PEAP-MSCHAPv2: ते अजूनही सामान्य का आहे, ते धोकादायक का आहे आणि पुढे कसे जावे

PEAP-MSCHAPv2 च्या गंभीर सुरक्षा असुरक्षा, ज्यामध्ये इव्हिल ट्विन हल्ले आणि क्रेडेन्शियल कॅप्चर समाविष्ट आहेत, यांचे तपशीलवार वर्णन करणारे एक सर्वसमावेशक तांत्रिक संदर्भ मार्गदर्शक. हे IT टीम्ससाठी एंटरप्राइझ WiFi नेटवर्क्सना सुरक्षित, प्रमाणपत्र-आधारित EAP-TLS प्रमाणीकरणाकडे मायग्रेट करण्यासाठी एक व्यावहारिक, व्हेंडर-न्यूट्रल रोडमॅप प्रदान करते.

📖 5 मिनिट वाचन📝 1,170 शब्द🔧 2 सोडवलेली उदाहरणे❓ 3 सराव प्रश्न📚 8 महत्वाच्या व्याख्या

हे मार्गदर्शक ऐका

पॉडकास्ट ट्रान्सक्रिप्ट पहा

नमस्कार, आणि या Purple तांत्रिक ब्रीफिंगमध्ये आपले स्वागत आहे. मी तुमचा होस्ट आहे, आणि आज आम्ही अशा एका विषयावर चर्चा करत आहोत जो नेटवर्क आर्किटेक्चर, सुरक्षा अनुपालन आणि स्पष्टपणे सांगायचे तर, लेगसी तांत्रिक कर्जाच्या (technical debt) छेदनबिंदूवर आहे. आम्ही PEAP-MSCHAPv2 बद्दल बोलत आहोत.

विशेषतः, आम्ही हे पाहत आहोत की ते एंटरप्राइझ WiFi मध्ये अजूनही सर्वात सामान्य प्रमाणीकरण पद्धत का आहे, आजच्या धोक्याच्या लँडस्केपमध्ये ते मूलभूतपणे धोकादायक का आहे आणि सर्वात महत्त्वाचे म्हणजे, तुम्ही तुमच्या संस्थेला व्यावहारिकदृष्ट्या अधिक चांगल्या गोष्टीकडे कसे नेऊ शकता.

चला संदर्भापासून सुरुवात करूया. जर तुम्ही हॉटेल, रिटेल चेन किंवा मोठ्या सार्वजनिक ठिकाणी IT संचालक किंवा नेटवर्क आर्किटेक्ट असाल, तर तुमचे स्टाफ WiFi नेटवर्क—आणि कदाचित तुमची कॉर्पोरेट उपकरणे—PEAP-MSCHAPv2 वापरून प्रमाणीकरण करत असण्याची दाट शक्यता आहे. जवळपास दोन दशकांपासून WPA2-Enterprise नेटवर्क्ससाठी हे डीफॉल्ट मानक आहे. का? कारण ते तैनात करणे आश्चर्यकारकपणे सोपे आहे. ते RADIUS सर्व्हरद्वारे थेट Active Directory शी जोडले जाते, आणि वापरकर्ते फक्त त्यांचे मानक Windows वापरकर्तानाव आणि पासवर्ड टाईप करतात. व्यवस्थापित करण्यासाठी कोणतीही प्रमाणपत्रे नाहीत, तयार करण्यासाठी कोणतीही जटिल पब्लिक की इन्फ्रास्ट्रक्चर नाही. ते फक्त काम करते.

पण "फक्त काम करणे" आता पुरेसे नाही. PEAP-MSCHAPv2 ला आधार देणारे सुरक्षा आर्किटेक्चर, स्पष्टपणे सांगायचे तर, तुटलेले आहे.

चला तांत्रिक वास्तवात डोकावूया. MSCHAPv2 MD4 हॅशिंग अल्गोरिदम आणि DES एन्क्रिप्शनवर अवलंबून आहे. ही दोन्ही क्रिप्टोग्राफिक मानके 1990 च्या दशकात डिझाइन केली गेली होती आणि एका दशकाहून अधिक काळापासून ती कमकुवत मानली जातात. 2012 मध्ये, DEF CON सुरक्षा परिषदेत, संशोधक मॉक्सी मार्लिन्स्पाइक यांनी हे सिद्ध केले की MSCHAPv2 हँडशेक निश्चितपणे क्रॅक केला जाऊ शकतो. त्यांनी एक साधन जारी केले ज्याने क्रॅकिंग प्रक्रिया एकाच DES की क्रॅकमध्ये कमी केली, याचा अर्थ असा की माफक संगणकीय शक्ती असलेला हल्लेखोर—किंवा क्लाउड क्रॅकिंग सेवेचा ॲक्सेस असलेला—कॅप्चर केलेल्या हँडशेकमधून वापरकर्त्याचा प्लेनटेक्स्ट Active Directory पासवर्ड काही तासांत, किंवा काही मिनिटांत पुनर्प्राप्त करू शकतो.

तर, प्रत्यक्ष जगात हल्लेखोर तो हँडशेक कसा कॅप्चर करतो? हे आपल्याला "इव्हिल ट्विन" (Evil Twin) हल्ल्याकडे घेऊन जाते.

एखाद्या कॉर्पोरेट ऑफिसची किंवा हॉटेलच्या बॅक-ऑफ-हाऊस क्षेत्राची कल्पना करा. एक हल्लेखोर रोग ॲक्सेस पॉईंट घेऊन आत येतो—अनेकदा त्यांच्या बॅकपॅकमध्ये Wi-Fi Pineapple सारखे छोटे उपकरण असते. ते हा रोग AP तुमच्या कॉर्पोरेट नेटवर्कसारखाच अचूक SSID ब्रॉडकास्ट करण्यासाठी कॉन्फिगर करतात, समजा, "Staff-WiFi." ते सिग्नलची ताकद वाढवतात जेणेकरून जवळपासची उपकरणे नैसर्गिकरित्या तुमच्या कायदेशीर ॲक्सेस पॉईंट्सपेक्षा त्याला प्राधान्य देतात.

जेव्हा कर्मचाऱ्याचा लॅपटॉप किंवा फोन कनेक्ट करण्याचा प्रयत्न करतो, तेव्हा रोग AP ऑथेंटिकेटर म्हणून काम करतो आणि हल्लेखोराद्वारे नियंत्रित बनावट RADIUS सर्व्हरकडे निर्देश करतो. कर्मचाऱ्याचे उपकरण PEAP टनेल सुरू करते. आता, हा एक गंभीर अपयशाचा मुद्दा आहे: PEAP क्लायंट उपकरणावर अवलंबून असते जे सर्व्हरच्या डिजिटल प्रमाणपत्राची पडताळणी करते जेणेकरून ते खऱ्या कॉर्पोरेट RADIUS सर्व्हरशी बोलत असल्याची खात्री होईल. तथापि, बहुतांश डिप्लॉयमेंट्समध्ये, क्लायंट उपकरणे एकतर चुकीच्या पद्धतीने कॉन्फिगर केलेली असतात, किंवा वापरकर्त्यांना फक्त एक पॉप-अप विचारला जातो की "तुम्हाला या प्रमाणपत्रावर विश्वास आहे का?" आणि ते फक्त ऑनलाइन जाण्यासाठी "Yes" वर क्लिक करतात.

एकदा ते बनावट प्रमाणपत्र स्वीकारले गेले की, उपकरण टनेलमधून MSCHAPv2 चॅलेंज-रिस्पॉन्स पाठवते. हल्लेखोर ते कॅप्चर करतो, निघून जातो आणि ऑफलाइन हॅश क्रॅक करतो. आता त्यांच्याकडे वैध Active Directory क्रेडेन्शियल्स आहेत, ज्याचा वापर ते तुमच्या VPN, तुमच्या ईमेल सिस्टम किंवा इतर कोणत्याही कॉर्पोरेट सेवेमध्ये लॉग इन करण्यासाठी करू शकतात.

हा केवळ सैद्धांतिक धोका नाही. पेनिट्रेशन टेस्टर्स आणि दुर्भावनापूर्ण अभिनेते दोघांसाठी ही एक मानक ऑपरेशनल प्रक्रिया आहे. आणि जर तुम्ही PCI DSS किंवा GDPR सारख्या अनुपालन फ्रेमवर्कच्या अधीन असाल, तर तडजोड केलेल्या प्रमाणीकरण प्रोटोकॉलवर अवलंबून राहणे ही एक मोठी जबाबदारी आहे.

तर, जर धोके इतके जास्त असतील, तर आपण सर्वजण पुढे का गेलो नाही?

याचे उत्तर सहसा समजलेली गुंतागुंत आणि लेगसी हार्डवेअर यांचे मिश्रण असते. PEAP पासून दूर जाणे म्हणजे प्रमाणपत्र-आधारित प्रमाणीकरणाकडे, विशेषतः EAP-TLS कडे जाणे. EAP-TLS हे सुवर्ण मानक आहे. यासाठी सर्व्हर आणि क्लायंट डिव्हाइस दोघांनीही वैध डिजिटल प्रमाणपत्र सादर करणे आवश्यक आहे. यात कोणतेही पासवर्ड प्रसारित केले जात नाहीत, हॅश केलेले किंवा इतर कोणत्याही स्वरूपात. हे ऑफलाइन डिक्शनरी हल्ल्यांपासून पूर्णपणे सुरक्षित आहे आणि इव्हिल ट्विन हल्ल्यांना अत्यंत प्रतिरोधक आहे कारण क्लायंट तुमच्या विश्वसनीय प्रमाणपत्र प्राधिकरणाने (Certificate Authority) स्वाक्षरी न केलेला कोणताही बनावट RADIUS सर्व्हर सायलेंटली नाकारेल.

परंतु EAP-TLS तैनात करणे म्हणजे तुम्हाला पब्लिक की इन्फ्रास्ट्रक्चर, किंवा PKI ची आवश्यकता आहे. तुम्हाला प्रमाणपत्रे तयार करण्यासाठी आणि तुमच्या फ्लीटमधील प्रत्येक लॅपटॉप, फोन आणि टॅब्लेटवर सुरक्षितपणे वितरित करण्यासाठी एका मार्गाची आवश्यकता आहे. पाच वर्षांपूर्वी, Microsoft Active Directory Certificate Services इन्फ्रास्ट्रक्चर तयार करणे हा एक कठीण, महागडा प्रकल्प होता.

आज मात्र परिस्थिती बदलली आहे. अंमलबजावणीचा मार्ग अधिक स्पष्ट आहे.

जर तुम्ही मायग्रेशनची योजना आखत असाल, तर Purple मध्ये आम्ही आमच्या क्लायंट्सना शिफारस केलेला व्यावहारिक दृष्टिकोन येथे आहे.

प्रथम, तुम्हाला हार्ड कटओव्हर करण्याची गरज नाही. आधुनिक RADIUS सर्व्हर्स—मग ते Cisco ISE असो, Aruba ClearPass असो, किंवा क्लाउड-नेटिव्ह सोल्यूशन्स असोत—तुम्हाला एकाच SSID वर एकाच वेळी PEAP-MSCHAPv2 आणि EAP-TLS चालवण्याची परवानगी देतात.

पहिली पायरी म्हणजे तुमचे PKI तैनात करणे. तुम्हाला आता हे ऑन-प्रिमाइस तयार करण्याची गरज नाही. क्लाउड PKI सोल्यूशन्स थेट तुमच्या आयडेंटिटी प्रोव्हायडरशी—जसे की Entra ID किंवा Google Workspace—आणि तुमच्या मोबाईल डिव्हाइस मॅनेजमेंट प्लॅटफॉर्म्स जसे की Intune किंवा Jamf शी इंटिग्रेट होतात.

दुसरी पायरी म्हणजे तुमच्या मॅनेज्ड उपकरणांवर क्लायंट प्रमाणपत्रे सायलेंटली पुश करण्यासाठी तुमच्या MDM चा वापर करणे. तुम्ही EAP-TLS ला प्राधान्य देण्यासाठी MDM द्वारे WiFi प्रोफाईल कॉन्फिगर करू शकता. याचा अर्थ तुमचे कॉर्पोरेट लॅपटॉप्स कोणत्याही वापरकर्त्याच्या हस्तक्षेपाशिवाय सुरक्षित, प्रमाणपत्र-आधारित पद्धतीवर आपोआप स्विच होतील.

तिसरी पायरी म्हणजे संक्रमण टप्पा. तुम्ही तुमच्या RADIUS लॉग्सचे निरीक्षण करा. तुम्हाला तुमची मॅनेज्ड उपकरणे EAP-TLS द्वारे प्रमाणीकरण करताना दिसतील, तर अनमॅनेज्ड किंवा लेगसी उपकरणे PEAP वापरणे सुरू ठेवतील.

हे आपल्याला सामान्य समस्येकडे घेऊन जाते: लेगसी उपकरणे. तुमच्या वेअरहाऊसमधील दहा वर्षांच्या जुन्या बारकोड स्कॅनर्सचे, किंवा EAP-TLS ला समर्थन न देणाऱ्या जुन्या पॉईंट-ऑफ-सेल टर्मिनल्सचे तुम्ही काय करता?

यावर उपाय म्हणजे विभागणी (segmentation). सर्वात कमी सामान्य छेद सामावून घेण्यासाठी तुम्ही तुमच्या प्राथमिक स्टाफ नेटवर्कची सुरक्षा कधीही कमी करू नये. त्याऐवजी, त्या लेगसी उपकरणांना एका समर्पित VLAN वर आयसोलेट करा. तुम्ही कठोर नेटवर्क ॲक्सेस कंट्रोल्ससह MAC-आधारित प्रमाणीकरण वापरू शकता, हे सुनिश्चित करून की ती उपकरणे केवळ त्यांना आवश्यक असलेल्या विशिष्ट अंतर्गत सर्व्हर्सशीच बोलू शकतील, आणि इतर कशाशीही नाही.

एकदा तुमचा मॅनेज्ड फ्लीट पूर्णपणे EAP-TLS कडे मायग्रेट झाला की, तुम्ही शेवटी तुमच्या मुख्य कॉर्पोरेट SSID वर PEAP-MSCHAPv2 अक्षम करू शकता, आणि असुरक्षिततेची खिडकी कायमची बंद करू शकता.

IT संचालकांकडून आम्हाला मिळणाऱ्या सर्वात सामान्य प्रश्नांवर आधारित एक द्रुत रॅपिड-फायर प्रश्नोत्तरे करूया.

प्रश्न पहिला: "WPA3 PEAP-MSCHAPv2 ची समस्या सोडवते का?"
उत्तर: नाही. WPA3 हवेतील एन्क्रिप्शन सुधारते, परंतु अंतर्निहित EAP प्रमाणीकरण पद्धत तीच राहते. जर तुम्ही PEAP-MSCHAPv2 सोबत WPA3-Enterprise वापरत असाल, तर क्लायंटने सर्व्हर प्रमाणपत्राचे कठोरपणे प्रमाणीकरण न केल्यास तुम्ही अजूनही इव्हिल ट्विन द्वारे क्रेडेन्शियल कॅप्चरसाठी असुरक्षित आहात.

प्रश्न दुसरा: "EAP-TTLS बद्दल काय?"
उत्तर: EAP-TTLS हे PEAP पेक्षा चांगले आहे कारण ते प्रमाणीकरणाला टनेल करते, अनेकदा MSCHAPv2 ऐवजी PAP वापरून, जे MSCHAPv2 च्या विशिष्ट क्रिप्टोग्राफिक कमकुवतपणा टाळते. तथापि, ते अजूनही पासवर्ड्सवर अवलंबून असते आणि सर्व्हर प्रमाणपत्र प्रमाणित न केल्यास ते अजूनही असुरक्षित असते. ही एक पायरी आहे, परंतु EAP-TLS हे अंतिम ध्येय असले पाहिजे.

प्रश्न तिसरा: "याचा आमच्या Purple गेस्ट WiFi वर कसा परिणाम होतो?"
उत्तर: याचा थेट परिणाम होत नाही. गेस्ट WiFi सामान्यतः कॅप्टिव्ह पोर्टल्स किंवा WPA2/3-Personal सह ओपन नेटवर्क्स वापरते, जे तुमच्या 802.1X एंटरप्राइझ प्रमाणीकरणापासून वेगळे असतात. तथापि, तुमचे गेस्ट सर्व्हिसेस आणि ॲनालिटिक्स प्लॅटफॉर्म्ससह तुमच्या सर्व व्हेन्यू ऑपरेशन्सना समर्थन देणाऱ्या इन्फ्रास्ट्रक्चरचे संरक्षण करण्यासाठी तुमचे बॅक-ऑफ-हाऊस नेटवर्क सुरक्षित करणे महत्त्वपूर्ण आहे.

थोडक्यात सांगायचे तर: PEAP-MSCHAPv2 ने आपली चांगली सेवा केली आहे, परंतु त्याची वेळ आता निघून गेली आहे. क्रिप्टोग्राफिक त्रुटी सार्वजनिक आहेत, आणि हल्ला करणारी साधने स्वयंचलित आहेत. EAP-TLS कडे मायग्रेशन हा आता कोणताही ब्लीडिंग-एज प्रकल्प राहिलेला नाही; हे एक मानक, साध्य करण्यायोग्य अपग्रेड आहे, जे आधुनिक MDM आणि क्लाउड PKI सोल्यूशन्समुळे लक्षणीयरीत्या सोपे झाले आहे.

काहीही न करण्याचा धोका—तडजोड केलेला Active Directory पासवर्ड ज्यामुळे मोठ्या नेटवर्कचे उल्लंघन होऊ शकते—मायग्रेशनच्या ऑपरेशनल प्रयत्नांपेक्षा खूप जास्त आहे. आजच तुमच्या RADIUS लॉग्सच्या ऑडिटने सुरुवात करा, तुमची लेगसी उपकरणे ओळखा, आणि प्रमाणपत्र-आधारित प्रमाणीकरणाकडे तुमचे संक्रमण मॅप करण्यास सुरुवात करा.

हे Purple तांत्रिक ब्रीफिंग ऐकल्याबद्दल धन्यवाद. अधिक तपशीलवार डिप्लॉयमेंट मार्गदर्शक आणि आर्किटेक्चर डायग्राम्ससाठी, या पॉडकास्टसोबत असलेले संपूर्ण तांत्रिक संदर्भ मार्गदर्शक नक्की वाचा.

महत्वाचे मुद्दे

✓PEAP-MSCHAPv2 अप्रचलित क्रिप्टोग्राफीवर (MD4 आणि DES) अवलंबून आहे जी ऑफलाइन अगदी सहजपणे क्रॅक केली जाऊ शकते.
✓जर एंडपॉईंट उपकरणांनी RADIUS सर्व्हर प्रमाणपत्राचे कठोरपणे प्रमाणीकरण केले नाही तर हा प्रोटोकॉल 'इव्हिल ट्विन' हल्ल्यांसाठी अत्यंत असुरक्षित आहे.
✓आधुनिक Windows अपडेट्स (Credential Guard) हॅश चोरी रोखण्यासाठी MSCHAPv2 प्रमाणीकरण सक्रियपणे खंडित करत आहेत.
✓EAP-TLS हा निश्चित पर्याय आहे, जो डिजिटल प्रमाणपत्रांद्वारे परस्पर प्रमाणीकरण आणि ऑफलाइन क्रॅकिंगपासून प्रतिकारशक्ती प्रदान करतो.
✓क्लाउड PKI आणि आधुनिक MDM प्लॅटफॉर्म्सनी EAP-TLS तैनात करण्याची गुंतागुंत आणि खर्च लक्षणीयरीत्या कमी केला आहे.
✓EAP-TLS शी विसंगत असलेल्या लेगसी उपकरणांना प्राथमिक नेटवर्क सुरक्षा कमी करण्याऐवजी समर्पित, प्रतिबंधित VLANs वर विभागले पाहिजे.

कार्यकारी सारांश

चांगल्या प्रकारे दस्तऐवजीकरण केलेल्या क्रिप्टोग्राफिक असुरक्षा असूनही, हॉस्पिटॅलिटी, रिटेल आणि सार्वजनिक क्षेत्रांमध्ये एंटरप्राइझ WiFi प्रमाणीकरणासाठी PEAP-MSCHAPv2 ही सर्वात जास्त वापरली जाणारी EAP पद्धत आहे. याचा सतत होणारा वापर सुरक्षेच्या परिणामकारकतेपेक्षा तैनातीतील सुलभतेमुळे—विशेषतः Active Directory सोबतच्या नेटिव्ह इंटिग्रेशनमुळे—आहे. तथापि, धोक्याचे स्वरूप आता नाटकीयरित्या बदलले आहे. स्वयंचलित शोषण साधनांनी "इव्हिल ट्विन" (evil twin) हल्ल्याला सामान्य बनवले आहे, ज्यामुळे हल्लेखोरांना MSCHAPv2 चॅलेंज-रिस्पॉन्स हॅशेस अगदी सहजपणे कॅप्चर आणि क्रॅक करता येतात, ज्याचा थेट परिणाम Active Directory क्रेडेन्शियल्स तडजोड होण्यात होतो.

IT संचालक आणि नेटवर्क आर्किटेक्ट्ससाठी, आदेश स्पष्ट आहे: PCI DSS किंवा GDPR सारख्या अनुपालन फ्रेमवर्कच्या अधीन असलेल्या कोणत्याही वातावरणात PEAP-MSCHAPv2 आता उद्देशासाठी योग्य नाही. हे मार्गदर्शक PEAP-MSCHAPv2 ला लक्ष्य करणाऱ्या विशिष्ट अटॅक वेक्टर्सचे गंभीर विश्लेषण प्रदान करते आणि EAP-TLS कडे जाण्यासाठी व्यावहारिक, टप्प्याटप्प्याने मायग्रेशन मार्ग रूपरेखित करते. आधुनिक मोबाईल डिव्हाइस मॅनेजमेंट (MDM) आणि क्लाउड पब्लिक की इन्फ्रास्ट्रक्चर (PKI) सोल्यूशन्सचा लाभ घेऊन, संस्था व्यवसाय ऑपरेशन्समध्ये व्यत्यय न आणता किंवा लेगसी उपकरणांना वेगळे न करता मजबूत, प्रमाणपत्र-आधारित प्रमाणीकरणाकडे संक्रमण करू शकतात.

तांत्रिक सखोल माहिती: असुरक्षिततेची रचना

PEAP-MSCHAPv2 का बंद केले पाहिजे हे समजून घेण्यासाठी, त्याच्या अंतर्निहित क्रिप्टोग्राफिक आर्किटेक्चरचे परीक्षण करणे आवश्यक आहे. MSCHAPv2 (Microsoft Challenge Handshake Authentication Protocol version 2) 1990 च्या दशकाच्या उत्तरार्धात डिझाइन केले गेले होते आणि ते MD4 हॅशिंग अल्गोरिदम आणि डेटा एन्क्रिप्शन स्टँडर्ड (DES) [1] वर अवलंबून आहे. आधुनिक क्रिप्टोग्राफिक मानकांनुसार दोन्ही अप्रचलित मानले जातात.

क्रिप्टोग्राफिक त्रुटी

MSCHAPv2 वापरकर्त्याच्या पासवर्डचा NT हॅश कसा हाताळतो यात मूलभूत कमकुवतपणा आहे. हा प्रोटोकॉल NT हॅशमधून प्राप्त झालेल्या 21-बाइट कीला तीन 7-बाइट DES कीजमध्ये विभाजित करतो. महत्त्वाचे म्हणजे, तिसरी की हॅशचे फक्त दोन महत्त्वपूर्ण बाइट्स वापरते आणि उर्वरित भाग नल (null) बाइट्सने पॅड करते. ही संरचनात्मक त्रुटी क्रिप्टोग्राफिक गुंतागुंत वेगाने कमी करते.

2012 मध्ये, सुरक्षा संशोधक मॉक्सी मार्लिन्स्पाइक यांनी हे सिद्ध केले की समस्येला एकाच DES की क्रॅकमध्ये कमी करून MSCHAPv2 हँडशेक निश्चितपणे क्रॅक केला जाऊ शकतो [2]. क्लाउड-आधारित क्रॅकिंग सेवा किंवा hashcat सारखी साधने चालवणारे आधुनिक GPU रिग्स वापरून, हल्लेखोर पासवर्डच्या गुंतागुंतीची पर्वा न करता, कॅप्चर केलेल्या हँडशेकमधून काही तासांतच प्लेनटेक्स्ट Active Directory पासवर्ड पुनर्प्राप्त करू शकतो.

इव्हिल ट्विन अटॅक वेक्टर

क्रिप्टोग्राफिक कमकुवतपणाचा फायदा "इव्हिल ट्विन" हल्ल्याद्वारे प्रत्यक्ष जगात घेतला जातो. कॉर्पोरेट ऑफिस किंवा हॉस्पिटॅलिटी ठिकाणच्या सामान्य परिस्थितीत:

रोग (Rogue) AP डिप्लॉयमेंट: हल्लेखोर लक्ष्यित कॉर्पोरेट SSID (उदा., "Staff-WiFi") ब्रॉडकास्ट करणारा एक रोग ॲक्सेस पॉईंट तैनात करतो.
सिग्नल वर्चस्व: रोग AP उच्च ट्रान्समिट पॉवरवर कार्य करतो, ज्यामुळे जवळपासची क्लायंट उपकरणे कायदेशीर इन्फ्रास्ट्रक्चरऐवजी त्याच्याशी जोडली जाण्यास भाग पडतात.
बनावट RADIUS प्रमाणीकरण: जेव्हा क्लायंट PEAP टनेल सुरू करतो, तेव्हा रोग AP विनंतीला हल्लेखोराद्वारे नियंत्रित RADIUS सर्व्हरकडे (जसे की hostapd-wpe) प्रॉक्सी करतो.
प्रमाणपत्र प्रमाणीकरण अपयश: रोग RADIUS सर्व्हर सेल्फ-साइंड किंवा असत्यापित डिजिटल प्रमाणपत्र सादर करतो. जर क्लायंट डिव्हाइस कठोर सर्व्हर प्रमाणपत्र प्रमाणीकरण बायपास करण्यासाठी चुकीच्या पद्धतीने कॉन्फिगर केले असेल—किंवा वापरकर्त्याने ट्रस्ट प्रॉम्प्टवर फक्त "Accept" वर क्लिक केले—तर टनेल स्थापित होतो.
क्रेडेन्शियल कॅप्चर: क्लायंट तडजोड केलेल्या टनेलमधून MSCHAPv2 चॅलेंज-रिस्पॉन्स प्रसारित करतो. हल्लेखोर हॅश कॅप्चर करतो आणि कनेक्शन संपुष्टात आणतो.

एंडपॉईंट स्तरावर कठोर सर्व्हर प्रमाणपत्र प्रमाणीकरण लागू केल्याशिवाय, PEAP-MSCHAPv2 वापरणारे प्रत्येक उपकरण या क्रेडेन्शियल कॅप्चर तंत्रासाठी असुरक्षित आहे. हे विशेषतः रिटेल वातावरणासाठी चिंताजनक आहे जेथे बॅक-ऑफ-हाऊस नेटवर्क्स अनेकदा सार्वजनिक जागांच्या भौतिक सान्निध्यात असतात.

अंमलबजावणी मार्गदर्शक: EAP-TLS कडे मायग्रेट करणे

MSCHAPv2 असुरक्षा कमी करण्याचा निश्चित उपाय म्हणजे EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) कडे मायग्रेट करणे. EAP-TLS परस्पर प्रमाणीकरण अनिवार्य करते: RADIUS सर्व्हर आणि क्लायंट डिव्हाइस दोघांनीही वैध डिजिटल प्रमाणपत्रे सादर करणे आवश्यक आहे. हँडशेक दरम्यान कोणतेही पासवर्ड प्रसारित किंवा हॅश केले जात नसल्यामुळे, EAP-TLS ऑफलाइन डिक्शनरी हल्ल्यांपासून पूर्णपणे सुरक्षित आहे आणि इव्हिल ट्विन स्पूफिंगला अत्यंत प्रतिरोधक आहे.

ऐतिहासिकदृष्ट्या, EAP-TLS स्वीकारण्यात मुख्य अडथळा ऑन-प्रिमाइस पब्लिक की इन्फ्रास्ट्रक्चर (PKI) तैनात करण्याची गुंतागुंत हा होता. आज, क्लाउड PKI आणि आधुनिक MDM इंटिग्रेशन्सनी ही प्रक्रिया सुव्यवस्थित केली आहे.

टप्पा 1: ऑडिट आणि इन्व्हेंटरी

प्रमाणीकरण धोरणांमध्ये बदल करण्यापूर्वी, तुमच्या वर्तमान RADIUS लॉग्सचे (उदा., Cisco ISE, Aruba ClearPass, किंवा Windows NPS) सर्वसमावेशक ऑडिट करा. सध्या PEAP द्वारे प्रमाणीकरण करत असलेली सर्व उपकरणे ओळखा. या उपकरणांचे दोन गटांमध्ये वर्गीकरण करा:

मॅनेज्ड डिव्हाइसेस: MDM प्लॅटफॉर्ममध्ये (उदा., Intune, Jamf) नोंदणीकृत कॉर्पोरेट लॅपटॉप्स, टॅब्लेट्स आणि स्मार्टफोन्स.
अनमॅनेज्ड/लेगसी डिव्हाइसेस: IoT सेन्सर्स, जुने पॉईंट-ऑफ-सेल टर्मिनल्स, बारकोड स्कॅनर्स किंवा BYOD उपकरणे जे प्रमाणपत्र नोंदणीला समर्थन देऊ शकत नाहीत.

टप्पा 2: PKI डिप्लॉयमेंट आणि RADIUS कॉन्फिगरेशन

क्लायंट आणि सर्व्हर प्रमाणपत्रे जारी करण्यासाठी PKI सोल्यूशन तैनात करा. क्लाउड-नेटिव्ह PKI प्लॅटफॉर्म्स थेट Entra ID किंवा Google Workspace सोबत इंटिग्रेट होऊ शकतात, ज्यामुळे जड ऑन-प्रिमाइस Microsoft AD CS फूटप्रिंटची आवश्यकता दूर होते. EAP-TLS प्रमाणीकरण स्वीकारण्यासाठी तुमचा RADIUS सर्व्हर कॉन्फिगर करा. महत्त्वाचे म्हणजे, संक्रमण कालावधीत एकाच SSID वर एकाच वेळी PEAP आणि EAP-TLS दोन्हीला समर्थन देण्यासाठी नेटवर्क धोरण कॉन्फिगर करा.

टप्पा 3: MDM द्वारे प्रमाणपत्र वितरण

SCEP (Simple Certificate Enrollment Protocol) सारख्या प्रोटोकॉलचा वापर करून मॅनेज्ड उपकरणांवर क्लायंट प्रमाणपत्रे सायलेंटली वितरित करण्यासाठी तुमच्या MDM प्लॅटफॉर्मचा लाभ घ्या. त्याच वेळी, MDM द्वारे एक अपडेटेड WiFi प्रोफाईल पेलोड पुश करा जे उपकरणांना कॉर्पोरेट SSID साठी EAP-TLS ला प्राधान्य देण्याची सूचना देते. हे अंतिम वापरकर्त्यांसाठी झिरो-टच संक्रमण सुनिश्चित करते.

टप्पा 4: लेगसी उपकरणांची हाताळणी

EAP-TLS ला समर्थन देऊ न शकणाऱ्या लेगसी उपकरणांनी प्राथमिक कॉर्पोरेट नेटवर्कची सुरक्षा स्थिती कधीही ठरवू नये. त्याऐवजी, या उपकरणांना एका समर्पित VLAN वर विभागून ठेवा. ही उपकरणे केवळ त्यांच्या कार्यासाठी आवश्यक असलेल्या विशिष्ट अंतर्गत सर्व्हरशीच संवाद साधू शकतील याची खात्री करण्यासाठी कठोर ॲक्सेस कंट्रोल लिस्ट्स (ACLs) सोबत MAC-आधारित ऑथेंटिकेशन बायपास (MAB) लागू करा.

सर्वोत्तम पद्धती आणि अनुपालन

सुरक्षित एंटरप्राइझ वायरलेस वातावरण राखण्यासाठी उद्योग मानकांचे सतत पालन करणे आवश्यक आहे.

सर्व्हर प्रमाणपत्र प्रमाणीकरण लागू करा: जर तुम्हाला तात्पुरते PEAP-MSCHAPv2 राखणे आवश्यक असेल, तर सर्व एंडपॉईंट्सवर कठोर सर्व्हर प्रमाणपत्र पिनिंग लागू करण्यासाठी MDM वापरा. वापरकर्त्यांना अज्ञात प्रमाणपत्रांवर मॅन्युअली विश्वास ठेवण्यापासून प्रतिबंधित करा.
WPA2-Personal बंद करा: सर्व कॉर्पोरेट ॲक्सेस 802.1X (WPA2/WPA3-Enterprise) वर अवलंबून असल्याची खात्री करा. प्री-शेअर्ड कीज (PSK) काटेकोरपणे वेगळ्या IoT नेटवर्क्सपुरत्या मर्यादित असाव्यात.
PCI DSS सोबत संरेखित करा: पेमेंट्सवर प्रक्रिया करणाऱ्या ठिकाणांसाठी, PCI DSS आवश्यकता 4 वायरलेस नेटवर्क्सवर कार्डधारकाचा डेटा प्रसारित करण्यासाठी मजबूत क्रिप्टोग्राफी अनिवार्य करते. PCI सिक्युरिटी स्टँडर्ड्स कौन्सिल मजबूत प्रमाणीकरणासाठी स्पष्टपणे EAP-TLS ची शिफारस करते [3].
अॅनालिटिक्सचे निरीक्षण करा: नेटवर्कच्या आरोग्यावर लक्ष ठेवण्यासाठी, असामान्य कनेक्शन पॅटर्न ओळखण्यासाठी आणि लेगसी उपकरणे प्रतिबंधित सबनेट्समध्ये प्रवेश करण्याचा प्रयत्न करत नाहीत याची खात्री करण्यासाठी Purple च्या WiFi Analytics सारख्या प्लॅटफॉर्मचा वापर करा.

ROI आणि व्यावसायिक प्रभाव

EAP-TLS कडे मायग्रेट करण्याच्या गुंतवणुकीवरील परतावा (ROI) प्रामुख्याने जोखीम कमी करण्यामध्ये मोजला जातो. PEAP-MSCHAPv2 विरुद्ध यशस्वी इव्हिल ट्विन हल्ल्यामुळे वैध Active Directory क्रेडेन्शियल्स मिळतात, ज्यामुळे हल्लेखोरांना कॉर्पोरेट नेटवर्कमध्ये प्रारंभिक प्रवेश मिळतो. परिणामी डेटा उल्लंघन, रॅन्समवेअर डिप्लॉयमेंट किंवा नियामक दंड (जसे की GDPR अंतर्गत) यांचा आर्थिक प्रभाव क्लाउड PKI तैनात करण्याच्या आणि MDM प्रोफाईल्स अपडेट करण्याच्या ऑपरेशनल खर्चापेक्षा खूप जास्त असतो.

याव्यतिरिक्त, प्रमाणपत्र-आधारित प्रमाणीकरण पासवर्ड कालबाह्य होणे आणि लॉकआउट्सशी संबंधित हेल्पडेस्क तिकीट व्हॉल्यूम लक्षणीयरीत्या कमी करते. EAP-TLS कडे वळून, IT टीम्स पासवर्ड-आधारित WiFi ॲक्सेसचा त्रास दूर करतात, आणि आधुनिक झिरो-ट्रस्ट नेटवर्क आर्किटेक्चरला समर्थन देणारा एक अखंड, सुरक्षित कनेक्टिव्हिटी अनुभव प्रदान करतात.

संदर्भ

[1] मायक्रोसॉफ्ट सिक्युरिटी रिस्पॉन्स सेंटर. "MS-CHAPv2 प्रमाणीकरणातील कमकुवतपणा." ऑगस्ट 2012. [2] मार्लिन्स्पाइक, मॉक्सी. "MS-CHAPv2 सह PPTP VPNs आणि WPA2 एंटरप्राइझचा पराभव." DEF CON 20, 2012. [3] PCI सिक्युरिटी स्टँडर्ड्स कौन्सिल. "माहिती पुरवणी: PCI DSS वायरलेस मार्गदर्शक तत्त्वे."

महत्वाच्या व्याख्या

PEAP (Protected Extensible Authentication Protocol)

एक EAP पद्धत जी प्रमाणीकरण प्रक्रियेला सुरक्षित TLS टनेलमध्ये एन्कॅप्स्युलेट करते जेणेकरून आतील प्रमाणीकरण क्रेडेन्शियल्स हवेतून इंटरसेप्ट होण्यापासून संरक्षित राहतील.

मोठ्या प्रमाणावर वापरले जाते कारण याला फक्त सर्व्हर-साइड प्रमाणपत्राची आवश्यकता असते, ज्यामुळे ते परस्पर प्रमाणित पद्धतींपेक्षा तैनात करणे सोपे होते.

MSCHAPv2

PEAP टनेलमध्ये सामान्यतः वापरला जाणारा अंतर्गत प्रमाणीकरण प्रोटोकॉल, जो वापरकर्त्याच्या पासवर्डच्या NT हॅशचा वापर करून चॅलेंज-रिस्पॉन्स यंत्रणेवर अवलंबून असतो.

कालबाह्य MD4 हॅशिंग आणि DES एन्क्रिप्शनवरील अवलंबनामुळे PEAP डिप्लॉयमेंट्समधील असुरक्षिततेचा प्राथमिक स्रोत.

EAP-TLS

परस्पर प्रमाणीकरणाची आवश्यकता असलेली एक EAP पद्धत, जिथे RADIUS सर्व्हर आणि क्लायंट डिव्हाइस दोन्ही आपली ओळख सिद्ध करण्यासाठी डिजिटल प्रमाणपत्रे सादर करतात.

एंटरप्राइझ WiFi सुरक्षेसाठी उद्योगातील सुवर्ण मानक, जे ऑफलाइन डिक्शनरी आणि इव्हिल ट्विन हल्ल्यांपासून सुरक्षित आहे.

Evil Twin Attack

एक वायरलेस हल्ला जिथे रोग ॲक्सेस पॉईंट क्लायंट उपकरणांना कनेक्ट करण्यासाठी फसवण्यासाठी कायदेशीर कॉर्पोरेट SSID ची नक्कल करतो, ज्यामुळे हल्लेखोराला ट्रॅफिक इंटरसेप्ट करण्याची किंवा प्रमाणीकरण क्रेडेन्शियल्स कॅप्चर करण्याची परवानगी मिळते.

असुरक्षित PEAP डिप्लॉयमेंट्समधून MSCHAPv2 हँडशेक्स कॅप्चर करण्यासाठी हल्लेखोरांद्वारे वापरला जाणारा प्राथमिक वेक्टर.

RADIUS (Remote Authentication Dial-In User Service)

एक नेटवर्किंग प्रोटोकॉल जो नेटवर्क सेवेशी कनेक्ट होणाऱ्या आणि वापरणाऱ्या वापरकर्त्यांसाठी केंद्रीकृत ऑथेंटिकेशन, ऑथोरायझेशन आणि अकाउंटिंग (AAA) व्यवस्थापन प्रदान करतो.

मुख्य सर्व्हर इन्फ्रास्ट्रक्चर (जसे की Cisco ISE किंवा NPS) जे ॲक्सेस पॉईंट्सवरून 802.1X प्रमाणीकरण विनंत्यांवर प्रक्रिया करते.

PKI (Public Key Infrastructure)

डिजिटल प्रमाणपत्रे तयार करण्यासाठी, व्यवस्थापित करण्यासाठी, वितरित करण्यासाठी, वापरण्यासाठी, संचयित करण्यासाठी आणि रद्द करण्यासाठी आवश्यक असलेल्या भूमिका, धोरणे, हार्डवेअर, सॉफ्टवेअर आणि प्रक्रियांचा संच.

EAP-TLS तैनात करण्यासाठी आवश्यक असलेली पायाभूत इन्फ्रास्ट्रक्चर, जी वाढत्या प्रमाणात क्लाउड-नेटिव्ह SaaS प्लॅटफॉर्मद्वारे वितरित केली जाते.

MDM (Mobile Device Management)

सॉफ्टवेअर जे IT प्रशासकांना स्मार्टफोन्स, टॅब्लेट्स आणि एंडपॉईंट्सवर नियंत्रण ठेवण्यास, सुरक्षित करण्यास आणि धोरणे लागू करण्यास अनुमती देते.

EAP-TLS मायग्रेशन्ससाठी आवश्यक, कारण याचा वापर कॉर्पोरेट उपकरणांवर क्लायंट प्रमाणपत्रे आणि कठोर WiFi प्रोफाईल्स सायलेंटली पुश करण्यासाठी केला जातो.

MAB (MAC Authentication Bypass)

एक पोर्ट-आधारित ॲक्सेस कंट्रोल पद्धत जी वापरकर्तानाव/पासवर्ड किंवा प्रमाणपत्राची आवश्यकता असण्याऐवजी उपकरणांना त्यांच्या MAC ॲड्रेसच्या आधारे प्रमाणित करते.

802.1X प्रोटोकॉलला समर्थन देऊ न शकणाऱ्या लेगसी 'हेडलेस' उपकरणांना (जसे की प्रिंटर्स) प्रमाणित करण्यासाठी फॉलबॅक यंत्रणा म्हणून वापरले जाते.

सोडवलेली उदाहरणे

एक 400-खोल्यांची हॉटेल चेन सध्या त्यांच्या बॅक-ऑफ-हाऊस स्टाफ नेटवर्कसाठी PEAP-MSCHAPv2 वापरत आहे. IT संचालकांना EAP-TLS कडे मायग्रेट करायचे आहे परंतु त्यांना 50 लेगसी हँडहेल्ड इन्व्हेंटरी स्कॅनर्सची चिंता आहे जे जुन्या OS वर चालतात आणि प्रमाणपत्र नोंदणीला समर्थन देत नाहीत. इन्व्हेंटरी ऑपरेशन्समध्ये व्यत्यय न आणता नेटवर्क आर्किटेक्टने हे मायग्रेशन कसे हाताळावे?

नेटवर्क आर्किटेक्टने विभागणीचा (segmented) दृष्टिकोन लागू केला पाहिजे. प्रथम, क्लाउड PKI तैनात करा आणि EAP-TLS आणि PEAP-MSCHAPv2 दोन्ही स्वीकारण्यासाठी मध्यवर्ती RADIUS सर्व्हर कॉन्फिगर करा. सर्व आधुनिक स्टाफ लॅपटॉप्स आणि टॅब्लेट्सवर क्लायंट प्रमाणपत्रे आणि अपडेटेड EAP-TLS WiFi प्रोफाईल पुश करण्यासाठी हॉटेलच्या MDM प्लॅटफॉर्मचा वापर करा. 50 लेगसी स्कॅनर्ससाठी, एका आयसोलेटेड VLAN ला मॅप केलेला एक समर्पित, लपलेला SSID तयार करा. RADIUS सर्व्हरवर या विशिष्ट स्कॅनर MAC ॲड्रेसेससाठी MAC-आधारित ऑथेंटिकेशन बायपास (MAB) कॉन्फिगर करा. या VLAN वर कठोर नेटवर्क ACLs लागू करा जेणेकरून स्कॅनर्स केवळ इन्व्हेंटरी डेटाबेस सर्व्हरपर्यंतच पोहोचू शकतील आणि इतर कुठेही नाही. एकदा सर्व आधुनिक उपकरणे EAP-TLS वापरू लागली की, प्राथमिक स्टाफ नेटवर्कवर PEAP-MSCHAPv2 अक्षम करा.

परीक्षकाचे भाष्य: हा दृष्टिकोन बहुतांश उपकरणांसाठी मजबूत सुरक्षा आणि लेगसी हार्डवेअरसाठी ऑपरेशनल सातत्य यांचा उत्तम समतोल साधतो. लेगसी उपकरणांना प्रतिबंधित VLAN वर आयसोलेट करून, आर्किटेक्ट तडजोड झाल्यास त्या उपकरणांचा पिव्होट पॉईंट म्हणून वापर होण्याचा धोका कमी करतो, आणि त्याच वेळी प्राथमिक कॉर्पोरेट नेटवर्कमधून PEAP-MSCHAPv2 असुरक्षा यशस्वीरित्या दूर करतो.

एका रिटेल संस्थेने त्यांच्या कॉर्पोरेट फ्लीटमध्ये Windows 11 22H2 रोल आउट केले आहे. IT हेल्पडेस्कला अचानक तिकिटे मिळत आहेत की वापरकर्ते कॉर्पोरेट WPA2-Enterprise WiFi नेटवर्कशी कनेक्ट होऊ शकत नाहीत, जे PEAP-MSCHAPv2 वापरते. याचे संभाव्य कारण काय आहे आणि त्वरित उपाय काय आहे?

याचे संभाव्य कारण Windows Defender Credential Guard ची ओळख आहे, जे Windows 11 22H2 आणि नवीन आवृत्त्यांमध्ये डीफॉल्टनुसार सक्षम केलेले असते. Credential Guard NTLM पासवर्ड हॅशेस आणि Kerberos तिकीट ग्रांटिंग तिकिटांना आयसोलेट आणि संरक्षित करते. PEAP-MSCHAPv2 ला चॅलेंज-रिस्पॉन्स तयार करण्यासाठी NT हॅशमध्ये प्रवेश आवश्यक असल्यामुळे, क्रेडेन्शियल चोरी रोखण्यासाठी Credential Guard जाणीवपूर्वक ही प्रमाणीकरण पद्धत खंडित करते. त्वरित उपाय म्हणजे EAP-TLS कडे मायग्रेशनला गती देणे, जे प्रमाणपत्र-आधारित प्रमाणीकरण वापरते आणि Credential Guard शी पूर्णपणे सुसंगत आहे. ग्रुप पॉलिसीद्वारे Credential Guard अक्षम करणे हा एक तात्पुरता, कमी सुरक्षित उपाय असू शकतो, परंतु याला सक्त विरोध केला जातो कारण यामुळे संपूर्ण OS ची सुरक्षा स्थिती कमकुवत होते.

परीक्षकाचे भाष्य: ही परिस्थिती PEAP पासून दूर जाण्यासाठी एक महत्त्वपूर्ण आधुनिक ऑपरेशनल ड्रायव्हर हायलाइट करते. मायक्रोसॉफ्टच्या स्वतःच्या OS सुरक्षा सुधारणा MSCHAPv2 ला आवश्यक असलेल्या लेगसी हॅशेसचा ॲक्सेस सक्रियपणे बंद करत आहेत. हे सोल्यूशन असुरक्षित OS डाउनग्रेड्सवर अवलंबून राहण्याऐवजी EAP-TLS ला कायमस्वरूपी उपाय म्हणून अचूकपणे ओळखते.

सराव प्रश्न

Q1. तुम्ही नव्याने अधिग्रहित केलेल्या उपकंपनीच्या वायरलेस नेटवर्कचे ऑडिट करत आहात. ते PEAP-MSCHAPv2 वापरतात. IT व्यवस्थापकाचा दावा आहे की ते इव्हिल ट्विन हल्ल्यांपासून सुरक्षित आहेत कारण त्यांनी SSID लपवला आहे आणि SSID ब्रॉडकास्टिंग अक्षम केले आहे. त्यांचे नेटवर्क क्रेडेन्शियल कॅप्चरपासून सुरक्षित आहे का?

टीप: लपविलेल्या नेटवर्क्सशी कनेक्ट करण्यासाठी कॉन्फिगर केल्यावर क्लायंट उपकरणे कसे वागतात आणि SSID लपविल्याने रोग AP ला स्पूफ करण्यापासून प्रतिबंधित केले जाते का याचा विचार करा.

नमुना उत्तर पहा

नाही, नेटवर्क सुरक्षित नाही. SSID लपवणे (बीकन फ्रेम्स अक्षम करणे) शून्य क्रिप्टोग्राफिक सुरक्षा प्रदान करते. किंबहुना, लपविलेल्या नेटवर्क्सशी कनेक्ट करण्यासाठी कॉन्फिगर केलेली उपकरणे सक्रियपणे SSID नाव असलेल्या प्रोब विनंत्या ब्रॉडकास्ट करतात, जे प्रभावीपणे ऐकत असलेल्या कोणत्याही हल्लेखोराला लपविलेल्या नेटवर्कची घोषणा करतात. हल्लेखोर सहजपणे SSID नाव कॅप्चर करू शकतो, तोच SSID ब्रॉडकास्ट करणारा इव्हिल ट्विन AP सुरू करू शकतो आणि मानक MSCHAPv2 क्रेडेन्शियल कॅप्चर हल्ला करू शकतो. कठोर सर्व्हर प्रमाणपत्र प्रमाणीकरण किंवा EAP-TLS कडे मायग्रेट करणे हाच एकमेव बचाव आहे.

Q2. EAP-TLS मायग्रेशन पायलट दरम्यान, तुम्ही Intune द्वारे 20 Windows लॅपटॉप्सवर क्लायंट प्रमाणपत्रे पुश करता. तथापि, सर्व 20 उपकरणांसाठी प्रमाणीकरण अयशस्वी होते. RADIUS सर्व्हर लॉग्स 'Client Certificate Not Trusted' (क्लायंट प्रमाणपत्र विश्वसनीय नाही) दर्शवतात. क्लायंट प्रमाणपत्रे तुमच्या नवीन क्लाउड PKI द्वारे जारी केली गेली होती. कोणती महत्त्वपूर्ण कॉन्फिगरेशन पायरी चुकली?

टीप: परस्पर प्रमाणीकरण कार्य करण्यासाठी, दोन्ही बाजूंनी दुसऱ्या बाजूचे प्रमाणपत्र जारी केलेल्या घटकावर विश्वास ठेवला पाहिजे.

नमुना उत्तर पहा

नवीन क्लाउड PKI च्या रूट CA वर विश्वास ठेवण्यासाठी RADIUS सर्व्हर कॉन्फिगर केलेला नाही. लॅपटॉप्सकडे योग्य क्लायंट प्रमाणपत्रे असली तरी, जेव्हा ते ती RADIUS सर्व्हरला सादर करतात, तेव्हा सर्व्हर ती नाकारतो कारण त्याच्या स्थानिक ट्रस्ट स्टोअरमध्ये क्लाउड PKI ची रूट/इंटरमीडिएट प्रमाणपत्रे नसतात. तुम्हाला क्लाउड PKI चे सार्वजनिक रूट CA प्रमाणपत्र RADIUS सर्व्हरच्या विश्वसनीय प्रमाणपत्र अधिकारी (trusted certificate authorities) स्टोअरमध्ये आयात करणे आवश्यक आहे.

Q3. तुमची संस्था कॉर्पोरेट WiFi साठी EAP-TLS अनिवार्य करते. एक वरिष्ठ कार्यकारी अधिकारी अंतर्गत आर्थिक डॅशबोर्ड्स ॲक्सेस करण्यासाठी त्यांचा वैयक्तिक, अनमॅनेज्ड iPad कॉर्पोरेट नेटवर्कशी कनेक्ट करण्याचा आग्रह धरतात. EAP-TLS सुरक्षा स्थिती राखून तुम्ही ही विनंती कशी पूर्ण कराल?

टीप: EAP-TLS च्या पूर्वअटी आणि 'मॅनेज्ड' उपकरणाच्या व्याख्येचा विचार करा.

नमुना उत्तर पहा

EAP-TLS आर्किटेक्चरशी तडजोड केल्याशिवाय तुम्ही प्राथमिक कॉर्पोरेट नेटवर्कवर ही विनंती सुरक्षितपणे पूर्ण करू शकत नाही. EAP-TLS ला क्लायंट प्रमाणपत्राची आवश्यकता असते. iPad अनमॅनेज्ड (BYOD) असल्यामुळे, IT विभाग MDM द्वारे सुरक्षितपणे प्रमाणपत्र पुश करू शकत नाही. कार्यकारी अधिकाऱ्याला मॅन्युअली प्रमाणपत्र स्थापित करण्याची परवानगी दिल्यास महत्त्वपूर्ण जोखीम आणि प्रशासकीय ओव्हरहेड निर्माण होतो. योग्य दृष्टिकोन म्हणजे कॉर्पोरेट SSID ला ॲक्सेस नाकारणे. त्याऐवजी, कार्यकारी अधिकाऱ्याने गेस्ट WiFi शी कनेक्ट करावे आणि अंतर्गत संसाधनांमध्ये प्रवेश करण्यासाठी सुरक्षित कॉर्पोरेट VPN (जे आधुनिक MFA/SAML प्रमाणीकरणाला समर्थन देते) वापरावे, किंवा प्रमाणपत्र प्राप्त करण्यासाठी उपकरण कॉर्पोरेट MDM मध्ये नोंदणीकृत असणे आवश्यक आहे.

या मालिकेमध्ये पुढे वाचा

Wi-Fi सुरक्षेचे भविष्य: AI-आधारित NAC आणि थ्रेट डिटेक्शन

हे अधिकृत मार्गदर्शक जुन्या WPA2 कडून AI-आधारित नेटवर्क ॲक्सेस कंट्रोल (NAC) आणि थ्रेट डिटेक्शनकडे एंटरप्राइझ Wi-Fi सुरक्षेच्या उत्क्रांतीचा शोध घेते. IT लीडर्ससाठी डिझाइन केलेले, हे Purple च्या आयडेंटिटी-आधारित नेटवर्क्सचा वापर करून रिटेल, हॉस्पिटॅलिटी आणि स्टेडियम्ससारख्या हाय-डेन्सिटी वातावरणांना सुरक्षित करण्यासाठी कृतीयोग्य डिप्लॉयमेंट धोरणे प्रदान करते.

NAC आणि MPSK सह IoT डिव्हाइस सिक्युरिटी व्यवस्थापित करणे

हे तांत्रिक मार्गदर्शक एंटरप्राइझ ठिकाणे मल्टिपल प्री-शेअर्ड की (MPSK) आर्किटेक्चर आणि नेटवर्क ॲक्सेस कंट्रोल (NAC) वापरून हेडलेस IoT डिव्हाइसेस कसे सुरक्षित करू शकतात हे तपशीलवार सांगते. हे मायक्रो-सेगमेंटेशन साध्य करण्यासाठी, सिक्युरिटी ब्लास्ट रेडियस नियंत्रित करण्यासाठी आणि स्केलेबिलिटीशी तडजोड न करता कंप्लायन्स राखण्यासाठी कृती करण्यायोग्य अंमलबजावणीच्या पायऱ्या प्रदान करते.

RadSec: TLS वरील RADIUS मुळे WiFi प्रमाणीकरण सुरक्षा कशी सुधारते

हा अधिकृत तांत्रिक संदर्भ स्पष्ट करतो की RadSec (RFC 6614) पारंपारिक RADIUS ट्रॅफिकला TLS एन्क्रिप्शनमध्ये रॅप करून एंटरप्राइझ WiFi प्रमाणीकरण कसे सुरक्षित करते. IT व्यवस्थापक आणि नेटवर्क आर्किटेक्ट्ससाठी डिझाइन केलेले, हे कॉर्पोरेट आणि अतिथी नेटवर्कवर अनएन्क्रिप्टेड UDP RADIUS ट्रॅफिकचे धोके कमी करण्यासाठी आर्किटेक्चर, डिप्लॉयमेंट धोरणे आणि व्यावहारिक पायऱ्या कव्हर करते.