মূল কন্টেন্টে যান

RADIUS দুর্বলতা প্রশমন: একটি সিকিউরিটি হার্ডেনিং গাইড

এই নির্দেশিকাটি হসপিটালিটি, রিটেইল, ইভেন্ট এবং পাবলিক সেক্টরের পরিবেশ জুড়ে এন্টারপ্রাইজ WiFi পরিকাঠামোর জন্য দায়ী IT ম্যানেজার, নেটওয়ার্ক আর্কিটেক্ট এবং CTO-দের জন্য একটি ব্যাপক, কার্যকরী রেফারেন্স প্রদান করে। এটি MD5 কলিশন ভালনারেবিলিটি এবং দুর্বল শেয়ার্ড সিক্রেট থেকে শুরু করে আনএনক্রিপ্টেড UDP ট্রান্সপোর্ট এবং ভুলভাবে কনফিগার করা EAP মেথড পর্যন্ত RADIUS সার্ভার ডিপ্লয়মেন্টের সম্পূর্ণ অ্যাটাক সারফেস কভার করে - এবং IEEE 802.1X, PCI-DSS এবং GDPR-এর প্রয়োজনীয়তার সাথে সামঞ্জস্যপূর্ণ একটি অগ্রাধিকারভিত্তিক হার্ডেনিং রোডম্যাপ প্রদান করে। যে সমস্ত প্রতিষ্ঠান এই সুপারিশগুলি প্রয়োগ করবে তারা ক্রেডেনশিয়াল-ভিত্তিক নেটওয়ার্ক আক্রমণের ঝুঁকি উল্লেখযোগ্যভাবে হ্রাস করবে, কমপ্লায়েন্সের বাধ্যবাধকতা পূরণ করবে এবং তাদের গেস্ট ও কর্পোরেট WiFi পরিকাঠামোর জন্য একটি শক্তিশালী নিরাপত্তা ব্যবস্থা গড়ে তুলবে।

📖 12 মিনিট পাঠ📝 2,764 শব্দ🔧 2 সমাধানকৃত উদাহরণ3 অনুশীলনী প্রশ্ন📚 10 মূল সংজ্ঞা

এই গাইডটি শুনুন

পডকাস্ট ট্রান্সক্রিপ্ট দেখুন
MITIGATING RADIUS VULNERABILITIES: A SECURITY HARDENING GUIDE A Purple WiFi Intelligence Briefing [INTRODUCTION — প্রায় ১ মিনিট] স্বাগতম। আজকের ব্রিফিংয়ের জন্য আমি আপনার হোস্ট, এবং পরবর্তী ১০ মিনিটে আমরা সরাসরি এমন একটি বিষয়ে কথা বলব যা অনেক নেটওয়ার্ক আর্কিটেক্ট এবং আইটি ম্যানেজারদের রাতে জাগিয়ে রাখে: RADIUS সার্ভার নিরাপত্তা। আপনি যদি কোনো হোটেল এস্টেট, রিটেইল চেইন, স্টেডিয়াম বা পাবলিক সেক্টর বিল্ডিং জুড়ে এন্টারপ্রাইজ WiFi পরিচালনা করেন, তবে আপনার RADIUS ইনফ্রাস্ট্রাকচার হল আপনার সিকিউরিটি পোশ্চারের সবচেয়ে গুরুত্বপূর্ণ - এবং সবচেয়ে বেশি উপেক্ষিত - উপাদানগুলির একটি। চলুন শুরু করা যাক। [CONTEXT — প্রায় ১ মিনিট] RADIUS - রিমোট অথেন্টিকেশন ডায়াল-ইন ইউজার সার্ভিস - নব্বইয়ের দশকের মাঝামাঝি থেকে নেটওয়ার্ক অ্যাক্সেস কন্ট্রোলের মেরুদণ্ড হিসেবে কাজ করছে। এটি এমন একটি প্রোটোকল যা আপনার অ্যাক্সেস পয়েন্ট এবং আপনার আইডেন্টিটি ডিরেক্টরির মধ্যে অবস্থান করে এবং সিদ্ধান্ত নেয় কে নেটওয়ার্কে প্রবেশ করতে পারবে এবং কে পারবে না। IEEE 802.1X, যা কার্যত প্রতিটি এন্টারপ্রাইজ WiFi এবং ওয়্যার্ড অথেন্টিকেশন ডেপ্লয়মেন্টের ভিত্তি, তা কাজ করার জন্য RADIUS-এর ওপর নির্ভর করে। সমস্যা হল যে RADIUS এমন একটি যুগে ডিজাইন করা হয়েছিল যখন সাইবার হুমকির চিত্রটি সম্পূর্ণ ভিন্ন ছিল। এই প্রোটোকলটি UDP ব্যবহার করে, যা কানেকশনহীন এবং তাই সুরক্ষিত করা আরও কঠিন। এর মূল অথেন্টিকেশন মেকানিজম ঐতিহাসিকভাবে MD5 হ্যাশিংয়ের ওপর নির্ভর করে - একটি ক্রিপ্টোগ্রাফিক অ্যালগরিদম যা ২০০৪ সাল থেকে স্পষ্টভাবে ত্রুটিযুক্ত বলে প্রমাণিত হয়েছে। এবং শেয়ার্ড সিক্রেট, যা আপনার RADIUS সার্ভারের সাথে অ্যাক্সেস পয়েন্টগুলোকে অথেন্টিকেট করার জন্য ব্যবহৃত প্রি-শেয়ার্ড কি, তা প্রায়শই একবার সেট করা হয় এবং কখনই পরিবর্তন করা হয় না। ২০২৪ সালে, গবেষকরা RADIUS-এর বিরুদ্ধে একটি ব্যবহারিক আক্রমণের কথা প্রকাশ করেছিলেন যার নাম BlastRADIUS - এটি একটি ম্যান-ইন-দ্য-মিডল অ্যাটাক যা অথেন্টিকেশন রেসপন্স জাল করার জন্য MD5 দুর্বলতাকে কাজে লাগায়। এটি তাত্ত্বিক নয়। এটি একটি বাস্তব এবং নথিবদ্ধ আক্রমণ যা আনপ্যাচড FreeRADIUS, Cisco ISE এবং Microsoft NPS ব্যবহারকারী ডেপ্লয়মেন্টগুলোকে প্রভাবিত করে। আপনি যদি ২০২৪ সালের মাঝামাঝি থেকে প্যাচ না করে থাকেন, তবে আপনি ঝুঁকির মধ্যে আছেন। ব্যবসায়িক ঝুঁকি অত্যন্ত গভীর। একটি আপোসকৃত RADIUS সার্ভারের অর্থ কেবল অননুমোদিত WiFi অ্যাক্সেস নয়। এর অর্থ হল একজন আক্রমণকারী আপনার নেটওয়ার্কের যেকোনো ব্যবহারকারী হিসেবে অথেন্টিকেট করতে পারে, নেটওয়ার্ক সেগমেন্টেশন বাইপাস করতে পারে এবং সম্ভাব্যভাবে পেমেন্ট সিস্টেম, রোগীর রেকর্ড বা অপারেশনাল প্রযুক্তিতে অ্যাক্সেস পেতে পারে। কার্ড পেমেন্ট প্রসেস করা রিটেইল পরিবেশের জন্য এটি সরাসরি একটি PCI-DSS লঙ্ঘন। স্বাস্থ্যসেবার ক্ষেত্রে এটি GDPR এবং ক্লিনিকাল গভর্নেন্সের সমস্যা। হসপিটালিটি সেক্টরের জন্য এটি ব্র্যান্ডের ক্ষতি এবং সম্ভাব্য নিয়ন্ত্রক জরিমানা। [TECHNICAL DEEP-DIVE — প্রায় ৫ মিনিট] চলুন আমরা সিস্টেমেটিকভাবে এই অ্যাটাক সারফেসটি পর্যালোচনা করি। প্রথম দুর্বলতার শ্রেণীটি হল MD5 কলিশন ঝুঁকি। RADIUS User-Password অ্যাট্রিবিউটকে সুরক্ষিত রাখতে এবং Response Authenticator ফিল্ড তৈরি করতে MD5 ব্যবহার করে। MD5 একটি ১২৮-বিট হ্যাশ তৈরি করে, এবং কলিশন অ্যাটাক - যেখানে দুটি ভিন্ন ইনপুট একই হ্যাশ তৈরি করে - ২০০৪ সাল থেকে সম্ভব হয়ে উঠেছে। BlastRADIUS অ্যাটাকটি মূলত Access-Request প্যাকেটের উপর ইন্টিগ্রিটি প্রোটেকশনের অভাবকে কাজে লাগায়। আপনার NAS ডিভাইস - যা আপনার নেটওয়ার্ক অ্যাক্সেস সার্ভার, সাধারণত আপনার অ্যাক্সেস পয়েন্ট বা সুইচ - এবং আপনার RADIUS সার্ভারের মাঝখানে থাকা একজন আক্রমণকারী প্যাকেটের মধ্যে একটি ক্রাফটেড অ্যাট্রিবিউট ইনজেক্ট করতে পারে এবং সার্ভারকে একটি অবৈধ ক্রেডেনশিয়ালের জন্যও একটি Access-Accept ফেরত দিতে বাধ্য করতে পারে। এখানে সমাধানটি দ্বিমুখী: আপনার RADIUS সার্ভারটিকে লেটেস্ট ভার্সনে প্যাচ করুন, এবং সমস্ত Access-Request প্যাকেটে Message-Authenticator প্রয়োগ করুন। FreeRADIUS ৩.২.৫ এবং তার পরের ভার্সনে ডিফল্টরূপে এটির প্রয়োজন হয়। দ্বিতীয় দুর্বলতার শ্রেণীটি হল দুর্বল বা স্ট্যাটিক শেয়ার্ড সিক্রেট। শেয়ার্ড সিক্রেট হল আপনার NAS এবং আপনার RADIUS সার্ভারের মধ্যে প্রি-শেয়ার্ড কী। এটি যদি ছোট হয়, ডিকশনারি-অ্যাটাক করার যোগ্য হয়, অথবা বছরের পর বছর ধরে রোটেট করা না হয়ে থাকে, তবে এটি একটি বড় ঝুঁকি। RADIUS এই সিক্রেটটি ব্যবহার করে User-Password অ্যাট্রিবিউটকে এনক্রিপ্ট করতে এবং Response Authenticator তৈরি করতে। একটি দুর্বল শেয়ার্ড সিক্রেটের অর্থ হল এমন একজন আক্রমণকারী যে RADIUS ট্র্যাফিক ক্যাপচার করে - যা তাদের ইতিমধ্যে আংশিকভাবে আপস করা একটি নেটওয়ার্কে অত্যন্ত সহজ - সে অফলাইনে পাসওয়ার্ডটি ব্রুট-ফোর্স করতে পারে। সেরা অনুশীলন হল ন্যূনতম ৩২টি ক্যারেক্টার, যা র্যান্ডমলি জেনারেট করা হবে এবং অন্তত বার্ষিকভাবে রোটেট করা হবে। এই রোটেশনটি অটোমেট করুন; একটি বড় এস্টেট জুড়ে ম্যানুয়ালি এটি করা ভুল-প্রবণ। তৃতীয় দুর্বলতার শ্রেণীটি হল আনএনক্রিপ্টেড ট্রান্সপোর্ট। স্ট্যান্ডার্ড RADIUS অথেন্টিকেশনের জন্য পোর্ট ১৮১২ এবং অ্যাকাউন্টিংয়ের জন্য পোর্ট ১৮১৩-এ UDP-এর মাধ্যমে চলে। UDP কোনো ট্রান্সপোর্ট-লেয়ার এনক্রিপশন, কোনো ইন্টিগ্রিটি চেকিং এবং RADIUS নিজে যা ইমপ্লিমেন্ট করে তার বাইরে কোনো রিপ্লে প্রোটেকশন প্রদান করে না - যা আমরা দেখেছি যে অপর্যাপ্ত। RadSec, যা আনুষ্ঠানিকভাবে RFC ৬৬১৪-এ সংজ্ঞায়িত করা হয়েছে, TCP পোর্ট ২০৮৩-এর উপর TLS ১.২ বা ১.৩-এ RADIUS-কে র‍্যাপ করে। এটি সার্টিফিকেটের মাধ্যমে মিউচুয়াল অথেন্টিকেশন, RADIUS পেলোডের সম্পূর্ণ এনক্রিপশন এবং রিপ্লে প্রোটেকশন প্রদান করে। আপনি যদি কোনো আনট্রাস্টেড নেটওয়ার্ক সেগমেন্টের মাধ্যমে RADIUS চালান - যার মধ্যে একটি রিমোট ভেন্যু এবং একটি সেন্ট্রাল RADIUS সার্ভারের মধ্যকার WAN লিঙ্কও অন্তর্ভুক্ত - তবে RadSec ঐচ্ছিক নয়। এটি একটি প্রয়োজনীয়তা। চতুর্থ দুর্বলতার শ্রেণীটি হলো EAP পদ্ধতি নির্বাচন। সব EAP পদ্ধতি সমান নয়। EAP-MD5-কে অবচিত বিবেচনা করা উচিত - এটি কোনো পারস্পরিক প্রমাণীকরণ এবং প্রমাণীকরণ বিনিময়ের কোনো এনক্রিপশন প্রদান করে না। PEAP এবং EAP-TTLS বেশিরভাগ এন্টারপ্রাইজ স্থাপনার জন্য গ্রহণযোগ্য, কারণ এগুলো পরিচয়পত্র প্রেরণের আগে একটি TLS টানেল স্থাপন করে এবং এগুলো সার্ভার সার্টিফিকেটের মাধ্যমে পারস্পরিক প্রমাণীকরণ সমর্থন করে। EAP-TLS হলো গোল্ড স্ট্যান্ডার্ড: এর জন্য সার্ভার এবং ক্লায়েন্ট উভয়েরই সার্টিফিকেট উপস্থাপন করা প্রয়োজন, যা প্রমাণীকরণ বিনিময় থেকে পাসওয়ার্ডকে সম্পূর্ণরূপে দূর করে। এটি একে ক্রেডেনশিয়াল ফিশিং এবং ব্রুট-ফোর্স আক্রমণ থেকে নিরাপদ করে তোলে। ক্লায়েন্ট সার্টিফিকেট ইস্যু করার জন্য একটি PKI মোতায়েন করার অপারেশনাল ওভারহেড বাস্তব, তবে উচ্চ-সুরক্ষা পরিবেশের জন্য - স্বাস্থ্যসেবা নেটওয়ার্ক, পেমেন্ট-প্রসেসিং জোন, ব্যাক-অফ-হাউস রিটেইল সিস্টেম - এটিই সঠিক সিদ্ধান্ত। পঞ্চম দুর্বলতার শ্রেণীটি হলো অপর্যাপ্ত লগিং এবং মনিটরিং। RADIUS অ্যাকাউন্টিং ডেটা হুমকি সনাক্তকরণের জন্য একটি সোনার খনি, এবং বেশিরভাগ সংস্থা এটি ব্যবহার করছে না। প্রতিটি প্রমাণীকরণের প্রচেষ্টা, সফল বা ব্যর্থ, একটি অ্যাকাউন্টিং রেকর্ড তৈরি করে। ব্যর্থ প্রমাণীকরণের ধরণ, অপ্রত্যাশিত MAC অ্যাড্রেস থেকে প্রমাণীকরণ বা অস্বাভাবিক সময়ে প্রমাণীকরণ সবই আপোষের সূচক। আপনার RADIUS অ্যাকাউন্টিং স্ট্রিমকে আপনার SIEM-এ একীভূত করুন। ষাট সেকেন্ডের মধ্যে একটি একক MAC অ্যাড্রেস থেকে পাঁচটির বেশি ব্যর্থ প্রমাণীকরণের জন্য অ্যালার্ট সেট করুন। Access-Reject স্টর্মের জন্য মনিটর করুন, যা একটি চলমান ক্রেডেনশিয়াল-স্টাফিং আক্রমণ নির্দেশ করতে পারে। [বাস্তবায়ন সুপারিশ এবং ত্রুটিসমূহ - প্রায় ২ মিনিট] আপনাকে একটি হার্ডেনিং প্রজেক্টের জন্য একটি বাস্তবসম্মত সিকোয়েন্সিং দিই। প্যাচিং দিয়ে শুরু করুন। এটি আলোচনা সাপেক্ষ নয় এবং এটি আপনার পরবর্তী পরিবর্তনের উইন্ডোর মধ্যেই করা উচিত। FreeRADIUS, Cisco ISE এবং Microsoft NPS সবাই জুলাই ২০২৪-এ BlastRADIUS-এর জন্য প্যাচ প্রকাশ করেছে। আপনার সংস্করণ পরীক্ষা করুন, প্যাচটি প্রয়োগ করুন এবং যাচাই করুন যে Message-Authenticator প্রয়োগ সক্রিয় আছে। এর পরে, আপনার শেয়ার্ড সিক্রেটগুলি অডিট করুন। আপনার RADIUS সার্ভারে নিবন্ধিত প্রতিটি NAS ডিভাইসের তালিকা বের করুন। প্রতিটির জন্য, শেয়ার্ড সিক্রেটের দৈর্ঘ্য এবং বয়স পরীক্ষা করুন। ২০ অক্ষরের কম বা দুই বছরের বেশি পুরানো যেকোনো কিছু অবিলম্বে পরিবর্তন করা উচিত। এগুলো প্রোগ্রাম্যাটিকভাবে সংরক্ষণ এবং পরিবর্তন করতে একটি পাসওয়ার্ড ম্যানেজার বা সিক্রেটস ভল্ট - HashiCorp Vault এখানে ভালো কাজ করে - ব্যবহার করুন। তৃতীয়ত, আপনার EAP পদ্ধতি মূল্যায়ন করুন। আপনি যদি কোথাও EAP-MD5 চালাচ্ছেন, তবে এখনই এটি থেকে স্থানান্তরিত হন। PEAP-MSCHAPv2 বেশিরভাগ এন্টারপ্রাইজ পরিবেশের জন্য একটি যুক্তিসঙ্গত অন্তর্বর্তীকালীন অবস্থান। আপনার যদি PKI অবকাঠামো থাকে, তবে EAP-TLS হলো লক্ষ্য রাষ্ট্র। চতুর্থত, অবিশ্বস্ত নেটওয়ার্ক সেগমেন্ট অতিক্রমকারী যেকোনো RADIUS ট্রাফিকের জন্য RadSec বাস্তবায়ন করুন। এটি বিশেষ করে বহু-সাইট স্থাপনার জন্য প্রাসঙ্গিক যেখানে একটি কেন্দ্রীয় RADIUS সার্ভার ইন্টারনেটের মাধ্যমে বা একটি শেয়ার্ড WAN-এর মাধ্যমে দূরবর্তী ভেন্যুগুলোতে পরিষেবা দেয়।পঞ্চমতঃ, RADIUS সার্ভারে প্রিভিলেজড অ্যাক্সেসের জন্য মাল্টি-ফ্যাক্টর অথেনটিকেশন সক্রিয় করুন। সার্ভারের ম্যানেজমেন্ট ইন্টারফেস একটি হাই-ভ্যালু টার্গেট। সমস্ত অ্যাডমিনিস্ট্রেটিভ লগইনের জন্য MFA বাধ্যতামূলক করুন এবং ম্যানেজমেন্ট অ্যাক্সেসকে একটি ডেডিকেটেড আউট-অফ-ব্যান্ড ম্যানেজমেন্ট নেটওয়ার্কে সীমাবদ্ধ করুন। এবার আসা যাক সম্ভাব্য ভুল ত্রুটিগুলোতে। আমি সবচেয়ে সাধারণ যে ভুলটি দেখি তা হলো সংস্থাগুলো RADIUS সার্ভার প্যাচ করে কিন্তু NAS ডিভাইসগুলোকে পুরনো ফার্মওয়্যারে রেখে দেয় যা Message-Authenticator সমর্থন করে না। প্যাচটি কেবল তখনই কার্যকর হয় যখন উভয় প্রান্ত এটি প্রয়োগ করে। একই প্রকল্পের অংশ হিসেবে আপনার অ্যাক্সেস পয়েন্ট এবং সুইচ ফার্মওয়্যার অডিট করুন। দ্বিতীয় সাধারণ ভুলটি হলো সার্টিফিকেটের মেয়াদ শেষ হয়ে যাওয়া। আপনি যদি EAP-TLS বা RadSec চালান, তবে আপনার সিস্টেমে সার্টিফিকেট সক্রিয় রয়েছে। একটি RADIUS সার্ভার সার্টিফিকেট যার মেয়াদ নীরবে শেষ হয়ে যায়, তা আপনার নেটওয়ার্কের প্রতিটি অথেনটিকেশনকে একসাথে ব্যর্থ করে দেবে। আপনার অপারেশনাল রানবুকে সার্টিফিকেট এক্সপায়ারি মনিটরিং অন্তর্ভুক্ত করুন। মেয়াদ শেষ হওয়ার ৯০, ৩০ এবং ৭ দিন আগে অ্যালার্ট সেট করুন। তৃতীয় ভুলটি হলো কমপেনসেটিং কন্ট্রোল হিসেবে নেটওয়ার্ক সেগমেন্টেশনের ওপর অতিরিক্ত নির্ভরতা। সেগমেন্টেশন গুরুত্বপূর্ণ, কিন্তু এটি এমন একজন আক্রমণকারীর বিরুদ্ধে সুরক্ষা দেয় না যে ইতিমধ্যেই একটি আপস করা RADIUS সার্ভারের মাধ্যমে অথেনটিকেটেড হয়েছে। ডিফেন্স ইন ডেপথ এর অর্থ হলো সেগমেন্টেশনের পাশাপাশি আপনার RADIUS হার্ডেনিংও প্রয়োজন। [দ্রুত প্রশ্নোত্তর - প্রায় ১ মিনিট] প্রশ্ন: আমার RADIUS সার্ভার যদি আমার অ্যাক্সেস পয়েন্টের মতো একই LAN-এ থাকে, তবে কি আমার RadSec প্রয়োজন? উত্তর: যদি তারা কোনো বিশ্বস্ত ডিভাইস ছাড়া একই বিশ্বস্ত, সেগমেন্টেড ম্যানেজমেন্ট VLAN-এ থাকে, তবে NAS-টু-সার্ভার লেগের জন্য UDP-র ওপর স্ট্যান্ডার্ড RADIUS গ্রহণযোগ্য। কিন্তু যদি কোনো আপস করা ডিভাইস থেকে সেই VLAN-এ ল্যাটারাল মুভমেন্টের সামান্যতম সম্ভাবনাও থাকে, তবে RadSec কম খরচে অর্থপূর্ণ সুরক্ষা যোগ করে। প্রশ্ন: আমরা Microsoft NPS চালাচ্ছি। আমরা কি BlastRADIUS দ্বারা প্রভাবিত? উত্তর: হ্যাঁ। Microsoft ২০২৪ সালের জুলাই মাসে একটি প্যাচ প্রকাশ করেছে। এটি প্রয়োগ করুন। এছাড়াও আপনার NPS সার্ভারে RequireMessageAuthenticator রেজিস্ট্রি কি বাধ্যতামূলক করুন। প্রশ্ন: আমি গেস্ট WiFi কীভাবে পরিচালনা করব? গেস্টদের তো সার্টিফিকেট থাকে না। উত্তর: গেস্ট WiFi সাধারণত 802.1X এর পরিবর্তে একটি Captive Portal মডেল ব্যবহার করে, তাই RADIUS ভিন্নভাবে ব্যবহৃত হয় - প্রায়শই কেবল MAC অথেনটিকেশন বাইপাস বা অ্যাকাউন্টিংয়ের জন্য। একই প্যাচিং এবং শেয়ার্ড সিক্রেট হাইজিন এখানেও প্রযোজ্য, তবে আনঅথেনটিকেটেড গেস্ট অ্যাক্সেসের জন্য EAP-TLS প্রাসঙ্গিক নয়। আপনার কর্পোরেট RADIUS ইনফ্রাস্ট্রাকচার থেকে গেস্ট RADIUS ইনস্ট্যান্সকে আলাদা করার দিকে মনোযোগ দিন। প্রশ্ন: একটি সম্পূর্ণ EAP-TLS মাইগ্রেশনের জন্য ROI কেস কী? উত্তর: আপনার ব্রিচ রিস্কের বিপরীতে এটি পরিমাপ করুন। একটি একক PCI DSS ব্রিচের কারণে জরিমানা, প্রতিকার এবং সুনামের ক্ষতি বাবদ গড়ে ৪০ লক্ষ পাউন্ড খরচ হয়। একটি ৫০০-ডিভাইসের এস্টেটের জন্য একটি PKI ডেপ্লয়মেন্টে টুলিং এবং প্রফেশনাল সার্ভিসের জন্য প্রায় ১৫,০০০ থেকে ৩০,০০০ পাউন্ড খরচ হয়। হিসেবটা একেবারেই সহজ। [সংক্ষেপ এবং পরবর্তী পদক্ষেপ - প্রায় ১ মিনিট] এই কোয়ার্টারে করার জন্য আমি আপনাকে পাঁচটি কাজ দিয়ে যাচ্ছি। এক: BlastRADIUS-এর জন্য আপনার RADIUS সার্ভার এবং সমস্ত NAS ডিভাইস প্যাচ করুন। এটি প্রথমে করুন। দুই: সমস্ত শেয়ার্ড সিক্রেট অডিট এবং রোটেট করুন। ভবিষ্যতে এই রোটেশন প্রক্রিয়াটি অটোমেট করুন। তিন: সমস্ত Access-Request প্যাকেটে Message-Authenticator প্রয়োগ করুন। চার: কোনো অনিরাপদ নেটওয়ার্ক সীমানা অতিক্রমকারী RADIUS ট্রাফিকের জন্য RadSec প্রয়োগ করুন। পাঁচ: আপনার SIEM-এ RADIUS অ্যাকাউন্টিং লগ ইন্টিগ্রেট করুন এবং অসঙ্গতি অ্যালার্ট সেট করুন। RADIUS সিকিউরিটি খুব বেশি আকর্ষণীয় নয়, কিন্তু এটি মৌলিক। এই পাঁচটি জিনিস সঠিকভাবে সম্পন্ন করুন, এবং আপনি আপনার নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল অবকাঠামোর বিরুদ্ধে সবচেয়ে উল্লেখযোগ্য অ্যাটাক ভেক্টরগুলো বন্ধ করে দিয়েছেন। শোনার জন্য ধন্যবাদ। এন্টারপ্রাইজ WiFi সিকিউরিটি আর্কিটেকচার সম্পর্কে আরও জানতে, purple.ai ভিজিট করুন। এটি ছিল একটি Purple WiFi ইন্টেলিজেন্স ব্রিফিং।

header_image.png

এক্সিকিউটিভ সামারি

RADIUS (Remote Authentication Dial-In User Service) এন্টারপ্রাইজ WiFi ডেপ্লয়মেন্টে নেটওয়ার্ক অ্যাক্সেস নিয়ন্ত্রণের জন্য প্রাথমিক প্রোটোকল হিসেবে রয়ে গেছে, যা হোটেল, রিটেল ভেন্যু, স্টেডিয়াম, কনফারেন্স সেন্টার এবং পাবলিক সেক্টর বিল্ডিং জুড়ে IEEE 802.1X অথেন্টিকেশনকে সমর্থন করে। তবুও RADIUS-এর আর্কিটেকচারটি ১৯৯০-এর দশকের, এবং এর বেশ কয়েকটি মৌলিক ডিজাইনের সিদ্ধান্ত - MD5 হ্যাশিংয়ের উপর নির্ভরতা, কোনো নেটিভ এনক্রিপশন ছাড়া UDP ট্রান্সপোর্ট এবং স্ট্যাটিক শেয়ার্ড সিক্রেট - বর্তমান থ্রেট এনভায়রনমেন্টে উল্লেখযোগ্য ঝুঁকি হয়ে দাঁড়িয়েছে।

জুলাই ২০২৪-এ, BlastRADIUS দুর্বলতা (CVE-2024-3596) দেখিয়েছে যে একজন ম্যান-ইন-দ্য-মিডল আক্রমণকারী Access-Request প্যাকেটে MD5 ইন্টিগ্রিটি দুর্বলতা কাজে লাগিয়ে RADIUS Access-Accept প্রতিক্রিয়া জাল করতে পারে। এই দুর্বলতাটি FreeRADIUS, Cisco ISE এবং Microsoft NPS সহ প্রতিটি প্রধান RADIUS ইমপ্লিমেন্টেশনকে প্রভাবিত করে। প্যাচ না করা ডেপ্লয়মেন্টগুলো এখনও ঝুঁকিতে রয়েছে।

এই গাইডটি প্যাচ ম্যানেজমেন্ট, শেয়ার্ড সিক্রেট হাইজিন, EAP মেথড সিলেকশন, RadSec ডেপ্লয়মেন্ট, অ্যাডমিনিস্ট্রেটিভ অ্যাক্সেসের জন্য মাল্টি-ফ্যাক্টর অথেন্টিকেশন এবং অ্যানোমালি ডিটেকশনের জন্য SIEM ইন্টিগ্রেশন কভার করে একটি অগ্রাধিকারভিত্তিক হার্ডেনিং রোডম্যাপ প্রদান করে। এটি সেইসব আইটি পেশাদারদের জন্য লেখা হয়েছে যাদের পরবর্তী বছরের জন্য অপেক্ষা না করে, এই প্রান্তিকের মধ্যেই ডিফেন্সিবল সিদ্ধান্ত নিতে হবে।

radius_architecture_overview.png

টেকনিক্যাল ডিপ ডাইভ

RADIUS কীভাবে কাজ করে এবং এটি কোথায় দুর্বল

RADIUS একটি নেটওয়ার্ক অ্যাক্সেস সার্ভার (NAS) - সাধারণত একটি WiFi অ্যাক্সেস পয়েন্ট, সুইচ বা VPN কনসেন্ট্রেটর - এবং একটি RADIUS সার্ভারের মধ্যে ক্লায়েন্ট-সার্ভার প্রোটোকল হিসেবে কাজ করে, যা Active Directory বা LDAP-এর মতো একটি ব্যাকএন্ড আইডেন্টিটি স্টোরের বিপরীতে ক্রেডেনশিয়াল যাচাই করে। অথেন্টিকেশন এক্সচেঞ্জটি RFC 2865-এ সংজ্ঞায়িত রিকোয়েস্ট-চ্যালেঞ্জ-রেসপন্স মডেল অনুসরণ করে, যেখানে অ্যাকাউন্টিং RFC 2866-এর অধীনে আলাদাভাবে পরিচালিত হয়।

প্রোটোকলটি UDP-এর মাধ্যমে অথেন্টিকেশন প্যাকেট প্রেরণ করে, অথেন্টিকেশনের জন্য পোর্ট 1812 এবং অ্যাকাউন্টিংয়ের জন্য 1813 ব্যবহার করে। শেয়ার্ড সিক্রেট - যা NAS এবং RADIUS সার্ভার উভয়ের উপর কনফিগার করা প্রি-শেয়ার্ড কি - Response Authenticator ফিল্ড তৈরি করতে এবং একটি MD5-ভিত্তিক XOR সাইফারের মাধ্যমে User-Password অ্যাট্রিবিউট এনক্রিপ্ট করতে ব্যবহৃত হয়। এটি কোনো আধুনিক অর্থে এনক্রিপশন নয়; এটি হলো অবফাসকেশন যা সম্পূর্ণরূপে শেয়ার্ড সিক্রেটের গোপনীয়তা এবং শক্তির উপর নির্ভর করে।

একটি সাধারণ RADIUS ডেপ্লয়মেন্টের পাঁচটি প্রধান দুর্বলতার ক্যাটাগরি নিচে দেওয়া হলো।

MD5 কলিশন এবং ইন্টিগ্রিটি দুর্বলতা। BlastRADIUS আক্রমণ (CVE-2024-3596) Access-Request প্যাকেটে ইন্টিগ্রিটি প্রোটেকশনের অভাবকে কাজে লাগায়। যেহেতু অনেক কনফিগারেশনে ডিফল্টরূপে NAS থেকে Message-Authenticator অ্যাট্রিবিউট অন্তর্ভুক্ত থাকে না, তাই ম্যান-ইন-দ্য-মিডল অবস্থানে থাকা একজন আক্রমণকারী RADIUS সার্ভারে প্যাকেট পৌঁছানোর আগে ক্রাফটেড অ্যাট্রিবিউট ইনজেক্ট করতে পারে। একটি MD5 চোজেন-প্রিফিক্স কলিশন কৌশল ব্যবহার করে, আক্রমণকারী প্যাকেটটিকে এমনভাবে ম্যানিপুলেট করতে পারে যাতে RADIUS সার্ভার পরিবর্তিত প্যাকেটের জন্য একটি বৈধ Response Authenticator গণনা করে, যার ফলে যে অনুরোধটি প্রত্যাখ্যান করা উচিত ছিল তার জন্য একটি Access-Accept রিটার্ন করে। এর প্রতিকার হলো সমস্ত Access-Request প্যাকেটে Message-Authenticator অ্যাট্রিবিউট প্রয়োগ করা, যা সম্পূর্ণ প্যাকেটের ওপর HMAC-MD5 ইন্টিগ্রিটি প্রোটেকশন প্রদান করে। এর জন্য NAS এবং RADIUS সার্ভার উভয়ের ওপরই কনফিগারেশন পরিবর্তন প্রয়োজন, শুধুমাত্র একটি সার্ভার প্যাচ যথেষ্ট নয়।

দুর্বল বা স্ট্যাটিক শেয়ার্ড সিক্রেট। শেয়ার্ড সিক্রেট হলো RADIUS এক্সচেঞ্জের ক্রিপ্টোগ্রাফিক অ্যাঙ্কর। সিক্রেটটি যদি ছোট, অনুমানযোগ্য বা কখনো রোটেট করা না হয়, তবে যে আক্রমণকারী RADIUS ট্রাফিক ক্যাপচার করে (ARP স্পুফিং বা একটি আপোষহীন নেটওয়ার্ক ডিভাইসের মাধ্যমে এটি করা সম্ভব) সে অফলাইনে User-Password অ্যাট্রিবিউটটি ব্রুট-ফোর্স করতে পারে। মেমোরাইজড সিক্রেটের ওপর NIST SP 800-63B নির্দেশিকা এখানে প্রযোজ্য: সিক্রেটগুলো কমপক্ষে ২০টি অক্ষরের, র্যান্ডমলি জেনারেটেড এবং একটি সিক্রেট ম্যানেজমেন্ট সিস্টেমে সংরক্ষিত হওয়া উচিত। ডজন ডজন বা শত শত NAS ডিভাইস বিশিষ্ট বড় নেটওয়ার্কের জন্য, ম্যানুয়াল রোটেশন পরিচালনাগতভাবে অসম্ভব; HashiCorp Vault বা অনুরূপ সিক্রেট ম্যানেজারের মাধ্যমে অটোমেশন হলো সঠিক পদ্ধতি।

আনএনক্রিপ্টেড UDP ট্রান্সপোর্ট। UDP-এর ওপর স্ট্যান্ডার্ড RADIUS কোনো ট্রান্সপোর্ট-লেয়ার কনফিডেন্সিয়ালিটি প্রদান করে না। User-Password অ্যাট্রিবিউটটি অবফাসকেটেড হলেও এনক্রিপ্ট করা থাকে না। ইউজারনেম, NAS IP এবং সেশন মেটাডেটা সহ অন্য প্রতিটি অ্যাট্রিবিউট ক্লিয়ারটেক্সটে যাতায়াত করে। RadSec (RADIUS over TLS), যা RFC 6614-এ সংজ্ঞায়িত এবং RFC 7360-এ আপডেট করা হয়েছে, TCP পোর্ট 2083-এর ওপর একটি TLS টানেলে RADIUS প্রোটোকলকে মোড়কজাত করে একটি TLS 1.2 বা TLS 1.3 সেশন স্থাপন করে এটি সমাধান করে। RadSec, NAS এবং RADIUS সার্ভারের মধ্যে মিউচুয়াল সার্টিফিকেট অথেন্টিকেশন, সম্পূর্ণ পেলোড এনক্রিপশন এবং রিপ্লে প্রোটেকশন প্রদান করে। এটি যেকোনো RADIUS ট্রাফিকের জন্য সঠিক ট্রান্সপোর্ট যা একটি বিশ্বস্ত নয় এমন নেটওয়ার্ক সীমানা অতিক্রম করে।

EAP মেথড সিলেকশন। Extensible Authentication Protocol (EAP) 802.1X ফ্রেমওয়ার্কের মধ্যে ব্যবহৃত ইনার অথেন্টিকেশন মেথডগুলোকে সংজ্ঞায়িত করে। EAP-MD5 অবহেলিত এবং সমস্ত ডিপ্লয়মেন্ট থেকে অবিলম্বে এটি সরিয়ে ফেলা উচিত - এটি কোনো মিউচুয়াল অথেন্টিকেশন এবং ক্রেডেনশিয়াল-হারভেস্টিং আক্রমণের বিরুদ্ধে কোনো প্রতিরোধ প্রদান করে না। PEAP (Protected EAP) এবং EAP-TTLS ক্রেডেনশিয়াল ট্রান্সমিট করার আগে একটি সার্ভার সার্টিফিকেট ব্যবহার করে একটি TLS টানেল স্থাপন করে, যা মিউচুয়াল অথেন্টিকেশন প্রদান করে এবং ইনার মেথডকে আড়ি পাতা থেকে রক্ষা করে। EAP-TLS পাসওয়ার্ডের প্রয়োজনীয়তা সম্পূর্ণরূপে দূর করে, যার জন্য সার্ভার এবং ক্লায়েন্ট উভয় ক্ষেত্রেই X.509 সার্টিফিকেটের প্রয়োজন হয়। এটি ফিশিং এবং ব্রুট-ফোর্স আক্রমণ থেকে মুক্ত এবং উচ্চ-নিরাপত্তা সম্পন্ন পরিবেশের জন্য প্রস্তাবিত মেথড।

অপ্রতুল লগিং এবং মনিটরিং। RADIUS অ্যাকাউন্টিং প্রতিটি অথেনটিকেশন ইভেন্ট রেকর্ড করে - সফলতা, ব্যর্থতা, সেশন শুরু, সেশন বন্ধ। এই ডেটা ক্যাপাসিটি প্ল্যানিংয়ের জন্য অপারেশনালভাবে মূল্যবান এবং WiFi Analytics -এর জন্য বাণিজ্যিকভাবে মূল্যবান, তবে এটি সিকিউরিটি টেলিমেট্রির একটি অত্যন্ত গুরুত্বপূর্ণ উৎস। ব্যর্থ অথেনটিকেশনের ঝড়, অজানা MAC অ্যাড্রেস থেকে অথেনটিকেশন এবং কাজের সময়ের বাইরের অ্যাক্সেস প্যাটার্ন সবই RADIUS অ্যাকাউন্টিং লগ থেকে সনাক্ত করা সম্ভব। বেশিরভাগ প্রতিষ্ঠান এই ডেটা একটি SIEM-এ ইনজেস্ট করে না এবং যারা করে তারাও খুব কমই কোনো অ্যালার্টিং থ্রেশহোল্ড কনফিগার করে।

eap_comparison_chart.png

BlastRADIUS অ্যাটাকের বিস্তারিত বিবরণ

২০২৪ সালের জুলাই মাসে বোস্টন ইউনিভার্সিটি এবং ইউসি সান ডিয়েগোর গবেষকরা BlastRADIUS প্রকাশ করেন। এই অ্যাটাকের জন্য NAS এবং RADIUS সার্ভারের মধ্যে একটি ম্যান-ইন-দ্য-মিডল পজিশন প্রয়োজন - যা একটি শেয়ার্ড নেটওয়ার্ক সেগমেন্টে ARP পয়জনিং, একটি কম্প্রোমাইজড রাউটার বা নেটওয়ার্ক অ্যাক্সেস রয়েছে এমন কোনো ক্ষতিকারক ইনসাইডারের মাধ্যমে অর্জন করা সম্ভব।

অ্যাটাকটি এভাবে কাজ করে: আক্রমণকারী NAS থেকে একটি Access-Request প্যাকেট ইন্টারসেপ্ট করে। যেহেতু প্যাকেটে Message-Authenticator অ্যাট্রিবিউট নেই (অনেক কনফিগারেশনে এটি ডিফল্ট থাকে), আক্রমণকারী প্যাকেটের অ্যাট্রিবিউট লিস্ট পরিবর্তন করার জন্য স্বাধীন থাকে। একটি MD5 চোজেন-প্রিফিক্স কলিশন ব্যবহার করে, আক্রমণকারী একটি পরিবর্তিত প্যাকেট তৈরি করে যার জন্য RADIUS সার্ভার মূল প্যাকেটের মতোই একই Response Authenticator গণনা করবে। তাই সার্ভার আক্রমণকারী-নিয়ন্ত্রিত অ্যাট্রিবিউট সম্বলিত একটি রিকোয়েস্টের জন্য Access-Accept রিটার্ন করে - যার মধ্যে একটি Administrative Service-Type অন্তর্ভুক্ত থাকে যা সম্পূর্ণ নেটওয়ার্ক অ্যাক্সেস অথোরাইজ করে।

এই অ্যাটাকটি PEAP এবং EAP-TTLS ডেপ্লয়মেন্টের বিরুদ্ধে কার্যকর যেখানে ইনার মেথড হিসেবে MSCHAPv2 ব্যবহার করা হয়। এটি EAP-TLS ডেপ্লয়মেন্টকে প্রভাবিত করে না, যেখানে সার্টিফিকেট-ভিত্তিক মিউচুয়াল অথেনটিকেশন এমন ইন্টিগ্রিটি প্রোটেকশন প্রদান করে যা MD5 সাবভার্ট করতে পারে না।

যেসব প্রতিষ্ঠান Guest WiFi এবং কর্পোরেট 802.1X উভয়ই পরিচালনা করছে, তাদের গেস্ট নেটওয়ার্কের RADIUS ইনস্ট্যান্সও প্যাচ করতে হবে, এমনকি এটি EAP-এর পরিবর্তে MAC Authentication Bypass ব্যবহার করলেও। শেয়ার্ড সিক্রেট হাইজিন এবং Message-Authenticator-এর প্রয়োজনীয়তা সমভাবে প্রযোজ্য।

ইমপ্লিমেন্টেশন গাইড

ফেজ ১: তাৎক্ষণিক প্রতিকার (সপ্তাহ ১-২)

প্যাচিং সবার আগে করা প্রয়োজন। FreeRADIUS ৩.২.৫ এবং ৩.০.২৭ ভার্সনে BlastRADIUS ফিক্স রয়েছে এবং ডিফল্টভাবে Message-Authenticator এনফোর্স করে। Cisco ISE ৩.১ প্যাচ ৮, ৩.২ প্যাচ ৪ এবং ৩.৩ প্যাচ ১ এই দুর্বলতা সমাধান করে। Microsoft ২০২৪ সালের জুলাই মাসে Windows Server 2022 NPS-এর জন্য KB5040434 রিলিজ করেছে। আপনার বর্তমান ভার্সনগুলো যাচাই করুন এবং আপনার পরবর্তী নির্ধারিত চেঞ্জ উইন্ডোর মধ্যে প্যাচগুলো প্রয়োগ করুন।

একই সময়ে, আপনার NAS ডিভাইসের ফার্মওয়্যার অডিট করুন। Message-Authenticator প্রয়োগ তখনই কার্যকর হয় যদি NAS-ও এই অ্যাট্রিবিউটটি পাঠায়। আপনার অ্যাক্সেস পয়েন্ট এবং সুইচ ভেন্ডরের পরামর্শগুলো দেখুন - Aruba, Ruckus, Cisco এবং Juniper সকলেই BlastRADIUS-এর জন্য ফার্মওয়্যার আপডেট প্রকাশ করেছে। আপনি যদি Ruckus হার্ডওয়্যার ব্যবহার করে থাকেন, তাহলে wireless access point Ruckus guide প্রাসঙ্গিক ফার্মওয়্যার ম্যানেজমেন্টের তথ্য প্রদান করে।

প্যাচ করার পরে দেখা দিতে পারে এমন troubleshooting Windows 11 802.1X authentication issues সমাধানের জন্য, সবচেয়ে সাধারণ কারণ হলো NPS সার্ভার সেইসব ক্লায়েন্টদের কানেকশন প্রত্যাখ্যান করে যেগুলোতে Message-Authenticator অন্তর্ভুক্ত নেই - এটি একটি সঠিক সিকিউরিটি আচরণ যার জন্য পুরোনো Windows ক্লায়েন্টগুলোতে সাপ্লিক্যান্ট রিকনফিগারেশনের প্রয়োজন হতে পারে।

ফেজ ২: শেয়ার্ড সিক্রেট হাইজিন (সপ্তাহ ২ - ৪)

আপনার RADIUS সার্ভারে রেজিস্টার্ড NAS ক্লায়েন্টদের সম্পূর্ণ তালিকা এক্সপোর্ট করুন। প্রতিটি এন্ট্রির জন্য, শেয়ার্ড সিক্রেটের দৈর্ঘ্য এবং এটি সর্বশেষ পরিবর্তনের তারিখ রেকর্ড করুন। ২০ অক্ষরের কম অথবা ২৪ মাসের বেশি সময় ধরে অপরিবর্তিত যেকোনো সিক্রেট অবিলম্বে পরিবর্তন করা উচিত।

নতুন সিক্রেটের জন্য, একটি ক্রিপ্টোগ্রাফিকালি র্যান্ডম জেনারেটর ব্যবহার করুন - openssl rand -base64 32 একটি ৪৪-অক্ষরের base64 স্ট্রিং তৈরি করে যা RADIUS শেয়ার্ড সিক্রেট হিসেবে ব্যবহারের জন্য অত্যন্ত উপযুক্ত। সমস্ত সিক্রেট একটি সিক্রেট ম্যানেজমেন্ট সিস্টেমে সংরক্ষণ করুন। একটি রোটেশন শিডিউল বাস্তবায়ন করুন: কম ঝুঁকিপূর্ণ NAS ডিভাইসের জন্য বার্ষিক, এবং PCI-DSS আওতাভুক্ত NAS ডিভাইসের জন্য প্রতি ছয় মাসে।

ফেজ ৩: EAP মেথড যৌক্তিকীকরণ (মাস ১ - ২)

আপনার RADIUS সার্ভার যেসব EAP মেথড অনুমোদন করে সেগুলো অডিট করুন। EAP-MD5 নিষ্ক্রিয় করুন। আপনি যদি PEAP-MSCHAPv2 ব্যবহার করেন, তাহলে নিশ্চিত করুন যে সমস্ত সাপ্লিক্যান্ট সার্ভার সার্টিফিকেট ভ্যালিডেশন বাধ্যতামূলকভাবে সম্পন্ন করে - ভুল কনফিগারেশন করা সাপ্লিক্যান্ট যা যেকোনো সার্ভার সার্টিফিকেট গ্রহণ করে, তা ক্ষতিকারক RADIUS সার্ভার আক্রমণের ঝুঁকিতে থাকে। PCI-DSS আওতাভুক্ত পরিবেশের জন্য, EAP-TLS সুপারিশ করা হয়। আপনার যদি কোনো বিদ্যমান সার্টিফিকেট অবকাঠামো না থাকে, তবে PKI পরিকল্পনা শুরু করুন।

securing guest WiFi networks এর জন্য মনে রাখবেন যে গেস্ট নেটওয়ার্কগুলো সাধারণত 802.1X এর পরিবর্তে Captive Portal অথেনটিকেশন ব্যবহার করে, তাই EAP মেথড হার্ডেনিং মূলত কর্পোরেট এবং কর্মীদের SSID-এর ক্ষেত্রে প্রযোজ্য।

ফেজ ৪: RadSec ডেপ্লয়মেন্ট (মাস ২ - ৩)

একটি অনিরাপদ নেটওয়ার্ক সীমানা অতিক্রম করে এমন প্রতিটি RADIUS ট্রাফিক পাথ চিহ্নিত করুন। সাধারণ দৃশ্যপটগুলোর মধ্যে রয়েছে ইন্টারনেটের মাধ্যমে দূরবর্তী হোটেলগুলোতে পরিষেবা প্রদানকারী একটি সেন্ট্রাল RADIUS সার্ভার; ক্লাউড RADIUS সার্ভিসে পৌঁছানো অন-প্রিমিসেস NAS ডিভাইসসমূহ; এবং RADIUS প্রক্সি চেইন যেখানে ট্রাফিক একাধিক নেটওয়ার্ক ডোমেইন অতিক্রম করে।

চিহ্নিত প্রতিটি পাথের জন্য, RadSec কনফিগার করুন। FreeRADIUS-এ এর অর্থ হলো পোর্ট ২০৮৩-তে tls লিসেনার সক্রিয় করা এবং আপনার PKI থেকে সার্টিফিকেট সহ মিউচুয়াল TLS কনফিগার করা। Cisco ISE-তে, Administration > Network Devices-এর অধীনে RadSec কনফিগার করা হয়। ন্যূনতম TLS ১.২ নিশ্চিত করুন; স্পষ্টভাবে TLS ১.০ এবং ১.১ নিষ্ক্রিয় করুন।

ফেজ ৫: প্রশাসনিক অ্যাক্সেসের জন্য মাল্টি-ফ্যাক্টর অথেনটিকেশন (মাস ২ - ৩)

একটি RADIUS সার্ভারের ম্যানেজমেন্ট ইন্টারফেস একটি অত্যন্ত মূল্যবান টার্গেট। একজন আক্রমণকারী যে RADIUS সার্ভারের নিরাপত্তা লঙ্ঘন করতে পারে, সে অথেন্টিকেশন পলিসি পরিবর্তন করতে পারে, শেয়ার করা সিক্রেট বের করে নিতে পারে এবং অথেন্টিকেশন ফ্লো রিডাইরেক্ট করতে পারে। সকল RADIUS সার্ভার এবং তাদের অন্তর্নিহিত অপারেটিং সিস্টেমে অ্যাডমিনিস্ট্রেটিভ লগইনের জন্য MFA প্রয়োগ করুন। ম্যানেজমেন্ট অ্যাক্সেস একটি ডেডিকেটেড আউট-অফ-ব্যান্ড ম্যানেজমেন্ট VLAN-এ সীমাবদ্ধ রাখুন। রোল-ভিত্তিক অ্যাক্সেস কন্ট্রোল (RBAC) প্রয়োগ করুন: নেটওয়ার্ক ইঞ্জিনিয়ারদের সিকিউরিটি অ্যাডমিনিস্ট্রেটরদের মতো একই সুবিধা থাকা উচিত নয়।

ফেজ 6: SIEM ইন্টিগ্রেশন এবং অ্যালার্টিং (৩-৪ মাস)

রিয়েল টাইমে আপনার SIEM-এ অ্যাকাউন্টিং লগ ফরোয়ার্ড করার জন্য আপনার RADIUS সার্ভারগুলি কনফিগার করুন। নিম্নলিখিত বেসলাইন অ্যালার্ট থ্রেশহোল্ডগুলি সংজ্ঞায়িত করুন:

অ্যালার্ট থ্রেশহোল্ড তীব্রতা
একটি একক MAC অ্যাড্রেস থেকে একাধিক অথেন্টিকেশন ব্যর্থতা ৬০ সেকেন্ডে >৫ বার উচ্চ
অ্যাক্সেস-রিজেক্ট হারের আকস্মিক বৃদ্ধি ৭ দিনের বেসলাইনের ২০০% উপরে মাঝারি
কর্পোরেট SSID-এ একটি নতুন MAC অ্যাড্রেস থেকে অথেন্টিকেশন প্রথমবার ঘটলে মাঝারি
RADIUS সার্ভার সার্টিফিকেটের মেয়াদ শেষ হওয়ার কাছাকাছি ৯০ / ৩০ / ৭ দিন উচ্চ / গুরুতর / গুরুতর
শেয়ার করা সিক্রেট অমিল হওয়ার ত্রুটি যেকোনো বার ঘটলে উচ্চ

সর্বোত্তম অনুশীলনসমূহ (Best Practices)

নিম্নলিখিত সুপারিশগুলি IEEE 802.1X, NIST SP 800-63B, PCI DSS v4.0 এবং ভেন্ডর সিকিউরিটি অ্যাডভাইজরির মধ্যে থাকা ঐকমত্যকে সংশ্লেষণ করে।

সার্টিফিকেট ম্যানেজমেন্ট। EAP-TLS বা RadSec ব্যবহারকারী যেকোনো ডিপ্লয়মেন্টের অথেন্টিকেশন পাথে X.509 সার্টিফিকেট থাকে। এন্টারপ্রাইজ WiFi ডিপ্লয়মেন্টে হঠাৎ, সম্পূর্ণ অথেন্টিকেশন ব্যর্থ হওয়ার সবচেয়ে সাধারণ কারণ হলো সার্টিফিকেটের মেয়াদ শেষ হয়ে যাওয়া। স্বয়ংক্রিয় সার্টিফিকেট লাইফসাইকেল ম্যানেজমেন্ট প্রয়োগ করুন। মেয়াদের শেষ হওয়ার ৯০, ৩০ এবং ৭ দিন আগে মনিটরিং অ্যালার্ট সেট করুন। RADIUS সার্ভার সার্টিফিকেটের জন্য, ন্যূনতম ২০৪৮-বিট RSA বা ২৫৬-বিট ECDSA কি এবং SHA-256 বা তার চেয়ে শক্তিশালী সিগনেচার অ্যালগরিদম ব্যবহার করুন। SHA-1 ব্যবহার করবেন না।

নেটওয়ার্ক সেগমেন্টেশন। RADIUS সার্ভারগুলি একটি ডেডিকেটেড ম্যানেজমেন্ট সেগমেন্টে থাকা উচিত, যা গেস্ট এবং সাধারণ কর্পোরেট নেটওয়ার্ক থেকে বিচ্ছিন্ন। RADIUS পোর্টগুলিতে (UDP 1812, 1813, এবং RadSec-এর জন্য TCP 2083) অ্যাক্সেস ফায়ারওয়াল ACL দ্বারা নিবন্ধিত NAS ডিভাইসগুলির নির্দিষ্ট IP অ্যাড্রেসে সীমাবদ্ধ করা উচিত। RADIUS পোর্টগুলিতে কোনো সরাসরি ইন্টারনেট অ্যাক্সেসের অনুমতি দেবেন না।

রিডান্ডেন্সি এবং হাই অ্যাভেইলেবিলিটি। একটি একক RADIUS সার্ভার আপনার সম্পূর্ণ নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল ইনফ্রাস্ট্রাকচারের জন্য একটি সিঙ্গেল পয়েন্ট অফ ফেইলিউর। একটি অ্যাক্টিভ-প্যাসিভ বা অ্যাক্টিভ-অ্যাক্টিভ কনফিগারেশনে অন্তত দুটি RADIUS সার্ভার ডিপ্লয় করুন। ২৪/৭ গেস্ট কানেক্টিভিটির প্রয়োজনীয়তা রয়েছে এমন হসপিটালিটি ডিপ্লয়মেন্টের জন্য, RADIUS সার্ভারের ডাউনটাইম সরাসরি গেস্ট WiFi ডাউনটাইমে রূপান্তরিত হয় - যা একটি সুনামগত এবং বাণিজ্যিক ঝুঁকি।WPA3 and 802.1X. সরকারি এবং উচ্চ-নিরাপত্তা পরিকাঠামোর জন্য প্রয়োজনীয় ১৯২-বিট সিকিউরিটি মোডে WPA3-Enterprise-এর জন্য ডেটা এনক্রিপশনের জন্য AES-256-GCMP এবং অথেন্টিকেশনের জন্য HMAC-SHA-384 বাধ্যতামূলক। বেশিরভাগ এন্টারপ্রাইজ ব্যবহারের ক্ষেত্রে, স্ট্যান্ডার্ড ১২৮-বিট সিকিউরিটি সহ WPA3-Enterprise ইতিমধ্যেই WPA2-Enterprise-এর তুলনায় একটি অর্থপূর্ণ উন্নতি, বিশেষ করে যখন এটি EAP-TLS-এর সাথে যুক্ত করা হয়। কার্ড পেমেন্ট পরিচালনা করে এমন Retail পরিবেশগুলোর WPA3-Enterprise গ্রহণকে একটি PCI-DSS ঝুঁকি হ্রাসের ব্যবস্থা হিসেবে বিবেচনা করা উচিত।

ভেন্ডর প্যাচ ক্যাডেন্স। আপনার RADIUS সার্ভার ভেন্ডর এবং আপনার NAS ডিভাইস ভেন্ডরদের সিকিউরিটি অ্যাডভাইজরিগুলো সাবস্ক্রাইব করুন। FreeRADIUS, Cisco, Microsoft, Aruba এবং Ruckus সকলেই CVE বিজ্ঞপ্তি প্রকাশ করে। নির্দিষ্ট SLA সহ আপনার ভালনারেবিলিটি ম্যানেজমেন্ট প্রোগ্রামে এগুলো যুক্ত করুন: জটিল দুর্বলতাগুলো (CVSS ≥ ৯.০) ৭২ ঘণ্টার মধ্যে প্যাচ করতে হবে; উচ্চ-তীব্রতার দুর্বলতাগুলো (CVSS ৭.০ - ৮.৯) ১৪ দিনের মধ্যে প্যাচ করতে হবে।

ট্রাবলশুটিং এবং ঝুঁকি হ্রাসকরণ

সাধারণ ব্যর্থতার মোড

প্যাচ করার পরে অথেন্টিকেশন ব্যর্থতা। BlastRADIUS প্যাচগুলো প্রয়োগ করার পরে, কিছু NAS ডিভাইস অথেন্টিকেট করতে ব্যর্থ হতে পারে যদি তাদের ফার্মওয়্যার Message-Authenticator সমর্থন না করে। লক্ষণ: ব্যবহারকারীর ক্রেডেনশিয়ালসে কোনো পরিবর্তন ছাড়াই হঠাৎ করে Access-Reject রেসপন্স বৃদ্ধি পাওয়া। রোগনির্ণয়: RADIUS ডিবাগ লগিং সক্ষম করুন এবং "Message-Authenticator required but not present" ত্রুটিগুলো পরীক্ষা করুন। সমাধান: NAS ফার্মওয়্যার আপডেট করুন, অথবা একটি অস্থায়ী ব্যবস্থা হিসেবে ফার্মওয়্যার আপডেট করার সময়সূচী নির্ধারিত থাকার সময় নির্দিষ্ট NAS IP থেকে Message-Authenticator ছাড়াই অনুরোধগুলো গ্রহণ করার জন্য RADIUS সার্ভার কনফিগার করুন।

EAP-TLS-এ সার্টিফিকেট যাচাইকরণ ব্যর্থতা। লক্ষণ: ক্লায়েন্টরা RADIUS লগে কোনো সামঞ্জস্যপূর্ণ Access-Reject ছাড়াই "authentication failed" বার্তা পায়। রোগনির্ণয়: RADIUS সার্ভারের সার্টিফিকেট চেইন পরীক্ষা করুন - ইস্যুকারী CA কি ক্লায়েন্ট সাপ্লিক্যান্ট দ্বারা বিশ্বস্ত? সার্ভার সার্টিফিকেট কি তার বৈধতার মেয়াদের মধ্যে আছে? সমাধান: RADIUS সার্ভারে সম্পূর্ণ সার্টিফিকেট চেইন (leaf + intermediate + root) কনফিগার করা হয়েছে তা নিশ্চিত করুন। MDM বা গ্রুপ পলিসির মাধ্যমে ক্লায়েন্ট ডিভাইসগুলোতে রুট CA সার্টিফিকেট পুশ করুন।

RadSec TLS হ্যান্ডশেক ব্যর্থতা। লক্ষণ: কনফিগারেশন পরিবর্তনের পর NAS ডিভাইসগুলো RadSec সংযোগ স্থাপন করতে পারে না। রোগনির্ণয়: TLS সংস্করণ সামঞ্জস্যতা পরীক্ষা করুন - পুরানো NAS ফার্মওয়্যার TLS ১.২ সমর্থন নাও করতে পারে। পারস্পরিক সার্টিফিকেট অথেন্টিকেশন পরীক্ষা করুন - উভয় পক্ষকে অবশ্যই একে অপরের CA-কে বিশ্বাস করতে হবে। সমাধান: NAS ফার্মওয়্যার রিলিজ নোটে TLS সংস্করণ সমর্থন যাচাই করুন; NAS ডিভাইস সার্টিফিকেটগুলো একই CA দ্বারা ইস্যু করা হয়েছে তা নিশ্চিত করুন যা RADIUS সার্ভার বিশ্বাস করে।

শেয়ার্ড সিক্রেট অমিল। লক্ষণ: একটি নির্দিষ্ট NAS থেকে প্রতিটি অথেন্টিকেশন "invalid authenticator" ত্রুটির সাথে ব্যর্থ হয়। রোগনির্ণয়: NAS কনফিগারেশন এবং RADIUS সার্ভারের ক্লায়েন্ট এন্ট্রির মধ্যে একটি শেয়ার্ড সিক্রেট অমিল। সমাধান: ট্রেইলিং হোয়াইটস্পেস বা ক্যারেক্টার-এনকোডিং সমস্যাগুলো পরীক্ষা করে উভয় প্রান্তে শেয়ার্ড সিক্রেটটি আবার প্রবেশ করান। টাইপিংয়ের ভুল এড়াতে আপনার সিক্রেট ম্যানেজার থেকে কপি এবং পেস্ট করুন।

রিস্ক রেজিস্টার

ঝুঁকি সম্ভাবনা প্রভাব প্রশমন নিয়ন্ত্রণ
BlastRADIUS exploitation High (if unpatched) Critical Patching + Message-Authenticator enforcement
Shared secret brute-force Medium High 32-character random secrets, annual rotation
Rogue RADIUS server Medium High EAP-TLS mutual authentication, certificate pinning
RADIUS server certificate expiry High Critical Automated monitoring, 90-day advance alerts
Credential stuffing via 802.1X Medium High Account lockout policy, SIEM alerting
RADIUS server compromise Low Critical MFA on admin access, network segmentation

ROI এবং ব্যবসায়িক প্রভাব

ঝুঁকির পরিমাণ নির্ধারণ

RADIUS হার্ডেনিংয়ের জন্য আর্থিক বিষয়টি সবচেয়ে স্পষ্ট হয় যখন এটিকে লঙ্ঘনের খরচের বিপরীতে ধরা হয়। ২০২৪ সালে যুক্তরাজ্যে ডেটা লঙ্ঘনের গড় খরচ ছিল £৩.৫৮ মিলিয়ন, যার মধ্যে নিয়ন্ত্রক জরিমানা, প্রতিকার, আইনি খরচ এবং সুনামের ক্ষতি অন্তর্ভুক্ত ছিল। PCI-DSS এর আওতাভুক্ত সংস্থাগুলোর জন্য - কার্যকরভাবে প্রতিটি Retail এবং Hospitality অপারেটর যারা WiFi এর মাধ্যমে কার্ড পেমেন্ট গ্রহণ করে - একটি নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল লঙ্ঘন যা কার্ডধারীর ডেটা প্রকাশ করে, তা একটি বাধ্যতামূলক ফরেনসিক তদন্ত, সম্ভাব্য কার্ড-স্কিম জরিমানা এবং কার্ড প্রসেসিং অধিকার স্থগিতের কারণ হতে পারে।

Healthcare সংস্থাগুলির জন্য, একটি আপোসকৃত RADIUS সার্ভারের মাধ্যমে অ্যাক্সেস করা রোগীর ডেটা জড়িত একটি GDPR লঙ্ঘন হলে Article 83(5) এর অধীনে বৈশ্বিক বার্ষিক টার্নওভারের ৪% পর্যন্ত জরিমানা হতে পারে। ICO-এর প্রয়োগকারী রেকর্ড প্রমাণ করে যে নেটওয়ার্ক সুরক্ষার ব্যর্থতাগুলোকে অবহেলা হিসেবে বিবেচনা করা হয়, প্রযুক্তিগত দুর্ভাগ্য হিসেবে নয়।

বাস্তবায়ন খরচ বেঞ্চমার্ক

নিচের খরচ অনুমানগুলো একটি ৫০০-ডিভাইসের কর্পোরেট নেটওয়ার্কের ওপর ভিত্তি করে তৈরি:

হার্ডেনিং কার্যক্রম আনুমানিক খরচ সময়সীমা
Patching (FreeRADIUS / NPS / ISE) শুধুমাত্র অভ্যন্তরীণ শ্রম ১-২ সপ্তাহ
Shared secret অডিট এবং রোটেশন অভ্যন্তরীণ শ্রম + secrets manager লাইসেন্স (~£২,০০০/বছর) ২-৪ সপ্তাহ
EAP-TLS PKI ডিপ্লয়মেন্ট £১৫,০০০-£৩০,০০০ (টুলিং + পেশাদার পরিষেবা) ২-৩ মাস
RadSec বাস্তবায়ন অভ্যন্তরীণ শ্রম + সার্টিফিকেট খরচ (~£১,৫০০) ৪-৬ সপ্তাহ
SIEM ইন্টিগ্রেশন এবং অ্যালার্টিং বিদ্যমান SIEM-এর ওপর নির্ভর করে; £০-£১০,০০০ ৪-৮ সপ্তাহ

একটি মাঝারি আকারের এন্টারপ্রাইজের জন্য মোট হার্ডেনিং বিনিয়োগ আনুমানিক £২০,০০০-£৪৫,০০০। £৩.৫৮ মিলিয়ন লঙ্ঘন খরচের বেসলাইনের বিপরীতে, রক্ষণশীল লঙ্ঘন-সম্ভাবনার অনুমানের অধীনেও ঝুঁকি-সামঞ্জস্যপূর্ণ ROI অত্যন্ত আকর্ষণীয়।

নিরাপত্তার বাইরে কর্মক্ষম সুবিধাসমূহ

হার্ডেনড RADIUS অবকাঠামো কর্মক্ষম সুবিধাও প্রদান করে। নির্ভরযোগ্য, সু-নিয়ন্ত্রিত প্রমাণীকরণ WiFi সংযোগ সম্পর্কিত হেল্প ডেস্ক টিকিট হ্রাস করে। RADIUS অ্যাকাউন্টিং ডেটা, যখন WiFi Analytics -এর সাথে একীভূত করা হয়, তখন নেটওয়ার্ক ব্যবহারের ধরণ, থাকার সময় এবং ডিভাইসের ধরণগুলোর সেশন-স্তরের ভিজিবিলিটি প্রদান করে - যা Hospitality এবং Transport পরিবেশের ভেন্যু অপারেটরদের জন্য সরাসরি বাণিজ্যিক মূল্য বহন করে। সরকারি খাত এবং স্বাস্থ্যসেবা সংস্থাগুলোর জন্য, একটি নথিবদ্ধ RADIUS হার্ডেনিং প্রোগ্রাম Cyber Essentials Plus, ISO 27001 এবং NHS DSPT মূল্যায়নের জন্য প্রযুক্তিগত নিয়ন্ত্রণের প্রমাণ প্রদান করে - যা অডিটের পরিশ্রম কমায় এবং নিয়ন্ত্রকদের কাছে যথাযথ সতর্কতা প্রদর্শন করে।

মূল সংজ্ঞাসমূহ

RADIUS (Remote Authentication Dial-In User Service)

RFC 2865-এ সংজ্ঞায়িত একটি ক্লায়েন্ট-সার্ভার প্রোটোকল যা নেটওয়ার্ক অ্যাক্সেসের জন্য সেন্ট্রালাইজড অথেন্টিকেশন, অথরাইজেশন এবং অ্যাকাউন্টিং (AAA) প্রদান করে। RADIUS সার্ভারগুলো Active Directory বা LDAP-এর মতো একটি ব্যাকএন্ড আইডেন্টিটি স্টোরের বিপরীতে নেটওয়ার্ক ডিভাইস (NAS) দ্বারা জমা দেওয়া ক্রেডেন্সিয়াল যাচাই করে।

আইটি টিমগুলো 802.1X WiFi, ওয়্যার্ড পোর্ট অথেন্টিকেশন, VPN অ্যাক্সেস এবং নেটওয়ার্ক ডিভাইস ম্যানেজমেন্টের জন্য অথেন্টিকেশন ব্যাকএন্ড হিসেবে RADIUS-এর মুখোমুখি হয়। এটি এমন একটি প্রোটোকল যা নির্ধারণ করে কে নেটওয়ার্কে প্রবেশাধিকার পাবে।

IEEE 802.1X

পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস কন্ট্রোলের জন্য একটি IEEE স্ট্যান্ডার্ড যা LAN-এর উপর EAP (EAPOL) এর এনক্যাপসুলেশন সংজ্ঞায়িত করে। এটি ওয়্যার্ড এবং ওয়্যারলেস উভয় নেটওয়ার্কের জন্য একটি অথেন্টিকেশন ফ্রেমওয়ার্ক প্রদান করে, যার ফলে নেটওয়ার্ক অ্যাক্সেস পাওয়ার আগে ডিভাইসগুলোর অথেন্টিকেশন করা প্রয়োজন হয়।

802.1X হলো এমন একটি স্ট্যান্ডার্ড যা এন্টারপ্রাইজ WiFi অথেন্টিকেশনকে কার্যকর করে তোলে। যখন একজন স্টাফ মেম্বার কোনো কর্পোরেট SSID-তে সংযুক্ত হন এবং তার কাছে ক্রেডেন্সিয়াল চাওয়া হয়, তখন 802.1X হলো সেই ফ্রেমওয়ার্ক যা ব্যাকএন্ড হিসেবে RADIUS-এর সাথে এই বিনিময়টি পরিচালনা করে।

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

একটি EAP পদ্ধতি যা ক্লায়েন্ট এবং RADIUS সার্ভারের মধ্যে পারস্পরিক অথেনটিকেশনের জন্য X.509 সার্টিফিকেট ব্যবহার করে। উভয় পক্ষকেই বৈধ সার্টিফিকেট উপস্থাপন করতে হবে, যা অথেনটিকেশন এক্সচেঞ্জ থেকে পাসওয়ার্ডের প্রয়োজনীয়তা সম্পূর্ণভাবে দূর করে।

এন্টারপ্রাইজ WiFi অথেনটিকেশনের জন্য EAP-TLS হল গোল্ড স্ট্যান্ডার্ড। এটি ক্রেডেনশিয়াল ফিশিং এবং ব্রুট-ফোর্স অ্যাটাকের বিরুদ্ধে সম্পূর্ণ সুরক্ষিত। এর অপারেশনাল প্রয়োজনীয়তা হল ক্লায়েন্ট সার্টিফিকেট ইস্যু এবং পরিচালনা করার জন্য একটি PKI ইনফ্রাস্ট্রাকচার।

RadSec (RADIUS over TLS)

RFC 6614-এ সংজ্ঞায়িত একটি প্রোটোকল যা TCP পোর্ট ২০৮৩-এর ওপর একটি TLS সেশনের মধ্যে RADIUS প্যাকেটগুলোকে এনক্যাপসুলেট করে। এটি RADIUS ট্রাফিকের জন্য ট্রান্সপোর্ট-লেয়ার এনক্রিপশন, পারস্পরিক সার্টিফিকেট অথেনটিকেশন এবং রিপ্লে প্রোটেকশন প্রদান করে।

যেকোনো RADIUS ট্রাফিকের জন্য RadSec প্রয়োজন যা একটি অবিশ্বস্ত নেটওয়ার্ক সীমানা অতিক্রম করে - যেমন WAN লিঙ্ক, ইন্টারনেট সংযোগ, বা শেয়ার্ড নেটওয়ার্ক ইনফ্রাস্ট্রাকচার। মাল্টি-সাইট ডিপ্লয়মেন্টে UDP-এর ওপর স্ট্যান্ডার্ড RADIUS-এর সঠিক বিকল্প হল এটি।

BlastRADIUS (CVE-2024-3596)

২০২৪ সালের জুলাই মাসে প্রকাশিত একটি ম্যান-ইন-দ্য-মিডল আক্রমণ যা RADIUS Access-Request প্যাকেটে ইন্টিগ্রিটি প্রোটেকশনের অনুপস্থিতির সুযোগ নেয়। MD5 চোজেন-প্রিফিক্স কলিশন টেকনিক ব্যবহার করে, একজন আক্রমণকারী একটি জাল Access-Accept রেসপন্স তৈরি করতে পারে, যা একজন আন-অথেনটিকেটেড ব্যবহারকারীকে নেটওয়ার্ক অ্যাক্সেস প্রদান করে।

BlastRADIUS সমস্ত প্রধান RADIUS ইমপ্লিমেন্টেশনকে প্রভাবিত করে, যার মধ্যে FreeRADIUS, Cisco ISE এবং Microsoft NPS অন্তর্ভুক্ত রয়েছে। যেসব সংস্থা ২০২৪ সালের জুলাই মাসে প্রকাশিত প্যাচগুলো প্রয়োগ করেনি, তারা এখনও এই আক্রমণের ঝুঁকিতে রয়েছে।

Message-Authenticator

একটি RADIUS অ্যাট্রিবিউট (Attribute 80) যা সম্পূর্ণ RADIUS প্যাকেটের ওপর HMAC-MD5 ইন্টিগ্রিটি প্রোটেকশন প্রদান করে। যখন এটি একটি Access-Request-এ উপস্থিত থাকে, তখন এটি BlastRADIUS-এ ব্যবহৃত প্যাকেট মডিফিকেশন আক্রমণ প্রতিরোধ করে।

সমস্ত Access-Request প্যাকেটে Message-Authenticator বাধ্যতামূলক করা হল BlastRADIUS-এর প্রাথমিক সমাধান। এটি RADIUS সার্ভার (অ্যাট্রিবিউটটি বাধ্যতামূলক করতে) এবং NAS ডিভাইস (অনুরোধে অ্যাট্রিবিউটটি অন্তর্ভুক্ত করতে) উভয়ের ওপর কনফিগার করতে হবে।

NAS (Network Access Server)

RADIUS পরিভাষায়, NAS হল নেটওয়ার্ক ডিভাইস - সাধারণত একটি WiFi অ্যাক্সেস পয়েন্ট, সুইচ বা VPN কনসেনট্রেটর - যা RADIUS ক্লায়েন্ট হিসেবে কাজ করে। এটি এন্ড ডিভাইস থেকে সংযোগের অনুরোধগুলো গ্রহণ করে এবং RADIUS সার্ভারে অথেনটিকেশন অনুরোধগুলো ফরোয়ার্ড করে।

একটি ডিপ্লয়মেন্টে NAS ডিভাইসগুলো হল RADIUS ক্লায়েন্ট। প্রতি NAS-এর জন্য শেয়ার্ড সিক্রেট কনফিগার করা হয়। BlastRADIUS সমাধানের জন্য NAS ডিভাইসের ফার্মওয়্যার আপডেট এবং সেই সাথে RADIUS সার্ভারে প্যাচ প্রয়োগ করা প্রয়োজন।

PEAP (Protected Extensible Authentication Protocol)

একটি EAP পদ্ধতি যা ইনার অথেনটিকেশন পদ্ধতি (সাধারণত MSCHAPv2) প্রেরণের আগে একটি সার্ভার-সাইড সার্টিফিকেট ব্যবহার করে একটি TLS টানেল স্থাপন করে। এটি পারস্পরিক অথেনটিকেশন প্রদান করে এবং ক্রেডেনশিয়ালকে আড়িপাতা থেকে রক্ষা করে।

PEAP-MSCHAPv2 হল সবচেয়ে বহুল ব্যবহৃত এন্টারপ্রাইজ WiFi অথেনটিকেশন পদ্ধতি। এটি PCI DSS সম্মত এবং অপারেশনাল দিক থেকে EAP-TLS-এর চেয়ে সহজ কারণ এতে ক্লায়েন্ট সার্টিফিকেটের প্রয়োজন হয় না। তবে, ক্লায়েন্ট-সাইড সার্টিফিকেট ভ্যালিডেশন বাধ্যতামূলক করা না হলে এটি জাল RADIUS সার্ভার আক্রমণের ঝুঁকিতে থাকে।

Shared Secret

RADIUS সার্ভার এবং প্রতিটি NAS ডিভাইস উভয় ক্ষেত্রেই কনফিগার করা একটি প্রি-শেয়ার্ড কি। এটি Response Authenticator ফিল্ড তৈরি করতে এবং User-Password অ্যাট্রিবিউটকে অবফাসকেট (লুকানো) করতে ব্যবহৃত হয়। এটি শেষ ব্যবহারকারীদের জন্য কোনো পাসওয়ার্ড নয় - এটি একটি সার্ভার-টু-সার্ভার অথেনটিকেশন ক্রেডেনশিয়াল।

দুর্বল বা স্ট্যাটিক শেয়ার্ড সিক্রেট হল অন্যতম সাধারণ RADIUS দুর্বলতা। কোনো আক্রমণকারী RADIUS ট্রাফিক ক্যাপচার করতে পারলে সে একটি দুর্বল শেয়ার্ড সিক্রেটের বিরুদ্ধে অফলাইন ব্রুট-ফোর্স আক্রমণ চালাতে পারে। এর প্রস্তাবিত ন্যূনতম দৈর্ঘ্য হল ৩২টি অক্ষর, যা র্যান্ডমলি জেনারেট করা উচিত।

PCI DSS (Payment Card Industry Data Security Standard)

কার্ডধারীদের ডেটা প্রসেস, সংরক্ষণ বা ট্রান্সমিট করে এমন সংস্থাগুলির জন্য প্রধান কার্ড স্কিমগুলির (Visa, Mastercard, Amex) দ্বারা বাধ্যতামূলক করা একগুচ্ছ সিকিউরিটি স্ট্যান্ডার্ড। ২০২৪ সালের মার্চ থেকে কার্যকর হওয়া ৪.০ সংস্করণে নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল এবং শক্তিশালী অথেনটিকেশনের জন্য নির্দিষ্ট প্রয়োজনীয়তা অন্তর্ভুক্ত রয়েছে।

WiFi-সংযুক্ত POS টার্মিনাল থাকা রিটেল এবং হসপিটালিটি সংস্থাগুলো PCI DSS-এর আওতাভুক্ত। RADIUS সার্ভারের দুর্বলতা যা কার্ডহোল্ডার ডেটা এনভায়রনমেন্টে অননুমোদিত নেটওয়ার্ক অ্যাক্সেসের অনুমতি দিতে পারে, তা সরাসরি কমপ্লায়েন্সের জন্য একটি ঝুঁকি।

সমাধানকৃত উদাহরণসমূহ

১২টি প্রপার্টি সহ একটি ৩৫০ কক্ষের হোটেল গ্রুপ তাদের হেড অফিস ডেটা সেন্টারে হোস্ট করা একটি সেন্ট্রালাইজড RADIUS সার্ভার ব্যবহার করে। প্রতিটি প্রপার্টি একটি শেয়ার্ড MPLS WAN-এর মাধ্যমে সংযুক্ত থাকে। একটি সিকিউরিটি অডিটে দেখা গেছে যে WAN-এ RADIUS ট্রাফিক আনএনক্রিপ্টেড থাকে, শেয়ার্ড সিক্রেটগুলি হল ৫ বছর আগে প্রাথমিক ডিপ্লয়মেন্টের সময় সেট করা ৮-অক্ষরের স্ট্রিং এবং RADIUS সার্ভারটি FreeRADIUS 3.0.21 রান করছে। এই গ্রুপটি তাদের রেস্তোরাঁ এবং স্পা সুবিধায় WiFi-সংযুক্ত POS টার্মিনালের মাধ্যমে কার্ড পেমেন্ট প্রসেস করে। প্রতিকারমূলক ব্যবস্থার অগ্রাধিকার এবং বাস্তবায়নের ক্রম কী?

প্রতিকারমূলক ব্যবস্থার ক্রমটি ঝুঁকির তীব্রতা এবং বাস্তবায়নের গতির উপর ভিত্তি করে সাজানো উচিত। ধাপ ১ (অবিলম্বে, ৭২ ঘণ্টার মধ্যে): FreeRADIUS-কে 3.2.5 বা 3.0.27 সংস্করণে প্যাচ করুন। এটি BlastRADIUS সমাধান করে এবং ডিফল্টভাবে Message-Authenticator প্রয়োগ করে। একই সাথে, সমস্ত ১২টি প্রপার্টি জুড়ে অ্যাক্সেস পয়েন্টের ফার্মওয়্যার সংস্করণগুলি পরীক্ষা করুন এবং Message-Authenticator সমর্থন করে না এমন যে কোনও NAS ডিভাইসের জন্য ফার্মওয়্যার আপডেট নির্ধারণ করুন। ধাপ ২ (সপ্তাহ ১-২): সমস্ত শেয়ার্ড সিক্রেট রোটেট করুন। ১২টি প্রপার্টির প্রতিটি NAS রেজিস্ট্রেশনের জন্য openssl rand -base64 32 ব্যবহার করে ৩২-অক্ষরের র্যান্ডম সিক্রেট তৈরি করুন। HashiCorp Vault বা সমতুল্য সিস্টেমে সংরক্ষণ করুন। রোটেশনের তারিখ নথিবদ্ধ করুন। ধাপ ৩ (মাস ১-২): WAN পাথে RadSec প্রয়োগ করুন। TCP 2083-এ RadSec সংযোগ গ্রহণ করতে FreeRADIUS সার্ভার কনফিগার করুন। একটি ইন্টারনাল CA থেকে প্রতিটি প্রপার্টির NAS ডিভাইসে TLS সার্টিফিকেট ইস্যু করুন। প্রপার্টি NAS IP রেঞ্জ থেকে RADIUS সার্ভারে TCP 2083 অনুমোদনের জন্য ফায়ারওয়াল রুল আপডেট করুন। RadSec সচল হওয়ার পরে WAN-মুখী ইন্টারফেস থেকে UDP 1812/1813 নিষ্ক্রিয় করুন। ধাপ ৪ (মাস ২-৩): PCI-DSS-এর আওতাভুক্ত POS WiFi SSID-এর জন্য, PEAP-MSCHAPv2 থেকে EAP-TLS-এ মাইগ্রেট করুন। একটি ইন্টারনাল PKI (Microsoft ADCS বা HashiCorp Vault PKI ইঞ্জিন) ডিপ্লয় করুন। MDM-এর মাধ্যমে POS টার্মিনালগুলিতে ক্লায়েন্ট সার্টিফিকেট ইস্যু করুন। POS SSID-এর জন্য EAP-TLS বাধ্যতামূলক করতে RADIUS পলিসি আপডেট করুন। ধাপ ৫ (মাস ৩): SIEM-এ RADIUS অ্যাকাউন্টিং লগ ইন্টিগ্রেট করুন। ব্যর্থ অথেন্টিকেশনের সংখ্যা বৃদ্ধি এবং সার্টিফিকেটের মেয়াদ শেষ হওয়ার সতর্কতার জন্য অ্যালার্ট কনফিগার করুন।

পরীক্ষকের মন্তব্য: এই পরিস্থিতিটি অধিকাংশ মাল্টি-সাইট হসপিটালিটি ডিপ্লয়মেন্টের প্রতিনিধিত্ব করে। প্রধান শিক্ষণীয় বিষয় হল যে, MPLS WAN পাবলিক ইন্টারনেট না হলেও এটি একটি শেয়ার্ড নেটওয়ার্ক যাকে সম্পূর্ণ বিশ্বস্ত হিসেবে গণ্য করা যায় না - বিশেষ করে এমন একটি হোটেল গ্রুপে যেখানে WAN একটি থার্ড-পার্টি প্রোভাইডার দ্বারা পরিচালিত হতে পারে। তাই RadSec এখানে ঐচ্ছিক নয়। PCI-DSS-এর বিষয়টিও অত্যন্ত গুরুত্বপূর্ণ: WiFi-এ থাকা POS টার্মিনালগুলি PCI-DSS রিকোয়ারমেন্ট ৮.৩ (শক্তিশালী অথেন্টিকেশন) এবং রিকোয়ারমেন্ট ৪.২.১ (ট্রানজিটে থাকা ডেটার জন্য শক্তিশালী ক্রিপ্টোগ্রাফি) এর আওতাভুক্ত। EAP-TLS এই উভয় প্রয়োজনীয়তাই পূরণ করে। এই সিকোয়েন্সিংয়ে প্যাচিংকে প্রথমে অগ্রাধিকার দেওয়া হয়েছে কারণ BlastRADIUS একটি সক্রিয় ও অপব্যবহারযোগ্য দুর্বলতা; অন্যান্য হার্ডেনিং পদক্ষেপগুলি গুরুত্বপূর্ণ হলেও সেগুলি একই রকম তাৎক্ষণিক ঝুঁকি বহন করে না। একটি বিকল্প পদ্ধতি - ক্লাউড-হোস্টেড RADIUS-as-a-Service-এ মাইগ্রেট করার বিষয়টি বিবেচনা করা হয়েছিল কিন্তু গ্রুপের বিদ্যমান MPLS ইনভেস্টমেন্ট এবং একসাথে ১২টি প্রপার্টি মাইগ্রেট করার জটিলতার কারণে এই পরিস্থিতির জন্য তা বাতিল করা হয়েছে।

৪৫টি স্টোর বিশিষ্ট একটি আঞ্চলিক রিটেল চেইন স্টাফ WiFi-এর জন্য WPA2-Personal (প্রি-শেয়ার্ড কি) এবং গ্রাহকদের WiFi-এর জন্য একটি ওপেন নেটওয়ার্ক ব্যবহার করে। আইটি ডিরেক্টর স্টাফ WiFi-কে Active Directory-এর সাথে একীভূত করে RADIUS সার্ভার হিসেবে Microsoft NPS ব্যবহার করে 802.1X অথেন্টিকেশনে মাইগ্রেট করতে চান। স্টোরগুলোতে Aruba এবং Cisco অ্যাক্সেস পয়েন্টের মিশ্রণ রয়েছে। এই চেইনটি PCI DSS-এর আওতাভুক্ত। তাদের কী ধরনের আর্কিটেকচার ডেপ্লয় করা উচিত এবং মূল কনফিগারেশন সিদ্ধান্তগুলো কী কী?

প্রস্তাবিত আর্কিটেকচারটি হলো প্রারম্ভিক EAP পদ্ধতি হিসেবে PEAP-MSCHAPv2 সহ 802.1X, এবং পরবর্তীতে EAP-TLS-এ মাইগ্রেট করার একটি নথিবদ্ধ রোডম্যাপ থাকবে। NPS সার্ভারটি সেন্ট্রাল ডাটা সেন্টারে একটি রিডান্ডেন্ট পেয়ার (প্রাইমারি + সেকেন্ডারি) হিসেবে ডেপ্লয় করা উচিত, যাতে অ্যাক্সেস পয়েন্টগুলোতে স্বয়ংক্রিয়ভাবে ফেইলওভার করার জন্য RADIUS প্রক্সি কনফিগারেশন থাকে। কনফিগারেশন সিদ্ধান্তসমূহ: (১) NPS নেটওয়ার্ক পলিসি: PEAP-MSCHAPv2 সহ স্টাফ SSID-এর সাথে মেলে এমন একটি পলিসি তৈরি করুন, যার জন্য একটি AD সিকিউরিটি গ্রুপে (যেমন, 'WiFi-Staff-Access') গ্রুপ মেম্বারশিপের প্রয়োজন হবে। পুনরায় অথেন্টিকেশন করতে বাধ্য করতে সেশন টাইমআউট ৮ ঘণ্টা নির্ধারণ করুন। (২) সার্টিফিকেট: একটি ইন্টারনাল Microsoft ADCS CA থেকে একটি NPS সার্ভার সার্টিফিকেট ডেপ্লয় করুন। Group Policy (Windows) এবং MDM (iOS/Android)-এর মাধ্যমে সমস্ত স্টাফ ডিভাইসে রুট CA সার্টিফিকেট পুশ করুন। (৩) সাপ্লিক্যান্ট কনফিগারেশন: Group Policy (Computer Configuration > Windows Settings > Security Settings > Wireless Network Policies)-এর মাধ্যমে Windows ডিভাইসগুলো কনফিগার করুন। iOS এবং Android ডিভাইসের জন্য একটি MDM প্রোফাইল ব্যবহার করুন। সার্ভার সার্টিফিকেট ভ্যালিডেশন বাধ্যতামূলক করুন - ব্যবহারকারীদের কোনো যথেচ্ছ সার্টিফিকেট গ্রহণ করতে দেবেন না। (৪) অ্যাক্সেস পয়েন্ট কনফিগারেশন: Aruba-তে, Authentication > Servers-এর অধীনে RADIUS সার্ভার কনফিগার করুন। শেয়ার্ড সিক্রেটটি একটি ৩২-অক্ষরের র্যান্ডম স্ট্রিং সেট করুন। Aruba ফার্মওয়্যার এটি সমর্থন করলে (AOS 8.9+) RadSec সক্ষম করুন। Cisco-তে, Security > AAA > RADIUS-এর অধীনে কনফিগার করুন। (৫) NPS লগিং: একটি SQL Server ডাটাবেসে NPS অ্যাকাউন্টিং লগিং সক্ষম করুন। PCI DSS কমপ্লায়েন্সের জন্য সর্বনিম্ন ৯০ দিনের লগ রিটেনশন পিরিয়ড কনফিগার করুন। (৬) মাইগ্রেশন পরবর্তী কাজ: স্টাফ SSID-তে WPA2-Personal নিষ্ক্রিয় করুন। এটি শুধুমাত্র একটি ব্রেক-গ্লাস SSID হিসেবে রাখুন যেখানে একটি জটিল PSK সিক্রেট ম্যানেজারে সংরক্ষিত থাকবে, যা শুধুমাত্র NPS অনুপলব্ধ থাকলে ব্যবহারের জন্য ব্যবহৃত হবে।

পরীক্ষকের মন্তব্য: WPA2-Personal থেকে 802.1X-এ মাইগ্রেশন হলো রিটেল আইটি-তে সবচেয়ে সাধারণ সিকিউরিটি আপলিফ্ট প্রজেক্টগুলোর একটি। এই সিনারিওতে প্রধান ঝুঁকি হলো মিশ্র অ্যাক্সেস পয়েন্ট এস্টেট - Aruba এবং Cisco-এর আলাদা RADIUS ক্লায়েন্ট কনফিগারেশন ইন্টারফেস রয়েছে এবং শেয়ার্ড সিক্রেট রোটেশন প্রক্রিয়া প্রতিটি আলাদাভাবে পরিচালনা করতে হবে। EAP-TLS-এর পরিবর্তে PEAP-MSCHAPv2 দিয়ে শুরু করার সিদ্ধান্তটি বাস্তবসম্মত: এটি PKI ডেপ্লয়মেন্টের জটিলতা এড়ায় এবং একই সাথে PSK-এর চেয়ে উল্লেখযোগ্যভাবে উন্নত নিরাপত্তা প্রদান করে। EAP-TLS রোডম্যাপটি MDM রোলআউটের টাইমলাইনের সাথে সম্পর্কিত হওয়া উচিত - সমস্ত ডিভাইস MDM-এ নথিভুক্ত হওয়ার পরেই ক্লায়েন্ট সার্টিফিকেট ডেপ্লয়মেন্ট কার্যকরভাবে পরিচালনা করা সম্ভব। PCI DSS কোণটি NPS লগিং প্রয়োজনীয়তাকে আরও জোরদার করে: PCI DSS রিকোয়ারমেন্ট ১০.২.১ কার্ডহোল্ডার ডেটাতে সমস্ত ব্যক্তিগত ব্যবহারকারীর অ্যাক্সেস লগ করা বাধ্যতামূলক করে, যার মধ্যে নেটওয়ার্ক অ্যাক্সেস ইভেন্টগুলোও অন্তর্ভুক্ত রয়েছে।

অনুশীলনী প্রশ্নসমূহ

Q1. আপনার সংস্থা একটি একক সাইটের ক্যাম্পাসে ৮০০টি স্টাফ ডিভাইসের জন্য 802.1X অথেনটিকেশন সমর্থনকারী একটি FreeRADIUS 3.0.21 সার্ভার পরিচালনা করে। RADIUS সার্ভারটি সমস্ত অ্যাক্সেস পয়েন্টের মতো একই ম্যানেজমেন্ট VLAN-এ রয়েছে। একটি পেনিট্রেশন টেস্টে দেখা গেছে যে অ্যাক্সেস পয়েন্টগুলি Message-Authenticator অ্যাট্রিবিউট ছাড়াই Access-Request প্যাকেট পাঠাচ্ছে। সিকিউরিটি টিম অবিলম্বে Message-Authenticator প্রয়োগ করতে চায়, কিন্তু নেটওয়ার্ক অপারেশনস টিম ৮০০ জন ব্যবহারকারীর অথেনটিকেশন ব্যাহত হওয়ার বিষয়ে চিন্তিত। পরিষেবা ব্যাহত হওয়া কমাতে আপনি কীভাবে প্রতিকারটি পর্যায়ক্রমে সাজাবেন?

ইঙ্গিত: RADIUS সার্ভারের Message-Authenticator প্রয়োজন হওয়ার সাথে NAS ডিভাইসের এটি পাঠানোর মধ্যে পার্থক্য বিবেচনা করুন। এগুলি ভিন্ন রিস্ক প্রোফাইল সহ দুটি পৃথক কনফিগারেশন পরিবর্তন।

মডেল উত্তর দেখুন

সঠিক সিকোয়েন্সটি হলো: (১) প্রথমে, FreeRADIUS-কে ৩.২.৫ সংস্করণে প্যাচ করুন। এই সংস্করণটি ডিফল্টরূপে Message-Authenticator প্রয়োগ করে তবে এতে একটি কম্প্যাটিবিলিটি মোড রয়েছে যা অ্যাট্রিবিউটহীন প্যাকেটগুলি প্রত্যাখ্যান করার পরিবর্তে একটি ওয়ার্নিং লগ করে। এটি অবিলম্বে অথেনটিকেশন ব্যাহত না করে আপনাকে প্যাচটি ব্যবহার করার সুযোগ দেয়। (২) অ্যাক্সেস পয়েন্ট ফার্মওয়্যার সংস্করণগুলি অডিট করুন। Access-Request প্যাকেটে কোন মডেল এবং ফার্মওয়্যার সংস্করণগুলি Message-Authenticator সমর্থন করে তা চিহ্নিত করুন। (৩) ৫০টি ডিভাইসের একটি পাইলট গ্রুপ দিয়ে শুরু করে ব্যাচ অনুসারে অ্যাক্সেস পয়েন্ট ফার্মওয়্যার আপডেট করুন। প্রতিটি ব্যাচের পরে অথেনটিকেশন কাজ করছে কিনা তা যাচাই করুন। (৪) একবার সমস্ত অ্যাক্সেস পয়েন্ট Message-Authenticator পাঠাচ্ছে তা নিশ্চিত হয়ে গেলে, FreeRADIUS সার্ভারে কঠোর প্রয়োগ সক্ষম করুন (clients.conf-এ require_message_authenticator = yes)। (৫) কোনো অবশিষ্ট 'Message-Authenticator missing' ওয়ার্নিংয়ের জন্য RADIUS লগগুলি মনিটর করুন, যা ফার্মওয়্যার আপডেট মিস করা NAS ডিভাইসগুলিকে নির্দেশ করবে। মূল নীতিটি হলো আপনি কিছু না ভেঙে প্রথমে সার্ভার প্যাচ করতে পারেন, কারণ কম্প্যাটিবিলিটি মোড একটি ট্রানজিশন পিরিয়ডের সুযোগ দেয়। সমস্ত NAS ডিভাইস আপডেট করার পরে সার্ভারে কঠোর প্রত্যাখ্যান প্রয়োগ করা শেষ ধাপ হওয়া উচিত।

Q2. একটি কনফারেন্স সেন্টারের অপারেটর কর্পোরেট স্টাফ SSID (PEAP-MSCHAPv2 সহ 802.1X) এবং ইভেন্ট গেস্ট WiFi (MAC Authentication Bypass সহ captive portal) উভয়কেই সমর্থনকারী একটি একক RADIUS সার্ভার পরিচালনা করে। IT ম্যানেজার জিজ্ঞাসা করেছেন যে গেস্ট WiFi RADIUS ইনস্ট্যান্সটিকে কর্পোরেট RADIUS ইনস্ট্যান্সের মতো একই স্ট্যান্ডার্ডে হার্ডেন করার প্রয়োজন আছে কিনা, কারণ গেস্টরা কর্পোরেট ক্রেডেনশিয়াল দিয়ে অথেনটিকেট করছে না। আপনার পরামর্শ কী?

ইঙ্গিত: MAC Authentication Bypass বনাম EAP-ভিত্তিক অথেনটিকেশনের ক্ষেত্রে প্রযোজ্য অ্যাটাক ভেক্টর এবং গেস্ট ও কর্পোরেট RADIUS ইনস্ট্যান্সের মধ্যে ল্যাটারাল মুভমেন্টের ঝুঁকি বিবেচনা করুন।

মডেল উত্তর দেখুন

গেস্ট WiFi RADIUS ইনস্ট্যান্সটি শক্তিশালী করা প্রয়োজন, তবে নির্দিষ্ট নিয়ন্ত্রণগুলো কর্পোরেট ইনস্ট্যান্সের থেকে আলাদা। BlastRADIUS প্যাচটি একইভাবে প্রযোজ্য - ক্লায়েন্টদের দ্বারা ব্যবহৃত অথেন্টিকেশন পদ্ধতি যাই হোক না কেন, দুর্বলতাটি RADIUS সার্ভারকে প্রভাবিত করে। শেয়ার্ড সিক্রেট হাইজিনও একইভাবে প্রযোজ্য - গেস্ট captive portal কন্ট্রোলার এবং RADIUS সার্ভারের মধ্যে একটি দুর্বল শেয়ার্ড সিক্রেট থাকলে তা অপব্যবহার করা সম্ভব, EAP ব্যবহার করা হোক বা না হোক। প্রধান অতিরিক্ত ঝুঁকি হলো শেয়ার্ড RADIUS সার্ভার: যদি গেস্ট এবং কর্পোরেট SSID অথেন্টিকেশন অনুরোধগুলো একই RADIUS সার্ভার প্রসেস দ্বারা পরিচালনা করা হয়, তবে গেস্ট RADIUS পাথের একটি দুর্বলতা কর্পোরেট অথেন্টিকেশন পলিসিতে প্রবেশের জন্য ব্যবহার করা যেতে পারে। প্রস্তাবিত আর্কিটেকচার হলো গেস্ট এবং কর্পোরেট অথেন্টিকেশনের জন্য পৃথক RADIUS ইনস্ট্যান্স (অথবা ন্যূনতম পক্ষে FreeRADIUS-এর মধ্যে পৃথক ভার্চুয়াল সার্ভার) চালানো, যেখানে পৃথক শেয়ার্ড সিক্রেট এবং পৃথক পলিসি সেট থাকবে। এটি এমন একটি আইসোলেশন প্রদান করে যাতে গেস্ট RADIUS পাথের কোনো ক্ষতি হলেও কর্পোরেট ক্রেডেনশিয়াল ঝুঁকির মুখে না পড়ে। বিশেষভাবে গেস্ট ইনস্ট্যান্সের জন্য: BlastRADIUS-এর জন্য প্যাচ করুন, শেয়ার্ড সিক্রেটগুলো রোটেট করুন এবং নিশ্চিত করুন যে গেস্ট RADIUS ইনস্ট্যান্সের কর্পোরেট Active Directory-তে কোনো অ্যাক্সেস নেই। EAP-TLS এবং RadSec-এর প্রয়োজনীয়তাগুলো captive portal ডেপ্লয়মেন্টের জন্য কম প্রাসঙ্গিক, তবে captive portal কন্ট্রোলারটি যদি RADIUS সার্ভার থেকে ভিন্ন নেটওয়ার্ক সেগমেন্টে থাকে তবে RadSec-এর কথা বিবেচনা করা উচিত।

Q3. একটি স্বাস্থ্যসেবা ট্রাস্ট তাদের ক্লিনিক্যাল WiFi-কে WPA2-Personal থেকে 802.1X অথেন্টিকেশনে স্থানান্তর করার পরিকল্পনা করছে। ট্রাস্টের কাছে Windows ল্যাপটপ, iOS ট্যাবলেট এবং Android হ্যান্ডহেল্ড সহ ১,২০০টি ক্লিনিক্যাল ডিভাইস রয়েছে। CISO লক্ষ্য হিসেবে EAP-TLS চান। IT ডিরেক্টর PKI ডেপ্লয়মেন্টের জটিলতা নিয়ে উদ্বিগ্ন এবং একটি স্থায়ী সমাধান হিসেবে PEAP-MSCHAPv2-এর প্রস্তাব করছেন। আপনি CISO এবং IT ডিরেক্টরকে কী পরামর্শ দেবেন এবং প্রস্তাবিত ইমপ্লিমেন্টেশন পাথ কী?

ইঙ্গিত: একটি স্বাস্থ্যসেবা পরিবেশের জন্য নির্দিষ্ট থ্রেট মডেলটি বিবেচনা করুন - একটি ক্রেডেনশিয়াল ফাঁসের পরিণতি কী এবং কীভাবে EAP-TLS এমন ঝুঁকিগুলো সমাধান করে যা PEAP-MSCHAPv2 করে না?

মডেল উত্তর দেখুন

CISO-এর ধারণা সঠিক, তবে IT ডিরেক্টরের উদ্বেগও যুক্তিযুক্ত। প্রস্তাবিত পরামর্শ হলো: অন্তর্বর্তীকালীন সমাধান হিসেবে এখনই PEAP-MSCHAPv2 ইমপ্লিমেন্ট করুন, সাথে EAP-TLS-এ স্থানান্তরের জন্য ১২ মাসের একটি প্রতিশ্রুতিবদ্ধ রোডম্যাপ রাখুন। স্বাস্থ্যসেবা ক্ষেত্রে স্থায়ী সমাধান হিসেবে PEAP-MSCHAPv2 গ্রহণ না করার যৌক্তিকতা হলো: (১) ক্লায়েন্ট-সাইড সার্টিফিকেট ভ্যালিডেশন জোরদার না করা হলে PEAP-MSCHAPv2 ফেক RADIUS সার্ভার আক্রমণের জন্য ঝুঁকিপূর্ণ। একটি স্বাস্থ্যসেবা পরিবেশে যেখানে ক্লিনিক্যাল স্টাফরা ব্যক্তিগত ডিভাইস সংযুক্ত করতে পারে, সেখানে ১,২০০টি ডিভাইসে ধারাবাহিকভাবে সাপ্লীক্যান্ট কনফিগারেশন প্রয়োগ করা অপারেশনালি চ্যালেঞ্জিং। (২) MSCHAPv2 ক্রেডেনশিয়ালগুলো, যদি একটি ফেক RADIUS আক্রমণের মাধ্যমে ক্যাপচার করা হয়, তবে hashcat-এর মতো টুল ব্যবহার করে অফলাইনে ক্র্যাক করা যেতে পারে। স্বাস্থ্যসেবা প্রসঙ্গে, সেই ক্রেডেনশিয়ালগুলো সম্ভবত ক্লিনিক্যাল সিস্টেমগুলোতেও অ্যাক্সেস প্রদান করে। (৩) NHS DSPT এবং CQC মূল্যায়নগুলো ক্লিনিক্যাল নেটওয়ার্ক অ্যাক্সেসের জন্য ক্রমবর্ধমানভাবে শক্তিশালী অথেন্টিকেশন নিয়ন্ত্রণের প্রত্যাশা করে। EAP-TLS আরও শক্তিশালী অডিট প্রমাণের অবস্থান প্রদান করে। ইমপ্লিমেন্টেশন পাথ: মাস ১ - ২: সমস্ত ১,২০০টি ডিভাইসে MDM প্রোফাইলের মাধ্যমে সার্ভার সার্টিফিকেট ভ্যালিডেশন সহ PEAP-MSCHAPv2 ডেপ্লয় করুন। মাস ৩ - ৬: PKI অবকাঠামো হিসেবে Microsoft ADCS ডেপ্লয় করুন। Group Policy অটো-এনরোলমেন্টের মাধ্যমে Windows ডিভাইসগুলো এনরোল করুন। মাস ৬ - ৯: MDM সার্টিফিকেট প্রোফাইলের মাধ্যমে iOS এবং Android ডিভাইসগুলো এনরোল করুন। মাস ৯ - ১২: ক্লিনিক্যাল SSID পলিসি PEAP থেকে EAP-TLS-এ স্থানান্তর করুন। যেসব ডিভাইস সার্টিফিকেট এনরোলমেন্টে ব্যর্থ হয় সেগুলোর জন্য ব্যাকআপ হিসেবে PEAP রাখুন, সাথে উন্নত মনিটরিংয়ের ব্যবস্থা করুন। ক্লিনিক্যাল নেটওয়ার্ক সিকিউরিটি আর্কিটেকচার সম্পর্কে আরও জানতে, WiFi in Hospitals guide প্রাসঙ্গিক ডেপ্লয়মেন্ট কনটেক্সট প্রদান করে।

এই সিরিজে পড়া চালিয়ে যান

HPE Aruba-এর জন্য ক্যাপটিভ পোর্টাল: Purple গেস্ট WiFi-এর সাথে এটি সেট আপ করুন

Aruba Central বা Virtual Controller-এর মাধ্যমে একটি এক্সটার্নাল ক্যাপটিভ পোর্টাল, RADIUS এবং একটি allowlist ব্যবহার করে Purple-এর সাথে HPE Aruba Instant অ্যাক্সেস পয়েন্টগুলিতে একটি গেস্ট ক্যাপটিভ পোর্টাল সেট আপ করা।

গাইডটি পড়ুন →

Ruijie-এর জন্য ক্যাপটিভ পোর্টাল: Purple গেস্ট WiFi-এর সাথে এটি সেট আপ করুন

কীভাবে Purple-এর ক্লাউড গেস্ট WiFi ওয়েব অথেনটিকেশন এবং RADIUS ব্যবহার করে Ruijie RG Series অ্যাক্সেস পয়েন্টের উপরে কাজ করে, যা কমান্ড লাইন থেকে কনফিগার করা হয় এবং সঠিক সেটআপ ধাপগুলো কোথায় পাওয়া যাবে।

গাইডটি পড়ুন →

Grandstream GWN এবং গেস্ট WiFi: Purple-এর সাথে ক্যাপটিভ পোর্টাল সেটআপ

যেভাবে Grandstream GWN অ্যাক্সেস পয়েন্টগুলি Purple গেস্ট WiFi-এর সাথে কাজ করে: একটি এক্সটার্নাল স্প্ল্যাশ পেজ, RADIUS এবং একটি ওয়াল্ড গার্ডেন, সাথে সঠিক কনফিগারেশনের জন্য Purple-এর ধাপে ধাপে সেটআপ গাইডের একটি লিঙ্ক।

গাইডটি পড়ুন →