WiFi सुरक्षा कशी सुधारावी याबद्दलचा बहुतांश सल्ला अजूनही चुकीच्या प्रश्नानेच सुरू होतो. तो विचारतो, “तुमचा Wi-Fi पासवर्ड किती मजबूत आहे?” एखाद्या एंटरप्राइझ, हॉटेल, रिटेल इस्टेट, हॉस्पिटल किंवा मल्टी-टेनंट इमारतीमध्ये, हा आता मुख्य मुद्दा राहिलेला नाही.

खरी समस्या सामायिक विश्वासाची (shared trust) आहे. जर कर्मचारी, अतिथी, कंत्राटदार, किओस्क, टीव्ही, सेन्सर्स, टिल्स आणि टॅब्लेट हे सर्व एकाच क्रेडेंशियल मॉडेलवर अवलंबून असतील, तर एक कमकुवत बिंदू गरजेपेक्षा बरेच काही उघड करू शकतो. एक मोठा पासवर्ड मूलभूत एन्क्रिप्शनसाठी मदत करतो. तो तुम्हाला ओळख, उत्तरदायित्व, रिव्होकेशन (रद्द करणे) किंवा कंटेनमेंट (नियंत्रण) देत नाही.

आधुनिक WiFi सुरक्षा ही एखादे गुपित शोधणे कठीण करण्यापेक्षा, कोणत्याही एका गुपितामुळे व्यापक प्रवेश मिळणार नाही याची खात्री करण्याबद्दल अधिक आहे. याचा अर्थ वायरलेसला केवळ RF सर्व्हिस न मानता एक ओळख आणि पॉलिसी लेयर म्हणून हाताळणे होय.

तुमच्या WiFi सुरक्षा मॉडेलचा पुनर्विचार करणे

अनेक एंटरप्राइझ WiFi डिप्लॉयमेंटचा सर्वात कमकुवत भाग हा रेडिओ, सायफर किंवा ॲक्सेस पॉइंट नसतो. तो असंबंधित वापरकर्ते आणि डिव्हाइसेसच्या मोठ्या गटांना समान ट्रस्ट मॉडेल सामायिक करू देण्याचा निर्णय असतो.

सामायिक केलेला WiFi पासवर्ड कागदावर कार्यक्षम दिसतो. प्रत्यक्षात, तो ऑपरेशनल कर्ज तयार करतो. कर्मचारी तो चॅटमध्ये शेअर करतात. काम संपल्यानंतरही कंत्राटदार तो स्वतःकडे ठेवतात. फ्रंट डेस्क टीम्स दिवसभर तो देत राहतात. सुविधा टीम्स प्रिंटर, डिस्प्ले आणि सेन्सर्स त्याच क्रेडेंशियलसह कनेक्ट करतात कारण ते जलद असते. त्यानंतर, ॲक्सेस रद्द करण्याचा अर्थ सहसा प्रत्येकासाठी पासवर्ड बदलणे आणि नंतर त्यावर अवलंबून असलेल्या प्रत्येक डिव्हाइसवरील परिणामांना तोंड देणे असा होतो.

हॉटेल्स, कॅम्पस, रिटेल इस्टेट्स, हॉस्पिटल्स, स्टेडियम आणि मल्टी-टेनंट इमारतींमध्ये हे मॉडेल वेगाने कोलमडते.

पासवर्ड अपुरे का पडू लागले

मुख्य समस्या पासवर्डची ताकद ही नाही. तर एकदा अनेक वापरकर्ते किंवा डिव्हाइसेस एकाच गुपिताने ऑथेंटिकेट झाल्यावर वैयक्तिक उत्तरदायित्व आणि नियंत्रणाचा अभाव असणे ही आहे.

एंटरप्राइझ वातावरणातील वायरलेस हल्ले बऱ्याचदा अशा डिव्हाइसपासून सुरू होतात जे अगदी हेतूFlow प्रमाणे कनेक्ट झाले होते. एखाद्या मॅनेज्ड लॅपटॉपला फिशिंगद्वारे मालवेअर मिळतो. कंत्राटदाराचे डिव्हाइस आवश्यकतेपेक्षा जास्त काळ ऑथराइज्ड राहते. खराब सुरक्षा असलेले एखादे IoT एंडपॉइंट अशा नेटवर्कवर येते जे त्याला खूप जास्त पोहोच देते. प्रत्येक बाबतीत, सुरुवातीचे WiFi जॉइनिंग कायदेशीर असू शकते. खरी जोखीम त्या कनेक्शनला प्रवेश मिळाल्यानंतरच्या स्थितीमधून निर्माण होते.

सामायिक क्रेडेंशियल्स एक सामायिक ब्लास्ट रेडियस तयार करतात.

सामायिक की (shared key) असल्यास, एखाद्या विशिष्ट व्यक्तीशी किंवा एंडपॉइंटशी क्रियाकलाप जोडण्याचा कोणताही स्पष्ट मार्ग नसतो, इतरांना प्रभावित न करता एकाचा प्रवेश रद्द करण्याचा कोणताही अचूक मार्ग नसतो आणि भूमिकेनुसार (role) ॲक्सेस नियुक्त करण्यासाठी कोणताही मजबूत आधार नसतो. कर्मचारी, अतिथी, रहिवासी, भाडेकरू, पॉइंट-ऑफ-सेल सिस्टम, साइनेज, वैद्यकीय उपकरणे, कॅमेरे आणि बिल्डिंग सिस्टम या सर्वांना वेगवेगळ्या स्तरावरील विश्वासाची आवश्यकता असलेल्या वातावरणासाठी हे अत्यंत अयोग्य आहे.

एक चांगले मॉडेल कसे दिसते

एक मजबूत WiFi सुरक्षा मॉडेल पासवर्डनुसार नाही, तर ओळखीनुसार (identity) ॲक्सेस नियुक्त करते.

याचा अर्थ असा आहे की प्रत्येक युझर किंवा डिव्हाइस स्वतःच्या अटींवर ऑथेंटिकेट होते, पॉलिसी कोण किंवा काय कनेक्ट होत आहे याचे मूल्यांकन करतात आणि नेटवर्क त्या सेशनला योग्य पातळीवरील ॲक्सेसमध्ये ठेवते. व्यवहारात, ॲक्सेस मिळण्याबाबतचे निर्णय हे आयडेंटिटी, डिव्हाइस प्रकार, पोश्चर, मालकी, स्थान आणि व्यावसायिक भूमिका दर्शवणारे असावेत.

कर्मचाऱ्यांसाठी, ॲक्सेस हा 802.1X , सर्टिफिकेट-बेस्ड ऑथेंटिकेशन, किंवा SSO-बॅक्ड ऑनबोर्डिंगद्वारे कॉर्पोरेट आयडेंटिटी सिस्टम्सचे अनुसरण करणारा असावा. पाहुण्यांसाठी (गेस्ट्स), ॲक्सेस मिळवणे सोपे असावे परंतु अंतर्गत सर्व्हिसेसपासून पूर्णपणे वेगळे असावे. भाडेकरू (टेनंट्स) आणि थर्ड पार्टीसाठी, ॲक्सेस फक्त त्यांच्या स्वतःच्या रिसोर्सेसपुरता मर्यादित असावा आणि इतर कशासाठीही नसावा. आधुनिक पद्धतींना सपोर्ट न करू शकणाऱ्या डिव्हाइसेससाठी, प्रत्येक डिव्हाइससाठी एक स्वतंत्र क्रेडेंशियल आणि अत्यंत मर्यादित ईस्ट - वेस्ट रीच असलेला प्रतिबंधित सेगमेंट हा पर्याय असावा.

SSID अजूनही सर्व्हिस सेट्सचे व्यवस्थापन करण्यास मदत करू शकते, परंतु त्यावर सुरक्षा डिझाइनचा पूर्ण भार नसावा. त्याऐवजी, मुख्य नियंत्रण बिंदू हे आयडेंटिटी स्टोअर, पॉलिसी इंजिन, सर्टिफिकेट लाइफसायकल आणि सेगमेंटेशन नियम आहेत जे सेशनला कुठे जाण्याची परवानगी आहे हे ठरवतात.

नवीन लक्ष्य स्थिती (The new target state)

लक्ष्य स्थिती स्पष्ट आहे. जिथे पर्यावरण परवानगी देते तिथून शेअर्ड पासवर्ड्स काढून टाका.

मॅच्युअर डिप्लोयमेंट्समध्ये, कर्मचारी WiFi डिरेक्टरी किंवा आयडेंटिटी प्रोव्हाइडरच्या विरुद्ध 802.1X वापरते. गेस्ट ॲक्सेस केवळ आवश्यक तिथे Captive Portal ऑनबोर्डिंग वापरतो, किंवा जिथे सपोर्ट असेल तिथे Passpoint वापरतो, जेणेकरून युझर्स अंतर्गत नेटवर्क उघड न करता किंवा स्टॅटिक शेअर्ड सिक्रेटवर अवलंबून न राहता कनेक्ट होऊ शकतील. मल्टी-टेनंट एनव्हायर्नमेंट्स युझर्स आणि डिव्हाइसेसना पासवर्ड माहिती असल्यामुळे त्यांच्यावर विश्वास ठेवण्याऐवजी, सुरुवातीपासूनच योग्य पॉलिसी डोमेनशी मॅप करतात.

यामध्ये काही तडजोडी कराव्या लागतात. आयडेंटिटी-बेस्ड ॲक्सेससाठी प्लॅनिंग, PKI किंवा सर्टिफिकेट मॅनेजमेंट, RADIUS डिझाईन आणि जुन्या वारसा (लेगसी) एंडपॉइंट्ससाठी सपोर्ट आवश्यक आहे. परंतु या कामामुळे अशी गोष्ट मिळते जी एक मजबूत PSK कधीही देऊ शकत नाही. स्पष्ट एट्रिब्यूशन, नियंत्रित ऑनबोर्डिंग, सिलेक्टिव्ह रिव्होकेशन आणि एखादे डिव्हाइस धोक्यात आल्यास प्रतिबंध घालणे.

पायाभूत नेटवर्क हार्डनिंगची अंमलबजावणी करणे

तुम्ही ऑथेंटिकेशन आधुनिक करण्यापूर्वी, इन्फ्रास्ट्रक्चर लॉक डाऊन करा. अनेक संस्था बऱ्यापैकी WiFi एन्क्रिप्शन सक्षम करतात आणि तरीही कमकुवत डिफॉल्ट्स आणि दुर्लक्षित मॅनेजमेंट सेटिंग्सद्वारे कंट्रोल प्लेन उघडे ठेवतात.

UK मध्ये, सार्वजनिक मार्गदर्शन मूळ गोष्टींवर स्पष्ट आहे. NCSC शेअर्ड किंवा डिफॉल्ट WiFi क्रेडेंशियल्स वापरण्यापासून दूर राहण्याची आणि WPA3 Personal किंवा जिथे WPA3 उपलब्ध नसेल तिथे WPA2 Personal वापरण्याची शिफारस करते, कारण एन्क्रिप्शन ट्रान्झिटमधील डेटाचे संरक्षण करते. FTC देखील नमूद करते की WPA3 हा नवीन आणि सर्वोत्तम पर्याय आहे, ज्यामध्ये WPA2 हा बॅकअप पर्याय आहे. ॲडमिनिस्ट्रेटर्ससाठी, व्यावहारिक टप्पा म्हणजे राउटरला मॅनेज्ड सिक्युरिटी डिव्हाइस म्हणून मानणे: डिफॉल्ट ॲडमिन युझरनेम्स, पासवर्ड्स आणि SSIDs बदला, रिमोट मॅनेजमेंट, WPS आणि UPnP निष्क्रिय करा आणि फर्मवेअर अपडेट ठेवा, जसे की येथे संदर्भित FTC राउटर सुरक्षा मार्गदर्शनामध्ये वर्णन केले आहे.

मॅनेजमेंट प्लेनपासून सुरुवात करा

हॅकर जर राउटर, कंट्रोलर किंवा ॲक्सेस पॉइंटचे नियंत्रण मिळवू शकत असेल, तर तुमच्या SSID सेटिंग्जला काही अर्थ उरत नाही.

A comparison chart showing the security differences between PSK personal authentication and Enterprise RADIUS authentication methods.

सुरक्षा मजबूत करण्यासाठी हा मूलभूत आधार म्हणून वापरा:

डिफॉल्ट ॲडमिनिस्ट्रेटर क्रेडेंशियल बदला. राउटर, APs किंवा कंट्रोलरवर फॅक्टरी युझरनेम किंवा पासवर्ड तसेच ठेवू नका.
डिफॉल्ट SSIDs चे नाव बदला. डिफॉल्ट नावांवरून सहसा वेंडर किंवा डिप्लॉयमेंट पॅटर्न उघड होतात, जे जाहीर करण्याची गरज नसते.
जोपर्यंत ठराविक व्यावसायिक गरज नसेल तोपर्यंत रिमोट मॅनेजमेंट बंद ठेवा. जर गरज असेलच, तर तुमच्या मॅनेजमेंट नेटवर्क आणि ॲक्सेस कंट्रोल्सद्वारे त्यावर कडक मर्यादा घाला.
WPS बंद करा. हे अशा सुविधेची समस्या सोडवते ज्याची एंटरप्राइझ वातावरणात गरज नसते.
UPnP बंद करा. सेवांचे स्वयंचलित प्रदर्शन हे सर्वात कमी अधिकाराच्या (least privilege) तत्त्वाच्या अगदी उलट आहे.
स्थानिक ॲडमिन खात्यांचे पुनरावलोकन करा. जुने आणि न वापरलेले ब्रेक-ग्लास युझर्स काढून टाका आणि बऱ्याच वर्षांपासून न बदललेले क्रेडेंशियल्स बदला.

पॅचिंग हे सर्वात मौल्यवान नियंत्रण उपायांपैकी एक आहे

UK मधील संस्थांसाठी, फर्मवेअर पॅचिंग आणि डिव्हाइस स्वच्छता हे सर्वात मौल्यवान नियंत्रण उपायांपैकी एक आहेत कारण तडजोड झालेले राउटर आणि ॲक्सेस पॉइंट्स अनेकदा ज्ञात त्रुटींद्वारे सहज हॅक केले जाऊ शकतात. NCSC च्या Cyber Essentials योजनेनुसार इंटरनेट-कनेक्टेड डिव्हाइसेस आणि सुरक्षा सॉफ्टवेअर अद्ययावत ठेवणे आवश्यक आहे, तसेच सुरक्षा मार्गदर्शकामध्ये राउटरचे डिफॉल्ट पासवर्ड हा हॅकिंगचा एक सामान्य मार्ग असल्याचे अधोरेखित केले आहे, ज्याची सविस्तर माहिती WiFi सुरक्षा ऑपरेशन्सच्या या विहंगावलोकनमध्ये दिली आहे.

एक व्यावहारिक पॅचिंग चक्र याप्रमाणे दिसते:

प्रत्येक AP, कंट्रोलर, वायरलेस गेटवे आणि एज राउटरची यादी तयार करा
सपोर्ट स्टेटस तपासा जेणेकरून तुम्ही कालबाह्य (end-of-life) हार्डवेअर सुरक्षित करण्याचा प्रयत्न करणार नाही
मेंटेनन्स विंडो दरम्यान नवीन फर्मवेअर अपडेट करा
अपग्रेडनंतर कॉन्फिगरेशन सुरक्षित राहिल्याची खात्री करा
बदल किंवा अनपेक्षित गोष्टी शोधण्यासाठी बदलानंतर कनेक्ट केलेल्या डिव्हाइसेसच्या यादीचे पुनरावलोकन करा

व्यावहारिक नियम: जर तुम्ही फक्त WiFi पासवर्ड बदलला पण ॲडमिन डिफॉल्ट्स, WPS किंवा रिमोट मॅनेजमेंट तसेच ठेवले, तर तुम्ही नेटवर्क सुरक्षित केलेले नाही. तुम्ही फक्त एक दृश्यमान सेटिंग बदलली आहे.

काय काम करत नाही

काही सल्ले केवळ योग्य वाटतात म्हणून टिकून राहतात, ते प्रभावी असतात म्हणून नाही.

लपविलेले SSID हे त्याचे नेहमीचे उदाहरण आहे. याने कोणतीही अर्थपूर्ण सुरक्षा मिळत नाही. यामुळे सपोर्टमध्ये अडचणी येतात, क्लायंटचे वर्तन विचित्र होते आणि सुरक्षेचा केवळ एक आभास निर्माण होतो. जर तुम्ही मोठ्या वातावरणात WiFi सुरक्षा सुधारण्याचा प्रयत्न करत असाल, तर लपविण्याच्या क्लृप्त्यांवर तुमचे ऑपरेशनल प्रयत्न वाया घालवू नका. ते प्रयत्न ओळख (identity), विभागणी (segmentation) आणि व्यवस्थापन सुसूत्रतेवर खर्च करा.

पायाभूत सुरक्षा मजबूत करण्याचा (foundational hardening) विचार करण्याचा एक सोपा मार्ग खालीलप्रमाणे आहे:

क्षेत्र	काय उपयुक्त ठरते	काय निरुपयोगी ठरते
प्रशासन (Administration)	अनन्य ॲडमीन क्रेडेंशियल, मर्यादित व्यवस्थापन प्रवेश	फॅक्टरी डिफॉल्ट्स
डिव्हाइस सुरक्षा	सध्याचे firmware आणि सपोर्टेड हार्डवेअर	वापरात ठेवलेले एंड-ऑफ-लाइफ APs
सुविधांचे फीचर्स	डिसेबल केलेले WPS आणि UPnP	एंटरप्राइझ सेटिंग्जमधील ग्राहक डिफॉल्ट्स
विझिबिलिटी	व्यवस्थापित इन्व्हेंटरी आणि कॉन्फिगरेशन पुनरावलोकन	WLAN कंट्रोलर पूर्ण माहिती देईल या आशेवर राहणे

पायाभूत सुरक्षा मजबूत केल्याने वायरलेसचे सर्व धोके सुटणार नाहीत. मात्र, यामुळे हल्लेखोर ज्या सोप्या त्रुटींचा गैरफायदा घेतात, त्या दूर होतात.

Enterprise-Grade ऑथेंटिकेशनवर अपग्रेड करणे

एंटरप्राइझ, अतिथी (guest) आणि मल्टि-टेनंट वातावरणातील सर्वात मोठी Wi-Fi सुरक्षा चूक म्हणजे सामायिक (shared) पासवर्डला एक स्वीकार्य नियंत्रण मानणे. हा देणे सोपे आहे, पुढे पाठवणे सोपे आहे आणि एकदा का तो कर्मचारी, कंत्राटदार, रहिवासी, भाडेकरू आणि अनमॅनेज्ड डिव्हाइसेसमध्ये पसरला की त्यावर नियंत्रण ठेवणे कठीण होते.

मोठ्या वातावरणासाठी, व्यावहारिक अपग्रेड म्हणजे 802.1X सह WPA2-Enterprise किंवा WPA3-Enterprise चा वापर करणे. यामुळे एक्सेस हा सामायिक गुपिताकडून एका आयडेंटिटी निर्णयाकडे वळवला जातो. युझर कोण आहे, कोणते डिव्हाइस कनेक्ट होत आहे आणि त्या क्षणी कोणते धोरण लागू केले पाहिजे, याचे मूल्यांकन नेटवर्क करू शकते.

कार्यक्षमतेच्या दृष्टीने 802.1X चे महत्त्व का आहे

सामायिक-पासवर्ड असलेले Wi-Fi सामान्य ऑपरेशनल दबावाखाली अयशस्वी ठरते. ऑफबोर्डिंग ही केवळ पासवर्ड रीसेट करण्याची कसरत बनते. तपासात स्पष्ट श्रेय (attribution) मिळत नाही. कंत्राटदार आणि अल्पकालीन युझर्सना कायमस्वरूपी कर्मचाऱ्यांसारखाच एक्सेस मिळतो, कारण खऱ्या एक्सेस पॉलिसीपेक्षा एक पासफ्रेज व्यवस्थापित करणे सोपे असते.

802.1X प्रत्येक सेशनला एक ओळख देऊन ही समस्या सोडवते. या प्रक्रियेचे तीन भाग आहेत:

The supplicant, म्हणजेच क्लायंट डिव्हाइस
The authenticator, सामान्यतः एक्सेस पॉइंट किंवा स्विच पोर्ट
The authentication server, प्रामुख्याने RADIUS

जर तुम्हाला या तिसऱ्या भूमिकेबद्दल सोप्या भाषेतील संदर्भ हवा असेल, तर RADIUS सर्व्हर काय करतो याचे हे विहंगावलोकन एक उपयुक्त सुरुवात आहे.

हे मॉडेल अशा एंटरप्राइझ नियंत्रणांना सपोर्ट करते जे PSKs नीट हाताळू शकत नाहीत किंवा अजिबात हाताळू शकत नाहीत.

मजबूत एन्क्रिप्शन व्यतिरिक्त तुम्हाला काय मिळते

एन्क्रिप्शन महत्त्वाचे आहे, परंतु मुख्य सुधारणा ही प्रशासकीय नियंत्रणामध्ये (administrative control) होते.

A diagram illustrating a secure network segmentation architecture with a central firewall controlling traffic between various networks.

एक व्यावहारिक तुलना फरक स्पष्ट करते:

आवश्यकता	शेअर्ड पासवर्ड मॉडेल	Enterprise ऑथेंटिकेशन मॉडेल
एक युझर काढून टाकणे	संपूर्ण पासवर्ड बदला, नंतर तो पुन्हा वितरित करा	वैयक्तिक खाते किंवा प्रमाणपत्र निष्क्रिय करा
ऍक्टिव्हिटीचा तपास करणे	स्पष्टपणे शोधणे कठीण	घटना युझर किंवा डिव्हाइस ओळखीशी जोडणे
भूमिका - आधारित ऍक्सेस लागू करणे	अपूर्ण आणि मॅन्युअल	पॉलिसी निर्णयांमध्ये अंगभूत
सोडून जाणारे कर्मचारी आणि कंत्राटदार व्यवस्थापित करणे	चुका होण्याची शक्यता असलेले	केंद्रीय पातळीवर रद्द करणे
मिश्रित मालमत्ता सुरक्षित करणे	मोठ्या प्रमाणावर वापरण्यासाठी कमकुवत	कर्मचारी, BYOD आणि व्यवस्थापित डिव्हाइसेससाठी योग्य

सर्वात मजबूत उपयोजन पद्धत सहसा सरळ असते:

SSID वर Enterprise ऑथेंटिकेशन सक्षम करा
कर्मचाऱ्यांसाठी केंद्रीय ओळख स्त्रोत वापरा
जुन्या सायफर्स (ciphers) निष्क्रिय करा
ऑथेंटिकेट केलेल्या युझर्स आणि डिव्हाइस प्रकारांना योग्य नेटवर्क पॉलिसीशी मॅप करा
ऑथेंटिकेशन पाथचे नियमितपणे ऑडिट करा

उपयोजन सहसा कोठे रखडते

क्लिष्टता हा एक सामान्य आक्षेप आहे आणि तो योग्य देखील आहे.

PSK मुळे आयडेंटिटी डिझाइनची गरज उरत नाही. 802.1X मुळे आयडेंटिटी स्टोअर्स, प्रमाणपत्र जीवनचक्र, डिव्हाइस ऑनबोर्डिंग, गेस्ट ऍक्सेस, फॉलबॅक पद्धती आणि जुन्या हार्डवेअरसाठी अपवाद हाताळण्याबाबत निर्णय घेणे आवश्यक बनते. त्या नियोजनासाठी वेळ लागतो, परंतु यामुळे नंतर उद्भवणाऱ्या अनेक समस्या आधीच दूर होतात.

जेव्हा तुम्ही इतरत्र आधीच व्यवस्थापित करत असलेल्या ओळखींशी ऍक्सेस जोडला जातो, तेव्हा Enterprise WiFi व्यवस्थापित करणे सोपे होते.

सुसंगतता ही दुसरी समस्या आहे. लॅपटॉप आणि फोन सहसा प्रमाणपत्र - आधारित ऍक्सेस किंवा डिरेक्टरी - बॅक्ड ऑथेंटिकेशनसह चांगले कार्य करतात. प्रिंटर, स्कॅनर, वैद्यकीय उपकरणे, OT सिस्टम आणि जुनी IoT उपकरणे सहसा असे करत नाहीत. एक प्रगल्भ डिझाइन याचा सुरुवातीलाच विचार करते. आधुनिक युझर ऍक्सेस 802.1X वर ठेवा, अपवादात्मक उपकरणांना वेगळे करा आणि मोजक्या मर्यादित उपकरणांमुळे संपूर्ण नेटवर्कसाठी पॉलिसी ठरवली जाणार नाही याची काळजी घ्या.

मल्टी - टेनंट आणि मोठ्या सार्वजनिक ठिकाणी, गेस्ट ऍक्सेसला विशेष वागणूक मिळणे आवश्यक आहे. कर्मचारी आणि भाडेकरू युझर्सनी अशा ओळखींसह ऑथेंटिकेट केले पाहिजे ज्या तुम्ही रद्द करू शकता आणि त्यांचे ऑडिट करू शकता. पाहुण्यांनी स्वतंत्र ऑनबोर्डिंग फ्लो वापरला पाहिजे, शक्यतो Captive Portal नोंदणी, फेडरेटेड साइन - इन किंवा वातावरण पूरक असेल तिथे Passpoint चा वापर करावा. यामुळे पासवर्ड शेअरिंग कमी होते, सपोर्टचा अतिरिक्त खर्च वाचतो आणि सर्व साइट्सवर ऍक्सेस पॉलिसी सातत्याने लागू करणे सोपे होते.

प्रत्यक्षात काय निवडावे

बऱ्याच संस्थांसाठी, हा क्रम योग्य ठरतो:

कर्मचाऱ्यांची उपकरणे 802.1X सह WPA2-Enterprise किंवा WPA3-Enterprise वापरतात
कॉर्पोरेट-व्यवस्थापित एंडपॉइंट्स सर्टिफिकेट-आधारित ऑथेंटिकेशनला प्राधान्य देतात
BYOD वापरकर्ते पॉलिसी निर्बंधांसह नियंत्रित आयडेंटिटी वर्कफ्लोद्वारे ऑथेंटिकेट होतात
पाहुणे (Guests) स्वतंत्र ॲक्सेस फ्लो वापरतात आणि कर्मचाऱ्यांच्या ट्रस्ट मॉडेलच्या बाहेर राहतात
लेगसी एंडपॉइंट्स मर्यादित व्याप्ती आणि स्पष्ट मालकीसह अपवाद हाताळणी (exception handling) मिळवतात

जर एंटरप्राइझ स्तरावर WiFi सुरक्षा सुधारणे हे उद्दिष्ट असेल, तर चांगल्या शेअर केलेल्या पासवर्डऐवजी आयडेंटिटीभोवती सुरक्षा तयार करा. प्रत्यक्ष व्यवहारात याचा अर्थ कर्मचाऱ्यांच्या ॲक्सेससाठी 802.1X, योग्य ठिकाणी SSO किंवा फेडरेटेड आयडेंटिटी, मोठ्या प्रमाणावरील अतिथी वातावरणासाठी Passpoint, आणि पासवर्ड वितरणावर आधारित नेटवर्कऐवजी नियंत्रित अपवादांची एक छोटी सूची असा होतो.

एक सुरक्षित सेगमेंटेड नेटवर्क आर्किटेक्चर डिझाइन करणे

जर ऑथेंटिकेशन "कोणाला प्रवेश मिळतो" याचे उत्तर देत असेल, तर सेगमेंटेशन "ते कुठे पोहोचतात" याचे उत्तर देते.

फ्लॅट वायरलेस नेटवर्क हे लेन नसलेल्या, बॅरियर्स नसलेल्या आणि कोणते वाहन कोणत्या गंतव्यस्थानावर पोहोचू शकते याचे नियम नसलेल्या हायवेसारखे आहे. यामुळे ट्रॅफिक सुरू राहू शकते. पण यामुळे घटना चांगल्या प्रकारे रोखता येणार नाहीत.

सोयीनुसार नव्हे, तर विश्वासाच्या आधारावर सेगमेंट करा

गेस्ट ॲक्सेसकडे सहसा सोपी पासवर्ड समस्या म्हणून पाहिले जाते, परंतु secure Wi-Fi डिझाइनवरील Ekahau च्या मार्गदर्शनामध्ये चर्चा केल्यानुसार, सर्वात मजबूत डिझाइन म्हणजे गेस्ट WiFi ला वेगळ्या सबनेट किंवा नेटवर्कमध्ये सेगमेंट करणे आणि संवेदनशील संसाधनांपासून वेगळे करणे होय. SSID लपवण्यासारख्या वरवरच्या कल्पनांपेक्षा हे खूप जास्त महत्त्वाचे आहे.

मोठ्या वातावरणात सर्वात स्पष्ट सेगमेंटेशन मॉडेलमध्ये सहसा खालील गोष्टींसाठी स्वतंत्र झोन समाविष्ट असतात:

कॉर्पोरेट कर्मचारी
पाहुणे (Guests)
IoT आणि ऑपरेशनल उपकरणे
सुरक्षित सर्व्हर किंवा ॲप्लिकेशन झोन
आवश्यकतेनुसार टेनंट-विशिष्ट किंवा साईट-विशिष्ट नेटवर्क्स

स्वयंचलित Wi-Fi ऑनबोर्डिंग आणि सुरक्षित नेटवर्क ॲक्सेस व्यवस्थापनाच्या सात पायऱ्या दर्शवणारा एक फ्लो चार्ट.

प्रत्येक झोनची स्वतःची VLAN किंवा समतुल्य पॉलिसी मर्यादा असली पाहिजे, आणि आंतर-झोन ट्रॅफिक फायरवॉल किंवा पॉलिसी इंजिनमधून गेले पाहिजे. सर्व वायरलेस नियंत्रक हे तितक्याच चांगल्या प्रकारे लागू करत नाहीत, त्यामुळे तुमच्या स्टॅकमध्ये पॉलिसी कुठे कार्यरत आहे हे तपासा.

वास्तविक ठिकाणांवर काम करणारी एक ब्ल्यूप्रिंट

वास्तविक व्यावसायिक कारकीर्द दर्शवणारे सेगमेंटेशन नियम वापरा.

हॉस्पिटॅलिटी आणि मनोरंजन

हॉटेल्स, बार, स्टेडियम आणि इव्हेंटच्या ठिकाणांना सामान्यतः किमान खालील पृथक्करणाची आवश्यकता असते:

बॅक-ऑफिस सिस्टमकडे जाणारा कोणताही मार्ग नसलेला गेस्ट इंटरनेट ॲक्सेस
स्टाफ ऑपरेशन्स हँडहेल्ड, PMS क्लायंट आणि अंतर्गत ॲप्लिकेशन्ससाठी
POS आणि पेमेंट वातावरण अतिशय मर्यादित ईस्ट-वेस्ट ट्रॅफिकसह
बिल्डिंग सिस्टम्स आणि IoT जसे की IPTV, थर्मोस्टॅट्स, सायनेज, लॉक्स किंवा कॅमेरे

हॉस्पिटॅलिटीमध्ये, सामान्य चूक म्हणजे सोयीसाठी डिझाइनशी तडजोड करणे. कोणालातरी "सर्व गोष्टींसाठी" एक SSID हवा असतो. यामुळे एका आठवड्यासाठी सपोर्ट सोपा होतो, पण पुढील अनेक वर्षांसाठी धोका वाढतो.

रिटेल आणि शॉपिंग सेंटर्स

रिटेल इस्टेट्सना सहसा खालील गोष्टी वेगळ्या ठेवण्याची आवश्यकता असते:

स्टोअर स्टाफ डिव्हाइसेस
कस्टमर गेस्ट ॲक्सेस
POS आणि पेमेंट टर्मिनल्स
डिजिटल सायनेज आणि सेन्सर्स
लँडलॉर्ड किंवा सेंटर-मॅनेजमेंट सिस्टम्स

यामधील महत्त्वाची गोष्ट म्हणजे एक स्टोअर, एक किओस्क किंवा एक चुकीचे कॉन्फिगर केलेले वेंडर डिव्हाइस हे इतर ऑपरेशन्सच्या क्षेत्रात प्रवेश करण्याचे माध्यम बनू नये.

मल्टी-टेनंट प्रॉपर्टी

रेसिडेन्शियल, BTR, स्टुडंट हाउसिंग आणि मिक्स-यूज प्रॉपर्टीजमध्ये, वायरलेस डिझाईन सहसा अपयशी ठरते कारण ऑपरेटर घरगुती अपेक्षांना एन्टप्राइज जोखमींसोबत एकत्र करतात. भाडेकरूंना साधी कनेक्टिव्हिटी हवी असते. ऑपरेटरना कडक आयसोलेशनची गरज असते.

एक व्यवहार्य मॉडेल पुढीलप्रमाणे आहे:

नेटवर्क वर्ग	ॲक्सेस मॉडेल	अनुमत पोहोच
भाडेकरू ॲक्सेस	भाडेकरू-विशिष्ट ओळख किंवा प्रोफाइल	इंटरनेट आणि मंजूर रहिवासी सेवा
बिल्डिंग ऑपरेशन्स	मॅनेज्ड डिव्हाइस ओळख	फक्त आवश्यक अंतर्गत सिस्टम्स
गेस्ट/कॉमन एरिया WiFi	स्वतंत्र गेस्ट पाथ	फक्त इंटरनेट
कॉन्ट्रॅक्टर ॲक्सेस	वेळ-मर्यादित पॉलिसी	फक्त विशिष्ट ॲप्स किंवा सपोर्ट सेवा

VLAN डायग्रामपेक्षा फायरवॉल नियम अधिक महत्त्वाचे आहेत

टीम सहसा फक्त VLAN डिझाइनवर येऊन थांबतात आणि काम पूर्ण झाले असे समजतात. ते फक्त अर्धेच काम आहे.

तुमच्या फायरवॉल नियमांनी अशा प्रश्नांची उत्तरे दिली पाहिजेत:

गेस्ट डिव्हाइस इंटरनेट पाथ व्यतिरिक्त इतर कशापर्यंत पोहोचू शकते का?
एक IoT डिव्हाइस युझर नेटवर्कमध्ये सेशन्स सुरू करू शकते का?
स्टाफ डिव्हाइसेस केवळ मंजूर पोर्ट्स आणि सेवांद्वारे सुरक्षित ॲप्लिकेशन्सपर्यंत पोहोचू शकतात का?
एक भाडेकरूचे नेटवर्क कधी दुसऱ्या भाडेकरूचे नेटवर्क पाहू शकते का?
ऑनबोर्डिंग सिस्टम्स आयडेंटिटी सेवांना व्यापकपणे उघड न करता त्यांच्याशी संवाद साधू शकतात का?

जेव्हा पॉलिसी लागू करण्याऐवजी गृहीत धरली जाते, तेव्हा सेगमेंटेशन अयशस्वी होते.

एक चांगली आर्किटेक्चर डिव्हाइसेस व्यवस्थित वागतील असे गृहीत धरत नाही. ती गृहीत धरते की त्यातील काही व्यवस्थित चालणार नाहीत, आणि त्यानुसार होणारे नुकसान मर्यादित करते. म्हणूनच अस्थिर युझर्स, अनमॅनेज्ड डिव्हाइसेस किंवा मिश्रित ट्रस्ट लेव्हल्स असलेल्या कोणत्याही वातावरणात WiFi सुरक्षा कशी सुधारावी यासाठी सेगमेंटेशन हे अत्यंत महत्त्वाचे आहे.

सुरक्षित ऑनबोर्डिंग आणि ॲक्सेस मॅनेजमेंट स्वयंचलित करणे

कर्मचारी बदल, BYOD, कंत्राटदार, पाहुणे आणि एकाधिक साइट्सवर पसरलेली जुनी डिव्हाइसेस असताना मॅन्युअल WiFi प्रशासन टिकू शकत नाही. लोक सोडून जातात. डिव्हाइसेस बदलली जातात. तात्पुरता प्रवेश कायमस्वरूपी बनतो कारण तो काढून टाकण्याची कोणालाही आठवण राहत नाही.

ऑटोमेशन ओळख, प्रमाणीकरण (authentication) आणि नेटवर्क पॉलिसी जोडून हे दुरुस्त करते.

कर्मचाऱ्यांचा प्रवेश ओळख जीवनचक्राचे (identity lifecycle) पालन करणारा असावा

जेव्हा एखादा कर्मचारी सामील होतो, तेव्हा त्यांचा WiFi प्रवेश त्याच ओळख प्रक्रियेचा भाग म्हणून दिसला पाहिजे जी त्यांची व्यावसायिक खाती तयार करते. जेव्हा ते टीम्स बदलतात, तेव्हा पॉलिसी अपडेट झाली पाहिजे. जेव्हा ते सोडतात, तेव्हा जुने पासवर्ड किंवा जुन्या MAC नोंदी शोधण्याची कोणालाही गरज न पडता प्रवेश थांबला पाहिजे.

म्हणूनच परिपक्व उपयोजन वायरलेस प्रवेशाला आधीच संस्थेमध्ये वापरल्या जाणाऱ्या ओळख प्रदात्यांशी जोडतात, जसे की Entra ID, Google Workspace किंवा Okta. याचा परिणाम अधिक सुलभ ऑनबोर्डिंग मार्ग, कमी मॅन्युअल अपवाद आणि केंद्रीय निरसन यामध्ये होतो.

A ten-step diagram illustrating the process of automating secure employee onboarding and identity access management workflows.

तुम्ही पॉलिसी अंमलबजावणी आणि ओळख-चालित प्रवेशाभोवती ऑर्केस्ट्रेशन पर्यायांचे मूल्यमापन करत असल्यास, हे नेटवर्क प्रवेश नियंत्रण उपाय तुम्हाला केवळ रेडिओऐवजी वायरलेसभोवती आवश्यक असलेला व्यापक नियंत्रण स्तर दाखवतात.

वेगवेगळ्या वापरकर्ता गटांना वेगवेगळ्या ऑनबोर्डिंग मार्गांची आवश्यकता असते

एकच वर्कफ्लो क्वचितच प्रत्येकासाठी योग्य ठरतो. वेगवेगळ्या विश्वास पातळीसाठी स्वतंत्र पद्धती वापरा.

व्यवस्थापित कर्मचारी डिव्हाइसेसनी किमान वापरकर्ता घर्षणासह प्रमाणपत्र-आधारित किंवा निर्देशिका-समर्थित प्रमाणीकरण वापरले पाहिजे.
BYOD वापरकर्त्यांना नियंत्रित नोंदणी प्रवाहाची आवश्यकता असते जी प्रतिबंधित पॉलिसी आणि स्पष्ट मुदत संपण्याची किंवा पुनरावलोकन अटी लागू करते.
पाहुण्यांना कर्मचाऱ्यांच्या विश्वास डोमेनमध्ये सामील न होता सोप्या प्रवेशाची आवश्यकता असते.
जुन्या डिव्हाइसेसना घट्टपणे परिभाषित विशेषाधिकारांसह अपवाद हाताळणीची आवश्यकता असते.

हा असा भाग देखील आहे जिथे एखादा प्लॅटफॉर्म पर्याय उपयोजन सुलभ करू शकतो. Purple हे WPA2/3-Enterprise प्रवेश, SSO-समर्थित प्रमाणीकरण, Passpoint/OpenRoaming आणि जुन्या डिव्हाइसेससाठी iPSK चे समर्थन करते, जे ऑन-प्रिमाइसेस RADIUS आणि कॅप्टिव्ह-पोर्टल वर्कफ्लोभोवती सर्वकाही न बनवता सामायिक केलेले पासवर्ड बदलण्याचा प्रयत्न करणाऱ्या वातावरणाशी सुसंगत आहे.

Passpoint आणि पासवर्डमुक्त अतिथी प्रवेश

पारंपारिक अतिथी WiFi सहसा वापरकर्त्यांना कॅप्टिव्ह पोर्टल आणि सामायिक केलेल्या पासवर्डद्वारे जाण्यास भाग पाडते, नंतर त्यांना वेगळ्या इंटरनेट मार्गावर सोडते. ते कार्य करू शकते, परंतु ते त्रासदायक आहे आणि तरीही संस्थांना "अतिथी पासवर्ड" च्या दृष्टीने विचार करण्याचे प्रशिक्षण देते.

Passpoint किंवा संबंधित रोमिंग फ्रेमवर्कद्वारे पासवर्डशिवाय ऑनबोर्डिंग करणे हा एक उत्तम मॉडेल आहे, जेथे ओळख देवाणघेवाण स्वच्छपणे होते आणि सत्राच्या सुरुवातीपासूनच ट्रॅफिक कूटबद्ध (encrypted) केले जाते. यामुळे सुरक्षा आणि वापरकर्ता अनुभव दोन्ही सुधारतात. हे हॉटेल्समधील फ्रंट-डेस्कचे काम, रिटेल टीम्सवरील दबाव आणि हेल्थकेअर वेटिंग एरिया किंवा ट्रान्सपोर्ट हबमधील अडथळे देखील कमी करते.

उत्तम ऑनबोर्डिंग वापरकर्त्याच्या प्रवासातून सामायिक सिक्रेट्स काढून टाकते आणि ॲडमिन टीमचे मॅन्युअल क्लीन-अपचे काम वाचवते.

मानक कमकुवत न करता अपवाद हाताळा

प्रत्येक डिव्हाइस 802.1X करू शकत नाही. प्रिंटर, विशेष स्कॅनर, स्मार्ट टीव्ही, सायनेज प्लेयर्स आणि काही ऑपरेशनल डिव्हाइसेस अजूनही मागे आहेत. याचा अर्थ असा नाही की तुम्ही संपूर्ण इस्टेटसाठी एका पासवर्डवर परत जावे.

त्या डिव्हाइसेससाठी, iPSK सारख्या प्रति-डिव्हाइस दृष्टिकोनाचा वापर करा, नंतर प्रत्येक क्रेडेंशियल योग्य सेगमेंटशी बाइंड करा आणि ते कशापर्यंत पोहोचू शकते यावर मर्यादा घाला. जर एक डिव्हाइस तडजोड (compromised) झाले, तर तुम्ही एका डिव्हाइसचे क्रेडेंशियल रद्द करता. तुम्ही संपूर्ण नेटवर्क रोटेट करत नाही.

येथे ऑटोमेशन महत्त्वाचे आहे कारण स्केल सर्व काही बदलते. मूठभर अपवाद हाताने व्यवस्थापित करणे शक्य आहे. परंतु प्रॉपर्टीज, वेन्यू किंवा कॅम्पसमध्ये शेकडो अपवाद असल्यास स्प्रेडशीट्स सुरक्षा जोखीम निर्माण करू लागतात.

सक्रिय देखरेख (Active Monitoring) आणि घटना प्रतिसाद (Incident Response) स्थापित करणे

Wi-Fi सुरक्षा डिझाइनपेक्षा ऑपरेशन्समध्ये जास्त वेळा अपयशी ठरते.

एक एंटरप्राइझ 802.1X तैनात करू शकते, पाहुण्यांना कर्मचाऱ्यांपासून वेगळे करू शकते आणि सामायिक पासवर्ड ओळख-आधारित प्रवेशासह बदलू शकते, परंतु बदल लक्षात न आल्यामुळे नियंत्रण गमावू शकते. एखादे प्रमाणपत्र कालबाह्य होते. एखाद्या इव्हेंटनंतर तात्पुरता SSID तसाच चालू राहतो. एखादा भाडेकरू सामायिक जागेत अनमॅनेज्ड AP जोडतो. धोरणातील बदलामुळे डिव्हाइसेस चुकीच्या सेगमेंटमध्ये जातात. मोठ्या वेन्यू आणि मल्टि-टिनेंट इस्टेट्समध्ये, हे अपयश सामान्य आहेत कारण वायरलेस सतत बदलत असते.

सतत काय मॉनिटर करावे

केवळ अपटाइम नव्हे, तर ॲक्सेस कंट्रोल आणि पॉलिसी अंमलबजावणीशी संबंधित सिग्नलपासून सुरुवात करा.

यावर लक्ष केंद्रित करा:

RADIUS, आयडेंटिटी प्रदाते किंवा क्लाउड NAC प्लॅटफॉर्मवरील ऑथेंटिकेशन यश आणि अपयश
कंट्रोलर्स, APs, स्विचेस आणि गेटवेवरील प्रशासकीय लॉगइन आणि कॉन्फिगरेशन बदल
मंजूर बदल विंडोच्या बाहेर तयार केलेले नवीन SSIDs, पॉलिसी ऑब्जेक्ट्स किंवा अपवाद नियम
क्लायंट असाइनमेंट पॅटर्न जे वापरकर्ते किंवा डिव्हाइसेस चुकीच्या रोल, VLAN किंवा पॉलिसी ग्रुपमध्ये जात असल्याचे दर्शवतात
साइट्स आणि प्रॉपर्टीजमधील AP आरोग्य, फर्मवेअर स्थिती आणि कंट्रोलर सिंक स्थिती

ऑथेंटिकेशन अपयशांना संदर्भाची गरज असते. अपयशाचा अचानक आलेला पूर हा प्रमाणपत्र नूतनीकरणानंतरचा सपोर्टचा मुद्दा असू शकतो किंवा SSO शी जोडलेली ऑनबोर्डिंग त्रुटी असू शकते. हे क्रेडेंशियलचा गैरवापर, डिव्हाइस क्लोनिंग किंवा संपूर्ण वापरकर्ता समूहावर परिणाम करणाऱ्या चुकीच्या धोरणाचे सुरुवातीचे पुरावे देखील असू शकतात.

मुद्दा साधा आहे. कोणाला ॲक्सेस मिळतो, तो कसा मिळतो आणि त्यानंतर ते कुठे जातात हे ठरवणार्‍या नियंत्रणांचे निरीक्षण करा.

Rogue AP शोधणे हे एक नियमित नियंत्रण आहे

सुव्यवस्थित वायरलेस वातावरणामध्ये Rogue APs अजूनही काही सर्वात सोप्या त्रुटी निर्माण करतात. ते नेहमीच दुर्भावनायुक्त असतात असे नाही. प्रत्यक्षात, अनेकदा सोयीसाठी ते जोडले जातात. एखादा कर्मचारी डेड स्पॉट दुरुस्त करण्यासाठी कमी किमतीचा राउटर प्लग इन करतो. एखादा कंत्राटदार कार्यक्रमानंतर ब्रिज मागे सोडतो. एखादा भाडेकरू सामायिक इमारतीमध्ये ग्राहकोपयोगी उपकरणे स्थापित करतो आणि तुमच्या प्रमाणीकरण आणि वर्गीकरण (segmentation) धोरणांना बगल देणारा एक अनियंत्रित मार्ग तयार करतो.

त्यामुळेच नियमित RF आणि पायाभूत सुविधांच्या तपासण्या सामान्य ऑपरेशन्सचा भाग असायला हव्यात, वार्षिक ऑडिटचा नाही. कॉन्फिगरेशन पुनरावलोकने, स्विच-पोर्ट तपासण्या आणि समस्याग्रस्त भागांमधील प्रत्यक्ष पाहणी सोबतच Rogue APs आणि सिग्नल विसंगतींसाठी WiFi स्कॅन चालवा.

Rogue AP महत्त्वाचा आहे कारण तो तुम्ही इतरत्र घेतलेल्या ओळख आणि धोरणांच्या निर्णयांना बगल देतो.

एक WiFi-विशिष्ट प्रतिसाद प्लेबुक तयार करा

सामान्य SOC रनबुक्स पुरेशी नाहीत. वायरलेस घटनांसाठी वायरलेस निकामी होण्याच्या पद्धतींशी जुळणार्‍या कृतींची आवश्यकता असते.

एक साधी प्लेबुक रचना वापरा:

घटना ओळखा
समस्या Rogue AP, प्रमाणपत्र अपयश, पॉलिसी ड्रिफ्ट, असामान्य प्रमाणीकरण क्रियाकलाप किंवा वायरलेस सेगमेंटमधून संशयास्पद हालचाल आहे याची खात्री करा.
धोका मर्यादित करा
SSID निष्क्रिय करा, क्रेडेंशियल रद्द करा, एंडपॉईंट क्वारंटाईन करा, स्विच पोर्ट काढून टाका किंवा कंट्रोलरमधून AP ब्लॉक करा.
पुरावा जतन करा
कंट्रोलर लॉग, RADIUS व्यवहार, आयडेंटिटी-प्रोव्हाइडर इव्हेंट्स, कॉन्फिगरेशन स्नॅपशॉट्स आणि बदल रेकॉर्ड ठेवा.
ॲक्सेस मार्गाचा शोध घ्या
कोणती ओळख प्रमाणित झाली, कोणते धोरण लागू केले गेले, कोणते सेगमेंट नियुक्त केले गेले आणि डिव्हाइस कोठपर्यंत पोहोचू शकत होते ते ठरवा.
नियंत्रणातील त्रुटी दुरुस्त करा
मूळ कारण काढून टाका. तात्पुरत्या ऑनबोर्डिंग मार्गाची मुदत संपण्याची तारीख नसली, तर मुदत जोडा. भाडेकरू पोर्टने अनियंत्रित उपकरणांना अनुमती दिली असल्यास, पोर्ट पॉलिसी अधिक कडक करा.

एंटरप्राइझ आणि अतिथी वातावरणात, प्रतिसादाचा वेग महत्त्वाचा असतो कारण एक कमकुवत अपवाद एकाच वेळी अनेक वापरकर्त्यांवर परिणाम करू शकतो. चुकीचे कॉन्फिगर केलेले कर्मचारी SSID अंतर्गत ॲक्सेस उघड करू शकते. अतिथी धोरणातील त्रुटी संपूर्ण ठिकाणी अलगाव (isolation) खंडित करू शकते. सामायिक-पासवर्ड मॉडेल धोका मर्यादित करणे कठीण करते कारण रद्द करण्यासाठी कोणतीही एक ओळख नसते. ओळख-आधारित ॲक्सेस टीमला अधिक स्पष्ट प्रतिसाद मार्ग देतो.

लोक विसरतात अशा गोष्टींचे ऑडिट करा

सर्वात जास्त मोलाच्या तपासण्या अनेकदा ऑपरेशनल हाउसकीपिंग असतात:

ऑडिट आयटम	ते का महत्त्वाचे आहे
लेगसी सायफर पुनरावलोकन	जुने सेटिंग्ज स्थलांतरणांमधून टिकून राहतात आणि नवीन धोरण मानके कमकुवत करतात
अतिथी मार्ग पडताळणी	डिझाइन दर्शवते त्यापेक्षा गेस्ट ट्रॅफिक सहसा कमी आयसोलेट केलेले असते
ऑथेंटिकेशन-सर्व्हर सेटिंग्ज	येथील बदल खात्री खंडित करतात
AP इन्व्हेंटरी रिकॉन्सिलिएशन	कालांतराने अज्ञात किंवा बदललेले हार्डवेअर दिसून येते
अपवाद डिव्हाइस पुनरावलोकन	तात्पुरत्या परवानग्या अनेकदा कायमस्वरूपी बनतात

WiFi मॉनिटरिंगकडे ॲक्सेस कंट्रोल ऑपरेशन्सचा भाग म्हणून पहा. एंटरप्राइझ, गेस्ट आणि मल्टि-टेनंट वातावरणामध्ये, टीम्स आयडेंटिटी, सेगमेंटेशन आणि अपवाद हाताळणी डिझाइनशी सुसंगत ठेवण्यासाठी याच पद्धतीचा वापर करतात.

तुमची WiFi सुरक्षा कृती चेकलिस्ट

अनेक WiFi रोलआउट्समध्ये अजूनही शेअर्ड पासवर्ड्सचा मोठ्या प्रमाणावर वापर केला जातो. एंटरप्राइझ, गेस्ट आणि मल्टि-टेनंट वातावरणामध्ये, हे मॉडेलच मुख्य समस्या आहे. यावर व्यावहारिक उपाय म्हणजे व्यापक शेअर्ड ॲक्सेस ऐवजी आयडेंटिटी, पॉलिसी आणि जलद रिव्होकेशन (रद्दीकरण) लागू करणे.

तुम्ही चालवत असलेल्या वास्तविक वातावरणाची चाचणी घेण्यासाठी खालील चेकलिस्ट वापरा, डिझाइन डायग्रामवर दिसणाऱ्या वातावरणाची नाही.

हॉस्पिटॅलिटी आणि गेस्टची जास्त गर्दी असणारी ठिकाणे

पॉलिसी लेयरवर गेस्ट आणि स्टाफचा ॲक्सेस वेगळा ठेवा. स्टाफ डिव्हाइसेस, POS, PMS आणि बॅक-ऑफिस सिस्टम्सचे ऑथेंटिकेशन वेगळ्या प्रकारे झाले पाहिजे आणि ते वेगळ्या नेटवर्क सेगमेंटमध्ये असले पाहिजेत.
प्रिंट केलेले शेअर्ड पासवर्ड वापरणे बंद करा. कॅप्टिव्ह ऑनबोर्डिंग, योग्य ठिकाणी SSO, सपोर्टेड प्रवासासाठी Passpoint/OpenRoaming आणि स्टाफसाठी आयडेंटिटी-आधारित ॲक्सेसचा वापर करा.
रूम आणि वेन्यू डिव्हाइसेस आयसोलेट करा. टीव्ही, साईनएज, थर्मोस्टॅट्स, लॉक्स आणि इतर IoT सिस्टम्सना मर्यादित ॲक्सेस मिळणे आवश्यक आहे, व्यापक स्थानिक व्हिजिबिलिटी नव्हे.
तात्पुरत्या ॲक्सेसवर एक्स्पायरी आणि ओनरशिप सेट करा. इव्हेंट नेटवर्क्स, कॉन्फरन्स बदल आणि कंत्राटदारांच्या ॲक्सेससाठी एक जबाबदार ओनर आणि ऑटोमॅटिक एंड डेट असावी.
युझरच्या बाजूने चाचणी घ्या. गेस्ट म्हणून कनेक्ट व्हा आणि कशावर ॲक्सेस मिळत आहे याची पडताळणी करा. स्टाफ, कंत्राटदार आणि रूम डिव्हाइसेससाठीही असेच करा.

कॉर्पोरेट आणि कॅम्पस IT

वर्कफोर्स ॲक्सेससाठी 802.1X सह WPA2-Enterprise किंवा WPA3-Enterprise वापरा।
WiFi ॲक्सेस आयडेंटिटी लाइफसायकल प्रक्रियेशी जोडा. नवीन कर्मचाऱ्यांना त्वरित योग्य ॲक्सेस मिळतो. काम सोडलेल्या युझर्सचा ॲक्सेस त्वरित काढून घेतला जातो.
मॅनेज्ड एंडपॉइंट्ससाठी सर्टिफिकेट-आधारित ऑथेंटिकेशनला प्राधान्य द्या. यामुळे फिशिंगचा धोका कमी होतो आणि शेअर्ड सिक्रेट्स बदलण्याचा सपोर्टचा भार टळतो.
BYOD मॅनेज्ड ॲक्सेसपासून वेगळे ठेवा. वेगवेगळ्या डिव्हाइस ट्रस्ट लेव्हल्सनुसार वेगवेगळ्या पॉलिसीज, वेगवेगळे VLANs किंवा रोल्स आणि वेगवेगळे डेस्टिनेशन मिळाले पाहिजेत.
जुने प्रोटोकॉल आणि सायफर अपवाद काढून टाका. जर एखाद्या लेगसी डिव्हाइसला अजूनही कमकुवत सेटिंग्जची आवश्यकता असेल, तर मुख्य नेटवर्क कमकुवत करण्याऐवजी त्याला एका मर्यादित पाथवर हलवा.

मल्टि-टेनंट प्रॉपर्टी आणि रेसिडेन्शियल ऑपरेशन्स

प्रत्येक टेनंटला डिझाइननुसार आयसोलेट ठेवा. एका फ्लॅट, ऑफिस किंवा रेसिडेंट नेटवर्कचा दुसऱ्या नेटवर्कवर लॅटरल ॲक्सेस नसावा.
भाडेकरूंच्या ऍक्सेसपासून इमारतीचे कामकाज वेगळे ठेवा. कॅमेरे, लिफ्ट, ऍक्सेस कंट्रोल, मीटरिंग आणि प्लांट सिस्टम्ससाठी स्वतःचा ऑथेंटिकेटेड मार्ग आणि मर्यादित ॲडमिनिस्ट्रेशन मॉडेल असणे आवश्यक आहे.
मॉडर्न युजर ऑथेंटिकेशन वापरू न शकणाऱ्या हार्डवेअरसाठी प्रति-डिव्हाइस क्रेडेंशियल जारी करा. यामुळे टीमला विशिष्ट क्रेडेंशियल रिव्होक (रद्द) आणि ऑडिट करण्याची सुविधा मिळते.
कंत्राटदारांच्या ऍक्सेसवर वेळ आणि गंतव्यस्थानानुसार निर्बंध घाला. मेंटेनन्स सप्लायर्सना क्वचितच ब्रॉड नेटवर्क रीचची आवश्यकता असते आणि ती देखील फार कमी काळासाठी लागते.
अनमॅनेज्ड आणि पडून असलेल्या उपकरणांचे पुनरावलोकन करा. भाडेकरूंनी इन्स्टॉल केलेले गीअर, रिप्लेसमेंट APs आणि विसरलेले स्विचेस यामुळे जोखमीचे प्रमाण वेगाने बदलते.

कोणत्याही एनव्हायर्नमेंटसाठी युनिव्हर्सल चेक्स

सर्व डिफॉल्ट ॲडमिन क्रेडेंशियल बदला
तुम्ही ऍक्टिव्हली न वापरत असलेले WPS, UPnP आणि रिमोट मॅनेजमेंट डिसेबल करा
APs, कंट्रोलर्स, गेटवेज आणि RADIUS इन्फ्रास्ट्रक्चर सपोर्टेड सॉफ्टवेअरवर ठेवा
रोग (rogue) ऍक्सेस पॉईंट्स आणि अनधिकृत SSIDs साठी स्कॅन करा
असाइन केलेले पॉलिसी, सेगमेंट आणि पोहोचण्यायोग्य रिसोर्सेस डिझाइनशी जुळत असल्याची पडताळणी करा
दरमहा अपवादांचे (exceptions) पुनरावलोकन करा. तात्पुरत्या मंजुरींमुळे कमकुवत नियंत्रणे कायमस्वरूपी बनतात

जर २०२६ मध्ये WiFi सुरक्षा सुधारणे हे ध्येय असेल, तर कोणाला ऍक्सेस मिळतो, त्या ऍक्सेसचे ऑथेंटिकेशन कसे होते आणि तो किती वेगाने रिव्होक केला जाऊ शकतो यापासून सुरुवात करा. पासवर्डची मजबुती अजूनही महत्त्वाची आहे. मोठ्या मालमत्तांमध्ये, ओळख (identity), सेगमेंटेशन आणि नियंत्रित ऑनबोर्डिंग अधिक महत्त्वाचे ठरते.

जर तुम्ही शेअर्ड पासवर्ड ऐवजी पाहुणे, कर्मचारी किंवा भाडेकरूंसाठी आयडेंटिटी-बेस्ड WiFi ऍक्सेस वापरू इच्छित असाल, तर Purple हा मूल्यांकनासाठी एक पर्याय आहे. हे एंटरप्राइझ ऑथेंटिकेशन, SSO-बेस्ड ऑनबोर्डिंग, Passpoint/OpenRoaming, आणि लेगसी हार्डवेअरसाठी प्रति-डिव्हाइस ऍक्सेस मॉडेल्सना सपोर्ट करते, जे मोठ्या ठिकाणांना आणि विखुरलेल्या मालमत्तांना ब्रॉड शेअर्ड क्रेडेंशियल्सवर अवलंबून न राहता WiFi सुरक्षा मॉडर्न बनवण्यास मदत करू शकते.