मुख्य सामग्री पर जाएं
हिन्दी

RADIUS ऑथेंटिकेशन क्या है और यह कैसे काम करता है?

यह गाइड एंटरप्राइज़ और गेस्ट WiFi डिप्लॉयमेंट का प्रबंधन करने वाले IT लीडर्स के लिए RADIUS ऑथेंटिकेशन पर एक निश्चित तकनीकी संदर्भ प्रदान करती है। यह AAA प्रोटोकॉल को स्पष्ट करती है, समझाती है कि 802.1X और EAP तरीके एक साथ कैसे काम करते हैं, और विस्तार से बताती है कि Purple का क्लाउड-आधारित प्लेटफ़ॉर्म होटल, रिटेल चेन, स्टेडियम और सार्वजनिक क्षेत्र के संगठनों के लिए डिप्लॉयमेंट को कैसे सरल बनाता है। पाठकों को एक स्पष्ट इम्प्लीमेंटेशन रोडमैप, वास्तविक दुनिया की केस स्टडीज़, और असुरक्षित प्री-शेयर्ड कीज़ से एक मज़बूत, पहचान-संचालित नेटवर्क एक्सेस कंट्रोल आर्किटेक्चर में माइग्रेट करने के लिए आवश्यक निर्णय फ्रेमवर्क मिलेंगे।

📖 6 मिनट का पाठ📝 1,416 शब्द🔧 2 हल किए गए उदाहरण3 अभ्यास प्रश्न📚 10 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें
### RADIUS ऑथेंटिकेशन क्या है और यह कैसे काम करता है? — Purple टेक्निकल ब्रीफिंग **[परिचय — 1 मिनट]** Purple टेक्निकल ब्रीफिंग में आपका स्वागत है। मैं आपका होस्ट हूँ, और अगले दस मिनट में, हम एंटरप्राइज़ नेटवर्क सुरक्षा के लिए सबसे महत्वपूर्ण तकनीकों में से एक को स्पष्ट करने जा रहे हैं: RADIUS ऑथेंटिकेशन। यदि आप एक IT मैनेजर, नेटवर्क आर्किटेक्ट, या किसी बड़े वेन्यू — होटल, रिटेल चेन, स्टेडियम, या कॉन्फ्रेंस सेंटर — में WiFi के लिए ज़िम्मेदार CTO हैं, तो यह ब्रीफिंग विशेष रूप से आपके लिए है। हम तकनीकी शब्दों (jargon) को दूर करेंगे, आर्किटेक्चर को स्पष्ट रूप से समझाएँगे, और आपको वे व्यावहारिक अंतर्दृष्टि देंगे जिनकी आपको इसी तिमाही में सूचित निर्णय लेने के लिए आवश्यकता है। आइए बड़ी तस्वीर से शुरू करते हैं। यह सब क्यों मायने रखता है? यदि आप अभी भी अपने गेस्ट या स्टाफ WiFi को एक सिंगल शेयर्ड पासवर्ड — एक प्री-शेयर्ड की, या PSK — पर चला रहे हैं, तो आप एक महत्वपूर्ण और बढ़ते सुरक्षा जोखिम के साथ काम कर रहे हैं। वह पासवर्ड शेयर किया जाता है, रसीदों पर लिखा जाता है, व्हाइटबोर्ड पर फोटो खींचा जाता है, और मैसेजिंग ऐप्स के माध्यम से फॉरवर्ड किया जाता है। एक बार जब यह बाहर हो जाता है, तो आपके पास इस बात की कोई विज़िबिलिटी नहीं होती है कि आपके नेटवर्क पर कौन है, सभी को बाधित किए बिना किसी एक यूज़र के लिए एक्सेस रद्द करने की कोई क्षमता नहीं होती है, और यदि कुछ गलत होता है तो कोई ऑडिट ट्रेल नहीं होता है। PCI DSS, GDPR, या HIPAA के अधीन संगठनों के लिए, यह केवल एक तकनीकी समस्या नहीं है। यह एक कंप्लायंस दायित्व (liability) है。 RADIUS वह समाधान है जिस पर इंडस्ट्री ने इसे संबोधित करने के लिए सहमति व्यक्त की है। तो आइए समझते हैं कि यह वास्तव में क्या है और यह कैसे काम करता है। **[तकनीकी डीप-डाइव — 5 मिनट]** RADIUS का अर्थ Remote Authentication Dial-In User Service है। यह नाम डायल-अप इंटरनेट के शुरुआती दिनों की एक ऐतिहासिक कलाकृति (artefact) है, लेकिन प्रोटोकॉल काफी विकसित हुआ है और आज एंटरप्राइज़ नेटवर्क एक्सेस कंट्रोल की रीढ़ बना हुआ है। इसके मूल में, RADIUS एक केंद्रीकृत सर्वर-आधारित सिस्टम है जो AAA — Authentication, Authorization, और Accounting नामक फ्रेमवर्क का उपयोग करके नेटवर्क एक्सेस का प्रबंधन करता है। ये तीन स्तंभ उस हर चीज़ की नींव हैं जिस पर हम आज चर्चा करेंगे। Authentication पहला स्तंभ है: यह सत्यापित करना कि कोई व्यक्ति कौन है। Authorization दूसरा है: यह निर्धारित करना कि उन्हें क्या करने की अनुमति है। और Accounting तीसरा है: यह रिकॉर्ड करना कि उन्होंने वास्तव में क्या किया। आइए प्रत्येक का अन्वेषण करें। Authentication. जब कोई यूज़र WPA2-Enterprise या WPA3-Enterprise से सुरक्षित WiFi नेटवर्क से कनेक्ट करने का प्रयास करता है, तो उनका डिवाइस — जिसे हम Supplicant कहते हैं — वायरलेस एक्सेस पॉइंट को कनेक्शन रिक्वेस्ट भेजता है। एक्सेस पॉइंट, जिसे हम Authenticator कहते हैं, स्वयं ऑथेंटिकेशन का निर्णय नहीं लेता है। यह एक रिले के रूप में कार्य करता है, रिक्वेस्ट को RADIUS सर्वर को फॉरवर्ड करता है। RADIUS सर्वर फिर कॉन्फ़िगर किए गए आइडेंटिटी सोर्स के विरुद्ध यूज़र की पहचान को वैलिडेट करता है। यह Microsoft Active Directory, Azure Active Directory, Google Workspace, Okta, या एक लोकल यूज़र डेटाबेस हो सकता है। आइडेंटिटी सोर्स इस बात का सिंगल सोर्स ऑफ़ ट्रुथ है कि आपके नेटवर्क पर किसे अनुमति है। RADIUS सर्वर कई तरीकों से पहचान को वैलिडेट कर सकता है। एंटरप्राइज़ वातावरण में सबसे आम क्रेडेंशियल-आधारित तरीके हैं, जहाँ यूज़र एक यूज़रनेम और पासवर्ड प्रदान करता है, और सर्टिफ़िकेट-आधारित तरीके हैं, जहाँ यूज़र का डिवाइस एक डिजिटल सर्टिफ़िकेट प्रस्तुत करता है। हम जल्द ही प्रत्येक के सुरक्षा निहितार्थों (implications) के बारे में बात करेंगे। Authorization. एक बार यूज़र ऑथेंटिकेट हो जाने के बाद, RADIUS सर्वर केवल हाँ नहीं कहता और किनारे नहीं हट जाता। यह एक्सेस पॉइंट को यह भी बताता है कि इस यूज़र के साथ वास्तव में क्या करना है। यह एट्रिब्यूट्स का एक सेट — अनिवार्य रूप से निर्देश — वापस भेजता है जो यूज़र के नेटवर्क अनुभव को परिभाषित करते हैं। इनमें से सबसे महत्वपूर्ण आमतौर पर VLAN असाइनमेंट होता है। RADIUS सर्वर कह सकता है: यह यूज़र कॉर्पोरेट स्टाफ ग्रुप का सदस्य है, उन्हें VLAN दस असाइन करें, जिसके पास इंटरनल फ़ाइल सर्वर्स और प्रिंटर्स तक एक्सेस है। या: यह यूज़र एक गेस्ट है, उन्हें VLAN बीस असाइन करें, जिसके पास केवल इंटरनेट एक्सेस है और यह कॉर्पोरेट नेटवर्क से पूरी तरह से अलग है। यह डायनामिक VLAN असाइनमेंट RADIUS की सबसे शक्तिशाली विशेषताओं में से एक है, और यह वह तंत्र है जो उचित नेटवर्क सेगमेंटेशन को सक्षम बनाता है। Accounting. तीसरे स्तंभ को अक्सर अनदेखा कर दिया जाता है, लेकिन यह कंप्लायंस और ऑपरेशन्स के लिए गंभीर रूप से महत्वपूर्ण है। जैसे-जैसे यूज़र का सेशन आगे बढ़ता है, RADIUS सर्वर महत्वपूर्ण जानकारी लॉग करता है: उनके कनेक्ट होने का समय, उनके डिस्कनेक्ट होने का समय, कुल सेशन अवधि, उनके द्वारा ट्रांसफर किए गए डेटा की मात्रा, और उनके डिवाइस का MAC एड्रेस। यह आपके नेटवर्क पर हर कनेक्शन के लिए एक विस्तृत ऑडिट ट्रेल बनाता है। PCI DSS 4.0 के तहत, इस प्रकार की लॉगिंग वैकल्पिक नहीं है — यह एक सख्त आवश्यकता है। और किसी सुरक्षा घटना की स्थिति में, ये लॉग्स फोरेंसिक जाँच के लिए अमूल्य हैं। अब, आइए उस तकनीकी मानक के बारे में बात करते हैं जो इस सब को काम करने योग्य बनाता है: IEEE 802.1X। 802.1X वह मानक है जो पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल को परिभाषित करता है। यह वह प्रोटोकॉल है जो एक एक्सेस पॉइंट को किसी डिवाइस से सभी नेटवर्क ट्रैफ़िक को तब तक ब्लॉक करने की अनुमति देता है जब तक कि RADIUS सर्वर यह पुष्टि नहीं कर देता कि डिवाइस ऑथराइज़्ड है। यूज़र के डिवाइस और एक्सेस पॉइंट के बीच संचार EAP — Extensible Authentication Protocol नामक प्रोटोकॉल का उपयोग करता है। EAP अनिवार्य रूप से एक फ्रेमवर्क है जो कई ऑथेंटिकेशन तरीकों का समर्थन करता है। एंटरप्राइज़ WiFi में तीन सबसे आम EAP तरीके हैं: PEAP, जिसका अर्थ Protected Extensible Authentication Protocol है; EAP-TTLS; और EAP-TLS। PEAP और EAP-TTLS क्रेडेंशियल-आधारित तरीके हैं। वे डिवाइस और RADIUS सर्वर के बीच एक एन्क्रिप्टेड टनल बनाते हैं, और फिर यूज़र के यूज़रनेम और पासवर्ड को उस टनल के अंदर सत्यापित किया जाता है। उन्हें डिप्लॉय करना अपेक्षाकृत आसान है और वे उन वातावरणों में अच्छी तरह से काम करते हैं जहाँ आप अभी तक पूर्ण सर्टिफ़िकेट इंफ्रास्ट्रक्चर के लिए तैयार नहीं हैं। EAP-TLS गोल्ड स्टैंडर्ड है। यह सर्टिफ़िकेट-आधारित है, जिसका अर्थ है कि सर्वर और क्लाइंट डिवाइस दोनों एक-दूसरे को ऑथेंटिकेट करने के लिए डिजिटल सर्टिफ़िकेट प्रस्तुत करते हैं। इसमें कोई पासवर्ड शामिल नहीं है। यह क्रेडेंशियल चोरी, फ़िशिंग हमलों और मैन-इन-द-मिडल हमलों के जोखिम को पूरी तरह से समाप्त कर देता है। कॉर्पोरेट डिवाइसेज़ के लिए, EAP-TLS वह ऑथेंटिकेशन तरीका है जिसकी दिशा में आपको काम करना चाहिए। **[इम्प्लीमेंटेशन और कमियाँ — 2 मिनट]** तो आप वास्तव में इस सब को कैसे डिप्लॉय करते हैं? मैं आपको प्रमुख चरणों के बारे में बताता हूँ। पहला, अपना RADIUS सर्वर चुनें। आप एक ऑन-प्रिमाइसेस सर्वर डिप्लॉय कर सकते हैं — Windows वातावरण में Microsoft का Network Policy Server एक आम विकल्प है — या क्लाउड-आधारित RADIUS सर्विस का उपयोग कर सकते हैं। Purple द्वारा पेश किए गए क्लाउड RADIUS प्लेटफ़ॉर्म, ऑपरेशनल ओवरहेड के बिना पूरी तरह से प्रबंधित, अत्यधिक उपलब्ध इंफ्रास्ट्रक्चर प्रदान करते हैं। मल्टी-साइट संगठनों के लिए, क्लाउड दृष्टिकोण लगभग हमेशा सही विकल्प होता है। दूसरा, अपने आइडेंटिटी सोर्स को इंटीग्रेट करें। अपने RADIUS सर्वर को अपने संगठन की आइडेंटिटी डायरेक्टरी से कनेक्ट करें। अधिकांश आधुनिक क्लाउड RADIUS प्लेटफ़ॉर्म Azure AD, Google Workspace, और Okta के साथ सीधे इंटीग्रेशन का समर्थन करते हैं। तीसरा, अपना नेटवर्क हार्डवेयर कॉन्फ़िगर करें। WPA2-Enterprise या WPA3-Enterprise के लिए कॉन्फ़िगर किया गया एक नया SSID बनाएँ और इसे अपने RADIUS सर्वर पर पॉइंट करें। आप एक शेयर्ड सीक्रेट भी कॉन्फ़िगर करेंगे — एक पासवर्ड जो एक्सेस पॉइंट और RADIUS सर्वर के बीच संचार को एन्क्रिप्ट करता है। यह शेयर्ड सीक्रेट दोनों तरफ बिल्कुल मेल खाना चाहिए। यहाँ बेमेल होना शुरुआती डिप्लॉयमेंट के दौरान ऑथेंटिकेशन विफलताओं के सबसे आम कारणों में से एक है。 चौथा, अपनी ऑथराइज़ेशन पॉलिसीज़ परिभाषित करें। यूज़र ग्रुप्स को नेटवर्क पॉलिसीज़ से मैप करें — स्टाफ को VLAN दस पर पूर्ण एक्सेस मिलता है, गेस्ट्स को VLAN बीस पर केवल इंटरनेट एक्सेस मिलता है। पाँचवाँ, अपने यूज़र्स को ऑनबोर्ड करें। कॉर्पोरेट स्टाफ के लिए, अपने MDM प्लेटफ़ॉर्म के माध्यम से WiFi प्रोफ़ाइल डिप्लॉय करें। गेस्ट्स के लिए, एक Captive Portal का उपयोग करें। Purple का प्लेटफ़ॉर्म गेस्ट ऑनबोर्डिंग फ़्लो को ऑटोमेट करता है, जो सोशल मीडिया लॉगिन, रजिस्ट्रेशन फ़ॉर्म और वाउचर कोड का समर्थन करता है। **[रैपिड-फ़ायर Q&A — 1 मिनट]** आइए उन सवालों पर एक रैपिड-फ़ायर Q&A करते हैं जो हम सबसे अधिक सुनते हैं। पहला: RADIUS और Captive Portal के बीच क्या अंतर है? Captive Portal वह लॉगिन पेज है जिसे गेस्ट्स कनेक्ट होने पर देखते हैं। यह RADIUS के साथ काम करता है। पोर्टल यूज़र इंटरफ़ेस है; RADIUS बैक-एंड इंजन है। दूसरा: क्या मैं वायर्ड नेटवर्क के लिए RADIUS का उपयोग कर सकता हूँ? बिल्कुल। 802.1X मानक वायर्ड ईथरनेट और वायरलेस नेटवर्क पर समान रूप से लागू होता है। तीसरा: क्या RADIUS को सेट अप करना मुश्किल है? इसकी जटिलता के लिए एक प्रतिष्ठा है, लेकिन आधुनिक क्लाउड प्लेटफ़ॉर्म ने इसे नाटकीय रूप से बदल दिया है। Purple जैसी प्रबंधित सेवा के साथ, आप एक प्रोडक्शन-रेडी RADIUS डिप्लॉयमेंट को तेज़ी से चालू कर सकते हैं। **[सारांश और अगले कदम — 1 मिनट]** संक्षेप में: RADIUS वह केंद्रीकृत प्रोटोकॉल है जो एंटरप्राइज़ WiFi सुरक्षा को शक्ति प्रदान करता है। यह आपको इस बात पर ग्रैन्युलर नियंत्रण देने के लिए AAA फ्रेमवर्क लागू करता है कि आपके नेटवर्क तक कौन पहुँच सकता है, वे क्या कर सकते हैं, और उनकी गतिविधि का एक पूरा ऑडिट ट्रेल। वेन्यू ऑपरेटरों, होटल व्यवसायियों, खुदरा विक्रेताओं और सार्वजनिक क्षेत्र के संगठनों के लिए, RADIUS डिप्लॉय करना एक सुरक्षित, कंप्लायंट और पेशेवर रूप से प्रबंधित WiFi इंफ्रास्ट्रक्चर बनाने में मूलभूत कदम है। आपका अगला कदम स्पष्ट है: यदि आप अभी भी प्री-शेयर्ड कीज़ पर चल रहे हैं, तो आज ही अपने माइग्रेशन की योजना बनाना शुरू करें। WPA3-Enterprise समर्थन के लिए अपने वर्तमान हार्डवेयर की समीक्षा करें, अपने आइडेंटिटी डायरेक्टरी इंटीग्रेशन विकल्पों का आकलन करें, और एक क्लाउड RADIUS प्लेटफ़ॉर्म का अन्वेषण करें जो आपके संगठन के साथ स्केल कर सके। इस Purple टेक्निकल ब्रीफिंग में हमारे पास बस इतना ही समय है। सुनने के लिए धन्यवाद। Purple आपके वेन्यूज़ में सुरक्षित, इंटेलिजेंट WiFi डिप्लॉय करने में आपकी कैसे मदद कर सकता है, इसके बारे में अधिक जानने के लिए, purple dot ai पर जाएँ। अगली बार तक, सुरक्षित रहें।

header_image.png

कार्यकारी सारांश

मल्टी-साइट वेन्यू — होटल, रिटेल चेन, स्टेडियम और कॉन्फ्रेंस सेंटर — के IT लीडर्स के लिए, रोज़ाना हज़ारों यूज़र्स को सुरक्षित और विश्वसनीय WiFi एक्सेस प्रदान करना एक मिशन-क्रिटिकल सर्विस है, जिसमें महत्वपूर्ण ऑपरेशनल और रेगुलेटरी जोखिम शामिल हैं। गेस्ट और स्टाफ नेटवर्क के लिए सिंगल प्री-शेयर्ड की (PSK) का उपयोग करने का पुराना तरीका अब एक सुरक्षित दृष्टिकोण नहीं है। यह संगठनों को PCI DSS और GDPR के तहत अनुपालन उल्लंघनों, ऑपरेशनल रुकावटों और संभावित उल्लंघनों से होने वाले प्रतिष्ठा के नुकसान के जोखिम में डालता है。

आधुनिक, इंडस्ट्री-स्टैंडर्ड समाधान RADIUS (Remote Authentication Dial-In User Service) प्रोटोकॉल के माध्यम से नेटवर्क एक्सेस कंट्रोल को केंद्रीकृत करना है। RADIUS नेटवर्क सुरक्षा के तीन स्तंभों — Authentication, Authorization, और Accounting (AAA) — के लिए एक मज़बूत फ्रेमवर्क प्रदान करता है, जो हर यूज़र और डिवाइस के लिए पहचान-आधारित एक्सेस लागू करता है। Azure AD, Google Workspace, या Okta जैसी मौजूदा आइडेंटिटी डायरेक्टरी के साथ इंटीग्रेट करके, RADIUS यह सुनिश्चित करता है कि केवल अधिकृत व्यक्ति ही कनेक्ट हो सकें, और उनका एक्सेस उनके रोल के अनुसार सटीक रूप से निर्धारित हो।

यह गाइड RADIUS, अंतर्निहित IEEE 802.1X मानक, और Purple का WiFi इंटेलिजेंस प्लेटफ़ॉर्म डिप्लॉयमेंट की जटिलता को कैसे दूर करता है, इसका एक व्यावहारिक, कार्रवाई योग्य अवलोकन प्रदान करती है। यह उन नेटवर्क आर्किटेक्ट्स और IT मैनेजर्स के लिए लिखी गई है जिन्हें अगले साल नहीं, बल्कि इसी तिमाही में इम्प्लीमेंटेशन के निर्णय लेने हैं।

aaa_protocol_diagram.png

तकनीकी डीप-डाइव

AAA फ्रेमवर्क: Authentication, Authorization, और Accounting

RADIUS क्लाइंट-सर्वर मॉडल पर काम करता है और AAA फ्रेमवर्क के इर्द-गिर्द बना है, जो नेटवर्क सुरक्षा में एक मूलभूत अवधारणा है। सफल डिप्लॉयमेंट के लिए प्रत्येक घटक को समझना आवश्यक है।

Authentication किसी यूज़र की पहचान सत्यापित करने की प्रक्रिया है। जब कोई यूज़र WPA2/WPA3-Enterprise से सुरक्षित WiFi नेटवर्क से कनेक्ट करने का प्रयास करता है, तो उनका डिवाइस — Supplicant — वायरलेस एक्सेस पॉइंट — Authenticator — को क्रेडेंशियल्स भेजता है। Authenticator स्वयं एक्सेस का निर्णय नहीं लेता है; यह रिक्वेस्ट को RADIUS सर्वर को फॉरवर्ड कर देता है। RADIUS सर्वर इन क्रेडेंशियल्स को कॉन्फ़िगर किए गए आइडेंटिटी सोर्स: Microsoft Active Directory, Okta जैसे क्लाउड IdP, या लोकल यूज़र डेटाबेस के विरुद्ध वैलिडेट करता है। वैलिडेशन में यूज़रनेम और पासवर्ड कॉम्बिनेशन का उपयोग किया जा सकता है या, काफी मज़बूत सुरक्षा के लिए, EAP-TLS जैसे EAP तरीके के माध्यम से डिजिटल सर्टिफ़िकेट का उपयोग किया जा सकता है।

Authorization यह निर्धारित करता है कि एक ऑथेंटिकेटेड यूज़र को क्या करने की अनुमति है। नेटवर्क एडमिनिस्ट्रेटर द्वारा परिभाषित पॉलिसीज़ के आधार पर, RADIUS सर्वर Authenticator को विशिष्ट एट्रिब्यूट्स लौटाता है। ये एट्रिब्यूट्स VLAN असाइनमेंट (गेस्ट ट्रैफ़िक को कॉर्पोरेट ट्रैफ़िक से अलग करना), बैंडविड्थ लिमिट्स और दिन के समय के एक्सेस प्रतिबंधों को तय करते हैं। यह ग्रैन्युलर, डायनामिक पॉलिसी एन्फोर्समेंट स्थिर PSK-आधारित सिस्टम्स पर RADIUS के मुख्य लाभों में से एक है।

Accounting पूरे सेशन के दौरान यूज़र की गतिविधि को ट्रैक करता है। RADIUS सर्वर कनेक्शन टाइमस्टैम्प, सेशन की अवधि, ट्रांसफर किया गया डेटा और डिवाइस के MAC एड्रेस को लॉग करता है। यह ऑडिट ट्रेल ट्रबलशूटिंग, कैपेसिटी प्लानिंग और कंप्लायंस रिपोर्टिंग के लिए अमूल्य है। PCI DSS 4.0 के तहत, नेटवर्क रिसोर्सेज़ के सभी एक्सेस की लॉगिंग और मॉनिटरिंग एक अनिवार्य नियंत्रण है。

radius_architecture_overview.png

RADIUS और 802.1X एक साथ कैसे काम करते हैं

IEEE 802.1X मानक पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल को परिभाषित करता है। WiFi के संदर्भ में, 802.1X एक एक्सेस पॉइंट को किसी डिवाइस से सभी ट्रैफ़िक — ऑथेंटिकेशन मैसेजेज़ को छोड़कर — को तब तक ब्लॉक करने में सक्षम बनाता है जब तक कि RADIUS सर्वर ऑथराइज़ेशन की पुष्टि नहीं कर देता। Supplicant और Authenticator के बीच संचार Extensible Authentication Protocol (EAP) का उपयोग करता है, जिसे LAN पर EAPOL (EAP over LAN) के रूप में ले जाया जाता है। Authenticator फिर RADIUS प्रोटोकॉल का उपयोग करके इसे RADIUS सर्वर को रिले करता है।

EAP तरीके का चुनाव एक महत्वपूर्ण सुरक्षा निर्णय है:

EAP तरीका ऑथेंटिकेशन का प्रकार सुरक्षा स्तर अनुशंसित उपयोग का मामला
EAP-TLS सर्टिफ़िकेट-आधारित उच्चतम कॉर्पोरेट प्रबंधित डिवाइस — गोल्ड स्टैंडर्ड
PEAP-MSCHAPv2 क्रेडेंशियल-आधारित मध्यम सर्टिफ़िकेट्स में ट्रांज़िशन करने वाले Windows-बहुल वातावरण
EAP-TTLS/PAP क्रेडेंशियल-आधारित मध्यम लिगेसी डिवाइस सपोर्ट वाले मिक्स्ड-OS वातावरण

कॉर्पोरेट डिवाइसेज़ के लिए, EAP-TLS लक्षित स्थिति है। यह म्यूचुअल सर्टिफ़िकेट ऑथेंटिकेशन का उपयोग करता है — क्लाइंट और सर्वर दोनों सर्टिफ़िकेट प्रस्तुत करते हैं — जो पासवर्ड और क्रेडेंशियल चोरी और फ़िशिंग के संबंधित जोखिमों को पूरी तरह से समाप्त कर देता है।

RADIUS पोर्ट्स और ट्रांसपोर्ट

डिफ़ॉल्ट रूप से, RADIUS ऑथेंटिकेशन और ऑथराइज़ेशन के लिए UDP पोर्ट 1812, और अकाउंटिंग के लिए UDP पोर्ट 1813 का उपयोग करता है। कुछ लिगेसी डिप्लॉयमेंट पोर्ट 1645 और 1646 का उपयोग करते हैं। RFC 6613 के बाद से, RADIUS TLS (RadSec) के साथ TCP पर भी काम कर सकता है, जिसका उपयोग बेहतर ट्रांसपोर्ट सुरक्षा के लिए क्लाउड डिप्लॉयमेंट में तेज़ी से किया जा रहा है।

इम्प्लीमेंटेशन गाइड

PSK से RADIUS में ट्रांज़िशन: एक पाँच-चरणीय रोडमैप

चरण 1: अपना RADIUS इंफ्रास्ट्रक्चर चुनें। ऑन-प्रिमाइसेस सर्वर (Windows वातावरण के लिए Microsoft NPS, ओपन-सोर्स डिप्लॉयमेंट के लिए FreeRADIUS) या क्लाउड-आधारित RADIUS सर्विस के बीच चयन करें। मल्टी-साइट संगठनों के लिए, Purple जैसा क्लाउड RADIUS प्लेटफ़ॉर्म लगभग हमेशा सही विकल्प होता है। यह बिल्ट-इन हाई अवेलेबिलिटी, जियोग्राफिक रिडंडेंसी प्रदान करता है, और सर्वर मैनेजमेंट के ऑपरेशनल बोझ को समाप्त करता है।

चरण 2: अपने आइडेंटिटी सोर्स को इंटीग्रेट करें। RADIUS सर्वर को अपने संगठन की आधिकारिक आइडेंटिटी डायरेक्टरी से कनेक्ट करें। आधुनिक क्लाउड RADIUS प्लेटफ़ॉर्म SAML या LDAP के माध्यम से Azure AD, Google Workspace, और Okta के साथ सीधे इंटीग्रेशन का समर्थन करते हैं। गेस्ट यूज़र्स के लिए, आइडेंटिटी सोर्स आमतौर पर एक CRM, एक प्रॉपर्टी मैनेजमेंट सिस्टम (PMS), या एक उद्देश्य-निर्मित गेस्ट WiFi प्लेटफ़ॉर्म होता है।

चरण 3: नेटवर्क हार्डवेयर कॉन्फ़िगर करें। अपने वायरलेस LAN कंट्रोलर या एक्सेस पॉइंट्स पर, WPA2-Enterprise या WPA3-Enterprise के लिए कॉन्फ़िगर किया गया एक नया SSID बनाएँ। SSID को अपने RADIUS सर्वर के IP एड्रेस पर पॉइंट करें और शेयर्ड सीक्रेट कॉन्फ़िगर करें — एक पासवर्ड जो एक्सेस पॉइंट और RADIUS सर्वर के बीच संचार को एन्क्रिप्ट करता है। यह वैल्यू दोनों तरफ बिल्कुल मेल खानी चाहिए; बेमेल होना शुरुआती डिप्लॉयमेंट विफलताओं के सबसे आम कारणों में से एक है।

चरण 4: ऑथराइज़ेशन पॉलिसीज़ परिभाषित करें। RADIUS सर्वर पर यूज़र ग्रुप्स को नेटवर्क पॉलिसीज़ से मैप करने वाले नियम बनाएँ। एक होटल के लिए एक सामान्य पॉलिसी सेट में शामिल हो सकते हैं: पूर्ण इंटरनल एक्सेस के साथ VLAN 10 पर स्टाफ; सीमित एक्सेस और 50 Mbps बैंडविड्थ कैप के साथ VLAN 30 पर कॉन्ट्रैक्टर्स; केवल इंटरनेट एक्सेस और 8-घंटे की सेशन लिमिट के साथ VLAN 20 पर गेस्ट्स।

चरण 5: यूज़र्स और डिवाइसेज़ को ऑनबोर्ड करें। कॉर्पोरेट स्टाफ के लिए, अपने MDM प्लेटफ़ॉर्म के माध्यम से 802.1X सेटिंग्स के साथ WiFi प्रोफ़ाइल डिप्लॉय करें। गेस्ट्स के लिए, एक Captive Portal डिप्लॉय करें। Purple का प्लेटफ़ॉर्म गेस्ट ऑनबोर्डिंग फ़्लो को ऑटोमेट करता है — सोशल मीडिया लॉगिन, रजिस्ट्रेशन फ़ॉर्म और वाउचर कोड का समर्थन करता है — और अस्थायी RADIUS यूज़र अकाउंट्स बनाता है जो स्वचालित रूप से समाप्त हो जाते हैं।

venue_wifi_deployment.png

सर्वोत्तम प्रथाएँ

WPA3-Enterprise अपनाएँ। जहाँ हार्डवेयर इसका समर्थन करता है, WPA3-Enterprise WPA2-Enterprise की तुलना में महत्वपूर्ण सुरक्षा सुधार प्रदान करता है, जिसमें प्रोटेक्टेड मैनेजमेंट फ्रेम्स (PMF) और 192-बिट सुरक्षा मोड के माध्यम से मज़बूत एन्क्रिप्शन शामिल हैं। उन एक्सेस पॉइंट्स की पहचान करने के लिए हार्डवेयर ऑडिट करें जिन्हें फ़र्मवेयर अपडेट या रिप्लेसमेंट की आवश्यकता है।

कॉर्पोरेट डिवाइसेज़ के लिए EAP-TLS लागू करें। सर्टिफ़िकेट-आधारित ऑथेंटिकेशन कमज़ोरी के रूप में पासवर्ड को समाप्त कर देता है। अपने RADIUS सर्वर को अपने PKI के साथ इंटीग्रेट करें या क्लाउड-आधारित सर्टिफ़िकेट मैनेजमेंट समाधान का उपयोग करें। IT ओवरहेड को कम करने के लिए MDM के माध्यम से सर्टिफ़िकेट डिप्लॉयमेंट को ऑटोमेट करें।

VLAN सेगमेंटेशन लागू करें। RADIUS के माध्यम से डायनामिक VLAN असाइनमेंट PCI DSS कंप्लायंस और ज़ीरो ट्रस्ट आर्किटेक्चर के लिए गैर-परक्राम्य (non-negotiable) है। सुनिश्चित करें कि आपके नेटवर्क स्विच और फ़ायरवॉल इंटर-VLAN रूटिंग पॉलिसीज़ लागू करते हैं जो गेस्ट ट्रैफ़िक को कॉर्पोरेट रिसोर्सेज़ तक पहुँचने से रोकते हैं।

रिडंडेंट RADIUS इंफ्रास्ट्रक्चर डिप्लॉय करें। अपने एक्सेस पॉइंट्स पर कम से कम एक प्राइमरी और सेकेंडरी RADIUS सर्वर कॉन्फ़िगर करें। क्लाउड RADIUS प्लेटफ़ॉर्म आमतौर पर इसे स्वचालित रूप से प्रदान करते हैं। नियमित रूप से फ़ेलओवर का परीक्षण करें।

ट्रबलशूटिंग और रिस्क मिटिगेशन

विफलता मोड मूल कारण समाधान
सभी यूज़र्स रिजेक्ट हो गए AP और RADIUS सर्वर के बीच शेयर्ड सीक्रेट बेमेल AP और RADIUS सर्वर कॉन्फ़िगरेशन दोनों पर शेयर्ड सीक्रेट सत्यापित करें
क्लाइंट डिवाइसेज़ पर सर्टिफ़िकेट त्रुटियाँ RADIUS सर्वर सर्टिफ़िकेट क्लाइंट द्वारा विश्वसनीय नहीं है MDM के माध्यम से सभी क्लाइंट डिवाइसेज़ पर रूट CA सर्टिफ़िकेट इंस्टॉल करें
रुक-रुक कर ऑथेंटिकेशन विफलताएँ RADIUS सर्वर ओवरलोडेड या अनरीचेबल है सेकेंडरी RADIUS सर्वर लागू करें; सर्वर क्षमता की समीक्षा करें
गेस्ट पोर्टल रीडायरेक्ट नहीं हो रहा है वॉल्ड गार्डन मिसकॉन्फ़िगरेशन सुनिश्चित करें कि पोर्टल URL और सोशल लॉगिन प्रोवाइडर डोमेन वॉल्ड गार्डन में हैं
सेशन समाप्त होने के बाद यूज़र्स फिर से कनेक्ट नहीं हो सकते अकाउंटिंग सेशन ठीक से समाप्त नहीं हुआ RADIUS अकाउंटिंग कॉन्फ़िगरेशन की समीक्षा करें; पुराने सेशंस की जाँच करें

ROI और बिज़नेस इम्पैक्ट

RADIUS डिप्लॉयमेंट के लिए बिज़नेस केस कई आयामों में सम्मोहक है। सुरक्षा जोखिम में कमी सबसे तात्कालिक लाभ है: शेयर्ड PSK को पहचान-आधारित एक्सेस से बदलने से WiFi-आधारित नेटवर्क घुसपैठ के लिए सबसे आम वेक्टर समाप्त हो जाता है, जिससे संभावित रूप से यूके के व्यवसायों के लिए औसतन £3.4 मिलियन की ब्रीच लागत से बचा जा सकता है। PCI DSS, GDPR, और क्षेत्र-विशिष्ट नियमों के तहत कंप्लायंस एश्योरेंस पहचान-आधारित एक्सेस कंट्रोल और व्यापक अकाउंटिंग लॉग्स के संयोजन के माध्यम से प्राप्त किया जाता है। बड़े डिप्लॉयमेंट्स में ऑपरेशनल एफिशिएंसी लाभ महत्वपूर्ण हैं — केंद्रीकृत पॉलिसी मैनेजमेंट का मतलब है कि किसी नए यूज़र को ऑनबोर्ड करना या किसी जाने वाले कर्मचारी के लिए एक्सेस रद्द करना आइडेंटिटी डायरेक्टरी में एक सिंगल एक्शन है, न कि दर्जनों एक्सेस पॉइंट्स पर मैन्युअल रीकॉन्फ़िगरेशन। अंत में, RADIUS द्वारा जनरेट किया गया अकाउंटिंग डेटा कैपेसिटी प्लानिंग के लिए कार्रवाई योग्य इंटेलिजेंस प्रदान करता है, जिससे इंफ्रास्ट्रक्चर निवेश के निर्णय अनुमानों के बजाय वास्तविक उपयोग डेटा पर आधारित होते हैं।

मुख्य परिभाषाएं

RADIUS (Remote Authentication Dial-In User Service)

एक नेटवर्किंग प्रोटोकॉल, जिसे RFC 2865 में मानकीकृत किया गया है, जो नेटवर्क सर्विस से कनेक्ट होने वाले यूज़र्स के लिए केंद्रीकृत Authentication, Authorization, और Accounting (AAA) मैनेजमेंट प्रदान करता है। यह क्लाइंट-सर्वर मॉडल पर काम करता है, जहाँ नेटवर्क एक्सेस सर्वर (NAS) क्लाइंट है और RADIUS सर्वर निर्णय लेने वाला प्राधिकरण है।

यह एंटरप्राइज़ WiFi सुरक्षा का कोर इंजन है। जब कोई IT मैनेजर '802.1X पर जाने' की बात करता है, तो वे लगभग हमेशा RADIUS सर्वर डिप्लॉय करने की बात कर रहे होते हैं।

802.1X

पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल (PNAC) के लिए एक IEEE मानक। यह IEEE 802 नेटवर्क पर Extensible Authentication Protocol (EAP) के एनकैप्सुलेशन को परिभाषित करता है, जिससे एक ऑथेंटिकेटर (जैसे, एक WiFi एक्सेस पॉइंट) नेटवर्क एक्सेस देने से पहले ऑथेंटिकेशन लागू कर सकता है।

यह वह मानक है जो WiFi के लिए RADIUS को काम करने योग्य बनाता है। जब आप 'WPA2-Enterprise' के लिए SSID कॉन्फ़िगर कर रहे होते हैं, तो आप उस SSID पर 802.1X सक्षम कर रहे होते हैं।

AAA (Authentication, Authorization, Accounting)

कंप्यूटर रिसोर्सेज़ तक एक्सेस को समझदारी से नियंत्रित करने, पॉलिसीज़ लागू करने और उपयोग का ऑडिट करने के लिए एक सुरक्षा फ्रेमवर्क। Authentication पहचान की पुष्टि करता है, Authorization अनुमत कार्यों को निर्धारित करता है, और Accounting गतिविधि को रिकॉर्ड करता है।

RADIUS सर्वर को अक्सर 'AAA सर्वर' कहा जाता है। इस फ्रेमवर्क को समझना सभी नेटवर्क एक्सेस कंट्रोल डिज़ाइन के लिए वैचारिक आधार है।

Supplicant

802.1X फ्रेमवर्क में, Supplicant क्लाइंट डिवाइस है — एक लैपटॉप, स्मार्टफोन, या IoT डिवाइस — जो नेटवर्क तक एक्सेस का अनुरोध कर रहा है। डिवाइस पर सप्लिकेंट सॉफ़्टवेयर EAP ऑथेंटिकेशन एक्सचेंज को संभालता है।

ऑथेंटिकेशन विफलताओं की ट्रबलशूटिंग करते समय, सप्लिकेंट कॉन्फ़िगरेशन (जैसे, लैपटॉप पर WiFi प्रोफ़ाइल) अक्सर समस्या का स्रोत होता है।

Authenticator

802.1X फ्रेमवर्क में, Authenticator वह नेटवर्क डिवाइस है — आमतौर पर एक वायरलेस एक्सेस पॉइंट या ईथरनेट स्विच — जो एक्सेस कंट्रोल लागू करता है। यह Supplicant और ऑथेंटिकेशन सर्वर के बीच EAP मैसेजेज़ को रिले करता है लेकिन स्वयं ऑथेंटिकेशन का निर्णय नहीं लेता है।

एक्सेस पॉइंट एक रिले है, निर्णय लेने वाला नहीं। यह एक महत्वपूर्ण अंतर है: AP का काम RADIUS को रिक्वेस्ट फॉरवर्ड करना और फिर रिस्पॉन्स पर कार्य करना है।

EAP (Extensible Authentication Protocol)

RFC 3748 में परिभाषित एक ऑथेंटिकेशन फ्रेमवर्क जो कई ऑथेंटिकेशन तरीकों का समर्थन करता है। EAP स्वयं एक विशिष्ट ऑथेंटिकेशन तंत्र को परिभाषित नहीं करता है; इसके बजाय, यह विभिन्न EAP तरीकों (जैसे, EAP-TLS, PEAP, EAP-TTLS) को नेगोशिएट करने और ले जाने के लिए एक मानक प्रारूप प्रदान करता है।

802.1X कॉन्फ़िगर करते समय, आपको एक EAP तरीका चुनना होगा। EAP-TLS (सर्टिफ़िकेट्स) और PEAP (पासवर्ड) के बीच का चुनाव WiFi डिप्लॉयमेंट में सबसे परिणामी सुरक्षा निर्णयों में से एक है।

EAP-TLS (EAP Transport Layer Security)

एक सर्टिफ़िकेट-आधारित EAP तरीका जो X.509 डिजिटल सर्टिफ़िकेट्स का उपयोग करके क्लाइंट और RADIUS सर्वर के बीच म्यूचुअल ऑथेंटिकेशन प्रदान करता है। इसे व्यापक रूप से सबसे सुरक्षित EAP तरीका माना जाता है, क्योंकि यह पासवर्ड को पूरी तरह से समाप्त कर देता है।

EAP-TLS कॉर्पोरेट डिवाइस ऑथेंटिकेशन के लिए गोल्ड स्टैंडर्ड है। इसे डिप्लॉय करने के लिए क्लाइंट सर्टिफ़िकेट जारी करने और प्रबंधित करने के लिए पब्लिक की इंफ्रास्ट्रक्चर (PKI) की आवश्यकता होती है, यही कारण है कि क्लाउड-आधारित सर्टिफ़िकेट मैनेजमेंट समाधान तेज़ी से लोकप्रिय हो रहे हैं।

Captive Portal

एक वेब पेज जो सार्वजनिक WiFi नेटवर्क से यूज़र के कनेक्शन को इंटरसेप्ट करता है, जिसके लिए उन्हें इंटरनेट एक्सेस दिए जाने से पहले एक कार्रवाई पूरी करने की आवश्यकता होती है — जैसे कि सेवा की शर्तों को स्वीकार करना, क्रेडेंशियल्स दर्ज करना, या सोशल मीडिया अकाउंट के माध्यम से ऑथेंटिकेट करना।

Captive Portal गेस्ट WiFi के लिए RADIUS के साथ मिलकर काम करते हैं। पोर्टल यूज़र-फेसिंग इंटरफ़ेस है; RADIUS बैक-एंड ऑथेंटिकेशन इंजन है जो यूज़र के सेशन को वैलिडेट करता है और एक्सेस पॉलिसीज़ लागू करता है।

VLAN (Virtual Local Area Network)

एक भौतिक नेटवर्क इंफ्रास्ट्रक्चर के भीतर बनाया गया एक लॉजिकल नेटवर्क सेगमेंट। VLAN नेटवर्क एडमिनिस्ट्रेटर्स को विभिन्न यूज़र ग्रुप्स — जैसे गेस्ट्स, स्टाफ और IoT डिवाइसेज़ — से ट्रैफ़िक को अलग करने की अनुमति देते हैं, भले ही वे समान भौतिक हार्डवेयर साझा करते हों।

RADIUS के माध्यम से डायनामिक VLAN असाइनमेंट वह तंत्र है जो एंटरप्राइज़ WiFi में नेटवर्क सेगमेंटेशन को सक्षम बनाता है। यह PCI DSS कंप्लायंस और ज़ीरो ट्रस्ट आर्किटेक्चर के लिए एक मूलभूत आवश्यकता है।

Shared Secret

RADIUS क्लाइंट (एक्सेस पॉइंट) और RADIUS सर्वर दोनों पर कॉन्फ़िगर किया गया एक पासवर्ड जो उनके संचार को ऑथेंटिकेट करता है और RADIUS एट्रिब्यूट वैल्यूज़ को एन्क्रिप्ट करता है। यह दोनों तरफ समान होना चाहिए।

शुरुआती डिप्लॉयमेंट के दौरान RADIUS ऑथेंटिकेशन विफलताओं के सबसे आम कारणों में से एक शेयर्ड सीक्रेट बेमेल है। इस वैल्यू को मैन्युअल रूप से टाइप करने के बजाय हमेशा कॉपी-पेस्ट करें।

हल किए गए उदाहरण

एक 500 कमरों वाले होटल को गेस्ट्स, कॉन्फ्रेंस में भाग लेने वालों और स्टाफ के लिए सुरक्षित WiFi प्रदान करने की आवश्यकता है। गेस्ट्स को एक घर्षण रहित (frictionless) ऑनबोर्डिंग अनुभव मिलना चाहिए, जबकि स्टाफ को इंटरनल प्रॉपर्टी मैनेजमेंट और पॉइंट-ऑफ़-सेल सिस्टम्स तक सुरक्षित एक्सेस की आवश्यकता है। होटल अपने प्रॉपर्टी मैनेजमेंट सिस्टम (PMS) के रूप में Oracle OPERA का उपयोग करता है।

होटल के Oracle OPERA PMS के साथ इंटीग्रेटेड Purple का क्लाउड RADIUS प्लेटफ़ॉर्म डिप्लॉय करें। तीन अलग-अलग SSID प्रोविज़न करें: 'Hotel-Guest', 'Conference-WiFi', और 'Staff-Internal'। 'Staff-Internal' SSID को EAP-TLS के साथ WPA3-Enterprise के लिए कॉन्फ़िगर किया गया है। MDM प्लेटफ़ॉर्म (जैसे, Jamf या Microsoft Intune) के माध्यम से होटल के स्वामित्व वाले सभी डिवाइसेज़ पर डिजिटल सर्टिफ़िकेट डिप्लॉय किए जाते हैं, जिससे स्टाफ के लिए पासवर्डलेस, निर्बाध ऑथेंटिकेशन सक्षम होता है। 'Hotel-Guest' SSID OPERA के साथ इंटीग्रेटेड एक ब्रांडेड Captive Portal का उपयोग करता है। चेक-इन के समय, OPERA स्वचालित रूप से एक अस्थायी RADIUS यूज़र अकाउंट बनाता है जिसके क्रेडेंशियल्स गेस्ट के ठहरने की अवधि के लिए मान्य होते हैं। गेस्ट को एक डायरेक्ट कनेक्शन लिंक के साथ एक QR कोड या वेलकम ईमेल प्राप्त होता है। 'Conference-WiFi' SSID Purple के प्लेटफ़ॉर्म के भीतर एक वाउचर-आधारित सिस्टम का उपयोग करता है, जिससे इवेंट कोऑर्डिनेटर्स अपने उपस्थित लोगों के लिए अद्वितीय, समय-सीमित एक्सेस कोड जनरेट कर सकते हैं। सभी तीन SSID सख्त ट्रैफ़िक सेगमेंटेशन लागू करने के लिए डायनामिक VLAN असाइनमेंट का उपयोग करते हैं।

परीक्षक की टिप्पणी: यह आर्किटेक्चर उचित रूप से तैयार किए गए ऑथेंटिकेशन तरीकों के साथ तीन अलग-अलग यूज़र आबादी को संबोधित करता है। गेस्ट एक्सेस के लिए PMS इंटीग्रेशन एक प्रमुख ऑपरेशनल एफिशिएंसी लाभ है, जो फ्रंट डेस्क पर मैन्युअल क्रेडेंशियल मैनेजमेंट को समाप्त करता है। संवेदनशील इंटरनल सिस्टम्स तक एक्सेस वाले यूज़र्स के लिए स्टाफ डिवाइसेज़ के लिए सर्टिफ़िकेट-आधारित दृष्टिकोण सही सुरक्षा विकल्प है। कॉन्फ्रेंस में भाग लेने वालों के लिए वाउचर सिस्टम इवेंट मैनेजमेंट के लिए एक स्केलेबल, सेल्फ-सर्विस मॉडल प्रदान करता है। सभी तीन SSIDs में VLAN सेगमेंटेशन यह सुनिश्चित करता है कि एक समझौता किया गया गेस्ट डिवाइस होटल के बैक-ऑफ़-हाउस नेटवर्क तक नहीं पहुँच सकता है।

यूके भर में 200 स्टोर्स वाली एक रिटेल चेन अपने असुरक्षित, शेयर्ड-पासवर्ड वाले गेस्ट WiFi नेटवर्क को बदलना चाहती है। मार्केटिंग टीम को लक्षित अभियानों का समर्थन करने के लिए स्टोर विज़िटर्स से ऑप्ट-इन जनसांख्यिकीय डेटा की आवश्यकता है। IT टीम सभी कॉर्पोरेट आइडेंटिटी मैनेजमेंट के लिए Azure Active Directory का उपयोग करती है।

एक केंद्रीकृत, टेम्पलेटेड कॉन्फ़िगरेशन का उपयोग करके सभी 200 स्टोर्स में Purple का क्लाउड RADIUS और गेस्ट WiFi प्लेटफ़ॉर्म डिप्लॉय करें। गेस्ट एक्सेस के लिए, एक समर्पित गेस्ट SSID पर एक ब्रांडेड Captive Portal कॉन्फ़िगर करें। पोर्टल सोशल मीडिया अकाउंट्स (Facebook, Google) या एक साधारण रजिस्ट्रेशन फ़ॉर्म के माध्यम से ऑथेंटिकेशन प्रदान करता है, जो GDPR के अनुपालन में ऑप्ट-इन मार्केटिंग सहमति कैप्चर करता है। Purple का प्लेटफ़ॉर्म इस डेटा को एक केंद्रीकृत एनालिटिक्स डैशबोर्ड में एग्रीगेट करता है, जो मार्केटिंग टीम को विज़िटर डेमोग्राफिक्स, ड्वेल टाइम्स और रिपीट विज़िट रेट्स प्रदान करता है। कॉर्पोरेट स्टाफ के लिए, RADIUS सर्वर को मौजूदा Azure AD टेनेंट के साथ इंटीग्रेट करें। स्टाफ PEAP के माध्यम से अपने Azure AD क्रेडेंशियल्स का उपयोग करके एक अलग 'Staff' SSID से कनेक्ट होते हैं, जिसमें उच्चतम-जोखिम वाली भूमिकाओं के लिए सर्टिफ़िकेट्स के साथ EAP-TLS में एक चरणबद्ध माइग्रेशन योजना होती है। सभी गेस्ट ट्रैफ़िक को स्टोर के इंटरनल नेटवर्क या EPOS सिस्टम्स तक बिना किसी एक्सेस के एक समर्पित VLAN पर अलग किया जाता है, जो PCI DSS नेटवर्क सेगमेंटेशन आवश्यकताओं को पूरा करता है।

परीक्षक की टिप्पणी: यह समाधान एक साथ सुरक्षा, कंप्लायंस और मार्केटिंग उद्देश्यों को हल करता है। सोशल लॉगिन और रजिस्ट्रेशन फ़ॉर्म विकल्प एक कम-घर्षण वाला गेस्ट अनुभव प्रदान करते हैं, जबकि मूल्यवान, सहमति प्राप्त फर्स्ट-पार्टी डेटा जनरेट करते हैं — जो पोस्ट-थर्ड-पार्टी-कुकी वातावरण में एक महत्वपूर्ण व्यावसायिक संपत्ति है। स्टाफ एक्सेस के लिए Azure AD इंटीग्रेशन अत्यधिक कुशल है, जो मौजूदा आइडेंटिटी निवेश का लाभ उठाता है और एक समानांतर यूज़र डेटाबेस बनाने से बचता है। EAP-TLS के लिए चरणबद्ध दृष्टिकोण एक व्यावहारिक डिप्लॉयमेंट रणनीति है जो लक्षित स्थिति की ओर बढ़ते हुए तत्काल सुरक्षा सुधार प्रदान करती है।

अभ्यास प्रश्न

Q1. आप एक बड़े कॉन्फ्रेंस सेंटर के IT आर्किटेक्ट हैं। एक प्रमुख टेक्नोलॉजी कंपनी 5,000 उपस्थित लोगों के साथ तीन दिवसीय कॉन्फ्रेंस के लिए आपका वेन्यू किराए पर ले रही है। क्लाइंट की एक सख्त आवश्यकता है कि उपस्थित लोग हर दिन मैन्युअल रूप से पासवर्ड दर्ज किए बिना एक सुरक्षित, उच्च-प्रदर्शन वाले WiFi नेटवर्क से जुड़ सकें। क्लाइंट अपने आइडेंटिटी प्रोवाइडर के रूप में Okta का उपयोग करता है। आप ऑथेंटिकेशन समाधान को कैसे डिज़ाइन करेंगे?

संकेत: विचार करें कि किसी एकल बाहरी संगठन के बड़ी संख्या में यूज़र्स के लिए एक निर्बाध, पासवर्डलेस अनुभव कैसे प्रदान किया जाए। सर्टिफ़िकेट-आधारित ऑथेंटिकेशन के बारे में सोचें और समय-सीमित इवेंट के लिए थर्ड-पार्टी आइडेंटिटी प्रोवाइडर के साथ कैसे इंटीग्रेट किया जाए।

मॉडल उत्तर देखें

इष्टतम समाधान EAP-TLS के साथ WPA3-Enterprise के लिए कॉन्फ़िगर किए गए कॉन्फ्रेंस के लिए एक समर्पित SSID प्रोविज़न करना है। इवेंट की अवधि के लिए SAML फ़ेडरेशन के माध्यम से क्लाइंट के Okta टेनेंट के साथ अपने क्लाउड RADIUS प्लेटफ़ॉर्म को इंटीग्रेट करें। कॉन्फ्रेंस शुरू होने से पहले, उपस्थित लोगों को एक वन-टाइम ऑनबोर्डिंग पोर्टल पर निर्देशित किया जाता है जहाँ वे अपने Okta क्रेडेंशियल्स के साथ ऑथेंटिकेट करते हैं। सफल ऑथेंटिकेशन पर, एक अद्वितीय डिजिटल सर्टिफ़िकेट जनरेट होता है और उनके डिवाइस पर इंस्टॉल हो जाता है। कॉन्फ्रेंस के शेष समय के लिए, उनका डिवाइस बिना किसी और यूज़र इंटरैक्शन के स्वचालित रूप से और सुरक्षित रूप से SSID से कनेक्ट हो जाता है। सर्टिफ़िकेट्स कॉन्फ्रेंस की अवधि से मेल खाने वाली वैधता अवधि के साथ जारी किए जाते हैं और समाप्ति पर स्वचालित रूप से रद्द कर दिए जाते हैं। यह मज़बूत सुरक्षा बनाए रखते हुए एक निर्बाध, पासवर्डलेस अनुभव प्रदान करता है, और यह एक अलग क्रेडेंशियल सिस्टम बनाने के बजाय क्लाइंट के मौजूदा आइडेंटिटी इंफ्रास्ट्रक्चर का लाभ उठाता है।

Q2. एक निजी अस्पताल को मरीज़ों और विज़िटर्स के लिए WiFi प्रदान करने की आवश्यकता है, लेकिन यह सुनिश्चित करना चाहिए कि यह ट्रैफ़िक क्लिनिकल सिस्टम्स, इलेक्ट्रॉनिक हेल्थ रिकॉर्ड्स और मेडिकल डिवाइसेज़ के लिए उपयोग किए जाने वाले नेटवर्क से पूरी तरह से अलग हो, ताकि HIPAA और NHS DSP टूलकिट आवश्यकताओं का अनुपालन किया जा सके। इस अलगाव को प्राप्त करने के लिए कौन सी RADIUS सुविधा सबसे महत्वपूर्ण है, और आप इसे कैसे कॉन्फ़िगर करेंगे?

संकेत: AAA फ्रेमवर्क के Authorization पिलर पर ध्यान दें। कुंजी केवल यूज़र्स को ऑथेंटिकेट करना नहीं है, बल्कि यह नियंत्रित करना है कि ऑथेंटिकेशन के बाद वे कहाँ तक पहुँच सकते हैं। विचार करें कि RADIUS एक्सेस पॉइंट को नेटवर्क पॉलिसी कैसे संचारित करता है।

मॉडल उत्तर देखें

सबसे महत्वपूर्ण सुविधा RADIUS ऑथराइज़ेशन पॉलिसीज़ के माध्यम से डायनामिक VLAN असाइनमेंट है। आप नेटवर्क इंफ्रास्ट्रक्चर पर एक समर्पित 'Patient-Guest' VLAN (जैसे, VLAN 50) बनाएँगे, जिसे फ़ायरवॉल नियमों के साथ कॉन्फ़िगर किया गया है जो केवल इंटरनेट एक्सेस की अनुमति देते हैं और क्लिनिकल नेटवर्क VLANs के सभी ट्रैफ़िक को स्पष्ट रूप से अस्वीकार करते हैं। RADIUS सर्वर पर, एक ऑथराइज़ेशन पॉलिसी बनाएँ जो मरीज़ WiFi SSID को ऑथेंटिकेट करने वाले किसी भी यूज़र को VLAN 50 असाइन करती है, चाहे उनके क्रेडेंशियल्स कुछ भी हों। RADIUS सर्वर Access-Accept मैसेज में Tunnel-Type, Tunnel-Medium-Type, और Tunnel-Private-Group-ID एट्रिब्यूट्स के माध्यम से एक्सेस पॉइंट को इस असाइनमेंट का संचार करता है। एक्सेस पॉइंट फिर कनेक्शन के बिंदु पर यूज़र के ट्रैफ़िक को VLAN 50 में डाल देता है। यह सुनिश्चित करता है कि भले ही किसी मरीज़ के डिवाइस से समझौता किया गया हो, उसके पास क्लिनिकल सिस्टम्स के लिए कोई नेटवर्क पथ नहीं है — जो HIPAA कंप्लायंस और क्लिनिकल नेटवर्क सुरक्षा के लिए एक मूलभूत आवश्यकता है।

Q3. आपके संगठन ने अपने कॉर्पोरेट एस्टेट में RADIUS के साथ 802.1X डिप्लॉय किया है। एक कर्मचारी रिपोर्ट करता है कि वे अपने नए लैपटॉप से कॉर्पोरेट WiFi से कनेक्ट नहीं हो सकते हैं, लेकिन वे अपने स्मार्टफोन और अपने पिछले लैपटॉप से सफलतापूर्वक कनेक्ट हो सकते हैं। IT हेल्पडेस्क ने पुष्टि की है कि कर्मचारी का अकाउंट Azure AD में सक्रिय है। आपका डायग्नोस्टिक दृष्टिकोण क्या है, और तीन सबसे संभावित मूल कारण क्या हैं?

संकेत: समस्या डिवाइस-विशिष्ट है, यूज़र-विशिष्ट नहीं — यूज़र अन्य डिवाइसेज़ से ऑथेंटिकेट कर सकता है। यह समस्या को डिवाइस कॉन्फ़िगरेशन, डिवाइस के सर्टिफ़िकेट, या डिवाइस की सप्लिकेंट सेटिंग्स तक सीमित कर देता है। RADIUS सर्वर लॉग्स से शुरू करें।

मॉडल उत्तर देखें

डायग्नोस्टिक दृष्टिकोण सबसे पहले नए लैपटॉप के MAC एड्रेस के अनुरूप Access-Reject मैसेजेज़ के लिए RADIUS सर्वर के ऑथेंटिकेशन लॉग्स की जाँच करना है। रिजेक्शन कारण कोड मूल कारण की पहचान करेगा। तीन सबसे संभावित कारण हैं: (1) गायब या अमान्य क्लाइंट सर्टिफ़िकेट — यदि डिप्लॉयमेंट EAP-TLS का उपयोग करता है, तो हो सकता है कि नए लैपटॉप में अभी तक MDM के माध्यम से सर्टिफ़िकेट प्रोविज़न न किया गया हो। जाँचें कि क्या डिवाइस MDM प्लेटफ़ॉर्म में नामांकित है और क्या सर्टिफ़िकेट डिप्लॉयमेंट पॉलिसी लागू की गई है। (2) गलत WiFi प्रोफ़ाइल — नए लैपटॉप में गलत 802.1X सप्लिकेंट सेटिंग्स हो सकती हैं, जैसे गलत EAP तरीका, गलत RADIUS सर्वर सर्टिफ़िकेट ट्रस्ट कॉन्फ़िगरेशन, या गलत यूज़रनेम प्रारूप। सत्यापित करें कि WiFi प्रोफ़ाइल मानक कॉर्पोरेट टेम्पलेट से मेल खाती है। (3) डिवाइस अभी तक आइडेंटिटी डायरेक्टरी में पंजीकृत नहीं है — कुछ RADIUS पॉलिसीज़ Azure AD के विरुद्ध डिवाइस कंप्लायंस चेक करती हैं। यदि नए लैपटॉप ने अभी तक Azure AD जॉइन और डिवाइस रजिस्ट्रेशन पूरा नहीं किया है, तो यह इस चेक में विफल हो सकता है, भले ही यूज़र का अकाउंट सक्रिय हो।

इस श्रृंखला में आगे पढ़ें

विक्रेता द्वारा प्रति-डिवाइस PSK: iPSK, DPSK, MPSK और PPSK की तुलना (और WPA3 सपोर्ट)

Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet, और Ubiquiti UniFi में प्रति-डिवाइस PSK इम्प्लीमेंटेशन की एक व्यापक तुलना। जानें कि WPA3-SAE प्रति-डिवाइस की (key) रणनीतियों को कैसे प्रभावित करता है और कब ट्रांज़िशन मोड को तैनात करना चाहिए बनाम 802.1X पर जाना चाहिए।

गाइड पढ़ें →

कैप्टिव पोर्टल प्रमाणीकरण विधियों की तुलना

यह आधिकारिक तकनीकी संदर्भ गाइड पांच मुख्य कैप्टिव पोर्टल प्रमाणीकरण विधियों के आर्किटेक्चरल, परिचालन और अनुपालन ट्रेड-ऑफ का मूल्यांकन करती है। यह नेटवर्क आर्किटेक्ट्स, IT निदेशकों और मार्केटिंग प्रबंधकों को एंटरप्राइज वेन्यू में डेटा-संग्रह आवश्यकताओं के साथ गेस्ट ऑनबोर्डिंग घर्षण को संतुलित करने के लिए आवश्यक मात्रात्मक डेटा और निर्णय ढांचे प्रदान करती है।

गाइड पढ़ें →

MAC एड्रेस ऑथेंटिकेशन क्या है? इसका उपयोग कब करें और इससे कब बचें

यह आधिकारिक तकनीकी संदर्भ गाइड एंटरप्राइज़ WiFi वातावरण में MAC एड्रेस ऑथेंटिकेशन को कवर करती है — कैसे RADIUS-आधारित MAC ऑथेंटिकेशन लेयर 2 पर काम करता है, इसकी अंतर्निहित सुरक्षा कमजोरियां (जिसमें MAC स्पूफिंग और OS-स्तरीय MAC रैंडमाइजेशन का प्रभाव शामिल है), और सटीक परिचालन संदर्भ जहां यह IoT और हेडलेस डिवाइसों के प्रबंधन के लिए एक वैध उपकरण बना हुआ है। यह हॉस्पिटैलिटी, रिटेल, हेल्थकेयर और सार्वजनिक क्षेत्र के परिसरों में IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए व्यावहारिक परिनियोजन मार्गदर्शन प्रदान करता है, जिसमें वास्तविक दुनिया के व्यावहारिक उदाहरण, निर्णय ढांचे और Purple के गेस्ट WiFi और एनालिटिक्स प्लेटफॉर्म के लिए एकीकरण संदर्भ शामिल हैं।

गाइड पढ़ें →