मुख्य मजकुराकडे जा

RADIUS Vulnerabilities कमी करणे: एक सुरक्षितता बळकटीकरण मार्गदर्शक

हे मार्गदर्शक हॉस्पिटॅलिटी, रिटेल, इव्हेंट्स आणि सार्वजनिक - क्षेत्रातील वातावरणातील कॉर्पोरेट WiFi इन्फ्रास्ट्रक्चरसाठी जबाबदार असलेल्या IT व्यवस्थापक, नेटवर्क आर्किटेक्ट्स आणि CTOs साठी एक सर्वसमावेशक, कृतीयोग्य संदर्भ प्रदान करते. यामध्ये RADIUS सर्व्हर डिप्लॉयमेंटच्या संपूर्ण अटॅक सरफेसचा समावेश आहे - ज्यामध्ये MD5 कोलिजन व्हल्नरेबिलिटी आणि कमकुवत शेअर केलेले सिक्रेट्स ते अनइन्क्रिप्टेड UDP ट्रान्सपोर्ट आणि चुकीचे कॉन्फिगर केलेले EAP मेथड्स समाविष्ट आहेत - आणि IEEE 802.1X, PCI-DSS आणि GDPR आवश्यकतांनुसार प्राधान्यक्रमाने बळकटीकरण रोडमॅप प्रदान केला आहे. या शिफारसींची अंमलबजावणी करणाऱ्या संस्था क्रेडेन्शियल - आधारित नेटवर्क हल्ल्यांचा धोका लक्षणीयरीत्या कमी करतील, अनुपालन दायित्वे पूर्ण करतील आणि त्यांच्या गेस्ट आणि कॉर्पोरेट WiFi इन्फ्रास्ट्रक्चरसाठी एक मजबूत सुरक्षितता स्थिती निर्माण करतील.

📖 12 मिनिट वाचन📝 2,764 शब्द🔧 2 सोडवलेली उदाहरणे3 सराव प्रश्न📚 10 महत्वाच्या व्याख्या

हे मार्गदर्शक ऐका

पॉडकास्ट ट्रान्सक्रिप्ट पहा
MITIGATING RADIUS VULNERABILITIES: A SECURITY HARDENING GUIDE A Purple WiFi Intelligence Briefing [परिचय — अंदाजे १ मिनिट] स्वागत आहे. आजच्या माहितीपर सत्रासाठी मी तुमचा होस्ट आहे, आणि पुढील दहा मिनिटांत आपण थेट अशा विषयावर बोलणार आहोत ज्यामुळे अनेक नेटवर्क आर्किटेक्ट्स आणि IT मॅनेजर्सची झोप उडाली आहे: RADIUS सर्व्हर सुरक्षितता. जर तुम्ही हॉटेल इस्टेट, रिटेल चेन, स्टेडियम किंवा सार्वजनिक क्षेत्रातील इमारतीमध्ये एंटरप्राइझ WiFi चालवत असाल, तर तुमची RADIUS पायाभूत सुविधा ही तुमच्या सुरक्षिततेमधील सर्वात गंभीर - आणि बऱ्याचदा दुर्लक्षित - घटकांपैकी एक आहे. चला सुरुवात करूया. [संदर्भ — अंदाजे १ मिनिट] RADIUS - रिमोट ऑथेंटिकेशन डायल-इन युझर सर्व्हिस - नव्वदच्या दशकाच्या मध्यापासून नेटवर्क ॲक्सेस कंट्रोलचा कणा आहे. हा तो प्रोटोकॉल आहे जो तुमच्या ॲक्सेस पॉइंट्स आणि तुमच्या आयडेंटिटी डिरेक्टरीच्या मध्ये असतो, आणि नेटवर्कवर कोणाला प्रवेश द्यायचा आणि कोणाला नाही हे ठरवतो. IEEE 802.1X, जो अक्षरशः प्रत्येक एंटरप्राइझ WiFi आणि वायर्ड ऑथेंटिकेशन डिप्लॉयमेंटचा पाया आहे, तो कार्य करण्यासाठी RADIUS वर अवलंबून असतो. अडचण अशी आहे की RADIUS ची रचना अशा काळात केली गेली होती जेव्हा धोक्यांचे स्वरूप खूप वेगळे होते. हा प्रोटोकॉल UDP वापरतो, जो कनेक्शनलेस आहे आणि म्हणूनच सुरक्षित करणे अधिक कठीण आहे. त्याची मुख्य ऑथेंटिकेशन यंत्रणा ऐतिहासिकदृष्ट्या MD5 हॅशिंगवर अवलंबून आहे - एक क्रिप्टोग्राफिक अल्गोरिदम जो २००४ पासून स्पष्टपणे कमकुवत आणि निरुपयोगी ठरला आहे. आणि सामायिक रहस्ये (शेअर्ड सिक्रेट्स), म्हणजेच तुमच्या ॲक्सेस पॉइंट्सना तुमच्या RADIUS सर्व्हरवर ऑथेंटिकेट करणाऱ्या प्री-शेअर्ड कीज, बऱ्याचदा एकदाच सेट केल्या जातात आणि कधीही बदलल्या जात नाहीत. २०२४ मध्ये, संशोधकांनी RADIUS विरुद्ध 'BlastRADIUS' नावाचा एक व्यावहारिक हल्ला प्रसिद्ध केला - एक मॅन-इन-द-मिडल हल्ला जो ऑथेंटिकेशन प्रतिसादांमध्ये फेरबदल करण्यासाठी MD5 च्या असुरक्षिततेचा फायदा घेतो. हे केवळ थिअरेटिकल नाही. हा एक खरा, दस्तऐवजीकरण केलेला हल्ला आहे जो अनपॅच केलेले FreeRADIUS, Cisco ISE, आणि Microsoft NPS चालवणाऱ्या डिप्लॉयमेंट्सवर परिणाम करतो. जर तुम्ही २०२४ च्या मध्यापासून पॅच केले नसेल, तर तुम्हाला धोका आहे. व्यवसायातील जोखीम मोठी आहे. तडजोड झालेल्या RADIUS सर्व्हरचा अर्थ केवळ अनधिकृत WiFi ॲक्सेस असा होत नाही. याचा अर्थ असा आहे की एखादा हल्लेखोर तुमच्या नेटवर्कवरील कोणताही युझर म्हणून ऑथेंटिकेट करू शकतो, नेटवर्क सेगमेंटेशनला बायपास करू शकतो आणि पेमेंट सिस्टम, पेशंट रेकॉर्ड्स किंवा ऑपरेशनल टेक्नॉलॉजीमध्ये प्रवेश मिळवू शकतो. कार्ड पेमेंटवर प्रक्रिया करणाऱ्या रिटेल वातावरणासाठी, हे थेट PCI-DSS चे उल्लंघन आहे. आरोग्यसेवेसाठी (हेल्थकेअर), हा GDPR आणि क्लिनिकल गव्हर्नन्सचा प्रश्न आहे. हॉस्पिटॅलिटीसाठी, यामुळे ब्रँडचे नुकसान आणि संभाव्य नियामक दंड होऊ शकतात. [तांत्रिक सखोल माहिती — अंदाजे ५ मिनिटे] चला, या धोक्यांच्या क्षेत्राचे (अटॅक सरफेस) पद्धतशीरपणे विश्लेषण करूया. पहिली असुरक्षितता श्रेणी म्हणजे MD5 कोलिजनचा धोका (MD5 collision risk) आहे. RADIUS युझर-पासवर्ड ॲट्रिब्युट सुरक्षित करण्यासाठी आणि रिस्पॉन्स ऑथेंटिकेटर फील्ड जनरेट करण्यासाठी MD5 चा वापर करते. MD5 128-बिट हॅश तयार करते आणि कोलिजन अटॅक्स - जिथे दोन भिन्न इनपुट्स समान हॅश तयार करतात - 2004 पासून शक्य झाले आहेत. BlastRADIUS अटॅक विशेषतः ॲक्सेस-रिक्वेस्ट पॅकेट्सवरील इंटिग्रिटी संरक्षणाच्या अभावाचा गैरफायदा घेतो. तुमच्या NAS डिव्हाइस - म्हणजे तुमचे नेटवर्क ॲक्सेस सर्व्हर, सामान्यतः तुमचे ॲक्सेस पॉइंट किंवा स्विच - आणि तुमच्या RADIUS सर्व्हर दरम्यान असलेला अटॅकर पॅकेटमध्ये तयार केलेले ॲट्रिब्युट इंजेक्ट करू शकतो आणि अवैध क्रेडेंशियलसाठी देखील सर्व्हरला ॲक्सेस-ॲक्सेप्ट रिटर्न करण्यास भाग पाडू शकतो. यावरील उपाय दुहेरी आहे: तुमच्या RADIUS सर्व्हरला नवीनतम आवृत्तीवर पॅच करा आणि सर्व ॲक्सेस-रिक्वेस्ट पॅकेट्सवर मेसेज-ऑथेंटिकेटर लागू करा. FreeRADIUS 3.2.5 आणि नंतरच्या आवृत्त्यांमध्ये हे डीफॉल्टनुसार आवश्यक आहे. दुसरी असुरक्षितता श्रेणी म्हणजे कमकुवत किंवा स्थिर शेअर्ड सिक्रेट्स (weak or static shared secrets). शेअर्ड सिक्रेट ही तुमच्या NAS आणि तुमच्या RADIUS सर्व्हरमधील प्री-शेअर्ड की असते. जर ही की लहान असेल, डिक्शनरी-अटॅक करण्यायोग्य असेल किंवा अनेक वर्षांपासून बदलली नसेल, तर ती एक धोका आहे. RADIUS या सिक्रेटचा वापर युझर-पासवर्ड ॲट्रिब्युट एन्क्रिप्ट करण्यासाठी आणि रिस्पॉन्स ऑथेंटिकेटर जनरेट करण्यासाठी करते. कमकुवत शेअर्ड सिक्रेटचा अर्थ असा आहे की जो अटॅकर RADIUS ट्रॅफिक कॅप्चर करतो - जे त्यांनी आधीच अंशतः तडजोड केलेल्या नेटवर्कवर अगदी सोपे आहे - तो पासवर्ड ऑफलाईन ब्रूट-फोर्स करू शकतो. सर्वोत्तम सराव म्हणजे किमान 32 कॅरेक्टर्स, जे यादृच्छिकपणे (randomly) जनरेट केलेले असावेत आणि वर्षातून किमान एकदा बदलले जावेत. हे रोटेशन स्वयंचलित करा; मोठ्या इस्टेटमध्ये हे मॅन्युअली करणे त्रुटी-प्रवण आहे. तिसरी असुरक्षितता श्रेणी म्हणजे अनएन्क्रिप्टेड ट्रान्सपोर्ट (unencrypted transport). स्टँडर्ड RADIUS ऑथेंटिकेशनसाठी पोर्ट 1812 वर आणि अकाउंटिंगसाठी पोर्ट 1813 वर UDP द्वारे चालते. UDP कोणतेही ट्रान्सपोर्ट-लेअर एन्क्रिप्शन, कोणतीही इंटिग्रिटी चेकिंग आणि कोणतीही रिप्ले प्रोटेक्शन देत नाही जे RADIUS स्वतः लागू करते त्यापलीकडे - जे आम्ही स्थापित केल्याप्रमाणे अपुरे आहे. RadSec, जे औपचारिकपणे RFC 6614 मध्ये परिभाषित केले आहे, RADIUS ला TCP पोर्ट 2083 वर TLS 1.2 किंवा 1.3 मध्ये रॅप करते. हे प्रमाणपत्रांद्वारे परस्पर ऑथेंटिकेशन, RADIUS पेलोडचे पूर्ण एन्क्रिप्शन आणि रिप्ले प्रोटेक्शन प्रदान करते. जर तुम्ही कोणत्याही असुरक्षित नेटवर्क सेगमेंटमध्ये RADIUS चालवत असाल - ज्यामध्ये रिमोट व्हेन्यू आणि सेंट्रल RADIUS सर्व्हरमधील WAN लिंकचा समावेश आहे - तर RadSec ऐच्छिक नाही. ही एक गरज आहे. चौथा व्हल्नरेबिलिटी क्लास म्हणजे EAP पद्धतीची निवड. सर्व EAP पद्धती सारख्या नसतात. EAP-MD5 ही बाद मानली पाहिजे - ती कोणतेही परस्पर प्रमाणीकरण (mutual authentication) आणि प्रमाणीकरण देवाणघेवाणीचे एन्क्रिप्शन प्रदान करत नाही. PEAP आणि EAP-TTLS हे बहुतेक कॉर्पोरेट उपयोजनांसाठी स्वीकार्य आहेत, कारण ते क्रेडेंशियल्स ट्रान्समिट करण्यापूर्वी TLS टनेल स्थापित करतात आणि सर्व्हर प्रमाणपत्रांद्वारे परस्पर प्रमाणीकरणाला समर्थन देतात. EAP-TLS हा सर्वोत्तम पर्याय आहे: यासाठी सर्व्हर आणि क्लायंट दोघांनीही प्रमाणपत्रे सादर करणे आवश्यक आहे, ज्यामुळे प्रमाणीकरण देवाणघेवाणीमधून पासवर्ड पूर्णपणे काढून टाकला जातो. यामुळे हे क्रेडेंशियल फिशिंग आणि ब्रूट-फोर्स हल्ल्यांपासून सुरक्षित राहते. क्लायंट प्रमाणपत्रे जारी करण्यासाठी PKI तैनात करण्याचा ऑपरेशनल ओव्हरहेड नक्कीच आहे, परंतु उच्च-सुरक्षा वातावरणासाठी - हेल्थकेअर नेटवर्क्स, पेमेंट-प्रोसेसिंग झोन्स, बॅक-ऑफ-हाउस रिटेल सिस्टम्ससाठी - हाच योग्य निर्णय आहे. पाचवा व्हल्नरेबिलिटी क्लास म्हणजे अपुरे लॉगिंग आणि मॉनिटरिंग. RADIUS अकाउंटिंग डेटा हा थ्रेट डिटेक्शनसाठी अत्यंत महत्त्वाचा आहे आणि बहुतेक संस्था याचा वापर करत नाहीत. प्रत्येक प्रमाणीकरणाचा प्रयत्न, यशस्वी असो वा अयशस्वी, एक अकाउंटिंग रेकॉर्ड तयार करतो. अयशस्वी प्रमाणीकरणाचे पॅटर्न, अनपेक्षित MAC ॲड्रेसवरून झालेले प्रमाणीकरण किंवा असामान्य वेळेवर झालेले प्रमाणीकरण हे सर्व सुरक्षेमधील त्रुटींचे संकेत आहेत. तुमचा RADIUS अकाउंटिंग प्रवाह तुमच्या SIEM मध्ये समाकलित करा. साठ सेकंदांच्या आत एकाच MAC ॲड्रेसवरून पाचपेक्षा जास्त वेळा अयशस्वी प्रमाणीकरणे झाल्यास अलर्ट सेट करा. Access-Reject स्टॉर्म्सवर लक्ष ठेवा, जे क्रेडेंशियल-स्टफिंग हल्ला प्रगतीपथावर असल्याचे दर्शवू शकतात. [अमलबजावणीच्या शिफारसी आणि धोके — साधारण २ मिनिटे] मी तुम्हाला हार्डनिंग प्रोजेक्टसाठी एक व्यावहारिक क्रमवारी देतो. पॅचिंगपासून सुरुवात करा. यावर कोणतीही तडजोड केली जाऊ शकत नाही आणि हे तुमच्या पुढील बदल विंडोमध्येच केले पाहिजे. FreeRADIUS, Cisco ISE आणि Microsoft NPS या सर्वांनी जुलै २०२४ मध्ये BlastRADIUS साठी पॅचेस रिलीज केले आहेत. तुमची आवृत्ती तपासा, पॅच लागू करा आणि Message-Authenticator अंमलबजावणी सक्रिय असल्याची खात्री करा. त्यानंतर, तुमच्या शेअर केलेल्या सिक्रेट्सचे ऑडिट करा. तुमच्या RADIUS सर्व्हरवर नोंदणीकृत असलेल्या प्रत्येक NAS डिव्हाइसची यादी मिळवा. प्रत्येकासाठी, शेअर केलेल्या सिक्रेटची लांबी आणि वय तपासा. २० पेक्षा कमी कॅरेक्टर्स असलेले किंवा दोन वर्षांपेक्षा जास्त जुने असलेले कोणतेही सिक्रेट त्वरित बदलले पाहिजे. हे प्रोग्रामॅटिक पद्धतीने स्टोअर करण्यासाठी आणि बदलण्यासाठी पासवर्ड मॅनेजर किंवा सिक्रेट्स व्हॉल्टचा वापर करा - यासाठी HashiCorp Vault चांगला पर्याय आहे. तिसरे, तुमच्या EAP पद्धतीचे मूल्यांकन करा. जर तुम्ही कुठेही EAP-MD5 चालवत असाल, तर आता त्यावरून स्थलांतरित व्हा. PEAP-MSCHAPv2 ही बहुतेक एंटरप्राइझ वातावरणासाठी एक वाजवी अंतरिम स्थिती आहे. तुमच्याकडे PKI इन्फ्रास्ट्रक्चर असल्यास, EAP-TLS ही अंतिम लक्ष्य स्थिती आहे. चौथे, कोणत्याही अविश्वासू नेटवर्क सेगमेंटमधून जाणाऱ्या RADIUS ट्रॅफिकसाठी RadSec लागू करा. हे विशेषतः मल्टी-साइट डिप्लॉयमेंटसाठी संबंधित आहे जेथे केंद्रीय RADIUS सर्व्हर इंटरनेट किंवा सामायिक WAN वरून दूरस्थ ठिकाणांना सेवा देतो. पाचवे, स्वतः RADIUS सर्व्हरच्या विशेषाधिकारप्राप्त ॲक्सेससाठी मल्टि-फॅक्टर ऑथेंटिकेशन सक्षम करा. सर्व्हरचा व्यवस्थापन इंटरफेस हे एक हाय-व्हॅल्यू टार्गेट आहे. सर्व ॲडमिनिस्ट्रेटिव्ह लॉगिनसाठी MFA लागू करा, आणि व्यवस्थापन ॲक्सेस केवळ एका समर्पित आउट-ऑफ-बँड मॅनेजमेंट नेटवर्कपुरता मर्यादित करा. आता, धोके पाहूया. सर्वात सामान्य चूक जी मी पाहतो ती म्हणजे संस्था RADIUS सर्व्हर पॅच करतात परंतु NAS डिव्हाइसेस जुन्या फर्मवेअरवर ठेवतात जे Message-Authenticator ला सपोर्ट करत नाही. पॅच दोन्ही बाजूंनी लागू केल्यासच प्रभावी ठरतो. तुमच्या त्याच प्रकल्पाचा भाग म्हणून तुमच्या ॲक्सेस पॉईंट आणि स्विच फर्मवेअरचे ऑडिट करा. दुसरा सामान्य धोका म्हणजे सर्टिफिकेट कालबाह्य होणे (certificate expiry). जर तुम्ही EAP-TLS किंवा RadSec चालवत असाल, तर तुमचे सर्टिफिकेट्स वापरात असतात. एक RADIUS सर्व्हर सर्टिफिकेट जे नकळत कालबाह्य होते, ते तुमच्या नेटवर्कवरील प्रत्येक ऑथेंटिकेशन एकाच वेळी अयशस्वी करेल. तुमच्या ऑपरेशनल रनबुकमध्ये सर्टिफिकेट कालबाह्यता मॉनिटरिंग समाविष्ट करा. कालबाह्य होण्याच्या ९०, ३० आणि ७ दिवस आधी अलर्ट सेट करा. तिसरा धोका म्हणजे नुकसानभरपाई नियंत्रण म्हणून नेटवर्क सेगमेंटेशनवर अति-अवलंबून राहणे. सेगमेंटेशन महत्त्वाचे आहे, परंतु ते अशा आक्रमणकर्त्यापासून संरक्षण करत नाही ज्याने आधीच तडजोड केलेल्या RADIUS सर्व्हरद्वारे ऑथेंटिकेशन केले आहे. डिफेन्स इन डेप्थचा अर्थ असा आहे की तुम्हाला RADIUS हार्डनिंग तसेच सेगमेंटेशनचीही आवश्यकता आहे. [रॅपिड-फायर प्रश्नोत्तरे - साधारण १ मिनिट] प्रश्न: जर माझा RADIUS सर्व्हर माझ्या ॲक्सेस पॉईंट्ससारख्याच LAN वर असेल तर मला RadSec ची आवश्यकता आहे का? उत्तर: जर ते कोणत्याही अविश्वासू डिव्हाइसेसशिवाय एकाच विश्वासू, सेगमेंटेड व्यवस्थापन VLAN वर असतील, तर NAS-ते-सर्व्हर लेगसाठी UDP वरील मानक RADIUS स्वीकार्य आहे. परंतु जर तडजोड केलेल्या डिव्हाइसवरून त्या VLAN पर्यंत पोहोचण्याची कोणतीही शक्यता असेल, तर RadSec कमी खर्चात महत्त्वपूर्ण संरक्षण प्रदान करते. प्रश्न: आम्ही Microsoft NPS चालवत आहोत. आम्हाला BlastRADIUS चा फटका बसेल का? उत्तर: होय. Microsoft ने जुलै २०२४ मध्ये एक पॅच रिलीज केला आहे. तो लागू करा. तुमच्या NPS सर्व्हरवर RequireMessageAuthenticator रजिस्ट्री की देखील लागू करा. प्रश्न: मी अतिथी WiFi कसा हाताळू? अतिथींकडे सर्टिफिकेट्स नसतात. उत्तर: अतिथी WiFi सामान्यतः 802.1X ऐवजी Captive Portal मॉडेल वापरते, त्यामुळे RADIUS चा वापर वेगळ्या पद्धतीने केला जातो - अनेकदा फक्त MAC ऑथेंटिकेशन बायपास किंवा अकाउंटिंगसाठी. तोच पॅच आणि शेअर्ड सिक्रेट हायजीन लागू होते, परंतु प्रमाणीकरण नसलेल्या अतिथी ॲक्सेससाठी EAP-TLS सुसंगत नाही. अतिथी RADIUS इन्स्टन्सला तुमच्या कॉर्पोरेट RADIUS इन्फ्रास्ट्रक्चरपासून वेगळे ठेवण्यावर लक्ष केंद्रित करा. प्रश्न: पूर्ण EAP-TLS मायग्रेशनसाठी ROI केस काय आहे? उत्तर: तुमच्या ब्रीचच्या जोखमीच्या विरुद्ध त्याचे मूल्य मोजा. एका एकल PCI DSS ब्रीचसाठी दंड, सुधारणा आणि प्रतिष्ठेच्या नुकसानीमध्ये सरासरी ४ दशलक्ष पौंड खर्च येतो. ५००-डिव्हाइसच्या एस्टेटसाठी PKI डिप्लॉयमेंटसाठी टूलिंग आणि व्यावसायिक सेवांमध्ये साधारणपणे १५,००० ते ३०,००० पौंड खर्च येतो. हे गणित अगदी सोपे आहे. [गोषवारा आणि पुढील पायऱ्या - साधारण १ मिनिट] या तिमाहीत करण्यासाठी मी तुम्हाला पाच गोष्टी सांगतो. एक: तुमच्या RADIUS सर्व्हर आणि सर्व NAS डिव्हाइसेसना BlastRADIUS साठी पॅच करा. हे आधी करा. दोन: सर्व शेअर्ड सिक्रेट्सचे ऑडिट करा आणि ते बदला. भविष्यासाठी हे रोटेशन स्वयंचलित करा. तीन: सर्व Access-Request पॅकेट्सवर Message-Authenticator लागू करा. चार: असुरक्षित नेटवर्क सीमा ओलांडणाऱ्या कोणत्याही RADIUS ट्रॅफिकसाठी RadSec लागू करा. पाच: तुमच्या SIEM मध्ये RADIUS अकाउंटिंग लॉग्स समाकलित करा आणि विसंगती अलर्ट सेट करा. RADIUS सुरक्षा आकर्षक नसली तरी ती पायाभूत आहे. या पाच गोष्टी योग्यरित्या करा, आणि तुम्ही तुमच्या नेटवर्क ॲक्सेस कंट्रोल इन्फ्रास्ट्रक्चरवरील सर्वात मोठे संभाव्य हल्ले रोखले असतील. ऐकल्याबद्दल धन्यवाद. एंटरप्राइझ WiFi सुरक्षा आर्किटेक्चरबद्दल अधिक माहितीसाठी, purple.ai ला भेट द्या. हे Purple WiFi इंटेलिजन्स ब्रीफिंग होते.

header_image.png

मुख्य सारांश (Executive Summary)

RADIUS (Remote Authentication Dial-In User Service) हे आजही एंटरप्राइझ WiFi उपयोजनांमध्ये नेटवर्क ऍक्सेस नियंत्रणासाठी प्राथमिक प्रोटोकॉल आहे, जे हॉटेल्स, किरकोळ विक्रीची ठिकाणे, स्टेडियम, कॉन्फरन्स सेंटर्स आणि सार्वजनिक क्षेत्रातील इमारतींमध्ये IEEE 802.1X ऑथेंटिकेशनला आधार देते. तरीही RADIUS चे आर्किटेक्चर १९९० च्या दशकातील आहे, आणि त्याचे काही मूलभूत डिझाइन निर्णय - MD5 हॅशिंगवर अवलंबून असणे, मूळ एनक्रिप्शन नसलेले UDP ट्रान्सपोर्ट आणि स्टॅटिक शेअर्ड सिक्रेट्स - सध्याच्या धोक्यांच्या वातावरणात मोठे जोखीम बनले आहेत.

जुलै २०२४ मध्ये, BlastRADIUS असुरक्षिततेने (CVE-2024-3596) दाखवून दिले की मॅन-इन-द-मिडल आक्रमणकर्ता Access-Request पॅकेट्समधील MD5 अखंडतेच्या कमकुवतपणाचा फायदा घेऊन RADIUS Access-Accept प्रतिसादांची बनावट निर्मिती करू शकतो. या असुरक्षिततेचा परिणाम FreeRADIUS, Cisco ISE आणि Microsoft NPS सह सर्व प्रमुख RADIUS अंमलबजावणीवर होतो. पॅच न केलेले उपयोजन अद्याप धोक्यात आहेत.

हे मार्गदर्शक पॅच व्यवस्थापन, शेअर्ड सिक्रेट हायजीन, EAP पद्धत निवड, RadSec उपयोजन, प्रशासकीय प्रवेशासाठी मल्टी-फॅक्टर ऑथेंटिकेशन आणि विसंगती शोधण्यासाठी SIEM एकत्रीकरण समाविष्ट करणारा प्राधान्यक्रमित हार्डनिंग रोडमॅप प्रदान करते. हे अशा IT व्यावसायिकांसाठी लिहिले गेले आहे ज्यांना पुढील वर्षाऐवजी याच तिमाहीत ठोस निर्णय घेण्याची आवश्यकता आहे.

radius_architecture_overview.png

तांत्रिक सखोल विश्लेषण (Technical Deep Dive)

RADIUS कसे कार्य करते आणि ते कुठे कमकुवत आहे

RADIUS हे नेटवर्क ऍक्सेस सर्व्हर (NAS) - सामान्यत: WiFi ऍक्सेस पॉईंट, स्विच किंवा VPN कॉन्सन्ट्रेटर - आणि RADIUS सर्व्हर दरम्यान क्लायंट-सर्व्हर प्रोटोकॉल म्हणून कार्य करते, जे Active Directory किंवा LDAP सारख्या बॅकएंड ओळख स्टोअरच्या विरूद्ध क्रेडेन्शियल्स प्रमाणित करते. ऑथेंटिकेशन एक्सचेंज RFC 2865 मध्ये परिभाषित केलेल्या रिक्वेस्ट-चॅलेंज-रिस्पॉन्स मॉडेलचे अनुसरण करते, ज्यामध्ये अकाऊंटिंग RFC 2866 अंतर्गत स्वतंत्रपणे हाताळले जाते.

हा प्रोटोकॉल ऑथेंटिकेशनसाठी पोर्ट १८१२ आणि अकाऊंटिंगसाठी १८१३ वापरून UDP वर ऑथेंटिकेशन पॅकेट्स ट्रान्समिट करतो. शेअर्ड सिक्रेट - NAS आणि RADIUS सर्व्हर दोन्हीवर कॉन्फिगर केलेली प्री-शेअर्ड की - रिस्पॉन्स ऑथेंटिकेटर फील्ड तयार करण्यासाठी आणि MD5-आधारित XOR सायफरद्वारे युझर-पासवर्ड विशेषता एनक्रिप्ट करण्यासाठी वापरली जाते. हे कोणत्याही आधुनिक अर्थाने एनक्रिप्शन नाही; हे केवळ एक अस्पष्टीकरण (obfuscation) आहे जे पूर्णपणे शेअर्ड सिक्रेटच्या गोपनीयतेवर आणि मजबूततेवर अवलंबून असते.

ठराविक RADIUS उपयोजनामधील पाच मुख्य असुरक्षितता श्रेणी खालीलप्रमाणे आहेत.

MD5 collision आणि अखंडता असुरक्षा. BlastRADIUS हल्ला (CVE-2024-3596) Access-Request पॅकेट्सवरील अखंडता संरक्षणाच्या कमतरतेचा फायदा घेतो. अनेक कॉन्फिगरेशनमध्ये डीफॉल्टनुसार NAS कडून Message-Authenticator ॲट्रिब्युट समाविष्ट नसतात, त्यामुळे मॅन-इन-द-मिडल स्थितीतील आक्रमणकर्ता पॅकेट RADIUS सर्व्हरपर्यंत पोहोचण्यापूर्वी त्यात सुधारित केलेले ॲट्रिब्युट इंजेक्ट करू शकतो. MD5 chosen-prefix collision तंत्राचा वापर करून, आक्रमणकर्ता पॅकेटमध्ये अशी फेरबदल करू शकतो जेणेकरून RADIUS सर्व्हर सुधारित पॅकेटसाठी वैध Response Authenticator तयार करतो, आणि नाकारले जावे लागणाऱ्या विनंतीसाठी Access-Accept परत पाठवतो. यावर उपाय म्हणजे सर्व Access-Request पॅकेट्सवर Message-Authenticator ॲट्रिब्युट लागू करणे, जे संपूर्ण पॅकेटवर HMAC-MD5 अखंडता संरक्षण प्रदान करते. यासाठी केवळ सर्व्हर पॅच नव्हे, तर NAS आणि RADIUS सर्व्हर दोन्हीवर कॉन्फिगरेशन बदल करणे आवश्यक आहे.

कमकुवत किंवा स्थिर सामायिक गुपिते (shared secrets). सामायिक गुपित हा RADIUS एक्सचेंजचा क्रिप्टोग्राफिक अँकर आहे. जर गुपित लहान असेल, अंदाज लावता येण्यासारखे असेल किंवा कधीही बदलले नसेल, तर RADIUS ट्रॅफिक कॅप्चर करणारा आक्रमणकर्ता (जे ARP स्पूफिंग किंवा तडजोड केलेल्या नेटवर्क डिव्हाइसद्वारे शक्य आहे) User-Password ॲट्रिब्युटवर ऑफलाइन ब्रूट-फोर्स करू शकतो. लक्षात ठेवलेल्या गुपितांवर NIST SP 800-63B चे मार्गदर्शन येथे लागू होते: गुपिते किमान 20 वर्णांची असावीत, यादृच्छिकपणे व्युत्पन्न केलेली असावीत आणि सिक्रेट्स मॅनेजमेंट सिस्टममध्ये साठवलेली असावीत. डझनभर किंवा शेकडो NAS डिव्हाइसेस असलेल्या मोठ्या नेटवर्कसाठी, मॅन्युअली बदल करणे व्यावहारिकदृष्ट्या अशक्य आहे; HashiCorp Vault किंवा तत्सम सिक्रेट्स मॅनेजरद्वारे ऑटोमेशन हा योग्य मार्ग आहे.

अनइनक्रिप्टेड UDP ट्रान्सपोर्ट. UDP वरील मानक RADIUS ट्रान्सपोर्ट-लेयर गोपनीयता प्रदान करत नाही. User-Password ॲट्रिब्युट अस्पष्ट केले जाते परंतु इनक्रिप्ट केले जात नाही. वापरकर्तानाव, NAS IPs आणि सेशन मेटाडेटासह इतर प्रत्येक ॲट्रिब्युट क्लिअरटेक्स्टमध्ये प्रवास करतो. RadSec (RADIUS over TLS), जे RFC 6614 मध्ये परिभाषित आहे आणि RFC 7360 मध्ये अपडेट केले आहे, ते TCP पोर्ट 2083 वर TLS टनेलमध्ये RADIUS प्रोटोकॉल गुंडाळून, TLS 1.2 किंवा TLS 1.3 सेशन स्थापित करून याचे निवारण करते. RadSec हे NAS आणि RADIUS सर्व्हर दरम्यान परस्पर प्रमाणपत्र प्रमाणीकरण, पूर्ण पेलोड इनक्रिप्शन आणि रिप्ले संरक्षण प्रदान करते. कोणत्याही अविश्वासू नेटवर्क सीमा ओलांडणाऱ्या RADIUS ट्रॅफिकसाठी हे योग्य ट्रान्सपोर्ट आहे.

EAP पद्धत निवड. Extensible Authentication Protocol (EAP) हे 802.1X फ्रेमवर्कमध्ये वापरल्या जाणाऱ्या अंतर्गत प्रमाणीकरण पद्धती परिभाषित करते. EAP-MD5 बंद करण्यात आले आहे आणि ते सर्व उपयोजनांमधून त्वरित काढून टाकले पाहिजे - हे कोणतेही परस्पर प्रमाणीकरण प्रदान करत नाही आणि क्रेडेंशियल-हार्वेस्टिंग हल्ल्यांना तोंड देऊ शकत नाही. PEAP (Protected EAP) आणि EAP-TTLS क्रेडेंशियल्स पाठवण्यापूर्वी सर्व्हर प्रमाणपत्र वापरून TLS टनेल स्थापित करतात, परस्पर प्रमाणीकरण प्रदान करतात आणि अंतर्गत पद्धतीचे गुप्त ऐकण्यापासून (eavesdropping) संरक्षण करतात. EAP-TLS पासवर्ड पूर्णपणे काढून टाकते, ज्यासाठी सर्व्हर आणि क्लायंट दोन्हीवर X.509 प्रमाणपत्रे आवश्यक असतात. हे फिशिंग आणि ब्रूट-फोर्स हल्ल्यांपासून सुरक्षित आहे आणि उच्च-सुरक्षा वातावरणासाठी शिफारस केलेली पद्धत आहे. अपुरे लॉगिंग आणि मॉनिटरिंग. RADIUS अकाउंटिंग प्रत्येक ऑथेंटिकेशन इव्हेंटची नोंद ठेवते - यशस्वी, अयशस्वी, सेशन सुरू होणे, सेशन थांबणे. हा डेटा कॅपॅसिटी प्लॅनिंगसाठी ऑपरेशनलदृष्ट्या उपयुक्त आहे आणि WiFi Analytics साठी व्यावसायिकदृष्ट्या फायदेशीर आहे, परंतु तो सिक्युरिटी टेलिमेट्रीचा एक महत्त्वाचा स्त्रोत देखील आहे. अयशस्वी-ऑथेंटिकेशनचे वादळ, अनोख्या MAC ॲड्रेसवरून होणारे ऑथेंटिकेशन आणि कार्यालयीन वेळेव्यतिरिक्त इतर वेळी होणारे ॲक्सेस पॅटर्न हे सर्व RADIUS अकाउंटिंग लॉग्समधून शोधता येतात. बहुतेक संस्था हा डेटा SIEM मध्ये समाविष्ट करत नाहीत आणि ज्या करतात त्या क्वचितच कोणत्याही अलर्टिंग थ्रेशोल्ड्स कॉन्फिगर करतात.

eap_comparison_chart.png

BlastRADIUS हल्ल्याचा सविस्तर तपशील

BlastRADIUS चा खुलासा जुलै २०२४ मध्ये बोस्टन युनिव्हर्सिटी आणि UC सॅन डिएगो येथील संशोधकांनी केला होता. या हल्ल्यासाठी NAS आणि RADIUS सर्व्हरच्या दरम्यान मॅन-इन-द-मिडल पोझिशनची आवश्यकता असते - जी सामायिक नेटवर्क सेगमेंटवर ARP पॉयझनिंगद्वारे, तडजोड केलेल्या राउटरद्वारे किंवा नेटवर्क ॲक्सेस असलेल्या एखाद्या दुर्भावनापूर्ण इनसाइडरद्वारे साध्य केली जाऊ शकते.

हा हल्ला खालीलप्रमाणे होतो: आक्रमणकर्ता NAS कडून येणारे Access-Request पॅकेट अडवतो. कारण पॅकेटमध्ये Message-Authenticator ॲट्रिब्युट नसतो (बऱ्याच कॉन्फिगरेशन्समध्ये हा डिफॉल्ट असतो), आक्रमणकर्ता पॅकेटची ॲट्रिब्युट लिस्ट सुधारण्यास मोकळा असतो. MD5 चोझन-प्रिफिक्स कोलिजन वापरून, आक्रमणकर्ता एक सुधारित पॅकेट तयार करतो ज्यासाठी RADIUS सर्व्हर मूळ प्रमाणेच Response Authenticator ची गणना करेल. त्यामुळे सर्व्हर आक्रमणकर्त्याच्या नियंत्रणातील ॲट्रिब्युट्स असलेल्या विनंतीसाठी Access-Accept परत करतो - ज्यामध्ये संपूर्ण नेटवर्क ॲक्सेस अधिकृत करणारे Administrative चे Service-Type समाविष्ट असते.

हा हल्ला PEAP आणि EAP-TTLS डिप्लॉयमेंट्स विरुद्ध प्रभावी आहे जे MSCHAPv2 ला अंतर्गत पद्धत म्हणून वापरतात. याचा EAP-TLS डिप्लॉयमेंट्सवर कोणताही परिणाम होत नाही, जेथे सर्टिफिकेट-बेस्ड म्युच्युअल ऑथेंटिकेशन अशी अखंडता सुरक्षा प्रदान करते जी MD5 नष्ट करू शकत नाही.

Guest WiFi आणि कॉर्पोरेट 802.1X दोन्ही चालवणाऱ्या संस्थांसाठी, गेस्ट नेटवर्कचे RADIUS इन्स्टन्स देखील पॅच केले पाहिजे, जरी ते EAP ऐवजी MAC Authentication Bypass वापरत असले तरीही. शेअर केलेले सिक्रेट हायजीन आणि Message-Authenticator ची आवश्यकता समान रीतीने लागू होते.

अंमलबजावणी मार्गदर्शक

टप्पा १: त्वरित उपाययोजना (आठवडे १-२)

पॅचिंगला प्राधान्य दिले जाते. FreeRADIUS ३.२.५ आणि ३.०.२७ मध्ये BlastRADIUS फिक्स समाविष्ट आहेत आणि ते डिफॉल्टनुसार Message-Authenticator लागू करतात. Cisco ISE ३.१ पॅच ८, ३.२ पॅच ४ आणि ३.३ पॅच १ या असुरक्षिततेचे निराकरण करतात. Microsoft ने जुलै २०२४ मध्ये Windows Server २०२२ NPS साठी KB५०४०४३४ जारी केले. तुमच्या सद्य आवृत्त्यांची पडताळणी करा आणि तुमच्या पुढील शेड्युल्ड चेंज विंडोमध्ये पॅचेस लागू करा.

त्याच वेळी, तुमच्या NAS डिव्हाइस फर्मवेअरचे ऑडिट करा. Message-Authenticator अंमलबजावणी केवळ तेव्हाच प्रभावी ठरते जेव्हा NAS देखील हे ॲट्रिब्यूट पाठवते. तुमच्या ॲक्सेस पॉइंट आणि स्विच व्हेंडरच्या सूचना तपासा - Aruba, Ruckus, Cisco आणि Juniper यांनी BlastRADIUS साठी फर्मवेअर अपडेट्स जारी केले आहेत. तुम्ही Ruckus हार्डवेअर वापरत असल्यास, wireless access point Ruckus guide संबंधित फर्मवेअर व्यवस्थापन संदर्भ प्रदान करते.

पॅचिंगनंतर उद्भवू शकणाऱ्या troubleshooting Windows 11 802.1X authentication issues साठी, सर्वात सामान्य कारण म्हणजे NPS सर्व्हर अशा क्लायंटचे कनेक्शन नाकारतो ज्यांच्यामध्ये Message-Authenticator समाविष्ट नाही - हे एक योग्य सुरक्षा वर्तन आहे ज्यासाठी जुन्या Windows क्लायंटवर सप्लिकंट रिकॉन्फिगरेशन करावे लागू शकते.

टप्पा २: शेअर्ड सिक्रेट स्वच्छता (आठवडे २ - ४)

तुमच्या RADIUS सर्व्हरवर नोंदणीकृत असलेल्या NAS क्लायंटची संपूर्ण सूची एक्सपोर्ट करा. प्रत्येक एंट्रीसाठी, शेअर्ड सिक्रेटची लांबी आणि ते शेवटी कधी बदलले गेले ती तारीख नोंदवा. २० पेक्षा कमी कॅरेक्टर्स असलेले किंवा २४ महिन्यांपेक्षा जास्त काळ न बदललेले कोणतेही सिक्रेट त्वरित बदला.

नवीन सिक्रेट्ससाठी, क्रिप्टोग्राफिकली रँडम जनरेटर वापरा - openssl rand -base64 32 हे ४४-कॅरेक्टरची base64 स्ट्रिंग तयार करते जी RADIUS शेअर्ड सिक्रेट म्हणून वापरण्यासाठी अत्यंत योग्य आहे. सर्व सिक्रेट्स एका सिक्रेट्स मॅनेजमेंट सिस्टीममध्ये स्टोअर करा. एक रोटेशन शेड्युल लागू करा: कमी-धोक्याच्या NAS डिव्हाइसेससाठी वार्षिक, आणि PCI-DSS च्या कक्षेतील NAS डिव्हाइसेससाठी दर सहा महिन्यांनी.

टप्पा ३: EAP पद्धतीचे सुसूत्रीकरण (महिने १ - २)

तुमचे RADIUS सर्व्हर ज्या EAP पद्धतींना अनुमती देतात त्यांचे ऑडिट करा. EAP-MD5 निष्क्रिय करा. तुम्ही PEAP-MSCHAPv2 वापरत असल्यास, सर्व सप्लिकंट्स सर्व्हर सर्टिफिकेट व्हॅलिडेशनची सक्ती करतात याची पडताळणी करा - कोणताही सर्व्हर सर्टिफिकेट स्वीकारणारा चुकीचा कॉन्फिगर केलेला सप्लिकंट हा रॉग RADIUS सर्व्हर हल्ल्यांना बळी पडू शकतो. PCI-DSS च्या कक्षेतील वातावरणासाठी, EAP-TLS ची शिफारस केली जाते. तुमच्याकडे सध्या कोणतेही सर्टिफिकेट इन्फ्रास्ट्रक्चर नसल्यास, PKI चे नियोजन सुरू करा.

securing guest WiFi networks साठी, हे लक्षात घ्या की गेस्ट नेटवर्क सहसा 802.1X ऐवजी Captive Portal ऑथेंटिकेशन वापरतात, त्यामुळे EAP पद्धतीचे सक्षमीकरण प्रामुख्याने कॉर्पोरेट आणि स्टाफ SSIDs साठी लागू होते.

टप्पा ४: RadSec उपयोजन (महिने २ - ३)

असुरक्षित नेटवर्क सीमा ओलांडणारा प्रत्येक RADIUS ट्रॅफिक पाथ ओळखा. सामान्य परिस्थितींमध्ये इंटरनेटद्वारे दुर्गम हॉटेल्सना सेवा देणारा मध्यवर्ती RADIUS सर्व्हर; क्लाउड RADIUS सेवेपर्यंत पोहोचणारी ऑन-प्रिमाइसेस NAS डिव्हाइसेस; आणि RADIUS प्रॉक्सी चेन्स जिथे ट्रॅफिक अनेक नेटवर्क डोमेन्स पार करतो, यांचा समावेश होतो.

प्रत्येक ओळखलेल्या पाथसाठी, RadSec कॉन्फिगर करा. FreeRADIUS वर याचा अर्थ पोर्ट २०८३ वर tls लिसनर सक्षम करणे आणि तुमच्या PKI कडील सर्टिफिकेट्ससह म्युच्युअल TLS कॉन्फिगर करणे असा आहे. Cisco ISE वर, RadSec हे Administration > Network Devices अंतर्गत कॉन्फिगर केले जाते. किमान TLS १.२ असल्याची खात्री करा; TLS १.० आणि १.१ स्पष्टपणे निष्क्रिय करा.

टप्पा ५: प्रशासकीय प्रवेशासाठी मल्टि-फॅक्टर ऑथेंटिकेशन (महिने २ - ३)

RADIUS server चे मॅनेजमेंट इंटरफेस हे अतिशय मौल्यवान टार्गेट असते. RADIUS server हॅक करणारा आक्रमणकर्ता ऑथेंटिकेशन पॉलिसी सुधारू शकतो, शेअर्ड सिक्रेट्स मिळवू शकतो आणि ऑथेंटिकेशन प्रवाह इतरत्र वळवू शकतो. सर्व RADIUS servers आणि त्यांच्या मूळ ऑपरेटिंग सिस्टीम्सच्या ॲडमिनिस्ट्रेटिव्ह लॉगिनवर MFA सक्तीचे करा. मॅनेजमेंट ॲक्सेस केवळ एका समर्पित आउट-ऑफ-बँड मॅनेजमेंट VLAN पुरता मर्यादित ठेवा. रोल-बेस्ड ॲक्सेस कंट्रोल लागू करा: नेटवर्क इंजिनिअर्सकडे सिक्युरिटी ॲडमिनिस्ट्रेटर्ससारखेच विशेषाधिकार नसावेत.

Phase 6: SIEM integration and alerting (months 3-4)

तुमच्या RADIUS servers ला त्यांचे अकाउंटिंग लॉग्स रिअल टाइममध्ये तुमच्या SIEM कडे पाठवण्यासाठी कॉन्फिगर करा. खालील बेसलाइन अलर्ट थ्रेशोल्ड्स निश्चित करा:

अलर्ट थ्रेशोल्ड गांभीर्य (Severity)
एकाच MAC ॲड्रेसवरून एकापेक्षा जास्त वेळा ऑथेंटिकेशन अयशस्वी होणे ६० सेकंदात >५ वेळा हाय
Access-Reject रेटमध्ये अचानक वाढ ७ दिवसांच्या बेसलाइनपेक्षा २००% जास्त मीडियम
कॉर्पोरेट SSID वर नवीन MAC ॲड्रेसवरून ऑथेंटिकेशन पहिलीच वेळ मीडियम
RADIUS server सर्टिफिकेटची मुदत संपत येणे ९० / ३० / ७ दिवस हाय / क्रिटिकल / क्रिटिकल
शेअर्ड सिक्रेट न जुळल्याच्या त्रुटी (Shared secret mismatch errors) कोणतीही घटना हाय

Best Practices

खालील शिफारसी IEEE 802.1X, NIST SP 800-63B, PCI DSS v4.0 आणि व्हेंडर सिक्युरिटी ॲडव्हायझरीमधील सहमती दर्शवतात.

सर्टिफिकेट मॅनेजमेंट. EAP-TLS किंवा RadSec वापरणाऱ्या कोणत्याही डिप्लॉयमेंटच्या ऑथेंटिकेशन पाथमध्ये X.509 सर्टिफिकेट्स असतात. एंटरप्राइझ WiFi डिप्लॉयमेंटमध्ये अचानक आणि संपूर्ण ऑथेंटिकेशन अपयशी होण्याचे सर्टिफिकेटची मुदत संपणे हे सर्वात सामान्य कारण आहे. ऑटोमेटेड सर्टिफिकेट लाइफसायकल मॅनेजमेंट लागू करा. मुदत संपण्याच्या ९०, ३० आणि ७ दिवस आधी मॉनिटरिंग अलर्ट सेट करा. RADIUS server सर्टिफिकेट्ससाठी, किमान २०४८-बिट RSA किंवा २५६-बिट ECDSA की आणि SHA-256 किंवा अधिक मजबूत सिग्नेचर अल्गोरिदम वापरा. SHA-1 वापरू नका.

नेटवर्क सेगमेंटेशन. RADIUS servers पाहुणे आणि सामान्य कॉर्पोरेट नेटवर्क्सपासून वेगळ्या असलेल्या, एका समर्पित मॅनेजमेंट सेगमेंटवर असले पाहिजेत. RADIUS पोर्ट्सचा ॲक्सेस (RadSec साठी UDP १८१२, १८१३ आणि TCP २०८३) फायरवॉल ACL द्वारे नोंदणीकृत NAS डिव्हाइसेसच्या विशिष्ट IP ॲड्रेसेसपुरता मर्यादित असावा. RADIUS पोर्ट्सना थेट इंटरनेट ॲक्सेस देऊ नका.

रिडंडन्सी आणि हाय अ‍ॅव्हेलेबिलिटी. एक सिंगल RADIUS server म्हणजे तुमच्या संपूर्ण नेटवर्क ॲक्सेस कंट्रोल इन्फ्रास्ट्रक्चरसाठी सिंगल पॉईंट ऑफ फेल्युअर आहे. ॲक्टिव्ह-पॅसिव्ह किंवा ॲक्टिव्ह-ॲक्टिव्ह कॉन्फिगरेशनमध्ये किमान दोन RADIUS servers तैनात करा. २४/७ पाहुण्यांच्या कनेक्टिव्हिटीची आवश्यकता असलेल्या Hospitality डिप्लॉयमेंट्ससाठी, RADIUS server डाउन असणे म्हणजे थेट गेस्ट WiFi डाउन असणे होय - जो एक प्रतिष्ठेचा आणि व्यावसायिक धोका आहे. WPA3 and 802.1X. सरकारी आणि उच्च-सुरक्षा उपयोजनांसाठी आवश्यक असणारा, 192-bit सुरक्षा मोडमधील WPA3-Enterprise, डेटा एन्क्रिप्शनसाठी AES-256-GCMP आणि ऑथेंटिकेशनसाठी HMAC-SHA-384 अनिवार्य करतो. बऱ्याच कॉर्पोरेट उपयोजनांसाठी, मानक 128-bit सुरक्षेसह WPA3-Enterprise ही WPA2-Enterprise पेक्षा आधीच एक लक्षणीय सुधारणा आहे, विशेषतः जेव्हा ती EAP-TLS सोबत वापरली जाते. कार्ड पेमेंट स्वीकारणाऱ्या Retail पर्यावरणांनी WPA3-Enterprise चा अवलंब करणे हा एक PCI-DSS जोखीम कमी करण्याचा उपाय म्हणून पहावा.

Vendor patch cadence. तुमच्या RADIUS सर्व्हर वेंडरकडून आणि तुमच्या NAS डिव्हाइस वेंडरकडून सुरक्षा सल्ल्यांचे सबस्क्रिप्शन घ्या. FreeRADIUS, Cisco, Microsoft, Aruba आणि Ruckus हे सर्व CVE नोटिफिकेशन्स प्रकाशित करतात. हे तुमच्या व्हल्नरेबिलिटी मॅनेजमेंट प्रोग्राममध्ये ठराविक SLA सह समाविष्ट करा: गंभीर त्रुटी (CVSS ≥ 9.0) 72 तासांच्या आत पॅच करणे; उच्च-तीव्रतेच्या त्रुटी (CVSS 7.0 - 8.9) 14 दिवसांच्या आत पॅच करणे.

ट्रबलशूटिंग आणि जोखीम निवारण

सामान्य बिघाड प्रकार

पॅचिंगनंतर ऑथेंटिकेशन अयशस्वी होणे. BlastRADIUS पॅचेस लागू केल्यानंतर, काही NAS डिव्हाइसेसचे फर्मवेअर Message-Authenticator ला सपोर्ट करत नसल्यास त्यांचे ऑथेंटिकेशन अयशस्वी होऊ शकते. लक्षण: युझर क्रेडेंशियल्समध्ये कोणताही बदल न करता अचानक Access-Reject प्रतिसादांमध्ये वाढ होणे. निदान: RADIUS डिबग लॉगिंग सक्षम करा आणि "Message-Authenticator required but not present" त्रुटी तपासा. उपाय: NAS फर्मवेअर अपडेट करा, किंवा तात्पुरता उपाय म्हणून फर्मवेअर अपडेट्स शेड्युल केलेले असताना विशिष्ट NAS IP कडून येणाऱ्या विनंत्या Message-Authenticator शिवाय स्वीकारण्यासाठी RADIUS सर्व्हर कॉन्फिगर करा.

EAP-TLS मध्ये सर्टिफिकेट व्हॅलिडेशन अयशस्वी होणे. लक्षण: क्लायंटला "authentication failed" मिळते परंतु RADIUS लॉगमध्ये कोणताही संबंधित Access-Reject नसतो. निदान: RADIUS सर्व्हरची सर्टिफिकेट चेन तपासा - जारी करणारे CA हे क्लायंट सप्लिकंटद्वारे विश्वसनीय आहे का? सर्व्हर सर्टिफिकेट त्याच्या वैधतेच्या कालावधीत आहे का? उपाय: RADIUS सर्व्हरवर संपूर्ण सर्टिफिकेट चेन (लीफ + इंटरमीडिएट + रूट) कॉन्फिगर केली असल्याची खात्री करा. MDM किंवा ग्रुप पॉलिसीद्वारे रूट CA सर्टिफिकेट्स क्लायंट डिव्हाइसेसवर पुश करा.

RadSec TLS हँडशेक अयशस्वी होणे. लक्षण: कॉन्फिगरेशन बदलल्यानंतर NAS डिव्हाइसेस RadSec कनेक्शन्स स्थापित करू शकत नाहीत. निदान: TLS व्हर्जन सुसंगतता तपासा - जुने NAS फर्मवेअर TLS 1.2 ला सपोर्ट करत नसावे. परस्पर सर्टिफिकेट ऑथेंटिकेशन तपासा - दोन्ही बाजूंनी एकमेकांच्या CA वर विश्वास ठेवला पाहिजे. उपाय: NAS फर्मवेअर रिलीज नोट्समध्ये TLS व्हर्जन सपोर्ट तपासा; NAS डिव्हाइस सर्टिफिकेट्स त्याच CA द्वारे जारी केले गेल्याची खात्री करा ज्याच्यावर RADIUS सर्व्हर विश्वास ठेवतो.

शेअर्ड सिक्रेट न जुळणे. लक्षण: एका विशिष्ट NAS कडून येणारे प्रत्येक ऑथेंटिकेशन "invalid authenticator" त्रुटीसह अयशस्वी होते. निदान: NAS कॉन्फिगरेशन आणि RADIUS सर्व्हरच्या क्लायंट एंट्री दरम्यान शेअर्ड सिक्रेट न जुळणे. उपाय: दोन्ही बाजूंनी शेअर्ड सिक्रेट पुन्हा प्रविष्ट करा, शेवटी असणारी रिकामी जागा किंवा कॅरेक्टर-एन्कोडिंगच्या समस्या तपासा. टायपिंगच्या चुका टाळण्यासाठी तुमच्या सिक्रेट्स मॅनेजरमधून कॉपी आणि पेस्ट करा.

जोखीम नोंदणी (Risk register)

जोखीम शक्यता प्रभाव निवारण नियंत्रणे
BlastRADIUS exploitation High (if unpatched) Critical Patching + Message-Authenticator enforcement
Shared secret brute-force Medium High 32-character random secrets, annual rotation
Rogue RADIUS server Medium High EAP-TLS mutual authentication, certificate pinning
RADIUS server certificate expiry High Critical Automated monitoring, 90-day advance alerts
Credential stuffing via 802.1X Medium High Account lockout policy, SIEM alerting
RADIUS server compromise Low Critical MFA on admin access, network segmentation

ROI आणि व्यावसायिक प्रभाव

जोखमीचे मोजमाप करणे

RADIUS सुरक्षेचे आर्थिक महत्त्व तेव्हा स्पष्ट होते जेव्हा आपण त्याची तुलना डेटा चोरीच्या (breach) खर्चाशी करतो. २०२४ मध्ये UK मधील सरासरी डेटा चोरीचा खर्च £३.५८ दशलक्ष होता, ज्यामध्ये नियामक दंड, उपाययोजना, कायदेशीर खर्च आणि प्रतिष्ठेचे नुकसान समाविष्ट आहे. PCI-DSS च्या कक्षेमध्ये येणाऱ्या संस्थांसाठी - म्हणजेच प्रामुख्याने WiFi वरून कार्ड पेमेंट स्वीकारणारे प्रत्येक Retail आणि Hospitality ऑपरेटर्स - नेटवर्क ॲक्सेस कंट्रोलमधील त्रुटी ज्यामुळे कार्डधारकांचा डेटा उघड होतो, त्यास अनिवार्य फॉरेन्सिक तपासणी, संभाव्य कार्ड-स्कीम दंड आणि कार्ड प्रक्रिया अधिकार तात्पुरते निलंबित केले जाण्याच्या कारवाईला सामोरे जावे लागते.

Healthcare संस्थांसाठी, तडजोड केलेल्या RADIUS सर्व्हरद्वारे रुग्णांच्या डेटामध्ये अनधिकृत प्रवेश मिळवणे हे GDPR चे उल्लंघन ठरते, ज्यासाठी कलम ८३(५) अंतर्गत जागतिक वार्षिक उलाढालीच्या ४% पर्यंत दंडाची तरतूद आहे. ICO चा अंमलबजावणी इतिहास दर्शवितो की नेटवर्क सुरक्षेमधील त्रुटींना तांत्रिक दुर्दैव न मानता निष्काळजीपणा मानले जाते.

अंमलबजावणी खर्च बेंचमार्क

खालील खर्चाचे अंदाज ५००-डिव्हाइस कॉर्पोरेट नेटवर्क गृहीत धरून तयार केले आहेत:

Hardening activity Estimated cost Timeline
Patching (FreeRADIUS / NPS / ISE) केवळ अंतर्गत श्रम १-२ आठवडे
Shared secret audit and rotation अंतर्गत श्रम + secrets manager परवाना (~£२,०००/वर्ष) २-४ आठवडे
EAP-TLS PKI deployment £१५,००० - £३०,००० (साधने + व्यावसायिक सेवा) २-३ महिने
RadSec implementation अंतर्गत श्रम + प्रमाणपत्र खर्च (~£१,५००) ४-६ आठवडे
SIEM integration and alerting सध्याच्या SIEM वर अवलंबून; £० - £१०,००० ४-८ आठवडे

एका मध्यम आकाराच्या एंटरप्राइझसाठी एकूण सुरक्षा गुंतवणूक साधारणपणे £२०,००० - £४५,००० असते. £३.५८ दशलक्ष डेटा चोरीच्या बेसलाइन खर्चाच्या तुलनेत, डेटा चोरीच्या अत्यंत कमी संभाव्यतेच्या गृहीतकांनुसार देखील ही जोखीम-समायोजित ROI अत्यंत फायदेशीर ठरते.

सुरक्षेव्यतिरिक्त इतर ऑपरेशनल फायदे

सुरक्षित RADIUS इन्फ्रास्ट्रक्चर ऑपरेशनल फायदे देखील देते. विश्वसनीय, उत्तम प्रकारे मॉनिटर केलेले ऑथेंटिकेशन हेल्प डेस्कवरील WiFi कनेक्टिव्हिटी संबंधित तिकीट्स कमी करते. जेव्हा RADIUS अकाउंटिंग डेटा WiFi Analytics सोबत समाकलित (integrate) केला जातो, तेव्हा तो नेटवर्क वापरण्याच्या पद्धती, थांबण्याचा वेळ (dwell times) आणि डिव्हाइसचे प्रकार याविषयी सत्र-स्तरीय (session-level) दृश्यमानता प्रदान करतो - हा डेटा Hospitality आणि Transport क्षेत्रातील ऑपरेटर्ससाठी थेट व्यावसायिक मूल्य देणारा ठरतो. सार्वजनिक क्षेत्र आणि Healthcare संस्थांसाठी, एक दस्तऐवजीकरण केलेला RADIUS हार्डनिंग कार्यक्रम Cyber Essentials Plus, ISO 27001 आणि NHS DSPT मूल्यांकनांसाठी तांत्रिक नियंत्रणांचे पुरावे प्रदान करतो - ज्यामुळे ऑडिटचे प्रयत्न कमी होतात आणि नियामकांकडे योग्य तत्परता प्रदर्शित होते.

महत्वाच्या व्याख्या

RADIUS (Remote Authentication Dial-In User Service)

RFC २८६५ मध्ये परिभाषित केलेला एक क्लायंट-सर्व्हर प्रोटोकॉल जो नेटवर्क ॲक्सेससाठी केंद्रीकृत ऑथेंटिकेशन, ऑथरायझेशन आणि अकाउंटिंग (AAA) प्रदान करतो. RADIUS सर्व्हर नेटवर्क डिव्हाइसेस (NAS) द्वारे सबमिट केलेल्या क्रेडेंशियल्सना Active Directory किंवा LDAP सारख्या बॅकएंड आयडेंटिटी स्टोअरच्या विरूद्ध पडताळतात.

IT टीम्स 802.1X WiFi, वायर्ड पोर्ट ऑथेंटिकेशन, VPN ॲक्सेस आणि नेटवर्क डिव्हाइस मॅनेजमेंटसाठी ऑथेंटिकेशन बॅकएंड म्हणून RADIUS चा वापर करतात. हा तो प्रोटोकॉल आहे जो नेटवर्कवर कोणाला प्रवेश मिळतो हे ठरवतो.

IEEE 802.1X

पोर्ट-आधारित नेटवर्क ॲक्सेस कंट्रोलसाठीचे एक IEEE मानक जे LAN वर EAP च्या (EAPOL) एन्कॅप्स्युलेशनला परिभाषित करते. हे वायर्ड आणि वायरलेस दोन्ही नेटवर्कसाठी ऑथेंटिकेशन फ्रेमवर्क प्रदान करते, ज्यामध्ये डिव्हाइसेसना नेटवर्क ॲक्सेस मिळण्यापूर्वी ऑथेंटिकेट करणे आवश्यक असते.

802.1X हा असा मानक (standard) आहे ज्यामुळे एंटरप्राइझ WiFi ऑथेंटिकेशन कार्य करते. जेव्हा एखादा कर्मचारी कॉर्पोरेट SSID शी कनेक्ट करतो आणि क्रेडेंशियल्स विचारले जातात, तेव्हा 802.1X हे त्या देवाणघेवाणीचे नियोजन करणारे फ्रेमवर्क असते, ज्यामध्ये RADIUS हा बॅकएंड म्हणून काम करतो.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

एक EAP पद्धत जी क्लायंट आणि RADIUS सर्व्हर दरम्यान परस्पर ऑथेंटिकेशनसाठी X.509 सर्टिफिकेट्स वापरते. दोन्ही बाजूंनी वैध सर्टिफिकेट्स सादर करणे आवश्यक आहे, ज्यामुळे ऑथेंटिकेशन प्रक्रियेतून पासवर्डची गरज पूर्णपणे नष्ट होते.

EAP-TLS हे एंटरप्राइझ WiFi ऑथेंटिकेशनसाठी सर्वोत्तम मानले जाते. हे क्रेडेंशियल फिशिंग आणि ब्रूट-फोर्स हल्ल्यांपासून पूर्णपणे सुरक्षित आहे. क्लायंट सर्टिफिकेट्स जारी करण्यासाठी आणि व्यवस्थापित करण्यासाठी PKI इन्फ्रास्ट्रक्चर असणे ही याची मुख्य ऑपरेशनल गरज आहे.

RadSec (RADIUS over TLS)

RFC 6614 मध्ये परिभाषित केलेला एक प्रोटोकॉल जो TCP पोर्ट 2083 वर TLS सेशनमध्ये RADIUS पॅकेट्स एन्कॅप्स्युलेट करतो. हे RADIUS ट्रॅफिकसाठी ट्रान्सपोर्ट-लेअर एन्क्रिप्शन, परस्पर सर्टिफिकेट ऑथेंटिकेशन आणि रीप्ले प्रोटेक्शन प्रदान करते.

असुरक्षित नेटवर्क सीमा - जसे की WAN लिंक्स, इंटरनेट कनेक्शन्स किंवा शेअर केलेले नेटवर्क इन्फ्रास्ट्रक्चर - ओलांडणाऱ्या कोणत्याही RADIUS ट्रॅफिकसाठी RadSec आवश्यक आहे. मल्टि-साइट डिप्लॉयमेंट्समध्ये UDP वरील मानक RADIUS साठी हा योग्य पर्याय आहे.

BlastRADIUS (CVE-2024-3596)

जुलै 2024 मध्ये उघड झालेला एक मॅन-इन-द-मिडल (man-in-the-middle) हल्ला जो RADIUS Access-Request पॅकेट्सवरील इंटिग्रिटी प्रोटेक्शनच्या अभावाचा गैरफायदा घेतो. MD5 chosen-prefix कॉलिजन तंत्राचा वापर करून, हल्लेखोर बनावट Access-Accept प्रतिसाद तयार करू शकतो आणि अनऑथेंटिकेटेड वापरकर्त्याला नेटवर्क प्रवेश देऊ शकतो.

BlastRADIUS चा प्रभाव FreeRADIUS, Cisco ISE आणि Microsoft NPS सह सर्व प्रमुख RADIUS इम्प्लिमेंटेशन्सवर पडतो. ज्या संस्थांनी जुलै 2024 मध्ये जारी केलेले पॅचेस लागू केलेले नाहीत, त्यांना या हल्ल्याचा धोका कायम आहे.

Message-Authenticator

एक RADIUS ॲट्रिब्यूट (ॲट्रिब्यूट 80) जे संपूर्ण RADIUS पॅकेटवर HMAC-MD5 इंटिग्रिटी प्रोटेक्शन प्रदान करते. Access-Request मध्ये हे उपस्थित असताना, ते BlastRADIUS मध्ये वापरल्या जाणाऱ्या पॅकेट मॉडिफिकेशन हल्ल्याला प्रतिबंधित करते.

सर्व Access-Request पॅकेट्सवर Message-Authenticator सक्तीचे करणे हा BlastRADIUS साठी प्राथमिक उपाय आहे. हे RADIUS सर्व्हर (ॲट्रिब्यूट आवश्यक करण्यासाठी) आणि NAS डिव्हाइस (रिक्वेस्ट्समध्ये ॲट्रिब्यूट समाविष्ट करण्यासाठी) दोन्हीवर कॉन्फिगर केले पाहिजे.

NAS (Network Access Server)

RADIUS टर्मिनॉलॉजीमध्ये, NAS हे नेटवर्क डिव्हाइस असते - साधारणपणे WiFi ॲक्सेस पॉइंट, स्विच किंवा VPN कॉन्सन्ट्रेटर - जे RADIUS क्लायंट म्हणून काम करते. हे एंड डिव्हाइसेसकडून येणाऱ्या कनेक्शन रिक्वेस्ट्स थांबवते आणि ऑथेंटिकेशन रिक्वेस्ट्स RADIUS सर्व्हरकडे फॉरवर्ड करते.

NAS डिव्हाइसेस हे डिप्लॉयमेंटमधील RADIUS क्लायंट असतात. शेअर केलेले सिक्रेट्स प्रति-NAS कॉन्फिगर केले जातात. BlastRADIUS च्या उपायासाठी NAS डिव्हाइसेसवर फर्मवेअर अपडेट्स तसेच RADIUS सर्व्हरवर पॅचेस आवश्यक आहेत.

PEAP (Protected Extensible Authentication Protocol)

एक EAP पद्धत जी अंतर्गत ऑथेंटिकेशन पद्धत (साधारणपणे MSCHAPv2) ट्रान्समिट करण्यापूर्वी सर्व्हर-साइड सर्टिफिकेट वापरून TLS टनेल स्थापित करते. हे परस्पर ऑथेंटिकेशन प्रदान करते आणि क्रेडेंशियल्सचे छुप्या पद्धतीने ऐकण्यापासून (eavesdropping) संरक्षण करते.

PEAP-MSCHAPv2 ही सर्वात मोठ्या प्रमाणावर वापरली जाणारी एंटरप्राइझ WiFi ऑथेंटिकेशन पद्धत आहे. हे PCI DSS चे पालन करते आणि ऑपरेशनलदृष्ट्या EAP-TLS पेक्षा सोपे आहे कारण यासाठी क्लायंट सर्टिफिकेट्सची आवश्यकता नसते. तथापि, क्लायंट-साइड सर्टिफिकेट व्हॅलिडेशन सक्तीचे केले नसल्यास हे बनावट RADIUS सर्व्हर हल्ल्यांसाठी असुरक्षित ठरू शकते.

Shared Secret

RADIUS सर्व्हर आणि प्रत्येक NAS डिव्हाइस दोन्हीवर कॉन्फिगर केलेली प्री-शेअर की. याचा वापर Response Authenticator फील्ड तयार करण्यासाठी आणि User-Password ॲट्रिब्यूट सुरक्षित ठेवण्यासाठी केला जातो. हा एंड वापरकर्त्यांसाठी पासवर्ड नसून - तो एक सर्व्हर-टू-सर्व्हर ऑथेंटिकेशन क्रेडेंशियल आहे.

कमकुवत किंवा स्टॅटिक शेअर केलेले सिक्रेट्स ही सर्वात सामान्य RADIUS असुरक्षिततेपैकी एक आहे. RADIUS ट्रॅफिक कॅप्चर करणारा हल्लेखोर कमकुवत शेअर केलेल्या सिक्रेटवर ऑफलाइन ब्रूट-फोर्स हल्ला करू शकतो. यासाठी यादृच्छिकपणे जनरेट केलेली किमान 32 वर्णांची लांबी शिफारसित आहे.

PCI DSS (Payment Card Industry Data Security Standard)

कार्डधारक डेटावर प्रक्रिया, संचय किंवा पाठवणाऱ्या संस्थांसाठी प्रमुख कार्ड योजनांद्वारे (Visa, Mastercard, Amex) अनिवार्य केलेल्या सुरक्षा मानकांचा संच. मार्च २०२४ पासून प्रभावी असलेली आवृत्ती ४.०, नेटवर्क प्रवेश नियंत्रण आणि मजबूत प्रमाणीकरणासाठी विशिष्ट आवश्यकता समाविष्ट करते.

WiFi शी कनेक्टेड POS टर्मिनल्स असलेल्या रिटेल आणि हॉस्पिटॅलिटी संस्था PCI DSS च्या कक्षेत येतात. RADIUS सर्व्हरमधील असुरक्षितता ज्या कार्डहोल्डर डेटा एन्व्हायरनमेंटमध्ये अनधिकृत नेटवर्क प्रवेशाची परवानगी देऊ शकतात, त्या थेट अनुपालन (compliance) जोखीम ठरतात.

सोडवलेली उदाहरणे

12 प्रॉपर्टीज असलेला एक 350 - खोल्यांचा हॉटेल समूह त्यांच्या मुख्य कार्यालयाच्या डेटा सेंटरमध्ये होस्ट केलेला सेंट्रलाइज्ड RADIUS सर्व्हर वापरतो. प्रत्येक प्रॉपर्टी एका शेअर केलेल्या MPLS WAN द्वारे कनेक्ट होते. एका सुरक्षा ऑडिटमध्ये असे समोर आले आहे की WAN वर RADIUS ट्रॅफिक अनइन्क्रिप्टेड आहे, शेअर केलेले सिक्रेट्स पाच वर्षांपूर्वीच्या सुरुवातीच्या डिप्लॉयमेंट दरम्यान सेट केलेले 8-कॅरेक्टरचे स्ट्रिंग्स आहेत आणि RADIUS सर्व्हर FreeRADIUS 3.0.21 चालवत आहे. हा समूह त्यांच्या रेस्टॉरंट आणि स्पा सुविधांमध्ये WiFi-कनेक्टेड POS टर्मिनल्सद्वारे कार्ड पेमेंट प्रक्रियेत आणतो. यावरील उपाययोजनांचे प्राधान्य आणि अंमलबजावणीचा क्रम काय असावा?

उपाययोजनांचा क्रम जोखमीची तीव्रता आणि अंमलबजावणीच्या गतीनुसार असावा. पायरी 1 (तात्काळ, 72 तासांच्या आत): FreeRADIUS ला 3.2.5 किंवा 3.0.27 वर पॅच करा. हे BlastRADIUS चे निराकरण करते आणि डीफॉल्टनुसार Message-Authenticator लागू करते. त्याच वेळी, सर्व 12 प्रॉपर्टीजमधील ऍक्सेस पॉईंटचे फर्मवेअर व्हर्जन्स तपासा आणि Message-Authenticator ला सपोर्ट न करणाऱ्या कोणत्याही NAS डिव्हाइसेससाठी फर्मवेअर अपडेट्स शेड्यूल करा. पायरी 2 (आठवडा 1-2): सर्व शेअर केलेले सिक्रेट्स बदला. 12 प्रॉपर्टी NAS नोंदणींपैकी प्रत्येकासाठी openssl rand -base64 32 वापरून 32-कॅरेक्टरचे रँडम सिक्रेट्स जनरेट करा. HashiCorp Vault किंवा समतुल्य ठिकाणी ते स्टोअर करा. रोटेशनची तारीख डॉक्युमेंट करा. पायरी 3 (महिना 1-2): WAN पाथवर RadSec लागू करा. TCP 2083 वर RadSec कनेक्शन्स स्वीकारण्यासाठी FreeRADIUS सर्व्हर कॉन्फिगर करा. प्रत्येक प्रॉपर्टीच्या NAS डिव्हाइसेसना अंतर्गत CA कडून TLS सर्टिफिकेट्स जारी करा. प्रॉपर्टी NAS IP रेंजेसकडून RADIUS सर्व्हरवर TCP 2083 ला परवानगी देण्यासाठी फायरवॉल नियम अपडेट करा. RadSec कार्यरत असल्याची खात्री झाल्यावर WAN-फेसिंग इंटरफेसेसवरून UDP 1812/1813 निष्क्रिय करा. पायरी 4 (महिना 2-3): PCI-DSS-स्कोप असलेल्या POS WiFi SSID साठी, PEAP-MSCHAPv2 वरून EAP-TLS वर मायग्रेट करा. एक अंतर्गत PKI (Microsoft ADCS किंवा HashiCorp Vault PKI इंजिन) तैनात करा. MDM द्वारे POS टर्मिनल्सना क्लायंट सर्टिफिकेट्स जारी करा. POS SSID साठी EAP-TLS आवश्यक करण्यासाठी RADIUS पॉलिसी अपडेट करा. पायरी 5 (महिना 3): RADIUS अकाउंटिंग लॉग्स SIEM मध्ये समाकलित करा. अयशस्वी ऑथेंटिकेशनचे स्पाइक्स आणि सर्टिफिकेट एक्स्पायरीसाठी अलर्ट कॉन्फिगर करा.

परीक्षकाचे भाष्य: हा सिनेरियो बहुतांश मल्टि-साइट हॉस्पिटॅलिटी डिप्लॉयमेंट्सचे प्रतिनिधित्व करतो. मुख्य समज अशी आहे की MPLS WAN, जरी सार्वजनिक इंटरनेट नसले तरी, एक शेअर केलेले नेटवर्क आहे ज्याला पूर्णपणे विश्वासू मानले जाऊ शकत नाही - विशेषतः अशा हॉटेल समूहात जेथे WAN चे व्यवस्थापन थर्ड-पार्टी प्रदाता करत असू शकतो. त्यामुळे RadSec ऐच्छिक नाही. PCI-DSS चा दृष्टिकोन गंभीर आहे: WiFi वरील POS टर्मिनल्स PCI-DSS आवश्यकता 8.3 (strong authentication) आणि आवश्यकता 4.2.1 (strong cryptography for data in transit) च्या कक्षेत येतात. EAP-TLS या दोन्हीची पूर्तता करते. हा क्रम पॅचिंगला प्राधान्य देतो कारण BlastRADIUS ही एक सक्रिय आणि वापरता येण्याजोगी व्हल्नरेबिलिटी आहे; इतर बळकटीकरणाच्या पायऱ्या महत्त्वाच्या आहेत पण त्यांच्यात तत्काळ धोका नाही. एक पर्यायी दृष्टिकोन - क्लाउड-होस्ट केलेल्या RADIUS-as-a-Service वर मायग्रेट करणे - विचारात घेतला गेला होता पण समूहाची सध्याची MPLS गुंतवणूक आणि एकाच वेळी 12 प्रॉपर्टीज मायग्रेट करण्याच्या गुंतागुंतीमुळे तो नाकारण्यात आला.

४५ स्टोअर्स असलेल्या एका प्रादेशिक रिटेल चेनद्वारे कर्मचाऱ्यांच्या WiFi साठी WPA2-Personal (प्री-शेअर्ड की) आणि ग्राहकांच्या WiFi साठी ओपन नेटवर्क वापरले जाते. IT संचालकांना कर्मचाऱ्यांचे WiFi हे Active Directory सोबत इंटिग्रेट केलेल्या Microsoft NPS ला RADIUS सर्व्हर म्हणून वापरून 802.1X ऑथेंटिकेशनवर स्थलांतरित करायचे आहे. या स्टोअर्समध्ये Aruba आणि Cisco ॲक्सेस पॉइंट्सचे मिश्रण आहे. ही चेन PCI DSS च्या कक्षेमध्ये येते. त्यांनी कोणती आर्किटेक्चर तैनात करावी आणि त्यांचे महत्त्वाचे कॉन्फिगरेशन निर्णय काय असावेत?

शिफारस केलेले आर्किटेक्चर म्हणजे सुरुवातीची EAP पद्धत म्हणून PEAP-MSCHAPv2 सह 802.1X हे आहे, ज्यामध्ये EAP-TLS कडे जाण्याचा एक डॉक्युमेंट केलेला रोडमॅप असेल. NPS सर्व्हर मध्यवर्ती डेटा सेंटरमध्ये रेडंडंट जोडीमध्ये (प्राथमिक + दुय्यम) तैनात केला जावा, ज्यामध्ये ॲक्सेस पॉइंट्सवर स्वयंचलितपणे फेलओव्हर होण्यासाठी RADIUS प्रॉक्सी कॉन्फिगरेशन असेल. कॉन्फिगरेशन निर्णय: (१) NPS नेटवर्क पॉलिसी: PEAP-MSCHAPv2 सह कर्मचारी SSID ला मॅच करणारी एक पॉलिसी तयार करा, ज्यासाठी AD सुरक्षा गटामध्ये (उदा. 'WiFi-Staff-Access') ग्रुप मेंबरशिप आवश्यक असेल. पुन्हा ऑथेंटिकेशन करण्यास भाग पाडण्यासाठी सेशन टाइमआउट ८ तासांवर सेट करा. (२) सर्टिफिकेट: अंतर्गत Microsoft ADCS CA कडून NPS सर्व्हर सर्टिफिकेट तैनात करा. ग्रुप पॉलिसी (Windows) आणि MDM (iOS/Android) द्वारे सर्व कर्मचाऱ्यांच्या डिव्हाइसेसवर रूट CA सर्टिफिकेट पुश करा. (३) सप्लिकंट कॉन्फिगरेशन: ग्रुप पॉलिसी (Computer Configuration > Windows Settings > Security Settings > Wireless Network Policies) द्वारे Windows डिव्हाइसेस कॉन्फिगर करा. iOS आणि Android डिव्हाइसेससाठी, MDM प्रोफाइल वापरा. सर्व्हर सर्टिफिकेट व्हॅलिडेशन सक्तीचे करा - युजर्सना कोणतेही अनधिकृत सर्टिफिकेट्स स्वीकारण्याची परवानगी देऊ नका. (४) ॲक्सेस पॉइंट कॉन्फिगरेशन: Aruba वर, Authentication > Servers अंतर्गत RADIUS सर्व्हर कॉन्फिगर करा. शेअर्ड सिक्रेट ३२-कॅरेक्टरच्या रँडम स्ट्रिंगवर सेट करा. Aruba फर्मवेअर सपोर्ट करत असल्यास (AOS 8.9+) RadSec सक्षम करा. Cisco वर, Security > AAA > RADIUS अंतर्गत कॉन्फिगर करा. (५) NPS लॉगिंग: SQL सर्व्हर डेटाबेसमध्ये NPS अकाउंटिंग लॉगिंग सक्षम करा. PCI DSS अनुपालनासाठी किमान ९० दिवसांचा लॉग रिटेंशन कालावधी कॉन्फिगर करा. (६) स्थलांतरानंतरचे काम: कर्मचारी SSID वरील WPA2-Personal अक्षम करा. NPS उपलब्ध नसताना केवळ आणीबाणीच्या वापरासाठी सिक्रेट्स मॅनेजरमध्ये सेव्ह केलेल्या गुंतागुंतीच्या PSK सह ते केवळ ब्रेक-ग्लास SSID म्हणून ठेवा.

परीक्षकाचे भाष्य: WPA2-Personal वरून 802.1X वर स्थलांतर करणे हा रिटेल IT मधील सर्वात सामान्य सिक्युरिटी अपग्रेड प्रोजेक्ट्सपैकी एक आहे. या परिस्थितीतील मुख्य धोका म्हणजे मिश्रित ॲक्सेस पॉइंटची उपलब्धता - Aruba आणि Cisco मध्ये भिन्न RADIUS क्लायंट कॉन्फिगरेशन इंटरफेस आहेत आणि शेअर्ड सिक्रेट रोटेशन प्रक्रिया प्रत्येकासाठी स्वतंत्रपणे व्यवस्थापित केली जाणे आवश्यक आहे. EAP-TLS ऐवजी PEAP-MSCHAPv2 ने सुरुवात करण्याचा निर्णय व्यावहारिक आहे: यामुळे PKI तैनातीची गुंतागुंत टाळता येते आणि PSK पेक्षा लक्षणीय सुरक्षा सुधारणा मिळते. EAP-TLS रोडमॅप हा MDM रोलआउट टाइमलाइनशी जोडलेला असावा - क्लायंट सर्टिफिकेट तैनाती केवळ तेव्हाच ऑपरेशनली व्यवहार्य होते जेव्हा सर्व डिव्हाइसेस MDM मध्ये नोंदणीकृत असतात. PCI DSS चा दृष्टिकोन NPS लॉगिंगच्या आवश्यकतेला बळकट करतो: PCI DSS आवश्यकता १०.२.१ कार्डधारक डेटावरील सर्व वैयक्तिक युजर ॲक्सेस लॉगिंग करणे अनिवार्य करते, ज्यामध्ये नेटवर्क ॲक्सेस इव्हेंट्सचा समावेश होतो.

सराव प्रश्न

Q1. तुमची संस्था सिंगल-साइट कॅम्पसमध्ये ८०० कर्मचारी उपकरणांसाठी 802.1X प्रमाणीकरणाचे समर्थन करणारे FreeRADIUS 3.0.21 सर्व्हर चालवते. RADIUS सर्व्हर सर्व ऍक्सेस पॉईंट्ससारख्याच मॅनेजमेंट VLAN वर आहे. एका पेनिट्रेशन चाचणीमध्ये असे आढळले आहे की ऍक्सेस पॉईंट्स Message-Authenticator ॲट्रिब्यूटशिवाय Access-Request पॅकेट्स पाठवत आहेत. सुरक्षा टीमला ताबडतोब Message-Authenticator लागू करायचा आहे, परंतु नेटवर्क ऑपरेशन्स टीमला ८०० युजर्ससाठी प्रमाणीकरण खंडित होण्याची चिंता आहे. सेवा खंडित होण्याचा धोका कमी करण्यासाठी तुम्ही या समस्येचे निवारण कसे कराल?

टीप: RADIUS सर्व्हरला Message-Authenticator ची आवश्यकता असणे आणि NAS उपकरणांनी ते पाठवणे यामधील फरक लक्षात घ्या. हे वेगवेगळे जोखीम प्रोफाईल असलेले दोन स्वतंत्र कॉन्फिगरेशन बदल आहेत.

नमुना उत्तर पहा

योग्य क्रम पुढीलप्रमाणे आहे: (१) प्रथम, FreeRADIUS ला ३.२.५ वर पॅच करा. ही आवृत्ती डीफॉल्टनुसार Message-Authenticator लागू करते परंतु त्यामध्ये एक सुसंगतता मोड समाविष्ट आहे जो हे ॲट्रिब्यूट नसलेली पॅकेट्स नाकारण्याऐवजी चेतावणी लॉग करतो. यामुळे प्रमाणीकरण ताबडतोब खंडित न करता तुम्हाला पॅच मिळतो. (२) ऍक्सेस पॉईंट फर्मवेअर आवृत्त्यांचे ऑडिट करा. कोणते मॉडेल्स आणि फर्मवेअर आवृत्त्या Access-Request पॅकेट्समध्ये Message-Authenticator ला समर्थन देतात ते ओळखा. (३) ५० उपकरणांच्या पायलट ग्रुपपासून सुरुवात करून बॅचमध्ये ऍक्सेस पॉईंट फर्मवेअर अपडेट करा. प्रत्येक बॅचनंतर प्रमाणीकरण कार्यरत राहते याची खात्री करा. (४) एकदा सर्व ऍक्सेस पॉईंट्स Message-Authenticator पाठवत असल्याची खात्री झाल्यावर, FreeRADIUS सर्व्हरवर कठोर अंमलबजावणी सक्षम करा (clients.conf मध्ये require_message_authenticator = yes). (५) उर्वरित कोणत्याही 'Message-Authenticator missing' चेतावणीसाठी RADIUS लॉगचे निरीक्षण करा, ज्यामुळे फर्मवेअर अपडेट चुकलेली NAS उपकरणे ओळखता येतील. मुख्य तत्त्व हे आहे की तुम्ही काहीही खंडित न करता प्रथम सर्व्हर पॅच करू शकता, कारण सुसंगतता मोड संक्रमण कालावधीला अनुमती देतो. सर्व NAS उपकरणे अपडेट केल्यानंतर, सर्व्हरवर कठोर नकार लागू करणे ही शेवटची पायरी असावी.

Q2. एक कॉन्फरन्स सेंटर ऑपरेटर कॉर्पोरेट कर्मचारी SSID (PEAP-MSCHAPv2 सह 802.1X) आणि इव्हेंट गेस्ट WiFi (MAC Authentication Bypass सह Captive Portal) या दोन्हीसाठी एकच RADIUS सर्व्हर चालवतो. आयटी व्यवस्थापक विचारतात की गेस्ट कॉर्पोरेट क्रेडेंशियलसह प्रमाणित करत नसले तरी, गेस्ट WiFi RADIUS इन्स्टन्स कॉर्पोरेट RADIUS इन्स्टन्सइतक्याच मानकांनुसार सुरक्षित करणे आवश्यक आहे का? तुमची शिफारस काय आहे?

टीप: MAC Authentication Bypass विरुद्ध EAP-आधारित प्रमाणीकरणाला लागू होणारे अटॅक वेक्टर्स आणि गेस्ट व कॉर्पोरेट RADIUS इन्स्टन्स दरम्यानच्या लॅटरल मुव्हमेंटच्या जोखमीचा विचार करा.

नमुना उत्तर पहा

गेस्ट WiFi RADIUS इन्स्टन्सला मजबूत करणे आवश्यक आहे, परंतु विशिष्ट नियंत्रणे कॉर्पोरेट इन्स्टन्सपेक्षा भिन्न आहेत. BlastRADIUS पॅच समान प्रमाणात लागू होतो — क्लायंटद्वारे वापरल्या जाणार्‍या प्रमाणीकरण (authentication) पद्धतीचा विचार न करता ही असुरक्षितता RADIUS सर्व्हरवर परिणाम करते. सामायिक गुप्त हायजीन (Shared secret hygiene) समान रीतीने लागू होते — गेस्ट Captive Portal कंट्रोलर आणि RADIUS सर्व्हरमधील कमकुवत सामायिक गुप्ततेचा गैरफायदा घेतला जाऊ शकतो, मग EAP वापरात असो किंवा नसो. मुख्य अतिरिक्त जोखीम सामायिक RADIUS सर्व्हर आहे: जर गेस्ट आणि कॉर्पोरेट SSID प्रमाणीकरण विनंत्या एकाच RADIUS सर्व्हर प्रक्रियेद्वारे हाताळल्या गेल्या, तर गेस्ट RADIUS पाथमधील असुरक्षिततेचा वापर कॉर्पोरेट प्रमाणीकरण धोरणावर जाण्यासाठी केला जाऊ शकतो. शिफारस केलेले आर्किटेक्चर म्हणजे स्वतंत्र सामायिक गुप्तता आणि स्वतंत्र पॉलिसी संचांसह गेस्ट आणि कॉर्पोरेट प्रमाणीकरणासाठी स्वतंत्र RADIUS इन्स्टन्सेस (किंवा FreeRADIUS मध्ये किमान स्वतंत्र व्हर्च्युअल सर्व्हर) चालवणे. हे असे विलगीकरण प्रदान करते जेणेकरून गेस्ट RADIUS पाथशी तडजोड झाल्यास कॉर्पोरेट क्रेडेंशियल उघड होणार नाहीत. विशेषतः गेस्ट इन्स्टन्ससाठी: BlastRADIUS साठी पॅच करा, सामायिक गुप्तता रोटेट करा आणि गेस्ट RADIUS इन्स्टन्सला कॉर्पोरेट Active Directory मध्ये प्रवेश नसल्याची खात्री करा. EAP-TLS आणि RadSec आवश्यकता Captive Portal डिप्लॉयमेंटसाठी कमी सुसंगत आहेत, परंतु Captive Portal कंट्रोलर RADIUS सर्व्हरपेक्षा वेगळ्या नेटवर्क सेगमेंटमध्ये असल्यास RadSec चा विचार केला पाहिजे.

Q3. एक आरोग्य सेवा संस्था आपले क्लिनिकल WiFi, WPA2-Personal वरून 802.1X प्रमाणीकरणावर स्थलांतरित करण्याची योजना आखत आहे. संस्थेकडे Windows लॅपटॉप, iOS टॅब्लेट आणि Android हँडहेल्डसह 1,200 क्लिनिकल उपकरणे आहेत. CISO ला लक्ष्य स्थिती म्हणून EAP-TLS हवे आहे. IT संचालक PKI डिप्लॉयमेंटच्या गुंतागुंतीबद्दल काळजीत आहेत आणि कायमस्वरूपी उपाय म्हणून PEAP-MSCHAPv2 चा प्रस्ताव देतात. तुम्ही CISO आणि IT संचालकांना काय सल्ला द्याल आणि शिफारस केलेला अंमलबजावणीचा मार्ग कोणता आहे?

टीप: आरोग्य सेवा पर्यावरणासाठी विशिष्ट थ्रेट मॉडेलचा विचार करा — क्रेडेंशियल तडजोडीचे काय परिणाम होतात आणि EAP-TLS अशा जोखमींचे कसे निराकरण करते जे PEAP-MSCHAPv2 करत नाही?

नमुना उत्तर पहा

CISO चा अंदाज बरोबर आहे, परंतु IT संचालकांची चिंता देखील रास्त आहे. शिफारस केलेला सल्ला असा आहे: EAP-TLS साठी वचनबद्ध 12 महिन्यांच्या रोडमॅपसह, सध्या अंतरिम स्थिती म्हणून PEAP-MSCHAPv2 लागू करा. आरोग्य सेवा क्षेत्रात कायमस्वरूपी उपाय म्हणून PEAP-MSCHAPv2 न स्वीकारण्याचे कारण म्हणजे: (1) क्लायंट-साइड प्रमाणपत्र प्रमाणीकरण लागू न केल्यास PEAP-MSCHAPv2 वर रोग (rogue) RADIUS सर्व्हरद्वारे हल्ला केला जाऊ शकतो. आरोग्य सेवा वातावरणात जेथे क्लिनिकल कर्मचारी वैयक्तिक उपकरणे कनेक्ट करू शकतात, तेथे 1,200 उपकरणांवर सुसंगतपणे सप्लिकंट कॉन्फिगरेशन लागू करणे ऑपरेशनल दृष्ट्या आव्हानात्मक आहे. (2) MSCHAPv2 क्रेडेंशियल, जर रोग RADIUS हल्ल्याद्वारे हस्तगत केले गेले, तर hashcat सारख्या साधनांचा वापर करून ऑफलाइन क्रॅक केले जाऊ शकतात. आरोग्य सेवा संदर्भात, ते क्रेडेंशियल बहुधा क्लिनिकल सिस्टममध्ये प्रवेश देखील प्रदान करतात. (3) NHS DSPT आणि CQC मूल्यमापन वाढत्या प्रमाणात क्लिनिकल नेटवर्क प्रवेशासाठी मजबूत प्रमाणीकरण नियंत्रणांची अपेक्षा करतात. EAP-TLS अधिक मजबूत ऑडिट पुरावा प्रदान करते. अंमलबजावणीचा मार्ग: महिना 1-2: सर्व 1,200 उपकरणांवर MDM प्रोफाइलद्वारे सर्व्हर प्रमाणपत्र प्रमाणीकरण लागू करून PEAP-MSCHAPv2 डिप्लॉय करा. महिना 3-6: PKI इन्फ्रास्ट्रक्चर म्हणून Microsoft ADCS डिप्लॉय करा. Group Policy ऑटो-एन्रोलमेंटद्वारे Windows उपकरणे नोंदणीकृत करा. महिना 6-9: MDM प्रमाणपत्र प्रोफाइलद्वारे iOS आणि Android उपकरणे नोंदणीकृत करा. महिना 9-12: क्लिनिकल SSID पॉलिसी PEAP वरून EAP-TLS वर स्थलांतरित करा. प्रमाणपत्र नोंदणी अपयशी ठरणाऱ्या कोणत्याही उपकरणांसाठी वर्धित मॉनिटरिंगसह फॉलबॅक म्हणून PEAP राखून ठेवा. क्लिनिकल नेटवर्क सुरक्षा आर्किटेक्चरबद्दल अधिक माहितीसाठी, WiFi in Hospitals guide संबंधित डिप्लॉयमेंट संदर्भ प्रदान करते.

या मालिकेमध्ये पुढे वाचा

Cisco Catalyst WLC आणि अतिथी WiFi: Purple सह कॅप्टिव्ह पोर्टल सेटअप

Cisco Catalyst 9800 (IOS-XE) वायरलेस LAN कंट्रोलर Purple अतिथी WiFi सह कसे कार्य करतो: बाह्य वेब प्रमाणीकरण, RADIUS आणि वॉल्ड गार्डन, अचूक कॉन्फिगरेशनसाठी Purple च्या टप्प्याटप्प्याने सेटअप मार्गदर्शिकेच्या लिंकसह.

मार्गदर्शिका वाचा →

OpenWrt आणि अतिथी WiFi: Purple सह कॅप्टिव्ह पोर्टल सेटअप

Purple चे क्लाउड अतिथी WiFi मानक बाह्य कॅप्टिव्ह पोर्टल आणि RADIUS द्वारे OpenWrt डिव्हाइसेससह कसे कार्य करते आणि सपोर्ट कुठे तपासायचा व पायऱ्या कुठे शोधायच्या.

मार्गदर्शिका वाचा →

Juniper Mist आणि अतिथी WiFi: Purple सह कॅप्टिव्ह पोर्टल सेटअप

बाह्य पोर्टल आणि Mist API secret चा वापर करून Juniper Mist ॲक्सेस पॉइंट्स Purple अतिथी WiFi सह कसे कार्य करतात, ज्यामध्ये Mist कॅप्टिव्ह पोर्टलसाठी RADIUS वापरत नसल्यामुळे काय फरक पडतो याचा समावेश आहे.

मार्गदर्शिका वाचा →