मुख्य सामग्री पर जाएं
हिन्दी

RadSec: TLS के साथ RADIUS ऑथेंटिकेशन ट्रैफ़िक को सुरक्षित करना

यह व्यापक गाइड RadSec (RADIUS over TLS) का पता लगाती है, जिसमें विस्तार से बताया गया है कि यह आधुनिक क्लाउड और मल्टी-साइट डिप्लॉयमेंट के लिए नेटवर्क ऑथेंटिकेशन ट्रैफ़िक को कैसे सुरक्षित करता है। यह नेटवर्क आर्किटेक्ट्स को लीगेसी UDP RADIUS को बदलने के लिए व्यावहारिक कार्यान्वयन चरण, सर्टिफिकेट प्रबंधन रणनीतियाँ और समस्या निवारण तकनीकें प्रदान करता है।

📖 6 मिनट का पाठ📝 1,403 शब्द🔧 2 हल किए गए उदाहरण3 अभ्यास प्रश्न📚 8 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें
RadSec: TLS के साथ RADIUS ऑथेंटिकेशन ट्रैफ़िक को सुरक्षित करना। एक Purple तकनीकी ब्रीफिंग। परिचय और संदर्भ। इस Purple तकनीकी ब्रीफिंग में आपका स्वागत है। मैं आपको RadSec — RADIUS over TLS — के बारे में बताऊंगा कि यह क्या है, यह अभी क्यों महत्वपूर्ण है, और आप इसे वास्तव में कैसे डिप्लॉय करते हैं। यह सीधे तौर पर उन नेटवर्क आर्किटेक्ट्स और सुरक्षा इंजीनियरों के लिए है जो या तो आज क्लाउड RADIUS चला रहे हैं या वहां जाने की योजना बना रहे हैं। यदि आप अभी भी UDP और एक शेयर्ड सीक्रेट के साथ ऑन-प्रिमाइसेस RADIUS सर्वर चला रहे हैं, तो यह ब्रीफिंग आपके लिए है। आइए पृष्ठभूमि तैयार करें। RADIUS तीस से अधिक वर्षों से नेटवर्क ऑथेंटिकेशन की रीढ़ रहा है। यह 802.1X, WPA2-Enterprise, WPA3-Enterprise और आज प्रोडक्शन में लगभग हर कैप्टिव पोर्टल सिस्टम का आधार है। RFC 2865 में परिभाषित यह प्रोटोकॉल खुद एक ऐसे युग में डिज़ाइन किया गया था जब इंटरनेट बहुत अलग जगह थी। आपके NAS उपकरणों — आपके एक्सेस पॉइंट, स्विच और कंट्रोलर — और आपके RADIUS सर्वर के बीच ऑथेंटिकेशन ट्रैफ़िक UDP पर यात्रा करता था, ऑथेंटिकेशन के लिए पोर्ट 1812, अकाउंटिंग के लिए पोर्ट 1813। और वह ट्रैफ़िक? काफी हद तक अनएन्क्रिप्टेड। एकमात्र सुरक्षा उपयोगकर्ता पासवर्ड एट्रिब्यूट को अस्पष्ट करने के लिए उपयोग किया जाने वाला एक शेयर्ड सीक्रेट था, और इसके भी अच्छी तरह से प्रलेखित कमजोरियां हैं। वर्षों तक, यह स्वीकार्य था क्योंकि RADIUS ट्रैफ़िक निजी, नियंत्रित नेटवर्क पर रहता था। आपकी NAS डिवाइस और आपका RADIUS सर्वर एक ही LAN पर थे, या एक समर्पित MPLS सर्किट के माध्यम से जुड़े थे। अटैक सरफेस प्रबंधनीय था। लेकिन दुनिया बदल गई है। क्लाउड-नेटिव इंफ्रास्ट्रक्चर, वितरित वेन्यू डिप्लॉयमेंट, SD-WAN ओवरले और क्लाउड RADIUS सेवाओं की ओर बदलाव ने थ्रेट मॉडल को मौलिक रूप से बदल दिया है। आपका ऑथेंटिकेशन ट्रैफ़िक अब सार्वजनिक इंटरनेट से होकर गुजर रहा है, या सबसे अच्छे रूप में, शेयर्ड इंफ्रास्ट्रक्चर से जिसे आप पूरी तरह से नियंत्रित नहीं करते हैं। यहीं पर RadSec काम आता है। तकनीकी गहन विश्लेषण। औपचारिक रूप से RFC 6614 में परिभाषित RadSec, RADIUS over TLS है। अवधारणा सीधी है: UDP पर RADIUS पैकेट भेजने के बजाय, आप उन्हें TCP पर एक TLS कनेक्शन के भीतर एनकैप्सुलेट करते हैं। इसका परिणाम यह है कि आपके NAS और आपके RADIUS सर्वर के बीच सभी ऑथेंटिकेशन और अकाउंटिंग ट्रैफ़िक पूरी तरह से एन्क्रिप्टेड, पारस्परिक रूप से ऑथेंटिकेटेड और अखंडता-सुरक्षित होते हैं। RFC 7360 इसे DTLS — UDP पर डेटाग्राम TLS — तक विस्तारित करता है, जो एन्क्रिप्शन जोड़ते हुए मूल UDP ट्रांसपोर्ट की कुछ विलंबता विशेषताओं को सुरक्षित रखता है। अधिकांश एंटरप्राइज़ डिप्लॉयमेंट के लिए, TCP पर TLS सही विकल्प है। बड़े स्टेडियम डिप्लॉयमेंट जैसे उच्च-थ्रूपुट, विलंबता-संवेदनशील वातावरण में DTLS पर विचार करना उचित है। आइए मैकेनिक्स के बारे में बात करते हैं। RadSec TCP पोर्ट 2083 पर काम करता है, जो इस प्रोटोकॉल के लिए IANA-असाइन किया गया पोर्ट है। जब कोई NAS डिवाइस RadSec कनेक्शन शुरू करता है, तो यह पोर्ट 2083 पर RADIUS सर्वर के लिए एक TCP कनेक्शन खोलता है और एक TLS हैंडशेक करता है। यह हैंडशेक पारस्परिक होता है — क्लाइंट, यानी आपका NAS, और सर्वर दोनों X.509 सर्टिफिकेट प्रस्तुत करते हैं। सर्वर के सर्टिफिकेट को एक विश्वसनीय CA के खिलाफ सत्यापित किया जाता है। क्लाइंट सर्टिफिकेट RADIUS सर्वर पर NAS की पहचान करता है। एक बार TLS सत्र स्थापित हो जाने के बाद, RADIUS पैकेट उस एन्क्रिप्टेड टनल के भीतर बिल्कुल वैसे ही प्रवाहित होते हैं जैसे वे UDP पर होते हैं, लेकिन अब पूर्ण गोपनीयता, अखंडता और रीप्ले सुरक्षा के साथ। यह तीन महत्वपूर्ण तरीकों से पारंपरिक RADIUS से एक महत्वपूर्ण बदलाव है। पहला, ट्रांसपोर्ट TCP है, UDP नहीं। इसका मतलब है कि आपको विश्वसनीय, क्रमित डिलीवरी मिलती है। खोए हुए पैकेट स्वचालित रूप से पुन: प्रेषित हो जाते हैं। दूसरा, दोनों एंडपॉइंट्स का ऑथेंटिकेशन सर्टिफिकेट-आधारित है, शेयर्ड-सीक्रेट-आधारित नहीं। यह कमजोर या समझौता किए गए शेयर्ड सीक्रेट्स पर आधारित हमलों के पूरे वर्ग को समाप्त करता है। तीसरा, पूरा RADIUS पैकेट एन्क्रिप्टेड होता है, न कि केवल पासवर्ड एट्रिब्यूट। इसका मतलब है कि उपयोगकर्ता नाम, सत्र पहचानकर्ता और सभी RADIUS एट्रिब्यूट्स ट्रांजिट में सुरक्षित हैं। सर्टिफिकेट प्रबंधन के दृष्टिकोण से, आपको अपने RADIUS सर्वर और अपने NAS उपकरणों दोनों के लिए सर्टिफिकेट जारी करने और प्रबंधित करने के लिए एक PKI — एक पब्लिक की इंफ्रास्ट्रक्चर — की आवश्यकता होती है। व्यवहार में, अधिकांश क्लाउड RADIUS प्रदाता, जिसमें Purple का क्लाउड-नेटिव ऑथेंटिकेशन इंफ्रास्ट्रक्चर शामिल है, आपके लिए सर्वर-साइड सर्टिफिकेट प्रबंधन को संभालते हैं। आपकी जिम्मेदारी आपके NAS उपकरणों के लिए क्लाइंट सर्टिफिकेट का प्रावधान करना है। बड़े पैमाने पर डिप्लॉयमेंट के लिए, इसे आमतौर पर आपके नेटवर्क प्रबंधन प्लेटफ़ॉर्म या एक समर्पित सर्टिफिकेट प्रबंधन प्रणाली के माध्यम से संभाला जाता है। सर्टिफिकेट में न्यूनतम के रूप में RSA 2048-बिट या ECDSA P-256 का उपयोग होना चाहिए, जिसमें एक वैधता अवधि होनी चाहिए जो सुरक्षा स्वच्छता के खिलाफ परिचालन ओवरहेड को संतुलित करती है — बारह महीने एक उचित डिफ़ॉल्ट है। अब, आइए उस वैकल्पिक दृष्टिकोण के साथ तुलना करें जिसका उपयोग आज कई संगठन करते हैं: RADIUS ट्रैफ़िक की सुरक्षा के लिए IPsec टनल या VPN ओवरले। IPsec एक पूरी तरह से वैध दृष्टिकोण है, लेकिन यह एक अलग लेयर पर काम करता है। आप दो एंडपॉइंट्स के बीच सभी ट्रैफ़िक को एन्क्रिप्ट कर रहे हैं, जो जटिलता जोड़ता है — आपको टनल के लिए ही IKE, प्री-शेयर्ड कीज़ या सर्टिफिकेट को प्रबंधित करने की आवश्यकता होती है, और संभावित रूप से सैकड़ों साइटों पर टनल स्थिति बनाए रखने का परिचालन ओवरहेड होता है। RadSec अधिक सर्जिकल है। यह विशेष रूप से RADIUS प्रोटोकॉल ट्रैफ़िक को एन्क्रिप्ट करता है, एप्लीकेशन लेयर पर काम करता है, और सीधे आपके RADIUS इंफ्रास्ट्रक्चर के साथ एकीकृत होता है। क्लाउड RADIUS डिप्लॉयमेंट के लिए जहां आप वितरित वेन्यू पर कई NAS उपकरणों को एक केंद्रीकृत क्लाउड सर्वर से जोड़ रहे हैं, RadSec आर्किटेक्चरल रूप से अधिक साफ-सुथरा और परिचालन रूप से सरल है। मुझे आपको यह समझाने दें कि व्यवहार में मल्टी-साइट डिप्लॉयमेंट कैसा दिखता है। आपके पास एक क्लाउड RADIUS सर्वर है — मान लें कि यह Purple का प्लेटफ़ॉर्म है — जिसमें एक विश्वसनीय CA से वैध TLS सर्टिफिकेट है। आपके पास तीन प्रकार के वेन्यू हैं: एक होटल संपत्ति, एक रिटेल स्टोर और एक सम्मेलन केंद्र। प्रत्येक में NAS डिवाइस हैं — एक्सेस पॉइंट, स्विच या वायरलेस LAN कंट्रोलर। प्रत्येक NAS डिवाइस को RadSec सर्वर पते, पोर्ट 2083 और एक क्लाइंट सर्टिफिकेट के साथ कॉन्फ़िगर किया जाना चाहिए। NAS, TLS कनेक्शन शुरू करता है, पारस्परिक हैंडशेक पूरा होता है, और उस बिंदु से आगे, उस वेन्यू पर मेहमानों और कर्मचारियों के लिए सभी 802.1X ऑथेंटिकेशन ट्रैफ़िक क्लाउड RADIUS सर्वर पर एन्क्रिप्टेड प्रवाहित होता है। यदि TLS कनेक्शन टूट जाता है — मान लें, नेटवर्क व्यवधान के कारण — तो NAS इसे स्वचालित रूप से फिर से स्थापित करता है। यह लगातार बने रहने वाला कनेक्शन मॉडल वास्तव में उच्च-मात्रा वाले डिप्लॉयमेंट के लिए UDP की तुलना में अधिक कुशल है क्योंकि आप प्रति-पैकेट प्रोसेसिंग के ओवरहेड से बचते हैं। फ़ायरवॉल की तरफ, आपको अपने NAS प्रबंधन नेटवर्क से अपने RADIUS सर्वर के IP पते या FQDN पर पोर्ट 2083 पर आउटबाउंड TCP की अनुमति देनी होगी। यदि आप एक सख्त इग्रेस नीति चला रहे हैं, तो आप रिटर्न ट्रैफ़िक की अनुमति भी देना चाहेंगे। यह IPsec फ़ायरवॉल नियमों को प्रबंधित करने की तुलना में सरल है, जिसके लिए अक्सर UDP 500 और 4500 पर ESP प्रोटोकॉल अपवाद और IKE की आवश्यकता होती है। कार्यान्वयन सिफारिशें और नुकसान। आइए बात करते हैं कि वास्तव में RadSec डिप्लॉयमेंट में क्या गलत होता है, क्योंकि कुछ सुसंगत विफलता मोड हैं जो मैं संगठनों में देखता हूं। पहली और सबसे आम समस्या सर्टिफिकेट चेन सत्यापन विफलताएं हैं। आपकी NAS डिवाइस को उस CA पर भरोसा करना होगा जिसने RADIUS सर्वर के सर्टिफिकेट पर हस्ताक्षर किए हैं। यदि आप एक प्रसिद्ध सार्वजनिक CA — DigiCert, Let's Encrypt, Sectigo — के सर्टिफिकेट के साथ क्लाउड RADIUS प्रदाता का उपयोग कर रहे हैं, तो अधिकांश आधुनिक NAS डिवाइस आउट ऑफ द बॉक्स इस पर भरोसा करेंगे। लेकिन यदि आप एक आंतरिक CA का उपयोग कर रहे हैं, तो आपको प्रत्येक NAS डिवाइस पर CA सर्टिफिकेट पुश करना होगा। प्रारंभिक डिप्लॉयमेंट के दौरान अक्सर इसे नजरअंदाज कर दिया जाता है और यह TLS हैंडशेक विफलताओं के रूप में सामने आता है जो कनेक्टिविटी समस्याओं की तरह दिखती हैं। दूसरा नुकसान सर्टिफिकेट की समाप्ति है। शेयर्ड सीक्रेट्स के विपरीत, जो समाप्त नहीं होते हैं, सर्टिफिकेट की एक निश्चित वैधता अवधि होती है। यदि आपका RADIUS सर्वर सर्टिफिकेट समाप्त हो जाता है, तो आपके एस्टेट का प्रत्येक NAS डिवाइस एक साथ ऑथेंटिकेट करने में विफल हो जाएगा। आपको सर्टिफिकेट लाइफसाइकिल मैनेजमेंट की आवश्यकता है — जहां संभव हो स्वचालित रिन्यूअल, और समाप्ति से काफी पहले अलर्ट के साथ निगरानी। नब्बे दिन का नोटिस न्यूनतम है; तीस दिन बेहतर है। तीसरी समस्या NAS डिवाइस संगतता है। सभी NAS डिवाइस मूल रूप से RadSec का समर्थन नहीं करते हैं। पुराने Cisco IOS संस्करण, कुछ लीगेसी Aruba कंट्रोलर और कुछ उपभोक्ता-ग्रेड एक्सेस पॉइंट में RadSec समर्थन नहीं है। RadSec डिप्लॉयमेंट के लिए प्रतिबद्ध होने से पहले, संगतता के लिए अपने NAS एस्टेट का ऑडिट करें। Cisco IOS-XE 16.x और बाद के संस्करण, Aruba AOS-CX, Ruckus SmartZone और Juniper EX श्रृंखला सभी में ठोस RadSec समर्थन है। उन उपकरणों के लिए जो मूल रूप से RadSec का समर्थन नहीं करते हैं, एक RadSec प्रॉक्सी — radsecproxy जैसा एक ओपन-सोर्स विकल्प — अंतर को पाट सकता है, लीगेसी उपकरणों से UDP RADIUS स्वीकार कर सकता है और इसे TLS पर क्लाउड RADIUS सर्वर पर अग्रेषित कर सकता है। चौथा विचार कनेक्शन की निरंतरता और कीपअलाइव है। RadSec लगातार बने रहने वाले TCP कनेक्शन का उपयोग करता है, लेकिन आक्रामक टाइमआउट नीतियों वाले फ़ायरवॉल और NAT डिवाइस चुपचाप निष्क्रिय कनेक्शन को छोड़ सकते हैं। अपने RadSec कनेक्शन पर TCP कीपअलाइव कॉन्फ़िगर करें — आमतौर पर समय से पहले कनेक्शन टूटने को रोकने के लिए साठ सेकंड का कीपअलाइव अंतराल पर्याप्त होता है। अधिकांश RADIUS सर्वर कार्यान्वयन और NAS डिवाइस इस कॉन्फ़िगरेशन का समर्थन करते हैं। Cisco IOS-XE के लिए, RadSec कॉन्फ़िगरेशन इस तरह दिखता है। आप अपने क्लाउड RADIUS एंडपॉइंट के पते के साथ एक RADIUS सर्वर को परिभाषित करते हैं, ट्रांसपोर्ट के रूप में TLS निर्दिष्ट करते हैं, अपने ट्रस्टपॉइंट को संदर्भित करते हैं — जो कि डिवाइस पर सर्टिफिकेट स्टोर है — और डेस्टिनेशन पोर्ट को 2083 पर सेट करते हैं। फिर आप अपने AAA सर्वर समूह कॉन्फ़िगरेशन में इस सर्वर को संदर्भित करते हैं। विवरण प्लेटफ़ॉर्म संस्करण के अनुसार भिन्न होते हैं, लेकिन तार्किक संरचना सभी वेंडर्स में सुसंगत है। AOS चलाने वाले Aruba कंट्रोलर्स के लिए, आप RadSec विकल्प सक्षम के साथ RADIUS सर्वर को कॉन्फ़िगर करते हैं, सर्वर सत्यापन के लिए CA सर्टिफिकेट निर्दिष्ट करते हैं, और वैकल्पिक रूप से पारस्परिक TLS के लिए एक क्लाइंट सर्टिफिकेट कॉन्फ़िगर करते हैं। Aruba का कार्यान्वयन परिपक्व और अच्छी तरह से प्रलेखित है। रैपिड-फायर प्रश्न और उत्तर। आइए उन प्रश्नों पर नज़र डालें जो मुझसे RadSec के बारे में सबसे अक्सर पूछे जाते हैं। क्या RadSec विलंबता जोड़ता है? TLS हैंडशेक प्रारंभिक कनेक्शन स्थापना पर एक छोटा ओवरहेड जोड़ता है — आमतौर पर 100 मिलीसेकंड से कम। एक बार कनेक्शन स्थापित हो जाने के बाद, प्रति-पैकेट ओवरहेड नगण्य होता है। 802.1X ऑथेंटिकेशन के लिए, जहां हैंडशेक प्रति सत्र एक बार होता है, यह कोई सार्थक चिंता नहीं है। क्या मैं पारंपरिक UDP RADIUS के साथ RadSec चला सकता हूँ? हाँ। अधिकांश RADIUS सर्वर एक साथ दोनों का समर्थन करते हैं। माइग्रेशन के दौरान, आप उन साइटों के लिए RadSec चला सकते हैं जो इसका समर्थन करती हैं और लीगेसी साइटों के लिए UDP पर वापस जा सकते हैं। यह अनुशंसित माइग्रेशन दृष्टिकोण है। क्या PCI-DSS अनुपालन के लिए RadSec आवश्यक है? PCI-DSS संस्करण 4.0 की आवश्यकता है कि ट्रांजिट में ऑथेंटिकेशन ट्रैफ़िक सुरक्षित हो। RADIUS-आधारित ऑथेंटिकेशन के लिए इस आवश्यकता को पूरा करने के लिए RadSec सबसे सीधे तरीकों में से एक है। यदि आप ऐसे नेटवर्क पर कार्ड भुगतान संसाधित कर रहे हैं जो RADIUS ऑथेंटिकेशन का उपयोग करता है, तो RadSec आपके अनुपालन रोडमैप पर होना चाहिए। क्या RadSec EAP के साथ काम करता है? हाँ। EAP — एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल — RADIUS के भीतर एनकैप्सुलेटेड होता है, इसलिए EAP-TLS, PEAP, EAP-TTLS सभी RadSec पर पारदर्शी रूप से काम करते हैं। EAP एक्सचेंज खुद अप्रभावित रहता है। RADIUS अकाउंटिंग के बारे में क्या? RFC 6614 ऑथेंटिकेशन और अकाउंटिंग ट्रैफ़िक दोनों को कवर करता है। आपका अकाउंटिंग डेटा — सत्र शुरू, बंद और अंतरिम अपडेट रिकॉर्ड — भी पोर्ट 2083 पर उसी TLS कनेक्शन पर एन्क्रिप्टेड होता है। सारांश और अगले कदम। इसे एक साथ लाने के लिए: RadSec किसी भी डिप्लॉयमेंट में RADIUS के लिए सही ट्रांसपोर्ट लेयर है जहां ऑथेंटिकेशन ट्रैफ़िक उस इंफ्रास्ट्रक्चर को पार करता है जिसे आप पूरी तरह से नियंत्रित नहीं करते हैं। इसका मतलब है क्लाउड RADIUS, मल्टी-साइट डिप्लॉयमेंट, SD-WAN वातावरण, और कोई भी परिदृश्य जहां RADIUS ट्रैफ़िक सार्वजनिक इंटरनेट या शेयर्ड कैरियर इंफ्रास्ट्रक्चर से होकर गुजरता है। आपकी टीम के लिए मुख्य कार्य हैं: पहला, RadSec संगतता के लिए अपने NAS एस्टेट का ऑडिट करें और उन उपकरणों की पहचान करें जिन्हें प्रॉक्सी की आवश्यकता होगी। दूसरा, अपने क्लाउड RADIUS प्रदाता से जुड़ें — या उन प्रदाताओं का मूल्यांकन करें जो मूल रूप से RadSec का समर्थन करते हैं — और उनके सर्टिफिकेट प्रबंधन दृष्टिकोण को समझें। तीसरा, लाइव होने से पहले एक सर्टिफिकेट लाइफसाइकिल मैनेजमेंट प्रक्रिया स्थापित करें। चौथा, अपने NAS प्रबंधन नेटवर्क से TCP 2083 आउटबाउंड की अनुमति देने के लिए अपने फ़ायरवॉल नियमों को अपडेट करें। पांचवां, प्रोडक्शन में रोल आउट करने से पहले एक स्टेजिंग वातावरण में अपने RadSec कॉन्फ़िगरेशन का परीक्षण करें, लोड के तहत सर्टिफिकेट चेन सत्यापन और कनेक्शन की निरंतरता पर विशेष ध्यान दें। वितरित वेन्यू पर अतिथि WiFi और ऑथेंटिकेशन के लिए Purple के प्लेटफ़ॉर्म को चलाने वाले संगठनों के लिए, क्लाउड RADIUS कनेक्टिविटी के लिए RadSec अनुशंसित ट्रांसपोर्ट है। यह Purple के क्लाउड-नेटिव आर्किटेक्चर के साथ संरेखित है और यह सुनिश्चित करता है कि आपके वेन्यू और प्लेटफ़ॉर्म के बीच बहने वाला ऑथेंटिकेशन डेटा पूरी तरह से सुरक्षित है — जो आपकी सुरक्षा स्थिति और GDPR और PCI-DSS के तहत आपके अनुपालन दायित्वों दोनों के लिए महत्वपूर्ण है। यदि आप डिप्लॉयमेंट की योजना बना रहे हैं या अपने विशिष्ट आर्किटेक्चर पर चर्चा करना चाहते हैं, तो Purple टीम सही शुरुआती बिंदु है। यह RadSec पर एक Purple तकनीकी ब्रीफिंग रही है। सुनने के लिए धन्यवाद।

header_image.png

कार्यकारी सारांश

दशकों से, UDP पर RADIUS नेटवर्क ऑथेंटिकेशन का आधार रहा है, जो सुरक्षा के लिए निजी नेटवर्क और शेयर्ड सीक्रेट्स पर निर्भर करता है। जैसे-जैसे एंटरप्राइज़ आर्किटेक्चर क्लाउड-नेटिव इंफ्रास्ट्रक्चर, वितरित रिटेल और हॉस्पिटैलिटी वेन्यू और SD-WAN ओवरले की ओर बढ़ रहे हैं, थ्रेट मॉडल मौलिक रूप से बदल गया है। RADIUS ट्रैफ़िक अब अक्सर सार्वजनिक या शेयर्ड नेटवर्क से होकर गुजरता है, जिससे ऑथेंटिकेशन डेटा इंटरसेप्शन के प्रति संवेदनशील हो जाता है।

RFC 6614 में परिभाषित RadSec (RADIUS over TLS), RADIUS पैकेट को एक पारस्परिक रूप से ऑथेंटिकेटेड TLS टनल के भीतर एनकैप्सुलेट करके इसे हल करता है। यह गाइड नेटवर्क आर्किटेक्ट्स और सुरक्षा इंजीनियरों को RadSec को डिप्लॉय करने के बारे में एक व्यापक तकनीकी संदर्भ प्रदान करती है। हम पारंपरिक RADIUS से आर्किटेक्चरल अंतर, सर्टिफिकेट मैनेजमेंट आवश्यकताओं, फ़ायरवॉल कॉन्फ़िगरेशन और Purple के Guest WiFi और WiFi Analytics इंफ्रास्ट्रक्चर जैसे क्लाउड RADIUS प्लेटफ़ॉर्म के साथ एकीकृत करने के लिए व्यावहारिक डिप्लॉयमेंट विचारों को कवर करते हैं। RadSec को अपनाकर, संगठन मजबूत सुरक्षा सुनिश्चित कर सकते हैं, PCI-DSS और GDPR जैसी सख्त अनुपालन आवश्यकताओं को पूरा कर सकते हैं, और मल्टी-साइट ऑथेंटिकेशन आर्किटेक्चर को सरल बना सकते हैं।

तकनीकी गहन विश्लेषण

RADIUS ट्रांसपोर्ट का विकास

रिमोट ऑथेंटिकेशन डायल-इन यूजर सर्विस (RADIUS) प्रोटोकॉल, जिसे मूल रूप से RFC 2865 में परिभाषित किया गया था, नेटवर्किंग के एक अलग युग के लिए डिज़ाइन किया गया था। यह अपने ट्रांसपोर्ट लेयर के रूप में UDP का उपयोग करता है (ऑथेंटिकेशन के लिए पोर्ट 1812, अकाउंटिंग के लिए 1813)। पारंपरिक RADIUS में, पेलोड ट्रांजिट में काफी हद तक अनएन्क्रिप्टेड होता है। एकमात्र सुरक्षा तंत्र नेटवर्क एक्सेस सर्वर (NAS) और RADIUS सर्वर के बीच एक शेयर्ड सीक्रेट का उपयोग करके User-Password एट्रिब्यूट को अस्पष्ट करना है।

हालांकि यह तब पर्याप्त था जब NAS डिवाइस और RADIUS सर्वर एक ही भौतिक LAN या समर्पित MPLS सर्किट पर स्थित थे, आधुनिक आर्किटेक्चर इस मॉडल से आगे निकल चुके हैं। जैसा कि आधुनिक व्यवसायों के लिए मुख्य SD WAN लाभ पर हमारी चर्चा में बताया गया है, वितरित उद्यम अब इंटर-साइट कनेक्टिविटी के लिए इंटरनेट ट्रांसपोर्ट पर निर्भर हैं। सार्वजनिक इंटरनेट पर अनएन्क्रिप्टेड RADIUS ट्रैफ़िक भेजने से उपयोगकर्ता क्रेडेंशियल, सेशन आइडेंटिफ़ायर और नेटवर्क एक्सेस नीतियां इंटरसेप्शन और छेड़छाड़ के प्रति संवेदनशील हो जाती हैं।

RadSec: RADIUS over TLS (RFC 6614)

RadSec ट्रांसपोर्ट लेयर को बदलकर इन कमजोरियों को दूर करता है। UDP के बजाय, RadSec TCP पोर्ट 2083 का उपयोग करता है। किसी भी RADIUS पैकेट का आदान-प्रदान होने से पहले, NAS और RADIUS सर्वर एक TLS (Transport Layer Security) कनेक्शन स्थापित करते हैं।

radsec_vs_radius_comparison.png

RadSec की मुख्य तकनीकी विशेषताओं में शामिल हैं:

  1. TCP ट्रांसपोर्ट: RadSec विश्वसनीय, क्रमित डिलीवरी प्रदान करता है। यह UDP RADIUS में निहित एप्लीकेशन-लेयर रिट्रांसमिशन की आवश्यकता को समाप्त करता है, जो उच्च-विलंबता वाले वातावरण में समस्याएं पैदा कर सकता है।
  2. पूर्ण पेलोड एन्क्रिप्शन: हेडर और सभी एट्रिब्यूट्स सहित संपूर्ण RADIUS पैकेट—TLS टनल के भीतर एन्क्रिप्टेड होता है।
  3. पारस्परिक ऑथेंटिकेशन (mTLS): RADIUS सर्वर और NAS डिवाइस दोनों X.509 सर्टिफिकेट का उपयोग करके एक-दूसरे को ऑथेंटिकेट करते हैं। यह कमजोर शेयर्ड सीक्रेट मॉडल को मजबूत पब्लिक की इंफ्रास्ट्रक्चर (PKI) से बदल देता है।
  4. लगातार बने रहने वाले कनेक्शन: UDP RADIUS के विपरीत जो कनेक्शन रहित है, RadSec एक लगातार बने रहने वाला TCP कनेक्शन बनाए रखता है। यह प्रत्येक ऑथेंटिकेशन अनुरोध के लिए एक नया कनेक्शन स्थापित करने के ओवरहेड को कम करता है, जो व्यस्त वेन्यू के लिए अत्यधिक कुशल है।

नोट: RFC 7360 DTLS (डेटाग्राम TLS) पर RADIUS को परिभाषित करता है, जो UDP का उपयोग करता है। हालांकि विशिष्ट उच्च-थ्रूपुट परिदृश्यों में उपयोगी होने के बावजूद, एंटरप्राइज़ क्लाउड RADIUS डिप्लॉयमेंट के लिए TCP पर TLS ही मानक बना हुआ है।

वितरित वातावरण में आर्किटेक्चर

एक विशिष्ट मल्टी-साइट डिप्लॉयमेंट में—जैसे कि एक राष्ट्रीय हेल्थकेयर प्रदाता या ट्रांसपोर्ट हब की एक श्रृंखला—RadSec आर्किटेक्चर को काफी सरल बनाता है।

radsec_architecture_diagram.png

RADIUS ट्रैफ़िक की सुरक्षा के लिए प्रत्येक शाखा स्थान से वापस एक केंद्रीय डेटा सेंटर तक जटिल IPsec VPN मेश बनाने के बजाय, प्रत्येक NAS डिवाइस क्लाउड RADIUS प्रदाता के लिए इंटरनेट पर एक सीधा RadSec TLS कनेक्शन स्थापित करता है। यह एक एप्लीकेशन-लेयर सुरक्षा मॉडल है जिसे डिप्लॉय करना अधिक साफ-सुथरा है और नेटवर्क-लेयर VPN की तुलना में समस्या निवारण करना आसान है।

कार्यान्वयन गाइड

RadSec को डिप्लॉय करने के लिए नेटवर्क इंफ्रास्ट्रक्चर, सर्टिफिकेट अथॉरिटी और फ़ायरवॉल नीतियों के बीच समन्वय की आवश्यकता होती है। सफल डिप्लॉयमेंट के लिए इन वेंडर-न्यूट्रल चरणों का पालन करें।

1. सर्टिफिकेट इंफ्रास्ट्रक्चर की तैयारी

RadSec mTLS पर निर्भर करता है। आपको सर्वर और क्लाइंट (NAS डिवाइस) दोनों के लिए सर्टिफिकेट की आवश्यकता होती magnetism है।

  • सर्वर सर्टिफिकेट: आपका क्लाउड RADIUS प्रदाता (जैसे, Purple) एक सार्वजनिक सर्टिफिकेट अथॉरिटी (CA) या आंतरिक CA द्वारा हस्ताक्षरित सर्वर सर्टिफिकेट प्रस्तुत करेगा। सर्वर को मान्य करने के लिए आपके NAS डिवाइस के ट्रस्ट स्टोर में रूट CA सर्टिफिकेट इंस्टॉल होना चाहिए।
  • क्लाइंट सर्टिफिकेट: प्रत्येक NAS डिवाइस को RADIUS सर्वर पर अपनी पहचान प्रमाणित करने के लिए एक क्लाइंट सर्टिफिकेट की आवश्यकता होती है। इन्हें अपने आंतरिक PKI या नेटवर्क प्रबंधन प्रणाली के माध्यम से जनरेट करें। सुनिश्चित करें कि वे कम से कम RSA 2048-बिट या ECDSA P-256 कुंजियों का उपयोग करते हैं।

2. फ़ायरवॉल कॉन्फ़िगरेशन

RadSec को आपके NAS प्रबंधन इंटरफेस से विशिष्ट इग्रेस नियमों की आवश्यकता होती है:

  • प्रोटोकॉल: TCP
  • डेस्टिनेशन पोर्ट: 2083
  • डेस्टिनेशन IP/FQDN: आपके प्राथमिक और माध्यमिक क्लाउड RADIUS सर्वर के पते।
  • स्टेटफुल इंस्पेक्शन: सुनिश्चित करें कि फ़ायरवॉल स्थापित TCP कनेक्शन के लिए रिटर्न ट्रैफ़िक की अनुमति देता है।
  • कीपअलाइव: कनेक्शन के अचानक टूटने को रोकने के लिए फ़ायरवॉल TCP टाइमआउट मानों को RadSec कीपअलाइव अंतराल (आमतौर पर 60 सेकंड) से अधिक लंबा कॉन्फ़िगर करें।

3. NAS डिवाइस कॉन्फ़िगरेशन (सामान्य वर्कफ़्लो)

हालांकि विशिष्ट सिंटैक्स वेंडर (Cisco, Aruba, Juniper, आदि) के अनुसार भिन्न होता है, तार्किक कॉन्फ़िगरेशन चरण सुसंगत हैं:

  1. CA सर्टिफिकेट इम्पोर्ट करें: उस CA सर्टिफिकेट को लोड करें जिसने RADIUS सर्वर के सर्टिफिकेट को NAS ट्रस्ट स्टोर में हस्ताक्षरित किया है।
  2. क्लाइंट सर्टिफिकेट इम्पोर्ट करें: NAS डिवाइस का क्लाइंट सर्टिफिकेट और प्राइवेट की लोड करें।
  3. RADIUS सर्वर परिभाषित करें: RADIUS सर्वर IP/FQDN कॉन्फ़िगर करें।
  4. RadSec सक्षम करें: TLS को ट्रांसपोर्ट प्रोटोकॉल के रूप में निर्दिष्ट करें और पोर्ट को 2083 पर सेट करें।
  5. सर्टिफिकेट बाइंड करें: इम्पोर्ट किए गए सर्टिफिकेट को RadSec सर्वर कॉन्फ़िगरेशन के साथ संबद्ध करें।
  6. AAA प्रोफाइल पर लागू करें: RadSec सर्वर को प्रासंगिक AAA ऑथेंटिकेशन और अकाउंटिंग समूहों में जोड़ें।

4. लीगेसी डिवाइस को संभालना (RadSec प्रॉक्सी)

सभी NAS डिवाइस मूल रूप से RadSec का समर्थन नहीं करते हैं। पुराने स्विच या उपभोक्ता-ग्रेड एक्सेस पॉइंट के लिए, एक RadSec प्रॉक्सी (जैसे radsecproxy) डिप्लॉय करें। प्रॉक्सी स्थानीय LAN पर स्थित होता है, लीगेसी डिवाइस से पारंपरिक UDP RADIUS स्वीकार करता है, और इसे एक सुरक्षित RadSec TLS टनल के माध्यम से क्लाउड RADIUS सर्वर पर भेजता है।

सर्वोत्तम प्रथाएं

  • सर्टिफिकेट लाइफसाइकिल मैनेजमेंट: NAS डिवाइस के लिए स्वचालित सर्टिफिकेट रिन्यूअल लागू करें। क्लाइंट सर्टिफिकेट के बड़े पैमाने पर समाप्त होने से व्यापक नेटवर्क आउटेज हो सकता है। सर्टिफिकेट की वैधता की निगरानी करें और समाप्ति से 90, 60 और 30 दिन पहले अलर्ट करें।
  • उच्च उपलब्धता: हमेशा प्राथमिक और माध्यमिक RadSec सर्वर कॉन्फ़िगर करें। चूंकि TCP कनेक्शन स्थापित करने में UDP पैकेट ट्रांसमिशन की तुलना में अधिक समय लगता है, इसलिए प्राथमिक कनेक्शन टूटने पर माध्यमिक सर्वर पर जल्दी से स्विच करने के लिए NAS पर आक्रामक फ़ेलओवर टाइमर कॉन्फ़िगर करें।
  • TCP कीपअलाइव: निष्क्रिय कनेक्शनों का पता लगाने और फ़ायरवॉल को निष्क्रिय सत्रों को छोड़ने से रोकने के लिए NAS डिवाइस पर TCP कीपअलाइव सक्षम करें। 60-सेकंड का अंतराल मानक है।
  • सख्त सर्टिफिकेट सत्यापन: सुनिश्चित करें कि NAS डिवाइस सर्वर सर्टिफिकेट को सख्ती से सत्यापित करने के लिए कॉन्फ़िगर किए गए हैं, जिसमें कॉन्फ़िगर किए गए सर्वर होस्टनाम के खिलाफ सब्जेक्ट अल्टरनेटिव नेम (SAN) की जांच करना शामिल है। प्रोडक्शन में सर्टिफिकेट सत्यापन को अक्षम न करें।
  • भविष्य के लिए तैयारी: जैसे-जैसे वायरलेस मानक विकसित होते हैं, जैसे कि हमारी गाइड WiFi 6E बनाम WiFi 7: वेन्यू को क्या जानने की आवश्यकता है में चर्चा की गई है, ऑथेंटिकेशन ट्रैफ़िक की मात्रा बढ़ जाएगी। RadSec के लगातार बने रहने वाले TCP कनेक्शन इस घनत्व को संभालने के लिए UDP की तुलना में बेहतर अनुकूल हैं।

समस्या निवारण और जोखिम शमन

जब RadSec डिप्लॉयमेंट विफल हो जाते हैं, तो समस्या शायद ही कभी RADIUS प्रोटोकॉल की होती है; यह लगभग हमेशा TLS या TCP से संबंधित होती है।

सामान्य विफलता मोड

  1. TLS हैंडशेक विफलताएं (अज्ञात CA): NAS डिवाइस RADIUS सर्वर के सर्टिफिकेट को अस्वीकार कर देता है क्योंकि हस्ताक्षर करने वाला CA, NAS ट्रस्ट स्टोर में नहीं है।
    • शमन: सर्वर द्वारा उपयोग की जाने वाली सटीक CA श्रृंखला को सत्यापित करें और सुनिश्चित करें कि रूट (और कोई भी मध्यवर्ती) CA, NAS पर इंस्टॉल हैं।
  2. साइलेंट कनेक्शन ड्रॉप्स: RadSec कनेक्शन सफलतापूर्वक स्थापित हो जाता है, लेकिन निष्क्रियता की अवधि के बाद ऑथेंटिकेशन अनुरोध टाइमआउट हो जाते हैं। यह आमतौर पर एक स्टेटफुल फ़ायरवॉल होता है जो निष्क्रिय TCP कनेक्शन को छोड़ देता है।
    • शमन: NAS पर TCP कीपअलाइव सक्षम करें और पोर्ट 2083 के लिए फ़ायरवॉल सत्र टाइमआउट सेटिंग्स को सत्यापित करें।
  3. क्लॉक स्क्यू: TLS सर्टिफिकेट सत्यापन सटीक सिस्टम समय पर निर्भर करता है। यदि NAS डिवाइस की घड़ी काफी हद तक सिंक से बाहर है, तो यह वैध सर्टिफिकेट को समाप्त या अभी तक वैध नहीं के रूप में मूल्यांकित करेगा।
    • शमन: सुनिश्चित करें कि RadSec कनेक्शन शुरू करने से पहले सभी NAS डिवाइस विश्वसनीय NTP सर्वर के साथ सिंक्रोनाइज़्ड हैं।

ROI और व्यावसायिक प्रभाव

RadSec पर संक्रमण तकनीकी सुरक्षा सुधारों से परे मापने योग्य व्यावसायिक मूल्य प्रदान करता है:

  • अनुपालन और जोखिम में कमी: RadSec ट्रांजिट में ऑथेंटिकेशन डेटा को एन्क्रिप्ट करता है, जो सीधे PCI-DSS v4.0 और GDPR की आवश्यकताओं को पूरा करता है। यह क्रेडेंशियल इंटरसेप्शन से जुड़े वित्तीय और प्रतिष्ठित जोखिमों को कम करता है।
  • परिचालन दक्षता: जटिल, साइट-टू-साइट IPsec VPN को एप्लीकेशन-लेयर RadSec से बदलने से नेटवर्क इंजीनियरिंग ओवरहेड कम हो जाता है। क्लाउड प्रदाता के लिए TLS कनेक्शन का समस्या निवारण करना सैकड़ों शाखाओं में VPN रूटिंग और IKE चरण वार्ताओं को डीबग करने की तुलना में काफी तेज़ है।
  • क्लाउड रेडीनेस: RadSec क्लाउड-नेटिव ऑथेंटिकेशन के लिए सक्षम तकनीक है। इसे अपनाकर, संगठन आधुनिक पहचान प्रदाताओं और Purple जैसे प्लेटफ़ॉर्म के साथ सहजता से एकीकृत हो सकते हैं, जिससे ऑन-प्रिमाइसेस सर्वर फ़ुटप्रिंट और लाइसेंसिंग लागत कम हो जाती है।

मुख्य परिभाषाएं

RadSec

एक प्रोटोकॉल जो ट्रांसपोर्ट लेयर सिक्योरिटी (TLS) टनल के भीतर RADIUS ऑथेंटिकेशन और अकाउंटिंग डेटा को एनकैप्सुलेट करता है।

अविश्वसनीय नेटवर्क पर ऑथेंटिकेशन ट्रैफ़िक को सुरक्षित करने के लिए उपयोग किया जाता है, जो लीगेसी UDP RADIUS की जगह लेता है।

mTLS (Mutual TLS)

एक ऑथेंटिकेशन प्रक्रिया जहां क्लाइंट (NAS) और सर्वर (RADIUS) दोनों TLS हैंडशेक के दौरान एक-दूसरे के X.509 सर्टिफिकेट को सत्यापित करते हैं।

यह सुनिश्चित करके कि दोनों एंडपॉइंट्स को क्रिप्टोग्राफ़िक रूप से सत्यापित किया गया है, पारंपरिक RADIUS शेयर्ड सीक्रेट मॉडल की तुलना में अधिक मजबूत सुरक्षा प्रदान करता है।

NAS (Network Access Server)

वह उपकरण जो उपयोगकर्ताओं को नेटवर्क एक्सेस प्रदान करता है और RADIUS क्लाइंट के रूप में कार्य करता है। आधुनिक नेटवर्क में, यह आमतौर पर एक वायरलेस एक्सेस पॉइंट, स्विच या वायरलेस LAN नियंत्रक होता है।

NAS क्लाउड RADIUS सर्वर से RadSec कनेक्शन शुरू करने के लिए जिम्मेदार है।

PKI (Public Key Infrastructure)

डिजिटल सर्टिफिकेट बनाने, प्रबंधित करने, वितरित करने, उपयोग करने, संग्रहीत करने और निरस्त करने के लिए आवश्यक भूमिकाओं, नीतियों, हार्डवेयर, सॉफ़्टवेयर और प्रक्रियाओं का ढांचा।

बड़े एस्टेट में RadSec डिप्लॉयमेंट के लिए आवश्यक सर्टिफिकेट के प्रबंधन के लिए आवश्यक।

TCP Keepalive

एक तंत्र जो यह सत्यापित करने के लिए कि कनेक्शन अभी भी सक्रिय है और स्टेटफुल फ़ायरवॉल को सत्र को छोड़ने से रोकने के लिए एक निष्क्रिय कनेक्शन पर खाली TCP पैकेट भेजता है।

कम ऑथेंटिकेशन गतिविधि की अवधि के दौरान लगातार बने रहने वाले RadSec कनेक्शन को बनाए रखने के लिए महत्वपूर्ण।

RadSec Proxy

एक सॉफ़्टवेयर सेवा जो एक मध्यस्थ के रूप में कार्य करती है, लीगेसी उपकरणों से पारंपरिक UDP RADIUS ट्रैफ़िक प्राप्त करती है और इसे एक सुरक्षित RadSec TLS कनेक्शन पर अग्रेषित करती है।

उन वातावरणों में अंतर को पाटने के लिए उपयोग किया जाता है जहां पुराने नेटवर्क हार्डवेयर मूल रूप से RadSec का समर्थन नहीं करते हैं।

X.509 Certificate

एक डिजिटल सर्टिफिकेट जो यह सत्यापित करने के लिए व्यापक रूप से स्वीकृत अंतरराष्ट्रीय X.509 PKI मानक का उपयोग करता है कि एक पब्लिक की सर्टिफिकेट के भीतर मौजूद उपयोगकर्ता, कंप्यूटर या सेवा पहचान से संबंधित है।

पहचान स्थापित करने और TLS टनल को एन्क्रिप्ट करने के लिए RadSec द्वारा उपयोग की जाने वाली क्रिप्टोग्राफ़िक नींव।

EAP (Extensible Authentication Protocol)

एक ऑथेंटिकेशन ढांचा जो अक्सर वायरलेस नेटवर्क और पॉइंट-टू-पॉइंट कनेक्शन में उपयोग किया जाता है।

EAP ट्रैफ़िक (जैसे EAP-TLS या PEAP) RADIUS पैकेट के भीतर एनकैप्सुलेटेड होता है, जिसका अर्थ है कि RadSec सुरक्षित रूप से EAP एक्सचेंज को ट्रांसपोर्ट करता है।

हल किए गए उदाहरण

500 स्थानों वाली एक राष्ट्रीय रिटेल श्रृंखला ऑन-प्रिमाइसेस RADIUS सर्वर से Purple के क्लाउड RADIUS पर माइग्रेट कर रही है। मौजूदा आर्किटेक्चर MPLS और SD-WAN लिंक के मिश्रण में UDP पर अनएन्क्रिप्टेड RADIUS का उपयोग करता है। 450 स्थानों पर आधुनिक Aruba एक्सेस पॉइंट हैं, जबकि 50 स्थान लीगेसी हार्डवेयर का उपयोग करते हैं जो RadSec का समर्थन नहीं करता है। नेटवर्क आर्किटेक्ट को नए ऑथेंटिकेशन ट्रांसपोर्ट को कैसे डिज़ाइन करना चाहिए?

आर्किटेक्ट को एक हाइब्रिड RadSec डिप्लॉयमेंट लागू करना चाहिए। आधुनिक Aruba AP वाले 450 स्थानों के लिए, सीधे AP या स्थानीय नियंत्रकों पर नेटिव RadSec कॉन्फ़िगर करें। Aruba उपकरणों पर Purple के क्लाउड RADIUS का रूट CA सर्टिफिकेट इंस्टॉल करें, और नेटवर्क प्रबंधन प्लेटफ़ॉर्म के माध्यम से क्लाइंट सर्टिफिकेट प्रदान करें। TCP 2083 के लिए इग्रेस फ़ायरवॉल नियम कॉन्फ़िगर करें। 50 लीगेसी स्थानों के लिए, प्रत्येक साइट पर एक लाइटवेट RadSec प्रॉक्सी (जैसे, एक छोटा Linux VM या radsecproxy चलाने वाला कंटेनर) डिप्लॉय करें। लीगेसी AP स्थानीय प्रॉक्सी को मानक UDP RADIUS भेजेंगे, जो फिर ट्रैफ़िक को Purple क्लाउड के लिए एक TLS टनल में एनकैप्सुलेट करेगा।

परीक्षक की टिप्पणी: यह दृष्टिकोण लीगेसी हार्डवेयर बाधाओं के साथ आधुनिक सुरक्षा मानकों को संतुलित करता है। जहाँ संभव हो नेटिव RadSec का उपयोग करके, आर्किटेक्ट चलते-फिरते हिस्सों को कम करता है। लीगेसी साइटों के लिए प्रॉक्सी समाधान यह सुनिश्चित करता है कि WAN/इंटरनेट से गुजरने वाला सभी ट्रैफ़िक तत्काल, महंगे हार्डवेयर रिफ्रेश की आवश्यकता के बिना एन्क्रिप्टेड हो।

एक बड़े सम्मेलन केंद्र में RadSec डिप्लॉयमेंट के दौरान, नेटवर्क टीम देखती है कि NAS डिवाइस व्यस्त अवधि के दौरान उपयोगकर्ताओं को सफलतापूर्वक ऑथेंटिकेट करते हैं, लेकिन सुबह जल्दी पहले कुछ उपयोगकर्ताओं को ऑथेंटिकेट करने में विफल रहते हैं। पैकेट कैप्चर दिखाते हैं कि NAS, RADIUS ट्रैफ़िक भेजने का प्रयास कर रहा है, लेकिन फ़ायरवॉल से TCP RST पैकेट प्राप्त कर रहा है।

यह समस्या फ़ायरवॉल के आक्रामक TCP सत्र टाइमआउट के कारण होती है जो रात भर निष्क्रिय RadSec कनेक्शन को छोड़ देती है। नेटवर्क टीम को RadSec कनेक्शन के लिए NAS उपकरणों पर TCP कीपअलाइव कॉन्फ़िगर करना होगा, अंतराल को 60 सेकंड पर सेट करना होगा। इसके अतिरिक्त, उन्हें TCP पोर्ट 2083 के लिए फ़ायरवॉल के स्टेटफुल इंस्पेक्शन नियमों की समीक्षा करनी चाहिए और यह सुनिश्चित करना चाहिए कि सत्र टाइमआउट कीपअलाइव अंतराल से अधिक हो।

परीक्षक की टिप्पणी: RadSec लगातार बने रहने वाले TCP कनेक्शन पर निर्भर करता है। UDP के विपरीत, जो स्टेटलेस है, TCP कनेक्शन को सक्रिय रूप से बनाए रखा जाना चाहिए। UDP RADIUS से संक्रमण करने वाले नेटवर्क इंजीनियर अक्सर कनेक्शन की निरंतरता को नजरअंदाज कर देते हैं, जिससे रुक-रुक कर होने वाली विफलताएं होती हैं जो ऑथेंटिकेशन टाइमआउट के रूप में दिखाई देती हैं।

अभ्यास प्रश्न

Q1. आप एक नए RadSec डिप्लॉयमेंट के लिए फ़ायरवॉल नीति डिज़ाइन कर रहे हैं जो 50 शाखा कार्यालयों को Purple के क्लाउड RADIUS प्लेटफ़ॉर्म से जोड़ता है। शाखा फ़ायरवॉल पर कौन से विशिष्ट इग्रेस नियम कॉन्फ़िगर किए जाने चाहिए?

संकेत: प्रोटोकॉल और कनेक्शन की स्टेटफुल प्रकृति दोनों पर विचार करें।

मॉडल उत्तर देखें

शाखा फ़ायरवॉल को NAS प्रबंधन IP पतों से उत्पन्न होने वाले पोर्ट 2083 पर आउटबाउंड TCP की अनुमति देनी चाहिए, जो Purple क्लाउड RADIUS सर्वर के IP पतों या FQDN के लिए नियत हो। चूंकि TCP स्टेटफुल है, इसलिए फ़ायरवॉल स्थापित सत्रों के लिए रिटर्न ट्रैफ़िक की स्वचालित रूप से अनुमति देगा। RadSec के लिए UDP पोर्ट 1812 और 1813 की आवश्यकता नहीं है।

Q2. एक जूनियर इंजीनियर रिपोर्ट करता है कि एक नया कॉन्फ़िगर किया गया स्विच क्लाउड RADIUS सर्वर के साथ RadSec कनेक्शन स्थापित करने में विफल हो रहा है। स्विच लॉग दिखाते हैं: `TLS handshake failed: unknown CA`। आपको इसे कैसे हल करना चाहिए?

संकेत: स्विच स्वाभाविक रूप से सर्वर द्वारा प्रस्तुत सर्टिफिकेट पर भरोसा नहीं करता है।

मॉडल उत्तर देखें

आपको उस सर्टिफिकेट अथॉरिटी (CA) की पहचान करनी होगी जिसने क्लाउड RADIUS सर्वर का सर्टिफिकेट जारी किया है। एक बार पहचान हो जाने के बाद, सार्वजनिक रूट CA सर्टिफिकेट (और कोई भी मध्यवर्ती CA सर्टिफिकेट) प्राप्त करें और उन्हें स्विच के ट्रस्ट स्टोर में इम्पोर्ट करें। यह स्विच को TLS हैंडशेक के दौरान सर्वर की पहचान को क्रिप्टोग्राफ़िक रूप से सत्यापित करने की अनुमति देता है।

Q3. आपका संगठन यह अनिवार्य करता है कि सभी नेटवर्क इंफ्रास्ट्रक्चर को WAN आउटेज से बचना चाहिए। यदि क्लाउड RADIUS सर्वर का इंटरनेट कनेक्शन विफल हो जाता है, तो RadSec कनेक्शन का क्या होता है, और NAS बाद के ऑथेंटिकेशन अनुरोधों को कैसे संभालता है?

संकेत: TCP कनेक्शन स्थितियों और मानक RADIUS फ़ेलओवर तंत्र पर विचार करें।

मॉडल उत्तर देखें

जब WAN विफल हो जाता है, तो लगातार बना रहने वाला TCP कनेक्शन अंततः टाइमआउट हो जाएगा (या यदि स्थानीय इंटरफ़ेस डाउन हो जाता है तो स्पष्ट रूप से रीसेट हो जाएगा)। NAS प्राथमिक RadSec सर्वर को अनुपलब्ध के रूप में चिह्नित करेगा। यदि एक माध्यमिक RadSec सर्वर कॉन्फ़िगर किया गया है (जैसे, एक अलग भौगोलिक क्षेत्र में), तो NAS इसके लिए एक नया TLS कनेक्शन स्थापित करने का प्रयास करेगा। यदि सभी RADIUS सर्वर अनुपलब्ध हैं, तो नए ऑथेंटिकेशन विफल हो जाएंगे। हालांकि, जो उपयोगकर्ता पहले से ही ऑथेंटिकेटेड और कनेक्टेड हैं, वे आमतौर पर तब तक कनेक्टेड रहेंगे जब तक कि उनका सत्र समाप्त नहीं हो जाता या वे रोम नहीं करते, क्योंकि RADIUS केवल प्रारंभिक ऑथेंटिकेशन और समय-समय पर होने वाले री-ऑथेंटिकेशन चरणों के दौरान ही शामिल होता है।

इस श्रृंखला में आगे पढ़ें

स्टाफ WiFi नियम और शर्तें: कानूनी और अनुपालन अनिवार्यताएं

यह गाइड एंटरप्राइज वेन्यू के लिए स्टाफ WiFi नियम और शर्तें तैयार करने और लागू करने की कानूनी और तकनीकी आवश्यकताओं को कवर करती है। यह विवरण देती है कि स्वीकार्य उपयोग नीति (AUP) में क्या शामिल किया जाए, GDPR और PCI DSS आवश्यकताओं को कैसे पूरा किया जाए, और कॉर्पोरेट संपत्तियों की सुरक्षा के लिए पहचान-आधारित प्रमाणीकरण और नेटवर्क विभाजन को कैसे तैनात किया जाए। होटलों, रिटेल श्रृंखलाओं, स्टेडियमों और सार्वजनिक क्षेत्र के संगठनों के IT प्रबंधकों, HR टीमों और संचालन निदेशकों को व्यावहारिक मार्गदर्शन मिलेगा जिसे वे इस तिमाही में लागू कर सकते हैं।

गाइड पढ़ें →

रिटेल के लिए स्टाफ WiFi नीतियां: बैक-ऑफ-हाउस नेटवर्क को सुरक्षित करना

यह गाइड रिटेल बैक-ऑफ-हाउस WiFi नेटवर्क को सुरक्षित करने के लिए महत्वपूर्ण तकनीकी और नीतिगत आवश्यकताओं को कवर करती है - VLAN सेगमेंटेशन और PCI DSS 4.0 अनुपालन से लेकर स्टोर फ्लोर पर कर्मचारियों के BYOD को प्रबंधित करने तक। यह IT प्रबंधकों, नेटवर्क आर्किटेक्ट्स और ऑपरेशन्स निदेशकों को एक व्यावहारिक, वेंडर-न्यूट्रल ब्लूप्रिंट प्रदान करती है जिस पर वे इस तिमाही में काम कर सकते हैं।

गाइड पढ़ें →

Wi-Fi सुरक्षा का भविष्य: AI-संचालित NAC और थ्रेट डिटेक्शन

यह आधिकारिक गाइड पुरानी WPA2 से AI-संचालित नेटवर्क एक्सेस कंट्रोल (NAC) और थ्रेट डिटेक्शन तक एंटरप्राइज़ Wi-Fi सुरक्षा के विकास की पड़ताल करती है। IT लीडर्स के लिए डिज़ाइन की गई, यह Purple के पहचान-आधारित नेटवर्क का उपयोग करके रिटेल, हॉस्पिटैलिटी और स्टेडियम जैसे उच्च-घनत्व वाले वातावरण को सुरक्षित करने के लिए कार्रवाई योग्य परिनियोजन (deployment) रणनीतियां प्रदान करती है।

गाइड पढ़ें →