मुख्य मजकुराकडे जा
मराठी

Cisco SUDI समजून घेणे: नेटवर्क ॲक्सेस कंट्रोलमधील हार्डवेअर-आधारित डिव्हाइस ओळख

हे मार्गदर्शक Cisco SUDI च्या तांत्रिक आर्किटेक्चरचे सविस्तर वर्णन करते, ज्यामध्ये हार्डवेअर-अँकर्ड ओळख नेटवर्क ॲक्सेस कंट्रोलला कशी सुरक्षित करते हे स्पष्ट केले आहे. हे IT लीडर्सना एंटरप्राइझ ठिकाणी 802.1X EAP-TLS ऑथेंटिकेशन तैनात करण्यासाठी आणि Zero Touch Provisioning स्वयंचलित करण्यासाठी व्यावहारिक अंमलबजावणीच्या पायऱ्या प्रदान करते.

📖 6 मिनिट वाचन📝 1,346 शब्द🔧 2 सोडवलेली उदाहरणे3 सराव प्रश्न📚 8 महत्वाच्या व्याख्या

हे मार्गदर्शक ऐका

पॉडकास्ट ट्रान्सक्रिप्ट पहा
Cisco SUDI समजून घेणे: नेटवर्क ॲक्सेस कंट्रोलमधील हार्डवेअर-आधारित डिव्हाइस ओळख एक Purple तांत्रिक ब्रीफिंग - संपूर्ण पॉडकास्ट स्क्रिप्ट (अंदाजे १० मिनिटे) --- विभाग १: परिचय आणि संदर्भ (अंदाजे १ मिनिट) नमस्कार आणि Purple च्या तांत्रिक ब्रीफिंगमध्ये आपले स्वागत आहे. मी पुढील दहा मिनिटे तुम्हाला Cisco SUDI - Secure Unique Device Identifier - हे प्रत्यक्षात काय आहे, ते तुमच्या नेटवर्क ॲक्सेस कंट्रोल आर्किटेक्चरमध्ये कसे बसते आणि जर तुम्ही मोठ्या प्रमाणावर Cisco इन्फ्रास्ट्रक्चर चालवत असाल तर तुम्हाला याबद्दल काय करणे आवश्यक आहे, याबद्दल माहिती देणार आहे. हे नेटवर्क आर्किटेक्ट्स, IT मॅनेजर्स आणि वेन्यूजमधील CTOs - हॉटेल्स, रिटेल इस्टेट्स, स्टेडियम्स, कॉन्फरन्स सेंटर्स - जिथे तुम्ही एंटरप्राइझ WiFi चालवत आहात आणि तुमच्या नेटवर्कवरील हार्डवेअर नेमके तेच आहे ज्याचा ते दावा करत आहेत याबद्दल खात्री बाळगणे आवश्यक आहे, त्यांच्यासाठी आहे. चला SUDI सोडवत असलेल्या समस्येपासून सुरुवात करूया. कोणत्याही मोठ्या वेन्यू नेटवर्कमध्ये, तुमच्याकडे डझनभर किंवा शेकडो ॲक्सेस पॉइंट्स, स्विचेस आणि कंट्रोलर्स असतात. तुमची सुरक्षा स्थिती ज्या प्रश्नावर अवलंबून असते तो म्हणजे: तुम्हाला कसे माहीत की त्यापैकी प्रत्येक डिव्हाइस हे अस्सल, सुधारित न केलेले Cisco उत्पादन आहे - आणि बनावट, तडजोड केलेले युनिट किंवा वाहतुकीदरम्यान छेडछाड केलेले डिव्हाइस नाही? हीच ती पोकळी आहे जी SUDI भरून काढते. --- विभाग २: तांत्रिक सखोल विश्लेषण (अंदाजे ५ मिनिटे) SUDI म्हणजे Secure Unique Device Identifier. हे एक X.509 व्हर्जन ३ प्रमाणपत्र आहे - हेच प्रमाणपत्र स्वरूप HTTPS आणि TLS मध्ये वापरले जाते - परंतु ते एखाद्या व्यक्तीला किंवा सर्व्हरला जारी करण्याऐवजी, मॅन्युफॅक्चरिंग दरम्यान एका विशिष्ट हार्डवेअरला जारी केले जाते. यामध्ये डिव्हाइसचा उत्पादन आयडेंटिफायर आणि सिरियल नंबर असतो आणि ते Cisco च्या स्वतःच्या पब्लिक की इन्फ्रास्ट्रक्चरमध्ये रुजलेले असते. SUDI ला तुम्ही स्वतः इन्स्टॉल करू शकणाऱ्या सॉफ्टवेअर प्रमाणपत्रापेक्षा काय वेगळे बनवते ते येथे आहे. SUDI प्रमाणपत्र, त्याच्या संबंधित की जोडीसह (key pair), Trust Anchor module किंवा TAm नावाच्या टॅम्पर-रेझिस्टंट चिपमध्ये असते. खाजगी की (private key) त्या चिपच्या आत जनरेट होते आणि ती कधीही बाहेर जात नाही. तुम्ही ती एक्सपोर्ट करू शकत नाही. तुम्ही तिचे क्लोन करू शकत नाही. जर कोणी चिपशी भौतिक छेडछाड केली तर की नष्ट होते. हाच हार्डवेअर रूट ऑफ ट्रस्ट आहे. SUDI ही Cisco ची IEEE 802.1AR मानकाची अंमलबजावणी आहे - जे सुरक्षित डिव्हाइस आयडेंटिफायर्स किंवा DevIDs साठीचे उद्योग मानक आहे. 802.1AR अंतर्गत, उत्पादक-स्थापित क्रेडेंशियलला इनिशियल डिव्हाइस आयडेंटिफायर किंवा IDevID म्हटले जाते. Cisco चे SUDI नेमके तेच आहे - एक IDevID जे Cisco फॅक्टरीमध्ये इन्स्टॉल करते. तुम्ही याला लोकली सिग्निफिकेंट डिव्हाइस आयडेंटिफायर किंवा LDevID सह पूरक करू शकता, जे तुमचे स्वतःचे PKI स्थानिक ऑथरायझेशन पॉलिसींसाठी जारी करते. आता, हे नेटवर्क ॲक्सेस कंट्रोलमध्ये कसे जोडले जाते? सर्वात सामान्य एकत्रीकरण बिंदू म्हणजे IEEE 802.1X - पोर्ट-आधारित नेटवर्क ॲक्सेस कंट्रोल मानक. जेव्हा एखादा Cisco ॲक्सेस पॉइंट किंवा स्विच ऑनलाइन येतो, तेव्हा तो EAP-TLS का वापर करून RADIUS सर्व्हरला - सामान्यतः Cisco ISE, Identity Services Engine - त्याचे SUDI प्रमाणपत्र सादर करू शकतो, जे ट्रान्सपोर्ट लेयर सिक्युरिटीसह एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल आहे. RADIUS सर्व्हर Cisco च्या पब्लिक सर्टिफिकेट ऑथॉरिटीच्या विरूद्ध प्रमाणपत्राची पडताळणी करतो, डिव्हाइस अस्सल असल्याची खात्री करतो आणि नंतर योग्य नेटवर्क पॉलिसी लागू करतो. हे MAC address bypass पेक्षा लक्षणीयरीत्या मजबूत आहे, जी बहुतेक नेटवर्क इन्फ्रास्ट्रक्चर डिव्हाइसेससाठी वापरत असलेली फॉलबॅक पद्धत आहे. MAC ॲड्रेसेस एका मिनिटापेक्षा कमी वेळात स्पूफ (नक्कल) केले जाऊ शकतात. टॅम्पर-रेझिस्टंट चिपमधील हार्डवेअर-बाउंड प्रमाणपत्राची डिव्हाइसचे भौतिक नुकसान केल्याशिवाय नक्कल केली जाऊ शकत नाही. वेन्यूच्या संदर्भात, हे तीन कारणांमुळे महत्त्वाचे आहे. पहिले, हे तुमच्या नेटवर्कमध्ये अनधिकृत ॲक्सेस पॉइंट्स सामील होण्याचा धोका काढून टाकते. बनावट किंवा अनधिकृत डिव्हाइस वैध SUDI सादर करू शकत नाही. दुसरे, हे स्वयंचलित, Zero Touch Provisioning सक्षम करते - एक नवीन डिव्हाइस तुमच्या वेन्यूवर पाठवले जाते, पॉवर ऑन होते, त्याचे SUDI सादर करते आणि तुमची व्यवस्थापन प्रणाली कॉन्फिगरेशन पुश करण्यापूर्वी तुमच्या इन्व्हेंटरीच्या विरूद्ध त्याची पडताळणी करते. कोणताही मॅन्युअल हस्तक्षेप नाही. तिसरे, हे तुम्हाला क्रिप्टोग्राफिकदृष्ट्या पडताळणी करण्यायोग्य ऑडिट ट्रेल देते. तुमच्या नेटवर्कवर ऑथेंटिकेट झालेल्या प्रत्येक डिव्हाइसने एका प्रमाणपत्रासह तसे केले जे सिद्ध करते की ते एक विशिष्ट, नामांकित Cisco उत्पादन आहे. मला Trust Anchor module बद्दल थोड्या अधिक तपशीलात बोलू द्या, कारण हा पाया आहे ज्यावर इतर सर्व काही अवलंबून आहे. TAm ही एक प्रोप्रायटरी Cisco चिप आहे जी तीन गोष्टी प्रदान करते: SUDI आणि कीजसाठी नॉन-व्होलाटाइल सुरक्षित स्टोरेज, रँडम नंबर जनरेशनसह क्रिप्टोग्राफिक सेवा आणि हार्डवेअर फिंगरप्रिंटिंग. शेवटचे नोंद घेण्यासारखे आहे - Cisco मॅन्युफॅक्चरिंग दरम्यान डिव्हाइसच्या महत्त्वपूर्ण हार्डवेअर घटकांचे क्रिप्टोग्राफिक फिंगरप्रिंट रेकॉर्ड करते आणि ते फिंगरप्रिंट TAm मध्ये स्टोअर करते. जेव्हा डिव्हाइस बूट होते, तेव्हा UEFI फर्मवेअर आढळलेल्या हार्डवेअरच्या नवीन फिंगरप्रिंटची गणना करते आणि TAm मधील मास्टर फिंगरप्रिंटशी त्याची तुलना करते. फिंगरप्रिंट्स जुळत नसल्यास, डिव्हाइस बूट होणार नाही. हे वाहतुकीदरम्यान हार्डवेअर छेडछाड शोधते - मोठ्या वेन्यू तैनातीसाठी ही एक खरी चिंता आहे जिथे हार्डवेअर इन्स्टॉलेशनपूर्वी अनेक हातांमधून जाऊ शकते. एक ऑपरेशनल समस्या ज्याबद्दल तुम्हाला माहिती असणे आवश्यक आहे: मे २०१९ पूर्वी जारी केलेली SUDI प्रमाणपत्रे एकतर मॅन्युफॅक्चरिंग तारखेपासून दहा वर्षांनी किंवा १४ मे २०२९ रोजी, यापैकी जे आधी असेल तेव्हा कालबाह्य होतात. Cisco ने SUDI-2099 नावाच्या प्रमाणपत्रांच्या नवीन पिढीसह याचे निराकरण केले आहे, जे डिसेंबर २०९९ पर्यंत वैध आहे. जर तुम्ही २०१९ पूर्वी मॅन्युफॅक्चर केलेले Catalyst 9000 सिरीजचे हार्डवेअर चालवत असाल, तर तुम्हाला आता तुमच्या SUDI च्या समाप्ती तारखा तपासण्याची गरज आहे. IOS-XE वर 'show crypto pki certificate' ही कमांड आहे. CISCO_IDEVID_SUDI ट्रस्टपॉइंट शोधा आणि समाप्ती तारीख तपासा. जर तुम्ही Catalyst 9200 वर असाल, तर तुम्ही योग्य २०९९ प्रमाणपत्र वापरत आहात याची खात्री करण्यासाठी IOS-XE १७.१२.२ किंवा त्यानंतरच्या आवृत्तीवर अपग्रेड करा. --- विभाग ३: अंमलबजावणीच्या शिफारसी आणि अडचणी (अंदाजे २ मिनिटे) मी तुम्हाला व्यावहारिक अंमलबजावणीचे चित्र देतो. जर तुम्ही वेन्यू वातावरणात SUDI-आधारित ऑथेंटिकेशन तैनात करत असाल, तर खालील क्रम प्रभावी ठरतो. तुमच्या RADIUS इन्फ्रास्ट्रक्चरपासून सुरुवात करा. जर तुम्ही आधीच Cisco इकोसिस्टममध्ये असाल तर Cisco ISE ही नैसर्गिक निवड आहे, परंतु EAP-TLS ला सपोर्ट करणारा आणि बाह्य CA च्या विरूद्ध पडताळणी करू शकणारा कोणताही RADIUS सर्व्हर काम करेल. तुम्हाला Cisco चे root CA आणि ACT2 SUDI CA प्रमाणपत्रे तुमच्या RADIUS ट्रस्ट स्टोअरमध्ये इंपोर्ट करावी लागतील. हे Cisco च्या PKI पोर्टलवरून सार्वजनिकरित्या उपलब्ध आहेत. त्यानंतर, इन्फ्रास्ट्रक्चर डिव्हाइसेससाठी प्रमाणपत्र-आधारित ऑथेंटिकेशन आवश्यक करण्यासाठी तुमची 802.1X पॉलिसी कॉन्फिगर करा. याला तुमच्या एंड-युझर ऑथेंटिकेशन पॉलिसीपासून वेगळे करा - कर्मचारी आणि अतिथी ऑथेंटिकेशन फ्लो वेगळे आहेत आणि ते ISE मधील वेगवेगळ्या पॉलिसी सेटवर असावेत. नवीन तैनातीसाठी, Zero Touch Provisioning सक्षम करा. तुमची network व्यवस्थापन प्रणाली - Cisco DNA Centre किंवा Catalyst Centre - कॉन्फिगरेशन पुश करण्यापूर्वी डिव्हाइसची ओळख सत्यापित करण्यासाठी SUDI चा वापर करू शकते. हे मॅन्युअल स्टेजिंग प्रक्रिया काढून टाकते आणि प्रोव्हिजनिंगचा वेळ प्रति डिव्हाइस तासांवरून मिनिटांवर आणते. आता, अडचणींबद्दल. सर्वात सामान्य अडचण जी मी पाहतो ती म्हणजे एकाच पोर्टवर SUDI ऑथेंटिकेशन आणि MAC address bypass एकत्र करणे. जर SUDI अयशस्वी झाल्यावर तुम्ही MAB वर परत गेलात, तर तुम्ही सुरक्षा मॉडेल कमकुवत केले आहे. एक स्पष्ट पॉलिसी परिभाषित करा: SUDI-सक्षम डिव्हाइसेसनी SUDI द्वारेच ऑथेंटिकेट केले पाहिजे, पूर्णविराम. नॉन-SUDI डिव्हाइसेस मॅन्युअल पुनरावलोकनासाठी प्रलंबित असलेल्या क्वारंटाईन VLAN मध्ये जातात. दुसरी अडचण म्हणजे प्रमाणपत्राची समाप्ती. तुमच्या संपूर्ण इस्टेटमध्ये SUDI च्या समाप्ती तारखांसाठी आत्ताच मॉनिटरिंग सेट करा. तुमचे ॲक्सेस पॉइंट्स आता ऑथेंटिकेट करू शकत नाहीत हे शोधण्यासाठी सेवा खंडित होण्याची वाट पाहू नका. Purple चे प्लॅटफॉर्म एकाच डॅशबोर्डमध्ये डिव्हाइसच्या आरोग्याचे संकेत - ऑथेंटिकेशन स्थितीसह - दर्शवण्यासाठी Cisco Meraki आणि इतर हार्डवेअर विक्रेत्यांशी समाकलित होते, ज्यामुळे मोठ्या प्रमाणावर अशा प्रकारचे सक्रिय मॉनिटरिंग व्यावहारिक बनते. तिसरी अडचण म्हणजे स्कोप क्रीप. SUDI हार्डवेअर डिव्हाइस ऑथेंटिकेट करते. ते त्या डिव्हाइसद्वारे कनेक्ट होणाऱ्या वापरकर्त्याला ऑथेंटिकेट करत नाही. तुम्हाला अजूनही अतिथी, कर्मचारी आणि रहिवाशांसाठी स्वतंत्र ओळख स्तराची आवश्यकता आहे. तिथेच Purple सारखा प्लॅटफॉर्म काम करतो - आम्ही मानवी ओळख स्तर, संमती कॅप्चर, अतिथी ट्रॅफिकसाठी VLAN असाइनमेंट आणि ॲनालिटिक्स हाताळतो, तर SUDI खालील इन्फ्रास्ट्रक्चर स्तर हाताळतो. --- विभाग ४: जलद प्रश्न आणि उत्तरे (अंदाजे १ मिनिट) मी नियमितपणे विचारल्या जाणाऱ्या तीन प्रश्नांवरून जातो. SUDI माझ्या विद्यमान PKI ची जागा घेते का? नाही. SUDI हे उत्पादक-स्थापित IDevID आहे. हे सिद्ध करते की डिव्हाइस अस्सल Cisco हार्डवेअर आहे. तुमचे एंटरप्राइझ PKI इतर सर्व गोष्टींसाठी LDevIDs आणि वापरकर्ता प्रमाणपत्रे जारी करते. ते समांतर काम करतात. मी नॉन-Cisco हार्डवेअरवर SUDI वापरू शकतो का? नाही. SUDI हे Cisco-विशिष्ट आहे. HPE Aruba कडे IAP प्रोव्हिजनिंग प्रमाणपत्रे नावाचे समतुल्य आहे. Ruckus आणि Juniper Mist कडे स्वतःची डिव्हाइस ओळख यंत्रणा आहे. मूळ मानक - IEEE 802.1AR - विक्रेता-तटस्थ आहे, परंतु प्रत्येक उत्पादक त्याची अंमलबजावणी वेगळ्या पद्धतीने करतो. SUDI प्रमाणपत्र कालबाह्य झाल्यावर काय होते? ऑथेंटिकेशनसाठी SUDI वर अवलंबून असलेल्या सेवा - HTTPS, प्रमाणपत्र ऑथेंटिकेशनसह SSH, Zero Touch Provisioning - अयशस्वी होतील. डिव्हाइस स्वतः काम करत राहते, परंतु ते यापुढे क्रिप्टोग्राफिक पद्धतीने त्याची ओळख सिद्ध करू शकत नाही. म्हणूनच SUDI-2099 स्थलांतर महत्त्वाचे आहे. --- विभाग ५: सारांश आणि पुढील पावले (अंदाजे १ मिनिट) थोडक्यात सांगायचे तर: Cisco SUDI तुम्हाला हार्डवेअर-रुजलेली डिव्हाइस ओळख देते ज्याची नक्कल, क्लोन किंवा एक्सपोर्ट केले जाऊ शकत नाही. हा एका विश्वासार्ह इन्फ्रास्ट्रक्चर स्तराचा पाया आहे. IEEE 802.1X आणि चांगल्या प्रकारे कॉन्फिगर केलेल्या RADIUS पॉलिसीसह एकत्रित केल्यास, हे अनधिकृत डिव्हाइसचा धोका काढून टाकते आणि मोठ्या प्रमाणावर स्वयंचलित प्रोव्हिजनिंग सक्षम करते. तुमच्या तीन त्वरित कृती: एक, 'show crypto pki certificate' चा वापर करून SUDI च्या समाप्ती तारखांसाठी तुमच्या Cisco इस्टेटचे ऑडिट करा. दोन, तुमच्या RADIUS ट्रस्ट स्टोअरमध्ये Cisco चे root CA इंपोर्ट करा आणि इन्फ्रास्ट्रक्चर डिव्हाइसेससाठी EAP-TLS पॉलिसी कॉन्फिगर करा. तीन, तुमची इन्फ्रास्ट्रक्चर ऑथेंटिकेशन पॉलिसी तुमच्या एंड-युझर ऑथेंटिकेशन पॉलिसीपासून वेगळी करा - ते वेगवेगळ्या उद्देशांसाठी काम करतात आणि त्यांचे व्यवस्थापन स्वतंत्रपणे केले पाहिजे. जर तुम्हाला अतिथी, कर्मचारी आणि रहिवाशांसाठी ओळख-आधारित नेटवर्क सेगमेंटेशन प्रदान करण्यासाठी Purple Cisco Meraki आणि इतर हार्डवेअर विक्रेत्यांशी कसे समाकलित होते याबद्दल अधिक सखोल माहिती हवी असल्यास, purple.ai ला भेट द्या किंवा या एपिसोडच्या खाली लिंक केलेले संबंधित मार्गदर्शक वाचा. ऐकल्याबद्दल धन्यवाद. मी तुम्हाला पुढील ब्रीफिंगमध्ये भेटेन. --- स्क्रिप्टचा शेवट

header_image.png

कार्यकारी सारांश

हार्डवेअर ऑथेंटिकेशन एंटरप्राइझ नेटवर्कच्या भौतिक पायाला सुरक्षित करते. Cisco Secure Unique Device Identifier (SUDI) इन्फ्रास्ट्रक्चर डिव्हाइसेससाठी एक अपरिवर्तनीय, क्रिप्टोग्राफिकदृष्ट्या पडताळणी करण्यायोग्य ओळख प्रदान करते, जी मॅन्युफॅक्चरिंग दरम्यान थेट टॅम्पर-रेझिस्टंट चिपमध्ये एम्बेड केली जाते. हॉस्पिटॅलिटी, रिटेल आणि सार्वजनिक क्षेत्रांमध्ये मोठ्या प्रमाणावर तैनाती व्यवस्थापित करणाऱ्या IT लीडर्ससाठी, SUDI अनधिकृत हार्डवेअरचा धोका काढून टाकते आणि स्वयंचलित Zero Touch Provisioning सक्षम करते.

हे मार्गदर्शक Cisco SUDI च्या तांत्रिक आर्किटेक्चरचे, त्याचे IEEE 802.1X Network Access Control (NAC) सोबतचे एकत्रीकरण आणि मोठ्या प्रमाणावर हार्डवेअर-आधारित ओळख तैनात आणि देखरेख करण्यासाठी आवश्यक असलेल्या ऑपरेशनल पायऱ्यांचे सविस्तर वर्णन करते. तुम्ही कमकुवत MAC address bypass वरून मजबूत EAP-TLS ऑथेंटिकेशनवर कसे स्थलांतरित व्हावे, SUDI-2099 प्रमाणपत्र लाइफसायकल कशी व्यवस्थापित करावी आणि Purple सारख्या वापरकर्ता ओळख व्यवस्थापन प्लॅटफॉर्मसह इन्फ्रास्ट्रक्चर सुरक्षा कशी सुसंगत करावी हे शिकाल.

तांत्रिक सखोल विश्लेषण

हार्डवेअर ओळखीचे आर्किटेक्चर

Cisco Secure Unique Device Identifier (SUDI) हे एक X.509v3 प्रमाणपत्र आहे जे नेटवर्क डिव्हाइसेससाठी कायमस्वरूपी ओळख प्रदान करते. IT टीम्स जनरेट आणि तैनात करत असलेल्या सॉफ्टवेअर प्रमाणपत्रांच्या विपरीत, Cisco मॅन्युफॅक्चरिंग प्रक्रियेदरम्यान डिव्हाइसमध्ये SUDI प्रमाणपत्र आणि त्याची संबंधित की जोडी (key pair) समाविष्ट करते.

हे प्रमाणपत्र Trust Anchor module (TAm) नावाच्या प्रोप्रायटरी, टॅम्पर-रेझिस्टंट चिपमध्ये सुरक्षितपणे स्टोअर केले जाते. TAm अंतर्गतरीत्या खाजगी की (private key) जनरेट करते, ज्यामुळे ती कधीही एक्सपोर्ट किंवा क्लोन केली जाऊ शकत नाही याची खात्री होते. हा हार्डवेअर रूट ऑफ ट्रस्ट हमी देतो की जर एखादे डिव्हाइस त्याच्या SUDI चा वापर करून यशस्वीरित्या ऑथेंटिकेट झाले, तर ते अस्सल Cisco उत्पादन आहे.

SUDI सुरक्षित डिव्हाइस आयडेंटिफायर्ससाठी IEEE 802.1AR मानक लागू करते. या मानकांतर्गत, उत्पादकाद्वारे प्रदान केलेल्या प्रमाणपत्राला इनिशियल डिव्हाइस आयडेंटिफायर (IDevID) म्हणून ओळखले जाते. संस्था त्यांच्या स्वतःच्या एंटरप्राइझ पब्लिक की इन्फ्रास्ट्रक्चर (PKI) द्वारे जारी केलेल्या लोकली सिग्निफिकेंट डिव्हाइस आयडेंटिफायर (LDevID) सह IDevID ला पूरक करू शकतात.

sudi_architecture_overview.png

नेटवर्क ॲक्सेस कंट्रोलसह एकत्रीकरण

एंटरप्राइझ वातावरणात, SUDI प्रामुख्याने IEEE 802.1X पोर्ट-आधारित ऑथेंटिकेशनद्वारे Network Access Control (NAC) प्रणालींशी समाकलित होते. जेव्हा एखादा Cisco ॲक्सेस पॉइंट किंवा स्विच नेटवर्कशी कनेक्ट होतो, तेव्हा तो सप्लिकंट म्हणून काम करतो आणि त्याचे SUDI प्रमाणपत्र RADIUS सर्व्हरला सादर करतो, जसे की Cisco Identity Services Engine (ISE).

ऑथेंटिकेशन प्रक्रिया ट्रान्सपोर्ट लेयर सिक्युरिटीसह एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल (EAP-TLS) वापरते. RADIUS सर्व्हर Cisco पब्लिक की इन्फ्रास्ट्रक्चरच्या विरूद्ध SUDI प्रमाणपत्राची पडताळणी करतो. एकदा पडताळणी झाल्यानंतर, RADIUS सर्व्हर डिव्हाइसला अधिकृत करतो आणि नेटवर्क ॲक्सेस पॉलिसीच्या आधारे त्याला योग्य VLAN मध्ये नियुक्त करतो.

हा दृष्टिकोन MAC Address Bypass (MAB) ची जागा घेतो, जी सहजपणे नक्कल करता येणाऱ्या MAC ॲड्रेसेसवर अवलंबून असलेली एक जुनी पद्धत आहे. MAB डिव्हाइस ओळखीची शून्य क्रिप्टोग्राफिक हमी प्रदान करते, ज्यामुळे नेटवर्क अनधिकृत ॲक्सेस पॉइंट्ससाठी असुरक्षित राहते.

हार्डवेअर फिंगरप्रिंटिंग आणि छेडछाड शोधणे

Trust Anchor module केवळ सुरक्षित स्टोरेजपेक्षा बरेच काही प्रदान करते. हे वाहतुकीदरम्यान किंवा तैनातीदरम्यान भौतिक छेडछाडीपासून डिव्हाइसचे सक्रियपणे संरक्षण करते.

मॅन्युफॅक्चरिंग दरम्यान, Cisco सीपीयू (CPUs) आणि एएसआयसी (ASICs) सारख्या महत्त्वपूर्ण हार्डवेअर घटकांचे क्रिप्टोग्राफिक फिंगरप्रिंट रेकॉर्ड करते. हे फिंगरप्रिंट TAm मध्ये कायमस्वरूपी स्टोअर केले जाते. जेव्हा डिव्हाइस बूट होते, तेव्हा UEFI फर्मवेअर आढळलेल्या हार्डवेअरच्या नवीन फिंगरप्रिंटची गणना करते आणि TAm मधील मास्टर फिंगरप्रिंटशी त्याची तुलना करते. फिंगरप्रिंट्स जुळत नसल्यास, डिव्हाइस बूट प्रक्रिया थांबवते. ही यंत्रणा हे सुनिश्चित करते की हॉटेल किंवा रिटेल स्टोअरमध्ये तैनात केलेले हार्डवेअर फॅक्टरी आणि इन्स्टॉलेशन साइट दरम्यान तडजोड केलेले नाही.

अंमलबजावणी मार्गदर्शक

SUDI-आधारित ऑथेंटिकेशन तैनात करण्यासाठी तुमच्या स्विचिंग इन्फ्रास्ट्रक्चर, तुमचा RADIUS सर्व्हर आणि तुमच्या नेटवर्क व्यवस्थापन प्लॅटफॉर्म दरम्यान समन्वयाची आवश्यकता असते. हार्डवेअर ओळख लागू करण्यासाठी या पायऱ्यांचे अनुसरण करा.

पायरी १: RADIUS ट्रस्ट कॉन्फिगर करा

तुमच्या RADIUS सर्व्हरने SUDI जारी करणाऱ्या Cisco सर्टिफिकेट ऑथॉरिटीवर विश्वास ठेवला पाहिजे.

१. Cisco PKI पोर्टलवरून Cisco Root CA आणि ACT2 SUDI CA प्रमाणपत्रे डाउनलोड करा. २. ही प्रमाणपत्रे तुमच्या RADIUS सर्व्हरच्या (उदा. Cisco ISE) विश्वसनीय प्रमाणपत्र स्टोअरमध्ये इंपोर्ट करा. ३. EAP-TLS ऑथेंटिकेशनसाठी ही प्रमाणपत्रे वापरण्यासाठी RADIUS सर्व्हर कॉन्फिगर करा.

पायरी २: 802.1X पॉलिसीज परिभाषित करा

वापरकर्ता ऑथेंटिकेशन पॉलिसीजपेक्षा वेगळ्या, इन्फ्रास्ट्रक्चर डिव्हाइसेससाठी विशिष्ट ऑथेंटिकेशन पॉलिसीज तयार करा.

१. Cisco ISE मध्ये एक पॉलिसी सेट तयार करा जो SUDI प्रमाणपत्र गुणधर्मांशी जुळतो (उदा. अपेक्षित डिव्हाइस PIDs विरुद्ध सब्जेक्ट अल्टरनेटिव्ह नेम जुळवणे). २. यशस्वी ऑथेंटिकेशन्स इन्फ्रास्ट्रक्चर व्यवस्थापन VLAN मध्ये नियुक्त करा. ३. SUDI ऑथेंटिकेशनमध्ये अपयशी ठरणाऱ्या डिव्हाइसेससाठी क्वारंटाईन VLAN कॉन्फिगर करा. इन्फ्रास्ट्रक्चर पोर्ट्ससाठी MAB वर फॉलबॅक कॉन्फिगर करू नका.

पायरी ३: Zero Touch Provisioning सक्षम करा

डिव्हाइस ऑनबोर्डिंग स्वयंचलित करण्यासाठी SUDI चा वापर करा.

१. ZTP सर्व्हर म्हणून काम करण्यासाठी तुमची नेटवर्क व्यवस्थापन प्रणाली (जसे की Cisco Catalyst Center) कॉन्फिगर करा. २. जेव्हा एखादे नवीन डिव्हाइस कनेक्ट होते, तेव्हा ते त्याचे SUDI प्रमाणपत्र सादर करते. ३. व्यवस्थापन प्रणाली प्रमाणपत्राची पडताळणी करते, इन्व्हेंटरी डेटाबेसच्या विरूद्ध डिव्हाइसच्या सिरियल नंबरची खात्री करते आणि प्रारंभिक कॉन्फिगरेशन पुश करते.

sudi_lifecycle_diagram.png

पायरी ४: SUDI-2099 स्थलांतर व्यवस्थापित करा

मे २०१९ पूर्वी जारी केलेली SUDI प्रमाणपत्रे एकतर १० वर्षांनी कालबाह्य होतात उत्पादनाची तारीख किंवा 14 मे 2029, यापैकी जे आधी असेल ते. जेव्हा SUDI ची मुदत संपते, तेव्हा त्यावर अवलंबून असलेली वैशिष्ट्ये, ज्यामध्ये HTTPS, SSH आणि Zero Touch Provisioning समाविष्ट आहेत, ती निकामी होतील.

Cisco ने SUDI-2099 प्रमाणपत्रे सादर केली आहेत, जी डिसेंबर 2099 पर्यंत वैध राहतील. सातत्य सुनिश्चित करण्यासाठी:

  1. IOS-XE उपकरणांवर show crypto pki certificate कमांड वापरून तुमच्या इन्व्हेंटरीचे ऑडिट करा. CISCO_IDEVID_SUDI ट्रस्टपॉइंटची end date तपासा.
  2. प्रभावित हार्डवेअरला शिफारस केलेल्या सॉफ्टवेअर रिलीजवर अपग्रेड करा. उदाहरणार्थ, 2099 च्या समाप्तीची तारीख योग्यरित्या हाताळण्यासाठी Catalyst 9200 स्विचेसला IOS-XE 17.12.2 किंवा त्यानंतरच्या आवृत्तीची आवश्यकता असते.

सर्वोत्तम पद्धती

हार्डवेअर ओळखीच्या सुरक्षा फायद्यांचा जास्तीत जास्त लाभ घेण्यासाठी, या विक्रेता-तटस्थ तत्त्वांचे पालन करा.

  1. कडक EAP-TLS लागू करा: सर्व इन्फ्रास्ट्रक्चर उपकरणांसाठी EAP-TLS आवश्यक करा. डिव्हाइस प्रमाणीकरणासाठी PEAP सारख्या कमकुवत EAP पद्धतींना परवानगी देऊ नका.
  2. वापरकर्ता ओळखीपासून इन्फ्रास्ट्रक्चर ओळख वेगळी करा: SUDI हार्डवेअर प्रमाणित करते, वापरकर्त्याला नाही. मानवी ओळख व्यवस्थापित करण्यासाठी एक समर्पित प्लॅटफॉर्म वापरा. उदाहरणार्थ, अतिथी प्रमाणीकरण, संमती कॅप्चर आणि फर्स्ट-पार्टी डेटा संकलन हाताळण्यासाठी Purple वापरा, तर मूळ Cisco Meraki किंवा HPE Aruba हार्डवेअर सुरक्षित ठेवण्यासाठी SUDI वर अवलंबून रहा.
  3. प्रमाणपत्र मॉनिटरिंग स्वयंचलित करा: तुमच्या संपूर्ण मालमत्तेमधील प्रमाणपत्रांच्या समाप्ती तारखांचा मागोवा घेण्यासाठी मॉनिटरिंग टूल्स लागू करा. सक्रिय मॉनिटरिंग अचानक येणाऱ्या प्रमाणीकरण अपयशांना प्रतिबंधित करते.
  4. मायक्रो-सेगमेंटेशन लागू करा: उपकरणांना काटेकोरपणे नियंत्रित VLANs मध्ये नियुक्त करण्यासाठी SUDI द्वारे सत्यापित केलेली ओळख वापरा. एका ॲक्सेस पॉईंटला केवळ त्याच्या कंट्रोलर आणि व्यवस्थापन प्रणालींशी नेटवर्क कनेक्टिव्हिटी असावी, इतर कशाशीही नाही.

ट्रबलशूटिंग आणि जोखीम कमी करणे

SUDI-आधारित प्रमाणीकरण तैनात करताना, या सामान्य बिघाड मोडसाठी तयार रहा.

बिघाड मोड मूळ कारण कमी करण्याची रणनीती
EAP-TLS प्रमाणीकरण अयशस्वी होते RADIUS सर्व्हरमध्ये योग्य Cisco Root किंवा Intermediate CA प्रमाणपत्रे नसतात. RADIUS सर्व्हरच्या विश्वसनीय स्टोअरमध्ये संपूर्ण Cisco ट्रस्ट चेन स्थापित केली असल्याची खात्री करा.
डिव्हाइस बूट होण्यास नकार देते बूट करताना मोजलेले हार्डवेअर फिंगरप्रिंट TAm मधील मास्टर फिंगरप्रिंटशी जुळत नाही. डिव्हाइसशी तडजोड झाली असल्याचे समजा. RMA प्रक्रियेद्वारे हार्डवेअर विक्रेत्याला परत करा.
व्यवस्थापन प्रवेश अयशस्वी होतो SUDI प्रमाणपत्राची मुदत संपली आहे, ज्यामुळे HTTPS आणि SSH प्रमाणपत्र प्रमाणीकरण खंडित होते. डिव्हाइस फर्मवेअरला SUDI-2099 चे समर्थन करणाऱ्या आवृत्तीवर अपग्रेड करा, किंवा तुमच्या एंटरप्राइझ PKI चा वापर करून LDevID तैनात करा.
अनधिकृत डिव्हाइस प्रवेश मिळवते 802.1X अयशस्वी झाल्यास मॅक ॲड्रेस बायपास (MAB) वर परत जाण्यासाठी स्विच पोर्ट कॉन्फिगर केलेला असतो. इन्फ्रास्ट्रक्चर पोर्ट्सवरून MAB फॉलबॅक कॉन्फिगरेशन काढून टाका. कडक 802.1X पॉलिसी लागू करा.

ROI आणि व्यावसायिक प्रभाव

हार्डवेअर-आधारित डिव्हाइस ओळख लागू केल्याने तीन क्षेत्रांमध्ये मोजता येण्याजोगा व्यावसायिक मूल्य मिळते.

1. कमी झालेला प्रोव्हिजनिंग खर्च SUDI द्वारे सुरक्षित केलेले Zero Touch Provisioning मॅन्युअल स्टेजिंग काढून टाकते. एखाद्या इंजिनिअरने रिटेल स्टोअरमध्ये पाठवण्यापूर्वी ॲक्सेस पॉईंट प्री-कॉन्फिगर करण्यासाठी 45 मिनिटे घालवण्याऐवजी, डिव्हाइस थेट वितरकाकडून पाठवले जाते. ते कनेक्शनवर सुरक्षितपणे प्रमाणित होते आणि त्याचे कॉन्फिगरेशन स्वयंचलितपणे डाउनलोड करते. 500-साइटच्या रिटेल उपयोजनासाठी, यामुळे अंदाजे 375 इंजिनिअरिंग तासांची बचत होते.

2. अनधिकृत डिव्हाइसचा धोका नाहीसा करणे क्रिप्टोग्राफिक हार्डवेअर ओळखीच्या बाजूने मॅक ॲड्रेस बायपास नाकारून, तुम्ही एखाद्या हल्लेखोराने इन्फ्रास्ट्रक्चर पोर्टशी अनधिकृत डिव्हाइस जोडण्याचा धोका काढून टाकता. हे थेट नेटवर्क प्रवेश नियंत्रणासाठी PCI DSS आणि ISO 27001 आवश्यकतांच्या अनुपालनास समर्थन देते.

3. स्पष्ट ओळख सीमा SUDI तैनात केल्याने एक स्पष्ट आर्किटेक्चरल सीमा स्थापित होते. हार्डवेअर स्तर स्वतःला क्रिप्टोग्राफिक पद्धतीने प्रमाणित करतो, ज्यामुळे तुम्हाला तुमचे संसाधने वापरकर्ता ओळख स्तरावर केंद्रित करण्याची परवानगी मिळते. जेव्हा तुम्ही Guest WiFi आणि WiFi Analytics व्यवस्थापित करण्यासाठी Purple सारखा प्लॅटफॉर्म समाकलित करता, तेव्हा तुम्ही ते एका सत्यापित, सुरक्षित इन्फ्रास्ट्रक्चरच्या पायावर करता.

महत्वाच्या व्याख्या

SUDI (Secure Unique Device Identifier)

अपरिवर्तनीय हार्डवेअर ओळख प्रदान करण्यासाठी मॅन्युफॅक्चरिंग दरम्यान Cisco डिव्हाइसमध्ये एम्बेड केलेले X.509v3 प्रमाणपत्र आणि संबंधित खाजगी की (private key).

नेटवर्कशी कनेक्ट होणारे डिव्हाइस हे अस्सल Cisco उत्पादन आहे याची क्रिप्टोग्राफिक पद्धतीने पडताळणी करण्यासाठी IT टीम्सद्वारे वापरले जाते.

TAm (Trust Anchor module)

एक प्रोप्रायटरी, टॅम्पर-रेझिस्टंट हार्डवेअर चिप जी सुरक्षितपणे SUDI प्रमाणपत्र स्टोअर करते, क्रिप्टोग्राफिक की जनरेट करते आणि हार्डवेअर फिंगरप्रिंटिंग व्यवस्थापित करते.

हार्डवेअर रूट ऑफ ट्रस्ट प्रदान करते. जर TAm तडजोड (compromise) झाली, तर डिव्हाइस बूट किंवा ऑथेंटिकेट होण्यास अपयशी ठरेल.

IDevID (Initial Device Identifier)

IEEE 802.1AR मानकाद्वारे परिभाषित केलेले उत्पादक-स्थापित सुरक्षित डिव्हाइस आयडेंटिफायर. Cisco SUDI ही IDevID ची एक अंमलबजावणी आहे.

डिव्हाइसला संस्थेच्या स्वतःच्या PKI वातावरणात समाकलित करण्यापूर्वी मूलभूत ओळख प्रदान करते.

LDevID (Locally Significant Device Identifier)

उत्पादकाच्या IDevID ला पूरक म्हणून संस्थेच्या स्वतःच्या एंटरप्राइझ पब्लिक की इन्फ्रास्ट्रक्चरद्वारे जारी केलेले डिव्हाइस प्रमाणपत्र.

जेव्हा IT टीम्सना डिव्हाइसेसनी विक्रेत्याच्या CA ऐवजी त्यांच्या अंतर्गत कॉर्पोरेट CA द्वारे जारी केलेल्या प्रमाणपत्रांचा वापर करून ऑथेंटिकेट करणे आवश्यक असते तेव्हा वापरले जाते.

IEEE 802.1X

पोर्ट-आधारित नेटवर्क ॲक्सेस कंट्रोलसाठी IEEE मानक, जे LAN किंवा WLAN शी कनेक्ट होऊ इच्छिणाऱ्या डिव्हाइसेसना ऑथेंटिकेशन यंत्रणा प्रदान करते.

नेटवर्क सुरक्षा लागू करण्यासाठी वापरला जाणारा प्राथमिक प्रोटोकॉल, जो केवळ अधिकृत डिव्हाइसेस आणि वापरकर्त्यांना स्विच पोर्टद्वारे ट्रॅफिक पाठवू देण्याची खात्री करतो.

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

एक अत्यंत सुरक्षित ऑथेंटिकेशन प्रोटोकॉल ज्यामध्ये क्लायंट आणि ऑथेंटिकेशन सर्व्हर दोघांनाही डिजिटल प्रमाणपत्रांचा वापर करून त्यांची ओळख सिद्ध करणे आवश्यक असते.

नेटवर्क डिव्हाइस आणि RADIUS सर्व्हर दरम्यान SUDI प्रमाणपत्राची पडताळणी करण्यासाठी 802.1X मध्ये वापरली जाणारी विशिष्ट पद्धत.

Zero Touch Provisioning (ZTP)

एक स्वयंचलित प्रक्रिया जी नेटवर्क डिव्हाइसेसना मॅन्युअल हस्तक्षेपाशिवाय स्वयंचलितपणे प्रोव्हिजन आणि कॉन्फिगर करण्याची परवानगी देते.

व्यवस्थापन प्रणाली केवळ पडताळणी केलेल्या, अस्सल हार्डवेअरवर कॉन्फिगरेशन पुश करते याची खात्री करून SUDI ZTP सुरक्षित करते.

MAC Address Bypass (MAB)

एक जुनी ऑथेंटिकेशन पद्धत जिथे स्विच कनेक्ट होणाऱ्या डिव्हाइसचा MAC ॲड्रेस त्याचे ओळख क्रेडेंशियल म्हणून वापरतो.

एक असुरक्षित फॉलबॅक पद्धत जी काढून टाकली पाहिजे आणि तिच्या जागी SUDI-आधारित 802.1X ऑथेंटिकेशन आणले पाहिजे.

सोडवलेली उदाहरणे

एक ४०० खोल्यांचे हॉटेल त्यांच्या नेटवर्क इन्फ्रास्ट्रक्चर अपग्रेड करत आहे आणि त्यांना २५० नवीन Cisco Catalyst ॲक्सेस पॉइंट्स तैनात करायचे आहेत. IT टीमला इन्स्टॉलेशनपूर्वी प्रत्येक डिव्हाइस मॅन्युअली कॉन्फिगर करणे टाळायचे आहे, तसेच व्यवस्थापन VLAN मध्ये कोणतेही अनधिकृत (rogue) डिव्हाइसेस सामील होणार नाहीत याची खात्री करायची आहे.

१. IT टीम SUDI प्रमाणपत्रांवर विश्वास ठेवण्यासाठी Cisco Root CA सह Cisco ISE कॉन्फिगर करते. २. ते ISE मध्ये एक 802.1X पॉलिसी तयार करतात जी वैध SUDI सादर करणाऱ्या डिव्हाइसेसना मर्यादित प्रोव्हिजनिंग VLAN मध्ये नियुक्त करते. ३. ॲक्सेस पॉइंट्स थेट हॉटेलमध्ये पाठवले जातात आणि PoE स्विचेसमध्ये प्लग केले जातात. ४. प्रत्येक AP बूट होतो, EAP-TLS द्वारे त्याचे SUDI सादर करतो आणि ISE द्वारे ऑथेंटिकेट केला जातो. ५. व्यवस्थापन प्रणाली (Catalyst Center) सिरियल नंबरची पडताळणी करते, AP प्रोव्हिजन करते आणि ISE पोर्टला प्रोडक्शन मॅनेजमेंट VLAN वर शिफ्ट करते.

परीक्षकाचे भाष्य: हा दृष्टिकोन हार्डवेअर ओळखीद्वारे सुरक्षित केलेल्या Zero Touch Provisioning चा वापर करतो. हे मॅन्युअल स्टेजिंगचा खर्च काढून टाकते आणि अनधिकृत डिव्हाइसेसना खुल्या प्रोव्हिजनिंग पोर्ट्सचा गैरवापर करण्यापासून रोखते. डिव्हाइसला प्रोव्हिजनिंग VLAN मधून प्रोडक्शन VLAN मध्ये हलवण्यासाठी चेंज ऑफ ऑथरायझेशन (CoA) चा वापर मजबूत नेटवर्क सेगमेंटेशन दर्शवतो.

१,२०० स्टोअर्स असलेल्या एका राष्ट्रीय रिटेल चेनला असे आढळले की त्यांचे जुने स्विचेस ॲक्सेस पॉइंट्स ऑथेंटिकेट करण्यासाठी MAC Address Bypass (MAB) वापरतात. स्टोअरमध्ये कोणताही व्यत्यय न आणता त्यांना सुरक्षित मानकावर स्थलांतरित होण्याची आवश्यकता आहे.

१. सर्व डिव्हाइसेस 802.1X आणि SUDI ला सपोर्ट करतात याची खात्री करण्यासाठी नेटवर्क टीम स्विच इन्व्हेंटरीचे ऑडिट करते. २. ते त्यांच्या RADIUS इन्फ्रास्ट्रक्चरवर Cisco CA प्रमाणपत्रे तैनात करतात. ३. ते स्विच पोर्ट्स 'मॉनिटर मोड' (ओपन ऑथेंटिकेशन) मध्ये कॉन्फिगर करतात, ज्यामुळे डिव्हाइसेसना SUDI चा वापर करून 802.1X EAP-TLS चा प्रयत्न करण्याची परवानगी मिळते, तर अयशस्वी झाल्यास MAB वर परत जाण्याची (fall back) सुविधा मिळते, परंतु निकालांची नोंद (log) ठेवली जाते. ४. सर्व कायदेशीर APs SUDI द्वारे यशस्वीरित्या ऑथेंटिकेट होत असल्याची RADIUS लॉग्समध्ये पडताळणी केल्यानंतर, ते पोर्ट्स 'क्लोज्ड मोड' वर स्विच करतात, कठोर 802.1X लागू करतात आणि MAB निष्क्रिय करतात.

परीक्षकाचे भाष्य: मॉनिटर मोडचा वापर करून टप्प्याटप्प्याने केलेले स्थलांतर हे मोठ्या रिटेल इस्टेटसाठी योग्य ऑपरेशनल पाऊल आहे. हे टीमला ॲक्सेस पॉइंट्ससाठी नेटवर्क आयसोलेशनचा धोका न पत्करता PKI ट्रस्ट चेन आणि प्रमाणपत्राच्या वैधतेची पडताळणी करण्यास अनुमती देते. पर्यावरण सुरक्षित करण्यासाठी MAB पूर्णपणे काढून टाकणे हे आवश्यक अंतिम पाऊल आहे.

सराव प्रश्न

Q1. तुम्ही स्टेडियमच्या वातावरणात ५० नवीन Cisco Catalyst स्विचेस तैनात करत आहात. सुरक्षा पॉलिसी सर्व इन्फ्रास्ट्रक्चर डिव्हाइसेससाठी कठोर 802.1X ऑथेंटिकेशन अनिवार्य करते. चाचणी दरम्यान, स्विचेस तुमच्या Cisco ISE सर्व्हरवर ऑथेंटिकेट होण्यास अपयशी ठरतात. याचे सर्वात संभाव्य कारण काय आहे?

टीप: EAP-TLS ऑथेंटिकेशनसाठी आवश्यक असलेल्या चेन ऑफ ट्रस्टचा विचार करा.

नमुना उत्तर पहा

Cisco ISE सर्व्हरच्या विश्वसनीय प्रमाणपत्र स्टोअरमध्ये Cisco Root CA किंवा ACT2 SUDI CA प्रमाणपत्रे गहाळ आहेत. याशिवाय, ISE स्विचेसद्वारे सादर केलेल्या SUDI प्रमाणपत्राची पडताळणी करू शकत नाही. तुम्ही Cisco PKI पोर्टलवरून प्रमाणपत्रे डाउनलोड करून ती ISE मध्ये इंपोर्ट करणे आवश्यक आहे.

Q2. एक नेटवर्क इंजिनियर स्विच पोर्ट्सना प्रथम 802.1X ऑथेंटिकेशनचा प्रयत्न करण्यासाठी कॉन्फिगर करण्याचा प्रस्ताव देतो, परंतु डिव्हाइसकडे वैध प्रमाणपत्र नसल्यास MAC Address Bypass (MAB) वर फॉलबॅक करण्याचा सल्ला देतो. तुम्ही इन्फ्रास्ट्रक्चर पोर्ट्ससाठी हा प्रस्ताव का नाकारला पाहिजे?

टीप: फॉलबॅक यंत्रणेच्या सुरक्षा मजबुतीचे मूल्यांकन करा.

नमुना उत्तर पहा

MAB वर फॉलबॅक केल्याने संपूर्ण सुरक्षा मॉडेल कमकुवत होते. एखादा हल्ला करणारा सहजपणे अनधिकृत डिव्हाइस कनेक्ट करू शकतो, 802.1X टाइमआउटची वाट पाहू शकतो आणि इन्फ्रास्ट्रक्चर VLAN मध्ये प्रवेश मिळवण्यासाठी कायदेशीर ॲक्सेस पॉइंटच्या MAC ॲड्रेसची नक्कल (spoof) करू शकतो. इन्फ्रास्ट्रक्चर पोर्ट्सनी SUDI सह कठोर 802.1X लागू केले पाहिजे आणि नियमांचे पालन न करणाऱ्या डिव्हाइसेसना मर्यादित क्वारंटाईन VLAN मध्ये ठेवले पाहिजे.

Q3. तुम्ही २०१८ मध्ये तैनात केलेल्या Catalyst 9200 स्विचेसच्या नेटवर्कचे ऑडिट करत आहात. तुम्ही 'show crypto pki certificate' कमांड चालवता आणि तुमच्या लक्षात येते की CISCO_IDEVID_SUDI ट्रस्टपॉइंट मे २०२९ मध्ये कालबाह्य (expire) होत आहे. भविष्यातील आउटेज टाळण्यासाठी तुम्ही कोणती कारवाई केली पाहिजे?

टीप: जुन्या हार्डवेअरसाठी SUDI-2099 स्थलांतर आवश्यकतांचे पुनरावलोकन करा.

नमुना उत्तर पहा

तुम्ही Catalyst 9200 स्विचेसवरील IOS-XE सॉफ्टवेअर आवृत्ती १७.१२.२ किंवा त्यानंतरच्या आवृत्तीवर अपग्रेड करणे आवश्यक आहे. हे अपग्रेड हे सुनिश्चित करते की हार्डवेअर SUDI-2099 प्रमाणपत्र विस्ताराला योग्यरित्या सपोर्ट करते, डिव्हाइसची वैध ओळख डिसेंबर २०९९ पर्यंत वाढवते आणि HTTPS आणि ZTP सारख्या सेवांसाठी ऑथेंटिकेशन अपयश रोखते.

या मालिकेमध्ये पुढे वाचा

Starlink वर Captive Portal कसे सेट करावे: दुर्गम आणि सागरी ठिकाणांसाठी एक मार्गदर्शिका

ही मार्गदर्शिका मूळ Starlink हार्डवेअरला बायपास कसे करावे आणि एंटरप्राइझ राउटिंग उपकरणांचा वापर करून क्लाउड-व्यवस्थापित captive portal कसे समाकलित करावे याबद्दल तपशीलवार माहिती देते. तुम्ही CGNAT मर्यादांवर मात कशी करावी, VLAN विभाजन कसे लागू करावे, सॅटेलाइट बँडविड्थ मर्यादा कशा व्यवस्थापित कराव्यात आणि नियामक अनुपालन कसे सुनिश्चित करावे हे शिकाल.

मार्गदर्शिका वाचा →

Hotel Guest WiFi Management: Integrating PMS, Portals, and Brand Standards

हे तांत्रिक मार्गदर्शक एंटरप्राइझ-ग्रेड हॉटेल WiFi नेटवर्कची रचना कशी करावी याबद्दल तपशीलवार माहिती देते, ज्यामध्ये VLAN विभागणी, स्वयंचलित सत्र व्यवस्थापनासाठी PMS एकत्रीकरण आणि GDPR-सुसंगत डेटा कॅप्चरसाठी Captive Portal ऑप्टिमायझेशन यावर लक्ष केंद्रित केले आहे.

मार्गदर्शिका वाचा →

Captive Portal सर्वोत्तम पद्धती: उच्च रूपांतरण आणि अनुपालनासाठी डिझाइन

हे तांत्रिक मार्गदर्शक IT व्यवस्थापक, नेटवर्क आर्किटेक्ट्स आणि वेन्यू ऑपरेशन्स डायरेक्टर्सना नेटवर्क सुरक्षा आणि उच्च युझर रूपांतरण यांचा समतोल राखणारे captive portals तैनात करण्यासाठी एक संपूर्ण ब्ल्यूप्रिंट प्रदान करते. यामध्ये VLAN विभागणी आणि RADIUS प्रमाणीकरणापासून ते GDPR-सुसंगत संमती डिझाइन आणि प्रमाणीकरण पद्धत निवडीपर्यंतच्या संपूर्ण आर्किटेक्चरचा समावेश आहे. २०२४ मधील ८०,०००+ वेन्यू आणि ४४० दशलक्ष लॉगइन्सवरील Purple च्या ऑपरेशनल अनुभवातून घेतलेली, प्रत्येक शिफारस प्रत्यक्ष उपयोजन (deployment) डेटावर आधारित आहे.

मार्गदर्शिका वाचा →