RADIUS असुरक्षा कमी करणे: एक सुरक्षा बळकटीकरण मार्गदर्शक
हे मार्गदर्शक हॉस्पिटॅलिटी, रिटेल, इव्हेंट्स आणि सार्वजनिक क्षेत्रातील वातावरणात एंटरप्राइझ WiFi इन्फ्रास्ट्रक्चरसाठी जबाबदार असलेल्या IT व्यवस्थापक, नेटवर्क आर्किटेक्ट आणि CTO साठी एक सर्वसमावेशक, कृतीयोग्य संदर्भ प्रदान करते. हे RADIUS सर्व्हर डिप्लॉयमेंट्सच्या संपूर्ण अटॅक सरफेसला कव्हर करते — MD5 कोलिजन असुरक्षा आणि कमकुवत शेअर्ड सिक्रेट्सपासून ते अनएन्क्रिप्टेड UDP ट्रान्सपोर्ट आणि चुकीच्या कॉन्फिगर केलेल्या EAP पद्धतींपर्यंत — आणि IEEE 802.1X, PCI DSS आणि GDPR आवश्यकतांशी संरेखित एक प्राधान्यकृत बळकटीकरण रोडमॅप प्रदान करते. ज्या संस्था या शिफारसींची अंमलबजावणी करतील त्या क्रेडेंशियल-आधारित नेटवर्क अटॅक्सचा धोका लक्षणीयरीत्या कमी करतील, अनुपालन दायित्वे पूर्ण करतील आणि त्यांच्या गेस्ट आणि कॉर्पोरेट WiFi इन्फ्रास्ट्रक्चरसाठी एक बचावात्मक सुरक्षा स्थिती तयार करतील.
हे मार्गदर्शक ऐका
पॉडकास्ट ट्रान्सक्रिप्ट पहा
कार्यकारी सारांश
RADIUS (रिमोट ऑथेंटिकेशन डायल-इन युजर सर्व्हिस) एंटरप्राइझ WiFi डिप्लॉयमेंट्समध्ये नेटवर्क ॲक्सेस कंट्रोलसाठी प्रमुख प्रोटोकॉल राहिला आहे, जो हॉटेल्स, रिटेल इस्टेट्स, स्टेडियम्स, कॉन्फरन्स सेंटर्स आणि सार्वजनिक क्षेत्रातील इमारतींमध्ये IEEE 802.1X प्रमाणीकरणाला आधार देतो. तथापि, RADIUS ची रचना १९९० च्या दशकात करण्यात आली होती, आणि त्याचे अनेक मूलभूत डिझाइन निर्णय — MD5 हॅशिंगवरील अवलंबित्व, नेटिव्ह एन्क्रिप्शनशिवाय UDP ट्रान्सपोर्ट आणि स्टॅटिक शेअर्ड सिक्रेट्स — सध्याच्या धोक्याच्या वातावरणात महत्त्वपूर्ण दायित्वे बनले आहेत.
जुलै २०२४ मध्ये, BlastRADIUS असुरक्षिततेने (CVE-2024-3596) हे दाखवून दिले की मॅन-इन-द-मिडल अटॅकर Access-Request पॅकेट्समधील MD5 इंटिग्रिटी कमकुवतपणाचा फायदा घेऊन RADIUS Access-Accept रिस्पॉन्स बनावट बनवू शकतो. याचा परिणाम FreeRADIUS, Cisco ISE आणि Microsoft NPS सह सर्व प्रमुख RADIUS अंमलबजावणीवर होतो. अनपॅच केलेले डिप्लॉयमेंट्स अजूनही धोक्यात आहेत.
हे मार्गदर्शक पॅच व्यवस्थापन, शेअर्ड सिक्रेट हायजीन, EAP पद्धत निवड, RadSec डिप्लॉयमेंट, प्रशासकीय ॲक्सेससाठी मल्टी-फॅक्टर ऑथेंटिकेशन (MFA) आणि विसंगती शोधण्यासाठी SIEM एकत्रीकरण कव्हर करणारा प्राधान्यकृत बळकटीकरण रोडमॅप प्रदान करते. हे अशा IT व्यावसायिकांसाठी लिहिले आहे ज्यांना पुढच्या वर्षी नाही, तर याच तिमाहीत एक बचावात्मक निर्णय घेण्याची आवश्यकता आहे.
तांत्रिक सखोल माहिती
RADIUS कसे कार्य करते आणि ते कुठे खंडित होते
RADIUS नेटवर्क ॲक्सेस सर्व्हर (NAS) — सामान्यतः WiFi ॲक्सेस पॉईंट, स्विच किंवा VPN कॉन्सन्ट्रेटर — आणि ॲक्टिव्ह डिरेक्टरी किंवा LDAP सारख्या बॅकएंड आयडेंटिटी स्टोअरच्या विरूद्ध क्रेडेंशियल्स प्रमाणित करणाऱ्या RADIUS सर्व्हर दरम्यान क्लायंट-सर्व्हर प्रोटोकॉल म्हणून कार्य करते. प्रमाणीकरण एक्सचेंज RFC 2865 मध्ये परिभाषित केलेल्या रिक्वेस्ट-चॅलेंज-रिस्पॉन्स मॉडेलचे अनुसरण करते, ज्यामध्ये अकाउंटिंग RFC 2866 अंतर्गत स्वतंत्रपणे हाताळले जाते.
हा प्रोटोकॉल UDP वर प्रमाणीकरण पॅकेट्स प्रसारित करतो, प्रमाणीकरणासाठी पोर्ट 1812 आणि अकाउंटिंगसाठी पोर्ट 1813. शेअर्ड सिक्रेट — NAS आणि RADIUS सर्व्हर दोन्हीवर कॉन्फिगर केलेली प्री-शेअर्ड की — रिस्पॉन्स ऑथेंटिकेटर फील्ड तयार करण्यासाठी आणि MD5-आधारित XOR सायफरद्वारे User-Password ॲट्रिब्यूट अस्पष्ट (obfuscate) करण्यासाठी वापरली जाते. हे कोणत्याही आधुनिक अर्थाने एन्क्रिप्शन नाही; हे अस्पष्टीकरण आहे, आणि ते पूर्णपणे शेअर्ड सिक्रेटच्या गोपनीयतेवर आणि सामर्थ्यावर अवलंबून असते.
ठराविक RADIUS डिप्लॉयमेंटमधील पाच प्राथमिक असुरक्षा वर्ग खालीलप्रमाणे आहेत.
MD5 कोलिजन आणि इंटिग्रिटी असुरक्षा. BlastRADIUS अटॅक (CVE-2024-3596) Access-Request पॅकेट्सवरील इंटिग्रिटी संरक्षणाच्या अभावाचा फायदा घेतो. कारण NAS अनेक कॉन्फिगरेशन्समध्ये डीफॉल्टनुसार Message-Authenticator ॲट्रिब्यूट समाविष्ट करत नाही, मॅन-इन-द-मिडल पोझिशन असलेला अटॅकर RADIUS सर्व्हरपर्यंत पोहोचण्यापूर्वी पॅकेटमध्ये क्राफ्ट केलेले ॲट्रिब्यूट इंजेक्ट करू शकतो. MD5 चोझन-प्रिफिक्स कोलिजन तंत्राचा फायदा घेऊन, अटॅकर पॅकेटमध्ये अशी फेरफार करू शकतो की RADIUS सर्व्हर सुधारित पॅकेटसाठी वैध रिस्पॉन्स ऑथेंटिकेटर मोजतो, आणि नाकारल्या जाणाऱ्या विनंतीसाठी Access-Accept परत करतो. यावरील उपाय म्हणजे सर्व Access-Request पॅकेट्सवर Message-Authenticator ॲट्रिब्यूट सक्तीचे करणे, जे संपूर्ण पॅकेटवर HMAC-MD5 इंटिग्रिटी संरक्षण प्रदान करते. हा केवळ सर्व्हर पॅच नसून NAS आणि RADIUS सर्व्हर दोन्हीवरील कॉन्फिगरेशन बदल आहे.
कमकुवत किंवा स्टॅटिक शेअर्ड सिक्रेट्स. शेअर्ड सिक्रेट हा RADIUS एक्सचेंजचा क्रिप्टोग्राफिक अँकर आहे. जर ते लहान असेल, अंदाज लावण्यासारखे असेल किंवा रोटेट केले नसेल, तर RADIUS ट्रॅफिक कॅप्चर करणारा अटॅकर — जे ARP स्पूफिंग किंवा तडजोड केलेल्या नेटवर्क डिव्हाइसद्वारे शक्य आहे — User-Password ॲट्रिब्यूट विरूद्ध ऑफलाइन ब्रूट-फोर्स अटॅक करू शकतो. लक्षात ठेवलेल्या सिक्रेट्सवरील NIST SP 800-63B मार्गदर्शन येथे लागू होते: सिक्रेट्स किमान २० अक्षरांचे असावेत, यादृच्छिकपणे (randomly) व्युत्पन्न केलेले असावेत आणि सिक्रेट्स मॅनेजमेंट सिस्टममध्ये संग्रहित केलेले असावेत. डझनभर किंवा शेकडो NAS डिव्हाइसेस असलेल्या मोठ्या इस्टेट्ससाठी, मॅन्युअल रोटेशन ऑपरेशनलदृष्ट्या अशक्य आहे; HashiCorp Vault किंवा तत्सम सिक्रेट्स मॅनेजरद्वारे ऑटोमेशन हा योग्य दृष्टिकोन आहे.
अनएन्क्रिप्टेड UDP ट्रान्सपोर्ट. UDP वरील स्टँडर्ड RADIUS कोणतेही ट्रान्सपोर्ट-लेयर गोपनीयता प्रदान करत नाही. User-Password ॲट्रिब्यूट अस्पष्ट केले जाते परंतु एन्क्रिप्ट केले जात नाही. युजरनेम, NAS IP आणि सेशन मेटाडेटासह इतर सर्व ॲट्रिब्यूट्स क्लिअरटेक्स्टमध्ये प्रसारित केले जातात. RadSec (TLS वरील RADIUS), RFC 6614 मध्ये परिभाषित आणि RFC 7360 मध्ये अद्यतनित केलेले, TCP पोर्ट 2083 वर TLS 1.2 किंवा TLS 1.3 सेशनमध्ये RADIUS प्रोटोकॉल गुंडाळून याचे निराकरण करते. RadSec NAS आणि RADIUS सर्व्हर दरम्यान म्युच्युअल सर्टिफिकेट ऑथेंटिकेशन, पूर्ण पेलोड एन्क्रिप्शन आणि रिप्ले संरक्षण प्रदान करते. अविश्वासू नेटवर्क सीमेवरून जाणाऱ्या कोणत्याही RADIUS ट्रॅफिकसाठी हे योग्य ट्रान्सपोर्ट आहे.
EAP पद्धत निवड. एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल (EAP) 802.1X फ्रेमवर्कमध्ये वापरलेली इनर ऑथेंटिकेशन पद्धत परिभाषित करते. EAP-MD5 नाकारले गेले आहे आणि ते सर्व डिप्लॉयमेंट्समधून त्वरित काढून टाकले पाहिजे — ते कोणतेही म्युच्युअल ऑथेंटिकेशन आणि क्रेडेंशियल हार्वेस्टिंग विरूद्ध संरक्षण प्रदान करत नाही. PEAP (प्रोटेक्टेड EAP) आणि EAP-TTLS क्रेडेंशियल्स प्रसारित करण्यापूर्वी सर्व्हर सर्टिफिकेट वापरून TLS टनेल स्थापित करतात, म्युच्युअल ऑथेंटिकेशन प्रदान करतात आणि इनर पद्धतीला इव्हस्ड्रॉपिंगपासून संरक्षित करतात. EAP-TLS पासवर्ड पूर्णपणे काढून टाकते, सर्व्हर आणि क्लायंट दोघांनाही X.509 सर्टिफिकेट्स सादर करणे आवश्यक करते. हे फिशिंग आणि ब्रूट-फोर्स अटॅक्सपासून सुरक्षित आहे आणि उच्च-सुरक्षा वातावरणासाठी शिफारस केलेली पद्धत आहे.
अपुरी लॉगिंग आणि मॉनिटरिंग. RADIUS अकाउंटिंग प्रत्येक प्रमाणीकरण इव्हेंट रेकॉर्ड करते — यश, अपयश, सेशन सुरू, सेशन थांबणे. हा डेटा क्षमता नियोजनासाठी ऑपरेशनलदृष्ट्या मौल्यवान आहे आणि WiFi Analytics साठी व्यावसायिकदृष्ट्या मौल्यवान आहे, परंतु तो एक महत्त्वपूर्ण सुरक्षा टेलिमेट्री स्रोत देखील आहे. अयशस्वी प्रमाणीकरण वादळे, अनपेक्षित MAC ॲड्रेसेसवरून प्रमाणीकरण आणि ऑफ-अवर्स ॲक्सेस पॅटर्न हे सर्व RADIUS अकाउंटिंग लॉगवरून शोधण्यायोग्य आहेत. बहुतेक संस्था हा डेटा SIEM मध्ये घेत नाहीत, आणि जे घेतात त्यांच्याकडे अनेकदा कोणतेही अलर्ट थ्रेशोल्ड कॉन्फिगर केलेले नसतात.
BlastRADIUS अटॅक सविस्तर
BlastRADIUS जुलै २०२४ मध्ये बोस्टन युनिव्हर्सिटी आणि युनिव्हर्सिटी ऑफ कॅलिफोर्निया सॅन दिएगो येथील संशोधकांनी उघड केले. या अटॅकसाठी NAS आणि RADIUS सर्व्हर दरम्यान मॅन-इन-द-मिडल पोझिशन आवश्यक आहे — जे शेअर्ड नेटवर्क सेगमेंटवरील ARP पॉयझनिंग, तडजोड केलेला राउटर किंवा नेटवर्क ॲक्सेस असलेल्या दुर्भावनापूर्ण इनसायडरद्वारे साध्य करता येते.
अटॅक खालीलप्रमाणे पुढे जातो: अटॅकर NAS कडून Access-Request पॅकेट इंटरसेप्ट करतो. कारण पॅकेटमध्ये Message-Authenticator ॲट्रिब्यूटचा अभाव असतो (अनेक कॉन्फिगरेशन्समध्ये डीफॉल्ट), अटॅकरला पॅकेटच्या ॲट्रिब्यूट सूचीमध्ये बदल करण्याचे स्वातंत्र्य असते. MD5 चोझन-प्रिफिक्स कोलिजन वापरून, अटॅकर एक सुधारित पॅकेट तयार करतो जे, RADIUS सर्व्हरद्वारे प्रक्रिया केल्यावर, मूळ पॅकेटप्रमाणेच रिस्पॉन्स ऑथेंटिकेटर तयार करते. त्यामुळे सर्व्हर अशा विनंतीसाठी Access-Accept परत करतो ज्यामध्ये अटॅकर-नियंत्रित ॲट्रिब्यूट्स असतात — ज्यामध्ये ॲडमिनिस्ट्रेटिव्हचा Service-Type समाविष्ट असतो, जो पूर्ण नेटवर्क ॲक्सेस देतो.
हा अटॅक PEAP आणि EAP-TTLS डिप्लॉयमेंट्स विरूद्ध व्यावहारिक आहे जेथे इनर पद्धत MSCHAPv2 वापरते. याचा EAP-TLS डिप्लॉयमेंट्सवर परिणाम होत नाही, कारण सर्टिफिकेट-आधारित म्युच्युअल ऑथेंटिकेशन इंटिग्रिटी संरक्षण प्रदान करते जे MD5 कमकुवत करू शकत नाही.
कॉर्पोरेट 802.1X सोबत Guest WiFi चालवणाऱ्या संस्थांसाठी, गेस्ट नेटवर्कचा RADIUS इन्स्टन्स देखील पॅच करणे आवश्यक आहे, जरी तो EAP ऐवजी MAC Authentication Bypass वापरत असला तरीही. शेअर्ड सिक्रेट हायजीन आणि Message-Authenticator आवश्यकता समान रीतीने लागू होतात.
अंमलबजावणी मार्गदर्शक
टप्पा १: त्वरित उपाययोजना (आठवडा १-२)
पहिली प्राथमिकता पॅचिंग आहे. FreeRADIUS 3.2.5 आणि 3.0.27 मध्ये BlastRADIUS फिक्स समाविष्ट आहे आणि डीफॉल्टनुसार Message-Authenticator सक्तीचे करते. Cisco ISE 3.1 Patch 8, 3.2 Patch 4, आणि 3.3 Patch 1 या असुरक्षिततेचे निराकरण करतात. Microsoft ने जुलै २०२४ मध्ये Windows Server 2022 NPS साठी KB5040434 जारी केले. तुमच्या वर्तमान आवृत्त्या तपासा आणि तुमच्या पुढील शेड्यूल्ड चेंज विंडोमध्ये पॅचेस लागू करा.
त्याच वेळी, तुमच्या NAS डिव्हाइस फर्मवेअरचे ऑडिट करा. Message-Authenticator सक्ती तेव्हाच प्रभावी ठरते जेव्हा NAS देखील ॲट्रिब्यूट पाठवते. तुमच्या ॲक्सेस पॉईंट आणि स्विच व्हेंडर ॲडव्हायझरीज तपासा — Aruba, Ruckus, Cisco आणि Juniper सर्वांनी BlastRADIUS चे निराकरण करणारे फर्मवेअर अपडेट्स जारी केले आहेत. जर तुम्ही Ruckus हार्डवेअर चालवत असाल, तर wireless access point Ruckus guide संबंधित फर्मवेअर व्यवस्थापन संदर्भ प्रदान करते.
पॅचनंतर उद्भवू शकणाऱ्या Troubleshooting Windows 11 802.1X Authentication Issues साठी, सर्वात सामान्य कारण म्हणजे NPS सर्व्हर अशा क्लायंट्सचे कनेक्शन्स नाकारतो ज्यांच्यामध्ये Message-Authenticator समाविष्ट नाही — हे एक योग्य सुरक्षा वर्तन आहे ज्यासाठी जुन्या Windows क्लायंट्सवर सप्लिकंट रिकॉन्फिगरेशनची आवश्यकता असू शकते.
टप्पा २: शेअर्ड सिक्रेट हायजीन (आठवडा २-४)
तुमच्या RADIUS सर्व्हरवर नोंदणीकृत NAS क्लायंट्सची संपूर्ण यादी एक्सपोर्ट करा. प्रत्येक एंट्रीसाठी, शेअर्ड सिक्रेटची लांबी आणि ते शेवटचे कधी बदलले गेले याची तारीख रेकॉर्ड करा. २० अक्षरांपेक्षा कमी असलेले किंवा २४ महिन्यांपेक्षा जास्त काळ न बदललेले कोणतेही सिक्रेट त्वरित रोटेट केले पाहिजे.
नवीन सिक्रेट्ससाठी, क्रिप्टोग्राफिकली रँडम जनरेटर वापरा — openssl rand -base64 32 एक ४४-अक्षरी base64 स्ट्रिंग तयार करते जी RADIUS शेअर्ड सिक्रेट म्हणून वापरण्यासाठी योग्य आहे. सर्व सिक्रेट्स सिक्रेट्स मॅनेजमेंट सिस्टममध्ये संग्रहित करा. रोटेशन शेड्यूल लागू करा: कमी-जोखीम असलेल्या NAS डिव्हाइसेससाठी वार्षिक, PCI DSS स्कोपमधील NAS डिव्हाइसेससाठी दर सहा महिन्यांनी.
टप्पा ३: EAP पद्धत रॅशनलायझेशन (महिना १-२)
तुमच्या RADIUS सर्व्हरच्या परवानगी असलेल्या EAP पद्धतींचे ऑडिट करा. EAP-MD5 अक्षम करा. जर तुम्ही PEAP-MSCHAPv2 चालवत असाल, तर सर्व सप्लिकंट्सवर सर्व्हर सर्टिफिकेट व्हॅलिडेशन सक्तीचे असल्याची खात्री करा — कोणतेही सर्व्हर सर्टिफिकेट स्वीकारणारा चुकीचा कॉन्फिगर केलेला सप्लिकंट रोग (rogue) RADIUS सर्व्हर अटॅक्ससाठी असुरक्षित असतो. PCI DSS स्कोपमधील वातावरणासाठी, EAP-TLS हा शिफारस केलेला मार्ग आहे. जर तुमच्याकडे विद्यमान सर्टिफिकेट इन्फ्रास्ट्रक्चर नसेल तर PKI नियोजन सुरू करा.
Securing Guest WiFi Networks साठी, लक्षात घ्या की गेस्ट नेटवर्क्स सामान्यतः 802.1X ऐवजी Captive Portal प्रमाणीकरण वापरतात, त्यामुळे EAP पद्धत बळकटीकरण प्रामुख्याने कॉर्पोरेट आणि स्टाफ SSID ला लागू होते.
टप्पा ४: RadSec डिप्लॉयमेंट (महिना २-३)
अविश्वासू नेटवर्क सीमा ओलांडणाऱ्या सर्व RADIUS ट्रॅफिक मार्गांची ओळख करा. सामान्य परिस्थितींमध्ये हे समाविष्ट आहे: इंटरनेटवरून रिमोट हॉटेल प्रॉपर्टीजला सेवा देणारा मध्यवर्ती RADIUS सर्व्हर; ऑन-प्रिमाइसेस NAS डिव्हाइसेसद्वारे ॲक्सेस केलेली क्लाउड-होस्टेड RADIUS सेवा; आणि RADIUS प्रॉक्सी चेन्स जिथे ट्रॅफिक एकाधिक नेटवर्क डोमेन्समधून जाते.
प्रत्येक ओळखलेल्या मार्गासाठी, RadSec कॉन्फिगर करा. FreeRADIUS वर, यासाठी पोर्ट 2083 वर tls लिसनर सक्षम करणे आणि तुमच्या PKI कडील सर्टिफिकेट्ससह म्युच्युअल TLS कॉन्फिगर करणे आवश्यक आहे. Cisco ISE वर, RadSec Administration > Network Devices अंतर्गत कॉन्फिगर केले जाते. TLS 1.2 ही किमान आवृत्ती असल्याची खात्री करा; TLS 1.0 आणि 1.1 स्पष्टपणे अक्षम करा.
टप्पा ५: प्रशासकीय ॲक्सेससाठी MFA (महिना २-३)
RADIUS सर्व्हरचा मॅनेजमेंट इंटरफेस हे एक उच्च-मूल्य असलेले लक्ष्य आहे. RADIUS सर्व्हरशी तडजोड करणारा अटॅकर प्रमाणीकरण धोरणे सुधारू शकतो, शेअर्ड सिक्रेट्स काढू शकतो आणि प्रमाणीकरण ट्रॅफिक पुनर्निर्देशित करू शकतो. RADIUS सर्व्हर आणि त्याच्या अंतर्निहित ऑपरेटिंग सिस्टमच्या सर्व प्रशासकीय लॉगिन्ससाठी MFA सक्तीचे करा. मॅनेजमेंट ॲक्सेस एका समर्पित आउट-ऑफ-बँड मॅनेजमेंट VLAN पुरता मर्यादित करा. रोल-बेस्ड ॲक्सेस कंट्रोल लागू करा: नेटवर्क इंजिनिअर्सना सुरक्षा प्रशासकांसारखेच विशेषाधिकार नसावेत.
टप्पा ६: SIEM एकत्रीकरण आणि अलर्टिंग (महिना ३-४)
तुमच्या SIEM ला रिअल टाइममध्ये अकाउंटिंग लॉग्स फॉरवर्ड करण्यासाठी तुमचा RADIUS सर्व्हर कॉन्फिगर करा. बेसलाइन म्हणून खालील अलर्ट थ्रेशोल्ड्स परिभाषित करा:
| अलर्ट | थ्रेशोल्ड | तीव्रता |
|---|---|---|
| एकाच MAC वरून अयशस्वी प्रमाणीकरण | ६० सेकंदात >५ | उच्च |
| ॲक्सेस-रिजेक्ट दरात वाढ | ७-दिवसांच्या बेसलाइनच्या >२००% | मध्यम |
| कॉर्पोरेट SSID वर नवीन MAC वरून प्रमाणीकरण | पहिली घटना | मध्यम |
| RADIUS सर्व्हर प्रमाणपत्र समाप्ती | ९० / ३० / ७ दिवस | उच्च / गंभीर / गंभीर |
| शेअर्ड सिक्रेट मिसमॅच त्रुटी | कोणतीही घटना | उच्च |
सर्वोत्तम पद्धती
खालील शिफारसी IEEE 802.1X, NIST SP 800-63B, PCI DSS v4.0 आणि व्हेंडर सिक्युरिटी ॲडव्हायझरीजचे एकमत दर्शवतात.
सर्टिफिकेट मॅनेजमेंट. EAP-TLS किंवा RadSec वापरणाऱ्या कोणत्याही डिप्लॉयमेंटच्या प्रमाणीकरण मार्गावर X.509 सर्टिफिकेट्स असतात. एंटरप्राइझ WiFi डिप्लॉयमेंट्समध्ये अचानक, संपूर्ण प्रमाणीकरण निकामी होण्याचे सर्वात सामान्य कारण म्हणजे सर्टिफिकेट समाप्ती. स्वयंचलित सर्टिफिकेट लाइफसायकल मॅनेजमेंट लागू करा. समाप्तीच्या ९०, ३० आणि ७ दिवस आधी मॉनिटरिंग अलर्ट सेट करा. RADIUS सर्व्हर सर्टिफिकेट्ससाठी, SHA-256 किंवा अधिक मजबूत सिग्नेचर अल्गोरिदमसह किमान 2048-बिट RSA किंवा 256-बिट ECDSA की आकार वापरा. SHA-1 वापरू नका.
नेटवर्क सेगमेंटेशन. RADIUS सर्व्हर एका समर्पित मॅनेजमेंट नेटवर्क सेगमेंटवर असावा, जो गेस्ट नेटवर्क आणि सामान्य कॉर्पोरेट नेटवर्क दोन्हीपासून वेगळा असावा. RADIUS पोर्ट्स (UDP 1812, 1813, RadSec साठी TCP 2083) वरील ॲक्सेस फायरवॉल ACL द्वारे नोंदणीकृत NAS डिव्हाइसेसच्या विशिष्ट IP ॲड्रेसेसपुरता मर्यादित असावा. RADIUS पोर्ट्सवर थेट इंटरनेट ॲक्सेस नसावा.
रिडंडन्सी आणि हाय अव्हेलेबिलिटी. एकच RADIUS सर्व्हर हा तुमच्या संपूर्ण नेटवर्क ॲक्सेस कंट्रोल इन्फ्रास्ट्रक्चरसाठी सिंगल पॉईंट ऑफ फेल्युअर आहे. ॲक्टिव्ह-पॅसिव्ह किंवा ॲक्टिव्ह-ॲक्टिव्ह कॉन्फिगरेशनमध्ये किमान दोन RADIUS सर्व्हर्स तैनात करा. २४/७ गेस्ट कनेक्टिव्हिटी आवश्यकता असलेल्या Hospitality डिप्लॉयमेंट्ससाठी, RADIUS सर्व्हर डाउनटाइम हा थेट गेस्ट WiFi डाउनटाइमच्या समतुल्य आहे — जो एक प्रतिष्ठेचा आणि व्यावसायिक धोका आहे.
WPA3 आणि 802.1X. WPA3-Enterprise सरकारी आणि उच्च-सुरक्षा डिप्लॉयमेंट्ससाठी 192-बिट सिक्युरिटी मोडचा वापर अनिवार्य करते, ज्यासाठी डेटा एन्क्रिप्शनसाठी AES-256-GCMP आणि प्रमाणीकरणासाठी HMAC-SHA-384 आवश्यक आहे. बहुतांश एंटरप्राइझ डिप्लॉयमेंट्ससाठी, स्टँडर्ड 128-बिट सिक्युरिटीसह WPA3-Enterprise हे WPA2-Enterprise पेक्षा लक्षणीय सुधारणा आहे, विशेषतः EAP-TLS च्या संयोजनात. कार्ड पेमेंट्सवर प्रक्रिया करणाऱ्या Retail वातावरणांनी WPA3-Enterprise चा अवलंब PCI DSS जोखीम कमी करण्याचा उपाय म्हणून मानला पाहिजे.
व्हेंडर पॅच कॅडेन्स. तुमच्या RADIUS सर्व्हर व्हेंडर आणि तुमच्या NAS डिव्हाइस व्हेंडर्सच्या सिक्युरिटी ॲडव्हायझरीज सबस्क्राईब करा. FreeRADIUS, Cisco, Microsoft, Aruba आणि Ruckus सर्वजण CVE नोटिफिकेशन्स प्रकाशित करतात. परिभाषित SLA सह तुमच्या असुरक्षा व्यवस्थापन कार्यक्रमात हे समाकलित करा: गंभीर असुरक्षा (CVSS ≥ 9.0) ७२ तासांच्या आत पॅच केल्या जाव्यात; उच्च असुरक्षा (CVSS 7.0–8.9) १४ दिवसांच्या आत.
समस्यानिवारण आणि जोखीम शमन
सामान्य फेल्युअर मोड्स
पॅचनंतर प्रमाणीकरण अपयश. BlastRADIUS पॅचेस लागू केल्यानंतर, काही NAS डिव्हाइसेस प्रमाणीकृत करण्यात अयशस्वी होऊ शकतात जर त्यांचे फर्मवेअर Message-Authenticator ला सपोर्ट करत नसेल. लक्षणे: वापरकर्त्याच्या क्रेडेंशियल्समध्ये कोणताही बदल न होता Access-Reject रिस्पॉन्समध्ये अचानक वाढ. निदान: RADIUS डीबग लॉगिंग सक्षम करा आणि "Message-Authenticator required but not present" त्रुटी तपासा. निराकरण: NAS फर्मवेअर अपडेट करा किंवा, तात्पुरता उपाय म्हणून, फर्मवेअर अपडेट्स शेड्यूल्ड असेपर्यंत विशिष्ट NAS IPs कडून Message-Authenticator शिवाय विनंत्या स्वीकारण्यासाठी RADIUS सर्व्हर कॉन्फिगर करा.
EAP-TLS मध्ये सर्टिफिकेट व्हॅलिडेशन अपयश. लक्षणे: क्लायंट्सना RADIUS लॉग्समध्ये संबंधित Access-Reject शिवाय "Authentication Failed" मिळते. निदान: RADIUS सर्व्हरची सर्टिफिकेट चेन तपासा — इश्यू करणारा CA क्लायंटच्या सप्लिकंटद्वारे विश्वसनीय आहे का? सर्व्हर सर्टिफिकेट त्याच्या वैधता कालावधीत आहे का? निराकरण: RADIUS सर्व्हरवर संपूर्ण सर्टिफिकेट चेन (लीफ + इंटरमीडिएट + रूट) कॉन्फिगर केलेली असल्याची खात्री करा. MDM किंवा ग्रुप पॉलिसीद्वारे क्लायंट डिव्हाइसेसवर रूट CA सर्टिफिकेट पुश करा.
RadSec TLS हँडशेक अपयश. लक्षणे: कॉन्फिगरेशन बदलल्यानंतर NAS डिव्हाइसेस RadSec कनेक्शन्स स्थापित करण्यात अयशस्वी होतात. निदान: TLS आवृत्ती सुसंगतता तपासा — जुने NAS फर्मवेअर TLS 1.2 ला सपोर्ट करत नसू शकते. म्युच्युअल सर्टिफिकेट ऑथेंटिकेशन तपासा — दोन्ही बाजूंनी एकमेकांच्या CA वर विश्वास ठेवला पाहिजे. निराकरण: NAS फर्मवेअर रिलीज नोट्समध्ये TLS आवृत्ती सपोर्ट तपासा; NAS डिव्हाइस सर्टिफिकेट्स RADIUS सर्व्हरद्वारे विश्वसनीय असलेल्या त्याच CA द्वारे जारी केले आहेत याची खात्री करा.
शेअर्ड सिक्रेट मिसमॅच. लक्षणे: विशिष्ट NAS कडील सर्व प्रमाणीकरणे "Invalid authenticator" त्रुटींसह अयशस्वी होतात. निदान: NAS कॉन्फिगरेशन आणि RADIUS सर्व्हर क्लायंट एंट्री दरम्यान शेअर्ड सिक्रेट मिसमॅच. निराकरण: दोन्ही बाजूंनी शेअर्ड सिक्रेट पुन्हा प्रविष्ट करा, कोणतेही ट्रेलिंग स्पेसेस किंवा कॅरेक्टर एन्कोडिंग समस्या नाहीत याची खात्री करा. ट्रान्सक्रिप्शन त्रुटी टाळण्यासाठी सिक्रेट्स मॅनेजरमधून कॉपी-पेस्ट वापरा.
जोखीम रजिस्टर
| जोखीम | शक्यता | प्रभाव | शमन नियंत्रण |
|---|---|---|---|
| BlastRADIUS एक्सप्लॉयटेशन | उच्च (अनपॅच केलेले) | गंभीर | पॅच + Message-Authenticator सक्ती |
| शेअर्ड सिक्रेट ब्रूट-फोर्स | मध्यम | उच्च | ३२-अक्षरी रँडम सिक्रेट्स, वार्षिक रोटेशन |
| रोग (Rogue) RADIUS सर्व्हर | मध्यम | उच्च | EAP-TLS म्युच्युअल ऑथेंटिकेशन, सर्टिफिकेट पिनिंग |
| RADIUS सर्व्हर प्रमाणपत्र समाप्ती | उच्च | गंभीर | स्वयंचलित मॉनिटरिंग, ९०-दिवसांचे अलर्ट |
| 802.1X द्वारे क्रेडेंशियल स्टफिंग | मध्यम | उच्च | अकाउंट लॉकआउट धोरणे, SIEM अलर्टिंग |
| RADIUS सर्व्हर तडजोड | कमी | गंभीर | ॲडमिन ॲक्सेससाठी MFA, नेटवर्क सेगमेंटेशन |
ROI आणि व्यावसायिक प्रभाव
जोखमीचे प्रमाण ठरवणे
जेव्हा ब्रीचच्या खर्चाच्या विरूद्ध फ्रेम केले जाते तेव्हा RADIUS बळकटीकरणासाठी आर्थिक केस सरळ असते. २०२४ मध्ये यूकेमध्ये डेटा ब्रीचचा सरासरी खर्च £३.५८ दशलक्ष होता, ज्यामध्ये नियामक दंड, उपाययोजना, कायदेशीर खर्च आणि प्रतिष्ठेचे नुकसान समाविष्ट आहे. PCI DSS स्कोपमधील संस्थांसाठी — ज्यामध्ये WiFi वर कार्ड पेमेंट्सवर प्रक्रिया करणारा जवळजवळ प्रत्येक Retail आणि Hospitality ऑपरेटर समाविष्ट आहे — कार्डधारक डेटा उघड करणारा नेटवर्क ॲक्सेस कंट्रोल ब्रीच अनिवार्य फॉरेन्सिक तपासणी, संभाव्य कार्ड स्कीम दंड आणि कार्ड प्रोसेसिंग विशेषाधिकारांचे संभाव्य निलंबन ट्रिगर करतो.
Healthcare संस्थांसाठी, तडजोड केलेल्या RADIUS सर्व्हरद्वारे ॲक्सेस केलेल्या रुग्णांच्या डेटाचा समावेश असलेल्या GDPR ब्रीचसाठी कलम ८३(५) अंतर्गत जागतिक वार्षिक उलाढालीच्या ४% पर्यंत दंड होऊ शकतो. ICO चा अंमलबजावणी रेकॉर्ड दर्शवितो की नेटवर्क सुरक्षा अपयश हे तांत्रिक अपघात नसून निष्काळजीपणा मानले जाते.
अंमलबजावणी खर्च बेंचमार्क्स
खालील खर्चाचे अंदाज ५००-डिव्हाइस एंटरप्राइझ इस्टेटसाठी सूचक आहेत:
| बळकटीकरण क्रियाकलाप | अंदाजित खर्च | वेळ |
|---|---|---|
| पॅचिंग (FreeRADIUS / NPS / ISE) | केवळ अंतर्गत श्रम | १-२ आठवडे |
| शेअर्ड सिक्रेट ऑडिट आणि रोटेशन | अंतर्गत श्रम + सिक्रेट्स मॅनेजर परवाना (~£२,०००/वर्ष) | २-४ आठवडे |
| EAP-TLS PKI डिप्लॉयमेंट | £१५,०००-£३०,००० (टूलिंग + व्यावसायिक सेवा) | २-३ महिने |
| RadSec अंमलबजावणी | अंतर्गत श्रम + प्रमाणपत्र खर्च (~£१,५००) | ४-६ आठवडे |
| SIEM एकत्रीकरण आणि अलर्टिंग | विद्यमान SIEM वर अवलंबून; £०-£१०,००० | ४-८ आठवडे |
मध्यम आकाराच्या इस्टेटसाठी एकूण बळकटीकरण गुंतवणूक: अंदाजे £२०,०००-£४५,०००. £३.५८ दशलक्षच्या ब्रीच कॉस्ट बेसलाइनच्या विरूद्ध, कमी ब्रीच संभाव्यता अंदाजांवरही जोखीम-समायोजित ROI आकर्षक आहे.
सुरक्षेच्या पलीकडे ऑपरेशनल फायदे
एक मजबूत RADIUS इन्फ्रास्ट्रक्चर ऑपरेशनल फायदे देखील देते. विश्वसनीय, चांगल्या प्रकारे मॉनिटर केलेले प्रमाणीकरण WiFi कनेक्टिव्हिटीशी संबंधित हेल्पडेस्क तिकिटे कमी करते. RADIUS अकाउंटिंग डेटा, जेव्हा WiFi Analytics सह एकत्रित केला जातो, तेव्हा नेटवर्क वापर पॅटर्न, ड्वेल टाइम्स आणि डिव्हाइस प्रकारांमध्ये सेशन-स्तरीय दृश्यमानता प्रदान करतो — असा डेटा ज्याचे Hospitality आणि Transport वातावरणातील व्हेन्यू ऑपरेटर्ससाठी थेट व्यावसायिक मूल्य आहे.
सार्वजनिक-क्षेत्र आणि Healthcare संस्थांसाठी, एक दस्तऐवजीकरण केलेला RADIUS बळकटीकरण कार्यक्रम Cyber Essentials Plus, ISO 27001 आणि NHS DSPT मूल्यांकनांसाठी तांत्रिक नियंत्रणांचा पुरावा प्रदान करतो — ऑडिट ओव्हरहेड कमी करतो आणि नियामकांना योग्य काळजी (due diligence) दर्शवितो.
महत्वाच्या व्याख्या
RADIUS (Remote Authentication Dial-In User Service)
RFC 2865 मध्ये परिभाषित केलेला एक क्लायंट-सर्व्हर प्रोटोकॉल जो नेटवर्क ॲक्सेससाठी केंद्रीकृत प्रमाणीकरण, अधिकृतता आणि अकाउंटिंग (AAA) प्रदान करतो. RADIUS सर्व्हर्स नेटवर्क डिव्हाइसेस (NAS) द्वारे सबमिट केलेली क्रेडेंशियल्स ॲक्टिव्ह डिरेक्टरी किंवा LDAP सारख्या बॅकएंड आयडेंटिटी स्टोअरच्या विरूद्ध प्रमाणित करतात.
IT टीम्सना 802.1X WiFi, वायर्ड पोर्ट ऑथेंटिकेशन, VPN ॲक्सेस आणि नेटवर्क डिव्हाइस मॅनेजमेंटसाठी ऑथेंटिकेशन बॅकएंड म्हणून RADIUS चा सामना करावा लागतो. हा तो प्रोटोकॉल आहे जो ठरवतो की नेटवर्कवर कोणाला प्रवेश मिळेल.
IEEE 802.1X
पोर्ट-आधारित नेटवर्क ॲक्सेस कंट्रोलसाठी एक IEEE मानक जे LAN (EAPOL) वरील EAP चे एन्कॅप्सुलेशन परिभाषित करते. हे वायर्ड आणि वायरलेस दोन्ही नेटवर्क्ससाठी प्रमाणीकरण फ्रेमवर्क प्रदान करते, ज्यामध्ये डिव्हाइसेसना नेटवर्क ॲक्सेस देण्यापूर्वी प्रमाणीकृत करणे आवश्यक असते.
802.1X हे मानक आहे जे एंटरप्राइझ WiFi प्रमाणीकरण कार्य करते. जेव्हा एखादा कर्मचारी कॉर्पोरेट SSID शी कनेक्ट होतो आणि त्याला क्रेडेंशियल्ससाठी प्रॉम्प्ट केले जाते, तेव्हा 802.1X हे फ्रेमवर्क असते जे त्या एक्सचेंजचे आयोजन करते, ज्यामध्ये RADIUS बॅकएंड म्हणून असते.
EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)
एक EAP पद्धत जी क्लायंट आणि RADIUS सर्व्हर दरम्यान म्युच्युअल ऑथेंटिकेशनसाठी X.509 सर्टिफिकेट्स वापरते. दोन्ही पक्षांनी वैध सर्टिफिकेट्स सादर करणे आवश्यक आहे, ज्यामुळे प्रमाणीकरण एक्सचेंजमधून पासवर्ड पूर्णपणे काढून टाकला जातो.
EAP-TLS हे एंटरप्राइझ WiFi प्रमाणीकरणासाठी सुवर्ण मानक आहे. हे क्रेडेंशियल फिशिंग आणि ब्रूट-फोर्स अटॅक्सपासून सुरक्षित आहे. क्लायंट सर्टिफिकेट्स जारी करण्यासाठी आणि व्यवस्थापित करण्यासाठी PKI इन्फ्रास्ट्रक्चर ही ऑपरेशनल आवश्यकता आहे.
RadSec (RADIUS over TLS)
RFC 6614 मध्ये परिभाषित केलेला एक प्रोटोकॉल जो TCP पोर्ट 2083 वरील TLS सेशनमध्ये RADIUS पॅकेट्स एन्कॅप्स्युलेट करतो. हे RADIUS ट्रॅफिकसाठी ट्रान्सपोर्ट-लेयर एन्क्रिप्शन, म्युच्युअल सर्टिफिकेट ऑथेंटिकेशन आणि रिप्ले संरक्षण प्रदान करते.
अविश्वासू नेटवर्क सीमा ओलांडणाऱ्या कोणत्याही RADIUS ट्रॅफिकसाठी RadSec आवश्यक आहे — WAN लिंक्स, इंटरनेट कनेक्शन्स किंवा शेअर्ड नेटवर्क इन्फ्रास्ट्रक्चर. मल्टी-साइट डिप्लॉयमेंट्समध्ये UDP वरील स्टँडर्ड RADIUS साठी हे योग्य रिप्लेसमेंट आहे.
BlastRADIUS (CVE-2024-3596)
जुलै २०२४ मध्ये उघड झालेला एक मॅन-इन-द-मिडल अटॅक जो RADIUS Access-Request पॅकेट्सवरील इंटिग्रिटी संरक्षणाच्या अभावाचा फायदा घेतो. MD5 चोझन-प्रिफिक्स कोलिजन तंत्राचा वापर करून, अटॅकर Access-Accept रिस्पॉन्स बनावट बनवू शकतो, ज्यामुळे अप्रमाणित वापरकर्त्याला नेटवर्क ॲक्सेस मिळतो.
BlastRADIUS चा परिणाम FreeRADIUS, Cisco ISE आणि Microsoft NPS सह सर्व प्रमुख RADIUS अंमलबजावणीवर होतो. ज्या संस्थांनी जुलै २०२४ मध्ये जारी केलेले पॅचेस लागू केलेले नाहीत त्या या अटॅकसाठी असुरक्षित आहेत.
Message-Authenticator
एक RADIUS ॲट्रिब्यूट (ॲट्रिब्यूट 80) जे संपूर्ण RADIUS पॅकेटवर HMAC-MD5 इंटिग्रिटी संरक्षण प्रदान करते. जेव्हा ते Access-Request मध्ये उपस्थित असते, तेव्हा ते BlastRADIUS मध्ये वापरल्या जाणाऱ्या पॅकेट मॉडिफिकेशन अटॅकला प्रतिबंधित करते.
सर्व Access-Request पॅकेट्सवर Message-Authenticator सक्तीचे करणे हा BlastRADIUS वरील प्राथमिक उपाय आहे. हे RADIUS सर्व्हर (ॲट्रिब्यूट आवश्यक करण्यासाठी) आणि NAS डिव्हाइस (विनंत्यांमध्ये ॲट्रिब्यूट समाविष्ट करण्यासाठी) दोन्हीवर कॉन्फिगर केले जाणे आवश्यक आहे.
NAS (Network Access Server)
RADIUS परिभाषेत, NAS हे नेटवर्क डिव्हाइस आहे — सामान्यतः WiFi ॲक्सेस पॉईंट, स्विच किंवा VPN कॉन्सन्ट्रेटर — जे RADIUS क्लायंट म्हणून कार्य करते. ते एंड डिव्हाइसेसकडून कनेक्शन विनंत्या इंटरसेप्ट करते आणि RADIUS सर्व्हरकडे प्रमाणीकरण विनंत्या फॉरवर्ड करते.
NAS डिव्हाइसेस डिप्लॉयमेंटमधील RADIUS क्लायंट्स आहेत. शेअर्ड सिक्रेट्स प्रति-NAS कॉन्फिगर केले जातात. BlastRADIUS उपाययोजनेसाठी RADIUS सर्व्हरवरील पॅचेससह NAS डिव्हाइसेसवर फर्मवेअर अपडेट्स आवश्यक आहेत.
PEAP (Protected Extensible Authentication Protocol)
एक EAP पद्धत जी इनर ऑथेंटिकेशन पद्धत (सामान्यतः MSCHAPv2) प्रसारित करण्यापूर्वी सर्व्हर-साइड सर्टिफिकेट वापरून TLS टनेल स्थापित करते. हे म्युच्युअल ऑथेंटिकेशन प्रदान करते आणि क्रेडेंशियल्सना इव्हस्ड्रॉपिंगपासून संरक्षित करते.
PEAP-MSCHAPv2 ही सर्वात जास्त वापरली जाणारी एंटरप्राइझ WiFi प्रमाणीकरण पद्धत आहे. ती PCI DSS कंप्लायंट आहे आणि EAP-TLS पेक्षा ऑपरेशनलदृष्ट्या सोपी आहे कारण तिला क्लायंट सर्टिफिकेट्सची आवश्यकता नसते. तथापि, जर क्लायंट-साइड सर्टिफिकेट व्हॅलिडेशन सक्तीचे नसेल तर ती रोग (rogue) RADIUS सर्व्हर अटॅक्ससाठी असुरक्षित आहे.
Shared Secret
RADIUS सर्व्हर आणि प्रत्येक NAS डिव्हाइस दोन्हीवर कॉन्फिगर केलेली प्री-शेअर्ड की. ती रिस्पॉन्स ऑथेंटिकेटर फील्ड तयार करण्यासाठी आणि User-Password ॲट्रिब्यूट अस्पष्ट करण्यासाठी वापरली जाते. हा अंतिम वापरकर्त्यांसाठी पासवर्ड नाही — हे सर्व्हर-टू-सर्व्हर प्रमाणीकरण क्रेडेंशियल आहे.
कमकुवत किंवा स्टॅटिक शेअर्ड सिक्रेट्स ही सर्वात सामान्य RADIUS असुरक्षांपैकी एक आहे. RADIUS ट्रॅफिक कॅप्चर करणारा अटॅकर कमकुवत शेअर्ड सिक्रेट विरूद्ध ऑफलाइन ब्रूट-फोर्स अटॅक करू शकतो. किमान शिफारस केलेली लांबी ३२ अक्षरे आहे, जी यादृच्छिकपणे व्युत्पन्न केलेली असावी.
PCI DSS (Payment Card Industry Data Security Standard)
कार्डधारक डेटावर प्रक्रिया करणाऱ्या, संग्रहित करणाऱ्या किंवा प्रसारित करणाऱ्या संस्थांसाठी प्रमुख कार्ड स्कीम्स (Visa, Mastercard, Amex) द्वारे अनिवार्य केलेल्या सुरक्षा मानकांचा संच. आवृत्ती 4.0, जी मार्च २०२४ पासून प्रभावी आहे, त्यामध्ये नेटवर्क ॲक्सेस कंट्रोल आणि मजबूत प्रमाणीकरणासाठी विशिष्ट आवश्यकता समाविष्ट आहेत.
WiFi-कनेक्टेड POS टर्मिनल्स असलेल्या रिटेल आणि हॉस्पिटॅलिटी संस्था PCI DSS स्कोपमध्ये आहेत. RADIUS सर्व्हर असुरक्षा ज्यामुळे कार्डधारक डेटा वातावरणात अनधिकृत नेटवर्क ॲक्सेस मिळू शकतो तो थेट अनुपालन धोका आहे.
सोडवलेली उदाहरणे
१२ प्रॉपर्टीज असलेल्या ३५०-खोल्यांच्या हॉटेल ग्रुपमध्ये त्यांच्या हेड ऑफिस डेटा सेंटरमध्ये होस्ट केलेला मध्यवर्ती RADIUS सर्व्हर वापरला जातो. प्रत्येक प्रॉपर्टी शेअर्ड MPLS WAN वरून कनेक्ट होते. एका सुरक्षा ऑडिटने निदर्शनास आणून दिले आहे की WAN वर RADIUS ट्रॅफिक अनएन्क्रिप्टेड आहे, शेअर्ड सिक्रेट्स पाच वर्षांपूर्वी सुरुवातीच्या डिप्लॉयमेंट दरम्यान सेट केलेल्या ८-अक्षरी स्ट्रिंग्स आहेत आणि RADIUS सर्व्हर FreeRADIUS 3.0.21 चालवत आहे. हा ग्रुप त्यांच्या रेस्टॉरंट आणि स्पा सुविधांमध्ये WiFi-कनेक्टेड POS टर्मिनल्सद्वारे कार्ड पेमेंट्सवर प्रक्रिया करतो. उपाययोजनेची प्राथमिकता आणि अंमलबजावणीचा क्रम काय असावा?
उपाययोजनेचा क्रम जोखीम तीव्रता आणि अंमलबजावणीच्या गतीनुसार लावला पाहिजे. पायरी १ (त्वरित, ७२ तासांच्या आत): FreeRADIUS ला 3.2.5 किंवा 3.0.27 वर पॅच करा. हे BlastRADIUS चे निराकरण करते आणि डीफॉल्टनुसार Message-Authenticator सक्तीचे करते. त्याच वेळी, सर्व १२ प्रॉपर्टीजवरील ॲक्सेस पॉईंट फर्मवेअर आवृत्त्या तपासा आणि Message-Authenticator ला सपोर्ट न करणाऱ्या कोणत्याही NAS डिव्हाइसेससाठी फर्मवेअर अपडेट्स शेड्यूल करा. पायरी २ (आठवडा १-२): सर्व शेअर्ड सिक्रेट्स रोटेट करा. १२ प्रॉपर्टी NAS नोंदणींपैकी प्रत्येकासाठी openssl rand -base64 32 वापरून ३२-अक्षरी रँडम सिक्रेट्स तयार करा. HashiCorp Vault किंवा समतुल्य मध्ये संग्रहित करा. रोटेशन तारखेचे दस्तऐवजीकरण करा. पायरी ३ (महिना १-२): WAN मार्गावर RadSec लागू करा. TCP 2083 वर RadSec कनेक्शन्स स्वीकारण्यासाठी FreeRADIUS सर्व्हर कॉन्फिगर करा. अंतर्गत CA कडून प्रत्येक प्रॉपर्टीच्या NAS डिव्हाइसेसना TLS सर्टिफिकेट्स जारी करा. प्रॉपर्टी NAS IP रेंजेसमधून RADIUS सर्व्हरला TCP 2083 ला परवानगी देण्यासाठी फायरवॉल नियम अपडेट करा. RadSec कार्यरत असल्याची पुष्टी झाल्यानंतर WAN-फेसिंग इंटरफेसेसवरून UDP 1812/1813 अक्षम करा. पायरी ४ (महिना २-३): PCI DSS-स्कोप असलेल्या POS WiFi SSID साठी, PEAP-MSCHAPv2 वरून EAP-TLS वर स्थलांतर करा. अंतर्गत PKI (Microsoft ADCS किंवा HashiCorp Vault PKI इंजिन) तैनात करा. MDM द्वारे POS टर्मिनल्सना क्लायंट सर्टिफिकेट्स जारी करा. POS SSID साठी EAP-TLS आवश्यक करण्यासाठी RADIUS धोरण अपडेट करा. पायरी ५ (महिना ३): SIEM मध्ये RADIUS अकाउंटिंग लॉग्स समाकलित करा. अयशस्वी प्रमाणीकरण वाढ आणि सर्टिफिकेट समाप्तीसाठी अलर्ट कॉन्फिगर करा.
४५ स्टोअर्स असलेली एक प्रादेशिक रिटेल चेन स्टाफ WiFi साठी WPA2-Personal (प्री-शेअर्ड की) आणि ग्राहक WiFi साठी ओपन नेटवर्क वापरते. IT डायरेक्टरला ॲक्टिव्ह डिरेक्टरीसह एकत्रित RADIUS सर्व्हर म्हणून Microsoft NPS वापरून स्टाफ WiFi ला 802.1X प्रमाणीकरणावर स्थलांतरित करायचे आहे. स्टोअर्समध्ये Aruba आणि Cisco ॲक्सेस पॉईंट्सचे मिश्रण आहे. ही चेन PCI DSS स्कोपमध्ये आहे. त्यांनी कोणते आर्किटेक्चर तैनात केले पाहिजे आणि मुख्य कॉन्फिगरेशन निर्णय कोणते आहेत?
शिफारस केलेले आर्किटेक्चर 802.1X आहे ज्यामध्ये PEAP-MSCHAPv2 प्रारंभिक EAP पद्धत म्हणून आहे, आणि EAP-TLS कडे दस्तऐवजीकरण केलेला रोडमॅप आहे. NPS सर्व्हर मध्यवर्ती डेटा सेंटरमध्ये रिडंडंट जोडी (प्राथमिक + दुय्यम) मध्ये तैनात केला जावा, ॲक्सेस पॉईंट्सवर RADIUS प्रॉक्सी कॉन्फिगरेशनसह जेणेकरून ते स्वयंचलितपणे फेलओव्हर होईल. कॉन्फिगरेशन निर्णय: (१) NPS नेटवर्क पॉलिसी: AD सिक्युरिटी ग्रुपमध्ये (उदा., 'WiFi-Staff-Access') ग्रुप मेंबरशिप आवश्यक करून, PEAP-MSCHAPv2 सह स्टाफ SSID शी जुळणारे धोरण तयार करा. री-ऑथेंटिकेशन सक्तीचे करण्यासाठी सेशन टाइमआउट ८ तासांवर सेट करा. (२) सर्टिफिकेट: अंतर्गत Microsoft ADCS CA कडून NPS सर्व्हर सर्टिफिकेट तैनात करा. ग्रुप पॉलिसी (Windows) आणि MDM (iOS/Android) द्वारे सर्व स्टाफ डिव्हाइसेसवर रूट CA सर्टिफिकेट पुश करा. (३) सप्लिकंट कॉन्फिगरेशन: ग्रुप पॉलिसी (Computer Configuration > Windows Settings > Security Settings > Wireless Network Policies) द्वारे Windows डिव्हाइसेस कॉन्फिगर करा. iOS आणि Android डिव्हाइसेससाठी, MDM प्रोफाइल वापरा. सर्व्हर सर्टिफिकेट व्हॅलिडेशन सक्तीचे करा — वापरकर्त्यांना अनियंत्रित सर्टिफिकेट्स स्वीकारण्याची परवानगी देऊ नका. (४) ॲक्सेस पॉईंट कॉन्फिगरेशन: Aruba वर, Authentication > Servers अंतर्गत RADIUS सर्व्हर कॉन्फिगर करा. शेअर्ड सिक्रेट ३२-अक्षरी रँडम स्ट्रिंगवर सेट करा. जर Aruba फर्मवेअर सपोर्ट करत असेल (AOS 8.9+) तर RadSec सक्षम करा. Cisco वर, Security > AAA > RADIUS अंतर्गत कॉन्फिगर करा. (५) NPS लॉगिंग: SQL Server डेटाबेसमध्ये NPS अकाउंटिंग लॉगिंग सक्षम करा. PCI DSS अनुपालनासाठी किमान ९० दिवसांचा लॉग रिटेन्शन कालावधी कॉन्फिगर करा. (६) स्थलांतरानंतर: स्टाफ SSID वर WPA2-Personal अक्षम करा. ते केवळ ब्रेक-ग्लास SSID म्हणून सिक्रेट्स मॅनेजरमध्ये संग्रहित केलेल्या कॉम्प्लेक्स PSK सह ठेवा, जे केवळ NPS अनुपलब्ध असल्यासच वापरण्यासाठी असेल.
सराव प्रश्न
Q1. तुमची संस्था सिंगल-साइट कॅम्पसमध्ये ८०० स्टाफ डिव्हाइसेससाठी 802.1X प्रमाणीकरणाला सपोर्ट करणारा FreeRADIUS 3.0.21 सर्व्हर चालवते. RADIUS सर्व्हर सर्व ॲक्सेस पॉईंट्स प्रमाणेच मॅनेजमेंट VLAN वर आहे. एका पेनिट्रेशन टेस्टने ओळखले आहे की ॲक्सेस पॉईंट्स Message-Authenticator ॲट्रिब्यूटशिवाय Access-Request पॅकेट्स पाठवत आहेत. सुरक्षा टीमला Message-Authenticator त्वरित सक्तीचे करायचे आहे, परंतु नेटवर्क ऑपरेशन्स टीमला ८०० वापरकर्त्यांसाठी प्रमाणीकरण खंडित होण्याची चिंता आहे. सेवा व्यत्यय कमी करण्यासाठी तुम्ही उपाययोजनेचा क्रम कसा लावाल?
टीप: RADIUS सर्व्हरने Message-Authenticator आवश्यक करणे विरूद्ध NAS डिव्हाइसेसनी ते पाठवणे यातील फरकाचा विचार करा. हे भिन्न जोखीम प्रोफाइल असलेले दोन स्वतंत्र कॉन्फिगरेशन बदल आहेत.
नमुना उत्तर पहा
योग्य क्रम असा आहे: (१) प्रथम, FreeRADIUS ला 3.2.5 वर पॅच करा. ही आवृत्ती डीफॉल्टनुसार Message-Authenticator सक्तीचे करते परंतु यामध्ये एक सुसंगतता मोड (compatibility mode) समाविष्ट आहे जो ॲट्रिब्यूट नसलेली पॅकेट्स नाकारण्याऐवजी चेतावणी लॉग करतो. हे तुम्हाला प्रमाणीकरण त्वरित खंडित न करता पॅच देते. (२) ॲक्सेस पॉईंट फर्मवेअर आवृत्त्यांचे ऑडिट करा. कोणते मॉडेल्स आणि फर्मवेअर आवृत्त्या Access-Request पॅकेट्समध्ये Message-Authenticator ला सपोर्ट करतात ते ओळखा. (३) ५० डिव्हाइसेसच्या पायलट ग्रुपपासून सुरुवात करून, बॅचेसमध्ये ॲक्सेस पॉईंट फर्मवेअर अपडेट करा. प्रत्येक बॅचनंतर प्रमाणीकरण कार्य करत असल्याची पुष्टी करा. (४) एकदा सर्व ॲक्सेस पॉईंट्स Message-Authenticator पाठवत असल्याची पुष्टी झाल्यानंतर, FreeRADIUS सर्व्हरवर कठोर सक्ती सक्षम करा (clients.conf मध्ये require_message_authenticator = yes). (५) कोणत्याही उर्वरित 'Message-Authenticator missing' चेतावणींसाठी RADIUS लॉग्स मॉनिटर करा, जे फर्मवेअर अपडेट चुकलेले NAS डिव्हाइसेस दर्शवतील. मुख्य तत्त्व हे आहे की तुम्ही काहीही खंडित न करता प्रथम सर्व्हर पॅच करू शकता, कारण सुसंगतता मोड संक्रमण कालावधीला अनुमती देतो. सर्व NAS डिव्हाइसेस अपडेट झाल्यानंतर सर्व्हरवर कठोर नकार सक्तीचे करणे ही शेवटची पायरी असावी.
Q2. एक कॉन्फरन्स सेंटर ऑपरेटर कॉर्पोरेट स्टाफ SSID (PEAP-MSCHAPv2 सह 802.1X) आणि इव्हेंट गेस्ट WiFi (MAC Authentication Bypass सह Captive Portal) दोन्हीला सपोर्ट करणारा एकच RADIUS सर्व्हर चालवतो. IT मॅनेजर विचारतो की गेस्ट WiFi RADIUS इन्स्टन्सला कॉर्पोरेट RADIUS इन्स्टन्सच्या समान मानकापर्यंत बळकट करणे आवश्यक आहे का, कारण अतिथी कॉर्पोरेट क्रेडेंशियल्ससह प्रमाणीकृत करत नाहीत. तुमची शिफारस काय आहे?
टीप: MAC Authentication Bypass विरूद्ध EAP-आधारित प्रमाणीकरणाला लागू होणाऱ्या अटॅक वेक्टर्सचा आणि गेस्ट आणि कॉर्पोरेट RADIUS इन्स्टन्सेस दरम्यान लॅटरल मूव्हमेंटच्या जोखमीचा विचार करा.
नमुना उत्तर पहा
गेस्ट WiFi RADIUS इन्स्टन्सला बळकटीकरणाची आवश्यकता आहे, परंतु विशिष्ट नियंत्रणे कॉर्पोरेट इन्स्टन्सपेक्षा भिन्न आहेत. BlastRADIUS पॅच समान रीतीने लागू होतो — क्लायंट्सद्वारे वापरल्या जाणाऱ्या प्रमाणीकरण पद्धतीची पर्वा न करता असुरक्षा RADIUS सर्व्हरवर परिणाम करते. शेअर्ड सिक्रेट हायजीन समान रीतीने लागू होते — गेस्ट Captive Portal कंट्रोलर आणि RADIUS सर्व्हर मधील कमकुवत शेअर्ड सिक्रेट EAP वापरात आहे की नाही याची पर्वा न करता एक्सप्लॉयटेबल आहे. मुख्य अतिरिक्त जोखीम शेअर्ड RADIUS सर्व्हरची आहे: जर गेस्ट आणि कॉर्पोरेट SSID प्रमाणीकरण विनंत्या एकाच RADIUS सर्व्हर प्रक्रियेद्वारे हाताळल्या गेल्या, तर गेस्ट RADIUS मार्गावरील असुरक्षिततेचा वापर कॉर्पोरेट प्रमाणीकरण धोरणाकडे पिव्होट (pivot) करण्यासाठी केला जाऊ शकतो. शिफारस केलेले आर्किटेक्चर म्हणजे गेस्ट आणि कॉर्पोरेट प्रमाणीकरणासाठी स्वतंत्र RADIUS इन्स्टन्सेस (किंवा किमान FreeRADIUS मध्ये स्वतंत्र व्हर्च्युअल सर्व्हर्स) चालवणे, स्वतंत्र शेअर्ड सिक्रेट्स आणि स्वतंत्र पॉलिसी सेट्ससह. हे असे अलगाव प्रदान करते की गेस्ट RADIUS मार्गाशी तडजोड केल्यास कॉर्पोरेट क्रेडेंशियल्स उघड होत नाहीत. विशेषतः गेस्ट इन्स्टन्ससाठी: BlastRADIUS साठी पॅच करा, शेअर्ड सिक्रेट्स रोटेट करा आणि गेस्ट RADIUS इन्स्टन्सला कॉर्पोरेट ॲक्टिव्ह डिरेक्टरीमध्ये कोणताही ॲक्सेस नाही याची खात्री करा. Captive Portal डिप्लॉयमेंटसाठी EAP-TLS आणि RadSec आवश्यकता कमी संबंधित आहेत, परंतु जर Captive Portal कंट्रोलर RADIUS सर्व्हरपेक्षा वेगळ्या नेटवर्क सेगमेंटमध्ये असेल तर RadSec चा विचार केला पाहिजे.
Q3. एक हेल्थकेअर ट्रस्ट त्याचे क्लिनिकल WiFi WPA2-Personal वरून 802.1X प्रमाणीकरणावर स्थलांतरित करण्याची योजना आखत आहे. ट्रस्टकडे Windows लॅपटॉप्स, iOS टॅब्लेट्स आणि Android हँडहेल्ड्ससह १,२०० क्लिनिकल डिव्हाइसेस आहेत. CISO ला टार्गेट स्टेट म्हणून EAP-TLS हवे आहे. IT डायरेक्टरला PKI डिप्लॉयमेंटच्या गुंतागुंतीची चिंता आहे आणि ते कायमस्वरूपी उपाय म्हणून PEAP-MSCHAPv2 प्रस्तावित करतात. तुम्ही CISO आणि IT डायरेक्टरला कसा सल्ला द्याल, आणि शिफारस केलेला अंमलबजावणी मार्ग कोणता आहे?
टीप: हेल्थकेअर वातावरणासाठी विशिष्ट थ्रेट मॉडेलचा विचार करा — क्रेडेंशियल तडजोडीचे परिणाम काय आहेत, आणि EAP-TLS अशा जोखमींचे निराकरण कसे करते जे PEAP-MSCHAPv2 करत नाही?
नमुना उत्तर पहा
CISO ची प्रवृत्ती योग्य आहे, परंतु IT डायरेक्टरची चिंता वैध आहे. शिफारस केलेला सल्ला असा आहे: EAP-TLS कडे वचनबद्ध १२-महिन्यांच्या रोडमॅपसह, आता अंतरिम स्थिती म्हणून PEAP-MSCHAPv2 लागू करा. हेल्थकेअरमध्ये कायमस्वरूपी उपाय म्हणून PEAP-MSCHAPv2 न स्वीकारण्याचे कारण हे आहे: (१) जर क्लायंट-साइड सर्टिफिकेट व्हॅलिडेशन सक्तीचे नसेल तर PEAP-MSCHAPv2 रोग (rogue) RADIUS सर्व्हर अटॅक्ससाठी असुरक्षित आहे. हेल्थकेअर वातावरणात जिथे क्लिनिकल कर्मचारी वैयक्तिक डिव्हाइसेस कनेक्ट करू शकतात, १,२०० डिव्हाइसेसवर सातत्याने सप्लिकंट कॉन्फिगरेशन सक्तीचे करणे ऑपरेशनलदृष्ट्या आव्हानात्मक आहे. (२) MSCHAPv2 क्रेडेंशियल्स, जर रोग RADIUS अटॅकद्वारे कॅप्चर केली गेली, तर hashcat सारख्या टूल्सचा वापर करून ऑफलाइन क्रॅक केली जाऊ शकतात. हेल्थकेअर संदर्भात, ती क्रेडेंशियल्स बहुधा क्लिनिकल सिस्टम्समध्ये ॲक्सेस देखील प्रदान करतात. (३) NHS DSPT आणि CQC मूल्यांकने क्लिनिकल नेटवर्क ॲक्सेससाठी मजबूत प्रमाणीकरण नियंत्रणांची वाढती अपेक्षा करतात. EAP-TLS एक मजबूत ऑडिट एव्हिडन्स पोझिशन प्रदान करते. अंमलबजावणी मार्ग: महिना १-२: सर्व १,२०० डिव्हाइसेसवर MDM प्रोफाइल्सद्वारे सक्तीच्या सर्व्हर सर्टिफिकेट व्हॅलिडेशनसह PEAP-MSCHAPv2 तैनात करा. महिना ३-६: PKI इन्फ्रास्ट्रक्चर म्हणून Microsoft ADCS तैनात करा. ग्रुप पॉलिसी ऑटो-एनरोलमेंटद्वारे Windows डिव्हाइसेस एनरोल करा. महिना ६-९: MDM सर्टिफिकेट प्रोफाइल्सद्वारे iOS आणि Android डिव्हाइसेस एनरोल करा. महिना ९-१२: क्लिनिकल SSID पॉलिसी PEAP वरून EAP-TLS वर स्थलांतरित करा. सर्टिफिकेट एनरोलमेंटमध्ये अयशस्वी होणाऱ्या कोणत्याही डिव्हाइसेससाठी वर्धित मॉनिटरिंगसह फॉलबॅक म्हणून PEAP ठेवा. क्लिनिकल नेटवर्क सिक्युरिटी आर्किटेक्चरबद्दल अधिक माहितीसाठी, WiFi in Hospitals guide संबंधित डिप्लॉयमेंट संदर्भ प्रदान करते.
या मालिकेमध्ये पुढे वाचा
WeChat WiFi प्रमाणीकरण समाकलित करणे: APAC ग्राहकांसाठी Captive Portal ऑनबोर्डिंग
WeChat कडे 1.41 अब्ज मासिक सक्रिय वापरकर्ते आहेत, ज्यामुळे ती जागतिक स्तरावर चिनी ग्राहकांसाठी प्राथमिक डिजिटल ओळख बनली आहे. हे मार्गदर्शक APAC ठिकाणांसाठी एंटरप्राइझ captive portals मध्ये WeChat OAuth 2.0 प्रमाणीकरण कसे समाकलित करावे हे स्पष्ट करते, ज्यामध्ये प्लॅटफॉर्म नोंदणी, स्कोप निवड, RADIUS Change of Authorisation अंमलबजावणी आणि GDPR आणि चीनच्या PIPL सह दुहेरी-फ्रेमवर्क अनुपालनाचा समावेश आहे. हे IT व्यवस्थापक, नेटवर्क आर्किटेक्ट्स आणि या तिमाहीत कारवाई करू इच्छिणाऱ्या ठिकाण ऑपरेशन्स संचालकांसाठी उद्दिष्टित आहे.
टप्प्याटप्प्याने मार्गदर्शिका: गेस्ट WiFi Captive Portals साठी Ruijie वायरलेस कंट्रोलर्स कॉन्फिगर करणे
ही मार्गदर्शिका एंटरप्राइझ-दर्जाचे गेस्ट WiFi Captive Portals उपयोजित करण्यासाठी Ruijie वायरलेस कंट्रोलर्स आणि गेटवे कॉन्फिगर करण्यासाठी संपूर्ण तांत्रिक माहिती प्रदान करते. यामध्ये VLAN विभागणी, WISPr प्रोटोकॉलद्वारे बाह्य RADIUS प्रमाणीकरण, walled garden कॉन्फिगरेशन आणि हॉस्पिटॅलिटी, रिटेल आणि सार्वजनिक-क्षेत्रातील वातावरणात फर्स्ट-पार्टी डेटा गोळा करण्यासाठी आणि मोजण्यायोग्य व्यावसायिक मूल्य मिळवण्यासाठी Purple च्या आयडेंटिटी-बेस्ड नेटवर्क प्लॅटफॉर्मसह अखंड एकत्रीकरण समाविष्ट आहे.
सुरक्षित BYOD आणि 802.1X नेटवर्क ऑथेंटिकेशनसाठी SCEP कसे कॉन्फिगर करावे
हे मार्गदर्शक सर्टिफिकेट-आधारित 802.1X नेटवर्क ऑथेंटिकेशन उपयोजित करण्यासाठी SCEP कॉन्फिगर करण्याचा एक व्यापक तांत्रिक संदर्भ प्रदान करते. यामध्ये सामायिक केलेल्या पासवर्डवरून EAP-TLS कडे होणारा आर्किटेक्चरल बदल, मोबाईल डिव्हाइस मॅनेजमेंट इंटिग्रेशन आणि एंटरप्राइझ वातावरणात सुरक्षित BYOD ॲक्सेससाठी कठोर नेटवर्क सेगमेंटेशन समाविष्ट आहे.