eduroam आणि 802.1X: उच्च शिक्षणासाठी सुरक्षित WiFi प्रमाणीकरण
हे अधिकृत तांत्रिक संदर्भ मार्गदर्शक eduroam आणि 802.1X प्रमाणीकरणाची आर्किटेक्चर, उपयोजन आणि सुरक्षा स्पष्ट करते. IT व्यवस्थापक आणि नेटवर्क आर्किटेक्ट्ससाठी डिझाइन केलेले, यामध्ये व्यावहारिक अंमलबजावणीच्या पायऱ्या, EAP पद्धत निवड आणि वेन्यू ऑपरेटर्स शैक्षणिक रोमिंगला सुरक्षितपणे कसे समर्थन देऊ शकतात हे समाविष्ट आहे.
हे मार्गदर्शक ऐका
पॉडकास्ट ट्रान्सक्रिप्ट पहा
- कार्यकारी सारांश (Executive Summary)
- तांत्रिक सखोल विश्लेषण: 802.1X आणि eduroam आर्किटेक्चर
- 802.1X ट्रँगल मॉडेल (The 802.1X Triangle Model)
- eduroam ची RADIUS Proxy श्रेणीरचना
- EAP पद्धती: सुरक्षा आणि उपयोजनक्षमता यामधील तडजोड
- अंमलबजावणी मार्गदर्शक
- 1. इन्फ्रास्ट्रक्चरची तयारी
- २. प्रमाणपत्र व्यवस्थापन
- ३. क्लायंट कॉन्फिगरेशन (CAT टूल)
- ४. VLAN असाइनमेंट आणि विभागणी
- सर्वोत्तम पद्धती आणि व्हेंडर-तटस्थ शिफारसी
- ट्रबलशूटिंग आणि जोखीम निवारण
- ROI आणि व्यावसायिक प्रभाव

कार्यकारी सारांश (Executive Summary)
उच्च शिक्षण संस्थांसाठी आणि त्यांच्या कर्मचारी व विद्यार्थ्यांना सेवा देणाऱ्या ठिकाणांसाठी, सुरक्षित, अखंड वायरलेस कनेक्टिव्हिटी प्रदान करणे ही आता चैनीची गोष्ट राहिलेली नाही - ती एक व्यावहारिक गरज बनली आहे. या कनेक्टिव्हिटीसाठीचे मानक eduroam हे आहे, जे IEEE 802.1X फ्रेमवर्कवर तयार केलेली जागतिक रोमिंग सेवा आहे.
हे मार्गदर्शक IT व्यवस्थापक, नेटवर्क आर्किटेक्ट्स आणि ठिकाण संचालन संचालकांना (venue operations directors) 802.1X आणि eduroam समजून घेण्यासाठी, तैनात करण्यासाठी आणि ट्रबलशूट करण्यासाठी एक व्यापक, वेंडर-तटस्थ संदर्भ प्रदान करते. एंटरप्राइझ-दर्जाचे कॅम्पस WiFi प्रत्यक्षात कसे कार्य करते, ज्यामध्ये प्रमाणपत्र व्यवस्थापन, RADIUS प्रॉक्सी आर्किटेक्चर आणि व्यापक अतिथी नेटवर्क धोरणासह एकत्रीकरण समाविष्ट आहे, हे तपासण्यासाठी आम्ही मूलभूत सैद्धांतिक मॉडेलच्या पलीकडे जातो.
तुम्ही जुने विद्यापीठ नेटवर्क अपग्रेड करत असाल किंवा शैक्षणिक अभ्यागतांना समर्थन देण्यासाठी कॉन्फरन्स सेंटर कॉन्फिगर करत असाल, 802.1X योग्यरित्या लागू केल्याने सुरक्षा जोखीम - विशेषतः क्रेडेंशियल चोरी - लक्षणीयरीत्या कमी होते आणि सपोर्टचा खर्च मोठ्या प्रमाणात कमी होतो. पारंपारिक उच्च शिक्षणाबाहेरील ठिकाणांसाठी, OpenRoaming सारख्या व्यावसायिक रोमिंग फेडरेशनचे मूल्यांकन करण्यासाठी ही मानके समजून घेणे आवश्यक आहे, जी समान मूळ आर्किटेक्चर सामायिक करतात.
तांत्रिक सखोल विश्लेषण: 802.1X आणि eduroam आर्किटेक्चर
त्याच्या मुळाशी, eduroam हे IEEE 802.1X चे एक अंमलबजावणी आहे, जे पोर्ट-आधारित नेटवर्क प्रवेश नियंत्रण मानक आहे. 802.1X मूलतः वायर्ड नेटवर्क्ससाठी डिझाइन केले गेले होते, परंतु ते WPA2-Enterprise आणि WPA3-Enterprise सुरक्षेचा पाया तयार करते.
802.1X ट्रँगल मॉडेल (The 802.1X Triangle Model)
802.1X फ्रेमवर्क प्रवेश अधिकृत करण्यासाठी तीन स्वतंत्र घटकांच्या परस्परसंवादावर अवलंबून असते:
- Supplicant: नेटवर्क प्रवेशाची विनंती करणारे क्लायंट डिव्हाइस (उदाहरणार्थ, विद्यार्थ्याचा लॅपटॉप किंवा स्मार्टफोन).
- Authenticator: नेटवर्क प्रवेश डिव्हाइस (उदाहरणार्थ, वायरलेस ॲक्सेस पॉइंट किंवा मॅनेज्ड स्विच). हे गेटकीपर म्हणून काम करते, डिव्हाइस अधिकृत होईपर्यंत प्रमाणीकरण संदेशांशिवाय इतर सर्व रहदारी (traffic) ब्लॉक करते.
- Authentication Server: क्रेडेंशियल प्रमाणित करणारी बॅक-एंड सिस्टम, जी जवळजवळ सार्वत्रिकपणे RADIUS (Remote Authentication Dial-In User Service) सर्व्हर असते.
जेव्हा एखादे डिव्हाइस कनेक्ट होते, तेव्हा authenticator एक नियंत्रित पोर्ट स्थापित करतो. तो supplicant आणि authentication server दरम्यान Extensible Authentication Protocol (EAP) संदेश प्रसारित करतो. क्रेडेंशियल्स वैध असल्यास, सर्व्हर RADIUS Access-Accept संदेश पाठवतो, आणि authenticator मानक IP रहदारीला परवानगी देण्यासाठी पोर्ट उघडतो.

eduroam ची RADIUS Proxy श्रेणीरचना
eduroam ला अद्वितीय बनवणारी गोष्ट म्हणजे त्याचे फेडरेटेड आर्किटेक्चर. हे युजर्सना कोणत्याही सहभागी संस्थेमध्ये त्यांच्या होम क्रेडेंशियलचा वापर करून ऑथेंटिकेट करण्याची परवानगी देते, ज्यामध्ये होस्ट संस्थेला त्या क्रेडेंशियलची कॉपी कधीही मिळत नाही.
हे RADIUS प्रॉक्सींच्या श्रेणीबद्ध साखळीद्वारे साध्य केले जाते. जेव्हा username@university.ac.uk मधील युजर होस्ट ठिकाणी eduroam SSID शी कनेक्ट होतो:
- युजरचे डिव्हाइस
username@university.ac.ukया स्वरूपात ऑथेंटिकेशन विनंती पाठवते. - होस्ट ठिकाणचा RADIUS सर्व्हर रीयल्म (
@चिन्हानंतरचा भाग) तपासतो. हे एक बाह्य डोमेन असल्याचे ओळखून, तो ही विनंती राष्ट्रीय उच्च-स्तरीय RADIUS सर्व्हरकडे (नॅशनल रिसर्च अँड एज्युकेशन नेटवर्क किंवा NREN द्वारे ऑपरेट केलेले) प्रॉक्सी करतो. - राष्ट्रीय सर्व्हर ही विनंती होम संस्थेच्या RADIUS सर्व्हरकडे (
university.ac.uk) पाठवतो. - होम संस्था क्रेडेंशियल वैध असल्याची खात्री करते आणि साखळीद्वारे परत
Access-AcceptकिंवाAccess-Rejectमेसेज पाठवते.
ही संपूर्ण प्रक्रिया साधारणपणे दोन सेकंदांपेक्षा कमी वेळेत पूर्ण होते. महत्त्वाचे म्हणजे, युजरचा पासवर्ड कधीही होस्ट संस्थेला किंवा मध्यवर्ती प्रॉक्सी सर्व्हरला उघड केला जात नाही; तो थेट सप्लिकंट आणि होम RADIUS सर्व्हर दरम्यान स्थापित केलेल्या कूटबद्ध केलेल्या EAP टनेलमध्ये सुरक्षित असतो.
EAP पद्धती: सुरक्षा आणि उपयोजनक्षमता यामधील तडजोड
EAP पद्धतीची निवड कूटबद्ध केलेली टनेल कशी तयार होते आणि क्रेडेंशियलची देवाणघेवाण कशी होते हे ठरवते. सुरक्षा सुनिश्चित करण्यासाठी eduroam पॉलिसी सर्व्हिस व्याख्या परवानगी असलेल्या पद्धतींना काटेकोरपणे मर्यादित करते.
- PEAP (Protected EAP): सर्वात सामान्य उपयोजन पद्धत. TLS टनेल स्थापित करण्यासाठी हे RADIUS सर्व्हरवरील सर्व्हर-साइड सर्टिफिकेट वापरते. त्यानंतर क्लायंट त्या टनेलमध्ये, सामान्यतः MSCHAPv2 (युजरनेम आणि पासवर्ड) वापरून ऑथेंटिकेट करतो. हे उपयोजित करणे तुलनेने सोपे आहे, परंतु जर क्लायंटना सर्व्हर सर्टिफिकेटचे काटेकोरपणे प्रमाणीकरण करण्यासाठी कॉन्फिगर केले नसेल तर ते रोग ॲक्सेस पॉइंट हल्ल्यांसाठी संवेदनशील असू शकते.
- EAP-TLS: सुरक्षेसाठी सुवर्ण मानक. यासाठी परस्पर ऑथेंटिकेशन आवश्यक आहे, ज्याचा अर्थ RADIUS सर्व्हर आणि क्लायंट डिव्हाइस दोन्हीने वैध सर्टिफिकेट सादर करणे आवश्यक आहे. क्रेडेंशियल फिशिंगपासून सुरक्षित असले तरी, क्लायंट सर्टिफिकेट जारी करण्यासाठी आणि व्यवस्थापित करण्यासाठी मजबूत पब्लिक की इन्फ्रास्ट्रक्चर (PKI) आवश्यक आहे, ज्यामुळे मोठ्या प्रमाणावर उपयोजन अधिक क्लिष्ट होते.
अंमलबजावणी मार्गदर्शक
802.1X आणि eduroam उपयोजित करण्यासाठी नेटवर्क इन्फ्रास्ट्रक्चर, ओळख व्यवस्थापन आणि क्लायंट कॉन्फिगरेशन दरम्यान काळजीपूर्वक समन्वयाची आवश्यकता असते.
1. इन्फ्रास्ट्रक्चरची तयारी
तुमचे वायरलेस ॲक्सेस पॉइंट्स आणि कंट्रोलर्स WPA2-Enterprise/WPA3-Enterprise आणि 802.1X ला सपोर्ट करत असल्याची खात्री करा. कोणतेही आधुनिक एंटरप्राइझ-ग्रेड हार्डवेअर (Cisco, Aruba, Juniper आणि इतर) ही आवश्यकता पूर्ण करेल. तुम्ही अपेक्षित ऑथेंटिकेशन लोड हाताळण्यास आणि प्रॉक्सी विनंत्या करण्यास सक्षम असलेली एक मजबूत RADIUS इन्फ्रास्ट्रक्चर (जसे की FreeRADIUS, Cisco ISE, किंवा Aruba ClearPass) देखील तैनात करणे आवश्यक आहे.
२. प्रमाणपत्र व्यवस्थापन
PEAP तैनात करण्यासाठी, तुमच्या RADIUS सर्व्हरला तुमच्या क्लायंटद्वारे विश्वासू असलेल्या प्रमाणपत्र प्राधिकरणाने (CA) जारी केलेले TLS प्रमाणपत्र आवश्यक आहे. प्रोडक्शन eduroam उपयोजनामध्ये स्व-स्वाक्षरी केलेली (self-signed) प्रमाणपत्रे कधीही वापरू नका. ऑथेंटिकेशन आउटेज टाळण्यासाठी प्रमाणपत्रांचे नियमितपणे नूतनीकरण केले जाणे आवश्यक आहे.
३. क्लायंट कॉन्फिगरेशन (CAT टूल)
eduroam उपयोजनांमधील अयशस्वी होण्याचा सर्वात सामान्य मुद्दा म्हणजे क्लायंटचे चुकीचे कॉन्फिगरेशन. जेव्हा वापरकर्ते मॅन्युअली कनेक्ट होतात, तेव्हा ते सहसा प्रमाणपत्र प्रमाणीकरण कॉन्फिगर करण्यात अयशस्वी ठरतात, ज्यामुळे त्यांना क्रेडेंशियल-हार्वेस्टिंग हल्ल्यांचा धोका निर्माण होतो.
हा धोका कमी करण्यासाठी, संस्थांनी पूर्व-कॉन्फिगर केलेले प्रोफाइल वितरीत करण्यासाठी eduroam Configuration Assistant Tool (CAT) किंवा MDM सोल्यूशन वापरले पाहिजे. हे प्रोफाइल स्वयंचलितपणे योग्य EAP पद्धत कॉन्फिगर करतात, अपेक्षित RADIUS सर्व्हर प्रमाणपत्र पिन करतात आणि योग्य अंतर्गत ऑथेंटिकेशन प्रोटोकॉल सेट करतात.
४. VLAN असाइनमेंट आणि विभागणी
एक प्रगत उपयोजन वापरकर्त्याच्या ओळखीवर आधारित VLANs डायनॅमिकली नियुक्त करण्यासाठी RADIUS ॲट्रिब्युट्सचा वापर करते.
- अंतर्गत वापरकर्ते: कॅम्पस रिसोर्सेसमध्ये योग्य प्रवेशासह अंतर्गत VLANs नियुक्त केले जातात.
- भेट देणारे वापरकर्ते: केवळ इंटरनेट प्रवेश देणाऱ्या मर्यादित अतिथी VLAN मध्ये नियुक्त केले जातात.
सुरक्षा आणि अनुपालनासाठी (compliance) ही विभागणी अत्यंत महत्त्वाची आहे, ज्यामुळे भेट देणारे डिव्हाइसेस संवेदनशील अंतर्गत नेटवर्कपर्यंत पोहोचू शकत नाहीत याची खात्री होते.

सर्वोत्तम पद्धती आणि व्हेंडर-तटस्थ शिफारसी
- WPA3 ला प्राधान्य द्या: नवीन उपयोजनांसाठी, अनिवार्य १९२-बिट एन्क्रिप्शन आणि ऑफलाइन डिक्शनरी हल्ल्यांपासून अधिक चांगले संरक्षण मिळवण्यासाठी WPA3-Enterprise सक्षम करा.
- प्रमाणपत्र प्रमाणीकरण लागू करा: क्रेडेंशियल ट्रान्समिट करण्यापूर्वी सप्लिकंटने RADIUS सर्व्हर प्रमाणपत्राचे काटेकोरपणे प्रमाणीकरण केले आहे याची खात्री करण्यासाठी कॉन्फिगरेशन प्रोफाइलचा वापर (CAT किंवा MDM द्वारे) करणे आवश्यक करा.
- RadSec वापरा: नॅशनल फेडरेशनमध्ये RADIUS प्रॉक्सी कनेक्शन्स कॉन्फिगर करताना, साध्या UDP ऐवजी RadSec (RADIUS over TLS) चा वापर करा. हे प्रॉक्सी ट्रॅफिक एन्क्रिप्ट करते आणि वाईड-एरिया लिंक्सवर विश्वसनीयता सुधारते.
- अतिथी सोल्यूशनसह समाकलित करा: eduroam केवळ शैक्षणिक क्रेडेंशियल असलेल्या वापरकर्त्यांना सेवा देते. कंत्राटदार, सामान्य जनता आणि कार्यक्रमातील उपस्थितांसाठी तुम्ही स्वतंत्र, सुरक्षित Guest WiFi सोल्यूशन राखणे आवश्यक आहे.
- संबंधित इन्फ्रास्ट्रक्चरचे पुनरावलोकन करा: तुमचे मूळ नेटवर्क सुरक्षित असल्याची खात्री करा. अधिक तपशीलांसाठी आमचे मार्गदर्शक Securing your network with robust DNS and security वाचा. विद्यापीठाच्या कार्यक्रमांसाठी तात्पुरते इन्फ्रास्ट्रक्चर तैनात करत असल्यास, Event WiFi: Planning and Deploying Temporary Wireless Networks किंवा पोर्तुगीज भाषेतील आवृत्ती Event WiFi: Planeamento e Implementação de Redes Sem Fios Temporárias पहा.
ट्रबलशूटिंग आणि जोखीम निवारण
जेव्हा ऑथेंटिकेशन अयशस्वी होते, तेव्हा पद्धतशीर ट्रबलशूटिंग आवश्यक असते.
- समस्या क्षेत्र वेगळे करा (Isolate the failure domain): बिघाड स्थानिक आहे (तुमच्या स्वतःच्या नेटवर्कवरील युजर्सवर परिणाम करणारा), रिमोट आहे (इतरत्र असलेल्या तुमच्या युजर्सवर परिणाम करणारा), की इनबाउंड आहे (तुमच्या नेटवर्कवरील अभ्यागतांवर परिणाम करणारा) हे ठरवा.
- RADIUS लॉग तपासा: RADIUS सर्व्हर लॉग हे सत्यतेचे अधिकृत स्त्रोत आहेत.
Access-Rejectसंदेश (चुकीचे क्रेडेंशियल्स किंवा पॉलिसी उल्लंघना दर्शवणारे) किंवा टाइमआउट्स (प्रॉक्सी कनेक्टिव्हिटी समस्या दर्शवणारे) शोधा. - सर्टिफिकेटची वैधता सत्यापित करा: RADIUS सर्व्हर सर्टिफिकेट कालबाह्य झाले नसल्याची आणि संपूर्ण सर्टिफिकेट चेन क्लायंटना सादर केली जात असल्याची खात्री करा.
- अपस्ट्रीम लेटन्सीचे निरीक्षण करा: राष्ट्रीय RADIUS प्रॉक्सीसाठी उच्च लेटन्सीमुळे क्लायंट टाइमआउट होऊ शकतात, ज्यामुळे क्रेडेंशियल्स बरोबर असूनही कनेक्शन्स अयशस्वी होतात.
ROI आणि व्यावसायिक प्रभाव
उच्च शिक्षण संस्थांसाठी, योग्यरित्या तैनात केलेल्या eduroam अंमलबजावणीचा परतावा (ROI) सपोर्ट तिकिटांमध्ये झालेल्या लक्षणीय घटीमध्ये दिसून येतो. Captive Portal आणि मॅन्युअल पासवर्ड एन्ट्री काढून टाकल्यामुळे, आयटी हेल्पडेस्कला कनेक्टिव्हिटी संबंधित कॉल्समध्ये मोठी घट दिसते. (या क्षेत्राप्रती Purple ची वचनबद्धता स्पष्ट आहे; Purple appoints Tim Peers as VP of Education, underlining its higher education ambitions पहा).
व्यावसायिक ठिकाणांसाठी - जसे की हॉस्पिटॅलिटी , रिटेल , हेल्थकेअर , किंवा ट्रान्सपोर्ट - eduroam व्हिजिटर ॲक्सेस (eVA) किंवा OpenRoaming सारख्या तत्सम फेडरेशनला सपोर्ट करणे उच्च-मूल्य असलेल्या ग्राहकांना अखंड अनुभव प्रदान करते. हे शैक्षणिक अभ्यागत स्वयंचलितपणे आणि सुरक्षितपणे कनेक्ट होतील याची खात्री करते, ज्यामुळे समाधानात सुधारणा होते आणि त्याच वेळी ठिकाणाला नेटवर्कचे कडक वर्गीकरण राखण्याची परवानगी मिळते. या मागणीला सपोर्ट करण्यासाठी तुमच्या ठिकाणाला डेडिकेटेड बँडविड्थची आवश्यकता असल्यास, What is a leased line? Internet built for business वाचण्याचा विचार करा.
नेटवर्क अपग्रेडचे नियोजन करताना, 802.1X क्षमता समाविष्ट केल्याने तुमचे इन्फ्रास्ट्रक्चर आधुनिक ओळख-चालित नेटवर्किंगसाठी तयार आहे याची खात्री होते, ज्यामुळे प्रगत WiFi Analytics आणि लोकेशन-आधारित सेवांसाठी पाया रचला जातो.
महत्वाच्या व्याख्या
802.1X
पोर्ट-आधारित नेटवर्क ॲक्सेस कंट्रोल (PNAC) साठी एक IEEE मानक. हे LAN किंवा WLAN ला जोडू इच्छिणाऱ्या उपकरणांना प्रमाणीकरण यंत्रणा प्रदान करते.
एंटरप्राइझ-ग्रेड WiFi सुरक्षेसाठी पायाभूत प्रोटोकॉल, जो सामायिक पासवर्ड (PSKs) च्या ऐवजी वैयक्तिकृत प्रमाणीकरणाचा वापर करतो.
RADIUS (Remote Authentication Dial-In User Service)
एक नेटवर्किंग प्रोटोकॉल जो नेटवर्क सेवा वापरणाऱ्या आणि जोडणाऱ्या वापरकर्त्यांसाठी केंद्रीकृत प्रमाणीकरण, अधिकृतीकरण आणि अकाऊंटिंग (AAA) व्यवस्थापन प्रदान करतो.
802.1X उपयोजनामधील बॅकएंड सर्व्हर जो वापरकर्त्याच्या क्रेडेंशियलची डिरेक्टरी (जसे की Active Directory) शी तुलना करून पडताळणी करतो.
EAP (Extensible Authentication Protocol)
प्रामुख्याने वायरलेस नेटवर्क आणि पॉइंट-टू-पॉइंट कनेक्शन्समध्ये वापरली जाणारी एक प्रमाणीकरण फ्रेमवर्क. हे विविध प्रमाणीकरण यंत्रणेचे वहन आणि वापर करण्यास मदत करते.
802.1X हँडशेक दरम्यान क्लायंट डिव्हाइस आणि RADIUS सर्व्हर यांच्यात संवाद साधण्यासाठी वापरली जाणारी भाषा.
Supplicant
क्लायंट डिव्हाइस (उदा. लॅपटॉप, स्मार्टफोन) किंवा त्या डिव्हाइसवरील सॉफ्टवेअर जे 802.1X वापरून नेटवर्कवर प्रमाणीकरण करण्याचा प्रयत्न करत आहे.
प्रवेशाची विनंती करणारी संस्था. याचे कॉन्फिगरेशन (विशेषतः प्रमाणपत्र पडताळणीच्या संदर्भात) सुरक्षेसाठी अत्यंत आवश्यक आहे.
Authenticator
नेटवर्क डिव्हाइस (उदा. वायरलेस ॲक्सेस पॉइंट, इथरनेट स्विच) जे Supplicant आणि प्रमाणीकरण सर्व्हर दरम्यान संदेश पाठवून 802.1X प्रमाणीकरण प्रक्रियेस सुलभ करते.
तो गेटकीपर जोपर्यंत RADIUS सर्व्हर हिरवा कंदील दाखवत नाही तोपर्यंत नेटवर्क ट्रॅफिक रोखून ठेवतो.
PEAP (Protected Extensible Authentication Protocol)
एक EAP पद्धत जी सर्व्हर-साइड प्रमाणपत्राचा वापर करून स्थापित केलेल्या TLS टनेलमध्ये EAP व्यवहार एन्कॅप्स्युलेट करते, ज्यामुळे अंतर्गत प्रमाणीकरण (सहसा पासवर्ड) सुरक्षित राहते.
eduroam साठी सर्वात सामान्य प्रमाणीकरण पद्धत, जी सुरक्षेसह सुलभ उपयोजनाचा समतोल राखते.
RadSec
पारंपारिक UDP ऐवजी TCP आणि TLS वर RADIUS डेटा प्रसारित करण्यासाठीचा एक प्रोटोकॉल.
संस्था आणि राष्ट्रीय eduroam फेडरेशन यांच्यातील प्रॉक्सी कनेक्शन्स सुरक्षित करण्यासाठी आणि प्रमाणीकरण ट्रॅफिकमधील व्यत्यय रोखण्यासाठी शिफारस केलेले.
Realm
वापरकर्त्याच्या ओळखीचा '@' चिन्हाच्या नंतरचा भाग (उदा. 'user@university.ac.uk' मधील 'university.ac.uk').
eduroam सारख्या फेडरेटेड वातावरणात प्रमाणीकरण विनंती कुठे पाठवायची हे निश्चित करण्यासाठी RADIUS प्रॉक्सी सर्व्हर्सद्वारे वापरले जाते.
सोडवलेली उदाहरणे
एका मोठ्या विद्यापीठाला लागून असलेल्या 400 खोल्यांच्या कॉन्फरन्स हॉटेलमध्ये वारंवार शैक्षणिक परिसंवाद आयोजित केले जातात. IT डायरेक्टरला येणाऱ्या पाहुण्यांना हॉटेलचे मानक Captive Portal न वापरता स्वयंचलितपणे कनेक्ट करण्याची परवानगी द्यायची आहे, परंतु हे अभ्यागत हॉटेलच्या कॉर्पोरेट नेटवर्क किंवा मानक अतिथी नेटवर्क VLAN मध्ये प्रवेश करू शकणार नाहीत याची खात्री करणे आवश्यक आहे.
हॉटेलने eduroam Visitor Access (eVA) लागू केले पाहिजे किंवा OpenRoaming सारख्या व्यावसायिक फेडरेशनमध्ये सामील झाले पाहिजे.
- हॉटेल त्यांच्या एंटरप्राइझ ॲक्सेस पॉइंट्सवर नवीन SSID ('eduroam' किंवा 'OpenRoaming') कॉन्फिगर करते.
- APs हे WPA2-Enterprise/802.1X वापरण्यासाठी कॉन्फिगर केले जातात.
- हॉटेल स्थानिक RADIUS सर्व्हर तैनात करते जो बाह्य क्षेत्रांसाठी प्रमाणीकरण विनंत्या राष्ट्रीय फेडरेशन (eduroam साठी) किंवा OpenRoaming हबकडे प्रॉक्सी करण्यासाठी कॉन्फिगर केलेला असतो.
- महत्त्वाचे म्हणजे, स्थानिक RADIUS सर्व्हर सर्व प्रॉक्सी केलेल्या प्रमाणीकरणांसाठी
Access-Acceptसंदेशात विशिष्ट VLAN ID गुणधर्म परत करण्यासाठी कॉन्फिगर केलेला असतो. - ॲक्सेस पॉइंट्स या प्रमाणित वापरकर्त्यांना एका वेगळ्या, केवळ-इंटरनेट VLAN वर ठेवतात, जे हॉटेलच्या कॉर्पोरेट आणि मानक अतिथी ट्रॅफिकपासून पूर्णपणे वेगळे असते.
एका विद्यापीठाच्या IT टीमला विद्यार्थ्यांच्या तडजोड केलेल्या (compromised) खात्यांमध्ये अचानक वाढ झाल्याचे दिसून आले. तपासणीत असे समोर आले आहे की विद्यार्थी स्थानिक कॉफी शॉपमध्ये 'eduroam' SSID ब्रॉडकास्ट करणाऱ्या एका फसव्या ॲक्सेस पॉइंटशी कनेक्ट होत आहेत. तो फसव्या AP PEAP द्वारे क्रेडेन्शियल्स गोळा करण्यासाठी सेल्फ-साइन केलेले प्रमाणपत्र वापरत आहे.
IT टीमने ताबडतोब सर्व क्लायंट उपकरणांवर कठोर प्रमाणपत्र प्रमाणीकरण लागू केले पाहिजे.
- त्यांनी विद्यार्थ्यांना मॅन्युअली SSID शी कनेक्ट करण्याचा आणि 'प्रमाणपत्र चेतावणी स्वीकारण्याचा' सल्ला देणे बंद केले पाहिजे.
- ते BYOD उपकरणांसाठी eduroam Configuration Assistant Tool (CAT) तैनात करतात आणि व्यवस्थापित उपकरणांसाठी MDM प्रोफाइल अपडेट करतात.
- हे प्रोफाइल सप्लिकंटला केवळ त्या विशिष्ट सर्टिफिकेट ऑथोरिटी (CA) वर विश्वास ठेवण्यासाठी कॉन्फिगर करतात ज्याने विद्यापीठाचे RADIUS सर्व्हर प्रमाणपत्र जारी केले आहे आणि सर्व्हरचे Common Name (CN) सत्यापित करण्यासाठी कॉन्फिगर करतात.
- एकदा कॉन्फिगर केल्यावर, जर विद्यार्थ्याचे उपकरण फसव्या AP च्या संपर्कात आले, तर EAP टनेलची स्थापना अयशस्वी होईल कारण फसवे प्रमाणपत्र पिन केलेल्या CA/CN शी जुळत नाही, ज्यामुळे क्रेडेन्शियल्स ट्रान्समिट होण्यास प्रतिबंध होतो.
एका रिटेल चेनला त्यांच्या सध्याच्या अतिथी WiFi इन्फ्रास्ट्रक्चरचा वापर करून 50 ठिकाणांवर OpenRoaming ऑफर करायचे आहे, जे सध्या Captive Portal सह ओपन SSID वर अवलंबून आहे.
रिटेल चेनने त्यांचे नेटवर्क 802.1X आणि RADIUS प्रॉक्सीमला सपोर्ट करण्यासाठी अपग्रेड केले पाहिजे.
- नेटवर्क टीम OpenRoaming Consortium OI (ऑर्गनायझेशन आयडेंटिफायर) ब्रॉडकास्ट करणारा नवीन SSID सक्षम करते.
- ते 802.1X द्वारे प्रमाणित करण्यासाठी ॲक्सेस पॉइंट्स कॉन्फिगर करतात.
- ते त्यांच्या केंद्रीय RADIUS सर्व्हरला OpenRoaming फेडरेशन हबकडे विनंत्या प्रॉक्सी करण्यासाठी कॉन्फिगर करतात.
- ते खात्री करतात की त्यांचे इंटरनेट बॅकहॉल स्वयंचलित कनेक्शनमधील अपेक्षित वाढीस समर्थन देऊ शकते, आवश्यक असल्यास समर्पित लीज्ड लाइन्सवर अपग्रेड करू शकतात.
सराव प्रश्न
Q1. तुमचे विद्यापीठ एक नवीन वायरलेस नेटवर्क तैनात करत आहे. CISO चा असा आदेश आहे की रोग ॲक्सेस पॉइंट्सद्वारे क्रेडेंशियल फिशिंग करणे गणितीयदृष्ट्या अशक्य असावे. तुम्ही कोणती EAP पद्धत निवडली पाहिजे?
टीप: कोणती पद्धत पासवर्डवर अवलंबून असते विरुद्ध कोणती पद्धत पूर्णपणे क्रिप्टोग्राफिक की वर अवलंबून असते याचा विचार करा.
नमुना उत्तर पहा
तुम्ही EAP-TLS निवडले पाहिजे. PEAP च्या विरुद्ध, जे TLS टनेलमधील पासवर्डवर अवलंबून असते, EAP-TLS ला परस्पर प्रमाणपत्र प्रमाणीकरण आवश्यक असते. क्लायंट डिव्हाइस पासवर्डऐवजी क्रिप्टोग्राफिक प्रमाणपत्राचा वापर करून प्रमाणीकरण करत असल्याने, रोग ॲक्सेस पॉइंटसाठी फिश करण्यासाठी कोणतेही क्रेडेंशियल उपलब्ध नसतात.
Q2. दुसऱ्या विद्यापीठातील एक भेट देणारे संशोधक तक्रार करतात की ते तुमच्या eduroam नेटवर्कशी कनेक्ट होऊ शकत नाहीत. तुमचे स्थानिक वापरकर्ते यशस्वीरित्या कनेक्ट होत आहेत. तुम्ही तुमचे स्थानिक RADIUS सर्व्हर लॉग तपासता आणि विनंती आल्याचे पाहता, परंतु Access-Accept प्राप्त होण्यापूर्वीच त्याची वेळ संपते (टाइम आऊट होतो). याचे सर्वात संभाव्य कारण काय आहे?
टीप: भेट देणाऱ्या वापरकर्त्यासाठी विरुद्ध स्थानिक वापरकर्त्यासाठी प्रमाणीकरण विनंती ज्या मार्गाने जाते त्याचा विचार करा.
नमुना उत्तर पहा
याचे सर्वात संभाव्य कारण म्हणजे तुमचा स्थानिक RADIUS सर्व्हर आणि राष्ट्रीय NREN RADIUS प्रॉक्सी यांच्यातील कनेक्टिव्हिटी किंवा लेटन्सी समस्या आहे. स्थानिक वापरकर्ते थेट तुमच्या सर्व्हरवर प्रमाणीकृत होत असल्याने त्यांच्यावर परिणाम होत नाही. भेट देणाऱ्या वापरकर्त्याची विनंती अपस्ट्रीमवर प्रॉक्सी केली जाणे आवश्यक आहे, आणि टाइम आऊट हे दर्शवते की मूळ संस्थेकडून मिळणारा प्रतिसाद वेळेत परत येत नाही.
Q3. तुम्ही एका मोठ्या विद्यापीठाजवळ असलेल्या रिटेल चेनचे नेटवर्क आर्किटेक्ट आहात. तुम्हाला eduroam Visitor Access (eVA) वापरून विद्यार्थ्यांना अखंड WiFi देऊ करायचे आहे, परंतु तुमच्या पॉइंट-ऑफ-सेल टर्मिनल्ससाठी तुम्हाला PCI DSS चे पालन करणे अनिवार्य आहे. तुम्ही eVA सुरक्षितपणे कसे समाकलित कराल?
टीप: 802.1X नेटवर्क ॲक्सेस पॉइंटला प्रमाणीकरणानंतर ट्रॅफिकचे वर्गीकरण करण्यास कशी परवानगी देते?
नमुना उत्तर पहा
तुम्ही RADIUS सर्व्हरला सर्व यशस्वी eVA ऑथेंटिकेशन्स एका समर्पित, केवळ-इंटरनेट असलेल्या गेस्ट VLAN ला नियुक्त करण्यासाठी कॉन्फिगर करून eVA समाकलित (integrate) करता. RADIUS सर्व्हर कडून येणाऱ्या Access-Accept मेसेजमध्ये विशिष्ट VLAN ID समाविष्ट असणे आवश्यक आहे. हे विद्यार्थ्यांच्या डिव्हाइसेसना पॉइंट-ऑफ-सेल टर्मिनल्सद्वारे वापरल्या जाणाऱ्या PCI-compliant VLAN पासून पूर्णपणे वेगळे ठेवण्याची खात्री देते, ज्यामुळे अनुपालन (compliance) आवश्यकता पूर्ण होतात.
या मालिकेमध्ये पुढे वाचा
उच्च शिक्षणामध्ये सुरक्षित BYOD आणि नेटवर्क नोंदणीसाठी SCEP कसे लागू करावे
हे तांत्रिक मार्गदर्शक नेटवर्क आर्किटेक्ट्स आणि IT व्यवस्थापकांना उच्च शिक्षण संस्थांच्या कॅम्पस नेटवर्क सुरक्षित करण्यासाठी SCEP - आधारित प्रमाणपत्र नोंदणी तैनात करण्यासाठी विक्रेता - तटस्थ ब्लूप्रिंट प्रदान करते. हे पासवर्ड - आधारित PEAP वरून 802.1X EAP-TLS वर कसे स्थलांतरित करायचे, BYOD ऑनबोर्डिंग स्वयंचलित कसे करायचे आणि मजबूत VLAN विभाजन कसे लागू करायचे याचे तपशील देते.
Server RADIUS: व्यवसायांसाठी एक सर्वसमावेशक मार्गदर्शिका
ही मार्गदर्शिका IT व्यवस्थापक, नेटवर्क आर्किटेक्ट आणि CTOs ना एंटरप्राइझ WiFi साठी server RADIUS ऑथेंटिकेशनवर एक निश्चित तांत्रिक संदर्भ प्रदान करते. यामध्ये AAA फ्रेमवर्क, 802.1X आर्किटेक्चर, EAP पद्धत निवड, क्लाउड विरुद्ध ऑन-प्रिमाइसेस डिप्लॉयमेंटचे फायदे-तोटे आणि डायनॅमिक VLAN असाइनमेंट समाविष्ट आहे. आदरातिथ्य (hospitality), रिटेल, इव्हेंट्स आणि सार्वजनिक क्षेत्रातील वेन्यू ऑपरेटर्सना असुरक्षित प्री-शेअर्ड की वरून सुरक्षित, ओळख-आधारित (identity-driven) नेटवर्क ऍक्सेस कंट्रोल आर्किटेक्चरमध्ये स्थलांतरित होण्यासाठी आवश्यक असणारे अंमलबजावणी मार्गदर्शन, वास्तविक जगातील केस स्टडीज आणि निर्णय घेण्याची फ्रेमवर्क मिळतील.
Aruba ClearPass विरुद्ध Purple WiFi: वैशिष्ट्यांची तुलना आणि सह-तैनाती
Aruba ClearPass आणि Purple WiFi च्या सह-तैनाती आर्किटेक्चरचे तपशील देणारे एक व्यापक तांत्रिक मार्गदर्शक. यामध्ये RADIUS प्रॉक्सी कॉन्फिगरेशन, डायनॅमिक VLAN असाइनमेंट आणि एंटरप्राइझ NAC सोबत सुरक्षित, विश्लेषण-चालित अतिथी नेटवर्क प्रदान करण्यासाठी सर्वोत्तम पद्धतींचा समावेश आहे.