Cisco iPSK: व्यवसायांसाठी एक व्यापक मार्गदर्शक

Purple च्या तांत्रिक ब्रिफिंग मालिकेत आपले स्वागत आहे. आज आपण Cisco iPSK - Identity Pre-Shared Key - बद्दल बोलत आहोत आणि प्रॉपर्टी डेव्हलपर्स, BTR ऑपरेटर, हॉटेल्स आणि मल्टी-साईट रिटेल व्यवसायांसाठी हे गो-टू WiFi सुरक्षा मॉडेल का बनले आहे याबद्दल चर्चा करत आहोत.\n\nमी समस्येपासून सुरुवात करतो. तुम्ही २००-युनिटचे Build-to-Rent डेव्हलपमेंट चालवता. तुम्हाला प्रत्येक रहिवाशाला पहिल्या दिवसापासून सुरक्षित, खाजगी WiFi मिळावे असे वाटते. तुम्हाला प्रत्येक फ्लॅटमध्ये राउटर बसवायचा नाही. तुम्हाला २०० स्वतंत्र नेटवर्क्स मॅनेज करायचे नाहीत. आणि नेटवर्कवर एका रहिवाशाला दुसऱ्या रहिवाशाचा स्मार्ट टीव्ही दिसू नये, असे तुम्हाला नक्कीच वाटते.\n\nस्टँडर्ड WPA2-PSK - सामायिक पासवर्ड मॉडेल - त्वरित अयशस्वी ठरते. संपूर्ण इमारतीसाठी एक पासवर्ड म्हणजे एकाच्या चुकीमुळे सर्वांवर परिणाम होतो. आणि तुम्ही सर्व २०० जणांचा पासवर्ड बदलल्याशिवाय एका रहिवाशाचा ॲक्सेस रद्द करू शकत नाही.\n\n802.1X सह WPA3-Enterprise हे दुसरे टोक आहे. अतिशय सुरक्षित. परंतु यासाठी प्रत्येक डिव्हाइससाठी प्रमाणपत्रे किंवा युझरनेम-पासवर्ड क्रेडेंशियल आवश्यक आहेत. तुमच्या रहिवाशांचे स्मार्ट थर्मोस्टॅट्स, गेमिंग कन्सोल आणि Amazon Alexa डिव्हाइसेस 802.1X नेटवर्कशी कनेक्ट होऊ शकत नाहीत. त्यांच्याकडे कोणताही सप्लिकंट नसतो. तुम्हाला दररोज सपोर्ट कॉल्स घ्यावे लागतील.\n\nCisco iPSK अगदी मधोमध बसते. प्रत्येक रहिवाशाला त्यांची स्वतःची युनिक प्री-शेअर्ड की मिळते. रहिवाशासाठी, हे अगदी होम WiFi पासवर्डसारखे दिसते आणि अनुभवता येते. ते तो एकदा टाईप करतात आणि त्यांचे प्रत्येक डिव्हाइस कनेक्ट होते. पडद्यामागे, तथापि, Cisco Wireless LAN Controller क्लायंटचा MAC ॲड्रेस समाविष्ट असलेली RADIUS विनंती Cisco ISE - Identity Services Engine ला पाठवतो. ISE तो MAC शोधते, जुळणारे ऑथरायझेशन प्रोफाईल शोधते आणि Cisco AV-pair ॲट्रिब्यूटद्वारे अचूक PSK परत करते. कंट्रोलर नंतर त्या वैयक्तिक कीचा वापर करून कनेक्शन प्रमाणित करतो.\n\nयाचा परिणाम: संपूर्ण इमारतीसाठी एकच SSID, परंतु प्रत्येक रहिवासी त्यांच्या स्वतःच्या खाजगी नेटवर्क सेगमेंटमध्ये वेगळा राहतो. RADIUS द्वारे VLAN ओव्हरराईडचा अर्थ असा आहे की रहिवासी A हा VLAN 101 वर, रहिवासी B हा VLAN 102 वर येतो आणि तुमच्या इमारतीचे IoT डिव्हाइसेस - डोअर सेन्सर्स, CCTV, स्मार्ट मीटर्स - कोणत्याही क्रॉस-कंटॅमिनेशनशिवाय पूर्णपणे स्वतंत्र VLAN वर राहतात.\n\nआता मी तुम्हाला आर्किटेक्चर सविस्तरपणे समजावून सांगतो, कारण खरी ताकद याच ठिकाणी आहे.\n\nऑथेंटिकेशन फ्लोमध्ये चार टप्पे आहेत. पहिला, क्लायंट डिव्हाइस ॲक्सेस पॉईंटला असोसिएशन विनंती पाठवते. दुसरा, Cisco Wireless LAN Controller - मग तो Catalyst 9800 असो किंवा Cisco Meraki डॅशबोर्ड-मॅनेज्ड नेटवर्क असो - क्लायंटचा MAC ॲड्रेस युझरनेम आणि पासवर्ड म्हणून घेऊन ISE ला RADIUS Access-Request पाठवतो. तिसरा, ISE त्याच्या ऑथरायझेशन पॉलिसीचे मूल्यांकन करते. हे MAC ॲड्रेसला एंडपॉईंट आयडेंटिटी ग्रुपशी जुळवते, नियुक्त केलेला PSK मिळवते आणि दोन Cisco AV-pair ॲट्रिब्युट्स समाविष्ट असलेला Access-Accept प्रतिसाद परत करते: psk-mode equals ascii, आणि psk equals प्रत्यक्ष पासफ्रेज. चौथा, कंट्रोलर क्लायंटसह WPA2 फोर-वे EAPOL हँडशेक पूर्ण करण्यासाठी मिळालेल्या पासफ्रेजचा वापर करतो.\n\nक्लायंटच्या दृष्टीकोनातून, यामधील फरक ओळखणे अशक्य आहेm a standard WPA2-PSK connection. The complexity is entirely server-side. That is the elegance of iPSK.\n\nCatalyst 9800 वर, कॉन्फिगरेशनसाठी चार गोष्टी आवश्यक आहेत. तुम्ही WLAN वर MAC filtering सक्षम करता. तुम्ही तुमच्या ISE सर्व्हर ग्रुपकडे निर्देशित करणारी AAA authorisation method list कॉन्फिगर करता. तुम्ही पॉलिसी प्रोफाइलवर AAA override सक्षम करता. आणि तुम्ही WLAN वर एक डीफॉल्ट PSK सेट करता - हे फक्त एक प्लेसहोल्डर मूल्य आहे; कोणतेही डिव्हाइस प्रत्यक्षात ते वापरत नाही, कारण ISE नेहमी वैयक्तिक कीसह ओव्हरराइड करते.\n\nCisco Meraki वर, मार्ग थोडा वेगळा आहे. तुम्ही ॲक्सेस कंट्रोल सेटिंग्जमधून RADIUS सह Identity PSK निवडता. Meraki दोन मोड्सना सपोर्ट करते: MAC-आधारित, जेथे ISE MAC-to-PSK मॅपिंग स्टोअर करते, आणि Easy PSK, जे MR 30.x फर्मवेअरमध्ये सादर केले गेले आहे, जे प्रत्येक MAC ॲड्रेसची पूर्व-नोंदणी न करता थेट PSK पास करण्यासाठी वेंडर-विशिष्ट EAPOL ॲट्रिब्युट्स वापरते. जेव्हा तुम्ही iOS 14 आणि Android 10 डिव्हाइसेसवरील MAC randomisation हाताळत असता तेव्हा Easy PSK विशेषतः उपयुक्त ठरते - MAC-आधारित मॉडेलमध्ये डोकेदुखी ठरवणारी ही एक मोठी तांत्रिक समस्या आहे.\n\nहे अधिक स्पष्ट करण्यासाठी मी तुम्हाला दोन वास्तविक परिस्थितींची उदाहरणे देतो.\n\nपहिली परिस्थिती: ३५० युनिट्सचा Build-to-Rent गृहप्रकल्प. ऑपरेटरची इच्छा आहे की रहिवाशांना त्यांच्या गृहप्रवेशाच्या आधीच त्यांचे WiFi क्रेडेंशियल्स मिळावेत. Purple चे Multi-Tenant WiFi प्लॅटफॉर्म प्रॉपर्टी मॅनेजमेंट सिस्टमसह समाकलित (integrate) होते. जेव्हा करारावर स्वाक्षरी होते, तेव्हा PMS द्वारे Purple ला एक API कॉल ट्रिगर केला जातो, जो एक युनिक iPSK तयार करतो आणि तो ISE मध्ये प्रोव्हिजन करतो. रहिवाशांना त्यांची की ईमेलद्वारे मिळते. ते पहिल्या दिवशी प्रवेश करतात, त्यांचे सर्व डिव्हाइसेस कनेक्ट करतात आणि नेटवर्क सुरू होते. जेव्हा ते घर रिकामे करतात, तेव्हा की स्वयंचलितपणे रद्द केली जाते. सुविधा व्यवस्थापन (facilities) टीमकडून कोणतेही मॅन्युअल हस्तक्षेपाची गरज नसते. ऑपरेटरने त्यांच्या पूर्वीच्या शेअर्ड-पासवर्ड मॉडेलच्या तुलनेत WiFi शी संबंधित सपोर्ट कॉल्स ६० टक्क्यांहून अधिक कमी केले आहेत.\n\nदुसरी परिस्थिती: १८० खोल्यांचे हॉटेल. पाहुण्यांकडून वारंवार तक्रार केल्या जाणाऱ्या Captive Portal लॉगिनची गरज दूर करण्याची हॉटेलची इच्छा होती. iPSK सह, प्रत्येक खोलीला एक युनिक की मिळते जी की कार्डवर प्रिंट केलेली असते किंवा बुकिंग कन्फर्मेशन ईमेलद्वारे पाठवली जाते. पाहुणे एकदाच कनेक्ट होतात. त्यांचा फोन, टॅबलेट आणि लॅपटॉप सर्व एकाच मुक्कामात नंतरच्या भेटी दरम्यान स्वयंचलितपणे जोडले जातात. खोलीतील IoT डिव्हाइसेस - स्मार्ट टीव्ही, Chromecast, इन-रूम टॅबलेट - स्वतंत्र VLAN वर असतात, जे पाहुण्यांच्या ट्रॅफिकपासून वेगळे ठेवले जातात. हॉटेलच्या PMS इंटिग्रेशनचा अर्थ असा आहे की की चेक-इनच्या वेळी तयार केल्या जातात आणि फ्रंट डेस्कवर कोणत्याही मॅन्युअल स्टेप्सशिवाय चेक-आउटच्या वेळी रद्द केल्या जातात.\n\nआता, मर्यादांबद्दल थोडे बोलूया - कारण कोणतीही तंत्रज्ञान मर्यादांशिवाय नसते.\n\nCisco iPSK मधील सध्याची सर्वात मोठी मर्यादा म्हणजे WPA3 आणि 6 GHz बँड. WPA3 हे Simultaneous Authentication of Equals - SAE - वापरते, जे WPA2-PSK पेक्षा अधिक सुरक्षित हँडशेक आहे. SAE सध्या प्रति SSID एकापेक्षा जास्त प्री-शेअर्ड की ला अशा प्रकारे सपोर्ट करत नाही ज्या प्रकारे WPA2 करतो. ही केवळ Cisco पुरती मर्यादित अडचण नाही. याचा परिणाम HPE Aruba च्या MPSK, Ruckus DPSK, Juniper Mist PPSK वर देखील होतो - प्रत्येक वेंडरला याच समस्येचा सामना करावा लागतो कारण हे थेट IEEE 802.11 मानकामध्येच समाविष्ट आहे.\n\nयाचा व्यावहारिक परिणाम: जर तुम्ही WiFi 6E किंवा WiFi 7 ॲक्सेस डिप्लॉय करत असालs points आणि 6 GHz बँड वापरायचा असल्यास, तुम्ही तेथे iPSK चालवू शकत नाही. 6 GHz बँडसाठी WPA3 अनिवार्य आहे. तुमचे पर्याय म्हणजे व्यवस्थापित (managed) उपकरणांसाठी 6 GHz वर WPA3-Enterprise वापरताना 2.4 आणि 5 GHz बँडवर iPSK चालवणे, किंवा या मानकाच्या (standard) विकासाची वाट पाहणे.\n\nदुसरे कार्यात्मक आव्हान म्हणजे MAC ॲड्रेस रँडमायझेशन (MAC address randomisation). Apple iOS 14 आणि Android 10 ने गोपनीयता वैशिष्ट्य म्हणून प्रति-नेटवर्क रँडमायझ्ड MAC ॲड्रेस सादर केले. MAC-आधारित iPSK डिप्लॉयमेंटमध्ये, कंट्रोलर ISE ला रँडमायझ्ड MAC पाठवतो. ISE ते ओळखत नाही. प्रमाणीकरण (Authentication) अपयशी ठरते. Cisco Meraki चा Easy PSK मोड MAC लुकअपऐवजी EAPOL पॅरामीटर्सद्वारे प्रमाणीकरण करून याचे मोठ्या प्रमाणावर निराकरण करतो.\n\nआम्ही पूर्ण करण्यापूर्वी मी तुम्हाला पाच व्यावहारिक नियम सांगतो.\n\nनियम एक: जर तुमच्याकडे एकाच SSID वर 50 पेक्षा जास्त उपकरणे किंवा वापरकर्ते असतील आणि तुम्हाला प्रति-उपकरण प्रवेश नियंत्रण (access control) हवे असेल, तर iPSK हे निश्चितपणे योग्य मॉडेल आहे. मानक PSK स्केलेबल नाही, आणि 802.1X तुमच्या IoT उपकरणांना खंडित करेल.\n\nनियम दोन: तुम्ही iPSK कॉन्फिगर करण्यापूर्वी नेहमी तुमच्या VLAN आर्किटेक्चरचे नियोजन करा. iPSK ची ताकद म्हणजे RADIUS द्वारे VLAN ओव्हरराइड (override) आहे. जर तुम्ही तुमचे VLANs - रहिवासी, IoT, कर्मचारी, व्यवस्थापन - डिझाइन केले नसतील, तर तुम्हाला नंतर मोठ्या खर्चात हे बदल करावे लागतील.\n\nनियम तीन: तुम्ही Cisco Meraki वर असल्यास आणि तुमच्याकडे iOS किंवा Android क्लायंट असल्यास, Easy PSK मोड वापरा, MAC-आधारित मोड नाही. MAC रँडमायझेशनमुळे मोठ्या प्रमाणावर प्रमाणीकरण अपयशी ठरेल.\n\nनियम चार: लाइफसायकल मॅनेजमेंट लेयरशिवाय iPSK डिप्लॉय करू नका. ISE मधील हजारो की (keys) मॅन्युअली व्यवस्थापित करणे शाश्वत नाही. तुमच्या ओळख प्रदात्याशी (identity provider) - Microsoft Entra ID, Okta, किंवा Google Workspace शी समाकलित (integrate) करा - किंवा Purple सारखा प्लॅटफॉर्म वापरा जो तुमच्या प्रॉपर्टी मॅनेजमेंट किंवा HR सिस्टमद्वारे प्रोव्हिजनिंग आणि रिव्होकेशन स्वयंचलित करतो.\n\nनियम पाच: तुम्ही आज 6 GHz डिप्लॉय करत नसलात तरीही, आताच तुमच्या WPA3 मायग्रेशनचे नियोजन करा. तुमचे नेटवर्क असे डिझाइन करा जेणेकरून WPA2 वरील iPSK जुनी आणि IoT उपकरणे हाताळेल, तर WPA3-Enterprise व्यवस्थापित कॉर्पोरेट एंडपॉइंट्स हाताळेल. आजचे हायब्रीड SSID डिझाइन १८ महिन्यांनंतरच्या कठीण री-आर्किटेक्चरला प्रतिबंधित करते.\n\nआता काही झटपट प्रश्न.\n\nCisco ISE शिवाय iPSK कार्य करू शकते का? होय. FreeRADIUS आणि Microsoft NPS दोन्ही Tunnel-Password ॲट्रिब्यूटला सपोर्ट करतात जे iPSK ला आवश्यक असते. ISE हा सर्वात वैशिष्ट्यपूर्ण पर्याय आहे, परंतु तो अनिवार्य नाही.\n\nएकच SSID किती युनिक की (keys) ला सपोर्ट करू शकतो? ISE सह Catalyst 9800 वर, ही मर्यादा प्रत्यक्षात तुमच्या RADIUS डेटाबेसच्या क्षमतेइतकी - हजारो एंट्रीज - असते. RADIUS शिवाय Cisco Meraki वर, मर्यादा 50 की इतकी आहे. RADIUS सह, ते ISE सारख्याच पातळीवर स्केल होते.\n\niPSK फास्ट रोमिंगला सपोर्ट करते का? होय. Catalyst 9800 हे iPSK सह Fast Secure Roaming ला सपोर्ट करते, आणि की कॅशिंगचा अर्थ असा आहे की कंट्रोलरला प्रत्येक रोमिंग इव्हेंटवर RADIUS ला क्वेरी करण्याची आवश्यकता नसते.\n\niPSK हे PCI-DSS चे पालन करते का? iPSK स्वतः PCI-DSS पालनाची हमी देत नाही, परंतु ते PCI-DSS 4.0 च्या नेटवर्क सेगमेंटेशन आवश्यकतांना सपोर्ट करते. कार्डधारक डेटा वातावरण (Cardholder data environments) हे अतिथी आणि IoT नेटवर्कपासून वेगळे असले पाहिजे - iPSK ची VLAN ओव्हरराइड क्षमता ही हे सेगमेंटेशनtion.\n\nथोडक्यात सांगायचे तर. Cisco iPSK तुम्हाला एकाच SSID वर प्रति-डिव्हाइस ओळख देते, तीही 802.1X प्रमाणपत्रांच्या क्लिष्टतेशिवाय आणि सामायिक केलेल्या पासवर्डच्या सुरक्षा त्रुटींशिवाय. हे बिल्ड-टू-रेंट, हॉटेल्स, रिटेल आणि अशा कोणत्याही मल्टी-टेनंट वातावरणासाठी योग्य मॉडेल आहे जिथे तुम्हाला ट्रॅफिक वेगळे करणे, अ‍ॅक्सेस लाइफसायकल स्वयंचलित करणे आणि गेमिंग कन्सोलपासून औद्योगिक IoT सेन्सरपर्यंत प्रत्येक प्रकारच्या डिव्हाइसला सपोर्ट करणे आवश्यक असते.\n\nमहत्त्वाचे निर्णय हे आहेत: Catalyst 9800 किंवा Meraki, ISE किंवा पर्यायी RADIUS, MAC-आधारित किंवा Easy PSK, आणि लाइफसायकल ऑटोमेशनसाठी तुम्ही तुमच्या आयडेंटिटी प्रोव्हाइडरसोबत कसे समाकलित करता.\n\nPurple's Multi-Tenant WiFi प्लॅटफॉर्म तो शेवटचा भाग हाताळतो - तुमच्या प्रॉपर्टी मॅनेजमेंट सिस्टम किंवा आयडेंटिटी प्रोव्हाइडरला तुमच्या Cisco इन्फ्रास्ट्रक्चरशी जोडणे, मोठ्या प्रमाणावर की प्रोव्हिजनिंग आणि रिव्होकेशन स्वयंचलित करणे, तेही 80,000 पेक्षा जास्त लाइव्ह ठिकाणांवर आणि ही संख्या वाढतच आहे.\n\nजर तुम्हाला यापैकी कशाबद्दलही अधिक तपशीलवार माहिती हवी असेल - आर्किटेक्चर पुनरावलोकन, ISE कॉन्फिगरेशन किंवा पायलट डिप्लॉयमेंट - तर आमच्या टीमशी बोलण्यासाठीची लिंक मार्गदर्शकामध्ये दिली आहे. ऐकल्याबद्दल धन्यवाद.