मुख्य मजकुराकडे जा

सामान्य ॲक्सेस पॉइंट प्लॅटफॉर्म्स (Cisco, Aruba, Ubiquiti) वर WPA2-Enterprise कसे कॉन्फिगर करावे

हे तांत्रिक संदर्भ मार्गदर्शक वरिष्ठ IT व्यावसायिक आणि नेटवर्क आर्किटेक्ट्सना Cisco, Aruba, आणि Ubiquiti प्लॅटफॉर्म्सवर WPA2-Enterprise तैनात करण्यासाठी एक निश्चित, विक्रेता-विशिष्ट सविस्तर मार्गदर्शन प्रदान करते. हे एंटरप्राइझ आणि ठिकाणांच्या वातावरणात आर्किटेक्चर, RADIUS एकत्रीकरण, अनुपालन आवश्यकता आणि वास्तविक-जगातील तैनाती परिस्थितींचा तपशील देते.

📖 6 मिनिट वाचन📝 1,309 शब्द🔧 2 सोडवलेली उदाहरणे3 सराव प्रश्न📚 8 महत्वाच्या व्याख्या

हे मार्गदर्शक ऐका

पॉडकास्ट ट्रान्सक्रिप्ट पहा
सामान्य ॲक्सेस पॉइंट प्लॅटफॉर्मवर WPA2-Enterprise कसे कॉन्फिगर करावे — Cisco, Aruba आणि Ubiquiti एक Purple WiFi इंटेलिजन्स ब्रीफिंग [इंट्रो — साधारण १ मिनिट] Purple WiFi इंटेलिजन्स सिरीजमध्ये आपले स्वागत आहे. मी आपला होस्ट आहे, आणि आज आपण आमच्या एंटरप्राइझ क्लायंटकडून सर्वात जास्त विचारल्या जाणाऱ्या विषयांपैकी एकावर थेट चर्चा करणार आहोत: तीन सर्वात जास्त वापरल्या जाणाऱ्या ॲक्सेस पॉइंट प्लॅटफॉर्म्स — Cisco, Aruba आणि Ubiquiti वर WPA2-Enterprise कसे कॉन्फिगर करावे. तुम्ही ५०० खोल्यांच्या हॉटेल ग्रुपचे IT डायरेक्टर असा, एखाद्या राष्ट्रीय रिटेल चेनचे नेटवर्क आर्किटेक्ट असा किंवा कॉन्फरन्स सेंटर ऑपरेटरचे CTO असा, हे ब्रीफिंग तुमच्यासाठीच आहे. आपण केवळ सिद्धांतावर चर्चा करणार नाही. आम्ही तुम्हाला असे निर्णय घेण्यासाठी काय माहित असणे आवश्यक आहे, ते योग्यरित्या कसे अंमलात आणायचे आणि अनुभवी टीम्स ज्या चुका करतात त्या कशा टाळायच्या याबद्दल सविस्तर माहिती देणार आहोत. चला तर मग, सुरुवात करूया. [तांत्रिक सखोल माहिती — साधारण ५ मिनिटे] सर्वप्रथम, WPA2-Enterprise प्रत्यक्षात काय आहे याबद्दल थोडी स्पष्टता मिळवूया, कारण बाजारात अजूनही WPA2-Personal आणि WPA2-Enterprise मध्ये खूप गोंधळ आहे - आणि हा फरक अनुपालन (compliance) आणि जोखमीच्या दृष्टीने अत्यंत महत्त्वाचा आहे. WPA2-Personal - ज्याच्याशी बहुतेक लोक परिचित आहेत - हा एक सिंगल प्री-शेअर्ड की वापरतो. नेटवर्कवरील प्रत्येकजण एकच पासवर्ड वापरतो. घरगुती नेटवर्कसाठी हे ठीक आहे. परंतु व्यवसायिक वातावरणासाठी हे अजिबात स्वीकार्य नाही जेथे तुम्हाला प्रति-वापरकर्ता प्रमाणीकरण (per-user authentication), ऑडिट ट्रेल्स आणि प्रवेश त्वरित रद्द करण्याची क्षमता आवश्यक असते. WPA2-Enterprise, जे 802.1X अंतर्गत परिभाषित केले आहे, ते या शेअर्ड की च्या ऐवजी वैयक्तिक प्रमाणीकरण एक्सचेंज वापरते. प्रत्येक वापरकर्ता किंवा डिव्हाइस स्वतःची क्रेडेन्शियल सादर करते - मग तो युझरनेम आणि पासवर्ड असो, डिजिटल प्रमाणपत्र असो किंवा टोकन असो - आणि नेटवर्क प्रवेश मंजूर होण्यापूर्वी ती क्रेडेन्शियल्स RADIUS सर्व्हरद्वारे सत्यापित केली जातात. ॲक्सेस पॉइंट स्वतः कधीही क्रेडेन्शियल्स पाहत नाही. तो केवळ एक ऑथेंटिकेटर म्हणून काम करतो, जो क्लायंट आणि RADIUS सर्व्हरमधील EAP - एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल - एक्सचेंज पुढे पाठवतो. हे मुळातच अधिक सुरक्षित आर्किटेक्चर आहे, आणि पेमेंट कार्ड डेटा हाताळणाऱ्या कोणत्याही वातावरणात PCI-DSS अनुपालनासाठी ही मूलभूत आवश्यकता आहे, तसेच वायरलेस नेटवर्कवर वैयक्तिक डेटावर प्रक्रिया करणाऱ्या संस्थांसाठी GDPR अंतर्गत याला जोरदार शिफारस केली जाते. आता आपण तीन प्लॅटफॉर्म्सबद्दल बोलूया. Cisco पासून सुरुवात करूया. Cisco चा एंटरप्राइझ WiFi पोर्टफोलिओ - प्रामुख्याने Catalyst आणि Meraki लाइन्स - मोठ्या प्रमाणावर उपयोजनांसाठी प्रस्थापित निवड आहे. Cisco DNA Center केंद्रीकृत पॉलिसी व्यवस्थापन प्रदान करते, आणि Meraki डॅशबोर्ड वितरित मालमत्तेसाठी क्लाउड व्यवस्थापित साधेपणा ऑफर करतो. Cisco Catalyst ॲक्सेस पॉइंटवर WPA2-Enterprise कॉन्फिगर करण्यासाठी, तुम्हाला WLC - वायरलेस LAN कंट्रोलर - किंवा DNA Center द्वारे काम करावे लागेल. महत्त्वाच्या पायऱ्या आहेत: Security अंतर्गत, नंतर AAA, नंतर RADIUS Authentication Servers अंतर्गत तुमचा RADIUS सर्व्हर परिभाषित करा; नवीन WLAN प्रोफाइल तयार करा; सुरक्षा पॉलिसी WPA2 वर सेट करा ज्यामध्ये की व्यवस्थापन पद्धत म्हणून 802.1X असेल; आणि तो RADIUS सर्व्हर त्या WLAN शी बाइंड करा. Cisco वरील एक महत्त्वपूर्ण मुद्दा: तुम्ही ऑथेंटिकेशन सोबतच RADIUS अकाउंटिंग देखील कॉन्फिगर करत असल्याची खात्री करा. अकाउंटिंग तुम्हाला प्रति सत्र ऑडिट ट्रेल देते जे अनुपालन फ्रेमवर्कसाठी आवश्यक आहे. Meraki वर, ही प्रक्रिया आणखी सोपी आहे - Wireless वर जा, नंतर SSIDs वर जा, तुमचा लक्ष्यित SSID निवडा, सुरक्षा माझ्या RADIUS सर्व्हरसह WPA2-Enterprise वर सेट करा आणि तुमचा RADIUS सर्व्हर IP, पोर्ट - सामान्यतः ऑथेंटिकेशनसाठी 1812 आणि अकाउंटिंगसाठी 1813 - आणि शेअर केलेला सिक्रेट कोड प्रविष्ट करा. Meraki डॅशबोर्डवरून थेट RADIUS चाचणीला देखील सपोर्ट करते, जे कमिशनिंग दरम्यान अत्यंत मोलाचे ठरते. आता Aruba कडे वळूया. HPE चा भाग असलेले Aruba Networks, हे हॉस्पिटॅलिटी आणि उच्च शिक्षण क्षेत्रात अग्रगण्य निवड आहे. Aruba Central क्लाउड व्यवस्थापन प्रदान करते आणि ArubaOS हा त्याचा मूळ प्लॅटफॉर्म आहे. Aruba वर, WPA2-Enterprise कॉन्फिगरेशन SSID प्रोफाइलमध्ये असते. तुम्ही एक AAA प्रोफाइल परिभाषित कराल जे तुमच्या RADIUS सर्व्हरचा संदर्भ देते, नंतर ते AAA प्रोफाइल तुमच्या व्हर्च्युअल AP प्रोफाइलला जोडाल. Aruba चे ClearPass Policy Manager येथे विशेष उल्लेखास पात्र आहे - हे Aruba चे स्वतःचे RADIUS आणि पॉलिसी इंजिन आहे आणि ते डिव्हाइस प्रोफाइलिंग, रोल-बेस्ड ॲक्सेस कंट्रोल आणि गेस्ट ऑनबोर्डिंगमध्ये महत्त्वपूर्ण क्षमता जोडते. जर तुम्ही कर्मचारी, कंत्राटदार आणि पाहुणे सर्व एकाच इन्फ्रास्ट्रक्चरशी जोडलेले असलेले मिश्र वातावरण चालवत असाल, तर ClearPass तुम्हाला त्यांचे योग्यरित्या वर्गीकरण करण्यासाठी पॉलिसी ग्रॅन्युलॅरिटी प्रदान करते. हॉटेलसाठी कर्मचारी आणि बॅक-ऑफ-हाउस नेटवर्कवर WPA2-Enterprise तैनात करताना Purple सारख्या प्लॅटफॉर्मद्वारे स्वतंत्र गेस्ट WiFi सोल्यूशन चालवण्यासाठी, स्टाफ ऑथेंटिकेशनसाठी ClearPass सोबत एकत्रित केलेले Aruba चे SSID वर्गीकरण हे एक अतिशय उत्कृष्ट आर्किटेक्चर आहे. आता Ubiquiti पाहूया. Ubiquiti च्या UniFi प्लॅटफॉर्मने SMB आणि मिड-मार्केट क्षेत्रात - आणि वाढत्या प्रमाणात बुटीक हॉस्पिटॅलिटी आणि रिटेलमध्ये - त्याच्या स्पर्धात्मक किंमत आणि खरोखर सक्षम मॅनेजमेंट इंटरफेसमुळे लक्षणीय पकड मिळवली आहे. UniFi Network Controller मध्ये तुम्ही सर्व महत्त्वाचे काम कराल. UniFi वर WPA2-Enterprise कॉन्फिगर करण्यासाठी, Settings वर जा, नंतर WiFi निवडा, तुमचे SSID तयार करा किंवा एडिट करा, सिक्युरिटी WPA2 Enterprise वर सेट करा आणि तुमचे RADIUS प्रोफाइल कॉन्फिगर करा - पुन्हा एकदा, IP address, ऑथेंटिकेशन पोर्ट 1812, अकाउंटिंग पोर्ट 1813, आणि शेअर केलेले सिक्रेट. Ubiquiti बाबत एक महत्त्वाची गोष्ट: यामध्ये काही एंटरप्राइझ प्लॅटफॉर्मप्रमाणे इन-बिल्ट RADIUS सर्व्हर येत नाही. तुम्हाला एका बाह्य RADIUS सर्व्हरची आवश्यकता असेल - मग ते Windows Server NPS, FreeRADIUS, किंवा क्लाउड RADIUS सर्व्हिस असो. ही काही मर्यादा नाही, परंतु ही एक अवलंबित्व (dependency) आहे ज्याचे नियोजन करणे आवश्यक आहे. लहान डिप्लॉयमेंट्ससाठी, UniFi Network Application मध्ये एक बेसिक RADIUS सर्व्हर समाविष्ट असतो, परंतु प्रोडक्शन एन्व्हायरनमेंटसाठी मी नेहमीच डेडीकेटेड RADIUS इन्स्टन्स वापरण्याची शिफारस करेन. तिन्ही प्लॅटफॉर्मवर, EAP पद्धतीची निवड काळजीपूर्वक करणे आवश्यक आहे. MSCHAPv2 सह PEAP ही सर्वात जास्त वापरली जाणारी पद्धत आहे कारण ती क्लायंट-साइड सर्टिफिकेट्सची आवश्यकता नसताना Active Directory क्रेडेंशियल्ससह काम करते. EAP-TLS अधिक सुरक्षित आहे - हे म्युच्युअल सर्टिफिकेट ऑथेंटिकेशन वापरते - परंतु यासाठी PKI इन्फ्रास्ट्रक्चर आणि प्रत्येक क्लायंट डिव्हाइसवर सर्टिफिकेट डिप्लॉयमेंट आवश्यक आहे, ज्यामुळे ऑपरेशनल ओव्हरहेड वाढते. बहुतांश एंटरप्राइझ डिप्लॉयमेंट्ससाठी, योग्यरित्या कॉन्फिगर केलेल्या RADIUS सर्व्हरसह PEAP-MSCHAPv2 आणि क्लायंट-साइडवरील सर्टिफिकेट व्हॅलिडेशन हा सुरक्षा आणि ऑपरेशनल मॅनेजेबिलिटीचा योग्य समतोल आहे. [इम्प्लीमेंटेशन शिफारसी आणि अडचणी - अंदाजे २ मिनिटे] आता मी तुम्हाला WPA2-Enterprise डिप्लॉयमेंट्समध्ये वारंवार दिसणाऱ्या तीन सर्वात सामान्य त्रुटी आणि त्या कशा टाळाव्या याबद्दल सांगतो. नंबर एक: RADIUS सर्व्हरची उपलब्धता. तुमचा RADIUS सर्व्हर आता प्रत्येक वायरलेस ऑथेंटिकेशनसाठी अत्यंत महत्त्वाचा आहे. जर तो बंद पडला, तर कोणीही कनेक्ट होऊ शकत नाही. याचा अर्थ तुम्हाला RADIUS रिडंडन्सीची आवश्यकता आहे - किमान प्रत्येक ऍक्सेस पॉइंटवर प्रायमरी आणि सेकंडरी RADIUS सर्व्हर कॉन्फिगर केलेला असणे आवश्यक आहे. बहुतेक प्लॅटफॉर्म्स याला नेटिव्हली सपोर्ट करतात. Cisco वर, तुम्ही फेलओव्हरसह RADIUS सर्व्हर ग्रुप्स कॉन्फिगर करू शकता. Aruba वर, AAA प्रोफाइल कॉन्फिगर करण्यायोग्य रिट्राय आणि टाइमआउट मूल्यांसह एकाधिक RADIUS सर्व्हर्सना सपोर्ट करते. Ubiquiti वर, तुम्ही RADIUS प्रोफाइलमध्ये सेकंडरी RADIUS सर्व्हर निर्दिष्ट करू शकता. ही पायरी वगळू नका. क्रमांक दोन: प्रमाणपत्र प्रमाणीकरण (certificate validation). मी पुनरावलोकन करत असलेल्या उपयोजनांपैकी धक्कादायकरीत्या मोठ्या प्रमाणात क्लायंट डिव्हाइसेस कोणत्याही RADIUS सर्व्हरचे प्रमाणपत्र स्वीकारण्यासाठी कॉन्फिगर केलेले असतात. यामुळे सुरक्षा मॉडेल पूर्णपणे कमकुवत होते - हे तुम्हाला इव्हिल ट्विन (evil twin) हल्ल्यांना बळी पाडू शकते जिथे एखादा अनधिकृत ॲक्सेस पॉइंट तुमच्या नेटवर्कची तोतयागिरी करतो आणि क्रेडेंशियल चोरतो. तुमच्या RADIUS सर्व्हरचे प्रमाणपत्र एका विश्वसनीय CA कडून कॉन्फिगर करा आणि ते प्रमाणपत्र सत्यापित करण्यासाठी तुमच्या क्लायंट सप्लिकंट्सना कॉन्फिगर करा. Windows वर, हे Group Policy द्वारे केले जाते. iOS आणि Android वर, हे MDM प्रोफाईल्सद्वारे हाताळले जाते. संवेदनशील डेटा हाताळणाऱ्या कोणत्याही वातावरणासाठी ही तडजोड न करता येणारी गोष्ट आहे. क्रमांक तीन: VLAN असाइनमेंट. WPA2-Enterprise डायनॅमिक VLAN असाइनमेंट सक्षम करते - RADIUS सर्व्हर Access-Accept मेसेजमध्ये VLAN ॲट्रिब्युट परत पाठवू शकतो, ज्यामुळे प्रत्येक प्रमाणित युझर त्यांच्या ओळखीच्या किंवा भूमिकेच्या आधारे योग्य नेटवर्क सेगमेंटमध्ये समाविष्ट केला जातो. हे 802.1X आर्किटेक्चरचे सर्वात शक्तिशाली वैशिष्ट्यांपैकी एक आहे, आणि ते अनेकदा अनकॉन्फिगर केलेले सोडले जाते. जर तुम्ही कर्मचारी, व्यवस्थापन आणि IoT डिव्हाइसेस सर्व एकाच फिजिकल इन्फ्रास्ट्रक्चरवर असणारे ठिकाण चालवत असाल, तर डायनॅमिक VLAN असाइनमेंटद्वारे तुम्ही एकाधिक SSIDs व्यवस्थापित न करता नेटवर्क सेगमेंटेशन लागू करू शकता. Purple इंटिग्रेशनच्या बाजूने: जर तुम्ही तुमच्या कर्मचारी आणि ऑपरेशनल नेटवर्क्ससाठी WPA2-Enterprise उपयोजित करत असाल, आणि अभ्यागतांच्या कनेक्टिव्हिटीसाठी Purple चे गेस्ट WiFi प्लॅटफॉर्म चालवत असाल, तर या दोन्ही प्रणाली कोणत्याही अडचणीशिवाय एकत्र काम करतात. Purple गेस्ट ऑथेंटिकेशन, डेटा कॅप्चर आणि ॲनालिटिक्स लेअर हाताळते - ज्यामध्ये WiFi ॲनालिटिक्स आणि फूटफॉल इंटेलिजन्स समाविष्ट आहे जे स्थळ चालक त्यांच्या ऑपरेशनल निर्णयांसाठी वापरतात - तर तुमचे WPA2-Enterprise इन्फ्रास्ट्रक्चर कॉर्पोरेट नेटवर्क सुरक्षित करते. यासाठी ॲक्सेस पॉइंट स्तरावर स्वच्छ SSID आणि VLAN वेगळे करणे आवश्यक आहे, ज्याला तिन्ही प्लॅटफॉर्म सपोर्ट करतात. [रॅपिड-फायर प्रश्नोत्तरे - साधारण १ मिनिट] नेहमी विचारल्या जाणाऱ्या काही प्रश्नांचा मी आढावा घेतो. मी एकाच ॲक्सेस पॉइंट्सवर WPA2-Enterprise आणि गेस्ट नेटवर्क चालवू शकतो का? होय, नक्कीच. तिन्ही प्लॅटफॉर्म प्रति रेडिओ एकाधिक SSIDs ला सपोर्ट करतात, ज्यातील प्रत्येकाची स्वतंत्र सुरक्षा धोरणे असतात. तुमचे कॉर्पोरेट SSID WPA2-Enterprise चालवते; तुमचे गेस्ट SSID योग्य आयसोलेशनसह Purple च्या captive portal द्वारे चालवले जाऊ शकते. WPA2-Enterprise उपयोजित करण्यासाठी मला माझे अस्तित्त्वात असलेले ॲक्सेस पॉइंट्स बदलण्याची गरज आहे का? बहुधा नाही. WPA2-Enterprise ला एका दशकाहून अधिक काळ एंटरप्राइझ-ग्रेड ॲक्सेस पॉइंट्सवर सपोर्ट दिला जात आहे. जर तुमचे हार्डवेअर आठ वर्षांपेक्षा कमी जुने असेल आणि सध्याचे फर्मवेअर चालवत असेल, तर ते 802.1X ला सपोर्ट करेल. WPA2-Enterprise आणि WPA3-Enterprise मध्ये काय फरक आहे? WPA3-Enterprise Suite B क्रिप्टोग्राफीचा वापर करून १९२-बिट सुरक्षा मोड जोडते, जे सरकारी आणि संरक्षण वातावरणासाठी संबंधित आहे. बऱ्याच व्यावसायिक उपयोजनांसाठी, मजबूत EAP पद्धतींसह WPA2-Enterprise हेच मानक राहिले आहे. नवीन उपयोजनांसाठी WPA3 संक्रमणाचे नियोजन करणे योग्य आहे, परंतु बऱ्याच संस्थांसाठी हे तातडीचे स्थलांतर नाही. क्लाउड RADIUS हा एक व्यवहार्य पर्याय आहे का? होय, आणि तो वेगाने लोकप्रिय होत आहे. क्लाउडमधील Cisco ISE, Aruba ClearPass as a service, किंवा JumpCloud आणि Foxpass सारखे थर्ड-पार्टी पर्याय RADIUS ला मॅनेज्ड सर्व्हिस म्हणून प्रदान करतात, ज्यामुळे इन्फ्रास्ट्रक्चरचा अतिरिक्त खर्च आणि ताण कमी होतो. विखुरलेल्या मालमत्तेसाठी - जसे की 200 लोकेशन्स असलेले रिटेल चेन - क्लाउड RADIUS ऑपरेशनल क्लिष्टता लक्षणीयरीत्या कमी करू शकतो. [सारांश आणि पुढील पायऱ्या — साधारण १ मिनिट] थोडक्यात सांगायचे तर: कोणत्याही एंटरप्राइझ वायरलेस डिप्लॉयमेंटसाठी WPA2-Enterprise हा एक अनिवार्य पाया आहे. Cisco, Aruba, आणि Ubiquiti मधील कॉन्फिगरेशन प्रक्रिया त्याच मूलभूत पॅटर्नचे पालन करते - तुमचा RADIUS सर्व्हर परिभाषित करा, 802.1X की मॅनेजमेंटसह तुमचा SSID तयार करा, तुमची EAP पद्धत निवडा आणि लाईव्ह जाण्यापूर्वी त्याची चाचणी घ्या. फरक फक्त मॅनेजमेंट इंटरफेस आणि प्रत्येक प्लॅटफॉर्मभोवती असलेल्या इकोसिस्टम टूल्समध्ये आहे. योग्य रीतीने करायच्या तीन गोष्टी: RADIUS रिडंडन्सी, क्लायंटवरील सर्टिफिकेट व्हॅलिडेशन आणि डायनॅमिक VLAN असाइनमेंट. या तीन गोष्टी योग्य प्रकारे केल्यास तुमच्याकडे एक मजबूत, सुसंगत आणि ऑडिट करण्यायोग्य वायरलेस सुरक्षा व्यवस्था असेल. तुमच्या पुढील पायऱ्यांसाठी: तुम्ही प्लॅटफॉर्मचे मूल्यांकन करत असल्यास, सोबतच्या मार्गदर्शिकामधील व्हेंडर तुलना फ्रेमवर्कचा वापर करा. जर तुम्ही डिप्लॉयमेंटसाठी तयार असाल, तर प्रत्येक प्लॅटफॉर्मसाठी स्टेप-बाय-स्टेप कॉन्फिगरेशन मार्गदर्शिका इम्प्लिमेंटेशन विभागात उपलब्ध आहे. आणि जर तुम्ही एंटरप्राइझ नेटवर्कसोबत गेस्ट WiFi कसे सुसंगतपणे काम करेल याचा विचार करत असाल, तर Purple प्लॅटफॉर्मचे डॉक्युमेंटेशन इंटिग्रेशन आर्किटेक्चरचा सविस्तर कव्हर करते. ऐकल्याबद्दल धन्यवाद. पुढील ब्रीफिंगमध्ये भेटू.

Executive Summary

WPA2-Enterprise उपयोजित करणे आता ऐच्छिक सुरक्षा अपग्रेड राहिलेले नाही - हे कोणत्याही एंटरप्राइझ-श्रेणीच्या वायरलेस नेटवर्कसाठी आवश्यक बेसलाइन आहे. हॉस्पिटॅलिटी, रिटेल आणि सार्वजनिक क्षेत्रातील वातावरणात कार्यरत असलेल्या IT व्यवस्थापक आणि नेटवर्क आर्किटेक्ट्ससाठी, Pre-Shared Keys कडून 802.1X ऑथेंटिकेशनकडे जाणे हे PCI DSS आणि GDPR सह कडक अनुपालन आदेशांमुळे प्रेरित आहे. हे तांत्रिक संदर्भ मार्गदर्शक तीन आघाडीच्या ॲक्सेस पॉइंट विक्रेत्यांसाठी: Cisco, Aruba आणि Ubiquiti साठी ठोस, कृतीयोग्य आणि प्लॅटफॉर्म-विशिष्ट कॉन्फिगरेशन पायऱ्या प्रदान करते.

WPA2-Enterprise वर स्थलांतरित करून, एंटरप्राइझ संस्था सामायिक क्रेडेंशियल्सशी संबंधित जोखीम दूर करू शकतात, तपशीलवार प्रति-सत्र ऑडिट ट्रेल्स मिळवू शकतात आणि डायनॅमिक नेटवर्क सेगमेंटेशन सक्षम करू शकतात. योग्यरित्या अंमलात आणल्यास, हे आर्किटेक्चर केवळ कॉर्पोरेट परिमिती सुरक्षित करत नाही तर व्यापक Guest WiFi प्लॅटफॉर्मद्वारे व्यवस्थापित केलेल्या अभ्यागत नेटवर्कसह अखंडपणे समाकलित होते. खालील विभाग यशस्वी रोलआउटसाठी आवश्यक तांत्रिक आर्किटेक्चर, डिप्लोयमेंट पायऱ्या आणि जोखीम कमी करण्याच्या धोरणांचे तपशील देतात.

header_image.png

Technical Deep-Dive

WPA2-Enterprise पोर्ट-आधारित नेटवर्क ॲक्सेस कंट्रोल प्रदान करण्यासाठी IEEE 802.1X मानकांवर अवलंबून असते. स्टॅटिक Pre-Shared Key (PSK) वापरणाऱ्या WPA2-Personal च्या विपरीत, WPA2-Enterprise ला नेटवर्कवर प्रवेश मिळण्यापूर्वी प्रत्येक सप्लिकंट (क्लायंट डिव्हाइस) ने बाह्य ऑथेंटिकेशन सर्व्हर - सामान्यत: RADIUS सर्व्हर - च्या विरोधात वैयक्तिकरित्या ऑथेंटिकेट करणे आवश्यक असते.

या आर्किटेक्चरमध्ये तीन मुख्य घटक असतात:

  1. The Supplicant: नेटवर्कशी कनेक्ट करण्याचा प्रयत्न करणारे क्लायंट डिव्हाइस.
  2. The Authenticator: एंटरप्राइझ-श्रेणीचा ॲक्सेस पॉइंट किंवा वायरलेस LAN कंट्रोलर (उदाहरणार्थ, Cisco WLC किंवा Aruba Mobility Controller) जो ऑथेंटिकेशन प्रक्रियेस सुलभ करतो.
  3. The Authentication Server: बॅक-एंड RADIUS सर्व्हर (उदाहरणार्थ, Cisco ISE, Aruba ClearPass किंवा Windows NPS), जो Active Directory किंवा LDAP सारख्या डिरेक्टरी सर्व्हिसच्या विरुद्ध क्रेडेंशियल्स प्रमाणित करतो.

The EAP Exchange Process

ऑथेंटिकेशन प्रक्रिया Extensible Authentication Protocol over LAN (EAPOL) चा वापर करते. सुरुवातीच्या टप्प्यादरम्यान, ऑथेंटिकेटर पूर्णपणे पारदर्शक प्रॉक्सी म्हणून काम करतो. एकदा RADIUS सर्व्हरने क्रेडेंशियल्स प्रमाणित केले की, तो ऑथेंटिकेटरला Access-Accept संदेश पाठवतो, जो नंतर वायरलेस सत्र सुरक्षित करण्यासाठी आवश्यक एन्क्रिप्शन कीज मिळवतो.

EAP पद्धतीची निवड अत्यंत महत्त्वाची आहे. PEAP-MSCHAPv2 ही सर्वात जास्त वापरली जाणारी पद्धत आहे कारण ती पारंपारिक Active Directory पासवर्ड प्रमाणीकरणाला (authentication) समर्थन देते आणि त्याच वेळी सर्व्हर प्रमाणपत्राद्वारे स्थापित TLS टनेलमध्ये डेटा एक्सचेंज सुरक्षित ठेवते. तथापि, कमाल सुरक्षिततेसाठी EAP-TLS ची शिफारस केली जाते. EAP-TLS साठी परस्पर प्रमाणपत्र प्रमाणीकरण आवश्यक असते (सर्व्हर आणि क्लायंट दोघांनीही वैध प्रमाणपत्रे सादर करणे आवश्यक आहे), जे क्रेडेंशियल चोरीपासून संरक्षण करते परंतु प्रमाणपत्र वितरणासाठी मजबूत Public Key Infrastructure (PKI) किंवा Mobile Device Management (MDM) सोल्यूशनची मागणी करते.

architecture_overview.png

अंमलबजावणी मार्गदर्शक

WPA2-Enterprise कॉन्फिगर करण्याचे मूलभूत नियम सर्व व्हेंडर्ससाठी सारखेच असतात, परंतु व्यवस्थापन इंटरफेस आणि इकोसिस्टमनुसार त्यांची अंमलबजावणी वेगळी असू शकते.

vendor_comparison_chart.png

Cisco (Catalyst आणि Meraki)

Cisco चे वातावरण सामान्यतः कॅम्पस डेप्लॉयमेंटपासून ते डिस्ट्रिब्युटेड एंटरप्राइझ नेटवर्क्सपर्यंत असू शकते.

Cisco Catalyst (WLC/DNA Center):

  1. RADIUS सर्व्हर परिभाषित करा: "Security" टॅबवर जा, "AAA" निवडा आणि प्रायमरी व सेकंडरी RADIUS प्रमाणीकरण (authentication) आणि अकाउंटिंग सर्व्हर कॉन्फिगर करा. शेअर्ड सिक्रेट RADIUS सर्व्हर कॉन्फिगरेशनशी जुळत असल्याची खात्री करा.
  2. WLAN प्रोफाइल तयार करा: "WLANs" टॅब अंतर्गत, नवीन प्रोफाइल तयार करा.
  3. सुरक्षा पॉलिसी कॉन्फिगर करा: Layer 2 Security ला WPA+WPA2 वर सेट करा आणि Authentication Key Management (AKM) पद्धत म्हणून 802.1X सक्षम करा.
  4. AAA सर्व्हर बाइंड करा: पूर्वी परिभाषित केलेले RADIUS सर्व्हर WLAN प्रोफाइलमध्ये मॅप करा. डायनॅमिक VLAN असाइनमेंट आवश्यक असल्यास, "AAA Override" सक्षम करा.

Cisco Meraki:

  1. SSID कॉन्फिगरेशन: Meraki डॅशबोर्डमध्ये, Wireless > SSIDs वर जा आणि लक्ष्यित नेटवर्क निवडा.
  2. access control: असोसिएशन आवश्यकता "WPA2-Enterprise with my RADIUS server" वर सेट करा.
  3. RADIUS सेटिंग्ज: तुमच्या RADIUS इन्फ्रास्ट्रक्चरचा IP पत्ता, ऑथेंटिकेशन पोर्ट (सामान्यतः 1812), अकाउंटिंग पोर्ट (1813) आणि शेअर्ड सिक्रेट प्रविष्ट करा. Meraki डॅशबोर्डमध्ये डेप्लॉयमेंटपूर्वी RADIUS कनेक्टिव्हिटी तपासण्यासाठी अंगभूत (built-in) चाचणी टूल समाविष्ट आहे.

Aruba Networks

Aruba हे Hospitality आणि उच्च शिक्षणातील एक आघाडीचे व्यासपीठ आहे, जे प्रगत ॲक्सेस कंट्रोलसाठी त्याच्या ClearPass Policy Manager चा व्यापक वापर करते.

  1. AAA प्रोफाइल परिभाषित करा: Aruba Central किंवा Mobility Controller UI मध्ये, नवीन AAA प्रोफाइल तयार करा. हे प्रोफाइल प्रमाणीकरण कसे हाताळले जाते हे निर्धारित करते.
  2. RADIUS सर्व्हर ग्रुप कॉन्फिगर करा: तुमच्या RADIUS सर्व्हरला सर्व्हर ग्रुपमध्ये जोडा, फेलोव्हर नियम आणि टाइमआउट व्हॅल्यूज निर्दिष्ट करा. हा ग्रुप AAA प्रोफाइलशी कनेक्ट करा.
  3. Virtual AP कॉन्फिगरेशन: Virtual AP (SSID) प्रोफाइल तयार करा किंवा त्यामध्ये बदल करा. सुरक्षा प्रकार WPA2-Enterprise वर सेट करा.
  4. प्रोफाईल्स बाईंड करा: AAA प्रोफाईल Virtual AP प्रोफाईलशी बाईंड करा. ClearPass वापरत असल्यास, डायनॅमिक पॉलिसी अंमलबजावणी सक्षम करण्यासाठी RADIUS CoA (Change of Authorization) पोर्ट (3799) ला कोणत्याही मध्यवर्ती फायरवॉलमधून जाण्याची परवानगी असल्याची खात्री करा.

Ubiquiti (UniFi)

Ubiquiti, UniFi Network Controller च्या माध्यमातून, Retail आणि SMB वातावरणासाठी अत्यंत किफायतशीर उपाय ऑफर करते.

  1. RADIUS प्रोफाईल तयार करा: Settings > Profiles > RADIUS वर जा. तुमच्या बाह्य RADIUS सर्व्हरचा IP पत्ता, पोर्ट्स (1812/1813) आणि सामायिक गुप्त कोड (shared secret) वापरून नवीन प्रोफाईल तयार करा.
  2. SSID कॉन्फिगरेशन: Settings > WiFi वर जा आणि नवीन वायरलेस नेटवर्क तयार करा.
  3. सुरक्षा सेटिंग्ज: सुरक्षा प्रोटोकॉल म्हणून "WPA2 Enterprise" निवडा आणि नवीन तयार केलेले RADIUS प्रोफाईल बाईंड करा.
  4. RADIUS आर्किटेक्चरचा विचार: स्थानिक पातळीवर कार्यरत राहणारे (local survivable) RADIUS ऑफर करणाऱ्या एंटरप्राइझ-ग्रेड नियंत्रकांच्या उलट, UniFi बाह्य सर्व्हरवर (उदा. FreeRADIUS किंवा Windows NPS) मोठ्या प्रमाणावर अवलंबून असते. UniFi APs आणि RADIUS बॅक-एंड दरम्यान विश्वसनीय कनेक्टिव्हिटी सुनिश्चित करा.

सर्वोत्तम पद्धती

उपयोजन लवचिक आणि सुरक्षित दोन्ही असल्याची खात्री करण्यासाठी, नेटवर्क आर्किटेक्ट्सनी खालील काही महत्त्वपूर्ण सर्वोत्तम पद्धतींचे पालन केले पाहिजे:

  1. प्रमाणपत्र प्रमाणीकरण सक्तीचे करा: क्लायंट डिव्हाइसेसना विश्वसनीय सर्टिफिकेट ऑथॉरिटी (CA) कडून RADIUS सर्व्हरचे प्रमाणपत्र प्रमाणित करण्यासाठी स्पष्टपणे कॉन्फिगर केले पाहिजे. असे न केल्यास नेटवर्कवर "Evil Twin" हल्ल्यांचा धोका निर्माण होतो, ज्यामुळे फसव्या ॲक्सेस पॉईंटला युझर क्रेडेंशियल्स चोरण्याची संधी मिळते.
  2. RADIUS रिडंडन्सी लागू करा: RADIUS सर्व्हर हा नेटवर्क ॲक्सेससाठी अत्यंत महत्त्वाचा घटक आहे. नेहमी प्राथमिक आणि दुय्यम RADIUS सर्व्हर्स कॉन्फिगर करा. वितरित वातावरणात, उच्च उपलब्धतेसाठी क्लाउड-होस्ट केलेल्या RADIUS उपायाचा विचार करा.
  3. डायनॅमिक VLAN असाइनमेंटचा लाभ घ्या: युझर्सना त्यांच्या Active Directory ग्रुप मेंबरशिपच्या आधारे विशिष्ट VLAN मध्ये डायनॅमिकली नियुक्त करण्यासाठी RADIUS ॲट्रिब्युट्सचा (जसे की Tunnel-Pvt-Group-ID) वापर करा. हे एकाधिक SSIDs ब्रॉडकास्ट न करता नेटवर्कचे विभाजन सुलभ करते.
  4. RADIUS Accounting सक्षम करा: केवळ ऑथेंटिकेशन कॉन्फिगर करू नका. अनुपालन फ्रेमवर्कसाठी आवश्यक ऑडिट ट्रेल तयार करण्यासाठी RADIUS Accounting (पोर्ट 1813) अनिवार्य आहे.
  5. नेटवर्कची सुरक्षा सुनिश्चित करा: आमच्या Protecting Your Network with Robust DNS and Security या मार्गदर्शकामध्ये तुमच्या इन्फ्रास्ट्रक्चरच्या सुरक्षेबद्दल अधिक वाचा.

त्रुटी निवारण आणि जोखीम कमी करणे

काळजीपूर्वक नियोजन करूनही उपयोजनामध्ये समस्या येऊ शकतात. सामान्य अपयशाच्या कारणांमध्ये खालील गोष्टींचा समावेश होतो:

  • सामायिक गुप्त कोड (Shared secret) न जुळणे: RADIUS सामायिक गुप्त कोडमधील साध्या टाईप करण्याच्या चुकीमुळे ऑथेंटिकेशन अयशस्वी होते आणि त्याचा कोणताही अलर्ट मिळत नाही. ऑथेंटिकेटर आणि RADIUS सर्व्हर दोन्हीवर गुप्त कोडची पडताळणी करा.
  • वेळ सिंक्रोनाइझेशन त्रुटी: प्रमाणपत्र प्रमाणीकरणासाठी अचूक टाइमस्टॅम्प आवश्यक आहेत. सर्व APs, नियंत्रक आणि RADIUS सर्व्हर्स एका विश्वसनीय NTP स्रोताद्वारे सिंक्रोनाइझ केले असल्याची खात्री करा.
  • RADIUs ट्रॅफिक ब्लॉक करणारे फायरवॉल्स: APs/कंट्रोलर्स आणि RADIUS सर्व्हर्स दरम्यान UDP पोर्ट्स 1812 (authentication) आणि 1813 (accounting) उघडे असल्याची खात्री करा. CoA वापरत असल्यास, UDP 3799 उघडे असल्याची खात्री करा.
  • क्लायंट चुकीचे कॉन्फिगरेशन: सर्वात सामान्य समस्या म्हणजे क्लायंट डिव्हाइसेस RADIUS सर्व्हरचे सर्टिफिकेट जारी करणाऱ्या CA वर विश्वास ठेवण्यासाठी कॉन्फिगर केलेले नसतात. कॉर्पोरेट डिव्हाइसेसवर योग्य वायरलेस प्रोफाइल पुश करण्यासाठी MDM किंवा Group Policy वापरा.

ऑथेंटिकेशन प्रोटोकॉलच्या अधिक चांगल्या आकलनासाठी, How to Configure 802.1X WiFi Authentication: A Step-by-Step Guide पहा.

ROI आणि व्यावसायिक प्रभाव

थेट मिळणाऱ्या सुरक्षा सुधारणेच्या पलीकडे, WPA2-Enterprise वर स्थलांतरित होणे महत्त्वपूर्ण व्यावसायिक मूल्य प्रदान करते.

  • जोखीम कमी करणे: सामायिक केलेले पासवर्ड काढून टाकल्याने हल्ल्याचे क्षेत्र आणि डेटा ब्रीचचा धोका लक्षणीयरीत्या कमी होतो, ज्याचे गंभीर आर्थिक आणि प्रतिष्ठेचे परिणाम होऊ शकतात.
  • कार्यक्षम कार्यक्षमता: तुमच्या विद्यमान आयडेंटिटी प्रोव्हाइडरसोबत (जसे की Active Directory) WiFi ऑथेंटिकेशन समाकलित केल्याने स्वयंचलित कर्मचारी ऑनबोर्डिंग आणि ऑफबोर्डिंग सक्षम होते. जेव्हा एखादा कर्मचारी नोकरी सोडतो, तेव्हा त्याचे AD खाते निष्क्रिय केल्याने त्याचे WiFi ॲक्सेस त्वरित रद्द होतो.
  • अनुपालन सुसंगतता: PCI-DSS आणि ISO 27001 अनुपालनासाठी तपशीलवार ऑडिट ट्रेल्स आणि प्रति-वापरकर्ता ऑथेंटिकेशन या पूर्वअटी आहेत.
  • एकत्रित इन्फ्रास्ट्रक्चर: डायनॅमिक VLAN असाइनमेंट वापरून, व्यावसायिक ठिकाणे कॉर्पोरेट, बॅक-ऑफ-हाउस आणि IoT ट्रॅफिक सुरक्षितपणे त्याच फिजिकल हार्डवेअरवर चालवू शकतात जे गेस्ट ॲक्सेससाठी वापरले जाते. त्यानंतर समर्पित WiFi Analytics सोल्यूशनचा वापर करून गेस्ट नेटवर्कमधून कमाई केली जाऊ शकते आणि त्याचे विश्लेषण केले जाऊ शकते, ज्यामुळे हार्डवेअर गुंतवणुकीवर जास्तीत जास्त परतावा मिळतो. What Is a Leased Line? Dedicated Business Internet समजून घेऊन तुमच्याकडे पुरेशी बँडविड्थ असल्याची खात्री करा.

महत्वाच्या व्याख्या

WPA2-Enterprise

वायरलेस नेटवर्कसाठी एक सुरक्षा प्रोटोकॉल जो एका सामायिक पासवर्डऐवजी बाह्य सर्व्हरद्वारे प्रति-वापरकर्ता ऑथेंटिकेशन प्रदान करण्यासाठी 802.1X चा वापर करतो.

एंटरप्राइझ वातावरणात कॉर्पोरेट आणि ऑपरेशनल WiFi नेटवर्क सुरक्षित करण्यासाठी अनिवार्य मानक.

802.1X

पोर्ट-आधारित नेटवर्क ॲक्सेस नियंत्रणासाठी एक IEEE मानक जे LAN किंवा WLAN ला कनेक्ट करू इच्छिणाऱ्या उपकरणांना ऑथेंटिकेशन यंत्रणा प्रदान करते.

WPA2-Enterprise कार्यक्षम बनवणारी मूळ फ्रेमवर्क.

RADIUS

Remote Authentication Dial-In User Service; एक नेटवर्किंग प्रोटोकॉल जो केंद्रीकृत ऑथेंटिकेशन, ऑथरायझेशन आणि अकाउंटिंग (AAA) व्यवस्थापन प्रदान करतो.

Active Directory सारख्या डेटाबेसच्या विरुद्ध वापरकर्ता क्रेडेंशियल्सची पडताळणी करणारा सर्व्हर घटक.

Supplicant

डिव्हाइस (लॅपटॉप, स्मार्टफोन) वरील सॉफ्टवेअर क्लायंट जो नेटवर्क ॲक्सेसची विनंती करण्यासाठी ऑथेंटिकेटरशी संवाद साधतो.

योग्य EAP सेटिंग्ज आणि सर्टिफिकेट ट्रस्टसह कॉन्फिगर केलेले एंडपॉइंट.

Authenticator

नेटवर्क डिव्हाइस (ॲक्सेस पॉइंट किंवा स्विच) जे supplicant आणि ऑथेंटिकेशन सर्व्हर दरम्यान मेसेजेस पाठवून ऑथेंटिकेशन प्रक्रिया सुलभ करते.

IT टीमद्वारे व्यवस्थापित केलेले Cisco, Aruba, किंवा Ubiquiti हार्डवेअर.

EAP (Extensible Authentication Protocol)

वायरलेस नेटवर्क्स आणि पॉइंट-टू-पॉइंट कनेक्शन्समध्ये वारंवार वापरले जाणारे ऑथेंटिकेशन फ्रेमवर्क, जे एकाधिक ऑथेंटिकेशन पद्धतींना समर्थन देते.

क्रेडेंशियल एक्स्चेंज एन्कॅप्स्युलेट करण्यासाठी वापरला जाणारा प्रोटोकॉल.

PEAP-MSCHAPv2

एक EAP पद्धत जी सर्व्हरच्या प्रमाणपत्राद्वारे स्थापित केलेल्या सुरक्षित TLS टनेलमध्ये MSCHAPv2 पासवर्ड एक्सचेंज सुरक्षितपणे एन्कॅप्स्युलेट करते.

सर्वात सामान्य तैनाती पद्धत कारण ती सुरक्षितता आणि मानक AD पासवर्ड वापरण्याच्या सुविधेचा समतोल राखते.

Dynamic VLAN Assignment

अशी प्रक्रिया ज्यामध्ये RADIUS सर्व्हर ॲक्सेस पॉइंटला वापरकर्त्याच्या ओळखीच्या किंवा ग्रुप मेंबरशिपच्या आधारे विशिष्ट VLAN वर प्रमाणित वापरकर्ता ठेवण्यास निर्देशित करतो.

नेटवर्क विभागणीसाठी अत्यंत महत्त्वाचे आहे, ज्यामुळे वेगवेगळ्या वापरकर्त्यांच्या प्रकारांना समान भौतिक APs सुरक्षितपणे शेअर करता येतात.

सोडवलेली उदाहरणे

एका २०० खोल्यांच्या हॉटेलला त्यांच्या बॅक-ऑफ-हाउस कर्मचाऱ्यांसाठी (हाऊसकीपिंग, व्यवस्थापन) सध्याचे Aruba ॲक्सेस पॉइंट्स वापरून सुरक्षित WiFi तैनात करायचे आहे, तसेच कर्मचाऱ्यांच्या ट्रॅफिकला पाहुण्यांच्या नेटवर्कपासून पूर्णपणे वेगळे ठेवायचे आहे.

IT टीम WPA2-Enterprise चा वापर करून एकच 'Hotel_Staff' SSID कॉन्फिगर करते. ते हॉटेलच्या Active Directory सोबत Aruba ClearPass समाविष्ट करतात. ClearPass मध्ये, ते अंमलबजावणी धोरणे कॉन्फिगर करतात: जर एखादा वापरकर्ता 'Management' AD ग्रुपमध्ये असेल, तर ClearPass त्यांना VLAN 10 (व्यवस्थापन नेटवर्क) वर नियुक्त करणारे RADIUS ॲट्रिब्युट परत पाठवते. जर वापरकर्ता 'Housekeeping' ग्रुपमध्ये असेल, तर त्यांना VLAN 20 (ऑपरेशन्स नेटवर्क) वर नियुक्त केले जाते. APs हे डायनॅमिक VLAN असाइनमेंट्स लागू करण्यासाठी कॉन्फिगर केले जातात.

परीक्षकाचे भाष्य: हा दृष्टिकोन डायनॅमिक VLAN असाइनमेंटची शक्ती दर्शवतो. हे एकाधिक SSIDs ('Hotel_Management', 'Hotel_Housekeeping') ब्रॉडकास्ट करण्याचे RF इंटरफेरन्स आणि व्यवस्थापन ओव्हरहेड टाळते, तसेच कठोर नेटवर्क विभाजन सुनिश्चित करते आणि विद्यमान डिरेक्टरी ओळखींचा फायदा घेते.

५० ठिकाणी उपस्थित असलेल्या एका राष्ट्रीय रिटेल चेनद्वारे Cisco Meraki चा वापर केला जातो. त्यांना PCI-DSS अनुपालन पूर्ण करण्यासाठी त्यांच्या पॉइंट-ऑफ-सेल (POS) टर्मिनल्सना WiFi वर सुरक्षित करणे आवश्यक आहे, जेणेकरून त्यांचे जुने WPA2-Personal सेटअप बदलता येईल.

नेटवर्क आर्किटेक्ट प्रत्येक स्टोअरमध्ये स्थानिक सर्व्हर तैनात करणे टाळण्यासाठी क्लाउड-होस्टेड RADIUS सेवा तैनात करतो. Meraki डॅशबोर्डमध्ये, ते WPA2-Enterprise साठी 'Retail_POS' SSID कॉन्फिगर करतात आणि क्लाउड RADIUS IPs कडे निर्देशित करतात. ते त्यांच्या MDM प्लॅटफॉर्मद्वारे प्रत्येक POS टर्मिनलसाठी युनिक क्लायंट सर्टिफिकेट्स तयार करतात आणि EAP-TLS आवश्यक करण्यासाठी RADIUS सर्व्हर कॉन्फिगर करतात. Meraki APs क्लाउड सेवेला RADIUS Authentication आणि Accounting दोन्ही डेटा पाठवण्यासाठी कॉन्फिगर केले जातात.

परीक्षकाचे भाष्य: ही परिस्थिती उच्च-सुरक्षा वातावरणासाठी EAP-TLS कडे होणारे संक्रमण अधोरेखित करते. पासवर्डऐवजी सर्टिफिकेट्सचा वापर करून, POS टर्मिनल्स शांतपणे आणि सुरक्षितपणे ऑथेंटिकेट होतात. RADIUS Accounting चा समावेश हे सुनिश्चित करतो की ही चेन ॲक्सेस ऑडिटिंगसाठी PCI-DSS आवश्यकता पूर्ण करते.

सराव प्रश्न

Q1. तुमची संस्था Ubiquiti UniFi ॲक्सेस पॉइंट्स वापरून WPA2-Enterprise तैनात करत आहे. चाचणी दरम्यान, क्लायंट यशस्वीरित्या कनेक्ट होऊ शकतात, परंतु अनुपालन (compliance) टीमच्या लक्षात आले की सेंट्रल लॉगिंग सिस्टममध्ये वापरकर्ता सत्राचा कालावधी किंवा डेटा वापराचे कोणतेही लॉग्स नाहीत. सर्वात संभाव्य कॉन्फिगरेशन त्रुटी कोणती आहे?

टीप: प्रमाणीकरण (Authentication) ॲक्सेस मंजूर करते, परंतु दुसरी प्रक्रिया वापर ट्रॅक करते.

नमुना उत्तर पहा

RADIUS Accounting पोर्ट (1813) कॉन्फिगर केलेले नाही किंवा फायरवॉलद्वारे ब्लॉक केले गेले आहे. Authentication (पोर्ट 1812) काम करत असताना, सेशन ऑडिट ट्रेल तयार करण्यासाठी Accounting स्पष्टपणे सक्षम केले जाणे आवश्यक आहे.

Q2. एक वापरकर्ता तक्रार करतो की तो कॉर्पोरेट WPA2-Enterprise नेटवर्कशी कनेक्ट होऊ शकत नाही. तुम्ही Cisco WLC लॉग्स तपासता आणि पाहता की AP EAP-Request पास करत आहे, परंतु RADIUS सर्व्हर लॉग्स 'Unknown CA' मुळे 'Access-Reject' दर्शवतात. काय दुरुस्त करणे आवश्यक आहे?

टीप: TLS टनेल सेटअप दरम्यान स्थापित केलेल्या विश्वासाच्या संबंधाचा विचार करा.

नमुना उत्तर पहा

क्लायंट डिव्हाइसचा सप्लिकंट RADIUS सर्व्हरचे प्रमाणपत्र जारी करणाऱ्या Certificate Authority (CA) वर विश्वास ठेवण्यासाठी कॉन्फिगर केलेला नाही. संभाव्य Evil Twin हल्ला टाळण्यासाठी क्लायंट कनेक्शन थांबवत आहे. CA प्रमाणपत्र क्लायंट डिव्हाइसवर पुश केले जाणे आवश्यक आहे.

Q3. तुम्ही स्टेडियमसाठी नेटवर्क डिझाइन करत आहात. तुम्हाला कॉर्पोरेट कर्मचारी, तिकीट टर्मिनल आणि गेस्ट WiFi ला सपोर्ट करणे आवश्यक आहे. सुरक्षितता राखून RF हस्तक्षेप कमी करण्यासाठी तुम्ही SSIDs ची रचना कशी करावी?

टीप: प्रत्येक वापर प्रकरणासाठी स्वतंत्र SSID ब्रॉडकास्ट करणे टाळा.

नमुना उत्तर पहा

जास्तीत जास्त दोन SSIDs तैनात करा. Captive Portal (जसे की Purple) वापरून गेस्टसाठी एक SSID. WPA2-Enterprise वापरून सर्व कॉर्पोरेट ऑपरेशन्ससाठी दुसरा SSID. कॉर्पोरेट कर्मचारी आणि तिकीट टर्मिनल्सना त्यांच्या प्रमाणीकरण क्रेडेंशियलच्या आधारे वेगवेगळ्या VLAN वर विभागण्यासाठी RADIUS सर्व्हरद्वारे Dynamic VLAN Assignment वापरा.

या मालिकेमध्ये पुढे वाचा

Guest आणि Staff WiFi नेटवर्क्ससाठी RADIUS Authentication कॉन्फिगर करणे

हे तांत्रिक संदर्भ मार्गदर्शक एंटरप्राइझ guest आणि staff WiFi नेटवर्क्ससाठी RADIUS authentication च्या आर्किटेक्चर, कॉन्फिगरेशन आणि डिप्लॉयमेंटची रूपरेषा स्पष्ट करते. हे नेटवर्क आर्किटेक्ट्स आणि IT मॅनेजर्सना सुरक्षित, स्केलेबल वायरलेस ॲक्सेस कंट्रोल सिस्टम्स तयार करण्यासाठी आवश्यक असलेले अचूक प्रोटोकॉल्स, सुरक्षा मानके आणि ट्रबलशूटिंग पद्धती प्रदान करते.

मार्गदर्शिका वाचा →

उच्च शिक्षणामध्ये सुरक्षित BYOD आणि नेटवर्क नोंदणीसाठी SCEP कसे लागू करावे

हे तांत्रिक मार्गदर्शक नेटवर्क आर्किटेक्ट्स आणि IT व्यवस्थापकांना उच्च शिक्षण संस्थांच्या कॅम्पस नेटवर्क सुरक्षित करण्यासाठी SCEP - आधारित प्रमाणपत्र नोंदणी तैनात करण्यासाठी विक्रेता - तटस्थ ब्लूप्रिंट प्रदान करते. हे पासवर्ड - आधारित PEAP वरून 802.1X EAP-TLS वर कसे स्थलांतरित करायचे, BYOD ऑनबोर्डिंग स्वयंचलित कसे करायचे आणि मजबूत VLAN विभाजन कसे लागू करायचे याचे तपशील देते.

मार्गदर्शिका वाचा →

Server RADIUS: व्यवसायांसाठी एक सर्वसमावेशक मार्गदर्शिका

ही मार्गदर्शिका IT व्यवस्थापक, नेटवर्क आर्किटेक्ट आणि CTOs ना एंटरप्राइझ WiFi साठी server RADIUS ऑथेंटिकेशनवर एक निश्चित तांत्रिक संदर्भ प्रदान करते. यामध्ये AAA फ्रेमवर्क, 802.1X आर्किटेक्चर, EAP पद्धत निवड, क्लाउड विरुद्ध ऑन-प्रिमाइसेस डिप्लॉयमेंटचे फायदे-तोटे आणि डायनॅमिक VLAN असाइनमेंट समाविष्ट आहे. आदरातिथ्य (hospitality), रिटेल, इव्हेंट्स आणि सार्वजनिक क्षेत्रातील वेन्यू ऑपरेटर्सना असुरक्षित प्री-शेअर्ड की वरून सुरक्षित, ओळख-आधारित (identity-driven) नेटवर्क ऍक्सेस कंट्रोल आर्किटेक्चरमध्ये स्थलांतरित होण्यासाठी आवश्यक असणारे अंमलबजावणी मार्गदर्शन, वास्तविक जगातील केस स्टडीज आणि निर्णय घेण्याची फ्रेमवर्क मिळतील.

मार्गदर्शिका वाचा →