WPA2 विरुद्ध 802.1X: काय फरक आहे?

हे मार्गदर्शक WPA2 एन्क्रिप्शन आणि IEEE 802.1X प्रमाणीकरण फ्रेमवर्क यांच्यातील संबंध स्पष्ट करते — दोन पूरक मानके जी अनेकदा व्हेंडर डॉक्युमेंटेशन आणि नेटवर्क डिझाइन चर्चांमध्ये गोंधळात टाकतात. हे आयटी संचालक, नेटवर्क आर्किटेक्ट्स आणि व्हेन्यू ऑपरेशन्स लीडर्सना हे प्रोटोकॉल कसे संवाद साधतात याचे स्पष्ट तांत्रिक विश्लेषण, हॉस्पिटॅलिटी, रिटेल आणि सार्वजनिक क्षेत्रातील वातावरणात व्यावहारिक डिप्लॉयमेंट धोरणे आणि अनुपालन, जोखीम कमी करणे आणि अतिथी WiFi इंटिग्रेशनवर कृती करण्यायोग्य मार्गदर्शन प्रदान करते.

📖 7 मिनिट वाचन📝 1,746 शब्द🔧 2 सोडवलेली उदाहरणे❓ 3 सराव प्रश्न📚 10 महत्वाच्या व्याख्या

हे मार्गदर्शक ऐका

पॉडकास्ट ट्रान्सक्रिप्ट पहा

Purple टेक्निकल ब्रीफिंगमध्ये आपले स्वागत आहे. मी तुमचा होस्ट आहे, आणि आज आम्ही एका विषयावर चर्चा करत आहोत जो एंटरप्राइझ नेटवर्क डिझाइनमध्ये अनेकदा गोंधळ निर्माण करतो: WPA2 आणि 802.1X मधील फरक. जर तुम्ही आयटी संचालक, नेटवर्क आर्किटेक्ट असाल किंवा एखाद्या मोठ्या ठिकाणासाठी पायाभूत सुविधांचे व्यवस्थापन करत असाल, तर हे दोन मानके कसे संवाद साधतात हे समजून घेणे सुरक्षित, स्केलेबल वायरलेस वातावरण तयार करण्यासाठी मूलभूत आहे.

चला प्राथमिक गैरसमज दूर करून सुरुवात करूया. WPA2 आणि 802.1X हे स्पर्धा करणारे मानके नाहीत. तुम्ही एकाच्या ऐवजी दुसरा निवडत नाही. एका मजबूत एंटरप्राइझ डिप्लॉयमेंटमध्ये, ते पूरक स्तर आहेत.

याचा असा विचार करा: WPA2 ही तिजोरी आहे. हे एन्क्रिप्शन मानक आहे जे सुनिश्चित करते की एकदा डेटा हवेतून प्रवाहित होऊ लागला की, तो स्क्रॅम्बल केला जातो आणि इव्हस्ड्रॉपिंगपासून संरक्षित केला जातो. 802.1X हा दारात उभा असलेला बाउन्सर आहे. हे प्रमाणीकरण फ्रेमवर्क आहे जे तुम्हाला तिजोरीच्या जवळ जाण्याची परवानगी देण्यापूर्वी तुमचे आयडी तपासते.

चला तांत्रिक कार्यपद्धतीमध्ये जाऊया, WPA2 पासून सुरुवात करूया. Wi-Fi Protected Access 2 हा एक प्रमाणपत्र प्रोग्राम आहे जो वायरलेस डेटा कसा एन्क्रिप्ट केला जातो हे ठरवतो. एंटरप्राइझ सेटिंगमध्ये, ते AES-CCMP चा वापर अनिवार्य करते, जो एक अत्यंत सुरक्षित सायफर सूट आहे. WPA2 दोन मुख्य मोडमध्ये कार्य करते: Personal आणि Enterprise. WPA2-Personal प्री-शेअर्ड की वापरते — एकच पासवर्ड जो प्रत्येकजण सामायिक करतो. आपल्याला येथील धोके माहित आहेत. जर एखादा कर्मचारी नोकरी सोडून गेला, किंवा तो पासवर्ड व्हाईटबोर्डवर लिहिला गेला, तर संपूर्ण नेटवर्क धोक्यात येते.

यामुळे आपण WPA2-Enterprise कडे येतो. जेव्हा तुम्ही तुमच्या वायरलेस कंट्रोलरवर WPA2-Enterprise निवडता, तेव्हा तुम्ही ॲक्सेस पॉईंटला सामायिक पासवर्ड वापरणे थांबवण्यास आणि त्याऐवजी बाह्य ऑथेंटिकेशन सर्व्हरवर अवलंबून राहण्यास सांगत आहात. येथेच 802.1X चित्रात येते.

IEEE 802.1X हे पोर्ट-आधारित नेटवर्क ॲक्सेस कंट्रोलसाठी एक मानक आहे. ते डिजिटल द्वारपाल म्हणून काम करते. जेव्हा एखादे डिव्हाइस — ज्याला आपण सप्लिकंट म्हणतो — ॲक्सेस पॉईंटशी कनेक्ट होते, तेव्हा AP सर्व ट्रॅफिक ब्लॉक करतो. तो केवळ प्रमाणीकरण संदेशांना RADIUS सर्व्हरकडे जाण्याची परवानगी देतो. RADIUS सर्व्हर तुमच्या Active Directory विरुद्ध क्रेडेन्शियल्स तपासतो. जर क्रेडेन्शियल्स वैध असतील, तर RADIUS सर्व्हर AP ला Access-Accept संदेश पाठवतो आणि पोर्ट उघडले जाते.

महत्त्वाची गोष्ट म्हणजे, 802.1X हे क्रेडेन्शियल्स सुरक्षितपणे ट्रान्सपोर्ट करण्यासाठी Extensible Authentication Protocol, किंवा EAP वापरते. तुम्ही अनेकदा PEAP किंवा EAP-TLS सारखे शब्द ऐकाल. 802.1X फ्रेमवर्कमध्ये ओळख सिद्ध करण्याच्या या फक्त वेगवेगळ्या पद्धती आहेत. PEAP वापरकर्तानाव आणि पासवर्ड वापरते, तर EAP-TLS डिजिटल प्रमाणपत्रे वापरते, जे झिरो-ट्रस्ट वातावरणासाठी सुवर्ण मानक आहे.

तर, ते एकत्र कसे काम करतात? एकदा 802.1X ने वापरकर्त्याला यशस्वीरित्या प्रमाणित केले की, RADIUS सर्व्हर आणि क्लायंट डिव्हाइस एक अद्वितीय मास्टर सेशन की मिळवतात. ते या की चा वापर WPA2 फोर-वे हँडशेक करण्यासाठी करतात, त्या वैयक्तिक सत्रासाठी विशिष्ट एन्क्रिप्शन की तयार करतात. याचा अर्थ प्रत्येक वापरकर्त्याकडे स्वतःची अद्वितीय एन्क्रिप्शन टनेल असते. जरी कोणी तुमचे वायरलेस ट्रॅफिक कॅप्चर केले, तरी ते डिक्रिप्ट करू शकत नाहीत कारण त्यांच्याकडे तुमच्या विशिष्ट सेशन की नसतात.

आता, अंमलबजावणीबद्दल बोलूया. तुम्ही तुमच्या विशिष्ट ठिकाणासाठी हे आर्किटेक्चर कसे तयार कराल?

जर तुम्ही कॉर्पोरेट ऑफिसचे व्यवस्थापन करत असाल, तर तुमचे लक्ष्य झिरो ट्रस्ट असले पाहिजे. याचा अर्थ EAP-TLS वापरून 802.1X सह WPA2-Enterprise. तुम्ही MDM द्वारे तुमच्या व्यवस्थापित लॅपटॉपवर प्रमाणपत्रे तैनात करता. वापरकर्त्यांना विसरण्यासाठी किंवा सामायिक करण्यासाठी कोणतेही पासवर्ड नाहीत. केवळ कंपनीच्या मालकीची उपकरणेच अंतर्गत नेटवर्कवर येतात.

पण जर तुम्ही एक मोठी रिटेल चेन असाल तर काय? तुमच्याकडे पॉइंट ऑफ सेल टर्मिनल्स आहेत ज्यांना कठोर PCI DSS अनुपालनाची आवश्यकता आहे, परंतु तुम्हाला लॉयल्टी साइन-अप वाढवण्यासाठी अतिथी WiFi देखील ऑफर करायचे आहे. येथे, तुम्ही विभाजन करता. तुम्ही तुमच्या कर्मचारी आणि पॉइंट ऑफ सेल उपकरणांसाठी 802.1X सह WPA2-Enterprise वापरता, वैयक्तिक उत्तरदायित्व सुनिश्चित करता. अतिथींसाठी, त्यांच्या वैयक्तिक फोनवर कॉन्फिगर करण्यासाठी 802.1X खूप गुंतागुंतीचे आहे. त्यामुळे, तुम्ही थेट Captive Portal कडे राउट केलेले ओपन नेटवर्क वापरता. येथेच Purple सारखे प्लॅटफॉर्म येते, जे सोशल लॉगिनद्वारे अतिथी प्रमाणीकरण हाताळते, तो मौल्यवान फर्स्ट-पार्टी डेटा कॅप्चर करते, आणि ते ट्रॅफिक तुमच्या सुरक्षित पॉइंट ऑफ सेल VLAN पासून पूर्णपणे वेगळे ठेवते.

हॉस्पिटॅलिटी वातावरणात — हॉटेल्स, कॉन्फरन्स सेंटर्स, मोठी ठिकाणे — आव्हान पुन्हा वेगळे आहे. तुम्ही हजारो तात्पुरत्या वापरकर्त्यांशी व्यवहार करत आहात ज्यांचा तुमच्या कॉर्पोरेट डिरेक्टरीशी कोणताही संबंध नाही. Passpoint, ज्याला Hotspot 2.0 म्हणूनही ओळखले जाते, हे येथील उदयोन्मुख उत्तर आहे. ते 802.1X आणि WPA2-Enterprise वापरते, परंतु प्रोव्हिजनिंग प्रक्रिया स्वयंचलित करते. वापरकर्ते कोणत्याही मॅन्युअल नेटवर्क कॉन्फिगरेशनशिवाय त्यांच्या विद्यमान प्रोफाइल्सचा वापर करून अखंडपणे प्रमाणीकरण करतात. Purple या इकोसिस्टममध्ये आयडेंटिटी प्रोव्हायडर म्हणून काम करते, अतिथी अनुभव आणि एंटरप्राइझ-ग्रेड सुरक्षा यांच्यातील दरी कमी करते.

चला काही सर्वोत्तम पद्धती आणि सामान्य चुकांवर नजर टाकूया. 802.1X डिप्लॉयमेंटमध्ये आम्ही पाहतो ती सर्वात मोठी चूक म्हणजे कठोर प्रमाणपत्र पडताळणी लागू करण्यात अपयश. जर तुमचे लॅपटॉप RADIUS सर्व्हरचे प्रमाणपत्र प्रमाणित करण्यासाठी कॉन्फिगर केलेले नसतील, तर तुम्ही इव्हिल ट्विन हल्ल्यासाठी असुरक्षित आहात. हॅकर एक रोग ॲक्सेस पॉईंट सुरू करू शकतो, तुमचा कॉर्पोरेट SSID प्रसारित करू शकतो आणि तुमची उपकरणे आंधळेपणाने त्यांचे हॅश केलेले क्रेडेन्शियल्स सोपवतील. प्रमाणपत्र विश्वास लागू करण्यासाठी नेहमी ग्रुप पॉलिसी किंवा MDM वापरा. हे अनिवार्य आहे.

दुसरे आव्हान हेडलेस IoT उपकरणे आहेत — प्रिंटर्स, स्कॅनर्स, सेन्सर्स — जे 802.1X ला समर्थन देत नाहीत. यांच्यासाठी, प्रशासक अनेकदा MAC ऑथेंटिकेशन बायपास, किंवा MAB वापरतात. येथे खूप काळजी घ्या. MAC ॲड्रेस सहजपणे स्पूफ केले जातात. जर तुम्हाला MAB वापरावेच लागत असेल, तर ती उपकरणे कठोर ॲक्सेस कंट्रोल लिस्टसह अत्यंत प्रतिबंधित VLAN मध्ये ठेवली आहेत याची खात्री करा. त्यांना डीफॉल्टनुसार अविश्वासू माना.

तिसरी सामान्य अपयशाची पद्धत म्हणजे उच्च-घनतेच्या वातावरणात RADIUS टाइमआउट. स्टेडियम्स आणि कॉन्फरन्स सेंटर्समध्ये हजारो उपकरणे एकाच वेळी प्रमाणीकरण करण्याचा प्रयत्न करू शकतात. जर तुमची RADIUS पायाभूत सुविधा लोड हाताळू शकत नसेल, तर तुम्हाला ऑथेंटिकेशन टाइमआउट्स मिळतात आणि वापरकर्ते कनेक्ट होऊ शकत नाहीत. तुमचे RADIUS सर्व्हर्स लोड-बॅलन्स्ड आहेत आणि तुमचे ॲक्सेस पॉईंट्स आणि ऑथेंटिकेशन सर्व्हर्समधील नेटवर्क पाथमध्ये कमीत कमी लेटन्सी आहे याची खात्री करा. येथेच वितरित डिप्लॉयमेंटमध्ये SD-WAN महत्त्वपूर्ण भूमिका बजावू शकते, केंद्रीकृत प्रमाणीकरण सेवांशी विश्वसनीय कनेक्टिव्हिटी सुनिश्चित करते.

आता, मुख्य निर्णय बिंदूंचा एक द्रुत सारांश घेऊया.

तुम्ही WPA2-Personal वापरावे की WPA2-Enterprise? जर तुमच्याकडे दहापेक्षा जास्त कर्मचारी असतील, तर Enterprise वापरा. RADIUS सर्व्हर व्यवस्थापित करण्याच्या ऑपरेशनल ओव्हरहेडपेक्षा सुरक्षा फायदे खूप जास्त आहेत.

तुम्ही PEAP वापरावे की EAP-TLS? जर तुमच्याकडे MDM असेल आणि तुम्ही प्रमाणपत्रे तैनात करू शकत असाल तर EAP-TLS वापरा. जर तुम्ही Active Directory क्रेडेन्शियल्सवर अवलंबून असाल तर PEAP वापरा. आणि तुम्ही जे काही निवडाल, क्लायंट बाजूला नेहमी प्रमाणपत्र पडताळणी लागू करा.

अतिथी WiFi बद्दल काय? अतिथींना 802.1X वर ठेवू नका. Captive Portal सोल्यूशन वापरा. त्यांचा डेटा अनुपालन करत कॅप्चर करा, त्यांचे ट्रॅफिक विभाजित करा आणि त्यांना तुमच्या अंतर्गत नेटवर्कपासून पूर्णपणे वेगळे ठेवा.

WPA3 संबंधित आहे का? नक्कीच. WPA3-Enterprise सरकारी आणि वित्त यांसारख्या उच्च-सुरक्षा वातावरणासाठी 192-बिट सुरक्षा मोड ऑफर करते. ते बॅकवर्ड कंपॅटिबल आहे, त्यामुळे तुमच्या स्थलांतराचे नियोजन सुरू करा, विशेषतः नवीन डिप्लॉयमेंटसाठी.

थोडक्यात सांगायचे तर: WPA2 आणि 802.1X या एकच गोष्टी नाहीत, परंतु एंटरप्राइझ वातावरणात, ते एकत्र काम करतात. WPA2 डेटा एन्क्रिप्ट करते. 802.1X ओळखीचे प्रमाणीकरण करते. WPA2-Enterprise हा मोड आहे जो त्यांना एकत्र करतो. कॉर्पोरेट नेटवर्कसाठी, हे संयोजन बेसलाइन सुरक्षा आवश्यकता आहे. अतिथी आणि सार्वजनिक WiFi साठी, तुम्हाला वेगळ्या दृष्टिकोनाची आवश्यकता आहे — जो वापरकर्ता अनुभवासह सुरक्षेचा समतोल राखतो, जिथे Purple सारखे प्लॅटफॉर्म महत्त्वपूर्ण मूल्य जोडतात.

मुख्य मुद्दे: WPA2 हे एन्क्रिप्शन आहे; 802.1X हे प्रमाणीकरण आहे. WPA2-Enterprise ला 802.1X लागू करणारा RADIUS सर्व्हर आवश्यक आहे. इव्हिल ट्विन हल्ले टाळण्यासाठी नेहमी प्रमाणपत्र पडताळणी लागू करा. तुमचे अतिथी ट्रॅफिक तुमच्या कॉर्पोरेट नेटवर्कपासून वेगळे करा. आणि सार्वजनिक ठिकाणांसाठी, एंटरप्राइझ सुरक्षा आणि अखंड अतिथी ऑनबोर्डिंग यांच्यातील पूल म्हणून Passpoint चा विचार करा.

या Purple टेक्निकल ब्रीफिंगमध्ये सामील झाल्याबद्दल धन्यवाद. EAP पद्धती, डिप्लॉयमेंट आर्किटेक्चर आणि अनुपालन फ्रेमवर्कवरील अधिक तपशीलांसाठी, purple dot ai ला भेट द्या.

महत्वाचे मुद्दे

✓WPA2 हे एक एन्क्रिप्शन मानक (IEEE 802.11i) आहे जे AES-CCMP वापरून ट्रान्झिटमधील डेटाचे संरक्षण करते. 802.1X हे एक प्रमाणीकरण फ्रेमवर्क (IEEE 802.1X) आहे जे नेटवर्क ॲक्सेस देण्यापूर्वी ओळखीची पडताळणी करते. ते वेगवेगळ्या समस्या सोडवतात आणि WPA2-Enterprise डिप्लॉयमेंटमध्ये एकत्र काम करतात.
✓WPA2-Personal सामायिक प्री-शेअर्ड की वापरते — एक तडजोड केलेला पासवर्ड संपूर्ण नेटवर्क उघड करतो. WPA2-Enterprise RADIUS सर्व्हर विरुद्ध प्रत्येक वापरकर्त्याला वैयक्तिकरित्या प्रमाणित करण्यासाठी 802.1X वापरते, अद्वितीय सत्र एन्क्रिप्शन की तयार करते.
✓802.1X प्रमाणीकरण क्रमामध्ये तीन भूमिकांचा समावेश असतो: सप्लिकंट (क्लायंट डिव्हाइस), ऑथेंटिकेटर (ॲक्सेस पॉईंट), आणि ऑथेंटिकेशन सर्व्हर (RADIUS). RADIUS ने Access-Accept जारी करेपर्यंत AP सर्व ट्रॅफिक ब्लॉक करतो.
✓PEAP डिप्लॉयमेंटसाठी, क्लायंट उपकरणांवर सर्व्हर प्रमाणपत्र पडताळणी लागू करणे अनिवार्य आहे. त्याशिवाय, नेटवर्क इव्हिल ट्विन हल्ल्यांसाठी असुरक्षित असते जिथे रोग APs कोणत्याही EAP चॅलेंजवर आंधळेपणाने विश्वास ठेवणाऱ्या उपकरणांकडून क्रेडेन्शियल्स गोळा करतात.
✓सार्वजनिक अतिथी WiFi (हॉस्पिटॅलिटी, रिटेल, इव्हेंट्स) साठी, तात्पुरत्या वापरकर्त्यांसाठी 802.1X कार्यात्मकदृष्ट्या अव्यवहार्य आहे. अतिथी प्रवेशासाठी Captive Portal (जसे की Purple) सह ओपन नेटवर्क वापरा, कॉर्पोरेट नेटवर्कपासून संपूर्ण VLAN विभाजन सुनिश्चित करा.
✓Passpoint (Hotspot 2.0) 802.1X आणि WPA2-Enterprise वापरते परंतु डिव्हाइस प्रोव्हिजनिंग स्वयंचलित करते, अखंड अतिथी अनुभवासह एंटरप्राइझ-ग्रेड सुरक्षा सक्षम करते — मोठ्या सार्वजनिक ठिकाणांसाठी इष्टतम आर्किटेक्चर.
✓802.1X साठी व्यावसायिक प्रकरण स्पष्ट आहे: PSK रोटेशन ओव्हरहेड दूर करणे, अनुपालनासाठी वैयक्तिक उत्तरदायित्व (PCI DSS, HIPAA, GDPR), आणि थेट कॉर्पोरेट डिरेक्टरीशी जोडलेले केंद्रीकृत ॲक्सेस कंट्रोल.

कार्यकारी सारांश

एंटरप्राइझ वातावरणाचे व्यवस्थापन करणाऱ्या आयटी (IT) संचालक आणि नेटवर्क आर्किटेक्ट्ससाठी, WPA2 आणि 802.1X मधील फरक अनेकदा व्हेंडर डॉक्युमेंटेशनमध्ये अस्पष्ट असतो. WPA2 हा एक सुरक्षा प्रमाणपत्र प्रोग्राम आहे जो वायरलेस डेटा हवेतून कसा एन्क्रिप्ट केला जातो हे ठरवतो. याउलट, IEEE 802.1X हे पोर्ट-आधारित नेटवर्क ॲक्सेस कंट्रोल (PNAC) फ्रेमवर्क आहे जे वापरकर्ता किंवा डिव्हाइस नेटवर्कवर प्रवेश मिळवण्यापूर्वी त्यांची ओळख कशी सिद्ध करते हे ठरवते.

ते एकमेकांशी स्पर्धा करणारे मानके नाहीत — ते सुरक्षित वायरलेस आर्किटेक्चरचे पूरक स्तर आहेत. जेव्हा एखादा एंटरप्राइझ "WPA2-Enterprise" तैनात करतो, तेव्हा ते मूळतः एन्क्रिप्शनसाठी WPA2 आणि प्रमाणीकरणासाठी 802.1X तैनात करत असतात. हे प्रोटोकॉल एकमेकांशी कसे संवाद साधतात हे समजून घेणे अनधिकृत प्रवेश कमी करण्यासाठी, PCI DSS आणि GDPR सारख्या फ्रेमवर्कचे पालन सुनिश्चित करण्यासाठी आणि वितरित ठिकाणांवर स्केलेबल पायाभूत सुविधा तैनात करण्यासाठी महत्त्वपूर्ण आहे. हे मार्गदर्शक दोन्ही मानकांच्या कार्यपद्धतीचे विश्लेषण करते, व्हेंडर-न्यूट्रल अंमलबजावणी धोरणे प्रदान करते आणि Purple चे Guest WiFi सारखे आधुनिक प्लॅटफॉर्म या सुरक्षित आर्किटेक्चरमध्ये अखंडपणे कसे समाकलित होतात याचा तपशील देते.

तांत्रिक सखोल माहिती: मानकांचे विश्लेषण

सुरक्षित वायरलेस नेटवर्क तयार करण्यासाठी, डेटा गोपनीयता (एन्क्रिप्शन) आणि ओळख पडताळणी (प्रमाणीकरण) या संकल्पना वेगळ्या करणे आवश्यक आहे. या वेगवेगळ्या समस्या आहेत, ज्या वेगवेगळ्या मानकांद्वारे सोडवल्या जातात आणि त्या क्रमाने कार्य करतात.

WPA2: एन्क्रिप्शन मानक

Wi-Fi Protected Access 2 (WPA2) हा वायरलेस संगणक नेटवर्क सुरक्षित करण्यासाठी Wi-Fi Alliance ने विकसित केलेला एक प्रमाणपत्र प्रोग्राम आहे. तो IEEE 802.11i मानकावर आधारित आहे. क्लायंट डिव्हाइस (सप्लिकंट) आणि ॲक्सेस पॉईंट (ऑथेंटिकेटर) दरम्यान प्रसारित केलेला डेटा दुर्भावनापूर्ण घटकांद्वारे अडवला आणि वाचला जाऊ शकत नाही हे सुनिश्चित करणे हे त्याचे प्राथमिक कार्य आहे.

WPA2 मध्ये CCMP (Counter Mode Cipher Block Chaining Message Authentication Code Protocol) सह AES (Advanced Encryption Standard) चा वापर अनिवार्य आहे. याने मूळ WPA मानकामध्ये वापरल्या जाणाऱ्या असुरक्षित TKIP सायफरची जागा घेतली. WPA2 दोन प्राथमिक मोडमध्ये कार्य करते: WPA2-Personal (PSK), जे प्री-शेअर्ड की वापरते जिथे प्रत्येक डिव्हाइस एन्क्रिप्शन की तयार करण्यासाठी समान पासवर्ड वापरते आणि WPA2-Enterprise, जे 802.1X प्रमाणीकरण सर्व्हरसह समाकलित होते आणि प्रत्येक वैयक्तिक सत्रासाठी अद्वितीय, डायनॅमिक एन्क्रिप्शन की तयार करते.

WPA2-Personal ची गंभीर असुरक्षा ही आहे की एक तडजोड केलेली PSK संपूर्ण नेटवर्क उघड करते. 400 ठिकाणे असलेल्या रिटेल चेनमध्ये, प्रत्येक AP आणि प्रत्येक डिव्हाइसवर PSK बदलणे कार्यात्मकदृष्ट्या कठीण आहे. 802.1X द्वारे समर्थित WPA2-Enterprise ही समस्या पूर्णपणे दूर करते.

802.1X: प्रमाणीकरण फ्रेमवर्क

IEEE 802.1X हे पोर्ट-आधारित नेटवर्क ॲक्सेस कंट्रोल (PNAC) साठी एक मानक आहे. मूळतः वायर्ड इथरनेटसाठी डिझाइन केलेले, ते मजबूत, प्रति-वापरकर्ता प्रमाणीकरण प्रदान करण्यासाठी वायरलेस नेटवर्कसाठी अनुकूल केले गेले. ते डेटा एन्क्रिप्ट करत नाही — ते डिजिटल द्वारपाल म्हणून कार्य करते, जोपर्यंत डिव्हाइस केंद्रीकृत प्रमाणीकरण सर्व्हरला आपली ओळख सिद्ध करत नाही तोपर्यंत नेटवर्क पोर्ट तार्किकदृष्ट्या "बंद" ठेवते.

802.1X फ्रेमवर्क तीन भूमिकांवर तयार केले आहे. सप्लिकंट (Supplicant) हे नेटवर्क ॲक्सेसची विनंती करणारे क्लायंट डिव्हाइस (लॅपटॉप, स्मार्टफोन, IoT सेन्सर) आहे. ऑथेंटिकेटर (Authenticator) हे नेटवर्क ॲक्सेस डिव्हाइस आहे — सामान्यतः वायरलेस ॲक्सेस पॉईंट किंवा मॅनेज्ड स्विच — जे स्वतः ॲक्सेसचा निर्णय न घेता प्रमाणीकरण देवाणघेवाण सुलभ करते. ऑथेंटिकेशन सर्व्हर (Authentication Server) (सामान्यतः RADIUS सर्व्हर) ही केंद्रीकृत प्रणाली आहे जी Active Directory किंवा LDAP सारख्या डिरेक्टरी विरुद्ध सप्लिकंटच्या क्रेडेन्शियल्सची पडताळणी करते आणि ॲक्सेसचा निर्णय जारी करते.

802.1X सप्लिकंट आणि ऑथेंटिकेशन सर्व्हर दरम्यान प्रमाणीकरण डेटा ट्रान्सपोर्ट करण्यासाठी Extensible Authentication Protocol (EAP) वर अवलंबून असते. EAP अत्यंत लवचिक आहे, जे अनेक इनर पद्धतींना समर्थन देते. EAP-TLS परस्पर प्रमाणपत्र-आधारित प्रमाणीकरण वापरते आणि झिरो-ट्रस्ट वातावरणासाठी सुवर्ण मानक मानले जाते. PEAP केवळ सर्व्हर-साइड प्रमाणपत्राची आवश्यकता ठेवून, TLS टनेलमध्ये क्रेडेन्शियल्स एन्कॅप्स्युलेट करते. या पद्धतींच्या तपशीलवार तुलनेसाठी, आमचे EAP-TLS विरुद्ध PEAP: तुमच्या नेटवर्कसाठी कोणता प्रमाणीकरण प्रोटोकॉल योग्य आहे? वरील मार्गदर्शक पहा.

WPA2 आणि 802.1X एकत्र कसे काम करतात

जेव्हा एखादे डिव्हाइस WPA2-Enterprise SSID शी कनेक्ट होते, तेव्हा खालील क्रम घडतो. प्रथम, डिव्हाइस AP शी संलग्न होते, परंतु AP 802.1X EAP संदेश वगळता सर्व ट्रॅफिक ब्लॉक करते. दुसरे, डिव्हाइस आणि RADIUS सर्व्हर AP द्वारे क्रेडेन्शियल्सची देवाणघेवाण करतात — हा 802.1X प्रमाणीकरण टप्पा आहे. यशस्वी झाल्यास, RADIUS सर्व्हर मास्टर सेशन की (MSK) सह AP ला "Access-Accept" संदेश पाठवतो. तिसरे, AP आणि डिव्हाइस WPA2 4-वे हँडशेक करण्यासाठी MSK वापरतात, AES-CCMP द्वारे त्या सत्राच्या डेटा ट्रॅफिकला एन्क्रिप्ट करण्यासाठी वापरली जाणारी विशिष्ट पेअरवाइज ट्रान्झिएंट की (PTK) मिळवतात. शेवटी, पोर्ट "उघडले" जाते आणि एन्क्रिप्टेड डेटा प्रवाहित होतो. प्रत्येक वापरकर्त्याकडे एक अद्वितीय एन्क्रिप्शन की असते, याचा अर्थ एका वापरकर्त्याचे ट्रॅफिक कॅप्चर केल्याने दुसऱ्याच्या ट्रॅफिकबद्दल कोणतीही माहिती मिळत नाही.

अंमलबजावणी मार्गदर्शक: तुमच्या ठिकाणासाठी आर्किटेक्चर तयार करणे

ही मानके तैनात करण्यासाठी तांत्रिक क्षमतांना व्यावसायिक आवश्यकतांशी संरेखित करणे आवश्यक आहे. ठिकाणाचा प्रकार आणि वापरकर्ता लोकसंख्याशास्त्र यावर अवलंबून दृष्टिकोन लक्षणीयरीत्या बदलतो.

कॉर्पोरेट ऑफिस: झिरो ट्रस्ट आर्किटेक्चर

ISO 27001 किंवा Cyber Essentials+ अनुपालनाचे लक्ष्य असलेल्या संस्थांसाठी, शिफारस केलेली डिप्लॉयमेंट EAP-TLS वापरून 802.1X सह WPA2-Enterprise (किंवा नवीन बिल्डसाठी WPA3-Enterprise) आहे. यासाठी Microsoft Intune किंवा Jamf सारख्या MDM सोल्यूशनद्वारे सर्व कॉर्पोरेट उपकरणांवर डिजिटल प्रमाणपत्रे तैनात करणे आवश्यक आहे. हे पासवर्ड-आधारित असुरक्षा पूर्णपणे दूर करते — केवळ कंपनीच्या मालकीची, व्यवस्थापित उपकरणेच प्रमाणित करू शकतात. अव्यवस्थापित किंवा वैयक्तिक उपकरणे स्वयंचलितपणे विभागलेल्या अतिथी SSID वर पाठविली जातात. RADIUS ॲट्रिब्युट्सद्वारे डायनॅमिक VLAN असाइनमेंट भूमिकेनुसार पुढील विभाजनास अनुमती देते: आयटी प्रशासक, मानक कर्मचारी आणि कंत्राटदार प्रत्येकाला योग्य ACL सह वेगवेगळ्या VLAN वर नियुक्त केले जाऊ शकते, तेही एकाच SSID वरून.

रिटेल चेन: PCI DSS साठी विभागलेली सुरक्षा

एका मोठ्या रिटेल चेनसाठी, आव्हान दुहेरी आहे: लॉयल्टी प्रोग्राम साइन-अप वाढवण्यासाठी घर्षणरहित अतिथी प्रवेश ऑफर करताना PCI DSS अनुपालनासाठी PoS टर्मिनल्स सुरक्षित करणे. आर्किटेक्चरला एकाच भौतिक पायाभूत सुविधेवर दोन भिन्न सुरक्षा पोश्चर आवश्यक आहेत. कर्मचारी आणि PoS SSID ने 802.1X सह WPA2-Enterprise वापरले पाहिजे (कर्मचाऱ्यांसाठी Active Directory शी जोडलेले PEAP-MSCHAPv2, PoS टर्मिनल्ससाठी मशीन प्रमाणपत्रांसह EAP-TLS). हे वैयक्तिक उत्तरदायित्व सुनिश्चित करते आणि PoS ट्रॅफिकला काटेकोरपणे वेगळ्या, PCI-अनुरूप VLAN वर ठेवते. अतिथी SSID थेट Captive Portal कडे राउट केलेले ओपन नेटवर्क वापरते. Purple चे WiFi Analytics प्लॅटफॉर्म सोशल लॉगिन किंवा फॉर्म फिलद्वारे अतिथी प्रमाणीकरण हाताळते, PoS वातावरणातून संपूर्ण नेटवर्क विभाजन राखून GDPR अंतर्गत अनुपालन करत फर्स्ट-पार्टी डेटा कॅप्चर करते.

हॉस्पिटॅलिटी आणि सार्वजनिक ठिकाणे: मोठ्या प्रमाणावर अखंड ऑनबोर्डिंग

हॉस्पिटॅलिटी वातावरणासाठी — हॉटेल्स, कॉन्फरन्स सेंटर्स, स्टेडियम्स — कॉर्पोरेट डिरेक्टरीशी कोणताही संबंध नसलेल्या तात्पुरत्या अतिथींसाठी 802.1X कार्यात्मकदृष्ट्या खूप गुंतागुंतीचे आहे. या युज केससाठी उदयोन्मुख मानक Passpoint (Hotspot 2.0) आहे, जे 802.1X आणि WPA2-Enterprise वापरते परंतु डिव्हाइस प्रोव्हिजनिंग प्रक्रिया स्वयंचलित करते. Purple कनेक्ट लायसन्स अंतर्गत OpenRoaming सारख्या सेवांसाठी मोफत आयडेंटिटी प्रोव्हायडर म्हणून काम करते, ज्यामुळे अतिथींना कोणत्याही मॅन्युअल नेटवर्क कॉन्फिगरेशनशिवाय त्यांच्या विद्यमान प्रोफाइल्सचा वापर करून अखंडपणे प्रमाणीकरण करता येते. वाहतूक आणि सार्वजनिक क्षेत्रातील ठिकाणांसाठी, हा दृष्टिकोन प्रमाणीकरण प्रवाहामध्ये संमती व्यवस्थापन थेट समाकलित करून GDPR डेटा कॅप्चर आवश्यकतांच्या अनुपालनास देखील समर्थन देतो.

एंटरप्राइझ डिप्लॉयमेंटसाठी सर्वोत्तम पद्धती

सर्व सप्लिकंट्सवर कठोर प्रमाणपत्र पडताळणी लागू करा. PEAP वापरताना, क्लायंट डिव्हाइसेस RADIUS सर्व्हरचे प्रमाणपत्र प्रमाणित करण्यासाठी कॉन्फिगर केलेले आहेत याची खात्री करा. असे करण्यात अयशस्वी झाल्यास नेटवर्कला इव्हिल ट्विन (Evil Twin) हल्ल्यांचा धोका निर्माण होतो, जिथे एक रोग (rogue) AP अशा उपकरणांकडून क्रेडेन्शियल्स गोळा करतो जे EAP चॅलेंज सादर करणाऱ्या कोणत्याही सर्व्हरवर आंधळेपणाने विश्वास ठेवतात. हे कॉन्फिगरेशन ग्रुप पॉलिसी किंवा MDM द्वारे तैनात करा — हा निर्णय मॅन्युअली घेण्यासाठी कधीही अंतिम वापरकर्त्यांवर अवलंबून राहू नका.

डायनॅमिक VLAN असाइनमेंट लागू करा. यशस्वी 802.1X प्रमाणीकरणानंतर वापरकर्त्यांना त्यांच्या Active Directory गट सदस्यत्वावर आधारित विशिष्ट VLAN वर नियुक्त करण्यासाठी RADIUS ॲट्रिब्युट्स (विशेषतः Tunnel-Type, Tunnel-Medium-Type, आणि Tunnel-Private-Group-ID) चा फायदा घ्या. हे प्रत्येक वापरकर्ता वर्गासाठी स्वतंत्र SSID ची आवश्यकता न ठेवता भूमिकेवर आधारित नेटवर्क विभाजनास सक्षम करते.

लेगसी सायफर सूट्स नाकारा. सर्व वायरलेस कंट्रोलर्स आणि ॲक्सेस पॉईंट्सवर TKIP आणि WEP पूर्णपणे अक्षम केले आहेत याची खात्री करा. दोन्ही क्रिप्टोग्राफिकदृष्ट्या खंडित आहेत. WPA2 ची जाहिरात करणारे परंतु TKIP फॉलबॅकची परवानगी देणारे नेटवर्क WEP पेक्षा अधिक सुरक्षित नाही.

उच्च-घनतेच्या वातावरणासाठी RADIUS क्षमतेची योजना करा. स्टेडियम्स, कॉन्फरन्स सेंटर्स आणि मोठ्या हेल्थकेअर कॅम्पसमध्ये, हजारो उपकरणे एकाच वेळी प्रमाणीकरण करण्याचा प्रयत्न करू शकतात. RADIUS पायाभूत सुविधा लोड-बॅलन्स्ड आहेत आणि APs आणि ऑथेंटिकेशन सर्व्हर्समधील नेटवर्क पाथ्समध्ये 10ms पेक्षा कमी लेटन्सी आहे याची खात्री करा. वितरित डिप्लॉयमेंटसाठी कनेक्टिव्हिटीची विश्वासार्हता हा एक महत्त्वाचा विचार आहे — केंद्रीकृत प्रमाणीकरण सेवांसाठी लवचिक WAN पाथ्स सुनिश्चित करण्याच्या मार्गदर्शनासाठी आधुनिक व्यवसायांसाठी मुख्य SD-WAN फायदे पहा.

समस्यानिवारण आणि जोखीम कमी करणे

सायलेंट फेल्युअर. डिव्हाइस कनेक्ट होण्यात अयशस्वी होते, परंतु वापरकर्त्याला कोणतीही अर्थपूर्ण त्रुटी मिळत नाही. ही जवळजवळ नेहमीच प्रमाणपत्र विश्वासाची समस्या असते — सप्लिकंट RADIUS सर्व्हरचे प्रमाणपत्र नाकारत आहे. उपाय: RADIUS प्रमाणपत्र जारी करणारे Root CA GPO किंवा MDM द्वारे सर्व क्लायंट उपकरणांवर वितरित केले आहे आणि वायरलेस प्रोफाइल त्यावर विश्वास ठेवण्यासाठी पूर्व-कॉन्फिगर केलेले आहे याची खात्री करा.

RADIUS टाइमआउट. AP ट्रॅफिक फॉरवर्ड करणे थांबवतो कारण RADIUS सर्व्हरने प्रतिसाद टाइमआउट थ्रेशोल्ड ओलांडला आहे. उपाय: RADIUS सर्व्हर रिडंडन्सी (प्राथमिक आणि दुय्यम) लागू करा, ऑथेंटिकेशन सर्व्हर गर्दीच्या नेटवर्क सेगमेंटवर सह-स्थित नाही याची खात्री करा आणि AP चे RADIUS टाइमआउट आणि रिट्राय पॅरामीटर्स योग्यरित्या ट्यून करा.

MAC ऑथेंटिकेशन बायपास (MAB) असुरक्षा. 802.1X सप्लिकंट चालवू न शकणाऱ्या हेडलेस IoT उपकरणांसाठी, प्रशासक अनेकदा MAB चा आधार घेतात, जे MAC ॲड्रेसवर आधारित प्रमाणीकरण करते. MAC ॲड्रेस सहजपणे स्पूफ केले जातात. उपाय: सर्व MAB-प्रमाणित उपकरणांना अत्यंत प्रतिबंधित, वेगळ्या VLAN मध्ये ठेवा ज्यामध्ये कठोर ACLs केवळ डिव्हाइस ऑपरेशनसाठी आवश्यक असलेल्या विशिष्ट ट्रॅफिक प्रवाहांना परवानगी देतात. सर्व MAB उपकरणांना डीफॉल्टनुसार अविश्वासू माना.

इव्हिल ट्विन हल्ले. एक रोग (rogue) AP कॉर्पोरेट SSID प्रसारित करतो आणि सर्व्हर प्रमाणपत्र प्रमाणित न करणाऱ्या उपकरणांकडून क्रेडेन्शियल्स गोळा करतो. उपाय: प्रमाणपत्र पडताळणी लागू करा (वर नमूद केल्याप्रमाणे) आणि वायरलेस LAN कंट्रोलरवर रोग AP शोध तैनात करा. बहुतेक एंटरप्राइझ-ग्रेड कंट्रोलर्समध्ये ही क्षमता मूळतः समाविष्ट असते.

ROI आणि व्यावसायिक प्रभाव

WPA2-Personal कडून 802.1X-समर्थित WPA2-Enterprise आर्किटेक्चरकडे जाण्यासाठी RADIUS पायाभूत सुविधांमध्ये आणि EAP-TLS डिप्लॉयमेंटसाठी, PKI (Public Key Infrastructure) मध्ये गुंतवणूक आवश्यक आहे. तथापि, व्यावसायिक प्रकरण आकर्षक आहे.

जोखीम कमी करणे हा प्राथमिक चालक आहे. शेअर्ड PSKs काढून टाकल्याने वायरलेस नेटवर्कमधील सर्वात मोठा अटॅक व्हेक्टर दूर होतो. जेव्हा एखादा कर्मचारी नोकरी सोडतो, तेव्हा त्यांचा विशिष्ट ॲक्सेस Active Directory मध्ये मध्यवर्तीरित्या रद्द केला जातो — हजारो ॲक्सेस पॉईंट्सवर PSK बदलण्याची आवश्यकता नाही. 400-लोकेशन रिटेल इस्टेटमध्ये ऑपरेशनल खर्चाची बचत लक्षणीय आहे.

अनुपालन सक्षमीकरण हा दुय्यम चालक आहे. PCI DSS आवश्यकता 8 अद्वितीय वापरकर्ता आयडी आणि वैयक्तिक उत्तरदायित्व अनिवार्य करते. 802.1X हे मूळतः प्रदान करते. ॲक्सेस कंट्रोल आणि ऑडिट लॉगिंगसाठी HIPAA च्या तांत्रिक सुरक्षा आवश्यकता देखील RADIUS अकाउंटिंग लॉगमधील 802.1X च्या प्रति-वापरकर्ता प्रमाणीकरण रेकॉर्डद्वारे पूर्ण केल्या जातात.

मोठ्या प्रमाणावर ऑपरेशनल कार्यक्षमता हा दीर्घकालीन फायदा आहे. मध्यवर्ती डिरेक्टरी इंटिग्रेशनद्वारे दैनंदिन व्यवस्थापन सुव्यवस्थित केले जाते. नवीन कर्मचाऱ्यांना त्यांचे AD खाते प्रोव्हिजन केल्यावर लगेच नेटवर्क ॲक्सेस मिळतो. नोकरी सोडणाऱ्यांचा ॲक्सेस खाते अक्षम केल्यावर लगेच जातो. विसरलेल्या WiFi पासवर्डसाठी कोणतेही हेल्पडेस्क तिकीट नाही.

एन्क्रिप्शन (WPA2) ला प्रमाणीकरणापासून (802.1X) वेगळे करून, एंटरप्राइझ आयटी टीम्स असे वायरलेस नेटवर्क तयार करतात जे स्केलेबल, ऑडिटेबल आणि लवचिक असतात — जे सर्वात कडक कॉर्पोरेट सुरक्षा पोश्चर आणि सर्वात अखंड अतिथी अनुभव दोन्हीला समर्थन देण्यास सक्षम असतात.

महत्वाच्या व्याख्या

WPA2 (Wi-Fi Protected Access 2)

IEEE 802.11i वर आधारित Wi-Fi Alliance प्रमाणपत्र प्रोग्राम जो ट्रान्झिटमधील वायरलेस डेटासाठी AES-CCMP एन्क्रिप्शन अनिवार्य करतो.

वायरलेस कंट्रोलर्सवर SSIDs कॉन्फिगर करताना आयटी टीम्सना याचा सामना करावा लागतो. WPA2-Personal आणि WPA2-Enterprise मधील निवड प्रमाणीकरण सामायिक पासवर्डद्वारे हाताळले जाते की 802.1X सर्व्हरद्वारे हे ठरवते.

IEEE 802.1X

पोर्ट-आधारित नेटवर्क ॲक्सेस कंट्रोल (PNAC) साठी एक IEEE मानक जे नेटवर्कशी कनेक्ट होण्याचा प्रयत्न करणाऱ्या उपकरणांसाठी प्रमाणीकरण फ्रेमवर्क प्रदान करते.

वायरलेस कंट्रोलर्स आणि स्विचेसवर RADIUS इंटिग्रेशन कॉन्फिगर करताना संदर्भित. ही अंतर्निहित यंत्रणा आहे जी WPA2-Enterprise ला प्रति-वापरकर्ता प्रमाणीकरण प्रदान करण्यास सक्षम करते.

सप्लिकंट (Supplicant)

क्लायंट डिव्हाइस (लॅपटॉप, स्मार्टफोन, IoT सेन्सर) जे 802.1X प्रमाणीकरण देवाणघेवाण सुरू करते आणि क्रेडेन्शियल्स किंवा प्रमाणपत्रे प्रदान करते.

समस्यानिवारणामध्ये, सप्लिकंट अनेकदा कॉन्फिगरेशन समस्यांचा स्रोत असतो — विशेषतः वायरलेस नेटवर्क प्रोफाइलमधील प्रमाणपत्र पडताळणी सेटिंग्जच्या आसपास.

ऑथेंटिकेटर (Authenticator)

नेटवर्क ॲक्सेस डिव्हाइस (सामान्यतः वायरलेस AP किंवा मॅनेज्ड स्विच) जे स्वतः ॲक्सेसचा निर्णय न घेता सप्लिकंट आणि ऑथेंटिकेशन सर्व्हर दरम्यान EAP संदेश रिले करते.

ऑथेंटिकेटर RADIUS सर्व्हरकडून Access-Accept मिळेपर्यंत सर्व नॉन-EAP ट्रॅफिक ब्लॉक करतो, ज्या टप्प्यावर तो तार्किक पोर्ट उघडतो.

RADIUS (Remote Authentication Dial-In User Service)

एक केंद्रीकृत AAA (Authentication, Authorisation, and Accounting) प्रोटोकॉल सर्व्हर जो क्रेडेन्शियल्सची पडताळणी करतो, धोरणे लागू करतो आणि ॲक्सेस इव्हेंट्स लॉग करतो.

RADIUS सर्व्हर कोणत्याही 802.1X डिप्लॉयमेंटचा कणा आहे. तो Active Directory किंवा LDAP सह समाकलित होतो आणि यशस्वी प्रमाणीकरणानंतर डायनॅमिक VLAN असाइनमेंट आणि इतर पॉलिसी ॲट्रिब्युट्स परत करतो.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

एक प्रमाणपत्र-आधारित EAP पद्धत ज्यासाठी क्लायंट आणि सर्व्हर दोघांवर डिजिटल प्रमाणपत्रांची आवश्यकता असते, जी परस्पर प्रमाणीकरण प्रदान करते.

सर्वात सुरक्षित EAP पद्धत मानली जाते. झिरो-ट्रस्ट कॉर्पोरेट वातावरणात वापरली जाते जिथे उपकरणे MDM द्वारे व्यवस्थापित केली जातात आणि प्रमाणपत्रे स्वयंचलितपणे तैनात केली जाऊ शकतात.

PEAP (Protected Extensible Authentication Protocol)

एक EAP पद्धत जी TLS टनेलमध्ये आतील प्रमाणीकरण देवाणघेवाण एन्कॅप्स्युलेट करते, ज्यासाठी केवळ सर्व्हर-साइड प्रमाणपत्राची आवश्यकता असते.

BYOD आणि मिश्र-डिव्हाइस वातावरणात मोठ्या प्रमाणावर तैनात केले जाते कारण ते वापरकर्त्यांना क्लायंट प्रमाणपत्रांची आवश्यकता न ठेवता मानक AD वापरकर्तानाव आणि पासवर्ड क्रेडेन्शियल्ससह प्रमाणित करण्यास अनुमती देते.

AES-CCMP

WPA2 मधील अनिवार्य एन्क्रिप्शन सायफर सूट, जो डेटा गोपनीयता आणि अखंडतेसाठी CCMP प्रोटोकॉलसह AES ब्लॉक सायफर एकत्र करतो.

आयटी टीम्सनी सर्व APs आणि क्लायंट उपकरणे AES-CCMP ला समर्थन देतात याची खात्री करणे आवश्यक आहे. TKIP फॉलबॅकला परवानगी देणारी कोणतीही डिप्लॉयमेंट WPA2 च्या सुरक्षा हमींना कमकुवत करते.

4-वे हँडशेक (4-Way Handshake)

क्लायंट डिव्हाइस आणि ॲक्सेस पॉईंट दरम्यानची WPA2 क्रिप्टोग्राफिक देवाणघेवाण जी डेटा ट्रॅफिक एन्क्रिप्ट करण्यासाठी वापरली जाणारी सत्र-विशिष्ट पेअरवाइज ट्रान्झिएंट की (PTK) मिळवते.

यशस्वी 802.1X प्रमाणीकरणानंतर होते, RADIUS सर्व्हरने प्रदान केलेली मास्टर सेशन की वापरून. प्रत्येक वापरकर्त्याची PTK अद्वितीय असते, जी सत्रांदरम्यान ट्रॅफिक अलगाव सुनिश्चित करते.

Captive Portal

सार्वजनिक किंवा अतिथी WiFi नेटवर्कवर प्रवेश देण्यापूर्वी वापरकर्त्यांना सादर केलेले वेब-आधारित प्रमाणीकरण किंवा संमती पृष्ठ.

हॉस्पिटॅलिटी, रिटेल आणि सार्वजनिक ठिकाणी वापरले जाते जिथे तात्पुरत्या वापरकर्त्यांसाठी 802.1X अव्यवहार्य आहे. Purple च्या Guest WiFi सारखे प्लॅटफॉर्म अतिथी ट्रॅफिक कॉर्पोरेट पायाभूत सुविधांपासून वेगळे ठेवून अनुपालन करत फर्स्ट-पार्टी डेटा कॅप्चर करण्यासाठी Captive Portal वापरतात.

सोडवलेली उदाहरणे

400 ठिकाणे असलेली एक रिटेल चेन सध्या कर्मचारी टॅब्लेट आणि PoS टर्मिनल्स दोन्हीवर सामायिक केलेला एकच WPA2-Personal पासवर्ड (PSK) वापरते. ते आवश्यकता 8 (अद्वितीय वापरकर्ता आयडी) आणि आवश्यकता 1 (नेटवर्क विभाजन) अंतर्गत त्यांच्या PCI DSS ऑडिटमध्ये अयशस्वी होत आहेत. विद्यमान अतिथी WiFi Captive Portal मध्ये व्यत्यय न आणता त्यांना अंतर्गत नेटवर्क सुरक्षित करण्याची आवश्यकता आहे. त्यांनी त्यांच्या वायरलेस सुरक्षेची पुनर्रचना कशी करावी?

पायरी 1: कॉर्पोरेट Active Directory सह समाकलित केलेला RADIUS सर्व्हर (उदा. Cisco ISE, Microsoft NPS, किंवा FreeRADIUS) तैनात करा. वितरित इस्टेटसाठी, रिमोट साइट्सवर प्रमाणीकरण लेटन्सी कमी करण्यासाठी प्रादेशिक हबवर RADIUS प्रॉक्सी तैनात करा.

पायरी 2: WPA2-Enterprise वापरण्यासाठी सर्व वायरलेस कंट्रोलर्सवरील कॉर्पोरेट SSID पुन्हा कॉन्फिगर करा. कर्मचारी टॅब्लेटसाठी PEAP-MSCHAPv2 (AD वापरकर्ता क्रेडेन्शियल्स विरुद्ध प्रमाणीकरण) आणि PoS टर्मिनल्ससाठी मशीन प्रमाणपत्रांसह (MDM द्वारे तैनात) EAP-TLS सह 802.1X कॉन्फिगर करा.

पायरी 3: डायनॅमिक VLAN असाइनमेंट ॲट्रिब्युट्स परत करण्यासाठी RADIUS सर्व्हर कॉन्फिगर करा. कर्मचारी टॅब्लेट कर्मचारी VLAN वर नियुक्त केले जातात; PoS टर्मिनल्स काटेकोरपणे वेगळ्या PCI VLAN वर नियुक्त केले जातात ज्यामध्ये ACLs केवळ पेमेंट प्रोसेसरच्या IP रेंजवर ट्रॅफिकला परवानगी देतात.

पायरी 4: अतिथी SSID तसाच ठेवा. तो खुला राहतो (किंवा सार्वजनिकरित्या ज्ञात PSK सह WPA2-Personal) परंतु एका वेगळ्या VLAN वर मॅप केला जातो जो थेट Purple Guest WiFi Captive Portal कडे राउट होतो. अतिथी ट्रॅफिक कधीही PCI VLAN ला स्पर्श करत नाही.

पायरी 5: PCI DSS ऑडिट ट्रेल आवश्यकता पूर्ण करून, प्रति-वापरकर्ता प्रमाणीकरण लॉग तयार करण्यासाठी सर्व APs वर RADIUS अकाउंटिंग सक्षम करा.

परीक्षकाचे भाष्य: हे आर्किटेक्चर दोन्ही PCI DSS अपयशांना थेट संबोधित करते. 802.1X कडे जाणे वैयक्तिक उत्तरदायित्व प्रदान करून आवश्यकता 8 पूर्ण करते — प्रत्येक कर्मचारी त्यांच्या स्वतःच्या AD क्रेडेन्शियल्ससह प्रमाणित करतो आणि प्रत्येक PoS टर्मिनल एका अद्वितीय मशीन प्रमाणपत्रासह प्रमाणित करतो. डायनॅमिक VLAN असाइनमेंट नेटवर्क स्तरावर PoS ट्रॅफिक वेगळे केले आहे हे सुनिश्चित करून आवश्यकता 1 पूर्ण करते. अतिथी WiFi अंतिम वापरकर्त्याच्या दृष्टिकोनातून कार्यात्मकदृष्ट्या अपरिवर्तित राहते, परंतु आता औपचारिकपणे एक वेगळे, विभागलेले नेटवर्क म्हणून दस्तऐवजीकरण केले आहे — जे कार्डधारक डेटा वातावरणास सार्वजनिक नेटवर्कपासून वेगळे करण्याच्या PCI DSS आवश्यकता देखील पूर्ण करते.

एका विद्यापीठ कॅम्पसमध्ये क्रेडेन्शियल हार्वेस्टिंग हल्ले होत आहेत. विद्यार्थी अधिकृत 'CampusNet' SSID प्रसारित करणाऱ्या रोग ॲक्सेस पॉईंट्सशी कनेक्ट होत आहेत. नेटवर्क PEAP-MSCHAPv2 सह WPA2-Enterprise वापरते, परंतु विद्यार्थी उपकरणे RADIUS सर्व्हर प्रमाणपत्र प्रमाणित करण्यासाठी कॉन्फिगर केलेली नाहीत. अटॅक व्हेक्टर काय आहे आणि नेटवर्क टीमने त्यावर कसा उपाय करावा?

हा हल्ला एक इव्हिल ट्विन (Evil Twin) आहे. हल्लेखोर उच्च सिग्नल स्ट्रेंथसह 'CampusNet' प्रसारित करणारा रोग AP तैनात करतो. PEAP चॅलेंज सादर करणाऱ्या कोणत्याही सर्व्हरवर विश्वास ठेवण्यासाठी कॉन्फिगर केलेली विद्यार्थी उपकरणे, रोग AP शी कनेक्ट होतात आणि PEAP हँडशेक पूर्ण करतात, त्यांचे हॅश केलेले AD क्रेडेन्शियल्स हल्लेखोराच्या सर्व्हरवर प्रसारित करतात.

उपाय पायरी 1: RADIUS सर्व्हरचे TLS प्रमाणपत्र जारी करणारे Root CA ओळखा. अंतर्गत CA वापरत असल्यास, हे CA प्रमाणपत्र सर्व विद्यार्थी आणि कर्मचारी उपकरणांवर वितरित केले आहे याची खात्री करा.

उपाय पायरी 2: एक वायरलेस नेटवर्क प्रोफाइल तयार करा (विद्यापीठाद्वारे व्यवस्थापित उपकरणांसाठी MDM द्वारे, किंवा BYOD साठी डाउनलोड करण्यायोग्य कॉन्फिगरेशन प्रोफाइल) जे निर्दिष्ट करते: (a) प्रमाणित करण्यासाठी अचूक RADIUS सर्व्हर होस्टनाव, (b) विश्वसनीय Root CA, आणि (c) 'Validate Server Certificate' फ्लॅग true वर सेट केला आहे.

उपाय पायरी 3: वायरलेस LAN कंट्रोलर्सवर रोग AP शोध तैनात करा. अधिकृत AP इन्व्हेंटरीमध्ये नसलेल्या 'CampusNet' प्रसारित करणाऱ्या कोणत्याही AP साठी ॲलर्ट कॉन्फिगर करा.

उपाय पायरी 4: BYOD उपकरणांसाठी, ऑनबोर्डिंग टूल (जसे की Cloudpath किंवा Cisco ISE चे BYOD पोर्टल) तैनात करण्याचा विचार करा जे सप्लिकंट कॉन्फिगरेशन स्वयंचलित करते, अंतिम वापरकर्त्यांवरील ओझे दूर करते.

परीक्षकाचे भाष्य: जेव्हा क्लायंट-साइड प्रमाणपत्र पडताळणी अक्षम केली जाते तेव्हा PEAP क्रेडेन्शियल हार्वेस्टिंगसाठी मूलभूतपणे असुरक्षित असते. PEAP टनेल आतील क्रेडेन्शियल्सचे निष्क्रिय इव्हस्ड्रॉपिंगपासून संरक्षण करते, परंतु ते सक्रिय हल्लेखोराला रोग सर्व्हरवर TLS टनेल संपुष्टात आणण्यापासून रोखण्यासाठी काहीही करत नाही. सर्व्हर प्रमाणपत्र पडताळणी लागू करणे म्हणजे सप्लिकंट क्रेडेन्शियल्स प्रसारित करण्यापूर्वी RADIUS सर्व्हरची ओळख पडताळतो — रोग AP कायदेशीर RADIUS सर्व्हरच्या होस्टनावासाठी वैध प्रमाणपत्र सादर करू शकत नाही, त्यामुळे कनेक्शन नाकारले जाते. PEAP चालवणाऱ्या कोणत्याही संस्थेसाठी उपलब्ध असलेला हा सर्वात प्रभावशाली कॉन्फिगरेशन बदल आहे.

सराव प्रश्न

Q1. तुमची संस्था 50 ऑफिस लोकेशन्सवर WPA2-Personal कडून WPA2-Enterprise कडे स्थलांतरित होत आहे. पायलट टेस्टिंग दरम्यान, वापरकर्ते तक्रार करतात की त्यांचे Windows लॅपटॉप त्यांचे वापरकर्तानाव आणि पासवर्ड प्रविष्ट करण्यापूर्वी 'प्रमाणपत्र स्वीकारा' (Accept a Certificate) असे विचारणारा प्रॉम्प्ट प्रदर्शित करतात. अनेक वापरकर्ते 'नकार द्या' (Reject) वर क्लिक करतात आणि कनेक्ट होऊ शकत नाहीत. या वर्तनाचे कारण काय आहे आणि पूर्ण रोलआउटपूर्वी त्याचे निराकरण कसे करावे?

टीप: PEAP प्रमाणीकरणामध्ये सप्लिकंटच्या भूमिकेचा विचार करा आणि क्रेडेन्शियल्स प्रसारित करण्यापूर्वी तो RADIUS सर्व्हरची ओळख कशी पडताळतो याचा विचार करा.

नमुना उत्तर पहा

Windows सप्लिकंट PEAP TLS हँडशेकचा भाग म्हणून सर्व्हर प्रमाणपत्र पडताळणी करत आहे. कारण RADIUS सर्व्हरचे प्रमाणपत्र अंतर्गत CA द्वारे जारी केले गेले होते जे डिव्हाइसच्या विश्वसनीय रूट स्टोअरमध्ये नाही, Windows वापरकर्त्याला ते मॅन्युअली स्वीकारण्यास प्रवृत्त करते. प्रमाणपत्रे स्वीकारण्यासाठी वापरकर्त्यांवर अवलंबून राहणे हा एक खराब वापरकर्ता अनुभव आणि सुरक्षा जोखीम दोन्ही आहे — जे वापरकर्ते कोणत्याही प्रमाणपत्रावर 'स्वीकारा' क्लिक करतात ते इव्हिल ट्विन हल्ल्यांना तितकेच बळी पडू शकतात. योग्य उपाय म्हणजे सर्व कॉर्पोरेट उपकरणांवर अंतर्गत Root CA प्रमाणपत्र वितरित करण्यासाठी ग्रुप पॉलिसी (GPO) वापरणे आणि त्यावर स्वयंचलितपणे विश्वास ठेवण्यासाठी आणि RADIUS सर्व्हर होस्टनाव प्रमाणित करण्यासाठी Windows वायरलेस प्रोफाइल पूर्व-कॉन्फिगर करणे. हे प्रॉम्प्ट पूर्णपणे काढून टाकते आणि वापरकर्त्याच्या हस्तक्षेपाशिवाय प्रमाणपत्र पडताळणी लागू करते.

Q2. एका हॉस्पिटलच्या आयटी संचालकाला IoT वैद्यकीय उपकरणे (इन्फ्युजन पंप, पेशंट मॉनिटरिंग सिस्टीम) वायरलेस नेटवर्कशी कनेक्ट करण्याची आवश्यकता आहे. ही उपकरणे एम्बेडेड फर्मवेअर चालवतात ज्यामध्ये 802.1X सप्लिकंट क्षमता नाही आणि ती केवळ स्टॅटिक प्री-शेअर्ड की वापरून कनेक्ट होऊ शकतात. नेटवर्क आर्किटेक्टने एकूण सुरक्षा पोश्चरशी तडजोड न करता ही उपकरणे कशी हाताळावीत?

टीप: नेटवर्क विभाजन, VLAN अलगाव आणि 802.1X ला पर्याय म्हणून MAC ऑथेंटिकेशन बायपासशी संबंधित जोखमींबद्दल विचार करा.

नमुना उत्तर पहा

ही उपकरणे 802.1X करू शकत नसल्यामुळे, आर्किटेक्टकडे दोन पर्याय आहेत: समर्पित SSID वर WPA2-Personal (PSK), किंवा कॉर्पोरेट SSID वर MAC ऑथेंटिकेशन बायपास (MAB). MAB सामान्यतः ऑडिटिबिलिटीसाठी श्रेयस्कर आहे परंतु त्यात स्पूफिंगचे धोके आहेत. निवडलेल्या प्रमाणीकरण पद्धतीची पर्वा न करता, महत्त्वपूर्ण नियंत्रण नेटवर्क विभाजन आहे. या उपकरणांना एका समर्पित, वेगळ्या VLAN वर कठोर ACLs सह ठेवले पाहिजे जे केवळ आवश्यक असलेल्या विशिष्ट ट्रॅफिक प्रवाहांना परवानगी देतात — उदाहरणार्थ, विशिष्ट पोर्टवर क्लिनिकल मॅनेजमेंट सर्व्हरशी संवाद, इतर सर्व ट्रॅफिक ब्लॉक करून. SSID किंवा MAB VLAN कडे कॉर्पोरेट नेटवर्क, PoS वातावरण किंवा इंटरनेटवर कोणताही राउटिंग पाथ नसावा. याव्यतिरिक्त, PSK (वापरल्यास) वेळोवेळी बदलला पाहिजे आणि मध्यवर्तीरित्या व्यवस्थापित केला पाहिजे. उपकरणांची MAC ॲड्रेसद्वारे नोंद ठेवली पाहिजे आणि वैद्यकीय उपकरण VLAN मध्ये सामील होण्याचा प्रयत्न करणाऱ्या कोणत्याही अनोळखी MAC ने ॲलर्ट ट्रिगर केला पाहिजे.

Q3. एक स्टेडियम CIO 60,000-क्षमतेच्या ठिकाणी फॅन WiFi ऑनबोर्डिंग अनुभव सुधारण्यासाठी Passpoint (Hotspot 2.0) चे मूल्यांकन करत आहे. CIO विचारतो: 'Passpoint WPA2 आणि 802.1X ची जागा घेते, की ते त्यांचा वापर करते?' तुम्ही कसा प्रतिसाद द्याल आणि या स्तरावरील डिप्लॉयमेंटसाठी मुख्य ऑपरेशनल विचार काय आहेत?

टीप: Passpoint प्रत्यक्षात काय स्वयंचलित करते विरुद्ध ते कशाची जागा घेते आणि उच्च-घनतेच्या ठिकाणासाठी RADIUS क्षमता आवश्यकतांचा विचार करा.

नमुना उत्तर पहा

Passpoint WPA2 किंवा 802.1X ची जागा घेत नाही — ते त्यांना स्वयंचलित आणि ॲब्स्ट्रॅक्ट करते. Passpoint हा WPA2-Enterprise (किंवा WPA3-Enterprise) आणि 802.1X च्या वर तयार केलेला एक प्रोव्हिजनिंग आणि डिस्कव्हरी लेयर आहे. ते प्रमाणीकरणासाठी 802.1X वापरते (सामान्यतः मोबाइल कॅरियर किंवा लॉयल्टी ॲप आयडेंटिटी प्रोव्हायडरकडील क्रेडेन्शियल्सद्वारे) आणि परिणामी सत्राला एन्क्रिप्ट करण्यासाठी WPA2/WPA3 वापरते. चाहत्याच्या दृष्टिकोनातून, त्यांचे डिव्हाइस कोणत्याही मॅन्युअल कॉन्फिगरेशनशिवाय स्वयंचलितपणे कनेक्ट होते. नेटवर्कच्या दृष्टिकोनातून, प्रत्येक कनेक्शन एक पूर्ण 802.1X देवाणघेवाण आहे. 60,000 क्षमतेवरील मुख्य ऑपरेशनल विचार आहेत: (1) एकाच वेळी येणाऱ्या प्रमाणीकरण वादळांना हाताळण्यासाठी RADIUS पायाभूत सुविधांचा आकार योग्य असावा — विशेषतः किक-ऑफच्या वेळी जेव्हा हजारो उपकरणे एकाच वेळी कनेक्ट होण्याचा प्रयत्न करतात; (2) RADIUS सर्व्हर्स लोड बॅलन्सिंग आणि भौगोलिक रिडंडन्सीसह तैनात केले जावेत; (3) आयडेंटिटी प्रोव्हायडर (जसे की OpenRoaming फ्रेमवर्क अंतर्गत Purple) कडे पुरेसे थ्रूपुट करार असणे आवश्यक आहे; आणि (4) चाहते स्टेडियममध्ये फिरत असताना री-ऑथेंटिकेशन ओव्हरहेड कमी करण्यासाठी वायरलेस कंट्रोलरने फास्ट BSS ट्रान्झिशन (802.11r) ला समर्थन दिले पाहिजे.

या मालिकेमध्ये पुढे वाचा

विक्रेत्यानुसार प्रति-डिव्हाइस PSK: iPSK, DPSK, MPSK आणि PPSK ची तुलना (आणि WPA3 सपोर्ट)

Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet आणि Ubiquiti UniFi मधील प्रति-डिव्हाइस PSK अंमलबजावणीची सर्वसमावेशक तुलना. WPA3-SAE चा प्रति-डिव्हाइस की (key) धोरणांवर कसा परिणाम होतो आणि ट्रान्झिशन मोड कधी लागू करायचे विरुद्ध 802.1X कडे कधी वळायचे ते जाणून घ्या.

MAC Address Authentication म्हणजे काय? ते कधी वापरावे आणि कधी टाळावे

हे अधिकृत तांत्रिक संदर्भ मार्गदर्शक एंटरप्राइझ WiFi वातावरणातील MAC ऍड्रेस ऑथेंटिकेशन कव्हर करते — RADIUS-आधारित MAC ऑथेंटिकेशन लेयर 2 वर कसे काम करते, त्याच्या अंगभूत सुरक्षा भेद्यता (MAC स्पूफिंग आणि OS-स्तरीय MAC रँडमायझेशनच्या प्रभावासह), आणि अचूक ऑपरेशनल संदर्भ जिथे ते IoT आणि हेडलेस उपकरणांचे व्यवस्थापन करण्यासाठी एक वैध साधन राहते. हे हॉस्पिटॅलिटी, रिटेल, हेल्थकेअर आणि सार्वजनिक क्षेत्रातील व्हेन्यूजमधील IT मॅनेजर्स आणि नेटवर्क आर्किटेक्ट्ससाठी रिअल-वर्ल्ड उदाहरणे, निर्णय फ्रेमवर्क्स आणि Purple च्या अतिथी WiFi आणि ॲनालिटिक्स प्लॅटफॉर्मसाठी इंटिग्रेशन संदर्भासह कृतीयोग्य डिप्लॉयमेंट मार्गदर्शन प्रदान करते.

iOS आणि macOS वर 802.1X सह एंटरप्राइझ WiFi कसे सेट करावे

हे अधिकृत मार्गदर्शक वरिष्ठ IT लीडर्सना iOS आणि macOS डिव्हाइसेसवर 802.1X एंटरप्राइझ WiFi डिप्लॉय करण्यासाठी कृती करण्यायोग्य पायऱ्या प्रदान करते. हे BYOD उपक्रमांना सपोर्ट करताना कॉर्पोरेट नेटवर्क्स सुरक्षित करण्यासाठी सर्टिफिकेट-आधारित ऑथेंटिकेशन (EAP-TLS), MDM कॉन्फिगरेशन प्रोफाइल्स आणि आर्किटेक्चर इंटिग्रेशन कव्हर करते.