अनिवार्य सर्वर-सर्टिफिकेट वैलिडेशन
क्रेडेंशियल भेजने से पहले क्लाइंट्स को RADIUS सर्वर के सर्टिफिकेट को सत्यापित करना होगा। यह ईविल-ट्विन (evil-twin) हमले को रोकता है जिसने गलत तरीके से कॉन्फ़िगर किए गए WPA2-Enterprise डिप्लॉयमेंट को परेशान किया था।
WPA2 और WPA3-Enterprise। सुरक्षित WiFi, बिना साझा पासवर्ड के।
अपने मौजूदा एक्सेस पॉइंट्स पर 802.1X के साथ WPA2-Enterprise या WPA3-Enterprise तैनात करें। प्रत्येक उपयोगकर्ता आपके आइडेंटिटी प्रोवाइडर के माध्यम से ऑथेंटिकेट होता है, प्रत्येक डिवाइस को एक विशिष्ट सेशन की (key) मिलती है, और एक्सेस को एक क्लिक में प्रति-डिवाइस रिवोक किया जा सकता है। Purple RADIUS और सर्टिफिकेट इंफ्रास्ट्रक्चर को क्लाउड सर्विस के रूप में संचालित करता है — आप अपना मौजूदा हार्डवेयर रख सकते हैं।
TL;DR / Key Takeaways
- WPA2 and WPA3-Enterprise offer the highest level of WiFi security, utilizing 802.1X authentication to secure connections.
- Instead of a single pre-shared key (PSK), each user or device authenticates uniquely, preventing lateral movement and shared-password leaks.
- Provides centralized visibility and immediate revocation of access when employees leave or devices are compromised.
- Integrates natively with Identity Providers (IdP) like Microsoft Entra ID, Okta, and Google Workspace for seamless onboarding.
Personal बनाम Enterprise — सही मोड चुनें
WPA मानक के दो मोड हैं। WPA-Personal (WPA2-PSK, WPA3-SAE) SSID में शामिल होने वाले सभी लोगों के बीच साझा किए गए एक ही पासवर्ड का उपयोग करता है। घर के लिए पर्याप्त है। WPA-Enterprise प्रत्येक उपयोगकर्ता या डिवाइस को RADIUS सर्वर के विरुद्ध 802.1X के माध्यम से व्यक्तिगत रूप से ऑथेंटिकेट करता है। किसी भी ऐसे स्थान के लिए आवश्यक है जो रिवोकेशन, ऑडिट या अनुपालन की परवाह करता है।
| WPA-Personal (PSK / SAE) | WPA-Enterprise (802.1X) | |
|---|---|---|
| क्रेडेंशियल | साझा पासफ़्रेज़ | प्रति-उपयोगकर्ता सर्टिफिकेट, पासवर्ड, या iPSK |
| इंफ्रास्ट्रक्चर | सिर्फ एक्सेस पॉइंट्स | APs + RADIUS सर्वर (या RADIUS-as-a-Service) |
| रिवोकेशन | नेटवर्क-व्यापी पासफ़्रेज़ बदलें | IdP में एक उपयोगकर्ता को डिसेबल करें |
| ऑडिट ट्रेल | कोई नहीं — सभी डिवाइस एक जैसे दिखते हैं | प्रति-उपयोगकर्ता सेशन लॉग्स |
| इनके लिए सही | घर, छोटे सिंगल-ट्रस्ट स्थान | ऑफिस, होटल, कैंपस, स्टेडियम, कुछ भी रेगुलेटेड |
WPA3-Enterprise बनाम WPA2-Enterprise
WPA3 केवल एक बड़ा WPA2 नहीं है। एंटरप्राइज डिप्लॉयमेंट के लिए चार बदलाव महत्वपूर्ण हैं।
प्रोटेक्टेड मैनेजमेंट फ्रेम्स (PMF)
डी-ऑथेंटिकेशन और डिस-एसोसिएशन फ्रेम क्रिप्टोग्राफिक रूप से हस्ताक्षरित होते हैं, इसलिए हमलावर अब स्पूफ किए गए फ्रेम के साथ क्लाइंट्स को नेटवर्क से बाहर नहीं निकाल सकते।
192-बिट Suite B मोड
सरकार, रक्षा और महत्वपूर्ण इंफ्रास्ट्रक्चर के लिए वैकल्पिक उच्च-सुरक्षा मोड। पूरे समय Suite B क्रिप्टोग्राफी — की (key) एक्सचेंज, एन्क्रिप्शन और MAC।
बैकवर्ड कम्पैटिबिलिटी
WPA3-Enterprise उसी SSID पर ट्रांज़िशन मोड में चल सकता है जिस पर WPA2 है, इसलिए आपको हार्ड कटओवर की आवश्यकता नहीं है। नए क्लाइंट्स WPA3 पर बातचीत करते हैं; पुराने वाले WPA2-Enterprise पर वापस आ जाते हैं।
802.1X ऑथेंटिकेशन फ्लो
तीन एक्टर्स, एक हैंडशेक। क्रम वही रहता है चाहे आप EAP-TLS, PEAP, या EAP-TTLS का उपयोग करें।
- सप्लिकेंट (क्लाइंट लैपटॉप, फोन, IoT) जुड़ने का प्रयास करता है।
- ऑथेंटिकेटर (एक्सेस पॉइंट) क्लाइंट को 802.1X अनियंत्रित पोर्ट में रखता है, केवल EAP फ्रेम रिले करता है।
- सप्लिकेंट अपना क्रेडेंशियल प्रस्तुत करता है — एक सर्टिफिकेट (EAP-TLS), एक यूजरनेम + पासवर्ड (PEAP), या एक iPSK।
- ऑथेंटिकेशन सर्वर (RADIUS) आइडेंटिटी प्रोवाइडर के विरुद्ध क्रेडेंशियल को वैलिडेट करता है।
- RADIUS VLAN और पॉलिसी के साथ
Access-Acceptउत्तर देता है; AP सही सेगमेंट के लिए नियंत्रित पोर्ट खोलता है। - सेशन की (key) 802.1X हैंडशेक से प्राप्त होती है — इस डिवाइस, इस सेशन के लिए विशिष्ट।
Purple WPA-Enterprise को कैसे तैनात करता है
Purple RADIUS और (वैकल्पिक रूप से) सर्टिफिकेट अथॉरिटी को क्लाउड सेवाओं के रूप में संचालित करता है। आप अपने मौजूदा एक्सेस पॉइंट्स रख सकते हैं।
- Day 0: अपने IdP (Entra ID, Okta, Google Workspace) को कनेक्ट करें। EAP विधि चुनें — प्रबंधित बेड़े के लिए EAP-TLS, ट्रांज़िशनल डिप्लॉयमेंट के लिए PEAP, BYOD के लिए iPSK।
- Day 1: एक्सेस पॉइंट्स की RADIUS सेटिंग को Purple की ओर इंगित करें। SSID को WPA2 या WPA3-Enterprise के लिए कॉन्फ़िगर करें। MDM के माध्यम से ऑनबोर्डिंग प्रोफ़ाइल पुश करें।
- Ongoing: उपयोगकर्ताओं को SCIM के माध्यम से प्रोविजन और डी-प्रोविजन किया जाता है — कोई मैन्युअल WiFi पासवर्ड रोटेशन नहीं। सर्टिफिकेट ऑटो-रिन्यू होते हैं। SIEM वेबहुक के माध्यम से पूरा ऑथेंटिकेशन लॉग प्राप्त करता है।
Purple उत्पादों में कवरेज
- Staff WiFi: प्रबंधित लैपटॉप के लिए EAP-TLS और लीगेसी डिवाइस के लिए PEAP के साथ WPA2/3-Enterprise।
- Multi-Tenant WiFi: एक ही SSID पर iPSK, प्रत्येक किरायेदार (tenant) प्राइवेट एरिया नेटवर्क में अलग-थलग।
- Guest WiFi: सार्वजनिक SSID पर OpenRoaming/Passpoint, जहाँ उपयुक्त हो वहाँ फॉलबैक के रूप में WPA3-Enhanced Open के साथ।
- Passwordless WiFi: EAP-TLS, iPSK, Passpoint, और SAML को कवर करने वाला व्यापक हब।
- RADIUS-as-a-Service: क्लाउड RADIUS इंजन जो प्रत्येक जॉइन रिक्वेस्ट को ऑथेंटिकेट करता है।
अक्सर पूछे जाने वाले प्रश्न
WPA-Enterprise क्या है?
WPA-Enterprise संगठनों के लिए डिज़ाइन किया गया IEEE 802.11 सुरक्षा मोड है। एक साझा पासवर्ड (WPA-Personal) के बजाय, प्रत्येक उपयोगकर्ता या डिवाइस 802.1X के माध्यम से RADIUS सर्वर के विरुद्ध व्यक्तिगत रूप से ऑथेंटिकेट होता है, आमतौर पर सर्टिफिकेट (EAP-TLS) या यूजरनेम और पासवर्ड (PEAP) के साथ। प्रत्येक सेशन को एक विशिष्ट एन्क्रिप्शन की (key) मिलती है, और शेष नेटवर्क को बाधित किए बिना प्रति-डिवाइस एक्सेस को रिवोक किया जा सकता है।
WPA2-Enterprise और WPA3-Enterprise में क्या अंतर है?
WPA3-Enterprise, WPA2-Enterprise की ज्ञात कमजोरियों को ठीक करता है। सबसे महत्वपूर्ण बदलाव: सर्वर-सर्टिफिकेट वैलिडेशन अब अनिवार्य है (ईविल-ट्विन हमला वेक्टर को बंद करता है जिसने WPA2 को परेशान किया था), मैनेजमेंट फ्रेम सुरक्षित हैं, और वैकल्पिक 192-बिट Suite B मोड रक्षा-ग्रेड क्रिप्टोग्राफी प्रदान करता है। WPA3-Enterprise ट्रांज़िशन मोड में WPA2-Enterprise के साथ बैकवर्ड-कम्पैटिबल है, इसलिए आप धीरे-धीरे अपग्रेड कर सकते हैं।
802.1X ऑथेंटिकेशन कैसे काम करता है?
इसमें तीन पक्ष शामिल हैं। सप्लिकेंट (क्लाइंट डिवाइस) शामिल होने के लिए कहता है। ऑथेंटिकेटर (एक्सेस पॉइंट) क्लाइंट को क्वारंटाइन स्थिति में रखता है और उसके EAP संदेशों को ऑथेंटिकेशन सर्वर (RADIUS) को फॉरवर्ड करता है। RADIUS सर्वर क्रेडेंशियल — सर्टिफिकेट, पासवर्ड, या टोकन — को वैलिडेट करता है और एक्सेस पॉइंट को स्वीकार या अस्वीकार करने के लिए कहता है। प्रत्येक सफल सेशन को ऑथेंटिकेशन से प्राप्त एक विशिष्ट एन्क्रिप्शन की (key) मिलती है, इसलिए एक समझौता किया गया डिवाइस दूसरे को डिक्रिप्ट नहीं कर सकता।
EAP-TLS क्या है और इसे गोल्ड स्टैंडर्ड क्यों माना जाता है?
EAP-TLS आपसी सर्टिफिकेट ऑथेंटिकेशन के साथ TLS हैंडशेक का उपयोग करता है। क्लाइंट डिवाइस सर्टिफिकेट के साथ अपनी पहचान साबित करता है, सर्वर सर्वर सर्टिफिकेट के साथ अपनी पहचान साबित करता है, और सेशन की (key) एन्क्रिप्टेड टनल के अंदर तय की जाती है। फिशिंग या चोरी करने के लिए कोई पासवर्ड नहीं है — आपको डिवाइस से ही प्राइवेट की (key) निकालनी होगी। MDM वाले प्रबंधित बेड़े के लिए, EAP-TLS सही डिफॉल्ट है।
क्या मैं अपने मौजूदा एक्सेस पॉइंट्स पर WPA3-Enterprise तैनात कर सकता हूँ?
2020 के बाद जारी किए गए अधिकांश एंटरप्राइज-ग्रेड एक्सेस पॉइंट्स फर्मवेयर में WPA3-Enterprise का समर्थन करते हैं। आप आमतौर पर SSID पर WPA3-Enterprise सक्षम करते हैं और ट्रांज़िशन के दौरान WPA2 को फॉलबैक के रूप में रखते हैं। पुराने AP केवल WPA2-Enterprise का समर्थन कर सकते हैं — क्लाउड RADIUS और EAP-TLS के साथ जोड़े जाने पर वे अभी भी सुरक्षित हैं, इसलिए फोर्कलिफ्ट अपग्रेड की शायद ही कभी आवश्यकता होती है।
क्या मुझे WPA-Enterprise का उपयोग करने के लिए RADIUS सर्वर चलाने की आवश्यकता है?
हाँ — WPA-Enterprise एक बाहरी ऑथेंटिकेशन सर्वर के इर्द-गिर्द परिभाषित है, जिसका व्यवहार में अर्थ RADIUS है। आप इसे ऑन-प्रिमाइसेस (FreeRADIUS, Microsoft NPS, Cisco ISE) चला सकते हैं या इसे सेवा के रूप में उपयोग कर सकते हैं। Purple RADIUS-as-a-Service क्लाउड-होस्टेड विकल्प है जिसे अधिकांश ग्राहक तब चुनते हैं जब वे सर्वर संचालित नहीं करना चाहते हैं।
क्या WPA2-Enterprise अभी भी तैनात करने के लिए सुरक्षित है?
हाँ, जब सही ढंग से तैनात किया जाए। WPA2-Enterprise पर ज्ञात हमलों के लिए या तो गलत तरीके से कॉन्फ़िगर किए गए क्लाइंट (कोई सर्वर-सर्टिफिकेट वैलिडेशन नहीं, जिसे WPA3 अनिवार्य बनाता है) या डिवाइस तक भौतिक पहुंच की आवश्यकता होती है। MDM के माध्यम से सर्वर-सर्टिफिकेट वैलिडेशन लागू करना और EAP-TLS का उपयोग करना व्यावहारिक जोखिमों को बंद कर देता है। आगे बढ़ते हुए WPA3-Enterprise अभी भी पसंदीदा है, लेकिन काम कर रहे WPA2-Enterprise डिप्लॉयमेंट को घबराहट में माइग्रेट करने का कोई कारण नहीं है।
मैं उन डिवाइस को कैसे संभालूँ जो 802.1X का समर्थन नहीं करते हैं?
दो अच्छे विकल्प। पहला, iPSK (Identity PSK) प्रत्येक डिवाइस को एक ही SSID पर एक विशिष्ट प्री-शेयर्ड की (key) देता है — WPA-Personal का उपयोगकर्ता अनुभव, WPA-Enterprise का प्रति-डिवाइस रिवोकेशन। दूसरा, MAC ऑथेंटिकेशन बाईपास (MAB) ज्ञात-अच्छे MAC एड्रेस को एक सीमित VLAN में अनुमति देता है। Purple एक ही नेटवर्क पर WPA2/3-Enterprise के साथ दोनों का समर्थन करता है।
WPA-Enterprise for your industry
See how wpa-enterprise works in venues like yours, and how Purple compares to alternatives.
सुरक्षित WiFi, उन एक्सेस पॉइंट्स पर जो आपके पास पहले से हैं
Purple Cisco, Aruba, Ruckus, Juniper Mist, Meraki, या Ubiquiti के ऊपर WPA2/3-Enterprise, क्लाउड RADIUS और प्रबंधित सर्टिफिकेट की परतें जोड़ता है। कुछ ही दिनों में लाइव।