मुख्य सामग्री पर जाएं

802.1X Supplicant क्या है? क्लाइंट के प्रकार और डिवाइस कॉन्फ़िगरेशन

यह गाइड एंटरप्राइज WiFi ऑथेंटिकेशन में 802.1X supplicant की भूमिका के बारे में बताती है। इसमें टेक्निकल आर्किटेक्चर शामिल है, नेटिव OS supplicants की तुलना थर्ड-पार्टी क्लाइंट्स से की गई है, और EAP-TLS व PEAP को लागू करने वाली IT टीमों के लिए व्यावहारिक कॉन्फ़िगरेशन गाइडेंस प्रदान किया गया है।

📖 5 मिनट का पाठ📝 1,091 शब्द🔧 2 हल किए गए उदाहरण3 अभ्यास प्रश्न📚 8 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें
एक आत्मविश्वासी, आधिकारिक और संवादात्मक लहजे में बात करें - जैसे कि एक वरिष्ठ नेटवर्क सुरक्षा सलाहकार किसी क्लाइंट को जानकारी दे रहा हो। नपी-तुली गति, स्पष्ट उच्चारण, पेशेवर लेकिन नीरस नहीं। जोर देने के लिए बीच-बीच में स्वाभाविक ठहराव लें: Purple की तकनीकी ब्रीफिंग श्रृंखला में आपका स्वागत है। आज हम उस विषय पर चर्चा कर रहे हैं जो एंटरप्राइज WiFi सुरक्षा के मूल में है - 802.1X सप्लीकेंट (supplicant)। यदि आपने कभी सोचा है कि कुछ डिवाइस बिना पासवर्ड पूछे आपके कॉर्पोरेट नेटवर्क से क्यों कनेक्ट हो जाते हैं, जबकि अन्य में सर्टिफिकेट एरर और हेल्पडेस्क टिकट आ जाते हैं, तो यह एपिसोड आपके लिए ही है। [medium pause] आइए बुनियादी बातों से शुरुआत करते हैं। 802.1X सप्लीकेंट एक क्लाइंट डिवाइस - जैसे लैपटॉप, स्मार्टफोन, टैबलेट - पर एक सॉफ्टवेयर घटक है, जो उस प्रमाणीकरण हैंडशेक को संभालता है जब वह डिवाइस IEEE 802.1X द्वारा सुरक्षित नेटवर्क में शामिल होने का प्रयास करता है। इसे डिवाइस के आईडी कार्ड प्रस्तुतकर्ता के रूप में समझें। नेटवर्क किसी को भी ऐसे ही प्रवेश नहीं देता है। यह क्रेडेंशियल्स मांगता है। सप्लीकेंट वह है जो आगे बढ़कर कहता है: यहाँ मेरी पहचान है, यहाँ मेरा सर्टिफिकेट है, मुझे अंदर आने दें। यह मानक - IEEE 802.1X - पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल को परिभाषित करता है। प्रमाणीकरण सफल होने से पहले, एक्सेस पॉइंट या स्विच केवल एक बहुत ही सीमित प्रकार के ट्रैफ़िक को ही अनुमति देता है: EAPOL फ़्रेम, जिसका अर्थ है Extensible Authentication Protocol over LAN। बाकी सब कुछ ब्लॉक कर दिया जाता है। एक बार जब सप्लीकेंट ऑथेंटिकेटर के माध्यम से RADIUS सर्वर के सामने अपनी पहचान साबित कर देता है, तो पोर्ट खुल जाता है और सामान्य ट्रैफ़िक का प्रवाह शुरू हो जाता है। [medium pause] अब, इस पूरी प्रक्रिया में तीन मुख्य भूमिकाएँ हैं। पहला, सप्लीकेंट - यानी क्लाइंट डिवाइस। दूसरा, ऑथेंटिकेटर - आपका एक्सेस पॉइंट या स्विच, जैसे कि Cisco Meraki, HPE Aruba, Ruckus, या Juniper Mist जैसे हार्डवेयर। तीसरा, ऑथेंटिकेशन सर्वर - जो लगभग हमेशा एक RADIUS सर्वर होता है, जो Microsoft Entra ID या Okta जैसी डायरेक्टरी के विरुद्ध क्रेडेंशियल्स की पुष्टि करता है। सप्लीकेंट EAPOL-Start संदेश भेजकर प्रक्रिया शुरू करता है। ऑथेंटिकेटर पहचान के लिए EAP-Request के साथ प्रतिक्रिया देता है। सप्लीकेंट अपनी पहचान के साथ उत्तर देता है। वह पहचान RADIUS सर्वर को फॉरवर्ड कर दी जाती है, जो फिर सहमत EAP विधि के साथ सप्लीकेंट को चुनौती देता है। यदि सब कुछ ठीक रहता है, तो RADIUS सर्वर एक Access-Accept भेजता है, पोर्ट खुल जाता है, और डिवाइस को सही VLAN पर रख दिया जाता है। [medium pause] आइए EAP विधियों के बारे में बात करते हैं, क्योंकि यहीं पर अधिकांश डिप्लॉयमेंट के निर्णय लिए जाते हैं। EAP-TLS - यानी Transport Layer Security के साथ Extensible Authentication Protocol - सबसे बेहतरीन मानक है। इसके लिए क्लाइंट और सर्वर दोनों को सर्टिफिकेट प्रस्तुत करने की आवश्यकता होती है। आपसी ऑथेंटिकेशन। कोई पासवर्ड नहीं। क्लाइंट सर्टिफिकेट डिवाइस की पहचान को साबित करता है; सर्वर सर्टिफिकेट साबित करता है कि नेटवर्क वैध है, जो इविल ट्विन हमलों से बचाता है जहां एक दुष्ट एक्सेस पॉइंट क्रेडेंशियल चुराने की कोशिश करता है। EAP-TLS बारह चरणों में पूरा होता है और इसमें सार्वजनिक-निजी कुंजी क्रिप्टोग्राफी का उपयोग किया जाता है। यह अपने उच्चतम सुरक्षा मोड में WPA3-Enterprise के लिए आवश्यक तरीका है, और यह डिवाइस पहचान सत्यापन के लिए NIST SP 800-171 आवश्यकताओं के अनुरूप है। PEAP - Protected EAP - उन संगठनों के लिए अधिक सामान्य शुरुआती बिंदु है जिनके पास अभी तक पूर्ण PKI मौजूद नहीं है। PEAP एक TLS टनल के भीतर एक पासवर्ड-आधारित आंतरिक विधि, आमतौर पर MSCHAPv2 को लपेटता है। सर्वर एक सर्टिफिकेट प्रस्तुत करता है; क्लाइंट नहीं करता। इसका मतलब है कि परिनियोजन सरल है - आपको क्लाइंट सर्टिफिकेट प्रदान करने की आवश्यकता नहीं है - लेकिन यह कम सुरक्षित है। MSCHAPv2 MD4 हैशिंग का उपयोग करता है, जिसे 1995 से ही कमजोर माना गया है। यदि कोई उपयोगकर्ता किसी ऐसे दुष्ट एक्सेस पॉइंट से जुड़ता है जो विश्वसनीय दिखने वाला सर्टिफिकेट प्रस्तुत करता है, तो उनके क्रेडेंशियल चुराए जा सकते हैं। इसलिए PEAP चलाते समय क्लाइंट साइड पर सर्वर सर्टिफिकेट सत्यापन गैर-परक्राम्य है। [medium pause] अब आइए सप्लीकेंट के बारे में बात करते हैं - विशेष रूप से नेटिव OS सप्लीकेंट्स और तीसरे पक्ष के क्लाइंट सॉफ़्टवेयर के बीच का चुनाव। प्रत्येक प्रमुख ऑपरेटिंग सिस्टम एक इन-बिल्ट 802.1X सप्लीकेंट के साथ आता है। Windows ने XP के बाद से वायरलेस ऑटो-कॉन्फ़िगर और वायर्ड ऑटो-कॉन्फ़िगर सेवाओं के माध्यम से मूल रूप से इसका समर्थन किया है। macOS और iOS अपने नेटवर्क कॉन्फ़िगरेशन प्रोफाइल के माध्यम से 802.1X को संभालते हैं। Android इसे WiFi सेटिंग्स पैनल के माध्यम से समर्थित करता है। ये नेटिव सप्लीकेंट्स सभी वर्तमान प्लेटफ़ॉर्म पर EAP-TLS और PEAP-MSCHAPv2 को कवर करते हैं। नेटिव सप्लीकेंट्स का लाभ स्पष्ट है: तैनात करने के लिए कोई अतिरिक्त सॉफ़्टवेयर नहीं, कोई लाइसेंसिंग लागत नहीं, स्वचालित OS सुरक्षा अपडेट, और ऑपरेटिंग सिस्टम के सर्टिफिकेट स्टोर के साथ कड़ा एकीकरण। प्रबंधित डिवाइस बेड़े के लिए - Microsoft Intune में नामांकित Windows मशीनें, Jamf के माध्यम से प्रबंधित Macs - आप MDM के माध्यम से चुपचाप 802.1X कॉन्फ़िगरेशन प्रोफ़ाइल भेज सकते हैं, और उपयोगकर्ताओं को कभी भी कोई संकेत नहीं दिखता है। हर बार रेंज में आने पर डिवाइस स्वचालित रूप से ऑथेंटिकेट हो जाता है। विशिष्ट परिदृश्यों में थर्ड-पार्टी सप्लीकेंट्स काम में आते हैं। यदि आप Cisco इन्फ्रास्ट्रक्चर चला रहे हैं और EAP-FAST - जो Cisco का मालिकाना EAP तरीका है - का उपयोग करना चाहते हैं, तो आपको Cisco के क्लाइंट सॉफ़्टवेयर की आवश्यकता होगी, जो ऐतिहासिक रूप से Secure Services Client या AnyConnect Network Access Manager रहा है। यदि आपको एक मिश्रित-OS एस्टेट में लगातार कॉन्फ़िगरेशन प्रबंधन की आवश्यकता है और आप सप्लीकेंट सेटिंग्स को लॉक करना चाहते हैं ताकि उपयोगकर्ता गलती से उन्हें गलत तरीके से कॉन्फ़िगर न कर सकें, तो एक थर्ड-पार्टी क्लाइंट आपको वह नियंत्रण देता है। SecureW2 के JoinNow सुइट जैसे टूल ऑनबोर्डिंग एजेंटों के रूप में भी कार्य करते हैं - वे नेटिव सप्लीकेंट को बदलने के बजाय उसे कॉन्फ़िगर करते हैं, जिससे उपयोगकर्ताओं को सर्टिफिकेट एनरोलमेंट और प्रोफाइल इंस्टॉलेशन की प्रक्रिया आसानी से समझ आ जाती है। [medium pause] इसे ठोस बनाने के लिए मैं आपको दो वास्तविक दुनिया के परिदृश्यों के माध्यम से समझाता हूँ। पहला, एक 400 कमरों वाला होटल। यह प्रॉपर्टी आज PEAP-MSCHAPv2 के साथ WPA2-Enterprise पर एक स्टाफ नेटवर्क चलाती है। IT टीम पासवर्ड-आधारित ऑथेंटिकेशन को समाप्त करने और क्रेडेंशियल चोरी के जोखिम को कम करने के लिए EAP-TLS पर माइग्रेट करना चाहती है। चुनौती: स्टाफ डिवाइस Intune के माध्यम से प्रबंधित Windows लैपटॉप, प्रॉपर्टी मैनेजमेंट सॉफ़्टवेयर के लिए उपयोग किए जाने वाले पर्सनल Android फोन, और बैक-ऑफ़-हाउस में पुराने Windows 7 मशीनों का एक मिश्रण हैं। यहाँ दृष्टिकोण चरणबद्ध है। प्रबंधित Windows फ़्लीट से शुरुआत करें। एक Intune कॉन्फ़िगरेशन प्रोफ़ाइल पुश करें जो RADIUS सर्वर के रूट CA सर्टिफिकेट को इंस्टॉल करती है, EAP-TLS के लिए WiFi प्रोफ़ाइल को कॉन्फ़िगर करती है, और आंतरिक PKI से SCEP-आधारित सर्टिफिकेट एनरोलमेंट को ट्रिगर करती है। वे डिवाइस पहले दिन से स्वचालित रूप से ऑथेंटिकेट होते हैं। Android BYOD डिवाइस के लिए, एक सेल्फ-सर्विस ऑनबोर्डिंग पोर्टल तैनात करें - उपयोगकर्ता एक URL पर जाते हैं, एक कॉन्फ़िगरेशन प्रोफ़ाइल डाउनलोड करते हैं, और उनके लिए सप्लीकेंट कॉन्फ़िगर हो जाता है। पुराने Windows 7 मशीनें सख्त सर्वर सर्टिफिकेट वैलिडेशन लागू होने के साथ PEAP पर बनी रहती हैं, और डीकमिशन होने तक सीमित एक्सेस वाले एक अलग VLAN में अलग रखी जाती हैं। [medium pause] दूसरा परिदृश्य: 200 स्टोर वाली एक बड़ी रिटेल चेन। प्रत्येक स्टोर में पॉइंट-ऑफ़-सेल (POS) टर्मिनल, स्टाफ टैबलेट और एक गेस्ट WiFi नेटवर्क का मिश्रण है। PCI-DSS के लिए आवश्यक है कि कार्डधारक डेटा वातावरण अन्य नेटवर्क सेगमेंट से अलग हो। रिटेलर स्टाफ और POS नेटवर्क पर 802.1X का उपयोग करता है, जिसमें VLAN असाइनमेंट सर्टिफिकेट एट्रिब्यूट्स द्वारा संचालित होता है। एक POS टर्मिनल "POS" के संगठनात्मक विंग के साथ एक डिवाइस सर्टिफिकेट प्रस्तुत करता है - RADIUS पॉलिसी इसे PCI VLAN में असाइन करती है। एक स्टाफ टैबलेट "Staff" के साथ एक सर्टिफिकेट प्रस्तुत करता है - यह स्टाफ VLAN पर आता है। गेस्ट डिवाइस पूरी तरह से एक अलग SSID से कनेक्ट होते हैं, जिसे एक Captive Portal समाधान द्वारा प्रबंधित किया जाता है। POS टर्मिनलों पर सप्लीकेंट कॉन्फ़िगरेशन MDM के माध्यम से लॉक किया गया है। किसी उपयोगकर्ता के इंटरैक्शन की आवश्यकता नहीं है। टर्मिनल बूट होने पर चुपचाप ऑथेंटिकेट हो जाते हैं। सर्टिफिकेट रिन्यूअल SCEP के माध्यम से स्वचालित होता है, इसलिए सर्टिफिकेट समाप्त होने पर किसी मैन्युअल हस्तक्षेप की आवश्यकता नहीं होती है। [medium pause] अब, इम्प्लीमेंटेशन की कमियां। मैं आपको चार सबसे आम कमियां बताता हूँ। नंबर एक: PEAP डिप्लॉयमेंट पर सर्वर सर्टिफिकेट वैलिडेशन का न होना। यदि आप RADIUS सर्वर के सर्टिफिकेट को वैलिडेट करने और सर्वर का नाम जांचने के लिए सप्लीकेंट को कॉन्फ़िगर नहीं करते हैं, तो उपयोगकर्ता किसी नकली एक्सेस पॉइंट से कनेक्ट होने के प्रति संवेदनशील हो जाते हैं। हमेशा सप्लीकेंट प्रोफाइल में ट्रस्टेड रूट CA और सर्वर का नाम निर्दिष्ट करें। नंबर दो: सर्टिफिकेट की समय सीमा समाप्त होने से बड़े पैमाने पर ऑथेंटिकेशन विफलताएं होना। क्लाइंट सर्टिफिकेट की एक वैधता अवधि होती है। यदि आपके पास SCEP या NDES के माध्यम से ऑटोमेटेड रिन्यूअल की व्यवस्था नहीं है, तो आपको ऐसी गंभीर स्थिति का सामना करना पड़ेगा जहां सैकड़ों डिवाइस एक साथ ऑथेंटिकेशन बंद कर देते हैं। लाइव होने से पहले रिन्यूअल ऑटोमेशन का निर्माण करें। नंबर तीन: असंगत सप्लीकेंट व्यवहार वाले BYOD डिवाइस। विशेष रूप से Android में विभिन्न निर्माताओं के बीच 802.1X सपोर्ट विभाजित है। कुछ वर्ज़न में उपयोगकर्ता को WiFi प्रोफाइल द्वारा इसे स्वीकार करने से पहले CA सर्टिफिकेट को मैन्युअल रूप से इंस्टॉल करने की आवश्यकता होती है। एक ऑनबोर्डिंग पोर्टल जो इस चरण को संभालता है, हेल्पडेस्क के काम के बोझ को काफी कम कर देता है। नंबर चार: Windows 11 फीचर अपडेट का सप्लीकेंट कॉन्फ़िगरेशन को खराब करना। Microsoft ने कई Windows 11 अपडेट्स में 802.1X व्यवहार को बदल दिया है। विशेष रूप से, 24H2 अपडेट ने नेटिव सप्लीकेंट द्वारा EAP-TLS फॉलबैक को संभालने के तरीके में बदलाव किए हैं। प्रोडक्शन में रोल आउट करने से पहले नए OS वर्ज़न के खिलाफ अपने सप्लीकेंट प्रोफाइल का परीक्षण करें। [medium pause] अब त्वरित प्रश्न। क्या IoT डिवाइस 802.1X का समर्थन कर सकते हैं? अधिकांश नहीं कर सकते। IoT डिवाइस में आम तौर पर सप्लीकेंट की पूरी तरह से कमी होती है। इसका फॉलबैक MAC Authentication Bypass - MAB - है जहां RADIUS सर्वर डिवाइस को उसके MAC एड्रेस के आधार पर ऑथेंटिकेट करता है। MAC एड्रेस को स्पूफ किया जा सकता है, इसलिए MAB डिवाइस को हमेशा सख्त फायरवॉल नियमों के साथ एक पृथक IoT VLAN पर ही रखना चाहिए। क्या मुझे 802.1X चलाने के लिए PKI की आवश्यकता है? PEAP के लिए, नहीं - आपको केवल RADIUS सर्वर पर एक सर्वर सर्टिफिकेट की आवश्यकता होती है। EAP-TLS के लिए, हाँ - क्लाइंट सर्टिफिकेट जारी करने के लिए आपको एक PKI की आवश्यकता होती है। क्लाउड-आधारित PKI सेवाएं इंफ्रास्ट्रक्चर के खर्च को काफी कम कर देती हैं। 802.1X Purple के नेटवर्क एक्सेस प्लेटफॉर्म के साथ कैसे इंटरैक्ट करता है? Purple आपके मौजूदा हार्डवेयर - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist और अन्य के ऊपर एक क्लाउड ओवरले के रूप में काम करता है। स्टाफ WiFi नेटवर्क पर, Purple का SecurePass ऐड-ऑन आपके आइडेंटिटी प्रोवाइडर - Microsoft Entra ID, Okta या Google Workspace के साथ एकीकृत होता है ताकि ऑन-प्रिमाइसेस RADIUS इंफ्रास्ट्रक्चर की आवश्यकता के बिना 802.1X ऑथेंटिकेशन को लागू किया जा सके और प्रति-उपयोगकर्ता VLAN नीतियां लागू की जा सकें। [medium pause] समापन के लिए: 802.1X सप्लीकेंट डिवाइस-साइड एजेंट है जो पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल को काम करने योग्य बनाता है। EAP विधि का आपका चयन - अधिकतम सुरक्षा के लिए EAP-TLS, एक संक्रमणकालीन विकल्प के रूप में PEAP - आपकी PKI आवश्यकताओं और आपके सप्लीकेंट कॉन्फ़िगरेशन दृष्टिकोण को संचालित करता है। MDM के माध्यम से तैनात किए जाने पर नेटिव OS सप्लीकेंट अधिकांश प्रबंधित डिवाइस परिदृश्यों को कवर करते हैं। तृतीय-पक्ष क्लाइंट विशिष्ट मामलों में मूल्य जोड़ते हैं: मालिकाना EAP विधियां, सुसंगत कॉन्फ़िगरेशन की आवश्यकता वाले मिश्रित-OS एस्टेट, या सेल्फ-सर्विस BYOD ऑनबोर्डिंग। ध्यान रखने योग्य तीन बातें: हर सप्लीकेंट प्रोफाइल पर अपने RADIUS सर्वर सर्टिफिकेट को सत्यापित करें, EAP-TLS को बड़े पैमाने पर लागू करने से पहले सर्टिफिकेट रिन्यूअल को ऑटोमेट करें, और उन डिवाइसेज को अलग करें जो 802.1X का समर्थन नहीं कर सकते - जैसे IoT, लीगेसी हार्डवेयर - उन्हें फॉलबैक के रूप में MAC Authentication Bypass के साथ समर्पित VLANs पर स्थानांतरित करें। यह जानने के लिए कि Purple आपके नेटवर्क एक्सेस आर्किटेक्चर के साथ कैसे एकीकृत होता है, purple dot ai पर जाएं। सुनने के लिए धन्यवाद।

header_image.png

कार्यकारी सारांश (Executive Summary)

जब कोई डिवाइस किसी एंटरप्राइज नेटवर्क से कनेक्ट होता है, तो 802.1X supplicant वह सॉफ़्टवेयर घटक है जो अपनी पहचान साबित करने के लिए ज़िम्मेदार होता है। बड़े स्थानों पर IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए, बिना हेल्पडेस्क टिकट जनरेट किए सुरक्षित नेटवर्क एक्सेस सुनिश्चित करने के लिए supplicant कैसे काम करता है, यह समझना अत्यंत महत्वपूर्ण है। यह गाइड IEEE 802.1X ऑथेंटिकेशन में डिवाइस-साइड एजेंट को सरल बनाती है, और नेटिव OS क्षमताओं की तुलना थर्ड-पार्टी supplicant सॉफ़्टवेयर से करती है। हम यह जांच करेंगे कि EAP-TLS और PEAP-MSCHAPv2 के लिए supplicants को कैसे कॉन्फ़िगर किया जाए, हॉस्पिटैलिटी और रिटेल में वास्तविक दुनिया के परिनियोजन (deployment) परिदृश्यों का पता लगाएंगे, और यह विवरण देंगे कि उचित supplicant कॉन्फ़िगरेशन कैसे एक्सेस को अनुकूलित करने के लिए Identity-Based Networks के साथ एकीकृत होता है। चाहे आप 200 कमरों वाला होटल प्रबंधित करते हों या 80,000 से अधिक सीटों वाला एक सक्रिय स्थान, सही supplicant कॉन्फ़िगरेशन सुरक्षित, विश्वसनीय WiFi बनाने का एक मुख्य आधार है।

गहन तकनीकी विश्लेषण (Deep Tech Dive)

IEEE 802.1X मानक पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल को परिभाषित करता है। यह एक सरल सिद्धांत पर काम करता है: नेटवर्क किनारे पर सभी ट्रैफ़िक को तब तक ब्लॉक करें जब तक कि कोई डिवाइस अपनी पहचान साबित न कर दे। supplicant इस प्रक्रिया में क्लाइंट-साइड का हिस्सा होता है।

802.1X के तीन घटक

ऑथेंटिकेशन के लिए तीन अलग-अलग संस्थाओं की आवश्यकता होती है:

  1. Supplicant: क्लाइंट डिवाइस (लैपटॉप, स्मार्टफोन, या टैबलेट) जो नेटवर्क एक्सेस का अनुरोध कर रहा है।
  2. Authenticator: नेटवर्क एक्सेस डिवाइस, जैसे कि Cisco Meraki, HPE Aruba, Ruckus, या Juniper Mist एक्सेस पॉइंट।
  3. Authentication Server: RADIUS सर्वर जो Microsoft Entra ID या Okta जैसे पहचान प्रदाता के खिलाफ क्रेडेंशियल्स को सत्यापित करता है।

ऑथेंटिकेशन से पहले, authenticator का पोर्ट एक अनधिकृत (unauthorised) स्थिति में होता है, जो केवल Extensible Authentication Protocol over LAN (EAPOL) ट्रैफ़िक की अनुमति देता है। supplicant एक EAPOL-Start फ्रेम के साथ प्रक्रिया शुरू करता है। authenticator पहचान का अनुरोध करता है, और supplicant प्रतिक्रिया देता है। इस पहचान को RADIUS सर्वर पर भेज दिया जाता है, जो उपयोग की जाने वाली EAP विधि निर्धारित करता है। सफल सत्यापन पर, RADIUS सर्वर एक Access-Accept संदेश भेजता है, पोर्ट एक अधिकृत (authorised) स्थिति में बदल जाता है, और डिवाइस को आम तौर पर एक विशिष्ट VLAN में असाइन किया जाता है।

architecture_overview.png

EAP विधियां: Supplicant की भाषा

supplicant और RADIUS सर्वर को एक Extensible Authentication Protocol (EAP) विधि पर सहमत होना चाहिए। EAP विधि का विकल्प सुरक्षा स्थिति और supplicant पर कॉन्फ़िगरेशन के बोझ को तय करता है।

EAP-TLS (Transport Layer Security) EAP-TLS के लिए सर्टिफिकेट-आधारित म्यूचुअल ऑथेंटिकेशन की आवश्यकता होती है। सप्लिकेंट अपनी पहचान साबित करने के लिए एक क्लाइंट सर्टिफिकेट प्रदान करता है, और RADIUS सर्वर नेटवर्क की वैधता साबित करने के लिए एक सर्वर सर्टिफिकेट प्रदान करता है। यह पासवर्ड-रहित तरीका क्रेडेंशियल चोरी को समाप्त करता है और NIST SP 800-171 जैसे सख्त सुरक्षा फ्रेमवर्क द्वारा आवश्यक है। सप्लिकेंट को जारी करने वाले सर्टिफिकेट अथॉरिटी (CA) पर भरोसा करने के लिए कॉन्फ़िगर किया जाना चाहिए और उसके पास एक वैध क्लाइंट सर्टिफिकेट होना चाहिए।

PEAP (Protected EAP) उन परिदृश्यों में जहां एक पूर्ण पब्लिक की इन्फ्रास्ट्रक्चर (PKI) संभव नहीं है, PEAP का व्यापक रूप से उपयोग किया जाता है। यह एक सुरक्षित TLS टनल के भीतर एक आंतरिक ऑथेंटिकेशन विधि (आमतौर पर MSCHAPv2) को समाहित करता है। RADIUS सर्वर एक सर्टिफिकेट प्रदान करता है, लेकिन सप्लिकेंट को केवल एक यूज़रनेम और पासवर्ड प्रदान करने की आवश्यकता होती है। हालांकि PEAP को लागू करना आसान है, लेकिन यदि सप्लिकेंट को सर्वर सर्टिफिकेट को मान्य करने के लिए सख्ती से कॉन्फ़िगर नहीं किया गया है, तो यह क्रेडेंशियल हार्वेस्टिंग के प्रति बेहद संवेदनशील होता है।

इम्प्लीमेंटेशन गाइड

802.1X को तैनात करते समय, IT टीमों को ऑपरेटिंग सिस्टम में निर्मित नेटिव सप्लिकेंट का उपयोग करने या थर्ड-पार्टी सप्लिकेंट सॉफ्टवेयर को तैनात करने के बीच निर्णय लेना होगा।

नेटिव OS सप्लिकेंट्स

प्रत्येक आधुनिक ऑपरेटिंग सिस्टम में एक नेटिव 802.1X सप्लिकेंट शामिल होता है। Windows, Wired AutoConfig और WLAN AutoConfig सेवाओं का उपयोग करता है। Apple डिवाइस Network Profiles का उपयोग करते हैं। Android इसे सेटिंग्स के भीतर एकीकृत करता है।

नेटिव सप्लिकेंट्स प्रबंधित फ़्लीट के लिए आदर्श हैं। Microsoft Intune या Jamf जैसे मोबाइल डिवाइस मैनेजमेंट (MDM) प्लेटफॉर्म का उपयोग करके, IT एडमिन चुपचाप कॉन्फ़िगरेशन प्रोफाइल भेज सकते हैं जो SSID, EAP विधि, विश्वसनीय रूट CA और SCEP के माध्यम से सर्टिफिकेट एनरोलमेंट प्रक्रियाओं को परिभाषित करते हैं। यूज़र एक्सपीरियंस सहज होता है; डिवाइस बैकग्राउंड में ऑथेंटिकेट होता है।

थर्ड-पार्टी सप्लिकेंट सॉफ्टवेयर

थर्ड-पार्टी सप्लिकेंट्स, जैसे कि Cisco AnyConnect Network Access Manager या SecureW2 JoinNow, विशिष्ट परिदृश्यों में आवश्यक हैं:

  • प्रोपराइटरी प्रोटोकॉल: Cisco EAP-FAST का उपयोग करने के लिए Cisco सप्लिकेंट की आवश्यकता होती है।
  • BYOD ऑनबोर्डिंग: थर्ड-पार्टी टूल अक्सर ऑनबोर्डिंग विज़ार्ड के रूप में कार्य करते हैं, जो यूज़र्स को अनमैनेज्ड डिवाइसेस पर सर्टिफिकेट इंस्टॉल करने के लिए मार्गदर्शन करते हैं जहाँ नेटिव कॉन्फ़िगरेशन जटिल है (विशेष रूप से विखंडित Android वातावरण में)।
  • सख्त कॉन्फ़िगरेशन नियंत्रण: थर्ड-पार्टी सप्लिकेंट्स सेटिंग्स को लॉक कर सकते हैं, जिससे यूज़र्स सर्वर सर्टिफिकेट वैलिडेशन को अक्षम नहीं कर पाते हैं।

native_vs_thirdparty_comparison.png

सर्वर सर्टिफिकेट वैलिडेशन कॉन्फ़िगर करना

चुने गए सप्लिकेंट के बावजूद, सर्वर सर्टिफिकेट वैलिडेशन को कॉन्फ़िगर करना महत्वपूर्ण है, विशेष रूप से PEAP के लिए। यदि सप्लिकेंट RADIUS सर्वर के सर्टिफिकेट को सत्यापित नहीं करता है, तो यह आपके SSID की नकल करने वाले किसी दुष्ट एक्सेस पॉइंट को आँख बंद करके क्रेडेंशियल भेज देगा।Windows में, इसका अर्थ है PEAP प्रॉपर्टीज़ में "Verify the server's identity by validating the certificate" को टिक करना, Trusted Root Certification Authority (Root CA) को चुनना, और उन सटीक सर्वर नामों को निर्दिष्ट करना जिनकी क्लाइंट को अपेक्षा होनी चाहिए। Apple डिवाइसेज पर, कॉन्फ़िगरेशन प्रोफाइल में स्पष्ट रूप से विश्वसनीय सर्टिफिकेट्स की सूची होनी चाहिए।

सर्वश्रेष्ठ अभ्यास (Best Practices)

  1. सर्वर वैलिडेशन लागू करें: PEAP को डिप्लॉय करते समय, RADIUS सर्वर सर्टिफिकेट को वैलिडेट करने के लिए सप्लिकेंट्स को कॉन्फ़िगर किए बिना ऐसा कभी न करें। यह "ईविल ट्विन" हमलों के खिलाफ सुरक्षा की प्राथमिक पंक्ति है।
  2. सर्टिफिकेट लाइफसाइकल को ऑटोमेट करें: EAP-TLS का उपयोग करते समय, SCEP या NDES का उपयोग करके MDM के माध्यम से क्लाइंट सर्टिफिकेट एनरोलमेंट और रिन्यूअल को ऑटोमेट करें। मैन्युअल सर्टिफिकेट मैनेजमेंट बड़े पैमाने पर काम नहीं करता है और इससे अचानक ऑथेंटिकेशन फेल्योर हो सकते हैं।
  3. पहचान के आधार पर अलग करें: वैलिडेटेड पहचान के आधार पर VLANs असाइन करने के लिए RADIUS एट्रिब्यूट्स का उपयोग करें। कर्मचारी डिवाइसेज और POS टर्मिनल्स को एक ही SSID पर ऑथेंटिकेट होना चाहिए, लेकिन उन्हें बिल्कुल अलग VLANs पर भेजा जाना चाहिए।
  4. IoT के लिए योजना बनाएं: अधिकांश IoT डिवाइसेज में 802.1X सप्लिकेंट्स नहीं होते हैं। इन डिवाइसेज के लिए, MAC Address Bypass (MAB) का उपयोग करें, लेकिन सुनिश्चित करें कि वे एक समर्पित IoT VLAN पर पूरी तरह से आइसोलेटेड हों।

ट्रबलशूटिंग और जोखिम न्यूनीकरण

जब कोई डिवाइस कनेक्ट होने में विफल रहता है, तो समस्या लगभग हमेशा क्लाइंट कॉन्फ़िगरेशन या सर्टिफिकेट चेन के भीतर होती है।

  • "Connected, No Internet": यह आमतौर पर VLAN असाइनमेंट फेल्योर या ऑथेंटिकेशन के बाद की DHCP समस्याओं की ओर इशारा करता है। यह सत्यापित करने के लिए RADIUS लॉग्स की जांच करें कि Access-Accept मैसेज में सही Tunnel-Private-Group-Id मौजूद है।
  • Windows 11 पर साइलेंट फेल्योर्स: हाल के Windows 11 फीचर अपडेट्स (जैसे कि 24H2) ने यह बदल दिया है कि नेटिव सप्लिकेंट EAP-TLS फॉलबैक को कैसे संभालता है। व्यापक रूप से डिप्लॉय करने से पहले हमेशा नए OS बिल्ड्स के खिलाफ प्रोफाइल्स का परीक्षण करें।
  • सर्टिफिकेट की समाप्ति (Expiry): यदि डिवाइसेज का एक बैच अचानक ऑफलाइन हो जाता है, तो क्लाइंट सर्टिफिकेट्स की वैलिडिटी अवधि की जांच करें। सुनिश्चित करें कि आपका MDM समाप्त होने से पहले उन्हें सफलतापूर्वक रिन्यू कर देता है।

ROI और व्यावसायिक प्रभाव

सही ढंग से कॉन्फ़िगर किए गए सप्लिकेंट्स के साथ 802.1X पर माइग्रेट करना मापने योग्य व्यावसायिक मूल्य प्रदान करता है। शेयर्ड पासवर्ड्स (Pre-Shared Keys/PSK) को समाप्त करके, आप कर्मचारियों के कंपनी छोड़ने पर पासवर्ड बदलने केरेशनल ओवरहेड को पूरी तरह से हटा देते हैं। EAP-TLS पर स्विच करने से पासवर्ड-रीसेट टिकट्स पूरी तरह से समाप्त हो सकते हैं, जिससे सर्विस डेस्क के लिए महत्वपूर्ण उत्पादकता के घंटे बचते हैं।

इसके अलावा, 802.1X एक ही SSID पर पहचान-आधारित नेटवर्क आइसोलेशन को सक्षम बनाता है। Guest WiFi , स्टाफ और ऑपरेशन्स के लिए अलग-अलग नेटवर्क्स ब्रॉडकास्ट करने के बजाय, एक सिंगल SSID क्लाइंट क्रेडेंशियल्स के आधार पर ट्रैफ़िक को सुरक्षित रूप से रूट कर सकता है। यह चैनल इंटरफेरेंस को कम करता है और समग्र नेटवर्क परफॉर्मेंस में सुधार करता है, जो सीधे हार्डवेयर-एग्नोस्टिक नेटवर्क मैनेजमेंट के लिए Purple के क्लाउड ओवरले दृष्टिकोण का समर्थन करता है। अधिक गहन विश्लेषणात्मक अंतर्दृष्टि के लिए, हमारे WiFi Analytics फीचर को एक्सप्लोर करें।

मुख्य परिभाषाएं

802.1X Supplicant

क्लाइंट डिवाइस पर वह सॉफ़्टवेयर घटक जो IEEE 802.1X सुरक्षित नेटवर्क में शामिल होने के लिए आवश्यक ऑथेंटिकेशन प्रक्रिया को संभालता है।

IT टीमें यह परिभाषित करने के लिए supplicant को कॉन्फ़िगर करती हैं कि कोई डिवाइस नेटवर्क पर अपनी पहचान कैसे साबित करता है।

Authenticator

वह नेटवर्क डिवाइस (स्विच या एक्सेस पॉइंट) जो तब तक ट्रैफ़िक को ब्लॉक करता है जब तक कि supplicant सफलतापूर्वक ऑथेंटिकेट न हो जाए।

Cisco Meraki या HPE Aruba जैसे वेंडर्स के हार्डवेयर authenticator के रूप में कार्य करते हैं, जो डिवाइस और सर्वर के बीच संदेशों को रिले करते हैं।

RADIUS

रिमोट ऑथेंटिकेशन डायल-इन यूजर सर्विस। वह सर्वर जो supplicant द्वारा प्रदान किए गए क्रेडेंशियल्स को सत्यापित करता है।

RADIUS सर्वर एक्सेस प्रदान करने से पहले Okta या Microsoft Entra ID जैसी डायरेक्टरीज़ के साथ पहचान की जांच करता है।

EAP-TLS

एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल विद ट्रांसपोर्ट लेयर सिक्योरिटी। एक ऑथेंटिकेशन विधि जिसके लिए क्लाइंट और सर्वर दोनों डिजिटल सर्टिफिकेट की आवश्यकता होती है।

एंटरप्राइज नेटवर्क के लिए सबसे सुरक्षित तरीका माना जाता है, जो पासवर्ड की आवश्यकता को समाप्त करता है।

PEAP

प्रोटेक्टेड एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल। एक ऑथेंटिकेशन विधि जो पासवर्ड-आधारित ऑथेंटिकेशन को सुरक्षित रखने के लिए एक सुरक्षित TLS टनल बनाती है।

आमतौर पर BYOD परिवेशों में उपयोग किया जाता है जहाँ अप्रबंधित डिवाइसों पर क्लाइंट सर्टिफिकेट तैनात करना बहुत जटिल होता है।

EAPOL

LAN पर एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल। सप्लीकेंट और ऑथेंटिकेटर के बीच EAP संदेशों को संपुटित करने के लिए उपयोग किया जाने वाला प्रोटोकॉल।

ऑथेंटिकेशन से पहले, EAPOL ही एकमात्र ऐसा ट्रैफ़िक प्रकार है जिसे authenticator पोर्ट के माध्यम से जाने की अनुमति देता है।

MAC Authentication Bypass (MAB)

एक फ़ॉलबैक ऑथेंटिकेशन विधि जहां नेटवर्क डिवाइस के MAC एड्रेस का उपयोग उसकी पहचान के रूप में करता है।

उन प्रिंटर, कैमरा और IoT उपकरणों के लिए उपयोग किया जाता है जिनमें 802.1X सप्लीकेंट की कमी होती है।

VLAN Assignment

एक ऑथेंटिकेटेड डिवाइस को गतिशील रूप से एक विशिष्ट वर्चुअल नेटवर्क सेगमेंट पर रखने की प्रक्रिया।

RADIUS सर्वर सप्लीकेंट की पहचान के आधार पर ऑथेंटिकेटर को बताता है कि कौन सा VLAN असाइन करना है।

हल किए गए उदाहरण

एक 200 कमरों वाले होटल को अपने स्टाफ नेटवर्क को सुरक्षित करने की आवश्यकता है। वर्तमान में वे साझा पासवर्ड वाले WPA2-Personal का उपयोग कर रहे हैं, और वे 802.1X पर जाना चाहते हैं। स्टाफ शेड्यूलिंग के लिए कंपनी के स्वामित्व वाले Windows लैपटॉप और व्यक्तिगत Android फोन के मिश्रण का उपयोग करता है। उन्हें supplicants को कैसे कॉन्फ़िगर करना चाहिए?

हॉटेल को एक हाइब्रिड दृष्टिकोण अपनाना चाहिए। कंपनी के Windows लैपटॉप के लिए, उन्हें Microsoft Intune के माध्यम से कॉन्फ़िगर किए गए नेटिव Windows supplicant का उपयोग करना चाहिए। MDM प्रोफ़ाइल को EAP-TLS सेटिंग्स को आगे बढ़ाना चाहिए, Root CA इंस्टॉल करना चाहिए, और SCEP के माध्यम से क्लाइंट सर्टिफिकेट एनरोलमेंट को ऑटोमेट करना चाहिए। व्यक्तिगत Android फोन के लिए, उन्हें एक सेल्फ-सर्विस पोर्टल के माध्यम से एक थर्ड-पार्टी ऑनबोर्डिंग एजेंट (जैसे SecureW2) तैनात करना चाहिए। स्टाफ सदस्य अपने Microsoft Entra ID क्रेडेंशियल्स का उपयोग करके पोर्टल में लॉग इन करता है, और एजेंट स्वचालित रूप से PEAP-MSCHAPv2 के लिए नेटिव Android supplicant को कॉन्फ़िगर करता है, जिससे सर्वर सर्टिफिकेट वैलिडेशन लॉक होना सुनिश्चित होता है।

परीक्षक की टिप्पणी: यह दृष्टिकोण सुरक्षा और परिचालन की वास्तविकता के बीच संतुलन बनाता है। जहाँ MDM नियंत्रण मौजूद है वहाँ EAP-TLS लागू किया जाता है, जिससे अधिकतम सुरक्षा मिलती है। BYOD के लिए PEAP का उपयोग किया जाता है जहाँ क्लाइंट सर्टिफिकेट वितरण जटिल होता है, लेकिन ऑनबोर्डिंग एजेंट यह सुनिश्चित करता है कि supplicant सुरक्षित रूप से कॉन्फ़िगर किया गया है, जिससे अनधिकृत एक्सेस पॉइंट्स के जोखिम को कम किया जा सके।

50 स्टोर वाली एक बड़ी रिटेल चेन नए मोबाइल पॉइंट-ऑफ-सेल (POS) टैबलेट लॉन्च कर रही है। PCI DSS के लिए कड़े नेटवर्क आइसोलेशन की आवश्यकता है। supplicant कॉन्फ़िगरेशन को अनुपालन कैसे सुनिश्चित करना चाहिए?

टैबलेट को MDM के माध्यम से प्रबंधित किया जाना चाहिए। MDM एक नेटिव supplicant कॉन्फ़िगरेशन प्रोफ़ाइल को आगे बढ़ाता है जो EAP-TLS को लागू करती है। प्रत्येक टैबलेट को एक विशिष्ट क्लाइंट सर्टिफिकेट प्राप्त होता है जिसमें एक विशेषता (एट्रीब्यूट) होती है जो इसे POS डिवाइस के रूप में पहचानती है। जब टैबलेट का supplicant ऑथेंटिकेट करता है, तो RADIUS सर्वर इस विशेषता को पढ़ता है और विशेष रूप से PCI-अनुरूप नेटवर्क सेगमेंट के लिए एक VLAN असाइनमेंट लौटाता है। supplicant कॉन्फ़िगरेशन को लॉक किया जाना चाहिए ताकि स्टोर का स्टाफ नेटवर्क सेटिंग्स में बदलाव न कर सके।

परीक्षक की टिप्पणी: वायरलेस नेटवर्क पर PCI अनुपालन प्राप्त करने के लिए सर्टिफिकेट-आधारित VLAN असाइनमेंट के साथ EAP-TLS का उपयोग करना एक मानक तरीका है। यह नेटवर्क सेगमेंटेशन से मानवीय त्रुटि को दूर करता है और यह सुनिश्चित करता है कि डिवाइस गलती से कम सुरक्षित स्टाफ या [Retail](/industries/retail) गेस्ट नेटवर्क से न जुड़ सके।

अभ्यास प्रश्न

Q1. आपका संगठन एक नए स्टाफ BYOD नेटवर्क के लिए PEAP-MSCHAPv2 तैनात कर रहा है। परीक्षण के दौरान, आप देखते हैं कि डिवाइस उसी SSID को प्रसारित करने वाले एक परीक्षण एक्सेस पॉइंट से जुड़ सकते हैं, भले ही वह आपके RADIUS सर्वर से कनेक्ट न हो। कौन सा सप्लीकेंट कॉन्फ़िगरेशन चरण छूट गया था?

संकेत: विचार करें कि MSCHAPv2 क्रेडेंशियल भेजने से पहले सप्लीकेंट नेटवर्क की पहचान को कैसे सत्यापित करता है।

मॉडल उत्तर देखें

सप्लीकेंट को सर्वर प्रमाणपत्र को मान्य करने के लिए कॉन्फ़िगर नहीं किया गया था। PEAP में, सप्लीकेंट को उस विशिष्ट रूट CA पर भरोसा करने के लिए स्पष्ट रूप से कॉन्फ़िगर किया जाना चाहिए जिसने RADIUS सर्वर का प्रमाणपत्र जारी किया है, और सर्वर के डोमेन नाम को सत्यापित करना चाहिए। इसके बिना, सप्लीकेंट प्रमाणपत्र प्रस्तुत करने वाले किसी भी सर्वर के साथ एक TLS टनल स्थापित करेगा, जिससे उपयोगकर्ता के क्रेडेंशियल एक दुर्भावनापूर्ण एक्सेस पॉइंट के सामने उजागर हो जाएंगे।

Q2. एक विश्वविद्यालय अपने प्रबंधित Windows लैपटॉप बेड़े को PEAP से EAP-TLS पर माइग्रेट कर रहा है। वे MDM के माध्यम से नया कॉन्फ़िगरेशन प्रोफ़ाइल पुश करते हैं, लेकिन सभी डिवाइस ऑथेंटिकेट होने में विफल रहते हैं। RADIUS लॉग 'EAP-TLS failed SSL/TLS handshake' दिखाते हैं। सबसे संभावित कारण क्या है?

संकेत: EAP-TLS के लिए पारस्परिक ऑथेंटिकेशन की आवश्यकता होती है। क्लाइंट को ऐसी किस चीज़ की आवश्यकता है जिसकी उसे PEAP के लिए आवश्यकता नहीं थी?

मॉडल उत्तर देखें

क्लाइंट डिवाइस में एक वैध क्लाइंट प्रमाणपत्र की कमी है। EAP-TLS के लिए आवश्यक है कि सप्लीकेंट RADIUS सर्वर को एक प्रमाणपत्र प्रस्तुत करे। MDM प्रोफ़ाइल को न केवल EAP विधि को TLS पर सेट करने के लिए कॉन्फ़िगर किया जाना चाहिए, बल्कि ऑथेंटिकेशन का प्रयास करने से पहले संगठन के PKI से क्लाइंट प्रमाणपत्र का अनुरोध करने और इंस्टॉल करने के लिए SCEP जैसे प्रोटोकॉल को ट्रिगर करने के लिए भी किया जाना चाहिए।

Q3. आपको एक [Healthcare](/industries/healthcare) परिवेश में नेटवर्क से 50 स्मार्ट टीवी कनेक्ट करने की आवश्यकता है। टीवी केवल WPA2-Personal (प्री-शेयर्ड की) का समर्थन करते हैं और उनके पास 802.1X सप्लीकेंट नहीं है। स्टाफ उपकरणों के लिए 802.1X को बनाए रखते हुए आप उनकी पहुंच को कैसे सुरक्षित करते हैं?

संकेत: यदि डिवाइस EAP पर बात नहीं कर सकता है, तो ऑथेंटिकेटर को दूसरे तरीके से इसकी पहचान करनी होगी।

मॉडल उत्तर देखें

आपको MAC Authentication Bypass (MAB) का उपयोग करना चाहिए। ऑथेंटिकेटर RADIUS सर्वर को भेजे गए यूजरनेम और पासवर्ड के रूप में स्मार्ट टीवी के MAC एड्रेस का उपयोग करेगा। चूंकि MAC एड्रेस को स्पूफ़ किया जा सकता है, इसलिए RADIUS सर्वर को इन उपकरणों को एक अत्यधिक प्रतिबंधित, पृथक IoT VLAN में असाइन करने के लिए कॉन्फ़िगर किया जाना चाहिए जो केवल आवश्यक ट्रैफ़िक की अनुमति देता है।

इस श्रृंखला में आगे पढ़ें

अतिथि और स्टाफ WiFi नेटवर्क के लिए RADIUS ऑथेंटिकेशन को कॉन्फ़िगर करना

यह तकनीकी संदर्भ गाइड एंटरप्राइज़ अतिथि और स्टाफ WiFi नेटवर्क के लिए RADIUS ऑथेंटिकेशन के आर्किटेक्चर, कॉन्फ़िगरेशन और डिप्लॉयमेंट की रूपरेखा तैयार करती है। यह नेटवर्क आर्किटेक्ट्स और IT प्रबंधकों को सुरक्षित, स्केलेबल वायरलेस एक्सेस कंट्रोल सिस्टम बनाने के लिए आवश्यक सटीक प्रोटोकॉल, सुरक्षा मानक और ट्रबलशूटिंग कार्यप्रणाली प्रदान करती है।

गाइड पढ़ें →

Passpoint और OpenRoaming: संपूर्ण गाइड

यह तकनीकी संदर्भ गाइड एंटरप्राइज़ WiFi नेटवर्क के भीतर Passpoint (हॉटस्पॉट 2.0) और WBA OpenRoaming फ्रेमवर्क का एक व्यापक विश्लेषण प्रदान करती है। यह सुरक्षित, निर्बाध अतिथि कनेक्टिविटी स्थापित करने के लिए आवश्यक बुनियादी ऑथेंटिकेशन प्रोटोकॉल, आर्किटेक्चरल घटकों और परिनियोजन रणनीतियों का विवरण देती है। नेटवर्क आर्किटेक्ट और IT लीडर्स सीखेंगे कि कैसे इन मानकों को डिज़ाइन, लागू और ट्रबलशूट किया जाए ताकि एंटरप्राइज़-ग्रेड सुरक्षा बनाए रखते हुए मैनुअल लॉगिन बाधाओं को समाप्त किया जा सके।

गाइड पढ़ें →

उच्च शिक्षा में सुरक्षित BYOD और नेटवर्क नामांकन के लिए SCEP को कैसे लागू करें

यह तकनीकी मार्गदर्शिका नेटवर्क आर्किटेक्ट्स और IT प्रबंधकों को उच्च शिक्षा परिसर नेटवर्क को सुरक्षित करने के लिए SCEP-आधारित प्रमाणपत्र नामांकन को तैनात करने के लिए एक वेंडर-न्यूट्रल ब्लूप्रिंट प्रदान करती है। यह विवरण देती है कि पासवर्ड-आधारित PEAP से 802.1X EAP-TLS पर कैसे माइग्रेट करें, BYOD ऑनबोर्डिंग को स्वचालित करें, और मजबूत VLAN सेगमेंटेशन लागू करें।

गाइड पढ़ें →