802.1X WiFi Authentication कसे कॉन्फिगर करावे: एक टप्प्याटप्प्याने मार्गदर्शक
हे तांत्रिक मार्गदर्शक 802.1X एंटरप्राइझ WiFi ऑथेंटिकेशन कॉन्फिगर करण्यासाठी टप्प्याटप्प्याने माहिती प्रदान करते. यामध्ये RADIUS सर्व्हर सेटअप, सर्टिफिकेट डिप्लॉयमेंट आणि उच्च गर्दीच्या ठिकाणांवरील IT लीडर्ससाठी व्यावहारिक डिप्लॉयमेंट धोरणे समाविष्ट आहेत.
हे मार्गदर्शक ऐका
पॉडकास्ट ट्रान्सक्रिप्ट पहा
- मुख्य सारांश (Executive Summary)
- सखोल अभ्यास: 802.1X आर्किटेक्चर (Deep Dive: 802.1X Architecture)
- तीन मुख्य घटक (The Three Core Components)
- EAP पद्धती: योग्य सुरक्षा धोरण निवडणे (EAP Methods: Choosing the Right Security Posture)
- अंमलबजावणी मार्गदर्शक: टप्प्याटप्प्याने कॉन्फिगरेशन
- टप्पा १: RADIUS सर्व्हरची तयारी
- टप्पा २: पॉलिसी कॉन्फिगरेशन
- टप्पा ३: ॲक्सेस पॉइंट कॉन्फिगरेशन
- टप्पा ४: क्लायंट सप्लिकंट कॉन्फिगरेशन
- सर्वोत्तम पद्धती आणि उद्योग मानके
- त्रुटी निवारण आणि जोखीम कमी करणे
- ROI आणि व्यावसायिक प्रभाव

मुख्य सारांश (Executive Summary)
एंटरप्राइज नेटवर्कसाठी, कॉर्पोरेट इन्फ्रास्ट्रक्चरचे रक्षण करण्यासाठी सामायिक PSK (pre-shared key) आता पुरेसा नाही. संस्थांना अधिक कडक अनुपालन आवश्यकता (PCI-DSS, GDPR) आणि वाढत्या सायबर हल्ल्यांचा सामना करावा लागत असल्याने, 802.1X ऑथेंटिकेशनवर स्थलांतरित होणे हे एक अत्यंत महत्त्वाचे सुरक्षा पाऊल बनले आहे.
हे मार्गदर्शक एंटरप्राइज ॲक्सेस पॉइंट्सवर 802.1X कॉन्फिगर करण्यासाठी एक व्यावहारिक, व्हेंडर-निरपेक्ष अंमलबजावणी मार्गदर्शक प्रदान करते. आम्ही मुख्य आर्किटेक्चर - सप्लिकंट (supplicant), ऑथेंटिकेटर (authenticator), आणि ऑथेंटिकेशन सर्व्हर - तसेच सर्टिफिकेट मॅनेजमेंट, RADIUS कॉन्फिगरेशन आणि अंमलबजावणी दरम्यान येणाऱ्या सामान्य अडचणी कव्हर करतो. रिटेल, हॉस्पिटॅलिटी किंवा सार्वजनिक क्षेत्रातील वातावरणात कार्यरत असलेल्या IT मॅनेजर्स आणि नेटवर्क आर्किटेक्ट्ससाठी, हा संदर्भ कॉर्पोरेट आणि अतिथी (guest) ट्रॅफिक पूर्णपणे वेगळे ठेवून मजबूत, ओळख-आधारित नेटवर्क ॲक्सेस कंट्रोल लागू करण्यासाठी आवश्यक पावले प्रदान करतो.
आर्किटेक्चर आणि अंमलबजावणी धोरणांच्या १०-मिनिटांच्या संक्षिप्त माहितीसाठी खालील आमचे सोबती पॉडकास्ट ऐका.
सखोल अभ्यास: 802.1X आर्किटेक्चर (Deep Dive: 802.1X Architecture)
IEEE 802.1X मानक पोर्ट-आधारित नेटवर्क ॲक्सेस कंट्रोल परिभाषित करते. एका वायरलेस WiFi वातावरणात, क्लायंट डिव्हाइसेसनी केंद्रीय डिरेक्टरीमध्ये यशस्वीरित्या ऑथेंटिकेट केल्याशिवाय हे त्यांना डेटा ट्रॅफिक पाठवण्यापासून किंवा प्राप्त करण्यापासून रोखते.

तीन मुख्य घटक (The Three Core Components)
- सप्लिकंट (क्लायंट डिव्हाइस) / Supplicant (Client Device): प्रवेशाची विनंती करणाऱ्या लॅपटॉप, स्मार्टफोन किंवा IoT डिव्हाइसवरील सॉफ्टवेअर. याने निवडलेल्या EAP (Extensible Authentication Protocol) पद्धतीला सपोर्ट करणे आवश्यक आहे.
- ऑथेंटिकेटर (ॲक्सेस पॉइंट/WLC) / Authenticator (Access Point/WLC): गेटकीपर म्हणून काम करणारे नेटवर्क डिव्हाइस. हे एक "नियंत्रित पोर्ट" उघडते जे ऑथेंटिकेशन यशस्वी होईपर्यंत केवळ EAP ट्रॅफिकला अनुमती देते.
- ऑथेंटिकेशन सर्व्हर / Authentication Server (RADIUS): केंद्रीय सर्व्हर (उदा. Microsoft NPS, FreeRADIUS, Cisco ISE) जो एखाद्या आयडेंटिटी स्टोअरच्या विरुद्ध क्रेडेंशियल्सची पडताळणी करतो आणि Access-Accept किंवा Access-Reject संदेश पाठवतो.
EAP पद्धती: योग्य सुरक्षा धोरण निवडणे (EAP Methods: Choosing the Right Security Posture)
EAP पद्धतीची निवड तुमची सुरक्षा पातळी आणि अंमलबजावणीची गुंतागुंत ठरवते.

- EAP-TLS (Transport Layer Security): सुवर्ण मानक. सर्व्हर आणि क्लायंट दोन्हीवर प्रमाणपत्रांची आवश्यकता असते. कोणतेही पासवर्ड ट्रान्समिट केले जात नाहीत. उच्च-सुरक्षा वातावरणासाठी अत्यंत महत्त्वाचे, परंतु यासाठी संपूर्ण पब्लिक की इन्फ्रास्ट्रक्चर (PKI) आवश्यक आहे.
- PEAP-MSCHAPv2 (Protected EAP): सर्वात सामान्य एंटरप्राइझ उपयोजन. एक सुरक्षित TLS टनेल तयार करण्यासाठी सर्व्हर-साइड प्रमाणपत्र वापरते ज्यामध्ये क्लायंट युझरनेम आणि पासवर्ड पाठवतो. उपयोजित करण्यासाठी सोपे आहे, परंतु क्लायंट डिव्हाइसेसना सर्व्हर प्रमाणपत्राचे काटेकोरपणे प्रमाणीकरण करण्यासाठी कॉन्फिगर केले नसल्यास क्रेडेंशियल हार्वेस्टिंगसाठी असुरक्षित आहे.
- EAP-SIM/AKA: प्रमाणीकरणासाठी SIM कार्ड क्रेडेंशियलचा वापर करते. अखंड ऑनबोर्डिंगसाठी परिवहन हब आणि मोठ्या सार्वजनिक ठिकाणी वाढत्या प्रमाणात संबंधित आहे.
अंमलबजावणी मार्गदर्शक: टप्प्याटप्प्याने कॉन्फिगरेशन
802.1X उपयोजित करण्यासाठी तुमच्या RADIUS सर्व्हर, ॲक्सेस पॉइंट्स आणि क्लायंट डिव्हाइसेसवर समन्वित कॉन्फिगरेशन आवश्यक आहे.
टप्पा १: RADIUS सर्व्हरची तयारी
तुम्ही Microsoft Network Policy Server (NPS) किंवा दुसरा पर्याय वापरत असलात तरीही, मुख्य तत्त्वे समानच राहतात.
१. RADIUS क्लायंट्स परिभाषित करा: RADIUS सर्व्हरमध्ये प्रत्येक ॲक्सेस पॉइंट (किंवा वायरलेस कंट्रोलर) नोंदणीकृत करा. AP आणि RADIUS सर्व्हरमधील संप्रेषण सुरक्षित करण्यासाठी एक मजबूत, यादृच्छिकपणे जनरेट केलेला शेअर्ड सिक्रेट (किमान २२ वर्ण) नियुक्त करा. २. सर्व्हर प्रमाणपत्र इंस्टॉल करा: PEAP किंवा EAP-TLS साठी, RADIUS सर्व्हरवर X.509 प्रमाणपत्र इंस्टॉल करा. विश्वसनीय सार्वजनिक प्रमाणपत्र प्राधिकरणाचे (CA) प्रमाणपत्र वापरल्याने BYOD उपयोजन सुलभ होते, कारण रूट प्रमाणपत्र क्लायंट ऑपरेटिंग सिस्टम्सद्वारे आधीपासूनच विश्वसनीय असते.
टप्पा २: पॉलिसी कॉन्फिगरेशन
ओळखीच्या आधारे ॲक्सेस निश्चित करण्यासाठी नेटवर्क पॉलिसी कॉन्फिगर करा.
१. कनेक्शन रिक्वेस्ट पॉलिसी: RADIUS सर्व्हर इनकमिंग विनंत्या कशा हाताळतो हे परिभाषित करा. सामान्यतः, यामध्ये NAS-Port-Type (Wireless - IEEE 802.11) जुळवणे आणि विनंत्यांचे स्थानिक पातळीवर प्रमाणीकरण करणे समाविष्ट असते.
२. नेटवर्क पॉलिसी: Active Directory ग्रुप्सना नेटवर्क ॲक्सेस विशेषाधिकारांशी मॅप करा. उदाहरणार्थ, कॉर्पोरेट VLAN ला "Domain Computers" ग्रुप मॅप करा. यशस्वी प्रमाणीकरणानंतर डायनॅमिकपणे VLAN नियुक्त करण्यासाठी RADIUS गुणधर्म (Tunnel-Type=VLAN, Tunnel-Medium-Type=802, Tunnel-Private-Group-ID=[VLAN_ID]) वापरा.
टप्पा ३: ॲक्सेस पॉइंट कॉन्फिगरेशन
तुमच्या वायरलेस इन्फ्रास्ट्रक्चरवर (उदा. Meraki, Aruba, Cisco) SSID कॉन्फिगर करा.
१. एक नवीन SSID तयार करा आणि सुरक्षा प्रकार म्हणून WPA2-Enterprise किंवा WPA3-Enterprise निवडा. २. तुमच्या प्राथमिक आणि दुय्यम RADIUS सर्व्हरचे IP पत्ते प्रविष्ट करा. ३. टप्पा १ मध्ये परिभाषित केलेला शेअर्ड सिक्रेट प्रविष्ट करा. ४. जर तुमचा RADIUS सर्व्हर VLAN गुणधर्म पुश करत असेल तर Dynamic VLAN Assignment सक्षम करा.
टप्पा ४: क्लायंट सप्लिकंट कॉन्फिगरेशन
हा सर्वात महत्त्वाचा आणि बऱ्याचदा दुर्लक्षित केला जाणारा टप्पा आहे. वापरकर्त्यांनी त्यांची डिव्हाइसेस स्वहस्ते कॉन्फिगर करण्यावर अवलंबून राहू नका.
- कॉर्पोरेट उपकरणे: WiFi प्रोफाइल पुश करण्यासाठी ग्रुप पॉलिसी ऑब्जेक्ट्स (GPO) किंवा तुमच्या मोबाईल डिव्हाइस मॅनेजमेंट (MDM) प्लॅटफॉर्मचा वापर करा. मॅन-इन-द-मिडल (इव्हिल ट्विन) हल्ले रोखण्यासाठी प्रोफाइलमध्ये विश्वसनीय रूट CA आणि RADIUS सर्व्हर्सचे अचूक सर्व्हर नाव स्पष्टपणे नमूद केलेले असणे आवश्यक आहे.
- BYOD: कर्मचाऱ्यांच्या मालकीच्या उपकरणांवर सुरक्षित प्रोफाइल पुश करण्यासाठी ऑनबोर्डिंग पोर्टल किंवा MDM सोल्यूशन लागू करा.
सर्वोत्तम पद्धती आणि उद्योग मानके
एक मजबूत उपयोजन सुनिश्चित करण्यासाठी, या आर्किटेक्चरल सर्वोत्तम पद्धतींचे अनुसरण करा:
- कडक प्रमाणपत्र प्रमाणीकरण लागू करा (Enforce Strict Certificate Validation): क्लायंटला कोणत्याही सर्व्हरचे प्रमाणपत्र आंधळेपणाने स्वीकारण्याची परवानगी कधीही देऊ नका. PEAP क्रेडेंशियल हार्वेस्टिंगसाठी हा प्राथमिक मार्ग आहे.
- गेस्ट ट्रॅफिक वेगळे करा: तुमची 802.1X पायाभूत सुविधा कॉर्पोरेट प्रवेशासाठी आहे. गेस्ट ट्रॅफिक पूर्णपणे वेगळे राहिले पाहिजे. स्वतःचे Captive Portal आणि विश्लेषण लेयर असलेले एक समर्पित Guest WiFi प्लॅटफॉर्म उपयोजित करा. आमच्या Securing Your Network: Robust DNS and Security मार्गदर्शकामध्ये चर्चा केल्याप्रमाणे, नेटवर्क संरक्षणासाठी लॉजिकल आयसोलेशन मूलभूत आहे.
- रिडंडन्सी लागू करा: RADIUS ही एक महत्त्वपूर्ण मार्ग सेवा (critical path service) आहे. प्राथमिक आणि दुय्यम RADIUS सर्व्हर्स उपयोजित करा. मोठ्या किरकोळ विक्री साखळ्यांसारख्या वितरित वातावरणात, WAN लिंक खंडित झाल्यास जगण्याची क्षमता राखण्यासाठी स्थानिक RADIUS प्रॉक्सीचा विचार करा.
त्रुटी निवारण आणि जोखीम कमी करणे
जेव्हा उपयोजन अयशस्वी होते, तेव्हा सामान्यतः काही सामान्य कॉन्फिगरेशन त्रुटी कारणीभूत असतात:
- RADIUS टाइमआउट त्रुटी: सहसा AP आणि RADIUS सर्व्हरमधील शेअर केलेला सिक्रेट जुळत नसल्यामुळे किंवा UDP पोर्ट्स 1812 (प्रमाणीकरण) आणि 1813 (अकाउंटिंग) ब्लॉक करणाऱ्या फायरवॉल नियमांमुळे होते.
- क्लायंट नमुद केलेले नकार (Client Rejections): RADIUS इव्हेंट लॉग तपासा (उदा. Windows इव्हेंट व्ह्यूअर -> कस्टम व्ह्यूज -> सर्व्हर रोल्स -> नेटवर्क पॉलिसी आणि ऍक्सेस सर्व्हिसेस). इव्हेंट ID 6273 शोधा. सामान्य कारणांमध्ये कालबाह्य झालेली क्लायंट प्रमाणपत्रे किंवा क्लायंट सर्व्हरच्या प्रमाणपत्र साखळीवर विश्वास ठेवण्यास अपयशी ठरणे समाविष्ट आहे.
- VLAN असाइनमेंट अयशस्वी होणे: प्रमाणीकरण यशस्वी झाले परंतु क्लायंटला IP पत्ता मिळाला नाही, तर AP शी कनेक्ट केलेला स्विच पोर्ट ट्रंक पोर्ट म्हणून कॉन्फिगर केला असल्याची खात्री करा, जो डायनॅमिकली असाइन केलेल्या VLANs ला अनुमती देतो.
ROI आणि व्यावसायिक प्रभाव
802.1X लागू केल्याने महत्त्वपूर्ण ऑपरेशनल आणि सुरक्षा ROI मिळतो:
- जोखीम कमी करणे: एकच PSK धोक्यात आल्याने संपूर्ण कॉर्पोरेट नेटवर्क धोक्यात येण्याचा धोका दूर होतो, ज्यामुळे PCI-DSS आणि GDPR अनुपालन प्रयत्नांना थेट पाठबळ मिळते.
- कार्यक्षम कार्यक्षमता: प्रवेश नियंत्रण केंद्रीकृत करते. जेव्हा एखादा कर्मचारी नोकरी सोडतो, तेव्हा त्याचे Active Directory खाते निष्क्रिय केल्याने त्याचा WiFi प्रवेश त्वरित रद्द होतो. संपूर्ण एंटरप्राइझमध्ये PSK बदलण्याची गरज उरत नाही.
- नेटवर्क दृश्यमानता: नेटवर्कवर नक्की कोण आहे आणि ते कोणते उपकरण वापरत आहेत याची तपशीलवार दृश्यमानता प्रदान करते, ज्यामुळे उत्कृष्ट क्षमता नियोजन आणि थ्रेट हंटिंग शक्य होते. क्रीडा स्टेडियम किंवा hospitality क्षेत्र यांसारख्या उच्च-घनता असलेल्या आणि गुंतागुंतीच्या वातावरणासाठी, अतिथींना प्रवेश प्रदान करत असताना कॉर्पोरेट सुरक्षा व्यवस्थापित करणे हे एक आव्हान आहे. कॉर्पोरेट मालमत्ता 802.1X सह सुरक्षित ठेवून आणि अतिथी ट्रॅफिक हाताळण्यासाठी मजबूत WiFi analytics प्लॅटफॉर्मचा वापर करून, आयटी (IT) लीडर्स सुरक्षित, स्केलेबल कनेक्टिव्हिटी देऊ शकतात जी एंटरप्राइझ आणि त्यांच्या ग्राहकांना उपयुक्त ठरते. उच्च-घनतेचे वातावरण व्यवस्थापित करण्याच्या सखोल माहितीसाठी, आमचे Zoo and Theme Park WiFi: Connectivity Guide for High-Footfall Venues पहा.
महत्वाच्या व्याख्या
802.1X
पोर्ट-आधारित नेटवर्क ऍक्सेस कंट्रोलसाठी एक IEEE मानकीकरण जे LAN किंवा WLAN शी कनेक्ट होऊ इच्छिणाऱ्या डिव्हाइसेसना ऑथेंटिकेशन मेकॅनिझम प्रदान करते.
एंटरप्राइझ WiFi सुरक्षेसाठी पायाभूत प्रोटोकॉल, जो असुरक्षित सामायिक पासवर्ड्सची जागा घेतो.
Supplicant
नेटवर्कमध्ये प्रवेशाची विनंती करणारे क्लायंट डिव्हाइस किंवा सॉफ्टवेअर ॲप्लिकेशन.
सुरक्षित कनेक्शन सुनिश्चित करण्यासाठी IT टीम्सने MDM द्वारे सप्लिकंट कॉन्फिगरेशन व्यवस्थापित केले पाहिजे.
Authenticator
नेटवर्क डिव्हाइस (Access Point किंवा Switch) जे Supplicant आणि ऑथेंटिकेशन सर्व्हर दरम्यान प्रॉक्सी म्हणून काम करून ऑथेंटिकेशन प्रक्रियेत मदत करते.
EAP ट्रॅफिक सुरक्षितपणे फॉरवर्ड करण्यासाठी RADIUS सर्व्हर IP आणि सामायिक सीक्रेटसह कॉन्फिगर केलेले असते.
RADIUS
रिमोट ऑथेंटिकेशन डायल-इन युझर सर्व्हिस; एक नेटवर्किंग प्रोटोकॉल जो केंद्रीकृत ऑथेंटिकेशन, ऑथरायझेशन आणि अकाउंटिंग (AAA) व्यवस्थापन प्रदान करतो.
बॅकएंड सर्व्हर (जसे की Microsoft NPS) जो डिरेक्टरीच्या आधारे वापरकर्त्याच्या क्रेडेंशियल्सचे प्रमाणीकरण करतो.
EAP (Extensible Authentication Protocol)
वायरलेस नेटवर्क्स आणि पॉइंट-टू-पॉइंट कनेक्शन्समध्ये वारंवार वापरले जाणारे ऑथेंटिकेशन फ्रेमवर्क, जे एकाधिक ऑथेंटिकेशन पद्धतींना सपोर्ट करते.
Supplicant आणि RADIUS सर्व्हर दरम्यान बोलली जाणारी 'भाषा'.
EAP-TLS
एक EAP पद्धत जी ट्रान्सपोर्ट लेअर सिक्युरिटी वापरते, ज्यासाठी परस्पर ऑथेंटिकेशनसाठी सर्व्हर आणि क्लायंट-साइड दोन्ही सर्टिफिकेट्सची आवश्यकता असते.
उपलब्ध असलेली सर्वात सुरक्षित पद्धत, जी बऱ्याचदा उच्च-सुरक्षा किंवा वर्गीकृत वातावरणासाठी अनिवार्य असते.
PEAP
Protected Extensible Authentication Protocol; हे एका एन्क्रिप्टेड आणि ऑथेंटिकेटेड TLS टनेलमध्ये EAP समाविष्ट करते.
सर्वात मोठ्या प्रमाणावर तैनात केलेली एंटरप्राइझ पद्धत, ज्यामध्ये केवळ सर्व्हर-साइड प्रमाणपत्र आवश्यक ठेवून तैनात करण्याच्या सुलभतेसह सुरक्षिततेचा समतोल साधला जातो.
Dynamic VLAN Assignment
अशी प्रक्रिया जिथे एक RADIUS सर्व्हर ॲक्सेस पॉईंटला ऑथेंटिकेटेड वापरकर्त्याला त्यांच्या डिरेक्टरी ग्रुप मेंबरशिपच्या आधारे विशिष्ट VLAN वर ठेवण्याचे निर्देश देतो.
फक्त एकच कॉर्पोरेट SSID ब्रॉडकास्ट करताना नेटवर्क ट्रॅफिकचे वर्गीकरण करण्यासाठी (उदा. HR, Engineering आणि IoT उपकरणांना वेगळे करणे) अत्यंत महत्त्वाचे आहे.
सोडवलेली उदाहरणे
एका ३०० खोल्यांच्या लक्झरी हॉटेलला त्यांच्या बॅक-ऑफ-हाऊस ऑपरेशनल नेटवर्कला (कर्मचाऱ्यांचे टॅब्लेट, VoIP फोन, मॅनेजमेंट लॅपटॉप) सुरक्षित करायचे आहे आणि ते अतिथी नेटवर्कपासून पूर्णपणे वेगळे ठेवायचे आहे. ते सध्या कर्मचाऱ्यांसाठी एकच PSK वापरतात.
- हॉटेलच्या सध्याच्या ॲक्टिव्ह डिरेक्टरीशी लिंक केलेले Microsoft NPS डिप्लॉय करा.
- टॅब्लेट ऑनबोर्डिंग सोपे करण्यासाठी NPS सर्व्हरवर सार्वजनिक सर्टिफिकेट (उदा. DigiCert) वापरून, PEAP-MSCHAPv2 कॉन्फिगर करा.
- APs वर 802.1X SSID ('Hotel_Ops') तयार करा.
- सर्व कर्मचाऱ्यांच्या टॅब्लेट आणि लॅपटॉपवर 'Hotel_Ops' WiFi प्रोफाइल पुश करण्यासाठी हॉटेलचे MDM प्लॅटफॉर्म वापरा, हे प्रोफाइल DigiCert रूट CA वर विश्वास ठेवण्यासाठी आणि NPS सर्व्हर नावाचे प्रमाणीकरण करण्यासाठी स्पष्टपणे कॉन्फिगर करा.
- सध्याचे ओपन गेस्ट SSID तसेच सुरू ठेवा, जे अटी स्वीकारण्यासाठी आणि ॲनालिटिक्ससाठी Purple च्या captive portal द्वारे रूट केले जाईल, आणि अतिथी VLANs ऑपरेशनल VLANs शी जोडले जाणार नाहीत याची खात्री करा.
एक युनिव्हर्सिटी कॅम्पस 802.1X वर स्थलांतरित होत आहे आणि त्यांना विविध ऑपरेटिंग सिस्टम्सवरील १५,००० विद्यार्थ्यांसाठी एका मोठ्या BYOD वातावरणास सपोर्ट देणे आवश्यक आहे.
- लोड बॅलन्सिंगसह एक मजबूत RADIUS क्लस्टर (उदा. FreeRADIUS किंवा Cisco ISE) डिप्लॉय करा.
- व्यापक डिव्हाइस सुसंगततेसाठी PEAP-MSCHAPv2 लागू करा.
- एक ऑनबोर्डिंग पोर्टल (उदा. SecureW2) डिप्लॉय करा जे विद्यार्थ्यांच्या डिव्हाइस सप्लिकंटला योग्य EAP सेटिंग्ज वापरण्यासाठी आणि युनिव्हर्सिटीच्या RADIUS सर्व्हर सर्टिफिकेटवर विश्वास ठेवण्यासाठी स्वयंचलितपणे कॉन्फिगर करते.
- ब्रॉडकास्ट डोमेन्स व्यवस्थापित करण्यासाठी विद्यार्थ्यांच्या कॅम्पसच्या स्थानावर आधारित त्यांना योग्य सबनेटमध्ये ठेवण्यासाठी RADIUS ॲट्रिब्युट्सद्वारे डायनॅमिक VLAN असाइनमेंट वापरा.
सराव प्रश्न
Q1. तुमची संस्था PEAP-MSCHAPv2 वापरून 802.1X तैनात करत आहे. चाचणी दरम्यान, वापरकर्ते नोंदवतात की पहिल्यांदा कनेक्ट करताना त्यांना 'Accept a Certificate' असा प्रॉम्प्ट मिळतो. तुम्ही याचे निराकरण कसे कराल?
टीप: वापरकर्त्यांना नेटवर्क इन्फ्रास्ट्रक्चरबाबत विश्वासाचे निर्णय घेण्याची परवानगी देण्याच्या सुरक्षिततेवरील परिणामांचा विचार करा.
नमुना उत्तर पहा
तुम्ही RADIUS सर्व्हरचे प्रमाणपत्र जारी करणाऱ्या Root CA वर स्पष्टपणे विश्वास ठेवण्यासाठी आणि विशिष्ट सर्व्हरचे नाव प्रमाणित करण्यासाठी MDM किंवा ग्रुप पॉलिसीद्वारे क्लायंट सप्लिकंट प्रोफाइल्स कॉन्फिगर करणे आवश्यक आहे. प्रमाणपत्रे मॅन्युअली स्वीकारण्यासाठी वापरकर्त्यांवर अवलंबून राहिल्याने त्यांना सुरक्षिततेच्या इशाऱ्यांकडे दुर्लक्ष करण्याचे प्रशिक्षण मिळते आणि नेटवर्क Evil Twin (क्रेडेन्शियल हार्वेस्टिंग) हल्ल्यांसाठी असुरक्षित राहते.
Q2. तुम्हाला वेअरहाऊस बारकोड स्कॅनरचा समूह सुरक्षित करायचा आहे. ते WPA2-Enterprise ला सपोर्ट करतात परंतु त्यांच्याकडे क्लायंट प्रमाणपत्रे स्थापित करण्याची किंवा Active Directory मध्ये सामील होण्याची कोणतीही यंत्रणा नाही. सर्वात सुरक्षित तैनातीचा दृष्टिकोन कोणता आहे?
टीप: क्लायंट-साइड प्रमाणपत्रांची आवश्यकता नसलेल्या परंतु तरीही एन्क्रिप्टेड ऑथेंटिकेशन प्रदान करणाऱ्या EAP पद्धतींचे मूल्यांकन करा.
नमुना उत्तर पहा
PEAP-MSCHAPv2 तैनात करा. स्कॅनरसाठी तुमच्या डिरेक्टरीमध्ये एक समर्पित सर्व्हिस अकाउंट तयार करा. TLS टनेल स्थापित करण्यासाठी सर्व्हर प्रमाणपत्रासह RADIUS सर्व्हर कॉन्फिगर करा आणि टनेलच्या आत सर्व्हिस अकाउंट क्रेडेन्शियल्स वापरून ऑथेंटिकेट करण्यासाठी स्कॅनर कॉन्फिगर करा. RADIUS पॉलिसी या सर्व्हिस अकाउंटला एका विशिष्ट, वेगळ्या वेअरहाऊस VLAN पुरते मर्यादित ठेवते याची खात्री करा.
Q3. APs आणि RADIUS सर्व्हर कॉन्फिगर केल्यानंतर, क्लायंट उपकरणे यशस्वीरित्या ऑथेंटिकेट होतात (RADIUS लॉगमध्ये Access-Accept सह सत्यापित), परंतु ते IP ॲड्रेस मिळवण्यात अपयशी ठरतात आणि नेटवर्कमध्ये प्रवेश करू शकत नाहीत. सर्वात संभाव्य इन्फ्रास्ट्रक्चर समस्या कोणती आहे?
टीप: ऑथेंटिकेशन यशस्वी झाले आहे, म्हणजे 802.1X टप्पा पूर्ण झाला आहे. समस्या पुढील नेटवर्क प्रोव्हिजनिंग टप्प्यात आहे.
नमुना उत्तर पहा
सर्वात संभाव्य समस्या म्हणजे वायर्ड नेटवर्कवरील चुकीचे VLAN कॉन्फिगरेशन. जर RADIUS सर्व्हर क्लायंटला विशिष्ट VLAN वर ठेवण्यासाठी (उदा. VLAN 20) डायनॅमिक VLAN असाइनमेंट वापरत असेल, तर ॲक्सेस पॉईंटला जोडणारा स्विच पोर्ट एक 802.1Q ट्रंक पोर्ट म्हणून कॉन्फिगर केलेला असणे आवश्यक आहे जो VLAN 20 ला अनुमती देतो. जर VLAN हे AP ला ट्रंक केलेले नसेल, तर क्लायंटच्या DHCP विनंत्या ड्रॉप केल्या जातील.
या मालिकेमध्ये पुढे वाचा
Guest आणि Staff WiFi नेटवर्क्ससाठी RADIUS Authentication कॉन्फिगर करणे
हे तांत्रिक संदर्भ मार्गदर्शक एंटरप्राइझ guest आणि staff WiFi नेटवर्क्ससाठी RADIUS authentication च्या आर्किटेक्चर, कॉन्फिगरेशन आणि डिप्लॉयमेंटची रूपरेषा स्पष्ट करते. हे नेटवर्क आर्किटेक्ट्स आणि IT मॅनेजर्सना सुरक्षित, स्केलेबल वायरलेस ॲक्सेस कंट्रोल सिस्टम्स तयार करण्यासाठी आवश्यक असलेले अचूक प्रोटोकॉल्स, सुरक्षा मानके आणि ट्रबलशूटिंग पद्धती प्रदान करते.
उच्च शिक्षणामध्ये सुरक्षित BYOD आणि नेटवर्क नोंदणीसाठी SCEP कसे लागू करावे
हे तांत्रिक मार्गदर्शक नेटवर्क आर्किटेक्ट्स आणि IT व्यवस्थापकांना उच्च शिक्षण संस्थांच्या कॅम्पस नेटवर्क सुरक्षित करण्यासाठी SCEP - आधारित प्रमाणपत्र नोंदणी तैनात करण्यासाठी विक्रेता - तटस्थ ब्लूप्रिंट प्रदान करते. हे पासवर्ड - आधारित PEAP वरून 802.1X EAP-TLS वर कसे स्थलांतरित करायचे, BYOD ऑनबोर्डिंग स्वयंचलित कसे करायचे आणि मजबूत VLAN विभाजन कसे लागू करायचे याचे तपशील देते.
Server RADIUS: व्यवसायांसाठी एक सर्वसमावेशक मार्गदर्शिका
ही मार्गदर्शिका IT व्यवस्थापक, नेटवर्क आर्किटेक्ट आणि CTOs ना एंटरप्राइझ WiFi साठी server RADIUS ऑथेंटिकेशनवर एक निश्चित तांत्रिक संदर्भ प्रदान करते. यामध्ये AAA फ्रेमवर्क, 802.1X आर्किटेक्चर, EAP पद्धत निवड, क्लाउड विरुद्ध ऑन-प्रिमाइसेस डिप्लॉयमेंटचे फायदे-तोटे आणि डायनॅमिक VLAN असाइनमेंट समाविष्ट आहे. आदरातिथ्य (hospitality), रिटेल, इव्हेंट्स आणि सार्वजनिक क्षेत्रातील वेन्यू ऑपरेटर्सना असुरक्षित प्री-शेअर्ड की वरून सुरक्षित, ओळख-आधारित (identity-driven) नेटवर्क ऍक्सेस कंट्रोल आर्किटेक्चरमध्ये स्थलांतरित होण्यासाठी आवश्यक असणारे अंमलबजावणी मार्गदर्शन, वास्तविक जगातील केस स्टडीज आणि निर्णय घेण्याची फ्रेमवर्क मिळतील.