How to Configure SCEP for Secure Enterprise WiFi and BYOD Provisioning

हे तांत्रिक मार्गदर्शक सुरक्षित 802.1X एंटरप्राइझ WiFi ऑथेंटिकेशन आणि BYOD प्रोव्हिजनिंग स्वयंचलित करण्यासाठी सिम्पल सर्टिफिकेट एनरोलमेंट प्रोटोकॉल (SCEP) कसे कॉन्फिगर करावे हे स्पष्ट करते. हे नेटवर्क आर्किटेक्ट्स आणि IT मॅनेजर्सना एक निश्चित डिप्लॉयमेंट क्रम, हॉस्पिटॅलिटी आणि रिटेलमधील वास्तविक अंमलबजावणीची उदाहरणे आणि एंटरप्राइझ नेटवर्कमधून असुरक्षित प्री-शेअर्ड की आणि MAC ऑथेंटिकेशन बायपास काढून टाकण्यासाठी जोखीम कमी करण्याच्या धोरणांची माहिती देते.

📖 8 मिनिट वाचन📝 1,754 शब्द🔧 2 सोडवलेली उदाहरणे❓ 4 सराव प्रश्न📚 10 महत्वाच्या व्याख्या

हे मार्गदर्शक ऐका

पॉडकास्ट ट्रान्सक्रिप्ट पहा

Purple कडून या तांत्रिक ब्रीफिंगमध्ये आपले स्वागत आहे. मी तुमचा होस्ट आहे, आणि आज आपण सुरक्षित एंटरप्राइझ WiFi आणि BYOD प्रोव्हिजनिंगसाठी SCEP च्या कॉन्फिगरेशनचा सखोल अभ्यास करणार आहोत.

हॉस्पिटॅलिटी, रिटेल आणि सार्वजनिक क्षेत्रांमध्ये कार्यरत असलेल्या IT मॅनेजर्स, नेटवर्क आर्किटेक्ट्स आणि CTOs साठी, नेटवर्क ॲक्सेस व्यवस्थापित करणे हा सुरक्षा आणि ऑपरेशनल कार्यक्षमता यामधील एक सततचा समतोल आहे. तुम्ही दररोज तुमच्या नेटवर्कशी कनेक्ट होणाऱ्या शेकडो, कधीकधी हजारो डिव्हाइसेस हाताळत आहात. कर्मचाऱ्यांचे स्मार्टफोन, कंत्राटदारांचे लॅपटॉप, पॉइंट-ऑफ-सेल टॅब्लेट. आणि हे हाताळण्याचे जुने मार्ग आता पुरेसे राहिलेले नाहीत.

कर्मचारी आणि BYOD WiFi साठी प्री-शेअर्ड की किंवा PSKs वर अवलंबून राहणे ही एक सुरक्षा असुरक्षितता आहे ज्याचा गैरफायदा घेतला जाऊ शकतो. एक शेअर्ड पासवर्ड, एकदा तडजोड झाली की, कोणालाही तुमच्या नेटवर्कमध्ये प्रवेश देतो. आणि MAC ऑथेंटिकेशन बायपास किंवा MAB देखील काही चांगले नाही. आधुनिक स्मार्टफोन डीफॉल्टनुसार यादृच्छिक (randomised) MAC पत्ते वापरतात, ज्यामुळे MAB पूर्णपणे निकामी होते, आणि MAC पत्ते काही सेकंदात स्पूफ केले जाऊ शकतात.

आधुनिक नेटवर्क आर्किटेक्चरसाठी EAP-TLS वापरून 802.1X ऑथेंटिकेशन आवश्यक आहे. हे सुनिश्चित करते की प्रत्येक डिव्हाइस नेटवर्कला स्पर्श करण्यापूर्वी क्रिप्टोग्राफिकली सत्यापित केले जाते. परंतु आव्हान हे आहे: तुमच्या हेल्पडेस्कवर ताण न आणता हजारो अनमॅनेज्ड डिव्हाइसेसना युनिक क्लायंट सर्टिफिकेट्स कसे वितरित करायचे? याचे उत्तर आहे सिम्पल सर्टिफिकेट एनरोलमेंट प्रोटोकॉल किंवा SCEP.

चला आर्किटेक्चरपासून सुरुवात करूया. SCEP हे एंटरप्राइझ डिव्हाइस एनरोलमेंटसाठीचे उद्योग मानक आहे, जे RFC 8894 मध्ये परिभाषित केले आहे. हे १९९९ पासून अस्तित्वात आहे, मूळतः VeriSign द्वारे तयार केले गेले आहे, आणि ते काळाच्या कसोटीवर टिकले आहे कारण ते खरोखर कठीण समस्येचे उत्कृष्टपणे निराकरण करते.

SCEP वर्कफ्लोमध्ये, डिव्हाइस स्थानिक पातळीवर स्वतःची प्रायव्हेट आणि पब्लिक की पेअर जनरेट करते. हे एक सर्टिफिकेट सायनिंग रिक्वेस्ट किंवा CSR तयार करते आणि नेटवर्क डिव्हाइस एनरोलमेंट सर्व्हिस म्हणजेच NDES द्वारे तुमच्या सर्टिफिकेट अथॉरिटी किंवा CA कडे पाठवते. CA विनंती प्रमाणित करतो आणि स्वाक्षरी केलेले पब्लिक सर्टिफिकेट डिव्हाइसला परत करतो.

येथे महत्त्वाचा सुरक्षा फायदा असा आहे की प्रायव्हेट की कधीही डिव्हाइस सोडत नाही. हे स्थानिक पातळीवर जनरेट केले जाते आणि डिव्हाइसच्या हार्डवेअर सिक्युर एन्क्लेव्हमध्ये स्टोअर केले जाते. विंडोज लॅपटॉपवर, ते Trusted Platform Module किंवा TPM असते. आयफोनवर, ते Secure Enclave असते. प्रायव्हेट की कधीही नेटवर्कवर ट्रान्समिट केली जात नाही. हेच SCEP ला नेटवर्क ऑथेंटिकेशनसाठी PKCS सारख्या पर्यायांपेक्षा अत्यंत श्रेष्ठ बनवते, जेथे CA मध्यवर्ती पातळीवर की पेअर जनरेट करतो आणि डिव्हाइसवर ट्रान्समिट करतो.

आता, BYOD बद्दल बोलूया. ऑपरेशनल दृष्टिकोनातून हे खरोखर मनोरंजक आहे. तुम्हाला कर्मचाऱ्यांना अंतर्गत टूल्स वापरण्यासाठी त्यांचे वैयक्तिक डिव्हाइसेस वापरण्याची परवानगी द्यायची आहे, परंतु तुम्हाला त्यांना तुमच्या कॉर्पोरेट MDM मध्ये एनरोल करण्यास भाग पाडायचे नाही. ही गोपनीयतेची चिंता आहे आणि कर्मचाऱ्यांकडून याला तीव्र विरोध होतो.

याचे समाधान म्हणजे सेल्फ-सर्व्हिस ऑनबोर्डिंग पोर्टल. हे कसे कार्य करते ते येथे आहे. युझर त्यांचे वैयक्तिक डिव्हाइस एका समर्पित प्रोव्हिजनिंग SSID शी कनेक्ट करतो. हे नेटवर्क एक मर्यादित क्षेत्र (walled garden) आहे, जे ऑनबोर्डिंग पोर्टल आणि तुमच्या आयडेंटिटी प्रोव्हाइडरशिवाय इतर कशाचाही ॲक्सेस प्रतिबंधित करते. युझर त्याच्या कॉर्पोरेट क्रेडेंशियल्सचा वापर करून ऑथेंटिकेट करतो, सामान्यतः Microsoft Entra ID, Okta किंवा Google Workspace सह SAML इंटिग्रेशनद्वारे. यशस्वी ऑथेंटिकेशन झाल्यावर, सिस्टम SCEP द्वारे एक युनिक, डिव्हाइस-विशिष्ट क्लायंट सर्टिफिकेट जनरेट करते. सर्टिफिकेट, रूट CA सर्टिफिकेट आणि नेटवर्क सेटिंग्ज असलेले कॉन्फिगरेशन प्रोफाइल डिव्हाइसवर पुश केले जाते. त्यानंतर डिव्हाइस EAP-TLS वापरून सुरक्षित कॉर्पोरेट SSID शी स्वयंचलितपणे कनेक्ट होते.

हे युझरसाठी अखंड आणि एंटरप्राइझसाठी सुरक्षित आहे. त्यांना सर्टिफिकेट्स किंवा 802.1X बद्दल काहीही माहित असण्याची गरज नाही. ते फक्त एकदा लॉग इन करतात आणि कनेक्ट होतात.

आता, अंमलबजावणीचा सविस्तर आढावा घेऊया. डिप्लॉयमेंटचा क्रम अत्यंत महत्त्वाचा आहे आणि तो चुकीचा होणे हे अपयशाचे सर्वात सामान्य कारण आहे.

पहिली पायरी: Trusted Root सर्टिफिकेट डिप्लॉय करा. कोणतेही डिव्हाइस क्लायंट सर्टिफिकेटची विनंती करण्यापूर्वी किंवा तुमच्या RADIUS सर्व्हरवर विश्वास ठेवण्यापूर्वी, त्याने जारी करणाऱ्या सर्टिफिकेट अथॉरिटीवर विश्वास ठेवला पाहिजे. तुमचे Root CA सर्टिफिकेट .cer फाइल म्हणून एक्सपोर्ट करा आणि ते तुमच्या लक्ष्यित डिव्हाइस ग्रुप्सवर डिप्लॉय करा. ही पायरी बंधनकारक आहे. याशिवाय, संपूर्ण साखळी अयशस्वी होते.

दुसरी पायरी: SCEP सर्टिफिकेट प्रोफाइल कॉन्फिगर करा. हे डिव्हाइसेसना त्यांचे क्लायंट सर्टिफिकेट कसे मिळवायचे याबद्दल सूचना देते. तुम्हाला सब्जेक्ट नेम फॉरमॅट कॉन्फिगर करणे आवश्यक आहे. युझर-चालित ऑथेंटिकेशनसाठी, मानक CN equals UserPrincipalName आहे. डिव्हाइस ऑथेंटिकेशनसाठी, CN equals Azure AD Device ID वापरा. की युसेज डिजिटल सिग्नेचर आणि की एनसायफरमेंटवर सेट करा. एक्सटेंडेड की युसेज अंतर्गत, OID 1.3.6.1.5.5.7.3.2 सह Client Authentication निर्दिष्ट करा. या प्रोफाइलला पहिल्या पायरीवरील Trusted Root सर्टिफिकेट प्रोफाइलशी लिंक करा. आणि तुमच्या NDES सर्व्हरचा बाह्य URL प्रदान करा.

तिसरी पायरी: 802.1X WiFi प्रोफाइल डिप्लॉय करा. हे सर्टिफिकेट्सना नेटवर्क SSID शी जोडते. तुमच्या ॲक्सेस पॉइंट्सद्वारे ब्रॉडकास्ट केल्याप्रमाणे नेटवर्कचे नाव अचूक प्रविष्ट करा. सुरक्षा प्रकार WPA2-Enterprise किंवा WPA3-Enterprise वर सेट करा. EAP प्रकार EAP-TLS वर सेट करा. क्लायंट ऑथेंटिकेशन सर्टिफिकेट म्हणून SCEP सर्टिफिकेट प्रोफाइल निवडा. आणि सर्व्हर व्हॅलिडेशनसाठी Trusted Root सर्टिफिकेट निर्दिष्ट करा.

या संपूर्ण ब्रीफिंगमधून लक्षात ठेवण्याची ही सर्वात महत्त्वाची गोष्ट आहे. विश्वास (Trust), नंतर सर्टिफिकेट, नंतर WiFi. याच क्रमाने, प्रत्येक वेळी.

आता मी तुम्हाला काही सर्वोत्तम पद्धती सांगतो ज्या तुम्हाला उत्पादनादरम्यान मोठ्या त्रासापासून वाचवतील.

पहिले, Azure AD Application Proxy द्वारे तुमचा NDES सर्व्हर प्रकाशित करा. रिमोट डिव्हाइसेस ऑन-साइट येण्यापूर्वी त्यांना सर्टिफिकेट्स प्रोव्हिजन करण्याची परवानगी देण्यासाठी NDES सर्व्हर इंटरनेटवरून ॲक्सेस करण्यायोग्य असणे आवश्यक आहे. परंतु अंतर्गत सर्व्हर थेट इंटरनेटवर उघड करणे हा एक मोठा सुरक्षा धोका आहे. Application Proxy तुम्हाला इनबाउंड फायरवॉल पोर्ट्स न उघडता सुरक्षित रिमोट ॲक्सेस देते.

दुसरे, BYOD डिव्हाइसेससाठी अल्पायुषी सर्टिफिकेट्स लागू करा. तीन वर्षांसाठी वैध असलेल्या सर्टिफिकेटऐवजी, ९० दिवसांसाठी वैध असलेली सर्टिफिकेट्स जारी करा. जेव्हा सर्टिफिकेट कालबाह्य होते, तेव्हा युझरने ऑनबोर्डिंग पोर्टलद्वारे पुन्हा ऑथेंटिकेट करणे आवश्यक आहे. हे नैसर्गिकरित्या नेटवर्कमधून जुनी डिव्हाइसेस काढून टाकते. ९० दिवसांत न वापरलेले डिव्हाइस सहजपणे बाहेर पडते. कोणत्याही मॅन्युअल क्लीनअपची आवश्यकता नाही.

तिसरे, आणि हे अत्यंत गंभीर आहे, तुमच्या RADIUS सर्व्हरला कठोर सर्टिफिकेट रिव्होकेशन लिस्ट (CRL) चेकिंग लागू करण्यासाठी कॉन्फिगर करा. जेव्हा एखादा कर्मचारी संस्था सोडतो, तेव्हा त्याचे Active Directory खाते निष्क्रिय केल्याने त्याचे क्लायंट सर्टिफिकेट वैध असल्यास त्याचा WiFi ॲक्सेस त्वरित रद्द होणार नाही. तुमच्या RADIUS सर्व्हरने ॲक्सेस देण्यापूर्वी CRL तपासले पाहिजे. तुमचे CRL डिस्ट्रिब्युशन पॉइंट्स अत्यंत उपलब्ध असल्याची खात्री करा. जर RADIUS सर्व्हर CRL पर्यंत पोहोचू शकला नाही, तर सर्वांसाठी ऑथेंटिकेशन अयशस्वी होते. तो एक मोठा आउटेज ठरेल.

आता आपण काही सामान्य अपयशाचे प्रकार आणि ते कसे टाळायचे ते पाहूया.

सर्वात वारंवार येणारी समस्या म्हणजे WiFi प्रोफाइल लागू न होणे. डिव्हाइसला Trusted Root आणि SCEP सर्टिफिकेट्स मिळतात, परंतु WiFi प्रोफाइल MDM कन्सोलमध्ये Error म्हणून दर्शवते. दहापैकी नऊ वेळा, ही ग्रुप टार्गेटिंग विसंगती असते. जर SCEP प्रोफाइल युझर ग्रुपला नियुक्त केले असेल, परंतु WiFi प्रोफाइल डिव्हाइस ग्रुपला नियुक्त केले असेल, तर MDM डिपेंडन्सी सोडवू शकत नाही. तुमच्या असाइनमेंट्सचे ऑडिट करा. तिन्ही प्रोफाइल्स एकाच ग्रुपला लक्ष्य करत असल्याची खात्री करा.

दुसरी सामान्य समस्या म्हणजे NDES 403 Forbidden एरर. डिव्हाइसेस SCEP सर्टिफिकेट मिळवण्यात अपयशी ठरतात आणि NDES IIS लॉग HTTP 403 एरर दर्शवतात. हे सहसा सर्टिफिकेट टेम्पलेटवर कनेक्टर सर्व्हिस अकाउंटमध्ये आवश्यक परवानग्या नसल्यामुळे किंवा फायरवॉल SCEP द्वारे वापरल्या जाणाऱ्या विशिष्ट क्वेरी स्ट्रिंग पॅरामीटर्सना ब्लॉक करत असल्यामुळे होते. कनेक्टर अकाउंटमध्ये CA टेम्पलेटवर Read आणि Enroll परवानग्या असल्याची पडताळणी करा. operation equals GetCACaps पॅरामीटर असलेल्या URL ब्लॉक केल्या जात नाहीत याची खात्री करण्यासाठी तुमचे फायरवॉल लॉग तपासा.

हे व्यवहारात कसे घडते हे स्पष्ट करण्यासाठी मी तुम्हाला दोन वास्तविक परिस्थिती सांगतो.

परिस्थिती एक: एका २०० खोल्यांच्या हॉटेलमध्ये ५० हाउसकीपिंग कर्मचारी शेड्यूलिंग ॲप वापरण्यासाठी वैयक्तिक स्मार्टफोन वापरत आहेत. IT मॅनेजरला कर्मचाऱ्यांच्या गोपनीयतेचा आदर करण्यासाठी पूर्ण MDM एनरोलमेंट टाळायची आहे. याचे समाधान म्हणजे Microsoft Entra ID सह एकत्रित केलेले सेल्फ-सर्व्हिस पोर्टल. कर्मचारी प्रोव्हिजनिंग SSID शी कनेक्ट होतात, त्यांच्या Entra ID क्रेडेंशियल्ससह लॉग इन करतात आणि SCEP प्रोफाइल डाउनलोड करतात. SCEP सर्व्हर थेट डिव्हाइसवर ३० दिवसांचे क्लायंट सर्टिफिकेट जारी करतो. डिव्हाइस EAP-TLS वापरून Staff WiFi SSID शी कनेक्ट होते. RADIUS सर्व्हर या डिव्हाइसेसना एका प्रतिबंधित VLAN मध्ये नियुक्त करतो जो केवळ शेड्यूलिंग ॲपला ॲक्सेस देतो. जेव्हा एखादा कर्मचारी राजीनामा देतो, तेव्हा त्याचे Entra ID खाते निष्क्रिय केले जाते आणि RADIUS सर्व्हर त्वरित नेटवर्क ॲक्सेस नाकारतो.

परिस्थिती दोन: ५०० स्टोअर्स असलेली एक राष्ट्रीय रिटेल चेन कॉर्पोरेट-मालकीच्या पॉइंट-ऑफ-सेल टॅब्लेटसाठी सुरक्षित WiFi डिप्लॉय करत आहे. नेटवर्क आर्किटेक्टला हे सुनिश्चित करायचे आहे की टॅब्लेट चोरीला गेला तरीही क्रेडेंशियल्स काढले जाऊ शकत नाहीत. याचे समाधान म्हणजे Microsoft Intune SCEP द्वारे सर्टिफिकेट्स डिप्लॉय करणे. Intune Trusted Root सर्टिफिकेट पुश करते, त्यानंतर एक SCEP प्रोफाइल पाठवते जे टॅब्लेटला त्याच्या हार्डवेअर सिक्युर एन्क्लेव्हमध्ये स्वतःची प्रायव्हेट की जनरेट करण्याची सूचना देते. टॅब्लेट NDES सर्व्हरला CSR सबमिट करतो, क्लायंट सर्टिफिकेट प्राप्त करतो आणि EAP-TLS वापरून Retail POS SSID शी कनेक्ट होतो. प्रायव्हेट की स्थानिक पातळीवर जनरेट केली जात असल्याने आणि कधीही ट्रान्समिट केली जात नसल्याने, चोरी झालेल्या टॅब्लेटचे क्रेडेंशियल्स इतरत्र वापरले जाऊ शकत नाहीत. हे PCI DSS अनुपालन आवश्यकता पूर्ण करते.

आता, बिझनेस केसबद्दल बोलूया. SCEP 802.1X सर्टिफिकेट डिप्लॉयमेंटवर जाणे सुरक्षा आणि ऑपरेशन्समध्ये मोजता येण्याजोगा परतावा देते.

पासवर्ड-आधारित WiFi मोठ्या प्रमाणावर हेल्पडेस्क तिकिटे जनरेट करते. पासवर्ड समाप्ती, लॉकआउट्स, टायपिंगच्या चुका. सर्टिफिकेट-आधारित ऑथेंटिकेशन युझरसाठी अदृश्य असते. डिव्हाइसेस स्वयंचलितपणे कनेक्ट होतात. हे सामान्यतः WiFi-संबंधित हेल्पडेस्क व्हॉल्यूम ७०% ने कमी करते. हा ऑपरेशनल खर्चामध्ये मोठा घट आहे.

EAP-TLS क्रेडेंशियल चोरी आणि मॅन-इन-द-मिडल हल्ल्यांचा धोका दूर करते. रिटेल वातावरणात PCI DSS आणि सर्व क्षेत्रांमध्ये GDPR च्या अनुपालनासाठी हे अत्यंत महत्त्वाचे आहे. डेटा ब्रीचचा खर्च योग्य PKI पायाभूत सुविधा डिप्लॉय करण्याच्या खर्चापेक्षा कितीतरी जास्त असतो.

आणि आधीच Purple चे Guest WiFi आणि ॲनालिटिक्स प्लॅटफॉर्म वापरत असलेल्या संस्थांसाठी, कर्मचाऱ्यांच्या BYOD डिव्हाइसेसवर सुरक्षित ऑनबोर्डिंगचा विस्तार करणे एक युनिफाइड नेटवर्क मॅनेजमेंट धोरण प्रदान करते. Purple चे हार्डवेअर-अज्ञेयवादी क्लाउड ओव्हरले Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme आणि Fortinet सह एकत्रित होते, त्यामुळे तुम्ही एकाच हार्डवेअर व्हेंडरपुरते मर्यादित राहत नाही. Purple ८०,००० हून अधिक थेट वेन्यूमध्ये कार्यरत आहे आणि त्याने २०२४ मध्ये ४४० दशलक्ष लॉगइन्सवर प्रक्रिया केली आहे, ज्याच्याकडे ISO 27001, GDPR, CCPA आणि Cyber Essentials सर्टिफिकेशन्स आहेत.

तुम्हाला घ्याव्या लागणाऱ्या महत्त्वाच्या निर्णयांच्या जलद सारांशासह मी समाप्त करतो.

तुम्ही SCEP वापरावे की PKCS? WiFi ऑथेंटिकेशनसाठी SCEP वापरा. प्रायव्हेट की डिव्हाइसवरच राहते. केवळ ईमेल एन्क्रिप्शनसाठी PKCS वापरा जेथे की एस्क्रो आवश्यक आहे.

सर्टिफिकेट्स किती काळ वैध असावीत? BYOD साठी ९० दिवस. कॉर्पोरेट-मॅनेज्ड डिव्हाइसेससाठी एक ते दोन वर्षे.

तुम्ही तुमच्या MDM मध्ये युझर की डिव्हाइस टार्गेटिंग वापरावे? युझर लॉग इन करण्यापूर्वी कनेक्ट होणे आवश्यक असलेल्या कॉर्पोरेट डिव्हाइसेससाठी डिव्हाइस टार्गेटिंग वापरा. BYOD साठी युझर टार्गेटिंग वापरा जेथे सर्टिफिकेट वैयक्तिक व्यक्तीशी जोडलेले असावे.

तुम्ही Android फ्रॅगमेंटेशन कसे हाताळता? शक्य तिथे Passpoint, ज्याला Hotspot 2.0 देखील म्हटले जाते, वापरा. हे सर्व Android उत्पादकांमध्ये सुसंगत कनेक्शन अनुभव प्रदान करते.

आणि शेवटी, सर्वात महत्त्वाची गोष्ट कोणती आहे? तुमच्या RADIUS सर्व्हरवर CRL चेकिंग. याशिवाय, रद्द केलेले सर्टिफिकेट देखील नेटवर्क ॲक्सेस देऊ शकते.

हे आजच्या ब्रीफिंगचे शेवट आहे. जर तुम्हाला यापैकी कोणत्याही विषयावर सखोल माहिती हवी असेल, तर एंटरप्राइझ WiFi सुरक्षा आणि EAP-TLS सर्टिफिकेट ऑथेंटिकेशनवरील Purple चे तांत्रिक मार्गदर्शक Purple च्या purple.ai या वेबसाइटवर उपलब्ध आहेत. ऐकल्याबद्दल धन्यवाद.

महत्वाचे मुद्दे

✓802.1X EAP-TLS हे सुरक्षित एंटरप्राइझ WiFi साठीचे मानक आहे, ज्यासाठी सर्व डिव्हाइसेसवर क्लायंट सर्टिफिकेट्स आवश्यक आहेत. प्री-शेअर्ड की आणि MAC ऑथेंटिकेशन बायपास एंटरप्राइझ वातावरणासाठी व्यवहार्य नाहीत.
✓SCEP मोठ्या प्रमाणावर सर्टिफिकेट डिप्लॉयमेंट स्वयंचलित करते. प्रायव्हेट की डिव्हाइसवर जनरेट केली जाते आणि कधीही ट्रान्समिट केली जात नाही, ज्यामुळे WiFi ऑथेंटिकेशनसाठी PKCS पेक्षा हा योग्य पर्याय ठरतो.
✓डिप्लॉयमेंटचा क्रम बदलता येणार नाही: प्रथम Trusted Root सर्टिफिकेट, दुसरे SCEP सर्टिफिकेट प्रोफाइल, तिसरे WiFi प्रोफाइल. तिन्ही प्रोफाइल्सनी तुमच्या MDM मधील अगदी एकाच ग्रुपला लक्ष्य केले पाहिजे.
✓BYOD साठी, Microsoft Entra ID, Okta किंवा Google Workspace सह एकत्रित केलेले सेल्फ-सर्व्हिस Captive Portal कर्मचाऱ्यांना पूर्ण MDM एनरोलमेंटशिवाय वैयक्तिक डिव्हाइसेस ऑनबोर्ड करण्याची परवानगी देते.
✓जुनी डिव्हाइसेस स्वयंचलितपणे काढून टाकण्यासाठी BYOD डिव्हाइसेससाठी ९० दिवसांचे सर्टिफिकेट्स जारी करा. कर्मचारी सोडतात तेव्हा त्वरित ॲक्सेस रद्द करण्यासाठी तुमच्या RADIUS सर्व्हरला कठोर CRL किंवा OCSP चेकिंगसाठी कॉन्फिगर करा.
✓अंतर्गत पायाभूत सुविधा इंटरनेटवर उघड न करता रिमोट सर्टिफिकेट प्रोव्हिजनिंगला अनुमती देण्यासाठी Azure AD Application Proxy द्वारे तुमचा NDES सर्व्हर प्रकाशित करा.
✓SCEP-आधारित 802.1X सामान्यतः WiFi-संबंधित हेल्पडेस्क तिकीट व्हॉल्यूम ७०% ने कमी करते आणि रिटेल, हॉस्पिटॅलिटी आणि हेल्थकेअर वातावरणासाठी PCI DSS आणि GDPR अनुपालन आवश्यकता पूर्ण करते.

कार्यकारी सारांश

हॉस्पिटॅलिटी, रिटेल आणि सार्वजनिक क्षेत्रांमध्ये कार्यरत असलेल्या एंटरप्राइझ वेन्यूसाठी, कर्मचारी आणि BYOD WiFi साठी प्री-शेअर्ड की (PSKs) किंवा MAC ऑथेंटिकेशन बायपास (MAB) वर अवलंबून राहणे ही सुरक्षेची जबाबदारी आहे. आधुनिक नेटवर्क आर्किटेक्चरसाठी EAP-TLS (एक्सटेन्सिबल ऑथेंटिकेशन प्रोटोकॉल-ट्रान्सपोर्ट लेयर सिक्युरिटी) वापरून 802.1X ऑथेंटिकेशन आवश्यक आहे, ज्यामुळे प्रत्येक डिव्हाइस नेटवर्कमध्ये प्रवेश करण्यापूर्वी क्रिप्टोग्राफिकली सत्यापित केले जाते. ऑपरेशनल आव्हान हे आहे की तुमच्या IT हेल्पडेस्कवर सपोर्ट तिकिटांचा ताण न आणता हजारो अनमॅनेज्ड डिव्हाइसेसना युनिक क्लायंट सर्टिफिकेट्स कसे वितरित करायचे.

सिम्पल सर्टिफिकेट एनरोलमेंट प्रोटोकॉल (SCEP), जो RFC 8894 मध्ये परिभाषित केला आहे, स्वयंचलित सर्टिफिकेट लाइफसायकल मॅनेजमेंटद्वारे या वितरण समस्येचे निराकरण करतो. SCEP चा फायदा घेऊन, IT टीम्स एंडपॉइंट्सवर ट्रस्टेड रूट आणि क्लायंट सर्टिफिकेट्स पुश करतात, ज्यामुळे प्रायव्हेट की कधीही डिव्हाइस सोडत नाही याची खात्री होते. हे मार्गदर्शक SCEP WiFi सर्टिफिकेट डिप्लॉयमेंटसाठी एक निश्चित आर्किटेक्चरल ब्ल्यूप्रिंट आणि टप्प्याटप्प्याने अंमलबजावणीचे धोरण प्रदान करते. आम्ही यशासाठी आवश्यक असलेला महत्त्वपूर्ण डिप्लॉयमेंट क्रम, हॉस्पिटॅलिटी आणि रिटेलमधील वास्तविक परिस्थिती आणि तुमचे Guest WiFi आणि कॉर्पोरेट नेटवर्क्स सुरक्षित आणि कार्यक्षम राहतील याची खात्री करण्यासाठी जोखीम कमी करण्याचे धोरण कव्हर करतो.

तांत्रिक सखोल अभ्यास: SCEP आर्किटेक्चर

SCEP हे एंटरप्राइझ डिव्हाइस एनरोलमेंटसाठीचे उद्योग मानक आहे, जे VeriSign द्वारे तयार केले गेले आहे आणि १९९९ मध्ये IETF इंटरनेट ड्राफ्ट म्हणून प्रकाशित झाले आहे. हे पब्लिक की इन्फ्रास्ट्रक्चर (PKI) वातावरणात X.509 सर्टिफिकेट्स जारी करणे स्वयंचलित करते, ज्यामुळे मोठ्या प्रमाणावर मॅन्युअल सर्टिफिकेट मॅनेजमेंटची आवश्यकता दूर होते.

SCEP वर्कफ्लोमध्ये, डिव्हाइस स्थानिक पातळीवर स्वतःची प्रायव्हेट आणि पब्लिक की पेअर जनरेट करते. हे एक सर्टिफिकेट सायनिंग रिक्वेस्ट (CSR) तयार करते आणि नेटवर्क डिव्हाइस एनरोलमेंट सर्व्हिस (NDES) सर्व्हरद्वारे तुमच्या सर्टिफिकेट अथॉरिटी (CA) कडे पाठवते. CA एका शेअर्ड सिक्रेटचा वापर करून विनंती प्रमाणित करतो आणि स्वाक्षरी केलेले पब्लिक सर्टिफिकेट डिव्हाइसला परत करतो. महत्त्वाचा सुरक्षा फायदा असा आहे की प्रायव्हेट की कधीही डिव्हाइस सोडत नाही. हे स्थानिक पातळीवर जनरेट केले जाते आणि डिव्हाइसच्या हार्डवेअर सिक्युर एन्क्लेव्हमध्ये स्टोअर केले जाते - विंडोजवर Trusted Platform Module (TPM), किंवा iOS वर Secure Enclave. हे SCEP ला 802.1X ऑथेंटिकेशनसाठी अत्यंत शिफारस केलेले दृष्टिकोन बनवते, PKCS (पब्लिक की क्रिप्टोग्राफी स्टँडर्ड्स) च्या तुलनेत जेथे CA मध्यवर्ती पातळीवर की पेअर जनरेट करतो आणि नेटवर्कवर ट्रान्समिट करतो.

SCEP सर्टिफिकेट एनरोलमेंटच्या चार पायऱ्या खालीलप्रमाणे आहेत. पहिली, डिव्हाइस NDES सर्व्हरद्वारे होस्ट केलेल्या SCEP एंडपॉइंट URL शी कनेक्ट होते. दुसरी, डिव्हाइस एनरोलमेंट विनंती ऑथेंटिकेट करण्यासाठी SCEP शेअर्ड सिक्रेट - एकतर स्टॅटिक पासवर्ड किंवा MDM प्लॅटफॉर्मद्वारे जनरेट केलेले डायनॅमिक चॅलेंज - सादर करते. तिसरी, डिव्हाइस त्याची पब्लिक की आणि ओळख माहिती असलेले CSR जनरेट करते. चौथी, CA CSR प्रमाणित करतो आणि स्वाक्षरी केलेले X.509 सर्टिफिकेट जारी करतो, जे डिव्हाइसला परत केले जाते.

SCEP विरुद्ध PKCS: योग्य यंत्रणा निवडणे

तुमचे सर्टिफिकेट डिप्लॉयमेंट धोरण डिझाइन करताना, SCEP आणि PKCS मधील निवडीचे थेट सुरक्षा परिणाम असतात. खालील तक्ता मुख्य फरक दर्शवतो.

वैशिष्ट्य	SCEP	PKCS
प्रायव्हेट की जनरेशन	डिव्हाइसवर (सिक्युर एन्क्लेव्ह)	CA सर्व्हरवर
प्रायव्हेट की ट्रान्समिशन	कधीही ट्रान्समिट केली जात नाही	नेटवर्कवर ट्रान्समिट केली जाते
पायाभूत सुविधांची आवश्यकता	NDES सर्व्हर आवश्यक	NDES आवश्यक नाही
सर्वोत्तम वापर	WiFi आणि VPN ऑथेंटिकेशन	S/MIME ईमेल एन्क्रिप्शन
802.1X साठी सुरक्षा स्थिती	शिफारस केलेले	शिफारस केलेले नाही

एंटरप्राइझ WiFi साठी SCEP निवडताना, नेहमी SCEP निवडा. प्रायव्हेट की डिव्हाइसवरच राहणे हे मूलभूत सुरक्षा वैशिष्ट्य आहे जे सर्टिफिकेट-आधारित 802.1X ऑथेंटिकेशनला कोणत्याही क्रेडेंशियल-आधारित पद्धतीपेक्षा श्रेष्ठ बनवते.

BYOD सेल्फ-सर्व्हिस ऑनबोर्डिंग फ्लो

सुरक्षित BYOD ऑनबोर्डिंगचा पाया म्हणजे पूर्ण मोबाईल डिव्हाइस मॅनेजमेंट (MDM) एनरोलमेंटची आवश्यकता नसताना लेगसी ऑथेंटिकेशनकडून EAP-TLS कडे जाणे. कर्मचाऱ्यांना वैयक्तिक स्मार्टफोन कॉर्पोरेट MDM मध्ये एनरोल करण्यास भाग पाडल्याने गोपनीयतेच्या कायदेशीर चिंता निर्माण होतात आणि तीव्र विरोध होतो. सेल्फ-सर्व्हिस ऑनबोर्डिंग पोर्टल याचे निराकरण करते.

युझर त्यांचे वैयक्तिक डिव्हाइस एका समर्पित प्रोव्हिजनिंग SSID शी कनेक्ट करतो, जे केवळ ऑनबोर्डिंग पोर्टल आणि आयडेंटिटी प्रोव्हाइडरचा ॲक्सेस मर्यादित करणारे क्षेत्र म्हणून काम करते. युझर Microsoft Entra ID, Okta किंवा Google Workspace सह SAML किंवा OAuth इंटिग्रेशनद्वारे ऑथेंटिकेट करतो. यशस्वी ऑथेंटिकेशन झाल्यावर, सिस्टम SCEP द्वारे एक युनिक, डिव्हाइस-विशिष्ट क्लायंट सर्टिफिकेट जनरेट करते. एक कॉन्फिगरेशन प्रोफाइल - ॲपलची .mobileconfig फाइल किंवा Android Passpoint प्रोफाइल - डिव्हाइसवर पुश केले जाते. त्यानंतर डिव्हाइस EAP-TLS वापरून सुरक्षित कॉर्पोरेट SSID शी स्वयंचलितपणे कनेक्ट होते. युझरला सर्टिफिकेट्स किंवा 802.1X बद्दल काहीही माहित असण्याची गरज नसते.

अंमलबजावणी मार्गदर्शक: डिप्लॉयमेंटचा क्रम

802.1X साठी SCEP यशस्वीरित्या कॉन्फिगर करण्यासाठी विशिष्ट डिप्लॉयमेंट क्रमाचे काटेकोरपणे पालन करणे आवश्यक आहे. ऑथेंटिकेशन कॉन्फिगर करण्यापूर्वी विश्वास (Trust) स्थापित करणे आवश्यक आहे. या क्रमापासून विचलित होणे हे डिप्लॉयमेंट अयशस्वी होण्याचे सर्वात सामान्य कारण आहे.

पायरी १: Trusted Root सर्टिफिकेट डिप्लॉय करा. कोणतेही डिव्हाइस क्लायंट सर्टिफिकेटची विनंती करण्यापूर्वी किंवा तुमच्या RADIUS सर्व्हरवर विश्वास ठेवण्यापूर्वी, त्याने जारी करणाऱ्या सर्टिफिकेट अथॉरिटीवर विश्वास ठेवला पाहिजे. तुमचे Root CA सर्टिफिकेट (आणि कोणतेही Intermediate CA प्रमाणपत्रे) .cer फाइल्स म्हणून. तुमच्या MDM प्लॅटफॉर्मद्वारे तुमच्या लक्ष्यित डिव्हाइस ग्रुप्सवर हा प्रोफाईल तैनात करा. ही पायरी अनिवार्य आहे.

पायरी २: SCEP प्रमाणपत्र प्रोफाईल कॉन्फिगर करा. हे डिव्हाइसेसना त्यांचे क्लायंट प्रमाणपत्र कसे मिळवायचे याचे निर्देश देते. सब्जेक्ट नेम फॉरमॅट कॉन्फिगर करा - युझर-ड्रिव्हन ऑथेंटिकेशनसाठी, CN={{UserPrincipalName}} हे मानक आहे; डिव्हाइस ऑथेंटिकेशनसाठी, CN={{AAD_Device_ID}} वापरा. की वापर (key usage) Digital signature आणि Key encipherment वर सेट करा. एक्सटेंडेड की वापर अंतर्गत, Client Authentication (OID: 1.3.6.1.5.5.7.3.2) निर्दिष्ट करा. हा प्रोफाईल पायरी १ मधील Trusted Root प्रमाणपत्र प्रोफाईलशी लिंक करा. तुमच्या NDES सर्व्हरचा बाह्य URL प्रदान करा.

पायरी ३: 802.1X WiFi प्रोफाईल तैनात करा. WiFi कॉन्फिगरेशन पुश करा जे प्रमाणपत्रांना नेटवर्क SSID शी जोडते. तुमच्या ॲक्सेस पॉइंट्सद्वारे ब्रॉडकास्ट केल्याप्रमाणेच नेटवर्कचे नाव अचूक प्रविष्ट करा. सुरक्षा प्रकार WPA2-Enterprise किंवा WPA3-Enterprise वर सेट करा. EAP प्रकार EAP-TLS वर सेट करा. क्लायंट ऑथेंटिकेशन प्रमाणपत्र म्हणून SCEP प्रमाणपत्र प्रोफाईल निवडा. डिव्हाइस केवळ तुमच्या वैध RADIUS सर्व्हरशी कनेक्ट होईल याची खात्री करण्यासाठी सर्व्हर व्हॅलिडेशनसाठी Trusted Root प्रमाणपत्र निर्दिष्ट करा.

हा क्रम सर्व समर्थित हार्डवेअर प्लॅटफॉर्मवर लागू होतो: Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme आणि Fortinet. Purple चे हार्डवेअर-अज्ञेयवादी क्लाउड ओव्हरले या सर्वांशी समाकलित होते, याचा अर्थ तुमची प्रमाणपत्र पायाभूत सुविधा एकाच हार्डवेअर विक्रेत्याशी बांधलेली नाही.

सर्वोत्तम पद्धती

Azure AD Application Proxy द्वारे NDES प्रकाशित करा. रिमोट डिव्हाइसेसना ऑन-साइट येण्यापूर्वी प्रमाणपत्रे मिळवण्याची परवानगी देण्यासाठी NDES सर्व्हर इंटरनेटवरून ॲक्सेस करण्यायोग्य असणे आवश्यक आहे. अंतर्गत सर्व्हर थेट इंटरनेटवर उघड करणे हा एक मोठा सुरक्षा धोका आहे. Azure AD Application Proxy द्वारे प्रकाशित केल्याने इनबाउंड फायरवॉल पोर्ट्स न उघडता सुरक्षित रिमोट ॲक्सेस मिळतो आणि तुम्हाला नावनोंदणी प्रवाहावर कंडीशनल ॲक्सेस पॉलिसी लागू करण्याची परवानगी मिळते.

BYOD साठी अल्पकालीन प्रमाणपत्रे जारी करा. BYOD डिव्हाइसेस अनमॅनेज्ड असल्याने, नेटवर्कवर तडजोड केलेले डिव्हाइस राहण्याचा धोका जास्त असतो. अनेक वर्षांऐवजी ९० दिवसांसाठी वैध असलेली प्रमाणपत्रे जारी करा. जेव्हा प्रमाणपत्र कालबाह्य होते, तेव्हा वापरकर्त्याला ऑनबोर्डिंग पोर्टलद्वारे पुन्हा ऑथेंटिकेट करावे लागेल. हे मॅन्युअल IT हस्तक्षेपाशिवाय नेटवर्कवरून जुने डिव्हाइसेस नैसर्गिकरित्या काढून टाकते.

RADIUS सर्व्हरवर कठोर CRL चेकिंग लागू करा. प्रमाणपत्र तैनात करणे हे सुरक्षेचे केवळ अर्धे समीकरण आहे. एखादा कर्मचारी कामावरून कमी केल्यास, त्यांचे Active Directory खाते निष्क्रिय केल्याने त्यांचे क्लायंट प्रमाणपत्र वैध राहिल्यास त्यांचा WiFi ॲक्सेस त्वरित रद्द होणार नाही. कठोर प्रमाणपत्र पुनरुत्थान सूची (CRL) चेकिंग लागू करण्यासाठी तुमचा RADIUS सर्व्हर कॉन्फिगर करा. तुमचे CRL वितरण बिंदू (CDPs) अत्यंत उपलब्ध असल्याची खात्री करा. जर RADIUS सर्व्हर CRL पर्यंत पोहोचू शकला नाही, तर सर्व वापरकर्त्यांसाठी ऑथेंटिकेशन अयशस्वी होते - एक व्यापक आउटेज.

BYOD ला समर्पित VLAN वर विभाजित करा. BYOD डिव्हाइसेस अनमॅनेज्ड असतात. तुम्ही त्यांचे OS अपडेट्स, अँटीव्हायरस स्थिती किंवा इंस्टॉल केलेले ॲप्लिकेशन्स नियंत्रित करत नाही. BYOD डिव्हाइसेसना एका समर्पित VLAN वर ठेवा जे इंटरनेट ॲक्सेस आणि कर्मचाऱ्याच्या भूमिकेसाठी आवश्यक असलेल्या विशिष्ट अंतर्गत ॲप्लिकेशन्ससाठी मर्यादित ॲक्सेस प्रदान करते. कॉर्पोरेट सर्व्हर किंवा मॅनेज्ड डिव्हाइसेसच्या समान VLAN वर BYOD डिव्हाइसेस कधीही ठेवू नका.

त्रुटी निवारण आणि जोखीम कमी करणे

WiFi प्रोफाईल लागू होण्यास अपयशी ठरते. डिव्हाइसला Trusted Root आणि SCEP प्रमाणपत्रे मिळतात, परंतु MDM कन्सोलमध्ये WiFi प्रोफाईल 'Error' म्हणून दर्शवते. हे सहसा ग्रुप टार्गेटिंग विसंगतीमुळे होते. जर SCEP प्रोफाईल युझर ग्रुपला नियुक्त केले असेल परंतु WiFi प्रोफाईल डिव्हाइस ग्रुपला नियुक्त केले असेल, तर MDM अवलंबित्व सोडवू शकत नाही. तुमच्या असाइनमेंट्सचे ऑडिट करा आणि Trusted Root, SCEP आणि WiFi प्रोफाईल्स सर्व एकाच Azure AD ग्रुपला लक्ष्य करत असल्याची खात्री करा.

NDES 403 Forbidden त्रुटी. डिव्हाइसेस SCEP प्रमाणपत्र मिळवण्यात अपयशी ठरतात आणि NDES IIS लॉग्स HTTP 403 त्रुटी दर्शवतात. कनेक्टर सर्व्हिस अकाउंटकडे प्रमाणपत्र टेम्पलेटवर आवश्यक परवानग्या नसण्याची शक्यता आहे या किंवा तुमची फायरवॉल SCEP द्वारे वापरल्या जाणाऱ्या विशिष्ट क्वेरी स्ट्रिंग पॅरामीटर्सना ब्लॉक करत आहे. कनेक्टर खात्याकडे CA टेम्पलेटवर 'Read' आणि 'Enroll' परवानग्या असल्याची पडताळणी करा. ?operation=GetCACaps असलेल्या URLs ब्लॉक केल्या जात नसल्याची खात्री करण्यासाठी फायरवॉल लॉग्स तपासा.

Android फ्रॅगमेंटेशन. Apple iOS डिव्हाइसेस .mobileconfig प्रोफाईल्स सातत्याने हाताळतात. Android अत्यंत विखंडित आहे - विविध उत्पादक आणि OS आवृत्त्या WiFi प्रोफाईल्स आणि प्रमाणपत्र स्थापना वेगवेगळ्या प्रकारे हाताळतात. ऑनबोर्डिंग पोर्टलवर स्पष्ट, OS-विशिष्ट सूचना प्रदान करा. Passpoint (Hotspot 2.0) वापरल्याने उत्पादकांमध्ये सुसंगत कनेक्शन प्रवाह प्रदान करून Android अनुभवात लक्षणीय सुधारणा होते.

प्रमाणपत्र पुनरुत्थान (revocation) विलंब. जेव्हा एखादा कर्मचारी नोकरी सोडतो, तेव्हा त्यांचा ॲक्सेस त्वरित रद्द केला पाहिजे. त्यांचे IdP खाते निष्क्रिय करणे ही पहिली पायरी आहे, परंतु RADIUS सर्व्हरने प्रमाणपत्राची स्थिती देखील सत्यापित केली पाहिजे. CRL चेकिंग व्यतिरिक्त ऑनलाइन प्रमाणपत्र स्थिती प्रोटोकॉल (OCSP) वापरण्यासाठी तुमचा RADIUS सर्व्हर कॉन्फिगर करा. OCSP वेळोवेळी अपडेट केलेल्या सूचीवर अवलंबून राहण्याऐवजी रिअल-टाइम पुनरुत्थान स्थिती प्रदान करते.

ROI आणि व्यावसायिक प्रभाव

SCEP 802.1X प्रमाणपत्र तैनातीवर संक्रमण केल्याने सुरक्षा आणि ऑपरेशन्समध्ये मोजता येण्याजोगा परतावा मिळतो. पासवर्ड-आधारित WiFi पासवर्ड कालबाह्यता, लॉकआउट्स आणि टायपिंगच्या चुकांमुळे मोठ्या प्रमाणात हेल्पडेस्क तिकिटे निर्माण करते. प्रमाणपत्र-आधारित ऑथेंटिकेशन वापरकर्त्यासाठी अदृश्य असते - डिव्हाइसेस स्वयंचलितपणे कनेक्ट होतात. हे सामान्यतः WiFi-संबंधित हेल्पडेस्कचे प्रमाण ७०% ने कमी करते, ज्यामुळे IT कर्मचाऱ्यांना धोरणात्मक कामावर लक्ष केंद्रित करण्यास वेळ मिळतो.

EAP-TLS क्रेडेंशियल हार्वेस्टिंग आणि मॅन-इन-द-मिडल (MitM) हल्ल्यांचा धोका काढून टाकते. Retail वातावरणात PCI DSS आणि सर्वत्र GDPR च्या अनुपालनासाठी हे अत्यंत आवश्यक आहेसर्व क्षेत्रांमध्ये. हॉस्पिटॅलिटी क्षेत्रात, जिथे कर्मचारी पेमेंट डेटा आणि पाहुण्यांची वैयक्तिक माहिती हाताळतात, तिथे डेटा लीकचा खर्च योग्य PKI इन्फ्रास्ट्रक्चर तैनात करण्याच्या खर्चापेक्षा कितीतरी पटीने जास्त असतो. वाहतूक चालक आणि आरोग्य सेवा ठिकाणांसाठी, तीच अनुपालन मानके लागू होतात.

आधीपासूनच Purple चे Guest WiFi आणि WiFi Analytics प्लॅटफॉर्म वापरत असलेल्या ठिकाणांसाठी, कर्मचाऱ्यांच्या BYOD उपकरणांवर सुरक्षित ऑनबोर्डिंगचा विस्तार करणे एक युनिफाइड, मजबूत नेटवर्क व्यवस्थापन धोरण प्रदान करते. Purple ८०,०००+ पेक्षा जास्त सक्रिय ठिकाणी कार्यरत आहे आणि २०२४ मध्ये ४४० दशलक्ष लॉगइन्स प्रक्रियेत आणले आहेत (Purple अंतर्गत डेटा), तसेच ISO 27001, GDPR, CCPA आणि Cyber Essentials प्रमाणपत्रांनी सुसज्ज आहे. आमचे SecurePass आणि Shield सुरक्षा ॲड-ऑन्स या मार्गदर्शकामध्ये वर्णन केलेल्या प्रमाणपत्र-आधारित प्रमाणीकरण आर्किटेक्चरसह थेट समाकलित होतात.

एंटरप्राइझ नेटवर्क सुरक्षेच्या अधिक तपशीलवार माहितीसाठी, आमचे एंटरप्राइझ WiFi सुरक्षा: २०२६ साठी एक संपूर्ण मार्गदर्शक पहा. नेटवर्क प्रशासकांसाठी विशिष्ट असलेल्या GDPR अनुपालन बाबींसाठी, GDPR आणि गेस्ट डेटा गोपनीयता अनुपालनासाठी नेटवर्क प्रशासकाचे मार्गदर्शक पहा.

महत्वाच्या व्याख्या

SCEP (Simple Certificate Enrollment Protocol)

RFC 8894 मध्ये परिभाषित केलेला एक प्रोटोकॉल जो PKI वातावरणातील डिव्हाइसेसना X.509 डिजिटल सर्टिफिकेट्स जारी करणे स्वयंचलित करतो. डिव्हाइस स्थानिक पातळीवर स्वतःची प्रायव्हेट की जनरेट करते, जी डिव्हाइस कधीही सोडत नाही.

मॅन्युअल IT हस्तक्षेपाशिवाय कॉर्पोरेट आणि BYOD डिव्हाइसेसवर मोठ्या प्रमाणावर WiFi ऑथेंटिकेशन सर्टिफिकेट्स डिप्लॉय करण्यासाठी वापरले जाते. 802.1X सर्टिफिकेट प्रोव्हिजनिंगसाठी हे उद्योग मानक आहे.

802.1X

पोर्ट-आधारित नेटवर्क ॲक्सेस कंट्रोलसाठी एक IEEE मानक (IEEE Std 802.1X-2020). हे नेटवर्क रिसोर्सेसना ॲक्सेस देण्यापूर्वी LAN किंवा WLAN शी कनेक्ट होऊ इच्छिणाऱ्या डिव्हाइसेसना ऑथेंटिकेशन यंत्रणा प्रदान करते.

असुरक्षित प्री-शेअर्ड की बदलून सुरक्षित एंटरप्राइझ WiFi चा पाया. यासाठी RADIUS सर्व्हर, क्लायंट डिव्हाइसवर सप्लिकंट आणि ॲक्सेस पॉइंटवर ऑथेंटिकेटर आवश्यक आहे.

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

एक ऑथेंटिकेशन फ्रेमवर्क ज्यामध्ये सर्व्हर आणि क्लायंट दोघांनाही वैध डिजिटल सर्टिफिकेट्स सादर करणे आवश्यक असते. हे परस्पर ऑथेंटिकेशन प्रदान करते, ज्यामुळे डिव्हाइस नेटवर्कवर विश्वास ठेवते आणि नेटवर्क डिव्हाइसवर विश्वास ठेवते याची खात्री होते.

802.1X ऑथेंटिकेशनसाठी सर्वात सुरक्षित पद्धत. क्रेडेंशियल चोरी आणि मॅन-इन-द-मिडल (Man-in-the-Middle) हल्ले दूर करते. SCEP सर्टिफिकेट डिप्लॉयमेंट ज्यासाठी डिझाइन केले आहे ते लक्ष्य ऑथेंटिकेशन प्रोटोकॉल.

NDES (Network Device Enrollment Service)

एक Microsoft Windows Server रोल जो ब्रिज म्हणून काम करतो, ज्यामुळे डोमेन क्रेडेंशियल्स नसलेल्या डिव्हाइसेसना SCEP द्वारे Active Directory Certificate Services CA कडून सर्टिफिकेट्स मिळवता येतात.

Microsoft Intune सह SCEP लागू करताना आवश्यक पायाभूत सुविधा घटक. सुरक्षित रिमोट सर्टिफिकेट प्रोव्हिजनिंगला अनुमती देण्यासाठी Azure AD Application Proxy द्वारे प्रकाशित केले जावे.

BYOD (Bring Your Own Device)

कर्मचाऱ्यांना एंटरप्राइझ नेटवर्क्स आणि ॲप्लिकेशन्समध्ये प्रवेश करण्यासाठी त्यांचे वैयक्तिक स्मार्टफोन, टॅब्लेट किंवा लॅपटॉप वापरण्याची परवानगी देण्याची पद्धत.

अनमॅनेज्ड डिव्हाइसेसना कॉर्पोरेट नेटवर्कशी तडजोड करण्यापासून रोखण्यासाठी काळजीपूर्वक नेटवर्क सेगमेंटेशन आणि सुरक्षित ऑनबोर्डिंग आवश्यक आहे. गोपनीयतेच्या चिंतेमुळे वैयक्तिक डिव्हाइसेससाठी पूर्ण MDM एनरोलमेंट अनेकदा अव्यवहार्य असते.

CRL (Certificate Revocation List)

सर्टिफिकेट अथॉरिटीद्वारे प्रकाशित केलेली एक यादी ज्यामध्ये अशा सर्टिफिकेट्सचे सिरियल नंबर असतात जे त्यांच्या समाप्ती तारखेपूर्वी रद्द केले गेले आहेत.

नोकरीवरून काढलेले कर्मचारी किंवा तडजोड केलेली डिव्हाइसेस नेटवर्कमध्ये प्रवेश करू शकत नाहीत याची खात्री करण्यासाठी प्रत्येक ऑथेंटिकेशनच्या प्रयत्नादरम्यान RADIUS सर्व्हरद्वारे तपासले जाणे आवश्यक आहे. CRL डिस्ट्रिब्युशन पॉइंट्स अत्यंत उपलब्ध असणे आवश्यक आहे.

CSR (Certificate Signing Request)

डिजिटल आयडेंटिटी सर्टिफिकेटसाठी अर्ज करण्यासाठी डिव्हाइसद्वारे जनरेट केलेला आणि सर्टिफिकेट अथॉरिटीला पाठवलेला संदेश. यामध्ये डिव्हाइसची पब्लिक की आणि ओळख माहिती असते.

SCEP प्रक्रियेदरम्यान डिव्हाइसद्वारे जनरेट केले जाते. CSR वर स्वाक्षरी करण्यासाठी वापरली जाणारी प्रायव्हेट की डिव्हाइसवरच राहते आणि कधीही ट्रान्समिट केली जात नाही.

RADIUS (Remote Authentication Dial-In User Service)

एक नेटवर्किंग प्रोटोकॉल जो नेटवर्कशी कनेक्ट होणाऱ्या युझर्स आणि डिव्हाइसेससाठी केंद्रीकृत ऑथेंटिकेशन, ऑथरायझेशन आणि अकाउंटिंग (AAA) मॅनेजमेंट प्रदान करतो.

802.1X ऑथेंटिकेशन दरम्यान क्लायंट सर्टिफिकेट प्रमाणित करणारा आणि नेटवर्क ॲक्सेस देणारा किंवा नाकारणारा सर्व्हर. कठोर CRL किंवा OCSP चेकिंग लागू करण्यासाठी कॉन्फिगर केलेला असावा.

PKCS (Public Key Cryptography Standards)

मानकांचा एक संच जेथे पब्लिक आणि प्रायव्हेट की दोन्ही सर्टिफिकेट अथॉरिटीद्वारे जनरेट केल्या जातात आणि नंतर एंडपॉइंटवर सुरक्षितपणे पोहोचवल्या जातात.

WiFi ऑथेंटिकेशनसाठी SCEP पेक्षा कमी योग्य कारण प्रायव्हेट की नेटवर्कवर ट्रान्समिट केली जाते. S/MIME ईमेल एन्क्रिप्शनसाठी अधिक योग्य जेथे की एस्क्रो आवश्यक आहे.

OCSP (Online Certificate Status Protocol)

एक प्रोटोकॉल जो वेळोवेळी अपडेट होणाऱ्या CRL ला पर्याय म्हणून रिअल-टाइम सर्टिफिकेट रिव्होकेशन स्टेटस प्रदान करतो.

उच्च-सुरक्षा वातावरणासाठी CRL पेक्षा प्राधान्य दिले जाते कारण ते काही तास जुन्या असलेल्या यादीवर अवलंबून राहण्याऐवजी त्वरित रिव्होकेशन स्टेटस प्रदान करते.

सोडवलेली उदाहरणे

एका २०० खोल्यांच्या हॉटेलला त्यांच्या ५० हाउसकीपिंग कर्मचाऱ्यांना हाउसकीपिंग शेड्यूलिंग ॲप वापरण्यासाठी त्यांच्या वैयक्तिक स्मार्टफोन (BYOD) द्वारे सुरक्षित WiFi ॲक्सेस प्रदान करायचा आहे. IT मॅनेजरला कर्मचाऱ्यांच्या गोपनीयतेचा आदर करण्यासाठी पूर्ण MDM एनरोलमेंट टाळायची आहे, परंतु एखादा कर्मचारी राजीनामा देतो तेव्हा त्याचा ॲक्सेस त्वरित रद्द केला जाईल याची खात्री करणे आवश्यक आहे.

हॉटेल Microsoft Entra ID सह एकत्रित केलेले सेल्फ-सर्व्हिस ऑनबोर्डिंग पोर्टल डिप्लॉय करते. कर्मचारी एका ओपन प्रोव्हिजनिंग SSID शी कनेक्ट होतात, त्यांच्या Entra ID क्रेडेंशियल्ससह ऑथेंटिकेट करतात आणि SCEP प्रोफाइल डाउनलोड करतात. SCEP सर्व्हर थेट डिव्हाइसवर ३० दिवसांचे क्लायंट सर्टिफिकेट जारी करतो, ज्याची प्रायव्हेट की स्मार्टफोनच्या सिक्युर एन्क्लेव्हवर स्थानिक पातळीवर जनरेट आणि स्टोअर केली जाते. डिव्हाइस EAP-TLS वापरून 'Staff_WiFi' SSID शी स्वयंचलितपणे कनेक्ट होते. RADIUS सर्व्हर या डिव्हाइसेसना एका प्रतिबंधित VLAN मध्ये नियुक्त करतो जो केवळ शेड्यूलिंग ॲप आणि इंटरनेटला ॲक्सेस देतो. जेव्हा एखादा कर्मचारी राजीनामा देतो, तेव्हा त्याचे Entra ID खाते निष्क्रिय केले जाते. कठोर CRL चेकिंगसाठी कॉन्फिगर केलेला RADIUS सर्व्हर पुढील ऑथेंटिकेशनच्या प्रयत्नात नेटवर्क ॲक्सेस नाकारतो. ३० दिवसांची सर्टिफिकेट वैधता हे सुनिश्चित करते की CRL चेकिंगला उशीर झाला तरीही, एका महिन्याच्या आत ॲक्सेस संपुष्टात येईल.

परीक्षकाचे भाष्य: हा दृष्टिकोन सुरक्षितता आणि कर्मचाऱ्यांच्या गोपनीयतेचा समतोल राखतो. पूर्ण MDM एनरोलमेंटऐवजी Captive Portal द्वारे SCEP वापरून, हॉटेल वैयक्तिक डिव्हाइसेसवर मॅनेजमेंट प्रोफाइल इन्स्टॉल करणे टाळते. ३० दिवसांची सर्टिफिकेट वैधता आणि कठोर CRL चेकिंग स्तरित ॲक्सेस कंट्रोल प्रदान करतात. VLAN सेगमेंटेशन हे सुनिश्चित करते की तडजोड केलेले BYOD डिव्हाइस देखील कॉर्पोरेट सर्व्हर किंवा पेमेंट सिस्टमपर्यंत पोहोचू शकत नाही.

५०० स्टोअर्स असलेल्या एका राष्ट्रीय रिटेल चेनला विंडोजवर चालणाऱ्या कॉर्पोरेट-मालकीच्या पॉइंट-ऑफ-सेल (POS) टॅब्लेटसाठी सुरक्षित WiFi डिप्लॉय करायचे आहे. नेटवर्क आर्किटेक्टने हे सुनिश्चित केले पाहिजे की टॅब्लेट चोरीला गेला तरीही, नेटवर्क क्रेडेंशियल्स काढले जाऊ शकत नाहीत आणि दुसऱ्या डिव्हाइसवरून कॉर्पोरेट नेटवर्कमध्ये प्रवेश करण्यासाठी वापरले जाऊ शकत नाहीत. PCI DSS अनुपालन अनिवार्य आहे.

नेटवर्क आर्किटेक्ट SCEP द्वारे सर्टिफिकेट्स डिप्लॉय करण्यासाठी Microsoft Intune कॉन्फिगर करतो. Intune 'POS Devices' ग्रुपवर Trusted Root सर्टिफिकेट पुश करते, त्यानंतर एक SCEP प्रोफाइल पाठवते जे प्रत्येक टॅब्लेटला विंडोज TPM मध्ये स्वतःची प्रायव्हेट की जनरेट करण्याची सूचना देते. टॅब्लेट NDES सर्व्हरला CSR सबमिट करतो, क्लायंट सर्टिफिकेट प्राप्त करतो आणि WPA3-Enterprise आणि EAP-TLS वापरून 'Retail_POS' SSID शी कनेक्ट होतो. RADIUS सर्व्हर सर्टिफिकेट ऑथेंटिकेट करतो आणि डिव्हाइसला आयसोलेटेड POS VLAN वर ठेवतो, जो केवळ पेमेंट प्रोसेसर आणि इन्व्हेंटरी मॅनेजमेंट सिस्टमला ट्रॅफिकची परवानगी देतो. तिन्ही Intune प्रोफाइल - Trusted Root, SCEP आणि WiFi - डिपेंडन्सी अयशस्वी होणे टाळण्यासाठी एकाच 'POS Devices' डिव्हाइस ग्रुपला नियुक्त केले जातात. टॅब्लेट ऑन-साइट असण्याची आवश्यकता नसताना सर्टिफिकेट नूतनीकरणास अनुमती देण्यासाठी NDES हे Azure AD Application Proxy द्वारे प्रकाशित केले जाते.

परीक्षकाचे भाष्य: PCI DSS वातावरणातील कॉर्पोरेट डिव्हाइसेससाठी हे सर्वोत्तम आर्किटेक्चर आहे. SCEP हे सुनिश्चित करते की प्रायव्हेट की स्थानिक पातळीवर TPM मध्ये जनरेट केली जाते आणि कधीही ट्रान्समिट केली जात नाही, त्यामुळे चोरी झालेल्या टॅब्लेटचे क्रेडेंशियल्स काढले जाऊ शकत नाहीत आणि दुसऱ्या डिव्हाइसवरून पुन्हा वापरले जाऊ शकत नाहीत. WPA3-Enterprise मानक फॉरवर्ड सिक्रसी प्रदान करते, ज्यामुळे कॅप्चर केलेले ट्रॅफिक पूर्वलक्षीपणे डिक्रिप्ट केले जाऊ शकत नाही याची खात्री होते. VLAN आयसोलेशन कोणत्याही तडजोड केलेल्या डिव्हाइसची ब्लास्ट रेडियस केवळ POS नेटवर्क सेगमेंटपुरती मर्यादित करते.

सराव प्रश्न

Q1. तुम्ही Intune द्वारे विंडोज लॅपटॉपच्या ताफ्यात SCEP प्रोफाइल डिप्लॉय करत आहात. डिव्हाइसेस यशस्वीरित्या Trusted Root सर्टिफिकेट प्राप्त करतात, परंतु WiFi प्रोफाइल लागू होण्यास अपयशी ठरते आणि Intune कन्सोलमध्ये 'Error' म्हणून दर्शवते. SCEP प्रोफाइल 'All Users' Azure AD ग्रुपला नियुक्त केले आहे, तर WiFi प्रोफाइल 'Corporate Laptops' डिव्हाइस ग्रुपला नियुक्त केले आहे. या अपयशाचे कारण काय आहे आणि तुम्ही त्याचे निराकरण कसे कराल?

टीप: प्रोफाइल्समधील डिपेंडन्सी आणि जेव्हा एखादे प्रोफाइल दुसऱ्या प्रोफाइलवर अवलंबून असते तेव्हा Intune ग्रुप टार्गेटिंगचे निराकरण कसे करते याचा विचार करा.

नमुना उत्तर पहा

हे अपयश ग्रुप टार्गेटिंग विसंगतीमुळे (mismatch) झाले आहे. Intune SCEP प्रोफाइल आणि WiFi प्रोफाइलमधील डिपेंडन्सी सोडवू शकत नाही कारण ते वेगवेगळ्या ग्रुप प्रकारांना लक्ष्य करतात - एक युझर्सना लक्ष्य करतो आणि दुसरा डिव्हाइसेसना लक्ष्य करतो. याचे निराकरण करण्यासाठी, तिन्ही प्रोफाइल असाइनमेंट्सचे ऑडिट करा आणि Trusted Root, SCEP आणि WiFi प्रोफाइल्स सर्व एकाच Azure AD ग्रुपवर डिप्लॉय केल्याची खात्री करा. सर्व प्रोफाइल्समध्ये सातत्याने युझर टार्गेटिंग किंवा डिव्हाइस टार्गेटिंग यापैकी एक निवडा.

Q2. एका रिटेल वेन्यूला त्याचे POS टॅब्लेट सुरक्षित करायचे आहेत. IT डायरेक्टर NDES सर्व्हरची आवश्यकता काढून टाकून पायाभूत सुविधा सुलभ करत असल्याने SCEP ऐवजी PKCS वापरण्याची शिफारस करतो. नेटवर्क आर्किटेक्ट म्हणून, तुम्ही 802.1X WiFi ऑथेंटिकेशनसाठी SCEP ची शिफारस का करावी आणि कोणत्या परिस्थितीत PKCS हा योग्य पर्याय असेल?

टीप: दोन्ही प्रोटोकॉलमध्ये प्रायव्हेट की कुठे जनरेट आणि स्टोअर केली जाते याचा विचार करा आणि नेटवर्क ऑथेंटिकेशन विरुद्ध ईमेल एन्क्रिप्शनसाठीच्या सुरक्षा परिणामांचा विचार करा.

नमुना उत्तर पहा

802.1X WiFi ऑथेंटिकेशनसाठी SCEP ची शिफारस करा कारण प्रायव्हेट की स्थानिक पातळीवर डिव्हाइसवर जनरेट केली जाते आणि त्याच्या हार्डवेअर सिक्युर एन्क्लेव्हमध्ये स्टोअर केली जाते. प्रायव्हेट की कधीही डिव्हाइस सोडत नाही आणि नेटवर्कवर कधीही ट्रान्समिट केली जात नाही. टॅब्लेट चोरीला गेल्यास, क्रेडेंशियल्स काढले जाऊ शकत नाहीत आणि दुसऱ्या डिव्हाइसवरून वापरले जाऊ शकत नाहीत. PKCS सह, CA मध्यवर्ती पातळीवर की पेअर जनरेट करतो आणि डिव्हाइसवर ट्रान्समिट करतो, ज्यामुळे ट्रान्समिशनचा धोका निर्माण होतो जो नेटवर्क ऑथेंटिकेशनसाठी अस्वीकार्य आहे. PKCS हा केवळ S/MIME ईमेल एन्क्रिप्शनसाठी योग्य पर्याय आहे, जेथे मूळ डिव्हाइस हरवल्यास एन्क्रिप्टेड ईमेल डिक्रिप्ट करण्याची परवानगी देण्यासाठी की एस्क्रो आवश्यक असते.

Q3. तुम्ही ५०० खाटांच्या हॉस्पिटलसाठी BYOD ऑनबोर्डिंग पोर्टल डिझाइन करत आहात. क्लिनिकल कर्मचारी स्टाफ रोटा आणि अंतर्गत मेसेजिंग यांसारख्या बिगर-गंभीर अंतर्गत ॲप्समध्ये प्रवेश करण्यासाठी त्यांचे वैयक्तिक स्मार्टफोन वापरतील. कर्मचारी सोडल्यानंतर नेटवर्कवर जुनी डिव्हाइसेस राहण्याचा धोका तुम्हाला कमी करायचा आहे, ज्यासाठी प्रत्येक कर्मचाऱ्याच्या जाण्यावर मॅन्युअल IT हस्तक्षेपाची आवश्यकता नसेल. तुम्ही कोणते विशिष्ट सर्टिफिकेट कॉन्फिगरेशन लागू केले पाहिजे?

टीप: सर्टिफिकेटच्या लाइफसायकलचा विचार करा आणि IT ला प्रत्येक सर्टिफिकेट मॅन्युअली रद्द करण्याची आवश्यकता नसताना तुम्ही डिव्हाइसेसना वेळोवेळी पुन्हा ऑथेंटिकेट करण्यास कसे भाग पाडू शकता याचा विचार करा.

नमुना उत्तर पहा

३० ते ९० दिवसांच्या वैधता कालावधीसह अल्पायुषी (short-lived) सर्टिफिकेट्स लागू करा. जेव्हा सर्टिफिकेट कालबाह्य होते, तेव्हा BYOD डिव्हाइसला कर्मचाऱ्याच्या कॉर्पोरेट IdP क्रेडेंशियल्सचा वापर करून Captive Portal द्वारे पुन्हा ऑथेंटिकेट करण्यास भाग पाडले जाते. जर कर्मचारी निघून गेला असेल आणि त्याचे IdP खाते निष्क्रिय केले गेले असेल, तर तो पुन्हा ऑथेंटिकेशन पूर्ण करू शकत नाही आणि त्याला नवीन सर्टिफिकेट मिळणार नाही. हे IT ला वैयक्तिक सर्टिफिकेट्स मॅन्युअली रद्द करण्याची आवश्यकता नसताना नेटवर्कमधून जुनी डिव्हाइसेस नैसर्गिकरित्या काढून टाकते. खाते निष्क्रिय केल्यावर त्वरित रिव्होकेशन सुनिश्चित करण्यासाठी RADIUS सर्व्हरवर OCSP चेकिंगसह हे एकत्र करा, जे सर्टिफिकेट समाप्ती सायकल दरम्यान सखोल संरक्षण (defence in depth) प्रदान करते.

Q4. तुमचा NDES सर्व्हर सर्व SCEP सर्टिफिकेट विनंत्यांसाठी HTTP 403 Forbidden एरर परत करत आहे. NDES सर्व्हर Azure AD Application Proxy द्वारे इंटरनेटवरून ॲक्सेस करण्यायोग्य आहे. या एररची दोन सर्वात संभाव्य कारणे कोणती आहेत आणि तुम्ही प्रत्येकाचे निदान कसे कराल?

टीप: सर्टिफिकेट टेम्पलेटवरील परवानग्या आणि डिव्हाइस आणि NDES सर्व्हरमधील नेटवर्क पाथ या दोन्हीचा विचार करा.

नमुना उत्तर पहा

दोन सर्वात संभाव्य कारणे आहेत: पहिले, Intune Certificate Connector सर्व्हिस अकाउंटमध्ये CA सर्टिफिकेट टेम्पलेटवर आवश्यक परवानग्या नाहीत. CA कन्सोलमधील टेम्पलेटवर सर्व्हिस अकाउंटमध्ये 'Read' आणि 'Enroll' परवानग्या असल्याची पडताळणी करा. दुसरे, फायरवॉल किंवा Application Proxy SCEP द्वारे वापरल्या जाणाऱ्या विशिष्ट क्वेरी स्ट्रिंग पॅरामीटर्सना ब्लॉक करत आहे. '?operation=GetCACaps' किंवा '?operation=PKIOperation' यांसारखे पॅरामीटर्स असलेल्या विनंत्यांसाठी फायरवॉल आणि Application Proxy लॉग तपासा. या मानक SCEP ऑपरेशन्स आहेत ज्यांना परवानगी दिली पाहिजे. जर Application Proxy क्वेरी स्ट्रिंग्स काढून टाकत असेल, तर NDES URL पाथसाठी पास-थ्रू (pass-through) ला अनुमती देण्यासाठी प्री-ऑथेंटिकेशन सेटिंग्ज समायोजित करा.

या मालिकेमध्ये पुढे वाचा

Starlink वर Captive Portal कसे सेट करावे: दुर्गम आणि सागरी ठिकाणांसाठी एक मार्गदर्शिका

ही मार्गदर्शिका मूळ Starlink हार्डवेअरला बायपास कसे करावे आणि एंटरप्राइझ राउटिंग उपकरणांचा वापर करून क्लाउड-व्यवस्थापित captive portal कसे समाकलित करावे याबद्दल तपशीलवार माहिती देते. तुम्ही CGNAT मर्यादांवर मात कशी करावी, VLAN विभाजन कसे लागू करावे, सॅटेलाइट बँडविड्थ मर्यादा कशा व्यवस्थापित कराव्यात आणि नियामक अनुपालन कसे सुनिश्चित करावे हे शिकाल.

Hotel Guest WiFi Management: Integrating PMS, Portals, and Brand Standards

हे तांत्रिक मार्गदर्शक एंटरप्राइझ-ग्रेड हॉटेल WiFi नेटवर्कची रचना कशी करावी याबद्दल तपशीलवार माहिती देते, ज्यामध्ये VLAN विभागणी, स्वयंचलित सत्र व्यवस्थापनासाठी PMS एकत्रीकरण आणि GDPR-सुसंगत डेटा कॅप्चरसाठी Captive Portal ऑप्टिमायझेशन यावर लक्ष केंद्रित केले आहे.

Captive Portal सर्वोत्तम पद्धती: उच्च रूपांतरण आणि अनुपालनासाठी डिझाइन

हे तांत्रिक मार्गदर्शक IT व्यवस्थापक, नेटवर्क आर्किटेक्ट्स आणि वेन्यू ऑपरेशन्स डायरेक्टर्सना नेटवर्क सुरक्षा आणि उच्च युझर रूपांतरण यांचा समतोल राखणारे captive portals तैनात करण्यासाठी एक संपूर्ण ब्ल्यूप्रिंट प्रदान करते. यामध्ये VLAN विभागणी आणि RADIUS प्रमाणीकरणापासून ते GDPR-सुसंगत संमती डिझाइन आणि प्रमाणीकरण पद्धत निवडीपर्यंतच्या संपूर्ण आर्किटेक्चरचा समावेश आहे. २०२४ मधील ८०,०००+ वेन्यू आणि ४४० दशलक्ष लॉगइन्सवरील Purple च्या ऑपरेशनल अनुभवातून घेतलेली, प्रत्येक शिफारस प्रत्यक्ष उपयोजन (deployment) डेटावर आधारित आहे.