मुख्य मजकुराकडे जा
मराठी

802.1X WiFi ऑथेंटिकेशन कसे कॉन्फिगर करावे: एक टप्प्याटप्प्याने मार्गदर्शक

हे तांत्रिक मार्गदर्शक 802.1X एंटरप्राइझ WiFi ऑथेंटिकेशन कॉन्फिगर करण्यासाठी टप्प्याटप्प्याने वॉकथ्रू प्रदान करते. हे RADIUS सर्व्हर सेटअप, सर्टिफिकेट डिप्लॉयमेंट आणि उच्च-फूटफॉल असलेल्या ठिकाणांवरील IT लीडर्ससाठी व्यावहारिक डिप्लॉयमेंट धोरणे कव्हर करते.

📖 5 मिनिट वाचन📝 1,126 शब्द🔧 2 सोडवलेली उदाहरणे3 सराव प्रश्न📚 8 महत्वाच्या व्याख्या

हे मार्गदर्शक ऐका

पॉडकास्ट ट्रान्सक्रिप्ट पहा
802.1X WiFi ऑथेंटिकेशन कसे कॉन्फिगर करावे: एक टप्प्याटप्प्याने मार्गदर्शक एक Purple एंटरप्राइझ WiFi इंटेलिजन्स पॉडकास्ट [प्रस्तावना — अंदाजे 1 मिनिट] पुन्हा स्वागत आहे. मी आज एक सीनियर सोल्युशन्स आर्किटेक्ट म्हणून बोलत आहे, आणि जर तुम्ही हे ऐकत असाल, तर तुम्ही कदाचित 802.1X ऑथेंटिकेशनचा समावेश असलेल्या नेटवर्क सिक्युरिटी प्रोजेक्टकडे पाहत आहात — एकतर तुमच्या कंप्लायन्स टीमने ते फ्लॅग केले आहे, तुमच्या इन्शुररने त्याबद्दल विचारले आहे, किंवा तुम्हाला नुकतेच एक नेटवर्क मिळाले आहे जे शेअर्ड PSK वर चालत आहे आणि तुम्हाला माहित आहे की ते आता पुरेसे चांगले नाही. तर आपण थेट याकडे वळूया. 802.1X हे पोर्ट-आधारित नेटवर्क ॲक्सेस कंट्रोलसाठी IEEE स्टँडर्ड आहे. हा एंटरप्राइझ WiFi सुरक्षेचा कणा आहे — अशी यंत्रणा जी सुनिश्चित करते की तुमच्या नेटवर्कशी कनेक्ट होणारे प्रत्येक डिव्हाइस सकारात्मकरीत्या ओळखले गेले आहे आणि ट्रॅफिकचा एकही बाइट मिळण्यापूर्वी ऑथराइज केले गेले आहे. PCI DSS अंतर्गत पेमेंट कार्ड डेटा हाताळणाऱ्या संस्थांसाठी हे ऐच्छिक नाही, GDPR आणि NHS डेटा सुरक्षा मानकांखालील हेल्थकेअर वातावरणासाठी हे ऐच्छिक नाही, आणि खरे सांगायचे तर, मूठभर ॲक्सेस पॉइंट्सपेक्षा जास्त चालवणाऱ्या कोणत्याही संस्थेसाठी, हे योग्य आर्किटेक्चर आहे. पुढील दहा मिनिटांत, मी तुम्हाला तांत्रिक आर्किटेक्चर, RADIUS कॉन्फिगरेशन, सर्टिफिकेट डिप्लॉयमेंट आणि हे जिथे गुंतागुंतीचे होते अशा वास्तविक-जगातील परिस्थितींमधून घेऊन जाणार आहे. चला सुरु करूया. [तांत्रिक सखोल माहिती — अंदाजे 5 मिनिटे] ठीक आहे, तर 802.1X फ्रेमवर्कचे तीन घटक आहेत. तुमच्याकडे सप्लिकंट आहे — ते म्हणजे क्लायंट डिव्हाइस, लॅपटॉप, फोन, IoT सेन्सर. तुमच्याकडे ऑथेंटिकेटर आहे — तो तुमचा ॲक्सेस पॉइंट किंवा तुमचा नेटवर्क स्विच आहे, ज्याला कधीकधी NAS, नेटवर्क ॲक्सेस सर्व्हर म्हटले जाते. आणि तुमच्याकडे ऑथेंटिकेशन सर्व्हर आहे — एंटरप्राइझ डिप्लॉयमेंट्समध्ये जवळजवळ सर्वत्र RADIUS सर्व्हर. हँडशेक कसे काम करते ते येथे आहे. जेव्हा एखादे डिव्हाइस 802.1X-संरक्षित SSID शी कनेक्ट करण्याचा प्रयत्न करते, तेव्हा ॲक्सेस पॉइंट त्याला फक्त आत येऊ देत नाही. त्याऐवजी, तो कंट्रोल्ड पोर्ट उघडतो — एक मर्यादित चॅनेल जो फक्त EAP ट्रॅफिक, एक्सटेन्सिबल ऑथेंटिकेशन प्रोटोकॉल पास करतो. AP डिव्हाइसला EAP-Request Identity पाठवतो. डिव्हाइस त्याच्या ओळखीसह प्रतिसाद देते. AP नंतर ते RADIUS सर्व्हरकडे फॉरवर्ड करतो, RADIUS Access-Request पॅकेटमध्ये गुंडाळून. RADIUS सर्व्हर ऑथेंटिकेशन चालवतो — ॲक्टिव्ह डिरेक्टरी, सर्टिफिकेट स्टोअर किंवा तुम्ही कॉन्फिगर केलेल्या कोणत्याही आयडेंटिटी बॅकएंड विरुद्ध क्रेडेंशियल्स तपासतो — आणि Access-Accept किंवा Access-Reject परत पाठवतो. केवळ Accept वरच AP पूर्ण डेटा पोर्ट उघडतो आणि डिव्हाइसला योग्य VLAN नियुक्त करतो. आता, तुम्ही येथे निवडलेली EAP पद्धत खूप महत्त्वाची आहे. एंटरप्राइझ डिप्लॉयमेंट्समध्ये तुम्हाला पाच पद्धतींचा सामना करावा लागेल. EAP-TLS हे सुवर्ण मानक आहे. क्लायंट आणि सर्व्हर दोघेही X.509 सर्टिफिकेट्स सादर करतात. यात कोणतेही पासवर्ड्स समाविष्ट नाहीत. हा सर्वात सुरक्षित पर्याय आहे आणि सर्वोच्च PCI DSS कंप्लायन्स टायर्ससाठी आवश्यक आहे. अडचण अशी आहे की तुम्हाला क्लायंट सर्टिफिकेट्स जारी करण्यासाठी आणि व्यवस्थापित करण्यासाठी संपूर्ण PKI — पब्लिक की इन्फ्रास्ट्रक्चर — आवश्यक आहे. याचा अर्थ एक सर्टिफिकेट ऑथॉरिटी, सर्टिफिकेट लाइफसायकल मॅनेजमेंट आणि प्रत्येक डिव्हाइसवर सर्टिफिकेट्स पुश करण्याची यंत्रणा. Microsoft Active Directory आणि Active Directory Certificate Services असलेल्या संस्थांसाठी, हे खूप साध्य करण्यासारखे आहे. त्या इन्फ्रास्ट्रक्चरशिवाय असलेल्या संस्थांसाठी, ही एक मोठी गुंतवणूक आहे. PEAP-MSCHAPv2 ही व्यवहारात सर्वात मोठ्या प्रमाणावर डिप्लॉय केली जाणारी पद्धत आहे. ती केवळ सर्व्हर-साइड सर्टिफिकेट वापरून TLS टनेल तयार करते, नंतर त्या टनेलच्या आत युझरनेम आणि पासवर्ड क्रेडेंशियल्स पास करते. ती बॉक्सच्या बाहेर जवळजवळ प्रत्येक डिव्हाइसशी सुसंगत आहे, Windows Server वरील NPS द्वारे थेट ॲक्टिव्ह डिरेक्टरीशी इंटिग्रेट होते आणि क्लायंट सर्टिफिकेट्सची आवश्यकता नसते. तडजोड अशी आहे की जर युझर्सना रोग (rogue) AP शी कनेक्ट करण्यासाठी फसवले गेले तर ती क्रेडेंशियल हार्वेस्टिंग हल्ल्यांसाठी असुरक्षित आहे — कारण क्लायंट डीफॉल्टनुसार सर्व्हर सर्टिफिकेट प्रमाणित करत नाही. तुम्ही तुमच्या सप्लिकंट प्रोफाईल्समध्ये सर्व्हर सर्टिफिकेट व्हॅलिडेशन लागू करणे आवश्यक आहे. EAP-TTLS हे PEAP सारखेच आहे परंतु आतील ऑथेंटिकेशन पद्धतीमध्ये अधिक लवचिक आहे. हे Linux वातावरणात आणि जिथे तुम्हाला लेगसी ऑथेंटिकेशन बॅकएंड्सना सपोर्ट करण्याची आवश्यकता असते तिथे सामान्य आहे. LEAP च्या कमकुवतपणाला प्रतिसाद म्हणून Cisco द्वारे EAP-FAST विकसित केले गेले. हे सर्टिफिकेट्स ऐवजी प्रोटेक्टेड ॲक्सेस क्रेडेंशियल्स वापरते. जर तुम्ही Cisco-हेवी वातावरणात असाल किंवा इतरांना सपोर्ट करू न शकणाऱ्या लेगसी डिव्हाइसेसशी व्यवहार करत असाल तर हे प्रामुख्याने संबंधित आहे. EAP-SIM आणि EAP-AKA कॅरियर-ग्रेड डिप्लॉयमेंट्समध्ये वापरले जातात — जसे की OpenRoaming किंवा Passpoint — जिथे ऑथेंटिकेशन सिम कार्ड किंवा USIM शी जोडलेले असते. सार्वजनिक ठिकाणच्या WiFi साठी हे वाढत्या प्रमाणात संबंधित आहेत जिथे तुम्हाला Captive Portal शिवाय अखंड, सुरक्षित ऑनबोर्डिंग हवे असते. आता RADIUS कॉन्फिगरेशनबद्दल बोलूया. तुम्ही Microsoft NPS, FreeRADIUS, Cisco ISE, किंवा Aruba ClearPass डिप्लॉय करत असलात तरी, मूळ कॉन्फिगरेशन पायऱ्या समान आहेत. प्रथम, तुम्ही तुमचे RADIUS क्लायंट्स परिभाषित करता — हे तुमचे ॲक्सेस पॉइंट्स किंवा वायरलेस LAN कंट्रोलर्स आहेत. प्रत्येक क्लायंट त्याच्या IP ॲड्रेस आणि शेअर्ड सिक्रेटसह रजिस्टर केलेला असतो. ते शेअर्ड सिक्रेट AP आणि सर्व्हरमधील RADIUS मेसेजेस ऑथेंटिकेट करण्यासाठी वापरले जाते. किमान 22 अक्षरे वापरा, यादृच्छिकपणे व्युत्पन्न केलेली आणि प्रत्येक NAS डिव्हाइससाठी युनिक. दुसरे, तुम्ही तुमची नेटवर्क पॉलिसी कॉन्फिगर करता. येथे तुम्ही कोणाला कशाचा ॲक्सेस मिळेल हे परिभाषित करता. NPS च्या भाषेत, तुम्ही एक नेटवर्क पॉलिसी तयार करत आहात जी अटींशी जुळते — ॲक्टिव्ह डिरेक्टरीमधील ग्रुप मेंबरशिप, डिव्हाइस प्रकार, दिवसाची वेळ — आणि ॲट्रिब्यूट्स नियुक्त करते — VLAN ID, सेशन टाइमआउट, बँडविड्थ मर्यादा. तुम्ही सर्वात जास्त वापरणार असलेला RADIUS ॲट्रिब्यूट म्हणजे VLAN असाइनमेंट, विशेषतः Tunnel-Type हे VLAN वर सेट केलेले, Tunnel-Medium-Type हे 802 वर सेट केलेले आणि Tunnel-Private-Group-ID हे तुमच्या VLAN नंबरवर सेट केलेले. तिसरे, तुम्ही तुमची कनेक्शन रिक्वेस्ट पॉलिसी कॉन्फिगर करता. हे NPS ला येणाऱ्या RADIUS विनंत्या कशा हाताळायच्या हे सांगते — लोकली ऑथेंटिकेट करायचे की दुसऱ्या RADIUS सर्व्हरकडे फॉरवर्ड करायचे. डिस्ट्रिब्युटेड डिप्लॉयमेंटमध्ये, तुमच्याकडे प्रत्येक साइटवर NPS प्रॉक्सीजसह एक मध्यवर्ती RADIUS सर्व्हर असू शकतो. सर्टिफिकेटच्या बाजूने, PEAP आणि EAP-TLS साठी, तुमच्या RADIUS सर्व्हरला तुमच्या क्लायंट्सचा विश्वास असलेले सर्व्हर सर्टिफिकेट आवश्यक आहे. सर्वात सोपा मार्ग म्हणजे पब्लिक CA — DigiCert, Sectigo, Let's Encrypt — कडील सर्टिफिकेट वापरणे कारण त्या रूट सर्टिफिकेट्सवर सर्व प्रमुख ऑपरेटिंग सिस्टीम्सचा आधीच विश्वास असतो. जर तुम्ही इंटरनल CA वापरत असाल, तर तुम्हाला ग्रुप पॉलिसी किंवा तुमच्या MDM प्लॅटफॉर्मद्वारे सर्व क्लायंट डिव्हाइसेसवर रूट सर्टिफिकेट पुश करणे आवश्यक आहे. विशेषतः EAP-TLS साठी, तुम्हाला क्लायंट सर्टिफिकेट्सची देखील आवश्यकता आहे. ॲक्टिव्ह डिरेक्टरी वातावरणात, डोमेन-जॉईन्ड डिव्हाइसेसवर सर्टिफिकेट्स पुश करण्यासाठी तुम्ही ग्रुप पॉलिसीद्वारे ऑटो-एनरोलमेंटसह ADCS वापराल. BYOD डिव्हाइसेससाठी, सर्टिफिकेट आणि WiFi प्रोफाईल दोन्ही पुश करण्यासाठी तुम्ही तुमचा MDM — Intune, Jamf, VMware Workspace ONE — वापराल. ॲक्सेस पॉइंटच्या बाजूने, कॉन्फिगरेशन सरळ आहे. तुम्ही एक नवीन SSID तयार करता, सुरक्षा WPA2-Enterprise किंवा WPA3-Enterprise वर सेट करता, RADIUS ऑथेंटिकेशन सर्व्हरला UDP पोर्ट 1812 वर तुमच्या NPS IP कडे पॉइंट करता, UDP पोर्ट 1813 वर RADIUS अकाउंटिंग सर्व्हर सेट करता, शेअर्ड सिक्रेट एंटर करता आणि जर तुम्ही डायनॅमिक VLAN असाइनमेंट वापरत असाल तर ते सक्षम करता. बहुतेक एंटरप्राइझ AP प्लॅटफॉर्म्स — Cisco Meraki, Aruba, Ruckus, Extreme — मध्ये यासाठी एक GUI असतो ज्याला तुमचा RADIUS सर्व्हर तयार झाल्यावर सुमारे दहा मिनिटे लागतात. [अंमलबजावणी शिफारसी आणि त्रुटी — अंदाजे 2 मिनिटे] ठीक आहे, डिप्लॉयमेंट्स कुठे चुकतात याबद्दल बोलूया, कारण इथेच मी माझी कन्सल्टन्सी फी कमवतो. सर्वात सामान्य फेल्युअर पॉइंट म्हणजे सर्टिफिकेट व्हॅलिडेशन. मी संस्थांना सर्व्हरच्या बाजूने PEAP-MSCHAPv2 योग्यरित्या डिप्लॉय करताना पाहिले आहे, आणि नंतर क्लायंट सप्लिकंट प्रोफाईल्स कोणतेही सर्टिफिकेट स्वीकारण्यासाठी कॉन्फिगर केलेले सोडताना पाहिले आहे. हे सुरक्षा मॉडेलला पूर्णपणे कमकुवत करते. प्रत्येक सप्लिकंट प्रोफाईल — ग्रुप पॉलिसीद्वारे पुश केलेले असो किंवा MDM द्वारे — विश्वसनीय रूट CA आणि अपेक्षित सर्व्हर नाव निर्दिष्ट करणे आवश्यक आहे. त्याशिवाय, तुम्ही इव्हिल ट्विन हल्ल्यांसाठी असुरक्षित आहात. दुसरी सामान्य समस्या म्हणजे RADIUS शेअर्ड सिक्रेट मॅनेजमेंट. मी प्रॉडक्शन नेटवर्क्स "radius" किंवा व्हेंडर डीफॉल्टवर सेट केलेल्या शेअर्ड सिक्रेटसह चालताना पाहिले आहेत. ही सिक्रेट्स तुमच्या ऑथेंटिकेशन इन्फ्रास्ट्रक्चरच्या चाव्या आहेत. ती यादृच्छिकपणे व्युत्पन्न करा, सिक्रेट्स मॅनेजरमध्ये स्टोअर करा आणि वेळापत्रकानुसार रोटेट करा. तिसरे: VLAN मिसकॉन्फिगरेशन. डायनॅमिक VLAN असाइनमेंट शक्तिशाली आहे — हे तुम्हाला एकाच SSID वरून स्टाफ डिव्हाइसेस कॉर्पोरेट VLAN वर, कॉन्ट्रॅक्टर्स प्रतिबंधित VLAN वर आणि IoT डिव्हाइसेस आयसोलेटेड VLAN वर ठेवू देते. परंतु जर RADIUS ॲट्रिब्यूट्स योग्यरित्या कॉन्फिगर केलेले नसतील, किंवा स्विच ट्रंक पोर्ट्स योग्य VLANs कॅरी करत नसतील, तर डिव्हाइसेस एकतर कनेक्ट होण्यात अयशस्वी होतील किंवा चुकीच्या सेगमेंटवर लँड होतील. प्रॉडक्शनमध्ये रोल आउट करण्यापूर्वी लॅबमध्ये याची पूर्णपणे चाचणी करा. चौथे: रिडंडन्सी. तुमचा RADIUS सर्व्हर आता इन्फ्रास्ट्रक्चरचा एक महत्त्वाचा भाग आहे. जर तो डाऊन झाला, तर कोणीही कनेक्ट होऊ शकत नाही. तुम्हाला प्रत्येक AP वर किमान एक प्रायमरी आणि सेकंडरी RADIUS सर्व्हर कॉन्फिगर करणे आवश्यक आहे. मोठ्या डिप्लॉयमेंट्समध्ये, हेल्थ मॉनिटरिंगसह RADIUS प्रॉक्सी क्लस्टर्सचा विचार करा. पाचवे, आणि हे हॉस्पिटॅलिटी आणि रिटेल वातावरणासाठी विशिष्ट आहे: गेस्ट विरुद्ध कॉर्पोरेट सेपरेशन. तुमचा 802.1X कॉर्पोरेट SSID आणि तुमचा गेस्ट WiFi SSID पूर्णपणे वेगळे असले पाहिजेत — वेगळे VLANs, वेगळ्या फायरवॉल पॉलिसी, वेगळे DNS. Purple सारखा प्लॅटफॉर्म स्वतःच्या Captive Portal आणि ॲनालिटिक्स लेयरसह गेस्ट बाजू हाताळतो, तर तुमचे 802.1X इन्फ्रास्ट्रक्चर कॉर्पोरेट बाजू हाताळते. या पूरक सिस्टीम्स आहेत, स्पर्धात्मक नाहीत. [रॅपिड-फायर प्रश्नोत्तरे — अंदाजे 1 मिनिट] मला सर्वात जास्त विचारल्या जाणाऱ्या प्रश्नांवरून जाऊ द्या. मी क्लाउड-मॅनेज्ड AP प्लॅटफॉर्मवर 802.1X चालवू शकतो का? होय — Meraki, Aruba Central, आणि Ruckus Cloud सर्व याला सपोर्ट करतात. तुम्ही क्लाउड डॅशबोर्डमध्ये RADIUS सर्व्हर तपशील कॉन्फिगर करता आणि APs EAP प्रॉक्सींग हाताळतात. मला ॲक्टिव्ह डिरेक्टरीची आवश्यकता आहे का? नाही. FreeRADIUS LDAP, SQL डेटाबेसेस, फ्लॅट फाइल्स किंवा अगदी REST APIs विरुद्ध ऑथेंटिकेट करू शकते. परंतु NPS द्वारे AD इंटिग्रेशन हा आतापर्यंतचा सर्वात सामान्य एंटरप्राइझ मार्ग आहे. 802.1X ला सपोर्ट न करणाऱ्या IoT डिव्हाइसेसचे काय? फॉलबॅक म्हणून MAC ऑथेंटिकेशन बायपास — MAB — वापरा. डिव्हाइसचा MAC ॲड्रेस RADIUS ला युझरनेम आणि पासवर्ड म्हणून पाठवला जातो. हे EAP इतके सुरक्षित नाही, परंतु हे तुम्हाला IoT डिव्हाइसेसना प्रतिबंधित VLAN मध्ये ठेवून ऑनबोर्ड करू देते. 802.1X WPA3 सोबत काम करते का? होय. WPA3-Enterprise हे मूलत: 802.1X ऑथेंटिकेशनसह WPA3 आहे. हे मजबूत एन्क्रिप्शन जोडते — उच्च-सुरक्षा मोडमध्ये 192-बिट — आणि नवीन डिप्लॉयमेंट्ससाठी शिफारस केलेले स्टँडर्ड आहे. [सारांश आणि पुढील पायऱ्या — अंदाजे 1 मिनिट] तर हे सर्व एकत्र आणण्यासाठी: 802.1X हे केवळ एक 'नाइस-टू-हॅव' नाही. संवेदनशील डेटा हाताळणाऱ्या, पेमेंट्स प्रोसेस करणाऱ्या किंवा रेग्युलेटेड वातावरणात काम करणाऱ्या कोणत्याही संस्थेसाठी, ही एंटरप्राइझ WiFi सुरक्षेची बेसलाईन आहे. आर्किटेक्चर सुस्थापित आहे, टूलिंग परिपक्व आहे आणि डिप्लॉयमेंटचा मार्ग स्पष्ट आहे. तुमच्या EAP पद्धतीच्या निवडीपासून सुरुवात करा — जर तुम्हाला त्वरित यश आणि व्यापक सुसंगतता हवी असेल तर PEAP-MSCHAPv2, जर तुमच्याकडे PKI इन्फ्रास्ट्रक्चर असेल आणि सर्वात मजबूत सुरक्षा पोश्चर हवे असेल तर EAP-TLS. तुम्ही एकाही AP ला स्पर्श करण्यापूर्वी तुमचा RADIUS सर्व्हर कॉन्फिगर आणि रिडंडंट करा. तुम्ही लाईव्ह जाण्यापूर्वी ग्रुप पॉलिसी किंवा MDM द्वारे तुमचे सप्लिकंट प्रोफाईल्स पुश करा. आणि तुमचे गेस्ट WiFi पूर्णपणे वेगळे ठेवा — त्या लेयरसाठी उद्देश-निर्मित प्लॅटफॉर्म वापरा. जर तुम्ही मल्टी-व्हेन्यू वातावरण चालवत असाल — हॉटेल्स, रिटेल चेन्स, स्टेडियम्स — तर साइट्सच्या संख्येनुसार गुंतागुंत वाढते, परंतु आर्किटेक्चर बदलत नाही. साइट-लोकल रिडंडन्सीसह सेंट्रलाइज्ड RADIUS आणि तुमच्या डिव्हाइस फ्लीटवर एक सुसंगत MDM-पुश केलेले सप्लिकंट प्रोफाईल ही मुख्य गोष्ट आहे. ऐकल्याबद्दल धन्यवाद. संपूर्ण लेखी मार्गदर्शक, आर्किटेक्चर डायग्राम्स आणि कॉन्फिगरेशन चेकलिस्ट्स purple.ai वर उपलब्ध आहेत. जर तुम्ही 802.1X डिप्लॉयमेंटची योजना आखत असाल आणि तुमच्या वातावरणाच्या तपशीलांबद्दल बोलू इच्छित असाल, तर थेट Purple टीमशी संपर्क साधा.

header_image.png

कार्यकारी सारांश

एंटरप्राइझ नेटवर्क्ससाठी, कॉर्पोरेट इन्फ्रास्ट्रक्चर सुरक्षित करण्यासाठी शेअर्ड PSKs (Pre-Shared Keys) आता पुरेसे नाहीत. संस्थांना कठोर कंप्लायन्स आदेश (PCI DSS, GDPR) आणि वाढत्या हल्ल्यांच्या धोक्यांचा सामना करावा लागत असल्याने, 802.1X ऑथेंटिकेशनकडे वळणे ही एक अत्यंत महत्त्वाची सुरक्षा आवश्यकता आहे.

हे मार्गदर्शक एंटरप्राइझ ॲक्सेस पॉइंट्सवर 802.1X कॉन्फिगर करण्यासाठी एक व्यावहारिक, व्हेंडर-न्यूट्रल डिप्लॉयमेंट वॉकथ्रू प्रदान करते. आम्ही सर्टिफिकेट मॅनेजमेंट, RADIUS कॉन्फिगरेशन आणि सामान्य डिप्लॉयमेंट त्रुटींसह मूळ आर्किटेक्चर—सप्लिकंट (Supplicant), ऑथेंटिकेटर (Authenticator) आणि ऑथेंटिकेशन सर्व्हर (Authentication Server)—कव्हर करतो. रिटेल, हॉस्पिटॅलिटी किंवा सार्वजनिक क्षेत्रातील वातावरणात काम करणाऱ्या IT मॅनेजर्स आणि नेटवर्क आर्किटेक्ट्ससाठी, हा संदर्भ कॉर्पोरेट आणि गेस्ट ट्रॅफिक काटेकोरपणे वेगळे ठेवून मजबूत, आयडेंटिटी-आधारित नेटवर्क ॲक्सेस कंट्रोल लागू करण्यासाठी आवश्यक असलेल्या कृतीयोग्य पायऱ्या प्रदान करतो.

आर्किटेक्चर आणि अंमलबजावणी धोरणांच्या 10-मिनिटांच्या ओव्हरव्ह्यूसाठी खालील आमचे सोबती पॉडकास्ट ब्रीफिंग ऐका.

तांत्रिक सखोल माहिती: 802.1X आर्किटेक्चर

IEEE 802.1X स्टँडर्ड पोर्ट-आधारित नेटवर्क ॲक्सेस कंट्रोल परिभाषित करते. वायरलेस संदर्भात, हे क्लायंट डिव्हाइसला मध्यवर्ती डिरेक्टरीद्वारे यशस्वीरित्या ऑथेंटिकेट होईपर्यंत डेटा ट्रॅफिक पाठवण्यापासून किंवा प्राप्त करण्यापासून प्रतिबंधित करते.

architecture_overview.png

तीन मुख्य घटक

  1. सप्लिकंट (क्लायंट डिव्हाइस): ॲक्सेसची विनंती करणाऱ्या लॅपटॉप, स्मार्टफोन किंवा IoT डिव्हाइसवरील सॉफ्टवेअर. याने निवडलेल्या EAP (Extensible Authentication Protocol) पद्धतीला सपोर्ट करणे आवश्यक आहे.
  2. ऑथेंटिकेटर (ॲक्सेस पॉइंट / WLC): गेटकीपर म्हणून काम करणारे नेटवर्क डिव्हाइस. हे एक "कंट्रोल्ड पोर्ट" उघडते जे ऑथेंटिकेशन यशस्वी होईपर्यंत केवळ EAP ट्रॅफिकला अनुमती देते.
  3. ऑथेंटिकेशन सर्व्हर (RADIUS): मध्यवर्ती सर्व्हर (उदा. Microsoft NPS, FreeRADIUS, Cisco ISE) जो आयडेंटिटी स्टोअर (जसे की Active Directory) विरुद्ध क्रेडेंशियल्स प्रमाणित करतो आणि Access-Accept किंवा Access-Reject मेसेज परत करतो.

EAP पद्धती: योग्य सुरक्षा पोश्चर निवडणे

EAP पद्धतीची निवड तुमची सुरक्षा पातळी आणि डिप्लॉयमेंटची गुंतागुंत ठरवते.

eap_comparison_chart.png

  • EAP-TLS (Transport Layer Security): सुवर्ण मानक. सर्व्हर आणि क्लायंट दोन्ही सर्टिफिकेट्स आवश्यक आहेत. कोणतेही पासवर्ड ट्रान्समिट केले जात नाहीत. उच्च-सुरक्षा वातावरणासाठी आवश्यक आहे परंतु यासाठी संपूर्ण पब्लिक की इन्फ्रास्ट्रक्चर (PKI) आवश्यक आहे.
  • PEAP-MSCHAPv2 (Protected EAP): सर्वात सामान्य एंटरप्राइझ डिप्लॉयमेंट. सुरक्षित TLS टनेल तयार करण्यासाठी सर्व्हर-साइड सर्टिफिकेट वापरते, ज्याच्या आत क्लायंट युझरनेम आणि पासवर्ड पाठवतो. डिप्लॉय करणे सोपे आहे परंतु जर क्लायंट डिव्हाइसेस सर्व्हर सर्टिफिकेट काटेकोरपणे प्रमाणित करण्यासाठी कॉन्फिगर केलेले नसतील तर क्रेडेंशियल हार्वेस्टिंगसाठी असुरक्षित आहे.
  • EAP-SIM/AKA: ऑथेंटिकेशनसाठी सिम कार्ड क्रेडेंशियल्सचा वापर करते. Transport हब आणि मोठ्या सार्वजनिक ठिकाणी अखंड ऑनबोर्डिंगसाठी वाढत्या प्रमाणात संबंधित आहे.

अंमलबजावणी मार्गदर्शक: टप्प्याटप्प्याने कॉन्फिगरेशन

802.1X डिप्लॉय करण्यासाठी तुमच्या RADIUS सर्व्हर, तुमचे ॲक्सेस पॉइंट्स आणि तुमच्या क्लायंट डिव्हाइसेसवर समन्वित कॉन्फिगरेशन आवश्यक आहे.

पायरी 1: RADIUS सर्व्हरची तयारी

तुम्ही Microsoft Network Policy Server (NPS) वापरत असाल किंवा दुसरा पर्याय, मूळ तत्त्वे समान राहतात.

  1. RADIUS क्लायंट्स परिभाषित करा: तुमच्या RADIUS सर्व्हरमध्ये प्रत्येक ॲक्सेस पॉइंट (किंवा वायरलेस LAN कंट्रोलर) रजिस्टर करा. AP आणि RADIUS सर्व्हरमधील संवाद सुरक्षित करण्यासाठी एक मजबूत, यादृच्छिकपणे व्युत्पन्न केलेले शेअर्ड सिक्रेट (किमान 22 अक्षरे) नियुक्त करा.
  2. सर्व्हर सर्टिफिकेट इन्स्टॉल करा: PEAP किंवा EAP-TLS साठी, RADIUS सर्व्हरवर X.509 सर्टिफिकेट इन्स्टॉल करा. विश्वसनीय पब्लिक सर्टिफिकेट ऑथॉरिटी (CA) कडील सर्टिफिकेट वापरल्याने BYOD वातावरणासाठी डिप्लॉयमेंट सोपे होते, कारण रूट सर्टिफिकेटवर क्लायंट ऑपरेटिंग सिस्टीम्सचा आधीच विश्वास असतो.

पायरी 2: पॉलिसी कॉन्फिगरेशन

ओळखीवर आधारित ॲक्सेस अधिकारांचे निर्देश देण्यासाठी तुमच्या नेटवर्क पॉलिसी कॉन्फिगर करा.

  1. कनेक्शन रिक्वेस्ट पॉलिसी: RADIUS सर्व्हर येणाऱ्या विनंत्या कशा हाताळतो ते परिभाषित करा. सामान्यतः, यामध्ये NAS-Port-Type (Wireless - IEEE 802.11) जुळवणे आणि विनंत्यांचे लोकली ऑथेंटिकेशन करणे समाविष्ट असते.
  2. नेटवर्क पॉलिसी: ॲक्टिव्ह डिरेक्टरी ग्रुप्सना नेटवर्क ॲक्सेस अधिकारांशी मॅप करा. उदाहरणार्थ, 'Domain Computers' ग्रुपला कॉर्पोरेट VLAN शी मॅप करा. यशस्वी ऑथेंटिकेशनवर डायनॅमिकली VLAN नियुक्त करण्यासाठी RADIUS ॲट्रिब्यूट्स (Tunnel-Type=VLAN, Tunnel-Medium-Type=802, Tunnel-Private-Group-ID=[VLAN_ID]) वापरा.

पायरी 3: ॲक्सेस पॉइंट कॉन्फिगरेशन

तुमच्या वायरलेस इन्फ्रास्ट्रक्चरवर (उदा. Meraki, Aruba, Cisco) SSID कॉन्फिगर करा.

  1. नवीन SSID तयार करा आणि WPA2-Enterprise किंवा WPA3-Enterprise निवडा.
  2. तुमच्या प्रायमरी आणि सेकंडरी RADIUS सर्व्हर्सचा IP ॲड्रेस एंटर करा.
  3. पायरी 1 मध्ये परिभाषित केलेले शेअर्ड सिक्रेट इनपुट करा.
  4. जर तुमचा RADIUS सर्व्हर VLAN ॲट्रिब्यूट्स पुश करत असेल तर Dynamic VLAN Assignment सक्षम करा.

पायरी 4: क्लायंट सप्लिकंट प्रोव्हिजनिंग

ही सर्वात महत्त्वाची आणि अनेकदा दुर्लक्षित केली जाणारी पायरी आहे. युझर्सनी त्यांचे डिव्हाइसेस मॅन्युअली कॉन्फिगर करण्यावर अवलंबून राहू नका.

  • कॉर्पोरेट डिव्हाइसेस: WiFi प्रोफाईल पुश करण्यासाठी ग्रुप पॉलिसी ऑब्जेक्ट्स (GPO) किंवा तुमचा मोबाईल डिव्हाइस मॅनेजमेंट (MDM) प्लॅटफॉर्म वापरा. इव्हिल ट्विन (Evil Twin) हल्ले टाळण्यासाठी प्रोफाईलने विश्वसनीय रूट CA आणि तुमच्या RADIUS सर्व्हरचे अचूक सर्व्हर नाव निर्दिष्ट करणे आवश्यक आहे.
  • BYOD: कर्मचाऱ्यांच्या मालकीच्या डिव्हाइसेसवर सुरक्षित प्रोफाईल्स पुश करण्यासाठी ऑनबोर्डिंग पोर्टल किंवा MDM सोल्यूशन लागू करा.

सर्वोत्तम पद्धती आणि उद्योग मानके

मजबूत डिप्लॉयमेंट सुनिश्चित करण्यासाठी, खालील आर्किटेक्चरल सर्वोत्तम पद्धतींचे पालन करा:

  1. कठोर सर्टिफिकेट व्हॅलिडेशन: क्लायंट्सना कोणतेही सर्व्हर सर्टिफिकेट आंधळेपणाने स्वीकारण्याची कधीही परवानगी देऊ नका. PEAP क्रेडेंशियल हार्वेस्टिंगसाठी हा प्राथमिक मार्ग आहे.
  2. गेस्ट ट्रॅफिक वेगळे करा: तुमचे 802.1X इन्फ्रास्ट्रक्चर कॉर्पोरेट ॲक्सेससाठी आहे. गेस्ट ट्रॅफिक पूर्णपणे वेगळे राहिले पाहिजे. स्वतःचे Captive Portal आणि ॲनालिटिक्स लेयर असलेले एक समर्पित Guest WiFi प्लॅटफॉर्म लागू करा. आमच्या Protect Your Network with Strong DNS and Security वरील मार्गदर्शकामध्ये चर्चा केल्याप्रमाणे, लॉजिकल सेपरेशन हे नेटवर्क संरक्षणासाठी मूलभूत आहे.
  3. रिडंडन्सी लागू करा: RADIUS ही एक क्रिटिकल पाथ सर्व्हिस आहे. प्रायमरी आणि सेकंडरी RADIUS सर्व्हर्स डिप्लॉय करा. मोठ्या Retail चेन्ससारख्या डिस्ट्रिब्युटेड वातावरणात, WAN लिंक ड्रॉप झाल्यास सर्व्हायव्हेबिलिटीसाठी लोकल RADIUS प्रॉक्सीजचा विचार करा.

ट्रबलशूटिंग आणि रिस्क मिटिगेशन

जेव्हा डिप्लॉयमेंट्स अयशस्वी होतात, तेव्हा ते सहसा काही सामान्य कॉन्फिगरेशन त्रुटींमुळे होते:

  • RADIUS टाइमआउट एरर्स: अनेकदा AP आणि RADIUS सर्व्हरमधील विसंगत शेअर्ड सिक्रेटमुळे, किंवा UDP पोर्ट्स 1812 (ऑथेंटिकेशन) आणि 1813 (अकाउंटिंग) ब्लॉक करणाऱ्या फायरवॉल नियमांमुळे उद्भवतात.
  • क्लायंट रिजेक्शन: RADIUS इव्हेंट लॉग तपासा (उदा. Windows Event Viewer -> Custom Views -> Server Roles -> Network Policy and Access Services). Event ID 6273 शोधा. सामान्य कारणांमध्ये कालबाह्य झालेली क्लायंट सर्टिफिकेट्स किंवा क्लायंटचा सर्व्हरच्या सर्टिफिकेट चेनवर विश्वास नसणे यांचा समावेश होतो.
  • VLAN असाइनमेंट फेल्युअर्स: जर ऑथेंटिकेशन यशस्वी झाले परंतु क्लायंटला कोणताही IP ॲड्रेस मिळाला नाही, तर AP शी कनेक्ट केलेला स्विच पोर्ट डायनॅमिकली नियुक्त केलेल्या VLAN ला अनुमती देणारा ट्रंक पोर्ट म्हणून कॉन्फिगर केलेला आहे का ते तपासा.

ROI आणि व्यावसायिक प्रभाव

802.1X लागू केल्याने महत्त्वपूर्ण ऑपरेशनल आणि सिक्युरिटी ROI मिळतो:

  • रिस्क मिटिगेशन: संपूर्ण कॉर्पोरेट नेटवर्कमध्ये घुसखोरी करणाऱ्या एका तडजोड केलेल्या PSK चा धोका दूर करते, जे थेट PCI DSS आणि GDPR कंप्लायन्स प्रयत्नांना समर्थन देते.
  • ऑपरेशनल एफिशियन्सी: ॲक्सेस कंट्रोलचे केंद्रीकरण करते. जेव्हा एखादा कर्मचारी नोकरी सोडतो, तेव्हा त्यांचे ॲक्टिव्ह डिरेक्टरी अकाउंट डिसेबल केल्याने त्यांचा WiFi ॲक्सेस त्वरित रद्द होतो. संपूर्ण एंटरप्राइझमध्ये PSKs रोटेट करण्याची आवश्यकता नाही.
  • नेटवर्क व्हिजिबिलिटी: नेटवर्कवर नेमके कोण आहे आणि ते कोणते डिव्हाइस वापरत आहेत याची सूक्ष्म दृश्यमानता प्रदान करते, ज्यामुळे उत्तम कपॅसिटी प्लॅनिंग आणि थ्रेट हंटिंग शक्य होते.

स्टेडियम किंवा Hospitality ठिकाणांसारख्या गुंतागुंतीच्या, उच्च-घनतेच्या वातावरणासाठी, गेस्ट ॲक्सेससोबत कॉर्पोरेट सुरक्षा व्यवस्थापित करणे आव्हानात्मक आहे. 802.1X सह कॉर्पोरेट ॲसेट्स सुरक्षित करून आणि अभ्यागतांच्या ट्रॅफिकसाठी एक मजबूत WiFi Analytics प्लॅटफॉर्मचा फायदा घेऊन, IT लीडर्स सुरक्षित, स्केलेबल कनेक्टिव्हिटी देऊ शकतात जी व्यवसाय आणि त्याचे ग्राहक दोघांनाही सेवा देते. उच्च-घनतेच्या वातावरणाचे व्यवस्थापन करण्याच्या इनसाइट्ससाठी, आमच्या Zoo and Theme Park WiFi: High-Footfall Venue Connectivity Guide चे पुनरावलोकन करा.

महत्वाच्या व्याख्या

802.1X

पोर्ट-आधारित नेटवर्क ॲक्सेस कंट्रोलसाठी एक IEEE स्टँडर्ड जे LAN किंवा WLAN शी कनेक्ट होऊ इच्छिणाऱ्या डिव्हाइसेसना ऑथेंटिकेशन यंत्रणा प्रदान करते.

एंटरप्राइझ WiFi सुरक्षेसाठी मूलभूत प्रोटोकॉल, जो असुरक्षित शेअर्ड पासवर्ड्सची जागा घेतो.

Supplicant

नेटवर्क ॲक्सेसची विनंती करणारे क्लायंट डिव्हाइस किंवा सॉफ्टवेअर ॲप्लिकेशन.

सुरक्षित कनेक्शन्स सुनिश्चित करण्यासाठी IT टीम्सनी MDM द्वारे सप्लिकंट कॉन्फिगरेशन व्यवस्थापित केले पाहिजे.

Authenticator

नेटवर्क डिव्हाइस (ॲक्सेस पॉइंट किंवा स्विच) जे सप्लिकंट आणि ऑथेंटिकेशन सर्व्हर दरम्यान प्रॉक्सी म्हणून काम करून ऑथेंटिकेशन प्रक्रियेची सोय करते.

EAP ट्रॅफिक सुरक्षितपणे फॉरवर्ड करण्यासाठी RADIUS सर्व्हर IP आणि शेअर्ड सिक्रेटसह कॉन्फिगर केलेले.

RADIUS

रिमोट ऑथेंटिकेशन डायल-इन युझर सर्व्हिस; एक नेटवर्किंग प्रोटोकॉल जो केंद्रीकृत ऑथेंटिकेशन, ऑथोरायझेशन आणि अकाउंटिंग (AAA) व्यवस्थापन प्रदान करतो.

बॅकएंड सर्व्हर (जसे की Microsoft NPS) जो प्रत्यक्षात डिरेक्टरी विरुद्ध युझरच्या क्रेडेंशियल्स प्रमाणित करतो.

EAP (Extensible Authentication Protocol)

वायरलेस नेटवर्क्स आणि पॉइंट-टू-पॉइंट कनेक्शन्समध्ये वारंवार वापरले जाणारे ऑथेंटिकेशन फ्रेमवर्क, जे एकाधिक ऑथेंटिकेशन पद्धतींना सपोर्ट करते.

सप्लिकंट आणि RADIUS सर्व्हर दरम्यान बोलली जाणारी 'भाषा'.

EAP-TLS

एक EAP पद्धत जी ट्रान्सपोर्ट लेयर सिक्युरिटी वापरते, ज्यासाठी म्युच्युअल ऑथेंटिकेशनकरिता सर्व्हर आणि क्लायंट-साइड दोन्ही सर्टिफिकेट्स आवश्यक असतात.

उपलब्ध असलेली सर्वात सुरक्षित पद्धत, अनेकदा उच्च-सुरक्षा किंवा क्लासिफाईड वातावरणासाठी अनिवार्य केली जाते.

PEAP

प्रोटेक्टेड एक्सटेन्सिबल ऑथेंटिकेशन प्रोटोकॉल; एका एन्क्रिप्टेड आणि ऑथेंटिकेटेड TLS टनेलमध्ये EAP ला एन्कॅप्स्युलेट करते.

सर्वात मोठ्या प्रमाणावर डिप्लॉय केलेली एंटरप्राइझ पद्धत, जी केवळ सर्व्हर-साइड सर्टिफिकेटची आवश्यकता ठेवून डिप्लॉयमेंटच्या सुलभतेसह सुरक्षेचा समतोल साधते.

Dynamic VLAN Assignment

अशी प्रक्रिया जिथे RADIUS सर्व्हर ॲक्सेस पॉइंटला ऑथेंटिकेटेड युझरला त्यांच्या डिरेक्टरी ग्रुप मेंबरशिपवर आधारित विशिष्ट VLAN वर ठेवण्याची सूचना देतो.

केवळ एकच कॉर्पोरेट SSID ब्रॉडकास्ट करताना नेटवर्क ट्रॅफिक सेगमेंट करण्यासाठी (उदा. HR, इंजिनिअरिंग आणि IoT डिव्हाइसेस वेगळे करणे) महत्त्वपूर्ण आहे.

सोडवलेली उदाहरणे

एका 300-खोल्यांच्या लक्झरी हॉटेलला त्यांचे बॅक-ऑफ-हाऊस ऑपरेशनल नेटवर्क (स्टाफ टॅब्लेट्स, VoIP फोन्स, मॅनेजमेंट लॅपटॉप्स) सुरक्षित करायचे आहे आणि ते गेस्ट नेटवर्कपासून पूर्णपणे वेगळे ठेवायचे आहे. ते सध्या स्टाफसाठी एकच PSK वापरतात.

  1. हॉटेलच्या विद्यमान ॲक्टिव्ह डिरेक्टरीशी लिंक केलेले Microsoft NPS डिप्लॉय करा.
  2. टॅब्लेट ऑनबोर्डिंग सोपे करण्यासाठी NPS सर्व्हरवर पब्लिक सर्टिफिकेट (उदा. DigiCert) वापरून PEAP-MSCHAPv2 कॉन्फिगर करा.
  3. APs वर एक 802.1X SSID ('Hotel_Ops') तयार करा.
  4. सर्व स्टाफ टॅब्लेट्स आणि लॅपटॉप्सवर 'Hotel_Ops' WiFi प्रोफाईल पुश करण्यासाठी हॉटेलचा MDM प्लॅटफॉर्म वापरा, DigiCert रूट CA वर विश्वास ठेवण्यासाठी आणि NPS सर्व्हरचे नाव प्रमाणित करण्यासाठी प्रोफाईल स्पष्टपणे कॉन्फिगर करा.
  5. अटींची स्वीकृती आणि ॲनालिटिक्ससाठी Purple च्या Captive Portal द्वारे राउट करून विद्यमान ओपन गेस्ट SSID कायम ठेवा, हे सुनिश्चित करा की गेस्ट VLANs ऑपरेशनल VLANs कडे राउट करू शकत नाहीत.
परीक्षकाचे भाष्य: हा दृष्टिकोन सुरक्षेचा डिप्लॉयमेंटच्या गुंतागुंतीसोबत समतोल साधतो. RADIUS सर्व्हरवर पब्लिक सर्टिफिकेट वापरून, हॉटेल संपूर्ण PKI डिप्लॉय करण्याचा ओव्हरहेड टाळते आणि तरीही शेअर्ड PSK चा धोका दूर करते. VLANs आणि भिन्न ऑथेंटिकेशन यंत्रणांद्वारे गेस्ट आणि कॉर्पोरेट ट्रॅफिकचे काटेकोरपणे वेगळे करणे हॉटेलच्या पॉइंट-ऑफ-सेल सिस्टीम्ससाठी PCI DSS आवश्यकतांशी संरेखित होते.

एक युनिव्हर्सिटी कॅम्पस 802.1X कडे स्थलांतरित होत आहे आणि त्यांना विविध ऑपरेटिंग सिस्टीम्सवरील 15,000 विद्यार्थ्यांसाठी एका मोठ्या BYOD वातावरणाला सपोर्ट करण्याची आवश्यकता आहे.

  1. लोड बॅलेंसिंगसह एक मजबूत RADIUS क्लस्टर (उदा. FreeRADIUS किंवा Cisco ISE) डिप्लॉय करा.
  2. व्यापक डिव्हाइस सुसंगततेसाठी PEAP-MSCHAPv2 लागू करा.
  3. एक ऑनबोर्डिंग पोर्टल (उदा. SecureW2) डिप्लॉय करा जे विद्यार्थ्याच्या डिव्हाइस सप्लिकंटला योग्य EAP सेटिंग्ज वापरण्यासाठी आणि युनिव्हर्सिटीच्या RADIUS सर्व्हर सर्टिफिकेटवर विश्वास ठेवण्यासाठी स्वयंचलितपणे कॉन्फिगर करते.
  4. ब्रॉडकास्ट डोमेन्स व्यवस्थापित करण्यासाठी विद्यार्थ्यांच्या कॅम्पस लोकेशनवर आधारित त्यांना योग्य सबनेट्समध्ये ठेवण्यासाठी RADIUS ॲट्रिब्यूट्सद्वारे डायनॅमिक VLAN असाइनमेंट वापरा.
परीक्षकाचे भाष्य: उच्च शिक्षणामध्ये, BYOD हे प्राथमिक आव्हान आहे. विद्यार्थ्यांद्वारे मॅन्युअल कॉन्फिगरेशनवर अवलंबून राहिल्याने हेल्पडेस्क तिकिटांची उच्च संख्या आणि असुरक्षित कॉन्फिगरेशन्स (अवैध सर्टिफिकेट्स स्वीकारणारे युझर्स) निश्चित होतात. ऑनबोर्डिंग पोर्टल हा येथील महत्त्वाचा यश घटक आहे, जो क्रेडेंशियल हार्वेस्टिंग टाळण्यासाठी सप्लिकंट लॉक डाउन केलेला असल्याची खात्री देतो.

सराव प्रश्न

Q1. तुमची संस्था PEAP-MSCHAPv2 वापरून 802.1X डिप्लॉय करत आहे. टेस्टिंग दरम्यान, युझर्स रिपोर्ट करतात की पहिल्यांदा कनेक्ट करताना त्यांना 'सर्टिफिकेट स्वीकारा' असे प्रॉम्प्ट केले जाते. तुम्ही हे कसे सोडवाल?

टीप: नेटवर्क इन्फ्रास्ट्रक्चरच्या संदर्भात युझर्सना विश्वासाचे निर्णय घेण्याची परवानगी देण्याच्या सुरक्षेवरील परिणामांचा विचार करा.

नमुना उत्तर पहा

तुम्ही क्लायंट सप्लिकंट प्रोफाईल्स (MDM किंवा ग्रुप पॉलिसीद्वारे) RADIUS सर्व्हरचे सर्टिफिकेट जारी करणाऱ्या रूट CA वर स्पष्टपणे विश्वास ठेवण्यासाठी आणि विशिष्ट सर्व्हरचे नाव प्रमाणित करण्यासाठी कॉन्फिगर करणे आवश्यक आहे. युझर्सनी मॅन्युअली सर्टिफिकेट्स स्वीकारण्यावर अवलंबून राहिल्याने त्यांना सुरक्षा इशाऱ्यांकडे दुर्लक्ष करण्याची सवय लागते आणि नेटवर्क इव्हिल ट्विन (क्रेडेंशियल हार्वेस्टिंग) हल्ल्यांसाठी असुरक्षित राहते.

Q2. तुम्हाला वेअरहाऊस बारकोड स्कॅनर्सचा ताफा सुरक्षित करण्याची आवश्यकता आहे. ते WPA2-Enterprise ला सपोर्ट करतात परंतु त्यांच्याकडे क्लायंट सर्टिफिकेट्स इन्स्टॉल करण्याची किंवा ॲक्टिव्ह डिरेक्टरी जॉईन करण्याची यंत्रणा नाही. सर्वात सुरक्षित डिप्लॉयमेंट दृष्टिकोन कोणता आहे?

टीप: क्लायंट-साइड सर्टिफिकेट्सची आवश्यकता नसलेल्या परंतु तरीही एन्क्रिप्टेड ऑथेंटिकेशन प्रदान करणाऱ्या EAP पद्धतींचे मूल्यांकन करा.

नमुना उत्तर पहा

PEAP-MSCHAPv2 डिप्लॉय करा. स्कॅनर्ससाठी तुमच्या डिरेक्टरीमध्ये एक समर्पित सर्व्हिस अकाउंट तयार करा. TLS टनेल स्थापित करण्यासाठी सर्व्हर सर्टिफिकेटसह RADIUS सर्व्हर कॉन्फिगर करा आणि टनेलच्या आत सर्व्हिस अकाउंट क्रेडेंशियल्स वापरून ऑथेंटिकेट करण्यासाठी स्कॅनर्स कॉन्फिगर करा. RADIUS पॉलिसी या सर्व्हिस अकाउंटला एका विशिष्ट, आयसोलेटेड वेअरहाऊस VLAN पुरते मर्यादित करते याची खात्री करा.

Q3. APs आणि RADIUS सर्व्हर कॉन्फिगर केल्यानंतर, क्लायंट डिव्हाइसेस यशस्वीरित्या ऑथेंटिकेट होतात (Access-Accept सह RADIUS लॉगमध्ये सत्यापित), परंतु त्यांना IP ॲड्रेस प्राप्त होत नाही आणि ते नेटवर्क ॲक्सेस करू शकत नाहीत. सर्वात संभाव्य इन्फ्रास्ट्रक्चर समस्या कोणती आहे?

टीप: ऑथेंटिकेशन यशस्वी झाले आहे, याचा अर्थ 802.1X टप्पा पूर्ण झाला आहे. समस्या त्यानंतरच्या नेटवर्क प्रोव्हिजनिंग टप्प्यात आहे.

नमुना उत्तर पहा

सर्वात संभाव्य समस्या वायर्ड नेटवर्कवरील VLAN मिसकॉन्फिगरेशन आहे. जर RADIUS सर्व्हर क्लायंटला विशिष्ट VLAN (उदा. VLAN 20) वर ठेवण्यासाठी डायनॅमिक VLAN असाइनमेंट वापरत असेल, तर ॲक्सेस पॉइंटला जोडणारा स्विच पोर्ट 802.1Q ट्रंक पोर्ट म्हणून कॉन्फिगर केलेला असणे आवश्यक आहे जो VLAN 20 ला अनुमती देतो. जर VLAN AP ला ट्रंक केलेला नसेल, तर क्लायंटच्या DHCP विनंत्या ड्रॉप केल्या जातील.

या मालिकेमध्ये पुढे वाचा

विक्रेत्यानुसार प्रति-डिव्हाइस PSK: iPSK, DPSK, MPSK आणि PPSK ची तुलना (आणि WPA3 सपोर्ट)

Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet आणि Ubiquiti UniFi मधील प्रति-डिव्हाइस PSK अंमलबजावणीची सर्वसमावेशक तुलना. WPA3-SAE चा प्रति-डिव्हाइस की (key) धोरणांवर कसा परिणाम होतो आणि ट्रान्झिशन मोड कधी लागू करायचे विरुद्ध 802.1X कडे कधी वळायचे ते जाणून घ्या.

मार्गदर्शिका वाचा →

MAC Address Authentication म्हणजे काय? ते कधी वापरावे आणि कधी टाळावे

हे अधिकृत तांत्रिक संदर्भ मार्गदर्शक एंटरप्राइझ WiFi वातावरणातील MAC ऍड्रेस ऑथेंटिकेशन कव्हर करते — RADIUS-आधारित MAC ऑथेंटिकेशन लेयर 2 वर कसे काम करते, त्याच्या अंगभूत सुरक्षा भेद्यता (MAC स्पूफिंग आणि OS-स्तरीय MAC रँडमायझेशनच्या प्रभावासह), आणि अचूक ऑपरेशनल संदर्भ जिथे ते IoT आणि हेडलेस उपकरणांचे व्यवस्थापन करण्यासाठी एक वैध साधन राहते. हे हॉस्पिटॅलिटी, रिटेल, हेल्थकेअर आणि सार्वजनिक क्षेत्रातील व्हेन्यूजमधील IT मॅनेजर्स आणि नेटवर्क आर्किटेक्ट्ससाठी रिअल-वर्ल्ड उदाहरणे, निर्णय फ्रेमवर्क्स आणि Purple च्या अतिथी WiFi आणि ॲनालिटिक्स प्लॅटफॉर्मसाठी इंटिग्रेशन संदर्भासह कृतीयोग्य डिप्लॉयमेंट मार्गदर्शन प्रदान करते.

मार्गदर्शिका वाचा →

iOS आणि macOS वर 802.1X सह एंटरप्राइझ WiFi कसे सेट करावे

हे अधिकृत मार्गदर्शक वरिष्ठ IT लीडर्सना iOS आणि macOS डिव्हाइसेसवर 802.1X एंटरप्राइझ WiFi डिप्लॉय करण्यासाठी कृती करण्यायोग्य पायऱ्या प्रदान करते. हे BYOD उपक्रमांना सपोर्ट करताना कॉर्पोरेट नेटवर्क्स सुरक्षित करण्यासाठी सर्टिफिकेट-आधारित ऑथेंटिकेशन (EAP-TLS), MDM कॉन्फिगरेशन प्रोफाइल्स आणि आर्किटेक्चर इंटिग्रेशन कव्हर करते.

मार्गदर्शिका वाचा →