RadSec: TLS के साथ RADIUS ऑथेंटिकेशन ट्रैफिक को सुरक्षित करना

यह व्यापक गाइड RadSec (RADIUS over TLS) का पता लगाती है, जिसमें विवरण दिया गया है कि यह आधुनिक क्लाउड और मल्टी-साइट डिप्लॉयमेंट के लिए नेटवर्क ऑथेंटिकेशन ट्रैफिक को कैसे सुरक्षित करता है। यह नेटवर्क आर्किटेक्ट्स को लेगेसी UDP RADIUS को बदलने के लिए व्यावहारिक कार्यान्वयन चरण, सर्टिफिकेट मैनेजमेंट रणनीतियां और समस्या निवारण तकनीक प्रदान करता है।

📖 6 मिनट का पाठ📝 1,403 शब्द🔧 2 हल किए गए उदाहरण❓ 3 अभ्यास प्रश्न📚 8 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें

RadSec: TLS के साथ RADIUS ऑथेंटिकेशन ट्रैफिक को सुरक्षित करना। एक Purple टेक्निकल ब्रीफिंग।

परिचय और संदर्भ।

इस Purple टेक्निकल ब्रीफिंग में आपका स्वागत है। मैं आपको RadSec — RADIUS over TLS — के बारे में बताऊंगा कि यह क्या है, यह अभी क्यों महत्वपूर्ण है, और आप इसे वास्तव में कैसे डिप्लॉय करते हैं। यह सीधे तौर पर उन नेटवर्क आर्किटेक्ट्स और सुरक्षा इंजीनियरों के लिए है जो या तो आज क्लाउड RADIUS चला रहे हैं या वहां जाने की योजना बना रहे हैं। यदि आप अभी भी UDP और एक शेयर्ड सीक्रेट के साथ ऑन-प्रिमाइसेस RADIUS सर्वर चला रहे हैं, तो यह ब्रीफिंग आपके लिए है।

आइए इसकी पृष्ठभूमि तैयार करें। RADIUS तीस से अधिक वर्षों से नेटवर्क ऑथेंटिकेशन की रीढ़ रहा है। यह 802.1X, WPA2-Enterprise, WPA3-Enterprise और आज प्रोडक्शन में लगभग हर कैप्टिव पोर्टल सिस्टम का आधार है। RFC 2865 में परिभाषित यह प्रोटोकॉल स्वयं एक ऐसे युग में डिज़ाइन किया गया था जब इंटरनेट बहुत अलग जगह थी। आपके NAS डिवाइसेज — आपके एक्सेस पॉइंट्स, स्विच और कंट्रोलर्स — और आपके RADIUS सर्वर के बीच ऑथेंटिकेशन ट्रैफिक UDP पर चलता था, ऑथेंटिकेशन के लिए पोर्ट 1812, अकाउंटिंग के लिए पोर्ट 1813। और वह ट्रैफिक? काफी हद तक अनएन्क्रिप्टेड। एकमात्र सुरक्षा एक शेयर्ड सीक्रेट थी जिसका उपयोग यूजर पासवर्ड एट्रिब्यूट को ऑब्फस्केट करने के लिए किया जाता था, और इसके भी अच्छी तरह से प्रलेखित (well-documented) कमजोरियां हैं।

वर्षों तक, यह स्वीकार्य था क्योंकि RADIUS ट्रैफिक प्राइवेट, नियंत्रित नेटवर्क पर रहता था। आपके NAS डिवाइस और आपका RADIUS सर्वर एक ही LAN पर थे, या एक समर्पित MPLS सर्किट के माध्यम से जुड़े थे। अटैक सरफेस प्रबंधनीय था। लेकिन दुनिया बदल गई है। क्लाउड-नेटिव इंफ्रास्ट्रक्चर, डिस्ट्रीब्यूटेड वेन्यू डिप्लॉयमेंट, SD-WAN ओवरले और क्लाउड RADIUS सेवाओं में बदलाव ने थ्रेट मॉडल को मौलिक रूप से बदल दिया है। आपका ऑथेंटिकेशन ट्रैफिक अब पब्लिक इंटरनेट से होकर गुजर रहा है, या सबसे अच्छे रूप में, ऐसे शेयर्ड इंफ्रास्ट्रक्चर से जिसे आप पूरी तरह से नियंत्रित नहीं करते हैं। यहीं पर RadSec काम आता है।

तकनीकी गहन विश्लेषण।

RFC 6614 में औपचारिक रूप से परिभाषित RadSec, RADIUS over TLS है। अवधारणा सीधी है: UDP पर RADIUS पैकेट भेजने के बजाय, आप उन्हें TCP पर एक TLS कनेक्शन के भीतर एनकैप्सुलेट करते हैं। परिणाम यह है कि आपके NAS और आपके RADIUS सर्वर के बीच सभी ऑथेंटिकेशन और अकाउंटिंग ट्रैफिक पूरी तरह से एन्क्रिप्टेड, म्यूचुअली ऑथेंटिकेटेड और इंटीग्रिटी-प्रोटेक्टेड होता है। RFC 7360 इसे DTLS — UDP पर डेटाग्राम TLS — तक विस्तारित करता है, जो एन्क्रिप्शन जोड़ते हुए मूल UDP ट्रांसपोर्ट की कुछ लेटेंसी विशेषताओं को सुरक्षित रखता है। अधिकांश एंटरप्राइज डिप्लॉयमेंट के लिए, TCP पर TLS सही विकल्प है। बड़े स्टेडियम डिप्लॉयमेंट जैसे हाई-थ्रूपुट, लेटेंसी-सेंसिटिव वातावरण में DTLS पर विचार करना उचित है।

आइए मैकेनिक्स के बारे में बात करते हैं। RadSec TCP पोर्ट 2083 पर काम करता है, जो इस प्रोटोकॉल के लिए IANA-असाइन किया गया पोर्ट है। जब कोई NAS डिवाइस RadSec कनेक्शन शुरू करता है, तो यह पोर्ट 2083 पर RADIUS सर्वर के लिए एक TCP कनेक्शन खोलता है और एक TLS हैंडशेक करता है। यह हैंडशेक म्यूचुअल होता है — क्लाइंट, यानी आपका NAS, और सर्वर दोनों X.509 सर्टिफिकेट प्रस्तुत करते हैं। सर्वर के सर्टिफिकेट को एक विश्वसनीय CA के खिलाफ वैलिडेट किया जाता है। क्लाइंट सर्टिफिकेट RADIUS सर्वर पर NAS की पहचान करता है। एक बार TLS सेशन स्थापित हो जाने के बाद, RADIUS पैकेट उस एन्क्रिप्टेड टनल के भीतर ठीक उसी तरह प्रवाहित होते हैं जैसे वे UDP पर होते, लेकिन अब पूर्ण गोपनीयता, अखंडता और रीप्ले सुरक्षा के साथ।

यह तीन महत्वपूर्ण तरीकों से पारंपरिक RADIUS से एक महत्वपूर्ण बदलाव है। पहला, ट्रांसपोर्ट TCP है, UDP नहीं। इसका मतलब है कि आपको विश्वसनीय, क्रमित डिलीवरी मिलती है। खोए हुए पैकेट स्वचालित रूप से रीट्रांसमिट हो जाते हैं। दूसरा, दोनों एंडपॉइंट्स का ऑथेंटिकेशन सर्टिफिकेट-आधारित है, शेयर्ड-सीक्रेट-आधारित नहीं। यह कमजोर या समझौता किए गए शेयर्ड सीक्रेट्स पर आधारित हमलों के एक पूरे वर्ग को समाप्त करता है। तीसरा, पूरा RADIUS पैकेट एन्क्रिप्टेड होता, न कि केवल पासवर्ड एट्रिब्यूट। इसका मतलब है कि यूजरनेम, सेशन आइडेंटिफायर्स और सभी RADIUS एट्रिब्यूट्स ट्रांजिट में सुरक्षित हैं।

सर्टिफिकेट मैनेजमेंट के दृष्टिकोण से, आपको अपने RADIUS सर्वर और अपने NAS डिवाइस दोनों के लिए सर्टिफिकेट जारी करने और प्रबंधित करने के लिए एक PKI — एक पब्लिक की इंफ्रास्ट्रक्चर — की आवश्यकता होती है। व्यवहार में, अधिकांश क्लाउड RADIUS प्रदाता, जिसमें Purple का क्लाउड-नेटिव ऑथेंटिकेशन इंफ्रास्ट्रक्चर शामिल है, आपके लिए सर्वर-साइड सर्टिफिकेट मैनेजमेंट संभालते हैं। आपकी जिम्मेदारी आपके NAS डिवाइसेज को क्लाइंट सर्टिफिकेट प्रोविजन करने की है। बड़े पैमाने पर डिप्लॉयमेंट के लिए, इसे आमतौर पर आपके नेटवर्क मैनेजमेंट प्लेटफॉर्म या एक समर्पित सर्टिफिकेट मैनेजमेंट सिस्टम के माध्यम से संभाला जाता है। सर्टिफिकेट में कम से कम RSA 2048-बिट या ECDSA P-256 का उपयोग होना चाहिए, जिसकी वैधता अवधि परिचालन ओवरहेड को सुरक्षा स्वच्छता के खिलाफ संतुलित करती है — बारह महीने एक उचित डिफॉल्ट है।

अब, आइए उस वैकल्पिक दृष्टिकोण के साथ तुलना को संबोधित करें जिसका उपयोग आज कई संगठन करते हैं: RADIUS ट्रैफिक की सुरक्षा के लिए IPsec टनल या VPN ओवरले। IPsec पूरी तरह से वैध दृष्टिकोण है, लेकिन यह एक अलग लेयर पर काम करता है। आप दो एंडपॉइंट्स के बीच सभी ट्रैफिक को एन्क्रिप्ट कर रहे हैं, जो जटिलता जोड़ता है — आपको टनल के लिए IKE, प्री-शेयर्ड कीज़ या सर्टिफिकेट को प्रबंधित करने की आवश्यकता होती है, और संभावित रूप से सैकड़ों साइटों पर टनल स्टेट को बनाए रखने का परिचालन ओवरहेड होता है। RadSec अधिक सर्जिकल है। यह विशेष रूप से RADIUS प्रोटोकॉल ट्रैफिक को एन्क्रिप्ट करता है, एप्लीकेशन लेयर पर काम करता है, और सीधे आपके RADIUS इंफ्रास्ट्रक्चर के साथ इंटीग्रेट होता है। क्लाउड RADIUS डिप्लॉयमेंट के लिए जहां आप डिस्ट्रीब्यूटेड वेन्यू पर कई NAS डिवाइसेज को एक सेंट्रलाइज्ड क्लाउड सर्वर से जोड़ रहे हैं, RadSec आर्किटेक्चरल रूप से अधिक साफ-सुथरा और परिचालन रूप से सरल है।

मुझे आपको यह समझाने दें कि व्यवहार में मल्टी-साइट डिप्लॉयमेंट कैसा दिखता है। आपके पास एक क्लाउड RADIUS सर्वर है — मान लें कि यह Purple का प्लेटफॉर्म है — जिसके पास एक विश्वसनीय CA से वैध TLS सर्टिफिकेट है। आपके पास तीन वेन्यू प्रकार हैं: एक होटल प्रॉपर्टी, एक रिटेल स्टोर और एक कॉन्फ्रेंस सेंटर। प्रत्येक में NAS डिवाइस हैं — एक्सेस पॉइंट्स, स्विच या वायरलेस LAN कंट्रोलर। प्रत्येक NAS डिवाइस को RadSec सर्वर एड्रेस, पोर्ट 2083 और एक क्लाइंट सर्टिफिकेट के साथ कॉन्फ़िगर किया जाना चाहिए। NAS, TLS कनेक्शन शुरू करता है, म्यूचुअल हैंडशेक पूरा होता है, और उस बिंदु से आगे, उस वेन्यू पर मेहमानों और कर्मचारियों के लिए सभी 802.1X ऑथेंटिकेशन ट्रैफिक क्लाउड RADIUS सर्वर पर एन्क्रिप्टेड प्रवाहित होता है। यदि TLS कनेक्शन टूट जाता है — मान लें, नेटवर्क व्यवधान के कारण — तो NAS इसे स्वचालित रूप से फिर से स्थापित करता है। यह पर्सिस्टेंट कनेक्शन मॉडल वास्तव में हाई-वॉल्यूम डिप्लॉयमेंट के लिए UDP की तुलना में अधिक कुशल है क्योंकि आप प्रति-पैकेट प्रोसेसिंग के ओवरहेड से बचते हैं।

फ़ायरवॉल की तरफ, आपको अपने NAS मैनेजमेंट नेटवर्क से अपने RADIUS सर्वर के IP एड्रेस या FQDN पर पोर्ट 2083 पर आउटबाउंड TCP की अनुमति देनी होगी। यदि आप एक सख्त इग्रेस पॉलिसी चला रहे हैं, तो आप रिटर्न ट्रैफिक की भी अनुमति देना चाहेंगे। यह IPsec फ़ायरवॉल नियमों को प्रबंधित करने की तुलना में सरल है, जिसके लिए अक्सर UDP 500 और 4500 पर ESP प्रोटोकॉल अपवादों और IKE की आवश्यकता होती है।

कार्यान्वयन सिफारिशें और नुकसान।

आइए बात करते हैं कि RadSec डिप्लॉयमेंट में वास्तव में क्या गलत होता है, क्योंकि कुछ लगातार विफलता मोड हैं जो मैं संगठनों में देखता हूं।

पहली और सबसे आम समस्या सर्टिफिकेट चेन वैलिडेशन विफलताएं हैं। आपके NAS डिवाइस को उस CA पर भरोसा करने की आवश्यकता है जिसने RADIUS सर्वर के सर्टिफिकेट पर हस्ताक्षर किए हैं। यदि आप एक प्रसिद्ध सार्वजनिक CA — DigiCert, Let's Encrypt, Sectigo — के सर्टिफिकेट के साथ क्लाउड RADIUS प्रदाता का उपयोग कर रहे हैं, तो अधिकांश आधुनिक NAS डिवाइस आउट ऑफ द बॉक्स इस पर भरोसा करेंगे। लेकिन यदि आप एक आंतरिक CA का उपयोग कर रहे हैं, तो आपको प्रत्येक NAS डिवाइस पर CA सर्टिफिकेट पुश करना होगा। प्रारंभिक डिप्लॉयमेंट के दौरान अक्सर इसकी अनदेखी की जाती है और यह TLS हैंडशेक विफलताओं के रूप में सामने आता है जो कनेक्टिविटी समस्याओं की तरह दिखती हैं।

दूसरा नुकसान सर्टिफिकेट की समाप्ति (expiry) है। शेयर्ड सीक्रेट्स के विपरीत, जो समाप्त नहीं होते हैं, सर्टिफिकेट की एक निश्चित वैधता अवधि होती है। यदि आपका RADIUS सर्वर सर्टिफिकेट समाप्त हो जाता है, तो आपके एस्टेट का प्रत्येक NAS डिवाइस एक साथ ऑथेंटिकेट करने में विफल हो जाएगा। आपको सर्टिफिकेट लाइफसाइकिल मैनेजमेंट की आवश्यकता है — जहां संभव हो स्वचालित रिन्यूअल, और समाप्ति से काफी पहले अलर्ट के साथ निगरानी। नब्बे दिन का नोटिस न्यूनतम है; तीस दिन बेहतर है।

तीसरी समस्या NAS डिवाइस कम्पैटिबिलिटी है। सभी NAS डिवाइस मूल रूप से RadSec का समर्थन नहीं करते हैं। पुराने Cisco IOS संस्करण, कुछ लेगेसी Aruba कंट्रोलर और कुछ उपभोक्ता-ग्रेड एक्सेस पॉइंट्स में RadSec समर्थन नहीं है। RadSec डिप्लॉयमेंट के लिए प्रतिबद्ध होने से पहले, कम्पैटिबिलिटी के लिए अपने NAS एस्टेट का ऑडिट करें। Cisco IOS-XE 16.x और बाद के संस्करण, Aruba AOS-CX, Ruckus SmartZone और Juniper EX श्रृंखला सभी में ठोस RadSec समर्थन है। उन डिवाइसेज के लिए जो मूल रूप से RadSec का समर्थन नहीं करते हैं, एक RadSec प्रॉक्सी — `radsecproxy` जैसा एक ओपन-सोर्स विकल्प — इस अंतर को पाट सकता है, लेगेसी डिवाइसेज से UDP RADIUS स्वीकार कर सकता है और इसे TLS पर क्लाउड RADIUS सर्वर पर फॉरवर्ड कर सकता है।

चौथा विचार कनेक्शन पर्सिस्टेंस और कीपअलाइव्स है। RadSec पर्सिस्टेंट TCP कनेक्शन का उपयोग करता, लेकिन आक्रामक टाइमआउट पॉलिसियों वाले फ़ायरवॉल और NAT डिवाइस निष्क्रिय कनेक्शनों को चुपचाप छोड़ सकते हैं। अपने RadSec कनेक्शनों पर TCP कीपअलाइव कॉन्फ़िगर करें — समय से पहले कनेक्शन टूटने से रोकने के लिए आमतौर पर साठ सेकंड का कीपअलाइव अंतराल पर्याप्त होता है। अधिकांश RADIUS सर्वर कार्यान्वयन और NAS डिवाइस इस कॉन्फ़िगरेशन का समर्थन करते हैं।

Cisco IOS-XE के लिए, RadSec कॉन्फ़िगरेशन इस तरह दिखता है। आप अपने क्लाउड RADIUS एंडपॉइंट के पते के साथ एक RADIUS सर्वर परिभाषित करते हैं, TLS को ट्रांसपोर्ट के रूप में निर्दिष्ट करते हैं, अपने ट्रस्टपॉइंट को संदर्भित करते हैं — जो डिवाइस पर सर्टिफिकेट स्टोर है — और डेस्टिनेशन पोर्ट को 2083 पर सेट करते हैं। फिर आप अपने AAA सर्वर समूह कॉन्फ़िगरेशन में इस सर्वर को संदर्भित करते हैं। विवरण प्लेटफ़ॉर्म संस्करण के अनुसार भिन्न होते हैं, लेकिन तार्किक संरचना सभी वेंडर्स में सुसंगत है।

Aruba कंट्रोलर्स के लिए जो AOS चला रहे हैं, आप RadSec विकल्प सक्षम करके RADIUS सर्वर को कॉन्फ़िगर करते हैं, सर्वर वैलिडेशन के लिए CA सर्टिफिकेट निर्दिष्ट करते हैं, और वैकल्पिक रूप से म्यूचुअल TLS के लिए एक क्लाइंट सर्टिफिकेट कॉन्फ़िगर करते हैं। Aruba का कार्यान्वयन परिपक्व और अच्छी तरह से प्रलेखित है।

रैपिड-फायर प्रश्न और उत्तर।

आइए उन प्रश्नों पर नज़र डालें जो मुझसे RadSec के बारे में सबसे अक्सर पूछे जाते हैं।

क्या RadSec लेटेंसी बढ़ाता है? TLS हैंडशेक प्रारंभिक कनेक्शन स्थापना पर एक छोटा ओवरहेड जोड़ता है — आमतौर पर 100 मिलीसेकंड से कम। एक बार कनेक्शन स्थापित हो जाने के बाद, प्रति-पैकेट ओवरहेड नगण्य होता है। 802.1X ऑथेंटिकेशन के लिए, जहां हैंडशेक प्रति सेशन एक बार होता है, यह कोई महत्वपूर्ण चिंता नहीं है।

क्या मैं पारंपरिक UDP RADIUS के साथ RadSec चला सकता हूँ? हाँ। अधिकांश RADIUS सर्वर एक साथ दोनों का समर्थन करते हैं। माइग्रेशन के दौरान, आप उन साइटों के लिए RadSec चला सकते हैं जो इसका समर्थन करती हैं और लेगेसी साइटों के लिए UDP पर वापस जा सकते हैं। यह अनुशंसित माइग्रेशन दृष्टिकोण है।

क्या PCI-DSS अनुपालन के लिए RadSec आवश्यक है? PCI-DSS संस्करण 4.0 की आवश्यकता है कि ट्रांजिट में ऑथेंटिकेशन ट्रैफिक सुरक्षित होना चाहिए। RADIUS-आधारित ऑथेंटिकेशन के लिए इस आवश्यकता को पूरा करने के सबसे सीधे तरीकों में से एक RadSec है। यदि आप ऐसे नेटवर्क पर कार्ड भुगतान संसाधित कर रहे हैं जो RADIUS ऑथेंटिकेशन का उपयोग करता है, तो RadSec आपके अनुपालन रोडमैप पर होना चाहिए।

क्या RadSec EAP के साथ काम करता है? हाँ। EAP — एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल — RADIUS के भीतर एनकैप्सुलेटेड होता है, इसलिए EAP-TLS, PEAP, EAP-TTLS सभी RadSec पर पारदर्शी रूप से काम करते हैं। EAP एक्सचेंज स्वयं अप्रभावित रहता है।

RADIUS अकाउंटिंग के बारे में क्या? RFC 6614 ऑथेंटिकेशन और अकाउंटिंग ट्रैफिक दोनों को कवर करता है। आपका अकाउंटिंग डेटा — सेशन स्टार्ट, स्टॉप और अंतरिम अपडेट रिकॉर्ड — भी पोर्ट 2083 पर उसी TLS कनेक्शन पर एन्क्रिप्टेड होता है।

सारांश और अगले कदम।

इसे एक साथ लाने के लिए: किसी भी डिप्लॉयमेंट में जहां ऑथेंटिकेशन ट्रैफिक ऐसे इंफ्रास्ट्रक्चर को पार करता है जिसे आप पूरी तरह से नियंत्रित नहीं करते हैं, RADIUS के लिए RadSec सही ट्रांसपोर्ट लेयर है। इसका मतलब है क्लाउड RADIUS, वहु-साइट डिप्लॉयमेंट, SD-WAN वातावरण, और कोई भी परिदृश्य जहां RADIUS ट्रैफिक पब्लिक इंटरनेट या शेयर्ड कैरियर इंफ्रास्ट्रक्चर से होकर गुजरता है।

आपकी टीम के लिए मुख्य कार्य हैं: पहला, RadSec कम्पैटिबिलिटी के लिए अपने NAS एस्टेट का ऑडिट करें और उन डिवाइसेज की पहचान करें जिन्हें प्रॉक्सी की आवश्यकता होगी। दूसरा, अपने क्लाउड RADIUS प्रदाता से संपर्क करें — या उन प्रदाताओं का मूल्यांकन करें जो मूल रूप से RadSec का समर्थन करते हैं — और उनके सर्टिफिकेट मैनेजमेंट दृष्टिकोण को समझें। तीसरा, लाइव होने से पहले एक सर्टिफिकेट लाइफसाइकिल मैनेजमेंट प्रक्रिया स्थापित करें। चौथा, अपने NAS मैनेजमेंट नेटवर्क से आउटबाउंड TCP 2083 की अनुमति देने के लिए अपने फ़ायरवॉल नियमों को अपडेट करें। पांचवां, प्रोडक्शन में रोल आउट करने से पहले एक स्टेजिंग वातावरण में अपने RadSec कॉन्फ़िगरेशन का परीक्षण करें, लोड के तहत सर्टिफिकेट चेन वैलिडेशन और कनेक्शन पर्सिस्टेंस पर विशेष ध्यान दें।

डिस्ट्रीब्यूटेड वेन्यू पर गेस्ट WiFi और ऑथेंटिकेशन के लिए Purple के प्लेटफॉर्म को चलाने वाले संगठनों के लिए, क्लाउड RADIUS कनेक्टिविटी के लिए RadSec अनुशंसित ट्रांसपोर्ट है। यह Purple के क्लाउड-नेटिव आर्किटेक्चर के साथ संरेखित है और यह सुनिश्चित करता है कि आपके वेन्यू और प्लेटफॉर्म के बीच बहने वाला ऑथेंटिकेशन डेटा पूरी तरह से सुरक्षित है — जो आपकी सुरक्षा स्थिति और GDPR और PCI-DSS के तहत आपके अनुपालन दायित्वों दोनों के लिए मायने रखता है।

यदि आप डिप्लॉयमेंट की योजना बना रहे हैं या अपने विशिष्ट आर्किटेक्चर पर चर्चा करना चाहते हैं, तो Purple टीम सही शुरुआती बिंदु है। यह RadSec पर एक Purple टेक्निकल ब्रीफिंग थी। सुनने के लिए धन्यवाद।

मुख्य निष्कर्ष

✓RadSec अनएन्क्रिप्टेड UDP RADIUS को TCP पोर्ट 2083 पर सुरक्षित, एन्क्रिप्टेड TLS से बदल देता है।
✓यह पब्लिक इंटरनेट और SD-WAN लिंक पर ऑथेंटिकेशन ट्रैफिक की सुरक्षा के लिए आवश्यक है।
✓RadSec म्यूचुअल TLS (mTLS) का उपयोग करता है, जिसके लिए RADIUS सर्वर और NAS डिवाइस दोनों पर सर्टिफिकेट की आवश्यकता होती है।
✓पर्सिस्टेंट TCP कनेक्शन ओवरहेड को कम करते हैं और हाई-वॉल्यूम वाले वातावरण में विश्वसनीयता में सुधार करते हैं।
✓RadSec को लागू करना जटिल IPsec VPN ओवरले की आवश्यकता को समाप्त करके मल्टी-साइट आर्किटेक्चर को सरल बनाता है।
✓लेगेसी NAS डिवाइस जो मूल रूप से RadSec का समर्थन नहीं करते हैं, उन्हें RadSec प्रॉक्सी का उपयोग करके इंटीग्रेट किया जा सकता है।
✓RadSec को अपनाने से संगठनों को PCI-DSS और GDPR जैसी सख्त अनुपालन आवश्यकताओं को पूरा करने में मदद मिलती है।

कार्यकारी सारांश

दशकों से, UDP पर RADIUS नेटवर्क ऑथेंटिकेशन का आधार रहा है, जो सुरक्षा के लिए प्राइवेट नेटवर्क और शेयर्ड सीक्रेट्स पर निर्भर करता है। जैसे-जैसे एंटरप्राइज आर्किटेक्चर क्लाउड-नेटिव इंफ्रास्ट्रक्चर, डिस्ट्रीब्यूटेड Retail और Hospitality वेन्यू और SD-WAN ओवरले की ओर बढ़ रहे हैं, थ्रेट मॉडल मौलिक रूप से बदल गया है। RADIUS ट्रैफिक अब अक्सर पब्लिक या शेयर्ड नेटवर्क से होकर गुजरता है, जिससे ऑथेंटिकेशन डेटा इंटरसेप्शन (बीच में रोके जाने) के प्रति संवेदनशील हो जाता है।

RFC 6614 में परिभाषित RadSec (RADIUS over TLS), RADIUS पैकेट को एक म्यूचुअली ऑथेंटिकेटेड TLS टनल के भीतर एनकैप्सुलेट करके इसे हल करता है। यह गाइड नेटवर्क आर्किटेक्ट्स और सिक्योरिटी इंजीनियर्स के लिए RadSec को डिप्लॉय करने पर एक व्यापक तकनीकी संदर्भ प्रदान करती है। हम पारंपरिक RADIUS से आर्किटेक्चरल अंतर, सर्टिफिकेट मैनेजमेंट आवश्यकताओं, फ़ायरवॉल कॉन्फ़िगरेशन और Purple के Guest WiFi और WiFi Analytics इंफ्रास्ट्रक्चर जैसे क्लाउड RADIUS प्लेटफॉर्म के साथ इंटीग्रेट करने के लिए व्यावहारिक डिप्लॉयमेंट विचारों को कवर करते हैं। RadSec को अपनाकर, संगठन मजबूत सुरक्षा सुनिश्चित कर सकते हैं, PCI-DSS और GDPR जैसी सख्त अनुपालन आवश्यकताओं को पूरा कर सकते हैं, और मल्टी-साइट ऑथेंटिकेशन आर्किटेक्चर को सरल बना सकते हैं।

तकनीकी गहन विश्लेषण

RADIUS ट्रांसपोर्ट का विकास

रिमोट ऑथेंटिकेशन डायल-इन यूजर सर्विस (RADIUS) प्रोटोकॉल, जिसे मूल रूप से RFC 2865 में परिभाषित किया गया था, नेटवर्किंग के एक अलग युग के लिए डिज़ाइन किया गया था। यह अपने ट्रांसपोर्ट लेयर के रूप में UDP का उपयोग करता है (ऑथेंटिकेशन के लिए पोर्ट 1812, अकाउंटिंग के लिए 1813)। पारंपरिक RADIUS में, पेलोड ट्रांजिट में काफी हद तक अनएन्क्रिप्टेड होता है। एकमात्र सुरक्षा तंत्र नेटवर्क एक्सेस सर्वर (NAS) और RADIUS सर्वर के बीच एक शेयर्ड सीक्रेट का उपयोग करके User-Password एट्रिब्यूट को ऑब्फस्केट (अस्पष्ट) करना है।

हालांकि यह तब पर्याप्त था जब NAS डिवाइस और RADIUS सर्वर एक ही फिजिकल LAN या समर्पित MPLS सर्किट पर रहते थे, आधुनिक आर्किटेक्चर इस मॉडल से आगे निकल चुके हैं। जैसा कि The Core SD WAN Benefits for Modern Businesses पर हमारी चर्चा में बताया गया है, डिस्ट्रीब्यूटेड एंटरप्राइजेज अब इंटर-साइट कनेक्टिविटी के लिए इंटरनेट ट्रांसपोर्ट पर निर्भर हैं। पब्लिक इंटरनेट पर अनएन्क्रिप्टेड RADIUS ट्रैफिक भेजने से यूजर क्रेडेंशियल्स, सेशन आइडेंटिफायर्स और नेटवर्क एक्सेस नीतियां इंटरसेप्शन और टैंपरिंग (छेड़छाड़) के लिए उजागर हो जाती हैं।

RadSec: RADIUS over TLS (RFC 6614)

RadSec ट्रांसपोर्ट लेयर को बदलकर इन कमजोरियों को दूर करता है। UDP के बजाय, RadSec TCP पोर्ट 2083 का उपयोग करता है। किसी भी RADIUS पैकेट का आदान-प्रदान होने से पहले, NAS और RADIUS सर्वर एक TLS (ट्रांसपोर्ट लेयर सिक्योरिटी) कनेक्शन स्थापित करते हैं।

RadSec की मुख्य तकनीकी विशेषताओं में शामिल हैं:

TCP ट्रांसपोर्ट: RadSec विश्वसनीय, क्रमित डिलीवरी प्रदान करता है। यह UDP RADIUS में निहित एप्लीकेशन-लेयर रिट्रांसमिशन की आवश्यकता को समाप्त करता है, जो हाई-लेटेंसी वाले वातावरण में समस्याएं पैदा कर सकता है।
पूर्ण पेलोड एन्क्रिप्शन: पूरा RADIUS पैकेट—हेडर्स और सभी एट्रिब्यूट्स सहित—TLS टनल के भीतर एन्क्रिप्टेड होता है।
म्यूचुअल ऑथेंटिकेशन (mTLS): RADIUS सर्वर और NAS डिवाइस दोनों X.509 सर्टिफिकेट का उपयोग करके एक-दूसरे को ऑथेंटिकेट करते हैं। यह कमजोर शेयर्ड सीक्रेट मॉडल को मजबूत पब्लिक की इंफ्रास्ट्रक्चर (PKI) से बदल देता है।
पर्सिस्टेंट कनेक्शन: UDP RADIUS के विपरीत जो कनेक्शनलेस है, RadSec एक पर्सिस्टेंट TCP कनेक्शन बनाए रखता है। यह प्रत्येक ऑथेंटिकेशन अनुरोध के लिए एक नया कनेक्शन स्थापित करने के ओवरहेड को कम करता है, जो व्यस्त वेन्यू के लिए अत्यधिक कुशल है।

नोट: RFC 7360 DTLS (डेटाग्राम TLS) पर RADIUS को परिभाषित करता है, जो UDP का उपयोग करता है। हालांकि विशिष्ट हाई-थ्रूपुट परिदृश्यों में उपयोगी होने के बावजूद, TCP पर TLS एंटरप्राइज क्लाउड RADIUS डिप्लॉयमेंट के लिए मानक बना हुआ है।

डिस्ट्रीब्यूटेड वातावरण में आर्किटेक्चर

एक विशिष्ट मल्टी-साइट डिप्लॉयमेंट में—जैसे कि एक राष्ट्रीय Healthcare प्रदाता या Transport हब की एक श्रृंखला—RadSec आर्किटेक्चर को काफी सरल बनाता है।

RADIUS ट्रैफिक की सुरक्षा के लिए प्रत्येक ब्रांच लोकेशन से वापस एक सेंट्रल डेटा सेंटर तक जटिल IPsec VPN मेश बनाने के बजाय, प्रत्येक NAS डिवाइस क्लाउड RADIUS प्रदाता के लिए इंटरनेट पर एक सीधा RadSec TLS कनेक्शन स्थापित करता है। यह एक एप्लीकेशन-लेयर सुरक्षा मॉडल है जिसे डिप्लॉय करना अधिक साफ-सुथरा है और नेटवर्क-लेयर VPN की तुलना में समस्या निवारण (ट्रबलशूट) करना आसान है।

कार्यान्वयन गाइड

RadSec को डिप्लॉय करने के लिए नेटवर्क इंफ्रास्ट्रक्चर, सर्टिफिकेट अथॉरिटीज और फ़ायरवॉल पॉलिसियों के बीच समन्वय की आवश्यकता होती है। सफल डिप्लॉयमेंट के लिए इन वेंडर-न्यूट्रल चरणों का पालन करें।

1. सर्टिफिकेट इंफ्रास्ट्रक्चर की तैयारी

RadSec mTLS पर निर्भर करता है। आपको सर्वर और क्लाइंट (NAS डिवाइस) दोनों के लिए सर्टिफिकेट की आवश्यकता होती magnetism है।

सर्वर सर्टिफिकेट: आपका क्लाउड RADIUS प्रदाता (जैसे, Purple) एक सार्वजनिक सर्टिफिकेट अथॉरिटी (CA) या आंतरिक CA द्वारा हस्ताक्षरित एक सर्वर सर्टिफिकेट प्रस्तुत करेगा। सर्वर को वैलिडेट करने के लिए आपके NAS डिवाइस के ट्रस्ट स्टोर में रूट CA सर्टिफिकेट इंस्टॉल होना चाहिए।
क्लाइंट सर्टिफिकेट: प्रत्येक NAS डिवाइस को RADIUS सर्वर पर अपनी पहचान प्रमाणित करने के लिए एक क्लाइंट सर्टिफिकेट की आवश्यकता होती है। इन्हें अपने आंतरिक PKI या नेटवर्क मैनेजमेंट सिस्टम के माध्यम से जनरेट करें। सुनिश्चित करें कि वे कम से कम RSA 2048-बिट या ECDSA P-256 कुंजियों (keys) का उपयोग करते हैं।

2. फ़ायरवॉल कॉन्फ़िगरेशन

RadSec को आपके NAS मैनेजमेंट इंटरफेस से विशिष्ट इग्रेस (egress) नियमों की आवश्यकता होती है:

प्रोटोकॉल: TCP
डेस्टिनेशन पोर्ट: 2083
डेस्टिनेशन IP/FQDN: आपके प्राइमरी और सेकेंडरी क्लाउड RADIUS सर्वर के पते।
स्टेटफुल इंस्पेक्शन: सुनिश्चित करें कि फ़ायरवॉल स्थापित TCP कनेक्शन के लिए रिटर्न ट्रैफिक की अनुमति देता है।
कीपअलाइव्स: साइलेंट कनेक्शन ड्रॉप्स को रोकने के लिए फ़ायरवॉल TCP टाइमआउट मानों को RadSec कीपअलाइव अंतराल (आमतौर पर 60 सेकंड) से अधिक लंबा कॉन्फ़िगर करें।

3. NAS डिवाइस कॉन्फ़िगरेशन (सामान्य वर्कफ़्लो)

हालांकि विशिष्ट सिंटैक्स वेंडर (Cisco, Aruba, Juniper, आदि) के अनुसार भिन्न होता है, तार्किक कॉन्फ़िगरेशन चरण सुसंगत हैं:

CA सर्टिफिकेट इम्पोर्ट करें: उस CA सर्टिफिकेट को लोड करें जिसने RADIUS सर्वर के सर्टिफिकेट को NAS ट्रस्ट स्टोर में हस्ताक्षरित किया है।
क्लाइंट सर्टिफिकेट इम्पोर्ट करें: NAS डिवाइस का क्लाइंट सर्टिफिकेट और प्राइवेट की लोड करें।
RADIUS सर्वर परिभाषित करें: RADIUS सर्वर IP/FQDN कॉन्फ़िगर करें।
RadSec सक्षम करें: TLS को ट्रांसपोर्ट प्रोटोकॉल के रूप में निर्दिष्ट करें और पोर्ट को 2083 पर सेट करें।
सर्टिफिकेट बाइंड करें: इम्पोर्ट किए गए सर्टिफिकेट को RadSec सर्वर कॉन्फ़िगरेशन के साथ संबद्ध करें।
AAA प्रोफाइल पर लागू करें: RadSec सर्वर को प्रासंगिक AAA ऑथेंटिकेशन और अकाउंटिंग समूहों में जोड़ें।

4. लेगेसी डिवाइसेज को संभालना (RadSec प्रॉक्सी)

सभी NAS डिवाइस मूल रूप से RadSec का समर्थन नहीं करते हैं। पुराने स्विच या उपभोक्ता-ग्रेड एक्सेस पॉइंट्स के लिए, एक RadSec प्रॉक्सी (जैसे कि radsecproxy) डिप्लॉय करें। प्रॉक्सी स्थानीय LAN पर बैठता है, लेगेसी डिवाइसेज से पारंपरिक UDP RADIUS स्वीकार करता है, और इसे एक सुरक्षित RadSec TLS टनल पर क्लाउड RADIUS सर्वर पर फॉरवर्ड करता है।

सर्वोत्तम प्रथाएं

सर्टिफिकेट लाइफसाइकिल मैनेजमेंट: NAS डिवाइसेज के लिए स्वचालित सर्टिफिकेट रिन्यूअल लागू करें। क्लाइंट सर्टिफिकेट के बड़े पैमाने पर समाप्त होने से व्यापक नेटवर्क आउटेज होगा। सर्टिफिकेट की वैधता की निगरानी करें और समाप्त होने से 90, 60 और 30 दिन पहले अलर्ट करें।
हाई अवेलेबिलिटी: हमेशा प्राइमरी और सेकेंडरी RadSec सर्वर कॉन्फ़िगर करें। चूंकि TCP कनेक्शन स्थापित करने में UDP पैकेट ट्रांसमिशन की तुलना में अधिक समय लगता है, इसलिए यदि प्राइमरी कनेक्शन टूट जाता है तो सेकेंडरी सर्वर पर जल्दी से स्विच करने के लिए NAS पर आक्रामक फेलओवर टाइमर कॉन्फ़िगर करें।
TCP कीपअलाइव्स: निष्क्रिय कनेक्शनों का पता लगाने और फ़ायरवॉल को निष्क्रिय सत्रों को छोड़ने से रोकने के लिए NAS डिवाइस पर TCP कीपअलाइव सक्षम करें। 60 सेकंड का अंतराल मानक है।
सख्त सर्टिफिकेट वैलिडेशन: सुनिश्चित करें कि NAS डिवाइसेज को सर्वर सर्टिफिकेट को सख्ती से वैलिडेट करने के लिए कॉन्फ़िगर किया गया है, जिसमें कॉन्फ़िगर किए गए सर्वर होस्टनाम के खिलाफ सब्जेक्ट अल्टरनेटिव नेम (SAN) की जांच करना शामिल है। प्रोडक्शन में सर्टिफिकेट वैलिडेशन को अक्षम न करें।
भविष्य के लिए तैयार करना: जैसे-जैसे वायरलेस मानक विकसित होते हैं, जैसे कि हमारी गाइड WiFi 6E vs WiFi 7: What Venues Need to Know में चर्चा की गई है, ऑथेंटिकेशन ट्रैफिक की मात्रा बढ़ेगी। RadSec के पर्सिस्टेंट TCP कनेक्शन इस डेंसिटी को संभालने के लिए UDP की तुलना में बेहतर अनुकूल हैं।

समस्या निवारण और जोखिम शमन

जब RadSec डिप्लॉयमेंट विफल होते हैं, तो समस्या शायद ही कभी RADIUS प्रोटोकॉल की होती है; यह लगभग हमेशा TLS या TCP से संबंधित होती है।

सामान्य विफलता मोड

TLS हैंडशेक विफलताएं (अज्ञान CA): NAS डिवाइस RADIUS सर्वर के सर्टिफिकेट को अस्वीकार कर देता है क्योंकि हस्ताक्षर करने वाला CA, NAS ट्रस्ट स्टोर में नहीं है।
- शमन: सर्वर द्वारा उपयोग की जाने वाली सटीक CA चेन को सत्यापित करें और सुनिश्चित करें कि रूट (और कोई भी इंटरमीडिएट) CA, NAS पर इंस्टॉल हैं।
साइलेंट कनेक्शन ड्रॉप्स: RadSec कनेक्शन सफलतापूर्वक स्थापित हो जाता है, लेकिन निष्क्रियता की अवधि के बाद ऑथेंटिकेशन अनुरोध टाइमआउट हो जाते हैं। यह आमतौर पर एक स्टेटफुल फ़ायरवॉल होता है जो निष्क्रिय TCP कनेक्शन को छोड़ देता है।
- शमन: NAS पर TCP कीपअलाइव सक्षम करें और पोर्ट 2083 के लिए फ़ायरवॉल सेशन टाइमआउट सेटिंग्स सत्यापित करें।
क्लॉक स्क्यू (समय का अंतर): TLS सर्टिफिकेट वैलिडेशन सटीक सिस्टम समय पर निर्भर करता है। यदि NAS डिवाइस की घड़ी काफी हद तक सिंक से बाहर है, तो यह वैध सर्टिफिकेट को समाप्त या अभी तक वैध नहीं के रूप में मूल्यांकित करेगी।
- शमन: सुनिश्चित करें कि RadSec कनेक्शन शुरू करने से पहले सभी NAS डिवाइस विश्वसनीय NTP सर्वर के साथ सिंक्रोनाइज़्ड हैं।

ROI और व्यावसायिक प्रभाव

RadSec पर संक्रमण तकनीकी सुरक्षा सुधारों से परे मापने योग्य व्यावसायिक मूल्य प्रदान करता है:

अनुपालन और जोखिम में कमी: RadSec ट्रांजिट में ऑथेंटिकेशन डेटा को एन्क्रिप्ट करता है, जो सीधे PCI-DSS v4.0 और GDPR की आवश्यकताओं को पूरा करता है। यह क्रेडेंशियल इंटरसेप्शन से जुड़े वित्तीय और प्रतिष्ठित जोखिमों को कम करता है।
परिचालन दक्षता: जटिल, साइट-टू-साइट IPsec VPN को एप्लीकेशन-लेयर RadSec से बदलने से नेटवर्क इंजीनियरिंग ओवरहेड कम हो जाता है। क्लाउड प्रदाता के लिए TLS कनेक्शन का समस्या निवारण करना सैकड़ों शाखाओं में VPN राउटिंग और IKE फेज वार्ताओं को डीबग करने की तुलना में काफी तेज है।
क्लाउड रेडीनेस: RadSec क्लाउड-नेटिव ऑथेंटिकेशन के लिए सक्षम करने वाली तकनीक है। इसे अपनाकर, संगठन आधुनिक पहचान प्रदाताओं और Purple जैसे प्लेटफार्मों के साथ सहजता से इंटीग्रेट कर सकते हैं, जिससे ऑन-प्रिमाइसेस सर्वर फ़ुटप्रिंट और लाइसेंसिंग लागत कम हो जाती है।

मुख्य परिभाषाएं

RadSec

एक प्रोटोकॉल जो ट्रांसपोर्ट लेयर सिक्योरिटी (TLS) टनल के भीतर RADIUS ऑथेंटिकेशन और अकाउंटिंग डेटा को एनकैप्सुलेट करता है।

अविश्वसनीय नेटवर्क पर ऑथेंटिकेशन ट्रैफिक को सुरक्षित करने के लिए उपयोग किया जाता है, जो लेगेसी UDP RADIUS की जगह लेता है।

mTLS (Mutual TLS)

एक ऑथेंटिकेशन प्रक्रिया जहां क्लाइंट (NAS) और सर्वर (RADIUS) दोनों TLS हैंडशेक के दौरान एक-दूसरे के X.509 सर्टिफिकेट को सत्यापित करते हैं।

यह सुनिश्चित करके कि दोनों एंडपॉइंट्स को क्रिप्टोग्राफिक रूप से सत्यापित किया गया है, पारंपरिक RADIUS शेयर्ड सीक्रेट मॉडल की तुलना में अधिक मजबूत सुरक्षा प्रदान करता है।

NAS (Network Access Server)

वह डिवाइस जो उपयोगकर्ताओं को नेटवर्क एक्सेस प्रदान करता है और RADIUS क्लाइंट के रूप में कार्य करता है। आधुनिक नेटवर्क में, यह आमतौर पर एक वायरलेस एक्सेस पॉइंट, स्विच या वायरलेस LAN कंट्रोलर होता है।

NAS क्लाउड RADIUS सर्वर से RadSec कनेक्शन शुरू करने के लिए जिम्मेदार है।

PKI (Public Key Infrastructure)

डिजिटल सर्टिफिकेट बनाने, प्रबंधित करने, वितरित करने, उपयोग करने, संग्रहीत करने और निरस्त करने के लिए आवश्यक भूमिकाओं, नीतियों, हार्डवेयर, सॉफ्टवेयर और प्रक्रियाओं का ढांचा।

बड़े एस्टेट्स में RadSec डिप्लॉयमेंट के लिए आवश्यक सर्टिफिकेट्स को प्रबंधित करने के लिए आवश्यक है।

TCP Keepalive

एक तंत्र जो यह सत्यापित करने के लिए कि कनेक्शन अभी भी सक्रिय है और स्टेटफुल फ़ायरवॉल को सेशन को छोड़ने से रोकने के लिए एक निष्क्रिय कनेक्शन पर खाली TCP पैकेट भेजता है।

कम ऑथेंटिकेशन गतिविधि की अवधि के दौरान पर्सिस्टेंट RadSec कनेक्शन बनाए रखने के लिए महत्वपूर्ण है।

RadSec Proxy

एक सॉफ्टवेयर सेवा जो एक मध्यस्थ के रूप में कार्य करती है, लेगेसी डिवाइसेज से पारंपरिक UDP RADIUS ट्रैफिक प्राप्त करती है और इसे एक सुरक्षित RadSec TLS कनेक्शन पर फॉरवर्ड करती है।

उन वातावरणों में अंतर को पाटने के लिए उपयोग किया जाता है जहां पुराने नेटवर्क हार्डवेयर मूल रूप से RadSec का समर्थन नहीं करते हैं।

X.509 Certificate

एक डिजिटल सर्टिफिकेट जो व्यापक रूप से स्वीकृत अंतरराष्ट्रीय X.509 PKI मानक का उपयोग करके यह सत्यापित करता है कि एक पब्लिक की सर्टिफिकेट के भीतर मौजूद यूजर, कंप्यूटर या सर्विस पहचान से संबंधित है।

पहचान स्थापित करने और TLS टनल को एन्क्रिप्ट करने के लिए RadSec द्वारा उपयोग की जाने वाली क्रिप्टोग्राफिक नींव।

EAP (Extensible Authentication Protocol)

एक ऑथेंटिकेशन ढांचा जो अक्सर वायरलेस नेटवर्क और पॉइंट-टू-पॉइंट कनेक्शन में उपयोग किया जाता है।

EAP ट्रैफिक (जैसे EAP-TLS या PEAP) RADIUS पैकेट के भीतर एनकैप्सुलेटेड होता है, जिसका अर्थ है कि RadSec सुरक्षित रूप से EAP एक्सचेंज को ट्रांसपोर्ट करता है।

हल किए गए उदाहरण

500 स्थानों वाली एक राष्ट्रीय रिटेल चेन ऑन-प्रिमाइसेस RADIUS सर्वर से Purple के क्लाउड RADIUS पर माइग्रेट कर रही है। मौजूदा आर्किटेक्चर MPLS और SD-WAN लिंक के मिश्रण में UDP पर अनएन्क्रिप्टेड RADIUS का उपयोग करता है। 450 स्थानों पर आधुनिक Aruba एक्सेस पॉइंट हैं, जबकि 50 स्थान लेगेसी हार्डवेयर का उपयोग करते हैं जो RadSec का समर्थन नहीं करता है। नेटवर्क आर्किटेक्ट को नए ऑथेंटिकेशन ट्रांसपोर्ट को कैसे डिज़ाइन करना चाहिए?

आर्किटेक्ट को एक हाइब्रिड RadSec डिप्लॉयमेंट लागू करना चाहिए। आधुनिक Aruba AP वाले 450 स्थानों के लिए, सीधे AP या स्थानीय नियंत्रकों पर नेटिव RadSec कॉन्फ़िगर करें। Aruba डिवाइसेज पर Purple के क्लाउड RADIUS का रूट CA सर्टिफिकेट इंस्टॉल करें, और नेटवर्क मैनेजमेंट प्लेटफॉर्म के माध्यम से क्लाइंट सर्टिफिकेट प्रोविजन करें। TCP 2083 के लिए इग्रेस फ़ायरवॉल नियम कॉन्फ़िगर करें। 50 लेगेसी स्थानों के लिए, प्रत्येक साइट पर एक लाइटवेट RadSec प्रॉक्सी (जैसे, radsecproxy चलाने वाला एक छोटा Linux VM या कंटेनर) डिप्लॉय करें। लेगेसी AP स्थानीय प्रॉक्सी को मानक UDP RADIUS भेजेंगे, जो फिर ट्रैफिक को Purple क्लाउड के लिए एक TLS टनल में एनकैप्सुलेट करेगा।

परीक्षक की टिप्पणी: यह दृष्टिकोण लेगेसी हार्डवेयर बाधाओं के साथ आधुनिक सुरक्षा मानकों को संतुलित करता है। जहां संभव हो नेटिव RadSec का उपयोग करके, आर्किटेक्ट मूविंग पार्ट्स को कम करता है। लेगेसी साइटों के लिए प्रॉक्सी समाधान यह सुनिश्चित करता है कि WAN/इंटरनेट से गुजरने वाला सभी ट्रैफिक तत्काल, महंगे हार्डवेयर रिफ्रेश की आवश्यकता के बिना एन्क्रिप्टेड हो।

एक बड़े सम्मेलन केंद्र (conference centre) में RadSec डिप्लॉयमेंट के दौरान, नेटवर्क टीम देखती है कि NAS डिवाइस व्यस्त अवधि के दौरान उपयोगकर्ताओं को सफलतापूर्वक ऑथेंटिकेट करते हैं, लेकिन सुबह जल्दी पहले कुछ उपयोगकर्ताओं को ऑथेंटिकेट करने में विफल रहते हैं। पैकेट कैप्चर दिखाते हैं कि NAS, RADIUS ट्रैफिक भेजने का प्रयास कर रहा है, लेकिन फ़ायरवॉल से TCP RST पैकेट प्राप्त कर रहा है।

यह समस्या फ़ायरवॉल के आक्रामक TCP सेशन टाइमआउट के कारण होती है जो रात भर निष्क्रिय RadSec कनेक्शन को छोड़ देता है। नेटवर्क टीम को RadSec कनेक्शन के लिए NAS डिवाइसेज पर TCP कीपअलाइव कॉन्फ़िगर करना होगा, अंतराल को 60 सेकंड पर सेट करना होगा। इसके अतिरिक्त, उन्हें TCP पोर्ट 2083 के लिए फ़ायरवॉल के स्टेटफुल इंस्पेक्शन नियमों की समीक्षा करनी चाहिए और यह सुनिश्चित करना चाहिए कि सेशन टाइमआउट कीपअलाइव अंतराल से अधिक हो।

परीक्षक की टिप्पणी: RadSec पर्सिस्टेंट TCP कनेक्शन पर निर्भर करता है। UDP के विपरीत, जो स्टेटलेस है, TCP कनेक्शन को सक्रिय रूप से बनाए रखा जाना चाहिए। नेटवर्क इंजीनियर संक्रमण करने वाले अक्सर कनेक्शन पर्सिस्टेंस की अनदेखी करते हैं, जिससे रुक-रुक कर होने वाली विफलताएं होती हैं जो ऑथेंटिकेशन टाइमआउट के रूप में दिखाई देती हैं।

अभ्यास प्रश्न

Q1. आप 50 ब्रांच ऑफिसों को Purple के क्लाउड RADIUS प्लेटफॉर्म से जोड़ने वाले एक नए RadSec डिप्लॉयमेंट के लिए फ़ायरवॉल पॉलिसी डिज़ाइन कर रहे हैं। ब्रांच फ़ायरवॉल पर कौन से विशिष्ट इग्रेस नियम कॉन्फ़िगर किए जाने चाहिए?

संकेत: प्रोटोकॉल और कनेक्शन की स्टेटफुल प्रकृति दोनों पर विचार करें।

मॉडल उत्तर देखें

ब्रांच फ़ायरवॉल को NAS मैनेजमेंट IP पतों से उत्पन्न होने वाले पोर्ट 2083 पर आउटबाउंड TCP ट्रैफिक की अनुमति देनी चाहिए, जो Purple क्लाउड RADIUS सर्वर के IP पतों या FQDN के लिए नियत हो। चूंकि TCP स्टेटफुल है, इसलिए फ़ायरवॉल स्थापित सत्रों के लिए रिटर्न ट्रैफिक की स्वचालित रूप से अनुमति देगा। RadSec के लिए UDP पोर्ट 1812 और 1813 की आवश्यकता नहीं है।

Q2. एक जूनियर इंजीनियर रिपोर्ट करता है कि एक नया कॉन्फ़िगर किया गया स्विच क्लाउड RADIUS सर्वर के साथ RadSec कनेक्शन स्थापित करने में विफल हो रहा है। स्विच लॉग दिखाते हैं: `TLS handshake failed: unknown CA`। आपको इसे कैसे हल करना चाहिए?

संकेत: स्विच स्वाभाविक रूप से सर्वर द्वारा प्रस्तुत सर्टिफिकेट पर भरोसा नहीं करता है।

मॉडल उत्तर देखें

आपको उस सर्टिफिकेट अथॉरिटी (CA) की पहचान करनी होगी जिसने क्लाउड RADIUS सर्वर का सर्टिफिकेट जारी किया है। एक बार पहचान हो जाने के बाद, सार्वजनिक रूट CA सर्टिफिकेट (और कोई भी इंटरमीडिएट CA सर्टिफिकेट) प्राप्त करें और उन्हें स्विच के ट्रस्ट स्टोर में इम्पोर्ट करें। यह स्विच को TLS हैंडशेक के दौरान सर्वर की पहचान को क्रिप्टोग्राफिक रूप से सत्यापित करने की अनुमति देता है।

Q3. आपका संगठन यह अनिवार्य करता है कि सभी नेटवर्क इंफ्रास्ट्रक्चर को WAN आउटेज से बचना चाहिए। यदि क्लाउड RADIUS सर्वर का इंटरनेट कनेक्शन विफल हो जाता है, तो RadSec कनेक्शन का क्या होता है, और NAS बाद के ऑथेंटिकेशन अनुरोधों को कैसे संभालता है?

संकेत: TCP कनेक्शन स्टेट्स और मानक RADIUS फेलओवर तंत्र पर विचार करें।

मॉडल उत्तर देखें

जब WAN विफल हो जाता है, तो पर्सिस्टेंट TCP कनेक्शन अंततः टाइमआउट हो जाएगा (या यदि स्थानीय इंटरफ़ेस डाउन हो जाता है तो स्पष्ट रूप से रीसेट हो जाएगा)। NAS बाहरी RadSec सर्वर को अनुपलब्ध (unreachable) के रूप में चिह्नित करेगा। यदि एक सेकेंडरी RadSec सर्वर कॉन्फ़िगर किया गया है (जैसे, एक अलग भौगोलिक क्षेत्र में), तो NAS इसके लिए एक नया TLS कनेक्शन स्थापित करने का प्रयास करेगा। यदि सभी RADIUS सर्वर अनुपलब्ध हैं, तो नए ऑथेंटिकेशन विफल हो जाएंगे। हालांकि, जो उपयोगकर्ता पहले से ही ऑथेंटिकेटेड और कनेक्टेड हैं, वे आमतौर पर तब तक कनेक्टेड रहेंगे जब तक कि उनका सेशन समाप्त नहीं हो जाता या वे रोम नहीं करते, क्योंकि RADIUS केवल प्रारंभिक ऑथेंटिकेशन और समय-समय पर होने वाले री-ऑथेंटिकेशन चरणों के दौरान शामिल होता है।

इस श्रृंखला में आगे पढ़ें

Wi-Fi सुरक्षा का भविष्य: AI-संचालित NAC और थ्रेट डिटेक्शन

यह आधिकारिक गाइड पुरानी WPA2 से AI-संचालित नेटवर्क एक्सेस कंट्रोल (NAC) और थ्रेट डिटेक्शन तक एंटरप्राइज़ Wi-Fi सुरक्षा के विकास की पड़ताल करती है। IT लीडर्स के लिए डिज़ाइन की गई, यह Purple के पहचान-आधारित नेटवर्क का उपयोग करके रिटेल, हॉस्पिटैलिटी और स्टेडियम जैसे उच्च-घनत्व वाले वातावरण को सुरक्षित करने के लिए कार्रवाई योग्य परिनियोजन (deployment) रणनीतियां प्रदान करती है।

NAC और MPSK के साथ IoT डिवाइस सुरक्षा का प्रबंधन

यह तकनीकी मार्गदर्शिका विस्तार से बताती है कि एंटरप्राइज़ स्थान मल्टीपल प्री-शेयर्ड की (MPSK) आर्किटेक्चर और नेटवर्क एक्सेस कंट्रोल (NAC) का उपयोग करके हेडलेस IoT डिवाइसों को कैसे सुरक्षित कर सकते हैं। यह स्केलेबिलिटी से समझौता किए बिना माइक्रो-सेगमेंटेशन प्राप्त करने, सुरक्षा ब्लास्ट रेडियस को सीमित करने और अनुपालन बनाए रखने के लिए कार्रवाई योग्य कार्यान्वयन चरण प्रदान करता है।

RadSec: RADIUS over TLS कैसे WiFi ऑथेंटिकेशन सिक्योरिटी को बेहतर बनाता है

यह आधिकारिक तकनीकी संदर्भ बताता है कि कैसे RadSec (RFC 6614) पारंपरिक RADIUS ट्रैफ़िक को TLS एन्क्रिप्शन में रैप करके एंटरप्राइज़ WiFi ऑथेंटिकेशन को सुरक्षित करता है। IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए डिज़ाइन किया गया, यह कॉर्पोरेट और गेस्ट नेटवर्क पर अनएन्क्रिप्टेड UDP RADIUS ट्रैफ़िक के जोखिमों को कम करने के लिए आर्किटेक्चर, डिप्लॉयमेंट रणनीतियों और व्यावहारिक कदमों को कवर करता है।