मुख्य मजकुराकडे जा
मराठी

BYOD WiFi ऑनबोर्डिंग: हॉटेल्स आणि रिटेलमध्ये अनमॅनेज्ड डिव्हाइसेस व्यवस्थापित करणे

हे तांत्रिक संदर्भ मार्गदर्शक हॉस्पिटॅलिटी आणि रिटेल वातावरणात संपूर्ण MDM एनरोलमेंटची आवश्यकता न ठेवता एंटरप्राइझ WiFi नेटवर्क्सवर कर्मचाऱ्यांच्या मालकीची (BYOD) डिव्हाइसेस ऑनबोर्ड करण्यासाठी कृती करण्यायोग्य धोरणे प्रदान करते. यामध्ये अनमॅनेज्ड डिव्हाइसेससाठी सुरक्षित ॲक्सेस सुनिश्चित करण्यासाठी सेल्फ-सर्व्हिस सर्टिफिकेट एनरोलमेंट फ्लो, 802.1X ऑथेंटिकेशन आणि पॉलिसी अंमलबजावणी समाविष्ट आहे.

📖 6 मिनिट वाचन📝 1,492 शब्द🔧 2 सोडवलेली उदाहरणे3 सराव प्रश्न📚 8 महत्वाच्या व्याख्या

header_image.png

कार्यकारी सारांश

हॉस्पिटॅलिटी आणि रिटेलमधील आयटी व्यवस्थापक आणि नेटवर्क आर्किटेक्ट्ससाठी, कर्मचाऱ्यांच्या मालकीच्या डिव्हाइसेस (BYOD) साठी नेटवर्क ॲक्सेस व्यवस्थापित करणे हे एक मोठे सुरक्षा आणि ऑपरेशनल आव्हान आहे. कॉर्पोरेट डिव्हाइसेस सामान्यतः मोबाइल डिव्हाइस मॅनेजमेंट (MDM) द्वारे व्यवस्थापित केले जातात आणि 802.1X द्वारे सायलेंटली ऑथेंटिकेट केले जातात. तथापि, कर्मचाऱ्यांना त्यांचे वैयक्तिक स्मार्टफोन्स किंवा टॅब्लेट्स कॉर्पोरेट MDM मध्ये एनरोल करण्यास भाग पाडणे ही एक गोपनीयतेची चिंता आहे आणि अनेकदा याला तीव्र विरोध होतो. प्री-शेअर्ड कीज (PSKs) किंवा MAC ऑथेंटिकेशन बायपास (MAB) वर अवलंबून राहणे मूलभूतपणे असुरक्षित आणि ऑपरेशनलदृष्ट्या त्रासदायक आहे. हे मार्गदर्शक सेल्फ-सर्व्हिस सर्टिफिकेट एनरोलमेंट वापरून BYOD WiFi ऑनबोर्डिंगसाठी एक व्यावहारिक, सुरक्षित दृष्टिकोन स्पष्ट करते. तुमच्या आयडेंटिटी प्रोव्हायडरसोबत इंटिग्रेट केलेला Captive Portal फ्लो वापरून, तुम्ही अनमॅनेज्ड डिव्हाइसेसना 802.1X नेटवर्कवर सुरक्षितपणे ऑनबोर्ड करू शकता, योग्य ॲक्सेस पॉलिसीज लागू करू शकता आणि संपूर्ण MDM एनरोलमेंटच्या अडथळ्याशिवाय कंप्लायन्स राखू शकता. हा दृष्टिकोन सुनिश्चित करतो की कर्मचारी पॉइंट-ऑफ-सेल सिस्टीम्स आणि शेड्युलिंग ॲप्स यांसारख्या आवश्यक अंतर्गत टूल्समध्ये सुरक्षितपणे आणि कार्यक्षमतेने ॲक्सेस करू शकतात. जे व्हेन्यूज आधीपासूनच Guest WiFi आणि WiFi Analytics वापरत आहेत, त्यांच्यासाठी कर्मचाऱ्यांच्या BYOD डिव्हाइसेसपर्यंत सुरक्षित ऑनबोर्डिंगचा विस्तार करणे एक युनिफाइड, मजबूत नेटवर्क मॅनेजमेंट स्ट्रॅटेजी प्रदान करते.

तांत्रिक सखोल माहिती (Technical Deep-Dive)

सुरक्षित BYOD ऑनबोर्डिंगचा पाया म्हणजे लेगसी ऑथेंटिकेशन पद्धतींमधून EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) [1] कडे संक्रमण करणे. EAP-TLS हे सुरक्षित WiFi ऑथेंटिकेशनसाठी इंडस्ट्री स्टँडर्ड आहे, जे पासवर्ड्सऐवजी डिजिटल सर्टिफिकेट्सवर अवलंबून असते. BYOD मधील आव्हान हे आहे की ही सर्टिफिकेट्स अनमॅनेज्ड डिव्हाइसेसवर वितरित करणे.

सेल्फ-सर्व्हिस ऑनबोर्डिंग फ्लो

हे साध्य करण्यासाठी, व्हेन्यूज सेल्फ-सर्व्हिस ऑनबोर्डिंग पोर्टल लागू करतात. ही प्रक्रिया सामान्यतः खालील टप्प्यांचे अनुसरण करते:

  1. प्रारंभिक कनेक्शन: वापरकर्ता त्यांचे वैयक्तिक डिव्हाइस एका डेडिकेटेड, ओपन प्रोव्हिजनिंग SSID शी कनेक्ट करतो. हे नेटवर्क वॉल्ड गार्डन (walled garden) म्हणून काम करते, जे ऑनबोर्डिंग पोर्टल आणि आयडेंटिटी प्रोव्हायडर (IdP) वगळता इतर सर्व गोष्टींचा ॲक्सेस प्रतिबंधित करते.
  2. ऑथेंटिकेशन: वापरकर्त्याला Captive Portal वर रिडायरेक्ट केले जाते जिथे ते त्यांचे कॉर्पोरेट क्रेडेंशियल्स वापरून ऑथेंटिकेट करतात. यामध्ये अनेकदा Azure AD किंवा Okta सारख्या IdP सोबत SAML किंवा OAuth इंटिग्रेशन समाविष्ट असते. या इंटिग्रेशनबद्दल अधिक माहितीसाठी, आमच्या Okta and RADIUS: Extending Your Identity Provider to WiFi Authentication या मार्गदर्शकाचा संदर्भ घ्या.
  3. सर्टिफिकेट जनरेशन: यशस्वी ऑथेंटिकेशननंतर, सिस्टीम एक युनिक, डिव्हाइस-विशिष्ट क्लायंट सर्टिफिकेट जनरेट करते.
  4. प्रोफाइल इन्स्टॉलेशन: एक कॉन्फिगरेशन प्रोफाइल (उदा., Apple .mobileconfig फाइल किंवा Android पासपॉइंट प्रोफाइल) डिव्हाइसवर पुश केले जाते. या प्रोफाइलमध्ये क्लायंट सर्टिफिकेट, रूट CA सर्टिफिकेट आणि सुरक्षित 802.1X SSID साठी नेटवर्क कॉन्फिगरेशन सेटिंग्ज असतात.
  5. सुरक्षित कनेक्शन: डिव्हाइस आपोआप प्रोव्हिजनिंग SSID वरून डिस्कनेक्ट होते आणि EAP-TLS ऑथेंटिकेशनसाठी नव्याने इन्स्टॉल केलेले सर्टिफिकेट वापरून सुरक्षित कॉर्पोरेट SSID शी कनेक्ट होते.

byod_certificate_enrolment_flow.png

BYOD साठी MAB आणि PSKs का अपयशी ठरतात

ऐतिहासिकदृष्ट्या, व्हेन्यूज BYOD ॲक्सेससाठी MAC ऑथेंटिकेशन बायपास (MAB) किंवा प्री-शेअर्ड कीज (PSKs) वर अवलंबून होते. आधुनिक वातावरणात या दोन्ही पद्धती मूलभूतपणे सदोष आहेत. MAB डिव्हाइसच्या MAC ॲड्रेसवर अवलंबून असते, जो सहजपणे स्पूफ (spoof) केला जाऊ शकतो. शिवाय, आधुनिक मोबाइल ऑपरेटिंग सिस्टीम्स (iOS 14+ आणि Android 10+) वापरकर्त्याची गोपनीयता वाढवण्यासाठी डीफॉल्टनुसार रँडमाइज्ड MAC ॲड्रेसेस वापरतात, ज्यामुळे MAB पूर्णपणे खंडित होते [2]. PSKs एकदा शेअर केले की ते तडजोड (compromised) झालेले असतात. ते कोणतीही वैयक्तिक जबाबदारी प्रदान करत नाहीत आणि एखादे डिव्हाइस हरवल्यास किंवा कर्मचाऱ्याने नोकरी सोडल्यास संपूर्ण नेटवर्कचा पासवर्ड बदलण्याची आवश्यकता असते.

अंमलबजावणी मार्गदर्शक

सुरक्षित BYOD ऑनबोर्डिंग सोल्यूशन तैनात करण्यासाठी काळजीपूर्वक नियोजन आणि अंमलबजावणी आवश्यक आहे. हॉटेल किंवा रिटेल वातावरणात यशस्वी रोलआउटसाठी या पायऱ्यांचे अनुसरण करा.

पायरी 1: ॲक्सेस पॉलिसीज परिभाषित करा

तांत्रिक पायाभूत सुविधा कॉन्फिगर करण्यापूर्वी, BYOD डिव्हाइसेसना कशाचा ॲक्सेस दिला जावा हे स्पष्टपणे परिभाषित करा. BYOD डिव्हाइसेस अनमॅनेज्ड असतात; तुम्ही त्यांचे OS अपडेट्स, अँटीव्हायरस स्टेटस किंवा इन्स्टॉल केलेले ॲप्लिकेशन्स नियंत्रित करत नाही. त्यामुळे, त्यांना अनट्रस्टेड डिव्हाइसेस (अविश्वसनीय उपकरणे) मानले पाहिजे.

  • नेटवर्क सेगमेंटेशन: BYOD डिव्हाइसेस एका डेडिकेटेड VLAN वर ठेवा. या VLAN ने इंटरनेट ॲक्सेस आणि कर्मचाऱ्याच्या भूमिकेसाठी आवश्यक असलेल्या विशिष्ट अंतर्गत ॲप्लिकेशन्सपुरता मर्यादित ॲक्सेस प्रदान केला पाहिजे (उदा., Retail पॉइंट-ऑफ-सेल वेब इंटरफेस किंवा Hospitality हाऊसकीपिंग ॲप). BYOD डिव्हाइसेसना कधीही कॉर्पोरेट सर्व्हर्स किंवा मॅनेज्ड डिव्हाइसेसच्या समान VLAN वर ठेवू नका.
  • बँडविड्थ मॅनेजमेंट: वैयक्तिक डिव्हाइसचा वापर (उदा., ब्रेकमध्ये व्हिडिओ स्ट्रीमिंग) गंभीर कॉर्पोरेट ॲप्लिकेशन्सवर परिणाम करणार नाही याची खात्री करण्यासाठी BYOD VLAN वर रेट लिमिटिंग लागू करा.

पायरी 2: RADIUS सर्व्हर आणि IdP इंटिग्रेशन कॉन्फिगर करा

तुमचा RADIUS सर्व्हर हा 802.1X ऑथेंटिकेशन प्रक्रियेचा गाभा आहे. तो EAP-TLS ला सपोर्ट करण्यासाठी कॉन्फिगर केलेला असावा आणि तुमच्या आयडेंटिटी प्रोव्हायडर (IdP) सोबत इंटिग्रेट केलेला असावा.

  1. IdP इंटिग्रेशन: तुमचा RADIUS सर्व्हर तुमच्या IdP (उदा., Azure AD, Okta, Google Workspace) शी SAML किंवा LDAP द्वारे कनेक्ट करा. हे सुनिश्चित करते की केवळ सक्रिय कर्मचारीच ऑथेंटिकेट करू शकतात आणि सर्टिफिकेट प्राप्त करू शकतात.
  2. सर्टिफिकेट अथॉरिटी (CA): क्लायंट सर्टिफिकेट्स जारी करण्यासाठी अंतर्गत CA स्थापित करा किंवा क्लाउड-आधारित मॅनेज्ड PKI (पब्लिक की इन्फ्रास्ट्रक्चर) वापरा. RADIUS सर्व्हरने या CA वर विश्वास ठेवला पाहिजे.
  3. पॉलिसी रूल्स: IdP मधील वापरकर्त्याच्या ग्रुप मेंबरशिपवर आधारित योग्य VLAN आणि ॲक्सेस पॉलिसीज नियुक्त करण्यासाठी RADIUS सर्व्हर कॉन्फिगर करा. उदाहरणार्थ, 'Retail Associates' ग्रुपमधील वापरकर्त्याला 'Store Managers' ग्रुपमधील वापरकर्त्यापेक्षा वेगळी पॉलिसी मिळते.

पायरी 3: ऑनबोर्डिंग पोर्टल डिझाइन करा

ऑनबोर्डिंग पोर्टल हा वापरकर्त्याचा सिस्टीमसोबतचा पहिला संवाद असतो. ते अंतर्ज्ञानी (intuitive) आणि स्पष्टपणे ब्रँडेड असले पाहिजे.

  • स्पष्ट सूचना: पोर्टल स्क्रीनवर टप्प्याटप्प्याने सूचना द्या. वापरकर्त्यांना नेमके कुठे क्लिक करायचे आणि काय अपेक्षित आहे हे माहित असणे आवश्यक आहे.
  • ब्रँडिंग: पोर्टल तुमचे कॉर्पोरेट ब्रँडिंग प्रतिबिंबित करत असल्याची खात्री करा. व्यावसायिक स्वरूप वापरकर्त्याचा विश्वास वाढवते.
  • सपोर्ट माहिती: ऑनबोर्डिंग प्रक्रियेदरम्यान वापरकर्त्याला काही समस्या आल्यास IT हेल्पडेस्कसाठी स्पष्ट संपर्क माहिती समाविष्ट करा.

byod_vs_corporate_policy_comparison.png

सर्वोत्तम पद्धती (Best Practices)

सुरक्षित आणि व्यवस्थापित करण्यायोग्य BYOD डिप्लॉयमेंट सुनिश्चित करण्यासाठी, या इंडस्ट्रीतील सर्वोत्तम पद्धतींचे पालन करा.

शॉर्ट-लिव्ह्ड सर्टिफिकेट्स लागू करा

BYOD डिव्हाइसेस अनमॅनेज्ड असल्यामुळे, तडजोड झालेले डिव्हाइस नेटवर्कवर राहण्याचा धोका जास्त असतो. शॉर्ट-लिव्ह्ड (अल्पायुषी) सर्टिफिकेट्स जारी करून हा धोका कमी करा. तीन वर्षांसाठी वैध असलेल्या सर्टिफिकेटऐवजी, 90 दिवसांसाठी वैध असलेली सर्टिफिकेट्स जारी करा. जेव्हा सर्टिफिकेटची मुदत संपते, तेव्हा वापरकर्त्याने ऑनबोर्डिंग पोर्टलद्वारे पुन्हा ऑथेंटिकेट करणे आवश्यक असते. हे नैसर्गिकरित्या नेटवर्कवरून जुनी डिव्हाइसेस काढून टाकते आणि केवळ सक्रिय कर्मचारीच ॲक्सेस राखतात याची खात्री करते.

पासपॉइंट (Hotspot 2.0) चा वापर करा

अखंड ऑनबोर्डिंग अनुभवासाठी, विशेषतः Android डिव्हाइसेसवर, पासपॉइंट (Hotspot 2.0) चा लाभ घ्या. पासपॉइंट डिव्हाइसेसना प्रारंभिक सेटअप नंतर वापरकर्त्याला मॅन्युअली SSID निवडण्याची किंवा Captive Portal शी संवाद साधण्याची आवश्यकता न ठेवता सुरक्षित नेटवर्क स्वयंचलितपणे शोधण्याची आणि ऑथेंटिकेट करण्याची अनुमती देते. हे लक्षणीयरीत्या अडथळे कमी करते आणि वापरकर्ता अनुभव सुधारते. हे विशेषतः Wayfinding किंवा Sensors वापरणाऱ्या वातावरणात फायदेशीर आहे जिथे सतत कनेक्टिव्हिटी महत्त्वपूर्ण असते.

डिव्हाइस मर्यादा लागू करा

एका वापरकर्त्याला ऑनबोर्ड करता येणाऱ्या BYOD डिव्हाइसेसची संख्या मर्यादित करा. कर्मचाऱ्याला सामान्यतः फक्त त्यांचा प्राथमिक स्मार्टफोन आणि कदाचित वैयक्तिक टॅब्लेट कनेक्ट करण्याची आवश्यकता असते. प्रति वापरकर्ता दोन किंवा तीन डिव्हाइसेसची मर्यादा सेट केल्याने गैरवापर टळतो आणि RADIUS सर्व्हर आणि DHCP पूल्सवरील भार कमी होतो.

ट्रबलशूटिंग आणि जोखीम निवारण

चांगल्या प्रकारे डिझाइन केलेल्या सिस्टीममध्येही समस्या उद्भवू शकतात. जलद निराकरणासाठी सामान्य अपयश मोड्स समजून घेणे महत्त्वपूर्ण आहे.

Android फ्रॅगमेंटेशन

Apple iOS डिव्हाइसेस .mobileconfig प्रोफाइल्स सातत्याने हाताळतात. तथापि, Android अत्यंत फ्रॅगमेंटेड (विभाजित) आहे. विविध उत्पादक आणि OS आवृत्त्या WiFi प्रोफाइल्स आणि सर्टिफिकेट इन्स्टॉलेशन वेगवेगळ्या प्रकारे हाताळतात. हे कमी करण्यासाठी, तुमचे ऑनबोर्डिंग सोल्यूशन स्पष्ट, OS-विशिष्ट सूचना प्रदान करत असल्याची खात्री करा. डेडिकेटेड ऑनबोर्डिंग ॲप वापरणे (तुमच्या व्हेंडरने प्रदान केले असल्यास) किंवा पासपॉइंटवर अवलंबून राहणे Android अनुभव लक्षणीयरीत्या सुधारू शकते.

सर्टिफिकेट रिव्होकेशन (प्रमाणपत्र रद्द करणे)

जेव्हा एखादा कर्मचारी संस्था सोडतो, तेव्हा त्यांचा ॲक्सेस त्वरित रद्द केला गेला पाहिजे. सर्टिफिकेट त्यांच्या कॉर्पोरेट ओळखीच्या आधारावर जारी केले गेले असल्यामुळे, IdP मध्ये त्यांचे खाते अक्षम करणे ही पहिली पायरी आहे. तथापि, RADIUS सर्व्हरने सर्टिफिकेटची स्थिती देखील सत्यापित केली पाहिजे. ॲक्सेस देण्यापूर्वी सर्टिफिकेट रिव्होकेशन लिस्ट (CRL) तपासण्यासाठी किंवा ऑनलाइन सर्टिफिकेट स्टेटस प्रोटोकॉल (OCSP) वापरण्यासाठी तुमचा RADIUS सर्व्हर कॉन्फिगर केलेला असल्याची खात्री करा. IdP खाते अक्षम केले असल्यास, सर्टिफिकेट रद्द (revoked) म्हणून चिन्हांकित केले जावे, आणि RADIUS सर्व्हर ॲक्सेस नाकारेल.

'वॉल्ड गार्डन' कॉन्फिगरेशन

प्रोव्हिजनिंग SSID काटेकोरपणे नियंत्रित केले पाहिजे. जर वॉल्ड गार्डन खूप खुले असेल, तर वापरकर्ते सुरक्षित ऑनबोर्डिंग प्रक्रिया पूर्णपणे बायपास करून इंटरनेट ॲक्सेस करण्यासाठी प्रोव्हिजनिंग नेटवर्कशी कनेक्टेड राहू शकतात. प्रोव्हिजनिंग SSID केवळ ऑनबोर्डिंग पोर्टल, IdP ऑथेंटिकेशन एंडपॉइंट्स आणि आवश्यक सर्टिफिकेट डाउनलोड सर्व्हर्सना ॲक्सेस देत असल्याची खात्री करा. इतर सर्व ट्रॅफिक ब्लॉक केले जाणे आवश्यक आहे.

ROI आणि व्यावसायिक प्रभाव

सुरक्षित BYOD ऑनबोर्डिंग सोल्यूशन लागू केल्याने सुधारित सुरक्षा, कमी झालेला IT ओव्हरहेड आणि वाढलेली कर्मचारी उत्पादकता याद्वारे गुंतवणुकीवर महत्त्वपूर्ण परतावा (ROI) मिळतो.

  • कमी झालेली हेल्पडेस्क तिकिटे: वापरकर्त्यांना स्वतः ऑनबोर्ड करण्यासाठी सक्षम करून, IT हेल्पडेस्कला WiFi पासवर्ड्स आणि कनेक्शन समस्यांशी संबंधित तिकिटांमध्ये लक्षणीय घट दिसून येते. यामुळे IT कर्मचाऱ्यांना धोरणात्मक उपक्रमांवर लक्ष केंद्रित करण्यासाठी वेळ मिळतो.
  • वाढलेली सुरक्षा: PSKs कडून EAP-TLS कडे वळल्याने अनधिकृत नेटवर्क ॲक्सेस आणि डेटा ब्रीचेसचा धोका लक्षणीयरीत्या कमी होतो. PCI DSS आणि GDPR सारख्या मानकांचे पालन करण्यासाठी हे महत्त्वपूर्ण आहे.
  • सुधारित उत्पादकता: कर्मचारी त्यांना आवश्यक असलेल्या टूल्समध्ये ॲक्सेस करण्यासाठी त्यांचे वैयक्तिक डिव्हाइसेस जलद आणि सुरक्षितपणे कनेक्ट करू शकतात, ज्यामुळे एकूण कार्यक्षमता आणि समाधान सुधारते. हा Modern Hospitality WiFi Solutions Your Guests Deserve चा एक मुख्य घटक आहे, जो कर्मचाऱ्यांच्या अनुभवावर लागू केला जातो.

byod_wifi_onboarding_managing_unmanaged_devices_in_hotels_and_retail_podcast.wav

संदर्भ

[1] IEEE Standard for Local and Metropolitan Area Networks--Port-Based Network Access Control, IEEE Std 802.1X-2020. [2] Wi-Fi Alliance, "MAC Randomization Behavior," 2021.

महत्वाच्या व्याख्या

EAP-TLS

Extensible Authentication Protocol-Transport Layer Security. सर्वात सुरक्षित WiFi ऑथेंटिकेशन पद्धत, जी क्लायंट आणि सर्व्हर दोन्हीवर डिजिटल सर्टिफिकेट्स वापरते.

असुरक्षित पासवर्ड्स बदलून सुरक्षित BYOD ऑनबोर्डिंगसाठी लक्ष्यित स्थिती.

Captive Portal

एक वेब पेज जे पब्लिक-ॲक्सेस नेटवर्कच्या वापरकर्त्याला ॲक्सेस मिळण्यापूर्वी पाहणे आणि त्याच्याशी संवाद साधणे बंधनकारक असते.

वापरकर्त्याचे क्रेडेंशियल्स कॅप्चर करण्यासाठी आणि सर्टिफिकेट एनरोलमेंट प्रक्रिया सुरू करण्यासाठी BYOD फ्लोमध्ये वापरले जाते.

MDM

मोबाइल डिव्हाइस मॅनेजमेंट. कर्मचाऱ्यांचे मोबाइल डिव्हाइसेस मॉनिटर, मॅनेज आणि सुरक्षित करण्यासाठी आयटी विभागांद्वारे वापरले जाणारे सॉफ्टवेअर.

कॉर्पोरेट डिव्हाइसेससाठी आदर्श असले तरी, गोपनीयतेच्या चिंतेमुळे कर्मचाऱ्यांकडून वैयक्तिक BYOD डिव्हाइसेससाठी संपूर्ण MDM अनेकदा नाकारले जाते.

VLAN सेगमेंटेशन

सुरक्षा आणि कार्यप्रदर्शन सुधारण्यासाठी भौतिक नेटवर्कला अनेक लॉजिकल नेटवर्क्समध्ये विभाजित करण्याची पद्धत.

संवेदनशील कॉर्पोरेट सर्व्हर्सपासून अनमॅनेज्ड BYOD डिव्हाइसेस वेगळे करण्यासाठी आवश्यक.

पासपॉइंट (Hotspot 2.0)

एक Wi-Fi Alliance स्टँडर्ड जे नेटवर्क ॲक्सेस सुव्यवस्थित करते, ज्यामुळे डिव्हाइसेसना सुरक्षित नेटवर्क्स स्वयंचलितपणे शोधण्याची आणि कनेक्ट करण्याची अनुमती मिळते.

प्रारंभिक प्रोफाइल इन्स्टॉलेशननंतर मॅन्युअली SSIDs निवडण्याची आवश्यकता दूर करून BYOD वापरकर्ता अनुभव सुधारते.

RADIUS

Remote Authentication Dial-In User Service. एक नेटवर्किंग प्रोटोकॉल जो केंद्रीकृत ऑथेंटिकेशन, ऑथोरायझेशन आणि अकाउंटिंग (AAA) व्यवस्थापन प्रदान करतो.

मुख्य सर्व्हर जो क्लायंट सर्टिफिकेट प्रमाणित करतो आणि BYOD डिव्हाइस कोणत्या VLAN ला नियुक्त केले जावे हे ठरवतो.

IdP

आयडेंटिटी प्रोव्हायडर. एक सिस्टीम एंटिटी जी प्रिन्सिपल्ससाठी (वापरकर्ते, सेवा किंवा सिस्टीम्स) ओळख माहिती तयार करते, राखते आणि व्यवस्थापित करते.

केवळ सक्रिय कर्मचारीच त्यांचे BYOD डिव्हाइसेस ऑनबोर्ड करू शकतील याची खात्री करण्यासाठी Captive Portal सोबत इंटिग्रेट केलेले.

वॉल्ड गार्डन

एक प्रतिबंधित नेटवर्क वातावरण जे वापरकर्त्याच्या वेब सामग्री आणि सेवांच्या ॲक्सेसवर नियंत्रण ठेवते.

प्रोव्हिजनिंग SSID ची स्थिती, जी केवळ ऑनबोर्डिंग पोर्टल आणि आवश्यक ऑथेंटिकेशन सेवांना ॲक्सेस देते.

सोडवलेली उदाहरणे

एका 300-खोल्यांच्या रिसॉर्टला त्यांच्या वैयक्तिक स्मार्टफोन्सवर शेड्युलिंग ॲप वापरणाऱ्या हाऊसकीपिंग कर्मचाऱ्यांना WiFi ॲक्सेस प्रदान करणे आवश्यक आहे. रिसॉर्ट सध्या सर्व कर्मचाऱ्यांसाठी एकच PSK वापरते, जो वारंवार शेअर केला जातो. आयटी व्यवस्थापकाने हा ॲक्सेस कसा सुरक्षित करावा?

आयटी व्यवस्थापकाने सेल्फ-सर्व्हिस BYOD ऑनबोर्डिंग पोर्टल तैनात केले पाहिजे. ते एक नवीन, ओपन प्रोव्हिजनिंग SSID ('Resort-Staff-Setup') आणि एक सुरक्षित 802.1X SSID ('Resort-Staff-Secure') तयार करतील. हाऊसकीपिंग कर्मचारी सेटअप SSID शी कनेक्ट होतील, Captive Portal द्वारे रिसॉर्टच्या Azure AD वर ऑथेंटिकेट करतील आणि युनिक क्लायंट सर्टिफिकेट असलेले कॉन्फिगरेशन प्रोफाइल डाउनलोड करतील. या सर्टिफिकेट्ससह ऑथेंटिकेट करणाऱ्या डिव्हाइसेसना एका प्रतिबंधित VLAN वर नियुक्त करण्यासाठी RADIUS सर्व्हर कॉन्फिगर केला जाईल, ज्याला केवळ इंटरनेट आणि शेड्युलिंग ॲप सर्व्हरचा ॲक्सेस असेल.

परीक्षकाचे भाष्य: हा दृष्टिकोन असुरक्षित PSK काढून टाकतो. Azure AD इंटिग्रेशन वापरून, ॲक्सेस कर्मचाऱ्याच्या सक्रिय स्थितीशी जोडला जातो. प्रतिबंधित VLAN हे सुनिश्चित करते की जरी BYOD डिव्हाइस तडजोड झालेले असले तरीही, ते संवेदनशील कॉर्पोरेट सर्व्हर्समध्ये ॲक्सेस करू शकत नाही.

50 लोकेशन्स असलेली एक रिटेल चेन एक नवीन इन्व्हेंटरी मॅनेजमेंट ॲप आणत आहे जे स्टोअर असोसिएट्स त्यांच्या वैयक्तिक डिव्हाइसेसवर ॲक्सेस करतील. आयटी डायरेक्टर स्टोअर नेटवर्कवरील अनमॅनेज्ड डिव्हाइसेसच्या सुरक्षिततेच्या परिणामांबद्दल चिंतित आहेत.

आयटी डायरेक्टरने नेटवर्क सेगमेंटेशन आणि शॉर्ट-लिव्ह्ड सर्टिफिकेट्स लागू करणे आवश्यक आहे. BYOD डिव्हाइसेस सेल्फ-सर्व्हिस पोर्टलद्वारे ऑनबोर्ड केले जातील आणि डेडिकेटेड 'BYOD-Retail' VLAN वर ठेवले जातील. हे VLAN पॉइंट-ऑफ-सेल (POS) VLAN पासून काटेकोरपणे वेगळे (isolated) केलेले असते. शिवाय, ऑनबोर्डिंग दरम्यान जारी केलेल्या क्लायंट सर्टिफिकेट्सची कमाल वैधता 90 दिवसांची असेल. जेव्हा सर्टिफिकेटची मुदत संपते, तेव्हा असोसिएटला पुन्हा ऑथेंटिकेट करावे लागेल.

परीक्षकाचे भाष्य: अनमॅनेज्ड डिव्हाइसेससाठी नेटवर्क सेगमेंटेशन हे सर्वात महत्त्वपूर्ण नियंत्रण आहे. 90-दिवसांचे सर्टिफिकेट लाइफटाइम हे सुनिश्चित करते की माजी कर्मचाऱ्यांची डिव्हाइसेस किंवा अलीकडे न पाहिलेली डिव्हाइसेस नेटवर्कवरून आपोआप काढून टाकली जातात, ज्यामुळे अटॅक सरफेस कमी होतो.

सराव प्रश्न

Q1. तुमची संस्था BYOD ऑनबोर्डिंग सोल्यूशन लागू करत आहे. सुरक्षा टीमचा आग्रह आहे की नेटवर्कशी कनेक्ट होण्यापूर्वी सर्व BYOD डिव्हाइसेसवर सक्रिय अँटीव्हायरस सॉफ्टवेअर इन्स्टॉल केलेले असणे आवश्यक आहे. तुम्ही या आवश्यकतेचे निराकरण कसे करावे?

टीप: सेल्फ-सर्व्हिस ऑनबोर्डिंग पोर्टल विरुद्ध संपूर्ण MDM सोल्यूशनच्या क्षमतांचा विचार करा.

नमुना उत्तर पहा

तुम्ही सुरक्षा टीमला हे समजावून सांगितले पाहिजे की फुल पोश्चर चेकिंग (अँटीव्हायरस स्थिती सत्यापित करणे) साठी सामान्यतः डिव्हाइसवर MDM एजंट इन्स्टॉल करणे आवश्यक असते. हे BYOD परिदृश्य असल्यामुळे जिथे वापरकर्ते MDM ला विरोध करत आहेत, फुल पोश्चर चेकिंग शक्य नाही. यावर पर्याय म्हणजे कठोर नेटवर्क सेगमेंटेशनवर अवलंबून राहणे. तुम्ही हे मान्य करता की डिव्हाइस अनमॅनेज्ड आणि अनट्रस्टेड आहे, आणि म्हणून त्याला एका आयसोलेटेड VLAN वर ठेवता ज्याला केवळ इंटरनेट आणि वापरकर्त्याच्या भूमिकेसाठी आवश्यक असलेल्या विशिष्ट वेब ॲप्लिकेशन्सचा ॲक्सेस असतो.

Q2. एका रिटेल स्टोअर मॅनेजरने नोंदवले आहे की Captive Portal च्या पायऱ्या पूर्ण केल्यानंतर अनेक कर्मचारी त्यांचे Android डिव्हाइसेस नवीन सुरक्षित BYOD नेटवर्कशी कनेक्ट करू शकत नाहीत. iOS वापरकर्त्यांना ही समस्या येत नाही. याचे सर्वात संभाव्य कारण आणि शिफारस केलेले सोल्यूशन काय आहे?

टीप: विविध ऑपरेटिंग सिस्टीम्स कॉन्फिगरेशन प्रोफाइल्स कसे हाताळतात याचा विचार करा.

नमुना उत्तर पहा

याचे सर्वात संभाव्य कारण Android फ्रॅगमेंटेशन आहे. विविध Android उत्पादक WiFi प्रोफाइल इन्स्टॉलेशन वेगवेगळ्या प्रकारे हाताळतात. शिफारस केलेले सोल्यूशन हे आहे की ऑनबोर्डिंग प्लॅटफॉर्म पासपॉइंट (Hotspot 2.0) वापरत असल्याची खात्री करणे (जर डिव्हाइसेसद्वारे समर्थित असेल), किंवा पोर्टलवर स्पष्ट, उत्पादक-विशिष्ट सूचना प्रदान करणे. पर्यायाने, WiFi व्हेंडरने प्रदान केलेले डेडिकेटेड ऑनबोर्डिंग ॲप वापरल्याने विविध Android डिव्हाइसेसवर अनुभव प्रमाणित (standardize) करता येतो.

Q3. एक कर्मचारी कंपनी सोडतो. त्यांचे खाते कॉर्पोरेट Azure AD मध्ये अक्षम केले जाते. तथापि, तुमच्या लक्षात येते की त्यांचा वैयक्तिक स्मार्टफोन अद्याप सुरक्षित BYOD WiFi नेटवर्कशी कनेक्ट केलेला आहे. असे का होत आहे आणि तुम्ही ते कसे दुरुस्त कराल?

टीप: ऑथेंटिकेशन प्रक्रियेदरम्यान IdP आणि RADIUS सर्व्हरमधील संबंधाचा विचार करा.

नमुना उत्तर पहा

असे घडते कारण डिव्हाइस वैध क्लायंट सर्टिफिकेट वापरून ऑथेंटिकेट करत असते, आणि RADIUS सर्व्हर IdP विरुद्ध सर्टिफिकेटची रिव्होकेशन स्थिती तपासत नाही. हे दुरुस्त करण्यासाठी, तुम्ही सर्टिफिकेट रिव्होकेशन लिस्ट (CRL) तपासणी करण्यासाठी किंवा ऑनलाइन सर्टिफिकेट स्टेटस प्रोटोकॉल (OCSP) वापरण्यासाठी RADIUS सर्व्हर कॉन्फिगर करणे आवश्यक आहे. जेव्हा Azure AD मध्ये खाते अक्षम केले जाते, तेव्हा संबंधित सर्टिफिकेट रद्द (revoked) म्हणून चिन्हांकित केले जावे. त्यानंतर RADIUS सर्व्हरला रद्द केलेली स्थिती दिसेल आणि तो ॲक्सेस नाकारेल.

या मालिकेमध्ये पुढे वाचा

विक्रेत्यानुसार प्रति-डिव्हाइस PSK: iPSK, DPSK, MPSK आणि PPSK ची तुलना (आणि WPA3 सपोर्ट)

Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet आणि Ubiquiti UniFi मधील प्रति-डिव्हाइस PSK अंमलबजावणीची सर्वसमावेशक तुलना. WPA3-SAE चा प्रति-डिव्हाइस की (key) धोरणांवर कसा परिणाम होतो आणि ट्रान्झिशन मोड कधी लागू करायचे विरुद्ध 802.1X कडे कधी वळायचे ते जाणून घ्या.

मार्गदर्शिका वाचा →

MAC Address Authentication म्हणजे काय? ते कधी वापरावे आणि कधी टाळावे

हे अधिकृत तांत्रिक संदर्भ मार्गदर्शक एंटरप्राइझ WiFi वातावरणातील MAC ऍड्रेस ऑथेंटिकेशन कव्हर करते — RADIUS-आधारित MAC ऑथेंटिकेशन लेयर 2 वर कसे काम करते, त्याच्या अंगभूत सुरक्षा भेद्यता (MAC स्पूफिंग आणि OS-स्तरीय MAC रँडमायझेशनच्या प्रभावासह), आणि अचूक ऑपरेशनल संदर्भ जिथे ते IoT आणि हेडलेस उपकरणांचे व्यवस्थापन करण्यासाठी एक वैध साधन राहते. हे हॉस्पिटॅलिटी, रिटेल, हेल्थकेअर आणि सार्वजनिक क्षेत्रातील व्हेन्यूजमधील IT मॅनेजर्स आणि नेटवर्क आर्किटेक्ट्ससाठी रिअल-वर्ल्ड उदाहरणे, निर्णय फ्रेमवर्क्स आणि Purple च्या अतिथी WiFi आणि ॲनालिटिक्स प्लॅटफॉर्मसाठी इंटिग्रेशन संदर्भासह कृतीयोग्य डिप्लॉयमेंट मार्गदर्शन प्रदान करते.

मार्गदर्शिका वाचा →

iOS आणि macOS वर 802.1X सह एंटरप्राइझ WiFi कसे सेट करावे

हे अधिकृत मार्गदर्शक वरिष्ठ IT लीडर्सना iOS आणि macOS डिव्हाइसेसवर 802.1X एंटरप्राइझ WiFi डिप्लॉय करण्यासाठी कृती करण्यायोग्य पायऱ्या प्रदान करते. हे BYOD उपक्रमांना सपोर्ट करताना कॉर्पोरेट नेटवर्क्स सुरक्षित करण्यासाठी सर्टिफिकेट-आधारित ऑथेंटिकेशन (EAP-TLS), MDM कॉन्फिगरेशन प्रोफाइल्स आणि आर्किटेक्चर इंटिग्रेशन कव्हर करते.

मार्गदर्शिका वाचा →