कर्मचारी के नौकरी छोड़ने पर WiFi एक्सेस कैसे निरस्त करें

Purple टेक्निकल ब्रीफिंग में आपका स्वागत है। मैं आपका होस्ट हूँ, और आज हम एंटरप्राइज ऑफबोर्डिंग में सबसे आम कमियों में से एक से निपट रहे हैं: जब कोई कर्मचारी छोड़ता है तो वास्तव में WiFi एक्सेस का क्या होता है? यह सीधा लगता है। कोई अपना बैज सौंपता है, HR उनका खाता बंद कर देता है, और आप आगे बढ़ जाते हैं। लेकिन अगर आपका नेटवर्क अभी भी साझा WPA2 पासवर्ड पर चलता है, तो वह व्यक्ति पासवर्ड जानते हुए ही बाहर गया है। और जब तक आप इसे सभी के लिए नहीं बदलते, वे कार पार्क से फिर से कनेक्ट कर सकते हैं। यही वह समस्या है जिसे हम आज हल कर रहे हैं। हम प्रति-उपयोगकर्ता WiFi निरस्तीकरण के लिए तीन विश्वसनीय मॉडलों को कवर करेंगे, उसी दिन निरस्तीकरण चेकलिस्ट के माध्यम से चलेंगे, और समझाएंगे कि एक ISO 27001 या SOC 2 ऑडिटर आपके लॉग में वास्तव में क्या देखने की उम्मीद करता है। आइए शुरू करते हैं। भाग एक: साझा पासवर्ड इस काम के लिए गलत उपकरण क्यों हैं। WPA2-Personal, मानक होम-राउटर सेटअप, एक एकल प्री-शेयर्ड की का उपयोग करता है। नेटवर्क पर हर कोई एक ही पासवर्ड जानता है। जब एक व्यक्ति छोड़ता है, तो वह पासवर्ड अभी भी उनके फोन, उनके लैपटॉप, उनके द्वारा कनेक्ट किए गए किसी भी डिवाइस पर मान्य रहता है। उनकी पहुंच को निरस्त करने का एकमात्र तरीका पूरे नेटवर्क के लिए पासवर्ड बदलना और इसे हर शेष उपयोगकर्ता और डिवाइस को फिर से वितरित करना है। 200 कर्मचारियों वाले होटल में, इसका मतलब है कि हर पॉइंट-ऑफ-सेल टर्मिनल, हर बैक-ऑफिस पीसी, हर मैनेजर के फोन को अपडेट करना। 50 स्टोर वाली रिटेल चेन में, इसका मतलब है कि हर साइट पर एक समन्वित रोलआउट। परिचालन लागत अधिक है, व्यवधान वास्तविक है, और जाने वाले कर्मचारी के अंतिम दिन और पूर्ण रोटेशन के बीच की अवधि एक वास्तविक सुरक्षा अंतर है। PCI DSS, भुगतान कार्ड उद्योग मानक, के लिए आवश्यक है कि जब भी क्रेडेंशियल की जानकारी रखने वाले कर्मचारी छोड़ें, तो आप साझा क्रेडेंशियल बदलें। इसलिए यदि आपके टिल (tills) आपके स्टाफ WiFi के समान नेटवर्क पर हैं, तो जाने वाला कर्मचारी केवल एक सर्वोत्तम-प्रथा सिफारिश नहीं, बल्कि एक अनुपालन दायित्व को ट्रिगर करता है। मूल कारण सरल है: एक साझा पासवर्ड के साथ कोई पहचान नहीं जुड़ी होती है। नेटवर्क वर्तमान कर्मचारी और पूर्व कर्मचारी के बीच अंतर नहीं कर सकता है। इसे ठीक करने के लिए, आपको प्रति-उपयोगकर्ता क्रेडेंशियल की आवश्यकता है। भाग दो: तीन मॉडल जो वास्तव में काम करते हैं। मॉडल एक EAP-TLS सर्टिफिकेट-आधारित प्रमाणीकरण के साथ 802.1X है। यह एंटरप्राइज WiFi सुरक्षा के लिए स्वर्ण मानक है। इस मॉडल में, प्रत्येक उपयोगकर्ता या डिवाइस के पास आपके सर्टिफिकेट अथॉरिटी (CA) द्वारा जारी एक अद्वितीय डिजिटल सर्टिफिकेट होता है। जब वे WiFi से कनेक्ट होते हैं, तो RADIUS सर्वर उस सर्टिफिकेट को क्रिप्टोग्राफिक रूप से सत्यापित करता है। सर्टिफिकेट एक पहचान से जुड़ा होता है, पासवर्ड से नहीं। एक्सेस निरस्त करने के लिए, आप CA स्तर पर सर्टिफिकेट को निरस्त करते हैं। RADIUS सर्वर OCSP, ऑनलाइन सर्टिफिकेट स्टेटस प्रोटोकॉल, का उपयोग करके वास्तविक समय में निरस्तीकरण स्थिति की जांच करता है। जब आप किसी सर्टिफिकेट को निरस्त के रूप में चिह्नित करते हैं, तो अगली बार जब वह डिवाइस प्रमाणित करने का प्रयास करता है, तो RADIUS सर्वर OCSP रिस्पॉन्डर से पूछताछ करता है, एक निरस्त प्रतिक्रिया प्राप्त करता है, और एक्सेस पॉइंट को एक Access-Reject भेजता है। डिवाइस अगले प्रमाणीकरण प्रयास के कुछ सेकंड के भीतर नेटवर्क से बाहर हो जाता है। सक्रिय सत्रों के लिए, आप मौजूदा सत्र को तुरंत समाप्त करने के लिए RADIUS Change of Authorisation, या CoA, का उपयोग करते हैं। संयुक्त रूप से, OCSP और CoA का मतलब है कि आप अपने RADIUS लॉग में पूर्ण ऑडिट ट्रेल के साथ, एक मिनट से भी कम समय में जाने वाले कर्मचारी के लिए WiFi एक्सेस निरस्त कर सकते हैं। EAP-TLS के साथ चुनौती PKI ओवरहेड है। आपको एक सर्टिफिकेट अथॉरिटी, उपकरणों को सर्टिफिकेट जारी करने के लिए एक तंत्र, आमतौर पर Microsoft Intune जैसे MDM के माध्यम से, और उन्हें निरस्त करने की एक प्रक्रिया की आवश्यकता होती है। परिपक्व MDM और पहचान बुनियादी ढांचे वाले संगठनों के लिए, यह सही उत्तर है। छोटी टीमों या IoT उपकरणों वाले वातावरण के लिए जो सर्टिफिकेट प्रमाणीकरण का समर्थन नहीं कर सकते हैं, आपको एक अलग दृष्टिकोण की आवश्यकता है। मॉडल दो iPSK, Identity Pre-Shared Key है। Cisco इसे iPSK कहता है, Ruckus इसे DPSK कहता है, Aruba इसे MPSK कहता है, लेकिन अवधारणा वही है: प्रत्येक उपयोगकर्ता या डिवाइस को एक अद्वितीय पासवर्ड मिलता है, भले ही वे सभी एक ही SSID से कनेक्ट हों। RADIUS सर्वर प्रत्येक अद्वितीय कुंजी को एक विशिष्ट पहचान और वैकल्पिक रूप से एक विशिष्ट VLAN से मैप करता है। जब आप RADIUS डेटाबेस से उस कुंजी को हटाते हैं, तो डिवाइस अब प्रमाणित नहीं हो सकता है। जाने वाले कर्मचारी का प्रभाव क्षेत्र बिल्कुल एक व्यक्ति तक सीमित होता है। बाकी सभी की कुंजियाँ मान्य रहती हैं। iPSK विशेष रूप से मिश्रित डिवाइस प्रकारों वाले वातावरण के लिए उपयुक्त है। IoT डिवाइस, पॉइंट-ऑफ-सेल टर्मिनल और पुराने हार्डवेयर जो 802.1X सर्टिफिकेट का समर्थन नहीं कर सकते हैं, वे सभी iPSK का उपयोग कर सकते हैं। यह पूर्ण PKI परिनियोजन की तुलना में संचालित करने में भी सरल है, जो इसे उन मध्यम-बाजार संगठनों के लिए सही विकल्प बनाता है जिन्हें बुनियादी ढांचे के ओवरहेड के बिना प्रति-उपयोगकर्ता निरस्तीकरण की आवश्यकता होती है। iPSK के लिए निरस्तीकरण का समय आमतौर पर कुछ मिनट होता है, सेकंड नहीं। कुंजी विलोपन RADIUS सर्वर तक प्रसारित होता है, लेकिन सक्रिय सत्र तब तक बने रह सकते हैं जब तक कि डिवाइस फिर से प्रमाणित न हो जाए या जब तक आप डिस्कनेक्शन को मजबूर करने के लिए CoA पैकेट न भेजें। मॉडल तीन SCIM-संचालित डीप्रोविज़निंग है। SCIM का अर्थ है सिस्टम फॉर क्रॉस-डोमेन आइडेंटिटी मैनेजमेंट। यह एक खुला मानक है, जिसे RFC 7643 और RFC 7644 में परिभाषित किया गया है, जो आपके पहचान प्रदाता को वास्तविक समय में डाउनस्ट्रीम सिस्टम में उपयोगकर्ता जीवनचक्र इवेंट्स भेजने की अनुमति देता है। व्यावहारिक रूप से यह इस तरह काम करता है। आपका पहचान प्रदाता, चाहे वह Microsoft Entra ID हो, Okta हो, या Google Workspace हो, उपयोगकर्ता खातों के लिए सत्य का आधिकारिक स्रोत है। जब HR पहचान प्रदाता में जाने वाले कर्मचारी के खाते को निष्क्रिय करता है, तो SCIM आपके WiFi प्रबंधन प्लेटफॉर्म सहित प्रत्येक जुड़े हुए सिस्टम को एक अनुरोध भेजता है। Purple SCIM के माध्यम से आपके पहचान प्रदाता से जुड़ता है। जैसे ही आप Entra ID, Okta, या Google Workspace में किसी उपयोगकर्ता को निष्क्रिय करते हैं, Purple को SCIM इवेंट प्राप्त होता है और वह अगले प्रमाणीकरण पर उनके WiFi क्रेडेंशियल को निरस्त कर देता है। इवेंट को एक टाइमस्टैम्प, उपयोगकर्ता की पहचान और की गई कार्रवाई के साथ लॉग किया जाता है। वह लॉग प्रविष्टि बिल्कुल वही है जो एक ISO 27001 ऑडिटर देखना चाहता है। SCIM 802.1X या iPSK को प्रतिस्थापित नहीं करता है। यह उनके ऊपर बैठता है। SCIM पहचान जीवनचक्र को संभालता है; प्रमाणीकरण प्रोटोकॉल नेटवर्क प्रवर्तन (network enforcement) को संभालता है। SCIM और 802.1X का संयोजन आपको पूर्ण ऑडिट ट्रेल और शून्य मैन्युअल चरणों के साथ स्वचालित, वास्तविक समय में निरस्तीकरण प्रदान करता है। भाग तीन: उसी दिन निरस्तीकरण चेकलिस्ट। जब जाने वाले कर्मचारी का अंतिम दिन आता है, तो आपकी IT टीम को इस क्रम का पालन करना चाहिए। चरण एक: अपने पहचान प्रदाता में खाते को निष्क्रिय करें। यह बाकी सब चीजों के लिए ट्रिगर है। Microsoft Entra ID में, खाते को अक्षम (disabled) पर सेट करें। Okta में, उपयोगकर्ता को निष्क्रिय (deactivate) करें। Google Workspace में, खाते को निलंबित (suspend) करें। चरण दो: यदि आप SCIM चला रहे हैं, तो सत्यापित करें कि डीप्रोविज़निंग इवेंट ट्रिगर हुआ है। संबंधित इवेंट के लिए अपने SCIM लॉग या अपने WiFi प्रबंधन प्लेटफॉर्म की जांच करें। यदि SCIM लागू नहीं है, तो अपने CA में सर्टिफिकेट को मैन्युअल रूप से निरस्त करें या अपने RADIUS डेटाबेस से iPSK कुंजी को हटा दें। चरण तीन: किसी भी सक्रिय WiFi सत्र को समाप्त करने के लिए RADIUS CoA भेजें। अधिकांश एंटरप्राइज RADIUS सर्वर, और Purple जैसे प्लेटफॉर्म, डीप्रोविज़निंग इवेंट पर स्वचालित रूप से ऐसा कर सकते हैं। यदि आप इसे मैन्युअल रूप से कर रहे हैं, तो उपयोगकर्ता के डिवाइस को MAC पते या सत्र ID द्वारा डिस्कनेक्ट करने के लिए अपने RADIUS सर्वर के CoA इंटरफ़ेस का उपयोग करें। चरण चार: पुष्टि करें कि कोई सक्रिय सत्र शेष नहीं है। अपने WiFi नियंत्रक डैशबोर्ड की जांच करें। Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, या Fortinet पर, आपको उपयोगकर्ता नाम या डिवाइस द्वारा खोजने और शून्य सक्रिय जुड़ाव (associations) की पुष्टि करने में सक्षम होना चाहिए। चरण पांच: ऑडिट लॉग प्रविष्टि को संग्रहीत (archive) करें। प्रासंगिक उपयोगकर्ता और तिथि के लिए RADIUS प्रमाणीकरण लॉग, SCIM इवेंट लॉग और CoA लॉग को निर्यात या चिह्नित करें। इन्हें अपने ITSM या सुरक्षा सूचना और इवेंट प्रबंधन प्लेटफॉर्म में संग्रहीत करें। ISO 27001 एनेक्स ए नियंत्रण A.9.2.6 के लिए आवश्यक है कि आप समाप्ति पर सभी कर्मचारियों और ठेकेदारों के एक्सेस अधिकारों को हटाएं या समायोजित करें। आपका लॉग ही इसका प्रमाण है। चरण छह: यदि आप WPA2 साझा PSK चला रहे हैं और उपरोक्त में से कुछ भी लागू नहीं होता है, तो पासवर्ड बदलें। यदि संभव हो तो जाने वाले कर्मचारी के अंतिम दिन से पहले, या उसके तुरंत बाद सभी साइटों और उपकरणों पर रोलआउट का समन्वय करें। भाग चार: ऑडिटर क्या उम्मीद करता है। ISO 27001 और SOC 2 दोनों के लिए आवश्यक है कि आप यह प्रदर्शित करें कि रोजगार समाप्त होने पर पहुंच तुरंत हटा दी जाती है। विशेष रूप से WiFi के लिए, ऑडिटर चार चीजें देखते हैं। पहला, एक प्रलेखित ऑफबोर्डिंग प्रक्रिया जिसमें स्पष्ट रूप से नेटवर्क एक्सेस शामिल हो। दूसरा, इस बात का प्रमाण कि पिछले बारह महीनों से चुने गए आमतौर पर दस से पच्चीस व्यक्तियों के जाने वाले कर्मचारियों के नमूने के लिए प्रक्रिया का पालन किया गया था। तीसरा, एक लॉग जो खाता निष्क्रिय करने का टाइमस्टैम्प और WiFi एक्सेस निरस्तीकरण का टाइमस्टैम्प दिखाता है, जिसमें उनके बीच का अंतर स्पष्ट रूप से दिखाई देता है। चौथा, इस बात की पुष्टि कि किसी भी पूर्व कर्मचारी के खाते सक्रिय WiFi सत्र नहीं दिखा रहे हैं। यदि आप WPA2 साझा PSK चला रहे हैं, तो आप आइटम तीन और चार के लिए प्रमाण प्रस्तुत नहीं कर सकते। कोई प्रति-उपयोगकर्ता लॉग नहीं है। आप केवल पासवर्ड रोटेशन की तारीख दिखा सकते हैं और तर्क दे सकते हैं कि यह जाने वाले कर्मचारी के अंतिम दिन या उससे पहले पूरा हो गया था। ऑडिटर तेजी से इस पर आपत्ति जता रहे हैं। यदि आप SCIM के साथ 802.1X चला रहे हैं, तो लॉग स्वचालित है। Purple प्रत्येक SCIM डीप्रोविज़निंग इवेंट को UTC टाइमस्टैम्प, पहचान प्रदाता स्रोत, उपयोगकर्ता के विशिष्ट पहचानकर्ता और परिणामी कार्रवाई के साथ रिकॉर्ड करता है। यह एक स्पष्ट, ऑडिट योग्य रिकॉर्ड है। भाग पांच: कार्यान्वयन की कमियां और उनसे कैसे बचें। सबसे आम गलती यह मान लेना है कि पहचान प्रदाता में खाते को निष्क्रिय करना ही पर्याप्त है। ऐसा नहीं है, जब तक कि आपका WiFi प्लेटफॉर्म SCIM या इसी तरह के वास्तविक समय के एकीकरण के माध्यम से उस पहचान प्रदाता से जुड़ा न हो। उस कनेक्शन के बिना, WiFi सिस्टम के पास यह जानने का कोई तरीका नहीं है कि खाता निष्क्रिय कर दिया गया था। दूसरा नुकसान सर्टिफिकेट कैशिंग है। OCSP के साथ भी, RADIUS सर्वर एक कॉन्फ़िगर करने योग्य अवधि के लिए अच्छी प्रतिक्रियाओं को कैश करते हैं, आमतौर पर 15 से 60 मिनट। यदि आप एक सर्टिफिकेट को निरस्त करते हैं और RADIUS सर्वर के पास एक कैश्ड अच्छी प्रतिक्रिया है, तो डिवाइस कैश समाप्त होने तक प्रमाणित होना जारी रख सकता है। उच्च-सुरक्षा वातावरण के लिए अपने OCSP कैश TTL को 15 मिनट या उससे कम पर सेट करें। तीसरा नुकसान सक्रिय सत्रों को भूलना है। क्रेडेंशियल निरस्त करने से नए प्रमाणीकरण रुक जाते हैं लेकिन मौजूदा WiFi सत्र समाप्त नहीं होता है। डिवाइस को तुरंत डिस्कनेक्ट करने के लिए क्रेडेंशियल निरस्त करने के बाद हमेशा एक RADIUS CoA भेजें। चौथा नुकसान IoT और साझा उपकरण हैं। जाने वाले कर्मचारी की पहचान पर पंजीकृत डिवाइस एक साझा वर्कस्टेशन या परिचालन हार्डवेयर का एक हिस्सा हो सकता है। निरस्त करने से पहले, पुष्टि करें कि डिवाइस व्यक्तिगत है, साझा नहीं। यदि यह साझा है, तो जाने वाले कर्मचारी के क्रेडेंशियल निरस्त करने से पहले इसे एक सर्विस खाते के तहत फिर से पंजीकृत करें। भाग छह: रैपिड-फायर प्रश्न। प्रश्न: सर्टिफिकेट-आधारित WiFi एक्सेस को कितनी तेजी से निरस्त किया जा सकता है? OCSP और RADIUS CoA के साथ, CA पर सर्टिफिकेट निरस्त करने के क्षण से 60 सेकंड से भी कम समय में। OCSP जांच अगले प्रमाणीकरण प्रयास पर होती है। CoA सक्रिय सत्र को तुरंत समाप्त कर देता है। प्रश्न: क्या SCIM सभी WiFi हार्डवेयर के साथ काम करता है? SCIM पहचान प्रबंधन परत पर काम करता है, हार्डवेयर परत पर नहीं। Purple हार्डवेयर-अज्ञेयवादी (hardware-agnostic) है और Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, और Fortinet के साथ काम करता है। SCIM एकीकरण Purple के साथ है, सीधे एक्सेस पॉइंट्स के साथ नहीं। प्रश्न: क्या होगा यदि हमारे पास कोई MDM नहीं है और हम सर्टिफिकेट तैनात नहीं कर सकते हैं? iPSK आपका उत्तर है। यह आपको सर्टिफिकेट बुनियादी ढांचे की आवश्यकता के बिना प्रति-उपयोगकर्ता निरस्तीकरण प्रदान करता है। Purple iPSK कुंजियों का प्रबंधन कर सकता है और जीवनचक्र को स्वचालित करने के लिए आपके पहचान प्रदाता से जुड़ सकता है। सारांश और अगले कदम। मुख्य संदेश यह है: यदि आप दूसरों को प्रभावित किए बिना किसी एक व्यक्ति के लिए WiFi एक्सेस निरस्त नहीं कर सकते हैं, तो आपको साझा-क्रेडेंशियल की समस्या है। इसका समाधान प्रति-उपयोगकर्ता क्रेडेंशियल है, या तो 802.1X EAP-TLS के माध्यम से सर्टिफिकेट या iPSK के माध्यम से अद्वितीय कुंजियाँ, और HR के कार्रवाई करते ही निरस्तीकरण को स्वचालित करने के लिए SCIM-संचालित डीप्रोविज़निंग। Purple SCIM के माध्यम से Microsoft Entra ID, Okta, और Google Workspace से जुड़ता है, 80,000 लाइव स्थानों पर चलता है, और ऑडिट के लिए प्रत्येक डीप्रोविज़निंग इवेंट को लॉग करता है। यदि आप ISO 27001 या SOC 2 की तैयारी कर रहे हैं, या केवल जाने वाले कर्मचारी के अंतर को घटना बनने से पहले बंद करना चाहते हैं, तो यहीं से शुरुआत करें। सर्टिफिकेट निरस्तीकरण और OCSP के पूर्ण तकनीकी विवरण के लिए, WiFi प्रमाणीकरण के लिए OCSP और सर्टिफिकेट निरस्तीकरण पर हमारी गाइड देखें। व्यापक जॉइनर-मूवर-लीवर स्वचालन परिदृश्य के लिए, हमारी एंटरप्राइज WiFi सुरक्षा गाइड देखें। Purple टेक्निकल ब्रीफिंग सुनने के लिए धन्यवाद।