Guest आणि Staff WiFi नेटवर्क्ससाठी RADIUS Authentication कॉन्फिगर करणे
हे तांत्रिक संदर्भ मार्गदर्शक एंटरप्राइझ guest आणि staff WiFi नेटवर्क्ससाठी RADIUS authentication च्या आर्किटेक्चर, कॉन्फिगरेशन आणि डिप्लॉयमेंटची रूपरेषा स्पष्ट करते. हे नेटवर्क आर्किटेक्ट्स आणि IT मॅनेजर्सना सुरक्षित, स्केलेबल वायरलेस ॲक्सेस कंट्रोल सिस्टम्स तयार करण्यासाठी आवश्यक असलेले अचूक प्रोटोकॉल्स, सुरक्षा मानके आणि ट्रबलशूटिंग पद्धती प्रदान करते.
- Executive Summary
- Technical Deep-Dive
- AAA फ्रेमवर्क
- RADIUS आर्किटेक्चरचे घटक
- कर्मचारी WiFi साठी EAP पद्धती
- Guest WiFi प्रमाणीकरण प्रवाह
- सुरक्षित वाहतूक: RadSec
- अंमलबजावणी मार्गदर्शक
- पायरी 1: सर्व्हरवर RADIUS क्लायंट परिभाषित करा
- पायरी 2: Wireless LAN Controller (WLC) / Access Points कॉन्फिगर करा
- स्टेप 3: Staff SSID (802.1X) कॉन्फिगर करा
- स्टेप 4: Captive Portal सह Guest SSID कॉन्फिगर करा
- सर्वोत्तम पद्धती
- हाय-अवेलेबिलिटी आणि रिडंडन्सी
- सर्टिफिकेट मॅनेजमेंट
- VLAN सेगमेंटेशन
- Session Timeout आणि Accounting Intervals
- ट्रबलशूटिंग आणि जोखीम निवारण
- सामान्य त्रुटींचे प्रकार आणि त्यांचे उपाय
- ROI आणि व्यावसायिक प्रभाव

Executive Summary
आधुनिक कॉर्पोरेट वातावरणात, वायरलेस नेटवर्क सुरक्षित करणे ही एक अत्यंत महत्त्वाचीOperational गरज आहे. सामायिक केलेले pre-shared keys (PSKs) यांसारख्या जुन्या सुरक्षा पद्धतींमुळे गंभीर सुरक्षा त्रुटी निर्माण होतात. जर एखाद्या कर्मचाऱ्याने संस्था सोडली, किंवा एखाद्या अतिथीने सामायिक पासवर्ड तडजोड (compromise) केला, तर संपूर्ण नेटवर्क सुरक्षा धोक्यात येते. प्रवेश नियंत्रण केंद्रीकृत करण्यासाठी, तपशीलवार सुरक्षा धोरणे लागू करण्यासाठी आणि अतिथी व कर्मचारी यांच्या ट्रॅफिकचे वर्गीकरण करण्यासाठी Remote Authentication Dial-In User Service (RADIUS) कसे लागू करावे याचे तपशील या मार्गदर्शकात दिले आहेत.
केंद्रीकृत RADIUS आर्किटेक्चरवर स्थलांतरित होऊन, संस्था कर्मचाऱ्यांसाठी 802.1X प्रमाणीकरण लागू करू शकतात - ज्यामुळे प्रत्येक डिव्हाइस युनिक आणि रद्द करण्यायोग्य क्रेडेंशियल्ससह प्रमाणित होते - तसेच अतिथी वापरकर्त्यांसाठी सुरक्षित Captive Portals आणि MAC Authentication Bypass (MAB) चा वापर करू शकतात. हा तांत्रिक संदर्भ लवचिक, कॉर्पोरेट दर्जाचे वायरलेस प्रमाणीकरण इन्फ्रास्ट्रक्चर तैनात करण्यासाठी आवश्यक असलेले आर्किटेक्चरल ब्ल्यूप्रिंट्स, कॉन्फिगरेशन पायऱ्या आणि ट्रबलशूटिंग फ्रेमवर्क प्रदान करतो.
Technical Deep-Dive
AAA फ्रेमवर्क
RADIUS हे AAA फ्रेमवर्कवर कार्य करते, जे प्रवेश नियंत्रणाचे मुख्य टप्पे परिभाषित करते:
- प्रमाणीकरण (Authentication): WiFi नेटवर्कशी कनेक्ट करण्याचा प्रयत्न करणाऱ्या वापरकर्त्याची किंवा डिव्हाइसची ओळख सत्यापित करणे. हे क्रेडेंशियल्स, डिजिटल प्रमाणपत्रे किंवा टोकन्सद्वारे साध्य केले जाते.
- अधिकृतता (Authorization): प्रमाणित केलेल्या घटकाला दिलेल्या नेटवर्क प्रवेशाची पातळी निश्चित करणे. यामध्ये विशिष्ट VLANs नियुक्त करणे, Access Control Lists (ACLs) लागू करणे किंवा बँडविड्थ मर्यादा लागू करणे समाविष्ट आहे.
- लेखांकन (Accounting): सत्र कालावधी, हस्तांतरित केलेला डेटा आणि लॉगिन/लॉगआउट वेळेसह नेटवर्क संसाधनांच्या वापराचा मागोवा घेणे. हा डेटा ऑडिटिंग, अनुपालन आणि नेटवर्क नियोजनासाठी महत्त्वपूर्ण आहे.
- ऑडिटिंग (Auditing): विसंगती, सुरक्षा उल्लंघन किंवा धोरण उल्लंघनांची ओळख पटवण्यासाठी गोळा केलेल्या लेखांकन डेटाचे पुनरावलोकन करणे.
RADIUS आर्किटेक्चरचे घटक
मानक कॉर्पोरेट RADIUS उपयोजनामध्ये तीन प्राथमिक घटक असतात:
- The Supplicant: वापरकर्त्याच्या डिव्हाइसवर (उदा. लॅपटॉप, स्मार्टफोन) चालणारे क्लायंट सॉफ्टवेअर जे नेटवर्कमध्ये प्रवेशाची विनंती करते आणि क्रेडेंशियल्स किंवा प्रमाणपत्रे प्रदान करते.
- The Authenticator (Network Access Server / NAS): प्रत्यक्ष किंवा आभासी नेटवर्क डिव्हाइस - सामान्यतः Wireless LAN Controller (WLC) किंवा Access Point (AP) - जे नेटवर्कवरील प्रत्यक्ष प्रवेश नियंत्रित करते. Authenticator क्रेडेंशियल्स वैध आहेत की नाही हे ठरवत नाही; ते एक प्रॉक्सी म्हणून काम करते, प्रमाणीकरण विनंतीला RADIUS पॅकेट्समध्ये पॅकेज करते आणि ती RADIUS सर्व्हरकडे पाठवते.
- The Authentication Server: केंद्रीय सर्व्हर (जसे की FreeRADIUS, Cisco ISE, Aruba ClearPass, किंवा Purple चे क्लाउड-आधारित RADIUS इंजिन) जे आयडेंटिटी स्टोअर (उदा. Active Directory, LDAP, किंवा क्लाउड आयडेंटिटी प्रोव्हाइडर) विरुद्ध क्रेडेंशियल्स प्रमाणित करते आणि Authenticator ला Access-Accept किंवा Access-Reject संदेश पाठवते.
कर्मचारी WiFi साठी EAP पद्धती
कर्मचारी नेटवर्कसाठी, प्रमाणीकरण वाटाघाटी करण्यासाठी 802.1X फ्रेमवर्कमध्ये Extensible Authentication Protocol (EAP) चा वापर केला जातो. दोन सर्वात सामान्य एंटरप्राइझ EAP पद्धती खालीलप्रमाणे आहेत:
- PEAP-MSCHAPv2 (Protected EAP): ही पद्धत सर्व्हरच्या डिजिटल प्रमाणपत्राचा वापर करून सप्लिकंट आणि RADIUS सर्व्हर दरम्यान एक सुरक्षित, एन्क्रिप्टेड TLS टनेल स्थापित करते. या सुरक्षित टनेलच्या आत, MSCHAPv2 प्रोटोकॉल वापरून वापरकर्त्याचे युझरनेम आणि पासवर्ड प्रमाणीकृत केले जातात. ही पद्धत खूप लोकप्रिय आहे कारण याची अंमलबजावणी करणे सोपे आहे, कारण यामध्ये क्लायंट डिव्हाइसेसवर प्रमाणपत्रे स्थापित करण्याची आवश्यकता नसते.
- EAP-TLS: सर्वात सुरक्षित उपलब्ध प्रमाणीकरण पद्धत. यासाठी परस्पर प्रमाणीकरण आवश्यक आहे, याचा अर्थ RADIUS सर्व्हर आणि क्लायंट डिव्हाइस दोन्हीकडे वैध डिजिटल प्रमाणपत्रे असणे आवश्यक आहे. हे पासवर्ड-आधारित हल्ले काढून टाकते परंतु प्रमाणपत्र वितरण आणि रद्दीकरण व्यवस्थापित करण्यासाठी एक मजबूत Public Key Infrastructure (PKI) आवश्यक आहे.
Guest WiFi प्रमाणीकरण प्रवाह
Guest नेटवर्क सहसा सुरक्षा आणि वापरकर्ता सोयीचा समतोल राखण्यासाठी वेगळा प्रवाह वापरतात. 802.1X ऐवजी, guest नेटवर्क अनेकदा Captive Portal सह एकत्रित Open SSID चा वापर करतात.
जेव्हा एखादा अतिथी कनेक्ट होतो, तेव्हा Authenticator वापरकर्त्याला Purple सारख्या प्लॅटफॉर्मद्वारे होस्ट केलेल्या captive portal वर पाठवण्यासाठी MAC Authentication Bypass (MAB) किंवा पुनर्निर्देशन धोरण वापरतो. एकदा वापरकर्त्याने पोर्टलवर नोंदणी किंवा लॉगिन प्रक्रिया पूर्ण केल्यावर, पोर्टल प्लॅटफॉर्म RADIUS सर्व्हरशी संप्रेषण करतो, जो नंतर WLC/AP ला Access-Accept संदेश पाठवतो, आणि निर्दिष्ट सत्र कालावधीसाठी नेटवर्क प्रवेशासाठी अतिथीच्या MAC पत्त्याला अधिकृत करतो.
सुरक्षित वाहतूक: RadSec
पारंपारिक RADIUS ट्रॅफिक UDP द्वारे (प्रमाणीकरणासाठी पोर्ट 1812 आणि अकाउंटिंगसाठी 1813) क्लियरटेक्स्टमध्ये पाठवले जाते, ज्यामध्ये सामायिक गुपिताचा वापर करून केवळ वापरकर्ता पासवर्ड फील्ड अस्पष्ट केले जाते. यामुळे सार्वजनिक WAN कनेक्शन्स किंवा इंटरनेटवर प्रमाणीकरण ट्रॅफिक राउटिंग करताना सुरक्षिततेचे धोके निर्माण होतात.
हे कमी करण्यासाठी, RadSec (RADIUS over TLS) लागू केले पाहिजे. RadSec मानक RADIUS पॅकेट्सना एका सुरक्षित TLS टनेलमध्ये वेढते (सामान्यतः TCP पोर्ट 2083 वापरून). हे सुनिश्चित करते की स्थानिक नेटवर्क आणि क्लाउड-आधारित RADIUS सर्व्हर दरम्यान ट्रान्झिट दरम्यान युझरनेम, MAC पत्ते आणि सत्र गुणधर्मांसह सर्व प्रमाणीकरण आणि अकाउंटिंग डेटा पूर्णपणे एन्क्रिप्टेड आहे.
अंमलबजावणी मार्गदर्शक
पायरी 1: सर्व्हरवर RADIUS क्लायंट परिभाषित करा
कोणतेही नेटवर्क डिव्हाइस RADIUS सर्व्हरशी संप्रेषण करू शकण्यापूर्वी, ते क्लायंट म्हणून नोंदणीकृत असणे आवश्यक आहे.
- तुमच्या RADIUS सर्व्हर प्रशासन कन्सोलमध्ये लॉग इन करा.
- Clients किंवा Network Devices विभागावर जा.
- प्रत्येक WLC किंवा AP साठी एक नवीन क्लायंट नोंदणी जोडा.
- ऑथेंटिकेटरचा IP पत्ता किंवा सबनेट प्रविष्ट करा.
- एक उच्च-एन्ट्रॉपी Shared Secret जनरेट करा. हे गुपित किमान 22 वर्ण लांब असावे, ज्यामध्ये अप्परकेस अक्षरे, लोअरकेस अक्षरे, संख्या आणि विशेष वर्णांचे मिश्रण असावे. साधे शब्दकोश शब्द वापरणे टाळा.
पायरी 2: Wireless LAN Controller (WLC) / Access Points कॉन्फिगर करा
ऑथेंटिकेशन आणि अकाउंटिंगसाठी RADIUS सर्वरकडे निर्देशित करण्यासाठी तुमचे वायरलेस हार्डवेअर कॉन्फिगर करा.
- तुमच्या WLC किंवा AP मॅनेजमेंट इंटरफेसमध्ये लॉग इन करा.
- Security > AAA > RADIUS > Authentication वर जा.
- नवीन RADIUS ऑथेंटिकेशन सर्वर जोडा:
- Server IP Address: तुमच्या प्रायमरी RADIUS सर्वरचा IP ॲड्रेस प्रविष्ट करा.
- Shared Secret: स्टेप 1 मध्ये कॉन्फिगर केलेले अचूक शेअर्ड सिक्रेट प्रविष्ट करा.
- Port: 1812 (किंवा RadSec वापरत असल्यास 2083).
- Timeout: नेटवर्क लेटेन्सीसाठी 5 सेकंद सेट करा.
- Retry Count: 3 वर सेट करा.
- RADIUS Accounting वर जा आणि पोर्ट 1813 (किंवा RadSec साठी 2083) वापरून नवीन सर्वर एन्ट्री जोडा.
- हाय-अवेलेबिलिटीसाठी दुय्यम (बॅकअप) RADIUS सर्वर जोडण्यासाठी या स्टेप्स पुन्हा करा.
स्टेप 3: Staff SSID (802.1X) कॉन्फिगर करा
Staff_Enterpriseनावाचा नवीन SSID तयार करा.- सिक्युरिटी टाईप WPA3-Enterprise वर सेट करा (किंवा जुन्या डिव्हाइसेसना सपोर्ट आवश्यक असल्यास WPA2/WPA3-Enterprise ट्रान्झिशन मोड).
- की मॅनेजमेंट प्रोटोकॉल म्हणून 802.1X निवडा.
- स्टेप 2 मध्ये कॉन्फिगर केलेल्या RADIUS ऑथेंटिकेशन आणि अकाउंटिंग सर्वर्सशी SSID असोसिएट करा.
- सुरक्षित Staff VLAN (उदा. VLAN 10) शी SSID मॅप करा.
स्टेप 4: Captive Portal सह Guest SSID कॉन्फिगर करा
Guest_WiFiनावाचा नवीन SSID तयार करा.- सिक्युरिटी टाईप Open वर सेट करा (किंवा संधीसाधू वायरलेस एन्क्रिप्शनसाठी Enhanced Open / OWE).
- MAC Filtering किंवा MAC Authentication सक्षम करा आणि ते RADIUS सर्वरकडे निर्देशित करा.
- Captive Portal / Web Portal रिडायरेक्शन सक्षम करा.
- Purple captive portal लॉगिन पेजकडे निर्देशित करण्यासाठी रिडायरेक्शन URL कॉन्फिगर करा.
- ऑथेंटिकेशन पूर्ण होण्यापूर्वी captive portal डोमेन, DNS सर्वर्स आणि आवश्यक CDN ॲसेट्सना ट्रॅफिकची अनुमती देण्यासाठी Walled Garden (प्रि-ऑथेंटिकेशन ACLs) कॉन्फिगर करा.
- एका वेगळ्या Guest VLAN (उदा. VLAN 20) शी SSID मॅप करा.
सर्वोत्तम पद्धती
हाय-अवेलेबिलिटी आणि रिडंडन्सी
RADIUS सर्वर्स नेहमी रिडंडंट जोड्यांमध्ये (प्रायमरी आणि सेकंडरी) डिप्लॉय करा. हे सर्वर्स वेगवेगळ्या फिजिकल हार्डवेअरवर किंवा वेगवेगळ्या क्लाउड अवेलेबिलिटी झोनमध्ये असल्याचे सुनिश्चित करा. प्रायमरी सर्वरकडून प्रतिसाद न मिळाल्यास सेकंडरी सर्वरवर सुरळीतपणे फेलओव्हर करण्यासाठी तुमचे WLCs कॉन्फिगर करा. ऑथेंटिकेशन ट्रॅफिक समान प्रमाणात विभागण्यासाठी योग्य तिथे लोड बॅलन्सिंग लागू करा.
सर्टिफिकेट मॅनेजमेंट
PEAP आणि EAP-TLS डिप्लॉयमेंट्ससाठी, RADIUS सर्वरच्या सर्टिफिकेटची वैधता आणि विश्वासार्हता अत्यंत महत्त्वाची आहे.
- युझरच्या डिव्हाइसेसवर सर्टिफिकेट वॉर्निंग प्रॉम्प्ट्स टाळण्यासाठी गेस्ट पोर्टल्स आणि PEAP डिप्लॉयमेंट्ससाठी विश्वसनीय पब्लिक सर्टिफिकेट ऑथॉरिटी (CA) द्वारे जारी केलेले सर्टिफिकेट वापरा.
- EAP-TLS साठी, क्लायंट आणि सर्वर सर्टिफिकेट्स जारी करण्यासाठी आणि मॅनेज करण्यासाठी एक समर्पित अंतर्गत प्रायव्हेट CA स्थापित करा.
- सर्टिफिकेट एक्स्पायरी तारखांवर बारीक लक्ष ठेवा आणि अचानक संपूर्ण नेटवर्कवरील ऑथेंटिकेशन अपयश टाळण्यासाठी स्वयंचलित नूतनीकरण प्रक्रिया (जसे की SCEP किंवा ACME) लागू करा.
VLAN सेगमेंटेशन
VLANs वापरून तुमच्या नेटवर्क रहदारीचे (network traffic) काटेकोरपणे वर्गीकरण करा. अतिथींची (Guest) रहदारी कॉर्पोरेट संसाधनांपासून पूर्णपणे वेगळी ठेवली पाहिजे. Guest VLAN आणि Staff/Management VLANs दरम्यान आंतर-VLAN राउटिंगला प्रतिबंध करण्यासाठी मुख्य स्विच किंवा गेटवेवर फायरवॉल नियम लागू करा. केवळ अतिथी रहदारीला थेट इंटरनेटवर जाण्याची अनुमती द्या.
Session Timeout आणि Accounting Intervals
जुन्या संशयास्पद सत्रांमुळे IP पत्ते आणि नेटवर्क संसाधने वाया जाऊ नयेत म्हणून योग्य session timeouts कॉन्फिगर करा.
- कर्मचाऱ्यांच्या नेटवर्कसाठी, मानक कामाच्या पाळीनुसार 8 ते 12 तासांचा session timeout सेट करा.
- अतिथी नेटवर्कसाठी, 2 ते 4 तासांचा कमी session timeout सेट करा.
- RADIUS accounting interim-update interval 10 किंवा 15 मिनिटांवर कॉन्फिगर करा. यामुळे RADIUS सर्व्हरवर अकाउंटिंग पॅकेट्सचा अतिभार न पडता डिव्हाइस कनेक्टिव्हिटी आणि डेटा वापराबद्दल नियमित अपडेट्स मिळत राहतील.
ट्रबलशूटिंग आणि जोखीम निवारण
सामान्य त्रुटींचे प्रकार आणि त्यांचे उपाय
1. Shared Secret विसंगती
- लक्षण: WLC लॉग्समध्ये "RADIUS server not responding" असे दिसते आणि RADIUS सर्व्हर लॉग्समध्ये "Packet dropped - invalid authenticator" किंवा "Bad authenticator in request" असे दिसते.
- मूळ कारण: WLC वर कॉन्फिगर केलेले shared secret आणि RADIUS सर्व्हरवर कॉन्फिगर केलेले shared secret जुळत नाही.
- निवारण: दोन्ही डिव्हाइसेसवर shared secret पुन्हा प्रविष्ट करा, आणि कॉपी करताना कोणतीही अतिरिक्त स्पेस किंवा छुपे कॅरेक्टर्स नसल्याची खात्री करा.
2. प्रमाणपत्र विश्वासाच्या समस्या (Certificate Trust Issues)
- लक्षण: क्लायंट डिव्हाइसेस Staff SSID शी कनेक्ट होण्यास अपयशी ठरतात, आणि "Untrusted Server Certificate" किंवा "Connection Rejected" यासारख्या त्रुटी दर्शवतात.
- मूळ कारण: क्लायंट डिव्हाइस RADIUS सर्व्हरच्या प्रमाणपत्रावर स्वाक्षरी करणाऱ्या CA वर विश्वास ठेवत नाही, किंवा प्रमाणपत्राची मुदत संपली आहे.
- निवारण: क्लायंट डिव्हाइसच्या विश्वसनीय रूट स्टोअरमध्ये रूट आणि इंटरमीडिएट CA प्रमाणपत्रे इन्स्टॉल केल्याची खात्री करा. कॉर्पोरेट-व्यवस्थापित डिव्हाइसेससाठी, ही प्रमाणपत्रे MDM किंवा Group Policy द्वारे पुश करा.
3. फायरवॉल ब्लॉक
- लक्षण: राउटिंगची पडताळणी झाली असली तरीही, WLC कडून RADIUS सर्व्हरला कोणतीही रहदारी प्राप्त होत नाही.
- मूळ कारण: दरम्यानच्या फायरवॉलद्वारे UDP पोर्ट 1812 आणि 1813 ब्लॉक केले जात आहेत.
- निवारण: WLC मॅनेजमेंट IP आणि RADIUS सर्व्हर IP दरम्यान UDP 1812 आणि 1813 (किंवा RadSec साठी TCP 2083) ला अनुमती देण्यासाठी स्पष्ट फायरवॉल नियम तयार करा.
4. विलंबतेमुळे होणारे टाईमआउट्स (Latency-Induced Timeouts)
- लक्षण: मधूनमधून प्रमाणीकरण (authentication) अयशस्वी होणे, विशेषतः गर्दीच्या वेळेत किंवा क्लाउड-आधारित RADIUS सर्व्हर वापरताना.
- मूळ कारण: नेटवर्कमधील विलंब (latency) WLC च्या RADIUS timeout मर्यादेपेक्षा जास्त होतो, ज्यामुळे WLC ला सर्व्हर ऑफलाइन असल्याचे वाटते.
- निवारण: WLC चे RADIUS timeout सेटिंग डीफॉल्ट (साधारणपणे 2 सेकंद) वरून 5 किंवा 7 सेकंदांपर्यंत वाढवा. WAN राउटिंग ऑप्टिमाइझ करा किंवा ऑथेंटिकेशन विनंत्या कॅश करण्यासाठी स्थानिक RADIUS प्रॉक्सी लागू करा.
ROI आणि व्यावसायिक प्रभाव
केंद्रीकृत RADIUS प्रमाणीकरण मॉडेलवर स्विच केल्याने अनेक मुख्य क्षेत्रांमध्ये मोजण्यायोग्य व्यावसायिक मूल्य प्राप्त होते:
- कमी झालेला ऑपरेशनल ओव्हरहेड: कर्मचारी संस्था सोडून गेल्यावर सामायिक केलेले WiFi पासवर्ड बदलण्यासाठी लागणारे मॅन्युअल कष्ट वाचवते. Active Directory किंवा तुमच्या ओळख प्रदात्यामध्ये युझर खाती त्वरित निष्क्रिय केली जाऊ शकतात, ज्यामुळे त्यांचा नेटवर्क ऍक्सेस त्वरित रद्द होतो.
- वर्धित सुरक्षा स्थिती: क्रेडेंशियल चोरी किंवा अनधिकृत नेटवर्क प्रवेशामुळे होणाऱ्या डेटा लीकचा धोका कमी करते. 802.1X आणि सर्टिफिकेट-आधारित ऑथेंटिकेशन लागू करून, संस्था केवळ अधिकृत आणि सुसंगत डिव्हाइसेसनाच संवेदनशील कॉर्पोरेट संसाधनांमध्ये प्रवेश मिळेल याची खात्री करतात.
- ऑप्टिमाइझ्ड व्हेन्यू ऑपरेशन्स: अतिथी WiFi ला Purple च्या क्लाउड RADIUS प्लॅटफॉर्मसह समाकलित करून, व्हेन्यू ऑपरेटर मौल्यवान लोकसंख्याशास्त्रीय आणि वर्तणुकीचा डेटा मिळवू शकतात. या डेटाचा वापर लक्ष्यित विपणन मोहिमा आखण्यासाठी, अभ्यागतांचे कनेक्शन सुधारण्यासाठी आणि पादचाऱ्यांच्या संख्येच्या विश्लेषणावर आधारित जागेचा वापर ऑप्टिमाइझ करण्यासाठी केला जाऊ शकतो.
- नियामक अनुपालन: केंद्रीकृत RADIUS अकाउंटिंग लॉग्स नेटवर्क प्रवेशाचा ऑडिट ट्रेल प्रदान करतात, ज्यामुळे संस्थांना PCI-DSS, ISO 27001 आणि GDPR सारख्या मानकांसाठीच्या अनुपालन आवश्यकता पूर्ण करण्यात मदत होते.
महत्वाच्या व्याख्या
RADIUS
Remote Authentication Dial-In User Service. एक नेटवर्किंग प्रोटोकॉल जो नेटवर्क सेवा कनेक्ट करणाऱ्या आणि वापरणाऱ्या युजर्ससाठी केंद्रित ऑथेंटिकेशन, ऑथरायझेशन आणि अकाउंटिंग व्यवस्थापन प्रदान करतो.
हे वायरलेस नेटवर्क हार्डवेअरला केंद्रीय ओळख डेटाबेसशी जोडण्यासाठी वापरले जाणारे उद्योग-मानक प्रोटोकॉल आहे.
Supplicant
क्लायंट सॉफ्टवेअर किंवा डिव्हाइस (जसे की लॅपटॉप, फोन किंवा टॅबलेट) जे नेटवर्कच्या ॲक्सेससाठी विनंती करते आणि पडताळणीसाठी क्रेडेंशियल्स किंवा सर्टिफिकेट्स प्रदान करते.
यशस्वीरित्या ऑथेंटिकेट करण्यासाठी सप्लिकंटने RADIUS सर्व्हरवर कॉन्फिगर केलेल्या विशिष्ट EAP पद्धतीला सपोर्ट करणे आवश्यक आहे.
Authenticator
नेटवर्क डिव्हाइस (सहसा वायरलेस LAN कंट्रोलर किंवा ॲक्सेस पॉईंट) जे नेटवर्कच्या प्रत्यक्ष ॲक्सेसवर नियंत्रण ठेवते आणि सप्लिकंट आणि RADIUS सर्व्हर दरम्यान प्रॉक्सी म्हणून काम करते.
ऑथेंटिकेटर क्रेडेंशियल्स स्वतः सत्यापित करत नाही; तो केवळ ते RADIUS सर्व्हरकडे फॉरवर्ड करतो.
EAP-TLS
Extensible Authentication Protocol - Transport Layer Security. एक अत्यंत सुरक्षित ऑथेंटिकेशन पद्धत जी ओळख पडताळणीसाठी क्लायंट आणि सर्व्हर दोन्हीवर परस्पर डिजिटल सर्टिफिकेट्स वापरते.
स्टाफ WiFi नेटवर्कवरील कॉर्पोरेट-व्यवस्थापित डिव्हाइसेससाठी ही पसंतीची ऑथेंटिकेशन पद्धत आहे.
PEAP-MSCHAPv2
Microsoft Challenge Handshake Authentication Protocol व्हर्जन 2 सह Protected Extensible Authentication Protocol. एक क्रेडेंशियल-आधारित ऑथेंटिकेशन पद्धत जी एनक्रिप्टेड TLS टनेलमध्ये पासवर्ड ट्रान्समिशन सुरक्षित करते.
हे स्टाफ नेटवर्क्ससाठी मोठ्या प्रमाणावर वापरले जाते कारण यासाठी क्लायंट-साइड सर्टिफिकेट्सची आवश्यकता नसते, ज्यामुळे हे EAP-TLS पेक्षा उपयोजित करणे सोपे होते.
RadSec
एक प्रोटोकॉल जो ट्रान्सपोर्ट लेयर सिक्युरिटी (TLS) टनेलच्या आत मानक RADIUS पॅकेट्स गुंडाळून RADIUS ट्रॅफिक सुरक्षित करतो, जो सहसा TCP पोर्ट 2083 वर चालतो.
क्लाउड-व्यवस्थापित WiFi नेटवर्कसाठी आवश्यक आहे जेथे ऑथेंटिकेशन ट्रॅफिक सार्वजनिक इंटरनेटवर जाणे आवश्यक आहे.
Captive Portal
नवीन जोडलेल्या वायरलेस वापरकर्त्यांना नेटवर्कचा अधिक वापर करण्याची परवानगी देण्यापूर्वी त्यांच्यासमोर प्रदर्शित केले जाणारे वेब पृष्ठ. हे सामान्यतः अतिथी प्रमाणीकरण (guest authentication), सेवा अटींची स्वीकृती आणि विपणन डेटा संकलनासाठी वापरले जाते.
Purple एक क्लाउड-होस्ट केलेले captive portal प्रदान करते जे RADIUS द्वारे स्थानिक नेटवर्क हार्डवेअरशी समाकलित होते.
MAC Authentication Bypass (MAB)
क्लायंट डिव्हाइसच्या MAC पत्त्यावर आधारित नेटवर्क प्रवेश नियंत्रण सक्षम करणारी एक प्रणाली. हे सहसा अशा उपकरणांसाठी वापरले जाते जी 802.1X प्रमाणीकरणास समर्थन देत नाहीत.
अतिथी WiFi नेटवर्कमध्ये सहसा वापरला जातो जेणेकरून उपकरणांना वारंवार captive portal न दाखवता अखंडपणे पुन्हा कनेक्ट करता येईल.
सोडवलेली उदाहरणे
१५० स्टोअर्स असलेल्या एका मल्टी-साइट रिटेल ब्रँडला सुरक्षित staff WiFi नेटवर्क डिप्लॉय करायचे आहे. ते सध्या सर्व स्टोअर्समध्ये एकच प्री-शेअर्ड की (PSK) वापरतात, जी वारंवार लीक होते. त्यांना अशा समाधानाची आवश्यकता आहे जे त्यांच्या सध्याच्या Microsoft Azure Active Directory (आता Microsoft Entra ID) सोबत एकत्रित होते आणि हे सुनिश्चित करते की कर्मचारी केवळ कॉर्पोरेट-व्यवस्थापित लॅपटॉपचा वापर करूनच ऑथेंटिकेट करू शकतात.
हे सोडवण्यासाठी, आम्ही क्लाउड-आधारित RADIUS सेवेद्वारे Microsoft Entra ID सह एकत्रित केलेले, EAP-TLS ऑथेंटिकेशनसह WPA3-Enterprise लागू करू.
१. प्रायव्हेट CA स्थापित करा: सर्व कॉर्पोरेट-व्यवस्थापित लॅपटॉप्सना डिव्हाइस सर्टिफिकेट्स जारी करण्यासाठी क्लाउड-आधारित पब्लिक की इन्फ्रास्ट्रक्चर (PKI) डिप्लॉय करा किंवा विद्यमान Active Directory Certificate Services (AD CS) डिप्लॉयमेंटचा वापर करा.
२. सर्टिफिकेट वितरण: Root CA सर्टिफिकेट आणि प्रत्येक व्यवस्थापित लॅपटॉपला एक युनिक क्लायंट सर्टिफिकेट स्वयंचलितपणे वितरीत करण्यासाठी संस्थेची मोबाईल डिव्हाइस मॅनेजमेंट (MDM) सिस्टम (उदा. Microsoft Intune) कॉन्फिगर करा. क्लायंट सर्टिफिकेटमध्ये Subject Alternative Name (SAN) मध्ये डिव्हाइसचे होस्ट नाव किंवा सिरियल नंबर समाविष्ट असणे आवश्यक आहे.
३. क्लाउड RADIUS सर्व्हर कॉन्फिगर करा: Microsoft Entra ID सह एकत्रित होणारी क्लाउड RADIUS सेवा सेट अप करा. विश्वासू प्रायव्हेट CA च्या विरुद्ध येणारे क्लायंट सर्टिफिकेट्स व्हॅलिडेट करण्यासाठी RADIUS सर्व्हर कॉन्फिगर करा.
४. WLCs/APs कॉन्फिगर करा: प्रत्येक रिटेल स्टोअरमधील वायरलेस कंट्रोलर्सवर, Retail_Staff नावाचा नवीन SSID कॉन्फिगर करा. सुरक्षा WPA3-Enterprise वर सेट करा आणि पब्लिक इंटरनेटवर ऑथेंटिकेशन ट्रॅफिक सुरक्षित करण्यासाठी RadSec (TCP पोर्ट २०८३) चा वापर करून क्लाउड RADIUS सर्व्हर IPs कडे ऑथेंटिकेशन पॉइंट करा.
५. ॲक्सेस पॉलिसीज परिभाषित करा: RADIUS सर्व्हरवर, एक पॉलिसी तयार करा जी केवळ तेव्हाच ॲक्सेसला अनुमती देते जर क्लायंट सर्टिफिकेट वैध असेल, सर्टिफिकेट रद्द केलेले नसेल (CRL किंवा OCSP द्वारे तपासलेले), आणि डिव्हाइसची ओळख Microsoft Entra ID मध्ये अस्तित्वात आणि सक्रिय असेल.
एकाच वेळी २०,००० पर्यंत युजर्सचे होस्टिंग करणाऱ्या एका मोठ्या कन्व्हेन्शन सेंटरला guest WiFi नेटवर्क डिप्लॉय करायचे आहे. नेटवर्कने captive portal द्वारे अखंड लॉगिन अनुभव दिला पाहिजे, बँडविड्थची साठवणूक रोखण्यासाठी ३ तासांची सेशन मर्यादा लागू केली पाहिजे, आणि GDPR चे पालन करून मार्केटिंग संमती गोळा केली पाहिजे. इन्फ्रास्ट्रक्चरमध्ये Cisco Catalyst WLCs समाविष्ट आहेत.
आम्ही MAC Authentication Bypass (MAB) आणि Purple प्लॅटफॉर्मसह समाकलित केलेल्या captive portal रिडायरेक्शनसह एक Open SSID उपयोजित करू.
- Guest SSID कॉन्फिगर करा: Cisco WLC वर,
Convention_Guestनावाचा SSID तयार करा. सिक्युरिटी Open वर सेट करा. MAC Filtering सक्षम करा आणि Purple शी संबंधित असलेला RADIUS सर्व्हर ग्रुप निवडा. - रिडायरेक्शन कॉन्फिगर करा: WLC वर एक Web Auth पॉलिसी सेट करा जेणेकरून अन-ऑथेंटिकेट युजर्सना Purple च्या captive portal URL वर रिडायरेक्ट केले जाईल:
https://portal.purplewifi.net/.... - Walled Garden कॉन्फिगर करा: WLC वर
GUEST_RED_ACLनावाची ॲक्सेस कंट्रोल लिस्ट (ACL) तयार करा. ही ACL DNS ट्रॅफिक (UDP पोर्ट 53), DHCP ट्रॅफिक (UDP पोर्ट्स 67 आणि 68) आणि Purple च्या IP रेंज व CDNs कडील आणि त्यांकडील ट्रॅफिकला परवानगी देणारी असावी. इतर सर्व HTTP/HTTPS ट्रॅफिक रिडायरेक्ट केले जाणे आवश्यक आहे. - RADIUS Accounting कॉन्फिगर करा: 10 मिनिटांच्या interim-update इंटरव्हलसह Purple च्या अकाउंटिंग सर्व्हर्सचा संदर्भ देत WLC वर RADIUS अकाउंटिंग सक्षम करा.
- सेशन मर्यादा कॉन्फिगर करा: Purple पोर्टल डॅशबोर्डवर, 3 तासांचा सेशन टाईमआउट लागू करण्यासाठी ॲक्सेस जर्नी कॉन्फिगर करा. युजरने लॉगिन पूर्ण केल्यानंतर आणि GDPR चे पालन करणाऱ्या मार्केटिंग अटी स्वीकारल्यानंतर, Purple चा RADIUS सर्व्हर Cisco WLC ला
Session-Timeoutॲट्रिब्युट 10800 सेकंद (3 तास) वर सेट असलेले Access-Accept पॅकेट पाठवतो. - पुन्हा ऑथेंटिकेशनचा फ्लो: 3 तासांनंतर, WLC सेशन समाप्त करते. युजरने पुन्हा कनेक्ट करण्याचा प्रयत्न केल्यास, त्यांना पुन्हा ऑथेंटिकेट करण्यासाठी captive portal वर रिडायरेक्ट केले जाते.
सराव प्रश्न
Q1. एका संस्थेने नुकतेच त्यांच्या RADIUS सर्व्हरवरील SSL प्रमाणपत्र नूतनीकरण केले. त्यानंतर लगेचच, अनेक कॉर्पोरेट-व्यवस्थापित Windows लॅपटॉप स्टाफ WiFi नेटवर्कशी कनेक्ट होऊ शकले नाहीत, तर macOS आणि iOS उपकरणे कोणत्याही समस्येशिवाय कनेक्ट झाली. या समस्येचे बहुधा कारण काय आहे आणि ती कशी सोडवावी?
टीप: विविध ऑपरेटिंग सिस्टम सर्व्हर प्रमाणपत्रांचे प्रमाणीकरण कसे करतात आणि सर्टिफिकेट ऑथॉरिटी (CA) साखळीची भूमिका काय आहे याचा विचार करा.
नमुना उत्तर पहा
सर्वात संभाव्य कारण म्हणजे नवीन RADIUS सर्व्हर प्रमाणपत्र वेगळ्या सर्टिफिकेट ऑथॉरिटी (CA) किंवा इंटरमीडिएट CA द्वारे जारी केले गेले होते ज्यावर प्रभावित Windows लॅपटॉपचा विश्वास नाही, किंवा Windows Group Policy एका विशिष्ट सर्व्हर नावाचे किंवा रूट CA चे प्रमाणीकरण करण्यासाठी कॉन्फिगर केली गेली आहे जी नवीन प्रमाणपत्राशी जुळत नाही. macOS आणि iOS उपकरणे सहसा अधिक लवचिक असतात किंवा वापरकर्त्याला नवीन प्रमाणपत्रावर व्यक्तिचलितपणे विश्वास ठेवण्यास सांगतात, तर Windows एंटरप्राइझ कॉन्फिगरेशन कोणत्याही सूचनेशिवाय अविश्वासू प्रमाणपत्रांचे कनेक्शन कठोरपणे ब्लॉक करतात. याचे निराकरण करण्यासाठी, नवीन CA चे रूट आणि इंटरमीडिएट प्रमाणपत्रे Group Policy किंवा MDM द्वारे सर्व Windows उपकरणांवर वितरित केली गेल्याची खात्री करा आणि नवीन CA वर विश्वास ठेवण्यासाठी वायरलेस प्रोफाइल कॉन्फिगरेशन अपडेट करा.
Q2. एका मोठ्या क्रीडा स्टेडियमवर गर्दीच्या वेळेत, अतिथी WiFi वापरकर्त्यांनी नोंदवले की ते captive portal नोंदणी यशस्वीरित्या पूर्ण करत आहेत परंतु त्यांना इंटरनेटवर रिडायरेक्ट केले जात नाही. त्याऐवजी, त्यांना वारंवार captive portal लॉगिन पृष्ठ दर्शविले जात आहे. WLC लॉग 'RADIUS authentication timeout' दर्शवितात. आपण या समस्येचे निदान आणि निराकरण कसे कराल?
टीप: wireless controller वरील RADIUS पॅकेटचा मार्ग आणि टाइमआउट सेटिंग्जचे विश्लेषण करा.
नमुना उत्तर पहा
ही विलंबाने (latency) उद्भवणारी एक उत्कृष्ट टाइमआउट समस्या आहे. गर्दीच्या वेळेत, जास्त रहदारीमुळे WAN लिंकवर गर्दी होते किंवा RADIUS सर्व्हरवर जास्त CPU वापर होतो, ज्यामुळे RADIUS Access-Accept प्रतिसादास उशीर होतो. WLC चा डीफॉल्ट टाइमआउट खूप कमी (सामान्यतः २ सेकंद) सेट केलेला असल्यामुळे, WLC गृहीत धरते की RADIUS सर्व्हर ऑफलाइन आहे आणि सेशन ड्रॉप करते, ज्यामुळे वापरकर्त्याला पुन्हा captive portal वर जावे लागते. निदान करण्यासाठी, गर्दीच्या वेळेत RADIUS पॅकेटचा राउंड-ट्रिप टाइम (RTT) तपासा. निराकरण करण्यासाठी: १) WLC वरील RADIUS टाइमआउट ५ किंवा ७ सेकंदांपर्यंत वाढवा. २) पुन्हा प्रयत्न करण्याची संख्या (retry count) ३ पर्यंत वाढवा. ३) सामान्य अतिथी इंटरनेट रहदारीपेक्षा RADIUS रहदारीला (UDP 1812/1813) प्राधान्य देण्यासाठी WAN गेटवेवर क्वालिटी ऑफ सर्व्हिस (QoS) लागू करा.
Q3. सुरक्षा ऑडिटमध्ये असे दिसून आले आहे की अतिथी WiFi वापरकर्ते नेटवर्क स्विचेस आणि WLC च्या अंतर्गत व्यवस्थापन इंटरफेसमध्ये प्रवेश करू शकतात. अतिथी नेटवर्क captive portal सह Open SSID म्हणून कॉन्फिगर केले आहे. ही असुरक्षितता दूर करण्यासाठी कोणते आर्किटेक्चरल बदल केले पाहिजेत?
टीप: नेटवर्क सेगमेंटेशन आणि प्रवेश नियंत्रण धोरणे कुठे लागू केली पाहिजेत याचा विचार करा.
नमुना उत्तर पहा
ही असुरक्षितता दूर करण्यासाठी, कठोर नेटवर्क सेगमेंटेशन लागू करणे आवश्यक आहे. प्रथम, हे सुनिश्चित करा की Guest SSID एका समर्पित Guest VLAN (उदा. VLAN 20) शी मॅप केलेले आहे जे स्टाफ VLAN आणि मॅनेजमेंट VLAN (जिथे स्विचेस आणि WLC असतात) पासून पूर्णपणे वेगळे आहे. दुसरे म्हणजे, अतिथी VLAN मधून सुरू होणारी आणि कोणत्याही अंतर्गत खाजगी IP सबनेट (RFC 1918 श्रेणी) साठी पाठवली जाणारी रहदारी, विशेषतः नेटवर्क पायाभूत सुविधांच्या व्यवस्थापन IPs ना लक्ष्य करणारी रहदारी ब्लॉक करण्यासाठी कोर राउटर किंवा गेटवेवर ऍक्सेस कंट्रोल लिस्ट (ACLs) किंवा फायरवॉल नियम कॉन्फिगर करा. अतिथी VLAN कडे केवळ इंटरनेट आणि प्री-ऑथेंटिकेशनसाठी आवश्यक असलेल्या विशिष्ट DNS सर्व्हर्स आणि captive portal IPs चे राउटिंग मार्ग असावेत.
या मालिकेमध्ये पुढे वाचा
उच्च शिक्षणामध्ये सुरक्षित BYOD आणि नेटवर्क नोंदणीसाठी SCEP कसे लागू करावे
हे तांत्रिक मार्गदर्शक नेटवर्क आर्किटेक्ट्स आणि IT व्यवस्थापकांना उच्च शिक्षण संस्थांच्या कॅम्पस नेटवर्क सुरक्षित करण्यासाठी SCEP - आधारित प्रमाणपत्र नोंदणी तैनात करण्यासाठी विक्रेता - तटस्थ ब्लूप्रिंट प्रदान करते. हे पासवर्ड - आधारित PEAP वरून 802.1X EAP-TLS वर कसे स्थलांतरित करायचे, BYOD ऑनबोर्डिंग स्वयंचलित कसे करायचे आणि मजबूत VLAN विभाजन कसे लागू करायचे याचे तपशील देते.
Server RADIUS: व्यवसायांसाठी एक सर्वसमावेशक मार्गदर्शिका
ही मार्गदर्शिका IT व्यवस्थापक, नेटवर्क आर्किटेक्ट आणि CTOs ना एंटरप्राइझ WiFi साठी server RADIUS ऑथेंटिकेशनवर एक निश्चित तांत्रिक संदर्भ प्रदान करते. यामध्ये AAA फ्रेमवर्क, 802.1X आर्किटेक्चर, EAP पद्धत निवड, क्लाउड विरुद्ध ऑन-प्रिमाइसेस डिप्लॉयमेंटचे फायदे-तोटे आणि डायनॅमिक VLAN असाइनमेंट समाविष्ट आहे. आदरातिथ्य (hospitality), रिटेल, इव्हेंट्स आणि सार्वजनिक क्षेत्रातील वेन्यू ऑपरेटर्सना असुरक्षित प्री-शेअर्ड की वरून सुरक्षित, ओळख-आधारित (identity-driven) नेटवर्क ऍक्सेस कंट्रोल आर्किटेक्चरमध्ये स्थलांतरित होण्यासाठी आवश्यक असणारे अंमलबजावणी मार्गदर्शन, वास्तविक जगातील केस स्टडीज आणि निर्णय घेण्याची फ्रेमवर्क मिळतील.
Aruba ClearPass विरुद्ध Purple WiFi: वैशिष्ट्यांची तुलना आणि सह-तैनाती
Aruba ClearPass आणि Purple WiFi च्या सह-तैनाती आर्किटेक्चरचे तपशील देणारे एक व्यापक तांत्रिक मार्गदर्शक. यामध्ये RADIUS प्रॉक्सी कॉन्फिगरेशन, डायनॅमिक VLAN असाइनमेंट आणि एंटरप्राइझ NAC सोबत सुरक्षित, विश्लेषण-चालित अतिथी नेटवर्क प्रदान करण्यासाठी सर्वोत्तम पद्धतींचा समावेश आहे.