मुख्य सामग्री पर जाएं

Cloud RADIUS के साथ 802.1X प्रमाणीकरण को कैसे लागू करें

यह तकनीकी संदर्भ मार्गदर्शिका वितरित एंटरप्राइज़ संपत्तियों में Cloud RADIUS के साथ 802.1X प्रमाणीकरण लागू करने के लिए एक व्यापक ढांचा प्रदान करती है। यह ऑन-प्रिमाइसेस इन्फ्रास्ट्रक्चर के परिचालन ओवरहेड को समाप्त करते हुए नेटवर्क एक्सेस को सुरक्षित करने के लिए आवश्यक आर्किटेक्चर, EAP विधि चयन, परिनियोजन अनुक्रमण और जोखिम न्यूनीकरण रणनीतियों का विवरण देती है।

📖 5 मिनट का पाठ📝 1,189 शब्द🔧 2 हल किए गए उदाहरण3 अभ्यास प्रश्न📚 8 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें
Cloud RADIUS के साथ 802.1X प्रमाणीकरण कैसे लागू करें एक Purple WiFi इंटेलिजेंस ब्रीफिंग --- परिचय और संदर्भ (लगभग 1 मिनट) --- Purple WiFi इंटेलिजेंस ब्रीफिंग में आपका स्वागत है। मैं आपका होस्ट हूँ, और आज हम Cloud RADIUS के साथ 802.1X प्रमाणीकरण के बारे में विस्तार से जानेंगे - यह क्या है, यह अभी क्यों महत्वपूर्ण है, और इसे वास्तव में एक बहु-साइट एस्टेट में कैसे तैनात किया जाए। यदि आप किसी होटल समूह, एक रिटेल चेन, एक स्टेडियम, या एक सार्वजनिक-क्षेत्र के संगठन के लिए WiFi इन्फ्रास्ट्रक्चर का प्रबंधन कर रहे हैं, तो यह उन विषयों में से एक है जो बार-बार सामने आता है - और अच्छे कारण के लिए। खतरे का परिदृश्य बदल गया है। साझा PSK नेटवर्क को तेजी से एक अनुपालन दायित्व के रूप में देखा जा रहा है, न कि केवल एक सुरक्षा असुविधा के रूप में। नियामक, लेखा परीक्षक, और साइबर बीमाकर्ता सभी नेटवर्क एक्सेस कंट्रोल के बारे में कठिन सवाल पूछ रहे हैं। और अच्छी खबर यह है कि क्लाउड-डिलीवर्ड RADIUS ने बड़े पैमाने पर 802.1X को वास्तविक रूप से तैनात करने योग्य बना दिया है, बिना उस ऑन-प्रिमाइसेस इन्फ्रास्ट्रक्चर ओवरहेड के जो पहले इसे वितरित एस्टेट के लिए अव्यावहारिक बनाता था। तो चलिए शुरू करते हैं। --- तकनीकी गहन चर्चा (लगभग 5 मिनट) --- सबसे पहले, आइए सुनिश्चित करें कि हम सभी एक ही परिभाषा पर काम कर रहे हैं। IEEE 802.1X एक पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल मानक है। यह एक प्रमाणीकरण ढांचे को परिभाषित करता है जो OSI मॉडल के लेयर 2 पर बैठता है - इसलिए यह डिवाइस को कोई भी IP कनेक्टिविटी दिए जाने से पहले काम करता है। एप्लीकेशन-लेयर प्रमाणीकरण से यही मुख्य अंतर है। 802.1X के साथ, कोई भी डिवाइस तब तक नेटवर्क पर नहीं आ सकता जब तक कि उसे सकारात्मक रूप से प्रमाणित न कर दिया जाए। इस प्रोटोकॉल के तीन घटक हैं। सप्लीकेंट - यानी एंड डिवाइस, चाहे वह लैपटॉप हो, स्मार्टफोन हो, या पॉइंट-ऑफ-सेल टर्मिनल हो। ऑथेंटिकेटर - आमतौर पर आपका WiFi एक्सेस पॉइंट या आपका प्रबंधित स्विच। और ऑथेंटिकेशन सर्वर - जो आधुनिक तैनाती में आपका क्लाउड RADIUS सेवा है। फ्लो इस तरह काम करता है। एक डिवाइस एक्सेस पॉइंट से जुड़ने का प्रयास करता है। एक्सेस पॉइंट तुरंत पूर्ण नेटवर्क एक्सेस नहीं देता है। इसके बजाय, यह एक नियंत्रित पोर्ट खोलता है और डिवाइस के साथ एक EAP एक्सचेंज - यानी एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल - शुरू करता है। डिवाइस अपने क्रेडेंशियल प्रस्तुत करता है, जो एक यूज़रनेम और पासवर्ड, एक डिजिटल प्रमाणपत्र, या एक सिम-आधारित पहचान हो सकती है। एक्सेस पॉइंट UDP पर RADIUS प्रोटोकॉल का उपयोग करके उस एक्सचेंज को RADIUS सर्वर पर रिले करता है, आमतौर पर प्रमाणीकरण के लिए पोर्ट 1812 और अकाउंटिंग के लिए 1813 पर। RADIUS सर्वर एक पहचान स्टोर - Active Directory, Azure AD, या एक LDAP निर्देशिका - के खिलाफ क्रेडेंशियल को मान्य करता है और या तो Access-Accept या Access-Reject संदेश लौटाता है। यदि स्वीकार किया जाता है, तो एक्सेस पॉइंट पोर्ट खोलता है और डिवाइस को नेटवर्क एक्सेस मिल जाता है। यदि अस्वीकार कर दिया जाता है, तो यह ब्लॉक रहता है। सिद्धांत रूप में सरल है, लेकिन कार्यान्वयन विवरण बहुत मायने रखते हैं। अब, EAP विधि का चयन वह जगह है जहाँ बहुत सी तैनातियाँ गलत हो जाती हैं। आम उपयोग में कई EAP विधियाँ हैं, और उनके सुरक्षा प्रोफाइल और परिचालन आवश्यकताएं बहुत भिन्न हैं।EAP-TLS गोल्ड स्टैंडर्ड है। इसमें पारस्परिक सर्टिफिकेट प्रमाणीकरण की आवश्यकता होती है - सर्वर और क्लाइंट दोनों एक सर्टिफिकेट प्रस्तुत करते हैं। यह क्रेडेंशियल चोरी के जोखिम को पूरी तरह से समाप्त कर देता है, क्योंकि चोरी करने के लिए कोई पासवर्ड नहीं होते हैं। लेकिन इसके लिए एक PKI इन्फ्रास्ट्रक्चर और क्लाइंट सर्टिफिकेट को डिवाइस पर पुश करने के लिए एक मैकेनिज्म की आवश्यकता होती है, जिसका आमतौर पर मतलब एक MDM समाधान होता है। कॉर्पोरेट BYOD वातावरण और उच्च-सुरक्षा वाली तैनाती के लिए, यह सही उत्तर है। MSCHAPv2 के साथ PEAP उद्यम वातावरण में सबसे व्यापक रूप से तैनात विधि है। इसमें केवल सर्वर-साइड सर्टिफिकेट की आवश्यकता होती है, और यह TLS के भीतर क्रेडेंशियल एक्सचेंज को टनल करता है। यह मूल रूप से Active Directory के साथ संगत है, जो इसे परिचालन रूप से सीधा बनाता है। जोखिम यह है कि यदि उपयोगकर्ता स्व-हस्ताक्षरित सर्टिफिकेट वाले किसी दुष्ट एक्सेस पॉइंट से जुड़ते हैं, तो यह क्रेडेंशियल हार्वेस्टिंग के प्रति संवेदनशील हो जाता है - इसलिए क्लाइंट साइड पर सर्टिफिकेट सत्यापन गैर-परक्राम्य है। EAP-TTLS PEAP के समान है लेकिन आंतरिक प्रमाणीकरण विधि में अधिक लचीला है। यह विशेष रूप से मिश्रित-डिवाइस वातावरण में उपयोगी है जहां आपके पास विभिन्न सप्लीकेंट क्षमताओं वाले Windows, macOS, iOS और Android डिवाइस का संयोजन होता है। विरासत डिवाइस समर्थन के लिए - जैसे कि पुराने पॉइंट-ऑफ-सेल हार्डवेयर या IoT सेंसर - EAP-FAST एक व्यावहारिक विकल्प हो सकता है, क्योंकि इसमें सर्टिफिकेट की आवश्यकता नहीं होती है और इसके बजाय यह Protected Access Credential का उपयोग करता है। अब, क्लाउड RADIUS का हिस्सा। पारंपरिक रूप से, RADIUS एक ऑन-प्रिमाइसेस सेवा थी - Linux सर्वर पर FreeRADIUS, या Windows Server पर Microsoft NPS। वह मॉडल काम करता है, लेकिन इसकी वास्तविक परिचालन लागतें हैं: हार्डवेयर रखरखाव, उच्च उपलब्धता कॉन्फ़िगरेशन, पैचिंग, और हर उस साइट पर स्थानीय इन्फ्रास्ट्रक्चर की आवश्यकता जिसे कम-विलंबता प्रमाणीकरण की आवश्यकता है। क्लाउड RADIUS उस गणना को महत्वपूर्ण रूप से बदल देता है। एक क्लाउड RADIUS सेवा प्रदाता द्वारा होस्ट और प्रबंधित की जाती है। आपके एक्सेस पॉइंट इंटरनेट पर क्लाउड सेवा को RADIUS अनुरोध भेजते हैं, जो आपके पहचान प्रदाता के खिलाफ प्रमाणीकरण को संभालता है। विलंबता की चिंता वास्तविक है लेकिन प्रबंधनीय है - आधुनिक क्लाउड RADIUS सेवाएं विश्व स्तर पर वितरित हैं, और प्रमाणीकरण राउंड-ट्रिप आमतौर पर 100 मिलीसेकंड से कम समय में पूरे हो जाते हैं, जो अंतिम उपयोगकर्ताओं के लिए अगोचर है। पहचान प्रदाताओं के साथ एकीकरण महत्वपूर्ण निर्भरता है। अधिकांश क्लाउड RADIUS प्लेटफॉर्म LDAP, LDAPS, SAML 2.0 और सीधे Azure AD या Okta एकीकरण का समर्थन करते हैं। पहले से ही Microsoft 365 चलाने वाले संगठनों के लिए, Azure AD एकीकरण प्राकृतिक मार्ग है - आपको सिंगल साइन-ऑन, क्रेडेंशियल एक्सेस नीतियां और MFA प्रवर्तन सभी आपके नेटवर्क एक्सेस कंट्रोल लेयर में मिलते हैं। उन स्थानों के लिए जो कर्मचारी नेटवर्क के साथ-साथ गेस्ट WiFi तैनात कर रहे हैं, आर्किटेक्चर आमतौर पर इन्हें अलग-अलग SSIDs में अलग करता है जिसमें विभिन्न प्रमाणीकरण नीतियां होती हैं। कर्मचारी नेटवर्क कॉर्पोरेट क्रेडेंशियल के साथ 802.1X का उपयोग करते हैं। गेस्ट नेटवर्क एक Captive Portal या सोशल लॉगिन फ्लो का उपयोग करते हैं। Purple का प्लेटफ़ॉर्म दोनों मॉडलों का समर्थन करता है, और WiFi एनालिटिक्स लेयर दोनों पर काम करती है, जिससे आपको सुरक्षा सेगमेंटेशन से समझौता किए बिना डिवाइस के व्यवहार, रुकने के समय और नेटवर्क उपयोग की दृश्यता मिलती है। --- कार्यान्वयन सिफारिशें और संभावित गलतियां (लगभग 2 मिनट) --- मैं आपको व्यावहारिक परिनियोजन अनुक्रम देता हूँ, और उन विफलताओं को चिन्हित करता हूँ जिन्हें मैं अक्सर देखता हूँ। अपने पहचान प्रदाता एकीकरण के साथ शुरुआत करें। किसी भी एक्सेस पॉइंट को छूने से पहले, पुष्टि करें कि आपकी क्लाउड RADIUS सेवा आपके डायरेक्टरी के खिलाफ प्रमाणित हो सकती है। एक सर्विस अकाउंट के साथ परीक्षण करें, LDAP बाइंड को मान्य करें, और पुष्टि करें कि समूह सदस्यता विशेषताएँ सही ढंग से वापस आ रही हैं - क्योंकि आपको VLAN असाइनमेंट नीतियों के लिए उनकी आवश्यकता होगी। दूसरा, अपनी प्रमाणपत्र रणनीति की योजना बनाएं। यदि आप EAP-TLS के साथ जा रहे हैं, तो आपको एक CA की आवश्यकता है, आपको यह तय करना होगा कि आप एक सार्वजनिक CA का उपयोग कर रहे हैं या आंतरिक का, और आपको क्लाइंट प्रमाणपत्रों के लिए एक MDM रोलआउट योजना की आवश्यकता है। यदि आप PEAP के साथ जा रहे हैं, तो आपको एक विश्वसनीय CA से सर्वर प्रमाणपत्र की आवश्यकता होगी - स्व-हस्ताक्षरित नहीं - और आपको सभी क्लाइंट डिवाइसों पर CA प्रमाणपत्र को पुश करना होगा ताकि प्रमाणपत्र सत्यापन सही ढंग से काम करे। यही वह चरण है जिसे छोड़ दिया जाता है और इससे सुरक्षा घटनाएं होती हैं। तीसरा, अपने RADIUS क्लाइंट्स - यानी आपके एक्सेस पॉइंट्स और कंट्रोलर्स - को सही साझा रहस्य (shared secret) और सर्वर IP या होस्टनाम के साथ कॉन्फ़िगर करें। एक मजबूत, बेतरतीब ढंग से उत्पन्न साझा रहस्य का उपयोग करें, न कि किसी डिक्शनरी शब्द का। और यदि आपका क्लाउड RADIUS प्रदाता TLS पर RADIUS - RadSec - का समर्थन करता है, तो इसका उपयोग करें। यह पारगमन में RADIUS ट्रैफ़िक को एन्क्रिप्ट करता है, जो विशेष रूप से तब महत्वपूर्ण होता है जब वह ट्रैफ़िक सार्वजनिक इंटरनेट से गुजर रहा हो। चौथा, पूर्ण रोलआउट से पहले एक पायलट समूह के साथ परीक्षण करें। बड़े पैमाने पर प्रमाणीकरण की विफलताएं विघटनकारी होती हैं और दबाव में उनका निदान करना कठिन होता है। दस से बीस उपकरणों के साथ एक पायलट चलाएं, प्रमाणीकरण लॉग को सत्यापित करें, पुष्टि करें कि VLAN असाइनमेंट काम कर रहा है, और जांचें कि अकाउंटिंग रिकॉर्ड सही ढंग से लिखे जा रहे हैं। विफलता के तरीके जो मैं अक्सर देखता हूँ: क्लाइंट्स पर प्रमाणपत्र सत्यापन अक्षम होना, जिससे मैन-इन-द-मिडल भेद्यता पैदा होती है। साझा रहस्य जो बहुत छोटे हैं या साइटों पर पुन: उपयोग किए जाते हैं। RADIUS सर्वर IP अनुमति सूची (allowlisting) कॉन्फ़िगर न होना, जिससे नई साइटों से प्रमाणीकरण अनुरोध चुपचाप ड्रॉप हो जाते हैं। और प्रमाणपत्र समाप्त होने पर MDM प्रोफाइल अपडेट न होना, जिससे नवीनीकरण के दिन बड़े पैमाने पर प्रमाणीकरण विफलताएं होती हैं। --- त्वरित प्रश्नोत्तर (लगभग 1 मिनट) --- कुछ प्रश्न जो मुझसे नियमित रूप से पूछे जाते हैं। क्या मैं ऐसे नेटवर्क पर 802.1X चला सकता हूँ जिसमें IoT डिवाइस भी हैं जो EAP का समर्थन नहीं करते हैं? हाँ - उन उपकरणों के लिए फ़ॉलबैक के रूप में MAC प्रमाणीकरण बाईपास का उपयोग करें जो सप्लिकेंट नहीं चला सकते हैं, लेकिन उन उपकरणों को सख्त फ़ायरवॉल नियमों के साथ एक प्रतिबंधित VLAN पर रखें।क्या 802.1X WPA2 या WPA3 एन्क्रिप्शन की जगह लेता है? नहीं - 802.1X प्रमाणीकरण (authentication) को संभालता है। WPA2-Enterprise या WPA3-Enterprise एन्क्रिप्शन को संभालता है। आपको दोनों की आवश्यकता है। नए डिप्लॉयमेंट के लिए 802.1X के साथ WPA3-Enterprise वर्तमान में सबसे अच्छा अभ्यास है। प्रमाणीकरण पर लेटेंसी का क्या प्रभाव पड़ता है? एक अच्छी तरह से कॉन्फ़िगर की गई क्लाउड RADIUS सेवा के साथ, प्रति प्रमाणीकरण 50 से 150 मिलीसेकंड की अपेक्षा करें। रोमिंग परिदृश्यों के लिए, 802.11r फास्ट BSS ट्रांज़िशन री-ऑथेंटिकेशन ओवरहेड को काफी कम कर सकता है। क्या यह PCI-DSS अनुपालन करता है? उचित रूप से खंडित (segmented) नेटवर्क पर EAP-TLS या PEAP के साथ 802.1X नेटवर्क एक्सेस कंट्रोल के लिए PCI-DSS आवश्यकता 1 और आवश्यकता 8 को पूरा करता है। अपने QSA को शुरुआत में ही शामिल करें। --- सारांश और अगले कदम (लगभग 1 मिनट) --- इसे संक्षेप में कहें तो: किसी भी संगठन के लिए जो ऑडिटर्स को नेटवर्क एक्सेस कंट्रोल प्रदर्शित करना चाहता है, क्रेडेंशियल चोरी के प्रभाव क्षेत्र को कम करना चाहता है, या वितरित संपत्तियों में केंद्रीय रूप से प्रमाणीकरण का प्रबंधन करना चाहता है, क्लाउड RADIUS के साथ 802.1X सही उत्तर है। यह डिप्लॉयमेंट आसान नहीं है, लेकिन सही तैयारी के साथ यह पूरी तरह से प्रबंधित करने योग्य है। सबसे पहले अपने आइडेंटिटी प्रोवाइडर इंटीग्रेशन को सही करें। अपनी डिवाइस संपत्ति और सर्टिफिकेट प्रबंधित करने की अपनी परिचालन क्षमता के आधार पर अपना EAP तरीका चुनें। यदि आपका इंफ्रास्ट्रक्चर इसका समर्थन करता है तो RadSec का उपयोग करें। और बड़े पैमाने पर रोल आउट करने से पहले परीक्षण करें। यदि आप एक मिश्रित अतिथि और कर्मचारी नेटवर्क चला रहे हैं - जो कि अधिकांश हॉस्पिटैलिटी और रिटेल ऑपरेटर करते हैं - तो Purple जैसे प्लेटफॉर्म आपको एक ही डैशबोर्ड से दोनों प्रमाणीकरण मॉडलों को प्रबंधित करने की क्षमता देते हैं, जिसमें एनालिटिक्स लेयर पूरी संपत्ति पर काम करती है। आपके अगले कदमों के लिए: अपने वर्तमान नेटवर्क एक्सेस कंट्रोल की स्थिति का ऑडिट करें, पहचानें कि कौन सी साइटें अभी भी साझा PSK चला रही हैं, और एक चरणबद्ध माइग्रेशन योजना बनाएं। अपनी उच्चतम जोखिम वाली साइटों से शुरुआत करें - जो PCI-DSS के दायरे में हैं या संवेदनशील डेटा संभाल रही हैं - और फिर आगे बढ़ें। सुनने के लिए धन्यवाद। अधिक तकनीकी जानकारी purple.ai पर उपलब्ध है।

header_image.png

कार्यकारी सारांश (Executive Summary)

हॉस्पिटैलिटी, रिटेल और सार्वजनिक क्षेत्र में वितरित नेटवर्क संपत्तियों का प्रबंधन करने वाले IT निर्णयकर्ताओं के लिए, नेटवर्क एक्सेस को सुरक्षित करना एक परिचालन प्राथमिकता से बदलकर एक सख्त अनुपालन अनिवार्यता बन गया है। प्री-शेयर्ड कीज़ (PSKs) पर भरोसा करना अस्वीकार्य जोखिम पैदा करता है, PCI-DSS जैसे आधुनिक ऑडिट मानकों में विफल रहता है, और क्रेडेंशियल से समझौता होने की स्थिति में संगठन को लेटरल मूवमेंट के प्रति संवेदनशील बनाता है। IEEE 802.1X पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल पर ट्रांज़िशन करना IP कनेक्टिविटी दिए जाने से पहले डिवाइसों को प्रमाणित करके इन जोखिमों को प्रभावी ढंग से कम करता है।

ऐतिहासिक रूप से, बहु-साइट संपत्तियों में 802.1X को तैनात करने में लेटेंसी और उपलब्धता को प्रबंधित करने के लिए स्थानीयकृत RADIUS बुनियादी ढांचे की आवश्यकता के कारण बाधा आती थी। Cloud RADIUS आर्किटेक्चर के परिपक्व होने ने इस तस्वीर को पूरी तरह से बदल दिया है। प्रमाणीकरण निर्णयों को केंद्रीकृत करके और सीधे क्लाउड आइडेंटिटी प्रदाताओं (जैसे कि Azure AD या Okta) के साथ एकीकृत करके, संगठन ऑन-प्रिमाइसेस सर्वर के पूंजीगत व्यय और रखरखाव के बोझ के बिना सभी स्थानों पर समान रूप से मजबूत एक्सेस नीतियों को लागू कर सकते हैं। यह गाइड सफलतापूर्वक Cloud RADIUS के साथ 802.1X प्रमाणीकरण को लागू करने के लिए तकनीकी आर्किटेक्चर, परिनियोजन पद्धति और परिचालन सर्वोत्तम प्रथाओं की रूपरेखा तैयार करती है, जिससे यह सुनिश्चित होता है कि एंटरप्राइज Guest WiFi और कॉर्पोरेट नेटवर्क दोनों सुरक्षित और स्केलेबल बने रहें।

गहन तकनीकी विश्लेषण (Technical Deep-Dive)

आधुनिक एंटरप्राइज वायरलेस सुरक्षा की नींव IEEE 802.1X मानक पर बनी है। एप्लिकेशन-लेयर प्रमाणीकरण के विपरीत, 802.1X OSI मॉडल के लेयर 2 पर काम करता है। जब कोई डिवाइस (सप्लीकेंट) एक्सेस पॉइंट (ऑथेंटिकेटर) के साथ जुड़ने का प्रयास करता है, तो पोर्ट एक अनधिकृत स्थिति में रहता है, केवल एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल (EAP) ट्रैफ़िक की अनुमति देता है। यह ट्रैफ़िक RADIUS पैकेटों में एनकैप्सुलेट किया जाता है और प्रमाणीकरण सर्वर - Cloud RADIUS इंस्टेंस को अग्रेषित किया जाता है। केवल एक्सेस-एक्सेप्ट संदेश प्राप्त होने पर ही ऑथेंटिकेटर पोर्ट को अधिकृत स्थिति में बदलता है, जिससे नेटवर्क एक्सेस मिलता है।

Cloud RADIUS आर्किटेक्चर

architecture_overview.png

ऑन-प्रिमाइसेस से Cloud RADIUS में आर्किटेक्चरल बदलाव डिस्ट्रीब्यूटेड FreeRADIUS या Microsoft NPS सर्वर की आवश्यकता को समाप्त कर देता है। क्लाउड मॉडल में, एक्सेस पॉइंट या वायरलेस LAN कंट्रोलर सीधे इंटरनेट पर विश्व स्तर पर डिस्ट्रीब्यूटेड RADIUS सेवा के साथ संचार करते हैं। इस ट्रांजिट को सुरक्षित करने के लिए, RadSec (TLS पर RADIUS) को लागू करना आवश्यक है, जो ऑथेंटिकेशन पेलोड को एन्क्रिप्ट करता है और इसे इंटरसेप्शन से बचाता है। Cloud RADIUS सेवा एक मध्यस्थ के रूप में कार्य करती है, जो LDAP, SAML या मूल API इंटीग्रेशन के माध्यम से एक केंद्रीय Identity Provider (IdP) के खिलाफ क्रेडेंशियल्स को वैलिडेट करती है। यह डायनेमिक पॉलिसी प्रवर्तन को सक्षम बनाता है, जैसे कि Azure AD ग्रुप मेंबरशिप के आधार पर VLAN असाइन करना, कॉर्पोरेट पहचान प्रबंधन रणनीति के साथ नेटवर्क एक्सेस को सहजता से एकीकृत करना।

EAP विधि का चयन

EAP विधि का चयन डिप्लॉयमेंट की सुरक्षा स्थिति और ऑपरेशनल जटिलता को निर्धारित करता है।

eap_comparison_chart.png

  • EAP-TLS (Transport Layer Security): सबसे सुरक्षित विधि, जिसमें म्यूचुअल ऑथेंटिकेशन के लिए सर्वर और क्लाइंट दोनों सर्टिफिकेट की आवश्यकता होती है। चूंकि कोई पासवर्ड एक्सचेंज नहीं किया जाता है, इसलिए यह क्रेडेंशियल चोरी के जोखिम को समाप्त करता है। हालांकि, क्लाइंट सर्टिफिकेट डिस्ट्रीब्यूट करने के लिए इसके लिए Public Key Infrastructure (PKI) और Mobile Device Management (MDM) की आवश्यकता होती है। कॉर्पोरेट डिवाइसों के लिए इसकी दृढ़ता से अनुशंसा की जाती है।
  • PEAP-MSCHAPv2 (Protected EAP): Windows में मूल सपोर्ट और केवल सर्वर-साइड सर्टिफिकेट पर इसकी निर्भरता के कारण व्यापक रूप से डिप्लॉय किया गया है। यह TLS सेशन के भीतर क्रेडेंशियल एक्सचेंज को टनल करता है। हालांकि डिप्लॉय करना आसान है, लेकिन यदि क्लाइंट-साइड सर्टिफिकेट वैलिडेशन को कड़ाई से लागू नहीं किया जाता है, तो यह क्रेडेंशियल हार्वेस्टिंग हमलों के प्रति संवेदनशील होता है।
  • EAP-TTLS: PEAP के समान है लेकिन इनर ऑथेंटिकेशन प्रोटोकॉल में अधिक लचीलापन प्रदान करता है, जिससे यह क्लाइंट ऑपरेटिंग सिस्टम के विविध मिश्रण वाले वातावरण के लिए उपयुक्त हो जाता है।

कार्यान्वयन गाइड

Cloud RADIUS के साथ 802.1X को डिप्लॉय करने के लिए मौजूदा व्यवसाय में व्यवधान को कम करने के लिए चरणबद्ध, व्यवस्थित दृष्टिकोण की आवश्यकता होती है।

  1. Identity provider इंटीग्रेशन: Cloud RADIUS सेवा और कॉर्पोरेट IdP के बीच कनेक्शन स्थापित और वैलिडेट करें। सुनिश्चित करें कि डायरेक्टरी सिंक्रोनाइजेशन सटीक है और आवश्यक उपयोगकर्ता विशेषताएँ (जैसे ग्रुप मेंबरशिप) पॉलिसी निर्णयों के लिए उपलब्ध हैं।
  2. सर्टिफिकेट प्रबंधन: PEAP डिप्लॉयमेंट के लिए, एक विश्वसनीय सार्वजनिक Certificate Authority (CA) से सर्वर सर्टिफिकेट प्राप्त करें। महत्वपूर्ण रूप से, MDM या ग्रुप पॉलिसी के माध्यम से क्लाइंट्स को इस CA पर स्पष्ट रूप से भरोसा करने और सर्वर सर्टिफिकेट नाम को वैलिडेट करने के लिए कॉन्फ़िगर करें। EAP-TLS के लिए, आंतरिक CA इंफ्रास्ट्रक्चर डिप्लॉय करें और प्रबंधित डिवाइसों को क्लाइंट सर्टिफिकेट जारी करना शुरू करें।
  3. Network infrastructure configuration: Cloud RADIUS एंडपॉइंट्स पर इंगित करने के लिए वायरलेस कंट्रोलर और एक्सेस पॉइंट्स को कॉन्फ़िगर करें। जहां हार्डवेयर वेंडर इसका समर्थन करता है, वहां RadSec लागू करें। मजबूत क्रिप्टोग्राफिक रूप से सुरक्षित स्ट्रिंग्स का उपयोग करके RADIUS शेयर्ड सीक्रेट्स को परिभाषित करें, जिससे यह सुनिश्चित हो सके कि सीक्रेट प्रति साइट या कंट्रोलर क्लस्टर अद्वितीय है।
  4. Policy definition: Cloud RADIUS प्लेटफॉर्म के भीतर ऑथेंटिकेशन नीतियां बनाएं। सफल ऑथेंटिकेशन पर गतिशील रूप से VLANs असाइन करने या एक्सेस कंट्रोल लिस्ट (ACLs) लागू करने के लिए उपयोगकर्ता समूह, डिवाइस प्रकार या स्थान के आधार पर शर्तें परिभाषित करें।
  5. Pilot and phased rollout: प्रारंभिक पायलट के लिए उपयोगकर्ताओं और डिवाइसेस के एक प्रतिनिधि सबसेट का चयन करें। लेटेंसी समस्याओं, सर्टिफिकेट वेरिफिकेशन विफलताओं या गलत VLAN असाइनमेंट की पहचान करने के लिए ऑथेंटिकेशन लॉग की बारीकी से निगरानी करें। एक सफल पायलट के बाद, कार्यकारी कार्यालयों या संवेदनशील डेटा को संभालने वाली साइटों जैसे उच्च जोखिम वाले स्थानों को प्राथमिकता देते हुए चरणबद्ध रोलआउट निष्पादित करें।

Best Practices

  • क्लाइंट-साइड सर्टिफिकेट वेरिफिकेशन लागू करें: PEAP डिप्लॉयमेंट में सबसे आम भेद्यता क्लाइंट पर सर्वर सर्टिफिकेट वेरिफिकेशन लागू करने में विफलता है। यदि क्लाइंट को किसी भी प्रस्तुत सर्टिफिकेट पर आँख बंद करके भरोसा करने की अनुमति दी जाती है, तो वे दुष्ट एक्सेस पॉइंट हमलों के प्रति पूरी तरह से संवेदनशील हो जाते हैं।
  • सावधानी के साथ MAC Authentication Bypass (MAB) लागू करें: बिना स्क्रीन वाले डिवाइसेस जो 802.1X सप्लीकेंट नहीं चला सकते (जैसे प्रिंटर और IoT सेंसर), उनके लिए MAB का उपयोग किया जा सकता है। हालांकि, MAC एड्रेस को आसानी से स्पूफ किया जा सकता है। MAB डिवाइसेस को भारी रूप से प्रतिबंधित VLANs पर अलग किया जाना चाहिए, जिसमें उनके नेटवर्क एक्सेस को सीमित करने वाले सख्त फ़ायरवॉल नियम हों।
  • रोमिंग के लिए 802.11r का लाभ उठाएं: ऐसे परिवेशों में जहां डिवाइसेस अक्सर एक्सेस पॉइंट्स के बीच स्थानांतरित होते हैं, पूर्ण 802.1X ऑथेंटिकेशन प्रक्रिया अस्वीकार्य लेटेंसी ला सकती है जो वॉयस जैसे रियल-टाइम ऐप्स को बाधित करती है। 802.11r (फास्ट BSS ट्रांज़िशन) लागू करने से ऑथेंटिकेशन कीज को कैश करके रोमिंग सुव्यवस्थित हो जाती है।
  • एनालिटिक्स के साथ एकीकृत करें: कॉर्पोरेट 802.1X नेटवर्क और पब्लिक एक्सेस नेटवर्क दोनों संचालित करने वाले स्थानों के लिए, ऑथेंटिकेशन इंफ्रास्ट्रक्चर को WiFi Analytics के साथ एकीकृत करना पूरे एस्टेट में नेटवर्क उपयोग और डिवाइस व्यवहार का एक व्यापक दृश्य प्रदान करता है।

Troubleshooting and Risk Mitigation

802.1X परिवेश में ऑथेंटिकेशन की विफलताएं व्यापक कनेक्टिविटी आउटेज का कारण बन सकती हैं। एक मजबूत समस्या निवारण प्रक्रिया आवश्यक है।

  • सर्टिफिकेट की समाप्ति: एक समाप्त हो चुका सर्वर या क्लाइंट सर्टिफिकेट तत्काल ऑथेंटिकेशन विफलता का कारण बनेगा। सर्टिफिकेट की वैधता अवधि पर स्वचालित निगरानी और अलर्ट लागू करें, यह सुनिश्चित करते हुए कि नवीनीकरण समाप्ति से बहुत पहले संभाला जाए।
  • लेटेंसी और टाइमआउट: यदि Cloud RADIUS सेवा या IdP उच्च लेटेंसी का अनुभव करते हैं, तो ऑथेंटिकेटर टाइमआउट हो सकता है और कनेक्शन समाप्त कर सकता है। वायरलेस कंट्रोलर्स पर उपयुक्त टाइमआउट वैल्यू कॉन्फ़िगर करें (आमतौर पर 5 - 10 सेकंड) और रिडंडेंसी प्रदान करने के लिए बैकअप RADIUS सर्वर तैनात करें।
  • RADIUS साझा सीक्रेट का बेमेल होना: ऑथेंटिकेटर पर कॉन्फ़िगर किया गया साझा सीक्रेट जो RADIUS सर्वर पर मौजूद सीक्रेट से मेल नहीं खाता है, उसके कारण पैकेट चुपचाप खारिज कर दिए जाएंगे। सीक्रेट मैनेजमेंट को मानकीकृत करें और जहां तक संभव हो मैन्युअल प्रविष्टि से बचें।

ROI और व्यावसायिक प्रभाव

Cloud RADIUS के साथ 802.1X पर संक्रमण मापने योग्य व्यावसायिक मूल्य प्रदान करता है। साझा पासवर्ड को समाप्त करके, यह हमले के दायरे को नाटकीय रूप से कम करता है, सीधे PCI-DSS (आवश्यकताएं 1 और 8) और GDPR डेटा सुरक्षा जनादेशों के अनुपालन का समर्थन करता है। परिचालन रूप से, यह केंद्रीकृत पहुंच नियंत्रण को सक्षम बनाता है, जिससे IT टीमों को केंद्रीय निर्देशिका में उनके खाते को अक्षम करके दुनिया भर के हर स्थान पर उपयोगकर्ता की पहुंच को तुरंत रद्द करने की अनुमति मिलती है। इसके अलावा, पुराने ऑन-प्रिमाइसेस RADIUS सर्वरों को सेवा से हटाकर, संगठन हार्डवेयर रखरखाव लागत, सॉफ्टवेयर लाइसेंसिंग शुल्क और वितरित बुनियादी ढांचे को पैच करने और प्रबंधित करने के प्रशासनिक बोझ को कम करते हैं। Retail और Hospitality जैसे क्षेत्रों में पूरे एस्टेट में तैनाती के लिए, यह केंद्रीकृत सुरक्षा स्थिति सुरक्षित डिजिटल परिवर्तन का एक प्रमुख प्रवर्तक है।

इस विषय पर हमारी व्यापक ब्रीफिंग सुनें:

मुख्य परिभाषाएं

सप्लीकेंट (Supplicant)

एक एंड-यूज़र डिवाइस (लैपटॉप, स्मार्टफोन) पर सॉफ्टवेयर क्लाइंट जो EAP का उपयोग करके नेटवर्क एक्सेस के लिए बातचीत करता है।

क्रेडेंशियल चोरी को रोकने के लिए सर्वर प्रमाणपत्रों को सत्यापित करने के लिए IT टीमों को यह सुनिश्चित करना होगा कि सप्लीकेंट सही ढंग से कॉन्फ़िगर किया गया है (अक्सर MDM के माध्यम से)।

प्रमाणकर्ता (Authenticator)

नेटवर्क डिवाइस (आमतौर पर एक WiFi एक्सेस पॉइंट या स्विच) जो प्रमाणीकरण स्थिति के आधार पर नेटवर्क तक भौतिक या तार्किक पहुँच को नियंत्रित करता है।

प्रमाणकर्ता सप्लीकेंट और RADIUS सर्वर के बीच EAP संदेशों को रिले करते हुए एक मध्यस्थ के रूप में कार्य करता है।

Cloud RADIUS

एक केंद्रीकृत, क्लाउड-होस्टेड प्रमाणीकरण सेवा जो ऑन-प्रिमाइसेस सर्वर की आवश्यकता के बिना वितरित नेटवर्क इन्फ्रास्ट्रक्चर से RADIUS अनुरोधों को संसाधित करती है।

हार्डवेयर रखरखाव ओवरहेड के बिना एंटरप्राइज़-ग्रेड सुरक्षा लागू करने की तलाश कर रहे मल्टी-साइट संगठनों के लिए आवश्यक।

EAP (एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल)

सप्लीकेंट और ऑथेंटिकेशन सर्वर के बीच ऑथेंटिकेशन संदेशों को समाहित करने के लिए उपयोग किया जाने वाला फ्रेमवर्क।

सही EAP विधि (जैसे, PEAP बनाम EAP-TLS) का चयन वायरलेस नेटवर्क की सुरक्षा शक्ति और परिनियोजन जटिलता को निर्धारित करता है।

RadSec

एक प्रोटोकॉल जो TLS टनल पर RADIUS डेटा प्रसारित करता है, जिससे ट्रांजिट में ऑथेंटिकेशन ट्रैफ़िक का एन्क्रिप्शन सुनिश्चित होता है।

Cloud RADIUS का उपयोग करते समय महत्वपूर्ण है, क्योंकि यह संवेदनशील क्रेडेंशियल एक्सचेंजों को सार्वजनिक इंटरनेट पर इंटरसेप्शन से बचाता है।

Dynamic VLAN Assignment

वह प्रक्रिया जहां RADIUS सर्वर ऑथेंटिकेटर को उपयोगकर्ता की पहचान या समूह सदस्यता के आधार पर किसी डिवाइस को एक विशिष्ट वर्चुअल नेटवर्क सेगमेंट पर रखने का निर्देश देता है।

IT को एक ही SSID प्रसारित करने की अनुमति देता है और साथ ही ट्रैफ़िक को सुरक्षित रूप से विभाजित करता है (जैसे, HR स्टाफ और IT स्टाफ को अलग-अलग सबनेट पर रखना)।

Mutual Authentication

एक सुरक्षा प्रक्रिया जहां क्लाइंट सर्वर की पहचान को सत्यापित करता है, और सर्वर क्लाइंट की पहचान को सत्यापित करता है (आमतौर पर प्रमाणपत्रों का उपयोग करके)।

EAP-TLS की परिभाषित विशेषता, जो इसे मैन-इन-द-मिडल हमलों के प्रति अत्यधिक प्रतिरोधी बनाती है।

MAC Authentication Bypass (MAB)

एक फ़ॉलबैक ऑथेंटिकेशन विधि जो किसी डिवाइस के MAC एड्रेस को उसके क्रेडेंशियल के रूप में उपयोग करती है जब वह 802.1X सप्लीकेंट का समर्थन नहीं कर सकती है।

प्रिंटर या IoT उपकरणों जैसे पुराने हार्डवेयर के लिए उपयोग किया जाता है, लेकिन MAC स्पूफिंग की आसानी के कारण इसके लिए सख्त नेटवर्क सेगमेंटेशन की आवश्यकता होती है।

हल किए गए उदाहरण

एक 200 कमरों वाले होटल को, जो बैक-ऑफ-हाउस संचालन (हाउसकीपिंग टैबलेट, पॉइंट-ऑफ-सेल टर्मिनल, मैनेजर लैपटॉप) के लिए एक लीगेसी PSK नेटवर्क संचालित कर रहा है, आगामी ऑडिट से पहले PCI-DSS अनुपालन प्राप्त करने की आवश्यकता है। उनके पास ऑन-साइट IT स्टाफ नहीं है और वे स्थानीय सर्वर तैनात नहीं कर सकते हैं।

होटल को सीधे अपने केंद्रीय Azure AD टेनेंट के साथ एकीकृत Cloud RADIUS समाधान तैनात करना चाहिए। मैनेजर लैपटॉप (Windows/macOS) के लिए, उन्हें PEAP-MSCHAPv2 लागू करना चाहिए, जिसमें विश्वसनीय सर्वर प्रमाणपत्र को पुश करने और सत्यापन लागू करने के लिए MDM प्रोफ़ाइल का उपयोग किया जाना चाहिए। पॉइंट-ऑफ-सेल टर्मिनलों के लिए जिनमें मजबूत सप्लीकेंट की कमी हो सकती है, उन्हें MAC Authentication Bypass (MAB) का उपयोग करना चाहिए, लेकिन इन उपकरणों को कड़ाई से एक अलग VLAN में असाइन करना चाहिए जो केवल भुगतान गेटवे के साथ संचार की अनुमति देता है। परिनियोजन के लिए RadSec के साथ कनेक्शन को सुरक्षित करते हुए, मौजूदा क्लाउड-प्रबंधित एक्सेस पॉइंट्स को Cloud RADIUS IP एड्रेस पर इंगित करने के लिए कॉन्फ़िगर करना आवश्यक है।

परीक्षक की टिप्पणी: यह दृष्टिकोण विशिष्ट उपयोगकर्ता पहचान (कर्मचारियों के लिए PEAP) और नेटवर्क सेगमेंटेशन (POS के लिए MAB + अलग VLAN) की PCI आवश्यकता को पूरा करता है। Cloud RADIUS का उपयोग करके, होटल एक स्थानीय FreeRADIUS सर्वर को तैनात करने और उसका रखरखाव करने की जटिलता से बचता है, जो ऑन-साइट IT कर्मियों के बिना प्रबंधित करना असंभव होता। सार्वजनिक इंटरनेट से गुजरने वाले प्रमाणीकरण ट्रैफ़िक को सुरक्षित रखने के लिए यहाँ RadSec का उपयोग महत्वपूर्ण है।

एक राष्ट्रीय रिटेल चेन 500 स्टोर्स में इन्वेंट्री प्रबंधन के लिए कॉर्पोरेट-स्वामित्व वाले टैबलेट का एक नया बेड़ा शुरू कर रही है। वे यह सुनिश्चित करना चाहते हैं कि यदि कोई टैबलेट चोरी भी हो जाए, तो उसका उपयोग नेटवर्क तक पहुँचने के लिए न किया जा सके, और वे पासवर्ड से संबंधित हेल्पडेस्क टिकटों को समाप्त करना चाहते हैं।

रिटेलर को EAP-TLS लागू करना होगा। वे एक आंतरिक प्रमाणपत्र प्राधिकरण (CA) तैनात करेंगे और इसे अपने MDM प्लेटफॉर्म के साथ एकीकृत करेंगे। जब एक टैबलेट तैयार किया जाता है, तो MDM डिवाइस पर एक अनूठा क्लाइंट प्रमाणपत्र पुश करता है। Cloud RADIUS सेवा को केवल एक वैध क्लाइंट प्रमाणपत्र की उपस्थिति के आधार पर उपकरणों को प्रमाणित करने के लिए कॉन्फ़िगर किया गया है। यदि किसी टैबलेट के चोरी होने की सूचना मिलती है, तो IT टीम बस CA में उस विशिष्ट प्रमाणपत्र को रद्द कर देती है। Cloud RADIUS सेवा, प्रमाणपत्र रद्दीकरण सूची (CRL) की जाँच करके या OCSP के माध्यम से, तुरंत नेटवर्क पहुँच को अस्वीकार कर देगी।

परीक्षक की टिप्पणी: यहाँ EAP-TLS इष्टतम विकल्प है। यह सुरक्षा का उच्चतम स्तर प्रदान करता है और प्रमाणीकरण प्रवाह से उपयोगकर्ता पासवर्ड को पूरी तरह से हटा देता है, जिससे हेल्पडेस्क टिकटों को कम करने का लक्ष्य प्राप्त होता है। एक वितरित रिटेल वातावरण में चोरी हुए हार्डवेयर के जोखिम को प्रबंधित करने के लिए केंद्रीकृत रद्दीकरण क्षमता आवश्यक है।

अभ्यास प्रश्न

Q1. आपका संगठन एक साझा PSK से PEAP-MSCHAPv2 का उपयोग करके 802.1X पर माइग्रेट कर रहा है। पायलट चरण के दौरान, उपयोगकर्ता रिपोर्ट करते हैं कि वे कनेक्ट हो सकते हैं, लेकिन एक सुरक्षा ऑडिट से पता चलता है कि डिवाइस उनके सामने प्रस्तुत किए गए किसी भी सर्वर प्रमाणपत्र को चुपचाप स्वीकार कर रहे हैं। तत्काल जोखिम क्या है, और इसका समाधान कैसे किया जाना चाहिए?

संकेत: विचार करें कि क्या होता है यदि कोई हमलावर आपके कॉर्पोरेट SSID को प्रसारित करने वाला एक एक्सेस पॉइंट स्थापित करता है।

मॉडल उत्तर देखें

तत्काल जोखिम एक दुष्ट एक्सेस पॉइंट के माध्यम से मैन-इन-द-मिडल (MitM) हमला है। एक हमलावर कॉर्पोरेट SSID प्रसारित कर सकता है, एक स्व-हस्ताक्षरित प्रमाणपत्र प्रस्तुत कर सकता है, और जैसे ही डिवाइस ऑथेंटिकेट करने का प्रयास करते हैं, उपयोगकर्ता क्रेडेंशियल चुरा सकता है। इसका समाधान करने के लिए, IT टीम को सर्वर प्रमाणपत्र को स्पष्ट रूप से सत्यापित करने के लिए (MDM या समूह नीति के माध्यम से) सप्लीकेंट प्रोफाइल को कॉन्फ़िगर करना होगा। इसमें उस सटीक विश्वसनीय रूट CA को निर्दिष्ट करना शामिल है जिसने RADIUS सर्वर का प्रमाणपत्र जारी किया है और अपेक्षित सर्वर होस्टनाम को सख्ती से परिभाषित करना है।

Q2. एक दूरस्थ खुदरा शाखा ने अपना इंटरनेट कनेक्शन खो दिया है। स्थानीय एक्सेस पॉइंट अभी भी चालू हैं। क्या वर्तमान में 802.1X नेटवर्क से जुड़े स्टाफ डिवाइस कनेक्टेड रहेंगे, और क्या नए डिवाइस ऑथेंटिकेट कर पाएंगे? स्थानीय उत्तरजीविता नोड्स के बिना मानक Cloud RADIUS आर्किटेक्चर मानें।

संकेत: एक ऑथेंटिकेशन अनुरोध द्वारा लिए जाने वाले मार्ग और पहले से अधिकृत पोर्ट की स्थिति के बारे में सोचें।

मॉडल उत्तर देखें

जो डिवाइस पहले से ही ऑथेंटिकेट और कनेक्टेड हैं, वे आमतौर पर तब तक कनेक्टेड रहेंगे जब तक कि उनका सेशन टाइमआउट समाप्त नहीं हो जाता या वे डिस्कनेक्ट नहीं हो जाते, क्योंकि ऑथेंटिकेटर पोर्ट पहले से ही अधिकृत स्थिति में है। हालांकि, कनेक्ट करने का प्रयास करने वाले नए डिवाइस, या फिर से ऑथेंटिकेट करने का प्रयास करने वाले डिवाइस विफल हो जाएंगे। चूंकि इंटरनेट कनेक्शन बंद है, इसलिए एक्सेस पॉइंट EAP एक्सचेंज को प्रोसेस करने के लिए Cloud RADIUS सर्वर तक नहीं पहुंच सकते हैं। यह क्लाउड-आधारित ऑथेंटिकेशन पर भरोसा करते समय लचीले WAN लिंक के महत्व को रेखांकित करता है।

Q3. आपको एक गोदाम में पुराने बारकोड स्कैनर्स के बेड़े के लिए नेटवर्क एक्सेस सुरक्षित करने की आवश्यकता है। ये स्कैनर 802.1X सप्लीकेंट का समर्थन नहीं करते हैं और केवल WPA2-Personal (PSK) का समर्थन करते हैं। आप हार्डवेयर को अपग्रेड नहीं कर सकते। आप इन उपकरणों को अपने 802.1X कॉर्पोरेट उपकरणों के साथ एक सुरक्षित नेटवर्क आर्किटेक्चर में कैसे एकीकृत करते हैं?

संकेत: आपको 802.1X के विकल्प की आवश्यकता है जो अभी भी नेटवर्क-स्तरीय अलगाव के साथ संयुक्त एक्सेस नियंत्रण प्रदान करता है।

मॉडल उत्तर देखें

अनुशंसित दृष्टिकोण बारकोड स्कैनर के लिए MAC Authentication Bypass (MAB) का उपयोग करना है। एक्सेस पॉइंट स्कैनर के MAC एड्रेस को पहचान के रूप में उपयोग करेगा और इसे RADIUS सर्वर पर भेजेगा। चूंकि MAC एड्रेस को आसानी से स्पूफ किया जा सकता है, इसलिए यह कमजोर ऑथेंटिकेशन प्रदान करता है। इसलिए, सफल MAB ऑथेंटिकेशन पर एक विशिष्ट VLAN एट्रिब्यूट वापस करने के लिए RADIUS सर्वर को कॉन्फ़िगर किया जाना चाहिए। इस VLAN को फ़ायरवॉल या ACLs के माध्यम से अत्यधिक प्रतिबंधित किया जाना चाहिए, जिससे स्कैनर केवल उन विशिष्ट इन्वेंट्री सर्वर के साथ संवाद कर सकें जिनकी उन्हें आवश्यकता है, और अन्य सभी लैटरल नेटवर्क एक्सेस को ब्लॉक किया जा सके।

इस श्रृंखला में आगे पढ़ें

हाइब्रिड वर्कफोर्स के लिए RADIUS as a Service के सुरक्षा लाभ

यह तकनीकी संदर्भ मार्गदर्शिका बताती है कि कैसे RADIUS as a Service वितरित स्थानों पर हाइब्रिड वर्कफोर्स के लिए नेटवर्क एक्सेस को सुरक्षित करता है। इसमें ऑन-प्रिमाइसेस RADIUS इंफ्रास्ट्रक्चर को क्लाउड-प्रबंधित ऑथेंटिकेशन सेवा से बदलने के लिए आर्किटेक्चर, सुरक्षा लाभ और डिप्लॉयमेंट चरणों को शामिल किया गया है। होटलों, रिटेल चेन, स्टेडियमों और सार्वजनिक क्षेत्र के संगठनों के IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए, यह मार्गदर्शिका इस तिमाही में क्लाउड RADIUS माइग्रेशन का मूल्यांकन करने और उस पर कार्रवाई करने के लिए आवश्यक प्रमाण प्रदान करती है।

गाइड पढ़ें →

Cloud Directories (Azure AD और Google Workspace) के साथ RADIUS as a Service को एकीकृत करना

यह तकनीकी संदर्भ मार्गदर्शिका विवरण देती है कि एंटरप्राइज़ WiFi ऑथेंटिकेशन के लिए क्लाउड डायरेक्टरीज़ - Microsoft Entra ID और Google Workspace - के साथ RADIUS as a Service को कैसे एकीकृत किया जाए। यह ऑन-प्रिमाइसेस NPS से क्लाउड-नेटीव RADIUS में आर्किटेक्चरल बदलाव, सर्टिफिकेट-आधारित EAP-TLS ऑथेंटिकेशन के परिनियोजन, और हॉस्पिटैलिटी, रिटेल और सार्वजनिक क्षेत्र के परिवेशों में वायरलेस एक्सेस को सुरक्षित करने के लिए परिचालन सर्वोत्तम प्रथाओं को कवर करती है। आईटी प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए जो पहले से ही क्लाउड पहचान में निवेश कर चुके हैं, यह गाइड डायरेक्टरी प्रबंधन और भौतिक नेटवर्क सुरक्षा के बीच की खाई को पाटती है।

गाइड पढ़ें →

Cloud RADIUS क्या है? RADIUS-as-a-Service के लिए एक व्यापक गाइड

यह व्यापक गाइड Cloud RADIUS (RADIUS-as-a-Service) का पता लगाती है, जिसमें इसके आर्किटेक्चर, EAP विधियों और कार्यान्वयन रणनीतियों का विवरण दिया गया है। यह IT लीडर्स को ऑन-प्रिमाइसेस सर्वर से एक स्केलेबल, सुरक्षित और अनुपालन वाले क्लाउड-आधारित ऑथेंटिकेशन मॉडल में माइग्रेट करने पर कार्रवाई योग्य अंतर्दृष्टि प्रदान करता है।

गाइड पढ़ें →