Fortinet FortiAP आणि Purple WiFi इंटिग्रेशन मार्गदर्शक

Fortinet FortiAP आणि FortiGate इन्फ्रास्ट्रक्चरला Purple WiFi सोबत इंटिग्रेट करण्यासाठी एक निश्चित तांत्रिक संदर्भ. या मार्गदर्शकामध्ये बाह्य Captive Portal कॉन्फिगरेशन, FortiAuthenticator सोबत RADIUS ऑथेंटिकेशन सहअस्तित्व आणि हॉस्पिटॅलिटी, रिटेल आणि सार्वजनिक-क्षेत्रातील वातावरणातील एंटरप्राइझ डिप्लॉयमेंट्ससाठी सुरक्षा धोरण डिझाइन समाविष्ट आहे.

📖 7 मिनिट वाचन📝 1,552 शब्द🔧 2 सोडवलेली उदाहरणे❓ 3 सराव प्रश्न📚 9 महत्वाच्या व्याख्या

हे मार्गदर्शक ऐका

पॉडकास्ट ट्रान्सक्रिप्ट पहा

Purple आर्किटेक्चर ब्रीफिंगमध्ये आपले स्वागत आहे. आज आम्ही एका महत्त्वपूर्ण इंटिग्रेशनवर सविस्तर चर्चा करत आहोत: Fortinet इन्फ्रास्ट्रक्चर, विशेषतः FortiAP ॲक्सेस पॉइंट्स आणि FortiGate फायरवॉल्स सोबत Purple WiFi डिप्लॉय करणे. जर तुम्ही IT व्यवस्थापक, नेटवर्क आर्किटेक्ट किंवा ठिकाण व्यवस्थापित करणारे CTO असाल — मग ती रिटेल चेन असो, स्टेडियम असो किंवा हॉस्पिटल असो — हे सत्र तुम्हाला या दोन शक्तिशाली प्लॅटफॉर्म्सना अखंडपणे एकत्र काम करण्यासाठी कृती करण्यायोग्य ब्लूप्रिंट देण्यासाठी डिझाइन केले आहे.

चला संदर्भ सेट करूया. Fortinet त्याच्या मजबूत सुरक्षा स्थितीसाठी प्रसिद्ध आहे. FortiGate युनिफाइड थ्रेट मॅनेजमेंट अप्लायन्सेस सखोल, Layer 7 ट्रॅफिक तपासणी प्रदान करतात. तथापि, जेव्हा अतिथी WiFi चा विचार केला जातो, तेव्हा तुम्हाला केवळ सुरक्षा नको असते — तुम्हाला व्यावसायिक मूल्य हवे असते. तुम्हाला डेमोग्राफिक डेटा कॅप्चर करायचा असतो, अभ्यागतांचे वर्तन समजून घ्यायचे असते आणि गुंतवणुकीवरील विपणन परतावा (ROI) वाढवायचा असतो. तिथेच Purple ची भूमिका येते. बाह्य Captive Portal म्हणून Purple ला इंटिग्रेट करून, तुम्ही अतिथी ओळख व्यवस्थापन, GDPR संमती आणि सोशल लॉगिनचे जड काम Purple च्या क्लाउड RADIUS वर ऑफलोड करता, आणि FortiGate ला त्याचे सर्वोत्तम काम करू देता: परिमिती सुरक्षित करणे.

तर, हे प्रत्यक्षात कसे कार्य करते? चला तांत्रिक सखोल माहिती घेऊया.

हे आर्किटेक्चर मानक RADIUS प्रोटोकॉल आणि HTTP रीडायरेक्शनवर अवलंबून आहे. जेव्हा एखादे अतिथी डिव्हाइस FortiAP द्वारे प्रसारित केलेल्या तुमच्या खुल्या अतिथी SSID शी जोडले जाते, तेव्हा FortiGate ती प्रारंभिक वेब विनंती इंटरसेप्ट करते. मूलभूत, स्थानिकरित्या संचयित केलेले पोर्टल पृष्ठ सर्व्ह करण्याऐवजी, FortiGate क्लायंटला Purple च्या क्लाउड-होस्टेड स्प्लॅश पेजवर रीडायरेक्ट करते.

आता, येथे एक महत्त्वपूर्ण संकल्पना आहे: वॉल्ड गार्डन. या प्री-ऑथेंटिकेशन टप्प्यात, अतिथीला इंटरनेट ॲक्सेस नसतो. परंतु त्यांना पोर्टल ग्राफिक्स लोड करणे आवश्यक असते आणि लॉग इन करण्यासाठी त्यांना Facebook किंवा Google पर्यंत पोहोचण्याची आवश्यकता असू शकते. वॉल्ड गार्डन ही FortiGate वर कॉन्फिगर केलेली एक कठोर अलोलिस्ट आहे जी या विशिष्ट डोमेन्सवर ट्रॅफिकला अनुमती देते. एकदा वापरकर्त्याने प्रमाणीकरण केले की, Purple चा प्लॅटफॉर्म FortiGate ला RADIUS ॲक्सेस-ॲक्सेप्ट मेसेज परत पाठवतो. त्यानंतर FortiGate स्विच फ्लिप करते, सेशनची स्थिती ऑथेंटिकेटेड मध्ये बदलते आणि वापरकर्त्याला तुमच्या पोस्ट-ऑथेंटिकेशन फायरवॉल पॉलिसीमध्ये ड्रॉप करते.

चला RADIUS कॉन्फिगरेशनबद्दल अधिक तपशीलवार बोलूया, कारण येथे अचूकता महत्त्वाची आहे. Purple तुम्हाला RADIUS क्रेडेन्शियल्सचे दोन संच प्रदान करते: एक पोर्ट 1812 वरील ऑथेंटिकेशनसाठी आणि एक पोर्ट 1813 वरील अकाउंटिंगसाठी. दोन्ही कॉन्फिगर करणे आवश्यक आहे. अकाउंटिंग सर्व्हर पर्यायी नाही. ही ती यंत्रणा आहे ज्याद्वारे FortiGate सेशन डेटा Purple ला परत रिपोर्ट करते — कालावधी, वापरलेली बँडविड्थ आणि सेशन समाप्ती इव्हेंट्स. अचूक अकाउंटिंग डेटाशिवाय, तुमचा Purple ॲनालिटिक्स डॅशबोर्ड अपूर्ण किंवा चुकीचे अभ्यागत मेट्रिक्स दर्शवेल. तुमचे अकाउंटिंग अंतरिम मध्यांतर 120 सेकंदांवर सेट करा. हे रिअल-टाइम दृश्यमानता आणि नेटवर्क ओव्हरहेड यांच्यात चांगले संतुलन प्रदान करते.

एका अतिशय सामान्य परिस्थितीमध्ये FortiAuthenticator चा समावेश असतो. अनेक एंटरप्रायझेस त्यांच्या कर्मचारी WiFi साठी FortiAuthenticator वापरतात — Active Directory विरुद्ध कॉर्पोरेट डिव्हाइसेस प्रमाणित करण्यासाठी 802.1X आणि PEAP वापरून. प्रश्न नेहमी असा असतो: मी कर्मचाऱ्यांसाठी माझा FortiAuthenticator ठेवू शकतो आणि अतिथींसाठी Purple वापरू शकतो का?

याचे उत्तर नक्कीच होय आहे, आणि येथील नियम म्हणजे कठोर सेग्रिगेशन (विभाजन). तुम्ही तुमचा कर्मचारी SSID FortiAuthenticator कडे निर्देशित करून ठेवता. तुम्ही अतिथींसाठी Purple च्या बाह्य Captive Portal आणि क्लाउड RADIUS कडे निर्देशित करणारा पूर्णपणे स्वतंत्र, खुला SSID तयार करता. FortiGate SSID च्या आधारावर प्रमाणीकरण विनंत्या राउट करते. कर्मचारी ओळख FortiAuthenticator सह ऑन-प्रिमाइसेस राहते. अतिथी ओळख Purple मार्केटिंग क्लाउडमध्ये जाते. शून्य क्रॉसओव्हर, जास्तीत जास्त सुरक्षा.

या आर्किटेक्चरचा एक महत्त्वपूर्ण अनुपालन फायदा देखील आहे. PCI DSS आवश्यकतांनुसार, अतिथी WiFi नेटवर्क्स कार्डधारक डेटा हाताळणाऱ्या कोणत्याही नेटवर्क सेगमेंटपासून पूर्णपणे वेगळे असणे आवश्यक आहे. अतिथी SSID ला समर्पित VLAN वर ठेवून आणि सर्व RFC 1918 खाजगी IP स्पेस डेस्टिनेशन्स ब्लॉक करण्यासाठी FortiGate वर कठोर फायरवॉल धोरणे लागू करून, तुम्ही ही आवश्यकता स्वच्छपणे पूर्ण करता.

आता अंमलबजावणीच्या शिफारसींकडे वळूया. जेव्हा तुम्ही हे सेट करत असता, तेव्हा तुम्हाला IP असाइनमेंटबाबत एक महत्त्वपूर्ण निर्णय घ्यावा लागतो: NAT मोड विरुद्ध Bridge मोड.

जर तुम्ही पन्नास ते शंभर समवर्ती अतिथी कनेक्शन्स असलेली लहान रिटेल शाखा डिप्लॉय करत असाल, तर NAT मोड पूर्णपणे पुरेसा आहे. FortiGate समर्पित अंतर्गत सबनेटमधून अतिथींना DHCP पत्ते देते आणि ट्रॅफिक फायरवॉलमधून बाहेर पडताना त्यांचे भाषांतर करते. हे सोपे आहे आणि यासाठी कमीतकमी अतिरिक्त इन्फ्रास्ट्रक्चरची आवश्यकता आहे.

परंतु जर तुम्ही उच्च-घनतेचे वातावरण डिप्लॉय करत असाल — जसे की, पाचशे खोल्यांचे हॉटेल, एकाधिक समवर्ती इव्हेंट्स असलेले कॉन्फरन्स सेंटर किंवा स्टेडियम — तर तुम्ही Bridge मोड वापरणे आवश्यक आहे. Bridge मोडमध्ये, FortiAP अतिथी ट्रॅफिक थेट समर्पित VLAN वर ड्रॉप करते, ज्यामुळे तुमच्या कोर एंटरप्राइझ DHCP सर्व्हर्सना लोड हाताळण्याची अनुमती मिळते. हे पीक कनेक्शन इव्हेंट्स दरम्यान FortiGate ला DHCP बॉटलनेक बनण्यापासून प्रतिबंधित करते. Bridge मोड हे देखील सुनिश्चित करतो की Purple प्लॅटफॉर्म खरा क्लायंट IP पत्ता पाहतो, जो अचूक ॲनालिटिक्स आणि समस्यानिवारणासाठी महत्त्वपूर्ण आहे.

चला टप्प्याटप्प्याने कॉन्फिगरेशन क्रमाबद्दल बोलूया, कारण येथे क्रम महत्त्वाचा आहे.

Purple पोर्टलमध्ये सुरुवात करा. तुमचे RADIUS सर्व्हर क्रेडेन्शियल्स मिळवा — सर्व्हर IP पत्ते, शेअर्ड सिक्रेट्स, Captive Portal URL आणि रीडायरेक्ट URL. Fortinet कॉन्फिगरेशनला स्पर्श करण्यापूर्वी तुम्हाला या चार महत्त्वपूर्ण माहितीची आवश्यकता आहे.

त्यानंतर, FortiCloud डॅशबोर्ड किंवा तुमच्या FortiGate मॅनेजमेंट इंटरफेसवर जा. प्रथम तुमचे RADIUS सर्व्हर्स परिभाषित करा — 1812 वर ऑथेंटिकेशन, 1813 वर अकाउंटिंग. त्यानंतर तुमचा अतिथी SSID तयार करा, ऑथेंटिकेशन Open वर सेट करा, बाह्य Captive Portal सक्षम करा आणि Purple पोर्टल URL आणि रीडायरेक्ट URL प्रविष्ट करा. तुमचे वॉल्ड गार्डन कॉन्फिगर करा. आणि शेवटी, तुमच्या UTM प्रोफाइल्ससह तुमची पोस्ट-ऑथेंटिकेशन फायरवॉल पॉलिसी परिभाषित करा.

अडचणींबद्दल काय? डिप्लॉयमेंट्स सहसा कुठे चुकतात?

सर्वात मोठी समस्या, निःसंशयपणे, अपूर्ण वॉल्ड गार्डन आहे. जर अतिथी कनेक्ट झाला आणि त्याला रिक्त स्क्रीन किंवा कनेक्शन टाइमआउट मिळाला, तर याचा अर्थ असा होतो की FortiGate प्रमाणीकरणापूर्वी Purple च्या CSS फाइल्स, JavaScript ॲसेट्स किंवा सोशल लॉगिन APIs मध्ये प्रवेश अवरोधित करत आहे. तुम्ही हे सुनिश्चित केले पाहिजे की त्या प्री-ऑथेंटिकेशन पॉलिसीमध्ये प्रत्येक आवश्यक डोमेनला स्पष्टपणे परवानगी दिली आहे. Purple आवश्यक डोमेन्सची सर्वसमावेशक सूची प्रदान करते — ती पूर्णपणे वापरा.

तसेच, DNS विसरू नका. अनऑथेंटिकेटेड क्लायंट्सना DNS क्वेरी रिझॉल्व्ह करण्याची परवानगी दिली पाहिजे, अन्यथा रीडायरेक्ट काम करणार नाही. पृष्ठ लोड करण्याचा प्रयत्न करण्यापूर्वी डिव्हाइसला Purple पोर्टल होस्टनेम रिझॉल्व्ह करणे आवश्यक आहे.

दुसरी सर्वात सामान्य अडचण म्हणजे प्रमाणपत्र त्रुटी. तुमचा FortiGate रीडायरेक्शन इंटरफेससाठी वैध, सार्वजनिकरित्या विश्वसनीय SSL प्रमाणपत्र सादर करत असल्याची खात्री करा. जर तुम्ही डीफॉल्ट सेल्फ-साइंड प्रमाणपत्र वापरत असाल, तर आधुनिक iPhones आणि Android डिव्हाइसेस महत्त्वपूर्ण सुरक्षा चेतावणी देतील आणि तुमचे अतिथी कनेक्शन पूर्णपणे सोडून देतील. हॉस्पिटॅलिटी वातावरणात ही एक विशेषतः तीव्र समस्या आहे जिथे अतिथी अनुभव सर्वोपरि आहे.

तिसरी अडचण म्हणजे RADIUS टाइमआउट त्रुटी. जर पोर्टल लोड होत असेल परंतु प्रमाणीकरण सातत्याने अयशस्वी होत असेल, तर तुमचे FortiGate कॉन्फिगरेशन आणि Purple पोर्टल यांच्यातील शेअर्ड सिक्रेट्स तंतोतंत जुळत असल्याची खात्री करा. एका अक्षराच्या फरकामुळेही सर्व प्रमाणीकरण प्रयत्न सायलेंटली अयशस्वी होतील. तसेच तुमचे Fortinet इन्फ्रास्ट्रक्चर आणि Purple च्या क्लाउड RADIUS सर्व्हर्समधील UDP पोर्ट्स 1812 आणि 1813 कोणतेही मध्यवर्ती फायरवॉल ब्लॉक करत नाहीयेत याची खात्री करा.

चला क्लायंट्सकडून आम्हाला ऐकायला मिळणाऱ्या सर्वात सामान्य प्रश्नांवर आधारित रॅपिड-फायर प्रश्न आणि उत्तर सत्रासह समारोप करूया.

प्रश्न एक: Purple वापरल्याने माझी FortiGate सुरक्षा धोरणे बायपास होतात का? अजिबात नाही. Purple प्रमाणीकरण आणि ओळख कॅप्चर हाताळते. एकदा प्रमाणीकरण झाल्यानंतर, सर्व अतिथी ट्रॅफिक तुमच्या FortiGate च्या पोस्ट-ऑथेंटिकेशन पॉलिसीमधून वाहते. नेमके येथेच तुम्ही FortiGuard वेब फिल्टरिंग लागू करता, पीअर-टू-पीअर ट्रॅफिक ब्लॉक करता आणि बँडविड्थ शेप करता. याचा असा विचार करा: प्री-ऑथेंटिकेशन लॉगिनला अनुमती देण्यासाठी परमिसिव्ह आहे; पोस्ट-ऑथेंटिकेशन नेटवर्कचे संरक्षण करण्यासाठी प्युनिटिव्ह आहे.

प्रश्न दोन: मला स्थानिक RADIUS सर्व्हर्स डिप्लॉय करण्याची आवश्यकता आहे का? नाही. Purple RADIUS-as-a-Service प्रदान करते. तुम्ही FortiGate ला थेट Purple च्या क्लाउड RADIUS IP पत्त्यांकडे निर्देशित करण्यासाठी कॉन्फिगर करता. अतिथी नेटवर्कसाठी FreeRADIUS, Windows NPS किंवा इतर कोणतेही स्थानिक RADIUS इन्फ्रास्ट्रक्चर डिप्लॉय आणि राखण्याची आवश्यकता नाही.

प्रश्न तीन: Purple FortiWLM सोबत काम करू शकते का? होय. इंटिग्रेशन दृष्टिकोन सुसंगत आहे — FortiGate कॉन्फिगरेशन प्रमाणेच तार्किक क्रमाचे अनुसरण करून, FortiWLM कंट्रोलरमध्ये बाह्य Captive Portal URL, RADIUS सर्व्हर क्रेडेन्शियल्स आणि वॉल्ड गार्डन कॉन्फिगर करा.

प्रश्न चार: GDPR अनुपालनाबद्दल काय? Purple पोर्टल स्तरावर स्पष्ट संमती कॅप्चर करते, प्रमाणीकरणापूर्वी तुमच्या अटी व शर्ती आणि डेटा प्रोसेसिंग नोटिसा सादर करते. हा संमती डेटा Purple प्लॅटफॉर्ममध्ये संचयित केला जातो आणि ऑडिट करण्यायोग्य असतो. FortiGate ची भूमिका पूर्णपणे नेटवर्क अंमलबजावणीची आहे — त्याला संमती डेटा थेट हाताळण्याची आवश्यकता नाही.

आजच्या ब्रीफिंगमधील प्रमुख मुद्दे सारांशित करण्यासाठी...

प्रथम: तुमचे कर्मचारी आणि अतिथी SSIDs पूर्णपणे वेगळे करा. 802.1X सह FortiAuthenticator वर कर्मचारी. बाह्य Captive Portal सह Purple वर अतिथी.

दुसरे: तुमचे वॉल्ड गार्डन अचूकपणे कॉन्फिगर करा. हा सर्वात सामान्य अपयश बिंदू आहे आणि सर्वात महत्त्वाचा प्री-ऑथेंटिकेशन कॉन्फिगरेशन घटक आहे.

तिसरे: DHCP बॉटलनेक टाळण्यासाठी आणि अचूक क्लायंट IP दृश्यमानता सुनिश्चित करण्यासाठी कोणत्याही उच्च-घनतेच्या डिप्लॉयमेंटसाठी Bridge मोड वापरा.

चौथे: RADIUS ऑथेंटिकेशन आणि अकाउंटिंग सर्व्हर्स दोन्ही कॉन्फिगर करा. जर तुम्हाला अर्थपूर्ण ॲनालिटिक्स हवे असतील तर अकाउंटिंग पर्यायी नाही.

पाचवे: प्रमाणीकरणानंतर Fortinet च्या UTM वैशिष्ट्यांचा लाभ घ्या. वेब फिल्टरिंग, ॲप्लिकेशन कंट्रोल आणि बँडविड्थ शेपिंग हे सर्व पोस्ट-ऑथेंटिकेशन फायरवॉल पॉलिसीमध्ये लागू केले जावे.

हे इंटिग्रेशन योग्यरित्या कार्यान्वित करून, तुम्ही अतिथी WiFi ला कॉस्ट सेंटरमधून अनुपालन, सुरक्षित आणि महसूल-निर्मिती ॲसेटमध्ये रूपांतरित करता. Fortinet ची सुरक्षा खोली आणि Purple ची मार्केटिंग इंटेलिजन्स यांचे संयोजन कोणत्याही ठिकाण ऑपरेटरसाठी खरोखर शक्तिशाली आहे ज्यांना त्यांचा अतिथी अनुभव आणि डेटा धोरण गांभीर्याने घ्यायचे आहे.

Purple आर्किटेक्चर ब्रीफिंग ऐकल्याबद्दल धन्यवाद. जर तुम्हाला तुमच्या विशिष्ट डिप्लॉयमेंट आवश्यकतांवर चर्चा करायची असेल, तर सोल्यूशन्स टीमशी बोलण्यासाठी purple.ai ला भेट द्या.

महत्वाचे मुद्दे

✓Purple च्या क्लाउड RADIUS चा वापर करून मुख्य नेटवर्क सुरक्षेपासून अतिथी प्रमाणीकरण वेगळे करा — FortiGate धोरण लागू करते, Purple ओळख व्यवस्थापित करते.
✓कर्मचारी (FortiAuthenticator, 802.1X) आणि अतिथी (Purple बाह्य Captive Portal) यांच्यात परिपूर्ण SSID आणि VLAN सेग्रिगेशन राखा.
✓अचूकपणे कॉन्फिगर केलेले वॉल्ड गार्डन ही सर्वात महत्त्वाची पायरी आहे — अपूर्ण प्री-ऑथ डोमेन अलोलिस्ट्समुळे बहुतांश Captive Portal अपयश येतात.
✓RADIUS ऑथेंटिकेशन (Port 1812) आणि अकाउंटिंग (Port 1813) दोन्ही सर्व्हर्स कॉन्फिगर करा — Purple ॲनालिटिक्ससाठी अकाउंटिंग डेटा आवश्यक आहे.
✓DHCP ऑफलोड करण्यासाठी, FortiGate बॉटलनेक टाळण्यासाठी आणि क्लायंट IP दृश्यमानता सुधारण्यासाठी उच्च-घनतेच्या डिप्लॉयमेंट्ससाठी Bridge मोड वापरा.
✓Fortinet UTM धोरणे (FortiGuard वेब फिल्टरिंग, ॲप्लिकेशन कंट्रोल, ट्रॅफिक शेपिंग) काटेकोरपणे पोस्ट-ऑथेंटिकेशन फायरवॉल पॉलिसीमध्ये लागू करा.
✓पोर्टल सोडून जाण्याचे प्रमाण वाढवणाऱ्या अतिथी-समोरील प्रमाणपत्र चेतावणी टाळण्यासाठी FortiGate रीडायरेक्शन इंटरफेसवर सार्वजनिकरित्या विश्वसनीय SSL प्रमाणपत्र वापरा.

कार्यकारी सारांश

Fortinet इन्फ्रास्ट्रक्चर चालवणाऱ्या एंटरप्राइझ IT टीम्ससाठी, कठोर सुरक्षा मानके राखून अतिथी प्रवेशासाठी बाह्य Captive Portal इंटिग्रेट करणे ही एक सामान्य आवश्यकता असते. Fortinet FortiAP ॲक्सेस पॉइंट्स, FortiGate युनिफाइड थ्रेट मॅनेजमेंट (UTM) अप्लायन्सेस आणि Purple WiFi प्लॅटफॉर्ममधील इंटिग्रेशन संस्थांना अतिथी प्रमाणीकरण (guest authentication) मुख्य नेटवर्क सुरक्षेपासून वेगळे करण्याची अनुमती देते. हे मार्गदर्शक तांत्रिक आर्किटेक्ट्स आणि IT व्यवस्थापकांना Fortinet वातावरणात बाह्य Captive Portal म्हणून Purple डिप्लॉय करण्यासाठी निश्चित ब्लूप्रिंट प्रदान करते. अतिथी ओळख व्यवस्थापन Purple च्या क्लाउड RADIUS वर ऑफलोड करून, नेटवर्क टीम्स ट्रॅफिक तपासणीसाठी Fortinet च्या मजबूत Layer 7 सुरक्षा धोरणांचा फायदा घेऊ शकतात आणि त्याच वेळी व्यावसायिक मूल्य वाढवण्यासाठी फर्स्ट-पार्टी डेमोग्राफिक डेटा कॅप्चर करू शकतात. विस्तृत रिटेल इस्टेटमध्ये किंवा उच्च-घनतेच्या स्टेडियममध्ये डिप्लॉय करत असले तरीही, हे आर्किटेक्चर अखंड Guest WiFi अनुभव प्रदान करताना PCI DSS आणि GDPR चे पालन सुनिश्चित करते.

तांत्रिक सखोल माहिती

Fortinet आणि Purple मधील आर्किटेक्चरल इंटिग्रेशन मानक RADIUS प्रोटोकॉल आणि HTTP रीडायरेक्शन यंत्रणेवर अवलंबून आहे. जेव्हा एखादे अतिथी डिव्हाइस FortiAP द्वारे प्रसारित केलेल्या नियुक्त खुल्या SSID शी जोडले जाते, तेव्हा FortiGate प्रारंभिक HTTP/HTTPS विनंती इंटरसेप्ट करते. स्थानिक Captive Portal सर्व्ह करण्याऐवजी, FortiGate क्लायंटला Purple च्या क्लाउड-होस्टेड स्प्लॅश पेजवर रीडायरेक्ट करण्यासाठी कॉन्फिगर केलेले असते.

या प्री-ऑथेंटिकेशन टप्प्यात, FortiGate एक वॉल्ड गार्डन (walled garden) लागू करते — IP पत्ते आणि डोमेन्सची एक कठोर अलोलिस्ट जी क्लायंट डिव्हाइसला संपूर्ण इंटरनेट ॲक्सेस न देता Captive Portal ॲसेट्स लोड करण्यास, सोशल लॉगिन करण्यास आणि आवश्यक सेवांमध्ये (जसे की DNS) प्रवेश करण्यास अनुमती देते. एकदा वापरकर्त्याने Purple पोर्टलवर प्रमाणीकरण केले की, Purple प्लॅटफॉर्म RADIUS ॲक्सेस-ॲक्सेप्ट (Access-Accept) मेसेजेसद्वारे FortiGate शी पुन्हा संवाद साधतो. त्यानंतर FortiGate क्लायंटची सेशन स्थिती अनऑथेंटिकेटेड वरून ऑथेंटिकेटेड मध्ये बदलते आणि योग्य पोस्ट-ऑथेंटिकेशन फायरवॉल धोरणे लागू करते.

RADIUS सहअस्तित्व: Purple आणि FortiAuthenticator

Fortinet शॉप्समधील एक वारंवार येणारे आर्किटेक्चरल आव्हान म्हणजे कॉर्पोरेट ओळखीसाठी FortiAuthenticator (FAC) आधीच डिप्लॉय केलेले असताना कर्मचारी प्रमाणीकरणासोबत अतिथी प्रवेश व्यवस्थापित करणे. यासाठी शिफारस केलेला दृष्टिकोन म्हणजे परिपूर्ण SSID सेग्रिगेशन (विभाजन). कर्मचारी डिव्हाइसेस IEEE 802.1X चा वापर करून सुरक्षित SSID शी कनेक्ट होतात — सामान्यतः PEAP किंवा EAP-TLS — जे थेट FortiAuthenticator विरुद्ध प्रमाणित केले जातात. याउलट, अतिथी डिव्हाइसेस बाह्य Captive Portal रीडायरेक्शनसाठी कॉन्फिगर केलेल्या खुल्या SSID शी कनेक्ट होतात, जे Purple च्या क्लाउड RADIUS इन्फ्रास्ट्रक्चर विरुद्ध प्रमाणित केले जातात.

हे विभाजन सुनिश्चित करते की अतिथी ओळख डेटा — जो WiFi Analytics साठी महत्त्वपूर्ण आहे — संपूर्णपणे Purple प्लॅटफॉर्ममध्ये व्यवस्थापित केला जातो, तर कॉर्पोरेट Active Directory क्रेडेन्शियल्स ऑन-प्रिमाइसेस FortiAuthenticator द्वारे सुरक्षितपणे प्रोसेस केले जातात. FortiGate दोन्ही ट्रॅफिक प्रवाहांचे राउटिंग आणि पॉलिसी अंमलबजावणी स्वतंत्रपणे हाताळते, ज्यामुळे अतिथी VLAN आणि कॉर्पोरेट VLAN मध्ये शून्य क्रॉसओव्हर सुनिश्चित होतो. हे आर्किटेक्चर नेटवर्क सेग्मेंटेशनसाठी PCI DSS आवश्यकता देखील पूर्ण करते, कारण अतिथी ट्रॅफिक कोणत्याही पेमेंट-प्रोसेसिंग इन्फ्रास्ट्रक्चरपासून भौतिक आणि तार्किकदृष्ट्या वेगळे केले जाते.

अंमलबजावणी मार्गदर्शक

FortiAP Purple इंटिग्रेशन डिप्लॉय करण्यासाठी Purple पोर्टल आणि Fortinet इन्फ्रास्ट्रक्चर या दोन्हीमध्ये समन्वित कॉन्फिगरेशन आवश्यक आहे. पुढील पायऱ्या FortiCloud AP व्यवस्थापनाचा वापर करून यशस्वी डिप्लॉयमेंटसाठी महत्त्वपूर्ण मार्ग दर्शवतात.

पायरी 1: नेटवर्क आणि RADIUS कॉन्फिगरेशन

FortiCloud डॅशबोर्डमध्ये नेटवर्क परिभाषित करून सुरुवात करा. Configure > My RADIUS Server वर नेव्हिगेट करा आणि Purple पोर्टलमध्ये प्रदान केलेल्या क्रेडेन्शियल्सचा वापर करून ऑथेंटिकेशन सर्व्हर (Port 1812) आणि अकाउंटिंग सर्व्हर (Port 1813) दोन्ही परिभाषित करा. दोन्ही सर्व्हर्स कॉन्फिगर केलेले असणे आवश्यक आहे — अकाउंटिंग पर्यायी नाही. सेशन कालावधी, बँडविड्थ वापर आणि अभ्यागत वारंवारता मेट्रिक्ससह WiFi Analytics डॅशबोर्ड पॉप्युलेट करण्यासाठी Purple RADIUS अकाउंटिंग डेटावर अवलंबून असते. रिअल-टाइम दृश्यमानतेसाठी अकाउंटिंग अंतरिम मध्यांतर 120 सेकंदांवर सेट करा.

पायरी 2: SSID आणि Captive Portal व्याख्या

अतिथी प्रवेशासाठी समर्पित एक नवीन SSID तयार करा. ऑथेंटिकेशन पद्धत Open वर सेट करा आणि बाह्य किंवा कस्टम पोर्टल पर्याय निवडून Captive Portal वैशिष्ट्य सक्षम करा. तुम्ही Purple पोर्टल कॉन्फिगरेशन स्क्रीनद्वारे प्रदान केलेला युनिक ॲक्सेस URL आणि रीडायरेक्ट URL प्रविष्ट करणे आवश्यक आहे.

संपूर्ण डिप्लॉयमेंटमध्ये वॉल्ड गार्डन कॉन्फिगरेशन ही सर्वात संवेदनशील पायरी आहे. सोशल लॉगिन प्रदाते (Facebook, Google, X) आणि आवश्यक पोर्टल ॲसेट्स प्रमाणीकरणापूर्वी योग्यरित्या लोड होतील याची खात्री करण्यासाठी तुम्ही Purple ची आवश्यक डोमेन्सची सर्वसमावेशक सूची प्रविष्ट करणे आवश्यक आहे. वॉल्ड गार्डन अचूकपणे कॉन्फिगर करण्यात अयशस्वी झाल्यास प्रमाणीकरण प्रवाह खंडित होईल, कारण क्लायंट डिव्हाइस आवश्यक बाह्य संसाधनांपर्यंत पोहोचू शकणार नाही. तसेच प्री-ऑथेंटिकेशन पॉलिसीमध्ये DNS ट्रॅफिक (UDP पोर्ट 53) ला स्पष्टपणे परवानगी दिली असल्याची खात्री करा.

पायरी 3: IP असाइनमेंट — NAT विरुद्ध Bridge मोड

SSID परिभाषित करताना, तुम्ही IP असाइनमेंटसाठी NAT मोड आणि Bridge मोड यापैकी एक निवडणे आवश्यक आहे.

NAT मोडमध्ये, FortiGate समर्पित अंतर्गत सबनेटमधून अतिथी डिव्हाइसेसना DHCP पत्ते प्रदान करते आणि ट्रॅफिक फायरवॉलमधून बाहेर पडताना त्या पत्त्यांचे भाषांतर करते. हे सोप्या डिप्लॉयमेंट्ससाठी किंवा लहान Retail शाखा वातावरणासाठी योग्य आहे जेथे FortiGate संपूर्ण अतिथी सबनेट व्यवस्थापित करते.

Bridge मोडमध्ये, FortiAP अतिथी ट्रॅफिक थेट विशिष्ट VLAN वर ब्रिज करते, ज्यामुळे बाह्य DHCP सर्व्हरला IP पत्ते नियुक्त करण्याची अनुमती मिळते. उच्च-घनतेच्या वातावरणासाठी जसे की Hospitality प्रॉपर्टीज किंवा Transport हबसाठी Bridge मोडची जोरदार शिफारस केली जाते, कारण ते IP पत्ता व्यवस्थापनासाठी अधिक लवचिकता प्रदान करते, FortiGate वरील DHCP बॉटलनेक प्रतिबंधित करते आणि अधिक सूक्ष्म ॲनालिटिक्स आणि समस्यानिवारणासाठी Purple प्लॅटफॉर्मला खरा क्लायंट IP पत्ता पाहण्याची अनुमती देते.

पायरी 4: पोस्ट-ऑथेंटिकेशन फायरवॉल पॉलिसी

एकदा प्रमाणीकरण पूर्ण झाल्यानंतर, FortiGate ने अतिथी VLAN वर समर्पित पोस्ट-ऑथेंटिकेशन फायरवॉल धोरण लागू करणे आवश्यक आहे. या धोरणाने सामग्री निर्बंध लागू करण्यासाठी आणि पीअर-टू-पीअर ट्रॅफिक ब्लॉक करण्यासाठी FortiGuard वेब फिल्टरिंग आणि ॲप्लिकेशन कंट्रोल प्रोफाइल्सचा संदर्भ घ्यावा. बँडविड्थ मर्यादा लागू करण्यासाठी ट्रॅफिक शेपर प्रोफाइल लागू करा, ज्यामुळे कोणत्याही एका अतिथीला ठिकाणचा अपलिंक सॅच्युरेट करण्यापासून प्रतिबंधित केले जाईल. अतिथींना अंतर्गत नेटवर्क संसाधनांची तपासणी करण्यापासून रोखण्यासाठी धोरण सर्व RFC 1918 खाजगी IP स्पेस डेस्टिनेशन्स स्पष्टपणे ब्लॉक करते याची खात्री करा.

सर्वोत्तम पद्धती

हे इंटिग्रेशन आर्किटेक्ट करताना, स्थिरता, सुरक्षा आणि अनुपालन सुनिश्चित करण्यासाठी खालील उद्योग-मानक शिफारसींचे पालन करा.

VLAN सेग्रिगेशन अनिवार्य आहे: कॉर्पोरेट ॲसेट्स किंवा पॉइंट-ऑफ-सेल सिस्टीम्स असलेल्या समान VLAN वर अतिथी WiFi कधीही डिप्लॉय करू नका. PCI DSS अनुपालन राखण्यासाठी स्विच पोर्ट स्तरावर कठोर VLAN टॅगिंग लागू करणे आवश्यक आहे. लॅटरल मूव्हमेंट रोखण्यासाठी सर्व RFC 1918 खाजगी IP स्पेस डेस्टिनेशन्स ब्लॉक करून, FortiGate ने अतिथी VLAN वर आक्रमक फायरवॉल धोरणे लागू केली पाहिजेत.

सेशन टायमर्स ऑप्टिमाइझ करा: DHCP लीज वेळ आणि RADIUS अकाउंटिंग अंतरिम मध्यांतर योग्यरित्या कॉन्फिगर करा. 3600 सेकंदांची DHCP लीज वेळ आणि 120 सेकंदांचे अकाउंटिंग अंतरिम मध्यांतर हे IP पत्ता संवर्धन आणि Purple डॅशबोर्डमधील अचूक रिअल-टाइम ॲनालिटिक्स रिपोर्टिंग यांच्यात इष्टतम संतुलन प्रदान करते.

प्रमाणीकरणानंतर Fortinet UTM वैशिष्ट्यांचा लाभ घ्या: या इंटिग्रेशनचा प्राथमिक फायदा म्हणजे प्रमाणीकरणानंतर अतिथी ट्रॅफिकवर Fortinet ची प्रगत सुरक्षा वैशिष्ट्ये लागू करण्याची क्षमता. FortiGuard वेब फिल्टरिंग आणि ॲप्लिकेशन कंट्रोल वापरण्यासाठी पोस्ट-ऑथेंटिकेशन फायरवॉल धोरण कॉन्फिगर करा. हे अतिथींद्वारे दुर्भावनापूर्ण क्रियाकलाप, टोरेंटिंग किंवा अयोग्य सामग्रीमध्ये प्रवेश करण्यासाठी ठिकाणची बँडविड्थ वापरण्याचा धोका कमी करते, ज्यामुळे ठिकाणची सार्वजनिक IP प्रतिष्ठा आणि इंटरनेट सेवा कराराचे संरक्षण होते.

सार्वजनिक प्रमाणपत्रांचा वापर करा: FortiGate रीडायरेक्शन इंटरफेसवर वैध, सार्वजनिकरित्या विश्वसनीय SSL/TLS प्रमाणपत्र सादर करत असल्याची खात्री करा. सेल्फ-साइंड प्रमाणपत्रे आधुनिक iOS आणि Android डिव्हाइसेसवर सुरक्षा चेतावणी ट्रिगर करतात, ज्यामुळे पोर्टलवर अतिथी सोडून जाण्याचे प्रमाण लक्षणीयरीत्या वाढते.

समस्यानिवारण आणि जोखीम कमी करणे

अचूक कॉन्फिगरेशन असूनही, डिप्लॉयमेंट्समध्ये अडचणी येऊ शकतात. सामान्य अपयश पद्धती समजून घेतल्याने समस्यानिवारण लक्षणीयरीत्या वेगवान होते.

Captive Portal लोड होण्यात अपयश: जर अतिथी कनेक्ट झाला परंतु स्प्लॅश पेज दिसले नाही, तर सर्वात सामान्य कारण म्हणजे अपूर्ण वॉल्ड गार्डन. Purple आणि कोणत्याही कॉन्फिगर केलेल्या सोशल लॉगिन प्रदात्यांसाठी सर्व आवश्यक डोमेन्सना प्री-ऑथेंटिकेशन पॉलिसीमध्ये स्पष्टपणे परवानगी दिली आहे का ते तपासा. अनऑथेंटिकेटेड क्लायंट्ससाठी DNS रिझोल्यूशन योग्यरित्या कार्य करत असल्याची खात्री करा; जर क्लायंट Purple पोर्टल URL रिझॉल्व्ह करू शकत नसेल, तर रीडायरेक्ट पूर्णपणे अयशस्वी होईल.

RADIUS टाइमआउट्स: जर पोर्टल लोड होत असेल परंतु प्रमाणीकरण सातत्याने अयशस्वी होत असेल, तर RADIUS कम्युनिकेशन पाथ तपासा. FortiGate चा बाह्य IP पत्ता Purple पोर्टलच्या राउटर कॉन्फिगरेशनमध्ये योग्यरित्या नोंदणीकृत असल्याची खात्री करा. शेअर्ड सिक्रेट्स तंतोतंत जुळत असल्याची खात्री करा — एका अक्षराच्या विसंगतीमुळे सायलेंट ऑथेंटिकेशन अपयश येईल — आणि कोणतेही मध्यवर्ती फायरवॉल Fortinet इन्फ्रास्ट्रक्चर आणि Purple च्या क्लाउड RADIUS सर्व्हर्समधील UDP पोर्ट्स 1812 आणि 1813 ब्लॉक करत नाहीत याची खात्री करा.

प्रमाणपत्र त्रुटी: आधुनिक मोबाइल ऑपरेटिंग सिस्टीम्स Captive Portal इंटरसेप्शन दरम्यान SSL/TLS प्रमाणपत्र विसंगतींबद्दल अत्यंत संवेदनशील असतात. FortiGate रीडायरेक्शन इंटरफेससाठी सेल्फ-साइंड डीफॉल्ट प्रमाणपत्राऐवजी वैध, सार्वजनिकरित्या विश्वसनीय प्रमाणपत्र सादर करत असल्याची खात्री करा. हे चिंताजनक सुरक्षा चेतावणी प्रतिबंधित करते जे अतिथींना प्रमाणीकरण प्रवाह पूर्ण करण्यापासून परावृत्त करतात.

सेशन अकाउंटिंग गॅप्स: जर Purple ॲनालिटिक्स डॅशबोर्ड अपूर्ण सेशन डेटा किंवा गहाळ बँडविड्थ मेट्रिक्स दर्शवत असेल, तर RADIUS अकाउंटिंग सर्व्हर (Port 1813) योग्यरित्या कॉन्फिगर केला आहे आणि अकाउंटिंग अंतरिम मध्यांतर सेट केले आहे का ते तपासा. अकाउंटिंग डेटा प्रमाणीकरणापासून स्वतंत्रपणे पाठविला जातो आणि त्यासाठी स्वतःची सर्व्हर व्याख्या आवश्यक असते.

ROI आणि व्यावसायिक प्रभाव

Fortinet आणि Purple चे इंटिग्रेशन एका मानक कॉस्ट-सेंटरला — अतिथी WiFi — मोजता येण्याजोग्या व्यावसायिक ॲसेटमध्ये रूपांतरित करते. Purple च्या Captive Portal चा वापर करून, ठिकाणे सत्यापित डेमोग्राफिक डेटा आणि संपर्क माहिती कॅप्चर करतात, ज्यामुळे लक्ष्यित विपणन मोहिमा, लॉयल्टी प्रोग्राम वाढ आणि भेटीनंतरचे री-एंगेजमेंट सक्षम होते. Retail किंवा Hospitality क्षेत्रांमध्ये कार्यरत असलेल्या ठिकाणांसाठी, हा फर्स्ट-पार्टी डेटा अधिकाधिक मौल्यवान होत आहे कारण थर्ड-पार्टी कुकी डेप्रिकेशन पारंपारिक डिजिटल मार्केटिंग चॅनेल मर्यादित करते.

IT ऑपरेशन्ससाठी, अतिथी प्रमाणीकरण Purple च्या क्लाउड RADIUS वर ऑफलोड केल्याने स्थानिक वापरकर्ता डेटाबेस व्यवस्थापित करणे, भौतिक व्हाउचर प्रिंट करणे किंवा ऑन-प्रिमाइसेस RADIUS इन्फ्रास्ट्रक्चर राखणे याशी संबंधित प्रशासकीय ओव्हरहेड लक्षणीयरीत्या कमी होतो. Purple चे अखंड ऑनबोर्डिंग आणि Fortinet ची मजबूत ट्रॅफिक तपासणी यांचे संयोजन हे सुनिश्चित करते की ठिकाण उच्च-कार्यक्षमता, सुरक्षित इंटरनेट अनुभव प्रदान करते आणि त्याच वेळी WiFi Analytics द्वारे कृती करण्यायोग्य बिझनेस इंटेलिजन्स तयार करते. हे आर्किटेक्चर अत्यंत स्केलेबल आहे, जे एका बुटीक हॉटेलपासून ते वितरित एंटरप्राइझ कॅम्पसपर्यंत प्रत्येक गोष्टीला समर्थन देते, मार्केटिंग सक्षमीकरण आणि ऑपरेशनल कार्यक्षमता या दोन्हींद्वारे सातत्यपूर्ण ROI प्रदान करते.

महत्वाच्या व्याख्या

बाह्य Captive Portal

एक कॉन्फिगरेशन जेथे नेटवर्क हार्डवेअर (FortiGate/FortiAP) अनऑथेंटिकेटेड वापरकर्ता ट्रॅफिकला अप्लायन्सवर स्थानिकरित्या संचयित केलेले पृष्ठ सर्व्ह करण्याऐवजी थर्ड-पार्टी क्लाउड सर्व्हर (Purple) वर होस्ट केलेल्या स्प्लॅश पेजवर रीडायरेक्ट करते.

IT टीम्स पोर्टल डिझाइन, सोशल लॉगिन API देखभाल आणि GDPR संमती कॅप्चर एका विशेष प्लॅटफॉर्मवर ऑफलोड करण्यासाठी याचा वापर करतात, ज्यामुळे नेटवर्क टीमवरील ऑपरेशनल ओव्हरहेड कमी होतो.

वॉल्ड गार्डन

IP पत्ते, डोमेन्स आणि सबनेट्सची एक स्पष्ट अलोलिस्ट ज्यामध्ये क्लायंट डिव्हाइसला नेटवर्कवर यशस्वीरित्या प्रमाणीकरण करण्यापूर्वी प्रवेश करण्याची परवानगी असते.

डिव्हाइसेसना संपूर्ण इंटरनेट ॲक्सेस मिळण्यापूर्वी Captive Portal ग्राफिक्स लोड करण्यासाठी, सोशल मीडिया लॉगिन प्रोसेस करण्यासाठी आणि DNS क्वेरी रिझॉल्व्ह करण्यासाठी अनुमती देण्यासाठी महत्त्वपूर्ण. चुकीचे कॉन्फिगर केल्यावर Captive Portal अपयशाचा सर्वात सामान्य स्रोत.

RADIUS अकाउंटिंग

UDP Port 1813 चा वापर करणारी प्रोटोकॉल यंत्रणा जी वापरकर्त्याचा सेशन कालावधी, बँडविड्थ वापर आणि डेटा ट्रान्सफर व्हॉल्यूम ट्रॅक करते आणि हा डेटा RADIUS सर्व्हरला परत रिपोर्ट करते.

ॲनालिटिक्स डॅशबोर्ड पॉप्युलेट करण्यासाठी आणि अतिथी सेशन्सवर वेळ किंवा डेटा मर्यादा लागू करण्यासाठी Purple Fortinet हार्डवेअरकडील अचूक अकाउंटिंग डेटावर अवलंबून असते. प्रमाणीकरणापासून स्वतंत्रपणे कॉन्फिगर करणे आवश्यक आहे.

FortiAuthenticator (FAC)

Fortinet चे समर्पित आयडेंटिटी आणि ॲक्सेस मॅनेजमेंट अप्लायन्स, जे अंतर्गत कर्मचारी 802.1X नेटवर्क ऑथेंटिकेशन, सिंगल साइन-ऑन आणि प्रमाणपत्र व्यवस्थापनासाठी वापरले जाते.

IT व्यवस्थापकांना वारंवार हे सुनिश्चित करण्याची आवश्यकता असते की अतिथींसाठी Purple डिप्लॉय केल्याने कॉर्पोरेट कर्मचाऱ्यांद्वारे वापरल्या जाणाऱ्या विद्यमान FAC इन्फ्रास्ट्रक्चरमध्ये व्यत्यय येणार नाही. याचे उत्तर नेहमीच SSID सेग्रिगेशन असते.

Bridge मोड SSID

एक वायरलेस कॉन्फिगरेशन जेथे ॲक्सेस पॉइंट पारदर्शक लेयर 2 ब्रिज म्हणून कार्य करतो, NAT करण्याऐवजी क्लायंट ट्रॅफिक थेट वायर्ड नेटवर्कवरील विशिष्ट VLAN वर पास करतो.

एंटरप्राइझ डिप्लॉयमेंट्समध्ये प्राधान्य दिले जाते कारण ते विद्यमान कोर DHCP सर्व्हर्सना IP पत्ते व्यवस्थापित करण्यास अनुमती देते, FortiGate DHCP बॉटलनेक प्रतिबंधित करते आणि Purple ॲनालिटिक्स प्लॅटफॉर्मवर खरे क्लायंट IPs उघड करते.

पोस्ट-ऑथेंटिकेशन पॉलिसी

फायरवॉल नियम आणि युनिफाइड थ्रेट मॅनेजमेंट (UTM) प्रोफाइल्स जे वापरकर्त्याने Captive Portal द्वारे यशस्वीरित्या प्रमाणीकरण केल्यानंतरच त्यांच्या ट्रॅफिकवर लागू केले जातात.

येथे नेटवर्क आर्किटेक्ट्स ठिकाणच्या नेटवर्कला दुर्भावनापूर्ण अतिथी क्रियाकलापांपासून संरक्षित करण्यासाठी वेब फिल्टरिंग, ॲप्लिकेशन कंट्रोल आणि बँडविड्थ शेपिंग लागू करतात. Purple ओळख हाताळते; FortiGate अंमलबजावणी हाताळते.

IEEE 802.1X

पोर्ट-आधारित नेटवर्क ॲक्सेस कंट्रोलसाठी एक IEEE मानक, जे PEAP किंवा EAP-TLS सारख्या EAP पद्धतींचा वापर करून LAN किंवा WLAN शी संलग्न होऊ इच्छिणाऱ्या डिव्हाइसेसना प्रमाणित करण्यासाठी फ्रेमवर्क प्रदान करते.

FortiAuthenticator द्वारे सुरक्षित कर्मचारी प्रवेशासाठी वापरले जाते, जे Purple द्वारे अतिथींसाठी वापरल्या जाणाऱ्या खुल्या, पोर्टल-आधारित प्रमाणीकरणापेक्षा वेगळे आहे. दोन्ही प्रमाणीकरण पद्धती स्वतंत्र SSIDs वर एकत्र अस्तित्वात असतात.

RADIUS-as-a-Service

Purple द्वारे प्रदान केलेले क्लाउड-होस्टेड RADIUS इन्फ्रास्ट्रक्चर, जे ठिकाणांना FreeRADIUS किंवा Windows NPS सारखे स्थानिक RADIUS सर्व्हर्स डिप्लॉय आणि राखण्याची आवश्यकता दूर करते.

IT टीम्ससाठी इन्फ्रास्ट्रक्चर ओव्हरहेड कमी करते आणि त्याच वेळी उच्च उपलब्धता आणि Captive Portal प्लॅटफॉर्मसह अखंड इंटिग्रेशन सुनिश्चित करते. विशेषतः वितरित रिटेल किंवा हॉस्पिटॅलिटी डिप्लॉयमेंट्ससाठी मौल्यवान.

FortiGuard

Fortinet ची क्लाउड-आधारित थ्रेट इंटेलिजन्स आणि कंटेंट फिल्टरिंग सबस्क्रिप्शन सेवा, जी FortiGate अप्लायन्सेसना रिअल-टाइम वेब फिल्टरिंग, ॲप्लिकेशन कंट्रोल आणि इंट्रूजन प्रिव्हेन्शन सिग्नेचर्स प्रदान करते.

Purple ने वापरकर्त्याला प्रमाणित केल्यानंतर अतिथी इंटरनेट ट्रॅफिकची तपासणी आणि नियंत्रण करण्यासाठी पोस्ट-ऑथेंटिकेशन फायरवॉल धोरणांद्वारे लागू केले जाते, जे ठिकाणच्या नेटवर्क आणि IP प्रतिष्ठेचे संरक्षण करते.

सोडवलेली उदाहरणे

एका 200-खोल्यांच्या हॉटेलमध्ये सध्या FortiGate 100F आणि FortiAPs वापरले जातात. ते कर्मचारी 802.1X प्रमाणीकरणासाठी FortiAuthenticator वापरतात. त्यांना मार्केटिंग डेटा कॅप्चर करण्यासाठी अतिथींसाठी Purple WiFi लागू करायचे आहे, परंतु IT संचालकांना अतिथी पोर्टल विद्यमान कर्मचारी प्रमाणीकरण प्रवाहात व्यत्यय आणेल अशी चिंता आहे.

परिपूर्ण SSID सेग्रिगेशन डिप्लॉय करा. Port 1812 वरील FortiAuthenticator RADIUS सर्व्हरकडे निर्देशित करणारा, WPA2-Enterprise साठी कॉन्फिगर केलेला विद्यमान Staff_WiFi SSID तसाच ठेवा. बाह्य Captive Portal सक्षम असलेले Open नेटवर्क म्हणून कॉन्फिगर केलेला एक नवीन, स्वतंत्र Guest_WiFi SSID तयार करा. Captive Portal URL Purple च्या स्प्लॅश पेजकडे निर्देशित करण्यासाठी कॉन्फिगर करा आणि या विशिष्ट SSID साठी RADIUS सेटिंग्ज Purple च्या क्लाउड RADIUS सर्व्हर्सकडे (ऑथेंटिकेशनसाठी Port 1812, अकाउंटिंगसाठी Port 1813) निर्देशित करण्यासाठी कॉन्फिगर करा. अतिथी SSID ला समर्पित फायरवॉल धोरणासह आयसोलेटेड VLAN वर मॅप करा. FortiGate मूळ SSID च्या आधारावर प्रमाणीकरण विनंत्या राउट करते, ज्यामुळे दोन प्रमाणीकरण प्रणालींमध्ये शून्य व्यत्यय सुनिश्चित होतो.

परीक्षकाचे भाष्य: हा दृष्टिकोन प्रति-SSID आधारावर प्रमाणीकरण पॅरामीटर्स परिभाषित करण्याच्या FortiGate च्या क्षमतेचा फायदा घेतो. हे FortiAuthenticator वर जटिल RADIUS प्रॉक्सींग किंवा कंडिशनल फॉरवर्डिंग नियमांची आवश्यकता न ठेवता सहअस्तित्वाची आवश्यकता सुरेखपणे सोडवते. मुख्य अंतर्दृष्टी अशी आहे की FortiGate दोन्ही SSIDs साठी ट्रॅफिक पॉलिसी अंमलबजावणी बिंदू म्हणून कार्य करते, तर ओळख पडताळणी प्रत्येक वापरकर्ता प्रकारासाठी योग्य प्लॅटफॉर्मकडे सोपविली जाते.

एक रिटेल चेन 50 ठिकाणी FortiCloud APs डिप्लॉय करत आहे. त्यांना अतिथी ॲनालिटिक्ससाठी Purple WiFi वापरायचे आहे. पहिल्या साइटवर चाचणी दरम्यान, अतिथी WiFi शी कनेक्ट होतो, परंतु त्यांचे डिव्हाइस Purple स्प्लॅश पेजऐवजी रिक्त पृष्ठ किंवा कनेक्शन टाइम आउट त्रुटी प्रदर्शित करते.

IT टीमने FortiCloud AP SSID सेटिंग्जवरील वॉल्ड गार्डन कॉन्फिगरेशनचे ऑडिट आणि अपडेट करणे आवश्यक आहे. FortiAP सध्या प्रमाणीकरणापूर्वी Purple पोर्टल ॲसेट्ससाठी क्लायंटच्या HTTP/HTTPS विनंत्या ब्लॉक करत आहे. टीमने वॉल्ड गार्डन अलोलिस्टमध्ये Purple च्या आवश्यक डोमेन्सची संपूर्ण सूची — CDN एंडपॉइंट्स आणि सोशल लॉगिन प्रदाता डोमेन्ससह — प्रविष्ट करणे आवश्यक आहे. त्यांनी हे देखील सत्यापित केले पाहिजे की प्री-ऑथेंटिकेशन पॉलिसी UDP पोर्ट 53 वर DNS ट्रॅफिकला स्पष्टपणे परवानगी देते, जेणेकरून क्लायंट डिव्हाइस पोर्टल होस्टनेम रिझॉल्व्ह करू शकेल. पहिल्या साइटवर दुरुस्त केल्यानंतर, हे कॉन्फिगरेशन टेम्पलेट केले जावे आणि सर्व 50 ठिकाणी सातत्याने लागू केले जावे.

परीक्षकाचे भाष्य: सर्व हार्डवेअर व्हेंडर्समध्ये Captive Portal अपयशाचे वॉल्ड गार्डन चुकीचे कॉन्फिगरेशन हे सर्वात वारंवार आढळणारे कारण आहे. हे समाधान योग्यरित्या ओळखते की प्री-ऑथेंटिकेशन ट्रॅफिकला स्पष्टपणे परवानगी दिली पाहिजे. जर डिव्हाइस पोर्टलच्या CSS, JavaScript किंवा सोशल लॉगिन APIs पर्यंत पोहोचू शकत नसेल, तर प्रमाणीकरण प्रवाह सुरू होऊ शकत नाही. सर्व साइट्सवर फिक्स टेम्पलेट केल्याने तीच समस्या मोठ्या प्रमाणावर पुन्हा उद्भवण्यापासून प्रतिबंधित होते.

सराव प्रश्न

Q1. तुमच्या डिप्लॉयमेंटमध्ये अतिथींनी Purple स्प्लॅश पेजद्वारे प्रमाणीकरण करणे आवश्यक आहे. तुम्ही SSID, RADIUS सर्व्हर्स आणि रीडायरेक्ट URL कॉन्फिगर केले आहेत. तथापि, कनेक्ट करताना, अतिथी डिव्हाइसेस त्वरित 'No Internet Connection' नोंदवतात आणि पोर्टल स्वयंचलितपणे पॉप अप होण्यात अयशस्वी होते. सर्वात संभाव्य कॉन्फिगरेशन वगळणे काय आहे?

टीप: नेटवर्कवर पूर्णपणे प्रमाणीकरण करण्यापूर्वी डिव्हाइसला कोणत्या नेटवर्क ॲक्सेसची आवश्यकता असते याचा विचार करा.

नमुना उत्तर पहा

वॉल्ड गार्डन (प्री-ऑथेंटिकेशन अलोलिस्ट) बहुधा अपूर्ण आहे किंवा पूर्णपणे गहाळ आहे. FortiGate ने पूर्ण ॲक्सेस देण्यापूर्वी डिव्हाइसला Purple चे पोर्टल डोमेन्स, सोशल लॉगिन APIs (Facebook, Google) पर्यंत पोहोचण्यासाठी आणि DNS रिझोल्यूशन करण्यासाठी स्पष्ट परवानगी आवश्यक आहे. याशिवाय, डिव्हाइसचा Captive Portal असिस्टंट पॉप-अप ट्रिगर करण्यासाठी लक्ष्य URL पर्यंत पोहोचू शकत नाही. याव्यतिरिक्त, प्री-ऑथेंटिकेशन पॉलिसीमध्ये UDP पोर्ट 53 वरील DNS ट्रॅफिकला परवानगी आहे का ते तपासा.

Q2. एका स्टेडियम डिप्लॉयमेंटमध्ये इव्हेंट्स दरम्यान 15,000 समवर्ती अतिथी कनेक्शन्सची अपेक्षा आहे. सध्याचे डिझाइन एकाच /20 सबनेटमधून अतिथी SSID ला DHCP प्रदान करण्यासाठी NAT मोडमध्ये FortiGate वापरण्याचा प्रस्ताव देते. हा आर्किटेक्चरल निर्णय ऑपरेशनल समस्या का निर्माण करू शकतो आणि शिफारस केलेला पर्याय कोणता आहे?

टीप: FortiGate फायरवॉलवरील प्रोसेसिंग ओव्हरहेड आणि उच्च प्रमाणावरील DHCP लीज चर्नच्या परिणामांचा विचार करा.

नमुना उत्तर पहा

NAT मोड वापरल्याने संपूर्ण DHCP प्रोसेसिंगचा भार FortiGate वर पडतो, ज्याला इव्हेंट दरम्यान कनेक्ट आणि डिस्कनेक्ट होणाऱ्या 15,000 ट्रान्झिएंट डिव्हाइसेसच्या वेगवान लीज चर्नचा सामना करावा लागू शकतो. एकच /20 सबनेट केवळ 4,094 वापरण्यायोग्य पत्ते प्रदान करते, जे पीक समवर्ती कनेक्शन्ससाठी अपुरे असू शकते. शिवाय, NAT मोड Purple प्लॅटफॉर्मवरून खरा क्लायंट IP लपवतो, ज्यामुळे विश्लेषणात्मक खोली मर्यादित होते. शिफारस केलेला दृष्टिकोन Bridge मोड आहे, जो अतिथी ट्रॅफिकला योग्य आकाराच्या ॲड्रेस पूल्ससह मजबूत बाह्य एंटरप्राइझ DHCP इन्फ्रास्ट्रक्चरद्वारे व्यवस्थापित केलेल्या समर्पित VLAN वर ड्रॉप करतो.

Q3. CISO ने अनिवार्य केले आहे की अतिथी WiFi ट्रॅफिकने ठिकाणच्या एकूण इंटरनेट बँडविड्थच्या 20% पेक्षा जास्त वापर करू नये आणि अतिथींना पीअर-टू-पीअर फाइल शेअरिंग नेटवर्क्समध्ये प्रवेश करण्यापासून रोखले पाहिजे. Fortinet-Purple आर्किटेक्चरमध्ये हे धोरण कोठे लागू केले जाते आणि कोणती विशिष्ट Fortinet वैशिष्ट्ये आवश्यक आहेत?

टीप: Purple द्वारे वापरकर्त्याची ओळख सत्यापित झाल्यानंतर कोणता घटक ट्रॅफिक तपासणी आणि धोरण अंमलबजावणी हाताळतो ते निश्चित करा.

नमुना उत्तर पहा

हे धोरण अतिथी VLAN वर लागू केलेल्या पोस्ट-ऑथेंटिकेशन फायरवॉल पॉलिसीद्वारे FortiGate UTM अप्लायन्सवर लागू केले जाते. Purple प्रमाणीकरण आणि ओळख कॅप्चर हाताळत असताना, FortiGate Layer 7 ट्रॅफिक तपासणी आणि अंमलबजावणीसाठी जबाबदार राहते. नेटवर्क टीमने P2P श्रेणी (BitTorrent, eDonkey, इ.) ब्लॉक करण्यासाठी FortiGuard ॲप्लिकेशन कंट्रोल प्रोफाइल कॉन्फिगर करणे आवश्यक आहे आणि 20% बँडविड्थ मर्यादा लागू करण्यासाठी अतिथी धोरणावर ट्रॅफिक शेपर प्रोफाइल लागू करणे आवश्यक आहे. दोन्ही प्रोफाइल्सचा संदर्भ पोस्ट-ऑथेंटिकेशन फायरवॉल पॉलिसीमध्ये दिला गेला पाहिजे, प्री-ऑथेंटिकेशन वॉल्ड गार्डन पॉलिसीमध्ये नाही.

या मालिकेमध्ये पुढे वाचा

DrayTek Vigor राउटर आणि ऍक्सेस पॉईंट्सचे Purple WiFi सोबत एकत्रीकरण

हे मार्गदर्शक DrayTek Vigor राउटर आणि VigorAP ऍक्सेस पॉईंट्सना Purple च्या क्लाउड प्लॅटफॉर्मसह एकत्रित करण्यासाठी टप्प्याटप्प्याने तांत्रिक सूचना प्रदान करते. यामध्ये Guest WiFi साठी DrayTek Captive Portal कॉन्फिगरेशन, सुरक्षित Staff WiFi साठी 802.1X ऑथेंटिकेशन, Walled Garden सेटअप आणि डायनॅमिक VLAN असाइनमेंटसह मल्टी-टेनंट नेटवर्क सेगमेंटेशनसाठी DrayTek Multiple PSK (PPSK) कॉन्फिगरेशन समाविष्ट आहे. हे हॉस्पिटॅलिटी, रिटेल आणि मल्टी-टेनंट ठिकाणी Purple तैनात करणाऱ्या IT इंस्टॉलर्स आणि SMB नेटवर्क प्रशासकांसाठी डिझाइन केले आहे.

Purple WiFi सह Zyxel Nebula Cloud आणि USG Integration

हे तांत्रिक संदर्भ मार्गदर्शक Zyxel Nebula Cloud आणि USG Flex Firewalls चे Purple WiFi प्लॅटफॉर्मसोबतच्या एंड-टू-एंड Integration बद्दल माहिती देते. हे गेस्ट Captive Portal रिडायरेक्शन, RADIUS ऑथेंटिकेशन, Walled Garden सेटअप, 802.1X वापरून सुरक्षित Staff WiFi, आणि डायनॅमिक VLAN असाइनमेंटसह Zyxel Private Pre-Shared Keys (PPSK) वापरून मल्टी-टेनंट नेटवर्क सेगमेंटेशनसाठी टप्प्याटप्प्याने कॉन्फिगरेशन सूचना प्रदान करते. हॉस्पिटॅलिटी, रिटेल आणि मल्टी-टेनंट ठिकाणी WiFi तैनात करणारे IT मॅनेजर्स, MSPs आणि नेटवर्क आर्किटेक्ट्सना PCI DSS, IEEE 802.1X आणि GDPR सह उद्योग मानकांवर आधारित कृतीयोग्य मार्गदर्शन मिळेल.

Alcatel-Lucent Enterprise (ALE) OmniAccess चे Purple WiFi सोबत एकत्रीकरण

हे मार्गदर्शक Alcatel-Lucent Enterprise (ALE) OmniAccess Stellar ॲक्सेस पॉइंट्स आणि Purple WiFi मधील तांत्रिक एकत्रीकरणाचा तपशील देते. यामध्ये Captive Portal रिडायरेक्शन, RADIUS ऑथेंटिकेशन, Walled Garden कॉन्फिगरेशन, सुरक्षित 802.1X Staff WiFi, आणि प्रायव्हेट प्री-शेअर्ड की (PPSK) सह डायनॅमिक VLAN स्टिअरिंग वापरून मल्टी-टेनंट WiFi सेगमेंटेशन समाविष्ट आहे - जे IT व्यवस्थापक आणि नेटवर्क आर्किटेक्ट्सना ALE हार्डवेअरवर आयडेंटिटी-बेस्ड नेटवर्क्स तैनात करण्यासाठी एक संपूर्ण, कृतीयोग्य संदर्भ प्रदान करते.