सुपरमार्केट WiFi सुरक्षित आहे का? ग्राहकांसाठी मार्गदर्शक

हे अधिकृत मार्गदर्शक सुपरमार्केट WiFi सुरक्षिततेच्या तांत्रिक वास्तवाचे परीक्षण करते, रिटेल क्षेत्रातील IT नेत्यांसाठी ॲक्शनेबल आर्किटेक्चर आणि सुरक्षा धोरणे प्रदान करते. हे धोक्याच्या लँडस्केपचा तपशील देते — एव्हिल ट्विन APs पासून ते मॅन-इन-द-मिडल हल्ल्यांपर्यंत — सोबतच ग्राहक आणि एंटरप्राइझ ऑपरेशन्सचे संरक्षण करण्यासाठी आवश्यक असलेल्या मिटिगेशन स्टॅकची माहिती देते. रिटेलर्स आणि व्हेन्यू ऑपरेटर्सना VLAN सेगमेंटेशन, क्लायंट आयसोलेशन, WPA3, PCI DSS कंप्लायन्स आणि Purple सारख्या प्लॅटफॉर्मद्वारे GDPR-कंप्लायंट गेस्ट ऑनबोर्डिंग कव्हर करणारे ठोस अंमलबजावणी मार्गदर्शन मिळेल.

📖 8 मिनिट वाचन📝 1,906 शब्द🔧 2 सोडवलेली उदाहरणे❓ 3 सराव प्रश्न📚 9 महत्वाच्या व्याख्या

हे मार्गदर्शक ऐका

पॉडकास्ट ट्रान्सक्रिप्ट पहा

Purple टेक्निकल ब्रीफिंगमध्ये पुन्हा स्वागत आहे. आज, आम्ही एका प्रश्नाला सामोरे जात आहोत जो ग्राहकांची चिंता आणि एंटरप्राइझ IT धोरण यांच्यातील दरी कमी करतो: सुपरमार्केट WiFi सुरक्षित आहे का?

जर तुम्ही रिटेल क्षेत्रातील IT व्यवस्थापक, नेटवर्क आर्किटेक्ट किंवा व्हेन्यू ऑपरेशन्स डायरेक्टर असाल, तर तुम्हाला आधीच माहित आहे की गेस्ट WiFi प्रदान करणे आता ऐच्छिक राहिलेले नाही. आधुनिक खरेदी अनुभवासाठी ही एक महत्त्वपूर्ण पायाभूत सुविधांची आवश्यकता आहे. परंतु तुम्ही मजबूत सुरक्षेसह अखंड कनेक्टिव्हिटीचा समतोल कसा साधता? चला इन-स्टोअर WiFi चे तांत्रिक वास्तव, धोक्याचे लँडस्केप आणि तुम्ही तुमच्या खरेदीदारांचे आणि तुमच्या व्यवसायाचे संरक्षण करणारे सुरक्षित वातावरण कसे तयार करू शकता यावर सविस्तर चर्चा करूया.

प्रथम, ग्राहकांच्या दृष्टिकोनाकडे लक्ष देऊया. खरेदीदार वारंवार विचारतात की स्टोअर WiFi वापरण्यासाठी सुरक्षित आहे का. याचे थोडक्यात उत्तर आहे: हे पूर्णपणे डिप्लॉयमेंटवर अवलंबून आहे. योग्य सेगमेंटेशन नसलेले अनएन्क्रिप्टेड, ओपन नेटवर्क हा एक मोठा धोका आहे. तथापि, आधुनिक एंटरप्राइझ डिप्लॉयमेंट — जसे की Purple प्लॅटफॉर्मद्वारे व्यवस्थापित केलेले — प्रगत नेटवर्क आर्किटेक्चर आणि बुद्धिमान ॲक्सेस व्यवस्थापनाद्वारे हे धोके कमी करते.

तर, वास्तविक धोके काय आहेत? चला रिटेल WiFi थ्रेट लँडस्केपचे तपशीलवार विश्लेषण करूया.

सर्वात सामान्य आणि सर्वात धोकादायक धोका म्हणजे एव्हिल ट्विन ॲक्सेस पॉइंट. हल्लेखोर सुपरमार्केटसारखाच SSID प्रसारित करणारा रोग ॲक्सेस पॉइंट सेट करतात — उदाहरणार्थ, Free_Supermarket_WiFi — ज्यामुळे खरेदीदारांची उपकरणे स्वयंचलितपणे कनेक्ट होण्यासाठी फसवली जातात. एकदा कनेक्ट झाल्यानंतर, हल्लेखोर मॅन-इन-द-मिडल हल्ला करू शकतो, क्लायंट डिव्हाइस आणि इंटरनेट गेटवेच्या दरम्यान स्वतःला स्थापित करून, अनएन्क्रिप्टेड ट्रॅफिक इंटरसेप्ट करू शकतो. व्यस्त सुपरमार्केटमध्ये, हे एकाच वेळी शेकडो उपकरणांना प्रभावित करू शकते.

त्यानंतर रोग DHCP सर्व्हर्सची समस्या आहे. ॲक्सेस स्विचेसवर पोर्ट सिक्युरिटी चुकीच्या पद्धतीने कॉन्फिगर केली असल्यास, हल्लेखोर गेस्ट VLAN वर रोग DHCP सर्व्हर आणू शकतो. हा सर्व्हर कनेक्ट होणाऱ्या उपकरणांना दुर्भावनापूर्ण DNS सेटिंग्ज नियुक्त करतो, सर्व वेब ट्रॅफिकला हल्लेखोर-नियंत्रित पायाभूत सुविधांद्वारे गुपचूप पुनर्निर्देशित करतो. वापरकर्त्याला कोणताही इशारा दिसत नाही. त्यांचा ब्राउझर त्यांच्या बँकेऐवजी एक खात्रीशीर फिशिंग पेज लोड करतो.

आणि शेवटी, सेशन हायजॅकिंग. अनएन्क्रिप्टेड नेटवर्क्सवर, हल्लेखोर प्लेन टेक्स्टमध्ये प्रसारित केलेल्या सेशन कुकीज कॅप्चर करू शकतात, ज्यामुळे त्यांना संपूर्ण सेशन जीवनचक्रात HTTPS लागू न करणाऱ्या कोणत्याही सेवेवर वापरकर्त्याची तोतयेगिरी करण्याची परवानगी मिळते.

आता, नेटवर्क आर्किटेक्ट म्हणून, तुम्ही यापासून बचाव कसा कराल? यासाठी लेयर्ड मिटिगेशन स्टॅक आवश्यक आहे, आणि मी तुम्हाला प्रत्येक लेयरबद्दल सविस्तर सांगू इच्छितो.

लेयर एक: एन्क्रिप्शन आणि ऑथेंटिकेशन.

घर्षणरहित ऑनबोर्डिंगसाठी ओपन नेटवर्क्स सामान्य असले तरी, उद्योग ठामपणे सुरक्षित ऑनबोर्डिंग पद्धतींकडे वाटचाल करत आहे. 2024 आणि त्यापुढील कोणत्याही नवीन डिप्लॉयमेंटसाठी WPA3 लागू करणे अनिवार्य आहे. WPA3 Simultaneous Authentication of Equals — SAE — सादर करते, जे WPA2 मध्ये वापरल्या जाणाऱ्या Pre-Shared Key एक्सचेंजची जागा घेते. हे फॉरवर्ड सिक्रेसी प्रदान करते, याचा अर्थ असा की जरी हल्लेखोराने आज एन्क्रिप्टेड ट्रॅफिक कॅप्चर केले आणि नंतर नेटवर्क पासवर्ड मिळवला, तरीही ते मागील सेशन्स पूर्वलक्षीपणे डिक्रिप्ट करू शकत नाहीत.

कर्मचारी आणि पॉइंट-ऑफ-सेल उपकरणांवर वर्धित सुरक्षेसाठी, 802.1X ऑथेंटिकेशन महत्त्वपूर्ण आहे. हे पोर्ट-आधारित नेटवर्क ॲक्सेस कंट्रोलसाठी IEEE मानक आहे, जे सुनिश्चित करते की केवळ वैध क्रेडेंशियल्स किंवा प्रमाणपत्रे असलेली अधिकृत उपकरणेच सुरक्षित कॉर्पोरेट VLANs मध्ये प्रवेश करू शकतात.

गेस्ट ॲक्सेससाठी, उदयोन्मुख सर्वोत्तम पद्धत म्हणजे Passpoint किंवा OpenRoaming चा वापर करणे. हे तंत्रज्ञान वारंवार Captive Portal लॉगिनच्या घर्षणाशिवाय सुरक्षित, एन्क्रिप्टेड कनेक्शन प्रदान करतात. Purple आमच्या कनेक्ट लायसन्स अंतर्गत OpenRoaming सारख्या सेवांसाठी मोफत आयडेंटिटी प्रोव्हायडर म्हणून काम करते, सुरक्षा आणि वापरकर्ता अनुभव यांच्यातील दरी अशा प्रकारे कमी करते जी लेगसी डिप्लॉयमेंट्स करू शकत नाहीत.

लेयर दोन: नेटवर्क सेगमेंटेशन.

येथेच अनेक लेगसी डिप्लॉयमेंट्स अपयशी ठरतात, आणि हा तुम्ही घेणारा सर्वात महत्त्वाचा आर्किटेक्चरल निर्णय आहे. गेस्ट ट्रॅफिक कॉर्पोरेट आणि पॉइंट-ऑफ-सेल ट्रॅफिकपासून काटेकोरपणे आयसोलेटेड असणे आवश्यक आहे. तुम्ही VLAN सेगमेंटेशनद्वारे हे साध्य करता.

शिफारस केलेले आर्किटेक्चर आहे: गेस्ट WiFi साठी VLAN 10, पॉइंट-ऑफ-सेल आणि पेमेंट टर्मिनल्ससाठी VLAN 20, आणि डिजिटल साइनेज आणि इलेक्ट्रॉनिक शेल्फ लेबल्स सारख्या IoT उपकरणांसाठी VLAN 30. या VLANs च्या दरम्यान एक मजबूत फायरवॉल असणे आवश्यक आहे, जे कठोर ॲक्सेस कंट्रोल लिस्ट्स लागू करते.

महत्त्वाची गोष्ट म्हणजे, गेस्ट नेटवर्ककडे फक्त इंटरनेटसाठी डीफॉल्ट राउट असावा — कोणत्याही अंतर्गत RFC 1918 खाजगी ॲड्रेस स्पेससाठी शून्य राउट्स असणे आवश्यक आहे. आणि क्लायंट आयसोलेशन — ज्याला AP आयसोलेशन किंवा स्टेशन आयसोलेशन असेही म्हणतात — ॲक्सेस पॉइंट स्तरावर सक्षम केले जाणे आवश्यक आहे. हा एकच कॉन्फिगरेशन बदल गेस्ट नेटवर्कवरील कोणत्याही उपकरणाला त्याच नेटवर्कवरील इतर कोणत्याही उपकरणाशी थेट संवाद साधण्यापासून प्रतिबंधित करतो. हे पीअर-टू-पीअर हल्ले, ARP स्पूफिंग आणि लॅटरल मूव्हमेंट एकाच टप्प्यात निष्प्रभावी करते.

लेयर तीन: Captive Portal आणि कंप्लायन्स.

Captive Portal हे केवळ मार्केटिंगसाठी स्प्लॅश पेज नाही. हा एक महत्त्वपूर्ण सुरक्षा आणि कंप्लायन्स अंमलबजावणी बिंदू आहे. येथे तुम्ही तुमच्या सेवा अटी लागू करता, GDPR-कंप्लायंट संमती गोळा करता आणि कायदेशीर फ्रेमवर्क स्थापित करता जे तुमच्या संस्थेला तुमच्या नेटवर्कवरील वापरकर्त्याच्या वर्तनासाठी दायित्वापासून वाचवते.

Purple WiFi प्लॅटफॉर्म हे अखंडपणे हाताळते. हे सुनिश्चित करते की डेटा संकलन पारदर्शक, कायदेशीर आणि दस्तऐवजीकरण केलेले आहे — खरेदीदार आणि रिटेलर दोघांचेही संरक्षण करते. प्लॅटफॉर्म बँडविड्थ थ्रॉटलिंग आणि सेशन वेळ मर्यादा देखील सक्षम करते, ज्यामुळे कोणत्याही एका वापरकर्त्याला इतरांचा अनुभव खराब करण्यापासून रोखले जाते.

हे समजून घेण्यासाठी एका वास्तविक जगातील परिदृश्याकडे पाहूया.

पाचशे लोकेशन्स असलेल्या एका मोठ्या रिटेल चेनने काही वर्षांपूर्वी फ्लॅट, ओपन गेस्ट नेटवर्क तैनात केले होते. त्यांना एका गंभीर घटनेचा सामना करावा लागला जिथे एका हल्लेखोराने त्यांच्या एका फ्लॅगशिप स्टोअरच्या फूड कोर्ट एरियामध्ये एव्हिल ट्विन ॲक्सेस पॉइंट तैनात केला. रिटेलरकडे केंद्रीकृत मॉनिटरिंग आणि रोग AP डिटेक्शन नसल्यामुळे, एका खरेदीदाराने संशयास्पद क्रियाकलापाची तक्रार करेपर्यंत हा धोका अनेक दिवस टिकून राहिला.

तपासात असे उघड झाले की हल्लेखोराने डझनभर उपकरणांमधून क्रेडेंशियल्स आणि सेशन कुकीज यशस्वीरित्या इंटरसेप्ट केल्या होत्या. प्रतिष्ठेची आणि कायदेशीर किंमत लक्षणीय होती.

उपाय? त्यांनी संपूर्ण नेटवर्क पुनर्रचना केली. त्यांनी Purple प्लॅटफॉर्मसह इंटिग्रेटेड एंटरप्राइझ-ग्रेड वायरलेस कंट्रोलर आर्किटेक्चरमध्ये अपग्रेड केले. त्यांनी त्यांच्या ॲक्सेस पॉइंट्सवर वायरलेस इंट्रुजन प्रिव्हेन्शन सिस्टीम क्षमता सक्षम केल्या, जे आता कोणत्याही स्टोअरच्या रेंजमध्ये स्पूफ केलेला SSID आढळल्यावर नेटवर्क ऑपरेशन्स सेंटरला स्वयंचलितपणे अलर्ट करते. त्यांनी सर्व गेस्ट SSIDs वर कठोर क्लायंट आयसोलेशन लागू केले. आणि त्यांनी ज्ञात दुर्भावनापूर्ण डोमेन्स अवरोधित करण्यासाठी गेस्ट VLAN वर DNS-लेयर फिल्टरिंग तैनात केले.

याचा परिणाम म्हणजे सुरक्षा घटनांमध्ये मोजता येण्याजोगी घट, सर्व लोकेशन्सवर पूर्ण PCI DSS कंप्लायन्स आणि गेस्ट WiFi समाधान स्कोअरमध्ये लक्षणीय सुधारणा — कारण नेटवर्क आता ते वाहून नेत असलेल्या लोडसाठी योग्यरित्या इंजिनिअर केले गेले होते.

आता रिटेल WiFi तैनात करताना किंवा ऑडिट करताना टाळण्याच्या सामान्य चुकांबद्दल बोलूया.

पहिली चूक: क्लायंट आयसोलेशनकडे दुर्लक्ष करणे. रिटेल नेटवर्क सुरक्षेतील हा सर्वात सोपा विजय आहे. कोणत्याही एंटरप्राइझ वायरलेस कंट्रोलरमध्ये हे सक्षम करण्यासाठी तीस सेकंद लागतात. गेस्ट क्लायंट्सनी एकमेकांशी थेट संवाद साधण्याचे कोणतेही कायदेशीर कारण नाही. ते सक्षम करा.

दुसरी चूक: ट्रॅफिक मिसळणे. गेस्ट ट्रॅफिकला पॉइंट-ऑफ-सेल ट्रॅफिकसारख्याच फायरवॉल धोरणांमधून कधीही जाऊ देऊ नका. PCI DSS कंप्लायन्स कठोर सेगमेंटेशनची मागणी करते, आणि मिश्र-ट्रॅफिक वातावरणातील ब्रीचचे परिणाम गंभीर असतात — आर्थिक आणि प्रतिष्ठेच्या दृष्टीने.

तिसरी चूक: जुने फर्मवेअर. ॲक्सेस पॉइंट्स ही सार्वजनिक संपर्कात असलेली एज उपकरणे आहेत. त्यांना ज्ञात असुरक्षिततेविरूद्ध पॅच ठेवले पाहिजे. KRACK हल्ला — Key Reinstallation Attack — ने दाखवून दिले की WPA2 ला देखील फर्मवेअर-स्तरीय असुरक्षिततेद्वारे तडजोड केली जाऊ शकते. शिस्तबद्ध पॅचिंग वेळापत्रक अनिवार्य आहे.

चौथी चूक: सुरक्षेसाठी Captive Portal वर जास्त अवलंबून राहणे. Captive Portal पॉलिसी अंमलबजावणी आणि कंप्लायन्स प्रदान करते, परंतु ती सुरक्षा सीमा नाही. एक दृढनिश्चयी हल्लेखोर DNS टनेलिंग किंवा MAC ॲड्रेस स्पूफिंग वापरून ते बायपास करू शकतो. खरी सुरक्षा सीमा म्हणजे त्याखालील VLAN आणि फायरवॉल आर्किटेक्चर.

तांत्रिक विभाग पूर्ण करण्यासाठी रॅपिड-फायर प्रश्न आणि उत्तरे घेऊया.

प्रश्न: आपण गेस्ट नेटवर्कसाठी शेअर केलेला WPA2 पासवर्ड वापरावा का?
उत्तर: नाही. शेअर केलेला PSK खोटी सुरक्षा प्रदान करतो. हे पीअर-टू-पीअर हल्ले प्रतिबंधित करत नाही, आणि एकदा पासवर्ड माहित झाला — जो होईल, कारण तो पावत्यांवर छापलेला असतो किंवा साइनेजवर प्रदर्शित केलेला असतो — नेटवर्क प्रभावीपणे ओपन होते. सुरक्षित Captive Portal वापरा, किंवा त्याहूनही चांगले, OpenRoaming तैनात करा.

प्रश्न: VPN सुपरमार्केट WiFi वर खरेदीदाराचे संरक्षण करते का?
उत्तर: होय, वैयक्तिक खरेदीदारासाठी, VPN त्यांचे संपूर्ण टनेल इंटरनेटवर एन्क्रिप्ट करते, प्रभावीपणे स्थानिक नेटवर्क स्निफिंग कमी करते. तथापि, व्हेन्यू ऑपरेटर म्हणून, तुम्ही वापरकर्त्यांनी VPN कॉन्फिगर केले असल्यावर अवलंबून राहू शकत नाही. पायाभूत सुविधा स्वतः सुरक्षित करणे ही तुमची जबाबदारी आहे.

प्रश्न: एकाच ॲक्सेस पॉइंट असलेल्या लहान स्वतंत्र रिटेलरसाठी किमान व्यवहार्य सुरक्षा कॉन्फिगरेशन काय आहे?
उत्तर: हार्डवेअर सपोर्ट करत असल्यास WPA3 सक्षम करा, किंवा अद्वितीय, जटिल पासवर्डसह WPA2 सक्षम करा. क्लायंट आयसोलेशन सक्षम करा. सेवा अटींसाठी Captive Portal तैनात करा. आणि ॲक्सेस पॉइंट कोणत्याही पेमेंट टर्मिनल्सपासून वेगळ्या नेटवर्क सेगमेंटवर असल्याची खात्री करा. हे अगदी किमान आहे.

आज आपण कव्हर केलेल्या सर्व गोष्टींचा सारांश देण्यासाठी.

सुपरमार्केट WiFi अत्यंत सुरक्षित असू शकते, बशर्ते IT टीमने त्याला मूलभूत सुविधेऐवजी एक महत्त्वपूर्ण एंटरप्राइझ मालमत्ता मानले पाहिजे. प्रमुख आर्किटेक्चरल निर्णय आहेत: गेस्ट, पॉइंट-ऑफ-सेल आणि IoT ट्रॅफिक वेगळे करण्यासाठी कठोर VLAN सेगमेंटेशन; ॲक्सेस पॉइंट स्तरावर सक्षम केलेले क्लायंट आयसोलेशन; सर्व नवीन डिप्लॉयमेंट्ससाठी WPA3 एन्क्रिप्शन; GDPR संमती आणि सेवा अटींच्या अंमलबजावणीसाठी कंप्लायंट Captive Portal; आणि रोग AP डिटेक्शनसह केंद्रीकृत मॉनिटरिंग.

हे आर्किटेक्चर लागू करून आणि Purple सारख्या सुरक्षित, कंप्लायंट प्लॅटफॉर्मद्वारे अनुभव व्यवस्थापित करून, तुम्ही खरेदीदारांना अपेक्षित असलेली अखंड कनेक्टिव्हिटी आणि तुमच्या व्यवसायाला आवश्यक असलेली मजबूत सुरक्षा दोन्ही प्रदान करता. योग्य पायाभूत सुविधांमधील गुंतवणूक कमी कंप्लायन्स खर्च, ब्रँड संरक्षण आणि चांगल्या प्रकारे तैनात केलेले गेस्ट WiFi नेटवर्क व्युत्पन्न करत असलेल्या मौल्यवान फर्स्ट-पार्टी डेटामध्ये अनेक पटींनी परतफेड करते.

या तांत्रिक ब्रीफिंगमध्ये सामील झाल्याबद्दल धन्यवाद. एंटरप्राइझ नेटवर्किंग, गेस्ट WiFi धोरण आणि रिटेल तंत्रज्ञानाच्या अधिक सखोल माहितीसाठी, purple dot ai ला भेट द्या. पुढच्या वेळेपर्यंत.

महत्वाचे मुद्दे

✓सुपरमार्केट WiFi सुरक्षितता ही आर्किटेक्चरची समस्या आहे, पासवर्डची समस्या नाही — डिप्लॉयमेंट डिझाइन जोखमीची पातळी ठरवते.
✓POS आणि कॉर्पोरेट सिस्टीम्सपासून गेस्ट ट्रॅफिक वेगळे करण्यासाठी कठोर VLAN सेगमेंटेशन अनिवार्य आहे; ही एक सुरक्षा आवश्यकता आणि PCI DSS कंप्लायन्स बंधन दोन्ही आहे.
✓सर्व गेस्ट SSIDs वर क्लायंट आयसोलेशन सक्षम असणे आवश्यक आहे — पीअर-टू-पीअर हल्ल्यांविरूद्ध हे सर्वात प्रभावी नियंत्रण आहे आणि ते लागू करण्यासाठी कोणताही खर्च येत नाही.
✓एव्हिल ट्विन APs हा रिटेलमधील प्राथमिक वायरलेस धोका आहे; स्वयंचलित कंटेनमेंटसह WIPS हा योग्य एंटरप्राइझ-ग्रेड प्रतिसाद आहे.
✓Captive Portal हे कायदेशीर आणि कंप्लायन्स साधन आहे, केवळ मार्केटिंग टूल नाही — ते GDPR अंतर्गत डेटा प्रक्रियेसाठी कायदेशीर आधार स्थापित करते आणि व्हेन्यूचे दायित्व मर्यादित करते.
✓WPA3 आणि OpenRoaming सुरक्षित, घर्षणरहित गेस्ट ऑनबोर्डिंगसाठी सध्याची सर्वोत्तम पद्धत दर्शवतात आणि सर्व नवीन डिप्लॉयमेंट्ससाठी ते लक्ष्यित स्थिती असले पाहिजेत.
✓योग्यरित्या आर्किटेक्ट केलेले गेस्ट WiFi डिप्लॉयमेंट PCI DSS व्याप्ती कपात, फर्स्ट-पार्टी डेटा संपादन आणि ऑपरेशनल ॲनालिटिक्सद्वारे मोजता येण्याजोगे ROI व्युत्पन्न करते.

कार्यकारी सारांश

IT व्यवस्थापक, नेटवर्क आर्किटेक्ट्स आणि व्हेन्यू ऑपरेशन्स डायरेक्टर्ससाठी, सुपरमार्केट WiFi सुरक्षित आहे की नाही हा प्रश्न केवळ ग्राहकांच्या चिंतेचा विषय नाही — तर हा एक गंभीर एंटरप्राइझ जोखीम व्यवस्थापनाचा मुद्दा आहे. जसे retail वातावरण ग्राहक प्रतिबद्धता आणि ऑपरेशनल कार्यक्षमतेसाठी डिजिटल कनेक्टिव्हिटीवर अधिकाधिक अवलंबून आहे, तशी अंतर्निहित नेटवर्क पायाभूत सुविधा मजबूत, सुरक्षित आणि PCI DSS आणि GDPR चे पालन करणारी असणे आवश्यक आहे.

हे मार्गदर्शक सुरक्षित इन-स्टोअर WiFi प्रदान करण्यासाठी आवश्यक असलेल्या आर्किटेक्चरची सखोल तांत्रिक माहिती देते. विशिष्ट धोक्याच्या लँडस्केपमध्ये एव्हिल ट्विन APs, मॅन-इन-द-मिडल हल्ले आणि रोग (rogue) DHCP सर्व्हर समाविष्ट आहेत. आवश्यक मिटिगेशन स्टॅकमध्ये कठोर VLAN सेगमेंटेशन, क्लायंट आयसोलेशन, WPA3 एन्क्रिप्शन आणि 802.1X ऑथेंटिकेशन समाविष्ट आहे. सुरक्षित ऑनबोर्डिंग आणि कंप्लायन्स-ग्रेड संमती मिळवण्यासाठी Purple's Guest WiFi सारख्या प्लॅटफॉर्मचा फायदा घेऊन, रिटेलर्स त्यांच्या मुख्य नेटवर्कच्या अखंडतेशी तडजोड न करता किंवा पेमेंट कार्ड सुरक्षा मानकांचे उल्लंघन न करता अखंड खरेदीचा अनुभव देऊ शकतात. केवळ मूलभूत कनेक्टिव्हिटीच्या पलीकडे जाऊन मोजता येण्याजोगे व्यावसायिक मूल्य निर्माण करणारे एक लवचिक, बुद्धिमान एज नेटवर्क तयार करणे हे यामागील उद्दिष्ट आहे.

सखोल तांत्रिक माहिती

उच्च क्लायंट घनता, क्षणिक वापरकर्त्याचे वर्तन आणि अविश्वासू अतिथी उपकरणांनी व्यापलेल्या त्याच भौतिक जागेतून पॉइंट-ऑफ-सेल (POS) सिस्टीमचे संरक्षण करण्याच्या महत्त्वपूर्ण आवश्यकतेमुळे रिटेल WiFi वातावरण अद्वितीयपणे आव्हानात्मक आहे. कॉर्पोरेट मालमत्तेपासून परिपूर्ण लॉजिकल आयसोलेशन राखून घर्षणरहित (frictionless) ॲक्सेस प्रदान करणे हे मूलभूत तांत्रिक आव्हान आहे.

धोक्याचे लँडस्केप

रिटेल नेटवर्क्सना अनेक विशिष्ट हल्ल्यांच्या प्रकारांचा सामना करावा लागतो जे त्यांना इतर एंटरप्राइझ वातावरणापासून वेगळे करतात.

एव्हिल ट्विन ॲक्सेस पॉइंट्स हा सर्वात प्रचलित आणि धोकादायक धोका आहे. हल्लेखोर अधिकृत पायाभूत सुविधांपेक्षा अधिक मजबूत सिग्नलसह अधिकृत स्टोअर SSID — उदाहरणार्थ, Supermarket_Free_WiFi — ब्रॉडकास्ट करणारे रोग (rogue) ॲक्सेस पॉइंट्स तैनात करतात. सेव्ह केलेल्या नेटवर्क प्रोफाइल्स असलेली क्लायंट उपकरणे आपोआप कनेक्ट होतात, ज्यामुळे हल्लेखोराला सर्व ट्रॅफिक इंटरसेप्ट करण्याची परवानगी मिळते. सुपरमार्केटसारख्या जास्त गर्दीच्या वातावरणात, एकच रोग AP काही मिनिटांत शेकडो उपकरणांना प्रभावित करू शकतो.

मॅन-इन-द-मिडल (MitM) हल्ले नैसर्गिकरित्या एव्हिल ट्विन डिप्लॉयमेंटमधून होतात. अनएन्क्रिप्टेड ओपन नेटवर्क्सवर, हल्लेखोर क्लायंट आणि गेटवेच्या दरम्यान स्वतःला स्थापित करण्यासाठी अधिकृत गेस्ट VLAN वर ARP स्पूफिंगचा वापर करू शकतात, ज्यामुळे सेशन कुकीज आणि क्रेडेंशियल्ससह अनएन्क्रिप्टेड पेलोड्स कॅप्चर केले जातात.

रोग DHCP सर्व्हर्स ॲक्सेस स्विचेसवरील चुकीच्या पद्धतीने कॉन्फिगर केलेल्या पोर्ट सिक्युरिटीचा फायदा घेतात. गेस्ट VLAN वर आणलेले एक दुर्भावनापूर्ण उपकरण अधिकृत सर्व्हरपेक्षा वेगाने DHCP विनंत्यांना प्रतिसाद देऊ शकते, आणि दुर्भावनापूर्ण DNS सेटिंग्ज नियुक्त करू शकते जे सर्व वेब ट्रॅफिकला हल्लेखोर-नियंत्रित पायाभूत सुविधांद्वारे गुपचूप पुनर्निर्देशित करते.

सेशन हायजॅकिंग अशा सेवांना लक्ष्य करते ज्या संपूर्ण सेशन जीवनचक्रात HTTPS लागू करत नाहीत. हल्लेखोर प्लेन टेक्स्टमध्ये प्रसारित केलेल्या सेशन कुकीज कॅप्चर करतात, ज्यामुळे त्यांना थर्ड-पार्टी सेवांवर वापरकर्त्यांची तोतयेगिरी (impersonate) करण्याची परवानगी मिळते.

आर्किटेक्चर आणि मानके

या धोक्यांना कमी करण्यासाठी, नेटवर्क आर्किटेक्चर वायरलेस एजवर झिरो-ट्रस्ट तत्त्वांच्या पायावर तयार केले जाणे आवश्यक आहे. खालील मानके आणि तंत्रज्ञान जबाबदार रिटेल WiFi डिप्लॉयमेंटचा गाभा बनवतात.

मानक / तंत्रज्ञान	रिटेल WiFi मधील भूमिका	कंप्लायन्स प्रासंगिकता
WPA3 (SAE)	वायरलेस लिंक एन्क्रिप्ट करते; फॉरवर्ड सिक्रेसी प्रदान करते	PCI DSS Req. 4
802.1X (PNAC)	पोर्ट स्तरावर कर्मचारी आणि POS उपकरणांना ऑथेंटिकेट करते	PCI DSS Req. 8
VLAN सेगमेंटेशन	लेयर 2/3 वर गेस्ट, POS आणि IoT ट्रॅफिक आयसोलेट करते	PCI DSS Req. 1
क्लायंट आयसोलेशन	गेस्ट VLAN वरील पीअर-टू-पीअर हल्ले प्रतिबंधित करते	जोखीम कमी करणे
Captive Portal (GDPR)	ToS लागू करते; डेटा प्रक्रियेसाठी कायदेशीर संमती घेते	GDPR Art. 6, 7
OpenRoaming / Passpoint	एन्क्रिप्टेड, घर्षणरहित गेस्ट ऑनबोर्डिंग	प्रायव्हसी बेस्ट प्रॅक्टिस
WIPS	रोग APs आणि एव्हिल ट्विन्स शोधते आणि नियंत्रित करते	PCI DSS Req. 11.2

WPA3 Simultaneous Authentication of Equals (SAE) सादर करते, जे WPA2 मध्ये वापरल्या जाणाऱ्या Pre-Shared Key (PSK) एक्सचेंजची जागा घेते. हे फॉरवर्ड सिक्रेसी प्रदान करते आणि ऑफलाइन डिक्शनरी हल्ल्यांपासून संरक्षण करते, जे कोणत्याही नेटवर्कसाठी महत्त्वपूर्ण आहे जिथे पासफ्रेज सार्वजनिकरित्या प्रदर्शित केले जाऊ शकते.

802.1X पोर्ट-आधारित नेटवर्क ॲक्सेस कंट्रोल (PNAC) प्रदान करते. हे सुनिश्चित करते की केवळ वैध क्रेडेंशियल्स किंवा प्रमाणपत्रे असलेली अधिकृत उपकरणेच सुरक्षित कॉर्पोरेट VLANs मध्ये प्रवेश करू शकतात. गेस्ट उपकरणांसाठी, जिथे 802.1X नावनोंदणी अव्यवहार्य आहे, Passpoint (Hotspot 2.0) आणि OpenRoaming एक सुरक्षित, प्रमाणपत्र-आधारित पर्याय प्रदान करतात. Purple कनेक्ट लायसन्स अंतर्गत OpenRoaming साठी मोफत आयडेंटिटी प्रोव्हायडर म्हणून काम करते, जे Captive Portal संवादाशिवाय एन्क्रिप्टेड, अखंड ऑनबोर्डिंग सक्षम करते.

अंमलबजावणी मार्गदर्शक

रिटेल स्टोअर्समध्ये सुरक्षित WiFi तैनात करण्यासाठी कॉन्फिगरेशन आणि पॉलिसी अंमलबजावणीसाठी पद्धतशीर दृष्टिकोन आवश्यक आहे. खालील पायऱ्या कंप्लायंट, सुरक्षित डिप्लॉयमेंटसाठी किमान व्यवहार्य आर्किटेक्चर दर्शवतात.

पायरी 1: VLAN आर्किटेक्चर डिझाइन करा

ट्रॅफिकचे भौतिक आणि लॉजिकल सेपरेशन हा सर्वात महत्त्वाचा अंमलबजावणी निर्णय आहे. आधुनिक सुपरमार्केटसाठी तीन VLANs हे किमान व्यवहार्य कॉन्फिगरेशन आहे.

VLAN 10 (Guest WiFi): काटेकोरपणे आयसोलेटेड. फक्त इंटरनेट गेटवेसाठी डीफॉल्ट राउट. कोणत्याही RFC 1918 खाजगी ॲड्रेस स्पेससाठी कोणतेही राउट्स नाहीत. AP स्तरावर क्लायंट आयसोलेशन सक्षम केले आहे.
VLAN 20 (POS / कर्मचारी): संवेदनशील ट्रान्झॅक्शनल डेटा हाताळते. 802.1X ऑथेंटिकेशन आवश्यक आहे. केवळ पेमेंट गेटवेसाठी आवश्यक ट्रॅफिकला परवानगी देणारे कठोर इनग्रेस/एग्रेस ACLs. हे VLAN PCI DSS कार्डहोल्डर डेटा एन्व्हायर्नमेंट (CDE) व्याप्ती परिभाषित करते.
VLAN 30 (IoT / ऑपरेशन्स): डिजिटल साइनेज, इलेक्ट्रॉनिक शेल्फ लेबल्स (ESLs), तापमान सेन्सर्स. गेस्ट आणि POS VLANs दोन्हीपासून आयसोलेटेड.

पायरी 2: गेस्ट SSID वर क्लायंट आयसोलेशन सक्षम करा

क्लायंट आयसोलेशन — ज्याला AP आयसोलेशन किंवा स्टेशन आयसोलेशन असेही म्हटले जाते — एकाच AP किंवा VLAN शी कनेक्ट केलेल्या उपकरणांना एकमेकांशी थेट संवाद साधण्यापासून प्रतिबंधित करते. प्रत्येक एंटरप्राइझ वायरलेस कंट्रोलरमध्ये उपलब्ध असलेला हा एकच कॉन्फिगरेशन बदल, बहुतेक पीअर-टू-पीअर हल्ले, ARP स्पूफिंगचे प्रयत्न आणि गेस्ट नेटवर्कवरील लॅटरल मूव्हमेंट निष्प्रभावी करतो. रिटेल वातावरणात गेस्ट क्लायंट्सनी एकमेकांशी संवाद साधण्यासाठी कोणताही कायदेशीर उपयोग नाही. ते सक्षम करणे आवश्यक आहे.

पायरी 3: कंप्लायंट Captive Portal तैनात करा

Captive Portal हा पॉलिसी आणि कंप्लायन्ससाठी अंमलबजावणी बिंदू आहे. हे केवळ एक स्प्लॅश पेज नाही. Purple WiFi Analytics प्लॅटफॉर्मसह इंटिग्रेट करून, नेटवर्क ॲक्सेस देण्यापूर्वी पोर्टल GDPR-कंप्लायंट संमती कॅप्चर आणि सेवा अटींची अंमलबजावणी हाताळते. हा स्तर व्हेन्यू ऑपरेटरला नेटवर्कवरील वापरकर्त्याच्या वर्तनाशी संबंधित दायित्वापासून वाचवतो. प्लॅटफॉर्म बँडविड्थ थ्रॉटलिंग आणि सेशन वेळ मर्यादा देखील सक्षम करते, ज्यामुळे कोणत्याही एका वापरकर्त्याला इतरांचा अनुभव खराब करण्यापासून रोखले जाते.

पायरी 4: रोग AP डिटेक्शन कॉन्फिगर करा

तुमच्या एंटरप्राइझ वायरलेस कंट्रोलरच्या वायरलेस इंट्रुजन प्रिव्हेन्शन सिस्टीम (WIPS) क्षमता सक्षम करा. स्पूफ केलेल्या SSIDs चे स्वयंचलित कंटेनमेंट कॉन्फिगर करा. एव्हिल ट्विन AP शोधल्यावर, अधिकृत पायाभूत सुविधा रोग AP च्या MAC ॲड्रेसला स्पूफ करून डी-ऑथेंटिकेशन फ्रेम्स प्रसारित करते, ज्यामुळे क्लायंट उपकरणांना डिस्कनेक्ट करण्यास भाग पाडले जाते. सुरक्षा कर्मचारी भौतिक उपकरण शोधत असताना हे आपोआप धोका निष्प्रभावी करते.

पायरी 5: गेस्ट VLAN वर DNS फिल्टरिंग लागू करा

ज्ञात दुर्भावनापूर्ण डोमेन्स, मालवेअर कमांड-अँड-कंट्रोल सर्व्हर्स आणि स्वीकार्य वापर धोरणाचे उल्लंघन करणाऱ्या सामग्री श्रेणींमध्ये प्रवेश अवरोधित करण्यासाठी VLAN 10 वर DNS-लेयर सुरक्षा लागू करा. हे वापरकर्त्यांना दुर्भावनापूर्ण रीडायरेक्ट्सपासून वाचवते आणि त्याच्या नेटवर्कवर ॲक्सेस केलेल्या सामग्रीसाठी व्हेन्यूचे दायित्व कमी करते.

सर्वोत्तम पद्धती

खालील उद्योग-मानक शिफारसी एंटरप्राइझ स्तरावर स्टोअर WiFi च्या कोणत्याही डिप्लॉयमेंटला लागू होतात.

कोरवर कठोर इंटर-VLAN ACLs लागू करा. केवळ VLAN सेपरेशनवर अवलंबून राहू नका. राउटिंग लेयरवर गेस्ट सबनेटवरून सर्व खाजगी ॲड्रेस रेंजेसवरील सर्व ट्रॅफिक स्पष्टपणे नाकारा. चुकीच्या पद्धतीने कॉन्फिगर केलेला राउट गुपचूप VLANs ब्रिज करू शकतो.

शिस्तबद्ध फर्मवेअर पॅचिंग वेळापत्रक राखा. ॲक्सेस पॉइंट्स ही सार्वजनिक एअरस्पेसच्या संपर्कात असलेली एज उपकरणे आहेत. KRACK (Key Reinstallation Attack) असुरक्षिततेने हे दाखवून दिले की WPA2 ला देखील फर्मवेअर-स्तरीय कमकुवतपणाद्वारे तडजोड केली जाऊ शकते. गंभीर CVE प्रकाशनाच्या 30 दिवसांच्या आत पॅच करा.

ॲनालिटिक्सचा जबाबदारीने वापर करा. WiFi Analytics प्लॅटफॉर्म ड्वेल टाइम, फूटफॉल पॅटर्न आणि कस्टमर जर्नी मॅपिंगबद्दल शक्तिशाली इनसाइट्स प्रदान करते. वैयक्तिक डेटा म्हणून डिव्हाइस आयडेंटिफायर्सवरील GDPR आणि ICO च्या मार्गदर्शनानुसार ॲनालिटिक्स पाइपलाइन MAC ॲड्रेसेस निनावी (anonymise) करत असल्याची खात्री करा.

गेस्ट नेटवर्कला अविश्वासू बाह्य ट्रॅफिक म्हणून वागवा. मानसिक मॉडेल असे असावे: गेस्ट VLAN हे इंटरनेट आहे. त्यातून उद्भवणाऱ्या कोणत्याही ट्रॅफिकला अज्ञात बाह्य IP ॲड्रेसवरून येणाऱ्या इनबाउंड ट्रॅफिकसारख्याच संशयाने वागवले पाहिजे.

ही तत्त्वे लगतच्या क्षेत्रांमध्ये कशी लागू होतात याच्या संदर्भासाठी, आमचे WiFi in Hospitals: A Guide to Secure Clinical Networks वरील मार्गदर्शक पहा, जे उच्च-जोखीम असलेल्या वातावरणात समान सेगमेंटेशन आव्हानांना संबोधित करते.

ट्रबलशूटिंग आणि जोखीम कमी करणे

इन-स्टोअर WiFi तैनात करताना किंवा ऑडिट करताना, अनेक सामान्य बिघाड मोड सुरक्षा किंवा कार्यक्षमतेशी तडजोड करू शकतात.

बिघाड मोड: गेस्ट VLAN वर असिमेट्रिक राउटिंग. जर गेस्ट VLAN कोर स्विचवर योग्यरित्या आयसोलेटेड नसेल, तर ट्रॅफिक अनवधानाने कॉर्पोरेट फायरवॉलमधून राउट होऊ शकते, ज्यामुळे स्टेटफुल इन्स्पेक्शन बिघाड होऊ शकतो आणि गेस्ट उपकरणांना अंतर्गत राउट्स उघड होऊ शकतात. उपाय: एज फायरवॉलवर गेस्ट ट्रॅफिकसाठी समर्पित भौतिक किंवा लॉजिकल इंटरफेस लागू करा, किंवा संपूर्ण राउटिंग टेबल सेपरेशन राखण्यासाठी VRF (Virtual Routing and Forwarding) वापरा.

बिघाड मोड: DNS टनेलिंगद्वारे Captive Portal बायपास. प्रगत वापरकर्ते ते नियंत्रित करत असलेल्या बाह्य रिझॉल्व्हरला DNS क्वेरीजमध्ये HTTP ट्रॅफिक एन्कोड करून Captive Portal बायपास करू शकतात. उपाय: कठोर वॉल्ड गार्डन कॉन्फिगरेशन लागू करा. ऑथेंटिकेशनपूर्वी केवळ मंजूर बाह्य रिझॉल्व्हर्सना DNS ट्रॅफिकची परवानगी द्या. टनेल केलेले ट्रॅफिक ओळखण्यासाठी आणि ड्रॉप करण्यासाठी डीप पॅकेट इन्स्पेक्शन (DPI) लागू करा.

बिघाड मोड: MAC ॲड्रेस स्पूफिंग. हल्लेखोर Captive Portal बायपास करण्यासाठी ऑथेंटिकेटेड उपकरणाचा MAC ॲड्रेस क्लोन करू शकतात. उपाय: MAC ॲड्रेस आणि IP ॲड्रेस दोन्हीवर सेशन बाइंडिंग लागू करा. ॲड्रेस कॉन्फ्लिक्ट्स शोधण्यासाठी DHCP स्नूपिंग सक्षम करा. शोषणाची विंडो मर्यादित करण्यासाठी लहान सेशन टाइमआउट्स सेट करा.

बिघाड मोड: डबल टॅगिंगद्वारे VLAN हॉपिंग. चुकीच्या पद्धतीने कॉन्फिगर केलेल्या ट्रंक पोर्ट्सवर, हल्लेखोर वेगळ्या VLAN मध्ये ट्रॅफिक इंजेक्ट करण्यासाठी डबल-टॅग केलेल्या 802.1Q फ्रेम्स तयार करू शकतो. उपाय: सर्व ॲक्सेस पोर्ट्स स्पष्टपणे नॉन-नेटिव्ह VLAN ला नियुक्त केले असल्याची खात्री करा. सर्व ॲक्सेस-फेसिंग स्विच पोर्ट्सवर DTP (Dynamic Trunking Protocol) अक्षम करा.

ROI आणि व्यावसायिक प्रभाव

सुरक्षित, एंटरप्राइझ-ग्रेड WiFi आर्किटेक्चरमध्ये गुंतवणूक केल्याने मोजता येण्याजोगे व्यावसायिक मूल्य मिळते जे जोखीम कमी करण्याच्या पलीकडे जाते.

PCI DSS कंप्लायन्स खर्च कपात. योग्य VLAN सेगमेंटेशन PCI DSS कार्डहोल्डर डेटा एन्व्हायर्नमेंटची व्याप्ती कमी करते. लहान CDE व्याप्ती म्हणजे ऑडिट करण्यासाठी कमी सिस्टीम्स, पुरावा देण्यासाठी कमी कंट्रोल्स आणि QSA (Qualified Security Assessor) फीमध्ये लक्षणीय घट. 200-लोकेशन रिटेल चेनसाठी, हे प्रति वार्षिक ऑडिट सायकल हजारो पाउंड्सची बचत दर्शवू शकते.

फर्स्ट-पार्टी डेटा संपादन. एक सुरक्षित, ब्रँडेड Captive Portal मार्केटिंग डेटाबेससाठी उच्च ऑप्ट-इन दर वाढवतो. जे ग्राहक चांगल्या प्रकारे डिझाइन केलेल्या, विश्वासार्ह गेस्ट WiFi अनुभवाशी कनेक्ट होतात ते मार्केटिंग कम्युनिकेशन्सना संमती देण्याची अधिक शक्यता असते. थर्ड-पार्टी कुकी डेप्रिकेशनमुळे डिजिटल जाहिरातींची परिणामकारकता कमी होत असल्याने हा फर्स्ट-पार्टी डेटा अधिकाधिक मौल्यवान होत आहे. लोकेशन इंटेलिजन्सच्या मूल्यावरील अधिक संदर्भासाठी, आमचे Indoor Positioning System: UWB, BLE, & WiFi Guide वरील मार्गदर्शक पहा.

ब्रँड संरक्षण. गेस्ट नेटवर्कवरून उद्भवणाऱ्या हाय-प्रोफाइल डेटा ब्रीचची प्रतिष्ठेची किंमत सुरक्षित पायाभूत सुविधांमधील गुंतवणुकीपेक्षा खूप जास्त असते. एकाच घटनेमुळे GDPR अंतर्गत ICO दंड (जागतिक वार्षिक उलाढालीच्या 4% पर्यंत), क्लास ॲक्शन खटला आणि ग्राहकांच्या विश्वासाचे कायमस्वरूपी नुकसान होऊ शकते.

ऑपरेशनल इंटेलिजन्स. गेस्ट नेटवर्कवरील WiFi Analytics डेटा फूटफॉल पॅटर्न, स्टोअर झोननुसार ड्वेल टाइम आणि पीक ट्रॅफिक कालावधीबद्दल ॲक्शनेबल इनसाइट्स प्रदान करतो. हा डेटा थेट स्टाफिंग निर्णय, स्टोअर लेआउट ऑप्टिमायझेशन आणि प्रमोशनल टायमिंगची माहिती देतो — समान पायाभूत सुविधांच्या गुंतवणुकीतून मोजता येण्याजोगे ROI प्रदान करतो.

ऐका: रिटेल WiFi सुरक्षेवरील एक्झिक्युटिव्ह ब्रीफिंग

संबंधित वाचन: Is University WiFi Safe? A Guide for Students | WiFi in Hospitals: A Guide to Secure Clinical Networks | Your Guide to Enterprise In Car Wi Fi Solutions

संदर्भ

[1] IEEE 802.11-2020 — माहिती तंत्रज्ञानासाठी IEEE मानक — वायरलेस LAN मिडीयम ॲक्सेस कंट्रोल आणि फिजिकल लेयर स्पेसिफिकेशन्स. [2] PCI सिक्युरिटी स्टँडर्ड्स कौन्सिल — PCI DSS v4.0, आवश्यकता 1, 4, 8, आणि 11. [3] UK इन्फॉर्मेशन कमिशनर्स ऑफिस — UK GDPR अंतर्गत वैयक्तिक डेटा म्हणून डिव्हाइस आयडेंटिफायर्सच्या वापरावर मार्गदर्शन. [4] Wi-Fi Alliance — WPA3 स्पेसिफिकेशन v3.0.

महत्वाच्या व्याख्या

Client Isolation

एक वायरलेस नेटवर्क वैशिष्ट्य जे एकाच ॲक्सेस पॉइंट किंवा VLAN शी कनेक्ट केलेल्या उपकरणांना एकमेकांशी थेट संवाद साधण्यापासून प्रतिबंधित करते. सर्व ट्रॅफिक AP मधून जाणे आणि अपस्ट्रीम गेटवेद्वारे राउट होणे आवश्यक आहे.

गेस्ट नेटवर्क्ससाठी सर्वात प्रभावी सुरक्षा नियंत्रण. पीअर-टू-पीअर हल्ले, ARP स्पूफिंग, लॅटरल मूव्हमेंट आणि ग्राहक उपकरणांमधील मालवेअर प्रसार प्रतिबंधित करते. सर्व गेस्ट SSIDs वर सक्षम असणे आवश्यक आहे.

VLAN Segmentation

भौतिक नेटवर्कला लेयर 2 वर एकाधिक लॉजिकल नेटवर्क्स (व्हर्च्युअल LANs) मध्ये विभाजित करण्याची प्रथा, ज्यामध्ये त्यांच्यामधील राउटिंग लेयर 3 वर ACLs द्वारे नियंत्रित केले जाते.

संवेदनशील POS आणि कॉर्पोरेट डेटापासून अविश्वासू गेस्ट ट्रॅफिक वेगळे करण्यासाठी आवश्यक. रिटेल वातावरणात PCI DSS ऑडिट व्याप्ती कमी करण्यासाठी प्राथमिक यंत्रणा.

Evil Twin AP

एक रोग वायरलेस ॲक्सेस पॉइंट जो अधिकृत नेटवर्कसारखाच SSID प्रसारित करतो, सामान्यतः अधिक मजबूत सिग्नलसह, क्लायंट उपकरणांना त्याच्याशी स्वयंचलितपणे कनेक्ट होण्यासाठी फसवतो.

जास्त गर्दीच्या रिटेल वातावरणातील प्राथमिक वायरलेस धोका. स्पूफ केलेल्या SSIDs स्वयंचलितपणे शोधण्यासाठी आणि नियंत्रित करण्यासाठी WIPS क्षमता तैनात करून कमी केले जाते.

Captive Portal

एक वेब पेज जे नव्याने कनेक्ट केलेल्या उपकरणावरील सर्व HTTP/HTTPS ट्रॅफिक इंटरसेप्ट करते आणि पूर्ण नेटवर्क ॲक्सेस देण्यापूर्वी वापरकर्त्याला एखादी कृती पूर्ण करणे आवश्यक करते — सेवा अटी स्वीकारणे, ऑथेंटिकेट करणे किंवा संमती देणे.

गेस्ट WiFi डिप्लॉयमेंटमध्ये GDPR कंप्लायन्स, स्वीकार्य वापर धोरण आणि फर्स्ट-पार्टी डेटा कॅप्चरसाठी अंमलबजावणी बिंदू. ही सुरक्षा सीमा नाही — तर एक पॉलिसी आणि कंप्लायन्स लेयर आहे.

802.1X (PNAC)

पोर्ट-आधारित नेटवर्क ॲक्सेस कंट्रोलसाठी एक IEEE मानक जे LAN किंवा WLAN शी कनेक्ट होण्याचा प्रयत्न करणाऱ्या उपकरणांसाठी ऑथेंटिकेशन यंत्रणा प्रदान करते, क्रेडेंशियल्स किंवा प्रमाणपत्रे प्रमाणित करण्यासाठी ऑथेंटिकेशन सर्व्हर (सामान्यतः RADIUS) वापरते.

रिटेलमध्ये कर्मचारी आणि POS उपकरण ॲक्सेस सुरक्षित करण्यासाठी मानक. भौतिक पोर्टची पर्वा न करता, केवळ अधिकृत, नोंदणीकृत उपकरणे सुरक्षित कॉर्पोरेट VLANs मध्ये प्रवेश करू शकतात याची खात्री करते.

OpenRoaming

एक Wi-Fi Alliance रोमिंग फेडरेशन सेवा जी वापरकर्ता उपकरणांना Captive Portals किंवा मॅन्युअल पासवर्ड एंट्रीशिवाय, डिव्हाइस प्रमाणपत्रांचा वापर करून सहभागी Wi-Fi नेटवर्क्सवर स्वयंचलितपणे आणि सुरक्षितपणे ऑथेंटिकेट करण्याची परवानगी देते.

घर्षणरहित, एन्क्रिप्टेड गेस्ट ऑनबोर्डिंगसाठी उदयोन्मुख मानक. Purple कनेक्ट लायसन्स अंतर्गत OpenRoaming साठी मोफत आयडेंटिटी प्रोव्हायडर म्हणून काम करते, ज्यामुळे रिटेलर्सना सुरक्षेशी तडजोड न करता अखंड कनेक्टिव्हिटी ऑफर करणे शक्य होते.

WPA3 (SAE)

Wi-Fi प्रोटेक्टेड ॲक्सेसची तिसरी पिढी, जी Pre-Shared Key (PSK) हँडशेक बदलण्यासाठी Simultaneous Authentication of Equals (SAE) सादर करते. फॉरवर्ड सिक्रेसी आणि ऑफलाइन डिक्शनरी हल्ल्यांना प्रतिकार प्रदान करते.

नवीन रिटेल WiFi डिप्लॉयमेंटसाठी अनिवार्य. विशेषतः अशा वातावरणात महत्त्वाचे आहे जिथे नेटवर्क पासफ्रेज सार्वजनिकरित्या प्रदर्शित केले जाऊ शकते, कारण SAE कॅप्चर केलेल्या ट्रॅफिकचे पूर्वलक्षी डिक्रिप्शन प्रतिबंधित करते.

PCI DSS

पेमेंट कार्ड इंडस्ट्री डेटा सिक्युरिटी स्टँडर्ड — पेमेंट कार्ड डेटा स्वीकारणाऱ्या, प्रक्रिया करणाऱ्या, संचयित करणाऱ्या किंवा प्रसारित करणाऱ्या सर्व संस्थांसाठी सुरक्षा आवश्यकतांचा संच. कार्डहोल्डर डेटा एन्व्हायर्नमेंट (CDE) परिभाषित करते आणि कठोर नेटवर्क सेगमेंटेशन अनिवार्य करते.

रिटेलमध्ये कठोर VLAN सेगमेंटेशनसाठी प्राथमिक नियामक चालक. एकाच नेटवर्क सेगमेंटवर गेस्ट आणि POS ट्रॅफिक मिसळणे हे PCI DSS आवश्यकता 1 चे थेट उल्लंघन आहे आणि यामुळे महत्त्वपूर्ण दंड आणि कार्ड प्रक्रिया विशेषाधिकार गमावले जाऊ शकतात.

Dynamic ARP Inspection (DAI)

मॅनेज्ड स्विचेसवरील एक सुरक्षा वैशिष्ट्य जे DHCP स्नूपिंग बाइंडिंग डेटाबेसच्या विरूद्ध ARP पॅकेट्स प्रमाणित करते, अधिकृत IP-to-MAC बाइंडिंगशी जुळत नसलेला कोणताही ARP रिप्लाय ड्रॉप करते.

लेयर 2 कंट्रोल जे गेस्ट VLAN वरील ARP स्पूफिंग हल्ले प्रतिबंधित करते. अचूक बाइंडिंग टेबल राखण्यासाठी DHCP स्नूपिंगच्या संयोगाने कार्य करते.

सोडवलेली उदाहरणे

200 लोकेशन्स असलेली एक राष्ट्रीय रिटेल चेन त्यांच्या नेटवर्क पायाभूत सुविधा अपग्रेड करत आहे. ते सध्या POS टर्मिनल्स, कर्मचारी उपकरणे आणि WPA2 पासवर्ड-संरक्षित गेस्ट SSID साठी एकच फ्लॅट नेटवर्क चालवतात. पासवर्ड ग्राहकांच्या पावत्यांवर छापलेला असतो. त्यांना गेस्ट अनुभव सुधारताना पुढील दोन तिमाहींमध्ये PCI DSS v4.0 कंप्लायन्स साध्य करणे आवश्यक आहे. आर्किटेक्चरची पुनर्रचना कशी करावी?

कठोर VLAN सेगमेंटेशन आणि कंप्लायंट गेस्ट ऑनबोर्डिंग फ्लोच्या आधारे नेटवर्कची पुनर्रचना करणे आवश्यक आहे.

VLAN आर्किटेक्चर: गेस्ट ॲक्सेससाठी VLAN 10 (आयसोलेटेड, फक्त इंटरनेट राउट), POS आणि पेमेंट टर्मिनल्ससाठी VLAN 20 (802.1X ऑथेंटिकेटेड, केवळ पेमेंट गेटवे IPs साठी कठोर ACLs), आणि कर्मचारी आणि बॅक-ऑफिस उपकरणांसाठी VLAN 30 तयार करा.
गेस्ट SSID: WPA2-PSK वरून Captive Portal सह ओपन SSID वर मायग्रेट करा. AP स्तरावर क्लायंट आयसोलेशन त्वरित सक्षम करा. हे सार्वजनिकरित्या प्रदर्शित केलेल्या पासवर्डची खोटी सुरक्षा काढून टाकते आणि पीअर-टू-पीअर हल्ल्याचे मार्ग नष्ट करते.
Captive Portal: Captive Portal लेयर म्हणून Purple प्लॅटफॉर्म तैनात करा. GDPR-कंप्लायंट संमती कॅप्चर, सेवा अटींची अंमलबजावणी आणि बँडविड्थ थ्रॉटलिंग (उदा., प्रति डिव्हाइस 5 Mbps, 60-मिनिटांचा सेशन टाइमआउट) कॉन्फिगर करा.
POS सेगमेंटेशन: सर्व POS टर्मिनल्स VLAN 20 वर मायग्रेट करा. डिव्हाइस प्रमाणपत्रांसह 802.1X लागू करा. VLAN 10 वरून VLAN 20 आणि VLAN 30 कडे जाणारे सर्व ट्रॅफिक नाकारणारे ACLs कोर स्विचवर लागू करा.
मॉनिटरिंग: सर्व वायरलेस कंट्रोलर्सवर WIPS सक्षम करा. स्पूफ केलेल्या SSIDs चे स्वयंचलित कंटेनमेंट कॉन्फिगर करा. रिअल-टाइम अलर्टिंगसाठी मध्यवर्ती SIEM सह कंट्रोलर लॉग्स इंटिग्रेट करा.

परीक्षकाचे भाष्य: हा दृष्टिकोन थेट गंभीर आर्किटेक्चरल त्रुटीला संबोधित करतो: फ्लॅट नेटवर्क. गेस्ट ट्रॅफिक (VLAN 10) पासून POS ट्रॅफिक (VLAN 20) वेगळे करून, रिटेलर त्वरित त्यांची PCI DSS CDE व्याप्ती कमी करतो — संभाव्यतः शेकडो गेस्ट-फेसिंग उपकरणांना ऑडिट व्याप्तीतून पूर्णपणे काढून टाकतो. WPA2-PSK वरून क्लायंट आयसोलेशनसह ओपन SSID वर मायग्रेट करणे हे काउंटरइंट्युटिव्ह (counterintuitive) आहे परंतु योग्य आहे: शेअर केलेल्या पासवर्डने कोणतीही वास्तविक सुरक्षा प्रदान केली नाही आणि संरक्षणाची खोटी भावना निर्माण केली. Captive Portal लेयर पॉलिसी अंमलबजावणी पुनर्संचयित करते आणि GDPR कंप्लायन्स यंत्रणा जोडते जी मूळ डिप्लॉयमेंटमध्ये पूर्णपणे अनुपस्थित होती.

एका मोठ्या सुपरमार्केटच्या NOC ला गेस्ट VLAN वरील अनेक MAC ॲड्रेसेसवरून मोठ्या प्रमाणात ARP ब्रॉडकास्ट ट्रॅफिक आणि विसंगत DNS विनंत्या उद्भवत असल्याचे दर्शवणारे अलर्ट्स प्राप्त होतात. गेस्ट WiFi कार्यक्षमता खालावली आहे. पॅकेट कॅप्चर ARP रिप्लाय दर्शवतो ज्यामध्ये गेटवे IP अशा उपकरणाचा असल्याचा दावा केला जातो जो अधिकृत गेटवे नाही. हा कोणता संभाव्य हल्ला आहे आणि त्वरित उपाययोजना काय आहेत?

लक्षणे गेस्ट VLAN वरील ARP स्पूफिंग / मॅन-इन-द-मिडल हल्ल्याशी सुसंगत आहेत. हल्लेखोराने गेस्ट नेटवर्कवर एक उपकरण आणले आहे आणि गेटवे IP च्या मालकीचा दावा करणारे ग्रॅच्युटस (gratuitous) ARP रिप्लाय प्रसारित करत आहे, ज्यामुळे गेस्ट ट्रॅफिक त्यांच्या उपकरणाद्वारे पुनर्निर्देशित होत आहे.

त्वरित उपाययोजना:

गेस्ट SSID वर क्लायंट आयसोलेशन सक्षम असल्याचे सत्यापित करा. अक्षम असल्यास, ते त्वरित सक्षम करा — हे सर्वात प्रभावी सिंगल कंट्रोल आहे.
गेस्ट VLAN साठी ॲक्सेस स्विचेसवर डायनॅमिक ARP इन्स्पेक्शन (DAI) सक्षम करा. DAI DHCP स्नूपिंग बाइंडिंग डेटाबेसच्या विरूद्ध ARP पॅकेट्स प्रमाणित करते, अधिकृत IP-to-MAC बाइंडिंगशी जुळत नसलेला कोणताही ARP रिप्लाय ड्रॉप करते.
DAI ज्यावर अवलंबून आहे तो बाइंडिंग डेटाबेस तयार करण्यासाठी गेस्ट VLAN वर DHCP स्नूपिंग सक्षम करा.
हल्लेखोराचे कनेक्शन संपुष्टात आणण्यासाठी वायरलेस कंट्रोलर स्तरावर त्याचा MAC ॲड्रेस ओळखा आणि ब्लॅकलिस्ट करा.
कोणत्याही पॉयझन्ड ARP कॅशे फ्लश करण्यासाठी सर्व गेस्ट क्लायंट्ससाठी DHCP लीज नूतनीकरण सक्तीचे करा.
हल्लेखोर अधिकृत SSID द्वारे कनेक्ट झाला की एव्हिल ट्विन द्वारे हे निर्धारित करण्यासाठी WIPS लॉग्सचे पुनरावलोकन करा.

परीक्षकाचे भाष्य: ARP रिप्लाय सिग्नेचर ओळखणे ही प्रमुख डायग्नोस्टिक इनसाइट आहे: अधिकृत गेटवे MAC शी न जुळणाऱ्या गेटवे IP च्या मालकीचा दावा करणारे उपकरण. सर्वात प्रभावी प्रतिबंधात्मक नियंत्रण — क्लायंट आयसोलेशन — हल्लेखोराच्या उपकरणाला इतर गेस्ट क्लायंट्सना ARP ब्रॉडकास्ट पाठवण्यापासून प्रतिबंधित करून हा हल्ला पूर्णपणे रोखू शकले असते. डिफेन्स-इन-डेप्थ उपाय म्हणून लागू करण्यासाठी DAI आणि DHCP स्नूपिंग हे योग्य लेयर 2 कंट्रोल्स आहेत. हे परिदृश्य स्पष्ट करते की गेस्ट नेटवर्क्सवर क्लायंट आयसोलेशन का ऐच्छिक नाही.

सराव प्रश्न

Q1. तुम्ही नव्याने तैनात केलेल्या सुपरमार्केट नेटवर्कचे ऑडिट करत आहात. कॉन्फिगरेशन दर्शवते की गेस्ट SSID VLAN 50 वर आहे आणि POS टर्मिनल्स VLAN 60 वर आहेत. तथापि, VLAN 50 वरील उपकरणावरून पिंग VLAN 60 वरील POS टर्मिनलपर्यंत यशस्वीरित्या पोहोचते. नेटवर्क टीमचा आग्रह आहे की VLANs योग्यरित्या कॉन्फिगर केले आहेत. सर्वात संभाव्य आर्किटेक्चरल बिघाड कोणता आहे आणि तुम्ही तो कसा दूर कराल?

टीप: VLANs लेयर 2 वर ट्रॅफिक वेगळे करतात. सबनेट्समधील राउटिंग कुठे होते आणि तिथे कोणते कंट्रोल्स असले पाहिजेत याचा विचार करा.

नमुना उत्तर पहा

VLANs लेयर 2 वर योग्यरित्या कॉन्फिगर केले आहेत, परंतु प्रतिबंधात्मक ACLs शिवाय कोर स्विच किंवा फायरवॉलवर इंटर-VLAN राउटिंग सक्षम केले आहे. सबनेट्स दरम्यान ट्रॅफिक राउट केले जात आहे कारण कोणतेही ACL स्पष्टपणे ते नाकारत नाही. उपाय: राउटिंग लेयरवर VLAN 50 (गेस्ट) इंटरफेसवर आउटबाउंड ACL लागू करा, कोणत्याही RFC 1918 खाजगी ॲड्रेस रेंज (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) साठी जाणारे सर्व ट्रॅफिक स्पष्टपणे नाकारा, ज्यामध्ये फक्त इंटरनेटच्या डीफॉल्ट राउटसाठी परमिट स्टेटमेंट असेल. ACL लागू केल्यानंतर कोणतेही इंटर-VLAN ट्रॅफिक फायरवॉल पार करत नाही याची पॅकेट कॅप्चरसह पडताळणी करा.

Q2. एका रिटेल क्लायंटच्या CTO ला ग्राहकांसाठी घर्षण कमी करण्यासाठी Captive Portal पूर्णपणे काढून टाकायचे आहे, आणि कोणतेही ऑथेंटिकेशन किंवा सेवा अटी नसलेले पूर्णपणे ओपन नेटवर्क प्रस्तावित करायचे आहे. तुम्हाला कोणते तीन सर्वात महत्त्वाचे धोके सांगावे लागतील आणि घर्षणरहित अनुभव जतन करणारा शिफारस केलेला पर्याय कोणता आहे?

टीप: तांत्रिक सुरक्षा, UK GDPR अंतर्गत कायदेशीर दायित्व आणि गमावले जाणारे व्यावसायिक मूल्य विचारात घ्या.

नमुना उत्तर पहा

कायदेशीर दायित्व: सेवा अटींशिवाय, व्हेन्यू त्यांच्या नेटवर्कवर केल्या जाणाऱ्या बेकायदेशीर क्रियाकलापांचे (उदा., कॉपीराइट उल्लंघन, प्रतिबंधित सामग्री ॲक्सेस करणे) दायित्व स्वीकारते. Captive Portal हे कायदेशीर साधन आहे जे वापरकर्त्याकडे जबाबदारी हस्तांतरित करते. 2. GDPR कंप्लायन्स: पोर्टल काढून टाकल्याने संमती कॅप्चर यंत्रणा नष्ट होते. GDPR कलम 6 अंतर्गत कायदेशीर आधाराशिवाय नेटवर्क वापरातून मिळवलेला कोणताही ॲनालिटिक्स किंवा मार्केटिंग डेटा संस्थेला ICO अंमलबजावणीच्या धोक्यात आणतो. 3. व्यावसायिक मूल्य: Captive Portal ही फर्स्ट-पार्टी डेटा संपादनासाठी प्राथमिक यंत्रणा आहे — ईमेल ॲड्रेसेस, डेमोग्राफिक डेटा आणि मार्केटिंग ऑप्ट-इन्स. ते काढून टाकल्याने ही महसूल-निर्मिती क्षमता नष्ट होते. शिफारस केलेला पर्याय: Purple कनेक्ट लायसन्सद्वारे OpenRoaming तैनात करा. हे सुसंगत उपकरणे असलेल्या वापरकर्त्यांसाठी पूर्णपणे घर्षणरहित, एन्क्रिप्टेड ऑनबोर्डिंग प्रदान करते, तसेच नॉन-OpenRoaming उपकरणांसाठी लाइटवेट Captive Portal राखून ठेवते जे अद्याप संमती कॅप्चर करते.

Q3. तुमचे WIPS तुम्हाला मुख्य प्रवेशद्वाराजवळ तुमच्या अधिकृत APs पेक्षा 15 dBm अधिक मजबूत सिग्नल स्ट्रेंथसह स्टोअरचा अचूक SSID प्रसारित करणाऱ्या रोग AP बद्दल अलर्ट करते. कर्मचारी तक्रार करतात की अनेक ग्राहक WiFi शी कनेक्ट झाल्यानंतर त्यांचे फोन 'काहीही लोड करत नाहीत' अशी तक्रार करत आहेत. काय होत आहे आणि तुम्ही पूर्व-कॉन्फिगर केलेला योग्य स्वयंचलित प्रतिसाद कोणता असावा?

टीप: हल्ल्याची यंत्रणा आणि एंटरप्राइझ वायरलेस कंट्रोलर्ससाठी उपलब्ध ओव्हर-द-एअर काउंटरमेझर या दोन्हीचा विचार करा.

नमुना उत्तर पहा

क्लायंट उपकरणांना अधिकृत पायाभूत सुविधांपेक्षा त्याला प्राधान्य देण्यास भाग पाडण्यासाठी प्रवेशद्वाराजवळ बूस्ट केलेल्या सिग्नलसह एक एव्हिल ट्विन AP तैनात केला गेला आहे. कनेक्टिव्हिटी बिघाड अनुभवत असलेले ग्राहक रोग AP शी कनेक्ट केलेले आहेत, जे एकतर इंटरनेट ॲक्सेस प्रदान करत नाही (पॅसिव्ह क्रेडेंशियल हार्वेस्टिंग सेटअप) किंवा सक्रियपणे ट्रॅफिक इंटरसेप्ट करत आहे आणि फॉरवर्ड करण्यात अयशस्वी होत आहे. योग्य स्वयंचलित प्रतिसाद WIPS-आधारित कंटेनमेंट आहे: अधिकृत वायरलेस कंट्रोलर्स रोग AP च्या MAC ॲड्रेसला स्पूफ करून डी-ऑथेंटिकेशन (deauth) फ्रेम्स स्वयंचलितपणे प्रसारित करण्यासाठी कॉन्फिगर केले जावेत. हे एव्हिल ट्विनशी कनेक्ट होण्याचा प्रयत्न करणाऱ्या कोणत्याही उपकरणाला त्वरित डिस्कनेक्ट करण्यास भाग पाडते, ज्यामुळे हवेतच हल्ला प्रभावीपणे निष्प्रभावी होतो. त्याच वेळी, NOC अलर्टने भौतिक उपकरण शोधण्यासाठी आणि काढून टाकण्यासाठी भौतिक सुरक्षा प्रतिसाद ट्रिगर केला पाहिजे. टीप: अधिकृत शेजारील नेटवर्क्सवरून क्लायंट्सना चुकून डीऑथेंटिकेट करणे टाळण्यासाठी स्वयंचलित डीऑथ कंटेनमेंट काळजीपूर्वक स्कोप केले पाहिजे.

या मालिकेमध्ये पुढे वाचा

Wi-Fi सुरक्षेचे भविष्य: AI-आधारित NAC आणि थ्रेट डिटेक्शन

हे अधिकृत मार्गदर्शक जुन्या WPA2 कडून AI-आधारित नेटवर्क ॲक्सेस कंट्रोल (NAC) आणि थ्रेट डिटेक्शनकडे एंटरप्राइझ Wi-Fi सुरक्षेच्या उत्क्रांतीचा शोध घेते. IT लीडर्ससाठी डिझाइन केलेले, हे Purple च्या आयडेंटिटी-आधारित नेटवर्क्सचा वापर करून रिटेल, हॉस्पिटॅलिटी आणि स्टेडियम्ससारख्या हाय-डेन्सिटी वातावरणांना सुरक्षित करण्यासाठी कृतीयोग्य डिप्लॉयमेंट धोरणे प्रदान करते.

NAC आणि MPSK सह IoT डिव्हाइस सिक्युरिटी व्यवस्थापित करणे

हे तांत्रिक मार्गदर्शक एंटरप्राइझ ठिकाणे मल्टिपल प्री-शेअर्ड की (MPSK) आर्किटेक्चर आणि नेटवर्क ॲक्सेस कंट्रोल (NAC) वापरून हेडलेस IoT डिव्हाइसेस कसे सुरक्षित करू शकतात हे तपशीलवार सांगते. हे मायक्रो-सेगमेंटेशन साध्य करण्यासाठी, सिक्युरिटी ब्लास्ट रेडियस नियंत्रित करण्यासाठी आणि स्केलेबिलिटीशी तडजोड न करता कंप्लायन्स राखण्यासाठी कृती करण्यायोग्य अंमलबजावणीच्या पायऱ्या प्रदान करते.

RadSec: TLS वरील RADIUS मुळे WiFi प्रमाणीकरण सुरक्षा कशी सुधारते

हा अधिकृत तांत्रिक संदर्भ स्पष्ट करतो की RadSec (RFC 6614) पारंपारिक RADIUS ट्रॅफिकला TLS एन्क्रिप्शनमध्ये रॅप करून एंटरप्राइझ WiFi प्रमाणीकरण कसे सुरक्षित करते. IT व्यवस्थापक आणि नेटवर्क आर्किटेक्ट्ससाठी डिझाइन केलेले, हे कॉर्पोरेट आणि अतिथी नेटवर्कवर अनएन्क्रिप्टेड UDP RADIUS ट्रॅफिकचे धोके कमी करण्यासाठी आर्किटेक्चर, डिप्लॉयमेंट धोरणे आणि व्यावहारिक पायऱ्या कव्हर करते.