SCEP के लिए एंटरप्राइज गाइड: ऑटोमेटेड कैंपस WiFi सिक्योरिटी के लिए सिंपल सर्टिफिकेट एनरोलमेंट प्रोटोकॉल को डिप्लॉय करना

सुप्रभात। यदि आप किसी होटल ग्रुप, रिटेल एस्टेट, स्टेडियम या यूनिवर्सिटी कैंपस में WiFi इंफ्रास्ट्रक्चर का प्रबंधन कर रहे हैं, तो यह ब्रीफिंग आपके लिए है। हम SCEP - सिंपल सर्टिफिकेट एनरोलमेंट प्रोटोकॉल - को कवर करने जा रहे हैं, और विशेष रूप से यह कि यह एंटरप्राइज WiFi में सबसे लगातार होने वाले सिरदर्दों में से एक को कैसे हल करता है: आपके हेल्पडेस्क को टिकटों में डुबोए बिना, हजारों डिवाइसों पर स्वचालित रूप से सर्टिफिकेट प्राप्त करना। [short pause] मुझे स्थिति स्पष्ट करने दीजिए। आपने - सही रूप से - यह निर्णय लिया है कि स्टाफ WiFi के लिए प्री-शेयर्ड कीज़ अब स्वीकार्य नहीं हैं। एक भी समझौता किया गया पासवर्ड आपके पूरे नेटवर्क सेगमेंट को खतरे में डाल देता है। आप 802.1X ऑथेंटिकेशन पर चले गए हैं, या जा रहे हैं। यह वह IEEE स्टैंडर्ड है जिसके लिए प्रत्येक डिवाइस को नेटवर्क एक्सेस मिलने से पहले अपनी पहचान साबित करनी होती है। 802.1X का सबसे सुरक्षित रूप EAP-TLS - एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल विद ट्रांसपोर्ट लेयर सिक्योरिटी - है, जो पासवर्ड के बजाय डिजिटल सर्टिफिकेट का उपयोग करता है। सर्टिफिकेट प्रति डिवाइस क्रिप्टोग्राफिक रूप से यूनीक होते हैं, उन्हें साझा नहीं किया जा सकता है, और यदि कोई डिवाइस खो जाता है या कोई कर्मचारी चला जाता है तो उन्हें तुरंत रिवोक किया जा सकता है। [short pause] यहाँ तक सब ठीक है। समस्या डिस्ट्रीब्यूशन की है। आप किसी तकनीशियन द्वारा प्रत्येक डिवाइस को छुए बिना - Windows, iOS, Android, macOS पर - अपने एस्टेट के हर लैपटॉप, हर फोन, हर टैबलेट पर एक यूनीक सर्टिफिकेट कैसे प्राप्त करते हैं? SCEP ठीक इसी समस्या को हल करता है। [medium pause] SCEP को 2020 में RFC 8894 में इंटरनेट इंजीनियरिंग टास्क फोर्स द्वारा औपचारिक रूप दिया गया था, हालांकि यह 2000 के दशक की शुरुआत से एंटरप्राइज वातावरण में उपयोग में है। यह एक प्रोटोकॉल है जो एक मैनेज्ड डिवाइस को प्री-कॉन्फ़िगर किए गए URL और चैलेंज पासवर्ड का उपयोग करके सीधे आपके सर्टिफिकेट अथॉरिटी से अपने स्वयं के सर्टिफिकेट का अनुरोध करने की अनुमति देता है। यहाँ महत्वपूर्ण सुरक्षा बिंदु यह है: प्राइवेट की डिवाइस पर ही जनरेट होती है, डिवाइस के सिक्योर एनक्लेव में स्टोर होती है - जो कि Windows डिवाइसों पर TPM चिप है, या Apple हार्डवेयर पर Secure Enclave है - और यह कभी भी नेटवर्क पर यात्रा नहीं करती है। डिवाइस एक सर्टिफिकेट साइनिंग रिक्वेस्ट जनरेट करता है, उसे SCEP गेटवे पर भेजता है, गेटवे चैलेंज को वैलिडेट करता है, रिक्वेस्ट को आपके सर्टिफिकेट अथॉरिटी को फॉरवर्ड करता है, CA उस पर साइन करता है, और हस्ताक्षरित सर्टिफिकेट डिवाइस पर वापस आ जाता है। पूरी प्रक्रिया एंड यूजर के लिए अदृश्य होती है। [short pause] अब, Microsoft वातावरण में, SCEP गेटवे आमतौर पर NDES - नेटवर्क डिवाइस एनरोलमेंट सर्विस - होता है, जो एक Windows Server रोल है जो आपके MDM प्लेटफॉर्म और आपके CA के बीच मध्यस्थ के रूप में कार्य करता है। Microsoft Intune मैनेज्ड डिवाइसों पर SCEP प्रोफाइल पुश करता है, जो उन्हें NDES URL और चैलेंज पासवर्ड बताता है। डिवाइस बाकी काम स्वचालित रूप से करते हैं। [medium pause] मैं आपको दिखाता हूँ कि एक वास्तविक डिप्लॉयमेंट कैसा दिखता है। 150 प्रॉपर्टी वाले एक होटल ग्रुप को लें - Premier Inn के पैमाने पर विचार करें। उनके पास फ्रंट-ऑफ-हाउस स्टाफ के लिए Windows लैपटॉप, हाउसकीपिंग सुपरवाइजरों के लिए iOS डिवाइस और रेस्टोरेंट पॉइंट-ऑफ-सेल पर Android टैबलेट का मिश्रण है। SCEP से पहले, वे तिमाही आधार पर रोटेट होने वाले शेयर्ड पासवर्ड के साथ WPA2-Personal चला रहे थे। प्रत्येक रोटेशन ने हेल्पडेस्क कॉल की एक लहर पैदा की। SCEP और Intune के साथ, वे सीक्वेंस में तीन प्रोफाइल डिप्लॉय करते हैं। पहला, ट्रस्टेड रूट सर्टिफिकेट प्रोफाइल - यह प्रत्येक डिवाइस को कंपनी के सर्टिफिकेट अथॉरिटी पर भरोसा करने के लिए कहता है। दूसरा, SCEP सर्टिफिकेट प्रोफाइल - यह डिवाइसों को अपना यूनीक क्लाइंट सर्टिफिकेट प्राप्त करने का निर्देश देता है। तीसरा, WiFi प्रोफाइल - यह SSID को कॉन्फ़िगर करता है, सुरक्षा प्रकार को WPA2-Enterprise या WPA3-Enterprise पर सेट करता है, और ऑथेंटिकेशन के लिए SCEP सर्टिफिकेट की ओर इशारा करता है। Intune में एक ही डिवाइस ग्रुप में उन तीन प्रोफाइलों को डिप्लॉय करें, और प्रत्येक मैनेज्ड डिवाइस बिना किसी यूजर इंटरैक्शन के स्वचालित रूप से कॉर्पोरेट SSID से कनेक्ट हो जाता है। [short pause] RADIUS सर्वर - आमतौर पर Microsoft NPS या क्लाउड RADIUS सर्विस - EAP-TLS ऑथेंटिकेशन रिक्वेस्ट प्राप्त करता है, CA के खिलाफ सर्टिफिकेट को वैलिडेट करता है, सर्टिफिकेट रिवोकेशन लिस्ट की जांच करता है, और एक्सेस प्रदान या अस्वीकार करता है। यदि किसी कर्मचारी को निकाल दिया जाता है, तो आप CA में उनके सर्टिफिकेट को रिवोक कर देते हैं। उनका डिवाइस अगले ऑथेंटिकेशन साइकिल में WiFi एक्सेस खो देता है। किसी पासवर्ड रीसेट की आवश्यकता नहीं है। तिमाही रोटेशन का कोई इंतजार नहीं। [medium pause] अब, लोग अक्सर SCEP और PKCS - पब्लिक की क्रिप्टोग्राफी स्टैंडर्ड्स - के बीच अंतर के बारे में पूछते हैं। दोनों Intune के साथ काम करते हैं। मुख्य अंतर यह है कि प्राइवेट की कहाँ जनरेट होती है। SCEP के साथ, यह डिवाइस पर जनरेट होती है। PKCS के साथ, CA दोनों कीज़ को सेंट्रली जनरेट करता है और प्राइवेट की को डिवाइस पर पुश करता है। इसका मतलब है कि प्राइवेट की नेटवर्क पर यात्रा करती है, जिससे एक सैद्धांतिक इंटरसेप्शन का जोखिम पैदा होता है। PKCS का अपना स्थान है - यह S/MIME ईमेल एन्क्रिप्शन के लिए बेहतर अनुकूल है जहाँ की एस्क्रो महत्वपूर्ण है। WiFi ऑथेंटिकेशन के लिए, SCEP सही विकल्प है। हर बार। [short pause] मैं आपको दूसरा परिदृश्य देता हूँ - एक रिटेल एस्टेट। यूके भर में 200 स्टोर वाले एक फैशन रिटेलर की कल्पना करें, जिनमें से प्रत्येक Cisco Meraki एक्सेस पॉइंट चला रहा है। उनके पॉइंट-ऑफ-सेल सिस्टम Windows-आधारित हैं, जिन्हें Intune के माध्यम से प्रबंधित किया जाता है। उन्हें PCI-DSS अनुपालन की आवश्यकता है, जिसका अर्थ है कार्डधारक डेटा को संभालने वाले किसी भी डिवाइस के लिए नेटवर्क सेगमेंटेशन और मजबूत ऑथेंटिकेशन। SCEP-आधारित EAP-TLS उन्हें स्टाफ SSID पर डिवाइस-लेवल ऑथेंटिकेशन देता है, जिसमें VLAN असाइनमेंट RADIUS पॉलिसी द्वारा संचालित होता है। POS टर्मिनल स्वचालित रूप से PCI-स्कोप वाले VLAN पर आ जाते हैं। Guest WiFi - जिसे Purple जैसे प्लेटफॉर्म के माध्यम से अलग से प्रबंधित किया जाता है - अपने स्वयं के ऑथेंटिकेशन फ्लो के साथ पूरी तरह से अलग SSID पर चलता है। दोनों नेटवर्क कभी नहीं छूते। ऑडिटर खुश हैं। सुरक्षा टीम बेहतर सोती है। [medium pause] ठीक है, आइए कमियों के बारे में बात करते हैं, क्योंकि कुछ ऐसी चीजें हैं जो टीमों को परेशान करती हैं। [short pause] सबसे सामान्य विफलता मोड Intune में ग्रुप टारगेटिंग मिसमैच है। आपका ट्रस्टेड रूट प्रोफाइल, आपका SCEP प्रोफाइल और आपका WiFi प्रोफाइल सभी एक ही Azure AD ग्रुप को टारगेट करने चाहिए। यदि SCEP प्रोफाइल किसी यूजर ग्रुप को टारगेट करती है और WiFi प्रोफाइल किसी डिवाइस ग्रुप को टारगेट करती है, तो Intune डिपेंडेंसी को हल नहीं कर सकता है और WiFi प्रोफाइल एरर के रूप में दिखाई देती है। पहले अपने असाइनमेंट की जांच करें - यह लगभग हमेशा मुख्य कारण होता है। [short pause] दूसरा नुकसान: NDES सर्वर की उपलब्धता। रिमोट डिवाइसों को ऑन-साइट पहुंचने से पहले एनरोल करने के लिए आपके NDES सर्वर का इंटरनेट से सुलभ होना आवश्यक है। ऐसा करने का सुरक्षित तरीका Azure AD एप्लिकेशन प्रॉक्सी के माध्यम से है, जो आपको इनबाउंड फ़ायरवॉल पोर्ट खोले बिना रिमोट एक्सेस देता है। NDES को सीधे इंटरनेट पर एक्सपोज न करें। [short pause] तीसरा: CRL उपलब्धता। जब भी कोई डिवाइस ऑथेंटिकेट करता है, आपका RADIUS सर्वर सर्टिफिकेट रिवोकेशन लिस्ट की जांच करता है। यदि CRL डिस्ट्रीब्यूशन पॉइंट पहुंच से बाहर है - शायद कोई सर्वर डाउन है, या फ़ायरवॉल नियम बदल गया है - तो ऑथेंटिकेशन सभी के लिए विफल हो जाता है। अपने CRL एंडपॉइंट्स को अत्यधिक उपलब्ध बनाएं, और उनका नियमित रूप से परीक्षण करें। [short pause] चौथा: सर्टिफिकेट टेम्पलेट अनुमतियां। यदि आपके NDES कनेक्टर सर्विस अकाउंट के पास सर्टिफिकेट टेम्पलेट पर रीड और एनरोल अनुमतियां नहीं हैं, तो डिवाइसों को अपना सर्टिफिकेट प्राप्त करने का प्रयास करते समय HTTP 403 एरर मिलती है। यह एक साधारण अनुमति सुधार है, लेकिन शुरुआती सेटअप के दौरान इसे भूल जाना आसान है। [medium pause] अब रैपिड-फायर राउंड के लिए। [short pause] क्या SCEP गैर-Microsoft MDM के साथ काम कर सकता है? हाँ - Apple डिवाइस फ्लीट के लिए Jamf, VMware Workspace ONE, और अधिकांश एंटरप्राइज MDM प्लेटफॉर्म SCEP प्रोफाइल का समर्थन करते हैं। यह प्रोटोकॉल वेंडर-न्यूट्रल है। [short pause] क्या SCEP क्लाउड PKI के साथ काम करता है? हाँ। Intune Suite में Microsoft का अपना क्लाउड PKI ऑन-प्रिमाइसेस NDES सर्वर की आवश्यकता को पूरी तरह से समाप्त कर देता है। SecureW2 और Keyfactor जैसे थर्ड-पार्टी क्लाउड PKI प्रदाता भी क्लाउड SCEP एंडपॉइंट प्रदान करते हैं। [short pause] WPA3-Enterprise के बारे में क्या? WPA3-Enterprise उसी 802.1X और EAP-TLS ऑथेंटिकेशन स्टैक का उपयोग करता है। SCEP द्वारा जारी सर्टिफिकेट समान रूप से काम करते हैं। अपग्रेड वायरलेस प्रोटोकॉल लेयर पर है, सर्टिफिकेट लेयर पर नहीं। [short pause] सर्टिफिकेट कितने समय तक चलते हैं? आमतौर पर एक वर्ष, हालांकि आप कम वैधता अवधि कॉन्फ़िगर कर सकते हैं। Intune समाप्ति से पहले स्वचालित रिन्यूअल को संभालता है, इसलिए उपयोगकर्ताओं को कभी कोई रुकावट नहीं दिखती है। [medium pause] संक्षेप में। SCEP बड़े पैमाने पर सर्टिफिकेट डिस्ट्रीब्यूशन को ऑटोमेट करता है, जिससे बड़े डिवाइस फ्लीट में PKI डिप्लॉयमेंट का मैन्युअल ओवरहेड समाप्त हो जाता है। प्राइवेट की डिवाइस पर ही रहती है - यह EAP-TLS की सुरक्षा का आधार है। सीक्वेंस में डिप्लॉय करें: पहले ट्रस्टेड रूट, दूसरा SCEP प्रोफाइल, तीसरा WiFi प्रोफाइल, सभी एक ही ग्रुप को टारगेट करते हुए। एप्लिकेशन प्रॉक्सी के माध्यम से अपने NDES एंडपॉइंट को सुरक्षित रूप से पब्लिश करें। अपने CRL एंडपॉइंट्स को अत्यधिक उपलब्ध रखें। और यदि आप नए सिरे से शुरुआत कर रहे हैं, तो ऑन-प्रिमाइसेस NDES डिपेंडेंसी को पूरी तरह से हटाने के लिए क्लाउड PKI का मूल्यांकन करें। [short pause] गेस्ट WiFi के लिए - जो अलग, विजिटर-फेसिंग नेटवर्क है - सर्टिफिकेट-आधारित ऑथेंटिकेशन सही मॉडल नहीं है। मेहमानों के पास मैनेज्ड डिवाइस नहीं होते हैं। यहीं पर Purple जैसा प्लेटफॉर्म ऑथेंटिकेशन फ्लो को संभालता है: कैप्टिव पोर्टल, सोशल लॉगिन, ईमेल कैप्चर, या SMS वेरिफिकेशन, जो सभी फर्स्ट-पार्टी डेटा लेयर में फीड होते हैं जिसका आपकी मार्केटिंग टीम वास्तव में उपयोग कर सकती है। दोनों दृष्टिकोण एक-दूसरे के पूरक हैं: आपके मैनेज्ड स्टाफ एस्टेट के लिए SCEP, आपके गेस्ट नेटवर्क के लिए Purple। दोनों एक ही हार्डवेयर पर चल रहे हैं, VLAN द्वारा स्पष्ट रूप से विभाजित। [short pause] यह SCEP एंटरप्राइज WiFi ऑनबोर्डिंग पर आपकी ब्रीफिंग है। आर्किटेक्चर डायग्राम, स्टेप-बाय-स्टेप Intune कॉन्फ़िगरेशन और वर्कड उदाहरणों के साथ पूरी लिखित गाइड Purple वेबसाइट पर उपलब्ध है। सुनने के लिए धन्यवाद।