मुख्य मजकुराकडे जा
मराठी

नेटवर्क ॲक्सेस कंट्रोलसाठी डिव्हाइस पोश्चर असेसमेंट

हे तांत्रिक मार्गदर्शक नेटवर्क ॲक्सेस कंट्रोल (NAC) साठी डिव्हाइस पोश्चर असेसमेंट कसे कार्य करते हे स्पष्ट करते, ज्यामध्ये एंटरप्राइझ आणि व्हेन्यू वातावरणात झिरो ट्रस्ट WiFi लागू करण्यासाठी आवश्यक असलेले आर्किटेक्चर, MDM इंटिग्रेशन आणि रेमेडिएशन फ्लोज तपशीलवार दिले आहेत.

📖 8 मिनिट वाचन📝 1,920 शब्द🔧 2 सोडवलेली उदाहरणे3 सराव प्रश्न📚 8 महत्वाच्या व्याख्या

हे मार्गदर्शक ऐका

पॉडकास्ट ट्रान्सक्रिप्ट पहा
नेटवर्क ॲक्सेस कंट्रोलसाठी डिव्हाइस पोश्चर असेसमेंट. एक Purple टेक्निकल ब्रीफिंग. स्वागत आहे. मी आजच्या ब्रीफिंगसाठी तुमचा होस्ट आहे, आणि जर तुम्ही हे ऐकत असाल, तर तुम्ही कदाचित एक आयटी सिक्युरिटी आर्किटेक्ट, नेटवर्क इंजिनिअर किंवा CTO आहात ज्यांना तुमच्या संस्थेमध्ये नेटवर्क ॲक्सेस कंट्रोल अधिक कडक करण्यास सांगितले गेले आहे. तुम्ही एखादे हॉटेल इस्टेट, रिटेल चेन, कॉन्फरन्स सेंटर किंवा सार्वजनिक क्षेत्रातील सुविधा चालवत असाल — आणि तुम्ही अशा टप्प्यावर पोहोचला आहात जिथे तुमच्या नेटवर्कशी कोण कनेक्ट होत आहे हे केवळ तपासणे आता पुरेसे राहिलेले नाही. काय कनेक्ट होत आहे आणि ते डिव्हाइस विश्वास ठेवण्यायोग्य स्थितीत आहे की नाही हे तुम्हाला माहित असणे आवश्यक आहे. आज आपण नेमके हेच कव्हर करत आहोत. नेटवर्क ॲक्सेस कंट्रोलसाठी डिव्हाइस पोश्चर असेसमेंट — ते काय आहे, ते तांत्रिक स्तरावर कसे कार्य करते, तुम्ही ते तुमच्या विद्यमान RADIUS इन्फ्रास्ट्रक्चर आणि MDM प्लॅटफॉर्म्ससह कसे इंटिग्रेट करता आणि सर्वात महत्त्वाचे म्हणजे, चेकमध्ये फेल होणाऱ्या डिव्हाइसेसचे तुम्ही काय करता. चला तर मग सुरुवात करूया. विभाग एक. संदर्भ आणि पोश्चर असेसमेंट आता का महत्त्वाचे आहे. गेल्या दशकात, बहुतांश एंटरप्राइझ WiFi डिप्लॉयमेंट्स आयडेंटिटी-आधारित ॲक्सेस कंट्रोलवर अवलंबून आहेत. तुम्ही वापरकर्त्याला ऑथेंटिकेट करता — 802.1X, Captive Portal किंवा प्री-शेअर्ड की द्वारे — आणि जर क्रेडेन्शियल्स योग्य असतील, तर तुम्ही ॲक्सेस देता. समस्या अशी आहे की केवळ ओळख पडताळणी तुम्हाला डिव्हाइसच्या सुरक्षा स्थितीबद्दल काहीही सांगत नाही. तुमच्या कॉर्पोरेट VLAN शी कनेक्ट केलेल्या, अँटीव्हायरस नसलेल्या आणि तीन वर्षे जुन्या अनपॅच केलेल्या ऑपरेटिंग सिस्टीमवर चालणाऱ्या लॅपटॉपवर वैध युजरनेम आणि पासवर्ड टाकला जाऊ शकतो. ते डिव्हाइस तुमच्या नेटवर्कला स्पर्श करताच एक धोका बनते. झिरो ट्रस्ट आर्किटेक्चरकडे झालेल्या वाटचालीने येथील समीकरण मूलभूतपणे बदलले आहे. झिरो ट्रस्ट 'कधीही विश्वास ठेवू नका, नेहमी पडताळणी करा' या तत्त्वावर कार्य करते — आणि ती पडताळणी ओळखीच्या पलीकडे जाऊन डिव्हाइसच्या आरोग्यापर्यंत विस्तारली पाहिजे. येथेच डिव्हाइस पोश्चर असेसमेंट चित्रात येते. पोश्चर असेसमेंट ऑथेंटिकेशनच्या वेळी एंडपॉइंटची तपासणी करते, परिभाषित आरोग्य निकषांचा संच तपासते आणि तो परिणाम ॲक्सेस कंट्रोलच्या निर्णयात फीड करते. याचा परिणाम म्हणजे पोश्चर-आधारित नेटवर्क ॲक्सेस — एक असे मॉडेल जिथे तुम्ही नेटवर्कवर काय करू शकता हे केवळ तुम्ही कोण आहात यावरच नाही, तर तुम्ही वापरत असलेल्या डिव्हाइसच्या सुरक्षा स्थितीवर देखील ठरवले जाते. कंप्लायन्सच्या दृष्टिकोनातून, हे खूप महत्त्वाचे आहे. PCI DSS आवृत्ती चार पॉईंट झिरो स्पष्टपणे आवश्यक करते की संस्थांनी कार्डहोल्डर डेटा वातावरणात कोणती डिव्हाइसेस प्रवेश करू शकतात हे नियंत्रित केले पाहिजे. GDPR चे उत्तरदायित्व तत्त्व (accountability principle) अशी मागणी करते की संस्थांनी वैयक्तिक डेटा संरक्षित करण्यासाठी योग्य तांत्रिक उपाययोजना लागू कराव्यात — आणि वैयक्तिक डेटा वाहून नेणाऱ्या नेटवर्क्सवर अनपॅच केलेल्या, अनमॅनेज्ड डिव्हाइसेसना परवानगी देणे ऑडिटमध्ये डिफेंड करणे कठीण होत चालले आहे. हेल्थकेअर वातावरणासाठी, NHS सायबर एसेन्शियल्स आवश्यकता आणि यूएस संदर्भात, HIPAA अंतर्गत हेच तर्कशास्त्र लागू होते. विभाग दोन. तांत्रिक सखोल माहिती — पोश्चर असेसमेंट प्रत्यक्षात कसे कार्य करते. मी तुम्हाला याची कार्यपद्धती समजावून सांगतो. मुळात, डिव्हाइस पोश्चर असेसमेंट ही एक प्रक्रिया आहे जी ऑथेंटिकेशन हँडशेक दरम्यान किंवा लगेचच चालते, पूर्ण नेटवर्क ॲक्सेस देण्यापूर्वी. तुम्हाला तीन प्राथमिक आर्किटेक्चरल मॉडेल्स पाहायला मिळतील. पहिले आहे एजंट-आधारित पोश्चर असेसमेंट. एक हलका सॉफ्टवेअर एजंट — जो एंडपॉइंटवर इन्स्टॉल केलेला असतो, अनेकदा तुमच्या MDM किंवा एंडपॉइंट डिटेक्शन आणि रिस्पॉन्स प्लॅटफॉर्मचा भाग म्हणून — हेल्थ टेलिमेट्री गोळा करतो आणि ती NAC पॉलिसी इंजिनला सादर करतो. हा सर्वात व्यापक दृष्टिकोन आहे. एजंट OS आवृत्ती, क्युम्युलेटिव्ह पॅच लेव्हल, अँटीव्हायरस सिग्नेचरची अद्ययावत स्थिती, फायरवॉल स्थिती, डिस्क एन्क्रिप्शन स्थिती, विशिष्ट प्रतिबंधित ॲप्लिकेशन्स चालू आहेत की नाही आणि डिव्हाइस तुमच्या MDM मध्ये नोंदणीकृत आहे की नाही हे तपासू शकतो. एजंट हा डेटा RADIUS सर्व्हरला किंवा समर्पित पॉलिसी इंजिनला RADIUS CoA — चेंज ऑफ ऑथरायझेशन — सारख्या प्रोटोकॉलद्वारे किंवा व्हेंडर-विशिष्ट API इंटिग्रेशनद्वारे कम्युनिकेट करतो. दुसरे मॉडेल एजंटलेस पोश्चर असेसमेंट आहे. येथे, NAC सिस्टीम स्थानिक एजंटशिवाय डिव्हाइसच्या आरोग्याचा अंदाज घेण्याचा प्रयत्न करते, सामान्यतः तुमच्या MDM प्लॅटफॉर्मला थेट क्वेरी करून. जेव्हा एखादे डिव्हाइस कनेक्ट होते आणि ऑथेंटिकेट होते, तेव्हा पॉलिसी इंजिन API द्वारे Microsoft Intune, Jamf किंवा VMware Workspace ONE ला कॉल करते, डिव्हाइसचा कंप्लायन्स रेकॉर्ड मिळवते आणि तो पोश्चर सिग्नल म्हणून वापरते. हे MDM मध्ये आधीच नोंदणीकृत असलेल्या व्यवस्थापित कॉर्पोरेट डिव्हाइसेससाठी चांगले काम करते. याची मर्यादा स्पष्ट आहे — अनमॅनेज्ड किंवा BYOD डिव्हाइसेसकडे MDM रेकॉर्ड नसेल, त्यामुळे तुम्हाला त्यांच्यासाठी फॉलबॅक पॉलिसीची आवश्यकता असेल. तिसरे मॉडेल नेटवर्क-आधारित असेसमेंट आहे. NAC सिस्टीम SNMP क्वेरीज, नेटवर्कवर WMI कॉल्स किंवा ट्रॅफिक पॅटर्नचे पॅसिव्ह फिंगरप्रिंटिंग यांसारख्या तंत्रांचा वापर करून कनेक्ट होणाऱ्या डिव्हाइसला स्कॅन करते. ही सर्वात कमी विश्वासार्ह पद्धत आहे आणि सामान्यतः केवळ पूरक चेक म्हणून किंवा लेगसी वातावरणासाठी वापरली जाते जिथे एजंट डिप्लॉयमेंट शक्य नसते. आता, विशेषतः RADIUS आणि 802.1X सह इंटिग्रेशनबद्दल बोलूया, कारण येथेच आर्किटेक्चर मनोरंजक बनते. मानक 802.1X डिप्लॉयमेंटमध्ये, सप्लिकंट — म्हणजे डिव्हाइस — ऑथेंटिकेटरला क्रेडेन्शियल्स सादर करते, जे तुमचा वायरलेस ॲक्सेस पॉइंट किंवा स्विच असते, जे ऑथेंटिकेशन रिक्वेस्ट RADIUS सर्व्हरकडे फॉरवर्ड करते. RADIUS सर्व्हर क्रेडेन्शियल्स प्रमाणित करतो आणि ॲक्सेस-अक्सेप्ट किंवा ॲक्सेस-रिजेक्ट परत करतो. पोश्चर-अवेअर डिप्लॉयमेंटमध्ये, तुम्ही हा फ्लो वाढवता. प्रारंभिक ऑथेंटिकेशन यशस्वी झाल्यानंतर, RADIUS सर्व्हर — किंवा Cisco ISE, Aruba ClearPass, किंवा Forescout सारखे को-लोकेटेड पॉलिसी इंजिन — पोश्चर मूल्यांकन ट्रिगर करते. असेसमेंट चालू असताना डिव्हाइसला सुरुवातीला प्रतिबंधित VLAN मध्ये ठेवले जाते — ज्याला कधीकधी पोश्चर VLAN किंवा क्वारंटाईन VLAN म्हटले जाते. जर डिव्हाइस सर्व पोश्चर चेक्स पास झाले, तर ॲक्सेस पॉइंटला RADIUS चेंज ऑफ ऑथरायझेशन मेसेज पाठवला जातो, जो डिव्हाइसला योग्य प्रॉडक्शन VLAN मध्ये हलवतो. जर ते फेल झाले, तर ते प्रतिबंधित VLAN मध्येच राहते आणि त्याला रेमेडिएशन पोर्टलकडे निर्देशित केले जाते. येथे EAP पद्धत महत्त्वाची आहे. EAP-TLS, जे म्युच्युअल सर्टिफिकेट ऑथेंटिकेशन वापरते, कॉर्पोरेट डिव्हाइस ॲक्सेससाठी सुवर्ण मानक आहे कारण ते RADIUS सर्व्हरला केवळ वापरकर्ताच नाही तर डिव्हाइस सर्टिफिकेट प्रमाणित करण्याची परवानगी देते — ते एक ज्ञात, व्यवस्थापित एंडपॉइंट असल्याची पुष्टी करते. EAP-PEAP किंवा EAP-TTLS सह MSCHAPv2 युजर-क्रेडेन्शियल-आधारित ऑथेंटिकेशनसाठी सामान्य आहेत परंतु ते स्वतःहून कमी डिव्हाइस-स्तरीय ॲश्युरन्स प्रदान करतात. पोश्चर असेसमेंट खरोखर मजबूत होण्यासाठी, तुम्हाला MDM कंप्लायन्स चेकिंगसह EAP-TLS हवे आहे — ते संयोजन तुम्हाला क्रिप्टोग्राफिक डिव्हाइस ओळख आणि रिअल-टाइम हेल्थ सिग्नल दोन्ही देते. पोश्चर चेक सामान्यतः कोणत्या विशिष्ट ॲट्रिब्यूट्सचे मूल्यांकन करतो? बहुतांश एंटरप्राइझ डिप्लॉयमेंट्ससाठी मुख्य चेकलिस्टमध्ये हे समाविष्ट असते: ऑपरेटिंग सिस्टीम आवृत्ती आणि बिल्ड नंबर — डिव्हाइस सपोर्टेड OS रिलीजवर चालत आहे का? पॅच लेव्हल — गंभीर आणि उच्च-तीव्रतेचे पॅचेस परिभाषित विंडोमध्ये, सामान्यतः 30 दिवसांत लागू केले गेले आहेत का? अँटीव्हायरस किंवा एंडपॉइंट डिटेक्शन आणि रिस्पॉन्स स्थिती — मान्यताप्राप्त सुरक्षा उत्पादन इन्स्टॉल केलेले, चालू असलेले आणि अद्ययावत सिग्नेचर्स वापरत आहे का? होस्ट-आधारित फायरवॉल — ते सक्षम आहे का? डिस्क एन्क्रिप्शन — BitLocker किंवा FileVault सक्रिय आहे का? MDM नावनोंदणी — डिव्हाइस तुमच्या मॅनेजमेंट प्लॅटफॉर्मवर नोंदणीकृत आहे का? आणि वाढत्या प्रमाणात, संस्था प्रतिबंधित सॉफ्टवेअरसाठी चेक्स जोडत आहेत — एखादे ज्ञात-असुरक्षित ॲप्लिकेशन उपस्थित आहे का? — आणि सर्टिफिकेट वैधतेसाठी. विभाग तीन. अंमलबजावणी शिफारसी आणि सामान्य चुका. हॉस्पिटॅलिटी, रिटेल आणि सार्वजनिक क्षेत्रातील वातावरणात या सिस्टीम्स तैनात केल्यावर मिळणारे व्यावहारिक मार्गदर्शन मी तुम्हाला देतो. प्रथम, अंमलबजावणीपूर्वी व्हिजिबिलिटीने सुरुवात करा. तुम्ही पोश्चर चेक्स ब्लॉकिंग मोडमध्ये ठेवण्यापूर्वी, ते किमान चार आठवडे केवळ मॉनिटर मोडमध्ये चालवा. हे तुम्हाला तुमची वास्तविक डिव्हाइस इस्टेट कशी दिसते याची बेसलाइन देते — किती टक्के डिव्हाइसेस नॉन-कंप्लायंट आहेत, कोणते पोश्चर ॲट्रिब्यूट्स वारंवार फेल होत आहेत आणि तुमचे पॉलिसी थ्रेशोल्ड्स योग्यरित्या कॅलिब्रेट केले आहेत की नाही. या बेसलाइनशिवाय थेट अंमलबजावणीकडे जाणे ही सर्वात सामान्य चूक आहे, आणि याचा परिणाम पहिल्याच दिवशी हेल्पडेस्क तिकिटांची लाट आणि निराश वापरकर्त्यांमध्ये होतो. दुसरे, तुम्ही पोश्चर पॉलिसीज कॉन्फिगर करण्यापूर्वी तुमचे VLAN सेगमेंटेशन डिझाईन करा. तुम्हाला किमान तीन नेटवर्क सेगमेंट्सची आवश्यकता आहे: कंप्लायंट व्यवस्थापित डिव्हाइसेससाठी फुल-ॲक्सेस कॉर्पोरेट VLAN, इंटरनेट ॲक्सेस आणि तुमच्या पॅच मॅनेजमेंट आणि MDM इन्फ्रास्ट्रक्चरमध्ये ॲक्सेस असलेले परंतु इतर काहीही नसलेले रेमेडिएशन VLAN, आणि अनमॅनेज्ड वैयक्तिक डिव्हाइसेससाठी गेस्ट VLAN. काही संस्था चौथे जोडतात — पोश्चरमध्ये फेल होणाऱ्या परंतु रेमेडियेट करताना विशिष्ट संसाधनांमध्ये मर्यादित प्रवेश आवश्यक असलेल्या व्यवस्थापित डिव्हाइसेससाठी प्रतिबंधित कॉर्पोरेट VLAN. तुम्ही एकही पॉलिसी नियम लिहिण्यापूर्वी हे VLANs तुमच्या पोश्चर परिणामांशी मॅप करा. तिसरे, BYOD आणि गेस्ट डिव्हाइस समस्या स्पष्टपणे हाताळा. विशेषतः हॉस्पिटॅलिटी वातावरणात — आणि हे हॉटेल्स, कॉन्फरन्स सेंटर्स आणि रिटेल स्टाफ रेस्ट एरियाजना समान रीतीने लागू होते — तुमच्याकडे वैयक्तिक डिव्हाइसेसची लक्षणीय लोकसंख्या असेल जी कधीही MDM-नोंदणीकृत होणार नाही. तुमच्या पोश्चर पॉलिसीमध्ये या डिव्हाइसेससाठी एक परिभाषित मार्ग असणे आवश्यक आहे. सामान्य दृष्टिकोन असा आहे की नॉन-एनरोल्ड डिव्हाइसेसना पूर्णपणे ब्लॉक करण्याऐवजी योग्य बँडविड्थ कंट्रोल्स आणि कंटेंट फिल्टरिंगसह स्वयंचलितपणे गेस्ट VLAN कडे राउट करणे. हॉटेल किंवा कॉन्फरन्स वातावरणात वैयक्तिक डिव्हाइसेस ब्लॉक केल्याने एक तात्काळ ऑपरेशनल समस्या निर्माण होते जी तुमच्या सुरक्षा टीमला जाणवण्यापूर्वी तुमच्या फ्रंट-ऑफ-हाऊस टीमला जाणवेल. चौथे, वास्तववादी रेमेडिएशन टाइमआउट्स सेट करा. जेव्हा एखादे डिव्हाइस पोश्चरमध्ये फेल होते आणि रेमेडिएशन VLAN मध्ये ठेवले जाते, तेव्हा तुम्हाला हे परिभाषित करणे आवश्यक आहे की त्याला क्वारंटाईन किंवा ब्लॉक करण्यापूर्वी स्वतःला दुरुस्त करण्यासाठी किती वेळ आहे. पॅच-संबंधित फेल्युअर्ससाठी, व्यवस्थापित कॉर्पोरेट डिव्हाइससाठी 24 ते 48 तास ही एक वाजवी विंडो आहे — डिव्हाइसला अपडेट्स डाउनलोड करण्यासाठी पुरेशी लांब, दबाव राखण्यासाठी पुरेशी लहान. अँटीव्हायरस फेल्युअर्ससाठी, विंडो लहान असावी — चार ते आठ तास — कारण सक्रिय एंडपॉइंट प्रोटेक्शन नसलेले डिव्हाइस अधिक तात्काळ धोका आहे. पाचवे, तुमच्या चेंज ऑफ ऑथरायझेशन फ्लोची कसून चाचणी करा. CoA ही अशी यंत्रणा आहे जी डिव्हाइस पोश्चर पास झाल्यानंतर त्याला रेमेडिएशन VLAN मधून प्रॉडक्शन VLAN मध्ये हलवते. हीच यंत्रणा आहे जी नियतकालिक री-चेक फेल झाल्यास डिव्हाइसला परत क्वारंटाईनमध्ये हलवू शकते. CoA फेल्युअर्स — जिथे RADIUS सर्व्हर CoA मेसेज पाठवतो परंतु ॲक्सेस पॉइंट त्यावर कारवाई करत नाही — हे वापरकर्त्यांच्या तक्रारींचे एक सामान्य कारण आहे. प्रॉडक्शन डिप्लॉयमेंटपूर्वी तुमच्या लॅबमध्ये याची एंड-टू-एंड चाचणी करा आणि डिप्लॉयमेंटनंतर तुमच्या RADIUS लॉग्समध्ये CoA यश दरांचे निरीक्षण करा. आता, मोठ्या व्हेन्यू वातावरणासाठी विशिष्ट असलेल्या अडचणींबद्दल एक शब्द. हजारो समवर्ती (concurrent) कनेक्शन्स असलेल्या स्टेडियम किंवा कॉन्फरन्स सेंटरमध्ये, पोश्चर असेसमेंट ऑथेंटिकेशन फ्लोमध्ये लेटन्सी जोडते. एजंट-आधारित चेक्स ज्यांना एजंटने टेलिमेट्री गोळा करणे आणि परत रिपोर्ट करणे आवश्यक असते ते कनेक्शन वेळेत दोन ते पाच सेकंद जोडू शकतात. मोठ्या प्रमाणावर, हे लक्षात येण्याजोगे आहे. पोश्चर रिझल्ट्स प्री-कॅश करून ऑप्टिमायझ करा — बहुतांश पॉलिसी इंजिन्स तुम्हाला परिभाषित कालावधीसाठी, सामान्यतः एक ते चार तासांसाठी डिव्हाइसचा पोश्चर रिझल्ट कॅश करण्याची परवानगी देतात, जेणेकरून री-ऑथेंटिकेशन प्रत्येक वेळी संपूर्ण री-असेसमेंट ट्रिगर करत नाही. हाय-डेन्सिटी वातावरणासाठी हे एक महत्त्वपूर्ण परफॉर्मन्स ऑप्टिमायझेशन आहे. विभाग चार. रॅपिड-फायर प्रश्न. प्रश्न: मी प्रत्येक डिव्हाइसवर एजंट्स तैनात न करता पोश्चर असेसमेंट करू शकतो का? होय, नोंदणीकृत डिव्हाइसेससाठी MDM API इंटिग्रेशनद्वारे आणि इतरांसाठी नेटवर्क-आधारित फिंगरप्रिंटिंगद्वारे, परंतु तुमचे कव्हरेज आणि अचूकता एजंट्सच्या तुलनेत कमी असेल. मिश्र वातावरणासाठी, हायब्रिड दृष्टिकोन — कॉर्पोरेट डिव्हाइसेसवर एजंट्स, नोंदणीकृत BYOD साठी MDM API, फॉलबॅक म्हणून नेटवर्क फिंगरप्रिंटिंग — हे व्यावहारिक उत्तर आहे. प्रश्न: पोश्चर असेसमेंट WPA3 सह कार्य करते का? होय. WPA3 Enterprise WPA2 Enterprise प्रमाणेच 802.1X ऑथेंटिकेशन फ्रेमवर्क वापरते, त्यामुळे पोश्चर असेसमेंट त्याच प्रकारे इंटिग्रेट होते. WPA3 चे अधिक मजबूत PMF — प्रोटेक्टेड मॅनेजमेंट फ्रेम्स — आणि SAE ऑथेंटिकेशन प्रत्यक्षात ऑथेंटिकेशन लेयर मजबूत करून पोश्चर चेकिंगला पूरक ठरतात ज्यावर पोश्चर बसते. प्रश्न: पोश्चर असेसमेंट आणि NAC मध्ये काय फरक आहे? NAC — नेटवर्क ॲक्सेस कंट्रोल — हे कोणती डिव्हाइसेस कोणत्या नेटवर्क संसाधनांमध्ये प्रवेश करू शकतात हे नियंत्रित करण्यासाठी व्यापक फ्रेमवर्क आहे. पोश्चर असेसमेंट हे NAC निर्णयातील एक इनपुट आहे, विशेषतः डिव्हाइस हेल्थ सिग्नल. तुमच्याकडे पोश्चर असेसमेंटशिवाय NAC असू शकते — उदाहरणार्थ, केवळ ओळख-आधारित ॲक्सेस कंट्रोल — परंतु परिणामांची अंमलबजावणी करण्यासाठी NAC फ्रेमवर्कशिवाय तुमच्याकडे पोश्चर-आधारित ॲक्सेस कंट्रोल असू शकत नाही. प्रश्न: हे Purple सारख्या प्लॅटफॉर्मशी कसे इंटिग्रेट होते? Purple चे प्लॅटफॉर्म WiFi लेयरवर डिव्हाइस ओळख आणि ॲक्सेस पॉलिसीज व्यवस्थापित करते. पोश्चर असेसमेंट हा नियंत्रणाचा पुढील स्तर आहे — तो डिव्हाइस हेल्थ डेटासह ॲक्सेस निर्णय समृद्ध करतो. सुरक्षा-जागरूक ऑपरेटर्ससाठी, तुमच्या MDM मधील पोश्चर सिग्नल्स Purple च्या पॉलिसी इंजिनमध्ये इंटिग्रेट केल्याने तुम्हाला ओळख आणि डिव्हाइस कंप्लायन्स स्थिती दोन्हीवर आधारित विभेदित (differentiated) ॲक्सेस लागू करण्याची परवानगी मिळते. विभाग पाच. सारांश आणि पुढील पायऱ्या. आजच्या ब्रीफिंगमधील मुख्य मुद्द्यांचा सारांश देण्यासाठी. डिव्हाइस पोश्चर असेसमेंट म्हणजे ऑथेंटिकेशनच्या वेळी एंडपॉइंटचे आरोग्य — OS आवृत्ती, पॅच लेव्हल, अँटीव्हायरस स्थिती, MDM नावनोंदणी — तपासण्याची आणि नेटवर्क ॲक्सेस अधिकार निर्धारित करण्यासाठी त्या हेल्थ सिग्नलचा वापर करण्याची पद्धत आहे. आर्किटेक्चर पोश्चर-आधारित ॲक्सेस कंट्रोल सिस्टीम तयार करण्यासाठी 802.1X ऑथेंटिकेशन, RADIUS पॉलिसी इंजिन, MDM API इंटिग्रेशन आणि VLAN सेगमेंटेशन एकत्र करते. तीन पोश्चर परिणाम — फुल ॲक्सेस, रेमेडिएशन VLAN आणि क्वारंटाईन — अंमलबजावणी सक्षम करण्यापूर्वी डिझाईन आणि तपासले जाणे आवश्यक आहे. मॉनिटर मोडने सुरुवात करा, तुमची बेसलाइन तयार करा, नंतर अंमलबजावणीकडे जा. जर तुम्हाला सुरळीत रोलआउट हवे असेल तर हा पर्याय ऐच्छिक नाही. व्हेन्यू ऑपरेटर्ससाठी, BYOD आणि गेस्ट डिव्हाइस लोकसंख्येला स्पष्ट पॉलिसी हाताळणीची आवश्यकता असते — ब्लॉक करण्याऐवजी गेस्ट VLAN कडे राउट करणे हा ऑपरेशनलदृष्ट्या योग्य डिफॉल्ट आहे. तुमच्या तात्काळ पुढील पायऱ्या: तुमच्या सध्याच्या VLAN आर्किटेक्चरचे ऑडिट करा आणि पोश्चर-आधारित राउटिंगसाठी आवश्यक असलेले सेगमेंट्स तुमच्याकडे असल्याची पुष्टी करा. पोश्चर डेटा एक्सपोर्टसाठी तुमच्या MDM प्लॅटफॉर्मच्या API क्षमतांचे मूल्यांकन करा. तुमच्या RADIUS सर्व्हर किंवा NAC प्लॅटफॉर्मच्या पोश्चर पॉलिसी क्षमतांचे पुनरावलोकन करा. आणि जर तुम्ही शून्यापासून सुरुवात करत असाल, तर टप्प्याटप्प्याने दृष्टिकोनाचा विचार करा — प्रथम 802.1X तैनात करा, मॉनिटर मोडमध्ये पोश्चर चेकिंग जोडा, नंतर 90-दिवसांच्या विंडोमध्ये अंमलबजावणीकडे जा. ऐकल्याबद्दल धन्यवाद. 802.1X ऑथेंटिकेशन आर्किटेक्चर आणि झिरो ट्रस्ट WiFi डिप्लॉयमेंटबद्दल अधिक माहितीसाठी, Purple मार्गदर्शक लायब्ररीला भेट द्या. जर तुम्ही तुमच्या व्हेन्यू नेटवर्कसाठी पोश्चर-आधारित ॲक्सेस कंट्रोलचे मूल्यांकन करत असाल, तर Purple टीम तुम्हाला डिप्लॉयमेंट असेसमेंटमध्ये मार्गदर्शन करू शकते. पुढच्या वेळेपर्यंत.

header_image.png

कार्यकारी सारांश

एंटरप्राइझ नेटवर्कची सीमा जसजशी पुसट होत आहे, तसतसे पारंपारिक ओळख-आधारित प्रमाणीकरण (authentication) आता पुरेसे राहिलेले नाही. 802.1X किंवा Captive Portal द्वारे वापरकर्ता तोच आहे ज्याचा तो दावा करत आहे हे प्रमाणित केल्याने ते वापरत असलेल्या डिव्हाइसमुळे निर्माण होणारा धोका दूर होत नाही. नेटवर्क ॲक्सेस देण्यापूर्वी एंडपॉइंटचे आरोग्य आणि अनुपालन (compliance) स्थिती तपासणे, हे झिरो ट्रस्ट आर्किटेक्चरमधील संरक्षणाचा पुढील अत्यंत महत्त्वाचा टप्पा म्हणजे डिव्हाइस पोश्चर असेसमेंट होय.

हॉटेल्स, रिटेल चेन्स, स्टेडियम्स आणि सार्वजनिक क्षेत्रातील सुविधांसारख्या गुंतागुंतीच्या वातावरणाचे व्यवस्थापन करणाऱ्या आयटी मॅनेजर्स आणि नेटवर्क आर्किटेक्ट्ससाठी, पोश्चर-आधारित नेटवर्क ॲक्सेस हे सुनिश्चित करतो की अनपॅच केलेले, व्यवस्थापित नसलेले किंवा तडजोड केलेले (compromised) डिव्हाइसेस कॉर्पोरेट VLANs मध्ये प्रवेश करू शकणार नाहीत. हे मार्गदर्शक नेटवर्क ॲक्सेस कंट्रोलसाठी डिव्हाइस पोश्चर असेसमेंट लागू करण्यासाठी एक व्यावहारिक, व्हेंडर-न्यूट्रल ब्लूप्रिंट प्रदान करते. यात आर्किटेक्चरल मॉडेल्स, RADIUS आणि मोबाईल डिव्हाइस मॅनेजमेंट (MDM) प्लॅटफॉर्म्ससह इंटिग्रेशन पॉइंट्स आणि आयटी हेल्पडेस्कवर ताण न आणता नॉन-कंप्लायंट डिव्हाइसेस हाताळण्यासाठी आवश्यक असलेल्या महत्त्वपूर्ण उपाययोजना (remediation) वर्कफ्लोचा समावेश आहे. या मार्गदर्शकाच्या शेवटी, तुमच्याकडे WiFi वर एंडपॉइंट कंप्लायन्स तपासण्या तैनात करण्यासाठी, तुमचा अटॅक सरफेस कमी करण्यासाठी आणि PCI DSS आणि GDPR सारख्या फ्रेमवर्कसह सतत अनुपालन राखण्यासाठी एक स्पष्ट फ्रेमवर्क असेल.

तांत्रिक सखोल माहिती: पोश्चर असेसमेंटचे आर्किटेक्चर

डिव्हाइस पोश्चर असेसमेंट पारंपारिक नेटवर्क ऑथेंटिकेशन फ्लोला मूलभूतपणे बदलते. क्रेडेन्शियल्सवर आधारित बायनरी अलो/डिनाय (allow/deny) निर्णयाऐवजी, नेटवर्क ॲक्सेस कंट्रोल (NAC) सिस्टीम एक कंडिशनल स्टेट सादर करते जिथे ॲक्सेस हा डिव्हाइसने विशिष्ट आरोग्य निकष पूर्ण करण्यावर अवलंबून असतो.

तीन आर्किटेक्चरल मॉडेल्स

डिव्हाइस पोश्चर असेसमेंट लागू करण्यासाठी तुमच्या एंडपॉइंट मॅनेजमेंट स्ट्रॅटेजीशी सुसंगत असे आर्किटेक्चरल मॉडेल निवडणे आवश्यक आहे. याचे तीन प्राथमिक दृष्टिकोन आहेत:

  1. एजंट-आधारित पोश्चर असेसमेंट: ही सर्वात व्यापक पद्धत आहे. एंडपॉइंटवर इन्स्टॉल केलेला एक हलका सॉफ्टवेअर एजंट तपशीलवार टेलिमेट्री गोळा करतो—जसे की OS आवृत्ती, पॅच लेव्हल, अँटीव्हायरस स्थिती आणि रनिंग प्रोसेस—आणि हा डेटा NAC पॉलिसी इंजिनला पाठवतो. हे कम्युनिकेशन सामान्यतः सुरक्षित प्रोटोकॉल किंवा API द्वारे प्रारंभिक 802.1X ऑथेंटिकेशननंतर लगेच होते. एजंट-आधारित असेसमेंट सर्वोच्च दर्जाचा डेटा प्रदान करत असली तरी, एजंट तैनात करण्यासाठी एंडपॉइंटवर प्रशासकीय नियंत्रण (administrative control) आवश्यक असते, ज्यामुळे ते अनमॅनेज्ड किंवा BYOD वातावरणासाठी अयोग्य ठरते.
  2. एजंटलेस (MDM-इंटिग्रेटेड) पोश्चर असेसमेंट: या मॉडेलमध्ये, NAC सिस्टीम API द्वारे मोबाईल डिव्हाइस मॅनेजमेंट (MDM) किंवा युनिफाइड एंडपॉइंट मॅनेजमेंट (UEM) प्लॅटफॉर्मला क्वेरी करून डिव्हाइसच्या आरोग्याचा अंदाज घेते. जेव्हा एखादे डिव्हाइस ऑथेंटिकेट होते, तेव्हा RADIUS सर्व्हर डिव्हाइसचा कंप्लायन्स रेकॉर्ड मिळवण्यासाठी Microsoft Intune किंवा Jamf सारख्या प्लॅटफॉर्मला कॉल करतो. हा दृष्टिकोन व्यवस्थापित कॉर्पोरेट डिव्हाइसेससाठी अत्यंत प्रभावी आहे आणि समर्पित NAC एजंटची आवश्यकता दूर करतो. तथापि, हे MDM प्लॅटफॉर्मवर अद्ययावत माहिती असण्यावर अवलंबून असते; जर डिव्हाइस ऑफलाइन असेल, तर कंप्लायन्स स्थिती जुनी असू शकते.
  3. नेटवर्क-आधारित असेसमेंट: या निष्क्रिय (passive) दृष्टिकोनामध्ये NAC सिस्टीम SNMP क्वेरीज, WMI कॉल्स किंवा ट्रॅफिक फिंगरप्रिंटिंग यांसारख्या तंत्रांचा वापर करून कनेक्ट होणाऱ्या डिव्हाइसला स्कॅन करते. यासाठी कोणत्याही एजंट किंवा MDM नावनोंदणीची आवश्यकता नसते, ज्यामुळे ते IoT डिव्हाइसेस किंवा लेगसी सिस्टीम्सचे प्रोफाइलिंग करण्यासाठी उपयुक्त ठरते. तथापि, इतर मॉडेल्सच्या तुलनेत यातील इनसाइटची खोली लक्षणीयरीत्या मर्यादित असते आणि ते पॅच लेव्हल्स किंवा अँटीव्हायरस सिग्नेचरची अद्ययावत स्थिती खात्रीशीरपणे ठरवू शकत नाही.

RADIUS आणि 802.1X इंटिग्रेशन फ्लो

802.1X ऑथेंटिकेशनसह पोश्चर असेसमेंटचे इंटिग्रेशन हे आर्किटेक्चर कार्यान्वित करते. ही प्रक्रिया मोठ्या प्रमाणावर RADIUS प्रोटोकॉलवर आणि विशेषतः RFC 5176 मध्ये परिभाषित केलेल्या चेंज ऑफ ऑथरायझेशन (CoA) यंत्रणेवर अवलंबून असते.

जेव्हा एखादे सप्लिकंट (डिव्हाइस) 802.1X कनेक्शन सुरू करते, तेव्हा ते ऑथेंटिकेटरला (वायरलेस ॲक्सेस पॉइंट किंवा स्विच) क्रेडेन्शियल्स सादर करते. ऑथेंटिकेटर हे RADIUS सर्व्हरकडे फॉरवर्ड करतो. यशस्वी ओळख पडताळणीनंतर, RADIUS सर्व्हर ॲक्सेस-अक्सेप्ट (Access-Accept) मेसेज परत करतो. तथापि, पोश्चर-अवेअर वातावरणात, ही प्रारंभिक स्वीकृती डिव्हाइसला प्रतिबंधित स्थितीत ठेवते—बहुतेकदा समर्पित क्वारंटाईन किंवा पोश्चर VLAN मध्ये.

या प्रतिबंधित VLAN मध्ये असताना, पोश्चर असेसमेंट होते. पॉलिसी इंजिन कॉन्फिगर केलेल्या नियमसंचाच्या (ruleset) आधारे डिव्हाइसचे मूल्यांकन करते. जर डिव्हाइस पास झाले, तर पॉलिसी इंजिन ऑथेंटिकेटरला RADIUS CoA मेसेज जारी करते, ज्यामध्ये डिव्हाइसला पोश्चर VLAN मधून योग्य प्रॉडक्शन VLAN मध्ये हलवण्याची सूचना असते. जर डिव्हाइस फेल झाले, तर ते प्रतिबंधित VLAN मध्येच राहते किंवा रेमेडिएशन VLAN मध्ये हलवले जाते जिथे ते आवश्यक अपडेट सर्व्हर्समध्ये प्रवेश करू शकते.

इष्टतम सुरक्षिततेसाठी, या फ्लोने EAP-TLS वापरले पाहिजे. EAP-TLS म्युच्युअल सर्टिफिकेट-आधारित ऑथेंटिकेशन प्रदान करते, ज्यामुळे पोश्चर चेक सुरू होण्यापूर्वीच RADIUS सर्व्हरला डिव्हाइसची ओळख क्रिप्टोग्राफिकरित्या पडताळता येते. हे सुनिश्चित करते की पोश्चर डेटा स्पूफ केलेल्या MAC ॲड्रेसऐवजी ज्ञात, विश्वासार्ह एंडपॉइंटवरून येत आहे. डिव्हाइस ॲक्सेस सुरक्षित करण्याबद्दल अधिक वाचण्यासाठी, आमच्या 802.1X Authentication: Securing Network Access on Modern Devices या मार्गदर्शकाचा संदर्भ घ्या.

posture_assessment_architecture.png

अंमलबजावणी मार्गदर्शक: पोश्चर-आधारित ॲक्सेस तैनात करणे

थेट एंटरप्राइझ वातावरणात डिव्हाइस पोश्चर असेसमेंट तैनात करण्यासाठी व्यावसायिक ऑपरेशन्समध्ये व्यत्यय येऊ नये म्हणून बारकाईने नियोजन करणे आवश्यक आहे. कॉर्पोरेट कार्यालयांपासून ते Hospitality ठिकाणांपर्यंतच्या वातावरणासाठी खालील टप्प्याटप्प्याने दृष्टिकोन सुचवला आहे.

टप्पा 1: बेसलाइन व्हिजिबिलिटी (मॉनिटर मोड)

डिप्लॉयमेंटमधील सर्वात महत्त्वाची पायरी म्हणजे बेसलाइन स्थापित करणे. पहिल्या दिवशी कधीही ब्लॉकिंग किंवा रेमेडिएशन पॉलिसीज सक्षम करू नका. त्याऐवजी, केवळ मॉनिटर मोडमध्ये पोश्चर चेक चालवण्यासाठी NAC सिस्टीम कॉन्फिगर करा. या टप्प्यात, सिस्टीम डिव्हाइसेसचे मूल्यांकन करते आणि परिणामांची नोंद करते परंतु VLAN असाइनमेंट बदलत नाही किंवा ॲक्सेस प्रतिबंधित करत नाही.

हा टप्पा किमान चार आठवडे चालवा. नॉन-कंप्लायंट डिव्हाइसेसची टक्केवारी, वारंवार फेल होणारे विशिष्ट ॲट्रिब्यूट्स (उदा. जुनी OS वि. अक्षम फायरवॉल) आणि विविध डिव्हाइस प्रकारांमधील फेल्युअर्सचे वितरण ओळखण्यासाठी लॉग्सचे विश्लेषण करा. हा डेटा तुम्हाला तुमचे पॉलिसी थ्रेशोल्ड्स कॅलिब्रेट करण्याची परवानगी देतो. उदाहरणार्थ, जर तुमच्या ताफ्यातील 40% डिव्हाइसेस 14-दिवसांच्या पॅच आवश्यकतेमध्ये फेल होत असतील, तर हेल्पडेस्कवर ताण येऊ नये म्हणून तुम्हाला सुरुवातीला थ्रेशोल्ड 30 दिवसांपर्यंत समायोजित करावे लागेल.

टप्पा 2: VLAN सेगमेंटेशन डिझाईन

पॉलिसीज लागू करण्यापूर्वी, तुम्हाला नेटवर्क सेगमेंट्स डिझाईन करणे आवश्यक आहे जे भिन्न पोश्चर स्टेट्स हाताळतील. मजबूत पोश्चर-आधारित नेटवर्क ॲक्सेस आर्किटेक्चरसाठी किमान तीन भिन्न VLANs आवश्यक आहेत:

  1. प्रॉडक्शन VLAN: कंप्लायंट, व्यवस्थापित डिव्हाइसेससाठी कॉर्पोरेट संसाधनांमध्ये पूर्ण प्रवेश.
  2. रेमेडिएशन VLAN: केवळ अपडेट सर्व्हर्स (उदा. Windows Update, WSUS), MDM प्लॅटफॉर्म्स आणि NAC रेमेडिएशन पोर्टलशी संवाद साधण्याची परवानगी देणारा प्रतिबंधित प्रवेश. अंतर्गत सबनेट्स किंवा सामान्य इंटरनेट ब्राउझिंगमध्ये प्रवेश नाही.
  3. गेस्ट/BYOD VLAN: पोश्चर-चेक न करता येणाऱ्या अनमॅनेज्ड वैयक्तिक डिव्हाइसेससाठी सेगमेंटेड इंटरनेट-ओन्ली ॲक्सेस.

तुमचे वायरलेस ॲक्सेस पॉइंट्स आणि कोअर स्विचेस RADIUS ॲट्रिब्यूट्सद्वारे डायनॅमिक VLAN असाइनमेंटला सपोर्ट करण्यासाठी कॉन्फिगर केलेले आहेत याची खात्री करा. येथे तुमच्या ॲक्सेस पॉइंट्सची भूमिका समजून घेणे महत्त्वाचे आहे; उजळणीसाठी, Wireless Access Points Definition Your Ultimate 2026 Guide पहा.

टप्पा 3: पोश्चर रूलसेट परिभाषित करणे

तुमचा मॉनिटर-मोड डेटा आणि कंप्लायन्स आवश्यकतांवर आधारित एक व्यावहारिक रूलसेट विकसित करा. मानक एंटरप्राइझ बेसलाइनमध्ये खालील गोष्टींचा समावेश असतो:

  • ऑपरेटिंग सिस्टीम: सपोर्टेड आवृत्ती असणे आवश्यक आहे (उदा. Windows 10 22H2 किंवा नंतरचे, macOS 13 किंवा नंतरचे).
  • पॅच लेव्हल: गेल्या 30 दिवसांत लागू केलेले महत्त्वपूर्ण सुरक्षा अपडेट्स.
  • एंडपॉइंट प्रोटेक्शन: मान्यताप्राप्त अँटीव्हायरस/EDR एजंट इन्स्टॉल केलेला, चालू असलेला आणि गेल्या 7 दिवसांत अपडेट केलेले सिग्नेचर्स.
  • होस्ट फायरवॉल: सर्व नेटवर्क प्रोफाइल्ससाठी सक्षम.
  • डिस्क एन्क्रिप्शन: सिस्टीम ड्राईव्हसाठी BitLocker किंवा FileVault सक्षम.

टप्पा 4: रेमेडिएशन वर्कफ्लोज लागू करणे

जेव्हा एखादे डिव्हाइस पोश्चर चेकमध्ये फेल होते, तेव्हा रेमेडिएशन वर्कफ्लो स्वयंचलित आणि वापरकर्त्याला स्पष्ट असणे आवश्यक आहे. डिव्हाइस रेमेडिएशन VLAN ला नियुक्त केले जाते आणि HTTP/HTTPS ट्रॅफिक Captive Portal कडे रीडायरेक्ट केले जावे. या पोर्टलने वापरकर्त्याला त्यांचे डिव्हाइस क्वारंटाईन का केले गेले (उदा. "तुमचा अँटीव्हायरस कालबाह्य झाला आहे") हे स्पष्टपणे कळवले पाहिजे आणि समस्येचे निराकरण करण्यासाठी कृती करण्यायोग्य पायऱ्या किंवा लिंक्स प्रदान केल्या पाहिजेत.

रेमेडिएशन टाइमआउट कॉन्फिगर करा. उदाहरणार्थ, आवश्यक पॅचेस डाउनलोड करण्यासाठी डिव्हाइसला रेमेडिएशन VLAN मध्ये 24 तास दिले जाऊ शकतात. जर या वेळेत डिव्हाइसने कंप्लायन्स प्राप्त केले नाही, तर आयटी हस्तक्षेप होईपर्यंत सर्व ॲक्सेस ब्लॉक करून त्याला कठोर क्वारंटाईन VLAN मध्ये हलवले जावे.

remediation_flow_diagram.png

गुंतागुंतीच्या वातावरणासाठी सर्वोत्तम पद्धती

Retail किंवा मोठ्या सार्वजनिक ठिकाणांसारख्या गुंतागुंतीच्या वातावरणात पोश्चर असेसमेंट लागू केल्याने, विशेषतः डिव्हाइस विविधता आणि प्रमाणाबाबत अद्वितीय आव्हाने निर्माण होतात.

BYOD आणि IoT हाताळणे

Transport हब्स किंवा Guest WiFi ऑफर करणाऱ्या रिटेल स्पेसेस सारख्या अनमॅनेज्ड डिव्हाइसेसचे प्रमाण जास्त असलेल्या वातावरणात, प्रत्येक डिव्हाइसवर पोश्चर चेक लागू करण्याचा प्रयत्न करणे ऑपरेशनलदृष्ट्या अव्यवहार्य आहे. ज्या डिव्हाइसेसचे मूल्यांकन केले जाऊ शकत नाही त्यांच्यासाठी तुम्हाला स्पष्ट पॉलिसीज स्थापित करणे आवश्यक आहे.

ऑथेंटिकेशन फ्लोच्या सुरुवातीलाच या डिव्हाइसेसचे वर्गीकरण करण्यासाठी MAC ऑथेंटिकेशन बायपास (MAB) किंवा आयडेंटिटी प्रोफाइलिंगचा वापर करणे ही सर्वोत्तम पद्धत आहे. अनमॅनेज्ड BYOD डिव्हाइसेस स्वयंचलितपणे गेस्ट VLAN कडे राउट केले जावेत. IoT डिव्हाइसेस (सेन्सर्स, डिस्प्ले) समर्पित, मायक्रो-सेगमेंटेड VLANs मध्ये ठेवले जावेत ज्यांचे कम्युनिकेशन विशिष्ट कंट्रोलर्सपुरते मर्यादित ठेवण्यासाठी कठोर ॲक्सेस कंट्रोल लिस्ट्स (ACLs) असतील. Purple चे प्लॅटफॉर्म या विविध डिव्हाइस प्रकारांना ओळखण्यात आणि व्यवस्थापित करण्यात मदत करू शकते; अधिक माहितीसाठी आमच्या Sensors क्षमता एक्सप्लोर करा.

हाय-डेन्सिटी ठिकाणांसाठी ऑप्टिमायझेशन

स्टेडियम्ससारख्या हाय-डेन्सिटी वातावरणात, पोश्चर असेसमेंटमुळे निर्माण होणाऱ्या लेटन्सीमुळे ऑथेंटिकेशन टाइमआउट्स आणि कनेक्शन फेल्युअर्स होऊ शकतात. एजंट-आधारित चेक्स कनेक्शन प्रक्रियेत काही सेकंदांची भर घालू शकतात.

हे कमी करण्यासाठी, पोश्चर कॅशिंग लागू करा. परिभाषित कालावधीसाठी (उदा. 4 ते 8 तास) डिव्हाइसची कंप्लायंट स्थिती कॅश करण्यासाठी NAC पॉलिसी इंजिन कॉन्फिगर करा. जेव्हा एखादे डिव्हाइस ॲक्सेस पॉइंट्स दरम्यान रोम करते किंवा थोड्या काळासाठी डिस्कनेक्ट होते, तेव्हा RADIUS सर्व्हर संपूर्ण असेसमेंट ओव्हरहेड बायपास करून त्वरित ॲक्सेस देण्यासाठी कॅश केलेला पोश्चर रिझल्ट वापरू शकतो. थ्रूपुट आणि सकारात्मक वापरकर्ता अनुभव राखण्यासाठी हे आवश्यक आहे. अंतर्निहित नेटवर्क आर्किटेक्चर देखील यात भूमिका बजावते; The Core SD WAN Benefits for Modern Businesses मध्ये चर्चा केलेल्या फायद्यांचा विचार करा.

ट्रबलशूटिंग आणि जोखीम निवारण

काळजीपूर्वक नियोजन करूनही, पोश्चर-आधारित ॲक्सेस कंट्रोल फेल होऊ शकते. नेटवर्कची उपलब्धता राखण्यासाठी सामान्य फेल्युअर मोड्स समजून घेणे महत्त्वाचे आहे.

CoA फेल्युअर्स

सर्वात वारंवार येणारी तांत्रिक समस्या म्हणजे RADIUS चेंज ऑफ ऑथरायझेशन (CoA) मेसेजचे फेल्युअर. जर NAC सिस्टीमने डिव्हाइस कंप्लायंट असल्याचे निर्धारित केले परंतु ॲक्सेस पॉइंटने CoA पॅकेट ड्रॉप केले किंवा त्याकडे दुर्लक्ष केले, तर डिव्हाइस प्रतिबंधित VLAN मध्येच अडकून राहते.

निवारण: सर्व नेटवर्क ॲक्सेस डिव्हाइसेसवर CoA स्पष्टपणे सक्षम केले आहे आणि RADIUS सर्व्हर एक विश्वसनीय CoA क्लायंट म्हणून कॉन्फिगर केला आहे याची खात्री करा. RADIUS सर्व्हर आणि ॲक्सेस पॉइंट्समधील फायरवॉलद्वारे UDP पोर्ट 3799 (मानक CoA पोर्ट) ब्लॉक केलेला नाही याची पडताळणी करा. तुमच्या RADIUS लॉग्समध्ये CoA ॲकनॉलेजमेंट (ACK) दरांचे निरीक्षण करा.

MDM API रेट लिमिटिंग

एजंटलेस डिप्लॉयमेंट्समध्ये, ऑथेंटिकेट होणाऱ्या डिव्हाइसेसच्या अचानक वाढीमुळे (उदा. सकाळी 9:00 वाजता कर्मचारी येणे) NAC सिस्टीम MDM प्लॅटफॉर्मवर API विनंत्यांचा पूर आणू शकते. यामुळे API रेट लिमिटिंग ट्रिगर होऊ शकते, ज्यामुळे पोश्चर चेक्स फेल होतात किंवा टाइम आउट होतात.

निवारण: NAC प्लॅटफॉर्ममध्ये API रिक्वेस्ट बॅचिंग किंवा कॅशिंग लागू करा. जर MDM वेबहुक्सला सपोर्ट करत असेल, तर प्रत्येक ऑथेंटिकेशनवर NAC सिस्टीमने MDM ला पोल करण्याऐवजी, कंप्लायन्स स्थितीतील बदल NAC सिस्टीमला प्रोॲक्टिव्हली पुश करण्यासाठी MDM कॉन्फिगर करा.

ROI आणि व्यावसायिक प्रभाव

डिव्हाइस पोश्चर असेसमेंट लागू करण्याचा व्यावसायिक प्रभाव केवळ तात्काळ जोखीम कमी करण्यापलीकडे जातो. हे संस्थेच्या सुरक्षा स्थितीला मूलभूतपणे बदलते आणि मोजता येण्याजोगे परतावे (returns) प्रदान करते.

जोखीम निवारण आणि अनुपालन (Compliance)

तडजोड केलेल्या एंडपॉइंट्सद्वारे होणारी लॅटरल मूव्हमेंट रोखणे हा प्राथमिक ROI आहे. केवळ निरोगी डिव्हाइसेसच कॉर्पोरेट नेटवर्कमध्ये प्रवेश करतात हे सुनिश्चित करून, संस्था रॅन्समवेअर प्रसाराची शक्यता लक्षणीयरीत्या कमी करतात. शिवाय, स्वयंचलित पोश्चर असेसमेंट PCI DSS, HIPAA आणि GDPR साठी ऑडिट आवश्यकता पूर्ण करण्यासाठी आवश्यक असलेले सतत निरीक्षण प्रदान करते, ज्यामुळे मॅन्युअल कंप्लायन्स रिपोर्टिंगचा खर्च आणि प्रयत्न कमी होतात.

ऑपरेशनल कार्यक्षमता

सुरुवातीच्या डिप्लॉयमेंटसाठी प्रयत्नांची आवश्यकता असली तरी, एक उत्तम प्रकारे ट्यून केलेली पोश्चर असेसमेंट सिस्टीम आयटीवरील ऑपरेशनल भार कमी करते. स्वयंचलित रेमेडिएशन वर्कफ्लोज वापरकर्त्यांना हेल्पडेस्क तिकीट न काढता किरकोळ कंप्लायन्स समस्या (जसे की जुने सिग्नेचर्स) सोडवण्यास सक्षम करतात. पोश्चर चेक्सना व्यापक नेटवर्क ॲनालिटिक्ससह इंटिग्रेट करून—जसे की WiFi Analytics —आयटी टीम्सना त्यांच्या डिव्हाइस इस्टेटच्या आरोग्याविषयी अभूतपूर्व व्हिजिबिलिटी मिळते, ज्यामुळे रिॲक्टिव्ह ऐवजी प्रोॲक्टिव्ह व्यवस्थापन शक्य होते. आपला एकूण नेटवर्क अनुभव अपग्रेड करू पाहणाऱ्या ठिकाणांसाठी, Modern Hospitality WiFi Solutions Your Guests Deserve वरील आमचे इनसाइट्स पहा.

महत्वाच्या व्याख्या

डिव्हाइस पोश्चर असेसमेंट

नेटवर्क ऑथेंटिकेशनपूर्वी किंवा त्यादरम्यान एंडपॉइंटची सुरक्षा आणि कंप्लायन्स स्थिती (उदा. OS आवृत्ती, पॅच लेव्हल, अँटीव्हायरस स्थिती) तपासण्याची प्रक्रिया.

झिरो ट्रस्ट आर्किटेक्चरसाठी महत्त्वपूर्ण, वापरकर्त्याकडे वैध क्रेडेन्शियल्स असली तरीही तडजोड केलेली किंवा असुरक्षित डिव्हाइसेस संवेदनशील नेटवर्क सेगमेंट्समध्ये प्रवेश करू शकत नाहीत याची खात्री करणे.

RADIUS CoA (Change of Authorization)

RADIUS प्रोटोकॉलचा (RFC 5176) एक विस्तार जो RADIUS सर्व्हरला सक्रिय सेशनचे ऑथरायझेशन ॲट्रिब्यूट्स डायनॅमिकरित्या सुधारित करण्याची परवानगी देतो, जसे की डिव्हाइसचे VLAN बदलणे.

पोश्चर असेसमेंटमधील आवश्यक यंत्रणा जी हेल्थ चेक पास झाल्यावर डिव्हाइसला क्वारंटाईन/रेमेडिएशन VLAN मधून प्रॉडक्शन VLAN मध्ये हलवते.

रेमेडिएशन VLAN

पोश्चर चेकमध्ये फेल होणाऱ्या डिव्हाइसेससाठी विशेषतः डिझाईन केलेले प्रतिबंधित नेटवर्क सेगमेंट. हे कंप्लायन्स समस्येचे निराकरण करण्यासाठी आवश्यक असलेल्या संसाधनांमध्ये (उदा. अपडेट सर्व्हर्स, MDM) मर्यादित प्रवेश प्रदान करते.

असुरक्षित डिव्हाइसेसना वेगळे करण्यासाठी वापरले जाते आणि मॅन्युअल आयटी हस्तक्षेपाची आवश्यकता न लागता त्यांना स्वतःला दुरुस्त करण्याची परवानगी देते.

एजंटलेस पोश्चर असेसमेंट

एंडपॉइंटवर समर्पित NAC सॉफ्टवेअर इन्स्टॉल न करता डिव्हाइसच्या आरोग्याचे मूल्यांकन करणे, सामान्यतः डिव्हाइसच्या कंप्लायन्स रेकॉर्डसाठी API द्वारे MDM/UEM प्लॅटफॉर्मला क्वेरी करून.

मजबूत MDM डिप्लॉयमेंट्स असलेल्या कॉर्पोरेट वातावरणासाठी प्राधान्य दिले जाते कारण ते एंडपॉइंट सॉफ्टवेअर ब्लोट कमी करते आणि व्यवस्थापन सुलभ करते.

डिसॉल्व्हेबल एजंट

Captive Portal द्वारे डाउनलोड केलेले एक तात्पुरते, हलके ॲप्लिकेशन जे पोश्चर चेक करते आणि नंतर स्वतःला डिव्हाइसवरून काढून टाकते.

सामान्यतः BYOD किंवा गेस्ट वातावरणात वापरले जाते जेथे कायमस्वरूपी एजंट इन्स्टॉलेशन अशक्य असते किंवा वापरकर्त्याला अस्वीकार्य असते.

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

एक 802.1X ऑथेंटिकेशन पद्धत ज्यामध्ये म्युच्युअल ऑथेंटिकेशनसाठी सर्व्हर आणि क्लायंट (डिव्हाइस) दोघांनीही वैध डिजिटल प्रमाणपत्रे सादर करणे आवश्यक असते.

पोश्चर असेसमेंटसाठी सर्वात सुरक्षित पाया, कारण ते हेल्थ चेक्सचे मूल्यांकन होण्यापूर्वी डिव्हाइसची ओळख क्रिप्टोग्राफिकरित्या सिद्ध करते.

पोश्चर कॅशिंग

यशस्वी पोश्चर चेकचा निकाल परिभाषित कालावधीसाठी स्टोअर करणे जेणेकरून त्यानंतरच्या ऑथेंटिकेशन्ससाठी (उदा. APs दरम्यान रोमिंग) संपूर्ण पुनर्मूल्यांकनाची आवश्यकता भासणार नाही.

नेटवर्क कार्यप्रदर्शन राखण्यासाठी आणि स्टेडियम्स किंवा मोठ्या कार्यालयांसारख्या हाय-डेन्सिटी वातावरणात लेटन्सी कमी करण्यासाठी महत्त्वपूर्ण.

Zero Trust Network Access (ZTNA)

एक सुरक्षा फ्रेमवर्क ज्यामध्ये संस्थेच्या नेटवर्कच्या आत किंवा बाहेर असलेल्या सर्व वापरकर्त्यांना आणि डिव्हाइसेसना ॲक्सेस देण्यापूर्वी ऑथेंटिकेट, ऑथराइज आणि सतत प्रमाणित करणे आवश्यक असते.

डिव्हाइस पोश्चर असेसमेंट हा ZTNA चा एक मूलभूत स्तंभ आहे, जो डिव्हाइस स्थितीचे 'सतत प्रमाणीकरण' प्रदान करतो.

सोडवलेली उदाहरणे

500-वापरकर्ते असलेले एक कॉर्पोरेट कार्यालय डिव्हाइस पोश्चर असेसमेंट लागू करत आहे. ते सध्या सर्व कॉर्पोरेट लॅपटॉप्ससाठी 802.1X (PEAP-MSCHAPv2) वापरतात. जोपर्यंत लॅपटॉपचा CrowdStrike Falcon एजंट चालू नाही आणि Windows पूर्णपणे पॅच केलेले नाही तोपर्यंत कोणताही लॅपटॉप कनेक्ट होणार नाही याची त्यांना खात्री करायची आहे. त्यांनी इंटिग्रेशन आणि रेमेडिएशन फ्लो कसा डिझाईन करावा?

  1. आर्किटेक्चरची निवड: सर्व लॅपटॉप्स कॉर्पोरेट-मॅनेज्ड असल्याने, वेगळा NAC एजंट तैनात करणे टाळण्यासाठी MDM इंटिग्रेशन (उदा. Intune) द्वारे एजंटलेस दृष्टिकोनाची शिफारस केली जाते. NAC पॉलिसी इंजिन कंप्लायन्स स्थितीसाठी Intune ला क्वेरी करेल.
  2. VLAN डिझाईन: तीन VLANs तयार करा: VLAN 10 (कॉर्पोरेट प्रॉडक्शन), VLAN 20 (रेमेडिएशन), VLAN 30 (गेस्ट).
  3. पॉलिसी कॉन्फिगरेशन: CrowdStrike चालू असणे आणि 30 दिवसांच्या आत Windows अपडेट्स आवश्यक करण्यासाठी Intune कंप्लायन्स पॉलिसीज कॉन्फिगर करा. Intune 'Compliant' स्थितीला VLAN 10 वर आणि 'Non-Compliant' ला VLAN 20 वर मॅप करण्यासाठी NAC पॉलिसी इंजिन कॉन्फिगर करा.
  4. ऑथेंटिकेशन फ्लो: जेव्हा एखादा लॅपटॉप PEAP द्वारे ऑथेंटिकेट होतो, तेव्हा RADIUS सर्व्हर त्याला VLAN 20 मध्ये ठेवतो आणि Intune ला क्वेरी करतो. जर Intune ने 'Compliant' परत केले, तर RADIUS सर्व्हर पोर्ट/सेशन VLAN 10 वर स्विच करण्यासाठी ॲक्सेस पॉइंटला CoA मेसेज पाठवतो.
  5. रेमेडिएशन: जर Intune ने 'Non-Compliant' परत केले, तर लॅपटॉप VLAN 20 मध्येच राहतो. DHCP एक IP प्रदान करते, आणि DNS/फायरवॉल नियम HTTP ट्रॅफिकला एका पोर्टलवर रीडायरेक्ट करतात जे फेल्युअरचे कारण स्पष्ट करते आणि केवळ CrowdStrike आणि Windows Update सर्व्हर्समध्ये प्रवेश करण्यास अनुमती देते.
परीक्षकाचे भाष्य: हा दृष्टिकोन नवीन एजंट्स सादर करण्याऐवजी विद्यमान इन्फ्रास्ट्रक्चरचा (Intune) फायदा घेतो. येथील महत्त्वाचा यशाचा घटक म्हणजे CoA कॉन्फिगरेशन आणि रेमेडिएशन VLAN कडे अपडेट सर्व्हर्सपर्यंत पोहोचण्यासाठी आवश्यक असलेले अचूक फायरवॉल ACLs आहेत याची खात्री करणे—खूप प्रतिबंधित असल्यास डिव्हाइस रेमेडियेट करू शकत नाही; खूप खुले असल्यास क्वारंटाईन कुचकामी ठरते.

एका मोठ्या युनिव्हर्सिटी कॅम्पसला पोश्चर चेक्स लागू करायचे आहेत, परंतु 80% डिव्हाइसेस विद्यार्थ्यांचे BYOD लॅपटॉप्स आणि फोन्स आहेत. ते या डिव्हाइसेसवर MDM नावनोंदणीची सक्ती करू शकत नाहीत. त्यांनी पोश्चर असेसमेंटकडे कसा दृष्टिकोन ठेवावा?

  1. आर्किटेक्चरची निवड: हायब्रिड दृष्टिकोन आवश्यक आहे. कर्मचारी/फॅकल्टी कॉर्पोरेट डिव्हाइसेससाठी एजंटलेस/MDM चेक्स वापरा आणि विद्यार्थी BYOD साठी डिसॉल्व्हेबल एजंट किंवा नेटवर्क-आधारित असेसमेंटसह Captive Portal वापरा.
  2. BYOD फ्लो: विद्यार्थी 'Student-WiFi' SSID शी कनेक्ट होतात. ते युनिव्हर्सिटी क्रेडेन्शियल्स वापरून Captive Portal द्वारे ऑथेंटिकेट करतात.
  3. डिसॉल्व्हेबल एजंट: लॉगिन केल्यावर, पोर्टल वापरकर्त्याला ॲडमिन राइट्स किंवा कायमस्वरूपी इन्स्टॉलेशनची आवश्यकता नसलेला एक हलका, तात्पुरता ॲपलेट (डिसॉल्व्हेबल एजंट) चालवण्यास प्रवृत्त करते जो मूलभूत पोश्चर (उदा. किमान OS आवृत्ती, सक्रिय फायरवॉल) तपासतो.
  4. अंमलबजावणी: जर डिसॉल्व्हेबल एजंटने पास नोंदवला, तर डिव्हाइसला स्टुडंट VLAN मध्ये प्रवेश दिला जातो. जर तो फेल झाला, तर पोर्टल त्यांची OS कशी अपडेट करावी यावरील सूचना प्रदर्शित करते.
  5. पर्याय (नेटवर्क-आधारित): जर डिसॉल्व्हेबल एजंट्समुळे खूप जास्त अडथळे येत असतील, तर अत्यंत जुन्या OS आवृत्त्या शोधण्यासाठी आणि त्यांना ब्लॉक करण्यासाठी पॅसिव्ह नेटवर्क प्रोफाइलिंग (DHCP फिंगरप्रिंटिंग, HTTP युजर-एजंट पार्सिंग) वापरा, BYOD साठी कमी पातळीचे ॲश्युरन्स स्वीकारून.
परीक्षकाचे भाष्य: BYOD-हेवी वातावरणात, वापरकर्त्याला येणारा अडथळा हा सुरक्षेचा प्राथमिक शत्रू आहे. विद्यार्थ्यांवर MDM किंवा कायमस्वरूपी एजंट्सची सक्ती करणे अयशस्वी ठरेल. डिसॉल्व्हेबल एजंट कायमस्वरूपी घुसखोरी न करता कनेक्शनच्या वेळी महत्त्वपूर्ण आरोग्य ॲट्रिब्यूट्स तपासून एक वाजवी तडजोड प्रदान करतो.

सराव प्रश्न

Q1. तुमची संस्था 2,000 कॉर्पोरेट लॅपटॉप्ससाठी पोश्चर असेसमेंट लागू करत आहे. तुम्ही Windows 11 आणि सक्रिय EDR एजंट आवश्यक करण्यासाठी पॉलिसी कॉन्फिगर केली आहे. सोमवारी सकाळी, तुम्ही एन्फोर्समेंट मोडमध्ये पॉलिसी सक्षम करण्याची योजना आखत आहात. तुम्ही कोणती महत्त्वाची पायरी चुकवली आहे?

टीप: ताफ्याच्या आरोग्याविषयीचे तुमचे गृहितक चुकीचे असल्यास हेल्पडेस्कवर होणाऱ्या परिणामाचा विचार करा.

नमुना उत्तर पहा

तुम्ही 'मॉनिटर मोड' टप्पा चुकवला आहे. ब्लॉकिंग पॉलिसी लागू करण्यापूर्वी, कंप्लायन्सची बेसलाइन स्थापित करण्यासाठी सिस्टीम अनेक आठवडे केवळ मॉनिटर मोडमध्ये चालवणे आवश्यक आहे. या डेटाशिवाय पहिल्या दिवशी एन्फोर्समेंट सक्षम केल्यास अनपेक्षितपणे पोश्चर चेकमध्ये फेल होणाऱ्या वापरकर्त्यांकडून हेल्पडेस्क तिकिटांमध्ये मोठी वाढ होईल.

Q2. एखादे डिव्हाइस 802.1X द्वारे यशस्वीरित्या ऑथेंटिकेट होते आणि MDM पोश्चर चेक पास करते. RADIUS सर्व्हर लॉग्स ॲक्सेस-अक्सेप्ट आणि यशस्वी पोश्चर मूल्यांकन दर्शवतात, परंतु वापरकर्ता तक्रार करतो की ते अद्याप इंटरनेट किंवा कॉर्पोरेट संसाधनांमध्ये प्रवेश करू शकत नाहीत. आर्किटेक्चरमध्ये फेल्युअरचा सर्वात संभाव्य बिंदू कोणता आहे?

टीप: नेटवर्क ॲक्सेस डिव्हाइसला (AP किंवा स्विच) पोश्चर चेक पूर्ण झाल्यानंतर वापरकर्त्याची ॲक्सेस लेव्हल बदलण्याची सूचना कशी दिली जाते याचा विचार करा.

नमुना उत्तर पहा

सर्वात संभाव्य फेल्युअर म्हणजे RADIUS चेंज ऑफ ऑथरायझेशन (CoA). डिव्हाइसला सुरुवातीला प्रतिबंधित पोश्चर VLAN मध्ये ठेवले गेले असावे. जरी सर्व्हरच्या बाजूने पोश्चर चेक पास झाला असला तरी, जर CoA मेसेज ड्रॉप झाला असेल, फायरवॉलद्वारे ब्लॉक केला गेला असेल किंवा ॲक्सेस पॉइंटद्वारे प्रोसेस केला गेला नसेल, तर डिव्हाइस प्रतिबंधित VLAN मध्येच अडकून राहील.

Q3. तुम्ही एका रिटेल चेनसाठी WiFi व्यवस्थापित करता. कॉर्पोरेट डिव्हाइसेस Intune द्वारे व्यवस्थापित केली जातात, परंतु स्टोअर मॅनेजर्स अनेकदा वैयक्तिक iPads स्टाफ नेटवर्कशी कनेक्ट करतात. तुम्हाला कॉर्पोरेट डिव्हाइसेससाठी पोश्चर चेक्स लागू करायचे आहेत. तुम्ही वैयक्तिक iPads कसे हाताळावे?

टीप: तुमच्या मालकीच्या नसलेल्या डिव्हाइसेसवर तुम्ही एजंटलेस किंवा एजंट-आधारित चेक्स करू शकता की नाही याचा विचार करा.

नमुना उत्तर पहा

वापरकर्त्याला महत्त्वपूर्ण अडथळा निर्माण केल्याशिवाय तुम्ही अनमॅनेज्ड वैयक्तिक डिव्हाइसेसवर खात्रीशीरपणे डीप पोश्चर चेक्स करू शकत नाही. वैयक्तिक iPads ओळखण्यासाठी आयडेंटिटी प्रोफाइलिंग किंवा MAB वापरणे आणि कॉर्पोरेट डिव्हाइसेसवर लागू केलेल्या कठोर पोश्चर आवश्यकतांना बायपास करून, त्यांना इंटरनेट-ओन्ली ॲक्सेससह सेगमेंटेड गेस्ट किंवा BYOD VLAN कडे स्वयंचलितपणे राउट करणे हा सर्वोत्तम दृष्टिकोन आहे.

या मालिकेमध्ये पुढे वाचा

Wi-Fi सुरक्षेचे भविष्य: AI-आधारित NAC आणि थ्रेट डिटेक्शन

हे अधिकृत मार्गदर्शक जुन्या WPA2 कडून AI-आधारित नेटवर्क ॲक्सेस कंट्रोल (NAC) आणि थ्रेट डिटेक्शनकडे एंटरप्राइझ Wi-Fi सुरक्षेच्या उत्क्रांतीचा शोध घेते. IT लीडर्ससाठी डिझाइन केलेले, हे Purple च्या आयडेंटिटी-आधारित नेटवर्क्सचा वापर करून रिटेल, हॉस्पिटॅलिटी आणि स्टेडियम्ससारख्या हाय-डेन्सिटी वातावरणांना सुरक्षित करण्यासाठी कृतीयोग्य डिप्लॉयमेंट धोरणे प्रदान करते.

मार्गदर्शिका वाचा →

NAC आणि MPSK सह IoT डिव्हाइस सिक्युरिटी व्यवस्थापित करणे

हे तांत्रिक मार्गदर्शक एंटरप्राइझ ठिकाणे मल्टिपल प्री-शेअर्ड की (MPSK) आर्किटेक्चर आणि नेटवर्क ॲक्सेस कंट्रोल (NAC) वापरून हेडलेस IoT डिव्हाइसेस कसे सुरक्षित करू शकतात हे तपशीलवार सांगते. हे मायक्रो-सेगमेंटेशन साध्य करण्यासाठी, सिक्युरिटी ब्लास्ट रेडियस नियंत्रित करण्यासाठी आणि स्केलेबिलिटीशी तडजोड न करता कंप्लायन्स राखण्यासाठी कृती करण्यायोग्य अंमलबजावणीच्या पायऱ्या प्रदान करते.

मार्गदर्शिका वाचा →

RadSec: TLS वरील RADIUS मुळे WiFi प्रमाणीकरण सुरक्षा कशी सुधारते

हा अधिकृत तांत्रिक संदर्भ स्पष्ट करतो की RadSec (RFC 6614) पारंपारिक RADIUS ट्रॅफिकला TLS एन्क्रिप्शनमध्ये रॅप करून एंटरप्राइझ WiFi प्रमाणीकरण कसे सुरक्षित करते. IT व्यवस्थापक आणि नेटवर्क आर्किटेक्ट्ससाठी डिझाइन केलेले, हे कॉर्पोरेट आणि अतिथी नेटवर्कवर अनएन्क्रिप्टेड UDP RADIUS ट्रॅफिकचे धोके कमी करण्यासाठी आर्किटेक्चर, डिप्लॉयमेंट धोरणे आणि व्यावहारिक पायऱ्या कव्हर करते.

मार्गदर्शिका वाचा →