मुख्य सामग्री पर जाएं
हिन्दी

RadSec: RADIUS over TLS कैसे WiFi ऑथेंटिकेशन सिक्योरिटी को बेहतर बनाता है

यह आधिकारिक तकनीकी संदर्भ बताता है कि कैसे RadSec (RFC 6614) पारंपरिक RADIUS ट्रैफ़िक को TLS एन्क्रिप्शन में रैप करके एंटरप्राइज़ WiFi ऑथेंटिकेशन को सुरक्षित करता है। IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए डिज़ाइन किया गया, यह कॉर्पोरेट और गेस्ट नेटवर्क पर अनएन्क्रिप्टेड UDP RADIUS ट्रैफ़िक के जोखिमों को कम करने के लिए आर्किटेक्चर, डिप्लॉयमेंट रणनीतियों और व्यावहारिक कदमों को कवर करता है।

📖 4 मिनट का पाठ📝 871 शब्द🔧 2 हल किए गए उदाहरण3 अभ्यास प्रश्न📚 8 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें
RadSec: RADIUS over TLS कैसे WiFi ऑथेंटिकेशन सिक्योरिटी को बेहतर बनाता है एक Purple एंटरप्राइज़ WiFi इंटेलिजेंस ब्रीफ़िंग अनुमानित रनटाइम: 10 मिनट --- [परिचय और संदर्भ — लगभग 1 मिनट] Purple एंटरप्राइज़ WiFi इंटेलिजेंस सीरीज़ में आपका स्वागत है। मैं आपका होस्ट हूँ, और आज हम एक ऐसे विषय पर चर्चा कर रहे हैं जो नेटवर्क सुरक्षा और ऑपरेशनल जोखिम के बिल्कुल चौराहे पर है: RadSec — जिसे औपचारिक रूप से RFC 6614 में परिभाषित किया गया है — और यदि यह पहले से नहीं है तो इसे आपके इंफ्रास्ट्रक्चर रोडमैप पर क्यों होना चाहिए। यदि आप एक IT प्रबंधक, नेटवर्क आर्किटेक्ट, या CTO हैं जो किसी होटल समूह, रिटेल एस्टेट, स्टेडियम या सार्वजनिक क्षेत्र के कैंपस में एंटरप्राइज़ WiFi के लिए ज़िम्मेदार हैं, तो यह ब्रीफ़िंग आपके लिए है। हम कवर करने जा रहे हैं कि RadSec वास्तव में क्या है, पारंपरिक RADIUS प्रोटोकॉल आपको असुरक्षित क्यों छोड़ देता है, वास्तविक दुनिया के वातावरण में RadSec को कैसे डिप्लॉय किया जाए, और वे कमियाँ जो टीमों को फँसाती हैं। केवल सिद्धांत के लिए कोई सिद्धांत नहीं — बस वह जानकारी जो आपको इस तिमाही में निर्णय लेने के लिए चाहिए। आइए इसमें गोता लगाएँ। --- [तकनीकी डीप-डाइव — लगभग 5 मिनट] तो, आइए समस्या से शुरू करते हैं। RADIUS — रिमोट ऑथेंटिकेशन डायल-इन यूज़र सर्विस — 1990 के दशक से एंटरप्राइज़ WiFi ऑथेंटिकेशन की रीढ़ रहा है। जब कोई यूज़र या डिवाइस आपके कॉर्पोरेट या गेस्ट WiFi से कनेक्ट होता है, तो एक्सेस पॉइंट RADIUS क्लाइंट के रूप में कार्य करता है, जो ऑथेंटिकेशन अनुरोधों को RADIUS सर्वर पर फॉरवर्ड करता है, जो आपकी डायरेक्टरी — Active Directory, LDAP, या क्लाउड आइडेंटिटी प्रोवाइडर — के विरुद्ध क्रेडेंशियल्स को मान्य करता है और एक्सेस प्रदान करता है या अस्वीकार करता है। यह 802.1X ऑथेंटिकेशन मॉडल है जो WPA2-Enterprise और WPA3-Enterprise नेटवर्क को रेखांकित करता है。 समस्या यह है कि पारंपरिक RADIUS को एक अलग युग के लिए डिज़ाइन किया गया था। यह पोर्ट 1812 और 1813 पर UDP — यूज़र डेटाग्राम प्रोटोकॉल — पर चलता है। UDP कनेक्शनलेस है, जिसका अर्थ है कि कोई हैंडशेक नहीं है, कोई सेशन स्टेट नहीं है, और गंभीर रूप से, कोई नेटिव एन्क्रिप्शन नहीं है। आपके एक्सेस पॉइंट और आपके RADIUS सर्वर के बीच एकमात्र सुरक्षा एक शेयर्ड सीक्रेट है — अनिवार्य रूप से एक पासवर्ड — जिसका उपयोग MD5 हैशिंग का उपयोग करके ट्रांज़िट में यूज़र के पासवर्ड को अस्पष्ट करने के लिए किया जाता है। MD5, जैसा कि आप में से अधिकांश लोग जानते होंगे, क्रिप्टोग्राफ़िक रूप से टूट चुका है। यह सालों से टूटा हुआ है。 व्यवहार में इसका क्या अर्थ है? इसका मतलब है कि किसी भी नेटवर्क सेगमेंट पर जहाँ कोई हमलावर RADIUS ट्रैफ़िक को इंटरसेप्ट कर सकता है — और इसमें कॉम्प्रोमाइज़्ड स्विच, आपके मैनेजमेंट VLAN पर रोग (rogue) डिवाइस, या रिमोट एक्सेस पॉइंट और क्लाउड-होस्टेड RADIUS सर्वर के बीच का कोई भी बिंदु शामिल है — वे संभावित रूप से ऑथेंटिकेशन एक्सचेंजों को कैप्चर कर सकते हैं, शेयर्ड सीक्रेट के विरुद्ध ऑफ़लाइन डिक्शनरी हमलों का प्रयास कर सकते हैं, और कुछ कॉन्फ़िगरेशन में, यूज़र क्रेडेंशियल्स को पूरी तरह से उजागर कर सकते हैं。 200 संपत्तियों में गेस्ट WiFi चलाने वाले होटल समूह के लिए, या सार्वजनिक इंटरनेट पर एक केंद्रीय RADIUS सर्वर पर बैकहॉल करने वाले प्रत्येक स्टोर में एक्सेस पॉइंट वाली रिटेल चेन के लिए, यह कोई सैद्धांतिक जोखिम नहीं है। यह एक लाइव अटैक सरफेस है。 RadSec बिल्कुल यही हल करता है। RadSec — जिसे RFC 6614 में परिभाषित किया गया है और RFC 7360 द्वारा अपडेट किया गया है — RADIUS ट्रैफ़िक को TLS टनल के अंदर रैप करता है। UDP के बजाय, यह पोर्ट 2083 पर TCP का उपयोग करता है। शेयर्ड सीक्रेट और MD5 के बजाय, यह X.509 सर्टिफ़िकेट के साथ म्यूचुअल TLS ऑथेंटिकेशन का उपयोग करता है। RADIUS क्लाइंट और RADIUS सर्वर दोनों सर्टिफ़िकेट प्रस्तुत करते हैं, एक-दूसरे की पहचान सत्यापित करते हैं, और किसी भी ऑथेंटिकेशन डेटा का आदान-प्रदान होने से पहले एक एन्क्रिप्टेड सेशन स्थापित करते हैं। TLS 1.3 वर्तमान अनुशंसित संस्करण है, जो फॉरवर्ड सीक्रेसी प्रदान करता है और कई लेगेसी सिफर कमज़ोरियों को समाप्त करता है。 इसका व्यावहारिक प्रभाव महत्वपूर्ण है। क्रेडेंशियल डेटा, यूज़र एट्रिब्यूट्स और सेशन टोकन एक्सेस पॉइंट — या RadSec प्रॉक्सी — और RADIUS सर्वर के बीच एंड-टू-एंड एन्क्रिप्टेड होते हैं। वायर पर ट्रैफ़िक को इंटरसेप्ट करने वाले हमलावर को केवल एन्क्रिप्टेड TLS रिकॉर्ड दिखाई देते हैं। शेयर्ड सीक्रेट अभी भी बैकवर्ड कम्पैटिबिलिटी के लिए मौजूद है, लेकिन यह अब कोई सार्थक सुरक्षा कार्य नहीं कर रहा है — TLS भार वहन कर रहा है。 यहाँ एक और आयाम है जो तेज़ी से प्रासंगिक हो रहा है: रोमिंग। पूरे यूरोप और उसके बाहर विश्वविद्यालयों और शोध संस्थानों द्वारा उपयोग किया जाने वाला Eduroam फ़ेडरेशन, अपने अंतर-संस्थागत रोमिंग इंफ्रास्ट्रक्चर के हिस्से के रूप में वर्षों से RadSec चला रहा है। हाल ही में, Wi-Fi Alliance का OpenRoaming मानक — जो भाग लेने वाले वेन्यू में निर्बाध WiFi रोमिंग को सक्षम बनाता है — सभी फ़ेडरेशन ट्रैफ़िक के लिए RadSec को अनिवार्य करता है। यदि आप OpenRoaming-सक्षम इंफ्रास्ट्रक्चर डिप्लॉय कर रहे हैं, तो RadSec वैकल्पिक नहीं है; यह एक पूर्वापेक्षा है। Purple अपने कनेक्ट (Connect) लाइसेंस के तहत OpenRoaming का समर्थन करता है, जो फ़ेडरेशन के भीतर एक आइडेंटिटी प्रोवाइडर के रूप में कार्य करता है, और RadSec उस सुरक्षित रोमिंग फैब्रिक के संचालन के केंद्र में है。 अनुपालन के दृष्टिकोण से, RadSec PCI DSS 4.0 के लिए तेज़ी से प्रासंगिक है, जो ट्रांज़िट में ऑथेंटिकेशन डेटा की सुरक्षा के आसपास की आवश्यकताओं को कड़ा करता है। यदि आपका WiFi इंफ्रास्ट्रक्चर पेमेंट कार्ड वातावरण को छूता है — और रिटेल और हॉस्पिटैलिटी में, यह अक्सर होता है — तो पारंपरिक RADIUS में एन्क्रिप्शन गैप एक ऐसी खामी है जो कभी भी सामने आ सकती है। GDPR को भी व्यक्तिगत डेटा की सुरक्षा के लिए उचित तकनीकी उपायों की आवश्यकता होती है; आपके नेटवर्क पर अनएन्क्रिप्टेड रूप से बहने वाले यूज़र क्रेडेंशियल्स और सेशन मेटाडेटा का डेटा सुरक्षा ऑडिट में बचाव करना कठिन है。 अब आर्किटेक्चर के बारे में बात करते हैं। RadSec के लिए दो प्राथमिक डिप्लॉयमेंट पैटर्न हैं。 पहला आपके RADIUS सर्वर और एक्सेस पॉइंट पर नेटिव RadSec सपोर्ट है। FreeRADIUS 3.0 और इसके बाद के संस्करण नेटिव रूप से RadSec का समर्थन करते हैं। वर्तमान रिलीज़ के अनुसार Microsoft NPS नेटिव रूप से RadSec का समर्थन नहीं करता है, जो Windows-केंद्रित इंफ्रास्ट्रक्चर चलाने वाले संगठनों के लिए एक महत्वपूर्ण बाधा है। Cisco ISE RadSec का समर्थन करता है। Aruba ClearPass RadSec का समर्थन करता है। यदि आपका RADIUS सर्वर और आपका एक्सेस पॉइंट वेंडर दोनों नेटिव रूप से RadSec का समर्थन करते हैं, तो यह सबसे साफ़ रास्ता है — दोनों सिरों पर TLS सर्टिफ़िकेट कॉन्फ़िगर करें, अपने फ़ायरवॉल पर TCP 2083 खोलें, और आप RADIUS ट्रैफ़िक को एंड-टू-एंड एन्क्रिप्ट कर रहे हैं。 दूसरा पैटर्न RadSec प्रॉक्सी है। व्यवहार में यह अधिक सामान्य डिप्लॉयमेंट है, विशेष रूप से लेगेसी RADIUS इंफ्रास्ट्रक्चर या मिक्स्ड-वेंडर वातावरण वाले संगठनों के लिए। एक RadSec प्रॉक्सी — radsecproxy सबसे व्यापक रूप से डिप्लॉय किया गया ओपन-सोर्स इम्प्लीमेंटेशन है — आपके एक्सेस पॉइंट और आपके RADIUS सर्वर के बीच बैठता है। एक्सेस पॉइंट लोकल नेटवर्क पर प्रॉक्सी को UDP पर मानक RADIUS भेजते हैं। प्रॉक्सी उस कनेक्शन को समाप्त करता है, RADIUS ट्रैफ़िक को TLS टनल के अंदर फिर से एनकैप्सुलेट करता है, और इसे TCP 2083 पर अपस्ट्रीम RADIUS सर्वर पर फॉरवर्ड करता है। यह दृष्टिकोण आपको अपने RADIUS सर्वर को बदले बिना मौजूदा इंफ्रास्ट्रक्चर में RadSec जोड़ने देता है, और यह विशेष रूप से तब उपयोगी होता है जब आपका RADIUS सर्वर क्लाउड में होस्ट किया गया हो या सार्वजनिक इंटरनेट पर एक्सेस किया गया हो。 सर्टिफ़िकेट मैनेजमेंट वह ऑपरेशनल जटिलता है जिसके लिए आपको योजना बनाने की आवश्यकता है। म्यूचुअल TLS के लिए उपयोग किए जाने वाले X.509 सर्टिफ़िकेट जारी करने और प्रबंधित करने के लिए आपको एक PKI — पब्लिक की इंफ्रास्ट्रक्चर — की आवश्यकता होगी। इसका मतलब है एक सर्टिफ़िकेट अथॉरिटी, प्रत्येक RADIUS क्लाइंट और सर्वर के लिए सर्टिफ़िकेट जारी करना, और एक्सपायरी से पहले सर्टिफ़िकेट रोटेशन की प्रक्रिया। बिना ध्यान दिए एक्सपायर होने वाले सर्टिफ़िकेट आपके नेटवर्क पर हर यूज़र के लिए एक साथ ऑथेंटिकेशन को तोड़ देंगे — और यह एक ऐसा परिदृश्य है जिससे आप बचना चाहते हैं। ACME या अपने CA के API का उपयोग करके सर्टिफ़िकेट रिन्यूअल को स्वचालित करें, और एक्सपायरी डेट से काफ़ी पहले मॉनिटरिंग अलर्ट सेट करें。 --- [इम्प्लीमेंटेशन सिफ़ारिशें और कमियाँ — लगभग 2 मिनट] मैं आपको व्यावहारिक सिफ़ारिशें देता हूँ。 पहला: डिप्लॉय करने से पहले ऑडिट करें। अपने वातावरण में प्रत्येक RADIUS क्लाइंट — एक्सेस पॉइंट, VPN कंसंट्रेटर, 802.1X करने वाले स्विच — और प्रत्येक RADIUS सर्वर को मैप करें। समझें कि कौन से नेटिव रूप से RadSec का समर्थन करते हैं और किसके लिए प्रॉक्सी की आवश्यकता होगी। यह ऑडिट आमतौर पर उन लेगेसी डिवाइस को सामने लाता है जो TLS का बिल्कुल भी समर्थन नहीं करते हैं, और उन्हें आपके रिप्लेसमेंट रोडमैप पर होना चाहिए。 दूसरा: सबसे अधिक जोखिम वाले ट्रैफ़िक से शुरू करें। यदि आपके पास सार्वजनिक इंटरनेट को पार करने वाला RADIUS ट्रैफ़िक है — रिमोट साइट्स, क्लाउड-होस्टेड RADIUS, मल्टी-प्रॉपर्टी होटल समूह — तो यह आपकी पहली प्राथमिकता है। अच्छी तरह से सेगमेंट किए गए मैनेजमेंट VLAN पर लोकल RADIUS ट्रैफ़िक कम जोखिम वाला है, लेकिन इसे अभी भी रोडमैप पर होना चाहिए。 तीसरा: गो-लाइव से पहले म्यूचुअल TLS का अच्छी तरह से परीक्षण करें। RadSec डिप्लॉयमेंट में सबसे आम विफलता मोड सर्टिफ़िकेट वैलिडेशन त्रुटियाँ हैं — बेमेल कॉमन नेम, एक्सपायर हो चुके इंटरमीडिएट सर्टिफ़िकेट, या ऐसे क्लाइंट जो सर्वर सर्टिफ़िकेट पर हस्ताक्षर करने वाले CA पर भरोसा नहीं करते हैं। प्रोडक्शन ट्रैफ़िक को कट ओवर करने से पहले TLS हैंडशेक का परीक्षण करने के लिए openssl s_client का उपयोग करें。 चौथा: मॉनिटरिंग की उपेक्षा न करें। RadSec एक TCP कनेक्शन लेयर जोड़ता है जो पारंपरिक RADIUS में नहीं है। TCP कनेक्शन विफलताएँ, TLS हैंडशेक टाइमआउट और सर्टिफ़िकेट त्रुटियाँ आपके यूज़र्स के लिए ऑथेंटिकेशन विफलताओं के रूप में प्रकट होंगी। सुनिश्चित करें कि आपके RADIUS सर्वर लॉग और आपके प्रॉक्सी लॉग आपके SIEM या मॉनिटरिंग प्लेटफ़ॉर्म में फ़ीड कर रहे हैं ताकि आप ऑथेंटिकेशन पॉलिसी समस्या से RadSec कनेक्टिविटी समस्या को अलग कर सकें。 मैं जो कमी सबसे अधिक देखता हूँ वह है संगठनों द्वारा सर्वर साइड पर RadSec डिप्लॉय करना लेकिन अपने फ़ायरवॉल नियमों को अपडेट करना भूल जाना। प्रत्येक RADIUS क्लाइंट और RADIUS सर्वर या प्रॉक्सी के बीच TCP 2083 खुला होना चाहिए। यदि आप UDP 1812 नियमों को प्रबंधित करने के अभ्यस्त हैं, तो फ़ायरवॉल परिवर्तन प्रक्रिया में TCP 2083 छूट सकता है。 --- [रैपिड-फ़ायर Q&A — लगभग 1 मिनट] मैं कुछ ऐसे प्रश्नों पर नज़र डालता हूँ जो मैं नियमित रूप से सुनता हूँ。 "क्या RadSec 802.1X को प्रतिस्थापित करता है?" नहीं। RadSec एक्सेस पॉइंट और RADIUS सर्वर के बीच ट्रांसपोर्ट लेयर को सुरक्षित करता है। 802.1X क्लाइंट डिवाइस और एक्सेस पॉइंट के बीच ऑथेंटिकेशन फ्रेमवर्क है। वे अलग-अलग लेयर्स पर काम करते हैं और पूरक हैं。 "क्या RadSec सभी एक्सेस पॉइंट वेंडर्स पर समर्थित है?" सार्वभौमिक रूप से नहीं। Cisco, Aruba, Ruckus और Meraki सभी में RadSec सपोर्ट के अलग-अलग स्तर हैं — अपना विशिष्ट फ़र्मवेयर संस्करण जाँचें। जहाँ नेटिव सपोर्ट अनुपस्थित है, वहाँ RadSec प्रॉक्सी आपका समाधान है。 "DTLS के बारे में क्या — RADIUS over DTLS?" RFC 7360 RADIUS over DTLS को परिभाषित करता है, जो TCP के बजाय UDP का उपयोग करता है, एन्क्रिप्शन जोड़ते हुए पारंपरिक RADIUS की कुछ कनेक्शनलेस विशेषताओं को संरक्षित करता है। यह TLS पर RadSec की तुलना में कम व्यापक रूप से डिप्लॉय किया गया है, लेकिन यदि हाई-थ्रूपुट वातावरण में लेटेंसी एक चिंता का विषय है तो इसका मूल्यांकन करना उचित है。 "यह रोमिंग प्रदर्शन को कैसे प्रभावित करता है?" RadSec का TCP कनेक्शन पर्सिस्टेंट है, जो वास्तव में बाद के ऑथेंटिकेशन अनुरोधों के लिए कनेक्शन सेटअप ओवरहेड को कम करके फ़ेडरेटेड वातावरण में रोमिंग प्रदर्शन में सुधार कर सकता है。 --- [सारांश और अगले कदम — लगभग 1 मिनट] समापन के लिए: RadSec पारंपरिक RADIUS में एक वास्तविक सुरक्षा अंतर का परिपक्व, मानक-आधारित उत्तर है। यदि आप बड़े पैमाने पर एंटरप्राइज़ WiFi चला रहे हैं — कई साइटों पर, इंटरनेट पर, या PCI DSS या GDPR के अधीन वातावरण में — तो सवाल यह नहीं है कि RadSec को डिप्लॉय किया जाए या नहीं, बल्कि यह है कि कब और कैसे。 आपके अगले कदम: इस सप्ताह अपने RADIUS इंफ्रास्ट्रक्चर का ऑडिट करें। अपने सबसे अधिक जोखिम वाले ट्रैफ़िक प्रवाह की पहचान करें। नेटिव RadSec सपोर्ट के लिए अपने RADIUS सर्वर और एक्सेस पॉइंट वेंडर दस्तावेज़ों की जाँच करें। यदि आप FreeRADIUS चला रहे हैं, तो आप एक दिन में एक टेस्ट RadSec डिप्लॉयमेंट चला सकते हैं। यदि आप Microsoft NPS पर हैं, तो प्रॉक्सी या RadSec-सक्षम सर्वर के माइग्रेशन पथ का मूल्यांकन करना शुरू करें。 Purple का प्लेटफ़ॉर्म एंटरप्राइज़ RADIUS इंफ्रास्ट्रक्चर के साथ इंटीग्रेट करने के लिए डिज़ाइन किया गया है, जो कॉर्पोरेट और गेस्ट WiFi दोनों वातावरणों के लिए सुरक्षित ऑथेंटिकेशन प्रवाह का समर्थन करता है। यदि आप समझना चाहते हैं कि RadSec आपके विशिष्ट डिप्लॉयमेंट में कैसे फिट बैठता है, तो Purple टीम आपको इसके बारे में बता सकती है。 सुनने के लिए धन्यवाद। अगली बार तक के लिए。 --- स्क्रिप्ट का अंत

header_image.png

कार्यकारी सारांश

पारंपरिक RADIUS over UDP (पोर्ट 1812/1813) को आधुनिक एंटरप्राइज़ थ्रेट लैंडस्केप के लिए डिज़ाइन नहीं किया गया था। केवल एक शेयर्ड सीक्रेट और MD5 हैशिंग पर निर्भर होने के कारण, यह ऑथेंटिकेशन क्रेडेंशियल्स और सेशन एट्रिब्यूट्स को इंटरसेप्शन के प्रति संवेदनशील छोड़ देता है, विशेष रूप से सार्वजनिक नेटवर्क या हॉस्पिटैलिटी और रिटेल चेन जैसी बड़ी डिस्ट्रीब्यूटेड एस्टेट्स को पार करते समय। RadSec (RADIUS over TLS, RFC 6614) पोर्ट 2083 पर TCP-आधारित TLS 1.3 टनल के भीतर RADIUS ट्रैफ़िक को एनकैप्सुलेट करके इस बुनियादी सुरक्षा अंतर को हल करता है。

CTO और नेटवर्क आर्किटेक्ट्स के लिए, RadSec को डिप्लॉय करना अब केवल एक सर्वोत्तम अभ्यास नहीं है—यह कॉर्पोरेट WiFi की सुरक्षा करने, PCI DSS 4.0 अनुपालन बनाए रखने और OpenRoaming जैसे आधुनिक फेडेरेटेड रोमिंग फ्रेमवर्क में भाग लेने के लिए एक महत्वपूर्ण आवश्यकता है। यह गाइड आपके ऑथेंटिकेशन इंफ्रास्ट्रक्चर को सुरक्षित करने के लिए आर्किटेक्चर, इम्प्लीमेंटेशन पैटर्न और ऑपरेशनल आवश्यकताओं का विवरण देती है।

तकनीकी डीप-डाइव: RADIUS बनाम RadSec

पारंपरिक RADIUS में भेद्यता

एक मानक 802.1X डिप्लॉयमेंट में, एक्सेस पॉइंट (ऑथेंटिकेटर) क्लाइंट क्रेडेंशियल्स को RADIUS सर्वर (ऑथेंटिकेशन सर्वर) को फॉरवर्ड करता है। पारंपरिक RADIUS में, यह पेलोड UDP पर भेजा जाता है। एकमात्र सुरक्षा एक प्री-शेयर्ड की (PSK) है जिसका उपयोग MD5 के माध्यम से पासवर्ड को अस्पष्ट (obfuscate) करने के लिए किया जाता है।

यह आर्किटेक्चर तीन महत्वपूर्ण जोखिम प्रस्तुत करता है:

  1. ट्रांसपोर्ट एन्क्रिप्शन का अभाव: यूज़र एट्रिब्यूट्स, MAC एड्रेस और सेशन डेटा क्लियरटेक्स्ट में ट्रांसमिट किए जाते हैं।
  2. क्रिप्टोग्राफ़िक कमज़ोरी: यदि कोई हमलावर ट्रैफ़िक कैप्चर कर लेता है, तो MD5 ऑफ़लाइन डिक्शनरी हमलों के प्रति संवेदनशील है।
  3. म्यूचुअल ऑथेंटिकेशन का अभाव: एक्सेस पॉइंट क्रिप्टोग्राफ़िक रूप से यह सत्यापित नहीं कर सकता कि वह वैध RADIUS सर्वर से बात कर रहा है, जिससे रोग (rogue) सर्वर हमलों की संभावना बनती है।

RadSec आर्किटेक्चर (RFC 6614)

RadSec ट्रांसपोर्ट लेयर को UDP से TCP में शिफ्ट करके और पूरे पेलोड को TLS में रैप करके इन खामियों को दूर करता है।

architecture_overview.png

  • ट्रांसपोर्ट: TCP पोर्ट 2083 विश्वसनीय डिलीवरी और स्टेटफुल कनेक्शन सुनिश्चित करता है, जिससे हाई-लेटेंसी वाले वातावरण में प्रदर्शन में सुधार होता है।
  • एन्क्रिप्शन: TLS 1.2 या 1.3 सभी RADIUS एट्रिब्यूट्स का मज़बूत, एंड-टू-एंड एन्क्रिप्शन प्रदान करता है。
  • म्यूचुअल ऑथेंटिकेशन: RADIUS क्लाइंट (या प्रॉक्सी) और सर्वर दोनों को एक विश्वसनीय सर्टिफ़िकेट अथॉरिटी (CA) द्वारा जारी किए गए वैध X.509 सर्टिफ़िकेट प्रस्तुत करने होंगे। शेयर्ड सीक्रेट को केवल बैकवर्ड कम्पैटिबिलिटी के लिए रखा गया है; वास्तविक सुरक्षा TLS द्वारा प्रदान की जाती है।

यह आर्किटेक्चर रिटेल चेन या हॉस्पिटैलिटी वेन्यू जैसे डिस्ट्रीब्यूटेड वातावरण के लिए आवश्यक है, जहाँ एक्सेस पॉइंट सार्वजनिक इंटरनेट पर एक केंद्रीय या क्लाउड-होस्टेड RADIUS सर्वर पर ऑथेंटिकेशन अनुरोधों को बैकहॉल करते हैं।

इम्प्लीमेंटेशन गाइड

RadSec को डिप्लॉय करना आमतौर पर दो में से एक पैटर्न का पालन करता है: नेटिव सपोर्ट या प्रॉक्सी-आधारित।

पैटर्न 1: नेटिव RadSec

यदि आपका इंफ्रास्ट्रक्चर इसे नेटिव रूप से सपोर्ट करता है (उदा., FreeRADIUS 3.0+, Cisco ISE, Aruba ClearPass), तो आप सीधे RADIUS सर्वर और एक्सेस पॉइंट/कंट्रोलर पर TLS सर्टिफ़िकेट कॉन्फ़िगर करते हैं। यह एज (edge) से कोर (core) तक सही एंड-टू-एंड एन्क्रिप्शन प्रदान करता है।

पैटर्न 2: RadSec प्रॉक्सी

कई लेगेसी RADIUS सर्वर (विशेष रूप से Microsoft NPS) नेटिव रूप से RadSec को सपोर्ट नहीं करते हैं। इन वातावरणों में, एक प्रॉक्सी (जैसे radsecproxy) डिप्लॉय किया जाता है।

  1. लोकल लेग: AP लोकल प्रॉक्सी को मानक UDP RADIUS भेजता है।
  2. WAN लेग: प्रॉक्सी ट्रैफ़िक को TLS में एनकैप्सुलेट करता है और इसे TCP 2083 पर अपस्ट्रीम सर्वर को भेजता है।

यह पैटर्न आपको लेगेसी इंफ्रास्ट्रक्चर को बदले बिना वाइड-एरिया ट्रैफ़िक को सुरक्षित करने की अनुमति देता है।

deployment_checklist.png

Purple के साथ इंटीग्रेशन

Purple के गेस्ट WiFi और WiFi एनालिटिक्स प्लेटफ़ॉर्म एंटरप्राइज़ RADIUS इंफ्रास्ट्रक्चर के साथ सहजता से इंटीग्रेट होते हैं। कनेक्ट (Connect) लाइसेंस के तहत, Purple OpenRoaming के लिए एक मुफ़्त आइडेंटिटी प्रोवाइडर के रूप में कार्य करता है, जहाँ वेन्यू और सेंट्रल हब के बीच फ़ेडरेशन ट्रैफ़िक को सुरक्षित करने के लिए RadSec एक अनिवार्य आवश्यकता है।

सर्वोत्तम अभ्यास

  1. सर्टिफ़िकेट लाइफ़साइकिल मैनेजमेंट: म्यूचुअल TLS वैध सर्टिफ़िकेट पर निर्भर करता है। स्वचालित रिन्यूअल (उदा., ACME के माध्यम से) और सख्त मॉनिटरिंग लागू करें। एक एक्सपायर हो चुका सर्टिफ़िकेट पूर्ण ऑथेंटिकेशन आउटेज का कारण बनेगा।
  2. फ़ायरवॉल कॉन्फ़िगरेशन: सुनिश्चित करें कि TCP पोर्ट 2083 को वेन्यू से आउटबाउंड और RADIUS सर्वर में इनबाउंड दोनों के लिए स्पष्ट रूप से अनुमति दी गई है। यह न मानें कि मौजूदा UDP 1812 नियम लागू होंगे।
  3. हाई-रिस्क ट्रैफ़िक को प्राथमिकता दें: लोकल मैनेजमेंट VLANs पर जाने से पहले सार्वजनिक इंटरनेट या अविश्वसनीय WANs को पार करने वाले लिंक पर डिप्लॉयमेंट शुरू करें।

एज (edge) को सुरक्षित करने के बारे में अधिक जानकारी के लिए, एक्सेस पॉइंट सिक्योरिटी: आपका 2026 एंटरप्राइज़ गाइड पर हमारी गाइड पढ़ें।

ट्रबलशूटिंग और जोखिम न्यूनीकरण

जब RadSec विफल होता है, तो यह शायद ही कभी ऑथेंटिकेशन की समस्या होती है; यह लगभग हमेशा TLS या TCP की समस्या होती है।

  • लक्षण: एक्सेस पॉइंट RADIUS सर्वर से डिस्कनेक्टेड दिखाई देते हैं।
    • जाँचें: TCP 2083 के लिए फ़ायरवॉल नियम। पारंपरिक RADIUS UDP का उपयोग करता है; नेटवर्क टीमें अक्सर TCP पोर्ट खोलना भूल जाती हैं।
  • लक्षण: TCP कनेक्शन स्थापित हो जाता है, लेकिन ऑथेंटिकेशन तुरंत विफल हो जाता है।
    • जाँचें: सर्टिफ़िकेट वैलिडेशन। सत्यापित करें कि कॉमन नेम (CN) या सब्जेक्ट अल्टरनेटिव नेम (SAN) मेल खाता है, सर्टिफ़िकेट एक्सपायर नहीं हुआ है, और क्लाइंट साइनिंग CA पर भरोसा करता है। हैंडशेक को डीबग करने के लिए openssl s_client -connect :2083 का उपयोग करें।

सुनिश्चित करें कि आपके नेटवर्क के बुनियादी सिद्धांत मज़बूत हैं। मज़बूत DNS और सुरक्षा के साथ अपने नेटवर्क को सुरक्षित करें पर हमारी सलाह की समीक्षा करें।

ROI और व्यावसायिक प्रभाव

RadSec को लागू करना एक जोखिम न्यूनीकरण निवेश है। ROI को डेटा ब्रीच, अनुपालन जुर्माने (PCI DSS, GDPR) और प्रतिष्ठा के नुकसान से बचाव में मापा जाता है। इसके अलावा, यह OpenRoaming जैसे आधुनिक रोमिंग फ़ेडरेशन में भागीदारी को सक्षम बनाता है, जो हेल्थकेयर और ट्रांसपोर्ट वातावरण में गेस्ट अनुभव को काफ़ी हद तक बढ़ा सकता है।

ब्रीफ़िंग सुनें

RadSec को डिप्लॉय करने की ऑपरेशनल वास्तविकताओं में गहराई से जाने के लिए, हमारी 10-मिनट की तकनीकी ब्रीफ़िंग सुनें:

क्लाइंट डिवाइस पर विशिष्ट कॉन्फ़िगरेशन चरणों के लिए, iOS और macOS पर 802.1X के साथ एंटरप्राइज़ WiFi कैसे सेट अप करें या पुर्तगाली संस्करण Como Configurar WiFi Corporativo em iOS e macOS com 802.1X देखें।

मुख्य परिभाषाएं

RadSec

RADIUS प्रोटोकॉल का एक एक्सटेंशन जो TCP पोर्ट 2083 पर TLS टनल के भीतर RADIUS ट्रैफ़िक को एनकैप्सुलेट करता है।

अविश्वसनीय नेटवर्क को पार करते समय ऑथेंटिकेशन ट्रैफ़िक को सुरक्षित करने के लिए उपयोग किया जाता है, जिससे क्रेडेंशियल इंटरसेप्शन को रोका जा सके।

Mutual TLS (mTLS)

एक सुरक्षा प्रक्रिया जहाँ क्लाइंट और सर्वर दोनों एन्क्रिप्टेड कनेक्शन स्थापित करने से पहले एक-दूसरे की पहचान सत्यापित करने के लिए X.509 सर्टिफ़िकेट प्रस्तुत करते हैं।

RadSec का मुख्य ऑथेंटिकेशन तंत्र, जो स्टैटिक शेयर्ड सीक्रेट्स पर निर्भरता को प्रतिस्थापित करता है।

802.1X

पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल के लिए IEEE मानक, जिसका उपयोग LAN या WLAN से कनेक्ट करने का प्रयास करने वाले डिवाइस को ऑथेंटिकेट करने के लिए किया जाता है।

वह फ्रेमवर्क जो डायरेक्टरी के विरुद्ध यूज़र क्रेडेंशियल्स को मान्य करने के लिए RADIUS (और विस्तार से, RadSec) पर निर्भर करता है।

radsecproxy

एक ओपन-सोर्स डेमन जो प्रॉक्सी के रूप में कार्य करता है, मानक UDP RADIUS ट्रैफ़िक को RadSec (TLS over TCP) में परिवर्तित करता है और इसके विपरीत।

तब डिप्लॉय किया जाता है जब एक्सेस पॉइंट या Microsoft NPS जैसे लेगेसी RADIUS सर्वर से नेटिव RadSec सपोर्ट गायब होता है।

OpenRoaming

Wi-Fi Alliance द्वारा विकसित एक फ़ेडरेशन मानक जो यूज़र्स को विश्व स्तर पर भाग लेने वाले WiFi नेटवर्क से निर्बाध और सुरक्षित रूप से कनेक्ट करने की अनुमति देता है।

OpenRoaming वेन्यू और आइडेंटिटी प्रोवाइडर्स के बीच ऑथेंटिकेशन ट्रैफ़िक को सुरक्षित करने के लिए RadSec के उपयोग को अनिवार्य करता है।

Shared Secret

पारंपरिक RADIUS में पासवर्ड को अस्पष्ट करने और अनुरोधों के स्रोत को सत्यापित करने के लिए उपयोग की जाने वाली एक स्टैटिक टेक्स्ट स्ट्रिंग।

हालाँकि बैकवर्ड कम्पैटिबिलिटी के लिए तकनीकी रूप से अभी भी RadSec कॉन्फ़िगरेशन में मौजूद है, इसे TLS एन्क्रिप्शन द्वारा सुपरसीड कर दिया गया है।

FreeRADIUS

व्यापक रूप से डिप्लॉय किया गया ओपन-सोर्स RADIUS सर्वर जो RadSec के लिए नेटिव सपोर्ट प्रदान करता है।

अक्सर इसके लचीलेपन और नेटिव TLS क्षमताओं के कारण एंटरप्राइज़ वातावरण और रोमिंग फ़ेडरेशन में उपयोग किया जाता है।

PKI (Public Key Infrastructure)

डिजिटल सर्टिफ़िकेट बनाने, प्रबंधित करने, वितरित करने और रद्द करने के लिए आवश्यक भूमिकाओं, नीतियों और सॉफ़्टवेयर का फ्रेमवर्क।

RadSec को डिप्लॉय करने के लिए एक पूर्वापेक्षा, क्योंकि आपको सभी RADIUS क्लाइंट और सर्वर के लिए सर्टिफ़िकेट जारी और प्रबंधित करने होंगे।

हल किए गए उदाहरण

एक 200-प्रॉपर्टी वाला होटल समूह स्टाफ़ ऑथेंटिकेशन के लिए केंद्रीय रूप से Microsoft NPS का उपयोग करता है। प्रत्येक होटल में एक्सेस पॉइंट वर्तमान में UDP 1812 के माध्यम से सार्वजनिक इंटरनेट पर RADIUS अनुरोध भेजते हैं। CTO सभी ऑथेंटिकेशन ट्रैफ़िक के लिए एन्क्रिप्शन अनिवार्य करता है, लेकिन इस वर्ष NPS को बदलना कोई विकल्प नहीं है।

प्रत्येक होटल साइट पर एक RadSec प्रॉक्सी (उदा., radsecproxy) और NPS सर्वर के सामने केंद्रीय डेटा सेंटर में एक संबंधित प्रॉक्सी डिप्लॉय करें। लोकल AP लोकल प्रॉक्सी को UDP RADIUS भेजते हैं। लोकल प्रॉक्सी इंटरनेट के माध्यम से सेंट्रल प्रॉक्सी तक TCP 2083 पर एक म्यूचुअल TLS टनल स्थापित करता है। सेंट्रल प्रॉक्सी TLS टनल को समाप्त करता है और मानक UDP RADIUS को NPS सर्वर पर फॉरवर्ड करता है।

परीक्षक की टिप्पणी: यह दृष्टिकोण मुख्य Microsoft NPS इंफ्रास्ट्रक्चर के महंगे और विघटनकारी रिप-एंड-रिप्लेस की आवश्यकता के बिना—अविश्वसनीय WAN पर ऑथेंटिकेशन डेटा को एन्क्रिप्ट करने के—प्राथमिक सुरक्षा लक्ष्य को प्राप्त करता है। यह प्रॉक्सी के लिए सर्टिफ़िकेट मैनेजमेंट ओवरहेड पेश करता है, जिसे स्वचालित किया जाना चाहिए।

एक बड़ा विश्वविद्यालय विज़िटिंग शिक्षाविदों के लिए निर्बाध एक्सेस की अनुमति देने के लिए अपने कैंपस में OpenRoaming डिप्लॉय कर रहा है। वे FreeRADIUS 3.0 चला रहे हैं।

FreeRADIUS के भीतर नेटिव RadSec सक्षम करें। OpenRoaming फ़ेडरेशन द्वारा विश्वसनीय CA से X.509 सर्टिफ़िकेट जनरेट करें। फ़ेडरेशन हब में इनबाउंड और आउटबाउंड TCP 2083 ट्रैफ़िक की अनुमति देने के लिए कैंपस फ़ायरवॉल को कॉन्फ़िगर करें। सभी फ़ेडरेशन-बाउंड ऑथेंटिकेशन अनुरोधों के लिए RadSec का उपयोग करने के लिए वायरलेस LAN कंट्रोलर को कॉन्फ़िगर करें।

परीक्षक की टिप्पणी: चूँकि FreeRADIUS नेटिव रूप से RadSec का समर्थन करता है, इसलिए किसी प्रॉक्सी की आवश्यकता नहीं है। यह सबसे क्लीन आर्किटेक्चर है। यहाँ महत्वपूर्ण निर्भरता यह सुनिश्चित करना है कि सर्टिफ़िकेट OpenRoaming फ़ेडरेशन की विशिष्ट PKI आवश्यकताओं के साथ संरेखित हों।

अभ्यास प्रश्न

Q1. आपकी टीम ने आपके रिमोट ब्रांच एक्सेस पॉइंट और आपके सेंट्रल FreeRADIUS सर्वर के बीच नेटिव RadSec डिप्लॉय किया है। AP सर्वर को पिंग कर सकते हैं, लेकिन ऑथेंटिकेशन अनुरोध पूरी तरह से टाइम आउट हो रहे हैं, और RADIUS लॉग में कोई ट्रैफ़िक नहीं आ रहा है।

संकेत: RadSec पारंपरिक RADIUS की तुलना में एक अलग ट्रांसपोर्ट प्रोटोकॉल और पोर्ट का उपयोग करता है।

मॉडल उत्तर देखें

फ़ायरवॉल संभवतः TCP पोर्ट 2083 को ब्लॉक कर रहा है। पारंपरिक RADIUS की अभ्यस्त नेटवर्क टीमें अक्सर केवल UDP पोर्ट 1812/1813 की अनुमति देती हैं। आपको ब्रांच से आउटबाउंड और RADIUS सर्वर में इनबाउंड TCP 2083 को स्पष्ट रूप से अनुमति देनी होगी।

Q2. आप एक रिटेल क्लाइंट के WiFi आर्किटेक्चर का ऑडिट कर रहे हैं। वे केंद्रीय रूप से Microsoft NPS का उपयोग करते हैं। उनके स्टोर AP एक IPsec VPN के माध्यम से इंटरनेट पर ऑथेंटिकेशन अनुरोध भेजते हैं। क्या यहाँ RadSec आवश्यक है?

संकेत: पहले से मौजूद एन्क्रिप्शन की लेयर्स पर विचार करें।

मॉडल उत्तर देखें

हालाँकि RadSec सर्वोत्तम अभ्यास है, IPsec VPN पहले से ही अविश्वसनीय इंटरनेट पर UDP RADIUS ट्रैफ़िक के लिए ट्रांसपोर्ट लेयर एन्क्रिप्शन प्रदान कर रहा है। यहाँ RadSec को डिप्लॉय करना डिफ़ेंस-इन-डेप्थ (defence-in-depth) प्रदान करेगा, लेकिन यह उस स्थिति की तुलना में कम ज़रूरी है जहाँ ट्रैफ़िक नेटिव रूप से इंटरनेट को पार कर रहा हो।

Q3. एक सफल RadSec प्रॉक्सी डिप्लॉयमेंट के एक सप्ताह बाद, सोमवार को सुबह 09:00 बजे पूरे एंटरप्राइज़ में सभी WiFi ऑथेंटिकेशन एक साथ विफल हो जाते हैं। नेटवर्क टीम पुष्टि करती है कि फ़ायरवॉल नियम अपरिवर्तित हैं।

संकेत: स्वयं TLS टनल के लिए प्राथमिक ऑथेंटिकेशन तंत्र क्या है?

मॉडल उत्तर देखें

म्यूचुअल TLS ऑथेंटिकेशन के लिए उपयोग किए जाने वाले X.509 सर्टिफ़िकेट संभवतः एक्सपायर हो गए हैं। जब सर्टिफ़िकेट एक्सपायर होते हैं, तो TLS हैंडशेक विफल हो जाता है, TCP कनेक्शन ड्रॉप हो जाता है, और RADIUS ट्रैफ़िक प्रवाहित नहीं हो सकता। इसे रोकने के लिए स्वचालित सर्टिफ़िकेट मॉनिटरिंग और रोटेशन लागू करें।

इस श्रृंखला में आगे पढ़ें

Wi-Fi सुरक्षा का भविष्य: AI-संचालित NAC और थ्रेट डिटेक्शन

यह आधिकारिक गाइड पुरानी WPA2 से AI-संचालित नेटवर्क एक्सेस कंट्रोल (NAC) और थ्रेट डिटेक्शन तक एंटरप्राइज़ Wi-Fi सुरक्षा के विकास की पड़ताल करती है। IT लीडर्स के लिए डिज़ाइन की गई, यह Purple के पहचान-आधारित नेटवर्क का उपयोग करके रिटेल, हॉस्पिटैलिटी और स्टेडियम जैसे उच्च-घनत्व वाले वातावरण को सुरक्षित करने के लिए कार्रवाई योग्य परिनियोजन (deployment) रणनीतियां प्रदान करती है।

गाइड पढ़ें →

NAC और MPSK के साथ IoT डिवाइस सुरक्षा का प्रबंधन

यह तकनीकी मार्गदर्शिका विस्तार से बताती है कि एंटरप्राइज़ स्थान मल्टीपल प्री-शेयर्ड की (MPSK) आर्किटेक्चर और नेटवर्क एक्सेस कंट्रोल (NAC) का उपयोग करके हेडलेस IoT डिवाइसों को कैसे सुरक्षित कर सकते हैं। यह स्केलेबिलिटी से समझौता किए बिना माइक्रो-सेगमेंटेशन प्राप्त करने, सुरक्षा ब्लास्ट रेडियस को सीमित करने और अनुपालन बनाए रखने के लिए कार्रवाई योग्य कार्यान्वयन चरण प्रदान करता है।

गाइड पढ़ें →

Airport WiFi सुरक्षा: सार्वजनिक नेटवर्क पर यात्रियों की सुरक्षा कैसे करें

यह तकनीकी संदर्भ गाइड airport WiFi के विशिष्ट खतरे के परिदृश्य का विवरण देती है, जिसमें Evil Twin access points, अनधिकृत (rogue) हार्डवेयर और Man-in-the-Middle हमले शामिल हैं। यह IT प्रबंधकों, नेटवर्क आर्किटेक्ट्स और स्थल संचालन निदेशकों को व्यावहारिक आर्किटेक्चरल रणनीतियाँ प्रदान करती है — जिसमें WPA3 कार्यान्वयन, VLAN सेगमेंटेशन, WIPS तैनाती, और GDPR-अनुपालन captive portal डिज़ाइन शामिल हैं — ताकि बड़े पैमाने पर यात्रियों और एंटरप्राइज बुनियादी ढांचे की रक्षा की जा सके। पूरे दस्तावेज़ में प्रत्येक समस्या क्षेत्र के लिए Purple के अतिथि WiFi और एनालिटिक्स प्लेटफॉर्म को ठोस रूप से मैप किया गया है।

गाइड पढ़ें →