WiFi ऑथेंटिकेशन के लिए RADIUS सर्वर कैसे सेट अप करें

कार्यकारी सारांश

एंटरप्राइज़ परिवेशों के लिए — चाहे वह एक फैला हुआ विश्वविद्यालय परिसर हो, उच्च-घनत्व वाला स्टेडियम हो, या एक वितरित रिटेल चेन हो — WiFi एक्सेस के लिए प्री-शेयर्ड की (PSK) पर निर्भर रहना एक महत्वपूर्ण सुरक्षा जोखिम है। एक भी समझौता किया गया क्रेडेंशियल पूरे नेटवर्क को खतरे में डाल देता है, और एक्सेस रद्द करने के लिए एस्टेट के प्रत्येक डिवाइस का पासवर्ड बदलना पड़ता है। RADIUS (रिमोट ऑथेंटिकेशन डायल-इन यूज़र सर्विस) सर्वर के माध्यम से 802.1X ऑथेंटिकेशन लागू करने से यह समस्या पूरी तरह समाप्त हो जाती है: प्रत्येक उपयोगकर्ता व्यक्तिगत रूप से ऑथेंटिकेट होता है, एक्सेस तुरंत रद्द किया जा सकता है, और नेटवर्क सेगमेंटेशन को डायनामिक रूप से लागू किया जाता है。

यह गाइड IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए RADIUS ऑथेंटिकेशन डिप्लॉय करने का एक निश्चित रोडमैप प्रदान करती है। हम ऑन-प्रिमाइसेस और क्लाउड-होस्टेड डिप्लॉयमेंट के बीच आर्किटेक्चरल ट्रेड-ऑफ़, एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल (EAP) विधियों के कॉन्फ़िगरेशन, और एक्टिव डायरेक्टरी जैसी डायरेक्टरी सेवाओं के साथ एकीकरण को कवर करते हैं। हम यह भी प्रदर्शित करते हैं कि कैसे एक मजबूत ऑथेंटिकेशन लेयर आगंतुकों के लिए निर्बाध एक्सेस प्रदान करने के लिए Guest WiFi समाधानों के साथ एकीकृत होती है, जबकि WiFi Analytics कैप्चर करती है जो आपके नेटवर्क को एक व्यावसायिक इंटेलिजेंस एसेट में बदल देती है।

तकनीकी डीप-डाइव

802.1X आर्किटेक्चर

IEEE 802.1X मानक पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल (PNAC) को परिभाषित करता है। वायरलेस संदर्भ में, इसमें एक साथ काम करने वाली तीन प्राथमिक भूमिकाएँ शामिल हैं:

जब कोई सप्लिकेंट किसी एक्सेस पॉइंट से जुड़ता है, तो AP EAP (एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल) संदेशों को छोड़कर सभी डेटा ट्रैफ़िक को ब्लॉक कर देता है। AP इन EAP संदेशों को RADIUS पैकेट में एनकैप्सुलेट करता है और उन्हें RADIUS सर्वर को अग्रेषित करता है। सर्वर बैकएंड डेटाबेस — आमतौर पर LDAP या एक्टिव डायरेक्टरी — के विरुद्ध क्रेडेंशियल सत्यापित करता है और एक Access-Accept या Access-Reject संदेश लौटाता है। यदि स्वीकार किया जाता है, तो AP पोर्ट को अनब्लॉक कर देता है और क्लाइंट का ट्रैफ़िक स्वतंत्र रूप से प्रवाहित होने लगता है।

EAP विधि चुनना

आपके RADIUS डिप्लॉयमेंट की सुरक्षा काफी हद तक चुनी गई EAP विधि पर निर्भर करती है। एंटरप्राइज़ डिप्लॉयमेंट में दो सबसे प्रचलित विधियाँ हैं:

EAP-TLS (ट्रांसपोर्ट लेयर सिक्योरिटी) गोल्ड स्टैंडर्ड है। इसके लिए RADIUS सर्वर और प्रत्येक क्लाइंट डिवाइस दोनों पर डिजिटल प्रमाणपत्रों की आवश्यकता होती है, जिससे पासवर्ड पूरी तरह समाप्त हो जाते हैं। भले ही कोई हमलावर पूर्ण ऑथेंटिकेशन एक्सचेंज कैप्चर कर ले, निकालने के लिए कोई क्रेडेंशियल नहीं होते हैं। इसका ट्रेड-ऑफ़ प्रशासनिक ओवरहेड है: क्लाइंट प्रमाणपत्रों को डिप्लॉय और प्रबंधित करने के लिए एंडपॉइंट्स पर प्रमाणपत्र वितरित करने हेतु एक कार्यशील पब्लिक की इंफ्रास्ट्रक्चर (PKI) और एक MDM समाधान (जैसे, Microsoft Intune, Jamf) की आवश्यकता होती है।

PEAP-MSCHAPv2 (प्रोटेक्टेड EAP) व्यवहार में सबसे व्यापक रूप से डिप्लॉय की जाने वाली विधि है। यह एक एन्क्रिप्टेड TLS टनल स्थापित करने के लिए सर्वर-साइड प्रमाणपत्र का उपयोग करता है, जिसके अंदर क्लाइंट यूज़रनेम और पासवर्ड के साथ ऑथेंटिकेट करता है। इसे EAP-TLS की तुलना में डिप्लॉय करना काफी आसान है क्योंकि केवल एक प्रमाणपत्र — सर्वर का — प्रबंधित करने की आवश्यकता होती है। हालाँकि, इसमें एक महत्वपूर्ण चेतावनी है: यदि क्लाइंट डिवाइस स्पष्ट रूप से RADIUS सर्वर के प्रमाणपत्र को मान्य करने के लिए कॉन्फ़िगर नहीं किए गए हैं, तो वे दुष्ट (rogue) एक्सेस पॉइंट्स के माध्यम से मैन-इन-द-मिडिल (MitM) हमलों के प्रति संवेदनशील होते हैं।

> महत्वपूर्ण सुरक्षा नोट: क्लाइंट डिवाइस पर सख्त प्रमाणपत्र सत्यापन लागू करने में विफल रहने से PEAP-MSCHAPv2 के सुरक्षा लाभ प्रभावी रूप से शून्य हो जाते हैं। एक हमलावर एक दुष्ट AP डिप्लॉय कर सकता है, एक कपटपूर्ण प्रमाणपत्र प्रस्तुत कर सकता है, और प्लेनटेक्स्ट में उपयोगकर्ता क्रेडेंशियल कैप्चर कर सकता है। यह कोई सैद्धांतिक जोखिम नहीं है — यह एक अच्छी तरह से प्रलेखित हमला वेक्टर है जिसका वास्तविक दुनिया के परिवेशों में शोषण किया गया है।

कार्यान्वयन गाइड

चरण 1: आर्किटेक्चरल निर्णय — ऑन-प्रिमाइसेस बनाम क्लाउड RADIUS

पहला निर्णय यह है कि RADIUS इंफ्रास्ट्रक्चर को कहाँ होस्ट किया जाए। यह मुख्य रूप से एक परिचालन और लागत का प्रश्न है, सुरक्षा का नहीं — दोनों मॉडलों को सुरक्षित रूप से डिप्लॉय किया जा सकता है。

ऑन-प्रिमाइसेस RADIUS (जैसे, Microsoft NPS, FreeRADIUS, Cisco ISE) समर्पित IT कर्मचारियों, मौजूदा ऑन-प्रिमाइसेस डायरेक्टरी इंफ्रास्ट्रक्चर, और सख्त डेटा संप्रभुता या अनुपालन आवश्यकताओं वाले संगठनों के लिए उपयुक्त है। यह ऑथेंटिकेशन के लिए इंटरनेट कनेक्टिविटी पर निर्भर नहीं करता है, जो उन परिवेशों के लिए एक सार्थक लाभ है जहाँ इंटरनेट अपटाइम की गारंटी नहीं दी जा सकती है।

क्लाउड RADIUS तेजी से वितरित परिवेशों के लिए पसंदीदा मॉडल बन रहा है — Retail चेन, Hospitality समूह, और Transport हब जहाँ हर स्थान पर सर्वर डिप्लॉय करना परिचालन रूप से अव्यावहारिक है। क्लाउड RADIUS क्लाउड आइडेंटिटी प्रोवाइडर्स (Azure AD, Google Workspace, Okta) के साथ मूल रूप से एकीकृत होता है और अंतर्निहित उच्च उपलब्धता और वैश्विक स्केलेबिलिटी प्रदान करता है।

चरण 2: RADIUS सर्वर इंस्टॉल और कॉन्फ़िगर करें

Microsoft NPS (Windows-केंद्रित परिवेशों में सबसे आम विकल्प) का उपयोग करके ऑन-प्रिमाइसेस डिप्लॉयमेंट के लिए:

1. सर्वर मैनेजर के माध्यम से नेटवर्क पॉलिसी सर्वर रोल इंस्टॉल करें।
2. उपयोगकर्ता डायल-इन प्रॉपर्टीज़ को पढ़ने की अनुमति देने के लिए NPS सर्वर को एक्टिव डायरेक्टरी में पंजीकृत करें।
3. प्रत्येक एक्सेस पॉइंट या वायरलेस कंट्रोलर के लिए एक RADIUS Client प्रविष्टि बनाएँ, जिसमें AP का IP पता और एक मजबूत, अद्वितीय शेयर्ड सीक्रेट (Shared Secret) निर्दिष्ट हो।
4. एक्सेस के लिए शर्तें (जैसे, उपयोगकर्ता समूह सदस्यता) और बाधाएँ (जैसे, EAP विधि, सेशन टाइमआउट) परिभाषित करने वाली एक Network Policy कॉन्फ़िगर करें।
5. अनुरोधों को स्थानीय रूप से प्रोसेस करने के लिए Connection Request Policy कॉन्फ़िगर करें।

Linux पर FreeRADIUS के लिए:

1. पैकेज मैनेजर के माध्यम से इंस्टॉल करें: sudo apt-get install freeradius freeradius-ldap।
2. RADIUS क्लाइंट (APs) और उनके शेयर्ड सीक्रेट्स को परिभाषित करने के लिए /etc/freeradius/3.0/clients.conf कॉन्फ़िगर करें।
3. अपनी एक्टिव डायरेक्टरी या LDAP सर्वर को पॉइंट करने के लिए /etc/freeradius/3.0/mods-available/ldap में LDAP मॉड्यूल कॉन्फ़िगर करें।
4. LDAP मॉड्यूल सक्षम करें: sudo ln -s /etc/freeradius/3.0/mods-available/ldap /etc/freeradius/3.0/mods-enabled/।
5. /etc/freeradius/3.0/mods-available/eap में EAP विधियाँ परिभाषित करें।

चरण 3: एक्सेस पॉइंट्स कॉन्फ़िगर करें

अपने वायरलेस कंट्रोलर या व्यक्तिगत एक्सेस पॉइंट्स पर:

1. RADIUS सर्वर IP पता(पते) और ऑथेंटिकेशन पोर्ट (डिफ़ॉल्ट: UDP 1812) परिभाषित करें।
2. Shared Secret कॉन्फ़िगर करें — अल्फ़ान्यूमेरिक और विशेष वर्णों को मिलाकर कम से कम 22 वर्णों का उपयोग करें। प्रति स्थान या AP समूह एक अद्वितीय सीक्रेट का उपयोग करें।
3. 802.1X की (key) प्रबंधन के साथ WPA2-Enterprise या WPA3-Enterprise सुरक्षा मोड का उपयोग करने के लिए SSID कॉन्फ़िगर करें।
4. फ़ेलओवर के लिए एक द्वितीयक RADIUS सर्वर कॉन्फ़िगर करें。

चरण 4: डायरेक्टरी एकीकरण

ऑन-प्रिमाइसेस AD एकीकरण के लिए, RADIUS सर्वर को डोमेन से जोड़ा जाना चाहिए या उसके पास LDAP रीड एक्सेस होना चाहिए। सुनिश्चित करें कि LDAP बाइंडिंग के लिए उपयोग किए जाने वाले सर्विस अकाउंट्स के पास न्यूनतम आवश्यक अनुमतियाँ हों। क्लाउड RADIUS के लिए, अपने IdP के साथ API-आधारित सिंक्रोनाइज़ेशन या SAML/OIDC एकीकरण कॉन्फ़िगर करें।

अपनी डायरेक्टरी में स्पष्ट उपयोगकर्ता समूह (user groups) परिभाषित करें, क्योंकि ये ऑथराइज़ेशन पॉलिसियों को संचालित करेंगे। अनुशंसित समूह संरचना:

चरण 5: क्लाइंट कॉन्फ़िगरेशन और प्रमाणपत्र सत्यापन

यह परिचालन रूप से सबसे महत्वपूर्ण कदम है। प्रबंधित उपकरणों पर चुपचाप WiFi कॉन्फ़िगरेशन पुश करने के लिए Windows के लिए ग्रुप पॉलिसी (GPO) और macOS/iOS/Android के लिए MDM प्रोफ़ाइल का उपयोग करें। प्रोफ़ाइल को निर्दिष्ट करना चाहिए:

• Root CA जिसने RADIUS सर्वर का प्रमाणपत्र जारी किया है।
• अपेक्षित सर्वर नाम (सर्वर प्रमाणपत्र का CN या SAN)।
• EAP विधि और आंतरिक ऑथेंटिकेशन प्रोटोकॉल।

अप्रबंधित BYOD उपकरणों के लिए, स्पष्ट स्व-सेवा ऑनबोर्डिंग निर्देश प्रदान करें, आदर्श रूप से नेटवर्क एक्सेस कंट्रोल (NAC) पोर्टल के माध्यम से।

चरण 6: डायनामिक VLAN असाइनमेंट लागू करें

Access-Accept प्रतिक्रिया में VLAN असाइनमेंट एट्रिब्यूट लौटाने के लिए RADIUS सर्वर को कॉन्फ़िगर करें:

• Tunnel-Type = VLAN (13)
• Tunnel-Medium-Type = IEEE-802 (6)
• Tunnel-Private-Group-Id = ``

एक्सेस पॉइंट इन एट्रिब्यूट्स को पढ़ता है और ऑथेंटिकेट किए गए क्लाइंट को निर्दिष्ट VLAN पर रखता है — उपयोगकर्ताओं द्वारा भूमिकाएँ या स्थान बदलने पर किसी मैन्युअल रीकॉन्फ़िगरेशन की आवश्यकता नहीं होती है।

सर्वोत्तम अभ्यास

रिडंडेंसी (Redundancy) पर कोई समझौता नहीं किया जा सकता। कम से कम दो RADIUS सर्वर (प्राथमिक और द्वितीयक) डिप्लॉय करें और स्वचालित रूप से फ़ेलओवर करने के लिए सभी एक्सेस पॉइंट्स को कॉन्फ़िगर करें। ऑन-प्रिमाइसेस डिप्लॉयमेंट के लिए, द्वितीयक सर्वर को एक अलग भौतिक स्थान या उपलब्धता क्षेत्र (availability zone) में रखने पर विचार करें। RADIUS आउटेज का मतलब है कि कोई भी ऑथेंटिकेट नहीं कर सकता है, जो 802.1X-संरक्षित SSIDs के लिए पूर्ण नेटवर्क आउटेज है।

प्रमाणपत्र समाप्ति की सक्रिय रूप से निगरानी करें। RADIUS सर्वर प्रमाणपत्र की समाप्ति अचानक, व्यापक ऑथेंटिकेशन विफलताओं के सबसे आम कारणों में से एक है। समाप्ति से कम से कम 30 दिन पहले प्रशासकों को सचेत करने के लिए निगरानी लागू करें। यह सर्वर प्रमाणपत्र और श्रृंखला में किसी भी मध्यवर्ती CA प्रमाणपत्र दोनों पर लागू होता है।

शेयर्ड सीक्रेट को एक महत्वपूर्ण क्रेडेंशियल मानें। AP और RADIUS सर्वर के बीच का शेयर्ड सीक्रेट RADIUS पैकेट को एन्क्रिप्ट करता है। प्रति स्थान या AP समूह अद्वितीय सीक्रेट्स का उपयोग करें, उन्हें एक सीक्रेट्स मैनेजर में स्टोर करें, और उन्हें समय-समय पर रोटेट करें। व्यापक नेटवर्क सुरक्षा स्वच्छता अनुशंसाओं के लिए Protect Your Network with Strong DNS and Security पर हमारी गाइड देखें।

अनुपालन फ्रेमवर्क के साथ संरेखित करें। PCI DSS (जैसे, रिटेल भुगतान नेटवर्क) के अधीन परिवेशों के लिए, 802.1X ऑथेंटिकेशन सीधे नेटवर्क एक्सेस कंट्रोल और ऑडिट लॉगिंग की आवश्यकताओं का समर्थन करता है। GDPR अनुपालन के लिए, RADIUS अकाउंटिंग लॉग (पोर्ट 1813) इस बात का विस्तृत ऑडिट ट्रेल प्रदान करते हैं कि नेटवर्क को किसने, कहाँ से और कब एक्सेस किया — जो घटना प्रतिक्रिया (incident response) के लिए मूल्यवान है। Healthcare परिवेशों के लिए, डायनामिक VLAN असाइनमेंट के माध्यम से नेटवर्क सेगमेंटेशन इलेक्ट्रॉनिक संरक्षित स्वास्थ्य जानकारी (ePHI) की सुरक्षा के लिए HIPAA आवश्यकताओं का समर्थन करता है।

समस्या निवारण और जोखिम न्यूनीकरण

802.1X कॉन्फ़िगरेशन प्रक्रिया में गहराई से जाने के लिए, How to Configure 802.1X WiFi Authentication: A Step-by-Step Guide विस्तृत, वेंडर-विशिष्ट कॉन्फ़िगरेशन वॉकथ्रू प्रदान करता है।

ROI और व्यावसायिक प्रभाव

PSK से RADIUS-समर्थित 802.1X में संक्रमण के लिए कॉन्फ़िगरेशन में प्रारंभिक निवेश की आवश्यकता होती है, और संभावित रूप से क्लाउड समाधानों के लिए लाइसेंसिंग या ऑन-प्रिमाइसेस डिप्लॉयमेंट के लिए हार्डवेयर की आवश्यकता होती है। ROI का मामला सीधा है:

जोखिम न्यूनीकरण: यूके में डेटा उल्लंघन की औसत लागत £3 मिलियन (IBM कॉस्ट ऑफ़ ए डेटा ब्रीच रिपोर्ट) से अधिक है। एक समझौता किया गया PSK पूरे नेटवर्क को उजागर कर सकता है। 802.1X ब्लास्ट रेडियस को एक ही समझौता किए गए उपयोगकर्ता खाते तक सीमित कर देता है, जिसे डायरेक्टरी के माध्यम से सेकंडों में अक्षम किया जा सकता है।

परिचालन दक्षता: डायनामिक VLAN असाइनमेंट कर्मचारियों की भूमिकाएँ बदलने पर मैन्युअल नेटवर्क रीकॉन्फ़िगरेशन को समाप्त कर देता है। एक नए कर्मचारी को ऑनबोर्ड करने का अर्थ है उन्हें सही AD समूह में जोड़ना — नेटवर्क एक्सेस स्वचालित रूप से अनुसरण करता है।

अनुपालन स्थिति: PCI DSS, ISO 27001, या Cyber Essentials Plus के अधीन संगठनों के लिए, 802.1X एक सीधा नियंत्रण है जिसे ऑडिटर देखने की अपेक्षा करते हैं। इसे डिप्लॉय करने से आपकी अनुपालन स्थिति मजबूत होती है और ऑडिट सुधार लागत कम होती है।

अतिथि अनुभव और एनालिटिक्स: वेन्यू ऑपरेटरों के लिए, आगंतुक एक्सेस के लिए Purple के Guest WiFi प्लेटफ़ॉर्म के साथ कर्मचारियों के ऑथेंटिकेशन के लिए RADIUS को एकीकृत करना एक एकीकृत, टियर एक्सेस मॉडल बनाता है। कर्मचारी 802.1X के माध्यम से चुपचाप ऑथेंटिकेट होते हैं; अतिथि एक ब्रांडेड Captive Portal के माध्यम से जुड़ते हैं। Purple का WiFi Analytics प्लेटफ़ॉर्म तब आगंतुक ड्वेल टाइम (dwell times), बार-बार आने की दरों और एंगेजमेंट मेट्रिक्स में रीयल-टाइम दृश्यता प्रदान करता है — ऐसा डेटा जो सीधे मार्केटिंग खर्च और वेन्यू संचालन निर्णयों को सूचित करता है।

आगे पढ़ने के लिए, पुर्तगाली भाषा में कार्यान्वयन मार्गदर्शन के लिए Como Configurar a Autenticação 802.1X WiFi: Um Guia Passo a Passo देखें, और अंतर्निहित कनेक्टिविटी एंटरप्राइज़ आवश्यकताओं को पूरा करती है यह सुनिश्चित करने के मार्गदर्शन के लिए What Is a Leased Line? Dedicated Business Internet देखें。