मुख्य सामग्री पर जाएं

RADIUS कमजोरियों को कम करना: एक सुरक्षा सुदृढ़ीकरण (Hardening) गाइड

यह गाइड हॉस्पिटैलिटी, रिटेल, इवेंट्स और सार्वजनिक क्षेत्र के परिवेशों में एंटरप्राइज WiFi इंफ्रास्ट्रक्चर के लिए जिम्मेदार IT प्रबंधकों, नेटवर्क आर्किटेक्ट्स और CTOs के लिए एक व्यापक, व्यावहारिक संदर्भ प्रदान करती है। यह RADIUS सर्वर परिनियोजनों के पूर्ण हमले की सतह (attack surface) को कवर करती है - MD5 कोलिशन कमजोरियों और कमजोर साझा रहस्यों (shared secrets) से लेकर अनएन्क्रिप्टेड UDP ट्रांसपोर्ट और गलत तरीके से कॉन्फ़िगर किए गए EAP तरीकों तक - और IEEE 802.1X, PCI DSS, और GDPR आवश्यकताओं के अनुरूप एक प्राथमिकता वाली सुदृढ़ीकरण रोडमैप प्रदान करती है। इन सिफारिशों को लागू करने वाले संगठन क्रेडेंशियल-आधारित नेटवर्क हमलों के प्रति अपने जोखिम को काफी कम करेंगे, अनुपालन दायित्वों को पूरा करेंगे, और अपने अतिथि और कॉर्पोरेट WiFi इंफ्रास्ट्रक्चर के लिए एक मजबूत सुरक्षा स्थिति का निर्माण करेंगे।

📖 12 मिनट का पाठ📝 2,764 शब्द🔧 2 हल किए गए उदाहरण3 अभ्यास प्रश्न📚 10 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें
MITIGATING RADIUS VULNERABILITIES: A SECURITY HARDENING GUIDE Purple WiFi इंटेलिजेंस ब्रीफिंग [परिचय — लगभग 1 मिनट] आपका स्वागत है। आज की ब्रीफिंग के लिए मैं आपका होस्ट हूँ, और अगले दस मिनटों में हम सीधे उस विषय पर बात करेंगे जो कई नेटवर्क आर्किटेक्ट और IT प्रबंधकों की रातों की नींद हराम कर देता है: RADIUS सर्वर सुरक्षा। यदि आप किसी होटल एस्टेट, रिटेल चेन, स्टेडियम या सार्वजनिक क्षेत्र की इमारत में एंटरप्राइज WiFi चला रहे हैं, तो आपका RADIUS इन्फ्रास्ट्रक्चर आपकी सुरक्षा स्थिति में सबसे महत्वपूर्ण - और सबसे अधिक अनदेखा किए जाने वाले - घटकों में से एक है। आइए शुरू करते हैं। [संदर्भ — लगभग 1 मिनट] RADIUS - रिमोट ऑथेंटिकेशन डायल-इन यूजर सर्विस - नब्बे के दशक के मध्य से नेटवर्क एक्सेस कंट्रोल की रीढ़ रहा है। यह वह प्रोटोकॉल है जो आपके एक्सेस पॉइंट्स और आपकी पहचान निर्देशिका (identity directory) के बीच बैठता है, और यह तय करता है कि नेटवर्क पर किसे एक्सेस मिलेगा और किसे नहीं। IEEE 802.1X, जो वस्तुतः हर एंटरप्राइज WiFi और वायर्ड ऑथेंटिकेशन परिनियोजन को रेखांकित करता है, काम करने के लिए RADIUS पर निर्भर करता है। समस्या यह है कि RADIUS को उस युग में डिज़ाइन किया गया था जब खतरे का परिदृश्य बहुत अलग था। यह प्रोटोकॉल UDP का उपयोग करता है, जो कनेक्शन रहित है और इसलिए इसे सुरक्षित करना अधिक कठिन है। इसका मुख्य ऑथेंटिकेशन तंत्र ऐतिहासिक रूप से MD5 हैशिंग पर निर्भर रहा है - एक क्रिप्टोग्राफ़िक एल्गोरिदम जो 2004 से स्पष्ट रूप से टूटा हुआ साबित हो चुका है। और साझा रहस्य (shared secrets), यानी प्री-शेयर्ड कीज़ जो आपके RADIUS सर्वर पर आपके एक्सेस पॉइंट्स को प्रमाणित करती हैं, अक्सर एक बार सेट की जाती हैं और उन्हें कभी बदला नहीं जाता है। 2024 में, शोधकर्ताओं ने RADIUS के खिलाफ एक व्यावहारिक हमला प्रकाशित किया जिसे BlastRADIUS कहा जाता है - यह एक मैन-इन-द-मिडल हमला है जो ऑथेंटिकेशन प्रतिक्रियाओं को जाली बनाने के लिए MD5 भेद्यता का फायदा उठाता है। यह सैद्धांतिक नहीं है। यह एक वास्तविक, प्रलेखित हमला वेक्टर है जो बिना पैच वाले FreeRADIUS, Cisco ISE और Microsoft NPS चलाने वाले परिनियोजन को प्रभावित करता है। यदि आपने 2024 के मध्य से पैच नहीं किया है, तो आप असुरक्षित हैं। व्यावसायिक जोखिम महत्वपूर्ण हैं। एक समझौता किया गया (compromised) RADIUS सर्वर का मतलब केवल अनधिकृत WiFi एक्सेस नहीं है। इसका मतलब है कि कोई हमलावर आपके नेटवर्क पर किसी भी उपयोगकर्ता के रूप में प्रमाणित हो सकता है, नेटवर्क सेगमेंटेशन को बायपास कर सकता है, और संभावित रूप से भुगतान प्रणालियों, रोगी रिकॉर्ड या परिचालन तकनीक तक पहुँच प्राप्त कर सकता है। कार्ड भुगतान प्रोसेस करने वाले रिटेल वातावरण के लिए, यह एक सीधा PCI-DSS उल्लंघन है। स्वास्थ्य सेवा के लिए, यह GDPR और नैदानिक प्रशासन का मुद्दा है। आतिथ्य (hospitality) क्षेत्र के लिए, यह ब्रांड की प्रतिष्ठा को नुकसान और संभावित नियामक जुर्माना है। [तकनीकी गहरा विश्लेषण — लगभग 5 मिनट] आइए हमले की सतह को व्यवस्थित रूप से समझें।पहला संवेदनशीलता वर्ग MD5 कोलिजन जोखिम है। RADIUS User-Password एट्रिब्यूट को सुरक्षित करने और Response Authenticator फ़ील्ड जनरेट करने के लिए MD5 का उपयोग करता है। MD5 एक 128-बिट हैश बनाता है, और कोलिजन हमले - जहाँ दो अलग-अलग इनपुट एक ही हैश बनाते हैं - 2004 से व्यवहार्य रहे हैं। BlastRADIUS हमला विशेष रूप से Access-Request पैकेट पर इंटीग्रिटी सुरक्षा की कमी का फायदा उठाता है। आपके NAS डिवाइस - यानी आपका नेटवर्क एक्सेस सर्वर, जो आमतौर पर आपका एक्सेस पॉइंट या स्विच होता है - और आपके RADIUS सर्वर के बीच मौजूद हमलावर पैकेट में एक विशेष रूप से तैयार किया गया एट्रिब्यूट इंजेक्ट कर सकता है और सर्वर को अमान्य क्रेडेंशियल के लिए भी Access-Accept वापस करने के लिए मजबूर कर सकता है। इसका समाधान दोहरा है: अपने RADIUS सर्वर को नवीनतम संस्करण में पैच करें, और सभी Access-Request पैकेट पर Message-Authenticator लागू करें। FreeRADIUS 3.2.5 और उसके बाद के संस्करण डिफ़ॉल्ट रूप से इसकी आवश्यकता रखते हैं। दूसरा संवेदनशीलता वर्ग कमजोर या स्थिर साझा क्रेडेंशियल (shared secrets) हैं। साझा क्रेडेंशियल आपके NAS और आपके RADIUS सर्वर के बीच की प्री-शेयर्ड की (pre-shared key) है। यदि यह छोटी है, डिक्शनरी-अटैक के प्रति संवेदनशील है, या वर्षों से बदली नहीं गई है, तो यह एक जोखिम है। RADIUS इस क्रेडेंशियल का उपयोग User-Password एट्रिब्यूट को एन्क्रिप्ट करने और Response Authenticator जनरेट करने के लिए करता है। एक कमजोर साझा क्रेडेंशियल का मतलब है कि एक हमलावर जो RADIUS ट्रैफ़िक को कैप्चर करता है - जो कि उस नेटवर्क पर बेहद आसान है जिसे उन्होंने पहले से ही आंशिक रूप से हैक कर लिया है - वह पासवर्ड को ऑफ़लाइन ब्रूट-फोर्स कर सकता है। सर्वोत्तम अभ्यास यह है कि न्यूनतम 32 वर्णों की रैंडम रूप से जनरेट की गई की (key) का उपयोग करें, और इसे कम से कम सालाना बदलें। इस रोटेशन को स्वचालित करें; एक बड़े नेटवर्क पर इसे मैन्युअल रूप से करना त्रुटि-प्रवण है। तीसरा संवेदनशीलता वर्ग अनएन्क्रिप्टेड ट्रांसपोर्ट है। मानक RADIUS ऑथेंटिकेशन के लिए UDP पोर्ट 1812 पर और अकाउंटिंग के लिए 1813 पर चलता है। UDP कोई ट्रांसपोर्ट-लेयर एन्क्रिप्शन, कोई इंटीग्रिटी चेकिंग और कोई रीप्ले सुरक्षा प्रदान नहीं करता है, जो RADIUS के अपने सुरक्षा उपायों से परे हो - जो, जैसा कि हमने स्थापित किया है, अपर्याप्त है। RadSec, जिसे औपचारिक रूप से RFC 6614 में परिभाषित किया गया है, TCP पोर्ट 2083 पर TLS 1.2 या 1.3 के माध्यम से RADIUS को रैप करता है। यह सर्टिफिकेट के माध्यम से आपसी ऑथेंटिकेशन, RADIUS पेलोड का पूर्ण एन्क्रिप्शन और रीप्ले सुरक्षा प्रदान करता है। यदि आप किसी भी असुरक्षित नेटवर्क सेगमेंट पर RADIUS चला रहे हैं - जिसमें रिमोट वेन्यू और सेंट्रल RADIUS सर्वर के बीच WAN लिंक भी शामिल है - तो RadSec वैकल्पिक नहीं है। यह एक आवश्यकता है। चौथा भेद्यता वर्ग EAP विधि चयन है। सभी EAP विधियाँ समान नहीं होती हैं। EAP-MD5 को अप्रचलित माना जाना चाहिए - यह कोई पारस्परिक प्रमाणीकरण प्रदान नहीं करता है और प्रमाणीकरण एक्सचेंज का कोई एन्क्रिप्शन नहीं करता है। PEAP और EAP-TTLS अधिकांश एंटरप्राइज़ डिप्लॉयमेंट के लिए स्वीकार्य हैं, क्योंकि वे क्रेडेंशियल्स संचारित करने से पहले एक TLS टनल स्थापित करते हैं, और वे सर्वर प्रमाणपत्रों के माध्यम से पारस्परिक प्रमाणीकरण का समर्थन करते हैं। EAP-TLS गोल्ड स्टैंडर्ड है: इसमें सर्वर और क्लाइंट दोनों को प्रमाणपत्र प्रस्तुत करने की आवश्यकता होती है, जिससे प्रमाणीकरण एक्सचेंज से पासवर्ड पूरी तरह से समाप्त हो जाता है। यह इसे क्रेडेंशियल फ़िशिंग और ब्रूट-फ़ोर्स हमलों से सुरक्षित बनाता है। क्लाइंट प्रमाणपत्र जारी करने के लिए PKI को डिप्लॉय करने का परिचालन ओवरहेड वास्तविक है, लेकिन उच्च-सुरक्षा वाले वातावरणों - जैसे हेल्थकेयर नेटवर्क, भुगतान-प्रसंस्करण क्षेत्र, बैक-ऑफ-हाउस रिटेल सिस्टम - के लिए यह सही निर्णय है। पांचवां भेद्यता वर्ग अपर्याप्त लॉगिंग और मॉनिटरिंग है। RADIUS अकाउंटिंग डेटा खतरे का पता लगाने के लिए एक सोने की खान है, और अधिकांश संगठन इसका उपयोग नहीं कर रहे हैं। प्रत्येक प्रमाणीकरण प्रयास, चाहे सफल हो या विफल, एक अकाउंटिंग रिकॉर्ड उत्पन्न करता है। विफल प्रमाणीकरण के पैटर्न, अप्रत्याशित MAC पतों से प्रमाणीकरण, या असामान्य समय पर प्रमाणीकरण, ये सभी सुरक्षा समझौते (compromise) के संकेतक हैं। अपने RADIUS अकाउंटिंग स्ट्रीम को अपने SIEM में एकीकृत करें। साठ सेकंड के भीतर एक ही MAC पते से पांच से अधिक विफल प्रमाणीकरणों के लिए अलर्ट सेट करें। Access-Reject स्टॉर्म की निगरानी करें, जो प्रगति पर चल रहे क्रेडेंशियल-स्टफिंग हमले का संकेत दे सकते हैं। [कार्यान्वयन सिफारिशें और नुकसान - लगभग 2 मिनट] मैं आपको एक हार्डनिंग प्रोजेक्ट के लिए एक व्यावहारिक अनुक्रमण (sequencing) देता हूँ। पैचिंग से शुरुआत करें। यह गैर-परक्राम्य (non-negotiable) है और इसे आपकी अगली परिवर्तन विंडो के भीतर किया जाना चाहिए। FreeRADIUS, Cisco ISE, और Microsoft NPS सभी ने जुलाई 2024 में BlastRADIUS के लिए पैच जारी किए। अपने संस्करण की जाँच करें, पैच लागू करें, और सत्यापित करें कि Message-Authenticator प्रवर्तन सक्रिय है। इसके बाद, अपने साझा रहस्यों (shared secrets) का ऑडिट करें। अपने RADIUS सर्वर पर पंजीकृत प्रत्येक NAS डिवाइस की सूची प्राप्त करें। प्रत्येक के लिए, साझा रहस्य की लंबाई और आयु की जाँच करें। 20 वर्णों से कम या दो वर्ष से अधिक पुराने किसी भी रहस्य को तुरंत बदला जाना चाहिए। इन्हें प्रोग्रामेटिक रूप से स्टोर और रोटेट करने के लिए पासवर्ड मैनेजर या सीक्रेट्स वॉल्ट - जैसे HashiCorp Vault - का उपयोग करें। तीसरा, अपनी EAP विधि का मूल्यांकन करें। यदि आप कहीं भी EAP-MD5 चला रहे हैं, तो इसे अभी माइग्रेट करें। PEAP-MSCHAPv2 अधिकांश एंटरप्राइज़ वातावरणों के लिए एक उचित अंतरिम स्थिति है। यदि आपके पास PKI इन्फ्रास्ट्रक्चर है, तो EAP-TLS लक्षित स्थिति है। चौथा, किसी भी असुरक्षित नेटवर्क सेगमेंट से गुजरने वाले RADIUS ट्रैफ़िक के लिए RadSec लागू करें। यह विशेष रूप से मल्टी-साइट डिप्लॉयमेंट के लिए प्रासंगिक है जहाँ एक केंद्रीय RADIUS सर्वर इंटरनेट या साझा WAN पर दूरस्थ स्थानों को सेवा प्रदान करता है।पांचवां, स्वयं RADIUS सर्वर के प्रिविलेज्ड एक्सेस के लिए मल्टी-फैक्टर ऑथेंटिकेशन को सक्षम करें। सर्वर का मैनेजमेंट इंटरफेस एक हाई-वैल्यू टारगेट है। सभी एडमिनिस्ट्रेटिव लॉगिन के लिए MFA लागू करें, और मैनेजमेंट एक्सेस को एक समर्पित आउट-ऑफ-बैंड मैनेजमेंट नेटवर्क तक सीमित करें। अब, कमियों की बात करते हैं। सबसे आम गलती जो मैं देखता हूँ वह यह है कि संगठन RADIUS सर्वर को तो पैच कर देते हैं लेकिन NAS डिवाइसों को पुराने फर्मवेयर पर ही छोड़ देते हैं जो Message-Authenticator का समर्थन नहीं करता है। पैच केवल तभी प्रभावी होता है जब दोनों पक्ष इसे लागू करें। अपने एक्सेस पॉइंट और स्विच फर्मवेयर का ऑडिट उसी प्रोजेक्ट के हिस्से के रूप में करें। दूसरी आम कमी सर्टिफिकेट की समाप्ति (certificate expiry) है। यदि आप EAP-TLS या RadSec चला रहे हैं, तो आपके सर्टिफिकेट सक्रिय हैं। एक RADIUS सर्वर सर्टिफिकेट जो चुपचाप समाप्त हो जाता है, वह आपके नेटवर्क पर प्रत्येक ऑथेंटिकेशन को एक साथ विफल कर देगा। अपने ऑपरेशनल रनबुक में सर्टिफिकेट समाप्ति की निगरानी को शामिल करें। समाप्ति से 90, 30 और 7 दिन पहले अलर्ट सेट करें। तीसरी कमी एक कंपेंसेटिंग कंट्रोल के रूप में नेटवर्क सेगमेंटेशन पर अत्यधिक निर्भरता है। सेगमेंटेशन महत्वपूर्ण है, लेकिन यह उस हमलावर से रक्षा नहीं करता है जो पहले से ही एक कॉम्प्रोमाइज्ड RADIUS सर्वर के माध्यम से ऑथेंटिकेट हो चुका है। डिफेंस इन डेप्थ का मतलब है कि आपको RADIUS हार्डनिंग के साथ-साथ सेगमेंटेशन की भी आवश्यकता है। [रैपिड-फायर प्रश्नोत्तरी - लगभग 1 मिनट] प्रश्न: यदि मेरा RADIUS सर्वर मेरे एक्सेस पॉइंट्स के समान ही LAN पर है, तो क्या मुझे RadSec की आवश्यकता है? उत्तर: यदि वे बिना किसी अविश्वसनीय डिवाइस वाले समान विश्वसनीय, सेगमेंटेड मैनेजमेंट VLAN पर हैं, तो NAS-टू-सर्वर लेग के लिए UDP पर मानक RADIUS स्वीकार्य है। लेकिन यदि किसी कॉम्प्रोमाइज्ड डिवाइस से उस VLAN तक लेटरल मूवमेंट की कोई भी संभावना है, तो RadSec कम लागत पर सार्थक सुरक्षा जोड़ता है। प्रश्न: हम Microsoft NPS चला रहे हैं। क्या हम BlastRADIUS से प्रभावित हैं? उत्तर: हाँ। Microsoft ने जुलाई 2024 में एक पैच जारी किया था। इसे लागू करें। साथ ही अपने NPS सर्वर पर RequireMessageAuthenticator रजिस्ट्री की (registry key) को लागू करें। प्रश्न: मैं गेस्ट WiFi को कैसे संभालूँ? मेहमानों के पास सर्टिफिकेट नहीं होते हैं। उत्तर: गेस्ट WiFi आमतौर पर 802.1X के बजाय एक Captive Portal मॉडल का उपयोग करता है, इसलिए RADIUS का उपयोग अलग तरीके से किया जाता है - अक्सर केवल MAC ऑथेंटिकेशन बायपास या अकाउंटिंग के लिए। वही पैचिंग और शेयर्ड सीक्रेट स्वच्छता यहाँ भी लागू होती है, लेकिन अनऑथेंटिकेटेड गेस्ट एक्सेस के लिए EAP-TLS प्रासंगिक नहीं है। अपने गेस्ट RADIUS इंस्टेंस को अपने कॉर्पोरेट RADIUS इन्फ्रास्ट्रक्चर से अलग करने पर ध्यान केंद्रित करें। प्रश्न: पूर्ण EAP-TLS माइग्रेशन के लिए ROI केस क्या है? उत्तर: अपने उल्लंघन के जोखिम (breach risk) के विरुद्ध इसका आकलन करें। एक एकल PCI-DSS उल्लंघन की वजह से जुमार्ने, समाधान और प्रतिष्ठा के नुकसान में औसतन चालीस लाख पाउंड की लागत आती है। 500-डिवाइस वाले एस्टेट के लिए PKI डिप्लॉयमेंट में टूलिंग और प्रोफेशनल सर्विसेज में लगभग 15,000 से 30,000 पाउंड की लागत आती है। गणित बिल्कुल सीधा है। [सारांश और अगले कदम - लगभग 1 मिनट] मैं आपको इस तिमाही में करने के लिए पांच काम सौंपता हूँ। एक: BlastRADIUS के लिए अपने RADIUS सर्वर और सभी NAS डिवाइसों को पैच करें। इसे सबसे पहले करें। दो: सभी शेयर्ड सीक्रेट्स का ऑडिट करें और उन्हें रोटेट करें। भविष्य के लिए रोटेशन को ऑटोमैटिक बनाएं। तीसरा: सभी Access-Request पैकेट्स पर Message-Authenticator लागू करें। चौथा: असुरक्षित नेटवर्क सीमाओं को पार करने वाले किसी भी RADIUS ट्रैफ़िक के लिए RadSec लागू करें। पांचवां: अपने SIEM में RADIUS एकाउंटिंग लॉग्स को एकीकृत करें और विसंगति अलर्ट सेट करें। RADIUS सुरक्षा आकर्षक नहीं है, लेकिन यह बुनियादी है। इन पांच चीजों को सही करें, और आपने अपने नेटवर्क एक्सेस कंट्रोल इन्फ्रास्ट्रक्चर के खिलाफ सबसे महत्वपूर्ण अटैक वेक्टर्स को बंद कर दिया है। सुनने के लिए धन्यवाद। एंटरप्राइज WiFi सुरक्षा आर्किटेक्चर के बारे में अधिक जानने के लिए, purple.ai पर जाएं। यह Purple WiFi इंटेलिजेंस ब्रीफिंग थी।

header_image.png

कार्यकारी सारांश

RADIUS (Remote Authentication Dial-In User Service) एंटरप्राइज WiFi डिप्लॉयमेंट में नेटवर्क एक्सेस कंट्रोल के लिए प्राथमिक प्रोटोकॉल बना हुआ है, जो होटलों, रिटेल स्टोर, स्टेडियमों, कॉन्फ्रेंस सेंटरों और सार्वजनिक क्षेत्र के भवनों में IEEE 802.1X ऑथेंटिकेशन का आधार है। फिर भी, RADIUS का आर्किटेक्चर 1990 के दशक का है, और इसके कई बुनियादी डिजाइन निर्णय - MD5 हैशिंग पर निर्भरता, बिना किसी मूल एन्क्रिप्शन के UDP ट्रांसपोर्ट, और स्टैटिक शेयर्ड सीक्रेट - वर्तमान थ्रेट वातावरण में महत्वपूर्ण जोखिम बन गए हैं।

जुलाई 2024 में, BlastRADIUS संवेदनशीलता (CVE-2024-3596) ने प्रदर्शित किया कि एक मैन-इन-द-मिडल हमलावर Access-Request पैकेटों में MD5 अखंडता कमजोरियों का फायदा उठाकर RADIUS Access-Accept प्रतिक्रियाओं को नकली बना सकता है। यह संवेदनशीलता प्रत्येक प्रमुख RADIUS कार्यान्वयन को प्रभावित करती है, जिसमें FreeRADIUS, Cisco ISE और Microsoft NPS शामिल हैं। बिना पैच वाले डिप्लॉयमेंट अभी भी जोखिम में हैं।

यह गाइड एक प्राथमिकता वाली हार्डनिंग रोडमैप प्रदान करती है जिसमें पैच प्रबंधन, शेयर्ड सीक्रेट हाइजीन, EAP विधि चयन, RadSec डिप्लॉयमेंट, प्रशासनिक पहुंच के लिए मल्टी-फैक्टर ऑथेंटिकेशन और विसंगति का पता लगाने के लिए SIEM एकीकरण शामिल है। यह उन IT पेशेवरों के लिए लिखी गई है जिन्हें अगली तिमाही नहीं, बल्कि इसी तिमाही में सुरक्षित निर्णय लेने की आवश्यकता है।

radius_architecture_overview.png

तकनीकी गहन विश्लेषण

RADIUS कैसे काम करता है और यह कहाँ कमजोर है

RADIUS एक नेटवर्क एक्सेस सर्वर (NAS) - आमतौर पर एक WiFi एक्सेस पॉइंट, स्विच या VPN कॉन्सेंट्रेटर - और एक RADIUS सर्वर के बीच एक क्लाइंट-सर्वर प्रोटोकॉल के रूप में काम करता है, जो Active Directory या LDAP जैसे बैकएंड आइडेंटिटी स्टोर के खिलाफ क्रेडेंशियल्स को सत्यापित करता है। ऑथेंटिकेशन एक्सचेंज RFC 2865 में परिभाषित अनुरोध-चुनौती-प्रतिक्रिया मॉडल का अनुसरण करता है, जिसमें एकाउंटिंग को RFC 2866 के तहत अलग से संभाला जाता है।

यह प्रोटोकॉल ऑथेंटिकेशन पैकेटों को UDP पर ट्रांसमिट करता है, ऑथेंटिकेशन के लिए पोर्ट 1812 और एकाउंटिंग के लिए 1813 का उपयोग करता है। शेयर्ड सीक्रेट - NAS और RADIUS सर्वर दोनों पर कॉन्फ़िगर की गई प्री-शेयर्ड की (pre-shared key) - का उपयोग Response Authenticator फ़ील्ड उत्पन्न करने और MD5-आधारित XOR सिफर के माध्यम से User-Password एट्रिब्यूट को एन्क्रिप्ट करने के लिए किया जाता है। यह किसी भी आधुनिक अर्थ में एन्क्रिप्शन नहीं है; यह केवल ऑब्फसकेशन (धुंधलापन) है जो पूरी तरह से शेयर्ड सीक्रेट की गोपनीयता और मजबूती पर निर्भर करता है।

एक सामान्य RADIUS डिप्लॉयमेंट में पांच मुख्य संवेदनशीलता श्रेणियां इस प्रकार हैं।MD5 कोलिजन और अखंडता संबंधी संवेदनशीलताएं। BlastRADIUS हमला (CVE-2024-3596) Access-Request पैकेट पर अखंडता सुरक्षा की कमी का फायदा उठाता है। क्योंकि कई कॉन्फ़िगरेशन में डिफ़ॉल्ट रूप से NAS से Message-Authenticator विशेषता शामिल नहीं होती है, इसलिए मैन-इन-द-मिडल स्थिति में हमलावर पैकेट RADIUS सर्वर तक पहुंचने से पहले तैयार की गई विशेषताओं को इंजेक्ट कर सकता है। MD5 चुने गए-प्रिफिक्स कोलिजन तकनीक का उपयोग करके, हमलावर पैकेट में इस तरह हेरफेर कर सकता है कि RADIUS सर्वर संशोधित पैकेट के लिए एक वैध Response Authenticator की गणना करता है, जिससे उस अनुरोध के लिए Access-Accept वापस आ जाता है जिसे खारिज कर दिया जाना चाहिए था। इसका समाधान सभी Access-Request पैकेटों पर Message-Authenticator विशेषता को लागू करना है, जो पूरे पैकेट पर HMAC-MD5 अखंडता सुरक्षा प्रदान करता है। इसके लिए NAS और RADIUS सर्वर दोनों पर कॉन्फ़िगरेशन परिवर्तन की आवश्यकता होती है, न कि केवल एक सर्वर पैच की।

कमजोर या स्थिर साझा रहस्य (shared secrets)। साझा रहस्य RADIUS एक्सचेंज का क्रिप्टोग्राफिक एंकर है। यदि रहस्य छोटा है, अनुमान लगाने योग्य है या कभी बदला नहीं गया है, तो एक हमलावर जो RADIUS ट्रैफ़िक को कैप्चर करता है (जो ARP स्पूफिंग या एक समझौता किए गए नेटवर्क डिवाइस के माध्यम से प्राप्त किया जा सकता है) ऑफ़लाइन User-Password विशेषता को ब्रूट-फोर्स कर सकता है। याद रखे गए रहस्यों पर NIST SP 800-63B मार्गदर्शन यहाँ लागू होता है: रहस्य कम से कम 20 वर्णों के होने चाहिए, रैंडम रूप से जनरेट किए गए होने चाहिए, और एक सीक्रेट्स मैनेजमेंट सिस्टम में संग्रहीत होने चाहिए। दर्जनों या सैकड़ों NAS उपकरणों वाले बड़े नेटवर्क के लिए, मैन्युअल रोटेशन परिचालन रूप से अवव्यवहारिक है; HashiCorp Vault या इसी तरह के सीक्रेट्स मैनेजर के माध्यम से ऑटोमेशन ही सही दृष्टिकोण है।

अनएन्क्रिप्टेड UDP ट्रांसपोर्ट। UDP पर मानक RADIUS कोई ट्रांसपोर्ट-लेयर गोपनीयता प्रदान नहीं करता है। User-Password विशेषता को अस्पष्ट (obfuscated) किया जाता है लेकिन एन्क्रिप्ट नहीं किया जाता है। उपयोगकर्ता नाम, NAS IP और सत्र मेटाडेटा सहित अन्य सभी विशेषताएँ - क्लियरटेक्स्ट में यात्रा करती हैं। RFC 6614 में परिभाषित और RFC 7360 में अपडेट किया गया RadSec (TLS पर RADIUS), TCP पोर्ट 2083 पर TLS टनल में RADIUS प्रोटोकॉल को रैप करके, एक TLS 1.2 या TLS 1.3 सत्र स्थापित करके इसे संबोधित करता है। RadSec, NAS और RADIUS सर्वर के बीच पारस्परिक प्रमाणपत्र प्रमाणीकरण, पूर्ण पेलोड एन्क्रिप्शन और रीप्ले सुरक्षा प्रदान करता है। यह किसी भी RADIUS ट्रैफ़िक के लिए सही ट्रांसपोर्ट है जो एक अविश्वसनीय नेटवर्क सीमा को पार करता है।

EAP विधि चयन। Extensible Authentication Protocol (EAP) 802.1X फ्रेमवर्क के भीतर उपयोग की जाने वाली आंतरिक प्रमाणीकरण विधियों को परिभाषित करता है। EAP-MD5 को हटा दिया गया है और इसे तुरंत सभी डिप्लॉयमेंट से हटा दिया जाना चाहिए - यह कोई पारस्परिक प्रमाणीकरण प्रदान नहीं करता है और क्रेडेंशियल-हार्वेस्टिंग हमलों का कोई प्रतिरोध नहीं करता है। PEAP (संरक्षित EAP) और EAP-TTLS क्रेडेंशियल प्रसारित करने से पहले एक सर्वर प्रमाणपत्र का उपयोग करके एक TLS टनल स्थापित करते हैं, जो पारस्परिक प्रमाणीकरण प्रदान करते हैं और आंतरिक विधि को ईव्सड्रॉपिंग से बचाते हैं। EAP-TLS पासवर्ड को पूरी तरह से समाप्त कर देता है, जिससे सर्वर और क्लाइंट दोनों पर X.509 प्रमाणपत्र की आवश्यकता होती है। यह फ़िशिंग और ब्रूट-फोर्स हमलों से सुरक्षित है और उच्च-सुरक्षा वातावरण के लिए अनुशंसित विधि है।

अपर्याप्त लॉगिंग और मॉनिटरिंग। RADIUS अकाउंटिंग हर ऑथेंटिकेशन इवेंट को रिकॉर्ड करता है - सफलता, विफलता, सेशन शुरू होना, सेशन बंद होना। यह डेटा कैपेसिटी प्लानिंग के लिए परिचालन रूप से मूल्यवान है और WiFi Analytics के लिए व्यावसायिक रूप से मूल्यवान है, लेकिन यह सुरक्षा टेलीमेट्री का एक महत्वपूर्ण स्रोत भी है। असफल-ऑथेंटिकेशन स्टॉर्म, अज्ञात MAC एड्रेस से ऑथेंटिकेशन, और आउट-ऑफ-आवर एक्सेस पैटर्न सभी RADIUS अकाउंटिंग लॉग से पता लगाने योग्य हैं। अधिकांश संगठन इस डेटा को SIEM में शामिल नहीं करते हैं, और जो करते हैं वे शायद ही कभी किसी अलर्टिंग थ्रेसहोल्ड को कॉन्फ़िगर करते हैं।

eap_comparison_chart.png

BlastRADIUS हमले का विवरण

BlastRADIUS का खुलासा जुलाई 2024 में बोस्टन यूनिवर्सिटी और UC सैन डिएगो के शोधकर्ताओं द्वारा किया गया था। इस हमले के लिए NAS और RADIUS सर्वर के बीच मैन-इन-द-मिडल स्थिति की आवश्यकता होती है - जो एक शेयर्ड नेटवर्क सेगमेंट पर ARP पॉइजनिंग, एक समझौता किए गए राउटर, या नेटवर्क एक्सेस वाले एक दुर्भावनापूर्ण इनसाइडर के माध्यम से प्राप्त की जा सकती है।

यह हमला इस प्रकार आगे बढ़ता है: हमलावर NAS से एक Access-Request पैकेट को इंटरसेप्ट करता है। चूंकि पैकेट में Message-Authenticator एट्रिब्यूट (कई कॉन्फ़िगरेशन में डिफॉल्ट) की कमी होती है, इसलिए हमलावर पैकेट की एट्रिब्यूट सूची को संशोधित करने के लिए स्वतंत्र है। एक MD5 चोजन-प्रिफिक्स कोलिजन का उपयोग करके, हमलावर एक संशोधित पैकेट का निर्माण करता है जिसके लिए RADIUS सर्वर उसी Response Authenticator की गणना करेगा जैसा कि मूल के लिए किया गया था। इसलिए सर्वर हमलावर-नियंत्रित एट्रिब्यूट वाले अनुरोध के लिए एक Access-Accept लौटाता है - जिसमें एडमिनिस्ट्रेटिव का Service-Type शामिल है जो पूर्ण नेटवर्क एक्सेस को अधिकृत करता है।

यह हमला PEAP और EAP-TTLS डिप्लॉयमेंट के खिलाफ प्रभावी है जो आंतरिक विधि के रूप में MSCHAPv2 का उपयोग करते हैं। यह EAP-TLS डिप्लॉयमेंट को प्रभावित नहीं करता है, जहां सर्टिफिकेट-आधारित म्यूचुअल ऑथेंटिकेशन इंटीग्रिटी प्रोटेक्शन प्रदान करता है जिसे MD5 सबवर्ट नहीं कर सकता है।

उन संगठनों के लिए जो Guest WiFi और कॉर्पोरेट 802.1X दोनों चला रहे हैं, गेस्ट नेटवर्क के RADIUS इंस्टेंस को भी पैच किया जाना चाहिए, भले ही यह EAP के बजाय MAC ऑथेंटिकेशन बाईपास का उपयोग करता हो। शेयर्ड सीक्रेट हाइजीन और Message-Authenticator की आवश्यकता समान रूप से लागू होती है।

कार्यान्वयन गाइड

चरण 1: तत्काल सुधार (सप्ताह 1 - 2)

पैचिंग सबसे पहले आती है। FreeRADIUS 3.2.5 और 3.0.27 में BlastRADIUS फिक्स शामिल हैं और डिफ़ॉल्ट रूप से Message-Authenticator लागू करते हैं। Cisco ISE 3.1 पैच 8, 3.2 पैच 4 और 3.3 पैच 1 इस भेद्यता का समाधान करते हैं। Microsoft ने जुलाई 2024 में Windows Server 2022 NPS के लिए KB5040434 जारी किया। अपने वर्तमान संस्करणों को सत्यापित करें और अपने अगले निर्धारित चेंज विंडो के भीतर पैच लागू करें।

उसी समय, अपने NAS डिवाइस फ़र्मवेयर का ऑडिट करें। Message-Authenticator लागू करना केवल तभी प्रभावी होता है जब NAS भी एट्रिब्यूट भेजता है। अपने एक्सेस पॉइंट और स्विच वेंडर की एडवाइज़री चेक करें - Aruba, Ruckus, Cisco और Juniper सभी ने BlastRADIUS के लिए फ़र्मवेयर अपडेट जारी किए हैं। यदि आप Ruckus हार्डवेयर चला रहे हैं, तो wireless access point Ruckus guide प्रासंगिक फ़र्मवेयर प्रबंधन संदर्भ प्रदान करता है।

पैचिंग के बाद आने वाली troubleshooting Windows 11 802.1X authentication issues के लिए, सबसे आम कारण NPS सर्वर द्वारा उन क्लाइंट्स के कनेक्शन को अस्वीकार करना है जिनमें Message-Authenticator शामिल नहीं है - यह सही सुरक्षा व्यवहार है जिसके लिए पुराने Windows क्लाइंट्स पर सप्लिकेंट रीकॉन्फ़िगरेशन की आवश्यकता हो सकती है।

चरण 2: शेयर्ड सीक्रेट हाइजीन (सप्ताह 2-4)

अपने RADIUS सर्वर पर रजिस्टर्ड NAS क्लाइंट्स की पूरी सूची निर्यात करें। प्रत्येक प्रविष्टि के लिए, शेयर्ड सीक्रेट की लंबाई और उसके पिछली बार बदले जाने की तिथि रिकॉर्ड करें। 20 कैरेक्टर से कम के किसी भी सीक्रेट, या 24 महीने से अधिक समय से अपरिवर्तित सीक्रेट को तुरंत बदला जाना चाहिए।

नए सीक्रेट के लिए, क्रिप्टोग्राफ़िक रूप से रैंडम जनरेटर का उपयोग करें - openssl rand -base64 32 एक 44-कैरेक्टर का base64 स्ट्रिंग तैयार करता है जो RADIUS शेयर्ड सीक्रेट के रूप में उपयोग करने के लिए पूरी तरह उपयुक्त है। सभी सीक्रेट्स को सीक्रेट मैनेजमेंट सिस्टम में स्टोर करें। एक रोटेशन शेड्यूल लागू करें: कम जोखिम वाले NAS डिवाइस के लिए सालाना, PCI DSS दायरे में आने वाले NAS डिवाइस के लिए हर छह महीने में।

चरण 3: EAP विधि युक्तिकरण (महीने 1-2)

उन EAP विधियों का ऑडिट करें जिनकी आपके RADIUS सर्वर अनुमति देते हैं। EAP-MD5 को अक्षम करें। यदि आप PEAP-MSCHAPv2 चला रहे हैं, तो सत्यापित करें कि सभी सप्लिकेंट सर्वर सर्टिफिकेट सत्यापन लागू करते हैं - एक गलत कॉन्फ़िगर किया गया सप्लिकेंट जो किसी भी सर्वर सर्टिफिकेट को स्वीकार करता है, वह दुष्ट RADIUS सर्वर हमलों के प्रति संवेदनशील होता है। PCI DSS दायरे वाले वातावरण के लिए, EAP-TLS की सिफारिश की जाती है। यदि आपके पास कोई मौजूदा सर्टिफिकेट इन्फ्रास्ट्रक्चर नहीं है, तो PKI योजना शुरू करें।

securing guest WiFi networks के लिए, ध्यान दें कि गेस्ट नेटवर्क आमतौर पर 802.1X के बजाय Captive Portal प्रमाणीकरण का उपयोग करते हैं, इसलिए EAP विधि सुदृढ़ीकरण मुख्य रूप से कॉर्पोरेट और स्टाफ SSIDs पर लागू होता है।

चरण 4: RadSec परिनियोजन (महीने 2-3)

प्रत्येक RADIUS ट्रैफ़िक पथ की पहचान करें जो किसी असुरक्षित नेटवर्क सीमा को पार करता है। सामान्य परिदृश्यों में एक केंद्रीय RADIUS सर्वर शामिल है जो इंटरनेट पर रिमोट होटलों को सेवा प्रदान करता है; ऑन-प्रिमाइसेस NAS डिवाइस क्लाउड RADIUS सेवा तक पहुँचते हैं; और RADIUS प्रॉक्सी चेन जहाँ ट्रैफ़िक कई नेटवर्क डोमेन को पार करता है।

प्रत्येक पहचाने गए पथ के लिए, RadSec कॉन्फ़िगर करें। FreeRADIUS पर इसका अर्थ पोर्ट 2083 पर tls लिसनर को सक्षम करना और आपके PKI से सर्टिफिकेट के साथ म्यूचुअल TLS को कॉन्फ़िगर करना है। Cisco ISE पर, RadSec को Administration > Network Devices के अंतर्गत कॉन्फ़िगर किया गया है। न्यूनतम TLS 1.2 सुनिश्चित करें; TLS 1.0 और 1.1 को स्पष्ट रूप से अक्षम करें।

चरण 5: प्रशासनिक पहुंच के लिए मल्टी-फैक्टर प्रमाणीकरण (महीने 2-3)

RADIUS server का मैनेजमेंट इंटरफ़ेस एक हाई-वैल्यू टारगेट होता है। RADIUS server से समझौता करने वाला हमलावर प्रमाणीकरण (authentication) पॉलिसी को संशोधित कर सकता है, शेयर्ड सीक्रेट्स निकाल सकता है और प्रमाणीकरण फ़्लो को रीडायरेक्ट कर सकता है। सभी RADIUS servers और उनके अंतर्निहित ऑपरेटिंग सिस्टम के एडमिनिस्ट्रेटिव लॉगिन पर MFA लागू करें। मैनेजमेंट एक्सेस को एक समर्पित आउट-ऑफ-बैंड मैनेजमेंट VLAN तक सीमित करें। रोल-बेस्ड एक्सेस कंट्रोल लागू करें: नेटवर्क इंजीनियरों के पास सुरक्षा एडमिनिस्ट्रेटर जैसे विशेषाधिकार नहीं होने चाहिए।

फ़ेज़ 6: SIEM इंटीग्रेशन और अलर्टिंग (महीने 3-4)

अपने RADIUS servers को वास्तविक समय में अपने SIEM को एकाउंटिंग लॉग्स फ़ॉरवर्ड करने के लिए कॉन्फ़िगर करें। निम्नलिखित बेसलाइन अलर्ट थ्रेशोल्ड निर्धारित करें:

अलर्ट थ्रेशोल्ड गंभीरता
एक ही MAC एड्रेस से कई प्रमाणीकरण विफलताएं >5 प्रति 60 सेकंड उच्च
एक्सेस-रिजेक्ट दर में अचानक वृद्धि 7-दिवसीय बेसलाइन से 200% अधिक मध्यम
कॉर्पोरेट SSID पर एक नए MAC एड्रेस से प्रमाणीकरण पहली बार होने पर मध्यम
RADIUS server सर्टिफिकेट समाप्त होने के करीब 90 / 30 / 7 दिन उच्च / गंभीर / गंभीर
शेयर्ड सीक्रेट बेमेल एरर्स कोई भी घटना उच्च

सर्वश्रेष्ठ अभ्यास (Best Practices)

निम्नलिखित सिफारिशें IEEE 802.1X, NIST SP 800-63B, PCI-DSS v4.0 और वेंडर सुरक्षा सलाहों के बीच आम सहमति को दर्शाती हैं।

सर्टिफिकेट मैनेजमेंट। EAP-TLS या RadSec का उपयोग करने वाले किसी भी डिप्लॉयमेंट के प्रमाणीकरण पथ में X.509 सर्टिफिकेट होते हैं। एंटरप्राइज WiFi डिप्लॉयमेंट में अचानक, पूर्ण प्रमाणीकरण विफलता का सबसे आम कारण सर्टिफिकेट का समाप्त होना है। स्वचालित सर्टिफिकेट लाइफ़साइकल मैनेजमेंट लागू करें। समाप्ति से 90, 30 और 7 दिन पहले मॉनिटरिंग अलर्ट सेट करें। RADIUS server सर्टिफिकेट के लिए, न्यूनतम 2048-bit RSA या 256-bit ECDSA कीज़, और SHA-256 या मजबूत सिग्नेचर एल्गोरिदम का उपयोग करें। SHA-1 का उपयोग न करें।

नेटवर्क सेगमेंटेशन। RADIUS servers को एक समर्पित मैनेजमेंट सेगमेंट पर होना चाहिए, जो गेस्ट और सामान्य कॉर्पोरेट नेटवर्क से अलग हो। RADIUS पोर्ट्स (UDP 1812, 1813, और RadSec के लिए TCP 2083) तक पहुंच को फ़ायरवॉल ACL द्वारा पंजीकृत NAS डिवाइस के विशिष्ट IP एड्रेस तक सीमित किया जाना चाहिए। RADIUS पोर्ट्स पर सीधे इंटरनेट एक्सेस की अनुमति न दें।

रिडंडेंसी और हाई अवेलेबिलिटी। एक एकल RADIUS server आपके पूरे नेटवर्क एक्सेस कंट्रोल इंफ्रास्ट्रक्चर के लिए सिंगल पॉइंट ऑफ़ फेलियर होता है। एक्टिव-पैसिव या एक्टिव-एक्टिव कॉन्फ़िगरेशन में कम से कम दो RADIUS servers तैनात करें। 24/7 गेस्ट कनेक्टिविटी आवश्यकताओं वाले Hospitality डिप्लॉयमेंट के लिए, RADIUS server डाउनटाइम का सीधा मतलब गेस्ट WiFi डाउनटाइम है - जो एक प्रतिष्ठा और व्यावसायिक जोखिम है।WPA3 and 802.1X. 192-बिट सुरक्षा मोड में WPA3-Enterprise, जो सरकारी और उच्च-सुरक्षा व्यवस्थाओं के लिए आवश्यक है, डेटा एन्क्रिप्शन के लिए AES-256-GCMP और प्रमाणीकरण के लिए HMAC-SHA-384 को अनिवार्य बनाता है। अधिकांश एंटरप्राइज़ डिप्लॉयमेंट के लिए, मानक 128-बिट सुरक्षा के साथ WPA3-Enterprise पहले से ही WPA2-Enterprise की तुलना में एक महत्वपूर्ण सुधार है, विशेष रूप से जब इसे EAP-TLS के साथ संयोजित किया जाता है। कार्ड भुगतान संभालने वाले Retail वातावरणों को WPA3-Enterprise अपनाने को PCI-DSS जोखिम-कमी उपाय के रूप में मानना चाहिए।

Vendor patch cadence. अपने RADIUS सर्वर वेंडर और अपने NAS डिवाइस वेंडर्स से सुरक्षा चेतावनियों की सदस्यता लें। FreeRADIUS, Cisco, Microsoft, Aruba और Ruckus सभी CVE सूचनाएं प्रकाशित करते हैं। इन्हें निर्धारित SLAs के साथ अपने भेद्यता प्रबंधन कार्यक्रम में शामिल करें: गंभीर भेद्यताएँ (CVSS ≥ 9.0) 72 घंटों के भीतर पैच की जाएं; उच्च-तीव्रता वाली भेद्यताएँ (CVSS 7.0-8.9) 14 दिनों के भीतर।

Troubleshooting and Risk Mitigation

Common failure modes

Authentication failures after patching. BlastRADIUS पैच लागू करने के बाद, कुछ NAS डिवाइस प्रमाणित करने में विफल हो सकते हैं यदि उनका फर्मवेयर Message-Authenticator का समर्थन नहीं करता है। लक्षण: उपयोगकर्ता क्रेडेंशियल में कोई बदलाव न होने पर भी Access-Reject प्रतिक्रियाओं में अचानक वृद्धि। निदान: RADIUS डिबग लॉगिंग सक्षम करें और "Message-Authenticator required but not present" त्रुटियों की जांच करें। समाधान: NAS फर्मवेयर को अपडेट करें, या एक अस्थायी उपाय के रूप में RADIUS सर्वर को विशिष्ट NAS IPs से बिना Message-Authenticator के अनुरोधों को स्वीकार करने के लिए कॉन्फ़िगर करें, जब तक कि फर्मवेयर अपडेट शेड्यूल न हो जाएं।

Certificate validation failures in EAP-TLS. लक्षण: क्लाइंट्स को RADIUS लॉग में बिना किसी संगत Access-Reject के "authentication failed" प्राप्त होता है। निदान: RADIUS सर्वर के सर्टिफिकेट चेन की जांच करें - क्या जारीकर्ता CA क्लाइंट सप्लिकेंट द्वारा विश्वसनीय है? क्या सर्वर सर्टिफिकेट अपनी वैधता अवधि के भीतर है? समाधान: सुनिश्चित करें कि पूर्ण सर्टिफिकेट चेन (leaf + intermediate + root) RADIUS सर्वर पर कॉन्फ़िगर की गई है। MDM या ग्रुप पॉलिसी के माध्यम से क्लाइंट डिवाइसेज पर रूट CA सर्टिफिकेट पुश करें।

RadSec TLS handshake failures. लक्षण: कॉन्फ़िगरेशन परिवर्तन के बाद NAS डिवाइस RadSec कनेक्शन स्थापित नहीं कर सकते। निदान: TLS संस्करण अनुकूलता की जांच करें - पुराना NAS फर्मवेयर TLS 1.2 का समर्थन नहीं कर सकता है। आपसी सर्टिफिकेट प्रमाणीकरण की जांच करें - दोनों सिरों को एक-दूसरे के CA पर भरोसा करना चाहिए। समाधान: NAS फर्मवेयर रिलीज नोट्स में TLS संस्करण समर्थन सत्यापित करें; सुनिश्चित करें कि NAS डिवाइस सर्टिफिकेट उसी CA द्वारा जारी किए गए हैं जिस पर RADIUS सर्वर भरोसा करता है।

Shared secret mismatch. लक्षण: एक विशेष NAS से प्रत्येक प्रमाणीकरण "invalid authenticator" त्रुटियों के साथ विफल हो जाता है। निदान: NAS कॉन्फ़िगरेशन और RADIUS सर्वर की क्लाइंट प्रविष्टि के बीच साझा गुप्त (shared secret) बेमेल होना। समाधान: दोनों सिरों पर साझा गुप्त को फिर से दर्ज करें, अंतिम व्हाइटस्पेस या कैरेक्टर-एन्कोडिंग समस्याओं की जांच करें। ट्रांसक्रिप्शन त्रुटियों से बचने के लिए अपने सीक्रेट्स मैनेजर से कॉपी और पेस्ट करें।

Risk register

जोखिम संभावना प्रभाव शमन नियंत्रण
BlastRADIUS exploitation High (if unpatched) Critical पैचिंग + Message-Authenticator प्रवर्तन
Shared secret brute-force Medium High 32-करैक्टर रैंडम सीक्रेट्स, वार्षिक रोटेशन
Rogue RADIUS server Medium High EAP-TLS पारस्परिक प्रमाणीकरण, सर्टिफिकेट पिनिंग
RADIUS server certificate expiry High Critical स्वचालित मॉनिटरिंग, 90 दिन पहले अलर्ट
Credential stuffing via 802.1X Medium High अकाउंट लॉकआउट पॉलिसी, SIEM अलर्टिंग
RADIUS server compromise Low Critical एडमिन एक्सेस पर MFA, नेटवर्क सेगमेंटेशन

ROI और व्यावसायिक प्रभाव

जोखिम को मापना

RADIUS को सुरक्षित और मजबूत बनाने (hardening) का वित्तीय औचित्य तब सबसे स्पष्ट होता है जब इसकी तुलना ब्रीच (डेटा चोरी) की लागतों से की जाती है। 2024 में यूके में डेटा ब्रीच की औसत लागत £3.58 मिलियन थी, जिसमें नियामक जुर्माने, सुधारात्मक उपाय, कानूनी लागत और प्रतिष्ठा को होने वाला नुकसान शामिल है। PCI-DSS के दायरे में आने वाले संगठनों के लिए - वास्तव में प्रत्येक Retail और Hospitality संचालक जो WiFi पर कार्ड भुगतान स्वीकार करते हैं - एक नेटवर्क एक्सेस कंट्रोल ब्रीच जो कार्डधारक के डेटा को उजागर करता है, एक अनिवार्य फॉरेंसिक जांच, संभावित कार्ड-स्कीम जुर्मानों और कार्ड प्रोसेसिंग अधिकारों के संभावित निलंबन को सक्रिय कर देता है।

Healthcare संगठनों के लिए, एक समझौता किए गए RADIUS सर्वर के माध्यम से रोगी के डेटा तक पहुंच से संबंधित GDPR ब्रीच पर अनुच्छेद 83(5) के तहत वैश्विक वार्षिक टर्नओवर का 4% तक का जुर्माना लग सकता है। ICO का प्रवर्तन रिकॉर्ड दर्शाता है कि नेटवर्क सुरक्षा विफलताओं को लापरवाही माना जाता है, न कि कोई तकनीकी दुर्भाग्य।

कार्यान्वयन लागत बेंचमार्क

निम्नलिखित लागत अनुमान 500-डिवाइस वाले कॉर्पोरेट नेटवर्क को मानकर लगाए गए हैं:

सुरक्षा गतिविधि अनुमानित लागत समय-सीमा
पैचिंग (FreeRADIUS / NPS / ISE) केवल आंतरिक श्रम 1-2 सप्ताह
Shared secret ऑडिट और रोटेशन आंतरिक श्रम + सीक्रेट्स मैनेजर लाइसेंस (~£2,000/वर्ष) 2-4 सप्ताह
EAP-TLS PKI परिनियोजन £15,000 - £30,000 (टूलिंग + प्रोफेशनल सर्विसेज) 2-3 महीने
RadSec कार्यान्वयन आंतरिक श्रम + सर्टिफिकेट लागत (~£1,500) 4-6 सप्ताह
SIEM एकीकरण और अलर्टिंग मौजूदा SIEM पर निर्भर करता है; £0 - £10,000 4-8 सप्ताह

एक मध्यम आकार के उद्यम के लिए कुल सुरक्षा सुदृढ़ीकरण निवेश लगभग £20,000 - £45,000 है। £3.58 मिलियन की ब्रीच लागत के आधार पर, जोखिम-समायोजित ROI रूढ़िवादी ब्रीच-प्रायिकता मान्यताओं के तहत भी बेहद आकर्षक है।

सुरक्षा से परे परिचालन संबंधी लाभ

सुरक्षित और मजबूत किया गया RADIUS इन्फ्रास्ट्रक्चर परिचालन संबंधी लाभ भी प्रदान करता है। विश्वसनीय, अच्छी तरह से मॉनिटर किया गया प्रमाणीकरण WiFi कनेक्टिविटी से संबंधित हेल्प डेस्क टिकटों को कम करता है। RADIUS अकाउंटिंग डेटा, जब WiFi Analytics के साथ एकीकृत होता है, तो नेटवर्क उपयोग के पैटर्न, रुकने के समय और डिवाइस के प्रकारों में सत्र-स्तरीय दृश्यता प्रदान करता है - ऐसा डेटा जिसका Hospitality और Transport वातावरण में वेन्यू ऑपरेटरों के लिए सीधा व्यावसायिक मूल्य है।

सार्वजनिक क्षेत्र और स्वास्थ्य सेवा संगठनों के लिए, एक प्रलेखित RADIUS हार्डनिंग कार्यक्रम Cyber Essentials Plus, ISO 27001 और NHS DSPT आकलनों के लिए तकनीकी नियंत्रणों का प्रमाण प्रदान करता है - जिससे ऑडिट के प्रयास कम होते हैं और नियामकों के प्रति उचित तत्परता प्रदर्शित होती है।

मुख्य परिभाषाएं

RADIUS (Remote Authentication Dial-In User Service)

RFC 2865 में परिभाषित एक क्लाइंट-सर्वर प्रोटोकॉल जो नेटवर्क एक्सेस के लिए केंद्रीकृत ऑथेंटिकेशन, ऑथराइजेशन और अकाउंटिंग (AAA) प्रदान करता है। RADIUS सर्वर नेटवर्क डिवाइसों (NAS) द्वारा सबमिट किए गए क्रेडेंशियल्स को Active Directory या LDAP जैसे बैकएंड आइडेंटिटी स्टोर के खिलाफ सत्यापित करते हैं।

IT टीमें 802.1X WiFi, वायर्ड पोर्ट ऑथेंटिकेशन, VPN एक्सेस और नेटवर्क डिवाइस प्रबंधन के लिए ऑथेंटिकेशन बैकएंड के रूप में RADIUS का सामना करती हैं। यह वह प्रोटोकॉल है जो यह तय करता है कि नेटवर्क पर कौन आ सकता है।

IEEE 802.1X

पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल के लिए एक IEEE मानक जो LAN पर EAP (EAPOL) के इनकैप्सुलेशन को परिभाषित करता है। यह वायर्ड और वायरलेस दोनों नेटवर्कों के लिए एक ऑथेंटिकेशन फ्रेमवर्क प्रदान करता है, जिसके तहत नेटवर्क एक्सेस दिए जाने से पहले डिवाइसों को ऑथेंटिकेट करना आवश्यक होता है।

802.1X वह मानक है जो एंटरप्राइज़ WiFi ऑथेंटिकेशन को काम करने योग्य बनाता है। जब कोई स्टाफ सदस्य कॉर्पोरेट SSID से कनेक्ट होता है और उससे क्रेडेंशियल्स मांगे जाते हैं, तो 802.1X उस एक्सचेंज को व्यवस्थित करने वाला फ्रेमवर्क है, जिसमें RADIUS बैकएंड के रूप में कार्य करता है।

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

एक EAP विधि जो क्लाइंट और RADIUS सर्वर के बीच पारस्परिक ऑथेंटिकेशन के लिए X.509 सर्टिफिकेट का उपयोग करती है। दोनों पक्षों को वैध सर्टिफिकेट प्रस्तुत करना होगा, जिससे ऑथेंटिकेशन एक्सचेंज से पासवर्ड पूरी तरह से समाप्त हो जाते हैं।

EAP-TLS एंटरप्राइज WiFi ऑथेंटिकेशन के लिए गोल्ड स्टैंडर्ड है। यह क्रेडेंशियल फ़िशिंग और ब्रूट-फ़ोर्स हमलों से सुरक्षित है। क्लाइंट सर्टिफिकेट जारी करने और प्रबंधित करने के लिए एक PKI इन्फ्रास्ट्रक्चर इसकी परिचालन आवश्यकता है।

RadSec (RADIUS over TLS)

RFC 6614 में परिभाषित एक प्रोटोकॉल जो TCP पोर्ट 2083 पर TLS सेशन के भीतर RADIUS पैकेट को एनकैप्सुलेट करता है। यह RADIUS ट्रैफ़िक के लिए ट्रांसपोर्ट-लेयर एन्क्रिप्शन, पारस्परिक सर्टिफिकेट ऑथेंटिकेशन और रीप्ले प्रोटेक्शन प्रदान करता है।

किसी भी RADIUS ट्रैफ़िक के लिए RadSec आवश्यक है जो किसी अविश्वसनीय नेटवर्क सीमा - WAN लिंक, इंटरनेट कनेक्शन, या साझा नेटवर्क इन्फ्रास्ट्रक्चर को पार करता है। मल्टी-साइट डिप्लॉयमेंट में UDP पर मानक RADIUS के लिए यह सही रिप्लेसमेंट है।

BlastRADIUS (CVE-2024-3596)

जुलाई 2024 में सामने आया एक मैन-इन-द-मिडल हमला जो RADIUS Access-Request पैकेट पर अखंडता सुरक्षा (integrity protection) की अनुपस्थिति का फायदा उठाता है। MD5 चुने हुए-प्रिफिक्स कोलिजन तकनीकों का उपयोग करके, एक हमलावर नकली Access-Accept प्रतिक्रिया तैयार कर सकता है, जिससे एक अनऑथेंटिकेटेड उपयोगकर्ता को नेटवर्क एक्सेस मिल जाता है।

BlastRADIUS सभी प्रमुख RADIUS इम्प्लीमेंटेशन को प्रभावित करता है जिसमें FreeRADIUS, Cisco ISE और Microsoft NPS शामिल हैं। जिन संगठनों ने जुलाई 2024 में जारी किए गए पैच लागू नहीं किए हैं, वे इस हमले के प्रति संवेदनशील बने हुए हैं।

Message-Authenticator

एक RADIUS विशेषता (Attribute 80) जो पूरे RADIUS पैकेट पर HMAC-MD5 अखंडता सुरक्षा प्रदान करती है। Access-Request में उपस्थित होने पर, यह BlastRADIUS में उपयोग किए जाने वाले पैकेट संशोधन हमले को रोकता है।

सभी Access-Request पैकेटों पर Message-Authenticator लागू करना BlastRADIUS के लिए प्राथमिक उपचार है। इसे RADIUS सर्वर (विशेषता की आवश्यकता के लिए) और NAS डिवाइस (अनुरोधों में विशेषता शामिल करने के लिए) दोनों पर कॉन्फ़िगर किया जाना चाहिए।

NAS (Network Access Server)

RADIUS शब्दावली में, NAS एक नेटवर्क डिवाइस है - आमतौर पर एक WiFi एक्सेस पॉइंट, स्विच, या VPN कंसंट्रेटर - जो RADIUS क्लाइंट के रूप में कार्य करता है। यह एंड डिवाइसों से कनेक्शन अनुरोधों को रोकता है और ऑथेंटिकेशन अनुरोधों को RADIUS सर्वर पर फॉरवर्ड करता है।

डिप्लॉयमेंट में NAS डिवाइस RADIUS क्लाइंट होते हैं। साझा रहस्य (Shared secrets) प्रति-NAS कॉन्फ़िगर किए जाते हैं। BlastRADIUS उपचार के लिए NAS डिवाइस पर फ़र्मवेयर अपडेट के साथ-साथ RADIUS सर्वर पर पैच की आवश्यकता होती है।

PEAP (Protected Extensible Authentication Protocol)

एक EAP विधि जो आंतरिक ऑथेंटिकेशन विधि (आमतौर पर MSCHAPv2) को प्रसारित करने से पहले सर्वर-साइड सर्टिफिकेट का उपयोग करके एक TLS टनल स्थापित करती है। यह पारस्परिक ऑथेंटिकेशन प्रदान करती है और क्रेडेंशियल्स को ईव्सड्रॉपिंग से सुरक्षित रखती है।

PEAP-MSCHAPv2 सबसे व्यापक रूप से उपयोग की जाने वाली एंटरप्राइज WiFi ऑथेंटिकेशन विधि है। यह PCI DSS के अनुरूप है और EAP-TLS की तुलना में परिचालन रूप से सरल है क्योंकि इसमें क्लाइंट सर्टिफिकेट की आवश्यकता नहीं होती है। हालाँकि, यदि क्लाइंट-साइड सर्टिफिकेट सत्यापन लागू नहीं किया जाता है, तो यह नकली RADIUS सर्वर हमलों के प्रति संवेदनशील है।

Shared Secret

एक प्री-शेयर्ड की (key) जिसे RADIUS सर्वर और प्रत्येक NAS डिवाइस दोनों पर कॉन्फ़िगर किया जाता है। इसका उपयोग Response Authenticator फ़ील्ड को जनरेट करने और User-Password विशेषता को अस्पष्ट (obfuscate) करने के लिए किया जाता है। यह एंड यूजर्स के लिए पासवर्ड नहीं है - यह एक सर्वर-टू-सर्वर ऑथेंटिकेशन क्रेडेंशियल है।

कमजोर या स्थिर साझा रहस्य सबसे आम RADIUS कमजोरियों में से एक हैं। एक हमलावर जो RADIUS ट्रैफ़िक को कैप्चर करता है, वह कमजोर साझा रहस्य के खिलाफ एक ऑफ़लाइन ब्रूट-फ़ोर्स हमला कर सकता है। न्यूनतम अनुशंसित लंबाई 32 वर्ण है, जो रैंडमली जनरेट की गई हो।

PCI DSS (Payment Card Industry Data Security Standard)

कार्डधारक के डेटा को प्रोसेस, स्टोर या ट्रांसमिट करने वाले संगठनों के लिए प्रमुख कार्ड योजनाओं (Visa, Mastercard, Amex) द्वारा अनिवार्य सुरक्षा मानकों का एक सेट। संस्करण 4.0, जो मार्च 2024 से प्रभावी है, में नेटवर्क एक्सेस कंट्रोल और मजबूत प्रमाणीकरण के लिए विशिष्ट आवश्यकताएं शामिल हैं।

WiFi से जुड़े POS टर्मिनलों वाले रिटेल और हॉस्पिटैलिटी संगठन PCI DSS के दायरे में आते हैं। RADIUS सर्वर की कमजोरियां जो कार्डधारक डेटा वातावरण तक अनधिकृत नेटवर्क एक्सेस की अनुमति दे सकती हैं, वे सीधे अनुपालन (compliance) के लिए जोखिम हैं।

हल किए गए उदाहरण

12 संपत्तियों वाला एक 350 कमरों का होटल समूह अपने मुख्य कार्यालय डेटा सेंटर में होस्ट किए गए एक केंद्रीकृत RADIUS सर्वर का उपयोग करता है। प्रत्येक संपत्ति एक साझा MPLS WAN पर जुड़ती है। एक सुरक्षा ऑडिट ने संकेत दिया है कि WAN पर RADIUS ट्रैफ़िक अनएन्क्रिप्टेड है, साझा रहस्य (shared secrets) 5 साल पहले प्रारंभिक परिनियोजन के दौरान सेट किए गए 8-वर्णों के स्ट्रिंग्स हैं, और RADIUS सर्वर FreeRADIUS 3.0.21 चला रहा है। यह समूह अपने रेस्तरां और स्पा सुविधाओं में WiFi-कनेक्टेड POS टर्मिनलों के माध्यम से कार्ड भुगतान संसाधित करता है। समाधान प्राथमिकता और कार्यान्वयन क्रम क्या है?

समाधान अनुक्रम को जोखिम की गंभीरता और कार्यान्वयन की गति के आधार पर क्रमित किया जाना चाहिए। चरण 1 (तत्काल, 72 घंटों के भीतर): FreeRADIUS को 3.2.5 या 3.0.27 पर पैच करें। यह BlastRADIUS को संबोधित करता है और डिफ़ॉल्ट रूप से Message-Authenticator को लागू करता है। साथ ही, सभी 12 संपत्तियों में एक्सेस पॉइंट फ़र्मवेयर संस्करणों की जांच करें और उन NAS उपकरणों के लिए फ़र्मवेयर अपडेट शेड्यूल करें जो Message-Authenticator का समर्थन नहीं करते हैं। चरण 2 (सप्ताह 1-2): सभी साझा रहस्यों (shared secrets) को बदलें (rotate)। 12 संपत्ति NAS पंजीकरणों में से प्रत्येक के लिए openssl rand -base64 32 का उपयोग करके 32-वर्णों के यादृच्छिक रहस्य उत्पन्न करें। HashiCorp Vault या समकक्ष में संग्रहीत करें। रोटेशन की तारीख का दस्तावेजीकरण करें। चरण 3 (महीना 1-2): WAN पथ पर RadSec लागू करें। TCP 2083 पर RadSec कनेक्शन स्वीकार करने के लिए FreeRADIUS सर्वर को कॉन्फ़िगर करें। एक आंतरिक CA से प्रत्येक संपत्ति के NAS उपकरणों के लिए TLS प्रमाणपत्र जारी करें। संपत्ति NAS IP सीमाओं से RADIUS सर्वर तक TCP 2083 की अनुमति देने के लिए फ़ायरवॉल नियमों को अपडेट करें। एक बार RadSec के चालू होने की पुष्टि हो जाने पर WAN-सामना करने वाले इंटरफेस से UDP 1812/1813 को अक्षम करें। चरण 4 (महीना 2-3): PCI DSS-दायरे वाले POS WiFi SSID के लिए, PEAP-MSCHAPv2 से EAP-TLS पर माइग्रेट करें। एक आंतरिक PKI (Microsoft ADCS या HashiCorp Vault PKI इंजन) तैनात करें। MDM के माध्यम से POS टर्मिनलों को क्लाइंट प्रमाणपत्र जारी करें। POS SSID के लिए EAP-TLS की आवश्यकता के लिए RADIUS नीति को अपडेट करें। चरण 5 (महीना 3): RADIUS अकाउंटिंग लॉग्स को SIEM में एकीकृत करें। विफल प्रमाणीकरण स्पाइक्स और प्रमाणपत्र की समाप्ति के लिए अलर्ट कॉन्फ़िगर करें।

परीक्षक की टिप्पणी: यह परिदृश्य अधिकांश मल्टी-साइट हॉस्पिटैलिटी परिनियोजनों का प्रतिनिधित्व करता है। मुख्य अंतर्दृष्टि यह है कि MPLS WAN, हालांकि सार्वजनिक इंटरनेट नहीं है, एक साझा नेटवर्क है जिसे पूरी तरह से सुरक्षित नहीं माना जा सकता है - विशेष रूप से एक होटल समूह में जहां WAN को एक तृतीय-पक्ष प्रदाता द्वारा प्रबंधित किया जा सकता है। इसलिए RadSec वैकल्पिक नहीं है। PCI DSS दृष्टिकोण महत्वपूर्ण है: WiFi पर POS टर्मिनल PCI DSS आवश्यकता 8.3 (मजबूत प्रमाणीकरण) और आवश्यकता 4.2.1 (ट्रांजिट में डेटा के लिए मजबूत क्रिप्टोग्राफी) के दायरे में हैं। EAP-TLS दोनों को संतुष्ट करता है। अनुक्रमण पहले पैचिंग को प्राथमिकता देता है क्योंकि BlastRADIUS एक सक्रिय, शोषण योग्य भेद्यता है; अन्य सुदृढ़ीकरण चरण महत्वपूर्ण हैं लेकिन उनके साथ समान तत्काल जोखिम नहीं है। एक वैकल्पिक दृष्टिकोण - क्लाउड-होस्टेड RADIUS-as-a-Service पर माइग्रेट करना - पर विचार किया गया था लेकिन समूह के मौजूदा MPLS निवेश और एक साथ 12 संपत्तियों को माइग्रेट करने की जटिलता के कारण इस परिदृश्य के लिए अस्वीकार कर दिया गया था।

45 स्टोर्स वाली एक क्षेत्रीय रिटेल चेन स्टाफ WiFi के लिए WPA2-Personal (प्री-शेयर्ड की) और ग्राहक WiFi के लिए एक ओपन नेटवर्क का उपयोग करती है। IT डायरेक्टर स्टाफ WiFi को Active Directory के साथ एकीकृत, RADIUS सर्वर के रूप में Microsoft NPS का उपयोग करके 802.1X ऑथेंटिकेशन पर माइग्रेट करना चाहता है। स्टोर्स में Aruba और Cisco एक्सेस पॉइंट्स का मिश्रण है। यह चेन PCI DSS के दायरे में आती है। उन्हें कौन सा आर्किटेक्चर तैनात करना चाहिए, और मुख्य कॉन्फ़िगरेशन निर्णय क्या हैं?

अनुशंसित आर्किटेक्चर प्रारंभिक EAP विधि के रूप में PEAP-MSCHAPv2 के साथ 802.1X है, जिसमें EAP-TLS के लिए एक दस्तावेजी रोडमैप शामिल है। NPS सर्वर को केंद्रीय डेटा सेंटर में एक रिडंडेंट पेयर (प्राइमरी + सेकेंडरी) में तैनात किया जाना चाहिए, जिसमें स्वचालित रूप से फेलओवर करने के लिए एक्सेस पॉइंट्स पर RADIUS प्रॉक्सी कॉन्फ़िगरेशन हो। कॉन्फ़िगरेशन निर्णय: (1) NPS नेटवर्क पॉलिसी: PEAP-MSCHAPv2 के साथ स्टाफ SSID से मेल खाने वाली एक पॉलिसी बनाएं, जिसमें AD सुरक्षा समूह (जैसे, 'WiFi-Staff-Access') में समूह सदस्यता की आवश्यकता हो। री-ऑथेंटिकेशन के लिए बाध्य करने के लिए सेशन टाइमआउट को 8 घंटे पर सेट करें। (2) सर्टिफिकेट: आंतरिक Microsoft ADCS CA से एक NPS सर्वर सर्टिफिकेट तैनात करें। Group Policy (Windows) और MDM (iOS/Android) के माध्यम से सभी स्टाफ डिवाइसों पर रूट CA सर्टिफिकेट पुश करें। (3) सप्लीकेंट कॉन्फ़िगरेशन: Group Policy (Computer Configuration > Windows Settings > Security Settings > Wireless Network Policies) के माध्यम से Windows डिवाइसों को कॉन्फ़िगर करें। iOS और Android डिवाइसों के लिए, एक MDM प्रोफाइल का उपयोग करें। सर्वर सर्टिफिकेट वैलिडेशन लागू करें - उपयोगकर्ताओं को मनमाने सर्टिफिकेट स्वीकार करने की अनुमति न दें। (4) एक्सेस पॉइंट कॉन्फ़िगरेशन: Aruba पर, Authentication > Servers के तहत RADIUS सर्वर कॉन्फ़िगर करें। शेयर्ड सीक्रेट को 32-अक्षर की रैंडम स्ट्रिंग पर सेट करें। यदि Aruba फ़र्मवेयर इसका समर्थन करता है (AOS 8.9+), तो RadSec सक्षम करें। Cisco पर, Security > AAA > RADIUS के तहत कॉन्फ़िगर करें। (5) NPS लॉगिंग: SQL Server डेटाबेस में NPS अकाउंटिंग लॉगिंग सक्षम करें। PCI DSS अनुपालन के लिए न्यूनतम 90 दिनों की लॉग रिटेंशन अवधि कॉन्फ़िगर करें। (6) माइग्रेशन के बाद: स्टाफ SSID पर WPA2-Personal को अक्षम करें। इसे केवल सीक्रेट्स मैनेजर में संग्रहीत एक जटिल PSK के साथ ब्रेक-ग्लास SSID के रूप में बनाए रखें, जिसका उपयोग केवल तब किया जाए जब NPS अनुपलब्ध हो।

परीक्षक की टिप्पणी: WPA2-Personal से 802.1X पर माइग्रेशन रिटेल IT में सबसे आम सुरक्षा सुधार परियोजनाओं में से एक है। इस परिदृश्य में मुख्य जोखिम मिश्रित एक्सेस पॉइंट एस्टेट है - Aruba और Cisco के पास अलग-अलग RADIUS क्लाइंट कॉन्फ़िगरेशन इंटरफ़ेस हैं, और शेयर्ड सीक्रेट रोटेशन प्रक्रिया को प्रत्येक के लिए अलग से प्रबंधित किया जाना चाहिए। EAP-TLS के बजाय PEAP-MSCHAPv2 से शुरू करने का निर्णय व्यावहारिक है: यह PKI तैनाती की जटिलता से बचाता है और PSK की तुलना में महत्वपूर्ण सुरक्षा सुधार प्रदान करता है। EAP-TLS रोडमैप को MDM रोलआउट समयसीमा से जोड़ा जाना चाहिए - क्लाइंट सर्टिफिकेट तैनाती केवल तभी व्यावहारिक रूप से संभव है जब सभी डिवाइस MDM-पंजीकृत हों। PCI DSS पहलू NPS लॉगिंग आवश्यकता को मजबूत करता है: PCI DSS आवश्यकता 10.2.1 कार्डधारक डेटा तक सभी व्यक्तिगत उपयोगकर्ता पहुंच की लॉगिंग को अनिवार्य करती है, जिसमें नेटवर्क एक्सेस इवेंट शामिल हैं।

अभ्यास प्रश्न

Q1. आपका संगठन एक ही परिसर में 800 स्टाफ उपकरणों के लिए 802.1X प्रमाणीकरण का समर्थन करने वाला एक FreeRADIUS 3.0.21 सर्वर चलाता है। RADIUS सर्वर उसी प्रबंधन VLAN पर है जिस पर सभी एक्सेस पॉइंट हैं। एक पेनेट्रेशन टेस्ट से पता चला है कि एक्सेस पॉइंट बिना Message-Authenticator एट्रिब्यूट के Access-Request पैकेट भेज रहे हैं। सुरक्षा टीम Message-Authenticator को तुरंत लागू करना चाहती है, लेकिन नेटवर्क संचालन टीम को 800 उपयोगकर्ताओं के लिए प्रमाणीकरण बाधित होने की चिंता है। सेवा में व्यवधान को कम करने के लिए आप इस समस्या के समाधान को किस क्रम में व्यवस्थित करेंगे?

संकेत: RADIUS सर्वर द्वारा Message-Authenticator की आवश्यकता होने और इसे भेजने वाले NAS उपकरणों के बीच के अंतर पर विचार करें। ये अलग-अलग जोखिम प्रोफाइल वाले दो अलग-अलग कॉन्फ़िगरेशन परिवर्तन हैं।

मॉडल उत्तर देखें

सही क्रम इस प्रकार है: (1) सबसे पहले, FreeRADIUS को 3.2.5 पर पैच करें। यह संस्करण डिफ़ॉल्ट रूप से Message-Authenticator लागू करता है लेकिन इसमें एक कम्पैटिबिलिटी मोड शामिल है जो इस एट्रिब्यूट के बिना वाले पैकेट को अस्वीकार करने के बजाय एक चेतावनी लॉग करता है। इससे आपको प्रमाणीकरण को तुरंत बाधित किए बिना पैच मिल जाता है। (2) एक्सेस पॉइंट फ़र्मवेयर संस्करणों का ऑडिट करें। पहचानें कि कौन से मॉडल और फ़र्मवेयर संस्करण Access-Request पैकेट में Message-Authenticator का समर्थन करते हैं। (3) एक्सेस पॉइंट फ़र्मवेयर को बैचों में अपडेट करें, जिसकी शुरुआत 50 उपकरणों के पायलट समूह से करें। सत्यापित करें कि प्रत्येक बैच के बाद प्रमाणीकरण काम करना जारी रखता है। (4) एक बार जब सभी एक्सेस पॉइंट द्वारा Message-Authenticator भेजने की पुष्टि हो जाए, तो FreeRADIUS सर्वर पर सख्त प्रवर्तन सक्षम करें (clients.conf में require_message_authenticator = yes)। (5) किसी भी शेष 'Message-Authenticator missing' चेतावनियों के लिए RADIUS लॉग की निगरानी करें, जो उन NAS उपकरणों को इंगित करेंगी जिनका फ़र्मवेयर अपडेट छूट गया था। मुख्य सिद्धांत यह है कि आप बिना कुछ बाधित किए पहले सर्वर को पैच कर सकते हैं, क्योंकि कम्पैटिबिलिटी मोड एक संक्रमण अवधि की अनुमति देता है। सर्वर पर सख्त अस्वीकृति को लागू करना अंतिम चरण होना चाहिए, जब सभी NAS उपकरण अपडेट हो चुके हों।

Q2. एक कॉन्फ्रेंस सेंटर ऑपरेटर कॉर्पोरेट स्टाफ SSID (PEAP-MSCHAPv2 के साथ 802.1X) और इवेंट गेस्ट WiFi (MAC Authentication Bypass के साथ कैप्टिव पोर्टल) दोनों का समर्थन करने वाला एक एकल RADIUS सर्वर चलाता है। IT मैनेजर पूछता है कि क्या गेस्ट WiFi RADIUS इंस्टेंस को कॉर्पोरेट RADIUS इंस्टेंस के समान मानक पर सुरक्षित करने की आवश्यकता है, यह देखते हुए कि मेहमान कॉर्पोरेट क्रेडेंशियल के साथ प्रमाणित नहीं हो रहे हैं। आपकी क्या सिफारिश है?

संकेत: MAC Authentication Bypass बनाम EAP-आधारित प्रमाणीकरण पर लागू होने वाले अटैक वेक्टर्स और गेस्ट तथा कॉर्पोरेट RADIUS इंस्टेंस के बीच लेटरल मूवमेंट के जोखिम पर विचार करें।

मॉडल उत्तर देखें

गेस्ट WiFi RADIUS इंस्टेंस को सुरक्षित (hardening) करने की आवश्यकता है, लेकिन विशिष्ट नियंत्रण कॉर्पोरेट इंस्टेंस से भिन्न होते हैं। BlastRADIUS पैच समान रूप से लागू होता है - यह भेद्यता RADIUS सर्वर को प्रभावित करती है, चाहे क्लाइंट द्वारा उपयोग की जाने वाली प्रमाणीकरण विधि कुछ भी हो। साझा गुप्त स्वच्छता (Shared secret hygiene) भी समान रूप से लागू होती है - गेस्ट Captive Portal कंट्रोलर और RADIUS सर्वर के बीच एक कमजोर साझा गुप्त का फायदा उठाया जा सकता है, चाहे EAP उपयोग में हो या न हो। मुख्य अतिरिक्त जोखिम साझा RADIUS सर्वर है: यदि गेस्ट और कॉर्पोरेट SSID प्रमाणीकरण अनुरोधों को एक ही RADIUS सर्वर प्रक्रिया द्वारा नियंत्रित किया जाता है, तो गेस्ट RADIUS पाथ में भेद्यता का उपयोग कॉर्पोरेट प्रमाणीकरण नीति पर जाने के लिए किया जा सकता है। अनुशंसित आर्किटेक्चर गेस्ट और कॉर्पोरेट प्रमाणीकरण के लिए अलग-अलग RADIUS इंस्टेंस (या FreeRADIUS के भीतर न्यूनतम अलग वर्चुअल सर्वर) चलाना है, जिसमें अलग-अलग साझा गुप्त और अलग नीति सेट हों। यह अलगाव प्रदान करता है ताकि गेस्ट RADIUS पाथ से समझौता कॉर्पोरेट क्रेडेंशियल्स को उजागर न करे। विशेष रूप से गेस्ट इंस्टेंस के लिए: BlastRADIUS के लिए पैच करें, साझा गुप्त को रोटेट करें, और सुनिश्चित करें कि गेस्ट RADIUS इंस्टेंस के पास कॉर्पोरेट Active Directory तक कोई पहुंच न हो। EAP-TLS और RadSec आवश्यकताएं Captive Portal परिनियोजन के लिए कम प्रासंगिक हैं, लेकिन फिर भी RadSec पर विचार किया जाना चाहिए यदि Captive Portal कंट्रोलर RADIUS सर्वर से एक अलग नेटवर्क सेगमेंट में है।

Q3. एक स्वास्थ्य सेवा ट्रस्ट अपने क्लिनिकल WiFi को WPA2-Personal से 802.1X प्रमाणीकरण में स्थानांतरित करने की योजना बना रहा है। ट्रस्ट के पास 1,200 क्लिनिकल डिवाइस हैं जिनमें Windows लैपटॉप, iOS टैबलेट और Android हैंडहेल्ड शामिल हैं। CISO लक्षित स्थिति के रूप में EAP-TLS चाहता है। IT निदेशक PKI परिनियोजन जटिलता के बारे में चिंतित है और एक स्थायी समाधान के रूप में PEAP-MSCHAPv2 का प्रस्ताव करता है। आप CISO और IT निदेशक को क्या सलाह देते हैं, और अनुशंसित कार्यान्वयन पाथ क्या है?

संकेत: स्वास्थ्य सेवा वातावरण के लिए विशिष्ट खतरे के मॉडल पर विचार करें - क्रेडेंशियल से समझौते के क्या परिणाम होंगे, और EAP-TLS उन जोखिमों को कैसे संबोधित करता है जिन्हें PEAP-MSCHAPv2 हल नहीं कर पाता?

मॉडल उत्तर देखें

CISO की वृत्ति सही है, लेकिन IT निदेशक की चिंता भी मान्य है। अनुशंसित सलाह है: एक अंतरिम स्थिति के रूप में अभी PEAP-MSCHAPv2 लागू करें, जिसमें EAP-TLS के लिए 12 महीने का प्रतिबद्ध रोडमैप हो। स्वास्थ्य सेवा में स्थायी समाधान के रूप में PEAP-MSCHAPv2 को स्वीकार न करने का तर्क है: (1) यदि क्लाइंट-साइड प्रमाणपत्र सत्यापन लागू नहीं किया जाता है, तो PEAP-MSCHAPv2 दुष्ट RADIUS सर्वर हमलों के प्रति संवेदनशील है। एक स्वास्थ्य सेवा वातावरण में जहां क्लिनिकल कर्मचारी व्यक्तिगत उपकरणों को जोड़ सकते हैं, 1,200 उपकरणों में लगातार सप्लीकेंट कॉन्फ़िगरेशन लागू करना परिचालन रूप से चुनौतीपूर्ण है। (2) MSCHAPv2 क्रेडेंशियल्स को, यदि किसी दुष्ट RADIUS हमले के माध्यम से कैप्चर किया जाता है, तो hashcat जैसे टूल का उपयोग करके ऑफ़लाइन क्रैक किया जा सकता है। स्वास्थ्य सेवा के संदर्भ में, वे क्रेडेंशियल संभवतः क्लिनिकल प्रणालियों तक पहुंच भी प्रदान करते हैं। (3) NHS DSPT और CQC आकलन तेजी से क्लिनिकल नेटवर्क पहुंच के लिए मजबूत प्रमाणीकरण नियंत्रण की अपेक्षा करते हैं। EAP-TLS एक मजबूत ऑडिट साक्ष्य स्थिति प्रदान करता है। कार्यान्वयन पाथ: महीना 1-2: सभी 1,200 उपकरणों पर MDM प्रोफाइल के माध्यम से लागू सर्वर प्रमाणपत्र सत्यापन के साथ PEAP-MSCHAPv2 तैनात करें। महीना 3-6: PKI बुनियादी ढांचे के रूप में Microsoft ADCS तैनात करें। Group Policy ऑटो-नामांकन के माध्यम से Windows उपकरणों को नामांकित करें। महीना 6-9: MDM प्रमाणपत्र प्रोफाइल के माध्यम से iOS और Android उपकरणों को नामांकित करें। महीना 9-12: क्लिनिकल SSID नीति को PEAP से EAP-TLS पर स्थानांतरित करें। बढ़ी हुई निगरानी के साथ, प्रमाणपत्र नामांकन में विफल रहने वाले किसी भी उपकरण के लिए फॉलबैक के रूप में PEAP को बनाए रखें। क्लिनिकल नेटवर्क सुरक्षा आर्किटेक्चर के बारे में अधिक जानकारी के लिए, WiFi in Hospitals guide प्रासंगिक परिनियोजन संदर्भ प्रदान करता है।

इस श्रृंखला में आगे पढ़ें

HPE Aruba के लिए कैप्टिव पोर्टल: इसे Purple गेस्ट WiFi के साथ सेटअप करें

Aruba Central या Virtual Controller के माध्यम से, एक एक्सटर्नल कैप्टिव पोर्टल, RADIUS और एक allowlist का उपयोग करके, Purple के साथ HPE Aruba Instant एक्सेस पॉइंट्स पर एक गेस्ट कैप्टिव पोर्टल सेटअप करना।

गाइड पढ़ें →

Zyxel Nebula और अतिथि WiFi: Purple के साथ कैप्टिव पोर्टल सेटअप

Zyxel Nebula Cloud एक्सेस पॉइंट्स Purple अतिथि WiFi के साथ कैसे काम करते हैं: एक बाहरी कैप्टिव पोर्टल, RADIUS और एक वॉल्ड गार्डन, सटीक कॉन्फ़िगरेशन के लिए Purple के चरण-दर-चरण सेटअप गाइड के लिंक के साथ।

गाइड पढ़ें →

OpenWrt और अतिथि WiFi: Purple के साथ कैप्टिव पोर्टल सेटअप

कैसे Purple का क्लाउड अतिथि WiFi एक मानक बाहरी कैप्टिव पोर्टल और RADIUS के माध्यम से OpenWrt उपकरणों के साथ काम करता है, और समर्थन की जांच कहां करें और चरणों को कहां खोजें।

गाइड पढ़ें →