RadSec: TLS के साथ RADIUS ऑथेंटिकेशन ट्रैफ़िक को सुरक्षित करना

यह व्यापक गाइड RadSec (RADIUS over TLS) का पता लगाती है, जिसमें विस्तार से बताया गया है कि यह आधुनिक क्लाउड और मल्टी-साइट डिप्लॉयमेंट के लिए नेटवर्क ऑथेंटिकेशन ट्रैफ़िक को कैसे सुरक्षित करता है। यह नेटवर्क आर्किटेक्ट्स को लीगेसी UDP RADIUS को बदलने के लिए व्यावहारिक इम्प्लीमेंटेशन चरणों, सर्टिफिकेट मैनेजमेंट रणनीतियों और समस्या निवारण तकनीकों को प्रदान करता है।

📖 6 मिनट का पाठ📝 1,403 शब्द🔧 2 हल किए गए उदाहरण❓ 3 अभ्यास प्रश्न📚 8 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें

RadSec: TLS के साथ RADIUS ऑथेंटिकेशन ट्रैफ़िक को सुरक्षित करना। एक Purple टेक्निकल ब्रीफिंग।

परिचय और संदर्भ।

इस Purple टेक्निकल ब्रीफिंग में आपका स्वागत है। मैं आपको RadSec — RADIUS over TLS — के बारे में बताऊंगा कि यह क्या है, यह अभी क्यों महत्वपूर्ण है, और आप इसे वास्तव में कैसे डिप्लॉय करते हैं। यह सीधे तौर पर उन नेटवर्क आर्किटेक्ट्स और सुरक्षा इंजीनियरों के लिए है जो या तो आज क्लाउड RADIUS चला रहे हैं या वहां जाने की योजना बना रहे हैं। यदि आप अभी भी UDP और एक शेयर्ड सीक्रेट के साथ ऑन-प्रिमाइसेस RADIUS सर्वर चला रहे हैं, तो यह ब्रीफिंग आपके लिए है।

आइए इसकी पृष्ठभूमि को समझें। RADIUS तीस से अधिक वर्षों से नेटवर्क ऑथेंटिकेशन की रीढ़ रहा है। यह 802.1X, WPA2-Enterprise, WPA3-Enterprise और आज प्रोडक्शन में लगभग हर कैप्टिव पोर्टल सिस्टम का आधार है। RFC 2865 में परिभाषित यह प्रोटोकॉल खुद एक ऐसे युग में डिज़ाइन किया गया था जब इंटरनेट बहुत अलग था। आपके NAS उपकरणों — आपके एक्सेस पॉइंट्स, स्विच और कंट्रोलर्स — और आपके RADIUS सर्वर के बीच ऑथेंटिकेशन ट्रैफ़िक UDP पर चलता था, ऑथेंटिकेशन के लिए पोर्ट 1812, अकाउंटिंग के लिए पोर्ट 1813। और वह ट्रैफ़िक? काफी हद तक अनएन्क्रिप्टेड था। एकमात्र सुरक्षा एक शेयर्ड सीक्रेट थी जिसका उपयोग उपयोगकर्ता पासवर्ड एट्रिब्यूट को अस्पष्ट करने के लिए किया जाता था, और इसके भी अच्छी तरह से प्रलेखित कमजोरियां हैं।

वर्षों तक, यह स्वीकार्य था क्योंकि RADIUS ट्रैफ़िक निजी, नियंत्रित नेटवर्क पर रहता था। आपके NAS डिवाइस और आपका RADIUS सर्वर एक ही LAN पर थे, या एक समर्पित MPLS सर्किट के माध्यम से जुड़े हुए थे। अटैक सरफेस प्रबंधनीय था। लेकिन दुनिया बदल गई है। क्लाउड-नेटिव इंफ्रास्ट्रक्चर, वितरित वेन्यू डिप्लॉयमेंट, SD-WAN ओवरले और क्लाउड RADIUS सेवाओं की ओर बदलाव ने थ्रेट मॉडल को मौलिक रूप से बदल दिया है। आपका ऑथेंटिकेशन ट्रैफ़िक अब सार्वजनिक इंटरनेट से होकर गुजर रहा है, या सबसे अच्छे रूप में, ऐसे शेयर्ड इंफ्रास्ट्रक्चर से जिसे आप पूरी तरह से नियंत्रित नहीं करते हैं। यहीं पर RadSec काम आता है।

तकनीकी गहन विश्लेषण।

औपचारिक रूप से RFC 6614 में परिभाषित RadSec, RADIUS over TLS है। इसकी अवधारणा सीधी है: UDP पर RADIUS पैकेट भेजने के बजाय, आप उन्हें TCP पर एक TLS कनेक्शन के भीतर एनकैप्सुलेट करते हैं। इसका परिणाम यह होता है कि आपके NAS और आपके RADIUS सर्वर के बीच सभी ऑथेंटिकेशन और अकाउंटिंग ट्रैफ़िक पूरी तरह से एन्क्रिप्टेड, म्यूचुअल ऑथेंटिकेटेड और अखंडता-सुरक्षित होते हैं। RFC 7360 इसे DTLS — डेटाग्राम TLS over UDP — तक विस्तारित करता है, जो एन्क्रिप्शन जोड़ते हुए मूल UDP ट्रांसपोर्ट की कुछ लेटेंसी विशेषताओं को सुरक्षित रखता है। अधिकांश एंटरप्राइज़ डिप्लॉयमेंट के लिए, TCP पर TLS सही विकल्प है। बड़े स्टेडियम डिप्लॉयमेंट जैसे हाई-थ्रूपुट, लेटेंसी-सेंसिटिव वातावरण में DTLS पर विचार करना उचित है।

आइए इसके मैकेनिक्स के बारे में बात करते हैं। RadSec TCP पोर्ट 2083 पर काम करता है, जो इस प्रोटोकॉल के लिए IANA-असाइन किया गया पोर्ट है। जब कोई NAS डिवाइस RadSec कनेक्शन शुरू करता है, तो यह पोर्ट 2083 पर RADIUS सर्वर के लिए एक TCP कनेक्शन खोलता है और एक TLS हैंडशेक करता है। यह हैंडशेक म्यूचुअल होता है — क्लाइंट (यानी आपका NAS) और सर्वर दोनों X.509 सर्टिफिकेट प्रस्तुत करते हैं। सर्वर के सर्टिफिकेट को एक विश्वसनीय CA के खिलाफ वैलिडेट किया जाता है। क्लाइंट सर्टिफिकेट RADIUS सर्वर पर NAS की पहचान करता है। एक बार TLS सेशन स्थापित हो जाने के बाद, RADIUS पैकेट उस एन्क्रिप्टेड टनल के भीतर ठीक उसी तरह प्रवाहित होते हैं जैसे वे UDP पर होते, लेकिन अब पूर्ण गोपनीयता, अखंडता और रीप्ले सुरक्षा के साथ।

यह तीन महत्वपूर्ण तरीकों से पारंपरिक RADIUS से एक महत्वपूर्ण बदलाव है। पहला, ट्रांसपोर्ट TCP है, UDP नहीं। इसका मतलब है कि आपको विश्वसनीय, क्रमित डिलीवरी मिलती है। खोए हुए पैकेट स्वचालित रूप से रीट्रांसमिट हो जाते हैं। दूसरा, दोनों एंडपॉइंट्स का ऑथेंटिकेशन सर्टिफिकेट-आधारित है, न कि शेयर्ड-सीक्रेट-आधारित। यह कमजोर या समझौता किए गए शेयर्ड सीक्रेट्स पर आधारित हमलों के पूरे वर्ग को समाप्त कर देता है। तीसरा, पूरा RADIUS पैकेट एन्क्रिप्टेड होता, न कि केवल पासवर्ड एट्रिब्यूट। इसका मतलब है कि यूजरनेम, सेशन आइडेंटिफ़ायर और सभी RADIUS एट्रिब्यूट्स ट्रांजिट में सुरक्षित रहते हैं।

सर्टिफिकेट मैनेजमेंट के दृष्टिकोण से, आपको अपने RADIUS सर्वर और अपने NAS डिवाइस दोनों के लिए सर्टिफिकेट जारी करने और प्रबंधित करने के लिए एक PKI — पब्लिक की इंफ्रास्ट्रक्चर — की आवश्यकता होती है। व्यावहारिक रूप से, Purple के क्लाउड-नेटिव ऑथेंटिकेशन इंफ्रास्ट्रक्चर सहित अधिकांश क्लाउड RADIUS प्रदाता आपके लिए सर्वर-साइड सर्टिफिकेट मैनेजमेंट को संभालते हैं। आपकी जिम्मेदारी आपके NAS डिवाइसों को क्लाइंट सर्टिफिकेट प्रदान करना है। बड़े पैमाने पर डिप्लॉयमेंट के लिए, इसे आमतौर पर आपके नेटवर्क प्रबंधन प्लेटफ़ॉर्म या एक समर्पित सर्टिफिकेट मैनेजमेंट सिस्टम के माध्यम से संभाला जाता है। सर्टिफिकेट में न्यूनतम के रूप में RSA 2048-बिट या ECDSA P-256 का उपयोग किया जाना चाहिए, जिसकी वैधता अवधि सुरक्षा स्वच्छता के खिलाफ परिचालन ओवरहेड को संतुलित करती हो — बारह महीने एक उचित डिफ़ॉल्ट है।

अब, आइए उस वैकल्पिक दृष्टिकोण के साथ तुलना करें जिसका उपयोग आज कई संगठन करते हैं: RADIUS ट्रैफ़िक की सुरक्षा के लिए IPsec टनल या VPN ओवरले। IPsec एक पूरी तरह से वैध दृष्टिकोण है, लेकिन यह एक अलग लेयर पर काम करता है। आप दो एंडपॉइंट्स के बीच सभी ट्रैफ़िक को एन्क्रिप्ट कर रहे हैं, जो जटिलता जोड़ता है — आपको टनल के लिए ही IKE, प्री-शेयर्ड कीज़ या सर्टिफिकेट को प्रबंधित करने की आवश्यकता होती है, और संभावित रूप से सैकड़ों साइटों पर टनल स्टेट को बनाए रखने का परिचालन ओवरहेड होता है। RadSec अधिक सर्जिकल है। यह विशेष रूप से RADIUS प्रोटोकॉल ट्रैफ़िक को एन्क्रिप्ट करता, एप्लिकेशन लेयर पर काम करता है, और सीधे आपके RADIUS इंफ्रास्ट्रक्चर के साथ इंटीग्रेट होता है। क्लाउड RADIUS डिप्लॉयमेंट के लिए जहां आप वितरित वेन्यू पर कई NAS डिवाइसों को एक केंद्रीकृत क्लाउड सर्वर से जोड़ रहे हैं, RadSec आर्किटेक्चरल रूप से अधिक साफ-सुथरा और परिचालन रूप से सरल है।

मुझे आपको यह समझाने दें कि व्यावहारिक रूप से मल्टी-साइट डिप्लॉयमेंट कैसा दिखता है। आपके पास एक क्लाउड RADIUS सर्वर है — मान लें कि यह Purple का प्लेटफ़ॉर्म है — जिसमें एक विश्वसनीय CA से वैध TLS सर्टिफिकेट है। आपके पास तीन प्रकार के वेन्यू हैं: एक hotel प्रॉपर्टी, एक retail स्टोर और एक conference सेंटर। प्रत्येक में NAS डिवाइस हैं — एक्सेस पॉइंट्स, स्विच या वायरलेस LAN कंट्रोलर्स। प्रत्येक NAS डिवाइस को RadSec सर्वर एड्रेस, पोर्ट 2083 और एक क्लाइंट सर्टिफिकेट के साथ कॉन्फ़िगर करने की आवश्यकता होती है। NAS, TLS कनेक्शन शुरू करता है, म्यूचुअल हैंडशेक पूरा होता है, और उस बिंदु से आगे, उस वेन्यू पर मेहमानों और कर्मचारियों के लिए सभी 802.1X ऑथेंटिकेशन ट्रैफ़िक क्लाउड RADIUS सर्वर पर एन्क्रिप्टेड रूप से प्रवाहित होता है। यदि TLS कनेक्शन टूट जाता है — मान लें कि नेटवर्क व्यवधान के कारण — तो NAS इसे स्वचालित रूप से फिर से स्थापित करता है। यह पर्सिस्टेंट कनेक्शन मॉडल वास्तव में हाई-वॉल्यूम डिप्लॉयमेंट के लिए UDP की तुलना में अधिक कुशल है क्योंकि आप प्रति-पैकेट प्रोसेसिंग के ओवरहेड से बचते हैं।

फ़ायरवॉल की तरफ, आपको अपने NAS मैनेजमेंट नेटवर्क से अपने RADIUS सर्वर के IP पते या FQDN पर पोर्ट 2083 पर आउटबाउंड TCP की अनुमति देनी होगी। यदि आप एक सख्त इग्रेस पॉलिसी चला रहे हैं, तो आप रिटर्न ट्रैफ़िक की भी अनुमति देना चाहेंगे। यह IPsec फ़ायरवॉल नियमों को प्रबंधित करने की तुलना में सरल है, जिसके लिए अक्सर UDP 500 और 4500 पर ESP प्रोटोकॉल अपवादों और IKE की आवश्यकता होती है।

इम्प्लीमेंटेशन सिफारिशें और कमियां।

आइए बात करते हैं कि RadSec डिप्लॉयमेंट में वास्तव में क्या गलत होता है, क्योंकि कुछ लगातार विफलता मोड हैं जो मैं संगठनों में देखता हूं।

पहली और सबसे आम समस्या सर्टिफिकेट चेन वैलिडेशन विफलताएं हैं। आपके NAS डिवाइस को उस CA पर भरोसा करना होगा जिसने RADIUS सर्वर के सर्टिफिकेट पर हस्ताक्षर किए हैं। यदि आप एक प्रसिद्ध सार्वजनिक CA — DigiCert, Let's Encrypt, Sectigo — के सर्टिफिकेट के साथ क्लाउड RADIUS प्रदाता का उपयोग कर रहे हैं, तो अधिकांश आधुनिक NAS डिवाइस डिफ़ॉल्ट रूप से इस पर भरोसा करेंगे। लेकिन यदि आप एक आंतरिक CA का उपयोग कर रहे हैं, तो आपको प्रत्येक NAS डिवाइस पर CA सर्टिफिकेट पुश करना होगा। प्रारंभिक डिप्लॉयमेंट के दौरान अक्सर इसकी अनदेखी की जाती है और यह TLS हैंडशेक विफलताओं के रूप में सामने आता है जो कनेक्टिविटी समस्याओं की तरह दिखती हैं।

दूसरा नुकसान सर्टिफिकेट की समाप्ति है। शेयर्ड सीक्रेट्स के विपरीत, जो समाप्त नहीं होते हैं, सर्टिफिकेट की एक निश्चित वैधता अवधि होती है। यदि आपका RADIUS सर्वर सर्टिफिकेट समाप्त हो जाता है, तो आपके एस्टेट का प्रत्येक NAS डिवाइस एक साथ ऑथेंटिकेट करने में विफल हो जाएगा। आपको सर्टिफिकेट लाइफसाइकिल मैनेजमेंट की आवश्यकता है — जहां संभव हो स्वचालित रिन्यूअल, और समाप्ति से काफी पहले अलर्ट के साथ निगरानी। नब्बे दिनों का नोटिस न्यूनतम है; तीस दिन बेहतर है।

तीसरी समस्या NAS डिवाइस अनुकूलता है। सभी NAS डिवाइस मूल रूप से RadSec का समर्थन नहीं करते हैं। पुराने Cisco IOS संस्करण, कुछ लीगेसी Aruba कंट्रोलर और कुछ उपभोक्ता-ग्रेड एक्सेस पॉइंट्स में RadSec समर्थन नहीं है। RadSec डिप्लॉयमेंट के लिए प्रतिबद्ध होने से पहले, अनुकूलता के लिए अपने NAS एस्टेट का ऑडिट करें। Cisco IOS-XE 16.x और बाद के संस्करण, Aruba AOS-CX, Ruckus SmartZone और Juniper EX श्रृंखला सभी में ठोस RadSec समर्थन है। उन उपकरणों के लिए जो मूल रूप से RadSec का समर्थन नहीं करते हैं, एक RadSec प्रॉक्सी — `radsecproxy` जैसा एक ओपन-सोर्स विकल्प — इस अंतर को पाट सकता है, जो लीगेसी उपकरणों से UDP RADIUS स्वीकार करता है और इसे TLS पर क्लाउड RADIUS सर्वर पर फॉरवर्ड करता है।

चौथा विचार कनेक्शन पर्सिस्टेंस और कीपअलाइव्स है। RadSec पर्सिस्टेंट TCP कनेक्शन का उपयोग करता है, लेकिन आक्रामक टाइमआउट पॉलिसियों वाले फ़ायरवॉल और NAT डिवाइस निष्क्रिय कनेक्शन को चुपचाप ड्रॉप कर सकते हैं। अपने RadSec कनेक्शन पर TCP कीपअलाइव्स कॉन्फ़िगर करें — समय से पहले कनेक्शन टूटने से रोकने के लिए आमतौर पर साठ सेकंड का कीपअलाइव अंतराल पर्याप्त होता है। अधिकांश RADIUS सर्वर इम्प्लीमेंटेशन और NAS डिवाइस इस कॉन्फ़िगरेशन का समर्थन करते हैं।

Cisco IOS-XE के लिए, RadSec कॉन्फ़िगरेशन इस तरह दिखता है। आप अपने क्लाउड RADIUS एंडपॉइंट के पते के साथ एक RADIUS सर्वर परिभाषित करते हैं, ट्रांसपोर्ट के रूप में TLS निर्दिष्ट करते हैं, अपने ट्रस्टपॉइंट को संदर्भित करते हैं — जो कि डिवाइस पर सर्टिफिकेट स्टोर है — और डेस्टिनेशन पोर्ट को 2083 पर सेट करते हैं। फिर आप अपने AAA सर्वर समूह कॉन्फ़िगरेशन में इस सर्वर को संदर्भित करते हैं। विवरण प्लेटफ़ॉर्म संस्करण के अनुसार भिन्न होते हैं, लेकिन तार्किक संरचना सभी वेंडर्स में सुसंगत है।

AOS चलाने वाले Aruba कंट्रोलर्स के लिए, आप RadSec विकल्प सक्षम करके RADIUS सर्वर को कॉन्फ़िगर करते हैं, सर्वर वैलिडेशन के लिए CA सर्टिफिकेट निर्दिष्ट करते हैं, और वैकल्पिक रूप से म्यूचुअल TLS के लिए एक क्लाइंट सर्टिफिकेट कॉन्फ़िगर करते हैं। Aruba का इम्प्लीमेंटेशन परिपक्व और अच्छी तरह से प्रलेखित है।

रैपिड-फायर प्रश्न और उत्तर।

आइए उन प्रश्नों पर नज़र डालें जो मुझसे RadSec के बारे में सबसे अक्सर पूछे जाते हैं।

क्या RadSec लेटेंसी जोड़ता है? TLS हैंडशेक प्रारंभिक कनेक्शन स्थापना पर एक छोटा ओवरहेड जोड़ता है — आमतौर पर 100 मिलीसेकंड से कम। एक बार कनेक्शन स्थापित हो जाने के बाद, प्रति-पैकेट ओवरहेड नगण्य होता है। 802.1X ऑथेंटिकेशन के लिए, जहां हैंडशेक प्रति सेशन एक बार होता है, यह कोई महत्वपूर्ण चिंता का विषय नहीं है।

क्या मैं पारंपरिक UDP RADIUS के साथ RadSec चला सकता हूँ? हाँ। अधिकांश RADIUS सर्वर एक साथ दोनों का समर्थन करते हैं। माइग्रेशन के दौरान, आप उन साइटों के लिए RadSec चला सकते हैं जो इसका समर्थन करती हैं और लीगेसी साइटों के लिए UDP पर वापस जा सकते हैं। यह अनुशंसित माइग्रेशन दृष्टिकोण है।

क्या PCI DSS अनुपालन के लिए RadSec आवश्यक है? PCI DSS संस्करण 4.0 के लिए आवश्यक है कि ऑथेंटिकेशन ट्रैफ़िक ट्रांजिट में सुरक्षित हो। RADIUS-आधारित ऑथेंटिकेशन के लिए इस आवश्यकता को पूरा करने के सबसे सीधे तरीकों में से एक RadSec है। यदि आप ऐसे नेटवर्क पर कार्ड भुगतान संसाधित कर रहे हैं जो RADIUS ऑथेंटिकेशन का उपयोग करता, तो RadSec आपके अनुपालन रोडमैप पर होना चाहिए।

क्या RadSec EAP के साथ काम करता है? हाँ। EAP — एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल — RADIUS के भीतर एनकैप्सुलेटेड होता है, इसलिए EAP-TLS, PEAP, EAP-TTLS सभी RadSec पर पारदर्शी रूप से काम करते हैं। EAP एक्सचेंज स्वयं अप्रभावित रहता है।

RADIUS अकाउंटिंग के बारे में क्या? RFC 6614 ऑथेंटिकेशन और अकाउंटिंग ट्रैफ़िक दोनों को कवर करता है। आपका अकाउंटिंग डेटा — सेशन स्टार्ट, स्टॉप और अंतरिम अपडेट रिकॉर्ड — भी पोर्ट 2083 पर उसी TLS कनेक्शन पर एन्क्रिप्टेड होता है।

सारांश और अगले कदम।

इसे संक्षेप में कहें तो: RadSec किसी भी ऐसे डिप्लॉयमेंट में RADIUS के लिए सही ट्रांसपोर्ट लेयर है जहां ऑथेंटिकेशन ट्रैफ़िक उस इंफ्रास्ट्रक्चर को पार करता है जिसे आप पूरी तरह से नियंत्रित नहीं करते हैं। इसका मतलब है क्लाउड RADIUS, मल्टी-साइट डिप्लॉयमेंट, SD-WAN वातावरण, और कोई भी परिदृश्य जहां RADIUS ट्रैफ़िक सार्वजनिक इंटरनेट या शेयर्ड कैरियर इंफ्रास्ट्रक्चर से होकर गुजरता है।

आपकी टीम के लिए मुख्य कार्य हैं: पहला, RadSec अनुकूलता के लिए अपने NAS एस्टेट का ऑडिट करें और उन उपकरणों की पहचान करें जिन्हें प्रॉक्सी की आवश्यकता होगी। दूसरा, अपने क्लाउड RADIUS प्रदाता से संपर्क करें — या उन प्रदाताओं का मूल्यांकन करें जो मूल रूप से RadSec का समर्थन करते हैं — और उनके सर्टिफिकेट मैनेजमेंट दृष्टिकोण को समझें। तीसरा, लाइव होने से पहले एक सर्टिफिकेट लाइफसाइकिल मैनेजमेंट प्रक्रिया स्थापित करें। चौथा, अपने NAS मैनेजमेंट नेटवर्क से आउटबाउंड TCP 2083 की अनुमति देने के लिए अपने फ़ायरवॉल नियमों को अपडेट करें। पांचवां, प्रोडक्शन में रोल आउट करने से पहले एक स्टेजिंग वातावरण में अपने RadSec कॉन्फ़िगरेशन का परीक्षण करें, लोड के तहत सर्टिफिकेट चेन वैलिडेशन और कनेक्शन पर्सिस्टेंस पर विशेष ध्यान दें।

वितरित वेन्यू पर गेस्ट WiFi और ऑथेंटिकेशन के लिए Purple के प्लेटफ़ॉर्म को चलाने वाले संगठनों के लिए, क्लाउड RADIUS कनेक्टिविटी के लिए RadSec अनुशंसित ट्रांसपोर्ट है। यह Purple के क्लाउड-नेटिव आर्केटेक्चर के साथ संरेखित है और यह सुनिश्चित करता है कि आपके वेन्यू और प्लेटफ़ॉर्म के बीच बहने वाला ऑथेंटिकेशन डेटा पूरी तरह से सुरक्षित है — जो आपकी सुरक्षा स्थिति और GDPR और PCI DSS के तहत आपके अनुपालन दायित्वों दोनों के लिए महत्वपूर्ण है।

यदि आप डिप्लॉयमेंट की योजना बना रहे हैं या अपने विशिष्ट आर्केटेक्चर पर चर्चा करना चाहते हैं, तो Purple टीम सही शुरुआती बिंदु है। यह RadSec पर एक Purple टेक्निकल ब्रीफिंग थी। सुनने के लिए धन्यवाद।

मुख्य निष्कर्ष

✓RadSec अनएन्क्रिप्टेड UDP RADIUS को TCP पोर्ट 2083 पर सुरक्षित, एन्क्रिप्टेड TLS से बदल देता है।
✓यह सार्वजनिक इंटरनेट और SD-WAN लिंक पर ऑथेंटिकेशन ट्रैफ़िक की सुरक्षा के लिए आवश्यक है।
✓RadSec म्यूचुअल TLS (mTLS) का उपयोग करता है, जिसके लिए RADIUS सर्वर और NAS डिवाइस दोनों पर सर्टिफिकेट की आवश्यकता होती है।
✓पर्सिस्टेंट TCP कनेक्शन ओवरहेड को कम करते हैं और हाई-वॉल्यूम वाले वातावरण में विश्वसनीयता में सुधार करते हैं।
✓RadSec को लागू करना जटिल IPsec VPN ओवरले की आवश्यकता को समाप्त करके मल्टी-साइट आर्किटेक्चर को सरल बनाता है।
✓लीगेसी NAS डिवाइस जो मूल रूप से RadSec का समर्थन नहीं करते हैं, उन्हें RadSec प्रॉक्सी का उपयोग करके इंटीग्रेट किया जा सकता है।
✓RadSec को अपनाना संगठनों को PCI-DSS और GDPR जैसी सख्त अनुपालन आवश्यकताओं को पूरा करने में मदद करता।

कार्यकारी सारांश

दशकों से, UDP पर RADIUS नेटवर्क ऑथेंटिकेशन का आधार रहा है, जो सुरक्षा के लिए निजी नेटवर्क और शेयर्ड सीक्रेट्स पर निर्भर करता है। जैसे-जैसे एंटरप्राइज़ आर्किटेक्चर क्लाउड-नेटिव इंफ्रास्ट्रक्चर, वितरित Retail और Hospitality वेन्यू और SD-WAN ओवरले की ओर बढ़ रहे हैं, थ्रेट मॉडल मौलिक रूप से बदल गया है। RADIUS ट्रैफ़िक अब अक्सर सार्वजनिक या शेयर्ड नेटवर्क से होकर गुजरता है, जिससे ऑथेंटिकेशन डेटा के इंटरसेप्ट होने का खतरा रहता है।

RFC 6614 में परिभाषित RadSec (RADIUS over TLS), RADIUS पैकेट को एक म्यूचुअल ऑथेंटिकेटेड TLS टनल के भीतर एनकैप्सुलेट करके इसे हल करता है। यह गाइड नेटवर्क आर्किटेक्ट्स और सुरक्षा इंजीनियरों के लिए RadSec को डिप्लॉय करने पर एक व्यापक तकनीकी संदर्भ प्रदान करती है। हम पारंपरिक RADIUS से आर्किटेक्चरल अंतर, सर्टिफिकेट मैनेजमेंट आवश्यकताओं, फ़ायरवॉल कॉन्फ़िगरेशन और Purple के Guest WiFi और WiFi Analytics इंफ्रास्ट्रक्चर जैसे क्लाउड RADIUS प्लेटफ़ॉर्म के साथ इंटीग्रेट करने के लिए व्यावहारिक डिप्लॉयमेंट विचारों को कवर करते हैं। RadSec को अपनाकर, संगठन मजबूत सुरक्षा सुनिश्चित कर सकते हैं, PCI-DSS और GDPR जैसी सख्त अनुपालन आवश्यकताओं को पूरा कर सकते हैं, और मल्टी-साइट ऑथेंटिकेशन आर्किटेक्चर को सरल बना सकते हैं।

तकनीकी गहन विश्लेषण

RADIUS ट्रांसपोर्ट का विकास

रिमोट ऑथेंटिकेशन डायल-इन यूजर सर्विस (RADIUS) प्रोटोकॉल, जिसे मूल रूप से RFC 2865 में परिभाषित किया गया था, नेटवर्किंग के एक अलग युग के लिए डिज़ाइन किया गया था। यह अपने ट्रांसपोर्ट लेयर के रूप में UDP का उपयोग करता है (ऑथेंटिकेशन के लिए पोर्ट 1812, अकाउंटिंग के लिए 1813)। पारंपरिक RADIUS में, पेलोड ट्रांजिट के दौरान काफी हद तक अनएन्क्रिप्टेड रहता है। एकमात्र सुरक्षा तंत्र नेटवर्क एक्सेस सर्वर (NAS) और RADIUS सर्वर के बीच एक शेयर्ड सीक्रेट का उपयोग करके User-Password एट्रिब्यूट को अस्पष्ट करना है।

हालांकि यह तब पर्याप्त था जब NAS डिवाइस और RADIUS सर्वर एक ही फिजिकल LAN या समर्पित MPLS सर्किट पर स्थित थे, आधुनिक आर्किटेक्चर इस मॉडल से आगे निकल चुके हैं। जैसा कि The Core SD WAN Benefits for Modern Businesses पर हमारी चर्चा में बताया गया है, वितरित एंटरप्राइज़ अब इंटर-साइट कनेक्टिविटी के लिए इंटरनेट ट्रांसपोर्ट पर निर्भर हैं। सार्वजनिक इंटरनेट पर अनएन्क्रिप्टेड RADIUS ट्रैफ़िक भेजने से उपयोगकर्ता क्रेडेंशियल, सेशन आइडेंटिफ़ायर और नेटवर्क एक्सेस नीतियां इंटरसेप्ट और छेड़छाड़ के दायरे में आ जाती हैं।

RadSec: RADIUS over TLS (RFC 6614)

RadSec ट्रांसपोर्ट लेयर को बदलकर इन कमजोरियों को दूर करता है। UDP के बजाय, RadSec TCP पोर्ट 2083 का उपयोग करता है। किसी भी RADIUS पैकेट का आदान-प्रदान होने से पहले, NAS और RADIUS सर्वर एक TLS (ट्रांसपोर्ट लेयर सिक्योरिटी) कनेक्शन स्थापित करते हैं।

RadSec की मुख्य तकनीकी विशेषताओं में शामिल हैं:

TCP ट्रांसपोर्ट: RadSec विश्वसनीय, क्रमित डिलीवरी प्रदान करता है। यह UDP RADIUS में निहित एप्लिकेशन-लेयर रिट्रांसमिशन की आवश्यकता को समाप्त करता है, जो उच्च-लेटेंसी वाले वातावरण में समस्याएं पैदा कर सकता है।
पूर्ण पेलोड एन्क्रिप्शन: हेडर और सभी एट्रिब्यूट्स सहित पूरा RADIUS पैकेट TLS टनल के भीतर एन्क्रिप्टेड होता है।
म्यूचुअल ऑथेंटिकेशन (mTLS): RADIUS सर्वर और NAS डिवाइस दोनों X.509 सर्टिफिकेट का उपयोग करके एक-दूसरे को ऑथेंटिकेट करते हैं। यह कमजोर शेयर्ड सीक्रेट मॉडल को मजबूत पब्लिक की इंफ्रास्ट्रक्चर (PKI) से बदल देता है।
पर्सिस्टेंट कनेक्शन: UDP RADIUS के विपरीत जो कनेक्शनलेस है, RadSec एक पर्सिस्टेंट TCP कनेक्शन बनाए रखता है। यह प्रत्येक ऑथेंटिकेशन अनुरोध के लिए एक नया कनेक्शन स्थापित करने के ओवरहेड को कम करता है, जो व्यस्त वेन्यू के लिए अत्यधिक कुशल है।

नोट: RFC 7360 DTLS (डेटाग्राम TLS) पर RADIUS को परिभाषित करता है, जो UDP का उपयोग करता है। हालांकि विशिष्ट हाई-थ्रूपुट परिदृश्यों में यह उपयोगी है, फिर भी एंटरप्राइज़ क्लाउड RADIUS डिप्लॉयमेंट के लिए TCP पर TLS ही मानक बना हुआ है।

वितरित वातावरण में आर्किटेक्चर

एक विशिष्ट मल्टी-साइट डिप्लॉयमेंट में—जैसे कि एक राष्ट्रीय Healthcare प्रदाता या Transport हब की एक श्रृंखला—RadSec आर्किटेक्चर को काफी सरल बनाता है।

RADIUS ट्रैफ़िक की सुरक्षा के लिए प्रत्येक ब्रांच लोकेशन से वापस एक केंद्रीय डेटा सेंटर तक जटिल IPsec VPN मेश बनाने के बजाय, प्रत्येक NAS डिवाइस इंटरनेट पर क्लाउड RADIUS प्रदाता के लिए एक सीधा RadSec TLS कनेक्शन स्थापित करता है। यह एक एप्लिकेशन-लेयर सुरक्षा मॉडल है जिसे डिप्लॉय करना अधिक साफ-सुथरा है और नेटवर्क-लेयर VPN की तुलना में समस्या निवारण करना आसान है।

इम्प्लीमेंटेशन गाइड

RadSec को डिप्लॉय करने के लिए नेटवर्क इंफ्रास्ट्रक्चर, सर्टिफिकेट अथॉरिटीज़ और फ़ायरवॉल पॉलिसियों के बीच समन्वय की आवश्यकता होती है। सफल डिप्लॉयमेंट के लिए इन वेंडर-न्यूट्रल चरणों का पालन करें।

1. सर्टिफिकेट इंफ्रास्ट्रक्चर की तैयारी

RadSec mTLS पर निर्भर करता है। आपको सर्वर और क्लाइंट (NAS डिवाइस) दोनों के लिए सर्टिफिकेट की आवश्यकता होती है।

सर्वर सर्टिफिकेट: आपका क्लाउड RADIUS प्रदाता (जैसे, Purple) एक सार्वजनिक सर्टिफिकेट अथॉरिटी (CA) या आंतरिक CA द्वारा हस्ताक्षरित सर्वर सर्टिफिकेट प्रस्तुत करेगा। सर्वर को वैलिडेट करने के लिए आपके NAS डिवाइस के ट्रस्ट स्टोर में रूट CA सर्टिफिकेट इंस्टॉल होना चाहिए।
क्लाइंट सर्टिफिकेट: प्रत्येक NAS डिवाइस को RADIUS सर्वर पर अपनी पहचान प्रमाणित करने के लिए एक क्लाइंट सर्टिफिकेट की आवश्यकता होती है। इन्हें अपने आंतरिक PKI या नेटवर्क प्रबंधन सिस्टम के माध्यम से जनरेट करें। सुनिश्चित करें कि वे कम से कम RSA 2048-बिट या ECDSA P-256 कीज़ का उपयोग करते हैं।

2. फ़ायरवॉल कॉन्फ़िगरेशन

RadSec को आपके NAS मैनेजमेंट इंटरफेस से विशिष्ट इग्रेस नियमों की आवश्यकता होती:

प्रोटोकॉल: TCP
डेस्टिनेशन पोर्ट: 2083
डेस्टिनेशन IP/FQDN: आपके प्राइमरी और सेकेंडरी क्लाउड RADIUS सर्वर के पते।
स्टेटफुल इंस्पेक्शन: सुनिश्चित करें कि फ़ायरवॉल स्थापित TCP कनेक्शन के लिए रिटर्न ट्रैफ़िक की अनुमति देता है।
कीपअलाइव्स: साइलेंट कनेक्शन ड्रॉप को रोकने के लिए फ़ायरवॉल TCP टाइमआउट मानों को RadSec कीपअलाइव अंतराल (आमतौर पर 60 सेकंड) से अधिक लंबा कॉन्फ़िगर करें।

3. NAS डिवाइस कॉन्फ़िगरेशन (सामान्य वर्कफ़्लो)

हालांकि विशिष्ट सिंटैक्स वेंडर (Cisco, Aruba, Juniper, आदि) के अनुसार भिन्न होता है, तार्किक कॉन्फ़िगरेशन चरण सुसंगत हैं:

CA सर्टिफिकेट इम्पोर्ट करें: उस CA सर्टिफिकेट को लोड करें जिसने RADIUS सर्वर के सर्टिफिकेट को NAS ट्रस्ट स्टोर में हस्ताक्षरित किया है।
क्लाइंट सर्टिफिकेट इम्पोर्ट करें: NAS डिवाइस का क्लाइंट सर्टिफिकेट और प्राइवेट की लोड करें।
RADIUS सर्वर परिभाषित करें: RADIUS सर्वर IP/FQDN कॉन्फ़िगर करें।
RadSec सक्षम करें: TLS को ट्रांसपोर्ट प्रोटोकॉल के रूप में निर्दिष्ट करें और पोर्ट को 2083 पर सेट करें।
सर्टिफिकेट बाइंड करें: इम्पोर्ट किए गए सर्टिफिकेट को RadSec सर्वर कॉन्फ़िगरेशन के साथ संबद्ध करें।
AAA प्रोफाइल पर लागू करें: RadSec सर्वर को प्रासंगिक AAA ऑथेंटिकेशन और अकाउंटिंग समूहों में जोड़ें।

4. लीगेसी डिवाइस को संभालना (RadSec प्रॉक्सी)

सभी NAS डिवाइस मूल रूप से RadSec का समर्थन नहीं करते हैं। पुराने स्विच या उपभोक्ता-ग्रेड एक्सेस पॉइंट्स के लिए, एक RadSec प्रॉक्सी (जैसे radsecproxy) डिप्लॉय करें। प्रॉक्सी स्थानीय LAN पर स्थित होती है, लीगेसी डिवाइस से पारंपरिक UDP RADIUS स्वीकार करती है, और इसे एक सुरक्षित RadSec TLS टनल पर क्लाउड RADIUS सर्वर पर फॉरवर्ड करती है।

सर्वोत्तम प्रथाएं

सर्टिफिकेट लाइफसाइकिल मैनेजमेंट: NAS डिवाइस के लिए स्वचालित सर्टिफिकेट रिन्यूअल लागू करें। क्लाइंट सर्टिफिकेट के एक साथ समाप्त होने से बड़े पैमाने पर नेटवर्क आउटेज हो सकता है। सर्टिफिकेट की वैधता की निगरानी करें और समाप्त होने से 90, 60 और 30 दिन पहले अलर्ट करें।
हाई अवेलेबिलिटी: हमेशा प्राइमरी और सेकेंडरी RadSec सर्वर कॉन्फ़िगर करें। चूंकि TCP कनेक्शन स्थापित करने में UDP पैकेट ट्रांसमिशन की तुलना में अधिक समय लगता है, इसलिए यदि प्राइमरी कनेक्शन टूट जाता है तो सेकेंडरी सर्वर पर तुरंत स्विच करने के लिए NAS पर आक्रामक फ़ेलओवर टाइमर कॉन्फ़िगर करें।
TCP कीपअलाइव्स: डेड कनेक्शन का पता लगाने और फ़ायरवॉल को निष्क्रिय सेशन को ड्रॉप करने से रोकने के लिए NAS डिवाइस पर TCP कीपअलाइव्स सक्षम करें। 60 सेकंड का अंतराल मानक है।
सख्त सर्टिफिकेट वैलिडेशन: सुनिश्चित करें कि NAS डिवाइस सर्वर सर्टिफिकेट को सख्ती से वैलिडेट करने के लिए कॉन्फ़िगर किए गए हैं, जिसमें कॉन्फ़िगर किए गए सर्वर होस्टनाम के खिलाफ सब्जेक्ट अल्टरनेटिव नेम (SAN) की जांच करना शामिल है। प्रोडक्शन में सर्टिफिकेट वैलिडेशन को अक्षम न करें।
भविष्य के लिए तैयारी: जैसे-जैसे वायरलेस मानक विकसित हो रहे हैं, जैसे कि हमारी गाइड WiFi 6E vs WiFi 7: What Venues Need to Know में चर्चा की गई है, ऑथेंटिकेशन ट्रैफ़िक की मात्रा बढ़ेगी। RadSec के पर्सिस्टेंट TCP कनेक्शन इस डेंसिटी को संभालने के लिए UDP की तुलना में बेहतर अनुकूल हैं।

समस्या निवारण और जोखिम न्यूनीकरण

जब RadSec डिप्लॉयमेंट विफल होते हैं, तो समस्या शायद ही कभी खुद RADIUS प्रोटोकॉल की होती है; यह लगभग हमेशा TLS या TCP से संबंधित होती है।

सामान्य विफलता मोड

TLS हैंडशेक विफलताएं (अज्ञात CA): NAS डिवाइस RADIUS सर्वर के सर्टिफिकेट को अस्वीकार कर देता है क्योंकि हस्ताक्षर करने वाला CA, NAS ट्रस्ट स्टोर में नहीं है।
- समाधान: सर्वर द्वारा उपयोग की जाने वाली सटीक CA चेन को सत्यापित करें और सुनिश्चित करें कि रूट (और कोई भी इंटरमीडिएट) CA, NAS पर इंस्टॉल हैं।
साइलेंट कनेक्शन ड्रॉप: RadSec कनेक्शन सफलतापूर्वक स्थापित हो जाता है, लेकिन निष्क्रियता की अवधि के बाद ऑथेंटिकेशन अनुरोध टाइमआउट हो जाते हैं। यह आमतौर पर एक स्टेटफुल फ़ायरवॉल द्वारा निष्क्रिय TCP कनेक्शन को ड्रॉप करने के कारण होता है।
- समाधान: NAS पर TCP कीपअलाइव्स सक्षम करें और पोर्ट 2083 के लिए फ़ायरवॉल सेशन टाइमआउट सेटिंग्स सत्यापित करें।
क्लॉक स्क्यू: TLS सर्टिफिकेट वैलिडेशन सटीक सिस्टम समय पर निर्भर करता है। यदि NAS डिवाइस की घड़ी काफी हद तक सिंक से बाहर है, तो यह वैध सर्टिफिकेट को समाप्त या अभी तक वैध नहीं के रूप में मूल्यांकित करेगी।
- समाधान: सुनिश्चित करें कि RadSec कनेक्शन शुरू करने से पहले सभी NAS डिवाइस विश्वसनीय NTP सर्वर के साथ सिंक्रोनाइज़्ड हैं।

ROI और व्यावसायिक प्रभाव

RadSec पर ट्रांज़िशन तकनीकी सुरक्षा सुधारों से परे मापने योग्य व्यावसायिक मूल्य प्रदान करता है:

अनुपालन और जोखिम न्यूनीकरण: RadSec ट्रांजिट में ऑथेंटिकेशन डेटा को एन्क्रिप्ट करता है, जो सीधे PCI-DSS v4.0 और GDPR की आवश्यकताओं को पूरा करता है। यह क्रेडेंशियल इंटरसेप्शन से जुड़े वित्तीय और प्रतिष्ठित जोखिमों को कम करता है।
परिचालन दक्षता: जटिल, साइट-टू-साइट IPsec VPN को एप्लिकेशन-लेयर RadSec से बदलने से नेटवर्क इंजीनियरिंग ओवरहेड कम हो जाता है। क्लाउड प्रदाता के लिए TLS कनेक्शन का समस्या निवारण करना सैकड़ों शाखाओं में VPN राउटिंग और IKE चरण वार्ताओं को डीबग करने की तुलना में काफी तेज़ है।
क्लाउड रेडीनेस: RadSec क्लाउड-नेटिव ऑथेंटिकेशन के लिए सक्षम तकनीक है। इसे अपनाकर, संगठन आधुनिक पहचान प्रदाताओं और Purple जैसे प्लेटफ़ॉर्म के साथ सहजता से इंटीग्रेट कर सकते हैं, जिससे ऑन-प्रिमाइसेस सर्वर फ़ुटप्रिंट और लाइसेंसिंग लागत कम हो जाती है।

मुख्य परिभाषाएं

RadSec

एक प्रोटोकॉल जो ट्रांसपोर्ट लेयर सिक्योरिटी (TLS) टनल के भीतर RADIUS ऑथेंटिकेशन और अकाउंटिंग डेटा को एनकैप्सुलेट करता है।

अविश्वसनीय नेटवर्क पर ऑथेंटिकेशन ट्रैफ़िक को सुरक्षित करने के लिए उपयोग किया जाता है, जो लीगेसी UDP RADIUS की जगह लेता है।

mTLS (Mutual TLS)

एक ऑथेंटिकेशन प्रक्रिया जहां क्लाइंट (NAS) और सर्वर (RADIUS) दोनों TLS हैंडशेक के दौरान एक-दूसरे के X.509 सर्टिफिकेट को सत्यापित करते हैं।

यह सुनिश्चित करके कि दोनों एंडपॉइंट्स क्रिप्टोग्राफिक रूप से सत्यापित हैं, पारंपरिक RADIUS शेयर्ड सीक्रेट मॉडल की तुलना में अधिक मजबूत सुरक्षा प्रदान करता है।

NAS (Network Access Server)

वह डिवाइस जो उपयोगकर्ताओं को नेटवर्क एक्सेस प्रदान करता है और RADIUS क्लाइंट के रूप में कार्य करता है। आधुनिक नेटवर्क में, यह आमतौर पर एक वायरलेस एक्सेस पॉइंट, स्विच या वायरलेस LAN कंट्रोलर होता है।

NAS क्लाउड RADIUS सर्वर से RadSec कनेक्शन शुरू करने के लिए जिम्मेदार है।

PKI (Public Key Infrastructure)

डिजिटल सर्टिफिकेट बनाने, प्रबंधित करने, वितरित करने, उपयोग करने, संग्रहीत करने और निरस्त करने के लिए आवश्यक भूमिकाओं, नीतियों, हार्डवेयर, सॉफ़्टवेयर और प्रक्रियाओं का ढांचा।

बड़े एस्टेट में RadSec डिप्लॉयमेंट के लिए आवश्यक सर्टिफिकेट को प्रबंधित करने के लिए आवश्यक है।

TCP Keepalive

एक तंत्र जो यह सत्यापित करने के लिए कि कनेक्शन अभी भी सक्रिय है और स्टेटफुल फ़ायरवॉल को सेशन ड्रॉप करने से रोकने के लिए एक निष्क्रिय कनेक्शन पर खाली TCP पैकेट भेजता है।

कम ऑथेंटिकेशन गतिविधि की अवधि के दौरान पर्सिस्टेंट RadSec कनेक्शन बनाए रखने के लिए महत्वपूर्ण है।

RadSec Proxy

एक सॉफ़्टवेयर सेवा जो एक मध्यस्थ के रूप में कार्य करती है, लीगेसी उपकरणों से पारंपरिक UDP RADIUS ट्रैफ़िक प्राप्त करती है और इसे एक सुरक्षित RadSec TLS कनेक्शन पर फॉरवर्ड करती है।

उन वातावरणों में अंतर को पाटने के लिए उपयोग किया जाता है जहां पुराने नेटवर्क हार्डवेयर मूल रूप से RadSec का समर्थन नहीं करते हैं।

X.509 Certificate

एक डिजिटल सर्टिफिकेट जो व्यापक रूप से स्वीकृत अंतरराष्ट्रीय X.509 PKI मानक का उपयोग करके यह सत्यापित करता है कि एक पब्लिक की सर्टिफिकेट के भीतर मौजूद उपयोगकर्ता, कंप्यूटर या सेवा पहचान से संबंधित है।

पहचान स्थापित करने और TLS टनल को एन्क्रिप्ट करने के लिए RadSec द्वारा उपयोग की जाने वाली क्रिप्टोग्राफिक नींव।

EAP (Extensible Authentication Protocol)

एक ऑथेंटिकेशन ढांचा जो अक्सर वायरलेस नेटवर्क और पॉइंट-टू-पॉइंट कनेक्शन में उपयोग किया जाता है।

EAP ट्रैफ़िक (जैसे EAP-TLS या PEAP) RADIUS पैकेट के भीतर एनकैप्सुलेटेड होता है, जिसका अर्थ है कि RadSec सुरक्षित रूप से EAP एक्सचेंज को ट्रांसपोर्ट करता है।

हल किए गए उदाहरण

500 स्थानों वाली एक राष्ट्रीय रिटेल चेन ऑन-प्रिमाइसेस RADIUS सर्वर से Purple के क्लाउड RADIUS पर माइग्रेट कर रही है। मौजूदा आर्किटेक्चर MPLS और SD-WAN लिंक के मिश्रण में UDP पर अनएन्क्रिप्टेड RADIUS का उपयोग करता है। 450 स्थानों पर आधुनिक Aruba एक्सेस पॉइंट हैं, जबकि 50 स्थानों पर लीगेसी हार्डवेयर का उपयोग किया जाता है जो RadSec का समर्थन नहीं करता है। नेटवर्क आर्किटेक्ट को नए ऑथेंटिकेशन ट्रांसपोर्ट को कैसे डिज़ाइन करना चाहिए?

आर्किटेक्ट को एक हाइब्रिड RadSec डिप्लॉयमेंट लागू करना चाहिए। आधुनिक Aruba AP वाले 450 स्थानों के लिए, सीधे AP या स्थानीय नियंत्रकों पर नेटिव RadSec कॉन्फ़िगर करें। Aruba उपकरणों पर Purple के क्लाउड RADIUS का रूट CA सर्टिफिकेट इंस्टॉल करें, और नेटवर्क प्रबंधन प्लेटफ़ॉर्म के माध्यम से क्लाइंट सर्टिफिकेट प्रदान करें। TCP 2083 के लिए इग्रेस फ़ायरवॉल नियम कॉन्फ़िगर करें। 50 लीगेसी स्थानों के लिए, प्रत्येक साइट पर एक लाइटवेट RadSec प्रॉक्सी (जैसे, एक छोटा Linux VM या radsecproxy चलाने वाला कंटेनर) डिप्लॉय करें। लीगेसी AP स्थानीय प्रॉक्सी को मानक UDP RADIUS भेजेंगे, जो फिर ट्रैफ़िक को Purple क्लाउड के लिए एक TLS टनल में एनकैप्सुलेट करेगा।

परीक्षक की टिप्पणी: यह दृष्टिकोण लीगेसी हार्डवेयर बाधाओं के साथ आधुनिक सुरक्षा मानकों को संतुलित करता है। जहाँ संभव हो नेटिव RadSec का उपयोग करके, आर्किटेक्ट मूविंग पार्ट्स को कम करता है। लीगेसी साइटों के लिए प्रॉक्सी समाधान यह सुनिश्चित करता है कि WAN/इंटरनेट से गुजरने वाला सभी ट्रैफ़िक एन्क्रिप्टेड हो, बिना तत्काल, महंगे हार्डवेयर रिफ्रेश की आवश्यकता के।

एक बड़े सम्मेलन केंद्र में RadSec डिप्लॉयमेंट के दौरान, नेटवर्क टीम ने देखा कि NAS डिवाइस व्यस्त समय के दौरान उपयोगकर्ताओं को सफलतापूर्वक ऑथेंटिकेट करते हैं, लेकिन सुबह जल्दी पहले कुछ उपयोगकर्ताओं को ऑथेंटिकेट करने में विफल रहते हैं। पैकेट कैप्चर से पता चलता है कि NAS, RADIUS ट्रैफ़िक भेजने का प्रयास कर रहा है, लेकिन फ़ायरवॉल से TCP RST पैकेट प्राप्त कर रहा है।

यह समस्या फ़ायरवॉल के आक्रामक TCP सेशन टाइमआउट के कारण रात भर निष्क्रिय RadSec कनेक्शन को ड्रॉप करने से होती है। नेटवर्क टीम को RadSec कनेक्शन के लिए NAS डिवाइस पर TCP कीपअलाइव्स कॉन्फ़िगर करना होगा, अंतराल को 60 सेकंड पर सेट करना होगा। इसके अतिरिक्त, उन्हें TCP पोर्ट 2083 के लिए फ़ायरवॉल के स्टेटफुल इंस्पेक्शन नियमों की समीक्षा करनी चाहिए और यह सुनिश्चित करना चाहिए कि सेशन टाइमआउट कीपअलाइव अंतराल से अधिक हो।

परीक्षक की टिप्पणी: RadSec पर्सिस्टेंट TCP कनेक्शन पर निर्भर करता है। UDP के विपरीत, जो स्टेटलेस है, TCP कनेक्शन को सक्रिय रूप से बनाए रखा जाना चाहिए। UDP RADIUS से ट्रांज़िशन करने वाले नेटवर्क इंजीनियर अक्सर कनेक्शन पर्सिस्टेंस की अनदेखी करते हैं, जिससे रुक-रुक कर होने वाली विफलताएं होती हैं जो ऑथेंटिकेशन टाइमआउट के रूप में दिखाई देती हैं।

अभ्यास प्रश्न

Q1. आप 50 शाखा कार्यालयों को Purple के क्लाउड RADIUS प्लेटफ़ॉर्म से जोड़ने वाले एक नए RadSec डिप्लॉयमेंट के लिए फ़ायरवॉल पॉलिसी डिज़ाइन कर रहे हैं। शाखा फ़ायरवॉल पर कौन से विशिष्ट इग्रेस नियम कॉन्फ़िगर किए जाने चाहिए?

संकेत: प्रोटोकॉल और कनेक्शन की स्टेटफुल प्रकृति दोनों पर विचार करें।

मॉडल उत्तर देखें

शाखा फ़ायरवॉल को NAS मैनेजमेंट IP पतों से उत्पन्न होने वाले आउटबाउंड TCP ट्रैफ़िक को पोर्ट 2083 पर अनुमति देनी चाहिए, जो Purple क्लाउड RADIUS सर्वर के IP पतों या FQDN के लिए नियत हो। चूंकि TCP स्टेटफुल है, इसलिए फ़ायरवॉल स्थापित सेशन के लिए रिटर्न ट्रैफ़िक की स्वचालित रूप से अनुमति देगा। RadSec के लिए UDP पोर्ट 1812 और 1813 की आवश्यकता नहीं है।

Q2. एक जूनियर इंजीनियर रिपोर्ट करता है कि एक नया कॉन्फ़िगर किया गया स्विच क्लाउड RADIUS सर्वर के साथ RadSec कनेक्शन स्थापित करने में विफल हो रहा है। स्विच लॉग दिखाते हैं: `TLS handshake failed: unknown CA`। आपको इसे कैसे हल करना चाहिए?

संकेत: स्विच स्वाभाविक रूप से सर्वर द्वारा प्रस्तुत सर्टिफिकेट पर भरोसा नहीं करता है।

मॉडल उत्तर देखें

आपको उस सर्टिफिकेट अथॉरिटी (CA) की पहचान करनी होगी जिसने क्लाउड RADIUS सर्वर का सर्टिफिकेट जारी किया है। एक बार पहचान हो जाने के बाद, सार्वजनिक रूट CA सर्टिफिकेट (और कोई भी इंटरमीडिएट CA सर्टिफिकेट) प्राप्त करें और उन्हें स्विच के ट्रस्ट स्टोर में इम्पोर्ट करें। यह स्विच को TLS हैंडशेक के दौरान सर्वर की पहचान को क्रिप्टोग्राफिक रूप से सत्यापित करने की अनुमति देता है।

Q3. आपका संगठन यह अनिवार्य करता है कि सभी नेटवर्क इंफ्रास्ट्रक्चर को WAN आउटेज से बचना चाहिए। यदि क्लाउड RADIUS सर्वर का इंटरनेट कनेक्शन विफल हो जाता है, तो RadSec कनेक्शन का क्या होता है, और NAS बाद के ऑथेंटिकेशन अनुरोधों को कैसे संभालता है?

संकेत: TCP कनेक्शन स्टेट्स और मानक RADIUS फ़ेलओवर तंत्र पर विचार करें।

मॉडल उत्तर देखें

जब WAN विफल हो जाता है, तो पर्सिस्टेंट TCP कनेक्शन अंततः टाइमआउट हो जाएगा (या यदि स्थानीय इंटरफ़ेस डाउन हो जाता है तो स्पष्ट रूप से रीसेट हो जाएगा)। NAS प्राइमरी RadSec सर्वर को अनुपलब्ध के रूप में चिह्नित करेगा। यदि एक सेकेंडरी RadSec सर्वर कॉन्फ़िगर किया गया है (जैसे, एक अलग भौगोलिक क्षेत्र में), तो NAS इसके लिए एक नया TLS कनेक्शन स्थापित करने का प्रयास करेगा। यदि सभी RADIUS सर्वर अनुपलब्ध हैं, तो नए ऑथेंटिकेशन विफल हो जाएंगे। हालांकि, जो उपयोगकर्ता पहले से ही ऑथेंटिकेटेड और कनेक्टेड हैं, वे आमतौर पर तब तक कनेक्टेड रहेंगे जब तक कि उनका सेशन समाप्त नहीं हो जाता या वे रोम नहीं करते, क्योंकि RADIUS केवल प्रारंभिक ऑथेंटिकेशन और समय-समय पर होने वाले री-ऑथेंटिकेशन चरणों के दौरान ही शामिल होता है।

इस श्रृंखला में आगे पढ़ें

स्टाफ WiFi नियम और शर्तें: कानूनी और अनुपालन अनिवार्यताएं

यह गाइड एंटरप्राइज वेन्यू के लिए स्टाफ WiFi नियमों और शर्तों का मसौदा तैयार करने और उन्हें लागू करने की कानूनी और तकनीकी आवश्यकताओं को कवर करती है। यह विवरण देती है कि स्वीकार्य उपयोग नीति (AUP) में क्या शामिल किया जाए, GDPR और PCI-DSS आवश्यकताओं को कैसे पूरा किया जाए, और कॉर्पोरेट संपत्तियों की सुरक्षा के लिए पहचान-आधारित प्रमाणीकरण और नेटवर्क सेगमेंटेशन को कैसे तैनात किया जाए। होटलों, रिटेल श्रृंखलाओं, स्टेडियमों और सार्वजनिक क्षेत्र के संगठनों के IT प्रबंधकों, HR टीमों और संचालन निदेशकों को व्यावहारिक मार्गदर्शन मिलेगा जिसे वे इस तिमाही में लागू कर सकते हैं।

रिटेल के लिए स्टाफ WiFi नीतियां: बैक-ऑफ-हाउस नेटवर्क को सुरक्षित करना

यह गाइड रिटेल बैक-ऑफ-हाउस WiFi नेटवर्क को सुरक्षित करने के लिए महत्वपूर्ण तकनीकी और नीतिगत आवश्यकताओं को कवर करती है - VLAN सेगमेंटेशन और PCI DSS 4.0 अनुपालन से लेकर शॉप फ्लोर पर कर्मचारी BYOD के प्रबंधन तक। यह IT प्रबंधकों, नेटवर्क आर्किटेक्ट्स और ऑपरेशंस निदेशकों को एक व्यावहारिक, वेंडर-तटस्थ खाका प्रदान करती है जिस पर वे इस तिमाही में कार्रवाई कर सकते हैं।

Wi-Fi सुरक्षा का भविष्य: AI-संचालित NAC और थ्रेट डिटेक्शन

यह आधिकारिक गाइड पुरानी WPA2 से AI-संचालित नेटवर्क एक्सेस कंट्रोल (NAC) और थ्रेट डिटेक्शन तक एंटरप्राइज़ Wi-Fi सुरक्षा के विकास की पड़ताल करती है। IT लीडर्स के लिए डिज़ाइन की गई, यह Purple के पहचान-आधारित नेटवर्क का उपयोग करके रिटेल, हॉस्पिटैलिटी और स्टेडियम जैसे उच्च-घनत्व वाले वातावरण को सुरक्षित करने के लिए कार्रवाई योग्य परिनियोजन (deployment) रणनीतियां प्रदान करती है।