Cisco SUDI समजून घेणे: Secure Network Access Control मधील Hardware-Anchored Identity

हे मार्गदर्शक स्पष्ट करते की Cisco SUDI कशा प्रकारे एंटरप्राइझ नेटवर्क इन्फ्रास्ट्रक्चरसाठी hardware-anchored, गुपित-सुरक्षित (cryptographically secure) ओळख प्रदान करते. तुमच्या वेन्यूच्या नेटवर्क ॲक्सेस कंट्रोल सुरक्षित करण्यासाठी स्पूफ करता येण्याजोग्या MAC ॲड्रेसेस ऐवजी अपरिवर्तनीय 802.1AR सर्टिफिकेट्स वापरण्याची पद्धत जाणून घ्या.

📖 4 मिनिट वाचन📝 815 शब्द🔧 2 सोडवलेली उदाहरणे❓ 3 सराव प्रश्न📚 8 महत्वाच्या व्याख्या

हे मार्गदर्शक ऐका

पॉडकास्ट ट्रान्सक्रिप्ट पहा

ब्रिटिश इंग्लिशमध्ये आत्मविश्वासू, अधिकृत, संभाषणात्मक सुरात बोला - जसे की एखादा वरिष्ठ नेटवर्क सुरक्षा सल्लागार कार्यरत दुपारच्या जेवणादरम्यान क्लायंटला माहिती देत आहे. मोजलेला वेग, स्पष्ट उच्चार, कधीतरी कोरडा विनोद. हे व्याख्यान नाही. हे सेल्स पिच नाही. पीअर-टू-पीअर तांत्रिक ब्रीफिंग:

Purple तांत्रिक ब्रीफिंग मालिकेत आपले स्वागत आहे. मी तुमचा होस्ट आहे, आणि आज आपण अशा विषयावर बोलणार आहोत जो एंटरप्राइझ नेटवर्क उपयोजनांमध्ये वारंवार समोर येतो - Cisco SUDI. म्हणजेच Secure Unique Device Identifier. जर तुम्ही हे प्रत्यक्षात काय करते, 802.1X ऑथेंटिकेशनमध्ये ते कसे बसते, आणि तुमच्या वेन्यू किंवा कॅम्पस नेटवर्कसाठी ते महत्त्वाचे आहे का, [लहान विराम] यावर स्पष्ट उत्तर शोधत असाल, तर तुम्ही योग्य ठिकाणी आहात.

चला मुख्य समस्येपासून सुरुवात करूया. बहुतेक एंटरप्राइझ नेटवर्क्स अजूनही डिव्हाइसेस ओळखण्यासाठी MAC ॲड्रेसवर अवलंबून असतात. MAC ऑथेंटिकेशन बायपास - किंवा MAB - सर्वत्र आहे. अडचण अशी आहे की MAC ॲड्रेस सहजपणे स्पूफ केले जाऊ शकतात. लॅपटॉप आणि पंधरा मिनिटे असलेला एखादा वाईट हेतू असलेला व्यक्ती विश्वासू ॲक्सेस पॉइंटच्या MAC ॲड्रेसची हुबेहूब नक्कल करू शकतो आणि थेट तुमच्या नेटवर्कमध्ये प्रवेश करू शकतो. हा केवळ सैद्धांतिक धोका नाही. हा एक दस्तऐवजीकरण केलेला हल्ला मार्ग आहे, आणि PCI-DSS 4.0 विशेषतः कार्डधारक डेटा वातावरणासाठी हे अपुरे असल्याचे सांगते.

त्यामुळे प्रश्न असा पडतो: एखादे डिव्हाइस जे दावा करत आहे तेच आहे हे तुम्ही कसे सिद्ध कराल? केवळ "त्याच्याकडे योग्य MAC ॲड्रेस आहे" असे नाही - तर खरोखर, क्रिप्टोग्राफिक पद्धतीने ते सिद्ध करणे.

इथेच SUDI चा उपयोग होतो.

[लहान विराम]

Cisco चे Secure Unique Device Identifier हे X.509 व्हर्जन 3 चे प्रमाणपत्र आहे, जे मॅन्युफॅक्चरिंग दरम्यान डिव्हाइसच्या ट्रस्ट अँकर मॉड्यूलमध्ये - म्हणजेच TAm चिपमध्ये - बर्न केले जाते. या प्रमाणपत्रात उत्पादन ओळखकर्ता (product identifier) आणि अनुक्रमांक (serial number) असतो, आणि ते Cisco च्या पब्लिक रूट सर्टिफिकेट ऑथॉरिटीशी जोडलेले असते. प्रायव्हेट की TAm चिपच्या आत तयार केली जाते आणि कधीही एक्स्पोर्ट केली जात नाही. कधीच नाही. तुम्ही त्याची हुबेहूब नक्कल करू शकत नाही. तुम्ही ते स्पूफ करू शकत नाही. ही ओळख भौतिकरित्या सिलिकॉनशी जोडलेली असते.

यामुळे SUDI ही IEEE 802.1AR ची अंमलबजावणी बनते - जी सुरक्षित डिव्हाइस ओळखकर्त्यांसाठीचे मानक आहे. 802.1AR च्या परिभाषेत, SUDI हा एक IDevID आहे - म्हणजेच एक इनिशियल डिव्हाइस आयडेंटिफायर. ही फॅक्टरी-इन्स्टॉल केलेली ओळख आहे जी सिद्ध करते की डिव्हाइस हे मूळ Cisco उत्पादन आहे, जे एका ज्ञात सुविधेत, ज्ञात अनुक्रमांकासह तयार केले गेले आहे.

आता, व्यवहारात याचे काय महत्त्व आहे? चला ऑथेंटिकेशन प्रवाहातून जाऊया.

जेव्हा एखादे Cisco डिव्हाइस - समजा, एखादा Catalyst स्विच किंवा Meraki ॲक्सेस पॉइंट - तुमच्या नेटवर्कशी कनेक्ट होते, तेव्हा ते 802.1X सप्लिकंट म्हणून काम करू शकते. ते आपले SUDI प्रमाणपत्र नेटवर्कच्या ऑथेंटिकेटरला सादर करते, जे सहसा स्विच पोर्ट किंवा वायरलेस कंट्रोलर असते. ऑथेंटिकेटर ते क्रेडेंशियल RADIUS सर्व्हरकडे पाठवतो - Cisco ISE हा येथे सर्वात सामान्य पर्याय आहे, परंतु कोणताही RFC 2865-सुसंगत RADIUS सर्व्हर कार्य करतो. RADIUS सर्व्हर प्रमाणपत्र साखळी Cisco च्या रूट CA कडे प्रमाणित करतो. जर ती साखळी वैध असेल, तर डिव्हाइस अस्सल आहे. प्रवेश मंजूर केला जातो आणि योग्य VLAN नियुक्त केला जातो.

या संपूर्ण देवाणघेवाणीत EAP-TLS - Extensible Authentication Protocol with Transport Layer Security - चा वापर केला जातो - जो परस्पर प्रमाणीकरणाचा (mutual authentication) एक प्रकार आहे. यामध्ये डिव्हाइस आणि नेटवर्क दोन्ही एकमेकांना प्रमाणित करतात. कोणतेही पासवर्ड नाहीत. कोणतेही शेअर्ड सिक्रेट्स नाहीत. कोणतेही MAC ॲड्रेसेस नाहीत. फक्त क्रिप्टोग्राफिक पुरावा.

[short pause]

आता Zero Touch Provisioning बद्दल बोलूया, कारण येथेच मोठ्या प्रमाणावर तैनातीसाठी SUDI खरोखरच उपयुक्त ठरते. कल्पना करा की तुम्ही एखाद्या हॉटेल चेनमध्ये 200 ॲक्सेस पॉइंट्स लावत आहात, किंवा 40 रिटेल ठिकाणी नेटवर्क इन्फ्रास्ट्रक्चर तैनात करत आहात. सामान्यतः, याचा अर्थ असा की प्रत्येक ठिकाणी एक तंत्रज्ञ असेल, जो प्रत्येक डिव्हाइस मॅन्युअली कॉन्फिगर करेल. SUDI-आधारित ZTP मुळे, डिव्हाइस सुरू होते, त्याची SUDI ओळख प्रॉव्हिजनिंग सर्व्हरसमोर सादर करते, सर्व्हर प्रमाणपत्राची वैधता तपासतो, तुमच्या इन्व्हेंटरीसह सिरियल नंबरची पडताळणी करतो आणि योग्य कॉन्फिगरेशन पुश करतो - जे एनक्रिप्टेड असते, त्यामुळे केवळ तेच विशिष्ट डिव्हाइस ते डिक्रिप्ट करू शकते. तंत्रज्ञांचे काम फक्त फिजिकल इन्स्टॉलेशनपुरते मर्यादित राहते. बाकीचे काम नेटवर्क स्वतः करते.

हॉस्पिटॅलिटी आणि रिटेल ऑपरेटर्ससाठी, ही एक मोठी ऑपरेशनल बचत आहे. उदाहरणार्थ, Premier Inn शेकडो प्रॉपर्टीज चालवते. एखाद्या ठिकाणी प्री-रॅक केलेले हार्डवेअर पाठवणे आणि त्याची ओळख तपासून ते स्वतः कॉन्फिगर होणे, यामुळे दोन दिवसांचे कमिशनिंगचे काम फक्त दोन तासांवर येते.

[short pause]

आता आपण सर्टिफिकेट लाइफसायकल समजून घेऊया, कारण याच ठिकाणी अनेकदा टीम्स अडकतात.

मूळ SUDI प्रमाणपत्रे मॅन्युफॅक्चरिंगच्या तारखेपासून दहा वर्षांच्या वैधतेसह जारी केली गेली होती, ज्यांची मर्यादा 14 मे 2029 पर्यंत आहे. Cisco ने प्रभावित उत्पादनांचा समावेश असणाऱ्या फील्ड नोटीस - FN 72094 आणि FN 72105 - जारी केल्या आहेत. मे 2019 नंतर उत्पादित केलेल्या डिव्हाइसेसची वैधता विंडो दहा वर्षांपेक्षा कमी आहे. जेव्हा SUDI एक्स्पायर होते, तेव्हा TLS साठी त्यावर अवलंबून असणारी फीचर्स - जसे की HTTPS मॅनेजमेंट इंटरफेस, SSH सर्टिफिकेट ऑथेंटिकेशन, ZTP - काम करणे बंद करू शकतात. डिव्हाइस स्वतः काम करत राहते; ते निकामी होत नाही. पण त्या विशिष्ट प्रमाणित सेवा बंद होतात.

Cisco ने यावर उपाय म्हणून नवीन हार्डवेअरवर SUDI-2099 प्रमाणपत्रे आणली आहेत, जी डिसेंबर 2099 पर्यंत वैध आहेत. जर तुम्ही आज Cisco इन्फ्रास्ट्रक्चर खरेदी करत असाल, तर तुम्हाला SUDI-2099 मिळत आहे. तुमच्याकडे आधीचे जुने साहित्य असल्यास, iOS किंवा IOS-XE वर "show crypto pki certificates" वापरून तुमची एक्स्पायरी तारीख तपासा. त्यानुसार तुमच्या रिफ्रेश सायकलचे नियोजन करा.

[short pause]

चला, आता अंमलबजावणीच्या शिफारसींकडे वळूया. SUDI-आधारित ऑथेंटिकेशन तैनात करणाऱ्या कोणत्याही IT मॅनेजरला मी या तीन गोष्टी सांगू इच्छितो.

पहिली गोष्ट: तुमची RADIUS पॉलिसी केवळ सर्टिफिकेट चेनवर नाही, तर सर्टिफिकेट ॲट्रिब्युट्सवर आधारित तयार करा. तुमच्या डिव्हाइस इन्व्हेंटरीसह Subject CN ची पडताळणी करा. वैध Cisco प्रमाणपत्र हे सिद्ध करते की ते डिव्हाइस मूळ Cisco हार्डवेअर आहे - पण ते त्या ठिकाणासाठी तुम्ही मागवलेले विशिष्ट डिव्हाइस आहे हे सिद्ध करत नाही. तुमच्या RADIUS ऑथोरायझेशन पॉलिसीमध्ये सिरियल नंबर क्रॉस-रेफरन्स करा.

दुसरे: स्थलांतरादरम्यान (migration) तुमच्या अस्तित्वात असलेल्या MAB पॉलिसीऐवजी नव्हे, तर त्यासोबतच SUDI चालवा. कोणते डिव्हाइसेस 802.1AR ला सपोर्ट करतात हे शोधण्यासाठी Cisco ISE चे प्रोफाइलिंग वापरा आणि त्यांना हळूहळू सर्टिफिकेट-बेस्ड ऑथेंटिकेशनवर स्थलांतरित करा. जुने IoT डिव्हाइसेस - कॅमेरा, HVAC कंट्रोलर्स, कार्ड रीडर्स - बऱ्याचदा 802.1X अजिबात करू शकत नाहीत. त्यांच्यासाठी MAB हाच अंतिम पर्याय राहतो. पायाभूत सुविधांच्या (infrastructure) उपकरणांसाठी आधी MAB काढून टाकणे हे ध्येय आहे, कारण तेथे सर्वाधिक जोखीम असते.

तिसरे: तुमच्या CMDB मध्ये तुमच्या सर्टिफिकेटची समाप्ती तारीख नोंदवून ठेवा. हे अगदी स्पष्ट वाटते, परंतु यामुळेच टीम्स अडचणीत येतात. एखादा स्विच ज्याने त्याची SUDI मुदत संपल्यामुळे HTTPS मॅनेजमेंट कनेक्शन्स स्वीकारणे बंद केले आहे, अशा समस्येचे रात्री दोन वाजता निदान करणे सोपे नसते.

[short pause]

जलद प्रश्नोत्तरे. मी तुम्हाला थोडक्यात उत्तरे देतो.

SUDI हे 802.1X ची जागा घेते का? नाही. SUDI हे क्रेडेंशियल आहे. 802.1X ही ऑथेंटिकेशन फ्रेमवर्क आहे. SUDI हे तुम्ही 802.1X एक्सचेंज दरम्यान सादर करता.

मी Cisco नसलेल्या इतर RADIUS सर्व्हर्ससोबत SUDI वापरू शकतो का? होय. कोणताही RADIUS सर्व्हर जो EAP-TLS ला सपोर्ट करतो आणि X.509 सर्टिफिकेट चेन प्रमाणित करू शकतो, तो SUDI सोबत काम करू शकतो. तुम्हाला तुमच्या RADIUS सर्व्हरच्या ट्रस्टेड स्टोअरमध्ये Cisco चे रूट CA सर्टिफिकेट इम्पोर्ट करावे लागेल.

Cisco Meraki हे SUDI ला सपोर्ट करते का? होय, इन्फ्रास्ट्रक्चर ऑथेंटिकेशनसाठी. Meraki ॲक्सेस पॉइंट्स क्लाउड कंट्रोलर ऑथेंटिकेशनसाठी मॅन्युफॅक्चरर-इन्स्टॉल केलेल्या सर्टिफिकेट्सच्या स्वतःच्या प्रकाराचा वापर करतात. Meraki डॅशबोर्ड २०२६ च्या अंतिम मुदतीपूर्वी SUDI समाप्ती हाताळण्यासाठी अपडेट केला गेला होता.

Purple WiFi चे काय? Purple हे तुमच्या अस्तित्वात असलेल्या इन्फ्रास्ट्रक्चरच्या - Cisco Meraki, HPE Aruba, Ruckus आणि इतर - वर क्लाउड ओव्हरले म्हणून काम करते. Purple चे Identity-Based Networks लेयर हे हार्डवेअर ऑथेंटिकेशन प्लेनच्या वर काम करते. SUDI स्वतः इन्फ्रास्ट्रक्चर डिव्हाइसेस सुरक्षित करते. Purple त्यावरील व्हिजिटर आणि स्टाफ आयडेंटिटी लेयर सुरक्षित करते. हे दोन्ही एकमेकांना पूरक आहेत, स्पर्धात्मक नाहीत.

[short pause]

थोडक्यात सांगायचे तर. Cisco SUDI तुम्हाला हार्डवेअर-अँकर केलेली, क्रिप्टोग्राफिकली पडताळणी करण्यायोग्य डिव्हाइस ओळख प्रदान करते. हे इन्फ्रास्ट्रक्चर डिव्हाइसेससाठी अटॅक व्हेक्टर म्हणून MAC स्पूफिंग पूर्णपणे काढून टाकते. हे मोठ्या प्रमाणावर Zero Touch Provisioning सक्षम करते. हे IEEE 802.1AR, PCI-DSS 4.0, आणि ISO 27001 च्या नियंत्रण आवश्यकतांशी सुसंगत आहे. आणि हे कोणत्याही 802.1X आणि EAP-TLS सक्षम RADIUS इन्फ्रास्ट्रक्चरसह सहजपणे समाकलित होते.

पुढील व्यावहारिक पावले: SUDI सर्टिफिकेट संपण्याच्या तारखांसाठी तुमच्या Cisco उपकरणांच्या इन्व्हेंटरीचे ऑडिट करा, कोणते डिव्हाइसेस MAB चालवत आहेत जे सर्टिफिकेट-बेस्ड ऑथेंटिकेशनवर स्थलांतरित केले जाऊ शकतात ते ओळखा आणि चेन-ऑफ-ट्रस्ट तपासणीसोबत सिरियल नंबर व्हॅलिडेशन जोडण्यासाठी तुमच्या RADIUS पॉलिसीचे पुनरावलोकन करा.

जर तुम्ही तुमच्या ठिकाणी Purple चालवत असाल, तर आमची टीम तुम्हाला मार्गदर्शन करू शकते की Identity-Based Networks तुमच्या सध्याच्या Cisco इन्फ्रास्ट्रक्चरशी कसे जोडले जाते. लिंक शो नोट्समध्ये दिली आहे.

ऐकल्याबद्दल धन्यवाद. पुन्हा भेटूया.

महत्वाचे मुद्दे

✓SUDI Cisco डिव्हाइसेससाठी हार्डवेअर - बर्न केलेले, बनावट न करता येणारे X.509 प्रमाणपत्र प्रदान करते.
✓हे MAB तैनातींमध्ये अंतर्निहित असणाऱ्या MAC ॲड्रेस स्पूफिंगचा धोका काढून टाकते.
✓SUDI ही सुरक्षित डिव्हाइस आयडेंटिफायर्ससाठी IEEE 802.1AR मानकांची Cisco ची अंमलबजावणी आहे.
✓हे रिटेल आणि हॉस्पिटॅलिटी रोलआउट्ससाठी मोठ्या प्रमाणावर सुरक्षित Zero Touch Provisioning (ZTP) सक्षम करते.
✓मूळ SUDI प्रमाणपत्रे 10 वर्षांनंतर कालबाह्य होतात; नवीन हार्डवेअर SUDI-2099 प्रमाणपत्रे वापरते.
✓RADIUS पॉलिसींनी मंजूर इन्व्हेंटरी सूचीच्या विरूद्ध प्रमाणपत्राचा सिरीयल नंबर तपासला पाहिजे.
✓SUDI इन्फ्रास्ट्रक्चर हार्डवेअर सुरक्षित करते, तर Purple वरील अभ्यागत ओळख स्तर सुरक्षित करते.

कार्यकारी सारांश (Executive Summary)

बर्‍याच एंटरप्राइझ नेटवर्क्स अजूनही इन्फ्रास्ट्रक्चर डिव्हाइसेस ओळखण्यासाठी MAC Authentication Bypass (MAB) वर अवलंबून असतात. मुख्य अडचण अशी आहे की, MAC पत्ते सहजपणे नकली (spoof) केले जाऊ शकतात. लॅपटॉप असलेला आणि पंधरा मिनिटे वेळ असलेला एखादा हॅकर, एका विश्वसनीय ऍक्सेस पॉइंटचा MAC पत्ता क्लोन करू शकतो आणि थेट तुमच्या नेटवर्कमध्ये प्रवेश करू शकतो. हा एक दस्तऐवजीकरण केलेला हल्ला मार्ग आहे, ज्याचा PCI-DSS 4.0 मध्ये कार्डधारक डेटा वातावरणासाठी अपुरा म्हणून विशेष उल्लेख केला आहे.

Cisco चे Secure Unique Device Identifier (SUDI) याचे निराकरण करते. हे उत्पादन दरम्यान डिव्हाइसच्या Trust Anchor module (TAm) मध्ये बर्न केलेले एक X.509v3 प्रमाणपत्र आहे. हे क्लोन किंवा एक्सपोर्ट केले जाऊ शकत नाही. MAB कडून SUDI-आधारित EAP-TLS ऑथेंटिकेशनकडे स्थलांतरित होऊन, तुम्ही शेअर्ड सिक्रेटच्या जागी ओळखीचा क्रिप्टोग्राफिक पुरावा आणता. हे मार्गदर्शक Cisco SUDI चे तांत्रिक आर्किटेक्चर तपशीलवार सांगते, आणि स्पष्ट करते की हार्डवेअर-अँकर्ड ओळख नेटवर्क ऍक्सेस कंट्रोलला कशी सुरक्षित करते आणि मोठ्या प्रमाणावर Zero Touch Provisioning सक्षम करते.

तांत्रिक सखोल विश्लेषण (Technical Deep-Dive)

SUDI ही IEEE 802.1AR ची अंमलबजावणी आहे, जी Secure Device Identifiers चे मानक आहे. 802.1AR च्या परिभाषेत, SUDI हे IDevID (Initial Device Identifier) म्हणून कार्य करते. ही फॅक्टरी-इंस्टॉल केलेली ओळख आहे जी हे सिद्ध करते की हे डिव्हाइस एक अस्सल Cisco उत्पादन आहे, जे एका ज्ञात सुविधेमध्ये तयार केले गेले आहे आणि ज्याचा सिरीयल नंबर ज्ञात आहे.

ऑथेंटिकेशन प्रवाह (Authentication Flow)

जेव्हा एखादे Cisco डिव्हाइस तुमच्या नेटवर्कशी कनेक्ट होते, तेव्हा ते 802.1X सप्लिकंट (supplicant) म्हणून काम करते. ते आपले SUDI प्रमाणपत्र नेटवर्कच्या ऑथेंटिकेटरकडे (सहसा स्विच पोर्ट) सादर करते. ऑथेंटिकेटर ते क्रेडेंशियल EAP-TLS द्वारे Cisco ISE सारख्या RADIUS सर्व्हरकडे फॉरवर्ड करतो.

RADIUS सर्व्हर प्रमाणपत्राच्या साखळीची Cisco च्या सार्वजनिक रूट सर्टिफिकेट अथॉरिटीकडे पडताळणी करतो. साखळी वैध असल्यास, डिव्हाइस अस्सल आहे. प्रवेश मंजूर केला जातो आणि योग्य VLAN नियुक्त केला जातो. हे परस्पर ऑथेंटिकेशन (mutual authentication) ट्राफिक पास होण्यापूर्वी डिव्हाइस आणि नेटवर्क दोन्ही एकमेकांच्या ओळखीची खात्री करून घेतात.

प्रमाणपत्राची मुदत संपणे आणि SUDI-2099

मूळ SUDI प्रमाणपत्रे उत्पादनाच्या तारखेपासून 10 वर्षांच्या वैधतेसह जारी केली गेली होती, ज्याची अंतिम मर्यादा 14 मे 2029 होती. मे 2019 नंतर उत्पादित केलेल्या उपकरणांची मुदत कमी आहे. जेव्हा SUDI ची मुदत संपते, तेव्हा त्यावर TLS साठी अवलंबून असलेली वैशिष्ट्ये - जसे की HTTPS मॅनेजमेंट इंटरफेस, SSH सर्टिफिकेट ऑथेंटिकेशन आणि Zero Touch Provisioning - काम करणे बंद करू शकतात.

Cisco ने नवीन हार्डवेअरवर SUDI-2099 प्रमाणपत्रे सादर करून याचे निराकरण केले आहे, जी डिसेंबर 2099 पर्यंत वैध आहेत. मुदत संपणारी प्रमाणपत्रे असलेले डिव्हाइसेस ओळखण्यासाठी आणि त्यानुसार तुमच्या रिफ्रेश सायकलचे नियोजन करण्यासाठी तुम्ही तुमच्या सध्याच्या इन्व्हेंटरीचे ऑडिट करणे आवश्यक आहे.

अंमलबजावणी मार्गदर्शिका

कायदेशीर इन्फ्रास्ट्रक्चर ब्लॉक होणे टाळण्यासाठी SUDI कडे स्थलांतरित करताना काळजीपूर्वक नियोजन करणे आवश्यक आहे.

१. आपल्या इन्व्हेंटरीचे ऑडिट करा

show crypto pki certificates कमांड वापरून IOS किंवा IOS-XE उपकरणांवर सध्याच्या SUDI प्रमाणपत्रांच्या समाप्ती तारखा तपासा. आपल्या CMDB मध्ये या तारखांची नोंद करा.

२. आपला RADIUS सर्व्हर कॉन्फिगर करा

तुमच्या RADIUS सर्व्हरच्या विश्वसनीय प्रमाणपत्र स्टोअरमध्ये Cisco Root CA इम्पोर्ट करा. सर्व्हरने SUDI प्रमाणपत्र साखळी प्रमाणित करण्यासाठी हे आवश्यक आहे.

३. सिरीयल नंबर प्रमाणीकरण तयार करा

एक वैध Cisco प्रमाणपत्र हे सिद्ध करते की हे डिव्हाइस मूळ Cisco हार्डवेअर आहे, परंतु ते त्या विशिष्ट स्थानासाठी आपण ऑर्डर केलेले डिव्हाइस असल्याचे सिद्ध करत नाही. आपल्या मंजूर डिव्हाइस इन्व्हेंटरीसह Subject CN (ज्यामध्ये सिरीयल नंबर समाविष्ट आहे) चे क्रॉस-रेफरन्स करण्यासाठी आपण आपले RADIUS ऑथोरायझेशन धोरण कॉन्फिगर केले पाहिजे.

४. समांतर धोरणे चालवा

स्थलांतरादरम्यान आपल्या सध्याच्या MAB धोरणासोबत SUDI चालवा. कोणती उपकरणे 802.1AR ला सपोर्ट करतात हे ओळखण्यासाठी Cisco ISE प्रोफाइलिंग वापरा आणि त्यांना हळूहळू प्रमाणपत्र-आधारित प्रमाणीकरणाकडे हलवा. लेगसी IoT उपकरणे सहसा 802.1X करू शकत नाहीत, म्हणून त्या विशिष्ट एंडपॉइंट्ससाठी MAB हा फॉलबॅक पर्याय राहतो.

सर्वोत्तम पद्धती

Guest WiFi सोल्यूशन्ससह Cisco इन्फ्रास्ट्रक्चर तैनात करताना, आपला ट्रॅफिक व्यवस्थितपणे वेगळा करा. Three SSIDs to rule them all: guest, Passpoint, and IoT WiFi मध्ये चर्चा केल्याप्रमाणे, इन्फ्रास्ट्रक्चर उपकरणे एका समर्पित मॅनेजमेंट VLAN वर असावीत, जी अभ्यागत ट्रॅफिकपासून पूर्णपणे वेगळी असेल.

इन्फ्रास्ट्रक्चर हार्डवेअर प्रमाणित करण्यासाठी SUDI वापरा (Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, Fortinet). त्यानंतर, अभ्यागत ओळख स्तर व्यवस्थापित करण्यासाठी Purple च्या क्लाउड ओव्हरलेचा वापर करा. Purple हे Microsoft Entra ID, Okta, आणि Google Workspace सह समाकलित होऊन ठिकाणावरील वापरकर्त्यांसाठी सुरक्षित, प्रोफाइल-आधारित प्रमाणीकरण प्रदान करते, तर SUDI मूळ हार्डवेअर सुरक्षित करते.

त्रुटी निवारण आणि जोखीम कमी करणे

सर्वात सामान्य बिघाड म्हणजे मुदत संपलेले SUDI प्रमाणपत्र ज्यामुळे मॅनेजमेंट लॉकआउट होते. समाप्ती तारखांची काटेकोरपणे नोंद ठेवा.

डिव्हाइसचे प्रमाणीकरण अयशस्वी झाल्यास, RADIUS सर्व्हरमध्ये योग्य Cisco Root CA इन्स्टॉल केले आहे आणि डिव्हाइसचे घड्याळ NTP द्वारे सिंक केले आहे याची खात्री करा. ऑथेंटिकेटरची वेळ चुकीची असल्यास प्रमाणपत्र प्रमाणीकरण अयशस्वी होईल.

ROI आणि व्यावसायिक प्रभाव

SUDI मोठ्या प्रमाणावर Zero Touch Provisioning (ZTP) सक्षम करते. हॉस्पिटॅलिटी आणि रिटेल ऑपरेटर्ससाठी, ही एक लक्षणीय ऑपरेशनल बचत आहे. ४० रिटेल लोकेशन्सवर ॲक्सेस पॉइंट्स तैनात करताना, ZTP तुम्हाला प्री-रॅक्ड हार्डवेअर थेट साइटवर पाठवण्याची परवानगी देते. डिव्हाइस बूट होते, प्रोव्हिजनिंग सर्व्हरला त्याची SUDI ओळख सादर करते आणि त्याचे एन्क्रिप्टेड कॉन्फिगरेशन स्वयंचलितपणे खेचून घेते. यामुळे दोन दिवसांची कमिशनिंग भेट फक्त दोन तासांच्या भौतिक स्थापनेत रूपांतरित होते.

इम्प्लीमेंटेशन धोरणांवर आणि SUDI ला PCI DSS 4.0 आवश्यकतांशी कसे सुसंगत करावे यावरील सखोल चर्चेसाठी आमचे १० मिनिटांचे तांत्रिक ब्रीफिंग पॉडकास्ट वरील लिंकवर ऐका.

महत्वाच्या व्याख्या

SUDI (Secure Unique Device Identifier)

Cisco डिव्हाइसच्या हार्डवेअरमध्ये मॅन्युफॅक्चरिंग दरम्यान बर्न केलेले X.509v3 सर्टिफिकेट आणि संबंधित प्रायव्हेट की, जे बनावट बनवता न येणारी सुरक्षित ओळख प्रदान करते.

नेटवर्क इन्फ्रास्ट्रक्चर प्रमाणित करण्यासाठी सहजपणे स्पूफ केल्या जाणाऱ्या MAC ॲड्रेसेस बदलण्यासाठी वापरले जाते.

IEEE 802.1AR

उद्योग मानक जे स्पष्ट करते की इंटरऑपरेबल, गुपित-बद्ध डिव्हाइस प्रमाणीकरण प्रदान करण्यासाठी Secure Device Identifiers (DevIDs) कसे लागू केले जावे.

SUDI ही Cisco ची 802.1AR मानकाची विशिष्ट अंमलबजावणी आहे.

IDevID (Initial Device Identifier)

802.1AR मध्ये निर्दिष्ट केलेले फॅक्टरी-इन्स्टॉल केलेले सर्टिफिकेट जे डिव्हाइसची उत्पत्ती आणि सिरियल नंबर सिद्ध करते.

SUDI सर्टिफिकेट Cisco हार्डवेअरसाठी IDevID म्हणून कार्य करते.

EAP-TLS

Extensible Authentication Protocol with Transport Layer Security. एक अत्यंत सुरक्षित प्रमाणीकरण पद्धत ज्यामध्ये क्लायंट आणि सर्व्हर दोघांनाही सर्टिफिकेट सादर करणे आवश्यक असते.

जेव्हा Cisco डिव्हाइस आपले SUDI सर्टिफिकेट RADIUS सर्व्हरसमोर सादर करते तेव्हा वापरला जाणारा प्रोटोकॉल.

MAB (MAC Authentication Bypass)

एक नेटवर्क ॲक्सेस कंट्रोल पद्धत जी डिव्हाइसच्या MAC ॲड्रेसचा वापर त्याची ओळख प्रमाणपत्र म्हणून करते.

ऐतिहासिकदृष्ट्या सामान्य परंतु मूळतः असुरक्षित, कारण हल्लेखोरांद्वारे MAC ॲड्रेसेस सहजपणे क्लोन केले जाऊ शकतात.

TAm (Trust Anchor module)

Cisco डिव्हाइसेसच्या आत असणारी एक प्रोप्रायटरी, छेडछाड-प्रतिरोधक (tamper-resistant) हार्डवेअर चिप जी SUDI सर्टिफिकेट आणि त्याची प्रायव्हेट की सुरक्षितपणे संग्रहित करते.

प्रायव्हेट की कधीही एक्सपोर्ट किंवा क्लोन केली जाऊ शकत नाही याची खात्री करते, आणि ओळख भौतिकरित्या सिलिकॉनशी जोडते.

Zero Touch Provisioning (ZTP)

एक स्वयंचलित प्रक्रिया ज्यामध्ये कोणतेही मॅन्युअल हस्तक्षेप न करता डिव्हाइस नेटवर्कशी जोडले जाते, स्वतःला ऑथेंटिकेट करते आणि त्याचे कॉन्फिगरेशन डाउनलोड करते.

SUDI संवेदनशील कॉन्फिगरेशन डेटा पाठवण्यापूर्वी डिव्हाइसची ओळख सिद्ध करून सुरक्षित ZTP सक्षम करते.

RADIUS

Remote Authentication Dial-In User Service. एक नेटवर्किंग प्रोटोकॉल जो केंद्रीकृत ऑथेंटिकेशन, ऑथरायझेशन आणि अकाउंटिंग (AAA) व्यवस्थापन प्रदान करतो.

सर्व्हर (उदा. Cisco ISE) जो SUDI प्रमाणपत्र प्राप्त करतो आणि नेटवर्क प्रवेश मंजूर करायचा की नाही हे ठरवतो.

सोडवलेली उदाहरणे

एका २०० खोल्यांच्या हॉटेलला त्यांच्या संपूर्ण मालमत्तेवर १५० नवीन Cisco Meraki ॲक्सेस पॉईंट्स (APs) तैनात करायचे आहेत. आयटी टीमला प्रत्येक AP जागेवर जाऊन व्यक्तिशः कॉन्फिगर करण्याचे टाळायचे आहे, तसेच व्यवस्थापन VLAN मध्ये केवळ अधिकृत हार्डवेअरच सामील होऊ शकेल याची खात्री करायची आहे.

टीम SUDI चा वापर करून Zero Touch Provisioning (ZTP) लागू करते. ते खरेदी केलेल्या १५० APs चे सिरियल नंबर्स त्यांच्या RADIUS सर्व्हरमध्ये (Cisco ISE) अपलोड करतात. हे APs थेट हॉटेलवर पाठवले जातात आणि स्थानिक कंत्राटदाराद्वारे भौतिकरित्या माउंट केले जातात. बूट झाल्यावर, प्रत्येक AP आपले SUDI सर्टिफिकेट 802.1X EAP-TLS द्वारे सादर करतो. RADIUS सर्व्हर Cisco Root CA चेन प्रमाणित करतो आणि सिरियल नंबर इन्व्हेंटरी लिस्टशी जुळत असल्याची पुष्टी करतो. व्यवस्थापन VLAN मध्ये प्रवेश मंजूर केला जातो आणि APs Meraki क्लाउडवरून त्यांचे कॉन्फिगरेशन स्वयंचलितपणे डाउनलोड करतात.

परीक्षकाचे भाष्य: हा दृष्टिकोन केंद्रीय आयटी सुविधेमध्ये हार्डवेअरची पूर्व-तयारी (staging) करण्याची गरज पूर्णपणे काढून टाकतो. RADIUS ऑथरायझेशन पॉलिसी थेट SUDI सर्टिफिकेटमध्ये एम्बेड केलेल्या विशिष्ट सिरियल नंबर्सशी जोडून, टीम अनधिकृत Cisco डिव्हाइसेसना नेटवर्कमध्ये सामील होण्यापासून रोखते, ज्यामुळे ऑपरेशनल कार्यक्षमता आणि कठोर सुरक्षा अनुपालन दोन्ही साध्य होतात.

एक मोठे स्टेडियम त्यांच्या नेटवर्क ॲक्सेस कंट्रोलचे MAB वरून 802.1X वर स्थलांतर (migrating) करत आहे. या वातावरणामध्ये Cisco Catalyst स्विचेस, आधुनिक IP कॅमेरे आणि जुने HVAC कंट्रोलर्स समाविष्ट आहेत.

नेटवर्क आर्किटेक्ट्स RADIUS सर्व्हरला EAP-TLS आणि MAB दोन्ही स्वीकारण्यासाठी कॉन्फिगर करतात. ते Cisco स्विचेस आणि 802.1AR चे समर्थन करणारे आधुनिक कॅमेरे ओळखण्यासाठी एंडपॉईंट प्रोफाइलिंगचा वापर करतात आणि त्यांना SUDI/सर्टिफिकेट-आधारित प्रमाणीकरणावर (authentication) हस्तांतरित करतात. जुने HVAC कंट्रोलर्स, ज्यांच्याकडे 802.1X सप्लिकंट्स नाहीत, ते MAB वरच राहतात परंतु त्यांना अत्यंत मर्यादित, इंटरनेट नाकारलेल्या VLAN मध्ये प्रतिबंधित केले जाते.

परीक्षकाचे भाष्य: हे टप्प्याटप्प्याने केलेले स्थलांतर योग्य धोरण आहे. थेट 802.1X वर अचानक स्थलांतर करण्याचा प्रयत्न केल्यास अनेकदा महत्त्वपूर्ण IoT सिस्टीम्स नेटवर्कमधून बाहेर पडतात. जुन्या उपकरणांसाठी फॉलबॅक म्हणून MAB राखून ठेवत, सक्षम इन्फ्रास्ट्रक्चरसाठी SUDI लागू केल्यामुळे, स्टेडियम तंत्रज्ञानात कोणताही अडथळा न आणता आपली एकूण सुरक्षा मजबूत करू शकते.

सराव प्रश्न

Q1. तुम्ही एका रिटेल वातावरणात 50 नवीन Cisco Catalyst स्विचेस तैनात करत आहात. तुम्हाला ऑथेंटिकेशनसाठी SUDI वापरायचे आहे. केवळ तुम्ही खरेदी केलेल्या स्विचेसलाच नेटवर्कवर परवानगी आहे हे सुनिश्चित करण्यासाठी तुम्ही तुमच्या RADIUS सर्व्हरमध्ये कोणते विशिष्ट कॉन्फिगरेशन जोडले पाहिजे?

टीप: एक वैध SUDI प्रमाणपत्र केवळ हे सिद्ध करते की डिव्हाइस Cisco द्वारे उत्पादित केले गेले होते, त्याचा मालक कोण आहे हे नाही.

नमुना उत्तर पहा

तुम्ही तुमच्या विशिष्ट इन्व्हेंटरी सूचीच्या विरूद्ध Subject CN (ज्यामध्ये डिव्हाइसचा सिरीयल नंबर असतो) प्रमाणित करण्यासाठी RADIUS ऑथरायझेशन पॉलिसी कॉन्फिगर करणे आवश्यक आहे. याशिवाय, कोणतेही अस्सल Cisco डिव्हाइस ऑथेंटिकेट होऊ शकते.

Q2. नेटवर्क ऑडिट दरम्यान, तुम्हाला आढळले की 2017 मध्ये उत्पादित केलेले अनेक Cisco ISR राउटर SSH ऑथेंटिकेशन आणि HTTPS व्यवस्थापनासाठी SUDI प्रमाणपत्रे वापरत आहेत. तुम्ही कोणत्या ऑपरेशनल जोखमीचे नियोजन केले पाहिजे?

टीप: मूळ SUDI प्रमाणपत्रांच्या वैधतेचा कालावधी विचारात घ्या.

नमुना उत्तर पहा

मूळ SUDI प्रमाणपत्रे उत्पादनाच्या तारखेपासून 10 वर्षांनी कालबाह्य होतात. या राउटरची प्रमाणपत्रे 2027 मध्ये कालबाह्य होतील. जेव्हा ती कालबाह्य होतील, तेव्हा TLS वर अवलंबून असणाऱ्या सेवा जसे की SSH प्रमाणपत्र ऑथेंटिकेशन आणि HTTPS व्यवस्थापन अयशस्वी होतील, ज्यामुळे प्रशासक त्या इंटरफेसवरून लॉक आउट होतील. कालबाह्य होण्यापूर्वी ही डिव्हाइसेस ओळखली पाहिजेत आणि त्यांच्या पुनर्स्थापना किंवा रीकॉन्फिगरेशनचे नियोजन केले पाहिजे.

Q3. तुम्ही एका हॉस्पिटल नेटवर्कला 802.1X वर स्थलांतरित करत आहात. नेटवर्कमध्ये आधुनिक Meraki APs आणि जुनी MRI मॉनिटरिंग उपकरणे समाविष्ट आहेत जी केवळ MAC पत्त्यांना सपोर्ट करतात. तुम्ही ऑथेंटिकेशन पॉलिसीची रचना कशी करावी?

टीप: सर्व डिव्हाइसेसना प्रमाणपत्रे वापरण्यास भाग पाडणारा कडक कटओव्हर करण्याचा प्रयत्न करू नका.

नमुना उत्तर पहा

MAB सोबतच SUDI (EAP-TLS) चालवा. Cisco ISE मधील डिव्हाइसेसचे प्रोफाइल तयार करा. इन्फ्रास्ट्रक्चरसाठी मजबूत, हार्डवेअर - अँकर ओळख सुनिश्चित करण्यासाठी Meraki APs साठी SUDI लागू करा. जुन्या MRI उपकरणांना MAB वर परत जाण्याची परवानगी द्या, परंतु त्या MAC पत्त्यांना अत्यंत वेगळ्या, इंटरनेट नाकारलेल्या क्लिनिकल VLAN पुरते मर्यादित ठेवा.

या मालिकेमध्ये पुढे वाचा

कर्मचारी आणि अतिथी WiFi नेटवर्क सुरक्षितपणे कसे वेगळे करावे

हे अधिकृत तांत्रिक मार्गदर्शक IT नेत्यांना VLAN आणि 802.1X चा वापर करून कर्मचारी, अतिथी आणि IoT WiFi नेटवर्क्स सुरक्षितपणे वेगळे करण्यासाठी कृतीयोग्य रणनीती प्रदान करते. हे एंटरप्राइझ इन्फ्रास्ट्रक्चर सुरक्षित कसे करावे, PCI DSS अनुपालन कसे राखायचे आणि फर्स्ट-पार्टी डेटा कॅप्चर करण्यासाठी कॅप्टिव्ह पोर्टलचा कसा फायदा घ्यावा याचे तपशील प्रदान करते.

सर्वोत्तम DNS filtering: व्यवसायांसाठी एक व्यापक मार्गदर्शक

हे तांत्रिक संदर्भ मार्गदर्शक स्पष्ट करते की कशा प्रकारे एंटरप्राइझ DNS filtering हे कनेक्शन स्थापित होण्यापूर्वीच - रिझोल्यूशन लेयरवर दुर्भावनापूर्ण डोमेन्स ब्लॉक करून सार्वजनिक नेटवर्क सुरक्षित करते. हे IT संचालक, नेटवर्क आर्किटेक्ट आणि वेन्यू ऑपरेशन्स टीम्सना डेव्हलपमेंट आर्किटेक्चर, फायरवॉल कॉन्फिगरेशन आणि अनुपालन संदर्भ प्रदान करते जे त्यांना हॉस्पिटॅलिटी, रिटेल आणि सार्वजनिक क्षेत्रातील वातावरणात Guest WiFi सुरक्षित करण्यासाठी आवश्यक आहे. Purple Shield हे ८०,००० पेक्षा जास्त थेट वेन्यूवर DNS स्तरावर मालवेअर, बॉटनेट्स आणि अयोग्य कंटेंट ब्लॉक करते.

स्वयंचलित Enterprise WiFi प्रमाणपत्र नावनोंदणीसाठी SCEP कसे कॉन्फिगर करावे

हे मार्गदर्शक स्वयंचलित enterprise WiFi प्रमाणपत्र नावनोंदणीसाठी SCEP (Simple Certificate Enrollment Protocol) कसे कॉन्फिगर करावे हे स्पष्ट करते, ज्यामध्ये PKI आणि NDES पासून ते MDM प्रोफाइल उपयोजन आणि RADIUS प्रमाणीकरणापर्यंतच्या संपूर्ण आर्किटेक्चरचा समावेश आहे. हे हॉटेल्स, रिटेल चेन्स, स्टेडियम, कॉन्फरन्स सेंटर्स आणि सार्वजनिक क्षेत्रातील संस्थांमधील आयटी व्यवस्थापक, नेटवर्क आर्किटेक्ट्स आणि CTOs ना उद्देशून आहे ज्यांना प्री-शेअर्ड कीजच्या पलीकडे जाऊन स्केलेबल, ओळख-आधारित 802.1X EAP-TLS प्रमाणीकरण लागू करायचे आहे. Purple चे हार्डवेअर-अज्ञेयवादी, क्लाउड ओव्हरले प्लॅटफॉर्म थेट या आर्किटेक्चरसह समाकलित होते, जे तुमच्या प्रमाणपत्र-प्रमाणित कर्मचारी नेटवर्कसह गेस्ट आणि BYOD WiFi स्तर प्रदान करते.