EAP-TLS vs EAP-TTLS: आपण कोणते प्रमाणपत्र-आधारित WiFi प्रोटोकॉल निवडावे?
हे मार्गदर्शक IEEE 802.1X अंतर्गत एंटरप्राइझ WiFi प्रमाणीकरणासाठी EAP-TLS आणि EAP-TTLS ची अंतिम तुलना प्रदान करते. हे परस्पर प्रमाणपत्र प्रमाणीकरण आणि केवळ-सर्व्हर प्रमाणपत्र टनेलिंगमधील आर्किटेक्चरल फरक स्पष्ट करते आणि IT व्यवस्थापक, नेटवर्क आर्किटेक्ट आणि CISOs यांना डिव्हाइस व्यवस्थापन क्षमता आणि अनुपालन आवश्यकतांवर आधारित स्पष्ट निर्णय फ्रेमवर्क देते. Purple कर्मचारी WiFi साठी EAP-TLS आणि EAP-TTLS दोन्ही प्रमाणीकरण मार्गांना समर्थन देते, आणि हे मार्गदर्शक संस्थांना कोणत्याही एका दृष्टिकोनाचा स्वीकार करण्यापूर्वी त्यांच्या पायाभूत सुविधांमधील तडजोड समजून घेण्यास मदत करते.
हे मार्गदर्शक ऐका
पॉडकास्ट ट्रान्सक्रिप्ट पहा
कार्यकारी सारांश (Executive summary)
अपने 802.1X डिप्लॉयमेंट के लिए सही EAP विधि चुनना यह तय करता है कि आपका एंटरप्राइज WiFi वास्तव में सुरक्षित है या केवल कागजों पर ही अनुपालन करता है। EAP-TLS (Extensible Authentication Protocol - Transport Layer Security), जो RFC 5216 में परिभाषित है, को आपसी प्रमाणपत्र प्रमाणीकरण (mutual certificate authentication) की आवश्यकता होती है: नेटवर्क एक्सेस मिलने से पहले क्लाइंट डिवाइस और RADIUS सर्वर दोनों वैध X.509 प्रमाणपत्र प्रस्तुत करते हैं। किसी भी समय पासवर्ड का आदान-प्रदान नहीं किया जाता है। EAP-TTLS (Tunneled Transport Layer Security), जो RFC 5281 में परिभाषित है, को एक एन्क्रिप्टेड TLS टनल स्थापित करने के लिए केवल एक सर्वर-साइड प्रमाणपत्र की आवश्यकता होती है, जिसके अंदर क्लाइंट मौजूदा निर्देशिका क्रेडेंशियल का उपयोग करके प्रमाणित होता है।
रिटेल चेन, हॉस्पिटैलिटी स्थलों और सार्वजनिक क्षेत्र के संगठनों में बुनियादी ढांचे का प्रबंधन करने वाले CTOs और नेटवर्क आर्किटेक्ट्स के लिए, यह निर्णय केवल एक प्रश्न पर निर्भर करता है: क्या आप उपकरणों का प्रबंधन करते हैं? यदि आप MDM के माध्यम से डिवाइस बेड़े को नियंत्रित करते हैं, तो EAP-TLS निश्चित विकल्प है। यदि आप एक विविध BYOD वातावरण का समर्थन करते हैं या एक मजबूत पब्लिक की इन्फ्रास्ट्रक्चर (PKI) की कमी है, तो EAP-TTLS एक व्यावहारिक, अत्यधिक सुरक्षित विकल्प प्रदान करता है। Purple 80,000+ से अधिक लाइव स्थलों पर Staff WiFi के लिए दोनों प्रमाणीकरण पथों का समर्थन करता है।
तकनीकी गहन विश्लेषण (Technical deep-dive)
EAP-TLS की वास्तुकला
EAP-TLS, IEEE 802.1X पोर्ट-आधारित एक्सेस कंट्रोल फ्रेमवर्क के भीतर एक आपसी प्रमाणीकरण (mutual authentication) मॉडल पर काम करता है। प्रत्येक प्रमाणीकरण विनिमय में तीन मुख्य कारक होते हैं: सप्लिकेंट (क्लाइंट डिवाइस), ऑथेंटिकेटर (वायरलेस एक्सेस पॉइंट), और ऑथेंटिकेशन सर्वर (RADIUS सर्वर)। एक्सेस पॉइंट स्वयं प्रमाणीकरण निर्णय नहीं लेता है। यह एक पारदर्शी रिले के रूप में कार्य करता है, जो EAP संदेशों को RADIUS पैकेटों में समाहित करता है और उन्हें ऑथेंटिकेशन सर्वर पर भेजता है।
EAP-TLS हैंडशेक इस प्रकार आगे बढ़ता है। एक्सेस पॉइंट कनेक्ट होने वाले डिवाइस को एक EAP-Request/Identity भेजता है। डिवाइस अपनी पहचान के साथ प्रतिक्रिया देता है। RADIUS सर्वर EAP-TLS/Start संदेश के साथ TLS हैंडशेक शुरू करता है। क्लाइंट एक ClientHello भेजता है, जो इसके समर्थित TLS साइफर सुइट्स का विज्ञापन करता है। RADIUS सर्वर ServerHello, अपने X.509 सर्वर सर्टिफिकेट और एक सर्टिफिकेट अनुरोध के साथ प्रतिक्रिया देता है। क्लाइंट अपने विश्वसनीय रूट CA स्टोर के खिलाफ सर्वर सर्टिफिकेट को सत्यापित करता है। यदि सत्यापन विफल हो जाता है, तो हैंडशेक समाप्त हो जाता है - जो अनधिकृत (rogue) एक्सेस पॉइंट से सुरक्षा प्रदान करता है। इसके बाद क्लाइंट अपना स्वयं का X.509 सर्टिफिकेट प्रस्तुत करता है। RADIUS सर्वर क्लाइंट सर्टिफिकेट को सत्यापित करता है, विश्वसनीय रूट CA तक सिग्नेचर चेन की जांच करता है, सत्यापित करता है कि सर्टिफिकेट समाप्त नहीं हुआ है, और सर्टिफिकेट निरसन सूची (CRL) की जांच करता है या OCSP से पूछताछ करता है। केवल तभी जब दोनों पक्ष संतुष्ट होते हैं, TLS टनल स्थापित होती है और नेटवर्क एक्सेस प्रदान किया जाता है।
चूंकि किसी भी पासवर्ड का आदान-प्रदान नहीं होता है, इसलिए EAP-TLS ऑफलाइन डिक्शनरी हमलों, क्रेडेंशियल स्टफिंग और फ़िशिंग से सुरक्षित है। यह एकमात्र EAP तरीका है जो WPA3-Enterprise 192-bit (Suite B) आवश्यकताओं को पूरा करता है, और इसे कार्डधारक डेटा वातावरण के लिए PCI DSS 4.0 द्वारा और उच्च-सुरक्षा वायरलेस परिनियोजन के लिए NIST SP 800-120 द्वारा अनिवार्य या दृढ़ता से अनुशंसित किया गया है।
EAP-TLS के लिए एक PKI की आवश्यकता होती है। आपको कम से कम एक ऑफलाइन रूट CA और एक ऑनलाइन जारी करने वाले CA की आवश्यकता होती है। रूट CA एयर-गैप्ड होना चाहिए, क्योंकि इसकी प्राइवेट की (private key) आपके संपूर्ण सर्टिफिकेट पदानुक्रम के लिए मास्टर ट्रस्ट एंकर है। जारी करने वाला CA दैनिक सर्टिफिकेट जारी करने का काम संभालता है और CRL प्रकाशित करता है। क्लाइंट सर्टिफिकेट व्यक्तिगत उपकरणों को जारी किए जाते हैं, उपयोगकर्ताओं को नहीं - यह एक डिवाइस-आइडेंटिटी मॉडल है। यह अंतर IoT उपकरणों, साझा टर्मिनलों और हेडलेस सिस्टम के लिए महत्वपूर्ण है।
EAP-TTLS की संरचना
EAP-TTLS को हर क्लाइंट डिवाइस पर सर्टिफिकेट तैनात करने के परिचालन बोझ के बिना मजबूत 802.1X सुरक्षा प्रदान करने के लिए डिज़ाइन किया गया था। यह दो चरणों में काम करता है। पहले चरण में, RADIUS सर्वर अपना सर्टिफिकेट प्रस्तुत करता है और एक सुरक्षित TLS टनल स्थापित करता है। केवल सर्वर को ही सर्टिफिकेट की आवश्यकता होती है। दूसरे चरण में, क्लाइंट एक आंतरिक प्रमाणीकरण पद्धति का उपयोग करके उस एन्क्रिप्टेड टनल के भीतर प्रमाणित होता है। सामान्य आंतरिक तरीकों में PAP (Password Authentication Protocol), CHAP, और MS-CHAPv2 शामिल हैं। क्लाइंट अपना उपयोगकर्ता नाम और पासवर्ड भेजता है, लेकिन क्योंकि यह आदान-प्रदान TLS टनल के भीतर होता है, क्रेडेंशियल ट्रांज़िट में एन्क्रिप्टेड होते हैं और कभी भी हवा में उजागर नहीं होते हैं।
EAP-TTLS macOS, Linux, Android, और iOS पर उत्कृष्ट क्रॉस-प्लेटफ़ॉर्म सहायता प्रदान करता है। चेतावनी Windows को लेकर है: इन-बिल्ट Windows सप्लिकेंट वायरलेस 802.1X के लिए EAP-TTLS को पूरी तरह से लागू नहीं करता है। अधिक Windows वाले वातावरणों को एक तृतीय-पक्ष सप्लिकेंट की आवश्यकता हो सकती है, जो परिचालन जटिलता को बढ़ाता है। Windows-केंद्रित वातावरणों के लिए, MS-CHAPv2 के साथ PEAP अक्सर अधिक व्यावहारिक विकल्प होता है।
EAP-TTLS की सबसे बड़ी सीमा यह है कि यह पासवर्ड के अंतर्निहित जोखिमों को समाप्त नहीं करता है। यदि कोई उपयोगकर्ता कमज़ोर पासवर्ड चुनता है, तो वह बाद में ऑफ़लाइन ब्रूट फ़ोर्स के प्रति संवेदनशील रहता है। यदि आंतरिक प्रमाणीकरण PAP का उपयोग करता है, तो पासवर्ड टनल के भीतर प्लेनटेक्स्ट में भेजा जाता है - जो तब स्वीकार्य है जब आप अपने RADIUS इन्फ्रास्ट्रक्चर पर भरोसा करते हैं, लेकिन इसे एक ट्रस्ट मॉडल के रूप में समझना आवश्यक है।
आमने-सामने तुलना
| विशेषता | EAP-TLS | EAP-TTLS |
|---|---|---|
| RFC मानक | RFC 5216 | RFC 5281 |
| क्लाइंट प्रमाणपत्र आवश्यक | हाँ | नहीं |
| सर्वर प्रमाणपत्र आवश्यक | हाँ | हाँ |
| प्रमाणीकरण मॉडल | आपसी (दोनों पक्ष) | केवल-सर्वर |
| पासवर्ड का जोखिम | कोई नहीं - पासवर्ड रहित | एन्क्रिप्टेड टनल में पासवर्ड |
| PKI आवश्यकता | पूर्ण PKI (रूट CA + जारीकर्ता CA + MDM) | केवल सर्वर प्रमाणपत्र |
| WPA3-Enterprise 192-bit | आवश्यक विधि | समर्थित नहीं |
| PCI DSS 4.0 संरेखण | दृढ़ता से अनुशंसित | मजबूत आंतरिक प्रमाणीकरण के साथ स्वीकार्य |
| BYOD उपयुक्तता | कम (क्लाइंट प्रमाणपत्र की आवश्यकता होती है) | उच्च (केवल क्रेडेंशियल्स) |
| IoT डिवाइस उपयुक्तता | उच्च (स्टेजिंग पर प्रमाणपत्र प्रदान किया गया) | कम (क्रेडेंशियल इनपुट के लिए कोई UI नहीं) |
| Windows मूल समर्थन | हाँ | आंशिक (अक्सर तृतीय-पक्ष सप्लीकेंट की आवश्यकता होती है) |
| macOS/Linux/Android समर्थन | हाँ | हाँ |
| परिनियोजन जटिलता | उच्च | मध्यम |
कार्यान्वयन गाइड
प्रबंधित फ़्लीट के लिए EAP-TLS तैनात करना
EAP-TLS को तैनात करने के लिए एक कार्यात्मक PKI और एक MDM प्लेटफॉर्म की आवश्यकता होती है। मैन्युअल प्रमाणपत्र स्थापना एंटरप्राइज़ स्तर पर व्यवहार्य नहीं है। आपको SCEP (सिंपल सर्टिफिकेट एनरोलमेंट प्रोटोकॉल) या EST (एनरोलमेंट ओवर सिक्योर ट्रांसपोर्ट) का उपयोग करके अपने PKI को अपने MDM के साथ एकीकृत करना होगा। जब एक कॉर्पोरेट डिवाइस नामांकित होता है, तो यह उपयोगकर्ता के हस्तक्षेप के बिना स्वचालित रूप से अपने प्रमाणपत्र का अनुरोध करता है और प्राप्त करता है।
पहचान प्रबंधन के लिए, Connect लाइसेंस के तहत OpenRoaming जैसी सेवाओं के लिए Purple एक निःशुल्क पहचान प्रदाता के रूप में कार्य करता है, जो अंतर्निहित प्रमाणपत्र और पहचान ढांचे का उपयोग करके विभिन्न स्थानों पर सुरक्षित रोमिंग की सुविधा प्रदान करता है।
RADIUS की ओर, अपने आंतरिक CA के विरुद्ध क्लाइंट प्रमाणपत्रों को मान्य करने और रीयल-टाइम निरसन जाँच के लिए CRL की जाँच करने या OCSP का उपयोग करने के लिए अपने सर्वर को कॉन्फ़िगर करें। समर्थित RADIUS प्लेटफॉर्म में FreeRADIUS, Microsoft NPS और Cisco ISE शामिल हैं। Purple का क्लाउड ओवरले Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme और Fortinet हार्डवेयर के साथ एकीकृत होता है।
मिश्रित परिवेशों के लिए EAP-TTLS तैनात करना
अप्रबंधित उपकरणों वाले परिवेशों के लिए EAP-TTLS इष्टतम विकल्प है। आपको केवल अपने RADIUS सर्वर पर एक विश्वसनीय प्रमाणपत्र तैनात करने की आवश्यकता है। सुनिश्चित करें कि आपका RADIUS सर्वर आंतरिक प्रमाणीकरण क्रेडेंशियल्स को मान्य करने के लिए सीधे आपकी निर्देशिका सेवा - Microsoft Entra ID, Okta, या Google Workspace - के साथ एकीकृत हो। अपने MDM-तैनात WiFi प्रोफाइल को अपने विशिष्ट विश्वसनीय CA के विरुद्ध सर्वर प्रमाणपत्र सत्यापन लागू करने के लिए कॉन्फ़िगर करें। इस चरण के बिना, TLS टनल दुष्ट एक्सेस पॉइंट्स के खिलाफ कोई सुरक्षा प्रदान नहीं करती है।
सर्वोत्तम प्रथाएं
प्रत्येक क्लाइंट पर सर्वर प्रमाणपत्र सत्यापन लागू करें
EAP-TLS और EAP-TTLS दोनों के लिए सबसे महत्वपूर्ण कॉन्फ़िगरेशन चरण क्लाइंट डिवाइस पर सर्वर प्रमाणपत्र सत्यापन को लागू करना है। यदि कोई डिवाइस किसी विशिष्ट विश्वसनीय CA के विरुद्ध RADIUS सर्वर के प्रमाणपत्र को सत्यापित नहीं करता है, तो यह किसी भी प्रमाणपत्र को प्रस्तुत करने वाले किसी भी सर्वर से जुड़ जाएगा - जिसमें एक दुष्ट एक्सेस पॉइंट भी शामिल है। हमेशा अपने MDM-नियोजित WiFi प्रोफाइल में विश्वसनीय CA और अपेक्षित सर्वर नाम निर्दिष्ट करें। यह एकल कॉन्फ़िगरेशन जांच सबसे प्रभावी सुरक्षा सुधार है जिसे आप आज लागू कर सकते हैं।
प्रमाणपत्र जीवनचक्र प्रबंधन को स्वचालित करें
प्रमाणपत्रों की अवधि समाप्त हो जाती है। यदि आपके पास स्वचालित नवीनीकरण प्रक्रिया नहीं है, तो प्रमाणपत्रों की अवधि एक साथ समाप्त होने पर आपको बड़े पैमाने पर प्रमाणीकरण विफलताओं का सामना करना पड़ेगा। नवीनीकरण को स्वचालित करने के लिए SCEP या EST का उपयोग करें, और समाप्ति तिथियों से काफी पहले निगरानी अलर्ट कॉन्फ़िगर करें। यदि कोई डिवाइस खो जाता है या कोई कर्मचारी चला जाता है, तो प्रमाणपत्र को तुरंत निरस्त कर दें। रीयल-टाइम सत्यापन के लिए CRL की जांच करने या OCSP का उपयोग करने के लिए अपने RADIUS सर्वर को कॉन्फ़िगर करें।
प्रमाणीकरण विधि द्वारा अपने नेटवर्क को विभाजित करें
बड़े या वितरित परिवेशों में, अलग-अलग SSID पर दोनों प्रोटोकॉल चलाने पर विचार करें। कॉर्पोरेट प्रबंधित डिवाइस एक समर्पित स्टाफ WiFi SSID पर EAP-TLS के माध्यम से प्रमाणित होते हैं। ठेकेदार और BYOD डिवाइस उपयुक्त VLAN विभाजन के साथ एक अलग SSID पर EAP-TTLS के माध्यम से प्रमाणित होते हैं। यह पैटर्न प्रीमियर इन और व्हिटब्रेड जैसे आतिथ्य समूहों में आम है, जहां स्टाफ उपकरणों को प्रबंधित और प्रमाणपत्र जारी किए जाते हैं, जबकि मेहमानों के लिए बुनियादी ढांचा एक अलग प्रमाणीकरण पथ का उपयोग करता है। SSID आर्किटेक्चर के बारे में अधिक जानकारी के लिए, हमारा गाइड देखें Three SSIDs to rule them all: the WiFi design for guest, staff and IoT ।
सभी बुनियादी ढांचे में समय को सिंक्रनाइज़ करें
प्रमाणपत्र सत्यापन सटीक सिस्टम समय पर निर्भर करता है। क्लाइंट उपकरणों या RADIUS सर्वरों पर घड़ी का विचलन 'अभी तक मान्य नहीं' या 'समय समाप्त' प्रमाणपत्र त्रुटियां उत्पन्न करता है जिनका निदान करना कठिन होता है। सुनिश्चित करें कि सभी बुनियादी ढांचा घटक विश्वसनीय NTP सर्वरों के साथ सिंक्रनाइज़ हों।
समस्या निवारण और जोखिम शमन
अज्ञात CA त्रुटियां
यदि RADIUS लॉग 'अज्ञात CA' दिखाते हैं, तो क्लाइंट डिवाइस उस CA पर भरोसा नहीं करता है जिसने RADIUS सर्वर का प्रमाणपत्र जारी किया है। सत्यापित करें कि आपके MDM प्रोफ़ाइल में रूट CA प्रमाणपत्र शामिल है और उस पर भरोसा करने के लिए सप्लीकेंट को कॉन्फ़िगर किया गया है। CA रोटेशन या प्रमाणपत्र नवीनीकरण के बाद, अपडेट किए गए CA बंडल को सभी उपकरणों पर फिर से पुश करें।
EAP विधि बेमेल
यदि डिवाइस एक्सेस पॉइंट से कनेक्ट होते हैं लेकिन प्रमाणीकरण विफल हो जाता है, तो जांचें कि क्लाइंट पर कॉन्फ़िगर की गई EAP विधि RADIUS सर्वर द्वारा स्वीकार की जाने वाली विधि से मेल खाती है। EAP-TLS के लिए सेट किया गया डिवाइस प्रोफ़ाइल केवल PEAP के लिए कॉन्फ़िगर किए गए RADIUS सर्वर पर विफल हो जाएगा।
सर्टिफिकेट की समय सीमा समाप्त होने के कारण सामूहिक विफलताएं
यदि बड़ी संख्या में डिवाइस एक साथ प्रमाणित होने में विफल रहते हैं, तो सबसे पहले सर्टिफिकेट की समाप्ति तिथियों की जांच करें। यह EAP-TLS डिप्लॉयमेंट में बड़े पैमाने पर 802.1X विफलताओं का सबसे आम कारण है। ऐसा मॉनिटरिंग सिस्टम लागू करें जो समाप्ति से 60 दिन, 30 दिन और सात दिन पहले अलर्ट भेजे।
RADIUS क्लाइंट का गलत कॉन्फ़िगरेशन
प्रत्येक एक्सेस पॉइंट या वायरलेस कंट्रोलर को सही IP एड्रेस और शेयर्ड सीक्रेट के साथ RADIUS क्लाइंट के रूप में परिभाषित किया जाना चाहिए। बेमेल होने के कारण प्रमाणीकरण टाइमआउट होता है जिसे अक्सर गलत तरीके से EAP विधि के कारण मान लिया जाता है। पहले दिन से ही विस्तृत RADIUS लॉगिंग सक्षम करें। अधिक WiFi समस्या निवारण मार्गदर्शन के लिए, हमारी गाइड Troubleshooting Public WiFi: Fixing 'Connected, No Internet' and Splash Page Redirection Failures देखें।
अनुपालन और नियामक संरेखण
CISOs और नेटवर्क आर्किटेक्ट्स के लिए EAP-TLS बनाम EAP-TTLS का निर्णय लेने के लिए नियामक परिदृश्य को समझना आवश्यक है। EAP विधि का चयन सीधे कई प्रमुख फ्रेमवर्क में आपके अनुपालन की स्थिति को प्रभावित करता है।
PCI DSS 4.0 (पेमेंट कार्ड इंडस्ट्री डेटा सिक्योरिटी स्टैंडर्ड) को कार्डधारक डेटा परिवेश में वायरलेस नेटवर्क के लिए मजबूत क्रिप्टोग्राफिक प्रमाणीकरण की आवश्यकता होती है। आवश्यकता 8.3 CDE तक की सभी पहुंच के लिए मल्टी-फैक्टर प्रमाणीकरण को अनिवार्य बनाती है, और दायरे में आने वाले वायरलेस नेटवर्क को मजबूत प्रमाणीकरण तंत्र का उपयोग करना चाहिए। सर्टिफिकेट-आधारित म्यूचुअल प्रमाणीकरण के साथ EAP-TLS इस आवश्यकता को निश्चित रूप से पूरा करता है। MS-CHAPv2 के साथ EAP-TTLS स्वीकार्य है यदि आंतरिक प्रमाणीकरण ठीक से सुरक्षित है और सर्वर सर्टिफिकेट सत्यापन लागू किया गया है, लेकिन EAP-TLS अधिक मजबूत और ऑडिटर-अनुकूल विकल्प है।
HIPAA (हेल्थ इंश्योरेंस पोर्टेबिलिटी एंड अकाउंटेबिलिटी एक्ट) के तहत कवर की गई संस्थाओं के लिए तकनीकी सुरक्षा उपाय लागू करना आवश्यक है जो इलेक्ट्रॉनिक संचार नेटवर्क पर प्रसारित होने वाली इलेक्ट्रॉनिक संरक्षित स्वास्थ्य जानकारी (ePHI) की रक्षा करते हैं। HIPAA सुरक्षा नियम विशिष्ट प्रोटोकॉल को अनिवार्य नहीं करता है, लेकिन ePHI ले जाने वाले वायरलेस नेटवर्क के लिए एन्क्रिप्शन और एक्सेस कंट्रोल की उम्मीद प्रबंधित चिकित्सा उपकरण बेड़े के लिए EAP-TLS और स्टाफ उपकरणों के लिए लागू सर्वर सर्टिफिकेट सत्यापन के साथ EAP-TTLS के पक्ष में मजबूती से झुकी हुई है।
WPA3-Enterprise 192-bit (जिसे सुइट B या CNSA मोड के रूप में भी जाना जाता है) Wi-Fi Alliance के WPA3 सर्टिफिकेशन का उच्चतम सुरक्षा स्तर है। यह एकमात्र अनुमत प्रमाणीकरण विधि के रूप में EAP-TLS को अनिवार्य करता है, विशिष्ट सिफर सुइट्स (P-384 के साथ ECDHE, AES-256-GCM) के साथ TLS 1.2 या उच्चतर की आवश्यकता होती है, और ECDSA या RSA-3072 सर्टिफिकेट की आवश्यकता होती है। सरकारी, रक्षा, या महत्वपूर्ण बुनियादी ढांचा अनुप्रयोगों के लिए WPA3-Enterprise 192-bit तैनात करने वाले संगठनों को EAP-TLS का उपयोग करना चाहिए। ISO/IEC 27001 विशिष्ट प्रोटोकॉल को अनिवार्य नहीं करता है, लेकिन संगठनों को नेटवर्क संसाधनों के लिए उपयुक्त एक्सेस नियंत्रण लागू करने की आवश्यकता होती है। EAP-TLS या EAP-TTLS (लागू सर्वर प्रमाणपत्र सत्यापन के साथ) में से किसी एक के साथ 802.1X परिनियोजन (deployment) Annex A.9.1 और A.13.1 की नेटवर्क एक्सेस नियंत्रण आवश्यकताओं को पूरा करता है।
ROI और व्यावसायिक प्रभाव
EAP-TLS पर माइग्रेट करने के लिए PKI और MDM एकीकरण में शुरुआती निवेश की आवश्यकता होती है, लेकिन यह पासवर्ड रीसेट के परिचालन ओवरहेड और क्रेडेंशियल से समझौता होने के कारण होने वाले नेटवर्क ब्रीच के वित्तीय जोखिम को समाप्त करता है। 400 स्टोर वाली एक रिटेल चेन के लिए, साझा PSK नेटवर्क पर एक सिंगल कॉम्प्रोमाइज्ड पासवर्ड पूरे एस्टेट को खतरे में डाल सकता है। EAP-TLS उस अटैक वेक्टर को पूरी तरह से समाप्त कर देता है।
मल्टी-टेनेंट वातावरण और ट्रैवल हब के लिए, सुरक्षित प्रमाणीकरण (authentication) यह सुनिश्चित करता है कि केवल अधिकृत उपयोगकर्ता ही नेटवर्क बैंडविड्थ का उपयोग करें, जिससे बुनियादी ढांचे (infrastructure) के उपयोग को अनुकूलित किया जा सके। RADIUS प्रमाणपत्र विशेषताओं के माध्यम से डायनामिक VLAN असाइनमेंट क्रिप्टोग्राफिक रूप से लागू नेटवर्क सेगमेंटेशन को सक्षम बनाता है, जिससे SSID चयन या MAC address फ़िल्टरिंग पर निर्भर रहने के बजाय प्रमाणपत्र गुणों के आधार पर उपकरणों को सही नेटवर्क सेगमेंट पर रखा जा सकता है।
Purple का WiFi Analytics प्लेटफ़ॉर्म दोनों प्रमाणीकरण पथों के साथ एकीकृत होता है, जो आपके पूरे एस्टेट में डिवाइस की संख्या, सत्र की अवधि (session durations) और नेटवर्क उपयोग की दृश्यता प्रदान करता है। क्षेत्र-विशिष्ट परिनियोजन मार्गदर्शन के लिए, हॉस्पिटैलिटी , रिटेल , हेल्थकेयर , और ट्रांसपोर्ट के लिए हमारे संसाधनों को एक्सप्लोर करें।
महत्वाच्या व्याख्या
EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)
RFC 5216 मध्ये परिभाषित केलेली 802.1X ऑथेंटिकेशन पद्धत, ज्यामध्ये क्लायंट डिव्हाइस आणि RADIUS सर्व्हर दोघांनाही वैध X.509 सर्टिफिकेट्स सादर करणे आवश्यक असते. कोणतेही पासवर्ड्स एक्सचेंज केले जात नाहीत. ऑथेंटिकेशन परस्पर आणि क्रिप्टोग्राफिकली बांधील असते.
एंटरप्राइझ वायरलेस सुरक्षेसाठी सुवर्ण मानक. WPA3-Enterprise 192-bit साठी आवश्यक आणि PCI DSS 4.0 कार्डधारक डेटा एन्व्हायरमेंट्ससाठी अत्यंत शिफारसीय.
EAP-TTLS (Extensible Authentication Protocol - Tunneled Transport Layer Security)
RFC 5281 मध्ये परिभाषित केलेली 802.1X ऑथेंटिकेशन पद्धत, ज्यामध्ये एनक्रिप्टेड TLS टनेल स्थापित करण्यासाठी केवळ सर्व्हर-साइड सर्टिफिकेटची आवश्यकता असते. क्लायंट टनेलच्या आत दुय्यम इनर ऑथेंटिकेशन पद्धतीचा (साधारणपणे युझरनेम आणि पासवर्ड) वापर करून ऑथेंटिकेट करतो.
BYOD एन्व्हायरमेंट्स आणि मिश्र-OS नेटवर्क्ससाठी पसंतीची निवड जेथे क्लायंट सर्टिफिकेट्स उपयोजित करणे ऑपरेशनल दृष्टीने अव्यवहार्य आहे.
802.1X
पोर्ट-आधारित नेटवर्क ॲक्सेस कंट्रोलसाठी एक IEEE मानक जे LAN किंवा WLAN ला कनेक्ट करणाऱ्या उपकरणांसाठी ऑथेंटिकेशन यंत्रणा प्रदान करते. हे सप्लिकंट, ऑथेंटिकेटर आणि ऑथेंटिकेशन सर्व्हरच्या भूमिका परिभाषित करते.
पायाभूत फ्रेमवर्क जे एंटरप्राइझ नेटवर्क्सना एका सामायिक पासवर्डवर अवलंबून राहण्याऐवजी वैयक्तिक डिव्हाइसेस ऑथेंटिकेट करण्यास सक्षम करते. EAP-TLS आणि EAP-TTLS दोन्ही या फ्रेमवर्क अंतर्गत काम करतात.
RADIUS (Remote Authentication Dial-In User Service)
एक नेटवर्किंग प्रोटोकॉल जो नेटवर्क सेवेशी कनेक्ट होणाऱ्या युझर्ससाठी सेंट्रलाइज्ड ऑथेंटिकेशन, ऑथरायझेशन आणि अकाउंटिंग मॅनेजमेंट प्रदान करतो. 802.1X डिप्लॉयमेंट्समध्ये, RADIUS सर्व्हर हा ऑथेंटिकेशन सर्व्हर असतो जो सर्टिफिकेट्स किंवा क्रेडेंशियल्सची पडताळणी करतो.
सर्व्हर घटक जो सर्टिफिकेट्स किंवा पासवर्ड्सची पडताळणी करतो आणि नेटवर्क ॲक्सेस मंजूर करायचा की नाकारायचा याचे निर्देश ॲक्सेस पॉइंटला देतो. सपोर्टेड प्लॅटफॉर्म्समध्ये FreeRADIUS, Microsoft NPS आणि Cisco ISE चा समावेश आहे.
PKI (Public Key Infrastructure)
डिजिटल सर्टिफिकेट्स तयार करणे, व्यवस्थापित करणे, वितरित करणे, वापरणे, संग्रहित करणे आणि रद्द करणे यासाठी आवश्यक असलेल्या भूमिका, पॉलिसी, हार्डवेअर, सॉफ्टवेअर आणि प्रक्रियांचा संच. एका सामान्य एंटरप्राइझ PKI मध्ये ऑफलाइन रूट CA आणि ऑनलाइन इश्युइंग CA समाविष्ट असते.
EAP-TLS ऑथेंटिकेशनमध्ये वापरले जाणारे क्लायंट आणि सर्व्हर सर्टिफिकेट्स जारी करण्यासाठी आवश्यक असलेली बॅकएंड इन्फ्रास्ट्रक्चर. PKI शिवाय, EAP-TLS उपयोजित केले जाऊ शकत नाही.
MDM (Mobile Device Management)
कर्मचाऱ्यांचे मोबाईल डिव्हाइसेस आणि लॅपटॉप्स मॉनिटर, मॅनेज आणि सुरक्षित ठेवण्यासाठी IT विभागांद्वारे वापरले जाणारे सॉफ्टवेअर. Microsoft Intune आणि Jamf सारखे MDM प्लॅटफॉर्म्स एनरोल केलेल्या डिव्हाइसेसवर सर्टिफिकेट्स आणि WiFi प्रोफाइल्सचे डिप्लॉयमेंट स्वयंचलित करू शकतात.
मोठ्या प्रमाणावर EAP-TLS साठी क्लायंट सर्टिफिकेट्सचे डिप्लॉयमेंट स्वयंचलित करण्यासाठी आवश्यक. MDM इंटिग्रेशनशिवाय, हजारो डिव्हाइसेसवर मॅन्युअली सर्टिफिकेट्स इन्स्टॉल करणे ऑपरेशनल दृष्टीने अशक्य आहे.
SCEP (Simple Certificate Enrollment Protocol)
नेटवर्क उपकरणांना डिजिटल सर्टिफिकेट्स जारी करणे स्वयंचलित करण्यासाठी वापरला जाणारा प्रोटोकॉल. MDM प्लॅटफॉर्म्स युझरच्या हस्तक्षेपाशिवाय एनरोल केलेल्या कॉर्पोरेट डिव्हाइसेसवर सर्टिफिकेट्सची विनंती आणि इन्स्टॉलेशन करण्यासाठी SCEP चा वापर करतात.
EAP-TLS डिप्लॉयमेंट्समध्ये झिरो-टच सर्टिफिकेट प्रोव्हिजनिंगसाठी मानक यंत्रणा. Microsoft Intune, Jamf आणि बहुतांश एंटरप्राइझ MDM प्लॅटफॉर्म्सद्वारे समर्थित.
CRL (Certificate Revocation List)
जारी करणाऱ्या सर्टिफिकेट अथॉरिटीने त्यांच्या नियोजित समाप्ती तारखेपूर्वी रद्द केलेल्या डिजिटल प्रमाणपत्रांची (सर्टिफिकेट्स) सूची. कनेक्ट होणाऱ्या डिव्हाइसचे सर्टिफिकेट अजूनही वैध आहे की नाही हे सत्यापित करण्यासाठी RADIUS सर्व्हर CRL तपासतात.
चोरीला गेलेल्या किंवा तडजोड झालेल्या डिव्हाइसचे सर्टिफिकेट रद्द करून त्याला तात्काळ नेटवर्कवरून ब्लॉक करण्याची यंत्रणा. RADIUS सर्व्हर हे CRL वारंवार तपासण्यासाठी कॉन्फिगर केले पाहिजेत किंवा रिअल-टाइम व्हॅलिडेशनसाठी OCSP वापरले पाहिजे.
X.509
पब्लिक की सर्टिफिकेट्सचे स्वरूप परिभाषित करणारे ITU-T मानक. EAP-TLS आणि EAP-TTLS दोन्ही सर्व्हर ऑथेंटिकेशनसाठी X.509 सर्टिफिकेट्स वापरतात. EAP-TLS ला क्लायंट डिव्हाइसवर देखील X.509 सर्टिफिकेट्स आवश्यक असतात.
सर्व एंटरप्राइझ PKI डिप्लॉयमेंट्समध्ये वापरले जाणारे सर्टिफिकेट स्वरूप. जेव्हा IT टीम्स 802.1X च्या संदर्भात 'डिजिटल सर्टिफिकेट्स' चा उल्लेख करतात, तेव्हा त्यांचा अर्थ X.509 सर्टिफिकेट्स असा असतो.
Inner authentication method
EAP-TTLS द्वारे स्थापित केलेल्या एन्क्रिप्टेड TLS टनेलच्या आत वापरला जाणारा दुय्यम ऑथेंटिकेशन प्रोटोकॉल. सामान्य इनर ऑथेंटिकेशन पद्धतींमध्ये PAP (Password Authentication Protocol), CHAP आणि MS-CHAPv2 समाविष्ट आहेत.
इनर ऑथेंटिकेशन पद्धतीची निवड EAP-TTLS डिप्लॉयमेंटच्या सुरक्षा गुणधर्मांवर परिणाम करते. PAP बोगद्याच्या (टनल) आत प्लेनटेक्स्टमध्ये पासवर्ड पाठवते; MS-CHAPv2 चॅलेंज-रिस्पॉन्स मेकॅनिझम वापरते. टनेल सर्व इनर ऑथेंटिकेशन ट्रॅफिक एन्क्रिप्ट करते.
सोडवलेली उदाहरणे
४०० स्टोअर्स असलेल्या एका राष्ट्रीय रिटेल साखळीला त्यांचे पॉइंट-ऑफ-सेल (POS) टर्मिनल्स आणि कर्मचाऱ्यांचे हँडहेल्ड स्कॅनर सुरक्षित करणे आवश्यक आहे. हे वातावरण PCI DSS 4.0 च्या कक्षेत येते. सर्व डिव्हाइसेस Microsoft Intune मध्ये नोंदणीकृत आहेत. त्यांनी कोणता प्रोटोकॉल तैनात करावा आणि त्याचे मुख्य कॉन्फिगरेशन टप्पे काय आहेत?
EAP-TLS तैनात करा. टप्पा १: एअर-गॅप्ड ऑफलाइन रूट CA आणि ऑनलाइन जारी करणाऱ्या CA सह टू-टियर PKI स्थापित करा. टप्पा २: सर्व POS आणि स्कॅनर डिव्हाइसेसना लक्ष्य करून SCEP प्रमाणपत्र प्रोफाइलसह Microsoft Intune कॉन्फिगर करा. टप्पा ३: एक RADIUS सर्व्हर (Microsoft NPS किंवा क्लाउड RADIUS) तैनात करा आणि अंतर्गत CA विरुद्ध क्लायंट प्रमाणपत्रांची पडताळणी करण्यासाठी ते कॉन्फिगर करा. टप्पा ४: RADIUS सर्व्हरवर CRL चेकिंग किंवा OCSP सक्षम करा. टप्पा ५: Intune द्वारे एक WiFi प्रोफाइल पुश करा ज्यामध्ये SSID, प्रमाणीकरण पद्धत म्हणून EAP-TLS, विश्वसनीय रूट CA आणि अपेक्षित RADIUS सर्व्हरचे नाव निर्दिष्ट असेल. टप्पा ६: सर्व ४०० साइट्सवर लागू करण्यापूर्वी १० डिव्हाइसेसच्या पायलट ग्रुपसह चाचणी घ्या. टप्पा ७: प्रमाणपत्र संपण्याच्या ६०, ३० आणि ७ दिवस आधी अलर्टसह प्रमाणपत्र कालबाह्यता देखरेख प्रक्रिया स्थापित करा.
एका मोठ्या विद्यापीठ कॅम्पसला २०,००० विद्यार्थ्यांसाठी सुरक्षित WiFi प्रदान करणे आवश्यक आहे जे वैयक्तिक लॅपटॉप, स्मार्टफोन आणि टॅब्लेट (BYOD) चे मिश्रण वापरत आहेत. IT टीम वैयक्तिक उपकरणांवर प्रमाणपत्रे स्थापित करू शकत नाही. विद्यापीठ ओळख व्यवस्थापनासाठी Microsoft Entra ID वापरते. त्यांनी कोणता प्रोटोकॉल तैनात करावा?
RADIUS द्वारे Microsoft Entra ID सह एकत्रित केलेली, अंतर्गत प्रमाणीकरण पद्धत म्हणून MS-CHAPv2 सह EAP-TTLS तैनात करा. टप्पा १: सर्व प्रमुख ऑपरेटिंग सिस्टम्सद्वारे विश्वसनीय असलेल्या सार्वजनिक CA कडून सर्व्हर प्रमाणपत्र मिळवा, किंवा अंतर्गत CA तैनात करा आणि व्यवस्थापित उपकरणांसाठी विद्यापीठाच्या डिव्हाइस व्यवस्थापन साधनांद्वारे रूट प्रमाणपत्र वितरित करा. टप्पा २: LDAP किंवा RADIUS प्रॉक्सी वापरून Microsoft Entra ID विरुद्ध प्रमाणीकरण करण्यासाठी RADIUS सर्व्हर कॉन्फिगर करा. टप्पा ३: विद्यार्थ्यांसाठी WiFi ऑनबोर्डिंग मार्गदर्शक तयार करा ज्यामध्ये SSID, EAP-TTLS, MS-CHAPv2 आणि विश्वसनीय CA निर्दिष्ट असेल. टप्पा ४: Entra ID स्तरावर मजबूत पासवर्ड धोरणे लागू करा आणि सुरुवातीच्या नोंदणीसाठी मल्टी-फॅक्टर ऑथेंटिकेशन सक्षम करण्याचा विचार करा. टप्पा ५: सर्व्हर प्रमाणपत्र प्रमाणीकरण लागू करण्यासाठी आणि विश्वसनीय CA आणि RADIUS सर्व्हरचे नाव निर्दिष्ट करण्यासाठी WiFi प्रोफाइल कॉन्फिगर करा.
सराव प्रश्न
Q1. तुम्ही ५० ऑफिस लोकेशन्सवरील ५,००० कॉर्पोरेट लॅपटॉपसाठी EAP-TLS डिप्लॉय करत आहात. Microsoft Intune द्वारे WiFi प्रोफाइल पुश केल्यानंतर, डिव्हाइसेस कनेक्ट होण्यास अयशस्वी ठरत आहेत. RADIUS सर्व्हर लॉग प्रत्येक अयशस्वी ऑथेंटिकेशनच्या प्रयत्नासाठी 'Unknown CA' दाखवत आहेत. याचे सर्वात संभाव्य कारण काय आहे आणि तुम्ही त्याचे निराकरण कसे कराल?
टीप: क्लायंट बाजूने सर्टिफिकेट व्हॅलिडेशन साखळीचा विचार करा आणि MDM प्रोफाइलमध्ये फक्त EAP पद्धत सेट करण्याव्यतिरिक्त इतर काय समाविष्ट असणे आवश्यक आहे ते पहा.
नमुना उत्तर पहा
RADIUS सर्व्हरचे सर्टिफिकेट जारी करणाऱ्या अंतर्गत सर्टिफिकेट अथॉरिटीवर विश्वास ठेवण्यासाठी क्लायंट डिव्हाइसेस कॉन्फिगर केलेले नाहीत. MDM WiFi प्रोफाइलमध्ये रूट CA सर्टिफिकेट (आणि कोणतेही इंटरमीजिएट CA सर्टिफिकेट्स) समाविष्ट असणे आवश्यक आहे आणि सर्व्हर व्हॅलिडेशनसाठी त्यांच्यावर विश्वास ठेवण्यासाठी सप्लिकंटला कॉन्फिगर करणे आवश्यक आहे. याशिवाय, क्लायंट RADIUS सर्व्हरचे सर्टिफिकेट नाकारतो आणि हँडशेक संपुष्टात आणतो. निराकरण: 'Root certificate for server validation' सेटिंग अंतर्गत विश्वसनीय रूट CA सर्टिफिकेट समाविष्ट करण्यासाठी Intune WiFi प्रोफाइल अपडेट करा आणि प्रोफाइल सर्व डिव्हाइसेसवर पुन्हा पुश करा.
Q2. तुमच्या संस्थेने मिश्र BYOD वातावरणासाठी EAP-TTLS डिप्लॉय केले आहे. सुरक्षा पुनरावलोकनादरम्यान, तुमच्या पेनेट्रेशन टेस्टिंग टीमने हे सिद्ध केले आहे की ते सेल्फ-साईन केलेल्या सर्टिफिकेटसह बनावट ऍक्सेस पॉइंट सेट करून वापरकर्त्यांचे क्रेडेंशियल्स मिळवू शकतात. EAP-TLS वर स्थलांतर न करता तुम्ही या असुरक्षिततेचे निवारण कसे कराल?
टीप: इनर ऑथेंटिकेशनपूर्वी काय घडते आणि क्लायंट बाजूचे कोणते कॉन्फिगरेशन अविश्वसनीय सर्व्हरसह TLS टनेल स्थापित होण्यापासून रोखते याचा विचार करा.
नमुना उत्तर पहा
ही असुरक्षितता अस्तित्वात आहे कारण क्लायंट डिव्हाइसेस RADIUS सर्व्हरचे सर्टिफिकेट सत्यापित करण्यासाठी कॉन्फिगर केलेले नाहीत. निवारण: सर्व्हर सर्टिफिकेट व्हॅलिडेशन सक्तीचे करण्यासाठी सर्व WiFi प्रोफाइल अपडेट करा (मॅनेज केलेल्या डिव्हाइसेससाठी MDM द्वारे, आणि BYOD साठी नवीन ऑनबोर्डिंग मार्गदर्शकाद्वारे). प्रोफाइलमध्ये विश्वसनीय CA आणि अपेक्षित RADIUS सर्व्हरचे नाव निर्दिष्ट करा. अशा प्रकारे कॉन्फिगर केलेले क्लायंट निर्दिष्ट विश्वसनीय CA द्वारे स्वाक्षरी केलेले सर्टिफिकेट सादर न करू शकणाऱ्या कोणत्याही सर्व्हरसह TLS टनेल स्थापित करण्यास नकार देतील, ज्यामुळे बनावट ऍक्सेस पॉइंट हल्ल्याचा धोका संपुष्टात येईल.
Q3. एका हॉस्पिटलच्या IT डायरेक्टरला त्यांच्या वैद्यकीय IoT डिव्हाइसेससाठी (इन्फ्युजन पंप, पेशंट मॉनिटर्स, एन्व्हायर्नमेंटल सेन्सर्स) 802.1X डिप्लॉय करायचे आहे. ते EAP-TTLS चा विचार करत आहेत कारण त्यांचे असे मानणे आहे की सर्टिफिकेट मॅनेजमेंट खूप क्लिष्ट आहे. हा युक्तिवाद का चुकीचा आहे आणि योग्य दृष्टिकोन काय आहे?
टीप: हेडलेस IoT डिव्हाइसेस ऑथेंटिकेशन प्रॉम्ट्स कसे हाताळतात आणि जेव्हा एखादे डिव्हाइस क्रेडेंशियल्स इनपुट करू शकत नाही तेव्हा काय होते याचा विचार करा.
नमुना उत्तर पहा
हा युक्तिवाद दोन कारणांमुळे चुकीचा आहे. पहिले म्हणजे, बहुतेक हेडलेस वैद्यकीय IoT उपकरणांमध्ये क्रेडेंशियल प्रविष्ट करण्यासाठी यूजर इंटरफेस नसतो, ज्यामुळे युझरनेम/पासवर्ड वापरून इनर ऑथेंटिकेशन असणारे EAP-TTLS ऑपरेशनल दृष्ट्या अशक्य होते. दुसरे म्हणजे, प्रत्यक्ष व्यवहारात EAP-TLS हे IoT साठी सोपे आहे: उपयोजनापूर्वी डिव्हाइस स्टेजिंग दरम्यान प्रमाणपत्रे प्रदान केली जाऊ शकतात आणि कोणतेही यूजर इंटरॅक्शन न होता डिव्हाइस स्वयंचलितपणे ऑथेंटिकेट होते. स्टेजिंग दरम्यान वापरल्या जाणार्या डिव्हाइस मॅनेजमेंट सिस्टमद्वारे प्रमाणपत्रे प्रदान केलेले EAP-TLS हाच योग्य दृष्टीकोन आहे. हे हेल्थकेअर वातावरणात मजबूत वायरलेस ऑथेंटिकेशनसाठी HIPAA आवश्यकता देखील पूर्ण करते.
Q4. तुम्ही २०० प्रॉपर्टीज असलेल्या हॉटेल समूहाचे नेटवर्क आर्किटेक्ट आहात. तुम्हाला ३,००० व्यवस्थापित स्टाफ डिव्हाइसेससाठी (Intune मध्ये नोंदणीकृत) Staff WiFi सुरक्षित करायचे आहे आणि स्वतःचे लॅपटॉप आणणाऱ्या कंत्राटदारांना आणि थर्ड-पार्टी व्हेंडरना सुरक्षित WiFi देखील प्रदान करायचे आहे. ऑथेंटिकेशन आर्किटेक्चर डिझाइन करा.
टीप: एकच SSID आणि एकच EAP पद्धत या दोन्ही लोकसंख्येसाठी उपयुक्त ठरू शकते का आणि या दोन प्रकारच्या वापरकर्त्यांमुळे नेटवर्क सेगमेंटेशनवर काय परिणाम होतील याचा विचार करा.
नमुना उत्तर पहा
वेगळ्या ऑथेंटिकेशन पद्धती आणि VLAN असाइनमेंटसह दोन स्वतंत्र SSID तैनात करा. SSID 1 (Staff WiFi): EAP-TLS, Intune SCEP द्वारे पुश केलेली प्रमाणपत्रे, हॉटेल व्यवस्थापन प्रणालींमध्ये पूर्ण प्रवेशासह स्टाफ नेटवर्क सेगमेंटला नियुक्त केलेले VLAN. SSID 2 (Contractor WiFi): MS-CHAPv2 सह EAP-TTLS, वेगळ्या डिरेक्टरी किंवा Microsoft Entra ID मधील वेळ-मर्यादित कंत्राटदार खात्याद्वारे सत्यापित क्रेडेंशियल, अंतर्गत प्रणालींमध्ये प्रवेश नसलेल्या फक्त-इंटरनेट असलेल्या स्वतंत्र सेगमेंटला नियुक्त केलेले VLAN. दोन्ही SSID ने सर्व्हर प्रमाणपत्र प्रमाणीकरण (server certificate validation) लागू करणे आवश्यक आहे. हे आर्किटेक्चर कर्मचार्यांना सर्वोच्च सुरक्षा प्रदान करते आणि कंत्राटदारांना एक व्यावहारिक ऑथेंटिकेशन पद्धत देते, तसेच नेटवर्क सेगमेंटेशन हे सुनिश्चित करते की तडजोड केलेले कंत्राटदार क्रेडेंशियल हॉटेलच्या अंतर्गत व्यवस्थापन प्रणालीपर्यंत पोहोचू शकत नाही.
या मालिकेमध्ये पुढे वाचा
Server RADIUS: व्यवसायांसाठी एक सर्वसमावेशक मार्गदर्शिका
ही मार्गदर्शिका IT व्यवस्थापक, नेटवर्क आर्किटेक्ट आणि CTOs ना एंटरप्राइझ WiFi साठी server RADIUS ऑथेंटिकेशनवर एक निश्चित तांत्रिक संदर्भ प्रदान करते. यामध्ये AAA फ्रेमवर्क, 802.1X आर्किटेक्चर, EAP पद्धत निवड, क्लाउड विरुद्ध ऑन-प्रिमाइसेस डिप्लॉयमेंटचे फायदे-तोटे आणि डायनॅमिक VLAN असाइनमेंट समाविष्ट आहे. आदरातिथ्य (hospitality), रिटेल, इव्हेंट्स आणि सार्वजनिक क्षेत्रातील वेन्यू ऑपरेटर्सना असुरक्षित प्री-शेअर्ड की वरून सुरक्षित, ओळख-आधारित (identity-driven) नेटवर्क ऍक्सेस कंट्रोल आर्किटेक्चरमध्ये स्थलांतरित होण्यासाठी आवश्यक असणारे अंमलबजावणी मार्गदर्शन, वास्तविक जगातील केस स्टडीज आणि निर्णय घेण्याची फ्रेमवर्क मिळतील.
Aruba ClearPass vs. Purple WiFi: वैशिष्ट्यांची तुलना आणि को-डिप्लॉयमेंट
Aruba ClearPass आणि Purple WiFi च्या को-डिप्लॉयमेंट आर्किटेक्चरची सविस्तर माहिती देणारी एक व्यापक तांत्रिक मार्गदर्शिका. यामध्ये RADIUS प्रॉक्सी कॉन्फिगरेशन, डायनॅमिक VLAN असाइनमेंट आणि एंटरप्राइझ NAC सोबत सुरक्षित, अॅनालिटिक्स-चालित अतिथी नेटवर्क प्रदान करण्यासाठी सर्वोत्तम पद्धतींचा समावेश आहे.
Cisco ISE विरुद्ध Purple WiFi: ते कसे तुलना करतात आणि एकत्र काम करतात
हे मार्गदर्शक स्पष्ट करते की Cisco ISE आणि Purple WiFi हे एंटरप्राइझ नेटवर्कमध्ये वेगळ्या पण पूरक भूमिका कशा बजावतात. सुरक्षित 802.1X कॉर्पोरेट ॲक्सेससाठी Cisco ISE कसे वापरावे आणि GDPR-सुसंगत अतिथी WiFi, मार्केटिंग ॲनालिटिक्स आणि CRM इंटिग्रेशनसाठी Purple चा कसा फायदा घ्यावा, हे यामध्ये तपशीलवार दिले आहे.