मुख्य मजकुराकडे जा
मराठी

EAP पद्धतींची तुलना: PEAP, EAP-TLS, EAP-TTLS, आणि EAP-FAST

हे अधिकृत तांत्रिक संदर्भ मार्गदर्शक एंटरप्राइझ WiFi ऑथेंटिकेशनसाठी PEAP, EAP-TLS, EAP-TTLS आणि EAP-FAST ची समोरासमोर तुलना प्रदान करते. हे आयटी मॅनेजर्स आणि नेटवर्क आर्किटेक्ट्सना सर्वोत्तम 802.1X डिप्लॉयमेंट स्ट्रॅटेजी निवडण्यात मदत करण्यासाठी सुरक्षा स्थिती, डिप्लॉयमेंटची गुंतागुंत आणि डिव्हाइस सुसंगततेवर कृतीयोग्य मार्गदर्शन देते.

📖 6 मिनिट वाचन📝 1,483 शब्द🔧 2 सोडवलेली उदाहरणे3 सराव प्रश्न📚 8 महत्वाच्या व्याख्या

header_image.png

कार्यकारी सारांश

एंटरप्राइझ आयटी मॅनेजर्स आणि नेटवर्क आर्किटेक्ट्ससाठी, योग्य Extensible Authentication Protocol (EAP) पद्धत निवडणे हा एक अत्यंत महत्त्वाचा निर्णय आहे, जो सुरक्षा स्थिती, डिप्लॉयमेंटची गुंतागुंत आणि वापरकर्ता अनुभव यांचा समतोल राखतो. संस्था असुरक्षित प्री-शेअर्ड कीज (PSKs) कडून 802.1X ऑथेंटिकेशनकडे वळत असताना, ही निवड प्रामुख्याने चार मुख्य पद्धतींपुरती मर्यादित होते: PEAP, EAP-TLS, EAP-TTLS, आणि EAP-FAST. हे मार्गदर्शक या पद्धतींची थेट, तांत्रिक तुलना प्रदान करते, ज्यामुळे तुम्हाला तुमच्या Guest WiFi आणि अंतर्गत कॉर्पोरेट नेटवर्क्ससाठी माहितीपूर्ण आर्किटेक्चरल निर्णय घेण्यास मदत होईल. आम्ही पासवर्ड-आधारित टनेल्ड पद्धती आणि म्युच्युअल सर्टिफिकेट ऑथेंटिकेशन यांमधील सुरक्षेतील फरक तपासू, विशिष्ट पद्धती कधी योग्य आहेत याचे मूल्यांकन करू आणि आधुनिक एंटरप्राइझ वातावरणासाठी कृतीयोग्य अंमलबजावणी मार्गदर्शन प्रदान करू.

तांत्रिक सखोल माहिती: EAP पद्धतींची तुलना

PEAP (Protected EAP)

PEAP ला 802.1X ऑथेंटिकेशनसाठी एंटरप्राइझ वर्कहॉर्स म्हणून मोठ्या प्रमाणावर मानले जाते. Cisco, Microsoft आणि RSA Security द्वारे सह-विकसित केलेले, हे सर्व्हर-साइड सर्टिफिकेट वापरून एक एनक्रिप्टेड TLS टनेल तयार करते. या सुरक्षित टनेलमध्ये, क्लायंट लेगसी पद्धत वापरून ऑथेंटिकेट करतो, ज्यामध्ये बहुधा MSCHAPv2 वापरले जाते.

PEAP चा मुख्य फायदा म्हणजे Windows, macOS, iOS आणि Android सह आधुनिक ऑपरेटिंग सिस्टीम्समध्ये त्याचा जवळपास-सार्वत्रिक नेटिव्ह सपोर्ट. याला क्लायंट डिव्हाइसेसवर नव्हे तर केवळ RADIUS सर्व्हरवर सर्टिफिकेटची आवश्यकता असल्यामुळे, सर्टिफिकेट-आधारित पर्यायांच्या तुलनेत डिप्लॉयमेंट लक्षणीयरीत्या कमी गुंतागुंतीचे असते. यामुळे ब्रिंग युवर ओन डिव्हाइस (BYOD) वातावरणासाठी किंवा Transport हब्ससारख्या मोठ्या सार्वजनिक ठिकाणांसाठी PEAP अत्यंत आकर्षक बनते, जिथे क्लायंट सर्टिफिकेट्स व्यवस्थापित करणे अव्यवहार्य असते.

तथापि, PEAP चे पासवर्ड्सवरील अवलंबित्व (MSCHAPv2 द्वारे) सुरक्षेचे धोके निर्माण करते. जर क्लायंट डिव्हाइस सर्व्हरचे सर्टिफिकेट प्रमाणित करण्यासाठी कठोरपणे कॉन्फिगर केलेले नसेल, तर वापरकर्त्यांना फसवून रोग (rogue) ॲक्सेस पॉईंटशी कनेक्ट केले जाऊ शकते ("इव्हिल ट्विन" अटॅक). त्यानंतर रोग AP MSCHAPv2 चॅलेंज-रिस्पॉन्स कॅप्चर करू शकतो, जो वापरकर्त्याचा पासवर्ड मिळवण्यासाठी ऑफलाइन क्रॅक केला जाऊ शकतो. त्यामुळे, PEAP डिप्लॉय करताना ग्रुप पॉलिसी किंवा MDM द्वारे कठोर सर्व्हर सर्टिफिकेट व्हॅलिडेशन लागू करणे हे एक अनिवार्य सुरक्षा नियंत्रण आहे.

EAP-TLS (EAP-Transport Layer Security)

EAP-TLS हे एंटरप्राइझ वायरलेस सुरक्षेसाठी सुवर्ण मानक मानले जाते. PEAP च्या विपरीत, EAP-TLS ला म्युच्युअल सर्टिफिकेट ऑथेंटिकेशनची आवश्यकता असते. कोणताही नेटवर्क ॲक्सेस देण्यापूर्वी RADIUS सर्व्हर आणि क्लायंट डिव्हाइस या दोघांनीही वैध डिजिटल सर्टिफिकेट सादर करणे आवश्यक आहे.

हे म्युच्युअल ऑथेंटिकेशन पासवर्डची गरज पूर्णपणे दूर करते, ज्यामुळे क्रेडेंशियल चोरी, डिक्शनरी अटॅक्स आणि रोग AP अटॅक्स कुचकामी ठरतात. जर डिव्हाइसकडे योग्य क्लायंट सर्टिफिकेट नसेल, तर ते नेटवर्कशी कनेक्ट होऊ शकत नाही. Retail क्षेत्रातील PCI DSS किंवा Healthcare मधील HIPAA सारख्या कठोर नियामक आवश्यकतांच्या अधीन असलेल्या संस्थांसाठी, EAP-TLS हा अत्यंत शिफारस केलेला दृष्टिकोन आहे.

या वर्धित सुरक्षेचा तोटा म्हणजे डिप्लॉयमेंटची गुंतागुंत. EAP-TLS लागू करण्यासाठी सर्टिफिकेट्स जारी करणे, नूतनीकरण करणे आणि रद्द करणे यासाठी मजबूत पब्लिक की इन्फ्रास्ट्रक्चर (PKI) आवश्यक आहे. तसेच एंडपॉईंट्सवर ही सर्टिफिकेट्स सुरक्षितपणे वितरित करण्यासाठी Microsoft Intune किंवा Jamf सारख्या मोबाईल डिव्हाइस मॅनेजमेंट (MDM) सोल्यूशनची आवश्यकता असते. Apple वातावरणावरील मार्गदर्शनासाठी, आमचे Jamf e RADIUS: Autenticação WiFi Baseada em Certificado para Frotas de Dispositivos Apple वरील मार्गदर्शक पहा. कॉर्पोरेट-मालकीच्या, व्यवस्थापित डिव्हाइस फ्लीट्ससाठी EAP-TLS हा सर्वोत्तम पर्याय आहे जिथे सुरक्षा सर्वोच्च आहे.

eap_security_comparison_chart.png

EAP-TTLS (EAP Tunneled TLS)

Funk Software आणि Certicom द्वारे सह-विकसित केलेले EAP-TTLS, सर्व्हर-साइड सर्टिफिकेट वापरून एनक्रिप्टेड TLS टनेल स्थापित करून PEAP प्रमाणेच कार्य करते. यातील मुख्य फरक म्हणजे इनर ऑथेंटिकेशन पद्धतीबाबतची लवचिकता. PEAP हे MSCHAPv2 शी घट्ट जोडलेले असताना, EAP-TTLS टनेलमध्ये सुरक्षितपणे PAP, CHAP किंवा MSCHAP सह जवळजवळ कोणत्याही ऑथेंटिकेशन प्रोटोकॉलला एन्कॅप्स्युलेट करू शकते.

ही लवचिकता EAP-TTLS ला अशा वातावरणात अत्यंत मौल्यवान बनवते जिथे जुन्या LDAP डिरेक्टरीज, RADIUS प्रॉक्सीज किंवा MSCHAPv2 ला नेटिव्ह सपोर्ट नसलेल्या नॉन-मायक्रोसॉफ्ट आयडेंटिटी स्टोअर्सवर ऑथेंटिकेट करणे आवश्यक असते. हे आंतरराष्ट्रीय संशोधन आणि शिक्षण समुदायासाठी जागतिक रोमिंग ॲक्सेस सेवा असलेल्या eduroam साठी प्रसिद्ध अंडरलाइंग प्रोटोकॉल आहे. ऐतिहासिकदृष्ट्या, EAP-TTLS साठी नेटिव्ह क्लायंट सपोर्ट PEAP पेक्षा कमी सर्वव्यापी होता, ज्यासाठी जुन्या Windows आवृत्त्यांवर अनेकदा थर्ड-पार्टी सप्लिकंट्सची आवश्यकता होती, परंतु आधुनिक ऑपरेटिंग सिस्टीम्स आता मजबूत नेटिव्ह सपोर्ट प्रदान करतात.

EAP-FAST (Flexible Authentication via Secure Tunneling)

अत्यंत असुरक्षित LEAP प्रोटोकॉलला जलद पर्याय म्हणून Cisco द्वारे विकसित केलेले, EAP-FAST डिजिटल सर्टिफिकेट्स डिप्लॉय करण्याच्या कठोर आवश्यकतेशिवाय सुरक्षित ऑथेंटिकेशन प्रदान करण्यासाठी डिझाइन केले गेले होते. सुरक्षित टनेल स्थापित करण्यासाठी सर्व्हर सर्टिफिकेट वापरण्याऐवजी, EAP-FAST हे प्रोटेक्टेड ॲक्सेस क्रेडेंशियल्स (PACs) वर अवलंबून असते—जे ऑथेंटिकेशन सर्व्हरद्वारे क्लायंट्सना डायनॅमिकली प्रोव्हिजन केलेले डेटाचे अपारदर्शक ब्लॉक्स असतात.

EAP-FAST त्याच्या जलद सेशन रिझम्प्शन क्षमतेसाठी ओळखले जाते. हे एक सुरक्षित, एनक्रिप्टेड टनेल प्रदान करत असले तरी, मानक X.509 सर्टिफिकेट्सऐवजी PACs वरील त्याचे अवलंबित्व त्याला काहीसे प्रोप्रायटरी आणि आधुनिक, व्हेंडर-न्यूट्रल झिरो-ट्रस्ट आर्किटेक्चर्सशी कमी सुसंगत बनवते. आज, EAP-FAST प्रामुख्याने लेगसी सिस्को-केंद्रीत वातावरणात, विशिष्ट IoT डिप्लॉयमेंट्समध्ये किंवा विशेष रग्डाइज्ड डिव्हाइसेसमध्ये संबंधित आहे. बहुतांश नवीन एंटरप्राइझ डिप्लॉयमेंट्ससाठी, PEAP किंवा EAP-TLS ला प्राधान्य दिले जाते.

अंमलबजावणी मार्गदर्शक

802.1X ऑथेंटिकेशन डिप्लॉय करण्यासाठी वायरलेस ॲक्सेस पॉईंट्सपासून ते RADIUS इन्फ्रास्ट्रक्चर आणि आयडेंटिटी प्रोव्हायडर्सपर्यंत संपूर्ण नेटवर्क स्टॅकमध्ये काळजीपूर्वक नियोजन करणे आवश्यक आहे. Purple च्या प्लॅटफॉर्मशी इंटिग्रेट करताना, आमचे RADIUS सर्व्हर्स सर्व प्रमुख EAP पद्धतींना सपोर्ट करतात, ज्यामुळे वापरकर्ते Wayfinding किंवा WiFi Analytics सारख्या वैशिष्ट्यांशी संवाद साधण्यापूर्वी अखंड ऑथेंटिकेशन सुनिश्चित होते.

eap_deployment_scenario.png

पायरी 1: ऑथेंटिकेशन स्ट्रॅटेजी निश्चित करा

तुमच्या एंडपॉईंट फ्लीटचे मूल्यांकन करा. जर डिव्हाइसेस कॉर्पोरेट-मालकीची असतील आणि MDM द्वारे व्यवस्थापित केली जात असतील, तर EAP-TLS ला लक्ष्य करा. जर तुम्ही BYOD ला सपोर्ट करत असाल, तर PEAP हा व्यावहारिक पर्याय आहे. तुमचा आयडेंटिटी प्रोव्हायडर (Active Directory, Google Workspace, Okta) आवश्यक प्रोटोकॉल्सना सपोर्ट करत असल्याची खात्री करा (उदा., PEAP साठी MSCHAPv2).

पायरी 2: सर्टिफिकेट मॅनेजमेंट

EAP-FAST वगळता सर्व पद्धतींसाठी, तुम्ही तुमच्या RADIUS सर्व्हरवर सर्व्हर सर्टिफिकेट डिप्लॉय करणे आवश्यक आहे. क्लायंट-साइड ट्रस्ट वॉर्निंग्ज कमी करण्यासाठी हे सर्टिफिकेट आदर्शपणे एका विश्वसनीय पब्लिक सर्टिफिकेट ऑथॉरिटी (CA) द्वारे जारी केलेले असावे, जरी तुम्ही सर्व एंडपॉईंट्स नियंत्रित करत असाल तर अंतर्गत एंटरप्राइझ CA वापरला जाऊ शकतो. EAP-TLS साठी, तुमचा PKI स्थापित करा आणि योग्य सब्जेक्ट अल्टरनेटिव्ह नेम (SAN) मॅपिंग्जसह क्लायंट सर्टिफिकेट्स स्वयंचलितपणे प्रोव्हिजन करण्यासाठी तुमचा MDM कॉन्फिगर करा.

पायरी 3: RADIUS आणि ॲक्सेस पॉईंट कॉन्फिगरेशन

तुमचे वायरलेस ॲक्सेस पॉईंट्स WPA2-Enterprise किंवा WPA3-Enterprise वापरण्यासाठी कॉन्फिगर करा, त्यांना योग्य शेअर्ड सिक्रेट्ससह तुमच्या RADIUS सर्व्हरच्या IP ॲड्रेसेसकडे पॉईंट करा. RADIUS सर्व्हरवर, तुमच्या नेटवर्क पॉलिसीज परिभाषित करा, अनुमत EAP पद्धती निर्दिष्ट करा आणि वापरकर्ता किंवा डिव्हाइस ग्रुप मेंबरशिपच्या आधारे यशस्वी ऑथेंटिकेशन्स योग्य VLANs वर मॅप करा.

पायरी 4: एंडपॉईंट सप्लिकंट कॉन्फिगरेशन

सुरक्षेसाठी ही सर्वात महत्त्वाची पायरी आहे. PEAP साठी, डिव्हाइसेसवर प्री-कॉन्फिगर केलेली WiFi प्रोफाईल पुश करण्यासाठी MDM किंवा ग्रुप पॉलिसी वापरा. या प्रोफाईलने विश्वसनीय RADIUS सर्व्हरची नावे आणि सर्व्हर सर्टिफिकेट जारी करणारा विश्वसनीय रूट CA स्पष्टपणे निर्दिष्ट करणे आवश्यक आहे. सर्वात महत्त्वाचे म्हणजे, वापरकर्त्यांना नवीन सर्व्हर्स किंवा सर्टिफिकेट्सवर विश्वास ठेवण्यास प्रवृत्त करणारा पर्याय अक्षम करा.

सर्वोत्तम पद्धती

  1. सर्टिफिकेट्ससाठी कधीही वापरकर्त्याच्या निर्णयावर अवलंबून राहू नका: PEAP किंवा EAP-TTLS डिप्लॉय करताना, विशिष्ट सर्व्हर सर्टिफिकेट्सवर विश्वास ठेवण्यासाठी नेहमी एंडपॉईंट सप्लिकंट्स प्री-कॉन्फिगर करा. सर्टिफिकेट वॉर्निंगवर "Accept" क्लिक करण्यासाठी वापरकर्त्यांवर अवलंबून राहिल्याने संपूर्ण सुरक्षा मॉडेल कमकुवत होते आणि नेटवर्क रोग AP अटॅक्सच्या धोक्यात येते.
  2. सर्टिफिकेट लाइफसायकल मॅनेजमेंट स्वयंचलित करा: सर्टिफिकेटची मुदत संपणे हे 802.1X आउटेजेसचे प्रमुख कारण आहे. EAP-TLS डिप्लॉयमेंट्समध्ये RADIUS सर्व्हर सर्टिफिकेट्स आणि क्लायंट सर्टिफिकेट्स या दोन्हींसाठी स्वयंचलित मॉनिटरिंग आणि नूतनीकरण प्रक्रिया लागू करा.
  3. WPA3-Enterprise लागू करा: जिथे क्लायंट सपोर्ट अनुमती देतो, तिथे WPA3-Enterprise वर स्थलांतरित व्हा. हे प्रोटेक्टेड मॅनेजमेंट फ्रेम्स (PMF) चा वापर अनिवार्य करते आणि 192-बिट सिक्युरिटी सूट पर्याय ऑफर करते, जे WPA2 पेक्षा अधिक मजबूत क्रिप्टोग्राफिक संरक्षण प्रदान करते.
  4. नेटवर्कचे विभाजन करा: ऑथेंटिकेट झालेल्या वापरकर्त्यांना त्यांच्या भूमिकेनुसार विशिष्ट VLANs डायनॅमिकली असाइन करण्यासाठी RADIUS ॲट्रिब्यूट्स (जसे की Filter-Id किंवा Tunnel-Private-Group-Id) वापरा, ज्यामुळे गेस्ट ट्रॅफिक कॉर्पोरेट ॲसेट्सपासून वेगळे राहील. आधुनिक नेटवर्क डिझाइनबद्दल अधिक माहितीसाठी, The Core SD WAN Benefits for Modern Businesses चे पुनरावलोकन करा.

ट्रबलशूटिंग आणि जोखीम निवारण

EAP डिप्लॉयमेंट्समधील सामान्य बिघाड प्रामुख्याने सर्टिफिकेट व्हॅलिडेशन आणि आयडेंटिटी प्रोव्हायडर इंटिग्रेशनभोवती फिरतात.

  • लक्षण: RADIUS सर्व्हर अपडेटनंतर क्लायंट्स कनेक्ट होण्यात अयशस्वी होतात.
    • जोखीम: नवीन सर्व्हर सर्टिफिकेट क्लायंट्सद्वारे विश्वसनीय असलेल्या रूट CA द्वारे जारी केले गेले नव्हते, किंवा सर्व्हरचे नाव बदलले आहे.
    • निवारण: स्टेजिंग वातावरणात नेहमी सर्टिफिकेट रोलओव्हर्सची चाचणी करा. नवीन सर्टिफिकेट चेन प्रॉडक्शनमध्ये लागू करण्यापूर्वी सर्व एंडपॉईंट प्रोफाईल्सद्वारे पूर्णपणे विश्वसनीय असल्याची खात्री करा.
  • लक्षण: iOS डिव्हाइसेस व्यवस्थित कनेक्ट होतात, परंतु Windows डिव्हाइसेस अयशस्वी होतात.
    • जोखीम: Windows सप्लिकंट्स सर्व्हर सर्टिफिकेटवरील सर्व्हर नेम इंडिकेशन (SNI) किंवा विशिष्ट EKU (एक्स्टेंडेड की युसेज) ॲट्रिब्यूट्स प्रमाणित करण्याबाबत अनेकदा अधिक कठोर असतात.
    • निवारण: सर्व्हर सर्टिफिकेटमध्ये 'Server Authentication' EKU समाविष्ट असल्याची आणि SAN हे Windows WiFi प्रोफाईलमध्ये कॉन्फिगर केलेल्या नावाशी जुळत असल्याची पडताळणी करा.

ROI आणि व्यावसायिक प्रभाव

मजबूत EAP पद्धतीकडे वळल्याने केवळ सुरक्षेच्या पलीकडे महत्त्वपूर्ण व्यावसायिक मूल्य मिळते. शेअर्ड पासवर्ड्स काढून टाकल्याने, आयटी टीम्स पासवर्ड रिसेट्स किंवा तडजोड झालेल्या PSKs शी संबंधित हेल्पडेस्क तिकिटांचा ऑपरेशनल ओव्हरहेड कमी करतात. Hospitality सारख्या वातावरणात, जिथे कर्मचाऱ्यांची उलाढाल जास्त असू शकते, सर्टिफिकेट-आधारित ऑथेंटिकेशन (EAP-TLS) हे सुनिश्चित करते की जेव्हा एखादे डिव्हाइस वाइप केले जाते किंवा सर्टिफिकेटची मुदत संपते तेव्हा ग्लोबल पासवर्ड बदलण्याची आवश्यकता न पडता ॲक्सेस स्वयंचलितपणे रद्द केला जातो.

याव्यतिरिक्त, PCI DSS आणि GDPR सारख्या कंप्लायन्स फ्रेमवर्क्ससाठी मजबूत ऑथेंटिकेशन ही एक पूर्वअट आहे. मजबूत ॲक्सेस कंट्रोल्स प्रदर्शित करून, संस्था डेटा उल्लंघनाशी संबंधित नियामक दंड आणि प्रतिष्ठेच्या नुकसानीचा धोका कमी करतात. व्हेन्यू इन्फ्रास्ट्रक्चर अपग्रेड करण्याच्या व्यापक दृष्टिकोनासाठी, Modern Hospitality WiFi Solutions Your Guests Deserve पहा.

पॉडकास्ट ब्रीफिंग

EAP पद्धतींवरील आमचे 10-मिनिटांचे तांत्रिक ब्रीफिंग ऐका, ज्यामध्ये अंमलबजावणी धोरणे आणि सामान्य त्रुटी समाविष्ट आहेत: eap_methods_compared_peap_eap_tls_eap_ttls_and_eap_fast_podcast.wav

महत्वाच्या व्याख्या

802.1X

पोर्ट-आधारित नेटवर्क ॲक्सेस कंट्रोलसाठी एक IEEE मानक जे LAN किंवा WLAN शी जोडण्याची इच्छा असलेल्या डिव्हाइसेसना ऑथेंटिकेशन यंत्रणा प्रदान करते.

आयटी टीम्स असुरक्षित शेअर्ड पासवर्ड्स (PSKs) च्या जागी वैयक्तिकृत, एंटरप्राइझ-ग्रेड ऑथेंटिकेशन आणण्यासाठी 802.1X लागू करतात.

RADIUS (Remote Authentication Dial-In User Service)

एक नेटवर्किंग प्रोटोकॉल जो नेटवर्क सेवेशी कनेक्ट होणाऱ्या आणि वापरणाऱ्या वापरकर्त्यांसाठी केंद्रीकृत ऑथेंटिकेशन, ऑथोरायझेशन आणि अकाउंटिंग (AAA) व्यवस्थापन प्रदान करतो.

RADIUS सर्व्हर 802.1X डिप्लॉयमेंटचा मध्यवर्ती मेंदू म्हणून कार्य करतो, आयडेंटिटी प्रोव्हायडरच्या विरोधात क्रेडेंशियल्सची पडताळणी करतो आणि कनेक्शनला अनुमती द्यायची की नाही हे ॲक्सेस पॉईंटला सांगतो.

सप्लिकंट (Supplicant)

एंडपॉईंट डिव्हाइसवरील (लॅपटॉप, स्मार्टफोन) सॉफ्टवेअर क्लायंट जो 802.1X द्वारे नेटवर्क ॲक्सेस निगोशिएट करण्यासाठी ऑथेंटिकेटरशी (ॲक्सेस पॉईंट) संवाद साधतो.

चुकीच्या पद्धतीने कॉन्फिगर केलेले सप्लिकंट्स हे PEAP डिप्लॉयमेंट्समधील सुरक्षा भेद्यतेचे प्राथमिक कारण आहेत, विशेषतः जेव्हा सर्व्हर सर्टिफिकेट व्हॅलिडेशन अक्षम केलेले असते.

म्युच्युअल ऑथेंटिकेशन (Mutual Authentication)

एक सुरक्षा प्रक्रिया ज्यामध्ये कम्युनिकेशन्स लिंकमधील दोन्ही संस्था एकमेकांना ऑथेंटिकेट करतात (उदा., क्लायंट सर्व्हरची पडताळणी करतो आणि सर्व्हर क्लायंटची पडताळणी करतो).

रोग AP अटॅक्स रोखण्यासाठी महत्त्वपूर्ण; EAP-TLS हे अंतर्निहितपणे लागू करते, तर PEAP ला क्लायंट-टू-सर्व्हर पडताळणी साध्य करण्यासाठी कठोर सप्लिकंट कॉन्फिगरेशनची आवश्यकता असते.

PKI (Public Key Infrastructure)

डिजिटल सर्टिफिकेट्स तयार करणे, व्यवस्थापित करणे, वितरित करणे, वापरणे, संचयित करणे आणि रद्द करणे यासाठी आवश्यक असलेल्या भूमिका, धोरणे, हार्डवेअर, सॉफ्टवेअर आणि प्रक्रियांचा संच.

मजबूत PKI ही EAP-TLS डिप्लॉय करण्यासाठी पूर्वअट आहे, जी अनेकदा लहान आयटी टीम्ससाठी प्रवेशातील सर्वात मोठा अडथळा ठरते.

इव्हिल ट्विन अटॅक (Evil Twin Attack)

एक रोग वायरलेस ॲक्सेस पॉईंट जो वायरलेस कम्युनिकेशन्सवर पाळत ठेवण्यासाठी किंवा क्रेडेंशियल्स चोरण्यासाठी कायदेशीर एंटरप्राइझ नेटवर्कचे सोंग घेतो.

खराब कॉन्फिगर केलेल्या PEAP डिप्लॉयमेंट्सविरुद्ध हा प्राथमिक धोक्याचा व्हेक्टर आहे जिथे क्लायंट्स RADIUS सर्व्हर सर्टिफिकेट प्रमाणित करत नाहीत.

PAC (Protected Access Credential)

ऑथेंटिकेशन सर्व्हरद्वारे क्लायंटला डायनॅमिकली प्रोव्हिजन केलेले एक मजबूत शेअर्ड सिक्रेट, जे विशेषतः EAP-FAST मध्ये सुरक्षित टनेल स्थापित करण्यासाठी वापरले जाते.

PACs मुळे EAP-FAST ला डिजिटल सर्टिफिकेट्स डिप्लॉय करण्याच्या आवश्यकतेशिवाय सुरक्षित ऑथेंटिकेशन प्रदान करणे शक्य होते.

MDM (Mobile Device Management)

एकाधिक मोबाईल सेवा प्रदाते आणि एकाधिक मोबाईल ऑपरेटिंग सिस्टीम्सवर कर्मचाऱ्यांचे मोबाईल डिव्हाइसेस मॉनिटर, व्यवस्थापित आणि सुरक्षित करण्यासाठी आयटी विभागाद्वारे वापरले जाणारे सुरक्षा सॉफ्टवेअर.

आधुनिक EAP-TLS डिप्लॉयमेंट्ससाठी MDM आवश्यक आहे, ज्यामुळे आयटीला कॉर्पोरेट डिव्हाइसेसवर क्लायंट सर्टिफिकेट्स आणि कठोर WiFi प्रोफाईल्स सायलेंटली पुश करण्याची अनुमती मिळते.

सोडवलेली उदाहरणे

एका राष्ट्रीय रिटेल चेनला 500 स्टोअर्समध्ये पॉईंट-ऑफ-सेल (POS) टॅब्लेट्ससाठी सुरक्षित WiFi डिप्लॉय करण्याची आवश्यकता आहे. टॅब्लेट्स कॉर्पोरेट-मालकीचे आहेत आणि Microsoft Intune द्वारे व्यवस्थापित केले जातात. त्यांनी PCI DSS आवश्यकतांचे पालन करणे आवश्यक आहे. त्यांनी कोणती EAP पद्धत डिप्लॉय करावी आणि कशी?

संस्थेने EAP-TLS डिप्लॉय केले पाहिजे. Microsoft Intune वापरून, ते प्रत्येक POS टॅब्लेटला युनिक क्लायंट सर्टिफिकेट्स स्वयंचलितपणे प्रोव्हिजन करण्यासाठी सिम्पल सर्टिफिकेट एनरोलमेंट प्रोटोकॉल (SCEP) प्रोफाईल कॉन्फिगर करतील. त्यानंतर ते Intune द्वारे एक Wi-Fi प्रोफाईल पुश करतील जे टॅब्लेट्सना WPA2/WPA3-Enterprise वापरून कनेक्ट करण्यासाठी कॉन्फिगर करेल, ऑथेंटिकेशन पद्धत म्हणून EAP-TLS निर्दिष्ट करेल आणि प्रोव्हिजन केलेले क्लायंट सर्टिफिकेट निवडेल. RADIUS सर्व्हर्स या सर्टिफिकेट्सच्या आधारे डिव्हाइसेसना ऑथेंटिकेट करण्यासाठी कॉन्फिगर केले जातील, त्यांना प्रतिबंधित PCI-कंप्लायंट VLAN वर मॅप करतील.

परीक्षकाचे भाष्य: येथे EAP-TLS हा एकमेव योग्य पर्याय आहे. PCI DSS कार्डधारकांचा डेटा हाताळणाऱ्या वातावरणाचे कठोरपणे नियमन करते. PEAP पासवर्ड्सवर अवलंबून राहील, जे तडजोड होण्यास असुरक्षित आहेत आणि त्यासाठी जटिल रोटेशन पॉलिसीज आवश्यक आहेत. EAP-TLS म्युच्युअल ऑथेंटिकेशन प्रदान करते आणि पासवर्ड्स पूर्णपणे काढून टाकते, ज्यामुळे कठोर कंप्लायन्स आवश्यकता पूर्ण होतात. Intune द्वारे डिप्लॉयमेंट व्यवस्थापित केल्याने EAP-TLS शी संबंधित पारंपारिक गुंतागुंत दूर होते.

एका मोठ्या विद्यापीठाला वैयक्तिक लॅपटॉप्स, स्मार्टफोन्स आणि टॅब्लेट्स (BYOD) वापरणाऱ्या 20,000 विद्यार्थ्यांसाठी सुरक्षित WiFi प्रदान करण्याची आवश्यकता आहे. विद्यापीठ आयडेंटिटी मॅनेजमेंटसाठी Active Directory वापरते. त्यांनी 802.1X कडे कसा दृष्टिकोन ठेवावा?

विद्यापीठाने MSCHAPv2 सह PEAP डिप्लॉय केले पाहिजे. ते त्यांच्या RADIUS सर्व्हर्सवर एका सुप्रसिद्ध पब्लिक सर्टिफिकेट ऑथॉरिटीकडून (उदा., DigiCert, Let's Encrypt) सर्व्हर सर्टिफिकेट इन्स्टॉल करतील. सुरक्षा सुनिश्चित करण्यासाठी, त्यांनी एक ऑनबोर्डिंग टूल (जसे की SecureW2 किंवा कस्टम ॲप) प्रदान करणे आवश्यक आहे जे विद्यार्थ्यांचे डिव्हाइसेस स्वयंचलितपणे कॉन्फिगर करेल. हे टूल WiFi प्रोफाईल तयार करेल, विश्वसनीय RADIUS सर्व्हरची नावे स्पष्टपणे परिभाषित करेल आणि सर्व्हर सर्टिफिकेट व्हॅलिडेशन लागू करेल, ज्यामुळे विद्यार्थ्यांना रोग APs शी कनेक्ट होण्यापासून रोखता येईल.

परीक्षकाचे भाष्य: मोठ्या प्रमाणावरील BYOD डिप्लॉयमेंट्ससाठी PEAP हा व्यावहारिक पर्याय आहे कारण व्यवस्थापित नसलेल्या डिव्हाइसेससाठी (EAP-TLS) 20,000 क्लायंट सर्टिफिकेट्स जारी करणे आणि व्यवस्थापित करणे हे एक ऑपरेशनल दुःस्वप्न आहे. येथील महत्त्वपूर्ण यश घटक म्हणजे ऑनबोर्डिंग टूल. जर विद्यार्थ्यांनी त्यांचे डिव्हाइसेस मॅन्युअली कॉन्फिगर केले, तर ते बहुधा सर्व्हर व्हॅलिडेशन योग्यरित्या कॉन्फिगर करण्यात अयशस्वी ठरतील, ज्यामुळे त्यांचे Active Directory क्रेडेंशियल्स इंटरसेप्शनसाठी असुरक्षित राहतील.

सराव प्रश्न

Q1. तुमची संस्था Google Workspace वरून एका नवीन क्लाउड-आधारित आयडेंटिटी प्रोव्हायडरकडे स्थलांतरित होत आहे जो केवळ LDAP ला सपोर्ट करतो आणि MSCHAPv2 ला सपोर्ट करत नाही. तुम्हाला लेगसी डिव्हाइसेससाठी तुमचे विद्यमान पासवर्ड-आधारित 802.1X WiFi राखण्याची आवश्यकता आहे. तुम्ही तुमच्या RADIUS सर्व्हरवर कोणती EAP पद्धत कॉन्फिगर करणे आवश्यक आहे?

टीप: कोणती टनेल्ड पद्धत MSCHAPv2 व्यतिरिक्त इतर इनर ऑथेंटिकेशन प्रोटोकॉल्सना अनुमती देते याचा विचार करा.

नमुना उत्तर पहा

तुम्ही EAP-TTLS कॉन्फिगर करणे आवश्यक आहे. PEAP च्या विपरीत, जे इनर ऑथेंटिकेशनसाठी MSCHAPv2 वर खूप अवलंबून असते, EAP-TTLS त्याच्या सुरक्षित TLS टनेलमध्ये PAP किंवा CHAP सारख्या जुन्या प्रोटोकॉल्सना एन्कॅप्स्युलेट करू शकते, ज्यामुळे ते MSCHAPv2 सपोर्ट नसलेल्या LDAP डिरेक्टरीजशी इंटरफेस करू शकते.

Q2. एका सुरक्षा ऑडिटमधून असे दिसून आले आहे की जेव्हा वापरकर्ते त्यांचे स्मार्टफोन्स कॉफी शॉप्समधील सार्वजनिक WiFi नेटवर्क्सशी कनेक्ट करतात तेव्हा त्यांच्या Active Directory पासवर्ड्सशी तडजोड केली जात आहे. हल्लेखोर कॉर्पोरेट SSID ब्रॉडकास्ट करत आहेत. तुमचे सध्याचे डिप्लॉयमेंट PEAP वापरते. EAP पद्धत न बदलता तुम्ही हे कसे कमी कराल?

टीप: समस्या अशी आहे की क्लायंट डिव्हाइसेस रोग AP वर आंधळेपणाने विश्वास ठेवत आहेत. क्लायंटला तो खऱ्या कॉर्पोरेट नेटवर्कशी बोलत असल्याची पडताळणी करण्यास तुम्ही कसे भाग पाडाल?

नमुना उत्तर पहा

कठोर सर्व्हर सर्टिफिकेट व्हॅलिडेशन लागू करण्यासाठी तुम्ही एंडपॉईंट सप्लिकंट्स (MDM किंवा ग्रुप पॉलिसीद्वारे) कॉन्फिगर करणे आवश्यक आहे. WiFi प्रोफाईलने विश्वसनीय कॉर्पोरेट RADIUS सर्व्हर्सची नावे आणि त्यांचे सर्टिफिकेट्स जारी करणारा विशिष्ट रूट CA स्पष्टपणे निर्दिष्ट करणे आवश्यक आहे. याव्यतिरिक्त, तुम्ही वापरकर्त्यांना अज्ञात सर्टिफिकेट्सवर विश्वास ठेवण्यास प्रवृत्त करणारे सेटिंग अक्षम करणे आवश्यक आहे, ज्यामुळे सर्व्हर ऑथेंटिकेट न झाल्यास कनेक्शन सायलेंटली अयशस्वी होईल याची खात्री होते.

Q3. तुम्ही वेअरहाऊसमध्ये रग्डाइज्ड बारकोड स्कॅनर्सचा फ्लीट डिप्लॉय करत आहात. डिव्हाइसेस एक लेगसी एम्बेडेड OS चालवतात जे WPA2-Enterprise किंवा मानक 802.1X सर्टिफिकेट्सना सपोर्ट करत नाही, परंतु ते Cisco Compatible Extensions (CCX) ला सपोर्ट करतात. तुम्हाला सुरक्षित ऑथेंटिकेशनची आवश्यकता आहे. वापरण्याची सर्वाधिक शक्यता असलेली EAP पद्धत कोणती आहे?

टीप: अशा वातावरणासाठी सिस्कोने विशेषतः विकसित केलेला प्रोटोकॉल शोधा जिथे सर्टिफिकेट डिप्लॉयमेंट आव्हानात्मक किंवा अशक्य आहे.

नमुना उत्तर पहा

येथे EAP-FAST हा योग्य पर्याय आहे. हे सिस्कोने विशेषतः अशा वातावरणासाठी डिझाइन केले होते जिथे सर्टिफिकेट्स डिप्लॉय करणे अव्यवहार्य आहे. सुरक्षित टनेल स्थापित करण्यासाठी हे डायनॅमिकली प्रोव्हिजन केलेले प्रोटेक्टेड ॲक्सेस क्रेडेंशियल्स (PACs) वापरते, ज्यामुळे ते CCX ला सपोर्ट करणाऱ्या परंतु मजबूत PKI क्षमता नसलेल्या लेगसी किंवा विशेष हार्डवेअरसाठी योग्य बनते.

या मालिकेमध्ये पुढे वाचा

विक्रेत्यानुसार प्रति-डिव्हाइस PSK: iPSK, DPSK, MPSK आणि PPSK ची तुलना (आणि WPA3 सपोर्ट)

Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet आणि Ubiquiti UniFi मधील प्रति-डिव्हाइस PSK अंमलबजावणीची सर्वसमावेशक तुलना. WPA3-SAE चा प्रति-डिव्हाइस की (key) धोरणांवर कसा परिणाम होतो आणि ट्रान्झिशन मोड कधी लागू करायचे विरुद्ध 802.1X कडे कधी वळायचे ते जाणून घ्या.

मार्गदर्शिका वाचा →

MAC Address Authentication म्हणजे काय? ते कधी वापरावे आणि कधी टाळावे

हे अधिकृत तांत्रिक संदर्भ मार्गदर्शक एंटरप्राइझ WiFi वातावरणातील MAC ऍड्रेस ऑथेंटिकेशन कव्हर करते — RADIUS-आधारित MAC ऑथेंटिकेशन लेयर 2 वर कसे काम करते, त्याच्या अंगभूत सुरक्षा भेद्यता (MAC स्पूफिंग आणि OS-स्तरीय MAC रँडमायझेशनच्या प्रभावासह), आणि अचूक ऑपरेशनल संदर्भ जिथे ते IoT आणि हेडलेस उपकरणांचे व्यवस्थापन करण्यासाठी एक वैध साधन राहते. हे हॉस्पिटॅलिटी, रिटेल, हेल्थकेअर आणि सार्वजनिक क्षेत्रातील व्हेन्यूजमधील IT मॅनेजर्स आणि नेटवर्क आर्किटेक्ट्ससाठी रिअल-वर्ल्ड उदाहरणे, निर्णय फ्रेमवर्क्स आणि Purple च्या अतिथी WiFi आणि ॲनालिटिक्स प्लॅटफॉर्मसाठी इंटिग्रेशन संदर्भासह कृतीयोग्य डिप्लॉयमेंट मार्गदर्शन प्रदान करते.

मार्गदर्शिका वाचा →

iOS आणि macOS वर 802.1X सह एंटरप्राइझ WiFi कसे सेट करावे

हे अधिकृत मार्गदर्शक वरिष्ठ IT लीडर्सना iOS आणि macOS डिव्हाइसेसवर 802.1X एंटरप्राइझ WiFi डिप्लॉय करण्यासाठी कृती करण्यायोग्य पायऱ्या प्रदान करते. हे BYOD उपक्रमांना सपोर्ट करताना कॉर्पोरेट नेटवर्क्स सुरक्षित करण्यासाठी सर्टिफिकेट-आधारित ऑथेंटिकेशन (EAP-TLS), MDM कॉन्फिगरेशन प्रोफाइल्स आणि आर्किटेक्चर इंटिग्रेशन कव्हर करते.

मार्गदर्शिका वाचा →