएगा। जब ऐसा होता है, तो उस सर्टिफिकेट को पिन करने वाला प्रत्येक क्लाइंट तब तक ऑथेंटिकेट करने में विफल रहेगा जब तक कि नया सर्टिफिकेट वितरित नहीं हो जाता। अपने परिचालन कैलेंडर में सर्टिफिकेट नवीनीकरण को शामिल करें — समाप्ति से कम से कम 90 दिन पहले — और उत्पादन में रोल आउट करने से पहले एक स्टेजिंग वातावरण में रोटेशन प्रक्रिया का परीक्षण करें।

क्षेत्र में मेरे द्वारा देखे जाने वाले सबसे आम विफलता मोड हैं: सर्टिफिकेट सत्यापन लागू नहीं होना, जिससे दुष्ट AP भेद्यता पैदा होती है; RADIUS सर्वर सर्टिफिकेट जो बिना किसी चेतावनी के समाप्त हो जाते हैं, जिससे व्यापक ऑथेंटिकेशन विफलताएं होती हैं; और MSCHAPv2 इनर ऑथेंटिकेशन उजागर होना क्योंकि RADIUS सर्वर गलत नेटवर्क सेगमेंट से सुलभ है। उचित योजना के साथ तीनों से बचा जा सकता है।

अनुभाग चार: रैपिड-फायर प्रश्न।

क्या PEAP Azure AD जैसे क्लाउड आइडेंटिटी प्रोवाइडर्स के साथ काम कर सकता है? हाँ। Azure AD MFA के लिए Microsoft का NPS एक्सटेंशन आपको Azure AD के माध्यम से PEAP ऑथेंटिकेशन को प्रॉक्सी करने की अनुमति देता है, जिससे आपके WiFi पर मल्टी-फैक्टर ऑथेंटिकेशन सक्षम होता है। वैकल्पिक रूप से, Cisco ISE, Aruba ClearPass, या JumpCloud RADIUS जैसी क्लाउड RADIUS सेवाएं सीधे Azure AD या Okta के साथ एकीकृत हो सकती हैं।

क्या PEAP PCI-DSS के अनुरूप है? PEAP-MSCHAPv2 का उपयोग PCI-DSS वातावरण में किया जा सकता है, लेकिन आपको यह सुनिश्चित करना होगा कि सर्वर सर्टिफिकेट सत्यापन लागू है, TLS 1.2 या उच्चतर उपयोग में है, और RADIUS सर्वर ठीक से खंडित (segmented) है। PCI-DSS 4.0 नेटवर्क एक्सेस कंट्रोल के आसपास आवश्यकताओं को कड़ा करता है — अपने QSA के साथ प्रासंगिक आवश्यकताओं की समीक्षा करें।

क्या मुझे PEAP से EAP-TLS पर माइग्रेट करना चाहिए? यदि आपके पास एक परिपक्व MDM डिप्लॉयमेंट और PKI को प्रबंधित करने की परिचालन क्षमता है, तो हाँ — EAP-TLS अधिक मजबूत विकल्प है। यदि आप व्यक्तिगत उपकरणों, पुराने हार्डवेयर, या सीमित MDM कवरेज के साथ एक मिश्रित संपत्ति का प्रबंधन कर रहे हैं, तो कड़े कॉन्फ़िगरेशन के साथ PEAP-MSCHAPv2 उपयुक्त बना हुआ है। यह एक जोखिम-आधारित निर्णय है, न कि कोई बाइनरी निर्णय।

WPA3-Enterprise के बारे में क्या? WPA3-Enterprise उच्च-सुरक्षा वातावरण के लिए 192-बिट सुरक्षा मोड को अनिवार्य करता है, लेकिन यह अभी भी PEAP सहित EAP तरीकों का समर्थन करता है। WPA3 ओवर-द-एयर एन्क्रिप्शन में सुधार करता है लेकिन EAP ऑथेंटिकेशन एक्सचेंज को ही नहीं बदलता है।

अनुभाग पांच: सारांश और अगले कदम।

इसे एक साथ लाने के लिए: PEAP एक दो-चरण ऑथेंटिकेशन प्रोटोकॉल है जो इनर क्रेडेंशियल्स — आमतौर पर MSCHAPv2 — को एक TLS टनल के अंदर लपेटता है। यह सबसे व्यापक रूप से तैनात किया जाने वाला 802.1X EAP तरीका है क्योंकि यह क्लाइंट सर्टिफिकेट की आवश्यकता को समाप्त करता है जबकि अभी भी मजबूत सर्वर ऑथेंटिकेशन प्रदान करता है। इसकी प्राथमिक भेद्यता गलत तरीके से कॉन्फ़िगर किए गए सप्लीकेंट्स द्वारा सक्षम दुष्ट AP हमले हैं जो सर्वर सर्टिफिकेट को सत्यापित नहीं करते हैं। MDM-लागू वायरलेस प्रोफाइल, CA पिनिंग और सर्वर नाम सत्यापन के माध्यम से इसे कम करें।

अधिकांश एंटरप्राइज WiFi डिप्लॉयमेंट — कॉर्पोरेट कार्यालयों, होटल बैक-ऑफ-हाउस नेटवर्क, रिटेल स्टाफ नेटवर्क — के लिए उचित कॉन्फ़िगरेशन के साथ PEAP-MSCHAPv2 एक मजबूत, बचाव योग्य विकल्प है। उच्च-सुरक्षा वातावरण, विनियमित उद्योगों, या परिपक्व PKI इंफ्रास्ट्रक्चर वाले संगठनों के लिए, EAP-TLS सार्थक रूप से मजबूत सुरक्षा प्रदान करता है और इसे लक्षित आर्किटेक्चर होना चाहिए।

यदि आप अपने एंटरप्राइज नेटवर्क के साथ अतिथि WiFi भी चला रहे हैं — और आप में से अधिकांश ऐसा कर रहे हैं — तो याद रखें कि PEAP अतिथि ऑनबोर्डिंग के लिए सही टूल नहीं है। Purple जैसे प्लेटफॉर्म देखें, जो एनालिटिक्स, डेटा कैप्चर और मार्केटिंग एकीकरण के साथ उद्देश्य-निर्मित अतिथि WiFi ऑथेंटिकेशन प्रदान करते हैं, जिससे आपके अतिथि और एंटरप्राइज ट्रैफ़िक ठीक से अलग रहते हैं और आपकी अनुपालन स्थिति बरकरार रहती है।

आगे पढ़ने के लिए, RADIUS सर्वर आर्किटेक्चर और एंटरप्राइज WiFi ऑथेंटिकेशन पर Purple के गाइड देखें। लिंक शो नोट्स में हैं।

सुनने के लिए धन्यवाद। यह एक Purple एंटरप्राइज WiFi इंटेलिजेंस ब्रीफिंग रही है।

मुख्य निष्कर्ष

✓PEAP एक सुरक्षित TLS टनल के भीतर कमजोर MSCHAPv2 क्रेडेंशियल एक्सचेंज को समाहित करता है।
✓यह क्लाइंट सर्टिफिकेट तैनात करने के प्रशासनिक बोझ के बिना मजबूत सर्वर ऑथेंटिकेशन प्रदान करता है।
✓क्लाइंट उपकरणों पर सर्वर सर्टिफिकेट सत्यापन लागू करने में विफलता PEAP डिप्लॉयमेंट में सबसे महत्वपूर्ण भेद्यता है।
✓उपयोगकर्ताओं को सुरक्षा चेतावनियों को बायपास करने से रोकने के लिए वायरलेस प्रोफाइल को MDM या GPO के माध्यम से तैनात किया जाना चाहिए।
✓जबकि PEAP प्रबंधित उपकरणों के लिए अत्यधिक प्रभावी है, EAP-TLS उच्च-सुरक्षा वातावरण के लिए स्वर्ण मानक बना हुआ है।
✓अतिथि WiFi को समर्पित कैप्टिव पोर्टल समाधानों का उपयोग करके एंटरप्राइज 802.1X इंफ्रास्ट्रक्चर से अलग किया जाना चाहिए।
✓पूरे नेटवर्क में आउटेज को रोकने के लिए RADIUS सर्वर सर्टिफिकेट की स्वचालित निगरानी आवश्यक है।

कार्यकारी सारांश

Protected Extensible Authentication Protocol (PEAP) आज भी एंटरप्राइज परिवेशों में सबसे व्यापक रूप से तैनात किया जाने वाला 802.1X ऑथेंटिकेशन तरीका है। Cisco, Microsoft और RSA Security द्वारा संयुक्त रूप से विकसित, PEAP को एक विशिष्ट परिचालन चुनौती को हल करने के लिए डिज़ाइन किया गया था: नेटवर्क पर प्रत्येक डिवाइस पर क्लाइंट सर्टिफिकेट तैनात करने के भारी प्रशासनिक ओवरहेड के बिना मजबूत, सर्टिफिकेट-आधारित सर्वर ऑथेंटिकेशन कैसे प्राप्त किया जाए।

जटिल संपत्तियों का प्रबंधन करने वाले IT निदेशकों और नेटवर्क आर्किटेक्ट्स के लिए—चाहे वह रिटेल में हो, हेल्थकेयर में हो, या बड़े कॉर्पोरेट कार्यालयों में हो—PEAP-MSCHAPv2 प्री-शेयर्ड कीज़ (PSK) की असुरक्षा और EAP-TLS की तैनाती की जटिलता के बीच एक व्यावहारिक मध्यम मार्ग प्रदान करता है। हालांकि, यह सुविधा अंतर्निहित सुरक्षा समझौतों के साथ आती है। जैसे-जैसे दुष्ट एक्सेस पॉइंट (rogue access point) हमले तेजी से परिष्कृत होते जा रहे हैं, गलत तरीके से कॉन्फ़िगर किए गए PEAP डिप्लॉयमेंट एक गंभीर भेद्यता (vulnerability) पेश करते हैं।

यह गाइड PEAP आर्किटेक्चर, इसके परिचालन तंत्र और आधुनिक एंटरप्राइज नेटवर्क में इसे सुरक्षित करने के लिए आवश्यक अनिवार्य कॉन्फ़िगरेशन मानकों के बारे में एक व्यापक तकनीकी गहन विश्लेषण प्रदान करती है।

तकनीकी गहन विश्लेषण: PEAP का आर्किटेक्चर

PEAP को समझने के लिए, हमें इसकी दो-चरण ऑथेंटिकेशन प्रक्रिया की जांच करनी होगी। PEAP इनर टनल में किसी भी संवेदनशील क्रेडेंशियल डेटा का आदान-प्रदान करने से पहले एक सुरक्षित आउटर टनल स्थापित करके काम करता है।

चरण 1: TLS टनल स्थापना

जब एक सप्लीकेंट (क्लाइंट डिवाइस) नेटवर्क से कनेक्ट करने का प्रयास करता है, तो ऑथेंटिकेटर (आमतौर पर एक वायरलेस एक्सेस पॉइंट) Extensible Authentication Protocol over LAN (EAPOL) फ्रेम को छोड़कर सभी ट्रैफ़िक को ब्लॉक कर देता है। ऑथेंटिकेटर इन फ्रेम को ऑथेंटिकेशन सर्वर, आमतौर पर एक RADIUS सर्वर पर फॉरवर्ड करता है। इस इंफ्रास्ट्रक्चर की व्यापक समझ के लिए, हमारे गाइड RADIUS क्या है? RADIUS सर्वर WiFi नेटवर्क को कैसे सुरक्षित करते हैं को देखें।

चरण 1 के दौरान, RADIUS सर्वर सप्लीकेंट को अपना डिजिटल सर्टिफिकेट प्रस्तुत करता है। सप्लीकेंट अपने विश्वसनीय रूट सर्टिफिकेट अथॉरिटीज (CAs) के खिलाफ इस सर्टिफिकेट को सत्यापित करता है। यदि सत्यापन सफल होता है, तो सप्लीकेंट और RADIUS सर्वर के बीच एक TLS (Transport Layer Security) टनल स्थापित हो जाती है। यह एन्क्रिप्टेड टनल वायरलेस माध्यम पर होने वाले बाद के सभी संचार को जासूसी से बचाती है।

चरण 2: इनर ऑथेंटिकेशन

एक बार TLS टनल स्थापित हो जाने के बाद, वास्तविक उपयोगकर्ता ऑथेंटिकेशन इस सुरक्षित चैनल के अंदर होता है। सबसे आम इनर ऑथेंटिकेशन प्रोटोकॉल MSCHAPv2 (Microsoft Challenge Handshake Authentication Protocol version 2) है।

टनल के अंदर, सप्लीकेंट उपयोगकर्ता के क्रेडेंशियल (यूज़रनेम और पासवर्ड) RADIUS सर्वर को भेजता है। सर्वर इन क्रेडेंशियल्स को एक आइडेंटिटी स्टोर, जैसे कि Active Directory या LDAP डायरेक्टरी के खिलाफ सत्यापित करता है। यदि क्रेडेंशियल मान्य हैं, तो RADIUS सर्वर ऑथेंटिकेटर को वापस एक Access-Accept संदेश भेजता है, और क्लाइंट को नेटवर्क एक्सेस प्रदान कर दिया जाता है।

PEAP का महत्वपूर्ण सुरक्षा आधार यह है कि कमजोर MSCHAPv2 एक्सचेंज पूरी तरह से एन्क्रिप्टेड TLS टनल के भीतर समाहित होता है, जो इसे पैसिव इंटरसेप्शन (चोरी-छिपे सुनने) से बचाता है।

कार्यान्वयन गाइड: PEAP-MSCHAPv2 को सुरक्षित करना

हालांकि PEAP अत्यधिक कार्यात्मक है, कई क्लाइंट ऑपरेटिंग सिस्टम पर इसका डिफ़ॉल्ट कॉन्फ़िगरेशन इसे परिष्कृत हमलों के प्रति संवेदनशील छोड़ देता है। PEAP को सुरक्षित रूप से लागू करने के लिए निम्नलिखित परिनियोजन मानकों का कड़ाई से पालन करना आवश्यक है।

1. अनिवार्य सर्वर सर्टिफिकेट सत्यापन

PEAP डिप्लॉयमेंट में सबसे महत्वपूर्ण भेद्यता क्लाइंट साइड पर सर्वर सर्टिफिकेट सत्यापन लागू करने में विफलता है। चूंकि PEAP को क्लाइंट सर्टिफिकेट की आवश्यकता नहीं होती है, इसलिए क्रेडेंशियल प्रसारित करने से पहले सप्लीकेंट को पूरी तरह से आश्वस्त होना चाहिए कि वह वैध RADIUS सर्वर के साथ संचार कर रहा है।

यदि कोई क्लाइंट डिवाइस किसी भी सर्टिफिकेट पर भरोसा करने के लिए कॉन्फ़िगर किया गया है, तो एक हमलावर एक नकली एक्सेस पॉइंट तैनात कर सकता है, एक फर्जी सर्टिफिकेट प्रस्तुत कर सकता है, और MSCHAPv2 हैंडशेक को इंटरसेप्ट कर सकता है। hostapd-wpe जैसे टूल इस हमले को स्वचालित करते हैं।

कार्यान्वयन कार्रवाई: IT टीमों को सर्वर सर्टिफिकेट को कड़ाई से सत्यापित करने के लिए सभी एंटरप्राइज उपकरणों को कॉन्फ़िगर करना होगा। इसमें उस विशिष्ट रूट CA को पिन करना शामिल है जिसने RADIUS सर्वर का सर्टिफिकेट जारी किया था और सर्वर के अपेक्षित कॉमन नेम (CN) या Subject Alternative Name (SAN) को स्पष्ट रूप से परिभाषित करना शामिल है।

2. MDM-लागू वायरलेस प्रोफाइल

802.1X सेटिंग्स को मैन्युअल रूप से कॉन्फ़िगर करने के लिए अंतिम उपयोगकर्ताओं पर भरोसा करना विफलता का एक निश्चित मार्ग है। उपयोगकर्ता अक्सर सर्टिफिकेट चेतावनियों पर क्लिक करके आगे बढ़ जाते हैं, जिससे TLS टनल की अखंडता से समझौता होता है।

कार्यान्वयन कार्रवाई: वायरलेस नेटवर्क प्रोफाइल को मोबाइल डिवाइस मैनेजमेंट (MDM) प्लेटफॉर्म (जैसे, Microsoft Intune, Jamf) या ग्रुप पॉलिसी ऑब्जेक्ट्स (GPO) के माध्यम से सभी कॉर्पोरेट उपकरणों पर भेजा जाना चाहिए। इन प्रोफाइलों को EAP सेटिंग्स को लॉक कर देना चाहिए, जिससे उपयोगकर्ता सर्टिफिकेट सत्यापन आवश्यकताओं को बदल न सकें।

3. पुराने प्रोटोकॉल को हटाना

TLS के पुराने संस्करणों में ज्ञात क्रिप्टोग्राफ़िक कमजोरियां होती हैं। PEAP डिप्लॉयमेंट को आधुनिक एन्क्रिप्शन मानकों को लागू करना चाहिए।

कार्यान्वयन कार्रवाई: TLS 1.0 और TLS 1.1 कनेक्शन को अस्वीकार करने के लिए RADIUS सर्वर को कॉन्फ़िगर करें। पूर्ण न्यूनतम के रूप में TLS 1.2 लागू करें, और जहां क्लाइंट बेस द्वारा समर्थित हो, वहां TLS 1.3 को प्राथमिकता दी जाए।

सर्वोत्तम अभ्यास: रणनीतिक नेटवर्क सेगमेंटेशन

एक आम आर्किटेक्चरल गलती अतिथि (guest) और BYOD नेटवर्क सहित सभी वायरलेस एक्सेस के लिए PEAP का उपयोग करने का प्रयास करना है। PEAP को एक केंद्रीय डायरेक्टरी के खिलाफ ऑथेंटिकेट करने वाले प्रबंधित एंटरप्राइज उपकरणों के लिए डिज़ाइन किया गया है।

अतिथि एक्सेस को अलग करना

गैर-कॉर्पोरेट उपकरणों के लिए, PEAP गलत टूल है। RADIUS डायरेक्टरी में अतिथि क्रेडेंशियल्स को प्रबंधित करने का प्रयास करने से अनावश्यक प्रशासनिक ओवरहेड पैदा होता है और सुरक्षा जोखिम उत्पन्न होते हैं।

हॉस्पिटैलिटी और ट्रांसपोर्ट के स्थानों को एक समर्पित Guest WiFi समाधान लागू करना चाहिए। Purple जैसे प्लेटफॉर्म सुरक्षित, कैप्टिव पोर्टल-आधारित ऑनबोर्डिंग प्रदान करते हैं जो पूरी तरह से एंटरप्राइज 802.1X इंफ्रास्ट्रक्चर से स्वतंत्र रूप से काम करता है। यह सुनिश्चित करता है कि अतिथि ट्रैफ़िक अलग रहे, साथ ही WiFi Analytics के माध्यम से समृद्ध डेटा कैप्चर को सक्षम बनाता है।

EAP-TLS की भूमिका

PEAP का मूल्यांकन करते समय, नेटवर्क आर्किटेक्ट्स को EAP-TLS पर भी विचार करना चाहिए। EAP-TLS पारस्परिक ऑथेंटिकेशन (mutual authentication) प्रदान करता है—सर्वर और क्लाइंट दोनों को वैध सर्टिफिकेट प्रस्तुत करने होंगे। यह पूरी तरह से पासवर्ड पर निर्भरता को समाप्त करता है, जिससे क्रेडेंशियल चोरी के हमले अप्रचलित हो जाते हैं।

जबकि EAP-TLS बेहतर सुरक्षा प्रदान करता है, इसके लिए क्लाइंट सर्टिफिकेट जारी करने और प्रबंधित करने के लिए एक मजबूत पब्लिक की इंफ्रास्ट्रक्चर (PKI) की आवश्यकता होती है। अत्यधिक विनियमित वातावरण के लिए, EAP-TLS लक्षित आर्किटेक्चर है। PKI परिपक्वता की कमी वाले संगठनों के लिए, कड़ाई से कॉन्फ़िगर किया गया PEAP-MSCHAPv2 डिप्लॉयमेंट एक बचाव योग्य विकल्प बना हुआ है।

समस्या निवारण और जोखिम न्यूनीकरण

अच्छी तरह से आर्किटेक्ट किए गए PEAP डिप्लॉयमेंट भी परिचालन विफलताओं का अनुभव कर सकते हैं। त्वरित समाधान के लिए सामान्य विफलता मोड को समझना आवश्यक है।

सर्टिफिकेट समाप्ति का संकट

PEAP वातावरण में सबसे विघटनकारी घटना RADIUS सर्वर सर्टिफिकेट की अप्रबंधित समाप्ति है। जब सर्टिफिकेट समाप्त हो जाता है, तो सत्यापन लागू करने वाले सभी क्लाइंट तुरंत कनेक्शन छोड़ देंगे, जिसके परिणामस्वरूप पूरे नेटवर्क में आउटेज हो जाएगा।

न्यूनीकरण: RADIUS सर्वर सर्टिफिकेट के लिए स्वचालित निगरानी लागू करें। समाप्ति से कम से कम 30 दिन पहले नए सर्टिफिकेट को नवीनीकृत और तैनात करने के लिए एक मानक संचालन प्रक्रिया स्थापित करें। यदि आंतरिक CA का उपयोग कर रहे हैं, तो सुनिश्चित करें कि CA पदानुक्रम (hierarchy) की भी निगरानी की जा रही है।

पासवर्ड नीति और ऑफ़लाइन क्रैकिंग

हालांकि TLS टनल पारगमन (transit) में MSCHAPv2 एक्सचेंज की सुरक्षा करती है, यदि कोई हमलावर गलत तरीके से कॉन्फ़िगर किए गए क्लाइंट के कारण सफलतापूर्वक एक दुष्ट AP हमला करता है, तो वे चैलेंज-रिस्पॉन्स पेयर को कैप्चर कर लेंगे। शोध ने साबित किया है कि MSCHAPv2 हैश को ऑफ़लाइन क्रैक किया जा सकता है।

न्यूनीकरण: अंतर्निहित उपयोगकर्ता पासवर्ड की जटिलता रक्षा की अंतिम पंक्ति है। ऑफ़लाइन क्रैकिंग की कम्प्यूटेशनल लागत को बढ़ाने के लिए सख्त पासवर्ड नीतियां—न्यूनतम लंबाई की आवश्यकताएं, जटिलता नियम और नियमित रोटेशन—लागू करें।

ROI और व्यावसायिक प्रभाव

PSK से उचित रूप से प्रबंधित PEAP 802.1X डिप्लॉयमेंट में संक्रमण कई आयामों में मापने योग्य व्यावसायिक मूल्य प्रदान करता है।

कम प्रशासनिक ओवरहेड: WiFi ऑथेंटिकेशन को सीधे कॉर्पोरेट आइडेंटिटी प्रोवाइडर (जैसे, Active Directory) के साथ एकीकृत करने से ऑनबोर्डिंग और ऑफबोर्डिंग स्वचालित हो जाती है। जब कोई कर्मचारी जाता है, तो उनके डायरेक्टरी खाते को अक्षम करने से तुरंत नेटवर्क एक्सेस रद्द हो जाता है, जिससे साझा पासवर्ड को बदलने की आवश्यकता समाप्त हो जाती है।
उन्नत ऑडिटेबिलिटी: 802.1X नेटवर्क एक्सेस में विस्तृत, उपयोगकर्ता-स्तरीय दृश्यता प्रदान करता है। IT टीमें निश्चित रूप से नेटवर्क गतिविधि को विशिष्ट व्यक्तियों तक ट्रैक कर सकती हैं, जो PCI-DSS और GDPR जैसे अनुपालन ढांचे के लिए एक महत्वपूर्ण आवश्यकता है।
जोखिम न्यूनीकरण: साझा कीज़ से दूर जाकर, संगठन पूर्व कर्मचारियों या दुर्भावनापूर्ण अभिनेताओं द्वारा अनधिकृत पहुंच के जोखिम को काफी कम करते हैं, जिससे बौद्धिक संपदा और संवेदनशील कॉर्पोरेट डेटा की रक्षा होती है।

उन संगठनों के लिए जो अपनी वायरलेस सुरक्षा के साथ-साथ अपने व्यापक नेटवर्क आर्किटेक्चर को अनुकूलित करना चाहते हैं, आधुनिक WAN समाधानों की खोज करने की अत्यधिक अनुशंसा की जाती है। आधुनिक व्यवसायों के लिए मुख्य SD WAN लाभ के बारे में अधिक जानें।

मुख्य परिभाषाएं

PEAP (Protected Extensible Authentication Protocol)

एक 802.1X ऑथेंटिकेशन प्रोटोकॉल जो एक सुरक्षित TLS टनल के भीतर एक इनर ऑथेंटिकेशन विधि (आमतौर पर MSCHAPv2) को समाहित करता है।

सुरक्षा और तैनाती में आसानी के संतुलन के कारण एंटरप्राइज WiFi ऑथेंटिकेशन के लिए प्रमुख मानक।

802.1X

पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल के लिए IEEE मानक, जो LAN या WLAN से जुड़ने के इच्छुक उपकरणों को एक ऑथेंटिकेशन तंत्र प्रदान करता है।

वह मूलभूत ढांचा जिसके भीतर PEAP और EAP-TLS जैसे प्रोटोकॉल काम करते हैं।

EAPOL (EAP over LAN)

स्थानीय क्षेत्र नेटवर्क पर EAP संदेशों को समाहित करने के लिए उपयोग किया जाने वाला प्रोटोकॉल, जिसका उपयोग 802.1X ऑथेंटिकेशन के प्रारंभिक चरणों के दौरान किया जाता है।

वह तंत्र जिसके द्वारा नेटवर्क पोर्ट पूरी तरह से खुलने से पहले क्लाइंट और एक्सेस पॉइंट संवाद करते हैं।

Supplicant

नेटवर्क तक पहुंच का अनुरोध करने वाला क्लाइंट डिवाइस (लैपटॉप, स्मार्टफोन)।

वह एंडपॉइंट जिसे PEAP डिप्लॉयमेंट में सर्वर सर्टिफिकेट को सत्यापित करने के लिए सही ढंग से कॉन्फ़िगर किया जाना चाहिए।

Authenticator

वह नेटवर्क डिवाइस (एक्सेस पॉइंट या स्विच) जो सप्लीकेंट और RADIUS सर्वर के बीच ऑथेंटिकेशन प्रक्रिया को सुगम बनाता है।

वह प्रवर्तन बिंदु (enforcement point) जो ऑथेंटिकेशन सफल होने तक ट्रैफ़िक को ब्लॉक करता है।

RADIUS (Remote Authentication Dial-In User Service)

एक नेटवर्किंग प्रोटोकॉल जो केंद्रीकृत ऑथेंटिकेशन, ऑथराइजेशन और अकाउंटिंग (AAA) प्रबंधन प्रदान करता है।

वह सर्वर जो उपयोगकर्ता के क्रेडेंशियल्स को सत्यापित करता है और अंतिम स्वीकार/अस्वीकार का निर्णय जारी करता है।

MSCHAPv2

Microsoft द्वारा विकसित एक चैलेंज-रिस्पॉन्स ऑथेंटिकेशन प्रोटोकॉल, जिसे आमतौर पर PEAP के भीतर इनर ऑथेंटिकेशन विधि के रूप में उपयोग किया जाता है।

वह प्रोटोकॉल जो वास्तव में यूज़रनेम और पासवर्ड को सत्यापित करता है, लेकिन क्रिप्टोग्राफ़िक कमजोरियों के कारण PEAP TLS टनल की सुरक्षा की आवश्यकता होती है।

EAP-TLS

एक EAP विधि जिसमें क्लाइंट और सर्वर दोनों पर डिजिटल सर्टिफिकेट का उपयोग करके पारस्परिक ऑथेंटिकेशन की आवश्यकता होती है।

PEAP का अत्यधिक सुरक्षित विकल्प, जिसके लिए PKI डिप्लॉयमेंट की आवश्यकता होती है लेकिन पासवर्ड-आधारित कमजोरियों को समाप्त करता है।

हल किए गए उदाहरण

एक 300-बेड वाले लक्जरी होटल को अपने बैक-ऑफ-हाउस स्टाफ WiFi नेटवर्क को सुरक्षित करने की आवश्यकता है। वर्तमान में, वे एक एकल WPA2-Personal पासवर्ड का उपयोग करते हैं जिसे तीन वर्षों से नहीं बदला गया है क्योंकि सभी पॉइंट-ऑफ-सेल टर्मिनलों और स्टाफ टैबलेट को अपडेट करने में परिचालन संबंधी व्यवधान उत्पन्न होगा। इसे हल करने के लिए उन्हें PEAP को कैसे लागू करना चाहिए?

होटल को PEAP-MSCHAPv2 का उपयोग करके एक 802.1X आर्किटेक्चर तैनात करना चाहिए, जो एक RADIUS सर्वर (जैसे, Microsoft NPS) के माध्यम से अपने वायरलेस LAN कंट्रोलर को अपने केंद्रीय Active Directory के साथ एकीकृत करता है। उन्हें सभी स्टाफ टैबलेट और POS टर्मिनलों पर एक मानकीकृत वायरलेस प्रोफ़ाइल भेजने के लिए अपने MDM प्लेटफ़ॉर्म का उपयोग करना चाहिए। इस प्रोफ़ाइल को स्पष्ट रूप से सर्वर सर्टिफिकेट सत्यापन लागू करना चाहिए, जो NPS सर्वर के सर्टिफिकेट को जारी करने वाले CA को पिन करता है। कर्मचारी अपने व्यक्तिगत AD क्रेडेंशियल्स का उपयोग करके ऑथेंटिकेट करेंगे।

परीक्षक की टिप्पणी: यह दृष्टिकोण एक स्थिर साझा की (static shared key) की भेद्यता को समाप्त करता है। ऑथेंटिकेशन को AD से जोड़कर, ऑफबोर्डिंग स्टाफ तुरंत उनके WiFi एक्सेस को रद्द कर देता है। सर्टिफिकेट सत्यापन लागू करने के लिए MDM का उपयोग करना दुष्ट AP हमलों को रोकता है, जो सार्वजनिक-सामने वाले आतिथ्य (hospitality) वातावरण में एक उच्च जोखिम हैं।

एक बड़ी रिटेल श्रृंखला 500 स्थानों पर स्टोर प्रबंधकों को कॉर्पोरेट लैपटॉप वितरित कर रही है। वे PEAP-MSCHAPv2 का उपयोग करना चाहते हैं लेकिन इतने सारे स्थानों पर RADIUS सर्टिफिकेट प्रबंधित करने के प्रशासनिक बोझ को लेकर चिंतित हैं।

प्रत्येक स्टोर पर स्थानीय RADIUS सर्वर तैनात करने के बजाय, रिटेलर को अपने क्लाउड आइडेंटिटी प्रोवाइडर (जैसे, Azure AD या Okta) के साथ एकीकृत क्लाउड-होस्टेड RADIUS समाधान का उपयोग करना चाहिए। सभी 500 स्थानों पर एक्सेस पॉइंट क्लाउड RADIUS एंडपॉइंट्स की ओर इशारा करते हैं। क्लाउड RADIUS सर्वर पर एक एकल, विश्व स्तर पर विश्वसनीय सार्वजनिक सर्टिफिकेट का उपयोग किया जाता है, और लैपटॉप पर तैनात MDM पेलोड इस विशिष्ट सार्वजनिक सर्टिफिकेट को पिन करता है।

परीक्षक की टिप्पणी: RADIUS इंफ्रास्ट्रक्चर को केंद्रीकृत करने से प्रबंधन ओवरहेड काफी कम हो जाता है। सार्वजनिक सर्टिफिकेट का उपयोग करने से क्लाइंट उपकरणों पर ट्रस्ट चेन सरल हो जाती है, बशर्ते कि MDM प्रोफ़ाइल इंटरसेप्शन को रोकने के लिए अपेक्षित सर्टिफिकेट को कड़ाई से पिन करे।

अभ्यास प्रश्न

Q1. आप एक अस्पताल के WiFi नेटवर्क का ऑडिट कर रहे हैं। वे स्टाफ उपकरणों के लिए PEAP-MSCHAPv2 का उपयोग करते हैं। आपकी समीक्षा के दौरान, आप देखते हैं कि iPads पर भेजे गए MDM प्रोफ़ाइल में 'Validate Server Certificate' चेक नहीं किया गया है। तत्काल जोखिम क्या है?

संकेत: विचार करें कि क्या होता है यदि कोई हमलावर अस्पताल के SSID को प्रसारित करने वाला उपकरण स्थापित करता है।

मॉडल उत्तर देखें

तत्काल जोखिम एक दुष्ट एक्सेस पॉइंट (Evil Twin) हमला है। चूंकि iPads सर्वर सर्टिफिकेट को सत्यापित नहीं कर रहे हैं, वे सही SSID प्रसारित करने वाले किसी भी AP के साथ ऑथेंटिकेट करने का प्रयास करेंगे। एक हमलावर MSCHAPv2 हैंडशेक को इंटरसेप्ट कर सकता है और स्टाफ के पासवर्ड को ऑफ़लाइन क्रैक करने का प्रयास कर सकता है, जिससे क्रेडेंशियल से समझौता हो सकता है।

Q2. एक विश्वविद्यालय का IT विभाग अपने छात्र नेटवर्क को प्री-शेयर्ड की (PSK) से 802.1X पर स्थानांतरित करने की योजना बना रहा है। वे अधिकतम सुरक्षा के लिए EAP-TLS का उपयोग करना चाहते हैं लेकिन हेल्पडेस्क टीम के विरोध का सामना कर रहे हैं। इस परिदृश्य में PEAP-MSCHAPv2 अधिक व्यावहारिक विकल्प क्यों हो सकता है?

संकेत: विश्वविद्यालय के वातावरण में डिवाइस स्वामित्व मॉडल पर विचार करें।

मॉडल उत्तर देखें

एक विश्वविद्यालय में, उपकरण अप्रबंधित (BYOD) होते हैं। EAP-TLS को तैनात करने के लिए प्रत्येक छात्र के व्यक्तिगत लैपटॉप, फोन और टैबलेट पर एक अद्वितीय क्लाइंट सर्टिफिकेट जारी करने और स्थापित करने की आवश्यकता होती है। यह हेल्पडेस्क के लिए एक बड़ा समर्थन बोझ प्रस्तुत करता है। PEAP-MSCHAPv2 के लिए छात्रों को केवल अपना मौजूदा विश्वविद्यालय यूज़रनेम और पासवर्ड दर्ज करने की आवश्यकता होती है, जिससे ऑनबोर्डिंग काफी आसान हो जाती है और फिर भी PSK की तुलना में एक बड़ा सुरक्षा अपग्रेड मिलता है।

Q3. आपके संगठन का RADIUS सर्वर सर्टिफिकेट 14 दिनों में समाप्त हो रहा है। यह एक सार्वजनिक CA द्वारा जारी किया गया है। PEAP-MSCHAPv2 वायरलेस नेटवर्क में कोई व्यवधान न हो, यह सुनिश्चित करने के लिए आपको क्या कदम उठाने चाहिए?

संकेत: विचार करें कि सप्लीकेंट्स वर्तमान में किस पर भरोसा करने के लिए कॉन्फ़िगर किए गए हैं।

मॉडल उत्तर देखें

आपको सार्वजनिक CA से नया सर्टिफिकेट प्राप्त करना होगा और इसे RADIUS सर्वर पर स्थापित करना होगा। महत्वपूर्ण रूप से, आपको MDM वायरलेस प्रोफाइल की समीक्षा करनी होगी। यदि प्रोफाइल विशिष्ट पुराने सर्टिफिकेट से पिन किए गए हैं, तो पुराने सर्टिफिकेट की समाप्ति से पहले उन्हें नए सर्टिफिकेट पर भरोसा करने के लिए अपडेट किया जाना चाहिए। यदि प्रोफाइल केवल रूट CA को पिन करते हैं, और नया सर्टिफिकेट उसी रूट CA द्वारा जारी किया जाता है, तो संक्रमण निर्बाध होना चाहिए, लेकिन इसका परीक्षण किया जाना चाहिए।

इस श्रृंखला में आगे पढ़ें

विक्रेता द्वारा प्रति-डिवाइस PSK: iPSK, DPSK, MPSK और PPSK की तुलना (और WPA3 सपोर्ट)

Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet, और Ubiquiti UniFi में प्रति-डिवाइस PSK कार्यान्वयन की एक व्यापक तुलना। जानें कि WPA3-SAE प्रति-डिवाइस कुंजी रणनीतियों को कैसे प्रभावित करता है और कब ट्रांज़िशन मोड को लागू करना चाहिए बनाम 802.1X पर जाना चाहिए।

कैप्टिव पोर्टल प्रमाणीकरण विधियों की तुलना

यह आधिकारिक तकनीकी संदर्भ गाइड पांच मुख्य कैप्टिव पोर्टल प्रमाणीकरण विधियों के आर्किटेक्चरल, परिचालन और अनुपालन ट्रेड-ऑफ का मूल्यांकन करती है। यह नेटवर्क आर्किटेक्ट्स, IT निदेशकों और मार्केटिंग प्रबंधकों को एंटरप्राइज़ वेन्यू में डेटा-संग्रह आवश्यकताओं के साथ गेस्ट ऑनबोर्डिंग घर्षण को संतुलित करने के लिए आवश्यक मात्रात्मक डेटा और निर्णय ढांचे प्रदान करती है।

MAC Address Authentication क्या है? इसका उपयोग कब करें और कब बचें

यह आधिकारिक तकनीकी संदर्भ गाइड एंटरप्राइज़ WiFi वातावरण में MAC एड्रेस ऑथेंटिकेशन को कवर करती है — लेयर 2 पर RADIUS-आधारित MAC ऑथेंटिकेशन कैसे काम करता है, इसकी अंतर्निहित सुरक्षा कमजोरियां (जिसमें MAC स्पूफिंग और OS-स्तरीय MAC रैंडमाइज़ेशन का प्रभाव शामिल है), और सटीक परिचालन संदर्भ जहां यह IoT और हेडलेस डिवाइसों के प्रबंधन के लिए एक वैध उपकरण बना हुआ है। यह हॉस्पिटैलिटी, रिटेल, हेल्थकेयर और सार्वजनिक क्षेत्र के स्थानों में IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए कार्रवाई योग्य डिप्लॉयमेंट मार्गदर्शन प्रदान करता है, जिसमें वास्तविक दुनिया के काम किए गए उदाहरण, निर्णय ढांचे और Purple के अतिथि WiFi और एनालिटिक्स प्लेटफ़ॉर्म के लिए एकीकरण संदर्भ शामिल हैं।