मुख्य मजकुराकडे जा

802.1X WiFi Authentication कसे कॉन्फिगर करावे: एक टप्प्याटप्प्याने मार्गदर्शक

हे तांत्रिक मार्गदर्शक 802.1X एंटरप्राइझ WiFi ऑथेंटिकेशन कॉन्फिगर करण्यासाठी टप्प्याटप्प्याने माहिती प्रदान करते. यामध्ये RADIUS सर्व्हर सेटअप, सर्टिफिकेट डिप्लॉयमेंट आणि उच्च गर्दीच्या ठिकाणांवरील IT लीडर्ससाठी व्यावहारिक डिप्लॉयमेंट धोरणे समाविष्ट आहेत.

📖 5 मिनिट वाचन📝 1,126 शब्द🔧 2 सोडवलेली उदाहरणे3 सराव प्रश्न📚 8 महत्वाच्या व्याख्या

हे मार्गदर्शक ऐका

पॉडकास्ट ट्रान्सक्रिप्ट पहा
802.1X WiFi Authentication कसे कॉन्फिगर करावे: एक टप्प्याटप्प्याने मार्गदर्शक एक Purple Enterprise WiFi Intelligence पॉडकास्ट [प्रस्तावना — साधारण १ मिनिट] पुन्हा स्वागत आहे. मी आज एक सीनियर सोल्युशन्स आर्किटेक्ट म्हणून बोलत आहे, आणि जर तुम्ही हे ऐकत असाल, तर कदाचित तुमच्यासमोर एक नेटवर्क सिक्युरिटी प्रोजेक्ट असेल ज्यामध्ये 802.1X ऑथेंटिकेशन समाविष्ट आहे - एकतर तुमच्या कंप्लायन्स टीमने हे सूचित केले आहे, तुमच्या विमा कंपनीने याबद्दल विचारले आहे, किंवा तुम्हाला असे नेटवर्क वारशाने मिळाले आहे जे शेअर केलेल्या PSK वर चालत आहे आणि तुम्हाला माहित आहे की ते आता पुरेसे नाही. चला तर थेट मुद्द्यावर येऊया. 802.1X हा पोर्ट-आधारित नेटवर्क ऍक्सेस कंट्रोलसाठीचा IEEE मानक आहे. हा एंटरप्राइझ WiFi सुरक्षेचा कणा आहे - ही अशी यंत्रणा आहे जी हे सुनिश्चित करते की तुमच्या नेटवर्कशी कनेक्ट होणाऱ्या प्रत्येक डिव्हाइसची सिंगल बाइट डेटा ट्रान्सफर होण्यापूर्वीच सकारात्मक ओळख पटवली गेली आहे आणि त्याला अधिकृत केले गेले आहे. PCI DSS अंतर्गत पेमेंट कार्ड डेटा हाताळणाऱ्या संस्थांसाठी हे ऐच्छिक नाही, GDPR आणि NHS डेटा सुरक्षा मानकांचे पालन करणाऱ्या आरोग्य सेवा वातावरणासाठी हे ऐच्छिक नाही, आणि प्रामाणिकपणे सांगायचे तर, काही मोजक्या ऍक्सेस पॉईंट्सपेक्षा जास्त चालवणाऱ्या कोणत्याही संस्थेसाठी हेच योग्य आर्किटेक्चर आहे. पुढील दहा मिनिटांत, मी तुम्हाला तांत्रिक आर्किटेक्चर, RADIUS कॉन्फिगरेशन, सर्टिफिकेट डिप्लॉयमेंट आणि हे जिथे गुंतागुंतीचे होते त्या प्रत्यक्ष व्यवहारातील परिस्थितींबद्दल माहिती देणार आहे. चला सुरु करूया. [तांत्रिक सखोल माहिती — साधारण ५ मिनिटे] तर, 802.1X फ्रेमवर्कचे तीन घटक आहेत. पहिला म्हणजे Supplicant - म्हणजेच क्लायंट डिव्हाइस, लॅपटॉप, फोन किंवा IoT सेन्सर. दुसरा म्हणजे Authenticator - हा तुमचा ऍक्सेस पॉईंट किंवा नेटवर्क स्विच असतो, ज्याला कधीकधी NAS (नेटवर्क ऍक्सेस सर्व्हर) देखील म्हटले जाते. आणि तिसरा म्हणजे Authentication Server - एंटरप्राइझ डिप्लॉयमेंटमध्ये हा प्रामुख्याने RADIUS सर्व्हर असतो. येथे हँडशेक कसा कार्य करतो ते पाहूया. जेव्हा एखादे डिव्हाइस 802.1X-संरक्षित SSID शी कनेक्ट करण्याचा प्रयत्न करते, तेव्हा ऍक्सेस पॉईंट त्याला थेट प्रवेश देत नाही. त्याऐवजी, तो एक नियंत्रित पोर्ट उघडतो - एक मर्यादित चॅनेल जो केवळ EAP ट्रॅफिक म्हणजेच एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल पास करतो. AP डिव्हाइसला EAP-Request Identity पाठवतो. डिव्हाइस त्याच्या ओळखीसह प्रतिसाद देते. AP नंतर ती ओळख RADIUS Access-Request पॅकेटमध्ये गुंडाळून RADIUS सर्व्हरकडे पाठवतो. RADIUS सर्व्हर ऑथेंटिकेशन चालवतो - Active Directory, सर्टिफिकेट स्टोअर किंवा तुम्ही कॉन्फिगर केलेल्या कोणत्याही आयडेंटिटी बॅकएंडसह क्रेडेंशियल्स तपासतो - आणि एकतर Access-Accept किंवा Access-Reject परत पाठवतो. केवळ Accept मिळाल्यावरच AP संपूर्ण डेटा पोर्ट उघडतो आणि डिव्हाइसला योग्य VLAN वर नियुक्त करतो. आता, तुम्ही येथे निवडत असलेल्या EAP पद्धतीला खूप महत्त्व आहे. एंटरप्राइझ डिप्लॉयमेंटमध्ये तुम्हाला प्रामुख्याने पाच प्रकार आढळतील. EAP-TLS हा एक सुवर्ण मानक आहे. क्लायंट आणि सर्व्हर दोन्ही X.509 प्रमाणपत्रे सादर करतात. यामध्ये कोणतेही पासवर्ड समाविष्ट नसतात. हा सर्वात सुरक्षित पर्याय आहे आणि सर्वोच्च PCI-DSS अनुपालन स्तरांसाठी हा आवश्यक आहे. अडचण अशी आहे की क्लायंट प्रमाणपत्रे जारी करण्यासाठी आणि व्यवस्थापित करण्यासाठी तुम्हाला संपूर्ण PKI - म्हणजे पब्लिक की इन्फ्रास्ट्रक्चर - ची आवश्यकता असते. याचा अर्थ असा की यासाठी प्रमाणपत्र प्राधिकरण, प्रमाणपत्र जीवनचक्र व्यवस्थापन आणि प्रत्येक डिव्हाइसवर प्रमाणपत्रे पाठवण्याची यंत्रणा आवश्यक आहे. Microsoft Active Directory आणि Active Directory प्रमाणपत्र सेवा असलेल्या संस्थांसाठी हे सहज साध्य करण्यासारखे आहे. ज्या संस्थांकडे ही पायाभूत सुविधा नाही, त्यांच्यासाठी ही एक मोठी गुंतवणूक आहे. PEAP-MSCHAPv2 ही प्रत्यक्षात सर्वात मोठ्या प्रमाणावर वापरली जाणारी पद्धत आहे. हे फक्त सर्व्हर-साइड प्रमाणपत्र वापरून एक TLS टनेल तयार करते, आणि नंतर त्या टनेलच्या आत युझरनेम आणि पासवर्ड क्रेडेंशियल पाठवते. हे प्रत्यक्ष व्यवहारात प्रत्येक डिव्हाइससह त्वरित सुसंगत आहे, Windows Server वरील NPS द्वारे थेट Active Directory शी समाकलित होते आणि यासाठी क्लायंट प्रमाणपत्रांची आवश्यकता नसते. यातील त्रुटी अशी आहे की जर युझर्सना फसवून एखाद्या बनावट AP शी कनेक्ट केले गेले, तर हे क्रेडेंशियल हार्वेस्टिंग हल्ल्यांना बळी पडू शकते - कारण क्लायंट डीफॉल्टनुसार सर्व्हर प्रमाणपत्राची पडताळणी करत नाही. तुम्ही तुमच्या सप्लिकंट प्रोफाइल्समध्ये सर्व्हर प्रमाणपत्र पडताळणी सक्तीची केली पाहिजे. EAP-TTLS हे PEAP सारखेच आहे परंतु आतील प्रमाणीकरण पद्धतीमध्ये अधिक लवचिक आहे. हे Linux वातावरणात आणि जेथे तुम्हाला जुन्या प्रमाणीकरण बॅकएंड्सचे समर्थन करावे लागते तेथे सामान्य आहे. EAP-FAST ची निर्मिती Cisco ने LEAP च्या त्रुटींवर उपाय म्हणून केली होती. हे प्रमाणपत्रांऐवजी प्रोटेक्टेड ॲक्सेस क्रेडेंशियल्स वापरते. जर तुम्ही Cisco च्या प्रभावाखालील वातावरणात असाल किंवा इतर पद्धतींना समर्थन न देणाऱ्या जुन्या उपकरणांचा वापर करत असाल तरच हे प्रामुख्याने संबंधित आहे. EAP-SIM आणि EAP-AKA चा वापर कॅरियर-ग्रेड उपयोजनांमध्ये केला जातो - जसे की OpenRoaming किंवा Passpoint - जिथे प्रमाणीकरण SIM कार्ड किंवा USIM शी जोडलेले असते. सार्वजनिक ठिकाणांवरील WiFi साठी हे वाढत्या प्रमाणात संबंधित ठरत आहेत जिथे तुम्हाला Captive Portal शिवाय अखंड, सुरक्षित ऑनबोर्डिंग हवे आहे. आता आपण RADIUS कॉन्फिगरेशनबद्दल बोलूया. तुम्ही Microsoft NPS, FreeRADIUS, Cisco ISE, किंवा Aruba ClearPass उपयोजित करत असलात तरीही, मुख्य कॉन्फिगरेशन पायऱ्या सारख्याच असतात. पहिले म्हणजे, तुम्ही तुमचे RADIUS क्लायंट परिभाषित करता - हे तुमचे ॲक्सेस पॉइंट्स किंवा वायरलेस LAN कंट्रोलर्स असतात. प्रत्येक क्लायंटची त्याच्या IP ॲड्रेस आणि एका शेअर केलेल्या सीक्रेटसह नोंदणी केली जाते. त्या शेअर केलेल्या सीक्रेटचा वापर AP आणि सर्व्हरमधील RADIUS संदेशांचे प्रमाणीकरण करण्यासाठी केला जातो. यासाठी किमान २२ अक्षरांचा, यादृच्छिकपणे तयार केलेला आणि प्रत्येक NAS उपकरणासाठी अद्वितीय असलेला सीक्रेट वापरा. दुसरे म्हणजे, तुम्ही तुमचे नेटवर्क धोरण कॉन्फिगर करता. येथेच तुम्ही कोणाला कशाचा ॲक्सेस मिळेल हे परिभाषित करता. NPS च्या भाषेत सांगायचे तर, तुम्ही एक नेटवर्क पॉलिसी तयार करत आहात जी अटींशी जुळते - जसे की Active Directory मधील ग्रुप सदस्यत्व, डिव्हाइस प्रकार, दिवसाची वेळ - आणि विशेषता नियुक्त करते - जसे की VLAN ID, सेशन टाइमआउट, बँडविड्थ मर्यादा. तुम्ही सर्वाधिक वापरणार असलेले RADIUS ॲट्रिब्यूट म्हणजे VLAN असाइनमेंट आहे, विशेषतः Tunnel-Type हे VLAN वर सेट केलेले, Tunnel-Medium-Type हे 802 वर सेट केलेले आणि Tunnel-Private-Group-ID हे तुमच्या VLAN क्रमांकावर सेट केलेले असावे. तिसरे, तुम्ही तुमचे कनेक्शन रिक्वेस्ट पॉलिसी कॉन्फिगर करता. हे NPS ला येणाऱ्या RADIUS विनंत्या कशा हाताळायच्या हे सांगते - स्थानिक पातळीवर ऑथेंटिकेट करायचे की दुसऱ्या RADIUS सर्व्हरकडे फॉरवर्ड करायचे. डिस्ट्रिब्युटेड डिप्लोयमेंटमध्ये, तुमच्याकडे प्रत्येक साईटवर NPS प्रॉक्सीसह एक सेंट्रल RADIUS सर्व्हर असू शकतो. सर्टिफिकेटच्या बाजूने, PEAP आणि EAP-TLS साठी, तुमच्या RADIUS सर्व्हरला तुमच्या क्लायंट्सद्वारे विश्वसनीय असलेले सर्व्हर सर्टिफिकेट आवश्यक असते. सर्वात सोपा मार्ग म्हणजे पब्लिक CA कडून मिळणारे सर्टिफिकेट - DigiCert, Sectigo, Let's Encrypt - वापरणे, कारण ती रूट सर्टिफिकेट्स आधीच सर्व प्रमुख ऑपरेटिंग सिस्टम्सद्वारे विश्वसनीय मानली जातात. तुम्ही इंटरनल CA वापरत असल्यास, तुम्हाला ग्रुप पॉलिसी किंवा तुमच्या MDM प्लॅटफॉर्मद्वारे सर्व क्लायंट डिव्हाइसेसवर रूट सर्टिफिकेट पुश करावे लागेल. विशेषतः EAP-TLS साठी, तुम्हाला क्लायंट सर्टिफिकेट्सची देखील आवश्यकता असते. Active Directory एन्व्हायरमेंटमध्ये, डोमेन-जॉइन केलेल्या डिव्हाइसेसवर सर्टिफिकेट्स पुश करण्यासाठी तुम्ही ग्रुप पॉलिसीद्वारे ऑटो-एन्रोलमेंटसह ADCS वापराल. BYOD डिव्हाइसेससाठी, सर्टिफिकेट आणि WiFi प्रोफाइल दोन्ही पुश करण्यासाठी तुम्ही तुमचे MDM - Intune, Jamf, VMware Workspace ONE - वापराल. ऍक्सेस पॉईंटच्या बाजूने, कॉन्फिगरेशन सोपे आहे. तुम्ही एक नवीन SSID तयार करता, सिक्युरिटी WPA2-Enterprise किंवा WPA3-Enterprise वर सेट करता, RADIUS ऑथेंटिकेशन सर्व्हरला UDP पोर्ट 1812 वर तुमच्या NPS IP कडे निर्देशित करता, UDP पोर्ट 1813 वर RADIUS अकाउंटिंग सर्व्हर सेट करता, शेअर्ड सिक्रेट एंटर करता, आणि तुम्ही वापरत असल्यास डायनॅमिक VLAN असाइनमेंट सक्षम करता. बऱ्याच एंटरप्राइझ AP प्लॅटफॉर्म्सवर - जसे की Cisco Meraki, Aruba, Ruckus, Extreme - यासाठी एक GUI असते, ज्यासाठी तुमचा RADIUS सर्व्हर तयार झाल्यावर साधारण दहा मिनिटे लागतात. [अमलबजावणीच्या शिफारसी आणि अडचणी - साधारण २ मिनिटे] चला, आता डिप्लोयमेंट कुठे चुकतात याबद्दल बोलूया, कारण याच ठिकाणी मला माझी कन्सल्टन्सी फी मिळते. सर्वात सामान्य बिघाडाचा मुद्दा म्हणजे सर्टिफिकेट व्हॅलिडेशन. मी संस्थांना सर्व्हरच्या बाजूने PEAP-MSCHAPv2 योग्यरित्या डिप्लोय करताना पाहिले आहे, परंतु नंतर क्लायंट सप्लिकंट प्रोफाइल्स कोणतेही सर्टिफिकेट स्वीकारण्यासाठी कॉन्फिगर केलेले सोडले जाते. हे सुरक्षा मॉडेलला पूर्णपणे कमकुवत करते. प्रत्येक सप्लिकंट प्रोफाइल - मग ते ग्रुप पॉलिसीद्वारे पुश केले असो किंवा MDM द्वारे - विश्वसनीय रूट CA आणि अपेक्षित सर्व्हरचे नाव निर्दिष्ट केले पाहिजे. त्याशिवाय, तुम्ही इव्हिल ट्विन अटॅक्ससाठी असुरक्षित आहात. दुसरी सामान्य समस्या म्हणजे RADIUS शेअर्ड सिक्रेट मॅनेजमेंट. मी प्रोडक्शन नेटवर्क्स शेअर्ड सिक्रेट "radius" किंवा व्हेंडर डिफॉल्टवर सेट करून चालताना पाहिले आहेत. ही सिक्रेट्स तुमच्या ऑथेंटिकेशन इन्फ्रास्ट्रक्चरच्या किल्ल्या आहेत. ती रँडमली जनरेट करा, सिक्रेट्स मॅनेजरमध्ये स्टोअर करा, आणि वेळापत्रकानुसार रोटेट करा. तिसरे: VLAN मिसकॉन्फिगरेशन. डायनॅमिक VLAN असाइनमेंट शक्तिशाली आहे - हे तुम्हाला कर्मचाऱ्यांचे डिव्हाइसेस कॉर्पोरेट VLAN वर, कंत्राटदारांचे डिव्हाइसेस मर्यादित VLAN वर, आणि IoT डिव्हाइसेस एकाच SSID वरून आयसोलेटेड VLAN वर ठेवण्याची परवानगी देते. परंतु जर RADIUS ॲट्रिब्युट्स योग्यरित्या कॉन्फिगर केले नसतील, किंवा स्विच ट्रंक पोर्ट्स योग्य VLANs वाहून नेत नसतील, तर डिव्हाइसेस एकतर कनेक्ट होण्यास अपयशी ठरतील किंवा चुकीच्या सेगमेंटवर जातील. प्रोडक्शनमध्ये आणण्यापूर्वी लॅबमध्ये याची पूर्ण चाचणी घ्या. चौथे: रिडंडन्सी. तुमचे RADIUS सर्व्हर आता इन्फ्रास्ट्रक्चरचा एक अत्यंत महत्त्वाचा भाग आहे. जर ते बंद पडले, तर कोणीही कनेक्ट होऊ शकणार नाही. तुम्हाला प्रत्येक AP वर किमान एक प्रायमरी आणि सेकंडरी RADIUS सर्व्हर कॉन्फिगर करणे आवश्यक आहे. मोठ्या उपयोजनांमध्ये (deployments), हेल्थ मॉनिटरिंगसह RADIUS प्रॉक्सी क्लस्टर्सचा विचार करा. पाचवे, आणि हे विशेषतः हॉस्पिटॅलिटी आणि रिटेल वातावरणासाठी आहे: अतिथी (guest) विरुद्ध कॉर्पोरेट वेगळे करणे. तुमचे 802.1X कॉर्पोरेट SSID आणि तुमचे अतिथी WiFi SSID पूर्णपणे वेगळे असावे - वेगवेगळे VLANs, वेगवेगळे फायरवॉल पॉलिसी आणि वेगवेगळे DNS. Purple सारखे प्लॅटफॉर्म त्याच्या स्वतःच्या Captive Portal आणि ॲनालिटिक्स लेयरसह अतिथी बाजू हाताळते, तर तुमचे 802.1X इन्फ्रास्ट्रक्चर कॉर्पोरेट बाजू हाताळते. या परस्परपूरक प्रणाली आहेत, एकमेकांशी स्पर्धा करणाऱ्या नाहीत. [रॅपिड-फायर प्रश्नोत्तरे - साधारण १ मिनिट] मला वारंवार विचारले जाणारे प्रश्न पाहू द्या. मी क्लाउड-मॅनेज्ड AP प्लॅटफॉर्मवर 802.1X चालवू शकतो का? होय - Meraki, Aruba Central, आणि Ruckus Cloud हे सर्व याला सपोर्ट करतात. तुम्ही क्लाउड डॅशबोर्डमध्ये RADIUS सर्व्हरचे तपशील कॉन्फिगर करता आणि APs EAP प्रॉक्सींग हाताळतात. मला Active Directory ची गरज आहे का? नाही. FreeRADIUS हे LDAP, SQL डेटाबेस, फ्लॅट फाइल्स किंवा अगदी REST APIs च्या साहाय्याने देखील प्रमाणीकरण (authenticate) करू शकते. परंतु NPS द्वारे AD इंटिग्रेशन हा आतापर्यंतचा सर्वात सामान्य कॉर्पोरेट मार्ग आहे. 802.1X ला सपोर्ट न करणाऱ्या IoT डिव्हाइसेसचे काय? पर्याय म्हणून MAC Authentication Bypass - MAB - चा वापर करा. डिव्हाइसचा MAC ॲड्रेस RADIUS कडे युझरनेम आणि पासवर्ड म्हणून पाठवला जातो. हे EAP इतके सुरक्षित नाही, परंतु यामुळे तुम्हाला IoT डिव्हाइसेसना मर्यादित VLAN मध्ये ठेवून त्यांना ऑनबोर्ड करण्याची परवानगी मिळते. 802.1X हे WPA3 सोबत काम करते का? होय. WPA3-Enterprise म्हणजे मूलतः 802.1X प्रमाणीकरणासह असणारे WPA3 आहे. हे अधिक मजबूत एन्क्रिप्शन जोडते - हाय-सिक्युरिटी मोडमध्ये 192-बिट - आणि नवीन उपयोजनांसाठी हा शिफारसीय मानक आहे. [सारांश आणि पुढील पावले - साधारण १ मिनिट] थोडक्यात सांगायचे तर: 802.1X ही केवळ एक सोयीची गोष्ट नाही. संवेदनशील डेटा हाताळणाऱ्या, पेमेंट प्रक्रियेत असणाऱ्या किंवा नियमन केलेल्या वातावरणात काम करणाऱ्या कोणत्याही संस्थेसाठी, हे कॉर्पोरेट WiFi सुरक्षेचे मूळ आधार आहे. याचे आर्किटेक्चर सुस्थापित आहे, टूल्स प्रगत आहेत आणि उपयोजनाचा मार्ग स्पष्ट आहे. तुमच्या EAP पद्धतीच्या निवडीपासून सुरुवात करा - जर तुम्हाला जलद काम आणि व्यापक सुसंगतता हवी असेल तर PEAP-MSCHAPv2, आणि जर तुमच्याकडे PKI इन्फ्रास्ट्रक्चर असेल आणि सर्वात मजबूत सुरक्षा हवी असेल तर EAP-TLS निवडा. तुम्ही एकाही AP ला स्पर्श करण्यापूर्वी तुमचे RADIUS सर्व्हर कॉन्फिगर आणि रिडंडंट करा. तुम्ही लाईव्ह जाण्यापूर्वी Group Policy किंवा MDM द्वारे तुमचे सप्लिकंट प्रोफाइल्स पुश करा. आणि तुमचे अतिथी WiFi पूर्णपणे वेगळे ठेवा - त्या लेयरसाठी विशेषतः तयार केलेल्या प्लॅटफॉर्मचा वापर करा. जर तुम्ही मल्टि-व्हेन्यू वातावरणात काम करत असाल - हॉटेल्स, रिटेल चेन्स, स्टेडियम्स - तर साइट्सच्या संख्येनुसार गुंतागुंत वाढते, परंतु आर्किटेक्चर बदलत नाही. याची मुख्य गुरुकिल्ली म्हणजे साइट-लोकल रिडंडन्सीसह सेंट्रलाइज्ड RADIUS आणि तुमच्या संपूर्ण डिव्हाइस ताफ्यामध्ये सातत्यपूर्ण MDM-पुश केलेले सप्लिकंट प्रोफाइल असणे होय.ऐकल्याबद्दल धन्यवाद. संपूर्ण लेखी मार्गदर्शक, आर्किटेक्चर आकृत्या आणि कॉन्फिगरेशन चेकलिस्ट purple.ai वर उपलब्ध आहेत. जर तुम्ही 802.1X उपयोजनाचे नियोजन करत असाल आणि तुमच्या वातावरणाच्या विशिष्ट बाबींवर चर्चा करू इच्छित असाल, तर थेट Purple टीमशी संपर्क साधा.

header_image.png

मुख्य सारांश (Executive Summary)

एंटरप्राइज नेटवर्कसाठी, कॉर्पोरेट इन्फ्रास्ट्रक्चरचे रक्षण करण्यासाठी सामायिक PSK (pre-shared key) आता पुरेसा नाही. संस्थांना अधिक कडक अनुपालन आवश्यकता (PCI-DSS, GDPR) आणि वाढत्या सायबर हल्ल्यांचा सामना करावा लागत असल्याने, 802.1X ऑथेंटिकेशनवर स्थलांतरित होणे हे एक अत्यंत महत्त्वाचे सुरक्षा पाऊल बनले आहे.

हे मार्गदर्शक एंटरप्राइज ॲक्सेस पॉइंट्सवर 802.1X कॉन्फिगर करण्यासाठी एक व्यावहारिक, व्हेंडर-निरपेक्ष अंमलबजावणी मार्गदर्शक प्रदान करते. आम्ही मुख्य आर्किटेक्चर - सप्लिकंट (supplicant), ऑथेंटिकेटर (authenticator), आणि ऑथेंटिकेशन सर्व्हर - तसेच सर्टिफिकेट मॅनेजमेंट, RADIUS कॉन्फिगरेशन आणि अंमलबजावणी दरम्यान येणाऱ्या सामान्य अडचणी कव्हर करतो. रिटेल, हॉस्पिटॅलिटी किंवा सार्वजनिक क्षेत्रातील वातावरणात कार्यरत असलेल्या IT मॅनेजर्स आणि नेटवर्क आर्किटेक्ट्ससाठी, हा संदर्भ कॉर्पोरेट आणि अतिथी (guest) ट्रॅफिक पूर्णपणे वेगळे ठेवून मजबूत, ओळख-आधारित नेटवर्क ॲक्सेस कंट्रोल लागू करण्यासाठी आवश्यक पावले प्रदान करतो.

आर्किटेक्चर आणि अंमलबजावणी धोरणांच्या १०-मिनिटांच्या संक्षिप्त माहितीसाठी खालील आमचे सोबती पॉडकास्ट ऐका.

सखोल अभ्यास: 802.1X आर्किटेक्चर (Deep Dive: 802.1X Architecture)

IEEE 802.1X मानक पोर्ट-आधारित नेटवर्क ॲक्सेस कंट्रोल परिभाषित करते. एका वायरलेस WiFi वातावरणात, क्लायंट डिव्हाइसेसनी केंद्रीय डिरेक्टरीमध्ये यशस्वीरित्या ऑथेंटिकेट केल्याशिवाय हे त्यांना डेटा ट्रॅफिक पाठवण्यापासून किंवा प्राप्त करण्यापासून रोखते.

architecture_overview.png

तीन मुख्य घटक (The Three Core Components)

  1. सप्लिकंट (क्लायंट डिव्हाइस) / Supplicant (Client Device): प्रवेशाची विनंती करणाऱ्या लॅपटॉप, स्मार्टफोन किंवा IoT डिव्हाइसवरील सॉफ्टवेअर. याने निवडलेल्या EAP (Extensible Authentication Protocol) पद्धतीला सपोर्ट करणे आवश्यक आहे.
  2. ऑथेंटिकेटर (ॲक्सेस पॉइंट/WLC) / Authenticator (Access Point/WLC): गेटकीपर म्हणून काम करणारे नेटवर्क डिव्हाइस. हे एक "नियंत्रित पोर्ट" उघडते जे ऑथेंटिकेशन यशस्वी होईपर्यंत केवळ EAP ट्रॅफिकला अनुमती देते.
  3. ऑथेंटिकेशन सर्व्हर / Authentication Server (RADIUS): केंद्रीय सर्व्हर (उदा. Microsoft NPS, FreeRADIUS, Cisco ISE) जो एखाद्या आयडेंटिटी स्टोअरच्या विरुद्ध क्रेडेंशियल्सची पडताळणी करतो आणि Access-Accept किंवा Access-Reject संदेश पाठवतो.

EAP पद्धती: योग्य सुरक्षा धोरण निवडणे (EAP Methods: Choosing the Right Security Posture)

EAP पद्धतीची निवड तुमची सुरक्षा पातळी आणि अंमलबजावणीची गुंतागुंत ठरवते.

eap_comparison_chart.png

  • EAP-TLS (Transport Layer Security): सुवर्ण मानक. सर्व्हर आणि क्लायंट दोन्हीवर प्रमाणपत्रांची आवश्यकता असते. कोणतेही पासवर्ड ट्रान्समिट केले जात नाहीत. उच्च-सुरक्षा वातावरणासाठी अत्यंत महत्त्वाचे, परंतु यासाठी संपूर्ण पब्लिक की इन्फ्रास्ट्रक्चर (PKI) आवश्यक आहे.
  • PEAP-MSCHAPv2 (Protected EAP): सर्वात सामान्य एंटरप्राइझ उपयोजन. एक सुरक्षित TLS टनेल तयार करण्यासाठी सर्व्हर-साइड प्रमाणपत्र वापरते ज्यामध्ये क्लायंट युझरनेम आणि पासवर्ड पाठवतो. उपयोजित करण्यासाठी सोपे आहे, परंतु क्लायंट डिव्हाइसेसना सर्व्हर प्रमाणपत्राचे काटेकोरपणे प्रमाणीकरण करण्यासाठी कॉन्फिगर केले नसल्यास क्रेडेंशियल हार्वेस्टिंगसाठी असुरक्षित आहे.
  • EAP-SIM/AKA: प्रमाणीकरणासाठी SIM कार्ड क्रेडेंशियलचा वापर करते. अखंड ऑनबोर्डिंगसाठी परिवहन हब आणि मोठ्या सार्वजनिक ठिकाणी वाढत्या प्रमाणात संबंधित आहे.

अंमलबजावणी मार्गदर्शक: टप्प्याटप्प्याने कॉन्फिगरेशन

802.1X उपयोजित करण्यासाठी तुमच्या RADIUS सर्व्हर, ॲक्सेस पॉइंट्स आणि क्लायंट डिव्हाइसेसवर समन्वित कॉन्फिगरेशन आवश्यक आहे.

टप्पा १: RADIUS सर्व्हरची तयारी

तुम्ही Microsoft Network Policy Server (NPS) किंवा दुसरा पर्याय वापरत असलात तरीही, मुख्य तत्त्वे समानच राहतात.

१. RADIUS क्लायंट्स परिभाषित करा: RADIUS सर्व्हरमध्ये प्रत्येक ॲक्सेस पॉइंट (किंवा वायरलेस कंट्रोलर) नोंदणीकृत करा. AP आणि RADIUS सर्व्हरमधील संप्रेषण सुरक्षित करण्यासाठी एक मजबूत, यादृच्छिकपणे जनरेट केलेला शेअर्ड सिक्रेट (किमान २२ वर्ण) नियुक्त करा. २. सर्व्हर प्रमाणपत्र इंस्टॉल करा: PEAP किंवा EAP-TLS साठी, RADIUS सर्व्हरवर X.509 प्रमाणपत्र इंस्टॉल करा. विश्वसनीय सार्वजनिक प्रमाणपत्र प्राधिकरणाचे (CA) प्रमाणपत्र वापरल्याने BYOD उपयोजन सुलभ होते, कारण रूट प्रमाणपत्र क्लायंट ऑपरेटिंग सिस्टम्सद्वारे आधीपासूनच विश्वसनीय असते.

टप्पा २: पॉलिसी कॉन्फिगरेशन

ओळखीच्या आधारे ॲक्सेस निश्चित करण्यासाठी नेटवर्क पॉलिसी कॉन्फिगर करा.

१. कनेक्शन रिक्वेस्ट पॉलिसी: RADIUS सर्व्हर इनकमिंग विनंत्या कशा हाताळतो हे परिभाषित करा. सामान्यतः, यामध्ये NAS-Port-Type (Wireless - IEEE 802.11) जुळवणे आणि विनंत्यांचे स्थानिक पातळीवर प्रमाणीकरण करणे समाविष्ट असते. २. नेटवर्क पॉलिसी: Active Directory ग्रुप्सना नेटवर्क ॲक्सेस विशेषाधिकारांशी मॅप करा. उदाहरणार्थ, कॉर्पोरेट VLAN ला "Domain Computers" ग्रुप मॅप करा. यशस्वी प्रमाणीकरणानंतर डायनॅमिकपणे VLAN नियुक्त करण्यासाठी RADIUS गुणधर्म (Tunnel-Type=VLAN, Tunnel-Medium-Type=802, Tunnel-Private-Group-ID=[VLAN_ID]) वापरा.

टप्पा ३: ॲक्सेस पॉइंट कॉन्फिगरेशन

तुमच्या वायरलेस इन्फ्रास्ट्रक्चरवर (उदा. Meraki, Aruba, Cisco) SSID कॉन्फिगर करा.

१. एक नवीन SSID तयार करा आणि सुरक्षा प्रकार म्हणून WPA2-Enterprise किंवा WPA3-Enterprise निवडा. २. तुमच्या प्राथमिक आणि दुय्यम RADIUS सर्व्हरचे IP पत्ते प्रविष्ट करा. ३. टप्पा १ मध्ये परिभाषित केलेला शेअर्ड सिक्रेट प्रविष्ट करा. ४. जर तुमचा RADIUS सर्व्हर VLAN गुणधर्म पुश करत असेल तर Dynamic VLAN Assignment सक्षम करा.

टप्पा ४: क्लायंट सप्लिकंट कॉन्फिगरेशन

हा सर्वात महत्त्वाचा आणि बऱ्याचदा दुर्लक्षित केला जाणारा टप्पा आहे. वापरकर्त्यांनी त्यांची डिव्हाइसेस स्वहस्ते कॉन्फिगर करण्यावर अवलंबून राहू नका.

  • कॉर्पोरेट उपकरणे: WiFi प्रोफाइल पुश करण्यासाठी ग्रुप पॉलिसी ऑब्जेक्ट्स (GPO) किंवा तुमच्या मोबाईल डिव्हाइस मॅनेजमेंट (MDM) प्लॅटफॉर्मचा वापर करा. मॅन-इन-द-मिडल (इव्हिल ट्विन) हल्ले रोखण्यासाठी प्रोफाइलमध्ये विश्वसनीय रूट CA आणि RADIUS सर्व्हर्सचे अचूक सर्व्हर नाव स्पष्टपणे नमूद केलेले असणे आवश्यक आहे.
  • BYOD: कर्मचाऱ्यांच्या मालकीच्या उपकरणांवर सुरक्षित प्रोफाइल पुश करण्यासाठी ऑनबोर्डिंग पोर्टल किंवा MDM सोल्यूशन लागू करा.

सर्वोत्तम पद्धती आणि उद्योग मानके

एक मजबूत उपयोजन सुनिश्चित करण्यासाठी, या आर्किटेक्चरल सर्वोत्तम पद्धतींचे अनुसरण करा:

  1. कडक प्रमाणपत्र प्रमाणीकरण लागू करा (Enforce Strict Certificate Validation): क्लायंटला कोणत्याही सर्व्हरचे प्रमाणपत्र आंधळेपणाने स्वीकारण्याची परवानगी कधीही देऊ नका. PEAP क्रेडेंशियल हार्वेस्टिंगसाठी हा प्राथमिक मार्ग आहे.
  2. गेस्ट ट्रॅफिक वेगळे करा: तुमची 802.1X पायाभूत सुविधा कॉर्पोरेट प्रवेशासाठी आहे. गेस्ट ट्रॅफिक पूर्णपणे वेगळे राहिले पाहिजे. स्वतःचे Captive Portal आणि विश्लेषण लेयर असलेले एक समर्पित Guest WiFi प्लॅटफॉर्म उपयोजित करा. आमच्या Securing Your Network: Robust DNS and Security मार्गदर्शकामध्ये चर्चा केल्याप्रमाणे, नेटवर्क संरक्षणासाठी लॉजिकल आयसोलेशन मूलभूत आहे.
  3. रिडंडन्सी लागू करा: RADIUS ही एक महत्त्वपूर्ण मार्ग सेवा (critical path service) आहे. प्राथमिक आणि दुय्यम RADIUS सर्व्हर्स उपयोजित करा. मोठ्या किरकोळ विक्री साखळ्यांसारख्या वितरित वातावरणात, WAN लिंक खंडित झाल्यास जगण्याची क्षमता राखण्यासाठी स्थानिक RADIUS प्रॉक्सीचा विचार करा.

त्रुटी निवारण आणि जोखीम कमी करणे

जेव्हा उपयोजन अयशस्वी होते, तेव्हा सामान्यतः काही सामान्य कॉन्फिगरेशन त्रुटी कारणीभूत असतात:

  • RADIUS टाइमआउट त्रुटी: सहसा AP आणि RADIUS सर्व्हरमधील शेअर केलेला सिक्रेट जुळत नसल्यामुळे किंवा UDP पोर्ट्स 1812 (प्रमाणीकरण) आणि 1813 (अकाउंटिंग) ब्लॉक करणाऱ्या फायरवॉल नियमांमुळे होते.
  • क्लायंट नमुद केलेले नकार (Client Rejections): RADIUS इव्हेंट लॉग तपासा (उदा. Windows इव्हेंट व्ह्यूअर -> कस्टम व्ह्यूज -> सर्व्हर रोल्स -> नेटवर्क पॉलिसी आणि ऍक्सेस सर्व्हिसेस). इव्हेंट ID 6273 शोधा. सामान्य कारणांमध्ये कालबाह्य झालेली क्लायंट प्रमाणपत्रे किंवा क्लायंट सर्व्हरच्या प्रमाणपत्र साखळीवर विश्वास ठेवण्यास अपयशी ठरणे समाविष्ट आहे.
  • VLAN असाइनमेंट अयशस्वी होणे: प्रमाणीकरण यशस्वी झाले परंतु क्लायंटला IP पत्ता मिळाला नाही, तर AP शी कनेक्ट केलेला स्विच पोर्ट ट्रंक पोर्ट म्हणून कॉन्फिगर केला असल्याची खात्री करा, जो डायनॅमिकली असाइन केलेल्या VLANs ला अनुमती देतो.

ROI आणि व्यावसायिक प्रभाव

802.1X लागू केल्याने महत्त्वपूर्ण ऑपरेशनल आणि सुरक्षा ROI मिळतो:

  • जोखीम कमी करणे: एकच PSK धोक्यात आल्याने संपूर्ण कॉर्पोरेट नेटवर्क धोक्यात येण्याचा धोका दूर होतो, ज्यामुळे PCI-DSS आणि GDPR अनुपालन प्रयत्नांना थेट पाठबळ मिळते.
  • कार्यक्षम कार्यक्षमता: प्रवेश नियंत्रण केंद्रीकृत करते. जेव्हा एखादा कर्मचारी नोकरी सोडतो, तेव्हा त्याचे Active Directory खाते निष्क्रिय केल्याने त्याचा WiFi प्रवेश त्वरित रद्द होतो. संपूर्ण एंटरप्राइझमध्ये PSK बदलण्याची गरज उरत नाही.
  • नेटवर्क दृश्यमानता: नेटवर्कवर नक्की कोण आहे आणि ते कोणते उपकरण वापरत आहेत याची तपशीलवार दृश्यमानता प्रदान करते, ज्यामुळे उत्कृष्ट क्षमता नियोजन आणि थ्रेट हंटिंग शक्य होते. क्रीडा स्टेडियम किंवा hospitality क्षेत्र यांसारख्या उच्च-घनता असलेल्या आणि गुंतागुंतीच्या वातावरणासाठी, अतिथींना प्रवेश प्रदान करत असताना कॉर्पोरेट सुरक्षा व्यवस्थापित करणे हे एक आव्हान आहे. कॉर्पोरेट मालमत्ता 802.1X सह सुरक्षित ठेवून आणि अतिथी ट्रॅफिक हाताळण्यासाठी मजबूत WiFi analytics प्लॅटफॉर्मचा वापर करून, आयटी (IT) लीडर्स सुरक्षित, स्केलेबल कनेक्टिव्हिटी देऊ शकतात जी एंटरप्राइझ आणि त्यांच्या ग्राहकांना उपयुक्त ठरते. उच्च-घनतेचे वातावरण व्यवस्थापित करण्याच्या सखोल माहितीसाठी, आमचे Zoo and Theme Park WiFi: Connectivity Guide for High-Footfall Venues पहा.

महत्वाच्या व्याख्या

802.1X

पोर्ट-आधारित नेटवर्क ऍक्सेस कंट्रोलसाठी एक IEEE मानकीकरण जे LAN किंवा WLAN शी कनेक्ट होऊ इच्छिणाऱ्या डिव्हाइसेसना ऑथेंटिकेशन मेकॅनिझम प्रदान करते.

एंटरप्राइझ WiFi सुरक्षेसाठी पायाभूत प्रोटोकॉल, जो असुरक्षित सामायिक पासवर्ड्सची जागा घेतो.

Supplicant

नेटवर्कमध्ये प्रवेशाची विनंती करणारे क्लायंट डिव्हाइस किंवा सॉफ्टवेअर ॲप्लिकेशन.

सुरक्षित कनेक्शन सुनिश्चित करण्यासाठी IT टीम्सने MDM द्वारे सप्लिकंट कॉन्फिगरेशन व्यवस्थापित केले पाहिजे.

Authenticator

नेटवर्क डिव्हाइस (Access Point किंवा Switch) जे Supplicant आणि ऑथेंटिकेशन सर्व्हर दरम्यान प्रॉक्सी म्हणून काम करून ऑथेंटिकेशन प्रक्रियेत मदत करते.

EAP ट्रॅफिक सुरक्षितपणे फॉरवर्ड करण्यासाठी RADIUS सर्व्हर IP आणि सामायिक सीक्रेटसह कॉन्फिगर केलेले असते.

RADIUS

रिमोट ऑथेंटिकेशन डायल-इन युझर सर्व्हिस; एक नेटवर्किंग प्रोटोकॉल जो केंद्रीकृत ऑथेंटिकेशन, ऑथरायझेशन आणि अकाउंटिंग (AAA) व्यवस्थापन प्रदान करतो.

बॅकएंड सर्व्हर (जसे की Microsoft NPS) जो डिरेक्टरीच्या आधारे वापरकर्त्याच्या क्रेडेंशियल्सचे प्रमाणीकरण करतो.

EAP (Extensible Authentication Protocol)

वायरलेस नेटवर्क्स आणि पॉइंट-टू-पॉइंट कनेक्शन्समध्ये वारंवार वापरले जाणारे ऑथेंटिकेशन फ्रेमवर्क, जे एकाधिक ऑथेंटिकेशन पद्धतींना सपोर्ट करते.

Supplicant आणि RADIUS सर्व्हर दरम्यान बोलली जाणारी 'भाषा'.

EAP-TLS

एक EAP पद्धत जी ट्रान्सपोर्ट लेअर सिक्युरिटी वापरते, ज्यासाठी परस्पर ऑथेंटिकेशनसाठी सर्व्हर आणि क्लायंट-साइड दोन्ही सर्टिफिकेट्सची आवश्यकता असते.

उपलब्ध असलेली सर्वात सुरक्षित पद्धत, जी बऱ्याचदा उच्च-सुरक्षा किंवा वर्गीकृत वातावरणासाठी अनिवार्य असते.

PEAP

Protected Extensible Authentication Protocol; हे एका एन्क्रिप्टेड आणि ऑथेंटिकेटेड TLS टनेलमध्ये EAP समाविष्ट करते.

सर्वात मोठ्या प्रमाणावर तैनात केलेली एंटरप्राइझ पद्धत, ज्यामध्ये केवळ सर्व्हर-साइड प्रमाणपत्र आवश्यक ठेवून तैनात करण्याच्या सुलभतेसह सुरक्षिततेचा समतोल साधला जातो.

Dynamic VLAN Assignment

अशी प्रक्रिया जिथे एक RADIUS सर्व्हर ॲक्सेस पॉईंटला ऑथेंटिकेटेड वापरकर्त्याला त्यांच्या डिरेक्टरी ग्रुप मेंबरशिपच्या आधारे विशिष्ट VLAN वर ठेवण्याचे निर्देश देतो.

फक्त एकच कॉर्पोरेट SSID ब्रॉडकास्ट करताना नेटवर्क ट्रॅफिकचे वर्गीकरण करण्यासाठी (उदा. HR, Engineering आणि IoT उपकरणांना वेगळे करणे) अत्यंत महत्त्वाचे आहे.

सोडवलेली उदाहरणे

एका ३०० खोल्यांच्या लक्झरी हॉटेलला त्यांच्या बॅक-ऑफ-हाऊस ऑपरेशनल नेटवर्कला (कर्मचाऱ्यांचे टॅब्लेट, VoIP फोन, मॅनेजमेंट लॅपटॉप) सुरक्षित करायचे आहे आणि ते अतिथी नेटवर्कपासून पूर्णपणे वेगळे ठेवायचे आहे. ते सध्या कर्मचाऱ्यांसाठी एकच PSK वापरतात.

  1. हॉटेलच्या सध्याच्या ॲक्टिव्ह डिरेक्टरीशी लिंक केलेले Microsoft NPS डिप्लॉय करा.
  2. टॅब्लेट ऑनबोर्डिंग सोपे करण्यासाठी NPS सर्व्हरवर सार्वजनिक सर्टिफिकेट (उदा. DigiCert) वापरून, PEAP-MSCHAPv2 कॉन्फिगर करा.
  3. APs वर 802.1X SSID ('Hotel_Ops') तयार करा.
  4. सर्व कर्मचाऱ्यांच्या टॅब्लेट आणि लॅपटॉपवर 'Hotel_Ops' WiFi प्रोफाइल पुश करण्यासाठी हॉटेलचे MDM प्लॅटफॉर्म वापरा, हे प्रोफाइल DigiCert रूट CA वर विश्वास ठेवण्यासाठी आणि NPS सर्व्हर नावाचे प्रमाणीकरण करण्यासाठी स्पष्टपणे कॉन्फिगर करा.
  5. सध्याचे ओपन गेस्ट SSID तसेच सुरू ठेवा, जे अटी स्वीकारण्यासाठी आणि ॲनालिटिक्ससाठी Purple च्या captive portal द्वारे रूट केले जाईल, आणि अतिथी VLANs ऑपरेशनल VLANs शी जोडले जाणार नाहीत याची खात्री करा.
परीक्षकाचे भाष्य: हा दृष्टिकोन डिप्लॉयमेंटच्या गुंतागुंतीसह सुरक्षेचा समतोल राखतो. RADIUS सर्व्हरवर सार्वजनिक सर्टिफिकेट वापरून, हॉटेल संपूर्ण PKI डिप्लॉय करण्याचा अतिरिक्त खर्च टाळते आणि त्याच वेळी सामायिक PSK चा धोका देखील दूर करते. VLANs आणि स्वतंत्र ऑथेंटिकेशन मेकॅनिझमद्वारे अतिथी आणि कॉर्पोरेट ट्रॅफिकचे कठोर वर्गीकरण हॉटेलच्या पॉइंट-ऑफ-सेल सिस्टमसाठी PCI-DSS आवश्यकतांशी सुसंगत आहे.

एक युनिव्हर्सिटी कॅम्पस 802.1X वर स्थलांतरित होत आहे आणि त्यांना विविध ऑपरेटिंग सिस्टम्सवरील १५,००० विद्यार्थ्यांसाठी एका मोठ्या BYOD वातावरणास सपोर्ट देणे आवश्यक आहे.

  1. लोड बॅलन्सिंगसह एक मजबूत RADIUS क्लस्टर (उदा. FreeRADIUS किंवा Cisco ISE) डिप्लॉय करा.
  2. व्यापक डिव्हाइस सुसंगततेसाठी PEAP-MSCHAPv2 लागू करा.
  3. एक ऑनबोर्डिंग पोर्टल (उदा. SecureW2) डिप्लॉय करा जे विद्यार्थ्यांच्या डिव्हाइस सप्लिकंटला योग्य EAP सेटिंग्ज वापरण्यासाठी आणि युनिव्हर्सिटीच्या RADIUS सर्व्हर सर्टिफिकेटवर विश्वास ठेवण्यासाठी स्वयंचलितपणे कॉन्फिगर करते.
  4. ब्रॉडकास्ट डोमेन्स व्यवस्थापित करण्यासाठी विद्यार्थ्यांच्या कॅम्पसच्या स्थानावर आधारित त्यांना योग्य सबनेटमध्ये ठेवण्यासाठी RADIUS ॲट्रिब्युट्सद्वारे डायनॅमिक VLAN असाइनमेंट वापरा.
परीक्षकाचे भाष्य: उच्च शिक्षण क्षेत्रात, BYOD हे मुख्य आव्हान आहे. विद्यार्थ्यांद्वारे मॅन्युअल कॉन्फिगरेशनवर अवलंबून राहिल्याने हेल्पडेस्क तिकीटांची संख्या वाढणे आणि असुरक्षित कॉन्फिगरेशन (वापरकर्त्यांनी अवैध सर्टिफिकेट्स स्वीकारणे) निश्चित आहे. ऑनबोर्डिंग पोर्टल हा येथील सर्वात महत्त्वाचा यशस्वी घटक आहे, जो क्रेडेंशियल हार्वेस्टिंग रोखण्यासाठी सप्लिकंट लॉक डाउन असल्याची खात्री करतो.

सराव प्रश्न

Q1. तुमची संस्था PEAP-MSCHAPv2 वापरून 802.1X तैनात करत आहे. चाचणी दरम्यान, वापरकर्ते नोंदवतात की पहिल्यांदा कनेक्ट करताना त्यांना 'Accept a Certificate' असा प्रॉम्प्ट मिळतो. तुम्ही याचे निराकरण कसे कराल?

टीप: वापरकर्त्यांना नेटवर्क इन्फ्रास्ट्रक्चरबाबत विश्वासाचे निर्णय घेण्याची परवानगी देण्याच्या सुरक्षिततेवरील परिणामांचा विचार करा.

नमुना उत्तर पहा

तुम्ही RADIUS सर्व्हरचे प्रमाणपत्र जारी करणाऱ्या Root CA वर स्पष्टपणे विश्वास ठेवण्यासाठी आणि विशिष्ट सर्व्हरचे नाव प्रमाणित करण्यासाठी MDM किंवा ग्रुप पॉलिसीद्वारे क्लायंट सप्लिकंट प्रोफाइल्स कॉन्फिगर करणे आवश्यक आहे. प्रमाणपत्रे मॅन्युअली स्वीकारण्यासाठी वापरकर्त्यांवर अवलंबून राहिल्याने त्यांना सुरक्षिततेच्या इशाऱ्यांकडे दुर्लक्ष करण्याचे प्रशिक्षण मिळते आणि नेटवर्क Evil Twin (क्रेडेन्शियल हार्वेस्टिंग) हल्ल्यांसाठी असुरक्षित राहते.

Q2. तुम्हाला वेअरहाऊस बारकोड स्कॅनरचा समूह सुरक्षित करायचा आहे. ते WPA2-Enterprise ला सपोर्ट करतात परंतु त्यांच्याकडे क्लायंट प्रमाणपत्रे स्थापित करण्याची किंवा Active Directory मध्ये सामील होण्याची कोणतीही यंत्रणा नाही. सर्वात सुरक्षित तैनातीचा दृष्टिकोन कोणता आहे?

टीप: क्लायंट-साइड प्रमाणपत्रांची आवश्यकता नसलेल्या परंतु तरीही एन्क्रिप्टेड ऑथेंटिकेशन प्रदान करणाऱ्या EAP पद्धतींचे मूल्यांकन करा.

नमुना उत्तर पहा

PEAP-MSCHAPv2 तैनात करा. स्कॅनरसाठी तुमच्या डिरेक्टरीमध्ये एक समर्पित सर्व्हिस अकाउंट तयार करा. TLS टनेल स्थापित करण्यासाठी सर्व्हर प्रमाणपत्रासह RADIUS सर्व्हर कॉन्फिगर करा आणि टनेलच्या आत सर्व्हिस अकाउंट क्रेडेन्शियल्स वापरून ऑथेंटिकेट करण्यासाठी स्कॅनर कॉन्फिगर करा. RADIUS पॉलिसी या सर्व्हिस अकाउंटला एका विशिष्ट, वेगळ्या वेअरहाऊस VLAN पुरते मर्यादित ठेवते याची खात्री करा.

Q3. APs आणि RADIUS सर्व्हर कॉन्फिगर केल्यानंतर, क्लायंट उपकरणे यशस्वीरित्या ऑथेंटिकेट होतात (RADIUS लॉगमध्ये Access-Accept सह सत्यापित), परंतु ते IP ॲड्रेस मिळवण्यात अपयशी ठरतात आणि नेटवर्कमध्ये प्रवेश करू शकत नाहीत. सर्वात संभाव्य इन्फ्रास्ट्रक्चर समस्या कोणती आहे?

टीप: ऑथेंटिकेशन यशस्वी झाले आहे, म्हणजे 802.1X टप्पा पूर्ण झाला आहे. समस्या पुढील नेटवर्क प्रोव्हिजनिंग टप्प्यात आहे.

नमुना उत्तर पहा

सर्वात संभाव्य समस्या म्हणजे वायर्ड नेटवर्कवरील चुकीचे VLAN कॉन्फिगरेशन. जर RADIUS सर्व्हर क्लायंटला विशिष्ट VLAN वर ठेवण्यासाठी (उदा. VLAN 20) डायनॅमिक VLAN असाइनमेंट वापरत असेल, तर ॲक्सेस पॉईंटला जोडणारा स्विच पोर्ट एक 802.1Q ट्रंक पोर्ट म्हणून कॉन्फिगर केलेला असणे आवश्यक आहे जो VLAN 20 ला अनुमती देतो. जर VLAN हे AP ला ट्रंक केलेले नसेल, तर क्लायंटच्या DHCP विनंत्या ड्रॉप केल्या जातील.

या मालिकेमध्ये पुढे वाचा

Guest आणि Staff WiFi नेटवर्क्ससाठी RADIUS Authentication कॉन्फिगर करणे

हे तांत्रिक संदर्भ मार्गदर्शक एंटरप्राइझ guest आणि staff WiFi नेटवर्क्ससाठी RADIUS authentication च्या आर्किटेक्चर, कॉन्फिगरेशन आणि डिप्लॉयमेंटची रूपरेषा स्पष्ट करते. हे नेटवर्क आर्किटेक्ट्स आणि IT मॅनेजर्सना सुरक्षित, स्केलेबल वायरलेस ॲक्सेस कंट्रोल सिस्टम्स तयार करण्यासाठी आवश्यक असलेले अचूक प्रोटोकॉल्स, सुरक्षा मानके आणि ट्रबलशूटिंग पद्धती प्रदान करते.

मार्गदर्शिका वाचा →

उच्च शिक्षणामध्ये सुरक्षित BYOD आणि नेटवर्क नोंदणीसाठी SCEP कसे लागू करावे

हे तांत्रिक मार्गदर्शक नेटवर्क आर्किटेक्ट्स आणि IT व्यवस्थापकांना उच्च शिक्षण संस्थांच्या कॅम्पस नेटवर्क सुरक्षित करण्यासाठी SCEP - आधारित प्रमाणपत्र नोंदणी तैनात करण्यासाठी विक्रेता - तटस्थ ब्लूप्रिंट प्रदान करते. हे पासवर्ड - आधारित PEAP वरून 802.1X EAP-TLS वर कसे स्थलांतरित करायचे, BYOD ऑनबोर्डिंग स्वयंचलित कसे करायचे आणि मजबूत VLAN विभाजन कसे लागू करायचे याचे तपशील देते.

मार्गदर्शिका वाचा →

Server RADIUS: व्यवसायांसाठी एक सर्वसमावेशक मार्गदर्शिका

ही मार्गदर्शिका IT व्यवस्थापक, नेटवर्क आर्किटेक्ट आणि CTOs ना एंटरप्राइझ WiFi साठी server RADIUS ऑथेंटिकेशनवर एक निश्चित तांत्रिक संदर्भ प्रदान करते. यामध्ये AAA फ्रेमवर्क, 802.1X आर्किटेक्चर, EAP पद्धत निवड, क्लाउड विरुद्ध ऑन-प्रिमाइसेस डिप्लॉयमेंटचे फायदे-तोटे आणि डायनॅमिक VLAN असाइनमेंट समाविष्ट आहे. आदरातिथ्य (hospitality), रिटेल, इव्हेंट्स आणि सार्वजनिक क्षेत्रातील वेन्यू ऑपरेटर्सना असुरक्षित प्री-शेअर्ड की वरून सुरक्षित, ओळख-आधारित (identity-driven) नेटवर्क ऍक्सेस कंट्रोल आर्किटेक्चरमध्ये स्थलांतरित होण्यासाठी आवश्यक असणारे अंमलबजावणी मार्गदर्शन, वास्तविक जगातील केस स्टडीज आणि निर्णय घेण्याची फ्रेमवर्क मिळतील.

मार्गदर्शिका वाचा →