Cloud RADIUS के साथ 802.1X प्रमाणीकरण को कैसे लागू करें
यह तकनीकी संदर्भ मार्गदर्शिका वितरित एंटरप्राइज़ संपत्तियों में Cloud RADIUS के साथ 802.1X प्रमाणीकरण लागू करने के लिए एक व्यापक ढांचा प्रदान करती है। यह ऑन-प्रिमाइसेस इन्फ्रास्ट्रक्चर के परिचालन ओवरहेड को समाप्त करते हुए नेटवर्क एक्सेस को सुरक्षित करने के लिए आवश्यक आर्किटेक्चर, EAP विधि चयन, परिनियोजन अनुक्रमण और जोखिम न्यूनीकरण रणनीतियों का विवरण देती है।
इस गाइड को सुनें
पॉडकास्ट ट्रांसक्रिप्ट देखें

कार्यकारी सारांश (Executive Summary)
हॉस्पिटैलिटी, रिटेल और सार्वजनिक क्षेत्र में वितरित नेटवर्क संपत्तियों का प्रबंधन करने वाले IT निर्णयकर्ताओं के लिए, नेटवर्क एक्सेस को सुरक्षित करना एक परिचालन प्राथमिकता से बदलकर एक सख्त अनुपालन अनिवार्यता बन गया है। प्री-शेयर्ड कीज़ (PSKs) पर भरोसा करना अस्वीकार्य जोखिम पैदा करता है, PCI-DSS जैसे आधुनिक ऑडिट मानकों में विफल रहता है, और क्रेडेंशियल से समझौता होने की स्थिति में संगठन को लेटरल मूवमेंट के प्रति संवेदनशील बनाता है। IEEE 802.1X पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल पर ट्रांज़िशन करना IP कनेक्टिविटी दिए जाने से पहले डिवाइसों को प्रमाणित करके इन जोखिमों को प्रभावी ढंग से कम करता है।
ऐतिहासिक रूप से, बहु-साइट संपत्तियों में 802.1X को तैनात करने में लेटेंसी और उपलब्धता को प्रबंधित करने के लिए स्थानीयकृत RADIUS बुनियादी ढांचे की आवश्यकता के कारण बाधा आती थी। Cloud RADIUS आर्किटेक्चर के परिपक्व होने ने इस तस्वीर को पूरी तरह से बदल दिया है। प्रमाणीकरण निर्णयों को केंद्रीकृत करके और सीधे क्लाउड आइडेंटिटी प्रदाताओं (जैसे कि Azure AD या Okta) के साथ एकीकृत करके, संगठन ऑन-प्रिमाइसेस सर्वर के पूंजीगत व्यय और रखरखाव के बोझ के बिना सभी स्थानों पर समान रूप से मजबूत एक्सेस नीतियों को लागू कर सकते हैं। यह गाइड सफलतापूर्वक Cloud RADIUS के साथ 802.1X प्रमाणीकरण को लागू करने के लिए तकनीकी आर्किटेक्चर, परिनियोजन पद्धति और परिचालन सर्वोत्तम प्रथाओं की रूपरेखा तैयार करती है, जिससे यह सुनिश्चित होता है कि एंटरप्राइज Guest WiFi और कॉर्पोरेट नेटवर्क दोनों सुरक्षित और स्केलेबल बने रहें।
गहन तकनीकी विश्लेषण (Technical Deep-Dive)
आधुनिक एंटरप्राइज वायरलेस सुरक्षा की नींव IEEE 802.1X मानक पर बनी है। एप्लिकेशन-लेयर प्रमाणीकरण के विपरीत, 802.1X OSI मॉडल के लेयर 2 पर काम करता है। जब कोई डिवाइस (सप्लीकेंट) एक्सेस पॉइंट (ऑथेंटिकेटर) के साथ जुड़ने का प्रयास करता है, तो पोर्ट एक अनधिकृत स्थिति में रहता है, केवल एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल (EAP) ट्रैफ़िक की अनुमति देता है। यह ट्रैफ़िक RADIUS पैकेटों में एनकैप्सुलेट किया जाता है और प्रमाणीकरण सर्वर - Cloud RADIUS इंस्टेंस को अग्रेषित किया जाता है। केवल एक्सेस-एक्सेप्ट संदेश प्राप्त होने पर ही ऑथेंटिकेटर पोर्ट को अधिकृत स्थिति में बदलता है, जिससे नेटवर्क एक्सेस मिलता है।
Cloud RADIUS आर्किटेक्चर

ऑन-प्रिमाइसेस से Cloud RADIUS में आर्किटेक्चरल बदलाव डिस्ट्रीब्यूटेड FreeRADIUS या Microsoft NPS सर्वर की आवश्यकता को समाप्त कर देता है। क्लाउड मॉडल में, एक्सेस पॉइंट या वायरलेस LAN कंट्रोलर सीधे इंटरनेट पर विश्व स्तर पर डिस्ट्रीब्यूटेड RADIUS सेवा के साथ संचार करते हैं। इस ट्रांजिट को सुरक्षित करने के लिए, RadSec (TLS पर RADIUS) को लागू करना आवश्यक है, जो ऑथेंटिकेशन पेलोड को एन्क्रिप्ट करता है और इसे इंटरसेप्शन से बचाता है। Cloud RADIUS सेवा एक मध्यस्थ के रूप में कार्य करती है, जो LDAP, SAML या मूल API इंटीग्रेशन के माध्यम से एक केंद्रीय Identity Provider (IdP) के खिलाफ क्रेडेंशियल्स को वैलिडेट करती है। यह डायनेमिक पॉलिसी प्रवर्तन को सक्षम बनाता है, जैसे कि Azure AD ग्रुप मेंबरशिप के आधार पर VLAN असाइन करना, कॉर्पोरेट पहचान प्रबंधन रणनीति के साथ नेटवर्क एक्सेस को सहजता से एकीकृत करना।
EAP विधि का चयन
EAP विधि का चयन डिप्लॉयमेंट की सुरक्षा स्थिति और ऑपरेशनल जटिलता को निर्धारित करता है।

- EAP-TLS (Transport Layer Security): सबसे सुरक्षित विधि, जिसमें म्यूचुअल ऑथेंटिकेशन के लिए सर्वर और क्लाइंट दोनों सर्टिफिकेट की आवश्यकता होती है। चूंकि कोई पासवर्ड एक्सचेंज नहीं किया जाता है, इसलिए यह क्रेडेंशियल चोरी के जोखिम को समाप्त करता है। हालांकि, क्लाइंट सर्टिफिकेट डिस्ट्रीब्यूट करने के लिए इसके लिए Public Key Infrastructure (PKI) और Mobile Device Management (MDM) की आवश्यकता होती है। कॉर्पोरेट डिवाइसों के लिए इसकी दृढ़ता से अनुशंसा की जाती है।
- PEAP-MSCHAPv2 (Protected EAP): Windows में मूल सपोर्ट और केवल सर्वर-साइड सर्टिफिकेट पर इसकी निर्भरता के कारण व्यापक रूप से डिप्लॉय किया गया है। यह TLS सेशन के भीतर क्रेडेंशियल एक्सचेंज को टनल करता है। हालांकि डिप्लॉय करना आसान है, लेकिन यदि क्लाइंट-साइड सर्टिफिकेट वैलिडेशन को कड़ाई से लागू नहीं किया जाता है, तो यह क्रेडेंशियल हार्वेस्टिंग हमलों के प्रति संवेदनशील होता है।
- EAP-TTLS: PEAP के समान है लेकिन इनर ऑथेंटिकेशन प्रोटोकॉल में अधिक लचीलापन प्रदान करता है, जिससे यह क्लाइंट ऑपरेटिंग सिस्टम के विविध मिश्रण वाले वातावरण के लिए उपयुक्त हो जाता है।
कार्यान्वयन गाइड
Cloud RADIUS के साथ 802.1X को डिप्लॉय करने के लिए मौजूदा व्यवसाय में व्यवधान को कम करने के लिए चरणबद्ध, व्यवस्थित दृष्टिकोण की आवश्यकता होती है।
- Identity provider इंटीग्रेशन: Cloud RADIUS सेवा और कॉर्पोरेट IdP के बीच कनेक्शन स्थापित और वैलिडेट करें। सुनिश्चित करें कि डायरेक्टरी सिंक्रोनाइजेशन सटीक है और आवश्यक उपयोगकर्ता विशेषताएँ (जैसे ग्रुप मेंबरशिप) पॉलिसी निर्णयों के लिए उपलब्ध हैं।
- सर्टिफिकेट प्रबंधन: PEAP डिप्लॉयमेंट के लिए, एक विश्वसनीय सार्वजनिक Certificate Authority (CA) से सर्वर सर्टिफिकेट प्राप्त करें। महत्वपूर्ण रूप से, MDM या ग्रुप पॉलिसी के माध्यम से क्लाइंट्स को इस CA पर स्पष्ट रूप से भरोसा करने और सर्वर सर्टिफिकेट नाम को वैलिडेट करने के लिए कॉन्फ़िगर करें। EAP-TLS के लिए, आंतरिक CA इंफ्रास्ट्रक्चर डिप्लॉय करें और प्रबंधित डिवाइसों को क्लाइंट सर्टिफिकेट जारी करना शुरू करें।
- Network infrastructure configuration: Cloud RADIUS एंडपॉइंट्स पर इंगित करने के लिए वायरलेस कंट्रोलर और एक्सेस पॉइंट्स को कॉन्फ़िगर करें। जहां हार्डवेयर वेंडर इसका समर्थन करता है, वहां RadSec लागू करें। मजबूत क्रिप्टोग्राफिक रूप से सुरक्षित स्ट्रिंग्स का उपयोग करके RADIUS शेयर्ड सीक्रेट्स को परिभाषित करें, जिससे यह सुनिश्चित हो सके कि सीक्रेट प्रति साइट या कंट्रोलर क्लस्टर अद्वितीय है।
- Policy definition: Cloud RADIUS प्लेटफॉर्म के भीतर ऑथेंटिकेशन नीतियां बनाएं। सफल ऑथेंटिकेशन पर गतिशील रूप से VLANs असाइन करने या एक्सेस कंट्रोल लिस्ट (ACLs) लागू करने के लिए उपयोगकर्ता समूह, डिवाइस प्रकार या स्थान के आधार पर शर्तें परिभाषित करें।
- Pilot and phased rollout: प्रारंभिक पायलट के लिए उपयोगकर्ताओं और डिवाइसेस के एक प्रतिनिधि सबसेट का चयन करें। लेटेंसी समस्याओं, सर्टिफिकेट वेरिफिकेशन विफलताओं या गलत VLAN असाइनमेंट की पहचान करने के लिए ऑथेंटिकेशन लॉग की बारीकी से निगरानी करें। एक सफल पायलट के बाद, कार्यकारी कार्यालयों या संवेदनशील डेटा को संभालने वाली साइटों जैसे उच्च जोखिम वाले स्थानों को प्राथमिकता देते हुए चरणबद्ध रोलआउट निष्पादित करें।
Best Practices
- क्लाइंट-साइड सर्टिफिकेट वेरिफिकेशन लागू करें: PEAP डिप्लॉयमेंट में सबसे आम भेद्यता क्लाइंट पर सर्वर सर्टिफिकेट वेरिफिकेशन लागू करने में विफलता है। यदि क्लाइंट को किसी भी प्रस्तुत सर्टिफिकेट पर आँख बंद करके भरोसा करने की अनुमति दी जाती है, तो वे दुष्ट एक्सेस पॉइंट हमलों के प्रति पूरी तरह से संवेदनशील हो जाते हैं।
- सावधानी के साथ MAC Authentication Bypass (MAB) लागू करें: बिना स्क्रीन वाले डिवाइसेस जो 802.1X सप्लीकेंट नहीं चला सकते (जैसे प्रिंटर और IoT सेंसर), उनके लिए MAB का उपयोग किया जा सकता है। हालांकि, MAC एड्रेस को आसानी से स्पूफ किया जा सकता है। MAB डिवाइसेस को भारी रूप से प्रतिबंधित VLANs पर अलग किया जाना चाहिए, जिसमें उनके नेटवर्क एक्सेस को सीमित करने वाले सख्त फ़ायरवॉल नियम हों।
- रोमिंग के लिए 802.11r का लाभ उठाएं: ऐसे परिवेशों में जहां डिवाइसेस अक्सर एक्सेस पॉइंट्स के बीच स्थानांतरित होते हैं, पूर्ण 802.1X ऑथेंटिकेशन प्रक्रिया अस्वीकार्य लेटेंसी ला सकती है जो वॉयस जैसे रियल-टाइम ऐप्स को बाधित करती है। 802.11r (फास्ट BSS ट्रांज़िशन) लागू करने से ऑथेंटिकेशन कीज को कैश करके रोमिंग सुव्यवस्थित हो जाती है।
- एनालिटिक्स के साथ एकीकृत करें: कॉर्पोरेट 802.1X नेटवर्क और पब्लिक एक्सेस नेटवर्क दोनों संचालित करने वाले स्थानों के लिए, ऑथेंटिकेशन इंफ्रास्ट्रक्चर को WiFi Analytics के साथ एकीकृत करना पूरे एस्टेट में नेटवर्क उपयोग और डिवाइस व्यवहार का एक व्यापक दृश्य प्रदान करता है।
Troubleshooting and Risk Mitigation
802.1X परिवेश में ऑथेंटिकेशन की विफलताएं व्यापक कनेक्टिविटी आउटेज का कारण बन सकती हैं। एक मजबूत समस्या निवारण प्रक्रिया आवश्यक है।
- सर्टिफिकेट की समाप्ति: एक समाप्त हो चुका सर्वर या क्लाइंट सर्टिफिकेट तत्काल ऑथेंटिकेशन विफलता का कारण बनेगा। सर्टिफिकेट की वैधता अवधि पर स्वचालित निगरानी और अलर्ट लागू करें, यह सुनिश्चित करते हुए कि नवीनीकरण समाप्ति से बहुत पहले संभाला जाए।
- लेटेंसी और टाइमआउट: यदि Cloud RADIUS सेवा या IdP उच्च लेटेंसी का अनुभव करते हैं, तो ऑथेंटिकेटर टाइमआउट हो सकता है और कनेक्शन समाप्त कर सकता है। वायरलेस कंट्रोलर्स पर उपयुक्त टाइमआउट वैल्यू कॉन्फ़िगर करें (आमतौर पर 5 - 10 सेकंड) और रिडंडेंसी प्रदान करने के लिए बैकअप RADIUS सर्वर तैनात करें।
- RADIUS साझा सीक्रेट का बेमेल होना: ऑथेंटिकेटर पर कॉन्फ़िगर किया गया साझा सीक्रेट जो RADIUS सर्वर पर मौजूद सीक्रेट से मेल नहीं खाता है, उसके कारण पैकेट चुपचाप खारिज कर दिए जाएंगे। सीक्रेट मैनेजमेंट को मानकीकृत करें और जहां तक संभव हो मैन्युअल प्रविष्टि से बचें।
ROI और व्यावसायिक प्रभाव
Cloud RADIUS के साथ 802.1X पर संक्रमण मापने योग्य व्यावसायिक मूल्य प्रदान करता है। साझा पासवर्ड को समाप्त करके, यह हमले के दायरे को नाटकीय रूप से कम करता है, सीधे PCI-DSS (आवश्यकताएं 1 और 8) और GDPR डेटा सुरक्षा जनादेशों के अनुपालन का समर्थन करता है। परिचालन रूप से, यह केंद्रीकृत पहुंच नियंत्रण को सक्षम बनाता है, जिससे IT टीमों को केंद्रीय निर्देशिका में उनके खाते को अक्षम करके दुनिया भर के हर स्थान पर उपयोगकर्ता की पहुंच को तुरंत रद्द करने की अनुमति मिलती है। इसके अलावा, पुराने ऑन-प्रिमाइसेस RADIUS सर्वरों को सेवा से हटाकर, संगठन हार्डवेयर रखरखाव लागत, सॉफ्टवेयर लाइसेंसिंग शुल्क और वितरित बुनियादी ढांचे को पैच करने और प्रबंधित करने के प्रशासनिक बोझ को कम करते हैं। Retail और Hospitality जैसे क्षेत्रों में पूरे एस्टेट में तैनाती के लिए, यह केंद्रीकृत सुरक्षा स्थिति सुरक्षित डिजिटल परिवर्तन का एक प्रमुख प्रवर्तक है।
इस विषय पर हमारी व्यापक ब्रीफिंग सुनें:
मुख्य परिभाषाएं
सप्लीकेंट (Supplicant)
एक एंड-यूज़र डिवाइस (लैपटॉप, स्मार्टफोन) पर सॉफ्टवेयर क्लाइंट जो EAP का उपयोग करके नेटवर्क एक्सेस के लिए बातचीत करता है।
क्रेडेंशियल चोरी को रोकने के लिए सर्वर प्रमाणपत्रों को सत्यापित करने के लिए IT टीमों को यह सुनिश्चित करना होगा कि सप्लीकेंट सही ढंग से कॉन्फ़िगर किया गया है (अक्सर MDM के माध्यम से)।
प्रमाणकर्ता (Authenticator)
नेटवर्क डिवाइस (आमतौर पर एक WiFi एक्सेस पॉइंट या स्विच) जो प्रमाणीकरण स्थिति के आधार पर नेटवर्क तक भौतिक या तार्किक पहुँच को नियंत्रित करता है।
प्रमाणकर्ता सप्लीकेंट और RADIUS सर्वर के बीच EAP संदेशों को रिले करते हुए एक मध्यस्थ के रूप में कार्य करता है।
Cloud RADIUS
एक केंद्रीकृत, क्लाउड-होस्टेड प्रमाणीकरण सेवा जो ऑन-प्रिमाइसेस सर्वर की आवश्यकता के बिना वितरित नेटवर्क इन्फ्रास्ट्रक्चर से RADIUS अनुरोधों को संसाधित करती है।
हार्डवेयर रखरखाव ओवरहेड के बिना एंटरप्राइज़-ग्रेड सुरक्षा लागू करने की तलाश कर रहे मल्टी-साइट संगठनों के लिए आवश्यक।
EAP (एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल)
सप्लीकेंट और ऑथेंटिकेशन सर्वर के बीच ऑथेंटिकेशन संदेशों को समाहित करने के लिए उपयोग किया जाने वाला फ्रेमवर्क।
सही EAP विधि (जैसे, PEAP बनाम EAP-TLS) का चयन वायरलेस नेटवर्क की सुरक्षा शक्ति और परिनियोजन जटिलता को निर्धारित करता है।
RadSec
एक प्रोटोकॉल जो TLS टनल पर RADIUS डेटा प्रसारित करता है, जिससे ट्रांजिट में ऑथेंटिकेशन ट्रैफ़िक का एन्क्रिप्शन सुनिश्चित होता है।
Cloud RADIUS का उपयोग करते समय महत्वपूर्ण है, क्योंकि यह संवेदनशील क्रेडेंशियल एक्सचेंजों को सार्वजनिक इंटरनेट पर इंटरसेप्शन से बचाता है।
Dynamic VLAN Assignment
वह प्रक्रिया जहां RADIUS सर्वर ऑथेंटिकेटर को उपयोगकर्ता की पहचान या समूह सदस्यता के आधार पर किसी डिवाइस को एक विशिष्ट वर्चुअल नेटवर्क सेगमेंट पर रखने का निर्देश देता है।
IT को एक ही SSID प्रसारित करने की अनुमति देता है और साथ ही ट्रैफ़िक को सुरक्षित रूप से विभाजित करता है (जैसे, HR स्टाफ और IT स्टाफ को अलग-अलग सबनेट पर रखना)।
Mutual Authentication
एक सुरक्षा प्रक्रिया जहां क्लाइंट सर्वर की पहचान को सत्यापित करता है, और सर्वर क्लाइंट की पहचान को सत्यापित करता है (आमतौर पर प्रमाणपत्रों का उपयोग करके)।
EAP-TLS की परिभाषित विशेषता, जो इसे मैन-इन-द-मिडल हमलों के प्रति अत्यधिक प्रतिरोधी बनाती है।
MAC Authentication Bypass (MAB)
एक फ़ॉलबैक ऑथेंटिकेशन विधि जो किसी डिवाइस के MAC एड्रेस को उसके क्रेडेंशियल के रूप में उपयोग करती है जब वह 802.1X सप्लीकेंट का समर्थन नहीं कर सकती है।
प्रिंटर या IoT उपकरणों जैसे पुराने हार्डवेयर के लिए उपयोग किया जाता है, लेकिन MAC स्पूफिंग की आसानी के कारण इसके लिए सख्त नेटवर्क सेगमेंटेशन की आवश्यकता होती है।
हल किए गए उदाहरण
एक 200 कमरों वाले होटल को, जो बैक-ऑफ-हाउस संचालन (हाउसकीपिंग टैबलेट, पॉइंट-ऑफ-सेल टर्मिनल, मैनेजर लैपटॉप) के लिए एक लीगेसी PSK नेटवर्क संचालित कर रहा है, आगामी ऑडिट से पहले PCI-DSS अनुपालन प्राप्त करने की आवश्यकता है। उनके पास ऑन-साइट IT स्टाफ नहीं है और वे स्थानीय सर्वर तैनात नहीं कर सकते हैं।
होटल को सीधे अपने केंद्रीय Azure AD टेनेंट के साथ एकीकृत Cloud RADIUS समाधान तैनात करना चाहिए। मैनेजर लैपटॉप (Windows/macOS) के लिए, उन्हें PEAP-MSCHAPv2 लागू करना चाहिए, जिसमें विश्वसनीय सर्वर प्रमाणपत्र को पुश करने और सत्यापन लागू करने के लिए MDM प्रोफ़ाइल का उपयोग किया जाना चाहिए। पॉइंट-ऑफ-सेल टर्मिनलों के लिए जिनमें मजबूत सप्लीकेंट की कमी हो सकती है, उन्हें MAC Authentication Bypass (MAB) का उपयोग करना चाहिए, लेकिन इन उपकरणों को कड़ाई से एक अलग VLAN में असाइन करना चाहिए जो केवल भुगतान गेटवे के साथ संचार की अनुमति देता है। परिनियोजन के लिए RadSec के साथ कनेक्शन को सुरक्षित करते हुए, मौजूदा क्लाउड-प्रबंधित एक्सेस पॉइंट्स को Cloud RADIUS IP एड्रेस पर इंगित करने के लिए कॉन्फ़िगर करना आवश्यक है।
एक राष्ट्रीय रिटेल चेन 500 स्टोर्स में इन्वेंट्री प्रबंधन के लिए कॉर्पोरेट-स्वामित्व वाले टैबलेट का एक नया बेड़ा शुरू कर रही है। वे यह सुनिश्चित करना चाहते हैं कि यदि कोई टैबलेट चोरी भी हो जाए, तो उसका उपयोग नेटवर्क तक पहुँचने के लिए न किया जा सके, और वे पासवर्ड से संबंधित हेल्पडेस्क टिकटों को समाप्त करना चाहते हैं।
रिटेलर को EAP-TLS लागू करना होगा। वे एक आंतरिक प्रमाणपत्र प्राधिकरण (CA) तैनात करेंगे और इसे अपने MDM प्लेटफॉर्म के साथ एकीकृत करेंगे। जब एक टैबलेट तैयार किया जाता है, तो MDM डिवाइस पर एक अनूठा क्लाइंट प्रमाणपत्र पुश करता है। Cloud RADIUS सेवा को केवल एक वैध क्लाइंट प्रमाणपत्र की उपस्थिति के आधार पर उपकरणों को प्रमाणित करने के लिए कॉन्फ़िगर किया गया है। यदि किसी टैबलेट के चोरी होने की सूचना मिलती है, तो IT टीम बस CA में उस विशिष्ट प्रमाणपत्र को रद्द कर देती है। Cloud RADIUS सेवा, प्रमाणपत्र रद्दीकरण सूची (CRL) की जाँच करके या OCSP के माध्यम से, तुरंत नेटवर्क पहुँच को अस्वीकार कर देगी।
अभ्यास प्रश्न
Q1. आपका संगठन एक साझा PSK से PEAP-MSCHAPv2 का उपयोग करके 802.1X पर माइग्रेट कर रहा है। पायलट चरण के दौरान, उपयोगकर्ता रिपोर्ट करते हैं कि वे कनेक्ट हो सकते हैं, लेकिन एक सुरक्षा ऑडिट से पता चलता है कि डिवाइस उनके सामने प्रस्तुत किए गए किसी भी सर्वर प्रमाणपत्र को चुपचाप स्वीकार कर रहे हैं। तत्काल जोखिम क्या है, और इसका समाधान कैसे किया जाना चाहिए?
संकेत: विचार करें कि क्या होता है यदि कोई हमलावर आपके कॉर्पोरेट SSID को प्रसारित करने वाला एक एक्सेस पॉइंट स्थापित करता है।
मॉडल उत्तर देखें
तत्काल जोखिम एक दुष्ट एक्सेस पॉइंट के माध्यम से मैन-इन-द-मिडल (MitM) हमला है। एक हमलावर कॉर्पोरेट SSID प्रसारित कर सकता है, एक स्व-हस्ताक्षरित प्रमाणपत्र प्रस्तुत कर सकता है, और जैसे ही डिवाइस ऑथेंटिकेट करने का प्रयास करते हैं, उपयोगकर्ता क्रेडेंशियल चुरा सकता है। इसका समाधान करने के लिए, IT टीम को सर्वर प्रमाणपत्र को स्पष्ट रूप से सत्यापित करने के लिए (MDM या समूह नीति के माध्यम से) सप्लीकेंट प्रोफाइल को कॉन्फ़िगर करना होगा। इसमें उस सटीक विश्वसनीय रूट CA को निर्दिष्ट करना शामिल है जिसने RADIUS सर्वर का प्रमाणपत्र जारी किया है और अपेक्षित सर्वर होस्टनाम को सख्ती से परिभाषित करना है।
Q2. एक दूरस्थ खुदरा शाखा ने अपना इंटरनेट कनेक्शन खो दिया है। स्थानीय एक्सेस पॉइंट अभी भी चालू हैं। क्या वर्तमान में 802.1X नेटवर्क से जुड़े स्टाफ डिवाइस कनेक्टेड रहेंगे, और क्या नए डिवाइस ऑथेंटिकेट कर पाएंगे? स्थानीय उत्तरजीविता नोड्स के बिना मानक Cloud RADIUS आर्किटेक्चर मानें।
संकेत: एक ऑथेंटिकेशन अनुरोध द्वारा लिए जाने वाले मार्ग और पहले से अधिकृत पोर्ट की स्थिति के बारे में सोचें।
मॉडल उत्तर देखें
जो डिवाइस पहले से ही ऑथेंटिकेट और कनेक्टेड हैं, वे आमतौर पर तब तक कनेक्टेड रहेंगे जब तक कि उनका सेशन टाइमआउट समाप्त नहीं हो जाता या वे डिस्कनेक्ट नहीं हो जाते, क्योंकि ऑथेंटिकेटर पोर्ट पहले से ही अधिकृत स्थिति में है। हालांकि, कनेक्ट करने का प्रयास करने वाले नए डिवाइस, या फिर से ऑथेंटिकेट करने का प्रयास करने वाले डिवाइस विफल हो जाएंगे। चूंकि इंटरनेट कनेक्शन बंद है, इसलिए एक्सेस पॉइंट EAP एक्सचेंज को प्रोसेस करने के लिए Cloud RADIUS सर्वर तक नहीं पहुंच सकते हैं। यह क्लाउड-आधारित ऑथेंटिकेशन पर भरोसा करते समय लचीले WAN लिंक के महत्व को रेखांकित करता है।
Q3. आपको एक गोदाम में पुराने बारकोड स्कैनर्स के बेड़े के लिए नेटवर्क एक्सेस सुरक्षित करने की आवश्यकता है। ये स्कैनर 802.1X सप्लीकेंट का समर्थन नहीं करते हैं और केवल WPA2-Personal (PSK) का समर्थन करते हैं। आप हार्डवेयर को अपग्रेड नहीं कर सकते। आप इन उपकरणों को अपने 802.1X कॉर्पोरेट उपकरणों के साथ एक सुरक्षित नेटवर्क आर्किटेक्चर में कैसे एकीकृत करते हैं?
संकेत: आपको 802.1X के विकल्प की आवश्यकता है जो अभी भी नेटवर्क-स्तरीय अलगाव के साथ संयुक्त एक्सेस नियंत्रण प्रदान करता है।
मॉडल उत्तर देखें
अनुशंसित दृष्टिकोण बारकोड स्कैनर के लिए MAC Authentication Bypass (MAB) का उपयोग करना है। एक्सेस पॉइंट स्कैनर के MAC एड्रेस को पहचान के रूप में उपयोग करेगा और इसे RADIUS सर्वर पर भेजेगा। चूंकि MAC एड्रेस को आसानी से स्पूफ किया जा सकता है, इसलिए यह कमजोर ऑथेंटिकेशन प्रदान करता है। इसलिए, सफल MAB ऑथेंटिकेशन पर एक विशिष्ट VLAN एट्रिब्यूट वापस करने के लिए RADIUS सर्वर को कॉन्फ़िगर किया जाना चाहिए। इस VLAN को फ़ायरवॉल या ACLs के माध्यम से अत्यधिक प्रतिबंधित किया जाना चाहिए, जिससे स्कैनर केवल उन विशिष्ट इन्वेंट्री सर्वर के साथ संवाद कर सकें जिनकी उन्हें आवश्यकता है, और अन्य सभी लैटरल नेटवर्क एक्सेस को ब्लॉक किया जा सके।
इस श्रृंखला में आगे पढ़ें
हाइब्रिड वर्कफोर्स के लिए RADIUS as a Service के सुरक्षा लाभ
यह तकनीकी संदर्भ मार्गदर्शिका बताती है कि कैसे RADIUS as a Service वितरित स्थानों पर हाइब्रिड वर्कफोर्स के लिए नेटवर्क एक्सेस को सुरक्षित करता है। इसमें ऑन-प्रिमाइसेस RADIUS इंफ्रास्ट्रक्चर को क्लाउड-प्रबंधित ऑथेंटिकेशन सेवा से बदलने के लिए आर्किटेक्चर, सुरक्षा लाभ और डिप्लॉयमेंट चरणों को शामिल किया गया है। होटलों, रिटेल चेन, स्टेडियमों और सार्वजनिक क्षेत्र के संगठनों के IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए, यह मार्गदर्शिका इस तिमाही में क्लाउड RADIUS माइग्रेशन का मूल्यांकन करने और उस पर कार्रवाई करने के लिए आवश्यक प्रमाण प्रदान करती है।
Cloud Directories (Azure AD और Google Workspace) के साथ RADIUS as a Service को एकीकृत करना
यह तकनीकी संदर्भ मार्गदर्शिका विवरण देती है कि एंटरप्राइज़ WiFi ऑथेंटिकेशन के लिए क्लाउड डायरेक्टरीज़ - Microsoft Entra ID और Google Workspace - के साथ RADIUS as a Service को कैसे एकीकृत किया जाए। यह ऑन-प्रिमाइसेस NPS से क्लाउड-नेटीव RADIUS में आर्किटेक्चरल बदलाव, सर्टिफिकेट-आधारित EAP-TLS ऑथेंटिकेशन के परिनियोजन, और हॉस्पिटैलिटी, रिटेल और सार्वजनिक क्षेत्र के परिवेशों में वायरलेस एक्सेस को सुरक्षित करने के लिए परिचालन सर्वोत्तम प्रथाओं को कवर करती है। आईटी प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए जो पहले से ही क्लाउड पहचान में निवेश कर चुके हैं, यह गाइड डायरेक्टरी प्रबंधन और भौतिक नेटवर्क सुरक्षा के बीच की खाई को पाटती है।
Cloud RADIUS क्या है? RADIUS-as-a-Service के लिए एक व्यापक गाइड
यह व्यापक गाइड Cloud RADIUS (RADIUS-as-a-Service) का पता लगाती है, जिसमें इसके आर्किटेक्चर, EAP विधियों और कार्यान्वयन रणनीतियों का विवरण दिया गया है। यह IT लीडर्स को ऑन-प्रिमाइसेस सर्वर से एक स्केलेबल, सुरक्षित और अनुपालन वाले क्लाउड-आधारित ऑथेंटिकेशन मॉडल में माइग्रेट करने पर कार्रवाई योग्य अंतर्दृष्टि प्रदान करता है।