Server RADIUS: व्यवसायों के लिए एक व्यापक गाइड

यह गाइड IT प्रबंधकों, नेटवर्क आर्किटेक्ट्स और CTOs को एंटरप्राइज WiFi के लिए server RADIUS प्रमाणीकरण पर एक निश्चित तकनीकी संदर्भ प्रदान करती है। इसमें AAA फ्रेमवर्क, 802.1X आर्किटेक्चर, EAP विधि चयन, क्लाउड बनाम ऑन-प्रिमाइसेस डिप्लॉयमेंट के बीच समझौता, और डायनेमिक VLAN असाइनमेंट शामिल हैं। हॉस्पिटैलिटी, रिटेल, इवेंट्स और सार्वजनिक क्षेत्र के वेन्यू ऑपरेटरों को इसमें व्यावहारिक कार्यान्वयन मार्गदर्शन, वास्तविक दुनिया के केस स्टडीज और असुरक्षित प्री-शेयर्ड कीज़ से एक सुरक्षित, पहचान-आधारित नेटवर्क एक्सेस कंट्रोल आर्किटेक्चर पर माइग्रेट करने के लिए आवश्यक निर्णय फ्रेमवर्क मिलेंगे।

📖 9 मिनट का पाठ📝 2,075 शब्द🔧 2 हल किए गए उदाहरण❓ 4 अभ्यास प्रश्न📚 10 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें

Purple Technical Briefing में आपका स्वागत है। मैं आपका होस्ट हूँ, और अगले दस मिनटों में हम किसी भी एंटरप्राइज IT टीम के लिए सबसे महत्वपूर्ण इंफ्रास्ट्रक्चर निर्णयों में से एक को कवर करने जा रहे हैं: सर्वर RADIUS ऑथेंटिकेशन। यदि आप एक IT मैनेजर, एक नेटवर्क आर्किटेक्ट, या किसी होटल, रिटेल चेन, स्टेडियम, या कॉन्फ्रेंस सेंटर में WiFi के लिए जिम्मेदार CTO हैं, तो यह ब्रीफिंग आपके लिए है। हम तकनीकी शब्दों की उलझन को दूर करेंगे, आर्किटेक्चर को स्पष्ट रूप से समझाएंगे, और आपको व्यावहारिक अंतर्दृष्टि देंगे जो इस तिमाही में सोच-समझकर निर्णय लेने के लिए आवश्यक हैं।

आइए बड़ी तस्वीर से शुरुआत करते हैं। यह सब क्यों मायने रखता है?

यदि आप अभी भी एक सिंगल साझा पासवर्ड, यानी Pre-Shared Key पर अपना गेस्ट या स्टाफ WiFi चला रहे हैं, तो आप एक बड़े और बढ़ते सुरक्षा जोखिम के साथ काम कर रहे हैं। वह पासवर्ड शेयर हो जाता है, रसीदों पर लिख दिया जाता है, व्हाइटबोर्ड पर उसकी तस्वीर ले ली जाती है, और मैसेजिंग ऐप्स के माध्यम से आगे भेज दिया जाता है। एक बार जब यह बाहर चला जाता है, तो आपके पास यह देखने का कोई साधन नहीं होता कि आपके नेटवर्क पर कौन है, सभी को प्रभावित किए बिना किसी एक यूजर का एक्सेस ब्लॉक करने की कोई क्षमता नहीं होती, और कुछ गलत होने पर कोई ऑडिट ट्रेल नहीं होता। PCI DSS, GDPR, या HIPAA के दायरे में आने वाले संगठनों के लिए, यह केवल एक तकनीकी समस्या नहीं है। यह एक कंप्लायंस लायबिलिटी है।

सर्वर RADIUS वह समाधान है जिसे इंडस्ट्री ने इस समस्या के समाधान के लिए अपनाया है। तो आइए ठीक से समझें कि यह क्या है और कैसे काम करता है।

RADIUS का अर्थ है Remote Authentication Dial-In User Service। यह नाम डायल-अप इंटरनेट के शुरुआती दिनों का एक ऐतिहासिक अवशेष है, लेकिन यह प्रोटोकॉल काफी विकसित हुआ है और आज भी एंटरप्राइज नेटवर्क एक्सेस कंट्रोल की रीढ़ बना हुआ है। अपने मूल रूप में, एक सर्वर RADIUS एक सेंट्रलाइज्ड सिस्टम है जो AAA नामक फ्रेमवर्क का उपयोग करके नेटवर्क एक्सेस को मैनेज करता है: Authentication (ऑथेंटिकेशन), Authorisation (ऑथराइजेशन), और Accounting (अकाउंटिंग)। ये तीन स्तंभ उस हर चीज़ की नींव हैं जिस पर हम आज चर्चा करेंगे।

ऑथेंटिकेशन पहला स्तंभ है: यह सत्यापित करना कि कोई व्यक्ति कौन है। ऑथराइजेशन दूसरा है: यह निर्धारित करना कि उन्हें क्या करने की अनुमति है। और अकाउंटिंग तीसरा है: यह रिकॉर्ड करना कि उन्होंने वास्तव में क्या किया।

आइए इनमें से प्रत्येक को विस्तार से समझें।

ऑथेंटिकेशन। जब कोई यूजर WPA2-Enterprise या WPA3-Enterprise से सुरक्षित WiFi नेटवर्क से कनेक्ट करने का प्रयास करता है, तो उनका डिवाइस, जिसे हम Supplicant कहते हैं, वायरलेस एक्सेस पॉइंट को एक कनेक्शन अनुरोध भेजता है। एक्सेस पॉइंट, जिसे हम Authenticator कहते हैं, स्वयं ऑथेंटिकेशन का निर्णय नहीं लेता है। यह एक रिले के रूप में कार्य करता है, अनुरोध को सर्वर RADIUS को फॉरवर्ड करता है। सर्वर फिर एक कॉन्फिगर किए गए आइडेंटिटी सोर्स के विरुद्ध यूजर की पहचान को सत्यापित करता है। यह Microsoft Entra ID, Okta, Google Workspace, या एक लोकल यूजर डेटाबेस हो सकता है। यह आइडेंटिटी सोर्स आपके नेटवर्क पर किसे अनुमति है, इसका एकमात्र विश्वसनीय स्रोत होता है।

ऑथराइजेशन (Authorisation)। एक बार जब यूजर ऑथेंटिकेट हो जाता है, तो RADIUS सर्वर केवल 'हाँ' कहकर अलग नहीं हट जाता है। यह एक्सेस पॉइंट को सटीक रूप से बताता है कि इस यूजर के साथ क्या करना है। यह एट्रिब्यूट्स (attributes) का एक सेट वापस भेजता है, जो अनिवार्य रूप से निर्देश होते हैं, जो यूजर के नेटवर्क अनुभव को परिभाषित करते हैं। इनमें से सबसे महत्वपूर्ण आमतौर पर VLAN असाइनमेंट होता है। RADIUS सर्वर कह सकता है: यह यूजर कॉर्पोरेट स्टाफ ग्रुप का सदस्य है, इसे VLAN 10 पर असाइन करें, जिसके पास आंतरिक फाइल सर्वर और प्रिंटर तक पहुंच है। या: यह यूजर एक गेस्ट है, इसे VLAN 20 पर असाइन करें, जिसके पास केवल इंटरनेट एक्सेस है और यह कॉर्पोरेट नेटवर्क से पूरी तरह से अलग है। यह डायनेमिक VLAN असाइनमेंट RADIUS सर्वर की सबसे शक्तिशाली विशेषताओं में से एक है, और यह वह तंत्र है जो उचित नेटवर्क सेगमेंटेशन को सक्षम बनाता है।

अकाउंटिंग (Accounting)। तीसरे स्तंभ को अक्सर नजरअंदाज कर दिया जाता है, लेकिन यह अनुपालन (compliance) और संचालन (operations) के लिए अत्यंत महत्वपूर्ण है। जैसे-जैसे यूजर का सेशन आगे बढ़ता है, RADIUS सर्वर महत्वपूर्ण जानकारी लॉग करता है: उनके कनेक्ट होने का समय, उनके डिस्कनेक्ट होने का समय, कुल सेशन की अवधि, उनके द्वारा ट्रांसफर किया गया डेटा का आकार, और उनके डिवाइस का MAC एड्रेस। यह आपके नेटवर्क पर प्रत्येक कनेक्शन के लिए एक विस्तृत ऑडिट ट्रेल बनाता है। PCI DSS वर्जन 4 के तहत, इस तरह की लॉगिंग वैकल्पिक नहीं है। यह एक अनिवार्य आवश्यकता है। और किसी सुरक्षा घटना (security incident) के मामले में, ये लॉग फोरेंसिक जांच के लिए अमूल्य होते हैं।

अब, आइए उस तकनीकी मानक के बारे में बात करते हैं जो इस सब को काम करने योग्य बनाता है: IEEE 802.1X।

802.1X वह मानक है जो पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल को परिभाषित करता है। यह वह प्रोटोकॉल है जो किसी एक्सेस पॉइंट को किसी डिवाइस से सभी नेटवर्क ट्रैफ़िक को तब तक ब्लॉक करने की अनुमति देता है जब तक कि RADIUS सर्वर यह पुष्टि न कर दे कि डिवाइस ऑथराइज्ड है। यूजर के डिवाइस और एक्सेस पॉइंट के बीच संचार EAP नामक प्रोटोकॉल का उपयोग करता है, जिसे एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल (Extensible Authentication Protocol) कहा जाता है। EAP अनिवार्य रूप से एक फ्रेमवर्क है जो कई ऑथेंटिकेशन विधियों का समर्थन करता है।

एंटरप्राइज WiFi में तीन सबसे सामान्य EAP तरीके हैं: PEAP, जिसका अर्थ है प्रोटेक्टेड एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल (Protected Extensible Authentication Protocol); EAP-TTLS; और EAP-TLS।

PEAP और EAP-TTLS क्रेडेंशियल-आधारित तरीके हैं। वे डिवाइस और RADIUS सर्वर के बीच एक एन्क्रिप्टेड टनल बनाते हैं, और फिर उस टनल के अंदर यूजर के यूजरनेम और पासवर्ड को सत्यापित किया जाता है। इन्हें तैनात (deploy) करना अपेक्षाकृत आसान है और यह उन वातावरणों में अच्छी तरह से काम करते हैं जहाँ आप अभी तक पूर्ण सर्टिफिकेट इंफ्रास्ट्रक्चर के लिए तैयार नहीं हैं।

EAP-TLS गोल्ड स्टैंडर्ड है। यह सर्टिफिकेट-आधारित है, जिसका अर्थ है कि सर्वर और क्लाइंट डिवाइस दोनों एक-दूसरे को ऑथेंटिकेट करने के लिए डिजिटल सर्टिफिकेट प्रस्तुत करते हैं। इसमें कोई पासवर्ड शामिल नहीं होता है। यह क्रेडेंशियल चोरी, फ़िशिंग हमलों और मैन-इन-द-मिडल (man-in-the-middle) हमलों के जोखिम को पूरी तरह से समाप्त कर देता है। कॉर्पोरेट उपकरणों के लिए, EAP-TLS वह ऑथेंटिकेशन विधि है जिसकी दिशा में आपको काम करना चाहिए।

अब आइए डिप्लॉयमेंट मॉडल (deployment models) के बारे में बात करते हैं। जब RADIUS सर्वर की बात आती है, तो आपके पास दो प्राथमिक विकल्प होते हैं: ऑन-प्रेमाइसेस (on-premises) और क्लाउड-होस्टेड (cloud-hosted)।

FreeRADIUS या Microsoft Network Policy Server जैसे प्लेटफ़ॉर्म का उपयोग करने वाला ऑन-प्रीमिस RADIUS, आपको इन्फ्रास्ट्रक्चर पर पूरा नियंत्रण देता है। किसी एक बड़े स्थान, जैसे कि स्टेडियम या अस्पताल के लिए, यह सही निर्णय हो सकता है। ऑथेंटिकेशन अनुरोध स्थानीय नेटवर्क पर चलते हैं, जिससे आपको सब-मिलीसेकंड रिस्पॉन्स टाइम मिलता है। और यदि आपकी पहचान डायरेक्टरी एक ऑन-प्रीमिस Active Directory है जिसे अनुपालन कारणों से इंटरनेट पर उजागर नहीं किया जा सकता है, तो ऑन-प्रीमिस सर्वर RADIUS अक्सर आपका एकमात्र व्यावहारिक विकल्प होता है।

हालांकि, मल्टी-साइट संगठनों के लिए, ऑन-प्रीमिस RADIUS महत्वपूर्ण परिचालन ओवरहेड लाता है। आप प्रत्येक स्थान पर अलग सर्वर इंस्टेंस प्रबंधित कर रहे होते हैं, प्रमाणपत्र नवीनीकरण को मैन्युअल रूप से संभाल रहे होते हैं, और रात के दो बजे कुछ गलत होने पर उसके परिणामों से निपट रहे होते हैं।

Cloud RADIUS इसे पूरी तरह से बदल देता है। इन्फ्रास्ट्रक्चर को वैश्विक स्तर पर कई उपलब्धता क्षेत्रों (availability zones) में होस्ट किया जाता है। जब कोई उपयोगकर्ता किसी शाखा स्थान पर कनेक्ट होता है, तो अनुरोध को निकटतम क्लाउड एज नोड पर रूट किया जाता है। उच्च उपलब्धता डिफ़ॉल्ट रूप से निर्मित होती है। और प्रमाणपत्र रोटेशन स्वचालित होता है, जो ऑन-प्रीमिस डिप्लॉयमेंट में ऑथेंटिकेशन आउटेज के सबसे आम कारण को समाप्त करता है।

Microsoft Entra ID, Okta, या Google Workspace जैसे क्लाउड-नेटिव पहचान प्रदाताओं वाले मल्टी-साइट संगठनों के लिए, Cloud RADIUS लगभग हमेशा परिचालन रूप से बेहतर विकल्प होता है। Purple का Cloud RADIUS सीधे Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, और Fortinet के साथ एकीकृत होता है। इसका मतलब है कि आप एक भी एक्सेस पॉइंट को बदले बिना अपने पूरे हार्डवेयर एस्टेट में डिप्लॉय कर सकते हैं।

इसे ठोस रूप से समझाने के लिए मुझे दो वास्तविक दुनिया के परिदृश्य साझा करने दें।

पहला छह देशों में 45 संपत्तियों वाला एक यूरोपीय होटल समूह है। आईटी टीम प्रत्येक संपत्ति पर वर्चुअल मशीनों पर FreeRADIUS चला रही थी, पैच करने, मॉनिटर करने और बनाए रखने के लिए 45 अलग-अलग इंस्टेंस। जब एक संपत्ति पर एक प्रमाणपत्र समाप्त हो गया, तो इसके कारण एक बड़े सम्मेलन के दौरान पूरी तरह से गेस्ट WiFi आउटेज हो गया। उन्होंने क्लाउड RADIUS सेवा पर माइग्रेट किया, जिससे नीति प्रबंधन को केंद्रीकृत किया गया और प्रति-साइट रखरखाव समाप्त हो गया। तीन-इंजीनियरों की टीम ने अपने पहले RADIUS रखरखाव पर खर्च होने वाले समय का लगभग 40 प्रतिशत वापस प्राप्त कर लिया।

दूसरा परिदृश्य 68,000 सीटों वाला एक राष्ट्रीय खेल स्टेडियम है। आईटी टीम के पास डेटा संप्रभुता को लेकर कड़े नियम थे। सभी ऑथेंटिकेशन लॉग यूके की धरती पर ही रहने चाहिए। उन्होंने एक्टिव-एक्टिव कॉन्फ़िगरेशन में एक डुअल ऑन-प्रीमिस RADIUS क्लस्टर तैनात किया, जिसमें 20 मील दूर एक को-लोकेशन सुविधा में एक सेकेंडरी क्लस्टर था। इसने उन्हें स्थानीय नियंत्रण, सब-मिलीसेकंड ऑथेंटिकेशन और इंटरनेट कनेक्टिविटी पर निर्भर हुए बिना बस्ट ट्रैफ़िक को संभालने की क्षमता प्रदान की।

ये दो परिदृश्य निर्णय ढांचे को स्पष्ट रूप से दर्शाते हैं। जब आपके पास एक वितरित मल्टी-साइट फ़ुटप्रिंट, क्लाउड-नेटिव पहचान प्रदाता और एक छोटी केंद्रीय IT टीम हो, तो Cloud RADIUS चुनें। जब आपके पास कड़े डेटा संप्रभुता आवश्यकताओं या एयर-गैप्ड सुरक्षा वातावरण वाला एक एकल बड़ा स्थान हो, तो ऑन-प्रिमाइसेस (on-premises) चुनें।

अब कुछ ऐसे त्वरित प्रश्न जो हम सबसे अक्सर सुनते हैं।

पहला: एक सर्वर RADIUS और एक Captive Portal में क्या अंतर है? एक Captive Portal वह लॉगिन पेज है जिसे मेहमान कनेक्ट होने पर देखते हैं। यह RADIUS के साथ काम करता है। पोर्टल यूजर इंटरफेस है; सर्वर RADIUS बैक-एंड इंजन है।

दूसरा: क्या मैं वायर्ड नेटवर्क के लिए RADIUS का उपयोग कर सकता हूँ? बिल्कुल। 802.1X मानक वायर्ड Ethernet और वायरलेस नेटवर्क दोनों पर समान रूप से लागू होता है।

तीसरा: क्या होगा यदि मेरे Cloud RADIUS प्रदाता का आउटेज हो जाए? प्रतिष्ठित प्रदाता मल्टी-रीजन रिडंडेंसी द्वारा समर्थित 99.99 प्रतिशत अपटाइम के सेवा स्तर समझौते (SLA) प्रकाशित करते हैं। इस स्थिति से सुचारू रूप से निपटने के लिए, हमेशा अपने एक्सेस पॉइंट्स को फ़ॉलबैक पॉलिसी के साथ कॉन्फ़िगर करें, चाहे वह किसी प्रतिबंधित VLAN के लिए ओपन एक्सेस हो, या स्थानीय रूप से कैश्ड क्रेडेंशियल हों।

चौथा: RADIUS गेस्ट WiFi के साथ कैसे इंटरैक्ट करता है? आगंतुकों को WiFi प्रदान करने वाले स्थानों के लिए, आपके सर्वर RADIUS इन्फ्रास्ट्रक्चर को एक Captive Portal समाधान के साथ एकीकृत करने से एक टियर एक्सेस मॉडल बनता है। कर्मचारी और कॉर्पोरेट डिवाइस 802.1X के माध्यम से पृष्ठभूमि में प्रमाणित होते हैं, जबकि मेहमानों को ऑनबोर्डिंग के लिए एक ब्रांडेड पोर्टल पर निर्देशित किया जाता है। इसके बाद Purple का प्लेटफॉर्म फर्स्ट-पार्टी डेटा कैप्चर करता है और विज़िटर के व्यवहार पर एनालिटिक्स प्रदान करता है, जिससे आपका नेटवर्क लागत केंद्र से बिजनेस इंटेलिजेंस एसेट में बदल जाता है।

संक्षेप में। सर्वर RADIUS एक केंद्रीकृत प्रोटोकॉल है जो एंटरप्राइज़ WiFi सुरक्षा को शक्ति प्रदान करता है। यह आपको आपके नेटवर्क तक कौन पहुँच सकता है, वे क्या कर सकते हैं, इस पर विस्तृत नियंत्रण और उनकी गतिविधि का एक संपूर्ण ऑडिट ट्रेल देने के लिए AAA फ्रेमवर्क को लागू करता है। स्थान संचालकों, होटल व्यवसायियों, खुदरा विक्रेताओं और सार्वजनिक क्षेत्र के संगठनों के लिए, सर्वर RADIUS को तैनात करना एक सुरक्षित, अनुपालन और पेशेवर रूप से प्रबंधित WiFi बुनियादी ढांचे के निर्माण का आधारभूत कदम है।

आपका अगला कदम स्पष्ट है। यदि आप अभी भी प्री-शेयर्ड कीज़ का उपयोग कर रहे हैं, तो आज ही अपने माइग्रेशन की योजना बनाना शुरू करें। WPA3-Enterprise सपोर्ट के लिए अपने वर्तमान हार्डवेयर की समीक्षा करें, अपने पहचान निर्देशिका (identity directory) एकीकरण विकल्पों का आकलन करें, और एक ऐसे Cloud RADIUS प्लेटफॉर्म का पता लगाएं जो आपके संगठन के साथ स्केल कर सके।

अधिक तकनीकी गाइड और कार्यान्वयन संसाधनों के लिए, हमें purple dot ai पर विजिट करें। अगली बार तक, सुरक्षित रहें।

मुख्य निष्कर्ष

✓सर्वर RADIUS एंटरप्राइज़ नेटवर्क एक्सेस कंट्रोल के लिए उद्योग मानक है, जो AAA फ्रेमवर्क के माध्यम से पहचान-आधारित प्रमाणीकरण के साथ असुरक्षित प्री-शेयर्ड कीज़ (pre-shared keys) को प्रतिस्थापित करता है।
✓डायनेमिक VLAN असाइनमेंट वह तंत्र है जो नेटवर्क सेगमेंटेशन को लागू करता है - खुदरा और आतिथ्य (hospitality) वातावरण में PCI DSS अनुपालन के लिए एक अनिवार्य नियंत्रण।
✓EAP-TLS प्रमाणीकरण की सर्वोत्तम विधि है, जो क्लाइंट और सर्वर के बीच पारस्परिक प्रमाणपत्र सत्यापन (mutual certificate validation) के माध्यम से पासवर्ड को पूरी तरह से समाप्त कर देती है।
✓छोटे केंद्रीय IT टीमों वाले बहु-साइट स्थानों के लिए Cloud RADIUS परिचालन रूप से बेहतर है, जो स्वचालित प्रमाणपत्र रोटेशन, इन-बिल्ट उच्च उपलब्धता और केंद्रीकृत नीति प्रबंधन प्रदान करता है।
✓डेटा संप्रभुता की आवश्यकताओं, एयर-गैप्ड वातावरण, या पुराने ऑन-प्रिमाइसेस निर्देशिकाओं वाले एकल बड़े स्थानों के लिए ऑन-प्रिमाइसेस सर्वर RADIUS सही विकल्प बना हुआ है।
✓प्रमाणपत्र की समाप्ति (Certificate expiry) ऑन-प्रिमाइसेस RADIUS आउटेज का प्रमुख कारण है - समाप्ति से 60 दिन, 30 दिन और 7 दिन पहले निगरानी अलर्ट कॉन्फ़िगर करें।
✓Purple का Cloud RADIUS 99.999% अपटाइम के साथ 80,000+ लाइव स्थानों पर Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme और Fortinet के साथ एकीकृत होता है।

कार्यकारी सारांश (Executive summary)

hospitality , retail , transport , और बड़े सार्वजनिक स्थलों पर काम करने वाले IT प्रबंधकों, नेटवर्क आर्किटेक्ट्स और CTOs के लिए, वायरलेस एक्सेस को सुरक्षित करना एक मुख्य परिचालन आवश्यकता है - कोई वैकल्पिक अपग्रेड नहीं। WiFi एक्सेस के लिए प्री-शेयर्ड की (PSK) पर भरोसा करना एक बड़ा सुरक्षा जोखिम है। एक भी क्रेडेंशियल लीक होने से पूरा नेटवर्क असुरक्षित हो जाता है, और एक्सेस वापस लेने के लिए पूरे एस्टेट के हर डिवाइस का पासवर्ड बदलना पड़ता है। सर्वर RADIUS (रिमोट ऑथेंटिकेशन डायल-इन यूजर सर्विस) आर्किटेक्चर के माध्यम से 802.1X ऑथेंटिकेशन लागू करने से यह समस्या समाप्त हो जाती है। प्रत्येक उपयोगकर्ता व्यक्तिगत रूप से ऑथेंटिकेट होता है, एक्सेस को तुरंत वापस लिया जा सकता है, और नेटवर्क सेगमेंटेशन को डायनामिक रूप से लागू किया जाता है।

सर्वर RADIUS AAA फ्रेमवर्क को लागू करता है: ऑथेंटिकेशन, ऑथराइजेशन और अकाउंटिंग। यह Microsoft Entra ID, Okta, या Google Workspace जैसे डायरेक्टरी के खिलाफ पहचान को सत्यापित करता है, डायनामिक VLAN असाइनमेंट के माध्यम से उपयोगकर्ताओं को सही नेटवर्क सेगमेंट में असाइन करता है, और प्रत्येक सत्र के लिए एक विस्तृत ऑडिट ट्रेल बनाए रखता है। PCI DSS, GDPR, या साइबर एसेंशियल के अधीन आने वाले संगठनों के लिए, यह ऑडिट ट्रेल वैकल्पिक नहीं है। यह एक सख्त अनुपालन आवश्यकता है। Purple का Cloud RADIUS सर्वर सर्टिफिकेट-आधारित 802.1X ऑथेंटिकेशन के माध्यम से कर्मचारियों और कॉर्पोरेट डिवाइसों को सुरक्षित करता है, जो 80,000+ लाइव वेन्यू में Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme और Fortinet के साथ एकीकृत है।

तकनीकी विश्लेषण: सर्वर RADIUS आर्किटेक्चर

IEEE 802.1X मानक पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल (PNAC) को परिभाषित करता है। वायरलेस संदर्भ में, इसमें नेटवर्क एज को सुरक्षित करने के लिए मिलकर काम करने वाली तीन प्राथमिक भूमिकाएं शामिल हैं।

भूमिका	घटक	जिम्मेदारी
Supplicant	क्लाइंट डिवाइस (लैपटॉप, स्मार्टफोन)	नेटवर्क एक्सेस का अनुरोध करने के लिए क्रेडेंशियल प्रस्तुत करता है
Authenticator	WiFi एक्सेस पॉइंट या कंट्रोलर	एक्सेस कंट्रोल लागू करता है; EAP संदेशों को रिले करता है
Authentication server	सर्वर RADIUS	क्रेडेंशियल सत्यापित करता है; स्वीकार या अस्वीकार और नीति विशेषताएं लौटाता है

जब एक सप्लिकेंट (supplicant) एक एक्सेस पॉइंट से जुड़ता है, तो AP एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल (EAP) संदेशों को छोड़कर सभी डेटा ट्रैफ़िक को ब्लॉक कर देता है। AP इन EAP संदेशों को RADIUS पैकेटों में एनकैप्सुलेट करता है और उन्हें UDP पोर्ट 1812 पर सर्वर RADIUS पर भेजता है। सर्वर बैकएंड डायरेक्टरी के खिलाफ क्रेडेंशियल की पुष्टि करता है और एक Access-Accept या Access-Reject संदेश लौटाता है। यदि स्वीकार कर लिया जाता है, तो AP पोर्ट को अनब्लॉक कर देता है और क्लाइंट ट्रैफ़िक स्वतंत्र रूप से प्रवाहित होता है।

AAA फ्रेमवर्क व्यवहार में

Authentication पहला स्तंभ है: यह सत्यापित करना कि कोई कौन है। जब कोई डिवाइस WPA3-Enterprise SSID से कनेक्ट होता है, तो सर्वर RADIUS प्रस्तुत क्रेडेंशियल्स या प्रमाणपत्र की जांच कॉन्फ़िगर किए गए पहचान स्रोत के विरुद्ध करता है। Microsoft Entra ID, Okta और Google Workspace प्रामाणिक क्लाउड पहचान प्रदाता हैं जो आधुनिक Cloud RADIUS प्लेटफ़ॉर्म के साथ सीधे एकीकृत होते हैं।

Authorisation दूसरा स्तंभ है: यह निर्धारित करना कि प्रमाणित उपयोगकर्ता क्या कर सकता है। सर्वर RADIUS एक्सेस पॉइंट पर RADIUS एट्रिब्यूट्स लौटाता है, जिसमें सबसे महत्वपूर्ण VLAN ID है। वित्त टीम का एक स्टाफ सदस्य आंतरिक प्रणालियों तक पहुंच के साथ VLAN 10 पर जाता है। एक ठेकेदार केवल-इंटरनेट पहुंच के साथ VLAN 20 पर जाता है। एक अतिथि सभी कॉर्पोरेट संसाधनों से अलग, VLAN 30 पर जाता है। यह डायनेमिक VLAN असाइनमेंट वह तंत्र है जो उचित नेटवर्क वर्गीकरण को सक्षम बनाता है - जो retail वातावरण में PCI DSS अनुपालन के लिए एक अनिवार्य नियंत्रण है।

Accounting तीसरा स्तंभ है: वास्तव में क्या हुआ इसका रिकॉर्ड रखना। सर्वर RADIUS प्रत्येक डिवाइस के सत्र प्रारंभ और समाप्ति समय, सत्र की अवधि, स्थानांतरित डेटा और MAC एड्रेस को लॉग करता है। PCI DSS v4.0 के तहत, यह लॉगिंग एक सख्त आवश्यकता है। किसी सुरक्षा घटना की स्थिति में, ये लॉग किसी भी फोरेंसिक जांच का आधार होते हैं।

EAP विधि का चयन

आपके सर्वर RADIUS परिनियोजन (deployment) की सुरक्षा काफी हद तक चुनी गई EAP विधि पर निर्भर करती है। एंटरप्राइज़ WiFi में तीन सबसे सामान्य विधियाँ PEAP, EAP-TTLS और EAP-TLS हैं।

PEAP-MSCHAPv2 सबसे व्यापक रूप से तैनात की जाने वाली विधि है। यह सर्वर-साइड प्रमाणपत्र का उपयोग करके एक एन्क्रिप्टेड TLS टनल बनाता है, जिसके अंदर उपयोगकर्ता उपयोगकर्ता नाम और पासवर्ड के साथ प्रमाणित होता है। इसे तैनात करना अपेक्षाकृत सीधा है क्योंकि आपको केवल एक प्रमाणपत्र - सर्वर का - प्रबंधित करने की आवश्यकता होती है। हालाँकि, यदि क्लाइंट डिवाइसों को सर्वर प्रमाणपत्र को सत्यापित करने के लिए स्पष्ट रूप से कॉन्फ़िगर नहीं किया गया है, तो वे दुष्ट एक्सेस पॉइंट (rogue access point) हमलों के प्रति संवेदनशील होते हैं। एक हमलावर एक नकली प्रमाणपत्र प्रस्तुत कर सकता है और क्रेडेंशियल्स कैप्चर कर सकता है। यह एक प्रलेखित वास्तविक दुनिया का खतरा है, कोई सैद्धांतिक नहीं। बिना किसी अपवाद के Group Policy Objects या MDM प्रोफाइल के माध्यम से सख्त प्रमाणपत्र सत्यापन लागू करें।

EAP-TLS गोल्ड स्टैंडर्ड है। इसके लिए सर्वर RADIUS और प्रत्येक क्लाइंट डिवाइस दोनों पर डिजिटल प्रमाणपत्र की आवश्यकता होती है, जिससे पासवर्ड की आवश्यकता पूरी तरह से समाप्त हो जाती है। भले ही कोई हमलावर पूर्ण प्रमाणीकरण एक्सचेंज को कैप्चर कर ले, निकालने के लिए कोई क्रेडेंशियल नहीं होते हैं। इसका समझौता प्रशासनिक ओवरहेड है: क्लाइंट प्रमाणपत्रों को तैनात और प्रबंधित करने के लिए एक पब्लिक की इन्फ्रास्ट्रक्चर (PKI) और Microsoft Intune या Jamf जैसे MDM प्लेटफॉर्म की आवश्यकता होती है। कॉर्पोरेट उपकरणों के लिए, EAP-TLS वह प्रमाणीकरण विधि है जिसकी ओर आपको काम करना चाहिए। Purple का Cloud RADIUS स्वचालित प्रमाणपत्र जीवनचक्र प्रबंधन के साथ मूल रूप से EAP-TLS का समर्थन करता है।

कार्यान्वयन मार्गदर्शिका: cloud बनाम on-premises

सर्वर RADIUS आर्किटेक्चर को तैनात करते समय, IT टीमों को क्लाउड-होस्टेड और ऑन-प्रिमाइसेस परिनियोजन के बीच चयन करना होगा। यह इस प्रोजेक्ट में सबसे महत्वपूर्ण आर्किटेक्चरल निर्णय है।

On-premises RADIUS, FreeRADIUS या Microsoft Network Policy Server (NPS) जैसे प्लेटफ़ॉर्म का उपयोग करके, आपको इंफ्रास्ट्रक्चर पर पूर्ण नियंत्रण प्रदान करता है। किसी एक बड़े स्थान - एक स्टेडियम, अस्पताल, या सरकारी सुविधा - के लिए यह सही विकल्प हो सकता है। प्रमाणीकरण अनुरोध स्थानीय LAN पर ट्रांसफर होते हैं, जो सब-मिलीसेकंड का प्रतिक्रिया समय प्रदान करते हैं। यदि आपकी पहचान निर्देशिका (identity directory) एक ऑन-प्रिमाइसेस Active Directory है जिसे डेटा संप्रभुता कारणों से इंटरनेट पर प्रकट नहीं किया जा सकता है, तो ऑन-प्रिमाइसेस सर्वर RADIUS अक्सर आपका एकमात्र व्यवहार्य विकल्प होता है।

हालाँकि, बहु-स्थान (multi-site) संगठनों के लिए, ऑन-प्रिमाइसेस RADIUS महत्वपूर्ण परिचालन ओवरहेड प्रस्तुत करता है। आप प्रत्येक स्थान पर अलग-अलग सर्वर इंस्टेंस का प्रबंधन कर रहे होते हैं, मैन्युअल रूप से प्रमाणपत्र नवीनीकरण संभालते हैं, और रात में दो बजे प्रमाणपत्र समाप्त होने पर आउटेज का समाधान कर रहे होते हैं। 50 स्थानों वाले रिटेल चेन के लिए, इसका मतलब पैच, मॉनिटर और रखरखाव के लिए 50 अलग-अलग RADIUS इंस्टेंस हैं।

Cloud RADIUS इसे पूरी तरह से बदल देता है। इंफ्रास्ट्रक्चर वैश्विक स्तर पर कई उपलब्धता क्षेत्रों (availability zones) में होस्ट किया जाता है। जब कोई उपयोगकर्ता किसी शाखा स्थान पर कनेक्ट होता है, तो अनुरोध निकटतम क्लाउड एज नोड पर रूट होता है। हाई अवेलेबिलिटी डिफ़ॉल्ट रूप से बिल्ट-इन होती है। प्रमाणपत्र रोटेशन स्वचालित होता है, जिससे ऑन-प्रिमाइसेस परिनियोजन में प्रमाणीकरण आउटेज का सबसे आम कारण समाप्त हो जाता है। Microsoft Entra ID, Okta, या Google Workspace जैसे क्लाउड-नेटिव पहचान प्रदाताओं वाले बहु-स्थान संगठनों के लिए, Cloud RADIUS लगभग हमेशा परिचालन रूप से बेहतर विकल्प होता है।

Purple का Cloud RADIUS सीधे Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, और Fortinet के साथ एकीकृत होता है। आप बिना एक भी एक्सेस पॉइंट को बदले अपने पूरे हार्डवेयर एस्टेट में इसे तैनात कर सकते हैं।

चरण-दर-चरण परिनियोजन

चरण 1: अपना परिनियोजन मॉडल चुनें। तीन कारकों का ऑडिट करें: आपका वर्तमान पहचान प्रदाता और क्या यह क्लाउड-नेटिव है; प्रत्येक साइट पर आपका WAN लचीलापन; और चल रहे रखरखाव का प्रबंधन करने की आपकी टीम की क्षमता। ये तीन कारक तय करते हैं कि क्लाउड या ऑन-प्रिमाइसेस सही रास्ता है।

चरण 2: अपने पहचान स्रोत को एकीकृत करें। अपने सर्वर RADIUS को अपने संगठन की पहचान निर्देशिका (identity directory) से कनेक्ट करें। अधिकांश Cloud RADIUS प्लेटफ़ॉर्म LDAP या SAML के माध्यम से Microsoft Entra ID, Okta, और Google Workspace के साथ सीधे एकीकरण का समर्थन करते हैं। ऑन-प्रिमाइसेस Active Directory के लिए, एक सुरक्षित कनेक्टर पर LDAP का उपयोग करें।चरण 3: अपने नेटवर्क हार्डवेयर को कॉन्फ़िगर करें। WPA2-Enterprise या WPA3-Enterprise के लिए कॉन्फ़िगर किया गया एक नया SSID बनाएं और इसे अपने RADIUS सर्वर पर निर्देशित करें। साझा सीक्रेट (shared secret) को कॉन्फ़िगर करें - वह पासवर्ड जो एक्सेस पॉइंट और RADIUS सर्वर के बीच संचार को एन्क्रिप्ट करता है। यह साझा सीक्रेट दोनों पक्षों पर बिल्कुल मेल खाना चाहिए। शुरुआती डिप्लॉयमेंट के दौरान ऑथेंटिकेशन फेल होने के सबसे सामान्य कारणों में से एक इसका बेमेल होना है।

चरण 4: ऑथराइजेशन नीतियां परिभाषित करें। अपनी पहचान डायरेक्टरी से उपयोगकर्ता समूहों को नेटवर्क नीतियों से मैप करें। स्टाफ को VLAN 10 पर पूर्ण एक्सेस मिलती है। मेहमानों को VLAN 20 पर केवल-इंटरनेट एक्सेस मिलती है। IoT उपकरणों को फ़ायरवॉल नियमों के साथ एक प्रतिबंधित VLAN मिलता है जो लैटरल मूवमेंट को रोकता है।

चरण 5: अपने उपयोगकर्ताओं को ऑनबोर्ड करें। कॉर्पोरेट स्टाफ के लिए, अपने MDM प्लेटफॉर्म के माध्यम से WiFi प्रोफाइल डिप्लॉय करें। मेहमानों के लिए, एक Captive Portal का उपयोग करें। Purple का Guest WiFi प्लेटफॉर्म गेस्ट ऑनबोर्डिंग फ्लो को स्वचालित करता है, जो सोशल लॉगिन, पंजीकरण फॉर्म और वाउचर कोड का समर्थन करता है। स्टाफ और कॉर्पोरेट डिवाइस 802.1X के माध्यम से चुपचाप ऑथेंटिकेट होते हैं जबकि मेहमानों को एक ब्रांडेड पोर्टल पर निर्देशित किया जाता है - एक टियर एक्सेस मॉडल जो सुरक्षा और WiFi Analytics दोनों प्रदान करता है।

गेस्ट, स्टाफ और IoT नेटवर्क पर SSID आर्किटेक्चर के बारे में अधिक विस्तार से जानने के लिए, देखें Three SSIDs to rule them all: guest, Passpoint, and IoT WiFi ।

सर्वोत्तम प्रथाएं (Best practices)

प्रत्येक क्लाइंट डिवाइस पर कड़े सर्टिफिकेट वैलिडेशन को लागू करें। Windows उपकरणों के लिए ग्रुप पॉलिसी ऑब्जेक्ट और macOS व मोबाइल उपकरणों के लिए MDM प्रोफाइल का उपयोग करें। प्रोफाइल में स्पष्ट रूप से उल्लेख होना चाहिए कि किस सर्टिफिकेट अथॉरिटी पर भरोसा करना है और अपेक्षित सर्वर का नाम क्या है। इसे मैन्युअल रूप से कॉन्फ़िगर करने के लिए उपयोगकर्ता पर न छोड़ें। इसे लागू न करना PEAP डिप्लॉयमेंट पर क्रेडेंशियल चोरी के लिए प्राथमिक हमलावर वेक्टर (attack vector) है।

कम से कम दो RADIUS सर्वर इंस्टेंस डिप्लॉय करें। यदि प्राथमिक अनुपलब्ध हो जाता है, तो सभी एक्सेस पॉइंट्स को सेकेंडरी पर फेलओवर करने के लिए कॉन्फ़िगर करें। Cloud RADIUS के लिए, यह रिडंडेंसी इन-बिल्ट होती है और प्रदाता द्वारा प्रबंधित की जाती है। ऑन-प्रिमाइसेस के लिए, दो भौगोलिक रूप से अलग स्थानों पर एक एक्टिव-एक्टिव क्लस्टर डिप्लॉय करें।

बिना स्क्रीन वाले IoT उपकरणों के लिए MAC Authentication Bypass (MAB) का उपयोग करें। प्रिंटर, सेंसर और डिजिटल साइनेज 802.1X क्रेडेंशियल प्रस्तुत नहीं कर सकते हैं। MAB, MAC एड्रेस के आधार पर ऑथेंटिकेशन की अनुमति देता है। चूंकि MAC एड्रेस आसानी से स्पूफ किए जा सकते हैं, इसलिए हमेशा MAB-ऑथेंटिकेटेड उपकरणों को एक प्रतिबंधात्मक VLAN और कॉर्पोरेट संसाधनों तक पहुंच को ब्लॉक करने वाले फ़ायरवॉल नियमों के साथ पेयर करें।

साझा सीक्रेट्स (shared secrets) को नियमित रूप से रोटेट करें। आपके एक्सेस पॉइंट्स और आपके RADIUS सर्वर के बीच साझा सीक्रेट लंबा, रैंडम और समय-समय पर रोटेट होने वाला होना चाहिए। एक कमजोर या डिफॉल्ट साझा सीक्रेट पूरी ऑथेंटिकेशन श्रृंखला को कमजोर कर देता है। पेनिट्रेशन टेस्टिंग के साथ सेगमेंटेशन को मान्य करें। केवल कॉन्फ़िगरेशन ही प्रमाण नहीं है। एक पेनिट्रेशन टेस्ट को अधिकृत करें जिसमें विशेष रूप से वायरलेस वातावरण और VLAN सेगमेंटेशन का सत्यापन शामिल हो। एक टेस्टर को सक्रिय रूप से गेस्ट VLAN से कॉर्पोरेट संसाधनों तक पहुँचने का प्रयास करना चाहिए और यह दस्तावेज करना चाहिए कि प्रत्येक प्रयास को ब्लॉक किया गया है। यही वह प्रमाण है जिसकी आपके PCI DSS क्वालिफाइड सिक्योरिटी असेसर को आवश्यकता है।

समस्या निवारण (Troubleshooting) और जोखिम न्यूनीकरण

सर्वर RADIUS डिप्लॉयमेंट में सबसे आम विफलता मोड चार श्रेणियों में आते हैं।

साझा सीक्रेट (Shared secret) का बेमेल होना। यदि एक्सेस पॉइंट पर कॉन्फ़िगर किया गया साझा सीक्रेट सर्वर RADIUS के सीक्रेट से मेल नहीं खाता है, तो प्रत्येक प्रमाणीकरण (authentication) प्रयास चुपचाप विफल हो जाएगा। साझा सीक्रेट को मैन्युअल रूप से टाइप करने के बजाय हमेशा कॉपी-पेस्ट करें। परीक्षण करने से पहले दोनों पक्षों के कॉन्फ़िगरेशन को सत्यापित करें।

सर्टिफिकेट की समय सीमा समाप्त होना (Certificate expiry)। ऑन-प्रिमाइसेस डिप्लॉयमेंट पर, यदि सर्वर सर्टिफिकेट की समय सीमा समाप्त हो जाती है, तो प्रत्येक क्लाइंट डिवाइस कनेक्शन को अस्वीकार कर देगा। इससे बिना किसी सुचारू गिरावट के पूर्ण प्रमाणीकरण आउटेज होता है। क्लाउड RADIUS प्रदाता सर्टिफिकेट रोटेशन को स्वचालित करते हैं, जिससे यह जोखिम समाप्त हो जाता है। ऑन-प्रिमाइसेस डिप्लॉयमेंट के लिए, समाप्त होने से 60 दिन, 30 दिन और सात दिन पहले मॉनिटरिंग अलर्ट कॉन्फ़िगर करें।

क्लाइंट सर्टिफिकेट वैलिडेशन लागू न होना। यदि PEAP क्लाइंट को सर्वर सर्टिफिकेट को सत्यापित करने के लिए कॉन्फ़िगर नहीं किया गया है, तो वे किसी भी RADIUS सर्वर से जुड़ जाएंगे जो प्रतिक्रिया देता है - जिसमें अनधिकृत (rogue) एक्सेस पॉइंट भी शामिल हैं। प्रत्येक प्रबंधित डिवाइस पर GPO या MDM प्रोफाइल के माध्यम से सर्टिफिकेट वैलिडेशन लागू करें।

क्लाउड RADIUS के लिए WAN निर्भरता। क्लाउड RADIUS पूरी तरह से प्रत्येक स्थल पर WAN लिंक पर निर्भर करता है। यदि इंटरनेट कनेक्शन टूट जाता है, तो प्रमाणीकरण विफल हो जाता है। एक स्थानीय उत्तरजीविता (survivability) रणनीति लागू करें: महत्वपूर्ण कर्मचारियों के लिए क्रेडेंशियल्स को कैश करने के लिए एक्सेस पॉइंट्स को कॉन्फ़िगर करें, या इंटरनेट लिंक की उच्च उपलब्धता सुनिश्चित करने के लिए SD-WAN का उपयोग करें। हमेशा एक फ़ॉलबैक नीति कॉन्फ़िगर करें - या तो प्रतिबंधित VLAN के लिए खुली पहुँच, या स्थानीय रूप से कैश्ड क्रेडेंशियल्स।

ROI और व्यावसायिक प्रभाव

एक सर्वर RADIUS आर्किटेक्चर को डिप्लॉय करना वायरलेस नेटवर्क को एक संवेदनशीलता (vulnerability) से मापने योग्य परिचालन लाभों के साथ एक प्रबंधित, सुरक्षित संपत्ति में बदल देता है।

45 संपत्तियों वाले एक यूरोपीय होटल समूह के लिए, 45 ऑन-प्रिमाइसेस FreeRADIUS इंस्टेंस से क्लाउड RADIUS पर माइग्रेट करने से केंद्रीय IT टीम के रखरखाव के समय का लगभग 40% हिस्सा वापस मिल गया (Purple आंतरिक डेटा)। यह इंजीनियरिंग क्षमता है जिसे केवल काम चालू रखने के बजाय रणनीतिक पहलों की ओर निर्देशित किया गया है।

PCI DSS ऑडिट की तैयारी कर रही एक रिटेल चेन के लिए, डायनेमिक VLAN असाइनमेंट के माध्यम से उचित नेटवर्क सेगमेंटेशन गेस्ट WiFi नेटवर्क को कार्डधारक डेटा पर्यावरण (CDE) के दायरे से पूरी तरह से हटा देता है। Purple के Guest WiFi जैसे प्लेटफॉर्म गेस्ट-फेसिंग VLAN पर काम करते हैं, जो भुगतान ट्रैफ़िक से पूरी तरह से अलग होते हैं। एनालिटिक्स प्लेटफ़ॉर्म PCI के दायरे से बाहर है, और व्यवसाय के पास राजस्व उत्पन्न करने वाले टूल्स - गेस्ट एनालिटिक्स, लॉयल्टी प्रोग्राम, कस्टमर एंगेजमेंट - को सुरक्षित और विश्वास के साथ डिप्लॉय करने की स्वतंत्रता बनी रहती है।

10 से अधिक साइटों और पांच से कम नेटवर्क इंजीनियरों वाले संगठनों के लिए, Cloud RADIUS का अनुमानित परिचालन व्यय (operational expenditure) आम तौर पर ऑन-प्रिमाइसेस इंफ्रास्ट्रक्चर को बनाए रखने की तुलना में 18 महीनों के भीतर निवेश पर सकारात्मक रिटर्न प्रदान करता है (Purple आंतरिक डेटा)। बड़े पैमाने पर ऑन-प्रिमाइसेस परिनियोजन के लिए हार्डवेयर खरीद, पावर, कूलिंग और इंजीनियरिंग का समय लगातार प्रबंधित Cloud RADIUS सेवा की सदस्यता लागत से अधिक होता है।

Purple 99.999% अपटाइम, ISO 27001 प्रमाणन, GDPR और CCPA अनुपालन, और Cyber Essentials प्रमाणन के साथ 80,000+ लाइव स्थानों में काम करता है। उन IT टीमों के लिए जिन्हें अपने बोर्ड या ऑडिटर्स को उचित तत्परता (due diligence) प्रदर्शित करने की आवश्यकता होती है, ये प्रमाणन वह तृतीय-पक्ष सत्यापन प्रदान करते हैं जो एक स्व-प्रबंधित ऑन-प्रिमाइसेस परिनियोजन नहीं कर सकता है।

वैकल्पिक प्लेटफार्मों के खिलाफ Purple के Cloud RADIUS की विस्तृत तुलना के लिए, Aruba ClearPass vs. Purple WiFi सुविधा और सह-परिनियोजन तुलना देखें।

मुख्य परिभाषाएं

Server RADIUS

रिमोट ऑथेंटिकेशन डायल-इन यूजर सर्विस। एक नेटवर्किंग प्रोटोकॉल सर्वर जो नेटवर्क एक्सेस के लिए केंद्रीकृत ऑथेंटिकेशन, ऑथराइजेशन और अकाउंटिंग (AAA) प्रबंधन प्रदान करता है। RFC 2865 में परिभाषित और बाद के RFCs द्वारा विस्तारित।

वह मुख्य इंजन जो डायरेक्टरी के विरुद्ध उपयोगकर्ता क्रेडेंशियल को सत्यापित करता है और नेटवर्क एक्सेस पॉलिसियों को निर्धारित करता है। 802.1X का उपयोग करने वाले प्रत्येक एंटरप्राइज WiFi डिप्लॉयमेंट के लिए एक server RADIUS की आवश्यकता होती है।

802.1X

पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल के लिए एक IEEE मानक जो LAN या WLAN से जुड़ने के इच्छुक डिवाइसों के लिए एक ऑथेंटिकेशन तंत्र प्रदान करता है। यह सप्लिकेंट, ऑथेंटिकेटर और ऑथेंटिकेशन सर्वर की भूमिकाओं को परिभाषित करता है।

वह मानक जिसका उपयोग एक्सेस पॉइंट RADIUS सर्वर के साथ संचार करने के लिए करते हैं। 802.1X के बिना, नेटवर्क के छोर पर अनऑथेंटिकेटेड डिवाइसों को ब्लॉक करने का कोई तंत्र नहीं है।

EAP-TLS

एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल - ट्रांसपोर्ट लेयर सिक्योरिटी। एक ऑथेंटिकेशन विधि जिसके लिए क्लाइंट डिवाइस और RADIUS सर्वर दोनों पर डिजिटल सर्टिफिकेट की आवश्यकता होती है। बिना पासवर्ड के आपसी ऑथेंटिकेशन प्रदान करता है।

कॉरपोरेट डिवाइसों को ऑथेंटिकेट करने का गोल्ड स्टैंडर्ड। क्रेडेंशियल चोरी और फ़िशिंग हमलों को समाप्त करता है। बड़े पैमाने पर क्लाइंट सर्टिफिकेट तैनात करने के लिए PKI और MDM प्लेटफॉर्म की आवश्यकता होती है।

PEAP-MSCHAPv2

माइक्रोसॉफ्ट चैलेंज हैंडशेक ऑथेंटिकेशन प्रोटोकॉल संस्करण 2 के साथ प्रोटेक्टेड एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल। एक एन्क्रिप्टेड टनल बनाने के लिए सर्वर-साइड TLS सर्टिफिकेट का उपयोग करता है, जिसके अंदर उपयोगकर्ता उपयोगकर्ता नाम और पासवर्ड के साथ ऑथेंटिकेट करता है।

सबसे आम एंटरप्राइज़ WiFi ऑथेंटिकेशन विधि। केवल तभी सुरक्षित है जब क्लाइंट को GPO या MDM प्रोफाइल के माध्यम से सर्वर सर्टिफिकेट को मान्य करने के लिए स्पष्ट रूप से कॉन्फ़िगर किया गया हो।

डायनेमिक VLAN असाइनमेंट

वह प्रक्रिया जिसके द्वारा एक RADIUS सर्वर डायरेक्टरी में उनकी पहचान और समूह सदस्यता के आधार पर एक एक्सेस पॉइंट को एक ऑथेंटिकेटेड उपयोगकर्ता को एक विशिष्ट वर्चुअल लोकल एरिया नेटवर्क (VLAN) पर रखने का निर्देश देता है।

वह तंत्र जो नेटवर्क सेगमेंटेशन को लागू करता है। रिटेल और हॉस्पिटैलिटी में PCI DSS अनुपालन के लिए आवश्यक। एक ही SSID को अलग-अलग नेटवर्क सेगमेंट पर स्टाफ, ठेकेदारों, मेहमानों और IoT डिवाइसों की सेवा करने की अनुमति देता है।

AAA फ्रेमवर्क

ऑथेंटिकेशन, ऑथराइजेशन और अकाउंटिंग। नेटवर्क एक्सेस के प्रबंधन के लिए RADIUS सर्वर द्वारा लागू किया गया तीन-स्तंभों वाला फ्रेमवर्क। ऑथेंटिकेशन पहचान की पुष्टि करता है, ऑथराइजेशन एक्सेस स्तर निर्धारित करता है, अकाउंटिंग सेशन गतिविधि को लॉग करता है।

सभी RADIUS सर्वर डिप्लॉयमेंट का वैचारिक आधार। PCI DSS v4.0 को भुगतान डेटा को संभालने वाले नेटवर्क के लिए तीनों स्तंभों को लागू करने की आवश्यकता होती है।

सप्लिकेंट (Supplicant)

क्लाइंट डिवाइस (लैपटॉप, स्मार्टफोन, IoT सेंसर) जो ऑथेंटिकेटर को क्रेडेंशियल या सर्टिफिकेट प्रस्तुत करके नेटवर्क तक पहुंच का अनुरोध करता है।

वह एंडपॉइंट जिसे RADIUS सर्वर ऑथेंटिकेशन चुनौती को पूरा करना होगा। कौन सा घटक विफल हो रहा है, यह समझना प्रभावी समस्या निवारण (troubleshooting) की नींव है।

Captive Portal

एक वेब पेज जिससे उपयोगकर्ताओं को सार्वजनिक WiFi नेटवर्क तक पहुंच प्रदान करने से पहले बातचीत करनी चाहिए। उपयोगकर्ता के अनुकूल ऑनबोर्डिंग अनुभव को संभालता है जबकि RADIUS सर्वर बैक-एंड ऑथेंटिकेशन और सेशन पॉलिसी प्रवर्तन का प्रबंधन करता है।

हॉस्पिटैलिटी, रिटेल और वेन्यू परिवेश में गेस्ट ऑनबोर्डिंग के लिए उपयोग किया जाता है। RADIUS सर्वर के साथ मिलकर काम करता है - पोर्टल यूजर इंटरफेस है, RADIUS सर्वर बैक-एंड इंजन है।

MAC ऑथेंटिकेशन बाईपास (MAB)

एक तंत्र जो बिना 802.1X क्षमताओं वाले डिवाइसों (प्रिंटर, IoT सेंसर, डिजिटल साइनेज) को क्रेडेंशियल या सर्टिफिकेट के बजाय उनके MAC एड्रेस के आधार पर ऑथेंटिकेट करने की अनुमति देता है।

उन हेडलेस डिवाइसों के लिए आवश्यक है जो 802.1X सप्लिकेंट नहीं चला सकते। चूंकि MAC एड्रेस आसानी से स्पूफ हो जाते हैं, इसलिए MAB-ऑथेंटिकेटेड डिवाइसों को हमेशा अत्यधिक प्रतिबंधित VLAN पर रखा जाना चाहिए।

साझा रहस्य (Shared secret)

एक पासवर्ड जो एक एक्सेस पॉइंट (RADIUS क्लाइंट) और RADIUS सर्वर के बीच संचार को एन्क्रिप्ट करता है। दोनों पक्षों पर समान रूप से कॉन्फ़िगर किया जाना चाहिए और समय-समय पर बदला जाना चाहिए।

प्रारंभिक परिनियोजन (initial deployment) के दौरान साझा रहस्य का बेमेल होना ऑथेंटिकेशन विफलताओं के सबसे आम कारणों में से एक है। मैन्युअल रूप से टाइप करने के बजाय हमेशा कॉपी-पेस्ट करें।

हल किए गए उदाहरण

एक 200 कमरों वाले होटल को आइसोलेटेड गेस्ट WiFi एक्सेस प्रदान करते हुए 802.1X के माध्यम से स्टाफ डिवाइसों को सुरक्षित करने की आवश्यकता है। प्रॉपर्टी मैनेजमेंट सिस्टम स्टाफ डिवाइसों पर चलता है और गेस्ट नेटवर्क से इस तक पहुंच नहीं होनी चाहिए। यह होटल 45-प्रॉपर्टी ग्रुप का हिस्सा है जिसे तीन सदस्यीय केंद्रीय IT टीम द्वारा प्रबंधित किया जाता है।

Microsoft Entra ID के साथ एकीकृत Purple का Cloud RADIUS डिप्लॉय करें। EAP-TLS के साथ WPA3-Enterprise का उपयोग करके एक स्टाफ SSID कॉन्फ़िगर करें, Microsoft Intune के माध्यम से सभी स्टाफ डिवाइसों पर क्लाइंट सर्टिफिकेट डिप्लॉय करें। स्टाफ डिवाइसों को डायनेमिक रूप से VLAN 10 पर असाइन करने के लिए server RADIUS को कॉन्फ़िगर करें, जिसके पास प्रॉपर्टी मैनेजमेंट सिस्टम और आंतरिक प्रिंटर तक पहुंच है। ऑनबोर्डिंग के लिए Captive Portal के साथ WPA2-Personal का उपयोग करके एक अलग गेस्ट SSID कॉन्फ़िगर करें, जिसे VLAN 20 पर असाइन किया गया है जिसमें केवल-इंटरनेट एक्सेस और VLAN 10 पर सभी ट्रैफ़िक को ब्लॉक करने वाले सख्त फ़ायरवॉल नियम हैं। Cloud RADIUS एक ही मैनेजमेंट डैशबोर्ड से सभी 45 संपत्तियों को संभालता है, जिसमें ऑटोमेटेड सर्टिफिकेट रोटेशन प्रति-साइट रखरखाव ओवरहेड को समाप्त करता है जो पहले टीम के 40% समय की खपत करता था।

परीक्षक की टिप्पणी: यह परिदृश्य मल्टी-साइट हॉस्पिटैलिटी के लिए Cloud RADIUS के मूल मूल्य को दर्शाता है। server RADIUS EAP-TLS के माध्यम से स्टाफ प्रमाणीकरण को संभालता है, जो संवेदनशील परिचालन प्रणालियों तक पहुँचने वाले उपकरणों के लिए सबसे मजबूत उपलब्ध सुरक्षा प्रदान करता है। Captive Portal गेस्ट ऑनबोर्डिंग को अलग से प्रबंधित करता है, जिसमें VLAN आइसोलेशन यह सुनिश्चित करता है कि गेस्ट नेटवर्क PCI DSS के दायरे से बाहर रहे। 45 संपत्तियों का प्रबंधन करने वाली तीन सदस्यीय टीम के लिए क्लाउड डिप्लॉयमेंट मॉडल निर्णायक कारक है - ऑन-प्रिमाइसेस के लिए बनाए रखने के लिए 45 अलग-अलग इंस्टेंस की आवश्यकता होगी।

50 स्टोर वाली एक रिटेल चेन अपने स्थानीय FreeRADIUS सर्वरों पर समाप्त हो चुके सर्टिफिकेट के कारण बार-बार प्रमाणीकरण आउटेज का सामना कर रही है। POS टैबलेट 802.1X के माध्यम से प्रमाणित होते हैं, और प्रत्येक आउटेज स्टाफ को तब तक भुगतान संसाधित करने से रोकता है जब तक कि सर्टिफिकेट को मैन्युअल रूप से रिन्यू न किया जाए। IT निदेशक अगले पीक ट्रेडिंग पीरियड से पहले इस विफलता मोड को समाप्त करना चाहते हैं।

50 ऑन-प्रिमाइसेस FreeRADIUS इंस्टेंस से एक केंद्रीकृत Cloud RADIUS प्लेटफॉर्म पर माइग्रेट करें। Cloud RADIUS को कॉर्पोरेट Okta डायरेक्टरी के साथ एकीकृत करें। नए Cloud RADIUS एंडपॉइंट्स पर इंगित करने के लिए सभी 50 स्थानों पर एक्सेस पॉइंट कॉन्फ़िगरेशन को अपडेट करें। POS टैबलेट को VLAN 10 (भुगतान नेटवर्क) और स्टाफ डिवाइसों को VLAN 20 (कॉर्पोरेट नेटवर्क) पर रखने के लिए डायनेमिक VLAN असाइनमेंट कॉन्फ़िगर करें। क्लाउड प्रदाता सभी सर्वर सर्टिफिकेट रोटेशन को स्वचालित रूप से संभालता है। अगले ऑडिट चक्र से पहले एक पेनेट्रेशन टेस्ट के साथ भुगतान नेटवर्क और गेस्ट WiFi नेटवर्क के बीच VLAN सेगमेंटेशन को सत्यापित करें।

परीक्षक की टिप्पणी: आउटेज का मूल कारण 50 अलग-अलग ऑन-प्रिमाइसेस इंस्टेंस पर मैन्युअल सर्टिफिकेट प्रबंधन है - जो वितरित रिटेल IT संपत्तियों के लिए एक क्लासिक परिचालन जोखिम है। Cloud RADIUS सर्टिफिकेट लाइफसाइकिल प्रबंधन को स्वचालित करके इसे समाप्त करता है। माइग्रेशन पॉलिसी मैनेजमेंट को भी केंद्रीकृत करता है, जिसका अर्थ है कि एक पॉलिसी परिवर्तन प्रत्येक साइट पर मैन्युअल अपडेट की आवश्यकता के बजाय सभी 50 स्थानों पर एक साथ डिप्लॉय हो जाता है। पेनेट्रेशन टेस्ट की सिफारिश सेगमेंटेशन को केवल कॉन्फ़िगर करने के बजाय उसे सत्यापित करने की PCI DSS आवश्यकता को संबोधित करती है।

अभ्यास प्रश्न

Q1. एक रिटेल वेन्यू PCI DSS v4.0 ऑडिट की तैयारी कर रहा है। वे वर्तमान में स्टाफ POS टैबलेट और गेस्ट एक्सेस दोनों के लिए एक प्री-शेयर्ड की (PSK) के साथ एक सिंगल SSID चला रहे हैं। क्वालिफाइड सिक्योरिटी असेसर ने इसे एक गंभीर कमी के रूप में चिह्नित किया है। तत्काल आवश्यक आर्किटेक्चरल बदलाव क्या है, और इसके समाधान के लिए कौन सा सर्वर RADIUS फीचर मुख्य है?

संकेत: नेटवर्क सेगमेंटेशन और विशिष्ट RADIUS सुविधा पर ध्यान केंद्रित करें जो इसे गतिशील रूप से लागू करती है।

मॉडल उत्तर देखें

वेन्यू को 802.1X ऑथेंटिकेशन लागू करने और शेयर्ड PSK को बदलने के लिए एक सर्वर RADIUS तैनात करना होगा। मुख्य फीचर डायनेमिक VLAN असाइनमेंट है: सर्वर RADIUS को POS टैबलेट को पेमेंट VLAN पर और गेस्ट्स को एक आइसोलेटेड इंटरनेट-ओनली VLAN पर रखने के लिए कॉन्फ़िगर किया जाना चाहिए, जिसमें उनके बीच किसी भी ट्रैफ़िक को रोकने वाले सख्त फ़ायरवॉल नियम हों। गेस्ट SSID को ऑनबोर्डिंग के लिए एक Captive Portal का उपयोग करना चाहिए। PCI DSS आवश्यकता 11 को पूरा करने के लिए केवल कॉन्फ़िगरेशन समीक्षा ही नहीं, बल्कि पेनेट्रेशन टेस्ट के साथ सेगमेंटेशन को प्रमाणित किया जाना चाहिए।

Q2. 30 ब्रांच ऑफिस वाला एक एंटरप्राइज Cloud RADIUS और ऑन-प्रिमाइसेस सर्वर RADIUS के बीच निर्णय ले रहा है। उनके पास चार इंजीनियरों की एक छोटी सेंट्रलाइज्ड IT टीम है, वे आइडेंटिटी मैनेजमेंट के लिए Okta का उपयोग करते हैं, और उनकी कोई डेटा सॉवरिनिटी आवश्यकताएं नहीं हैं। कौन सा डिप्लॉयमेंट मॉडल अनुशंसित है, और इसका प्राथमिक ऑपरेशनल औचित्य क्या है?

संकेत: 30 अलग-अलग इंस्टेंस के प्रबंधन के रखरखाव ओवरहेड बनाम एक सेंट्रलाइज्ड क्लाउड सेवा का मूल्यांकन करें।

मॉडल उत्तर देखें

Cloud RADIUS की दृढ़ता से सिफारिश की जाती है। 30 साइटों और चार इंजीनियरों के साथ, 30 ऑन-प्रिमाइसेस सर्वर RADIUS इंस्टेंस को तैनात और बनाए रखना टीम की क्षमता का एक बड़ा हिस्सा खर्च कर देगा। Cloud RADIUS नेटिव रूप से Okta के साथ इंटीग्रेट होता है, सर्टिफिकेट रोटेशन को ऑटोमेट करता है, और टीम को अंडरलाइंग इन्फ्रास्ट्रक्चर को मैनेज करने की आवश्यकता के बिना इन-बिल्ट हाई अवेलेबिलिटी प्रदान करता है। डेटा सॉवरिनिटी आवश्यकताओं की अनुपस्थिति ऑन-प्रिमाइसेस के प्राथमिक औचित्य को समाप्त करती है। टीम को WAN डिपेंडेंसी को सुचारू रूप से संभालने के लिए फॉलबैक पॉलिसी के साथ एक्सेस पॉइंट्स को कॉन्फ़िगर करना चाहिए।

Q3. PEAP-MSCHAPv2 डिप्लॉयमेंट के दौरान, उपयोगकर्ता कॉर्पोरेट WiFi SSID से कनेक्ट करते समय अपने डिवाइस पर सुरक्षा प्रमाणपत्र (सर्टिफिकेट) चेतावनियों की रिपोर्ट करते हैं। कुछ उपयोगकर्ता चेतावनियों को खारिज कर रहे हैं और फिर भी कनेक्ट हो रहे हैं। सुरक्षा जोखिम क्या है, और कौन सा कॉन्फ़िगरेशन चरण छूट गया है?

संकेत: विचार करें कि क्या होता है जब कोई क्लाइंट सर्वर सर्टिफिकेट को वैलिडेट नहीं करता है, और कोई हमलावर इसका फायदा कैसे उठा सकता है।

मॉडल उत्तर देखें

सुरक्षा जोखिम एक रॉग एक्सेस पॉइंट हमला है। एनफोर्स्ड सर्टिफिकेट वैलिडेशन के बिना, एक क्लाइंट डिवाइस किसी भी सर्वर RADIUS से कनेक्ट हो जाएगा जो रिस्पॉन्स देता है - जिसमें हमलावर द्वारा संचालित सर्वर भी शामिल है। हमलावर एक नकली सर्टिफिकेट प्रस्तुत करता है, उपयोगकर्ता चेतावनी को खारिज कर देता है, और हमलावर PEAP टनल के अंदर यूजरनेम और पासवर्ड को कैप्चर कर लेता है। छूटा हुआ कॉन्फ़िगरेशन चरण MDM प्रोफाइल (macOS और मोबाइल के लिए) और ग्रुप पॉलिसी ऑब्जेक्ट्स (Windows के लिए) को तैनात करना है जो स्पष्ट रूप से विश्वसनीय सर्टिफिकेट अथॉरिटी और अपेक्षित सर्वर नाम को निर्दिष्ट करते हैं। उपयोगकर्ताओं को कभी भी सर्टिफिकेट ट्रस्ट के निर्णय मैन्युअल रूप से लेने के लिए नहीं छोड़ना चाहिए।

Q4. 68,000 सीटों वाले एक स्टेडियम को एक बड़े इवेंट के दौरान स्टाफ उपकरणों को प्रमाणित करने की आवश्यकता है जहां 30 मिनट की अवधि के भीतर 40,000 डिवाइस कनेक्ट करने का प्रयास कर सकते हैं। IT टीम के पास सख्त डेटा सॉवरिनिटी आवश्यकताएं हैं: सभी ऑथेंटिकेशन लॉग UK की धरती पर ही रहने चाहिए। कौन सा डिप्लॉयमेंट मॉडल अनुशंसित है, और कौन सा विशिष्ट आर्किटेक्चर बर्स्ट ट्रैफ़िक आवश्यकता को हल करता है?

संकेत: बर्स्ट कंडीशंस के तहत क्लाउड-रूटेड रिक्वेस्ट्स बनाम लोकल ऑथेंटिकेशन के लेटेंसी और थ्रूपुट लाभों पर विचार करें।

मॉडल उत्तर देखें

डेटा संप्रभुता (data sovereignty) की आवश्यकता और अत्यधिक तीव्र प्रमाणीकरण लोड के कारण ऑन-प्रिमाइसेस सर्वर RADIUS की सिफारिश की जाती है। अनुशंसित आर्किटेक्चर एक्टिव-एक्टिव कॉन्फ़िगरेशन में एक दोहरा ऑन-प्रिमाइसेस RADIUS क्लस्टर है, जिसमें यूके के भीतर एक को-लोकेशन सुविधा में एक माध्यमिक क्लस्टर है। स्थानीय प्रमाणीकरण सब-मिलीसेकंड प्रतिक्रिया समय प्रदान करता है और WAN निर्भरता को हटाता है जो तीव्र लोड इवेंट के दौरान बाधा उत्पन्न कर सकता है। एक्टिव-एक्टिव क्लस्टर इंटरनेट कनेक्टिविटी पर निर्भर हुए बिना अतिरेक (redundancy) प्रदान करता है। प्रमाणीकरण लॉग यूके की धरती पर बने रहते हैं, जिससे डेटा संप्रभुता की आवश्यकता पूरी होती है।

इस श्रृंखला में आगे पढ़ें

Aruba ClearPass बनाम Purple WiFi: सुविधाओं और सह-तैनाती (Co-deployment) की तुलना

Aruba ClearPass और Purple WiFi के सह-तैनाती आर्किटेक्चर का विवरण देने वाली एक व्यापक तकनीकी मार्गदर्शिका। इसमें RADIUS प्रॉक्सी कॉन्फ़िगरेशन, डायनेमिक VLAN असाइनमेंट, और एंटरप्राइज़ NAC के साथ सुरक्षित, एनालिटिक्स-संचालित गेस्ट नेटवर्क प्रदान करने के लिए सर्वोत्तम अभ्यास शामिल हैं।

Cisco ISE बनाम Purple WiFi: वे कैसे तुलना करते हैं और एक साथ कैसे काम करते हैं

यह मार्गदर्शिका बताती है कि कैसे Cisco ISE और Purple WiFi एंटरप्राइज़ नेटवर्क में अलग लेकिन पूरक भूमिकाएं निभाते हैं। यह विवरण देता है कि सुरक्षित 802.1X कॉर्पोरेट एक्सेस के लिए Cisco ISE का उपयोग कैसे करें, जबकि GDPR-अनुरूप अतिथि WiFi, मार्केटिंग एनालिटिक्स और CRM एकीकरण के लिए Purple का लाभ उठाएं।

EAP-TLS बनाम EAP-TTLS: आपको कौन सा सर्टिफिकेट-आधारित WiFi प्रोटोकॉल चुनना चाहिए?

यह गाइड IEEE 802.1X के तहत एंटरप्राइज WiFi ऑथेंटिकेशन के लिए EAP-TLS और EAP-TTLS की एक निश्चित और सीधी तुलना प्रदान करता है। यह म्यूचुअल सर्टिफिकेट ऑथेंटिकेशन और सर्वर-ओनली सर्टिफिकेट टनलिंग के बीच आर्किटेक्चरल अंतर को समझाता है, और IT प्रबंधकों, नेटवर्क आर्किटेक्ट्स और CISOs को डिवाइस प्रबंधन क्षमताओं और अनुपालन आवश्यकताओं के आधार पर एक स्पष्ट निर्णय ढांचा देता है। Purple स्टाफ WiFi के लिए EAP-TLS और EAP-TTLS दोनों ऑथेंटिकेशन पाथ का समर्थन करता है, और यह गाइड संगठनों को किसी भी दृष्टिकोण को अपनाने से पहले इंफ्रास्ट्रक्चर के समझौतों को समझने में मदद करता है।