स्वयंचलित Enterprise WiFi प्रमाणपत्र नावनोंदणीसाठी SCEP कसे कॉन्फिगर करावे
हे मार्गदर्शक स्वयंचलित enterprise WiFi प्रमाणपत्र नावनोंदणीसाठी SCEP (Simple Certificate Enrollment Protocol) कसे कॉन्फिगर करावे हे स्पष्ट करते, ज्यामध्ये PKI आणि NDES पासून ते MDM प्रोफाइल उपयोजन आणि RADIUS प्रमाणीकरणापर्यंतच्या संपूर्ण आर्किटेक्चरचा समावेश आहे. हे हॉटेल्स, रिटेल चेन्स, स्टेडियम, कॉन्फरन्स सेंटर्स आणि सार्वजनिक क्षेत्रातील संस्थांमधील आयटी व्यवस्थापक, नेटवर्क आर्किटेक्ट्स आणि CTOs ना उद्देशून आहे ज्यांना प्री-शेअर्ड कीजच्या पलीकडे जाऊन स्केलेबल, ओळख-आधारित 802.1X EAP-TLS प्रमाणीकरण लागू करायचे आहे. Purple चे हार्डवेअर-अज्ञेयवादी, क्लाउड ओव्हरले प्लॅटफॉर्म थेट या आर्किटेक्चरसह समाकलित होते, जे तुमच्या प्रमाणपत्र-प्रमाणित कर्मचारी नेटवर्कसह गेस्ट आणि BYOD WiFi स्तर प्रदान करते.
हे मार्गदर्शक ऐका
पॉडकास्ट ट्रान्सक्रिप्ट पहा
Resumo executivo
Para espaços empresariais - quer se trate de um hotel de 200 quartos, de uma cadeia de retalho com 50 localizações ou de um grande centro de conferências - depender de chaves pré-partilhadas para o WiFi dos funcionários é um risco de segurança e um estrangulamento operacional. Uma única palavra-passe divulgada expõe toda a rede. A autenticação baseada em certificados via IEEE 802.1X e EAP-TLS (Extensible Authentication Protocol - Transport Layer Security) elimina totalmente esse risco. Cada dispositivo prova a sua identidade de forma criptográfica antes de o ponto de acesso lhe conceder acesso à rede.
O desafio reside na distribuição. Implementar manualmente certificados de cliente exclusivos em milhares de dispositivos Windows, iOS e Android não é viável. O SCEP (Simple Certificate Enrollment Protocol), formalizado como RFC 8894 pela IETF em 2020, resolve este problema. Automatiza o processo de solicitação, emissão e instalação de certificados digitais em dispositivos geridos através da sua plataforma MDM - sem qualquer interação do utilizador.
Este guia abrange toda a arquitetura: o que o SCEP faz, como se integra com o Microsoft Intune, Jamf e outras plataformas MDM, a sequência exata de implementação que a maioria das equipas erra e as armadilhas operacionais que causam interrupções de serviço. Também abordamos dois cenários reais de implementação em hotelaria e retalho, e explicamos onde a plataforma de Guest WiFi da Purple se enquadra ao lado da sua rede de funcionários autenticada por certificado.
Ouça o podcast informativo complementar:
Análise técnica detalhada: SCEP, PKI e 802.1X
O que o SCEP realmente faz
O SCEP não substitui a sua Public Key Infrastructure (PKI). É a camada de registo automatizada que se posiciona sobre ela. A sua PKI - normalmente uma hierarquia de dois níveis com uma CA raiz offline e uma CA emissora online - continua a ser a âncora de confiança. O SCEP automatiza a etapa em que um dispositivo solicita um certificado a essa CA, eliminando a necessidade de geração manual de CSR e instalação de certificados.
No contexto da autenticação WiFi, o protocolo de destino é o EAP-TLS. Este é o método de autenticação 802.1X que exige que tanto o dispositivo cliente como o servidor RADIUS apresentem certificados X.509 válidos. Nenhuma das partes confia na outra sem prova criptográfica. Esse modelo de autenticação mútua elimina o roubo de credenciais e protege contra ataques de "evil twin", em que um atacante cria um ponto de acesso falso para recolher nomes de utilizador e palavras-passe.
Para uma análise detalhada do handshake EAP-TLS, consulte o nosso guia sobre WiFi Certificate Authentication: Secure Network Access .
O fluxo de registo SCEP, passo a passo
A cadeia de registo completa funciona da seguinte forma. A sua plataforma MDM - Microsoft Intune, Jamf ou outro MDM - envia um payload SCEP para um dispositivo gerido. Esse payload contém duas coisas: o URL do SCEP que aponta para o seu servidor NDES (Network Device Enrollment Service) ou gateway SCEP na nuvem, e uma palavra-passe de desafio ou segredo partilhado.
O dispositivo gera o seu próprio par de chaves pública e privada localmente. Esta é a propriedade de segurança crítica do SCEP: a chave privada é gerada no dispositivo, armazenada no enclave seguro ou chip TPM, e nunca é transmitida pela rede. O dispositivo cria então um Certificate Signing Request (CSR) e envia-o para o gateway SCEP. O gateway valida a palavra-passe de desafio, encaminha o CSR para a sua Autoridade de Certificação (CA), e a CA assina-o e devolve o certificado público ao dispositivo.
A partir desse momento, quando o dispositivo se liga ao seu SSID de WiFi, apresenta esse certificado ao servidor RADIUS. O servidor RADIUS valida o certificado em relação à sua cadeia de confiança da CA, verifica a Lista de Revogação de Certificados (CRL) para confirmar que o certificado não foi revogado e, se tudo estiver correto, envia uma mensagem Access-Accept para o ponto de acesso. O dispositivo está na rede. Todo o processo é invisível para o utilizador.
SCEP vs. PKCS: qual utilizar para WiFi
As plataformas MDM como o Intune suportam dois mecanismos de entrega de certificados: SCEP e PKCS (Public Key Cryptography Standards). A diferença arquitetónica é significativa.
Com o SCEP, a chave privada é gerada no dispositivo e nunca sai dele. Com o PKCS, a Autoridade de Certificação gera a chave pública e a privada centralmente, e o conector de certificados envia o par de chaves para o dispositivo através da rede. Isso significa que a chave privada é transmitida, o que introduz uma superfície de ataque teórica.
O PKCS é adequado para casos de utilização em que a custódia de chaves é necessária, como a encriptação de e-mail S/MIME. Para a autenticação WiFi, o SCEP é a escolha correta. A chave privada permanece no dispositivo.
| Propriedade | SCEP | PKCS |
|---|---|---|
| Geração de chave privada | No dispositivo (TPM/Secure Enclave) | Centralizada (CA) |
| Transmissão de chave privada | Nunca | Através da rede |
| Servidor NDES necessário | Sim (ou gateway na nuvem) | Não |
| Recomendado para WiFi | Sim | Não |
| Recomendado para S/MIME | Não | Sim |
Compatibilidade de hardware
O SCEP e o EAP-TLS são normas independentes de fornecedor. Funcionam em pontos de acesso Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. A sua configuração RADIUS - quer seja Windows NPS, FreeRADIUS ou um serviço RADIUS na nuvem - é onde define a política de validação de certificados e a atribuição dinâmica de VLAN.
A atribuição dinâmica de VLAN é a forma como segmenta a rede através da identidade do dispositivo. Um dispositivo de um funcionário recebe a VLAN 10 com acesso a sistemas internos. O dispositivo de um prestador de serviços recebe a VLAN 20 apenas com acesso à internet. Um terminal de ponto de venda recebe a VLAN 30 apenas com acesso a sistemas de processamento de pagamentos. Tudo isto é gerido por atributos de certificado e pela política RADIUS, sem qualquer intervenção manual por dispositivo.
Para saber mais sobre como o WiFi Analytics se integra com a segmentação de rede baseada em identidade, consulte a nossa visão geral da plataforma de analytics.
Guia de implementação: a sequência de implementação
A configuração bem-sucedida do SCEP para WiFi empresarial exige a adesão estrita a uma sequência de implementação específica. As plataformas MDM impõem dependências de perfil: um perfil de WiFi que faça referência a um certificado SCEP não pode ser aplicado até que esse certificado exista no dispositivo. A violação desta sequência é a causa mais comum de falhas na implementação.
A sequência é: primeiro a Raiz de Confiança (Trusted Root), segundo o perfil SCEP, terceiro o perfil WiFi. Esta ordem não é negociável.
Passo 1: implementar o perfil de Certificado de Raiz de Confiança (Trusted Root)
Antes de qualquer dispositivo poder solicitar um certificado de cliente ou confiar no seu servidor RADIUS, deve confiar na Autoridade de Certificação (CA) emissora. Exporte o seu certificado de CA Raiz - e quaisquer certificados de CA Intermédia - como ficheiros .cer. No seu centro de administração MDM, crie um perfil de Certificado de Confiança, carregue o ficheiro .cer e implemente-o no seu grupo de dispositivos de destino.
Se tiver uma hierarquia PKI de dois níveis (recomendado), precisa de implementar tanto o certificado da CA raiz como o da CA emissora como perfis de Certificado de Confiança separados, ou como uma cadeia num único perfil, dependendo da sua plataforma MDM.
Passo 2: configurar o perfil de Certificado SCEP
Assim que a confiança estiver estabelecida, configure o perfil SCEP para instruir os dispositivos sobre como obter o seu certificado de cliente.
Crie um novo perfil de configuração e selecione o tipo de perfil de certificado SCEP. Configure o formato do Nome do Requerente (Subject name). Para autenticação baseada no utilizador, CN={{UserPrincipalName}} é o padrão. Para autenticação de dispositivos (dispositivos partilhados, IoT, terminais POS), utilize CN={{AAD_Device_ID}}. Defina a Utilização da chave (Key usage) para Assinatura digital e Cifragem de chave. Defina a Utilização de Chave Alargada (Extended Key Usage) para Autenticação de Cliente (OID: 1.3.6.1.5.5.7.3.2). Associe este perfil ao perfil de certificado de Raiz de Confiança criado no Passo 1. Forneça o URL externo do seu servidor NDES.Para o Microsoft Intune especificamente, o servidor NDES deve ser publicado através do Azure AD Application Proxy para permitir que os dispositivos remotos se registem antes de chegarem ao local. Não exponha o NDES diretamente à internet.
Passo 3: implementar o perfil de WiFi 802.1X
O passo final é enviar a configuração de WiFi que associa os certificados ao SSID da rede. Crie um perfil de configuração de Wi-Fi. Introduza o Nome da rede (SSID) exatamente como é transmitido pelos seus pontos de acesso. Selecione WPA2-Enterprise ou WPA3-Enterprise como o tipo de segurança. Defina o tipo de EAP para EAP-TLS. Nas definições de autenticação, selecione o perfil de certificado SCEP criado no Passo 2 como o certificado de autenticação do cliente. Especifique o certificado Trusted Root para validação do servidor - isto garante que o dispositivo apenas se liga ao seu servidor RADIUS legítimo e não a um ponto de acesso não autorizado.
Integração do fornecedor de identidade
Os atributos do certificado SCEP - especificamente o Subject Alternative Name (SAN) - podem conter o nome principal do utilizador do Microsoft Entra ID, Okta ou Google Workspace. Isto associa o certificado a uma identidade específica. Quando desativa uma conta no Entra ID e o MDM remove o registo do dispositivo, o certificado é revogado e o acesso ao WiFi é cortado automaticamente. Essa revogação automatizada é a história de segurança que as chaves pré-partilhadas não conseguem igualar.
Para saber mais sobre EAP Method WiFi: A Guide to Secure Network Access , incluindo caminhos de migração PEAP-MSCHAPv2, consulte o nosso guia dedicado.
Boas práticas e padrões da indústria
Posicionamento do servidor NDES
O servidor NDES deve estar acessível a partir da internet para que os dispositivos se possam registar antes de chegarem ao local. Publique o URL do NDES através do Azure AD Application Proxy. Isto fornece um acesso remoto seguro sem abrir portas de firewall de entrada e permite-lhe aplicar políticas de Acesso Condicional ao fluxo de registo. Nunca exponha o NDES diretamente à internet.
Para redes com mais de 500 dispositivos geridos, considere um gateway SCEP na nuvem em vez de um NDES local. Os gateways na nuvem eliminam o ponto único de falha do NDES, escalam horizontalmente e, normalmente, integram-se diretamente com serviços RADIUS na nuvem.
Disponibilidade da CRL
O seu servidor RADIUS verifica a Lista de Revogação de Certificados (CRL) sempre que um dispositivo se autentica. Se o seu Ponto de Distribuição de CRL (CDP) estiver indisponível - porque um servidor está em baixo ou o URL mudou - a autenticação falha para todos os dispositivos na rede em simultâneo. Configure o seu servidor NPS ou RADIUS para impor uma verificação rigorosa da CRL e torne os seus endpoints de CRL altamente disponíveis. Teste a revogação antes de entrar em produção.
O Requisito 8.6 do PCI DSS 4.0 exige autenticação multifator na camada de rede para ambientes de dados de titulares de cartões. O EAP-TLS com certificados provisionados por SCEP satisfaz este requisito para redes sem fios em ambientes de Retail e Hospitality .
Compatibilidade com WPA3
O EAP-TLS é totalmente compatível com o WPA3-Enterprise. O WPA3-Enterprise com a suite de segurança de 192 bits (Suite B) exige o EAP-TLS e é a combinação recomendada pela Wi-Fi Alliance para redes governamentais, financeiras e de saúde. Se está a implementar em ambientes de Saúde ou Transportes com requisitos de conformidade rigorosos, o WPA3-Enterprise com EAP-TLS é a arquitetura-alvo correta.
BYOD e WiFi de convidados
O SCEP requer a inscrição no MDM para enviar o payload do certificado. Não abrange dispositivos BYOD não geridos ou convidados. Para esses casos de utilização, necessita de um SSID separado com um Captive Portal e verificação de identidade. A plataforma da Purple lida com essa camada de forma limpa, coexistindo com a sua rede de funcionários autenticada por certificado. A nossa plataforma de Guest WiFi suporta opt-ins de escolha consciente, captura de dados primários (first-party) e integração com o Microsoft Entra ID, Okta e Google Workspace para verificação de identidade.
Resolução de problemas e mitigação de riscos
Falha na aplicação do perfil de WiFi
Sintoma: O dispositivo recebe os certificados Trusted Root e SCEP, mas o perfil de WiFi é apresentado como Erro ou Não Aplicável no MDM.
Causa raiz: Incompatibilidade de segmentação de grupo. Se o perfil SCEP se destinar a um grupo de Utilizadores e o perfil de WiFi se destinar a um grupo de Dispositivos, o MDM não consegue resolver a dependência.
Solução: Audite as suas atribuições. Certifique-se de que os perfis Trusted Root, SCEP e WiFi se destinam todos exatamente ao mesmo grupo de diretório.
Erros NDES 403 Forbidden
Sintoma: Os dispositivos não conseguem obter o certificado SCEP. Os registos do IIS do NDES mostram erros HTTP 403.
Causa raiz: A conta de serviço do MDM Certificate Connector não tem permissões de Leitura e Inscrição (Read and Enroll) no modelo de certificado, ou a filtragem de URLs da firewall está a bloquear os parâmetros de query string do SCEP.
Solução: Verifique se a conta do conector tem permissões de Leitura e Inscrição no modelo da CA. Verifique os registos da firewall para garantir que os URLs que contêm ?operation=GetCACaps não estão bloqueados.
Falha de autenticação em massa após expiração da CRL
Sintoma: Todos os dispositivos na rede falham a autenticação em simultâneo.
Causa raiz: A CRL expirou ou o URL do CDP está inacessível. O servidor RADIUS não consegue confirmar se os certificados são válidos e falha por omissão (fails closed).
Solução: Configure a monitorização e alertas de CRL. Publique as CRLs com um período de validade significativamente superior ao intervalo de publicação. Teste a acessibilidade do CDP a partir do servidor RADIUS antes do lançamento.
Expiração de certificado a causar falhas silenciosas
Sintoma: Dispositivos individuais falham a ligação de forma intermitente, sem um padrão claro.
Causa raiz: Os certificados de cliente expiraram e o MDM não os renovou com sucesso.
Solução: Configure a renovação do certificado para ser acionada a 80% do tempo de vida do certificado. Monitorize os relatórios de estado de inscrição do MDM para dispositivos com erros de certificado. Defina períodos de validade de certificado adequados ao ciclo de atualização dos seus dispositivos - normalmente um a dois anos para endpoints geridos.
ROI e impacto empresarial
A transição para a autenticação por certificado 802.1X baseada em SCEP proporciona retornos mensuráveis em termos de segurança, operações e conformidade.
Redução de pedidos de suporte: O WiFi baseado em palavra-passe gera um volume significativo de pedidos de suporte - expiração de palavras-passe, bloqueios e erros de digitação. A autenticação baseada em certificado é invisível para o utilizador. As organizações registam tipicamente uma redução de 70-80% no volume de suporte relacionado com WiFi após a migração.
Postura de segurança: O EAP-TLS elimina a recolha de credenciais e os ataques Man-in-the-Middle. Isto apoia diretamente a conformidade com a norma PCI DSS 4.0 para redes de retalho e hotelaria, bem como os requisitos do Artigo 32.º do GDPR para medidas técnicas de segurança adequadas.
Revogação automatizada: Quando um colaborador sai da empresa, a desativação da sua conta no Microsoft Entra ID aciona a revogação automática do certificado e a desassociação do MDM. O acesso ao WiFi é cortado sem qualquer intervenção manual por parte da equipa de rede.
Segmentação de rede: A atribuição dinâmica de VLAN através de atributos de certificado RADIUS oferece-lhe uma segmentação de rede aplicada de forma criptográfica. Os dispositivos entram no segmento de rede correto com base nas propriedades do certificado, e não na seleção de SSID ou na filtragem de endereços MAC - ambas facilmente contornáveis.
A Purple opera em mais de 80.000 locais ativos com 99,999% de tempo de atividade, e a nossa plataforma possui as certificações ISO 27001, GDPR, CCPA e Cyber Essentials. A nossa sobreposição de nuvem agnóstica em termos de hardware integra-se com Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet - para que a sua rede de colaboradores autenticada por certificado e a nossa camada de WiFi de convidados funcionem a partir da mesma infraestrutura.
Para saber mais sobre como a análise comportamental ( Behavioral Analytics: Insights for WiFi Networks ) pode complementar a sua implementação de rede segura, consulte o nosso guia de análise.
Referências
[1] RFC 8894: Simple Certificate Enrollment Protocol - IETF [2] Configure infrastructure to support SCEP with Intune - Microsoft Learn [3] PCI DSS Wireless Guidelines - PCI Security Standards Council
महत्वाच्या व्याख्या
SCEP (Simple Certificate Enrollment Protocol)
RFC 8894 मध्ये औपचारिक केलेला एक प्रोटोकॉल जो व्यवस्थापित उपकरणांना HTTP द्वारे सर्टिफिकेट ऑथॉरिटीकडून स्वयंचलितपणे X.509 डिजिटल प्रमाणपत्रांची विनंती करण्यास आणि प्राप्त करण्यास अनुमती देतो, ज्यासाठी सुरुवातीच्या ऑथेंटिकेशनसाठी सामायिक चॅलेंज पासवर्ड वापरला जातो. प्रायव्हेट की डिव्हाइसवरच तयार केली जाते आणि ती कधीही ट्रान्समिट केली जात नाही.
Microsoft Intune आणि Jamf सारख्या MDM प्लॅटफॉर्मद्वारे व्यवस्थापित एंडपॉइंट्सवर मोठ्या प्रमाणावर WiFi ऑथेंटिकेशन प्रमाणपत्रे तैनात करण्यासाठी वापरली जाणारी मानक प्रणाली.
EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)
सर्वात सुरक्षित 802.1X ऑथेंटिकेशन पद्धत, ज्यामध्ये क्लायंट डिव्हाइस आणि RADIUS सर्व्हर दोघांनाही वैध X.509 प्रमाणपत्रे सादर करणे आवश्यक असते. परस्पर ऑथेंटिकेशनचा अर्थ असा आहे की कोणतीही बाजू क्रिप्टोग्राफिक पुराव्याशिवाय दुसऱ्या बाजूवर विश्वास ठेवत नाही.
एंटरप्राइझ WiFi साठी लक्ष्य ऑथेंटिकेशन प्रोटोकॉल. संवेदनशील डेटा हाताळणाऱ्या वायरलेस नेटवर्कसाठी PCI DSS 4.0, WPA3-Enterprise 192-bit (Suite B), आणि HIPAA द्वारे अनिवार्य किंवा अत्यंत शिफारस केलेले.
NDES (Network Device Enrollment Service)
एक Microsoft Windows Server भूमिका जी SCEP-सक्षम डिव्हाइसेस आणि सर्टिफिकेट ऑथॉरिटी दरम्यान रजिस्ट्रेशन ऑथॉरिटी (RA) म्हणून काम करते. हे चॅलेंज पासवर्ड प्रमाणित करते आणि डोमेन क्रेडेंशियल नसलेल्या उपकरणांच्या वतीने सर्टिफिकेट ऑथॉरिटीकडे CSR फॉरवर्ड करते.
Microsoft Intune सह SCEP तैनातीसाठी आवश्यक पायाभूत सुविधा. थेट इंटरनेटवर उघड करण्याऐवजी Azure AD Application Proxy द्वारे प्रकाशित केले जावे.
PKI (Public Key Infrastructure)
डिजिटल प्रमाणपत्रे जारी करण्यासाठी, व्यवस्थापित करण्यासाठी आणि रद्द करण्यासाठी वापरल्या जाणाऱ्या सर्टिफिकेट ऑथॉरिटीज, पॉलिसी आणि प्रक्रियांची श्रेणीबद्ध रचना. द्वि-स्तरीय PKI मध्ये ऑफलाइन रूट CA (मुख्य विश्वास अँकर) आणि ऑनलाइन जारी करणारे CA (जे दैनंदिन प्रमाणपत्र जारी करण्याचे काम हाताळते) यांचा समावेश होतो.
EAP-TLS आणि SCEP तैनातीसाठी आवश्यक असलेली पूर्वअट. रूट CA एअर-गॅप्ड (सुरक्षितपणे वेगळे) ठेवले पाहिजे; त्याची प्रायव्हेट की तुमच्या संपूर्ण प्रमाणपत्र विश्वास साखळीचा पाया आहे.
CSR (Certificate Signing Request)
डिव्हाइसद्वारे तयार केलेला एक संदेश ज्यामध्ये त्याची पब्लिक की आणि ओळख माहिती असते, जी स्वाक्षरी केलेले डिजिटल प्रमाणपत्र मिळवण्यासाठी सर्टिफिकेट ऑथॉरिटीकडे पाठवली जाते. SCEP मध्ये, CSR डिव्हाइसवरच तयार केला जातो आणि ट्रान्समिशनपूर्वी PKCS एन्वेलोपमध्ये गुंडाळला जातो.
SCEP नोंदणी प्रक्रियेदरम्यान डिव्हाइसद्वारे स्वयंचलितपणे तयार केले जाते. CSR वर स्वाक्षरी करण्यासाठी वापरली जाणारी प्रायव्हेट की डिव्हाइस कधीही सोडत नाही.
CRL (Certificate Revocation List)
सर्टिफिकेट ऑथॉरिटीद्वारे प्रकाशित केलेली एक सूची ज्यामध्ये अशा प्रमाणपत्रांचे अनुक्रमांक असतात जे त्यांच्या समाप्ती तारखेपूर्वी रद्द केले गेले आहेत. रद्द केलेली प्रमाणपत्रे नेटवर्कमध्ये प्रवेश करू शकत नाहीत याची खात्री करण्यासाठी RADIUS सर्व्हर प्रत्येक ऑथेंटिकेशनच्या प्रयत्नावर CRL तपासतात.
CRL डिस्ट्रिब्युशन पॉईंट (CDP) ची उपलब्धता अत्यंत महत्त्वाची आहे. जर RADIUS सर्व्हर CRL पर्यंत पोहोचू शकला नाही, तर तो बंद पडतो आणि सर्व ऑथेंटिकेशन नाकारतो - ज्यामुळे संपूर्ण नेटवर्क ठप्प होऊ शकते.
RADIUS (Remote Authentication Dial-In User Service)
एक नेटवर्किंग प्रोटोकॉल जो नेटवर्क प्रवेशासाठी केंद्रीकृत ऑथेंटिकेशन, ऑथरायझेशन आणि अकाउंटिंग (AAA) प्रदान करतो. 802.1X WiFi मध्ये, RADIUS सर्व्हर क्लायंट प्रमाणपत्रांची पडताळणी करतो, CRL तपासतो आणि ॲक्सेस पॉईंटला ॲक्सेस-स्वीकार किंवा ॲक्सेस-अस्वीकार संदेश पाठवतो.
802.1X सप्लिकंट-ऑथेंटिकेटर-सर्व्हर मॉडेलमधील ऑथेंटिकेशन सर्व्हर. सामान्य अंमलबजावणीमध्ये Windows NPS, FreeRADIUS आणि क्लाउड RADIUS सेवांचा समावेश होतो.
Dynamic VLAN assignment
एक RADIUS वैशिष्ट्य जे SSID निवड किंवा MAC ॲड्रेस फिल्टरिंगवर अवलंबून राहण्याऐवजी प्रमाणपत्र गुणधर्म किंवा डिरेक्टरी गट सदस्यत्वाच्या आधारे ऑथेंटिकेट केलेल्या डिव्हाइसला विशिष्ट VLAN वर ठेवते. डिव्हाइसच्या ओळखीद्वारे नेटवर्कचे विभाजन लागू करते.
विविध नेटवर्क प्रवेश स्तरांसह एकाधिक डिव्हाइस प्रकारांना सेवा देण्यासाठी एकाच SSID ला सक्षम करते. कर्मचारी डिव्हाइसला VLAN 10 (अंतर्गत प्रवेश) मिळतो; कंत्राटदार डिव्हाइसला VLAN 20 (केवळ इंटरनेट) मिळतो; POS टर्मिनलला VLAN 30 (केवळ पेमेंट सिस्टम) मिळतो.
MDM (Mobile Device Management)
स्मार्टफोन, टॅब्लेट आणि लॅपटॉपची नोंदणी, कॉन्फिगरेशन, सुरक्षितता आणि व्यवस्थापन करण्यासाठी IT टीम्सद्वारे वापरले जाणारे सॉफ्टवेअर. Microsoft Intune आणि Jamf सारखे MDM प्लॅटफॉर्म वापरकर्त्याच्या हस्तक्षेपाशिवाय व्यवस्थापित उपकरणांवर प्रमाणपत्र नोंदणी सूचना पाठवण्यासाठी SCEP प्रोफाइल वापरतात.
SCEP-आधारित प्रमाणपत्र तैनातीसाठी पूर्वअट. डिव्हाइसेसना SCEP आणि WiFi प्रोफाइल प्राप्त होण्यापूर्वी ते MDM-नोंदणीकृत असणे आवश्यक आहे. अव्यवस्थित BYOD उपकरणांसाठी स्वतंत्र ऑनबोर्डिंग दृष्टिकोन आवश्यक आहे.
सोडवलेली उदाहरणे
२०० खोल्यांच्या एका Premier Inn प्रॉपर्टीला त्यांच्या पॉईंट-ऑफ-सेल टॅब्लेट्स आणि हाउसकीपिंग स्मार्टफोन्ससाठी स्टाफ WiFi सुरक्षित करायचे आहे. ते सध्या एक प्री-शेअर्ड की वापरत आहेत जी कंत्राटदारांकडे लीक झाली आहे. ते Microsoft Intune द्वारे डिव्हाइसेस व्यवस्थापित करतात आणि त्यांच्याकडे iOS आणि Android डिव्हाइसेसचे मिश्रण आहे. ही प्रॉपर्टी HPE Aruba ॲक्सेस पॉईंट्स वापरते.
१. अंतर्गत Microsoft AD CS टू-टियर PKI तैनात करा. समर्पित Windows Server वर NDES कॉन्फिगर करा आणि Azure AD Application Proxy द्वारे ते प्रकाशित करा. २. Intune मध्ये, Root CA आणि Issuing CA प्रमाणपत्रे असलेले Trusted Root Certificate प्रोफाइल तयार करा. 'Property Staff Devices' या Azure AD ग्रुपवर ते तैनात करा. ३. Intune मध्ये NDES च्या बाह्य URL कडे निर्देशित करणारे SCEP Certificate प्रोफाइल तयार करा. हे शेअर्ड डिव्हाइसेस असल्याने Subject Name फॉरमॅट CN={{AAD_Device_ID}} वर सेट करा. Key Usage हे Digital Signature आणि Key Encipherment वर, तर Extended Key Usage हे Client Authentication वर सेट करा. 'Property Staff Devices' वर तैनात करा. ४. स्टाफ SSID साठी Wi-Fi प्रोफाइल तयार करा, ज्यामध्ये WPA2-Enterprise आणि EAP-TLS कॉन्फिगर करा. क्लायंट ऑथेंटिकेशनसाठी SCEP प्रोफाइल आणि सर्व्हर व्हॅलिडेशनसाठी Root CA निवडा. 'Property Staff Devices' वर तैनात करा. ५. Windows NPS कडे निर्देशित करण्यासाठी HPE Aruba RADIUS सेटिंग्ज कॉन्फिगर करा. NPS वर, EAP-TLS ची आवश्यकता असणारी आणि स्टाफ डिव्हाइसेससाठी VLAN 10 नियुक्त करणारी Network Policy कॉन्फिगर करा. ६. एकदा डिव्हाइसेसना प्रोफाइल मिळाले आणि ते यशस्वीरित्या कनेक्ट झाले की, जुन्या SSID वरील PSK बदला आणि ते बंद करण्याचे शेड्यूल करा.
५० ठिकाणे असलेल्या एका रिटेल चेनला सर्व साइट्सवरील कॉर्पोरेट लॅपटॉप्ससाठी 802.1X तैनात करायचे आहे. ते Cisco Meraki ॲक्सेस पॉईंट्स आणि Microsoft Intune वापरतात. त्यांना प्रत्येक ठिकाणी किंवा त्यांच्या डेटा सेंटरमध्ये ऑन-प्रिमाइसेस NDES सर्व्हर्स किंवा AD CS इन्फ्रास्ट्रक्चर तैनात आणि व्यवस्थापित करायचे नाही.
१. क्लाउड-बेस्ड PKI आणि SCEP गेटवे सर्व्हिस लागू करा जी SCEP प्रोटोकॉलद्वारे Intune सोबत इंटिग्रेट होते. क्लाउड CA प्रमाणपत्रे जारी करते; क्लाउड SCEP गेटवे CSR व्हॅलिडेशन हाताळतो. २. कॉर्पोरेट SSID साठी Cisco Meraki डॅशबोर्डमध्ये Wireless > Access Control अंतर्गत क्लाउड RADIUS सर्व्हिस (PKI व्हेंडरद्वारे प्रदान केलेली) कॉन्फिगर करा. सिक्युरिटी WPA2-Enterprise वर सेट करा आणि RADIUS ला क्लाउड सर्व्हिसकडे निर्देशित करा. ३. Intune मध्ये, क्लाउड CA रूट प्रमाणपत्र असलेले Trusted Root Certificate प्रोफाइल तयार करा. 'Corporate Laptops' डिव्हाइस ग्रुपवर तैनात करा. ४. क्लाउड SCEP गेटवे URL कडे निर्देशित करणारे SCEP Certificate प्रोफाइल तयार करा. युझर-बेस्ड ऑथेंटिकेशनसाठी Subject Name हे CN={{UserPrincipalName}} वर सेट करा. 'Corporate Laptops' वर तैनात करा. ५. SCEP प्रोफाइल आणि क्लाउड CA रूटचा संदर्भ देऊन कॉर्पोरेट SSID साठी EAP-TLS सह Wi-Fi प्रोफाइल तयार करा. 'Corporate Laptops' वर तैनात करा. ६. जेव्हा लॅपटॉप्स Intune मध्ये एनरोल होतील, तेव्हा ते क्लाउड SCEP गेटवेद्वारे क्लाउड CA कडून आपोआप प्रमाणपत्रांची विनंती करतील. ५० पैकी कोणत्याही ठिकाणी ऑन-प्रिमाइसेस इन्फ्रास्ट्रक्चरची आवश्यकता नाही.
सराव प्रश्न
Q1. तुमची संस्था PEAP-MSCHAPv2 वरून EAP-TLS वर स्थलांतरित होत आहे. तुम्ही Intune मधील तुमच्या 'Corporate Users' Azure AD ग्रुपमध्ये Trusted Root आणि SCEP प्रोफाइल यशस्वीरित्या तैनात केले आहेत. तुम्ही 'All Corporate Devices' वर WiFi प्रोफाइल तैनात करता. युजर्स तक्रार करत आहेत की ते कनेक्ट करू शकत नाहीत आणि WiFi प्रोफाइल Not Applicable म्हणून दिसत आहे.
टीप: प्रोफाइल डिपेंडेंसी आणि ग्रुप टार्गेटिंग नियम तपासा. Intune नियुक्त केलेल्या ग्रुपच्या आधारे प्रोफाइल डिपेंडेंसी सोडवते.
नमुना उत्तर पहा
ही समस्या ग्रुप टार्गेटिंग विसंगतीमुळे (mismatch) आहे. WiFi प्रोफाइल SCEP प्रोफाइलवर अवलंबून असते, जे युजर ग्रुपला ('Corporate Users') टार्गेट केले गेले होते. तर WiFi प्रोफाइल डिव्हाइस ग्रुपला ('All Corporate Devices') टार्गेट केले गेले होते. Intune वेगवेगळ्या ग्रुप प्रकारांमधील डिपेंडेंसी सोडवू शकत नाही. यावरील उपाय म्हणजे Trusted Root, SCEP आणि WiFi या तिन्ही प्रोफाइल असाइनमेंट बदलून एकाच ग्रुपला टार्गेट करणे हा आहे. तुमच्या ऑथेंटिकेशन मॉडेलच्या आधारे (युजर-आधारित विरुद्ध डिव्हाइस-आधारित) युजर ग्रुप वापरायचा की डिव्हाइस ग्रुप हे ठरवा आणि तिन्ही प्रोफाइलवर ते सुसंगतपणे लागू करा.
Q2. सुरक्षा ऑडिटमध्ये असे दिसून आले आहे की जेव्हा एखाद्या कर्मचाऱ्याला कामावरून काढून टाकले जाते आणि त्याचे Microsoft Entra ID अकाउंट निष्क्रिय केले जाते, तेव्हा त्याचा कॉर्पोरेट स्मार्टफोन कामावरून काढल्यानंतरही एक आठवड्यापर्यंत स्टाफ WiFi नेटवर्कशी कनेक्ट होऊ शकतो.
टीप: अकाउंट निष्क्रिय केल्यानंतर सर्टिफिकेट अजूनही वैध आहे की नाही हे RADIUS सर्व्हर कसे ठरवतो याचा विचार करा. रिव्होकेशन (रद्द करण्याची) स्थिती कळवण्याची यंत्रणा काय आहे?
नमुना उत्तर पहा
RADIUS सर्व्हर कठोर Certificate Revocation List (CRL) तपासणी करत नाही किंवा CRL वारंवार प्रकाशित केले जात नाही. जेव्हा एखाद्या कर्मचाऱ्याला कामावरून काढले जाते, तेव्हा MDM ने डिव्हाइस अनएनरोल केले पाहिजे आणि CA ने सर्टिफिकेट रद्द केले पाहिजे. तथापि, जर RADIUS सर्व्हर प्रत्येक ऑथेंटिकेशनच्या वेळी CRL तपासत नसेल - किंवा CRL फक्त साप्ताहिक प्रकाशित केले जात असेल - तर रद्द केलेले सर्टिफिकेट स्वीकारले जाणे सुरूच राहते. यावरील उपायामध्ये तीन पायऱ्या समाविष्ट आहेत: प्रत्येक ऑथेंटिकेशनवर कठोर CRL तपासणी सक्तीची करण्यासाठी RADIUS सर्व्हर कॉन्फिगर करा; कमी अंतराने (दररोज किंवा अधिक वारंवार) CRL प्रकाशित करण्यासाठी CA कॉन्फिगर करा; आणि डिव्हाइस अनएनरोल झाल्यावर सर्टिफिकेट रद्द करण्यासाठी MDM कॉन्फिगर केले असल्याची खात्री करा.
Q3. तुम्हाला हेडलेस IoT डिव्हाइसेससाठी (स्मार्ट थर्मोस्टॅट्स, डिजिटल साइनेज प्लेयर्स) सुरक्षित WiFi ॲक्सेस प्रदान करायचा आहे जे MDM एजंट चालवू शकत नाहीत आणि Captive Portal दाखवू शकत नाहीत. तुम्ही या डिव्हाइसेससाठी SCEP वापरू शकता का, आणि नसल्यास, शिफारस केलेला पर्याय कोणता आहे?
टीप: SCEP एनरोलमेंटसाठी आवश्यक गोष्टींचा विचार करा आणि जे डिव्हाइसेस MDM-एनरोल होऊ शकत नाहीत किंवा ब्राउझरशी संवाद साधू शकत नाहीत त्यांच्यासाठी काय पर्याय उपलब्ध आहेत ते पहा.
नमुना उत्तर पहा
या डिव्हाइसेससाठी SCEP वापरता येणार नाही. SCEP ला एनरोलमेंट URL आणि चॅलेंज पासवर्ड प्राप्त करण्यासाठी, की पेअर तयार करण्यासाठी आणि परिणामी सर्टिफिकेट इंस्टॉल करण्यासाठी MDM एजंटची आवश्यकता असते. MDM एजंट चालवू न शकणारे हेडलेस IoT डिव्हाइसेस SCEP एनरोलमेंट प्रक्रियेत भाग घेऊ शकत नाहीत. शिफारस केलेले पर्याय खालीलप्रमाणे आहेत: (१) कठोर VLAN सेगमेंटेशनसह एकत्रित केलेले MAC Authentication Bypass (MAB) - RADIUS सर्व्हर डिव्हाइसला त्याच्या MAC ॲड्रेसच्या आधारे परवानगी देतो आणि कॉर्पोरेट सिस्टम्सचा ॲक्सेस नसलेल्या एका वेगळ्या IoT VLAN वर ठेवतो; (२) जर डिव्हाइस सपोर्ट करत असेल, तर EST (Enrollment over Secure Transport, RFC 7030) अशा डिव्हाइसेसना सर्टिफिकेट्स प्रदान करू शकते जे HTTPS ला सपोर्ट करतात पण MDM ला नाही; (३) मॅनेजमेंट इंटरफेस असलेल्या डिव्हाइसेससाठी, काही विक्रेते MDM एजंटची आवश्यकता नसताना थेट डिव्हाइस फर्मवेअरद्वारे SCEP एनरोलमेंटला सपोर्ट करतात. सर्व प्रकरणांमध्ये, वापरलेल्या ऑथेंटिकेशन पद्धतीचा विचार न करता IoT डिव्हाइसेस एका समर्पित VLAN वर वेगळे ठेवले पाहिजेत.
या मालिकेमध्ये पुढे वाचा
कर्मचारी आणि अतिथी WiFi नेटवर्क सुरक्षितपणे कसे वेगळे करावे
हे अधिकृत तांत्रिक मार्गदर्शक IT नेत्यांना VLAN आणि 802.1X चा वापर करून कर्मचारी, अतिथी आणि IoT WiFi नेटवर्क्स सुरक्षितपणे वेगळे करण्यासाठी कृतीयोग्य रणनीती प्रदान करते. हे एंटरप्राइझ इन्फ्रास्ट्रक्चर सुरक्षित कसे करावे, PCI DSS अनुपालन कसे राखायचे आणि फर्स्ट-पार्टी डेटा कॅप्चर करण्यासाठी कॅप्टिव्ह पोर्टलचा कसा फायदा घ्यावा याचे तपशील प्रदान करते.
सर्वोत्तम DNS filtering: व्यवसायांसाठी एक व्यापक मार्गदर्शक
हे तांत्रिक संदर्भ मार्गदर्शक स्पष्ट करते की कशा प्रकारे एंटरप्राइझ DNS filtering हे कनेक्शन स्थापित होण्यापूर्वीच - रिझोल्यूशन लेयरवर दुर्भावनापूर्ण डोमेन्स ब्लॉक करून सार्वजनिक नेटवर्क सुरक्षित करते. हे IT संचालक, नेटवर्क आर्किटेक्ट आणि वेन्यू ऑपरेशन्स टीम्सना डेव्हलपमेंट आर्किटेक्चर, फायरवॉल कॉन्फिगरेशन आणि अनुपालन संदर्भ प्रदान करते जे त्यांना हॉस्पिटॅलिटी, रिटेल आणि सार्वजनिक क्षेत्रातील वातावरणात Guest WiFi सुरक्षित करण्यासाठी आवश्यक आहे. Purple Shield हे ८०,००० पेक्षा जास्त थेट वेन्यूवर DNS स्तरावर मालवेअर, बॉटनेट्स आणि अयोग्य कंटेंट ब्लॉक करते.
Cisco SUDI समजून घेणे: Secure Network Access Control मधील Hardware-Anchored Identity
हे मार्गदर्शक स्पष्ट करते की Cisco SUDI कशा प्रकारे एंटरप्राइझ नेटवर्क इन्फ्रास्ट्रक्चरसाठी hardware-anchored, गुपित-सुरक्षित (cryptographically secure) ओळख प्रदान करते. तुमच्या वेन्यूच्या नेटवर्क ॲक्सेस कंट्रोल सुरक्षित करण्यासाठी स्पूफ करता येण्याजोग्या MAC ॲड्रेसेस ऐवजी अपरिवर्तनीय 802.1AR सर्टिफिकेट्स वापरण्याची पद्धत जाणून घ्या.