मुख्य मजकुराकडे जा
मराठी

WiFi ऑथेंटिकेशनसाठी Azure Entra ID (Azure AD) कसे सेट करावे

हे अधिकृत मार्गदर्शक एंटरप्राइझ WiFi ऑथेंटिकेशनसाठी 802.1X सह Azure Entra ID इंटिग्रेट करण्याचे आर्किटेक्चर, अंमलबजावणीच्या पायऱ्या आणि बिझनेस इम्पॅक्ट तपशीलवार सांगते. हे नेटवर्क आर्किटेक्ट्स आणि IT मॅनेजर्सना व्यावहारिक डिप्लॉयमेंट स्ट्रॅटेजीज प्रदान करते, लेगसी PSKs च्या जागी झिरो-ट्रस्ट, सर्टिफिकेट-आधारित नेटवर्क ॲक्सेस देते.

📖 4 मिनिट वाचन📝 945 शब्द🔧 2 सोडवलेली उदाहरणे3 सराव प्रश्न📚 8 महत्वाच्या व्याख्या

हे मार्गदर्शक ऐका

पॉडकास्ट ट्रान्सक्रिप्ट पहा
[इंट्रो - 1 मिनिट] होस्ट: Purple एंटरप्राइझ नेटवर्क ब्रीफिंगमध्ये आपले स्वागत आहे. मी तुमचा होस्ट आहे, आणि आज आम्ही एका महत्त्वपूर्ण इन्फ्रास्ट्रक्चर अपग्रेडवर चर्चा करत आहोत जे CTOs आणि नेटवर्क आर्किटेक्ट्सच्या प्राधान्यक्रमावर आहे: तुमचे कॉर्पोरेट WiFi ऑथेंटिकेशन Azure Entra ID—पूर्वीचे Azure AD वर मायग्रेट करणे. जर तुम्ही हॉटेल चेन, स्टेडियम किंवा मोठ्या पब्लिक सेक्टर डिप्लॉयमेंटचे व्यवस्थापन करत असाल, तर तुम्हाला लेगसी ऑन-प्रीम RADIUS सर्व्हर्स आणि शेअर्ड PSKs ची डोकेदुखी माहीत असेल. आज, आम्ही झिरो-ट्रस्ट नेटवर्क ॲक्सेसबद्दल बोलत आहोत, विशेषतः Azure Entra ID वापरून 802.1X सर्टिफिकेट-आधारित ऑथेंटिकेशन कसे लागू करावे. कोणतीही अनावश्यक माहिती नाही, फक्त हे डिप्लॉय करण्यामागील तांत्रिक वास्तव. [तांत्रिक सखोल माहिती - 5 मिनिटे] होस्ट: चला थेट आर्किटेक्चरकडे वळूया. स्टिकी नोटवर शेअर्ड पासवर्डसह WPA2-Personal चे दिवस आता संपले आहेत. आधुनिक एंटरप्राइझमध्ये, तुम्ही रिटेल वातावरणात बॅक-ऑफ-हाऊस ऑपरेशन्स सुरक्षित करत असाल किंवा हॉस्पिटलमधील स्टाफ नेटवर्क्स, तुम्हाला आयडेंटिटी-ड्रिव्हन ॲक्सेसची आवश्यकता आहे. जेव्हा आपण WiFi साठी Azure Entra ID बद्दल बोलतो, तेव्हा आपण मूलभूतपणे EAP-TLS बद्दल बोलत असतो. ते एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल विथ ट्रान्सपोर्ट लेयर सिक्युरिटी आहे. हे गोल्ड स्टँडर्ड आहे. का? कारण ते सर्टिफिकेट्सवर अवलंबून असते, पासवर्ड्सवर नाही. पासवर्ड्स फिश केले जाऊ शकतात, शेअर केले जाऊ शकतात किंवा ब्रूट-फोर्स केले जाऊ शकतात. Intune द्वारे व्यवस्थापित डिव्हाइसशी जोडलेली सर्टिफिकेट्स तशी केली जाऊ शकत नाहीत. तर, ट्रॅफिक कसे वाहते? एक कॉर्पोरेट डिव्हाइस—समजा एक व्यवस्थापित लॅपटॉप—कॉर्पोरेट SSID शी कनेक्ट करण्याचा प्रयत्न करतो. वायरलेस ॲक्सेस पॉइंट, ऑथेंटिकेटर म्हणून काम करत, ॲक्सेस ब्लॉक करतो आणि RADIUS द्वारे क्रेडेंशियल्स तुमच्या ऑथेंटिकेशन सर्व्हरकडे पास करतो. आता, Azure Entra ID नेटिव्हली RADIUS बोलत नाही. हा एक महत्त्वपूर्ण आर्किटेक्चरल ब्रिज आहे. तुम्हाला क्लाउड RADIUS प्रोव्हायडर किंवा Azure MFA एक्स्टेंशनसह ऑन-प्रीम नेटवर्क पॉलिसी सर्व्हर (NPS) आवश्यक आहे. डिव्हाइस त्याचे क्लायंट सर्टिफिकेट सादर करते. RADIUS सर्व्हर तुमच्या सर्टिफिकेट ऑथॉरिटीच्या विरुद्ध त्या सर्टिफिकेटला व्हॅलिडेट करतो—जे सहसा Intune मध्ये SCEP द्वारे व्यवस्थापित केले जाते. जर सर्टिफिकेट वैध असेल, तर युझर अकाउंट ॲक्टिव्ह आहे, डिसेबल केलेले नाही आणि कंडिशनल ॲक्सेस पॉलिसीजशी कंप्लायंट आहे याची खात्री करण्यासाठी RADIUS सर्व्हर Azure Entra ID तपासतो. त्यानंतरच RADIUS सर्व्हर AP ला ॲक्सेस-ॲक्सेप्ट मेसेज परत पाठवतो, युझरला योग्य VLAN वर ठेवतो. [अंमलबजावणीच्या शिफारसी आणि धोके - 2 मिनिटे] होस्ट: आता, डिप्लॉयमेंट्स कुठे चुकतात? मला तीन सामान्य धोके दिसतात. पहिले: सर्टिफिकेट रिव्होकेशन लिस्ट (CRL) उपलब्धता. जर तुमचा RADIUS सर्व्हर CRL पर्यंत पोहोचू शकत नसेल, तर ऑथेंटिकेशन अयशस्वी होते. तुमचे CRL एंडपॉइंट्स अत्यंत उपलब्ध आहेत आणि RADIUS इन्फ्रास्ट्रक्चरवरून ॲक्सेसिबल आहेत याची खात्री करा. दुसरे: सप्लिकंट कॉन्फिगरेशन. हे एंड युझरवर सोडू नका. WiFi प्रोफाइल पुश करण्यासाठी तुमचे MDM—Microsoft Intune, Workspace ONE, तुम्ही जे काही वापरता ते—वापरा. प्रोफाइलने विश्वसनीय रूट CA स्पष्टपणे परिभाषित केले पाहिजे आणि क्लायंटने केवळ तुमच्या विशिष्ट RADIUS सर्व्हरच्या नावांवरच कनेक्ट केले पाहिजे हे निर्दिष्ट केले पाहिजे. जर तुम्ही असे केले नाही, तर तुम्ही इव्हिल ट्विन हल्ल्यांना बळी पडू शकता. तिसरे: लेगसी डिव्हाइसेस. वेअरहाऊसमधील IoT डिव्हाइसेस, पॉइंट-ऑफ-सेल टर्मिनल्स किंवा जुने बारकोड स्कॅनर्स अनेकदा 802.1X किंवा EAP-TLS ला सपोर्ट करत नाहीत. तुम्ही या डिव्हाइसेससाठी मॅक ऑथेंटिकेशन बायपास (MAB) स्ट्रॅटेजी किंवा कठोर नेटवर्क आयसोलेशनसह समर्पित प्री-शेअर्ड की नेटवर्कची योजना आखली पाहिजे. लेगसी प्रिंटरसाठी तुमच्या प्राथमिक कॉर्पोरेट SSID शी तडजोड करू नका. [रॅपिड-फायर प्रश्नोत्तरे - 1 मिनिट] होस्ट: नेटवर्क आर्किटेक्ट्सकडून आम्हाला ऐकायला मिळणाऱ्या काही जलद प्रश्नांची उत्तरे देऊया. प्रश्न पहिला: आपण Azure Entra ID सह PEAP-MSCHAPv2 वापरू शकतो का? उत्तर: होय, NPS द्वारे, परंतु मायक्रोसॉफ्ट क्रेडेंशियल-आधारित ऑथेंटिकेशन सक्रियपणे बंद करत आहे. EAP-TLS कडे वळा. ते अधिक सुरक्षित आहे आणि उत्तम युझर अनुभव प्रदान करते. प्रश्न दुसरा: हे Purple च्या गेस्ट WiFi सह कसे इंटिग्रेट होते? उत्तर: त्यांना वेगळे ठेवा. तुमचे कॉर्पोरेट नेटवर्क Azure Entra ID शी जोडलेले 802.1X वापरते. तुमचे गेस्ट नेटवर्क ॲनालिटिक्स, अटींची स्वीकृती आणि मार्केटिंग डेटा कॅप्चर करण्यासाठी Purple द्वारे चालवल्या जाणाऱ्या Captive Portal सह ओपन SSID वापरते. तुम्ही गेस्ट्सच्या अखंड रिटर्न व्हिजिट्ससाठी Purple चे प्रोफाइल-आधारित ऑथेंटिकेशन देखील वापरू शकता, जे ते ट्रॅफिक तुमच्या कॉर्पोरेट डेटापासून पूर्णपणे आयसोलेटेड ठेवते. [सारांश आणि पुढील पायऱ्या - 1 मिनिट] होस्ट: समारोप करताना: WiFi ऑथेंटिकेशनसाठी Azure Entra ID कडे वळणे हे झिरो-ट्रस्ट आर्किटेक्चरच्या दिशेने एक मूलभूत पाऊल आहे. हे पासवर्ड रोटेशन हेल्पडेस्क तिकिटे काढून टाकते, क्रेडेंशियल चोरी कमी करते आणि केवळ कंप्लायंट, व्यवस्थापित डिव्हाइसेसच तुमच्या अंतर्गत नेटवर्कमध्ये प्रवेश करतात याची खात्री करते. तुमची पुढची पायरी? तुमच्या सध्याच्या RADIUS इन्फ्रास्ट्रक्चरचे ऑडिट करा. जर तुम्ही ऑन-प्रीम लेगसी NPS चालवत असाल, तर थेट Azure Entra ID आणि Intune सह इंटिग्रेट होणाऱ्या क्लाउड RADIUS सोल्युशन्सचे मूल्यांकन करा. तुमची सर्टिफिकेट डिप्लॉयमेंट स्ट्रॅटेजी तयार करा. या तांत्रिक ब्रीफिंगमध्ये सामील झाल्याबद्दल धन्यवाद. तुमचे नेटवर्क्स सुरक्षित करा, आणि आपण पुढच्या वेळी भेटू.

header_image.png

कार्यकारी सारांश

गुंतागुंतीचे वातावरण व्यवस्थापित करणाऱ्या CTO आणि नेटवर्क आर्किटेक्ट्ससाठी—मोठ्या प्रमाणावरील Hospitality ठिकाणांपासून ते डायनॅमिक Retail स्पेसेसपर्यंत—कॉर्पोरेट नेटवर्क सुरक्षित करणे आता केवळ मजबूत पासवर्डपुरते मर्यादित राहिलेले नाही. लेगसी प्री-शेअर्ड कीज (PSKs) आणि बेसिक क्रेडेंशियल ऑथेंटिकेशन हे आधुनिक झिरो-ट्रस्ट आर्किटेक्चरशी मूलभूतपणे विसंगत आहेत.

हे मार्गदर्शक थेट Azure Entra ID (पूर्वीचे Azure AD) सह इंटिग्रेट केलेल्या 802.1X सर्टिफिकेट-आधारित WiFi ऑथेंटिकेशन मधील ट्रान्झिशनचे तपशील देते. EAP-TLS (एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल विथ ट्रान्सपोर्ट लेयर सिक्युरिटी) कडे वळून, संस्था क्रेडेंशियल चोरीशी संबंधित धोके दूर करू शकतात, मोबाईल डिव्हाइस मॅनेजमेंट (MDM) द्वारे डिव्हाइस ऑनबोर्डिंग स्वयंचलित करू शकतात आणि केवळ कंप्लायंट, व्यवस्थापित डिव्हाइसेसच संवेदनशील कॉर्पोरेट VLANs मध्ये प्रवेश करू शकतील याची खात्री करू शकतात. आम्ही तांत्रिक आर्किटेक्चर, डिप्लॉयमेंटच्या पायऱ्या आणि Purple सारख्या प्लॅटफॉर्मद्वारे व्यवस्थापित केलेल्या गेस्ट नेटवर्क स्ट्रॅटेजीजच्या समांतर ही कॉर्पोरेट सिक्युरिटी पोश्चर कशी चालते हे एक्सप्लोर करू.

तांत्रिक सखोल माहिती

क्रेडेंशियल्सकडून सर्टिफिकेट्सकडे वाटचाल

ऐतिहासिकदृष्ट्या, एंटरप्राइझ WiFi PEAP-MSCHAPv2 वर अवलंबून होते, ज्यासाठी युजर्सना त्यांचे डोमेन क्रेडेंशियल्स प्रविष्ट करणे आवश्यक होते. तथापि, मायक्रोसॉफ्ट ॲडव्हर्सरी-इन-द-मिडल (AiTM) हल्ल्यांच्या असुरक्षिततेमुळे क्रेडेंशियल-आधारित ऑथेंटिकेशन सक्रियपणे बंद करत आहे. आता इंडस्ट्री स्टँडर्ड EAP-TLS आहे, जे म्युच्युअल सर्टिफिकेट ऑथेंटिकेशन वापरते.

EAP-TLS डिप्लॉयमेंटमध्ये, RADIUS सर्व्हर आणि क्लायंट डिव्हाइस दोन्ही डिजिटल सर्टिफिकेट्स सादर करतात. जर एखाद्या डिव्हाइसकडे तुमच्या विश्वसनीय सर्टिफिकेट ऑथॉरिटी (CA) द्वारे जारी केलेले वैध सर्टिफिकेट नसेल, तर डिव्हाइसला IP ॲड्रेस मिळण्यापूर्वीच RADIUS सर्व्हर कनेक्शन नाकारतो.

architecture_overview.png

आर्किटेक्चरल ब्रिज: RADIUS आणि Entra ID

Azure Entra ID हे SAML आणि OIDC सारख्या आधुनिक प्रोटोकॉल्सचा वापर करणारे क्लाउड आयडेंटिटी प्रोव्हायडर (IdP) आहे; ते वायरलेस ॲक्सेस पॉइंट्स (WAPs) द्वारे वापरला जाणारा प्रोटोकॉल RADIUS नेटिव्हली बोलत नाही. ही तफावत दूर करण्यासाठी, नेटवर्क आर्किटेक्ट्सनी Entra ID शी संवाद साधू शकणारा RADIUS सर्व्हर डिप्लॉय करणे आवश्यक आहे. हे सामान्यतः याद्वारे साध्य केले जाते:

  1. क्लाउड RADIUS सोल्युशन्स: API द्वारे थेट Entra ID आणि Intune सह इंटिग्रेट होणारे पर्पज-बिल्ट प्लॅटफॉर्म्स (उदा. SecureW2, SCEPman, किंवा Portnox).
  2. ऑन-प्रिमिसेस नेटवर्क पॉलिसी सर्व्हर (NPS): Azure MFA एक्स्टेंशन वापरून, जरी क्लाउड-नेटिव्ह RADIUS च्या तुलनेत हा वाढत्या प्रमाणात लेगसी दृष्टिकोन म्हणून पाहिला जातो.

eap_comparison_chart.png

अंमलबजावणी मार्गदर्शक

WiFi ऑथेंटिकेशनसाठी Azure Entra ID डिप्लॉय करण्यासाठी आयडेंटिटी, डिव्हाइस मॅनेजमेंट आणि नेटवर्क इन्फ्रास्ट्रक्चर टीम्समध्ये समन्वय आवश्यक आहे.

पायरी 1: पब्लिक की इन्फ्रास्ट्रक्चर (PKI) स्थापित करा

क्लायंट आणि सर्व्हर सर्टिफिकेट्स जारी करण्यासाठी तुम्ही CA स्थापित करणे आवश्यक आहे. क्लाउड-फर्स्ट वातावरणात, हे सहसा सिम्पल सर्टिफिकेट एनरोलमेंट प्रोटोकॉल (SCEP) द्वारे Microsoft Intune सह इंटिग्रेट केलेले क्लाउड PKI असते.

पायरी 2: RADIUS सर्व्हर कॉन्फिगर करा

तुमचे RADIUS इन्फ्रास्ट्रक्चर डिप्लॉय करा आणि ते तुमच्या Entra ID टेनंटशी बाइंड करा. EAP हँडशेक दरम्यान आपली ओळख सिद्ध करण्यासाठी RADIUS सर्व्हरला स्वतःचे सर्व्हर सर्टिफिकेट आवश्यक आहे, जे तुमच्या क्लायंट डिव्हाइसेसद्वारे विश्वसनीय असेल.

पायरी 3: Intune द्वारे MDM प्रोफाइल्स डिप्लॉय करा

युजर्सनी त्यांचे WiFi सेटिंग्ज मॅन्युअली कॉन्फिगर करण्यावर अवलंबून राहू नका. सर्वसमावेशक WiFi प्रोफाइल पुश करण्यासाठी Intune वापरा ज्यामध्ये हे समाविष्ट आहे:

  • विश्वसनीय रूट CA सर्टिफिकेट.
  • क्लायंट सर्टिफिकेटची विनंती करण्यासाठी SCEP प्रोफाइल.
  • इव्हिल ट्विन (Evil Twin) हल्ले टाळण्यासाठी SSID आणि तुमच्या RADIUS इन्फ्रास्ट्रक्चरची अचूक सर्व्हर नावे स्पष्टपणे परिभाषित करणारे WiFi कॉन्फिगरेशन.

पायरी 4: वायरलेस LAN कंट्रोलर (WLC) कॉन्फिगर करा

WPA2/WPA3-एंटरप्राइझ (802.1X) वापरण्यासाठी तुमचे ॲक्सेस पॉइंट्स किंवा WLC कॉन्फिगर करा. ऑथेंटिकेशन आणि अकाउंटिंग ट्रॅफिक तुमच्या नवीन RADIUS सर्व्हर IP ॲड्रेसकडे निर्देशित करा आणि शेअर्ड RADIUS सिक्रेट्स कॉन्फिगर करा.

> "802.1X कॉन्फिगर करताना, WLC वरील तुमचे RADIUS टाइमआउट व्हॅल्यूज क्लाउड-आधारित सर्टिफिकेट व्हॅलिडेशनची लेटन्सी हाताळण्यासाठी पुरेशी असल्याची खात्री करा, जी साधारणपणे 2 सेकंदांवरून 5 सेकंदांपर्यंत वाढते." [1]

सर्वोत्तम पद्धती

  • कॉर्पोरेट आणि गेस्ट ट्रॅफिक वेगळे करा: कॉर्पोरेट डिव्हाइसेसनी Entra ID शी जोडलेले 802.1X वापरले पाहिजे. गेस्ट डिव्हाइसेसनी Captive Portal सह ओपन SSID वापरला पाहिजे. मजबूत गेस्ट ॲक्सेस आणि ॲनालिटिक्ससाठी, Guest WiFi सोल्युशन्सचा लाभ घ्या. हे अविश्वासू ट्रॅफिकचे संपूर्ण आयसोलेशन सुनिश्चित करते.
  • मॅक ऑथेंटिकेशन बायपास (MAB) काळजीपूर्वक लागू करा: IoT डिव्हाइसेस आणि लेगसी हार्डवेअर (उदा. Transport हबमधील जुने स्कॅनर्स) अनेकदा 802.1X ला सपोर्ट करू शकत नाहीत. MAB किंवा समर्पित PSK वापरून त्यांना वेगळ्या SSID वर ठेवा आणि कठोर ACLs द्वारे त्यांचा नेटवर्क ॲक्सेस मर्यादित करा.
  • सर्टिफिकेट रिव्होकेशनला प्राधान्य द्या: तुमची सर्टिफिकेट रिव्होकेशन लिस्ट (CRL) किंवा ऑनलाइन सर्टिफिकेट स्टेटस प्रोटोकॉल (OCSP) एंडपॉइंट्स अत्यंत उपलब्ध असल्याची खात्री करा. जर RADIUS सर्व्हर रिव्होकेशन स्टेटस व्हेरिफाय करू शकला नाही, तर ऑथेंटिकेशन अयशस्वी होईल.

ट्रबलशूटिंग आणि रिस्क मिटिगेशन

जेव्हा डिप्लॉयमेंट्स अयशस्वी होतात, तेव्हा क्वचितच क्लाउड IdP ची चूक असते. सामान्य फेल्युअर मोड्समध्ये हे समाविष्ट आहे:

  • क्लॉक स्क्यू (Clock Skew): EAP-TLS वेळेबाबत अत्यंत संवेदनशील आहे. सर्व इन्फ्रास्ट्रक्चर घटक, विशेषतः WLC आणि RADIUS सर्व्हर्स, NTP द्वारे सिंक्रोनाइझ केलेले असल्याची खात्री करा.
  • Intune सिंक विलंब: जेव्हा नवीन डिव्हाइस एनरोल केले जाते, तेव्हा SCEP सर्टिफिकेट जारी होण्यासाठी आणि डिव्हाइसला कनेक्शनचा प्रयत्न करण्यासाठी वेळ लागू शकतो. ऑनबोर्डिंग दरम्यान या लेटन्सीसाठी नियोजन करा.
  • Radius सर्व्हर नेम मिसमॅच: जर Intune WiFi प्रोफाइलमध्ये परिभाषित केलेले सर्व्हरचे नाव RADIUS सर्व्हरच्या सर्टिफिकेटवरील कॉमन नेम (CN) किंवा सब्जेक्ट अल्टरनेटिव्ह नेम (SAN) शी तंतोतंत जुळत नसेल, तर रोग (rogue) APs पासून संरक्षण करण्यासाठी क्लायंट शांतपणे कनेक्शन ड्रॉप करेल.

तुमचे इन्फ्रास्ट्रक्चर सुरक्षित करण्याबाबत अधिक माहितीसाठी, Protect Your Network with Strong DNS and Security वरील आमचे मार्गदर्शक पहा.

ROI आणि बिझनेस इम्पॅक्ट

Azure Entra ID WiFi ऑथेंटिकेशनमध्ये ट्रान्झिशन केल्याने मोजता येण्याजोगे रिटर्न्स मिळतात:

  1. कमी झालेला हेल्पडेस्क ओव्हरहेड: पासवर्ड-आधारित ऑथेंटिकेशन काढून टाकल्याने पासवर्ड लॉकआउट्स आणि WiFi क्रेडेंशियल अपडेट्सशी संबंधित तिकिटे लक्षणीयरीत्या कमी होतात.
  2. कंप्लायन्स ॲक्सिलरेशन: EAP-TLS हे PCI DSS आणि ISO 27001 सारख्या फ्रेमवर्क्ससाठी आवश्यक असलेला ओळखीचा क्रिप्टोग्राफिक पुरावा प्रदान करते, जे Healthcare आणि रिटेल वातावरणासाठी महत्त्वपूर्ण आहे.
  3. ऑटोमेटेड ऑफबोर्डिंग: जेव्हा एखादा कर्मचारी नोकरी सोडतो, तेव्हा Entra ID मध्ये त्यांचे अकाउंट डिसेबल केल्याने सर्व लोकेशन्सवरील त्यांचा नेटवर्क ॲक्सेस त्वरित रद्द होतो, ज्यामुळे इनसायडर धोके कमी होतात.

कॉर्पोरेट बॅकबोन सुरक्षित करून, IT टीम्स महसूल-निर्मितीच्या उपक्रमांवर लक्ष केंद्रित करू शकतात, जसे की अभ्यागतांचे वर्तन समजून घेण्यासाठी आणि एंगेजमेंट वाढवण्यासाठी WiFi Analytics चा लाभ घेणे.

संदर्भ

[1] Microsoft Learn. (2023). Secure Wi-Fi access with Intune and EAP-TLS.

महत्वाच्या व्याख्या

802.1X

पोर्ट-आधारित नेटवर्क ॲक्सेस कंट्रोलसाठी एक IEEE स्टँडर्ड, ज्यामध्ये LAN किंवा WLAN मध्ये प्रवेश मिळवण्यापूर्वी डिव्हाइसेसना ऑथेंटिकेट करणे आवश्यक असते.

हा एक अंतर्निहित प्रोटोकॉल आहे जो एंटरप्राइझ WiFi सुरक्षित करतो, साध्या शेअर्ड पासवर्ड्सच्या पलीकडे जातो.

EAP-TLS

एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल विथ ट्रान्सपोर्ट लेयर सिक्युरिटी. एक ऑथेंटिकेशन पद्धत ज्यामध्ये क्लायंट आणि सर्व्हर दोन्हीवर डिजिटल सर्टिफिकेट्स आवश्यक असतात.

WiFi ऑथेंटिकेशनसाठी सर्वात सुरक्षित पद्धत मानली जाते, जी क्रेडेंशियल चोरी आणि AiTM हल्ले प्रतिबंधित करते.

RADIUS

रिमोट ऑथेंटिकेशन डायल-इन युझर सर्व्हिस. एक नेटवर्किंग प्रोटोकॉल जो केंद्रीकृत ऑथेंटिकेशन, ऑथोरायझेशन आणि अकाउंटिंग (AAA) प्रदान करतो.

तुमचे ॲक्सेस पॉइंट्स ऑथेंटिकेशन सर्व्हरला विचारण्यासाठी वापरत असलेला प्रोटोकॉल, 'मी या डिव्हाइसला नेटवर्कवर येऊ देऊ का?'

SCEP

सिम्पल सर्टिफिकेट एनरोलमेंट प्रोटोकॉल. नेटवर्क डिव्हाइसेसना सुरक्षितपणे सर्टिफिकेट्स जारी करण्यासाठी वापरला जाणारा प्रोटोकॉल.

कॉर्पोरेट लॅपटॉप्स आणि फोन्सवर सायलेंटली क्लायंट सर्टिफिकेट्सची विनंती करण्यासाठी आणि इन्स्टॉल करण्यासाठी Intune सारख्या MDM प्लॅटफॉर्म्सद्वारे वापरले जाते.

MAC Authentication Bypass (MAB)

युझरनेम किंवा सर्टिफिकेट ऐवजी डिव्हाइसच्या MAC ॲड्रेसवर आधारित नेटवर्क ॲक्सेस देण्याची एक पद्धत.

लेगसी डिव्हाइसेससाठी (जसे की जुने प्रिंटर्स किंवा IoT सेन्सर्स) फॉलबॅक म्हणून वापरले जाते ज्यांच्याकडे 802.1X हँडशेक करण्यासाठी सॉफ्टवेअर नसते.

Evil Twin Attack

ट्रॅफिक इंटरसेप्ट करण्यासाठी किंवा क्रेडेंशियल्स चोरण्यासाठी कायदेशीर कॉर्पोरेट SSID चे सोंग घेणारा एक रोग (rogue) ॲक्सेस पॉइंट.

EAP-TLS हे कमी करते कारण क्लायंट डिव्हाइस केवळ कायदेशीर कॉर्पोरेट RADIUS सर्व्हरच्या विशिष्ट सर्टिफिकेटवर विश्वास ठेवण्यासाठी कॉन्फिगर केलेले असते.

Supplicant

एंडपॉइंट डिव्हाइसवरील सॉफ्टवेअर क्लायंट (उदा. Windows WiFi मॅनेजर) जे 802.1X ऑथेंटिकेशन प्रक्रिया हाताळते.

IT टीम्सनी MDM द्वारे सप्लिकंट कॉन्फिगर करणे आवश्यक आहे जेणेकरून ते सुरक्षितपणे वागेल आणि युजर्सना अविश्वासू सर्व्हर सर्टिफिकेट्स स्वीकारण्यास प्रॉम्प्ट करणार नाही.

Conditional Access

Azure Entra ID पॉलिसीज ज्या ॲक्सेसचे निर्णय घेण्यासाठी सिग्नल्स (युझर, लोकेशन, डिव्हाइस कंप्लायन्स) इव्हॅल्युएट करतात.

आधुनिक क्लाउड RADIUS सोल्युशन्स WiFi हँडशेक दरम्यान कंडिशनल ॲक्सेस तपासू शकतात, जर Intune ने डिव्हाइसला नॉन-कंप्लायंट म्हणून फ्लॅग केले तर नेटवर्क ॲक्सेस नाकारतात.

सोडवलेली उदाहरणे

एका 500-साइट रिटेल चेनला इन्व्हेंटरी मॅनेजमेंटसाठी वापरले जाणारे बॅक-ऑफ-हाऊस iPads सुरक्षित करण्याची आवश्यकता आहे. सध्या, ते सर्व स्टोअर्समध्ये एकच शेअर्ड PSK वापरतात. त्यांनी Azure Entra ID ऑथेंटिकेशनवर कसे मायग्रेट करावे?

  1. सर्व iPads Microsoft Intune मध्ये एनरोल करा.
  2. कॉर्पोरेट Entra ID टेनंटसह इंटिग्रेट केलेले क्लाउड RADIUS सोल्युशन डिप्लॉय करा.
  3. प्रत्येक iPad वर SCEP सर्टिफिकेट डिप्लॉय करण्यासाठी Intune कॉन्फिगर करा.
  4. Intune द्वारे एक WiFi प्रोफाइल पुश करा जे iPads ला EAP-TLS वापरून 'Corporate-BOH' SSID शी कनेक्ट करण्यासाठी कॉन्फिगर करते, क्लाउड RADIUS सर्व्हरचे सर्टिफिकेट व्हॅलिडेट करते.
  5. 'Corporate-BOH' SSID साठी क्लाउड RADIUS IP ॲड्रेसकडे निर्देशित करण्यासाठी सर्व 500 स्टोअर्समधील Meraki/Aruba ॲक्सेस पॉइंट्स अपडेट करा.
  6. टप्प्याटप्प्याने रोलआउट: नवीन SSID सक्षम करा, Intune रिपोर्टिंगद्वारे iPad कनेक्टिव्हिटी तपासा, नंतर लेगसी PSK SSID बंद करा.
परीक्षकाचे भाष्य: हा दृष्टिकोन शेअर्ड PSK काढून टाकतो, जो एखादे डिव्हाइस चोरीला गेल्यास मोठा सुरक्षेचा धोका असतो. EAP-TLS आणि Intune वापरून, ऑथेंटिकेशन डिव्हाइसच्या मॅनेजमेंट स्टेटशी जोडले जाते. जर एखादा iPad हरवला, तर IT टीम फक्त सर्टिफिकेट रद्द करते किंवा Intune मध्ये डिव्हाइस वाइप करते, इतर 499 स्टोअर्सवर परिणाम न करता त्वरित नेटवर्क ॲक्सेस खंडित करते.

एक युनिव्हर्सिटी कॅम्पस ऑन-प्रीम ॲक्टिव्ह डिरेक्टरीवरून Azure Entra ID वर मायग्रेट करत आहे. त्यांच्याकडे हजारो BYOD (ब्रिंग युअर ओन डिव्हाइस) विद्यार्थ्यांचे लॅपटॉप्स आहेत जे सध्या PEAP-MSCHAPv2 (युझरनेम आणि पासवर्ड) वापरून कनेक्ट होतात. ते क्लाउड-फर्स्ट Entra ID वातावरणात BYOD कसे हाताळतील?

  1. ऑनबोर्डिंग पोर्टल डिप्लॉय करा (उदा. SecureW2 JoinNow किंवा तत्सम BYOD ऑनबोर्डिंग टूल).
  2. विद्यार्थी एका ओपन 'Onboarding' SSID शी कनेक्ट होतात, जे त्यांना पोर्टलवर रिडायरेक्ट करते.
  3. पोर्टल विद्यार्थ्याला Azure Entra ID विरुद्ध ऑथेंटिकेट करण्यासाठी प्रॉम्प्ट करते (त्यांचा युनिव्हर्सिटी ईमेल आणि MFA वापरून).
  4. यशस्वी ऑथेंटिकेशनवर, पोर्टल एक युनिक क्लायंट सर्टिफिकेट जनरेट करते आणि EAP-TLS साठी विद्यार्थ्याचे डिव्हाइस स्वयंचलितपणे कॉन्फिगर करते.
  5. डिव्हाइस नवीन सर्टिफिकेट वापरून सुरक्षित 'Edu-Secure' SSID शी स्वयंचलितपणे कनेक्ट होते.
परीक्षकाचे भाष्य: अव्यवस्थापित BYOD डिव्हाइसेससाठी सर्टिफिकेट्स व्यवस्थापित करणे हा 802.1X चा सर्वात कठीण भाग आहे. तुम्ही Intune वापरू शकत नाही कारण लॅपटॉप्स युनिव्हर्सिटीच्या मालकीचे नाहीत. ऑनबोर्डिंग पोर्टल वापरल्याने ही तफावत दूर होते, ज्यामुळे IT ला हजारो विद्यार्थ्यांच्या लॅपटॉप्सना मॅन्युअली स्पर्श न करता सुरक्षित EAP-TLS चा वापर करता येतो.

सराव प्रश्न

Q1. तुमची संस्था Azure Entra ID आणि Intune वर मायग्रेट करत आहे. तुम्ही सध्या WiFi साठी PEAP-MSCHAPv2 वापरता. सिक्युरिटी टीमने अनिवार्य केले आहे की WiFi ऑथेंटिकेशन क्रेडेंशियल चोरीस प्रतिरोधक असले पाहिजे. तुम्ही कोणती EAP पद्धत डिप्लॉय करावी?

टीप: कोणती पद्धत पासवर्ड ऐवजी पूर्णपणे सर्टिफिकेट्सवर अवलंबून असते?

नमुना उत्तर पहा

तुम्ही EAP-TLS डिप्लॉय केले पाहिजे. EAP-TLS म्युच्युअल सर्टिफिकेट ऑथेंटिकेशन वापरते, याचा अर्थ क्लायंट डिव्हाइसने तुमच्या PKI द्वारे जारी केलेले वैध सर्टिफिकेट सादर करणे आवश्यक आहे. कारण ते पासवर्ड वापरत नाही, ते क्रेडेंशियल चोरी आणि ॲडव्हर्सरी-इन-द-मिडल हल्ल्यांना अत्यंत प्रतिरोधक आहे.

Q2. Intune द्वारे EAP-TLS डिप्लॉय केल्यानंतर, युजर्स रिपोर्ट करतात की ते WiFi शी कनेक्ट होऊ शकत नाहीत. RADIUS लॉग्स पाहिल्यावर, तुम्हाला 'Certificate Revocation Check Failed' दिसते. याचे सर्वात संभाव्य कारण काय आहे?

टीप: सर्टिफिकेट कॉम्प्रमाइज झालेले नाही हे व्हेरिफाय करण्यासाठी RADIUS सर्व्हरने कोणत्या इन्फ्रास्ट्रक्चरशी संवाद साधला पाहिजे?

नमुना उत्तर पहा

RADIUS सर्व्हर तुमच्या सर्टिफिकेट ऑथॉरिटीच्या सर्टिफिकेट रिव्होकेशन लिस्ट (CRL) किंवा OCSP एंडपॉइंटपर्यंत पोहोचू शकत नाही. फायरवॉल्स RADIUS सर्व्हरला क्लायंट सर्टिफिकेट्समध्ये निर्दिष्ट केलेल्या HTTP URLs वर आउटबाउंड ॲक्सेसची परवानगी देतात याची खात्री करा.

Q3. एका हॉस्पिटलला 50 लेगसी हार्ट-रेट मॉनिटर्स नेटवर्कशी कनेक्ट करण्याची आवश्यकता आहे. हे डिव्हाइसेस केवळ WPA2-Personal (प्री-शेअर्ड की) ला सपोर्ट करतात आणि Intune मध्ये एनरोल केले जाऊ शकत नाहीत. कॉर्पोरेट लॅपटॉप्ससाठी तुमचे Entra ID 802.1X डिप्लॉयमेंट कायम ठेवताना तुम्ही त्यांना कसे सुरक्षित करावे?

टीप: एकाच SSID वर ऑथेंटिकेशन प्रकार मिक्स करू नका.

नमुना उत्तर पहा

विशेषतः वैद्यकीय IoT डिव्हाइसेससाठी एक समर्पित, वेगळा SSID तयार करा. एक मजबूत, युनिक प्री-शेअर्ड की (किंवा तुमच्या नेटवर्क व्हेंडरद्वारे सपोर्टेड असल्यास आयडेंटिटी PSK/iPSK) किंवा मॅक ऑथेंटिकेशन बायपास (MAB) वापरा. महत्त्वाचे म्हणजे, हा SSID एका अत्यंत प्रतिबंधित VLAN वर कठोर ॲक्सेस कंट्रोल लिस्ट्स (ACLs) सह ठेवा जे मॉनिटर्सना केवळ त्यांच्या विशिष्ट वैद्यकीय सर्व्हरशी संवाद साधण्याची परवानगी देतात, इतर सर्व लॅटरल नेटवर्क ॲक्सेस ब्लॉक करतात.

या मालिकेमध्ये पुढे वाचा

विक्रेत्यानुसार प्रति-डिव्हाइस PSK: iPSK, DPSK, MPSK आणि PPSK ची तुलना (आणि WPA3 सपोर्ट)

Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet आणि Ubiquiti UniFi मधील प्रति-डिव्हाइस PSK अंमलबजावणीची सर्वसमावेशक तुलना. WPA3-SAE चा प्रति-डिव्हाइस की (key) धोरणांवर कसा परिणाम होतो आणि ट्रान्झिशन मोड कधी लागू करायचे विरुद्ध 802.1X कडे कधी वळायचे ते जाणून घ्या.

मार्गदर्शिका वाचा →

MAC Address Authentication म्हणजे काय? ते कधी वापरावे आणि कधी टाळावे

हे अधिकृत तांत्रिक संदर्भ मार्गदर्शक एंटरप्राइझ WiFi वातावरणातील MAC ऍड्रेस ऑथेंटिकेशन कव्हर करते — RADIUS-आधारित MAC ऑथेंटिकेशन लेयर 2 वर कसे काम करते, त्याच्या अंगभूत सुरक्षा भेद्यता (MAC स्पूफिंग आणि OS-स्तरीय MAC रँडमायझेशनच्या प्रभावासह), आणि अचूक ऑपरेशनल संदर्भ जिथे ते IoT आणि हेडलेस उपकरणांचे व्यवस्थापन करण्यासाठी एक वैध साधन राहते. हे हॉस्पिटॅलिटी, रिटेल, हेल्थकेअर आणि सार्वजनिक क्षेत्रातील व्हेन्यूजमधील IT मॅनेजर्स आणि नेटवर्क आर्किटेक्ट्ससाठी रिअल-वर्ल्ड उदाहरणे, निर्णय फ्रेमवर्क्स आणि Purple च्या अतिथी WiFi आणि ॲनालिटिक्स प्लॅटफॉर्मसाठी इंटिग्रेशन संदर्भासह कृतीयोग्य डिप्लॉयमेंट मार्गदर्शन प्रदान करते.

मार्गदर्शिका वाचा →

iOS आणि macOS वर 802.1X सह एंटरप्राइझ WiFi कसे सेट करावे

हे अधिकृत मार्गदर्शक वरिष्ठ IT लीडर्सना iOS आणि macOS डिव्हाइसेसवर 802.1X एंटरप्राइझ WiFi डिप्लॉय करण्यासाठी कृती करण्यायोग्य पायऱ्या प्रदान करते. हे BYOD उपक्रमांना सपोर्ट करताना कॉर्पोरेट नेटवर्क्स सुरक्षित करण्यासाठी सर्टिफिकेट-आधारित ऑथेंटिकेशन (EAP-TLS), MDM कॉन्फिगरेशन प्रोफाइल्स आणि आर्किटेक्चर इंटिग्रेशन कव्हर करते.

मार्गदर्शिका वाचा →