PEAP-MSCHAPv2: यह अभी भी आम क्यों है, यह जोखिम भरा क्यों है, और इससे आगे कैसे बढ़ें

एक व्यापक तकनीकी संदर्भ गाइड जो PEAP-MSCHAPv2 की महत्वपूर्ण सुरक्षा कमजोरियों का विवरण देती है, जिसमें evil twin हमले और क्रेडेंशियल कैप्चर शामिल हैं। यह IT टीमों के लिए एंटरप्राइज़ WiFi नेटवर्क को सुरक्षित, प्रमाणपत्र-आधारित EAP-TLS प्रमाणीकरण पर माइग्रेट करने के लिए एक व्यावहारिक, विक्रेता-तटस्थ रोडमैप प्रदान करता है।

📖 5 मिनट का पाठ📝 1,170 शब्द🔧 2 हल किए गए उदाहरण❓ 3 अभ्यास प्रश्न📚 8 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें

नमस्कार, और इस Purple तकनीकी ब्रीफिंग में स्वागत है। मैं आपका होस्ट हूँ, और आज हम एक ऐसे विषय पर बात कर रहे हैं जो नेटवर्क आर्किटेक्चर, सुरक्षा अनुपालन और स्पष्ट रूप से कहें तो, पुराने तकनीकी ऋण के चौराहे पर स्थित है। हम PEAP-MSCHAPv2 के बारे में बात कर रहे हैं।

विशेष रूप से, हम यह देख रहे हैं कि यह अभी भी एंटरप्राइज़ WiFi में सबसे आम प्रमाणीकरण विधि क्यों है, आज के खतरे के परिदृश्य में यह मौलिक रूप से जोखिम भरा क्यों है, और सबसे महत्वपूर्ण बात यह है कि आप व्यावहारिक रूप से अपने संगठन को किसी बेहतर चीज़ पर कैसे ले जा सकते हैं।

आइए संदर्भ से शुरू करें। यदि आप किसी होटल, रिटेल श्रृंखला, या बड़े सार्वजनिक स्थल पर IT निदेशक या नेटवर्क आर्केटेक्ट हैं, तो इस बात की बहुत अधिक संभावना है कि आपका स्टाफ WiFi नेटवर्क—और शायद आपके कॉर्पोरेट डिवाइस—PEAP-MSCHAPv2 का उपयोग करके प्रमाणित हो रहे हैं। यह लगभग दो दशकों से WPA2-Enterprise नेटवर्क के लिए डिफ़ॉल्ट मानक रहा है। क्यों? क्योंकि इसे तैनात करना अविश्वसनीय रूप से आसान है। यह सीधे RADIUS सर्वर के माध्यम से Active Directory से जुड़ता, और उपयोगकर्ता बस अपना मानक Windows उपयोगकर्ता नाम और पासवर्ड टाइप करते हैं। प्रबंधित करने के लिए कोई प्रमाणपत्र नहीं, बनाने के लिए कोई जटिल पब्लिक की इन्फ्रास्ट्रक्चर नहीं। यह बस काम करता है।

लेकिन "बस काम करना" अब पर्याप्त नहीं है। PEAP-MSCHAPv2 को रेखांकित करने वाला सुरक्षा ढांचा, सीधे शब्दों में कहें तो, टूट चुका है।

आइए तकनीकी वास्तविकता में गोता लगाएँ। MSCHAPv2 MD4 हैशिंग एल्गोरिदम और DES एन्क्रिप्शन पर निर्भर करता है। ये दोनों क्रिप्टोग्राफ़िक मानक 1990 के दशक में डिज़ाइन किए गए थे और एक दशक से अधिक समय से कमजोर माने जा रहे हैं। 2012 में, DEF CON सुरक्षा सम्मेलन में, शोधकर्ता Moxie Marlinspike ने प्रदर्शित किया कि MSCHAPv2 हैंडशेक को निश्चित रूप से क्रैक किया जा सकता है। उन्होंने एक उपकरण जारी किया जिसने क्रैकिंग प्रक्रिया को एकल DES कुंजी क्रैक में कम कर दिया, जिसका अर्थ है कि मामूली कंप्यूटिंग शक्ति—या क्लाउड क्रैकिंग सेवा तक पहुंच—वाला हमलावर कुछ ही घंटों में, यदि मिनटों में नहीं, तो कैप्चर किए गए हैंडशेक से उपयोगकर्ता का प्लेनटेक्स्ट Active Directory पासवर्ड पुनर्प्राप्त कर सकता है।

तो, एक हमलावर वास्तव में वास्तविक दुनिया में उस हैंडशेक को कैसे कैप्चर करता है? यह हमें "Evil Twin" हमले पर लाता है।

एक कॉर्पोरेट कार्यालय या होटल के बैक-ऑफ-हाउस क्षेत्र की कल्पना करें। एक हमलावर एक रॉग एक्सेस पॉइंट के साथ अंदर आता है—अक्सर उनके बैकपैक में WiFi Pineapple जितना छोटा कुछ। वे इस रॉग AP को आपके कॉर्पोरेट नेटवर्क के समान SSID, मान लें, "Staff-WiFi" प्रसारित करने के लिए कॉन्फ़िगर करते हैं। वे सिग्नल की ताकत को बढ़ाते हैं ताकि आस-पास के डिवाइस स्वाभाविक रूप से आपके वैध एक्सेस पॉइंट के बजाय इसे पसंद करें।

जब किसी कर्मचारी का लैपटॉप या फोन कनेक्ट करने का प्रयास करता है, तो रॉग AP प्रमाणीकरणकर्ता के रूप में कार्य करता है और हमलावर द्वारा नियंत्रित एक नकली RADIUS सर्वर की ओर इशारा करता है। कर्मचारी का डिवाइस PEAP टनल शुरू करता है। अब, यहाँ महत्वपूर्ण विफलता बिंदु है: PEAP क्लाइंट डिवाइस पर सर्वर के डिजिटल प्रमाणपत्र को सत्यापित करने पर निर्भर करता है ताकि यह सुनिश्चित हो सके कि यह वास्तविक कॉर्पोरेट RADIUS सर्वर से बात कर रहा है। हालांकि, अधिकांश तैनाती में, क्लाइंट डिवाइस या तो गलत तरीके से कॉन्फ़िगर किए गए हैं, या उपयोगकर्ताओं को केवल एक पॉप-अप के साथ संकेत दिया जाता है जिसमें लिखा होता है "क्या आप इस प्रमाणपत्र पर भरोसा करते हैं?" और वे ऑनलाइन होने के लिए बस "हाँ" पर क्लिक कर देते हैं।

एक बार जब वह नकली प्रमाणपत्र स्वीकार कर लिया जाता है, तो डिवाइस टनल के माध्यम से MSCHAPv2 चैलेंज-रिस्पॉन्स भेजता है। हमलावर इसे कैप्चर करता है, चला जाता है, और हैश को ऑफ़लाइन क्रैक करता है। अब उनके पास वैध Active Directory क्रेडेंशियल हैं, जिनका उपयोग वे आपके VPN, आपके ईमेल सिस्टम, या किसी अन्य कॉर्पोरेट सेवा में लॉग इन करने के लिए कर सकते हैं।

यह कोई सैद्धांतिक जोखिम नहीं है। यह पेनेट्रेशन टेस्टर्स और दुर्भावनापूर्ण अभिनेताओं दोनों के लिए एक मानक परिचालन प्रक्रिया है। और यदि आप PCI DSS या GDPR जैसे अनुपालन ढांचे के अधीन हैं, तो समझौता किए गए प्रमाणीकरण प्रोटोकॉल पर भरोसा करना एक महत्वपूर्ण दायित्व है।

तो, अगर जोखिम इतने अधिक हैं, तो हम सभी आगे क्यों नहीं बढ़े?

इसका उत्तर आमतौर पर कथित जटिलता और पुराने हार्डवेयर का मिश्रण होता है। PEAP से दूर जाने का अर्थ है प्रमाणपत्र-आधारित प्रमाणीकरण, विशेष रूप से EAP-TLS की ओर बढ़ना। EAP-TLS स्वर्ण मानक है। इसके लिए सर्वर और क्लाइंट डिवाइस दोनों को एक वैध डिजिटल प्रमाणपत्र प्रस्तुत करने की आवश्यकता होती है। कोई पासवर्ड प्रसारित, हैश या अन्यथा नहीं किया जाता है। यह ऑफ़लाइन डिक्शनरी हमलों से पूरी तरह सुरक्षित है और Evil Twin हमलों के प्रति अत्यधिक प्रतिरोधी है क्योंकि क्लाइंट किसी भी नकली RADIUS सर्वर को चुपचाप अस्वीकार कर देगा जिसके पास आपके विश्वसनीय प्रमाणपत्र प्राधिकरण द्वारा हस्ताक्षरित प्रमाणपत्र नहीं है।

लेकिन EAP-TLS को तैनात करने का मतलब है कि आपको एक पब्लिक की इन्फ्रास्ट्रक्चर, या PKI की आवश्यकता है। आपको प्रमाणपत्र उत्पन्न करने और उन्हें अपने बेड़े के प्रत्येक लैपटॉप, फोन और टैबलेट पर सुरक्षित रूप से वितरित करने का एक तरीका चाहिए। पांच साल पहले, Microsoft Active Directory Certificate Services बुनियादी ढांचा बनाना एक कठिन, महंगा प्रोजेक्ट था।

आज, हालांकि, परिदृश्य बदल गया है। कार्यान्वयन का मार्ग बहुत स्पष्ट है।

यदि आप माइग्रेशन की योजना बना रहे हैं, तो यहाँ व्यावहारिक दृष्टिकोण दिया गया है जिसकी हम Purple में अपने ग्राहकों को सलाह देते हैं।

सबसे पहले, आपको हार्ड कटओवर करने की आवश्यकता नहीं है। आधुनिक RADIUS सर्वर—चाहे वह Cisco ISE हो, Aruba ClearPass हो, या क्लाउड-नेटिव समाधान हों—आपको एक ही SSID पर एक साथ PEAP-MSCHAPv2 और EAP-TLS चलाने की अनुमति देते हैं।

चरण एक आपके PKI को तैनात करना है। अब आपको इसे ऑन-प्रिमाइसेस बनाने की आवश्यकता नहीं है। क्लाउड PKI समाधान सीधे आपके पहचान प्रदाता—जैसे Entra ID या Google Workspace—और आपके मोबाइल डिवाइस प्रबंधन प्लेटफार्मों जैसे Intune या Jamf के साथ एकीकृत होते हैं।

चरण दो आपके प्रबंधित उपकरणों पर चुपचाप क्लाइंट प्रमाणपत्र पुश करने के लिए आपके MDM का उपयोग करना है। आप EAP-TLS को प्राथमिकता देने के लिए MDM के माध्यम से WiFi प्रोफ़ाइल को कॉन्फ़िगर कर सकते हैं। इसका मतलब है कि आपके कॉर्पोरेट लैपटॉप बिना किसी उपयोगकर्ता बातचीत के स्वचालित रूप से सुरक्षित, प्रमाणपत्र-आधारित विधि पर स्विच हो जाएंगे।

चरण तीन संक्रमण चरण है। आप अपने RADIUS लॉग की निगरानी करते हैं। आप देखेंगे कि आपके प्रबंधित डिवाइस EAP-TLS के माध्यम से प्रमाणित हो रहे हैं, जबकि अप्रबंधित या पुराने डिवाइस PEAP का उपयोग करना जारी रखते हैं।

यह हमें आम नुकसान पर लाता है: पुराने डिवाइस। आप अपने गोदाम में दस साल पुराने बारकोड स्कैनर, या पुराने पॉइंट-ऑफ-सेल टर्मिनलों के साथ क्या करते हैं जो केवल EAP-TLS का समर्थन नहीं करते हैं?

समाधान विभाजन है। आपको सबसे कम सामान्य भाजक को समायोजित करने के लिए अपने प्राथमिक स्टाफ नेटवर्क की सुरक्षा को कभी कम नहीं करना चाहिए। इसके बजाय, उन पुराने उपकरणों को एक समर्पित VLAN पर अलग करें। आप MAC-आधारित प्रमाणीकरण का उपयोग सख्त नेटवर्क एक्सेस नियंत्रणों के साथ कर सकते हैं, यह सुनिश्चित करते हुए कि वे डिवाइस केवल उन विशिष्ट आंतरिक सर्वरों से बात कर सकें जिनकी उन्हें आवश्यकता है, और बिल्कुल कुछ नहीं।

एक बार जब आपका प्रबंधित बेड़ा पूरी तरह से EAP-TLS पर माइग्रेट हो जाता, तो आप अंततः अपने मुख्य कॉर्पोरेट SSID पर PEAP-MSCHAPv2 को अक्षम कर सकते हैं, जिससे भेद्यता विंडो हमेशा के लिए बंद हो जाएगी।

आइए IT निदेशकों से मिलने वाले सबसे आम सवालों के आधार पर एक त्वरित रैपिड-फायर Q&A करें।

प्रश्न एक: "क्या WPA3 PEAP-MSCHAPv2 समस्या को ठीक करता है?"
उत्तर: नहीं। WPA3 हवा में एन्क्रिप्शन में सुधार करता है, लेकिन अंतर्निहित EAP प्रमाणीकरण विधि वही रहती है। यदि आप PEAP-MSCHAPv2 के साथ WPA3-Enterprise का उपयोग करते हैं, तो यदि क्लाइंट सर्वर प्रमाणपत्र को कड़ाई से सत्यापित नहीं करता है, तो आप अभी भी एक Evil Twin के माध्यम से क्रेडेंशियल कैप्चर के प्रति संवेदनशील हैं।

प्रश्न दो: "EAP-TTLS के बारे में क्या?"
उत्तर: EAP-TTLS PEAP से बेहतर है क्योंकि यह प्रमाणीकरण को टनल करता है, अक्सर MSCHAPv2 के बजाय PAP का उपयोग करता है, जो MSCHAPv2 की विशिष्ट क्रिप्टोग्राफ़िक कमजोरियों से बचाता है। हालांकि, यह अभी भी पासवर्ड पर निर्भर करता है और यदि सर्वर प्रमाणपत्र सत्यापित नहीं है तो यह अभी भी संवेदनशील है। यह एक कदम है, लेकिन EAP-TLS अंतिम लक्ष्य होना चाहिए।

प्रश्न तीन: "यह हमारे Purple अतिथि WiFi को कैसे प्रभावित करता है?"
उत्तर: यह सीधे तौर पर प्रभावित नहीं करता है। अतिथि WiFi आमतौर पर कैप्टिव पोर्टल या WPA2/3-Personal वाले खुले नेटवर्क का उपयोग करता है, जो आपके 802.1X एंटरप्राइज़ प्रमाणीकरण से अलग हैं। हालांकि, आपके बैक-ऑफ-हाउस नेटवर्क को सुरक्षित करना उस बुनियादी ढांचे की सुरक्षा के लिए महत्वपूर्ण है जो आपके अतिथि सेवाओं और एनालिटिक्स प्लेटफॉर्म सहित आपके सभी स्थल संचालन का समर्थन करता है।

संक्षेप में कहें तो: PEAP-MSCHAPv2 ने हमारी अच्छी सेवा की है, लेकिन इसका समय बीत चुका है। क्रिप्टोग्राफ़िक दोष सार्वजनिक हैं, और हमले के उपकरण स्वचालित हैं। EAP-TLS पर माइग्रेशन अब कोई बहुत कठिन प्रोजेक्ट नहीं है; यह एक मानक, प्राप्त करने योग्य अपग्रेड है, जिसे आधुनिक MDM और क्लाउड PKI समाधानों द्वारा काफी आसान बना दिया गया है।

कुछ न करने का जोखिम—एक समझौता किया गया Active Directory पासवर्ड जो व्यापक नेटवर्क उल्लंघन की ओर ले जाता है—माइग्रेशन के परिचालन प्रयास से कहीं अधिक है। आज ही अपने RADIUS लॉग के ऑडिट से शुरुआत करें, अपने पुराने उपकरणों की पहचान करें, और प्रमाणपत्र-आधारित प्रमाणीकरण पर अपने संक्रमण का खाका तैयार करना शुरू करें।

इस Purple तकनीकी ब्रीफिंग को सुनने के लिए धन्यवाद। अधिक विस्तृत तैनाती गाइड और आर्किटेक्चर आरेखों के लिए, इस पॉडकास्ट के साथ आने वाली पूरी तकनीकी संदर्भ गाइड को पढ़ना सुनिश्चित करें।

मुख्य निष्कर्ष

✓PEAP-MSCHAPv2 अप्रचलित क्रिप्टोग्राफी (MD4 और DES) पर निर्भर करता है जिसे ऑफ़लाइन आसानी से क्रैक किया जा सकता है।
✓यदि एंडपॉइंट डिवाइस RADIUS सर्वर प्रमाणपत्र को कड़ाई से सत्यापित नहीं करते हैं तो प्रोटोकॉल 'Evil Twin' हमलों के प्रति अत्यधिक संवेदनशील है।
✓आधुनिक Windows अपडेट (Credential Guard) हैश चोरी को रोकने के लिए सक्रिय रूप से MSCHAPv2 प्रमाणीकरण को तोड़ रहे हैं।
✓EAP-TLS निश्चित प्रतिस्थापन है, जो डिजिटल प्रमाणपत्रों के माध्यम से पारस्परिक प्रमाणीकरण और ऑफ़लाइन क्रैकिंग से सुरक्षा प्रदान करता है।
✓क्लाउड PKI और आधुनिक MDM प्लेटफार्मों ने EAP-TLS को तैनात करने की जटिलता और लागत को काफी कम कर दिया है।
✓EAP-TLS के साथ असंगत पुराने उपकरणों को प्राथमिक नेटवर्क सुरक्षा को कम करने के बजाय समर्पित, प्रतिबंधित VLAN पर विभाजित किया जाना चाहिए।

कार्यकारी सारांश

अच्छी तरह से प्रलेखित क्रिप्टोग्राफ़िक कमजोरियों के बावजूद, हॉस्पिटैलिटी, रिटेल और सार्वजनिक क्षेत्रों में एंटरप्राइज़ WiFi प्रमाणीकरण के लिए PEAP-MSCHAPv2 सबसे व्यापक रूप से तैनात EAP तरीका बना हुआ है। इसका निरंतर प्रचलन सुरक्षा प्रभावशीलता के बजाय तैनाती में आसानी—विशेष रूप से Active Directory के साथ इसके मूल एकीकरण—से प्रेरित है। हालांकि, जोखिम प्रोफ़ाइल नाटकीय रूप से बदल गई है। स्वचालित शोषण उपकरणों ने "evil twin" हमले को आसान बना दिया है, जिससे हमलावर मामूली प्रयास के साथ MSCHAPv2 चैलेंज-रिस्पॉन्स हैश को कैप्चर और क्रैक कर सकते हैं, जिससे सीधे तौर पर Active Directory क्रेडेंशियल से समझौता हो जाता है।

IT निदेशकों और नेटवर्क आर्किटेक्ट्स के लिए, जनादेश स्पष्ट है: PCI DSS या GDPR जैसे अनुपालन ढांचे के अधीन किसी भी वातावरण में PEAP-MSCHAPv2 अब उद्देश्य के लिए उपयुक्त नहीं है। यह गाइड PEAP-MSCHAPv2 को लक्षित करने वाले विशिष्ट हमला वेक्टरों का एक महत्वपूर्ण विश्लेषण प्रदान करता है और EAP-TLS के लिए एक व्यावहारिक, चरणबद्ध माइग्रेशन पथ की रूपरेखा तैयार करता है। आधुनिक मोबाइल डिवाइस प्रबंधन (MDM) और क्लाउड पब्लिक की इन्फ्रास्ट्रक्चर (PKI) समाधानों का लाभ उठाकर, संगठन व्यावसायिक संचालन को बाधित किए बिना या पुराने उपकरणों को प्रभावित किए बिना मजबूत, प्रमाणपत्र-आधारित प्रमाणीकरण पर संक्रमण कर सकते हैं।

तकनीकी गहन विश्लेषण: भेद्यता की शारीरिक रचना

यह समझने के लिए कि PEAP-MSCHAPv2 को क्यों हटा दिया जाना चाहिए, किसी को इसकी अंतर्निहित क्रिप्टोग्राफ़िक वास्तुकला की जांच करनी होगी। MSCHAPv2 (Microsoft Challenge Handshake Authentication Protocol संस्करण 2) को 1990 के दशक के अंत में डिज़ाइन किया गया था और यह MD4 हैशिंग एल्गोरिदम और डेटा एन्क्रिप्शन स्टैंडर्ड (DES) [1] पर निर्भर करता है। आधुनिक क्रिप्टोग्राफ़िक मानकों द्वारा दोनों को अप्रचलित माना जाता है।

क्रिप्टोग्राफ़िक दोष

मौलिक कमजोरी इस बात में निहित है कि MSCHAPv2 उपयोगकर्ता के पासवर्ड के NT हैश को कैसे संभालता है। प्रोटोकॉल NT हैश से प्राप्त 21-बाइट की कुंजी को तीन 7-बाइट DES कुंजियों में विभाजित करता है। महत्वपूर्ण रूप से, तीसरी कुंजी केवल हैश के दो महत्वपूर्ण बाइट्स का उपयोग करती है, बाकी को शून्य बाइट्स के साथ पैड करती है। यह संरचनात्मक दोष क्रिप्टोग्राफ़िक जटिलता को तेजी से कम करता है।

2012 में, सुरक्षा शोधकर्ता Moxie Marlinspike ने प्रदर्शित किया कि समस्या को एकल DES कुंजी क्रैक [2] में कम करके MSCHAPv2 हैंडशेक को निश्चित रूप से क्रैक किया जा सकता है। क्लाउड-आधारित क्रैकिंग सेवाओं या hashcat जैसे टूल चलाने वाले आधुनिक GPU रिग्स का उपयोग करके, एक हमलावर पासवर्ड की जटिलता की परवाह किए बिना, कुछ ही घंटों में कैप्चर किए गए हैंडशेक से प्लेनटेक्स्ट Active Directory पासवर्ड पुनर्प्राप्त कर सकता है।

Evil Twin हमला वेक्टर

क्रिप्टोग्राफ़िक कमजोरी का फायदा वास्तविक दुनिया में "evil twin" हमले के माध्यम से उठाया जाता है। एक कॉर्पोरेट कार्यालय या हॉस्पिटैलिटी स्थल पर एक विशिष्ट परिदृश्य में:

रॉग AP तैनाती: हमलावर लक्षित कॉर्पोरेट SSID (जैसे, "Staff-WiFi") को प्रसारित करने वाला एक रॉग एक्सेस पॉइंट तैनात करता है।
सिग्नल प्रभुत्व: रॉग AP उच्च ट्रांसमिट पावर पर काम करता है, जिससे आस-पास के क्लाइंट डिवाइस वैध बुनियादी ढांचे के बजाय इसके साथ जुड़ने के लिए मजबूर होते हैं।
नकली RADIUS प्रमाणीकरण: जब क्लाइंट PEAP टनल शुरू करता है, तो रॉग AP अनुरोध को हमलावर-नियंत्रित RADIUS सर्वर (जैसे hostapd-wpe) पर प्रॉक्सी करता है।
प्रमाणपत्र सत्यापन विफलता: रॉग RADIUS सर्वर एक स्व-हस्ताक्षरित या असत्यापित डिजिटल प्रमाणपत्र प्रस्तुत करता है। यदि क्लाइंट डिवाइस को सख्त सर्वर प्रमाणपत्र सत्यापन को बायपास करने के लिए गलत तरीके से कॉन्फ़िगर किया गया है—या यदि उपयोगकर्ता केवल ट्रस्ट प्रॉम्प्ट पर "स्वीकार करें" पर क्लिक करता है—तो टनल स्थापित हो जाती है।
क्रेडेंशियल कैप्चर: क्लाइंट समझौता किए गए टनल के माध्यम से MSCHAPv2 चैलेंज-रिस्पॉन्स प्रसारित करता है। हमलावर हैश को कैप्चर करता है और कनेक्शन समाप्त कर देता है।

एंडपॉइंट स्तर पर लागू सख्त सर्वर प्रमाणपत्र सत्यापन के बिना, PEAP-MSCHAPv2 का उपयोग करने वाला प्रत्येक डिवाइस इस क्रेडेंशियल कैप्चर तकनीक के प्रति संवेदनशील है। यह विशेष रूप से रिटेल वातावरण के लिए चिंताजनक है जहां बैक-ऑफ-हाउस नेटवर्क अक्सर सार्वजनिक स्थानों के साथ भौतिक निकटता साझा करते हैं।

कार्यान्वयन गाइड: EAP-TLS पर माइग्रेट करना

MSCHAPv2 कमजोरियों के लिए निश्चित समाधान EAP-TLS (एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल-ट्रांसपोर्ट लेयर सिक्योरिटी) पर माइग्रेट करना है। EAP-TLS पारस्परिक प्रमाणीकरण को अनिवार्य बनाता है: RADIUS सर्वर और क्लाइंट डिवाइस दोनों को वैध डिजिटल प्रमाणपत्र प्रस्तुत करने होंगे। चूंकि हैंडशेक के दौरान कोई पासवर्ड प्रसारित या हैश नहीं किया जाता है, इसलिए EAP-TLS ऑफ़लाइन डिक्शनरी हमलों से पूरी तरह सुरक्षित है और evil twin स्पूफिंग के प्रति अत्यधिक प्रतिरोधी है।

ऐतिहासिक रूप से, EAP-TLS को अपनाने में बाधा ऑन-प्रिमाइसेस पब्लिक की इन्फ्रास्ट्रक्चर (PKI) को तैनात करने की जटिलता थी। आज, क्लाउड PKI और आधुनिक MDM एकीकरण ने इस प्रक्रिया को सुव्यवस्थित कर दिया है।

चरण 1: ऑडिट और इन्वेंटरी

प्रमाणीकरण नीतियों को बदलने से पहले, अपने वर्तमान RADIUS लॉग (जैसे, Cisco ISE, Aruba ClearPass, या Windows NPS) का एक व्यापक ऑडिट करें। वर्तमान में PEAP के माध्यम से प्रमाणित होने वाले सभी उपकरणों की पहचान करें। इन उपकरणों को दो समूहों में वर्गीकृत करें:

प्रबंधित डिवाइस: कॉर्पोरेट लैपटॉप, टैबलेट और स्मार्टफोन जो MDM प्लेटफॉर्म (जैसे, Intune, Jamf) में नामांकित हैं।
अप्रबंधित/पुराने डिवाइस: IoT सेंसर, पुराने पॉइंट-ऑफ-सेल टर्मिनल, बारकोड स्कैनर, या BYOD डिवाइस जो प्रमाणपत्र नामांकन का समर्थन नहीं कर सकते हैं।

चरण 2: PKI तैनाती और RADIUS कॉन्फ़िगरेशन

क्लाइंट और सर्वर प्रमाणपत्र जारी करने के लिए एक PKI समाधान तैनात करें। क्लाउड-नेटिव PKI प्लेटफॉर्म सीधे Entra ID या Google Workspace के साथ एकीकृत हो सकते हैं, जिससे भारी ऑन-प्रिमाइसेस Microsoft AD CS फ़ुटप्रिंट की आवश्यकता समाप्त हो जाती है। EAP-TLS प्रमाणीकरण स्वीकार करने के लिए अपने RADIUS सर्वर को कॉन्फ़िगर करें। महत्वपूर्ण रूप से, संक्रमण अवधि के दौरान एक ही SSID पर एक साथ PEAP और EAP-TLS दोनों का समर्थन करने के लिए नेटवर्क नीति को कॉन्फ़िगर करें।

चरण 3: MDM के माध्यम से प्रमाणपत्र वितरण

SCEP (सिंपल सर्टिफिकेट एनरोलमेंट प्रोटोकॉल) जैसे प्रोटोकॉल का उपयोग करके प्रबंधित उपकरणों में क्लाइंट प्रमाणपत्रों को चुपचाप वितरित करने के लिए अपने MDM प्लेटफॉर्म का लाभ उठाएं। इसके साथ ही, MDM के माध्यम से एक अपडेटेड WiFi प्रोफ़ाइल पेलोड पुश करें जो उपकरणों को कॉर्पोरेट SSID के लिए EAP-TLS को प्राथमिकता देने का निर्देश देता है। यह अंतिम उपयोगकर्ताओं के लिए शून्य-स्पर्श संक्रमण सुनिश्चित करता है।

चरण 4: पुराने उपकरणों को संभालना

पुराने डिवाइस जो EAP-TLS का समर्थन नहीं कर सकते, उन्हें कभी भी प्राथमिक कॉर्पोरेट नेटवर्क की सुरक्षा स्थिति को तय नहीं करना चाहिए। इसके बजाय, इन उपकरणों को एक समर्पित VLAN पर विभाजित करें। यह सुनिश्चित करने के लिए कि ये डिवाइस केवल अपने कार्य के लिए आवश्यक विशिष्ट आंतरिक सर्वरों के साथ संचार कर सकें, सख्त एक्सेस कंट्रोल लिस्ट (ACL) के साथ संयुक्त MAC-आधारित प्रमाणीकरण बाईपास (MAB) लागू करें।

सर्वोत्तम अभ्यास और अनुपालन

एक सुरक्षित एंटरप्राइज़ वायरलेस वातावरण बनाए रखने के लिए उद्योग मानकों का निरंतर पालन आवश्यक है।

सर्वर प्रमाणपत्र सत्यापन लागू करें: यदि आपको अस्थायी रूप से PEAP-MSCHAPv2 बनाए रखना है, तो सभी एंडपॉइंट्स पर सख्त सर्वर प्रमाणपत्र पिनिंग लागू करने के लिए MDM का उपयोग करें। उपयोगकर्ताओं को अज्ञात प्रमाणपत्रों पर मैन्युअल रूप से भरोसा करने से रोकें।
WPA2-Personal को हटा दें: सुनिश्चित करें कि सभी कॉर्पोरेट पहुंच 802.1X (WPA2/WPA3-Enterprise) पर निर्भर करती है। प्री-शेयर्ड कीज़ (PSK) को कड़ाई से पृथक IoT नेटवर्क तक सीमित किया जाना चाहिए।
PCI DSS के साथ संरेखित करें: भुगतान संसाधित करने वाले स्थलों के लिए, PCI DSS आवश्यकता 4 वायरलेस नेटवर्क पर कार्डधारक डेटा प्रसारित करने के लिए मजबूत क्रिप्टोग्राफी को अनिवार्य बनाती है। PCI सुरक्षा मानक परिषद स्पष्ट रूप से मजबूत प्रमाणीकरण के लिए EAP-TLS की सिफारिश करती है [3]।
एनालिटिक्स की निगरानी करें: नेटवर्क स्वास्थ्य की निगरानी करने, असामान्य कनेक्शन पैटर्न की पहचान करने और यह सुनिश्चित करने के लिए कि पुराने डिवाइस प्रतिबंधित सबनेट तक पहुंचने का प्रयास नहीं कर रहे हैं, Purple के WiFi Analytics जैसे प्लेटफॉर्म का उपयोग करें।

ROI और व्यावसायिक प्रभाव

EAP-TLS पर माइग्रेट करने के लिए निवेश पर रिटर्न (ROI) मुख्य रूप से जोखिम शमन में मापा जाता है। PEAP-MSCHAPv2 के खिलाफ एक सफल evil twin हमला वैध Active Directory क्रेडेंशियल प्रदान करता है, जिससे हमलावरों को कॉर्पोरेट नेटवर्क तक प्रारंभिक पहुंच मिलती है। इसके परिणामस्वरूप होने वाले डेटा उल्लंघन, रैंसमवेयर तैनाती, या नियामक जुर्माने (जैसे GDPR के तहत) का वित्तीय प्रभाव क्लाउड PKI को तैनात करने और MDM प्रोफाइल को अपडेट करने की परिचालन लागत से कहीं अधिक है।

इसके अलावा, प्रमाणपत्र-आधारित प्रमाणीकरण पासवर्ड की समाप्ति और लॉकआउट से संबंधित हेल्पडेस्क टिकटों की संख्या को काफी कम कर देता है। EAP-TLS पर जाकर, IT टीमें पासवर्ड-आधारित WiFi पहुंच की बाधा को समाप्त करती हैं, जिससे एक सहज, सुरक्षित कनेक्टिविटी अनुभव मिलता है जो आधुनिक ज़ीरो-ट्रस्ट नेटवर्क आर्किटेक्चर का समर्थन करता है।

संदर्भ

[1] Microsoft Security Response Center. "MS-CHAPv2 प्रमाणीकरण में कमजोरियां।" अगस्त 2012. [2] Marlinspike, Moxie. "MS-CHAPv2 के साथ PPTP VPN और WPA2 Enterprise को हराना।" DEF CON 20, 2012. [3] PCI Security Standards Council. "सूचना पूरक: PCI DSS वायरलेस दिशानिर्देश।"

मुख्य परिभाषाएं

PEAP (Protected Extensible Authentication Protocol)

एक EAP तरीका जो प्रमाणीकरण प्रक्रिया को एक सुरक्षित TLS टनल के भीतर समाहित करता है ताकि आंतरिक प्रमाणीकरण क्रेडेंशियल को हवा में इंटरसेप्ट होने से बचाया जा सके।

व्यापक रूप से उपयोग किया जाता है क्योंकि इसके लिए केवल सर्वर-साइड प्रमाणपत्र की आवश्यकता होती है, जिससे इसे पारस्परिक रूप से प्रमाणित तरीकों की तुलना में तैनात करना आसान हो जाता है।

MSCHAPv2

PEAP टनल के भीतर आमतौर पर उपयोग किया जाने वाला आंतरिक प्रमाणीकरण प्रोटोकॉल, जो उपयोगकर्ता के पासवर्ड के NT हैश का उपयोग करके चैलेंज-रिस्पॉन्स तंत्र पर निर्भर करता है।

पुराने MD4 हैशिंग और DES एन्क्रिप्शन पर अपनी निर्भरता के कारण PEAP तैनाती में भेद्यता का प्राथमिक स्रोत।

EAP-TLS

एक EAP तरीका जिसके लिए पारस्परिक प्रमाणीकरण की आवश्यकता होती है, जहां RADIUS सर्वर और क्लाइंट डिवाइस दोनों अपनी पहचान साबित करने के लिए डिजिटल प्रमाणपत्र प्रस्तुत करते हैं।

एंटरप्राइज़ WiFi सुरक्षा के लिए उद्योग का स्वर्ण मानक, ऑफ़लाइन डिक्शनरी और evil twin हमलों से सुरक्षित।

Evil Twin Attack

एक वायरलेस हमला जहां एक रॉग एक्सेस पॉइंट क्लाइंट उपकरणों को कनेक्ट करने के लिए धोखा देने के लिए एक वैध कॉर्पोरेट SSID की नकल करता है, जिससे हमलावर को ट्रैफ़िक को इंटरसेप्ट करने या प्रमाणीकरण क्रेडेंशियल कैप्चर करने की अनुमति मिलती है।

संवेदनशील PEAP तैनाती से MSCHAPv2 हैंडशेक को कैप्चर करने के लिए हमलावरों द्वारा उपयोग किया जाने वाला प्राथमिक वेक्टर।

RADIUS (Remote Authentication Dial-In User Service)

एक नेटवर्किंग प्रोटोकॉल जो नेटवर्क सेवा से जुड़ने और उपयोग करने वाले उपयोगकर्ताओं के लिए केंद्रीकृत प्रमाणीकरण, प्राधिकरण और लेखांकन (AAA) प्रबंधन प्रदान करता है।

मुख्य सर्वर इन्फ्रास्ट्रक्चर (जैसे Cisco ISE या NPS) जो एक्सेस पॉइंट से 802.1X प्रमाणीकरण अनुरोधों को संसाधित करता है।

PKI (Public Key Infrastructure)

डिजिटल प्रमाणपत्र बनाने, प्रबंधित करने, वितरित करने, उपयोग करने, संग्रहीत करने और निरस्त करने के लिए आवश्यक भूमिकाओं, नीतियों, हार्डवेयर, सॉफ्टवेयर और प्रक्रियाओं का एक सेट।

EAP-TLS को तैनात करने के लिए आवश्यक बुनियादी ढांचा, जो तेजी से क्लाउड-नेटिव SaaS प्लेटफार्मों के माध्यम से वितरित किया जा रहा है।

MDM (Mobile Device Management)

सॉफ्टवेयर जो IT प्रशासकों को स्मार्टफोन, टैबलेट और एंडपॉइंट्स पर नीतियों को नियंत्रित करने, सुरक्षित करने और लागू करने की अनुमति देता है।

EAP-TLS माइग्रेशन के लिए आवश्यक, क्योंकि इसका उपयोग कॉर्पोरेट उपकरणों पर चुपचाप क्लाइंट प्रमाणपत्र और सख्त WiFi प्रोफाइल पुश करने के लिए किया जाता है।

MAB (MAC Authentication Bypass)

एक पोर्ट-आधारित एक्सेस कंट्रोल विधि जो उपयोगकर्ता नाम/पासवर्ड या प्रमाणपत्र की आवश्यकता के बजाय उनके MAC पते के आधार पर उपकरणों को प्रमाणित करती है।

पुराने 'हेडलेस' उपकरणों (जैसे प्रिंटर) को प्रमाणित करने के लिए एक फॉलबैक तंत्र के रूप में उपयोग किया जाता है जो 802.1X प्रोटोकॉल का समर्थन नहीं कर सकते हैं।

हल किए गए उदाहरण

एक 400 कमरों वाली होटल श्रृंखला वर्तमान में अपने बैक-ऑफ-हाउस स्टाफ नेटवर्क के लिए PEAP-MSCHAPv2 का उपयोग कर रही है। IT निदेशक EAP-TLS पर माइग्रेट करना चाहते हैं लेकिन 50 पुराने हैंडहेल्ड इन्वेंट्री स्कैनर के बारे में चिंतित हैं जो एक पुराने OS पर चलते हैं और प्रमाणपत्र नामांकन का समर्थन नहीं करते हैं। नेटवर्क आर्केटेक्ट को इन्वेंट्री संचालन को बाधित किए बिना इस माइग्रेशन को कैसे संभालना चाहिए?

नेटवर्क आर्किटेक्ट को एक खंडित दृष्टिकोण लागू करना चाहिए। सबसे पहले, एक क्लाउड PKI तैनात करें और केंद्रीय RADIUS सर्वर को EAP-TLS और PEAP-MSCHAPv2 दोनों को स्वीकार करने के लिए कॉन्फ़िगर करें। सभी आधुनिक स्टाफ लैपटॉप और टैबलेट पर क्लाइंट प्रमाणपत्र और एक अपडेटेड EAP-TLS WiFi प्रोफ़ाइल पुश करने के लिए होटल के MDM प्लेटफॉर्म का उपयोग करें। 50 पुराने स्कैनर के लिए, एक पृथक VLAN पर मैप किया गया एक समर्पित, छिपा हुआ SSID बनाएं। RADIUS सर्वर पर इन विशिष्ट स्कैनर MAC पतों के लिए MAC-आधारित प्रमाणीकरण बाईपास (MAB) कॉन्फ़िगर करें। इस VLAN पर सख्त नेटवर्क ACL लागू करें ताकि स्कैनर केवल इन्वेंट्री डेटाबेस सर्वर तक पहुंच सकें और कुछ नहीं। एक बार जब सभी आधुनिक डिवाइस EAP-TLS का उपयोग कर रहे हों, तो प्राथमिक स्टाफ नेटवर्क पर PEAP-MSCHAPv2 को अक्षम कर दें।

परीक्षक की टिप्पणी: यह दृष्टिकोण पुराने हार्डवेयर के लिए परिचालन निरंतरता के साथ बेड़े के अधिकांश हिस्से के लिए मजबूत सुरक्षा को पूरी तरह से संतुलित करता है। पुराने उपकरणों को एक प्रतिबंधित VLAN पर अलग करके, आर्किटेक्ट उन उपकरणों के समझौता होने पर एक पिवट पॉइंट के रूप में उपयोग किए जाने के जोखिम को कम करता है, जबकि प्राथमिक कॉर्पोरेट नेटवर्क से PEAP-MSCHAPv2 भेद्यता को सफलतापूर्वक समाप्त करता है।

एक रिटेल संगठन ने अपने कॉर्पोरेट बेड़े में Windows 11 22H2 को रोल आउट किया है। IT हेल्पडेस्क को अचानक टिकट मिल रहे हैं कि उपयोगकर्ता कॉर्पोरेट WPA2-Enterprise WiFi नेटवर्क से कनेक्ट नहीं हो पा रहे हैं, जो PEAP-MSCHAPv2 का उपयोग करता है। इसका संभावित कारण क्या है, और तत्काल समाधान क्या है?

संभावित कारण Windows Defender Credential Guard की शुरुआत है, जो Windows 11 22H2 और नए संस्करणों में डिफ़ॉल्ट रूप से सक्षम है। Credential Guard NTLM पासवर्ड हैश और Kerberos टिकट ग्रांटिंग टिकटों को अलग और सुरक्षित करता है। चूंकि PEAP-MSCHAPv2 को चैलेंज-रिस्पॉन्स उत्पन्न करने के लिए NT हैश तक पहुंच की आवश्यकता होती है, इसलिए Credential Guard क्रेडेंशियल चोरी को रोकने के लिए जानबूझकर इस प्रमाणीकरण विधि को तोड़ देता है। तत्काल समाधान EAP-TLS पर माइग्रेशन को तेज करना है, जो प्रमाणपत्र-आधारित प्रमाणीकरण का उपयोग करता है और Credential Guard के साथ पूरी तरह से संगत है। एक अस्थायी, कम सुरक्षित समाधान समूह नीति (Group Policy) के माध्यम से Credential Guard को अक्षम करना होगा, लेकिन इसकी दृढ़ता से हतोत्साहित किया जाता है क्योंकि यह समग्र OS सुरक्षा स्थिति को कमजोर करता है।

परीक्षक की टिप्पणी: यह परिदृश्य PEAP से दूर जाने के लिए एक महत्वपूर्ण आधुनिक परिचालन चालक को उजागर करता है। Microsoft के अपने OS सुरक्षा संवर्द्धन सक्रिय रूप से MSCHAPv2 द्वारा आवश्यक पुराने हैश तक पहुंच को हटा रहे हैं। समाधान असुरक्षित OS डाउनग्रेड पर भरोसा करने के बजाय EAP-TLS को स्थायी समाधान के रूप में सही ढंग से पहचानता है।

अभ्यास प्रश्न

Q1. आप एक नई अधिग्रहीत सहायक कंपनी के वायरलेस नेटवर्क का ऑडिट कर रहे हैं। वे PEAP-MSCHAPv2 का उपयोग करते हैं। IT प्रबंधक का दावा है कि वे evil twin हमलों से सुरक्षित हैं क्योंकि उन्होंने SSID को छिपा दिया है और SSID प्रसारण को अक्षम कर दिया है। क्या उनका नेटवर्क क्रेडेंशियल कैप्चर से सुरक्षित है?

संकेत: विचार करें कि छिपे हुए नेटवर्क से कनेक्ट करने के लिए कॉन्फ़िगर किए जाने पर क्लाइंट डिवाइस कैसा व्यवहार करते हैं, और क्या SSID को छिपाना एक रॉग AP को इसे स्पूफ करने से रोकता है।

मॉडल उत्तर देखें

नहीं, नेटवर्क सुरक्षित नहीं है। SSID को छिपाना (बीकन फ्रेम को अक्षम करना) शून्य क्रिप्टोग्राफ़िक सुरक्षा प्रदान करता है। वास्तव में, छिपे हुए नेटवर्क से कनेक्ट करने के लिए कॉन्फ़िगर किए गए डिवाइस सक्रिय रूप से SSID नाम वाले प्रोब अनुरोधों को प्रसारित करते हैं, जिससे सुनने वाले किसी भी हमलावर को छिपे हुए नेटवर्क की घोषणा प्रभावी रूप से हो जाती है। एक हमलावर आसानी से SSID नाम कैप्चर कर सकता है, उस सटीक SSID को प्रसारित करने वाला एक evil twin AP शुरू कर सकता है, और मानक MSCHAPv2 क्रेडेंशियल कैप्चर हमला कर सकता है। एकमात्र बचाव सख्त सर्वर प्रमाणपत्र सत्यापन या EAP-TLS पर माइग्रेट करना है।

Q2. EAP-TLS माइग्रेशन पायलट के दौरान, आप Intune के माध्यम से 20 Windows लैपटॉप पर क्लाइंट प्रमाणपत्र पुश करते हैं। हालांकि, सभी 20 उपकरणों के लिए प्रमाणीकरण विफल हो जाता है। RADIUS सर्वर लॉग 'क्लाइंट प्रमाणपत्र विश्वसनीय नहीं है' दिखाते हैं। क्लाइंट प्रमाणपत्र आपके नए क्लाउड PKI द्वारा जारी किए गए थे। कौन सा महत्वपूर्ण कॉन्फ़िगरेशन चरण छूट गया था?

संकेत: पारस्परिक प्रमाणीकरण के काम करने के लिए, दोनों पक्षों को उस इकाई पर भरोसा करना चाहिए जिसने दूसरे पक्ष का प्रमाणपत्र जारी किया है।

मॉडल उत्तर देखें

RADIUS सर्वर को नए क्लाउड PKI के रूट CA पर भरोसा करने के लिए कॉन्फ़िगर नहीं किया गया है। हालांकि लैपटॉप में सही क्लाइंट प्रमाणपत्र हैं, जब वे उन्हें RADIUS सर्वर के सामने प्रस्तुत करते हैं, तो सर्वर उन्हें अस्वीकार कर देता है क्योंकि उसके स्थानीय ट्रस्ट स्टोर में क्लाउड PKI के रूट/इंटरमीडिएट प्रमाणपत्र नहीं हैं। आपको क्लाउड PKI के सार्वजनिक रूट CA प्रमाणपत्र को RADIUS सर्वर के विश्वसनीय प्रमाणपत्र प्राधिकरण स्टोर में आयात करना होगा।

Q3. आपका संगठन कॉर्पोरेट WiFi के लिए EAP-TLS को अनिवार्य बनाता है। एक वरिष्ठ कार्यकारी आंतरिक वित्तीय डैशबोर्ड तक पहुंचने के लिए अपने व्यक्तिगत, अप्रबंधित iPad को कॉर्पोरेट नेटवर्क से जोड़ने पर जोर देते हैं। EAP-TLS सुरक्षा स्थिति को बनाए रखते हुए आप इस अनुरोध को कैसे समायोजित करते हैं?

संकेत: EAP-TLS के लिए पूर्वापेक्षाओं और 'प्रबंधित' डिवाइस की परिभाषा पर विचार करें।

मॉडल उत्तर देखें

आप EAP-TLS आर्किटेक्चर से समझौता किए बिना प्राथमिक कॉर्पोरेट नेटवर्क पर इस अनुरोध को सुरक्षित रूप से समायोजित नहीं कर सकते। EAP-TLS के लिए क्लाइंट प्रमाणपत्र की आवश्यकता होती है। चूंकि iPad अप्रबंधित (BYOD) है, इसलिए IT विभाग MDM के माध्यम से सुरक्षित रूप से प्रमाणपत्र पुश नहीं कर सकता है। कार्यकारी को मैन्युअल रूप से प्रमाणपत्र स्थापित करने की अनुमति देना महत्वपूर्ण जोखिम और प्रशासनिक ओवरहेड पेश करता है। सही दृष्टिकोण कॉर्पोरेट SSID तक पहुंच से इनकार करना है। इसके बजाय, कार्यकारी को अतिथि WiFi से कनेक्ट होना चाहिए और आंतरिक संसाधनों तक पहुंचने के लिए एक सुरक्षित कॉर्पोरेट VPN (जो आधुनिक MFA/SAML प्रमाणीकरण का समर्थन करता है) का उपयोग करना चाहिए, या प्रमाणपत्र प्राप्त करने के लिए डिवाइस को कॉर्पोरेट MDM में नामांकित किया जाना चाहिए।

इस श्रृंखला में आगे पढ़ें

Wi-Fi सुरक्षा का भविष्य: AI-संचालित NAC और थ्रेट डिटेक्शन

यह आधिकारिक गाइड पुरानी WPA2 से AI-संचालित नेटवर्क एक्सेस कंट्रोल (NAC) और थ्रेट डिटेक्शन तक एंटरप्राइज़ Wi-Fi सुरक्षा के विकास की पड़ताल करती है। IT लीडर्स के लिए डिज़ाइन की गई, यह Purple के पहचान-आधारित नेटवर्क का उपयोग करके रिटेल, हॉस्पिटैलिटी और स्टेडियम जैसे उच्च-घनत्व वाले वातावरण को सुरक्षित करने के लिए कार्रवाई योग्य परिनियोजन (deployment) रणनीतियां प्रदान करती है।

NAC और MPSK के साथ IoT डिवाइस सुरक्षा का प्रबंधन

यह तकनीकी मार्गदर्शिका विस्तार से बताती है कि एंटरप्राइज़ स्थान मल्टीपल प्री-शेयर्ड की (MPSK) आर्किटेक्चर और नेटवर्क एक्सेस कंट्रोल (NAC) का उपयोग करके हेडलेस IoT डिवाइसों को कैसे सुरक्षित कर सकते हैं। यह स्केलेबिलिटी से समझौता किए बिना माइक्रो-सेगमेंटेशन प्राप्त करने, सुरक्षा ब्लास्ट रेडियस को सीमित करने और अनुपालन बनाए रखने के लिए कार्रवाई योग्य कार्यान्वयन चरण प्रदान करता है।

RadSec: RADIUS over TLS कैसे WiFi ऑथेंटिकेशन सिक्योरिटी को बेहतर बनाता है

यह आधिकारिक तकनीकी संदर्भ बताता है कि कैसे RadSec (RFC 6614) पारंपरिक RADIUS ट्रैफ़िक को TLS एन्क्रिप्शन में रैप करके एंटरप्राइज़ WiFi ऑथेंटिकेशन को सुरक्षित करता है। IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए डिज़ाइन किया गया, यह कॉर्पोरेट और गेस्ट नेटवर्क पर अनएन्क्रिप्टेड UDP RADIUS ट्रैफ़िक के जोखिमों को कम करने के लिए आर्किटेक्चर, डिप्लॉयमेंट रणनीतियों और व्यावहारिक कदमों को कवर करता है।