अनिवार्य सर्व्हर-सर्टिफिकेट व्हॅलिडेशन
क्रेडेन्शियल्स पाठवण्यापूर्वी क्लायंटने RADIUS सर्व्हरचे प्रमाणपत्र सत्यापित करणे आवश्यक आहे. चुकीच्या पद्धतीने कॉन्फिगर केलेल्या WPA2-Enterprise डिप्लॉयमेंटमध्ये होणारा इव्हिल-ट्विन अटॅक यामुळे थांबतो.
WPA2 आणि WPA3-Enterprise. सुरक्षित WiFi, शेअर केलेल्या पासवर्डशिवाय.
तुमच्या विद्यमान ॲक्सेस पॉइंट्सवर 802.1X सह WPA2-Enterprise किंवा WPA3-Enterprise तैनात करा. प्रत्येक वापरकर्ता तुमच्या आयडेंटिटी प्रोव्हायडरद्वारे ऑथेंटिकेट होतो, प्रत्येक डिव्हाइसला एक युनिक सेशन की मिळते आणि एका क्लिकवर प्रत्येक डिव्हाइसनुसार ॲक्सेस रद्द केला जाऊ शकतो. Purple RADIUS आणि सर्टिफिकेट इन्फ्रास्ट्रक्चर क्लाउड सर्व्हिस म्हणून चालवते — तुम्ही तुमच्या मालकीचे हार्डवेअर तसेच ठेवता.
Personal विरुद्ध Enterprise — योग्य मोड निवडा
WPA स्टँडर्डमध्ये दोन मोड आहेत. WPA-Personal (WPA2-PSK, WPA3-SAE) SSID मध्ये सामील होणाऱ्या प्रत्येकामध्ये शेअर केलेला एकच पासवर्ड वापरतो. घरासाठी पुरेसा आहे. WPA-Enterprise RADIUS सर्व्हरच्या विरोधात 802.1X द्वारे प्रत्येक वापरकर्ता किंवा डिव्हाइस स्वतंत्रपणे ऑथेंटिकेट करते. रिव्होकेशन (रद्द करणे), ऑडिट किंवा कंप्लायन्सची काळजी घेणाऱ्या कोणत्याही ठिकाणासाठी आवश्यक आहे.
| WPA-Personal (PSK / SAE) | WPA-Enterprise (802.1X) | |
|---|---|---|
| क्रेडेन्शियल | शेअर केलेला पासफ्रेज | प्रत्येक वापरकर्त्यासाठी प्रमाणपत्र, पासवर्ड किंवा iPSK |
| इन्फ्रास्ट्रक्चर | फक्त ॲक्सेस पॉइंट्स | APs + RADIUS सर्व्हर (किंवा RADIUS-as-a-Service) |
| रिव्होकेशन (रद्द करणे) | नेटवर्क-व्यापी पासफ्रेज बदला | IdP मधील एका वापरकर्त्याला डिसेबल करा |
| ऑडिट ट्रेल | काहीही नाही — सर्व डिव्हाइसेस सारखीच दिसतात | प्रत्येक वापरकर्त्याचे सेशन लॉग्स |
| यासाठी योग्य | घरे, लहान सिंगल-ट्रस्ट ठिकाणे | ऑफिसेस, हॉटेल्स, कॅम्पस, स्टेडियम, कोणतीही नियमन केलेली ठिकाणे |
WPA3-Enterprise विरुद्ध WPA2-Enterprise
WPA3 हे केवळ मोठे WPA2 नाही. एंटरप्राइझ डिप्लॉयमेंटसाठी चार बदल महत्त्वाचे आहेत.
प्रोटेक्टेड मॅनेजमेंट फ्रेम्स (PMF)
डीऑथेंटिकेशन आणि डिसअसोसिएशन फ्रेम्स क्रिप्टोग्राफिकली साइन केलेल्या असतात, त्यामुळे अटॅकर्स आता बनावट फ्रेम्ससह क्लायंटला नेटवर्कवरून बाहेर काढू शकत नाहीत.
192-बिट Suite B मोड
सरकारी, संरक्षण आणि गंभीर पायाभूत सुविधांसाठी पर्यायी उच्च-सुरक्षा मोड. संपूर्णपणे Suite B क्रिप्टोग्राफी — की एक्सचेंज, एन्क्रिप्शन आणि MAC.
बॅकवर्ड्स कंपॅटिबिलिटी
WPA3-Enterprise हे WPA2 प्रमाणेच SSID वर ट्रान्झिशन मोडमध्ये चालू शकते, त्यामुळे तुम्हाला हार्ड कटओव्हरची गरज नाही. नवीन क्लायंट WPA3 निगोशिएट करतात; जुने WPA2-Enterprise वर परत जातात.
802.1X ऑथेंटिकेशन फ्लो
तीन घटक, एक हँडशेक. तुम्ही EAP-TLS, PEAP किंवा EAP-TTLS वापरत असलात तरी क्रम सारखाच असतो.
- सप्लिकंट (क्लायंट लॅपटॉप, फोन, IoT) असोसिएट करण्याचा प्रयत्न करतो.
- ऑथेंटिकेटर (ॲक्सेस पॉइंट) क्लायंटला 802.1X अनकंट्रोल्ड पोर्टमध्ये ठेवतो, फक्त EAP फ्रेम्स रिले करतो.
- सप्लिकंट त्याचे क्रेडेन्शियल सादर करतो — एक प्रमाणपत्र (EAP-TLS), युजरनेम + पासवर्ड (PEAP), किंवा iPSK.
- ऑथेंटिकेशन सर्व्हर (RADIUS) आयडेंटिटी प्रोव्हायडरच्या विरोधात क्रेडेन्शियल सत्यापित करतो.
- RADIUS VLAN आणि पॉलिसीसह
Access-Acceptउत्तर देतो; AP योग्य सेगमेंटसाठी कंट्रोल्ड पोर्ट उघडतो. - सेशन की 802.1X हँडशेक मधून मिळविली जाते — या डिव्हाइससाठी, या सेशनसाठी युनिक.
Purple WPA-Enterprise कसे तैनात करते
Purple RADIUS आणि (पर्यायाने) सर्टिफिकेट ऑथॉरिटी क्लाउड सर्व्हिसेस म्हणून चालवते. तुम्ही तुमचे विद्यमान ॲक्सेस पॉइंट्स तसेच ठेवता.
- दिवस 0: तुमचे IdP (Entra ID, Okta, Google Workspace) कनेक्ट करा. EAP पद्धत निवडा — व्यवस्थापित ताफ्यांसाठी EAP-TLS, ट्रान्झिशनल डिप्लॉयमेंटसाठी PEAP, BYOD साठी iPSK.
- दिवस 1: ॲक्सेस पॉइंट्सचे RADIUS सेटिंग Purple कडे निर्देशित करा. WPA2 किंवा WPA3-Enterprise साठी SSID कॉन्फिगर करा. MDM द्वारे ऑनबोर्डिंग प्रोफाइल पुश करा.
- चालू: वापरकर्ते SCIM द्वारे प्रोव्हिजन आणि डी-प्रोव्हिजन केले जातात — मॅन्युअल WiFi पासवर्ड बदलण्याची गरज नाही. प्रमाणपत्रे ऑटो-रिन्यू होतात. SIEM ला वेबहुकद्वारे पूर्ण ऑथेंटिकेशन लॉग प्राप्त होतो.
Purple उत्पादनांमधील कव्हरेज
- Staff WiFi: व्यवस्थापित लॅपटॉपसाठी EAP-TLS सह WPA2/3-Enterprise आणि लेगसी डिव्हाइसेससाठी PEAP.
- Multi-Tenant WiFi: एकाच SSID वर iPSK, प्रत्येक भाडेकरू प्रायव्हेट एरिया नेटवर्कमध्ये वेगळा केलेला.
- Guest WiFi: सार्वजनिक SSID वर OpenRoaming/Passpoint, जिथे योग्य असेल तिथे फॉलबॅक म्हणून WPA3-Enhanced Open सह.
- Passwordless WiFi: EAP-TLS, iPSK, Passpoint आणि SAML कव्हर करणारे व्यापक हब.
- RADIUS-as-a-Service: क्लाउड RADIUS इंजिन जे प्रत्येक जॉइन विनंती ऑथेंटिकेट करते.
वारंवार विचारले जाणारे प्रश्न
WPA-Enterprise म्हणजे काय?
WPA-Enterprise हा संस्थांसाठी डिझाइन केलेला IEEE 802.11 सुरक्षा मोड आहे. एका शेअर केलेल्या पासवर्डऐवजी (WPA-Personal), प्रत्येक वापरकर्ता किंवा डिव्हाइस 802.1X द्वारे RADIUS सर्व्हरच्या विरोधात स्वतंत्रपणे ऑथेंटिकेट होते, सामान्यतः प्रमाणपत्र (EAP-TLS) किंवा युजरनेम आणि पासवर्ड (PEAP) सह. प्रत्येक सेशनला एक युनिक एन्क्रिप्शन की मिळते आणि उर्वरित नेटवर्कमध्ये व्यत्यय न आणता प्रत्येक डिव्हाइसनुसार ॲक्सेस रद्द केला जाऊ शकतो.
WPA2-Enterprise आणि WPA3-Enterprise मध्ये काय फरक आहे?
WPA3-Enterprise WPA2-Enterprise मधील ज्ञात कमतरता दूर करते. सर्वात महत्त्वाचे बदल: सर्व्हर-सर्टिफिकेट व्हॅलिडेशन आता अनिवार्य आहे (WPA2 मध्ये होणारा इव्हिल-ट्विन अटॅक थांबवते), मॅनेजमेंट फ्रेम्स सुरक्षित आहेत आणि पर्यायी 192-बिट Suite B मोड डिफेन्स-ग्रेड क्रिप्टोग्राफी ऑफर करतो. WPA3-Enterprise ट्रान्झिशन मोडमध्ये WPA2-Enterprise शी बॅकवर्ड-कंपॅटिबल आहे, त्यामुळे तुम्ही हळूहळू अपग्रेड करू शकता.
802.1X ऑथेंटिकेशन कसे कार्य करते?
यात तीन पक्ष सामील आहेत. सप्लिकंट (क्लायंट डिव्हाइस) सामील होण्यासाठी विचारतो. ऑथेंटिकेटर (ॲक्सेस पॉइंट) क्लायंटला क्वारंटाइन स्टेटमध्ये ठेवतो आणि त्याचे EAP मेसेजेस ऑथेंटिकेशन सर्व्हर (RADIUS) कडे फॉरवर्ड करतो. RADIUS सर्व्हर क्रेडेन्शियल — प्रमाणपत्र, पासवर्ड किंवा टोकन — सत्यापित करतो आणि ॲक्सेस पॉइंटला प्रवेश देण्यास किंवा नाकारण्यास सांगतो. प्रत्येक यशस्वी सेशनला ऑथेंटिकेशनमधून मिळालेली एक युनिक एन्क्रिप्शन की मिळते, त्यामुळे एक तडजोड केलेले (compromised) डिव्हाइस दुसऱ्याला डिक्रिप्ट करू शकत नाही.
EAP-TLS काय आहे आणि ते गोल्ड स्टँडर्ड का आहे?
EAP-TLS म्युच्युअल सर्टिफिकेट ऑथेंटिकेशनसह TLS हँडशेक वापरते. क्लायंट डिव्हाइस प्रमाणपत्रासह त्याची ओळख सिद्ध करतो, सर्व्हर सर्व्हर प्रमाणपत्रासह त्याची ओळख सिद्ध करतो आणि एन्क्रिप्टेड टनेलमध्ये सेशन की निगोशिएट केली जाते. फिशिंग करण्यासाठी किंवा चोरी करण्यासाठी कोणताही पासवर्ड नाही — तुम्हाला डिव्हाइसमधूनच प्रायव्हेट की काढावी लागेल. MDM सह व्यवस्थापित ताफ्यांसाठी, EAP-TLS हा योग्य डीफॉल्ट पर्याय आहे.
मी माझ्या विद्यमान ॲक्सेस पॉइंट्सवर WPA3-Enterprise तैनात करू शकतो का?
2020 पासून रिलीज झालेले बहुतेक एंटरप्राइझ-ग्रेड ॲक्सेस पॉइंट्स फर्मवेअरमध्ये WPA3-Enterprise ला सपोर्ट करतात. तुम्ही सहसा SSID वर WPA3-Enterprise सक्षम करता आणि ट्रान्झिशन दरम्यान WPA2 फॉलबॅक म्हणून ठेवता. जुने AP फक्त WPA2-Enterprise ला सपोर्ट करू शकतात — क्लाउड RADIUS आणि EAP-TLS सह पेअर केल्यावर ते अजूनही सुरक्षित असतात, त्यामुळे फोर्कलिफ्ट अपग्रेडची क्वचितच गरज भासते.
WPA-Enterprise वापरण्यासाठी मला RADIUS सर्व्हर चालवण्याची गरज आहे का?
हो — WPA-Enterprise बाह्य ऑथेंटिकेशन सर्व्हरभोवती परिभाषित केले आहे, ज्याचा सराव मध्ये अर्थ RADIUS असा होतो. तुम्ही ते ऑन-प्रिमाइसेस (FreeRADIUS, Microsoft NPS, Cisco ISE) चालवू शकता किंवा सेवा म्हणून वापरू शकता. जेव्हा ग्राहकांना सर्व्हर चालवायचे नसतात तेव्हा Purple RADIUS-as-a-Service हा क्लाउड-होस्ट केलेला पर्याय बहुतेक ग्राहक निवडतात.
WPA2-Enterprise तैनात करणे अजूनही सुरक्षित आहे का?
हो, योग्यरित्या तैनात केल्यावर. WPA2-Enterprise वरील ज्ञात हल्ल्यांसाठी एकतर चुकीचे कॉन्फिगर केलेला क्लायंट (सर्व्हर-सर्टिफिकेट व्हॅलिडेशन नाही, जे WPA3 अनिवार्य करते) किंवा डिव्हाइसवर प्रत्यक्ष प्रवेश आवश्यक असतो. MDM द्वारे सर्व्हर-सर्टिफिकेट व्हॅलिडेशन लागू करणे आणि EAP-TLS वापरणे व्यावहारिक धोके बंद करते. पुढे जाताना WPA3-Enterprise ला अजूनही पसंती दिली जाते, परंतु कार्यरत WPA2-Enterprise डिप्लॉयमेंट स्थलांतरित करण्यासाठी घाबरण्याचे कोणतेही कारण नाही.
मी 802.1X ला सपोर्ट न करणारी डिव्हाइसेस कशी हाताळू?
दोन चांगले पर्याय. पहिले, iPSK (Identity PSK) प्रत्येक डिव्हाइसला एकाच SSID वर एक युनिक प्री-शेअर्ड की देते — WPA-Personal चा वापरकर्ता अनुभव, WPA-Enterprise चे प्रति-डिव्हाइस रिव्होकेशन. दुसरे, MAC ऑथेंटिकेशन बायपास (MAB) ज्ञात-चांगल्या MAC ॲड्रेसना मर्यादित VLAN मध्ये प्रवेश देते. Purple एकाच नेटवर्कवर WPA2/3-Enterprise सोबत दोन्हीला सपोर्ट करते.
WPA-Enterprise for your industry
See how wpa-enterprise works in venues like yours, and how Purple compares to alternatives.
तुमच्या मालकीच्या ॲक्सेस पॉइंट्सवर सुरक्षित WiFi
Purple Cisco, Aruba, Ruckus, Juniper Mist, Meraki किंवा Ubiquiti च्या वर WPA2/3-Enterprise, क्लाउड RADIUS आणि व्यवस्थापित प्रमाणपत्रे लेयर करते. काही दिवसांत लाइव्ह व्हा.