मुख्य मजकुराकडे जा
मराठी

एंटरप्राइझ SCEP सेटअप मार्गदर्शिका: उच्च शिक्षण आणि मोठ्या नेटवर्कसाठी प्रमाणपत्र-आधारित Wi-Fi ऑथेंटिकेशन

ही मार्गदर्शिका SCEP वापरून प्रमाणपत्र-आधारित WiFi ऑथेंटिकेशन तैनात करण्यासाठी सर्वसमावेशक तांत्रिक आराखडा प्रदान करते. यामध्ये प्री-शेअर्ड कीजकडून EAP-TLS कडे आर्किटेक्चरल संक्रमण, MDM प्लॅटफॉर्मवर डिप्लॉयमेंटचे टप्पे आणि मोठ्या प्रमाणावरील नेटवर्कसाठी गंभीर जोखीम कमी करण्याच्या धोरणांचा समावेश आहे.

📖 5 मिनिट वाचन📝 1,151 शब्द🔧 2 सोडवलेली उदाहरणे3 सराव प्रश्न📚 8 महत्वाच्या व्याख्या

हे मार्गदर्शक ऐका

पॉडकास्ट ट्रान्सक्रिप्ट पहा
एंटरप्राइझ SCEP सेटअप मार्गदर्शिका: उच्च शिक्षण आणि मोठ्या नेटवर्कसाठी प्रमाणपत्र-आधारित WiFi प्रमाणीकरण एक Purple तांत्रिक माहिती - पॉडकास्ट स्क्रिप्ट (अंदाजे १० मिनिटे) --- प्रस्तावना आणि संदर्भ - अंदाजे १ मिनिट Purple तांत्रिक माहिती मालिकेमध्ये आपले स्वागत आहे. आज मी अशा एका विषयाबद्दल बोलत आहे जो बऱ्याच IT इनबॉक्समध्ये येतो पण त्यावर क्वचितच थेट उत्तर मिळते: मोठ्या प्रमाणावर प्रमाणपत्र-आधारित WiFi प्रमाणीकरण प्रत्यक्षात कसे तैनात करावे, SCEP चा वापर करून, एका मोठ्या नेटवर्कवर - मग ते विद्यापीठ कॅम्पस असो, मल्टी-साइट हॉटेल ग्रुप असो, किंवा मोठे सार्वजनिक क्षेत्रातील स्टेट असो? आम्ही संपूर्ण चित्र कव्हर करणार आहोत. SCEP प्रत्यक्षात काय करते, ते 802.1X आर्किटेक्चरमध्ये कसे बसते, बहुतांश टीम्स चुकीचा ठरणारा तैनात करण्याचा क्रम, दोन वास्तविक-जगातील अंमलबजावणीचे प्रसंग आणि अशा त्रुटी ज्यांचे नियोजन न केल्यास तुमच्या आयुष्यातील वीकेंड वाया जाऊ शकतो. ही एक सल्लागार माहिती आहे, ट्यूटोरियल नाही. मी असे गृहीत धरत आहे की तुम्हाला RADIUS सर्व्हर काय आहे हे माहित आहे आणि तुम्ही कदाचित प्री-शेअर्ड कीज वापरणे बंद करण्याचा निर्णय घेतला असेल. तुम्हाला आता गरज आहे ती अंमलबजावणीच्या नकाशाची. चला सुरुवात करूया. --- तांत्रिक सखोल माहिती - अंदाजे ५ मिनिटे तर, मूलभूत तत्त्वे. SCEP चा अर्थ Simple Certificate Enrollment Protocol असा आहे. २०२० मध्ये IETF द्वारे RFC 8894 म्हणून याला औपचारिक स्वरूप दिले गेले, जरी त्यापूर्वी एक दशकाहून अधिक काळ हे मोठ्या प्रमाणावर एंटरप्राइझमध्ये वापरात होते. याचे काम सरळ आहे: प्रत्येक मशीनला मानवी स्पर्शाची आवश्यकता न पडता व्यवस्थापित उपकरणावर डिजिटल प्रमाणपत्र मिळविण्याची प्रक्रिया स्वयंचलित करणे. WiFi प्रमाणीकरणाच्या संदर्भात, SCEP हे वितरण यंत्रणा आहे. तुम्ही लक्ष्य करत असलेला वास्तविक प्रमाणीकरण प्रोटोकॉल EAP-TLS आहे - Extensible Authentication Protocol with Transport Layer Security - जो 802.1X फ्रेमवर्कमध्ये समाविष्ट असतो. EAP-TLS ला एंटरप्राइझ वायरलेस नेटवर्कसाठी सर्वात सुरक्षित प्रमाणीकरण पद्धत मानले जाते कारण यासाठी क्लायंट डिव्हाइस आणि RADIUS सर्व्हर दोघांनाही वैध प्रमाणपत्रे सादर करणे आवश्यक असते. कोणत्याही बाजूला क्रिप्टोग्राफिक पुराव्याशिवाय दुसऱ्यावर विश्वास नसतो. हे परस्पर प्रमाणीकरण तुम्हाला इव्हिल ट्विन हल्ल्यांपासून वाचवते - जेथे एखादा आक्रमणकर्ता क्रेडेन्शियल्स मिळवण्यासाठी नकली ॲक्सेस पॉइंट तयार करतो. संपूर्ण साखळी कशी काम करते ते येथे दिले आहे. एक व्यवस्थापित डिव्हाइस (managed device) - विद्यार्थ्याचा लॅपटॉप, कर्मचाऱ्याचा फोन, हॉटेलचे पॉईंट-ऑफ-सेल टर्मिनल - याला कॉर्पोरेट वायरलेस नेटवर्कमध्ये सामील होणे आवश्यक असते. तुमचे MDM प्लॅटफॉर्म, जे Microsoft Intune किंवा Jamf असू शकते, ते त्या डिव्हाइसवर SCEP पेलोड पुश करते. पेलोडमध्ये दोन गोष्टी असतात: SCEP URL, जे तुमच्या NDES सर्व्हर किंवा क्लाउड SCEP गेटवेकडे निर्देश करते, आणि एक चॅलेंज पासवर्ड किंवा शेअर केलेले गुपिते (shared secret). डिव्हाइस स्थानिक पातळीवर स्वतःची पब्लिक आणि प्रायव्हेट की पेअर (key pair) तयार करते. हे अत्यंत महत्त्वाचे आहे. प्रायव्हेट की कधीही डिव्हाइस सोडत नाही. ती ऑन-डिव्हाइस तयार केली जाते, सिक्युर एन्क्लेव्ह किंवा TPM मध्ये साठवली जाते आणि नेटवर्कवर कधीही ट्रान्समिट केली जात नाही. त्यानंतर डिव्हाइस सर्टिफिकेट साइनिंग रिक्वेस्ट - CSR - तयार करते आणि SCEP गेटवेकडे पाठवते. गेटवे चॅलेंज व्हॅलिडेट करतो, CSR तुमच्या सर्टिफिकेट ऑथॉरिटीकडे (CA) फॉरवर्ड करतो आणि CA त्यावर स्वाक्षरी करून पब्लिक सर्टिफिकेट डिव्हाइसला परत करतो. त्या क्षणापासून, जेव्हा डिव्हाइस तुमच्या WiFi SSID शी कनेक्ट होते, तेव्हा ते RADIUS सर्व्हरला ते सर्टिफिकेट सादर करते. RADIUS सर्व्हर तुमच्या CA च्या ट्रस्ट चेनच्या विरुद्ध सर्टिफिकेटचे प्रमाणीकरण करतो, सर्टिफिकेट रद्द केले गेले नाही याची खात्री करण्यासाठी सर्टिफिकेट रिव्होकेशन लिस्ट (Certificate Revocation List) तपासतो आणि सर्व काही व्यवस्थित असल्यास, ॲक्सेस पॉइंटला एक्सेप्ट मेसेज पाठवतो. डिव्हाइस नेटवर्कवर येते. ही संपूर्ण प्रक्रिया वापरकर्त्यासाठी अदृश्य असते. आता, पर्यायी पर्याय असलेल्या PKCS च्या तुलनेत SCEP कुठे बसते याबद्दल बोलूया. PKCS - पब्लिक की क्रिप्टोग्राफी स्टँडर्ड्स - ही Intune सारख्या प्लॅटफॉर्मद्वारे समर्थित असलेली इतर सर्टिफिकेट डिलिव्हरी पद्धत आहे. PKCS सह, CA मध्यवर्ती पातळीवर पब्लिक आणि प्रायव्हेट दोन्ही की तयार करतो आणि सर्टिफिकेट कनेक्टर की पेअर डिव्हाइसवर पुश करतो. याचा अर्थ प्रायव्हेट की नेटवर्कवरून प्रवास करते, ज्यामुळे एक सैद्धांतिक हल्ला क्षेत्र (attack surface) निर्माण होते. S/MIME ईमेल एन्क्रिप्शन सारख्या वापर प्रकरणांसाठी PKCS ठीक आहे जिथे की एस्क्रो प्रत्यक्षात इष्ट असते. WiFi ऑथेंटिकेशनसाठी, SCEP हाच योग्य पर्याय आहे. प्रायव्हेट की डिव्हाइसवरच राहते, विषय संपला. आता, हार्डवेअर लेयर. SCEP आणि EAP-TLS हे वेंडर-न्यूट्रल स्टँडर्ड्स आहेत, ज्याचा अर्थ ते Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme आणि Fortinet ॲक्सेस पॉइंट्सवर काम करतात. तुमचे RADIUS कॉन्फिगरेशन - मग ते Windows NPS असो, FreeRADIUS असो किंवा क्लाउड RADIUS सर्व्हिस असो - तिथेच तुम्ही सर्टिफिकेट व्हॅलिडेशन पॉलिसी परिभाषित करता आणि महत्त्वाचे म्हणजे, तिथेच तुम्ही डायनॅमिक VLAN असाइनमेंट कॉन्फिगर करता. डायनॅमिक VLAN हे ओळखीनुरूप तुम्ही नेटवर्कचे विभाजन कसे करता यावर आधारित असते. विद्यार्थ्याच्या डिव्हाइसला VLAN 20 मिळते - फक्त इंटरनेट ॲक्सेस. प्राध्यापकांच्या डिव्हाइसला VLAN 10 मिळते - अंतर्गत संशोधन प्रणालींमध्ये ॲक्सेस. फॅसिलिटीज मॅनेजमेंट डिव्हाइसला VLAN 30 मिळते - बिल्डिंग मॅनेजमेंट सिस्टम्समध्ये ॲक्सेस. हे सर्व सर्टिफिकेटच्या वैशिष्ट्यांद्वारे आणि RADIUS पॉलिसीद्वारे चालवले जाते, ज्यामध्ये प्रति डिव्हाइस कोणत्याही मॅन्युअल हस्तक्षेपाची आवश्यकता नसते. आयडेंटिटी प्रोव्हाइडर इंटिग्रेशनसाठी, SCEP सर्टिफिकेट ॲट्रिब्युट्स - विशेषतः Subject Alternative Name - Microsoft Entra ID, Okta किंवा Google Workspace कडून युझरचे प्रिन्सिपल नाव घेऊन जाऊ शकतात. यामुळे सर्टिफिकेट विशिष्ट आयडेंटिटीशी जोडले जाते, ज्याचा अर्थ असा होतो की जेव्हा तुम्ही Entra ID मधील एखादे खाते बंद करता आणि MDM डिव्हाइस अन-एनरोल करते, तेव्हा सर्टिफिकेट रद्द केले जाते आणि WiFi ऍक्सेस आपोआप बंद होतो. हा असा रिव्होकेशन (रद्द करण्याची) इतिहास आहे जो प्री-शेअर्ड की (pre-shared keys) कधीच देऊ शकत नाहीत. --- अमलबजावणीच्या शिफारसी आणि धोके (IMPLEMENTATION RECOMMENDATIONS AND PITFALLS) - साधारण २ मिनिटे चला, आता डिप्लॉयमेंटच्या क्रमाबद्दल बोलूया, कारण येथेच बहुतेक टीम्सची गल्लत होते. हा क्रम बदलता येणारा नाही: आधी Trusted Root सर्टिफिकेट, नंतर SCEP सर्टिफिकेट प्रोफाईल आणि तिसरे WiFi प्रोफाईल. Intune आणि Jamf दोन्ही प्रोफाईलच्या परस्परावलंबित्वाची अंमलबजावणी करतात. जर तुमचे WiFi प्रोफाईल अशा SCEP सर्टिफिकेटचा संदर्भ देत असेल जे डिव्हाइसवर अद्याप डिप्लॉय केलेले नाही, तर WiFi प्रोफाईल एका अस्पष्ट एररसह अयशस्वी होईल जी चुकीच्या कॉन्फिगरेशनसारखी दिसते, परंतु प्रत्यक्षात ती केवळ वेळेची (timing) समस्या असते. दुसरा धोका म्हणजे ग्रुप टारगेटिंग. Trusted Root, SCEP आणि WiFi हे तिन्ही प्रोफाईल्स अगदी एकाच Azure AD किंवा Jamf ग्रुपवर डिप्लॉय केले जाणे आवश्यक आहे. SCEP प्रोफाईल युझर ग्रुपला टार्गेट करत असेल आणि WiFi प्रोफाईल डिव्हाइस ग्रुपला टार्गेट करत असेल, तर Intune हे परस्परावलंबित्व सोडवू शकत नाही आणि WiFi प्रोफाईल "Not Applicable" म्हणून दर्शवले जाईल. यामुळे टीम्स सतत अडचणीत येतात. तिसरे: NDES सर्व्हर उपलब्धता. तुमचा NDES सर्व्हर इंटरनेटवरून ऍक्सेस करता येण्याजोगा असणे आवश्यक आहे जेणेकरून डिव्हाइसेस ऑन-साइट येण्यापूर्वी एनरोल होऊ शकतील. हे करण्याचा योग्य मार्ग Azure AD Application Proxy द्वारे आहे, तुमच्या फायरवॉलमध्ये छिद्र पाडून नाही. App Proxy तुम्हाला इनबाउंड पोर्ट्सशिवाय सुरक्षित रिमोट ऍक्सेस देते आणि एनरोलमेंट फ्लोवर कंडीशनल ऍक्सेस पॉलिसी लागू करण्याची परवानगी देते. चौथे: CRL उपलब्धता. तुमचा RADIUS सर्व्हर प्रत्येक वेळी डिव्हाइस ऑथेंटिकेट करताना Certificate Revocation List तपासतो. जर तुमचा CRL डिस्ट्रिब्युशन पॉईंट अनुपलब्ध असेल - सर्व्हर डाउन असल्यामुळे किंवा URL बदलल्यामुळे - तर नेटवर्कवरील प्रत्येक डिव्हाइससाठी ऑथेंटिकेशन एकाच वेळी अयशस्वी होते. हा संपूर्ण कॅम्पसचा आउटेज ठरू शकतो. तुमचे CRL एंडपॉईंट्स अत्यंत उपलब्ध (highly available) ठेवा आणि लाइव्ह जाण्यापूर्वी रिव्होकेशनची चाचणी घ्या. मोठ्या नेटवर्कसाठी - ५०० पेक्षा जास्त डिव्हाइसेससाठी - ऑन-प्रिमाइसेस NDES ऐवजी क्लाउड SCEP गेटवेचा विचार करा. क्लाउड गेटवे NDES च्या सिंगल पॉईंट ऑफ फेल्युअरची शक्यता दूर करतात, हॉरिझॉन्टली स्केल होतात आणि सामान्यतः थेट क्लाउड RADIUS सेवांशी जोडले जातात, ज्यामुळे आणखी एक इन्फ्रास्ट्रक्चर वरील अवलंबित्व कमी होते. --- रॅपिड-फायर प्रश्नोत्तरे (RAPID-FIRE Q AND A) - साधारण १ मिनिट SCEP अशा BYOD डिव्हाइसेस हाताळू शकते का जे MDM-एनरोल केलेले नाहीत? थेट नाही. SCEP ला सर्टिफिकेट पेलोड पुश करण्यासाठी MDM एनरोलमेंटची आवश्यकता असते. अनमॅनेज्ड BYOD साठी, तुम्हाला वेगळा दृष्टिकोन हवा आहे - एकतर सेल्फ-सर्व्हिस ऑनबोर्डिंग पोर्टल, किंवा आयडेंटिटी व्हेरिफिकेशनसह Captive Portal वापरणारा स्वतंत्र SSID. Purple चे प्लॅटफॉर्म तुमच्या सर्टिफिकेट-ऑथेंटिकेटेड स्टाफ नेटवर्कसह राहून तो गेस्ट आणि BYOD लेयर अगदी सुलभपणे हाताळते. iOS आणि Android बद्दल काय? दोन्ही प्लॅटफॉर्म्स मूळतः SCEP ला सपोर्ट करतात. iOS ने iOS 4 पासून SCEP ला सपोर्ट केला आहे. Android Enterprise हे Intune आणि इतर MDMs द्वारे SCEP ला सपोर्ट करते. कॉन्फिगरेशन प्रत्येक प्लॅटफॉर्मनुसार थोडे वेगळे असते परंतु त्यामागील प्रोटोकॉल समान असतो. EAP-TLS हे WPA3 सोबत काम करते का? होय. WPA3-Enterprise संवेदनशील वातावरणासाठी १९२-बिट सुरक्षा मोड अनिवार्य करते आणि EAP-TLS पूर्णपणे सुसंगत आहे. खरं तर, सरकारी आणि वित्तीय नेटवर्कसाठी Wi-Fi Alliance द्वारे EAP-TLS सह WPA3-Enterprise च्या कॉम्बिनेशनची शिफारस केली जाते. --- सारांश आणि पुढील पायऱ्या - अंदाजे १ मिनिट थोडक्यात सांगायचे तर. ५० पेक्षा जास्त व्यवस्थापित (managed) उपकरणे असलेल्या कोणत्याही नेटवर्कसाठी SCEP प्रमाणपत्र WiFi प्रमाणीकरण (authentication) हे योग्य आर्किटेक्चर आहे. हे शेअर्ड क्रेडेंशियलची आवश्यकता दूर करते, तुम्हाला प्रत्येक उपकरणाची ओळख (per-device identity) देते, डायनॅमिक VLAN सेगमेंटेशन सक्षम करते आणि स्वयंचलित रिव्होकेशनसाठी थेट तुमच्या ओळख प्रदात्याशी (identity provider) समाकलित होते. डिप्लॉयमेंटचा क्रम - Trusted Root, नंतर SCEP प्रोफाइल, आणि नंतर WiFi प्रोफाइल - निश्चित आहे. ग्रुप टार्गेटिंग सुसंगत असणे आवश्यक आहे. CRL उपलब्धता पर्यायी नाही. विशेषतः उच्च शिक्षणासाठी, कर्मचारी आणि फॅकल्टी उपकरणांसाठी SCEP चे कॉम्बिनेशन, आणि वैयक्तिक उपकरणांवरील विद्यार्थ्यांसाठी वेगळ्या गेस्ट WiFi लेयरसह, तुम्हाला कोणतीही तडजोड न करता सुरक्षा आणि उत्तम वापरकर्ता अनुभव (user experience) दोन्ही प्रदान करते. जर तुम्हाला अधिक सखोल माहिती हवी असेल, तर Active Directory किंवा ऑन-प्रिमायसेस सर्व्हरशिवाय असणाऱ्या एंटरप्राइझ WiFi प्रमाणीकरणावरील Purple चे मार्गदर्शक क्लाउड-नेटिव्ह पाथ कव्हर करते. आणि जेव्हा एखादा कर्मचारी नोकरी सोडतो तेव्हा काय होते याचा विचार तुम्ही करत असाल, तर WiFi ऍक्सेस रद्द करण्यावरील (revoking) आमचे मार्गदर्शक संपूर्ण रिव्होकेशन वर्कफ्लो स्पष्ट करते. ऐकल्याबद्दल धन्यवाद. मी Purple च्या तांत्रिक टीममधून आहे, आणि आपण पुढील ब्रीफिंगमध्ये भेटू. --- स्क्रिप्ट समाप्त

header_image.png

এক্সিকিউটিভ সামারি

এন্টারপ্রাইজ ভেন্যুগুলোর জন্য—তা কোনো আধুনিক উচ্চশিক্ষা ক্যাম্পাস হোক, মাল্টি-সাইট রিটেল অপারেশন হোক বা কোনো বড় হসপিটালিটি গ্রুপ হোক—কর্মী এবং অপারেশনাল WiFi-এর জন্য প্রি-শেয়ার্ড কির ওপর নির্ভর করা অগ্রহণযোগ্য নিরাপত্তা দুর্বলতা এবং অপারেশনাল জটিলতা তৈরি করে। আধুনিক নেটওয়ার্ক আর্কিটেকচারের জন্য EAP-TLS ব্যবহার করে 802.1X অথেন্টিকেশন প্রয়োজন, যা নেটওয়ার্ক অ্যাক্সেস করার আগে প্রতিটি ডিভাইস ক্রিপ্টোগ্রাফিকভাবে যাচাই করা নিশ্চিত করে।

চ্যালেঞ্জটি হলো বিতরণে: আপনার হেল্পডেস্ককে সাপোর্ট টিকিটের নিচে চাপা না দিয়ে হাজার হাজার Windows, iOS এবং Android ডিভাইসে অনন্য ক্লায়েন্ট সার্টিফিকেট স্থাপন করা। Microsoft Intune, Jamf এবং অন্যান্য MDM প্ল্যাটফর্মগুলো স্বয়ংক্রিয় সার্টিফিকেট লাইফসাইকেল ম্যানেজমেন্টের মাধ্যমে এটি সমাধান করে। SCEP (Simple Certificate Enrollment Protocol) ব্যবহার করে, আইটি টিমগুলো ম্যানেজড এন্ডপয়েন্টগুলোতে নীরবে বিশ্বস্ত রুট এবং ক্লায়েন্ট সার্টিফিকেট পুশ করতে পারে।

এই গাইডটি এন্টারপ্রাইজ SCEP সার্টিফিকেট স্থাপনের জন্য একটি সুনির্দিষ্ট আর্কিটেকচারাল ব্লুপ্রিন্ট এবং ধাপে ধাপে বাস্তবায়ন কৌশল প্রদান করে। আমরা সফলতার জন্য প্রয়োজনীয় ডেপ্লয়মেন্ট সিকোয়েন্স অন্বেষণ করব, বাস্তব-বিশ্বের ঝুঁকি প্রশমন কৌশলগুলোর রূপরেখা দেব এবং কীভাবে Purple-এর আইডেন্টিটি-ভিত্তিক নেটওয়ার্ক পদ্ধতি এই প্রয়োজনীয়তাগুলোর সাথে সামঞ্জস্যপূর্ণ তা বিস্তারিতভাবে তুলে ধরব।

টেকনিক্যাল ডিপ-ডাইভ: SCEP এবং 802.1X আর্কিটেকচার

সার্টিফিকেট-ভিত্তিক WiFi ডেপ্লয়মেন্ট কৌশল ডিজাইন করার সময়, অন্তর্নিহিত প্রোটোকল ইন্টারঅ্যাকশন বোঝা অত্যন্ত গুরুত্বপূর্ণ। SCEP হলো ডেলিভারি মেকানিজম; EAP-TLS হলো অথেন্টিকেশন প্রোটোকল।

SCEP (Simple Certificate Enrollment Protocol)

SCEP হলো এন্টারপ্রাইজ ডিভাইস এনরোলমেন্টের জন্য ইন্ডাস্ট্রি স্ট্যান্ডার্ড। একটি SCEP ওয়ার্কফ্লোতে, MDM সার্ভিস এন্ডপয়েন্টকে নিজস্ব প্রাইভেট এবং পাবলিক কি পেয়ার তৈরি করার নির্দেশ দেয়। ডিভাইসটি একটি Certificate Signing Request (CSR) তৈরি করে এবং এটি একটি Network Device Enrollment Service (NDES) সার্ভার বা ক্লাউড গেটওয়ের মাধ্যমে আপনার Certificate Authority (CA)-তে পাঠায়। CA অনুরোধটি স্বাক্ষর করে এবং পাবলিক সার্টিফিকেটটি ডিভাইসে ফেরত পাঠায়।

SCEP-এর প্রধান নিরাপত্তা সুবিধা হলো প্রাইভেট কি কখনোই ডিভাইস থেকে বাইরে যায় না। এটি স্থানীয়ভাবে তৈরি হয়, ডিভাইসের সুরক্ষিত হার্ডওয়্যার এনক্লেভে সংরক্ষিত থাকে এবং কখনোই নেটওয়ার্কের মাধ্যমে স্থানান্তরিত হয় না। এটি SCEP-কে 802.1X অথেন্টিকেশনের জন্য অত্যন্ত সুপারিশকৃত পদ্ধতি হিসেবে গড়ে তোলে।

scep_architecture_overview.png

EAP-TLS এবং মিউচুয়াল অথেন্টিকেশন

EAP-TLS (Extensible Authentication Protocol with Transport Layer Security) 802.1X ফ্রেমওয়ার্কের ভেতরে অবস্থান করে। EAP-TLS এন্টারপ্রাইজ ওয়্যারলেস নেটওয়ার্কের জন্য সবচেয়ে নিরাপদ অথেন্টিকেশন পদ্ধতি হিসেবে ব্যাপকভাবে বিবেচিত কারণ এতে মিউচুয়াল অথেন্টিকেশন প্রয়োজন হয়। ক্লায়েন্ট ডিভাইস এবং RADIUS সার্ভার উভয়কেই বৈধ সার্টিফিকেট উপস্থাপন করতে হবে। ক্রিপ্টোগ্রাফিক প্রমাণ ছাড়া কোনো পক্ষই অন্য পক্ষকে বিশ্বাস করে না। এই মিউচুয়াল অথেন্টিকেশন নেটওয়ার্ককে ক্ষতিকারক অ্যাক্সেস পয়েন্ট এবং ক্রেডেনশিয়াল হার্ভেস্টিং থেকে রক্ষা করে।

যখন কোনো ডিভাইস আপনার WiFi SSID-এর সাথে সংযুক্ত হয়, তখন এটি RADIUS সার্ভারে তার সার্টিফিকেট উপস্থাপন করে। RADIUS সার্ভার আপনার CA ট্রাস্ট চেইনের বিপরীতে সার্টিফিকেটটি যাচাই করে, সার্টিফিকেটটি বাতিল করা হয়েছে কিনা তা নিশ্চিত করতে Certificate Revocation List (CRL) পরীক্ষা করে এবং সফল হলে, অ্যাক্সেস পয়েন্টে একটি অ্যাকসেপ্ট মেসেজ পাঠায়।

ইমপ্লিমেন্টেশন গাইড: ডেপ্লয়মেন্ট সিকোয়েন্স

802.1X-এর জন্য একটি MDM WiFi প্রোফাইল সফলভাবে কনফিগার করার জন্য একটি নির্দিষ্ট ডেপ্লয়মেন্ট সিকোয়েন্স কঠোরভাবে অনুসরণ করা প্রয়োজন। প্রোফাইল ডিপেন্ডেন্সি নির্দেশ করে যে অথেন্টিকেশন কনফিগার করার আগে ট্রাস্ট বা বিশ্বাস স্থাপন করতে হবে।

ধাপ ১: ট্রাস্টেড রুট সার্টিফিকেট প্রোফাইল ডেপ্লয় করুন

যেকোনো ডিভাইস ক্লায়েন্ট সার্টিফিকেটের জন্য অনুরোধ করার বা আপনার RADIUS সার্ভারকে বিশ্বাস করার আগে, এটিকে অবশ্যই ইস্যুকারী Certificate Authority-কে বিশ্বাস করতে হবে।

  1. আপনার Root CA সার্টিফিকেটটি একটি .cer ফাইল হিসেবে এক্সপোর্ট করুন।
  2. আপনার MDM-এ (যেমন, Intune বা Jamf), একটি Trusted Certificate প্রোফাইল তৈরি করুন।
  3. .cer ফাইলটি আপলোড করুন এবং এই প্রোফাইলটি আপনার টার্গেট ডিভাইস গ্রুপগুলোতে ডেপ্লয় করুন।

ধাপ ২: SCEP সার্টিফিকেট প্রোফাইল কনফিগার করুন

একবার ট্রাস্ট স্থাপিত হয়ে গেলে, ডিভাইসগুলোকে কীভাবে তাদের ক্লায়েন্ট সার্টিফিকেট পেতে হবে তা নির্দেশ করতে SCEP প্রোফাইল কনফিগার করুন।

  1. একটি নতুন কনফিগারেশন প্রোফাইল তৈরি করুন এবং SCEP সার্টিফিকেট নির্বাচন করুন।
  2. Subject নামের ফরম্যাট কনফিগার করুন। ইউজার-ড্রিভেন অথেন্টিকেশনের জন্য, User Principal Name ব্যবহার করুন।
  3. Key usage সেট করুন Digital signature এবং Key encipherment হিসেবে।
  4. Extended key usage-এর অধীনে, Client Authentication নির্দিষ্ট করুন।
  5. এই প্রোফাইলটিকে ধাপ ১-এ তৈরি করা Trusted Root সার্টিফিকেট প্রোফাইলের সাথে লিঙ্ক করুন।
  6. আপনার NDES সার্ভার বা SCEP গেটওয়ের এক্সটার্নাল URL প্রদান করুন।

ধাপ ৩: 802.1X WiFi প্রোফাইল ডেপ্লয় করুন

চূড়ান্ত ধাপ হলো WiFi কনফিগারেশন পুশ করা যা সার্টিফিকেটগুলোকে নেটওয়ার্ক SSID-এর সাথে সংযুক্ত করে।

  1. একটি Wi-Fi কনফিগারেশন প্রোফাইল তৈরি করুন।
  2. আপনার অ্যাক্সেস পয়েন্টগুলো যেভাবে ব্রডকাস্ট করছে ঠিক সেভাবে Network name (SSID) লিখুন।
  3. সিকিউরিটি টাইপ হিসেবে WPA2-Enterprise বা WPA3-Enterprise নির্বাচন করুন।
  4. EAP টাইপ সেট করুন EAP-TLS হিসেবে।
  5. ধাপ ২-এ তৈরি করা SCEP সার্টিফিকেট প্রোফাইলটিকে ক্লায়েন্ট অথেন্টিকেশন সার্টিফিকেট হিসেবে নির্বাচন করুন।
  6. সার্ভার ভ্যালিডেশনের জন্য Trusted Root সার্টিফিকেট নির্দিষ্ট করুন।

সেরা অনুশীলন এবং ইন্ডাস্ট্রি স্ট্যান্ডার্ড

SCEP সার্টিফিকেট ডেপ্লয়মেন্ট বাস্তবায়ন করার সময়, কমপ্লায়েন্স এবং নির্ভরযোগ্যতা নিশ্চিত করতে এই ভেন্ডর-নিরপেক্ষ সেরা অনুশীলনগুলো মেনে চলুন।

NDES সার্ভার প্লেসমেন্ট এবং সিকিউরিটি

রিমোট ডিভাইসগুলোকে অনুমতি দেওয়ার জন্য NDES সার্ভারটি অবশ্যই ইন্টারনেট থেকে অ্যাক্সেসযোগ্য হতে হবেঅন-সাইটে পৌঁছানোর আগে সার্টিফিকেট প্রোভিশন করতে হবে। তবে, একটি ইন্টারনাল সার্ভারকে সরাসরি ইন্টারনেটের কাছে এক্সপোজ করা একটি বড় ধরনের নিরাপত্তা ঝুঁকি। Azure AD Application Proxy ব্যবহার করে NDES URL প্রকাশ করুন অথবা একটি ক্লাউড-হোস্টেড SCEP গেটওয়ে ব্যবহার করুন। এটি ইনবাউন্ড ফায়ারওয়াল পোর্ট না খুলেই নিরাপদ রিমোট অ্যাক্সেস প্রদান করে।

RADIUS এবং CRL চেকিং

সার্টিফিকেট ডেপ্লয়মেন্ট হলো নিরাপত্তার সমীকরণের অর্ধেক মাত্র; রিভোকেশন বা বাতিলকরণও সমানভাবে গুরুত্বপূর্ণ। কোনো কর্মচারী চলে গেলে, তার ক্লায়েন্ট সার্টিফিকেট বৈধ থাকলে এবং RADIUS সার্ভার যদি কঠোরভাবে Certificate Revocation List (CRL) চেক না করে, তবে তার Active Directory অ্যাকাউন্ট নিষ্ক্রিয় করলেও তা অবিলম্বে তার WiFi অ্যাক্সেস বাতিল নাও করতে পারে। কঠোর CRL চেকিং প্রয়োগ করতে আপনার RADIUS সার্ভার কনফিগার করুন এবং আপনার CRL ডিস্ট্রিবিউশন পয়েন্টগুলো যাতে অত্যন্ত সহজলভ্য থাকে তা নিশ্চিত করুন।

হার্ডওয়্যার অজ্ঞেয়বাদী (Hardware Agnostic) ডেপ্লয়মেন্ট

SCEP এবং EAP-TLS হলো ভেন্ডর-নিরপেক্ষ স্ট্যান্ডার্ড। আপনার ডেপ্লয়মেন্ট হার্ডওয়্যার-অজ্ঞেয়বাদী হওয়া উচিত, যা Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme এবং Fortinet ইনফ্রাস্ট্রাকচার জুড়ে নির্বিঘ্নে কাজ করে।

ট্রাবলশুটিং এবং ঝুঁকি প্রশমন

যথাযথ পরিকল্পনা থাকা সত্ত্বেও, সার্টিফিকেট ডেপ্লয়মেন্টে সমস্যার সম্মুখীন হতে পারে।

সমস্যা: WiFi প্রোফাইল প্রয়োগ করতে ব্যর্থ হচ্ছে

এটি প্রায় সবসময়ই গ্রুপ টার্গেটিং-এর অমিলের কারণে ঘটে। যদি SCEP প্রোফাইলটি একটি User Group-এ অ্যাসাইন করা হয়, কিন্তু WiFi প্রোফাইলটি একটি Device Group-এ অ্যাসাইন করা হয়, তবে MDM এই ডিপেন্ডেন্সি সমাধান করতে পারে না। নিশ্চিত করুন যে Trusted Root, SCEP এবং WiFi প্রোফাইলগুলো সবই ঠিক একই গ্রুপে ডেপ্লয় করা হয়েছে।

সমস্যা: NDES 403 Forbidden ত্রুটি

ডিভাইসগুলো SCEP সার্টিফিকেট রিট্রিভ করতে ব্যর্থ হচ্ছে। সম্ভবত সার্টিফিকেট টেমপ্লেটে Intune Certificate Connector সার্ভিস অ্যাকাউন্টের প্রয়োজনীয় পারমিশন নেই, অথবা আপনার ফায়ারওয়ালের URL ফিল্টারিং SCEP দ্বারা ব্যবহৃত নির্দিষ্ট কোয়েরি স্ট্রিং প্যারামিটারগুলোকে ব্লক করছে।

ROI এবং ব্যবসায়িক প্রভাব

SCEP 802.1X সার্টিফিকেট ডেপ্লয়মেন্টে ট্রানজিশন করা নিরাপত্তা এবং অপারেশন জুড়ে পরিমাপযোগ্য রিটার্ন প্রদান করে।

scep_vs_psk_comparison.png

  1. হেল্পডেস্ক টিকিট হ্রাস: পাসওয়ার্ড-ভিত্তিক WiFi প্রচুর পরিমাণে সাপোর্ট টিকিট তৈরি করে। সার্টিফিকেট-ভিত্তিক অথেন্টিকেশন ব্যবহারকারীর কাছে অদৃশ্য থাকে, যা সাধারণত WiFi-সম্পর্কিত হেল্পডেস্কের কাজের চাপ ৭০% পর্যন্ত কমিয়ে দেয়।
  2. উন্নত নিরাপত্তা ব্যবস্থা: EAP-TLS ক্রেডেনশিয়াল হার্ভেস্টিং এবং ম্যান-ইন-দ্য-মিডল অ্যাটাকের ঝুঁকি দূর করে। PCI DSS এবং GDPR-এর মতো ফ্রেমওয়ার্কগুলোর কমপ্লায়েন্সের জন্য এটি অত্যন্ত গুরুত্বপূর্ণ।
  3. নির্বিঘ্ন অনবোর্ডিং: উইন্ডোজের পাশাপাশি অ্যাপল ডিভাইসের বিশাল বহর পরিচালনা করা সংস্থাগুলোর জন্য, বিদ্যমান MDM ওয়ার্কফ্লোর সাথে ইন্টিগ্রেট করা একটি ইউনিফাইড, জিরো-টাচ প্রোভিশনিং অভিজ্ঞতা নিশ্চিত করে।
  4. ডায়নামিক সেগমেন্টেশন: আলাদা SSID-এর প্রয়োজন ছাড়াই কর্পোরেট ডেটা থেকে IoT ডিভাইসগুলোকে আলাদা করে, আইডেন্টিটির উপর ভিত্তি করে ডায়নামিক VLAN অ্যাসাইনমেন্ট সমর্থন করে।

আরও পড়ার জন্য, আমাদের সম্পর্কিত গাইডগুলো দেখুন: Enterprise WiFi Security: A Complete Guide for 2026 এবং How to revoke WiFi access when an employee leaves

महत्वाच्या व्याख्या

SCEP (Simple Certificate Enrollment Protocol)

एक प्रोटोकॉल जो मानवी हस्तक्षेपाशिवाय मॅनेज्ड उपकरणांना डिजिटल सर्टिफिकेट्सची विनंती करणे आणि ती जारी करणे स्वयंचलित करतो.

नेटवर्क ऑथेंटिकेशनसाठी उपकरणांना सुरक्षितपणे युनिक आयडेंटिटी देण्यासाठी MDM प्लॅटफॉर्मद्वारे वापरले जाते.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

सर्वात सुरक्षित 802.1X ऑथेंटिकेशन पद्धत, ज्यामध्ये क्लायंट आणि RADIUS सर्व्हर दोघांनाही वैध डिजिटल सर्टिफिकेट्स सादर करणे आवश्यक असते.

टार्गेट ऑथेंटिकेशन प्रोटोकॉल ज्याला सपोर्ट करण्यासाठी SCEP सर्टिफिकेट्स प्रोव्हिजन केले जातात.

802.1X

पोर्ट-आधारित नेटवर्क अ‍ॅक्सेस कंट्रोलसाठीचा एक IEEE मानक जो LAN किंवा WLAN शी जोडले जाऊ इच्छिणाऱ्या उपकरणांना ऑथेंटिकेशन यंत्रणा प्रदान करतो.

अनधिकृत अ‍ॅक्सेसपासून एंटरप्राइझ नेटवर्क सुरक्षित ठेवणारी मुख्य फ्रेमवर्क.

RADIUS

एक नेटवर्किंग प्रोटोकॉल जो नेटवर्क सेवा कनेक्ट करणाऱ्या आणि वापरणाऱ्या युजर्ससाठी सेंट्रलाइज्ड ऑथेंटिकेशन, ऑथरायझेशन आणि अकाउंटिंग मॅनेजमेंट प्रदान करतो.

सर्व्हर घटक जो क्लायंट सर्टिफिकेट प्रमाणित करतो आणि उपकरणाने कोणत्या VLAN मध्ये सामील व्हावे हे ठरवतो.

CSR (Certificate Signing Request)

SSL/TLS सर्टिफिकेटसाठी अर्ज करताना सर्टिफिकेट ऑथॉरिटीला दिला जाणारा एन्कोडेड मजकुराचा ब्लॉक, ज्यामध्ये पब्लिक की आणि आयडेंटिटी माहिती असते.

SCEP एनरोलमेंट प्रक्रियेदरम्यान उपकरणावर स्थानिक पातळीवर जनरेट केले जाते.

NDES (Network Device Enrollment Service)

एक Microsoft Windows Server रोल जो ब्रिज म्हणून काम करतो आणि उपकरणांना SCEP द्वारे सर्टिफिकेट्स मिळवण्याची परवानगी देतो.

गेटवे जो उपकरणाकडून CSR प्राप्त करतो आणि तो अंतर्गत सर्टिफिकेट ऑथॉरिटीकडे पाठवतो.

CRL (Certificate Revocation List)

सर्टिफिकेट ऑथॉरिटीद्वारे प्रकाशित केलेली एक सूची ज्यामध्ये रद्द केलेल्या आणि यापुढे विश्वास ठेवू नये अशा सर्टिफिकेट्सचे सिरीयल नंबर्स असतात.

नोकरीवरून काढलेल्या कर्मचाऱ्याचे उपकरण कनेक्ट होणार नाही याची खात्री करण्यासाठी ऑथेंटिकेशन दरम्यान RADIUS सर्व्हरद्वारे तपासले जाते.

VLAN (Virtual Local Area Network)

एक लॉजिकल सबनेटवर्क जे वेगवेगळ्या फिजिकल LAN मधील उपकरणांच्या समूहाला एकत्र आणते.

SCEP सर्टिफिकेटमध्ये सादर केलेल्या आयडेंटिटीच्या आधारे नेटवर्क ट्रॅफिकचे डायनॅमिकली विभाजन करण्यासाठी RADIUS च्या संयोगाने वापरले जाते.

सोडवलेली उदाहरणे

एक ४०० खोल्यांच्या हॉटेलला १५० कर्मचारी उपकरणांसाठी (टॅब्लेट्स आणि लॅपटॉप) सुरक्षित ऑपरेशनल WiFi तैनात करायचे आहे, तसेच Guest WiFi नेटवर्कपासून पूर्णपणे वेगळे ठेवण्याची खात्री करायची आहे.

आयटी टीम त्यांच्या MDM सह समाकलित केलेले क्लाउड SCEP गेटवे कॉन्फिगर करते. ते 'Trusted Root' प्रोफाइल तैनात करतात, त्यानंतर 'Hotel Operations' डिव्हाइस ग्रुपला लक्ष्य करणारे SCEP प्रोफाइल तैनात करतात. त्यानंतर 'Staff-Secure' SSID साठी WiFi प्रोफाइल तैनात केले जाते, जे WPA3-Enterprise आणि EAP-TLS साठी कॉन्फिगर केलेले असते. RADIUS सर्व्हर या ऑथेंटिकेट केलेल्या उपकरणांना VLAN 40 मध्ये नियुक्त करण्यासाठी कॉन्फिगर केला जातो, ज्यामुळे ते Guest WiFi (VLAN 50) पासून पूर्णपणे वेगळे होतात.

परीक्षकाचे भाष्य: हा दृष्टिकोन कर्मचाऱ्यांनी पाहुण्यांसोबत PSK शेअर करण्याचा धोका दूर करतो. SCEP चा वापर करून, प्रायव्हेट कीज ऑपरेशनल उपकरणांवर सुरक्षित राहतात आणि डायनॅमिक VLAN असाइनमेंट अनेक SSIDs प्रसारित न करता योग्य नेटवर्कचे वर्गीकरण सुनिश्चित करते.

२५,००० विद्यार्थी आणि ३,००० कर्मचारी असलेल्या एका मोठ्या युनिव्हर्सिटी कॅम्पसला त्यांचे 'Edu-Secure' नेटवर्क सुरक्षित करायचे आहे. ते सध्या युझरनेम आणि पासवर्डसह PEAP वापरत आहेत, ज्यामुळे पासवर्ड एक्स्पायर झाल्यामुळे दरमहा ५०० हून अधिक हेल्पडेस्क तिकिटे तयार होतात.

युनिव्हर्सिटी Intune आणि SCEP वापरून कर्मचारी आणि प्राध्यापकांची उपकरणे EAP-TLS वर स्थलांतरित करते. ते कर्मचाऱ्यांच्या युझर ग्रुप्सवर प्रमाणपत्र प्रोफाइल्स कडक अनुक्रमाने (Root -> SCEP -> WiFi) तैनात करतात. अनमॅनेज्ड विद्यार्थ्यांच्या BYOD उपकरणांसाठी, ते एक वेगळे ऑनबोर्डिंग पोर्टल तैनात करतात जे तात्पुरती प्रमाणपत्रे प्रदान करते किंवा अखंड, सुरक्षित प्रवेशासाठी प्रोफाइल-आधारित ऑथेंटिकेशनसह Purple चे Guest WiFi प्लॅटफॉर्म वापरतात.

परीक्षकाचे भाष्य: मॅनेज्ड उपकरणांना SCEP/EAP-TLS वर स्थलांतरित केल्याने पासवर्ड-संबंधित तिकिटांची संख्या त्वरित कमी होते. हायब्रिड दृष्टिकोनातून हे मान्य केले जाते की SCEP साठी MDM नावनोंदणी आवश्यक आहे, ज्यामुळे अनमॅनेज्ड BYOD ट्रॅफिकला योग्य प्रकारे उद्देशपूर्वक तयार केलेल्या ऑनबोर्डिंग फ्लोकडे वळवले जाते.

सराव प्रश्न

Q1. तुमची टीम ५०० Windows लॅपटॉपच्या समूहावर नवीन SCEP प्रमाणपत्र प्रोफाइल तैनात (deploy) करत आहे. Trusted Root प्रोफाइल 'All Corporate Devices' ग्रुपवर तैनात केले गेले होते. SCEP प्रोफाइल 'All Corporate Users' ग्रुपवर तैनात केले गेले होते. लॅपटॉपवर WiFi प्रोफाइल 'Not Applicable' असे दिसत आहे. याचे मूळ कारण काय आहे?

टीप: Intune प्रोफाइल अवलंबित्व (dependency) नियम आणि ग्रुप टार्गेटिंगच्या आवश्यकतांचा विचार करा.

नमुना उत्तर पहा

याचे मूळ कारण ग्रुप टार्गेटिंगमधील विसंगती हे आहे. Intune साठी हे आवश्यक आहे की अवलंबून असलेली प्रोफाईल्स (Root, SCEP, WiFi) अगदी एकाच ग्रुप प्रकारावर तैनात केलेली असावीत. Root प्रोफाइल डिव्हाइसेसना टार्गेट करत असल्याने आणि SCEP प्रोफाइल युजर्सना टार्गेट करत असल्याने, अवलंबित्व साखळी (dependency chain) तुटते. तिन्ही प्रोफाईल्स एकतर एकाच Device ग्रुपला किंवा एकाच User ग्रुपला टार्गेट करणारी असणे आवश्यक आहे.

Q2. एका हॉटेल ऑपरेशन्स डायरेक्टरला EAP-TLS वापरून स्टाफ WiFi नेटवर्क सुरक्षित करायचे आहे. ते SCEP ऐवजी PKCS वापरण्याची शिफारस करतात कारण त्यासाठी NDES सर्व्हरची आवश्यकता नसते. नेटवर्क आर्किटेक्ट म्हणून, तुम्ही WiFi ऑथेंटिकेशनसाठी याच्या विरोधात का सल्ला दिला पाहिजे?

टीप: प्राइवेट की (private key) कोठे जनरेट होते आणि ती कशी प्रवास करते याचा विचार करा.

नमुना उत्तर पहा

तुम्ही WiFi ऑथेंटिकेशनसाठी PKCS च्या विरोधात सल्ला दिला पाहिजे कारण त्यासाठी CA द्वारे मध्यवर्ती पद्धतीने प्राइवेट की जनरेट करणे आणि नेटवर्कवरून डिव्हाइसवर पाठवणे आवश्यक असते. SCEP लक्षणीयरीत्या अधिक सुरक्षित आहे कारण डिव्हाइस स्थानिक पातळीवर (locally) प्राइवेट की जनरेट करते आणि ती एका सुरक्षित हार्डवेअर एन्क्लेव्हमध्ये स्टोअर करते; प्राइवेट की कधीही डिव्हाइस सोडत नाही.

Q3. नेटवर्क ऑडिट दरम्यान, तुम्हाला आढळले की RADIUS सर्व्हर CRL (Certificate Revocation List) चेकिंग त्रुटींकडे दुर्लक्ष करण्यासाठी कॉन्फिगर केला आहे. जेव्हा एखादा कर्मचारी कामावरून काढला जातो तेव्हा यामुळे नेमका कोणता सुरक्षा धोका निर्माण होतो?

टीप: जर MDM ने डिव्हाइस अन-एनरोल केले परंतु RADIUS सर्व्हर रिव्होकेशन (रद्दीकरण) स्थिती तपासू शकला नाही, तर प्रमाणपत्राच्या वैधतेचे काय होते याचा विचार करा.

नमुना उत्तर पहा

जर CRL चेकिंगकडे दुर्लक्ष केले गेले किंवा ते अयशस्वी झाले, तर ज्या कर्मचाऱ्याला कामावरून काढले आहे आणि ज्याचे डिव्हाइस अन-एनरोल केले गेले आहे (आणि CA द्वारे प्रमाणपत्र रद्द केले गेले आहे), तो कर्मचारी तरीही WiFi नेटवर्कशी कनेक्ट होऊ शकतो. RADIUS सर्व्हरला एक तांत्रिकदृष्ट्या वैध प्रमाणपत्र दिसेल आणि CRL न तपासता तो प्रवेश मंजूर करेल, ज्यामुळे एक गंभीर सुरक्षा त्रुटी निर्माण होईल.

या मालिकेमध्ये पुढे वाचा

कर्मचारी आणि अतिथी WiFi नेटवर्क सुरक्षितपणे कसे वेगळे करावे

हे अधिकृत तांत्रिक मार्गदर्शक IT नेत्यांना VLAN आणि 802.1X चा वापर करून कर्मचारी, अतिथी आणि IoT WiFi नेटवर्क्स सुरक्षितपणे वेगळे करण्यासाठी कृतीयोग्य रणनीती प्रदान करते. हे एंटरप्राइझ इन्फ्रास्ट्रक्चर सुरक्षित कसे करावे, PCI DSS अनुपालन कसे राखायचे आणि फर्स्ट-पार्टी डेटा कॅप्चर करण्यासाठी कॅप्टिव्ह पोर्टलचा कसा फायदा घ्यावा याचे तपशील प्रदान करते.

मार्गदर्शिका वाचा →

सर्वोत्तम DNS filtering: व्यवसायांसाठी एक व्यापक मार्गदर्शक

हे तांत्रिक संदर्भ मार्गदर्शक स्पष्ट करते की कशा प्रकारे एंटरप्राइझ DNS filtering हे कनेक्शन स्थापित होण्यापूर्वीच - रिझोल्यूशन लेयरवर दुर्भावनापूर्ण डोमेन्स ब्लॉक करून सार्वजनिक नेटवर्क सुरक्षित करते. हे IT संचालक, नेटवर्क आर्किटेक्ट आणि वेन्यू ऑपरेशन्स टीम्सना डेव्हलपमेंट आर्किटेक्चर, फायरवॉल कॉन्फिगरेशन आणि अनुपालन संदर्भ प्रदान करते जे त्यांना हॉस्पिटॅलिटी, रिटेल आणि सार्वजनिक क्षेत्रातील वातावरणात Guest WiFi सुरक्षित करण्यासाठी आवश्यक आहे. Purple Shield हे ८०,००० पेक्षा जास्त थेट वेन्यूवर DNS स्तरावर मालवेअर, बॉटनेट्स आणि अयोग्य कंटेंट ब्लॉक करते.

मार्गदर्शिका वाचा →

Cisco SUDI समजून घेणे: Secure Network Access Control मधील Hardware-Anchored Identity

हे मार्गदर्शक स्पष्ट करते की Cisco SUDI कशा प्रकारे एंटरप्राइझ नेटवर्क इन्फ्रास्ट्रक्चरसाठी hardware-anchored, गुपित-सुरक्षित (cryptographically secure) ओळख प्रदान करते. तुमच्या वेन्यूच्या नेटवर्क ॲक्सेस कंट्रोल सुरक्षित करण्यासाठी स्पूफ करता येण्याजोग्या MAC ॲड्रेसेस ऐवजी अपरिवर्तनीय 802.1AR सर्टिफिकेट्स वापरण्याची पद्धत जाणून घ्या.

मार्गदर्शिका वाचा →