RADIUS कमजोरियों को कम करना: एक सुरक्षा सुदृढ़ीकरण (Hardening) गाइड
यह गाइड हॉस्पिटैलिटी, रिटेल, इवेंट्स और सार्वजनिक क्षेत्र के परिवेशों में एंटरप्राइज WiFi इंफ्रास्ट्रक्चर के लिए जिम्मेदार IT प्रबंधकों, नेटवर्क आर्किटेक्ट्स और CTOs के लिए एक व्यापक, व्यावहारिक संदर्भ प्रदान करती है। यह RADIUS सर्वर परिनियोजनों के पूर्ण हमले की सतह (attack surface) को कवर करती है - MD5 कोलिशन कमजोरियों और कमजोर साझा रहस्यों (shared secrets) से लेकर अनएन्क्रिप्टेड UDP ट्रांसपोर्ट और गलत तरीके से कॉन्फ़िगर किए गए EAP तरीकों तक - और IEEE 802.1X, PCI DSS, और GDPR आवश्यकताओं के अनुरूप एक प्राथमिकता वाली सुदृढ़ीकरण रोडमैप प्रदान करती है। इन सिफारिशों को लागू करने वाले संगठन क्रेडेंशियल-आधारित नेटवर्क हमलों के प्रति अपने जोखिम को काफी कम करेंगे, अनुपालन दायित्वों को पूरा करेंगे, और अपने अतिथि और कॉर्पोरेट WiFi इंफ्रास्ट्रक्चर के लिए एक मजबूत सुरक्षा स्थिति का निर्माण करेंगे।
इस गाइड को सुनें
पॉडकास्ट ट्रांसक्रिप्ट देखें
- कार्यकारी सारांश
- तकनीकी गहन विश्लेषण
- RADIUS कैसे काम करता है और यह कहाँ कमजोर है
- BlastRADIUS हमले का विवरण
- कार्यान्वयन गाइड
- चरण 1: तत्काल सुधार (सप्ताह 1 - 2)
- चरण 2: शेयर्ड सीक्रेट हाइजीन (सप्ताह 2-4)
- चरण 3: EAP विधि युक्तिकरण (महीने 1-2)
- चरण 4: RadSec परिनियोजन (महीने 2-3)
- चरण 5: प्रशासनिक पहुंच के लिए मल्टी-फैक्टर प्रमाणीकरण (महीने 2-3)
- फ़ेज़ 6: SIEM इंटीग्रेशन और अलर्टिंग (महीने 3-4)
- सर्वश्रेष्ठ अभ्यास (Best Practices)
- Troubleshooting and Risk Mitigation
- Common failure modes
- Risk register
- ROI और व्यावसायिक प्रभाव
- जोखिम को मापना
- कार्यान्वयन लागत बेंचमार्क
- सुरक्षा से परे परिचालन संबंधी लाभ

कार्यकारी सारांश
RADIUS (Remote Authentication Dial-In User Service) एंटरप्राइज WiFi डिप्लॉयमेंट में नेटवर्क एक्सेस कंट्रोल के लिए प्राथमिक प्रोटोकॉल बना हुआ है, जो होटलों, रिटेल स्टोर, स्टेडियमों, कॉन्फ्रेंस सेंटरों और सार्वजनिक क्षेत्र के भवनों में IEEE 802.1X ऑथेंटिकेशन का आधार है। फिर भी, RADIUS का आर्किटेक्चर 1990 के दशक का है, और इसके कई बुनियादी डिजाइन निर्णय - MD5 हैशिंग पर निर्भरता, बिना किसी मूल एन्क्रिप्शन के UDP ट्रांसपोर्ट, और स्टैटिक शेयर्ड सीक्रेट - वर्तमान थ्रेट वातावरण में महत्वपूर्ण जोखिम बन गए हैं।
जुलाई 2024 में, BlastRADIUS संवेदनशीलता (CVE-2024-3596) ने प्रदर्शित किया कि एक मैन-इन-द-मिडल हमलावर Access-Request पैकेटों में MD5 अखंडता कमजोरियों का फायदा उठाकर RADIUS Access-Accept प्रतिक्रियाओं को नकली बना सकता है। यह संवेदनशीलता प्रत्येक प्रमुख RADIUS कार्यान्वयन को प्रभावित करती है, जिसमें FreeRADIUS, Cisco ISE और Microsoft NPS शामिल हैं। बिना पैच वाले डिप्लॉयमेंट अभी भी जोखिम में हैं।
यह गाइड एक प्राथमिकता वाली हार्डनिंग रोडमैप प्रदान करती है जिसमें पैच प्रबंधन, शेयर्ड सीक्रेट हाइजीन, EAP विधि चयन, RadSec डिप्लॉयमेंट, प्रशासनिक पहुंच के लिए मल्टी-फैक्टर ऑथेंटिकेशन और विसंगति का पता लगाने के लिए SIEM एकीकरण शामिल है। यह उन IT पेशेवरों के लिए लिखी गई है जिन्हें अगली तिमाही नहीं, बल्कि इसी तिमाही में सुरक्षित निर्णय लेने की आवश्यकता है।

तकनीकी गहन विश्लेषण
RADIUS कैसे काम करता है और यह कहाँ कमजोर है
RADIUS एक नेटवर्क एक्सेस सर्वर (NAS) - आमतौर पर एक WiFi एक्सेस पॉइंट, स्विच या VPN कॉन्सेंट्रेटर - और एक RADIUS सर्वर के बीच एक क्लाइंट-सर्वर प्रोटोकॉल के रूप में काम करता है, जो Active Directory या LDAP जैसे बैकएंड आइडेंटिटी स्टोर के खिलाफ क्रेडेंशियल्स को सत्यापित करता है। ऑथेंटिकेशन एक्सचेंज RFC 2865 में परिभाषित अनुरोध-चुनौती-प्रतिक्रिया मॉडल का अनुसरण करता है, जिसमें एकाउंटिंग को RFC 2866 के तहत अलग से संभाला जाता है।
यह प्रोटोकॉल ऑथेंटिकेशन पैकेटों को UDP पर ट्रांसमिट करता है, ऑथेंटिकेशन के लिए पोर्ट 1812 और एकाउंटिंग के लिए 1813 का उपयोग करता है। शेयर्ड सीक्रेट - NAS और RADIUS सर्वर दोनों पर कॉन्फ़िगर की गई प्री-शेयर्ड की (pre-shared key) - का उपयोग Response Authenticator फ़ील्ड उत्पन्न करने और MD5-आधारित XOR सिफर के माध्यम से User-Password एट्रिब्यूट को एन्क्रिप्ट करने के लिए किया जाता है। यह किसी भी आधुनिक अर्थ में एन्क्रिप्शन नहीं है; यह केवल ऑब्फसकेशन (धुंधलापन) है जो पूरी तरह से शेयर्ड सीक्रेट की गोपनीयता और मजबूती पर निर्भर करता है।
एक सामान्य RADIUS डिप्लॉयमेंट में पांच मुख्य संवेदनशीलता श्रेणियां इस प्रकार हैं।MD5 कोलिजन और अखंडता संबंधी संवेदनशीलताएं। BlastRADIUS हमला (CVE-2024-3596) Access-Request पैकेट पर अखंडता सुरक्षा की कमी का फायदा उठाता है। क्योंकि कई कॉन्फ़िगरेशन में डिफ़ॉल्ट रूप से NAS से Message-Authenticator विशेषता शामिल नहीं होती है, इसलिए मैन-इन-द-मिडल स्थिति में हमलावर पैकेट RADIUS सर्वर तक पहुंचने से पहले तैयार की गई विशेषताओं को इंजेक्ट कर सकता है। MD5 चुने गए-प्रिफिक्स कोलिजन तकनीक का उपयोग करके, हमलावर पैकेट में इस तरह हेरफेर कर सकता है कि RADIUS सर्वर संशोधित पैकेट के लिए एक वैध Response Authenticator की गणना करता है, जिससे उस अनुरोध के लिए Access-Accept वापस आ जाता है जिसे खारिज कर दिया जाना चाहिए था। इसका समाधान सभी Access-Request पैकेटों पर Message-Authenticator विशेषता को लागू करना है, जो पूरे पैकेट पर HMAC-MD5 अखंडता सुरक्षा प्रदान करता है। इसके लिए NAS और RADIUS सर्वर दोनों पर कॉन्फ़िगरेशन परिवर्तन की आवश्यकता होती है, न कि केवल एक सर्वर पैच की।
कमजोर या स्थिर साझा रहस्य (shared secrets)। साझा रहस्य RADIUS एक्सचेंज का क्रिप्टोग्राफिक एंकर है। यदि रहस्य छोटा है, अनुमान लगाने योग्य है या कभी बदला नहीं गया है, तो एक हमलावर जो RADIUS ट्रैफ़िक को कैप्चर करता है (जो ARP स्पूफिंग या एक समझौता किए गए नेटवर्क डिवाइस के माध्यम से प्राप्त किया जा सकता है) ऑफ़लाइन User-Password विशेषता को ब्रूट-फोर्स कर सकता है। याद रखे गए रहस्यों पर NIST SP 800-63B मार्गदर्शन यहाँ लागू होता है: रहस्य कम से कम 20 वर्णों के होने चाहिए, रैंडम रूप से जनरेट किए गए होने चाहिए, और एक सीक्रेट्स मैनेजमेंट सिस्टम में संग्रहीत होने चाहिए। दर्जनों या सैकड़ों NAS उपकरणों वाले बड़े नेटवर्क के लिए, मैन्युअल रोटेशन परिचालन रूप से अवव्यवहारिक है; HashiCorp Vault या इसी तरह के सीक्रेट्स मैनेजर के माध्यम से ऑटोमेशन ही सही दृष्टिकोण है।
अनएन्क्रिप्टेड UDP ट्रांसपोर्ट। UDP पर मानक RADIUS कोई ट्रांसपोर्ट-लेयर गोपनीयता प्रदान नहीं करता है। User-Password विशेषता को अस्पष्ट (obfuscated) किया जाता है लेकिन एन्क्रिप्ट नहीं किया जाता है। उपयोगकर्ता नाम, NAS IP और सत्र मेटाडेटा सहित अन्य सभी विशेषताएँ - क्लियरटेक्स्ट में यात्रा करती हैं। RFC 6614 में परिभाषित और RFC 7360 में अपडेट किया गया RadSec (TLS पर RADIUS), TCP पोर्ट 2083 पर TLS टनल में RADIUS प्रोटोकॉल को रैप करके, एक TLS 1.2 या TLS 1.3 सत्र स्थापित करके इसे संबोधित करता है। RadSec, NAS और RADIUS सर्वर के बीच पारस्परिक प्रमाणपत्र प्रमाणीकरण, पूर्ण पेलोड एन्क्रिप्शन और रीप्ले सुरक्षा प्रदान करता है। यह किसी भी RADIUS ट्रैफ़िक के लिए सही ट्रांसपोर्ट है जो एक अविश्वसनीय नेटवर्क सीमा को पार करता है।
EAP विधि चयन। Extensible Authentication Protocol (EAP) 802.1X फ्रेमवर्क के भीतर उपयोग की जाने वाली आंतरिक प्रमाणीकरण विधियों को परिभाषित करता है। EAP-MD5 को हटा दिया गया है और इसे तुरंत सभी डिप्लॉयमेंट से हटा दिया जाना चाहिए - यह कोई पारस्परिक प्रमाणीकरण प्रदान नहीं करता है और क्रेडेंशियल-हार्वेस्टिंग हमलों का कोई प्रतिरोध नहीं करता है। PEAP (संरक्षित EAP) और EAP-TTLS क्रेडेंशियल प्रसारित करने से पहले एक सर्वर प्रमाणपत्र का उपयोग करके एक TLS टनल स्थापित करते हैं, जो पारस्परिक प्रमाणीकरण प्रदान करते हैं और आंतरिक विधि को ईव्सड्रॉपिंग से बचाते हैं। EAP-TLS पासवर्ड को पूरी तरह से समाप्त कर देता है, जिससे सर्वर और क्लाइंट दोनों पर X.509 प्रमाणपत्र की आवश्यकता होती है। यह फ़िशिंग और ब्रूट-फोर्स हमलों से सुरक्षित है और उच्च-सुरक्षा वातावरण के लिए अनुशंसित विधि है।
अपर्याप्त लॉगिंग और मॉनिटरिंग। RADIUS अकाउंटिंग हर ऑथेंटिकेशन इवेंट को रिकॉर्ड करता है - सफलता, विफलता, सेशन शुरू होना, सेशन बंद होना। यह डेटा कैपेसिटी प्लानिंग के लिए परिचालन रूप से मूल्यवान है और WiFi Analytics के लिए व्यावसायिक रूप से मूल्यवान है, लेकिन यह सुरक्षा टेलीमेट्री का एक महत्वपूर्ण स्रोत भी है। असफल-ऑथेंटिकेशन स्टॉर्म, अज्ञात MAC एड्रेस से ऑथेंटिकेशन, और आउट-ऑफ-आवर एक्सेस पैटर्न सभी RADIUS अकाउंटिंग लॉग से पता लगाने योग्य हैं। अधिकांश संगठन इस डेटा को SIEM में शामिल नहीं करते हैं, और जो करते हैं वे शायद ही कभी किसी अलर्टिंग थ्रेसहोल्ड को कॉन्फ़िगर करते हैं।

BlastRADIUS हमले का विवरण
BlastRADIUS का खुलासा जुलाई 2024 में बोस्टन यूनिवर्सिटी और UC सैन डिएगो के शोधकर्ताओं द्वारा किया गया था। इस हमले के लिए NAS और RADIUS सर्वर के बीच मैन-इन-द-मिडल स्थिति की आवश्यकता होती है - जो एक शेयर्ड नेटवर्क सेगमेंट पर ARP पॉइजनिंग, एक समझौता किए गए राउटर, या नेटवर्क एक्सेस वाले एक दुर्भावनापूर्ण इनसाइडर के माध्यम से प्राप्त की जा सकती है।
यह हमला इस प्रकार आगे बढ़ता है: हमलावर NAS से एक Access-Request पैकेट को इंटरसेप्ट करता है। चूंकि पैकेट में Message-Authenticator एट्रिब्यूट (कई कॉन्फ़िगरेशन में डिफॉल्ट) की कमी होती है, इसलिए हमलावर पैकेट की एट्रिब्यूट सूची को संशोधित करने के लिए स्वतंत्र है। एक MD5 चोजन-प्रिफिक्स कोलिजन का उपयोग करके, हमलावर एक संशोधित पैकेट का निर्माण करता है जिसके लिए RADIUS सर्वर उसी Response Authenticator की गणना करेगा जैसा कि मूल के लिए किया गया था। इसलिए सर्वर हमलावर-नियंत्रित एट्रिब्यूट वाले अनुरोध के लिए एक Access-Accept लौटाता है - जिसमें एडमिनिस्ट्रेटिव का Service-Type शामिल है जो पूर्ण नेटवर्क एक्सेस को अधिकृत करता है।
यह हमला PEAP और EAP-TTLS डिप्लॉयमेंट के खिलाफ प्रभावी है जो आंतरिक विधि के रूप में MSCHAPv2 का उपयोग करते हैं। यह EAP-TLS डिप्लॉयमेंट को प्रभावित नहीं करता है, जहां सर्टिफिकेट-आधारित म्यूचुअल ऑथेंटिकेशन इंटीग्रिटी प्रोटेक्शन प्रदान करता है जिसे MD5 सबवर्ट नहीं कर सकता है।
उन संगठनों के लिए जो Guest WiFi और कॉर्पोरेट 802.1X दोनों चला रहे हैं, गेस्ट नेटवर्क के RADIUS इंस्टेंस को भी पैच किया जाना चाहिए, भले ही यह EAP के बजाय MAC ऑथेंटिकेशन बाईपास का उपयोग करता हो। शेयर्ड सीक्रेट हाइजीन और Message-Authenticator की आवश्यकता समान रूप से लागू होती है।
कार्यान्वयन गाइड
चरण 1: तत्काल सुधार (सप्ताह 1 - 2)
पैचिंग सबसे पहले आती है। FreeRADIUS 3.2.5 और 3.0.27 में BlastRADIUS फिक्स शामिल हैं और डिफ़ॉल्ट रूप से Message-Authenticator लागू करते हैं। Cisco ISE 3.1 पैच 8, 3.2 पैच 4 और 3.3 पैच 1 इस भेद्यता का समाधान करते हैं। Microsoft ने जुलाई 2024 में Windows Server 2022 NPS के लिए KB5040434 जारी किया। अपने वर्तमान संस्करणों को सत्यापित करें और अपने अगले निर्धारित चेंज विंडो के भीतर पैच लागू करें।
उसी समय, अपने NAS डिवाइस फ़र्मवेयर का ऑडिट करें। Message-Authenticator लागू करना केवल तभी प्रभावी होता है जब NAS भी एट्रिब्यूट भेजता है। अपने एक्सेस पॉइंट और स्विच वेंडर की एडवाइज़री चेक करें - Aruba, Ruckus, Cisco और Juniper सभी ने BlastRADIUS के लिए फ़र्मवेयर अपडेट जारी किए हैं। यदि आप Ruckus हार्डवेयर चला रहे हैं, तो wireless access point Ruckus guide प्रासंगिक फ़र्मवेयर प्रबंधन संदर्भ प्रदान करता है।
पैचिंग के बाद आने वाली troubleshooting Windows 11 802.1X authentication issues के लिए, सबसे आम कारण NPS सर्वर द्वारा उन क्लाइंट्स के कनेक्शन को अस्वीकार करना है जिनमें Message-Authenticator शामिल नहीं है - यह सही सुरक्षा व्यवहार है जिसके लिए पुराने Windows क्लाइंट्स पर सप्लिकेंट रीकॉन्फ़िगरेशन की आवश्यकता हो सकती है।
चरण 2: शेयर्ड सीक्रेट हाइजीन (सप्ताह 2-4)
अपने RADIUS सर्वर पर रजिस्टर्ड NAS क्लाइंट्स की पूरी सूची निर्यात करें। प्रत्येक प्रविष्टि के लिए, शेयर्ड सीक्रेट की लंबाई और उसके पिछली बार बदले जाने की तिथि रिकॉर्ड करें। 20 कैरेक्टर से कम के किसी भी सीक्रेट, या 24 महीने से अधिक समय से अपरिवर्तित सीक्रेट को तुरंत बदला जाना चाहिए।
नए सीक्रेट के लिए, क्रिप्टोग्राफ़िक रूप से रैंडम जनरेटर का उपयोग करें - openssl rand -base64 32 एक 44-कैरेक्टर का base64 स्ट्रिंग तैयार करता है जो RADIUS शेयर्ड सीक्रेट के रूप में उपयोग करने के लिए पूरी तरह उपयुक्त है। सभी सीक्रेट्स को सीक्रेट मैनेजमेंट सिस्टम में स्टोर करें। एक रोटेशन शेड्यूल लागू करें: कम जोखिम वाले NAS डिवाइस के लिए सालाना, PCI DSS दायरे में आने वाले NAS डिवाइस के लिए हर छह महीने में।
चरण 3: EAP विधि युक्तिकरण (महीने 1-2)
उन EAP विधियों का ऑडिट करें जिनकी आपके RADIUS सर्वर अनुमति देते हैं। EAP-MD5 को अक्षम करें। यदि आप PEAP-MSCHAPv2 चला रहे हैं, तो सत्यापित करें कि सभी सप्लिकेंट सर्वर सर्टिफिकेट सत्यापन लागू करते हैं - एक गलत कॉन्फ़िगर किया गया सप्लिकेंट जो किसी भी सर्वर सर्टिफिकेट को स्वीकार करता है, वह दुष्ट RADIUS सर्वर हमलों के प्रति संवेदनशील होता है। PCI DSS दायरे वाले वातावरण के लिए, EAP-TLS की सिफारिश की जाती है। यदि आपके पास कोई मौजूदा सर्टिफिकेट इन्फ्रास्ट्रक्चर नहीं है, तो PKI योजना शुरू करें।
securing guest WiFi networks के लिए, ध्यान दें कि गेस्ट नेटवर्क आमतौर पर 802.1X के बजाय Captive Portal प्रमाणीकरण का उपयोग करते हैं, इसलिए EAP विधि सुदृढ़ीकरण मुख्य रूप से कॉर्पोरेट और स्टाफ SSIDs पर लागू होता है।
चरण 4: RadSec परिनियोजन (महीने 2-3)
प्रत्येक RADIUS ट्रैफ़िक पथ की पहचान करें जो किसी असुरक्षित नेटवर्क सीमा को पार करता है। सामान्य परिदृश्यों में एक केंद्रीय RADIUS सर्वर शामिल है जो इंटरनेट पर रिमोट होटलों को सेवा प्रदान करता है; ऑन-प्रिमाइसेस NAS डिवाइस क्लाउड RADIUS सेवा तक पहुँचते हैं; और RADIUS प्रॉक्सी चेन जहाँ ट्रैफ़िक कई नेटवर्क डोमेन को पार करता है।
प्रत्येक पहचाने गए पथ के लिए, RadSec कॉन्फ़िगर करें। FreeRADIUS पर इसका अर्थ पोर्ट 2083 पर tls लिसनर को सक्षम करना और आपके PKI से सर्टिफिकेट के साथ म्यूचुअल TLS को कॉन्फ़िगर करना है। Cisco ISE पर, RadSec को Administration > Network Devices के अंतर्गत कॉन्फ़िगर किया गया है। न्यूनतम TLS 1.2 सुनिश्चित करें; TLS 1.0 और 1.1 को स्पष्ट रूप से अक्षम करें।
चरण 5: प्रशासनिक पहुंच के लिए मल्टी-फैक्टर प्रमाणीकरण (महीने 2-3)
RADIUS server का मैनेजमेंट इंटरफ़ेस एक हाई-वैल्यू टारगेट होता है। RADIUS server से समझौता करने वाला हमलावर प्रमाणीकरण (authentication) पॉलिसी को संशोधित कर सकता है, शेयर्ड सीक्रेट्स निकाल सकता है और प्रमाणीकरण फ़्लो को रीडायरेक्ट कर सकता है। सभी RADIUS servers और उनके अंतर्निहित ऑपरेटिंग सिस्टम के एडमिनिस्ट्रेटिव लॉगिन पर MFA लागू करें। मैनेजमेंट एक्सेस को एक समर्पित आउट-ऑफ-बैंड मैनेजमेंट VLAN तक सीमित करें। रोल-बेस्ड एक्सेस कंट्रोल लागू करें: नेटवर्क इंजीनियरों के पास सुरक्षा एडमिनिस्ट्रेटर जैसे विशेषाधिकार नहीं होने चाहिए।
फ़ेज़ 6: SIEM इंटीग्रेशन और अलर्टिंग (महीने 3-4)
अपने RADIUS servers को वास्तविक समय में अपने SIEM को एकाउंटिंग लॉग्स फ़ॉरवर्ड करने के लिए कॉन्फ़िगर करें। निम्नलिखित बेसलाइन अलर्ट थ्रेशोल्ड निर्धारित करें:
| अलर्ट | थ्रेशोल्ड | गंभीरता |
|---|---|---|
| एक ही MAC एड्रेस से कई प्रमाणीकरण विफलताएं | >5 प्रति 60 सेकंड | उच्च |
| एक्सेस-रिजेक्ट दर में अचानक वृद्धि | 7-दिवसीय बेसलाइन से 200% अधिक | मध्यम |
| कॉर्पोरेट SSID पर एक नए MAC एड्रेस से प्रमाणीकरण | पहली बार होने पर | मध्यम |
| RADIUS server सर्टिफिकेट समाप्त होने के करीब | 90 / 30 / 7 दिन | उच्च / गंभीर / गंभीर |
| शेयर्ड सीक्रेट बेमेल एरर्स | कोई भी घटना | उच्च |
सर्वश्रेष्ठ अभ्यास (Best Practices)
निम्नलिखित सिफारिशें IEEE 802.1X, NIST SP 800-63B, PCI-DSS v4.0 और वेंडर सुरक्षा सलाहों के बीच आम सहमति को दर्शाती हैं।
सर्टिफिकेट मैनेजमेंट। EAP-TLS या RadSec का उपयोग करने वाले किसी भी डिप्लॉयमेंट के प्रमाणीकरण पथ में X.509 सर्टिफिकेट होते हैं। एंटरप्राइज WiFi डिप्लॉयमेंट में अचानक, पूर्ण प्रमाणीकरण विफलता का सबसे आम कारण सर्टिफिकेट का समाप्त होना है। स्वचालित सर्टिफिकेट लाइफ़साइकल मैनेजमेंट लागू करें। समाप्ति से 90, 30 और 7 दिन पहले मॉनिटरिंग अलर्ट सेट करें। RADIUS server सर्टिफिकेट के लिए, न्यूनतम 2048-bit RSA या 256-bit ECDSA कीज़, और SHA-256 या मजबूत सिग्नेचर एल्गोरिदम का उपयोग करें। SHA-1 का उपयोग न करें।
नेटवर्क सेगमेंटेशन। RADIUS servers को एक समर्पित मैनेजमेंट सेगमेंट पर होना चाहिए, जो गेस्ट और सामान्य कॉर्पोरेट नेटवर्क से अलग हो। RADIUS पोर्ट्स (UDP 1812, 1813, और RadSec के लिए TCP 2083) तक पहुंच को फ़ायरवॉल ACL द्वारा पंजीकृत NAS डिवाइस के विशिष्ट IP एड्रेस तक सीमित किया जाना चाहिए। RADIUS पोर्ट्स पर सीधे इंटरनेट एक्सेस की अनुमति न दें।
रिडंडेंसी और हाई अवेलेबिलिटी। एक एकल RADIUS server आपके पूरे नेटवर्क एक्सेस कंट्रोल इंफ्रास्ट्रक्चर के लिए सिंगल पॉइंट ऑफ़ फेलियर होता है। एक्टिव-पैसिव या एक्टिव-एक्टिव कॉन्फ़िगरेशन में कम से कम दो RADIUS servers तैनात करें। 24/7 गेस्ट कनेक्टिविटी आवश्यकताओं वाले Hospitality डिप्लॉयमेंट के लिए, RADIUS server डाउनटाइम का सीधा मतलब गेस्ट WiFi डाउनटाइम है - जो एक प्रतिष्ठा और व्यावसायिक जोखिम है।WPA3 and 802.1X. 192-बिट सुरक्षा मोड में WPA3-Enterprise, जो सरकारी और उच्च-सुरक्षा व्यवस्थाओं के लिए आवश्यक है, डेटा एन्क्रिप्शन के लिए AES-256-GCMP और प्रमाणीकरण के लिए HMAC-SHA-384 को अनिवार्य बनाता है। अधिकांश एंटरप्राइज़ डिप्लॉयमेंट के लिए, मानक 128-बिट सुरक्षा के साथ WPA3-Enterprise पहले से ही WPA2-Enterprise की तुलना में एक महत्वपूर्ण सुधार है, विशेष रूप से जब इसे EAP-TLS के साथ संयोजित किया जाता है। कार्ड भुगतान संभालने वाले Retail वातावरणों को WPA3-Enterprise अपनाने को PCI-DSS जोखिम-कमी उपाय के रूप में मानना चाहिए।
Vendor patch cadence. अपने RADIUS सर्वर वेंडर और अपने NAS डिवाइस वेंडर्स से सुरक्षा चेतावनियों की सदस्यता लें। FreeRADIUS, Cisco, Microsoft, Aruba और Ruckus सभी CVE सूचनाएं प्रकाशित करते हैं। इन्हें निर्धारित SLAs के साथ अपने भेद्यता प्रबंधन कार्यक्रम में शामिल करें: गंभीर भेद्यताएँ (CVSS ≥ 9.0) 72 घंटों के भीतर पैच की जाएं; उच्च-तीव्रता वाली भेद्यताएँ (CVSS 7.0-8.9) 14 दिनों के भीतर।
Troubleshooting and Risk Mitigation
Common failure modes
Authentication failures after patching. BlastRADIUS पैच लागू करने के बाद, कुछ NAS डिवाइस प्रमाणित करने में विफल हो सकते हैं यदि उनका फर्मवेयर Message-Authenticator का समर्थन नहीं करता है। लक्षण: उपयोगकर्ता क्रेडेंशियल में कोई बदलाव न होने पर भी Access-Reject प्रतिक्रियाओं में अचानक वृद्धि। निदान: RADIUS डिबग लॉगिंग सक्षम करें और "Message-Authenticator required but not present" त्रुटियों की जांच करें। समाधान: NAS फर्मवेयर को अपडेट करें, या एक अस्थायी उपाय के रूप में RADIUS सर्वर को विशिष्ट NAS IPs से बिना Message-Authenticator के अनुरोधों को स्वीकार करने के लिए कॉन्फ़िगर करें, जब तक कि फर्मवेयर अपडेट शेड्यूल न हो जाएं।
Certificate validation failures in EAP-TLS. लक्षण: क्लाइंट्स को RADIUS लॉग में बिना किसी संगत Access-Reject के "authentication failed" प्राप्त होता है। निदान: RADIUS सर्वर के सर्टिफिकेट चेन की जांच करें - क्या जारीकर्ता CA क्लाइंट सप्लिकेंट द्वारा विश्वसनीय है? क्या सर्वर सर्टिफिकेट अपनी वैधता अवधि के भीतर है? समाधान: सुनिश्चित करें कि पूर्ण सर्टिफिकेट चेन (leaf + intermediate + root) RADIUS सर्वर पर कॉन्फ़िगर की गई है। MDM या ग्रुप पॉलिसी के माध्यम से क्लाइंट डिवाइसेज पर रूट CA सर्टिफिकेट पुश करें।
RadSec TLS handshake failures. लक्षण: कॉन्फ़िगरेशन परिवर्तन के बाद NAS डिवाइस RadSec कनेक्शन स्थापित नहीं कर सकते। निदान: TLS संस्करण अनुकूलता की जांच करें - पुराना NAS फर्मवेयर TLS 1.2 का समर्थन नहीं कर सकता है। आपसी सर्टिफिकेट प्रमाणीकरण की जांच करें - दोनों सिरों को एक-दूसरे के CA पर भरोसा करना चाहिए। समाधान: NAS फर्मवेयर रिलीज नोट्स में TLS संस्करण समर्थन सत्यापित करें; सुनिश्चित करें कि NAS डिवाइस सर्टिफिकेट उसी CA द्वारा जारी किए गए हैं जिस पर RADIUS सर्वर भरोसा करता है।
Shared secret mismatch. लक्षण: एक विशेष NAS से प्रत्येक प्रमाणीकरण "invalid authenticator" त्रुटियों के साथ विफल हो जाता है। निदान: NAS कॉन्फ़िगरेशन और RADIUS सर्वर की क्लाइंट प्रविष्टि के बीच साझा गुप्त (shared secret) बेमेल होना। समाधान: दोनों सिरों पर साझा गुप्त को फिर से दर्ज करें, अंतिम व्हाइटस्पेस या कैरेक्टर-एन्कोडिंग समस्याओं की जांच करें। ट्रांसक्रिप्शन त्रुटियों से बचने के लिए अपने सीक्रेट्स मैनेजर से कॉपी और पेस्ट करें।
Risk register
| जोखिम | संभावना | प्रभाव | शमन नियंत्रण |
|---|---|---|---|
| BlastRADIUS exploitation | High (if unpatched) | Critical | पैचिंग + Message-Authenticator प्रवर्तन |
| Shared secret brute-force | Medium | High | 32-करैक्टर रैंडम सीक्रेट्स, वार्षिक रोटेशन |
| Rogue RADIUS server | Medium | High | EAP-TLS पारस्परिक प्रमाणीकरण, सर्टिफिकेट पिनिंग |
| RADIUS server certificate expiry | High | Critical | स्वचालित मॉनिटरिंग, 90 दिन पहले अलर्ट |
| Credential stuffing via 802.1X | Medium | High | अकाउंट लॉकआउट पॉलिसी, SIEM अलर्टिंग |
| RADIUS server compromise | Low | Critical | एडमिन एक्सेस पर MFA, नेटवर्क सेगमेंटेशन |
ROI और व्यावसायिक प्रभाव
जोखिम को मापना
RADIUS को सुरक्षित और मजबूत बनाने (hardening) का वित्तीय औचित्य तब सबसे स्पष्ट होता है जब इसकी तुलना ब्रीच (डेटा चोरी) की लागतों से की जाती है। 2024 में यूके में डेटा ब्रीच की औसत लागत £3.58 मिलियन थी, जिसमें नियामक जुर्माने, सुधारात्मक उपाय, कानूनी लागत और प्रतिष्ठा को होने वाला नुकसान शामिल है। PCI-DSS के दायरे में आने वाले संगठनों के लिए - वास्तव में प्रत्येक Retail और Hospitality संचालक जो WiFi पर कार्ड भुगतान स्वीकार करते हैं - एक नेटवर्क एक्सेस कंट्रोल ब्रीच जो कार्डधारक के डेटा को उजागर करता है, एक अनिवार्य फॉरेंसिक जांच, संभावित कार्ड-स्कीम जुर्मानों और कार्ड प्रोसेसिंग अधिकारों के संभावित निलंबन को सक्रिय कर देता है।
Healthcare संगठनों के लिए, एक समझौता किए गए RADIUS सर्वर के माध्यम से रोगी के डेटा तक पहुंच से संबंधित GDPR ब्रीच पर अनुच्छेद 83(5) के तहत वैश्विक वार्षिक टर्नओवर का 4% तक का जुर्माना लग सकता है। ICO का प्रवर्तन रिकॉर्ड दर्शाता है कि नेटवर्क सुरक्षा विफलताओं को लापरवाही माना जाता है, न कि कोई तकनीकी दुर्भाग्य।
कार्यान्वयन लागत बेंचमार्क
निम्नलिखित लागत अनुमान 500-डिवाइस वाले कॉर्पोरेट नेटवर्क को मानकर लगाए गए हैं:
| सुरक्षा गतिविधि | अनुमानित लागत | समय-सीमा |
|---|---|---|
| पैचिंग (FreeRADIUS / NPS / ISE) | केवल आंतरिक श्रम | 1-2 सप्ताह |
| Shared secret ऑडिट और रोटेशन | आंतरिक श्रम + सीक्रेट्स मैनेजर लाइसेंस (~£2,000/वर्ष) | 2-4 सप्ताह |
| EAP-TLS PKI परिनियोजन | £15,000 - £30,000 (टूलिंग + प्रोफेशनल सर्विसेज) | 2-3 महीने |
| RadSec कार्यान्वयन | आंतरिक श्रम + सर्टिफिकेट लागत (~£1,500) | 4-6 सप्ताह |
| SIEM एकीकरण और अलर्टिंग | मौजूदा SIEM पर निर्भर करता है; £0 - £10,000 | 4-8 सप्ताह |
एक मध्यम आकार के उद्यम के लिए कुल सुरक्षा सुदृढ़ीकरण निवेश लगभग £20,000 - £45,000 है। £3.58 मिलियन की ब्रीच लागत के आधार पर, जोखिम-समायोजित ROI रूढ़िवादी ब्रीच-प्रायिकता मान्यताओं के तहत भी बेहद आकर्षक है।
सुरक्षा से परे परिचालन संबंधी लाभ
सुरक्षित और मजबूत किया गया RADIUS इन्फ्रास्ट्रक्चर परिचालन संबंधी लाभ भी प्रदान करता है। विश्वसनीय, अच्छी तरह से मॉनिटर किया गया प्रमाणीकरण WiFi कनेक्टिविटी से संबंधित हेल्प डेस्क टिकटों को कम करता है। RADIUS अकाउंटिंग डेटा, जब WiFi Analytics के साथ एकीकृत होता है, तो नेटवर्क उपयोग के पैटर्न, रुकने के समय और डिवाइस के प्रकारों में सत्र-स्तरीय दृश्यता प्रदान करता है - ऐसा डेटा जिसका Hospitality और Transport वातावरण में वेन्यू ऑपरेटरों के लिए सीधा व्यावसायिक मूल्य है।
सार्वजनिक क्षेत्र और स्वास्थ्य सेवा संगठनों के लिए, एक प्रलेखित RADIUS हार्डनिंग कार्यक्रम Cyber Essentials Plus, ISO 27001 और NHS DSPT आकलनों के लिए तकनीकी नियंत्रणों का प्रमाण प्रदान करता है - जिससे ऑडिट के प्रयास कम होते हैं और नियामकों के प्रति उचित तत्परता प्रदर्शित होती है।
मुख्य परिभाषाएं
RADIUS (Remote Authentication Dial-In User Service)
RFC 2865 में परिभाषित एक क्लाइंट-सर्वर प्रोटोकॉल जो नेटवर्क एक्सेस के लिए केंद्रीकृत ऑथेंटिकेशन, ऑथराइजेशन और अकाउंटिंग (AAA) प्रदान करता है। RADIUS सर्वर नेटवर्क डिवाइसों (NAS) द्वारा सबमिट किए गए क्रेडेंशियल्स को Active Directory या LDAP जैसे बैकएंड आइडेंटिटी स्टोर के खिलाफ सत्यापित करते हैं।
IT टीमें 802.1X WiFi, वायर्ड पोर्ट ऑथेंटिकेशन, VPN एक्सेस और नेटवर्क डिवाइस प्रबंधन के लिए ऑथेंटिकेशन बैकएंड के रूप में RADIUS का सामना करती हैं। यह वह प्रोटोकॉल है जो यह तय करता है कि नेटवर्क पर कौन आ सकता है।
IEEE 802.1X
पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल के लिए एक IEEE मानक जो LAN पर EAP (EAPOL) के इनकैप्सुलेशन को परिभाषित करता है। यह वायर्ड और वायरलेस दोनों नेटवर्कों के लिए एक ऑथेंटिकेशन फ्रेमवर्क प्रदान करता है, जिसके तहत नेटवर्क एक्सेस दिए जाने से पहले डिवाइसों को ऑथेंटिकेट करना आवश्यक होता है।
802.1X वह मानक है जो एंटरप्राइज़ WiFi ऑथेंटिकेशन को काम करने योग्य बनाता है। जब कोई स्टाफ सदस्य कॉर्पोरेट SSID से कनेक्ट होता है और उससे क्रेडेंशियल्स मांगे जाते हैं, तो 802.1X उस एक्सचेंज को व्यवस्थित करने वाला फ्रेमवर्क है, जिसमें RADIUS बैकएंड के रूप में कार्य करता है।
EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)
एक EAP विधि जो क्लाइंट और RADIUS सर्वर के बीच पारस्परिक ऑथेंटिकेशन के लिए X.509 सर्टिफिकेट का उपयोग करती है। दोनों पक्षों को वैध सर्टिफिकेट प्रस्तुत करना होगा, जिससे ऑथेंटिकेशन एक्सचेंज से पासवर्ड पूरी तरह से समाप्त हो जाते हैं।
EAP-TLS एंटरप्राइज WiFi ऑथेंटिकेशन के लिए गोल्ड स्टैंडर्ड है। यह क्रेडेंशियल फ़िशिंग और ब्रूट-फ़ोर्स हमलों से सुरक्षित है। क्लाइंट सर्टिफिकेट जारी करने और प्रबंधित करने के लिए एक PKI इन्फ्रास्ट्रक्चर इसकी परिचालन आवश्यकता है।
RadSec (RADIUS over TLS)
RFC 6614 में परिभाषित एक प्रोटोकॉल जो TCP पोर्ट 2083 पर TLS सेशन के भीतर RADIUS पैकेट को एनकैप्सुलेट करता है। यह RADIUS ट्रैफ़िक के लिए ट्रांसपोर्ट-लेयर एन्क्रिप्शन, पारस्परिक सर्टिफिकेट ऑथेंटिकेशन और रीप्ले प्रोटेक्शन प्रदान करता है।
किसी भी RADIUS ट्रैफ़िक के लिए RadSec आवश्यक है जो किसी अविश्वसनीय नेटवर्क सीमा - WAN लिंक, इंटरनेट कनेक्शन, या साझा नेटवर्क इन्फ्रास्ट्रक्चर को पार करता है। मल्टी-साइट डिप्लॉयमेंट में UDP पर मानक RADIUS के लिए यह सही रिप्लेसमेंट है।
BlastRADIUS (CVE-2024-3596)
जुलाई 2024 में सामने आया एक मैन-इन-द-मिडल हमला जो RADIUS Access-Request पैकेट पर अखंडता सुरक्षा (integrity protection) की अनुपस्थिति का फायदा उठाता है। MD5 चुने हुए-प्रिफिक्स कोलिजन तकनीकों का उपयोग करके, एक हमलावर नकली Access-Accept प्रतिक्रिया तैयार कर सकता है, जिससे एक अनऑथेंटिकेटेड उपयोगकर्ता को नेटवर्क एक्सेस मिल जाता है।
BlastRADIUS सभी प्रमुख RADIUS इम्प्लीमेंटेशन को प्रभावित करता है जिसमें FreeRADIUS, Cisco ISE और Microsoft NPS शामिल हैं। जिन संगठनों ने जुलाई 2024 में जारी किए गए पैच लागू नहीं किए हैं, वे इस हमले के प्रति संवेदनशील बने हुए हैं।
Message-Authenticator
एक RADIUS विशेषता (Attribute 80) जो पूरे RADIUS पैकेट पर HMAC-MD5 अखंडता सुरक्षा प्रदान करती है। Access-Request में उपस्थित होने पर, यह BlastRADIUS में उपयोग किए जाने वाले पैकेट संशोधन हमले को रोकता है।
सभी Access-Request पैकेटों पर Message-Authenticator लागू करना BlastRADIUS के लिए प्राथमिक उपचार है। इसे RADIUS सर्वर (विशेषता की आवश्यकता के लिए) और NAS डिवाइस (अनुरोधों में विशेषता शामिल करने के लिए) दोनों पर कॉन्फ़िगर किया जाना चाहिए।
NAS (Network Access Server)
RADIUS शब्दावली में, NAS एक नेटवर्क डिवाइस है - आमतौर पर एक WiFi एक्सेस पॉइंट, स्विच, या VPN कंसंट्रेटर - जो RADIUS क्लाइंट के रूप में कार्य करता है। यह एंड डिवाइसों से कनेक्शन अनुरोधों को रोकता है और ऑथेंटिकेशन अनुरोधों को RADIUS सर्वर पर फॉरवर्ड करता है।
डिप्लॉयमेंट में NAS डिवाइस RADIUS क्लाइंट होते हैं। साझा रहस्य (Shared secrets) प्रति-NAS कॉन्फ़िगर किए जाते हैं। BlastRADIUS उपचार के लिए NAS डिवाइस पर फ़र्मवेयर अपडेट के साथ-साथ RADIUS सर्वर पर पैच की आवश्यकता होती है।
PEAP (Protected Extensible Authentication Protocol)
एक EAP विधि जो आंतरिक ऑथेंटिकेशन विधि (आमतौर पर MSCHAPv2) को प्रसारित करने से पहले सर्वर-साइड सर्टिफिकेट का उपयोग करके एक TLS टनल स्थापित करती है। यह पारस्परिक ऑथेंटिकेशन प्रदान करती है और क्रेडेंशियल्स को ईव्सड्रॉपिंग से सुरक्षित रखती है।
PEAP-MSCHAPv2 सबसे व्यापक रूप से उपयोग की जाने वाली एंटरप्राइज WiFi ऑथेंटिकेशन विधि है। यह PCI DSS के अनुरूप है और EAP-TLS की तुलना में परिचालन रूप से सरल है क्योंकि इसमें क्लाइंट सर्टिफिकेट की आवश्यकता नहीं होती है। हालाँकि, यदि क्लाइंट-साइड सर्टिफिकेट सत्यापन लागू नहीं किया जाता है, तो यह नकली RADIUS सर्वर हमलों के प्रति संवेदनशील है।
Shared Secret
एक प्री-शेयर्ड की (key) जिसे RADIUS सर्वर और प्रत्येक NAS डिवाइस दोनों पर कॉन्फ़िगर किया जाता है। इसका उपयोग Response Authenticator फ़ील्ड को जनरेट करने और User-Password विशेषता को अस्पष्ट (obfuscate) करने के लिए किया जाता है। यह एंड यूजर्स के लिए पासवर्ड नहीं है - यह एक सर्वर-टू-सर्वर ऑथेंटिकेशन क्रेडेंशियल है।
कमजोर या स्थिर साझा रहस्य सबसे आम RADIUS कमजोरियों में से एक हैं। एक हमलावर जो RADIUS ट्रैफ़िक को कैप्चर करता है, वह कमजोर साझा रहस्य के खिलाफ एक ऑफ़लाइन ब्रूट-फ़ोर्स हमला कर सकता है। न्यूनतम अनुशंसित लंबाई 32 वर्ण है, जो रैंडमली जनरेट की गई हो।
PCI DSS (Payment Card Industry Data Security Standard)
कार्डधारक के डेटा को प्रोसेस, स्टोर या ट्रांसमिट करने वाले संगठनों के लिए प्रमुख कार्ड योजनाओं (Visa, Mastercard, Amex) द्वारा अनिवार्य सुरक्षा मानकों का एक सेट। संस्करण 4.0, जो मार्च 2024 से प्रभावी है, में नेटवर्क एक्सेस कंट्रोल और मजबूत प्रमाणीकरण के लिए विशिष्ट आवश्यकताएं शामिल हैं।
WiFi से जुड़े POS टर्मिनलों वाले रिटेल और हॉस्पिटैलिटी संगठन PCI DSS के दायरे में आते हैं। RADIUS सर्वर की कमजोरियां जो कार्डधारक डेटा वातावरण तक अनधिकृत नेटवर्क एक्सेस की अनुमति दे सकती हैं, वे सीधे अनुपालन (compliance) के लिए जोखिम हैं।
हल किए गए उदाहरण
12 संपत्तियों वाला एक 350 कमरों का होटल समूह अपने मुख्य कार्यालय डेटा सेंटर में होस्ट किए गए एक केंद्रीकृत RADIUS सर्वर का उपयोग करता है। प्रत्येक संपत्ति एक साझा MPLS WAN पर जुड़ती है। एक सुरक्षा ऑडिट ने संकेत दिया है कि WAN पर RADIUS ट्रैफ़िक अनएन्क्रिप्टेड है, साझा रहस्य (shared secrets) 5 साल पहले प्रारंभिक परिनियोजन के दौरान सेट किए गए 8-वर्णों के स्ट्रिंग्स हैं, और RADIUS सर्वर FreeRADIUS 3.0.21 चला रहा है। यह समूह अपने रेस्तरां और स्पा सुविधाओं में WiFi-कनेक्टेड POS टर्मिनलों के माध्यम से कार्ड भुगतान संसाधित करता है। समाधान प्राथमिकता और कार्यान्वयन क्रम क्या है?
समाधान अनुक्रम को जोखिम की गंभीरता और कार्यान्वयन की गति के आधार पर क्रमित किया जाना चाहिए। चरण 1 (तत्काल, 72 घंटों के भीतर): FreeRADIUS को 3.2.5 या 3.0.27 पर पैच करें। यह BlastRADIUS को संबोधित करता है और डिफ़ॉल्ट रूप से Message-Authenticator को लागू करता है। साथ ही, सभी 12 संपत्तियों में एक्सेस पॉइंट फ़र्मवेयर संस्करणों की जांच करें और उन NAS उपकरणों के लिए फ़र्मवेयर अपडेट शेड्यूल करें जो Message-Authenticator का समर्थन नहीं करते हैं। चरण 2 (सप्ताह 1-2): सभी साझा रहस्यों (shared secrets) को बदलें (rotate)। 12 संपत्ति NAS पंजीकरणों में से प्रत्येक के लिए openssl rand -base64 32 का उपयोग करके 32-वर्णों के यादृच्छिक रहस्य उत्पन्न करें। HashiCorp Vault या समकक्ष में संग्रहीत करें। रोटेशन की तारीख का दस्तावेजीकरण करें। चरण 3 (महीना 1-2): WAN पथ पर RadSec लागू करें। TCP 2083 पर RadSec कनेक्शन स्वीकार करने के लिए FreeRADIUS सर्वर को कॉन्फ़िगर करें। एक आंतरिक CA से प्रत्येक संपत्ति के NAS उपकरणों के लिए TLS प्रमाणपत्र जारी करें। संपत्ति NAS IP सीमाओं से RADIUS सर्वर तक TCP 2083 की अनुमति देने के लिए फ़ायरवॉल नियमों को अपडेट करें। एक बार RadSec के चालू होने की पुष्टि हो जाने पर WAN-सामना करने वाले इंटरफेस से UDP 1812/1813 को अक्षम करें। चरण 4 (महीना 2-3): PCI DSS-दायरे वाले POS WiFi SSID के लिए, PEAP-MSCHAPv2 से EAP-TLS पर माइग्रेट करें। एक आंतरिक PKI (Microsoft ADCS या HashiCorp Vault PKI इंजन) तैनात करें। MDM के माध्यम से POS टर्मिनलों को क्लाइंट प्रमाणपत्र जारी करें। POS SSID के लिए EAP-TLS की आवश्यकता के लिए RADIUS नीति को अपडेट करें। चरण 5 (महीना 3): RADIUS अकाउंटिंग लॉग्स को SIEM में एकीकृत करें। विफल प्रमाणीकरण स्पाइक्स और प्रमाणपत्र की समाप्ति के लिए अलर्ट कॉन्फ़िगर करें।
45 स्टोर्स वाली एक क्षेत्रीय रिटेल चेन स्टाफ WiFi के लिए WPA2-Personal (प्री-शेयर्ड की) और ग्राहक WiFi के लिए एक ओपन नेटवर्क का उपयोग करती है। IT डायरेक्टर स्टाफ WiFi को Active Directory के साथ एकीकृत, RADIUS सर्वर के रूप में Microsoft NPS का उपयोग करके 802.1X ऑथेंटिकेशन पर माइग्रेट करना चाहता है। स्टोर्स में Aruba और Cisco एक्सेस पॉइंट्स का मिश्रण है। यह चेन PCI DSS के दायरे में आती है। उन्हें कौन सा आर्किटेक्चर तैनात करना चाहिए, और मुख्य कॉन्फ़िगरेशन निर्णय क्या हैं?
अनुशंसित आर्किटेक्चर प्रारंभिक EAP विधि के रूप में PEAP-MSCHAPv2 के साथ 802.1X है, जिसमें EAP-TLS के लिए एक दस्तावेजी रोडमैप शामिल है। NPS सर्वर को केंद्रीय डेटा सेंटर में एक रिडंडेंट पेयर (प्राइमरी + सेकेंडरी) में तैनात किया जाना चाहिए, जिसमें स्वचालित रूप से फेलओवर करने के लिए एक्सेस पॉइंट्स पर RADIUS प्रॉक्सी कॉन्फ़िगरेशन हो। कॉन्फ़िगरेशन निर्णय: (1) NPS नेटवर्क पॉलिसी: PEAP-MSCHAPv2 के साथ स्टाफ SSID से मेल खाने वाली एक पॉलिसी बनाएं, जिसमें AD सुरक्षा समूह (जैसे, 'WiFi-Staff-Access') में समूह सदस्यता की आवश्यकता हो। री-ऑथेंटिकेशन के लिए बाध्य करने के लिए सेशन टाइमआउट को 8 घंटे पर सेट करें। (2) सर्टिफिकेट: आंतरिक Microsoft ADCS CA से एक NPS सर्वर सर्टिफिकेट तैनात करें। Group Policy (Windows) और MDM (iOS/Android) के माध्यम से सभी स्टाफ डिवाइसों पर रूट CA सर्टिफिकेट पुश करें। (3) सप्लीकेंट कॉन्फ़िगरेशन: Group Policy (Computer Configuration > Windows Settings > Security Settings > Wireless Network Policies) के माध्यम से Windows डिवाइसों को कॉन्फ़िगर करें। iOS और Android डिवाइसों के लिए, एक MDM प्रोफाइल का उपयोग करें। सर्वर सर्टिफिकेट वैलिडेशन लागू करें - उपयोगकर्ताओं को मनमाने सर्टिफिकेट स्वीकार करने की अनुमति न दें। (4) एक्सेस पॉइंट कॉन्फ़िगरेशन: Aruba पर, Authentication > Servers के तहत RADIUS सर्वर कॉन्फ़िगर करें। शेयर्ड सीक्रेट को 32-अक्षर की रैंडम स्ट्रिंग पर सेट करें। यदि Aruba फ़र्मवेयर इसका समर्थन करता है (AOS 8.9+), तो RadSec सक्षम करें। Cisco पर, Security > AAA > RADIUS के तहत कॉन्फ़िगर करें। (5) NPS लॉगिंग: SQL Server डेटाबेस में NPS अकाउंटिंग लॉगिंग सक्षम करें। PCI DSS अनुपालन के लिए न्यूनतम 90 दिनों की लॉग रिटेंशन अवधि कॉन्फ़िगर करें। (6) माइग्रेशन के बाद: स्टाफ SSID पर WPA2-Personal को अक्षम करें। इसे केवल सीक्रेट्स मैनेजर में संग्रहीत एक जटिल PSK के साथ ब्रेक-ग्लास SSID के रूप में बनाए रखें, जिसका उपयोग केवल तब किया जाए जब NPS अनुपलब्ध हो।
अभ्यास प्रश्न
Q1. आपका संगठन एक ही परिसर में 800 स्टाफ उपकरणों के लिए 802.1X प्रमाणीकरण का समर्थन करने वाला एक FreeRADIUS 3.0.21 सर्वर चलाता है। RADIUS सर्वर उसी प्रबंधन VLAN पर है जिस पर सभी एक्सेस पॉइंट हैं। एक पेनेट्रेशन टेस्ट से पता चला है कि एक्सेस पॉइंट बिना Message-Authenticator एट्रिब्यूट के Access-Request पैकेट भेज रहे हैं। सुरक्षा टीम Message-Authenticator को तुरंत लागू करना चाहती है, लेकिन नेटवर्क संचालन टीम को 800 उपयोगकर्ताओं के लिए प्रमाणीकरण बाधित होने की चिंता है। सेवा में व्यवधान को कम करने के लिए आप इस समस्या के समाधान को किस क्रम में व्यवस्थित करेंगे?
संकेत: RADIUS सर्वर द्वारा Message-Authenticator की आवश्यकता होने और इसे भेजने वाले NAS उपकरणों के बीच के अंतर पर विचार करें। ये अलग-अलग जोखिम प्रोफाइल वाले दो अलग-अलग कॉन्फ़िगरेशन परिवर्तन हैं।
मॉडल उत्तर देखें
सही क्रम इस प्रकार है: (1) सबसे पहले, FreeRADIUS को 3.2.5 पर पैच करें। यह संस्करण डिफ़ॉल्ट रूप से Message-Authenticator लागू करता है लेकिन इसमें एक कम्पैटिबिलिटी मोड शामिल है जो इस एट्रिब्यूट के बिना वाले पैकेट को अस्वीकार करने के बजाय एक चेतावनी लॉग करता है। इससे आपको प्रमाणीकरण को तुरंत बाधित किए बिना पैच मिल जाता है। (2) एक्सेस पॉइंट फ़र्मवेयर संस्करणों का ऑडिट करें। पहचानें कि कौन से मॉडल और फ़र्मवेयर संस्करण Access-Request पैकेट में Message-Authenticator का समर्थन करते हैं। (3) एक्सेस पॉइंट फ़र्मवेयर को बैचों में अपडेट करें, जिसकी शुरुआत 50 उपकरणों के पायलट समूह से करें। सत्यापित करें कि प्रत्येक बैच के बाद प्रमाणीकरण काम करना जारी रखता है। (4) एक बार जब सभी एक्सेस पॉइंट द्वारा Message-Authenticator भेजने की पुष्टि हो जाए, तो FreeRADIUS सर्वर पर सख्त प्रवर्तन सक्षम करें (clients.conf में require_message_authenticator = yes)। (5) किसी भी शेष 'Message-Authenticator missing' चेतावनियों के लिए RADIUS लॉग की निगरानी करें, जो उन NAS उपकरणों को इंगित करेंगी जिनका फ़र्मवेयर अपडेट छूट गया था। मुख्य सिद्धांत यह है कि आप बिना कुछ बाधित किए पहले सर्वर को पैच कर सकते हैं, क्योंकि कम्पैटिबिलिटी मोड एक संक्रमण अवधि की अनुमति देता है। सर्वर पर सख्त अस्वीकृति को लागू करना अंतिम चरण होना चाहिए, जब सभी NAS उपकरण अपडेट हो चुके हों।
Q2. एक कॉन्फ्रेंस सेंटर ऑपरेटर कॉर्पोरेट स्टाफ SSID (PEAP-MSCHAPv2 के साथ 802.1X) और इवेंट गेस्ट WiFi (MAC Authentication Bypass के साथ कैप्टिव पोर्टल) दोनों का समर्थन करने वाला एक एकल RADIUS सर्वर चलाता है। IT मैनेजर पूछता है कि क्या गेस्ट WiFi RADIUS इंस्टेंस को कॉर्पोरेट RADIUS इंस्टेंस के समान मानक पर सुरक्षित करने की आवश्यकता है, यह देखते हुए कि मेहमान कॉर्पोरेट क्रेडेंशियल के साथ प्रमाणित नहीं हो रहे हैं। आपकी क्या सिफारिश है?
संकेत: MAC Authentication Bypass बनाम EAP-आधारित प्रमाणीकरण पर लागू होने वाले अटैक वेक्टर्स और गेस्ट तथा कॉर्पोरेट RADIUS इंस्टेंस के बीच लेटरल मूवमेंट के जोखिम पर विचार करें।
मॉडल उत्तर देखें
गेस्ट WiFi RADIUS इंस्टेंस को सुरक्षित (hardening) करने की आवश्यकता है, लेकिन विशिष्ट नियंत्रण कॉर्पोरेट इंस्टेंस से भिन्न होते हैं। BlastRADIUS पैच समान रूप से लागू होता है - यह भेद्यता RADIUS सर्वर को प्रभावित करती है, चाहे क्लाइंट द्वारा उपयोग की जाने वाली प्रमाणीकरण विधि कुछ भी हो। साझा गुप्त स्वच्छता (Shared secret hygiene) भी समान रूप से लागू होती है - गेस्ट Captive Portal कंट्रोलर और RADIUS सर्वर के बीच एक कमजोर साझा गुप्त का फायदा उठाया जा सकता है, चाहे EAP उपयोग में हो या न हो। मुख्य अतिरिक्त जोखिम साझा RADIUS सर्वर है: यदि गेस्ट और कॉर्पोरेट SSID प्रमाणीकरण अनुरोधों को एक ही RADIUS सर्वर प्रक्रिया द्वारा नियंत्रित किया जाता है, तो गेस्ट RADIUS पाथ में भेद्यता का उपयोग कॉर्पोरेट प्रमाणीकरण नीति पर जाने के लिए किया जा सकता है। अनुशंसित आर्किटेक्चर गेस्ट और कॉर्पोरेट प्रमाणीकरण के लिए अलग-अलग RADIUS इंस्टेंस (या FreeRADIUS के भीतर न्यूनतम अलग वर्चुअल सर्वर) चलाना है, जिसमें अलग-अलग साझा गुप्त और अलग नीति सेट हों। यह अलगाव प्रदान करता है ताकि गेस्ट RADIUS पाथ से समझौता कॉर्पोरेट क्रेडेंशियल्स को उजागर न करे। विशेष रूप से गेस्ट इंस्टेंस के लिए: BlastRADIUS के लिए पैच करें, साझा गुप्त को रोटेट करें, और सुनिश्चित करें कि गेस्ट RADIUS इंस्टेंस के पास कॉर्पोरेट Active Directory तक कोई पहुंच न हो। EAP-TLS और RadSec आवश्यकताएं Captive Portal परिनियोजन के लिए कम प्रासंगिक हैं, लेकिन फिर भी RadSec पर विचार किया जाना चाहिए यदि Captive Portal कंट्रोलर RADIUS सर्वर से एक अलग नेटवर्क सेगमेंट में है।
Q3. एक स्वास्थ्य सेवा ट्रस्ट अपने क्लिनिकल WiFi को WPA2-Personal से 802.1X प्रमाणीकरण में स्थानांतरित करने की योजना बना रहा है। ट्रस्ट के पास 1,200 क्लिनिकल डिवाइस हैं जिनमें Windows लैपटॉप, iOS टैबलेट और Android हैंडहेल्ड शामिल हैं। CISO लक्षित स्थिति के रूप में EAP-TLS चाहता है। IT निदेशक PKI परिनियोजन जटिलता के बारे में चिंतित है और एक स्थायी समाधान के रूप में PEAP-MSCHAPv2 का प्रस्ताव करता है। आप CISO और IT निदेशक को क्या सलाह देते हैं, और अनुशंसित कार्यान्वयन पाथ क्या है?
संकेत: स्वास्थ्य सेवा वातावरण के लिए विशिष्ट खतरे के मॉडल पर विचार करें - क्रेडेंशियल से समझौते के क्या परिणाम होंगे, और EAP-TLS उन जोखिमों को कैसे संबोधित करता है जिन्हें PEAP-MSCHAPv2 हल नहीं कर पाता?
मॉडल उत्तर देखें
CISO की वृत्ति सही है, लेकिन IT निदेशक की चिंता भी मान्य है। अनुशंसित सलाह है: एक अंतरिम स्थिति के रूप में अभी PEAP-MSCHAPv2 लागू करें, जिसमें EAP-TLS के लिए 12 महीने का प्रतिबद्ध रोडमैप हो। स्वास्थ्य सेवा में स्थायी समाधान के रूप में PEAP-MSCHAPv2 को स्वीकार न करने का तर्क है: (1) यदि क्लाइंट-साइड प्रमाणपत्र सत्यापन लागू नहीं किया जाता है, तो PEAP-MSCHAPv2 दुष्ट RADIUS सर्वर हमलों के प्रति संवेदनशील है। एक स्वास्थ्य सेवा वातावरण में जहां क्लिनिकल कर्मचारी व्यक्तिगत उपकरणों को जोड़ सकते हैं, 1,200 उपकरणों में लगातार सप्लीकेंट कॉन्फ़िगरेशन लागू करना परिचालन रूप से चुनौतीपूर्ण है। (2) MSCHAPv2 क्रेडेंशियल्स को, यदि किसी दुष्ट RADIUS हमले के माध्यम से कैप्चर किया जाता है, तो hashcat जैसे टूल का उपयोग करके ऑफ़लाइन क्रैक किया जा सकता है। स्वास्थ्य सेवा के संदर्भ में, वे क्रेडेंशियल संभवतः क्लिनिकल प्रणालियों तक पहुंच भी प्रदान करते हैं। (3) NHS DSPT और CQC आकलन तेजी से क्लिनिकल नेटवर्क पहुंच के लिए मजबूत प्रमाणीकरण नियंत्रण की अपेक्षा करते हैं। EAP-TLS एक मजबूत ऑडिट साक्ष्य स्थिति प्रदान करता है। कार्यान्वयन पाथ: महीना 1-2: सभी 1,200 उपकरणों पर MDM प्रोफाइल के माध्यम से लागू सर्वर प्रमाणपत्र सत्यापन के साथ PEAP-MSCHAPv2 तैनात करें। महीना 3-6: PKI बुनियादी ढांचे के रूप में Microsoft ADCS तैनात करें। Group Policy ऑटो-नामांकन के माध्यम से Windows उपकरणों को नामांकित करें। महीना 6-9: MDM प्रमाणपत्र प्रोफाइल के माध्यम से iOS और Android उपकरणों को नामांकित करें। महीना 9-12: क्लिनिकल SSID नीति को PEAP से EAP-TLS पर स्थानांतरित करें। बढ़ी हुई निगरानी के साथ, प्रमाणपत्र नामांकन में विफल रहने वाले किसी भी उपकरण के लिए फॉलबैक के रूप में PEAP को बनाए रखें। क्लिनिकल नेटवर्क सुरक्षा आर्किटेक्चर के बारे में अधिक जानकारी के लिए, WiFi in Hospitals guide प्रासंगिक परिनियोजन संदर्भ प्रदान करता है।
इस श्रृंखला में आगे पढ़ें
HPE Aruba के लिए कैप्टिव पोर्टल: इसे Purple गेस्ट WiFi के साथ सेटअप करें
Aruba Central या Virtual Controller के माध्यम से, एक एक्सटर्नल कैप्टिव पोर्टल, RADIUS और एक allowlist का उपयोग करके, Purple के साथ HPE Aruba Instant एक्सेस पॉइंट्स पर एक गेस्ट कैप्टिव पोर्टल सेटअप करना।
Zyxel Nebula और अतिथि WiFi: Purple के साथ कैप्टिव पोर्टल सेटअप
Zyxel Nebula Cloud एक्सेस पॉइंट्स Purple अतिथि WiFi के साथ कैसे काम करते हैं: एक बाहरी कैप्टिव पोर्टल, RADIUS और एक वॉल्ड गार्डन, सटीक कॉन्फ़िगरेशन के लिए Purple के चरण-दर-चरण सेटअप गाइड के लिंक के साथ।
OpenWrt और अतिथि WiFi: Purple के साथ कैप्टिव पोर्टल सेटअप
कैसे Purple का क्लाउड अतिथि WiFi एक मानक बाहरी कैप्टिव पोर्टल और RADIUS के माध्यम से OpenWrt उपकरणों के साथ काम करता है, और समर्थन की जांच कहां करें और चरणों को कहां खोजें।