मुख्य मजकुराकडे जा
मराठी

eduroam आणि 802.1X: उच्च शिक्षणासाठी सुरक्षित WiFi प्रमाणीकरण

हे अधिकृत तांत्रिक संदर्भ मार्गदर्शक eduroam आणि 802.1X प्रमाणीकरणाचे आर्किटेक्चर, डिप्लॉयमेंट आणि सुरक्षा स्पष्ट करते. आयटी व्यवस्थापक आणि नेटवर्क आर्किटेक्ट्ससाठी डिझाइन केलेले, यात व्यावहारिक अंमलबजावणीचे टप्पे, EAP पद्धतीची निवड आणि व्हेन्यू ऑपरेटर शैक्षणिक रोमिंगला सुरक्षितपणे कसे समर्थन देऊ शकतात हे समाविष्ट आहे.

📖 6 मिनिट वाचन📝 1,343 शब्द🔧 3 सोडवलेली उदाहरणे3 सराव प्रश्न📚 8 महत्वाच्या व्याख्या

हे मार्गदर्शक ऐका

पॉडकास्ट ट्रान्सक्रिप्ट पहा
PODCAST SCRIPT: eduroam आणि 802.1X — उच्च शिक्षणासाठी सुरक्षित WiFi प्रमाणीकरण Runtime: approximately 10 minutes Voice: UK English, male, senior consultant tone — confident, conversational, authoritative --- [INTRO — 1 minute] पुन्हा स्वागत आहे. मी पुढील दहा मिनिटे तुम्हाला eduroam आणि 802.1X बद्दल माहिती देणार आहे — ते काय आहेत, ते प्रत्यक्षात कसे कार्य करतात आणि तुम्ही ते तैनात करण्यापूर्वी किंवा समाकलित करण्यापूर्वी तुमच्या टीमला काय माहित असणे आवश्यक आहे. जर तुम्ही विद्यापीठ, महाविद्यालय किंवा संशोधन संस्थेतील आयटी व्यवस्थापक, नेटवर्क आर्किटेक्ट किंवा CTO असाल — किंवा जर तुम्ही व्हेन्यू ऑपरेटर असाल ज्याला तुमचे शैक्षणिक अभ्यागत तुमच्या वायरलेस इन्फ्रास्ट्रक्चरकडून काय अपेक्षा करत आहेत हे समजून घ्यायचे असेल — तर हे ब्रीफिंग तुमच्यासाठी आहे. मोठ्या चित्रापासून सुरुवात करूया. eduroam म्हणजे "education roaming." ही एक जागतिक WiFi रोमिंग सेवा आहे जी सदस्य संस्थांमधील विद्यार्थी, संशोधक आणि कर्मचाऱ्यांना कोणत्याही सहभागी ठिकाणी इंटरनेटशी कनेक्ट होऊ देते — स्वयंचलितपणे, सुरक्षितपणे, त्यांच्या होम संस्थेच्या क्रेडेंशियल्सचा वापर करून. कोणतेही अतिथी पोर्टल्स नाहीत. कोणतेही व्हाउचर कोड नाहीत. फ्रंट डेस्कला पासवर्ड विचारण्याची गरज नाही. हे 2003 पासून चालू आहे, आता ते 100 पेक्षा जास्त देशांमधील 10,000 हून अधिक संस्थांना कव्हर करते आणि जगभरातील उच्च शिक्षणातील कॅम्पस वायरलेस नेटवर्किंगसाठी हे डी फॅक्टो मानक आहे. जर तुमची संस्था विद्यापीठांशी जोडलेली असेल — मग तुम्ही कॅम्पसजवळील हॉटेल असाल, शैक्षणिक इव्हेंट्स आयोजित करणारे कॉन्फरन्स सेंटर असाल किंवा विद्यापीठाच्या शहरातील सार्वजनिक वाचनालय असाल — eduroam समजून घेणे तुमच्या नेटवर्क धोरणाशी थेट संबंधित आहे. --- [TECHNICAL DEEP-DIVE — 5 minutes] ठीक आहे. आता मेकॅनिक्समध्ये जाऊया. eduroam हे IEEE 802.1X वर तयार केले आहे — पोर्ट-आधारित नेटवर्क ऍक्सेस कंट्रोल मानक. 802.1X डिव्हाइसेसना नेटवर्कमध्ये प्रवेश देण्यापूर्वी प्रमाणित करण्यासाठी एक फ्रेमवर्क परिभाषित करते. हे मूळतः वायर्ड इथरनेटसाठी डिझाइन केले गेले होते परंतु ते वायरलेसवर उत्तम प्रकारे मॅप होते आणि ज्याला आपण WPA2-Enterprise किंवा WPA3-Enterprise सुरक्षा म्हणतो त्याचा हा पाया आहे. 802.1X मॉडेलचे तीन घटक आहेत. पहिला, सप्लिकंट — हे कनेक्ट होण्याचा प्रयत्न करणारे डिव्हाइस आहे. विद्यार्थ्याचा लॅपटॉप, संशोधकाचा फोन. दुसरा, ऑथेंटिकेटर — हा तुमचा नेटवर्क ऍक्सेस पॉइंट किंवा मॅनेज्ड स्विच आहे. तो सप्लिकंट आणि उर्वरित नेटवर्कच्या दरम्यान बसतो आणि गेटकीपर म्हणून काम करतो. तिसरा, ऑथेंटिकेशन सर्व्हर — जवळजवळ नेहमीच RADIUS सर्व्हर. RADIUS म्हणजे रिमोट ऑथेंटिकेशन डायल-इन यूजर सर्व्हिस. हा तो घटक आहे जो प्रत्यक्षात क्रेडेंशियल्स प्रमाणित करतो. हँडशेक कसे कार्य करते ते येथे आहे. विद्यार्थ्याचे डिव्हाइस वायरलेस ऍक्सेस पॉइंटशी जोडले जाते. ऍक्सेस पॉइंट अद्याप पूर्ण नेटवर्क ऍक्सेस देत नाही — तो नियंत्रित पोर्ट उघडतो, परंतु केवळ EAP ट्रॅफिकसाठी. EAP म्हणजे एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल. ऍक्सेस पॉइंट डिव्हाइस आणि RADIUS सर्व्हर दरम्यान EAP संभाषण प्रॉक्सी करतो. RADIUS सर्व्हर डिव्हाइसला आव्हान देतो, डिव्हाइस क्रेडेंशियल्ससह प्रतिसाद देते — सामान्यतः वापरकर्तानाव आणि पासवर्ड, किंवा प्रमाणपत्र — आणि जर RADIUS सर्व्हर समाधानी असेल, तर तो Access-Accept संदेश परत पाठवतो. त्यानंतर ऍक्सेस पॉइंट पूर्ण नेटवर्क पोर्ट उघडतो. चांगल्या प्रकारे कॉन्फिगर केलेल्या डिप्लॉयमेंटमध्ये ही संपूर्ण देवाणघेवाण दोन सेकंदांपेक्षा कमी वेळेत होते. आता, eduroam यावर कुठे लेयर करते? eduroam श्रेणीबद्ध RADIUS प्रॉक्सी इन्फ्रास्ट्रक्चर वापरते. प्रत्येक सहभागी संस्था स्वतःचा RADIUS सर्व्हर चालवते — ज्याला आयडेंटिटी प्रोव्हायडर किंवा IdP म्हणतात. जेव्हा, समजा, मँचेस्टर विद्यापीठातील एखादा विद्यार्थी इम्पीरियल कॉलेज लंडनला भेट देतो आणि eduroam SSID शी कनेक्ट होतो, तेव्हा त्यांचे डिव्हाइस username@manchester.ac.uk फॉरमॅटमध्ये त्यांचे क्रेडेंशियल्स पाठवते. इम्पीरियलचा RADIUS सर्व्हर रेल्म पाहतो — जो @ चिन्हाच्या नंतरचा भाग आहे — आणि प्रमाणीकरण विनंती राष्ट्रीय RADIUS सर्व्हरकडे प्रॉक्सी करतो, जो यूकेमध्ये Jisc द्वारे चालवला जातो, जे राष्ट्रीय संशोधन आणि शिक्षण नेटवर्क आहे. Jisc नंतर मँचेस्टर विद्यापीठाच्या RADIUS सर्व्हरकडे विनंती राउट करते, जे क्रेडेंशियल्स प्रमाणित करते आणि Accept किंवा Reject परत पाठवते. संपूर्ण साखळी मिलिसेकंदांमध्ये पूर्ण होते. ही प्रॉक्सी साखळीच eduroam ला संस्थांमधील कोणत्याही पूर्व-सामायिक रहस्यांशिवाय संस्थात्मक सीमा ओलांडून कार्य करण्यास सक्षम करते. साखळीतील प्रत्येक टप्पा केवळ त्याच्या जवळच्या शेजाऱ्यासोबत सामायिक RADIUS रहस्य वापरतो. विद्यार्थ्याचा प्रत्यक्ष पासवर्ड होम संस्थेच्या RADIUS सर्व्हरच्या बाहेर कधीही जात नाही — तो EAP टनेलद्वारे एंड-टू-एंड संरक्षित असतो. EAP पद्धतींबद्दल बोलायचे झाल्यास — येथेच अनेक डिप्लॉयमेंट्स चुकीच्या ठरतात, त्यामुळे लक्ष द्या. eduroam मधील सर्वात सामान्य EAP पद्धती PEAP — प्रोटेक्टेड EAP — आणि EAP-TLS आहेत. PEAP TLS टनेलच्या आत इनर ऑथेंटिकेशन पद्धत, सामान्यतः MSCHAPv2, गुंडाळते. याला RADIUS सर्व्हरवर सर्व्हर-साइड प्रमाणपत्राची आवश्यकता असते, परंतु क्लायंटला फक्त वापरकर्तानाव आणि पासवर्डची आवश्यकता असते. EAP-TLS हा अधिक सुरक्षित पर्याय आहे — तो परस्पर प्रमाणपत्र प्रमाणीकरण वापरतो, म्हणजे सर्व्हर आणि क्लायंट दोन्ही प्रमाणपत्रे सादर करतात. मोठ्या प्रमाणावर तैनात करणे कठीण आहे कारण तुम्हाला क्लायंट प्रमाणपत्रे जारी करण्यासाठी PKI ची आवश्यकता असते, परंतु ते क्रेडेंशियल फिशिंगपासून पूर्णपणे सुरक्षित आहे. अनेक संस्था ज्या महत्त्वपूर्ण सुरक्षा आवश्यकतेमध्ये चूक करतात ती म्हणजे क्लायंट बाजूकडील प्रमाणपत्र प्रमाणीकरण. जेव्हा एखादे डिव्हाइस PEAP वापरून eduroam शी कनेक्ट होते, तेव्हा डिव्हाइसने क्रेडेंशियल्स सबमिट करण्यापूर्वी RADIUS सर्व्हरचे प्रमाणपत्र सत्यापित करणे आवश्यक आहे. जर डिव्हाइस कोणतेही प्रमाणपत्र स्वीकारण्यासाठी चुकीचे कॉन्फिगर केले असेल, तर हल्लेखोर eduroam SSID ब्रॉडकास्ट करणारा रोग ऍक्सेस पॉइंट उभा करू शकतो, सेल्फ-साइंड प्रमाणपत्र सादर करू शकतो आणि क्रेडेंशियल्स गोळा करू शकतो. हा एक ज्ञात हल्ला वेक्टर आहे. यावरील उपाय म्हणजे तुमचे सप्लिकंट प्रोफाइल्स कॉन्फिगर करणे — मॅनेज्ड डिव्हाइसेससाठी MDM द्वारे, किंवा वैयक्तिक डिव्हाइसेससाठी eduroam कॉन्फिगरेशन असिस्टंट टूल, ज्याला CAT म्हणून ओळखले जाते, द्वारे — अपेक्षित सर्टिफिकेट ऑथॉरिटी आणि सर्व्हरचे नाव पिन करण्यासाठी. मानकांच्या दृष्टिकोनातून, eduroam डिप्लॉयमेंट्सनी eduroam पॉलिसी सर्व्हिस डेफिनेशनचे पालन करणे अपेक्षित आहे, जे सर्व RADIUS ओव्हर TLS कनेक्शन्ससाठी TLS 1.2 किंवा उच्च अनिवार्य करते, EAP-MD5 किंवा LEAP सारख्या कमकुवत EAP पद्धतींच्या वापरावर बंदी घालते आणि शक्य असेल तिथे सर्व RADIUS प्रॉक्सी कनेक्शन्स साध्या UDP RADIUS ऐवजी RadSec — RADIUS ओव्हर TLS — वापरणे आवश्यक करते. हे यूकेमधील NCSC मार्गदर्शन आणि यूएसमधील NIST SP 800-120 शी संरेखित आहे. लक्षात घेण्यासारखा आणखी एक तांत्रिक मुद्दा: VLAN असाइनमेंट. चांगल्या प्रकारे आर्किटेक्ट केलेल्या eduroam डिप्लॉयमेंटमध्ये, RADIUS Access-Accept प्रतिसादामध्ये VLAN ॲट्रिब्यूट्स समाविष्ट असतात जे ऍक्सेस पॉइंटला कनेक्ट होणाऱ्या डिव्हाइसला कोणत्या VLAN वर नियुक्त करायचे ते सांगतात. हे तुम्हाला ट्रॅफिक वेगळे करू देते — भेट देणाऱ्या विद्यार्थ्यांना केवळ इंटरनेट ऍक्सेस असलेल्या प्रतिबंधित VLAN वर ठेवणे, तर तुमचे स्वतःचे कर्मचारी अंतर्गत नेटवर्कवर राउट केले जातात. अनुपालनासाठी हे आवश्यक आहे, विशेषतः जर तुम्ही PCI DSS च्या अधीन असाल किंवा संशोधन डेटा नेटवर्क्स आणि सामान्य इंटरनेट ट्रॅफिकमध्ये वेगळेपण राखण्याची आवश्यकता असेल. --- [IMPLEMENTATION RECOMMENDATIONS AND PITFALLS — 2 minutes] मी तुम्हाला व्यावहारिक मार्गदर्शन देतो. जर तुम्ही पहिल्यांदाच eduroam तैनात करत असाल, तर तुमचा पहिला कॉल तुमच्या राष्ट्रीय NREN ला असावा — यूकेमध्ये ते Jisc आहे, आयर्लंडमध्ये HEAnet, यूएसमध्ये Internet2. ते फेडरेशन सदस्यत्व हाताळतात आणि तुम्हाला RADIUS रेल्म नियुक्त करतील. तुम्ही तुमच्या राष्ट्रीय फेडरेशनचे सदस्य असल्याशिवाय eduroam मध्ये सहभागी होऊ शकत नाही. तुमची इन्फ्रास्ट्रक्चर चेकलिस्ट: तुम्हाला 802.1X-सक्षम ऍक्सेस पॉइंट्सची आवश्यकता आहे — Cisco, Aruba, Juniper, Ruckus किंवा Ubiquiti UniFi मधील कोणतेही एंटरप्राइझ-ग्रेड किट हे करेल. तुम्हाला RADIUS सर्व्हरची आवश्यकता आहे — FreeRADIUS हे ओपन-सोर्स मानक आहे, किंवा तुम्ही Microsoft NPS, Cisco ISE, किंवा Aruba ClearPass वापरू शकता. तुम्हाला तुमच्या RADIUS सर्व्हरसाठी eduroam समुदायाद्वारे विश्वासार्ह असलेल्या CA कडून वैध TLS प्रमाणपत्राची आवश्यकता आहे — सामान्यतः तुमच्या संस्थेच्या PKI कडील प्रमाणपत्र किंवा eduroam मंजूर सूचीवरील व्यावसायिक CA. मी पाहतो ते तीन सर्वात सामान्य डिप्लॉयमेंट अपयश आहेत: पहिले, प्रमाणपत्र मिसकॉन्फिगरेशन — एकतर RADIUS प्रमाणपत्र कालबाह्य झाले आहे, किंवा क्लायंट सप्लिकंट प्रोफाइल्स योग्यरित्या पिन केलेले नाहीत. दुसरे, RADIUS प्रॉक्सी टाइमआउट्स — जर तुमच्या अपस्ट्रीम NREN कनेक्शनमध्ये लेटन्सी समस्या असतील, तर प्रमाणीकरण टाइम आउट होईल आणि वापरकर्त्यांना कनेक्शन अपयश दिसेल जे क्रेडेंशियल त्रुटींसारखे दिसते. तिसरे, VLAN मिसकॉन्फिगरेशन — भेट देणारे वापरकर्ते चुकीच्या नेटवर्क सेगमेंटवर पोहोचतात, एकतर त्यांना इंटरनेट ऍक्सेस मिळत नाही किंवा, त्याहून वाईट, त्यांना अंतर्गत संसाधनांचा ऍक्सेस मिळतो जो त्यांनी पाहू नये. क्लायंट बाजूला, तुमच्या MDM प्लॅटफॉर्मद्वारे सर्व मॅनेज्ड डिव्हाइसेसवर eduroam CAT प्रोफाइल्स तैनात करा. वैयक्तिक डिव्हाइसेससाठी, CAT इंस्टॉलर लिंक ठळकपणे प्रकाशित करा. हे एक पाऊल बहुतांश सपोर्ट तिकिटे काढून टाकते. जी ठिकाणे उच्च शिक्षण संस्था नाहीत परंतु eduroam ऍक्सेस देऊ इच्छितात — कॉन्फरन्स सेंटर्स, हॉटेल्स आणि तत्सम — त्यांच्यासाठी या प्रक्रियेला eduroam व्हिजिटर ऍक्सेस किंवा eVA म्हणतात. हे गैर-सदस्य संस्थांना पूर्ण सदस्य न होता eduroam SSID होस्ट करण्याची आणि फेडरेशनला प्रमाणीकरण प्रॉक्सी करण्याची अनुमती देते. जर तुम्ही नियमितपणे शैक्षणिक परिषदा किंवा विद्यापीठाचे इव्हेंट्स आयोजित करत असाल तर याची चौकशी करणे योग्य आहे. --- [RAPID-FIRE Q&A — 1 minute] मला नियमितपणे विचारले जाणारे त्वरित प्रश्न. "eduroam आमचे Guest WiFi पूर्णपणे बदलू शकते का?" नाही. eduroam केवळ त्या वापरकर्त्यांसाठी कार्य करते ज्यांच्याकडे सदस्य संस्थेचे क्रेडेंशियल्स आहेत. तुम्हाला इतर सर्वांसाठी — अभ्यागत, कंत्राटदार, सामान्य जनता — एक स्वतंत्र Guest WiFi सोल्यूशन आवश्यक आहे. "eduroam GDPR चे पालन करते का?" होय, काही अटींसह. फेडरेशन आर्किटेक्चरचा अर्थ असा आहे की तुमची संस्था प्रमाणीकरण डेटावर प्रक्रिया करते, परंतु तुम्हाला हे सुनिश्चित करणे आवश्यक आहे की तुमच्या गोपनीयता सूचनांमध्ये हे समाविष्ट आहे आणि तुमचे RADIUS लॉग योग्यरित्या हाताळले जातात. "आम्ही eduroam सह WPA3 वापरू शकतो का?" होय. WPA3-Enterprise 802.1X शी पूर्णपणे सुसंगत आहे आणि नवीन डिप्लॉयमेंट्ससाठी शिफारस केलेले मानक आहे. हे उच्च-सुरक्षा वातावरणासाठी 192-बिट मोड एन्क्रिप्शन जोडते. "eduroam आणि OpenRoaming मध्ये काय फरक आहे?" OpenRoaming हा वायरलेस ब्रॉडबँड अलायन्सचा एक व्यापक उद्योग उपक्रम आहे जो समान 802.1X आणि RADIUS प्रॉक्सी आर्किटेक्चर वापरतो परंतु रोमिंगला शिक्षणाच्या पलीकडे व्यावसायिक ठिकाणांपर्यंत विस्तारित करतो. Purple सह काही प्लॅटफॉर्म्स, त्यांच्या Guest WiFi ऑफरिंगचा भाग म्हणून OpenRoaming ला समर्थन देतात. --- [SUMMARY AND NEXT STEPS — 1 minute] थोडक्यात सांगायचे तर. eduroam ही 802.1X आणि श्रेणीबद्ध RADIUS प्रॉक्सी इन्फ्रास्ट्रक्चरवर तयार केलेली एक परिपक्व, चांगल्या प्रकारे नियंत्रित, जागतिक स्तरावर तैनात केलेली WiFi रोमिंग सेवा आहे. हे प्रति-वापरकर्ता प्रमाणीकरण, मजबूत एन्क्रिप्शन आणि 10,000-अधिक संस्थांमध्ये अखंड रोमिंग प्रदान करते — सामायिक पासवर्ड किंवा Captive Portal शिवाय. कॅम्पस वायरलेस तैनात किंवा अपग्रेड करणाऱ्या आयटी टीम्ससाठी: जिथे तुमचे PKI समर्थन देऊ शकते तिथे PEAP पेक्षा EAP-TLS ला प्राधान्य द्या, सर्व क्लायंट प्रोफाइल्सवर प्रमाणपत्र प्रमाणीकरणाची सक्ती करा, सर्व RADIUS प्रॉक्सी कनेक्शन्ससाठी RadSec वापरा आणि भेट देणाऱ्या वापरकर्त्यांना समर्पित VLAN मध्ये विभागून ठेवा. व्हेन्यू ऑपरेटर्ससाठी: जर तुम्ही नियमितपणे शैक्षणिक अभ्यागतांचे आयोजन करत असाल, तर eduroam व्हिजिटर ऍक्सेसची चौकशी करा. आणि तुम्ही eduroam तैनात करत असलात किंवा नसलात तरी, तुमचे Guest WiFi इन्फ्रास्ट्रक्चर एंटरप्राइझ-ग्रेड 802.1X तत्त्वांवर तयार केले जावे — सामायिक PSKs वर नाही. जर तुम्हाला यापैकी कोणत्याही गोष्टीवर अधिक सखोल माहिती हवी असेल — RADIUS आर्किटेक्चर, EAP-TLS साठी PKI डिझाइन, किंवा Purple सारखे प्लॅटफॉर्म eduroam आणि OpenRoaming सह कसे समाकलित होतात — तर संपूर्ण लिखित मार्गदर्शकाची लिंक शो नोट्समध्ये दिली आहे. ऐकल्याबद्दल धन्यवाद. पुढच्या वेळेपर्यंत. --- END OF SCRIPT

header_image.png

कार्यकारी सारांश

उच्च शिक्षण संस्था आणि त्यांचे विद्यार्थी व कर्मचारी ज्या ठिकाणी असतात, त्यांच्यासाठी सुरक्षित, अखंड वायरलेस कनेक्टिव्हिटी प्रदान करणे ही आता चैनीची गोष्ट राहिलेली नाही—ती एक कार्यात्मक गरज आहे. या कनेक्टिव्हिटीचे मानक eduroam आहे, जी IEEE 802.1X फ्रेमवर्कवर तयार केलेली जागतिक रोमिंग सेवा आहे.

हे मार्गदर्शक आयटी व्यवस्थापक, नेटवर्क आर्किटेक्ट आणि व्हेन्यू ऑपरेशन्स डायरेक्टर्सना 802.1X आणि eduroam समजून घेण्यासाठी, तैनात करण्यासाठी आणि ट्रबलशूट करण्यासाठी सर्वसमावेशक, व्हेंडर-न्यूट्रल संदर्भ प्रदान करते. आम्ही प्रमाणपत्र व्यवस्थापन, RADIUS प्रॉक्सी आर्किटेक्चर आणि व्यापक अतिथी नेटवर्क धोरणांसह एकत्रीकरणासह एंटरप्राइझ कॅम्पस WiFi च्या व्यावहारिक वास्तवांना संबोधित करण्यासाठी मूलभूत सैद्धांतिक मॉडेल्सच्या पलीकडे जातो.

तुम्ही जुने विद्यापीठ नेटवर्क अपग्रेड करत असाल किंवा शैक्षणिक अभ्यागतांना समर्थन देण्यासाठी कॉन्फरन्स सेंटर कॉन्फिगर करत असाल, 802.1X योग्यरित्या लागू केल्याने महत्त्वपूर्ण सुरक्षा धोके—विशेषतः क्रेडेंशियल चोरी—कमी होतात आणि सपोर्ट ओव्हरहेड लक्षणीयरीत्या कमी होतो. पारंपारिक उच्च शिक्षणाबाहेरील ठिकाणांसाठी, OpenRoaming सारख्या व्यावसायिक रोमिंग फेडरेशन्सचे मूल्यमापन करण्यासाठी ही मानके समजून घेणे महत्त्वाचे आहे, जे समान अंतर्निहित आर्किटेक्चर सामायिक करतात.

तांत्रिक सखोल माहिती: 802.1X आणि eduroam आर्किटेक्चर

मुळात, eduroam हे IEEE 802.1X चे अंमलबजावणी आहे, जे पोर्ट-आधारित नेटवर्क ऍक्सेस कंट्रोलचे मानक आहे. मूळतः वायर्ड नेटवर्कसाठी डिझाइन केलेले असले तरी, 802.1X हे WPA2-Enterprise आणि WPA3-Enterprise सुरक्षेचा पाया बनवते.

802.1X त्रिकोण

802.1X फ्रेमवर्क ऍक्सेस अधिकृत करण्यासाठी परस्परसंवाद साधणाऱ्या तीन भिन्न घटकांवर अवलंबून असते:

  1. सप्लिकंट (Supplicant): नेटवर्क ऍक्सेसची विनंती करणारे क्लायंट डिव्हाइस (उदा. विद्यार्थ्याचा लॅपटॉप किंवा स्मार्टफोन).
  2. ऑथेंटिकेटर (Authenticator): नेटवर्क ऍक्सेस डिव्हाइस (उदा. वायरलेस ऍक्सेस पॉइंट किंवा मॅनेज्ड स्विच). हे गेटकीपर म्हणून काम करते, डिव्हाइस अधिकृत होईपर्यंत प्रमाणीकरण संदेशांव्यतिरिक्त सर्व ट्रॅफिक ब्लॉक करते.
  3. ऑथेंटिकेशन सर्व्हर (Authentication Server): क्रेडेंशियल्स प्रमाणित करणारी बॅकएंड सिस्टीम, जी बहुतांश वेळा RADIUS (रिमोट ऑथेंटिकेशन डायल-इन यूजर सर्व्हिस) सर्व्हर असते.

जेव्हा एखादे डिव्हाइस कनेक्ट होते, तेव्हा ऑथेंटिकेटर एक नियंत्रित पोर्ट स्थापित करतो. तो सप्लिकंट आणि ऑथेंटिकेशन सर्व्हर दरम्यान एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल (EAP) संदेश पास करतो. क्रेडेंशियल्स वैध असल्यास, सर्व्हर RADIUS Access-Accept संदेश परत करतो आणि ऑथेंटिकेटर मानक IP ट्रॅफिकसाठी पोर्ट उघडतो.

architecture_overview.png

eduroam RADIUS प्रॉक्सी पदानुक्रम

eduroam ला अद्वितीय बनवणारी गोष्ट म्हणजे त्याचे फेडरेटेड आर्किटेक्चर. हे वापरकर्त्यांना त्यांच्या होम क्रेडेंशियल्सचा वापर करून कोणत्याही सहभागी संस्थेत प्रमाणीकरण करण्याची अनुमती देते, ज्यासाठी होस्ट संस्थेला त्या क्रेडेंशियल्सच्या प्रतीची आवश्यकता नसते.

हे एका श्रेणीबद्ध RADIUS प्रॉक्सी चेनद्वारे साध्य केले जाते. जेव्हा username@university.ac.uk मधील वापरकर्ता होस्ट ठिकाणी eduroam SSID शी कनेक्ट होतो:

  1. वापरकर्त्याचे डिव्हाइस username@university.ac.uk फॉरमॅटमध्ये प्रमाणीकरण विनंती पाठवते.
  2. होस्ट ठिकाणाचा RADIUS सर्व्हर रेल्म (realm) तपासतो (@ नंतरचा भाग). बाह्य डोमेन म्हणून ओळखून, तो राष्ट्रीय टॉप-लेव्हल RADIUS सर्व्हरला (नॅशनल रिसर्च अँड एज्युकेशन नेटवर्क किंवा NREN द्वारे संचालित) विनंती प्रॉक्सी करतो.
  3. राष्ट्रीय सर्व्हर होम संस्थेच्या RADIUS सर्व्हरकडे (university.ac.uk) विनंती राउट करतो.
  4. होम संस्था क्रेडेंशियल्स प्रमाणित करते आणि चेनमध्ये खाली Access-Accept किंवा Access-Reject संदेश परत पाठवते.

ही संपूर्ण प्रक्रिया साधारणपणे दोन सेकंदांपेक्षा कमी वेळेत पूर्ण होते. महत्त्वाचे म्हणजे, वापरकर्त्याचा पासवर्ड होस्ट संस्था किंवा मध्यवर्ती प्रॉक्सींसमोर कधीही उघड होत नाही; तो सप्लिकंट आणि होम RADIUS सर्व्हर दरम्यान थेट स्थापित केलेल्या एन्क्रिप्टेड EAP टनेलमध्ये सुरक्षित असतो.

EAP पद्धती: सुरक्षा वि. उपयोजनक्षमता (Deployability)

EAP पद्धतीची निवड एन्क्रिप्टेड टनेल कसे तयार होते आणि क्रेडेंशियल्सची देवाणघेवाण कशी होते हे ठरवते. eduroam पॉलिसी सर्व्हिस डेफिनेशन सुरक्षितता सुनिश्चित करण्यासाठी परवानगी असलेल्या पद्धतींवर कठोर निर्बंध घालते.

  • PEAP (प्रोटेक्टेड EAP): सर्वात सामान्य डिप्लॉयमेंट. हे RADIUS सर्व्हरवर सर्व्हर-साइड प्रमाणपत्राचा वापर करून TLS टनेल स्थापित करते. त्यानंतर क्लायंट या टनेलच्या आत प्रमाणीकरण करतो, सामान्यतः MSCHAPv2 (वापरकर्तानाव आणि पासवर्ड) वापरून. हे तैनात करणे तुलनेने सोपे आहे परंतु क्लायंट्स सर्व्हर प्रमाणपत्राचे काटेकोरपणे प्रमाणीकरण करण्यासाठी कॉन्फिगर केलेले नसल्यास रोग (rogue) ऍक्सेस पॉइंट हल्ल्यांना बळी पडू शकतात.
  • EAP-TLS: सुरक्षेसाठी सुवर्ण मानक. याला परस्पर प्रमाणीकरणाची आवश्यकता असते, म्हणजे RADIUS सर्व्हर आणि क्लायंट डिव्हाइस दोघांनीही वैध प्रमाणपत्रे सादर करणे आवश्यक आहे. क्रेडेंशियल फिशिंगपासून सुरक्षित असले तरी, क्लायंट प्रमाणपत्रे जारी करण्यासाठी आणि व्यवस्थापित करण्यासाठी याला मजबूत पब्लिक की इन्फ्रास्ट्रक्चर (PKI) आवश्यक आहे, ज्यामुळे मोठ्या प्रमाणावर तैनात करणे अधिक गुंतागुंतीचे होते.

अंमलबजावणी मार्गदर्शक

802.1X आणि eduroam तैनात करण्यासाठी नेटवर्क इन्फ्रास्ट्रक्चर, आयडेंटिटी मॅनेजमेंट आणि क्लायंट कॉन्फिगरेशन यांच्यात काळजीपूर्वक समन्वय आवश्यक आहे.

1. इन्फ्रास्ट्रक्चरची तयारी

तुमचे वायरलेस ऍक्सेस पॉइंट्स आणि कंट्रोलर्स WPA2-Enterprise/WPA3-Enterprise आणि 802.1X ला सपोर्ट करतात याची खात्री करा. कोणतेही आधुनिक एंटरप्राइझ-ग्रेड हार्डवेअर (Cisco, Aruba, Juniper, इ.) ही आवश्यकता पूर्ण करेल. तुम्ही अपेक्षित प्रमाणीकरण लोड हाताळण्यास आणि विनंत्या प्रॉक्सी करण्यास सक्षम असलेले मजबूत RADIUS इन्फ्रास्ट्रक्चर (उदा. FreeRADIUS, Cisco ISE, Aruba ClearPass) देखील तैनात केले पाहिजे.

2. प्रमाणपत्र व्यवस्थापन

PEAP डिप्लॉयमेंटसाठी, तुमच्या RADIUS सर्व्हरला तुमच्या क्लायंट्सद्वारे विश्वासार्ह असलेल्या सर्टिफिकेट ऑथॉरिटी (CA) द्वारे जारी केलेले TLS प्रमाणपत्र आवश्यक आहे. प्रोडक्शन eduroam डिप्लॉयमेंटसाठी सेल्फ-साइंड प्रमाणपत्रांचा वापर करू नका. प्रमाणीकरण आउटेज टाळण्यासाठी प्रमाणपत्राचे नियमितपणे नूतनीकरण केले जाणे आवश्यक आहे.

3. क्लायंट कॉन्फिगरेशन (CAT टूल)

eduroam डिप्लॉयमेंटमधील अपयशाचा सर्वात सामान्य मुद्दा म्हणजे क्लायंट मिसकॉन्फिगरेशन. मॅन्युअली कनेक्ट होणारे वापरकर्ते अनेकदा प्रमाणपत्र प्रमाणीकरण कॉन्फिगर करण्यात अयशस्वी ठरतात, ज्यामुळे ते क्रेडेंशियल हार्वेस्टिंगला बळी पडू शकतात.

हे कमी करण्यासाठी, संस्थांनी पूर्व-कॉन्फिगर केलेले प्रोफाइल्स वितरित करण्यासाठी eduroam कॉन्फिगरेशन असिस्टंट टूल (CAT) किंवा MDM सोल्यूशन वापरणे आवश्यक आहे. हे प्रोफाइल्स स्वयंचलितपणे योग्य EAP पद्धत कॉन्फिगर करतात, अपेक्षित RADIUS सर्व्हर प्रमाणपत्र पिन करतात आणि योग्य इनर ऑथेंटिकेशन प्रोटोकॉल सेट करतात.

4. VLAN असाइनमेंट आणि सेगमेंटेशन

एक परिपक्व डिप्लॉयमेंट वापरकर्त्याच्या ओळखीवर आधारित डायनॅमिकली VLANs नियुक्त करण्यासाठी RADIUS ॲट्रिब्यूट्सचा वापर करते.

  • होम युजर्स: कॅम्पस संसाधनांच्या योग्य ऍक्सेससह अंतर्गत VLANs वर नियुक्त केले जातात.
  • व्हिजिटिंग युजर्स: केवळ इंटरनेट ऍक्सेस असलेल्या प्रतिबंधित अतिथी VLAN वर नियुक्त केले जातात.

हे सेगमेंटेशन सुरक्षा आणि अनुपालनासाठी अत्यावश्यक आहे, जे सुनिश्चित करते की भेट देणारी डिव्हाइसेस संवेदनशील अंतर्गत नेटवर्क्समध्ये प्रवेश करू शकत नाहीत.

comparison_chart.png

सर्वोत्तम पद्धती आणि व्हेंडर-न्यूट्रल शिफारसी

  • WPA3 ला प्राधान्य द्या: नवीन डिप्लॉयमेंटसाठी, अनिवार्य 192-बिट एन्क्रिप्शन आणि ऑफलाइन डिक्शनरी हल्ल्यांपासून सुधारित संरक्षणाचा लाभ घेण्यासाठी WPA3-Enterprise सक्षम करा.
  • प्रमाणपत्र प्रमाणीकरणाची सक्ती करा: क्रेडेंशियल्स प्रसारित करण्यापूर्वी सप्लिकंट्स RADIUS सर्व्हर प्रमाणपत्राचे काटेकोरपणे प्रमाणीकरण करतात हे सुनिश्चित करण्यासाठी कॉन्फिगरेशन प्रोफाइल्सचा (CAT किंवा MDM द्वारे) वापर अनिवार्य करा.
  • RadSec वापरा: राष्ट्रीय फेडरेशनशी RADIUS प्रॉक्सी कनेक्शन्स कॉन्फिगर करताना, साध्या UDP ऐवजी RadSec (TLS वरील RADIUS) वापरा. हे प्रॉक्सी ट्रॅफिक एन्क्रिप्ट करते आणि WAN लिंक्सवरील विश्वासार्हता सुधारते.
  • अतिथी सोल्यूशन्ससह समाकलित करा: eduroam केवळ शैक्षणिक क्रेडेंशियल्स असलेल्या वापरकर्त्यांना सेवा देते. तुम्ही कंत्राटदार, सार्वजनिक अभ्यागत आणि इव्हेंट उपस्थितांसाठी एक स्वतंत्र, सुरक्षित Guest WiFi सोल्यूशन राखणे आवश्यक आहे.
  • संबंधित इन्फ्रास्ट्रक्चरचे पुनरावलोकन करा: तुमचे अंतर्निहित नेटवर्क सुरक्षित असल्याची खात्री करा. अधिक तपशीलांसाठी आमचे Protect Your Network with Strong DNS and Security मार्गदर्शक वाचा. विद्यापीठाच्या इव्हेंट्ससाठी तात्पुरते इन्फ्रास्ट्रक्चर तैनात करत असल्यास, Event WiFi: Planning and Deploying Temporary Wireless Networks किंवा पोर्तुगीज आवृत्ती Event WiFi: Planeamento e Implementação de Redes Sem Fios Temporárias चा संदर्भ घ्या.

ट्रबलशूटिंग आणि जोखीम निवारण

जेव्हा प्रमाणीकरण अयशस्वी होते, तेव्हा पद्धतशीर ट्रबलशूटिंग आवश्यक असते.

  1. अपयश डोमेन वेगळे करा: अपयश स्थानिक आहे (तुमच्या स्वतःच्या नेटवर्कवरील तुमच्या स्वतःच्या वापरकर्त्यांना प्रभावित करणारे), रिमोट आहे (इतरत्र तुमच्या वापरकर्त्यांना प्रभावित करणारे), किंवा इनबाउंड आहे (तुमच्या नेटवर्कवरील अभ्यागतांना प्रभावित करणारे) हे निश्चित करा.
  2. RADIUS लॉग तपासा: RADIUS सर्व्हर लॉग हा सत्याचा निश्चित स्रोत आहे. Access-Reject संदेश (चुकीचे क्रेडेंशियल्स किंवा धोरण उल्लंघने दर्शविणारे) किंवा टाइमआउट्स (प्रॉक्सी कनेक्टिव्हिटी समस्या दर्शविणारे) शोधा.
  3. प्रमाणपत्राची वैधता तपासा: RADIUS सर्व्हर प्रमाणपत्राची मुदत संपलेली नाही आणि संपूर्ण प्रमाणपत्र साखळी क्लायंटला सादर केली जात आहे याची खात्री करा.
  4. अपस्ट्रीम लेटन्सीचे निरीक्षण करा: राष्ट्रीय RADIUS प्रॉक्सीच्या कनेक्शनवरील उच्च लेटन्सीमुळे क्लायंट टाइमआउट होऊ शकतात, परिणामी योग्य क्रेडेंशियल्स असूनही कनेक्शन्स अयशस्वी होऊ शकतात.

ROI आणि व्यावसायिक प्रभाव

उच्च शिक्षण संस्थांसाठी, योग्य eduroam डिप्लॉयमेंटचा ROI सपोर्ट तिकिटांमध्ये लक्षणीय घट झाल्याने मोजला जातो. Captive Portal आणि मॅन्युअल पासवर्ड एंट्री काढून टाकून, आयटी हेल्पडेस्क कनेक्टिव्हिटी-संबंधित कॉल्समध्ये लक्षणीय घट पाहतात. (या क्षेत्रातील Purple ची बांधिलकी स्पष्ट आहे; Purple Signals Higher Education Ambitions with Appointment of VP Education Tim Peers पहा).

व्यावसायिक ठिकाणांसाठी—जसे की Hospitality , Retail , Healthcare , किंवा Transport मधील—eduroam व्हिजिटर ऍक्सेस (eVA) किंवा OpenRoaming सारख्या तत्सम फेडरेशन्सना समर्थन देणे उच्च-मूल्य असलेल्या लोकसंख्याशास्त्रासाठी एक घर्षणरहित अनुभव प्रदान करते. हे सुनिश्चित करते की शैक्षणिक अभ्यागत स्वयंचलितपणे आणि सुरक्षितपणे कनेक्ट होऊ शकतात, ज्यामुळे समाधान सुधारते आणि ठिकाणाला कठोर नेटवर्क सेगमेंटेशन राखण्याची परवानगी मिळते. याला समर्थन देण्यासाठी तुमच्या ठिकाणाला समर्पित बँडविड्थची आवश्यकता असल्यास, What Is a Leased Line? Dedicated Business Internet वाचण्याचा विचार करा.

नेटवर्क अपग्रेडचे नियोजन करताना, 802.1X क्षमता एकत्रित केल्याने इन्फ्रास्ट्रक्चर आधुनिक आयडेंटिटी-ड्रिव्हन नेटवर्किंगसाठी तयार असल्याचे सुनिश्चित होते, जे प्रगत WiFi Analytics आणि स्थान-आधारित सेवांसाठी पाया घालते.

महत्वाच्या व्याख्या

802.1X

पोर्ट-आधारित नेटवर्क ऍक्सेस कंट्रोल (PNAC) साठी एक IEEE मानक. हे LAN किंवा WLAN शी जोडण्याची इच्छा असलेल्या डिव्हाइसेसना प्रमाणीकरण यंत्रणा प्रदान करते.

एंटरप्राइझ-ग्रेड WiFi सुरक्षेसाठी मूलभूत प्रोटोकॉल, जो सामायिक पासवर्ड्स (PSKs) वैयक्तिकृत प्रमाणीकरणासह बदलतो.

RADIUS (रिमोट ऑथेंटिकेशन डायल-इन यूजर सर्व्हिस)

एक नेटवर्किंग प्रोटोकॉल जो नेटवर्क सेवेशी कनेक्ट होणाऱ्या आणि वापरणाऱ्या वापरकर्त्यांसाठी केंद्रीकृत ऑथेंटिकेशन, ऑथरायझेशन आणि अकाउंटिंग (AAA) व्यवस्थापन प्रदान करतो.

802.1X डिप्लॉयमेंटमधील बॅकएंड सर्व्हर जो प्रत्यक्षात डिरेक्टरी (जसे की ॲक्टिव्ह डिरेक्टरी) विरुद्ध वापरकर्त्याची क्रेडेंशियल्स तपासतो.

EAP (एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल)

वायरलेस नेटवर्क्स आणि पॉइंट-टू-पॉइंट कनेक्शन्समध्ये वारंवार वापरले जाणारे प्रमाणीकरण फ्रेमवर्क. हे विविध प्रमाणीकरण यंत्रणांच्या वाहतूक आणि वापरासाठी तरतूद करते.

802.1X हँडशेक दरम्यान क्लायंट डिव्हाइस आणि RADIUS सर्व्हर दरम्यान बोलली जाणारी भाषा.

सप्लिकंट (Supplicant)

802.1X वापरून नेटवर्कवर प्रमाणीकरण करण्याचा प्रयत्न करणारे क्लायंट डिव्हाइस (उदा. लॅपटॉप, स्मार्टफोन) किंवा त्या डिव्हाइसवरील सॉफ्टवेअर.

ऍक्सेसची विनंती करणारी संस्था. त्याचे कॉन्फिगरेशन (विशेषतः प्रमाणपत्र प्रमाणीकरणाबाबत) सुरक्षेसाठी महत्त्वपूर्ण आहे.

ऑथेंटिकेटर (Authenticator)

नेटवर्क डिव्हाइस (उदा. वायरलेस ऍक्सेस पॉइंट, इथरनेट स्विच) जे सप्लिकंट आणि ऑथेंटिकेशन सर्व्हर दरम्यान संदेश पास करून 802.1X प्रमाणीकरण प्रक्रिया सुलभ करते.

गेटकीपर जो RADIUS सर्व्हर हिरवा कंदील देईपर्यंत नेटवर्क ट्रॅफिक ब्लॉक करतो.

PEAP (प्रोटेक्टेड एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल)

एक EAP पद्धत जी सर्व्हर-साइड प्रमाणपत्र वापरून स्थापित केलेल्या TLS टनेलमध्ये EAP व्यवहार एन्कॅप्स्युलेट करते, आतील प्रमाणीकरणाचे (सामान्यतः पासवर्ड) संरक्षण करते.

eduroam साठी सर्वात सामान्य प्रमाणीकरण पद्धत, जी सुरक्षेचा डिप्लॉयमेंटच्या सुलभतेसह समतोल साधते.

RadSec

पारंपारिक UDP ऐवजी TCP आणि TLS वर RADIUS डेटा प्रसारित करण्यासाठी एक प्रोटोकॉल.

संस्था आणि राष्ट्रीय eduroam फेडरेशन दरम्यान प्रॉक्सी कनेक्शन्स सुरक्षित करण्यासाठी शिफारस केलेली, प्रमाणीकरण ट्रॅफिकचा अडथळा टाळते.

रेल्म (Realm)

'@' चिन्हाच्या नंतरचा वापरकर्त्याच्या ओळखीचा भाग (उदा. 'user@university.ac.uk' मधील 'university.ac.uk').

eduroam सारख्या फेडरेटेड वातावरणात प्रमाणीकरण विनंती कुठे राउट करायची हे ठरवण्यासाठी RADIUS प्रॉक्सी सर्व्हरद्वारे वापरले जाते.

सोडवलेली उदाहरणे

एका प्रमुख विद्यापीठाला लागून असलेल्या 400 खोल्यांच्या कॉन्फरन्स हॉटेलमध्ये वारंवार शैक्षणिक परिसंवाद आयोजित केले जातात. आयटी डायरेक्टरला भेट देणाऱ्या शिक्षणतज्ञांना हॉटेलचे मानक Captive Portal न वापरता स्वयंचलितपणे कनेक्ट होण्याची परवानगी द्यायची आहे, परंतु या अभ्यागतांना हॉटेलच्या कॉर्पोरेट नेटवर्क किंवा मानक अतिथी नेटवर्क VLAN मध्ये प्रवेश मिळणार नाही याची खात्री करणे आवश्यक आहे.

हॉटेलने eduroam व्हिजिटर ऍक्सेस (eVA) लागू केले पाहिजे किंवा OpenRoaming सारख्या व्यावसायिक फेडरेशनमध्ये सामील झाले पाहिजे.

  1. हॉटेल त्यांच्या एंटरप्राइझ ऍक्सेस पॉइंट्सवर नवीन SSID ('eduroam' किंवा 'OpenRoaming') कॉन्फिगर करते.
  2. APs WPA2-Enterprise/802.1X वापरण्यासाठी कॉन्फिगर केलेले आहेत.
  3. हॉटेल बाह्य रेल्म्ससाठी प्रमाणीकरण विनंत्या राष्ट्रीय फेडरेशन (eduroam साठी) किंवा OpenRoaming हबला प्रॉक्सी करण्यासाठी कॉन्फिगर केलेला स्थानिक RADIUS सर्व्हर तैनात करते.
  4. महत्त्वाचे म्हणजे, स्थानिक RADIUS सर्व्हर सर्व प्रॉक्सी केलेल्या प्रमाणीकरणांसाठी Access-Accept संदेशात विशिष्ट VLAN ID ॲट्रिब्यूट परत करण्यासाठी कॉन्फिगर केलेला आहे.
  5. ऍक्सेस पॉइंट्स या प्रमाणित वापरकर्त्यांना हॉटेलच्या कॉर्पोरेट आणि मानक अतिथी ट्रॅफिकपासून पूर्णपणे वेगळ्या, केवळ इंटरनेट असलेल्या VLAN वर ठेवतात.
परीक्षकाचे भाष्य: हा दृष्टिकोन अभ्यागतांच्या होम संस्थांकडे प्रमाणीकरण ऑफलोड करण्यासाठी RADIUS प्रॉक्सी आर्किटेक्चरचा योग्य वापर करतो. RADIUS ॲट्रिब्यूट्सद्वारे डायनॅमिक VLAN असाइनमेंट वापरून, हॉटेल घर्षणरहित वापरकर्ता अनुभव प्रदान करताना सुरक्षा आवश्यकता पूर्ण करून, कठोर नेटवर्क सेगमेंटेशन राखते.

विद्यापीठाच्या आयटी टीमला तडजोड झालेल्या विद्यार्थी खात्यांमध्ये वाढ झाल्याचे लक्षात येते. तपासात असे दिसून आले आहे की विद्यार्थी स्थानिक कॉफी शॉपमध्ये 'eduroam' SSID ब्रॉडकास्ट करणाऱ्या रोग (rogue) ऍक्सेस पॉइंटशी कनेक्ट होत आहेत. रोग AP PEAP द्वारे क्रेडेंशियल्स गोळा करण्यासाठी सेल्फ-साइंड प्रमाणपत्राचा वापर करत आहे.

आयटी टीमने सर्व क्लायंट डिव्हाइसेसवर त्वरित कठोर प्रमाणपत्र प्रमाणीकरण लागू करणे आवश्यक आहे.

  1. त्यांनी विद्यार्थ्यांना मॅन्युअली SSID शी कनेक्ट होण्याचा आणि 'प्रमाणपत्र चेतावणी स्वीकारण्याचा' सल्ला देणे थांबवले पाहिजे.
  2. ते BYOD डिव्हाइसेससाठी eduroam कॉन्फिगरेशन असिस्टंट टूल (CAT) तैनात करतात आणि मॅनेज्ड डिव्हाइसेससाठी MDM प्रोफाइल्स अपडेट करतात.
  3. हे प्रोफाइल्स सप्लिकंटला केवळ विद्यापीठाचे RADIUS सर्व्हर प्रमाणपत्र जारी करणाऱ्या विशिष्ट सर्टिफिकेट ऑथॉरिटी (CA) वर विश्वास ठेवण्यासाठी आणि सर्व्हरचे कॉमन नेम (CN) सत्यापित करण्यासाठी कॉन्फिगर करतात.
  4. एकदा कॉन्फिगर केल्यानंतर, जर विद्यार्थ्याच्या डिव्हाइसला रोग AP आढळला, तर EAP टनेलची स्थापना अयशस्वी होईल कारण रोग प्रमाणपत्र पिन केलेल्या CA/CN शी जुळत नाही, ज्यामुळे क्रेडेंशियल्सचे प्रसारण टळेल.
परीक्षकाचे भाष्य: ही परिस्थिती PEAP डिप्लॉयमेंटमधील सर्वात गंभीर असुरक्षितता हायलाइट करते. उपाय योग्यरित्या ओळखतो की क्लायंट-साइड कॉन्फिगरेशन हीच दुरुस्ती आहे. बनावट प्रमाणपत्रे ओळखण्यासाठी वापरकर्त्याच्या शिक्षणावर अवलंबून राहणे कुचकामी आहे; तांत्रिक नियंत्रणे (प्रोफाइल पिनिंग) अनिवार्य आहेत.

एका रिटेल चेनला त्यांच्या विद्यमान अतिथी WiFi इन्फ्रास्ट्रक्चरचा वापर करून 50 ठिकाणी OpenRoaming ऑफर करायचे आहे, जे सध्या Captive Portal सह ओपन SSID वर अवलंबून आहे.

रिटेल चेनने 802.1X आणि RADIUS प्रॉक्सींगला समर्थन देण्यासाठी त्यांचे नेटवर्क अपग्रेड करणे आवश्यक आहे.

  1. नेटवर्क टीम OpenRoaming कन्सोर्टियम OI (ऑर्गनायझेशन आयडेंटिफायर) ब्रॉडकास्ट करणारा नवीन SSID सक्षम करते.
  2. ते 802.1X द्वारे प्रमाणीकरण करण्यासाठी ऍक्सेस पॉइंट्स कॉन्फिगर करतात.
  3. ते OpenRoaming फेडरेशन हबला विनंत्या प्रॉक्सी करण्यासाठी त्यांचा मध्यवर्ती RADIUS सर्व्हर कॉन्फिगर करतात.
  4. ते सुनिश्चित करतात की त्यांचे इंटरनेट बॅकहॉल स्वयंचलित कनेक्शन्समध्ये अपेक्षित वाढीस समर्थन देऊ शकते, आवश्यक असल्यास समर्पित लीज्ड लाइन्सवर अपग्रेड करू शकतात.
परीक्षकाचे भाष्य: हे हायलाइट करते की Captive Portal वरून फेडरेटेड 802.1X मॉडेलकडे जाण्यासाठी मूलभूत आर्किटेक्चरल बदल आवश्यक आहेत, विशेषतः RADIUS प्रॉक्सींगची अंमलबजावणी आणि वाढीव स्वयंचलित कनेक्शन्स हाताळण्याची क्षमता.

सराव प्रश्न

Q1. तुमचे विद्यापीठ नवीन वायरलेस नेटवर्क तैनात करत आहे. CISO ने अनिवार्य केले आहे की रोग ऍक्सेस पॉइंट्सद्वारे क्रेडेंशियल फिशिंग गणितीयदृष्ट्या अशक्य असले पाहिजे. तुम्ही कोणती EAP पद्धत निवडली पाहिजे?

टीप: कोणती पद्धत पासवर्डवर अवलंबून असते आणि कोणती पूर्णपणे क्रिप्टोग्राफिक कीजवर अवलंबून असते याचा विचार करा.

नमुना उत्तर पहा

तुम्ही EAP-TLS निवडणे आवश्यक आहे. PEAP च्या विपरीत, जे TLS टनेलच्या आत पासवर्डवर अवलंबून असते, EAP-TLS ला परस्पर प्रमाणपत्र प्रमाणीकरणाची आवश्यकता असते. कारण क्लायंट डिव्हाइस पासवर्डऐवजी क्रिप्टोग्राफिक प्रमाणपत्र वापरून प्रमाणीकरण करते, रोग ऍक्सेस पॉइंटला फिश करण्यासाठी कोणतेही क्रेडेंशियल्स नसतात.

Q2. दुसऱ्या विद्यापीठातील एक भेट देणारा संशोधक तक्रार करतो की ते तुमच्या eduroam नेटवर्कशी कनेक्ट होऊ शकत नाहीत. तुमचे स्थानिक वापरकर्ते व्यवस्थित कनेक्ट होत आहेत. तुम्ही तुमचे स्थानिक RADIUS सर्व्हर लॉग तपासता आणि विनंती येत असल्याचे पाहता, परंतु Access-Accept प्राप्त होण्यापूर्वी ती टाइम आउट होते. याचे सर्वात संभाव्य कारण काय आहे?

टीप: भेट देणाऱ्या वापरकर्त्यासाठी आणि स्थानिक वापरकर्त्यासाठी प्रमाणीकरण विनंती कोणत्या मार्गाने जाते याचा विचार करा.

नमुना उत्तर पहा

सर्वात संभाव्य कारण म्हणजे तुमचा स्थानिक RADIUS सर्व्हर आणि राष्ट्रीय NREN RADIUS प्रॉक्सी यांच्यातील कनेक्टिव्हिटी किंवा लेटन्सी समस्या. कारण स्थानिक वापरकर्ते थेट तुमच्या सर्व्हरवर प्रमाणीकरण करतात, त्यांच्यावर परिणाम होत नाही. भेट देणाऱ्या वापरकर्त्याची विनंती अपस्ट्रीम प्रॉक्सी केली जाणे आवश्यक आहे, आणि टाइमआउट हे दर्शवतो की होम संस्थेकडून प्रतिसाद वेळेत परत येत नाही.

Q3. तुम्ही एका मोठ्या विद्यापीठाजवळ असलेल्या रिटेल चेनचे नेटवर्क आर्किटेक्ट आहात. तुम्हाला eduroam व्हिजिटर ऍक्सेस (eVA) वापरून विद्यार्थ्यांना अखंड WiFi ऑफर करायचे आहे, परंतु तुम्ही तुमच्या पॉइंट-ऑफ-सेल टर्मिनल्ससाठी PCI DSS चे पालन करणे आवश्यक आहे. तुम्ही eVA सुरक्षितपणे कसे समाकलित कराल?

टीप: 802.1X प्रमाणीकरणानंतर नेटवर्क ऍक्सेस पॉइंटला ट्रॅफिक वेगळे करण्याची परवानगी कशी देते?

नमुना उत्तर पहा

तुम्ही सर्व यशस्वी eVA प्रमाणीकरणांना समर्पित, केवळ इंटरनेट असलेल्या अतिथी VLAN वर नियुक्त करण्यासाठी तुमचा RADIUS सर्व्हर कॉन्फिगर करून eVA समाकलित करता. RADIUS सर्व्हरकडील Access-Accept संदेशात विशिष्ट VLAN ID समाविष्ट असणे आवश्यक आहे. हे सुनिश्चित करते की विद्यार्थ्यांची डिव्हाइसेस पॉइंट-ऑफ-सेल टर्मिनल्सद्वारे वापरल्या जाणाऱ्या PCI-सुसंगत VLAN पासून पूर्णपणे विभागलेली आहेत, ज्यामुळे अनुपालन आवश्यकता पूर्ण होतात.

या मालिकेमध्ये पुढे वाचा

विक्रेत्यानुसार प्रति-डिव्हाइस PSK: iPSK, DPSK, MPSK आणि PPSK ची तुलना (आणि WPA3 सपोर्ट)

Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet आणि Ubiquiti UniFi मधील प्रति-डिव्हाइस PSK अंमलबजावणीची सर्वसमावेशक तुलना. WPA3-SAE चा प्रति-डिव्हाइस की (key) धोरणांवर कसा परिणाम होतो आणि ट्रान्झिशन मोड कधी लागू करायचे विरुद्ध 802.1X कडे कधी वळायचे ते जाणून घ्या.

मार्गदर्शिका वाचा →

MAC Address Authentication म्हणजे काय? ते कधी वापरावे आणि कधी टाळावे

हे अधिकृत तांत्रिक संदर्भ मार्गदर्शक एंटरप्राइझ WiFi वातावरणातील MAC ऍड्रेस ऑथेंटिकेशन कव्हर करते — RADIUS-आधारित MAC ऑथेंटिकेशन लेयर 2 वर कसे काम करते, त्याच्या अंगभूत सुरक्षा भेद्यता (MAC स्पूफिंग आणि OS-स्तरीय MAC रँडमायझेशनच्या प्रभावासह), आणि अचूक ऑपरेशनल संदर्भ जिथे ते IoT आणि हेडलेस उपकरणांचे व्यवस्थापन करण्यासाठी एक वैध साधन राहते. हे हॉस्पिटॅलिटी, रिटेल, हेल्थकेअर आणि सार्वजनिक क्षेत्रातील व्हेन्यूजमधील IT मॅनेजर्स आणि नेटवर्क आर्किटेक्ट्ससाठी रिअल-वर्ल्ड उदाहरणे, निर्णय फ्रेमवर्क्स आणि Purple च्या अतिथी WiFi आणि ॲनालिटिक्स प्लॅटफॉर्मसाठी इंटिग्रेशन संदर्भासह कृतीयोग्य डिप्लॉयमेंट मार्गदर्शन प्रदान करते.

मार्गदर्शिका वाचा →

iOS आणि macOS वर 802.1X सह एंटरप्राइझ WiFi कसे सेट करावे

हे अधिकृत मार्गदर्शक वरिष्ठ IT लीडर्सना iOS आणि macOS डिव्हाइसेसवर 802.1X एंटरप्राइझ WiFi डिप्लॉय करण्यासाठी कृती करण्यायोग्य पायऱ्या प्रदान करते. हे BYOD उपक्रमांना सपोर्ट करताना कॉर्पोरेट नेटवर्क्स सुरक्षित करण्यासाठी सर्टिफिकेट-आधारित ऑथेंटिकेशन (EAP-TLS), MDM कॉन्फिगरेशन प्रोफाइल्स आणि आर्किटेक्चर इंटिग्रेशन कव्हर करते.

मार्गदर्शिका वाचा →