मुख्य सामग्री पर जाएं

स्टाफ WiFi कैप्टिव पोर्टल: कर्मचारियों को ऑनबोर्ड और प्रमाणित करना

स्टाफ WiFi कैप्टिव पोर्टल को डिज़ाइन और तैनात करने पर IT लीडर्स के लिए एक व्यापक तकनीकी संदर्भ। यह गाइड परिचालन दक्षता बढ़ाने और सुरक्षा जोखिमों को कम करने के लिए EAP-TLS प्रमाणीकरण, BYOD ऑनबोर्डिंग, VLAN सेगमेंटेशन और बैंडविड्थ प्रबंधन को कवर करती है।

📖 6 मिनट का पाठ📝 1,263 शब्द🔧 2 हल किए गए उदाहरण3 अभ्यास प्रश्न📚 8 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें
स्टाफ WiFi कैप्टिव पोर्टल: कर्मचारियों को ऑनबोर्ड और प्रमाणित करना एक Purple Enterprise WiFi इंटेलिजेंस ब्रीफिंग [परिचय - लगभग 1 मिनट] Purple Enterprise WiFi इंटेलिजेंस श्रृंखला में आपका स्वागत है। आज हम एक ऐसे विषय को कवर कर रहे हैं जो सुरक्षा, HR संचालन और नेटवर्क आर्किटेक्चर के चौराहे पर स्थित है: स्टाफ WiFi कैप्टिव पोर्टल। अब, मुझे पता है कि आप में से कुछ लोग क्या सोच रहे होंगे। स्टाफ के लिए कैप्टिव पोर्टल? क्या यह वही नहीं है जिसका उपयोग आप मेहमानों के लिए करते हैं? और यही वह गलतफहमी है जिसे हमें सबसे पहले दूर करने की आवश्यकता है। स्टाफ WiFi कैप्टिव पोर्टल एक अलग लोगो वाला गेस्ट स्प्लैश पेज नहीं है। यह एक संरचित ऑनबोर्डिंग गेटवे है जो आपके परिचालन नेटवर्क तक पहुंच प्रदान करने से पहले व्यक्तिगत कर्मचारियों को प्रमाणित करता है, नीति स्वीकृति लागू करता है, और उपकरणों को पंजीकृत करता है। इसे सही तरीके से करें, और आप अधिकांश उद्यम WiFi परिनियोजन में सबसे बड़ी भेद्यता को समाप्त कर देते हैं: साझा प्री-शेयर्ड की। इसे गलत तरीके से करें, और आपके पास पूर्व कर्मचारी, ठेकेदार और व्यक्तिगत उपकरण अनिश्चित काल के लिए आपके स्टाफ नेटवर्क पर बैठे रहेंगे। आइए आर्किटेक्चर में प्रवेश करें। [तकनीकी गहन विश्लेषण - लगभग 5 मिनट] अधिकांश स्टाफ WiFi तैनाती के साथ बुनियादी समस्या साझा पासवर्ड है। एक एकल WPA2 प्री-शेयर्ड की, जो बैक ऑफिस में एक स्टिकी नोट पर लिखी होती है, एक WhatsApp ग्रुप में साझा की जाती है, और किसी के जाने पर कभी नहीं बदली जाती है। 80 स्टाफ सदस्यों वाले 200 कमरों के होटल में, वह पासवर्ड लगभग 80 लोगों, उनके भागीदारों जिन्होंने उनका फोन उधार लिया था, और कम से कम तीन पूर्व कर्मचारियों के साथ साझा किया गया है। वह नेटवर्क नहीं है। वह एक खुला दरवाजा है। स्टाफ WiFi कैप्टिव पोर्टल साझा क्रेडेंशियल को पहचान-सत्यापित ऑनबोर्डिंग फ्लो से बदलकर इसे हल करता है। व्यावहारिक रूप से यह इस तरह काम करता है। जब कोई नया कर्मचारी पहली बार अपने डिवाइस को स्टाफ नेटवर्क से जोड़ता है, तो वे एक प्रोविजनिंग SSID पर पहुंचते हैं। यह एक खुला नेटवर्क है, लेकिन यह एक वॉल्ड गार्डन है - यह केवल ऑनबोर्डिंग पोर्टल और आपके पहचान प्रदाता पर रूट करता है। और कुछ नहीं। कर्मचारी को कैप्टिव पोर्टल पर रीडायरेक्ट किया जाता है, जहां वे अपनी कॉर्पोरेट पहचान का उपयोग करके प्रमाणित होते हैं। आज अधिकांश उद्यम वातावरणों में, इसका अर्थ Microsoft Entra ID, Okta, या Google Workspace के माध्यम से सिंगल साइन-ऑन है। एक बार जब पहचान प्रदाता पुष्टि कर देता है कि कर्मचारी सक्रिय है और सही समूह में है, तो पोर्टल आपके प्रमाणीकरण आर्किटेक्चर के आधार पर दो में से एक काम करता है। PEAP और MSCHAPv2 का उपयोग करने वाले क्रेडेंशियल-आधारित परिनियोजन में, पोर्टल क्रेडेंशियल्स को मान्य करता है और एक नेटवर्क एक्सेस टोकन जारी करता है। EAP-TLS का उपयोग करने वाले प्रमाणपत्र-आधारित परिनियोजन में, पोर्टल प्रमाणपत्र निर्माण को ट्रिगर करता है। आपके प्रमाणपत्र प्राधिकरण द्वारा एक उपकरण-विशिष्ट X.509 प्रमाणपत्र जारी किया जाता है, जिसे एक कॉन्फ़िगरेशन प्रोफ़ाइल में पैक किया जाता है - iOS पर एक .mobileconfig फ़ाइल, या Android पर एक Passpoint प्रोफ़ाइल - और डिवाइस पर भेजा जाता है। डिवाइस प्रोफ़ाइल स्थापित करता है, प्रोविजनिंग SSID से डिस्कनेक्ट हो जाता है, और EAP-TLS प्रमाणीकरण के लिए प्रमाणपत्र का उपयोग करके सुरक्षित स्टाफ SSID से स्वचालित रूप से जुड़ जाता है। उस बिंदु से आगे, हर बार जब डिवाइस स्टाफ नेटवर्क से जुड़ता है, तो RADIUS सर्वर प्रमाणपत्र को मान्य करता है। कोई पासवर्ड संकेत नहीं। कोई मैन्युअल लॉगिन नहीं। डिवाइस बस चुपचाप और सुरक्षित रूप से कनेक्ट हो जाता है। अब बात करते हैं कि EAP-TLS अधिकांश उद्यम परिनियोजनों के लिए लक्षित स्थिति क्यों है। IEEE 802.1X मानक ढांचे को परिभाषित करता है, लेकिन EAP-TLS वह विधि है जो प्रमाणीकरण पथ से क्रेडेंशियल चोरी को पूरी तरह से समाप्त कर देती है। फ़िश करने के लिए कोई पासवर्ड नहीं है। ब्रूट-फोर्स करने के लिए कोई हैश नहीं है। प्रमाणपत्र डिवाइस से बंधा हुआ है। यदि डिवाइस खो जाता है या चोरी हो जाता है, तो आप अपने प्रमाणपत्र प्राधिकरण में प्रमाणपत्र रद्द कर देते हैं और RADIUS सर्वर अगले कनेक्शन प्रयास पर पहुंच से इनकार कर देता है। यदि कर्मचारी कंपनी छोड़ देता है, तो आप पहचान प्रदाता में उनके खाते को अक्षम कर देते हैं, और चूंकि प्रमाणपत्र उस पहचान के विरुद्ध जारी किया गया था, इसलिए SCIM एकीकरण स्वचालित रूप से डी-प्रोविजनिंग को प्रसारित करता है। व्यक्ति के जाने के साथ ही पहुंच समाप्त हो जाती है। यह वह आर्किटेक्चर है जिसकी Premier Inn और Whitbread जैसे संगठनों को आवश्यकता होती है जब वे एक वितरित संपत्ति में हजारों स्टाफ उपकरणों के साथ सैकड़ों संपत्तियों का प्रबंधन करते हैं। आप साझा पासवर्ड और मैन्युअल निरसन के साथ बड़े पैमाने पर इसका प्रबंधन नहीं कर सकते। आइए BYOD आयाम को भी संबोधित करें, क्योंकि यहीं पर कैप्टिव पोर्टल विशेष रूप से मूल्यवान हो जाता है। अधिकांश आतिथ्य, रिटेल और इवेंट वातावरण में, कर्मचारियों का एक महत्वपूर्ण हिस्सा परिचालन कार्यों के लिए व्यक्तिगत उपकरणों का उपयोग करता है। हाउसकीपिंग स्टाफ अपने स्वयं के स्मार्टफोन पर कमरे के असाइनमेंट की जांच करते हैं। रिटेल सहयोगी इन्वेंट्री लुकअप के लिए व्यक्तिगत टैबलेट का उपयोग करते हैं। स्टेडियम संचालन टीमें संचार के लिए व्यक्तिगत फोन का उपयोग करती हैं। ये अप्रबंधित उपकरण हैं। आप उनके OS संस्करण, उनकी एंटीवायरस स्थिति, या कौन से अन्य एप्लिकेशन इंस्टॉल हैं, इसे नियंत्रित नहीं करते हैं। उन्हें सर्वोत्तम रूप से अर्ध-विश्वसनीय माना जाना चाहिए। स्टाफ WiFi कैप्टिव पोर्टल प्रमाणीकरण के बाद इन उपकरणों को एक समर्पित VLAN पर रखकर BYOD को संभालता है। VLAN उन्हें उन विशिष्ट आंतरिक अनुप्रयोगों तक पहुंच प्रदान करता है जिनकी उन्हें आवश्यकता होती है - प्रॉपर्टी मैनेजमेंट सिस्टम, पॉइंट-ऑफ-सेल इंटरफ़ेस, शेड्यूलिंग ऐप - और कुछ नहीं। वे आपके कॉर्पोरेट सर्वर, आपके वित्तीय सिस्टम या आपके प्रबंधित डिवाइस नेटवर्क तक नहीं पहुंच सकते। यह RADIUS स्तर पर लागू किया गया VLAN सेगमेंटेशन है, और यह शून्य-विश्वास सिद्धांत का व्यावहारिक कार्यान्वयन है: पहचान सत्यापित करें, फिर आवश्यक न्यूनतम पहुंच प्रदान करें। एक और आर्किटेक्चरल तत्व जो कवर करने योग्य है: स्वीकार्य उपयोग नीति, या AUP। कैप्टिव पोर्टल AUP स्वीकृति के लिए स्वाभाविक प्रवर्तन बिंदु है। इससे पहले कि कोई कर्मचारी स्टाफ नेटवर्क तक पहुंच प्राप्त करे, पोर्टल नीति प्रस्तुत करता है - जिसमें स्वीकार्य उपयोग, निगरानी, डेटा हैंडलिंग और दुरुपयोग के परिणाम शामिल हैं - और एक स्पष्ट पावती की आवश्यकता होती है। यह नीति स्वीकृति का एक टाइमस्टैम्प, ऑडिट योग्य रिकॉर्ड बनाता है। GDPR के तहत, यह मायने रखता है। PCI-DSS के तहत, कार्डधारक डेटा को छूने वाले किसी भी नेटवर्क के लिए, यह मायने रखता है। और नेटवर्क के दुरुपयोग से जुड़े अनुशासनात्मक जांच के मामले में, यह काफी मायने रखता है। अब, बैंडविड्थ। यह वह जगह है जहाँ Purple Shield सीधे प्रासंगिक हो जाता है। उच्च-घनत्व वाले स्टाफ वातावरण में - एक भरे हुए सप्ताहांत के दौरान एक होटल, ब्लैक फ्राइडे पर एक रिटेल संपत्ति, मैच के दिन एक स्टेडियम - स्टाफ नेटवर्क पर बैंडविड्थ का टकराव एक वास्तविक परिचालन समस्या है। Purple Shield DNS स्तर पर काम करता है, जो विज्ञापन पेलोड, ट्रैकिंग स्क्रिप्ट और मैलवेयर डोमेन को डिवाइस तक पहुंचने से पहले ही ब्लॉक कर देता है। Purple के अपने डेटा के अनुसार, इसका व्यावहारिक प्रभाव पूरे नेटवर्क में कुल डाउनलोड किए गए डेटा में 40% तक की कमी है। स्टाफ उपकरणों के लिए, इसका मतलब है तेज़ पेज लोड, कम डिवाइस बैटरी खपत, और परिचालन ट्रैफ़िक के लिए अधिक उपलब्ध बैंडविड्थ। जब विज्ञापन-भारी पेज के विशिष्ट 120 से अधिक DNS प्रश्नों को नेटवर्क पर हिट करने से पहले हटा दिया जाता है, तो पेज 3.5 गुना तक तेजी से लोड होते हैं। आप हार्डवेयर को छुए बिना, एक्सेस पॉइंट्स को पुन: कॉन्फ़िगर किए बिना, और बिना किसी प्रति-डिवाइस सेटअप के यह सुधार प्राप्त करते हैं। [कार्यान्वयन सिफारिशें और नुकसान - लगभग 2 मिनट] मुझे आपको कार्यान्वयन अनुक्रम और उन विफलता मोडों के बारे में बताने दें जिन पर नज़र रखनी है। एक भी एक्सेस पॉइंट कॉन्फ़िगर करने से पहले अपने VLAN आर्किटेक्चर से शुरुआत करें। न्यूनतम तीन VLAN परिभाषित करें: स्टाफ, गेस्ट और IoT। अपनी फ़ायरवॉल नीतियों को मैप करें। अपनी सुरक्षा टीम से साइन-ऑफ प्राप्त करें। WiFi परिनियोजन में सबसे महंगी गलतियाँ तब होती हैं जब नेटवर्क पहले बनाया जाता है और सुरक्षा आर्किटेक्चर बाद में जोड़ा जाता है। दूसरा, अतिरेक के साथ अपने RADIUS बुनियादी ढांचे को तैनात करें। एक एकल RADIUS सर्वर विफलता एक साथ प्रत्येक स्टाफ सदस्य को नेटवर्क से बाहर कर देती है। एक होटल में, इसका मतलब है कि फ्रंट डेस्क चेक-इन की प्रक्रिया नहीं कर सकता है। एक रिटेल स्टोर में, इसका मतलब है कि पॉइंट-ऑफ-सेल सिस्टम प्रमाणित नहीं हो सकते हैं। सक्रिय-निष्क्रिय कॉन्फ़िगरेशन में कम से कम दो RADIUS सर्वर तैनात करें, और लाइव होने से पहले फेलओवर का परीक्षण करें। तीसरा, LDAP या SAML के माध्यम से अपने RADIUS सर्वर को अपने पहचान प्रदाता के साथ एकीकृत करें। यही स्वचालित डीप्रोविज़निंग को सक्षम बनाता है। जब किसी कर्मचारी को Microsoft Entra ID या Okta में अक्षम किया जाता है, तो RADIUS सर्वर अगले कनेक्शन प्रयास पर उनके क्रेडेंशियल्स या उनके प्रमाणपत्र को स्वीकार करना बंद कर देता है। कोई मैन्युअल कदम नहीं, कोई टिकट कतार नहीं, प्रस्थान और पहुंच हटाने के बीच कोई अंतर नहीं। चौथा, अपनी टीम के सबसे कम तकनीकी उपयोगकर्ता के लिए अपने कैप्टिव पोर्टल ऑनबोर्डिंग फ्लो को डिज़ाइन करें। IT प्रबंधक के लिए नहीं। मौसमी गोदाम संचालक जिसने कभी कॉन्फ़िगरेशन प्रोफ़ाइल स्थापित नहीं की है। स्पष्ट निर्देश, ब्रांडेड इंटरफ़ेस, और हर स्क्रीन पर दिखाई देने वाला हेल्पडेस्क संपर्क नंबर। अब नुकसान। सबसे आम विफलता मोड वॉल्ड गार्डन का बहुत अधिक अनुमेय होना है। यदि आपका प्रोविजनिंग SSID सामान्य इंटरनेट एक्सेस की अनुमति देता है, तो कर्मचारी ऑनबोर्डिंग फ्लो को पूरा करने के बजाय बस उसी पर बने रहेंगे। इसे पोर्टल, पहचान प्रदाता एंडपॉइंट और प्रमाणपत्र डाउनलोड सर्वर तक सीमित करें। और कुछ नहीं। दूसरा नुकसान Android फ़्रेग्मेंटेशन है। iOS .mobileconfig प्रोफ़ाइल को सुसंगत रूप से संभालता है। Android ऐसा नहीं करता है। विभिन्न निर्माता और OS संस्करण प्रमाणपत्र स्थापना को अलग-अलग तरीके से संभालते हैं। रोल आउट करने से पहले अपने कर्मचारियों द्वारा वास्तव में उपयोग किए जाने वाले विशिष्ट Android उपकरणों पर अपने ऑनबोर्डिंग फ्लो का परीक्षण करें। Passpoint, जिसे Hotspot 2.0 के रूप में भी जाना जाता है, प्रारंभिक सेटअप के बाद स्वचालित नेटवर्क खोज और प्रमाणीकरण सक्षम करके Android अनुभव में काफी सुधार करता है। तीसरा नुकसान प्रमाणपत्र की समाप्ति है। अल्पकालिक प्रमाणपत्र जारी करें - BYOD उपकरणों के लिए 90 दिन एक उचित डिफ़ॉल्ट है। जब प्रमाणपत्र समाप्त हो जाता है, तो डिवाइस को पोर्टल के माध्यम से फिर से ऑनबोर्ड होना चाहिए। यह स्वाभाविक रूप से नेटवर्क से पुराने उपकरणों को हटा देता है और वर्तमान पहचान प्रदाता स्थिति के खिलाफ पुन: प्रमाणीकरण के लिए मजबूर करता है। एक पूर्व कर्मचारी का उपकरण जिसका खाता छह महीने पहले अक्षम कर दिया गया था, स्वचालित रूप से पुन: ऑनबोर्डिंग में विफल हो जाएगा। [रैपिड-फायर प्रश्नोत्तर - लगभग 1 मिनट] कुछ प्रश्न जो हम अक्सर सुनते हैं। "क्या हम पूर्ण 802.1X के बजाय iPSK का उपयोग कर सकते हैं?" हाँ, उन वातावरणों के लिए जहाँ प्रमाणपत्र परिनियोजन व्यवहार्य नहीं है। iPSK, या आइडेंटिटी प्री-शेयर्ड की, प्रत्येक उपयोगकर्ता या उपकरण को एक अद्वितीय WiFi पासवर्ड प्रदान करता है। यह एक साझा PSK की तुलना में अधिक सुरक्षित है क्योंकि प्रत्येक क्रेडेंशियल व्यक्तिगत और प्रतिसंहरणीय होता है। यह EAP-TLS की तुलना में कम सुरक्षित है क्योंकि यह अभी भी पासवर्ड-आधारित है। इसका उपयोग एक कदम के रूप में करें, गंतव्य के रूप में नहीं। "यदि हम पहले से ही WPA2-Enterprise पर हैं तो क्या हमें WPA3 की आवश्यकता है?" यदि आपका हार्डवेयर इसका समर्थन करता है, तो हाँ। WPA3-Enterprise 'साइमल्टेनियस ऑथेंटिकेशन ऑफ इक्वल्स' पेश करता है, जो हैंडशेक के खिलाफ ऑफ़लाइन डिक्शनरी हमलों को समाप्त करता है। समर्थित हार्डवेयर पर माइग्रेशन लागत केवल एक कॉन्फ़िगरेशन परिवर्तन है। सुरक्षा में सुधार महत्वपूर्ण है। "हम उन ठेकेदारों को कैसे संभालते हैं जिनके पास कॉर्पोरेट पहचान नहीं है?" पोर्टल के माध्यम से जारी iPSK या समय-सीमित गेस्ट क्रेडेंशियल का उपयोग करें। अनुबंध की समाप्ति तिथि से मेल खाती हुई समाप्ति तिथि निर्धारित करें। Purple का प्लेटफ़ॉर्म मूल रूप से समय-बद्ध एक्सेस क्रेडेंशियल्स का समर्थन करता है। [सारांश और अगले चरण - लगभग 1 मिनट] आइए इसे संक्षेप में समझें। स्टाफ WiFi कैप्टिव पोर्टल कोई सुविधा विशेषता नहीं है। यह आपके परिचालन नेटवर्क पर पहचान सत्यापन, नीति स्वीकृति, उपकरण पंजीकरण और पहुंच नियंत्रण के लिए प्रवर्तन बिंदु है। साझा प्री-शेयर्ड की एक अनुपालन दायित्व और एक सुरक्षा भेद्यता है। इसे एक पहचान-सत्यापित ऑनबोर्डिंग फ्लो, VLAN सेगमेंटेशन और RADIUS-आधारित प्रमाणीकरण से बदलें। आपके तत्काल अगले चरण: अपने वर्तमान स्टाफ नेटवर्क प्रमाणीकरण विधि का ऑडिट करें। यदि आप एक साझा PSK चला रहे हैं, तो यह आपकी सर्वोच्च प्राथमिकता वाला सुधार है। यदि आप क्रेडेंशियल-आधारित 802.1X पर हैं, तो प्रमाणपत्र-आधारित EAP-TLS के मार्ग का मूल्यांकन करें। और यदि आपके स्टाफ नेटवर्क पर Purple Shield तैनात नहीं है, तो अकेले बैंडविड्थ में कमी ही इस बातचीत को सही ठहराती है। कार्यान्वयन मार्गदर्शन, आर्किटेक्चर टेम्प्लेट और 80000 लाइव स्थलों पर Purple के परिनियोजन के केस स्टडीज के लिए, purple.ai पर जाएं। सुनने के लिए धन्यवाद।

header_image.png

कार्यकारी सारांश

आतिथ्य, रिटेल और बड़े सार्वजनिक स्थलों में IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए, कर्मचारी उपकरणों के लिए नेटवर्क एक्सेस प्रबंधित करना महत्वपूर्ण सुरक्षा और परिचालन चुनौतियां पेश करता है। साझा प्री-शेयर्ड कीज़ (PSKs) पर भरोसा करना मौलिक रूप से असुरक्षित है और एक परिचालन बोझ पैदा करता है, जिससे पूर्व कर्मचारियों और अप्रबंधित उपकरणों को अनिश्चित काल तक नेटवर्क एक्सेस बनाए रखने की अनुमति मिलती है। यह गाइड आपके पहचान प्रदाता के साथ एकीकृत कैप्टिव पोर्टल फ्लो का उपयोग करके स्टाफ WiFi को ऑनबोर्ड करने के लिए एक व्यावहारिक और सुरक्षित दृष्टिकोण की रूपरेखा तैयार करती है। इस आर्किटेक्चर का लाभ उठाकर, आप अप्रबंधित BYOD उपकरणों को सुरक्षित रूप से 802.1X नेटवर्क पर ला सकते हैं, स्वीकार्य उपयोग नीतियों को लागू कर सकते हैं, और अनुपालन बनाए रख सकते हैं, वह भी पूर्ण मोबाइल डिवाइस प्रबंधन (MDM) नामांकन की परेशानी के बिना। उन स्थलों के लिए जो पहले से ही गेस्ट WiFi और WiFi एनालिटिक्स का उपयोग कर रहे हैं, कर्मचारी उपकरणों तक सुरक्षित ऑनबोर्डिंग का विस्तार करना एक एकीकृत और मजबूत नेटवर्क प्रबंधन रणनीति प्रदान करता है।

इस गाइड को सुनें

तकनीकी गहन विश्लेषण

सुरक्षित कर्मचारी ऑनबोर्डिंग की नींव विरासत प्रमाणीकरण विधियों से EAP-TLS (एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल-ट्रांसपोर्ट लेयर सिक्योरिटी) में संक्रमण है। EAP-TLS सुरक्षित WiFi प्रमाणीकरण के लिए उद्योग मानक है, जो पासवर्ड के बजाय डिजिटल प्रमाणपत्रों पर निर्भर करता है। कर्मचारी नेटवर्कों के साथ चुनौती, विशेष रूप से BYOD वातावरण में, इन प्रमाणपत्रों को अप्रबंधित उपकरणों में वितरित करना है।

स्व-सेवा ऑनबोर्डिंग फ्लो

इसे प्राप्त करने के लिए, स्थल एक स्व-सेवा ऑनबोर्डिंग पोर्टल तैनात करते हैं। यह प्रक्रिया सुरक्षित क्रेडेंशियल वितरण सुनिश्चित करने के लिए एक संरचित पथ का अनुसरण करती:

  1. प्रारंभिक कनेक्शन: उपयोगकर्ता अपने व्यक्तिगत उपकरण को एक समर्पित ओपन प्रोविजनिंग SSID से जोड़ता है। यह नेटवर्क एक वॉल्ड गार्डन के रूप में कार्य करता है, जो ऑनबोर्डिंग पोर्टल और पहचान प्रदाता (IdP) को छोड़कर बाकी सभी चीज़ों तक पहुंच को प्रतिबंधित करता है।
  2. प्रमाणीकरण: उपयोगकर्ता को कैप्टिव पोर्टल पर रीडायरेक्ट किया जाता है, जहां वे अपने कॉर्पोरेट क्रेडेंशियल्स का उपयोग करके प्रमाणित होते हैं। इसमें Microsoft Entra ID, Okta, या Google Workspace जैसे IdPs के साथ SAML या SCIM एकीकरण शामिल है।
  3. प्रमाणपत्र निर्माण: सफल प्रमाणीकरण पर, सिस्टम एक अद्वितीय, उपकरण-विशिष्ट क्लाइंट प्रमाणपत्र उत्पन्न करता है।
  4. प्रोफ़ाइल इंस्टॉलेशन: डिवाइस पर एक कॉन्फ़िगरेशन प्रोफ़ाइल भेजी जाती है। इस प्रोफ़ाइल में क्लाइंट प्रमाणपत्र, रूट CA प्रमाणपत्र और सुरक्षित 802.1X SSID के लिए नेटवर्क कॉन्फ़िगरेशन सेटिंग्स शामिल होती हैं।
  5. सुरक्षित कनेक्शन: डिवाइस प्रोविजनिंग SSID से स्वचालित रूप से डिस्कनेक्ट हो जाता है और EAP-TLS प्रमाणीकरण के लिए नए स्थापित प्रमाणपत्र का उपयोग करके सुरक्षित कॉर्पोरेट SSID से जुड़ जाता है।

byod_onboarding_flow.png

कर्मचारी नेटवर्कों में साझा PSKs क्यों विफल होते हैं

ऐतिहासिक रूप से, स्थलों ने कर्मचारी पहुंच के लिए प्री-शेयर्ड कीज़ (PSKs) पर भरोसा किया है। आधुनिक उद्यम वातावरण में यह दृष्टिकोण मौलिक रूप से त्रुटिपूर्ण है। PSKs, एक बार साझा होने के बाद, सुरक्षा जोखिम पैदा करते हैं। वे व्यक्तिगत जवाबदेही की पेशकश नहीं करते हैं, और यदि कोई उपकरण खो जाता है या कोई कर्मचारी छोड़ देता है, तो पूरे नेटवर्क में पासवर्ड बदलना आवश्यक होता है। 80 कर्मचारियों वाले 200 कमरों के होटल में, एक साझा पासवर्ड लगभग 80 लोगों, उनके भागीदारों और कम से कम तीन पूर्व कर्मचारियों के साथ साझा किया गया होगा। वह एक सुरक्षित नेटवर्क नहीं है; यह एक खुला दरवाजा है।

authentication_methods_comparison.png

कार्यान्वयन गाइड

एक सुरक्षित कर्मचारी WiFi कैप्टिव पोर्टल को तैनात करने के लिए सावधानीपूर्वक योजना और निष्पादन की आवश्यकता होती है। आतिथ्य, रिटेल या स्टेडियम के वातावरण में सफल रोलआउट के लिए इन चरणों का पालन करें।

चरण 1: एक्सेस नीतियां और सेगमेंटेशन परिभाषित करें

तकनीकी बुनियादी ढांचे को कॉन्फ़िगर करने से पहले, स्पष्ट रूप से परिभाषित करें कि कर्मचारी उपकरणों को किस तक पहुंच की अनुमति दी जानी चाहिए। BYOD उपकरण अप्रबंधित हैं; आपका उनके ऑपरेटिंग सिस्टम अपडेट, एंटीवायरस स्थिति या इंस्टॉल किए गए एप्लिकेशन पर कोई नियंत्रण नहीं है। इसलिए, उन्हें अविश्वसनीय उपकरणों के रूप में माना जाना चाहिए।

कर्मचारी उपकरणों को एक समर्पित VLAN में रखें। यह VLAN इंटरनेट एक्सेस प्रदान करना चाहिए और केवल कर्मचारी की भूमिका के लिए आवश्यक विशिष्ट आंतरिक अनुप्रयोगों तक पहुंच को प्रतिबंधित करना चाहिए, जैसे कि रिटेल पॉइंट ऑफ सेल (POS) वेब इंटरफ़ेस या आतिथ्य हाउसकीपिंग एप्लिकेशन। BYOD उपकरणों को कभी भी कॉर्पोरेट सर्वर या प्रबंधित उपकरणों के समान VLAN पर न रखें। बैक-ऑफ-हाउस नेटवर्क को सुरक्षित करने के बारे में अधिक पढ़ने के लिए, हमारी गाइड रिटेल स्टाफ WiFi नीतियां: बैक-ऑफ-हाउस नेटवर्क को सुरक्षित करना या पुर्तगाली संस्करण Políticas de WiFi para Colaboradores no Retalho: Proteger as Redes Back-of-House देखें।

चरण 2: RADIUS सर्वर और IdP एकीकरण कॉन्फ़िगर करें

आपका RADIUS सर्वर 802.1X प्रमाणीकरण प्रक्रिया का दिल है। इसे EAP-TLS का समर्थन करने और आपके पहचान प्रदाता के साथ एकीकृत करने के लिए कॉन्फ़िगर किया जाना चाहिए।

अपने RADIUS सर्वर को SAML या LDAP के माध्यम से अपने IdP से कनेक्ट करें। यह सुनिश्चित करता है कि केवल सक्रिय कर्मचारी ही प्रमाणित हो सकते हैं और प्रमाणपत्र प्राप्त कर सकते हैं। जब किसी कर्मचारी को Microsoft Entra ID या Okta में डीप्रोविज़निंग किया जाता है, तो RADIUS सर्वर अगले कनेक्शन प्रयास पर उनके क्रेडेंशियल्स या प्रमाणपत्रों को स्वीकार करना बंद कर देगा। क्लाइंट प्रमाणपत्र जारी करने के लिए एक आंतरिक CA स्थापित करें या क्लाउड-होस्टेड PKI का लाभ उठाएं। RADIUS सर्वर को इस CA पर भरोसा करना चाहिए।

चरण 3: ऑनबोर्डिंग पोर्टल डिज़ाइन करें और AUP लागू करें

ऑनबोर्डिंग पोर्टल सिस्टम के साथ उपयोगकर्ता की बातचीत का पहला बिंदु है। यह सहज और स्पष्ट रूप से ब्रांडेड होना चाहिए। पोर्टल स्क्रीन पर चरण-दर-चरण निर्देश प्रदान करें। उपयोगकर्ताओं को यह जानने की आवश्यकता है कि वास्तव में कहां क्लिक करना है और आगे क्या उम्मीद करनी है।

कैप्टिव पोर्टल अनिवार्य स्वीकार्य उपयोग नीति (AUP) स्वीकृति के लिए एक स्वाभाविक प्रवर्तन बिंदु है। कर्मचारियों द्वारा स्टाफ नेटवर्क तक पहुँचने से पहले, पोर्टल नीति प्रस्तुत करता है और स्पष्ट पावती की आवश्यकता होती है। यह नीति स्वीकृति का एक टाइम-स्टैम्प और ऑडिट योग्य रिकॉर्ड बनाता है, जो GDPR और PCI-DSS अनुपालन के लिए महत्वपूर्ण है।

सर्वोत्तम प्रथाएं

एक सुरक्षित और प्रबंधनीय परिनियोजन सुनिश्चित करने के लिए, इन उद्योग सर्वोत्तम प्रथाओं का पालन करें।

अल्पकालिक प्रमाणपत्र लागू करें

चूंकि BYOD उपकरण अप्रबंधित हैं, इसलिए नेटवर्क पर समझौता किए गए उपकरणों के बने रहने का अधिक जोखिम होता है। अल्पकालिक प्रमाणपत्र जारी करके इस जोखिम को कम करें। तीन साल के लिए वैध प्रमाणपत्र जारी करने के बजाय, 90 दिनों के लिए वैध प्रमाणपत्र जारी करें। जब प्रमाणपत्र समाप्त हो जाता है, तो उपयोगकर्ता को ऑनबोर्डिंग पोर्टल के माध्यम से फिर से प्रमाणित होना होगा। यह स्वाभाविक रूप से नेटवर्क से पुराने उपकरणों को हटा देता है और यह सुनिश्चित करता है कि केवल सक्रिय कर्मचारियों की ही पहुंच बनी रहे।

Passpoint (Hotspot 2.0) का लाभ उठाएं

एक सहज ऑनबोर्डिंग अनुभव के लिए, विशेष रूप से Android उपकरणों पर, Passpoint का लाभ उठाएं। Passpoint उपकरणों को प्रारंभिक सेटअप के बाद उपयोगकर्ता को मैन्युअल रूप से SSID का चयन करने या कैप्टिव पोर्टल के साथ बातचीत करने की आवश्यकता के बिना सुरक्षित नेटवर्क का स्वचालित रूप से पता लगाने और प्रमाणित करने की अनुमति देता है। यह घर्षण को काफी कम करता है और उपयोगकर्ता अनुभव में सुधार करता है।

बैंडविड्थ प्रबंधन के लिए Purple Shield का उपयोग करें

उच्च घनत्व वाले कर्मचारी वातावरण में, स्टाफ नेटवर्क पर बैंडविड्थ का टकराव एक वास्तविक परिचालन समस्या है। Purple Shield DNS स्तर पर काम करता है, जो विज्ञापन पेलोड, ट्रैकिंग स्क्रिप्ट और मैलवेयर डोमेन को डिवाइस तक पहुंचने से पहले ही ब्लॉक कर देता है। इसका व्यावहारिक प्रभाव पूरे नेटवर्क में कुल डाउनलोड किए गए डेटा में 40% तक की कमी है। कर्मचारी उपकरणों के लिए, इसका अर्थ है तेज़ पेज लोड गति, डिवाइस की बैटरी खपत में कमी, और परिचालन ट्रैफ़िक के लिए अधिक उपलब्ध बैंडविड्थ।

समस्या निवारण और शमन

अच्छी तरह से डिज़ाइन की गई प्रणालियों के साथ भी समस्याएं उत्पन्न हो सकती हैं। त्वरित समाधान के लिए सामान्य विफलता मोड को समझना महत्वपूर्ण है।

वॉल्ड गार्डन कॉन्फ़िगरेशन

प्रोविजनिंग SSID को कड़ाई से नियंत्रित किया जाना चाहिए। यदि वॉल्ड गार्डन बहुत अधिक खुला है, तो उपयोगकर्ता सुरक्षित ऑनबोर्डिंग प्रक्रिया को पूरी तरह से दरकिनार करते हुए, इंटरनेट एक्सेस के लिए प्रोविजनिंग नेटवर्क से जुड़े रह सकते हैं। सुनिश्चित करें कि प्रोविजनिंग SSID केवल ऑनबोर्डिंग पोर्टल, IdP प्रमाणीकरण एंडपॉइंट और आवश्यक प्रमाणपत्र डाउनलोड सर्वर तक पहुंच की अनुमति देता है। अन्य सभी ट्रैफ़िक को ब्लॉक किया जाना चाहिए।

Android फ़्रेग्मेंटेशन

Apple iOS उपकरण कॉन्फ़िगरेशन प्रोफ़ाइल को बहुत सुसंगत रूप से संभालते हैं। हालाँकि, Android अत्यधिक खंडित है। विभिन्न निर्माता और OS संस्करण WiFi प्रोफ़ाइल और प्रमाणपत्र इंस्टॉलेशन को अलग-अलग तरीके से संभालते हैं। इसे कम करने के लिए, सुनिश्चित करें कि आपका ऑनबोर्डिंग समाधान स्पष्ट, OS-विशिष्ट निर्देश प्रदान करता है, और जब भी संभव हो Passpoint का लाभ उठाएं।

ROI और उद्यम प्रभाव

एक सुरक्षित स्टाफ WiFi कैप्टिव पोर्टल को लागू करना बेहतर सुरक्षा, कम IT ओवरहेड और बढ़ी हुई कर्मचारी उत्पादकता के माध्यम से निवेश पर एक स्पष्ट रिटर्न प्रदान करता है।

उपयोगकर्ताओं को स्वयं ऑनबोर्ड करने के लिए सशक्त बनाकर, IT हेल्प डेस्क WiFi पासवर्ड और कनेक्टिविटी समस्याओं से संबंधित समर्थन टिकटों में भारी कमी देखते हैं। PSK से EAP-TLS पर जाना अनधिकृत नेटवर्क पहुंच और डेटा उल्लंघनों के जोखिम को काफी कम करता है। यह PCI-DSS और GDPR जैसे मानकों के अनुपालन को बनाए रखने के लिए महत्वपूर्ण है। कर्मचारी अपनी ज़रूरत के उपकरणों तक पहुँचने के लिए अपने व्यक्तिगत उपकरणों को जल्दी और सुरक्षित रूप से कनेक्ट कर सकते हैं, जिससे रिटेल , स्वास्थ्य सेवा , आतिथ्य , और परिवहन क्षेत्रों में समग्र दक्षता और संतुष्टि में सुधार होता है।

मुख्य परिभाषाएं

कैप्टिव पोर्टल

एक वेब पेज जिसे सार्वजनिक-पहुंच या कॉर्पोरेट नेटवर्क के उपयोगकर्ता को पहुंच प्रदान करने से पहले देखने और बातचीत करने के लिए बाध्य किया जाता है।

पहचान सत्यापन, AUP स्वीकृति और प्रमाणपत्र प्रोविजनिंग के लिए प्रवेश द्वार के रूप में स्टाफ नेटवर्क में उपयोग किया जाता है।

EAP-TLS

एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल-ट्रांसपोर्ट लेयर सिक्योरिटी। एक 802.1X प्रमाणीकरण विधि जो क्लाइंट और सर्वर दोनों पर डिजिटल प्रमाणपत्रों का उपयोग करती है।

सबसे सुरक्षित WiFi प्रमाणीकरण विधि, पासवर्ड की आवश्यकता को समाप्त करती है और क्रेडेंशियल चोरी को रोकती है।

RADIUS

रिमोट ऑथेंटिकेशन डायल-इन यूजर सर्विस। एक नेटवर्किंग प्रोटोकॉल जो केंद्रीकृत प्रमाणीकरण, प्राधिकरण और लेखा प्रबंधन प्रदान करता है।

मुख्य सर्वर जो नेटवर्क एक्सेस प्रदान करने से पहले पहचान प्रदाता के खिलाफ डिवाइस प्रमाणपत्रों को मान्य करता है।

VLAN सेगमेंटेशन

ट्रैफ़िक को अलग करने के लिए एक भौतिक नेटवर्क को कई तार्किक नेटवर्कों में विभाजित करने का अभ्यास।

अविश्वसनीय BYOD स्टाफ उपकरणों को संवेदनशील कॉर्पोरेट सर्वर और POS सिस्टम से अलग रखने के लिए आवश्यक है।

Passpoint (Hotspot 2.0)

एक उद्योग मानक जो प्रारंभिक सेटअप के बाद मैन्युअल SSID चयन या कैप्टिव पोर्टल इंटरैक्शन की आवश्यकता के बिना निर्बाध और सुरक्षित WiFi ऑनबोर्डिंग और रोमिंग सक्षम बनाता है।

स्टाफ ऑनबोर्डिंग के लिए उपयोगकर्ता अनुभव में सुधार करता है, विशेष रूप से Android उपकरणों पर।

वॉल्ड गार्डन

एक प्रतिबंधित नेटवर्क वातावरण जो विशिष्ट वेब सामग्री और सेवाओं तक उपयोगकर्ता की पहुंच को नियंत्रित करता है।

प्रोविजनिंग SSID पर यह सुनिश्चित करने के लिए उपयोग किया जाता है कि कर्मचारी केवल ऑनबोर्डिंग पोर्टल और IdP तक पहुंच सकें, जिससे उन्हें सुरक्षा सेटअप को बायपास करने से रोका जा सके।

SCIM

सिस्टम फॉर क्रॉस-डोमेन आइडेंटिटी मैनेजमेंट। पहचान डोमेन के बीच उपयोगकर्ता पहचान जानकारी के आदान-प्रदान को स्वचालित करने के लिए एक खुला मानक।

जब कोई कर्मचारी कंपनी छोड़ देता है और IdP में अक्षम हो जाता है, तो नेटवर्क एक्सेस के स्वचालित डीप्रोविज़निंग को सक्षम बनाता है।

iPSK

आइडेंटिटी प्री-शेयर्ड की। एक सुरक्षा विशेषता जो प्रत्येक व्यक्तिगत उपयोगकर्ता या उपकरण को एक अद्वितीय WiFi पासवर्ड प्रदान करती है।

हेडलेस उपकरणों या ठेकेदारों के लिए 802.1X के विकल्प के रूप में उपयोग किया जाता है जो प्रमाणपत्र स्थापित नहीं कर सकते हैं।

हल किए गए उदाहरण

एक 200 कमरों वाले होटल को 80 हाउसकीपिंग और रखरखाव कर्मचारियों को WiFi एक्सेस प्रदान करने की आवश्यकता है जो क्लाउड-आधारित प्रॉपर्टी मैनेजमेंट सिस्टम (PMS) तक पहुँचने के लिए अपने व्यक्तिगत स्मार्टफोन का उपयोग करते हैं। होटल वर्तमान में एक एकल WPA2 पासवर्ड का उपयोग करता है जिसे तीन वर्षों से बदला नहीं गया है। IT प्रबंधक को व्यक्तिगत उपकरणों के लिए MDM सॉफ़्टवेयर खरीदे बिना इस नेटवर्क को कैसे सुरक्षित करना चाहिए?

  1. एक सख्त वॉल्ड गार्डन के साथ एक नया ओपन प्रोविजनिंग SSID (जैसे, 'Hotel-Staff-Onboard') बनाएं जो केवल कैप्टिव पोर्टल और Microsoft Entra ID तक पहुंच की अनुमति देता है।
  2. Microsoft Entra ID के माध्यम से SSO लॉगिन की आवश्यकता के लिए एक कैप्टिव पोर्टल कॉन्फ़िगर करें और स्टाफ स्वीकार्य उपयोग नीति (AUP) प्रदर्शित करें।
  3. सफल लॉगिन और AUP स्वीकृति पर, 90-दिवसीय उपकरण-विशिष्ट EAP-TLS प्रमाणपत्र उत्पन्न करें।
  4. सुरक्षित 802.1X SSID (जैसे, 'Hotel-Staff-Secure') से स्वचालित रूप से कनेक्ट करने के लिए स्टाफ सदस्य के फोन पर कॉन्फ़िगरेशन प्रोफ़ाइल भेजें।
  5. कनेक्टेड उपकरणों को एक समर्पित BYOD VLAN में असाइन करने के लिए RADIUS सर्वर को कॉन्फ़िगर करें जो केवल इंटरनेट और क्लाउड PMS पर रूट करता है, कॉर्पोरेट सर्वर VLAN तक पहुंच को ब्लॉक करता है।
परीक्षक की टिप्पणी: यह दृष्टिकोण पूर्ण MDM नामांकन की गोपनीयता चिंताओं से बचते हुए साझा पासवर्ड भेद्यता को समाप्त करता है। 90-दिवसीय प्रमाणपत्र यह सुनिश्चित करता है कि पुराने उपकरणों को स्वचालित रूप से हटा दिया जाए, और VLAN सेगमेंटेशन कॉर्पोरेट नेटवर्क को संभावित रूप से समझौता किए गए व्यक्तिगत उपकरणों से बचाता है।

एक बड़ी रिटेल श्रृंखला को ब्लैक फ्राइडे की बिक्री के दौरान गंभीर पॉइंट-ऑफ-सेल (POS) कनेक्टिविटी समस्याओं का सामना करना पड़ता है क्योंकि स्टाफ सदस्य ब्रेक के दौरान स्टाफ नेटवर्क से जुड़े अपने व्यक्तिगत फोन पर वीडियो स्ट्रीमिंग कर रहे होते हैं। नेटवर्क आर्किटेक्ट व्यक्तिगत उपकरणों पर प्रतिबंध लगाए बिना इसे कैसे हल कर सकता है?

  1. DNS स्तर पर विज्ञापन पेलोड और ट्रैकिंग स्क्रिप्ट को ब्लॉक करने के लिए स्टाफ नेटवर्क पर Purple Shield लागू करें, जिससे तुरंत 40% तक बर्बाद बैंडविड्थ वापस मिल जाएगी।
  2. सामान्य वेब ब्राउज़िंग और वीडियो स्ट्रीमिंग पर POS और इन्वेंट्री एप्लिकेशन ट्रैफ़िक को प्राथमिकता देने के लिए वायरलेस कंट्रोलर पर क्वालिटी ऑफ़ सर्विस (QoS) नीतियां लागू करें।
  3. किसी भी एकल व्यक्तिगत उपकरण के लिए उपलब्ध अधिकतम बैंडविड्थ को सीमित करने के लिए BYOD VLAN पर दर सीमित करना लागू करें।
परीक्षक की टिप्पणी: यह समाधान गैर-लागू करने योग्य HR नीतियों के बजाय तकनीकी रूप से बैंडविड्थ के टकराव को संबोधित करता है। Purple Shield बेसलाइन डेटा लोड को कम करता है, जबकि QoS और दर सीमित करना यह सुनिश्चित करते हैं कि महत्वपूर्ण परिचालन ट्रैफ़िक को हमेशा पीक अवधि के दौरान प्राथमिकता मिले।

अभ्यास प्रश्न

Q1. एक स्टेडियम संचालन निदेशक सभी 500 मैच-डे इवेंट स्टाफ को एक एकल WiFi पासवर्ड जारी करना चाहता है ताकि उनके लिए 'जल्दी से ऑनलाइन होना आसान' हो सके। इस दृष्टिकोण का प्राथमिक सुरक्षा जोखिम क्या है, और अनुशंसित विकल्प क्या है?

संकेत: विचार करें कि क्या होता है जब मैच के दिन का स्टाफ सदस्य अगले कार्यक्रम के लिए वापस नहीं आता है।

मॉडल उत्तर देखें

प्राथमिक जोखिम व्यक्तियों के लिए पहुंच को रद्द करने में असमर्थता है। जब कोई स्टाफ सदस्य छोड़ता है, तो वे पासवर्ड बनाए रखते हैं, जिससे उन्हें परिचालन नेटवर्क तक अनिश्चितकालीन पहुंच मिलती है। अनुशंसित विकल्प एक कैप्टिव पोर्टल ऑनबोर्डिंग फ्लो है जो उनकी पहचान से जुड़े उपकरण-विशिष्ट EAP-TLS प्रमाणपत्र जारी करता है, जिससे IT प्रति उपकरण या समाप्ति पर स्वचालित रूप से पहुंच रद्द कर सकता है।

Q2. आपके RADIUS सर्वर लॉग दिखाते हैं कि कई Android उपकरण कैप्टिव पोर्टल पर प्रमाणित होने के बाद प्रमाणपत्र स्थापना प्रक्रिया को पूरा करने में विफल हो रहे हैं। सबसे संभावित कारण क्या है, और इसे कैसे कम किया जा सकता है?

संकेत: मोबाइल ऑपरेटिंग सिस्टम कॉन्फ़िगरेशन प्रोफ़ाइल को कैसे संभालते हैं, इसमें अंतर पर विचार करें।

मॉडल उत्तर देखें

सबसे संभावित कारण Android OS फ़्रेग्मेंटेशन है, क्योंकि विभिन्न निर्माता प्रमाणपत्र स्थापना को अलग-अलग तरीके से संभालते हैं। इसे कैप्टिव पोर्टल पर स्पष्ट, OS-विशिष्ट निर्देश प्रदान करके, एक समर्पित ऑनबोर्डिंग ऐप का उपयोग करके, या अधिक सहज और मानकीकृत ऑनबोर्डिंग अनुभव के लिए Passpoint (Hotspot 2.0) का लाभ उठाकर कम किया जा सकता है।

Q3. एक अस्पताल की IT टीम स्टाफ BYOD नेटवर्क डिज़ाइन कर रही है। वे BYOD उपकरणों को अस्पताल के इलेक्ट्रॉनिक स्वास्थ्य रिकॉर्ड (EHR) सर्वर के समान VLAN पर रखने की योजना बना रहे हैं ताकि यह सुनिश्चित हो सके कि कर्मचारी रोगी डेटा तक जल्दी पहुँच सकें। क्या यह एक सुरक्षित डिज़ाइन है? क्यों या क्यों नहीं?

संकेत: अप्रबंधित BYOD उपकरणों के विश्वास स्तर पर विचार करें।

मॉडल उत्तर देखें

नहीं, यह एक सुरक्षित डिज़ाइन नहीं है। BYOD उपकरण अप्रबंधित हैं, जिसका अर्थ है कि IT टीम उनकी सुरक्षा स्थिति, OS अपडेट या इंस्टॉल किए गए अनुप्रयोगों को नियंत्रित नहीं करती है। उन्हें अविश्वसनीय माना जाना चाहिए। उन्हें संवेदनशील EHR सर्वर के समान VLAN पर रखने से एक महत्वपूर्ण पार्श्व आंदोलन जोखिम पैदा होता है। BYOD उपकरणों को एक समर्पित, खंडित VLAN पर रखा जाना चाहिए जिसमें सख्त फ़ायरवॉल नियम हों जो केवल आवश्यक वेब इंटरफेस तक पहुंच को सीमित करते हैं, कभी भी सीधे सर्वर तक पहुंच नहीं देते हैं।

इस श्रृंखला में आगे पढ़ें

Ruijie के लिए कैप्टिव पोर्टल: इसे Purple गेस्ट WiFi के साथ सेटअप करें

कैसे Purple का क्लाउड गेस्ट WiFi वेब ऑथेंटिकेशन और RADIUS का उपयोग करके Ruijie RG Series एक्सेस पॉइंट्स के ऊपर काम करता है, जिसे कमांड लाइन से कॉन्फ़िगर किया गया है, और सटीक सेटअप चरण कहाँ खोजें।

गाइड पढ़ें →

B2B Captive Portals डिजाइन करना: पंजीकृत नाम और कंपनी डेटा एकत्र करना

यह गाइड IT प्रबंधकों और स्थल ऑपरेटरों को B2B captive portals डिजाइन करने के लिए एक विक्रेता-तटस्थ तकनीकी ढांचा प्रदान करती है। यह पंजीकृत नाम और कंपनी डेटा को कैप्चर करने के लिए पंजीकरण फ़ील्ड को संरचित करने का विवरण देती है, जिससे GDPR अनुपालन बनाए रखते हुए और खाता-स्तरीय बुद्धिमत्ता का निर्माण करते हुए उच्च पूर्णता दर सुनिश्चित होती है।

गाइड पढ़ें →

कैप्टिव पोर्टल आर्किटेक्चर: सुरक्षा, रीडायरेक्शन और सर्वोत्तम प्रथाएं

एंटरप्राइज कैप्टिव पोर्टल आर्किटेक्चर पर एक निश्चित तकनीकी संदर्भ। यह गाइड सुरक्षित, डेटा-समृद्ध गेस्ट WiFi नेटवर्क तैनात करने वाले IT लीडर्स के लिए नेटवर्क आइसोलेशन, DNS रीडायरेक्शन, RADIUS ऑथेंटिकेशन और सुरक्षा अनुपालन का विश्लेषण करती है।

गाइड पढ़ें →