Enterprise WiFi सुरक्षा को स्वचालित करना: SCEP प्रमाणपत्र परिनियोजन गाइड
यह तकनीकी गाइड समझाती है कि SCEP certificate deployment का उपयोग करके enterprise WiFi सुरक्षा को कैसे स्वचालित किया जाए। यह कॉर्पोरेट और गेस्ट नेटवर्क पर 802.1X EAP-TLS प्रमाणीकरण को तैनात करने के लिए एक विस्तृत आर्किटेक्चरल ब्लूप्रिंट और कार्यान्वयन चरण प्रदान करता है।
इस गाइड को सुनें
पॉडकास्ट ट्रांसक्रिप्ट देखें
- एक्जीक्यूटिव समरी (Executive Summary)
- तकनीकी गहन विश्लेषण: SCEP आर्किटेक्चर और EAP-TLS
- PKCS की तुलना में SCEP के लाभ
- 802.1X और EAP-TLS प्रमाणीकरण
- कार्यान्वयन गाइड: परिनियोजन अनुक्रम
- चरण 1: विश्वसनीय रूट प्रमाणपत्र परिनियोजित करें
- चरण 2: SCEP प्रमाणपत्र प्रोफ़ाइल को कॉन्फ़िगर करें
- चरण 3: 802.1X WiFi प्रोफ़ाइल परिनियोजित करें
- एंटरप्राइज परिवेशों के लिए सर्वोत्तम अभ्यास
- SCEP गेटवे को सुरक्षित करें
- सख्त CRL चेकिंग लागू करें
- हार्डवेयर एकीकरण
- समस्या निवारण और जोखिम न्यूनीकरण
- निर्भरता विफलताएं
- नामांकन त्रुटियां
- ROI और व्यावसायिक प्रभाव

एक्जीक्यूटिव समरी (Executive Summary)
हॉस्पिटैलिटी, रिटेल और पब्लिक सेक्टर के उद्यमों के लिए, नेटवर्क एक्सेस के लिए प्री-शेयर्ड कीज़ या बेसिक कैप्टिव पोर्टल पर निर्भर रहना गंभीर सुरक्षा कमजोरियों को जन्म देता है। आधुनिक नेटवर्क आर्किटेक्चर EAP-TLS का उपयोग करके 802.1X ऑथेंटिकेशन की मांग करता है, जिससे यह सुनिश्चित होता है कि नेटवर्क तक पहुंचने से पहले प्रत्येक डिवाइस को क्रिप्टोग्राफिक रूप से सत्यापित किया गया है। IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए, चुनौती हजारों Windows, iOS और Android डिवाइसों पर विशिष्ट क्लाइंट सर्टिफिकेट्स को कुशलतापूर्वक तैनात करने की है।
यह गाइड Simple Certificate Enrolment Protocol (SCEP) का उपयोग करके स्वचालित WiFi सर्टिफिकेट परिनियोजन के लिए निश्चित आर्किटेक्चरल ब्लूप्रिंट और चरण-दर-चरण कार्यान्वयन रणनीति प्रदान करता है। अपने Mobile Device Management (MDM) प्लेटफॉर्म को SCEP गेटवे और Certificate Authority (CA) के साथ एकीकृत करके, आप प्रबंधित एंडपॉइंट्स पर विश्वसनीय रूट और क्लाइंट सर्टिफिकेट्स को बिना किसी व्यवधान के पुश कर सकते हैं। हम SCEP और PKCS के बीच महत्वपूर्ण अंतरों का पता लगाते हैं, सफल परिनियोजन के लिए आवश्यक चरणों के सटीक क्रम का विवरण देते हैं, और आपके WiFi नेटवर्क को सुरक्षित और सुचारू रखने के लिए व्यावहारिक जोखिम कम करने की रणनीतियों की रूपरेखा तैयार करते हैं।
साथी पॉडकास्ट ब्रीफिंग सुनें:
तकनीकी गहन विश्लेषण: SCEP आर्किटेक्चर और EAP-TLS
एंटरप्राइज WiFi सर्टिफिकेट परिनियोजन रणनीति को डिजाइन करते समय, मुख्य आर्किटेक्चरल निर्णय यह होता है कि सर्टिफिकेट्स को सुरक्षित रूप से कैसे डिलीवर किया जाए। इस प्रक्रिया के लिए उद्योग मानक SCEP है। SCEP सर्टिफिकेट नामांकन प्रक्रिया को स्वचालित करता है, जिससे डिवाइस एक मानकीकृत प्रोटोकॉल का उपयोग करके Certificate Authority से सुरक्षित रूप से सर्टिफिकेट का अनुरोध कर सकते हैं।
PKCS की तुलना में SCEP के लाभ
हालांकि Microsoft Intune जैसे प्लेटफॉर्म SCEP और Public Key Cryptography Standards (PKCS) दोनों का समर्थन करते हैं, लेकिन उनके संचालन के तरीके मौलिक रूप से भिन्न हैं। SCEP वर्कफ़्लो में, MDM सेवा एंडपॉइंट को अपनी स्वयं की प्राइवेट और पब्लिक की (key) जोड़ी बनाने का निर्देश देती है। इसके बाद डिवाइस एक Certificate Signing Request (CSR) बनाता है और इसे Network Device Enrolment Service (NDES) सर्वर के माध्यम से आपके CA को भेजता है। CA अनुरोध पर हस्ताक्षर करता है और डिवाइस को पब्लिक की (key) सर्टिफिकेट वापस कर देता है। SCEP का मुख्य सुरक्षा लाभ यह है कि प्राइवेट की कभी भी डिवाइस से बाहर नहीं जाती है। यह स्थानीय रूप से उत्पन्न होती है और डिवाइस के सुरक्षित एन्क्लेव में संग्रहीत होती है। यह SCEP को 802.1X प्रमाणीकरण के लिए दृढ़ता से अनुशंसित तरीका बनाता है। इसके विपरीत, PKCS के साथ CA केंद्रीय रूप से दोनों की (keys) उत्पन्न करता है और उन्हें नेटवर्क पर प्रसारित करता है। PKCS नेटवर्क प्रमाणीकरण के बजाय की-एस्क्रो (जैसे S/MIME ईमेल एन्क्रिप्शन) की आवश्यकता वाले उपयोग के मामलों के लिए अधिक उपयुक्त है।

802.1X और EAP-TLS प्रमाणीकरण
IEEE 802.1X मानक केंद्रीकृत नेटवर्क एक्सेस प्रबंधन के लिए रूपरेखा प्रदान करता है। यह परिभाषित करता है कि क्लाइंट, एक्सेस पॉइंट और प्रमाणीकरण सर्वर - आमतौर पर एक RADIUS सर्वर - के बीच प्रमाणीकरण सक्षम करने के लिए एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल (EAP) पैकेट को LAN (EAPoL) पर कैसे ले जाया जाता है।
EAP-TLS 802.1X नेटवर्क के लिए सबसे सुरक्षित प्रमाणीकरण प्रोटोकॉल है। इसके लिए आपसी प्रमाणीकरण की आवश्यकता होती है: क्लाइंट RADIUS सर्वर के प्रमाणपत्र को सत्यापित करता है, और RADIUS सर्वर क्लाइंट के प्रमाणपत्र को सत्यापित करता है। यह कठोर सत्यापन प्रक्रिया यह सुनिश्चित करती है कि नामांकित उपकरणों पर केवल प्रमाणित और अधिकृत उपयोगकर्ता ही पहुंच प्राप्त करें, जिससे नेटवर्क इविल ट्विन जैसे खतरों से सुरक्षित रहे।
कार्यान्वयन गाइड: परिनियोजन अनुक्रम
802.1X के लिए स्वचालित प्रमाणपत्र परिनियोजन को सफलतापूर्वक कॉन्फ़िगर करने के लिए एक विशिष्ट अनुक्रम का सख्ती से पालन करना आवश्यक है। प्रोफ़ाइल निर्भरता यह तय करती है कि प्रमाणीकरण कॉन्फ़िगर होने से पहले विश्वास (trust) स्थापित किया जाना चाहिए। यह लागू होता है चाहे आप Microsoft Intune, Jamf या किसी अन्य MDM प्लेटफ़ॉर्म का उपयोग कर रहे हों।
चरण 1: विश्वसनीय रूट प्रमाणपत्र परिनियोजित करें
इससे पहले कि कोई भी डिवाइस क्लाइंट प्रमाणपत्र का अनुरोध कर सके या आपके RADIUS सर्वर पर विश्वास कर सके, उसे उस प्रमाणपत्र प्राधिकरण (CA) पर विश्वास करना होगा जो प्रमाणपत्र जारी करता है।
- अपने रूट CA प्रमाणपत्र और किसी भी मध्यवर्ती CA प्रमाणपत्र को निर्यात करें।
- अपने MDM प्लेटफ़ॉर्म में, एक विश्वसनीय प्रमाणपत्र प्रोफ़ाइल बनाएं।
- प्रमाणपत्र फ़ाइलें अपलोड करें और इस प्रोफ़ाइल को अपने लक्षित डिवाइस समूहों में परिनियोजित करें।
चरण 2: SCEP प्रमाणपत्र प्रोफ़ाइल को कॉन्फ़िगर करें
विश्वास स्थापित होने के साथ, उपकरणों को यह निर्देश देने के लिए SCEP प्रोफ़ाइल को कॉन्फ़िगर करें कि वे अपने क्लाइंट प्रमाणपत्र कैसे प्राप्त करें।
- एक नई SCEP प्रमाणपत्र कॉन्फ़िगरेशन प्रोफ़ाइल बनाएं।
- विषय नाम प्रारूप को कॉन्फ़िगर करें। उपयोगकर्ता-संचालित प्रमाणीकरण के लिए, उपयोगकर्ता प्रिंसिपल नाम (UPN) का उपयोग करें। डिवाइस प्रमाणीकरण के लिए, डिवाइस ID का उपयोग करें।
- की (key) के उपयोग को डिजिटल हस्ताक्षर और की (key) एन्साइफरमेंट पर सेट करें।
- विस्तारित की (key) उपयोग के लिए क्लाइंट प्रमाणीकरण निर्दिष्ट करें।
- इस प्रोफ़ाइल को चरण 1 में बनाई गई विश्वसनीय रूट प्रमाणपत्र प्रोफ़ाइल से लिंक करें।
- अपने SCEP गेटवे या NDES सर्वर का बाहरी URL प्रदान करें।
चरण 3: 802.1X WiFi प्रोफ़ाइल परिनियोजित करें
अंतिम चरण WiFi कॉन्फ़िगरेशन को पुश करना है जो प्रमाणपत्र को नेटवर्क SSID से बांधता है।
- एक WiFi कॉन्फ़िगरेशन प्रोफ़ाइल बनाएं।
- SSID को बिल्कुल वैसे ही दर्ज करें जैसा आपके एक्सेस पॉइंट्स द्वारा ब्रॉडकास्ट किया गया है।
- सुरक्षा प्रकार के रूप में WPA2-Enterprise या WPA3-Enterprise चुनें।
- EAP प्रकार को EAP-TLS पर सेट करें।
- क्लाइंट ऑथेंटिकेशन के लिए चरण 2 में बनाई गई SCEP सर्टिफिकेट प्रोफ़ाइल का चयन करें।
- सर्वर सत्यापन के लिए विश्वसनीय रूट सर्टिफिकेट निर्दिष्ट करें, जिससे यह सुनिश्चित हो सके कि डिवाइस केवल आपके वैध RADIUS सर्वर से कनेक्ट हों।

एंटरप्राइज परिवेशों के लिए सर्वोत्तम अभ्यास
SCEP सर्टिफिकेट परिनियोजन को लागू करते समय, अनुपालन और विश्वसनीयता सुनिश्चित करने के लिए इन वेंडर-अज्ञेयवादी सर्वोत्तम अभ्यासों का पालन करें।
SCEP गेटवे को सुरक्षित करें
SCEP गेटवे या NDES सर्वर इंटरनेट से सुलभ होना चाहिए ताकि रिमोट डिवाइस साइट पर पहुंचने से पहले सर्टिफिकेट प्राप्त कर सकें। हालांकि, सीधे इंटरनेट पर एक आंतरिक सर्वर को एक्सपोज करना एक महत्वपूर्ण सुरक्षा जोखिम प्रस्तुत करता है। एप्लिकेशन प्रॉक्सी का उपयोग करके URL प्रकाशित करें। यह इनबाउंड फ़ायरवॉल पोर्ट खोले बिना सुरक्षित रिमोट एक्सेस प्रदान करता है और आपको नामांकन फ़्लो पर सशर्त एक्सेस नीतियां लागू करने की अनुमति देता है।
सख्त CRL चेकिंग लागू करें
सर्टिफिकेट परिनियोजन सुरक्षा समीकरण का केवल आधा हिस्सा है; रिवोकेशन (निरस्तीकरण) भी उतना ही महत्वपूर्ण है। यदि कोई कर्मचारी नौकरी छोड़ता है, तो उसके डायरेक्टरी खाते को अक्षम करने से उसकी WiFi एक्सेस तुरंत समाप्त नहीं हो सकती है यदि उसका क्लाइंट सर्टिफिकेट वैध रहता है। सख्त सर्टिफिकेट रिवोकेशन लिस्ट (CRL) चेकिंग लागू करने के लिए अपने RADIUS सर्वर को कॉन्फ़िगर करें। सुनिश्चित करें कि आपके CRL वितरण बिंदु अत्यधिक उपलब्ध हैं; यदि RADIUS सर्वर CRL तक नहीं पहुंच पाता है, तो ऑथेंटिकेशन विफल हो जाएगा, जिससे व्यापक सेवा बाधित होगी।
हार्डवेयर एकीकरण
सुनिश्चित करें कि आपका नेटवर्क इन्फ्रास्ट्रक्चर आवश्यक प्रोटोकॉल का समर्थन करता है। Purple सहजता से Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme और Fortinet हार्डवेयर के साथ एकीकृत होता है। ऑथेंटिकेशन अनुरोधों को अपने केंद्रीकृत RADIUS इन्फ्रास्ट्रक्चर पर फॉरवर्ड करने के लिए इन प्रणालियों को कॉन्फ़िगर करें।
समस्या निवारण और जोखिम न्यूनीकरण
सावधानीपूर्वक योजना बनाने के बाद भी, सर्टिफिकेट परिनियोजन में समस्याएं आ सकती हैं। नीचे सामान्य विफलता मोड और न्यूनीकरण रणनीतियाँ दी गई हैं।
निर्भरता विफलताएं
एक आम समस्या यह है कि एक डिवाइस को विश्वसनीय रूट और SCEP सर्टिफिकेट प्राप्त होते हैं, लेकिन WiFi प्रोफ़ाइल लागू होने में विफल हो जाती है। यह लगभग हमेशा MDM के भीतर बेमेल ग्रुप टारगेटिंग के कारण होता है। यदि SCEP प्रोफ़ाइल को एक यूज़र ग्रुप को सौंपा गया है जबकि WiFi प्रोफ़ाइल को एक डिवाइस ग्रुप को सौंपा गया है, तो MDM निर्भरता को हल नहीं कर सकता है। अपने असाइनमेंट का ऑडिट करें और सुनिश्चित करें कि सभी संबंधित प्रोफ़ाइल बिल्कुल समान डायरेक्टरी ग्रुप्स में तैनात हैं।
नामांकन त्रुटियां
यदि डिवाइस SCEP प्रमाणपत्र प्राप्त करने में विफल रहते हैं और गेटवे लॉग HTTP 403 त्रुटियाँ दिखाते हैं, तो सेवा खाते में प्रमाणपत्र टेम्पलेट पर आवश्यक अनुमतियों की कमी हो सकती है, या फ़ायरवॉल पर URL फ़िल्टरिंग SCEP द्वारा उपयोग किए जाने वाले विशिष्ट क्वेरी स्ट्रिंग पैरामीटर को ब्लॉक कर रही हो सकती है। सत्यापित करें कि कनेक्टर खाते के पास CA टेम्पलेट पर पढ़ने और नामांकित (enrol) करने की अनुमतियाँ हैं, और फ़ायरवॉल लॉग की जाँच करके सुनिश्चित करें कि SCEP URL ब्लॉक नहीं किया जा रहा है।
ROI और व्यावसायिक प्रभाव
स्वचालित 802.1X प्रमाणपत्र परिनियोजन पर स्थानांतरित होना सुरक्षा और संचालन दोनों में मापने योग्य रिटर्न प्रदान करता है।
पासवर्ड-आधारित WiFi पासवर्ड की समाप्ति, लॉकआउट और टाइपिंग त्रुटियों के कारण भारी मात्रा में सहायता टिकट जनरेट करता है। प्रमाणपत्र-आधारित प्रमाणीकरण उपयोगकर्ता के लिए अदृश्य है और आमतौर पर WiFi से संबंधित हेल्पडेस्क टिकट की मात्रा को 70% से 80% तक कम कर देता है।
इसके अलावा, EAP-TLS क्रेडेंशियल चोरी और मैन-इन-द-मिडल हमलों के जोखिम को समाप्त करता है। यह PCI-DSS और GDPR जैसे ढांचे के अनुपालन के लिए आवश्यक है। मल्टी-साइट रिटेल ऑपरेशन्स या बड़े होटल चेन के लिए, इस प्रक्रिया को स्वचालित करना पहले दिन से ही एक सुसंगत, ज़ीरो-टच प्रोविज़निंग अनुभव सुनिश्चित करता है, जो परिचालन ओवरहेड को महत्वपूर्ण रूप से कम करते हुए नेटवर्क परिधि को सुरक्षित करता है।
मुख्य परिभाषाएं
SCEP
Simple Certificate Enrolment Protocol - एक प्रोटोकॉल जो उपकरणों पर डिजिटल प्रमाणपत्रों का अनुरोध करने और स्थापित करने की प्रक्रिया को स्वचालित करता है, जहाँ निजी कुंजी (private key) स्थानीय रूप से उत्पन्न होती है।
MDM प्लेटफॉर्म के माध्यम से बड़े पैमाने पर WiFi प्रमाणीकरण प्रमाणपत्रों को तैनात करने के लिए अनुशंसित विधि।
PKCS
Public Key Cryptography Standards - एक परिनियोजन विधि जहाँ Certificate Authority सार्वजनिक और निजी दोनों कुंजियाँ उत्पन्न करती है और उन्हें एंडपॉइंट पर प्रसारित करती है।
अक्सर S/MIME ईमेल एन्क्रिप्शन के लिए उपयोग किया जाता है लेकिन निजी कुंजी (private key) के नेटवर्क ट्रांसमिशन के कारण WiFi के लिए कम आदर्श है।
802.1X
पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल के लिए एक IEEE मानक जो LAN या WLAN से जुड़ने के इच्छुक उपकरणों को एक प्रमाणीकरण तंत्र प्रदान करता है।
Enterprise WiFi सुरक्षा के लिए अनिवार्य आधार रेखा, जो संवेदनशील प्री-शेयर्ड कुंजियों को बदल देती है।
EAP-TLS
Extensible Authentication Protocol - Transport Layer Security (EAP-TLS)। एक ऑथेंटिकेशन प्रोटोकॉल जिसके लिए क्लाइंट और सर्वर दोनों को वैध डिजिटल सर्टिफिकेट प्रस्तुत करने की आवश्यकता होती है।
802.1X नेटवर्क के लिए सबसे सुरक्षित प्रमाणीकरण विधि मानी जाती है, जो पासवर्ड-आधारित कमजोरियों को समाप्त करती है।
NDES
Network Device Enrolment Service। एक सर्वर रोल जो गेटवे के रूप में कार्य करता है, जिससे डोमेन क्रेडेंशियल्स के बिना डिवाइस SCEP के माध्यम से सर्टिफिकेट प्राप्त कर सकते हैं।
Microsoft Intune के साथ SCEP सर्टिफिकेट डिप्लॉयमेंट को लागू करते समय एक आवश्यक इंफ्रास्ट्रक्चर कंपोनेंट।
RADIUS
Remote Authentication Dial-In User Service। एक नेटवर्किंग प्रोटोकॉल जो सेंट्रलाइज्ड ऑथेंटिकेशन, ऑथराइजेशन और अकाउंटिंग मैनेजमेंट प्रदान करता है।
वह सर्वर जो डायरेक्टरी के विरुद्ध क्लाइंट सर्टिफिकेट को वैलिडेट करता है और नेटवर्क एक्सेस प्रदान करता है।
CRL
Certificate Revocation List। सर्टिफिकेट अथॉरिटी द्वारा प्रकाशित एक सूची जिसमें उन सर्टिफिकेट्स के सीरियल नंबर होते हैं जिन्हें रिवोक (रद्द) कर दिया गया है।
RADIUS सर्वर को यह सुनिश्चित करने के लिए CRL की जांच करनी चाहिए कि प्रस्तुत किया गया सर्टिफिकेट अभी भी वैध है और इसके साथ कोई समझौता नहीं किया गया है।
CSR
Certificate Signing Request। SSL/TLS सर्टिफिकेट के लिए आवेदन करते समय सर्टिफिकेट अथॉरिटी को दिया जाने वाला एन्कोडेड टेक्स्ट का एक ब्लॉक।
साइन किए गए सर्टिफिकेट का अनुरोध करने के लिए SCEP एनरोलमेंट प्रक्रिया के दौरान डिवाइस द्वारा जनरेट किया जाता है।
हल किए गए उदाहरण
एक 200 कमरों वाले होटल को हाउसकीपिंग और मेंटेनेंस द्वारा उपयोग किए जाने वाले 150 प्रबंधित iOS उपकरणों पर सुरक्षित Staff WiFi तैनात करने की आवश्यकता है। वे वर्तमान में एक WPA2-PSK नेटवर्क का उपयोग करते हैं, लेकिन कर्मचारी मेहमानों के साथ पासवर्ड साझा करते रहते हैं। IT Director को एक सुरक्षित, स्वचालित समाधान कैसे लागू करना चाहिए?
IT Director को Staff WiFi को 802.1X EAP-TLS प्रमाणीकरण का उपयोग करके WPA2-Enterprise पर माइग्रेट करना चाहिए। उन्हें iOS उपकरणों पर SCEP पेलोड भेजने के लिए अपने MDM (जैसे, Jamf) को कॉन्फ़िगर करना होगा। परिनियोजन अनुक्रम इस प्रकार है: 1) Root CA प्रमाणपत्र पुश करें ताकि डिवाइस नेटवर्क पर भरोसा करें। 2) SCEP प्रोफाइल पुश करें, जो उपकरणों को SCEP गेटवे के माध्यम से CA से क्लाइंट प्रमाणपत्र का अनुरोध करने का निर्देश देता है। 3) WPA2-Enterprise और EAP-TLS के लिए कॉन्फ़िगर किए गए WiFi प्रोफाइल को पुश करें, और इसे SCEP प्रमाणपत्र से लिंक करें। नेटवर्क एक्सेस पॉइंट्स (जैसे, HPE Aruba) को एक केंद्रीय RADIUS सर्वर के खिलाफ क्लाइंट्स को प्रमाणित करने के लिए कॉन्फ़िगर किया गया है। जब कर्मचारी आते हैं, तो उनके डिवाइस बिना किसी पासवर्ड के प्रमाणपत्र का उपयोग करके स्वचालित रूप से प्रमाणित हो जाते हैं।
एक रिटेल चेन 50 स्थानों पर नए पॉइंट-ऑफ-सेल (POS) टैबलेट पेश कर रही है। PCI DSS आवश्यकताओं का अनुपालन करने के लिए, टैबलेट को एक सुरक्षित वायरलेस नेटवर्क से कनेक्ट होना चाहिए। नेटवर्क आर्किटेक्ट परिनियोजन के लिए Microsoft Intune का उपयोग करने की योजना बना रहा है। कौन से आर्किटेक्चरल विकल्प अनुपालन और सुरक्षा सुनिश्चित करते हैं?
मजबूत क्रिप्टोग्राफी और प्रमाणीकरण के लिए PCI DSS आवश्यकताओं को पूरा करने के लिए, आर्किटेक्ट को 802.1X EAP-TLS तैनात करना होगा। Microsoft Intune का उपयोग करते हुए, उन्हें प्रमाणपत्र परिनियोजन के लिए PKCS के बजाय SCEP का चयन करना चाहिए। यह सुनिश्चित करता है कि निजी कुंजी (private key) POS टैबलेट के TPM पर उत्पन्न होती है और कभी भी नेटवर्क पर प्रसारित नहीं होती है। उन्हें Azure AD Application Proxy के माध्यम से सुरक्षित रूप से प्रकाशित एक NDES सर्वर स्थापित करना होगा। अंत में, उन्हें सख्त CRL जाँच को लागू करने के लिए RADIUS सर्वर को कॉन्फ़िगर करना होगा, जिससे यह सुनिश्चित हो सके कि यदि कोई POS टैबलेट से समझौता किया जाता है, तो उसका प्रमाणपत्र रद्द किया जा सकता है और नेटवर्क एक्सेस को तुरंत अवरुद्ध किया जा सकता है।
अभ्यास प्रश्न
Q1. आप Microsoft Intune का उपयोग करके एक कॉर्पोरेट कैंपस के लिए एक नया 802.1X WiFi नेटवर्क डिप्लॉय कर रहे हैं। आपने Trusted Root प्रोफाइल, SCEP प्रोफाइल और WiFi प्रोफाइल को कॉन्फ़िगर किया है। हालांकि, टेस्टिंग के दौरान, डिवाइस को सर्टिफिकेट तो मिल जाते हैं लेकिन Intune कंसोल में WiFi प्रोफाइल 'Error' के रूप में दिखाई देता है। इसका सबसे संभावित कारण क्या है?
संकेत: विचार करें कि MDM प्रोफाइल के बीच डिपेंडेंसी को कैसे हल करता है।
मॉडल उत्तर देखें
सबसे संभावित कारण ग्रुप टारगेटिंग में मिसमैच होना है। Intune के लिए आवश्यक है कि डिपेंडेंट प्रोफाइल ठीक उसी Azure AD ग्रुप को असाइन किए जाएं। यदि SCEP प्रोफाइल किसी User ग्रुप को असाइन किया गया है और WiFi प्रोफाइल किसी Device ग्रुप को असाइन किया गया है, तो Intune डिपेंडेंसी को हल नहीं कर सकता है, जिससे एरर आती है।
Q2. एक रिटेल आर्गेनाइजेशन अपने स्टोर मैनेजर टैबलेट के लिए सर्टिफिकेट डिप्लॉयमेंट को ऑटोमेट करना चाहता है। वे SCEP या PKCS का उपयोग करने के बीच विचार कर रहे हैं। सुरक्षा उनकी प्राथमिक चिंता है, विशेष रूप से प्राइवेट कीज़ (private keys) की सुरक्षा करना। उन्हें कौन सा प्रोटोकॉल चुनना चाहिए और क्यों?
संकेत: सोचें कि प्रत्येक प्रोटोकॉल में प्राइवेट की (private key) कहाँ जनरेट होती है।
मॉडल उत्तर देखें
उन्हें SCEP चुनना चाहिए। SCEP वर्कफ़्लो में, प्राइवेट की (private key) स्थानीय रूप से टैबलेट पर जनरेट होती है और इसके सुरक्षित एन्क्लेव में स्टोर की जाती है; यह कभी भी डिवाइस से बाहर नहीं जाती है। PKCS के साथ, सर्टिफिकेट अथॉरिटी प्राइवेट की जनरेट करती है और इसे नेटवर्क पर डिवाइस तक ट्रांसफर करती है, जिससे संभावित सुरक्षा जोखिम पैदा हो सकता है।
Q3. एक कर्मचारी कंपनी छोड़ देता है, और उसका Active Directory अकाउंट डिसेबल कर दिया जाता है। हालांकि, IT टीम देखती है कि कर्मचारी का डिवाइस अभी भी कॉर्पोरेट WiFi नेटवर्क से जुड़ा हुआ है। नेटवर्क EAP-TLS ऑथेंटिकेशन का उपयोग करता है। RADIUS सर्वर पर कौन सा कॉन्फ़िगरेशन गायब है?
संकेत: किसी अकाउंट को डिसेबल करने से पहले से जारी किया गया सर्टिफिकेट अपने आप अमान्य नहीं हो जाता है।
मॉडल उत्तर देखें
RADIUS सर्वर पर सख्त Certificate Revocation List (CRL) चेकिंग गायब है। भले ही डायरेक्टरी अकाउंट डिसेबल हो, क्लाइंट सर्टिफिकेट क्रिप्टोग्राफिक रूप से तब तक वैध रहता है जब तक कि वह एक्सपायर न हो जाए या उसे स्पष्ट रूप से रिवोक न कर दिया जाए। RADIUS सर्वर को CRL की जांच करने के लिए कॉन्फ़िगर किया जाना चाहिए ताकि यह सुनिश्चित हो सके कि रिवोक किए गए सर्टिफिकेट्स को नेटवर्क एक्सेस से वंचित किया जाए।
इस श्रृंखला में आगे पढ़ें
स्टाफ और गेस्ट WiFi नेटवर्क को सुरक्षित रूप से कैसे अलग करें
यह आधिकारिक तकनीकी मार्गदर्शिका IT लीडर्स को VLANs और 802.1X का उपयोग करके स्टाफ, गेस्ट और IoT WiFi नेटवर्क को सुरक्षित रूप से अलग करने के लिए व्यावहारिक रणनीतियाँ प्रदान करती है। यह विवरण देती है कि एंटरप्राइज़ बुनियादी ढांचे को कैसे सुरक्षित किया जाए, PCI DSS अनुपालन कैसे बनाए रखा जाए, और फर्स्ट-पार्टी डेटा कैप्चर करने के लिए कैप्टिव पोर्टल्स का लाभ कैसे उठाया जाए.
सर्वश्रेष्ठ DNS फ़िल्टरिंग: व्यवसायों के लिए एक व्यापक गाइड
यह तकनीकी संदर्भ गाइड बताती है कि कैसे उद्यम DNS फ़िल्टरिंग रिज़ॉल्यूशन परत पर दुर्भावनापूर्ण डोमेन को ब्लॉक करके सार्वजनिक नेटवर्क को सुरक्षित करती है - इससे पहले कि कोई कनेक्शन स्थापित हो। यह IT निदेशकों, नेटवर्क आर्किटेक्ट्स और वेन्यू ऑपरेशंस टीमों को परिनियोजन आर्किटेक्चर, फ़ायरवॉल कॉन्फ़िगरेशन और अनुपालन संदर्भ प्रदान करता है जिसकी उन्हें हॉस्पिटैलिटी, रिटेल और सार्वजनिक क्षेत्र के वातावरण में Guest WiFi की सुरक्षा के लिए आवश्यकता होती है। Purple Shield 80,000 से अधिक लाइव वेन्यू में DNS स्तर पर मैलवेयर, बॉटनेट और अनुपयुक्त सामग्री को ब्लॉक करता है।
Cisco SUDI को समझना: सुरक्षित नेटवर्क एक्सेस कंट्रोल में हार्डवेयर-एंकर वाली पहचान
यह गाइड बताती है कि Cisco SUDI एंटरप्राइज़ नेटवर्क इंफ्रास्ट्रक्चर के लिए हार्डवेयर-एंकर वाली, क्रिप्टोग्राफ़िक रूप से सुरक्षित पहचान कैसे प्रदान करता है। सीखें कि अपने स्थान के नेटवर्क एक्सेस कंट्रोल को सुरक्षित करने के लिए स्पूफ़ किए जा सकने वाले MAC पते को अपरिवर्तनीय 802.1AR प्रमाणपत्रों से कैसे बदलें।