RADIUS Vulnerabilities कमी करणे: एक सुरक्षितता बळकटीकरण मार्गदर्शक
हे मार्गदर्शक हॉस्पिटॅलिटी, रिटेल, इव्हेंट्स आणि सार्वजनिक - क्षेत्रातील वातावरणातील कॉर्पोरेट WiFi इन्फ्रास्ट्रक्चरसाठी जबाबदार असलेल्या IT व्यवस्थापक, नेटवर्क आर्किटेक्ट्स आणि CTOs साठी एक सर्वसमावेशक, कृतीयोग्य संदर्भ प्रदान करते. यामध्ये RADIUS सर्व्हर डिप्लॉयमेंटच्या संपूर्ण अटॅक सरफेसचा समावेश आहे - ज्यामध्ये MD5 कोलिजन व्हल्नरेबिलिटी आणि कमकुवत शेअर केलेले सिक्रेट्स ते अनइन्क्रिप्टेड UDP ट्रान्सपोर्ट आणि चुकीचे कॉन्फिगर केलेले EAP मेथड्स समाविष्ट आहेत - आणि IEEE 802.1X, PCI-DSS आणि GDPR आवश्यकतांनुसार प्राधान्यक्रमाने बळकटीकरण रोडमॅप प्रदान केला आहे. या शिफारसींची अंमलबजावणी करणाऱ्या संस्था क्रेडेन्शियल - आधारित नेटवर्क हल्ल्यांचा धोका लक्षणीयरीत्या कमी करतील, अनुपालन दायित्वे पूर्ण करतील आणि त्यांच्या गेस्ट आणि कॉर्पोरेट WiFi इन्फ्रास्ट्रक्चरसाठी एक मजबूत सुरक्षितता स्थिती निर्माण करतील.
हे मार्गदर्शक ऐका
पॉडकास्ट ट्रान्सक्रिप्ट पहा
- मुख्य सारांश (Executive Summary)
- तांत्रिक सखोल विश्लेषण (Technical Deep Dive)
- RADIUS कसे कार्य करते आणि ते कुठे कमकुवत आहे
- BlastRADIUS हल्ल्याचा सविस्तर तपशील
- अंमलबजावणी मार्गदर्शक
- टप्पा १: त्वरित उपाययोजना (आठवडे १-२)
- टप्पा २: शेअर्ड सिक्रेट स्वच्छता (आठवडे २ - ४)
- टप्पा ३: EAP पद्धतीचे सुसूत्रीकरण (महिने १ - २)
- टप्पा ४: RadSec उपयोजन (महिने २ - ३)
- टप्पा ५: प्रशासकीय प्रवेशासाठी मल्टि-फॅक्टर ऑथेंटिकेशन (महिने २ - ३)
- Phase 6: SIEM integration and alerting (months 3-4)
- Best Practices
- ट्रबलशूटिंग आणि जोखीम निवारण
- सामान्य बिघाड प्रकार
- जोखीम नोंदणी (Risk register)
- ROI आणि व्यावसायिक प्रभाव
- जोखमीचे मोजमाप करणे
- अंमलबजावणी खर्च बेंचमार्क
- सुरक्षेव्यतिरिक्त इतर ऑपरेशनल फायदे

मुख्य सारांश (Executive Summary)
RADIUS (Remote Authentication Dial-In User Service) हे आजही एंटरप्राइझ WiFi उपयोजनांमध्ये नेटवर्क ऍक्सेस नियंत्रणासाठी प्राथमिक प्रोटोकॉल आहे, जे हॉटेल्स, किरकोळ विक्रीची ठिकाणे, स्टेडियम, कॉन्फरन्स सेंटर्स आणि सार्वजनिक क्षेत्रातील इमारतींमध्ये IEEE 802.1X ऑथेंटिकेशनला आधार देते. तरीही RADIUS चे आर्किटेक्चर १९९० च्या दशकातील आहे, आणि त्याचे काही मूलभूत डिझाइन निर्णय - MD5 हॅशिंगवर अवलंबून असणे, मूळ एनक्रिप्शन नसलेले UDP ट्रान्सपोर्ट आणि स्टॅटिक शेअर्ड सिक्रेट्स - सध्याच्या धोक्यांच्या वातावरणात मोठे जोखीम बनले आहेत.
जुलै २०२४ मध्ये, BlastRADIUS असुरक्षिततेने (CVE-2024-3596) दाखवून दिले की मॅन-इन-द-मिडल आक्रमणकर्ता Access-Request पॅकेट्समधील MD5 अखंडतेच्या कमकुवतपणाचा फायदा घेऊन RADIUS Access-Accept प्रतिसादांची बनावट निर्मिती करू शकतो. या असुरक्षिततेचा परिणाम FreeRADIUS, Cisco ISE आणि Microsoft NPS सह सर्व प्रमुख RADIUS अंमलबजावणीवर होतो. पॅच न केलेले उपयोजन अद्याप धोक्यात आहेत.
हे मार्गदर्शक पॅच व्यवस्थापन, शेअर्ड सिक्रेट हायजीन, EAP पद्धत निवड, RadSec उपयोजन, प्रशासकीय प्रवेशासाठी मल्टी-फॅक्टर ऑथेंटिकेशन आणि विसंगती शोधण्यासाठी SIEM एकत्रीकरण समाविष्ट करणारा प्राधान्यक्रमित हार्डनिंग रोडमॅप प्रदान करते. हे अशा IT व्यावसायिकांसाठी लिहिले गेले आहे ज्यांना पुढील वर्षाऐवजी याच तिमाहीत ठोस निर्णय घेण्याची आवश्यकता आहे.

तांत्रिक सखोल विश्लेषण (Technical Deep Dive)
RADIUS कसे कार्य करते आणि ते कुठे कमकुवत आहे
RADIUS हे नेटवर्क ऍक्सेस सर्व्हर (NAS) - सामान्यत: WiFi ऍक्सेस पॉईंट, स्विच किंवा VPN कॉन्सन्ट्रेटर - आणि RADIUS सर्व्हर दरम्यान क्लायंट-सर्व्हर प्रोटोकॉल म्हणून कार्य करते, जे Active Directory किंवा LDAP सारख्या बॅकएंड ओळख स्टोअरच्या विरूद्ध क्रेडेन्शियल्स प्रमाणित करते. ऑथेंटिकेशन एक्सचेंज RFC 2865 मध्ये परिभाषित केलेल्या रिक्वेस्ट-चॅलेंज-रिस्पॉन्स मॉडेलचे अनुसरण करते, ज्यामध्ये अकाऊंटिंग RFC 2866 अंतर्गत स्वतंत्रपणे हाताळले जाते.
हा प्रोटोकॉल ऑथेंटिकेशनसाठी पोर्ट १८१२ आणि अकाऊंटिंगसाठी १८१३ वापरून UDP वर ऑथेंटिकेशन पॅकेट्स ट्रान्समिट करतो. शेअर्ड सिक्रेट - NAS आणि RADIUS सर्व्हर दोन्हीवर कॉन्फिगर केलेली प्री-शेअर्ड की - रिस्पॉन्स ऑथेंटिकेटर फील्ड तयार करण्यासाठी आणि MD5-आधारित XOR सायफरद्वारे युझर-पासवर्ड विशेषता एनक्रिप्ट करण्यासाठी वापरली जाते. हे कोणत्याही आधुनिक अर्थाने एनक्रिप्शन नाही; हे केवळ एक अस्पष्टीकरण (obfuscation) आहे जे पूर्णपणे शेअर्ड सिक्रेटच्या गोपनीयतेवर आणि मजबूततेवर अवलंबून असते.
ठराविक RADIUS उपयोजनामधील पाच मुख्य असुरक्षितता श्रेणी खालीलप्रमाणे आहेत.
MD5 collision आणि अखंडता असुरक्षा. BlastRADIUS हल्ला (CVE-2024-3596) Access-Request पॅकेट्सवरील अखंडता संरक्षणाच्या कमतरतेचा फायदा घेतो. अनेक कॉन्फिगरेशनमध्ये डीफॉल्टनुसार NAS कडून Message-Authenticator ॲट्रिब्युट समाविष्ट नसतात, त्यामुळे मॅन-इन-द-मिडल स्थितीतील आक्रमणकर्ता पॅकेट RADIUS सर्व्हरपर्यंत पोहोचण्यापूर्वी त्यात सुधारित केलेले ॲट्रिब्युट इंजेक्ट करू शकतो. MD5 chosen-prefix collision तंत्राचा वापर करून, आक्रमणकर्ता पॅकेटमध्ये अशी फेरबदल करू शकतो जेणेकरून RADIUS सर्व्हर सुधारित पॅकेटसाठी वैध Response Authenticator तयार करतो, आणि नाकारले जावे लागणाऱ्या विनंतीसाठी Access-Accept परत पाठवतो. यावर उपाय म्हणजे सर्व Access-Request पॅकेट्सवर Message-Authenticator ॲट्रिब्युट लागू करणे, जे संपूर्ण पॅकेटवर HMAC-MD5 अखंडता संरक्षण प्रदान करते. यासाठी केवळ सर्व्हर पॅच नव्हे, तर NAS आणि RADIUS सर्व्हर दोन्हीवर कॉन्फिगरेशन बदल करणे आवश्यक आहे.
कमकुवत किंवा स्थिर सामायिक गुपिते (shared secrets). सामायिक गुपित हा RADIUS एक्सचेंजचा क्रिप्टोग्राफिक अँकर आहे. जर गुपित लहान असेल, अंदाज लावता येण्यासारखे असेल किंवा कधीही बदलले नसेल, तर RADIUS ट्रॅफिक कॅप्चर करणारा आक्रमणकर्ता (जे ARP स्पूफिंग किंवा तडजोड केलेल्या नेटवर्क डिव्हाइसद्वारे शक्य आहे) User-Password ॲट्रिब्युटवर ऑफलाइन ब्रूट-फोर्स करू शकतो. लक्षात ठेवलेल्या गुपितांवर NIST SP 800-63B चे मार्गदर्शन येथे लागू होते: गुपिते किमान 20 वर्णांची असावीत, यादृच्छिकपणे व्युत्पन्न केलेली असावीत आणि सिक्रेट्स मॅनेजमेंट सिस्टममध्ये साठवलेली असावीत. डझनभर किंवा शेकडो NAS डिव्हाइसेस असलेल्या मोठ्या नेटवर्कसाठी, मॅन्युअली बदल करणे व्यावहारिकदृष्ट्या अशक्य आहे; HashiCorp Vault किंवा तत्सम सिक्रेट्स मॅनेजरद्वारे ऑटोमेशन हा योग्य मार्ग आहे.
अनइनक्रिप्टेड UDP ट्रान्सपोर्ट. UDP वरील मानक RADIUS ट्रान्सपोर्ट-लेयर गोपनीयता प्रदान करत नाही. User-Password ॲट्रिब्युट अस्पष्ट केले जाते परंतु इनक्रिप्ट केले जात नाही. वापरकर्तानाव, NAS IPs आणि सेशन मेटाडेटासह इतर प्रत्येक ॲट्रिब्युट क्लिअरटेक्स्टमध्ये प्रवास करतो. RadSec (RADIUS over TLS), जे RFC 6614 मध्ये परिभाषित आहे आणि RFC 7360 मध्ये अपडेट केले आहे, ते TCP पोर्ट 2083 वर TLS टनेलमध्ये RADIUS प्रोटोकॉल गुंडाळून, TLS 1.2 किंवा TLS 1.3 सेशन स्थापित करून याचे निवारण करते. RadSec हे NAS आणि RADIUS सर्व्हर दरम्यान परस्पर प्रमाणपत्र प्रमाणीकरण, पूर्ण पेलोड इनक्रिप्शन आणि रिप्ले संरक्षण प्रदान करते. कोणत्याही अविश्वासू नेटवर्क सीमा ओलांडणाऱ्या RADIUS ट्रॅफिकसाठी हे योग्य ट्रान्सपोर्ट आहे.
EAP पद्धत निवड. Extensible Authentication Protocol (EAP) हे 802.1X फ्रेमवर्कमध्ये वापरल्या जाणाऱ्या अंतर्गत प्रमाणीकरण पद्धती परिभाषित करते. EAP-MD5 बंद करण्यात आले आहे आणि ते सर्व उपयोजनांमधून त्वरित काढून टाकले पाहिजे - हे कोणतेही परस्पर प्रमाणीकरण प्रदान करत नाही आणि क्रेडेंशियल-हार्वेस्टिंग हल्ल्यांना तोंड देऊ शकत नाही. PEAP (Protected EAP) आणि EAP-TTLS क्रेडेंशियल्स पाठवण्यापूर्वी सर्व्हर प्रमाणपत्र वापरून TLS टनेल स्थापित करतात, परस्पर प्रमाणीकरण प्रदान करतात आणि अंतर्गत पद्धतीचे गुप्त ऐकण्यापासून (eavesdropping) संरक्षण करतात. EAP-TLS पासवर्ड पूर्णपणे काढून टाकते, ज्यासाठी सर्व्हर आणि क्लायंट दोन्हीवर X.509 प्रमाणपत्रे आवश्यक असतात. हे फिशिंग आणि ब्रूट-फोर्स हल्ल्यांपासून सुरक्षित आहे आणि उच्च-सुरक्षा वातावरणासाठी शिफारस केलेली पद्धत आहे. अपुरे लॉगिंग आणि मॉनिटरिंग. RADIUS अकाउंटिंग प्रत्येक ऑथेंटिकेशन इव्हेंटची नोंद ठेवते - यशस्वी, अयशस्वी, सेशन सुरू होणे, सेशन थांबणे. हा डेटा कॅपॅसिटी प्लॅनिंगसाठी ऑपरेशनलदृष्ट्या उपयुक्त आहे आणि WiFi Analytics साठी व्यावसायिकदृष्ट्या फायदेशीर आहे, परंतु तो सिक्युरिटी टेलिमेट्रीचा एक महत्त्वाचा स्त्रोत देखील आहे. अयशस्वी-ऑथेंटिकेशनचे वादळ, अनोख्या MAC ॲड्रेसवरून होणारे ऑथेंटिकेशन आणि कार्यालयीन वेळेव्यतिरिक्त इतर वेळी होणारे ॲक्सेस पॅटर्न हे सर्व RADIUS अकाउंटिंग लॉग्समधून शोधता येतात. बहुतेक संस्था हा डेटा SIEM मध्ये समाविष्ट करत नाहीत आणि ज्या करतात त्या क्वचितच कोणत्याही अलर्टिंग थ्रेशोल्ड्स कॉन्फिगर करतात.

BlastRADIUS हल्ल्याचा सविस्तर तपशील
BlastRADIUS चा खुलासा जुलै २०२४ मध्ये बोस्टन युनिव्हर्सिटी आणि UC सॅन डिएगो येथील संशोधकांनी केला होता. या हल्ल्यासाठी NAS आणि RADIUS सर्व्हरच्या दरम्यान मॅन-इन-द-मिडल पोझिशनची आवश्यकता असते - जी सामायिक नेटवर्क सेगमेंटवर ARP पॉयझनिंगद्वारे, तडजोड केलेल्या राउटरद्वारे किंवा नेटवर्क ॲक्सेस असलेल्या एखाद्या दुर्भावनापूर्ण इनसाइडरद्वारे साध्य केली जाऊ शकते.
हा हल्ला खालीलप्रमाणे होतो: आक्रमणकर्ता NAS कडून येणारे Access-Request पॅकेट अडवतो. कारण पॅकेटमध्ये Message-Authenticator ॲट्रिब्युट नसतो (बऱ्याच कॉन्फिगरेशन्समध्ये हा डिफॉल्ट असतो), आक्रमणकर्ता पॅकेटची ॲट्रिब्युट लिस्ट सुधारण्यास मोकळा असतो. MD5 चोझन-प्रिफिक्स कोलिजन वापरून, आक्रमणकर्ता एक सुधारित पॅकेट तयार करतो ज्यासाठी RADIUS सर्व्हर मूळ प्रमाणेच Response Authenticator ची गणना करेल. त्यामुळे सर्व्हर आक्रमणकर्त्याच्या नियंत्रणातील ॲट्रिब्युट्स असलेल्या विनंतीसाठी Access-Accept परत करतो - ज्यामध्ये संपूर्ण नेटवर्क ॲक्सेस अधिकृत करणारे Administrative चे Service-Type समाविष्ट असते.
हा हल्ला PEAP आणि EAP-TTLS डिप्लॉयमेंट्स विरुद्ध प्रभावी आहे जे MSCHAPv2 ला अंतर्गत पद्धत म्हणून वापरतात. याचा EAP-TLS डिप्लॉयमेंट्सवर कोणताही परिणाम होत नाही, जेथे सर्टिफिकेट-बेस्ड म्युच्युअल ऑथेंटिकेशन अशी अखंडता सुरक्षा प्रदान करते जी MD5 नष्ट करू शकत नाही.
Guest WiFi आणि कॉर्पोरेट 802.1X दोन्ही चालवणाऱ्या संस्थांसाठी, गेस्ट नेटवर्कचे RADIUS इन्स्टन्स देखील पॅच केले पाहिजे, जरी ते EAP ऐवजी MAC Authentication Bypass वापरत असले तरीही. शेअर केलेले सिक्रेट हायजीन आणि Message-Authenticator ची आवश्यकता समान रीतीने लागू होते.
अंमलबजावणी मार्गदर्शक
टप्पा १: त्वरित उपाययोजना (आठवडे १-२)
पॅचिंगला प्राधान्य दिले जाते. FreeRADIUS ३.२.५ आणि ३.०.२७ मध्ये BlastRADIUS फिक्स समाविष्ट आहेत आणि ते डिफॉल्टनुसार Message-Authenticator लागू करतात. Cisco ISE ३.१ पॅच ८, ३.२ पॅच ४ आणि ३.३ पॅच १ या असुरक्षिततेचे निराकरण करतात. Microsoft ने जुलै २०२४ मध्ये Windows Server २०२२ NPS साठी KB५०४०४३४ जारी केले. तुमच्या सद्य आवृत्त्यांची पडताळणी करा आणि तुमच्या पुढील शेड्युल्ड चेंज विंडोमध्ये पॅचेस लागू करा.
त्याच वेळी, तुमच्या NAS डिव्हाइस फर्मवेअरचे ऑडिट करा. Message-Authenticator अंमलबजावणी केवळ तेव्हाच प्रभावी ठरते जेव्हा NAS देखील हे ॲट्रिब्यूट पाठवते. तुमच्या ॲक्सेस पॉइंट आणि स्विच व्हेंडरच्या सूचना तपासा - Aruba, Ruckus, Cisco आणि Juniper यांनी BlastRADIUS साठी फर्मवेअर अपडेट्स जारी केले आहेत. तुम्ही Ruckus हार्डवेअर वापरत असल्यास, wireless access point Ruckus guide संबंधित फर्मवेअर व्यवस्थापन संदर्भ प्रदान करते.
पॅचिंगनंतर उद्भवू शकणाऱ्या troubleshooting Windows 11 802.1X authentication issues साठी, सर्वात सामान्य कारण म्हणजे NPS सर्व्हर अशा क्लायंटचे कनेक्शन नाकारतो ज्यांच्यामध्ये Message-Authenticator समाविष्ट नाही - हे एक योग्य सुरक्षा वर्तन आहे ज्यासाठी जुन्या Windows क्लायंटवर सप्लिकंट रिकॉन्फिगरेशन करावे लागू शकते.
टप्पा २: शेअर्ड सिक्रेट स्वच्छता (आठवडे २ - ४)
तुमच्या RADIUS सर्व्हरवर नोंदणीकृत असलेल्या NAS क्लायंटची संपूर्ण सूची एक्सपोर्ट करा. प्रत्येक एंट्रीसाठी, शेअर्ड सिक्रेटची लांबी आणि ते शेवटी कधी बदलले गेले ती तारीख नोंदवा. २० पेक्षा कमी कॅरेक्टर्स असलेले किंवा २४ महिन्यांपेक्षा जास्त काळ न बदललेले कोणतेही सिक्रेट त्वरित बदला.
नवीन सिक्रेट्ससाठी, क्रिप्टोग्राफिकली रँडम जनरेटर वापरा - openssl rand -base64 32 हे ४४-कॅरेक्टरची base64 स्ट्रिंग तयार करते जी RADIUS शेअर्ड सिक्रेट म्हणून वापरण्यासाठी अत्यंत योग्य आहे. सर्व सिक्रेट्स एका सिक्रेट्स मॅनेजमेंट सिस्टीममध्ये स्टोअर करा. एक रोटेशन शेड्युल लागू करा: कमी-धोक्याच्या NAS डिव्हाइसेससाठी वार्षिक, आणि PCI-DSS च्या कक्षेतील NAS डिव्हाइसेससाठी दर सहा महिन्यांनी.
टप्पा ३: EAP पद्धतीचे सुसूत्रीकरण (महिने १ - २)
तुमचे RADIUS सर्व्हर ज्या EAP पद्धतींना अनुमती देतात त्यांचे ऑडिट करा. EAP-MD5 निष्क्रिय करा. तुम्ही PEAP-MSCHAPv2 वापरत असल्यास, सर्व सप्लिकंट्स सर्व्हर सर्टिफिकेट व्हॅलिडेशनची सक्ती करतात याची पडताळणी करा - कोणताही सर्व्हर सर्टिफिकेट स्वीकारणारा चुकीचा कॉन्फिगर केलेला सप्लिकंट हा रॉग RADIUS सर्व्हर हल्ल्यांना बळी पडू शकतो. PCI-DSS च्या कक्षेतील वातावरणासाठी, EAP-TLS ची शिफारस केली जाते. तुमच्याकडे सध्या कोणतेही सर्टिफिकेट इन्फ्रास्ट्रक्चर नसल्यास, PKI चे नियोजन सुरू करा.
securing guest WiFi networks साठी, हे लक्षात घ्या की गेस्ट नेटवर्क सहसा 802.1X ऐवजी Captive Portal ऑथेंटिकेशन वापरतात, त्यामुळे EAP पद्धतीचे सक्षमीकरण प्रामुख्याने कॉर्पोरेट आणि स्टाफ SSIDs साठी लागू होते.
टप्पा ४: RadSec उपयोजन (महिने २ - ३)
असुरक्षित नेटवर्क सीमा ओलांडणारा प्रत्येक RADIUS ट्रॅफिक पाथ ओळखा. सामान्य परिस्थितींमध्ये इंटरनेटद्वारे दुर्गम हॉटेल्सना सेवा देणारा मध्यवर्ती RADIUS सर्व्हर; क्लाउड RADIUS सेवेपर्यंत पोहोचणारी ऑन-प्रिमाइसेस NAS डिव्हाइसेस; आणि RADIUS प्रॉक्सी चेन्स जिथे ट्रॅफिक अनेक नेटवर्क डोमेन्स पार करतो, यांचा समावेश होतो.
प्रत्येक ओळखलेल्या पाथसाठी, RadSec कॉन्फिगर करा. FreeRADIUS वर याचा अर्थ पोर्ट २०८३ वर tls लिसनर सक्षम करणे आणि तुमच्या PKI कडील सर्टिफिकेट्ससह म्युच्युअल TLS कॉन्फिगर करणे असा आहे. Cisco ISE वर, RadSec हे Administration > Network Devices अंतर्गत कॉन्फिगर केले जाते. किमान TLS १.२ असल्याची खात्री करा; TLS १.० आणि १.१ स्पष्टपणे निष्क्रिय करा.
टप्पा ५: प्रशासकीय प्रवेशासाठी मल्टि-फॅक्टर ऑथेंटिकेशन (महिने २ - ३)
RADIUS server चे मॅनेजमेंट इंटरफेस हे अतिशय मौल्यवान टार्गेट असते. RADIUS server हॅक करणारा आक्रमणकर्ता ऑथेंटिकेशन पॉलिसी सुधारू शकतो, शेअर्ड सिक्रेट्स मिळवू शकतो आणि ऑथेंटिकेशन प्रवाह इतरत्र वळवू शकतो. सर्व RADIUS servers आणि त्यांच्या मूळ ऑपरेटिंग सिस्टीम्सच्या ॲडमिनिस्ट्रेटिव्ह लॉगिनवर MFA सक्तीचे करा. मॅनेजमेंट ॲक्सेस केवळ एका समर्पित आउट-ऑफ-बँड मॅनेजमेंट VLAN पुरता मर्यादित ठेवा. रोल-बेस्ड ॲक्सेस कंट्रोल लागू करा: नेटवर्क इंजिनिअर्सकडे सिक्युरिटी ॲडमिनिस्ट्रेटर्ससारखेच विशेषाधिकार नसावेत.
Phase 6: SIEM integration and alerting (months 3-4)
तुमच्या RADIUS servers ला त्यांचे अकाउंटिंग लॉग्स रिअल टाइममध्ये तुमच्या SIEM कडे पाठवण्यासाठी कॉन्फिगर करा. खालील बेसलाइन अलर्ट थ्रेशोल्ड्स निश्चित करा:
| अलर्ट | थ्रेशोल्ड | गांभीर्य (Severity) |
|---|---|---|
| एकाच MAC ॲड्रेसवरून एकापेक्षा जास्त वेळा ऑथेंटिकेशन अयशस्वी होणे | ६० सेकंदात >५ वेळा | हाय |
| Access-Reject रेटमध्ये अचानक वाढ | ७ दिवसांच्या बेसलाइनपेक्षा २००% जास्त | मीडियम |
| कॉर्पोरेट SSID वर नवीन MAC ॲड्रेसवरून ऑथेंटिकेशन | पहिलीच वेळ | मीडियम |
| RADIUS server सर्टिफिकेटची मुदत संपत येणे | ९० / ३० / ७ दिवस | हाय / क्रिटिकल / क्रिटिकल |
| शेअर्ड सिक्रेट न जुळल्याच्या त्रुटी (Shared secret mismatch errors) | कोणतीही घटना | हाय |
Best Practices
खालील शिफारसी IEEE 802.1X, NIST SP 800-63B, PCI DSS v4.0 आणि व्हेंडर सिक्युरिटी ॲडव्हायझरीमधील सहमती दर्शवतात.
सर्टिफिकेट मॅनेजमेंट. EAP-TLS किंवा RadSec वापरणाऱ्या कोणत्याही डिप्लॉयमेंटच्या ऑथेंटिकेशन पाथमध्ये X.509 सर्टिफिकेट्स असतात. एंटरप्राइझ WiFi डिप्लॉयमेंटमध्ये अचानक आणि संपूर्ण ऑथेंटिकेशन अपयशी होण्याचे सर्टिफिकेटची मुदत संपणे हे सर्वात सामान्य कारण आहे. ऑटोमेटेड सर्टिफिकेट लाइफसायकल मॅनेजमेंट लागू करा. मुदत संपण्याच्या ९०, ३० आणि ७ दिवस आधी मॉनिटरिंग अलर्ट सेट करा. RADIUS server सर्टिफिकेट्ससाठी, किमान २०४८-बिट RSA किंवा २५६-बिट ECDSA की आणि SHA-256 किंवा अधिक मजबूत सिग्नेचर अल्गोरिदम वापरा. SHA-1 वापरू नका.
नेटवर्क सेगमेंटेशन. RADIUS servers पाहुणे आणि सामान्य कॉर्पोरेट नेटवर्क्सपासून वेगळ्या असलेल्या, एका समर्पित मॅनेजमेंट सेगमेंटवर असले पाहिजेत. RADIUS पोर्ट्सचा ॲक्सेस (RadSec साठी UDP १८१२, १८१३ आणि TCP २०८३) फायरवॉल ACL द्वारे नोंदणीकृत NAS डिव्हाइसेसच्या विशिष्ट IP ॲड्रेसेसपुरता मर्यादित असावा. RADIUS पोर्ट्सना थेट इंटरनेट ॲक्सेस देऊ नका.
रिडंडन्सी आणि हाय अॅव्हेलेबिलिटी. एक सिंगल RADIUS server म्हणजे तुमच्या संपूर्ण नेटवर्क ॲक्सेस कंट्रोल इन्फ्रास्ट्रक्चरसाठी सिंगल पॉईंट ऑफ फेल्युअर आहे. ॲक्टिव्ह-पॅसिव्ह किंवा ॲक्टिव्ह-ॲक्टिव्ह कॉन्फिगरेशनमध्ये किमान दोन RADIUS servers तैनात करा. २४/७ पाहुण्यांच्या कनेक्टिव्हिटीची आवश्यकता असलेल्या Hospitality डिप्लॉयमेंट्ससाठी, RADIUS server डाउन असणे म्हणजे थेट गेस्ट WiFi डाउन असणे होय - जो एक प्रतिष्ठेचा आणि व्यावसायिक धोका आहे. WPA3 and 802.1X. सरकारी आणि उच्च-सुरक्षा उपयोजनांसाठी आवश्यक असणारा, 192-bit सुरक्षा मोडमधील WPA3-Enterprise, डेटा एन्क्रिप्शनसाठी AES-256-GCMP आणि ऑथेंटिकेशनसाठी HMAC-SHA-384 अनिवार्य करतो. बऱ्याच कॉर्पोरेट उपयोजनांसाठी, मानक 128-bit सुरक्षेसह WPA3-Enterprise ही WPA2-Enterprise पेक्षा आधीच एक लक्षणीय सुधारणा आहे, विशेषतः जेव्हा ती EAP-TLS सोबत वापरली जाते. कार्ड पेमेंट स्वीकारणाऱ्या Retail पर्यावरणांनी WPA3-Enterprise चा अवलंब करणे हा एक PCI-DSS जोखीम कमी करण्याचा उपाय म्हणून पहावा.
Vendor patch cadence. तुमच्या RADIUS सर्व्हर वेंडरकडून आणि तुमच्या NAS डिव्हाइस वेंडरकडून सुरक्षा सल्ल्यांचे सबस्क्रिप्शन घ्या. FreeRADIUS, Cisco, Microsoft, Aruba आणि Ruckus हे सर्व CVE नोटिफिकेशन्स प्रकाशित करतात. हे तुमच्या व्हल्नरेबिलिटी मॅनेजमेंट प्रोग्राममध्ये ठराविक SLA सह समाविष्ट करा: गंभीर त्रुटी (CVSS ≥ 9.0) 72 तासांच्या आत पॅच करणे; उच्च-तीव्रतेच्या त्रुटी (CVSS 7.0 - 8.9) 14 दिवसांच्या आत पॅच करणे.
ट्रबलशूटिंग आणि जोखीम निवारण
सामान्य बिघाड प्रकार
पॅचिंगनंतर ऑथेंटिकेशन अयशस्वी होणे. BlastRADIUS पॅचेस लागू केल्यानंतर, काही NAS डिव्हाइसेसचे फर्मवेअर Message-Authenticator ला सपोर्ट करत नसल्यास त्यांचे ऑथेंटिकेशन अयशस्वी होऊ शकते. लक्षण: युझर क्रेडेंशियल्समध्ये कोणताही बदल न करता अचानक Access-Reject प्रतिसादांमध्ये वाढ होणे. निदान: RADIUS डिबग लॉगिंग सक्षम करा आणि "Message-Authenticator required but not present" त्रुटी तपासा. उपाय: NAS फर्मवेअर अपडेट करा, किंवा तात्पुरता उपाय म्हणून फर्मवेअर अपडेट्स शेड्युल केलेले असताना विशिष्ट NAS IP कडून येणाऱ्या विनंत्या Message-Authenticator शिवाय स्वीकारण्यासाठी RADIUS सर्व्हर कॉन्फिगर करा.
EAP-TLS मध्ये सर्टिफिकेट व्हॅलिडेशन अयशस्वी होणे. लक्षण: क्लायंटला "authentication failed" मिळते परंतु RADIUS लॉगमध्ये कोणताही संबंधित Access-Reject नसतो. निदान: RADIUS सर्व्हरची सर्टिफिकेट चेन तपासा - जारी करणारे CA हे क्लायंट सप्लिकंटद्वारे विश्वसनीय आहे का? सर्व्हर सर्टिफिकेट त्याच्या वैधतेच्या कालावधीत आहे का? उपाय: RADIUS सर्व्हरवर संपूर्ण सर्टिफिकेट चेन (लीफ + इंटरमीडिएट + रूट) कॉन्फिगर केली असल्याची खात्री करा. MDM किंवा ग्रुप पॉलिसीद्वारे रूट CA सर्टिफिकेट्स क्लायंट डिव्हाइसेसवर पुश करा.
RadSec TLS हँडशेक अयशस्वी होणे. लक्षण: कॉन्फिगरेशन बदलल्यानंतर NAS डिव्हाइसेस RadSec कनेक्शन्स स्थापित करू शकत नाहीत. निदान: TLS व्हर्जन सुसंगतता तपासा - जुने NAS फर्मवेअर TLS 1.2 ला सपोर्ट करत नसावे. परस्पर सर्टिफिकेट ऑथेंटिकेशन तपासा - दोन्ही बाजूंनी एकमेकांच्या CA वर विश्वास ठेवला पाहिजे. उपाय: NAS फर्मवेअर रिलीज नोट्समध्ये TLS व्हर्जन सपोर्ट तपासा; NAS डिव्हाइस सर्टिफिकेट्स त्याच CA द्वारे जारी केले गेल्याची खात्री करा ज्याच्यावर RADIUS सर्व्हर विश्वास ठेवतो.
शेअर्ड सिक्रेट न जुळणे. लक्षण: एका विशिष्ट NAS कडून येणारे प्रत्येक ऑथेंटिकेशन "invalid authenticator" त्रुटीसह अयशस्वी होते. निदान: NAS कॉन्फिगरेशन आणि RADIUS सर्व्हरच्या क्लायंट एंट्री दरम्यान शेअर्ड सिक्रेट न जुळणे. उपाय: दोन्ही बाजूंनी शेअर्ड सिक्रेट पुन्हा प्रविष्ट करा, शेवटी असणारी रिकामी जागा किंवा कॅरेक्टर-एन्कोडिंगच्या समस्या तपासा. टायपिंगच्या चुका टाळण्यासाठी तुमच्या सिक्रेट्स मॅनेजरमधून कॉपी आणि पेस्ट करा.
जोखीम नोंदणी (Risk register)
| जोखीम | शक्यता | प्रभाव | निवारण नियंत्रणे |
|---|---|---|---|
| BlastRADIUS exploitation | High (if unpatched) | Critical | Patching + Message-Authenticator enforcement |
| Shared secret brute-force | Medium | High | 32-character random secrets, annual rotation |
| Rogue RADIUS server | Medium | High | EAP-TLS mutual authentication, certificate pinning |
| RADIUS server certificate expiry | High | Critical | Automated monitoring, 90-day advance alerts |
| Credential stuffing via 802.1X | Medium | High | Account lockout policy, SIEM alerting |
| RADIUS server compromise | Low | Critical | MFA on admin access, network segmentation |
ROI आणि व्यावसायिक प्रभाव
जोखमीचे मोजमाप करणे
RADIUS सुरक्षेचे आर्थिक महत्त्व तेव्हा स्पष्ट होते जेव्हा आपण त्याची तुलना डेटा चोरीच्या (breach) खर्चाशी करतो. २०२४ मध्ये UK मधील सरासरी डेटा चोरीचा खर्च £३.५८ दशलक्ष होता, ज्यामध्ये नियामक दंड, उपाययोजना, कायदेशीर खर्च आणि प्रतिष्ठेचे नुकसान समाविष्ट आहे. PCI-DSS च्या कक्षेमध्ये येणाऱ्या संस्थांसाठी - म्हणजेच प्रामुख्याने WiFi वरून कार्ड पेमेंट स्वीकारणारे प्रत्येक Retail आणि Hospitality ऑपरेटर्स - नेटवर्क ॲक्सेस कंट्रोलमधील त्रुटी ज्यामुळे कार्डधारकांचा डेटा उघड होतो, त्यास अनिवार्य फॉरेन्सिक तपासणी, संभाव्य कार्ड-स्कीम दंड आणि कार्ड प्रक्रिया अधिकार तात्पुरते निलंबित केले जाण्याच्या कारवाईला सामोरे जावे लागते.
Healthcare संस्थांसाठी, तडजोड केलेल्या RADIUS सर्व्हरद्वारे रुग्णांच्या डेटामध्ये अनधिकृत प्रवेश मिळवणे हे GDPR चे उल्लंघन ठरते, ज्यासाठी कलम ८३(५) अंतर्गत जागतिक वार्षिक उलाढालीच्या ४% पर्यंत दंडाची तरतूद आहे. ICO चा अंमलबजावणी इतिहास दर्शवितो की नेटवर्क सुरक्षेमधील त्रुटींना तांत्रिक दुर्दैव न मानता निष्काळजीपणा मानले जाते.
अंमलबजावणी खर्च बेंचमार्क
खालील खर्चाचे अंदाज ५००-डिव्हाइस कॉर्पोरेट नेटवर्क गृहीत धरून तयार केले आहेत:
| Hardening activity | Estimated cost | Timeline |
|---|---|---|
| Patching (FreeRADIUS / NPS / ISE) | केवळ अंतर्गत श्रम | १-२ आठवडे |
| Shared secret audit and rotation | अंतर्गत श्रम + secrets manager परवाना (~£२,०००/वर्ष) | २-४ आठवडे |
| EAP-TLS PKI deployment | £१५,००० - £३०,००० (साधने + व्यावसायिक सेवा) | २-३ महिने |
| RadSec implementation | अंतर्गत श्रम + प्रमाणपत्र खर्च (~£१,५००) | ४-६ आठवडे |
| SIEM integration and alerting | सध्याच्या SIEM वर अवलंबून; £० - £१०,००० | ४-८ आठवडे |
एका मध्यम आकाराच्या एंटरप्राइझसाठी एकूण सुरक्षा गुंतवणूक साधारणपणे £२०,००० - £४५,००० असते. £३.५८ दशलक्ष डेटा चोरीच्या बेसलाइन खर्चाच्या तुलनेत, डेटा चोरीच्या अत्यंत कमी संभाव्यतेच्या गृहीतकांनुसार देखील ही जोखीम-समायोजित ROI अत्यंत फायदेशीर ठरते.
सुरक्षेव्यतिरिक्त इतर ऑपरेशनल फायदे
सुरक्षित RADIUS इन्फ्रास्ट्रक्चर ऑपरेशनल फायदे देखील देते. विश्वसनीय, उत्तम प्रकारे मॉनिटर केलेले ऑथेंटिकेशन हेल्प डेस्कवरील WiFi कनेक्टिव्हिटी संबंधित तिकीट्स कमी करते. जेव्हा RADIUS अकाउंटिंग डेटा WiFi Analytics सोबत समाकलित (integrate) केला जातो, तेव्हा तो नेटवर्क वापरण्याच्या पद्धती, थांबण्याचा वेळ (dwell times) आणि डिव्हाइसचे प्रकार याविषयी सत्र-स्तरीय (session-level) दृश्यमानता प्रदान करतो - हा डेटा Hospitality आणि Transport क्षेत्रातील ऑपरेटर्ससाठी थेट व्यावसायिक मूल्य देणारा ठरतो. सार्वजनिक क्षेत्र आणि Healthcare संस्थांसाठी, एक दस्तऐवजीकरण केलेला RADIUS हार्डनिंग कार्यक्रम Cyber Essentials Plus, ISO 27001 आणि NHS DSPT मूल्यांकनांसाठी तांत्रिक नियंत्रणांचे पुरावे प्रदान करतो - ज्यामुळे ऑडिटचे प्रयत्न कमी होतात आणि नियामकांकडे योग्य तत्परता प्रदर्शित होते.
महत्वाच्या व्याख्या
RADIUS (Remote Authentication Dial-In User Service)
RFC २८६५ मध्ये परिभाषित केलेला एक क्लायंट-सर्व्हर प्रोटोकॉल जो नेटवर्क ॲक्सेससाठी केंद्रीकृत ऑथेंटिकेशन, ऑथरायझेशन आणि अकाउंटिंग (AAA) प्रदान करतो. RADIUS सर्व्हर नेटवर्क डिव्हाइसेस (NAS) द्वारे सबमिट केलेल्या क्रेडेंशियल्सना Active Directory किंवा LDAP सारख्या बॅकएंड आयडेंटिटी स्टोअरच्या विरूद्ध पडताळतात.
IT टीम्स 802.1X WiFi, वायर्ड पोर्ट ऑथेंटिकेशन, VPN ॲक्सेस आणि नेटवर्क डिव्हाइस मॅनेजमेंटसाठी ऑथेंटिकेशन बॅकएंड म्हणून RADIUS चा वापर करतात. हा तो प्रोटोकॉल आहे जो नेटवर्कवर कोणाला प्रवेश मिळतो हे ठरवतो.
IEEE 802.1X
पोर्ट-आधारित नेटवर्क ॲक्सेस कंट्रोलसाठीचे एक IEEE मानक जे LAN वर EAP च्या (EAPOL) एन्कॅप्स्युलेशनला परिभाषित करते. हे वायर्ड आणि वायरलेस दोन्ही नेटवर्कसाठी ऑथेंटिकेशन फ्रेमवर्क प्रदान करते, ज्यामध्ये डिव्हाइसेसना नेटवर्क ॲक्सेस मिळण्यापूर्वी ऑथेंटिकेट करणे आवश्यक असते.
802.1X हा असा मानक (standard) आहे ज्यामुळे एंटरप्राइझ WiFi ऑथेंटिकेशन कार्य करते. जेव्हा एखादा कर्मचारी कॉर्पोरेट SSID शी कनेक्ट करतो आणि क्रेडेंशियल्स विचारले जातात, तेव्हा 802.1X हे त्या देवाणघेवाणीचे नियोजन करणारे फ्रेमवर्क असते, ज्यामध्ये RADIUS हा बॅकएंड म्हणून काम करतो.
EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)
एक EAP पद्धत जी क्लायंट आणि RADIUS सर्व्हर दरम्यान परस्पर ऑथेंटिकेशनसाठी X.509 सर्टिफिकेट्स वापरते. दोन्ही बाजूंनी वैध सर्टिफिकेट्स सादर करणे आवश्यक आहे, ज्यामुळे ऑथेंटिकेशन प्रक्रियेतून पासवर्डची गरज पूर्णपणे नष्ट होते.
EAP-TLS हे एंटरप्राइझ WiFi ऑथेंटिकेशनसाठी सर्वोत्तम मानले जाते. हे क्रेडेंशियल फिशिंग आणि ब्रूट-फोर्स हल्ल्यांपासून पूर्णपणे सुरक्षित आहे. क्लायंट सर्टिफिकेट्स जारी करण्यासाठी आणि व्यवस्थापित करण्यासाठी PKI इन्फ्रास्ट्रक्चर असणे ही याची मुख्य ऑपरेशनल गरज आहे.
RadSec (RADIUS over TLS)
RFC 6614 मध्ये परिभाषित केलेला एक प्रोटोकॉल जो TCP पोर्ट 2083 वर TLS सेशनमध्ये RADIUS पॅकेट्स एन्कॅप्स्युलेट करतो. हे RADIUS ट्रॅफिकसाठी ट्रान्सपोर्ट-लेअर एन्क्रिप्शन, परस्पर सर्टिफिकेट ऑथेंटिकेशन आणि रीप्ले प्रोटेक्शन प्रदान करते.
असुरक्षित नेटवर्क सीमा - जसे की WAN लिंक्स, इंटरनेट कनेक्शन्स किंवा शेअर केलेले नेटवर्क इन्फ्रास्ट्रक्चर - ओलांडणाऱ्या कोणत्याही RADIUS ट्रॅफिकसाठी RadSec आवश्यक आहे. मल्टि-साइट डिप्लॉयमेंट्समध्ये UDP वरील मानक RADIUS साठी हा योग्य पर्याय आहे.
BlastRADIUS (CVE-2024-3596)
जुलै 2024 मध्ये उघड झालेला एक मॅन-इन-द-मिडल (man-in-the-middle) हल्ला जो RADIUS Access-Request पॅकेट्सवरील इंटिग्रिटी प्रोटेक्शनच्या अभावाचा गैरफायदा घेतो. MD5 chosen-prefix कॉलिजन तंत्राचा वापर करून, हल्लेखोर बनावट Access-Accept प्रतिसाद तयार करू शकतो आणि अनऑथेंटिकेटेड वापरकर्त्याला नेटवर्क प्रवेश देऊ शकतो.
BlastRADIUS चा प्रभाव FreeRADIUS, Cisco ISE आणि Microsoft NPS सह सर्व प्रमुख RADIUS इम्प्लिमेंटेशन्सवर पडतो. ज्या संस्थांनी जुलै 2024 मध्ये जारी केलेले पॅचेस लागू केलेले नाहीत, त्यांना या हल्ल्याचा धोका कायम आहे.
Message-Authenticator
एक RADIUS ॲट्रिब्यूट (ॲट्रिब्यूट 80) जे संपूर्ण RADIUS पॅकेटवर HMAC-MD5 इंटिग्रिटी प्रोटेक्शन प्रदान करते. Access-Request मध्ये हे उपस्थित असताना, ते BlastRADIUS मध्ये वापरल्या जाणाऱ्या पॅकेट मॉडिफिकेशन हल्ल्याला प्रतिबंधित करते.
सर्व Access-Request पॅकेट्सवर Message-Authenticator सक्तीचे करणे हा BlastRADIUS साठी प्राथमिक उपाय आहे. हे RADIUS सर्व्हर (ॲट्रिब्यूट आवश्यक करण्यासाठी) आणि NAS डिव्हाइस (रिक्वेस्ट्समध्ये ॲट्रिब्यूट समाविष्ट करण्यासाठी) दोन्हीवर कॉन्फिगर केले पाहिजे.
NAS (Network Access Server)
RADIUS टर्मिनॉलॉजीमध्ये, NAS हे नेटवर्क डिव्हाइस असते - साधारणपणे WiFi ॲक्सेस पॉइंट, स्विच किंवा VPN कॉन्सन्ट्रेटर - जे RADIUS क्लायंट म्हणून काम करते. हे एंड डिव्हाइसेसकडून येणाऱ्या कनेक्शन रिक्वेस्ट्स थांबवते आणि ऑथेंटिकेशन रिक्वेस्ट्स RADIUS सर्व्हरकडे फॉरवर्ड करते.
NAS डिव्हाइसेस हे डिप्लॉयमेंटमधील RADIUS क्लायंट असतात. शेअर केलेले सिक्रेट्स प्रति-NAS कॉन्फिगर केले जातात. BlastRADIUS च्या उपायासाठी NAS डिव्हाइसेसवर फर्मवेअर अपडेट्स तसेच RADIUS सर्व्हरवर पॅचेस आवश्यक आहेत.
PEAP (Protected Extensible Authentication Protocol)
एक EAP पद्धत जी अंतर्गत ऑथेंटिकेशन पद्धत (साधारणपणे MSCHAPv2) ट्रान्समिट करण्यापूर्वी सर्व्हर-साइड सर्टिफिकेट वापरून TLS टनेल स्थापित करते. हे परस्पर ऑथेंटिकेशन प्रदान करते आणि क्रेडेंशियल्सचे छुप्या पद्धतीने ऐकण्यापासून (eavesdropping) संरक्षण करते.
PEAP-MSCHAPv2 ही सर्वात मोठ्या प्रमाणावर वापरली जाणारी एंटरप्राइझ WiFi ऑथेंटिकेशन पद्धत आहे. हे PCI DSS चे पालन करते आणि ऑपरेशनलदृष्ट्या EAP-TLS पेक्षा सोपे आहे कारण यासाठी क्लायंट सर्टिफिकेट्सची आवश्यकता नसते. तथापि, क्लायंट-साइड सर्टिफिकेट व्हॅलिडेशन सक्तीचे केले नसल्यास हे बनावट RADIUS सर्व्हर हल्ल्यांसाठी असुरक्षित ठरू शकते.
Shared Secret
RADIUS सर्व्हर आणि प्रत्येक NAS डिव्हाइस दोन्हीवर कॉन्फिगर केलेली प्री-शेअर की. याचा वापर Response Authenticator फील्ड तयार करण्यासाठी आणि User-Password ॲट्रिब्यूट सुरक्षित ठेवण्यासाठी केला जातो. हा एंड वापरकर्त्यांसाठी पासवर्ड नसून - तो एक सर्व्हर-टू-सर्व्हर ऑथेंटिकेशन क्रेडेंशियल आहे.
कमकुवत किंवा स्टॅटिक शेअर केलेले सिक्रेट्स ही सर्वात सामान्य RADIUS असुरक्षिततेपैकी एक आहे. RADIUS ट्रॅफिक कॅप्चर करणारा हल्लेखोर कमकुवत शेअर केलेल्या सिक्रेटवर ऑफलाइन ब्रूट-फोर्स हल्ला करू शकतो. यासाठी यादृच्छिकपणे जनरेट केलेली किमान 32 वर्णांची लांबी शिफारसित आहे.
PCI DSS (Payment Card Industry Data Security Standard)
कार्डधारक डेटावर प्रक्रिया, संचय किंवा पाठवणाऱ्या संस्थांसाठी प्रमुख कार्ड योजनांद्वारे (Visa, Mastercard, Amex) अनिवार्य केलेल्या सुरक्षा मानकांचा संच. मार्च २०२४ पासून प्रभावी असलेली आवृत्ती ४.०, नेटवर्क प्रवेश नियंत्रण आणि मजबूत प्रमाणीकरणासाठी विशिष्ट आवश्यकता समाविष्ट करते.
WiFi शी कनेक्टेड POS टर्मिनल्स असलेल्या रिटेल आणि हॉस्पिटॅलिटी संस्था PCI DSS च्या कक्षेत येतात. RADIUS सर्व्हरमधील असुरक्षितता ज्या कार्डहोल्डर डेटा एन्व्हायरनमेंटमध्ये अनधिकृत नेटवर्क प्रवेशाची परवानगी देऊ शकतात, त्या थेट अनुपालन (compliance) जोखीम ठरतात.
सोडवलेली उदाहरणे
12 प्रॉपर्टीज असलेला एक 350 - खोल्यांचा हॉटेल समूह त्यांच्या मुख्य कार्यालयाच्या डेटा सेंटरमध्ये होस्ट केलेला सेंट्रलाइज्ड RADIUS सर्व्हर वापरतो. प्रत्येक प्रॉपर्टी एका शेअर केलेल्या MPLS WAN द्वारे कनेक्ट होते. एका सुरक्षा ऑडिटमध्ये असे समोर आले आहे की WAN वर RADIUS ट्रॅफिक अनइन्क्रिप्टेड आहे, शेअर केलेले सिक्रेट्स पाच वर्षांपूर्वीच्या सुरुवातीच्या डिप्लॉयमेंट दरम्यान सेट केलेले 8-कॅरेक्टरचे स्ट्रिंग्स आहेत आणि RADIUS सर्व्हर FreeRADIUS 3.0.21 चालवत आहे. हा समूह त्यांच्या रेस्टॉरंट आणि स्पा सुविधांमध्ये WiFi-कनेक्टेड POS टर्मिनल्सद्वारे कार्ड पेमेंट प्रक्रियेत आणतो. यावरील उपाययोजनांचे प्राधान्य आणि अंमलबजावणीचा क्रम काय असावा?
उपाययोजनांचा क्रम जोखमीची तीव्रता आणि अंमलबजावणीच्या गतीनुसार असावा. पायरी 1 (तात्काळ, 72 तासांच्या आत): FreeRADIUS ला 3.2.5 किंवा 3.0.27 वर पॅच करा. हे BlastRADIUS चे निराकरण करते आणि डीफॉल्टनुसार Message-Authenticator लागू करते. त्याच वेळी, सर्व 12 प्रॉपर्टीजमधील ऍक्सेस पॉईंटचे फर्मवेअर व्हर्जन्स तपासा आणि Message-Authenticator ला सपोर्ट न करणाऱ्या कोणत्याही NAS डिव्हाइसेससाठी फर्मवेअर अपडेट्स शेड्यूल करा. पायरी 2 (आठवडा 1-2): सर्व शेअर केलेले सिक्रेट्स बदला. 12 प्रॉपर्टी NAS नोंदणींपैकी प्रत्येकासाठी openssl rand -base64 32 वापरून 32-कॅरेक्टरचे रँडम सिक्रेट्स जनरेट करा. HashiCorp Vault किंवा समतुल्य ठिकाणी ते स्टोअर करा. रोटेशनची तारीख डॉक्युमेंट करा. पायरी 3 (महिना 1-2): WAN पाथवर RadSec लागू करा. TCP 2083 वर RadSec कनेक्शन्स स्वीकारण्यासाठी FreeRADIUS सर्व्हर कॉन्फिगर करा. प्रत्येक प्रॉपर्टीच्या NAS डिव्हाइसेसना अंतर्गत CA कडून TLS सर्टिफिकेट्स जारी करा. प्रॉपर्टी NAS IP रेंजेसकडून RADIUS सर्व्हरवर TCP 2083 ला परवानगी देण्यासाठी फायरवॉल नियम अपडेट करा. RadSec कार्यरत असल्याची खात्री झाल्यावर WAN-फेसिंग इंटरफेसेसवरून UDP 1812/1813 निष्क्रिय करा. पायरी 4 (महिना 2-3): PCI-DSS-स्कोप असलेल्या POS WiFi SSID साठी, PEAP-MSCHAPv2 वरून EAP-TLS वर मायग्रेट करा. एक अंतर्गत PKI (Microsoft ADCS किंवा HashiCorp Vault PKI इंजिन) तैनात करा. MDM द्वारे POS टर्मिनल्सना क्लायंट सर्टिफिकेट्स जारी करा. POS SSID साठी EAP-TLS आवश्यक करण्यासाठी RADIUS पॉलिसी अपडेट करा. पायरी 5 (महिना 3): RADIUS अकाउंटिंग लॉग्स SIEM मध्ये समाकलित करा. अयशस्वी ऑथेंटिकेशनचे स्पाइक्स आणि सर्टिफिकेट एक्स्पायरीसाठी अलर्ट कॉन्फिगर करा.
४५ स्टोअर्स असलेल्या एका प्रादेशिक रिटेल चेनद्वारे कर्मचाऱ्यांच्या WiFi साठी WPA2-Personal (प्री-शेअर्ड की) आणि ग्राहकांच्या WiFi साठी ओपन नेटवर्क वापरले जाते. IT संचालकांना कर्मचाऱ्यांचे WiFi हे Active Directory सोबत इंटिग्रेट केलेल्या Microsoft NPS ला RADIUS सर्व्हर म्हणून वापरून 802.1X ऑथेंटिकेशनवर स्थलांतरित करायचे आहे. या स्टोअर्समध्ये Aruba आणि Cisco ॲक्सेस पॉइंट्सचे मिश्रण आहे. ही चेन PCI DSS च्या कक्षेमध्ये येते. त्यांनी कोणती आर्किटेक्चर तैनात करावी आणि त्यांचे महत्त्वाचे कॉन्फिगरेशन निर्णय काय असावेत?
शिफारस केलेले आर्किटेक्चर म्हणजे सुरुवातीची EAP पद्धत म्हणून PEAP-MSCHAPv2 सह 802.1X हे आहे, ज्यामध्ये EAP-TLS कडे जाण्याचा एक डॉक्युमेंट केलेला रोडमॅप असेल. NPS सर्व्हर मध्यवर्ती डेटा सेंटरमध्ये रेडंडंट जोडीमध्ये (प्राथमिक + दुय्यम) तैनात केला जावा, ज्यामध्ये ॲक्सेस पॉइंट्सवर स्वयंचलितपणे फेलओव्हर होण्यासाठी RADIUS प्रॉक्सी कॉन्फिगरेशन असेल. कॉन्फिगरेशन निर्णय: (१) NPS नेटवर्क पॉलिसी: PEAP-MSCHAPv2 सह कर्मचारी SSID ला मॅच करणारी एक पॉलिसी तयार करा, ज्यासाठी AD सुरक्षा गटामध्ये (उदा. 'WiFi-Staff-Access') ग्रुप मेंबरशिप आवश्यक असेल. पुन्हा ऑथेंटिकेशन करण्यास भाग पाडण्यासाठी सेशन टाइमआउट ८ तासांवर सेट करा. (२) सर्टिफिकेट: अंतर्गत Microsoft ADCS CA कडून NPS सर्व्हर सर्टिफिकेट तैनात करा. ग्रुप पॉलिसी (Windows) आणि MDM (iOS/Android) द्वारे सर्व कर्मचाऱ्यांच्या डिव्हाइसेसवर रूट CA सर्टिफिकेट पुश करा. (३) सप्लिकंट कॉन्फिगरेशन: ग्रुप पॉलिसी (Computer Configuration > Windows Settings > Security Settings > Wireless Network Policies) द्वारे Windows डिव्हाइसेस कॉन्फिगर करा. iOS आणि Android डिव्हाइसेससाठी, MDM प्रोफाइल वापरा. सर्व्हर सर्टिफिकेट व्हॅलिडेशन सक्तीचे करा - युजर्सना कोणतेही अनधिकृत सर्टिफिकेट्स स्वीकारण्याची परवानगी देऊ नका. (४) ॲक्सेस पॉइंट कॉन्फिगरेशन: Aruba वर, Authentication > Servers अंतर्गत RADIUS सर्व्हर कॉन्फिगर करा. शेअर्ड सिक्रेट ३२-कॅरेक्टरच्या रँडम स्ट्रिंगवर सेट करा. Aruba फर्मवेअर सपोर्ट करत असल्यास (AOS 8.9+) RadSec सक्षम करा. Cisco वर, Security > AAA > RADIUS अंतर्गत कॉन्फिगर करा. (५) NPS लॉगिंग: SQL सर्व्हर डेटाबेसमध्ये NPS अकाउंटिंग लॉगिंग सक्षम करा. PCI DSS अनुपालनासाठी किमान ९० दिवसांचा लॉग रिटेंशन कालावधी कॉन्फिगर करा. (६) स्थलांतरानंतरचे काम: कर्मचारी SSID वरील WPA2-Personal अक्षम करा. NPS उपलब्ध नसताना केवळ आणीबाणीच्या वापरासाठी सिक्रेट्स मॅनेजरमध्ये सेव्ह केलेल्या गुंतागुंतीच्या PSK सह ते केवळ ब्रेक-ग्लास SSID म्हणून ठेवा.
सराव प्रश्न
Q1. तुमची संस्था सिंगल-साइट कॅम्पसमध्ये ८०० कर्मचारी उपकरणांसाठी 802.1X प्रमाणीकरणाचे समर्थन करणारे FreeRADIUS 3.0.21 सर्व्हर चालवते. RADIUS सर्व्हर सर्व ऍक्सेस पॉईंट्ससारख्याच मॅनेजमेंट VLAN वर आहे. एका पेनिट्रेशन चाचणीमध्ये असे आढळले आहे की ऍक्सेस पॉईंट्स Message-Authenticator ॲट्रिब्यूटशिवाय Access-Request पॅकेट्स पाठवत आहेत. सुरक्षा टीमला ताबडतोब Message-Authenticator लागू करायचा आहे, परंतु नेटवर्क ऑपरेशन्स टीमला ८०० युजर्ससाठी प्रमाणीकरण खंडित होण्याची चिंता आहे. सेवा खंडित होण्याचा धोका कमी करण्यासाठी तुम्ही या समस्येचे निवारण कसे कराल?
टीप: RADIUS सर्व्हरला Message-Authenticator ची आवश्यकता असणे आणि NAS उपकरणांनी ते पाठवणे यामधील फरक लक्षात घ्या. हे वेगवेगळे जोखीम प्रोफाईल असलेले दोन स्वतंत्र कॉन्फिगरेशन बदल आहेत.
नमुना उत्तर पहा
योग्य क्रम पुढीलप्रमाणे आहे: (१) प्रथम, FreeRADIUS ला ३.२.५ वर पॅच करा. ही आवृत्ती डीफॉल्टनुसार Message-Authenticator लागू करते परंतु त्यामध्ये एक सुसंगतता मोड समाविष्ट आहे जो हे ॲट्रिब्यूट नसलेली पॅकेट्स नाकारण्याऐवजी चेतावणी लॉग करतो. यामुळे प्रमाणीकरण ताबडतोब खंडित न करता तुम्हाला पॅच मिळतो. (२) ऍक्सेस पॉईंट फर्मवेअर आवृत्त्यांचे ऑडिट करा. कोणते मॉडेल्स आणि फर्मवेअर आवृत्त्या Access-Request पॅकेट्समध्ये Message-Authenticator ला समर्थन देतात ते ओळखा. (३) ५० उपकरणांच्या पायलट ग्रुपपासून सुरुवात करून बॅचमध्ये ऍक्सेस पॉईंट फर्मवेअर अपडेट करा. प्रत्येक बॅचनंतर प्रमाणीकरण कार्यरत राहते याची खात्री करा. (४) एकदा सर्व ऍक्सेस पॉईंट्स Message-Authenticator पाठवत असल्याची खात्री झाल्यावर, FreeRADIUS सर्व्हरवर कठोर अंमलबजावणी सक्षम करा (clients.conf मध्ये require_message_authenticator = yes). (५) उर्वरित कोणत्याही 'Message-Authenticator missing' चेतावणीसाठी RADIUS लॉगचे निरीक्षण करा, ज्यामुळे फर्मवेअर अपडेट चुकलेली NAS उपकरणे ओळखता येतील. मुख्य तत्त्व हे आहे की तुम्ही काहीही खंडित न करता प्रथम सर्व्हर पॅच करू शकता, कारण सुसंगतता मोड संक्रमण कालावधीला अनुमती देतो. सर्व NAS उपकरणे अपडेट केल्यानंतर, सर्व्हरवर कठोर नकार लागू करणे ही शेवटची पायरी असावी.
Q2. एक कॉन्फरन्स सेंटर ऑपरेटर कॉर्पोरेट कर्मचारी SSID (PEAP-MSCHAPv2 सह 802.1X) आणि इव्हेंट गेस्ट WiFi (MAC Authentication Bypass सह Captive Portal) या दोन्हीसाठी एकच RADIUS सर्व्हर चालवतो. आयटी व्यवस्थापक विचारतात की गेस्ट कॉर्पोरेट क्रेडेंशियलसह प्रमाणित करत नसले तरी, गेस्ट WiFi RADIUS इन्स्टन्स कॉर्पोरेट RADIUS इन्स्टन्सइतक्याच मानकांनुसार सुरक्षित करणे आवश्यक आहे का? तुमची शिफारस काय आहे?
टीप: MAC Authentication Bypass विरुद्ध EAP-आधारित प्रमाणीकरणाला लागू होणारे अटॅक वेक्टर्स आणि गेस्ट व कॉर्पोरेट RADIUS इन्स्टन्स दरम्यानच्या लॅटरल मुव्हमेंटच्या जोखमीचा विचार करा.
नमुना उत्तर पहा
गेस्ट WiFi RADIUS इन्स्टन्सला मजबूत करणे आवश्यक आहे, परंतु विशिष्ट नियंत्रणे कॉर्पोरेट इन्स्टन्सपेक्षा भिन्न आहेत. BlastRADIUS पॅच समान प्रमाणात लागू होतो — क्लायंटद्वारे वापरल्या जाणार्या प्रमाणीकरण (authentication) पद्धतीचा विचार न करता ही असुरक्षितता RADIUS सर्व्हरवर परिणाम करते. सामायिक गुप्त हायजीन (Shared secret hygiene) समान रीतीने लागू होते — गेस्ट Captive Portal कंट्रोलर आणि RADIUS सर्व्हरमधील कमकुवत सामायिक गुप्ततेचा गैरफायदा घेतला जाऊ शकतो, मग EAP वापरात असो किंवा नसो. मुख्य अतिरिक्त जोखीम सामायिक RADIUS सर्व्हर आहे: जर गेस्ट आणि कॉर्पोरेट SSID प्रमाणीकरण विनंत्या एकाच RADIUS सर्व्हर प्रक्रियेद्वारे हाताळल्या गेल्या, तर गेस्ट RADIUS पाथमधील असुरक्षिततेचा वापर कॉर्पोरेट प्रमाणीकरण धोरणावर जाण्यासाठी केला जाऊ शकतो. शिफारस केलेले आर्किटेक्चर म्हणजे स्वतंत्र सामायिक गुप्तता आणि स्वतंत्र पॉलिसी संचांसह गेस्ट आणि कॉर्पोरेट प्रमाणीकरणासाठी स्वतंत्र RADIUS इन्स्टन्सेस (किंवा FreeRADIUS मध्ये किमान स्वतंत्र व्हर्च्युअल सर्व्हर) चालवणे. हे असे विलगीकरण प्रदान करते जेणेकरून गेस्ट RADIUS पाथशी तडजोड झाल्यास कॉर्पोरेट क्रेडेंशियल उघड होणार नाहीत. विशेषतः गेस्ट इन्स्टन्ससाठी: BlastRADIUS साठी पॅच करा, सामायिक गुप्तता रोटेट करा आणि गेस्ट RADIUS इन्स्टन्सला कॉर्पोरेट Active Directory मध्ये प्रवेश नसल्याची खात्री करा. EAP-TLS आणि RadSec आवश्यकता Captive Portal डिप्लॉयमेंटसाठी कमी सुसंगत आहेत, परंतु Captive Portal कंट्रोलर RADIUS सर्व्हरपेक्षा वेगळ्या नेटवर्क सेगमेंटमध्ये असल्यास RadSec चा विचार केला पाहिजे.
Q3. एक आरोग्य सेवा संस्था आपले क्लिनिकल WiFi, WPA2-Personal वरून 802.1X प्रमाणीकरणावर स्थलांतरित करण्याची योजना आखत आहे. संस्थेकडे Windows लॅपटॉप, iOS टॅब्लेट आणि Android हँडहेल्डसह 1,200 क्लिनिकल उपकरणे आहेत. CISO ला लक्ष्य स्थिती म्हणून EAP-TLS हवे आहे. IT संचालक PKI डिप्लॉयमेंटच्या गुंतागुंतीबद्दल काळजीत आहेत आणि कायमस्वरूपी उपाय म्हणून PEAP-MSCHAPv2 चा प्रस्ताव देतात. तुम्ही CISO आणि IT संचालकांना काय सल्ला द्याल आणि शिफारस केलेला अंमलबजावणीचा मार्ग कोणता आहे?
टीप: आरोग्य सेवा पर्यावरणासाठी विशिष्ट थ्रेट मॉडेलचा विचार करा — क्रेडेंशियल तडजोडीचे काय परिणाम होतात आणि EAP-TLS अशा जोखमींचे कसे निराकरण करते जे PEAP-MSCHAPv2 करत नाही?
नमुना उत्तर पहा
CISO चा अंदाज बरोबर आहे, परंतु IT संचालकांची चिंता देखील रास्त आहे. शिफारस केलेला सल्ला असा आहे: EAP-TLS साठी वचनबद्ध 12 महिन्यांच्या रोडमॅपसह, सध्या अंतरिम स्थिती म्हणून PEAP-MSCHAPv2 लागू करा. आरोग्य सेवा क्षेत्रात कायमस्वरूपी उपाय म्हणून PEAP-MSCHAPv2 न स्वीकारण्याचे कारण म्हणजे: (1) क्लायंट-साइड प्रमाणपत्र प्रमाणीकरण लागू न केल्यास PEAP-MSCHAPv2 वर रोग (rogue) RADIUS सर्व्हरद्वारे हल्ला केला जाऊ शकतो. आरोग्य सेवा वातावरणात जेथे क्लिनिकल कर्मचारी वैयक्तिक उपकरणे कनेक्ट करू शकतात, तेथे 1,200 उपकरणांवर सुसंगतपणे सप्लिकंट कॉन्फिगरेशन लागू करणे ऑपरेशनल दृष्ट्या आव्हानात्मक आहे. (2) MSCHAPv2 क्रेडेंशियल, जर रोग RADIUS हल्ल्याद्वारे हस्तगत केले गेले, तर hashcat सारख्या साधनांचा वापर करून ऑफलाइन क्रॅक केले जाऊ शकतात. आरोग्य सेवा संदर्भात, ते क्रेडेंशियल बहुधा क्लिनिकल सिस्टममध्ये प्रवेश देखील प्रदान करतात. (3) NHS DSPT आणि CQC मूल्यमापन वाढत्या प्रमाणात क्लिनिकल नेटवर्क प्रवेशासाठी मजबूत प्रमाणीकरण नियंत्रणांची अपेक्षा करतात. EAP-TLS अधिक मजबूत ऑडिट पुरावा प्रदान करते. अंमलबजावणीचा मार्ग: महिना 1-2: सर्व 1,200 उपकरणांवर MDM प्रोफाइलद्वारे सर्व्हर प्रमाणपत्र प्रमाणीकरण लागू करून PEAP-MSCHAPv2 डिप्लॉय करा. महिना 3-6: PKI इन्फ्रास्ट्रक्चर म्हणून Microsoft ADCS डिप्लॉय करा. Group Policy ऑटो-एन्रोलमेंटद्वारे Windows उपकरणे नोंदणीकृत करा. महिना 6-9: MDM प्रमाणपत्र प्रोफाइलद्वारे iOS आणि Android उपकरणे नोंदणीकृत करा. महिना 9-12: क्लिनिकल SSID पॉलिसी PEAP वरून EAP-TLS वर स्थलांतरित करा. प्रमाणपत्र नोंदणी अपयशी ठरणाऱ्या कोणत्याही उपकरणांसाठी वर्धित मॉनिटरिंगसह फॉलबॅक म्हणून PEAP राखून ठेवा. क्लिनिकल नेटवर्क सुरक्षा आर्किटेक्चरबद्दल अधिक माहितीसाठी, WiFi in Hospitals guide संबंधित डिप्लॉयमेंट संदर्भ प्रदान करते.
या मालिकेमध्ये पुढे वाचा
Cisco Catalyst WLC आणि अतिथी WiFi: Purple सह कॅप्टिव्ह पोर्टल सेटअप
Cisco Catalyst 9800 (IOS-XE) वायरलेस LAN कंट्रोलर Purple अतिथी WiFi सह कसे कार्य करतो: बाह्य वेब प्रमाणीकरण, RADIUS आणि वॉल्ड गार्डन, अचूक कॉन्फिगरेशनसाठी Purple च्या टप्प्याटप्प्याने सेटअप मार्गदर्शिकेच्या लिंकसह.
OpenWrt आणि अतिथी WiFi: Purple सह कॅप्टिव्ह पोर्टल सेटअप
Purple चे क्लाउड अतिथी WiFi मानक बाह्य कॅप्टिव्ह पोर्टल आणि RADIUS द्वारे OpenWrt डिव्हाइसेससह कसे कार्य करते आणि सपोर्ट कुठे तपासायचा व पायऱ्या कुठे शोधायच्या.
Juniper Mist आणि अतिथी WiFi: Purple सह कॅप्टिव्ह पोर्टल सेटअप
बाह्य पोर्टल आणि Mist API secret चा वापर करून Juniper Mist ॲक्सेस पॉइंट्स Purple अतिथी WiFi सह कसे कार्य करतात, ज्यामध्ये Mist कॅप्टिव्ह पोर्टलसाठी RADIUS वापरत नसल्यामुळे काय फरक पडतो याचा समावेश आहे.