Server RADIUS: व्यवसायांसाठी एक सर्वसमावेशक मार्गदर्शिका

ही मार्गदर्शिका IT व्यवस्थापक, नेटवर्क आर्किटेक्ट आणि CTOs ना एंटरप्राइझ WiFi साठी server RADIUS ऑथेंटिकेशनवर एक निश्चित तांत्रिक संदर्भ प्रदान करते. यामध्ये AAA फ्रेमवर्क, 802.1X आर्किटेक्चर, EAP पद्धत निवड, क्लाउड विरुद्ध ऑन-प्रिमाइसेस डिप्लॉयमेंटचे फायदे-तोटे आणि डायनॅमिक VLAN असाइनमेंट समाविष्ट आहे. आदरातिथ्य (hospitality), रिटेल, इव्हेंट्स आणि सार्वजनिक क्षेत्रातील वेन्यू ऑपरेटर्सना असुरक्षित प्री-शेअर्ड की वरून सुरक्षित, ओळख-आधारित (identity-driven) नेटवर्क ऍक्सेस कंट्रोल आर्किटेक्चरमध्ये स्थलांतरित होण्यासाठी आवश्यक असणारे अंमलबजावणी मार्गदर्शन, वास्तविक जगातील केस स्टडीज आणि निर्णय घेण्याची फ्रेमवर्क मिळतील.

📖 9 मिनिट वाचन📝 2,075 शब्द🔧 2 सोडवलेली उदाहरणे❓ 4 सराव प्रश्न📚 10 महत्वाच्या व्याख्या

हे मार्गदर्शक ऐका

पॉडकास्ट ट्रान्सक्रिप्ट पहा

पर्पल टेक्निकल ब्रीफिंगमध्ये आपले स्वागत आहे. मी आपला होस्ट आहे, आणि पुढील दहा मिनिटांत आपण कोणत्याही एंटरप्राइझ IT टीमसाठी अत्यंत महत्त्वाच्या पायाभूत सुविधांच्या निर्णयांपैकी एकावर चर्चा करणार आहोत: सर्वर RADIUS ऑथेंटिकेशन. जर आपण IT मॅनेजर, नेटवर्क आर्किटेक्ट किंवा हॉटेल, रिटेल चेन, स्टेडियम किंवा कॉन्फरन्स सेंटरमधील WiFi चे जबाबदार CTO असाल, तर हे ब्रीफिंग आपल्यासाठी आहे. आम्ही तांत्रिक शब्दांचा गुंतागुंत दूर करू, आर्किटेक्चर स्पष्टपणे समजावून सांगू आणि या तिमाहीत माहितीपूर्ण निर्णय घेण्यासाठी आवश्यक असलेले व्यावहारिक दृष्टिकोन आपल्याला देऊ.

चला मुख्य मुद्द्यापासून सुरुवात करूया. हे सर्व का महत्त्वाचे आहे?

जर आपण अद्याप आपले गेस्ट किंवा स्टाफ WiFi एका सामायिक पासवर्डवर, म्हणजेच प्री-शेअर्ड की वर चालवत असाल, तर आपण मोठ्या आणि वाढत्या सुरक्षा जोखमीसह काम करत आहात. तो पासवर्ड शेअर केला जातो, पावत्यांवर लिहिला जातो, व्हाईटबोर्डवर फोटो काढले जातात आणि मेसेजिंग ॲप्सद्वारे फॉरवर्ड केला जातो. एकदा का तो बाहेर गेला की, आपल्या नेटवर्कवर कोण आहे हे पाहण्याची क्षमता आपल्याकडे राहत नाही, प्रत्येकाला त्रास न देता एका युझरचा ऍक्सेस रद्द करण्याची सोय नसते, आणि काही बिघाड झाल्यास ऑडिट ट्रेलही नसतो. PCI DSS, GDPR किंवा HIPAA च्या अंतर्गत येणाऱ्या संस्थांसाठी, ही केवळ तांत्रिक समस्या नाही. हे कंप्लायन्सचे दायित्व आहे.

या समस्येवर मात करण्यासाठी संपूर्ण उद्योगाने सर्वर RADIUS हा पर्याय स्वीकारला आहे. चला तर मग हे नेमके काय आहे आणि कसे कार्य करते ते समजून घेऊया.

RADIUS चा अर्थ रिमोट ऑथेंटिकेशन डायल-इन युझर सर्विस (Remote Authentication Dial-In User Service) असा आहे. हे नाव डायल-अप इंटरनेटच्या सुरुवातीच्या काळातील एक ऐतिहासिक अवशेष आहे, परंतु या प्रोटोकॉलचा मोठ्या प्रमाणावर विकास झाला आहे आणि आज तो एंटरप्राइझ नेटवर्क ऍक्सेस कंट्रोलचा मुख्य कणा आहे. त्याच्या मूळ स्वरूपात, सर्वर RADIUS ही एक सेंट्रलाइज्ड सिस्टीम आहे जी AAA नावाच्या फ्रेमवर्कचा वापर करून नेटवर्क ऍक्सेस व्यवस्थापित करते: ऑथेंटिकेशन (Authentication), ऑथरायझेशन (Authorisation) आणि अकाउंटिंग (Accounting). हे तीन स्तंभ आपण आज चर्चा करणार असलेल्या प्रत्येक गोष्टीचा पाया आहेत.

ऑथेंटिकेशन हा पहिला स्तंभ आहे: एखादी व्यक्ती कोण आहे हे सत्यापित करणे. ऑथरायझेशन हा दुसरा स्तंभ आहे: त्यांना काय करण्याची परवानगी आहे हे निश्चित करणे. आणि अकाउंटिंग हा तिसरा स्तंभ आहे: त्यांनी प्रत्यक्षात काय केले याची नोंद ठेवणे.

चला यातील प्रत्येकाचा सविस्तर अभ्यास करूया.

ऑथेंटिकेशन. जेव्हा एखादा युझर WPA2-Enterprise किंवा WPA3-Enterprise ने सुरक्षित असलेल्या WiFi नेटवर्कशी कनेक्ट करण्याचा प्रयत्न करतो, तेव्हा त्याचे डिव्हाइस, ज्याला आपण सप्लिकंट (Supplicant) म्हणतो, वायरलेस ऍक्सेस पॉईंटला कनेक्शनची विनंती पाठवते. ऍक्सेस पॉईंट, ज्याला आपण ऑथेंटिकेटर (Authenticator) म्हणतो, तो स्वतः ऑथेंटिकेशनचा निर्णय घेत नाही. तो केवळ रिले म्हणून काम करतो आणि ती विनंती सर्वर RADIUS कडे फॉरवर्ड करतो. त्यानंतर सर्वर कॉन्फिगर केलेल्या आयडेंटिटी सोर्सच्या आधारे युझरच्या ओळखीची पडताळणी करतो. हे Microsoft Entra ID, Okta, Google Workspace किंवा स्थानिक युझर डेटाबेस असू शकते. आयडेंटिटी सोर्स हा आपल्या नेटवर्कवर कोणाला परवानगी आहे याचा एकमेव विश्वसनीय स्रोत आहे.

ऑथरायझेशन (Authorisation). एकदा वापरकर्त्याचे प्रमाणीकरण झाले की, RADIUS सर्व्हर केवळ होकार देऊन बाजूला होत नाही. तो ॲक्सेस पॉइंटला या वापरकर्त्यासोबत नक्की काय करायचे हे देखील सांगतो. तो ॲट्रिब्युट्सचा एक संच परत पाठवतो, ज्या मूलतः अशा सूचना असतात ज्या वापरकर्त्याचा नेटवर्क अनुभव कसा असेल हे ठरवतात. यापैकी सर्वात महत्त्वाचे म्हणजे सामान्यत: VLAN असाइनमेंट. RADIUS सर्व्हर सांगू शकतो: हा वापरकर्ता कॉर्पोरेट कर्मचारी ग्रुपचा सदस्य आहे, त्यांना VLAN १० वर असाइन करा, ज्यामध्ये अंतर्गत फाईल सर्व्हर आणि प्रिंटरचा ॲक्सेस आहे. किंवा: हा वापरकर्ता पाहुणा आहे, त्यांना VLAN २० वर असाइन करा, ज्याला फक्त इंटरनेट ॲक्सेस आहे आणि जो कॉर्पोरेट नेटवर्कपासून पूर्णपणे वेगळा आहे. ही डायनॅमिक VLAN असाइनमेंट हे RADIUS सर्व्हरच्या सर्वात शक्तिशाली वैशिष्ट्यांपैकी एक आहे, आणि हीच ती यंत्रणा आहे जी योग्य नेटवर्क विभाजन (segmentation) सक्षम करते.

अकाउंटिंग (Accounting). तिसऱ्या स्तंभाकडे सहसा दुर्लक्ष केले जाते, परंतु अनुपालन (compliance) आणि ऑपरेशन्ससाठी तो अत्यंत महत्त्वाचा आहे. वापरकर्त्याचे सेशन सुरू असताना, RADIUS सर्व्हर मुख्य माहितीची नोंद ठेवतो: ते कधी कनेक्ट झाले, कधी डिस्कनेक्ट झाले, सेशनचा एकूण कालावधी, त्यांनी ट्रान्सफर केलेल्या डेटाचे प्रमाण आणि त्यांच्या डिव्हाइसचा MAC ॲड्रेस. हे तुमच्या नेटवर्कवरील प्रत्येक कनेक्शनसाठी एक तपशीलवार ऑडिट ट्रेल तयार करते. PCI DSS व्हर्जन ४ अंतर्गत, अशा प्रकारची लॉगिंग ऐच्छिक नाही. ही एक अनिवार्य आवश्यकता आहे. आणि सुरक्षा घटनेच्या प्रसंगी, फॉरेन्सिक तपासासाठी हे लॉग्स अत्यंत मोलाचे ठरतात.

आता, या सर्व गोष्टी शक्य करणाऱ्या तांत्रिक मानकांबद्दल बोलूया: IEEE 802.1X.

802.1X हे पोर्ट-आधारित नेटवर्क ॲक्सेस कंट्रोल परिभाषित करणारे मानक आहे. हा तो प्रोटोकॉल आहे जो ॲक्सेस पॉइंटला डिव्हाइसवरून या सर्व नेटवर्क ट्रॅफिक ब्लॉक करण्याची परवानगी देतो, जोपर्यंत RADIUS सर्व्हरने हे डिव्हाइस ऑथोराईझ्ड असल्याची खात्री केली नाही. वापरकर्त्याचे डिव्हाइस आणि ॲक्सेस पॉइंट यांच्यातील संवादासाठी EAP नावाचा प्रोटोकॉल वापरला जातो, ज्याला एक्सटेन्सिबल ऑथेंटिकेशन प्रोटोकॉल (Extensible Authentication Protocol) म्हणतात. EAP हे मूलतः एक फ्रेमवर्क आहे जे एकाधिक ऑथेंटिकेशन पद्धतींना सपोर्ट करते.

एंटरप्राइझ WiFi मधील तीन सर्वात सामान्य EAP पद्धती आहेत: PEAP, ज्याचा अर्थ प्रोटेक्टेड एक्सटेन्सिबल ऑथेंटिकेशन प्रोटोकॉल (Protected Extensible Authentication Protocol) असा आहे; EAP-TTLS; आणि EAP-TLS.

PEAP आणि EAP-TTLS या क्रेडेंशियल-आधारित पद्धती आहेत. त्या डिव्हाइस आणि RADIUS सर्व्हर दरम्यान एक एन्क्रिप्टेड टनेल तयार करतात, आणि त्यानंतर त्या टनेलच्या आत वापरकर्त्याचे युझरनेम आणि पासवर्ड व्हेरिफाय केले जातात. ते लागू करणे तुलनेने सोपे आहे आणि अशा वातावरणात चांगले काम करतात जिथे तुम्ही अद्याप संपूर्ण सर्टिफिकेट इन्फ्रास्ट्रक्चरसाठी तयार नसाल.

EAP-TLS हे सर्वोत्तम मानक आहे. हे सर्टिफिकेट-आधारित आहे, म्हणजेच एकमेकांचे प्रमाणीकरण करण्यासाठी सर्व्हर आणि क्लायंट डिव्हाइस दोन्ही डिजिटल सर्टिफिकेट्स सादर करतात. यामध्ये पासवर्डचा अजिबात समावेश नसतो. यामुळे क्रेडेंशियल चोरी, फिशिंग हल्ले आणि मॅन-इन-द-मिडल (man-in-the-middle) हल्ल्यांचा धोका पूर्णपणे संपुष्टात येतो. कॉर्पोरेट डिव्हाइसेससाठी, EAP-TLS ही अशी ऑथेंटिकेशन पद्धत आहे ज्याच्या दिशेने तुम्ही काम केले पाहिजे.

आता आपण डिप्लॉयमेंट मॉडेल्सबद्दल बोलूया. जेव्हा RADIUS सर्व्हरचा विचार येतो, तेव्हा तुमच्याकडे दोन मुख्य पर्याय असतात: ऑन-प्रिमाइसेस (on-premises) आणि क्लाउड-होस्टेड.

FreeRADIUS किंवा Microsoft Network Policy Server सारख्या प्लॅटफॉर्मचा वापर करणारे ऑन-प्रिमाइसेस RADIUS, तुम्हाला पायाभूत सुविधांवर पूर्ण नियंत्रण देते. स्टेडियम किंवा हॉस्पिटलसारख्या एका मोठ्या ठिकाणासाठी, हा योग्य निर्णय असू शकतो. ऑथेंटिकेशन विनंत्या स्थानिक नेटवर्कवरून जातात, ज्यामुळे तुम्हाला सब-मिल्लीसेकंड प्रतिसाद वेळ मिळतो. आणि जर तुमची ओळख निर्देशिका (identity directory) ऑन-प्रिमाइसेस Active Directory असेल जी अनुपालन (compliance) कारणांमुळे इंटरनेटवर उघड केली जाऊ शकत नाही, तर ऑन-प्रिमाइसेस RADIUS सर्व्हर हा सहसा तुमचा एकमेव व्यवहार्य पर्याय असतो.

तथापि, बहु-साइट संस्थांसाठी, ऑन-प्रिमाइसेस RADIUS मुळे लक्षणीय ऑपरेशनल ओव्हरहेड वाढतो. तुम्ही प्रत्येक ठिकाणी स्वतंत्र सर्व्हर इन्स्टन्स व्यवस्थापित करत आहात, प्रमाणपत्र नूतनीकरण (certificate renewals) मॅन्युअली हाताळत आहात आणि मध्यरात्री दोन वाजता काहीतरी बिघडल्यास त्याच्या परिणामांना सामोरे जात आहात.

Cloud RADIUS हे पूर्णपणे बदलते. पायाभूत सुविधा जागतिक स्तरावर मल्टिपल उपलब्धता झोनमध्ये होस्ट केल्या जातात. जेव्हा एखादा वापरकर्ता शाखेच्या ठिकाणी कनेक्ट होतो, तेव्हा विनंती सर्वात जवळच्या क्लाउड एज नोडकडे पाठवली जाते. हाय अव्हेलेबिलिटी (High availability) डीफॉल्टनुसार अंगभूत असते. आणि प्रमाणपत्र रोटेशन स्वयंचलित असते, ज्यामुळे ऑन-प्रिमाइसेस उपयोजनांमधील ऑथेंटिकेशन आउटेजचे सर्वात सामान्य कारण दूर होते.

Microsoft Entra ID, Okta, किंवा Google Workspace सारख्या क्लाउड-नेटिव्ह ओळख प्रदात्यांसह बहु-साइट संस्थांसाठी, Cloud RADIUS हा जवळजवळ नेहमीच ऑपरेशनलदृष्ट्या उत्कृष्ट पर्याय असतो. Purple चे Cloud RADIUS थेट Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, आणि Fortinet सोबत एकत्रित होते. याचा अर्थ तुम्ही एकही ॲक्सेस पॉइंट न बदलता तुमच्या संपूर्ण हार्डवेअर इस्टेटवर हे उपयोजित करू शकता.

हे स्पष्ट करण्यासाठी मला तुमच्यासोबत दोन वास्तविक परिस्थिती सामायिक करू द्या.

पहिली सहा देशांमधील ४५ मालमत्ता असलेली युरोपियन हॉटेल चेन आहे. आयटी टीम प्रत्येक मालमत्तेवर व्हर्च्युअल मशीनवर FreeRADIUS चालवत होती, पॅच, मॉनिटर आणि देखरेख करण्यासाठी ४५ स्वतंत्र इन्स्टन्स होते. जेव्हा एका मालमत्तेचे प्रमाणपत्र कालबाह्य झाले, तेव्हा एका मोठ्या परिषदेदरम्यान अतिथींचा WiFi पूर्णपणे बंद पडला. त्यांनी Cloud RADIUS सेवेवर स्थलांतर केले, ज्यामुळे पॉलिसी व्यवस्थापन केंद्रित झाले आणि प्रत्येक साइटची देखरेख दूर झाली. तीन अभियंत्यांच्या टीमने पूर्वी RADIUS देखभालीवर घालवलेल्या वेळेपैकी साधारणपणे ४० टक्के वेळ परत मिळवला.

दुसरी परिस्थिती ६८,००० आसने असलेले राष्ट्रीय क्रीडा स्टेडियम आहे. डेटा सार्वभौमत्वाबाबत आयटी टीमच्या कडक आवश्यकता होत्या. सर्व ऑथेंटिकेशन लॉग यूकेच्या भूमीवरच राहिले पाहिजेत. त्यांनी ॲक्टिव्ह-ॲक्टिव्ह कॉन्फिगरेशनमध्ये दुहेरी ऑन-प्रिमाइसेस RADIUS क्लस्टर तैनात केले, ज्याचा दुय्यम क्लस्टर २० मैल दूर असलेल्या को-लोकेशन सुविधेत होता. यामुळे त्यांना स्थानिक नियंत्रण, सब-मिल्लीसेकंड ऑथेंटिकेशन आणि इंटरनेट कनेक्टिव्हिटीवर अवलंबून न राहता अचानक वाढणाऱ्या ट्रॅफिकला हाताळण्याची क्षमता मिळाली.

हे दोन प्रसंग निर्णय घेण्याची चौकट स्पष्टपणे स्पष्ट करतात. जेव्हा तुमच्याकडे वितरित मल्टी-साइट फूटप्रिंट, क्लाउड-नेटिव्ह आयडेंटिटी प्रदाते आणि लहान केंद्रीय आयटी टीम असेल तेव्हा Cloud RADIUS निवडा. जेव्हा तुमच्याकडे डेटा सार्वभौमत्वाच्या कडक आवश्यकता असलेले एकच मोठे स्थान किंवा एअर-गॅप केलेले सुरक्षा वातावरण असेल तेव्हा ऑन-प्रिमाइसेस निवडा.

आता, आम्ही वारंवार ऐकत असलेल्या काही जलद प्रश्नांवर नजर टाकूया.

पहिला: server RADIUS आणि Captive Portal मध्ये काय फरक आहे? Captive Portal हे लॉगिन पेज आहे जे पाहुण्यांना जोडणी करताना दिसते. हे RADIUS सोबत काम करते. पोर्टल हे युजर इंटरफेस आहे; server RADIUS हे बॅक-एंड इंजिन आहे.

दुसरा: मी वायर्ड नेटवर्कसाठी RADIUS वापरू शकतो का? नक्कीच. 802.1X मानक वायर्ड इथरनेट आणि वायरलेस नेटवर्कला सारखेच लागू होते.

तिसरा: माझ्या Cloud RADIUS प्रदात्यामध्ये आउटेज (खंडित सेवा) झाल्यास काय होईल? प्रतिष्ठित प्रदाते ९९.९९ टक्के अपटाइमचे सेवा स्तर करार प्रकाशित करतात, ज्याला मल्टी-रीजन रिडंडन्सीचा पाठबळ असतो. परिस्थिती व्यवस्थित हाताळण्यासाठी, तुमच्या ॲक्सेस पॉइंट्सला नेहमी फॉलबॅक पॉलिसीसह कॉन्फिगर करा, मग ते मर्यादित VLAN मध्ये खुले ॲक्सेस असो किंवा स्थानिक पातळीवर कॅश केलेले क्रेडेंशियल्स असो.

चौथा: RADIUS अतिथी WiFi सोबत कसे काम करते? अभ्यागतांना WiFi प्रदान करणाऱ्या ठिकाणांसाठी, तुमच्या server RADIUS इन्फ्रास्ट्रक्चरला Captive Portal सोल्यूशनसह एकत्रित केल्याने एक स्तरित ॲक्सेस मॉडेल तयार होते. कर्मचारी आणि कॉर्पोरेट डिव्हाइसेस ८०२.१X द्वारे शांतपणे ऑथेंटिकेट होतात, तर अतिथींना ऑनबोर्डिंगसाठी ब्रँडेड पोर्टलवर निर्देशित केले जाते. Purple चे प्लॅटफॉर्म नंतर फर्स्ट-पार्टी डेटा गोळा करते आणि अभ्यागतांच्या वर्तनावर विश्लेषण प्रदान करते, ज्यामुळे तुमचे नेटवर्क खर्चाच्या केंद्राकडून बिझनेस इंटेलिजन्स मालमत्तेत बदलते.

थोडक्यात सांगायचे तर. Server RADIUS हा केंद्रीकृत प्रोटोकॉल आहे जो एंटरप्राइझ WiFi सुरक्षेला सक्षम करतो. तुमच्या नेटवर्कमध्ये कोण प्रवेश करू शकते, ते काय करू शकतात यावर तुम्हाला बारीक नियंत्रण देण्यासाठी आणि त्यांच्या क्रियाकलापांचा संपूर्ण ऑडिट ट्रेल देण्यासाठी हे AAA फ्रेमवर्क लागू करते. कार्यक्रम स्थळ चालक, हॉटेल व्यावसायिक, किरकोळ विक्रेते आणि सार्वजनिक क्षेत्रातील संस्थांसाठी, server RADIUS तैनात करणे हे सुरक्षित, सुसंगत आणि व्यावसायिकरित्या व्यवस्थापित WiFi इन्फ्रास्ट्रक्चर तयार करण्यासाठीचे मूलभूत पाऊल आहे.

तुमचे पुढील पाऊल स्पष्ट आहे. जर तुम्ही अजूनही प्री-शेअर्ड की वापरत असाल, तर आजच तुमच्या मायग्रेशनचे नियोजन सुरू करा. WPA3-Enterprise समर्थनासाठी तुमच्या वर्तमान हार्डवेअरचे पुनरावलोकन करा, तुमच्या आयडेंटिटी डिरेक्टरी इंटिग्रेशन पर्यायांचे मूल्यांकन करा आणि तुमच्या संस्थेसोबत वाढू शकणाऱ्या Cloud RADIUS प्लॅटफॉर्मचा शोध घ्या.

अधिक तांत्रिक मार्गदर्शक आणि अंमलबजावणी संसाधनांसाठी, आम्हाला purple dot ai वर भेट द्या. पुढील वेळेपर्यंत, सुरक्षित राहा.

महत्वाचे मुद्दे

✓सर्व्हर RADIUS हे एंटरप्राइझ नेटवर्क ॲक्सेस कंट्रोलसाठी उद्योग मानक आहे, जे असुरक्षित प्री-शेअर्ड की च्या ऐवजी AAA फ्रेमवर्कद्वारे आयडेंटिटी-आधारित ऑथेंटिकेशनचा वापर करते.
✓डायनॅमिक VLAN असाइनमेंट ही अशी यंत्रणा आहे जी नेटवर्क सेगमेंटेशन लागू करते - रिटेल आणि हॉस्पिटॅलिटी वातावरणात PCI DSS अनुपालनासाठी हे एक अनिवार्य नियंत्रण आहे.
✓क्लायंट आणि सर्व्हर दरम्यान परस्पर प्रमाणपत्र प्रमाणीकरण (mutual certificate validation) करून पासवर्ड पूर्णपणे काढून टाकणारी EAP-TLS ही एक सुवर्ण मानक ऑथेंटिकेशन पद्धत आहे.
✓लहान केंद्रीय IT टीम्स असलेल्या मल्टी-साइट ठिकाणांसाठी क्लाउड RADIUS कार्यात्मकदृष्ट्या उत्कृष्ट आहे, जे ऑटोमेटेड प्रमाणपत्र रोटेशन, इन-बिल्ट उच्च उपलब्धता (high availability) आणि केंद्रीकृत पॉलिसी व्यवस्थापन प्रदान करते.
✓डेटा सार्वभौमत्व आवश्यकता, एअर-गॅप्ड वातावरण किंवा जुन्या ऑन-प्रिमायसेस डिरेक्टरी असलेल्या सिंगल मोठ्या ठिकाणांसाठी ऑन-प्रिमायसेस सर्व्हर RADIUS हाच योग्य पर्याय ठरतो.
✓प्रमाणपत्राची मुदत संपणे (certificate expiry) हे ऑन-प्रिमायसेस RADIUS आउटेजचे मुख्य कारण आहे - मुदत संपण्याच्या ६० दिवस, ३० दिवस आणि ७ दिवस आधी मॉनिटरिंग अलर्ट कॉन्फिगर करा.
✓Purple चे Cloud RADIUS हे ८०,०००+ लाइव्ह ठिकाणांवर ९९.९९९% अपटाइमसह Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme आणि Fortinet सोबत समाकलित होते.

मुख्य सारांश (Executive summary)

hospitality , retail , transport आणि मोठ्या सार्वजनिक ठिकाणांवर कार्यरत असलेल्या IT व्यवस्थापक, नेटवर्क आर्किटेक्ट आणि CTOs साठी, वायरलेस ॲक्सेस सुरक्षित करणे हा एक महत्त्वाचा कार्यात्मक नियम आहे - हा कोणताही पर्यायी पर्याय नाही. WiFi ॲक्सेससाठी प्री-शेअर्ड की (PSK) वर अवलंबून राहणे ही एक मोठी सुरक्षा त्रुटी आहे. केवळ एका क्रेडेंशियलशी तडजोड झाल्यास संपूर्ण नेटवर्क धोक्यात येते, आणि ॲक्सेस रद्द करण्यासाठी संपूर्ण परिसरातील प्रत्येक उपकरणाचा पासवर्ड बदलावा लागतो. सर्व्हर RADIUS (Remote Authentication Dial-In User Service) आर्किटेक्चरद्वारे 802.1X ऑथेंटिकेशन लागू केल्याने ही समस्या दूर होते. प्रत्येक युझर स्वतंत्रपणे ऑथेंटिकेट होतो, ॲक्सेस त्वरित रद्द केला जाऊ शकतो, आणि नेटवर्क विभाजन डायनॅमिकपणे लागू केले जाते.

सर्व्हर RADIUS AAA फ्रेमवर्क लागू करतो: Authentication (ऑथेंटिकेशन), Authorisation (ऑथरायझेशन) आणि Accounting (अकाउंटिंग). हे Microsoft Entra ID, Okta, किंवा Google Workspace सारख्या डिरेक्ट्रींच्या विरूद्ध ओळख पडताळते, डायनॅमिक VLAN असाइनमेंटद्वारे युझर्सना योग्य नेटवर्क विभागात समाविष्ट करते आणि प्रत्येक सेशनसाठी तपशीलवार ऑडिट ट्रेल राखते. PCI DSS, GDPR, किंवा Cyber Essentials लागू असलेल्या संस्थांसाठी, हा ऑडिट ट्रेल ऐच्छिक नाही. ही एक कठोर अनुपालन आवश्यकता आहे. Purple चे Cloud RADIUS सर्व्हर सर्टिफिकेट-आधारित 802.1X ऑथेंटिकेशनद्वारे कर्मचारी आणि कॉर्पोरेट उपकरणांना सुरक्षित करते, जे ८०,०००+ हून अधिक लाइव्ह ठिकाणांवर Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, आणि Fortinet सोबत जोडलेले आहे.

तांत्रिक सखोल माहिती: सर्व्हर RADIUS आर्किटेक्चर

IEEE 802.1X मानक पोर्ट-आधारित नेटवर्क ॲक्सेस कंट्रोल (PNAC) परिभाषित करते. वायरलेस संदर्भात, नेटवर्कची सुरक्षा वाढवण्यासाठी एकत्र काम करणाऱ्या तीन प्राथमिक भूमिकांचा यात समावेश होतो.

भूमिका	घटक	जबाबदारी
Supplicant	क्लायंट उपकरण (लॅपटॉप, स्मार्टफोन)	नेटवर्क ॲक्सेसची विनंती करण्यासाठी क्रेडेंशियल्स सादर करते
Authenticator	WiFi ॲक्सेस पॉइंट किंवा कंट्रोलर	ॲक्सेस कंट्रोल लागू करतो; EAP संदेश पुढे पाठवतो
Authentication server	सर्व्हर RADIUS	क्रेडेंशियल्स सत्यापित करतो; मंजुरी किंवा नकार आणि पॉलिसी वैशिष्ट्ये पाठवतो

जेव्हा एखादा supplicant ॲक्सेस पॉइंटशी जोडला जातो, तेव्हा AP Extensible Authentication Protocol (EAP) संदेश वगळता इतर सर्व डेटा ट्रॅफिक ब्लॉक करतो. AP या EAP संदेशांना RADIUS पॅकेटमध्ये एन्कॅप्स्युलेट करतो आणि त्यांना UDP पोर्ट 1812 द्वारे सर्व्हर RADIUS कडे पाठवतो. सर्व्हर बॅकएंड डिरेक्ट्रीच्या मदतीने क्रेडेंशियल्सची पडताळणी करतो आणि Access-Accept किंवा Access-Reject संदेश देतो. जर मंजुरी मिळाली, तर AP पोर्ट अनब्लॉक करतो आणि क्लायंट ट्रॅफिक सुरळीतपणे सुरू होते.

व्यवहारातील AAA फ्रेमवर्क

Authentication (प्रमाणीकरण) हा पहिला स्तंभ आहे: एखादी व्यक्ती कोण आहे याची पडताळणी करणे. जेव्हा एखादे डिव्हाइस WPA3-Enterprise SSID शी कनेक्ट होते, तेव्हा server RADIUS कॉन्फिगर केलेल्या ओळख स्त्रोतासह (identity source) सादर केलेली क्रेडेन्शियल्स किंवा प्रमाणपत्राची तपासणी करते. Microsoft Entra ID, Okta आणि Google Workspace हे मान्यताप्राप्त क्लाउड आयडेंटिटी प्रोव्हाइडर्स आहेत जे आधुनिक Cloud RADIUS प्लॅटफॉर्मसह थेट समाकलित (integrate) होतात.

Authorisation (अधिकार प्रदान करणे) हा दुसरा स्तंभ आहे: प्रमाणित वापरकर्ता काय करू शकतो हे निर्धारित करणे. server RADIUS हे ॲक्सेस पॉइंटला RADIUS ॲट्रिब्युट्स रिटर्न करते, ज्यामध्ये सर्वात महत्त्वाचा VLAN ID असतो. फायनान्स टीममधील कर्मचारी अंतर्गत सिस्टम्सच्या ॲक्सेससह VLAN 10 वर जातो. कॉन्ट्रॅक्टर केवळ इंटरनेट ॲक्सेससह VLAN 20 वर जातो. पाहुणा (guest) सर्व कॉर्पोरेट संसाधनांपासून वेगळा राहून VLAN 30 वर जातो. हे डायनॅमिक VLAN असाइनमेंट ही अशी यंत्रणा आहे जी योग्य नेटवर्क सेगमेंटेशन सक्षम करते - जे किरकोळ व्यापार (retail) वातावरणात PCI DSS पालनासाठी (compliance) एक अनिवार्य नियंत्रण आहे.

Accounting (लेखांकन) हा तिसरा स्तंभ आहे: प्रत्यक्षात काय घडले याची नोंद करणे. server RADIUS प्रत्येक डिव्हाइसच्या सेशन सुरू आणि संपण्याची वेळ, सेशनचा कालावधी, ट्रान्सफर केलेला डेटा आणि MAC ॲड्रेस लॉग करते. PCI DSS v4.0 अंतर्गत, हे लॉगिंग करणे ही एक सक्तीची आवश्यकता आहे. सुरक्षा घटनेच्या वेळी, हे लॉग्स कोणत्याही फॉरेन्सिक तपासाचा पाया असतात.

EAP पद्धतीची निवड

तुमच्या server RADIUS उपयोजनाची (deployment) सुरक्षा ही निवडलेल्या EAP पद्धतीवर मोठ्या प्रमाणावर अवलंबून असते. एंटरप्राइझ WiFi मधील सर्वात सामान्य तीन पद्धती म्हणजे PEAP, EAP-TTLS आणि EAP-TLS.

PEAP-MSCHAPv2 ही सर्वात मोठ्या प्रमाणावर वापरली जाणारी पद्धत आहे. हे सर्व्हर-साइड सर्टिफिकेट वापरून एक एन्क्रिप्टेड TLS टनेल तयार करते, ज्याच्या आत वापरकर्ता युझरनेम आणि पासवर्डद्वारे स्वतःचे प्रमाणीकरण करतो. हे उपयोजित (deploy) करणे तुलनेने सोपे आहे कारण तुम्हाला फक्त एकाच प्रमाणपत्राचे - सर्व्हरच्या - व्यवस्थापन करावे लागते. तथापि, क्लायंट डिव्हाइसेस जर सर्व्हर सर्टिफिकेटचे प्रमाणीकरण करण्यासाठी स्पष्टपणे कॉन्फिगर केलेले नसतील, तर त्यांच्यावर बनावट (rogue) ॲक्सेस पॉइंटचे हल्ले होऊ शकतात. हल्ला करणारा बनावट प्रमाणपत्र सादर करू शकतो आणि क्रेडेन्शियल्स चोरू शकतो. हा एक दस्तऐवजीकरण केलेला वास्तविक धोका आहे, सैद्धांतिक नाही. Group Policy Objects किंवा MDM प्रोफाइल्सद्वारे कोणत्याही अपवादाशिवाय कडक प्रमाणपत्र प्रमाणीकरण (strict certificate validation) लागू करा.

EAP-TLS हा सर्वोत्तम पर्याय (gold standard) आहे. यासाठी server RADIUS आणि प्रत्येक क्लायंट डिव्हाइस या दोन्हीवर डिजिटल प्रमाणपत्रांची आवश्यकता असते, ज्यामुळे पासवर्डची गरज पूर्णपणे संपुष्टात येते. हल्ला करणाऱ्याने पूर्ण प्रमाणीकरण एक्सचेंज (authentication exchange) हस्तगत केले तरीही, त्यातून काढण्यासाठी कोणतीही क्रेडेन्शियल्स नसतात. याचा एकच तोटा म्हणजे प्रशासकीय ओव्हरहेड: क्लायंट सर्टिफिकेट्सचे उपयोजन आणि व्यवस्थापन करण्यासाठी Public Key Infrastructure (PKI) आणि Microsoft Intune किंवा Jamf सारख्या MDM प्लॅटफॉर्मची आवश्यकता असते. कॉर्पोरेट डिव्हाइसेससाठी, EAP-TLS हीच प्रमाणीकरण पद्धत आहे ज्यासाठी तुम्ही प्रयत्न केले पाहिजेत. Purple चे Cloud RADIUS स्वयंचलित प्रमाणपत्र जीवनचक्र व्यवस्थापनासह (automated certificate lifecycle management) मूळतः (natively) EAP-TLS ला समर्थन देते.

अंमलबजावणी मार्गदर्शक: cloud विरुद्ध on-premises

सर्वर RADIUS आर्किटेक्चर तैनात करताना, आयटी (IT) टीम्सनी क्लाउड-होस्टेड (cloud-hosted) आणि ऑन-प्रिमाइसेस (on-premises) तैनाती यापैकी एक निवडणे आवश्यक आहे. हा या प्रकल्पातील सर्वात महत्त्वाचा आर्किटेक्चरल निर्णय आहे.

On-premises RADIUS, FreeRADIUS किंवा Microsoft Network Policy Server (NPS) सारखे प्लॅटफॉर्म्स वापरून, तुम्हाला इन्फ्रास्ट्रक्चरवर पूर्ण नियंत्रण देते. एकाच मोठ्या ठिकाणासाठी - जसे की स्टेडियम, रुग्णालय किंवा सरकारी सुविधा - हा योग्य निर्णय असू शकतो. ऑथेंटिकेशन विनंत्या स्थानिक LAN वरून प्रवास करतात, ज्यामुळे सब-मिलिसेकंद प्रतिसाद वेळ मिळतो. डेटा सार्वभौमत्वाच्या कारणांमुळे जर तुमची ओळख निर्देशिका (identity directory) ऑन-प्रिमाइसेस Active Directory असेल जी इंटरनेटवर उघड केली जाऊ शकत नाही, तर ऑन-प्रिमाइसेस सर्वर RADIUS हा बऱ्याचदा तुमचा एकमेव व्यवहार्य पर्याय असतो.

तथापि, बहु-साइट संस्थांसाठी, on-premises RADIUS लक्षणीय ऑपरेशनल ओव्हरहेड आणते. तुम्ही प्रत्येक ठिकाणी स्वतंत्र सर्वर इन्स्टन्स व्यवस्थापित करत आहात, मॅन्युअली प्रमाणपत्र नूतनीकरण हाताळत आहात आणि प्रमाणपत्र कालबाह्य झाल्यावर पहाटे दोन वाजता आऊटेजला प्रतिसाद देत आहात. ५० ठिकाणे असलेल्या रिटेल चेनसाठी, याचा अर्थ पॅच, मॉनिटर आणि देखरेख करण्यासाठी ५० स्वतंत्र RADIUS इन्स्टन्स असा होतो.

Cloud RADIUS हे पूर्णपणे बदलते. इन्फ्रास्ट्रक्चर जागतिक स्तरावर मल्टिपल अ‍ॅव्हेलेबिलिटी झोन्समध्ये होस्ट केले जाते. जेव्हा एखादा वापरकर्ता एखाद्या ब्रँचच्या ठिकाणी कनेक्ट होतो, तेव्हा ती विनंती जवळच्या क्लाउड एज नोडकडे जाते. हाय अ‍ॅव्हेलेबिलिटी बाय डीफॉल्ट अंगभूत असते. प्रमाणपत्र रोटेशन स्वयंचलित असते, ज्यामुळे ऑन-प्रिमाइसेस तैनातीमधील ऑथेंटिकेशन आऊटेजचे सर्वात सामान्य कारण दूर होते. Microsoft Entra ID, Okta किंवा Google Workspace सारख्या क्लाउड-नेटिव्ह ओळख प्रदात्यांसह बहु-साइट संस्थांसाठी, Cloud RADIUS हा जवळजवळ नेहमीच ऑपरेशनलदृष्ट्या सर्वोत्तम पर्याय असतो.

Purple चे Cloud RADIUS थेट Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, आणि Fortinet सोबत समाकलित (integrate) होते. तुम्ही एकही अ‍ॅक्सेस पॉईंट न बदलता तुमच्या संपूर्ण हार्डवेअर इस्टेटमध्ये हे तैनात करू शकता.

टप्प्याटप्प्याने तैनाती

टप्पा १: तुमचे तैनाती मॉडेल निवडा. तीन घटकांचे ऑडिट करा: तुमचे सध्याचे ओळख प्रदाता आणि ते क्लाउड-नेटिव्ह आहे की नाही; प्रत्येक साइटवरील तुमची WAN लवचिकता; आणि चालू देखरेख व्यवस्थापित करण्याची तुमच्या टीमची क्षमता. हे तीन घटक क्लाउड किंवा ऑन-प्रिमाइसेस हा योग्य मार्ग आहे की नाही हे ठरवतात.

टप्पा २: तुमचा ओळख स्रोत समाकलित करा. तुमचे सर्वर RADIUS तुमच्या संस्थेच्या ओळख निर्देशिकेशी (identity directory) कनेक्ट करा. बहुतेक Cloud RADIUS प्लॅटफॉर्म्स LDAP किंवा SAML द्वारे Microsoft Entra ID, Okta आणि Google Workspace सह थेट समाकलनाला समर्थन देतात. ऑन-प्रिमाइसेस Active Directory साठी, सुरक्षित कनेक्टरवर LDAP वापरा.

पायरी ३: तुमचे नेटवर्क हार्डवेअर कॉन्फिगर करा. WPA2-Enterprise किंवा WPA3-Enterprise साठी कॉन्फिगर केलेले नवीन SSID तयार करा आणि ते तुमच्या सर्वर RADIUS कडे निर्देशित करा. शेअर्ड सिक्रेट (shared secret) कॉन्फिगर करा - हा पासवर्ड ॲक्सेस पॉइंट आणि सर्वर RADIUS मधील कम्युनिकेशन एन्क्रिप्ट करतो. हे शेअर्ड सिक्रेट दोन्ही बाजूंनी तंतोतंत जुळले पाहिजे. सुरुवातीच्या सेटअप दरम्यान ऑथेंटिकेशन अयशस्वी होण्याचे सर्वात सामान्य कारणांपैकी एक म्हणजे हे जुळत नसणे हे आहे.

पायरी ४: ऑथोरायझेशन पॉलिसी निश्चित करा. तुमच्या आयडेंटिटी डिरेक्टरीमधील युझर ग्रुप्स नेटवर्क पॉलिसीशी मॅप करा. स्टाफला VLAN 10 वर पूर्ण प्रवेश मिळतो. पाहुण्यांना VLAN 20 वर केवळ-इंटरनेट प्रवेश मिळतो. IoT डिव्हाइसेसना फायरवॉल नियमांसह प्रतिबंधित VLAN मिळतो जो लॅटरल मूव्हमेंट ब्लॉक करतो.

पायरी ५: तुमच्या युझर्सना ऑनबोर्ड करा. कॉर्पोरेट स्टाफसाठी, तुमच्या MDM प्लॅटफॉर्मद्वारे WiFi प्रोफाइल्स डिप्लॉय करा. पाहुण्यांसाठी, captive portal वापरा. Purple चे Guest WiFi प्लॅटफॉर्म पाहुण्यांच्या ऑनबोर्डिंग प्रक्रियेला स्वयंचलित करते, ज्यामध्ये सोशल लॉगिन, नोंदणी फॉर्म आणि व्हाउचर कोडचे समर्थन आहे. स्टाफ आणि कॉर्पोरेट डिव्हाइसेस 802.1X द्वारे सायलेंटली ऑथेंटिकेट होतात, तर पाहुण्यांना ब्रँडेड पोर्टलवर निर्देशित केले जाते - एक टियर ॲक्सेस मॉडेल जे सुरक्षा आणि WiFi Analytics दोन्ही प्रदान करते.

गेस्ट, स्टाफ आणि IoT नेटवर्कमधील SSID आर्किटेक्चरच्या सखोल माहितीसाठी, Three SSIDs to rule them all: guest, Passpoint, and IoT WiFi पहा.

सर्वोत्तम पद्धती

प्रत्येक क्लायंट डिव्हाइसवर कडक सर्टिफिकेट व्हॅलिडेशन लागू करा. Windows डिव्हाइसेससाठी ग्रुप पॉलिसी ऑब्जेक्ट्स आणि macOS आणि मोबाईल डिव्हाइसेससाठी MDM प्रोफाइल्स वापरा. प्रोफाइलमध्ये कोणत्या Certificate Authority वर विश्वास ठेवायचा आणि अपेक्षित सर्वर नाव काय आहे हे तंतोतंत नमूद केले पाहिजे. हे मॅन्युअली कॉन्फिगर करण्यासाठी युझरवर सोडू नका. हे लागू न करणे हा PEAP डिप्लॉयमेंटवर क्रेडेंशियल चोरीसाठी प्राथमिक हल्ला करण्याचा मार्ग (attack vector) आहे.

किमान दोन सर्वर RADIUS इन्स्टन्स डिप्लॉय करा. प्रायमरी अनरीचेबल झाल्यास सेकंडरीवर फेल ओव्हर करण्यासाठी सर्व ॲक्सेस पॉइंट्स कॉन्फिगर करा. Cloud RADIUS साठी, ही रिडंडन्सी इन-बिल्ट असते आणि प्रदात्याद्वारे व्यवस्थापित केली जाते. ऑन-प्रिमाइसेससाठी, दोन भौगोलिकदृष्ट्या वेगळ्या ठिकाणी ॲक्टिव्ह-ॲक्टिव्ह क्लस्टर डिप्लॉय करा.

हेडलेस IoT डिव्हाइसेससाठी MAC Authentication Bypass (MAB) वापरा. प्रिंटर, सेन्सर आणि डिजिटल सायनेज 802.1X क्रेडेंशियल सादर करू शकत नाहीत. MAB हे MAC ॲड्रेसच्या आधारे ऑथेंटिकेशनला अनुमती देते. MAC ॲड्रेस सहजपणे स्पूफ केले जाऊ शकत असल्याने, नेहमी MAB-ऑथेंटिकेट केलेल्या डिव्हाइसेसना प्रतिबंधित VLAN आणि कॉर्पोरेट संसाधनांवरील प्रवेश ब्लॉक करणाऱ्या फायरवॉल नियमांसह जोडा.

शेअर्ड सिक्रेट्स नियमितपणे रोटेट करा. तुमचे ॲक्सेस पॉइंट्स आणि तुमचे सर्वर RADIUS मधील शेअर्ड सिक्रेट लांब, यादृच्छिक (random) आणि वेळोवेळी रोटेट केलेले असावे. कमकुवत किंवा डीफॉल्ट शेअर्ड सिक्रेट संपूर्ण ऑथेंटिकेशन साखळी कमकुवत करते. पेनिट्रेशन टेस्टिंगसह सेगमेंटेशन प्रमाणित करा. केवळ कॉन्फिगरेशन हा पुरावा नाही. एक पेनिट्रेशन टेस्ट आयोजित करा ज्यामध्ये वायरलेस वातावरण आणि VLAN सेगमेंटेशनचे प्रमाणीकरण स्पष्टपणे समाविष्ट असेल. एका टेस्टरने गेस्ट VLAN मधून कॉर्पोरेट संसाधनांमध्ये प्रवेश करण्याचा सक्रियपणे प्रयत्न केला पाहिजे आणि प्रत्येक प्रयत्न ब्लॉक केला गेल्याचे दस्तऐवजीकरण केले पाहिजे. तुमच्या PCI DSS क्वालिफाइड सिक्युरिटी असेसर्सला याच पुराव्याची गरज असते.

ट्रबलशूटिंग आणि जोखीम कमी करणे

सर्व्हर RADIUS उपयोजनांमधील सर्वात सामान्य बिघाड चार श्रेणींमध्ये येतात.

शेअर्ड सिक्रेट न जुळणे. ॲक्सेस पॉइंटवर कॉन्फिगर केलेले शेअर्ड सिक्रेट सर्व्हर RADIUS वरील सिक्रेटशी जुळत नसल्यास, प्रत्येक ऑथेंटिकेशनचा प्रयत्न कोणताही संदेश न दाखवता अयशस्वी होईल. शेअर्ड सिक्रेट्स नेहमी मॅन्युअली टाईप करण्याऐवजी कॉपी-पेस्ट करा. चाचणी घेण्यापूर्वी दोन्ही बाजूंचे कॉन्फिगरेशन तपासा.

प्रमाणपत्राची मुदत संपणे. ऑन-प्रिमाइसेस उपयोजनांवर, सर्व्हरचे प्रमाणपत्र कालबाह्य झाल्यास, प्रत्येक क्लायंट डिव्हाइस कनेक्शन नाकारेल. यामुळे कोणतीही चेतावणी न मिळता संपूर्ण ऑथेंटिकेशन खंडित होते. क्लाउड RADIUS प्रदाते प्रमाणपत्र रोटेशन स्वयंचलित करतात, ज्यामुळे ही जोखीम दूर होते. ऑन-प्रिमाइसेस उपयोजनांसाठी, मुदत संपण्याच्या ६० दिवस, ३० दिवस आणि सात दिवस आधी मॉनिटरिंग अलर्ट कॉन्फिगर करा.

क्लायंट प्रमाणपत्र प्रमाणीकरण लागू न करणे. जर PEAP क्लायंट सर्व्हर प्रमाणपत्र प्रमाणित करण्यासाठी कॉन्फिगर केलेले नसतील, तर ते प्रतिसाद देणाऱ्या कोणत्याही RADIUS सर्व्हरशी कनेक्ट होतील - ज्यामध्ये अनधिकृत (rogue) ॲक्सेस पॉइंट्स देखील समाविष्ट आहेत. प्रत्येक व्यवस्थापित डिव्हाइसवर GPO किंवा MDM प्रोफाइलद्वारे प्रमाणपत्र प्रमाणीकरण लागू करा.

क्लाउड RADIUS साठी WAN अवलंबित्व. क्लाउड RADIUS पूर्णपणे प्रत्येक ठिकाणच्या WAN लिंकवर अवलंबून असतो. इंटरनेट कनेक्शन खंडित झाल्यास, ऑथेंटिकेशन अयशस्वी होते. स्थानिक पातळीवर काम सुरू ठेवण्याची रणनीती लागू करा: महत्त्वपूर्ण कर्मचाऱ्यांसाठी क्रेडेंशियल कॅश करण्यासाठी ॲक्सेस पॉइंट्स कॉन्फिगर करा, किंवा इंटरनेट लिंकची उच्च उपलब्धता सुनिश्चित करण्यासाठी SD-WAN वापरा. नेहमी फॉलबॅक पॉलिसी कॉन्फिगर करा - एकतर मर्यादित VLAN ला ओपन ॲक्सेस द्या किंवा स्थानिक पातळीवर कॅश केलेले क्रेडेंशियल वापरा.

ROI आणि व्यावसायिक प्रभाव

सर्व्हर RADIUS आर्किटेक्चर उपयोजित केल्याने वायरलेस नेटवर्क एका असुरक्षिततेकडून मोजता येण्याजोग्या ऑपरेशनल फायद्यांसह एका व्यवस्थापित, सुरक्षित मालमत्तेत बदलते.

४५ प्रॉपर्टीज असलेल्या युरोपियन हॉटेल समूहासाठी, ४५ ऑन-प्रिमाइसेस FreeRADIUS इन्स्टन्सवरून क्लाउड RADIUS वर स्थलांतरित केल्याने केंद्रीय IT टीमचा देखभालीचा अंदाजे ४०% वेळ वाचला (Purple चा अंतर्गत डेटा). ही इंजिनिअरिंग क्षमता दैनंदिन कामे चालू ठेवण्याऐवजी धोरणात्मक उपक्रमांकडे वळवण्यात आली.

PCI DSS ऑडिटची तयारी करत असलेल्या रिटेल चेनसाठी, डायनॅमिक VLAN असाइनमेंटद्वारे योग्य नेटवर्क सेगमेंटेशन केल्याने गेस्ट WiFi नेटवर्क कार्डधारक डेटा एन्व्हायर्नमेंटच्या (Cardholder Data Environment) कक्षेमधून पूर्णपणे बाहेर पडते. Purple च्या Guest WiFi सारखे प्लॅटफॉर्म्स पेमेंट ट्रॅफिकपासून पूर्णपणे वेगळे असलेल्या गेस्ट-फेसिंग VLAN वर चालतात. ॲनालिटिक्स प्लॅटफॉर्म PCI च्या कक्षेबाहेर असतो, आणि व्यवसायाला महसूल देणारी साधने - गेस्ट ॲनालिटिक्स, लॉयल्टी प्रोग्राम, कस्टमर एंगेजमेंट - सुरक्षितपणे आणि आत्मविश्वासाने उपयोजित करण्याचे स्वातंत्र्य मिळते.

१० पेक्षा जास्त साइट्स आणि पाचपेक्षा कमी नेटवर्क इंजिनिअर्स असलेल्या संस्थांसाठी, Cloud RADIUS चा अंदाज लावता येणारा ऑपरेशनल खर्च साधारणपणे ऑन-प्रिमायसेस इन्फ्रास्ट्रक्चर राखण्याच्या तुलनेत १८ महिन्यांच्या आत गुंतवणुकीवर सकारात्मक परतावा (ROI) मिळवून देतो (Purple अंतर्गत डेटा). मोठ्या प्रमाणावर ऑन-प्रिमायसेस डिप्लॉयमेंटसाठी लागणारी हार्डवेअर खरेदी, वीज, कूलिंग आणि इंजिनिअरिंगचा वेळ हा व्यवस्थापित Cloud RADIUS सेवेच्या सबस्क्रिप्शन खर्चापेक्षा सातत्याने जास्त असतो.

Purple हे ९९.९९९% अपटाइम, ISO 27001 प्रमाणन, GDPR आणि CCPA अनुपालन, आणि Cyber Essentials प्रमाणनासह ८०,०००+ हून अधिक लाइव्ह ठिकाणी कार्यरत आहे. ज्या IT टीम्सना त्यांच्या बोर्डाला किंवा ऑडिटर्सना योग्य काळजी (due diligence) दाखवणे आवश्यक आहे, त्यांच्यासाठी ही प्रमाणपत्रे अशी थर्ड-पार्टी पडताळणी प्रदान करतात जी स्वतः व्यवस्थापित केलेले ऑन-प्रिमायसेस डिप्लॉयमेंट करू शकत नाही.

Purple च्या Cloud RADIUS ची पर्यायी प्लॅटफॉर्मशी तपशीलवार तुलना करण्यासाठी, Aruba ClearPass vs. Purple WiFi वैशिष्ट्ये आणि सह-डिप्लॉयमेंट तुलना पहा.

महत्वाच्या व्याख्या

Server RADIUS

रिमोट ऑथेंटिकेशन डायल-इन युझर सर्व्हिस. एक नेटवर्किंग प्रोटोकॉल सर्व्हर जो नेटवर्क प्रवेशासाठी केंद्रीकृत ऑथेंटिकेशन, ऑथरायझेशन आणि अकाउंटिंग (AAA) व्यवस्थापन प्रदान करतो. RFC 2865 मध्ये परिभाषित केलेला आणि त्यानंतरच्या RFCs द्वारे विस्तारित केलेला.

मुख्य इंजिन जे डिरेक्टरीच्या तुलनेत वापरकर्त्याच्या क्रेडेंशियल्सची पडताळणी करते आणि नेटवर्क ऍक्सेस पॉलिसी निर्देशित करते. 802.1X वापरणाऱ्या प्रत्येक एंटरप्राइझ WiFi डिप्लॉयमेंटला server RADIUS ची आवश्यकता असते.

802.1X

पोर्ट-आधारित नेटवर्क ऍक्सेस कंट्रोलसाठी एक IEEE मानक जे LAN किंवा WLAN ला जोडू इच्छिणाऱ्या डिव्हाइसेससाठी ऑथेंटिकेशन यंत्रणा प्रदान करते. हे सप्लिकंट (Supplicant), ऑथेंटिकेटर (Authenticator) आणि ऑथेंटिकेशन सर्व्हर (Authentication Server) च्या भूमिका परिभाषित करते.

RADIUS सर्व्हरशी संवाद साधण्यासाठी ऍक्सेस पॉईंट्स ज्या मानकाचा वापर करतात. 802.1X शिवाय, नेटवर्कच्या सीमेवर अनऑथेंटिकेटेड डिव्हाइसेस ब्लॉक करण्यासाठी कोणतीही यंत्रणा नाही.

EAP-TLS

एक्सटेन्सिबल ऑथेंटिकेशन प्रोटोकॉल - ट्रान्सपोर्ट लेयर सिक्युरिटी. क्लायंट डिव्हाइस आणि RADIUS सर्व्हर या दोन्हीवर डिजिटल सर्टिफिकेट्स आवश्यक असणारी एक ऑथेंटिकेशन पद्धत. यामध्ये पासवर्डचा वापर न करता परस्पर ऑथेंटिकेशन प्रदान केले जाते.

कॉर्पोरेट डिव्हाइसेस ऑथेंटिकेट करण्यासाठी सुवर्ण मानक. क्रेडेन्शियल चोरी आणि फिशिंग हल्ले प्रतिबंधित करते. क्लायंट सर्टिफिकेट्स मोठ्या प्रमाणावर तैनात करण्यासाठी PKI आणि MDM प्लॅटफॉर्मची आवश्यकता असते.

PEAP-MSCHAPv2

प्रोटेक्टेड एक्सटेन्सिबल ऑथेंटिकेशन प्रोटोकॉल विथ मायक्रोसॉफ्ट चॅलेंज हँडशेक ऑथेंटिकेशन प्रोटोकॉल व्हर्जन २. एक कूटबद्ध (encrypted) बोगदा तयार करण्यासाठी सर्व्हर-साइड TLS सर्टिफिकेटचा वापर करते, ज्याच्या आत वापरकर्ता युझरनेम आणि पासवर्डसह ऑथेंटिकेट करतो.

सर्वात सामान्य एंटरप्राइझ WiFi ऑथेंटिकेशन पद्धत. केवळ तेव्हाच सुरक्षित असते जेव्हा क्लायंट्सना GPO किंवा MDM प्रोफाइल्सद्वारे सर्व्हर सर्टिफिकेट सत्यापित करण्यासाठी स्पष्टपणे कॉन्फिगर केले जाते.

डायनॅमिक VLAN असाइनमेंट

अशी प्रक्रिया ज्याद्वारे RADIUS सर्व्हर ऑथेंटिकेट झालेल्या वापरकर्त्याला डिरेक्टरीमधील त्यांची ओळख आणि गट सदस्यत्वाच्या आधारे विशिष्ट व्हर्च्युअल लोकल एरिया नेटवर्क (VLAN) वर ठेवण्यासाठी ऍक्सेस पॉईंटला निर्देश देतो.

नेटवर्क विभाजन लागू करणारी यंत्रणा. रिटेल आणि हॉस्पिटॅलिटी क्षेत्रात PCI DSS च्या अनुपालनासाठी अत्यंत आवश्यक. एकाच SSID ला स्वतंत्र नेटवर्क विभागांवर कर्मचारी, कंत्राटदार, अतिथी आणि IoT डिव्हाइसेसना सेवा देण्याची परवानगी देते.

AAA फ्रेमवर्क

ऑथेंटिकेशन, ऑथरायझेशन आणि अकाउंटिंग. नेटवर्क ऍक्सेस व्यवस्थापित करण्यासाठी RADIUS सर्व्हरद्वारे लागू केलेले तीन-स्तंभांचे फ्रेमवर्क. ऑथेंटिकेशन ओळख सत्यापित करते, ऑथरायझेशन प्रवेशाची पातळी निर्धारित करते, अकाउंटिंग सेशनच्या क्रियाकलापांची नोंद ठेवते.

सर्व RADIUS सर्व्हर तैनातीचा वैचारिक पाया. पेमेंट डेटा हाताळणाऱ्या नेटवर्कसाठी PCI DSS v4.0 अंतर्गत हे तिन्ही स्तंभ लागू करणे आवश्यक आहे.

सप्लिकंट (Supplicant)

क्लायंट डिव्हाइस (लॅपटॉप, स्मार्टफोन, IoT सेन्सर) जे ऑथेंटिकेटरकडे क्रेडेन्शियल्स किंवा सर्टिफिकेट सादर करून नेटवर्कच्या प्रवेशासाठी विनंती करते.

असे एंडपॉइंट ज्याने RADIUS सर्व्हर ऑथेंटिकेशन चॅलेंज पूर्ण केले पाहिजे. कोणता घटक अयशस्वी होत आहे हे समजून घेणे हा प्रभावी समस्येचे निवारण (troubleshooting) करण्याचा पाया आहे.

Captive Portal

एक वेब पृष्ठ ज्याच्याशी वापरकर्त्यांना सार्वजनिक WiFi नेटवर्कवर प्रवेश मिळण्यापूर्वी संवाद साधावा लागतो. हे वापरकर्त्यासमोरील ऑनबोर्डिंग अनुभव हाताळते तर RADIUS सर्व्हर बॅक-एंड ऑथेंटिकेशन आणि सेशन पॉलिसी अंमलबजावणी व्यवस्थापित करतो.

हॉस्पिटॅलिटी, रिटेल आणि कार्यक्रमाच्या ठिकाणी अतिथींना ऑनबोर्ड करण्यासाठी वापरले जाते. RADIUS सर्व्हरच्या संयोगाने कार्य करते - पोर्टल हा वापरकर्ता इंटरफेस आहे, तर RADIUS सर्व्हर हा बॅक-एंड इंजिन आहे.

MAC ऑथेंटिकेशन बायपास (MAB)

एक यंत्रणा जी 802.1X क्षमता नसलेल्या डिव्हाइसेसना (प्रिंटर्स, IoT सेन्सर्स, डिजिटल साइनेज) क्रेडेन्शियल्स किंवा सर्टिफिकेट्सऐवजी त्यांच्या MAC ऍड्रेसच्या आधारे ऑथेंटिकेट करण्याची परवानगी देते.

अशा हेडलेस डिव्हाइसेससाठी आवश्यक जे 802.1X सप्लिकंट चालवू शकत नाहीत. MAC ऍड्रेस सहजपणे स्पूफ केले जाऊ शकत असल्याने, MAB-ऑथेंटिकेटेड डिव्हाइसेस नेहमी अत्यंत प्रतिबंधित VLAN वर ठेवले पाहिजेत.

शेअर्ड सिक्रेट

एक पासवर्ड जो ऍक्सेस पॉईंट (RADIUS क्लायंट) आणि RADIUS सर्व्हरमधील संवाद कूटबद्ध (encrypt) करतो. दोन्ही बाजूंनी तो तंतोतंत कॉन्फिगर केलेला असणे आणि वेळोवेळी बदलणे आवश्यक आहे.

सुरुवातीच्या तैनाती दरम्यान ऑथेंटिकेशन अयशस्वी होण्याच्या सर्वात सामान्य कारणांपैकी एक म्हणजे विसंगत शेअर्ड सिक्रेट असणे होय. नेहमी मॅन्युअली टाईप करण्याऐवजी कॉपी-पेस्ट करा.

सोडवलेली उदाहरणे

एका २०० खोल्यांच्या हॉटेलला आयसोलेटेड गेस्ट WiFi ऍक्सेस प्रदान करतानाच 802.1X द्वारे कर्मचाऱ्यांच्या उपकरणांना सुरक्षित करणे आवश्यक आहे. प्रॉपर्टी मॅनेजमेंट सिस्टम कर्मचाऱ्यांच्या उपकरणांवर चालते आणि ती गेस्ट नेटवर्कवरून ऍक्सेसिबल नसावी. हे हॉटेल एका तीन सदस्यीय केंद्रीय IT टीमद्वारे व्यवस्थापित केलेल्या ४५-प्रॉपर्टी ग्रुपचा भाग आहे.

Microsoft Entra ID सह एकत्रित केलेले Purple चे Cloud RADIUS डिप्लॉय करा. EAP-TLS सह WPA3-Enterprise वापरून स्टाफ SSID कॉन्फिगर करा, Microsoft Intune द्वारे सर्व कर्मचाऱ्यांच्या उपकरणांवर क्लायंट सर्टिफिकेट्स डिप्लॉय करा. कर्मचाऱ्यांच्या उपकरणांना डायनॅमिकरित्या VLAN 10 वर असाइन करण्यासाठी server RADIUS कॉन्फिगर करा, ज्यामध्ये प्रॉपर्टी मॅनेजमेंट सिस्टम आणि अंतर्गत प्रिंटरचा ऍक्सेस आहे. ऑनबोर्डिंगसाठी Captive Portal सह WPA2-Personal वापरून स्वतंत्र गेस्ट SSID डिप्लॉय करा, जे VLAN 20 वर केवळ-इंटरनेट ऍक्सेससह असाइन केलेले असेल आणि VLAN 10 कडील सर्व ट्रॅफिक ब्लॉक करणारे कडक फायरवॉल नियम असतील. Cloud RADIUS एकाच मॅनेजमेंट डॅशबोर्डवरून सर्व ४५ प्रॉपर्टीज हाताळते, ज्यामुळे स्वयंचलित सर्टिफिकेट रोटेशनमुळे प्रति-साइट मेंटेनन्सचा खर्च कमी होतो ज्यासाठी पूर्वी टीमचा ४०% वेळ खर्च होत असे.

परीक्षकाचे भाष्य: हा प्रसंग मल्टि-साइट हॉस्पिटॅलिटीसाठी Cloud RADIUS चे मुख्य मूल्य स्पष्ट करतो. Server RADIUS हा EAP-TLS द्वारे स्टाफ ऑथेंटिकेशन हाताळतो, ज्यामुळे संवेदनशील ऑपरेशनल सिस्टम ऍक्सेस करणाऱ्या उपकरणांना सर्वात मजबूत सुरक्षा मिळते. Captive Portal स्वतंत्रपणे गेस्ट ऑनबोर्डिंग व्यवस्थापित करते, तर VLAN आयसोलेशन हे सुनिश्चित करते की गेस्ट नेटवर्क PCI DSS च्या कक्षेबाहेर राहील. ४५ प्रॉपर्टीज व्यवस्थापित करणाऱ्या तीन लोकांच्या टीमसाठी क्लाउड डिप्लॉयमेंट मॉडेल हा सर्वात निर्णायक घटक आहे - ऑन-प्रिमाइसेससाठी देखभालीसाठी ४५ स्वतंत्र इन्स्टन्सची आवश्यकता भासली असती.

५० स्टोअर्स असलेल्या एका रिटेल चेनला त्यांच्या स्थानिक FreeRADIUS सर्व्हरवरील कालबाह्य झालेल्या सर्टिफिकेट्समुळे वारंवार ऑथेंटिकेशन आउटेजचा सामना करावा लागत आहे. POS टॅब्लेट्स 802.1X द्वारे ऑथेंटिकेट होतात आणि प्रत्येक आउटेजमुळे जोपर्यंत सर्टिफिकेट मॅन्युअली रिन्यू होत नाही तोपर्यंत कर्मचाऱ्यांना पेमेंट प्रक्रियेत अडथळा येतो. IT निर्देशकाला पुढील पीक ट्रेडिंग कालावधीपूर्वी ही त्रुटी दूर करायची आहे.

५० ऑन-प्रिमाइसेस FreeRADIUS इन्स्टन्स वरून सेंट्रलाइज्ड Cloud RADIUS प्लॅटफॉर्मवर स्थलांतरित करा. कॉर्पोरेट Okta डिरेक्टरीसह Cloud RADIUS एकत्रित करा. सर्व ५० ठिकाणांच्या ऍक्सेस पॉइंट कॉन्फिगरेशन्स नवीन Cloud RADIUS एंडपॉइंट्सकडे निर्देशित करण्यासाठी अपडेट करा. POS टॅब्लेट्सना VLAN 10 (पेमेंट नेटवर्क) वर आणि स्टाफ उपकरणांना VLAN 20 (कॉर्पोरेट नेटवर्क) वर ठेवण्यासाठी डायनॅमिक VLAN असाइनमेंट कॉन्फिगर करा. क्लाउड प्रदाता सर्व सर्व्हर सर्टिफिकेट रोटेशन स्वयंचलितपणे हाताळतो. पुढील ऑडिट सायकलपूर्वी पेनिट्रेशन टेस्टद्वारे पेमेंट नेटवर्क आणि गेस्ट WiFi नेटवर्कमधील VLAN सेगमेंटेशनची पडताळणी करा.

परीक्षकाचे भाष्य: आउटेजचे मूळ कारण म्हणजे ५० वेगवेगळ्या ऑन-प्रिमाइसेस इन्स्टन्सवर मॅन्युअल सर्टिफिकेट मॅनेजमेंट - हे डिस्ट्रिब्युटेड रिटेल IT मालमत्तेसाठी एक सामान्य ऑपरेशनल रिस्क आहे. Cloud RADIUS सर्टिफिकेट लाइफसायकल मॅनेजमेंट स्वयंचलित करून हे दूर करते. हे स्थलांतर पॉलिसी मॅनेजमेंट देखील सेंट्रलाइज करते, ज्याचा अर्थ प्रत्येक साइटवर मॅन्युअल अपडेट्सची आवश्यकता असण्याऐवजी पॉलिसीमधील बदल एकाच वेळी सर्व ५० ठिकाणांवर लागू होतो. पेनिट्रेशन टेस्टची शिफारस PCI DSS च्या सेगमेंटेशनची केवळ कॉन्फिगर न करता पडताळणी करण्याच्या आवश्यकतेची पूर्तता करते.

सराव प्रश्न

Q1. एक रिटेल ठिकाण PCI DSS v4.0 ऑडिटची तयारी करत आहे. ते सध्या कर्मचाऱ्यांच्या POS टॅब्लेट आणि अतिथी प्रवेश (guest access) या दोन्हीसाठी प्री-शेअर्ड की सह एकच SSID चालवत आहेत. क्वालिफाइड सिक्युरिटी असेसर्सने (QSA) याला एक गंभीर त्रुटी म्हणून चिन्हांकित केले आहे. यासाठी तात्काळ कोणता आर्किटेक्चरल बदल आवश्यक आहे आणि या समस्येचे निवारण करण्यासाठी कोणती सर्व्हर RADIUS वैशिष्ट्ये महत्त्वपूर्ण आहेत?

टीप: नेटवर्क विभाजन आणि ते डायनॅमिकपणे लागू करणाऱ्या विशिष्ट RADIUS वैशिष्ट्यावर लक्ष केंद्रित करा.

नमुना उत्तर पहा

802.1X प्रमाणीकरण लागू करण्यासाठी आणि सामायिक केलेला PSK बदलण्यासाठी त्या ठिकाणाने सर्व्हर RADIUS तैनात करणे आवश्यक आहे. याचे मुख्य वैशिष्ट्य म्हणजे डायनॅमिक VLAN असाइनमेंट: सर्व्हर RADIUS कॉन्फिगर करणे आवश्यक आहे जेणेकरून POS टॅब्लेट पेमेंट VLAN वर आणि अतिथींना वेगळ्या इंटरनेट-ओन्ली VLAN वर ठेवता येईल, ज्यामध्ये कठोर फायरवॉल नियमांमुळे त्यांच्यामधील ट्रॅफिक पूर्णपणे प्रतिबंधित असेल. अतिथी SSID ने ऑनबोर्डिंगसाठी Captive Portal चा वापर केला पाहिजे. PCI DSS आवश्यकता 11 ची पूर्तता करण्यासाठी, केवळ कॉन्फिगरेशन पुनरावलोकन न करता पेनेट्रेशन चाचणीद्वारे या विच्छेदनाचे (segmentation) प्रमाणीकरण केले पाहिजे.

Q2. 30 शाखा कार्यालये असलेली एक संस्था Cloud RADIUS आणि ऑन-प्रिमाइसेस सर्व्हर RADIUS यापैकी एकाची निवड करत आहे. त्यांच्याकडे चार अभियंत्यांची एक लहान मध्यवर्ती आयटी टीम आहे, ते ओळख व्यवस्थापनासाठी Okta वापरतात आणि त्यांच्याकडे कोणतीही डेटा सार्वभौमत्व (data sovereignty) आवश्यकता नाही. कोणत्या मॉडेलची शिफारस केली जाते आणि त्याचे मुख्य कार्यात्मक समर्थन काय आहे?

टीप: 30 स्वतंत्र इन्स्टन्स व्यवस्थापित करण्याच्या देखभालीच्या खर्चाची आणि केंद्रीकृत क्लाउड सेवेची तुलना करा.

नमुना उत्तर पहा

Cloud RADIUS ची जोरदार शिफारस केली जाते. 30 साइट्स आणि चार अभियंत्यांसह, 30 ऑन-प्रिमाइसेस सर्व्हर RADIUS इन्स्टन्स तैनात करणे आणि त्यांची देखभाल करणे यामुळे टीमच्या क्षमतेचा मोठा हिस्सा खर्च होईल. Cloud RADIUS हे Okta सह मूळ रूपात समाकलित होते, प्रमाणपत्र रोटेशन स्वयंचलित करते आणि टीमला मूलभूत पायाभूत सुविधांचे व्यवस्थापन न करता अंगभूत उच्च उपलब्धता प्रदान करते. डेटा सार्वभौमत्वाची आवश्यकता नसल्यामुळे ऑन-प्रिमाइसेसचा मुख्य आधार नाहीसा होतो. WAN वरील अवलंबित्व सुरळीतपणे हाताळण्यासाठी टीमने फॉलबॅक पॉलिसीसह ॲक्सेस पॉइंट्स कॉन्फिगर केले पाहिजेत.

Q3. PEAP-MSCHAPv2 तैनाती दरम्यान, युजर्स कॉर्पोरेट WiFi SSID शी कनेक्ट करताना त्यांच्या डिव्हाइसेसवर सुरक्षा प्रमाणपत्र चेतावणी (security certificate warnings) आल्याची तक्रार करतात. काही युजर्स या इशाऱ्यांकडे दुर्लक्ष करून कनेक्ट करत आहेत. यामध्ये कोणता सुरक्षा धोका आहे आणि कोणती कॉन्फिगरेशन पायरी सुटली आहे?

टीप: जेव्हा एखादा क्लायंट सर्व्हर प्रमाणपत्र प्रमाणित करत नाही तेव्हा काय होते आणि एखादा हल्लेखोर याचा कसा फायदा घेऊ शकतो याचा विचार करा.

नमुना उत्तर पहा

यामध्ये सुरक्षेचा धोका म्हणजे रोग ॲक्सेस पॉइंट (rogue access point) हल्ला होय. सक्तीच्या प्रमाणपत्र प्रमाणीकरणाशिवाय, क्लायंट डिव्हाइस कोणत्याही प्रतिसाद देणाऱ्या सर्व्हर RADIUS शी कनेक्ट होईल - अगदी हल्लेखोराद्वारे चालवल्या जाणाऱ्या सर्व्हरशी देखील. हल्लेखोर बनावट प्रमाणपत्र सादर करतो, युजर चेतावणीकडे दुर्लक्ष करतो आणि हल्लेखोर PEAP टनेलच्या आतून युजरनेम आणि पासवर्ड मिळवतो. गहाळ झालेली कॉन्फिगरेशन पायरी म्हणजे MDM प्रोफाइल (macOS आणि मोबाईलसाठी) आणि ग्रुप पॉलिसी ऑब्जेक्ट्स (Windows साठी) तैनात करणे, जे स्पष्टपणे विश्वसनीय प्रमाणपत्र प्राधिकरण (Certificate Authority) आणि अपेक्षित सर्व्हर नाव निर्दिष्ट करतात. युजर्सना प्रमाणपत्राच्या विश्वासाचा निर्णय मॅन्युअली घेण्याची परवानगी कधीही देऊ नये.

Q4. 68,000 आसने असलेल्या स्टेडियमला एका मोठ्या कार्यक्रमादरम्यान कर्मचाऱ्यांच्या उपकरणांचे प्रमाणीकरण करावे लागते, जिथे 30 मिनिटांच्या कालावधीत 40,000 उपकरणे कनेक्ट होण्याचा प्रयत्न करू शकतात. आयटी टीमकडे कठोर डेटा सार्वभौमत्व (data sovereignty) आवश्यकता आहेत: सर्व प्रमाणीकरण लॉग युनायटेड किंगडमच्या भूमीवरच राहिले पाहिजेत. कोणत्या तैनाती मॉडेलची शिफारस केली जाते आणि कोणते विशिष्ट आर्किटेक्चर बर्स्ट ट्रॅफिकच्या आवश्यकतेचे निराकरण करते?

टीप: बर्स्ट परिस्थितीमध्ये स्थानिक प्रमाणीकरण विरूद्ध क्लाउड-रूट केलेल्या विनंत्यांच्या लेटन्सी आणि थ्रूपुट फायद्यांचा विचार करा.

नमुना उत्तर पहा

डेटा सार्वभौमत्व (data sovereignty) आवश्यकता आणि अत्यंत वेगवान बर्स्ट ऑथेंटिकेशन लोडमुळे ऑन-प्रिमायसेस सर्व्हर RADIUS ची शिफारस केली जाते. शिफारस केलेले आर्किटेक्चर ॲक्टिव्ह-ॲक्टिव्ह कॉन्फिगरेशनमधील ड्युअल ऑन-प्रिमायसेस RADIUS क्लस्टर आहे, ज्यामध्ये UK मधील को-लोकेशन सुविधेत दुय्यम क्लस्टर असेल. स्थानिक ऑथेंटिकेशन सब-मिल्लीसेकंद प्रतिसाद वेळ देते आणि WAN वरील अवलंबित्व काढून टाकते, जे बर्स्ट इव्हेंट दरम्यान अडथळा निर्माण करू शकते. ॲक्टिव्ह-ॲक्टिव्ह क्लस्टर इंटरनेट कनेक्टिव्हिटीवर अवलंबून न राहता रेडंडंसी प्रदान करते. ऑथेंटिकेशन लॉग UK च्या भूमीवरच राहतात, ज्यामुळे डेटा सार्वभौमत्वाची आवश्यकता पूर्ण होते.

या मालिकेमध्ये पुढे वाचा

Aruba ClearPass vs. Purple WiFi: वैशिष्ट्यांची तुलना आणि को-डिप्लॉयमेंट

Aruba ClearPass आणि Purple WiFi च्या को-डिप्लॉयमेंट आर्किटेक्चरची सविस्तर माहिती देणारी एक व्यापक तांत्रिक मार्गदर्शिका. यामध्ये RADIUS प्रॉक्सी कॉन्फिगरेशन, डायनॅमिक VLAN असाइनमेंट आणि एंटरप्राइझ NAC सोबत सुरक्षित, अ‍ॅनालिटिक्स-चालित अतिथी नेटवर्क प्रदान करण्यासाठी सर्वोत्तम पद्धतींचा समावेश आहे.

Cisco ISE विरुद्ध Purple WiFi: ते कसे तुलना करतात आणि एकत्र काम करतात

हे मार्गदर्शक स्पष्ट करते की Cisco ISE आणि Purple WiFi हे एंटरप्राइझ नेटवर्कमध्ये वेगळ्या पण पूरक भूमिका कशा बजावतात. सुरक्षित 802.1X कॉर्पोरेट ॲक्सेससाठी Cisco ISE कसे वापरावे आणि GDPR-सुसंगत अतिथी WiFi, मार्केटिंग ॲनालिटिक्स आणि CRM इंटिग्रेशनसाठी Purple चा कसा फायदा घ्यावा, हे यामध्ये तपशीलवार दिले आहे.

EAP-TLS vs EAP-TTLS: आपण कोणते प्रमाणपत्र-आधारित WiFi प्रोटोकॉल निवडावे?

हे मार्गदर्शक IEEE 802.1X अंतर्गत एंटरप्राइझ WiFi प्रमाणीकरणासाठी EAP-TLS आणि EAP-TTLS ची अंतिम तुलना प्रदान करते. हे परस्पर प्रमाणपत्र प्रमाणीकरण आणि केवळ-सर्व्हर प्रमाणपत्र टनेलिंगमधील आर्किटेक्चरल फरक स्पष्ट करते आणि IT व्यवस्थापक, नेटवर्क आर्किटेक्ट आणि CISOs यांना डिव्हाइस व्यवस्थापन क्षमता आणि अनुपालन आवश्यकतांवर आधारित स्पष्ट निर्णय फ्रेमवर्क देते. Purple कर्मचारी WiFi साठी EAP-TLS आणि EAP-TTLS दोन्ही प्रमाणीकरण मार्गांना समर्थन देते, आणि हे मार्गदर्शक संस्थांना कोणत्याही एका दृष्टिकोनाचा स्वीकार करण्यापूर्वी त्यांच्या पायाभूत सुविधांमधील तडजोड समजून घेण्यास मदत करते.