मुख्य सामग्री पर जाएं
हिन्दी

MD5 कोलिजन हमलों के खिलाफ RADIUS को समझना और मजबूत करना

यह मार्गदर्शिका RADIUS MD5 कोलिजन भेद्यता (CVE-2024-3596, 'Blast-RADIUS') पर एक व्यापक तकनीकी संदर्भ प्रदान करती है, जिसमें बताया गया है कि कैसे मैन-इन-द-मिडिल हमलावर उपयोगकर्ता क्रेडेंशियल्स जाने बिना ऑथेंटिकेशन स्वीकृति को जाली बनाने के लिए MD5-आधारित Response Authenticator में कमजोरियों का फायदा उठा सकते हैं। यह हॉस्पिटैलिटी, रिटेल, इवेंट्स और सार्वजनिक-क्षेत्र के वातावरण में एंटरप्राइज़ WiFi संचालित करने वाले IT प्रबंधकों, नेटवर्क आर्किटेक्ट्स और CTO के लिए आवश्यक पठन सामग्री है, जिन्हें अपने जोखिम का आकलन करने, तत्काल बचाव लागू करने और आधुनिक ऑथेंटिकेशन मानकों में रणनीतिक माइग्रेशन की योजना बनाने की आवश्यकता है। मार्गदर्शिका में पूर्ण अटैक लाइफ़साइकिल, एक चरणबद्ध हार्डनिंग रोडमैप, वास्तविक दुनिया के डिप्लॉयमेंट परिदृश्य, और PCI DSS, GDPR और ISO 27001 के तहत अनुपालन निहितार्थ शामिल हैं।

📖 9 मिनट का पाठ📝 2,128 शब्द🔧 2 हल किए गए उदाहरण3 अभ्यास प्रश्न📚 9 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें
Purple टेक्निकल ब्रीफ़िंग में आपका स्वागत है। मैं आपका होस्ट, Purple में एक सीनियर टेक्निकल कंटेंट स्ट्रैटेजिस्ट हूँ। आज, हम एंटरप्राइज़-ग्रेड WiFi चलाने वाले किसी भी संगठन के लिए एक महत्वपूर्ण, समय-संवेदनशील मुद्दे से निपट रहे हैं: 30 साल पुराने प्रोटोकॉल में एक नई व्यावहारिक भेद्यता जो हमलावरों को सीधे आपके डिजिटल फ्रंट डोर से अंदर आने की अनुमति दे सकती है। हम RADIUS प्रोटोकॉल और Blast-RADIUS के रूप में जाने जाने वाले MD5 कोलिजन हमले के बारे में बात कर रहे हैं。 हॉस्पिटैलिटी, रिटेल और बड़े सार्वजनिक वेन्यू में IT प्रबंधकों, नेटवर्क आर्किटेक्ट्स और CTO के हमारे दर्शकों के लिए, यह सिर्फ एक सैद्धांतिक समस्या नहीं है। यह आपके नेटवर्क की अखंडता, डेटा सुरक्षा और अनुपालन स्थिति के लिए सीधा खतरा है। अगले दस मिनटों में, हम विश्लेषण करेंगे कि भेद्यता क्या है, यह कैसे काम करती है, और सबसे महत्वपूर्ण बात, बचाव के लिए एक स्पष्ट, कार्रवाई योग्य रोडमैप प्रदान करेंगे। चाहे आप 200 कमरों वाले होटल, एक राष्ट्रीय रिटेल चेन, या 60,000 सीटों वाले स्टेडियम के लिए ज़िम्मेदार हों, यह ब्रीफ़िंग उन निर्णयों के लिए सीधे प्रासंगिक है जो आपको इस तिमाही में लेने की आवश्यकता है。 आइए कुछ संदर्भ के साथ शुरू करते हैं। RADIUS — Remote Authentication Dial-In User Service — 1991 में डायल-अप इंटरनेट के युग के दौरान डिज़ाइन किया गया था। यह एक क्लाइंट-सर्वर प्रोटोकॉल है जो नेटवर्क एक्सेस के लिए ऑथेंटिकेशन, ऑथराइज़ेशन और अकाउंटिंग को संभालता है। जब कोई स्टाफ़ सदस्य या डिवाइस आपके एंटरप्राइज़ WiFi से जुड़ता है, तो एक्सेस पॉइंट RADIUS क्लाइंट के रूप में कार्य करता है और एक केंद्रीय RADIUS सर्वर को ऑथेंटिकेशन अनुरोध भेजता है। सर्वर क्रेडेंशियल्स की जांच करता है और Access-Accept या Access-Reject के साथ प्रतिक्रिया देता है। यह एक्सचेंज तीन दशकों से अधिक समय से एंटरप्राइज़ नेटवर्क सुरक्षा की रीढ़ रहा है。 समस्या यह है कि RADIUS को आधुनिक क्रिप्टोग्राफ़िक मानकों के अस्तित्व में आने से पहले डिज़ाइन किया गया था। प्रोटोकॉल सर्वर प्रतिक्रियाओं पर एक बुनियादी इंटीग्रिटी चेक प्रदान करने के लिए MD5 हैशिंग एल्गोरिदम का उपयोग करता है — एक फ़ील्ड जिसे Response Authenticator कहा जाता है। MD5 को पहली बार 2004 में क्रिप्टोग्राफ़िक रूप से टूटा हुआ दिखाया गया था। फिर भी हम 2024 में हैं, और RADIUS अभी भी इस पर निर्भर है। उद्योग जानता था कि MD5 कमजोर है। प्रोटोकॉल को बस कभी अपडेट नहीं किया गया。 अब तकनीकी डीप-डाइव में चलते हैं। Blast-RADIUS हमला, जिसे औपचारिक रूप से CVE-2024-3596 सौंपा गया है, जुलाई 2024 में बोस्टन यूनिवर्सिटी, UC सैन डिएगो, CWI एम्स्टर्डम और माइक्रोसॉफ्ट रिसर्च के शोधकर्ताओं की एक टीम द्वारा उजागर किया गया था। यह एक प्रोटोकॉल-स्तरीय भेद्यता को MD5 चोज़न-प्रीफ़िक्स कोलिजन हमले के साथ जोड़ता है — और गंभीर रूप से, महत्वपूर्ण गति सुधारों के साथ जो वास्तविक समय में हमले को व्यावहारिक बनाते हैं。 यह इस तरह काम करता है। एक मैन-इन-द-मिडिल हमलावर खुद को RADIUS क्लाइंट — आपके एक्सेस पॉइंट — और RADIUS सर्वर के बीच नेटवर्क पथ पर स्थापित करता है। जब कोई उपयोगकर्ता ऑथेंटिकेट करने का प्रयास करता है, तो हमलावर Access-Request पैकेट को इंटरसेप्ट करता है। वे इस अनुरोध में एक विशेष रूप से तैयार किया गया दुर्भावनापूर्ण एट्रिब्यूट इंजेक्ट करते हैं। यह एट्रिब्यूट एक गणितीय कोलिजन का कारण बनने के लिए डिज़ाइन किया गया है: एक ऐसी स्थिति जहां दो अलग-अलग इनपुट समान MD5 हैश उत्पन्न करते हैं। हमलावर इस कोलिजन की पूर्व-गणना करता है ताकि सर्वर से वैध Access-Reject प्रतिक्रिया का MD5 हैश हमलावर द्वारा निर्मित जाली Access-Accept प्रतिक्रिया के MD5 हैश से मेल खाए। जब सर्वर अपना Access-Reject लौटाता है, तो हमलावर अपना जाली Access-Accept प्रतिस्थापित कर देता है। RADIUS क्लाइंट Response Authenticator की जांच करता है, इसे वैध पाता है — क्योंकि MD5 हैश मेल खाते हैं — और नेटवर्क एक्सेस प्रदान करता है。 हमलावर को कभी भी उपयोगकर्ता का पासवर्ड जानने की आवश्यकता नहीं थी। उन्हें कभी भी RADIUS क्लाइंट और सर्वर के बीच साझा सीक्रेट जानने की आवश्यकता नहीं थी। उन्होंने जाली प्रतिक्रिया को वैध दिखाने के लिए बस MD5 में गणितीय कमजोरी का फायदा उठाया। और आधुनिक हार्डवेयर के साथ, आवश्यक MD5 कोलिजन की गणना पांच मिनट से कम समय में की जा सकती है। यह कोई सैद्धांतिक हमला नहीं है। यह आज व्यावहारिक रूप से संभव है。 यह भेद्यता UDP पर PAP — Password Authentication Protocol — CHAP, और MS-CHAP ऑथेंटिकेशन मोड का उपयोग करने वाले सभी RADIUS डिप्लॉयमेंट को प्रभावित करती है। ये एंटरप्राइज़ वातावरण में, विशेष रूप से लिगेसी डिप्लॉयमेंट में बेहद आम हैं। केवल वे ऑथेंटिकेशन मोड सुरक्षित हैं जो EAP — Extensible Authentication Protocol — का उपयोग करते हैं क्योंकि EAP अपना स्वयं का क्रिप्टोग्राफ़िक टनल स्थापित करता है जो MD5 Response Authenticator से स्वतंत्र है。 मुझे व्यावसायिक जोखिम को ठोस शब्दों में रखने दें। एक होटल चेन पर विचार करें। एक हमलावर जो कॉर्पोरेट नेटवर्क तक अनधिकृत पहुंच प्राप्त करता है, वह प्रॉपर्टी मैनेजमेंट सिस्टम तक पहुंचने, गेस्ट रिकॉर्ड तक पहुंचने, पॉइंट-ऑफ़-सेल टर्मिनलों तक पहुंचने और संभावित रूप से पेमेंट कार्ड डेटा चुराने के लिए लेटरल मूवमेंट कर सकता है। हॉस्पिटैलिटी सेक्टर के डेटा उल्लंघन की औसत लागत तीन मिलियन पाउंड से अधिक है। GDPR के तहत, गेस्ट के व्यक्तिगत डेटा से जुड़े उल्लंघन से वैश्विक वार्षिक कारोबार का चार प्रतिशत तक जुर्माना लग सकता है। PCI DSS के तहत, कार्डधारक डेटा से जुड़े उल्लंघन के परिणामस्वरूप अनिवार्य फोरेंसिक जांच, कार्ड ब्रांड जुर्माना और पेमेंट प्रोसेसिंग विशेषाधिकारों का संभावित नुकसान हो सकता है। वित्तीय और प्रतिष्ठित दांव पर्याप्त हैं。 अब कार्यान्वयन अनुशंसाओं के लिए। आप इससे कैसे बचाव करते हैं? प्रतिक्रिया की दो परतें हैं: तत्काल हार्डनिंग और दीर्घकालिक आधुनिकीकरण。 तत्काल कार्रवाई CVE-2024-3596 के लिए वेंडर पैच लागू करना है। हर प्रमुख RADIUS वेंडर — Cisco ISE, Microsoft NPS, FreeRADIUS, Juniper, Aruba, Ruckus — ने अपडेट जारी किए हैं। पैचिंग के साथ-साथ, महत्वपूर्ण कॉन्फ़िगरेशन बदलाव सभी RADIUS क्लाइंट और सर्वर पर Message-Authenticator एट्रिब्यूट को लागू करना है। RFC 2869 में परिभाषित यह एट्रिब्यूट, पूरे RADIUS पैकेट पर HMAC-आधारित इंटीग्रिटी चेक प्रदान करता है। Response Authenticator के विपरीत, HMAC कंस्ट्रक्शन चोज़न-प्रीफ़िक्स कोलिजन हमले के प्रति संवेदनशील नहीं है। इस एट्रिब्यूट की आवश्यकता के लिए अपने इंफ्रास्ट्रक्चर को कॉन्फ़िगर करना — और इसके बिना आने वाले किसी भी संदेश को अस्वीकार करना — तत्काल अटैक वेक्टर को बंद कर देता है। FreeRADIUS के लिए, इसका मतलब आपकी क्लाइंट कॉन्फ़िगरेशन फ़ाइल में require_message_authenticator equals yes सेट करना है। Microsoft NPS के लिए, यह आपके नेटवर्क पॉलिसी कॉन्फ़िगरेशन में एक पॉलिसी सेटिंग है। यह एक कम-बाधा वाला बदलाव है जिसे आमतौर पर रखरखाव विंडो के भीतर तैनात किया जा सकता है。 हालांकि, Message-Authenticator एन्फोर्समेंट एक स्टॉप-गैप है, समाधान नहीं। दीर्घकालिक रणनीतिक प्रतिक्रिया EAP-आधारित ऑथेंटिकेशन में माइग्रेट करना है। गोल्ड स्टैंडर्ड EAP-TLS के साथ WPA3-Enterprise है। EAP-TLS सर्टिफ़िकेट-आधारित पारस्परिक ऑथेंटिकेशन का उपयोग करता है — क्लाइंट डिवाइस और RADIUS सर्वर दोनों को एक विश्वसनीय सर्टिफ़िकेट अथॉरिटी से वैध डिजिटल सर्टिफ़िकेट प्रस्तुत करने होंगे। यह साझा सीक्रेट को पूरी तरह से समाप्त कर देता है, MD5 पर निर्भरता को हटा देता है, और सुरक्षा का एक स्तर प्रदान करता है जो Blast-RADIUS द्वारा दर्शाए गए हमलों के पूरे वर्ग से सुरक्षित है。 ऐसे वातावरण के लिए जहां पूर्ण PKI इंफ्रास्ट्रक्चर तैनात करना जटिल है — विशेष रूप से उच्च डिवाइस टर्नओवर या ब्रिंग-योर-ओन-डिवाइस नीतियों वाले वेन्यू — MSCHAPv2 के साथ PEAP एक स्वीकार्य अंतरिम कदम है, बशर्ते कि क्लाइंट RADIUS सर्वर सर्टिफ़िकेट को मान्य करने के लिए कॉन्फ़िगर किए गए हों। सर्वर सर्टिफ़िकेट वैलिडेशन के बिना, PEAP दुष्ट एक्सेस पॉइंट हमलों के प्रति संवेदनशील है, जो एक अलग लेकिन समान रूप से गंभीर जोखिम है。 आधुनिकीकरण रोडमैप का अंतिम चरण RADIUS over TLS तैनात करना है, जिसे RADSEC के रूप में जाना जाता है। RADSEC सभी RADIUS ट्रैफ़िक को पारस्परिक रूप से ऑथेंटिकेटेड TLS सत्र के भीतर एनकैप्सुलेट करता है, जो संपूर्ण ऑथेंटिकेशन एक्सचेंज के लिए पूर्ण गोपनीयता और अखंडता प्रदान करता है। यह Blast-RADIUS जैसे ट्रांसपोर्ट-लेयर हमलों को असंभव बना देता है, क्योंकि इंटरसेप्ट करने के लिए कोई अनएन्क्रिप्टेड RADIUS ट्रैफ़िक नहीं है। RADSEC वितरित वातावरण — होटल चेन, रिटेल नेटवर्क, स्टेडियम कॉम्प्लेक्स — में विशेष रूप से मूल्यवान है जहां RADIUS ट्रैफ़िक एक्सेस पॉइंट और केंद्रीय ऑथेंटिकेशन सर्वर के बीच कई नेटवर्क सेगमेंट को पार कर सकता है。 आइए रैपिड-फ़ायर Q&A की ओर बढ़ते हैं。 प्रश्न एक: हम EAP का उपयोग करते हैं। क्या हम सुरक्षित हैं? यदि आप EAP-TLS, PEAP, या EAP-TTLS का उपयोग कर रहे हैं, तो आप विशिष्ट Blast-RADIUS MD5 कोलिजन हमले के प्रति संवेदनशील नहीं हैं। हालांकि, आपको अभी भी डिफ़ेंस-इन-डेप्थ उपाय के रूप में वेंडर पैच लागू करने चाहिए, और आपको यह सुनिश्चित करने के लिए अपने कॉन्फ़िगरेशन का ऑडिट करना चाहिए कि सभी क्लाइंट पर सर्वर सर्टिफ़िकेट वैलिडेशन लागू है。 प्रश्न दो: हमारा RADIUS ट्रैफ़िक एक समर्पित मैनेजमेंट VLAN में है। क्या यह हमारी रक्षा करता है? यह हमले की सतह को कम करता है, लेकिन यह भेद्यता को समाप्त नहीं करता है। एक हमलावर जिसने पहले ही मैनेजमेंट नेटवर्क पर किसी भी डिवाइस से समझौता कर लिया है, वह अभी भी मैन-इन-द-मिडिल हमले को अंजाम दे सकता है। सेगमेंटेशन रक्षा की एक मूल्यवान परत है, लेकिन इसे Message-Authenticator एन्फोर्समेंट और EAP माइग्रेशन के साथ जोड़ा जाना चाहिए。 प्रश्न तीन: तत्काल बचाव कितना कठिन है? अधिकांश वातावरणों के लिए, Message-Authenticator लागू करना एक सीधा कॉन्फ़िगरेशन बदलाव है। प्राथमिक चुनौती यह सुनिश्चित करना है कि सभी नेटवर्क डिवाइस — एक्सेस पॉइंट, स्विच, कंट्रोलर — एट्रिब्यूट का समर्थन करते हैं और इसे सक्षम किया है। लिगेसी हार्डवेयर पर ऑथेंटिकेशन विफलताओं से बचने के लिए सर्वर-साइड आवश्यकता को लागू करने से पहले डिवाइस ऑडिट आवश्यक है。 प्रश्न चार: क्या मैं पता लगा सकता हूँ कि मुझ पर हमला हुआ है? यह बहुत मुश्किल है। जाली Access-Accept पैकेट RADIUS क्लाइंट को वैध प्रतीत होता है क्योंकि MD5 हैश सही निकलता है। आपका सबसे अच्छा पता लगाने का दृष्टिकोण विसंगत सफल ऑथेंटिकेशन के लिए RADIUS अकाउंटिंग लॉग की निगरानी करना है — अप्रत्याशित डिवाइस प्रकार, MAC पते जो आपकी इन्वेंट्री से मेल नहीं खाते हैं, या असामान्य समय पर सफल लॉगिन। स्वचालित अलर्टिंग के लिए अपने RADIUS अकाउंटिंग डेटा को अपने SIEM के साथ एकीकृत करें。 संक्षेप में और आपके अगले चरणों की रूपरेखा तैयार करने के लिए। Blast-RADIUS भेद्यता UDP पर लिगेसी RADIUS ऑथेंटिकेशन चलाने वाले किसी भी संगठन के लिए एक गंभीर, व्यावहारिक रूप से शोषण योग्य खतरा है। हमले के लिए किसी क्रेडेंशियल ज्ञान की आवश्यकता नहीं होती है और इसे मिनटों में निष्पादित किया जा सकता है। आपकी तत्काल प्राथमिकता अपने इंफ्रास्ट्रक्चर का ऑडिट करना, वेंडर पैच लागू करना और सभी RADIUS क्लाइंट और सर्वर पर Message-Authenticator एट्रिब्यूट लागू करना है। आपका मध्यम अवधि का लक्ष्य EAP-TLS और WPA3-Enterprise में माइग्रेट करना है। आपका दीर्घकालिक आर्किटेक्चरल लक्ष्य RADSEC है。 Purple में, हम इंटेलिजेंस लेयर प्रदान करते हैं जो आपको अपने वेन्यू के WiFi नेटवर्क को समझने और सुरक्षित करने में मदद करती है। हमारा प्लेटफ़ॉर्म आपको डिवाइस प्रकारों की पहचान करने, ऑथेंटिकेशन पैटर्न की निगरानी करने और यह सुनिश्चित करने के लिए दृश्यता देता है कि आपकी सुरक्षा नीतियां आपकी एस्टेट के प्रत्येक एक्सेस पॉइंट पर प्रभावी ढंग से लागू की जा रही हैं。 आपकी कार्य योजना तीन शब्द है: ऑडिट, पैच और आधुनिकीकरण (Audit, Patch, and Modernise)। 30 साल पुराने प्रोटोकॉल को अपनी सुरक्षा स्थिति में कमजोर कड़ी न बनने दें। इस Purple टेक्निकल ब्रीफ़िंग में शामिल होने के लिए धन्यवाद। सुरक्षित रहें।

header_image.png

कार्यकारी सारांश

1991 से एंटरप्राइज़ नेटवर्क ऑथेंटिकेशन की आधारशिला रहे RADIUS प्रोटोकॉल में एक गंभीर और अब व्यावहारिक रूप से शोषण योग्य भेद्यता (vulnerability) है। जुलाई 2024 में CVE-2024-3596 के तहत उजागर और 'Blast-RADIUS' नाम की यह खामी, RADIUS क्लाइंट और सर्वर के बीच मौजूद मैन-इन-द-मिडिल (MitM) हमलावर को एक वैध ऑथेंटिकेशन स्वीकृति को जाली बनाने की अनुमति देती है — जो बिना उपयोगकर्ता के पासवर्ड या साझा RADIUS सीक्रेट को जाने एक वैध 'Access-Reject' को 'Access-Accept' में बदल देती है। यह हमला MD5 चोज़न-प्रीफ़िक्स कोलिजन तकनीकों का फायदा उठाता है, जिन्हें आधुनिक हार्डवेयर के साथ मिनटों में अंजाम दिया जा सकता है।

वेन्यू ऑपरेटरों और एंटरप्राइज़ IT टीमों के लिए, व्यावसायिक जोखिम सीधा है: अनधिकृत नेटवर्क एक्सेस प्राप्त करने वाला हमलावर इंफ्रास्ट्रक्चर में लेटरल मूवमेंट कर सकता है, पॉइंट-ऑफ़-सेल सिस्टम तक पहुंच सकता है, गेस्ट डेटा चुरा सकता है, और PCI DSS और GDPR के तहत अनुपालन उल्लंघनों को ट्रिगर कर सकता है। PAP, CHAP, या MS-CHAP ऑथेंटिकेशन मोड के साथ RADIUS/UDP चलाने वाला हर संगठन तब तक खतरे में है जब तक कि पैच लागू नहीं किए जाते और आर्किटेक्चरल बदलावों की योजना नहीं बनाई जाती। तत्काल बचाव — सभी RADIUS ट्रैफ़िक पर Message-Authenticator एट्रिब्यूट को लागू करना — एक कम-बाधा वाला कॉन्फ़िगरेशन बदलाव है जो सभी प्रमुख वेंडर्स से उपलब्ध है। रणनीतिक प्रतिक्रिया EAP-TLS और RADIUS over TLS (RADSEC) में चरणबद्ध माइग्रेशन है।

mitigation_roadmap.png

तकनीकी डीप-डाइव

RADIUS प्रोटोकॉल और इसकी क्रिप्टोग्राफ़िक विरासत

RFC 2865 में मानकीकृत RADIUS (Remote Authentication Dial-In User Service), उस युग में डिज़ाइन किया गया था जब नेटवर्क सुरक्षा आवश्यकताएं मौलिक रूप से भिन्न थीं। यह प्रोटोकॉल UDP पर काम करता है और संदेश की अखंडता (message integrity) प्रदान करने के लिए RADIUS क्लाइंट (आमतौर पर एक एक्सेस पॉइंट या नेटवर्क एक्सेस सर्वर) और RADIUS सर्वर के बीच एक साझा सीक्रेट का उपयोग करता है। विशेष रूप से, सर्वर प्रतिक्रियाओं को Response Authenticator नामक कंस्ट्रक्ट का उपयोग करके 'ऑथेंटिकेट' किया जाता है, जिसकी गणना इस प्रकार की जाती है:

MD5(Code || ID || Length || RequestAuthenticator || Attributes || SharedSecret)

यह कंस्ट्रक्शन कभी भी उचित मैसेज ऑथेंटिकेशन कोड (MAC) नहीं था। यह HMAC से पहले का है, जिसे 1997 में विशेष रूप से रॉ हैश-आधारित MAC की कमजोरियों को दूर करने के लिए मानकीकृत किया गया था। जब HMAC पेश किया गया था, तब RADIUS स्पेसिफिकेशन को अपडेट नहीं किया गया था, और न ही तब जब 2004 में पहली बार MD5 कोलिजन का प्रदर्शन किया गया था। यह आर्किटेक्चरल ऋण अब एक गंभीर दायित्व बन गया है।

Blast-RADIUS हमले की कार्यप्रणाली

Blast-RADIUS हमला (CVE-2024-3596) तीन तत्वों को जोड़ता है: RADIUS अपने Response Authenticator का निर्माण कैसे करता है, इसमें एक प्रोटोकॉल-स्तरीय भेद्यता, एक MD5 चोज़न-प्रीफ़िक्स कोलिजन तकनीक, और कोलिजन गणना में महत्वपूर्ण गति सुधार जो वास्तविक समय के नेटवर्क इंटरसेप्शन परिदृश्य में हमले को व्यावहारिक बनाते हैं।

हमला इस प्रकार आगे बढ़ता है। एक MitM हमलावर RADIUS क्लाइंट से सर्वर को भेजे गए Access-Request पैकेट को इंटरसेप्ट करता है। हमलावर इस अनुरोध में एक दुर्भावनापूर्ण एट्रिब्यूट इंजेक्ट करता है — एक सावधानीपूर्वक तैयार किया गया पेलोड जो वैध सर्वर प्रतिक्रिया के MD5 हैश और हमलावर की वांछित जाली प्रतिक्रिया के MD5 हैश के बीच कोलिजन का कारण बनेगा। जब सर्वर Access-Reject (एक विफल ऑथेंटिकेशन) लौटाता है, तो हमलावर एक वैध Access-Accept पैकेट बनाने के लिए पूर्व-गणना किए गए कोलिजन का उपयोग करता है, जो एक Response Authenticator के साथ पूरा होता है जिसे RADIUS क्लाइंट असली के रूप में स्वीकार करेगा। हमलावर को साझा सीक्रेट या उपयोगकर्ता के क्रेडेंशियल्स जानने की आवश्यकता नहीं है।

बोस्टन यूनिवर्सिटी, UC सैन डिएगो, CWI एम्स्टर्डम और माइक्रोसॉफ्ट के शोधकर्ताओं ने प्रदर्शित किया कि अनुकूलित एल्गोरिदम के साथ, इस हमले के लिए आवश्यक MD5 चोज़न-प्रीफ़िक्स कोलिजन की गणना कमोडिटी हार्डवेयर पर पांच मिनट से कम समय में की जा सकती है। यह RADIUS क्लाइंट और सर्वर के बीच नेटवर्क पथ तक पहुंच वाले एक दृढ़ प्रतिद्वंद्वी के लिए हमले को व्यावहारिक रूप से संभव बनाता है。

attack_vector_diagram.png

प्रभावित ऑथेंटिकेशन मोड

यह भेद्यता गैर-EAP ऑथेंटिकेशन विधियों का उपयोग करने वाले सभी RADIUS/UDP डिप्लॉयमेंट को प्रभावित करती है। नीचे दी गई तालिका ऑथेंटिकेशन मोड द्वारा जोखिम का सारांश देती है:

ऑथेंटिकेशन मोड प्रोटोकॉल Blast-RADIUS के प्रति संवेदनशील? नोट्स
PAP Password Authentication Protocol हां लिगेसी डिप्लॉयमेंट में सबसे आम
CHAP Challenge Handshake Authentication Protocol हां PAP से थोड़ा मजबूत, फिर भी खतरे में
MS-CHAP / MS-CHAPv2 Microsoft CHAP हां Windows वातावरण में आम
EAP-MD5 EAP with MD5 हां अप्रचलित; पूरी तरह से बचें
PEAP (MSCHAPv2 inner) Protected EAP नहीं (EAP टनल सुरक्षा करता है) सही सर्वर सर्टिफ़िकेट वैलिडेशन की आवश्यकता है
EAP-TLS EAP with TLS नहीं अनुशंसित गोल्ड स्टैंडर्ड
EAP-TTLS EAP Tunnelled TLS नहीं स्वीकार्य विकल्प

महत्वपूर्ण अंतर यह है कि EAP-आधारित विधियां ऑथेंटिकेशन के लिए अपना स्वयं का क्रिप्टोग्राफ़िक टनल स्थापित करती हैं, जो MD5 Response Authenticator पर निर्भर नहीं है। यह उन्हें विशिष्ट Blast-RADIUS अटैक वेक्टर से सुरक्षित बनाता है।

VLAN सेगमेंटेशन पर्याप्त क्यों नहीं है

एक आम गलत धारणा यह है कि RADIUS ट्रैफ़िक को एक समर्पित मैनेजमेंट VLAN में अलग करने से पर्याप्त सुरक्षा मिलती है। हालांकि नेटवर्क सेगमेंटेशन एक अच्छी सुरक्षा प्रथा है, यह Blast-RADIUS जोखिम को समाप्त नहीं करता है। एक हमलावर जिसने पहले ही मैनेजमेंट नेटवर्क पर किसी डिवाइस से समझौता कर लिया है — फ़िशिंग हमले, सप्लाई-चेन समझौते, या किसी अन्य भेद्यता के शोषण के माध्यम से — वह खुद को RADIUS ट्रैफ़िक पथ पर MitM के रूप में स्थापित कर सकता है। हमले के लिए केवल नेटवर्क-पथ पहुंच की आवश्यकता होती है, बाहरी इंटरनेट पहुंच की नहीं। सेगमेंटेशन हमले की सतह को कम करता है लेकिन अंतर्निहित क्रिप्टोग्राफ़िक कमजोरी को समाप्त नहीं करता है।

कार्यान्वयन मार्गदर्शिका

चरण 1: तत्काल हार्डनिंग (सप्ताह 1–2)

पहली प्राथमिकता सभी RADIUS इंफ्रास्ट्रक्चर में CVE-2024-3596 के लिए वेंडर पैच लागू करना है। Cisco ISE, Microsoft NPS, FreeRADIUS, Juniper, Aruba और Ruckus सहित सभी प्रमुख वेंडर्स ने अपडेट जारी किए हैं। पैचिंग के साथ-साथ, महत्वपूर्ण कॉन्फ़िगरेशन बदलाव सभी RADIUS क्लाइंट और सर्वर पर Message-Authenticator एट्रिब्यूट को लागू करना है।

Message-Authenticator एट्रिब्यूट (RFC 2869 में परिभाषित) पूरे RADIUS पैकेट पर HMAC-MD5 इंटीग्रिटी चेक प्रदान करता है। Response Authenticator के विपरीत, यह कंस्ट्रक्शन चोज़न-प्रीफ़िक्स कोलिजन हमले के प्रति संवेदनशील नहीं है क्योंकि HMAC कंस्ट्रक्शन हैश को साझा सीक्रेट से इस तरह बांधता है जो हमलावर को वैध जालसाजी करने से रोकता है। क्लाइंट और सर्वर को इस एट्रिब्यूट की आवश्यकता के लिए कॉन्फ़िगर करना — और किसी भी ऐसे संदेश को अस्वीकार करना जिसमें यह शामिल नहीं है — तत्काल अटैक वेक्टर को बंद कर देता है।

FreeRADIUS के लिए, इसमें clients.conf फ़ाइल में require_message_authenticator = yes सेट करना शामिल है। Microsoft NPS के लिए, समान नीति नेटवर्क पॉलिसी सेटिंग्स के माध्यम से लागू की जाती है। Cisco ISE के लिए, यह सेटिंग ऑथेंटिकेशन पॉलिसी के तहत RADIUS क्लाइंट कॉन्फ़िगरेशन में उपलब्ध है। सटीक कॉन्फ़िगरेशन चरणों के लिए CVE-2024-3596 के लिए अपने वेंडर की विशिष्ट एडवाइज़री देखें।

चरण 2: ऑथेंटिकेशन आधुनिकीकरण (महीने 1–3)

मध्यम अवधि का उद्देश्य WiFi ऑथेंटिकेशन को लिगेसी PAP/CHAP मोड से EAP-आधारित विधियों में माइग्रेट करना है। एंटरप्राइज़ WiFi वातावरण के लिए, अनुशंसित मार्ग WPA3-Enterprise के साथ EAP-TLS है। इसके लिए डिवाइस और/या उपयोगकर्ता सर्टिफ़िकेट जारी करने के लिए पब्लिक की इंफ्रास्ट्रक्चर (PKI) तैनात करने, इन सर्टिफ़िकेट को मान्य करने के लिए अपने RADIUS सर्वर को कॉन्फ़िगर करने, और क्लाइंट डिवाइस को उपयुक्त सर्टिफ़िकेट और RADIUS सर्वर ट्रस्ट एंकर के साथ प्रोविज़न करने की आवश्यकता होती है。

ऐसे वातावरण के लिए जहां सर्टिफ़िकेट डिप्लॉयमेंट जटिल है — जैसे उच्च डिवाइस टर्नओवर या BYOD नीतियों वाले वेन्यू — MSCHAPv2 के साथ PEAP एक स्वीकार्य अंतरिम कदम प्रदान करता है, बशर्ते कि क्लाइंट RADIUS सर्वर सर्टिफ़िकेट को मान्य करने के लिए कॉन्फ़िगर किए गए हों। सर्वर सर्टिफ़िकेट वैलिडेशन के बिना, PEAP दुष्ट (rogue) एक्सेस पॉइंट हमलों के प्रति संवेदनशील है। नेटवर्क भर में सुसंगत ऑथेंटिकेशन नीति सुनिश्चित करने के लिए वायर्ड इंफ्रास्ट्रक्चर पर एक साथ IEEE 802.1X पोर्ट-आधारित एक्सेस कंट्रोल लागू किया जाना चाहिए।

चरण 3: ट्रांसपोर्ट लेयर सिक्योरिटी (महीने 3–12)

दीर्घकालिक आर्किटेक्चरल लक्ष्य RFC 6614 में मानकीकृत RADIUS over TLS (RADSEC) का उपयोग करके सभी RADIUS ट्रैफ़िक को TLS टनल के भीतर एनकैप्सुलेट करना है। RADSEC UDP को TCP से बदल देता है और पूरे RADIUS सत्र को पारस्परिक रूप से ऑथेंटिकेटेड TLS कनेक्शन में लपेटता है। यह सभी ऑथेंटिकेशन ट्रैफ़िक के लिए गोपनीयता, अखंडता और रीप्ले सुरक्षा प्रदान करता है, जिससे MD5 Response Authenticator अप्रासंगिक हो जाता है क्योंकि ट्रांसपोर्ट लेयर स्वयं क्रिप्टोग्राफ़िक रूप से सुरक्षित है।

RADSEC विशेष रूप से वितरित डिप्लॉयमेंट में मूल्यवान है — जैसे होटल चेन, रिटेल नेटवर्क, या स्टेडियम वातावरण — जहां RADIUS ट्रैफ़िक मध्यवर्ती नेटवर्क सेगमेंट को पार कर सकता है। IETF वर्तमान में RADIUS over TLS और DTLS को स्टैंडर्ड-ट्रैक स्थिति में आगे बढ़ा रहा है, जो उद्योग की इस आम सहमति को दर्शाता है कि संवेदनशील डिप्लॉयमेंट के लिए RADIUS/UDP को अप्रचलित किया जाना चाहिए।

सर्वोत्तम प्रथाएं

निम्नलिखित वेंडर-न्यूट्रल सर्वोत्तम प्रथाएं एंटरप्राइज़ WiFi ऑथेंटिकेशन सुरक्षा के लिए वर्तमान उद्योग मानकों और विनियामक मार्गदर्शन को दर्शाती हैं।

Message-Authenticator को सार्वभौमिक रूप से लागू करें। आपकी एस्टेट में प्रत्येक RADIUS क्लाइंट और सर्वर को Message-Authenticator एट्रिब्यूट भेजने और उसकी आवश्यकता के लिए कॉन्फ़िगर किया जाना चाहिए। यह आज उपलब्ध सबसे अधिक प्रभाव वाला, सबसे कम बाधा वाला एकल कार्य है। Blast-RADIUS अनुसंधान टीम के मार्गदर्शन के अनुसार, यह एट्रिब्यूट Access-Accept और Access-Reject प्रतिक्रियाओं में पहले एट्रिब्यूट के रूप में दिखाई देना चाहिए।

ऑथेंटिकेशन मानक के रूप में EAP-TLS अपनाएं। EAP-TLS के साथ IEEE 802.1X पारस्परिक सर्टिफ़िकेट-आधारित ऑथेंटिकेशन प्रदान करता है जो Blast-RADIUS अटैक क्लास से सुरक्षित है और वायरलेस नेटवर्क एक्सेस में EAP विधियों के लिए NIST SP 800-120 अनुशंसाओं के साथ संरेखित है। WPA3-Enterprise उच्चतम सुरक्षा टियर के लिए EAP-TLS के साथ 192-बिट सुरक्षा मोड को अनिवार्य करता है।

RADIUS साझा सीक्रेट्स को नियमित रूप से रोटेट करें। हालांकि Blast-RADIUS हमले के लिए साझा सीक्रेट के ज्ञान की आवश्यकता नहीं होती है, मजबूत, अद्वितीय साझा सीक्रेट (न्यूनतम 32 वर्ण, बेतरतीब ढंग से उत्पन्न) अन्य अटैक क्लास से जोखिम को कम करते हैं। सीक्रेट्स को कम से कम सालाना और किसी भी संदिग्ध समझौते पर तुरंत रोटेट किया जाना चाहिए।

RADIUS अकाउंटिंग और विसंगति (anomaly) मॉनिटरिंग लागू करें। RADIUS अकाउंटिंग लॉग ऑथेंटिकेशन घटनाओं का ऑडिट ट्रेल प्रदान करते हैं। विसंगत पैटर्न की निगरानी — जैसे अप्रत्याशित डिवाइस प्रकारों, MAC पतों से, या असामान्य समय पर सफल ऑथेंटिकेशन — शोषण की प्रारंभिक चेतावनी प्रदान कर सकती है। स्वचालित अलर्टिंग के लिए RADIUS अकाउंटिंग को अपने SIEM के साथ एकीकृत करें।

RADIUS ट्रैफ़िक को सेगमेंट करें। हालांकि यह पूर्ण बचाव नहीं है, RADIUS ट्रैफ़िक को सख्त ACL के साथ एक समर्पित मैनेजमेंट VLAN में रखने से उन उपकरणों की आबादी कम हो जाती है जिनका उपयोग MitM पिवट पॉइंट के रूप में किया जा सकता है। यह सुनिश्चित करने के लिए कि केवल अधिकृत डिवाइस ही RADIUS सर्वर तक पहुंच सकें, इसे नेटवर्क एक्सेस कंट्रोल के साथ मिलाएं।

PCI DSS आवश्यकताओं के साथ संरेखित करें। PCI DSS v4.0 आवश्यकता 8.6 सभी खातों के लिए मजबूत ऑथेंटिकेशन अनिवार्य करती है। आवश्यकता 1.3 के लिए नेटवर्क सेगमेंटेशन नियंत्रण की आवश्यकता होती है। पेमेंट कार्ड डेटा प्रोसेस करने वाले संगठनों को यह सुनिश्चित करना चाहिए कि उनका WiFi ऑथेंटिकेशन आर्किटेक्चर इन आवश्यकताओं को पूरा करता है, और Blast-RADIUS भेद्यता सीधे दायरे में आने वाले किसी भी नेटवर्क सेगमेंट के लिए अनुपालन स्थिति को प्रभावित करती है।

समस्या निवारण और जोखिम न्यूनीकरण

हार्डनिंग के दौरान सामान्य विफलता मोड

Message-Authenticator लागू करते समय सबसे अधिक सामना की जाने वाली समस्या लिगेसी डिवाइस असंगति (incompatibility) है। पुराने एक्सेस पॉइंट, स्विच, या VPN कंसंट्रेटर एट्रिब्यूट का समर्थन नहीं कर सकते हैं, जिससे सर्वर को इसकी आवश्यकता के लिए कॉन्फ़िगर किए जाने के बाद ऑथेंटिकेशन विफल हो जाता है। अनुशंसित दृष्टिकोण सर्वर-साइड आवश्यकता को लागू करने से पहले सभी RADIUS क्लाइंट का ऑडिट करना है, और उन उपकरणों की सूची बनाए रखना है जिन्हें फ़र्मवेयर अपडेट या प्रतिस्थापन की आवश्यकता है।

दूसरी आम समस्या EAP-TLS माइग्रेशन के दौरान सर्टिफ़िकेट वैलिडेशन विफलताएं हैं। यदि क्लाइंट डिवाइस सही RADIUS सर्वर सर्टिफ़िकेट ट्रस्ट एंकर के साथ प्रोविज़न नहीं किए गए हैं, तो वे सर्वर सर्टिफ़िकेट को अस्वीकार कर देंगे और ऑथेंटिकेशन विफल हो जाएगा। यह BYOD वातावरण में विशेष रूप से प्रचलित है। सर्टिफ़िकेट प्रोफ़ाइल पुश करने के लिए मोबाइल डिवाइस मैनेजमेंट (MDM) समाधान तैनात करना मानक समाधान है।

RADSEC माइग्रेशन के दौरान साझा सीक्रेट बेमेल (mismatches) हो सकते हैं यदि TLS सर्टिफ़िकेट कॉमन नेम अपेक्षित क्लाइंट पहचानकर्ता से मेल नहीं खाता है। सुनिश्चित करें कि सर्टिफ़िकेट विषय नाम सर्वर पर कॉन्फ़िगर किए गए RADIUS क्लाइंट IP पते या होस्टनाम के अनुरूप हैं।

उन वातावरणों के लिए जोखिम न्यूनीकरण जो तुरंत पैच नहीं कर सकते

ऐसे वातावरण के लिए जहां तत्काल पैचिंग संभव नहीं है — जैसे लिगेसी औद्योगिक नियंत्रण प्रणाली या एम्बेडेड नेटवर्क डिवाइस — सख्त नेटवर्क एक्सेस कंट्रोल लागू करके जोखिम को आंशिक रूप से कम किया जा सकता है जो सीमित करते हैं कि कौन से होस्ट RADIUS सर्वर के साथ संवाद कर सकते हैं, जिससे MitM हमलावर के लिए ट्रैफ़िक को इंटरसेप्ट करने का अवसर कम हो जाता है। यह केवल एक अस्थायी उपाय है; पैचिंग और प्रतिस्थापन रोडमैप स्थापित किया जाना चाहिए।

ROI और व्यावसायिक प्रभाव

जोखिम का परिमाणीकरण

RADIUS हार्डनिंग के लिए व्यावसायिक मामला सीधा है जब इसे उल्लंघन लागत और अनुपालन देयता के संदर्भ में तैयार किया जाता है। होटल या रिटेल वातावरण में एक सफल Blast-RADIUS शोषण हमलावर को कॉर्पोरेट नेटवर्क तक पहुंच प्रदान कर सकता है, जो संभावित रूप से पॉइंट-ऑफ़-सेल सिस्टम, गेस्ट डेटा रिपॉजिटरी और बैक-ऑफ़िस इंफ्रास्ट्रक्चर तक पहुंच सकता है। उद्योग बेंचमार्क के अनुसार, हॉस्पिटैलिटी क्षेत्र में डेटा उल्लंघन की औसत लागत £3 मिलियन से अधिक है, जिसमें GDPR के तहत विनियामक जुर्माना संभावित रूप से वैश्विक वार्षिक कारोबार का 4% तक जुड़ सकता है।

PCI DSS के दायरे में आने वाले संगठनों के लिए, एक नेटवर्क ऑथेंटिकेशन विफलता जिसके परिणामस्वरूप कार्डधारक डेटा उजागर होता है, अनिवार्य फोरेंसिक जांच, कार्ड ब्रांड जुर्माना, और कार्ड प्रोसेसिंग विशेषाधिकारों के संभावित नुकसान को ट्रिगर कर सकती है — ऐसी लागतें जो EAP-TLS और RADSEC को लागू करने के लिए आवश्यक निवेश से कहीं अधिक हैं।

कार्यान्वयन लागत बेंचमार्क

निम्नलिखित तालिका विशिष्ट वेन्यू वातावरणों में तीन-चरण हार्डनिंग रोडमैप के लिए सांकेतिक लागत और प्रयास अनुमान प्रदान करती है:

चरण कार्रवाई अनुमानित प्रयास अनुमानित लागत जोखिम में कमी
चरण 1 पैच + Message-Authenticator लागू करें 1–3 दिन (IT टीम) केवल स्टाफ़ का समय उच्च (तत्काल CVE बंद करता है)
चरण 2 EAP-TLS / WPA3-Enterprise माइग्रेशन 2–6 सप्ताह PKI + MDM लाइसेंसिंग बहुत उच्च
चरण 3 RADSEC डिप्लॉयमेंट 4–12 सप्ताह इंफ्रास्ट्रक्चर अपग्रेड व्यापक

सुरक्षा से परे परिचालन लाभ

EAP-TLS और RADSEC में माइग्रेट करने से सुरक्षा हार्डनिंग के अलावा परिचालन लाभ भी मिलते हैं। सर्टिफ़िकेट-आधारित ऑथेंटिकेशन बड़े डिवाइस फ़्लीट में साझा पासवर्ड प्रबंधित करने और रोटेट करने के परिचालन ओवरहेड को समाप्त करता है। WPA3-Enterprise घने वातावरण में कनेक्शन विश्वसनीयता में सुधार करता है — स्टेडियमों और सम्मेलन केंद्रों के लिए एक मापने योग्य लाभ जहां सैकड़ों डिवाइस ऑथेंटिकेशन के लिए प्रतिस्पर्धा करते हैं। RADSEC का TCP ट्रांसपोर्ट उच्च-विलंबता (high-latency) या हानिपूर्ण (lossy) नेटवर्क स्थितियों में UDP की तुलना में बेहतर विश्वसनीयता प्रदान करता है, जिससे अंतिम उपयोगकर्ताओं के लिए ऑथेंटिकेशन अनुभव में सुधार होता है।

hospitality_implementation.png

मुख्य परिभाषाएं

RADIUS (Remote Authentication Dial-In User Service)

एक क्लाइंट-सर्वर नेटवर्किंग प्रोटोकॉल (RFC 2865) जो नेटवर्क से जुड़ने वाले उपयोगकर्ताओं के लिए केंद्रीकृत ऑथेंटिकेशन, ऑथराइज़ेशन और अकाउंटिंग (AAA) प्रदान करता है। RADIUS क्लाइंट (एक्सेस पॉइंट, स्विच, VPN कंसंट्रेटर) ऑथेंटिकेशन अनुरोधों को एक केंद्रीय RADIUS सर्वर को अग्रेषित करते हैं, जो क्रेडेंशियल्स को मान्य करता है और Access-Accept या Access-Reject प्रतिक्रिया लौटाता है।

IT टीमों को एंटरप्राइज़ WiFi (802.1X), VPN एक्सेस और नेटवर्क डिवाइस प्रशासन के लिए ऑथेंटिकेशन बैकबोन के रूप में RADIUS का सामना करना पड़ता है। इसकी उम्र और आर्किटेक्चरल सीमाएं अब CVE-2024-3596 के तहत एक सीधा सुरक्षा दायित्व हैं।

MD5 चोज़न-प्रीफ़िक्स कोलिजन अटैक

MD5 हैश फ़ंक्शन के खिलाफ एक क्रिप्टोग्राफ़िक हमला जिसमें एक हमलावर समान MD5 हैश के साथ दो अलग-अलग संदेश बनाता है, जहां दोनों संदेश हमलावर द्वारा चुने गए प्रीफ़िक्स से शुरू होते हैं। यह एक मानक कोलिजन हमले की तुलना में अधिक शक्तिशाली है क्योंकि हमलावर दोनों टकराने वाले संदेशों की सार्थक सामग्री को नियंत्रित कर सकता है।

यह Blast-RADIUS में उपयोग की जाने वाली विशिष्ट हमले की तकनीक है। हमलावर इसका उपयोग RADIUS Response Authenticator को जाली बनाने के लिए करता है जिसे क्लाइंट असली के रूप में स्वीकार करेगा, भले ही प्रतिक्रिया सामग्री को Access-Reject से Access-Accept में संशोधित किया गया हो।

Response Authenticator

RADIUS प्रतिक्रिया पैकेट (Access-Accept, Access-Reject, Access-Challenge) में एक 16-बाइट फ़ील्ड जिसकी गणना MD5(Code || ID || Length || RequestAuthenticator || Attributes || SharedSecret) के रूप में की जाती है। इसका उद्देश्य सर्वर प्रतिक्रिया की अखंडता को सत्यापित करना है लेकिन यह एक उचित क्रिप्टोग्राफ़िक MAC नहीं है और Blast-RADIUS हमले के प्रति संवेदनशील है।

नेटवर्क आर्किटेक्ट्स को यह समझने की आवश्यकता है कि Response Authenticator वह विशिष्ट फ़ील्ड है जिसे Blast-RADIUS हमले में जाली बनाया जा रहा है। Message-Authenticator एट्रिब्यूट को लागू करना एक मजबूत इंटीग्रिटी चेक प्रदान करता है जो समान कोलिजन तकनीक के प्रति संवेदनशील नहीं है।

Message-Authenticator एट्रिब्यूट

एक RADIUS एट्रिब्यूट (एट्रिब्यूट 80, RFC 2869 में परिभाषित) जो सभी एट्रिब्यूट सहित पूरे RADIUS पैकेट पर HMAC-MD5 इंटीग्रिटी चेक प्रदान करता है। Response Authenticator के विपरीत, HMAC कंस्ट्रक्शन इंटीग्रिटी चेक को साझा सीक्रेट से इस तरह बांधता है जो चोज़न-प्रीफ़िक्स कोलिजन जालसाजी को रोकता है।

सभी RADIUS क्लाइंट और सर्वर पर Message-Authenticator एट्रिब्यूट को लागू करना CVE-2024-3596 के लिए प्राथमिक अल्पकालिक बचाव है। IT टीमों को यह सत्यापित करना चाहिए कि किसी भी प्रतिक्रिया को स्वीकार करने से पहले सभी RADIUS इंफ्रास्ट्रक्चर को पैच किया गया है और इस एट्रिब्यूट की आवश्यकता के लिए कॉन्फ़िगर किया गया है।

EAP-TLS (Extensible Authentication Protocol – Transport Layer Security)

एक EAP विधि (RFC 5216) जो क्लाइंट और RADIUS सर्वर के बीच पारस्परिक सर्टिफ़िकेट-आधारित ऑथेंटिकेशन के लिए TLS का उपयोग करती है। दोनों पक्षों को एक विश्वसनीय सर्टिफ़िकेट अथॉरिटी से वैध डिजिटल सर्टिफ़िकेट प्रस्तुत करने होंगे। यह Blast-RADIUS हमले से सुरक्षित है और एंटरप्राइज़ WiFi ऑथेंटिकेशन के लिए अनुशंसित गोल्ड स्टैंडर्ड है।

CTO और नेटवर्क आर्किटेक्ट्स को सभी एंटरप्राइज़ WiFi ऑथेंटिकेशन के लिए EAP-TLS को लक्ष्य स्थिति के रूप में मानना चाहिए। इसके लिए PKI इंफ्रास्ट्रक्चर की आवश्यकता होती है लेकिन यह साझा सीक्रेट, पासवर्ड-आधारित हमलों और MD5 भेद्यता वर्ग को पूरी तरह से समाप्त कर देता है।

RADSEC (RADIUS over TLS)

एक प्रोटोकॉल एक्सटेंशन (RFC 6614) जो पारंपरिक UDP ट्रांसपोर्ट को प्रतिस्थापित करते हुए, TCP पर पारस्परिक रूप से ऑथेंटिकेटेड TLS सत्र के भीतर RADIUS संदेशों को एनकैप्सुलेट करता है। RADSEC सभी RADIUS ट्रैफ़िक के लिए गोपनीयता, अखंडता और रीप्ले सुरक्षा प्रदान करता है, जिससे Blast-RADIUS जैसे ट्रांसपोर्ट-लेयर हमले असंभव हो जाते हैं।

RADSEC RADIUS सुरक्षा के लिए दीर्घकालिक आर्किटेक्चरल समाधान है। यह वितरित डिप्लॉयमेंट (होटल चेन, रिटेल नेटवर्क) में विशेष रूप से मूल्यवान है जहां RADIUS ट्रैफ़िक कई नेटवर्क सेगमेंट को पार करता है। Cisco, Juniper, Aruba और FreeRADIUS सहित वेंडर RADSEC का समर्थन करते हैं।

IEEE 802.1X

पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल (PNAC) के लिए एक IEEE मानक जो LAN या WLAN से जुड़ने के इच्छुक उपकरणों के लिए एक ऑथेंटिकेशन तंत्र प्रदान करता है। यह ऑथेंटिकेशन ढांचे के रूप में EAP और बैकएंड ऑथेंटिकेशन सर्वर के रूप में RADIUS का उपयोग करता है। 802.1X सुनिश्चित करता है कि केवल ऑथेंटिकेटेड डिवाइस ही नेटवर्क संसाधनों तक पहुंच सकें।

802.1X वह ढांचा है जिसके भीतर RADIUS और EAP एंटरप्राइज़ WiFi के लिए काम करते हैं। WPA2/WPA3-Enterprise लागू करने वाले IT प्रबंधक 802.1X तैनात कर रहे हैं। ऑथेंटिकेशन नीतियों को कॉन्फ़िगर करने और एक्सेस समस्याओं के निवारण के लिए इस संबंध को समझना आवश्यक है।

WPA3-Enterprise

Wi-Fi Protected Access 3 (WPA3) सुरक्षा मानक का एंटरप्राइज़ संस्करण, जो 802.1X ऑथेंटिकेशन को अनिवार्य करता है और, इसके उच्चतम सुरक्षा मोड (192-बिट) में, 384-बिट एलिप्टिक कर्व सिफर सूट के साथ EAP-TLS की आवश्यकता होती है। WPA3-Enterprise WPA2-Enterprise की तुलना में काफी मजबूत सुरक्षा गारंटी प्रदान करता है और सही ढंग से कॉन्फ़िगर किए जाने पर Blast-RADIUS हमले से सुरक्षित है।

नए WiFi डिप्लॉयमेंट या प्रमुख इंफ्रास्ट्रक्चर रिफ्रेश की योजना बनाने वाले नेटवर्क आर्किटेक्ट्स को न्यूनतम सुरक्षा मानक के रूप में WPA3-Enterprise निर्दिष्ट करना चाहिए। यह 2020 के बाद निर्मित सभी आधुनिक एक्सेस पॉइंट और क्लाइंट डिवाइस द्वारा समर्थित है।

मैन-इन-द-मिडिल (MitM) अटैक

एक हमला जिसमें प्रतिद्वंद्वी गुप्त रूप से दो पक्षों के बीच संचार को रोकता है और संभावित रूप से बदल देता है जो मानते हैं कि वे एक-दूसरे के साथ सीधे संवाद कर रहे हैं। Blast-RADIUS के संदर्भ में, MitM को RADIUS क्लाइंट (एक्सेस पॉइंट) और RADIUS सर्वर के बीच रखा जाता है, जिससे वे ऑथेंटिकेशन प्रतिक्रियाओं को इंटरसेप्ट करने और जाली बनाने में सक्षम होते हैं।

Blast-RADIUS हमले के लिए MitM पोजिशनिंग की आवश्यकता होती है। यह साझा नेटवर्क सेगमेंट पर ARP स्पूफ़िंग, मध्यवर्ती नेटवर्क डिवाइस के समझौते, या नेटवर्क इंफ्रास्ट्रक्चर तक भौतिक पहुंच के माध्यम से प्राप्त किया जा सकता है। इस खतरे के मॉडल को समझने से IT टीमों को RADIUS-विशिष्ट बचाव के साथ-साथ नेटवर्क सेगमेंटेशन और डिवाइस हार्डनिंग को प्राथमिकता देने में मदद मिलती है।

हल किए गए उदाहरण

12 संपत्तियों वाली 350 कमरों की एक लक्ज़री होटल चेन स्टाफ़ WiFi के लिए RADIUS सर्वर के रूप में Microsoft NPS के साथ Cisco Meraki एक्सेस पॉइंट चला रही है। ऑथेंटिकेशन MSCHAPv2 के माध्यम से है। IT निदेशक को CVE-2024-3596 के प्रति सतर्क कर दिया गया है और उन्हें 24/7 होटल संचालन को बाधित किए बिना जोखिम का आकलन करने और बचाव लागू करने की आवश्यकता है।

तत्काल प्राथमिकता यह पुष्टि करना है कि Microsoft NPS को Message-Authenticator एन्फोर्समेंट पैच (जुलाई 2024 में जारी) शामिल करने के लिए अपडेट किया गया है। NPS में, RADIUS Clients and Servers कॉन्फ़िगरेशन पर नेविगेट करें और सभी कॉन्फ़िगर किए गए RADIUS क्लाइंट के लिए 'Require Message-Authenticator' सेटिंग सक्षम करें। Meraki की ओर, पुष्टि करें कि फ़र्मवेयर संस्करण Access-Request पैकेट में Message-Authenticator एट्रिब्यूट भेजने का समर्थन करता है — Meraki ने Q3 2024 में CVE-2024-3596 को संबोधित करते हुए एक फ़र्मवेयर अपडेट जारी किया। यह कॉन्फ़िगरेशन बदलाव कम-ट्रैफ़िक विंडो (आमतौर पर स्थानीय समयानुसार 03:00–05:00) के दौरान न्यूनतम गेस्ट प्रभाव के साथ तैनात किया जा सकता है, क्योंकि यह केवल स्टाफ़ ऑथेंटिकेशन को प्रभावित करता है। एक बार चरण 1 स्थिर हो जाने पर, MSCHAPv2 से EAP-TLS में माइग्रेशन की योजना बनाएं। ग्रुप पॉलिसी के माध्यम से सभी स्टाफ़ डिवाइस को कंप्यूटर सर्टिफ़िकेट जारी करने के लिए Microsoft Active Directory Certificate Services (ADCS) PKI तैनात करें। EAP-TLS नेटवर्क पॉलिसी के साथ NPS को कॉन्फ़िगर करें और Meraki SSID सुरक्षा सेटिंग्स को EAP-TLS के साथ WPA2/WPA3-Enterprise में अपडेट करें। सभी प्रबंधित डिवाइस पर NPS सर्वर सर्टिफ़िकेट ट्रस्ट एंकर को पुश करने के लिए Meraki के Systems Manager MDM का उपयोग करें। जोखिम का प्रबंधन करने के लिए संपत्ति-दर-संपत्ति रोल आउट करें, सबसे कम ऑक्यूपेंसी वाली संपत्ति से शुरू करें।

परीक्षक की टिप्पणी: यह परिदृश्य अधिकांश मिड-मार्केट हॉस्पिटैलिटी डिप्लॉयमेंट का प्रतिनिधि है। मुख्य अंतर्दृष्टि यह है कि MSCHAPv2 Blast-RADIUS के प्रति संवेदनशील है, भले ही यह एक 'चैलेंज-रिस्पॉन्स' प्रोटोकॉल है, क्योंकि भेद्यता RADIUS ट्रांसपोर्ट लेयर में है, न कि आंतरिक ऑथेंटिकेशन विधि में। 24/7 संचालन के लिए चरणबद्ध रोलआउट दृष्टिकोण महत्वपूर्ण है — पूरी चेन में एक साथ माइग्रेशन का प्रयास अस्वीकार्य परिचालन जोखिम पेश करता है। मौजूदा Microsoft इंफ्रास्ट्रक्चर (ADCS, Group Policy, NPS) का उपयोग अतिरिक्त लाइसेंसिंग लागत को कम करता है। विकल्प — अंतर्निहित EAP-TLS समर्थन के साथ क्लाउड-आधारित RADIUS सेवा तैनात करना — मौजूदा PKI इंफ्रास्ट्रक्चर के बिना छोटी चेन के लिए व्यवहार्य है लेकिन ऑथेंटिकेशन के लिए इंटरनेट कनेक्टिविटी पर निर्भरता पेश करता है।

200 स्टोर वाली एक राष्ट्रीय रिटेल चेन अपने स्टोर नेटवर्क इंफ्रास्ट्रक्चर पर 802.1X ऑथेंटिकेशन के लिए एक केंद्रीकृत FreeRADIUS सर्वर का उपयोग करती है। प्रत्येक स्टोर में प्रबंधित कॉर्पोरेट डिवाइस (Windows लैपटॉप, हैंडहेल्ड स्कैनर) और अप्रबंधित IoT डिवाइस (डिजिटल साइनेज, पेमेंट टर्मिनल) का मिश्रण है। नेटवर्क टीम को पेमेंट कार्ड वातावरण के लिए PCI DSS अनुपालन बनाए रखते हुए Blast-RADIUS के खिलाफ हार्डनिंग करने की आवश्यकता है।

यह पुष्टि करने के लिए नेटवर्क सेगमेंटेशन ऑडिट से शुरू करें कि स्टोर एक्सेस पॉइंट और केंद्रीय FreeRADIUS सर्वर के बीच RADIUS ट्रैफ़िक पेमेंट कार्ड डेटा वातावरण (CDE) से अलग है। यदि RADIUS ट्रैफ़िक PCI DSS के दायरे में आने वाले किसी भी सेगमेंट को पार करता है, तो इसे प्राथमिकता के रूप में संबोधित किया जाना चाहिए। FreeRADIUS को संस्करण 3.2.3 या बाद के संस्करण में अपडेट करें, जिसमें Message-Authenticator एन्फोर्समेंट फ़िक्स शामिल है। FreeRADIUS clients.conf फ़ाइल में, सभी स्टोर RADIUS क्लाइंट के लिए 'require_message_authenticator = yes' जोड़ें। प्रबंधित डिवाइस फ़्लीट के लिए, मौजूदा PKI या क्लाउड सर्टिफ़िकेट अथॉरिटी का उपयोग करके EAP-TLS तैनात करें। अप्रबंधित IoT डिवाइस जो 802.1X का समर्थन नहीं कर सकते हैं, उनके लिए CDE में लेटरल मूवमेंट को रोकने वाले सख्त फ़ायरवॉल नियमों के साथ एक अलग, पृथक VLAN पर MAC Authentication Bypass (MAB) लागू करें। यह सुनिश्चित करता है कि भले ही किसी IoT डिवाइस का MAC पता स्पूफ़ किया गया हो, हमलावर को केवल IoT VLAN तक पहुंच प्राप्त होती है, कॉर्पोरेट या पेमेंट नेटवर्क तक नहीं। RADSEC माइग्रेशन के लिए, प्रत्येक स्टोर पर एक RADSEC प्रॉक्सी तैनात करें जो स्थानीय UDP RADIUS ट्रैफ़िक को समाप्त करता है और इसे TLS पर केंद्रीय FreeRADIUS सर्वर को अग्रेषित करता है, जिससे हर स्टोर के नेटवर्क डिवाइस फ़र्मवेयर को एक साथ अपग्रेड करने की आवश्यकता से बचा जा सके।

परीक्षक की टिप्पणी: रिटेल परिदृश्य मिश्रित प्रबंधित और अप्रबंधित डिवाइस वातावरण की महत्वपूर्ण चुनौती पेश करता है, जो मल्टी-साइट रिटेल में अपवाद के बजाय आदर्श है। मुख्य आर्किटेक्चरल निर्णय यह है कि IoT डिवाइस को कभी भी कॉर्पोरेट डिवाइस के समान ऑथेंटिकेशन पथ पर न रखें — उन्हें अलग-अलग ट्रस्ट स्तरों और अलग-अलग जोखिम प्रोफ़ाइल की आवश्यकता होती है। RADSEC प्रॉक्सी दृष्टिकोण बड़े वितरित एस्टेट के लिए एक व्यावहारिक समाधान है जहां अल्पावधि में हर एज डिवाइस को अपग्रेड करना संभव नहीं है; यह सबसे कमजोर सेगमेंट (स्टोर और केंद्रीय सर्वर के बीच WAN) के लिए ट्रांसपोर्ट-लेयर सुरक्षा प्रदान करता है जबकि चरणबद्ध डिवाइस अपग्रेड प्रोग्राम की अनुमति देता है। PCI DSS अनुपालन के लिए आवश्यक है कि CDE को स्पष्ट रूप से कमजोर ऑथेंटिकेशन पथ से अलग किया जाए, जिसे VLAN सेगमेंटेशन और MAB दृष्टिकोण प्राप्त करता है।

अभ्यास प्रश्न

Q1. आपका संगठन 500 सीटों वाला एक सम्मेलन केंद्र संचालित करता है जो कॉर्पोरेट कार्यक्रमों की मेजबानी करता है। वेन्यू WiFi PEAP/MSCHAPv2 और FreeRADIUS सर्वर के साथ WPA2-Enterprise का उपयोग करता है। एक सुरक्षा सलाहकार ने अपनी रिपोर्ट में CVE-2024-3596 को फ़्लैग किया है। वेन्यू निदेशक जानना चाहते हैं: (a) क्या आप वर्तमान में असुरक्षित हैं? (b) तत्काल जोखिम को बंद करने के लिए न्यूनतम आवश्यक कार्रवाई क्या है? (c) अनुशंसित दीर्घकालिक आर्किटेक्चर क्या है?

संकेत: विचार करें कि क्या PEAP Blast-RADIUS से प्रतिरक्षा प्रदान करता है, और उस प्रतिरक्षा को बनाए रखने के लिए किन शर्तों को पूरा किया जाना चाहिए। उपचारात्मक समयरेखा की योजना बनाते समय 24/7 वेन्यू वातावरण की परिचालन बाधाओं पर भी विचार करें।

मॉडल उत्तर देखें

(a) MSCHAPv2 के साथ PEAP एक EAP टनल का उपयोग करता है जो आंतरिक ऑथेंटिकेशन को Blast-RADIUS हमले से बचाता है, इसलिए आप सीधे तौर पर CVE-2024-3596 के प्रति संवेदनशील नहीं हैं — बशर्ते कि क्लाइंट FreeRADIUS सर्वर सर्टिफ़िकेट को मान्य करने के लिए सही ढंग से कॉन्फ़िगर किए गए हों। यदि सर्टिफ़िकेट वैलिडेशन लागू नहीं किया जाता है, तो आप दुष्ट एक्सेस पॉइंट हमलों के प्रति संवेदनशील हैं, जो एक अलग लेकिन समान रूप से गंभीर जोखिम है। आपको अभी भी FreeRADIUS को पैच किए गए संस्करण में अपडेट करना चाहिए और डिफ़ेंस-इन-डेप्थ उपाय के रूप में Message-Authenticator लागू करना चाहिए। (b) न्यूनतम तत्काल कार्रवाई FreeRADIUS को संस्करण 3.2.3 या बाद के संस्करण में अपडेट करना और clients.conf में Message-Authenticator लागू करना है। इसके साथ ही, सर्वर सर्टिफ़िकेट वैलिडेशन सक्षम होने की पुष्टि करने के लिए सभी क्लाइंट डिवाइस का ऑडिट करें। (c) अनुशंसित दीर्घकालिक आर्किटेक्चर EAP-TLS के साथ WPA3-Enterprise है, जो सर्टिफ़िकेट जारी करने के लिए PKI द्वारा समर्थित है। उच्च डिवाइस टर्नओवर और BYOD वाले सम्मेलन केंद्र के लिए, सर्टिफ़िकेट प्रबंधन के परिचालन बोझ को कम करने के लिए स्वचालित प्रोविज़निंग के साथ क्लाउड-आधारित सर्टिफ़िकेट अथॉरिटी पर विचार करें।

Q2. एक रिटेल चेन की सुरक्षा टीम ने RADIUS ऑडिट पूरा कर लिया है और अपने स्टोर नेटवर्क पर उपकरणों की तीन श्रेणियों की पहचान की है: (1) MS-CHAP का उपयोग करने वाले प्रबंधित Windows लैपटॉप, (2) PAP का उपयोग करने वाले Android हैंडहेल्ड स्कैनर, (3) IoT डिजिटल साइनेज डिवाइस जो 802.1X का बिल्कुल भी समर्थन नहीं करते हैं। उपचारात्मक कार्रवाइयों को प्राथमिकता दें और प्रत्येक डिवाइस श्रेणी के लिए तर्क स्पष्ट करें।

संकेत: प्रत्येक ऑथेंटिकेशन मोड की सापेक्ष भेद्यता, प्रत्येक डिवाइस श्रेणी को EAP में माइग्रेट करने की व्यवहार्यता, और उन उपकरणों के लिए उपयुक्त नेटवर्क आर्किटेक्चर पर विचार करें जो 802.1X का समर्थन नहीं कर सकते हैं।

मॉडल उत्तर देखें

तीनों श्रेणियों में कार्रवाई की आवश्यकता है, लेकिन दृष्टिकोण अलग है। श्रेणी 1 (Windows लैपटॉप, MS-CHAP): EAP-TLS माइग्रेशन के लिए सर्वोच्च प्राथमिकता क्योंकि MS-CHAP सीधे Blast-RADIUS के प्रति संवेदनशील है। ग्रुप पॉलिसी के माध्यम से कंप्यूटर सर्टिफ़िकेट तैनात करें और 30-60 दिनों के भीतर EAP-TLS में माइग्रेट करें। अंतरिम उपाय के रूप में तुरंत Message-Authenticator लागू करें। श्रेणी 2 (Android स्कैनर, PAP): यह भी सीधे तौर पर संवेदनशील है। PAP क्रेडेंशियल्स को ऐसे रूप में प्रसारित करता है जिसे आसानी से पढ़ा जा सकता है यदि RADIUS ट्रैफ़िक को इंटरसेप्ट किया जाता है, जिससे यह क्रेडेंशियल एक्सपोज़र के दृष्टिकोण से भी उच्चतम जोखिम वाली श्रेणी बन जाती है। Android के अंतर्निहित 802.1X समर्थन का उपयोग करके PEAP या EAP-TLS में माइग्रेट करें। यदि स्कैनर फ़र्मवेयर EAP का समर्थन नहीं करता है, तो फ़र्मवेयर अपडेट या डिवाइस प्रतिस्थापन को प्राथमिकता दें। श्रेणी 3 (IoT साइनेज, कोई 802.1X नहीं): EAP में माइग्रेट नहीं किया जा सकता। कॉर्पोरेट नेटवर्क या CDE तक पहुंच को रोकने वाले सख्त फ़ायरवॉल नियमों के साथ एक समर्पित IoT VLAN पर MAC Authentication Bypass (MAB) लागू करें। स्वीकार करें कि MAB कमजोर ऑथेंटिकेशन प्रदान करता है (MAC पतों को स्पूफ़ किया जा सकता है) और नेटवर्क मॉनिटरिंग और विसंगति का पता लगाने के साथ क्षतिपूर्ति करें।

Q3. 50-संपत्ति वाली होटल चेन के एक CTO आपसे 12 महीनों में £180,000 के अनुमानित बजट के साथ पूर्ण RADIUS आधुनिकीकरण कार्यक्रम (EAP-TLS + RADSEC) के लिए व्यावसायिक मामला प्रस्तुत करने के लिए कहते हैं। वह समझना चाहती हैं: कम किया जा रहा जोखिम, अनुपालन लाभ, और सुरक्षा से परे परिचालन ROI। आप व्यावसायिक मामले की संरचना कैसे करते हैं?

संकेत: व्यावसायिक मामले को तीन स्तंभों के इर्द-गिर्द तैयार करें: जोखिम परिमाणीकरण (उल्लंघन की लागत क्या है?), अनुपालन मूल्य (यह किन जुर्मानों या ऑडिट लागतों से बचाता है?), और परिचालन दक्षता (यह सुरक्षा से परे क्या सक्षम बनाता है?)। संदर्भ बिंदु के रूप में 350 कमरों वाले होटल परिदृश्य का उपयोग करें।

मॉडल उत्तर देखें

व्यावसायिक मामले को तीन स्तंभों के इर्द-गिर्द संरचित करें। जोखिम परिमाणीकरण: एक ही संपत्ति पर एक सफल Blast-RADIUS शोषण गेस्ट PII, पेमेंट सिस्टम और बैक-ऑफ़िस इंफ्रास्ट्रक्चर तक नेटवर्क पहुंच प्रदान कर सकता है। औसत हॉस्पिटैलिटी डेटा उल्लंघन की लागत उपचारात्मक, अधिसूचना और प्रतिष्ठा की क्षति में £3M+ है। 50 संपत्तियों पर, कुल जोखिम महत्वपूर्ण है। £180,000 का निवेश एकल उल्लंघन लागत के 6% से कम का प्रतिनिधित्व करता है। अनुपालन मूल्य: PCI DSS v4.0 को दायरे में आने वाले सभी सिस्टम के लिए मजबूत ऑथेंटिकेशन की आवश्यकता होती है। EAP-TLS और RADSEC सीधे आवश्यकताएं 8.6 (ऑथेंटिकेशन प्रबंधन) और 1.3 (नेटवर्क सेगमेंटेशन) को पूरा करते हैं। PCI DSS लेवल 1 फोरेंसिक जांच (आमतौर पर £50,000–£150,000) और संभावित कार्ड ब्रांड जुर्मानों से बचना कार्यक्रम की लागत को उचित ठहराता है। GDPR अनुच्छेद 32 के लिए 'उचित तकनीकी उपायों' की आवश्यकता होती है — एक प्रलेखित आधुनिकीकरण कार्यक्रम अनुपालन उचित परिश्रम (due diligence) को प्रदर्शित करता है। परिचालन ROI: सर्टिफ़िकेट-आधारित ऑथेंटिकेशन 50 संपत्तियों में साझा WiFi पासवर्ड प्रबंधित करने के ओवरहेड को समाप्त करता है (रोटेशन और वितरण के लिए प्रति संपत्ति प्रति वर्ष अनुमानित 2-4 घंटे)। WPA3-Enterprise उच्च-घनत्व वाले वातावरण में कनेक्शन विश्वसनीयता में सुधार करता है, जिससे सीधे गेस्ट संतुष्टि स्कोर में सुधार होता है। RADSEC का TCP ट्रांसपोर्ट उच्च-विलंबता WAN कनेक्शन वाली संपत्तियों में ऑथेंटिकेशन विफलताओं को कम करता है। संयुक्त रूप से, ये परिचालन लाभ बचाए गए प्रशासन समय में प्रति वर्ष अनुमानित 200-300 IT घंटों का प्रतिनिधित्व करते हैं।

इस श्रृंखला में आगे पढ़ें

कैप्टिव पोर्टल प्रमाणीकरण विधियों की तुलना

यह आधिकारिक तकनीकी संदर्भ गाइड पांच मुख्य कैप्टिव पोर्टल प्रमाणीकरण विधियों के आर्किटेक्चरल, परिचालन और अनुपालन ट्रेड-ऑफ का मूल्यांकन करती है। यह नेटवर्क आर्किटेक्ट्स, IT निदेशकों और मार्केटिंग प्रबंधकों को एंटरप्राइज वेन्यू में डेटा-संग्रह आवश्यकताओं के साथ गेस्ट ऑनबोर्डिंग घर्षण को संतुलित करने के लिए आवश्यक मात्रात्मक डेटा और निर्णय ढांचे प्रदान करती है।

गाइड पढ़ें →

MAC Address Authentication क्या है? इसका उपयोग कब करें और कब बचें

यह आधिकारिक तकनीकी संदर्भ गाइड एंटरप्राइज़ WiFi वातावरण में MAC एड्रेस ऑथेंटिकेशन को कवर करती है — लेयर 2 पर RADIUS-आधारित MAC ऑथेंटिकेशन कैसे काम करता है, इसकी अंतर्निहित सुरक्षा कमजोरियां (जिसमें MAC स्पूफिंग और OS-स्तरीय MAC रैंडमाइज़ेशन का प्रभाव शामिल है), और सटीक परिचालन संदर्भ जहां यह IoT और हेडलेस डिवाइसों के प्रबंधन के लिए एक वैध उपकरण बना हुआ है। यह हॉस्पिटैलिटी, रिटेल, हेल्थकेयर और सार्वजनिक क्षेत्र के स्थानों में IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए कार्रवाई योग्य डिप्लॉयमेंट मार्गदर्शन प्रदान करता है, जिसमें वास्तविक दुनिया के काम किए गए उदाहरण, निर्णय ढांचे और Purple के अतिथि WiFi और एनालिटिक्स प्लेटफ़ॉर्म के लिए एकीकरण संदर्भ शामिल हैं।

गाइड पढ़ें →

iOS और macOS पर 802.1X के साथ Enterprise WiFi कैसे सेट अप करें

यह आधिकारिक मार्गदर्शिका वरिष्ठ IT लीडर्स को iOS और macOS डिवाइस पर 802.1X एंटरप्राइज़ WiFi डिप्लॉय करने के लिए कार्रवाई योग्य कदम प्रदान करती है। यह BYOD पहलों का समर्थन करते हुए कॉर्पोरेट नेटवर्क को सुरक्षित करने के लिए सर्टिफिकेट-आधारित प्रमाणीकरण (EAP-TLS), MDM कॉन्फ़िगरेशन प्रोफ़ाइल और आर्किटेक्चर एकीकरण को कवर करती है।

गाइड पढ़ें →