उच्च शिक्षणामध्ये सुरक्षित BYOD आणि नेटवर्क नोंदणीसाठी SCEP कसे लागू करावे

Speak in British English with a clear, confident, authoritative tone. You are a senior network security consultant briefing a room of IT directors and CTOs at a university. Your delivery is measured, direct, and occasionally dry. You pause naturally between sections. Pace is steady and professional, not rushed: Purple च्या या तांत्रिक ब्रीफिंगमध्ये आपले स्वागत आहे. मी तुम्हाला उच्च शिक्षणामध्ये सुरक्षित BYOD आणि नेटवर्क नोंदणीसाठी SCEP - Simple Certificate Enrolment Protocol - लागू करण्याबद्दल माहित असणे आवश्यक असलेल्या प्रत्येक गोष्टीबद्दल मार्गदर्शन करणार आहे. जर तुम्ही विद्यापीठात आयटी संचालक किंवा नेटवर्क आर्किटेक्ट असाल आणि तुमच्या कॅम्पस WiFi वर विद्यार्थ्यांच्या उपकरणांचे प्रमाणीकरण करण्यासाठी तुम्ही अजूनही सामायिक पासवर्ड किंवा captive portals वर अवलंबून असाल, तर हे ब्रीफिंग तुमच्यासाठी आहे. [medium pause] चला समस्येपासून सुरुवात करूया. आज बहुतेक विद्यापीठे 'ट्रस्ट-ऑन-फर्स्ट-युझ' नावाच्या मॉडेलवर चालत आहेत. एक विद्यार्थी येतो, कॅम्पस SSID शी जोडला जातो, त्याचे विद्यापीठ क्रेडेंशियल्स टाईप करतो आणि तो नेटवर्कवर येतो. साधे. परिचयाचे. आणि, प्रामाणिकपणे सांगायचे तर, एक मोठी सुरक्षा जोखीम. पासवर्ड सामायिक केले जातात. क्रेडेंशियल्स फिश केले जातात. केवळ एक तडजोड केलेले खाते तुमच्या नेटवर्कवर अशा हजारो उपकरणांना प्रवेश देऊ शकते ज्यांचा तिथे काहीही संबंध नाही. आणि जेव्हा तुम्ही त्याच पायाभूत सुविधांवर GDPR दायित्वे, संशोधन डेटा आणि पेमेंट सिस्टीम हाताळत असता, तेव्हा हा असा धोका आहे जो तुम्ही पत्करू शकत नाही. [medium pause] SCEP हे डिव्हाइस आयडेंटिटी लेयरवर सोडवते. पासवर्डद्वारे "तुम्ही कोण आहात?" असे विचारण्याऐवजी, ते क्रिप्टोग्राफिक प्रमाणपत्राद्वारे "तुम्ही काय आहात?" असे विचारते. SCEP - ज्याची औपचारिक व्याख्या IETF द्वारे RFC 8894 मध्ये केली आहे - हा एक प्रोटोकॉल आहे जो व्यवस्थापित आणि अव्यवस्थित उपकरणांना X.509 डिजिटल प्रमाणपत्रे जारी करणे, वितरण करणे आणि नूतनीकरण करणे स्वयंचलित करतो. हे दोन दशकांहून अधिक काळ एंटरप्राइझ PKI चा कणा राहिले आहे आणि याला प्रत्येक प्रमुख MDM प्लॅटफॉर्मद्वारे नेटिव्हली सपोर्ट केला जातो: Microsoft Intune, JAMF Pro, आणि VMware Workspace ONE. व्यवहारात नोंदणी प्रवाह कसा कार्य करतो ते येथे दिले आहे. जेव्हा एखाद्या विद्यार्थ्याचे डिव्हाइस तुमच्या ऑनबोर्डिंग SSID शी जोडले जाते, तेव्हा त्या डिव्हाइसवरील MDM एजंट एक की जोडी तयार करतो आणि Certificate Signing Request - म्हणजेच CSR तयार करतो. ती विनंती तुमच्या SCEP गेटवेवर जाते, जी वन-टाइम चॅलेंज पासवर्ड प्रमाणित करते. गेटवे CSR ला तुमच्या Certificate Authority कडे पाठवतो, जे त्यावर स्वाक्षरी करते आणि डिव्हाइसला एक युनिक X.509 प्रमाणपत्र परत करते. त्या क्षणापासून, ते डिव्हाइस 802.1X EAP-TLS द्वारे प्रमाणीकरण करण्यासाठी त्या प्रमाणपत्राचा वापर करते - जी IEEE 802.1X मानकांमध्ये परिभाषित केलेली सर्वात सुरक्षित वायरलेस प्रमाणीकरण पद्धत आहे. कोणतेही पासवर्ड नाहीत. कोणतेही सामायिक गुपिते नाहीत. फक्त डिव्हाइसच्या ओळखीचा क्रिप्टोग्राफिक पुरावा. [medium pause] आता, EAP-TLS - Extensible Authentication Protocol with Transport Layer Security - याबद्दल समजून घेण्यासाठी तुमचा थोडा वेळ देणे नक्कीच फायदेशीर आहे. यासाठी परस्पर प्रमाणीकरण आवश्यक असते: डिव्हाइस RADIUS सर्व्हरकडे आपली ओळख सिद्ध करते आणि RADIUS सर्व्हर डिव्हाइसकडे आपली ओळख सिद्ध करतो. हे प्रमाणीकरण स्तरावरील मॅन-इन-द-मिडल (man-in-the-middle) हल्ले रोखते. याची तुलना PEAP-MSCHAPv2 सोबत करा, जे अजूनही मोठ्या प्रमाणावर वापरले जाते आणि ज्यामध्ये क्रेडेंशियल चोरीचे ज्ञात धोके आहेत. जर तुम्ही आज PEAP वापरत असाल, तर SCEP द्वारे EAP-TLS वर स्थलांतरित होणे हे एक किरकोळ अपडेट नसून, एक अत्यंत महत्त्वाचे सुरक्षा अपग्रेड आहे. [medium pause] मी तुम्हाला एक प्रत्यक्ष आर्किटेक्चरचे उदाहरण देतो. तुम्ही तीन SSIDs वापरत आहात. पहिली VLAN 10 वर तुमची सुरक्षित विद्यार्थी SSID आहे - ज्याला आपण UniSecure म्हणूया. हे 802.1X EAP-TLS द्वारे प्रमाणपत्र प्रमाणित आहे. तुमच्या CA द्वारे जारी केलेले वैध प्रमाणपत्र असलेली डिव्हाइसेसच यामध्ये सामील होऊ शकतात. दुसरी VLAN 20 वर तुमची स्टाफ SSID आहे, जिथे व्यवस्थापित डिव्हाइसेसना डिव्हाइस नोंदणी दरम्यान Intune किंवा JAMF द्वारे स्वयंचलितपणे प्रमाणपत्रे मिळतात. तिसरी VLAN 30 वर तुमची अतिथी WiFi आहे - अभ्यागतांसाठी एक Captive Portal, जे तुमच्या शैक्षणिक नेटवर्कपासून पूर्णपणे वेगळे आहे. तुमचा RADIUS सर्व्हर - मग तो Microsoft NPS, Cisco ISE किंवा HPE Aruba ClearPass असो - ऍक्सेस पॉइंट्स आणि तुमच्या प्रमाणपत्र प्राधिकरणाच्या (Certificate Authority) मध्ये काम करतो आणि प्रत्येक प्रमाणीकरण प्रयत्नावर पॉलिसी लागू करतो. [medium pause] हार्डवेअरचा विचार केल्यास, हे आर्किटेक्चर Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist आणि Ubiquiti UniFi वर सुरळीतपणे चालते. SCEP गेटवे तुमचा सध्याचा Microsoft NDES सर्व्हर, क्लाउड SCEP सेवा किंवा समर्पित PKI प्लॅटफॉर्म असू शकतो. जर तुम्ही आधीच Microsoft Entra ID - पूर्वीचे Azure Active Directory - वापरत असाल, तर Intune च्या सर्टिफिकेट कनेक्टरसह याचे एकत्रीकरण सोपे आणि सुस्पष्ट आहे. [medium pause] आता मी तुम्हाला दोन प्रत्यक्ष उदाहरणे देतो. पहिले उदाहरण एका मोठ्या विद्यापीठाचे आहे जिथे मुख्य कॅम्पस आणि चार उप-कॅम्पस मिळून ३०,००० विद्यार्थी आहेत. त्यांचे आव्हान असे होते: सप्टेंबरमध्ये विद्यार्थी Windows लॅपटॉप, मॅकबुक, आयफोन आणि Android डिव्हाइसेससह येतात. पूर्वी, ते विद्यापीठाच्या क्रेडेंशियल्ससह PEAP वापरत होते. क्रेडेंशियल शेअरिंग ही एक मोठी समस्या होती. त्यांनी व्यवस्थापित स्टाफ डिव्हाइसेससाठी Intune सह SCEP वर आणि विद्यार्थ्यांच्या BYOD साठी सेल्फ-सर्व्हिस ऑनबोर्डिंग पोर्टलवर स्थलांतर केले. विद्यार्थी एका वेब पेजला भेट देतात, त्यांच्या विद्यापीठाच्या सिंगल साइन-ऑनसह प्रमाणीकरण करतात आणि पोर्टल त्यांच्या डिव्हाइसवर SCEP प्रोफाइल पुश करते. डिव्हाइस नोंदणीकृत होते, प्रमाणपत्र प्राप्त करते आणि सुरक्षित SSID शी स्वयंचलितपणे कनेक्ट होते. पहिल्याच टर्ममध्ये WiFi प्रमाणीकरणाशी संबंधित IT सपोर्ट कॉल्स ६०% नी कमी झाले. प्रमाणपत्र-आधारित प्रमाणीकरणाने त्यांना GDPR पालनासाठी एक स्पष्ट ऑडिट ट्रेल देखील दिला - ते कोणत्याही विशिष्ट वेळी अचूकपणे दर्शवू शकत होते की कोणत्या डिव्हाइसने कोणत्या नेटवर्क सेगमेंटमध्ये प्रवेश केला होता. [medium pause] दुसरी परिस्थिती ही एका पुढील उच्च शिक्षण देणाऱ्या कॉलेजची आहे, जिथे विद्यार्थ्यांच्या मालकीचे Chromebooks आणि संगणक लॅबमधील शेअर्ड Windows डिव्हाइसेस एकत्र वापरली जातात. त्यांनी macOS डिव्हाइसेससाठी JAMF आणि Chromebooks साठी Google Workspace चे सर्टिफिकेट मॅनेजमेंट वापरले. प्रत्येक MDM द्वारे डिव्हाइस एनरोलमेंट दरम्यान SCEP प्रोफाईल्स पुश केले गेले. शेअर्ड लॅब डिव्हाइसेसना युझर सर्टिफिकेट्स ऐवजी मशीन सर्टिफिकेट्स मिळाली, त्यामुळे ऑथेंटिकेशन हे वैयक्तिक लॉगिन ऐवजी डिव्हाइस-आधारित होते. याचा अर्थ असा की विद्यार्थी कोणत्याही लॅब मशीनवर बसू शकत होते आणि अतिरिक्त ऑथेंटिकेशन स्टेप्सशिवाय कनेक्ट करू शकत होते. कॉलेजने IoT डिव्हाइसेस - प्रोजेक्टर्स, प्रिंटर, स्मार्ट बोर्ड - इंटरनेट राउटिंग नसलेल्या एका स्वतंत्र VLAN वर सेगमेंट केले, ज्यामुळे त्यांच्यावरील सायबर हल्ल्याचा धोका लक्षणीयरीत्या कमी झाला. [medium pause] चला आता अंमलबजावणीतील त्रुटींबद्दल बोलूया, कारण अशा काही गोष्टी आहेत ज्या टीम्सना अडचणीत आणतात. पहिली अडचण म्हणजे चॅलेंज पासवर्ड मॅनेजमेंट. मूळ SCEP मध्ये, चॅलेंज पासवर्ड हा एक शेअर्ड सिक्रेट असतो. जर तो स्टॅटिक आणि दीर्घकाळ राहणारा असेल, तर तो एक धोका आहे. प्रत्येक डिव्हाइस एनरोलमेंटसाठी वन-टाइम चॅलेंज पासवर्ड जनरेट करण्यासाठी तुमचे MDM वापरा. Intune हे त्याच्या सर्टिफिकेट कनेक्टरद्वारे स्वयंचलितपणे करते. जर तुम्ही स्टँडअलोन SCEP सर्व्हर चालवत असाल, तर शॉर्ट एक्सपायरी विंडोज लागू करा - १५ मिनिटे हा एक योग्य डीफॉल्ट आहे. दुसरी त्रूटी म्हणजे सर्टिफिकेट लाइफसायकल मॅनेजमेंट. सर्टिफिकेट्स एक्स्पायर होतात. जर तुमच्याकडे ऑटोमेटेड रिन्यूअल नसेल, तर परीक्षेच्या दिवशी सकाळी विद्यार्थी WiFi शी कनेक्ट करू शकणार नाहीत. सर्टिफिकेट रिन्यूअल हे त्याच्या वैधतेच्या ८०% कालावधीवर ट्रिगर होईल असे सेट करा. बहुतेक MDMs हे स्वयंचलितपणे हाताळतात, परंतु थेट वापरण्यापूर्वी तुमच्या कॉन्फिगरेशनची पडताळणी करा. तिसरी त्रूटी म्हणजे BYOD स्कोप क्रीन. विद्यार्थ्यांच्या मालकीचे प्रत्येक वैयक्तिक डिव्हाइस तुमच्या अकॅडमिक VLAN वर नसावे. तुमचे एनरोलमेंट धोरण स्पष्टपणे परिभाषित करा: कोणते डिव्हाइस प्रकार पात्र आहेत, कोणत्या कंप्लायन्स तपासण्या आवश्यक आहेत - जसे की OS व्हर्जन, स्क्रीन लॉक, एन्क्रिप्शन - आणि एखादे डिव्हाइस कंप्लायन्स पूर्ण करण्यात अयशस्वी झाल्यास काय होते. एकदा कॉन्फिगर केल्यावर तुमच्या MDM ची कंडिशनल ऍक्सेस धोरणे हे स्वयंचलितपणे लागू करतात. [medium pause] मला वारंवार विचारल्या जाणार्‍या प्रश्नांसाठी एक क्विक रॅपिड-फायर विभाग. SCEP न व्यवस्थापित केलेल्या वैयक्तिक डिव्हाइसेससह काम करू शकते का? होय, एका सेल्फ-सर्व्हिस ऑनबोर्डिंग पोर्टलद्वारे जे हलक्या वजनाचे SCEP प्रोफाईल पुश करते. डिव्हाइस पूर्णपणे MDM-एनरोल असण्याची आवश्यकता नाही. SCEP हे eduroam ला रिप्लेस करते का? नाही - eduroam हे RADIUS फेडरेशनसह 802.1X चा वापर करते आणि SCEP ही अशी यंत्रणा आहे जी ती सर्टिफिकेट्स वितरित करते ज्यांचा वापर ती डिव्हाइसेस eduroam वर ऑथेंटिकेट करण्यासाठी करतात. ते एकमेकांना पूरक आहेत. SCEP हे GDPR चे पालन करते का? सर्टिफिकेट-आधारित ऑथेंटिकेशन एक स्वच्छ, संदर्भ शोधता येणारा ऑडिट लॉग जनरेट करते - जसे की डिव्हाइस आयडेंटिटी, टाईमस्टॅम्प, VLAN असाइनमेंट - जे योग्य तांत्रिक सुरक्षा उपायांबाबत तुमच्या GDPR कलम ३२ च्या जबाबदाऱ्यांना पाठबळ देते. WPA3 मुळे काही बदलते का? १९२-बिट मोडसह WPA3-Enterprise मुळे EAP-TLS अनिवार्य होते, ज्यासाठी सर्टिफिकेट्स आवश्यक असतात. SCEP हा यासाठी नैसर्गिक वितरण मार्ग आहे. WPA3 आणि SCEP एकत्र स्वीकारणे ही योग्य आर्किटेक्चरल दिशा आहे. [medium pause] थोडक्यात सांगायचे तर. SCEP हे विद्यार्थी आणि कर्मचाऱ्यांच्या उपकरणांवर सर्टिफिकेट वितरण स्वयंचलित करते, ज्यामुळे तुमच्या कॅम्पस WiFi वर 802.1X EAP-TLS ऑथेंटिकेशन सक्षम होते. हे शेअर केलेले पासवर्ड्स काढून टाकते, क्रेडेंशियल फिशिंगचा धोका कमी करते आणि तुम्हाला क्रिप्टोग्राफिकदृष्ट्या पडताळणी करण्यायोग्य ऑडिट ट्रेल देते. हे आर्किटेक्चर हार्डवेअर-अज्ञेयवादी आहे - हे Cisco Meraki, HPE Aruba, Ruckus आणि Juniper Mist वर चालते. हे Microsoft Entra ID, Okta आणि Google Workspace सोबत इंटिग्रेट होते. आणि हे एका सिंगल-कॅम्पस पुढील शिक्षण देणाऱ्या कॉलेजपासून ते मल्टि-साइट रसेल ग्रुप युनिव्हर्सिटीपर्यंत स्केल होते. तुम्ही या वर्षी तुमच्या कॅम्पस WiFi च्या सुरक्षा स्थितीचे मूल्यांकन करत असल्यास, SCEP सह EAP-TLS हा एक असा मानक आहे ज्याच्या दिशेने तुम्ही काम केले पाहिजे. Purple चे प्लॅटफॉर्म या आर्किटेक्चरसह गेस्ट WiFi आणि ॲनालिटिक्स लेयरवर इंटिग्रेट होते, ज्यामुळे तुमच्या शैक्षणिक नेटवर्कच्या सुरक्षेशी तडजोड न करता तुम्हाला भेट देणाऱ्यांच्या वर्तनाचा फर्स्ट-पार्टी डेटा मिळतो. ऐकल्याबद्दल धन्यवाद. तुम्हाला यापैकी कशाबद्दलही सखोल माहिती हवी असल्यास, संपूर्ण तांत्रिक मार्गदर्शक purple.ai वर उपलब्ध आहे.