Usm PPSK: वैशिष्ट्ये आणि उपयोजन (deployment) मॉडेल्सची तुलना

Purple Technical Briefing मध्ये आपले स्वागत आहे. आज आपण USM PPSK - Private Pre-Shared Keys साठी Unified Security Model - म्हणजे काय, हे इतर पर्यायांच्या तुलनेत कसे आहे आणि बहु-भाडेकरू निवासी तसेच व्यावसायिक मालमत्तांमध्ये हे कुठे लागू करणे योग्य आहे याबद्दल माहिती घेणार आहोत. चला समस्येपासून सुरुवात करूया. जर आपण प्रॉपर्टी डेव्हलपर, बिल्ड-टू-रेंट ऑपरेटर किंवा मल्टि-ड्वेलिंग युनिट डेव्हलपमेंट व्यवस्थापित करणारे घरमालक असाल, तर आपण अशी इमारत चालवत आहात जिथे डझनभर किंवा शेकडो स्वतंत्र कुटुंबे एकच फिजिकल नेटवर्क इन्फ्रास्ट्रक्चर सामायिक करतात. आपल्याला प्रत्येक रहिवाशासाठी एक खाजगी, घरगुती WiFi अनुभवाची आवश्यकता असते. त्यांच्या Chromecast ला त्यांचा फोन शोधता आला पाहिजे. त्यांच्या स्मार्ट स्पीकरला त्यांच्या बल्बशी संवाद साधता आला पाहिजे. आणि यापैकी काहीही शेजारच्या फ्लॅटमधील रहिवाशाला दिसू नये. यावरील पारंपारिक उपाय म्हणजे एकतर सामायिक पासवर्ड - जो मोठ्या प्रमाणावर सुरक्षेसाठी धोका ठरू शकतो - किंवा संपूर्ण 802.1X एंटरप्राइझ डिप्लॉयमेंट, ज्यासाठी Public Key Infrastructure, प्रमाणपत्र व्यवस्थापन आणि RADIUS सर्व्हरची आवश्यकता असते, जे चालवण्यासाठी बहुतेक मालमत्ता ऑपरेटरकडे IT संसाधने नसतात. यापैकी कोणताही पर्याय २००-युनिटच्या बिल्ड-टू-रेंट ब्लॉकसाठी योग्य नाही. येथेच PPSK चा वापर होतो. PPSK म्हणजे Private Pre-Shared Key. ही संकल्पना अगदी सोपी आहे: संपूर्ण इमारतीसाठी एका सामायिक WiFi पासवर्डऐवजी, प्रत्येक रहिवाशाला स्वतःचा वेगळा पासवर्ड मिळतो. ते एकाच SSID - म्हणजे एकाच नेटवर्क नावाला - जोडले जातात, परंतु त्यांची की (key) फक्त त्यांचीच असते. जर ते घर सोडून गेले, तर आपण त्यांची की रद्द करू शकता. याचा इतर कोणत्याही रहिवाशावर काहीही परिणाम होत नाही. आता, येथे तीन भिन्न मॉडेल आहेत आणि योग्य आर्किटेक्चरल निर्णय घेण्यासाठी यांमधील फरक समजून घेणे अत्यंत महत्त्वाचे आहे. पहिले मॉडेल म्हणजे मानक सामायिक PSK. एक पासवर्ड, सर्वजण एकाच नेटवर्कवर. बहुतेक इमारतींमध्ये आजूनही हेच चालते. हे तैनात करणे सोपे आहे, परंतु यात बिघाड झाल्यास संपूर्ण नेटवर्क प्रभावित होते. एका रहिवाशाने पासवर्ड बाहेर शेअर केला की आपण आपल्या नेटवर्क परिमितीवरील नियंत्रण गमावता. आपल्याला एखाद्या कंत्राटदाराचा ॲक्सेस काढून टाकायचा आहे? तर आपल्याला प्रत्येकासाठी पासवर्ड बदलावा लागेल. मोठ्या प्रमाणावर हे व्यवस्थापित करणे शक्य नाही. दुसरे मॉडेल म्हणजे Group PPSK. आपण वापरकर्त्यांच्या प्रत्येक गटाला एक युनिक की नियुक्त करता - कदाचित प्रत्येक मजल्यासाठी एक की, किंवा प्रत्येक भाडेकरू प्रकारासाठी एक की. हे सामायिक पासवर्डपेक्षा चांगले आहे, परंतु तरीही यामध्ये त्रुटी आल्यास मोठ्या भागावर परिणाम होण्याची समस्या असते. जर समूहातील एक की हॅक झाली, तर संपूर्ण समूह प्रभावित होतो. आणि आपण तरीही नेटवर्क लेयरवर वैयक्तिक रहिवाशांना एकमेकांपासून वेगळे करू शकत नाही. तिसरे मॉडेल - आणि ज्यावर आपण आज लक्ष केंद्रित करत आहोत - ते म्हणजे USM PPSK: Unique per-User Pre-Shared Key, जे Unified Security Model द्वारे व्यवस्थापित केले जाते. प्रत्येक रहिवाशाला, प्रत्येक डिव्हाइस ग्रुपला, स्वतःची स्वतंत्र क्रिप्टोग्राफिक युनिक की मिळते. आणि ती की स्वतःच्या VLAN शी - म्हणजेच स्वतःच्या नेटवर्क सेगमेंटशी जोडलेली असते - जी इमारतीतील इतर प्रत्येक रहिवाशापासून पूर्णपणे वेगळी असते. हे असे आर्किटेक्चर आहे जे मी म्हणतो त्याप्रमाणे WiFi बबल प्रदान करते. निवासी A ची उपकरणे एकमेकांना पाहू शकतात. ते कास्ट करू शकतात, पेअर करू शकतात, फाइल्स शेअर करू शकतात, अगदी तंतोतंत जसे ते घरगुती नेटवर्कवर करतात. परंतु निवासी A हा निवासी B च्या मालकीचे एकही उपकरण पाहू शकत नाही, जरी ते दोन्ही एकाच ऍक्सेस पॉईंटवर, एकाच SSID वर, समान भौतिक केबल पायाभूत सुविधा वापरून कनेक्ट केलेले असले तरीही. मला तुम्हाला तांत्रिक ऑथेंटिकेशन प्रवाहाची माहिती देऊ द्या, कारण याच ठिकाणी हे आर्किटेक्चर त्याचे महत्त्व सिद्ध करते. जेव्हा एखाद्या रहिवाशाचे उपकरण SSID शी कनेक्ट होते, तेव्हा वायरलेस LAN कंट्रोलर कनेक्शनच्या प्रयत्नात हस्तक्षेप करतो. तो उपकरणाचा MAC ऍड्रेस RADIUS सर्व्हरकडे फॉरवर्ड करतो. RADIUS सर्व्हर - जो क्लाउड-होस्टेड असू शकतो, जसे की Purple चा आहे - त्याच्या आयडेंटिटी स्टोअरमध्ये तो MAC ऍड्रेस शोधतो. तो त्या रहिवाशासाठी नियुक्त केलेली युनिक प्री-शेअर्ड की असलेला ऍक्सेस-अॅक्सेप्ट रिस्पॉन्स परत पाठवतो. कंट्रोलर उपकरणाने सादर केलेल्या कीची परत आलेल्या कीशी पडताळणी करतो. जर त्या जुळल्या, तर उपकरणाचे ऑथेंटिकेशन होते आणि ते रहिवाशाच्या समर्पित VLAN वर ठेवले जाते. महत्त्वाचे म्हणजे, त्या RADIUS रिस्पॉन्समध्ये VLAN असाइनमेंट देखील समाविष्ट असते. त्यामुळे उपकरणाचे केवळ ऑथेंटिकेशनच होत नाही. तर ते आपोआप योग्य नेटवर्क सेगमेंटवर, योग्य बँडविड्थ पॉलिसी आणि योग्य फायरवॉल नियमांसह ठेवले जाते - हे सर्व एकाच SSID मधून होते. कोणतीही SSID वाढ नाही. कोणताही बीकन ओव्हरहेड नाही. एक नेटवर्क नाव, आणि त्याखाली शेकडो वेगळी खाजगी नेटवर्क. आता USM - युनिफाइड सिक्युरिटी मॉडेलबद्दल बोलूया. हा मॅनेजमेंट लेयर आहे जो PPSK क्रेडेंशियल स्टोअरच्या वर कार्य करतो. तो की जनरेशन, वितरण, लाइफसायकल मॅनेजमेंट, पॉलिसी असाइनमेंट आणि रिव्होकेशन हाताळतो - आदर्शपणे तुमच्या प्रॉपर्टी मॅनेजमेंट सिस्टम किंवा आयडेंटिटी प्रोव्हाइडरसह API इंटिग्रेशनद्वारे. USM शिवाय, PPSK म्हणजे स्प्रेडशीटमधील युनिक पासवर्डचा संग्रह आहे. USM सह, ती एक स्वयंचलित, ऑडिट करण्यायोग्य, पॉलिसी-चालित ऍक्सेस कंट्रोल सिस्टम बनते. ऑपरेशनल ओव्हरहेडमधील फरक लक्षणीय आहे. चांगल्या प्रकारे अंमलात आणलेल्या USM डिप्लॉयमेंटमध्ये, जेव्हा एखादा नवीन रहिवासी त्यांच्या भाडेकरू करारावर स्वाक्षरी करतो, तेव्हा प्रॉपर्टी मॅनेजमेंट सिस्टम USM प्लॅटफॉर्मवर API कॉल ट्रिगर करते. प्लॅटफॉर्म एक युनिक PPSK जनरेट करतो, तो रहिवाशाच्या VLAN ला नियुक्त करतो, बँडविड्थ पॉलिसी सेट करतो आणि ईमेल किंवा QR कोडद्वारे रहिवाशाकडे क्रेडेंशियल पाठवतो - हे सर्व तुमच्या IT टीमच्या कोणत्याही मॅन्युअल हस्तक्षेपाशिवाय होते. जेव्हा ते बाहेर पडतात, तेव्हा तेच इंटिग्रेशन रिव्होकेशन ट्रिगर करते. त्यांची की काम करणे बंद करते. इतर कोणत्याही रहिवाशावर याचा परिणाम होत नाही. आता हे समजून घेण्यासाठी मला तुम्हाला दोन वास्तविक जगातील प्रसंग सांगू द्या. पहिली परिस्थिती: ३००-युनिटचा बिल्ड-टू-रेंट प्रकल्प. ऑपरेटर संपूर्ण इमारतीमध्ये एकच सामायिक WiFi पासवर्ड वापरत होता. दर सहा महिन्यांनी, जेव्हा मोठ्या संख्येने रहिवासी घर सोडून जात, तेव्हा ते पासवर्ड बदलत - आणि पुढील दोन आठवडे त्यांचे डिव्हाइसेस पुन्हा कनेक्ट करू न शकणाऱ्या रहिवाशांचे सपोर्ट कॉल्स हाताळण्यात घालवत. स्मार्ट होम डिव्हाइसेस ही एक विशेष समस्या होती: Chromecast, Amazon Echo, आणि स्मार्ट लाइटिंग सर्वांचे दरवेळी मॅन्युअली रिकॉन्फिगरेशन करावे लागत असे. त्यांच्या प्रॉपर्टी मॅनेजमेंट सिस्टीमशी समाकलित केलेले USM PPSK तैनात केल्यानंतर, घर सोडणे ही शून्य-व्यत्यय घटना बनली. बाहेर पडणाऱ्या रहिवाशाची की (key) भाडेकरू करार संपल्यावर आपोआप रद्द केली गेली. नवीन रहिवाशांना स्वागत ईमेलद्वारे त्यांची युनिक की मिळाली. स्मार्ट होम डिव्हाइसेस कनेक्टेड राहिले कारण ते सर्व एकाच रहिवासी VLAN वर होते. ऑपरेटरने तैनातीनंतर पहिल्या तिमाहीत WiFi-संबंधित सपोर्ट तिकिटांमध्ये ९०% घट झाल्याची नोंद केली. दुसरी परिस्थिती: ५०० खाटांचे विशेषतः डिझाइन केलेले विद्यार्थी निवास संकुल. तेथील आव्हान म्हणजे एकाच वेळी होणारी मोठी उलथापालथ - दर ऑगस्टमध्ये ५०० विद्यार्थी बाहेर पडतात आणि ५०० नवीन विद्यार्थी प्रवेश करतात, अनेकदा एकाच आठवड्यात. सामायिक PSK मुळे तो आठवडा म्हणजे एक भयानक स्वप्न असायचा. विद्यार्थी व्यवस्थापन प्रणालीमध्ये USM PPSK समाकलित केल्याने, संपूर्ण नवीन तुकडीला त्यांच्या आगमनापूर्वीच्या स्वागत पॅकचा भाग म्हणून त्यांच्या युनिक की मिळाल्या. गृहप्रवेशाच्या दिवशी, ते त्वरित कनेक्ट झाले. इमारतीच्या इतिहासामध्ये पहिल्यांदाच गृहप्रवेशाच्या आठवड्यात नेटवर्क टीमने शून्य तक्रारींची नोंद केली. आता तैनातीबद्दल बोलूया. सुरुवातीपासूनच काही गोष्टी व्यवस्थित करणे आवश्यक आहे. पहिले, की निर्मिती आणि वितरण. तुमच्या PPSK की पुरेशा लांब आणि यादृच्छिक (random) असणे आवश्यक आहे - किमान २० कॅरेक्टर्स, तद्वतच ३२. क्रिप्टोग्राफिकली सुरक्षित यादृच्छिक संख्या जनरेटरचा वापर करून प्रोग्रामॅटिकली त्या जनरेट करा. रहिवाशांना त्यांच्या स्वतःच्या की निवडू देऊ नका. वितरण यंत्रणा देखील महत्त्वाची आहे. सुरक्षित लिंकसह ईमेलद्वारे पाठवणे, स्वागत कार्डवरील QR कोड, किंवा API द्वारे तुमच्या भाडेकरू व्यवस्थापन प्रणालीसह समाकलित करणे हे सर्व वैध मार्ग आहेत. दुसरे, कंट्रोलर सपोर्ट. सर्व वायरलेस कंट्रोलर्स PPSK ची अंमलबजावणी सारख्याच प्रकारे करत नाहीत. Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, आणि Fortinet या सर्वांच्या अंमलबजावणी पद्धती आहेत, परंतु स्केल मर्यादा, API क्षमता आणि VLAN स्टिअरिंगची अचूकता भिन्न आहे. तुम्ही एखाद्या प्लॅटफॉर्मवर अंतिम निर्णय घेण्यापूर्वी, प्रति SSID समर्थित युनिक की च्या कमाल संख्येची पडताळणी करा. काही जुने प्लॅटफॉर्म्स हे काही शेकड्यांवर मर्यादित करतात, जे मोठ्या प्रकल्पासाठी अपुरे आहे. तिसरे - आणि ही सर्वात सामान्य त्रुटी आहे - MAC ॲड्रेस यादृच्छिकीकरण (randomisation). आधुनिक ऑपरेटिंग सिस्टीम्स - iOS १४ आणि त्यानंतरची, Android १० आणि त्यानंतरची, Windows ११ - या सर्व डीफॉल्टनुसार MAC ॲड्रेस यादृच्छिकीकरण वापरतात. जर तुमची PPSK अंमलबजावणी MAC ॲड्रेस लुकअपवर अवलंबून असेल, तर यादृच्छिक MAC दर्शवणारे डिव्हाइस शोधले जाणार नाही आणि नाकारले जाईल. पहिल्या दिवसापासूनच याचे नियोजन करा. चौथे, प्रति की (key) डिव्हाइस मर्यादा. एक वाजवी मर्यादा सेट करा - साधारणपणे प्रति की चार ते सहा डिव्हाइसेस - आणि कंट्रोलरवर त्याची अंमलबजावणी करा. याशिवाय, एकच PPSK डझनभर डिव्हाइसेसवर पसरू शकते, ज्यामुळे ट्रॅफिकचा अचूक मागोवा घेण्याची तुमची क्षमता कमी होते. सर्व गोष्टींपेक्षा टाळण्याची सर्वात मोठी चूक: दस्तऐवजीकरण केलेल्या की लाइफसायकल प्रक्रियेशिवाय PPSK तैनात करणे. ज्या की कधीही रद्द केल्या जात नाहीत त्या कालांतराने जमा होतात आणि सुरक्षेसाठी धोका बनतात. थेट सुरू करण्यापूर्वी रद्दीकरण (revocation) वर्कफ्लो तयार करा, नंतर नाही. अनुपालनाच्या (compliance) दृष्टिकोनातून - आणि हे विशेषतः GDPR साठी महत्त्वाचे आहे - USM PPSK तुम्हाला ऑडिट ट्रेल प्रदान करते जे सामायिक केलेले PSK कधीही देऊ शकत नाही. तुम्ही नेटवर्क अ‍ॅक्टिव्हिटीचे श्रेय विशिष्ट क्रेडेंशियलला आणि त्यामुळे एका विशिष्ट भाडेकरू रेकॉर्डला देऊ शकता. हे केवळ चांगली सराव पद्धत नाही; काही नियामक संदर्भांमध्ये, ही एक आवश्यकता आहे. आता मी तुम्हाला तीन व्यावहारिक नियम सांगतो. नियम एक: जर तुमच्या इमारतीमध्ये ५० पेक्षा जास्त युनिट्स असतील, तर RADIUS-backed USM PPSK वापरा, कंट्रोलर-लोकल PPSK नाही. कंट्रोलर-लोकल PPSK ची स्केलेबिलिटी मर्यादा थेट सुरू झाल्यापासून १२ महिन्यांच्या आत तुम्हाला अडचणीत आणेल. नियम दोन: पहिल्या दिवसापासून MAC रँडमायझेशनचे नियोजन करा. तुमच्या रहिवासी ऑनबोर्डिंग प्रक्रियेमध्ये प्री-रजिस्ट्रेशन वर्कफ्लो तयार करा. डिव्हाइसेस डीफॉल्टनुसार त्यांचे कायमचे MAC अ‍ॅड्रेस दाखवतील असे समजू नका. नियम तीन: की लाइफसायकल स्वयंचलित करा. सामायिक केलेल्या PSK पेक्षा USM PPSK चे ऑपरेशनल मूल्य पूर्णपणे की स्वयंचलितपणे तयार आणि रद्द केल्या जाण्यावर अवलंबून असते. मोठ्या प्रमाणावर मॅन्युअल की व्यवस्थापन व्यवहार्य नाही. सुरुवातीपासूनच तुमच्या प्रॉपर्टी मॅनेजमेंट सिस्टमसह समाकलित करा. चला काही जलद प्रश्नोत्तरे पाहूयात. PPSK हे iPSK, MPSK आणि DPSK सारखेच आहे का? कार्यात्मकदृष्ट्या, होय. वेगवेगळ्या व्हेंडरचे ब्रँडिंग आहे, संकल्पना तीच आहे. PPSK हे WPA3 सोबत काम करते का? अंशतः. बहुतेक आधुनिक कंट्रोलर्स WPA2 आणि WPA3 ट्रान्झिशन मोडमध्ये PPSK ला सपोर्ट करतात. शुद्ध WPA3 सपोर्ट व्हेंडरनुसार बदलतो - तुमच्या हार्डवेअरचे सुसंगतता मॅट्रिक्स तपासा. PPSK क्लाउड कंट्रोलरशिवाय काम करू शकते का? काही ऑन-प्रिमाइसेस कंट्रोलर्स त्याला सपोर्ट करतात, परंतु क्लाउड व्यवस्थापन लाइफसायकल ऑपरेशन्स आणि USM इंटिग्रेशन लक्षणीयरीत्या सुलभ करते. USM PPSK हे GDPR अनुपालनासाठी योग्य आहे का? USM PPSK प्रति-वापरकर्ता ऑडिट ट्रेल प्रदान करते जे GDPR अनुपालनास समर्थन देते. हे व्यापक डेटा गव्हर्नन्स फ्रेमवर्कचा भाग असावे, याला स्वतंत्र अनुपालन उपाय म्हणून मानू नये. थोडक्यात सांगायचे तर. USM PPSK हे कोणत्याही मल्टि-टेनंट निवासी WiFi उपयोजनासाठी योग्य आर्किटेक्चर आहे जिथे तुम्हाला संपूर्ण 802.1X इन्फ्रास्ट्रक्चरच्या गुंतागुंतीशिवाय प्रति-रहिवासी जबाबदारी हवी आहे. हे तुम्हाला प्रति रहिवासी युनिक क्रेडेंशियल्स, डायनॅमिक VLAN स्टीयरिंग, तपशीलवार लाइफसायकल व्यवस्थापन आणि अनुपालन-सज्ज ऑडिट ट्रेल देते - हे सर्व एका WiFi पासवर्ड टाकण्याइतक्या सोप्या डिव्हाइस ऑनबोर्डिंग अनुभवासह.जर तुम्ही नवीन बिल्ड-टू-रेंट किंवा विद्यार्थ्यांच्या निवासाची व्यवस्था (student accommodation) नियोजित करत असाल, किंवा सध्याच्या शेअर-पासवर्ड नेटवर्कला अपग्रेड करू इच्छित असाल, तर पुढील व्यावहारिक पावले ही आहेत: PPSK सपोर्टसाठी तुमच्या सध्याच्या वायरलेस कंट्रोलर प्लॅटफॉर्मची तपासणी करा, तुमचे VLAN आर्किटेक्चर परिभाषित करा आणि तुमच्या की लाइफसायकलला तुमच्या प्रॉपर्टी मॅनेजमेंट सिस्टमच्या टेनन्सी इव्हेंट्सशी मॅप करा. Purple चे Multi-Tenant WiFi प्लॅटफॉर्म तुमच्या सध्याच्या हार्डवेअरवर - मग ते Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist किंवा इतर कोणतेही मोठे एंटरप्राइझ प्लॅटफॉर्म असो - त्यावर USM लेअर हाताळते. आम्ही 80,000 लाइव्ह ठिकाणांवर आणि 350 दशलक्ष युनिक युजर्सपर्यंत पोहोचलो आहोत. हे इन्फ्रास्ट्रक्चर मोठ्या प्रमाणावर सिद्ध झाले आहे. Purple टेक्निकल ब्रीफिंग ऐकल्याबद्दल धन्यवाद.