मुख्य मजकुराकडे जा

Automating Enterprise WiFi Security: SCEP Certificate Deployment मार्गदर्शक

हे तांत्रिक मार्गदर्शक SCEP certificate deployment चा वापर करून enterprise WiFi security कशी स्वयंचलित करावी हे स्पष्ट करते. हे कॉर्पोरेट आणि अतिथी नेटवर्क्सवर 802.1X EAP-TLS authentication उपयोजित करण्यासाठी तपशीलवार आर्किटेक्चरल ब्ल्यूप्रिंट आणि अंमलबजावणीच्या पायऱ्या प्रदान करते.

📖 5 मिनिट वाचन📝 1,248 शब्द🔧 2 सोडवलेली उदाहरणे3 सराव प्रश्न📚 8 महत्वाच्या व्याख्या

हे मार्गदर्शक ऐका

पॉडकास्ट ट्रान्सक्रिप्ट पहा
या टेक्निकल ब्रीफिंगमध्ये आपले स्वागत आहे. मी तुम्हाला आमच्या नवीनतम मार्गदर्शकाची माहिती देण्यासाठी येथे आहे: SCEP Certificate Deployment वर विशेष लक्ष केंद्रित करून, Automating Enterprise WiFi Security. जर तुम्ही हॉटेल्स, रिटेल चेन्स किंवा सार्वजनिक ठिकाणांसाठी नेटवर्क्स व्यवस्थापित करत असाल, तर तुम्हाला आधीच माहित आहे की कर्मचाऱ्यांच्या ॲक्सेससाठी प्री-शेअर्ड की किंवा साध्या Captive Portal वर अवलंबून राहणे ही एक मोठी सुरक्षिततेची त्रुटी (vulnerability) आहे. आज, आपण गोल्ड स्टँडर्डबद्दल बोलत आहोत: EAP-TLS वापरून 802.1X ऑथेंटिकेशन. चला आर्किटेक्चरचा सखोल अभ्यास करूया. EAP-TLS मधील मुख्य आव्हान हे स्वतः प्रोटोकॉल नाही; तर हजारो डिव्हाइसेसवर युनिक क्लायंट सर्टिफिकेट्स पोहोचवण्याचे लॉजिस्टिक्स आहे - मग ते Windows लॅपटॉप असोत, iPads असोत किंवा पॉइंट-ऑफ-सेल टॅब्लेट्स असोत. इथेच Microsoft Intune किंवा Jamf सारखे मोबाईल डिव्हाइस मॅनेजमेंट, म्हणजेच MDM प्लॅटफॉर्म्स उपयोगात येतात. पण तुम्ही ती सर्टिफिकेट्स सुरक्षितपणे कशी पोहोचवाल? तुमच्याकडे सहसा दोन पर्याय असतात: PKCS किंवा SCEP. मला यावर पूर्णपणे स्पष्ट सांगू द्या: WiFi ऑथेंटिकेशनसाठी, तुम्हाला SCEP हवे आहे. म्हणजेच Simple Certificate Enrolment Protocol. हे का महत्त्वाचे आहे ते येथे आहे. SCEP सह, MDM एंडपॉइंट डिव्हाइसला त्याची स्वतःची प्रायव्हेट की स्थानिक पातळीवर जनरेट करण्याचे निर्देश देते. ती की डिव्हाइसच्या सुरक्षित हार्डवेअरमध्ये लॉक राहते. ती कधीही नेटवर्कवरून प्रवास करत नाही. डिव्हाइस फक्त एका गेटवेद्वारे, सामान्यतः NDES सर्व्हरद्वारे तुमच्या Certificate Authority ला Certificate Signing Request पाठवते. याउलट PKCS मध्ये, Certificate Authority मध्यवर्ती ठिकाणी प्रायव्हेट की जनरेट करते आणि ती नेटवर्कवरून डिव्हाइसवर पाठवते. PKCS चे स्वतःचे स्थान असले तरी - समजा, ईमेल एन्क्रिप्शनसाठी जिथे तुम्हाला की एस्क्रोची आवश्यकता असते - नेटवर्क ऑथेंटिकेशनसाठी नेटवर्कवरून प्रायव्हेट की ट्रान्समिट करणे हा असा धोका आहे जो तुम्हाला घेण्याची अजिबात गरज नाही. की डिव्हाइसवरच ठेवा. SCEP वापरा. आता, अंमलबजावणीबद्दल बोलूया. जर तुम्ही या ब्रीफिंगमधून एक गोष्ट लक्षात ठेवली, तर तो हा मूलभूत नियम आहे: ऑथेंटिकेशनच्या आधी ट्रस्ट (विश्वास). तुम्ही फक्त WiFi प्रोफाइल पुश करून ते कार्य करेल अशी अपेक्षा करू शकत नाही. येथे एक कठोर, तीन-चरणांचा डिप्लॉयमेंट सिक्वेन्स आहे जो तुम्ही पाळलाच पाहिजे. चरण एक: Trusted Root Certificate डिप्लॉय करा. डिव्हाइस क्लायंट सर्टिफिकेटची विनंती करण्यापूर्वी किंवा तुमच्या RADIUS सर्व्हरवर विश्वास ठेवण्यापूर्वी, त्याने जारी करणाऱ्या Certificate Authority वर विश्वास ठेवला पाहिजे. हे प्रोफाइल आधी पुश करा. चरण दोन: SCEP Certificate Profile कॉन्फिगर करा आणि पुश करा. हे डिव्हाइसला SCEP गेटवेसह कसे संवाद साधायचा, त्याच्या सब्जेक्ट नेमसाठी कोणते फॉरमॅट वापरायचे आणि सर्टिफिकेट प्रत्यक्षात कशासाठी आहे - या प्रकरणात, क्लायंट ऑथेंटिकेशन - हे सांगते. तुम्ही हे प्रोफाइल चरण एक मध्ये डिप्लॉय केलेल्या Trusted Root शी लिंक केले पाहिजे. चरण तीन: 802.1X WiFi Profile डिप्लॉय करा. येथे तुम्ही हे सर्व एकत्र जोडता. तुम्ही SSID निर्दिष्ट करता, WPA3-Enterprise निवडा, EAP प्रकार EAP-TLS वर सेट करा आणि क्लायंट ऑथेंटिकेशनसाठी SCEP सर्टिफिकेटचा मार्ग दाखवा.आम्हाला नेहमीच आढळणारी एक मोठी चूक येथे दिली आहे. एखादा क्लायंट आम्हाला कॉल करतो आणि सांगतो, "प्रमाणपत्रे (certificates) डिव्हाइसवर आहेत, परंतु Intune मध्ये WiFi प्रोफाइल एरर दाखवत आहे." जवळजवळ प्रत्येक वेळी, हे ग्रुप टार्गेटिंग जुळत नसल्यामुळे (mismatch) होते. जर तुम्ही SCEP प्रोफाइल 'Users' ग्रुपला असाइन केले, परंतु WiFi प्रोफाइल 'Devices' ग्रुपला असाइन केले, तर MDM या अवलंबित्वेचे (dependency) निराकरण करू शकत नाही. तुमचे टार्गेट्स तिन्ही प्रोफाइलमध्ये अगदी अचूकपणे मॅच करा. चला एका खऱ्या जगातील उदाहरणावर नजर टाकूया. समजा १५० खोल्यांचे एक हॉटेल आहे. त्यांच्याकडे हाऊसकीपिंगसाठी १५० मॅनेज्ड iOS डिव्हाइसेस आहेत. सध्या, ते एक स्टँडर्ड पासवर्ड नेटवर्क वापरतात, आणि कर्मचारी तो पासवर्ड पाहुण्यांसोबत शेअर करत राहतात. ही एक मोठी डोकेदुखी आहे. SCEP द्वारे EAP-TLS सह WPA2-Enterprise वर स्थलांतरित करून, IT डायरेक्टर पासवर्डची आवश्यकता पूर्णपणे काढून टाकतो. iOS डिव्हाइसेस त्यांच्या प्रमाणपत्रांचा वापर करून बॅकग्राउंडमध्ये कोणतीही सूचना न देता सायलेंटली ऑथेंटिकेट होतात. परंतु जर एखाद्या हाऊसकीपरचे डिव्हाइस हरवले किंवा त्याने कंपनी सोडली तर काय होईल? त्यांचे Active Directory खाते केवळ निष्क्रिय करणे पुरेसे नाही, कारण त्या डिव्हाइसवरील प्रमाणपत्र अद्याप क्रिप्टोग्राफिकदृष्ट्या वैध असते. यामुळे आपण एका महत्त्वपूर्ण सुरक्षा नियंत्रणाकडे येतो: कडक CRL चेकिंग. तुम्ही तुमची RADIUS सर्व्हर Certificate Revocation List तपासण्यासाठी कॉन्फिगर केली पाहिजे. एखादे डिव्हाइस गहाळ झाल्यास, तुम्ही CA वर प्रमाणपत्र रद्द (revoke) करता. RADIUS सर्व्हर CRL वर ते रद्द केल्याचे पाहतो आणि त्वरित नेटवर्क प्रवेश ब्लॉक करतो. कडक CRL चेकिंगशिवाय, तुमची सुरक्षा व्यवस्था अपूर्ण आहे. थोडक्यात सांगायचे तर, ऑटोमेटेड SCEP प्रमाणपत्र उपयोजनाकडे (deployment) वळल्याने मोठा ROI मिळतो. WiFi संबंधित हेल्पडेस्क तिकिटांमध्ये तुम्ही ७० ते ८० टक्के घट पाहाल कारण वापरकर्ते लॉक आउट होत नाहीत किंवा चुकीचे पासवर्ड टाईप करत नाहीत. महत्त्वाचे म्हणजे, तुम्ही क्रेडेंशियल हार्वेस्टिंगचा धोका दूर करता, ज्यामुळे तुम्ही PCI DSS आणि GDPR सारख्या अनुपालन फ्रेमवर्कचे पालन करत असल्याची खात्री होते. एंटरप्राइझ WiFi सुरक्षा ऑटोमेट करणे म्हणजे केवळ गोष्टी लॉक करणे नाही; तर सुरक्षित मार्ग हा तुमच्या वापरकर्त्यांसाठी सर्वात सोपा मार्ग बनवणे आहे. ऐकल्याबद्दल धन्यवाद, आणि संपूर्ण स्टेप-बाय-स्टेप कॉन्फिगरेशन तपशीलांसाठी पूर्ण लेखी मार्गदर्शक नक्की तपासा.

header_image.png

कार्यकारी सारांश (Executive Summary)

हॉस्पिटॅलिटी, रिटेल आणि सार्वजनिक क्षेत्रातील उपक्रमांसाठी, नेटवर्क प्रवेशासाठी प्री-शेअर केलेल्या की (keys) किंवा मूलभूत captive portal वर अवलंबून राहणे गंभीर सुरक्षा असुरक्षा निर्माण करते. आधुनिक नेटवर्क आर्किटेक्चर EAP-TLS वापरून 802.1X ऑथेंटिकेशनची मागणी करते, जे नेटवर्कवर प्रवेश करण्यापूर्वी प्रत्येक डिव्हाइसचे क्रिप्टोग्राफिकली प्रमाणीकरण केले जात असल्याची खात्री करते. IT व्यवस्थापक आणि नेटवर्क आर्किटेक्ट्ससाठी, हजारो Windows, iOS आणि Android डिव्हाइसेसवर अनन्य क्लायंट प्रमाणपत्रे कार्यक्षमतेने तैनात करणे हे एक आव्हान असते.

हे मार्गदर्शक Simple Certificate Enrolment Protocol (SCEP) चा वापर करून स्वयंचलित WiFi प्रमाणपत्र उपयोजनासाठी (deployment) निश्चित आर्किटेक्चरल ब्ल्यूप्रिंट आणि चरण-दर-चरण अंमलबजावणी धोरण प्रदान करते. तुमच्या मोबाईल डिव्हाइस मॅनेजमेंट (MDM) प्लॅटफॉर्मला SCEP गेटवे आणि Certificate Authority (CA) सोबत समाकलित करून, तुम्ही व्यवस्थापित एंडपॉइंट्सवर विश्वसनीय रूट आणि क्लायंट प्रमाणपत्रे छुपेपणाने पाठवू शकता. आम्ही SCEP आणि PKCS मधील महत्त्वपूर्ण फरकांचा शोध घेतो, यशस्वी उपयोजनासाठी आवश्यक असलेल्या अचूक पायऱ्यांच्या क्रमाचा तपशील देतो आणि तुमचे WiFi नेटवर्क सुरक्षित आणि कार्यक्षम ठेवण्यासाठी व्यावहारिक जोखीम कमी करण्याच्या धोरणांची रूपरेषा आखतो.

सहयोगी पॉडकास्ट ब्रीफिंग ऐका:

तांत्रिक सखोल विश्लेषण: SCEP आर्किटेक्चर आणि EAP-TLS

एंटरप्राइझ WiFi प्रमाणपत्र उपयोजन धोरण डिझाइन करताना, प्रमाणपत्रे सुरक्षितपणे कशी वितरीत केली जातात हा मुख्य आर्किटेक्चरल निर्णय असतो. या प्रक्रियेसाठी SCEP हा उद्योग मानक आहे. SCEP प्रमाणपत्र नोंदणी प्रक्रिया स्वयंचलित करते, ज्यामुळे डिव्हाइसेसना प्रमाणित प्रोटोकॉलचा वापर करून Certificate Authority कडून सुरक्षितपणे प्रमाणपत्रांची विनंती करता येते.

PKCS च्या तुलनेत SCEP चे फायदे

जरी Microsoft Intune सारखे प्लॅटफॉर्म SCEP आणि Public Key Cryptography Standards (PKCS) दोन्हीला समर्थन देत असले, तरी त्यांची कार्यप्रणाली मूलभूतपणे भिन्न आहे. SCEP वर्कफ्लोमध्ये, MDM सेवा एंडपॉइंटला स्वतःची खाजगी आणि सार्वजनिक की पेअर (private and public key pair) तयार करण्याचे निर्देश देते. त्यानंतर डिव्हाइस एक Certificate Signing Request (CSR) तयार करते आणि ते तुमच्या CA ला Network Device Enrolment Service (NDES) सर्व्हरद्वारे पाठवते. CA या विनंतीवर स्वाक्षरी करते आणि डिव्हाइसला सार्वजनिक की प्रमाणपत्र परत करते. SCEP चा मुख्य सुरक्षिततेचा फायदा म्हणजे प्रायव्हेट की (private key) कधीही डिव्हाइस सोडत नाही. ती स्थानिक पातळीवर तयार केली जाते आणि डिव्हाइसच्या सुरक्षित एन्क्लेव्हमध्ये स्टोअर केली जाते. यामुळे 802.1X ऑथेंटिकेशनसाठी SCEP ही अत्यंत शिफारस केलेली पद्धत मानली जाते. याउलट, PKCS मध्ये CA दोन्ही की मध्यवर्ती ठिकाणी तयार करतो आणि त्यांना नेटवर्कवर ट्रान्समिट करतो. नेटवर्क ऑथेंटिकेशनऐवजी की एस्क्रॉ (जसे की S/MIME ईमेल एन्क्रिप्शन) आवश्यक असलेल्या प्रकरणांसाठी PKCS अधिक योग्य आहे.

scep_vs_pkcs_comparison.png

802.1X आणि EAP-TLS ऑथेंटिकेशन

IEEE 802.1X मानक सेंट्रलाइज्ड नेटवर्क ॲक्सेस मॅनेजमेंटसाठी फ्रेमवर्क प्रदान करते. क्लायंट, ॲक्सेस पॉइंट आणि ऑथेंटिकेशन सर्व्हर - सामान्यत: RADIUS सर्व्हर - यांच्यामध्ये ऑथेंटिकेशन सक्षम करण्यासाठी Extensible Authentication Protocol (EAP) पॅकेट्स LAN (EAPoL) वर कसे ट्रान्सपोर्ट केले जातात हे ते परिभाषित करते.

EAP-TLS हा 802.1X नेटवर्कसाठी सर्वात सुरक्षित ऑथेंटिकेशन प्रोटोकॉल आहे. यासाठी परस्पर ऑथेंटिकेशन आवश्यक असते: क्लायंट RADIUS सर्व्हरचे सर्टिफिकेट प्रमाणित करतो आणि RADIUS सर्व्हर क्लायंटचे सर्टिफिकेट प्रमाणित करतो. ही कठोर प्रमाणीकरण प्रक्रिया केवळ नोंदणीकृत डिव्हाइसेसवरील ऑथेंटिकेट आणि ऑथोराइज्ड युजर्सनाच ॲक्सेस मिळण्याची खात्री देते, ज्यामुळे इव्हिल ट्विन (Evil Twin) हल्ल्यांसारख्या धोक्यांपासून नेटवर्कचे रक्षण होते.

अंमलबजावणी मार्गदर्शिका: डिप्लॉयमेंटचा क्रम

802.1X साठी ऑटोमेटेड सर्टिफिकेट डिप्लॉयमेंट यशस्वीरित्या कॉन्फिगर करण्यासाठी एका विशिष्ट क्रमाचे काटेकोरपणे पालन करणे आवश्यक आहे. प्रोफाईल अवलंबित्व हे दर्शवते की ऑथेंटिकेशन कॉन्फिगर करण्यापूर्वी ट्रस्ट (विश्वास) स्थापित केला पाहिजे. तुम्ही Microsoft Intune, Jamf किंवा इतर कोणतेही MDM प्लॅटफॉर्म वापरत असलात तरीही हे लागू होते.

पायरी १: ट्रस्टेड रूट सर्टिफिकेट डिप्लॉय करा

कोणतेही डिव्हाइस क्लायंट सर्टिफिकेटची विनंती करण्यापूर्वी किंवा तुमच्या RADIUS सर्व्हरवर विश्वास ठेवण्यापूर्वी, त्याने सर्टिफिकेट्स जारी करणाऱ्या Certificate Authority वर विश्वास ठेवला पाहिजे.

१. तुमचे रूट CA सर्टिफिकेट आणि कोणतेही इंटरमीडिएट CA सर्टिफिकेट्स एक्सपोर्ट करा. २. तुमच्या MDM प्लॅटफॉर्ममध्ये, एक ट्रस्टेड सर्टिफिकेट प्रोफाईल तयार करा. ३. सर्टिफिकेट फाइल्स अपलोड करा आणि हे प्रोफाईल तुमच्या टारगेट डिव्हाइस ग्रुप्सवर डिप्लॉय करा.

पायरी २: SCEP सर्टिफिकेट प्रोफाईल कॉन्फिगर करा

ट्रस्ट स्थापित झाल्यानंतर, डिव्हाइसेसना त्यांचे क्लायंट सर्टिफिकेट्स कसे मिळवावेत हे निर्देशित करण्यासाठी SCEP प्रोफाईल कॉन्फिगर करा.

१. एक नवीन SCEP सर्टिफिकेट कॉन्फिगरेशन प्रोफाईल तयार करा. २. सब्जेक्ट नेम फॉरमॅट कॉन्फिगर करा. युजर-ड्रिव्हन ऑथेंटिकेशनसाठी, User Principal Name (UPN) वापरा. डिव्हाइस ऑथेंटिकेशनसाठी, डिव्हाइस आयडी वापरा. ३. की चा वापर डिजिटल सिग्नेचर आणि की एन्सायफरमेंटसाठी सेट करा. ४. एक्सटेंडेड की च्या वापरासाठी क्लायंट ऑथेंटिकेशन निर्दिष्ट करा. ५. हे प्रोफाईल पायरी १ मध्ये तयार केलेल्या ट्रस्टेड रूट सर्टिफिकेट प्रोफाईलशी लिंक करा. ६. तुमच्या SCEP गेटवेची किंवा NDES सर्व्हरची बाह्य URL प्रदान करा.

पायरी ३: 802.1X WiFi प्रोफाईल डिप्लॉय करा

अंतिम पायरी म्हणजे WiFi कॉन्फिगरेशन पुश करणे जे सर्टिफिकेटला नेटवर्क SSID शी जोडते.

  1. एक WiFi कॉन्फिगरेशन प्रोफाइल तयार करा.
  2. तुमच्या ॲक्सेस पॉइंट्सद्वारे ब्रॉडकास्ट केल्याप्रमाणे अचूक SSID प्रविष्ट करा.
  3. सुरक्षा प्रकार म्हणून WPA2-Enterprise किंवा WPA3-Enterprise निवडा.
  4. EAP प्रकार EAP-TLS वर सेट करा.
  5. क्लायंट ऑथेंटिकेशनसाठी पायरी २ मध्ये तयार केलेले SCEP प्रमाणपत्र प्रोफाइल निवडा.
  6. सर्व्हर व्हॅलिडेशनसाठी विश्वसनीय रूट प्रमाणपत्र निर्दिष्ट करा, जेणेकरून डिव्हाइसेस केवळ तुमच्या वैध RADIUS सर्व्हरशी कनेक्ट होतील याची खात्री होईल.

scep_architecture_overview.png

एंटरप्राइझ वातावरणासाठी सर्वोत्तम पद्धती

SCEP प्रमाणपत्र उपयोजन लागू करताना, अनुपालन आणि विश्वसनीयता सुनिश्चित करण्यासाठी या विक्रेता-निरपेक्ष सर्वोत्तम पद्धतींचे अनुसरण करा.

SCEP गेटवे सुरक्षित करा

SCEP गेटवे किंवा NDES सर्व्हर इंटरनेटवरून प्रवेशयोग्य असणे आवश्यक आहे जेणेकरून रिमोट डिव्हाइसेस साइटवर पोहोचण्यापूर्वी प्रमाणपत्रे मिळवू शकतील. तथापि, थेट इंटरनेटवर अंतर्गत सर्व्हर उघड करणे हे एक गंभीर सुरक्षा जोखीम निर्माण करते. ॲप्लिकेशन प्रॉक्सी वापरून URL प्रकाशित करा. हे इनबाउंड फायरवॉल पोर्ट्स न उघडता सुरक्षित रिमोट ॲक्सेस प्रदान करते आणि तुम्हाला एनरोलमेंट फ्लोवर अटींनुसार प्रवेश धोरणे लागू करण्याची परवानगी देते.

कडक CRL तपासणी लागू करा

प्रमाणपत्र उपयोजन हे सुरक्षेच्या समीकरणाचा केवळ अर्धा भाग आहे; प्रमाणपत्र रद्द करणे देखील तितकेच महत्त्वाचे आहे. एखादा कर्मचारी सोडून गेल्यास, त्यांचे क्लायंट प्रमाणपत्र वैध राहिल्यास त्यांचे डिरेक्टरी खाते निष्क्रिय केल्याने त्यांचे WiFi ॲक्सेस त्वरित रद्द होणार नाही. कडक प्रमाणपत्र रद्द सूची (CRL) तपासणी लागू करण्यासाठी तुमचा RADIUS सर्व्हर कॉन्फिगर करा. तुमचे CRL वितरण बिंदू अत्यंत उपलब्ध आहेत याची खात्री करा; जर RADIUS सर्व्हर CRL पर्यंत पोहोचू शकला नाही, तर ऑथेंटिकेशन अयशस्वी होईल, ज्यामुळे मोठ्या प्रमाणावर सेवा विस्कळीत होईल.

हार्डवेअर इंटिग्रेशन

तुमची नेटवर्क इन्फ्रास्ट्रक्चर आवश्यक प्रोटोकॉलला सपोर्ट करत असल्याची खात्री करा. Purple हे Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme आणि Fortinet हार्डवेअरसोबत अखंडपणे समाकलित होते. ऑथेंटिकेशन विनंत्या तुमच्या केंद्रीकृत RADIUS इन्फ्रास्ट्रक्चरकडे फॉरवर्ड करण्यासाठी या सिस्टम्स कॉन्फिगर करा.

ट्रबलशूटिंग आणि जोखीम कमी करणे

काळजीपूर्वक नियोजन करूनही, प्रमाणपत्र उपयोजनात समस्या येऊ शकतात. खाली सामान्य अपयशाचे प्रकार आणि ते कमी करण्याचे धोरण दिले आहेत.

अवलंबित्व अपयश

एक सामान्य समस्या अशी आहे की डिव्हाइसला विश्वसनीय रूट आणि SCEP प्रमाणपत्रे मिळतात, परंतु WiFi प्रोफाइल लागू होण्यास अपयशी ठरते. हे सहसा MDM मधील विसंगत गट लक्ष्यीकरणामुळे होते. जर SCEP प्रोफाइल वापरकर्ता गटाला नियुक्त केले असेल आणि WiFi प्रोफाइल डिव्हाइस गटाला नियुक्त केले असेल, तर MDM या अवलंबित्वाचे निराकरण करू शकत नाही. तुमच्या असाइनमेंटचे ऑडिट करा आणि सर्व संबंधित प्रोफाइल अचूकपणे त्याच डिरेक्टरी गटांमध्ये उपयोजित केले आहेत याची खात्री करा.

एनरोलमेंट त्रुटी

जर उपकरणे SCEP प्रमाणपत्रे मिळवण्यात अयशस्वी ठरली आणि गेटवे लॉग्समध्ये HTTP 403 त्रुटी दिसत असतील, तर सेवा खात्याकडे (service account) प्रमाणपत्र टेम्पलेटवर आवश्यक परवानग्या नसू शकतात किंवा फायरवॉलवरील URL फिल्टरिंग SCEP द्वारे वापरल्या जाणाऱ्या विशिष्ट क्वेरी स्ट्रिंग पॅरामीटर्सना ब्लॉक करत असू शकते. कनेक्टर खात्याकडे CA टेम्पलेटवर रीड आणि एनरोल परवानग्या आहेत याची पडताळणी करा आणि SCEP URL ब्लॉक केली जात नाही याची खात्री करण्यासाठी फायरवॉल लॉग्स तपासा.

ROI आणि व्यावसायिक प्रभाव

स्वयंचलित 802.1X प्रमाणपत्र उपयोजनाकडे (deployment) स्थलांतरित केल्याने सुरक्षा आणि ऑपरेशन्स दोन्हीमध्ये मोजता येण्याजोगा परतावा मिळतो.

पासवर्ड-आधारित WiFi मुळे पासवर्डची मुदत संपणे, लॉकआउट्स आणि टायपिंगच्या त्रुटींमुळे मोठ्या प्रमाणात सपोर्ट तिकिटे तयार होतात. प्रमाणपत्र-आधारित प्रमाणीकरण (authentication) वापरकर्त्यासाठी अदृश्य असते आणि सामान्यतः WiFi शी संबंधित हेल्पडेस्क तिकीट प्रमाण 70% ते 80% पर्यंत कमी करते.

शिवाय, EAP-TLS क्रेडेंशियल चोरी आणि मॅन-इन-द-मिडल हल्ल्यांचा धोका काढून टाकते. PCI-DSS आणि GDPR सारख्या फ्रेमवर्कच्या अनुपालनासाठी हे आवश्यक आहे. बहु-साइट किरकोळ ऑपरेशन्स (multi-site retail operations) किंवा मोठ्या हॉटेल साखळींसाठी, ही प्रक्रिया स्वयंचलित केल्याने पहिल्या दिवसापासून एक सुसंगत, झिरो-टच प्रोव्हिजनिंग अनुभव सुनिश्चित होतो, ज्यामुळे नेटवर्कची सीमा सुरक्षित होते आणि ऑपरेशनल ओव्हरहेड लक्षणीयरीत्या कमी होते.

महत्वाच्या व्याख्या

SCEP

Simple Certificate Enrolment Protocol. एक प्रोटोकॉल जो उपकरणांवर डिजिटल प्रमाणपत्रे मागवण्याची आणि स्थापित करण्याची प्रक्रिया स्वयंचलित करतो, जिथे खाजगी की स्थानिक पातळीवर तयार केली जाते.

MDM प्लॅटफॉर्मद्वारे मोठ्या प्रमाणावर WiFi authentication प्रमाणपत्रे उपयोजित करण्यासाठी शिफारस केलेली पद्धत.

PKCS

Public Key Cryptography Standards. एक उपयोजन पद्धत जिथे Certificate Authority सार्वजनिक आणि खाजगी दोन्ही की तयार करते आणि त्या एंडपॉइंटवर पाठवते.

अनेकदा S/MIME ईमेल एन्क्रिप्शनसाठी वापरले जाते परंतु खाजगी कीच्या नेटवर्क प्रक्षेपणामुळे WiFi साठी कमी योग्य आहे.

802.1X

पोर्ट-आधारित नेटवर्क ऍक्सेस कंट्रोलसाठी एक IEEE मानक जे LAN किंवा WLAN शी कनेक्ट होऊ इच्छिणाऱ्या उपकरणांना प्रमाणीकरण यंत्रणा प्रदान करते.

Enterprise WiFi सुरक्षेसाठी अनिवार्य आधाररेखा, जे असुरक्षित सामायिक कीची जागा घेते.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. एक ऑथेंटिकेशन प्रोटोकॉल ज्यामध्ये क्लायंट आणि सर्व्हर या दोघांनाही वैध डिजिटल प्रमाणपत्रे सादर करणे आवश्यक असते.

पासवर्ड-आधारित असुरक्षितता दूर करणारी, 802.1X नेटवर्कसाठी सर्वात सुरक्षित प्रमाणीकरण पद्धत मानली जाते.

NDES

Network Device Enrolment Service. एक सर्व्हर रोल जो गेटवे म्हणून काम करतो, ज्यामुळे डोमेन क्रेडेन्शियल्स नसलेल्या डिव्हाइसेसना SCEP द्वारे प्रमाणपत्रे मिळवता येतात.

Microsoft Intune सह SCEP प्रमाणपत्र डिप्लॉयमेंट लागू करताना आवश्यक असलेला इन्फ्रास्ट्रक्चर घटक.

RADIUS

Remote Authentication Dial-In User Service. एक नेटवर्किंग प्रोटोकॉल जो केंद्रीकृत ऑथेंटिकेशन, ऑथरायझेशन आणि अकाउंटिंग मॅनेजमेंट प्रदान करतो.

डिरेक्टरीच्या तुलनेत क्लायंट प्रमाणपत्रांची पडताळणी करणारा आणि नेटवर्क प्रवेश मंजूर करणारा सर्व्हर.

CRL

Certificate Revocation List. सर्टिफिकेट ऑथॉरिटीद्वारे प्रकाशित केलेली यादी ज्यामध्ये रद्द केलेल्या प्रमाणपत्रांचे सिरीयल नंबर असतात.

सादर केलेले प्रमाणपत्र अद्याप वैध आहे आणि त्याच्याशी तडजोड केली गेली नाही याची खात्री करण्यासाठी RADIUS सर्व्हरने CRL तपासणे आवश्यक आहे.

CSR

Certificate Signing Request. SSL/TLS प्रमाणपत्रासाठी अर्ज करताना सर्टिफिकेट ऑथॉरिटीला दिला जाणारा एन्कोड केलेल्या मजकुराचा ब्लॉक.

स्वाक्षरी केलेल्या प्रमाणपत्राची विनंती करण्यासाठी SCEP एनरोलमेंट प्रक्रियेदरम्यान डिव्हाइसद्वारे व्युत्पन्न केले जाते.

सोडवलेली उदाहरणे

एक २०० खोल्यांच्या हॉटेलला हाउसकीपिंग आणि देखभालीसाठी वापरल्या जाणाऱ्या १५० व्यवस्थापित iOS उपकरणांवर सुरक्षित Staff WiFi उपयोजित करायचे आहे. ते सध्या WPA2-PSK नेटवर्क वापरत आहेत, परंतु कर्मचारी वारंवार अतिथींसोबत पासवर्ड शेअर करतात. IT डायरेक्टरने सुरक्षित, स्वयंचलित सोल्यूशन कसे अंमलात आणावे?

IT डायरेक्टरने Staff WiFi ला 802.1X EAP-TLS authentication वापरून WPA2-Enterprise वर स्थलांतरित केले पाहिजे. त्यांनी iOS उपकरणांवर SCEP पेलोड पाठवण्यासाठी त्यांचे MDM (उदा. Jamf) कॉन्फिगर केले पाहिजे. उपयोजन क्रम खालीलप्रमाणे आहे: १) Root CA certificate पुश करा जेणेकरून उपकरणे नेटवर्कवर विश्वास ठेवतील. २) SCEP प्रोफाइल पुश करा, जे उपकरणांना SCEP गेटवेद्वारे CA कडून क्लायंट सर्टिफिकेटची विनंती करण्यास सांगेल. ३) WPA2-Enterprise आणि EAP-TLS साठी कॉन्फिगर केलेले WiFi प्रोफाइल पुश करा आणि ते SCEP सर्टिफिकेटशी लिंक करा. नेटवर्क ऍक्सेस पॉइंट्स (उदा. HPE Aruba) हे केंद्रीय RADIUS सर्व्हरवर क्लायंटचे प्रमाणीकरण करण्यासाठी कॉन्फिगर केलेले असतात. कर्मचारी आल्यावर, त्यांचे उपकरण कोणत्याही पासवर्डशिवाय सर्टिफिकेटचा वापर करून स्वयंचलितपणे प्रमाणीकृत होते.

परीक्षकाचे भाष्य: हा दृष्टिकोन सामायिक पासवर्डची असुरक्षितता पूर्णपणे काढून टाकतो. SCEP आणि EAP-TLS चा वापर करून, हॉटेल हे सुनिश्चित करते की केवळ व्यवस्थापित, अधिकृत उपकरणेच Staff WiFi चा वापर करू शकतात. खाजगी की iOS उपकरणांवर सुरक्षित राहतात आणि एखादे उपकरण गहाळ झाल्यास किंवा कर्मचाऱ्याने नोकरी सोडल्यास, CRL द्वारे केंद्रीय पातळीवरून सर्टिफिकेट रद्द केले जाऊ शकते, ज्यामुळे नेटवर्क प्रवेश त्वरित बंद होतो.

एक रिटेल साखळी ५० ठिकाणी नवीन पॉइंट-ऑफ-सेल (POS) टॅब्लेट सुरू करत आहे. PCI-DSS आवश्यकतांचे पालन करण्यासाठी, टॅब्लेट सुरक्षित वायरलेस नेटवर्कशी जोडलेले असणे आवश्यक आहे. नेटवर्क आर्किटेक्ट उपयोजनासाठी Microsoft Intune वापरण्याची योजना आखत आहे. कोणते आर्किटेक्चरल पर्याय अनुपालन आणि सुरक्षा सुनिश्चित करतात?

मजबूत क्रिप्टोग्राफी आणि प्रमाणीकरणासाठी PCI-DSS आवश्यकता पूर्ण करण्यासाठी, आर्किटेक्टने 802.1X EAP-TLS उपयोजित केले पाहिजे. Microsoft Intune चा वापर करून, त्यांनी सर्टिफिकेट उपयोजनासाठी PKCS ऐवजी SCEP निवडले पाहिजे. हे सुनिश्चित करते की खाजगी की POS टॅब्लेटच्या TPM वर तयार केली जाते आणि नेटवर्कवर कधीही प्रसारित केली जात नाही. त्यांनी Azure AD Application Proxy द्वारे सुरक्षितपणे प्रकाशित केलेला NDES सर्व्हर सेटअप केला पाहिजे. शेवटी, त्यांनी कडक CRL तपासणी लागू करण्यासाठी RADIUS सर्व्हर कॉन्फिगर केला पाहिजे, जेणेकरून POS टॅब्लेटशी तडजोड झाल्यास, त्याचे सर्टिफिकेट त्वरित रद्द केले जाऊ शकते आणि नेटवर्क प्रवेश त्वरित ब्लॉक केला जाऊ शकतो.

परीक्षकाचे भाष्य: PCI-DSS अनुपालनासाठी PKCS ऐवजी SCEP ची निवड करणे हा अत्यंत महत्त्वपूर्ण निर्णय आहे, कारण हे खाजगी कीचे प्रसारण रोखते. ॲप्लिकेशन प्रॉक्सीद्वारे NDES सर्व्हर प्रकाशित केल्याने नोंदणी पायाभूत सुविधा सुरक्षित होते. कडक CRL तपासणी अनिवार्य आहे; त्याशिवाय, रद्द केलेले सर्टिफिकेट देखील तडजोड झालेल्या उपकरणाला पेमेंट नेटवर्कमध्ये प्रवेश करू देऊ शकते.

सराव प्रश्न

Q1. तुम्ही Microsoft Intune चा वापर करून कॉर्पोरेट कॅम्पससाठी नवीन 802.1X WiFi नेटवर्क डिप्लॉय करत आहात. तुम्ही Trusted Root प्रोफाइल, SCEP प्रोफाइल आणि WiFi प्रोफाइल कॉन्फिगर केले आहे. तथापि, चाचणी दरम्यान, डिव्हाइसेसना प्रमाणपत्रे प्राप्त होतात परंतु Intune कन्सोलमध्ये WiFi प्रोफाइल 'Error' म्हणून दिसते. याचे सर्वात संभाव्य कारण काय आहे?

टीप: MDM प्रोफाइल्समधील डिपेंडन्सीज कशा सोडवते याचा विचार करा.

नमुना उत्तर पहा

याचे सर्वात संभाव्य कारण म्हणजे ग्रुप टार्गेटिंगमधील विसंगती आहे. Intune ला आवश्यक आहे की डिपेंडंट प्रोफाइल्स अगदी त्याच Azure AD ग्रुपला नियुक्त केले जावेत. जर SCEP प्रोफाइल User ग्रुपला नियुक्त केले असेल आणि WiFi प्रोफाइल Device ग्रुपला नियुक्त केले असेल, तर Intune डिपेंडन्सी सोडवू शकत नाही, ज्यामुळे त्रुटी (error) येते.

Q2. एक रिटेल संस्था त्यांच्या स्टोअर मॅनेजर टॅब्लेट्ससाठी प्रमाणपत्र डिप्लॉयमेंट स्वयंचलित करू इच्छित आहे. ते SCEP की PKCS वापरण्याबाबत संभ्रमात आहेत. सुरक्षा ही त्यांची प्राथमिक चिंता आहे, विशेषतः प्रायव्हेट की सुरक्षित ठेवणे. त्यांनी कोणता प्रोटोकॉल निवडावा आणि का?

टीप: प्रत्येक प्रोटोकॉलमध्ये प्रायव्हेट की कुठे व्युत्पन्न होते याचा विचार करा.

नमुना उत्तर पहा

त्यांनी SCEP निवडावे. SCEP वर्कफ्लोमध्ये, प्रायव्हेट की टॅब्लेटवर स्थानिकरित्या व्युत्पन्न केली जाते आणि त्याच्या सुरक्षित एन्क्लेव्हमध्ये साठवली जाते; ती कधीही डिव्हाइस सोडत नाही. PKCS सह, सर्टिफिकेट ऑथॉरिटी प्रायव्हेट की व्युत्पन्न करते आणि ती नेटवर्कवरून डिव्हाइसवर ट्रान्समिट करते, ज्यामुळे संभाव्य सुरक्षा जोखीम निर्माण होऊ शकते.

Q3. एक कर्मचारी कंपनी सोडतो आणि त्याचे Active Directory खाते निष्क्रिय केले जाते. तथापि, आयटी टीमच्या लक्षात येते की त्या कर्मचाऱ्याचे डिव्हाइस अद्याप कॉर्पोरेट WiFi नेटवर्कशी कनेक्ट केलेले आहे. नेटवर्क EAP-TLS ऑथेंटिकेशन वापरते. RADIUS सर्व्हरवर कोणते कॉन्फिगरेशन गहाळ आहे?

टीप: खाते निष्क्रिय (disable) केल्याने आधी जारी केलेले प्रमाणपत्र स्वयंचलितपणे अवैध ठरत नाही.

नमुना उत्तर पहा

RADIUS सर्व्हरवर कठोर Certificate Revocation List (CRL) तपासणी गहाळ आहे. डिरेक्टरी खाते निष्क्रिय केले असले तरीही, क्लायंट प्रमाणपत्र संपुष्टात येईपर्यंत किंवा स्पष्टपणे रद्द करेपर्यंत क्रिप्टोग्राफिकदृष्ट्या वैध राहते. रद्द केलेल्या प्रमाणपत्रांना नेटवर्क प्रवेश नाकारला जाईल याची खात्री करण्यासाठी RADIUS सर्व्हर CRL तपासण्यासाठी कॉन्फिगर केला पाहिजे.

या मालिकेमध्ये पुढे वाचा

कर्मचारी आणि अतिथी WiFi नेटवर्क सुरक्षितपणे कसे वेगळे करावे

हे अधिकृत तांत्रिक मार्गदर्शक IT नेत्यांना VLAN आणि 802.1X चा वापर करून कर्मचारी, अतिथी आणि IoT WiFi नेटवर्क्स सुरक्षितपणे वेगळे करण्यासाठी कृतीयोग्य रणनीती प्रदान करते. हे एंटरप्राइझ इन्फ्रास्ट्रक्चर सुरक्षित कसे करावे, PCI DSS अनुपालन कसे राखायचे आणि फर्स्ट-पार्टी डेटा कॅप्चर करण्यासाठी कॅप्टिव्ह पोर्टलचा कसा फायदा घ्यावा याचे तपशील प्रदान करते.

मार्गदर्शिका वाचा →

सर्वोत्तम DNS filtering: व्यवसायांसाठी एक व्यापक मार्गदर्शक

हे तांत्रिक संदर्भ मार्गदर्शक स्पष्ट करते की कशा प्रकारे एंटरप्राइझ DNS filtering हे कनेक्शन स्थापित होण्यापूर्वीच - रिझोल्यूशन लेयरवर दुर्भावनापूर्ण डोमेन्स ब्लॉक करून सार्वजनिक नेटवर्क सुरक्षित करते. हे IT संचालक, नेटवर्क आर्किटेक्ट आणि वेन्यू ऑपरेशन्स टीम्सना डेव्हलपमेंट आर्किटेक्चर, फायरवॉल कॉन्फिगरेशन आणि अनुपालन संदर्भ प्रदान करते जे त्यांना हॉस्पिटॅलिटी, रिटेल आणि सार्वजनिक क्षेत्रातील वातावरणात Guest WiFi सुरक्षित करण्यासाठी आवश्यक आहे. Purple Shield हे ८०,००० पेक्षा जास्त थेट वेन्यूवर DNS स्तरावर मालवेअर, बॉटनेट्स आणि अयोग्य कंटेंट ब्लॉक करते.

मार्गदर्शिका वाचा →

Cisco SUDI समजून घेणे: Secure Network Access Control मधील Hardware-Anchored Identity

हे मार्गदर्शक स्पष्ट करते की Cisco SUDI कशा प्रकारे एंटरप्राइझ नेटवर्क इन्फ्रास्ट्रक्चरसाठी hardware-anchored, गुपित-सुरक्षित (cryptographically secure) ओळख प्रदान करते. तुमच्या वेन्यूच्या नेटवर्क ॲक्सेस कंट्रोल सुरक्षित करण्यासाठी स्पूफ करता येण्याजोग्या MAC ॲड्रेसेस ऐवजी अपरिवर्तनीय 802.1AR सर्टिफिकेट्स वापरण्याची पद्धत जाणून घ्या.

मार्गदर्शिका वाचा →