मुख्य मजकुराकडे जा

WPA2 Personal विरुद्ध Enterprise: फरक काय आहे आणि तुम्ही कोणते वापरावे?

हे तांत्रिक संदर्भ मार्गदर्शक WPA2 Personal आणि WPA2 Enterprise वायरलेस सुरक्षा मानकांमधील अधिकृत तुलना प्रदान करते. हे IT प्रमुखांना त्यांचे एंटरप्राइझ नेटवर्क सुरक्षित करण्यासाठी आवश्यक असणारे अंतर्गत क्रिप्टोग्राफिक हँडशेक, आर्किटेक्चरल आवश्यकता आणि उपयोजन पद्धती सविस्तरपणे स्पष्ट करते. अनुपालन फ्रेमवर्कचे पालन करण्यासाठी आणि अंतर्गत धोके कमी करण्यासाठी सामायिक पासफ्रेजेसकडून वैयक्तिकृत, प्रमाणपत्र - आधारित प्रमाणीकरणाकडे कसे जावे हे वाचक शिकतील.

📖 9 मिनिट वाचन📝 2,125 शब्द🔧 2 सोडवलेली उदाहरणे3 सराव प्रश्न📚 10 महत्वाच्या व्याख्या

header_image.png

Executive Summary

वायरलेस सुरक्षा हा आधुनिक एंटरप्राइझ इन्फ्रास्ट्रक्चरचा एक मूलभूत आधारस्तंभ आहे. आयटी मॅनेजर, नेटवर्क आर्किटेक्ट आणि CTOs साठी, योग्य सुरक्षा प्रोटोकॉल निवडणे हा केवळ तांत्रिक पर्याय नसून, एक महत्त्वपूर्ण जोखीम व्यवस्थापन निर्णय आहे. हे मार्गदर्शक WPA2 Personal (WPA2-PSK) आणि WPA2 Enterprise (WPA2-802.1X) मधील अधिकृत तांत्रिक तुलना प्रदान करते.

WPA2 Personal सर्व डिव्हाइसेसवर एकाच सामायिक पासफ्रेसवर अवलंबून असते, तर WPA2 Enterprise वैयक्तिकृत प्रमाणीकरण (authentication) सादर करते, जे Remote Authentication Dial-In User Service (RADIUS) सर्व्हरद्वारे क्रेडेंशियल व्यवस्थापन केंद्रीकृत करते. हे तांत्रिक संदर्भ मार्गदर्शक दोन्ही मानकांचे अंतर्निहित क्रिप्टोग्राफिक मेकॅनिझम, आर्किटेक्चरल फरक, उपयोजन पद्धती आणि ऑपरेशनल प्रभाव तपशीलवार स्पष्ट करते. या प्रोटोकॉलचे विश्लेषण करून, नेटवर्क प्रशासक कॉर्पोरेट मालमत्ता सुरक्षित करण्यासाठी, अनुपालन फ्रेमवर्कशी सुसंगत राहण्यासाठी आणि विविध ठिकाणच्या वातावरणात नेटवर्क कार्यप्रदर्शन ऑप्टिमाइझ करण्यासाठी माहितीपूर्ण निर्णय घेऊ शकतात.

Technical Deep-Dive

WPA2 Personal आणि WPA2 Enterprise चे सुरक्षा प्रोफाइल समजून घेण्यासाठी, एखाद्याने त्यांचे अंतर्निहित प्रमाणीकरण आर्किटेक्चर, की डेरिव्हेशन प्रक्रिया आणि पॅकेट-स्तरीय हँडशेक तपासणे आवश्यक आहे.

WPA2 Personal (WPA2-PSK) Architecture

WPA2 Personal हे प्री-शेअर्ड की (PSK) मेकॅनिझम वापरते. संपूर्ण नेटवर्कची सुरक्षा एकाच पासफ्रेसवर अवलंबून असते, जी वायरलेस ऍक्सेस पॉइंट (AP) वर कॉन्फिगर केली जाते आणि सर्व अधिकृत वापरकर्त्यांसह सामायिक केली जाते.

1. Key Derivation Process

पासफ्रेस (8 ते 63 ASCII अक्षरांच्या दरम्यान) नेटवर्कच्या SSID (Service Set Identifier) सह एकत्रित केली जाते आणि Password-Based Key Derivation Function 2 (PBKDF2) द्वारे चालविली जाते. ही प्रक्रिया 256-बिट Pairwise Master Key (PMK) तयार करण्यासाठी HMAC-SHA1 हॅशच्या 4,096 पुनरावृत्त्या (iterations) करते.

$$\text{PMK} = \text{PBKDF2}(\text{Passphrase}, \text{SSID}, 4096, 256)$$

कारण PBKDF2 फंक्शनमध्ये SSID चा वापर सॉल्ट म्हणून केला जातो, वेगवेगळ्या SSIDs वरील समान पासफ्रेस भिन्न PMKs देतात, ज्यामुळे प्री-कॉम्प्युटेड रेनबो टेबल्सचा वापर कमी होतो. तथापि, PMK स्थिर असल्याने आणि SSID वरील प्रत्येक डिव्हाइससाठी समान असल्याने, यामुळे गंभीर सुरक्षा मर्यादा उद्भवतात.

2. The 4-Way Handshake

एकदा क्लायंट आणि AP दोन्हीवर PMK स्थापित झाल्यानंतर, 4-वे हँडशेक सुरू होतो. ही प्रक्रिया पुष्टी करते की दोन्ही पक्षांकडे योग्य PMK आहे, ती की प्रत्यक्षात हवेतून प्रसारित न करता. हे युनिकॉस्ट ट्रॅफिक एनक्रिप्ट करण्यासाठी वापरली जाणारी Pairwise Transient Key (PTK) आणि मल्टिकास्ट आणि ब्रॉडकास्ट ट्रॅफिक एनक्रिप्ट करण्यासाठी वापरली जाणारी Group Temporal Key (GTK) देखील मिळवते.

  • संदेश 1 (AP ते क्लायंट): AP क्लायंटला ऑथेंटिकेटर नॉनस (ANonce) - एक यादृच्छिक मूल्य - पाठवतो.
  • संदेश 2 (क्लायंट ते AP): क्लायंट सप्लिकंट नॉनस (SNonce) जनरेट करतो. PMK, ANonce, SNonce आणि दोन्ही डिव्हाइसेसचे MAC पत्ते वापरून, क्लायंट PTK मिळवतो. तो PMK माहित असल्याचे सिद्ध करण्यासाठी Message Integrity Code (MIC) सह SNonce AP कडे पाठवतो.
  • संदेश ३ (AP ते Client): AP हा SNonce चा वापर करून PTK मिळवतो. तो MIC ची पडताळणी करतो. वैध असल्यास, AP GTK (PTK द्वारे एनक्रिप्ट केलेले) आणि एक MIC क्लायंटला परत पाठवतो.
  • संदेश ४ (Client ते AP): क्लायंट कीज इन्स्टॉल करतो आणि AP ला अंतिम पुष्टीकरण MIC पाठवतो.

३. असुरक्षितता (Vulnerabilities)

कारण PMK हा स्थिर असतो आणि SSID वरील प्रत्येक डिव्हाइससाठी समान असतो, त्यामुळे पासफ्रेज माहीत असलेला कोणताही वापरकर्ता त्याच नेटवर्कवरील इतर कोणत्याही वापरकर्त्याचा ट्रॅफिक डीक्रिप्ट करू शकतो, बशर्ते त्यांनी सुरुवातीचा 4-way हँडशेक कॅप्चर केला असेल. शिवाय, WPA2-PSK हे ऑफलाइन डिक्शनरी हल्ल्यांना अत्यंत बळी पडणारे आहे. एखादा हल्ला करणारा हवेतूनच 4-way हँडशेक कॅप्चर करू शकतो आणि नेटवर्कशी संवाद न साधता ऑफलाइन पासफ्रेज शोधण्यासाठी ब्रूट-फोर्सचा प्रयत्न करू शकतो.

WPA2 Enterprise (WPA2-802.1X) आर्किटेक्चर

WPA2 Enterprise हे शेअर्ड पासफ्रेजऐवजी IEEE 802.1X पोर्ट-आधारित नेटवर्क ॲक्सेस कंट्रोल मानकाचा वापर करते. हे आर्किटेक्चर तीन स्वतंत्र घटक सादर करते:

  • The Supplicant: वापरकर्त्याच्या डिव्हाइसवर चालणारे क्लायंट सॉफ्टवेअर.
  • The Authenticator: वायरलेस ॲक्सेस पॉइंट किंवा वायरलेस LAN कंट्रोलर (WLC).
  • The Authentication Server: सामान्यत: एक RADIUS सर्व्हर (उदा. FreeRADIUS, Cisco ISE, Aruba ClearPass) जो Active Directory किंवा LDAP डिरेक्टरीसारख्या आयडेंटिटी स्टोअरद्वारे समर्थित असतो.

स्थिर PMK ऐवजी, WPA2 Enterprise प्रत्येक वापरकर्ता सत्रासाठी डायनॅमिकली एक युनिक PMK तयार करते. प्रमाणीकरण (authentication) प्रक्रिया supplicant आणि authenticator दरम्यान LAN (EAPoL) वर एन्कॅप्स्युलेट केलेल्या Extensible Authentication Protocol (EAP) चा वापर करते आणि authenticator व authentication सर्व्हर दरम्यान RADIUS प्रोटोकॉलचा वापर करते.

सामान्य EAP पद्धती

  1. PEAP-MSCHAPv2 (Protected EAP):
    • कार्यपद्धती: सर्व्हरच्या डिजिटल प्रमाणपत्राचा वापर करून क्लायंट आणि RADIUS सर्व्हर दरम्यान एनक्रिप्टेड TLS टनेल स्थापित करते. या सुरक्षित टनेलच्या आत, क्लायंट MSCHAPv2 प्रोटोकॉलद्वारे युझरनेम आणि पासवर्डचा वापर करून प्रमाणीकरण करतो.
    • सुरक्षा प्रोफाइल: बाह्य गुप्त ऐकण्यापासून (eavesdropping) सुरक्षित, परंतु क्लायंटना RADIUS सर्व्हरचे प्रमाणपत्र प्रमाणित करण्यासाठी कॉन्फिगर केले नसल्यास क्रेडेंशियल-हार्वेस्टिंग हल्ल्यांना बळी पडू शकते.
  2. EAP-TLS (EAP-Transport Layer Security):
    • कार्यपद्धती: परस्पर प्रमाणपत्र-आधारित प्रमाणीकरण आवश्यक आहे. RADIUS सर्व्हर आणि क्लायंट डिव्हाइस दोन्हीकडे विश्वसनीय पब्लिक की इन्फ्रास्ट्रक्चर (PKI) द्वारे जारी केलेली वैध डिजिटल प्रमाणपत्रे असणे आवश्यक आहे.
    • सुरक्षा प्रोफाइल: वायरलेस सुरक्षेचे सर्वोच्च मानक. हे क्रेडेंशियल-आधारित हल्ले (जसे की फिशिंग किंवा डिक्शनरी हल्ले) पूर्णपणे काढून टाकते, कारण क्लायंट डिव्हाइसवर कोणतेही पासवर्ड ट्रान्समिट किंवा स्टोअर केले जात नाहीत.
  3. EAP-TTLS (EAP-Tunneled TLS):
    • कार्यपद्धती: PEAP प्रमाणेच, हे TLS टनेलमध्ये अंतर्गत प्रमाणीकरण देवाणघेवाण सुरक्षित करते. तथापि, हे PAP, CHAP आणि MSCHAPv2 यासह इतर विविध अंतर्गत प्रमाणीकरण प्रोटोकॉलना सपोर्ट करते आणि बिगर-Active Directory आयडेंटिटी स्टोअर्ससह समाकलित होऊ शकते.
वैशिष्ट्य WPA2 Personal (PSK) WPA2 Enterprise (802.1X)
प्रमाणीकरण पद्धती (Authentication Method) पूर्व-सामायिक की (पासफ्रेज) वैयक्तिक क्रेडेन्शियल्स / प्रमाणपत्रे
की व्यवस्थापन (Key Management) सर्व क्लायंट्सद्वारे सामायिक केलेली स्टॅटिक PMK प्रति सत्र तयार केलेली डायनॅमिक PMK
एनक्रिप्शन की ची विशिष्टता युनिक PTK, परंतु इतरांद्वारे डिक्रिप्ट करण्यायोग्य युनिक PTK, पूर्णपणे विलग
रद्द करण्याची क्षमता जागतिक (सर्व उपकरणांवर की बदलणे आवश्यक आहे) ग्रॅन्यूलर (वैयक्तिक वापरकर्ता/उपकरण निष्क्रिय करा)
पायाभूत सुविधांच्या आवश्यकता केवळ ॲक्सेस पॉइंट AP, RADIUS सर्व्हर, ओळख निर्देशिका, PKI (TLS साठी)
रोग ॲक्सेस पॉईंट्सची असुरक्षितता उच्च (Evil Twin हल्ले सहज यशस्वी होतात) कमी (सर्व्हर प्रमाणपत्र प्रमाणीकरण कनेक्शन प्रतिबंधित करते)

अंमलबजावणी मार्गदर्शक

WPA2 Enterprise वर संक्रमण करण्यासाठी किंवा ते तैनात करण्यासाठी पद्धतशीर नियोजनाची आवश्यकता असते. Active Directory डोमेनसह समाकलित केलेले, PEAP-MSCHAPv2 वापरून सुरक्षित WPA2 Enterprise नेटवर्क स्थापित करण्यासाठी खाली स्टेप बाय स्टेप तैनाती पद्धत दिली आहे.

पायरी १: आयडेंटिटी स्टोअर आणि RADIUS सर्व्हर तयार करा

  1. तुमचे Active Directory डोमेन सर्व्हिसेस (AD DS) वातावरण निरोगी असल्याची आणि वापरकर्ता/उपकरण खाती योग्य सुरक्षा गटांमध्ये (उदा., "WiFi-Users") व्यवस्थापित केली असल्याची खात्री करा.
  2. Windows Server इन्स्टन्सवर नेटवर्क पॉलिसी सर्व्हर (NPS) भूमिका स्थापित करा, किंवा Cisco ISE किंवा FreeRADIUS सारखे समर्पित RADIUS उपकरण तैनात करा.
  3. अंतर्गत Active Directory प्रमाणपत्र सेवा (AD CS) Enterprise CA किंवा विश्वसनीय सार्वजनिक प्रमाणपत्र प्राधिकरणाकडून (CA) RADIUS सर्व्हरसाठी डिजिटल प्रमाणपत्र मिळवा. या प्रमाणपत्राकडे "सर्व्हर प्रमाणीकरण" विस्तारित की वापर (EKU) असणे आवश्यक आहे.

पायरी २: RADIUS सर्व्हर कॉन्फिगर करा (NPS उदाहरण)

  1. RADIUS सर्व्हरची नोंदणी करा: Active Directory मध्ये, NPS सर्व्हर नोडवर राईट-क्लिक करा आणि "Register server in Active Directory" निवडा.
  2. RADIUS क्लायंट कॉन्फिगर करा: तुमचे वायरलेस ॲक्सेस पॉइंट्स किंवा वायरलेस LAN कंट्रोलर्स (WLCs) RADIUS क्लायंट म्हणून जोडा. प्रत्येक क्लायंटसाठी एक मजबूत, यादृच्छिकपणे तयार केलेले सामायिक गुपित (किमान २४ वर्ण) नियुक्त करा.
  3. कनेक्शन विनंती धोरणे तयार करा: वायरलेस विनंत्या हाताळण्यासाठी नियम परिभाषित करा (सामान्यत: NAS पोर्ट प्रकाराला "Wireless - IEEE 802.11" शी जुळवून).
  4. नेटवर्क धोरणे तयार करा:
    • अटी परिभाषित करा: वापरकर्ता "WiFi-Users" सुरक्षा गटाचा सदस्य असणे आवश्यक आहे.
    • मर्यादा परिभाषित करा: EAP प्रकार म्हणून "Microsoft: Protected EAP (PEAP)" निवडा.
    • PEAP गुणधर्म कॉन्फिगर करा: पायरी १ मध्ये मिळवलेले सर्व्हर प्रमाणपत्र निवडा. अंतर्गत पद्धतींनुसार, "Secured password (EAP-MSCHAP v2)" निवडल्याची खात्री करा.

पायरी ३: वायरलेस LAN कंट्रोलर / ॲक्सेस पॉइंट्स कॉन्फिगर करा

  1. तुमच्या वायरलेस व्यवस्थापन कन्सोलमध्ये लॉग इन करा.
  2. एक नवीन SSID तयार करा (उदा., "Corporate-Secure").
  3. सुरक्षा प्रकार WPA2 Enterprise वर सेट करा (किंवा तुमच्या क्लायंट फ्लीटद्वारे समर्थित असल्यास WPA3 Enterprise).
  4. RADIUS सर्व्हर IP पत्ता, पोर्ट (डीफॉल्ट प्रमाणीकरण पोर्ट १८१२ आहे) आणि पायरी २ मध्ये कॉन्फिगर केलेले अचूक सामायिक गुपित जोडा. उच्च उपलब्धतेसाठी दुय्यम RADIUS सर्व्हर उपलब्ध असल्यास कॉन्फिगर करा.
  5. डी-ऑथेंटिकेशन हल्ले रोखण्यासाठी 802.11w Protected Management Frames (PMF) ला "Capable" किंवा "Required" म्हणून सक्षम करा.

पायरी 4: क्लायंट प्रोव्हिजनिंग आणि प्रमाणपत्र वितरण

मॅन-इन-द-मिडल हल्ले रोखण्यासाठी, क्लायंट डिव्हाइसेस RADIUS सर्व्हरच्या प्रमाणपत्रावर विश्वास ठेवतील अशा प्रकारे कॉन्फिगर केले पाहिजेत.

  1. Domain-Joined Windows डिव्हाइसेससाठी: Wireless Network (IEEE 802.11) Policies कॉन्फिगर करण्यासाठी Group Policy Objects (GPO) वापरा. SSID चे नाव निर्दिष्ट करा, WPA2-Enterprise निवडा, PEAP-MSCHAPv2 निवडा, आणि RADIUS सर्व्हरच्या प्रमाणपत्रावर स्वाक्षरी करणाऱ्या Root CA वर विश्वास ठेवण्यासाठी बॉक्स स्पष्टपणे चेक करा.
  2. मोबाईल आणि Non-Domain डिव्हाइसेससाठी: डिव्हाइसेसवर विश्वसनीय रूट प्रमाणपत्र आणि नेटवर्क सेटिंग्ज असलेला WiFi प्रोफाईल पुश करण्यासाठी Mobile Device Management (MDM) सोल्यूशन (जसे की Microsoft Intune, MobileIron किंवा Jamf) चा वापर करा.

WPA3 ट्रान्झिशनबाबत विचार करायच्या गोष्टी

तुमच्या वायरलेस रोडमॅपचे नियोजन करताना, WPA3 वरील ट्रान्झिशनचा विचार करा. WPA3 Enterprise हे किमान 128-बिट क्रिप्टोग्राफिक सामर्थ्य अनिवार्य करून आणि अत्यंत संवेदनशील वातावरणासाठी 192-बिट सुरक्षा मोड (GCMP-256 आणि SHA-384 वापरून) ऑफर करून WPA2 Enterprise वर अधिक प्रगत बनते. महत्त्वाचे म्हणजे, WPA3 Protected Management Frames (PMF) चा वापर अनिवार्य करते, जे WPA2 मध्ये पर्यायी आहेत. मिश्रित क्लायंट क्षमता असलेल्या वातावरणासाठी, WPA2 आणि WPA3 Enterprise दोन्हीला सपोर्ट करणारे ट्रान्झिशन SSID तैनात केले जाऊ शकते, जरी वारसा चालत आलेल्या कमतरता दूर करण्यासाठी नवीन तैनात आयोजनांसाठी केवळ WPA3 ची शिफारस केली जाते.

सर्वोत्तम पद्धती

सुरक्षित आणि उच्च-कार्यक्षमता असलेले वायरलेस नेटवर्क राखण्यासाठी, खालील उद्योग-मानक शिफारसींचे पालन करा:

  1. कडक सर्व्हर प्रमाणपत्र प्रमाणीकरण लागू करा: RADIUS सर्व्हरचे प्रमाणपत्र प्रमाणित केल्याशिवाय क्लायंटना कधीही कनेक्ट होऊ देऊ नका. प्रमाणपत्र प्रमाणीकरण बायपास केल्यास, आक्रमणकर्ता त्याच SSID सह एक बनावट AP सेट करू शकतो आणि वापरकर्त्यांची क्रेडेन्शियल्स मिळवू शकतो.
  2. नेटवर्क ट्रॅफिक विभागणी करा: वापरकर्त्यांच्या RADIUS प्रमाणीकरण वैशिष्ट्यांवर आधारित विविध वापरकर्ता गटांना वेगवेगळ्या VLANs वर मॅप करा. उदाहरणार्थ, कंत्राटदारांना मर्यादित VLAN वर आणि पूर्ण-वेळ कर्मचाऱ्यांना कॉर्पोरेट इंट्रानेट VLAN वर नियुक्त करा.
  3. 802.11w (Protected Management Frames) लागू करा: क्लायंटना डिस्कनेक्ट करण्यासाठी आक्रमणकर्त्यांद्वारे पाठवलेल्या डी-ऑथेंटिकेशन फ्रेम्ससाठी WPA2 संवेदनशील आहे. 802.11w सक्षम केल्याने व्यवस्थापन फ्रेम्स एन्क्रिप्ट होतात, ज्यामुळे हे डिनायल-ऑफ-सर्व्हिसचे प्रयत्न कमी होतात.
  4. लॉग्सचे निरीक्षण आणि केंद्रीकरण करा: RADIUS प्रमाणीकरण लॉग्स आणि AP syslog डेटा केंद्रीय Security Information and Event Management (SIEM) सिस्टमकडे फॉरवर्ड करा. वारंवार होणाऱ्या प्रमाणीकरण अपयशांवर लक्ष ठेवा, जे ब्रूट-फोर्स किंवा क्रेडेन्शियल-स्टफिंग हल्ल्याचे संकेत असू शकतात.
  5. वारसा चालत आलेले प्रोटोकॉल टाळा: PAP किंवा CHAP सारख्या कमकुवत अंतर्गत प्रमाणीकरण पद्धती अक्षम करा. MSCHAPv2 केवळ सुरक्षित TLS टनेल (PEAP) मध्येच वापरले जात असल्याची खात्री करा.

त्रुटी निवारण आणि जोखीम कमी करणे

सामान्य बिघाड पद्धती आणि उपाय

1. RADIUS टाईमआउट / क्लायंट कनेक्ट करू शकत नाही

  • लक्षण: क्लायंट कनेक्ट करण्याचा प्रयत्न करतात परंतु टाईमआउट त्रुटीसह अपयशी ठरतात.
  • मूळ कारण (Root Cause): AP RADIUS सर्व्हरपर्यंत पोहोचू शकत नाही, किंवा RADIUS Shared Secret जुळत नाही.
  • निवारण (Mitigation): AP/WLC आणि RADIUS सर्व्हरमधील IP कनेक्टिव्हिटी तपासा. विनंत्या (requests) येत आहेत की नाही हे पाहण्यासाठी RADIUS सर्व्हर लॉग तपासा. Shared Secret दोन्ही AP आणि RADIUS सर्व्हरवर तंतोतंत जुळत असल्याची खात्री करा.

2. प्रमाणपत्र प्रमाणीकरण अपयश (Certificate Validation Failures)

  • लक्षण (Symptom): क्लायंटना प्रमाणपत्राच्या चेतावणीचा प्रॉम्प्ट दिला जातो किंवा क्रेडेंशियल्स प्रविष्ट केल्यानंतर लगेचच कनेक्ट होण्यास अपयशी ठरतात.
  • मूळ कारण (Root Cause): क्लायंट RADIUS सर्व्हरचे प्रमाणपत्र जारी करणाऱ्या प्रमाणपत्र प्राधिकरणावर (CA) विश्वास ठेवत नाही किंवा प्रमाणपत्राची मुदत संपली आहे.
  • निवारण (Mitigation): क्लायंटच्या विश्वसनीय रूट स्टोअरमध्ये रूट CA प्रमाणपत्र स्थापित केले असल्याची खात्री करा. RADIUS सर्व्हर प्रमाणपत्राची समाप्ती तारीख तपासा आणि ती संपण्यापूर्वी त्याचे नूतनीकरण करा.

3. रोमिंग उशीर आणि ड्रॉप्स (Roaming Delays and Drops)

  • लक्षण (Symptom): ठिकाणाच्या भौतिक क्षेत्रांमध्ये फिरताना वापरकर्त्यांना खंडित कनेक्शन किंवा उच्च लेटन्सीचा अनुभव येतो.
  • मूळ कारण (Root Cause): प्रत्येक AP संक्रमणावर संपूर्ण 802.1X प्रमाणीकरण प्रक्रिया होत आहे, ज्यामुळे काहीशे मिलीसेकंदांचा उशीर होतो.
  • निवारण (Mitigation): की कूटबद्ध करण्यासाठी आणि रोमिंग प्रक्रिया जलद करण्यासाठी वायरलेस कंट्रोलरवर 802.11r (Fast Transition), Opportunistic Key Caching (OKC), किंवा 802.11i Pre-authentication सक्षम करा.

ROI आणि व्यावसायिक प्रभाव (ROI & Business Impact)

WPA2 Personal कडून WPA2 Enterprise कडे संक्रमण करणे ही एक धोरणात्मक गुंतवणूक आहे जी मोजता येण्याजोगे व्यावसायिक मूल्य प्रदान करते.

कार्यात्मक कार्यक्षमता (Operational Efficiency)

WPA2 Personal सह, जेव्हा एखादा कर्मचारी संस्था सोडतो किंवा एखादे डिव्हाइस गमावले जाते, तेव्हा सुरक्षा राखण्यासाठी प्रत्येक डिव्हाइसवर नेटवर्क पासफ्रेज बदलणे आवश्यक असते. एका मोठ्या रिटेल साखळीत किंवा रुग्णालयात, हे लॉजिस्टिकली अशक्य आहे. WPA2 Enterprise हा कार्यात्मक ओव्हरहेड दूर करतो. IT प्रशासक नेटवर्कवरील इतर कोणत्याही वापरकर्त्याला प्रभावित न करता केंद्रीय ओळख निर्देशिकेतून (उदा. Active Directory) विशिष्ट वापरकर्त्यासाठी किंवा डिव्हाइससाठी त्वरित प्रवेश रद्द करू शकतात.

अनुपालन संरेखन (Compliance Alignment)

अनेक नियामक फ्रेमवर्क संवेदनशील डेटामध्ये प्रवेश करण्यासाठी सामायिक क्रेडेंशियल्सच्या वापरास कठोरपणे प्रतिबंधित करतात.

  • PCI-DSS (Requirement 8.2): प्रत्येक वापरकर्त्यासाठी विशिष्ट ओळख आवश्यक आहे. कार्डधारक डेटा हाताळणाऱ्या नेटवर्कवर WPA2 Personal वापरणे हा गैर-अनुपालन जोखीम आहे.
  • ISO 27001 / SOC 2: कठोर प्रवेश नियंत्रण आणि ऑडिटेबिलिटी आवश्यक आहे. WPA2 Enterprise नेमका कोणता वापरकर्ता आणि डिव्हाइस कोणत्या वेळी आणि कोणत्या AP द्वारे नेटवर्कशी कनेक्ट झाले याचा संपूर्ण ऑडिट ट्रेल प्रदान करतो.

जोखीम कमी करणे (Risk Mitigation)

सामायिक की काढून टाकून, संस्था अंतर्गत धोके आणि बाह्य डेटा उल्लंघनाची जोखीम मोठ्या प्रमाणात कमी करतात. एका सिंगल डेटा उल्लंघनाचा आर्थिक प्रभाव RADIUS-as-a-Service प्रमाणीकरण प्रणाली तैनात करण्याच्या सुरुवातीच्या पायाभूत सुविधा आणि परवाना खर्चापेक्षा खूप जास्त असतो.

महत्वाच्या व्याख्या

Supplicant

वर्कस्टेशन किंवा मोबाईल डिव्हाइसवर चालणारा सॉफ्टवेअर क्लायंट जो 802.1X ऑथेंटिकेशन प्रक्रिया सुरू करतो आणि त्यामध्ये भाग घेतो.

याने RADIUS सर्व्हरवर कॉन्फिगर केलेल्या विशिष्ट EAP पद्धतीला (उदा. PEAP, EAP-TLS) सपोर्ट केला पाहिजे.

Authenticator

नेटवर्क डिव्हाइस (सामान्यतः वायरलेस Access Point किंवा Wireless LAN Controller) जे पोर्ट-आधारित प्रवेश नियंत्रण लागू करते आणि supplicant आणि ऑथेंटिकेशन सर्व्हर दरम्यान ऑथेंटिकेशन मेसेज रिले करते.

हा स्वतः क्रेडेंशियल्सची पडताळणी करत नाही; हा वायरलेस बाजूला EAPoL आणि वायर्ड बाजूला RADIUS वापरून एक पूल म्हणून काम करतो.

Authentication Server

एक केंद्रीय सर्व्हर (सामान्यतः RADIUS चालवणारा) जो आयडेंटिटी डिरेक्टरीच्या विरुद्ध supplicant द्वारे सादर केलेल्या क्रेडेंशियल्स किंवा सर्टिफिकेट्सची पडताळणी करतो.

हा नेटवर्क प्रवेश मंजूर करायचा की नाही हे ठरवतो आणि VLAN असाइनमेंट्ससारखे ऑथरायझेशन ॲट्रिब्युट्स परत करू शकतो.

RADIUS (Remote Authentication Dial-In User Service)

पोर्ट 1812 (ऑथेंटिकेशन) आणि 1813 (अकाउंटिंग) वर कार्यरत असणारा एक नेटवर्किंग प्रोटोकॉल जो केंद्रीकृत Authentication, Authorization, आणि Accounting (AAA) व्यवस्थापन प्रदान करतो.

हा 802.1X नेटवर्कमध्ये Authenticator आणि Authentication Server यांच्यातील संवादासाठी वापरला जाणारा मानक प्रोटोकॉल आहे.

EAP (Extensible Authentication Protocol)

एक ऑथेंटिकेशन फ्रेमवर्क जे ऑथेंटिकेशन मेसेजेसचे ट्रान्सपोर्ट परिभाषित करते, ज्यामुळे विविध ऑथेंटिकेशन पद्धती (जसे की पासवर्ड, टोकन्स किंवा सर्टिफिकेट्स) वापरण्याची अनुमती मिळते.

हा फिजिकल नेटवर्क इन्फ्रास्ट्रक्चर अपग्रेड न करता PEAP, EAP-TLS, किंवा EAP-TTLS दरम्यान निवड करण्याची लवचिकता प्रदान करतो.

Pairwise Master Key (PMK)

ऑथेंटिकेशन टप्प्यादरम्यान मिळवलेली एक सिमेट्रिक की. WPA2 Personal मध्ये, ही स्टॅटिक असते आणि पासफ्रेजमधून मिळवली जाते. WPA2 Enterprise मध्ये, ही प्रति सेशन डायनॅमिकली जनरेट केली जाते.

PMK हा वायरलेस सेशनसाठी तात्पुरत्या एन्क्रिप्शन कीज मिळवण्यासाठी वापरला जाणारा पाया आहे.

Pairwise Transient Key (PTK)

4-way हँडशेक दरम्यान मिळवलेली, विशिष्ट क्लायंट आणि Access Point मधील युनिकास्ट डेटा ट्रॅफिक एन्क्रिप्ट करण्यासाठी वापरली जाणारी प्रत्यक्ष सेशन की.

ही प्रत्येक सेशनसाठी युनिक असते आणि वेळोवेळी किंवा जेव्हा जेव्हा क्लायंट पुन्हा कनेक्ट होतो तेव्हा रिजनरेट केली जाते.

802.11w (Protected Management Frames)

802.11 मानकातील एक सुधारणा जी डीऑथेंटिकेशन आणि डिसॲसोसिएशन फ्रेम्ससारख्या मॅनेजमेंट फ्रेम्ससाठी सुरक्षा संरक्षण प्रदान करते.

हे वैध क्लायंट्सना डिस्कनेक्ट करण्यासाठी मॅनेजमेंट फ्रेम्स स्पूफ करून हल्लेखोरांना डिनायल-ऑफ-सर्व्हिस हल्ले करण्यापासून रोखते.

PKI (Public Key Infrastructure)

डिजिटल प्रमाणपत्रे, प्रमाणपत्र अधिकारी (Certificate Authorities) आणि इतर नोंदणी अधिकाऱ्यांची एक प्रणाली जी इंटरनेट व्यवहारात गुंतलेल्या प्रत्येक पक्षाच्या वैधतेची पडताळणी आणि प्रमाणीकरण करते.

EAP-TLS तैनात करण्यासाठी आवश्यक आहे, कारण सर्व्हर आणि क्लायंट दोघांकडेही PKI द्वारे जारी केलेली विश्वसनीय प्रमाणपत्रे असणे आवश्यक आहे.

MSCHAPv2 (Microsoft Challenge Handshake Authentication Protocol v2)

Microsoft द्वारे विकसित केलेला पासवर्ड-आधारित परस्पर प्रमाणीकरण प्रोटोकॉल, जो सामान्यतः PEAP टनेलमध्ये अंतर्गत प्रमाणीकरण पद्धत म्हणून वापरला जातो.

स्वतःहून कमकुवत असले तरी, जेव्हा ते PEAP द्वारे प्रदान केलेल्या एन्क्रिप्टेड TLS टनेलमध्ये सुरक्षित केले जाते तेव्हा ते सुरक्षित असते.

सोडवलेली उदाहरणे

५० प्रत्यक्ष स्टोअर्स असलेल्या एका मध्यम आकाराच्या रिटेल साखळीला कॉर्पोरेट इन्व्हेंटरी टॅब्लेट आणि मॅनेजर लॅपटॉप सुरक्षित करण्यासाठी एका सामायिक WPA2-PSK नेटवर्कवरून WPA2-Enterprise (PEAP-MSCHAPv2) वर स्थलांतरित करायचे आहे. ही साखळी ओळख व्यवस्थापनासाठी Active Directory वापरते आणि त्यांच्याकडे एक केंद्रीय IT टीम आहे परंतु स्टोअरमध्ये स्थानिक IT कर्मचारी नाहीत.

१. कॉर्पोरेट डेटा सेंटरमध्ये रिडंडंट RADIUS सर्व्हरची (Windows Server NPS किंवा FreeRADIUS वापरून) केंद्रीय जोडी उपयोजित करा. २. AP-ते-RADIUS संवादाला अनुमती देण्यासाठी प्रत्येक ५० स्टोअरमधून कॉर्पोरेट डेटा सेंटरमध्ये सुरक्षित IPsec VPN टनेल स्थापित करा. ३. प्रमाणित, सुरक्षित सामायिक सिक्रेट टेम्पलेट वापरून, अधिकृत RADIUS क्लायंट म्हणून सर्व स्टोअर AP च्या IP सबनेटसह केंद्रीय RADIUS सर्व्हर कॉन्फिगर करा. ४. 'Store-Staff-Devices' नावाचा Active Directory सुरक्षा गट तयार करा आणि या गटामध्ये सर्व कॉर्पोरेट टॅब्लेट आणि लॅपटॉप संगणक खाती जोडा. ५. एक NPS नेटवर्क पॉलिसी कॉन्फिगर करा जी केवळ क्लायंट 'Store-Staff-Devices' मधील असल्यास आणि PEAP-MSCHAPv2 द्वारे प्रमाणित होत असल्यास प्रवेशास अनुमती देते. ६. सर्व डोमेन - जोडलेल्या लॅपटॉपवर एक ग्रुप पॉलिसी ऑब्जेक्ट (GPO) उपयोजित करा जो नवीन SSID साठी वायरलेस प्रोफाइल स्वयंचलितपणे कॉन्फिगर करतो, अंतर्गत Root CA प्रमाणपत्रावर विश्वास ठेवतो आणि प्रमाणीकरणासाठी लॉग-ऑन केलेले Windows क्रेडेंशियल्स वापरतो. ७. डोमेन - नसलेल्या टॅब्लेटसाठी, WiFi प्रोफाइल आणि विश्वसनीय Root CA प्रमाणपत्र पाठवण्यासाठी कॉर्पोरेट MDM (Microsoft Intune) वापरा. ८. उर्वरित ४५ स्टोअरमध्ये उपयोजन करण्यापूर्वी ५ पायलट स्टोअरमध्ये नवीन SSID सक्षम करून टप्प्याटप्प्याने रोलआउट करा.

परीक्षकाचे भाष्य: हा उपाय कॉन्फिगरेशन पाठवण्यासाठी केंद्रीय GPO आणि MDM ऑर्केस्ट्रेशनचा वापर करून स्थानिक IT कर्मचाऱ्यांच्या कमतरतेवर योग्य प्रकारे मात करतो. रिडंडंट RADIUS सर्व्हर स्थापित करणे महत्त्वपूर्ण आहे; जर स्टोअरची WAN लिंक तुटली, तर स्टोअरचा डाउनटाइम टाळण्यासाठी स्थानिक AP ला फॉलबॅक यंत्रणा किंवा स्थानिक सर्व्हायव्हेबिलिटी (जसे की स्थानिक 802.1X ऑथेंटिकेटर किंवा केवळ गंभीर POS ट्रॅफिकसाठी मर्यादित असलेले दुय्यम स्थानिक PSK SSID) सह कॉन्फिगर केले पाहिजे.

एका उच्च - सुरक्षा वित्तीय संस्थेला तिच्या कॉर्पोरेट मुख्यालयासाठी सर्व क्रेडेंशियल - आधारित वायरलेस हल्ले (जसे की पासवर्ड क्रॅकिंग, फिशिंग आणि रोग AP क्रेडेंशियल हार्वेस्टिंग) नष्ट करणे आवश्यक आहे. नेटवर्कने १,२०० डोमेन - जोडलेल्या Windows लॅपटॉप आणि ३०० कॉर्पोरेट iPhones ला सपोर्ट करणे आवश्यक आहे.

  1. EAP-TLS ऑथेंटिकेशनसह WPA2-Enterprise लागू करा, ज्यामुळे डिजिटल सर्टिफिकेट्सच्या बदल्यात पासवर्डची आवश्यकता पूर्णपणे काढून टाकली जाईल.
  2. ऑटो-एनरोलमेंटद्वारे सर्व डोमेन-जॉइन्ड Windows लॅपटॉप्सना कॉम्प्युटर सर्टिफिकेट्स जारी करण्यासाठी विद्यमान Active Directory Certificate Services (AD CS) PKI इन्फ्रास्ट्रक्चरचा वापर करा.
  3. कॉर्पोरेट iPhones ला क्लायंट सर्टिफिकेट्स जारी करण्यासाठी SCEP (Simple Certificate Enrollment Protocol) गेटवे वापरून AD CS सोबत समाकलित करण्यासाठी Microsoft Intune (MDM) कॉन्फिगर करा.
  4. PKI सोबत समाकलित केलेले समर्पित RADIUS क्लस्टर (उदा. Aruba ClearPass किंवा Cisco ISE) तैनात करा.
  5. परस्पर ऑथेंटिकेशन करण्यासाठी RADIUS सर्व्हर्स कॉन्फिगर करा: सर्व्हर त्याचे सर्टिफिकेट क्लायंटला सादर करतो आणि क्लायंट त्याचे युनिक सर्टिफिकेट सर्व्हरला सादर करतो.
  6. सर्टिफिकेट रद्द केले गेले नाही आणि खाते अद्याप सक्रिय आहे याची खात्री करण्यासाठी Active Directory च्या विरुद्ध 'Certificate Binary Comparison' करण्यासाठी RADIUS पॉलिसी कॉन्फिगर करा.
  7. GPO आणि MDM द्वारे सर्व डिव्हाइसेसवर वायरलेस प्रोफाइल पुश करा, ज्यामध्ये कडक सर्व्हर सर्टिफिकेट व्हॅलिडेशन अनिवार्य असेल आणि RADIUS सर्व्हरच्या सर्टिफिकेटवर स्वाक्षरी करण्यासाठी अनुमती असलेले अचूक सर्टिफिकेट ऑथॉरिटीज निर्दिष्ट केले जातील.
परीक्षकाचे भाष्य: EAP-TLS ही उपलब्ध असलेली सर्वात सुरक्षित वायरलेस ऑथेंटिकेशन पद्धत आहे. SCEP आणि GPO वापरून, हे डिप्लॉयमेंट पूर्णपणे स्वयंचलित होते, ज्यामुळे वापरकर्त्याच्या चुकीची जोखीम दूर होते. Certificate Binary Comparison चा समावेश केल्यामुळे 'ऑर्फन्ड' सर्टिफिकेट्सना (जिथे सर्टिफिकेट वैध आहे परंतु Active Directory मध्ये वापरकर्त्याचे खाते निष्क्रिय केले गेले आहे) नेटवर्क प्रवेश मिळवण्यापासून रोखले जाते.

सराव प्रश्न

Q1. एका आदरातिथ्य (hospitality) क्षेत्रातील ठिकाणाला त्यांच्या बॅक-ऑफ-हाउस कर्मचाऱ्यांचे नेटवर्क WPA2 Enterprise वापरून सुरक्षित करायचे आहे. तथापि, त्यांच्याकडे अनेक जुने हातातील इन्व्हेंटरी स्कॅनर आहेत जे फक्त WPA2 Personal (PSK) ला सपोर्ट करतात. जुन्या स्कॅनर्सना सामावून घेतानाच कॉर्पोरेट लॅपटॉपसाठी उच्च सुरक्षा राखण्यासाठी नेटवर्क आर्किटेक्टने वायरलेस वातावरणाची रचना कशी करावी?

टीप: नेटवर्क विभाजन आणि कमकुवत प्रोटोकॉलच्या संभाव्य धोक्याची व्याप्ती कमी करण्याबद्दल विचार करा.

नमुना उत्तर पहा

आर्किटेक्टने कठोर नेटवर्क विभाजनासह मल्टी-SSID डिझाइन लागू केले पाहिजे.

  1. सर्व कॉर्पोरेट लॅपटॉप, टॅब्लेट आणि आधुनिक स्मार्टफोनसाठी WPA2 Enterprise (PEAP-MSCHAPv2 किंवा EAP-TLS) सह कॉन्फिगर केलेला मुख्य SSID (उदा. 'Staff-Secure') तयार करा. हे नेटवर्क मुख्य कॉर्पोरेट VLAN शी जोडलेले असावे.
  2. लांब, गुंतागुंतीचा, यादृच्छिकपणे तयार केलेला पासफ्रेज वापरून WPA2 Personal (PSK) सह कॉन्फिगर केलेला दुय्यम, छुपा SSID (उदा. 'Legacy-Scanners') तयार करा. हा SSID एका समर्पित, वेगळ्या VLAN शी जोडलेला असणे आवश्यक आहे.
  3. जुन्या VLAN वर फायरवॉल ऍक्सेस कंट्रोल लिस्ट (ACLs) लागू करा ज्या ट्रॅफिकला केवळ इन्व्हेंटरी सर्व्हरसाठी आवश्यक असलेल्या विशिष्ट IP ऍड्रेस आणि पोर्ट्स पुरते मर्यादित करतात, इतर सर्व अंतर्गत आणि बाह्य नेटवर्क प्रवेश अवरोधित करतात.
  4. हा दृष्टिकोन हे सुनिश्चित करतो की जुना PSK पासफ्रेज हॅक झाल्यास मुख्य कॉर्पोरेट नेटवर्क उघड होणार नाही किंवा नेटवर्कमध्ये इतरत्र हालचाल करण्याची परवानगी मिळणार नाही.

Q2. कॉर्पोरेट कॅम्पसमध्ये WPA2 Enterprise (PEAP-MSCHAPv2) तैनात केल्यानंतर, वापरकर्ते तक्रार करतात की वेगवेगळ्या इमारतींमध्ये चालताना त्यांचे डिव्हाइस वारंवार डिस्कनेक्ट होतात किंवा त्यांना जास्त लेटन्सीचा अनुभव येतो. RADIUS लॉगचे विश्लेषण दर्शवते की कमी कालावधीत त्याच क्लायंटकडून मोठ्या प्रमाणात पूर्ण प्रमाणीकरण (full authentication) विनंत्या येत आहेत. या समस्येचे मूळ कारण काय आहे आणि त्याचे निराकरण कसे करावे?

टीप: ऍक्सेस पॉइंट्स दरम्यान फिजिकल रोमिंग करताना 802.1X हँडशेकचे काय होते याचा विचार करा.

नमुना उत्तर पहा

मूळ कारण असे आहे की जेव्हा जेव्हा क्लायंट नवीन ऍक्सेस पॉइंटवर रोम करतो तेव्हा वायरलेस नेटवर्क पूर्ण 802.1X प्रमाणीकरण एक्सचेंज (ज्यामध्ये सेंट्रल RADIUS सर्व्हरवर अनेक फेऱ्यांचा समावेश असतो) करण्यास भाग पाडत आहे. या प्रक्रियेस ५०० मिलिसेकंद ते १ सेकंदापेक्षा जास्त वेळ लागू शकतो, ज्यामुळे पॅकेट लॉस होतो आणि सेशन्स बंद होतात.

याचे निराकरण करण्यासाठी, नेटवर्क प्रशासकाने वायरलेस कंट्रोलर आणि ऍक्सेस पॉइंट्सवर फास्ट रोमिंग तंत्रज्ञान सक्षम केले पाहिजे:

  1. 802.11r (Fast Transition) सक्षम करा, जे क्लायंट आणि AP ला रोमिंग होण्यापूर्वीच पूर्व-सहयोगी होण्यास आणि नवीन की तयार करण्यास अनुमती देते, ज्यामुळे हँडशेक ५० मिलिसेकंदच्या आत होतो.
  2. Opportunistic Key Caching (OKC) किंवा PMK Caching सक्षम करा, जे वायरलेस कंट्रोलरला नेटवर्कमधील सर्व AP मध्ये क्लायंटची PMK सामायिक करण्याची परवानगी देते, ज्यामुळे रोमिंग दरम्यान RADIUS सर्व्हरला क्वेरी करण्याची आवश्यकता राहत नाही.
  3. क्लायंट डिव्हाइसेस या मानकांना सपोर्ट करत असल्याची खात्री करा आणि जुने क्लायंट असल्यास मिक्स-मोड किंवा ट्रान्झिशन प्रोफाइल कॉन्फिगर करा.

Q3. एक IT व्यवस्थापक WPA2 Enterprise (PEAP-MSCHAPv2) कॉन्फिगर करतो परंतु डोमेनशी न जोडलेल्या वैयक्तिक डिव्हाइसेसच्या (BYOD) ऑनबोर्डिंग प्रक्रियेस सुलभ करण्यासाठी क्लायंट डिव्हाइसेसवरील सर्व्हर प्रमाणपत्र पडताळणी अक्षम करण्याचा निर्णय घेतो. यामुळे निर्माण होणारी विशिष्ट सुरक्षा त्रुटी स्पष्ट करा आणि एखादा हल्लेखोर याचा कसा फायदा घेऊ शकतो हे सांगा.

टीप: एखादे क्लायंट डिव्हाइस ते वैध कॉर्पोरेट नेटवर्कशी संवाद साधत असल्याची खात्री कशी करते याचा विचार करा.

नमुना उत्तर पहा

सर्व्हर प्रमाणपत्र प्रमाणीकरण (server certificate validation) अकार्यक्षम केल्याने Man-in-the-Middle (MitM) आणि क्रेडेन्शियल-हार्वेस्टिंग हल्ल्यांचा गंभीर धोका निर्माण होतो, ज्याला सामान्यतः 'Evil Twin' हल्ला म्हटले जाते.

हल्लेखोर याचा खालीलप्रमाणे गैरफायदा घेऊ शकतो: १. हल्लेखोर कॉर्पोरेट नेटवर्कसारखाच SSID ब्रॉडकास्ट करणारा एक बनावट Access Point सेट करतो. २. हल्लेखोर स्व-स्वाक्षरीकृत (self-signed) प्रमाणपत्र वापरून, बनावट AP शी जोडलेला एक बनावट RADIUS सर्व्हर कॉन्फिगर करतो. ३. जेव्हा पीडित व्यक्तीचे डिव्हाइस कनेक्ट करण्याचा प्रयत्न करते, तेव्हा ते बनावट AP शी जोडले जाते (ज्यामध्ये मजबूत सिग्नल असतो किंवा जे कायदेशीर AP चे डी-ऑथेंटिकेशन करण्यास भाग पाडते). ४. सर्व्हर प्रमाणपत्र प्रमाणीकरण अकार्यक्षम असल्यामुळे, पीडित व्यक्तीचे क्लायंट डिव्हाइस त्याच्या चेन ऑफ ट्रस्टची पडताळणी न करता बनावट RADIUS सर्व्हरच्या प्रमाणपत्रावर आंधळेपणाने विश्वास ठेवते. ५. क्लायंट PEAP हँडशेक सुरू करतो आणि स्थापित टनेलद्वारे त्याचे MSCHAPv2 चॅलेंज/रिस्पॉन्स (ज्यामध्ये युझरनेम आणि हॅश केलेला पासवर्ड असतो) पाठवतो. ६. हल्लेखोर हे MSCHAPv2 एक्सचेंज कॅप्चर करतो आणि वापरकर्त्याचा पासवर्ड क्रॅक करण्यासाठी ऑफलाइन डिक्शनरी टूल्सचा वापर करतो, ज्यामुळे त्याला संपूर्ण कॉर्पोरेट क्रेडेन्शियल्स मिळतात.

या मालिकेमध्ये पुढे वाचा

सर्वांवर नियंत्रण ठेवण्यासाठी तीन SSIDs: अतिथी, Passpoint, आणि IoT WiFi सेटअप मार्गदर्शक

हे तांत्रिक मार्गदर्शक एंटरप्राइझ ठिकाणी तीन-SSID WiFi डिझाइन लागू करण्यासाठी एक निश्चित ब्ल्यूप्रिंट प्रदान करते. हे VLAN विभाजन आणि झिरो-ट्रस्ट नेटवर्क ॲक्सेस मिळवण्यासाठी ओपन Guest WiFi पोर्टल, स्वयंचलित Passpoint ऑनबोर्डिंग आणि प्रति-डिव्हाइस xPSK ऑथेंटिकेशनचे कॉन्फिगरेशन तपशीलवार सांगते.

मार्गदर्शिका वाचा →

Active Directory किंवा ऑन-प्रिम सर्व्हरशिवाय Enterprise WiFi प्रमाणीकरण

हे मार्गदर्शक ऑन-प्रिमाइसेस Active Directory, Windows NPS किंवा RADIUS सर्व्हरशिवाय सुरक्षित WPA2/3-Enterprise WiFi प्रमाणीकरण कसे उपयोजित करावे हे स्पष्ट करते. यामध्ये क्लाउड ओळख प्रदाते आणि 802.1X मधील प्रोटोकॉल विसंगती, PEAP-MSCHAPv2 ऐवजी EAP-TLS चा वापर आणि Microsoft Entra ID, Okta किंवा Google Workspace विरुद्ध MDM-जारी केलेल्या प्रमाणपत्रांसह क्लाउड RADIUS कसे उपयोजित करावे याचा समावेश आहे. हे क्लाउड-फर्स्ट आणि Mac/Chromebook-भारी संस्थांमधील IT प्रमुखांसाठी लिहिले गेले आहे जे ऑन-प्रिमाइसेस इन्फ्रास्ट्रक्चर बंद करण्यास तयार आहेत.

मार्गदर्शिका वाचा →

कर्मचारी नोकरी सोडतो तेव्हा WiFi ॲक्सेस कसा रद्द करावा

ही मार्गदर्शिका कर्मचारी नोकरी सोडतो तेव्हा WiFi ॲक्सेस कसा रद्द करावा, असुरक्षित सामायिक पासवर्ड ऐवजी प्रति-वापरकर्ता 802.1X सर्टिफिकेट्स किंवा iPSK चा वापर कसा करावा याबद्दल तपशील देते. यामध्ये ISO 27001 आणि SOC 2 ऑडिट आवश्यकता पूर्ण करण्यासाठी SCIM द्वारे स्वयंचलित डीप्रोविझनिंगचा समावेश आहे.

मार्गदर्शिका वाचा →