मुख्य मजकुराकडे जा
मराठी

पासवर्डलेस WiFi ऑथेंटिकेशन: प्री-शेअर्ड कीजच्या (Pre-Shared Keys) पलीकडे जाणे

हे मार्गदर्शक आयटी मॅनेजर्स, नेटवर्क आर्किटेक्ट्स आणि व्हेन्यू ऑपरेशन्स डायरेक्टर्सना शेअर केलेले WiFi पासवर्ड्स काढून टाकण्यासाठी आणि आयडेंटिटी-आधारित, सर्टिफिकेट-ड्रिव्हन ऑथेंटिकेशनकडे मायग्रेट करण्यासाठी व्यावहारिक रोडमॅप प्रदान करते. यात PSK-आधारित नेटवर्क्सचे सुरक्षा आणि कंप्लायन्स फेल्युअर्स, 802.1X आणि EAP-TLS चे तांत्रिक आर्किटेक्चर आणि IoT आणि लेगसी डिव्हाइसेससाठी महत्त्वपूर्ण ट्रान्झिशन टेक्नॉलॉजी म्हणून आयडेंटिटी PSK (iPSK) ची भूमिका समाविष्ट आहे. हॉस्पिटॅलिटी, रिटेल आणि पब्लिक सेक्टरमधील व्हेन्यू ऑपरेटर्सना गुंतवणुकीचे समर्थन करण्यासाठी ॲक्शनेबल मायग्रेशन स्ट्रॅटेजीज, रिअल-वर्ल्ड अंमलबजावणी परिस्थिती आणि मोजता येण्याजोगे व्यावसायिक परिणाम मिळतील.

📖 10 मिनिट वाचन📝 2,312 शब्द🔧 2 सोडवलेली उदाहरणे4 सराव प्रश्न📚 10 महत्वाच्या व्याख्या

हे मार्गदर्शक ऐका

पॉडकास्ट ट्रान्सक्रिप्ट पहा
नमस्कार, आणि या Purple तांत्रिक ब्रीफिंगमध्ये आपले स्वागत आहे. मी तुमचा होस्ट आहे, आणि आज आम्ही एंटरप्राइझ नेटवर्क सुरक्षेतील एका मूलभूत बदलावर चर्चा करत आहोत: प्री-शेअर्ड कीज, किंवा PSKs कडून पासवर्डलेस, आयडेंटिटी-आधारित WiFi ऑथेंटिकेशनकडे जाणे. जर तुम्ही हॉटेल चेन, रिटेल एंटरप्राइझ, स्टेडियम किंवा सार्वजनिक क्षेत्रातील संस्थेसाठी नेटवर्क व्यवस्थापित करत असाल, तर तुम्हाला शेअर केलेल्या WiFi पासवर्डची डोकेदुखी आधीच माहित असेल. तो व्हाईटबोर्डवर लिहिला जातो, मेनूवर छापला जातो आणि अविरतपणे शेअर केला जातो. परंतु ऑपरेशनल घर्षणाच्या पलीकडे, PSKs मोठ्या प्रमाणावर एक महत्त्वपूर्ण सुरक्षा असुरक्षितता दर्शवतात. आज, आम्ही एंटरप्राइझसाठी PSKs का योग्य राहिलेले नाहीत आणि तुम्ही तुमच्या वापरकर्त्यांना व्यत्यय न आणता सुरक्षित, सर्टिफिकेट-आधारित 802.1X ऑथेंटिकेशनकडे कसे मायग्रेट करू शकता हे एक्सप्लोर करू. चला संदर्भाने सुरुवात करूया. उद्योग WPA2-PSK कडून का दूर जात आहे? मुख्य समस्या ओळखीचा (identity) अभाव आहे. जेव्हा प्रत्येकजण नेटवर्कमध्ये सामील होण्यासाठी समान पासवर्ड वापरतो, तेव्हा नेटवर्कला कल्पना नसते की प्रत्यक्षात कोण कनेक्ट होत आहे. तो कायदेशीर अतिथी आहे, कर्मचाऱ्याचे वैयक्तिक उपकरण आहे, की कार पार्कमध्ये बसलेला कोणीतरी ज्याने पावतीवर पासवर्ड पाहिला आहे? तुम्ही सांगू शकत नाही. आयडेंटिटी ॲट्रिब्युशनच्या या अभावाचा अर्थ असा आहे की तुमच्याकडे कोणताही अर्थपूर्ण ऑडिट ट्रेल नाही, जो PCI DSS आणि GDPR सारख्या कंप्लायन्स फ्रेमवर्क्ससाठी एक मोठा रेड फ्लॅग आहे. शिवाय, रिव्होकेशन हे एक दुःस्वप्न आहे. जर एखादा कर्मचारी सोडून गेला, किंवा तुम्हाला एखादे डिव्हाइस तडजोड झाल्याचा संशय असेल, तर तुम्ही फक्त ते एक डिव्हाइस बाहेर काढू शकत नाही. PSK सह, तुमचा एकमेव पर्याय प्रत्येकासाठी पासवर्ड बदलणे हा आहे. व्यस्त हॉटेलमध्ये किंवा शेकडो कनेक्टेड पॉइंट-ऑफ-सेल डिव्हाइसेस असलेल्या रिटेल स्टोअरमध्ये, WiFi पासवर्ड बदलणे ही अत्यंत व्यत्यय आणणारी घटना आहे. मग, काय होते? आयटी टीम्स तो बदलणे टाळतात. पासवर्ड वर्षानुवर्षे तसाच राहतो, ज्यामुळे सुरक्षा जोखीम वाढते. येथेच पासवर्डलेस ऑथेंटिकेशन येते. आणि जेव्हा आपण एंटरप्राइझ WiFi च्या संदर्भात पासवर्डलेस म्हणतो, तेव्हा आपण प्रामुख्याने EAP-TLS सह 802.1X बद्दल बोलत आहोत, जे पासवर्ड्सऐवजी डिजिटल सर्टिफिकेट्स वापरते. हे कसे कार्य करते याच्या तांत्रिक सखोल माहितीमध्ये जाऊया. 802.1X आर्किटेक्चरमध्ये, ॲक्सेस पॉईंट ऑथेंटिकेटर म्हणून कार्य करतो. जेव्हा एखादे डिव्हाइस कनेक्ट होण्याचा प्रयत्न करते, तेव्हा ॲक्सेस पॉईंट फक्त पासवर्ड तपासत नाही; तो ऑथेंटिकेशन सर्व्हरला, सामान्यतः RADIUS सर्व्हरला विनंती पाठवतो. RADIUS सर्व्हर नंतर Azure Active Directory, Okta किंवा Google Workspace सारख्या आयडेंटिटी प्रोव्हायडर विरुद्ध डिव्हाइसची क्रेडेंशियल्स तपासतो. येथील सुवर्ण मानक EAP-TLS आहे, जे सर्टिफिकेट्सवर अवलंबून असते. पासवर्ड टाईप करण्याऐवजी, डिव्हाइस एक युनिक डिजिटल सर्टिफिकेट सादर करते जे ऑनबोर्डिंग प्रक्रियेदरम्यान त्याला प्रोव्हिजन केले गेले होते. RADIUS सर्व्हर सर्टिफिकेटची पडताळणी करतो आणि जर ते वैध असेल, तर डिव्हाइसला नेटवर्कवर परवानगी दिली जाते. फायदे त्वरित आहेत. प्रथम, प्रत्येक डिव्हाइसची एक युनिक ओळख असते. नेटवर्कवर कोण आहे हे तुम्हाला नक्की माहित असते. दुसरे, जर एखादे डिव्हाइस हरवले किंवा कर्मचारी सोडून गेला, तर तुम्ही फक्त ते विशिष्ट सर्टिफिकेट रद्द करता. डिव्हाइस त्वरित ब्लॉक केले जाते आणि नेटवर्कवरील इतर कोणालाही प्रभावित केले जात नाही. तिसरे, हे क्रेडेंशियल चोरीचा धोका पूर्णपणे दूर करते. तुम्ही पासवर्ड फिश करू शकता तसे सर्टिफिकेट फिश करू शकत नाही. तथापि, शेअर केलेल्या PSK वरून थेट पूर्ण 802.1X सर्टिफिकेट-आधारित ऑथेंटिकेशनकडे मायग्रेट करणे कठीण असू शकते. यासाठी पब्लिक की इन्फ्रास्ट्रक्चर, किंवा PKI, आणि ती सर्टिफिकेट्स प्रत्येक डिव्हाइसवर मिळवण्यासाठी एक यंत्रणा आवश्यक आहे. मॅनेज्ड कॉर्पोरेट डिव्हाइसेससाठी, तुम्ही Intune किंवा Jamf सारख्या MDM द्वारे सर्टिफिकेट्स पुश करू शकता. पण BYOD, ब्रिंग युवर ओन डिव्हाइस, किंवा हॉटेलच्या खोल्यांमधील स्मार्ट टीव्ही किंवा रिटेलमधील वायरलेस बारकोड स्कॅनर्स सारख्या IoT डिव्हाइसेसचे काय? ही उपकरणे अनेकदा 802.1X सप्लिकंट्सना सपोर्ट करत नाहीत. हे आपल्याला अंमलबजावणी शिफारसी आणि एका महत्त्वपूर्ण पायरीकडे आणते: iPSK, किंवा आयडेंटिटी PSK. iPSK हे एक उत्तम ट्रान्झिशन तंत्रज्ञान आहे. हे कनेक्ट होणाऱ्या डिव्हाइसला मानक WPA2-PSK नेटवर्कसारखे दिसते. डिव्हाइसला कोणत्याही विशेष सॉफ्टवेअर किंवा सर्टिफिकेट्सची आवश्यकता नसते. परंतु बॅकएंडवर, नेटवर्क प्रत्येक वैयक्तिक डिव्हाइस किंवा युझर ग्रुपला एक युनिक PSK नियुक्त करण्यासाठी RADIUS सर्व्हर वापरते. उदाहरणार्थ, हॉटेलमध्ये, तुमची प्रॉपर्टी मॅनेजमेंट सिस्टीम तुमच्या RADIUS सर्व्हरसोबत इंटिग्रेट होऊन प्रत्येक अतिथी चेक इन करताना त्यांच्यासाठी स्वयंचलितपणे एक युनिक WiFi पासवर्ड जनरेट करू शकते, जो त्यांच्या रूम नंबर आणि मुक्कामाच्या कालावधीशी जोडलेला असतो. जेव्हा ते चेक आउट करतात, तेव्हा तो विशिष्ट पासवर्ड कालबाह्य होतो. किंवा IoT डिव्हाइसेससाठी, तुम्ही प्रत्येक स्मार्ट थर्मोस्टॅटसाठी एक युनिक PSK जनरेट करू शकता, त्या डिव्हाइसला विशिष्ट VLAN शी जोडून. iPSK तुम्हाला 802.1X चे आयडेंटिटी ॲट्रिब्युशन आणि लक्ष्यित रिव्होकेशन देते, परंतु मानक PSK च्या युनिव्हर्सल सुसंगततेसह. तुमच्या मायग्रेशन स्ट्रॅटेजीचा टप्पा 1 म्हणून याची अत्यंत शिफारस केली जाते. तर, या मायग्रेशन दरम्यान टाळण्याच्या चुका कोणत्या आहेत? सर्वात मोठी चूक म्हणजे युझर ऑनबोर्डिंग अनुभवाकडे दुर्लक्ष करणे. जर तुम्ही BYOD वापरकर्त्यांसाठी पूर्ण 802.1X कडे जात असाल, तर तुम्हाला एक अखंड ऑनबोर्डिंग पोर्टल आवश्यक आहे, ज्याला अनेकदा Captive Portal म्हटले जाते, जे काही क्लिक्ससह वापरकर्त्याच्या डिव्हाइसवर स्वयंचलितपणे सर्टिफिकेट प्रोव्हिजन करते. जर प्रक्रिया गुंतागुंतीची असेल, तर तुमची आयटी हेल्पडेस्क सपोर्ट तिकिटांनी भारावून जाईल. दुसरी चूक म्हणजे लेगसी ऑन-प्रिमाइस RADIUS सर्व्हर्सवर अवलंबून राहणे. जसजसे तुम्ही Azure Active Directory सारख्या क्लाउड-आधारित आयडेंटिटी प्रोव्हायडर्सकडे जाता, तसतसे तुमचे RADIUS इन्फ्रास्ट्रक्चर देखील क्लाउडवर गेले पाहिजे. क्लाउड RADIUS सोल्यूशन्स आधुनिक आयडेंटिटी प्रोव्हायडर्ससोबत नेटिव्हली इंटिग्रेट होतात आणि ऑन-प्रिमाइस हार्डवेअर राखण्याची आवश्यकता दूर करतात. चला सामान्य क्लायंट प्रश्नांवर आधारित एका द्रुत रॅपिड-फायर प्रश्नोत्तराकडे वळूया. प्रश्न पहिला: WPA3 हे PSK असुरक्षिततेचे उत्तर आहे का? WPA3 SAE, सायमलटेनियस ऑथेंटिकेशन ऑफ इक्वल्स सादर करून WPA2 मध्ये सुधारणा करते, जे ऑफलाइन डिक्शनरी अटॅक्सपासून संरक्षण करते. तथापि, WPA3-Personal अजूनही शेअर केलेल्या पासवर्डवर अवलंबून आहे. हे ओळख, ऑडिटिंग किंवा रिव्होकेशन समस्या सोडवत नाही. एंटरप्राइझसाठी, तुम्हाला WPA3-Enterprise आवश्यक आहे, जे 802.1X आहे. प्रश्न दुसरा: आम्ही IoT डिव्हाइसेससाठी iPSK ऐवजी MAC ऑथेंटिकेशन बायपास, किंवा MAB वापरू शकतो का? तुम्ही करू शकता, परंतु MAB मूळतः असुरक्षित आहे. MAC ॲड्रेसेस सहजपणे स्पूफ केले जातात. iPSK खूप श्रेष्ठ आहे कारण त्यासाठी केवळ प्लेन-टेक्स्ट MAC ॲड्रेस नाही तर एक युनिक क्रिप्टोग्राफिक की आवश्यक आहे. प्रश्न तिसरा: Purple या ट्रान्झिशनमध्ये कशी मदत करते? Purple चे प्लॅटफॉर्म BYOD डिव्हाइसेससाठी प्रगत Captive Portal ऑनबोर्डिंग आणि मजबूत RADIUS इंटिग्रेशन्स दोन्हीला सपोर्ट करते. आम्ही व्हेन्यूजना लेगसी नेटवर्क्स आणि आधुनिक, आयडेंटिटी-अवेअर ऑथेंटिकेशनमधील दरी कमी करण्यास मदत करतो, अतिथींसाठी अखंड अनुभव सुनिश्चित करतो आणि आयटीला आवश्यक असलेली सुरक्षा आणि ॲनालिटिक्स देतो. आमच्या पुढील पायऱ्यांचा सारांश देण्यासाठी: प्रथम, तुमच्या सध्याच्या WiFi नेटवर्क्सचे ऑडिट करा. शेअर केलेले PSKs कुठे वापरले जातात ते ओळखा. दुसरे, तुमच्या डिव्हाइसेसची विभागणी करा. कॉर्पोरेट मॅनेज्ड डिव्हाइसेस, BYOD, IoT आणि गेस्ट ॲक्सेस यांच्यात फरक करा. तिसरे, टप्प्याटप्प्याने मायग्रेशनची योजना करा. IoT आणि लेगसी डिव्हाइसेससाठी ब्रिज म्हणून iPSK वापरा आणि मॅनेज्ड डिव्हाइसेससाठी EAP-TLS सह 802.1X ला लक्ष्य करा. चौथे, तुमच्या आधुनिक आयडेंटिटी प्रोव्हायडर्ससोबत अखंडपणे इंटिग्रेट करण्यासाठी क्लाउड RADIUS वर अपग्रेड करा. शेअर केलेल्या पासवर्डच्या पलीकडे जाणे ही आता केवळ सुरक्षेची सर्वोत्तम पद्धत राहिलेली नाही; आधुनिक एंटरप्राइझसाठी ही एक ऑपरेशनल आवश्यकता आहे. आयडेंटिटी-आधारित ऑथेंटिकेशनचा अवलंब करून, तुम्ही तुमचे नेटवर्क सुरक्षित करता, तुमचे ऑपरेशन्स सुव्यवस्थित करता आणि तुमच्या वातावरणात अभूतपूर्व दृश्यमानता मिळवता. या Purple तांत्रिक ब्रीफिंगमध्ये सामील झाल्याबद्दल धन्यवाद. अधिक तपशीलवार अंमलबजावणी मार्गदर्शकांसाठी, purple dot ai वर आमच्या संसाधनांना भेट द्या.

header_image.png

एक्झिक्युटिव्ह समरी (Executive Summary)

दोन दशकांहून अधिक काळ एंटरप्राइझ ठिकाणांवर वायरलेस नेटवर्क सुरक्षित करण्यासाठी प्री-शेअर्ड की (PSK) ही डीफॉल्ट यंत्रणा आहे. 200-खोल्यांचे हॉटेल, राष्ट्रीय रिटेल चेन किंवा हजारो अभ्यागतांना होस्ट करणारे कॉन्फरन्स सेंटर असो, शेअर केलेला WiFi पासवर्ड सर्वत्र परिचित आहे — की कार्ड्सवर छापलेला, स्क्रीन्सवर प्रदर्शित केलेला आणि फ्रंट डेस्कवर सांगितला जाणारा. तरीही ही सर्वव्यापकता एक गंभीर असुरक्षितता लपवते: PSKs कोणतीही ओळख (identity), ऑडिट ट्रेल आणि मोठ्या प्रमाणावर अर्थपूर्ण रिव्होकेशन (रद्द करण्याची) क्षमता प्रदान करत नाहीत.

PCI DSS, GDPR किंवा अंतर्गत सुरक्षा नियमांतर्गत काम करणाऱ्या आयटी लीडर्ससाठी, शेअर केलेला पासवर्ड आता सुरक्षित पर्याय राहिलेला नाही. हे मार्गदर्शक पासवर्डलेस WiFi ऑथेंटिकेशन कडे स्थलांतरित होण्यासाठी बिझनेस केस आणि तांत्रिक रोडमॅप सादर करते — विशेषतः IEEE 802.1X सोबत EAP-TLS सर्टिफिकेट-आधारित ऑथेंटिकेशन, ज्याला एंटरप्राइझ ऑथेंटिकेशन प्रोटोकॉलला सपोर्ट करू न शकणाऱ्या उपकरणांसाठी ट्रान्झिशन मेकॅनिझम म्हणून आयडेंटिटी PSK (iPSK) द्वारे सपोर्ट दिला जातो. तुम्ही हॉटेल इस्टेटमध्ये Guest WiFi व्यवस्थापित करत असाल किंवा शेकडो लोकेशन्सवर पसरलेले रिटेल नेटवर्क सुरक्षित करत असाल, पुढील मार्ग स्पष्ट, साध्य करण्यायोग्य आणि मोजता येण्याजोगा आहे.

तांत्रिक सखोल माहिती (Technical Deep-Dive)

एंटरप्राइझ स्तरावर PSKs का अपयशी ठरतात

एंटरप्राइझ सेटिंगमध्ये WPA2-PSK ची मूलभूत त्रुटी म्हणजे नेटवर्क ॲक्सेस आणि युझर आयडेंटिटी (वापरकर्त्याची ओळख) यांचे पूर्णपणे वेगळे असणे. जेव्हा प्रत्येक डिव्हाइस समान क्रिप्टोग्राफिक की वापरते, तेव्हा नेटवर्क कायदेशीर कर्मचारी, तडजोड केलेले IoT डिव्हाइस किंवा सोशल मीडियावरील फोटोवरून पासवर्ड मिळवलेला बाह्य हॅकर यांच्यात फरक करू शकत नाही.

यामुळे तीन गंभीर समस्या निर्माण होतात ज्या डिप्लॉयमेंट वाढल्यास अधिक तीव्र होतात:

1. झिरो आयडेंटिटी ॲट्रिब्युशन. PSK डिप्लॉयमेंट अंतर्गत नेटवर्क लॉग केवळ MAC ॲड्रेस रेकॉर्ड करतात, प्रत्यक्ष वापरकर्ता किंवा डिव्हाइस मालक नाही. सुरक्षा घटनेदरम्यान, यामुळे आयटी टीम्स पूर्णपणे अंधारात राहतात. एखादे डिव्हाइस असामान्यपणे वागत आहे हे तुम्ही पाहू शकता; परंतु ते डिव्हाइस कोणाचे आहे किंवा ते कोणते व्यावसायिक कार्य करते हे तुम्ही ठरवू शकत नाही.

2. रिव्होकेशनची अडचण. जर एखादा कर्मचारी कठीण परिस्थितीतून निघून गेला किंवा डिव्हाइस हरवल्याची नोंद झाली, तर शेअर केलेल्या PSK मॉडेल अंतर्गत उपलब्ध असलेला एकमेव उपाय म्हणजे नेटवर्कवरील प्रत्येक डिव्हाइसचा पासवर्ड बदलणे. व्यस्त Hospitality वातावरणात — 300 स्टाफ डिव्हाइसेस, 200 IoT सेन्सर्स आणि 50 पॉइंट-ऑफ-सेल टर्मिनल्स असलेले हॉटेल — पासवर्ड रोटेशन ही अनेक तासांची ऑपरेशनल घटना असते जी आयटी टीम्स कोणत्याही किंमतीत टाळतात. याचा परिणाम असा होतो की पासवर्ड वर्षानुवर्षे बदलले जात नाहीत.

3. कंप्लायन्स फेल्युअर्स. PCI DSS आवश्यकता 8.2 अनिवार्य करते की कार्डधारक डेटा वातावरणातील सिस्टीम्सचा ॲक्सेस वैयक्तिक युझर अकाउंटशी जोडलेला असणे आवश्यक आहे. शेअर केलेला पासवर्ड, व्याख्येनुसार, नॉन-कंप्लायंट आहे. त्याचप्रमाणे, GDPR चे उत्तरदायित्व तत्त्व संस्थांना वैयक्तिक डेटावर प्रक्रिया करणाऱ्या सिस्टीम्समध्ये कोण प्रवेश करू शकतो यावर नियंत्रण प्रदर्शित करणे आवश्यक करते. शेअर केलेला WiFi पासवर्ड असा कोणताही पुरावा देत नाही.

psk_vs_8021x_comparison.png

802.1X आर्किटेक्चर

IEEE 802.1X हे पोर्ट-आधारित नेटवर्क ॲक्सेस कंट्रोल स्टँडर्ड आहे जे एंटरप्राइझ WiFi सुरक्षेचा पाया आहे. ॲक्सेस पॉईंटवर साध्या पासवर्ड तपासणीऐवजी, 802.1X एक थ्री-पार्टी ऑथेंटिकेशन फ्रेमवर्क सादर करते:

भूमिका घटक कार्य
सप्लिकंट (Supplicant) क्लायंट डिव्हाइस (लॅपटॉप, फोन) नेटवर्क ॲक्सेसची विनंती करण्यासाठी क्रेडेंशियल्स सादर करते
ऑथेंटिकेटर (Authenticator) वायरलेस ॲक्सेस पॉईंट ऑथेंटिकेशन सर्व्हरला क्रेडेंशियल्स पाठवते; ॲक्सेस निर्णयाची अंमलबजावणी करते
ऑथेंटिकेशन सर्व्हर RADIUS सर्व्हर आयडेंटिटी प्रोव्हायडर विरुद्ध क्रेडेंशियल्स प्रमाणित करते; ॲक्सेस निर्णय परत करते

ॲक्सेस पॉईंट पॉलिसी अंमलबजावणी बिंदू म्हणून कार्य करतो, निर्णय घेणारा नाही. हे सेपरेशन ऑफ कन्सर्न्स आर्किटेक्चरच्या दृष्टीने महत्त्वपूर्ण आहे: याचा अर्थ असा की ऑथेंटिकेशन लॉजिक, आयडेंटिटी डेटा आणि ॲक्सेस पॉलिसीज सर्व मध्यवर्ती ठिकाणी राहतात, डझनभर ॲक्सेस पॉईंट्सवर वितरीत केल्या जात नाहीत. मल्टी-साइट डिप्लॉयमेंटसाठी, हे परिवर्तनकारी आहे. RADIUS आर्किटेक्चर पर्यायांच्या सखोल माहितीसाठी, आमचे Cloud RADIUS vs On-Premise RADIUS: Decision Guide for IT Teams पहा.

EAP-TLS: पासवर्डलेस WiFi ऑथेंटिकेशनसाठी सुवर्ण मानक

जरी 802.1X एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल (EAP) द्वारे एकाधिक क्रेडेंशियल प्रकारांना सपोर्ट करत असले तरी, खरा पासवर्डलेस अनुभव EAP-TLS (ट्रान्सपोर्ट लेयर सिक्युरिटी) द्वारे प्राप्त होतो. EAP-TLS म्युच्युअल ऑथेंटिकेशनसाठी पूर्णपणे डिजिटल सर्टिफिकेट्सवर अवलंबून असते — क्लायंट सर्व्हरला सर्टिफिकेट सादर करतो आणि सर्व्हर क्लायंटला सर्टिफिकेट सादर करतो, ज्यामुळे दोन्ही दिशांनी विश्वास प्रस्थापित होतो.

सर्टिफिकेट लाइफसायकल खालीलप्रमाणे कार्य करते:

  1. सर्टिफिकेट ऑथॉरिटी (CA) — एकतर अंतर्गत (Microsoft AD CS) किंवा क्लाउड-आधारित (Intune द्वारे SCEP/NDES) — प्रत्येक व्यवस्थापित डिव्हाइसला एक युनिक क्लायंट सर्टिफिकेट जारी करते.
  2. MDM (Intune, Jamf किंवा तत्सम) द्वारे डिव्हाइसवर सर्टिफिकेट स्वयंचलितपणे प्रोव्हिजन केले जाते.
  3. जेव्हा डिव्हाइस 802.1X SSID शी कनेक्ट होते, तेव्हा ते हे सर्टिफिकेट RADIUS सर्व्हरला सादर करते.
  4. RADIUS सर्व्हर CA च्या ट्रस्ट चेन विरुद्ध सर्टिफिकेट प्रमाणित करतो आणि सर्टिफिकेट रिव्होकेशन लिस्ट (CRL) किंवा OCSP रिस्पॉन्डर तपासतो.
  5. वैध असल्यास, RADIUS सर्व्हर ॲक्सेस-अक्सेप्ट (Access-Accept) परत करतो, ज्यामध्ये पर्यायी VLAN असाइनमेंट ॲट्रिब्युट्स समाविष्ट असतात.

हे आर्किटेक्चर क्रेडेंशियल चोरी पूर्णपणे काढून टाकते. इंटरसेप्ट, रिप्ले किंवा फिश करण्यासाठी कोणताही पासवर्ड नसतो. रिव्होकेशन अचूक असते: CRL मधून सर्टिफिकेट काढून टाकणे किंवा आयडेंटिटी प्रोव्हायडर (Azure AD, Okta, Google Workspace) मधील युझर अकाउंट अक्षम केल्याने इतर कोणत्याही वापरकर्त्याला प्रभावित न करता ते विशिष्ट डिव्हाइस त्वरित ब्लॉक होते.

आयडेंटिटी PSK (iPSK): महत्त्वपूर्ण ट्रान्झिशन टेक्नॉलॉजी

संपूर्ण 802.1X अवलंबनातील सर्वात मोठा अडथळा म्हणजे एंटरप्राइझ ठिकाणांवरील वैविध्यपूर्ण डिव्हाइस लँडस्केप. स्मार्ट टीव्ही, वायरलेस POS टर्मिनल्स, आयपी कॅमेरे, पर्यावरणीय Sensors , आणि लेगसी वैद्यकीय किंवा औद्योगिक उपकरणांमध्ये वारंवार EAP-TLS सर्टिफिकेट्सवर प्रक्रिया करण्यासाठी आवश्यक असलेल्या सॉफ्टवेअर सप्लिकंटचा अभाव असतो. या उपकरणांना शेअर केलेल्या PSK SSID वर सक्ती केल्याने संपूर्ण मायग्रेशन कमकुवत होईल.

आयडेंटिटी PSK (iPSK) — ज्याला विविध व्हेंडर्सद्वारे मल्टिपल PSK (MPSK) किंवा डायनॅमिक PSK (DPSK) म्हणून देखील मार्केट केले जाते — हे अतिशय चांगल्या प्रकारे सोडवते. डिव्हाइसच्या दृष्टिकोनातून, ते पासवर्ड वापरून मानक WPA2/WPA3-Personal नेटवर्कशी कनेक्ट होत आहे. नेटवर्कच्या दृष्टिकोनातून, RADIUS सर्व्हरने त्या विशिष्ट डिव्हाइसच्या MAC ॲड्रेस किंवा युझर ग्रुपला एक युनिक क्रिप्टोग्राफिक की नियुक्त केली आहे. ॲक्सेस पॉईंट या मॅपिंगची अंमलबजावणी करतो, हे सुनिश्चित करतो की प्रत्येक डिव्हाइसची की केवळ त्या डिव्हाइसच्या अधिकृत नेटवर्क सेगमेंटमध्ये प्रवेश देते.

Retail वातावरणासाठी, याचा अर्थ असा की प्रत्येक वायरलेस बारकोड स्कॅनरची स्वतःची युनिक iPSK असू शकते, जी समर्पित IoT VLAN ला नियुक्त केली जाते. जर स्कॅनर चोरीला गेला, तर फक्त त्याची विशिष्ट की रद्द केली जाते. उर्वरित नेटवर्क अप्रभावित राहते.

migration_architecture.png

अंमलबजावणी मार्गदर्शक (Implementation Guide)

टप्पा 1: डिस्कव्हरी आणि सेगमेंटेशन

कोणतेही नेटवर्क कॉन्फिगरेशन सुधारण्यापूर्वी, तुमच्या WiFi Analytics प्लॅटफॉर्मचा वापर करून सर्वसमावेशक डिव्हाइस ऑडिट करा. प्रत्येक कनेक्ट केलेल्या डिव्हाइसचे तीनपैकी एका बकेटमध्ये वर्गीकरण करणे हे ध्येय आहे:

  • मॅनेज्ड डिव्हाइसेस: MDM मध्ये नोंदणीकृत कॉर्पोरेट लॅपटॉप, टॅब्लेट आणि फोन. हे पूर्ण EAP-TLS 802.1X साठी उमेदवार आहेत.
  • BYOD डिव्हाइसेस: कर्मचाऱ्यांची वैयक्तिक उपकरणे किंवा अतिथींचे स्मार्टफोन. यांना सर्टिफिकेट्स किंवा युनिक क्रेडेंशियल्स प्रोव्हिजन करण्यासाठी घर्षणरहित (frictionless) ऑनबोर्डिंग पोर्टलची आवश्यकता असते.
  • हेडलेस/IoT डिव्हाइसेस: स्मार्ट टीव्ही, POS टर्मिनल्स, प्रिंटर्स, सेन्सर्स आणि युझर इंटरफेस किंवा 802.1X सप्लिकंट नसलेले कोणतेही डिव्हाइस. हे iPSK साठी उमेदवार आहेत.

हे सेगमेंटेशन प्रत्येक पुढील आर्किटेक्चरल निर्णयाला चालना देते. हे वगळू नका.

टप्पा 2: IoT आणि लेगसी डिव्हाइसेससाठी iPSK डिप्लॉय करा

सर्व हेडलेस डिव्हाइसेससाठी MAC-to-PSK मॅपिंग तयार करून iPSK ला सपोर्ट करण्यासाठी तुमचा RADIUS सर्व्हर कॉन्फिगर करा. बहुतांश एंटरप्राइझ-ग्रेड RADIUS प्लॅटफॉर्म (क्लाउड RADIUS सोल्यूशन्ससह) याला नेटिव्हली सपोर्ट करतात. RADIUS ॲट्रिब्युट्स (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID) द्वारे प्रत्येक डिव्हाइस ग्रुपला योग्य VLAN नियुक्त करा.

मोठ्या IoT इस्टेट्स असलेल्या ठिकाणांसाठी — जसे की शेकडो स्मार्ट रूम डिव्हाइसेस असलेले हॉटेल — नवीन डिव्हाइसेस कमिशन केल्यावर iPSK प्रोव्हिजनिंग स्वयंचलित करण्यासाठी तुमचा RADIUS सर्व्हर प्रॉपर्टी मॅनेजमेंट सिस्टीम (PMS) किंवा बिल्डिंग मॅनेजमेंट सिस्टीम (BMS) सोबत इंटिग्रेट करा.

टप्पा 3: मॅनेज्ड डिव्हाइसेससाठी 802.1X डिप्लॉय करा

MDM-मॅनेज्ड डिव्हाइसेससाठी, मायग्रेशन अंतिम वापरकर्त्यासाठी पूर्णपणे पारदर्शक असावे. खालील गोष्टी एकाच वेळी पुश करण्यासाठी तुमचे MDM कॉन्फिगर करा:

  1. क्लायंट सर्टिफिकेट (SCEP किंवा NDES द्वारे तुमच्या CA ने जारी केलेले).
  2. 802.1X SSID, ऑथेंटिकेशन पद्धत म्हणून EAP-TLS आणि सर्व्हर प्रमाणीकरणासाठी RADIUS सर्व्हर सर्टिफिकेट निर्दिष्ट करणारी WiFi प्रोफाईल.

एकदा प्रोफाईल डिप्लॉय झाल्यानंतर, डिव्हाइसेस बॅकग्राउंडमध्ये नवीन 802.1X SSID वर स्वयंचलितपणे ऑथेंटिकेट होतील. ट्रान्झिशन कालावधीत लेगसी PSK SSID समांतर चालवा, तुमच्या RADIUS लॉग्सद्वारे अवलंबनाचे निरीक्षण करा.

टप्पा 4: BYOD ऑनबोर्डिंग पोर्टल

कर्मचाऱ्यांच्या वैयक्तिक उपकरणांसाठी आणि अतिथी ॲक्सेससाठी, नेटवर्क ऑनबोर्डिंग पोर्टल डिप्लॉय करा. युझर एक्सपिरियन्स असा असावा: तात्पुरत्या ऑनबोर्डिंग SSID शी कनेक्ट करा → कॉर्पोरेट SSO सह ऑथेंटिकेट करा → पोर्टल स्वयंचलितपणे सर्टिफिकेट आणि WiFi प्रोफाईल प्रोव्हिजन करते → डिव्हाइस अखंडपणे 802.1X SSID शी कनेक्ट होते. या प्रक्रियेसाठी वापरकर्त्याकडून कोणत्याही तांत्रिक ज्ञानाची आवश्यकता नसावी. अतिथी-केंद्रित डिप्लॉयमेंट्सना लागू होणाऱ्या पोर्टल डिझाइन तत्त्वांसाठी Modern Hospitality WiFi Solutions Your Guests Deserve पहा.

टप्पा 5: लेगसी PSK SSID डिकमिशन करा

एकदा मॉनिटरिंगने पुष्टी केली की सर्व डिव्हाइसेस 802.1X SSID किंवा iPSK-सक्षम SSID वर मायग्रेट झाली आहेत, लेगसी शेअर केलेल्या PSK नेटवर्कचे डिकमिशनिंग शेड्यूल करा. स्टेकहोल्डर्सना कटओव्हर तारखेची आगाऊ माहिती द्या आणि पहिल्या 48 तासांसाठी रोलबॅक प्लॅन तयार ठेवा.

सर्वोत्तम पद्धती (Best Practices)

सुरक्षेसाठी कधीही MAC ऑथेंटिकेशन बायपास (MAB) वर अवलंबून राहू नका. जरी MAB चा वापर IoT ऑनबोर्डिंगसाठी मोठ्या प्रमाणावर केला जात असला तरी, ते कोणतीही खरी सुरक्षा प्रदान करत नाही. MAC ॲड्रेसेस प्लेन टेक्स्टमध्ये ट्रान्समिट केले जातात आणि सहजपणे स्पूफ केले जाऊ शकतात. कोणताही अटॅकर जो डिव्हाइसचा MAC ॲड्रेस पाहू शकतो तो त्याची तोतयागिरी करू शकतो. नेहमी MAB ऐवजी iPSK ला प्राधान्य द्या, जे युनिक क्रिप्टोग्राफिक की लागू करते.

सर्टिफिकेट लाइफसायकल मॅनेजमेंट स्वयंचलित करा. सर्टिफिकेट्स कालबाह्य होतात. नेटवर्कच्या दृष्टिकोनातून कालबाह्य झालेले क्लायंट सर्टिफिकेट आणि रद्द केलेले सर्टिफिकेट यात काहीही फरक नसतो — डिव्हाइसची कनेक्टिव्हिटी खंडित होते. सर्टिफिकेट्स त्यांच्या कालबाह्य तारखेच्या खूप आधी रिन्यू करण्यासाठी तुमच्या PKI आणि MDM प्लॅटफॉर्ममध्ये प्रोॲक्टिव्ह अलर्टिंग लागू करा. 30-दिवसांच्या रिन्यूअल विंडोसह 90-दिवसांचे सर्टिफिकेट हे एक सामान्य आणि समजूतदार कॉन्फिगरेशन आहे.

क्लायंट्सवर RADIUS सर्व्हर सर्टिफिकेट प्रमाणित करा. वारंवार दुर्लक्षित केले जाणारे कॉन्फिगरेशन म्हणजे सप्लिकंटला RADIUS सर्व्हरचे सर्टिफिकेट प्रमाणित करण्याची सूचना देणे. याशिवाय, डिव्हाइसेस रोग (rogue) AP अटॅक्सना बळी पडू शकतात जिथे अटॅकर क्रेडेंशियल्स गोळा करण्यासाठी बनावट RADIUS सर्व्हर उभा करतो. MDM द्वारे पुश केलेल्या WiFi प्रोफाईलमध्ये नेहमी ट्रस्टेड CA आणि सर्व्हर सर्टिफिकेट नाव कॉन्फिगर करा.

पहिल्या दिवसापासून डायनॅमिक VLAN असाइनमेंट लागू करा. वापरकर्ते आणि डिव्हाइसेसना त्यांच्या ओळखीच्या किंवा ग्रुप मेंबरशिपच्या आधारावर योग्य VLANs मध्ये विभागण्यासाठी RADIUS ऑथरायझेशन ॲट्रिब्युट्सचा लाभ घ्या. स्टाफ डिव्हाइसेस, गेस्ट डिव्हाइसेस, IoT डिव्हाइसेस आणि POS टर्मिनल्सनी कधीही ब्रॉडकास्ट डोमेन शेअर करू नये. तडजोड झाल्यास हे लॅटरल मूव्हमेंट मर्यादित करते.

नवीन डिप्लॉयमेंट्ससाठी WPA3-Enterprise सोबत अलाइन करा. नवीन ॲक्सेस पॉईंट डिप्लॉयमेंट्ससाठी, प्रोक्युअरमेंट आवश्यकतांमध्ये WPA3-Enterprise (192-बिट मोड) निर्दिष्ट करा. हे CNSA सूट-कंप्लायंट क्रिप्टोग्राफिक अल्गोरिदम प्रदान करते आणि लेगसी असुरक्षितता दूर करते. हार्डवेअर निवड मार्गदर्शनासाठी Wireless Access Points Definition Your Ultimate 2026 Guide चे पुनरावलोकन करा. SD-WAN इंटिग्रेशन विचारांसाठी, The Core SD WAN Benefits for Modern Businesses पहा.

ट्रबलशूटिंग आणि रिस्क मिटिगेशन

सर्टिफिकेट एक्सपायरेशन आउटेजेस

लॉन्चनंतर 802.1X डिप्लॉयमेंट अयशस्वी होण्याचे हे सर्वात सामान्य कारण आहे. लक्षणे: डिव्हाइसेस अचानक मोठ्या प्रमाणावर WiFi कनेक्टिव्हिटी गमावतात, सामान्यतः एका विशिष्ट तारखेला. मूळ कारण: क्लायंट किंवा RADIUS सर्व्हर सर्टिफिकेट्स कालबाह्य झाली आहेत.

उपाय (Mitigation): चेन मधील कोणतेही सर्टिफिकेट (CA रूट, इंटरमीडिएट, सर्व्हर किंवा क्लायंट सर्टिफिकेट्सचा मोठा भाग) कालबाह्य होण्याच्या 60 दिवसांच्या आत असताना आयटी टीमला अलर्ट करणारे मॉनिटरिंग लागू करा. MDM/SCEP द्वारे क्लायंट सर्टिफिकेट रिन्यूअल स्वयंचलित करा.

RADIUS सर्व्हर हाय अव्हेलेबिलिटी

जर RADIUS सर्व्हर अनरिचेबल असेल, तर कोणतेही डिव्हाइस ऑथेंटिकेट करू शकत नाही आणि संपूर्ण वायरलेस नेटवर्क ॲक्सेस करण्यायोग्य राहत नाही. हॉटेल किंवा रिटेल वातावरणात, हे एक गंभीर ऑपरेशनल अपयश आहे.

उपाय: फेलओव्हर पेअर म्हणून कॉन्फिगर केलेले किमान दोन RADIUS सर्व्हर्स (प्रायमरी आणि सेकंडरी) डिप्लॉय करा. क्लाउड RADIUS साठी, प्रोव्हायडर तुमच्या ऑपरेशनल आवश्यकता पूर्ण करणाऱ्या SLA सह भौगोलिकदृष्ट्या रिडंडंट आर्किटेक्चर ऑफर करत असल्याची खात्री करा. प्रायमरी टाइमआउटच्या 3-5 सेकंदात सेकंडरी RADIUS सर्व्हरचा प्रयत्न करण्यासाठी सर्व ॲक्सेस पॉईंट्स कॉन्फिगर करा.

BYOD डिव्हाइसेसवर सप्लिकंट मिसकॉन्फिगरेशन

जेव्हा वापरकर्ते 802.1X साठी त्यांची उपकरणे मॅन्युअली कॉन्फिगर करतात (स्वयंचलित ऑनबोर्डिंग पोर्टल वापरण्याऐवजी), तेव्हा ते वारंवार चुकीचा EAP प्रकार निवडतात, सर्व्हर सर्टिफिकेट व्हॅलिडेशन वगळतात किंवा चुकीच्या आयडेंटिटी स्ट्रिंग्स प्रविष्ट करतात. यामुळे मोठ्या प्रमाणात हेल्पडेस्क तिकिटे तयार होतात.

उपाय: मॅन्युअल कॉन्फिगरेशन पूर्णपणे काढून टाका. सर्व BYOD डिव्हाइसेस स्वयंचलित पोर्टलद्वारे ऑनबोर्ड केली जाणे आवश्यक आहे, जे संपूर्ण, प्रमाणित WiFi प्रोफाईल पुश करते. वापरकर्त्यांसाठी 802.1X SSID मॅन्युअली जोडण्याचा पर्याय अक्षम करा.

IoT डिव्हाइस MAC ॲड्रेस रोटेशन

आधुनिक मोबाईल ऑपरेटिंग सिस्टीम्स (iOS 14+, Android 10+) डीफॉल्टनुसार रँडमाइज्ड MAC ॲड्रेसेस वापरतात, जे iPSK MAC-to-PSK मॅपिंग खंडित करतात.

उपाय: कॉर्पोरेट-मॅनेज्ड BYOD डिव्हाइसेससाठी, कॉर्पोरेट SSID वर MAC रँडमायझेशन अक्षम करण्यासाठी MDM वापरा. कंझ्युमर IoT डिव्हाइसेससाठी, त्याच्या नेटवर्क सेटिंग्जमध्ये पर्सिस्टंट MAC ॲड्रेस वापरण्यासाठी डिव्हाइस कॉन्फिगर करा. गेस्ट डिव्हाइसेससाठी, MAC ॲड्रेस मॅपिंगवर अवलंबून राहण्याऐवजी युनिक क्रेडेंशियल प्रोव्हिजन करणारा वेगळा ऑनबोर्डिंग फ्लो वापरा.

ROI आणि बिझनेस इम्पॅक्ट

पासवर्डलेस WiFi ऑथेंटिकेशनकडे मायग्रेट करण्यासाठी बिझनेस केस अनेक आयामांवर आकर्षक आहे:

इम्पॅक्ट एरिया PSK सद्यस्थिती मायग्रेशननंतर
पासवर्ड रोटेशन खर्च प्रति रोटेशन 4-8 तास आयटी वेळ, गुणिले साइट संख्या शून्य — रोटेट करण्यासाठी कोणताही शेअर केलेला पासवर्ड नाही
ऑफबोर्डिंग सुरक्षा मॅन्युअल, व्यत्यय आणणारी, अनेकदा विलंबित स्वयंचलित, त्वरित, इतरांना शून्य व्यत्यय
इन्सिडेंट रिस्पॉन्स विशिष्ट वापरकर्त्याला ट्रॅफिक ॲट्रिब्युट करू शकत नाही संपूर्ण आयडेंटिटी ॲट्रिब्युशन, त्वरित डिव्हाइस आयसोलेशन
कंप्लायन्स पोश्चर PCI DSS Req. 8.2 सह नॉन-कंप्लायंट कंप्लायंट; संपूर्ण ऑडिट ट्रेल उपलब्ध
हेल्पडेस्क तिकीट व्हॉल्यूम उच्च — पासवर्ड शेअरिंग, रोटेशन गोंधळ कमी — स्वयंचलित ऑनबोर्डिंग, विसरण्यासाठी कोणतेही पासवर्ड नाहीत

त्रैमासिक शेअर केलेला PSK रोटेट करणाऱ्या 50-लोकेशन रिटेल चेनसाठी, केवळ ऑपरेशनल बचत — 50 साइट्सवर चार वार्षिक पासवर्ड रोटेशन इव्हेंट्स काढून टाकणे — प्रति वर्ष शेकडो तासांचा आयटी वेळ वाचवू शकते. कंप्लायन्स रिस्क मिटिगेशन व्हॅल्यू मोजणे कठीण आहे परंतु लक्षणीयरीत्या अधिक प्रभावी आहे: अपर्याप्त ॲक्सेस कंट्रोल्सशी संबंधित PCI DSS ब्रीच फाइंडिंगमुळे दंड, कार्ड स्कीम पेनल्टीज आणि रेमेडिएशन खर्च होऊ शकतो जो मायग्रेशनच्या खर्चापेक्षा खूप जास्त असतो.

सुरक्षेच्या पलीकडे, आयडेंटिटी-अवेअर नेटवर्क्स महत्त्वपूर्ण ऑपरेशनल इंटेलिजन्स अनलॉक करतात. जेव्हा प्रत्येक डिव्हाइसची ओळख असते, तेव्हा तुमचे WiFi Analytics प्लॅटफॉर्म डिव्हाइस प्रकार, ड्वेल टाइम्स आणि नेटवर्क वापर पॅटर्नवर अधिक समृद्ध डेटा प्रदान करू शकते. हा डेटा थेट व्हेन्यू ऑप्टिमायझेशन, स्टाफिंग निर्णय आणि Transport हब्स आणि मोठ्या ठिकाणांकडून वाढत्या प्रमाणात अपेक्षित असलेल्या वैयक्तिकृत अनुभवांमध्ये फीड होतो.

शेअर केलेल्या पासवर्डच्या पलीकडे जाणे हे केवळ सुरक्षा अपग्रेड नाही. ही तुमच्या नेटवर्क इन्फ्रास्ट्रक्चरच्या ऑपरेशनल मॅच्युरिटी आणि लवचिकतेमधील एक मूलभूत गुंतवणूक आहे.

महत्वाच्या व्याख्या

Pre-Shared Key (PSK)

WPA2-Personal किंवा WPA3-Personal वापरून WiFi नेटवर्कवर ऑथेंटिकेट करण्यासाठी सर्व वापरकर्ते आणि उपकरणांमध्ये शेअर केलेला एकच पासवर्ड.

व्हेन्यू WiFi साठी लेगसी डीफॉल्ट. डिप्लॉय करण्यासाठी ऑपरेशनलदृष्ट्या सोपे परंतु प्रति-वापरकर्ता ओळखीचा अभाव आणि लक्ष्यित रिव्होकेशनच्या अशक्यतेमुळे एंटरप्राइझ स्तरावर मूलभूतपणे असुरक्षित.

IEEE 802.1X

पोर्ट-आधारित नेटवर्क ॲक्सेस कंट्रोलसाठी एक IEEE मानक जे LAN किंवा WLAN शी कनेक्ट होण्याचा प्रयत्न करणाऱ्या उपकरणांसाठी ऑथेंटिकेशन यंत्रणा प्रदान करते, ज्यामध्ये प्रत्येक उपकरणाला मध्यवर्ती ऑथेंटिकेशन सर्व्हरवर वैयक्तिकरित्या ऑथेंटिकेट करणे आवश्यक असते.

एंटरप्राइझ WiFi सुरक्षेसाठी मूलभूत मानक. जेव्हा आयटी टीम्स शेअर केलेल्या पासवर्ड्सच्या जागी आयडेंटिटी-आधारित ॲक्सेस कंट्रोल आणतात तेव्हा त्यांना याचा सामना करावा लागतो आणि EAP-TLS डिप्लॉयमेंटसाठी ही पूर्वअट आहे.

EAP-TLS (Extensible Authentication Protocol — Transport Layer Security)

एक 802.1X ऑथेंटिकेशन पद्धत जी म्युच्युअल ऑथेंटिकेशनसाठी क्लायंट डिव्हाइस आणि ऑथेंटिकेशन सर्व्हर दोन्हीवर डिजिटल सर्टिफिकेट्स वापरते, ज्यामध्ये कोणताही पासवर्ड समाविष्ट नसतो.

पासवर्डलेस WiFi साठी सुवर्ण मानक. सर्वात सुरक्षित EAP पद्धत मानली जाते कारण ती क्रेडेंशियल चोरी पूर्णपणे काढून टाकते — फिश, रिप्ले किंवा ब्रूट-फोर्स करण्यासाठी कोणताही पासवर्ड नसतो.

RADIUS (Remote Authentication Dial-In User Service)

नेटवर्क ॲक्सेससाठी केंद्रीकृत ऑथेंटिकेशन, ऑथरायझेशन आणि अकाउंटिंग (AAA) व्यवस्थापन प्रदान करणारा नेटवर्किंग प्रोटोकॉल. WiFi डिप्लॉयमेंट्समध्ये, RADIUS सर्व्हर ॲक्सेस पॉईंट आणि आयडेंटिटी प्रोव्हायडरच्या दरम्यान असतो.

कोणत्याही 802.1X डिप्लॉयमेंटचा मुख्य इन्फ्रास्ट्रक्चर घटक. आयटी टीम्सना ऑन-प्रिमाइस RADIUS (उदा. Microsoft NPS) आणि क्लाउड RADIUS सोल्यूशन्स यापैकी एक निवडणे आवश्यक आहे, हा निर्णय इंटिग्रेशन गुंतागुंत आणि ऑपरेशनल ओव्हरहेडवर लक्षणीय परिणाम करतो.

Identity PSK (iPSK)

एक WiFi ऑथेंटिकेशन वैशिष्ट्य जे RADIUS सर्व्हरद्वारे प्रत्येक वैयक्तिक डिव्हाइस किंवा युझर ग्रुपला युनिक प्री-शेअर्ड की नियुक्त करते, तर कनेक्ट होणाऱ्या डिव्हाइसेसना मानक WPA2/WPA3-Personal नेटवर्क म्हणून सादर करते.

802.1X सप्लिकंट्सना सपोर्ट करू न शकणाऱ्या IoT आणि लेगसी डिव्हाइसेसना सुरक्षित करण्यासाठी महत्त्वपूर्ण ट्रान्झिशन टेक्नॉलॉजी. कनेक्ट होणाऱ्या डिव्हाइसमध्ये कोणतेही बदल न करता प्रति-डिव्हाइस ओळख आणि रिव्होकेशन प्रदान करते.

Supplicant

क्लायंट डिव्हाइसवरील (लॅपटॉप, स्मार्टफोन) सॉफ्टवेअर घटक जो EAP प्रोटोकॉल लागू करतो आणि 802.1X ऑथेंटिकेशन दरम्यान क्रेडेंशियल्स सादर करण्यासाठी ऑथेंटिकेटरशी (ॲक्सेस पॉईंट) संवाद साधतो.

IoT डिव्हाइसेस, लेगसी POS टर्मिनल्स आणि अनेक कंझ्युमर इलेक्ट्रॉनिक्समध्ये सप्लिकंटचा अभाव असतो, हेच मुख्य कारण आहे की ते मानक 802.1X वापरू शकत नाहीत आणि त्यांना iPSK सारख्या पर्यायांची आवश्यकता असते.

MAC Authentication Bypass (MAB)

एक नेटवर्क ॲक्सेस पद्धत जी कोणत्याही क्रिप्टोग्राफिक क्रेडेंशियलशिवाय केवळ डिव्हाइसच्या MAC (मीडिया ॲक्सेस कंट्रोल) ॲड्रेसवर आधारित कनेक्टिव्हिटी देते.

हेडलेस डिव्हाइसेससाठी फॉलबॅक म्हणून मोठ्या प्रमाणावर वापरले जाते परंतु मूळतः असुरक्षित आहे, कारण MAC ॲड्रेसेस प्लेन टेक्स्टमध्ये ब्रॉडकास्ट केले जातात आणि सहजपणे स्पूफ केले जातात. शक्य असेल तिथे iPSK ने बदलले पाहिजे.

Dynamic VLAN Assignment

एक RADIUS ऑथरायझेशन वैशिष्ट्य जे ॲक्सेस पॉईंटला ऑथेंटिकेटेड डिव्हाइसला वापरकर्त्याची ओळख, ग्रुप मेंबरशिप किंवा डिव्हाइस प्रकारावर आधारित विशिष्ट व्हर्च्युअल LAN (VLAN) मध्ये ठेवण्याची सूचना देते, जसे RADIUS सर्व्हरद्वारे निर्धारित केले जाते.

मल्टी-टेनंट किंवा मिक्स्ड-युज वातावरणात नेटवर्क सेगमेंटेशनसाठी आवश्यक. हे सुनिश्चित करते की गेस्ट डिव्हाइसेस, कॉर्पोरेट लॅपटॉप्स, IoT सेन्सर्स आणि POS टर्मिनल्स प्रत्येक सेगमेंटसाठी स्वतंत्र फिजिकल SSIDs ची आवश्यकता न ठेवता स्वयंचलितपणे एकमेकांपासून वेगळे केले जातात.

Certificate Revocation List (CRL)

सर्टिफिकेट ऑथॉरिटी (CA) द्वारे राखलेली नियमितपणे प्रकाशित केलेली यादी जी त्यांच्या निर्धारित कालबाह्य तारखेपूर्वी रद्द केलेली सर्टिफिकेट्स ओळखते.

ज्या यंत्रणेद्वारे RADIUS सर्व्हर्स क्लायंट सर्टिफिकेट रद्द केले गेले नाही याची पडताळणी करतात. आयटी टीम्सनी हे सुनिश्चित केले पाहिजे की RADIUS सर्व्हर्स CRL डिस्ट्रिब्युशन पॉईंटपर्यंत पोहोचू शकतात; ॲक्सेस न करता येणारा CRL कॉन्फिगर केलेल्या फेल-ओपन/फेल-क्लोज्ड पॉलिसीवर अवलंबून ऑथेंटिकेशन फेल्युअर्स किंवा सुरक्षा गॅप्स निर्माण करू शकतो.

EAP-PEAP (Protected Extensible Authentication Protocol)

एक 802.1X ऑथेंटिकेशन पद्धत जी एन्क्रिप्टेड TLS टनेल तयार करते आणि नंतर त्या टनेलच्या आत युझरनेम आणि पासवर्डसह वापरकर्त्याला ऑथेंटिकेट करते.

PSK कडून पूर्ण सर्टिफिकेट ऑथेंटिकेशनकडे जाणारी एक सामान्य पायरी. PSK पेक्षा अधिक सुरक्षित परंतु तरीही पासवर्ड्सवर अवलंबून असते, ज्यामुळे ते क्रेडेंशियल चोरीला बळी पडू शकते. पासवर्डलेस डिप्लॉयमेंट्ससाठी EAP-TLS ही पसंतीची अंतिम स्थिती.

सोडवलेली उदाहरणे

एका 300-खोल्यांच्या लक्झरी हॉटेलमध्ये सध्या सर्व बॅक-ऑफ-हाऊस स्टाफ डिव्हाइसेससाठी एकच शेअर केलेला WPA2-PSK वापरला जातो: हाऊसकीपिंगसाठी टॅब्लेट्स, फूड आणि बेव्हरेजसाठी वायरलेस POS टर्मिनल्स आणि मेंटेनन्स लॅपटॉप्स. आयटी डायरेक्टरला चालू तिमाहीत PCI DSS चे पालन करण्यासाठी हे नेटवर्क सुरक्षित करणे आवश्यक आहे परंतु ऑपरेशनल कर्मचाऱ्यांसाठी कोणताही डाउनटाइम परवडणारा नाही. त्यांनी मायग्रेशनकडे कसे जावे?

मायग्रेशन चार टप्प्यांत पुढे जावे, ट्रान्झिशन दरम्यान नवीन आणि लेगसी नेटवर्क्स समांतर चालवावेत.

टप्पा 1 — क्लाउड RADIUS डिप्लॉय करा. हॉटेलच्या Azure Active Directory सोबत इंटिग्रेट केलेला क्लाउड-आधारित RADIUS सर्व्हर लागू करा. हे ऑन-प्रिमाइस हार्डवेअरची आवश्यकता न ठेवता ऑथेंटिकेशन बॅकबोन प्रदान करते.

टप्पा 2 — POS टर्मिनल्स आणि IoT साठी iPSK लागू करा. 802.1X सप्लिकंट्सना सपोर्ट करू न शकणाऱ्या वायरलेस POS टर्मिनल्ससाठी, प्रत्येक टर्मिनलच्या MAC ॲड्रेसवर आधारित युनिक iPSKs जारी करण्यासाठी RADIUS सर्व्हर कॉन्फिगर करा. सर्व POS डिव्हाइसेसना सामान्य स्टाफ नेटवर्कपासून वेगळ्या समर्पित VLAN वर नियुक्त करा. हे डिव्हाइसेसना स्पर्श न करता त्वरित PCI DSS सेगमेंटेशन आवश्यकता पूर्ण करते.

टप्पा 3 — टॅब्लेट्स आणि लॅपटॉप्ससाठी MDM डिप्लॉयमेंट. हाऊसकीपिंग टॅब्लेट्स आणि मेंटेनन्स लॅपटॉप्सवर EAP-TLS सर्टिफिकेट्स आणि नवीन 802.1X WiFi प्रोफाईल सायलेंटली पुश करण्यासाठी हॉटेलचे MDM (Intune) वापरा. वापरकर्त्याच्या कोणत्याही कृतीशिवाय डिव्हाइसेस स्वयंचलितपणे नवीन SSID वर मायग्रेट होतील.

टप्पा 4 — मॉनिटर आणि डिकमिशन. नवीन 802.1X आणि iPSK SSIDs सोबत लेगसी PSK SSID दोन आठवडे चालवा. सर्व डिव्हाइसेस मायग्रेट झाल्याची पुष्टी करण्यासाठी RADIUS ऑथेंटिकेशन लॉग्सचे निरीक्षण करा. पुष्टी झाल्यानंतर, लेगसी SSID अक्षम करा.

अपेक्षित परिणाम: सहा आठवड्यांत PCI DSS कंप्लायन्स साध्य; शून्य ऑपरेशनल डाउनटाइम; आयटी टीमला संपूर्ण डिव्हाइस आयडेंटिटी व्हिजिबिलिटी आणि प्रति-डिव्हाइस रिव्होकेशन क्षमता मिळते.

परीक्षकाचे भाष्य: ही परिस्थिती टप्प्याटप्प्याने जाण्याच्या दृष्टिकोनाचे महत्त्वपूर्ण महत्त्व स्पष्ट करते. लाइव्ह हॉस्पिटॅलिटी वातावरणात PSK वरून 802.1X कडे थेट कटओव्हर केल्यास त्वरित ऑपरेशनल व्यत्यय येईल. मायग्रेट न होऊ शकणाऱ्या डिव्हाइसेससाठी iPSK आणि जे होऊ शकतात त्यांच्यासाठी MDM ऑटोमेशन वापरून, आयटी टीम ऑपरेशनल जोखमीशिवाय सुरक्षा उद्दिष्ट साध्य करते. समांतर SSID स्ट्रॅटेजी संपूर्ण ट्रान्झिशनमध्ये सेफ्टी नेट प्रदान करते. हे देखील लक्षात घ्या की PCI DSS लाभ टप्पा 2 मध्ये प्राप्त होतो — संपूर्ण 802.1X मायग्रेशन पूर्ण होण्यापूर्वी — कारण iPSK वैयक्तिक डिव्हाइस ओळख आणि स्टँडर्डला आवश्यक असलेले सेगमेंटेशन प्रदान करते.

500 लोकेशन्स असलेल्या राष्ट्रीय रिटेल चेनमध्ये कॉर्पोरेट बॅक-ऑफिस WiFi नेटवर्कसाठी शेअर केलेला WPA2-PSK वापरला जातो. जेव्हा एखादा एरिया मॅनेजर कंपनी सोडतो, तेव्हा आयटीला सर्व स्टोअर्समध्ये पासवर्ड बदलण्याचे समन्वय साधावे लागते, ज्यामुळे अनेकदा स्टोअर मॅनेजर्स लॉक आउट होतात आणि ट्रेडिंग वेळेत इन्व्हेंटरी मॅनेजमेंट सिस्टीम्सचा ॲक्सेस गमावतात. CISO ला ही जोखीम पूर्णपणे दूर करायची आहे. शिफारस केलेले आर्किटेक्चर काय आहे?

यावर उपाय म्हणजे कंपनीच्या Okta आयडेंटिटी प्रोव्हायडरसोबत इंटिग्रेट केलेले EAP-TLS सह संपूर्ण 802.1X डिप्लॉयमेंट.

आर्किटेक्चर:

  • RADIUS प्रॉक्सी किंवा नेटिव्ह RADIUS प्रोटोकॉलद्वारे Okta सोबत इंटिग्रेट केलेली क्लाउड RADIUS सर्व्हिस डिप्लॉय करा.
  • सर्व 500 लोकेशन्सवरील सर्व कॉर्पोरेट-मॅनेज्ड Windows लॅपटॉप्स आणि टॅब्लेट्सवर क्लायंट सर्टिफिकेट्स आणि 802.1X WiFi प्रोफाईल पुश करण्यासाठी Intune वापरा.
  • Okta ग्रुप मेंबरशिप (उदा. स्टोअर मॅनेजर, एरिया मॅनेजर, आयटी ॲडमिन) च्या आधारावर डायनॅमिक VLAN असाइनमेंट करण्यासाठी RADIUS सर्व्हर कॉन्फिगर करा.

ऑफबोर्डिंग इंटिग्रेशन:

  • जेव्हा HR सोडून जाणाऱ्या कर्मचाऱ्याचे Okta अकाउंट डीॲक्टिव्हेट करते, तेव्हा RADIUS सर्व्हर त्या वापरकर्त्याच्या सर्टिफिकेटवरून येणारे कोणतेही नवीन ऑथेंटिकेशन प्रयत्न त्वरित नाकारतो.
  • अकाउंट डीॲक्टिव्हेट झाल्याच्या काही सेकंदातच कर्मचारी एकाच वेळी सर्व 500 लोकेशन्सवरील WiFi ॲक्सेस गमावतो.
  • इतर सर्व कर्मचारी कोणत्याही व्यत्ययाशिवाय कनेक्टेड राहतात.

BYOD विचार:

  • जे कर्मचारी वैयक्तिक उपकरणांवर कॉर्पोरेट WiFi ॲक्सेस करतात त्यांच्यासाठी, Okta SSO द्वारे ऑथेंटिकेट केलेले सेल्फ-सर्व्हिस ऑनबोर्डिंग पोर्टल डिप्लॉय करा. पोर्टल वैयक्तिक उपकरणाला एक युनिक सर्टिफिकेट प्रोव्हिजन करते, जे Okta अकाउंटशी देखील जोडलेले असते आणि ऑफबोर्डिंगवर स्वयंचलितपणे रद्द केले जाते.
परीक्षकाचे भाष्य: ही परिस्थिती WiFi ऑथेंटिकेशनला मध्यवर्ती आयडेंटिटी प्रोव्हायडरशी जोडण्याचा परिवर्तनकारी ऑपरेशनल प्रभाव दर्शवते. मुख्य अंतर्दृष्टी अशी आहे की सुरक्षा इव्हेंट — कर्मचाऱ्याचे जाणे — आता पूर्णपणे विद्यमान HR आणि आयटी ऑफबोर्डिंग वर्कफ्लोमध्ये हाताळले जाते. आयटीला कोणतीही WiFi-विशिष्ट कृती करण्याची आवश्यकता नाही; रिव्होकेशन स्वयंचलित आणि त्वरित आहे. हे 500 साइट्सवरील समन्वय ओव्हरहेड दूर करते आणि कर्मचाऱ्याचे जाणे आणि त्यांचा नेटवर्क ॲक्सेस संपुष्टात येणे यामधील जोखमीची विंडो काढून टाकते. डायनॅमिक VLAN असाइनमेंट एक अतिरिक्त सुरक्षा स्तर जोडते, हे सुनिश्चित करते की कॉर्पोरेट नेटवर्कमध्ये देखील भिन्न कर्मचारी भूमिका योग्यरित्या विभागल्या गेल्या आहेत.

सराव प्रश्न

Q1. एका विद्यापीठ कॅम्पसला विद्यार्थ्यांच्या वसतिगृहांमधील वायरलेस नेटवर्क सुरक्षित करणे आवश्यक आहे. विद्यार्थी लॅपटॉप, स्मार्टफोन, गेमिंग कन्सोल आणि स्मार्ट स्पीकर्स यांचे मिश्रण आणतात. विद्यापीठाला हे सुनिश्चित करायचे आहे की प्रत्येक विद्यार्थ्याची उपकरणे इतर विद्यार्थ्यांच्या उपकरणांपासून वेगळी आहेत, परंतु वैयक्तिक उपकरणांवर MDM प्रोफाईल्स इन्स्टॉल करू शकत नाहीत. कोणती ऑथेंटिकेशन स्ट्रॅटेजी डिप्लॉय केली पाहिजे आणि डिव्हाइस आयसोलेशन कसे साध्य केले पाहिजे?

टीप: गेमिंग कन्सोल आणि स्मार्ट स्पीकर्समध्ये 802.1X सप्लिकंट्स नसतात. MDM ची आवश्यकता न ठेवता प्रति-विद्यार्थी आयसोलेशन साध्य करण्यासाठी डायनॅमिक VLAN असाइनमेंटसह iPSK कसे एकत्र केले जाऊ शकते याचा विचार करा.

नमुना उत्तर पहा

सेल्फ-सर्व्हिस ऑनबोर्डिंग पोर्टलसह इंटिग्रेट केलेले iPSK सोल्यूशन डिप्लॉय करा. विद्यार्थी त्यांच्या विद्यापीठाच्या SSO क्रेडेंशियल्सचा वापर करून पोर्टलवर ऑथेंटिकेट करतात आणि त्यांच्या उपकरणांचे MAC ॲड्रेसेस रजिस्टर करतात (कन्सोल आणि स्मार्ट स्पीकर्ससह, ज्यामध्ये 802.1X सप्लिकंट्स नसतात). RADIUS सर्व्हर प्रत्येक विद्यार्थ्यासाठी एक युनिक iPSK जनरेट करतो आणि सर्व रजिस्टर केलेले MAC ॲड्रेसेस त्या विद्यार्थ्याच्या की सोबत मॅप करतो. डायनॅमिक VLAN असाइनमेंट दिलेल्या विद्यार्थ्याचा iPSK वापरणाऱ्या सर्व उपकरणांना वैयक्तिक मायक्रो-सेगमेंट किंवा प्रायव्हेट VLAN (PVLAN) मध्ये ठेवते, ज्यामुळे विद्यार्थ्यांच्या उपकरणांमधील लॅटरल कम्युनिकेशनला प्रतिबंध होतो. 802.1X ला सपोर्ट करणाऱ्या लॅपटॉप आणि स्मार्टफोन्ससाठी, ऑनबोर्डिंग पोर्टल पर्यायीपणे EAP-TLS साठी सर्टिफिकेट आणि WiFi प्रोफाईल प्रोव्हिजन करू शकते, कन्सोल आणि स्मार्ट स्पीकर्ससाठी iPSK सुसंगतता राखून त्या उपकरणांसाठी मजबूत सुरक्षा प्रदान करते.

Q2. एक रुग्णालय HIPAA कंप्लायन्ससाठी त्यांच्या वायरलेस नेटवर्कचे ऑडिट करत आहे. त्यांना आढळले की 50 वायरलेस इन्फ्युजन पंप शेअर केलेल्या WPA2-PSK चा वापर करून जोडलेले आहेत कारण व्हेंडर सांगतो की पंप EAP-TLS ला सपोर्ट करत नाहीत. क्लिनिकल वातावरणातून शेअर केलेला पासवर्ड काढून टाकण्यासाठी सुरक्षा टीम पंपांना ओपन (अनएन्क्रिप्टेड) नेटवर्क सेगमेंटवर MAC ऑथेंटिकेशन बायपास (MAB) कडे हलवण्याचा प्रस्ताव देते. हा योग्य दृष्टिकोन आहे का? नसल्यास, त्यांनी त्याऐवजी काय करावे?

टीप: MAC ॲड्रेस स्पूफिंगच्या जोखमीच्या तुलनेत एन्क्रिप्शन काढून टाकण्याच्या सुरक्षा परिणामांचे मूल्यांकन करा. MAB जे देत नाही ते iPSK काय प्रदान करते याचा विचार करा.

नमुना उत्तर पहा

नाही. ओपन नेटवर्कवर MAB कडे जाणे हे एक महत्त्वपूर्ण सुरक्षा रिग्रेशन आहे. हे ओव्हर-द-एअर एन्क्रिप्शन पूर्णपणे काढून टाकते, याचा अर्थ इन्फ्युजन पंपांमधून येणारा सर्व ट्रॅफिक — कोणत्याही क्लिनिकल डेटासह — प्लेन टेक्स्टमध्ये ट्रान्समिट केला जातो आणि रेडिओ रेंजमधील कोणालाही इंटरसेप्ट करता येतो. याव्यतिरिक्त, MAC ॲड्रेसेस सहजपणे स्पूफ केले जातात, याचा अर्थ अटॅकर क्लिनिकल नेटवर्क सेगमेंटमध्ये प्रवेश मिळवण्यासाठी पंपाची तोतयागिरी करू शकतो. योग्य दृष्टिकोन iPSK आहे. इन्फ्युजन पंप मानक WPA2-PSK नेटवर्कसारखे दिसणाऱ्या नेटवर्कशी कनेक्ट होतील, ओव्हर-द-एअर एन्क्रिप्शन राखून. RADIUS सर्व्हर प्रत्येक पंपाच्या MAC ॲड्रेसला एक युनिक, कॉम्प्लेक्स PSK नियुक्त करतो. हे वैयक्तिक डिव्हाइस ओळख (प्रत्येक पंप लॉगमध्ये ओळखता येतो), लक्ष्यित रिव्होकेशन (इतरांना प्रभावित न करता एकच पंप आयसोलेट केला जाऊ शकतो), आणि राखलेले एन्क्रिप्शन प्रदान करते — हे सर्व पंप फर्मवेअर किंवा व्हेंडर सपोर्टमध्ये कोणतेही बदल न करता.

Q3. तुम्ही 2,000 कॉर्पोरेट-मॅनेज्ड लॅपटॉप्ससाठी EAP-TLS सह 802.1X यशस्वीरित्या डिप्लॉय केले आहे. तुम्ही एका लॅपटॉपची मॅन्युअली चाचणी केली आणि तो उत्तम प्रकारे कनेक्ट झाला. त्यानंतर तुम्ही सर्व 2,000 डिव्हाइसेसवर WiFi प्रोफाईल पुश करण्यासाठी तुमचे MDM वापरले. दुसऱ्या दिवशी सकाळी, हेल्पडेस्कला शेकडो कॉल्स येतात ज्यात नोंदवले जाते की कोणतेही लॅपटॉप कॉर्पोरेट WiFi शी कनेक्ट होऊ शकत नाहीत. दोन सर्वात संभाव्य मूळ कारणे कोणती आहेत आणि तुम्ही प्रत्येकाचे निदान आणि निराकरण कसे कराल?

टीप: EAP-TLS ला क्लायंटकडून दोन गोष्टींची आवश्यकता असते: सर्व्हरला सादर करण्यासाठी वैध क्लायंट सर्टिफिकेट आणि सर्व्हरचे सर्टिफिकेट प्रमाणित करण्याची क्षमता. MDM पुशने आवश्यक सर्टिफिकेट्सशिवाय WiFi प्रोफाईल वितरित केले असावे का याचा विचार करा.

नमुना उत्तर पहा

दोन सर्वात संभाव्य मूळ कारणे आहेत: (1) MDM ने WiFi प्रोफाईल पुश केले परंतु डिव्हाइसेसना क्लायंट सर्टिफिकेट्स प्रोव्हिजन करण्यात अयशस्वी झाले. प्रोफाईल सप्लिकंटला EAP-TLS वापरण्याची सूचना देते, परंतु सादर करण्यासाठी क्लायंट सर्टिफिकेट नसल्यास, ऑथेंटिकेशन त्वरित अयशस्वी होते. सर्टिफिकेट प्रोव्हिजनिंग स्थितीसाठी MDM डिप्लॉयमेंट रिपोर्ट तपासून आणि 'no certificate presented' त्रुटींसाठी RADIUS सर्व्हर लॉग्सचे पुनरावलोकन करून निदान करा. WiFi प्रोफाईलच्या आधी MDM सर्टिफिकेट प्रोफाईल (SCEP किंवा PKCS) डिपेंडन्सी म्हणून डिप्लॉय केले आहे याची खात्री करून निराकरण करा. (2) डिव्हाइसेस RADIUS सर्व्हरच्या सर्टिफिकेटवर विश्वास ठेवत नाहीत. WiFi प्रोफाईल EAP-TLS निर्दिष्ट करते परंतु सर्व्हर प्रमाणीकरणासाठी ट्रस्टेड CA सर्टिफिकेट समाविष्ट करत नाही, ज्यामुळे सप्लिकंट RADIUS सर्व्हरचे सर्टिफिकेट नाकारतो. 'server certificate validation failed' त्रुटींसाठी प्रभावित डिव्हाइसवरील सप्लिकंट लॉग्स तपासून निदान करा. MDM द्वारे पुश केलेल्या WiFi प्रोफाईलच्या ट्रस्टेड सर्टिफिकेट्स विभागात रूट CA सर्टिफिकेट (किंवा विशिष्ट RADIUS सर्व्हर सर्टिफिकेट) जोडून निराकरण करा. मॅन्युअल चाचणी यशस्वी झाली कारण चाचणी डिव्हाइसवर मागील कॉन्फिगरेशनमधून CA सर्टिफिकेट आधीच इन्स्टॉल केलेले असू शकते किंवा मॅन्युअल चाचणी दरम्यान सर्व्हर प्रमाणीकरण लागू केले गेले नव्हते.

Q4. एक कॉन्फरन्स सेंटर दरवर्षी 200 इव्हेंट्स होस्ट करते, ज्यात एक-दिवसीय ट्रेड शोजपासून ते आठवडाभर चालणाऱ्या निवासी कॉन्फरन्सेसचा समावेश असतो. प्रत्येक इव्हेंटचा एक वेगळा आयोजक असतो ज्याला त्यांच्या उपस्थितांसाठी ब्रँडेड WiFi ची आवश्यकता असते. सध्या, व्हेन्यू प्रत्येक इव्हेंटसाठी एक नवीन शेअर केलेला PSK तयार करते. व्हेन्यूच्या आयटी मॅनेजरला अधिक स्केलेबल, सुरक्षित मॉडेलकडे जायचे आहे. तुम्ही कोणत्या आर्किटेक्चरची शिफारस कराल?

टीप: ॲक्सेसचे तात्पुरते, इव्हेंट-स्कोप केलेले स्वरूप आणि ब्रँडिंगची आवश्यकता विचारात घ्या. Captive Portal सह एकत्रित केलेले iPSK दोन्ही आवश्यकता कशा पूर्ण करू शकते याचा विचार करा.

नमुना उत्तर पहा

व्हेन्यूच्या इव्हेंट मॅनेजमेंट सिस्टीमसोबत इंटिग्रेट केलेले डायनॅमिक iPSK मॉडेल लागू करा. प्रत्येक इव्हेंटसाठी, सिस्टीम स्वयंचलितपणे इव्हेंटच्या कालावधीपुरता मर्यादित असलेला एक युनिक iPSK जनरेट करते. उपस्थितांना ही की इव्हेंट रजिस्ट्रेशन कन्फर्मेशन किंवा आयोजकाच्या ब्रँडेड ऑनबोर्डिंग पोर्टलद्वारे मिळते. RADIUS सर्व्हर इव्हेंटच्या iPSK ला त्या इव्हेंटसाठी समर्पित VLAN सोबत मॅप करतो, ज्यामुळे एकाच वेळी चालणाऱ्या इव्हेंट्समध्ये पूर्ण आयसोलेशन सुनिश्चित होते. जेव्हा इव्हेंट संपतो, तेव्हा iPSK स्वयंचलितपणे कालबाह्य होतो, कोणत्याही मॅन्युअल क्लीनअपची आवश्यकता नसते. ज्या आयोजकांना ब्रँडेड Captive Portal अनुभव आवश्यक आहे त्यांच्यासाठी, iPSK SSID च्या वर एक पोर्टल लेयर डिप्लॉय करा जो पूर्ण नेटवर्क ॲक्सेस देण्यापूर्वी आयोजकाचे ब्रँडिंग सादर करतो. हे मॉडेल मॅन्युअल PSK मॅनेजमेंट ओव्हरहेड दूर करते, प्रति-इव्हेंट नेटवर्क आयसोलेशन प्रदान करते आणि आयटी टीमला कोणत्या इव्हेंटशी कोणती उपकरणे जोडली गेली याचा संपूर्ण ऑडिट ट्रेल देते.

या मालिकेमध्ये पुढे वाचा

विक्रेत्यानुसार प्रति-डिव्हाइस PSK: iPSK, DPSK, MPSK आणि PPSK ची तुलना (आणि WPA3 सपोर्ट)

Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet आणि Ubiquiti UniFi मधील प्रति-डिव्हाइस PSK अंमलबजावणीची सर्वसमावेशक तुलना. WPA3-SAE चा प्रति-डिव्हाइस की (key) धोरणांवर कसा परिणाम होतो आणि ट्रान्झिशन मोड कधी लागू करायचे विरुद्ध 802.1X कडे कधी वळायचे ते जाणून घ्या.

मार्गदर्शिका वाचा →

MAC Address Authentication म्हणजे काय? ते कधी वापरावे आणि कधी टाळावे

हे अधिकृत तांत्रिक संदर्भ मार्गदर्शक एंटरप्राइझ WiFi वातावरणातील MAC ऍड्रेस ऑथेंटिकेशन कव्हर करते — RADIUS-आधारित MAC ऑथेंटिकेशन लेयर 2 वर कसे काम करते, त्याच्या अंगभूत सुरक्षा भेद्यता (MAC स्पूफिंग आणि OS-स्तरीय MAC रँडमायझेशनच्या प्रभावासह), आणि अचूक ऑपरेशनल संदर्भ जिथे ते IoT आणि हेडलेस उपकरणांचे व्यवस्थापन करण्यासाठी एक वैध साधन राहते. हे हॉस्पिटॅलिटी, रिटेल, हेल्थकेअर आणि सार्वजनिक क्षेत्रातील व्हेन्यूजमधील IT मॅनेजर्स आणि नेटवर्क आर्किटेक्ट्ससाठी रिअल-वर्ल्ड उदाहरणे, निर्णय फ्रेमवर्क्स आणि Purple च्या अतिथी WiFi आणि ॲनालिटिक्स प्लॅटफॉर्मसाठी इंटिग्रेशन संदर्भासह कृतीयोग्य डिप्लॉयमेंट मार्गदर्शन प्रदान करते.

मार्गदर्शिका वाचा →

iOS आणि macOS वर 802.1X सह एंटरप्राइझ WiFi कसे सेट करावे

हे अधिकृत मार्गदर्शक वरिष्ठ IT लीडर्सना iOS आणि macOS डिव्हाइसेसवर 802.1X एंटरप्राइझ WiFi डिप्लॉय करण्यासाठी कृती करण्यायोग्य पायऱ्या प्रदान करते. हे BYOD उपक्रमांना सपोर्ट करताना कॉर्पोरेट नेटवर्क्स सुरक्षित करण्यासाठी सर्टिफिकेट-आधारित ऑथेंटिकेशन (EAP-TLS), MDM कॉन्फिगरेशन प्रोफाइल्स आणि आर्किटेक्चर इंटिग्रेशन कव्हर करते.

मार्गदर्शिका वाचा →