Server RADIUS: व्यवसायांसाठी एक सर्वसमावेशक मार्गदर्शिका
ही मार्गदर्शिका IT व्यवस्थापक, नेटवर्क आर्किटेक्ट आणि CTOs ना एंटरप्राइझ WiFi साठी server RADIUS ऑथेंटिकेशनवर एक निश्चित तांत्रिक संदर्भ प्रदान करते. यामध्ये AAA फ्रेमवर्क, 802.1X आर्किटेक्चर, EAP पद्धत निवड, क्लाउड विरुद्ध ऑन-प्रिमाइसेस डिप्लॉयमेंटचे फायदे-तोटे आणि डायनॅमिक VLAN असाइनमेंट समाविष्ट आहे. आदरातिथ्य (hospitality), रिटेल, इव्हेंट्स आणि सार्वजनिक क्षेत्रातील वेन्यू ऑपरेटर्सना असुरक्षित प्री-शेअर्ड की वरून सुरक्षित, ओळख-आधारित (identity-driven) नेटवर्क ऍक्सेस कंट्रोल आर्किटेक्चरमध्ये स्थलांतरित होण्यासाठी आवश्यक असणारे अंमलबजावणी मार्गदर्शन, वास्तविक जगातील केस स्टडीज आणि निर्णय घेण्याची फ्रेमवर्क मिळतील.
हे मार्गदर्शक ऐका
पॉडकास्ट ट्रान्सक्रिप्ट पहा
मुख्य सारांश (Executive summary)
hospitality , retail , transport आणि मोठ्या सार्वजनिक ठिकाणांवर कार्यरत असलेल्या IT व्यवस्थापक, नेटवर्क आर्किटेक्ट आणि CTOs साठी, वायरलेस ॲक्सेस सुरक्षित करणे हा एक महत्त्वाचा कार्यात्मक नियम आहे - हा कोणताही पर्यायी पर्याय नाही. WiFi ॲक्सेससाठी प्री-शेअर्ड की (PSK) वर अवलंबून राहणे ही एक मोठी सुरक्षा त्रुटी आहे. केवळ एका क्रेडेंशियलशी तडजोड झाल्यास संपूर्ण नेटवर्क धोक्यात येते, आणि ॲक्सेस रद्द करण्यासाठी संपूर्ण परिसरातील प्रत्येक उपकरणाचा पासवर्ड बदलावा लागतो. सर्व्हर RADIUS (Remote Authentication Dial-In User Service) आर्किटेक्चरद्वारे 802.1X ऑथेंटिकेशन लागू केल्याने ही समस्या दूर होते. प्रत्येक युझर स्वतंत्रपणे ऑथेंटिकेट होतो, ॲक्सेस त्वरित रद्द केला जाऊ शकतो, आणि नेटवर्क विभाजन डायनॅमिकपणे लागू केले जाते.
सर्व्हर RADIUS AAA फ्रेमवर्क लागू करतो: Authentication (ऑथेंटिकेशन), Authorisation (ऑथरायझेशन) आणि Accounting (अकाउंटिंग). हे Microsoft Entra ID, Okta, किंवा Google Workspace सारख्या डिरेक्ट्रींच्या विरूद्ध ओळख पडताळते, डायनॅमिक VLAN असाइनमेंटद्वारे युझर्सना योग्य नेटवर्क विभागात समाविष्ट करते आणि प्रत्येक सेशनसाठी तपशीलवार ऑडिट ट्रेल राखते. PCI DSS, GDPR, किंवा Cyber Essentials लागू असलेल्या संस्थांसाठी, हा ऑडिट ट्रेल ऐच्छिक नाही. ही एक कठोर अनुपालन आवश्यकता आहे. Purple चे Cloud RADIUS सर्व्हर सर्टिफिकेट-आधारित 802.1X ऑथेंटिकेशनद्वारे कर्मचारी आणि कॉर्पोरेट उपकरणांना सुरक्षित करते, जे ८०,०००+ हून अधिक लाइव्ह ठिकाणांवर Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, आणि Fortinet सोबत जोडलेले आहे.
तांत्रिक सखोल माहिती: सर्व्हर RADIUS आर्किटेक्चर
IEEE 802.1X मानक पोर्ट-आधारित नेटवर्क ॲक्सेस कंट्रोल (PNAC) परिभाषित करते. वायरलेस संदर्भात, नेटवर्कची सुरक्षा वाढवण्यासाठी एकत्र काम करणाऱ्या तीन प्राथमिक भूमिकांचा यात समावेश होतो.
| भूमिका | घटक | जबाबदारी |
|---|---|---|
| Supplicant | क्लायंट उपकरण (लॅपटॉप, स्मार्टफोन) | नेटवर्क ॲक्सेसची विनंती करण्यासाठी क्रेडेंशियल्स सादर करते |
| Authenticator | WiFi ॲक्सेस पॉइंट किंवा कंट्रोलर | ॲक्सेस कंट्रोल लागू करतो; EAP संदेश पुढे पाठवतो |
| Authentication server | सर्व्हर RADIUS | क्रेडेंशियल्स सत्यापित करतो; मंजुरी किंवा नकार आणि पॉलिसी वैशिष्ट्ये पाठवतो |
जेव्हा एखादा supplicant ॲक्सेस पॉइंटशी जोडला जातो, तेव्हा AP Extensible Authentication Protocol (EAP) संदेश वगळता इतर सर्व डेटा ट्रॅफिक ब्लॉक करतो. AP या EAP संदेशांना RADIUS पॅकेटमध्ये एन्कॅप्स्युलेट करतो आणि त्यांना UDP पोर्ट 1812 द्वारे सर्व्हर RADIUS कडे पाठवतो. सर्व्हर बॅकएंड डिरेक्ट्रीच्या मदतीने क्रेडेंशियल्सची पडताळणी करतो आणि Access-Accept किंवा Access-Reject संदेश देतो. जर मंजुरी मिळाली, तर AP पोर्ट अनब्लॉक करतो आणि क्लायंट ट्रॅफिक सुरळीतपणे सुरू होते.
व्यवहारातील AAA फ्रेमवर्क
Authentication (प्रमाणीकरण) हा पहिला स्तंभ आहे: एखादी व्यक्ती कोण आहे याची पडताळणी करणे. जेव्हा एखादे डिव्हाइस WPA3-Enterprise SSID शी कनेक्ट होते, तेव्हा server RADIUS कॉन्फिगर केलेल्या ओळख स्त्रोतासह (identity source) सादर केलेली क्रेडेन्शियल्स किंवा प्रमाणपत्राची तपासणी करते. Microsoft Entra ID, Okta आणि Google Workspace हे मान्यताप्राप्त क्लाउड आयडेंटिटी प्रोव्हाइडर्स आहेत जे आधुनिक Cloud RADIUS प्लॅटफॉर्मसह थेट समाकलित (integrate) होतात.
Authorisation (अधिकार प्रदान करणे) हा दुसरा स्तंभ आहे: प्रमाणित वापरकर्ता काय करू शकतो हे निर्धारित करणे. server RADIUS हे ॲक्सेस पॉइंटला RADIUS ॲट्रिब्युट्स रिटर्न करते, ज्यामध्ये सर्वात महत्त्वाचा VLAN ID असतो. फायनान्स टीममधील कर्मचारी अंतर्गत सिस्टम्सच्या ॲक्सेससह VLAN 10 वर जातो. कॉन्ट्रॅक्टर केवळ इंटरनेट ॲक्सेससह VLAN 20 वर जातो. पाहुणा (guest) सर्व कॉर्पोरेट संसाधनांपासून वेगळा राहून VLAN 30 वर जातो. हे डायनॅमिक VLAN असाइनमेंट ही अशी यंत्रणा आहे जी योग्य नेटवर्क सेगमेंटेशन सक्षम करते - जे किरकोळ व्यापार (retail) वातावरणात PCI DSS पालनासाठी (compliance) एक अनिवार्य नियंत्रण आहे.
Accounting (लेखांकन) हा तिसरा स्तंभ आहे: प्रत्यक्षात काय घडले याची नोंद करणे. server RADIUS प्रत्येक डिव्हाइसच्या सेशन सुरू आणि संपण्याची वेळ, सेशनचा कालावधी, ट्रान्सफर केलेला डेटा आणि MAC ॲड्रेस लॉग करते. PCI DSS v4.0 अंतर्गत, हे लॉगिंग करणे ही एक सक्तीची आवश्यकता आहे. सुरक्षा घटनेच्या वेळी, हे लॉग्स कोणत्याही फॉरेन्सिक तपासाचा पाया असतात.
EAP पद्धतीची निवड
तुमच्या server RADIUS उपयोजनाची (deployment) सुरक्षा ही निवडलेल्या EAP पद्धतीवर मोठ्या प्रमाणावर अवलंबून असते. एंटरप्राइझ WiFi मधील सर्वात सामान्य तीन पद्धती म्हणजे PEAP, EAP-TTLS आणि EAP-TLS.
PEAP-MSCHAPv2 ही सर्वात मोठ्या प्रमाणावर वापरली जाणारी पद्धत आहे. हे सर्व्हर-साइड सर्टिफिकेट वापरून एक एन्क्रिप्टेड TLS टनेल तयार करते, ज्याच्या आत वापरकर्ता युझरनेम आणि पासवर्डद्वारे स्वतःचे प्रमाणीकरण करतो. हे उपयोजित (deploy) करणे तुलनेने सोपे आहे कारण तुम्हाला फक्त एकाच प्रमाणपत्राचे - सर्व्हरच्या - व्यवस्थापन करावे लागते. तथापि, क्लायंट डिव्हाइसेस जर सर्व्हर सर्टिफिकेटचे प्रमाणीकरण करण्यासाठी स्पष्टपणे कॉन्फिगर केलेले नसतील, तर त्यांच्यावर बनावट (rogue) ॲक्सेस पॉइंटचे हल्ले होऊ शकतात. हल्ला करणारा बनावट प्रमाणपत्र सादर करू शकतो आणि क्रेडेन्शियल्स चोरू शकतो. हा एक दस्तऐवजीकरण केलेला वास्तविक धोका आहे, सैद्धांतिक नाही. Group Policy Objects किंवा MDM प्रोफाइल्सद्वारे कोणत्याही अपवादाशिवाय कडक प्रमाणपत्र प्रमाणीकरण (strict certificate validation) लागू करा.
EAP-TLS हा सर्वोत्तम पर्याय (gold standard) आहे. यासाठी server RADIUS आणि प्रत्येक क्लायंट डिव्हाइस या दोन्हीवर डिजिटल प्रमाणपत्रांची आवश्यकता असते, ज्यामुळे पासवर्डची गरज पूर्णपणे संपुष्टात येते. हल्ला करणाऱ्याने पूर्ण प्रमाणीकरण एक्सचेंज (authentication exchange) हस्तगत केले तरीही, त्यातून काढण्यासाठी कोणतीही क्रेडेन्शियल्स नसतात. याचा एकच तोटा म्हणजे प्रशासकीय ओव्हरहेड: क्लायंट सर्टिफिकेट्सचे उपयोजन आणि व्यवस्थापन करण्यासाठी Public Key Infrastructure (PKI) आणि Microsoft Intune किंवा Jamf सारख्या MDM प्लॅटफॉर्मची आवश्यकता असते. कॉर्पोरेट डिव्हाइसेससाठी, EAP-TLS हीच प्रमाणीकरण पद्धत आहे ज्यासाठी तुम्ही प्रयत्न केले पाहिजेत. Purple चे Cloud RADIUS स्वयंचलित प्रमाणपत्र जीवनचक्र व्यवस्थापनासह (automated certificate lifecycle management) मूळतः (natively) EAP-TLS ला समर्थन देते.
अंमलबजावणी मार्गदर्शक: cloud विरुद्ध on-premises
सर्वर RADIUS आर्किटेक्चर तैनात करताना, आयटी (IT) टीम्सनी क्लाउड-होस्टेड (cloud-hosted) आणि ऑन-प्रिमाइसेस (on-premises) तैनाती यापैकी एक निवडणे आवश्यक आहे. हा या प्रकल्पातील सर्वात महत्त्वाचा आर्किटेक्चरल निर्णय आहे.
On-premises RADIUS, FreeRADIUS किंवा Microsoft Network Policy Server (NPS) सारखे प्लॅटफॉर्म्स वापरून, तुम्हाला इन्फ्रास्ट्रक्चरवर पूर्ण नियंत्रण देते. एकाच मोठ्या ठिकाणासाठी - जसे की स्टेडियम, रुग्णालय किंवा सरकारी सुविधा - हा योग्य निर्णय असू शकतो. ऑथेंटिकेशन विनंत्या स्थानिक LAN वरून प्रवास करतात, ज्यामुळे सब-मिलिसेकंद प्रतिसाद वेळ मिळतो. डेटा सार्वभौमत्वाच्या कारणांमुळे जर तुमची ओळख निर्देशिका (identity directory) ऑन-प्रिमाइसेस Active Directory असेल जी इंटरनेटवर उघड केली जाऊ शकत नाही, तर ऑन-प्रिमाइसेस सर्वर RADIUS हा बऱ्याचदा तुमचा एकमेव व्यवहार्य पर्याय असतो.
तथापि, बहु-साइट संस्थांसाठी, on-premises RADIUS लक्षणीय ऑपरेशनल ओव्हरहेड आणते. तुम्ही प्रत्येक ठिकाणी स्वतंत्र सर्वर इन्स्टन्स व्यवस्थापित करत आहात, मॅन्युअली प्रमाणपत्र नूतनीकरण हाताळत आहात आणि प्रमाणपत्र कालबाह्य झाल्यावर पहाटे दोन वाजता आऊटेजला प्रतिसाद देत आहात. ५० ठिकाणे असलेल्या रिटेल चेनसाठी, याचा अर्थ पॅच, मॉनिटर आणि देखरेख करण्यासाठी ५० स्वतंत्र RADIUS इन्स्टन्स असा होतो.
Cloud RADIUS हे पूर्णपणे बदलते. इन्फ्रास्ट्रक्चर जागतिक स्तरावर मल्टिपल अॅव्हेलेबिलिटी झोन्समध्ये होस्ट केले जाते. जेव्हा एखादा वापरकर्ता एखाद्या ब्रँचच्या ठिकाणी कनेक्ट होतो, तेव्हा ती विनंती जवळच्या क्लाउड एज नोडकडे जाते. हाय अॅव्हेलेबिलिटी बाय डीफॉल्ट अंगभूत असते. प्रमाणपत्र रोटेशन स्वयंचलित असते, ज्यामुळे ऑन-प्रिमाइसेस तैनातीमधील ऑथेंटिकेशन आऊटेजचे सर्वात सामान्य कारण दूर होते. Microsoft Entra ID, Okta किंवा Google Workspace सारख्या क्लाउड-नेटिव्ह ओळख प्रदात्यांसह बहु-साइट संस्थांसाठी, Cloud RADIUS हा जवळजवळ नेहमीच ऑपरेशनलदृष्ट्या सर्वोत्तम पर्याय असतो.
Purple चे Cloud RADIUS थेट Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, आणि Fortinet सोबत समाकलित (integrate) होते. तुम्ही एकही अॅक्सेस पॉईंट न बदलता तुमच्या संपूर्ण हार्डवेअर इस्टेटमध्ये हे तैनात करू शकता.
टप्प्याटप्प्याने तैनाती
टप्पा १: तुमचे तैनाती मॉडेल निवडा. तीन घटकांचे ऑडिट करा: तुमचे सध्याचे ओळख प्रदाता आणि ते क्लाउड-नेटिव्ह आहे की नाही; प्रत्येक साइटवरील तुमची WAN लवचिकता; आणि चालू देखरेख व्यवस्थापित करण्याची तुमच्या टीमची क्षमता. हे तीन घटक क्लाउड किंवा ऑन-प्रिमाइसेस हा योग्य मार्ग आहे की नाही हे ठरवतात.
टप्पा २: तुमचा ओळख स्रोत समाकलित करा. तुमचे सर्वर RADIUS तुमच्या संस्थेच्या ओळख निर्देशिकेशी (identity directory) कनेक्ट करा. बहुतेक Cloud RADIUS प्लॅटफॉर्म्स LDAP किंवा SAML द्वारे Microsoft Entra ID, Okta आणि Google Workspace सह थेट समाकलनाला समर्थन देतात. ऑन-प्रिमाइसेस Active Directory साठी, सुरक्षित कनेक्टरवर LDAP वापरा.
पायरी ३: तुमचे नेटवर्क हार्डवेअर कॉन्फिगर करा. WPA2-Enterprise किंवा WPA3-Enterprise साठी कॉन्फिगर केलेले नवीन SSID तयार करा आणि ते तुमच्या सर्वर RADIUS कडे निर्देशित करा. शेअर्ड सिक्रेट (shared secret) कॉन्फिगर करा - हा पासवर्ड ॲक्सेस पॉइंट आणि सर्वर RADIUS मधील कम्युनिकेशन एन्क्रिप्ट करतो. हे शेअर्ड सिक्रेट दोन्ही बाजूंनी तंतोतंत जुळले पाहिजे. सुरुवातीच्या सेटअप दरम्यान ऑथेंटिकेशन अयशस्वी होण्याचे सर्वात सामान्य कारणांपैकी एक म्हणजे हे जुळत नसणे हे आहे.
पायरी ४: ऑथोरायझेशन पॉलिसी निश्चित करा. तुमच्या आयडेंटिटी डिरेक्टरीमधील युझर ग्रुप्स नेटवर्क पॉलिसीशी मॅप करा. स्टाफला VLAN 10 वर पूर्ण प्रवेश मिळतो. पाहुण्यांना VLAN 20 वर केवळ-इंटरनेट प्रवेश मिळतो. IoT डिव्हाइसेसना फायरवॉल नियमांसह प्रतिबंधित VLAN मिळतो जो लॅटरल मूव्हमेंट ब्लॉक करतो.
पायरी ५: तुमच्या युझर्सना ऑनबोर्ड करा. कॉर्पोरेट स्टाफसाठी, तुमच्या MDM प्लॅटफॉर्मद्वारे WiFi प्रोफाइल्स डिप्लॉय करा. पाहुण्यांसाठी, captive portal वापरा. Purple चे Guest WiFi प्लॅटफॉर्म पाहुण्यांच्या ऑनबोर्डिंग प्रक्रियेला स्वयंचलित करते, ज्यामध्ये सोशल लॉगिन, नोंदणी फॉर्म आणि व्हाउचर कोडचे समर्थन आहे. स्टाफ आणि कॉर्पोरेट डिव्हाइसेस 802.1X द्वारे सायलेंटली ऑथेंटिकेट होतात, तर पाहुण्यांना ब्रँडेड पोर्टलवर निर्देशित केले जाते - एक टियर ॲक्सेस मॉडेल जे सुरक्षा आणि WiFi Analytics दोन्ही प्रदान करते.
गेस्ट, स्टाफ आणि IoT नेटवर्कमधील SSID आर्किटेक्चरच्या सखोल माहितीसाठी, Three SSIDs to rule them all: guest, Passpoint, and IoT WiFi पहा.
सर्वोत्तम पद्धती
प्रत्येक क्लायंट डिव्हाइसवर कडक सर्टिफिकेट व्हॅलिडेशन लागू करा. Windows डिव्हाइसेससाठी ग्रुप पॉलिसी ऑब्जेक्ट्स आणि macOS आणि मोबाईल डिव्हाइसेससाठी MDM प्रोफाइल्स वापरा. प्रोफाइलमध्ये कोणत्या Certificate Authority वर विश्वास ठेवायचा आणि अपेक्षित सर्वर नाव काय आहे हे तंतोतंत नमूद केले पाहिजे. हे मॅन्युअली कॉन्फिगर करण्यासाठी युझरवर सोडू नका. हे लागू न करणे हा PEAP डिप्लॉयमेंटवर क्रेडेंशियल चोरीसाठी प्राथमिक हल्ला करण्याचा मार्ग (attack vector) आहे.
किमान दोन सर्वर RADIUS इन्स्टन्स डिप्लॉय करा. प्रायमरी अनरीचेबल झाल्यास सेकंडरीवर फेल ओव्हर करण्यासाठी सर्व ॲक्सेस पॉइंट्स कॉन्फिगर करा. Cloud RADIUS साठी, ही रिडंडन्सी इन-बिल्ट असते आणि प्रदात्याद्वारे व्यवस्थापित केली जाते. ऑन-प्रिमाइसेससाठी, दोन भौगोलिकदृष्ट्या वेगळ्या ठिकाणी ॲक्टिव्ह-ॲक्टिव्ह क्लस्टर डिप्लॉय करा.
हेडलेस IoT डिव्हाइसेससाठी MAC Authentication Bypass (MAB) वापरा. प्रिंटर, सेन्सर आणि डिजिटल सायनेज 802.1X क्रेडेंशियल सादर करू शकत नाहीत. MAB हे MAC ॲड्रेसच्या आधारे ऑथेंटिकेशनला अनुमती देते. MAC ॲड्रेस सहजपणे स्पूफ केले जाऊ शकत असल्याने, नेहमी MAB-ऑथेंटिकेट केलेल्या डिव्हाइसेसना प्रतिबंधित VLAN आणि कॉर्पोरेट संसाधनांवरील प्रवेश ब्लॉक करणाऱ्या फायरवॉल नियमांसह जोडा.
शेअर्ड सिक्रेट्स नियमितपणे रोटेट करा. तुमचे ॲक्सेस पॉइंट्स आणि तुमचे सर्वर RADIUS मधील शेअर्ड सिक्रेट लांब, यादृच्छिक (random) आणि वेळोवेळी रोटेट केलेले असावे. कमकुवत किंवा डीफॉल्ट शेअर्ड सिक्रेट संपूर्ण ऑथेंटिकेशन साखळी कमकुवत करते. पेनिट्रेशन टेस्टिंगसह सेगमेंटेशन प्रमाणित करा. केवळ कॉन्फिगरेशन हा पुरावा नाही. एक पेनिट्रेशन टेस्ट आयोजित करा ज्यामध्ये वायरलेस वातावरण आणि VLAN सेगमेंटेशनचे प्रमाणीकरण स्पष्टपणे समाविष्ट असेल. एका टेस्टरने गेस्ट VLAN मधून कॉर्पोरेट संसाधनांमध्ये प्रवेश करण्याचा सक्रियपणे प्रयत्न केला पाहिजे आणि प्रत्येक प्रयत्न ब्लॉक केला गेल्याचे दस्तऐवजीकरण केले पाहिजे. तुमच्या PCI DSS क्वालिफाइड सिक्युरिटी असेसर्सला याच पुराव्याची गरज असते.
ट्रबलशूटिंग आणि जोखीम कमी करणे
सर्व्हर RADIUS उपयोजनांमधील सर्वात सामान्य बिघाड चार श्रेणींमध्ये येतात.
शेअर्ड सिक्रेट न जुळणे. ॲक्सेस पॉइंटवर कॉन्फिगर केलेले शेअर्ड सिक्रेट सर्व्हर RADIUS वरील सिक्रेटशी जुळत नसल्यास, प्रत्येक ऑथेंटिकेशनचा प्रयत्न कोणताही संदेश न दाखवता अयशस्वी होईल. शेअर्ड सिक्रेट्स नेहमी मॅन्युअली टाईप करण्याऐवजी कॉपी-पेस्ट करा. चाचणी घेण्यापूर्वी दोन्ही बाजूंचे कॉन्फिगरेशन तपासा.
प्रमाणपत्राची मुदत संपणे. ऑन-प्रिमाइसेस उपयोजनांवर, सर्व्हरचे प्रमाणपत्र कालबाह्य झाल्यास, प्रत्येक क्लायंट डिव्हाइस कनेक्शन नाकारेल. यामुळे कोणतीही चेतावणी न मिळता संपूर्ण ऑथेंटिकेशन खंडित होते. क्लाउड RADIUS प्रदाते प्रमाणपत्र रोटेशन स्वयंचलित करतात, ज्यामुळे ही जोखीम दूर होते. ऑन-प्रिमाइसेस उपयोजनांसाठी, मुदत संपण्याच्या ६० दिवस, ३० दिवस आणि सात दिवस आधी मॉनिटरिंग अलर्ट कॉन्फिगर करा.
क्लायंट प्रमाणपत्र प्रमाणीकरण लागू न करणे. जर PEAP क्लायंट सर्व्हर प्रमाणपत्र प्रमाणित करण्यासाठी कॉन्फिगर केलेले नसतील, तर ते प्रतिसाद देणाऱ्या कोणत्याही RADIUS सर्व्हरशी कनेक्ट होतील - ज्यामध्ये अनधिकृत (rogue) ॲक्सेस पॉइंट्स देखील समाविष्ट आहेत. प्रत्येक व्यवस्थापित डिव्हाइसवर GPO किंवा MDM प्रोफाइलद्वारे प्रमाणपत्र प्रमाणीकरण लागू करा.
क्लाउड RADIUS साठी WAN अवलंबित्व. क्लाउड RADIUS पूर्णपणे प्रत्येक ठिकाणच्या WAN लिंकवर अवलंबून असतो. इंटरनेट कनेक्शन खंडित झाल्यास, ऑथेंटिकेशन अयशस्वी होते. स्थानिक पातळीवर काम सुरू ठेवण्याची रणनीती लागू करा: महत्त्वपूर्ण कर्मचाऱ्यांसाठी क्रेडेंशियल कॅश करण्यासाठी ॲक्सेस पॉइंट्स कॉन्फिगर करा, किंवा इंटरनेट लिंकची उच्च उपलब्धता सुनिश्चित करण्यासाठी SD-WAN वापरा. नेहमी फॉलबॅक पॉलिसी कॉन्फिगर करा - एकतर मर्यादित VLAN ला ओपन ॲक्सेस द्या किंवा स्थानिक पातळीवर कॅश केलेले क्रेडेंशियल वापरा.
ROI आणि व्यावसायिक प्रभाव
सर्व्हर RADIUS आर्किटेक्चर उपयोजित केल्याने वायरलेस नेटवर्क एका असुरक्षिततेकडून मोजता येण्याजोग्या ऑपरेशनल फायद्यांसह एका व्यवस्थापित, सुरक्षित मालमत्तेत बदलते.
४५ प्रॉपर्टीज असलेल्या युरोपियन हॉटेल समूहासाठी, ४५ ऑन-प्रिमाइसेस FreeRADIUS इन्स्टन्सवरून क्लाउड RADIUS वर स्थलांतरित केल्याने केंद्रीय IT टीमचा देखभालीचा अंदाजे ४०% वेळ वाचला (Purple चा अंतर्गत डेटा). ही इंजिनिअरिंग क्षमता दैनंदिन कामे चालू ठेवण्याऐवजी धोरणात्मक उपक्रमांकडे वळवण्यात आली.
PCI DSS ऑडिटची तयारी करत असलेल्या रिटेल चेनसाठी, डायनॅमिक VLAN असाइनमेंटद्वारे योग्य नेटवर्क सेगमेंटेशन केल्याने गेस्ट WiFi नेटवर्क कार्डधारक डेटा एन्व्हायर्नमेंटच्या (Cardholder Data Environment) कक्षेमधून पूर्णपणे बाहेर पडते. Purple च्या Guest WiFi सारखे प्लॅटफॉर्म्स पेमेंट ट्रॅफिकपासून पूर्णपणे वेगळे असलेल्या गेस्ट-फेसिंग VLAN वर चालतात. ॲनालिटिक्स प्लॅटफॉर्म PCI च्या कक्षेबाहेर असतो, आणि व्यवसायाला महसूल देणारी साधने - गेस्ट ॲनालिटिक्स, लॉयल्टी प्रोग्राम, कस्टमर एंगेजमेंट - सुरक्षितपणे आणि आत्मविश्वासाने उपयोजित करण्याचे स्वातंत्र्य मिळते.
१० पेक्षा जास्त साइट्स आणि पाचपेक्षा कमी नेटवर्क इंजिनिअर्स असलेल्या संस्थांसाठी, Cloud RADIUS चा अंदाज लावता येणारा ऑपरेशनल खर्च साधारणपणे ऑन-प्रिमायसेस इन्फ्रास्ट्रक्चर राखण्याच्या तुलनेत १८ महिन्यांच्या आत गुंतवणुकीवर सकारात्मक परतावा (ROI) मिळवून देतो (Purple अंतर्गत डेटा). मोठ्या प्रमाणावर ऑन-प्रिमायसेस डिप्लॉयमेंटसाठी लागणारी हार्डवेअर खरेदी, वीज, कूलिंग आणि इंजिनिअरिंगचा वेळ हा व्यवस्थापित Cloud RADIUS सेवेच्या सबस्क्रिप्शन खर्चापेक्षा सातत्याने जास्त असतो.
Purple हे ९९.९९९% अपटाइम, ISO 27001 प्रमाणन, GDPR आणि CCPA अनुपालन, आणि Cyber Essentials प्रमाणनासह ८०,०००+ हून अधिक लाइव्ह ठिकाणी कार्यरत आहे. ज्या IT टीम्सना त्यांच्या बोर्डाला किंवा ऑडिटर्सना योग्य काळजी (due diligence) दाखवणे आवश्यक आहे, त्यांच्यासाठी ही प्रमाणपत्रे अशी थर्ड-पार्टी पडताळणी प्रदान करतात जी स्वतः व्यवस्थापित केलेले ऑन-प्रिमायसेस डिप्लॉयमेंट करू शकत नाही.
Purple च्या Cloud RADIUS ची पर्यायी प्लॅटफॉर्मशी तपशीलवार तुलना करण्यासाठी, Aruba ClearPass vs. Purple WiFi वैशिष्ट्ये आणि सह-डिप्लॉयमेंट तुलना पहा.
महत्वाच्या व्याख्या
Server RADIUS
रिमोट ऑथेंटिकेशन डायल-इन युझर सर्व्हिस. एक नेटवर्किंग प्रोटोकॉल सर्व्हर जो नेटवर्क प्रवेशासाठी केंद्रीकृत ऑथेंटिकेशन, ऑथरायझेशन आणि अकाउंटिंग (AAA) व्यवस्थापन प्रदान करतो. RFC 2865 मध्ये परिभाषित केलेला आणि त्यानंतरच्या RFCs द्वारे विस्तारित केलेला.
मुख्य इंजिन जे डिरेक्टरीच्या तुलनेत वापरकर्त्याच्या क्रेडेंशियल्सची पडताळणी करते आणि नेटवर्क ऍक्सेस पॉलिसी निर्देशित करते. 802.1X वापरणाऱ्या प्रत्येक एंटरप्राइझ WiFi डिप्लॉयमेंटला server RADIUS ची आवश्यकता असते.
802.1X
पोर्ट-आधारित नेटवर्क ऍक्सेस कंट्रोलसाठी एक IEEE मानक जे LAN किंवा WLAN ला जोडू इच्छिणाऱ्या डिव्हाइसेससाठी ऑथेंटिकेशन यंत्रणा प्रदान करते. हे सप्लिकंट (Supplicant), ऑथेंटिकेटर (Authenticator) आणि ऑथेंटिकेशन सर्व्हर (Authentication Server) च्या भूमिका परिभाषित करते.
RADIUS सर्व्हरशी संवाद साधण्यासाठी ऍक्सेस पॉईंट्स ज्या मानकाचा वापर करतात. 802.1X शिवाय, नेटवर्कच्या सीमेवर अनऑथेंटिकेटेड डिव्हाइसेस ब्लॉक करण्यासाठी कोणतीही यंत्रणा नाही.
EAP-TLS
एक्सटेन्सिबल ऑथेंटिकेशन प्रोटोकॉल - ट्रान्सपोर्ट लेयर सिक्युरिटी. क्लायंट डिव्हाइस आणि RADIUS सर्व्हर या दोन्हीवर डिजिटल सर्टिफिकेट्स आवश्यक असणारी एक ऑथेंटिकेशन पद्धत. यामध्ये पासवर्डचा वापर न करता परस्पर ऑथेंटिकेशन प्रदान केले जाते.
कॉर्पोरेट डिव्हाइसेस ऑथेंटिकेट करण्यासाठी सुवर्ण मानक. क्रेडेन्शियल चोरी आणि फिशिंग हल्ले प्रतिबंधित करते. क्लायंट सर्टिफिकेट्स मोठ्या प्रमाणावर तैनात करण्यासाठी PKI आणि MDM प्लॅटफॉर्मची आवश्यकता असते.
PEAP-MSCHAPv2
प्रोटेक्टेड एक्सटेन्सिबल ऑथेंटिकेशन प्रोटोकॉल विथ मायक्रोसॉफ्ट चॅलेंज हँडशेक ऑथेंटिकेशन प्रोटोकॉल व्हर्जन २. एक कूटबद्ध (encrypted) बोगदा तयार करण्यासाठी सर्व्हर-साइड TLS सर्टिफिकेटचा वापर करते, ज्याच्या आत वापरकर्ता युझरनेम आणि पासवर्डसह ऑथेंटिकेट करतो.
सर्वात सामान्य एंटरप्राइझ WiFi ऑथेंटिकेशन पद्धत. केवळ तेव्हाच सुरक्षित असते जेव्हा क्लायंट्सना GPO किंवा MDM प्रोफाइल्सद्वारे सर्व्हर सर्टिफिकेट सत्यापित करण्यासाठी स्पष्टपणे कॉन्फिगर केले जाते.
डायनॅमिक VLAN असाइनमेंट
अशी प्रक्रिया ज्याद्वारे RADIUS सर्व्हर ऑथेंटिकेट झालेल्या वापरकर्त्याला डिरेक्टरीमधील त्यांची ओळख आणि गट सदस्यत्वाच्या आधारे विशिष्ट व्हर्च्युअल लोकल एरिया नेटवर्क (VLAN) वर ठेवण्यासाठी ऍक्सेस पॉईंटला निर्देश देतो.
नेटवर्क विभाजन लागू करणारी यंत्रणा. रिटेल आणि हॉस्पिटॅलिटी क्षेत्रात PCI DSS च्या अनुपालनासाठी अत्यंत आवश्यक. एकाच SSID ला स्वतंत्र नेटवर्क विभागांवर कर्मचारी, कंत्राटदार, अतिथी आणि IoT डिव्हाइसेसना सेवा देण्याची परवानगी देते.
AAA फ्रेमवर्क
ऑथेंटिकेशन, ऑथरायझेशन आणि अकाउंटिंग. नेटवर्क ऍक्सेस व्यवस्थापित करण्यासाठी RADIUS सर्व्हरद्वारे लागू केलेले तीन-स्तंभांचे फ्रेमवर्क. ऑथेंटिकेशन ओळख सत्यापित करते, ऑथरायझेशन प्रवेशाची पातळी निर्धारित करते, अकाउंटिंग सेशनच्या क्रियाकलापांची नोंद ठेवते.
सर्व RADIUS सर्व्हर तैनातीचा वैचारिक पाया. पेमेंट डेटा हाताळणाऱ्या नेटवर्कसाठी PCI DSS v4.0 अंतर्गत हे तिन्ही स्तंभ लागू करणे आवश्यक आहे.
सप्लिकंट (Supplicant)
क्लायंट डिव्हाइस (लॅपटॉप, स्मार्टफोन, IoT सेन्सर) जे ऑथेंटिकेटरकडे क्रेडेन्शियल्स किंवा सर्टिफिकेट सादर करून नेटवर्कच्या प्रवेशासाठी विनंती करते.
असे एंडपॉइंट ज्याने RADIUS सर्व्हर ऑथेंटिकेशन चॅलेंज पूर्ण केले पाहिजे. कोणता घटक अयशस्वी होत आहे हे समजून घेणे हा प्रभावी समस्येचे निवारण (troubleshooting) करण्याचा पाया आहे.
Captive Portal
एक वेब पृष्ठ ज्याच्याशी वापरकर्त्यांना सार्वजनिक WiFi नेटवर्कवर प्रवेश मिळण्यापूर्वी संवाद साधावा लागतो. हे वापरकर्त्यासमोरील ऑनबोर्डिंग अनुभव हाताळते तर RADIUS सर्व्हर बॅक-एंड ऑथेंटिकेशन आणि सेशन पॉलिसी अंमलबजावणी व्यवस्थापित करतो.
हॉस्पिटॅलिटी, रिटेल आणि कार्यक्रमाच्या ठिकाणी अतिथींना ऑनबोर्ड करण्यासाठी वापरले जाते. RADIUS सर्व्हरच्या संयोगाने कार्य करते - पोर्टल हा वापरकर्ता इंटरफेस आहे, तर RADIUS सर्व्हर हा बॅक-एंड इंजिन आहे.
MAC ऑथेंटिकेशन बायपास (MAB)
एक यंत्रणा जी 802.1X क्षमता नसलेल्या डिव्हाइसेसना (प्रिंटर्स, IoT सेन्सर्स, डिजिटल साइनेज) क्रेडेन्शियल्स किंवा सर्टिफिकेट्सऐवजी त्यांच्या MAC ऍड्रेसच्या आधारे ऑथेंटिकेट करण्याची परवानगी देते.
अशा हेडलेस डिव्हाइसेससाठी आवश्यक जे 802.1X सप्लिकंट चालवू शकत नाहीत. MAC ऍड्रेस सहजपणे स्पूफ केले जाऊ शकत असल्याने, MAB-ऑथेंटिकेटेड डिव्हाइसेस नेहमी अत्यंत प्रतिबंधित VLAN वर ठेवले पाहिजेत.
शेअर्ड सिक्रेट
एक पासवर्ड जो ऍक्सेस पॉईंट (RADIUS क्लायंट) आणि RADIUS सर्व्हरमधील संवाद कूटबद्ध (encrypt) करतो. दोन्ही बाजूंनी तो तंतोतंत कॉन्फिगर केलेला असणे आणि वेळोवेळी बदलणे आवश्यक आहे.
सुरुवातीच्या तैनाती दरम्यान ऑथेंटिकेशन अयशस्वी होण्याच्या सर्वात सामान्य कारणांपैकी एक म्हणजे विसंगत शेअर्ड सिक्रेट असणे होय. नेहमी मॅन्युअली टाईप करण्याऐवजी कॉपी-पेस्ट करा.
सोडवलेली उदाहरणे
एका २०० खोल्यांच्या हॉटेलला आयसोलेटेड गेस्ट WiFi ऍक्सेस प्रदान करतानाच 802.1X द्वारे कर्मचाऱ्यांच्या उपकरणांना सुरक्षित करणे आवश्यक आहे. प्रॉपर्टी मॅनेजमेंट सिस्टम कर्मचाऱ्यांच्या उपकरणांवर चालते आणि ती गेस्ट नेटवर्कवरून ऍक्सेसिबल नसावी. हे हॉटेल एका तीन सदस्यीय केंद्रीय IT टीमद्वारे व्यवस्थापित केलेल्या ४५-प्रॉपर्टी ग्रुपचा भाग आहे.
Microsoft Entra ID सह एकत्रित केलेले Purple चे Cloud RADIUS डिप्लॉय करा. EAP-TLS सह WPA3-Enterprise वापरून स्टाफ SSID कॉन्फिगर करा, Microsoft Intune द्वारे सर्व कर्मचाऱ्यांच्या उपकरणांवर क्लायंट सर्टिफिकेट्स डिप्लॉय करा. कर्मचाऱ्यांच्या उपकरणांना डायनॅमिकरित्या VLAN 10 वर असाइन करण्यासाठी server RADIUS कॉन्फिगर करा, ज्यामध्ये प्रॉपर्टी मॅनेजमेंट सिस्टम आणि अंतर्गत प्रिंटरचा ऍक्सेस आहे. ऑनबोर्डिंगसाठी Captive Portal सह WPA2-Personal वापरून स्वतंत्र गेस्ट SSID डिप्लॉय करा, जे VLAN 20 वर केवळ-इंटरनेट ऍक्सेससह असाइन केलेले असेल आणि VLAN 10 कडील सर्व ट्रॅफिक ब्लॉक करणारे कडक फायरवॉल नियम असतील. Cloud RADIUS एकाच मॅनेजमेंट डॅशबोर्डवरून सर्व ४५ प्रॉपर्टीज हाताळते, ज्यामुळे स्वयंचलित सर्टिफिकेट रोटेशनमुळे प्रति-साइट मेंटेनन्सचा खर्च कमी होतो ज्यासाठी पूर्वी टीमचा ४०% वेळ खर्च होत असे.
५० स्टोअर्स असलेल्या एका रिटेल चेनला त्यांच्या स्थानिक FreeRADIUS सर्व्हरवरील कालबाह्य झालेल्या सर्टिफिकेट्समुळे वारंवार ऑथेंटिकेशन आउटेजचा सामना करावा लागत आहे. POS टॅब्लेट्स 802.1X द्वारे ऑथेंटिकेट होतात आणि प्रत्येक आउटेजमुळे जोपर्यंत सर्टिफिकेट मॅन्युअली रिन्यू होत नाही तोपर्यंत कर्मचाऱ्यांना पेमेंट प्रक्रियेत अडथळा येतो. IT निर्देशकाला पुढील पीक ट्रेडिंग कालावधीपूर्वी ही त्रुटी दूर करायची आहे.
५० ऑन-प्रिमाइसेस FreeRADIUS इन्स्टन्स वरून सेंट्रलाइज्ड Cloud RADIUS प्लॅटफॉर्मवर स्थलांतरित करा. कॉर्पोरेट Okta डिरेक्टरीसह Cloud RADIUS एकत्रित करा. सर्व ५० ठिकाणांच्या ऍक्सेस पॉइंट कॉन्फिगरेशन्स नवीन Cloud RADIUS एंडपॉइंट्सकडे निर्देशित करण्यासाठी अपडेट करा. POS टॅब्लेट्सना VLAN 10 (पेमेंट नेटवर्क) वर आणि स्टाफ उपकरणांना VLAN 20 (कॉर्पोरेट नेटवर्क) वर ठेवण्यासाठी डायनॅमिक VLAN असाइनमेंट कॉन्फिगर करा. क्लाउड प्रदाता सर्व सर्व्हर सर्टिफिकेट रोटेशन स्वयंचलितपणे हाताळतो. पुढील ऑडिट सायकलपूर्वी पेनिट्रेशन टेस्टद्वारे पेमेंट नेटवर्क आणि गेस्ट WiFi नेटवर्कमधील VLAN सेगमेंटेशनची पडताळणी करा.
सराव प्रश्न
Q1. एक रिटेल ठिकाण PCI DSS v4.0 ऑडिटची तयारी करत आहे. ते सध्या कर्मचाऱ्यांच्या POS टॅब्लेट आणि अतिथी प्रवेश (guest access) या दोन्हीसाठी प्री-शेअर्ड की सह एकच SSID चालवत आहेत. क्वालिफाइड सिक्युरिटी असेसर्सने (QSA) याला एक गंभीर त्रुटी म्हणून चिन्हांकित केले आहे. यासाठी तात्काळ कोणता आर्किटेक्चरल बदल आवश्यक आहे आणि या समस्येचे निवारण करण्यासाठी कोणती सर्व्हर RADIUS वैशिष्ट्ये महत्त्वपूर्ण आहेत?
टीप: नेटवर्क विभाजन आणि ते डायनॅमिकपणे लागू करणाऱ्या विशिष्ट RADIUS वैशिष्ट्यावर लक्ष केंद्रित करा.
नमुना उत्तर पहा
802.1X प्रमाणीकरण लागू करण्यासाठी आणि सामायिक केलेला PSK बदलण्यासाठी त्या ठिकाणाने सर्व्हर RADIUS तैनात करणे आवश्यक आहे. याचे मुख्य वैशिष्ट्य म्हणजे डायनॅमिक VLAN असाइनमेंट: सर्व्हर RADIUS कॉन्फिगर करणे आवश्यक आहे जेणेकरून POS टॅब्लेट पेमेंट VLAN वर आणि अतिथींना वेगळ्या इंटरनेट-ओन्ली VLAN वर ठेवता येईल, ज्यामध्ये कठोर फायरवॉल नियमांमुळे त्यांच्यामधील ट्रॅफिक पूर्णपणे प्रतिबंधित असेल. अतिथी SSID ने ऑनबोर्डिंगसाठी Captive Portal चा वापर केला पाहिजे. PCI DSS आवश्यकता 11 ची पूर्तता करण्यासाठी, केवळ कॉन्फिगरेशन पुनरावलोकन न करता पेनेट्रेशन चाचणीद्वारे या विच्छेदनाचे (segmentation) प्रमाणीकरण केले पाहिजे.
Q2. 30 शाखा कार्यालये असलेली एक संस्था Cloud RADIUS आणि ऑन-प्रिमाइसेस सर्व्हर RADIUS यापैकी एकाची निवड करत आहे. त्यांच्याकडे चार अभियंत्यांची एक लहान मध्यवर्ती आयटी टीम आहे, ते ओळख व्यवस्थापनासाठी Okta वापरतात आणि त्यांच्याकडे कोणतीही डेटा सार्वभौमत्व (data sovereignty) आवश्यकता नाही. कोणत्या मॉडेलची शिफारस केली जाते आणि त्याचे मुख्य कार्यात्मक समर्थन काय आहे?
टीप: 30 स्वतंत्र इन्स्टन्स व्यवस्थापित करण्याच्या देखभालीच्या खर्चाची आणि केंद्रीकृत क्लाउड सेवेची तुलना करा.
नमुना उत्तर पहा
Cloud RADIUS ची जोरदार शिफारस केली जाते. 30 साइट्स आणि चार अभियंत्यांसह, 30 ऑन-प्रिमाइसेस सर्व्हर RADIUS इन्स्टन्स तैनात करणे आणि त्यांची देखभाल करणे यामुळे टीमच्या क्षमतेचा मोठा हिस्सा खर्च होईल. Cloud RADIUS हे Okta सह मूळ रूपात समाकलित होते, प्रमाणपत्र रोटेशन स्वयंचलित करते आणि टीमला मूलभूत पायाभूत सुविधांचे व्यवस्थापन न करता अंगभूत उच्च उपलब्धता प्रदान करते. डेटा सार्वभौमत्वाची आवश्यकता नसल्यामुळे ऑन-प्रिमाइसेसचा मुख्य आधार नाहीसा होतो. WAN वरील अवलंबित्व सुरळीतपणे हाताळण्यासाठी टीमने फॉलबॅक पॉलिसीसह ॲक्सेस पॉइंट्स कॉन्फिगर केले पाहिजेत.
Q3. PEAP-MSCHAPv2 तैनाती दरम्यान, युजर्स कॉर्पोरेट WiFi SSID शी कनेक्ट करताना त्यांच्या डिव्हाइसेसवर सुरक्षा प्रमाणपत्र चेतावणी (security certificate warnings) आल्याची तक्रार करतात. काही युजर्स या इशाऱ्यांकडे दुर्लक्ष करून कनेक्ट करत आहेत. यामध्ये कोणता सुरक्षा धोका आहे आणि कोणती कॉन्फिगरेशन पायरी सुटली आहे?
टीप: जेव्हा एखादा क्लायंट सर्व्हर प्रमाणपत्र प्रमाणित करत नाही तेव्हा काय होते आणि एखादा हल्लेखोर याचा कसा फायदा घेऊ शकतो याचा विचार करा.
नमुना उत्तर पहा
यामध्ये सुरक्षेचा धोका म्हणजे रोग ॲक्सेस पॉइंट (rogue access point) हल्ला होय. सक्तीच्या प्रमाणपत्र प्रमाणीकरणाशिवाय, क्लायंट डिव्हाइस कोणत्याही प्रतिसाद देणाऱ्या सर्व्हर RADIUS शी कनेक्ट होईल - अगदी हल्लेखोराद्वारे चालवल्या जाणाऱ्या सर्व्हरशी देखील. हल्लेखोर बनावट प्रमाणपत्र सादर करतो, युजर चेतावणीकडे दुर्लक्ष करतो आणि हल्लेखोर PEAP टनेलच्या आतून युजरनेम आणि पासवर्ड मिळवतो. गहाळ झालेली कॉन्फिगरेशन पायरी म्हणजे MDM प्रोफाइल (macOS आणि मोबाईलसाठी) आणि ग्रुप पॉलिसी ऑब्जेक्ट्स (Windows साठी) तैनात करणे, जे स्पष्टपणे विश्वसनीय प्रमाणपत्र प्राधिकरण (Certificate Authority) आणि अपेक्षित सर्व्हर नाव निर्दिष्ट करतात. युजर्सना प्रमाणपत्राच्या विश्वासाचा निर्णय मॅन्युअली घेण्याची परवानगी कधीही देऊ नये.
Q4. 68,000 आसने असलेल्या स्टेडियमला एका मोठ्या कार्यक्रमादरम्यान कर्मचाऱ्यांच्या उपकरणांचे प्रमाणीकरण करावे लागते, जिथे 30 मिनिटांच्या कालावधीत 40,000 उपकरणे कनेक्ट होण्याचा प्रयत्न करू शकतात. आयटी टीमकडे कठोर डेटा सार्वभौमत्व (data sovereignty) आवश्यकता आहेत: सर्व प्रमाणीकरण लॉग युनायटेड किंगडमच्या भूमीवरच राहिले पाहिजेत. कोणत्या तैनाती मॉडेलची शिफारस केली जाते आणि कोणते विशिष्ट आर्किटेक्चर बर्स्ट ट्रॅफिकच्या आवश्यकतेचे निराकरण करते?
टीप: बर्स्ट परिस्थितीमध्ये स्थानिक प्रमाणीकरण विरूद्ध क्लाउड-रूट केलेल्या विनंत्यांच्या लेटन्सी आणि थ्रूपुट फायद्यांचा विचार करा.
नमुना उत्तर पहा
डेटा सार्वभौमत्व (data sovereignty) आवश्यकता आणि अत्यंत वेगवान बर्स्ट ऑथेंटिकेशन लोडमुळे ऑन-प्रिमायसेस सर्व्हर RADIUS ची शिफारस केली जाते. शिफारस केलेले आर्किटेक्चर ॲक्टिव्ह-ॲक्टिव्ह कॉन्फिगरेशनमधील ड्युअल ऑन-प्रिमायसेस RADIUS क्लस्टर आहे, ज्यामध्ये UK मधील को-लोकेशन सुविधेत दुय्यम क्लस्टर असेल. स्थानिक ऑथेंटिकेशन सब-मिल्लीसेकंद प्रतिसाद वेळ देते आणि WAN वरील अवलंबित्व काढून टाकते, जे बर्स्ट इव्हेंट दरम्यान अडथळा निर्माण करू शकते. ॲक्टिव्ह-ॲक्टिव्ह क्लस्टर इंटरनेट कनेक्टिव्हिटीवर अवलंबून न राहता रेडंडंसी प्रदान करते. ऑथेंटिकेशन लॉग UK च्या भूमीवरच राहतात, ज्यामुळे डेटा सार्वभौमत्वाची आवश्यकता पूर्ण होते.
या मालिकेमध्ये पुढे वाचा
Aruba ClearPass vs. Purple WiFi: वैशिष्ट्यांची तुलना आणि को-डिप्लॉयमेंट
Aruba ClearPass आणि Purple WiFi च्या को-डिप्लॉयमेंट आर्किटेक्चरची सविस्तर माहिती देणारी एक व्यापक तांत्रिक मार्गदर्शिका. यामध्ये RADIUS प्रॉक्सी कॉन्फिगरेशन, डायनॅमिक VLAN असाइनमेंट आणि एंटरप्राइझ NAC सोबत सुरक्षित, अॅनालिटिक्स-चालित अतिथी नेटवर्क प्रदान करण्यासाठी सर्वोत्तम पद्धतींचा समावेश आहे.
Cisco ISE विरुद्ध Purple WiFi: ते कसे तुलना करतात आणि एकत्र काम करतात
हे मार्गदर्शक स्पष्ट करते की Cisco ISE आणि Purple WiFi हे एंटरप्राइझ नेटवर्कमध्ये वेगळ्या पण पूरक भूमिका कशा बजावतात. सुरक्षित 802.1X कॉर्पोरेट ॲक्सेससाठी Cisco ISE कसे वापरावे आणि GDPR-सुसंगत अतिथी WiFi, मार्केटिंग ॲनालिटिक्स आणि CRM इंटिग्रेशनसाठी Purple चा कसा फायदा घ्यावा, हे यामध्ये तपशीलवार दिले आहे.
EAP-TLS vs EAP-TTLS: आपण कोणते प्रमाणपत्र-आधारित WiFi प्रोटोकॉल निवडावे?
हे मार्गदर्शक IEEE 802.1X अंतर्गत एंटरप्राइझ WiFi प्रमाणीकरणासाठी EAP-TLS आणि EAP-TTLS ची अंतिम तुलना प्रदान करते. हे परस्पर प्रमाणपत्र प्रमाणीकरण आणि केवळ-सर्व्हर प्रमाणपत्र टनेलिंगमधील आर्किटेक्चरल फरक स्पष्ट करते आणि IT व्यवस्थापक, नेटवर्क आर्किटेक्ट आणि CISOs यांना डिव्हाइस व्यवस्थापन क्षमता आणि अनुपालन आवश्यकतांवर आधारित स्पष्ट निर्णय फ्रेमवर्क देते. Purple कर्मचारी WiFi साठी EAP-TLS आणि EAP-TTLS दोन्ही प्रमाणीकरण मार्गांना समर्थन देते, आणि हे मार्गदर्शक संस्थांना कोणत्याही एका दृष्टिकोनाचा स्वीकार करण्यापूर्वी त्यांच्या पायाभूत सुविधांमधील तडजोड समजून घेण्यास मदत करते.