PPSK umpsa: वैशिष्ट्ये आणि डिप्लॉयमेंट मॉडेल्सची तुलना

[0:00 - 1:00] प्रस्तावना आणि संदर्भ Purple टेक्निकल ब्रीफिंगमध्ये आपले स्वागत आहे. आज आपण PPSK - Private Pre-Shared Key - बद्दल जाणून घेणार आहोत, विशेषत: मल्टी-टेनंट निवासी आणि मिश्र-वापर डेव्हलपमेंट्सच्या संदर्भात. जर तुम्ही प्रॉपर्टी डेव्हलपर, बिल्ड-टू-रेंट ऑपरेटर असाल किंवा स्टुडंट अकॉमॉडेशन पोर्टफोलिओ व्यवस्थापित करत असाल, तर हा विषय तुम्ही या वर्षी घेणार असलेल्या निर्णयांशी थेट संबंधित आहे. चला तर मग मूलभूत गोष्टींपासून सुरुवात करूया, कारण येथील शब्दावली खरोखरच गोंधळात टाकणारी आहे. तुम्ही कोणत्या व्हेंडरशी बोलत आहात यावर अवलंबून PPSK ला अनेक नावांनी ओळखले जाते. Aruba याला PPSK म्हणते. Cisco Meraki याला पर्सनल प्रायव्हेट नेटवर्क म्हणते. Extreme Networks 'प्रायव्हेट PSK' हा शब्द वापरतात. Juniper Mist आणि Cambium याला ePSK म्हणतात. Ubiquiti UniFi याला Private Pre-Shared Keys म्हणतात. हे सर्व एकाच संकल्पनेचे वर्णन करतात: प्रत्येक वापरकर्त्याने एकच पासवर्ड शेअर करण्याऐवजी, प्रत्येक वापरकर्त्याला किंवा ग्रुपला त्यांचे स्वतःचे युनिक क्रेडेंशियल मिळते. [1:00 - 6:00] तांत्रिक सखोल माहिती आता, हे महत्त्वाचे का आहे? इमारतीतील पारंपारिक शेअर केलेल्या WiFi पासवर्डचा विचार करा. प्रत्येक रहिवासी एकच की वापरतो. जेव्हा एखादी व्यक्ती तेथून राहायला जाते, तेव्हा तुमच्याकडे दोन पर्याय असतात: एकतर तुम्ही त्यांचे ॲक्सेस सक्रिय ठेवता, जे सुरक्षेच्या दृष्टीने धोक्याचे आहे, किंवा तुम्ही प्रत्येकाचा पासवर्ड बदलता, ज्यामुळे इतर रहिवाशांचे डिव्हाइसेस पुन्हा कनेक्ट होईपर्यंत बंद पडतात. यापैकी कोणताही पर्याय मोठ्या प्रमाणावर स्वीकार्य नाही. PPSK या समस्येचे पूर्णपणे निवारण करते. तुम्ही एक की रद्द करता, एका रहिवाशाचा ॲक्सेस संपतो. इतर कोणावरही याचा अजिबात परिणाम होत नाही. येथे समजून घेण्यासारखे तीन वेगळे डिप्लॉयमेंट मॉडेल्स आहेत आणि तुमच्या संदर्भानुसार चुकीचा पर्याय निवडल्यास तुम्हाला ऑपरेशनल खर्च मोजावा लागेल. पहिला आहे स्टँडर्ड शेअर केलेला PSK - प्रत्येकासाठी पारंपारिक सिंगल पासवर्ड. हे सेटअप करण्यासाठी सर्वात सोपे आहे आणि होम नेटवर्कसाठी ठीक आहे. परंतु, मल्टी-टेनंट इमारतीमध्ये, कोणत्याही मोठ्या प्रमाणावर हे वापरणे अशक्य आहे. एक पासवर्ड लीक झाल्यास संपूर्ण नेटवर्क धोक्यात येते. रहिवाशांमध्ये कोणतेही VLAN आयसोलेशन मिळत नाही. वैयक्तिकरित्या ॲक्सेस रद्द करता येत नाही. हे वापरणे टाळा. दुसरे मॉडेल आहे ग्रुप-लेव्हल PPSK. येथे, तुम्ही प्रत्येक ग्रुपला एक युनिक पासवर्ड देता - जसे की प्रत्येक मजल्याला, ऑफिस इमारतीतील प्रत्येक विभागाला किंवा पोर्टफोलिओमधील प्रत्येक प्रॉपर्टीला. हे तुम्हाला ग्रुप-लेव्हल VLAN सेगमेंटेशन आणि ग्रुप-लेव्हल रेव्होकेशन (ॲक्सेस रद्द करणे) प्रदान करते. हे इव्हेंट्स, कॉन्फरन्स आणि ऑफिस वातावरणासाठी उत्तम काम करते जिथे तुम्हाला प्रति-वापरकर्ता गुंतागुंत नसताना विभागीय वेगळेपण हवे असते. याचे ऑपरेशनल ओव्हरहेड कमी आहे आणि तुम्हाला RADIUS सर्व्हरची देखील गरज भासत नाही - अनेक ॲक्सेस पॉइंट्स ग्रुप PPSK नेटिव्हली हाताळतात. तिसरे मॉडेल - आणि जे आम्ही BTR, स्टुडंट अकॉमॉडेशन आणि कोणत्याही निवासी डिप्लॉयमेंटसाठी शिफारस करतो - ते म्हणजे प्रति-वापरकर्ता iPSK (Identity Pre-Shared Key). प्रत्येक रहिवाशाला त्यांचे स्वतःचे युनिक क्रेडेंशियल मिळते. त्यांचे सर्व डिव्हाइसेस ते एकच क्रेडेंशियल वापरतात, ज्यामुळे ते त्यांच्या स्वतःच्या प्रायव्हेट VLAN मध्ये - म्हणजेच त्यांच्या स्वतःच्या WiFi बबलमध्ये येतात. त्यांचा फोन त्यांच्या स्मार्ट टीव्हीला पाहू शकतो, त्यांचा लॅपटॉप त्यांचा Chromecast पाहू शकतो, त्यांचा स्मार्ट स्पीकर त्यांच्या लाइट्सशी पेअर होऊ शकतो. परंतु ते इतर कोणत्याही रहिवाशाचे डिव्हाइसेस पाहू शकत नाहीत, जरी ते सर्व एकाच फिजिकल ॲक्सेस पॉईंटवर आणि एकाच SSID वर असले तरीही. हे असे आर्किटेक्चर आहे जे मॅनेज्ड WiFi ला खरोखर निवासी सुविधा म्हणून कार्यरत करते. रहिवाशांचा अनुभव हा त्यांचा स्वतःचा होम ब्रॉडबँड राउटर असल्यासारखाच असतो. ऑपरेटर पायाभूत सुविधांवर पूर्ण नियंत्रण ठेवतो. मी तुम्हाला तांत्रिक आर्किटेक्चर समजावून सांगतो, कारण हे समजून घेतल्याने तुम्हाला व्हेंडर्स आणि इंटिग्रेटर्सना योग्य प्रश्न विचारण्यास मदत होते. RADIUS नसलेल्या PPSK डिप्लॉयमेंटमध्ये, ॲक्सेस पॉइंट स्वतः की (keys) आणि त्यांच्याशी संबंधित VLAN असाइनमेंटचा स्थानिक डेटाबेस ठेवतो. जेव्हा एखादे डिव्हाइस कनेक्ट होते, तेव्हा AP की शोधतो, ती कोणत्या VLAN शी मॅप होते ते ओळखतो आणि डिव्हाइसला तिथे ठेवतो. हे लहान डिप्लॉयमेंट्ससाठी चांगले कार्य करते - बहुतांश एंटरप्राइझ ॲक्सेस पॉइंट्सवर काही शंभर की पर्यंत. Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, आणि Fortinet हे सर्व याच्या काही प्रकारांना सपोर्ट करतात. मोठ्या डिप्लॉयमेंट्ससाठी - दोनशे युनिटची BTR इमारत, एक हजार बेडचा स्टुडंट अकॉमॉडेशन ब्लॉक - तुम्हाला RADIUS सर्व्हरद्वारे सपोर्टेड PPSK हवे असेल. ॲक्सेस पॉइंट क्रेडेंशियल RADIUS सर्व्हरकडे फॉरवर्ड करतो, जो डिरेक्टरीद्वारे ते प्रमाणित करतो, योग्य VLAN असाइनमेंट परत करतो आणि AP त्यानुसार डिव्हाइसला तिथे ठेवतो. हे हजारो की पर्यंत स्केल होते, Microsoft Entra ID, Okta, किंवा Google Workspace सारख्या आयडेंटिटी प्रोव्हाइडर्सशी इंटिग्रेट होते आणि तुम्हाला सेंट्रलाइज्ड ऑडिट लॉगिंग प्रदान करते - जे GDPR कंप्लायन्ससाठी महत्त्वाचे आहे. कंप्लायन्सचा विचार केल्यास - हा असा क्षेत्र आहे जिथे डिप्लॉयमेंट मॉडेलच्या निवडीचे खरे कायदेशीर परिणाम होतात. GDPR अंतर्गत, रहिवाशांच्या डेटाचे संरक्षण करणे हे तुमचे कर्तव्य आहे. जर रहिवासी A हा रहिवासी B चे नेटवर्क ट्रॅफिक पाहू शकत असेल, तर तो डेटा संरक्षणाचा प्रश्न आहे. iPSK द्वारे दिली जाणारी प्रति-वापरकर्ता VLAN आयसोलेशन ही तांत्रिक यंत्रणा आहे जी हे कर्तव्य पूर्ण करते. ही केवळ एक चांगली गोष्ट नाही; तर तुम्ही वैयक्तिक डेटावर प्रक्रिया करत असलेल्या कोणत्याही निवासी संदर्भात ही एक कंप्लायन्सची आवश्यकता आहे. जर तुमच्याकडे त्याच नेटवर्क इन्फ्रास्ट्रक्चरवर कोणतेही पेमेंट प्रोसेसिंग होत असेल - उदाहरणार्थ, मिक्स-युज डेव्हलपमेंटमधील रिटेल घटक - तर PCI-DSS संबंधित ठरते. VLAN सेगमेंटेशन पेमेंट ट्रॅफिकला निवासी ट्रॅफिकपासून वेगळे करते, जी एक मुख्य PCI-DSS आवश्यकता आहे. IEEE 802.1X हा पोर्ट-बेस्ड नेटवर्क ॲक्सेस कंट्रोलसाठीचा मूळ स्टँडर्ड आहे, आणि EAP-TLS आणि सर्टिफिकेट्ससह संपूर्ण 802.1X हा एंटरप्राइझ सुरक्षेसाठी सुवर्ण मानक असला तरी, RADIUS सह PPSK हा एक व्यावहारिक सुवर्णमध्य आहे जो लक्षणीयरीत्या कमी डिप्लॉयमेंट जटिलतेसह बहुतांश सुरक्षा फायदे प्रदान करतो. [6:00 - 8:00] अंमलबजावणीच्या शिफारसी आणि त्रुटी आता मी तुम्हाला दोन ठोस परिस्थिती सांगतो, कारण थेअरी फक्त मर्यादित माहिती देऊ शकते. पहिली परिस्थिती: शहराच्या मध्यभागी असलेली दोनशे पन्नास युनिटची बिल्ड-टू-रेंट टॉवर. डेव्हलपरला मासिक भाड्यात प्रीमियम सुविधा म्हणून WiFi समाविष्ट करायचे आहे. रहिवाशांची त्यांच्या स्मार्ट होम डिव्हाइसेस - Sonos, Philips Hue, Amazon Echo, स्मार्ट टीव्ही, गेम्स कन्सोल - कार्य करण्याची अपेक्षा असते. हेल्पडेस्कला कॉल न करता नवीन डिव्हाइसेस जोडता येतील अशी त्यांची अपेक्षा असते. आणि त्यांच्या शेजाऱ्याला त्यांचे नेटवर्क ट्रॅफिक पाहता येऊ नये अशी त्यांची अपेक्षा असते. यासाठी योग्य आर्किटेक्चर म्हणजे संपूर्ण इमारतीमध्ये iPSK आणि RADIUS द्वारे समर्थित एकच SSID असणे. प्रत्येक रहिवाशाने प्रवेश करताना त्यांना एक युनिक की मिळते - जी रहिवासी ॲपद्वारे किंवा त्यांच्या वेलकम पॅकमधील QR कोडद्वारे दिली जाते. त्यांची सर्व उपकरणे ती की वापरतात. RADIUS सर्व्हर प्रत्येक युनिटसाठी एका समर्पित VLAN वर ती की मॅप करतो. जेव्हा ते तिथून स्थलांतरित होतात, तेव्हा मॅनेजमेंट प्लॅटफॉर्ममध्ये ती की रद्द केली जाते. पुढील रहिवाशाला नवीन की मिळते. कोणतेही पासवर्ड बदलण्याची गरज नाही, इतर रहिवाशांना कोणताही त्रास नाही. हार्डवेअर कोणत्याही आधीच निर्दिष्ट केलेल्या ॲक्सेस पॉइंट्सवर चालते - या क्षेत्रात Cisco Meraki, HPE Aruba, Ruckus, किंवा Ubiquiti UniFi हे सर्व सामान्य आहेत. Purple चे प्लॅटफॉर्म क्लाउड ओव्हरले म्हणून काम करते, जे भौतिक इन्फ्रास्ट्रक्चरच्या मोठ्या अपग्रेडची आवश्यकता न ठेवता की लाइफसायकल, VLAN असाइनमेंट्स आणि रहिवासी ऑनबोर्डिंग व्यवस्थापित करते. दुसरी परिस्थिती: ग्राउंड फ्लोअरवर रिटेल, दुसऱ्या आणि तिसऱ्या मजल्यावर कोवर्किंग स्पेस आणि चौथ्या मजल्यापासून वर निवासी क्षेत्र असलेले मिश्र-वापर डेव्हलपमेंट. तुमच्याकडे पूर्णपणे भिन्न नेटवर्क आवश्यकता असलेले तीन वेगळे वापरकर्ता गट आहेत. रिटेलला PCI-सुसंगत पेमेंट आयसोलेशन आवश्यक आहे. कोवर्किंग सदस्यांना बिझनेस-ग्रेड विश्वसनीयता आणि VPN सुसंगतता आवश्यक आहे. रहिवाशांना आम्ही वर वर्णन केलेल्या घरगुती नेटवर्क अनुभवाची आवश्यकता आहे. येथे, तुम्ही सामान्यतः तीन SSIDs चालवाल - प्रत्येक लोकसंख्येसाठी एक - किंवा तीन गटांना वेगळे करण्यासाठी PPSK आणि रोल-बेस्ड VLAN असाइनमेंटसह एकच SSID वापराल. तीन-SSID चा दृष्टिकोन ऑपरेशनलदृष्ट्या अधिक सुटसुटीत आहे आणि वेगवेगळ्या ऑनबोर्डिंग फ्लोसाठी अधिक चांगल्या प्रकारे मॅप करतो. रिटेल कर्मचारी कॉर्पोरेट क्रेडेंशियलसह 802.1X वापरतात. कोवर्किंग सदस्यांना प्रत्येक कंपनीनुसार ग्रुप-लेव्हल PPSK मिळते. रहिवाशांना प्रति-युनिट iPSK मिळते. तिन्ही गट एकाच भौतिक ॲक्सेस पॉइंट इन्फ्रास्ट्रक्चरचा वापर करतात, परंतु त्यांचे ट्रॅफिक कधीही एकमेकांत मिसळत नाही. आता मी अंमलबजावणीतील सर्वात सामान्य त्रुटींबद्दल सांगतो, कारण मला वारंवार त्याच चुका पाहायला मिळतात. पहिली चूक म्हणजे डिव्हाइस डेन्सिटी कमी समजणे. दोनशे युनिट्सच्या इमारतीमध्ये WiFi वर फक्त दोनशे उपकरणे नसतात. तिथे तीन हजार ते पाच हजार उपकरणे असतात. प्रति कुटुंब पंधरा ते पंचवीस उपकरणे ही सध्याची सरासरी आहे, आणि स्मार्ट होमच्या वाढत्या वापरामुळे ही संख्या दरवर्षी वाढत आहे. तुमच्या DHCP स्कोप, तुमचे VLAN सबनेट सायझिंग आणि तुमच्या ॲक्सेस पॉइंट क्षमता नियोजनामध्ये या सर्वांचा विचार करणे आवश्यक आहे. दुसरी त्रुटी म्हणजे खर्च वाचवण्यासाठी मोठ्या डिप्लॉयमेंटसाठी RADIUS शिवाय PPSK निवडणे, आणि नंतर ॲक्सेस पॉइंटच्या स्थानिक की डेटाबेसची मर्यादा संपल्याचे लक्षात येणे. शंभरपेक्षा जास्त युनिट्सच्या कोणत्याही गोष्टीसाठी, सुरुवातीपासूनच RADIUS सर्व्हरचे बजेट ठेवा. क्लाउड-होस्ट केलेल्या RADIUS सेवा ऑन-प्रिमायसेस इन्फ्रास्ट्रक्चरचा भार काढून टाकतात. तिसरी त्रुटी म्हणजे 2.4 GHz बँडकडे दुर्लक्ष करणे. चांगल्या कामगिरीसाठी तुम्हाला रहिवाशांना 5 GHz आणि 6 GHz कडे वळवायचे असते. परंतु IoT उपकरणे - जसे की स्मार्ट प्लग, जुने सेन्सर्स, काही स्मार्ट स्पीकर्स - बऱ्याचदा फक्त 2.4 GHz लाच सपोर्ट करतात. तुमच्या PPSK कॉन्फिगरेशनला दोन्ही बँड्स हाताळता आले पाहिजेत. चौथी त्रुटी म्हणजे मूव्ह-आउट वर्कफ्लो आहे. PPSK त्याचे कार्यक्षम फायदे केवळ तेव्हाच प्रदान करते जेव्हा मूव्ह-आउटच्या वेळी की रद्द करण्याची (key revocation) प्रक्रिया प्रत्यक्षात अंमलात आणली जाते. जर तुमची प्रॉपर्टी मॅनेजमेंट सिस्टम तुमच्या नेटवर्क मॅनेजमेंट प्लॅटफॉर्मशी जोडलेली नसेल, तर की साचत जातात. तुमच्या भाडेकरू व्यवस्थापन प्रणाली आणि तुमच्या WiFi व्यवस्थापन प्लॅटफॉर्ममधील इंटिग्रेशनद्वारे की रद्द करण्याचा वर्कफ्लो स्वयंचलित करा. [8:00 - 9:00] रॅपिड-फायर प्रश्नोत्तरे आता, मला वारंवार विचारले जाणारे काही रॅपिड-फायर प्रश्न. PPSK तैनात करण्यासाठी मला माझे सध्याचे ऍक्सेस पॉईंट्स बदलण्याची आवश्यकता आहे का? बहुतांश प्रकरणांमध्ये, नाही. Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, आणि Fortinet हे सर्व सध्याच्या फर्मवेअरवर PPSK किंवा iPSK चे प्रकार सपोर्ट करतात. PPSK हे डिजिटल सर्टिफिकेट्ससह 802.1X इतके सुरक्षित आहे का? नाही. EAP-TLS आणि डिजिटल सर्टिफिकेट्ससह संपूर्ण 802.1X अधिक सुरक्षित आहे. परंतु निवासी उपयोजनांसाठी जेथे तुम्ही ग्राहकांच्या उपकरणांसह गैर-तांत्रिक रहिवाशांना ऑनबोर्ड करत आहात, तिथे RADIUS सह PPSK हा एक व्यावहारिक पर्याय आहे जो व्यवस्थापन करण्यायोग्य ऑपरेशनल गुंतागुंतीसह पुरेशी सुरक्षा प्रदान करतो. WPA3 बद्दल काय? PPSK हे WPA3-Personal वर चालू शकते आणि जिथे तुमचे ऍक्सेस पॉईंट हार्डवेअर सपोर्ट करते तिथे तुम्ही ते सक्षम केले पाहिजे. ट्रान्झिशन कालावधी दरम्यान एकाच SSID वर WPA2 आणि WPA3 दोन्ही क्लायंटना सपोर्ट करणारे ट्रान्झिशन मोड चालवणे हा एक मानक दृष्टिकोन आहे. [9:00 - 10:00] सारांश आणि पुढील पायऱ्या थोडक्यात सांगायचे तर: निर्णय घेण्याची चौकट अगदी सोपी आहे. जर तुम्ही मल्टी-टेनंट निवासी संदर्भात WiFi तैनात करत असाल - BTR, विद्यार्थ्यांची निवासस्थाने, सामाजिक गृहनिर्माण - तर तुम्हाला RADIUS सह प्रति-वापरकर्ता iPSK आवश्यक आहे. जर तुम्ही इव्हेंट, कॉन्फरन्स किंवा ऑफिस विभागांच्या विभाजनासाठी तैनात करत असाल, तर RADIUS शिवाय ग्रुप-लेव्हल PPSK अनेकदा पुरेसे असते. जर तुम्ही अद्याप मल्टी-टेनंट इमारतीसाठी एकाच शेअर केलेल्या पासवर्डवर असाल, तर ते या वर्षी बदलणे आवश्यक आहे. याचे ऑपरेशनल फायदे मोजता येण्यासारखे आहेत. iPSK सह व्यवस्थापित BTR डिप्लॉयमेंटमध्ये अनमॅनेज्ड किंवा सामायिक केलेल्या-PSK डिप्लॉयमेंटच्या तुलनेत सपोर्ट तिकीटांचे प्रमाण साधारणपणे नव्वद टक्क्यांहून अधिक कमी होते. मूव्ह-आउट क्रेडेंशियल मॅनेजमेंट हे संपूर्ण इमारतीला त्रासदायक ठरणार्‍या इव्हेंटमधून थेट एका डेटाबेस एंट्रीवर येते. Purple Technical Briefing ऐकल्याबद्दल धन्यवाद. जर तुम्हाला या आर्किटेक्चरबद्दल सखोल माहिती हवी असेल, तर purple.ai ला भेट द्या. तुमच्या विशिष्ट डिप्लॉयमेंटबद्दल काही प्रश्न असल्यास, आमच्या नेटवर्क आर्किटेक्ट्सपैकी एकाशी संपर्क साधा.