Logo guild iPSK: व्यवसायांसाठी एक सर्वसमावेशक मार्गदर्शिका

Purple च्या तांत्रिक माहिती पत्रकामध्ये आपले स्वागत आहे. आज आपण logo guild iPSK कव्हर करत आहोत, ज्याचा अर्थ Identity Pre-Shared Key असा आहे, आणि प्रॉपर्टी डेव्हलपर्स, BTR ऑपरेटर आणि बहु-भाडेकरू निवासी गृहप्रकल्पांसाठी हे निश्चित WiFi सुरक्षा मॉडेल का बनले आहे याबद्दल आपण जाणून घेणार आहोत. चला तर मग तुम्ही प्रत्यक्ष ज्या समस्येचे निराकरण करण्याचा प्रयत्न करत आहात त्यापासून सुरुवात करूया. तुम्ही Build-to-Rent गृहप्रकल्पाचे व्यवस्थापन करता. हे कदाचित १०० युनिट्स असू शकतात किंवा ५०० देखील असू शकतात. प्रत्येक रहिवाशाला पहिल्या दिवसापासून सुरक्षित, खाजगी WiFi मिळावे अशी तुमची इच्छा असते. तुम्हाला प्रत्येक फ्लॅटमध्ये स्वतंत्र राउटर स्थापित करायचा नसतो. तुम्हाला शेकडो स्वतंत्र नेटवर्क्सचे व्यवस्थापन करायचे नसते. आणि तुम्ही नेटवर्कवर रहिवासी A च्या स्मार्ट टीव्हीवर रहिवासी B ला ब्राउझ करण्याची परवानगी अजिबात देऊ शकत नाही. मानक WPA2-PSK, म्हणजेच शेअर्ड पासवर्ड मॉडेल, या स्केलवर लगेचच अपयशी ठरते. संपूर्ण इमारतीसाठी एक पासवर्ड असण्याचा अर्थ असा आहे की एका भंगामुळे प्रत्येकावर परिणाम होतो. आणि त्या सर्वांसाठी पासवर्ड बदलल्याशिवाय तुम्ही एका रहिवाशाचा ॲक्सेस रद्द करू शकत नाही. हे ऑपरेशनलदृष्ट्या अशक्य आहे. दुसरी अत्यंत तीव्र स्थिती म्हणजे 802.1X सह WPA3-Enterprise. हे अत्यंत सुरक्षित आहे. परंतु यासाठी प्रत्येक डिव्हाइससाठी डिजिटल सर्टिफिकेट्स किंवा युझरनेम-पासवर्ड क्रेडेंशियल्स आवश्यक असतात. तुमच्या रहिवाशांचे गेमिंग कन्सोल, स्मार्ट स्पीकर्स आणि थर्मोस्टॅट्स हे 802.1X नेटवर्कशी फक्त कनेक्ट होऊ शकत नाहीत. त्यांच्याकडे कोणताही सप्लिकंट नसतो. तुम्हाला दररोज सपोर्ट कॉल्स हाताळावे लागतील. iPSK हे या दोन्हीच्या अगदी मध्यभागी काम करते. प्रत्येक रहिवाशाला स्वतःची अनन्य प्री-शेअर्ड की मिळते. रहिवाशांसाठी, हे अगदी घरातील WiFi पासवर्डसारखे दिसते आणि अनुभवता येते. ते तो एकदाच टाईप करतात आणि त्यांची मालकी असलेले प्रत्येक डिव्हाइस कनेक्ट होते. तथापि, पडद्यामागे, वायरलेस ॲक्सेस पॉइंट Purple क्लाउडला RADIUS विनंती पाठवतो, ज्यामध्ये क्लायंटचा MAC पत्ता समाविष्ट असतो. आमचा RADIUS सर्व्हर तो MAC पत्ता शोधतो, जुळणारे ऑथोरायझेशन प्रोफाइल शोधतो आणि योग्य PSK परत पाठवतो. त्यानंतर ॲक्सेस पॉइंट त्या वैयक्तिक कीचा वापर करून कनेक्शनचे प्रमाणीकरण करतो. याचा परिणाम: संपूर्ण इमारतीसाठी एकच SSID, परंतु प्रत्येक रहिवासी त्यांच्या स्वतःच्या खाजगी नेटवर्क सेगमेंटमध्ये आयसोलेटेड (वेगळा) असतो. आता मी तुम्हाला आर्किटेक्चर समजवून सांगतो, कारण खरी ताकद याच ठिकाणी आहे. ऑथेंटिकेशन फ्लोमध्ये चार पायऱ्या आहेत. पहिली, क्लायंट डिव्हाइस ॲक्सेस पॉइंटला असोसिएशन विनंती पाठवते. दुसरी, वायरलेस कंट्रोलर, मग तो Cisco Meraki असो, HPE Aruba असो, Ruckus असो किंवा Juniper Mist असो, तो क्लायंटचा MAC पत्ता घेऊन Purple क्लाउडला RADIUS Access-Request पाठवतो. तिसरी, आमचा RADIUS सर्व्हर ऑथोरायझेशन पॉलिसीचे मूल्यांकन करतो. तो रहिवाशांच्या रेकॉर्डशी MAC पत्ता जुळवतो, नियुक्त केलेला PSK मिळवतो आणि त्या रहिवाशासाठी VLAN ID समाविष्ट असलेला Access-Accept प्रतिसाद परत करतो. चौथी, ॲक्सेस पॉइंट क्लायंटला त्यांच्या समर्पित VLAN वर जोडतो. रहिवाशांच्या दृष्टीकोनातून, हे मानक होम WiFi कनेक्शनपेक्षा वेगळे नाही. याची गुंतागुंत पूर्णपणे सर्व्हर-साइडला आहे. हीच iPSK ची सुबकता आहे. RADIUS द्वारे VLAN ओव्हरराइड म्हणजे निवासी A हा VLAN 101 वर, निवासी B हा VLAN 102 वर येतो, आणि तुमच्या इमारतीची IoT उपकरणे, डोअर सेन्सर, CCTV, स्मार्ट मीटर्स, कोणत्याही क्रॉस-कंटॅमिनेशनशिवाय पूर्णपणे वेगळ्या VLAN वर असतात. आम्ही ज्याला प्रायव्हेट एरिया नेटवर्क किंवा PAN म्हणतो, त्याबद्दल थोडक्यात बोलूया. हा प्रत्येक रहिवाशाच्या उपकरणांभोवती तयार केलेला व्हर्च्युअल बबल आहे. शेकडो रहिवासी एकच WiFi पायाभूत सुविधा शेअर करत असले तरी, iPSK हे लेयर 2 आयसोलेशन सुनिश्चित करते. निवासी A चा फोन त्यांचा स्वतःचा Chromecast आणि प्रिंटर पाहू शकतो. शेजारच्या फ्लॅटमधील निवासी B ही उपकरणे अजिबात पाहू किंवा त्यांच्याशी संवाद साधू शकत नाही. हे mDNS रिफ्लेक्शन देखील सक्षम करते, जे उपकरणांना त्यांच्या स्वतःच्या खाजगी विभागात एकमेकांना शोधण्याची परवानगी देते. त्यामुळे Chromecast वर Netflix कास्ट करणे अगदी व्यवस्थित काम करते, जसे की ते घरगुती राउटरवर करते, परंतु ते कॉरिडोअरमध्ये किंवा इतर कोणत्याही रहिवाशाच्या नेटवर्कमध्ये जात नाही. आता मी iPSK ची पर्यायांसोबत तुलना करतो, कारण ऑथेंटिकेशन मॉडेलची निवड हा तुमच्या नेटवर्क डिझाइनमध्ये तुम्ही घेणार असलेल्या सर्वात महत्त्वाच्या निर्णयांपैकी एक आहे. स्टँडर्ड PSK, WPA2-Personal, तुम्हाला साधेपणा देते. प्रत्येकजण एकच पासवर्ड वापरतो. परंतु कोणतेही केंद्रीय नियंत्रण नसते. जर एका रहिवाशाने पासवर्ड लीक केला तर संपूर्ण नेटवर्क धोक्यात येते. एखादा रहिवासी गेल्यावर पासवर्ड बदलल्यास इतर प्रत्येक रहिवाशावर त्याचा परिणाम होतो. 200 युनिट्सवर, हे व्यवस्थापित करणे अशक्य आहे. 802.1X EAP-TLS हा उच्च-सुरक्षा कॉर्पोरेट मानक आहे. हे प्रति-उपकरण सर्टिफिकेट-आधारित ऑथेंटिकेशन प्रदान करते. तुम्ही वैयक्तिक प्रवेश त्वरित रद्द करू शकता. परंतु यासाठी प्रत्येक उपकरणावर सर्टिफिकेट अथॉरिटी, सर्टिफिकेट मॅनेजमेंट आणि सप्लिकंट आवश्यक आहे. गेमिंग कन्सोल, स्मार्ट टीव्ही, Amazon Alexa उपकरणे, यांपैकी कोणतेही 802.1X चे समर्थन करत नाहीत. निवासी वातावरणामध्ये, हे चालण्यासारखे नाही. iPSK तुम्हाला घरगुती पासवर्डच्या सुलभतेसह 802.1X ची प्रति-उपकरण ओळख देते. हे रहिवाशांच्या मालकीच्या प्रत्येक हेडलेस IoT उपकरणासह 100% उपकरणांना सपोर्ट करते. आणि लाइफसायकल स्वयंचलित असल्यामुळे, व्यवस्थापन ओव्हरहेड न वाढवता ते हजारो युनिट्सपर्यंत वाढवता येते. व्हेंडरच्या शब्दावलीमध्ये फरक असू शकतो आणि त्याचे समतुल्य शब्द जाणून घेणे फायदेशीर आहे. HPE Aruba याला MPSK, Multi-PSK म्हणते. Ruckus आणि Juniper Mist हे DPSK, Dynamic PSK वापरतात. Ubiquiti UniFi याला PPSK, Private PSK म्हणतात. Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme आणि Fortinet या सर्व प्लॅटफॉर्मवर ही संकल्पना सारखीच आहे. Purple या सर्व प्लॅटफॉर्मवर क्लाउड ओव्हरले म्हणून काम करते. तुम्हाला तुमचे ॲक्सेस पॉइंट्स बदलण्याची गरज नाही. आता मी तुम्हाला अंमलबजावणीच्या प्रक्रियेतून घेऊन जातो, कारण याच ठिकाणी अनेकदा सेटअप चुकतात. पहिली आणि सर्वात सामान्य चूक म्हणजे DHCP व्याप्ती (scope) कमी ठेवणे. नेटवर्क इंजिनियर्स कधीकधी IP address ची जागा वाचवण्यासाठी प्रति अपार्टमेंट slash-28 सबनेट नियुक्त करतात. यामध्ये फक्त १४ वापरण्यायोग्य addresses मिळतात. २०२६ मध्ये, एखाद्या BTR फ्लॅटमधील जोडपे मंगळवारपर्यंत हे १४ IPs संपवून टाकेल. एक फोन, एक लॅपटॉप, एक टॅबलेट, एक स्मार्ट टीव्ही, एक गेम्स कन्सोल, एक स्मार्ट स्पीकर, आणि दोन स्मार्ट बल्ब. मित्र घरी येण्यापूर्वीच तुमची आठ उपकरणे आधीच जोडलेली असतील. रहिवाशासाठी नेहमी डीफॉल्ट म्हणून slash-24 सबनेट वापरा. दुसरी महत्त्वाची गोष्ट म्हणजे क्लायंट आयसोलेशन (client isolation). रहिवाशाच्या VLAN मध्ये क्लायंट आयसोलेशन निष्क्रिय (disabled) असल्याची तुम्ही खात्री केली पाहिजे. जर तुम्ही क्लायंट आयसोलेशन सुरू ठेवले, तर तुम्ही स्मार्ट होम कार्यक्षमता खंडित करता, जी सक्षम करण्यासाठी iPSK डिझाइन केले आहे. एकाच की (key) वरील उपकरणे एकमेकांशी संवाद साधणार नाहीत आणि तुम्हाला संपूर्ण आठवडाभर Chromecast सपोर्ट तिकिटे हाताळावी लागतील. तिसरी महत्त्वाची बाब म्हणजे रोमिंग. जर एखादा रहिवासी चौथ्या मजल्यावरील त्याच्या फ्लॅटमधून तळमजल्यावरील जिममध्ये गेला, तर त्याचे कनेक्शन कायम राहिले पाहिजे. याचा अर्थ असा की त्यांचे विशिष्ट VLAN जिममधील ॲक्सेस पॉइंटशी ट्रंक केलेले असावे किंवा तुम्हाला ट्रॅफिक परत केंद्रीय कंट्रोलरकडे टनेल करावे लागेल. सुरुवातीच्या उपयोजनांमध्ये (deployments) ही एक सामान्य चूक आहे. आता, मुख्य मुद्दा: WPA3 आणि ६ GHz बँड. WiFi 6E आणि WiFi 7 मध्ये ६ GHz बँडवर WPA3 सुरक्षा अनिवार्य आहे. WPA3 जुन्या फोर-वे हँडशेकऐवजी सिमल्टेनियस ऑथेंटिकेशन ऑफ इक्वल्स (Simultaneous Authentication of Equals) किंवा SAE चा वापर करते. अडचण अशी आहे की SAE साठीचे IEEE 802.11 मानक सध्या WPA2 प्रमाणे प्रति SSID एकाधिक पासवर्डला सपोर्ट करत नाही. ही काही Cisco Meraki ची किंवा Aruba ची समस्या नाही. ही संपूर्ण आयटी उद्योगातील मर्यादा आहे जी थेट IEEE मानकामध्येच आहे. सध्याची सर्वोत्तम पद्धत म्हणजे हायब्रिड दृष्टिकोन वापरणे. जुन्या उपकरणांसाठी आणि IoT हार्डवेअरसाठी २.४ आणि ५ GHz बँडवर WPA2 iPSK SSID सुरू ठेवा. ६ GHz बँडसाठी, व्यवस्थापित कॉर्पोरेट एंडपॉइंट्ससाठी 802.1X वापरून स्वतंत्र SSID तैनात करा. याशिवाय MAC address रँडमायझेशनचे आव्हान देखील आहे. Apple iOS 14 आणि Android 10 ने प्रति-नेटवर्क रँडमाइज्ड MAC addresses आणले आहेत. MAC-आधारित iPSK उपयोजनात, ॲक्सेस पॉइंट हा रँडमाइज्ड MAC थेट RADIUS सर्व्हरकडे पाठवतो. सर्व्हर तो ओळखत नाही. ऑथेंटिकेशन अयशस्वी होते. Cisco Meraki चा Easy PSK मोड MAC लुकअपऐवजी EAPOL पॅरामीटर्सद्वारे ऑथेंटिकेट करून हे मोठ्या प्रमाणावर सोडवतो. जर तुम्ही Meraki वर असाल आणि तुमच्याकडे iOS किंवा Android क्लायंट असतील, तर Easy PSK मोड वापरा. हे अधिक स्पष्ट करण्यासाठी दोन वास्तविक परिस्थिती पाहूया. पहिली परिस्थिती: एक ३५० युनिट्सचे Build-to-Rent डेव्हलपमेंट. ऑपरेटरची अशी इच्छा होती की रहिवाशांना त्यांच्या शिफ्ट होण्याच्या दिवसापूर्वी त्यांचे WiFi क्रेडेंशियल्स मिळावेत. Purple चे Multi-Tenant WiFi प्लॅटफॉर्म प्रॉपर्टी मॅनेजमेंट सिस्टीमसोबत समाकलित झाले. जेव्हा लीझवर स्वाक्षरी झाली, तेव्हा PMS ने Purple ला एक API कॉल ट्रिगर केला, ज्याने एक युनिक iPSK तयार केले आणि ते स्वयंचलितपणे प्रोव्हिजन केले. रहिवाशांना त्यांची की ईमेलद्वारे प्राप्त झाली. त्यांनी पहिल्याच दिवशी प्रवेश केला, त्यांचे सर्व डिव्हाइसेस कनेक्ट केले आणि नेटवर्क थेट सुरू झाले. जेव्हा ते तिथून बाहेर पडले, तेव्हा की स्वयंचलितपणे रद्द करण्यात आली. फॅसिलिटी टीमकडून कोणतेही मॅन्युअल हस्तक्षेप आवश्यक नव्हते. ऑपरेटरने त्यांच्या मागील शेअर-पासवर्ड मॉडेलच्या तुलनेत WiFi संबंधित सपोर्ट कॉल्स ६०% पेक्षा कमी केले. दुसरी परिस्थिती: एक १८० खोल्यांची हॉटेल मालमत्ता. हॉटेलला कॅप्टिव्ह पोर्टल लॉगिन काढून टाकायचे होते ज्याबद्दल पाहुणे वारंवार तक्रार करत असत. iPSK सह, प्रत्येक खोलीला की कार्डवर प्रिंट केलेली किंवा बुकिंग कन्फर्मेशन ईमेलद्वारे पाठवलेली एक युनिक की मिळाली. पाहुणे एकदाच कनेक्ट झाले. त्यांचा फोन, टॅबलेट आणि लॅपटॉप हे सर्व त्यांच्या मुक्कामादरम्यान पुढील भेटींमध्ये स्वयंचलितपणे कनेक्ट झाले. खोलीतील IoT डिव्हाइसेस एका वेगळ्या VLAN वर ठेवण्यात आले होते, जे पाहुण्यांच्या ट्रॅफिकपासून वेगळे होते. फ्रंट डेस्कवर कोणत्याही मॅन्युअल पायऱ्यांशिवाय चेक-इनच्या वेळी की तयार केल्या गेल्या आणि चेक-आउटच्या वेळी रद्द केल्या गेल्या. आता झटपट प्रश्नोत्तरे. iPSK हे Cisco ISE शिवाय काम करू शकते का? होय. FreeRADIUS आणि Microsoft NPS दोन्हीही iPSK ला आवश्यक असलेल्या Tunnel-Password ॲट्रिब्यूटला सपोर्ट करतात. Purple हे RADIUS सर्व्हर म्हणून काम करते, त्यामुळे तुम्हाला तुमची स्वतःची RADIUS इन्फ्रास्ट्रक्चर तैनात किंवा व्यवस्थापित करण्याची अजिबात गरज नाही. iPSK हे PCI-DSS चे पालन करते का? iPSK हे PCI-DSS 4.0 च्या नेटवर्क सेगमेंटेशन आवश्यकतांना सपोर्ट करते. कार्डधारक डेटाचे वातावरण पाहुणे आणि IoT नेटवर्कपासून वेगळे असले पाहिजे. iPSK ची VLAN ओव्हरराइड क्षमता ही हे सेगमेंटेशन साध्य करणारी यंत्रणा आहे. व्यावसायिक बाजू काय आहे? ब्रिटीश प्रॉपर्टी फेडरेशनच्या संशोधनात असे दिसून आले आहे कि UK मधील Build-to-Rent डेव्हलपमेंट्समध्ये व्यवस्थापित WiFi मुळे दरमहा प्रति युनिट १५ ते ३० पाउंड अतिरिक्त भाडे मिळते. रहिवासी ISP इंजिनिअरची वाट पाहत असतानाचा ५ ते १० दिवसांचा रिकामा कालावधी देखील तुम्ही वाचवू शकता. थोडक्यात सांगायचे तर. iPSK तुम्हाला 802.1X प्रमाणपत्रांच्या गुंतागुंतीशिवाय आणि शेअर केलेल्या पासवर्डच्या सुरक्षिततेच्या त्रुटींशिवाय, एकाच SSID वर प्रति-डिव्हाइस ओळख प्रदान करते. Build-to-Rent, हॉटेल्स, रिटेल आणि अशा कोणत्याही मल्टी-टेनंट वातावरणासाठी हे योग्य मॉडेल आहे जिथे तुम्हाला ट्रॅफिक वेगळे करणे, ॲक्सेस लाइफसायकल स्वयंचलित करणे आणि प्रत्येक डिव्हाइस प्रकाराला सपोर्ट करणे आवश्यक आहे. जाण्यापूर्वी पाच नियम. एक: जर तुमच्याकडे एकाच SSID वर ५० पेक्षा जास्त डिव्हाइसेस किंवा युजर्स असतील आणि तुम्हाला प्रति-डिव्हाइस ॲक्सेस कंट्रोलची आवश्यकता असेल, तर iPSK हे निश्चितपणे योग्य मॉडेल आहे. दोन: iPSK कॉन्फिगर करण्यापूर्वी तुमच्या VLAN आर्किटेक्चरचे नेहमी नियोजन करा. तीन: जर तुम्ही iOS किंवा Android क्लायंटसह Cisco Meraki वर असाल, तर Easy PSK मोड वापरा. चार: लाइफसायकल मॅनेजमेंट लेयरशिवाय iPSK तैनात करू नका. पाच: तुमच्या WPA3 मायग्रेशनचे नियोजन आताच करा.Purple चे Multi-Tenant WiFi प्लॅटफॉर्म लाइफसायकल ऑटोमेशनचे काम हाताळते, जे तुमच्या प्रॉपर्टी मॅनेजमेंट सिस्टम किंवा आयडेंटिटी प्रोव्हाइडरला तुमच्या हार्डवेअरशी जोडते, आणि ८०,००० हून अधिक कार्यरत वेन्यूजमध्ये मोठ्या प्रमाणावर की प्रोव्हिजनिंग आणि रिव्होकेशन स्वयंचलित करते. तुम्हाला अधिक सखोल माहिती हवी असल्यास, मग ते आर्किटेक्चर रिव्ह्यू असो, कॉन्फिगरेशन वॉकथ्रू असो, किंवा पायलट डिप्लॉयमेंट असो, आमच्या टीमशी संपर्क साधण्यासाठीची लिंक या मार्गदर्शिकेत दिली आहे. ऐकल्याबद्दल धन्यवाद.