मुख्य मजकुराकडे जा
मराठी

सामान्य ॲक्सेस पॉईंट प्लॅटफॉर्म्सवर (Cisco, Aruba, Ubiquiti) WPA2-Enterprise कसे कॉन्फिगर करावे

हे तांत्रिक संदर्भ मार्गदर्शक वरिष्ठ IT व्यावसायिक आणि नेटवर्क आर्किटेक्ट्सना Cisco, Aruba आणि Ubiquiti प्लॅटफॉर्म्सवर WPA2-Enterprise डिप्लॉय करण्यासाठी एक निश्चित, व्हेंडर-विशिष्ट वॉकथ्रू प्रदान करते. हे एंटरप्राइझ आणि व्हेन्यू एन्व्हायर्नमेंट्समधील आर्किटेक्चर, RADIUS इंटिग्रेशन, कंप्लायन्स आवश्यकता आणि वास्तविक-जगातील डिप्लॉयमेंट परिस्थितींचे तपशील देते.

📖 6 मिनिट वाचन📝 1,309 शब्द🔧 2 सोडवलेली उदाहरणे3 सराव प्रश्न📚 8 महत्वाच्या व्याख्या

हे मार्गदर्शक ऐका

पॉडकास्ट ट्रान्सक्रिप्ट पहा
सामान्य ॲक्सेस पॉईंट प्लॅटफॉर्म्सवर WPA2-Enterprise कसे कॉन्फिगर करावे — Cisco, Aruba आणि Ubiquiti एक Purple WiFi इंटेलिजन्स ब्रीफिंग [INTRO — अंदाजे 1 मिनिट] Purple WiFi इंटेलिजन्स सिरीजमध्ये आपले स्वागत आहे. मी तुमचा होस्ट आहे, आणि आज आपण आमच्या एंटरप्राइझ क्लायंट्सकडून सर्वात जास्त विचारल्या जाणाऱ्या विषयावर थेट बोलणार आहोत: तीन सर्वात जास्त वापरल्या जाणाऱ्या ॲक्सेस पॉईंट प्लॅटफॉर्म्सवर — Cisco, Aruba आणि Ubiquiti — WPA2-Enterprise कसे कॉन्फिगर करावे. तुम्ही 500-खोल्यांच्या हॉटेल ग्रुपचे IT डायरेक्टर असा, राष्ट्रीय रिटेल चेनचे नेटवर्क आर्किटेक्ट असा, किंवा कॉन्फरन्स सेंटर ऑपरेटरचे CTO असा, हे ब्रीफिंग तुमच्यासाठी आहे. आपण केवळ सिद्धांतावर बोलणार नाही. डिप्लॉयमेंटचा निर्णय घेण्यासाठी, त्याची योग्य अंमलबजावणी करण्यासाठी आणि अनुभवी टीम्सनाही अडकवणाऱ्या चुका टाळण्यासाठी तुम्हाला काय माहित असणे आवश्यक आहे, यावर आपण चर्चा करणार आहोत. चला तर मग सुरुवात करूया. [TECHNICAL DEEP-DIVE — अंदाजे 5 मिनिटे] प्रथम, WPA2-Enterprise नेमके काय आहे हे थोडक्यात समजून घेऊया, कारण WPA2-Personal आणि WPA2-Enterprise मध्ये अजूनही बाजारात बरीच गल्लत आहे — आणि कंप्लायन्स आणि रिस्क पोश्चरसाठी हा फरक खूप महत्त्वाचा आहे. WPA2-Personal — ज्या आवृत्तीशी बहुतेक लोक परिचित आहेत — ती एकच प्री-शेअर्ड की वापरते. नेटवर्कवरील प्रत्येकजण समान पासवर्ड वापरतो. होम नेटवर्कसाठी ते ठीक आहे. परंतु व्यावसायिक वातावरणासाठी ते अजिबात स्वीकार्य नाही जिथे तुम्हाला पर-युझर ऑथेंटिकेशन, ऑडिट ट्रेल्स आणि ॲक्सेस त्वरित रद्द करण्याची क्षमता आवश्यक असते. IEEE 802.1X अंतर्गत परिभाषित केलेले WPA2-Enterprise, त्या शेअर्ड की च्या जागी वैयक्तिक ऑथेंटिकेशन एक्सचेंज आणते. प्रत्येक युझर किंवा डिव्हाइस स्वतःचे क्रेडेंशियल्स सादर करते — मग ते युझरनेम आणि पासवर्ड असो, डिजिटल सर्टिफिकेट असो किंवा टोकन असो — आणि नेटवर्क ॲक्सेस मिळण्यापूर्वी ते क्रेडेंशियल्स RADIUS सर्व्हरद्वारे प्रमाणित केले जातात. ॲक्सेस पॉईंट स्वतः कधीही क्रेडेंशियल्स पाहत नाही. तो केवळ ऑथेंटिकेटर म्हणून काम करतो, क्लायंट आणि RADIUS सर्व्हर दरम्यान EAP — Extensible Authentication Protocol — एक्सचेंज पास करतो. हे मूलभूतपणे अधिक सुरक्षित आर्किटेक्चर आहे, आणि पेमेंट कार्ड डेटा हाताळणाऱ्या कोणत्याही वातावरणात PCI DSS कंप्लायन्ससाठी ही मूलभूत आवश्यकता आहे, तसेच वायरलेस नेटवर्क्सवर वैयक्तिक डेटा प्रोसेस करणाऱ्या संस्थांसाठी GDPR अंतर्गत याची जोरदार शिफारस केली जाते. आता, आपण तीन प्लॅटफॉर्म्सबद्दल बोलूया. Cisco पासून सुरुवात करूया. Cisco चा एंटरप्राइझ WiFi पोर्टफोलिओ — प्रामुख्याने Catalyst आणि Meraki लाईन्स — मोठ्या प्रमाणावरील डिप्लॉयमेंट्ससाठी पहिली पसंती आहे. Cisco DNA Center केंद्रीकृत पॉलिसी मॅनेजमेंट प्रदान करते, आणि Meraki डॅशबोर्ड डिस्ट्रिब्युटेड इस्टेट्ससाठी क्लाउड-मॅनेज्ड साधेपणा ऑफर करतो. Cisco Catalyst ॲक्सेस पॉईंटवर WPA2-Enterprise कॉन्फिगर करण्यासाठी, तुम्ही WLC — Wireless LAN Controller — किंवा DNA Center द्वारे काम कराल. मुख्य स्टेप्स आहेत: Security, नंतर AAA, नंतर RADIUS Authentication Servers अंतर्गत तुमचा RADIUS सर्व्हर परिभाषित करा; एक नवीन WLAN प्रोफाईल तयार करा; की मॅनेजमेंट पद्धत म्हणून 802.1X सह सिक्युरिटी पॉलिसी WPA2 वर सेट करा; आणि RADIUS सर्व्हरला त्या WLAN शी बाइंड करा. Cisco वरील एक महत्त्वाचा मुद्दा: तुम्ही ऑथेंटिकेशन सोबत RADIUS अकाउंटिंग देखील कॉन्फिगर करत आहात याची खात्री करा. अकाउंटिंग तुम्हाला पर-सेशन ऑडिट ट्रेल देते जे कंप्लायन्स फ्रेमवर्क्ससाठी आवश्यक आहे. Meraki वर, ही प्रक्रिया आणखी सोपी आहे — Wireless, नंतर SSIDs वर जा, तुमचा टार्गेट SSID निवडा, सिक्युरिटी 'WPA2-Enterprise with my RADIUS server' वर सेट करा, आणि तुमचा RADIUS सर्व्हर IP, पोर्ट — सामान्यतः ऑथेंटिकेशनसाठी 1812 आणि अकाउंटिंगसाठी 1813 — आणि शेअर्ड सिक्रेट एंटर करा. Meraki डॅशबोर्डवरून थेट RADIUS टेस्टिंगला देखील सपोर्ट करते, जे कमिशनिंग दरम्यान अत्यंत उपयुक्त आहे. Aruba कडे वळूया. Aruba Networks, आता HPE चा भाग आहे, हॉस्पिटॅलिटी आणि उच्च शिक्षणामध्ये एक प्रमुख पर्याय आहे. Aruba Central क्लाउड मॅनेजमेंट प्रदान करते, आणि ArubaOS हा अंतर्निहित प्लॅटफॉर्म आहे. Aruba वर, WPA2-Enterprise कॉन्फिगरेशन SSID प्रोफाईलमध्ये असते. तुम्ही एक AAA प्रोफाईल परिभाषित कराल जे तुमच्या RADIUS सर्व्हरचा संदर्भ देते, नंतर ते AAA प्रोफाईल तुमच्या व्हर्च्युअल AP प्रोफाईलला जोडाल. Aruba च्या ClearPass Policy Manager चा येथे विशेष उल्लेख करणे आवश्यक आहे — हे Aruba चे स्वतःचे RADIUS आणि पॉलिसी इंजिन आहे, आणि ते डिव्हाइस प्रोफायलिंग, रोल-बेस्ड ॲक्सेस कंट्रोल आणि गेस्ट ऑनबोर्डिंगच्या बाबतीत महत्त्वपूर्ण क्षमता जोडते. जर तुम्ही कर्मचारी, कंत्राटदार आणि गेस्ट्स या सर्वांना एकाच इन्फ्रास्ट्रक्चरशी कनेक्ट करणारे मिश्र वातावरण चालवत असाल, तर ClearPass तुम्हाला त्यांना योग्यरित्या सेगमेंट करण्यासाठी पॉलिसी ग्रॅन्युलॅरिटी देते. Purple सारख्या प्लॅटफॉर्मद्वारे स्वतंत्र गेस्ट WiFi सोल्यूशन चालवताना कर्मचारी आणि बॅक-ऑफ-हाऊस नेटवर्क्सवर WPA2-Enterprise डिप्लॉय करणाऱ्या हॉटेलसाठी, कर्मचारी ऑथेंटिकेशनसाठी ClearPass सह Aruba चे SSID सेगमेंटेशन हे एक अतिशय उत्तम आर्किटेक्चर आहे. आता Ubiquiti. Ubiquiti च्या UniFi प्लॅटफॉर्मने SMB आणि मिड-मार्केट स्पेसमध्ये — आणि वाढत्या प्रमाणात बुटीक हॉस्पिटॅलिटी आणि रिटेलमध्ये — त्याच्या स्पर्धात्मक किंमतीमुळे आणि खरोखरच सक्षम मॅनेजमेंट इंटरफेसमुळे लक्षणीय पसंती मिळवली आहे. UniFi Network Controller हे असे ठिकाण आहे जिथे तुम्ही मुख्य काम कराल. UniFi वर WPA2-Enterprise कॉन्फिगर करण्यासाठी, Settings, नंतर WiFi वर जा, तुमचा SSID तयार करा किंवा एडिट करा, सिक्युरिटी WPA2 Enterprise वर सेट करा, आणि तुमचे RADIUS प्रोफाईल कॉन्फिगर करा — पुन्हा, IP ॲड्रेस, ऑथेंटिकेशन पोर्ट 1812, अकाउंटिंग पोर्ट 1813 आणि शेअर्ड सिक्रेट. Ubiquiti बाबत एक महत्त्वाचा विचार: काही एंटरप्राइझ प्लॅटफॉर्म्सप्रमाणे यात अंगभूत RADIUS सर्व्हर येत नाही. तुम्हाला बाह्य RADIUS सर्व्हरची आवश्यकता असेल — मग तो Windows Server NPS असो, FreeRADIUS असो किंवा क्लाउड RADIUS सर्व्हिस असो. ही स्वतःहून कोणतीही मर्यादा नाही, परंतु हे एक अवलंबित्व आहे ज्याचे नियोजन करणे आवश्यक आहे. लहान डिप्लॉयमेंट्ससाठी, UniFi Network Application मध्ये एक बेसिक RADIUS सर्व्हर समाविष्ट असतो, परंतु प्रोडक्शन एन्व्हायर्नमेंट्ससाठी मी नेहमी समर्पित RADIUS इन्स्टन्सची शिफारस करेन. सर्व तीन प्लॅटफॉर्म्सवर, EAP पद्धतीची निवड लक्ष देण्यायोग्य आहे. MSCHAPv2 सह PEAP ही सर्वात जास्त वापरली जाणारी पद्धत आहे कारण ती क्लायंट-साइड सर्टिफिकेट्सची आवश्यकता नसताना Active Directory क्रेडेंशियल्ससह कार्य करते. EAP-TLS अधिक सुरक्षित आहे — ते म्युच्युअल सर्टिफिकेट ऑथेंटिकेशन वापरते — परंतु त्यासाठी PKI इन्फ्रास्ट्रक्चर आणि प्रत्येक क्लायंट डिव्हाइसवर सर्टिफिकेट डिप्लॉयमेंट आवश्यक आहे, ज्यामुळे ऑपरेशनल ओव्हरहेड वाढतो. बहुतेक एंटरप्राइझ डिप्लॉयमेंट्ससाठी, योग्यरित्या कॉन्फिगर केलेला RADIUS सर्व्हर आणि क्लायंट साइडवर सर्टिफिकेट व्हॅलिडेशनसह PEAP-MSCHAPv2 हा सुरक्षा आणि ऑपरेशनल मॅनेजेबिलिटीचा योग्य समतोल आहे. [IMPLEMENTATION RECOMMENDATIONS AND PITFALLS — अंदाजे 2 मिनिटे] आता मी तुम्हाला WPA2-Enterprise डिप्लॉयमेंट्समध्ये दिसणारे तीन सर्वात सामान्य फेल्युअर मोड्स आणि ते कसे टाळावे ते सांगतो. पहिला: RADIUS सर्व्हरची उपलब्धता. तुमचा RADIUS सर्व्हर आता प्रत्येक वायरलेस ऑथेंटिकेशनसाठी महत्त्वपूर्ण मार्गावर आहे. जर तो डाऊन झाला, तर कोणीही कनेक्ट होऊ शकत नाही. याचा अर्थ तुम्हाला RADIUS रिडंडन्सीची आवश्यकता आहे — किमान प्रत्येक ॲक्सेस पॉईंटवर प्रायमरी आणि सेकंडरी RADIUS सर्व्हर कॉन्फिगर केलेला असावा. बहुतेक प्लॅटफॉर्म्स याला नेटिव्हली सपोर्ट करतात. Cisco वर, तुम्ही फेलओव्हरसह RADIUS सर्व्हर ग्रुप्स कॉन्फिगर करू शकता. Aruba वर, AAA प्रोफाईल कॉन्फिगरेबल रिट्राय आणि टाइमआउट व्हॅल्यूजसह एकाधिक RADIUS सर्व्हर्सना सपोर्ट करते. Ubiquiti वर, तुम्ही RADIUS प्रोफाईलमध्ये सेकंडरी RADIUS सर्व्हर निर्दिष्ट करू शकता. ही स्टेप वगळू नका. दुसरा: सर्टिफिकेट व्हॅलिडेशन. मी रिव्ह्यू केलेल्या डिप्लॉयमेंट्सपैकी धक्कादायक प्रमाणात क्लायंट डिव्हाइसेस कोणतेही RADIUS सर्व्हर प्रमाणपत्र स्वीकारण्यासाठी कॉन्फिगर केलेले असतात. हे सिक्युरिटी मॉडेल पूर्णपणे कमकुवत करते — हे तुम्हाला evil twin हल्ल्यांसाठी खुले करते जिथे एक रोग ॲक्सेस पॉईंट तुमच्या नेटवर्कची तोतयागिरी करतो आणि क्रेडेंशियल्स चोरतो. विश्वसनीय CA कडून तुमचे RADIUS सर्व्हर प्रमाणपत्र कॉन्फिगर करा, आणि ते प्रमाणपत्र प्रमाणित करण्यासाठी तुमचे क्लायंट सप्लिकंट्स कॉन्फिगर करा. Windows वर, हे Group Policy द्वारे केले जाते. iOS आणि Android वर, हे MDM प्रोफाईल्सद्वारे हाताळले जाते. संवेदनशील डेटा हाताळणाऱ्या कोणत्याही वातावरणासाठी हे तडजोड न करण्यायोग्य आहे. तिसरा: VLAN असाइनमेंट. WPA2-Enterprise डायनॅमिक VLAN असाइनमेंट सक्षम करते — RADIUS सर्व्हर Access-Accept मेसेजमध्ये VLAN ॲट्रिब्यूट परत करू शकतो, प्रत्येक ऑथेंटिकेटेड युझरला त्यांच्या ओळखीच्या किंवा भूमिकेच्या आधारावर योग्य नेटवर्क सेगमेंटमध्ये ठेवू शकतो. हे 802.1X आर्किटेक्चरच्या सर्वात शक्तिशाली वैशिष्ट्यांपैकी एक आहे, आणि ते वारंवार अनकॉन्फिगर केलेले सोडले जाते. जर तुम्ही कर्मचारी, व्यवस्थापन आणि IoT डिव्हाइसेस सर्व एकाच फिजिकल इन्फ्रास्ट्रक्चरवर असलेले व्हेन्यू चालवत असाल, तर डायनॅमिक VLAN असाइनमेंटद्वारे तुम्ही एकाधिक SSIDs व्यवस्थापित न करता नेटवर्क सेगमेंटेशन लागू करता. Purple इंटिग्रेशनच्या बाजूने: जर तुम्ही तुमच्या कर्मचारी आणि ऑपरेशनल नेटवर्क्ससाठी WPA2-Enterprise डिप्लॉय करत असाल, आणि अभ्यागतांच्या कनेक्टिव्हिटीसाठी Purple चे गेस्ट WiFi प्लॅटफॉर्म चालवत असाल, तर या दोन सिस्टीम्स अतिशय उत्तम प्रकारे एकत्र राहतात. Purple गेस्ट ऑथेंटिकेशन, डेटा कॅप्चर आणि ॲनालिटिक्स लेयर हाताळते — ज्यामध्ये WiFi ॲनालिटिक्स आणि फूटफॉल इंटेलिजन्स समाविष्ट आहे जे व्हेन्यू ऑपरेटर्स ऑपरेशनल निर्णयांसाठी वापरतात — तर तुमचे WPA2-Enterprise इन्फ्रास्ट्रक्चर कॉर्पोरेट नेटवर्क सुरक्षित करते. ॲक्सेस पॉईंट स्तरावर क्लीन SSID आणि VLAN सेपरेशन ही मुख्य गोष्ट आहे, ज्याला तिन्ही प्लॅटफॉर्म्स सपोर्ट करतात. [RAPID-FIRE Q&A — अंदाजे 1 मिनिट] नियमितपणे विचारल्या जाणाऱ्या काही प्रश्नांची उत्तरे देऊया. मी एकाच ॲक्सेस पॉईंट्सवर WPA2-Enterprise आणि गेस्ट नेटवर्क चालवू शकतो का? होय, नक्कीच. तिन्ही प्लॅटफॉर्म्स प्रति रेडिओ एकाधिक SSIDs ला सपोर्ट करतात, प्रत्येकाची स्वतंत्र सिक्युरिटी पॉलिसी असते. तुमचा कॉर्पोरेट SSID WPA2-Enterprise चालवतो; तुमचा गेस्ट SSID योग्य आयसोलेशनसह Purple च्या Captive Portal द्वारे चालू शकतो. WPA2-Enterprise डिप्लॉय करण्यासाठी मला माझे विद्यमान ॲक्सेस पॉईंट्स बदलण्याची आवश्यकता आहे का? बहुधा नाही. एंटरप्राइझ-ग्रेड ॲक्सेस पॉईंट्सवर WPA2-Enterprise ला एका दशकाहून अधिक काळापासून सपोर्ट आहे. जर तुमचे हार्डवेअर आठ वर्षांपेक्षा कमी जुने असेल आणि सध्याचे फर्मवेअर चालवत असेल, तर ते 802.1X ला सपोर्ट करेल. WPA2-Enterprise आणि WPA3-Enterprise मध्ये काय फरक आहे? WPA3-Enterprise Suite B क्रिप्टोग्राफी वापरून 192-बिट सिक्युरिटी मोड जोडते, जे सरकारी आणि संरक्षण वातावरणासाठी संबंधित आहे. बहुतेक व्यावसायिक डिप्लॉयमेंट्ससाठी, मजबूत EAP पद्धतींसह WPA2-Enterprise हेच स्टँडर्ड राहते. नवीन डिप्लॉयमेंट्ससाठी WPA3 ट्रान्झिशनचे नियोजन करणे योग्य आहे, परंतु बहुतेक संस्थांसाठी हे तातडीचे मायग्रेशन नाही. क्लाउड RADIUS हा एक व्यवहार्य पर्याय आहे का? होय, आणि वाढत्या प्रमाणात. क्लाउडमधील Cisco ISE, सर्व्हिस म्हणून Aruba ClearPass, किंवा JumpCloud आणि Foxpass सारखे थर्ड-पार्टी पर्याय मॅनेज्ड सर्व्हिस म्हणून RADIUS प्रदान करतात, जे इन्फ्रास्ट्रक्चर ओव्हरहेड दूर करते. डिस्ट्रिब्युटेड इस्टेट्ससाठी — 200 लोकेशन्स असलेल्या रिटेल चेनचा विचार करा — क्लाउड RADIUS ऑपरेशनल गुंतागुंत लक्षणीयरीत्या कमी करू शकते. [SUMMARY AND NEXT STEPS — अंदाजे 1 मिनिट] थोडक्यात सांगायचे तर: कोणत्याही एंटरप्राइझ वायरलेस डिप्लॉयमेंटसाठी WPA2-Enterprise ही तडजोड न करण्यायोग्य बेसलाईन आहे. Cisco, Aruba आणि Ubiquiti वरील कॉन्फिगरेशन प्रक्रिया समान मूलभूत पॅटर्न फॉलो करते — तुमचा RADIUS सर्व्हर परिभाषित करा, 802.1X की मॅनेजमेंटसह तुमचा SSID तयार करा, तुमची EAP पद्धत निवडा आणि लाईव्ह जाण्यापूर्वी टेस्ट करा. फरक फक्त मॅनेजमेंट इंटरफेसेस आणि प्रत्येक प्लॅटफॉर्मच्या सभोवतालच्या इकोसिस्टीम टूल्समध्ये आहे. तीन गोष्टी योग्य करणे आवश्यक आहे: RADIUS रिडंडन्सी, क्लायंट्सवर सर्टिफिकेट व्हॅलिडेशन आणि डायनॅमिक VLAN असाइनमेंट. या तीन गोष्टी योग्य करा आणि तुमच्याकडे एक भक्कम, कंप्लायंट, ऑडिटेबल वायरलेस सिक्युरिटी पोश्चर असेल. तुमच्या पुढील स्टेप्ससाठी: जर तुम्ही प्लॅटफॉर्म्सचे मूल्यांकन करत असाल, तर सोबतच्या मार्गदर्शकातील व्हेंडर कम्पॅरिझन फ्रेमवर्क वापरा. जर तुम्ही डिप्लॉय करण्यासाठी तयार असाल, तर प्रत्येक प्लॅटफॉर्मसाठी स्टेप-बाय-स्टेप कॉन्फिगरेशन वॉकथ्रू इम्प्लिमेंटेशन सेक्शनमध्ये आहेत. आणि जर तुम्ही तुमच्या एंटरप्राइझ नेटवर्कसोबत गेस्ट WiFi कसे बसेल याचा विचार करत असाल, तर Purple प्लॅटफॉर्म डॉक्युमेंटेशन इंटिग्रेशन आर्किटेक्चरचे तपशीलवार वर्णन करते. ऐकल्याबद्दल धन्यवाद. मी तुम्हाला पुढील ब्रीफिंगमध्ये भेटेन.

Executive Summary

WPA2-Enterprise डिप्लॉय करणे आता केवळ एक ऐच्छिक सिक्युरिटी अपग्रेड राहिलेले नाही; कोणत्याही एंटरप्राइझ वायरलेस नेटवर्कसाठी हा एक मूलभूत पाया आहे. हॉस्पिटॅलिटी, रिटेल आणि सार्वजनिक क्षेत्रातील वातावरणात काम करणाऱ्या IT मॅनेजर्स आणि नेटवर्क आर्किटेक्ट्ससाठी, प्री-शेअर्ड कीजवरून 802.1X ऑथेंटिकेशनकडे वळणे हे PCI DSS आणि GDPR सारख्या कठोर कंप्लायन्स नियमांमुळे प्रेरित आहे. हे तांत्रिक संदर्भ मार्गदर्शक तीन प्रमुख ॲक्सेस पॉईंट व्हेंडर्ससाठी कृतीयोग्य, प्लॅटफॉर्म-विशिष्ट कॉन्फिगरेशन स्टेप्स प्रदान करते: Cisco, Aruba आणि Ubiquiti.

WPA2-Enterprise कडे वळल्याने, संस्था शेअर्ड क्रेडेंशियल्सशी संबंधित धोके दूर करतात, ग्रॅन्युलर पर-सेशन ऑडिट ट्रेल्स मिळवतात आणि डायनॅमिक नेटवर्क सेगमेंटेशन सक्षम करतात. योग्यरित्या अंमलात आणल्यास, हे आर्किटेक्चर केवळ कॉर्पोरेट परिमिती सुरक्षित करत नाही तर सर्वसमावेशक Guest WiFi प्लॅटफॉर्मद्वारे व्यवस्थापित केलेल्या व्हिजिटर नेटवर्क्ससोबत अखंडपणे इंटिग्रेट देखील होते. पुढील विभाग यशस्वी रोलआउटसाठी आवश्यक तांत्रिक आर्किटेक्चर, डिप्लॉयमेंट स्टेप्स आणि रिस्क मिटिगेशन स्ट्रॅटेजीज तपशीलवार स्पष्ट करतात.

header_image.png

Technical Deep-Dive

WPA2-Enterprise पोर्ट-आधारित नेटवर्क ॲक्सेस कंट्रोल प्रदान करण्यासाठी IEEE 802.1X स्टँडर्डवर अवलंबून आहे. स्टॅटिक प्री-शेअर्ड की (PSK) वापरणाऱ्या WPA2-Personal च्या विपरीत, WPA2-Enterprise मध्ये नेटवर्क ॲक्सेस मिळण्यापूर्वी प्रत्येक सप्लिकंटला (क्लायंट डिव्हाइस) बाह्य ऑथेंटिकेशन सर्व्हरवर (सामान्यतः RADIUS सर्व्हर) वैयक्तिकरित्या ऑथेंटिकेट करणे आवश्यक असते.

या आर्किटेक्चरमध्ये तीन प्राथमिक घटक असतात:

  1. The Supplicant: नेटवर्कशी कनेक्ट होण्याचा प्रयत्न करणारे क्लायंट डिव्हाइस.
  2. The Authenticator: एंटरप्राइझ ॲक्सेस पॉईंट किंवा वायरलेस LAN कंट्रोलर (उदा. Cisco WLC, Aruba Mobility Controller) जे ऑथेंटिकेशन प्रक्रियेची सुविधा देते.
  3. The Authentication Server: बॅकएंड RADIUS सर्व्हर (उदा. Cisco ISE, Aruba ClearPass, Windows NPS) जे Active Directory किंवा LDAP सारख्या डिरेक्टरी सर्व्हिसद्वारे क्रेडेंशियल्स प्रमाणित करते.

The EAP Exchange Process

ऑथेंटिकेशन प्रक्रिया LAN (EAPOL) वर एन्कॅप्स्युलेटेड Extensible Authentication Protocol (EAP) चा वापर करते. ऑथेंटिकेटर सुरुवातीच्या टप्प्यात केवळ पास-थ्रू प्रॉक्सी म्हणून काम करतो. एकदा RADIUS सर्व्हरने क्रेडेंशियल्स प्रमाणित केले की, तो ऑथेंटिकेटरला Access-Accept मेसेज परत पाठवतो, जो नंतर वायरलेस सेशन सुरक्षित करण्यासाठी आवश्यक एन्क्रिप्शन कीज मिळवतो.

EAP पद्धतीची निवड अत्यंत महत्त्वाची आहे. PEAP-MSCHAPv2 ही सर्वात जास्त वापरली जाणारी पद्धत आहे कारण ती सर्व्हरच्या प्रमाणपत्राद्वारे स्थापित केलेल्या TLS टनेलमध्ये एक्सचेंज सुरक्षित करताना लेगसी Active Directory पासवर्ड ऑथेंटिकेशनला सपोर्ट करते. तथापि, जास्तीत जास्त सुरक्षिततेसाठी, EAP-TLS ची शिफारस केली जाते. EAP-TLS ला म्युच्युअल सर्टिफिकेट ऑथेंटिकेशनची आवश्यकता असते—सर्व्हर आणि क्लायंट दोघांनीही वैध प्रमाणपत्रे सादर करणे आवश्यक आहे—ज्यामुळे क्रेडेंशियल चोरीला आळा बसतो परंतु सर्टिफिकेट वितरणासाठी मजबूत पब्लिक की इन्फ्रास्ट्रक्चर (PKI) किंवा मोबाईल डिव्हाइस मॅनेजमेंट (MDM) सोल्यूशनची आवश्यकता असते.

architecture_overview.png

Implementation Guide

WPA2-Enterprise कॉन्फिगर करण्याची मूलभूत तत्त्वे सर्व व्हेंडर्समध्ये समान आहेत, परंतु मॅनेजमेंट इंटरफेस आणि इकोसिस्टमच्या आधारावर अंमलबजावणी बदलते.

vendor_comparison_chart.png

Cisco (Catalyst and Meraki)

Cisco एन्व्हायर्नमेंट्स सामान्यतः कॅम्पस डिप्लॉयमेंट्सपासून डिस्ट्रिब्युटेड एंटरप्राइझ नेटवर्क्सपर्यंत स्केल होतात.

Cisco Catalyst (WLC/DNA Center):

  1. RADIUS सर्व्हर्स परिभाषित करा: Security टॅबवर जा, AAA निवडा आणि प्रायमरी व सेकंडरी RADIUS ऑथेंटिकेशन आणि अकाउंटिंग सर्व्हर्स कॉन्फिगर करा. शेअर्ड सिक्रेट RADIUS सर्व्हर कॉन्फिगरेशनशी जुळत असल्याची खात्री करा.
  2. WLAN प्रोफाईल तयार करा: WLANs टॅब अंतर्गत, एक नवीन प्रोफाईल तयार करा.
  3. सिक्युरिटी पॉलिसीज कॉन्फिगर करा: Layer 2 Security ला WPA+WPA2 वर सेट करा आणि Authentication Key Management (AKM) पद्धत म्हणून 802.1X सक्षम करा.
  4. AAA सर्व्हर्स बाइंड करा: पूर्वी परिभाषित केलेले RADIUS सर्व्हर्स WLAN प्रोफाईलवर मॅप करा. डायनॅमिक VLAN असाइनमेंट आवश्यक असल्यास 'AAA Override' सक्षम करा.

Cisco Meraki:

  1. SSID कॉन्फिगरेशन: Meraki डॅशबोर्डमध्ये, Wireless > SSIDs वर जा आणि टार्गेट नेटवर्क निवडा.
  2. ॲक्सेस कंट्रोल: असोसिएशनची आवश्यकता 'WPA2-Enterprise with my RADIUS server' वर सेट करा.
  3. RADIUS सेटिंग्ज: तुमच्या RADIUS इन्फ्रास्ट्रक्चरसाठी IP ॲड्रेसेस, ऑथेंटिकेशन पोर्ट (सामान्यतः 1812), अकाउंटिंग पोर्ट (1813) आणि शेअर्ड सिक्रेट्स इनपुट करा. डिप्लॉयमेंटपूर्वी RADIUS कनेक्टिव्हिटी पडताळून पाहण्यासाठी Meraki च्या डॅशबोर्डमध्ये अंगभूत टेस्टिंग टूल समाविष्ट आहे.

Aruba Networks

Aruba हे Hospitality आणि उच्च शिक्षणामध्ये एक प्रमुख प्लॅटफॉर्म आहे, जे प्रगत ॲक्सेस कंट्रोलसाठी त्याच्या ClearPass Policy Manager चा मोठ्या प्रमाणावर वापर करते.

  1. AAA प्रोफाईल परिभाषित करा: Aruba Central किंवा Mobility Controller UI मध्ये, एक नवीन AAA प्रोफाईल तयार करा. हे प्रोफाईल ऑथेंटिकेशन कसे हाताळले जाते हे ठरवते.
  2. RADIUS सर्व्हर ग्रुप कॉन्फिगर करा: तुमचे RADIUS सर्व्हर्स एका सर्व्हर ग्रुपमध्ये जोडा, फेलओव्हर नियम आणि टाइमआउट व्हॅल्यूज निर्दिष्ट करा. हा ग्रुप AAA प्रोफाईलला जोडा.
  3. व्हर्च्युअल AP कॉन्फिगरेशन: व्हर्च्युअल AP (SSID) प्रोफाईल तयार करा किंवा सुधारा. सिक्युरिटी प्रकार WPA2-Enterprise वर सेट करा.
  4. प्रोफाईल्स जोडा: AAA प्रोफाईल व्हर्च्युअल AP प्रोफाईलला बाइंड करा. ClearPass वापरत असल्यास, डायनॅमिक पॉलिसी एन्फोर्समेंटला अनुमती देण्यासाठी कोणत्याही मध्यस्थ फायरवॉल्सद्वारे RADIUS CoA (Change of Authorization) पोर्ट (3799) ला परवानगी असल्याची खात्री करा.

Ubiquiti (UniFi)

Ubiquiti हे UniFi Network Controller द्वारे Retail आणि SMB एन्व्हायर्नमेंट्ससाठी एक किफायतशीर सोल्यूशन प्रदान करते.

  1. RADIUS प्रोफाईल तयार करणे: Settings > Profiles > RADIUS वर जा. तुमच्या बाह्य RADIUS सर्व्हरचा IP ॲड्रेस, पोर्ट्स (1812/1813) आणि शेअर्ड सिक्रेटसह एक नवीन प्रोफाईल तयार करा.
  2. SSID कॉन्फिगरेशन: Settings > WiFi वर जा आणि एक नवीन वायरलेस नेटवर्क तयार करा.
  3. सिक्युरिटी सेटिंग्ज: सिक्युरिटी प्रोटोकॉल म्हणून 'WPA2 Enterprise' निवडा आणि नव्याने तयार केलेले RADIUS प्रोफाईल जोडा.
  4. RADIUS इन्फ्रास्ट्रक्चरवरील टीप: लोकलाईज्ड सर्व्हायव्हेबल RADIUS ऑफर करू शकणाऱ्या एंटरप्राइझ कंट्रोलर्सच्या विपरीत, UniFi बाह्य सर्व्हर्सवर (उदा. FreeRADIUS, Windows NPS) मोठ्या प्रमाणावर अवलंबून असते. UniFi APs आणि RADIUS बॅकएंड दरम्यान विश्वसनीय कनेक्टिव्हिटी असल्याची खात्री करा.

Best Practices

लवचिक आणि सुरक्षित डिप्लॉयमेंट सुनिश्चित करण्यासाठी, नेटवर्क आर्किटेक्ट्सनी अनेक महत्त्वपूर्ण सर्वोत्तम पद्धतींचे पालन करणे आवश्यक आहे:

  1. सर्टिफिकेट व्हॅलिडेशन लागू करा: क्लायंट डिव्हाइसेसना विश्वसनीय Certificate Authority (CA) विरुद्ध RADIUS सर्व्हरचे प्रमाणपत्र प्रमाणित करण्यासाठी स्पष्टपणे कॉन्फिगर केले जाणे आवश्यक आहे. असे न केल्यास नेटवर्कला 'Evil Twin' हल्ल्यांचा धोका निर्माण होतो जिथे रोग (rogue) ॲक्सेस पॉईंट्स युझर क्रेडेंशियल्स चोरतात.
  2. RADIUS रिडंडन्सीची अंमलबजावणी करा: नेटवर्क ॲक्सेससाठी RADIUS सर्व्हर महत्त्वपूर्ण मार्गावर आहे. नेहमी प्रायमरी आणि सेकंडरी RADIUS सर्व्हर्स कॉन्फिगर करा. डिस्ट्रिब्युटेड एन्व्हायर्नमेंट्समध्ये, उच्च उपलब्धतेसाठी क्लाउड-होस्टेड RADIUS सोल्यूशन्सचा विचार करा.
  3. डायनॅमिक VLAN असाइनमेंटचा लाभ घ्या: युझर्सना त्यांच्या Active Directory ग्रुप मेंबरशिपच्या आधारावर विशिष्ट VLANs वर डायनॅमिकरित्या असाइन करण्यासाठी RADIUS ॲट्रिब्यूट्स (उदा. Tunnel-Pvt-Group-ID) वापरा. हे एकाधिक SSIDs ब्रॉडकास्ट न करता नेटवर्क सेगमेंटेशन लागू करते.
  4. RADIUS अकाउंटिंग सक्षम करा: केवळ ऑथेंटिकेशन कॉन्फिगर करू नका. कंप्लायन्स फ्रेमवर्क्ससाठी आवश्यक ऑडिट ट्रेल्स तयार करण्यासाठी RADIUS अकाउंटिंग (Port 1813) अनिवार्य आहे.
  5. नेटवर्क एजचे संरक्षण करा: Protect Your Network with Strong DNS and Security वरील आमच्या मार्गदर्शकामध्ये तुमचे इन्फ्रास्ट्रक्चर सुरक्षित करण्याबद्दल अधिक वाचा.

Troubleshooting & Risk Mitigation

काळजीपूर्वक नियोजन करूनही, डिप्लॉयमेंट्समध्ये समस्या येऊ शकतात. सामान्य फेल्युअर मोड्समध्ये हे समाविष्ट आहे:

  • शेअर्ड सिक्रेट मिसमॅचेस: RADIUS शेअर्ड सिक्रेटमधील एक साधी टायपो सायलेंट ऑथेंटिकेशन फेल्युअर्सला कारणीभूत ठरेल. ऑथेंटिकेटर आणि RADIUS सर्व्हर दोन्हीवरील सिक्रेट्स तपासा.
  • टाइम सिंक्रोनायझेशन एरर्स: सर्टिफिकेट व्हॅलिडेशनसाठी अचूक वेळ राखणे आवश्यक आहे. सर्व APs, कंट्रोलर्स आणि RADIUS सर्व्हर्स विश्वसनीय NTP सोर्सद्वारे सिंक्रोनाइझ केलेले असल्याची खात्री करा.
  • फायरवॉलद्वारे RADIUS ट्रॅफिक ब्लॉक होणे: APs/कंट्रोलर्स आणि RADIUS सर्व्हर दरम्यान UDP पोर्ट्स 1812 (ऑथेंटिकेशन) आणि 1813 (अकाउंटिंग) खुले असल्याची खात्री करा. CoA वापरत असल्यास, UDP 3799 खुले असल्याची खात्री करा.
  • क्लायंट सप्लिकंट मिसकॉन्फिगरेशन: सर्वात सामान्य समस्या म्हणजे RADIUS सर्व्हरचे प्रमाणपत्र जारी करणाऱ्या CA वर विश्वास ठेवण्यासाठी क्लायंट डिव्हाइस कॉन्फिगर केलेले नसणे. कॉर्पोरेट डिव्हाइसेसवर योग्य वायरलेस प्रोफाईल्स पुश करण्यासाठी MDM किंवा Group Policy वापरा.

ऑथेंटिकेशन प्रोटोकॉल्सच्या व्यापक आकलनासाठी, How to Configure 802.1X WiFi Authentication: A Step-by-Step Guide चे पुनरावलोकन करा.

ROI & Business Impact

WPA2-Enterprise कडे वळल्याने केवळ सुरक्षिततेतील सुधारणांच्या पलीकडे महत्त्वपूर्ण व्यावसायिक मूल्य मिळते.

  • रिस्क मिटिगेशन: शेअर्ड पासवर्ड्स काढून टाकल्याने अटॅक सरफेस आणि डेटा ब्रीचचा धोका लक्षणीयरीत्या कमी होतो, ज्यामुळे गंभीर आर्थिक आणि प्रतिष्ठेचे नुकसान होऊ शकते.
  • ऑपरेशनल एफिशियन्सी: विद्यमान आयडेंटिटी प्रोव्हायडर्ससोबत (जसे की Active Directory) WiFi ऑथेंटिकेशन इंटिग्रेट केल्याने कर्मचाऱ्यांचे ऑनबोर्डिंग आणि ऑफबोर्डिंग स्वयंचलित होते. जेव्हा एखादा कर्मचारी कंपनी सोडतो, तेव्हा त्यांचे AD अकाउंट डिसेबल केल्याने त्यांचा WiFi ॲक्सेस त्वरित रद्द होतो.
  • कंप्लायन्स एनेबलमेंट: ग्रॅन्युलर ऑडिट ट्रेल्स आणि पर-युझर ऑथेंटिकेशन हे PCI DSS आणि ISO 27001 कंप्लायन्ससाठी पूर्वअटी आहेत.
  • युनिफाईड इन्फ्रास्ट्रक्चर: डायनॅमिक VLAN असाइनमेंट वापरून, व्हेन्यूज गेस्ट ॲक्सेससाठी वापरल्या जाणाऱ्या समान फिजिकल हार्डवेअरवर कॉर्पोरेट, बॅक-ऑफ-हाऊस आणि IoT ट्रॅफिक सुरक्षितपणे चालवू शकतात. त्यानंतर हार्डवेअर गुंतवणुकीवरील परतावा जास्तीत जास्त वाढवण्यासाठी समर्पित WiFi Analytics सोल्यूशन वापरून गेस्ट नेटवर्कचे मुद्रीकरण आणि विश्लेषण केले जाऊ शकते. What Is a Leased Line? Dedicated Business Internet समजून घेऊन तुमच्याकडे आवश्यक बँडविड्थ असल्याची खात्री करा.

महत्वाच्या व्याख्या

WPA2-Enterprise

वायरलेस नेटवर्क्ससाठी एक सिक्युरिटी प्रोटोकॉल जो एकाच शेअर्ड पासवर्डऐवजी बाह्य सर्व्हरद्वारे पर-युझर ऑथेंटिकेशन प्रदान करण्यासाठी IEEE 802.1X वापरतो.

एंटरप्राइझ एन्व्हायर्नमेंट्समध्ये कॉर्पोरेट आणि ऑपरेशनल WiFi नेटवर्क्स सुरक्षित करण्यासाठी अनिवार्य स्टँडर्ड.

802.1X

पोर्ट-आधारित नेटवर्क ॲक्सेस कंट्रोलसाठी एक IEEE स्टँडर्ड जे LAN किंवा WLAN शी कनेक्ट होऊ इच्छिणाऱ्या डिव्हाइसेसना ऑथेंटिकेशन मेकॅनिझम प्रदान करते.

WPA2-Enterprise ला कार्यक्षम बनवणारी अंतर्निहित फ्रेमवर्क.

RADIUS

Remote Authentication Dial-In User Service; एक नेटवर्किंग प्रोटोकॉल जो केंद्रीकृत Authentication, Authorization आणि Accounting (AAA) मॅनेजमेंट प्रदान करतो.

सर्व्हर घटक जो Active Directory सारख्या डेटाबेसच्या विरुद्ध युझर क्रेडेंशियल्स प्रमाणित करतो.

Supplicant

डिव्हाइसवरील (लॅपटॉप, स्मार्टफोन) सॉफ्टवेअर क्लायंट जो नेटवर्क ॲक्सेसची विनंती करण्यासाठी ऑथेंटिकेटरशी संवाद साधतो.

एंडपॉईंट ज्याला योग्य EAP सेटिंग्ज आणि सर्टिफिकेट ट्रस्टसह कॉन्फिगर करणे आवश्यक आहे.

Authenticator

नेटवर्क डिव्हाइस (ॲक्सेस पॉईंट किंवा स्विच) जे सप्लिकंट आणि ऑथेंटिकेशन सर्व्हर दरम्यान मेसेजेस पास करून ऑथेंटिकेशन प्रक्रियेची सुविधा देते.

IT टीमद्वारे व्यवस्थापित केलेले Cisco, Aruba किंवा Ubiquiti हार्डवेअर.

EAP (Extensible Authentication Protocol)

वायरलेस नेटवर्क्स आणि पॉईंट-टू-पॉईंट कनेक्शन्समध्ये वारंवार वापरली जाणारी ऑथेंटिकेशन फ्रेमवर्क, जी एकाधिक ऑथेंटिकेशन पद्धतींना सपोर्ट करते.

क्रेडेंशियल एक्सचेंज एन्कॅप्स्युलेट करण्यासाठी वापरला जाणारा प्रोटोकॉल.

PEAP-MSCHAPv2

एक EAP पद्धत जी सर्व्हरच्या प्रमाणपत्राद्वारे स्थापित केलेल्या सुरक्षित TLS टनेलमध्ये MSCHAPv2 पासवर्ड एक्सचेंज एन्कॅप्स्युलेट करते.

सर्वात सामान्य डिप्लॉयमेंट पद्धत कारण ती स्टँडर्ड AD पासवर्ड्स वापरण्याच्या सुविधेसह सुरक्षिततेचा समतोल साधते.

Dynamic VLAN Assignment

अशी प्रक्रिया जिथे RADIUS सर्व्हर ॲक्सेस पॉईंटला ऑथेंटिकेटेड युझरला त्यांच्या ओळखीच्या किंवा ग्रुप मेंबरशिपच्या आधारावर विशिष्ट VLAN वर ठेवण्याची सूचना देतो.

नेटवर्क सेगमेंटेशनसाठी महत्त्वपूर्ण, जे विविध युझर प्रकारांना समान फिजिकल APs सुरक्षितपणे शेअर करण्याची अनुमती देते.

सोडवलेली उदाहरणे

एका 200-खोल्यांच्या हॉटेलला विद्यमान Aruba ॲक्सेस पॉईंट्स वापरून त्यांच्या बॅक-ऑफ-हाऊस कर्मचाऱ्यांसाठी (हाऊसकीपिंग, मॅनेजमेंट) सुरक्षित WiFi डिप्लॉय करण्याची आवश्यकता आहे, तसेच कर्मचाऱ्यांचे ट्रॅफिक गेस्ट नेटवर्कपासून काटेकोरपणे वेगळे ठेवायचे आहे.

IT टीम WPA2-Enterprise वापरून एकच 'Hotel_Staff' SSID कॉन्फिगर करते. ते हॉटेलच्या Active Directory सोबत Aruba ClearPass इंटिग्रेट करतात. ClearPass मध्ये, ते एन्फोर्समेंट पॉलिसीज कॉन्फिगर करतात: जर एखादा युझर 'Management' AD ग्रुपमध्ये असेल, तर ClearPass त्यांना VLAN 10 (मॅनेजमेंट नेटवर्क) वर असाइन करणारा RADIUS ॲट्रिब्यूट परत करतो. जर युझर 'Housekeeping' ग्रुपमध्ये असेल, तर त्यांना VLAN 20 (ऑपरेशन्स नेटवर्क) वर असाइन केले जाते. या डायनॅमिक VLAN असाइनमेंट्स लागू करण्यासाठी APs कॉन्फिगर केले जातात.

परीक्षकाचे भाष्य: हा दृष्टिकोन डायनॅमिक VLAN असाइनमेंटची ताकद दर्शवतो. हे एकाधिक SSIDs ('Hotel_Management', 'Hotel_Housekeeping') ब्रॉडकास्ट करण्याचा RF इंटरफेरन्स आणि मॅनेजमेंट ओव्हरहेड टाळते, तसेच कठोर नेटवर्क सेगमेंटेशन सुनिश्चित करते आणि विद्यमान डिरेक्टरी आयडेंटिटीजचा लाभ घेते.

50 लोकेशन्स असलेली एक राष्ट्रीय रिटेल चेन Cisco Meraki वापरते. त्यांना त्यांच्या जुन्या WPA2-Personal सेटअपच्या जागी, PCI DSS कंप्लायन्स पूर्ण करण्यासाठी WiFi वर त्यांचे पॉईंट-ऑफ-सेल (POS) टर्मिनल्स सुरक्षित करण्याची आवश्यकता आहे.

प्रत्येक स्टोअरमध्ये लोकल सर्व्हर्स डिप्लॉय करणे टाळण्यासाठी नेटवर्क आर्किटेक्ट क्लाउड-होस्टेड RADIUS सर्व्हिस डिप्लॉय करतो. Meraki डॅशबोर्डमध्ये, ते WPA2-Enterprise साठी 'Retail_POS' SSID कॉन्फिगर करतात आणि त्याला क्लाउड RADIUS IPs कडे पॉईंट करतात. ते त्यांच्या MDM प्लॅटफॉर्मद्वारे प्रत्येक POS टर्मिनलसाठी युनिक क्लायंट सर्टिफिकेट्स जनरेट करतात आणि EAP-TLS ची आवश्यकता असण्यासाठी RADIUS सर्व्हर कॉन्फिगर करतात. Meraki APs क्लाउड सर्व्हिसला RADIUS ऑथेंटिकेशन आणि अकाउंटिंग दोन्ही डेटा पाठवण्यासाठी कॉन्फिगर केलेले असतात.

परीक्षकाचे भाष्य: ही परिस्थिती उच्च-सुरक्षा एन्व्हायर्नमेंट्ससाठी EAP-TLS कडे होणारे संक्रमण हायलाईट करते. पासवर्ड्सऐवजी सर्टिफिकेट्स वापरून, POS टर्मिनल्स सायलेंटली आणि सुरक्षितपणे ऑथेंटिकेट होतात. RADIUS अकाउंटिंगचा समावेश केल्याने चेन ॲक्सेस ऑडिटिंगसाठी PCI DSS आवश्यकता पूर्ण करते हे सुनिश्चित होते.

सराव प्रश्न

Q1. तुमची संस्था Ubiquiti UniFi ॲक्सेस पॉईंट्स वापरून WPA2-Enterprise डिप्लॉय करत आहे. टेस्टिंग दरम्यान, क्लायंट्स यशस्वीरित्या कनेक्ट होऊ शकतात, परंतु कंप्लायन्स टीमच्या लक्षात येते की सेंट्रल लॉगिंग सिस्टीममध्ये युझर सेशन ड्युरेशन्स किंवा डेटा वापराचे कोणतेही लॉग्स नाहीत. सर्वात संभाव्य कॉन्फिगरेशन चूक कोणती आहे?

टीप: ऑथेंटिकेशन ॲक्सेस देते, परंतु दुसरी प्रक्रिया वापराचा मागोवा घेते.

नमुना उत्तर पहा

RADIUS अकाउंटिंग पोर्ट (1813) कॉन्फिगर केलेले नाही किंवा फायरवॉलद्वारे ब्लॉक केले जात आहे. ऑथेंटिकेशन (पोर्ट 1812) काम करत असले तरी, सेशन ऑडिट ट्रेल्स तयार करण्यासाठी अकाउंटिंग स्पष्टपणे सक्षम करणे आवश्यक आहे.

Q2. एका युझरने रिपोर्ट केला आहे की ते कॉर्पोरेट WPA2-Enterprise नेटवर्कशी कनेक्ट होऊ शकत नाहीत. तुम्ही Cisco WLC लॉग्स तपासता आणि पाहता की AP EAP-Request पास करत आहे, परंतु RADIUS सर्व्हर लॉग्स 'Unknown CA' मुळे 'Access-Reject' दर्शवतात. काय दुरुस्त करणे आवश्यक आहे?

टीप: TLS टनेल सेटअप दरम्यान स्थापित केलेल्या ट्रस्ट रिलेशनशिपचा विचार करा.

नमुना उत्तर पहा

क्लायंट डिव्हाइसचा सप्लिकंट RADIUS सर्व्हरचे प्रमाणपत्र जारी करणाऱ्या Certificate Authority (CA) वर विश्वास ठेवण्यासाठी कॉन्फिगर केलेला नाही. संभाव्य Evil Twin हल्ला टाळण्यासाठी क्लायंट कनेक्शन संपुष्टात आणत आहे. CA प्रमाणपत्र क्लायंट डिव्हाइसवर पुश केले जाणे आवश्यक आहे.

Q3. तुम्ही एका स्टेडियमसाठी नेटवर्क डिझाईन करत आहात. तुम्हाला कॉर्पोरेट कर्मचारी, तिकीट टर्मिनल्स आणि गेस्ट WiFi ला सपोर्ट करणे आवश्यक आहे. सुरक्षितता राखून RF इंटरफेरन्स कमी करण्यासाठी तुम्ही SSIDs कसे आर्किटेक्ट करावे?

टीप: प्रत्येक युझ केससाठी SSID ब्रॉडकास्ट करणे टाळा.

नमुना उत्तर पहा

जास्तीत जास्त दोन SSIDs डिप्लॉय करा. Captive Portal (जसे की Purple) वापरून गेस्ट्ससाठी एक SSID. WPA2-Enterprise वापरून सर्व कॉर्पोरेट ऑपरेशन्ससाठी दुसरा SSID. कॉर्पोरेट कर्मचाऱ्यांना एका VLAN वर आणि तिकीट टर्मिनल्सना त्यांच्या ऑथेंटिकेशन क्रेडेंशियल्सच्या आधारावर दुसऱ्या VLAN वर सेगमेंट करण्यासाठी RADIUS सर्व्हरद्वारे डायनॅमिक VLAN असाइनमेंट वापरा.

या मालिकेमध्ये पुढे वाचा

विक्रेत्यानुसार प्रति-डिव्हाइस PSK: iPSK, DPSK, MPSK आणि PPSK ची तुलना (आणि WPA3 सपोर्ट)

Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet आणि Ubiquiti UniFi मधील प्रति-डिव्हाइस PSK अंमलबजावणीची सर्वसमावेशक तुलना. WPA3-SAE चा प्रति-डिव्हाइस की (key) धोरणांवर कसा परिणाम होतो आणि ट्रान्झिशन मोड कधी लागू करायचे विरुद्ध 802.1X कडे कधी वळायचे ते जाणून घ्या.

मार्गदर्शिका वाचा →

MAC Address Authentication म्हणजे काय? ते कधी वापरावे आणि कधी टाळावे

हे अधिकृत तांत्रिक संदर्भ मार्गदर्शक एंटरप्राइझ WiFi वातावरणातील MAC ऍड्रेस ऑथेंटिकेशन कव्हर करते — RADIUS-आधारित MAC ऑथेंटिकेशन लेयर 2 वर कसे काम करते, त्याच्या अंगभूत सुरक्षा भेद्यता (MAC स्पूफिंग आणि OS-स्तरीय MAC रँडमायझेशनच्या प्रभावासह), आणि अचूक ऑपरेशनल संदर्भ जिथे ते IoT आणि हेडलेस उपकरणांचे व्यवस्थापन करण्यासाठी एक वैध साधन राहते. हे हॉस्पिटॅलिटी, रिटेल, हेल्थकेअर आणि सार्वजनिक क्षेत्रातील व्हेन्यूजमधील IT मॅनेजर्स आणि नेटवर्क आर्किटेक्ट्ससाठी रिअल-वर्ल्ड उदाहरणे, निर्णय फ्रेमवर्क्स आणि Purple च्या अतिथी WiFi आणि ॲनालिटिक्स प्लॅटफॉर्मसाठी इंटिग्रेशन संदर्भासह कृतीयोग्य डिप्लॉयमेंट मार्गदर्शन प्रदान करते.

मार्गदर्शिका वाचा →

iOS आणि macOS वर 802.1X सह एंटरप्राइझ WiFi कसे सेट करावे

हे अधिकृत मार्गदर्शक वरिष्ठ IT लीडर्सना iOS आणि macOS डिव्हाइसेसवर 802.1X एंटरप्राइझ WiFi डिप्लॉय करण्यासाठी कृती करण्यायोग्य पायऱ्या प्रदान करते. हे BYOD उपक्रमांना सपोर्ट करताना कॉर्पोरेट नेटवर्क्स सुरक्षित करण्यासाठी सर्टिफिकेट-आधारित ऑथेंटिकेशन (EAP-TLS), MDM कॉन्फिगरेशन प्रोफाइल्स आणि आर्किटेक्चर इंटिग्रेशन कव्हर करते.

मार्गदर्शिका वाचा →