मुख्य सामग्री पर जाएं
हिन्दी

Aruba ClearPass बनाम Cisco ISE: NAC प्लेटफॉर्म तुलना

यह तकनीकी संदर्भ गाइड Aruba ClearPass और Cisco ISE की विस्तृत, वेंडर-तटस्थ तुलना प्रदान करती है। यह नेटवर्क आर्किटेक्ट्स और IT प्रबंधकों को आर्किटेक्चर, परिनियोजन जटिलता, लाइसेंसिंग और एकीकरण इकोसिस्टम में व्यावहारिक अंतर्दृष्टि से लैस करती है ताकि वे सूचित NAC प्लेटफॉर्म निर्णय ले सकें।

📖 5 मिनट का पाठ📝 1,001 शब्द🔧 2 हल किए गए उदाहरण3 अभ्यास प्रश्न📚 8 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें
Purple टेक्निकल ब्रीफिंग में आपका स्वागत है। मैं आपका होस्ट हूँ, और आज हम एक ऐसे निर्णय पर चर्चा कर रहे हैं जो लगभग हर बड़े एंटरप्राइज नेटवर्क की सुरक्षा स्थिति को परिभाषित करता है: Aruba ClearPass बनाम Cisco Identity Services Engine, या ISE। यदि आप एक नेटवर्क आर्किटेक्ट, CTO, या वेन्यू ऑपरेशंस डायरेक्टर हैं, तो यह आपके लिए है। हम मार्केटिंग की बातों को छोड़कर सीधे इन दो दिग्गज नेटवर्क एक्सेस कंट्रोल (NAC) प्लेटफॉर्मों के आर्किटेक्चर, परिनियोजन जटिलता और व्यावसायिक प्रभाव पर बात करेंगे। आइए संदर्भ सेट करें। स्टेडियमों, बड़ी खुदरा श्रृंखलाओं और अस्पतालों जैसे वातावरण में, नेटवर्क की सीमा समाप्त हो चुकी है। आपके पास IoT डिवाइस, गेस्ट BYOD, कॉर्पोरेट संपत्तियां और पॉइंट-ऑफ-सेल टर्मिनल सभी एक ही एक्सेस लेयर पर आ रहे हैं। आपको एक ऐसे पॉलिसी इंजन की आवश्यकता है जो संदर्भ के आधार पर ट्रैफ़िक को गतिशील रूप से विभाजित करते हुए हर एक कनेक्शन को ऑथेंटिकेट, ऑथराइज और अकाउंट कर सके। यही काम NAC करता है। और अभी, ClearPass और ISE दो प्रमुख ताकतें हैं। आइए तकनीकी गहन विश्लेषण में उतरें। सबसे पहले, आर्किटेक्चर और इकोसिस्टम। Cisco ISE पूरी तरह से Cisco इकोसिस्टम में एकीकृत है। यदि आपका वातावरण पूरी तरह से Cisco है—Catalyst स्विच, Meraki APs, Cisco ASA या Firepower फायरवॉल—तो ISE सिक्योरिटी ग्रुप टैग (SGTs) का उपयोग करके अविश्वसनीय रूप से सूक्ष्म माइक्रो-सेगमेंटेशन देने के लिए pxGrid और TrustSec जैसे मालिकाना प्रोटोकॉल का लाभ उठाता है। यह शक्तिशाली है, लेकिन यह कसकर जुड़ा हुआ है। दूसरी ओर, Aruba ClearPass को शुरू से ही वेंडर-अज्ञेयवादी होने के लिए बनाया गया था। यह RADIUS, TACACS+ और मानक REST APIs जैसे ओपन स्टैंडर्ड पर बहुत अधिक निर्भर करता है। यदि आपके पास एक मिश्रित वातावरण है—मान लीजिए, Aruba वायरलेस, Juniper स्विचिंग और Palo Alto फायरवॉल—तो ClearPass अक्सर सबसे आसान रास्ता होता है। यह एंड-टू-एंड मालिकाना टैगिंग की आवश्यकता के बिना सभी के साथ अच्छी तरह से काम करता है। आगे, आइए नीति निर्माण और प्रबंधन के बारे में बात करें। ClearPass एक अत्यधिक दृश्य, टॉप-डाउन पॉलिसी सर्विस मॉडल का उपयोग करता है। आप एक सेवा को परिभाषित करते हैं, मान लें 'कॉर्पोरेट वायरलेस 802.1X', और उसके भीतर, आप अपने ऑथेंटिकेशन, ऑथराइजेशन और प्रवर्तन प्रोफाइल को स्टैक करते हैं। यह तार्किक और अपेक्षाकृत सहज है। ISE एक नियम-आधारित मैट्रिक्स का उपयोग करता है। यह अविश्वसनीय रूप से मजबूत है, जो जटिल, बहु-शर्त नीतियों की अनुमति देता है, लेकिन इसे सीखने की प्रक्रिया कठिन है। यह एक बहुत ही जटिल फायरवॉल को कॉन्फ़िगर करने जैसा महसूस हो सकता है। डिवाइस प्रोफाइलिंग के बारे में क्या? दोनों प्लेटफॉर्म यहां उत्कृष्ट हैं। वे यह पता लगाने के लिए कि डिवाइस क्या है, DHCP, HTTP, MAC OUI और SNMP डेटा ग्रहण करते हैं। यदि आप डिवाइस सेंसर वाले Cisco स्विच का उपयोग कर रहे हैं तो ISE को बढ़त मिलती है, जो सीधे ISE को डीप पैकेट इंस्पेक्शन डेटा भेजता है। ClearPass अपने AI-संचालित ClearPass Device Insight के साथ इसका मुकाबला करता है, जो उन अज्ञात IoT उपकरणों की पहचान करने के लिए क्लाउड-आधारित मशीन लर्निंग का उपयोग करता है जो मानक प्रोफाइल से मेल नहीं खाते हैं। अब, आइए कार्यान्वयन सिफारिशों और कमियों को देखें। किसी भी प्लेटफॉर्म के साथ सबसे बड़ी कमी सब कुछ एक साथ करने की कोशिश करना है। पहले दिन अपने पूरे वायर्ड और वायरलेस नेटवर्क पर सख्त 802.1X लागू करने का प्रयास न करें। आप चीजें खराब कर देंगे, और हेल्पडेस्क पर काम का बोझ बढ़ जाएगा। दृश्यता के साथ शुरुआत करें। NAC को मॉनिटर मोड में तैनात करें। इसे बिना कुछ ब्लॉक किए उपकरणों को प्रोफाइल करने और ऑथेंटिकेशन अनुरोधों को लॉग करने दें। यह आपको बताता है कि आपके नेटवर्क पर वास्तव में क्या है। इसके बाद, वायरलेस पक्ष पर प्रवर्तन की ओर बढ़ें, आमतौर पर उन कॉर्पोरेट लैपटॉप से शुरू करें जो पहले से ही Active Directory या MDM द्वारा प्रबंधित हैं। अंत में, वायर्ड पोर्ट से निपटें, जो पुराने प्रिंटर और अप्रबंधित IoT उपकरणों के कारण कुख्यात रूप से कठिन हैं। यदि आप हॉस्पिटैलिटी या रिटेल वातावरण में तैनात कर रहे हैं, तो अतिथि एक्सेस महत्वपूर्ण है। ClearPass को अपने अंतर्निहित ClearPass Guest मॉड्यूल के साथ यहां थोड़ी बढ़त हासिल है। यह अत्यधिक अनुकूलन योग्य है, स्व-पंजीकरण, प्रायोजक अनुमोदन का समर्थन करता है, और उन्नत WiFi एनालिटिक्स और कैप्टिव पोर्टल मार्केटिंग के लिए Purple जैसे प्लेटफॉर्म के साथ खूबसूरती से एकीकृत होता है। ISE का अतिथि पोर्टल मजबूत है लेकिन अक्सर उच्च स्तर पर अनुकूलित करने के लिए अधिक प्रयास की आवश्यकता होती है। आइए सामान्य ग्राहक प्रश्नों के आधार पर एक रैपिड-फायर Q&A करें। प्रश्न 1: किसका प्रमाणपत्र प्रबंधन बेहतर है? दोनों में अंतर्निहित प्रमाणपत्र प्राधिकरण (Certificate Authorities) हैं, लेकिन BYOD प्रमाणपत्र प्रावधान के लिए ClearPass Onboard को आम तौर पर उपयोग करना आसान माना जाता है। ISE शक्तिशाली है लेकिन वर्कफ़्लो जटिल हो सकता है। प्रश्न 2: क्लाउड परिनियोजन के बारे में क्या? दोनों पारंपरिक रूप से ऑन-प्रिमाइसेस या निजी क्लाउड VMs हैं। Aruba ClearPass Cloud और Aruba Central के साथ क्लाउड-नेटिव में भारी निवेश कर रहा है। Cisco क्लाउड विकल्पों के साथ ISE को विकसित कर रहा है, लेकिन ऐतिहासिक रूप से इसका VM फुटप्रिंट भारी रहा है। प्रश्न 3: लाइसेंसिंग मॉडल कैसे भिन्न हैं? यह एक बड़ा अंतर है। ClearPass अपेक्षाकृत सरल एंडपॉइंट-आधारित मॉडल का उपयोग करता है। आप बेस लाइसेंस खरीदते हैं, और फिर Onboard या Guest के लिए ऐड-ऑन जोड़ते हैं। यह अनुमानित है। Cisco Essentials, Advantage और Premier स्तरों के साथ स्मार्ट लाइसेंसिंग का उपयोग करता है। यह जटिल है, और अधिक भुगतान करने से बचने के लिए आपको अपनी आवश्यक सुविधाओं को सही स्तर पर सावधानीपूर्वक मैप करना होगा। अंत में, सारांश और अगले कदम। आप कैसे चुनते हैं? यदि आपके पास एक होमोजेनियस Cisco बुनियादी ढांचा है, आप उन्नत माइक्रो-सेगमेंटेशन के लिए TrustSec और pxGrid का लाभ उठाना चाहते हैं, और आपके पास इसकी जटिलता को प्रबंधित करने के लिए इन-हाउस Cisco विशेषज्ञता है, तो Cisco ISE चुनें। Cisco फैब्रिक में पूरी तरह से एकीकृत होने पर यह एक पूर्ण पावरहाउस है। यदि आपके पास एक मल्टी-वेंडर नेटवर्क है, आपको एक अत्यधिक अनुकूलन योग्य अतिथि पोर्टल की आवश्यकता है, आप एक सरल लाइसेंसिंग मॉडल चाहते हैं, और आप अधिक सहज नीति निर्माण इंटरफ़ेस पसंद करते हैं, तो Aruba ClearPass चुनें। यह विविध (heterogeneous) वातावरण के लिए व्यावहारिक विकल्प है। आपका अगला कदम? अपने वर्तमान नेटवर्क बुनियादी ढांचे और अपने पहचान स्रोतों का ऑडिट करें। एक NAC केवल उतना ही अच्छा होता है जितना कि वह डायरेक्टरी जिससे वह बात करता है। अपनी Active Directory को साफ करें, अपने स्विच वेंडर्स का नक्शा बनाएं, और ठीक से परिभाषित करें कि आपको क्या हासिल करने की आवश्यकता है—चाहे वह PCI अनुपालन हो, IoT सेगमेंटेशन हो, या सिर्फ बेहतर दृश्यता हो। इस Purple टेक्निकल ब्रीफिंग को सुनने के लिए धन्यवाद। अगली बार तक, अपने नेटवर्क को सुरक्षित रखें और अपनी नीतियों को साफ रखें।

header_image.png

कार्यकारी सारांश

एंटरप्राइज नेटवर्क आर्किटेक्ट्स और CTOs के लिए जो नेटवर्क एक्सेस कंट्रोल (NAC) प्लेटफॉर्म का मूल्यांकन कर रहे हैं, चुनाव अक्सर दो प्रमुख ताकतों के बीच सिमट जाता है: Aruba ClearPass और Cisco Identity Services Engine (ISE)। दोनों प्लेटफॉर्म मजबूत ऑथेंटिकेशन, ऑथराइजेशन और अकाउंटिंग (AAA) क्षमताएं प्रदान करते हैं, जिससे यह सुनिश्चित होता है कि कॉर्पोरेट लैपटॉप से लेकर हेडलेस IoT सेंसर तक हर एंडपॉइंट को नेटवर्क एक्सेस मिलने से पहले सुरक्षित रूप से प्रोफाइल और सेगमेंट किया जाए। हालांकि, उनके आर्किटेक्चरल सिद्धांत काफी भिन्न हैं। Cisco ISE पूरी तरह से Cisco इकोसिस्टम में समाहित है, जो होमोजेनियस (समान) वातावरण में बेजोड़ माइक्रो-सेगमेंटेशन देने के लिए pxGrid और TrustSec जैसे मालिकाना प्रोटोकॉल का लाभ उठाता है। इसके विपरीत, Aruba ClearPass को शुरू से ही एक वेंडर-अज्ञेयवादी (vendor-agnostic) पॉलिसी इंजन के रूप में डिजाइन किया गया है, जो मल्टी-वेंडर नेटवर्क में सहजता से एकीकृत करने के लिए RADIUS और REST APIs जैसे ओपन स्टैंडर्ड का उपयोग करता है। यह गाइड दोनों प्लेटफॉर्मों की एक व्यावहारिक, गहन तुलना प्रदान करती है, जिसमें उनकी विशेषताओं, परिनियोजन (deployment) की जटिलताओं और लाइसेंसिंग मॉडल की खोज की गई है ताकि आपको अपनी संस्था की परिचालन वास्तविकताओं और अनुपालन आवश्यकताओं के साथ अपनी NAC रणनीति को संरेखित करने में मदद मिल सके।

तकनीकी गहन विश्लेषण

आर्किटेक्चर और इकोसिस्टम एकीकरण

ClearPass और ISE के बीच बुनियादी अंतर इकोसिस्टम एकीकरण के प्रति उनके दृष्टिकोण में है। Cisco ISE एक Cisco-केंद्रित वातावरण में फलता-फूलता है। यह Catalyst स्विच, Meraki एक्सेस पॉइंट्स और Firepower फायरवॉल पर केवल पारंपरिक IP-आधारित एक्सेस कंट्रोल लिस्ट (ACLs) पर निर्भर रहे बिना बारीक, स्केलेबल एक्सेस कंट्रोल लागू करने के लिए Cisco TrustSec फ्रेमवर्क के भीतर सिक्योरिटी ग्रुप टैग (SGTs) का उपयोग करता है। pxGrid (प्लेटफॉर्म एक्सचेंज ग्रिड) प्रोटोकॉल ISE को तीसरे पक्ष के सुरक्षा समाधानों के साथ समृद्ध प्रासंगिक डेटा साझा करने में सक्षम बनाकर इसे और बढ़ाता है, जिससे एक सुसंगत, स्वचालित खतरा प्रतिक्रिया इकोसिस्टम बनता है।

इसके विपरीत, Aruba ClearPass एक हेटेरोजेनियस (विविध) नेटवर्क दर्शन को अपनाता है। यह मानक RADIUS और TACACS+ प्रोटोकॉल का उपयोग करके Aruba, Cisco, Juniper और Palo Alto हार्डवेयर पर सुसंगत नीतियां लागू करते हुए एक यूनिवर्सल ट्रांसलेटर के रूप में कार्य करता है। इसका मजबूत REST API और व्यापक एकीकरण इकोसिस्टम इसे मोबाइल डिवाइस मैनेजमेंट (MDM) प्लेटफॉर्म, फायरवॉल और एंडपॉइंट सुरक्षा एजेंटों से संदर्भ को आसानी से ग्रहण करने की अनुमति देता है। मिश्रित हार्डवेयर परिनियोजन वाले स्थानों के लिए, ClearPass अक्सर एकीकृत नीति प्रवर्तन के लिए प्रवेश की कम बाधा प्रस्तुत करता है।

architecture_overview.png

पॉलिसी इंजन और प्रबंधन इंटरफ़ेस

ClearPass में नीति निर्माण अत्यधिक दृश्य (visual) और सेवा-उन्मुख है। एडमिनिस्ट्रेटर एक 'सेवा' (जैसे, 'कॉर्पोरेट 802.1X') को परिभाषित करते हैं और क्रमिक रूप से ऑथेंटिकेशन विधियों, ऑथराइजेशन स्रोतों और प्रवर्तन प्रोफाइल को स्टैक करते हैं। यह टॉप-डाउन, मॉड्यूलर दृष्टिकोण सहज है और समस्या निवारण (troubleshooting) को सरल बनाता है।

Cisco ISE एक नियम-आधारित मैट्रिक्स का उपयोग करता है, जो एक परिष्कृत फायरवॉल को कॉन्फ़िगर करने के समान है। नीतियां जटिल, बहु-शर्त नियमों का उपयोग करके बनाई जाती हैं जो पहचान, स्थिति और संदर्भ का एक साथ मूल्यांकन करती हैं। हालांकि यह जटिल एंटरप्राइज परिदृश्यों के लिए अत्यधिक लचीलापन और शक्ति प्रदान करता है, लेकिन अनपेक्षित परिणामों से बचने के लिए इसमें अधिक सीखने और सावधानीपूर्वक कॉन्फ़िगरेशन प्रबंधन की आवश्यकता होती है।

comparison_chart.png

डिवाइस प्रोफाइलिंग और दृश्यता

आधुनिक NAC के लिए सटीक डिवाइस प्रोफाइलिंग महत्वपूर्ण है, विशेष रूप से IoT उपकरणों के प्रसार के साथ। दोनों प्लेटफॉर्म इसमें उत्कृष्ट हैं, जो DHCP, HTTP, MAC OUI और SNMP डेटा का उपयोग करते हैं। ISE को Cisco वातावरण में डिवाइस सेंसर के माध्यम से लाभ मिलता है, जो Cisco स्विच से सीधे ISE नोड पर डीप पैकेट इंस्पेक्शन डेटा भेजता है। ClearPass इसका मुकाबला ClearPass Device Insight के साथ करता है, जो एक AI-संचालित, क्लाउड-आधारित समाधान है जो उन अज्ञात या स्पूफ़ किए गए उपकरणों की पहचान करने के लिए मशीन लर्निंग का लाभ उठाता है जो मानक प्रोफाइलिंग हस्ताक्षरों से बच जाते हैं।

कार्यान्वयन गाइड

NAC प्लेटफॉर्म को तैनात करना एक उच्च-जोखिम वाला कार्य है। एक गलत कॉन्फ़िगरेशन वैध उपयोगकर्ताओं को नेटवर्क से बाहर कर सकता है, जिससे व्यावसायिक संचालन ठप हो सकता है।

  1. दृश्यता के साथ शुरुआत करें (मॉनिटर मोड): पहले दिन कभी भी प्रवर्तन (enforcement) लागू न करें। ट्रैफ़िक को ब्लॉक किए बिना उपकरणों को प्रोफाइल करने और ऑथेंटिकेशन अनुरोधों को लॉग करने के लिए NAC को कॉन्फ़िगर करें। यह आपके नेटवर्क पर वास्तव में क्या है इसकी एक स्पष्ट तस्वीर प्रदान करता है और उन उपकरणों की पहचान करने में मदद करता है जो 802.1X ऑथेंटिकेशन में विफल होंगे।
  2. पहले वायरलेस लागू करें: वायरलेस नेटवर्क को सुरक्षित करना आम तौर पर आसान होता है क्योंकि डिवाइस ऑथेंटिकेट करने के आदी होते हैं (जैसे, WPA3-Enterprise)। Active Directory या MDM द्वारा प्रबंधित कॉर्पोरेट लैपटॉप से शुरुआत करें, क्योंकि ये आसानी से आवश्यक प्रमाणपत्र प्राप्त कर सकते हैं।
  3. वायर्ड नेटवर्क से निपटें: पुराने प्रिंटर, अप्रबंधित IoT उपकरणों और 'डम्ब' स्विच के कारण वायर्ड 802.1X कुख्यात रूप से कठिन है। उन उपकरणों के लिए MAC Authentication Bypass (MAB) का उपयोग करें जो 802.1X का समर्थन नहीं कर सकते हैं, लेकिन डायनेमिक VLAN असाइनमेंट या dACLs का उपयोग करके उनके नेटवर्क एक्सेस को कड़ाई से सीमित करें।
  4. अतिथि एक्सेस लागू करें: हॉस्पिटैलिटी और रिटेल वातावरण के लिए, अतिथि एक्सेस एक प्राथमिक चिंता है। ClearPass Guest स्व-पंजीकरण और प्रायोजक अनुमोदन के साथ एक अत्यधिक अनुकूलन योग्य पोर्टल प्रदान करता है, जो उन्नत एनालिटिक्स के लिए अतिथि WiFi जैसे प्लेटफॉर्म के साथ आसानी से एकीकृत होता है। ISE भी मजबूत अतिथि क्षमताएं प्रदान करता है लेकिन अत्यधिक ब्रांडेड अनुभव प्राप्त करने के लिए अधिक प्रयास की आवश्यकता हो सकती है।

सर्वोत्तम प्रथाएं

  • डायरेक्टरी स्वच्छता बनाए रखें: एक NAC केवल उतना ही प्रभावी होता है जितना कि वह पहचान स्टोर जिससे वह पूछताछ करता है। सुनिश्चित करें कि आपकी Active Directory या LDAP साफ, सटीक और अद्यतित है।
  • प्रमाणपत्रों का लाभ उठाएं: जहां तक संभव हो पासवर्ड-आधारित ऑथेंटिकेशन (PEAP-MSCHAPv2) से बचें। बेहतर सुरक्षा और निर्बाध उपयोगकर्ता अनुभव के लिए एक विश्वसनीय प्रमाणपत्र प्राधिकरण (CA) द्वारा जारी किए गए प्रमाणपत्रों का उपयोग करके EAP-TLS तैनात करें।
  • उच्च उपलब्धता (High Availability) की योजना बनाएं: NAC एक महत्वपूर्ण बुनियादी ढांचा घटक है। रखरखाव या विफलताओं के दौरान निरंतर नेटवर्क एक्सेस सुनिश्चित करने के लिए एक वितरित आर्किटेक्चर में अनावश्यक (redundant) नोड्स तैनात करें।

समस्या निवारण और जोखिम न्यूनीकरण

सामान्य विफलता मोड अक्सर प्रमाणपत्र की समाप्ति, गलत नीति क्रम, या गलत तरीके से कॉन्फ़िगर किए गए स्विच पोर्ट के इर्द-गिर्द घूमते हैं।

  • प्रमाणपत्र समाप्ति: अचानक, व्यापक ऑथेंटिकेशन विफलताओं को रोकने के लिए स्वचालित प्रमाणपत्र नवीनीकरण प्रक्रियाओं (जैसे, SCEP/EST) को लागू करें।
  • नीति क्रम: ClearPass और ISE दोनों में, नीतियों का मूल्यांकन ऊपर से नीचे की ओर किया जाता है। अनपेक्षित पहुंच को रोकने के लिए सुनिश्चित करें कि अधिक विशिष्ट नियमों को सामान्य कैच-ऑल नियमों के ऊपर रखा गया है।
  • रॉग APs: सुनिश्चित करें कि आपका वायरलेस घुसपैठ रोकथाम प्रणाली (WIPS) सक्रिय रूप से प्रतिरूपण (impersonation) हमलों की निगरानी कर रहा है। विस्तृत रणनीतियों के लिए Rogue AP Detection: Protecting Venue WiFi from Impersonation Attacks पर हमारी गाइड देखें।

ROI और व्यावसायिक प्रभाव

licensing_comparison.png

एक NAC परिनियोजन का वित्तीय प्रभाव प्रारंभिक सॉफ़्टवेयर और हार्डवेयर लागतों से परे तक जाता है।

  • Aruba ClearPass: Guest और Onboard के लिए मॉड्यूलर ऐड-ऑन के साथ एक अनुमानित, एंडपॉइंट-आधारित लाइसेंसिंग मॉडल (स्थायी या सदस्यता) प्रदान करता है। यह सादगी अक्सर मल्टी-वेंडर वातावरण में स्वामित्व की कम कुल लागत (TCO) में अनुवादित होती है।
  • Cisco ISE: Essentials, Advantage और Premier स्तरों के साथ एक जटिल स्मार्ट लाइसेंसिंग मॉडल का उपयोग करता है। हालांकि यह संभावित रूप से अधिक महंगा है, लेकिन यदि आप एकीकृत Cisco सुरक्षा आर्किटेक्चर की उन्नत क्षमताओं का पूरा लाभ उठा रहे हैं तो यह असाधारण ROI प्रदान करता है।

अंततः, एक सफल NAC परिनियोजन महंगे डेटा उल्लंघनों के जोखिम को कम करता है, PCI-DSS और GDPR जैसे मानकों का अनुपालन सुनिश्चित करता है, और मैन्युअल नेटवर्क प्रावधान के परिचालन ओवरहेड को कम करता है।

मुख्य परिभाषाएं

802.1X

पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल के लिए एक IEEE मानक जो LAN या WLAN से जुड़ने के इच्छुक उपकरणों को एक ऑथेंटिकेशन तंत्र प्रदान करता है।

सुरक्षित एंटरप्राइज नेटवर्क एक्सेस के लिए मूलभूत प्रोटोकॉल, जो अनधिकृत उपकरणों को नेटवर्क पर संचार करने से रोकता है।

RADIUS (Remote Authentication Dial-In User Service)

एक नेटवर्किंग प्रोटोकॉल जो नेटवर्क सेवा से जुड़ने और उसका उपयोग करने वाले उपयोगकर्ताओं के लिए केंद्रीकृत ऑथेंटिकेशन, ऑथराइजेशन और अकाउंटिंग (AAA) प्रबंधन प्रदान करता है।

नेटवर्क स्विच और एक्सेस पॉइंट्स के साथ संचार करने के लिए ClearPass और ISE दोनों द्वारा उपयोग किया जाने वाला प्राथमिक प्रोटोकॉल।

TACACS+ (Terminal Access Controller Access-Control System Plus)

Cisco द्वारा विकसित एक प्रोटोकॉल जो एक या अधिक केंद्रीकृत सर्वरों के माध्यम से राउटर, नेटवर्क एक्सेस सर्वर और अन्य नेटवर्क वाले कंप्यूटिंग उपकरणों के लिए एक्सेस कंट्रोल प्रदान करता है।

मुख्य रूप से डिवाइस प्रशासन (स्विच और राउटर में लॉग इन करने वाले IT कर्मचारियों को ऑथेंटिकेट करना) के लिए उपयोग किया जाता है, जो ऑथेंटिकेशन को ऑथराइजेशन से अलग करता है।

MAC Authentication Bypass (MAB)

उन उपकरणों को ऑथेंटिकेट करने की एक विधि जो 802.1X (जैसे प्रिंटर या पुराने IoT डिवाइस) का समर्थन नहीं करते हैं, उनके MAC एड्रेस को पहचान क्रेडेंशियल के रूप में उपयोग करके।

हेडलेस उपकरणों के लिए एक आवश्यक समाधान, हालांकि स्वाभाविक रूप से 802.1X की तुलना में कम सुरक्षित है क्योंकि MAC एड्रेस को स्पूफ़ किया जा सकता है।

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

एक EAP विधि जो आपसी ऑथेंटिकेशन के लिए क्लाइंट और सर्वर प्रमाणपत्रों पर निर्भर करती है।

वायरलेस और वायर्ड सुरक्षा के लिए स्वर्ण मानक माना जाता है, जो क्रेडेंशियल चोरी के खिलाफ मजबूत सुरक्षा प्रदान करता।

TrustSec

एक Cisco सुरक्षा आर्किटेक्चर जो IP एड्रेस के बजाय एंडपॉइंट पहचान और संदर्भ के आधार पर एक्सेस कंट्रोल नीतियों को लागू करने के लिए सिक्योरिटी ग्रुप टैग (SGTs) का उपयोग करता है।

होमोजेनियस Cisco वातावरण में Cisco ISE के लिए एक प्रमुख विभेदक, जो स्केलेबल माइक्रो-सेगमेंटेशन को सक्षम बनाता है।

pxGrid (Platform Exchange Grid)

एक Cisco प्रोटोकॉल जो सुरक्षा प्लेटफॉर्मों को संदर्भ साझा करने और नेटवर्क बुनियादी ढांचे में खतरे की प्रतिक्रियाओं को स्वचालित करने में सक्षम बनाता है।

ISE को एक केंद्रीय खुफिया केंद्र के रूप में कार्य करने की अनुमति देता है, जो फायरवॉल और एंडपॉइंट सुरक्षा उपकरणों के साथ उपयोगकर्ता और डिवाइस संदर्भ साझा करता है।

Device Profiling

विभिन्न डेटा स्रोतों (DHCP, HTTP, SNMP) का उपयोग करके नेटवर्क से जुड़ने वाले डिवाइस के प्रकार, ऑपरेटिंग सिस्टम और क्षमताओं की पहचान करने की प्रक्रिया।

IoT और अप्रबंधित उपकरणों पर उचित सुरक्षा नीतियां लागू करने के लिए आवश्यक है जो 802.1X के माध्यम से ऑथेंटिकेट नहीं कर सकते हैं।

हल किए गए उदाहरण

Aruba वायरलेस कंट्रोलर और पुराने Juniper एक्सेस स्विच के मिश्रण वाले एक बड़े विश्वविद्यालय परिसर को छात्रों, संकाय (faculty) और IoT उपकरणों (प्रोजेक्टर, स्मार्ट लॉक) के लिए भूमिका-आधारित एक्सेस कंट्रोल लागू करने की आवश्यकता है। वे वर्तमान में पहचान के लिए Active Directory का उपयोग करते हैं।

मल्टी-वेंडर वातावरण को देखते हुए, Aruba ClearPass अनुशंसित समाधान है। IoT उपकरणों की विविध श्रेणी को प्रोफाइल करने के लिए परिनियोजन मॉनिटर मोड में शुरू होगा। सुरक्षित, पासवर्ड-रहित ऑथेंटिकेशन सुनिश्चित करते हुए, EAP-TLS प्रमाणपत्रों का प्रावधान करने के लिए ClearPass Onboard का उपयोग करके संकाय और छात्रों के लैपटॉप को ऑनबोर्ड किया जाएगा। पुराने Juniper स्विचों को 802.1X ऑथेंटिकेशन के लिए RADIUS का उपयोग करने के लिए कॉन्फ़िगर किया जाएगा, जिसमें IoT उपकरणों के लिए MAC Authentication Bypass (MAB) कॉन्फ़िगर किया जाएगा। ClearPass नीतियां उपयोगकर्ता के AD समूह (छात्र बनाम संकाय) या डिवाइस प्रोफ़ाइल (IoT) के आधार पर गतिशील रूप से VLANs असाइन करेंगी।

परीक्षक की टिप्पणी: यह परिदृश्य विविध (heterogeneous) वातावरण में ClearPass की ताकत को उजागर करता है। यहां ISE को तैनात करने के प्रयास में TrustSec के लाभ के बिना मानक RADIUS पर भारी निर्भरता की आवश्यकता होगी, जिससे ISE की कई उन्नत विशेषताएं निष्प्रभावी हो जाएंगी। ClearPass की मजबूत प्रोफाइलिंग और वेंडर-अज्ञेयवादी नीति प्रवर्तन एक स्वच्छ, अधिक प्रबंधनीय समाधान प्रदान करते हैं।

एक वैश्विक खुदरा श्रृंखला Cisco Meraki (APs, स्विच और MX सुरक्षा उपकरण) पर अपने संपूर्ण नेटवर्क बुनियादी ढांचे का मानकीकरण कर रही है। PCI-DSS अनुपालन बनाए रखने के लिए उन्हें पॉइंट-ऑफ-सेल (POS) टर्मिनलों को अतिथि WiFi नेटवर्क और कॉर्पोरेट उपकरणों से अलग करने के लिए सख्त माइक्रो-सेगमेंटेशन लागू करने की आवश्यकता है।

इस होमोजेनियस Cisco वातावरण के लिए Cisco ISE इष्टतम विकल्प है। यह परिनियोजन विभिन्न एंडपॉइंट्स को सिक्योरिटी ग्रुप टैग (SGTs) असाइन करने के लिए Cisco TrustSec का लाभ उठाएगा। POS टर्मिनलों को ऑथेंटिकेशन (MAB या 802.1X के माध्यम से) पर एक विशिष्ट SGT प्राप्त होगा। इसके बाद ISE Meraki स्विच और MX उपकरणों पर सिक्योरिटी ग्रुप एक्सेस कंट्रोल लिस्ट (SGACLs) भेजेगा, जो अंतर्निहित IP एड्रेसिंग या VLAN संरचना की परवाह किए बिना POS SGT और अतिथि या कॉर्पोरेट SGTs के बीच ट्रैफ़िक को स्पष्ट रूप से अस्वीकार कर देगा।

परीक्षक की टिप्पणी: यह Cisco इकोसिस्टम के भीतर ISE की शक्ति को प्रदर्शित करता है। सेगमेंटेशन के लिए SGTs का उपयोग करना सैकड़ों खुदरा स्थानों पर जटिल, IP-आधारित ACLs को बनाए रखने की तुलना में नीति प्रबंधन को सरल बनाता है, जो सीधे PCI अनुपालन प्रयासों का समर्थन करता है।

अभ्यास प्रश्न

Q1. एक अस्पताल नेटवर्क को चिकित्सा उपकरणों (इन्फ्यूजन पंप, रोगी मॉनिटर) और अतिथि WiFi नेटवर्क के बीच सख्त अलगाव की आवश्यकता होती है। बुनियादी ढांचे में Aruba वायरलेस एक्सेस पॉइंट और Cisco Catalyst स्विच शामिल हैं। इस वातावरण के लिए कौन सा NAC प्लेटफॉर्म सबसे उपयुक्त है और क्यों?

संकेत: नेटवर्क बुनियादी ढांचे की मल्टी-वेंडर प्रकृति पर विचार करें।

मॉडल उत्तर देखें

Aruba ClearPass अनुशंसित प्लेटफॉर्म है। हालांकि Cisco ISE शक्तिशाली है, लेकिन इसकी उन्नत सेगमेंटेशन सुविधाओं (TrustSec/SGTs) को बेहतर ढंग से कार्य करने के लिए एंड-टू-एंड Cisco हार्डवेयर की आवश्यकता होती है। ClearPass गतिशील रूप से VLANs या dACLs असाइन करने के लिए मानक RADIUS विशेषताओं का उपयोग करके Aruba APs और Cisco स्विच दोनों पर नीतियों को प्रभावी ढंग से प्रबंधित कर सकता है, जिससे यह सुनिश्चित होता है कि चिकित्सा उपकरण अतिथि ट्रैफ़िक से सुरक्षित रूप से अलग हैं।

Q2. सुरक्षा में सुधार के लिए आपका संगठन पासवर्ड-आधारित PEAP-MSCHAPv2 वायरलेस नेटवर्क से प्रमाणपत्र-आधारित EAP-TLS परिनियोजन पर माइग्रेट कर रहा है। आपके पास एक बड़ी BYOD (ब्रिंग योर ओन डिवाइस) आबादी है। इस संक्रमण का समर्थन करने के लिए आपको अपने NAC प्लेटफॉर्म से किस महत्वपूर्ण विशेषता की आवश्यकता है?

संकेत: इस बारे में सोचें कि अप्रबंधित व्यक्तिगत उपकरणों को प्रमाणपत्र कैसे वितरित किए जाएंगे।

मॉडल उत्तर देखें

आपको एक मजबूत ऑनबोर्डिंग और प्रमाणपत्र प्रावधान पोर्टल की आवश्यकता है। Aruba इकोसिस्टम में, यह ClearPass Onboard है; Cisco में, यह ISE BYOD पोर्टल है। यह सुविधा उपयोगकर्ताओं को एक खुले प्रावधान नेटवर्क से जुड़कर, अपने कॉर्पोरेट क्रेडेंशियल्स के साथ ऑथेंटिकेट करके, और आवश्यक EAP-TLS प्रमाणपत्र और नेटवर्क प्रोफ़ाइल को स्वचालित रूप से डाउनलोड और इंस्टॉल करके अपने व्यक्तिगत उपकरणों को स्वयं-प्रावधान करने की अनुमति देती है, जिससे हेल्पडेस्क ओवरहेड कम हो जाता है।

Q3. एक चरणबद्ध NAC रोलआउट के दौरान, आप 802.1X प्रवर्तन के लिए एक स्विच पोर्ट कॉन्फ़िगर करते हैं। एक उपयोगकर्ता एक पुराना प्रिंटर जोड़ता है जो 802.1X का समर्थन नहीं करता है। इस डिवाइस को ऑथेंटिकेट करने के लिए NAC प्लेटफॉर्म को किस तंत्र का उपयोग करना चाहिए, और इससे जुड़ा प्राथमिक सुरक्षा जोखिम क्या है?

संकेत: आप उस डिवाइस की पहचान कैसे करते हैं जो उपयोगकर्ता नाम या प्रमाणपत्र प्रदान नहीं कर सकता है?

मॉडल उत्तर देखें

NAC प्लेटफॉर्म को MAC Authentication Bypass (MAB) का उपयोग करना चाहिए। स्विच प्रिंटर के MAC एड्रेस को उपयोगकर्ता नाम और पासवर्ड के रूप में NAC सर्वर पर भेजता है। प्राथमिक सुरक्षा जोखिम MAC स्पूफिंग है; एक हमलावर आसानी से प्रिंटर के MAC एड्रेस का पता लगा सकता है, इसे अपने लैपटॉप पर क्लोन कर सकता है, और प्रिंटर को सौंपे गए नेटवर्क सेगमेंट तक अनधिकृत पहुंच प्राप्त कर सकता है। इसलिए, MAB को सख्त प्रोफाइलिंग और नेटवर्क सेगमेंटेशन (जैसे, प्रिंटर को अत्यधिक प्रतिबंधित VLAN में रखना) के साथ जोड़ा जाना चाहिए।

इस श्रृंखला में आगे पढ़ें

Wi-Fi सुरक्षा का भविष्य: AI-संचालित NAC और थ्रेट डिटेक्शन

यह आधिकारिक गाइड पुरानी WPA2 से AI-संचालित नेटवर्क एक्सेस कंट्रोल (NAC) और थ्रेट डिटेक्शन तक एंटरप्राइज़ Wi-Fi सुरक्षा के विकास की पड़ताल करती है। IT लीडर्स के लिए डिज़ाइन की गई, यह Purple के पहचान-आधारित नेटवर्क का उपयोग करके रिटेल, हॉस्पिटैलिटी और स्टेडियम जैसे उच्च-घनत्व वाले वातावरण को सुरक्षित करने के लिए कार्रवाई योग्य परिनियोजन (deployment) रणनीतियां प्रदान करती है।

गाइड पढ़ें →

NAC और MPSK के साथ IoT डिवाइस सुरक्षा का प्रबंधन

यह तकनीकी मार्गदर्शिका विस्तार से बताती है कि एंटरप्राइज़ स्थान मल्टीपल प्री-शेयर्ड की (MPSK) आर्किटेक्चर और नेटवर्क एक्सेस कंट्रोल (NAC) का उपयोग करके हेडलेस IoT डिवाइसों को कैसे सुरक्षित कर सकते हैं। यह स्केलेबिलिटी से समझौता किए बिना माइक्रो-सेगमेंटेशन प्राप्त करने, सुरक्षा ब्लास्ट रेडियस को सीमित करने और अनुपालन बनाए रखने के लिए कार्रवाई योग्य कार्यान्वयन चरण प्रदान करता है।

गाइड पढ़ें →

RadSec: RADIUS over TLS कैसे WiFi ऑथेंटिकेशन सिक्योरिटी को बेहतर बनाता है

यह आधिकारिक तकनीकी संदर्भ बताता है कि कैसे RadSec (RFC 6614) पारंपरिक RADIUS ट्रैफ़िक को TLS एन्क्रिप्शन में रैप करके एंटरप्राइज़ WiFi ऑथेंटिकेशन को सुरक्षित करता है। IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए डिज़ाइन किया गया, यह कॉर्पोरेट और गेस्ट नेटवर्क पर अनएन्क्रिप्टेड UDP RADIUS ट्रैफ़िक के जोखिमों को कम करने के लिए आर्किटेक्चर, डिप्लॉयमेंट रणनीतियों और व्यावहारिक कदमों को कवर करता है।

गाइड पढ़ें →