PEAP ऑथेंटिकेशन म्हणजे काय? PEAP तुमचे WiFi कसे सुरक्षित करते

हे अधिकृत मार्गदर्शक एंटरप्राइझ WiFi नेटवर्क्ससाठी PEAP ऑथेंटिकेशनचे विश्लेषण करते, त्याचे आर्किटेक्चर, EAP-TLS च्या तुलनेत त्याच्या सुरक्षा मर्यादा आणि व्यावहारिक डिप्लॉयमेंट धोरणे तपशीलवार सांगते. आयटी मॅनेजर्स आणि नेटवर्क आर्किटेक्ट्ससाठी डिझाइन केलेले, हे PEAP-MSCHAPv2 कधी योग्य राहते आणि आधुनिक धोक्यांपासून ते कसे सुरक्षित करावे यावर कृतीयोग्य अंतर्दृष्टी प्रदान करते.

📖 5 मिनिट वाचन📝 1,239 शब्द🔧 2 सोडवलेली उदाहरणे❓ 3 सराव प्रश्न📚 8 महत्वाच्या व्याख्या

हे मार्गदर्शक ऐका

पॉडकास्ट ट्रान्सक्रिप्ट पहा

PEAP ऑथेंटिकेशन म्हणजे काय? PEAP तुमचे WiFi कसे सुरक्षित करते. एक Purple एंटरप्राइझ WiFi इंटेलिजन्स ब्रीफिंग.

स्वागत आहे. जर तुम्ही हॉटेल ग्रुप, रिटेल एस्टेट, स्टेडियम किंवा सार्वजनिक क्षेत्रातील संस्थेमध्ये नेटवर्क सुरक्षेसाठी जबाबदार असाल, तर हे ब्रीफिंग तुमच्यासाठी आहे. पुढील दहा मिनिटांत, आपण PEAP ऑथेंटिकेशन कव्हर करणार आहोत — ते प्रत्यक्षात काय आहे, ते आतून कसे कार्य करते, ते तुमच्या सुरक्षा आर्किटेक्चरमध्ये कुठे बसते आणि सर्वात महत्त्वाचे म्हणजे, ते कधी योग्य आहे आणि तुम्ही त्याहून अधिक मजबूत पर्याय कधी शोधला पाहिजे. चला तर मग सुरुवात करूया.

विभाग एक: संदर्भ आणि हे आता का महत्त्वाचे आहे.

आजचे बहुतांश एंटरप्राइझ WiFi डिप्लॉयमेंट्स अजूनही दोनपैकी एका ऑथेंटिकेशन मॉडेलवर अवलंबून आहेत. तुमच्याकडे एकतर प्री-शेअर्ड की (pre-shared key) आहे — संपूर्ण संस्थेमध्ये शेअर केलेला एकच पासवर्ड — किंवा तुमच्याकडे 802.1X आहे, जे पोर्ट-आधारित नेटवर्क ॲक्सेस कंट्रोलसाठी IEEE मानक आहे. PEAP हे 802.1X च्या श्रेणीत येते, आणि जागतिक स्तरावर कॉर्पोरेट आणि संस्थात्मक वातावरणात ही सर्वात जास्त वापरली जाणारी EAP पद्धत आहे.

PEAP इतके प्रबळ होण्याचे कारण सरळ आहे: त्याने एका वास्तविक ऑपरेशनल समस्येचे निराकरण केले. PEAP पूर्वी, प्रमाणपत्र-आधारित WiFi ऑथेंटिकेशन डिप्लॉय करणे म्हणजे प्रत्येक डिव्हाइसला — प्रत्येक लॅपटॉप, प्रत्येक फोन, प्रत्येक टॅब्लेटला क्लायंट प्रमाणपत्रे जारी करणे. पाचशे कर्मचारी आणि BYOD पॉलिसी असलेल्या संस्थेसाठी, ती एक PKI डिप्लॉयमेंटची डोकेदुखी आहे ज्यासाठी बहुतांश आयटी टीम्सकडे बजेट किंवा वेळ नव्हता. PEAP ने एक मध्यम मार्ग दिला: TLS द्वारे मजबूत सर्व्हर-साइड ऑथेंटिकेशन, आणि क्लायंटच्या बाजूला युजरनेम आणि पासवर्ड क्रेडेन्शियल्स. कोणत्याही क्लायंट प्रमाणपत्रांची आवश्यकता नाही.

त्या तडजोडीमुळे 2000 आणि 2010 च्या दशकात एंटरप्राइझ WiFi ऑथेंटिकेशनसाठी PEAP हे डी फॅक्टो मानक (de facto standard) बनले, आणि ते आजही अत्यंत सामान्य आहे. त्याचे आर्किटेक्चर — आणि त्याच्या मर्यादा — समजून घेणे 2024 आणि त्यानंतर इन्फ्रास्ट्रक्चरचे निर्णय घेणाऱ्या प्रत्येकासाठी आवश्यक आहे.

विभाग दोन: तांत्रिक सखोल माहिती.

जेव्हा एखादे डिव्हाइस PEAP द्वारे ऑथेंटिकेट करते तेव्हा नेमके काय होते ते पाहूया. या प्रक्रियेचे दोन वेगळे टप्पे आहेत, आणि दोन्ही समजून घेणे महत्त्वाचे आहे.

या एक्सचेंजमधील तीन घटक आहेत: सप्लिकंट (supplicant) — ते क्लायंट डिव्हाइस आहे, मग तो लॅपटॉप, स्मार्टफोन किंवा IoT टर्मिनल असो; ऑथेंटिकेटर (authenticator) — सामान्यतः वायरलेस ॲक्सेस पॉईंट किंवा वायरलेस LAN कंट्रोलर; आणि ऑथेंटिकेशन सर्व्हर — जवळजवळ नेहमीच एक RADIUS सर्व्हर, जसे की Microsoft NPS, FreeRADIUS, किंवा क्लाउड-होस्टेड RADIUS सेवा.

पहिला टप्पा म्हणजे TLS टनेलची स्थापना. जेव्हा सप्लिकंट कनेक्ट होण्याचा प्रयत्न करतो, तेव्हा ऑथेंटिकेटर त्वरित ॲक्सेस देत नाही. त्याऐवजी, तो लोकल नेटवर्कवर EAP एक्सचेंज सुरू करतो — हे EAPOL, EAP ओव्हर LAN आहे. ऑथेंटिकेटर हे RADIUS सर्व्हरकडे फॉरवर्ड करतो, जो क्लायंटला त्याचे सर्व्हर-साइड TLS प्रमाणपत्र सादर करतो. क्लायंट त्याच्या विश्वसनीय प्रमाणपत्र स्टोअरच्या विरुद्ध त्या प्रमाणपत्राची पडताळणी करतो. पडताळणी यशस्वी झाल्यास, क्लायंट आणि RADIUS सर्व्हर दरम्यान एक TLS टनेल स्थापित केला जातो. हा टनेल एन्क्रिप्टेड असतो — आधुनिक डिप्लॉयमेंट्समध्ये सामान्यतः TLS 1.2 किंवा 1.3.

दुसरा टप्पा म्हणजे इनर ऑथेंटिकेशन. त्या एन्क्रिप्टेड टनेलच्या आत, प्रत्यक्ष क्रेडेन्शियल्स एक्सचेंज केले जातात. सर्वात सामान्य डिप्लॉयमेंटमध्ये — PEAP-MSCHAPv2 — क्लायंट Microsoft Challenge Handshake Authentication Protocol version 2 वापरून युजरनेम आणि पासवर्ड पाठवतो. RADIUS सर्व्हर त्याच्या आयडेंटिटी स्टोअरच्या विरुद्ध त्या क्रेडेन्शियल्सची पडताळणी करतो, जे ॲक्टिव्ह डिरेक्टरी, LDAP किंवा क्लाउड आयडेंटिटी प्रोव्हायडर असू शकते. क्रेडेन्शियल्स योग्य असल्यास, RADIUS सर्व्हर ऑथेंटिकेटरद्वारे ॲक्सेस-ॲक्सेप्ट (Access-Accept) मेसेज परत पाठवतो आणि क्लायंटला नेटवर्क ॲक्सेस दिला जातो.

येथील प्रमुख सुरक्षा वैशिष्ट्य म्हणजे MSCHAPv2 एक्सचेंज TLS टनेलच्या आत होते. वायरलेस चॅनेलचे पॅसिव्ह मॉनिटरिंग करणारा हल्लेखोर ट्रान्झिटमधील क्रेडेन्शियल्स पाहू शकत नाही. हे PEAP चे मुख्य मूल्य (core value proposition) आहे.

आता, PEAP-MSCHAPv2 कुठे कमी पडते? दोन महत्त्वपूर्ण समस्या आहेत ज्या कोणत्याही सुरक्षा-जागरूक आर्किटेक्टने समजून घेणे आवश्यक आहे.

पहिले: सर्व्हर प्रमाणपत्र पडताळणी. PEAP मध्ये फक्त सर्व्हरने प्रमाणपत्र सादर करणे आवश्यक असते — क्लायंटने ते सादर करणे आवश्यक नसते. यामुळे एक ज्ञात अटॅक व्हेक्टर (attack vector) तयार होतो. जर क्लायंट डिव्हाइस कोणतेही प्रमाणपत्र स्वीकारण्यासाठी — किंवा कोणत्याही CA कडील प्रमाणपत्रे स्वीकारण्यासाठी चुकीच्या पद्धतीने कॉन्फिगर केलेले असेल — तर हल्लेखोर रोग ॲक्सेस पॉईंट (rogue access point) उभा करू शकतो, बनावट प्रमाणपत्र सादर करू शकतो आणि MSCHAPv2 हँडशेक इंटरसेप्ट करू शकतो. hostapd-wpe सारख्या टूल्सनी हा हल्ला अगदी सोपा केला आहे. यावरील उपाय म्हणजे कठोर सप्लिकंट कॉन्फिगरेशन: सर्व्हर प्रमाणपत्र पडताळणीची सक्ती करा, अपेक्षित CA पिन करा आणि सर्व्हरचे कॉमन नेम निर्दिष्ट करा. कोणत्याही गंभीर डिप्लॉयमेंटमध्ये हे अनिवार्य आहे.

दुसरे: MSCHAPv2 हा ज्ञात कमकुवतपणा असलेला जुना प्रोटोकॉल आहे. Moxie Marlinspike च्या 2012 च्या संशोधनाने हे सिद्ध केले की MSCHAPv2 चॅलेंज-रिस्पॉन्स पेअर्स पुरेशा कॉम्प्युट पॉवरसह ऑफलाइन क्रॅक केले जाऊ शकतात. जर हल्लेखोराने इनर ऑथेंटिकेशन एक्सचेंज कॅप्चर केले — उदाहरणार्थ वर वर्णन केलेल्या रोग AP हल्ल्याद्वारे — तर ते प्लेनटेक्स्ट पासवर्ड ऑफलाइन रिकव्हर करण्याचा प्रयत्न करू शकतात. त्यामुळे तुमच्या पासवर्ड पॉलिसीची ताकद थेट तुमच्या धोक्यावर परिणाम करते. लांब, गुंतागुंतीचे, यादृच्छिकपणे (randomly) जनरेट केलेले पासवर्ड्स हा धोका लक्षणीयरीत्या कमी करतात.

याची तुलना EAP-TLS शी करा, जिथे सर्व्हर आणि क्लायंट दोन्ही प्रमाणपत्रे सादर करतात. चोरी करण्यासाठी कोणतेही पासवर्ड्स नसतात. हल्ल्याची शक्यता नाटकीयरित्या कमी होते. यातील तडजोड म्हणजे ऑपरेशनल गुंतागुंत: तुम्हाला PKI ची आवश्यकता असते, तुम्हाला क्लायंट प्रमाणपत्रे जारी आणि व्यवस्थापित करण्याची आवश्यकता असते आणि ती प्रत्येक डिव्हाइसवर वितरित करण्यासाठी तुम्हाला एका यंत्रणेची आवश्यकता असते. परिपक्व MDM डिप्लॉयमेंट आणि चांगल्या प्रकारे व्यवस्थापित PKI असलेल्या संस्थांसाठी, EAP-TLS हे सुवर्ण मानक (gold standard) आहे. इतर सर्वांसाठी, कठोर कॉन्फिगरेशनसह PEAP-MSCHAPv2 हा एक योग्य आणि व्यावहारिक पर्याय राहतो.

विभाग तीन: अंमलबजावणी शिफारसी आणि धोके.

मी तुम्हाला व्यावहारिक डिप्लॉयमेंट मार्गदर्शन देतो. या गोष्टी सुरक्षित PEAP डिप्लॉयमेंटला असुरक्षित डिप्लॉयमेंटपासून वेगळे करतात.

क्रमांक एक: प्रत्येक सप्लिकंटवर सर्व्हर प्रमाणपत्र पडताळणीची सक्ती करा. हा सर्वात महत्त्वाचा कॉन्फिगरेशन आयटम आहे. Windows मध्ये, हा वायरलेस नेटवर्क प्रोफाइलमधील 'Validate server certificate' चेकबॉक्स आहे. iOS आणि Android मध्ये, हे EAP कॉन्फिगरेशनमधील CA प्रमाणपत्र फील्ड आहे. जर हे कॉन्फिगर केलेले नसेल, तर तुमचे PEAP डिप्लॉयमेंट रोग AP हल्ल्यांसाठी असुरक्षित आहे, मग बाकी सर्व गोष्टी कितीही चांगल्या प्रकारे सेट केलेल्या असल्या तरीही.

क्रमांक दोन: मॅन्युअल कॉन्फिगरेशन ऐवजी MDM किंवा GPO द्वारे डिप्लॉय करा. एंड युजर्सद्वारे मॅन्युअल कॉन्फिगरेशन अविश्वसनीय आहे. युजर्स प्रमाणपत्र इशाऱ्यांकडे दुर्लक्ष करतील. ते CA फील्ड चुकीचे कॉन्फिगर करतील. तुमचे वायरलेस प्रोफाइल्स Microsoft Intune, Jamf किंवा ग्रुप पॉलिसी द्वारे पुश करा. हे तुमच्या संपूर्ण एस्टेटमध्ये सुसंगत, पॉलिसी-अनुरूप सप्लिकंट कॉन्फिगरेशन सुनिश्चित करते.

क्रमांक तीन: तुमच्या RADIUS सर्व्हरवर किमान TLS 1.2 वापरा. TLS 1.0 आणि 1.1 डिसेबल करा. बहुतांश आधुनिक RADIUS अंमलबजावणी याला सपोर्ट करतात, परंतु याची पडताळणी करणे योग्य आहे — विशेषतः जुन्या ऑन-प्रिमाइसेस डिप्लॉयमेंट्सवर.

क्रमांक चार: तुमच्या आयडेंटिटी प्रोव्हायडरसोबत इंटिग्रेट करा. PEAP-MSCHAPv2 क्रेडेन्शियल स्टोअरच्या विरुद्ध ऑथेंटिकेट करते. ते स्टोअर तुमचा अधिकृत आयडेंटिटी प्रोव्हायडर असावा — ॲक्टिव्ह डिरेक्टरी, NPS एक्स्टेंशनद्वारे Azure AD, किंवा LDAP इंटिग्रेशनसह क्लाउड RADIUS सेवा. याचा अर्थ असा की जेव्हा एखादा कर्मचारी कंपनी सोडतो, तेव्हा त्याचे अकाउंट डिसेबल केल्याने त्याचा WiFi ॲक्सेस त्वरित रद्द होतो. रोटेट करण्यासाठी कोणतेही शेअर्ड सिक्रेट्स नाहीत, कोणतेही मॅन्युअल डीप्रोव्हिजनिंग नाही.

क्रमांक पाच: तुमच्या गेस्ट नेटवर्कचा स्वतंत्रपणे विचार करा. PEAP ही एक एंटरप्राइझ ऑथेंटिकेशन पद्धत आहे. गेस्ट WiFi साठी — जिथे तुम्ही अभ्यागत, ग्राहक किंवा इव्हेंट उपस्थितांना ऑनबोर्ड करत आहात — तुम्हाला वेगळ्या दृष्टिकोनाची आवश्यकता आहे. Purple सारखे प्लॅटफॉर्म्स एक उद्देश-निर्मित गेस्ट WiFi लेयर प्रदान करतात जे गेस्ट SSID वर RADIUS इन्फ्रास्ट्रक्चरची आवश्यकता नसताना Captive Portal ऑथेंटिकेशन, डेटा कॅप्चर आणि ॲनालिटिक्स हाताळते. तुमचे एंटरप्राइझ SSID PEAP सह 802.1X वर ठेवा आणि तुमचे गेस्ट SSID योग्य ऑनबोर्डिंगसह वेगळ्या, आयसोलेटेड नेटवर्कवर ठेवा.

क्रमांक सहा: प्रमाणपत्र रोटेशनसाठी योजना करा. तुमचे RADIUS सर्व्हर प्रमाणपत्र कालबाह्य होईल. जेव्हा ते होईल, तेव्हा ज्या प्रत्येक क्लायंटने ते प्रमाणपत्र पिन केले आहे ते नवीन प्रमाणपत्र वितरित होईपर्यंत ऑथेंटिकेट करण्यात अपयशी ठरतील. तुमच्या ऑपरेशनल कॅलेंडरमध्ये प्रमाणपत्र नूतनीकरण (certificate renewal) समाविष्ट करा — कालबाह्य होण्याच्या किमान 90 दिवस आधी — आणि प्रोडक्शनमध्ये रोल आउट करण्यापूर्वी स्टेजिंग वातावरणामध्ये रोटेशन प्रक्रियेची चाचणी घ्या.

मी फील्डमध्ये पाहतो ती सर्वात सामान्य अपयशाची कारणे आहेत: प्रमाणपत्र पडताळणीची सक्ती न करणे, ज्यामुळे रोग AP असुरक्षितता निर्माण होते; RADIUS सर्व्हर प्रमाणपत्रे जी पूर्वसूचनेशिवाय कालबाह्य होतात, ज्यामुळे व्यापक ऑथेंटिकेशन बिघाड होतो; आणि MSCHAPv2 इनर ऑथेंटिकेशन उघडकीस येणे कारण RADIUS सर्व्हर चुकीच्या नेटवर्क सेगमेंटमधून ॲक्सेसिबल असतो. योग्य नियोजनाने हे तिन्ही टाळता येऊ शकतात.

विभाग चार: रॅपिड-फायर प्रश्न.

PEAP Azure AD सारख्या क्लाउड आयडेंटिटी प्रोव्हायडर्ससोबत काम करू शकते का? होय. Azure AD MFA साठी Microsoft चे NPS एक्स्टेंशन तुम्हाला Azure AD द्वारे PEAP ऑथेंटिकेशन प्रॉक्सी करण्याची परवानगी देते, ज्यामुळे तुमच्या WiFi वर मल्टी-फॅक्टर ऑथेंटिकेशन सक्षम होते. वैकल्पिकरित्या, Cisco ISE, Aruba ClearPass, किंवा JumpCloud RADIUS सारख्या क्लाउड RADIUS सेवा थेट Azure AD किंवा Okta सोबत इंटिग्रेट होऊ शकतात.

PEAP PCI DSS चे पालन करते का? PEAP-MSCHAPv2 चा वापर PCI DSS वातावरणात केला जाऊ शकतो, परंतु तुम्हाला हे सुनिश्चित करणे आवश्यक आहे की सर्व्हर प्रमाणपत्र पडताळणीची सक्ती केली आहे, TLS 1.2 किंवा त्याहून अधिक वापरले जात आहे आणि RADIUS सर्व्हर योग्यरित्या सेगमेंट केलेला आहे. PCI DSS 4.0 नेटवर्क ॲक्सेस कंट्रोल्सच्या आवश्यकता अधिक कठोर करते — तुमच्या QSA सोबत संबंधित आवश्यकतांचे पुनरावलोकन करा.

मी PEAP वरून EAP-TLS वर मायग्रेट करावे का? जर तुमच्याकडे परिपक्व MDM डिप्लॉयमेंट असेल आणि PKI व्यवस्थापित करण्याची ऑपरेशनल क्षमता असेल, तर होय — EAP-TLS हा अधिक मजबूत पर्याय आहे. जर तुम्ही वैयक्तिक उपकरणे, लेगसी हार्डवेअर किंवा मर्यादित MDM कव्हरेज असलेले मिश्र एस्टेट व्यवस्थापित करत असाल, तर कठोर कॉन्फिगरेशनसह PEAP-MSCHAPv2 योग्य राहते. हा एक जोखमीवर आधारित निर्णय आहे, बायनरी नाही.

WPA3-Enterprise बद्दल काय? WPA3-Enterprise उच्च-सुरक्षा वातावरणासाठी 192-बिट सिक्युरिटी मोड अनिवार्य करते, परंतु ते अद्याप PEAP सह EAP पद्धतींना सपोर्ट करते. WPA3 ओव्हर-द-एअर एन्क्रिप्शन सुधारते परंतु EAP ऑथेंटिकेशन एक्सचेंज स्वतः बदलत नाही.

विभाग पाच: सारांश आणि पुढील पावले.

थोडक्यात सांगायचे तर: PEAP हा दोन-टप्प्यांचा ऑथेंटिकेशन प्रोटोकॉल आहे जो इनर क्रेडेन्शियल्स — सामान्यतः MSCHAPv2 — एका TLS टनेलमध्ये रॅप करतो. ही सर्वात जास्त वापरली जाणारी 802.1X EAP पद्धत आहे कारण ती मजबूत सर्व्हर ऑथेंटिकेशन प्रदान करताना क्लायंट प्रमाणपत्रांची आवश्यकता दूर करते. याची प्राथमिक असुरक्षितता म्हणजे सर्व्हर प्रमाणपत्राची पडताळणी न करणाऱ्या चुकीच्या कॉन्फिगर केलेल्या सप्लिकंट्समुळे शक्य होणारे रोग AP हल्ले. MDM-एनफोर्स्ड वायरलेस प्रोफाइल्स, CA पिनिंग आणि सर्व्हर नेम व्हॅलिडेशन द्वारे हे कमी करा.

बहुतांश एंटरप्राइझ WiFi डिप्लॉयमेंट्ससाठी — कॉर्पोरेट कार्यालये, हॉटेल बॅक-ऑफ-हाऊस नेटवर्क्स, रिटेल स्टाफ नेटवर्क्स — योग्य कॉन्फिगरेशनसह PEAP-MSCHAPv2 हा एक योग्य, सुरक्षित पर्याय आहे. उच्च-सुरक्षा वातावरण, नियंत्रित उद्योग किंवा परिपक्व PKI इन्फ्रास्ट्रक्चर असलेल्या संस्थांसाठी, EAP-TLS लक्षणीयरीत्या मजबूत सुरक्षा प्रदान करते आणि ते लक्ष्यित आर्किटेक्चर असले पाहिजे.

जर तुम्ही तुमच्या एंटरप्राइझ नेटवर्कसोबत गेस्ट WiFi देखील चालवत असाल — आणि तुमच्यापैकी बहुतांश जण चालवत आहेत — तर लक्षात ठेवा की गेस्ट ऑनबोर्डिंगसाठी PEAP हे योग्य साधन नाही. Purple सारख्या प्लॅटफॉर्म्सकडे पहा, जे ॲनालिटिक्स, डेटा कॅप्चर आणि मार्केटिंग इंटिग्रेशनसह उद्देश-निर्मित गेस्ट WiFi ऑथेंटिकेशन प्रदान करतात, तुमचे गेस्ट आणि एंटरप्राइझ ट्रॅफिक योग्यरित्या वेगळे ठेवतात आणि तुमची कंप्लायन्स स्थिती अबाधित ठेवतात.

पुढील वाचनासाठी, RADIUS सर्व्हर आर्किटेक्चर आणि एंटरप्राइझ WiFi ऑथेंटिकेशनवरील Purple चे मार्गदर्शक पहा. लिंक्स शो नोट्समध्ये आहेत.

ऐकल्याबद्दल धन्यवाद. हे एक Purple एंटरप्राइझ WiFi इंटेलिजन्स ब्रीफिंग होते.

महत्वाचे मुद्दे

✓PEAP असुरक्षित MSCHAPv2 क्रेडेन्शियल एक्सचेंजला सुरक्षित TLS टनेलमध्ये एन्कॅप्स्युलेट करते.
✓हे क्लायंट प्रमाणपत्रे डिप्लॉय करण्याच्या प्रशासकीय ओझ्याशिवाय मजबूत सर्व्हर ऑथेंटिकेशन प्रदान करते.
✓क्लायंट उपकरणांवर सर्व्हर प्रमाणपत्र पडताळणीची सक्ती करण्यात अपयश ही PEAP डिप्लॉयमेंट्समधील सर्वात गंभीर असुरक्षितता आहे.
✓युजर्सना सुरक्षा इशाऱ्यांकडे दुर्लक्ष करण्यापासून रोखण्यासाठी वायरलेस प्रोफाइल्स MDM किंवा GPO द्वारे डिप्लॉय केले जाणे आवश्यक आहे.
✓जरी PEAP व्यवस्थापित उपकरणांसाठी अत्यंत प्रभावी असले तरी, उच्च-सुरक्षा वातावरणासाठी EAP-TLS हे सुवर्ण मानक (gold standard) राहते.
✓समर्पित Captive Portal सोल्यूशन्स वापरून गेस्ट WiFi ला एंटरप्राइझ 802.1X इन्फ्रास्ट्रक्चरपासून वेगळे ठेवले पाहिजे.
✓नेटवर्क-व्यापी आउटेज टाळण्यासाठी RADIUS सर्व्हर प्रमाणपत्राचे स्वयंचलित मॉनिटरिंग आवश्यक आहे.

कार्यकारी सारांश

प्रोटेक्टेड एक्सटेन्सिबल ऑथेंटिकेशन प्रोटोकॉल (PEAP) आजच्या एंटरप्राइझ वातावरणात सर्वात जास्त वापरली जाणारी 802.1X ऑथेंटिकेशन पद्धत आहे. Cisco, Microsoft आणि RSA Security यांनी संयुक्तपणे विकसित केलेले, PEAP एका विशिष्ट ऑपरेशनल आव्हानाचे निराकरण करण्यासाठी डिझाइन केले गेले होते: नेटवर्कवरील प्रत्येक डिव्हाइसवर क्लायंट प्रमाणपत्रे (client certificates) डिप्लॉय करण्याच्या प्रशासकीय ओझ्याशिवाय मजबूत, प्रमाणपत्र-आधारित सर्व्हर ऑथेंटिकेशन कसे मिळवायचे.

गुंतागुंतीचे एस्टेट्स व्यवस्थापित करणाऱ्या आयटी डायरेक्टर्स आणि नेटवर्क आर्किटेक्ट्ससाठी—मग ते Retail (किरकोळ), Healthcare (आरोग्यसेवा), किंवा मोठ्या कॉर्पोरेट कार्यालयांमध्ये असो—PEAP-MSCHAPv2 हे प्री-शेअर्ड कीज (PSK) ची असुरक्षितता आणि EAP-TLS च्या डिप्लॉयमेंटमधील गुंतागुंत यामधील एक व्यावहारिक मध्यम मार्ग देते. तथापि, या सुविधेसोबत काही सुरक्षा तडजोडीही येतात. रोग ॲक्सेस पॉईंट (rogue access point) हल्ले जसजसे अधिक प्रगत होत आहेत, तसतसे चुकीच्या पद्धतीने कॉन्फिगर केलेले PEAP डिप्लॉयमेंट्स एक गंभीर असुरक्षितता निर्माण करतात.

हे मार्गदर्शक PEAP आर्किटेक्चर, त्याची कार्यप्रणाली आणि आधुनिक एंटरप्राइझ नेटवर्कमध्ये ते सुरक्षित करण्यासाठी आवश्यक असलेल्या अनिवार्य कॉन्फिगरेशन मानकांबद्दल सर्वसमावेशक तांत्रिक माहिती प्रदान करते.

तांत्रिक सखोल माहिती: PEAP चे आर्किटेक्चर

PEAP समजून घेण्यासाठी, आपण त्याच्या दोन-टप्प्यांच्या ऑथेंटिकेशन प्रक्रियेचे परीक्षण केले पाहिजे. इनर टनेलमध्ये कोणताही संवेदनशील क्रेडेन्शियल डेटा एक्सचेंज करण्यापूर्वी एक सुरक्षित आऊटर टनेल स्थापित करून PEAP कार्य करते.

टप्पा 1: TLS टनेलची स्थापना

जेव्हा एखादा सप्लिकंट (क्लायंट डिव्हाइस) नेटवर्कशी कनेक्ट होण्याचा प्रयत्न करतो, तेव्हा ऑथेंटिकेटर (सामान्यतः वायरलेस ॲक्सेस पॉईंट) एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल ओव्हर लॅन (EAPOL) फ्रेम्स वगळता सर्व ट्रॅफिक ब्लॉक करतो. ऑथेंटिकेटर या फ्रेम्स ऑथेंटिकेशन सर्व्हरकडे (सामान्यतः RADIUS सर्व्हर) फॉरवर्ड करतो. या इन्फ्रास्ट्रक्चरच्या अधिक माहितीसाठी, आमचे What Is RADIUS? How RADIUS Servers Secure WiFi Networks वरील मार्गदर्शक पहा.

पहिल्या टप्प्यात, RADIUS सर्व्हर सप्लिकंटला त्याचे डिजिटल प्रमाणपत्र सादर करतो. सप्लिकंट त्याच्या विश्वसनीय रूट सर्टिफिकेट ऑथॉरिटीज (CAs) विरुद्ध या प्रमाणपत्राची पडताळणी करतो. पडताळणी यशस्वी झाल्यास, सप्लिकंट आणि RADIUS सर्व्हर दरम्यान एक TLS (ट्रान्सपोर्ट लेयर सिक्युरिटी) टनेल स्थापित केला जातो. हा एन्क्रिप्टेड टनेल वायरलेस माध्यमावरील पुढील सर्व संवादांना इव्हस्ड्रॉपिंगपासून (eavesdropping) सुरक्षित ठेवतो.

टप्पा 2: इनर ऑथेंटिकेशन

एकदा TLS टनेल स्थापित झाल्यानंतर, प्रत्यक्ष युजर ऑथेंटिकेशन या सुरक्षित चॅनेलच्या आत होते. सर्वात सामान्य इनर ऑथेंटिकेशन प्रोटोकॉल MSCHAPv2 (Microsoft Challenge Handshake Authentication Protocol version 2) आहे.

टनेलच्या आत, सप्लिकंट युजरचे क्रेडेन्शियल्स (युजरनेम आणि पासवर्ड) RADIUS सर्व्हरला पाठवतो. सर्व्हर ॲक्टिव्ह डिरेक्टरी किंवा LDAP डिरेक्टरी सारख्या आयडेंटिटी स्टोअरच्या विरुद्ध या क्रेडेन्शियल्सची पडताळणी करतो. क्रेडेन्शियल्स वैध असल्यास, RADIUS सर्व्हर ऑथेंटिकेटरला ॲक्सेस-ॲक्सेप्ट (Access-Accept) मेसेज पाठवतो आणि क्लायंटला नेटवर्क ॲक्सेस दिला जातो.

PEAP चा महत्त्वपूर्ण सुरक्षा आधार हा आहे की असुरक्षित MSCHAPv2 एक्सचेंज पूर्णपणे एन्क्रिप्टेड TLS टनेलमध्ये एन्कॅप्स्युलेट केलेले असते, जे त्याला पॅसिव्ह इंटरसेप्शनपासून वाचवते.

अंमलबजावणी मार्गदर्शक: PEAP-MSCHAPv2 सुरक्षित करणे

जरी PEAP अत्यंत कार्यक्षम असले तरी, अनेक क्लायंट ऑपरेटिंग सिस्टीम्सवरील त्याचे डीफॉल्ट कॉन्फिगरेशन त्याला प्रगत हल्ल्यांसाठी असुरक्षित बनवते. PEAP सुरक्षितपणे लागू करण्यासाठी खालील डिप्लॉयमेंट मानकांचे काटेकोरपणे पालन करणे आवश्यक आहे.

1. अनिवार्य सर्व्हर प्रमाणपत्र पडताळणी

PEAP डिप्लॉयमेंटमधील सर्वात मोठी असुरक्षितता म्हणजे क्लायंटच्या बाजूने सर्व्हर प्रमाणपत्र पडताळणी लागू करण्यात अपयश. कारण PEAP ला क्लायंट प्रमाणपत्राची आवश्यकता नसते, क्रेडेन्शियल्स ट्रान्समिट करण्यापूर्वी सप्लिकंटला खात्री असणे आवश्यक आहे की तो अधिकृत RADIUS सर्व्हरशी संवाद साधत आहे.

जर क्लायंट डिव्हाइस कोणत्याही प्रमाणपत्रावर विश्वास ठेवण्यासाठी कॉन्फिगर केलेले असेल, तर हल्लेखोर रोग ॲक्सेस पॉईंट (rogue access point) डिप्लॉय करू शकतो, बनावट प्रमाणपत्र सादर करू शकतो आणि MSCHAPv2 हँडशेक इंटरसेप्ट करू शकतो. hostapd-wpe सारखी टूल्स हा हल्ला स्वयंचलित करतात.

अंमलबजावणी कृती: आयटी टीम्सनी सर्व एंटरप्राइझ उपकरणांना सर्व्हर प्रमाणपत्राची काटेकोरपणे पडताळणी करण्यासाठी कॉन्फिगर केले पाहिजे. यामध्ये RADIUS सर्व्हरचे प्रमाणपत्र जारी करणाऱ्या विशिष्ट रूट CA ला पिन करणे आणि सर्व्हरचे अपेक्षित कॉमन नेम (CN) किंवा सब्जेक्ट अल्टरनेटिव्ह नेम (SAN) स्पष्टपणे परिभाषित करणे समाविष्ट आहे.

2. MDM-एनफोर्स्ड वायरलेस प्रोफाइल्स

802.1X सेटिंग्ज मॅन्युअली कॉन्फिगर करण्यासाठी एंड-युजर्सवर अवलंबून राहणे हा अपयशाचा निश्चित मार्ग आहे. युजर्स वारंवार प्रमाणपत्र इशाऱ्यांकडे (certificate warnings) दुर्लक्ष करतात, ज्यामुळे TLS टनेलच्या अखंडतेशी तडजोड होते.

अंमलबजावणी कृती: मोबाईल डिव्हाइस मॅनेजमेंट (MDM) प्लॅटफॉर्म्स (उदा. Microsoft Intune, Jamf) किंवा ग्रुप पॉलिसी ऑब्जेक्ट्स (GPO) द्वारे सर्व कॉर्पोरेट उपकरणांवर वायरलेस नेटवर्क प्रोफाइल्स पुश केले जाणे आवश्यक आहे. या प्रोफाइल्सनी EAP सेटिंग्ज लॉक डाऊन केल्या पाहिजेत, ज्यामुळे युजर्सना प्रमाणपत्र पडताळणी आवश्यकता बदलण्यापासून रोखता येईल.

3. लेगसी प्रोटोकॉल्स बंद करणे

TLS च्या जुन्या आवृत्त्यांमध्ये ज्ञात क्रिप्टोग्राफिक असुरक्षितता आहेत. PEAP डिप्लॉयमेंट्सनी आधुनिक एन्क्रिप्शन मानकांची सक्ती केली पाहिजे.

अंमलबजावणी कृती: TLS 1.0 आणि TLS 1.1 कनेक्शन्स नाकारण्यासाठी RADIUS सर्व्हर कॉन्फिगर करा. किमान आवश्यकता म्हणून TLS 1.2 ची सक्ती करा आणि क्लायंट बेसद्वारे समर्थित असल्यास TLS 1.3 ला प्राधान्य द्या.

सर्वोत्तम पद्धती: धोरणात्मक नेटवर्क सेगमेंटेशन

गेस्ट आणि BYOD नेटवर्क्ससह सर्व वायरलेस ॲक्सेससाठी PEAP वापरण्याचा प्रयत्न करणे ही एक सामान्य आर्किटेक्चरल चूक आहे. PEAP हे मध्यवर्ती डिरेक्टरीच्या विरुद्ध ऑथेंटिकेट करणाऱ्या व्यवस्थापित एंटरप्राइझ उपकरणांसाठी डिझाइन केलेले आहे.

गेस्ट ॲक्सेस वेगळा करणे

नॉन-कॉर्पोरेट उपकरणांसाठी, PEAP हे चुकीचे साधन आहे. RADIUS डिरेक्टरीमध्ये गेस्ट क्रेडेन्शियल्स व्यवस्थापित करण्याचा प्रयत्न केल्याने अनावश्यक प्रशासकीय ओझे वाढते आणि सुरक्षिततेचे धोके निर्माण होतात.

Hospitality आणि Transport मधील ठिकाणांनी एक समर्पित Guest WiFi सोल्यूशन लागू केले पाहिजे. Purple सारखे प्लॅटफॉर्म्स सुरक्षित, Captive Portal-आधारित ऑनबोर्डिंग प्रदान करतात जे एंटरप्राइझ 802.1X इन्फ्रास्ट्रक्चरपासून पूर्णपणे स्वतंत्रपणे कार्य करते. हे सुनिश्चित करते की गेस्ट ट्रॅफिक वेगळे ठेवले जाते, आणि त्याच वेळी WiFi Analytics द्वारे समृद्ध डेटा कॅप्चर करणे शक्य होते.

EAP-TLS ची भूमिका

PEAP चे मूल्यमापन करताना, नेटवर्क आर्किटेक्ट्सनी EAP-TLS चा देखील विचार केला पाहिजे. EAP-TLS म्युच्युअल ऑथेंटिकेशन प्रदान करते—सर्व्हर आणि क्लायंट दोघांनीही वैध प्रमाणपत्रे सादर करणे आवश्यक आहे. हे पासवर्डवरील अवलंबित्व पूर्णपणे काढून टाकते, ज्यामुळे क्रेडेन्शियल चोरीचे हल्ले निरुपयोगी ठरतात.

जरी EAP-TLS उत्कृष्ट सुरक्षा प्रदान करत असले तरी, क्लायंट प्रमाणपत्रे जारी करण्यासाठी आणि व्यवस्थापित करण्यासाठी त्याला एक मजबूत पब्लिक की इन्फ्रास्ट्रक्चर (PKI) आवश्यक आहे. अत्यंत नियंत्रित वातावरणासाठी, EAP-TLS हे लक्ष्यित आर्किटेक्चर आहे. PKI परिपक्वता नसलेल्या संस्थांसाठी, काटेकोरपणे कॉन्फिगर केलेले PEAP-MSCHAPv2 डिप्लॉयमेंट हा एक योग्य पर्याय राहतो.

ट्रबलशूटिंग आणि जोखीम निवारण

चांगल्या प्रकारे डिझाइन केलेल्या PEAP डिप्लॉयमेंट्समध्येही ऑपरेशनल बिघाड होऊ शकतात. त्वरित निराकरणासाठी सामान्य बिघाडाची कारणे समजून घेणे आवश्यक आहे.

प्रमाणपत्र समाप्तीचे संकट (Certificate Expiry Crisis)

PEAP वातावरणामधील सर्वात व्यत्यय आणणारी घटना म्हणजे RADIUS सर्व्हर प्रमाणपत्राची अनियंत्रित समाप्ती (expiry). जेव्हा प्रमाणपत्र कालबाह्य होते, तेव्हा पडताळणीची सक्ती करणारे सर्व क्लायंट्स त्वरित कनेक्शन ड्रॉप करतील, ज्यामुळे संपूर्ण नेटवर्कमध्ये आउटेज होईल.

निवारण: RADIUS सर्व्हर प्रमाणपत्रासाठी स्वयंचलित मॉनिटरिंग लागू करा. प्रमाणपत्र कालबाह्य होण्याच्या किमान 30 दिवस आधी नवीन प्रमाणपत्र रिन्यू आणि डिप्लॉय करण्यासाठी एक मानक कार्यप्रणाली (SOP) स्थापित करा. अंतर्गत CA वापरत असल्यास, CA हायरार्कीचे देखील मॉनिटरिंग केले जात असल्याची खात्री करा.

पासवर्ड पॉलिसी आणि ऑफलाइन क्रॅकिंग

जरी TLS टनेल ट्रान्झिटमध्ये MSCHAPv2 एक्सचेंजचे संरक्षण करत असले तरी, चुकीच्या पद्धतीने कॉन्फिगर केलेल्या क्लायंट्समुळे हल्लेखोराने रोग AP हल्ला यशस्वीपणे केल्यास, ते चॅलेंज-रिस्पॉन्स पेअर्स कॅप्चर करतील. संशोधनातून असे दिसून आले आहे की MSCHAPv2 हॅशेस ऑफलाइन क्रॅक केले जाऊ शकतात.

निवारण: युजर पासवर्डची गुंतागुंत ही संरक्षणाची शेवटची फळी आहे. ऑफलाइन क्रॅकिंगचा कॉम्प्युटेशनल खर्च वाढवण्यासाठी कठोर पासवर्ड पॉलिसीज—किमान लांबीची आवश्यकता, गुंतागुंतीचे नियम आणि नियमित रोटेशन—लागू करा.

ROI आणि व्यावसायिक प्रभाव

PSK कडून योग्यरित्या व्यवस्थापित केलेल्या PEAP 802.1X डिप्लॉयमेंटकडे वळल्याने अनेक आयामांवर मोजता येण्याजोगे व्यावसायिक मूल्य मिळते.

कमी झालेले प्रशासकीय ओझे: WiFi ऑथेंटिकेशन थेट कॉर्पोरेट आयडेंटिटी प्रोव्हायडर (उदा. ॲक्टिव्ह डिरेक्टरी) सोबत इंटिग्रेट केल्याने ऑनबोर्डिंग आणि ऑफबोर्डिंग स्वयंचलित होते. जेव्हा एखादा कर्मचारी कंपनी सोडतो, तेव्हा त्याचे डिरेक्टरी अकाउंट डिसेबल केल्याने नेटवर्क ॲक्सेस त्वरित रद्द होतो, ज्यामुळे शेअर्ड पासवर्ड बदलण्याची गरज दूर होते.
सुधारित ऑडिटेबिलिटी: 802.1X नेटवर्क ॲक्सेसमध्ये ग्रॅन्युलर, युजर-लेव्हल व्हिजिबिलिटी प्रदान करते. आयटी टीम्स नेटवर्क ॲक्टिव्हिटी विशिष्ट व्यक्तींपर्यंत निश्चितपणे ट्रेस करू शकतात, जी PCI DSS आणि GDPR सारख्या कंप्लायन्स फ्रेमवर्क्ससाठी एक महत्त्वपूर्ण आवश्यकता आहे.
जोखीम निवारण: शेअर्ड कीजचा वापर थांबवून, संस्था माजी कर्मचारी किंवा दुर्भावनापूर्ण घटकांद्वारे अनधिकृत ॲक्सेसचा धोका लक्षणीयरीत्या कमी करतात, ज्यामुळे बौद्धिक संपदा आणि संवेदनशील कॉर्पोरेट डेटाचे संरक्षण होते.

ज्या संस्था त्यांच्या वायरलेस सुरक्षेसोबतच त्यांच्या व्यापक नेटवर्क आर्किटेक्चरला ऑप्टिमाइझ करू पाहत आहेत, त्यांच्यासाठी आधुनिक WAN सोल्यूशन्स एक्सप्लोर करण्याची अत्यंत शिफारस केली जाते. The Core SD WAN Benefits for Modern Businesses बद्दल अधिक जाणून घ्या.

महत्वाच्या व्याख्या

PEAP (Protected Extensible Authentication Protocol)

एक 802.1X ऑथेंटिकेशन प्रोटोकॉल जो सुरक्षित TLS टनेलमध्ये इनर ऑथेंटिकेशन पद्धत (सामान्यतः MSCHAPv2) एन्कॅप्स्युलेट करतो.

सुरक्षा आणि डिप्लॉयमेंटमधील सुलभतेच्या समतोलामुळे एंटरप्राइझ WiFi ऑथेंटिकेशनसाठी प्रमुख मानक.

802.1X

पोर्ट-आधारित नेटवर्क ॲक्सेस कंट्रोलसाठी IEEE मानक, जे LAN किंवा WLAN शी कनेक्ट होऊ इच्छिणाऱ्या उपकरणांना ऑथेंटिकेशन यंत्रणा प्रदान करते.

पायाभूत फ्रेमवर्क ज्यामध्ये PEAP आणि EAP-TLS सारखे प्रोटोकॉल्स कार्य करतात.

EAPOL (EAP over LAN)

लोकल एरिया नेटवर्कवर EAP मेसेजेस एन्कॅप्स्युलेट करण्यासाठी वापरला जाणारा प्रोटोकॉल, जो 802.1X ऑथेंटिकेशनच्या सुरुवातीच्या टप्प्यात वापरला जातो.

नेटवर्क पोर्ट पूर्णपणे उघडण्यापूर्वी क्लायंट आणि ॲक्सेस पॉईंट ज्या यंत्रणेद्वारे संवाद साधतात.

Supplicant

नेटवर्क ॲक्सेसची विनंती करणारे क्लायंट डिव्हाइस (लॅपटॉप, स्मार्टफोन).

एंडपॉईंट ज्याला PEAP डिप्लॉयमेंटमध्ये सर्व्हर प्रमाणपत्राची पडताळणी करण्यासाठी योग्यरित्या कॉन्फिगर करणे आवश्यक आहे.

Authenticator

नेटवर्क डिव्हाइस (ॲक्सेस पॉईंट किंवा स्विच) जे सप्लिकंट आणि RADIUS सर्व्हर दरम्यान ऑथेंटिकेशन प्रक्रिया सुलभ करते.

एन्फोर्समेंट पॉईंट जो ऑथेंटिकेशन यशस्वी होईपर्यंत ट्रॅफिक ब्लॉक करतो.

RADIUS (Remote Authentication Dial-In User Service)

एक नेटवर्किंग प्रोटोकॉल जो केंद्रीकृत ऑथेंटिकेशन, ऑथोरायझेशन आणि अकाउंटिंग (AAA) व्यवस्थापन प्रदान करतो.

सर्व्हर जो युजरच्या क्रेडेन्शियल्सची पडताळणी करतो आणि अंतिम स्वीकार/नकार निर्णय जारी करतो.

MSCHAPv2

Microsoft द्वारे विकसित केलेला चॅलेंज-रिस्पॉन्स ऑथेंटिकेशन प्रोटोकॉल, जो सामान्यतः PEAP मध्ये इनर ऑथेंटिकेशन पद्धत म्हणून वापरला जातो.

प्रोटोकॉल जो प्रत्यक्षात युजरनेम आणि पासवर्डची पडताळणी करतो, परंतु क्रिप्टोग्राफिक कमकुवतपणा मुळे त्याला PEAP TLS टनेलच्या संरक्षणाची आवश्यकता असते.

EAP-TLS

एक EAP पद्धत ज्यामध्ये क्लायंट आणि सर्व्हर दोघांवर डिजिटल प्रमाणपत्रे वापरून म्युच्युअल ऑथेंटिकेशन आवश्यक असते.

PEAP ला अत्यंत सुरक्षित पर्याय, ज्याला PKI डिप्लॉयमेंटची आवश्यकता असते परंतु पासवर्ड-आधारित असुरक्षितता दूर करतो.

सोडवलेली उदाहरणे

एका 300-बेडच्या लक्झरी हॉटेलला त्यांच्या बॅक-ऑफ-हाऊस स्टाफचे WiFi नेटवर्क सुरक्षित करायचे आहे. सध्या, ते एकच WPA2-Personal पासवर्ड वापरतात जो गेल्या तीन वर्षांत बदललेला नाही कारण सर्व पॉईंट-ऑफ-सेल टर्मिनल्स आणि स्टाफ टॅब्लेट्स अपडेट केल्याने ऑपरेशनल व्यत्यय येईल. याचे निराकरण करण्यासाठी त्यांनी PEAP ची अंमलबजावणी कशी करावी?

हॉटेलने PEAP-MSCHAPv2 वापरून 802.1X आर्किटेक्चर डिप्लॉय केले पाहिजे, त्यांचे वायरलेस LAN कंट्रोलर RADIUS सर्व्हर (उदा. Microsoft NPS) द्वारे त्यांच्या मध्यवर्ती ॲक्टिव्ह डिरेक्टरीसोबत इंटिग्रेट केले पाहिजे. त्यांनी सर्व स्टाफ टॅब्लेट्स आणि POS टर्मिनल्सवर प्रमाणित वायरलेस प्रोफाइल पुश करण्यासाठी त्यांच्या MDM प्लॅटफॉर्मचा वापर करणे आवश्यक आहे. या प्रोफाइलने NPS सर्व्हरचे प्रमाणपत्र जारी करणाऱ्या CA ला पिन करून, सर्व्हर प्रमाणपत्र पडताळणीची स्पष्टपणे सक्ती केली पाहिजे. कर्मचारी त्यांच्या वैयक्तिक AD क्रेडेन्शियल्सचा वापर करून ऑथेंटिकेट करतील.

परीक्षकाचे भाष्य: हा दृष्टिकोन स्टॅटिक शेअर्ड की ची असुरक्षितता दूर करतो. ऑथेंटिकेशनला AD शी जोडून, कर्मचाऱ्यांना ऑफबोर्ड केल्यावर त्यांचा WiFi ॲक्सेस त्वरित रद्द होतो. प्रमाणपत्र पडताळणीची सक्ती करण्यासाठी MDM चा वापर केल्याने रोग AP हल्ले टळतात, जे सार्वजनिक हॉस्पिटॅलिटी वातावरणात एक मोठा धोका असतात.

एक मोठी रिटेल चेन 500 लोकेशन्सवरील स्टोअर मॅनेजर्सना कॉर्पोरेट लॅपटॉप्स देत आहे. त्यांना PEAP-MSCHAPv2 वापरायचे आहे परंतु इतक्या साइट्सवर RADIUS प्रमाणपत्रे व्यवस्थापित करण्याच्या प्रशासकीय ओझ्याबद्दल त्यांना चिंता आहे.

प्रत्येक स्टोअरमध्ये स्थानिक RADIUS सर्व्हर्स डिप्लॉय करण्याऐवजी, रिटेलरने त्यांच्या क्लाउड आयडेंटिटी प्रोव्हायडर (उदा. Azure AD किंवा Okta) सोबत इंटिग्रेट केलेले क्लाउड-होस्टेड RADIUS सोल्यूशन वापरले पाहिजे. सर्व 500 लोकेशन्सवरील ॲक्सेस पॉईंट्स क्लाउड RADIUS एंडपॉईंट्सकडे पॉईंट करतात. क्लाउड RADIUS सर्व्हरवर एकच, जागतिक स्तरावर विश्वसनीय पब्लिक प्रमाणपत्र वापरले जाते आणि लॅपटॉप्सवर डिप्लॉय केलेला MDM पेलोड या विशिष्ट पब्लिक प्रमाणपत्राला पिन करतो.

परीक्षकाचे भाष्य: RADIUS इन्फ्रास्ट्रक्चरचे केंद्रीकरण केल्याने व्यवस्थापनाचे ओझे लक्षणीयरीत्या कमी होते. पब्लिक प्रमाणपत्राचा वापर केल्याने क्लायंट उपकरणांवरील ट्रस्ट चेन सोपी होते, बशर्ते MDM प्रोफाइलने इंटरसेप्शन टाळण्यासाठी अपेक्षित प्रमाणपत्राला काटेकोरपणे पिन केलेले असावे.

सराव प्रश्न

Q1. तुम्ही एका हॉस्पिटलच्या WiFi नेटवर्कचे ऑडिट करत आहात. ते स्टाफ उपकरणांसाठी PEAP-MSCHAPv2 वापरतात. तुमच्या रिव्ह्यू दरम्यान, तुमच्या लक्षात येते की iPads वर पुश केलेल्या MDM प्रोफाइलमध्ये 'Validate Server Certificate' चेक केलेले नाही. याचा तात्काळ धोका काय आहे?

टीप: हल्लेखोराने हॉस्पिटलचे SSID ब्रॉडकास्ट करणारे डिव्हाइस सेट केल्यास काय होईल याचा विचार करा.

नमुना उत्तर पहा

तात्काळ धोका म्हणजे रोग ॲक्सेस पॉईंट (इव्हिल ट्विन) हल्ला. कारण iPads सर्व्हर प्रमाणपत्राची पडताळणी करत नाहीत, ते योग्य SSID ब्रॉडकास्ट करणाऱ्या कोणत्याही AP सोबत ऑथेंटिकेट करण्याचा प्रयत्न करतील. हल्लेखोर MSCHAPv2 हँडशेक इंटरसेप्ट करू शकतो आणि स्टाफचे पासवर्ड्स ऑफलाइन क्रॅक करण्याचा प्रयत्न करू शकतो, ज्यामुळे क्रेडेन्शियल्स धोक्यात येऊ शकतात.

Q2. एका विद्यापीठाचा आयटी विभाग त्यांचे स्टुडंट नेटवर्क प्री-शेअर्ड की (PSK) वरून 802.1X वर मायग्रेट करण्याची योजना आखत आहे. त्यांना जास्तीत जास्त सुरक्षिततेसाठी EAP-TLS वापरायचे आहे परंतु हेल्पडेस्क टीमकडून विरोध होत आहे. या परिस्थितीत PEAP-MSCHAPv2 हा अधिक व्यावहारिक पर्याय का असू शकतो?

टीप: विद्यापीठाच्या वातावरणातील डिव्हाइस ओनरशिप मॉडेलचा विचार करा.

नमुना उत्तर पहा

विद्यापीठामध्ये, उपकरणे व्यवस्थापित नसतात (BYOD). EAP-TLS डिप्लॉय करण्यासाठी प्रत्येक विद्यार्थ्याच्या वैयक्तिक लॅपटॉप, फोन आणि टॅब्लेटवर एक युनिक क्लायंट प्रमाणपत्र जारी करणे आणि इन्स्टॉल करणे आवश्यक असते. यामुळे हेल्पडेस्कवर सपोर्टचे मोठे ओझे पडते. PEAP-MSCHAPv2 मध्ये विद्यार्थ्यांना फक्त त्यांचे विद्यमान विद्यापीठाचे युजरनेम आणि पासवर्ड प्रविष्ट करणे आवश्यक असते, ज्यामुळे ऑनबोर्डिंग लक्षणीयरीत्या सोपे होते आणि तरीही PSK च्या तुलनेत एक मोठा सुरक्षा अपग्रेड मिळतो.

Q3. तुमच्या संस्थेचे RADIUS सर्व्हर प्रमाणपत्र 14 दिवसांत कालबाह्य होत आहे. ते एका पब्लिक CA द्वारे जारी केले गेले आहे. PEAP-MSCHAPv2 वायरलेस नेटवर्कमध्ये कोणताही व्यत्यय येणार नाही याची खात्री करण्यासाठी तुम्ही कोणती पावले उचलली पाहिजेत?

टीप: सप्लिकंट्स सध्या कशावर विश्वास ठेवण्यासाठी कॉन्फिगर केलेले आहेत याचा विचार करा.

नमुना उत्तर पहा

तुम्ही पब्लिक CA कडून नवीन प्रमाणपत्र मिळवणे आणि ते RADIUS सर्व्हरवर इन्स्टॉल करणे आवश्यक आहे. सर्वात महत्त्वाचे म्हणजे, तुम्ही MDM वायरलेस प्रोफाइल्सचे पुनरावलोकन केले पाहिजे. जर प्रोफाइल्स विशिष्ट जुन्या प्रमाणपत्राला पिन केलेले असतील, तर जुने प्रमाणपत्र कालबाह्य होण्यापूर्वी नवीन प्रमाणपत्रावर विश्वास ठेवण्यासाठी ते अपडेट केले जाणे आवश्यक आहे. जर प्रोफाइल्स फक्त रूट CA ला पिन करत असतील आणि नवीन प्रमाणपत्र त्याच रूट CA द्वारे जारी केले असेल, तर हे ट्रान्झिशन अखंडित असले पाहिजे, परंतु त्याची चाचणी करणे आवश्यक आहे.

या मालिकेमध्ये पुढे वाचा

विक्रेत्यानुसार प्रति-डिव्हाइस PSK: iPSK, DPSK, MPSK आणि PPSK ची तुलना (आणि WPA3 सपोर्ट)

Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet आणि Ubiquiti UniFi मधील प्रति-डिव्हाइस PSK अंमलबजावणीची सर्वसमावेशक तुलना. WPA3-SAE चा प्रति-डिव्हाइस की (key) धोरणांवर कसा परिणाम होतो आणि ट्रान्झिशन मोड कधी लागू करायचे विरुद्ध 802.1X कडे कधी वळायचे ते जाणून घ्या.

MAC Address Authentication म्हणजे काय? ते कधी वापरावे आणि कधी टाळावे

हे अधिकृत तांत्रिक संदर्भ मार्गदर्शक एंटरप्राइझ WiFi वातावरणातील MAC ऍड्रेस ऑथेंटिकेशन कव्हर करते — RADIUS-आधारित MAC ऑथेंटिकेशन लेयर 2 वर कसे काम करते, त्याच्या अंगभूत सुरक्षा भेद्यता (MAC स्पूफिंग आणि OS-स्तरीय MAC रँडमायझेशनच्या प्रभावासह), आणि अचूक ऑपरेशनल संदर्भ जिथे ते IoT आणि हेडलेस उपकरणांचे व्यवस्थापन करण्यासाठी एक वैध साधन राहते. हे हॉस्पिटॅलिटी, रिटेल, हेल्थकेअर आणि सार्वजनिक क्षेत्रातील व्हेन्यूजमधील IT मॅनेजर्स आणि नेटवर्क आर्किटेक्ट्ससाठी रिअल-वर्ल्ड उदाहरणे, निर्णय फ्रेमवर्क्स आणि Purple च्या अतिथी WiFi आणि ॲनालिटिक्स प्लॅटफॉर्मसाठी इंटिग्रेशन संदर्भासह कृतीयोग्य डिप्लॉयमेंट मार्गदर्शन प्रदान करते.

iOS आणि macOS वर 802.1X सह एंटरप्राइझ WiFi कसे सेट करावे

हे अधिकृत मार्गदर्शक वरिष्ठ IT लीडर्सना iOS आणि macOS डिव्हाइसेसवर 802.1X एंटरप्राइझ WiFi डिप्लॉय करण्यासाठी कृती करण्यायोग्य पायऱ्या प्रदान करते. हे BYOD उपक्रमांना सपोर्ट करताना कॉर्पोरेट नेटवर्क्स सुरक्षित करण्यासाठी सर्टिफिकेट-आधारित ऑथेंटिकेशन (EAP-TLS), MDM कॉन्फिगरेशन प्रोफाइल्स आणि आर्किटेक्चर इंटिग्रेशन कव्हर करते.