RadSec: TLS पर RADIUS किस प्रकार WiFi ऑथेंटिकेशन सुरक्षा को बेहतर बनाता है
यह आधिकारिक तकनीकी संदर्भ बताता है कि कैसे RadSec (RFC 6614) पारंपरिक RADIUS ट्रैफ़िक को TLS एन्क्रिप्शन में लपेटकर एंटरप्राइज WiFi ऑथेंटिकेशन को सुरक्षित करता है। IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए डिज़ाइन किया गया, यह कॉर्पोरेट और गेस्ट नेटवर्क पर अनएन्क्रिप्टेड UDP RADIUS ट्रैफ़िक के जोखिमों को कम करने के लिए आर्किटेक्चर, डिप्लॉयमेंट रणनीतियों और व्यावहारिक चरणों को कवर करता है।
इस गाइड को सुनें
पॉडकास्ट ट्रांसक्रिप्ट देखें
Executive Summary
Traditional RADIUS over UDP (ports 1812/1813) was not designed for the modern enterprise threat landscape. Relying solely on a shared secret and MD5 hashing, it leaves authentication credentials and session attributes vulnerable to interception, particularly when traversing public networks or large distributed estates like hospitality and retail chains. RadSec (RADIUS over TLS, RFC 6614) solves this fundamental security gap by encapsulating RADIUS traffic within a TCP-based TLS 1.3 tunnel over port 2083.
For CTOs and network architects, deploying RadSec is no longer just a best practice—it is a critical requirement for protecting corporate wifi , maintaining PCI DSS 4.0 compliance, and participating in modern federated roaming frameworks like OpenRoaming. This guide details the architecture, implementation patterns, and operational requirements for securing your authentication infrastructure.
Technical Deep-Dive: RADIUS vs. RadSec
The Vulnerability in Traditional RADIUS
In a standard 802.1X deployment, the access point (authenticator) forwards client credentials to the RADIUS server (authentication server). In traditional RADIUS, this payload is sent over UDP. The only protection is a pre-shared key (PSK) used to obfuscate the password via MD5.
This architecture presents three critical risks:
- Lack of Transport Encryption: User attributes, MAC addresses, and session data are transmitted in cleartext.
- Cryptographic Weakness: MD5 is vulnerable to offline dictionary attacks if an attacker captures the traffic.
- No Mutual Authentication: The access point cannot cryptographically verify it is talking to the legitimate RADIUS server, enabling rogue server attacks.
The RadSec Architecture (RFC 6614)
RadSec addresses these flaws by shifting the transport layer from UDP to TCP and wrapping the entire payload in TLS.
- Transport: TCP Port 2083 ensures reliable delivery and stateful connections, improving performance in high-latency environments.
- Encryption: TLS 1.2 or 1.3 provides robust, end-to-end encryption of all RADIUS attributes.
- Mutual Authentication: Both the RADIUS client (or proxy) and the server must present valid X.509 certificates issued by a trusted Certificate Authority (CA). The shared secret is retained only for backwards compatibility; TLS provides the actual security. This architecture is essential for distributed environments, such as Retail chains or Hospitality venues, where access points backhaul authentication requests over the public internet to a central or cloud-hosted RADIUS server.
Implementation Guide
Deploying RadSec typically follows one of two patterns: Native Support or Proxy-based.
Pattern 1: Native RadSec
If your infrastructure supports it natively (e.g., FreeRADIUS 3.0+, Cisco ISE, Aruba ClearPass), you configure TLS certificates directly on the RADIUS server and the access points/controllers. This provides true end-to-end encryption from the edge to the core.
Pattern 2: The RadSec Proxy
Many legacy RADIUS servers (notably Microsoft NPS) do not natively support RadSec. In these environments, a proxy (such as radsecproxy) is deployed.
- Local Leg: The AP sends standard UDP RADIUS to the local proxy.
- WAN Leg: The proxy encapsulates the traffic in TLS and sends it over TCP 2083 to the upstream server.
This pattern allows you to secure wide-area traffic without replacing legacy infrastructure.
Integration with Purple
Purple's Guest WiFi and WiFi Analytics platforms integrate seamlessly with enterprise RADIUS infrastructure. Under the Connect licence, Purple acts as a free identity provider for OpenRoaming, where RadSec is a mandatory requirement for securing federation traffic between venues and the central hub.
Best Practices
- Certificate Lifecycle Management: Mutual TLS relies on valid certificates. Implement automated renewal (e.g., via ACME) and strict monitoring. An expired certificate will cause a total authentication outage.
- Firewall Configuration: Ensure TCP port 2083 is explicitly allowed both outbound from the venue and inbound to the RADIUS server. Do not assume existing UDP 1812 rules will apply.
- Prioritise High-Risk Traffic: Begin deployment on links that traverse the public internet or untrusted WANs before moving to local management VLANs.
For more on securing the edge, read our guide on Access Point Security: Your 2026 Enterprise Guide .
Troubleshooting & Risk Mitigation
When RadSec fails, it is rarely an authentication issue; it is almost always a TLS or TCP issue.
- Symptom: Access points show as disconnected from the RADIUS server.
- Check: Firewall rules for TCP 2083. Traditional RADIUS uses UDP; network teams frequently forget to open the TCP port.
- Symptom: TCP connection establishes, but authentication fails immediately.
- Check: Certificate validation. Verify that the Common Name (CN) or Subject Alternative Name (SAN) matches, the certificate has not expired, and the client trusts the signing CA. Use
openssl s_client -connect :2083to debug the handshake.
- Check: Certificate validation. Verify that the Common Name (CN) or Subject Alternative Name (SAN) matches, the certificate has not expired, and the client trusts the signing CA. Use
Ensure your network fundamentals are solid. Review our advice on Protect Your Network with Strong DNS and Security .
ROI & Business Impact
Implementing RadSec is a risk mitigation investment. The ROI is measured in the avoidance of data breaches, compliance fines (PCI DSS, GDPR), and reputational damage. Furthermore, it enables participation in modern roaming federations like OpenRoaming, which can significantly enhance the guest experience in Healthcare and Transport environments.
Listen to the Briefing
For a deeper dive into the operational realities of deploying RadSec, listen to our 10-minute technical briefing:
For specific configuration steps on client devices, refer to How to Set Up Enterprise WiFi on iOS and macOS with 802.1X or the Portuguese version Como Configurar WiFi Corporativo em iOS e macOS com 802.1X .
मुख्य परिभाषाएं
RadSec
RADIUS प्रोटोकॉल का एक विस्तार जो TCP पोर्ट 2083 पर एक TLS टनल के भीतर RADIUS ट्रैफ़िक को एनकैप्सुलेट करता है।
अविश्वसनीय नेटवर्क से गुजरते समय ऑथेंटिकेशन ट्रैफ़िक को सुरक्षित करने के लिए उपयोग किया जाता है, जिससे क्रेडेंशियल इंटरसेप्शन को रोका जा सके।
Mutual TLS (mTLS)
एक सुरक्षा प्रक्रिया जहां क्लाइंट और सर्वर दोनों एक एन्क्रिप्टेड कनेक्शन स्थापित करने से पहले एक-दूसरे की पहचान सत्यापित करने के लिए X.509 सर्टिफिकेट प्रस्तुत करते हैं।
RadSec का मुख्य ऑथेंटिकेशन तंत्र, जो स्थिर शेयर्ड सीक्रेट्स पर निर्भरता को प्रतिस्थापित करता है।
802.1X
पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल के लिए IEEE मानक, जिसका उपयोग LAN या WLAN से कनेक्ट करने का प्रयास करने वाले उपकरणों को ऑथेंटिकेट करने के लिए किया जाता है।
वह फ्रेमवर्क जो किसी निर्देशिका (directory) के विरुद्ध उपयोगकर्ता क्रेडेंशियल्स को सत्यापित करने के लिए RADIUS (और विस्तार से, RadSec) पर निर्भर करता है।
radsecproxy
एक ओपन-सोर्स डेमन जो एक प्रॉक्सी के रूप में कार्य करता है, मानक UDP RADIUS ट्रैफ़िक को RadSec (TCP पर TLS) में और इसके विपरीत परिवर्तित करता है।
तब तैनात किया जाता है जब एक्सेस पॉइंट्स या Microsoft NPS जैसे पुराने RADIUS सर्वर से नेटिव RadSec सपोर्ट गायब होता है।
OpenRoaming
Wi-Fi Alliance द्वारा विकसित एक फेडरेशन मानक जो उपयोगकर्ताओं को विश्व स्तर पर भाग लेने वाले WiFi नेटवर्क से सहज और सुरक्षित रूप से कनेक्ट करने की अनुमति देता है।
OpenRoaming स्थलों और पहचान प्रदाताओं के बीच ऑथेंटिकेशन ट्रैफ़िक को सुरक्षित करने के लिए RadSec के उपयोग को अनिवार्य करता है।
Shared Secret
पारंपरिक RADIUS में पासवर्ड को छिपाने और अनुरोधों के स्रोत को सत्यापित करने के लिए उपयोग की जाने वाली एक स्थिर टेक्स्ट स्ट्रिंग।
हालांकि तकनीकी रूप से बैकवर्ड कम्पैटिबिलिटी के लिए RadSec कॉन्फ़िगरेशन में अभी भी मौजूद है, लेकिन इसे TLS एन्क्रिप्शन द्वारा प्रतिस्थापित कर दिया गया है।
FreeRADIUS
एक व्यापक रूप से तैनात ओपन-सोर्स RADIUS सर्वर जो RadSec के लिए नेटिव सपोर्ट प्रदान करता है।
अपनी लचीलेपन और नेटिव TLS क्षमताओं के कारण अक्सर एंटरप्राइज वातावरण और रोमिंग फेडरेशन में उपयोग किया जाता है।
PKI (Public Key Infrastructure)
डिजिटल सर्टिफिकेट बनाने, प्रबंधित करने, वितरित करने और निरस्त करने के लिए आवश्यक भूमिकाओं, नीतियों और सॉफ़्टवेयर का ढांचा।
RadSec को तैनात करने के लिए एक पूर्वापेक्षा, क्योंकि आपको सभी RADIUS क्लाइंट और सर्वर के लिए सर्टिफिकेट जारी और प्रबंधित करने होंगे।
हल किए गए उदाहरण
एक 200-संपत्ति वाला होटल समूह कर्मचारियों के ऑथेंटिकेशन के लिए केंद्रीय रूप से Microsoft NPS का उपयोग करता है। प्रत्येक होटल के एक्सेस पॉइंट वर्तमान में UDP 1812 के माध्यम से सार्वजनिक इंटरनेट पर RADIUS अनुरोध भेजते हैं। CTO सभी ऑथेंटिकेशन ट्रैफ़िक के लिए एन्क्रिप्शन को अनिवार्य करता है, लेकिन इस वर्ष NPS को बदलना कोई विकल्प नहीं है।
प्रत्येक होटल साइट पर एक RadSec प्रॉक्सी (जैसे, radsecproxy) और NPS सर्वर के सामने केंद्रीय डेटा सेंटर में एक संबंधित प्रॉक्सी तैनात करें। स्थानीय AP स्थानीय प्रॉक्सी को UDP RADIUS भेजते हैं। स्थानीय प्रॉक्सी इंटरनेट के माध्यम से केंद्रीय प्रॉक्सी के लिए TCP 2083 पर एक म्यूचुअल TLS टनल स्थापित करती है। केंद्रीय प्रॉक्सी TLS टनल को समाप्त करती है और NPS सर्वर को मानक UDP RADIUS फॉरवर्ड करती है।
एक बड़ा विश्वविद्यालय आने वाले शिक्षाविदों के लिए निर्बाध पहुंच की अनुमति देने के लिए अपने पूरे परिसर में OpenRoaming तैनात कर रहा है। वे FreeRADIUS 3.0 चला रहे हैं।
FreeRADIUS के भीतर नेटिव RadSec सक्षम करें। OpenRoaming फेडरेशन द्वारा विश्वसनीय CA से X.509 सर्टिफिकेट जनरेट करें। फेडरेशन हब के लिए इनबाउंड और आउटबाउंड TCP 2083 ट्रैफ़िक की अनुमति देने के लिए कैंपस फ़ायरवॉल को कॉन्फ़िगर करें। सभी फेडरेशन-बाउंड ऑथेंटिकेशन अनुरोधों के लिए RadSec का उपयोग करने के लिए वायरलेस LAN कंट्रोलर्स को कॉन्फ़िगर करें।
अभ्यास प्रश्न
Q1. आपकी टीम ने आपके रिमोट ब्रांच एक्सेस पॉइंट्स और आपके केंद्रीय FreeRADIUS सर्वर के बीच नेटिव RadSec तैनात किया है। AP सर्वर को पिंग कर सकते हैं, लेकिन ऑथेंटिकेशन अनुरोध पूरी तरह से टाइम आउट हो रहे हैं, और कोई भी ट्रैफ़िक RADIUS लॉग तक नहीं पहुंच रहा है।
संकेत: RadSec पारंपरिक RADIUS की तुलना में एक अलग ट्रांसपोर्ट प्रोटोकॉल और पोर्ट का उपयोग करता है।
मॉडल उत्तर देखें
फ़ायरवॉल संभवतः TCP पोर्ट 2083 को ब्लॉक कर रहा है। पारंपरिक RADIUS के आदी नेटवर्क टीमें अक्सर केवल UDP पोर्ट 1812/1813 की अनुमति देती हैं। आपको स्पष्ट रूप से शाखा से आउटबाउंड और RADIUS सर्वर पर इनबाउंड TCP 2083 की अनुमति देनी होगी।
Q2. आप एक रिटेल क्लाइंट के WiFi आर्किटेक्चर का ऑडिट कर रहे हैं। वे केंद्रीय रूप से Microsoft NPS का उपयोग करते हैं। उनके स्टोर AP एक IPsec VPN के माध्यम से इंटरनेट पर ऑथेंटिकेशन अनुरोध भेजते हैं। क्या यहाँ RadSec की आवश्यकता है?
संकेत: पहले से मौजूद एन्क्रिप्शन की परतों पर विचार करें।
मॉडल उत्तर देखें
हालांकि RadSec सर्वोत्तम अभ्यास है, IPsec VPN पहले से ही अविश्वसनीय इंटरनेट पर UDP RADIUS ट्रैफ़िक के लिए ट्रांसपोर्ट लेयर एन्क्रिप्शन प्रदान कर रहा है। यहाँ RadSec को तैनात करना गहन सुरक्षा (defence-in-depth) प्रदान करेगा लेकिन यह उसकी तुलना में कम जरूरी है यदि ट्रैफ़िक नेटिव रूप से इंटरनेट से गुजर रहा होता।
Q3. एक सफल RadSec प्रॉक्सी डिप्लॉयमेंट के एक सप्ताह बाद, पूरे एंटरप्राइज में सभी WiFi ऑथेंटिकेशन सोमवार को सुबह 09:00 बजे एक साथ विफल हो जाते हैं। नेटवर्क टीम पुष्टि करती है कि फ़ायरवॉल नियम अपरिवर्तित हैं।
संकेत: TLS टनल के लिए प्राथमिक ऑथेंटिकेशन तंत्र क्या है?
मॉडल उत्तर देखें
म्यूचुअल TLS ऑथेंटिकेशन के लिए उपयोग किए जाने वाले X.509 सर्टिफिकेट संभवतः समाप्त हो गए हैं। जब सर्टिफिकेट समाप्त हो जाते हैं, तो TLS हैंडशेक विफल हो जाता है, TCP कनेक्शन टूट जाता है, और RADIUS ट्रैफ़िक प्रवाहित नहीं हो पाता है। इसे रोकने के लिए स्वचालित सर्टिफिकेट निगरानी और रोटेशन लागू करें।
इस श्रृंखला में आगे पढ़ें
Staff और Guest WiFi नेटवर्क को सुरक्षित रूप से कैसे अलग करें
यह आधिकारिक तकनीकी गाइड IT लीडर्स को VLAN और 802.1X का उपयोग करके staff, guest और IoT WiFi नेटवर्क को सुरक्षित रूप से अलग करने के लिए व्यावहारिक रणनीतियाँ प्रदान करती है। यह विवरण देती है कि एंटरप्राइज़ इन्फ्रास्ट्रक्चर को कैसे सुरक्षित किया जाए, PCI DSS अनुपालन कैसे बनाए रखा जाए, और फर्स्ट-पार्टी डेटा कैप्चर करने के लिए captive portals का लाभ कैसे उठाया जाए।
सर्वश्रेष्ठ DNS filtering: व्यवसायों के लिए एक व्यापक गाइड
यह तकनीकी संदर्भ गाइड बताती है कि कैसे एंटरप्राइज़ DNS filtering रिज़ॉल्यूशन लेयर पर दुर्भावनापूर्ण डोमेन को ब्लॉक करके सार्वजनिक नेटवर्क को सुरक्षित करता है - इससे पहले कि कोई कनेक्शन स्थापित हो। यह IT डायरेक्टर्स, नेटवर्क आर्किटेक्ट्स और वेन्यू ऑपरेशंस टीमों को वह डिप्लॉयमेंट आर्किटेक्चर, फ़ायरवॉल कॉन्फ़िगरेशन और अनुपालन संदर्भ देता है जो उन्हें हॉस्पिटैलिटी, रिटेल और पब्लिक-सेक्टर के वातावरण में गेस्ट WiFi की सुरक्षा के लिए चाहिए। Purple Shield 80,000+ से अधिक लाइव वेन्यू में DNS स्तर पर मैलवेयर, बॉटनेट्स और अनुचित सामग्री को ब्लॉक करता है।
Cisco SUDI को समझना: सुरक्षित नेटवर्क एक्सेस कंट्रोल में हार्डवेयर-एंकर वाली पहचान
यह गाइड बताती है कि Cisco SUDI एंटरप्राइज़ नेटवर्क इंफ्रास्ट्रक्चर के लिए हार्डवेयर-एंकर वाली, क्रिप्टोग्राफ़िक रूप से सुरक्षित पहचान कैसे प्रदान करता है। सीखें कि अपने स्थान के नेटवर्क एक्सेस कंट्रोल को सुरक्षित करने के लिए स्पूफ़ किए जा सकने वाले MAC पते को अपरिवर्तनीय 802.1AR प्रमाणपत्रों से कैसे बदलें।