मुख्य मजकुराकडे जा

802.1X Supplicant म्हणजे काय? क्लायंटचे प्रकार आणि डिव्हाइस कॉन्फिगरेशन

या मार्गदर्शकामध्ये एंटरप्राइझ WiFi ऑथेंटिकेशनमधील 802.1X supplicant च्या भूमिकेचे स्पष्टीकरण दिले आहे. यामध्ये तांत्रिक आर्किटेक्चर, नेटिव्ह OS supplicants ची थर्ड-पार्टी क्लायंट्ससोबत तुलना आणि EAP-TLS व PEAP उपयोजित करणाऱ्या IT टीम्ससाठी व्यावहारिक कॉन्फिगरेशन मार्गदर्शन समाविष्ट आहे.

📖 5 मिनिट वाचन📝 1,091 शब्द🔧 2 सोडवलेली उदाहरणे3 सराव प्रश्न📚 8 महत्वाच्या व्याख्या

हे मार्गदर्शक ऐका

पॉडकास्ट ट्रान्सक्रिप्ट पहा
आत्मविश्वासपूर्ण, अधिकृत आणि संवादात्मक टोनमध्ये ब्रिटिश इंग्रजीत बोला - जसे की एखादे वरिष्ठ नेटवर्क सुरक्षा सल्लागार क्लायंटला माहिती देत आहेत. मोजलेला वेग, स्पष्ट शब्दरचना, व्यावसायिक परंतु कोरडे नसलेले. आवश्यकतेनुसार नैसर्गिक विराम घ्या: Purple च्या तांत्रिक माहिती मालिकेमध्ये आपले स्वागत आहे. आज आपण अशा एका विषयावर बोलणार आहोत जो थेट एंटरप्राइझ WiFi सुरक्षेच्या केंद्रस्थानी आहे - 802.1X सप्लिकंट (supplicant). जर तुम्हाला कधीही प्रश्न पडला असेल की काही उपकरणे कोणत्याही पासवर्डच्या प्रॉम्प्टशिवाय तुमच्या कॉर्पोरेट नेटवर्कशी कशी जोडली जातात, तर इतर उपकरणांवर सर्टिफिकेट एरर आणि हेल्पडेस्क तिकीट का तयार होतात, तर हा भाग तुमच्यासाठीच आहे. [medium pause] चला मूलभूत गोष्टींपासून सुरुवात करूया. 802.1X सप्लिकंट हा क्लायंट डिव्हाइसवरील - लॅपटॉप, स्मार्टफोन, टॅबलेट - एक सॉफ्टवेअर घटक आहे, जो IEEE 802.1X द्वारे सुरक्षित असलेल्या नेटवर्कमध्ये सामील होण्याचा प्रयत्न करताना ऑथेंटिकेशन हँडशेक हाताळतो. याला डिव्हाइसचे आयडी कार्ड सादरकर्ता समजा. नेटवर्क कोणालाही थेट प्रवेश देत नाही. ते क्रेडेंशियल्सची मागणी करते. सप्लिकंट हाच तो घटक आहे जो पुढे येतो आणि सांगतो: मी कोण आहे ते हे आहे, हे माझे सर्टिफिकेट आहे, मला प्रवेश द्या. हा मानक स्वतः - IEEE 802.1X - पोर्ट-आधारित नेटवर्क प्रवेश नियंत्रण परिभाषित करतो. ऑथेंटिकेशन यशस्वी होण्यापूर्वी, ॲक्सेस पॉइंट किंवा स्विच केवळ अतिशय मर्यादित प्रकारच्या ट्रॅफिकला अनुमती देतो: EAPOL फ्रेम्स, ज्याचा अर्थ Extensible Authentication Protocol over LAN असा आहे. इतर सर्व काही ब्लॉक केले जाते. एकदा सप्लिकंटने ऑथेंटिकेटरद्वारे RADIUS सर्व्हरकडे आपली ओळख सिद्ध केली की, पोर्ट उघडतो आणि सामान्य ट्रॅफिक सुरू होतो. [medium pause] आता, या प्रक्रियेत तीन मुख्य घटक आहेत. पहिला, सप्लिकंट - म्हणजेच क्लायंट डिव्हाइस. दुसरा, ऑथेंटिकेटर - तुमचा ॲक्सेस पॉइंट किंवा स्विच, जसे की Cisco Meraki, HPE Aruba, Ruckus, किंवा Juniper Mist सारखे हार्डवेअर. तिसरा, ऑथेंटिकेशन सर्व्हर - जो बहुधा एक RADIUS सर्व्हर असतो, जो Microsoft Entra ID किंवा Okta सारख्या डिरेक्टरीच्या विरूद्ध क्रेडेंशियल्सची पडताळणी करतो. सप्लिकंट EAPOL-Start मेसेज पाठवून प्रक्रिया सुरू करतो. ऑथेंटिकेटर ओळखीसाठी EAP-Request ने प्रतिसाद देतो. सप्लिकंट त्याच्या ओळखीसह उत्तर देतो. ती ओळख RADIUS सर्व्हरकडे पाठवली जाते, जो नंतर मान्य केलेल्या EAP पद्धतीने सप्लिकंटला चॅलेंज करतो. जर सर्व काही व्यवस्थित असेल, तर RADIUS सर्व्हर Access-Accept पाठवतो, पोर्ट उघडतो आणि डिव्हाइस योग्य VLAN वर ठेवले जाते. [medium pause] चला EAP पद्धतींबद्दल बोलूया, कारण याच ठिकाणी बहुतेक डिप्लॉयमेंटचे निर्णय घेतले जातात. EAP-TLS - म्हणजेच Extensible Authentication Protocol with Transport Layer Security - हे एक सुवर्ण मानक आहे. यासाठी क्लायंट आणि सर्व्हर दोन्हीकडे प्रमाणपत्रे सादर करणे आवश्यक असते. परस्पर प्रमाणीकरण. कोणतेही पासवर्ड नाही. क्लायंट प्रमाणपत्र डिव्हाइसची ओळख सिद्ध करते; सर्व्हर प्रमाणपत्र नेटवर्क वैध असल्याचे सिद्ध करते, ज्यामुळे इव्हिल ट्विन हल्ल्यांपासून (evil twin attacks) संरक्षण होते जेथे बनावट ॲक्सेस पॉइंट क्रेडेंशियल्स चोरण्याचा प्रयत्न करतो. EAP-TLS बारा स्टेप्समध्ये पूर्ण होते आणि संपूर्ण प्रक्रियेत पब्लिक-प्रायव्हेट की क्रिप्टोग्राफीचा वापर करते. WPA3-Enterprise च्या सर्वोच्च सुरक्षा मोडमध्ये हीच पद्धत आवश्यक आहे, आणि ती डिव्हाइस ओळख पडताळणीसाठी NIST SP 800-171 च्या आवश्यकतांशी सुसंगत आहे. PEAP - Protected EAP - हा अशा संस्थांसाठी अधिक सामान्य सुरुवातीचा बिंदू आहे ज्यांच्याकडे अद्याप पूर्ण PKI उपलब्ध नाही. PEAP हे पासवर्ड-आधारित आतील पद्धत, विशेषतः MSCHAPv2 ला TLS टनेलमध्ये गुंडाळते. सर्व्हर प्रमाणपत्र सादर करतो; क्लायंट करत नाही. याचा अर्थ डिप्लॉयमेंट सोपे आहे - तुम्हाला क्लायंट प्रमाणपत्रे प्रदान करण्याची आवश्यकता नाही - परंतु ते कमी सुरक्षित आहे. MSCHAPv2 हे MD4 हॅशिंग वापरते, जे 1995 पासून असुरक्षित मानले गेले आहे. जर एखादा युझर विश्वासार्ह वाटणारे प्रमाणपत्र सादर करणाऱ्या बनावट ॲक्सेस पॉइंटशी कनेक्ट झाला, तर त्यांचे क्रेडेंशियल्स चोरले जाऊ शकतात. म्हणूनच PEAP चालवताना क्लायंटच्या बाजूने सर्व्हर प्रमाणपत्र प्रमाणीकरण करणे अत्यंत अनिवार्य आहे. [medium pause] आता आपण सप्लिकंट (supplicant) कडे वळूयात - विशेषतः मूळ OS सप्लिकंट्स आणि थर्ड-पार्टी क्लायंट सॉफ्टवेअर यामधील निवड. प्रत्येक प्रमुख ऑपरेटिंग सिस्टम अंगभूत 802.1X सप्लिकंटसह येते. Windows ने XP पासून, Wireless AutoConfig आणि Wired AutoConfig सर्व्हिसेसद्वारे याला मूळतः सपोर्ट केला आहे. macOS आणि iOS त्यांच्या नेटवर्क कॉन्फिगरेशन प्रोफाइल्सद्वारे 802.1X हाताळतात. Android त्याच्या WiFi सेटिंग्ज पॅनेलद्वारे याला सपोर्ट करते. हे मूळ सप्लिकंट्स सध्याच्या सर्व प्लॅटफॉर्मवर EAP-TLS आणि PEAP-MSCHAPv2 कव्हर करतात. मूळ सप्लिकंट्सचा फायदा उघड आहे: डिप्लॉय करण्यासाठी कोणतेही अतिरिक्त सॉफ्टवेअर नाही, कोणताही परवाना खर्च नाही, स्वयंचलित OS सुरक्षा अपडेट्स आणि ऑपरेटिंग सिस्टमच्या प्रमाणपत्र स्टोअरसह घट्ट एकत्रीकरण. व्यवस्थापित (managed) डिव्हाइस ताफ्यांसाठी - Microsoft Intune मध्ये नोंदणीकृत Windows मशिन्स, Jamf द्वारे व्यवस्थापित केलेले Macs - तुम्ही MDM द्वारे 802.1X कॉन्फिगरेशन प्रोफाइल्स गुप्तपणे पुश करू शकता आणि युझर्सना कोणतीही सूचना दिसत नाही. प्रत्येक वेळी डिव्हाइस रेंजमध्ये आल्यावर आपोआप प्रमाणीकृत होते. विशिष्ट परिस्थितींमध्ये थर्ड-पार्टी सप्लिकंट्स (supplicants) उपयोगी पडतात. जर तुम्ही Cisco इन्फ्रास्ट्रक्चर वापरत असाल आणि तुम्हाला EAP-FAST - Cisco ची प्रोप्रायटरी EAP पद्धत - वापरायची असेल, तर तुम्हाला Cisco च्या क्लायंट सॉफ्टवेअरची आवश्यकता असेल, जे ऐतिहासिकदृष्ट्या Secure Services Client किंवा AnyConnect Network Access Manager आहे. जर तुम्हाला मिश्र-OS असलेल्या मालमत्तेमध्ये सुसंगत कॉन्फिगरेशन व्यवस्थापनाची गरज असेल आणि सप्लिकंट सेटिंग्ज लॉक डाऊन करायच्या असतील जेणेकरून वापरकर्ते चुकून त्या चुकीच्या पद्धतीने कॉन्फिगर करणार नाहीत, तर थर्ड-पार्टी क्लायंट तुम्हाला ते नियंत्रण देतो. SecureW2 च्या JoinNow सूट सारखी टूल्स ऑनबोर्डिंग एजंट्स म्हणून देखील काम करतात - ते नेटिव्ह सप्लिकंट बदलण्याऐवजी कॉन्फिगर करतात आणि वापरकर्त्यांना प्रमाणपत्र नोंदणी आणि प्रोफाइल इन्स्टॉलेशनच्या प्रक्रियेत मदत करतात. [medium pause] हे प्रत्यक्ष स्वरूपात समजून घेण्यासाठी मी तुम्हाला दोन वास्तविक परिस्थितींमधून घेऊन जातो. पहिली, एक ४०० खोल्यांचे हॉटेल. ही मालमत्ता आज PEAP-MSCHAPv2 सह WPA2-Enterprise वर स्टाफ नेटवर्क चालवते. आयटी टीमला पासवर्ड-आधारित ऑथेंटिकेशन पूर्णपणे बंद करण्यासाठी आणि क्रेडेंशियल चोरीचा धोका कमी करण्यासाठी EAP-TLS वर स्थलांतरित करायचे आहे. आव्हान असे आहे: कर्मचाऱ्यांची डिव्हाइसेस ही Intune द्वारे व्यवस्थापित केलेल्या Windows लॅपटॉप्स, प्रॉपर्टी मॅनेजमेंट सॉफ्टवेअरसाठी वापरल्या जाणाऱ्या वैयक्तिक Android फोन्स आणि बॅक-ऑफिसमधील काही जुन्या Windows 7 मशिन्स यांचे मिश्रण आहे. येथे टप्प्याटप्प्याने मार्ग अवलंबला जातो. व्यवस्थापित केलेल्या Windows फ्लिटपासून सुरुवात करा. एक Intune कॉन्फिगरेशन प्रोफाइल पुश करा जे RADIUS सर्व्हरचे रूट CA प्रमाणपत्र इन्स्टॉल करते, WiFi प्रोफाइल EAP-TLS साठी कॉन्फिगर करते आणि अंतर्गत PKI कडून SCEP-आधारित प्रमाणपत्र नोंदणी सुरू करते. ती डिव्हाइसेस पहिल्या दिवसापासून आपोआप ऑथेंटिकेट होतात. Android BYOD डिव्हाइसेससाठी, एक सेल्फ-सर्व्हिस ऑनबोर्डिंग पोर्टल तैनात करा - वापरकर्ते एका URL ला भेट देतात, कॉन्फिगरेशन प्रोफाइल डाउनलोड करतात आणि सप्लिकंट त्यांच्यासाठी कॉन्फिगर केला जातो. जुन्या Windows 7 मशिन्स कडक सर्व्हर प्रमाणपत्र व्हॅलिडेशन लागू करून PEAP वरच राहतात आणि जोपर्यंत त्या वापरातून बाहेर काढल्या जात नाहीत, तोपर्यंत मर्यादित प्रवेशासह एका स्वतंत्र VLAN मध्ये विलग केल्या जातात. [medium pause] दुसरी परिस्थिती: २०० स्टोअर्स असलेली एक मोठी रिटेल साखळी. प्रत्येक स्टोअरमध्ये पॉईंट-ऑफ-सेल (POS) टर्मिनल्स, कर्मचाऱ्यांचे टॅबलेट्स आणि एक गेस्ट WiFi नेटवर्क यांचे मिश्रण आहे. PCI-DSS नुसार कार्डधारक डेटा वातावरण इतर नेटवर्क सेगमेंट्सपासून वेगळे असणे आवश्यक आहे. रिटेलर स्टाफ आणि POS नेटवर्कवर 802.1X वापरतो, ज्यामध्ये VLAN असाइनमेंट प्रमाणपत्र वैशिष्ट्यांद्वारे (certificate attributes) चालवले जाते. एक POS टर्मिनल "POS" च्या संस्थात्मक युनिटसह डिव्हाइस प्रमाणपत्र सादर करते - RADIUS पॉलिसी त्याला PCI VLAN मध्ये नियुक्त करते. कर्मचाऱ्याचे टॅबलेट "Staff" असलेले प्रमाणपत्र सादर करते - ते स्टाफ VLAN वर जाते. गेस्ट डिव्हाइसेस पूर्णपणे वेगळ्या SSID ला जोडतात, जे Captive Portal सोल्यूशनद्वारे हाताळले जाते. POS टर्मिनल्सवरील सप्लिकंट कॉन्फिगरेशन MDM द्वारे लॉक डाऊन केले जाते. यामध्ये कोणत्याही वापरकर्त्याच्या हस्तक्षेपाची आवश्यकता नसते. टर्मिनल्स बूट झाल्यावर शांतपणे ऑथेंटिकेट होतात. SCEP द्वारे प्रमाणपत्र नूतनीकरण स्वयंचलित केले जाते, त्यामुळे प्रमाणपत्रांची मुदत संपल्यावर कोणताही मॅन्युअल हस्तक्षेप करावा लागत नाही. [medium pause] आता, अंमलबजावणीतील त्रुटी. मी तुम्हाला चार सर्वात सामान्य त्रुटी सांगतो. क्रमांक एक: PEAP डिप्लॉयमेंटवर सर्व्हर सर्टिफिकेट व्हॅलिडेशन नसणे. जर तुम्ही RADIUS सर्व्हरचे सर्टिफिकेट व्हॅलिडेशन करण्यासाठी आणि सर्व्हरचे नाव तपासण्यासाठी सप्लीकंट कॉन्फिगर केले नाही, तर युजर्स फसव्या ऍक्सेस पॉईंटशी कनेक्ट होण्यासाठी असुरक्षित ठरतात. सप्लीकंट प्रोफाइलमध्ये नेहमी ट्रस्टेड रूट CA आणि सर्व्हरचे नाव नक्की नमूद करा. क्रमांक दोन: सर्टिफिकेटची मुदत संपल्यामुळे मोठ्या प्रमाणावर ऑथेंटिकेशन अयशस्वी होणे. क्लायंट सर्टिफिकेट्सना वैधतेचा कालावधी असतो. जर तुमच्याकडे SCEP किंवा NDES द्वारे ऑटोमेटेड रिन्यूअलची व्यवस्था नसेल, तर तुम्हाला अशा कठीण परिस्थितीचा सामना करावा लागेल जिथे शेकडो डिव्हाइसेसचे ऑथेंटिकेशन एकाच वेळी थांबेल. सेवा लाईव्ह करण्यापूर्वी रिन्यूअल ऑटोमेशन तयार करा. क्रमांक तीन: विसंगत सप्लीकंट वर्तन असलेले BYOD डिव्हाइसेस. विशेषतः Android मधील विविध उत्पादकांमध्ये 802.1X चे सपोर्ट विखुरलेले आहे. काही व्हर्जनमध्ये WiFi प्रोफाइल स्वीकारण्यापूर्वी युजरला मॅन्युअली CA सर्टिफिकेट इन्स्टॉल करावे लागते. ही पायरी हाताळणारे ऑनबोर्डिंग पोर्टल हेल्पडेस्कवरील कामाचा ताण लक्षणीयरीत्या कमी करते. क्रमांक चार: Windows 11 चे नवीन अपडेट्स सप्लीकंट कॉन्फिगरेशन बिघडवतात. Microsoft ने अनेक Windows 11 अपडेट्समध्ये 802.1X चे वर्तन बदलले आहे. विशेषतः, 24H2 अपडेटने मूळ सप्लीकंटद्वारे EAP-TLS फॉलबॅक हाताळण्याच्या पद्धतीमध्ये बदल केले आहेत. उत्पादन क्षेत्रात लागू करण्यापूर्वी नवीन OS व्हर्जनवर तुमच्या सप्लीकंट प्रोफाइलची चाचणी घ्या. [medium pause] आता काही जलद प्रश्न. काय IoT डिव्हाइसेस 802.1X ला सपोर्ट करू शकतात? बहुतेक करू शकत नाहीत. IoT डिव्हाइसेसमध्ये सहसा सप्लीकंट नसतोच. यासाठीचा पर्याय म्हणजे MAC Authentication Bypass - MAB - जिथे RADIUS सर्व्हर डिव्हाइसच्या MAC ऍड्रेसच्या आधारे त्याचे ऑथेंटिकेशन करतो. MAC ऍड्रेस स्पूफ केले जाऊ शकतात, त्यामुळे MAB डिव्हाइसेस नेहमी कडक फायरवॉल नियम असलेल्या एका वेगळ्या IoT VLAN वरच असायला हवेत. मला 802.1X चालवण्यासाठी PKI ची गरज आहे का? PEAP साठी, नाही - तुम्हाला फक्त RADIUS सर्व्हरवर सर्व्हर सर्टिफिकेटची आवश्यकता असते. EAP-TLS साठी, होय - क्लायंट सर्टिफिकेट जारी करण्यासाठी तुम्हाला PKI ची आवश्यकता असते. क्लाउड-आधारित PKI सेवा इन्फ्रास्ट्रक्चरचा खर्च लक्षणीयरीत्या कमी करतात. 802.1X Purple च्या नेटवर्क ऍक्सेस प्लॅटफॉर्मशी कसे जोडले जाते? Purple तुमच्या सद्य हार्डवेअरवर - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist आणि इतर - वर क्लाउड ओव्हरले म्हणून काम करते. Staff WiFi नेटवर्कवर, Purple चे SecurePass ॲड-ऑन तुमच्या आयडेंटिटी प्रोव्हाइडरशी - Microsoft Entra ID, Okta किंवा Google Workspace - जोडले जाते जेणेकरून ऑन-प्रिमायसेस RADIUS इन्फ्रास्ट्रक्चरची आवश्यकता न पडता 802.1X ऑथेंटिकेशन लागू करता येईल आणि प्रति-युजर VLAN पॉलिसी सेट करता येतील. [medium pause] थोडक्यात सांगायचे तर: 802.1X सप्लीकंट हा डिव्हाइस-साइड एजंट आहे जो पोर्ट-आधारित नेटवर्क ऍक्सेस कंट्रोल कार्यरत करतो. तुमची EAP पद्धतीची निवड - कमाल सुरक्षेसाठी EAP-TLS, ट्रान्झिशनल पर्याय म्हणून PEAP - तुमच्या PKI च्या गरजा आणि सप्लीकंट कॉन्फिगरेशनचा दृष्टिकोन ठरवते. MDM द्वारे डिप्लॉय केल्यावर मूळ OS सप्लीकंट्स बहुतांश मॅनेज्ड डिव्हाइसच्या गरजा पूर्ण करतात. थर्ड-पार्टी क्लायंट्स विशिष्ट प्रकरणांमध्ये अधिक उपयुक्त ठरतात: प्रोप्रायटरी EAP पद्धती, सुसंगत कॉन्फिगरेशनची आवश्यकता असलेले मिक्स-OS डिव्हाइसेस किंवा सेल्फ-सर्व्हिस BYOD ऑनबोर्डिंग.लक्षात ठेवण्यासारख्या तीन महत्त्वाच्या गोष्टी: प्रत्येक supplicant profile वर तुमच्या RADIUS सर्व्हर प्रमाणपत्राची पडताळणी करा, EAP-TLS मोठ्या प्रमाणावर तैनात करण्यापूर्वी प्रमाणपत्र नूतनीकरण स्वयंचलित करा, आणि 802.1X ला सपोर्ट न करू शकणारे डिव्हाइसेस - IoT, जुने हार्डवेअर - यांना MAC Authentication Bypass चा पर्याय वापरून समर्पित VLANs वर वेगळे करा. तुमच्या नेटवर्क ऍक्सेस आर्किटेक्चरसोबत Purple कसे समाकलित होते याबद्दल अधिक माहितीसाठी, purple dot ai ला भेट द्या. ऐकल्याबद्दल धन्यवाद.

header_image.png

मुख्य सारांश (Executive Summary)

जेव्हा एखादे डिव्हाइस एंटरप्राइझ नेटवर्कशी कनेक्ट होते, तेव्हा त्याची ओळख सिद्ध करण्यासाठी 802.1X supplicant हा सॉफ्टवेअर घटक जबाबदार असतो. मोठ्या ठिकाणांवरील IT मॅनेजर्स आणि नेटवर्क आर्किटेक्ट्ससाठी, हेल्पडेस्क तिकिटे तयार न करता सुरक्षित नेटवर्क ॲक्सेस मिळवण्यासाठी supplicant कसे कार्य करते हे समजून घेणे अत्यंत आवश्यक आहे. हे मार्गदर्शक IEEE 802.1X ऑथेंटिकेशनमधील डिव्हाइस-साइड एजंटचे रहस्य उलगडते, ज्यामध्ये मूळ OS क्षमतांची तुलना थर्ड-पार्टी supplicant सॉफ्टवेअरशी केली आहे. आपण EAP-TLS आणि PEAP-MSCHAPv2 साठी supplicants कसे कॉन्फिगर करायचे हे तपासणार आहोत, हॉस्पिटॅलिटी आणि रिटेलमधील वास्तविक उपयोजन परिस्थितींचा शोध घेणार आहोत आणि ॲक्सेस ऑप्टिमाइझ करण्यासाठी योग्य supplicant कॉन्फिगरेशन आयडेंटिटी-बेस्ड नेटवर्कशी (Identity-Based Networks) कसे समाकलित होते याचे तपशील पाहणार आहोत. तुम्ही 200 खोल्यांचे हॉटेल व्यवस्थापित करत असाल किंवा 80,000 पेक्षा जास्त आसने असलेले सक्रिय ठिकाण, सुरक्षित, विश्वासार्ह WiFi तयार करण्यासाठी योग्य supplicant कॉन्फिगरेशन हा एक महत्त्वाचा पाया आहे.

सखोल तांत्रिक माहिती (Deep Tech Dive)

IEEE 802.1X मानक पोर्ट-आधारित नेटवर्क ॲक्सेस नियंत्रण परिभाषित करते. हे एका सोप्या गृहीतकावर कार्य करते: एखादे डिव्हाइस आपली ओळख सिद्ध करेपर्यंत नेटवर्कच्या टोकावर सर्व ट्रॅफिक ब्लॉक करणे. या प्रक्रियेमध्ये supplicant हा क्लायंट-साइडचा भागीदार असतो.

802.1X चे तीन घटक

ऑथेंटिकेशनसाठी तीन स्वतंत्र घटकांची आवश्यकता असते:

  1. Supplicant: क्लायंट डिव्हाइस (लॅपटॉप, स्मार्टफोन किंवा टॅब्लेट) जे नेटवर्क ॲक्सेसची विनंती करत आहे.
  2. Authenticator: नेटवर्क ॲक्सेस डिव्हाइस, जसे की Cisco Meraki, HPE Aruba, Ruckus, किंवा Juniper Mist ॲक्सेस पॉइंट.
  3. Authentication Server: RADIUS सर्व्हर जो Microsoft Entra ID किंवा Okta सारख्या आयडेंटिटी प्रदाताच्या विरूद्ध क्रेडेंशियल्सची पडताळणी करतो.

ऑथेंटिकेशनच्या आधी, authenticator चे पोर्ट अनधिकृत स्थितीत असते, ज्यामध्ये फक्त Extensible Authentication Protocol over LAN (EAPOL) ट्रॅफिकला परवानगी दिली जाते. Supplicant ही प्रक्रिया EAPOL-Start फ्रेमसह सुरू करतो. Authenticator ओळखीची विनंती करतो आणि supplicant त्याला प्रतिसाद देतो. ही ओळख RADIUS सर्व्हरकडे पाठवली जाते, जो वापरायची EAP पद्धत ठरवतो. यशस्वी पडताळणीनंतर, RADIUS सर्व्हर Access-Accept संदेश पाठवतो, पोर्ट अधिकृत स्थितीत बदलते आणि डिव्हाइस सामान्यतः विशिष्ट VLAN ला नियुक्त केले जाते.

architecture_overview.png

EAP पद्धती: Supplicant ची भाषा

Supplicant आणि RADIUS सर्व्हरने Extensible Authentication Protocol (EAP) पद्धतीवर सहमत असणे आवश्यक आहे. EAP पद्धतीची निवड सुरक्षा स्थिती आणि supplicant वरील कॉन्फिगरेशनचा भार ठरवते.

EAP-TLS (Transport Layer Security) EAP-TLS ला प्रमाणपत्र-आधारित परस्पर प्रमाणीकरण (mutual authentication) आवश्यक आहे. सप्लिकंट त्याची ओळख सिद्ध करण्यासाठी क्लायंट प्रमाणपत्र प्रदान करतो आणि RADIUS सर्व्हर नेटवर्कची वैधता सिद्ध करण्यासाठी सर्व्हर प्रमाणपत्र प्रदान करतो. ही पासवर्ड-मुक्त पद्धत क्रेडेन्शियल चोरी दूर करते आणि NIST SP 800-171 सारख्या कठोर सुरक्षा फ्रेमवर्कद्वारे आवश्यक आहे. सप्लिकंट हे जारी करणाऱ्या सर्टिफिकेट ऑथॉरिटी (CA) वर विश्वास ठेवण्यासाठी आणि वैध क्लायंट प्रमाणपत्र धारण करण्यासाठी कॉन्फिगर केलेले असणे आवश्यक आहे.

PEAP (Protected EAP) ज्या परिस्थितीमध्ये संपूर्ण पब्लिक की इन्फ्रास्ट्रक्चर (PKI) व्यवहार्य नसते, तिथे PEAP मोठ्या प्रमाणावर वापरले जाते. हे एका सुरक्षित TLS बोगद्यामध्ये अंतर्गत प्रमाणीकरण पद्धत (सहसा MSCHAPv2) समाविष्ट करते. RADIUS सर्व्हर प्रमाणपत्र प्रदान करतो, परंतु सप्लिकंटला फक्त युझरनेम आणि पासवर्ड प्रदान करणे आवश्यक असते. जरी PEAP तैनात करणे सोपे असले, तरी सप्लिकंट सर्व्हर प्रमाणपत्राची पडताळणी करण्यासाठी काटेकोरपणे कॉन्फिगर केलेले नसल्यास क्रेडेन्शियल कापणीसाठी ते अत्यंत असुरक्षित असते.

अंमलबजावणी मार्गदर्शक

802.1X तैनात करताना, IT टीम्सना ऑपरेटिंग सिस्टममध्ये तयार केलेले मूळ (native) सप्लिकंट वापरणे किंवा थर्ड-पार्टी सप्लिकंट सॉफ्टवेअर तैनात करणे यापैकी एक निवडणे आवश्यक आहे.

मूळ OS सप्लिकंट्स (Native OS Supplicants)

प्रत्येक आधुनिक ऑपरेटिंग सिस्टममध्ये मूळ 802.1X सप्लिकंट समाविष्ट असते. Windows हे Wired AutoConfig आणि WLAN AutoConfig सेवांचा वापर करते. Apple उपकरणे Network Profiles चा वापर करतात. Android हे त्याच्या WiFi सेटिंग्जमध्ये समाविष्ट करते.

मूळ सप्लिकंट्स हे व्यवस्थापित उपकरणांसाठी (managed fleets) आदर्श आहेत. Microsoft Intune किंवा Jamf सारख्या मोबाईल डिव्हाइस मॅनेजमेंट (MDM) प्लॅटफॉर्मचा वापर करून, IT ॲडमिन्स सुलभतेने कॉन्फिगरेशन प्रोफाइल पाठवू शकतात जे SCEP द्वारे SSID, EAP पद्धत, विश्वसनीय रूट CAs आणि प्रमाणपत्र नोंदणी प्रक्रिया परिभाषित करतात. वापरकर्त्याचा अनुभव सुलभ असतो; डिव्हाइस पार्श्वभूमीत प्रमाणीकृत होते.

थर्ड-पार्टी सप्लिकंट सॉफ्टवेअर (Third-Party Supplicant Software)

थर्ड-पार्टी सप्लिकंट्स, जसे की Cisco AnyConnect Network Access Manager किंवा SecureW2 JoinNow, विशिष्ट परिस्थितींमध्ये आवश्यक असतात:

  • प्रोप्रायटरी प्रोटोकॉल: Cisco EAP-FAST वापरण्यासाठी Cisco सप्लिकंट आवश्यक आहे.
  • BYOD ऑनबोर्डिंग: थर्ड-पार्टी टूल्स सहसा ऑनबोर्डिंग सहाय्यक म्हणून काम करतात, जे वापरकर्त्यांना अनमॅनेज्ड उपकरणांवर प्रमाणपत्रे स्थापित करण्यासाठी मार्गदर्शन करतात जिथे मूळ कॉन्फिगरेशन क्लिष्ट असते (विशेषतः खंडित Android वातावरणात).
  • कठोर कॉन्फिगरेशन नियंत्रण: थर्ड-पार्टी सप्लिकंट्स सेटिंग्ज लॉक करू शकतात, ज्यामुळे वापरकर्ते सर्व्हर प्रमाणपत्र पडताळणी अक्षम करण्यापासून रोखले जातात.

native_vs_thirdparty_comparison.png

सर्व्हर प्रमाणपत्र पडताळणी कॉन्फिगर करणे

निवडलेल्या सप्लिकंटची पर्वा न करता, सर्व्हर प्रमाणपत्र पडताळणी कॉन्फिगर करणे अत्यंत महत्त्वाचे आहे, विशेषतः PEAP साठी. जर सप्लिकंट RADIUS सर्व्हरच्या प्रमाणपत्राची पडताळणी करत नसेल, तर ते तुमच्या SSID चे अनुकरण करणाऱ्या फसव्या ॲक्सेस पॉइंटवर आंधळेपणाने क्रेडेन्शियल्स पाठवेल. Windows मध्ये, याचा अर्थ PEAP गुणधर्मांमध्ये "Verify the server's identity by validating the certificate" टिक करणे, Trusted Root Certification Authority (Root CA) निवडणे आणि क्लायंटने ज्या अचूक सर्व्हर नावांची अपेक्षा ठेवली पाहिजे ती निर्दिष्ट करणे असा होतो. Apple उपकरणांवर, कॉन्फिगरेशन प्रोफाइलमध्ये स्पष्टपणे विश्वसनीय प्रमाणपत्रांची सूची असणे आवश्यक आहे.

सर्वोत्तम पद्धती

  1. सर्व्हर प्रमाणीकरण लागू करा: PEAP तैनात करताना, RADIUS सर्व्हर प्रमाणपत्र प्रमाणित करण्यासाठी सप्लिकंट्स कॉन्फिगर केल्याशिवाय कधीही असे करू नका. "evil twin" हल्ल्यांविरुद्धचा हा मुख्य संरक्षणात्मक मार्ग आहे.
  2. प्रमाणपत्र जीवनचक्र स्वयंचलित करा: EAP-TLS वापरताना, SCEP किंवा NDES चा वापर करून MDM द्वारे क्लायंट प्रमाणपत्र नोंदणी आणि नूतनीकरण स्वयंचलित करा. मॅन्युअल प्रमाणपत्र व्यवस्थापन टिकत नाही आणि यामुळे अचानक प्रमाणीकरण अपयशी ठरू शकते.
  3. ओळख आधारावर वेगळे करा: प्रमाणित ओळखीच्या आधारावर VLANs नियुक्त करण्यासाठी RADIUS गुणधर्मांचा वापर करा. कर्मचाऱ्यांची उपकरणे आणि POS टर्मिनल्सनी त्याच SSID वर प्रमाणीकृत केले पाहिजे परंतु ते पूर्णपणे भिन्न VLANs वर गेले पाहिजेत.
  4. IoT साठी नियोजन: बऱ्याच IoT उपकरणांमध्ये 802.1X सप्लिकंट्स नसतात. या उपकरणांसाठी, MAC Address Bypass (MAB) वापरा, परंतु ते समर्पित IoT VLAN वर काटेकोरपणे वेगळे ठेवले गेल्याची खात्री करा.

त्रुटी निवारण आणि जोखीम कमी करणे

जेव्हा एखादे उपकरण कनेक्ट करण्यात अपयशी ठरते, तेव्हा समस्या बहुधा क्लायंट कॉन्फिगरेशन किंवा प्रमाणपत्र साखळीमध्ये असते.

  • "कनेक्ट केलेले आहे, इंटरनेट नाही": हे सहसा VLAN असाइनमेंट अपयश किंवा प्रमाणीकरणानंतरच्या DHCP समस्यांकडे निर्देश करते. Access-Accept संदेशामध्ये योग्य Tunnel-Private-Group-Id असल्याचे सत्यापित करण्यासाठी RADIUS लॉग तपासा.
  • Windows 11 वर सुप्त अपयश: अलीकडील Windows 11 वैशिष्ट्य अद्यतनांनी (जसे की 24H2) मूळ सप्लिकंट EAP-TLS फॉलबॅक कसे हाताळतो ते बदलले आहे. व्यापक तैनातीपूर्वी नेहमी नवीन OS बिल्ड्सवर प्रोफाइलची चाचणी घ्या.
  • प्रमाणपत्राची मुदत संपणे: उपकरणांचा समूह अचानक ऑफलाइन झाल्यास, क्लायंट प्रमाणपत्रांचा वैधता कालावधी तपासा. तुमचे MDM त्यांची मुदत संपण्यापूर्वी यशस्वीरित्या नूतनीकरण करत असल्याची खात्री करा.

ROI आणि व्यावसायिक प्रभाव

योग्यरित्या कॉन्फिगर केलेल्या सप्लिकंट्ससह 802.1X वर स्थलांतरित केल्याने मोजता येण्याजोगे व्यावसायिक मूल्य मिळते. सामायिक पासवर्ड (Pre-Shared Keys/PSK) काढून टाकून, कर्मचारी सोडून गेल्यावर पासवर्ड बदलण्याचा ऑपरेशनल खर्च तुम्ही पूर्णपणे काढून टाकता. EAP-TLS वर जाण्याने पासवर्ड-रीसेट तिकीट पूर्णपणे संपुष्टात येऊ शकतात, ज्यामुळे सर्व्हिस डेस्कसाठी लक्षणीय उत्पादक तास मोकळे होतात.

शिवाय, 802.1X एकाच SSID वर ओळख-आधारित नेटवर्क विलगीकरण सक्षम करते. Guest WiFi , कर्मचारी आणि ऑपरेशन्ससाठी स्वतंत्र नेटवर्क प्रसारित करण्याऐवजी, एकच SSID क्लायंट क्रेडेंशियल्सवर आधारित ट्रॅफिक सुरक्षितपणे रूट करू शकतो. हे चॅनेल हस्तक्षेप कमी करते आणि एकूण नेटवर्क कार्यप्रदर्शन सुधारते, जे थेट हार्डवेअर-अज्ञेयवादी नेटवर्क व्यवस्थापनासाठी Purple च्या क्लाउड ओव्हरले दृष्टिकोनाला समर्थन देते. सखोल विश्लेषणात्मक माहितीसाठी, आमचे WiFi Analytics वैशिष्ट्य एक्सप्लोर करा.

महत्वाच्या व्याख्या

802.1X Supplicant

क्लायंट डिव्हाइसवरील सॉफ्टवेअर घटक जो IEEE 802.1X सुरक्षित नेटवर्कमध्ये सामील होण्यासाठी आवश्यक ऑथेंटिकेशन प्रक्रिया हाताळतो.

एखादे डिव्हाइस नेटवर्कवर आपली ओळख कशी सिद्ध करते हे परिभाषित करण्यासाठी IT टीम्स supplicant कॉन्फिगर करतात.

Authenticator

नेटवर्क डिव्हाइस (स्विच किंवा ॲक्सेस पॉईंट) जे supplicant यशस्वीरित्या ऑथेंटिकेट होईपर्यंत ट्रॅफिक ब्लॉक करते.

Cisco Meraki किंवा HPE Aruba सारख्या विक्रेत्यांचे हार्डवेअर ऑथेंटिकेटर म्हणून काम करते, जे डिव्हाइस आणि सर्व्हर दरम्यान मेसेज पाठवते.

RADIUS

रिमोट ऑथेंटिकेशन डायल-इन युझर सर्व्हिस. supplicant द्वारे प्रदान केलेली क्रेडेंशियल सत्यापित करणारा सर्व्हर.

RADIUS सर्व्हर ॲक्सेस देण्यापूर्वी Okta किंवा Microsoft Entra ID सारख्या डिरेक्ट्रीज विरुद्ध ओळख तपासतो.

EAP-TLS

ट्रान्सपोर्ट लेयर सिक्युरिटीसह एक्सटेन्सिबल ऑथेंटिकेशन प्रोटोकॉल. एक ऑथेंटिकेशन पद्धत ज्यामध्ये क्लायंट आणि सर्व्हर दोन्हीच्या डिजिटल सर्टिफिकेटची आवश्यकता असते.

एंटरप्राइझ नेटवर्कसाठी सर्वात सुरक्षित पद्धत मानली जाते, ज्यामुळे पासवर्डची आवश्यकता नाहीशी होते.

PEAP

प्रोटेक्टेड एक्सटेन्सिबल ऑथेंटिकेशन प्रोटोकॉल. एक ऑथेंटिकेशन पद्धत जी पासवर्ड-आधारित ऑथेंटिकेशन सुरक्षित करण्यासाठी एक सुरक्षित TLS टनेल तयार करते.

सामान्यतः BYOD वातावरणात वापरले जाते जेथे व्यवस्थापित न केलेल्या डिव्हाइसेसवर क्लायंट सर्टिफिकेट्स उपयोजित करणे अत्यंत गुंतागुंतीचे असते.

EAPOL

Extensible Authentication Protocol over LAN. Supplicant आणि authenticator दरम्यान EAP मेसेज एन्कॅप्स्युलेट करण्यासाठी वापरला जाणारा प्रोटोकॉल.

ऑथेंटिकेशनपूर्वी, EAPOL हा एकमेव ट्रॅफिकचा प्रकार आहे ज्याला ऑथेंटिकेटर पोर्टमधून परवानगी देतो.

MAC Authentication Bypass (MAB)

एक पर्यायी ऑथेंटिकेशन पद्धत जिथे नेटवर्क उपकरणाचा MAC address त्याची ओळख म्हणून वापरते.

प्रिंटर, कॅमेरा आणि IoT उपकरणांसाठी वापरले जाते ज्यांच्याकडे 802.1X supplicant नाही.

VLAN Assignment

ऑथेंटिकेट केलेल्या उपकरणाला डायनॅमिकली विशिष्ट व्हर्च्युअल नेटवर्क सेगमेंटवर ठेवण्याची प्रक्रिया.

RADIUS सर्व्हर supplicant च्या ओळखीच्या आधारावर ऑथेंटिकेटरला कोणत्या VLAN वर असाइन करायचे ते सांगतो.

सोडवलेली उदाहरणे

एक २०० खोल्यांच्या हॉटेलला त्यांच्या कर्मचाऱ्यांच्या नेटवर्कची सुरक्षा करायची आहे. सध्या ते शेअर केलेल्या पासवर्डसह WPA2-Personal वापरत आहेत, पण त्यांना आता 802.1X वर स्थलांतरित व्हायचे आहे. कर्मचारी शेड्युलिंगसाठी कंपनीच्या मालकीचे Windows लॅपटॉप आणि वैयक्तिक Android फोन यांचे मिश्रण वापरतात. त्यांनी supplicants कसे कॉन्फिगर करावेत?

हॉटेलने हायब्रीड दृष्टीकोन अवलंबला पाहिजे. कॉर्पोरेट Windows लॅपटॉपसाठी, त्यांनी Microsoft Intune द्वारे कॉन्फिगर केलेले नेटिव्ह Windows supplicant वापरावे. MDM प्रोफाइलने EAP-TLS सेटिंग्ज लागू केल्या पाहिजेत, Root CA इंस्टॉल केले पाहिजे आणि SCEP द्वारे क्लायंट सर्टिफिकेट एनरोलमेंट स्वयंचलित केले पाहिजे. वैयक्तिक Android फोनसाठी, त्यांनी सेल्फ-सर्व्हिस पोर्टलद्वारे थर्ड-पार्टी ऑनबोर्डिंग एजंट (उदा. SecureW2) उपयोजित केला पाहिजे. कर्मचारी त्यांच्या Microsoft Entra ID क्रेडेंशियलचा वापर करून पोर्टलमध्ये लॉग इन करतात आणि एजंट स्वयंचलितपणे PEAP-MSCHAPv2 साठी नेटिव्ह Android supplicant कॉन्फिगर करतो, ज्यामुळे सर्व्हर सर्टिफिकेट व्हॅलिडेशन सुरक्षितपणे लॉक केले जाईल याची खात्री होते.

परीक्षकाचे भाष्य: हा दृष्टीकोन ऑपरेशनल वास्तवाशी सुरक्षेचा समतोल राखतो. जेथे MDM नियंत्रण अस्तित्वात आहे तेथे EAP-TLS सक्तीने लागू केले जाते, ज्यामुळे कमाल सुरक्षा मिळते. BYOD साठी PEAP चा वापर केला जातो जेथे क्लायंट सर्टिफिकेट वितरण गुंतागुंतीचे असते, परंतु ऑनबोर्डिंग एजंट हे सुनिश्चित करतो की supplicant सुरक्षितपणे कॉन्फिगर केले गेले आहे, ज्यामुळे अनधिकृत ॲक्सेस पॉईंट्सचा धोका कमी होतो.

५० स्टोअर्स असलेल्या एका मोठ्या रिटेल साखळीला नवीन मोबाईल पॉइंट-ऑफ-सेल (POS) टॅब्लेट सुरू करायचे आहेत. PCI DSS ला कठोर नेटवर्क अलगाव (isolation) आवश्यक आहे. supplicant कॉन्फिगरेशनने अनुपालन कसे सुनिश्चित करावे?

टॅब्लेट्सचे व्यवस्थापन MDM द्वारे केले पाहिजे. MDM नेटिव्ह supplicant कॉन्फिगरेशन प्रोफाइल पाठवते जे EAP-TLS सक्तीने लागू करते. प्रत्येक टॅब्लेटला एक अनन्य क्लायंट सर्टिफिकेट मिळते ज्यामध्ये त्याला POS डिव्हाइस म्हणून ओळखणारे गुणधर्म असतात. जेव्हा टॅब्लेटचे supplicant ऑथेंटिकेट होते, तेव्हा RADIUS सर्व्हर हे गुणधर्म वाचतो आणि विशेषतः PCI-अनुपालक नेटवर्क सेगमेंटसाठी VLAN असाइनमेंट परत करतो. स्टोअरमधील कर्मचारी नेटवर्क सेटिंग्जमध्ये बदल करू शकणार नाहीत यासाठी supplicant कॉन्फिगरेशन पूर्णपणे लॉक केले पाहिजे.

परीक्षकाचे भाष्य: वायरलेस नेटवर्कवर PCI अनुपालन साध्य करण्यासाठी सर्टिफिकेट-आधारित VLAN असाइनमेंटसह EAP-TLS वापरणे ही सर्वात उत्तम पद्धत आहे. हे नेटवर्क सेगमेंटेशनमधून मानवी चुका दूर करते आणि डिव्हाइस चुकून कमी सुरक्षित कर्मचारी किंवा [Retail](/industries/retail) गेस्ट नेटवर्कशी कनेक्ट होणार नाही याची खात्री करते.

सराव प्रश्न

Q1. तुमची संस्था नवीन कर्मचारी BYOD नेटवर्कसाठी PEAP-MSCHAPv2 उपयोजित करत आहे. टेस्टिंग दरम्यान, तुमच्या लक्षात येते की उपकरणे त्याच SSID चे ब्रॉडकास्ट करणाऱ्या टेस्ट ऍक्सेस पॉईंटशी कनेक्ट होऊ शकतात, जरी ते तुमच्या RADIUS सर्व्हरशी जोडलेले नसले तरीही. कोणती supplicant कॉन्फिगरेशन पायरी वगळली गेली होती?

टीप: MSCHAPv2 क्रेडेंशियल पाठवण्यापूर्वी supplicant नेटवर्कची ओळख कशी सत्यापित करतो याचा विचार करा.

नमुना उत्तर पहा

सर्व्हर प्रमाणपत्र सत्यापित करण्यासाठी supplicant कॉन्फिगर केला गेला नव्हता. PEAP मध्ये, RADIUS सर्व्हरचे प्रमाणपत्र जारी करणाऱ्या विशिष्ट Root CA वर विश्वास ठेवण्यासाठी आणि सर्व्हरच्या डोमेन नावाची पडताळणी करण्यासाठी supplicant स्पष्टपणे कॉन्फिगर करणे आवश्यक आहे. याशिवाय, supplicant प्रमाणपत्र सादर करणाऱ्या कोणत्याही सर्व्हरसह TLS टनेल स्थापित करेल, ज्यामुळे वापरकर्त्याची क्रेडेंशियल बनावट ऍक्सेस पॉईंटच्या समोर उघडी पडतील.

Q2. एक विद्यापीठ त्यांचे व्यवस्थापित Windows लॅपटॉप फ्लीट PEAP कडून EAP-TLS वर स्थलांतरित करत आहे. ते MDM द्वारे नवीन कॉन्फिगरेशन प्रोफाइल पुश करतात, परंतु सर्व उपकरणे ऑथेंटिकेट होण्यास अपयशी ठरतात. RADIUS लॉग 'EAP-TLS failed SSL/TLS handshake' दाखवतात. याचे सर्वात संभाव्य कारण काय आहे?

टीप: EAP-TLS ला परस्पर ऑथेंटिकेशनची आवश्यकता असते. PEAP साठी क्लायंटला ज्याची आवश्यकता नव्हती अशी कोणती गोष्ट क्लायंटला आवश्यक आहे?

नमुना उत्तर पहा

क्लायंट उपकरणांकडे वैध क्लायंट प्रमाणपत्र नाही. EAP-TLS ला supplicant ने RADIUS सर्व्हरला प्रमाणपत्र सादर करणे आवश्यक आहे. MDM प्रोफाइल केवळ EAP पद्धत TLS वर सेट करण्यासाठीच नाही, तर ऑथेंटिकेशनचा प्रयत्न करण्यापूर्वी संस्थेच्या PKI कडून क्लायंट प्रमाणपत्राची विनंती करण्यासाठी आणि स्थापित करण्यासाठी SCEP सारख्या प्रोटोकॉलला ट्रिगर करण्यासाठी देखील कॉन्फिगर केलेले असणे आवश्यक आहे.

Q3. तुम्हाला [Healthcare](/industries/healthcare) वातावरणात ५० स्मार्ट टीव्ही नेटवर्कशी कनेक्ट करायचे आहेत. टीव्ही केवळ WPA2-Personal (Pre-Shared Key) ला सपोर्ट करतात आणि त्यांच्याकडे 802.1X supplicant नाही. कर्मचाऱ्यांच्या उपकरणांसाठी 802.1X राखत असताना तुम्ही त्यांचा ऍक्सेस कसा सुरक्षित कराल?

टीप: जर उपकरण EAP बोलू शकत नसेल, तर ऑथेंटिकेटरने ते दुसर्या मार्गाने ओळखले पाहिजे.

नमुना उत्तर पहा

तुम्ही MAC Authentication Bypass (MAB) वापरावे. ऑथेंटिकेटर RADIUS सर्व्हरला पाठवलेला युझरनेम आणि पासवर्ड म्हणून स्मार्ट टीव्हीचा MAC address वापरेल. MAC address स्पूफ केले जाऊ शकत असल्याने, RADIUS सर्व्हर या उपकरणांना अत्यंत प्रतिबंधित, आयसोलेटेड IoT VLAN वर नियुक्त करण्यासाठी कॉन्फिगर केलेला असणे आवश्यक आहे जे केवळ आवश्यक ट्रॅफिकला अनुमती देते.

या मालिकेमध्ये पुढे वाचा

Guest आणि Staff WiFi नेटवर्क्ससाठी RADIUS Authentication कॉन्फिगर करणे

हे तांत्रिक संदर्भ मार्गदर्शक एंटरप्राइझ guest आणि staff WiFi नेटवर्क्ससाठी RADIUS authentication च्या आर्किटेक्चर, कॉन्फिगरेशन आणि डिप्लॉयमेंटची रूपरेषा स्पष्ट करते. हे नेटवर्क आर्किटेक्ट्स आणि IT मॅनेजर्सना सुरक्षित, स्केलेबल वायरलेस ॲक्सेस कंट्रोल सिस्टम्स तयार करण्यासाठी आवश्यक असलेले अचूक प्रोटोकॉल्स, सुरक्षा मानके आणि ट्रबलशूटिंग पद्धती प्रदान करते.

मार्गदर्शिका वाचा →

उच्च शिक्षणामध्ये सुरक्षित BYOD आणि नेटवर्क नोंदणीसाठी SCEP कसे लागू करावे

हे तांत्रिक मार्गदर्शक नेटवर्क आर्किटेक्ट्स आणि IT व्यवस्थापकांना उच्च शिक्षण संस्थांच्या कॅम्पस नेटवर्क सुरक्षित करण्यासाठी SCEP - आधारित प्रमाणपत्र नोंदणी तैनात करण्यासाठी विक्रेता - तटस्थ ब्लूप्रिंट प्रदान करते. हे पासवर्ड - आधारित PEAP वरून 802.1X EAP-TLS वर कसे स्थलांतरित करायचे, BYOD ऑनबोर्डिंग स्वयंचलित कसे करायचे आणि मजबूत VLAN विभाजन कसे लागू करायचे याचे तपशील देते.

मार्गदर्शिका वाचा →

Server RADIUS: व्यवसायांसाठी एक सर्वसमावेशक मार्गदर्शिका

ही मार्गदर्शिका IT व्यवस्थापक, नेटवर्क आर्किटेक्ट आणि CTOs ना एंटरप्राइझ WiFi साठी server RADIUS ऑथेंटिकेशनवर एक निश्चित तांत्रिक संदर्भ प्रदान करते. यामध्ये AAA फ्रेमवर्क, 802.1X आर्किटेक्चर, EAP पद्धत निवड, क्लाउड विरुद्ध ऑन-प्रिमाइसेस डिप्लॉयमेंटचे फायदे-तोटे आणि डायनॅमिक VLAN असाइनमेंट समाविष्ट आहे. आदरातिथ्य (hospitality), रिटेल, इव्हेंट्स आणि सार्वजनिक क्षेत्रातील वेन्यू ऑपरेटर्सना असुरक्षित प्री-शेअर्ड की वरून सुरक्षित, ओळख-आधारित (identity-driven) नेटवर्क ऍक्सेस कंट्रोल आर्किटेक्चरमध्ये स्थलांतरित होण्यासाठी आवश्यक असणारे अंमलबजावणी मार्गदर्शन, वास्तविक जगातील केस स्टडीज आणि निर्णय घेण्याची फ्रेमवर्क मिळतील.

मार्गदर्शिका वाचा →