Captive Portal आर्किटेक्चर: सुरक्षा, पुनर्निर्देशन (Redirection), आणि सर्वोत्तम पद्धती

ब्रिटिश इंग्रजीमध्ये एका आत्मविश्वासाने भरलेल्या, अधिकारयुक्त आणि संवादात्मक सुरात बोला - जसे की एखादे ज्येष्ठ नेटवर्क कन्सल्टंट कॉफीवर आपल्या क्लायंटला माहिती देत आहेत. मोजलेला वेग, स्पष्ट उच्चार, कोणतीही घाई नाही. जोर देण्यासाठी काही ठिकाणी नैसर्गिक थांबे. व्यावसायिक पण ताठर नसलेला टोन: Purple च्या तांत्रिक ब्रीफिंगमध्ये आपले स्वागत आहे. मी तुमचा होस्ट आहे, आणि आज आपण Captive Portal आर्किटेक्चरच्या खोलात जाणार आहोत - विशेषतः सुरक्षा मॉडेल, रिडायरेक्शन मेकॅनिक्स आणि असे डिझाइन निर्णय जे एका सुसंगत, चांगल्या पद्धतीने इंजिनिअर केलेल्या डिप्लोयमेंटला अशा डिप्लोयमेंटपासून वेगळे करतात जे तुम्हाला मध्यरात्री तीन वाजता अडचणीत आणू शकतात. [medium pause] परिस्थिती समजून घेऊया. तुम्ही एखाद्या हॉटेल चेन, रिटेल इस्टेट किंवा स्टेडियममध्ये गेस्ट WiFi चालवत आहात. दररोज हजारो डिव्हाइसेस कनेक्ट होतात. त्यातील काही डिव्हाइसेसमध्ये मालवेअर असू शकतात. काही युजर्स अशा कंटेंटमध्ये प्रवेश करण्याचा प्रयत्न करतील ज्याचा त्यांनी करू नये. आणि तुमच्या लीगल टीमला लेखी स्वरूपात हवे आहे की, तुम्ही वैयक्तिक डेटाचा एकही बाइट साठवण्यापूर्वी वैध संमती घेतली आहे. [medium pause] हीच ती समस्या आहे जी सोडवण्यासाठी Captive Portal आर्किटेक्चर डिझाइन केले आहे. हे प्रत्यक्षात कसे कार्य करते ते समजून घेऊया. [medium pause] विभाग एक. रिडायरेक्शन चेन. जेव्हा एखादे गेस्ट डिव्हाइस तुमच्या WiFi SSID शी कनेक्ट होते, तेव्हा त्याला एका समर्पित गेस्ट VLAN वरील - समजा VLAN 20 - DHCP पूलवरून एक IP ॲड्रेस मिळतो. तुमचे कॉर्पोरेट डिव्हाइसेस VLAN 10 वर आहेत. या दोन्ही VLAN ने कधीही एकमेकांशी रूट होऊ नये. PCI DSS च्या दृष्टीकोनातून आणि स्पष्टपणे सांगायचे तर मूलभूत सुरक्षेच्या दृष्टीकोनातूनही हे तडजोड न करण्याजोगे आहे. आता, डिव्हाइस कनेक्ट झाले आहे, परंतु त्याचे अद्याप ऑथेंटिकेशन झालेले नाही. कंट्रोलर त्याला आपण ज्याला प्री-ऑथेंटिकेशन स्टेट म्हणतो त्यामध्ये ठेवतो. हे डिव्हाइस केवळ डोमेन्सच्या एका लहान व्हाईटलिस्टपर्यंत पोहोचू शकते - ज्याला वॉल्ड गार्डन म्हणतात. इतर सर्व काही इंटरसेप्ट केले जाते. येथे सर्वात हुशारीचा भाग आहे. जेव्हा डिव्हाइस एखादे वेबपेज लोड करण्याचा प्रयत्न करते - किंवा जेव्हा ऑपरेटिंग सिस्टम तिची Captive Portal डिटेक्शन तपासणी करते, जी iOS स्वयंचलितपणे captive.apple.com वर हिट करून करते - तेव्हा गेटवेवरील DNS रिझॉल्व्हर वास्तविक गंतव्यस्थानाऐवजी Captive Portal सर्व्हरचा IP ॲड्रेस परत करतो. ब्राउझर त्या रिडायरेक्टचे अनुसरण करतो आणि तुमच्या स्प्लॅश पेजवर पोहोचतो. [medium pause] हे लेयर 3 आणि लेयर 7 एकत्र काम करत आहेत. VLAN नेटवर्क आयसोलेशन हाताळते. DNS इंटरसेप्ट रिडायरेक्ट हाताळते. आणि Captive Portal ओळख आणि संमती लेयर हाताळते. तीन स्वतंत्र यंत्रणा, सर्व एका क्रमाने काम करतात. [medium pause] विभाग दोन. ऑथेंटिकेशन आणि RADIUS. एकदा गेस्टने स्प्लॅश पेजशी संवाद साधला की - मग ते अटी आणि शर्ती स्वीकारणे असो, ईमेल आयडी टाकणे असो, सोशल लॉगिनद्वारे ऑथेंटिकेट करणे असो किंवा SMS कोड पडताळणे असो - प्लॅटफॉर्मला नेटवर्क कंट्रोलरला त्या विशिष्ट डिव्हाइससाठी फायरवॉल उघडण्यास सांगावे लागते. इथेच RADIUS चा वापर होतो. RADIUS म्हणजे रिमोट ऑथेंटिकेशन डायल-इन युझर सर्व्हिस. हा RFC 2865 मध्ये परिभाषित केलेला एक प्रोटोकॉल आहे, आणि पॉलिसी सर्व्हर आणि नेटवर्क ॲक्सेस डिव्हाइस दरम्यान ऑथेंटिकेशन निर्णयांचे संप्रेषण करण्यासाठी हा उद्योग मानक आहे. Purple क्लाउड-होस्टेड RADIUS सर्व्हर म्हणून कार्य करते. जेव्हा एखादा पाहुणा captive portal प्रवाह पूर्ण करतो, तेव्हा Purple स्थानिक WiFi कंट्रोलरला RADIUS Access-Accept संदेश पाठवते - मग तो Cisco Meraki, HPE Aruba कंट्रोलर, Ruckus SmartZone किंवा Juniper Mist ॲक्सेस पॉइंट असो. कंट्रोलरला तो संदेश मिळतो आणि तो पाहुण्याच्या उपकरणाला पूर्व-प्रमाणीकरण (pre-authentication) स्थितीकडून अधिकृत स्थितीमध्ये बदलतो, ज्यामुळे फायरवॉल नियम उघडतात आणि इंटरनेट प्रवेश मिळतो. [medium pause] RADIUS मध्ये एक महत्त्वाचा विस्तार आहे ज्याबद्दल आपल्याला माहिती असणे आवश्यक आहे: Change of Authorisation किंवा CoA. CoA मुळे RADIUS सर्व्हर आधीपासूनच सक्रिय असलेल्या सत्राला रद्द किंवा सुधारित करण्यासाठी कंट्रोलरला सत्र-दरम्यानचा (mid-session) संदेश पाठवू शकतो. Purple सत्र कालबाह्यता (session timeouts) लागू करण्यासाठी, धोरण उल्लंघनासाठी चिन्हांकित केलेली उपकरणे डिस्कनेक्ट करण्यासाठी आणि GDPR अंतर्गत राईट-टू-इरेझर (right-to-erasure) वर्कफ्लोला समर्थन देण्यासाठी CoA चा वापर करते - जिथे वापरकर्ता त्यांचा डेटा हटवण्याची विनंती करतो आणि Purple त्यांचे सक्रिय सत्र त्वरित रद्द करू शकते. [medium pause] विभाग तीन. द वॉल्ड गार्डन (The walled garden). वॉल्ड गार्डन ही अशा IP पत्ते आणि डोमेन नावांची व्हाईटलिस्ट आहे जिथे अप्रमाणित उपकरणे captive portal प्रवाह पूर्ण करण्यापूर्वी पोहोचू शकतात. यामध्ये चूक झाल्यास, तुमचे स्प्लॅश पेज लोड होणार नाही. आणि मोठी चूक झाल्यास, तुम्ही सुरक्षेमध्ये त्रुटी निर्माण कराल. किमानपक्षी, तुमच्या वॉल्ड गार्डनमध्ये स्वतः captive portal URL, पोर्टलची मालमत्ता (assets) देणारे कोणतेही CDN एंडपॉइंट्स आणि तुम्ही वापरत असलेल्या कोणत्याही सोशल लॉगिन प्रदात्यांचे - Google, Facebook, Microsoft - प्रमाणीकरण एंडपॉइंट्स समाविष्ट असणे आवश्यक आहे. जर तुम्ही SMS पडताळणी वापरत असाल, तर तुम्हाला SMS गेटवेचा API एंडपॉइंट व्हाईटलिस्ट करावा लागेल. बहुतांश उपयोजनांमध्ये (deployments) येणारी मुख्य अडचण म्हणजे डायनॅमिक IP पत्ते. क्लाउड सेवांकडे नेहमीच स्टॅटिक IP नसतात. जर तुम्ही डोमेनऐवजी IP ला व्हाईटलिस्ट केले आणि तो IP बदलला, तर तुमचे पोर्टल बंद पडेल. जेथे तुमचा कंट्रोलर डोमेन-आधारित व्हाईटलिस्टिंगला समर्थन देतो तिथे त्याचा वापर करा आणि प्रत्येक बदलानंतर चाचणी घ्या. [medium pause] विभाग चार. सुरक्षा डिझाइन (Security design). चला सुरक्षा आर्किटेक्चरबद्दल अधिक तपशिलवार बोलूया, कारण येथेच बहुतांश उपयोजनांमध्ये त्रुटी आढळतात. पहिले: क्लायंट आयसोलेशन (client isolation). हे सक्षम (enable) करा. ही ॲक्सेस पॉइंटवरील अशी सेटिंग आहे जी पाहुण्यांच्या उपकरणांना वायरलेस माध्यमाद्वारे थेट एकमेकांशी संवाद साधण्यापासून रोखते. याशिवाय, तुमच्या गेस्ट नेटवर्कवरील बाधित (compromised) उपकरण इतर गेस्ट उपकरणांवर पाळत ठेवून हल्ला करू शकते. हा एक चेकबॉक्सचा उपाय आहे जो पीअर-टू-पीअर हल्ल्यांचा संपूर्ण प्रकारच नष्ट करतो. दुसरे: DHCP लीज टाइम्स (lease times). जास्त गर्दीच्या ठिकाणी - वाहतूक केंद्र, स्टेडियम, व्यस्त किरकोळ दुकान - तुम्हाला कमी लीज कालावधी हवा असतो. तीस ते साठ मिनिटे. जर तुम्ही तो डीफॉल्ट २४ तासांवर ठेवला आणि सामन्याच्या दिवशी दहा हजार उपकरणे जोडली गेली, तर तुम्ही मध्यंतरापूर्वीच तुमचा IP पत्त्यांचा संच (IP address pool) संपवून बसाल. नवीन उपकरणे जोडली जाणार नाहीत. तुमच्या ऑपरेशन्स टीमकडे तक्रारी येतील. लीज कालावधी कमी ठेवा. तिसरे: एन्क्रिप्शन. तुमचे Captive Portal वैध TLS प्रमाणपत्रासह HTTPS वर चालवले गेले पाहिजे. जर ते HTTP वर चालवले गेले, तर आधुनिक ब्राउझर त्याला असुरक्षित म्हणून चिन्हांकित करतील, वापरकर्ते त्यावर अविश्वास दाखवतील आणि तुम्ही क्रेडेंशियल्स प्लेनटेक्स्टमध्ये ट्रान्समिट करत असाल. किमान TLS 1.2 वापरा; TLS 1.3 ला प्राधान्य दिले जाते. WiFi ट्रान्सपोर्ट लेयरने WPA2-AES किंवा WPA3 चा वापर केला पाहिजे - WEP किंवा TKIP कधीही नको. चौथे: VLAN सेगमेंटेशन. तुमचे गेस्ट VLAN पेमेंट कार्ड डेटाशी संबंधित असलेल्या कोणत्याही नेटवर्क सेगमेंटपासून पूर्णपणे वेगळे असले पाहिजे. PCI DSS व्हर्जन 4.0 यावर स्पष्ट आहे. जर तुमचे गेस्ट नेटवर्क पॉइंट-ऑफ-सेल (POS) सिस्टम असलेल्या सबनेटवर रूट करू शकत असेल, तर तुमचे संपूर्ण POS नेटवर्क PCI ऑडिटच्या कक्षेत येते. तो एक मोठा कंप्लायन्सचा बोजा आहे. पहिल्या दिवसापासून योग्य सेगमेंटेशन करा. [medium pause] विभाग पाच. GDPR आणि डेटा कंप्लायन्स. प्रत्येक Captive Portal जे वैयक्तिक डेटा गोळा करते - आणि GDPR अंतर्गत ईमेल पत्ता, फोन नंबर आणि सोशल लॉगिन हे सर्व वैयक्तिक डेटामध्ये गणले जातात - त्यांनी विशिष्ट आवश्यकता पूर्ण केल्या पाहिजेत. प्रक्रियेसाठी तुम्हाला कायदेशीर आधाराची आवश्यकता आहे. गेस्ट WiFi साठी, ती सहसा संमती असते. संमती ही स्वेच्छेने दिलेली, विशिष्ट, माहितीपूर्ण आणि स्पष्ट असावी. आधीच टिक केलेले बॉक्सेस ग्राह्य धरले जात नाहीत. WiFi संमतीला मार्केटिंग संमतीसोबत जोडणे ग्राह्य धरले जात नाही. Purple चे कॉन्शस-चॉईस ऑप्ट-इन मॉडेल नेटवर्क ॲक्सेस संमतीला मार्केटिंग संमतीपासून वेगळे करते, जेणेकरून पाहुण्यांना मार्केटिंग ईमेल स्वीकारण्याची सक्ती न करता ते ऑनलाइन येऊ शकतील. तुम्ही कोणता डेटा गोळा करता, तो का गोळा करता, तो कुठे साठवला जातो आणि तुम्ही तो किती काळ ठेवता याचे दस्तऐवजीकरण करणे आवश्यक आहे. Purple हे ISO 27001 प्रमाणित, GDPR कंप्लायंट, CCPA कंप्लायंट आणि सायबर एसेन्शियल्स प्रमाणित आहे. प्लॅटफॉर्म दस्तऐवजीकरण केलेल्या रिटेंशन पॉलिसीसह सुसंगत डेटा सेंटर्समध्ये डेटा साठवतो. आणि तुमच्याकडे राइट-टू-इरेझर (डेटा हटवण्याचा अधिकार) वर्कफ्लो असणे आवश्यक आहे. जर एखाद्या पाहुण्याने त्यांचा डेटा हटवण्याची विनंती केली, तर तुम्ही तीस दिवसांच्या आत त्यावर कारवाई करण्यास सक्षम असले पाहिजे. Purple चे प्लॅटफॉर्म मूळतः याचे समर्थन करते, आणि मी आधी नमूद केलेल्या RADIUS CoA यंत्रणेचा अर्थ असा आहे की तुम्ही एकाच वेळी सक्रिय सेशन्स रद्द करू शकता. [medium pause] आता आपण इम्प्लीमेंटेशनच्या शिफारसी आणि आम्हाला वारंवार दिसणाऱ्या त्रुटींकडे वळूया. [medium pause] पहिली त्रुटी: चुकीच्या पद्धतीने कॉन्फिगर केलेले वॉल्ड गार्डन्स. स्प्लॅश पेज लोड होते, परंतु सोशल लॉगिन बटण काम करत नाही. किंवा पेज लोड होते परंतु लोगो दिसत नाही कारण CDN डोमेन व्हाईटलिस्ट केलेले नसते. तुम्ही लाइव्ह जाण्यापूर्वी कॅश केलेला DNS नसलेल्या नवीन डिव्हाइसवर तुमच्या वॉल्ड गार्डनची चाचणी घ्या. दुसरी त्रुटी: शेअर्ड PSK. काही ठिकाणी अजूनही खडूने फळ्यावर लिहिलेला एकच WiFi पासवर्ड वापरला जातो. ते Captive Portal नाही - तो एक शेअर्ड पासवर्ड आहे जो कोणीही फोटो काढून शेअर करू शकतो. हे तुम्हाला कोणताही ओळख डेटा, संमतीची नोंद आणि वैयक्तिक प्रवेश रद्द करण्याची क्षमता देत नाही. ते व्यवस्थापित Captive Portal ने बदला. तिसरी त्रुटी: अपुरी DHCP पूल साईझ. मी हे आधी सांगितले आहे, परंतु ते पुन्हा सांगण्यासारखे आहे. सरासरी कनेक्शन्ससाठी नाही, तर पीक कॉन्करंट कनेक्शन्ससाठी तुमच्या DHCP पूलचा आकार निश्चित करा. चाळीस हजार प्रेक्षक असलेल्या स्टेडियममध्ये, तुमच्याकडे एकाच वेळी वीस हजार डिव्हाइसेस कनेक्ट करण्याचा प्रयत्न करू शकतात. त्यानुसार नियोजन करा. चौथी चूक: session timeout नसणे. session timeout शिवाय, सहा महिन्यांपूर्वी कनेक्ट झालेले आणि कधीही परत न आलेले डिव्हाइस तुमच्या कंट्रोलरमध्ये अजूनही अधिकृत सेशन स्टेट राखून ठेवते. ही एक जुनी रेकॉर्ड आहे जी संसाधनांचा अपव्यय करते आणि ऑडिटमध्ये अडथळा निर्माण करते. session timeouts सेट करा. ३० मिनिटांची निष्क्रियता हा एक वाजवी डीफॉल्ट पर्याय आहे. [medium pause] त्वरित प्रश्नोत्तरे. प्रश्न: Does captive portal सर्व डिव्हाइसेसवर काम करते का? उत्तर: आधुनिक ऑपरेटिंग सिस्टम्स - iOS, Android, Windows, macOS - या सर्वांमध्ये captive portal शोधण्याची सुविधा इन-बिल्ट असते. त्या रिडायरेक्ट शोधतात आणि पोर्टल आपोआप सादर करतात. जुन्या डिव्हाइसेसवर वापरकर्त्याला मॅन्युअली ब्राउझर उघडावा लागू शकतो. Purple चे प्लॅटफॉर्म या दोन्ही फ्लो हाताळते. प्रश्न: आपण 802.1X सोबतच captive portal वापरू शकतो का? उत्तर: होय. अनेक एंटरप्राइझ डिप्लॉयमेंट कर्मचारी डिव्हाइसेससाठी 802.1X वापरतात - जिथे सर्टिफिकेट्स किंवा क्रेडेंशियल्स आपोआप ऑथेंटिकेट होतात - आणि स्वतंत्र SSID वर गेस्ट डिव्हाइसेससाठी captive portal वापरतात. Purple हे RADIUS इन्फ्रास्ट्रक्चरशी जोडले जाते जे एकाच वेळी दोन्ही फ्लोना सपोर्ट करते. प्रश्न: OpenRoaming बद्दल काय? उत्तर: OpenRoaming हा एक स्टँडर्ड आहे जो डिव्हाइसेसना सर्टिफिकेट-आधारित ऑथेंटिकेशन वापरून आपोआप WiFi शी कनेक्ट करण्याची परवानगी देतो, ज्यामुळे captive portal पूर्णपणे बायपास होते. Purple हे Connect लायसन्स अंतर्गत OpenRoaming साठी विनामूल्य ओळख प्रदाता म्हणून काम करते. अखंड गेस्ट कनेक्टिव्हिटीसाठी ही भविष्यातील दिशा आहे, परंतु डेटा कॅप्चर आणि संमती व्यवस्थापनासाठी आज captive portals हेच मानक आहेत. [medium pause] थोडक्यात सांगायचे तर. एक सुव्यवस्थितपणे डिझाइन केलेले captive portal डिप्लॉयमेंट पाच स्तंभांवर आधारित असते. तुमच्या कॉर्पोरेट नेटवर्कचे संरक्षण करण्यासाठी VLAN आयसोलेशन. स्प्लॅश पेज सादर करण्यासाठी DNS इंटरसेप्शन आणि HTTPS रिडायरेक्शन. RADIUS ऑथेंटिकेशन. पोर्टल सुरक्षितपणे लोड होईल याची खात्री करण्यासाठी अचूक कॉन्फिगर केलेली walled garden. आणि तुमच्या अतिथींचे तसेच तुमच्या संस्थेचे संरक्षण करण्यासाठी GDPR-सुसंगत डेटा हाताळणी. Purple चे प्लॅटफॉर्म ८०,००० हून अधिक लाइव्ह ठिकाणी या पाचही लेयर्स हाताळते, ज्यात २०२४ मध्ये ४४ कोटी लॉगइन्स प्रोसेस केले गेले आणि ९९.९९९% अपटाइम मिळाला. हे Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, आणि Fortinet सोबत नेटिव्हली इंटिग्रेट होते - त्यामुळे तुम्ही कोणतेही हार्डवेअर वापरत असलात तरी, तुम्ही सध्याची यंत्रणा न बदलता हे डिप्लॉय करू शकता. तुम्हाला यापैकी कोणत्याही विषयावर अधिक सखोल माहिती हवी असल्यास - SSID डिझाइन, RADIUS कॉन्फिगरेशन, किंवा GDPR अनुपालन वर्कफ्लो - संपूर्ण तांत्रिक मार्गदर्शिका लायब्ररीसाठी purple.ai ला भेट द्या. ऐकल्याबद्दल धन्यवाद.