मुख्य सामग्री पर जाएं
हिन्दी

Cisco SUDI को समझना: सुरक्षित नेटवर्क एक्सेस कंट्रोल में हार्डवेयर-एंकर वाली पहचान

यह गाइड बताती है कि Cisco SUDI एंटरप्राइज़ नेटवर्क इंफ्रास्ट्रक्चर के लिए हार्डवेयर-एंकर वाली, क्रिप्टोग्राफ़िक रूप से सुरक्षित पहचान कैसे प्रदान करता है। सीखें कि अपने स्थान के नेटवर्क एक्सेस कंट्रोल को सुरक्षित करने के लिए स्पूफ़ किए जा सकने वाले MAC पते को अपरिवर्तनीय 802.1AR प्रमाणपत्रों से कैसे बदलें।

📖 4 मिनट का पाठ📝 815 शब्द🔧 2 हल किए गए उदाहरण3 अभ्यास प्रश्न📚 8 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें
एक आत्मविश्वासी, आधिकारिक और संवादात्मक टोन में ब्रिटिश अंग्रेजी में बोलें - जैसे कोई सीनियर नेटवर्क सुरक्षा सलाहकार वर्किंग लंच के दौरान किसी क्लाइंट को जानकारी दे रहा हो। नपी-तुली गति, स्पष्ट अभिव्यक्ति और बीच-बीच में थोड़ा हास्य। कोई उपदेश नहीं। कोई सेल्स पिच नहीं। एक पीयर-टू-पीयर तकनीकी ब्रीफिंग: Purple तकनीकी ब्रीफिंग श्रृंखला में आपका स्वागत है। मैं आपका होस्ट हूँ, और आज हम एक ऐसे विषय पर चर्चा कर रहे हैं जो अक्सर एंटरप्राइज नेटवर्क डिप्लॉयमेंट में सामने आता है - Cisco SUDI। यानी Secure Unique Device Identifier। यदि आप इस बारे में सीधे उत्तर की तलाश कर रहे हैं कि यह वास्तव में क्या करता है, यह 802.1X ऑथेंटिकेशन में कैसे फिट बैठता है, और क्या यह आपके वेन्यू या कैंपस नेटवर्क के लिए मायने रखता है, [short pause] तो आप सही जगह पर हैं। आइए मूल समस्या से शुरुआत करें। अधिकांश एंटरप्राइज नेटवर्क अभी भी डिवाइसों की पहचान करने के लिए MAC एड्रेस पर निर्भर करते हैं। MAC Authentication Bypass - या MAB - हर जगह है। समस्या यह है कि MAC एड्रेस को आसानी से स्पूफ (spoof) किया जा सकता है। एक लैपटॉप और पंद्रह मिनट के समय के साथ एक दुर्भावनापूर्ण व्यक्ति किसी विश्वसनीय एक्सेस पॉइंट के MAC एड्रेस का क्लोन बना सकता है और सीधे आपके नेटवर्क में प्रवेश कर सकता है। यह कोई सैद्धांतिक जोखिम नहीं है। यह एक प्रलेखित हमला करने का जरिया है, और यह कुछ ऐसा है जिसे PCI-DSS 4.0 विशेष रूप से कार्डहोल्डर डेटा एनवायरनमेंट के लिए अपर्याप्त बताता है। तो सवाल यह उठता है: आप कैसे साबित करते हैं कि कोई डिवाइस वही है जो वह होने का दावा करता है? केवल यह नहीं कि "इसके पास सही MAC एड्रेस है" - बल्कि वास्तविक रूप से, क्रिप्टोग्राफ़िक रूप से इसे साबित करना। यहीं पर SUDI काम आता है। [short pause] Cisco का Secure Unique Device Identifier एक X.509 वर्शन 3 सर्टिफिकेट है, जिसे मैन्युफैक्चरिंग के दौरान डिवाइस के Trust Anchor मॉड्यूल - TAm चिप - में बर्न किया जाता है। सर्टिफिकेट में प्रोडक्ट आइडेंटिफायर और सीरियल नंबर शामिल होता है, और यह Cisco की पब्लिक रूट सर्टिफिकेट अथॉरिटी से जुड़ा होता है। प्राइवेट की (private key) TAm चिप के अंदर जनरेट होती है और कभी भी एक्सपोर्ट नहीं की जाती है। कभी भी नहीं। आप इसका क्लोन नहीं बना सकते। आप इसे स्पूफ नहीं कर सकते। पहचान शारीरिक रूप से सिलिकॉन से बंधी होती है। यह SUDI को IEEE 802.1AR का एक इम्प्लीमेंटेशन बनाता है - जो Secure Device Identifiers का मानक है। 802.1AR शब्दावली में, SUDI एक IDevID - एक Initial Device Identifier है। यह फ़ैक्टरी-इंस्टॉल की गई पहचान है जो साबित करती है कि डिवाइस एक वास्तविक Cisco प्रोडक्ट है, जिसे एक ज्ञात सुविधा में, एक ज्ञात सीरियल नंबर के साथ बनाया गया है। अब, व्यवहार में इसका क्या महत्व है? आइए ऑथेंटिकेशन फ्लो को समझते हैं। जब कोई Cisco डिवाइस - मान लीजिए, एक Catalyst स्विच या एक Meraki एक्सेस पॉइंट - आपके नेटवर्क से जुड़ता है, तो यह एक 802.1X सप्लीकेंट के रूप में कार्य कर सकता है। यह अपना SUDI सर्टिफिकेट नेटवर्क के ऑथेंटिकेटर को प्रस्तुत करता है, जो आमतौर पर एक स्विच पोर्ट या वायरलेस कंट्रोलर होता है। ऑथेंटिकेटर उस क्रेडेंशियल को RADIUS सर्वर पर फॉरवर्ड करता है - Cisco ISE इसके लिए सबसे आम विकल्प है, लेकिन कोई भी RFC 2865-कंप्लायंट RADIUS सर्वर काम कर सकता है। RADIUS सर्वर Cisco के रूट CA तक सर्टिफिकेट चेन को वैलिडेट करता है। यदि चेन मान्य है, तो डिवाइस वास्तविक है। एक्सेस प्रदान किया जाता है, और उपयुक्त VLAN असाइन किया जाता है।पूरा एक्सचेंज EAP-TLS - Extensible Authentication Protocol with Transport Layer Security - का उपयोग करता है जो कि आपसी प्रमाणीकरण (mutual authentication) का प्रकार है। डिवाइस और नेटवर्क दोनों एक-दूसरे को प्रमाणित करते हैं। कोई पासवर्ड नहीं। कोई साझा रहस्य नहीं। कोई MAC एड्रेस नहीं। केवल क्रिप्टोग्राफ़िक प्रमाण। [short pause] आइए Zero Touch Provisioning के बारे में बात करते हैं, क्योंकि यहीं पर SUDI बड़े स्तर के परिनियोजन (deployments) के लिए वास्तव में उपयोगी हो जाता है। कल्पना करें कि आप एक होटल श्रृंखला में 200 एक्सेस पॉइंट तैनात कर रहे हैं, या 40 रिटेल स्थानों पर नेटवर्क इंफ्रास्ट्रक्चर स्थापित कर रहे हैं। पारंपरिक रूप से, इसका मतलब है कि प्रत्येक साइट पर एक तकनीशियन का होना, जो मैन्युअल रूप से प्रत्येक डिवाइस को कॉन्फ़िगर करता है। SUDI-आधारित ZTP के साथ, डिवाइस बूट होता है, एक प्रोविज़निंग सर्वर को अपनी SUDI पहचान प्रस्तुत करता है, सर्वर प्रमाणपत्र को मान्य करता है, आपकी इन्वेंट्री के साथ सीरियल नंबर की पुष्टि करता है, और सही कॉन्फ़िगरेशन को पुश करता है - जो कि एन्क्रिप्टेड होता है, ताकि केवल वही विशिष्ट डिवाइस इसे डिक्रिप्ट कर सके। तकनीशियन का काम केवल भौतिक स्थापना तक सीमित हो जाता है। नेटवर्क बाकी काम संभाल लेता है। हॉस्पिटैलिटी और रिटेल ऑपरेटरों के लिए, यह एक महत्वपूर्ण परिचालन बचत है। उदाहरण के लिए, Premier Inn सैकड़ों संपत्तियों का संचालन करता है। किसी साइट पर प्री-रैक्ड हार्डवेयर भेजने और एक ज्ञात पहचान के साथ इसे स्वयं-कॉन्फ़िगर करने की क्षमता, दो-दिवसीय कमीशनिंग विजिट और दो-घंटे की विजिट के बीच का अंतर है। [short pause] अब आइए प्रमाणपत्र जीवनचक्र (certificate lifecycle) में आते हैं, क्योंकि यहीं पर टीमें कभी-कभी फंस जाती हैं। मूल SUDI प्रमाणपत्र निर्माण की तारीख से दस साल की वैधता अवधि के साथ जारी किए गए थे, जिसकी अंतिम सीमा 14 मई 2029 थी। Cisco ने प्रभावित उत्पादों को कवर करने वाले फील्ड नोटिस - FN 72094 और FN 72105 - जारी किए। मई 2019 के बाद निर्मित उपकरणों में दस वर्ष से कम की अवधि होती है। जब SUDI समाप्त हो जाता है, तो TLS के लिए इस पर निर्भर रहने वाली विशेषताएं - HTTPS प्रबंधन इंटरफ़ेस, SSH प्रमाणपत्र प्रमाणीकरण, ZTP - काम करना बंद कर सकती हैं। डिवाइस स्वयं काम करना जारी रखता है; यह ख़राब नहीं होगा। लेकिन वे विशिष्ट प्रमाणित सेवाएं बाधित हो जाती हैं। Cisco की प्रतिक्रिया नए हार्डवेयर पर SUDI-2099 प्रमाणपत्र पेश करने की थी, जो दिसंबर 2099 तक मान्य हैं। यदि आप आज Cisco इंफ्रास्ट्रक्चर की खरीद कर रहे हैं, तो आपको SUDI-2099 मिल रहा है। यदि आपके पास फील्ड में पुराने उपकरण हैं, तो IOS या IOS-XE पर "show crypto pki certificates" के साथ अपनी समाप्ति तिथियों की जांच करें। उसी के अनुसार अपने रिफ्रेश चक्र की योजना बनाएं। [short pause] ठीक है, कार्यान्वयन की सिफारिशें। तीन चीजें जो मैं SUDI-आधारित प्रमाणीकरण को तैनात करने वाले किसी भी आईटी मैनेजर को बताऊंगा। पहला: अपनी RADIUS नीति को केवल प्रमाणपत्र श्रृंखला के इर्द-गिर्द नहीं, बल्कि प्रमाणपत्र विशेषताओं के इर्द-गिर्द बनाएं। अपने डिवाइस इन्वेंट्री के खिलाफ Subject CN को मान्य करें। एक वैध Cisco प्रमाणपत्र यह साबित करता है कि डिवाइस असली Cisco हार्डवेयर है - यह साबित नहीं करता कि यह वही विशिष्ट डिवाइस है जिसे आपने उस स्थान के लिए ऑर्डर किया था। अपनी RADIUS प्राधिकरण नीति में सीरियल नंबर को क्रॉस-रेफरेंस करें। दूसरा: माइग्रेशन के दौरान, अपने मौजूदा MAB पॉलिसी के बदले नहीं, बल्कि उसके साथ-साथ SUDI चलाएं। कौन से डिवाइस 802.1AR का समर्थन करते हैं, यह पहचानने के लिए Cisco ISE के प्रोफाइलिंग का उपयोग करें और उन्हें धीरे-धीरे सर्टिफिकेट-आधारित ऑथेंटिकेशन पर ले जाएं। पुराने IoT डिवाइस - कैमरे, HVAC कंट्रोलर, कार्ड रीडर - अक्सर 802.1X का बिल्कुल भी समर्थन नहीं कर सकते। उनके लिए MAB ही फॉलबैक रहता है। लक्ष्य सबसे पहले इंफ्रास्ट्रक्चर डिवाइसों के लिए MAB को समाप्त करना है, जहां जोखिम सबसे अधिक है। तीसरा: अपने CMDB में अपने सर्टिफिकेट की समाप्ति तिथियों को दर्ज करें। यह बात स्पष्ट लग सकती है, लेकिन यही वह चीज है जो टीमों को मुश्किल में डालती है। एक स्विच जो HTTPS मैनेजमेंट कनेक्शन स्वीकार करना बंद कर देता है क्योंकि उसका SUDI समाप्त हो गया है, रात के दो बजे उसका निदान करना कोई आसान काम नहीं है। [छोटा ठहराव] क्विक-फायर प्रश्न। मैं आपको इसके संक्षिप्त उत्तर दूंगा। क्या SUDI, 802.1X को रिप्लेस करता है? नहीं। SUDI क्रेडेंशियल है। 802.1X ऑथेंटिकेशन फ्रेमवर्क है। SUDI वह है जिसे आप 802.1X एक्सचेंज के दौरान प्रस्तुत करते हैं। क्या मैं गैर-Cisco RADIUS सर्वर के साथ SUDI का उपयोग कर सकता हूँ? हाँ। कोई भी RADIUS सर्वर जो EAP-TLS का समर्थन करता है और X.509 सर्टिफिकेट चेन को वैलिडेट कर सकता है, वह SUDI के साथ काम कर सकता है। आपको Cisco के रूट CA सर्टिफिकेट को अपने RADIUS सर्वर के ट्रस्टेड स्टोर में इम्पोर्ट करना होगा। क्या Cisco Meraki SUDI का समर्थन करता है? हाँ, इंफ्रास्ट्रक्चर ऑथेंटिकेशन के लिए। Meraki एक्सेस पॉइंट क्लाउड कंट्रोलर ऑथेंटिकेशन के लिए निर्माता द्वारा इंस्टॉल किए गए सर्टिफिकेट के अपने स्वयं के संस्करण का उपयोग करते हैं। Meraki डैशबोर्ड को 2026 की समयसीमा से पहले SUDI की समाप्ति को संभालने के लिए अपडेट किया गया था। Purple WiFi के बारे में क्या? Purple आपके मौजूदा इंफ्रास्ट्रक्चर - Cisco Meraki, HPE Aruba, Ruckus और अन्य - के ऊपर एक क्लाउड ओवरले के रूप में काम करता है। Purple की Identity-Based Networks परत हार्डवेयर ऑथेंटिकेशन प्लेन के ऊपर बैठती है। SUDI स्वयं इंफ्रास्ट्रक्चर डिवाइसों को सुरक्षित करता है। Purple शीर्ष पर विजिटर और स्टाफ आइडेंटिटी लेयर को सुरक्षित करता है। दोनों एक-दूसरे के पूरक हैं, प्रतिस्पर्धी नहीं। [छोटा ठहराव] समापन के लिए। Cisco SUDI आपको हार्डवेयर-एंकर वाली, क्रिप्टोग्राफिक रूप से वेरिफिएबल डिवाइस आइडेंटिटी देता है। यह इंफ्रास्ट्रक्चर डिवाइसों के लिए हमले के रूप में MAC स्पूफिंग को समाप्त करता है। यह बड़े पैमाने पर Zero Touch Provisioning को सक्षम बनाता है। यह IEEE 802.1AR, PCI DSS 4.0, और ISO 27001 नियंत्रण आवश्यकताओं के अनुरूप है। और यह किसी भी 802.1X और EAP-TLS सक्षम RADIUS इंफ्रास्ट्रक्चर के साथ आसानी से एकीकृत हो जाता है। व्यावहारिक अगले कदम: SUDI सर्टिफिकेट की समाप्ति तिथियों के लिए अपने Cisco डिवाइस इन्वेंट्री का ऑडिट करें, पहचानें कि कौन से डिवाइस MAB चला रहे हैं जिन्हें सर्टिफिकेट-आधारित ऑथेंटिकेशन पर माइग्रेट किया जा सकता है, और चेन-ऑफ-ट्रस्ट चेक के साथ-साथ सीरियल नंबर वैलिडेशन जोड़ने के लिए अपनी RADIUS पॉलिसी की समीक्षा करें। यदि आप अपने वेन्यू पर Purple चला रहे हैं, तो हमारी टीम आपको यह समझा सकती है कि Identity-Based Networks आपके मौजूदा Cisco इंफ्रास्ट्रक्चर से कैसे मैप होता है। लिंक शो नोट्स में है। सुनने के लिए धन्यवाद। अगली बार तक।

header_image.png

कार्यकारी सारांश (Executive Summary)

अधिकांश एंटरप्राइज नेटवर्क अभी भी इंफ्रास्ट्रक्चर उपकरणों की पहचान करने के लिए MAC Authentication Bypass (MAB) पर भरोसा करते हैं। समस्या यह है कि MAC एड्रेस को आसानी से स्पूफ (spoof) किया जा सकता है। एक लैपटॉप और पंद्रह मिनट के समय के साथ कोई भी दुर्भावनापूर्ण व्यक्ति एक विश्वसनीय एक्सेस पॉइंट के MAC एड्रेस को क्लोन कर सकता है और सीधे आपके नेटवर्क में प्रवेश कर सकता है। यह एक प्रमाणित अटैक वेक्टर है, और PCI-DSS 4.0 विशेष रूप से इसे कार्डधारक डेटा वातावरण के लिए अपर्याप्त मानता है।

Cisco का Secure Unique Device Identifier (SUDI) इसे हल करता है। यह एक X.509v3 सर्टिफिकेट है जिसे निर्माण के दौरान डिवाइस के Trust Anchor module (TAm) में बर्न किया जाता है। इसे क्लोन या एक्सपोर्ट नहीं किया जा सकता है। MAB से SUDI-आधारित EAP-TLS प्रमाणीकरण पर माइग्रेट करके, आप एक शेयर्ड सीक्रेट को पहचान के क्रिप्टोग्राफिक प्रमाण से बदलते हैं। यह गाइड Cisco SUDI के तकनीकी आर्किटेक्चर का विवरण देती है, और समझाती है कि कैसे हार्डवेयर-एंकर वाली पहचान नेटवर्क एक्सेस कंट्रोल को सुरक्षित करती है और बड़े पैमाने पर ज़ीरो टच प्रोविज़निंग को सक्षम बनाती है।

तकनीकी गहराई (Technical Deep-Dive)

SUDI वास्तव में IEEE 802.1AR का एक इम्प्लीमेंटेशन है, जो सिक्योर डिवाइस आइडेंटिफायर्स के लिए मानक है। 802.1AR शब्दावली में, SUDI एक IDevID (इनिशियल डिवाइस आइडेंटिफायर) के रूप में कार्य करता है। यह फैक्ट्री-इंस्टॉल की गई पहचान है जो साबित करती है कि डिवाइस एक वास्तविक Cisco उत्पाद है, जो एक ज्ञात सुविधा में, एक ज्ञात सीरियल नंबर के साथ निर्मित है।

ऑथेंटिकेशन फ्लो (The Authentication Flow)

जब कोई Cisco डिवाइस आपके नेटवर्क से जुड़ता है, तो यह 802.1X सप्लीकेंट के रूप में कार्य करता है। यह नेटवर्क के ऑथेंटिकेटर (आमतौर पर एक स्विच पोर्ट) के सामने अपना SUDI सर्टिफिकेट प्रस्तुत करता है। ऑथेंटिकेटर उस क्रेडेंशियल को EAP-TLS के माध्यम से Cisco ISE जैसे RADIUS सर्वर पर भेजता है।

architecture_overview.png

RADIUS सर्वर सर्टिफिकेट चेन को Cisco के पब्लिक रूट सर्टिफिकेट अथॉरिटी तक सत्यापित करता है। यदि चेन मान्य है, तो डिवाइस वास्तविक है। एक्सेस प्रदान किया जाता है, और उपयुक्त VLAN असाइन किया जाता है। यह आपसी प्रमाणीकरण (mutual authentication) यह सुनिश्चित करता है कि ट्रैफ़िक पास करने से पहले डिवाइस और नेटवर्क दोनों एक-दूसरे की पहचान सत्यापित करें।

सर्टिफिकेट की समाप्ति और SUDI-2099

मूल SUDI सर्टिफिकेट निर्माण की तारीख से 10 साल की वैधता अवधि के साथ जारी किए गए थे, जिसकी अधिकतम सीमा 14 मई 2029 थी। मई 2019 के बाद निर्मित उपकरणों की अवधि कम है। जब SUDI समाप्त हो जाता है, तो जो सुविधाएं TLS के लिए इस पर निर्भर करती हैं - जैसे HTTPS मैनेजमेंट इंटरफेस, SSH सर्टिफिकेट ऑथेंटिकेशन, और ज़ीरो टच प्रोविज़निंग - काम करना बंद कर सकती हैं।

Cisco ने नए हार्डवेयर पर SUDI-2099 सर्टिफिकेट पेश करके इस समस्या का समाधान किया है, जो दिसंबर 2099 तक मान्य हैं। आपको समाप्त होने वाले सर्टिफिकेट वाले उपकरणों की पहचान करने के लिए अपनी मौजूदा इन्वेंट्री का ऑडिट करना चाहिए और उसी के अनुसार अपने रिफ्रेश साइकिल की योजना बनानी चाहिए।## कार्यान्वयन मार्गदर्शिका (Implementation Guide)

SUDI पर माइग्रेट करने के लिए सावधानीपूर्वक योजना बनाने की आवश्यकता होती है ताकि वैध इन्फ्रास्ट्रक्चर को लॉक आउट होने से बचाया जा सके।

1. अपनी इन्वेंट्री का ऑडिट करें

show crypto pki certificates कमांड का उपयोग करके IOS या IOS-XE डिवाइस पर मौजूदा SUDI सर्टिफिकेट की समाप्ति तिथियों की जांच करें। इन तिथियों को अपने CMDB में दर्ज करें।

2. अपना RADIUS सर्वर कॉन्फ़िगर करें

Cisco Root CA को अपने RADIUS सर्वर के विश्वसनीय सर्टिफिकेट स्टोर में इम्पोर्ट करें। RADIUS सर्वर द्वारा SUDI सर्टिफिकेट चेन को मान्य करने के लिए यह आवश्यक है।

3. सीरियल नंबर सत्यापन बनाएं

एक मान्य Cisco सर्टिफिकेट यह साबित करता है कि डिवाइस असली Cisco हार्डवेयर है, लेकिन यह यह साबित नहीं करता कि यह वही विशिष्ट डिवाइस है जिसे आपने उस स्थान के लिए ऑर्डर किया था। आपको अपने RADIUS ऑथराइजेशन पॉलिसी को स्वीकृत डिवाइस इन्वेंट्री के साथ सब्जेक्ट CN (जिसमें सीरियल नंबर शामिल है) को क्रॉस-रेफरेंस करने के लिए कॉन्फ़िगर करना होगा।

4. समानांतर पॉलिसियां चलाएं

माइग्रेशन के दौरान अपनी मौजूदा MAB पॉलिसी के साथ-साथ SUDI चलाएं। यह पहचानने के लिए कि कौन से डिवाइस 802.1AR का समर्थन करते हैं, Cisco ISE प्रोफाइलिंग का उपयोग करें और उन्हें धीरे-धीरे सर्टिफिकेट-आधारित ऑथेंटिकेशन पर ले जाएं। लीगेसी IoT डिवाइस अक्सर 802.1X निष्पादित नहीं कर सकते हैं, इसलिए उन विशिष्ट एंडपॉइंट्स के लिए MAB ही फॉलबैक विकल्प बना रहता है।

सर्वोत्तम प्रथाएं (Best Practices)

Guest WiFi समाधानों के साथ Cisco इन्फ्रास्ट्रक्चर को तैनात करते समय, अपने ट्रैफ़िक को स्पष्ट रूप से विभाजित करें। जैसा कि Three SSIDs to rule them all: guest, Passpoint, and IoT WiFi में चर्चा की गई है, इन्फ्रास्ट्रक्चर डिवाइस एक समर्पित प्रबंधन VLAN पर होने चाहिए, जो आगंतुकों के ट्रैफ़िक से पूरी तरह से अलग हो।

comparison_chart.png

इन्फ्रास्ट्रक्चर हार्डवेयर (Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks, Fortinet) को ऑथेंटिकेट करने के लिए SUDI का उपयोग करें। फिर, विज़िटर आइडेंटिटी लेयर को संभालने के लिए Purple के क्लाउड ओवरले का उपयोग करें। Purple वेन्यू उपयोगकर्ताओं के लिए सुरक्षित, प्रोफाइल-आधारित ऑथेंटिकेशन प्रदान करने के लिए Microsoft Entra ID, Okta और Google Workspace के साथ एकीकृत होता है, जबकि SUDI बुनियादी हार्डवेयर को सुरक्षित करता है।

समस्या निवारण और जोखिम शमन

सबसे आम विफलता मोड एक समाप्त हो चुका SUDI सर्टिफिकेट है जिसके कारण प्रबंधन लॉकआउट हो जाता है। समाप्ति तिथियों को कड़ाई से प्रलेखित करें।

यदि कोई डिवाइस ऑथेंटिकेशन में विफल रहता है, तो सत्यापित करें कि RADIUS सर्वर में सही Cisco Root CA इंस्टॉल है और डिवाइस की घड़ी NTP के माध्यम से सिंक की गई है। यदि ऑथेंटिकेटर का समय गलत है तो सर्टिफिकेट सत्यापन विफल हो जाएगा।

ROI और व्यावसायिक प्रभाव

SUDI बड़े पैमाने पर Zero Touch Provisioning (ZTP) को सक्षम बनाता है। हॉस्पिटैलिटी और रिटेल ऑपरेटरों के लिए, यह एक महत्वपूर्ण परिचालन बचत है। 40 रिटेल स्थानों पर एक्सेस पॉइंट्स तैनात करते समय, ZTP आपको प्री-रैक्ड हार्डवेयर को सीधे साइट पर शिप करने की अनुमति देता है। डिवाइस बूट होता है, प्रोविज़निंग सर्वर के सामने अपनी SUDI पहचान प्रस्तुत करता है, और अपने एन्क्रिप्टेड कॉन्फ़िगरेशन को स्वचालित रूप से खींचता है। यह दो दिन की कमीशनिंग विज़िट को दो घंटे के भौतिक इंस्टॉलेशन में बदल देता है।

कार्यान्वयन रणनीतियों और SUDI को PCI DSS 4.0 आवश्यकताओं के साथ कैसे संरेखित किया जाए, इस पर गहन चर्चा के लिए ऊपर दिया गया हमारा 10-मिनट का तकनीकी ब्रीफिंग पॉडकास्ट सुनें।

मुख्य परिभाषाएं

SUDI (सिक्योर यूनिक डिवाइस आइडेंटिफायर)

एक X.509v3 प्रमाणपत्र और उससे जुड़ी निजी कुंजी जो निर्माण के दौरान Cisco डिवाइस के हार्डवेयर में अंकित की जाती है, जो एक जालसाजी-मुक्त क्रिप्टोग्राफ़िक पहचान प्रदान करती है।

नेटवर्क इंफ्रास्ट्रक्चर को प्रमाणित करने के लिए आसानी से स्पूफ़ होने वाले MAC पते को बदलने के लिए उपयोग किया जाता है।

IEEE 802.1AR

उद्योग मानक जो यह निर्दिष्ट करता है कि इंटरऑपरेबल, क्रिप्टोग्राफ़िक रूप से बाध्य डिवाइस प्रमाणीकरण प्रदान करने के लिए सिक्योर डिवाइस आइडेंटिफायर (DevIDs) को कैसे लागू किया जाना चाहिए।

SUDI, 802.1AR मानक का Cisco का विशिष्ट कार्यान्वयन है।

IDevID (इनिशियल डिवाइस आइडेंटिफायर)

802.1AR में निर्दिष्ट फ़ैक्टरी-स्थापित प्रमाणपत्र जो किसी डिवाइस के मूल और सीरियल नंबर को प्रमाणित करता है।

SUDI प्रमाणपत्र Cisco हार्डवेयर के लिए IDevID के रूप में कार्य करता है।

EAP-TLS

ट्रांसपोर्ट लेयर सिक्योरिटी के साथ एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल। एक अत्यधिक सुरक्षित प्रमाणीकरण विधि जिसके लिए क्लाइंट और सर्वर दोनों को प्रमाणपत्र प्रस्तुत करना आवश्यक होता है।

वह प्रोटोकॉल जिसका उपयोग तब किया जाता है जब कोई Cisco डिवाइस अपना SUDI प्रमाणपत्र RADIUS सर्वर को प्रस्तुत करता है।

MAB (MAC ऑथेंटिकेशन बाईपास)

एक नेटवर्क एक्सेस कंट्रोल विधि जो किसी डिवाइस के MAC पते को उसके पहचान क्रेडेंशियल के रूप में उपयोग करती है।

ऐतिहासिक रूप से आम लेकिन स्वाभाविक रूप से असुरक्षित, क्योंकि हमलावरों द्वारा MAC पते को आसानी से क्लोन किया जा सकता है।

TAm (ट्रस्ट एंकर मॉड्यूल)

Cisco उपकरणों के भीतर एक मालिकाना, टैम्पर-प्रतिरोधी हार्डवेयर चिप जो SUDI प्रमाणपत्र और उसकी निजी कुंजी को सुरक्षित रूप से संग्रहीत करती है।

यह सुनिश्चित करता है कि निजी कुंजी को कभी भी निर्यात या क्लोन नहीं किया जा सकता है, जो पहचान को भौतिक रूप से सिलिकॉन से बांधता है।

ज़ीरो टच प्रोविज़निंग (ZTP)

एक स्वचालित प्रक्रिया जहां एक डिवाइस नेटवर्क से कनेक्ट होता है, खुद को प्रमाणित करता है, और बिना किसी मैन्युअल हस्तक्षेप के अपना कॉन्फ़िगरेशन डाउनलोड करता है।

SUDI संवेदनशील कॉन्फ़िगरेशन डेटा भेजने से पहले डिवाइस की पहचान साबित करके सुरक्षित ZTP को सक्षम बनाता है।

RADIUS

रिमोट ऑथेंटिकेशन डायल-इन यूजर सर्विस। एक नेटवर्किंग प्रोटोकॉल जो केंद्रीकृत प्रमाणीकरण (Authentication), प्राधिकरण (Authorization), और लेखांकन (Accounting) (AAA) प्रबंधन प्रदान करता है।

सर्वर (जैसे Cisco ISE) जो SUDI प्रमाणपत्र प्राप्त करता है और यह तय करता है कि नेटवर्क एक्सेस देना है या नहीं।

हल किए गए उदाहरण

एक 200 कमरों वाले होटल को अपनी पूरी संपत्ति में 150 नए Cisco Meraki एक्सेस पॉइंट स्थापित करने की आवश्यकता है। IT टीम ऑन-साइट प्रत्येक AP को मैन्युअल रूप से कॉन्फ़िगर करने से बचना चाहती है, साथ ही यह सुनिश्चित करना चाहती है कि केवल अधिकृत हार्डवेयर ही मैनेजमेंट VLAN में शामिल हो सके।

टीम SUDI का उपयोग करके ज़ीरो टच प्रोविज़निंग (ZTP) लागू करती है। वे खरीदे गए 150 AP के सीरियल नंबरों को अपने RADIUS सर्वर (Cisco ISE) में अपलोड करते हैं। AP सीधे होटल में भेजे जाते हैं और एक स्थानीय ठेकेदार द्वारा भौतिक रूप से माउंट किए जाते हैं। बूट होने पर, प्रत्येक AP 802.1X EAP-TLS के माध्यम से अपना SUDI प्रमाणपत्र प्रस्तुत करता है। RADIUS सर्वर Cisco रूट CA चेन को मान्य करता है और पुष्टि करता है कि सीरियल नंबर इन्वेंट्री सूची से मेल खाता है। मैनेजमेंट VLAN तक पहुंच प्रदान की जाती है, और AP स्वचालित रूप से Meraki क्लाउड से अपना कॉन्फ़िगरेशन डाउनलोड करते हैं।

परीक्षक की टिप्पणी: यह दृष्टिकोण एक केंद्रीय IT सुविधा पर हार्डवेयर स्टेजिंग की आवश्यकता को समाप्त करता है। RADIUS प्राधिकरण नीति को SUDI प्रमाणपत्रों में एम्बेड किए गए विशिष्ट सीरियल नंबरों से जोड़कर, टीम अनधिकृत Cisco उपकरणों को नेटवर्क में शामिल होने से रोकती है, जिससे परिचालन दक्षता और सख्त सुरक्षा अनुपालन दोनों प्राप्त होते हैं।

एक बड़ा स्टेडियम अपने नेटवर्क एक्सेस कंट्रोल को MAB से 802.1X पर स्थानांतरित कर रहा है। इस परिवेश में Cisco Catalyst स्विच, आधुनिक IP कैमरे और पुराने HVAC नियंत्रक शामिल हैं।

नेटवर्क आर्किटेक्ट EAP-TLS और MAB दोनों को स्वीकार करने के लिए RADIUS सर्वर को कॉन्फ़िगर करते हैं। वे Cisco स्विच और आधुनिक कैमरों की पहचान करने के लिए एंडपॉइंट प्रोफाइलिंग का उपयोग करते हैं जो 802.1AR का समर्थन करते हैं और उन्हें SUDI/प्रमाणपत्र-आधारित प्रमाणीकरण पर स्थानांतरित करते हैं। पुराने HVAC नियंत्रक, जिनमें 802.1X सप्लीकेंट की कमी है, MAB पर बने रहते हैं लेकिन एक अत्यधिक लॉक-डाउन, इंटरनेट-अस्वीकृत VLAN तक सीमित रहते हैं।

परीक्षक की टिप्पणी: यह चरणबद्ध माइग्रेशन सही रणनीति है। 802.1X पर अचानक स्विच करने का प्रयास अक्सर महत्वपूर्ण IoT सिस्टम को नेटवर्क से बाहर कर देता है। सक्षम इंफ्रास्ट्रक्चर के लिए SUDI लागू करते समय पुराने उपकरणों के लिए फ़ॉलबैक के रूप में MAB को बनाए रखकर, स्टेडियम परिचालन तकनीक को बाधित किए बिना अपनी समग्र सुरक्षा स्थिति में सुधार करता है।

अभ्यास प्रश्न

Q1. आप एक रिटेल वातावरण में 50 नए Cisco Catalyst स्विच तैनात कर रहे हैं। आप प्रमाणीकरण के लिए SUDI का उपयोग करना चाहते हैं। यह सुनिश्चित करने के लिए कि केवल आपके खरीदे गए स्विच ही नेटवर्क पर अनुमत हैं, आपको अपने RADIUS सर्वर में क्या विशिष्ट कॉन्फ़िगरेशन जोड़ना होगा?

संकेत: एक मान्य SUDI प्रमाणपत्र केवल यह साबित करता है कि डिवाइस Cisco द्वारा निर्मित किया गया था, न कि यह कि इसका मालिक कौन है।

मॉडल उत्तर देखें

आपको अपनी विशिष्ट इन्वेंट्री सूची के विरुद्ध Subject CN (जिसमें डिवाइस सीरियल नंबर होता है) को मान्य करने के लिए RADIUS प्राधिकरण नीति को कॉन्फ़िगर करना होगा। इसके बिना, कोई भी वास्तविक Cisco डिवाइस प्रमाणित हो सकता है।

Q2. एक नेटवर्क ऑडिट के दौरान, आप पाते हैं कि 2017 में निर्मित कई Cisco ISR राउटर SSH प्रमाणीकरण और HTTPS प्रबंधन के लिए SUDI प्रमाणपत्रों का उपयोग कर रहे हैं। आपको किस परिचालन जोखिम के लिए योजना बनानी चाहिए?

संकेत: मूल SUDI प्रमाणपत्रों की वैधता अवधि पर विचार करें।

मॉडल उत्तर देखें

मूल SUDI प्रमाणपत्र निर्माण की तारीख से 10 वर्ष में समाप्त हो जाते हैं। इन राउटरों के प्रमाणपत्र 2027 में समाप्त हो जाएंगे। जब वे समाप्त हो जाएंगे, तो TLS-निर्भर सेवाएं जैसे SSH प्रमाणपत्र प्रमाणीकरण और HTTPS प्रबंधन विफल हो जाएंगे, जिससे एडमिनिस्ट्रेटर उन इंटरफेस से बाहर हो जाएंगे। समाप्त होने से पहले डिवाइसों की पहचान की जानी चाहिए और उन्हें बदलने या पुन: कॉन्फ़िगर करने की योजना बनाई जानी चाहिए।

Q3. आप एक अस्पताल नेटवर्क को 802.1X पर माइग्रेट कर रहे हैं। नेटवर्क में आधुनिक Meraki APs और लीगेसी MRI मॉनिटरिंग उपकरण शामिल हैं जो केवल MAC पतों का समर्थन करते हैं। आपको प्रमाणीकरण नीति को कैसे संरचित करना चाहिए?

संकेत: कोई ऐसा हार्ड कटओवर न करें जो सभी डिवाइसों को प्रमाणपत्रों का उपयोग करने के लिए मजबूर करे।

मॉडल उत्तर देखें

MAB के साथ SUDI (EAP-TLS) चलाएं। Cisco ISE में डिवाइसों को प्रोफाइल करें। इन्फ्रास्ट्रक्चर के लिए मजबूत, हार्डवेयर-आधारित पहचान सुनिश्चित करने के लिए Meraki APs के लिए SUDI लागू करें। लीगेसी MRI उपकरणों को MAB पर वापस जाने की अनुमति दें, लेकिन उन MAC पतों को अत्यधिक पृथक, इंटरनेट-अस्वीकृत क्लिनिकल VLAN तक सीमित करें।

इस श्रृंखला में आगे पढ़ें

Staff और Guest WiFi नेटवर्क को सुरक्षित रूप से कैसे अलग करें

यह आधिकारिक तकनीकी गाइड IT लीडर्स को VLAN और 802.1X का उपयोग करके staff, guest और IoT WiFi नेटवर्क को सुरक्षित रूप से अलग करने के लिए व्यावहारिक रणनीतियाँ प्रदान करती है। यह विवरण देती है कि एंटरप्राइज़ इन्फ्रास्ट्रक्चर को कैसे सुरक्षित किया जाए, PCI DSS अनुपालन कैसे बनाए रखा जाए, और फर्स्ट-पार्टी डेटा कैप्चर करने के लिए captive portals का लाभ कैसे उठाया जाए।

गाइड पढ़ें →

सर्वश्रेष्ठ DNS filtering: व्यवसायों के लिए एक व्यापक गाइड

यह तकनीकी संदर्भ गाइड बताती है कि कैसे एंटरप्राइज़ DNS filtering रिज़ॉल्यूशन लेयर पर दुर्भावनापूर्ण डोमेन को ब्लॉक करके सार्वजनिक नेटवर्क को सुरक्षित करता है - इससे पहले कि कोई कनेक्शन स्थापित हो। यह IT डायरेक्टर्स, नेटवर्क आर्किटेक्ट्स और वेन्यू ऑपरेशंस टीमों को वह डिप्लॉयमेंट आर्किटेक्चर, फ़ायरवॉल कॉन्फ़िगरेशन और अनुपालन संदर्भ देता है जो उन्हें हॉस्पिटैलिटी, रिटेल और पब्लिक-सेक्टर के वातावरण में गेस्ट WiFi की सुरक्षा के लिए चाहिए। Purple Shield 80,000+ से अधिक लाइव वेन्यू में DNS स्तर पर मैलवेयर, बॉटनेट्स और अनुचित सामग्री को ब्लॉक करता है।

गाइड पढ़ें →

स्वचालित एंटरप्राइज WiFi सर्टिफिकेट एनरोलमेंट के लिए SCEP को कैसे कॉन्फ़िगर करें

यह गाइड स्वचालित एंटरप्राइज WiFi सर्टिफिकेट एनरोलमेंट के लिए SCEP (Simple Certificate Enrollment Protocol) को कॉन्फ़िगर करने का तरीका बताती है, जिसमें PKI और NDES से लेकर MDM प्रोफाइल डिप्लॉयमेंट और RADIUS सत्यापन तक की पूरी आर्किटेक्चर शामिल है। यह उन IT प्रबंधकों, नेटवर्क आर्किटेक्ट्स और CTOs के लिए है जो होटलों, रिटेल चेन, स्टेडियमों, कॉन्फ्रेंस सेंटरों और सार्वजनिक क्षेत्र के संगठनों में काम करते हैं और जिन्हें प्री-शेयर्ड कीज़ से आगे बढ़कर स्केलेबल, पहचान-आधारित 802.1X EAP-TLS ऑथेंटिकेशन लागू करने की आवश्यकता है। Purple का हार्डवेयर-अज्ञेयवादी, क्लाउड ओवरले प्लेटफॉर्म सीधे इस आर्किटेक्चर के साथ एकीकृत होता है, जो गेस्ट और BYOD WiFi लेयर प्रदान करता है जो आपके सर्टिफिकेट-प्रमाणित स्टाफ नेटवर्क के साथ काम करती है।

गाइड पढ़ें →