मुख्य मजकुराकडे जा

सुरक्षित Enterprise WiFi आणि BYOD प्रोव्हिजनिंगसाठी SCEP कसे कॉन्फिगर करावे

हे तांत्रिक मार्गदर्शक सुरक्षित 802.1X enterprise WiFi ऑथेंटिकेशन आणि BYOD प्रोव्हिजनिंग स्वयंचलित करण्यासाठी Simple Certificate Enrolment Protocol (SCEP) कसे कॉन्फिगर करावे हे स्पष्ट करते. हे नेटवर्क आर्किटेक्ट्स आणि IT व्यवस्थापकांना एक निश्चित डिप्लॉयमेंट क्रम, हॉस्पिटॅलिटी आणि रिटेलमधील वास्तविक अंमलबजावणीची उदाहरणे आणि एंटरप्राइझ नेटवर्कमधून असुरक्षित प्री-शेअर्ड की आणि MAC Authentication Bypass काढून टाकण्यासाठी जोखीम कमी करण्याच्या धोरणांची माहिती देते.

📖 8 मिनिट वाचन📝 1,754 शब्द🔧 2 सोडवलेली उदाहरणे4 सराव प्रश्न📚 10 महत्वाच्या व्याख्या

हे मार्गदर्शक ऐका

पॉडकास्ट ट्रान्सक्रिप्ट पहा
Purple कडून या तांत्रिक माहितीच्या सत्रात आपले स्वागत आहे. मी तुमचा होस्ट आहे आणि आज आपण सुरक्षित एंटरप्राइज WiFi आणि BYOD प्रोव्हिजनिंगसाठी SCEP च्या कॉन्फिगरेशनचा सखोल अभ्यास करणार आहोत. हॉस्पिटॅलिटी, रिटेल आणि सार्वजनिक क्षेत्रांमध्ये कार्यरत असलेले IT मॅनेजर्स, नेटवर्क आर्किटेक्ट्स आणि CTOs यांच्यासाठी, नेटवर्क अ‍ॅक्सेस व्यवस्थापित करणे म्हणजे सुरक्षा आणि ऑपरेशनल कार्यक्षमता यामधील एक सततचा समतोल आहे. तुम्ही दररोज तुमच्या नेटवर्कशी जोडल्या जाणार्‍या शेकडो, कधीकधी हजारो डिव्हाइसेस हाताळत आहात. कर्मचार्‍यांचे स्मार्टफोन, कंत्राटदारांचे लॅपटॉप, पॉइंट-ऑफ-सेल टॅब्लेट. आणि हे हाताळण्याचे जुने मार्ग आता अजिबात पुरेसे राहिलेले नाहीत. कर्मचारी आणि BYOD WiFi साठी Pre-Shared Keys, म्हणजेच PSKs वर अवलंबून राहणे ही एक सुरक्षेची त्रुटी आहे, ज्याचा गैरफायदा घेतला जाऊ शकतो. एक सामायिक पासवर्ड एकदा का उघड झाला की, तो कोणालाही तुमच्या नेटवर्कमध्ये प्रवेश देतो. आणि MAC Authentication Bypass, म्हणजेच MAB सुद्धा यापेक्षा चांगले नाही. आधुनिक स्मार्टफोन डीफॉल्टनुसार रँडमाइज्ड MAC अ‍ॅड्रेसेस वापरतात, ज्यामुळे MAB पूर्णपणे निकामी होते, आणि MAC अ‍ॅड्रेसेस काही सेकंदात स्पूफ केले जाऊ शकतात. आधुनिक नेटवर्क आर्किटेक्चर EAP-TLS वापरून 802.1X ऑथेंटिकेशनची मागणी करते. हे सुनिश्चित करते की प्रत्येक डिव्हाइस नेटवर्कला स्पर्श करण्यापूर्वी क्रिप्टोग्राफिकली सत्यापित केले गेले आहे. पण येथे आव्हान हे आहे की: तुमच्या हेल्पडेस्कवर अतिरिक्त भार न टाकता तुम्ही हजारो अनमॅनेज्ड डिव्हाइसेसना युनिक क्लायंट सर्टिफिकेट्सचे वितरण कसे कराल? याचे उत्तर आहे Simple Certificate Enrolment Protocol, म्हणजेच SCEP. चला आर्किटेक्चरपासून सुरुवात करूया. RFC 8894 मध्ये परिभाषित केलेले SCEP हे एंटरप्राइज डिव्हाइस एनरोलमेंटसाठीचे इंडस्ट्री स्टँडर्ड आहे. हे १९९९ पासून अस्तित्वात आहे, जे मूळतः VeriSign द्वारे तयार केले गेले होते, आणि ते काळाच्या कसोटीवर टिकून राहिले आहे कारण ते एका खरोखर कठीण समस्येचे उत्कृष्ट निराकरण करते. SCEP वर्कफ्लोमध्ये, डिव्हाइस स्थानिक पातळीवर स्वतःचे प्रायव्हेट आणि पब्लिक की पेअर तयार करते. ते Certificate Signing Request, म्हणजेच CSR तयार करते आणि ते Network Device Enrolment Service, म्हणजेच NDES द्वारे तुमच्या Certificate Authority, म्हणजेच CA कडे पाठवते. CA विनंतीचे प्रमाणीकरण करते आणि स्वाक्षरी केलेले पब्लिक सर्टिफिकेट डिव्हाइसला परत पाठवते. येथे सर्वात महत्त्वाचा सुरक्षेचा फायदा असा आहे की प्रायव्हेट की कधीही डिव्हाइस सोडत नाही. ती स्थानिक पातळीवर तयार केली जाते आणि डिव्हाइसच्या हार्डवेअर सिक्युर एन्क्लेव्हमध्ये स्टोअर केली जाते. Windows लॅपटॉपवर, ते Trusted Platform Module, म्हणजेच TPM असते. आयफोनवर, ते सिक्युर एन्क्लेव्ह असते. प्रायव्हेट की कधीही नेटवर्कवर ट्रान्समिट केली जात नाही. हेच SCEP ला नेटवर्क ऑथेंटिकेशनसाठी PKCS सारख्या पर्यायांपेक्षा अत्यंत श्रेष्ठ बनवते, जिथे CA मध्यवर्ती पातळीवर की पेअर तयार करते आणि ती डिव्हाइसवर ट्रान्समिट करते. आता, आपण BYOD बद्दल बोलूया. ऑपरेशनल दृष्टिकोनातून हे खरोखर मनोरंजक बनते. तुम्हाला तुमच्या कर्मचाऱ्यांनी अंतर्गत टूल्स अ‍ॅक्सेस करण्यासाठी त्यांचे वैयक्तिक डिव्हाइसेस वापरावेत असे वाटते, परंतु तुम्हाला त्यांना तुमच्या कॉर्पोरेट MDM मध्ये एनरोल करण्याची सक्ती करायची नसते. ही गोपनीयतेची चिंता आहे आणि याला कर्मचाऱ्यांकडून तीव्र विरोध होतो.याचे समाधान एक सेल्फ-सर्व्हिस ऑनबोर्डिंग पोर्टल आहे. हे कसे कार्य करते ते येथे आहे. वापरकर्ता त्यांचे वैयक्तिक डिव्हाइस एका समर्पित प्रोव्हिजनिंग SSID शी कनेक्ट करतो. हे नेटवर्क एक वॉल्ड गार्डन असते, जे ऑनबोर्डिंग पोर्टल आणि तुमच्या आयडेंटिटी प्रोव्हायडरशिवाय इतर सर्व गोष्टींचा ॲक्सेस प्रतिबंधित करते. वापरकर्ता त्यांच्या कॉर्पोरेट क्रेडेंशियल्सचा वापर करून ऑथेंटिकेट करतो, सहसा Microsoft Entra ID, Okta, किंवा Google Workspace सोबत SAML इंटिग्रेशनद्वारे. यशस्वी ऑथेंटिकेशन झाल्यावर, सिस्टम SCEP द्वारे एक युनिक, डिव्हाइस-विशिष्ट क्लायंट सर्टिफिकेट जनरेट करते. एक कॉन्फिगरेशन प्रोफाइल डिव्हाइसवर पुश केले जाते ज्यामध्ये सर्टिफिकेट, रूट CA सर्टिफिकेट आणि नेटवर्क सेटिंग्स असतात. त्यानंतर डिव्हाइस EAP-TLS चा वापर करून सुरक्षित कॉर्पोरेट SSID शी आपोआप कनेक्ट होते. हे वापरकर्त्यासाठी अखंड आहे आणि एंटरप्राइझसाठी सुरक्षित आहे. त्यांना सर्टिफिकेट्स किंवा 802.1X बद्दल काहीही माहित असण्याची गरज नाही. ते फक्त एकदा लॉग इन करतात आणि कनेक्ट होतात. आता, आपण अंमलबजावणी सविस्तरपणे पाहूया. डिप्लोयमेंटचा क्रम अत्यंत महत्त्वाचा आहे आणि तो चुकीचा असणे हे अपयशाचे सर्वात सामान्य कारण आहे. पहिले पाऊल: Trusted Root Certificate डिप्लोय करा. कोणत्याही डिव्हाइसने क्लायंट सर्टिफिकेटची विनंती करण्यापूर्वी किंवा तुमच्या RADIUS सर्व्हरवर विश्वास ठेवण्यापूर्वी, त्याने सर्टिफिकेट अथॉरिटी जारी करणाऱ्यावर विश्वास ठेवला पाहिजे. तुमचे Root CA सर्टिफिकेट .cer फाइल म्हणून एक्सपोर्ट करा आणि ते तुमच्या लक्ष्यित डिव्हाइस ग्रुप्सवर डिप्लोय करा. हे पाऊल बंधनकारक आहे. याशिवाय, संपूर्ण साखळी अयशस्वी ठरते. दुसरे पाऊल: SCEP Certificate Profile कॉन्फिगर करा. हे डिव्हाइसेसना त्यांचे क्लायंट सर्टिफिकेट कसे मिळवायचे याचे निर्देश देते. तुम्हाला सब्जेक्ट नेम फॉरमॅट कॉन्फिगर करणे आवश्यक आहे. युझर-ड्रिव्हन ऑथेंटिकेशनसाठी, CN equals UserPrincipalName हा स्टँडर्ड आहे. डिव्हाइस ऑथेंटिकेशनसाठी, CN equals the Azure AD Device ID वापरा. की युसेज डिजिटल सिग्नेचर आणि की एनसायफरमेंटवर सेट करा. एक्सटेंडेड की युसेज अंतर्गत, OID 1.3.6.1.5.5.7.3.2 सह Client Authentication निर्दिष्ट करा. या प्रोफाइलला पहिल्या पायरीवरील Trusted Root सर्टिफिकेट प्रोफाइलशी लिंक करा. आणि तुमच्या NDES सर्व्हरचा एक्सटर्नल URL प्रदान करा. तिसरे पाऊल: 802.1X WiFi Profile डिप्लोय करा. हे सर्टिफिकेट्सना नेटवर्क SSID शी जोडते. तुमच्या ॲक्सेस पॉईंट्सद्वारे ब्रॉडकास्ट केल्याप्रमाणे नेटवर्कचे नाव अगदी अचूक एंटर करा. सिक्युरिटी टाईप WPA2-Enterprise किंवा WPA3-Enterprise वर सेट करा. EAP टाईप EAP-TLS वर सेट करा. क्लायंट ऑथेंटिकेशन सर्टिफिकेट म्हणून SCEP सर्टिफिकेट प्रोफाइल निवडा. आणि सर्व्हर व्हॅलिडेशनसाठी Trusted Root सर्टिफिकेट निर्दिष्ट करा. या संपूर्ण ब्रीफिंगमधून लक्षात ठेवण्याची ही सर्वात महत्त्वाची गोष्ट आहे. आधी ट्रस्ट, मग सर्टिफिकेट, नंतर WiFi. याच क्रमाने, प्रत्येक वेळी. आता मी तुम्हाला काही सर्वोत्तम पद्धतींबद्दल सांगतो ज्यामुळे तुमचे प्रॉडक्शनमधील बरेच त्रास वाचतील. पहिले, Azure AD Application Proxy द्वारे तुमचे NDES सर्व्हर पब्लिश करा. रिमोट डिव्हाइसेसना ऑन-साइट येण्यापूर्वी सर्टिफिकेट्स प्रोव्हिजन करण्याची अनुमती देण्यासाठी NDES सर्व्हर इंटरनेटवरून ॲक्सेस करण्यायोग्य असणे आवश्यक आहे. परंतु अंतर्गत सर्व्हर थेट इंटरनेटवर उघडा करणे हा एक मोठा सुरक्षा धोका आहे. Application Proxy तुम्हाला इनबाउंड फायरवॉल पोर्ट्स न उघडता सुरक्षित रिमोट ॲक्सेस प्रदान करते. दुसरे म्हणजे, BYOD उपकरणांसाठी अल्पावधीची प्रमाणपत्रे लागू करा. तीन वर्षांसाठी वैध असलेल्या प्रमाणपत्राऐवजी, ९० दिवसांसाठी वैध असलेली प्रमाणपत्रे जारी करा. जेव्हा प्रमाणपत्र कालबाह्य होईल, तेव्हा वापरकर्त्याने ऑनबोर्डिंग पोर्टलद्वारे पुन्हा प्रमाणीकृत करणे आवश्यक आहे. यामुळे नेटवर्कमधून जुनी उपकरणे आपोआप काढून टाकली जातात. ९० दिवसांत न वापरलेले उपकरण फक्त नेटवर्कवरून बाहेर पडते. कोणत्याही मॅन्युअल क्लीनअपची आवश्यकता नसते. तिसरे आणि हे अत्यंत आवश्यक आहे, तुमच्या RADIUS सर्व्हरला कठोर Certificate Revocation List तपासणी लागू करण्यासाठी कॉन्फिगर करा. जेव्हा एखादा कर्मचारी संस्था सोडतो, तेव्हा त्यांचे ग्राहक प्रमाणपत्र वैध राहिल्यास त्यांचे Active Directory खाते निष्क्रिय केल्याने त्यांचा WiFi ऍक्सेस त्वरित रद्द होणार नाही. प्रवेश देण्यापूर्वी तुमच्या RADIUS सर्व्हरने CRL तपासणे आवश्यक आहे. तुमचे CRL Distribution Points अत्यंत उपलब्ध असल्याचे सुनिश्चित करा. जर RADIUS सर्व्हर CRL पर्यंत पोहोचू शकला नाही, तर प्रत्येकासाठी प्रमाणीकरण अयशस्वी होते. तो एक मोठा आउटेज ठरू शकतो. आता आपण काही सामान्य बिघाड प्रकार आणि ते कसे टाळायचे ते पाहू या. सर्वात वारंवार येणारी समस्या म्हणजे WiFi प्रोफाइल लागू न होणे. उपकरणाला Trusted Root आणि SCEP प्रमाणपत्रे मिळतात, परंतु MDM कन्सोलमध्ये WiFi प्रोफाइल एरर म्हणून दिसते. १० पैकी ९ वेळा, हे ग्रुप टार्गेटिंगच्या विसंगतीमुळे होते. जर SCEP प्रोफाइल User Group ला नियुक्त केले असेल, परंतु WiFi प्रोफाइल Device Group ला नियुक्त केले असेल, तर MDM या अवलंबित्वेचे निराकरण करू शकत नाही. तुमच्या असाइनमेंटचे ऑडिट करा. तिन्ही प्रोफाइल अगदी एकाच ग्रुपला टार्गेट करत असल्याची खात्री करा. दुसरी सामान्य समस्या म्हणजे NDES 403 Forbidden एरर. उपकरणे SCEP प्रमाणपत्र मिळवण्यात अपयशी ठरतात आणि NDES IIS लॉग HTTP 403 एरर दाखवतात. हे सहसा कनेक्टर सेवा खात्याकडे प्रमाणपत्र टेम्पलेटवर आवश्यक परवानग्या नसल्यामुळे किंवा SCEP द्वारे वापरल्या जाणार्‍या विशिष्ट क्वेरी स्ट्रिंग पॅरामीटर्सना फायरवॉल ब्लॉक करत असल्यामुळे होते. कनेक्टर खात्याकडे CA टेम्पलेटवर Read आणि Enrol परवानग्या आहेत याची खात्री करा. operation equals GetCACaps पॅरामीटर असलेल्या URL ब्लॉक केल्या जात नाहीत याची खात्री करण्यासाठी तुमचे फायरवॉल लॉग तपासा. हे प्रत्यक्ष व्यवहारात कसे घडते हे स्पष्ट करण्यासाठी मी तुम्हाला दोन वास्तविक परिस्थितीची उदाहरणे देतो. परिस्थिती एक: ५० हाउसकीपिंग कर्मचारी असलेले २०० खोल्यांचे हॉटेल जे शेड्यूलिंग ॲपमध्ये प्रवेश करण्यासाठी वैयक्तिक स्मार्टफोन वापरत आहेत. आयटी व्यवस्थापकाला कर्मचार्‍यांच्या गोपनीयतेचा आदर करण्यासाठी पूर्ण MDM नोंदणी टाळायची आहे. यावरील उपाय म्हणजे Microsoft Entra ID सह एकत्रित केलेले स्व-सेवा पोर्टल. कर्मचारी प्रोव्हिजनिंग SSID शी कनेक्ट करतात, त्यांच्या Entra ID क्रेडेंशियलसह लॉग इन करतात आणि SCEP प्रोफाइल डाउनलोड करतात. SCEP सर्व्हर थेट उपकरणाला ३० दिवसांचे क्लायंट प्रमाणपत्र जारी करतो. उपकरण EAP-TLS वापरून Staff WiFi SSID शी कनेक्ट होते. RADIUS सर्व्हर या उपकरणांना मर्यादित VLAN वर नियुक्त करतो जो केवळ शेड्यूलिंग ॲपमध्ये प्रवेश करू देतो. जेव्हा एखादा कर्मचारी राजीनामा देतो, तेव्हा त्यांचे Entra ID खाते निष्क्रिय केले जाते आणि RADIUS सर्व्हर त्वरित नेटवर्क प्रवेश नाकारतो. प्रसंग दोन: कॉर्पोरेट मालकीच्या पॉइंट-ऑफ-सेल टॅब्लेटसाठी सुरक्षित WiFi तैनात करणारी ५०० स्टोअर्स असलेली राष्ट्रीय रिटेल साखळी. नेटवर्क आर्किटेक्टला हे सुनिश्चित करणे आवश्यक आहे की जरी टॅब्लेट चोरीला गेला तरीही त्याचे क्रेडेंशियल्स काढले जाऊ शकत नाहीत. SCEP द्वारे प्रमाणपत्रे तैनात करणारा Microsoft Intune हा यावरील उपाय आहे. Intune विश्वसनीय रूट प्रमाणपत्र पुश करतो, त्यानंतर SCEP प्रोफाइल टॅब्लेटला त्याच्या हार्डवेअर सुरक्षित एन्क्लेव्हमध्ये स्वतःची खाजगी की तयार करण्यास सांगते. टॅब्लेट NDES सर्व्हरकडे CSR सबमिट करतो, क्लायंट प्रमाणपत्र प्राप्त करतो आणि EAP-TLS वापरून Retail POS SSID शी कनेक्ट होतो. खाजगी की स्थानिक पातळीवर तयार केली गेल्यामुळे आणि कधीही प्रसारित न झाल्यामुळे, चोरी झालेल्या टॅब्लेटची क्रेडेंशियल्स इतर कोठेही वापरली जाऊ शकत नाहीत. हे PCI DSS अनुपालन आवश्यकता पूर्ण करते. आता, आपण व्यावसायिक फायद्यांबद्दल बोलूया. SCEP 802.1X प्रमाणपत्र तैनातीकडे संक्रमण केल्याने सुरक्षा आणि ऑपरेशन्समध्ये मोजता येण्यासारखा परतावा मिळतो. पासवर्ड-आधारित WiFi मोठ्या प्रमाणात हेल्पडेस्क तिकिटे तयार करते. पासवर्ड कालबाह्य होणे, लॉकआउट्स, स्पेलिंगच्या चुका. प्रमाणपत्र-आधारित प्रमाणीकरण वापरकर्त्यासाठी अदृश्य असते. डिव्हाइसेस स्वयंचलितपणे कनेक्ट होतात. यामुळे सामान्यतः WiFi शी संबंधित हेल्पडेस्कचे प्रमाण ७०% ने कमी होते. हा ऑपरेशनल खर्चामध्ये झालेला एक महत्त्वपूर्ण बदल आहे. EAP-TLS क्रेडेंशियल हार्वेस्टिंग आणि मॅन-इन-द-मिडल हल्ल्यांचा धोका काढून टाकते. रिटेल वातावरणात PCI DSS आणि सर्व क्षेत्रांमध्ये GDPR च्या अनुपालनासाठी हे महत्त्वपूर्ण आहे. डेटा लीकचा खर्च योग्य PKI इन्फ्रास्ट्रक्चर तैनात करण्याच्या खर्चापेक्षा कितीतरी पटीने जास्त असतो. आणि जे आधीच Purple चे अतिथी WiFi आणि विश्लेषण प्लॅटफॉर्म वापरत आहेत त्यांच्यासाठी, कर्मचाऱ्यांच्या BYOD डिव्हाइसेसना सुरक्षित ऑनबोर्डिंग प्रदान केल्याने एक युनिफाइड नेटवर्क व्यवस्थापन धोरण मिळते. Purple चे हार्डवेअर-अज्ञेयवादी क्लाउड ओव्हरले Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme आणि Fortinet सह समाकलित होते, त्यामुळे तुम्ही एकाच हार्डवेअर विक्रेत्यापुरते मर्यादित राहत नाही. Purple ८०,००० हून अधिक थेट ठिकाणांवर कार्यरत आहे आणि २०२४ मध्ये ४४० दशलक्ष लॉगइन्स प्रविष्ट केले आहेत, तसेच त्यांच्याकडे ISO 27001, GDPR, CCPA आणि Cyber Essentials प्रमाणपत्रे आहेत. मी तुम्हाला घ्याव्या लागणाऱ्या मुख्य निर्णयांच्या संक्षिप्त सारांशासह समाप्त करतो. तुम्ही SCEP वापरावे की PKCS? WiFi प्रमाणीकरणासाठी SCEP वापरा. खाजगी की डिव्हाइसवरच राहते. केवळ ईमेल एन्क्रिप्शनसाठी PKCS वापरा जेथे की एस्क्रौ आवश्यक आहे. प्रमाणपत्रे किती काळ वैध असावीत? BYOD साठी ९० दिवस. कॉर्पोरेट-व्यवस्थापित डिव्हाइसेससाठी एक ते दोन वर्षे. तुम्ही तुमच्या MDM मध्ये वापरकर्ता की डिव्हाइस टार्गेटिंग वापरावे? वापरकर्ता लॉगिन करण्यापूर्वी कनेक्ट होणे आवश्यक असलेल्या कॉर्पोरेट डिव्हाइसेससाठी डिव्हाइस टार्गेटिंग वापरा. BYOD साठी वापरकर्ता टार्गेटिंग वापरा जेथे प्रमाणपत्र व्यक्तीशी जोडलेले असावे. तुम्ही Android फ्रॅगमेंटेशन कसे हाताळता? शक्य असेल तिथे Passpoint, ज्याला Hotspot 2.0 देखील म्हटले जाते, त्याचा वापर करा. हे सर्व Android उत्पादकांमध्ये एक सुसंगत कनेक्शन अनुभव प्रदान करते. आणि शेवटी, सर्वात महत्त्वाची गोष्ट कोणती आहे? तुमच्या RADIUS सर्व्हरवर CRL तपासणी. त्याशिवाय, रद्द केलेले प्रमाणपत्र अद्याप नेटवर्क प्रवेश प्रदान करू शकते. आजचे ब्रीफिंग येथे संपत आहे. तुम्हाला यापैकी कोणत्याही विषयावर अधिक सखोल माहिती हवी असल्यास, एंटरप्राइझ WiFi सुरक्षा आणि EAP-TLS प्रमाणपत्र प्रमाणीकरण यावरील Purple चे तांत्रिक मार्गदर्शक Purple वेबसाइटवर purple.ai येथे उपलब्ध आहेत. ऐकल्याबद्दल धन्यवाद।

header_image.png

मुख्य सारांश

हॉस्पिटॅलिटी, रिटेल आणि सार्वजनिक क्षेत्रात कार्यरत असणाऱ्या व्यावसायिक स्थळांसाठी, कर्मचारी आणि BYOD WiFi प्रवेश प्रदान करण्यासाठी Pre-Shared Keys (PSK) किंवा MAC Authentication Bypass (MAB) वर अवलंबून राहणे हा एक सुरक्षा धोका आहे. आधुनिक नेटवर्क आर्किटेक्चरला EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) चा वापर करून 802.1X प्रमाणीकरण (authentication) आवश्यक आहे, ज्यामुळे प्रत्येक डिव्हाइस नेटवर्कवर प्रवेश करण्यापूर्वी क्रिप्टोग्राफिकली सत्यापित केले जाते. मुख्य ऑपरेशनल आव्हान म्हणजे तुमच्या IT हेल्पडेस्कला सपोर्ट तिकिटांमध्ये न बुडवता हजारो अनमॅनेज्ड डिव्हाइसेसवर युनिक क्लायंट सर्टिफिकेट्सचे वितरण करणे.

Simple Certificate Enrolment Protocol (SCEP), जो RFC 8894 मध्ये परिभाषित आहे, ऑटोमेटेड सर्टिफिकेट लाइफसायकल मॅनेजमेंटद्वारे या वितरण समस्येचे निराकरण करतो. SCEP चा फायदा घेऊन, IT टीम्स एंडपॉइंट्सवर विश्वसनीय रूट सर्टिफिकेट्स आणि क्लायंट सर्टिफिकेट्स पाठवू शकतात, ज्यामुळे प्रायव्हेट की कधीही डिव्हाइस सोडणार नाही याची खात्री होते. हे मार्गदर्शक SCEP WiFi सर्टिफिकेट डिप्लॉयमेंटसाठी निश्चित आर्किटेक्चरल ब्ल्यूप्रिंट आणि स्टेप-बाय-स्टेप इम्प्लीमेंटेशन स्ट्रॅटेजी प्रदान करते. आम्ही यशस्वीतेसाठी आवश्यक असणारे महत्त्वपूर्ण डिप्लॉयमेंट सिक्वेन्स, हॉस्पिटॅलिटी आणि रिटेलमधील वास्तविक जगातील परिस्थिती आणि तुमचे Guest WiFi आणि कॉर्पोरेट नेटवर्क सुरक्षित व कार्यक्षम ठेवण्यासाठी जोखीम कमी करण्याच्या धोरणांचा समावेश केला आहे.

तांत्रिक सखोल विश्लेषण: SCEP आर्किटेक्चर

SCEP हे व्यावसायिक डिव्हाइस नावनोंदणीसाठी इंडस्ट्री स्टँडर्ड आहे, ज्याची निर्मिती VeriSign द्वारे केली गेली आणि 1999 मध्ये IETF इंटरनेट ड्राफ्ट म्हणून प्रकाशित केले गेले. हे Public Key Infrastructure (PKI) वातावरणात X.509 सर्टिफिकेट्स जारी करणे स्वयंचलित (automate) करते, ज्यामुळे मोठ्या प्रमाणावर मॅन्युअली सर्टिफिकेट्स व्यवस्थापित करण्याची आवश्यकता दूर होते.

scep_architecture_overview.png

SCEP वर्कफ्लोमध्ये, डिव्हाइस त्याची स्वतःची खाजगी आणि सार्वजनिक की जोडी स्थानिकरित्या (locally) तयार करते. ते एक Certificate Signing Request (CSR) तयार करते आणि ते Network Device Enrolment Service (NDES) सर्व्हरद्वारे तुमच्या Certificate Authority (CA) कडे पाठवते. CA एका सामायिक सिक्रेटचा वापर करून विनंती सत्यापित करते आणि स्वाक्षरित सार्वजनिक प्रमाणपत्र डिव्हाइसला परत पाठवते. याचा सर्वात महत्त्वाचा सुरक्षा फायदा म्हणजे खाजगी की कधीही डिव्हाइस सोडत नाही. ती स्थानिकरित्या तयार केली जाते आणि डिव्हाइसच्या हार्डवेअर सुरक्षित एन्क्लेव्हमध्ये - Windows वरील Trusted Platform Module (TPM) किंवा iOS वरील Secure Enclave मध्ये संग्रहित केली जाते. यामुळे 802.1X प्रमाणीकरणासाठी (authentication) SCEP ही अत्यंत शिफारस केलेली पद्धत बनते, याउलट PKCS (Public Key Cryptography Standards) मध्ये CA की जोडी मध्यवर्ती पद्धतीने तयार करते आणि नेटवर्कवरून ती प्रसारित करते.

SCEP प्रमाणपत्र नोंदणीच्या चार पायऱ्या खालीलप्रमाणे आहेत. पहिली, डिव्हाइस NDES सर्व्हरद्वारे होस्ट केलेल्या SCEP एंडपॉइंट URL शी कनेक्ट होते. दुसरी, नोंदणी विनंती सत्यापित करण्यासाठी डिव्हाइस SCEP सामायिक सिक्रेट (MDM प्लॅटफॉर्मद्वारे तयार केलेला स्टॅटिक पासवर्ड किंवा डायनॅमिक चॅलेंज) सादर करते. तिसरी, डिव्हाइस त्याची सार्वजनिक की आणि ओळख माहिती असलेली CSR तयार करते. चौथी, CA CSR सत्यापित करते आणि स्वाक्षरित X.509 प्रमाणपत्र जारी करते, जे डिव्हाइसला परत केले जाते.

SCEP विरुद्ध PKCS: योग्य यंत्रणा निवडणे

तुमच्या प्रमाणपत्र उपयोजन (deployment) धोरणाची रचना करताना, SCEP आणि PKCS मधील निवड थेट सुरक्षेवर परिणाम करते. खालील तक्ता मुख्य फरक दर्शवतो.

गुणधर्म SCEP PKCS
खाजगी की निर्मिती डिव्हाइसवर (सुरक्षित एन्क्लेव्ह) CA सर्व्हरवर
खाजगी की प्रसारण कधीही प्रसारित होत नाही नेटवर्कवरून प्रसारित केली जाते
पायाभूत सुविधांची आवश्यकता NDES सर्व्हर आवश्यक आहे NDES ची आवश्यकता नाही
सर्वात योग्य WiFi आणि VPN प्रमाणीकरण S/MIME ईमेल एन्क्रिप्शन
802.1X साठी सुरक्षा स्थिती शिफारस केलेले शिफारस केलेले नाही

SCEP सह एंटरप्राइझ WiFi साठी, नेहमी SCEP निवडा. खाजगी की डिव्हाइसवर ठेवणे हा मूलभूत सुरक्षा गुणधर्म आहे जो प्रमाणपत्र - आधारित 802.1X प्रमाणीकरणाला कोणत्याही क्रेडेंशियल - आधारित प्रमाणीकरण पद्धतीपेक्षा श्रेष्ठ बनवतो.

BYOD सेल्फ - सर्व्हिस ऑनबोर्डिंग प्रवाह

सुरक्षित BYOD ऑनबोर्डिंगचा पाया म्हणजे संपूर्ण Mobile Device Management (MDM) नोंदणीची आवश्यकता नसताना जुन्या प्रमाणीकरणाकडून EAP-TLS कडे स्थित्यंतर करणे होय. कर्मचाऱ्यांना त्यांचे वैयक्तिक स्मार्टफोन कॉर्पोरेट MDM मध्ये नोंदणी करण्यास भाग पाडल्याने गोपनीयतेच्या वाजवी चिंता निर्माण होतात आणि त्याला तीव्र विरोध होतो. एक सेल्फ - सर्व्हिस ऑनबोर्डिंग पोर्टल या समस्येचे निराकरण करते.

वापरकर्ते त्यांचे वैयक्तिक डिव्हाइस एका समर्पित प्रोव्हिजनिंग SSID शी कनेक्ट करतात, जे केवळ ऑनबोर्डिंग पोर्टल आणि ओळख प्रदात्यापुरता प्रवेश मर्यादित ठेवणारे वॉर्ड गार्डन म्हणून कार्य करते. वापरकर्ते Microsoft Entra ID, Okta, किंवा Google Workspace सोबत SAML किंवा OAuth एकत्रीकरणाद्वारे प्रमाणित होतात. यशस्वी प्रमाणीकरणानंतर, सिस्टम SCEP द्वारे एक अनन्य, डिव्हाइस-विशिष्ट क्लायंट प्रमाणपत्र व्युत्पन्न करते. डिव्हाइसवर कॉन्फिगरेशन प्रोफाइल (Apple साठी .mobileconfig फाइल, किंवा Android Passpoint प्रोफाइल) पुश केले जाते. त्यानंतर डिव्हाइस EAP-TLS वापरून सुरक्षित कॉर्पोरेट SSID शी स्वयंचलितपणे कनेक्ट होते. वापरकर्त्याला प्रमाणपत्रे किंवा 802.1X बद्दल काहीही समजून घेण्याची आवश्यकता नसते.

अंमलबजावणी मार्गदर्शक: उपयोजन क्रम

802.1X साठी SCEP यशस्वीरित्या कॉन्फिगर करण्यासाठी एका विशिष्ट उपयोजन क्रमाचे काटेकोरपणे पालन करणे आवश्यक आहे. प्रमाणीकरण कॉन्फिगर करण्यापूर्वी विश्वास स्थापित केला पाहिजे. या क्रमामध्ये बदल करणे हे अयशस्वी उपयोजनांचे सर्वात सामान्य कारण आहे.

पायरी १: विश्वसनीय रूट प्रमाणपत्र उपयोजित करा. कोणतेही डिव्हाइस क्लायंट प्रमाणपत्राची विनंती करण्यापूर्वी किंवा तुमच्या RADIUS सर्व्हरवर विश्वास ठेवण्यापूर्वी, त्याने प्रथम जारी करणाऱ्या प्रमाणपत्र प्राधिकरणावर (CA) विश्वास ठेवला पाहिजे. तुमचे रूट CA प्रमाणपत्र (आणि कोणतेही इंटरमीडिएट CA प्रमाणपत्रे) .cer फाइल म्हणून निर्यात करा. तुमच्या MDM प्लॅटफॉर्मद्वारे हे प्रोफाइल तुमच्या लक्ष्यित डिव्हाइस गटांमध्ये उपयोजित करा. ही पायरी अनिवार्य आहे.

पायरी २: SCEP प्रमाणपत्र प्रोफाइल कॉन्फिगर करा. हे डिव्हाइसेसना त्यांचे क्लायंट प्रमाणपत्र कसे मिळवायचे याचे निर्देश देते. विषय नाव स्वरूप कॉन्फिगर करा - वापरकर्ता-चालित प्रमाणीकरणासाठी मानक CN={{UserPrincipalName}} हे आहे; डिव्हाइस प्रमाणीकरणासाठी CN={{AAD_Device_ID}} वापरा. की वापर Digital signature आणि Key encipherment वर सेट करा. विस्तारित की वापरांतर्गत, Client Authentication (OID: 1.3.6.1.5.5.7.3.2) निर्दिष्ट करा. या प्रोफाइलला पायरी १ मधील विश्वसनीय रूट प्रमाणपत्र प्रोफाइलशी लिंक करा. तुमच्या NDES सर्व्हरची बाह्य URL प्रदान करा.

पायरी ३: 802.1X WiFi प्रोफाइल उपयोजित करा. नेटवर्क SSID ला प्रमाणपत्र जोडणारे WiFi कॉन्फिगरेशन पुश करा. तुमच्या ॲक्सेस पॉइंट्स (APs) द्वारे जसे ब्रॉडकास्ट केले जाते तसेच नेटवर्क नाव अचूकपणे प्रविष्ट करा. सुरक्षा प्रकार WPA2-Enterprise किंवा WPA3-Enterprise वर सेट करा. EAP प्रकार EAP-TLS वर सेट करा. क्लायंट प्रमाणीकरण प्रमाणपत्र म्हणून SCEP प्रमाणपत्र प्रोफाइल निवडा. सर्व्हर प्रमाणीकरणासाठी विश्वसनीय रूट प्रमाणपत्र निर्दिष्ट करा, जेणेकरून डिव्हाइसेस केवळ तुमच्या वैध RADIUS सर्व्हरशी कनेक्ट होतील.

हा क्रम सर्व समर्थित हार्डवेअर प्लॅटफॉर्मवर लागू होतो: Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme आणि Fortinet. Purple चे हार्डवेअर-अज्ञेयवादी क्लाउड ओव्हरले या सर्व प्लॅटफॉर्मशी एकत्रित होते, ज्याचा अर्थ तुमची प्रमाणपत्र पायाभूत सुविधा एकाच हार्डवेअर विक्रेत्यापुरती मर्यादित राहत नाही.

सर्वोत्तम पद्धती

Azure AD Application Proxy द्वारे NDES प्रकाशित करा. NDES सर्व्हर इंटरनेटवरून प्रवेशयोग्य असणे आवश्यक आहे जेणेकरून रिमोट डिव्हाइसेस ऑन-साइट येण्यापूर्वी सर्टिफिकेट्स प्रोव्हिजन करू शकतील. अंतर्गत सर्व्हर थेट इंटरनेटवर उघडा ठेवणे हा एक मोठा सुरक्षा जोखीम आहे. Azure AD Application Proxy द्वारे प्रकाशित केल्याने इनबाउंड फायरवॉल पोर्ट्स न उघडता सुरक्षित रिमोट ॲक्सेस मिळतो आणि तुम्हाला एनरोलमेंट फ्लोवर कंडीशनल ॲक्सेस पॉलिसी लागू करण्याची परवानगी मिळते.

BYOD साठी कमी कालावधीचे सर्टिफिकेट्स जारी करा. BYOD डिव्हाइसेस अनमॅनेज्ड असल्याने, नेटवर्कवर एखादे तडजोड केलेले डिव्हाइस राहण्याचा धोका जास्त असतो. वर्षांऐवजी ९० दिवसांसाठी वैध असलेले सर्टिफिकेट्स जारी करा. जेव्हा सर्टिफिकेट एक्स्पायर होते, तेव्हा युझरला ऑनबोर्डिंग पोर्टलद्वारे पुन्हा ऑथेंटिकेट करावे लागते. यामुळे आयटीच्या मॅन्युअल हस्तक्षेपाशिवाय नेटवर्कवरील जुने डिव्हाइसेस नैसर्गिकरित्या कमी होतात.

RADIUS सर्व्हरवर कठोर CRL चेकिंग सक्तीचे करा. सर्टिफिकेट डिप्लॉयमेंट हे केवळ अर्धे सुरक्षा समीकरण आहे. जर एखादा कर्मचारी निघून गेला, तर त्याचे Active Directory अकाउंट बंद केल्याने त्याचे WiFi ॲक्सेस त्वरित रद्द होणार नाही जोपर्यंत त्याचे क्लायंट सर्टिफिकेट वैध असेल. तुमच्या RADIUS सर्व्हरला कठोर Certificate Revocation List (CRL) चेकिंग लागू करण्यासाठी कॉन्फिगर करा. तुमचे CRL Distribution Point (CDP) अत्यंत उपलब्ध असल्याची खात्री करा. जर RADIUS सर्व्हर CRL पर्यंत पोहोचू शकला नाही, तर सर्व युझर्ससाठी ऑथेंटिकेशन अयशस्वी होईल, ज्यामुळे मोठ्या प्रमाणावर आउटेज होईल.

BYOD ला समर्पित VLAN वर विभाजित करा. BYOD डिव्हाइसेस अनमॅनेज्ड असतात. त्यांच्या ऑपरेटिंग सिस्टम अपडेट्स, अँटीव्हायरस स्टेटस किंवा इन्स्टॉल केलेल्या ॲप्लिकेशन्सवर तुमचे कोणतेही नियंत्रण नसते. BYOD डिव्हाइसेसना समर्पित VLAN वर ठेवा जे केवळ इंटरनेट ॲक्सेस प्रदान करते, आणि ते कर्मचाऱ्याच्या भूमिकेसाठी आवश्यक असलेल्या विशिष्ट अंतर्गत ॲप्लिकेशन्सपुरते मर्यादित असते. कॉर्पोरेट सर्व्हर्स किंवा मॅनेज्ड डिव्हाइसेस सारख्याच VLAN वर BYOD डिव्हाइसेस कधीही ठेवू नका.

byod_vs_psk_comparison.png

ट्रबलशूटिंग आणि रिस्क मिटिगेशन

WiFi प्रोफाइल लागू होण्यास अयशस्वी. डिव्हाइसला ट्रस्टेड रूट सर्टिफिकेट आणि SCEP सर्टिफिकेट मिळाले आहे, परंतु MDM कन्सोलमध्ये WiFi प्रोफाइल "Error" म्हणून दिसत आहे. हे जवळजवळ नेहमीच ग्रुप टार्गेटिंगमधील विसंगतीमुळे होते. जर SCEP प्रोफाइल "युझर ग्रुप" ला दिले असेल तर WiFi प्रोफाइल "डिव्हाइस ग्रुप" ला दिले असेल, तर MDM या अवलंबित्वाचे निराकरण करू शकत नाही. तुमच्या असाइनमेंट्सचे ऑडिट करा आणि ट्रस्टेड रूट, SCEP आणि WiFi प्रोफाइल्स सर्व एकाच Azure AD ग्रुपला टार्गेट करत असल्याची खात्री करा.

NDES 403 Forbidden त्रुटी. डिव्हाइस SCEP प्रमाणपत्रे मिळवू शकत नाहीत आणि NDES IIS लॉग्समध्ये HTTP 403 त्रुटी दर्शविल्या जातात. हे बहुधा कनेक्टर सर्व्हिस अकाऊंटकडे प्रमाणपत्र टेम्प्लेटवर आवश्यक परवानग्या नसल्यामुळे किंवा तुमचे फायरवॉल SCEP द्वारे वापरल्या जाणार्‍या विशिष्ट क्वेरी स्ट्रिंग पॅरामीटर्सना ब्लॉक करत असल्यामुळे होते. कनेक्टर अकाऊंटकडे CA टेम्प्लेटवर "Read" आणि "Enrol" परवानग्या असल्याची पडताळणी करा. ?operation=GetCACaps असलेले URLs ब्लॉक केले जात नाहीत याची खात्री करण्यासाठी फायरवॉल लॉग्स तपासा.

Android फ्रॅगमेंटेशन. Apple iOS डिव्हाइसेस .mobileconfig प्रोफाइल अतिशय सुसंगतपणे हाताळतात. तथापि, Android मोठ्या प्रमाणावर विखुरलेले आहे - विविध उत्पादक आणि OS आवृत्त्या WiFi प्रोफाइल आणि प्रमाणपत्र इन्स्टॉलेशन वेगवेगळ्या प्रकारे हाताळतात. ऑनबोर्डिंग पोर्टलवर स्पष्ट, OS-विशिष्ट सूचना द्या. Passpoint (Hotspot 2.0) वापरल्याने सर्व उत्पादकांमध्ये सुसंगत कनेक्शन प्रवाह मिळतो, ज्यामुळे Android अनुभवात लक्षणीय सुधारणा होते.

प्रमाणपत्र मागे घेण्यास (Revocation) होणारा विलंब. जेव्हा एखादा कर्मचारी नोकरी सोडतो, तेव्हा त्यांचा ॲक्सेस त्वरित रद्द केला पाहिजे. त्यांचे IdP खाते निष्क्रिय करणे ही पहिली पायरी आहे, परंतु RADIUS सर्व्हरने प्रमाणपत्राची स्थिती देखील सत्यापित केली पाहिजे. CRL चेकिंग व्यतिरिक्त Online Certificate Status Protocol (OCSP) वापरण्यासाठी तुमचा RADIUS सर्व्हर कॉन्फिगर करा. OCSP नियतकालिक रीतीने अपडेट केलेल्या सूचीवर अवलंबून राहण्याऐवजी रिअल-टाइम रिव्होकेशन स्थिती प्रदान करते.

ROI आणि व्यावसायिक प्रभाव

SCEP 802.1X प्रमाणपत्र उपयोजनाकडे (Deployment) स्थलांतरित केल्याने सुरक्षा आणि ऑपरेशन्स दोन्हीमध्ये मोजता येण्याजोगा परतावा मिळतो. पासवर्ड-आधारित WiFi मुळे पासवर्ड कालबाह्यता, लॉकआउट्स आणि टायपिंगच्या त्रुटींमुळे मोठ्या प्रमाणात हेल्पडेस्क तिकिटे तयार होतात. प्रमाणपत्र-आधारित प्रमाणीकरण वापरकर्त्यासाठी अदृश्य असते - डिव्हाइसेस आपोआप कनेक्ट होतात. यामुळे सामान्यतः WiFi-संबंधित हेल्पडेस्क कामाचा बोजा 70% ने कमी होतो, ज्यामुळे IT कर्मचाऱ्यांना धोरणात्मक कामावर लक्ष केंद्रित करण्यास मोकळीक मिळते.

EAP-TLS क्रेडेंशियल हार्वेस्टिंग आणि मॅन-इन-द-मिडल (MitM) हल्ल्यांचा धोका संपवते. रिटेल वातावरणात PCI DSS अनुपालनासाठी आणि सर्व उद्योगांमध्ये GDPR अनुपालनासाठी हे अत्यंत महत्त्वाचे आहे. हॉस्पिटॅलिटी क्षेत्रात, जेथे कर्मचारी पेमेंट डेटा आणि पाहुण्यांची वैयक्तिक माहिती हाताळतात, तेथे डेटा लीक होण्याचा खर्च सु-रचना केलेल्या PKI पायाभूत सुविधांच्या उपयोजन खर्चापेक्षा कितीतरी पटीने जास्त असतो. हेच अनुपालन घटक वाहतूक चालक आणि आरोग्य सेवा स्थळांना देखील लागू होतात.

Purple च्या Guest WiFi आणि WiFi Analytics प्लॅटफॉर्मचा आधीच वापर करणाऱ्या ठिकाणांसाठी, कर्मचाऱ्यांच्या BYOD डिव्हाइसेसपर्यंत सुरक्षित ऑनबोर्डिंगचा विस्तार केल्याने एक युनिफाइड आणि मजबूत नेटवर्क व्यवस्थापन धोरण मिळते. Purple जगभरातील 80,000 पेक्षा जास्त प्रत्यक्ष ठिकाणांवर कार्यरत आहे, 2024 मध्ये 440 दशलक्ष लॉगिन प्रक्रियित केले आहेत (Purple अंतर्गत डेटा) आणि कंपनीकडे ISO 27001, GDPR, CCPA आणि Cyber Essentials प्रमाणपत्रे आहेत. आमचे SecurePass आणि Shield सुरक्षा ॲड-ऑन्स या मार्गदर्शकामध्ये वर्णन केलेल्या प्रमाणपत्र-आधारित प्रमाणीकरण आर्किटेक्चरसह थेट समाकलित होतात. एंटरप्राइझ नेटवर्क सुरक्षिततेबद्दल अधिक व्यापक दृष्टिकोनासाठी, आमचे Enterprise WiFi सुरक्षितता: संपूर्ण २०२६ मार्गदर्शिका पहा. नेटवर्क प्रशासकांसाठी विशिष्ट असलेल्या GDPR अनुपालन बाबींसाठी, GDPR आणि अतिथी डेटा गोपनीयता अनुपालनासाठी नेटवर्क प्रशासकाची मार्गदर्शिका पहा.

महत्वाच्या व्याख्या

SCEP (Simple Certificate Enrolment Protocol)

PKI पर्यावरणातील डिव्हाइसेसना X.509 डिजिटल प्रमाणपत्रे जारी करणे स्वयंचलित करणारा RFC 8894 मधील एक प्रोटोकॉल. डिव्हाइस स्वतःची खाजगी की स्थानिक पातळीवर तयार करते, जी डिव्हाइसबाहेर कधीही जात नाही.

मॅन्युअल IT हस्तक्षेपाशिवाय कॉर्पोरेट आणि BYOD डिव्हाइसेसवर मोठ्या प्रमाणावर WiFi ऑथेंटिकेशन प्रमाणपत्रे तैनात करण्यासाठी वापरले जाते. 802.1X प्रमाणपत्र प्रोव्हिजनिंगसाठी हे उद्योग मानक आहे.

802.1X

पोर्ट-आधारित नेटवर्क ॲक्सेस नियंत्रणासाठी एक IEEE मानक (IEEE Std 802.1X-2020). हे LAN किंवा WLAN ला जोडण्याची इच्छा असलेल्या डिव्हाइसेसना नेटवर्क संसाधनांमध्ये प्रवेश मिळण्यापूर्वी प्रमाणीकरण यंत्रणा प्रदान करते.

सुरक्षित एंटरप्राइझ WiFi चा पाया, जो असुरक्षित प्री-शेअर्ड कीज बदलतो. यासाठी एक RADIUS सर्व्हर, क्लायंट डिव्हाइसवर एक सप्लिकंट आणि ॲक्सेस पॉइंटवर ऑथेंटिकेटर आवश्यक असतो.

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

एक ऑथेंटिकेशन फ्रेमवर्क ज्यामध्ये सर्व्हर आणि क्लायंट दोघांनाही वैध डिजिटल प्रमाणपत्रे सादर करणे आवश्यक असते. हे परस्पर प्रमाणीकरण प्रदान करते, ज्यामुळे डिव्हाइस नेटवर्कवर विश्वास ठेवते आणि नेटवर्क डिव्हाइसवर विश्वास ठेवते.

802.1X प्रमाणीकरणासाठी सर्वात सुरक्षित पद्धत. क्रेडेंशियल चोरी आणि मॅन-इन-द-मिडल हल्ले दूर करते. SCEP प्रमाणपत्र डिप्लॉयमेंट सक्षम करण्यासाठी डिझाइन केलेले लक्ष्य प्रमाणीकरण प्रोटोकॉल.

NDES (Network Device Enrolment Service)

एक Microsoft Windows Server रोल जो पूल म्हणून काम करतो, ज्यामुळे डोमेन क्रेडेंशियल नसलेल्या डिव्हाइसेसना SCEP द्वारे ॲक्टिव्ह डिरेक्टरी प्रमाणपत्र सेवा CA कडून प्रमाणपत्रे मिळवता येतात.

Microsoft Intune सह SCEP लागू करताना आवश्यक असलेला इन्फ्रास्ट्रक्चर घटक. सुरक्षित रिमोट प्रमाणपत्र तरतूद करण्याची अनुमती देण्यासाठी Azure AD ॲप्लिकेशन प्रॉक्सीद्वारे हे प्रकाशित केले पाहिजे.

BYOD (Bring Your Own Device)

कर्मचाऱ्यांना त्यांचे वैयक्तिक स्मार्टफोन, टॅब्लेट किंवा लॅपटॉप एंटरप्राइझ नेटवर्क्स आणि ॲप्लिकेशन्समध्ये प्रवेश करण्यासाठी वापरण्याची परवानगी देण्याची प्रथा.

अनमॅनेज्ड डिव्हाइसेसना कॉर्पोरेट नेटवर्कशी तडजोड करण्यापासून रोखण्यासाठी काळजीपूर्वक नेटवर्क वर्गीकरण आणि सुरक्षित ऑनबोर्डिंग आवश्यक आहे. गोपनीयतेच्या काळजीमुळे वैयक्तिक डिव्हाइसेससाठी पूर्ण MDM नोंदणी बऱ्याचदा अव्यवहार्य असते.

CRL (Certificate Revocation List)

प्रमाणपत्र प्राधिकरणाद्वारे (CA) प्रकाशित केलेली एक सूची, ज्यामध्ये मुदत संपण्यापूर्वी रद्द करण्यात आलेल्या प्रमाणपत्रांचे अनुक्रमांक असतात.

नोकरी सोडलेले कर्मचारी किंवा तडजोड केलेली डिव्हाइसेस नेटवर्कमध्ये प्रवेश करू शकत नाहीत याची खात्री करण्यासाठी प्रत्येक प्रमाणीकरण प्रयत्नादरम्यान RADIUS सर्व्हरद्वारे तपासणी केली पाहिजे. CRL वितरण पॉइंट्स अत्यंत उपलब्ध असणे आवश्यक आहे.

CSR (Certificate Signing Request)

डिजिटल आयडेंटिटी प्रमाणपत्रासाठी अर्ज करण्यासाठी डिव्हाइसद्वारे तयार केलेला आणि प्रमाणपत्र प्राधिकरणाकडे पाठवलेला संदेश. यामध्ये डिव्हाइसची सार्वजनिक की आणि ओळख माहिती असते.

SCEP प्रक्रियेदरम्यान डिव्हाइसद्वारे व्युत्पन्न केले जाते. CSR वर स्वाक्षरी करण्यासाठी वापरली जाणारी खाजगी की डिव्हाइसवरच राहते आणि कधीही प्रसारित केली जात नाही.

RADIUS (Remote Authentication Dial-In User Service)

एक नेटवर्किंग प्रोटोकॉल जो नेटवर्कशी कनेक्ट होणाऱ्या युजर्स आणि डिव्हाइसेससाठी केंद्रीकृत प्रमाणीकरण (Authentication), अधिकृतता (Authorisation), आणि अकाउंटिंग (Accounting) (AAA) व्यवस्थापन प्रदान करतो.

802.1X प्रमाणीकरणादरम्यान क्लायंट प्रमाणपत्राची पडताळणी करणारा आणि नेटवर्क प्रवेश मंजूर किंवा नाकारणारा सर्व्हर. कडक CRL किंवा OCSP तपासणी लागू करण्यासाठी कॉन्फिगर केलेला असावा.

PKCS (Public Key Cryptography Standards)

मानकांचा एक संच जिथे सार्वजनिक आणि खाजगी दोन्ही की प्रमाणपत्र प्राधिकरणाद्वारे व्युत्पन्न केल्या जातात आणि नंतर एंडपॉइंटवर सुरक्षितपणे पोहोचवल्या जातात.

WiFi प्रमाणीकरणासाठी SCEP पेक्षा कमी योग्य कारण खाजगी की नेटवर्कवर प्रसारित केली जाते. S/MIME ईमेल कूटबद्धीकरणासाठी अधिक योग्य जिथे की एस्क्रो आवश्यक आहे.

OCSP (Online Certificate Status Protocol)

नियतकालिकरित्या अपडेट केल्या जाणाऱ्या CRL ला पर्याय म्हणून, रिअल-टाइम प्रमाणपत्र रद्दीकरण स्थिती प्रदान करणारा प्रोटोकॉल.

उच्च सुरक्षा वातावरणासाठी CRL पेक्षा प्राधान्य दिले जाते कारण ते काही तास जुन्या असलेल्या सूचीवर अवलंबून राहण्याऐवजी त्वरित रद्दीकरण स्थिती प्रदान करते.

सोडवलेली उदाहरणे

एका २०० खोल्यांच्या हॉटेलला त्यांच्या ५० हाउसकीपिंग कर्मचाऱ्यांसाठी त्यांचे वैयक्तिक स्मार्टफोन (BYOD) वापरून हाउसकीपिंग शेड्यूलिंग ॲपमध्ये प्रवेश करण्यासाठी सुरक्षित WiFi प्रवेश प्रदान करणे आवश्यक आहे. कर्मचाऱ्यांच्या गोपनीयतेचा आदर करण्यासाठी IT व्यवस्थापकाला पूर्ण MDM एनरोलमेंट टाळायची आहे, परंतु एखादा कर्मचारी नोकरी सोडतो तेव्हा प्रवेश त्वरित रद्द केला जाईल याची खात्री करणे आवश्यक आहे.

हॉटेल Microsoft Entra ID सह एकत्रित केलेले सेल्फ-सर्व्हिस ऑनबोर्डिंग पोर्टल तैनात करते. कर्मचारी एका ओपन प्रोव्हिजनिंग SSID शी कनेक्ट होतात, त्यांच्या Entra ID क्रेडेंशियलसह ऑथेंटिकेट करतात आणि SCEP प्रोफाइल डाउनलोड करतात. SCEP सर्व्हर थेट डिव्हाइसवर ३० दिवसांचे क्लायंट प्रमाणपत्र जारी करतो, ज्यामध्ये प्रायव्हेट की स्थानिक पातळीवर स्मार्टफोनच्या सिक्युर एन्क्लेव्हमध्ये तयार केली जाते आणि स्टोअर केली जाते. डिव्हाइस EAP-TLS वापरून 'Staff_WiFi' SSID शी स्वयंचलितपणे कनेक्ट होते. RADIUS सर्व्हर या डिव्हाइसेसना मर्यादित VLAN वर नियुक्त करतो जो केवळ शेड्यूलिंग ॲप आणि इंटरनेटला प्रवेश देतो. जेव्हा एखादा कर्मचारी राजीनामा देतो, तेव्हा त्यांचे Entra ID खाते निष्क्रिय केले जाते. कठोर CRL तपासणीसाठी कॉन्फिगर केलेला RADIUS सर्व्हर पुढील ऑथेंटिकेशनच्या प्रयत्नात नेटवर्क प्रवेश नाकारतो. ३० दिवसांची प्रमाणपत्र वैधता हे सुनिश्चित करते की CRL तपासणीला उशीर झाला तरीही, एका महिन्याच्या आत प्रवेश संपुष्टात येईल.

परीक्षकाचे भाष्य: हा दृष्टिकोन कर्मचाऱ्यांच्या गोपनीयतेसह सुरक्षिततेचा समतोल राखतो. पूर्ण MDM एनरोलमेंटऐवजी Captive Portal द्वारे SCEP वापरून, हॉटेल वैयक्तिक डिव्हाइसेसवर मॅनेजमेंट प्रोफाइल स्थापित करणे टाळते. ३० दिवसांची प्रमाणपत्र वैधता आणि कठोर CRL तपासणी स्तरित प्रवेश नियंत्रण प्रदान करतात. VLAN विभागणी हे सुनिश्चित करते की तडजोड केलेले BYOD डिव्हाइस देखील कॉर्पोरेट सर्व्हर किंवा पेमेंट सिस्टमपर्यंत पोहोचू शकत नाही.

५०० स्टोअर्स असलेल्या एका राष्ट्रीय रिटेल साखळीला Windows चालवणाऱ्या कॉर्पोरेट मालकीच्या पॉइंट-ऑफ-सेल (POS) टॅब्लेटसाठी सुरक्षित WiFi तैनात करणे आवश्यक आहे. नेटवर्क आर्किटेक्टने हे सुनिश्चित केले पाहिजे की टॅब्लेट चोरीला गेला तरीही, नेटवर्क क्रेडेंशियल काढले जाऊ शकत नाहीत आणि दुसऱ्या डिव्हाइसवरून कॉर्पोरेट नेटवर्कमध्ये प्रवेश करण्यासाठी वापरले जाऊ शकत नाहीत. PCI DSS अनुपालन अनिवार्य आहे.

नेटवर्क आर्किटेक्ट SCEP द्वारे प्रमाणपत्रे तैनात करण्यासाठी Microsoft Intune कॉन्फिगर करतो. Intune 'POS Devices' ग्रुपवर Trusted Root प्रमाणपत्र पुश करतो, त्यानंतर SCEP प्रोफाइल जे प्रत्येक टॅब्लेटला Windows TPM मध्ये स्वतःची प्रायव्हेट की व्युत्पन्न करण्याचे निर्देश देते. टॅब्लेट NDES सर्व्हरकडे CSR सबमिट करतो, क्लायंट प्रमाणपत्र प्राप्त करतो आणि WPA3-Enterprise आणि EAP-TLS वापरून 'Retail_POS' SSID शी कनेक्ट होतो. RADIUS सर्व्हर प्रमाणपत्राचे ऑथेंटिकेशन करतो आणि डिव्हाइसला वेगळ्या POS VLAN वर ठेवतो, जे केवळ पेमेंट प्रोसेसर आणि इन्व्हेंटरी मॅनेजमेंट सिस्टमला ट्रॅफिकची अनुमती देते. तिन्ही Intune प्रोफाइल - Trusted Root, SCEP, आणि WiFi - अवलंबित्व अपयश टाळण्यासाठी एकाच 'POS Devices' डिव्हाइस ग्रुपला नियुक्त केले आहेत. टॅब्लेट ऑन-साइट असण्याची आवश्यकता न ठेवता प्रमाणपत्र नूतनीकरणास अनुमती देण्यासाठी NDES Azure AD Application Proxy द्वारे प्रकाशित केले जाते.

परीक्षकाचे भाष्य: PCI DSS वातावरणातील कॉर्पोरेट डिव्हाइसेससाठी हे सर्वोत्तम आर्किटेक्चर आहे. SCEP हे सुनिश्चित करते की प्रायव्हेट की स्थानिक पातळीवर TPM मध्ये तयार केली जाते आणि कधीही ट्रान्समिट केली जात नाही, त्यामुळे चोरी झालेल्या टॅब्लेटचे क्रेडेंशियल काढले जाऊ शकत नाहीत आणि दुसऱ्या डिव्हाइसवरून पुन्हा वापरले जाऊ शकत नाहीत. WPA3-Enterprise मानक फॉरवर्ड सिक्रसी प्रदान करते, हे सुनिश्चित करते की कॅप्चर केलेले ट्रॅफिक भूतकाळातील प्रभावाने डिक्रिप्ट केले जाऊ शकत नाही. VLAN आयसोलेशन कोणत्याही तडजोड केलेल्या डिव्हाइसची मर्यादा केवळ POS नेटवर्क सेगमेंटपुरती मर्यादित करते.

सराव प्रश्न

Q1. तुम्ही Intune द्वारे Windows लॅपटॉपच्या ताफ्यामध्ये SCEP प्रोफाइल तैनात करत आहात. डिव्हाइसेसना यशस्वीरित्या Trusted Root प्रमाणपत्र प्राप्त होते, परंतु WiFi प्रोफाइल लागू होण्यास अपयशी ठरते आणि Intune कन्सोलमध्ये 'Error' म्हणून दाखवते. SCEP प्रोफाइल 'All Users' Azure AD ग्रुपला नियुक्त केले आहे, तर WiFi प्रोफाइल 'Corporate Laptops' डिव्हाइस ग्रुपला नियुक्त केले आहे. अपयशाचे कारण काय आहे आणि तुम्ही ते कसे सोडवाल?

टीप: प्रोफाइल्समधील परस्पर अवलंबित्व आणि जेव्हा एखादे प्रोफाइल दुसऱ्या प्रोफाइलवर अवलंबून असते तेव्हा Intune ग्रुप टार्गेटिंगचे निराकरण कसे करते याचा विचार करा.

नमुना उत्तर पहा

हे अपयश ग्रुप टारगेटिंगमधील विसंगतीमुळे झाले आहे. Intune हे SCEP प्रोफाइल आणि WiFi प्रोफाइलमधील परस्पर संबंध सोडवू शकत नाही कारण ते वेगवेगळ्या ग्रुप प्रकारांना लक्ष्य करतात - एक युजर्सना लक्ष्य करतो आणि दुसरा डिव्हाइसेसना लक्ष्य करतो. हे सोडवण्यासाठी, तिन्ही प्रोफाइल वितरणाचे ऑडिट करा आणि Trusted Root, SCEP आणि WiFi प्रोफाइल हे सर्व अचूकपणे एकाच Azure AD ग्रुपवर तैनात केले आहेत याची खात्री करा. सर्व प्रोफाइलवर सुसंगतपणे युजर टारगेटिंग किंवा डिव्हाइस टारगेटिंग यापैकी एक निवडा.

Q2. एका रिटेल वेन्यूला त्यांचे POS टॅब्लेट सुरक्षित करायचे आहेत. IT डायरेक्टरने SCEP ऐवजी PKCS वापरण्याची सूचना केली कारण यामुळे NDES सर्व्हरची गरज दूर होऊन इन्फ्रास्ट्रक्चर सोपे होते. नेटवर्क आर्किटेक्ट म्हणून, तुम्ही 802.1X WiFi प्रमाणीकरणासाठी (authentication) SCEP ची शिफारस का करावी आणि कोणत्या परिस्थितीत PKCS हा योग्य पर्याय असेल?

टीप: दोन्ही प्रोटोकॉलमध्ये खाजगी की (private key) कुठे तयार केली जाते आणि स्टोअर केली जाते याचा विचार करा, आणि नेटवर्क प्रमाणीकरण (authentication) विरुद्ध ईमेल एन्क्रिप्शनसाठीच्या सुरक्षा परिणामांचा विचार करा.

नमुना उत्तर पहा

802.1X WiFi प्रमाणीकरणासाठी SCEP ची शिफारस करा कारण खाजगी की (private key) स्थानिक पातळीवर डिव्हाइसवर तयार केली जाते आणि त्याच्या हार्डवेअर सिक्योर एन्क्लेव्हमध्ये स्टोअर केली जाते. ही खाजगी की कधीही डिव्हाइस सोडत नाही आणि नेटवर्कवर कधीही ट्रान्समिट केली जात नाही. जर टॅब्लेट चोरीला गेला, तर क्रेडेंशियल बाहेर काढून दुसऱ्या डिव्हाइसवरून वापरले जाऊ शकत नाहीत. PKCS च्या बाबतीत, CA मध्यवर्ती पातळीवर की पेअर (key pair) तयार करते आणि ते डिव्हाइसवर ट्रान्समिट करते, ज्यामुळे ट्रान्समिशनचा धोका निर्माण होतो जो नेटवर्क प्रमाणीकरणासाठी अस्वीकार्य आहे. PKCS हा केवळ S/MIME ईमेल एन्क्रिप्शनसाठी योग्य पर्याय आहे, जिथे मूळ डिव्हाइस हरवल्यास एन्क्रिप्टेड ईमेल डिक्रिप्ट करण्यासाठी की एस्क्रो (key escrow) आवश्यक असते.

Q3. तुम्ही ५०० बेडच्या हॉस्पिटलसाठी BYOD ऑनबोर्डिंग पोर्टल डिझाइन करत आहात. क्लिनिकल स्टाफ कर्मचाऱ्यांच्या वेळापत्रक आणि अंतर्गत मेसेजिंग यांसारख्या गैर-महत्त्वाच्या अंतर्गत ॲप्समध्ये प्रवेश करण्यासाठी त्यांचे वैयक्तिक स्मार्टफोन वापरतील. कर्मचारी नोकरी सोडून गेल्यानंतर जुने डिव्हाइसेस नेटवर्कवर सक्रिय राहण्याचा धोका तुम्हाला कमी करायचा आहे, आणि यासाठी प्रत्येक वेळेस IT च्या मॅन्युअल हस्तक्षेपाची गरज पडू नये अशी तुमची इच्छा आहे. तुम्ही कोणते विशिष्ट प्रमाणपत्र कॉन्फिगरेशन लागू केले पाहिजे?

टीप: प्रमाणपत्राच्या लाइफसायकलचा विचार करा आणि IT ला प्रत्येक प्रमाणपत्र मॅन्युअली रद्द (revoke) करण्याची गरज न पडता तुम्ही डिव्हाइसेसना ठराविक कालावधीनंतर पुन्हा प्रमाणीकरण (re-authenticate) करण्यास कसे भाग पाडू शकता याचा विचार करा.

नमुना उत्तर पहा

३० ते ९० दिवसांच्या वैधता कालावधीसह अल्पायुषी (short-lived) प्रमाणपत्रे लागू करा. जेव्हा प्रमाणपत्राची मुदत संपेल, तेव्हा BYOD डिव्हाइसला स्टाफ सदस्याच्या कॉर्पोरेट IdP क्रेडेंशियल्सचा वापर करून Captive Portal द्वारे पुन्हा प्रमाणीकरण करण्यास भाग पाडले जाते. जर स्टाफ सदस्याने नोकरी सोडली असेल आणि त्यांचे IdP खाते निष्क्रिय केले असेल, तर ते पुन्हा प्रमाणीकरण पूर्ण करू शकणार नाहीत आणि त्यांना नवीन प्रमाणपत्र मिळणार नाही. यामुळे IT ला मॅन्युअली वैयक्तिक प्रमाणपत्रे रद्द न करता जुने डिव्हाइसेस आपोआप नेटवर्कमधून काढून टाकले जातात. खाते निष्क्रिय केल्यावर तात्काळ प्रमाणपत्र रद्द होईल याची खात्री करण्यासाठी RADIUS सर्व्हरवरील OCSP चेकिंगसह हे एकत्रित करा, जे प्रमाणपत्राची मुदत संपण्याच्या सायकल दरम्यान अधिक सुरक्षा प्रदान करते.

Q4. तुमचा NDES सर्व्हर सर्व SCEP प्रमाणपत्र विनंत्यांसाठी HTTP 403 Forbidden एरर परत करत आहे. NDES सर्व्हर Azure AD Application Proxy द्वारे इंटरनेटवरून प्रवेशयोग्य आहे. या एररची दोन बहुधा संभाव्य कारणे कोणती आहेत आणि तुम्ही प्रत्येकाचे निदान कसे कराल?

टीप: प्रमाणपत्र टेम्पलेटवरील परवानग्या आणि डिव्हाइस व NDES सर्व्हरमधील नेटवर्क पाथ या दोन्हीचा विचार करा.

नमुना उत्तर पहा

दोन सर्वात संभाव्य कारणे आहेत: पहिले, Intune Certificate Connector सर्व्हिस अकाउंटकडे CA सर्टिफिकेट टेम्पलेटवर आवश्यक परवानग्या नाहीत. CA कंसोलमधील टेम्पलेटवर सर्व्हिस अकाउंटकडे 'Read' आणि 'Enrol' परवानग्या आहेत याची पडताळणी करा. दुसरे, फायरवॉल किंवा ॲप्लिकेशन प्रॉक्सी SCEP द्वारे वापरल्या जाणाऱ्या विशिष्ट क्वेरी स्ट्रिंग पॅरामीटर्सना ब्लॉक करत आहे. '?operation=GetCACaps' किंवा '?operation=PKIOperation' यासारखे पॅरामीटर्स असलेल्या विनंत्यांसाठी फायरवॉल आणि ॲप्लिकेशन प्रॉक्सी लॉग तपासा. हे मानक SCEP ऑपरेशन्स आहेत ज्यांना परवानगी असणे आवश्यक आहे. जर ॲप्लिकेशन प्रॉक्सी क्वेरी स्ट्रिंग्स काढून टाकत असेल, तर NDES URL पाथसाठी पास-थ्रू परवानगी देण्यासाठी प्री-ऑथेंटिकेशन सेटिंग्जमध्ये बदल करा.

या मालिकेमध्ये पुढे वाचा

कर्मचारी आणि अतिथी WiFi नेटवर्क सुरक्षितपणे कसे वेगळे करावे

हे अधिकृत तांत्रिक मार्गदर्शक IT नेत्यांना VLAN आणि 802.1X चा वापर करून कर्मचारी, अतिथी आणि IoT WiFi नेटवर्क्स सुरक्षितपणे वेगळे करण्यासाठी कृतीयोग्य रणनीती प्रदान करते. हे एंटरप्राइझ इन्फ्रास्ट्रक्चर सुरक्षित कसे करावे, PCI DSS अनुपालन कसे राखायचे आणि फर्स्ट-पार्टी डेटा कॅप्चर करण्यासाठी कॅप्टिव्ह पोर्टलचा कसा फायदा घ्यावा याचे तपशील प्रदान करते.

मार्गदर्शिका वाचा →

सर्वोत्तम DNS filtering: व्यवसायांसाठी एक व्यापक मार्गदर्शक

हे तांत्रिक संदर्भ मार्गदर्शक स्पष्ट करते की कशा प्रकारे एंटरप्राइझ DNS filtering हे कनेक्शन स्थापित होण्यापूर्वीच - रिझोल्यूशन लेयरवर दुर्भावनापूर्ण डोमेन्स ब्लॉक करून सार्वजनिक नेटवर्क सुरक्षित करते. हे IT संचालक, नेटवर्क आर्किटेक्ट आणि वेन्यू ऑपरेशन्स टीम्सना डेव्हलपमेंट आर्किटेक्चर, फायरवॉल कॉन्फिगरेशन आणि अनुपालन संदर्भ प्रदान करते जे त्यांना हॉस्पिटॅलिटी, रिटेल आणि सार्वजनिक क्षेत्रातील वातावरणात Guest WiFi सुरक्षित करण्यासाठी आवश्यक आहे. Purple Shield हे ८०,००० पेक्षा जास्त थेट वेन्यूवर DNS स्तरावर मालवेअर, बॉटनेट्स आणि अयोग्य कंटेंट ब्लॉक करते.

मार्गदर्शिका वाचा →

Cisco SUDI समजून घेणे: Secure Network Access Control मधील Hardware-Anchored Identity

हे मार्गदर्शक स्पष्ट करते की Cisco SUDI कशा प्रकारे एंटरप्राइझ नेटवर्क इन्फ्रास्ट्रक्चरसाठी hardware-anchored, गुपित-सुरक्षित (cryptographically secure) ओळख प्रदान करते. तुमच्या वेन्यूच्या नेटवर्क ॲक्सेस कंट्रोल सुरक्षित करण्यासाठी स्पूफ करता येण्याजोग्या MAC ॲड्रेसेस ऐवजी अपरिवर्तनीय 802.1AR सर्टिफिकेट्स वापरण्याची पद्धत जाणून घ्या.

मार्गदर्शिका वाचा →