मुख्य मजकुराकडे जा

eduroam आणि 802.1X: उच्च शिक्षणासाठी सुरक्षित WiFi प्रमाणीकरण

हे अधिकृत तांत्रिक संदर्भ मार्गदर्शक eduroam आणि 802.1X प्रमाणीकरणाची आर्किटेक्चर, उपयोजन आणि सुरक्षा स्पष्ट करते. IT व्यवस्थापक आणि नेटवर्क आर्किटेक्ट्ससाठी डिझाइन केलेले, यामध्ये व्यावहारिक अंमलबजावणीच्या पायऱ्या, EAP पद्धत निवड आणि वेन्यू ऑपरेटर्स शैक्षणिक रोमिंगला सुरक्षितपणे कसे समर्थन देऊ शकतात हे समाविष्ट आहे.

📖 6 मिनिट वाचन📝 1,343 शब्द🔧 3 सोडवलेली उदाहरणे3 सराव प्रश्न📚 8 महत्वाच्या व्याख्या

हे मार्गदर्शक ऐका

पॉडकास्ट ट्रान्सक्रिप्ट पहा
PODCAST SCRIPT: eduroam आणि 802.1X — उच्च शिक्षणासाठी सुरक्षित WiFi प्रमाणीकरण चालू वेळ: अंदाजे १० मिनिटे आवाज: UK English, पुरुष, वरिष्ठ सल्लागार टोन — आत्मविश्वासू, संभाषणात्मक, अधिकृत --- [प्रस्तावना — १ मिनिट] पुन्हा स्वागत आहे. मी पुढील दहा मिनिटे तुम्हाला eduroam आणि 802.1X बद्दल सविस्तर माहिती देणार आहे — ते काय आहेत, पडद्यामागे ते प्रत्यक्षात कसे कार्य करतात आणि त्यांच्या उपयोजनापूर्वी किंवा एकत्रीकरणापूर्वी तुमच्या टीमला काय माहित असणे आवश्यक आहे. जर तुम्ही विद्यापीठ, कॉलेज किंवा संशोधन संस्थेमध्ये IT मॅनेजर, नेटवर्क आर्किटेक्ट किंवा CTO असाल — किंवा जर तुम्ही एखादे ठिकाण चालवत असाल आणि तुमचे शैक्षणिक अभ्यागत तुमच्या वायरलेस इन्फ्रास्ट्रक्चरकडून काय अपेक्षा ठेवतात हे समजून घ्यायचे असेल — तर ही माहिती तुमच्यासाठीच आहे. चला मोठ्या चित्रापासून सुरुवात करूया. eduroam चा अर्थ "education roaming" असा आहे. ही एक जागतिक WiFi रोमिंग सेवा आहे जी सदस्य संस्थांमधील विद्यार्थी, संशोधक आणि कर्मचाऱ्यांना कोणत्याही सहभागी ठिकाणी इंटरनेटशी कनेक्ट होऊ देते — स्वयंचलितपणे, सुरक्षितपणे, त्यांच्या मूळ संस्थेचे क्रेडेंशियल्स वापरून. कोणतेही अतिथी पोर्टल नाही. कोणतेही व्हाउचर कोड नाहीत. फ्रंट डेस्कला पासवर्ड विचारण्याची गरज नाही. हे २००३ पासून सुरू आहे, आता ते १०० पेक्षा जास्त देशांमधील १०,००० हून अधिक संस्थांमध्ये उपलब्ध आहे, आणि हे जगभरातील उच्च शिक्षणातील कॅम्पस वायरलेस नेटवर्किंगसाठीचे वास्तविक मानक आहे. जर तुमची संस्था विद्यापीठांशी संबंधित असेल — मग तुम्ही कॅम्पसजवळील हॉटेल असाल, शैक्षणिक कार्यक्रमांचे आयोजन करणारे कॉन्फरन्स सेंटर असाल किंवा विद्यापीठ शहरातले सार्वजनिक वाचनालय असाल — eduroam समजून घेणे थेट तुमच्या नेटवर्क धोरणाशी संबंधित आहे. --- [तांत्रिक सखोल माहिती — ५ मिनिटे] बरोबर. आता याच्या तांत्रिक प्रक्रियेमध्ये जाऊया. eduroam हे IEEE 802.1X च्या वर तयार केले गेले आहे — जे पोर्ट-आधारित नेटवर्क ऍक्सेस कंट्रोल मानक आहे. 802.1X डिव्हाइसेसना नेटवर्कमध्ये प्रवेश देण्यापूर्वी त्यांना प्रमाणित करण्यासाठी एक फ्रेमवर्क परिभाषित करते. हे मूळतः वायर्ड इथरनेटसाठी डिझाइन केले गेले होते परंतु ते वायरलेसवर उत्तम प्रकारे लागू होते आणि हेच आपण ज्याला WPA2-Enterprise किंवा WPA3-Enterprise सुरक्षा म्हणतो त्याचा पाया आहे. 802.1X मॉडेलचे तीन घटक आहेत. पहिला, Supplicant — म्हणजेच कनेक्ट करण्याचा प्रयत्न करणारे डिव्हाइस. विद्यार्थ्याचा लॅपटॉप, संशोधकाचा फोन. दुसरा, Authenticator — म्हणजेच तुमचा नेटवर्क ऍक्सेस पॉईंट किंवा मॅनेज्ड स्विच. हे सप्लिकंट आणि उर्वरित नेटवर्कच्या दरम्यान असते आणि गेटकीपर म्हणून कार्य करते. तिसरा, Authentication Server — जवळजवळ नेहमीच एक RADIUS सर्व्हर असतो. RADIUS चा अर्थ Remote Authentication Dial-In User Service असा आहे. हा तो घटक आहे जो प्रत्यक्षात क्रेडेंशियल्स सत्यापित करतो. हँडशेक कसा कार्य करतो ते येथे दिले आहे. विद्यार्थ्याचे डिव्हाइस वायरलेस ऍक्सेस पॉइंटशी जोडले जाते. ऍक्सेस पॉइंट अद्याप पूर्ण नेटवर्क ऍक्सेस देत नाही - तो एक नियंत्रित पोर्ट उघडतो, परंतु केवळ EAP ट्रॅफिकसाठी. EAP म्हणजे एक्सटेन्सिबल ऑथेंटिकेशन प्रोटोकॉल (Extensible Authentication Protocol). ऍक्सेस पॉइंट डिव्हाइस आणि RADIUS सर्व्हरमधील EAP संभाषणाचा प्रॉक्सी म्हणून काम करतो. RADIUS सर्व्हर डिव्हाइसला आव्हान देतो, डिव्हाइस क्रेडेन्शियल्ससह प्रतिसाद देते - सामान्यतः युझरनेम आणि पासवर्ड, किंवा प्रमाणपत्र - आणि जर RADIUS सर्व्हरचे समाधान झाले, तर तो Access-Accept संदेश परत पाठवतो. त्यानंतर ऍक्सेस पॉइंट पूर्ण नेटवर्क पोर्ट उघडतो. सुव्यवस्थितपणे कॉन्फिगर केलेल्या डिप्लॉयमेंटमध्ये ही संपूर्ण देवाणघेवाण दोन सेकंदांपेक्षा कमी वेळेत होते. आता, eduroam यावर कसे कार्य करते? eduroam हायली हायब्रिडायझ्ड (hierarchical) RADIUS प्रॉक्सी इन्फ्रास्ट्रक्चर वापरते. प्रत्येक सहभागी संस्था स्वतःचा RADIUS सर्व्हर चालवते - ज्याला आयडेंटिटी प्रोव्हाइडर किंवा IdP म्हटले जाते. जेव्हा मँचेस्टर विद्यापीठातील एखादा विद्यार्थी इम्पीरियल कॉलेज लंडनला भेट देतो आणि eduroam SSID शी कनेक्ट करतो, तेव्हा त्यांचे डिव्हाइस username@manchester.ac.uk या स्वरूपात त्यांचे क्रेडेन्शियल्स पाठवते. इम्पीरियलचा RADIUS सर्व्हर क्षेत्र (realm) पाहतो - जो @ चिन्हाच्या नंतरचा भाग असतो - आणि ऑथेंटिकेशन विनंती राष्ट्रीय RADIUS सर्व्हरकडे प्रॉक्सी करतो, जो UK मध्ये Jisc या राष्ट्रीय संशोधन आणि शिक्षण नेटवर्कद्वारे चालवला जातो. Jisc नंतर ही विनंती मँचेस्टर विद्यापीठाच्या RADIUS सर्व्हरकडे पाठवते, जे क्रेडेन्शियल्स प्रमाणित करते आणि Accept किंवा Reject परत पाठवते. ही संपूर्ण साखळी काही मिलिसेकंदांत पूर्ण होते. ही प्रॉक्सी साखळीच eduroam ला संस्थांमधील कोणत्याही पूर्व-शेअर केलेल्या सीक्रेट्सशिवाय संस्थात्मक सीमांच्या पलीकडे काम करण्यास सक्षम करते. साखळीतील प्रत्येक टप्पा केवळ त्याच्या जवळच्या शेजाऱ्यासह सामायिक केलेला RADIUS सीक्रेट वापरतो. विद्यार्थ्याचा प्रत्यक्ष पासवर्ड कधीही मूळ संस्थेच्या RADIUS सर्व्हरबाहेर जात नाही - तो EAP टनेलद्वारे एंड-टू-एंड संरक्षित असतो. EAP पद्धतींबद्दल सांगायचे तर - येथेच बऱ्याच डिप्लॉयमेंट्समध्ये चुका होतात, त्यामुळे लक्ष द्या. eduroam मधील सर्वात सामान्य EAP पद्धती PEAP - म्हणजेच प्रोटेक्टेड EAP - आणि EAP-TLS आहेत. PEAP एका TLS टनेलमध्ये अंतर्गत ऑथेंटिकेशन पद्धत (सहसा MSCHAPv2) समाविष्ट करते. यासाठी RADIUS सर्व्हरवर सर्व्हर-साइड प्रमाणपत्र आवश्यक असते, परंतु क्लायंटला फक्त युझरनेम आणि पासवर्डची आवश्यकता असते. EAP-TLS हा अधिक सुरक्षित पर्याय आहे - हा म्युच्युअल सर्टिफिकेट ऑथेंटिकेशन वापरतो, म्हणजेच सर्व्हर आणि क्लायंट दोन्ही प्रमाणपत्रे सादर करतात. मोठ्या प्रमाणावर डिप्लॉय करणे हे अधिक कठीण आहे कारण क्लायंट प्रमाणपत्रे जारी करण्यासाठी तुम्हाला PKI ची आवश्यकता असते, परंतु हे क्रेडेन्शियल फिशिंगपासून पूर्णपणे सुरक्षित असते. अनेक संस्था ज्या महत्त्वपूर्ण सुरक्षा आवश्यकतेमध्ये चूक करतात ती म्हणजे क्लायंटच्या बाजूने असणारे सर्टिफिकेट व्हॅलिडेशन (प्रमाणपत्र पडताळणी). जेव्हा एखादे डिव्हाइस PEAP वापरून eduroam शी कनेक्ट होते, तेव्हा क्रेडेंशियल्स सबमिट करण्यापूर्वी त्या डिव्हाइसने RADIUS सर्व्हरचे सर्टिफिकेट सत्यापित केले पाहिजे. जर डिव्हाइसने कोणतेही सर्टिफिकेट स्वीकारण्यासाठी चुकीचे कॉन्फिगरेशन केले असेल, तर एखादा आक्रमणकर्ता eduroam SSID ब्रॉडकास्ट करणारा बनावट ऍक्सेस पॉइंट उभा करू शकतो, स्वतः स्वाक्षरी केलेले सर्टिफिकेट सादर करू शकतो आणि क्रेडेंशियल्स चोरू शकतो. हा एक ज्ञात हल्ला प्रकार आहे. यावरील उपाय म्हणजे तुमच्या सप्लिकंट प्रोफाइल्स कॉन्फिगर करणे होय - व्यवस्थापित डिव्हाइसेससाठी MDM द्वारे किंवा वैयक्तिक डिव्हाइसेससाठी eduroam कॉन्फिगरेशन असिस्टंट टूल, ज्याला CAT म्हणतात, द्वारे - जेणेकरून अपेक्षित सर्टिफिकेट अथॉरिटी आणि सर्व्हरचे नाव पिन केले जाईल. मानकांच्या दृष्टिकोनातून, eduroam उपयोजन हे eduroam पॉलिसी सर्व्हिस डेफिनेशनशी सुसंगत असणे अपेक्षित आहे, जे सर्व RADIUS over TLS कनेक्शन्ससाठी TLS 1.2 किंवा त्याहून अधिक अनिवार्य करते, EAP-MD5 किंवा LEAP सारख्या कमकुवत EAP पद्धतींच्या वापरास प्रतिबंधित करते आणि सर्व RADIUS प्रॉक्सी कनेक्शन्ससाठी साध्या UDP RADIUS ऐवजी शक्य असेल तिथे RadSec - RADIUS over TLS - वापरण्याची आवश्यकता असते. हे UK मधील NCSC मार्गदर्शक तत्त्वांशी आणि US मधील NIST SP 800-120 शी सुसंगत आहे. आणखी एक तांत्रिक मुद्दा लक्षात घेण्यासारखा आहे: VLAN असाइनमेंट. एका चांगल्या प्रकारे तयार केलेल्या eduroam उपयोजनात, RADIUS Access-Accept प्रतिसादामध्ये VLAN ॲट्रिब्युट्स समाविष्ट असतात जे ऍक्सेस पॉइंटला सांगतात की कनेक्ट होणाऱ्या डिव्हाइसला कोणते VLAN नियुक्त करायचे आहे. हे तुम्हाला ट्रॅफिकचे वर्गीकरण करू देते - भेट देणाऱ्या विद्यार्थ्यांना केवळ इंटरनेट-ऍक्सेस असलेल्या मर्यादित VLAN वर ठेवणे, तर तुमच्या स्वतःच्या कर्मचाऱ्यांना अंतर्गत नेटवर्कवर पाठवणे. हे अनुपालनासाठी आवश्यक आहे, विशेषतः जर तुम्ही PCI-DSS च्या अधीन असाल किंवा तुम्हाला संशोधन डेटा नेटवर्क आणि सामान्य इंटरनेट ट्रॅफिकमध्ये वेगळेपण राखण्याची आवश्यकता असेल. - - - [अंमलबजावणीच्या शिफारसी आणि धोके - २ मिनिटे] मी तुम्हाला व्यावहारिक मार्गदर्शन देतो. जर तुम्ही पहिल्यांदाच eduroam तैनात करत असाल, तर तुमचा पहिला संपर्क तुमच्या राष्ट्रीय NREN शी असावा - UK मध्ये हे Jisc आहे, आयर्लंडमध्ये HEAnet, US मध्ये Internet2 आहे. ते फेडरेशनचे सदस्यत्व व्यवस्थापित करतात आणि तुम्हाला RADIUS रेल्म (realm) नियुक्त करतील. तुम्ही तुमच्या राष्ट्रीय फेडरेशनचे सदस्य असल्याशिवाय eduroam मध्ये सहभागी होऊ शकत नाही. तुमची इन्फ्रास्ट्रक्चर चेकलिस्ट: तुम्हाला 802.1X सक्षम ऍक्सेस पॉइंट्सची आवश्यकता आहे - Cisco, Aruba, Juniper, Ruckus, किंवा Ubiquiti UniFi मधील कोणतेही एंटरप्राइझ-ग्रेड किट हे काम करेल. तुम्हाला RADIUS सर्व्हरची आवश्यकता आहे - FreeRADIUS हा ओपन-सोर्स मानक आहे, किंवा तुम्ही Microsoft NPS, Cisco ISE, किंवा Aruba ClearPass वापरू शकता. तुम्हाला तुमच्या RADIUS सर्व्हरसाठी eduroam समुदायाने विश्वास ठेवलेल्या CA कडून एक वैध TLS सर्टिफिकेट आवश्यक आहे - सामान्यतः तुमच्या संस्थेच्या PKI कडील सर्टिफिकेट किंवा eduroam मंजूर सूचीतील व्यावसायिक CA कडील सर्टिफिकेट. मला दिसणारे सर्वात सामान्य तीन डिप्लॉयमेंट अपयश म्हणजे: पहिले, सर्टिफिकेटचे चुकीचे कॉन्फिगरेशन - एकतर RADIUS सर्टिफिकेट एक्स्पायर झाले आहे, किंवा क्लायंट सप्लिकंट प्रोफाइल्स योग्यरित्या पिन केलेले नाहीत. दुसरे, RADIUS प्रॉक्सी टाईमआउट्स - तुमच्या अपस्ट्रीम NREN कनेक्शनमध्ये लॅटन्सीच्या समस्या असल्यास, ऑथेंटिकेशन टाईमआउट होईल आणि युजर्सना कनेक्शन अयशस्वी झाल्याचे दिसेल जे क्रेडेंशियल एररसारखे वाटते. तिसरे, VLAN चे चुकीचे कॉन्फिगरेशन - भेट देणारे युजर्स चुकीच्या नेटवर्क सेगमेंटवर जातात, ज्याने त्यांना एकतर इंटरनेट ऍक्सेस मिळत नाही किंवा सर्वात वाईट म्हणजे, त्यांना अंतर्गत रिसोर्सेसचा ऍक्सेस मिळतो जो त्यांना दिसू नये. क्लायंटच्या बाजूने, तुमच्या MDM प्लॅटफॉर्मद्वारे सर्व व्यवस्थापित डिव्हाइसेसवर eduroam CAT प्रोफाइल्स डिप्लॉय करा. वैयक्तिक डिव्हाइसेससाठी, CAT इंस्टॉल लिंक ठळकपणे प्रसिद्ध करा. ही एक पायरी बहुतांश सपोर्ट तिकिटे दूर करते. ज्या जागा उच्च शैक्षणिक संस्था नाहीत परंतु ज्यांना eduroam ऍक्सेस ऑफर करायचा आहे - कॉन्फरन्स सेंटर्स, हॉटेल्स आणि तत्सम - या प्रक्रियेला eduroam Visitor Access किंवा eVA असे म्हणतात. हे नॉन-मेंबर संस्थांना eduroam SSID होस्ट करण्याची आणि पूर्ण सदस्य न बनता फेडरेशनला प्रॉक्सी ऑथेंटिकेशन करण्याची अनुमती देते. तुम्ही नियमितपणे शैक्षणिक परिषदा किंवा युनिव्हर्सिटी इव्हेंट्स आयोजित करत असल्यास याबद्दल शोध घेणे फायदेशीर आहे. - - - [रॅपिड-फायर Q&A - १ मिनिट] मला नियमितपणे विचारले जाणारे द्रुत प्रश्न. "eduroam आमच्या गेस्ट WiFi ला पूर्णपणे रिप्लेस करू शकते का?" नाही. eduroam केवळ अशा युजर्ससाठी काम करते ज्यांच्याकडे सदस्य संस्थेमध्ये क्रेडेंशियल्स आहेत. तुम्हाला इतर सर्वांसाठी - भेट देणारे, कंत्राटदार, सामान्य जनता - एक वेगळे गेस्ट WiFi सोल्यूशन आवश्यक आहे. "eduroam हे GDPR चे पालन करते का?" होय, काही अटींसह. फेडरेशन आर्किटेक्चरचा अर्थ असा आहे की तुमची संस्था ऑथेंटिकेशन डेटावर प्रक्रिया करते, परंतु तुम्हाला हे सुनिश्चित करणे आवश्यक आहे की तुमच्या प्रायव्हसी नोटिसेसमध्ये हे समाविष्ट आहे आणि तुमचे RADIUS लॉग्स योग्यरित्या हाताळले जातात. "आम्ही eduroam सोबत WPA3 वापरू शकतो का?" होय. WPA3-Enterprise हे 802.1X शी पूर्णपणे सुसंगत आहे आणि नवीन डिप्लॉयमेंटसाठी शिफारस केलेले मानक आहे. हे उच्च-सुरक्षा वातावरणासाठी १९२-बिट मोड एन्क्रिप्शन जोडते. "eduroam आणि OpenRoaming मध्ये काय फरक आहे?" OpenRoaming हा Wireless Broadband Alliance चा एक व्यापक उद्योग पुढाकार आहे जो समान 802.1X आणि RADIUS प्रॉक्सी आर्किटेक्चर वापरतो परंतु शैक्षणिक संस्थांच्या पलीकडे व्यावसायिक जागांवर रोमिंगचा विस्तार करतो. Purple सह काही प्लॅटफॉर्म्स, त्यांच्या गेस्ट WiFi ऑफरिंगचा भाग म्हणून OpenRoaming ला सपोर्ट करतात. - - - [सारांश आणि पुढील पायऱ्या - १ मिनिट] थोडक्यात सांगायचे तर. eduroam ही एक परिपक्व, सुप्रशासित, जागतिक स्तरावर डिप्लॉय केलेली WiFi रोमिंग सेवा आहे जी 802.1X आणि हायराॅर्किकल RADIUS प्रॉक्सी इन्फ्रास्ट्रक्चरवर तयार केली आहे. हे कोणत्याही सामायिक पासवर्ड किंवा Captive Portals शिवाय - प्रति-युजर ऑथेंटिकेशन, मजबूत एन्क्रिप्शन आणि १०,००० पेक्षा जास्त संस्थांमध्ये अखंड रोमिंग प्रदान करते. कॅम्पस वायरलेस डिप्लॉय किंवा अपग्रेड करणाऱ्या IT टीम्ससाठी: तुमचे PKI जेथे सपोर्ट करू शकते तेथे PEAP ऐवजी EAP-TLS ला प्राधान्य द्या, सर्व क्लायंट प्रोफाइल्सवर सर्टिफिकेट व्हॅलिडेशन सक्तीचे करा, सर्व RADIUS प्रॉक्सी कनेक्शन्ससाठी RadSec वापरा आणि भेट देणाऱ्या युजर्सना एका समर्पित VLAN मध्ये विभाजित करा. वेन्यू ऑपरेटर्ससाठी: जर तुम्ही शैक्षणिक अभ्यागतांचे नियमितपणे आदरातिथ्य करत असाल, तर eduroam Visitor Access चा शोध घ्या. आणि तुम्ही eduroam उपयोजित करत असाल किंवा नसाल, तरीही तुमची गेस्ट WiFi इन्फ्रास्ट्रक्चर एंटरप्राइझ-ग्रेड 802.1X तत्त्वांवर तयार केली गेली पाहिजे - सामायिक केलेल्या PSKs वर नाही. जर तुम्हाला यापैकी कशाबद्दलही अधिक सखोल माहिती हवी असेल - RADIUS आर्किटेक्चर, EAP-TLS साठी PKI डिझाइन, किंवा Purple सारखे प्लॅटफॉर्म eduroam आणि OpenRoaming सोबत कसे समाकलित होतात - तर संपूर्ण लेखी मार्गदर्शक शो नोट्समध्ये लिंक केले आहे. ऐकल्याबद्दल धन्यवाद. पुढच्या वेळेपर्यंत. --- स्क्रिप्ट समाप्त

header_image.png

कार्यकारी सारांश (Executive Summary)

उच्च शिक्षण संस्थांसाठी आणि त्यांच्या कर्मचारी व विद्यार्थ्यांना सेवा देणाऱ्या ठिकाणांसाठी, सुरक्षित, अखंड वायरलेस कनेक्टिव्हिटी प्रदान करणे ही आता चैनीची गोष्ट राहिलेली नाही - ती एक व्यावहारिक गरज बनली आहे. या कनेक्टिव्हिटीसाठीचे मानक eduroam हे आहे, जे IEEE 802.1X फ्रेमवर्कवर तयार केलेली जागतिक रोमिंग सेवा आहे.

हे मार्गदर्शक IT व्यवस्थापक, नेटवर्क आर्किटेक्ट्स आणि ठिकाण संचालन संचालकांना (venue operations directors) 802.1X आणि eduroam समजून घेण्यासाठी, तैनात करण्यासाठी आणि ट्रबलशूट करण्यासाठी एक व्यापक, वेंडर-तटस्थ संदर्भ प्रदान करते. एंटरप्राइझ-दर्जाचे कॅम्पस WiFi प्रत्यक्षात कसे कार्य करते, ज्यामध्ये प्रमाणपत्र व्यवस्थापन, RADIUS प्रॉक्सी आर्किटेक्चर आणि व्यापक अतिथी नेटवर्क धोरणासह एकत्रीकरण समाविष्ट आहे, हे तपासण्यासाठी आम्ही मूलभूत सैद्धांतिक मॉडेलच्या पलीकडे जातो.

तुम्ही जुने विद्यापीठ नेटवर्क अपग्रेड करत असाल किंवा शैक्षणिक अभ्यागतांना समर्थन देण्यासाठी कॉन्फरन्स सेंटर कॉन्फिगर करत असाल, 802.1X योग्यरित्या लागू केल्याने सुरक्षा जोखीम - विशेषतः क्रेडेंशियल चोरी - लक्षणीयरीत्या कमी होते आणि सपोर्टचा खर्च मोठ्या प्रमाणात कमी होतो. पारंपारिक उच्च शिक्षणाबाहेरील ठिकाणांसाठी, OpenRoaming सारख्या व्यावसायिक रोमिंग फेडरेशनचे मूल्यांकन करण्यासाठी ही मानके समजून घेणे आवश्यक आहे, जी समान मूळ आर्किटेक्चर सामायिक करतात.

तांत्रिक सखोल विश्लेषण: 802.1X आणि eduroam आर्किटेक्चर

त्याच्या मुळाशी, eduroam हे IEEE 802.1X चे एक अंमलबजावणी आहे, जे पोर्ट-आधारित नेटवर्क प्रवेश नियंत्रण मानक आहे. 802.1X मूलतः वायर्ड नेटवर्क्ससाठी डिझाइन केले गेले होते, परंतु ते WPA2-Enterprise आणि WPA3-Enterprise सुरक्षेचा पाया तयार करते.

802.1X ट्रँगल मॉडेल (The 802.1X Triangle Model)

802.1X फ्रेमवर्क प्रवेश अधिकृत करण्यासाठी तीन स्वतंत्र घटकांच्या परस्परसंवादावर अवलंबून असते:

  1. Supplicant: नेटवर्क प्रवेशाची विनंती करणारे क्लायंट डिव्हाइस (उदाहरणार्थ, विद्यार्थ्याचा लॅपटॉप किंवा स्मार्टफोन).
  2. Authenticator: नेटवर्क प्रवेश डिव्हाइस (उदाहरणार्थ, वायरलेस ॲक्सेस पॉइंट किंवा मॅनेज्ड स्विच). हे गेटकीपर म्हणून काम करते, डिव्हाइस अधिकृत होईपर्यंत प्रमाणीकरण संदेशांशिवाय इतर सर्व रहदारी (traffic) ब्लॉक करते.
  3. Authentication Server: क्रेडेंशियल प्रमाणित करणारी बॅक-एंड सिस्टम, जी जवळजवळ सार्वत्रिकपणे RADIUS (Remote Authentication Dial-In User Service) सर्व्हर असते.

जेव्हा एखादे डिव्हाइस कनेक्ट होते, तेव्हा authenticator एक नियंत्रित पोर्ट स्थापित करतो. तो supplicant आणि authentication server दरम्यान Extensible Authentication Protocol (EAP) संदेश प्रसारित करतो. क्रेडेंशियल्स वैध असल्यास, सर्व्हर RADIUS Access-Accept संदेश पाठवतो, आणि authenticator मानक IP रहदारीला परवानगी देण्यासाठी पोर्ट उघडतो.

architecture_overview.png

eduroam ची RADIUS Proxy श्रेणीरचना

eduroam ला अद्वितीय बनवणारी गोष्ट म्हणजे त्याचे फेडरेटेड आर्किटेक्चर. हे युजर्सना कोणत्याही सहभागी संस्थेमध्ये त्यांच्या होम क्रेडेंशियलचा वापर करून ऑथेंटिकेट करण्याची परवानगी देते, ज्यामध्ये होस्ट संस्थेला त्या क्रेडेंशियलची कॉपी कधीही मिळत नाही.

हे RADIUS प्रॉक्सींच्या श्रेणीबद्ध साखळीद्वारे साध्य केले जाते. जेव्हा username@university.ac.uk मधील युजर होस्ट ठिकाणी eduroam SSID शी कनेक्ट होतो:

  1. युजरचे डिव्हाइस username@university.ac.uk या स्वरूपात ऑथेंटिकेशन विनंती पाठवते.
  2. होस्ट ठिकाणचा RADIUS सर्व्हर रीयल्म ( @ चिन्हानंतरचा भाग) तपासतो. हे एक बाह्य डोमेन असल्याचे ओळखून, तो ही विनंती राष्ट्रीय उच्च-स्तरीय RADIUS सर्व्हरकडे (नॅशनल रिसर्च अँड एज्युकेशन नेटवर्क किंवा NREN द्वारे ऑपरेट केलेले) प्रॉक्सी करतो.
  3. राष्ट्रीय सर्व्हर ही विनंती होम संस्थेच्या RADIUS सर्व्हरकडे (university.ac.uk) पाठवतो.
  4. होम संस्था क्रेडेंशियल वैध असल्याची खात्री करते आणि साखळीद्वारे परत Access-Accept किंवा Access-Reject मेसेज पाठवते.

ही संपूर्ण प्रक्रिया साधारणपणे दोन सेकंदांपेक्षा कमी वेळेत पूर्ण होते. महत्त्वाचे म्हणजे, युजरचा पासवर्ड कधीही होस्ट संस्थेला किंवा मध्यवर्ती प्रॉक्सी सर्व्हरला उघड केला जात नाही; तो थेट सप्लिकंट आणि होम RADIUS सर्व्हर दरम्यान स्थापित केलेल्या कूटबद्ध केलेल्या EAP टनेलमध्ये सुरक्षित असतो.

EAP पद्धती: सुरक्षा आणि उपयोजनक्षमता यामधील तडजोड

EAP पद्धतीची निवड कूटबद्ध केलेली टनेल कशी तयार होते आणि क्रेडेंशियलची देवाणघेवाण कशी होते हे ठरवते. सुरक्षा सुनिश्चित करण्यासाठी eduroam पॉलिसी सर्व्हिस व्याख्या परवानगी असलेल्या पद्धतींना काटेकोरपणे मर्यादित करते.

  • PEAP (Protected EAP): सर्वात सामान्य उपयोजन पद्धत. TLS टनेल स्थापित करण्यासाठी हे RADIUS सर्व्हरवरील सर्व्हर-साइड सर्टिफिकेट वापरते. त्यानंतर क्लायंट त्या टनेलमध्ये, सामान्यतः MSCHAPv2 (युजरनेम आणि पासवर्ड) वापरून ऑथेंटिकेट करतो. हे उपयोजित करणे तुलनेने सोपे आहे, परंतु जर क्लायंटना सर्व्हर सर्टिफिकेटचे काटेकोरपणे प्रमाणीकरण करण्यासाठी कॉन्फिगर केले नसेल तर ते रोग ॲक्सेस पॉइंट हल्ल्यांसाठी संवेदनशील असू शकते.
  • EAP-TLS: सुरक्षेसाठी सुवर्ण मानक. यासाठी परस्पर ऑथेंटिकेशन आवश्यक आहे, ज्याचा अर्थ RADIUS सर्व्हर आणि क्लायंट डिव्हाइस दोन्हीने वैध सर्टिफिकेट सादर करणे आवश्यक आहे. क्रेडेंशियल फिशिंगपासून सुरक्षित असले तरी, क्लायंट सर्टिफिकेट जारी करण्यासाठी आणि व्यवस्थापित करण्यासाठी मजबूत पब्लिक की इन्फ्रास्ट्रक्चर (PKI) आवश्यक आहे, ज्यामुळे मोठ्या प्रमाणावर उपयोजन अधिक क्लिष्ट होते.

अंमलबजावणी मार्गदर्शक

802.1X आणि eduroam उपयोजित करण्यासाठी नेटवर्क इन्फ्रास्ट्रक्चर, ओळख व्यवस्थापन आणि क्लायंट कॉन्फिगरेशन दरम्यान काळजीपूर्वक समन्वयाची आवश्यकता असते.

1. इन्फ्रास्ट्रक्चरची तयारी

तुमचे वायरलेस ॲक्सेस पॉइंट्स आणि कंट्रोलर्स WPA2-Enterprise/WPA3-Enterprise आणि 802.1X ला सपोर्ट करत असल्याची खात्री करा. कोणतेही आधुनिक एंटरप्राइझ-ग्रेड हार्डवेअर (Cisco, Aruba, Juniper आणि इतर) ही आवश्यकता पूर्ण करेल. तुम्ही अपेक्षित ऑथेंटिकेशन लोड हाताळण्यास आणि प्रॉक्सी विनंत्या करण्यास सक्षम असलेली एक मजबूत RADIUS इन्फ्रास्ट्रक्चर (जसे की FreeRADIUS, Cisco ISE, किंवा Aruba ClearPass) देखील तैनात करणे आवश्यक आहे.

२. प्रमाणपत्र व्यवस्थापन

PEAP तैनात करण्यासाठी, तुमच्या RADIUS सर्व्हरला तुमच्या क्लायंटद्वारे विश्वासू असलेल्या प्रमाणपत्र प्राधिकरणाने (CA) जारी केलेले TLS प्रमाणपत्र आवश्यक आहे. प्रोडक्शन eduroam उपयोजनामध्ये स्व-स्वाक्षरी केलेली (self-signed) प्रमाणपत्रे कधीही वापरू नका. ऑथेंटिकेशन आउटेज टाळण्यासाठी प्रमाणपत्रांचे नियमितपणे नूतनीकरण केले जाणे आवश्यक आहे.

३. क्लायंट कॉन्फिगरेशन (CAT टूल)

eduroam उपयोजनांमधील अयशस्वी होण्याचा सर्वात सामान्य मुद्दा म्हणजे क्लायंटचे चुकीचे कॉन्फिगरेशन. जेव्हा वापरकर्ते मॅन्युअली कनेक्ट होतात, तेव्हा ते सहसा प्रमाणपत्र प्रमाणीकरण कॉन्फिगर करण्यात अयशस्वी ठरतात, ज्यामुळे त्यांना क्रेडेंशियल-हार्वेस्टिंग हल्ल्यांचा धोका निर्माण होतो.

हा धोका कमी करण्यासाठी, संस्थांनी पूर्व-कॉन्फिगर केलेले प्रोफाइल वितरीत करण्यासाठी eduroam Configuration Assistant Tool (CAT) किंवा MDM सोल्यूशन वापरले पाहिजे. हे प्रोफाइल स्वयंचलितपणे योग्य EAP पद्धत कॉन्फिगर करतात, अपेक्षित RADIUS सर्व्हर प्रमाणपत्र पिन करतात आणि योग्य अंतर्गत ऑथेंटिकेशन प्रोटोकॉल सेट करतात.

४. VLAN असाइनमेंट आणि विभागणी

एक प्रगत उपयोजन वापरकर्त्याच्या ओळखीवर आधारित VLANs डायनॅमिकली नियुक्त करण्यासाठी RADIUS ॲट्रिब्युट्सचा वापर करते.

  • अंतर्गत वापरकर्ते: कॅम्पस रिसोर्सेसमध्ये योग्य प्रवेशासह अंतर्गत VLANs नियुक्त केले जातात.
  • भेट देणारे वापरकर्ते: केवळ इंटरनेट प्रवेश देणाऱ्या मर्यादित अतिथी VLAN मध्ये नियुक्त केले जातात.

सुरक्षा आणि अनुपालनासाठी (compliance) ही विभागणी अत्यंत महत्त्वाची आहे, ज्यामुळे भेट देणारे डिव्हाइसेस संवेदनशील अंतर्गत नेटवर्कपर्यंत पोहोचू शकत नाहीत याची खात्री होते.

comparison_chart.png

सर्वोत्तम पद्धती आणि व्हेंडर-तटस्थ शिफारसी

  • WPA3 ला प्राधान्य द्या: नवीन उपयोजनांसाठी, अनिवार्य १९२-बिट एन्क्रिप्शन आणि ऑफलाइन डिक्शनरी हल्ल्यांपासून अधिक चांगले संरक्षण मिळवण्यासाठी WPA3-Enterprise सक्षम करा.
  • प्रमाणपत्र प्रमाणीकरण लागू करा: क्रेडेंशियल ट्रान्समिट करण्यापूर्वी सप्लिकंटने RADIUS सर्व्हर प्रमाणपत्राचे काटेकोरपणे प्रमाणीकरण केले आहे याची खात्री करण्यासाठी कॉन्फिगरेशन प्रोफाइलचा वापर (CAT किंवा MDM द्वारे) करणे आवश्यक करा.
  • RadSec वापरा: नॅशनल फेडरेशनमध्ये RADIUS प्रॉक्सी कनेक्शन्स कॉन्फिगर करताना, साध्या UDP ऐवजी RadSec (RADIUS over TLS) चा वापर करा. हे प्रॉक्सी ट्रॅफिक एन्क्रिप्ट करते आणि वाईड-एरिया लिंक्सवर विश्वसनीयता सुधारते.
  • अतिथी सोल्यूशनसह समाकलित करा: eduroam केवळ शैक्षणिक क्रेडेंशियल असलेल्या वापरकर्त्यांना सेवा देते. कंत्राटदार, सामान्य जनता आणि कार्यक्रमातील उपस्थितांसाठी तुम्ही स्वतंत्र, सुरक्षित Guest WiFi सोल्यूशन राखणे आवश्यक आहे.
  • संबंधित इन्फ्रास्ट्रक्चरचे पुनरावलोकन करा: तुमचे मूळ नेटवर्क सुरक्षित असल्याची खात्री करा. अधिक तपशीलांसाठी आमचे मार्गदर्शक Securing your network with robust DNS and security वाचा. विद्यापीठाच्या कार्यक्रमांसाठी तात्पुरते इन्फ्रास्ट्रक्चर तैनात करत असल्यास, Event WiFi: Planning and Deploying Temporary Wireless Networks किंवा पोर्तुगीज भाषेतील आवृत्ती Event WiFi: Planeamento e Implementação de Redes Sem Fios Temporárias पहा.

ट्रबलशूटिंग आणि जोखीम निवारण

जेव्हा ऑथेंटिकेशन अयशस्वी होते, तेव्हा पद्धतशीर ट्रबलशूटिंग आवश्यक असते.

  1. समस्या क्षेत्र वेगळे करा (Isolate the failure domain): बिघाड स्थानिक आहे (तुमच्या स्वतःच्या नेटवर्कवरील युजर्सवर परिणाम करणारा), रिमोट आहे (इतरत्र असलेल्या तुमच्या युजर्सवर परिणाम करणारा), की इनबाउंड आहे (तुमच्या नेटवर्कवरील अभ्यागतांवर परिणाम करणारा) हे ठरवा.
  2. RADIUS लॉग तपासा: RADIUS सर्व्हर लॉग हे सत्यतेचे अधिकृत स्त्रोत आहेत. Access-Reject संदेश (चुकीचे क्रेडेंशियल्स किंवा पॉलिसी उल्लंघना दर्शवणारे) किंवा टाइमआउट्स (प्रॉक्सी कनेक्टिव्हिटी समस्या दर्शवणारे) शोधा.
  3. सर्टिफिकेटची वैधता सत्यापित करा: RADIUS सर्व्हर सर्टिफिकेट कालबाह्य झाले नसल्याची आणि संपूर्ण सर्टिफिकेट चेन क्लायंटना सादर केली जात असल्याची खात्री करा.
  4. अपस्ट्रीम लेटन्सीचे निरीक्षण करा: राष्ट्रीय RADIUS प्रॉक्सीसाठी उच्च लेटन्सीमुळे क्लायंट टाइमआउट होऊ शकतात, ज्यामुळे क्रेडेंशियल्स बरोबर असूनही कनेक्शन्स अयशस्वी होतात.

ROI आणि व्यावसायिक प्रभाव

उच्च शिक्षण संस्थांसाठी, योग्यरित्या तैनात केलेल्या eduroam अंमलबजावणीचा परतावा (ROI) सपोर्ट तिकिटांमध्ये झालेल्या लक्षणीय घटीमध्ये दिसून येतो. Captive Portal आणि मॅन्युअल पासवर्ड एन्ट्री काढून टाकल्यामुळे, आयटी हेल्पडेस्कला कनेक्टिव्हिटी संबंधित कॉल्समध्ये मोठी घट दिसते. (या क्षेत्राप्रती Purple ची वचनबद्धता स्पष्ट आहे; Purple appoints Tim Peers as VP of Education, underlining its higher education ambitions पहा).

व्यावसायिक ठिकाणांसाठी - जसे की हॉस्पिटॅलिटी , रिटेल , हेल्थकेअर , किंवा ट्रान्सपोर्ट - eduroam व्हिजिटर ॲक्सेस (eVA) किंवा OpenRoaming सारख्या तत्सम फेडरेशनला सपोर्ट करणे उच्च-मूल्य असलेल्या ग्राहकांना अखंड अनुभव प्रदान करते. हे शैक्षणिक अभ्यागत स्वयंचलितपणे आणि सुरक्षितपणे कनेक्ट होतील याची खात्री करते, ज्यामुळे समाधानात सुधारणा होते आणि त्याच वेळी ठिकाणाला नेटवर्कचे कडक वर्गीकरण राखण्याची परवानगी मिळते. या मागणीला सपोर्ट करण्यासाठी तुमच्या ठिकाणाला डेडिकेटेड बँडविड्थची आवश्यकता असल्यास, What is a leased line? Internet built for business वाचण्याचा विचार करा.

नेटवर्क अपग्रेडचे नियोजन करताना, 802.1X क्षमता समाविष्ट केल्याने तुमचे इन्फ्रास्ट्रक्चर आधुनिक ओळख-चालित नेटवर्किंगसाठी तयार आहे याची खात्री होते, ज्यामुळे प्रगत WiFi Analytics आणि लोकेशन-आधारित सेवांसाठी पाया रचला जातो.

महत्वाच्या व्याख्या

802.1X

पोर्ट-आधारित नेटवर्क ॲक्सेस कंट्रोल (PNAC) साठी एक IEEE मानक. हे LAN किंवा WLAN ला जोडू इच्छिणाऱ्या उपकरणांना प्रमाणीकरण यंत्रणा प्रदान करते.

एंटरप्राइझ-ग्रेड WiFi सुरक्षेसाठी पायाभूत प्रोटोकॉल, जो सामायिक पासवर्ड (PSKs) च्या ऐवजी वैयक्तिकृत प्रमाणीकरणाचा वापर करतो.

RADIUS (Remote Authentication Dial-In User Service)

एक नेटवर्किंग प्रोटोकॉल जो नेटवर्क सेवा वापरणाऱ्या आणि जोडणाऱ्या वापरकर्त्यांसाठी केंद्रीकृत प्रमाणीकरण, अधिकृतीकरण आणि अकाऊंटिंग (AAA) व्यवस्थापन प्रदान करतो.

802.1X उपयोजनामधील बॅकएंड सर्व्हर जो वापरकर्त्याच्या क्रेडेंशियलची डिरेक्टरी (जसे की Active Directory) शी तुलना करून पडताळणी करतो.

EAP (Extensible Authentication Protocol)

प्रामुख्याने वायरलेस नेटवर्क आणि पॉइंट-टू-पॉइंट कनेक्शन्समध्ये वापरली जाणारी एक प्रमाणीकरण फ्रेमवर्क. हे विविध प्रमाणीकरण यंत्रणेचे वहन आणि वापर करण्यास मदत करते.

802.1X हँडशेक दरम्यान क्लायंट डिव्हाइस आणि RADIUS सर्व्हर यांच्यात संवाद साधण्यासाठी वापरली जाणारी भाषा.

Supplicant

क्लायंट डिव्हाइस (उदा. लॅपटॉप, स्मार्टफोन) किंवा त्या डिव्हाइसवरील सॉफ्टवेअर जे 802.1X वापरून नेटवर्कवर प्रमाणीकरण करण्याचा प्रयत्न करत आहे.

प्रवेशाची विनंती करणारी संस्था. याचे कॉन्फिगरेशन (विशेषतः प्रमाणपत्र पडताळणीच्या संदर्भात) सुरक्षेसाठी अत्यंत आवश्यक आहे.

Authenticator

नेटवर्क डिव्हाइस (उदा. वायरलेस ॲक्सेस पॉइंट, इथरनेट स्विच) जे Supplicant आणि प्रमाणीकरण सर्व्हर दरम्यान संदेश पाठवून 802.1X प्रमाणीकरण प्रक्रियेस सुलभ करते.

तो गेटकीपर जोपर्यंत RADIUS सर्व्हर हिरवा कंदील दाखवत नाही तोपर्यंत नेटवर्क ट्रॅफिक रोखून ठेवतो.

PEAP (Protected Extensible Authentication Protocol)

एक EAP पद्धत जी सर्व्हर-साइड प्रमाणपत्राचा वापर करून स्थापित केलेल्या TLS टनेलमध्ये EAP व्यवहार एन्कॅप्स्युलेट करते, ज्यामुळे अंतर्गत प्रमाणीकरण (सहसा पासवर्ड) सुरक्षित राहते.

eduroam साठी सर्वात सामान्य प्रमाणीकरण पद्धत, जी सुरक्षेसह सुलभ उपयोजनाचा समतोल राखते.

RadSec

पारंपारिक UDP ऐवजी TCP आणि TLS वर RADIUS डेटा प्रसारित करण्यासाठीचा एक प्रोटोकॉल.

संस्था आणि राष्ट्रीय eduroam फेडरेशन यांच्यातील प्रॉक्सी कनेक्शन्स सुरक्षित करण्यासाठी आणि प्रमाणीकरण ट्रॅफिकमधील व्यत्यय रोखण्यासाठी शिफारस केलेले.

Realm

वापरकर्त्याच्या ओळखीचा '@' चिन्हाच्या नंतरचा भाग (उदा. 'user@university.ac.uk' मधील 'university.ac.uk').

eduroam सारख्या फेडरेटेड वातावरणात प्रमाणीकरण विनंती कुठे पाठवायची हे निश्चित करण्यासाठी RADIUS प्रॉक्सी सर्व्हर्सद्वारे वापरले जाते.

सोडवलेली उदाहरणे

एका मोठ्या विद्यापीठाला लागून असलेल्या 400 खोल्यांच्या कॉन्फरन्स हॉटेलमध्ये वारंवार शैक्षणिक परिसंवाद आयोजित केले जातात. IT डायरेक्टरला येणाऱ्या पाहुण्यांना हॉटेलचे मानक Captive Portal न वापरता स्वयंचलितपणे कनेक्ट करण्याची परवानगी द्यायची आहे, परंतु हे अभ्यागत हॉटेलच्या कॉर्पोरेट नेटवर्क किंवा मानक अतिथी नेटवर्क VLAN मध्ये प्रवेश करू शकणार नाहीत याची खात्री करणे आवश्यक आहे.

हॉटेलने eduroam Visitor Access (eVA) लागू केले पाहिजे किंवा OpenRoaming सारख्या व्यावसायिक फेडरेशनमध्ये सामील झाले पाहिजे.

  1. हॉटेल त्यांच्या एंटरप्राइझ ॲक्सेस पॉइंट्सवर नवीन SSID ('eduroam' किंवा 'OpenRoaming') कॉन्फिगर करते.
  2. APs हे WPA2-Enterprise/802.1X वापरण्यासाठी कॉन्फिगर केले जातात.
  3. हॉटेल स्थानिक RADIUS सर्व्हर तैनात करते जो बाह्य क्षेत्रांसाठी प्रमाणीकरण विनंत्या राष्ट्रीय फेडरेशन (eduroam साठी) किंवा OpenRoaming हबकडे प्रॉक्सी करण्यासाठी कॉन्फिगर केलेला असतो.
  4. महत्त्वाचे म्हणजे, स्थानिक RADIUS सर्व्हर सर्व प्रॉक्सी केलेल्या प्रमाणीकरणांसाठी Access-Accept संदेशात विशिष्ट VLAN ID गुणधर्म परत करण्यासाठी कॉन्फिगर केलेला असतो.
  5. ॲक्सेस पॉइंट्स या प्रमाणित वापरकर्त्यांना एका वेगळ्या, केवळ-इंटरनेट VLAN वर ठेवतात, जे हॉटेलच्या कॉर्पोरेट आणि मानक अतिथी ट्रॅफिकपासून पूर्णपणे वेगळे असते.
परीक्षकाचे भाष्य: हा दृष्टिकोन अभ्यागतांच्या मूळ संस्थांवर प्रमाणीकरणाचा भार सोपवण्यासाठी RADIUS प्रॉक्सी आर्किटेक्चरचा योग्य प्रकारे फायदा घेतो. RADIUS गुणधर्मांद्वारे डायनॅमिक VLAN असाइनमेंट वापरून, हॉटेल कडक नेटवर्क पृथक्करण राखते, ज्यामुळे सुलभ वापरकर्ता अनुभव प्रदान करताना सुरक्षिततेच्या आवश्यकता पूर्ण होतात.

एका विद्यापीठाच्या IT टीमला विद्यार्थ्यांच्या तडजोड केलेल्या (compromised) खात्यांमध्ये अचानक वाढ झाल्याचे दिसून आले. तपासणीत असे समोर आले आहे की विद्यार्थी स्थानिक कॉफी शॉपमध्ये 'eduroam' SSID ब्रॉडकास्ट करणाऱ्या एका फसव्या ॲक्सेस पॉइंटशी कनेक्ट होत आहेत. तो फसव्या AP PEAP द्वारे क्रेडेन्शियल्स गोळा करण्यासाठी सेल्फ-साइन केलेले प्रमाणपत्र वापरत आहे.

IT टीमने ताबडतोब सर्व क्लायंट उपकरणांवर कठोर प्रमाणपत्र प्रमाणीकरण लागू केले पाहिजे.

  1. त्यांनी विद्यार्थ्यांना मॅन्युअली SSID शी कनेक्ट करण्याचा आणि 'प्रमाणपत्र चेतावणी स्वीकारण्याचा' सल्ला देणे बंद केले पाहिजे.
  2. ते BYOD उपकरणांसाठी eduroam Configuration Assistant Tool (CAT) तैनात करतात आणि व्यवस्थापित उपकरणांसाठी MDM प्रोफाइल अपडेट करतात.
  3. हे प्रोफाइल सप्लिकंटला केवळ त्या विशिष्ट सर्टिफिकेट ऑथोरिटी (CA) वर विश्वास ठेवण्यासाठी कॉन्फिगर करतात ज्याने विद्यापीठाचे RADIUS सर्व्हर प्रमाणपत्र जारी केले आहे आणि सर्व्हरचे Common Name (CN) सत्यापित करण्यासाठी कॉन्फिगर करतात.
  4. एकदा कॉन्फिगर केल्यावर, जर विद्यार्थ्याचे उपकरण फसव्या AP च्या संपर्कात आले, तर EAP टनेलची स्थापना अयशस्वी होईल कारण फसवे प्रमाणपत्र पिन केलेल्या CA/CN शी जुळत नाही, ज्यामुळे क्रेडेन्शियल्स ट्रान्समिट होण्यास प्रतिबंध होतो.
परीक्षकाचे भाष्य: हा प्रसंग PEAP उपयोजनांमधील सर्वात गंभीर असुरक्षिततेवर प्रकाश टाकतो. उपाय योग्यरित्या ओळखतो की याचे निवारण क्लायंट-साइड कॉन्फिगरेशनमध्ये आहे. बनावट प्रमाणपत्रे शोधण्यासाठी वापरकर्त्याच्या शिक्षणावर अवलंबून राहणे कुचकामी आहे; तांत्रिक नियंत्रणे (प्रोफाइल पिनिंग) अनिवार्य आहेत.

एका रिटेल चेनला त्यांच्या सध्याच्या अतिथी WiFi इन्फ्रास्ट्रक्चरचा वापर करून 50 ठिकाणांवर OpenRoaming ऑफर करायचे आहे, जे सध्या Captive Portal सह ओपन SSID वर अवलंबून आहे.

रिटेल चेनने त्यांचे नेटवर्क 802.1X आणि RADIUS प्रॉक्सीमला सपोर्ट करण्यासाठी अपग्रेड केले पाहिजे.

  1. नेटवर्क टीम OpenRoaming Consortium OI (ऑर्गनायझेशन आयडेंटिफायर) ब्रॉडकास्ट करणारा नवीन SSID सक्षम करते.
  2. ते 802.1X द्वारे प्रमाणित करण्यासाठी ॲक्सेस पॉइंट्स कॉन्फिगर करतात.
  3. ते त्यांच्या केंद्रीय RADIUS सर्व्हरला OpenRoaming फेडरेशन हबकडे विनंत्या प्रॉक्सी करण्यासाठी कॉन्फिगर करतात.
  4. ते खात्री करतात की त्यांचे इंटरनेट बॅकहॉल स्वयंचलित कनेक्शनमधील अपेक्षित वाढीस समर्थन देऊ शकते, आवश्यक असल्यास समर्पित लीज्ड लाइन्सवर अपग्रेड करू शकतात.
परीक्षकाचे भाष्य: हे स्पष्ट करते की Captive Portal वरून फेडरेटेड 802.1X मॉडेलवर जाण्यासाठी मूलभूत आर्किटेक्चरल बदलांची आवश्यकता असते, विशेषत: RADIUS प्रॉक्सीमची अंमलबजावणी आणि वाढलेले स्वयंचलित कनेक्शन हाताळण्याची क्षमता.

सराव प्रश्न

Q1. तुमचे विद्यापीठ एक नवीन वायरलेस नेटवर्क तैनात करत आहे. CISO चा असा आदेश आहे की रोग ॲक्सेस पॉइंट्सद्वारे क्रेडेंशियल फिशिंग करणे गणितीयदृष्ट्या अशक्य असावे. तुम्ही कोणती EAP पद्धत निवडली पाहिजे?

टीप: कोणती पद्धत पासवर्डवर अवलंबून असते विरुद्ध कोणती पद्धत पूर्णपणे क्रिप्टोग्राफिक की वर अवलंबून असते याचा विचार करा.

नमुना उत्तर पहा

तुम्ही EAP-TLS निवडले पाहिजे. PEAP च्या विरुद्ध, जे TLS टनेलमधील पासवर्डवर अवलंबून असते, EAP-TLS ला परस्पर प्रमाणपत्र प्रमाणीकरण आवश्यक असते. क्लायंट डिव्हाइस पासवर्डऐवजी क्रिप्टोग्राफिक प्रमाणपत्राचा वापर करून प्रमाणीकरण करत असल्याने, रोग ॲक्सेस पॉइंटसाठी फिश करण्यासाठी कोणतेही क्रेडेंशियल उपलब्ध नसतात.

Q2. दुसऱ्या विद्यापीठातील एक भेट देणारे संशोधक तक्रार करतात की ते तुमच्या eduroam नेटवर्कशी कनेक्ट होऊ शकत नाहीत. तुमचे स्थानिक वापरकर्ते यशस्वीरित्या कनेक्ट होत आहेत. तुम्ही तुमचे स्थानिक RADIUS सर्व्हर लॉग तपासता आणि विनंती आल्याचे पाहता, परंतु Access-Accept प्राप्त होण्यापूर्वीच त्याची वेळ संपते (टाइम आऊट होतो). याचे सर्वात संभाव्य कारण काय आहे?

टीप: भेट देणाऱ्या वापरकर्त्यासाठी विरुद्ध स्थानिक वापरकर्त्यासाठी प्रमाणीकरण विनंती ज्या मार्गाने जाते त्याचा विचार करा.

नमुना उत्तर पहा

याचे सर्वात संभाव्य कारण म्हणजे तुमचा स्थानिक RADIUS सर्व्हर आणि राष्ट्रीय NREN RADIUS प्रॉक्सी यांच्यातील कनेक्टिव्हिटी किंवा लेटन्सी समस्या आहे. स्थानिक वापरकर्ते थेट तुमच्या सर्व्हरवर प्रमाणीकृत होत असल्याने त्यांच्यावर परिणाम होत नाही. भेट देणाऱ्या वापरकर्त्याची विनंती अपस्ट्रीमवर प्रॉक्सी केली जाणे आवश्यक आहे, आणि टाइम आऊट हे दर्शवते की मूळ संस्थेकडून मिळणारा प्रतिसाद वेळेत परत येत नाही.

Q3. तुम्ही एका मोठ्या विद्यापीठाजवळ असलेल्या रिटेल चेनचे नेटवर्क आर्किटेक्ट आहात. तुम्हाला eduroam Visitor Access (eVA) वापरून विद्यार्थ्यांना अखंड WiFi देऊ करायचे आहे, परंतु तुमच्या पॉइंट-ऑफ-सेल टर्मिनल्ससाठी तुम्हाला PCI DSS चे पालन करणे अनिवार्य आहे. तुम्ही eVA सुरक्षितपणे कसे समाकलित कराल?

टीप: 802.1X नेटवर्क ॲक्सेस पॉइंटला प्रमाणीकरणानंतर ट्रॅफिकचे वर्गीकरण करण्यास कशी परवानगी देते?

नमुना उत्तर पहा

तुम्ही RADIUS सर्व्हरला सर्व यशस्वी eVA ऑथेंटिकेशन्स एका समर्पित, केवळ-इंटरनेट असलेल्या गेस्ट VLAN ला नियुक्त करण्यासाठी कॉन्फिगर करून eVA समाकलित (integrate) करता. RADIUS सर्व्हर कडून येणाऱ्या Access-Accept मेसेजमध्ये विशिष्ट VLAN ID समाविष्ट असणे आवश्यक आहे. हे विद्यार्थ्यांच्या डिव्हाइसेसना पॉइंट-ऑफ-सेल टर्मिनल्सद्वारे वापरल्या जाणाऱ्या PCI-compliant VLAN पासून पूर्णपणे वेगळे ठेवण्याची खात्री देते, ज्यामुळे अनुपालन (compliance) आवश्यकता पूर्ण होतात.

या मालिकेमध्ये पुढे वाचा

उच्च शिक्षणामध्ये सुरक्षित BYOD आणि नेटवर्क नोंदणीसाठी SCEP कसे लागू करावे

हे तांत्रिक मार्गदर्शक नेटवर्क आर्किटेक्ट्स आणि IT व्यवस्थापकांना उच्च शिक्षण संस्थांच्या कॅम्पस नेटवर्क सुरक्षित करण्यासाठी SCEP - आधारित प्रमाणपत्र नोंदणी तैनात करण्यासाठी विक्रेता - तटस्थ ब्लूप्रिंट प्रदान करते. हे पासवर्ड - आधारित PEAP वरून 802.1X EAP-TLS वर कसे स्थलांतरित करायचे, BYOD ऑनबोर्डिंग स्वयंचलित कसे करायचे आणि मजबूत VLAN विभाजन कसे लागू करायचे याचे तपशील देते.

मार्गदर्शिका वाचा →

Server RADIUS: व्यवसायांसाठी एक सर्वसमावेशक मार्गदर्शिका

ही मार्गदर्शिका IT व्यवस्थापक, नेटवर्क आर्किटेक्ट आणि CTOs ना एंटरप्राइझ WiFi साठी server RADIUS ऑथेंटिकेशनवर एक निश्चित तांत्रिक संदर्भ प्रदान करते. यामध्ये AAA फ्रेमवर्क, 802.1X आर्किटेक्चर, EAP पद्धत निवड, क्लाउड विरुद्ध ऑन-प्रिमाइसेस डिप्लॉयमेंटचे फायदे-तोटे आणि डायनॅमिक VLAN असाइनमेंट समाविष्ट आहे. आदरातिथ्य (hospitality), रिटेल, इव्हेंट्स आणि सार्वजनिक क्षेत्रातील वेन्यू ऑपरेटर्सना असुरक्षित प्री-शेअर्ड की वरून सुरक्षित, ओळख-आधारित (identity-driven) नेटवर्क ऍक्सेस कंट्रोल आर्किटेक्चरमध्ये स्थलांतरित होण्यासाठी आवश्यक असणारे अंमलबजावणी मार्गदर्शन, वास्तविक जगातील केस स्टडीज आणि निर्णय घेण्याची फ्रेमवर्क मिळतील.

मार्गदर्शिका वाचा →

Aruba ClearPass विरुद्ध Purple WiFi: वैशिष्ट्यांची तुलना आणि सह-तैनाती

Aruba ClearPass आणि Purple WiFi च्या सह-तैनाती आर्किटेक्चरचे तपशील देणारे एक व्यापक तांत्रिक मार्गदर्शक. यामध्ये RADIUS प्रॉक्सी कॉन्फिगरेशन, डायनॅमिक VLAN असाइनमेंट आणि एंटरप्राइझ NAC सोबत सुरक्षित, विश्लेषण-चालित अतिथी नेटवर्क प्रदान करण्यासाठी सर्वोत्तम पद्धतींचा समावेश आहे.

मार्गदर्शिका वाचा →