मुख्य मजकुराकडे जा

आधुनिक MDM इन्फ्रास्ट्रक्चरमध्ये SCEP आणि NAC ची भूमिका

हे मार्गदर्शक SCEP आणि NAC एन्टरप्राइझ स्तरावर सुरक्षित, झिरो - टच नेटवर्क ॲक्सेस प्रदान करण्यासाठी MDM प्लॅटफॉर्मसह कसे समाकलित होतात याचे सर्वसमावेशक तांत्रिक विश्लेषण प्रदान करते. यामध्ये हॉस्पिटॅलिटी आणि रिटेल क्षेत्रातील प्रत्यक्ष अंमलबजावणीच्या उदाहरणांसह, प्रमाणपत्र जारी करण्यापासून ते 802.1X अंमलबजावणीपर्यंतचे संपूर्ण आर्किटेक्चर समाविष्ट आहे. हे मार्गदर्शक मोठ्या वास्तूंच्या आयटी लीडर्ससाठी डिझाइन केले आहे ज्यांना या तिमाहीत पासवर्डच्या त्रुटी दूर करायच्या आहेत, डिव्हाइस प्रोव्हिजनिंग स्वयंचलित करायचे आहे आणि अनुपालन आवश्यकता पूर्ण करायच्या आहेत.

📖 7 मिनिट वाचन📝 1,710 शब्द🔧 2 सोडवलेली उदाहरणे3 सराव प्रश्न📚 9 महत्वाच्या व्याख्या

हे मार्गदर्शक ऐका

पॉडकास्ट ट्रान्सक्रिप्ट पहा
Purple Technical Briefing मध्ये आपले स्वागत आहे. मी तुमचा होस्ट आहे आणि आज आपण एंटरप्राइझ नेटवर्कसाठी एका अत्यंत महत्त्वाच्या आर्किटेक्चर विषयावर चर्चा करणार आहोत: आधुनिक MDM इन्फ्रास्ट्रक्चरमध्ये SCEP आणि NAC ची भूमिका. जर तुम्ही IT डायरेक्टर, नेटवर्क आर्किटेक्ट असाल किंवा एखाद्या मोठ्या वास्तूचे - मग ते स्टेडियम असो, हॉस्पिटल असो किंवा रिटेल चेन असो - ऑपरेशन्स मॅनेज करत असाल, तर तुम्हाला डिव्हाइसेस सुरक्षितपणे ऑनबोर्ड करण्याचा त्रास माहीत आहे. प्री-शेअर्ड की चे दिवस आता संपले आहेत. आज आपण सर्टिफिकेट-बेस्ड ऑथेंटिकेशनबद्दल बोलत आहोत. डिव्हाइस प्रोव्हिजनिंग स्वयंचलित करण्यासाठी आणि झिरो-ट्रस्ट ॲक्सेस लागू करण्यासाठी Simple Certificate Enrolment Protocol, म्हणजेच SCEP, Network Access Control किंवा NAC सोबत कसे जोडले जाते, हे आपण पाहणार आहोत. चला तर मग थेट विषयाकडे वळूया. आता आर्किटेक्चर समजून घेऊया. गाभ्यामध्ये तीन लेयर्स आहेत: डिव्हाइस लेयर, पॉलिसी इंजिन आणि नेटवर्क ॲक्सेस लेयर. जेव्हा एखाद्या नवीन कॉर्पोरेट डिव्हाइसला किंवा BYOD एंडपॉइंटला ॲक्सेसची आवश्यकता असते, तेव्हा ते प्रथम तुमच्या Mobile Device Management प्लॅटफॉर्मवर नोंदणी (enrol) करते. परंतु केवळ MDM मुळे नेटवर्क ॲक्सेस मिळत नाही. याच ठिकाणी SCEP ची भूमिका सुरू होते. SCEP तुमच्या MDM आणि Certificate Authority मधील एक स्वयंचलित कुरिअर म्हणून काम करते. IT ॲडमिनने प्रत्येक डिव्हाइसवर मॅन्युअली X.509 सर्टिफिकेट जनरेट आणि इंस्टॉल करण्याऐवजी, MDM डिव्हाइसवर पेलोड पाठवते. डिव्हाइस एक Certificate Signing Request, म्हणजेच CSR जनरेट करते आणि ते SCEP सर्व्हरला पाठवते. CA सर्टिफिकेट जारी करते आणि आता डिव्हाइसला एक क्रिप्टोग्राफिकदृष्ट्या सुरक्षित ओळख मिळते. यामुळे फिशिंग होण्यासाठी पासवर्ड उरत नाही आणि लीक होण्यासाठी कोणत्याही शेअर्ड की देखील उरत नाहीत. परंतु सर्टिफिकेट हे केवळ एका आयडी कार्डसारखे आहे. दारावर सुरक्षा रक्षकाची गरज अजूनही असतेच. ते काम तुमचे NAC करते. जेव्हा डिव्हाइस WiFi शी कनेक्ट करण्याचा प्रयत्न करते - सामान्यतः 802.1X EAP-TLS वापरून - तेव्हा वायरलेस ॲक्सेस पॉइंट ही विनंती RADIUS सर्व्हरकडे पाठवतो, जो NAC पॉलिसी इंजिनद्वारे नियंत्रित केला जातो. NAC सर्टिफिकेट तपासते: ते वैध आहे का? ते रद्द (revoke) करण्यात आले आहे का? परंतु आधुनिक NAC याहूनही पुढे जाते. ते पॉश्चर तपासण्यासाठी MDM तपासते: OS अपडेट आहे का? फायरवॉल सुरू आहे का? उत्तर होय असल्यास, NAC स्विच किंवा ॲक्सेस पॉइंटला त्या डिव्हाइसला योग्य VLAN मध्ये समाविष्ट करण्यास सांगते. उत्तर नाही असल्यास, ते त्यांना एका रेमेडिएशन नेटवर्कमध्ये पाठवते. हे इंटिग्रेशन मोठ्या रिटेल चेन्स किंवा हेल्थकेअर सेंटर्ससारख्या वातावरणासाठी अत्यंत महत्त्वाचे आहे जिथे कॉर्पोरेट लॅपटॉप्स, IoT डिव्हाइसेस आणि गेस्ट नेटवर्क्सचे मिश्रण असते. गेस्ट नेटवर्क्सचा विचार केला तर, याच ठिकाणी Purple's Guest WiFi आणि WiFi Analytics सारखे प्लॅटफॉर्म्स तुमच्या सुरक्षित कॉर्पोरेट SSIDs सोबत अखंडपणे काम करतात, ज्यामुळे पब्लिक ॲक्सेस हा तुमच्या सुरक्षित, सर्टिफिकेट-बॅक्ड इन्फ्रास्ट्रक्चरपासून पूर्णपणे वेगळा राहतो. तर, तुमचे नेटवर्क विस्कळीत न करता तुम्ही हे कसे उपयोजित (deploy) करू शकता? पहिली शिफारस: नेहमी EAP-TLS वापरा. यासाठी सर्व्हर आणि क्लायंट दोन्हीवर सर्टिफिकेट्स आवश्यक असतात, ज्यामुळे परस्पर ऑथेंटिकेशन (mutual authentication) मिळते. दुसरी शिफारस, तुमच्या Certificate Revocation Lists, म्हणजेच CRLs आणि OCSP कडे लक्ष द्या. जर एखादे डिव्हाइस धोक्यात आले किंवा एखाद्या कर्मचाऱ्याने नोकरी सोडली, तर जर NAC रिअल-टाइममध्ये रिव्होकेशन स्टेटस तपासत नसेल, तर CA मधील सर्टिफिकेट रद्द करण्याचा काहीही उपयोग होणार नाही. हॉस्पिटॅलिटी आणि मोठ्या कार्यक्रमाच्या ठिकाणी आम्हाला आढळणारी एक सामान्य चूक म्हणजे IoT उपकरणांचा विचार न करणे. सर्वच IoT सेन्सर्स किंवा स्मार्ट टीव्ही 802.1X किंवा SCEP ला सपोर्ट करत नाहीत. अशा उपकरणांसाठी, तुम्हाला MAC Authentication Bypass किंवा MAB सारख्या फॉलबॅक धोरणाची आवश्यकता असेल, जे तुमच्या NAC द्वारे विशिष्ट स्विच पोर्ट्स किंवा वेगळ्या VLANs वर काटेकोरपणे नियंत्रित केले जाते. दुसरी एक चूक म्हणजे प्रमाणपत्राचा (certificate) वैधता कालावधी. ते १० वर्षांसाठी सेट करू नका, तसेच तुमचे SCEP द्वारे होणारे ऑटोमॅटिक नूतनीकरण अगदी खात्रीशीर असल्याशिवाय ते ३० दिवसांसाठी देखील सेट करू नका. ३० दिवसांच्या टप्प्यावर ऑटो-नूतनीकरणासह एक वर्षाची वैधता हा एक मजबूत उद्योग मानक (standard) आहे. चला, CTOs कडून आम्हाला वारंवार विचारल्या जाणार्‍या काही जलद प्रश्नांची उत्तरे जाणून घेऊया. प्रश्न पहिला: आम्ही SCEP साठी आमच्या सध्याच्या Active Directory Certificate Services चा वापर करू शकतो का? होय, Microsoft AD CS मध्ये Network Device Enrollment Service किंवा NDES भूमिका समाविष्ट असते जी SCEP सर्व्हर म्हणून कार्य करते. ती योग्यरित्या सुरक्षित असल्याची आणि तुमच्या MDM ला दृश्यमान असल्याची खात्री करा. प्रश्न दुसरा: हे आमच्या फायरवॉलची जागा घेते का? अजिबात नाही. SCEP आणि NAC हे एज - Layer 2 वर ऑथेंटिकेशन आणि ॲक्सेस कंट्रोल हाताळतात. तुमचे फायरवॉल Layers 3 ते 7 वर ट्रॅफिक तपासणी आणि थ्रेट प्रिव्हेंशन हाताळते. ते दोन्ही एकत्र काम करतात. थोडक्यात सांगायचे तर, SCEP, NAC आणि MDM एकत्रित केल्याने तुम्हाला शून्य-स्पर्श (zero-touch), अत्यंत सुरक्षित नेटवर्क एज मिळते. हे पासवर्डशी संबंधित हेल्पडेस्क तिकिटे दूर करते आणि केवळ नियमांचे पालन करणारी उपकरणेच तुमच्या महत्त्वपूर्ण इन्फ्रास्ट्रक्चरमध्ये प्रवेश करतील याची खात्री करते. कार्यक्रम स्थळ चालकांसाठी (venue operators) याचा अर्थ असा की तुमचे बॅक-ऑफ-हाउस कामकाज सुरक्षितपणे चालते, ज्यामुळे तुम्हाला फ्रंट-ऑफ-हाउस अनुभवावर लक्ष केंद्रित करण्यास मदत होते - ज्याला तुम्ही Purple च्या ॲनालिटिक्स आणि कार्यक्षमतेसह अधिक उत्कृष्ट बनवू शकता. तुमच्या सध्याच्या MDM क्षमतेचे ऑडिट करून आणि तुमची RADIUS इन्फ्रास्ट्रक्चर EAP-TLS ला सपोर्ट करत असल्याची खात्री करून सुरुवात करा. तुमच्या उपकरणांच्या प्रकारांची रूपरेषा आखा आणि आधी तुमच्या IT टीमच्या उपकरणांसह एक पायलट रन करा. या तांत्रिक माहिती सत्रात सामील झाल्याबद्दल धन्यवाद. सुरक्षित राहा, आणि पुढील सत्रात पुन्हा भेटू.

header_image.png

कार्यकारी सारांश (Executive Summary)

८०,००० आसनक्षमतेच्या स्टेडियम्सपासून ते बहु-साइट रिटेल चेन्सपर्यंतच्या - एंटरप्राइझ ठिकाणांसाठी - नेटवर्क एज सुरक्षित करणे आता प्री-शेअर्ड की आणि मॅन्युअल क्रेडेंशियल मॅनेजमेंटच्या पलीकडे गेले आहे. कॉर्पोरेट एंडपॉइंट्स, BYOD डिव्हाइसेस आणि IoT इन्फ्रास्ट्रक्चरच्या वाढत्या संख्येमुळे अशा झिरो-ट्रस्ट आर्किटेक्चरची आवश्यकता आहे जे आयटी सर्व्हिस डेस्कवर कोणताही भार न टाकता स्केल होऊ शकेल.

हे मार्गदर्शक मोबाइल डिव्हाइस मॅनेजमेंट (MDM) इन्फ्रास्ट्रक्चरसह सिम्पल सर्टिफिकेट एनरोलमेंट प्रोटोकॉल (SCEP) आणि नेटवर्क ऍक्सेस कंट्रोल (NAC) समाकलित करण्यासाठी तांत्रिक आर्किटेक्चरचा तपशील देते. X.509 प्रमाणपत्रांचे वितरण स्वयंचलित करण्यासाठी SCEP चा वापर करून आणि IEEE 802.1X EAP-TLS प्रमाणीकरण लागू करण्यासाठी NAC चा वापर करून, संस्था झिरो-टच प्रोव्हिजनिंग मिळवू शकतात, क्रेडेंशियल-चोरीचे मार्ग नष्ट करू शकतात आणि डायनॅमिक, पोश्चर-आधारित नेटवर्क ऍक्सेस लागू करू शकतात. सार्वजनिक-फेसिंग ऍक्सेस हा समर्पित Guest WiFi सोल्यूशनद्वारे व्यवस्थापित केला जात असताना, हे आर्किटेक्चर बॅक-ऑफ-हाऊस मधील महत्त्वपूर्ण ऑपरेशन्स सुरक्षित करते जे ठिकाण सुरळीत चालवण्यास मदत करतात. याचा परिणाम आयटीचा खर्च कमालीचा कमी होण्यात, PCI-DSS आणि GDPR अंतर्गत अधिक मजबूत अनुपालन मिळवण्यात आणि नेटवर्क एजवर प्रो-अॅक्टिव्हली झिरो-ट्रस्ट तत्त्वे लागू करण्यात होतो.


तांत्रिक सखोल विश्लेषण (Technical Deep Dive)

थ्री-लेयर आर्किटेक्चर

आधुनिक नेटवर्क सुरक्षा वापरकर्त्याच्या माहितीऐवजी क्रिप्टोग्राफिक ओळखीवर अवलंबून असते. SCEP-NAC-MDM स्टॅक तीन मुख्य लेयर्सवर काम करतो:

लेयर घटक कार्य
डिव्हाइस मॅनेजमेंट MDM / UEM डिव्हाइस कॉन्फिगरेशन, अनुपालन आणि लाइफसायकलसाठी मध्यवर्ती प्राधिकरण
ओळख आणि जारी करणे PKI / SCEP / CA डिजिटल प्रमाणपत्रे तयार करते, जारी करते आणि व्यवस्थापित करते
ऍक्सेस अंमलबजावणी NAC / RADIUS नेटवर्क ऍक्सेस देण्यापूर्वी प्रमाणपत्रे आणि डिव्हाइस पोश्चरचे मूल्यांकन करते

या लेयर्स सिक्वेन्शियल नाहीत - त्या सतत फीडबॅक लूपमध्ये काम करतात. MDM रिअल टाइममध्ये NAC ला अनुपालन स्थितीची माहिती देते, तर एखादे डिव्हाइस पोश्चर चेकमध्ये अयशस्वी झाल्यास NAC हे MDM रेमेडिएशन वर्कफ्लो ट्रिगर करू शकते.

architecture_overview.png

SCEP मोठ्या प्रमाणावर PKI कसे स्वयंचलित करते

मॅन्युअल प्रमाणपत्र उपयोजन (deployment) मोठ्या प्रमाणावर करणे ऑपरेशनली अशक्य आहे. ५००-डिव्हाइसच्या स्टेटसाठी आयटी प्रशासकाला प्रत्येक डिव्हाइसवर वैयक्तिक X.509 प्रमाणपत्र तयार करावे, त्यावर स्वाक्षरी करावी आणि ते स्थापित करावे लागेल - या प्रक्रियेला प्रति डिव्हाइस अनेक मिनिटे लागतात आणि मानवी त्रुटीची मोठी जोखीम निर्माण होते. SCEP हे पूर्णपणे काढून टाकते. जेव्हा एखादे डिव्हाइस MDM मध्ये एनरोल होते, तेव्हा MDM एक कॉन्फिगरेशन प्रोफाइल पुश करते ज्यामध्ये SCEP पेलोड असतो. हा पेलोड डिव्हाइसला स्थानिक पातळीवर की-पेअर (key pair) तयार करण्याचे निर्देश देतो - मुख्य म्हणजे, खाजगी की (private key) डिव्हाइस कधीही सोडत नाही - आणि SCEP सर्व्हरकडे सर्टिफिकेट सायनिंग रिक्वेस्ट (CSR) सबमिट करतो. SCEP सर्व्हर (सामान्यतः Microsoft चे Network Device Enrolment Service (NDES) किंवा क्लाउड-आधारित समतुल्य) डिव्हाइस अधिकृत असल्याची पुष्टी करण्यासाठी MDM कडून विनंतीची पडताळणी करतो. त्यानंतर तो CSR ला सर्टिफिकेट अथॉरिटी (CA) कडे फॉरवर्ड करतो, जी स्वाक्षरी केलेले X.509 प्रमाणपत्र जारी करते. हे प्रमाणपत्र डिव्हाइसवर परत पाठवले जाते आणि त्याच्या सुरक्षित एन्क्लेव्ह किंवा सिस्टम कीस्टोअरमध्ये स्थापित केले जाते.

ही संपूर्ण प्रक्रिया वापरकर्त्याच्या कोणत्याही हस्तक्षेपाशिवाय, ओव्हर-द-एअर, शांतपणे पार पडते. 1,000-डिव्हाइसच्या उपयोजनासाठी, MDM एनरोलमेंट पूर्ण झाल्यानंतर काही तासांत संपूर्ण प्रमाणपत्रे प्रोव्हिजन केली जाऊ शकतात.

NAC आणि 802.1X EAP-TLS: अंमलबजावणी स्तर

एकदा डिव्हाइसकडे वैध प्रमाणपत्र आले की, ते IEEE 802.1X वापरून कॉर्पोरेट SSID किंवा वायर्ड पोर्टशी कनेक्ट करण्याचा प्रयत्न करते. ऍक्सेस पॉइंट किंवा स्विच हा ऑथेंटिकेटर म्हणून काम करतो, आणि ही विनंती NAC पॉलिसी इंजिनद्वारे नियंत्रित RADIUS सर्व्हरकडे फॉरवर्ड करतो. सर्वात सुरक्षित EAP पद्धत म्हणजे EAP-TLS आहे, ज्यासाठी परस्पर प्रमाणीकरण आवश्यक असते - क्लायंट आणि RADIUS सर्व्हर या दोघांनीही वैध प्रमाणपत्रे सादर करणे आवश्यक आहे, ज्यामुळे फसव्या ऍक्सेस पॉइंट्सद्वारे होणारे मॅन-इन-द-मिडल (man-in-the-middle) हल्ले रोखले जातात. NAC एकापाठोपाठ एक अनेक महत्त्वपूर्ण तपासण्या करते:

  1. क्रिप्टोग्राफिक पडताळणी: प्रमाणपत्र गणितीयदृष्ट्या वैध आहे आणि विश्वसनीय रूट CA द्वारे स्वाक्षरी केलेले आहे का?
  2. रद्द करण्याची तपासणी: प्रमाणपत्र सर्टिफिकेट रिव्होकेशन लिस्ट (CRL) वर सूचीबद्ध आहे का किंवा ऑनलाइन सर्टिफिकेट स्टेटस प्रोटोकॉल (OCSP) द्वारे ध्वजांकित केले आहे का?
  3. पोश्चर असेसमेंट: API द्वारे MDM ला विचारून, NAC विचारते: डिव्हाइस सुसंगत (compliant) आहे का? ऑपरेटिंग सिस्टम आवश्यक पॅच स्तरावर आहे का? डिस्क एन्क्रिप्शन सक्षम आहे का?

जर सर्व तपासण्या यशस्वी झाल्या, तर NAC एक RADIUS Access-Accept संदेश पाठवते, ज्यामध्ये सहसा व्हेंडर-विशिष्ट ऍट्रिब्युट्स (VSAs) असतात जे डिव्हाइसला विशिष्ट VLAN वर डायनॅमिकली नियुक्त करतात किंवा ऍक्सेस कंट्रोल लिस्ट्स (ACLs) लागू करतात. सुसंगत नसलेली डिव्हाइसेस मर्यादित परवानग्यांसह रेमेडिएशन VLAN मध्ये ठेवली जातात - सहसा केवळ MDM-चालित रेमेडिएशन वर्कफ्लो ट्रिगर करण्यासाठी पुरेशी.

scep_nac_workflow.png

अतिथी नेटवर्कचे पृथक्करण

कोणत्याही वेन्यू वातावरणात, कॉर्पोरेट इन्फ्रास्ट्रक्चर सार्वजनिक नेटवर्कपासून पूर्णपणे वेगळे केले पाहिजे. Guest WiFi प्लॅटफॉर्म संपूर्णपणे स्वतंत्र SSID आणि VLAN वर कार्य करतो, ज्यामध्ये कॉर्पोरेट संसाधनांसाठी कोणताही राउटेड मार्ग नसतो. SCEP-NAC आर्किटेक्चर कॉर्पोरेट टियर नियंत्रित करते; गेस्ट टियर हे कॅप्टिव्ह पोर्टल ऑथेंटिकेशन आणि डेटा कॅप्चर वर्कफ्लोद्वारे नियंत्रित केले जाते. WiFi Analytics तैनात करणाऱ्या वेन्यूसाठी, हे वेगळे करणे आवश्यक आहे - ॲनालिटिक्स डेटा गेस्ट नेटवर्कद्वारे प्रवाहित होतो, तर ऑपरेशनल डेटा सर्टिफिकेट-ऑथेंटिकेटेड कॉर्पोरेट नेटवर्कद्वारे प्रवाहित होतो. दोन्ही नेटवर्कला सपोर्ट करणाऱ्या मूलभूत RF आर्किटेक्चरवरील अधिक माहितीसाठी, Wi-Fi Frequencies: A 2026 Guide to Wi-Fi Frequencies पहा.


अंमलबजावणी मार्गदर्शक

बदलाच्या दरम्यान वैध वापरकर्त्यांना ब्लॉक करणे टाळण्यासाठी हे आर्किटेक्चर तैनात करण्यासाठी काळजीपूर्वक क्रमवारी आवश्यक आहे.

पायरी १: PKI आणि SCEP ची तयारी

एक मजबूत अंतर्गत PKI स्थापित करा किंवा क्लाउड-आधारित मॅनेज्ड PKI (mPKI) सेवेचा लाभ घ्या. SCEP सर्व्हर तैनात आणि सुरक्षित करा - जर Microsoft NDES वापरत असाल तर, ते CA सह सह-स्थित असण्याऐवजी समर्पित सर्व्हरवर चालत असल्याची खात्री करा. SCEP सर्व्हरला स्थिर सामायिक सीक्रेट ऐवजी MDM द्वारे प्रति डिव्हाइस जनरेट केलेले डायनॅमिक चॅलेंज पासवर्ड वापरण्यासाठी कॉन्फिगर करा. हे SCEP URL शोधली गेल्यास अनधिकृत सर्टिफिकेट विनंत्या रोखते.

पायरी २: MDM कॉन्फिगरेशन

तुमच्या MDM प्लॅटफॉर्ममध्ये SCEP पेलोड तयार करा. Subject Alternative Name (SAN) फील्ड काळजीपूर्वक परिभाषित करा - SAN मध्ये युनिक आयडेंटिफायर्स (जसे की डिव्हाइस सिरियल नंबर किंवा युझर UPN) असणे आवश्यक आहे जे NAC पॉलिसीच्या निर्णयांसाठी वापरेल. प्रोफाईल प्रथम IT टीमच्या पायलट ग्रुपच्या डिव्हाइसेसवर पुश करा आणि कोणत्याही मोठ्या रोलआउटपूर्वी संपूर्ण नावनोंदणी प्रवाहाची पडताळणी करा.

पायरी ३: NAC आणि RADIUS सेटअप

क्लायंट सर्टिफिकेट जारी करणाऱ्या रूट CA वर विश्वास ठेवण्यासाठी तुमचे NAC कॉन्फिगर करा. EAP-TLS म्युच्युअल ऑथेंटिकेशनसाठी RADIUS सर्व्हरवर सर्व्हर सर्टिफिकेट इंस्टॉल करा. सर्टिफिकेट गुणधर्म आणि MDM कंप्लायन्स स्थितीच्या आधारावर ॲक्सेस पॉलिसी परिभाषित करा. डायनॅमिक VLAN असाइनमेंट नियम लागू करा: कंप्लायंट कॉर्पोरेट डिव्हाइसेस कॉर्पोरेट VLAN कडे, नॉन-कंप्लायंट डिव्हाइसेस रेमेडिएशन VLAN कडे, आणि IoT डिव्हाइसेस समर्पित, इंटरनेट-प्रतिबंधित VLAN कडे वर्ग करा.

पायरी ४: नेटवर्क इन्फ्रास्ट्रक्चर इंटिग्रेशन

802.1X साठी स्विचेस आणि वायरलेस ॲक्सेस पॉईंट्स कॉन्फिगर करा. retail वातावरणात जुन्या पॉइंट-ऑफ-सेल हार्डवेअरसह, किंवा hospitality वेन्यूमध्ये स्मार्ट रूम कंट्रोलर्स असलेल्या परिस्थितीसाठी, EAP-TLS मध्ये सहभागी होऊ न शकणाऱ्या डिव्हाइसेससाठी फॉलबॅक म्हणून MAC Authentication Bypass (MAB) लागू करा. MAB ला विशिष्ट स्विच पोर्ट्सपुरते मर्यादित करा आणि MAC ॲड्रेस डेटाबेस काटेकोरपणे नियंत्रित असल्याची खात्री करा. healthcare आणि transport वातावरणासाठी, क्षेत्र-विशिष्ट कंप्लायन्स आवश्यकता पूर्ण करण्यासाठी पोश्चर असेसमेंट नियम कॉन्फिगर करा.

पायरी ५: पॅरेलल रोलआउट आणि कटओव्हर

त्वरित कट ओव्हर कधीही करू नका. नवीन 802.1X SSID जुन्या नेटवर्कच्या समांतर प्रसारित करा. MDM द्वारे नवीन WiFi प्रोफाइल पुश करा. वापर वाढण्यावर लक्ष ठेवा आणि नावनोंदणीतील अपयश सोडवा. एकदा 95% पेक्षा जास्त डिव्हाइसेस नवीन SSID वर यशस्वीरित्या प्रमाणीकरण करू लागली की, जुने नेटवर्क बंद करा.


सर्वोत्तम पद्धती

EAP-TLS अनिवार्य करा. कॉर्पोरेट डिव्हाइसेससाठी प्राथमिक प्रमाणीकरण पद्धत म्हणून EAP-PEAP किंवा EAP-TTLS कधीही स्वीकारू नका. या पद्धती TLS टनेलमध्ये युझरनेम/पासवर्ड क्रेडेंशियल्सवर अवलंबून असतात आणि क्रेडेंशियल चोरीला बळी पडू शकतात. EAP-TLS तो हल्ला पूर्णपणे काढून टाकतो.

रिअल-टाइम रिव्होकेशन (रद्दीकरण) लागू करा. शेड्युल केलेले CRL डाउनलोड्स सुरक्षिततेमध्ये जोखीम निर्माण करतात. रिअल-टाइममध्ये OCSP तपासणी करण्यासाठी NAC कॉन्फिगर करा. जेव्हा एखादे डिव्हाइस हरवल्याची किंवा चोरीला गेल्याची नोंद होते, तेव्हा CA मधील प्रमाणपत्र रद्द करा आणि डिव्हाइस त्याच्या पुढील प्रमाणीकरण प्रयत्नात नेटवर्क अ‍ॅक्सेस गमावेल - किंवा Change of Authorisation (CoA) लागू केल्यास त्वरित अ‍ॅक्सेस गमावेल.

योग्य प्रमाणपत्र वैधता कालावधी सेट करा. संपण्याच्या 30 दिवस आधी स्वयंचलित SCEP नूतनीकरण ट्रिगरसह एक वर्षाचा वैधता कालावधी हा उद्योग मानक आहे. अधिक वैधता कालावधी प्रमाणपत्र तडजोड झाल्यास जोखमीचा काळ वाढवतो; कमी वैधता कालावधी नूतनीकरण अयशस्वी झाल्यामुळे सेवा खंडित होण्याचा धोका वाढवतो.

IoT पूर्णपणे वेगळे करा. IoT डिव्हाइसेसनी कधीही कॉर्पोरेट एंडपॉइंट्ससह VLAN शेअर करू नये. IoT VLAN वर कठोर ACLs लागू करण्यासाठी NAC चा वापर करा, जे प्रत्येक डिव्हाइस क्लासला आवश्यक असणारे विशिष्ट प्रोटोकॉल्स आणि गंतव्यस्थानांनाच परवानगी देतात. लोकेशन सेवा तैनात करणाऱ्या ठिकाणांसाठी, पोझिशनिंग इन्फ्रास्ट्रक्चर व्यापक नेटवर्क आर्किटेक्चरसह कसे समाकलित होते यासाठी Indoor WiFi Positioning Systems: How They Work and How to Deploy Them पहा.

WPA3 शी सुसंगत करा. जिथे हार्डवेअर सपोर्ट करते, तिथे WPA3-Enterprise वापरण्यासाठी कॉर्पोरेट SSIDs कॉन्फिगर करा, जे Protected Management Frames (PMF) अनिवार्य करते आणि WPA2 पेक्षा अधिक मजबूत क्रिप्टोग्राफिक संरक्षण प्रदान करते. हे व्यापक एंटरप्राइझ कनेक्टिव्हिटी लँडस्केपमध्ये कसे बसते याच्या तपशीलांसाठी, SD-WAN vs MPLS: A 2026 Guide to Enterprise Networking पहा.


त्रुटी निवारण आणि जोखीम कमी करणे

बिघाड मोड मूळ कारण जोखीम कमी करणे
प्रमाणपत्र नूतनीकरणानंतर डिव्हाइसेस EAP-TLS मध्ये अयशस्वी होतात SCEP नूतनीकरण शांतपणे अयशस्वी होत आहे SCEP सर्व्हर लॉगचे निरीक्षण करा; अयशस्वी CSR सबमिशनसाठी अलर्ट सेट करा
क्लॉक स्क्युमुळे प्रमाणपत्र प्रमाणीकरण अयशस्वी होते NTP चुकीचे कॉन्फिगरेशन सर्व एंडपॉइंट्स आणि इन्फ्रास्ट्रक्चरमध्ये NTP सिंक्रोनाइझेशन सक्तीचे करा
IoT डिव्हाइसेस प्रमाणीकरण करू शकत नाहीत कोणताही 802.1X सप्लिकंट नाही कठोर MAC ॲड्रेस नियंत्रणे आणि आयसोलेटेड VLAN सह MAB लागू करा
CA मायग्रेशननंतर मास डिव्हाइस लॉकआउट जुन्या रूट CA वर NAC चा विश्वास नाही टप्प्याटप्प्याने CA मायग्रेशन करा; जुना CA रद्द करण्यापूर्वी नवीन रूट CA ला NAC ट्रस्ट स्टोअरमध्ये जोडा
रद्द केलेली डिव्हाइसेस नेटवर्क अ‍ॅक्सेस टिकवून ठेवतात दीर्घ डाउनलोड अंतरासह केवळ-CRL रिव्होकेशन रिअल-टाइम रिव्होकेशनसाठी OCSP आणि CoA लागू करा

विशिष्ट BLE-आधारित IoT उपकरणांसाठी, ऑथेंटिकेशन आर्किटेक्चर WiFi-कनेक्ट केलेल्या एंडपॉइंट्सपेक्षा वेगळे असते. Bluetooth Low Energy इन्फ्रास्ट्रक्चरला लागू होणाऱ्या विशिष्ट सुरक्षा विचारांसाठी BLE Low Energy Explained for the Enterprise पहा.


ROI आणि व्यावसायिक प्रभाव

विकल्पांच्या खर्चाच्या तुलनेत मोजले असता SCEP-NAC-MDM इंटिग्रेशनचा बिझनेस केस अगदी सोपा आणि स्पष्ट आहे.

मेट्रिक अंमलबजावणीपूर्वी अंमलबजावणीनंतर
IT सर्व्हिस डेस्क तिकिटे (नेटवर्क ॲक्सेस) जास्त - पासवर्ड रिसेट, की रोटेशन्स जवळपास शून्य - स्वयंचलित सर्टिफिकेट लाइफसायकल
तडजोड केलेले उपकरण रद्द करण्याचा सरासरी वेळ तास (मॅन्युअल प्रक्रिया) सेकंद (OCSP + CoA)
PCI-DSS ॲक्सेस कंट्रोल अनुपालन मॅन्युअल, ऑडिट-गहन स्वयंचलित, सतत लागू केलेले
BYOD ऑनबोर्डिंग वेळ प्रति उपकरण १५ - ३० मिनिटे शून्य IT हस्तक्षेपासह ५ मिनिटांपेक्षा कमी

५००-उपकरणांच्या इस्टेटसाठी, मॅन्युअल सर्टिफिकेट मॅनेजमेंट आणि पासवर्डशी संबंधित सर्व्हिस डेस्क तिकिटे काढून टाकल्याने नेटवर्कशी संबंधित IT सपोर्ट ओव्हरहेड साधारणपणे २५ - ३५% कमी होते. जोखीम कमी करण्याचे मूल्य - एकाच क्रेडेंशियल-आधारित सुरक्षिततेचे उल्लंघन टाळणे - हे सामान्यत: संपूर्ण अंमलबजावणी खर्चापेक्षा जास्त असते. GDPR च्या बंधनात असलेल्या सार्वजनिक क्षेत्रातील आणि आरोग्य सेवा संस्थांसाठी, स्वयंचलित, ऑडिबल ॲक्सेस कंट्रोल प्रदर्शित करण्याची क्षमता ही एक महत्त्वपूर्ण अनुपालन मालमत्ता आहे.

महत्वाच्या व्याख्या

SCEP (सिंपल सर्टिफिकेट एनरोलमेंट प्रोटोकॉल)

एक प्रोटोकॉल जो वापरकर्त्याच्या हस्तक्षेपाशिवाय डिव्हाइसेसना डिजिटल प्रमाणपत्रे जारी करणे आणि रद्द करणे स्वयंचलित करतो, जो MDM प्लॅटफॉर्म आणि प्रमाणपत्र प्राधिकरणादरम्यान संवाद स्तर (communication layer) म्हणून काम करतो.

हजारो एंडपॉइंट्सवर मोठ्या प्रमाणावर X.509 प्रमाणपत्रे अखंडपणे तैनात करण्यासाठी MDM प्लॅटफॉर्मद्वारे वापरले जाते. 802.1X WiFi ऑथेंटिकेशनसाठी MDM प्रोफाइल कॉन्फिगर करताना IT टीम्सना SCEP चा सामना करावा लागतो.

NAC (नेटवर्क ॲक्सेस कंट्रोल)

एक सुरक्षा सोल्यूशन जे नेटवर्क इन्फ्रास्ट्रक्चरचा ॲक्सेस मिळवू पाहणाऱ्या डिव्हाइसेसवर पॉलिसी लागू करते, तसेच ॲक्सेस देण्यापूर्वी ऑथेंटिकेशन क्रेडेंशियल्स, प्रमाणपत्राची वैधता आणि डिव्हाइस अनुपालन स्थितीचे मूल्यांकन करते.

नेटवर्कच्या सीमेवर द्वारपाल (gatekeeper) म्हणून काम करते. डिव्हाइसेसच्या प्रमाणपत्र वैशिष्ट्यांवर आणि MDM अनुपालन स्थितीवर आधारित कोणत्या डिव्हाइसेसना कोणत्या VLAN चा ॲक्सेस मिळतो हे परिभाषित करण्यासाठी IT टीम्स NAC पॉलिसी कॉन्फिगर करतात.

MDM (मोबाईल डिव्हाइस मॅनेजमेंट)

मल्टिपल ऑपरेटिंग सिस्टीमवर कर्मचाऱ्यांच्या एंडपॉइंट्सचे निरीक्षण, व्यवस्थापन आणि सुरक्षितता राखण्यासाठी IT विभागांद्वारे वापरले जाणारे सॉफ्टवेअर, जे डिव्हाइसची ओळख आणि अनुपालनासाठी सत्यतेचा मध्यवर्ती स्रोत म्हणून कार्य करते.

SCEP नोंदणी प्रक्रियेचा प्रारंभकर्ता आणि NAC द्वारे विचारलेल्या पोस्चर डेटाचा स्रोत. MDM इंटिग्रेशनशिवाय, NAC पोस्चर-आधारित ॲक्सेस कंट्रोल करू शकत नाही.

IEEE 802.1X

पोर्ट-आधारित नेटवर्क ॲक्सेस कंट्रोलसाठी एक IEEE मानकीकरण जे LAN किंवा WLAN ला कनेक्ट होऊ इच्छिणाऱ्या डिव्हाइसेसना ऑथेंटिकेशन यंत्रणा प्रदान करते, ज्यासाठी पोर्ट उघडण्यापूर्वी यशस्वी ऑथेंटिकेशन आवश्यक असते.

एक मूळ प्रोटोकॉल जो स्विच किंवा ॲक्सेस पॉईंट कोणत्याही ट्रॅफिकला पुढे जाण्याची परवानगी देण्यापूर्वी डिव्हाइसेसना ऑथेंटिकेट करण्यास भाग पाडतो. हा नेटवर्क इन्फ्रास्ट्रक्चर आणि डिव्हाइसच्या 802.1X सप्लिकंट दोन्हीवर कॉन्फिगर केलेला असतो.

EAP-TLS (एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल - ट्रान्सपोर्ट लेयर सिक्युरिटी)

सर्वात सुरक्षित EAP मानकीकरण, ज्यामध्ये क्लायंट डिव्हाइस आणि RADIUS सर्व्हर या दोघांनीही वैध डिजिटल प्रमाणपत्रे सादर करणे आवश्यक असणारे परस्पर ऑथेंटिकेशन आवश्यक असते, ज्यामुळे पासवर्ड-आधारित क्रेडेंशियल हल्ले पूर्णपणे नाहीसे होतात.

एंटरप्राइझ वायरलेस सुरक्षेसाठी सर्वोत्तम मानकीकरण. जेथे डिव्हाइस प्रमाणपत्र इन्फ्रास्ट्रक्चर उपलब्ध असेल तेथे IT आर्किटेक्ट्सनी PEAP किंवा TTLS ऐवजी EAP-TLS वापरणे अनिवार्य केले पाहिजे.

CSR (सर्टिफिकेट साइनिंग रिक्वेस्ट)

डिव्हाइसद्वारे तयार केलेला एन्कोड केलेल्या मजकुराचा एक ब्लॉक ज्यामध्ये त्याची सार्वजनिक की (public key) आणि ओळखीचे तपशील असतात, जे स्वाक्षरीकृत X.509 प्रमाणपत्राची विनंती करण्यासाठी प्रमाणपत्र प्राधिकरणाकडे सबमिट केले जाते.

SCEP नोंदणी प्रक्रियेदरम्यान डिव्हाइसद्वारे स्वयंचलितपणे तयार केले जाते. CSR शी संबंधित खाजगी की (private key) कधीही डिव्हाइस सोडत नाही, ज्यामुळे प्रमाणपत्राची डुप्लिकेट कॉपी तयार केली जाऊ शकत नाही याची खात्री होते.

MAB (MAC ऑथेंटिकेशन बायपास)

एक पर्यायी ऑथेंटिकेशन पद्धत जिथे नेटवर्क डिव्हाइसचा हार्डवेअर MAC ॲड्रेस त्याचा क्रेडेंशियल म्हणून वापरते, ही पद्धत 802.1X सप्लिकंट क्षमता नसलेल्या डिव्हाइसेससाठी वापरली जाते.

प्रिंटर, सेन्सर्स आणि स्मार्ट रूम कंट्रोलर्स यांसारख्या जुन्या IoT डिव्हाइसेससाठी वापरले जाते जे EAP-TLS मध्ये भाग घेऊ शकत नाहीत. याचा परिणाम नेहमी अत्यंत प्रतिबंधित अशा VLAN वरील असाइनमेंटमध्ये झाला पाहिजे.

OCSP (ऑनलाइन सर्टिफिकेट स्टेटस प्रोटोकॉल)

X.509 डिजिटल प्रमाणपत्राची रद्द केलेली स्थिती रिअल-टाइममध्ये मिळवण्यासाठी वापरला जाणारा एक इंटरनेट प्रोटोकॉल, जो प्रमाणपत्र रद्द करण्याच्या याद्या (Certificate Revocation Lists) डाउनलोड आणि पार्स करण्याचा एक चांगला पर्याय प्रदान करतो.

NAC सिस्टीम्ससाठी अत्यंत आवश्यक जेणेकरून एखादे डिव्हाइस तडजोड केलेले आढळल्यास किंवा चोरीला गेल्याचे समजल्यास ताबडतोब त्याचा नेटवर्क ॲक्सेस ब्लॉक करता येईल. OCSP रिअल-टाइम स्थिती प्रदान करते; CRL डाउनलोड्समुळे एक रिव्होकेशन विंडो तयार होते.

CoA (चेंज ऑफ ऑथरायझेशन)

एक RADIUS एक्स्टेंशन (RFC 5176) जे NAC ला सक्रिय नेटवर्क सेशन कालबाह्य होण्याची किंवा डिव्हाइसने पुन्हा ऑथेंटिकेट होण्याची वाट न पाहता ते डायनॅमिकली सुधारण्याची किंवा संपुष्टात आणण्याची परवानगी देते.

जेव्हा एखाद्या डिव्हाइसचे प्रमाणपत्र रद्द केले जाते किंवा त्याची MDM अनुपालन स्थिती बदलते तेव्हा ते त्वरित डिस्कनेक्ट करण्यासाठी वापरले जाते. रिअल-टाइम झिरो-ट्रस्ट अंमलबजावणीसाठी आवश्यक.

सोडवलेली उदाहरणे

एका ५०० खोल्यांच्या लक्झरी रिसॉर्टला त्यांच्या बॅक - ऑफ - हाऊस ऑपरेशन्स नेटवर्क सुरक्षित करायचे आहे. कर्मचारी हाऊसकीपिंग मॅनेजमेंटसाठी सामायिक टॅब्लेट वापरतात आणि मॅनेजमेंट कॉर्पोरेट लॅपटॉप वापरते. सध्याच्या WPA2-PSK नेटवर्कचा प्री-शेअर्ड की अनेक वेळा लीक झाला आहे, ज्यामुळे गेल्या वर्षभरात दोन सुरक्षा घटना घडल्या आहेत. आयटी टीमने ऑपरेशन्समध्ये कोणताही व्यत्यय न आणता प्रमाणपत्र - आधारित प्रमाणीकरणाकडे (certificate-based authentication) कसे मार्गक्रमण करावे?

टप्पा १ - पूर्वतयारी (आठवडे १-२): क्लाउड-आधारित RADIUS/NAC सोल्यूशन तैनात करा आणि ते विद्यमान MDM सह समाकलित करा. सर्व टॅब्लेट आणि लॅपटॉपवर डिव्हाइस - आधारित प्रमाणपत्रे पाठवण्यासाठी MDM मध्ये SCEP प्रोफाइल कॉन्फिगर करा. वापरकर्ता - आधारित प्रमाणपत्रांऐवजी डिव्हाइस - आधारित प्रमाणपत्रे (डिव्हाइसच्या सिरीयल नंबरशी जोडलेली) वापरा, जेणेकरून सामायिक टॅब्लेट कोणता कर्मचारी वापरत आहे याकडे दुर्लक्ष करून स्वयंचलितपणे प्रमाणित होतील. टप्पा २ - समांतर अंमलबजावणी (आठवडे ३-४): 802.1X EAP-TLS साठी कॉन्फिगर केलेले नवीन, छुपे SSID ब्रॉडकास्ट करा. MDM द्वारे सर्व नोंदणीकृत उपकरणांवर नवीन WiFi प्रोफाइल पाठवा. यशस्वी प्रमाणीकरणासाठी NAC डॅशबोर्डचे निरीक्षण करा. टप्पा ३ - कटओव्हर (आठवडा ५): ९५%+ पेक्षा जास्त डिव्हाइसेस नवीन SSID शी जोडली गेल्यावर, जुने WPA2-PSK नेटवर्क बंद करा. सर्व दस्तऐवज आणि ॲक्सेस पॉइंट्सवरून जुना PSK काढून टाका.

परीक्षकाचे भाष्य: सामायिक - डिव्हाइस वातावरणासाठी डिव्हाइस - आधारित प्रमाणपत्र दृष्टिकोन हा योग्य पर्याय आहे. वापरकर्ता - आधारित प्रमाणपत्रांसाठी प्रत्येक कर्मचाऱ्याकडे स्वतःचे प्रमाणपत्र असणे आवश्यक आहे, ज्यामुळे व्यवस्थापनाचा भार वाढतो आणि ऑटोमेशनचा फायदा नष्ट होतो. समांतर अंमलबजावणीची धोरण अत्यंत आवश्यक आहे - त्वरित कटओव्हर केल्यास SCEP नोंदणी अपयशी ठरलेले कोणतेही डिव्हाइस ब्लॉक होईल, ज्यामुळे कामात व्यत्यय येईल. नवीन नेटवर्कसाठी छुपे SSID संक्रमण कालावधीत पाहुण्यांना कॉर्पोरेट नेटवर्कशी कनेक्ट होण्याचा प्रयत्न करण्यापासून रोखते.

एक राष्ट्रीय रिटेल साखळी १५० स्टोअर्समध्ये ३,००० नवीन पॉइंट ऑफ सेल (POS) टर्मिनल्स तैनात करत आहे. सुरक्षा टीम कठोर PCI DSS नेटवर्क वर्गीकरण आणि झिरो - ट्रस्ट ॲक्सेस अनिवार्य करते. अंमलबजावणीची कालमर्यादा ८ आठवडे आहे. प्रत्येक स्टोअरमध्ये आयटी कर्मचाऱ्यांची आवश्यकता नसताना SCEP आणि NAC मोठ्या प्रमाणावर हे कसे सुलभ करतात?

तैनातीपूर्वी: POS विक्रेता विक्रेत्याच्या झिरो - टच नोंदणी प्रोग्रामचा वापर करून रिटेलरच्या MDM मध्ये सर्व ३,००० डिव्हाइसेसची पूर्व - नोंदणी करतो. MDM ला SCEP प्रोफाइलसह कॉन्फिगर केले जाते जे पहिल्यांदा बूट झाल्यावर स्वयंचलितपणे सुरू होईल. तैनाती: जेव्हा स्टोअरमध्ये POS टर्मिनल सुरू केले जाते, तेव्हा ते तात्पुरत्या ऑनबोर्डिंग SSID (केवळ - इंटरनेट, कॉर्पोरेट प्रवेश नाही) शी कनेक्ट होते. MDM प्रोफाइल पाठवले जाते, SCEP पेलोड सुरू होतो, आणि डिव्हाइस CA कडून त्याच्या X.509 प्रमाणपत्राची विनंती करते आणि ते प्राप्त करते. त्यानंतर MDM कॉर्पोरेट WiFi प्रोफाइल पाठवते. नेटवर्क ॲक्सेस: जेव्हा POS स्टोअरच्या स्विच पोर्टशी कनेक्ट होतो, तेव्हा स्विच 802.1X सुरू करतो. NAC प्रमाणपत्राची पडताळणी करते, POS सुसंगत आहे की नाही याची पुष्टी करण्यासाठी MDM कडे चौकशी करते (प्रमाणीकरण सक्षम, MDM एजंट सक्रिय, कोणतेही जेलब्रेक आढळले नाही), आणि डायनॅमिकपणे स्विच पोर्ट PCI-DSS VLAN ला नियुक्त करते. POS आता कार्यान्वित आहे. स्टोअरमध्ये कोणत्याही आयटी कर्मचाऱ्याची आवश्यकता नव्हती.

परीक्षकाचे भाष्य: हे उदाहरण zero-touch MDM नोंदणीसह SCEP ऑटोमेशन एकत्र करण्याची क्षमता दर्शवते. तात्पुरता असणारे ऑनबोर्डिंग SSID हा एक अत्यंत महत्त्वाचा डिझाइन घटक आहे - हा कॉर्पोरेट नेटवर्क उघड न करता MDM नोंदणी प्रक्रियेसाठी इंटरनेट ॲक्सेस प्रदान करतो. डायनॅमिक VLAN असाइनमेंट हे सुनिश्चित करते की जर एखाद्या अनधिकृत डिव्हाइसने कसेतरी वैध MAC ॲड्रेस मिळवला तरीही, ते EAP-TLS प्रमाणपत्र तपासणीमध्ये अयशस्वी ठरेल आणि त्याला PCI VLAN चा ॲक्सेस नाकारला जाईल. हे आर्किटेक्चर PCI DSS Requirement 1 (नेटवर्क विभागणी) आणि Requirement 8 (विशिष्ट डिव्हाइस ओळख) दोन्ही आवश्यकता एकाच वेळी पूर्ण करते.

सराव प्रश्न

Q1. तुमची संस्था PEAP-MSCHAPv2 वापरून WPA2-Enterprise कडून EAP-TLS कडे स्थलांतरित होत आहे. पायलट दरम्यान, Windows लॅपटॉप आणि iPhones यशस्वीरित्या कनेक्ट होतात, परंतु २०० वेअरहाउस बारकोड स्कॅनर ऑथेंटिकेट होण्यात अपयशी ठरतात. हे स्कॅनर 802.1X ला सपोर्ट करतात परंतु MDM कडून SCEP पेलोडवर प्रक्रिया करू शकत नाहीत - ते MDM एजंट सपोर्ट नसलेली प्रोप्रायटरी एम्बेड केलेली OS चालवतात. स्कॅनर बदलण्याची आवश्यकता नसताना नेटवर्क विभाजन कायम ठेवणारे सर्वात सुरक्षित आर्किटेक्चरल सोल्यूशन कोणते आहे?

टीप: पर्यायी प्रमाणपत्र वितरण यंत्रणेचा विचार करा ज्यासाठी MDM एजंटची आवश्यकता नसते आणि जे डिव्हाइसेस पूर्ण पोश्चर मूल्यांकनात भाग घेऊ शकत नाहीत त्यांच्यावर कोणते नेटवर्क विभाजन नियंत्रणे लागू केली पाहिजेत.

नमुना उत्तर पहा

स्कॅनर 802.1X ला सपोर्ट करतात परंतु SCEP किंवा MDM नावनोंदणीला सपोर्ट करत नसल्यामुळे, प्रतिबंधित की वापर प्रोफाइलसह समर्पित प्रमाणपत्र टेम्पलेट वापरून डिव्हाइस प्रमाणपत्रे व्यक्तिचलितपणे प्रविष्ट करणे हा सर्वात सुरक्षित दृष्टिकोन आहे. देखभाल विंडो दरम्यान ही प्रमाणपत्रे एकदाच स्थापित केली जातात. ही प्रमाणपत्रे स्वीकारण्यासाठी NAC कॉन्फिगर केले आहे परंतु स्कॅनरला कठोर ACLs सह समर्पित वेअरहाउस ऑपरेशन्स VLAN वर नियुक्त केले आहे - संपूर्ण कॉर्पोरेट VLAN वर नाही - कारण पोश्चर मूल्यांकन शक्य नाही. पर्यायी म्हणून, जर मॅन्युअल प्रमाणपत्र प्रोव्हिजनिंग ऑपरेशनलदृष्ट्या कठीण असेल, तर विशेषतः स्कॅनर हार्डवेअरच्या MAC OUIs साठी फॉलबॅक म्हणून MAB कॉन्फिगर करा, ज्यामध्ये NAC त्यांना त्याच प्रतिबंधित VLAN वर नियुक्त करेल. आपल्या जोखीम नोंदवहीमध्ये अपवाद म्हणून याची नोंद करा आणि पुढील हार्डवेअर रिफ्रेश सायकलमध्ये स्कॅनर बदलण्याचे नियोजित करा.

Q2. एका नेटवर्क सुरक्षा व्यवस्थापकाच्या लक्षात आले की जेव्हा एखादा कर्मचारी लॅपटॉप चोरीला गेल्याची नोंद करतो, तेव्हा MDM रिमोट वाइप कमांड पाठवते, परंतु डिव्हाइस १२ तासांपर्यंत कॉर्पोरेट WiFi शी कनेक्ट राहते - जे सध्याचे RADIUS सेशन टाइमआउट आहे. या कालावधीत, डेटा चोरण्यासाठी डिव्हाइसचा वापर केला जाऊ शकतो. डिव्हाइस चोरीला गेल्याची नोंद होताच नेटवर्क ॲक्सेस त्वरित समाप्त करण्यासाठी आर्किटेक्चरमध्ये कसा बदल केला जावा?

टीप: पुढील ऑथेंटिकेशन सायकलची वाट पाहण्याऐवजी NAC ला स्थितीतील बदलाची माहिती त्वरित मिळणे आवश्यक आहे. सेशन समाप्ती यंत्रणा आणि ऑथेंटिकेशन प्रतिबंध यंत्रणा या दोन्हीचा विचार करा.

नमुना उत्तर पहा

दोन पूरक नियंत्रणे लागू करा. पहिले, डिव्हाइस हरवले किंवा चोरीला गेले म्हणून चिन्हांकित केल्यावर त्वरित NAC ला वेबहुक पाठवण्यासाठी MDM कॉन्फिगर करा. त्यानंतर NAC विशिष्ट ॲक्सेस पॉइंट किंवा स्विच पोर्टला RADIUS Change of Authorization (CoA) Disconnect-Request संदेश पाठवते, ज्यामुळे सक्रिय सेशन त्वरित समाप्त होते. दुसरे, CA मधील डिव्हाइसचे प्रमाणपत्र रद्द करा आणि CRL-आधारित रद्दीकरणाऐवजी रिअल-टाइम OCSP तपासणीसाठी NAC कॉन्फिगर केले असल्याची खात्री करा. याचा अर्थ असा की CoA प्रक्रियेपूर्वी डिव्हाइस पुन्हा कनेक्ट झाले तरीही, OCSP तपासणीमध्ये EAP-TLS ऑथेंटिकेशन अयशस्वी होईल. ही दोन्ही नियंत्रणे मिळून एक्स्पोजर विंडो १२ तासांवरून ६० सेकंदांपेक्षा कमी करतात.

Q3. एका मोठ्या कॉन्फरन्स सेंटरच्या नेटवर्कच्या सुरक्षा ऑडिट दरम्यान, असे आढळून आले की SCEP सर्व्हर रिमोट डिव्हाइस नावनोंदणीस अनुमती देण्यासाठी स्टॅटिक चॅलेंज पासवर्ड वापरून सार्वजनिक इंटरनेटवर उघड झाला आहे. ऑडिटरने याला गंभीर असुरक्षितता (critical vulnerability) म्हणून चिन्हांकित केले आहे. स्टॅटिक पासवर्डची जोखीम काढून टाकून रिमोट नावनोंदणी क्षमता कायम ठेवण्यासाठी SCEP नावनोंदणी प्रक्रियेची पुनर्रचना कशी करावी?

टीप: SCEP सर्व्हरला डिव्हाइसमधून काढल्या जाऊ शकणाऱ्या किंवा मधेच अडवल्या जाऊ शकणाऱ्या सामायिक गुपितावर (shared secret) अवलंबून न राहता, प्रमाणपत्र विनंती करणारे डिव्हाइस प्रत्यक्षात MDM द्वारे अधिकृत आहे की नाही हे सत्यापित करण्याचा मार्ग आवश्यक आहे.

नमुना उत्तर पहा

स्थिर चॅलेंज पासवर्ड ऐवजी MDM द्वारे व्युत्पन्न केलेले डायनॅमिक, प्रति-डिव्हाइस वन-टाइम चॅलेंज पासवर्ड वापरा. वर्कफ्लो असा होतो: (1) नावनोंदणी दरम्यान MDM प्रत्येक डिव्हाइससाठी एक युनिक, मर्यादित वेळेचा चॅलेंज पासवर्ड व्युत्पन्न करतो. (2) MDM हा चॅलेंज डिव्हाइसवर पुश केलेल्या SCEP पेलोडमध्ये समाविष्ट करतो. (3) डिव्हाइस हा चॅलेंज त्याच्या CSR मध्ये समाविष्ट करते. (4) SCEP सर्व्हर CSR ला CA कडे फॉरवर्ड करण्यापूर्वी API द्वारे MDM विरुद्ध चॅलेंज प्रमाणित करतो. (5) वापरल्यानंतर चॅलेंज ताबडतोब अवैध केले जाते. हे सुनिश्चित करते की केवळ MDM-व्यवस्थापित डिव्हाइसेस यशस्वीरित्या प्रमाणपत्र मिळवू शकतात आणि जरी SCEP URL शोधली गेली तरीही, वैध वन-टाइम चॅलेंजशिवाय आक्रमणकर्ता वैध प्रमाणपत्रे व्युत्पन्न करू शकत नाही. याव्यतिरिक्त, SCEP सर्व्हरला केवळ HTTPS पुरते मर्यादित करा आणि शक्य तिथे MDM च्या एग्रेस आयपीसाठी IP अलोवलिस्टिंग लागू करा.

या मालिकेमध्ये पुढे वाचा

Staff WiFi vs. Guest WiFi: Corporate Network Segmentation साठी सर्वोत्तम पद्धती

स्टाफ आणि guest WiFi नेटवर्क्सचे विभाजन करण्याबाबत IT लीडर्ससाठी एक सर्वसमावेशक तांत्रिक मार्गदर्शक. यामध्ये VLAN आर्किटेक्चर, 802.1X ऑथेंटिकेशन, फायरवॉल पॉलिसीज आणि सुरक्षित नेटवर्क डिझाइनचा व्यवसायावर होणारा प्रभाव समाविष्ट आहे.

मार्गदर्शिका वाचा →

अपार्टमेंट WiFi सोल्यूशन्स: व्यवसायांसाठी एक व्यापक मार्गदर्शक

हे मार्गदर्शक Build to Rent आणि multi-dwelling unit प्रॉपर्टीजमधील अपार्टमेंट WiFi सोल्यूशन्ससाठी आर्किटेक्चर, डिप्लॉयमेंट आणि बिझनेस केस कव्हर करते. हे स्पष्ट करते की कशा प्रकारे Identity Pre-Shared Key (iPSK) तंत्रज्ञान स्मार्ट डिव्हाइसेस आणि IoT ला सपोर्ट करत प्रत्येक रहिवाशासाठी सुरक्षित, वेगळे नेटवर्क बबल्स तयार करते. प्रॉपर्टी डेव्हलपर्स, घरमालक आणि BTR ऑपरेटर्सना यामध्ये प्रत्यक्ष अंमलबजावणीसाठी डिप्लॉयमेंट मार्गदर्शन, ROI डेटा आणि सविस्तर अंमलबजावणीच्या परिस्थिती मिळतील.

मार्गदर्शिका वाचा →

Cox business managed WiFi: व्यवसायांसाठी एक सर्वसमावेशक मार्गदर्शिका

हे मार्गदर्शक मालमत्ता विकासक आणि BTR ऑपरेटर Cox Business व्यवस्थापित WiFi चा वापर करून स्केलेबल, सुरक्षित नेटवर्क कसे उपयोजित करू शकतात याचा तपशील देते. यामध्ये नेटवर्क आर्किटेक्चर, वेंडर-तटस्थ हार्डवेअर उपयोजन आणि कनेक्टिव्हिटीला एका ऑपरेशनल डोकेदुखीवरून विश्वसनीय पायाभूत सुविधांमध्ये रूपांतरित करण्याचा व्यावसायिक प्रभाव समाविष्ट आहे.

मार्गदर्शिका वाचा →