मुख्य मजकुराकडे जा
मराठी

कर्मचारी नोकरी सोडून गेल्यानंतर WiFi ॲक्सेस कसा रद्द करावा

हा मार्गदर्शक कर्मचारी नोकरी सोडून गेल्यानंतर WiFi ॲक्सेस कसा रद्द करावा, असुरक्षित शेअर केलेल्या पासवर्डऐवजी प्रति-वापरकर्ता 802.1X प्रमाणपत्रे किंवा iPSK कसे वापरावे याबद्दल सविस्तर माहिती देतो. यामध्ये ISO 27001 आणि SOC 2 ऑडिट आवश्यकता पूर्ण करण्यासाठी SCIM द्वारे स्वयंचलित डीप्रोव्हिजनिंगचा समावेश आहे.

📖 5 मिनिट वाचन📝 1,063 शब्द🔧 2 सोडवलेली उदाहरणे3 सराव प्रश्न📚 8 महत्वाच्या व्याख्या

हे मार्गदर्शक ऐका

पॉडकास्ट ट्रान्सक्रिप्ट पहा
Purple Technical Briefing मध्ये आपले स्वागत आहे. मी तुमचा होस्ट आहे, आणि आज आपण एंटरप्राइझ ऑफबोर्डिंगमधील सर्वात सामान्य त्रुटींपैकी एकावर चर्चा करत आहोत: एखादा कर्मचारी कंपनी सोडतो तेव्हा प्रत्यक्षात WiFi ॲक्सेसचे काय होते? हे ऐकायला सोपे वाटते. कोणीतरी त्यांचे बॅज जमा करते, HR त्यांचे खाते बंद करते आणि तुम्ही पुढे जाता. पण जर तुमचे नेटवर्क अजूनही शेअर्ड WPA2 पासवर्डवर चालत असेल, तर ती व्यक्ती पासवर्ड माहित असतानाच बाहेर पडली आहे. आणि जोपर्यंत तुम्ही तो प्रत्येकासाठी बदलत नाही, तोपर्यंत ते कार पार्कमधून पुन्हा कनेक्ट करू शकतात. आज आपण याच समस्येचे निराकरण करत आहोत. आम्ही प्रति-वापरकर्ता WiFi रिव्होकेशनसाठी (प्रवेश रद्द करणे) तीन विश्वासार्ह मॉडेल्स कव्हर करू, त्याच दिवशीच्या रिव्होकेशन चेकलिस्टचा आढावा घेऊ आणि ISO 27001 किंवा SOC 2 ऑडिटरला तुमच्या लॉगमध्ये नक्की काय पाहायचे असते हे स्पष्ट करू. चला सुरुवात करूया. विभाग एक: शेअर्ड पासवर्ड हे या कामासाठी चुकीचे साधन का आहेत. WPA2-Personal, जे सामान्य होम-router सेटअप आहे, ते सिंगल प्री-शेअर्ड की वापरते. नेटवर्कवरील प्रत्येकाला एकच पासवर्ड माहित असतो. जेव्हा एखादी व्यक्ती कंपनी सोडते, तेव्हा तो पासवर्ड त्यांच्या फोनवर, त्यांच्या लॅपटॉपवर, त्यांनी कधीही कनेक्ट केलेल्या कोणत्याही डिव्हाइसवर अद्याप वैध असतो. त्यांचा ॲक्सेस रद्द करण्याचा एकमेव मार्ग म्हणजे संपूर्ण नेटवर्कचा पासवर्ड बदलणे आणि तो उर्वरित प्रत्येक वापरकर्त्याला आणि डिव्हाइसला पुन्हा वितरित करणे. २०० कर्मचारी असलेल्या हॉटेलमध्ये, याचा अर्थ प्रत्येक पॉइंट-ऑफ-सेल टर्मिनल, प्रत्येक बॅक-ऑफिस PC, प्रत्येक व्यवस्थापकाचा फोन अपडेट करणे असा होतो. ५० स्टोअर्स असलेल्या रिटेल चेनमध्ये, याचा अर्थ प्रत्येक साइटवर समन्वित रोलआउट करणे असा होतो. याचा ऑपरेशनल खर्च जास्त आहे, व्यत्यय खरा आहे आणि कर्मचारी सोडल्याचा शेवटचा दिवस आणि पासवर्ड बदलण्याची प्रक्रिया पूर्ण होणे यामधील काळ हा सुरक्षेतील एक मोठा धोका आहे. PCI DSS, जे पेमेंट कार्ड इंडस्ट्रीचे मानक आहे, त्यानुसार जेव्हा जेव्हा पासवर्ड माहित असलेले कर्मचारी कंपनी सोडतात तेव्हा तुम्हाला शेअर्ड क्रेडेंशियल्स बदलणे आवश्यक असते. त्यामुळे जर तुमचे कॅश काउंटर तुमच्या स्टाफ WiFi सारख्याच नेटवर्कवर असतील, तर कर्मचारी सोडल्यास केवळ सर्वोत्तम पद्धतीची शिफारस नाही, तर अनुपालनाचे (compliance) बंधन लागू होते. याचे मूळ कारण सोपे आहे: शेअर्ड पासवर्डला कोणतीही ओळख (identity) जोडलेली नसते. नेटवर्क सध्याचा कर्मचारी आणि माजी कर्मचारी यांच्यात फरक करू शकत नाही. हे दुरुस्त करण्यासाठी, तुम्हाला प्रति-वापरकर्ता क्रेडेंशियल्सची आवश्यकता आहे. विभाग दोन: प्रत्यक्षात काम करणारी तीन मॉडेल्स. मॉडेल एक म्हणजे EAP-TLS सर्टिफिकेट-आधारित ऑथेंटिकेशनसह 802.1X. एंटरप्राइझ WiFi सुरक्षेसाठी हे सुवर्ण मानक आहे. या मॉडेलमध्ये, प्रत्येक वापरकर्ता किंवा डिव्हाइसकडे तुमच्या सर्टिफिकेट ऑथॉरिटी (CA) द्वारे जारी केलेले एक युनिक डिजिटल सर्टिफिकेट असते. जेव्हा ते WiFi शी कनेक्ट होतात, तेव्हा RADIUS सर्व्हर त्या सर्टिफिकेटची क्रिप्टोग्राफिक पद्धतीने पडताळणी करतो. हे सर्टिफिकेट ओळखीशी जोडलेले असते, पासवर्डशी नाही. ॲक्सेस रद्द करण्यासाठी, तुम्ही CA स्तरावर सर्टिफिकेट रद्द करता. RADIUS सर्व्हर OCSP (Online Certificate Status Protocol) चा वापर करून रिअल टाइममध्ये रिव्होकेशन स्टेटस तपासतो. जेव्हा तुम्ही एखादे सर्टिफिकेट रद्द केलेले म्हणून चिन्हांकित करता, तेव्हा पुढच्या वेळी जेव्हा ते डिव्हाइस ऑथेंटिकेट करण्याचा प्रयत्न करते, तेव्हा RADIUS सर्व्हर OCSP रिस्पॉन्डरकडे चौकशी करतो, रद्द केल्याचा प्रतिसाद मिळवतो आणि ॲक्सेस पॉईंटला Access-Reject पाठवतो. पुढील ऑथेंटिकेशनच्या प्रयत्नानंतर काही सेकंदातच ते डिव्हाइस नेटवर्कच्या बाहेर होते. सक्रिय सत्रांसाठी (active sessions), तुम्ही सध्याचे सत्र त्वरित समाप्त करण्यासाठी RADIUS Change of Authorisation किंवा CoA चा वापर करता. एकत्रितपणे, OCSP आणि CoA चा अर्थ असा आहे की तुम्ही तुमच्या RADIUS लॉगमध्ये संपूर्ण ऑडिट ट्रेलसह, एका मिनिटापेक्षा कमी वेळात कंपनी सोडणाऱ्या कर्मचाऱ्याचा WiFi ॲक्सेस रद्द करू शकता. EAP-TLS मधील आव्हान म्हणजे PKI ओव्हरहेड. तुम्हाला एक सर्टिफिकेट ऑथॉरिटी, डिव्हाइसेसना सर्टिफिकेट जारी करण्याची यंत्रणा (सामान्यतः Microsoft Intune सारख्या MDM द्वारे) आणि ती रद्द करण्याची प्रक्रिया आवश्यक असते. परिपक्व MDM आणि ओळख पायाभूत सुविधा असलेल्या संस्थांसाठी, हे योग्य उत्तर आहे. लहान टीम्स किंवा IoT डिव्हाइसेस असलेल्या वातावरणासाठी जे सर्टिफिकेट ऑथेंटिकेशनला सपोर्ट करू शकत नाहीत, तुम्हाला वेगळ्या दृष्टिकोनाची आवश्यकता आहे. मॉडेल दोन म्हणजे iPSK, म्हणजेच Identity Pre-Shared Key. Cisco याला iPSK म्हणते, Ruckus याला DPSK म्हणते, Aruba याला MPSK म्हणते, पण संकल्पना एकच आहे: प्रत्येक वापरकर्त्याला किंवा डिव्हाइसला एक युनिक पासवर्ड मिळतो, जरी ते सर्व एकाच SSID शी कनेक्ट होत असले तरीही. RADIUS सर्व्हर प्रत्येक युनिक की एका विशिष्ट ओळखीशी आणि पर्यायाने एका विशिष्ट VLAN शी मॅप करतो. जेव्हा तुम्ही ती की RADIUS डेटाबेसमधून हटवता, तेव्हा ते डिव्हाइस यापुढे ऑथेंटिकेट करू शकत नाही. कर्मचारी सोडल्याचा परिणाम केवळ एकाच व्यक्तीवर होतो. इतर सर्वांच्या की वैध राहतात. iPSK हे विशेषतः मिश्र डिव्हाइस प्रकार असलेल्या वातावरणासाठी योग्य आहे. IoT डिव्हाइसेस, पॉइंट-ऑफ-सेल टर्मिनल्स आणि जुने हार्डवेअर जे 802.1X सर्टिफिकेट्सना सपोर्ट करू शकत नाहीत, ते सर्व iPSK वापरू शकतात. हे संपूर्ण PKI डिप्लॉयमेंटपेक्षा ऑपरेट करण्यासाठी सोपे आहे, ज्यामुळे इन्फ्रास्ट्रक्चर ओव्हरहेडशिवाय प्रति-वापरकर्ता रिव्होकेशनची आवश्यकता असलेल्या मध्यम-आकाराच्या संस्थांसाठी हा योग्य पर्याय ठरतो. iPSK साठी रिव्होकेशनची वेळ साधारणपणे काही मिनिटे असते, सेकंद नाही. की हटवण्याची प्रक्रिया RADIUS सर्व्हरपर्यंत पोहोचते, परंतु डिव्हाइस पुन्हा ऑथेंटिकेट होईपर्यंत किंवा तुम्ही कनेक्शन तोडण्यासाठी CoA पॅकेट पाठवेपर्यंत सक्रिय सत्रे सुरू राहू शकतात. मॉडेल तीन म्हणजे SCIM-चालित डिप्रोव्हिजनिंग. SCIM म्हणजे System for Cross-domain Identity Management. हे RFC 7643 आणि RFC 7644 मध्ये परिभाषित केलेले एक ओपन मानक आहे, जे तुमच्या ओळख प्रदात्याला (identity provider) रिअल टाइममध्ये डाउनस्ट्रीम सिस्टम्सवर वापरकर्ता लाइफसायकल इव्हेंट्स पाठवण्याची परवानगी देते. हे व्यवहारात कसे कार्य करते ते येथे आहे. तुमचे ओळख प्रदाता, मग ते Microsoft Entra ID असो, Okta असो किंवा Google Workspace असो, वापरकर्ता खात्यांसाठी अधिकृत स्त्रोत (source of truth) आहे. जेव्हा HR ओळख प्रदात्यामध्ये कंपनी सोडणाऱ्या कर्मचाऱ्याचे खाते निष्क्रिय करते, तेव्हा SCIM तुमच्या WiFi व्यवस्थापन प्लॅटफॉर्मसह प्रत्येक कनेक्ट केलेल्या सिस्टमला विनंती पाठवते. Purple तुमच्या ओळख प्रदात्याशी SCIM द्वारे कनेक्ट होते. ज्या क्षणी तुम्ही Entra ID, Okta किंवा Google Workspace मध्ये वापरकर्त्याला निष्क्रिय करता, त्याच क्षणी Purple ला SCIM इव्हेंट प्राप्त होतो आणि पुढील ऑथेंटिकेशनच्या वेळी त्यांचे WiFi क्रेडेंशियल्स रद्द केले जातात. हा इव्हेंट टाइमस्टॅम्प, वापरकर्त्याची ओळख आणि घेतलेल्या कारवाईसह लॉग केला जातो. ती लॉग एंट्री हीच आहे जी ISO 27001 ऑडिटरला पाहण्याची आवश्यकता असते. SCIM हे 802.1X किंवा iPSK ची जागा घेत नाही. ते त्यांच्या वर कार्य करते. SCIM ओळख लाइफसायकल हाताळते; ऑथेंटिकेशन प्रोटोकॉल नेटवर्क अंमलबजावणी हाताळतो. SCIM आणि 802.1X चे संयोजन तुम्हाला संपूर्ण ऑडिट ट्रेल आणि शून्य मॅन्युअल स्टेप्ससह स्वयंचलित, रिअल-टाइम रिव्होकेशन देते. विभाग तीन: त्याच-दिवशीचे रिव्होकेशन चेकलिस्ट. जेव्हा एखादा कर्मचारी शेवटच्या दिवशी काम सोडतो, तेव्हा तुमच्या IT टीमने खालील क्रमाचे पालन केले पाहिजे. पहिली पायरी: तुमच्या आयडेंटिटी प्रोव्हायडरमध्ये खाते निष्क्रिय करा. ही इतर सर्व गोष्टींसाठीची मुख्य ट्रिगर आहे. Microsoft Entra ID मध्ये, खाते 'disabled' वर सेट करा. Okta मध्ये, युझरला निष्क्रिय (deactivate) करा. Google Workspace मध्ये, खाते निलंबित (suspend) करा. दुसरी पायरी: जर तुम्ही SCIM चालवत असाल, तर डिप्रोव्हिजनिंग इव्हेंट ट्रिगर झाल्याची खात्री करा. संबंधित इव्हेंटसाठी तुमचे SCIM लॉग्स किंवा तुमचे WiFi व्यवस्थापन प्लॅटफॉर्म तपासा. जर SCIM कार्यरत नसेल, तर तुमच्या CA मधील प्रमाणपत्र मॅन्युअली रद्द करा किंवा तुमच्या RADIUS डेटाबेसमधून iPSK की हटवा. तिसरी पायरी: कोणतेही सक्रिय WiFi सेशन समाप्त करण्यासाठी RADIUS CoA पाठवा. बहुतांश एंटरप्राइझ RADIUS सर्व्हर्स आणि Purple सारखे प्लॅटफॉर्म, डिप्रोव्हिजनिंग इव्हेंटवर हे आपोआप करू शकतात. जर तुम्ही हे मॅन्युअली करत असाल, तर युझरचे डिव्हाइस MAC ॲड्रेस किंवा सेशन ID द्वारे डिस्कनेक्ट करण्यासाठी तुमच्या RADIUS सर्व्हरचा CoA इंटरफेस वापरा. चौथी पायरी: कोणतेही सक्रिय सेशन्स शिल्लक नसल्याची खात्री करा. तुमचे WiFi कंट्रोलर डॅशबोर्ड तपासा. Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, किंवा Fortinet वर, तुम्ही युझरनेम किंवा डिव्हाइसद्वारे शोध घेण्यास आणि शून्य सक्रिय असोसिएशन असल्याची खात्री करण्यास सक्षम असले पाहिजे. पाचवी पायरी: ऑडिट लॉग एंट्री संग्रहित (archive) करा. संबंधित युझर आणि तारखेसाठी RADIUS ऑथेंटिकेशन लॉग, SCIM इव्हेंट लॉग आणि CoA लॉग एक्सपोर्ट करा किंवा फ्लॅग करा. हे तुमच्या ITSM किंवा सुरक्षा माहिती आणि इव्हेंट व्यवस्थापन प्लॅटफॉर्ममध्ये स्टोअर करा. ISO 27001 Annex A कंट्रोल A.9.2.6 नुसार तुम्ही काम सोडताना सर्व कर्मचारी आणि कंत्राटदारांचे प्रवेश अधिकार काढून घेणे किंवा समायोजित करणे आवश्यक आहे. तुमचा लॉग हाच याचा पुरावा आहे. सहावी पायरी: जर तुम्ही WPA2 शेअर केलेले PSK चालवत असाल आणि वरीलपैकी काहीही लागू होत नसेल, तर पासवर्ड बदला (rotate). शक्य असल्यास काम सोडणाऱ्याच्या शेवटच्या दिवसापूर्वी किंवा त्यानंतर लगेचच सर्व साइट्स आणि डिव्हाइसेसवर नवीन पासवर्ड लागू करण्याचे नियोजन करा. विभाग चार: ऑडिटरला काय हवे असते. ISO 27001 आणि SOC 2 दोन्हीसाठी तुम्ही हे दाखवणे आवश्यक आहे की रोजगार संपल्यावर प्रवेश त्वरित काढून टाकला जातो. विशेषतः WiFi साठी, ऑडिटर्स चार गोष्टी शोधतात. पहिली, एक दस्तऐवजीकरण केलेली ऑफबोर्डिंग प्रक्रिया ज्यामध्ये स्पष्टपणे नेटवर्क प्रवेशाचा समावेश आहे. दुसरी, गेल्या बारा महिन्यांतून निवडलेल्या साधारणपणे दहा ते पंचवीस व्यक्तींच्या नमुन्यासाठी त्या प्रक्रियेचे पालन केले गेल्याचा पुरावा. तिसरी, खाते निष्क्रिय केल्याची वेळ आणि WiFi प्रवेश रद्द केल्याची वेळ दर्शवणारा लॉग, ज्यामधील अंतर स्पष्टपणे दिसेल. चौथी, कोणत्याही माजी कर्मचाऱ्याचे खाते सक्रिय WiFi सेशन्स दाखवत नसल्याची खात्री. जर तुम्ही WPA2 शेअर केलेले PSK चालवत असाल, तर तुम्ही तिसऱ्या आणि चौथ्या मुद्द्यांसाठी पुरावा सादर करू शकत नाही. तिथे प्रति-युझर लॉग नसतो. तुम्ही जास्तीत जास्त पासवर्ड बदलल्याची तारीख दाखवू शकता आणि असा युक्तिवाद करू शकता की ते काम सोडणाऱ्याच्या शेवटच्या दिवसापूर्वी किंवा त्याच दिवशी पूर्ण झाले होते. ऑडिटर्स आता या गोष्टीला वाढत्या प्रमाणात नकार देतात. जर तुम्ही SCIM सह 802.1X चालवत असाल, तर लॉग स्वयंचलित असतो. Purple प्रत्येक SCIM डिप्रोव्हिजनिंग इव्हेंटची नोंद UTC टाइमस्टॅम्प, आयडेंटिटी प्रोव्हायडर सोर्स, युझरचा युनिक आयडेंटिफायर आणि परिणामी केलेल्या कारवाईसह ठेवते. हा एक स्पष्ट, ऑडिट करण्यायोग्य रेकॉर्ड आहे. विभाग पाच: अंमलबजावणीतील त्रुटी आणि त्या कशा टाळाव्यात. सर्वात सामान्य चूक म्हणजे आयडेंटिटी प्रोव्हायडरमध्ये खाते निष्क्रिय करणे पुरेसे आहे असे गृहीत धरणे. जोपर्यंत तुमचे WiFi प्लॅटफॉर्म SCIM किंवा तत्सम रिअल-टाइम इंटिग्रेशनद्वारे त्या आयडेंटिटी प्रोव्हायडरशी जोडलेले नसेल, तोपर्यंत हे पुरेसे नाही. त्या कनेक्शनशिवाय, WiFi सिस्टमला खाते निष्क्रिय केल्याचे समजण्याचा कोणताही मार्ग नाही. दुसरी त्रुटी म्हणजे सर्टिफिकेट कॅशिंग. OCSP सह देखील, RADIUS सर्व्हर्स कॉन्फिगर करण्यायोग्य कालावधीसाठी (साधारणपणे १५ ते ६० मिनिटे) चांगल्या प्रतिसादांचे कॅश ठेवतात. जर तुम्ही एखादे प्रमाणपत्र रद्द केले आणि RADIUS सर्व्हरकडे कॅश केलेला चांगला प्रतिसाद असेल, तर कॅश कालबाह्य होईपर्यंत डिव्हाइस ऑथेंटिकेट करणे सुरू ठेवू शकते. उच्च-सुरक्षा वातावरणासाठी तुमचे OCSP कॅश TTL १५ मिनिटे किंवा त्यापेक्षा कमी सेट करा. तिसरी त्रुटी म्हणजे सक्रिय सेशन्स विसरणे. क्रेडेंशियल्स रद्द केल्याने नवीन ऑथेंटिकेशन रोखले जाते परंतु विद्यमान WiFi सेशन समाप्त होत नाही. डिव्हाइस त्वरित डिस्कनेक्ट करण्यासाठी क्रेडेंशियल्स रद्द केल्यानंतर नेहमी RADIUS CoA पाठवा. चौथी त्रुटी म्हणजे IoT आणि शेअर केलेली डिव्हाइसेस. काम सोडणाऱ्याच्या ओळखीवर नोंदणीकृत असलेले डिव्हाइस हे शेअर केलेले वर्कस्टेशन किंवा ऑपरेशनल हार्डवेअर असू शकते. रद्द करण्यापूर्वी, डिव्हाइस वैयक्तिक आहे की शेअर केलेले आहे याची खात्री करा. जर ते शेअर केलेले असेल, तर काम सोडणाऱ्याचे क्रेडेंशियल्स रद्द करण्यापूर्वी सेवा खात्यांतर्गत (service account) त्याची पुन्हा नोंदणी करा. विभाग सहा: जलद प्रश्नोत्तरे. प्रश्न: प्रमाणपत्र-आधारित WiFi प्रवेश किती वेगाने रद्द केला जाऊ शकतो? OCSP आणि RADIUS CoA सह, तुम्ही CA कडून प्रमाणपत्र रद्द केल्याच्या क्षणापासून ६० सेकंदांच्या आत. पुढील ऑथेंटिकेशनच्या प्रयत्नात OCSP तपासणी होते. CoA सक्रिय सेशन त्वरित समाप्त करते. प्रश्न: SCIM सर्व WiFi हार्डवेअरसह कार्य करते का? SCIM हे आयडेंटिटी मॅनेजमेंट लेयरवर कार्य करते, हार्डवेअर लेयरवर नाही. Purple हे हार्डवेअर-अज्ञेयवादी (hardware-agnostic) आहे आणि Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, आणि Fortinet सह कार्य करते. SCIM इंटिग्रेशन थेट ॲक्सेस पॉईंट्सशी नसून Purple शी असते. प्रश्न: आमच्याकडे MDM नसेल आणि आम्ही प्रमाणपत्रे तैनात करू शकत नसू तर काय? iPSK हे तुमचे उत्तर आहे. हे तुम्हाला प्रमाणपत्र इन्फ्रास्ट्रक्चरची आवश्यकता नसताना प्रति-युझर रिव्होकेशन देते. Purple हे iPSK की व्यवस्थापित करू शकते आणि लाइफसायकल स्वयंचलित करण्यासाठी तुमच्या आयडेंटिटी प्रोव्हायडरशी कनेक्ट होऊ शकते. सारांश आणि पुढील पावले. मुख्य संदेश असा आहे: जर तुम्ही इतर कोणावरही परिणाम न करता एका व्यक्तीचा WiFi प्रवेश रद्द करू शकत नसाल, तर तुम्हाला शेअर केलेल्या क्रेडेंशियलची समस्या आहे. यावरील उपाय म्हणजे प्रति-युझर क्रेडेंशियल्स, एकतर 802.1X EAP-TLS द्वारे प्रमाणपत्रे किंवा iPSK द्वारे युनिक की, आणि एचआरने कारवाई करताच रिव्होकेशन स्वयंचलित करण्यासाठी SCIM-चालित डिप्रोव्हिजनिंग. Purple हे SCIM द्वारे Microsoft Entra ID, Okta, आणि Google Workspace शी कनेक्ट होते, ८०,००० हून अधिक लाइव्ह ठिकाणी कार्यरत आहे आणि ऑडिटसाठी प्रत्येक डिप्रोव्हिजनिंग इव्हेंटची नोंद ठेवते. जर तुम्ही ISO 27001 किंवा SOC 2 ची तयारी करत असाल, किंवा एखादी घटना घडण्यापूर्वी काम सोडणाऱ्या कर्मचाऱ्यांमुळे निर्माण होणारी सुरक्षा त्रुटी दूर करू इच्छित असाल, तर येथून सुरुवात करा. प्रमाणपत्र रद्द करणे आणि OCSP च्या संपूर्ण तांत्रिक विश्लेषणासाठी, WiFi ऑथेंटिकेशनसाठी OCSP आणि प्रमाणपत्र रद्द करण्याबाबतचे आमचे मार्गदर्शक पहा. यासाठी अधिक व्यापक जॉइनर-मूव्हर-लीव्हर ऑटोमेशन चित्रासाठी, आमचे एंटरप्राइझ WiFi सुरक्षा मार्गदर्शक पहा. Purple टेक्निकल ब्रीफिंग ऐकल्याबद्दल धन्यवाद.

header_image.png

कार्यकारी सारांश (Executive Summary)

जेव्हा एखादा कर्मचारी संस्था सोडतो, तेव्हा त्याचा प्रत्यक्ष (physical) प्रवेश रद्द करणे सोपे असते. मात्र, त्यांचा WiFi प्रवेश रद्द करणे अनेकदा सोपे नसते. जर तुमचे नेटवर्क सामायिक (shared) WPA2 पासवर्डवर अवलंबून असेल, तर जाणार्‍या कर्मचाऱ्याला बाहेर पडतानाही तो क्रेडेंशियल माहित असतो. त्यांचा प्रवेश काढून टाकण्याचा एकमेव मार्ग म्हणजे संपूर्ण नेटवर्कचा पासवर्ड बदलणे, ज्यामुळे कामकाजात व्यत्यय येतो आणि सर्व डिव्हाइसेसवर मॅन्युअली अपडेट करणे भाग पडते. PCI DSS आणि ISO 27001 सारख्या मानकांनुसार ही एक गंभीर असुरक्षितता आणि अनुपालन (compliance) अपयश आहे.

हा मार्गदर्शक सामायिक पासवर्डपासून दूर कसे जावे आणि प्रति-वापरकर्ता (per-user) WiFi प्रवेश रद्द करण्याची प्रक्रिया कशी लागू करावी हे स्पष्ट करतो. आम्ही तीन विश्वासार्ह मॉडेल्सचे परीक्षण करतो: प्रमाणपत्र रद्द करण्यासह (certificate revocation) 802.1X EAP-TLS, प्रति-ओळख की हटवण्यासह (per-identity key deletion) आयडेंटिटी प्री-शेअर्ड की (iPSK), आणि SCIM-चालित डीप्रोव्हिजनिंग. नेटवर्क प्रवेश थेट तुमच्या आयडेंटिटी प्रोव्हाइडरशी—जसे की Microsoft Entra ID, Okta, किंवा Google Workspace—जोडून, एखादे खाते निष्क्रिय होताच तुम्ही प्रवेश रद्द करण्याची प्रक्रिया स्वयंचलित करू शकता, ज्यामुळे ऑडिटरला अपेक्षित असलेला अचूक ऑडिट ट्रेल तयार होतो.

या विषयावरील आमचे तांत्रिक ब्रीफिंग पॉडकास्ट ऐका:

तांत्रिक सखोल विश्लेषण (Technical Deep-Dive)

सामायिक पासवर्डची समस्या

सामायिक WPA2-Personal पासवर्डमध्ये ओळखीचा (identity) संदर्भ नसतो. नेटवर्क सध्याचा कर्मचारी आणि माजी कर्मचारी यांच्यात फरक करू शकत नाही. परिणामी, प्रवेश रद्द करण्यासाठी कंपनी-व्यापी पासवर्ड बदलणे आवश्यक ठरते. यामुळे कर्मचाऱ्याच्या जाण्यापासून ते पासवर्ड बदलण्याची प्रक्रिया पूर्ण होईपर्यंत असुरक्षिततेचा काळ निर्माण होतो.

मॉडेल १: 802.1X EAP-TLS प्रमाणपत्र रद्द करणे (Certificate Revocation)

WiFi सुरक्षेसाठी एंटरप्राइझ मानक म्हणजे EAP-TLS वापरून 802.1X आहे. या मॉडेलमध्ये, प्रत्येक डिव्हाइसला सर्टिफिकेट ऑथॉरिटी (CA) कडून एक अद्वितीय डिजिटल प्रमाणपत्र मिळते. जेव्हा एखादे डिव्हाइस कनेक्ट होते, तेव्हा RADIUS सर्व्हर प्रमाणपत्राची क्रिप्टोग्राफिक पद्धतीने पडताळणी करतो.

प्रवेश रद्द करण्यासाठी, तुम्ही CA कडील प्रमाणपत्र रद्द करता. RADIUS सर्व्हर ऑनलाइन सर्टिफिकेट स्टेटस प्रोटोकॉल (OCSP) वापरून रिअल टाइममध्ये रद्द करण्याची स्थिती तपासतो. जर OCSP रिस्पॉन्डर 'रद्द' (Revoked) स्थिती परत पाठवतो, तर RADIUS सर्व्हर Access-Reject संदेश पाठवतो. सक्रिय सेशन्ससाठी, सर्व्हर कनेक्शन त्वरित समाप्त करण्यासाठी चेंज ऑफ ऑथरायझेशन (CoA) जारी करतो. ही प्रक्रिया उर्वरित नेटवर्कवर कोणताही परिणाम न करता केवळ एका वापरकर्त्याचा प्रवेश रद्द करते.

मॉडेल २: iPSK प्रति-ओळख की हटवणे (Per-Identity Key Deletion)

मिश्र डिव्हाइस प्रकार असलेल्या वातावरणासाठी, ज्यामध्ये 802.1X प्रमाणपत्रांना सपोर्ट न करू शकणाऱ्या हेडलेस हार्डवेअरचा समावेश आहे, आयडेंटिटी प्री-शेअर्ड की (iPSK) हा सर्वोत्तम उपाय आहे. iPSK एकाच SSID वर प्रत्येक वैयक्तिक वापरकर्त्याला किंवा डिव्हाइसला एक अद्वितीय पासवर्ड नियुक्त करते.

RADIUS सर्व्हर प्रत्येक अद्वितीय की एका विशिष्ट ओळखीशी मॅप करतो. जेव्हा एखादा कर्मचारी सोडतो, तेव्हा IT फक्त त्यांची विशिष्ट की RADIUS डेटाबेसमधून हटवते. याचा प्रभाव पूर्णपणे केवळ त्याच एका वापरकर्त्यापुरता मर्यादित असतो. हा दृष्टिकोन मानक पासवर्डच्या सुलभतेसह एंटरप्राइझ नेटवर्कची वैयक्तिक सुरक्षा प्रदान करतो.

revocation_models_comparison.png

मॉडेल ३: SCIM ऑटो-डीप्रोव्हिजनिंग (Auto-Deprovisioning)

सिस्टम फॉर क्रॉस-डोमेन आयडेंटिटी मॅनेजमेंट (SCIM) हे एक खुले मानक आहे जे वापरकर्त्याच्या ओळखीच्या माहितीची देवाणघेवाण स्वयंचलित करते. SCIM तुमच्या आयडेंटिटी प्रोव्हाइडर आणि तुमच्या WiFi व्यवस्थापन प्लॅटफॉर्मसारख्या डाउनस्ट्रीम सिस्टम्समधील जोडणारा दुवा म्हणून काम करते.

जेव्हा HR विभाग Microsoft Entra ID, Okta, किंवा Google Workspace मध्ये सोडणाऱ्या कर्मचाऱ्याला निष्क्रिय करतो, तेव्हा SCIM Purple ला डीप्रोव्हिजनिंग इव्हेंट पाठवते. Purple पुढील ऑथेंटिकेशनच्या वेळी वापरकर्त्याचे WiFi क्रेडेंशियल्स—मग ते प्रमाणपत्र असो किंवा iPSK—त्वरित रद्द करते. यामुळे एक क्लोज्ड-लूप सिस्टम तयार होते जिथे आयडेंटिटी लाइफसायकलमधील बदल स्वयंचलितपणे नेटवर्क प्रवेश धोरणे लागू करतात.

अंमलबजावणी मार्गदर्शक (Implementation Guide)

प्रति-वापरकर्ता प्रवेश रद्द करण्याची प्रक्रिया तैनात करण्यासाठी तुमच्या आयडेंटिटी प्रोव्हाइडर, RADIUS सर्व्हर आणि WiFi हार्डवेअर यांच्यात समन्वयाची आवश्यकता असते. Purple हे Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, आणि Fortinet मधील हार्डवेअरसह समाकलित (integrate) होते.

पायरी १: ओळखीला विश्वासाचा मुख्य स्त्रोत (Source of Truth) म्हणून स्थापित करा

वापरकर्त्याच्या स्थितीसाठी तुमचा आयडेंटिटी प्रोव्हाइडर हा विश्वासाचा एकमेव स्त्रोत असल्याची खात्री करा. सर्व ऑनबोर्डिंग आणि ऑफबोर्डिंग प्रक्रिया Microsoft Entra ID, Okta, किंवा Google Workspace मध्ये सुरू आणि समाप्त झाल्या पाहिजेत.

पायरी २: योग्य ऑथेंटिकेशन प्रोटोकॉल निवडा

तुमच्याकडे सर्व कॉर्पोरेट डिव्हाइसेसवर प्रमाणपत्रे पाठवण्यास सक्षम असलेले प्रगत मोबाईल डिव्हाइस मॅनेजमेंट (MDM) तैनात असल्यास 802.1X EAP-TLS निवडा. जर तुम्हाला व्यवस्थापित न केलेल्या डिव्हाइसेस, पॉइंट-ऑफ-सेल टर्मिनल्स किंवा IoT हार्डवेअरच्या विस्तृत श्रेणीला सपोर्ट करायचा असेल तर iPSK निवडा.

पायरी ३: SCIM इंटिग्रेशन कॉन्फिगर करा

तुमचा आयडेंटिटी प्रोव्हाइडर आणि Purple दरम्यान SCIM कनेक्शन कॉन्फिगर करा. वापरकर्ता स्थिती विशेषता (attribute) मॅप करा जेणेकरून डिरेक्टरीमधील 'निष्क्रिय' (disabled) स्थिती Purple मध्ये प्रवेश रद्द करण्याचा इव्हेंट ट्रिगर करेल.

पायरी ४: RADIUS टाइमर ट्यून करा

EAP-TLS वापरत असल्यास, तुमच्या RADIUS सर्व्हरचा OCSP कॅशे टाइम-टू-लाइव्ह (TTL) योग्यरित्या कॉन्फिगर करा. लहान TTL (उदा. १५ मिनिटे) रद्द केलेले प्रमाणपत्र वैध राहण्याचा कालावधी कमी करून सुरक्षा वाढवते, परंतु CA वरील लोड वाढवते.

offboarding_checklist.png

सर्वोत्तम पद्धती (Best Practices)

उद्योग मानकांनुसार, संस्थांनी नेटवर्क प्रवेशावर कडक नियंत्रण ठेवले पाहिजे. सुरक्षित स्थिती राखण्यासाठी या पद्धती लागू करा:

  1. SCIM सह स्वयंचलित करा: मॅन्युअली प्रवेश रद्द करण्याच्या प्रक्रियेत मानवी चुका होण्याची शक्यता असते. तुमच्या WiFi प्लॅटफॉर्मला थेट तुमच्या आयडेंटिटी प्रोव्हाइडरशी जोडून प्रक्रिया स्वयंचलित करा.
  2. RADIUS CoA लागू करा: क्रेडेंशियल्स रद्द केल्याने नवीन कनेक्शन्स रोखली जातातns पण सक्रिय सत्रे (sessions) बंद करत नाही. तुमचे सिस्टम डिव्हाइस त्वरित डिस्कनेक्ट करण्यासाठी Change of Authorisation कमांड पाठवत असल्याची खात्री करा.
  3. कर्मचारी आणि पाहुण्यांचे (Guest) ट्रॅफिक वेगळे ठेवा: कर्मचाऱ्यांचे डिव्हाइसेस कधीही Guest WiFi नेटवर्कवर ठेवू नका. आयसोलेशन राखण्यासाठी स्वतंत्र VLANs आणि SSIDs वापरा.
  4. ऑडिट लॉग्स: सर्व डीप्रोविझनिंग इव्हेंट्सचे अपरिवर्तनीय लॉग्स ठेवा. ISO 27001 मूल्यांकनकर्त्यांना (assessors) नोकरी संपुष्टात आल्यावर त्वरित ॲक्सेस काढून टाकल्याचा पुरावा आवश्यक असतो.

ट्रबलशूटिंग आणि जोखीम कमी करणे

WiFi रिव्होकेशनमधील सर्वात सामान्य बिघाड म्हणजे विस्कळीत प्रक्रिया. जर IT ने डिरेक्टरीमध्ये खाते निष्क्रिय केले परंतु स्वतंत्र RADIUS डेटाबेस अपडेट करण्यात अयशस्वी ठरले, तर नोकरी सोडलेल्या व्यक्तीकडे ॲक्सेस कायम राहतो. SCIM इंटिग्रेशन ही जोखीम पूर्णपणे कमी करते.

दुसरी जोखीम म्हणजे सर्टिफिकेट कॅशिंग. जर RADIUS सर्व्हर २४ तासांसाठी 'Good' OCSP प्रतिसाद कॅश करत असेल, तर कॅशची मुदत संपेपर्यंत रिव्होक केलेले डिव्हाइस ऑथेंटिकेट करणे सुरू ठेवू शकते. सुरक्षेच्या गरजांसह कार्यक्षमतेचा समतोल राखण्यासाठी तुमचे OCSP कॅश सेटिंग्ज ट्यून करा.

शेअर्ड डिव्हाइसेससाठी, जसे की एकाधिक शिफ्ट कामगारांद्वारे वापरला जाणारा रिटेल टॅबलेट, डिव्हाइस ऑथेंटिकेशन वैयक्तिक कर्मचाऱ्याच्या ओळखीशी जोडू नका. एखादा कर्मचारी सोडून गेल्यामुळे महत्त्वाचे हार्डवेअर ऑफलाइन जाण्यापासून रोखण्यासाठी सर्व्हिस खाती किंवा डिव्हाइस-विशिष्ट सर्टिफिकेट्स वापरा.

ROI आणि व्यावसायिक प्रभाव

प्रति-वापरकर्ता WiFi रिव्होकेशनवर स्विच केल्याने मोजण्यायोग्य व्यावसायिक मूल्य मिळते. हे संपूर्ण कंपनीमध्ये पासवर्ड बदलण्यासाठी लागणारे IT सपोर्टचे तास वाचवते. हे माजी कर्मचाऱ्याकडून होणाऱ्या डेटा ब्रीचचा धोका कमी करते, ज्यामुळे संस्थेचे नियामक दंड आणि प्रतिष्ठेच्या नुकसानीपासून संरक्षण होते.

शिवाय, हे ISO 27001 आणि SOC 2 मूल्यांकन सुरळीतपणे पार पाडण्यासाठी आवश्यक असलेला स्पष्ट ऑडिट ट्रेल प्रदान करते. जॉइनर-मूव्हर-लीव्हर प्रक्रिया स्वयंचलित करून, IT टीम्स मॅन्युअल क्रेडेंशियल व्यवस्थापनाऐवजी धोरणात्मक उपक्रमांवर लक्ष केंद्रित करू शकतात. तुमचे नेटवर्क सुरक्षित करण्याबद्दल अधिक तपशीलांसाठी, आमचे Enterprise WiFi Security: A Complete Guide for 2026 वाचा.

महत्वाच्या व्याख्या

802.1X

पोर्ट-आधारित नेटवर्क ॲक्सेस कंट्रोलसाठी एक IEEE मानकीकरण जे LAN किंवा WLAN शी कनेक्ट होऊ इच्छिणाऱ्या डिव्हाइसेसना ऑथेंटिकेशन यंत्रणा प्रदान करते.

एंटरप्राइझ WiFi सुरक्षेचा पाया, ज्यामध्ये नेटवर्क ॲक्सेस मिळण्यापूर्वी डिव्हाइसेसना RADIUS सर्व्हरद्वारे ऑथेंटिकेट करणे आवश्यक असते.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. एक अत्यंत सुरक्षित ऑथेंटिकेशन पद्धत जी क्लायंट आणि सर्व्हर दोन्हीवर डिजिटल प्रमाणपत्रे वापरते.

WiFi ऑथेंटिकेशनसाठी सर्वोत्तम मानले जाते कारण ते पासवर्ड पूर्णपणे काढून टाकते आणि त्याऐवजी क्रिप्टोग्राफिक प्रमाणपत्रांवर अवलंबून असते.

iPSK

Identity Pre-Shared Key. एक सुरक्षा पद्धत जी एकाच नेटवर्क नावावरील प्रत्येक वैयक्तिक वापरकर्त्याला किंवा डिव्हाइसला एक युनिक WiFi पासवर्ड देते.

अशा वातावरणासाठी आदर्श उपाय जिथे प्रति-वापरकर्ता ॲक्सेस रद्द करणे आवश्यक आहे परंतु अशी डिव्हाइसेस आहेत (जसे की IoT किंवा गेमिंग कन्सोल) जी 802.1X प्रमाणपत्रांना सपोर्ट करू शकत नाहीत.

SCIM

System for Cross-domain Identity Management. आयडेंटिटी डोमेन्स दरम्यान वापरकर्त्याच्या ओळखीच्या माहितीची देवाणघेवाण स्वयंचलित करण्यासाठी एक खुले मानक.

आयडेंटिटी प्रोव्हाइडरकडून WiFi सिस्टमवर 'वापरकर्ता निष्क्रिय' इव्हेंट स्वयंचलितपणे पाठवण्यासाठी वापरले जाते, ज्यामुळे त्वरित ॲक्सेस रद्द होतो.

RADIUS

Remote Authentication Dial-In User Service. एक नेटवर्किंग प्रोटोकॉल जो केंद्रीकृत Authentication, Authorization, आणि Accounting व्यवस्थापन प्रदान करतो.

सर्व्हर जो WiFi क्रेडेंशियल्सची पडताळणी करतो आणि डिव्हाइसला नेटवर्कवर परवानगी देण्यापूर्वी त्याचे प्रमाणपत्र रद्द केले आहे की नाही हे तपासतो.

OCSP

Online Certificate Status Protocol. X.509 डिजिटल प्रमाणपत्राची सद्यस्थिती (रद्द केले आहे की नाही) मिळवण्यासाठी वापरला जाणारा इंटरनेट प्रोटोकॉल.

कनेक्ट होणाऱ्या डिव्हाइसचे प्रमाणपत्र जारी केल्यापासून रद्द तर करण्यात आलेले नाही ना, याची खात्री करण्यासाठी RADIUS सर्व्हरद्वारे केली जाणारी रिअल-टाइम तपासणी.

CoA

Change of Authorisation. एक RADIUS वैशिष्ट्य जे सर्व्हरला सक्रिय सेशनचे ऑथोरायझेशन गुणधर्म डायनॅमिकली बदलण्याची परवानगी देते.

सेशन नैसर्गिकरित्या संपण्याची वाट पाहण्याऐवजी, क्रेडेंशियल्स रद्द होताच डिव्हाइसला WiFi नेटवर्कवरून त्वरित डिस्कनेक्ट करण्यासाठी वापरले जाते.

WPA2-Personal

WiFi Protected Access 2. एक सुरक्षा प्रमाणन प्रोग्राम जो नेटवर्कवरील सर्व वापरकर्त्यांसाठी एकच, शेअर केलेला पासवर्ड वापरतो.

एंटरप्राइझ वातावरणात या मानकाचा वापर टाळला पाहिजे, कारण यामध्ये केवळ एका व्यक्तीचा ॲक्सेस रद्द करण्यासाठी सर्वांचा पासवर्ड बदलावा लागतो.

सोडवलेली उदाहरणे

२०० खोल्यांच्या हॉटेलला नोकरी सोडणाऱ्या शिफ्ट मॅनेजरचा WiFi ॲक्सेस रद्द करायचा आहे. हॉटेलमध्ये कॉर्पोरेट लॅपटॉप आणि हेडलेस पॉइंट-ऑफ-सेल टर्मिनल्सचे मिश्रण वापरले जाते, जे सर्व सध्या एकच WPA2 पासवर्ड शेअर करत आहेत. त्यांनी ऑफबोर्डिंग प्रक्रिया कशी सुरक्षित करावी?

हॉटेलने शेअर केलेल्या WPA2 पासवर्डवरून iPSK वर स्थलांतरित व्हावे. SCIM द्वारे Purple ला त्यांच्या आयडेंटिटी प्रोव्हाइडरशी जोडून, ते प्रत्येक कर्मचारी आणि डिव्हाइसला एक युनिक iPSK देऊ शकतात. जेव्हा शिफ्ट मॅनेजर नोकरी सोडतो, तेव्हा HR त्यांचे खाते Microsoft Entra ID मध्ये निष्क्रिय करते. SCIM हा इव्हेंट Purple कडे पाठवतो, जे त्वरित त्या मॅनेजरचा विशिष्ट iPSK हटवते. पॉइंट-ऑफ-सेल टर्मिनल्स आणि इतर कर्मचाऱ्यांची डिव्हाइसेस कोणत्याही व्यत्ययाशिवाय कनेक्टेड राहतात.

परीक्षकाचे भाष्य: हा दृष्टिकोन हॉस्पिटॅलिटी क्षेत्रातील सुरक्षेचा आणि व्यावहारिकतेचा उत्तम मेळ घालतो. हेडलेस POS टर्मिनल्ससाठी पूर्ण 802.1X EAP-TLS लागू करणे खूप गुंतागुंतीचे ठरेल. iPSK प्रमाणपत्र व्यवस्थापनाची आवश्यकता न ठेवता प्रति-वापरकर्ता ॲक्सेस रद्द करण्याची आवश्यक क्षमता प्रदान करते, तर SCIM ऑडिट ट्रेल स्वयंचलित करते.

802.1X EAP-TLS चालवणारी एक सार्वजनिक क्षेत्रातील संस्था सकाळी ९:०० वाजता कंत्राटदाराचे प्रमाणपत्र रद्द करते, परंतु कंत्राटदाराचा लॅपटॉप सकाळी १०:०० वाजेपर्यंत WiFi शी कनेक्टेड राहतो. असे का झाले आणि हे कसे दुरुस्त केले जाऊ शकते?

हा विलंब यामुळे झाला कारण RADIUS सर्व्हरकडे कंत्राटदाराच्या प्रमाणपत्रासाठी कॅश केलेले 'Good' OCSP रिस्पॉन्स होते आणि सिस्टमने RADIUS Change of Authorisation (CoA) कमांड पाठवली नव्हती. हे दुरुस्त करण्यासाठी, संस्थेने RADIUS सर्व्हरवरील OCSP कॅश TTL १५ मिनिटांपर्यंत कमी केले पाहिजे आणि प्रमाणपत्र रद्द होताच ॲक्सेस पॉइंटला स्वयंचलितपणे CoA डिस्कनेक्ट मेसेज पाठवण्यासाठी सिस्टम कॉन्फिगर केली पाहिजे.

परीक्षकाचे भाष्य: हे एका महत्त्वपूर्ण फरकावर प्रकाश टाकते: क्रेडेंशियल रद्द केल्याने भविष्यातील ऑथेंटिकेशन रोखले जाते, परंतु सक्रिय सेशन समाप्त करण्यासाठी CoA आवश्यक आहे. हा उपाय कॅश टायमिंग आणि सक्रिय सेशन समाप्ती या दोन्ही गोष्टींचे निराकरण करतो.

सराव प्रश्न

Q1. तुम्ही एका रिटेल चेनच्या ऑफबोर्डिंग प्रक्रियेचे ऑडिट करत आहात. ते त्यांच्या स्टाफ WiFi साठी एकच शेअर केलेला WPA2 पासवर्ड वापरतात. ते सांगतात की ते पासवर्ड 'त्रैमासिक' बदलतात. हे ॲक्सेस रद्द करण्याच्या ISO 27001 आवश्यकता पूर्ण करते का?

टीप: कर्मचारी नोकरी सोडून जाणे आणि पुढील त्रैमासिक रोटेशन यामधील वेळेच्या अंतराचा विचार करा.

नमुना उत्तर पहा

नाही, हे ISO 27001 आवश्यकता पूर्ण करत नाही. ISO 27001 Annex A नियंत्रण A.9.2.6 नुसार नोकरी संपल्यानंतर त्वरित ॲक्सेस अधिकार काढून घेणे आवश्यक आहे. त्रैमासिक रोटेशनमुळे तीन महिन्यांपर्यंतचा असा असुरक्षित काळ मिळतो जिथे माजी कर्मचाऱ्याकडे वैध क्रेडेंशियल्स राहतात. त्वरित ॲक्सेस रद्द करणे सक्षम करण्यासाठी रिटेल चेनने प्रति-वापरकर्ता क्रेडेंशियल्स (iPSK किंवा 802.1X) वर स्थलांतरित झाले पाहिजे.

Q2. एका हॉस्पिटलला त्यांच्या WiFi नेटवर्कवरील वैद्यकीय IoT डिव्हाइसेस सुरक्षित करायचे आहेत. ही डिव्हाइसेस 802.1X प्रमाणपत्रांना सपोर्ट करू शकत नाहीत. ते प्रति-डिव्हाइस ॲक्सेस रद्द करणे कसे साध्य करू शकतात?

टीप: कोणता प्रोटोकॉल एकाच SSID वर युनिक पासवर्ड प्रदान करतो?

नमुना उत्तर पहा

हॉस्पिटलने Identity Pre-Shared Key (iPSK) तैनात केले पाहिजे. हे प्रत्येक वैद्यकीय IoT डिव्हाइसला स्वतःचा युनिक WPA2 पासवर्ड ठेवण्याची परवानगी देते. जर एखादे डिव्हाइस वापरातून काढले गेले किंवा हॅक झाले, तर IT विभाग नेटवर्कवरील इतर कोणत्याही डिव्हाइसवर परिणाम न करता RADIUS सर्व्हरवरून ती विशिष्ट की हटवू शकतो आणि त्याचा ॲक्सेस रद्द करू शकतो.

Q3. तुमची संस्था Google Workspace ला Purple शी जोडण्यासाठी SCIM वापरते. एका कर्मचाऱ्याला कामावरून काढून टाकले जाते आणि त्याचे Google खाते निलंबित केले जाते. तुम्हाला त्यांचे WiFi प्रमाणपत्र मॅन्युअली हटवण्याची गरज आहे का?

टीप: आयडेंटिटी लाइफसायकलमध्ये SCIM च्या भूमिकेचा विचार करा.

नमुना उत्तर पहा

कोणत्याही मॅन्युअल कारवाईची आवश्यकता नाही. Google Workspace मधील खाते निलंबित केल्याने SCIM डीप्रोव्हिजनिंग इव्हेंट सुरू होतो. Purple ला हा इव्हेंट मिळतो आणि ते स्वयंचलितपणे वापरकर्त्याचे WiFi क्रेडेंशियल्स रद्द करते आणि या कारवाईची नोंद करते, ज्यामुळे संपूर्ण ऑडिट ट्रेल मिळतो.

या मालिकेमध्ये पुढे वाचा

सर्वांवर नियंत्रण ठेवण्यासाठी तीन SSIDs: अतिथी (guest), कर्मचारी (staff), आणि IoT WiFi सेटअप मार्गदर्शक

हे अधिकृत तांत्रिक संदर्भ मार्गदर्शक तीन-SSID WiFi आर्किटेक्चर लागू करण्यासाठी टप्प्याटप्प्याने आराखडा प्रदान करते. हे कार्यप्रदर्शन सुधारण्यासाठी आणि PCI DSS अनुपालन सुनिश्चित करण्यासाठी captive portals, 802.1X RADIUS, आणि प्रति-डिव्हाइस PSK (xPSK) चा वापर करून अतिथी, कर्मचारी आणि IoT रहदारीचे वर्गीकरण कसे करावे हे स्पष्ट करते.

मार्गदर्शिका वाचा →

Active Directory किंवा ऑन-प्रिमाइसेस सर्व्हरशिवाय Enterprise WiFi प्रमाणीकरण

हे मार्गदर्शक ऑन-प्रिमाइसेस Active Directory, Windows NPS, किंवा RADIUS सर्व्हरशिवाय सुरक्षित WPA2/3-Enterprise WiFi प्रमाणीकरण कसे उपयोजित करावे हे स्पष्ट करते. यामध्ये क्लाउड आयडेंटिटी प्रोव्हाइडर्स आणि 802.1X मधील प्रोटोकॉल विसंगती, PEAP-MSCHAPv2 ऐवजी EAP-TLS चा वापर करण्याची कारणे, आणि Microsoft Entra ID, Okta, किंवा Google Workspace च्या विरोधात MDM-जारी केलेल्या प्रमाणपत्रांसह क्लाउड RADIUS कसे उपयोजित करावे याबद्दल माहिती दिली आहे. हे मार्गदर्शन ऑन-प्रिमाइसेस पायाभूत सुविधा काढून टाकण्यास तयार असलेल्या क्लाउड-फर्स्ट आणि जास्त Mac/Chromebook वापरणाऱ्या संस्थांमधील IT प्रमुखांसाठी लिहिले गेले आहे.

मार्गदर्शिका वाचा →

Google Workspace WiFi प्रमाणीकरण: Chromebook आणि LDAP इंटिग्रेशन

Google Workspace वातावरणात सुरक्षित WiFi डिप्लॉय करणाऱ्या IT ॲडमिनिस्ट्रेटर्ससाठी एक निश्चित तांत्रिक संदर्भ. या मार्गदर्शकामध्ये Google Admin Console द्वारे व्यवस्थापित Chromebooks वर 802.1X प्रमाणपत्र डिप्लॉयमेंट, RADIUS बॅकएंड म्हणून Google Secure LDAP इंटिग्रेशन आणि शिक्षण, मीडिया आणि एंटरप्राइझ ठिकाणांसाठी आर्किटेक्चर निर्णयांचा समावेश आहे. हे असुरक्षित शेअर केलेल्या PSKs कडून मजबूत, ओळख-आधारित नेटवर्क ॲक्सेस कंट्रोलकडे जाण्यासाठी टीम्सना मदत करण्यासाठी कृती करण्यायोग्य अंमलबजावणीच्या पायऱ्या, वास्तविक-जगातील केस स्टडीज आणि EAP पद्धतींची थेट तुलना प्रदान करते.

मार्गदर्शिका वाचा →