मुख्य मजकुराकडे जा
मराठी

RadSec: TLS सह RADIUS ऑथेंटिकेशन ट्रॅफिक सुरक्षित करणे

हे सर्वसमावेशक मार्गदर्शक RadSec (TLS वरील RADIUS) एक्सप्लोर करते, जे आधुनिक क्लाउड आणि मल्टी-साइट डिप्लॉयमेंटसाठी नेटवर्क ऑथेंटिकेशन ट्रॅफिक कसे सुरक्षित करते हे तपशीलवार सांगते. हे नेटवर्क आर्किटेक्ट्सना लेगसी UDP RADIUS बदलण्यासाठी व्यावहारिक अंमलबजावणीच्या पायऱ्या, सर्टिफिकेट मॅनेजमेंट धोरणे आणि ट्रबलशूटिंग तंत्रे प्रदान करते.

📖 6 मिनिट वाचन📝 1,403 शब्द🔧 2 सोडवलेली उदाहरणे3 सराव प्रश्न📚 8 महत्वाच्या व्याख्या

हे मार्गदर्शक ऐका

पॉडकास्ट ट्रान्सक्रिप्ट पहा
RadSec: TLS सह RADIUS ऑथेंटिकेशन ट्रॅफिक सुरक्षित करणे. एक Purple टेक्निकल ब्रीफिंग. परिचय आणि संदर्भ. या Purple टेक्निकल ब्रीफिंगमध्ये आपले स्वागत आहे. मी तुम्हाला RadSec — TLS वरील RADIUS — ते काय आहे, ते आत्ता का महत्त्वाचे आहे आणि तुम्ही ते प्रत्यक्षात कसे डिप्लॉय करता याबद्दल माहिती देणार आहे. हे थेट नेटवर्क आर्किटेक्ट्स आणि सिक्युरिटी इंजिनिअर्ससाठी आहे जे आज क्लाउड RADIUS चालवत आहेत किंवा तिथे जाण्याची योजना आखत आहेत. जर तुम्ही अजूनही UDP आणि शेअर्ड सीक्रेटसह ऑन-प्रिमाइस RADIUS सर्व्हर्स चालवत असाल, तर हे ब्रीफिंग तुमच्यासाठी आहे. चला पार्श्वभूमी समजून घेऊया. RADIUS हे तीस वर्षांहून अधिक काळ नेटवर्क ऑथेंटिकेशनचा कणा राहिले आहे. हे 802.1X, WPA2-Enterprise, WPA3-Enterprise आणि आज प्रोडक्शनमध्ये असलेल्या जवळजवळ प्रत्येक Captive Portal सिस्टीमला आधार देते. प्रोटोकॉल स्वतः, RFC 2865 मध्ये परिभाषित केलेला, अशा युगात डिझाइन केला गेला होता जेव्हा इंटरनेट एक अतिशय वेगळे ठिकाण होते. तुमचे NAS डिव्हाइसेस — तुमचे ॲक्सेस पॉइंट्स, स्विचेस आणि कंट्रोलर्स — आणि तुमचा RADIUS सर्व्हर यांच्यातील ऑथेंटिकेशन ट्रॅफिक UDP वरून प्रवास करत असे, ऑथेंटिकेशनसाठी पोर्ट 1812, अकाउंटिंगसाठी पोर्ट 1813. आणि ते ट्रॅफिक? बहुतांशी अनएन्क्रिप्टेड. युझर पासवर्ड ॲट्रिब्युट अस्पष्ट करण्यासाठी वापरले जाणारे शेअर्ड सीक्रेट हे एकमेव संरक्षण होते आणि त्यामध्येही चांगल्या प्रकारे दस्तऐवजीकरण केलेल्या कमकुवतपणा आहेत. वर्षानुवर्षे, हे स्वीकार्य होते कारण RADIUS ट्रॅफिक खाजगी, नियंत्रित नेटवर्क्सवर राहिले. तुमचे NAS डिव्हाइसेस आणि तुमचा RADIUS सर्व्हर एकाच LAN वर होते किंवा डेडिकेटेड MPLS सर्किटद्वारे जोडलेले होते. अटॅक सरफेस आटोपशीर होता. पण जग बदलले आहे. क्लाउड-नेटिव्ह इन्फ्रास्ट्रक्चर, वितरित व्हेन्यू डिप्लॉयमेंट्स, SD-WAN ओव्हरलेज आणि क्लाउड RADIUS सर्व्हिसेसकडे वळल्याने थ्रेट मॉडेल मूलभूतपणे बदलले आहे. तुमचे ऑथेंटिकेशन ट्रॅफिक आता सार्वजनिक इंटरनेटवरून किंवा जास्तीत जास्त, तुम्ही पूर्णपणे नियंत्रित करत नसलेल्या शेअर्ड इन्फ्रास्ट्रक्चरवरून प्रवास करत आहे. तिथेच RadSec येते. तांत्रिक सखोल माहिती (टेक्निकल डीप-डाइव्ह). RadSec, औपचारिकपणे RFC 6614 मध्ये परिभाषित केलेले, TLS वरील RADIUS आहे. संकल्पना सरळ आहे: UDP वर RADIUS पॅकेट्स पाठवण्याऐवजी, तुम्ही त्यांना TCP वरील TLS कनेक्शनमध्ये एन्कॅप्स्युलेट करता. याचा परिणाम असा होतो की तुमचे NAS आणि तुमचा RADIUS सर्व्हर यांच्यातील सर्व ऑथेंटिकेशन आणि अकाउंटिंग ट्रॅफिक पूर्णपणे एन्क्रिप्टेड, म्युच्युअल ऑथेंटिकेटेड आणि इंटिग्रिटी-प्रोटेक्टेड असते. RFC 7360 याचा विस्तार DTLS — UDP वरील डेटाग्राम TLS — पर्यंत करते, जे एन्क्रिप्शन जोडताना मूळ UDP ट्रान्सपोर्टची काही लॅटेन्सी वैशिष्ट्ये जतन करते. बहुतांश एंटरप्राइझ डिप्लॉयमेंटसाठी, TCP वरील TLS हा योग्य पर्याय आहे. मोठ्या स्टेडियम डिप्लॉयमेंटसारख्या हाय-थ्रूपुट, लॅटेन्सी-सेन्सिटिव्ह वातावरणात DTLS चा विचार करणे योग्य आहे. चला मेकॅनिक्सबद्दल बोलूया. RadSec TCP पोर्ट 2083 वर चालते, जे या प्रोटोकॉलसाठी IANA-असाइन केलेले पोर्ट आहे. जेव्हा NAS डिव्हाइस RadSec कनेक्शन सुरू करते, तेव्हा ते पोर्ट 2083 वर RADIUS सर्व्हरशी TCP कनेक्शन उघडते आणि TLS हँडशेक करते. हा हँडशेक म्युच्युअल असतो — क्लायंट, म्हणजे तुमचे NAS, आणि सर्व्हर दोन्ही X.509 सर्टिफिकेट्स सादर करतात. सर्व्हरचे सर्टिफिकेट ट्रस्टेड CA विरुद्ध व्हॅलिडेट केले जाते. क्लायंट सर्टिफिकेट RADIUS सर्व्हरला NAS ची ओळख पटवून देते. एकदा TLS सेशन स्थापित झाल्यानंतर, RADIUS पॅकेट्स त्या एन्क्रिप्टेड टनेलमध्ये अगदी UDP प्रमाणेच वाहतात, परंतु आता पूर्ण कॉन्फिडेन्शियलिटी, इंटिग्रिटी आणि रिप्ले प्रोटेक्शनसह. हे पारंपारिक RADIUS पासून तीन महत्त्वाच्या मार्गांनी लक्षणीयरीत्या वेगळे आहे. पहिले, ट्रान्सपोर्ट TCP आहे, UDP नाही. याचा अर्थ तुम्हाला विश्वसनीय, क्रमाने डिलिव्हरी मिळते. हरवलेली पॅकेट्स आपोआप रिट्रान्समिट केली जातात. दुसरे, दोन्ही एंडपॉइंट्सचे ऑथेंटिकेशन सर्टिफिकेट-आधारित आहे, शेअर्ड-सीक्रेट-आधारित नाही. हे कमकुवत किंवा तडजोड केलेल्या शेअर्ड सीक्रेट्सवर आधारित हल्ल्यांचा संपूर्ण वर्ग दूर करते. तिसरे, संपूर्ण RADIUS पॅकेट एन्क्रिप्ट केलेले असते, केवळ पासवर्ड ॲट्रिब्युट नाही. याचा अर्थ युझरनेम्स, सेशन आयडेंटिफायर्स आणि सर्व RADIUS ॲट्रिब्युट्स ट्रान्झिटमध्ये संरक्षित असतात. सर्टिफिकेट मॅनेजमेंटच्या दृष्टिकोनातून, तुम्हाला तुमच्या RADIUS सर्व्हर आणि तुमच्या NAS डिव्हाइसेस दोन्हीसाठी सर्टिफिकेट्स जारी करण्यासाठी आणि व्यवस्थापित करण्यासाठी PKI — पब्लिक की इन्फ्रास्ट्रक्चर — ची आवश्यकता आहे. व्यवहारात, Purple च्या क्लाउड-नेटिव्ह ऑथेंटिकेशन इन्फ्रास्ट्रक्चरसह बहुतांश क्लाउड RADIUS प्रदाते, तुमच्यासाठी सर्व्हर-साइड सर्टिफिकेट मॅनेजमेंट हाताळतात. तुमची जबाबदारी तुमच्या NAS डिव्हाइसेसना क्लायंट सर्टिफिकेट्स प्रोव्हिजन करण्याची आहे. मोठ्या प्रमाणावरील डिप्लॉयमेंटसाठी, हे सामान्यतः तुमच्या नेटवर्क मॅनेजमेंट प्लॅटफॉर्म किंवा डेडिकेटेड सर्टिफिकेट मॅनेजमेंट सिस्टीमद्वारे हाताळले जाते. सर्टिफिकेट्सने किमान RSA 2048-बिट किंवा ECDSA P-256 वापरले पाहिजे, ज्याचा वैधता कालावधी ऑपरेशनल ओव्हरहेड आणि सिक्युरिटी हायजीन यांच्यात समतोल साधतो — बारा महिने हा एक वाजवी डिफॉल्ट आहे. आता, अनेक संस्था आज वापरत असलेल्या पर्यायी दृष्टिकोनाशी तुलना करूया: RADIUS ट्रॅफिकचे संरक्षण करण्यासाठी IPsec टनेल्स किंवा VPN ओव्हरलेज. IPsec हा एक पूर्णपणे वैध दृष्टिकोन आहे, परंतु तो वेगळ्या लेयरवर चालतो. तुम्ही दोन एंडपॉइंट्समधील सर्व ट्रॅफिक एन्क्रिप्ट करत आहात, ज्यामुळे गुंतागुंत वाढते — तुम्हाला IKE, टनेलसाठी प्री-शेअर्ड कीज किंवा सर्टिफिकेट्स आणि संभाव्यतः शेकडो साइट्सवर टनेल स्टेट राखण्याचा ऑपरेशनल ओव्हरहेड व्यवस्थापित करणे आवश्यक आहे. RadSec अधिक सर्जिकल आहे. ते विशेषतः RADIUS प्रोटोकॉल ट्रॅफिक एन्क्रिप्ट करते, ॲप्लिकेशन लेयरवर चालते आणि तुमच्या RADIUS इन्फ्रास्ट्रक्चरशी थेट इंटिग्रेट होते. क्लाउड RADIUS डिप्लॉयमेंटसाठी जिथे तुम्ही वितरित ठिकाणांवरील अनेक NAS डिव्हाइसेसना मध्यवर्ती क्लाउड सर्व्हरशी जोडत आहात, RadSec आर्किटेक्चरली अधिक स्वच्छ आणि ऑपरेशनली सोपे आहे. मी तुम्हाला व्यवहारात मल्टी-साइट डिप्लॉयमेंट कसे दिसते ते सांगतो. तुमच्याकडे क्लाउड RADIUS सर्व्हर आहे — समजा तो Purple चा प्लॅटफॉर्म आहे — ज्यामध्ये ट्रस्टेड CA कडील वैध TLS सर्टिफिकेट आहे. तुमच्याकडे तीन व्हेन्यू प्रकार आहेत: एक हॉटेल प्रॉपर्टी, एक रिटेल स्टोअर आणि एक कॉन्फरन्स सेंटर. प्रत्येकाकडे NAS डिव्हाइसेस आहेत — ॲक्सेस पॉइंट्स, स्विचेस किंवा वायरलेस LAN कंट्रोलर्स. प्रत्येक NAS डिव्हाइस RadSec सर्व्हर ॲड्रेस, पोर्ट 2083 आणि क्लायंट सर्टिफिकेटसह कॉन्फिगर करणे आवश्यक आहे. NAS TLS कनेक्शन सुरू करते, म्युच्युअल हँडशेक पूर्ण होतो आणि त्या क्षणापासून, त्या ठिकाणच्या अतिथी आणि कर्मचाऱ्यांसाठी सर्व 802.1X ऑथेंटिकेशन ट्रॅफिक क्लाउड RADIUS सर्व्हरकडे एन्क्रिप्टेड वाहते. जर TLS कनेक्शन ड्रॉप झाले — समजा, नेटवर्क व्यत्ययामुळे — NAS ते आपोआप पुन्हा स्थापित करते. हे पर्सिस्टंट कनेक्शन मॉडेल हाय-व्हॉल्यूम डिप्लॉयमेंटसाठी UDP पेक्षा अधिक कार्यक्षम आहे कारण तुम्ही प्रति-पॅकेट प्रक्रियेचा ओव्हरहेड टाळता. फायरवॉलच्या बाजूला, तुम्हाला तुमच्या NAS मॅनेजमेंट नेटवर्कवरून तुमच्या RADIUS सर्व्हरच्या IP ॲड्रेस किंवा FQDN कडे पोर्ट 2083 वर आउटबाउंड TCP ला अनुमती देणे आवश्यक आहे. जर तुम्ही कडक इग्रेस पॉलिसी चालवत असाल, तर तुम्हाला रिटर्न ट्रॅफिकलाही अनुमती द्यायची असेल. हे IPsec फायरवॉल नियम व्यवस्थापित करण्यापेक्षा सोपे आहे, ज्यांना अनेकदा ESP प्रोटोकॉल अपवाद आणि UDP 500 आणि 4500 वर IKE आवश्यक असते. अंमलबजावणी शिफारसी आणि धोके (इम्प्लिमेंटेशन रेकमेंडेशन्स आणि पिटफॉल्स). RadSec डिप्लॉयमेंट्समध्ये प्रत्यक्षात काय चूक होते याबद्दल बोलूया, कारण संस्थांमध्ये मला काही सातत्यपूर्ण फेल्युअर मोड्स दिसतात. पहिली आणि सर्वात सामान्य समस्या म्हणजे सर्टिफिकेट चेन व्हॅलिडेशन फेल्युअर्स. तुमच्या NAS डिव्हाइसने RADIUS सर्व्हरच्या सर्टिफिकेटवर स्वाक्षरी करणाऱ्या CA वर विश्वास ठेवणे आवश्यक आहे. जर तुम्ही सुप्रसिद्ध पब्लिक CA — DigiCert, Let's Encrypt, Sectigo — कडील सर्टिफिकेटसह क्लाउड RADIUS प्रदाता वापरत असाल, तर बहुतांश आधुनिक NAS डिव्हाइसेस त्यावर आउट ऑफ द बॉक्स विश्वास ठेवतील. परंतु जर तुम्ही अंतर्गत CA वापरत असाल, तर तुम्हाला प्रत्येक NAS डिव्हाइसवर CA सर्टिफिकेट पुश करणे आवश्यक आहे. सुरुवातीच्या डिप्लॉयमेंट दरम्यान याकडे अनेकदा दुर्लक्ष केले जाते आणि हे TLS हँडशेक फेल्युअर्स म्हणून समोर येते जे कनेक्टिव्हिटी समस्यांसारखे दिसतात. दुसरा धोका म्हणजे सर्टिफिकेट एक्सपायरी. शेअर्ड सीक्रेट्सच्या विपरीत, जे कालबाह्य होत नाहीत, सर्टिफिकेट्सचा एक परिभाषित वैधता कालावधी असतो. जर तुमचे RADIUS सर्व्हर सर्टिफिकेट कालबाह्य झाले, तर तुमच्या इस्टेटमधील प्रत्येक NAS डिव्हाइस एकाच वेळी ऑथेंटिकेट करण्यात अयशस्वी होईल. तुम्हाला सर्टिफिकेट लाइफसायकल मॅनेजमेंटची आवश्यकता आहे — शक्य तिथे स्वयंचलित नूतनीकरण, आणि एक्सपायरीच्या खूप आधी अलर्टिंगसह मॉनिटरिंग. नव्वद दिवसांची नोटीस किमान आहे; तीस दिवस चांगले आहे. तिसरी समस्या NAS डिव्हाइस सुसंगतता आहे. सर्व NAS डिव्हाइसेस मूळतः RadSec ला सपोर्ट करत नाहीत. जुन्या Cisco IOS आवृत्त्या, काही लेगसी Aruba कंट्रोलर्स आणि काही कंझ्युमर-ग्रेड ॲक्सेस पॉइंट्समध्ये RadSec सपोर्ट नाही. RadSec डिप्लॉयमेंटची कमिटमेंट करण्यापूर्वी, सुसंगततेसाठी तुमच्या NAS इस्टेटचे ऑडिट करा. Cisco IOS-XE 16.x आणि नंतरचे, Aruba AOS-CX, Ruckus SmartZone आणि Juniper EX सिरीज सर्वांमध्ये भक्कम RadSec सपोर्ट आहे. जे डिव्हाइसेस मूळतः RadSec ला सपोर्ट करत नाहीत त्यांच्यासाठी, RadSec प्रॉक्सी — radsecproxy सारखा ओपन-सोर्स पर्याय — ही दरी कमी करू शकतो, लेगसी डिव्हाइसेसकडून UDP RADIUS स्वीकारून आणि क्लाउड RADIUS सर्व्हरकडे TLS वरून फॉरवर्ड करून. चौथा विचार कनेक्शन पर्सिस्टन्स आणि कीपअलाइव्ह्जचा आहे. RadSec पर्सिस्टंट TCP कनेक्शन्स वापरते, परंतु अग्रेसिव्ह टाइमआउट पॉलिसीज असलेले फायरवॉल्स आणि NAT डिव्हाइसेस आयडल कनेक्शन्स सायलेंटली ड्रॉप करू शकतात. तुमच्या RadSec कनेक्शन्सवर TCP कीपअलाइव्ह्ज कॉन्फिगर करा — सामान्यतः साठ सेकंदांचा कीपअलाइव्ह इंटरव्हल अकाली कनेक्शन टियरडाउन रोखण्यासाठी पुरेसा असतो. बहुतांश RADIUS सर्व्हर इम्प्लिमेंटेशन्स आणि NAS डिव्हाइसेस या कॉन्फिगरेशनला सपोर्ट करतात. Cisco IOS-XE साठी, RadSec कॉन्फिगरेशन असे दिसते. तुम्ही तुमच्या क्लाउड RADIUS एंडपॉइंटच्या ॲड्रेससह RADIUS सर्व्हर परिभाषित करता, ट्रान्सपोर्ट म्हणून TLS निर्दिष्ट करता, तुमचा ट्रस्टपॉइंट संदर्भित करता — जे डिव्हाइसवरील सर्टिफिकेट स्टोअर आहे — आणि डेस्टिनेशन पोर्ट 2083 वर सेट करता. त्यानंतर तुम्ही तुमच्या AAA सर्व्हर ग्रुप कॉन्फिगरेशनमध्ये या सर्व्हरचा संदर्भ देता. प्लॅटफॉर्म आवृत्तीनुसार तपशील बदलतात, परंतु लॉजिकल रचना व्हेंडर्समध्ये सुसंगत आहे. AOS चालवणाऱ्या Aruba कंट्रोलर्ससाठी, तुम्ही RadSec पर्याय सक्षम करून RADIUS सर्व्हर कॉन्फिगर करता, सर्व्हर व्हॅलिडेशनसाठी CA सर्टिफिकेट निर्दिष्ट करता आणि वैकल्पिकरित्या म्युच्युअल TLS साठी क्लायंट सर्टिफिकेट कॉन्फिगर करता. Aruba ची अंमलबजावणी परिपक्व आणि चांगल्या प्रकारे दस्तऐवजीकरण केलेली आहे. रॅपिड-फायर प्रश्न आणि उत्तरे. RadSec लॅटेन्सी वाढवते का? TLS हँडशेक सुरुवातीच्या कनेक्शन स्थापनेवर थोडा ओव्हरहेड जोडतो — सामान्यतः 100 मिलिसेकंदांपेक्षा कमी. एकदा कनेक्शन स्थापित झाल्यानंतर, प्रति-पॅकेट ओव्हरहेड नगण्य असतो. 802.1X ऑथेंटिकेशनसाठी, जिथे हँडशेक प्रति सेशन एकदा होतो, ही एक अर्थपूर्ण चिंता नाही. मी पारंपारिक UDP RADIUS सोबत RadSec चालवू शकतो का? होय. बहुतांश RADIUS सर्व्हर्स एकाच वेळी दोन्हीला सपोर्ट करतात. मायग्रेशन दरम्यान, तुम्ही सपोर्ट करणाऱ्या साइट्ससाठी RadSec चालवू शकता आणि लेगसी साइट्ससाठी UDP वर फॉलबॅक करू शकता. हा शिफारस केलेला मायग्रेशन दृष्टिकोन आहे. PCI DSS कंप्लायन्ससाठी RadSec आवश्यक आहे का? PCI DSS आवृत्ती 4.0 ला ट्रान्झिटमध्ये ऑथेंटिकेशन ट्रॅफिक संरक्षित करणे आवश्यक आहे. RADIUS-आधारित ऑथेंटिकेशनसाठी ही आवश्यकता पूर्ण करण्याचा RadSec हा सर्वात थेट मार्गांपैकी एक आहे. जर तुम्ही RADIUS ऑथेंटिकेशन वापरणाऱ्या नेटवर्कवर कार्ड पेमेंट्सवर प्रक्रिया करत असाल, तर RadSec तुमच्या कंप्लायन्स रोडमॅपवर असले पाहिजे. RadSec EAP सोबत काम करते का? होय. EAP — एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल — RADIUS मध्ये एन्कॅप्स्युलेट केलेले असते, त्यामुळे EAP-TLS, PEAP, EAP-TTLS सर्व RadSec वर पारदर्शकपणे काम करतात. EAP एक्सचेंज स्वतः अप्रभावित राहते. RADIUS अकाउंटिंगचे काय? RFC 6614 ऑथेंटिकेशन आणि अकाउंटिंग ट्रॅफिक दोन्ही कव्हर करते. तुमचा अकाउंटिंग डेटा — सेशन स्टार्ट, स्टॉप आणि इंटरिम अपडेट रेकॉर्ड्स — देखील पोर्ट 2083 वरील त्याच TLS कनेक्शनवर एन्क्रिप्ट केलेला असतो. सारांश आणि पुढील पायऱ्या. हे सर्व एकत्र करण्यासाठी: कोणत्याही डिप्लॉयमेंटमध्ये जिथे ऑथेंटिकेशन ट्रॅफिक तुम्ही पूर्णपणे नियंत्रित करत नसलेल्या इन्फ्रास्ट्रक्चरवरून जाते तिथे RADIUS साठी RadSec हा योग्य ट्रान्सपोर्ट लेयर आहे. याचा अर्थ क्लाउड RADIUS, मल्टी-साइट डिप्लॉयमेंट्स, SD-WAN वातावरण आणि कोणतीही परिस्थिती जिथे RADIUS ट्रॅफिक सार्वजनिक इंटरनेट किंवा शेअर्ड कॅरियर इन्फ्रास्ट्रक्चरवरून प्रवास करते. तुमच्या टीमसाठी मुख्य कृती आहेत: पहिले, RadSec सुसंगततेसाठी तुमच्या NAS इस्टेटचे ऑडिट करा आणि प्रॉक्सीची आवश्यकता असलेल्या कोणत्याही डिव्हाइसेसची ओळख करा. दुसरे, तुमच्या क्लाउड RADIUS प्रदात्याशी संपर्क साधा — किंवा मूळतः RadSec ला सपोर्ट करणाऱ्या प्रदात्यांचे मूल्यांकन करा — आणि त्यांचा सर्टिफिकेट मॅनेजमेंट दृष्टिकोन समजून घ्या. तिसरे, तुम्ही लाइव्ह जाण्यापूर्वी सर्टिफिकेट लाइफसायकल मॅनेजमेंट प्रक्रिया स्थापित करा. चौथे, तुमच्या NAS मॅनेजमेंट नेटवर्कवरून TCP 2083 आउटबाउंडला अनुमती देण्यासाठी तुमचे फायरवॉल नियम अपडेट करा. पाचवे, प्रोडक्शनमध्ये रोल आउट करण्यापूर्वी स्टेजिंग वातावरणात तुमच्या RadSec कॉन्फिगरेशनची चाचणी करा, सर्टिफिकेट चेन व्हॅलिडेशन आणि लोड अंतर्गत कनेक्शन पर्सिस्टन्सकडे विशेष लक्ष द्या. वितरित ठिकाणांवर गेस्ट WiFi आणि ऑथेंटिकेशनसाठी Purple चा प्लॅटफॉर्म चालवणाऱ्या संस्थांसाठी, क्लाउड RADIUS कनेक्टिव्हिटीसाठी RadSec हा शिफारस केलेला ट्रान्सपोर्ट आहे. हे Purple च्या क्लाउड-नेटिव्ह आर्किटेक्चरशी संरेखित होते आणि तुमची ठिकाणे आणि प्लॅटफॉर्म दरम्यान वाहणारा ऑथेंटिकेशन डेटा पूर्णपणे संरक्षित असल्याची खात्री करते — जे तुमच्या सिक्युरिटी पोश्चरसाठी आणि GDPR आणि PCI DSS अंतर्गत तुमच्या कंप्लायन्स जबाबदाऱ्यांसाठी महत्त्वाचे आहे. जर तुम्ही डिप्लॉयमेंटची योजना आखत असाल किंवा तुमच्या विशिष्ट आर्किटेक्चरवर चर्चा करू इच्छित असाल, तर Purple टीम हा योग्य सुरुवातीचा बिंदू आहे. हे RadSec वरील Purple टेक्निकल ब्रीफिंग होते. ऐकल्याबद्दल धन्यवाद.

header_image.png

कार्यकारी सारांश

अनेक दशकांपासून, UDP वरील RADIUS हे नेटवर्क ऑथेंटिकेशनचा पाया राहिले आहे, जे सुरक्षेसाठी खाजगी नेटवर्क आणि शेअर्ड सीक्रेट्सवर अवलंबून आहे. एंटरप्राइझ आर्किटेक्चर क्लाउड-नेटिव्ह इन्फ्रास्ट्रक्चर, वितरित Retail आणि Hospitality ठिकाणे आणि SD-WAN ओव्हरलेजकडे वळत असताना, धोक्याचे मॉडेल (थ्रेट मॉडेल) मूलभूतपणे बदलले आहे. RADIUS ट्रॅफिक आता वारंवार सार्वजनिक किंवा शेअर्ड नेटवर्क्सवरून प्रवास करते, ज्यामुळे ऑथेंटिकेशन डेटा इंटरसेप्शनसाठी (अडवला जाण्यासाठी) उघडा पडतो.

RFC 6614 मध्ये परिभाषित केलेले RadSec (TLS वरील RADIUS), RADIUS पॅकेट्सना म्युच्युअल ऑथेंटिकेटेड TLS टनेलमध्ये एन्कॅप्स्युलेट करून ही समस्या सोडवते. हे मार्गदर्शक नेटवर्क आर्किटेक्ट्स आणि सिक्युरिटी इंजिनिअर्ससाठी RadSec डिप्लॉय करण्याबाबत एक सर्वसमावेशक तांत्रिक संदर्भ प्रदान करते. आम्ही पारंपारिक RADIUS मधील आर्किटेक्चरल फरक, सर्टिफिकेट मॅनेजमेंट आवश्यकता, फायरवॉल कॉन्फिगरेशन्स आणि Purple च्या Guest WiFi आणि WiFi Analytics इन्फ्रास्ट्रक्चरसारख्या क्लाउड RADIUS प्लॅटफॉर्म्ससह इंटिग्रेट करण्यासाठी व्यावहारिक डिप्लॉयमेंट बाबी कव्हर करतो. RadSec चा अवलंब करून, संस्था मजबूत सुरक्षा सुनिश्चित करू शकतात, PCI DSS आणि GDPR सारख्या कठोर कंप्लायन्स आवश्यकता पूर्ण करू शकतात आणि मल्टी-साइट ऑथेंटिकेशन आर्किटेक्चर सोपे करू शकतात.

तांत्रिक सखोल माहिती (टेक्निकल डीप-डाइव्ह)

RADIUS ट्रान्सपोर्टची उत्क्रांती

रिमोट ऑथेंटिकेशन डायल-इन यूजर सर्व्हिस (RADIUS) प्रोटोकॉल, जो मूळतः RFC 2865 मध्ये परिभाषित केला गेला होता, तो नेटवर्किंगच्या वेगळ्या युगासाठी डिझाइन केला गेला होता. तो त्याच्या ट्रान्सपोर्ट लेयरसाठी UDP वापरतो (ऑथेंटिकेशनसाठी पोर्ट 1812, अकाउंटिंगसाठी 1813). पारंपारिक RADIUS मध्ये, पेलोड ट्रान्झिटमध्ये बहुतांशी अनएन्क्रिप्टेड असतो. नेटवर्क ॲक्सेस सर्व्हर (NAS) आणि RADIUS सर्व्हरमधील शेअर्ड सीक्रेट वापरून User-Password ॲट्रिब्युटचे ऑबफस्केशन (अस्पष्ट करणे) हे एकमेव संरक्षण यंत्रणा आहे.

जेव्हा NAS डिव्हाइसेस आणि RADIUS सर्व्हर्स एकाच फिजिकल LAN किंवा डेडिकेटेड MPLS सर्किट्सवर असायचे तेव्हा हे पुरेसे होते, परंतु आधुनिक आर्किटेक्चर या मॉडेलच्या पुढे गेले आहेत. The Core SD WAN Benefits for Modern Businesses वरील आमच्या चर्चेत शोधल्याप्रमाणे, वितरित एंटरप्रायजेस आता इंटर-साइट कनेक्टिव्हिटीसाठी इंटरनेट ट्रान्सपोर्टवर अवलंबून आहेत. सार्वजनिक इंटरनेटवर अनएन्क्रिप्टेड RADIUS ट्रॅफिक पाठवल्याने युझर क्रेडेंशियल्स, सेशन आयडेंटिफायर्स आणि नेटवर्क ॲक्सेस पॉलिसीज इंटरसेप्शन आणि छेडछाडीसाठी उघड्या पडतात.

RadSec: TLS वरील RADIUS (RFC 6614)

RadSec ट्रान्सपोर्ट लेयर बदलून या असुरक्षिततेचे निराकरण करते. UDP ऐवजी, RadSec TCP पोर्ट 2083 वापरते. कोणत्याही RADIUS पॅकेट्सची देवाणघेवाण होण्यापूर्वी, NAS आणि RADIUS सर्व्हर TLS (ट्रान्सपोर्ट लेयर सिक्युरिटी) कनेक्शन स्थापित करतात.

radsec_vs_radius_comparison.png

RadSec च्या मुख्य तांत्रिक वैशिष्ट्यांमध्ये हे समाविष्ट आहे:

  1. TCP ट्रान्सपोर्ट: RadSec विश्वसनीय, क्रमाने डिलिव्हरी प्रदान करते. हे UDP RADIUS मधील ॲप्लिकेशन-लेयर रिट्रान्समिशनची आवश्यकता दूर करते, ज्यामुळे हाय-लॅटेन्सी वातावरणात समस्या उद्भवू शकतात.
  2. पूर्ण पेलोड एन्क्रिप्शन: संपूर्ण RADIUS पॅकेट—हेडर्स आणि सर्व ॲट्रिब्युट्ससह—TLS टनेलमध्ये एन्क्रिप्ट केलेले असते.
  3. म्युच्युअल ऑथेंटिकेशन (mTLS): RADIUS सर्व्हर आणि NAS डिव्हाइस दोन्ही X.509 सर्टिफिकेट्स वापरून एकमेकांना ऑथेंटिकेट करतात. हे कमकुवत शेअर्ड सीक्रेट मॉडेलला मजबूत पब्लिक की इन्फ्रास्ट्रक्चर (PKI) ने बदलते.
  4. पर्सिस्टंट कनेक्शन्स: UDP RADIUS च्या विपरीत जे कनेक्शनलेस आहे, RadSec एक पर्सिस्टंट TCP कनेक्शन राखते. हे प्रत्येक ऑथेंटिकेशन विनंतीसाठी नवीन कनेक्शन स्थापित करण्याचा ओव्हरहेड कमी करते, जे व्यस्त ठिकाणांसाठी अत्यंत कार्यक्षम आहे.

टीप: RFC 7360 DTLS (डेटाग्राम TLS) वरील RADIUS परिभाषित करते, जे UDP वापरते. विशिष्ट हाय-थ्रूपुट परिस्थितींमध्ये उपयुक्त असले तरी, TCP वरील TLS हे एंटरप्राइझ क्लाउड RADIUS डिप्लॉयमेंटसाठी मानक राहते.

वितरित वातावरणातील आर्किटेक्चर

एका सामान्य मल्टी-साइट डिप्लॉयमेंटमध्ये—जसे की राष्ट्रीय Healthcare प्रदाता किंवा Transport हबची साखळी—RadSec आर्किटेक्चर लक्षणीयरीत्या सोपे करते.

radsec_architecture_diagram.png

RADIUS ट्रॅफिकचे संरक्षण करण्यासाठी प्रत्येक ब्रँच लोकेशनवरून मध्यवर्ती डेटा सेंटरपर्यंत गुंतागुंतीचे IPsec VPN मेशेस तयार करण्याऐवजी, प्रत्येक NAS डिव्हाइस इंटरनेटवरून क्लाउड RADIUS प्रदात्याशी थेट RadSec TLS कनेक्शन स्थापित करते. हे एक ॲप्लिकेशन-लेयर सिक्युरिटी मॉडेल आहे जे नेटवर्क-लेयर VPNs पेक्षा डिप्लॉय करण्यासाठी अधिक स्वच्छ आणि ट्रबलशूट करण्यासाठी सोपे आहे.

अंमलबजावणी मार्गदर्शक (इम्प्लिमेंटेशन गाइड)

RadSec डिप्लॉय करण्यासाठी नेटवर्क इन्फ्रास्ट्रक्चर, सर्टिफिकेट ऑथॉरिटीज आणि फायरवॉल पॉलिसीज यांच्यात समन्वय आवश्यक आहे. यशस्वी डिप्लॉयमेंटसाठी या व्हेंडर-न्यूट्रल पायऱ्या फॉलो करा.

1. सर्टिफिकेट इन्फ्रास्ट्रक्चरची तयारी

RadSec mTLS वर अवलंबून आहे. तुम्हाला सर्व्हर आणि क्लायंट्स (NAS डिव्हाइसेस) दोघांसाठी सर्टिफिकेट्सची आवश्यकता आहे.

  • सर्व्हर सर्टिफिकेट: तुमचा क्लाउड RADIUS प्रदाता (उदा., Purple) सार्वजनिक सर्टिफिकेट ऑथॉरिटी (CA) किंवा अंतर्गत CA द्वारे स्वाक्षरी केलेले सर्व्हर सर्टिफिकेट सादर करेल. सर्व्हर व्हॅलिडेट करण्यासाठी तुमच्या NAS डिव्हाइसेसच्या ट्रस्ट स्टोअरमध्ये रूट CA सर्टिफिकेट इन्स्टॉल केलेले असणे आवश्यक आहे.
  • क्लायंट सर्टिफिकेट्स: RADIUS सर्व्हरला स्वतःची ओळख पटवून देण्यासाठी प्रत्येक NAS डिव्हाइसला क्लायंट सर्टिफिकेटची आवश्यकता असते. हे तुमच्या अंतर्गत PKI किंवा नेटवर्क मॅनेजमेंट सिस्टीमद्वारे जनरेट करा. ते किमान RSA 2048-बिट किंवा ECDSA P-256 कीज वापरत असल्याची खात्री करा.

2. फायरवॉल कॉन्फिगरेशन

RadSec ला तुमच्या NAS मॅनेजमेंट इंटरफेसेसमधून विशिष्ट इग्रेस (egress) नियमांची आवश्यकता असते:

  • प्रोटोकॉल: TCP
  • डेस्टिनेशन पोर्ट: 2083
  • डेस्टिनेशन IP/FQDN: तुमच्या प्रायमरी आणि सेकंडरी क्लाउड RADIUS सर्व्हर्सचे पत्ते.
  • स्टेटफुल इन्स्पेक्शन: फायरवॉल स्थापित TCP कनेक्शन्ससाठी रिटर्न ट्रॅफिकला अनुमती देत असल्याची खात्री करा.
  • कीपअलाइव्ह्ज (Keepalives): सायलेंट कनेक्शन ड्रॉप्स टाळण्यासाठी फायरवॉल TCP टाइमआउट व्हॅल्यूज RadSec कीपअलाइव्ह इंटरव्हलपेक्षा (सामान्यतः 60 सेकंद) जास्त असण्यासाठी कॉन्फिगर करा.

3. NAS डिव्हाइस कॉन्फिगरेशन (जेनेरिक वर्कफ्लो)

विशिष्ट सिंटॅक्स व्हेंडरनुसार (Cisco, Aruba, Juniper, इ.) बदलत असला तरी, लॉजिकल कॉन्फिगरेशनच्या पायऱ्या सुसंगत आहेत:

  1. CA सर्टिफिकेट इम्पोर्ट करा: RADIUS सर्व्हरच्या सर्टिफिकेटवर स्वाक्षरी करणारे CA सर्टिफिकेट NAS ट्रस्ट स्टोअरमध्ये लोड करा.
  2. क्लायंट सर्टिफिकेट इम्पोर्ट करा: NAS डिव्हाइसचे क्लायंट सर्टिफिकेट आणि प्रायव्हेट की लोड करा.
  3. RADIUS सर्व्हर परिभाषित करा: RADIUS सर्व्हर IP/FQDN कॉन्फिगर करा.
  4. RadSec सक्षम करा: ट्रान्सपोर्ट प्रोटोकॉल म्हणून TLS निर्दिष्ट करा आणि पोर्ट 2083 वर सेट करा.
  5. सर्टिफिकेट्स बाइंड करा: इम्पोर्ट केलेली सर्टिफिकेट्स RadSec सर्व्हर कॉन्फिगरेशनशी जोडा.
  6. AAA प्रोफाइलवर लागू करा: संबंधित AAA ऑथेंटिकेशन आणि अकाउंटिंग ग्रुप्समध्ये RadSec सर्व्हर जोडा.

4. लेगसी डिव्हाइसेस हाताळणे (RadSec प्रॉक्सी)

सर्व NAS डिव्हाइसेस मूळतः RadSec ला सपोर्ट करत नाहीत. जुन्या स्विचेस किंवा कंझ्युमर-ग्रेड ॲक्सेस पॉइंट्ससाठी, RadSec प्रॉक्सी (जसे की radsecproxy) डिप्लॉय करा. प्रॉक्सी लोकल LAN वर बसते, लेगसी डिव्हाइसेसकडून पारंपारिक UDP RADIUS स्वीकारते आणि सुरक्षित RadSec TLS टनेलवरून क्लाउड RADIUS सर्व्हरकडे फॉरवर्ड करते.

सर्वोत्तम पद्धती (बेस्ट प्रॅक्टिसेस)

  • सर्टिफिकेट लाइफसायकल मॅनेजमेंट: NAS डिव्हाइसेससाठी स्वयंचलित सर्टिफिकेट नूतनीकरण लागू करा. क्लायंट सर्टिफिकेट्सच्या मोठ्या प्रमाणावरील एक्सपायरीमुळे व्यापक नेटवर्क आउटेज होईल. सर्टिफिकेटच्या वैधतेचे निरीक्षण करा आणि एक्सपायरीच्या 90, 60 आणि 30 दिवस आधी अलर्ट करा.
  • हाय अव्हेलेबिलिटी: नेहमी प्रायमरी आणि सेकंडरी RadSec सर्व्हर्स कॉन्फिगर करा. कारण TCP कनेक्शन स्थापनेला UDP पॅकेट ट्रान्समिशनपेक्षा जास्त वेळ लागतो, प्रायमरी कनेक्शन ड्रॉप झाल्यास सेकंडरी सर्व्हरवर त्वरित स्विच करण्यासाठी NAS वर अग्रेसिव्ह फेलओव्हर टायमर्स कॉन्फिगर करा.
  • TCP कीपअलाइव्ह्ज: डेड कनेक्शन्स शोधण्यासाठी आणि फायरवॉलला आयडल सेशन्स ड्रॉप करण्यापासून रोखण्यासाठी NAS डिव्हाइसवर TCP कीपअलाइव्ह्ज सक्षम करा. 60-सेकंदांचा इंटरव्हल मानक आहे.
  • कठोर सर्टिफिकेट व्हॅलिडेशन: कॉन्फिगर केलेल्या सर्व्हर होस्टनेमच्या विरुद्ध सब्जेक्ट अल्टरनेटिव्ह नेम (SAN) तपासण्यासह, सर्व्हर सर्टिफिकेट काटेकोरपणे व्हॅलिडेट करण्यासाठी NAS डिव्हाइसेस कॉन्फिगर केले असल्याची खात्री करा. प्रोडक्शनमध्ये सर्टिफिकेट व्हॅलिडेशन अक्षम करू नका.
  • फ्युचर-प्रूफिंग: वायरलेस मानके विकसित होत असताना, जसे की आमच्या WiFi 6E vs WiFi 7: What Venues Need to Know मार्गदर्शकामध्ये चर्चा केली आहे, ऑथेंटिकेशन ट्रॅफिकचे प्रमाण वाढेल. RadSec चे पर्सिस्टंट TCP कनेक्शन्स ही घनता हाताळण्यासाठी UDP पेक्षा अधिक योग्य आहेत.

ट्रबलशूटिंग आणि रिस्क मिटिगेशन (धोका कमी करणे)

जेव्हा RadSec डिप्लॉयमेंट्स अयशस्वी होतात, तेव्हा समस्या क्वचितच RADIUS प्रोटोकॉलची असते; ती जवळजवळ नेहमीच TLS किंवा TCP शी संबंधित असते.

सामान्य फेल्युअर मोड्स

  1. TLS हँडशेक फेल्युअर्स (अज्ञात CA): NAS डिव्हाइस RADIUS सर्व्हरचे सर्टिफिकेट नाकारते कारण स्वाक्षरी करणारा CA NAS ट्रस्ट स्टोअरमध्ये नसतो.
    • मिटिगेशन: सर्व्हरद्वारे वापरलेली अचूक CA चेन तपासा आणि रूट (आणि कोणतेही इंटरमीडिएट) CAs NAS वर इन्स्टॉल केलेले असल्याची खात्री करा.
  2. सायलेंट कनेक्शन ड्रॉप्स: RadSec कनेक्शन यशस्वीरित्या स्थापित होते, परंतु निष्क्रियतेच्या कालावधीनंतर ऑथेंटिकेशन विनंत्या टाइमआउट होतात. हे सहसा आयडल TCP कनेक्शन ड्रॉप करणारी स्टेटफुल फायरवॉल असते.
    • मिटिगेशन: NAS वर TCP कीपअलाइव्ह्ज सक्षम करा आणि पोर्ट 2083 साठी फायरवॉल सेशन टाइमआउट सेटिंग्ज तपासा.
  3. क्लॉक स्क्यू (Clock Skew): TLS सर्टिफिकेट व्हॅलिडेशन अचूक सिस्टीम वेळेवर अवलंबून असते. जर NAS डिव्हाइसचे घड्याळ लक्षणीयरीत्या सिंकच्या बाहेर असेल, तर ते वैध सर्टिफिकेट्स कालबाह्य किंवा अद्याप वैध नसलेले म्हणून इव्हॅल्युएट करेल.
    • मिटिगेशन: RadSec कनेक्शन्स सुरू करण्यापूर्वी सर्व NAS डिव्हाइसेस विश्वसनीय NTP सर्व्हर्ससह सिंक्रोनाइझ केलेले असल्याची खात्री करा.

ROI आणि व्यावसायिक प्रभाव

RadSec कडे संक्रमण केल्याने तांत्रिक सुरक्षा सुधारणांच्या पलीकडे मोजता येण्याजोगे व्यावसायिक मूल्य मिळते:

  • कंप्लायन्स आणि जोखीम कमी करणे: RadSec ट्रान्झिटमधील ऑथेंटिकेशन डेटा एन्क्रिप्ट करते, जे थेट PCI DSS v4.0 आणि GDPR च्या आवश्यकता पूर्ण करते. हे क्रेडेंशियल इंटरसेप्शनशी संबंधित आर्थिक आणि प्रतिष्ठेचे धोके कमी करते.
  • ऑपरेशनल कार्यक्षमता: गुंतागुंतीच्या, साइट-टू-साइट IPsec VPNs ला ॲप्लिकेशन-लेयर RadSec ने बदलल्याने नेटवर्क इंजिनिअरिंग ओव्हरहेड कमी होतो. शेकडो शाखांमधील VPN राउटिंग आणि IKE फेज निगोशिएशन्स डीबग करण्यापेक्षा क्लाउड प्रदात्याशी TLS कनेक्शन ट्रबलशूट करणे लक्षणीयरीत्या वेगवान आहे.
  • क्लाउड रेडीनेस: RadSec हे क्लाउड-नेटिव्ह ऑथेंटिकेशनसाठी सक्षम करणारे तंत्रज्ञान आहे. याचा अवलंब करून, संस्था आधुनिक आयडेंटिटी प्रोव्हायडर्स आणि Purple सारख्या प्लॅटफॉर्म्ससह अखंडपणे इंटिग्रेट करू शकतात, ज्यामुळे ऑन-प्रिमाइस सर्व्हर फूटप्रिंट आणि परवाना खर्च कमी होतो.

महत्वाच्या व्याख्या

RadSec

एक प्रोटोकॉल जो ट्रान्सपोर्ट लेयर सिक्युरिटी (TLS) टनेलमध्ये RADIUS ऑथेंटिकेशन आणि अकाउंटिंग डेटा एन्कॅप्स्युलेट करतो.

लेगसी UDP RADIUS बदलून, अनट्रस्टेड नेटवर्क्सवर ऑथेंटिकेशन ट्रॅफिक सुरक्षित करण्यासाठी वापरले जाते.

mTLS (Mutual TLS)

एक ऑथेंटिकेशन प्रक्रिया जिथे क्लायंट (NAS) आणि सर्व्हर (RADIUS) दोघेही TLS हँडशेक दरम्यान एकमेकांचे X.509 सर्टिफिकेट्स पडताळून पाहतात.

दोन्ही एंडपॉइंट्स क्रिप्टोग्राफिकली व्हेरिफाय केले आहेत याची खात्री करून पारंपारिक RADIUS शेअर्ड सीक्रेट मॉडेलपेक्षा मजबूत सुरक्षा प्रदान करते.

NAS (Network Access Server)

डिव्हाइस जे युझर्सना नेटवर्क ॲक्सेस प्रदान करते आणि RADIUS क्लायंट म्हणून कार्य करते. आधुनिक नेटवर्क्समध्ये, हे सामान्यतः वायरलेस ॲक्सेस पॉइंट, स्विच किंवा वायरलेस LAN कंट्रोलर असते.

क्लाउड RADIUS सर्व्हरशी RadSec कनेक्शन सुरू करण्यासाठी NAS जबाबदार असते.

PKI (Public Key Infrastructure)

डिजिटल सर्टिफिकेट्स तयार करण्यासाठी, व्यवस्थापित करण्यासाठी, वितरित करण्यासाठी, वापरण्यासाठी, संचयित करण्यासाठी आणि रद्द करण्यासाठी आवश्यक असलेल्या भूमिका, धोरणे, हार्डवेअर, सॉफ्टवेअर आणि प्रक्रियांची फ्रेमवर्क.

मोठ्या इस्टेट्समध्ये RadSec डिप्लॉयमेंटसाठी आवश्यक असलेल्या सर्टिफिकेट्सचे व्यवस्थापन करण्यासाठी आवश्यक.

TCP Keepalive

एक यंत्रणा जी आयडल कनेक्शनवर रिकामे TCP पॅकेट्स पाठवते हे पडताळण्यासाठी की कनेक्शन अद्याप सक्रिय आहे आणि स्टेटफुल फायरवॉल्सना सेशन ड्रॉप करण्यापासून रोखण्यासाठी.

कमी ऑथेंटिकेशन ॲक्टिव्हिटीच्या काळात पर्सिस्टंट RadSec कनेक्शन्स राखण्यासाठी महत्त्वपूर्ण.

RadSec Proxy

एक सॉफ्टवेअर सर्व्हिस जी मध्यस्थ म्हणून कार्य करते, लेगसी डिव्हाइसेसकडून पारंपारिक UDP RADIUS ट्रॅफिक प्राप्त करते आणि सुरक्षित RadSec TLS कनेक्शनवरून फॉरवर्ड करते.

ज्या वातावरणात जुने नेटवर्क हार्डवेअर मूळतः RadSec ला सपोर्ट करत नाही तिथे दरी कमी करण्यासाठी वापरले जाते.

X.509 Certificate

एक डिजिटल सर्टिफिकेट जे व्यापकपणे स्वीकारलेले आंतरराष्ट्रीय X.509 PKI मानक वापरते हे पडताळण्यासाठी की पब्लिक की सर्टिफिकेटमध्ये समाविष्ट असलेल्या युझर, कॉम्प्युटर किंवा सर्व्हिस आयडेंटिटीची आहे.

ओळख प्रस्थापित करण्यासाठी आणि TLS टनेल एन्क्रिप्ट करण्यासाठी RadSec द्वारे वापरलेला क्रिप्टोग्राफिक पाया.

EAP (Extensible Authentication Protocol)

वायरलेस नेटवर्क्स आणि पॉइंट-टू-पॉइंट कनेक्शन्समध्ये वारंवार वापरली जाणारी ऑथेंटिकेशन फ्रेमवर्क.

EAP ट्रॅफिक (जसे की EAP-TLS किंवा PEAP) RADIUS पॅकेट्समध्ये एन्कॅप्स्युलेट केलेले असते, याचा अर्थ RadSec EAP एक्सचेंज सुरक्षितपणे ट्रान्सपोर्ट करते.

सोडवलेली उदाहरणे

500 लोकेशन्स असलेली एक राष्ट्रीय रिटेल साखळी ऑन-प्रिमाइस RADIUS सर्व्हर्सवरून Purple च्या क्लाउड RADIUS वर मायग्रेट करत आहे. विद्यमान आर्किटेक्चर MPLS आणि SD-WAN लिंक्सच्या मिश्रणावर UDP वर अनएन्क्रिप्टेड RADIUS वापरते. 450 लोकेशन्सवर आधुनिक Aruba ॲक्सेस पॉइंट्स आहेत, तर 50 लोकेशन्स लेगसी हार्डवेअर वापरतात जे RadSec ला सपोर्ट करत नाहीत. नेटवर्क आर्किटेक्टने नवीन ऑथेंटिकेशन ट्रान्सपोर्ट कसे डिझाइन करावे?

आर्किटेक्टने हायब्रिड RadSec डिप्लॉयमेंट लागू केले पाहिजे. आधुनिक Aruba APs असलेल्या 450 लोकेशन्ससाठी, थेट APs किंवा लोकल कंट्रोलर्सवर नेटिव्ह RadSec कॉन्फिगर करा. Aruba डिव्हाइसेसवर Purple च्या क्लाउड RADIUS चे रूट CA सर्टिफिकेट इन्स्टॉल करा आणि नेटवर्क मॅनेजमेंट प्लॅटफॉर्मद्वारे क्लायंट सर्टिफिकेट्स प्रोव्हिजन करा. TCP 2083 साठी इग्रेस फायरवॉल नियम कॉन्फिगर करा. 50 लेगसी लोकेशन्ससाठी, प्रत्येक साइटवर लाइटवेट RadSec प्रॉक्सी (उदा., radsecproxy चालवणारे एक छोटे Linux VM किंवा कंटेनर) डिप्लॉय करा. लेगसी APs लोकल प्रॉक्सीला स्टँडर्ड UDP RADIUS पाठवतील, जे नंतर Purple क्लाउडवरील TLS टनेलमध्ये ट्रॅफिक एन्कॅप्स्युलेट करेल.

परीक्षकाचे भाष्य: हा दृष्टिकोन लेगसी हार्डवेअरच्या मर्यादांसह आधुनिक सुरक्षा मानकांचा समतोल साधतो. शक्य तिथे नेटिव्ह RadSec वापरून, आर्किटेक्ट मूव्हिंग पार्ट्स कमी करतो. लेगसी साइट्ससाठी प्रॉक्सी सोल्यूशन हे सुनिश्चित करते की WAN/इंटरनेटवरून जाणारे सर्व ट्रॅफिक त्वरित, महागड्या हार्डवेअर रिफ्रेशची आवश्यकता न ठेवता एन्क्रिप्ट केलेले आहे.

एका मोठ्या कॉन्फरन्स सेंटरमध्ये RadSec डिप्लॉयमेंट दरम्यान, नेटवर्क टीमच्या लक्षात येते की NAS डिव्हाइसेस व्यस्त काळात युझर्सना यशस्वीरित्या ऑथेंटिकेट करतात, परंतु पहाटेच्या पहिल्या काही युझर्सना ऑथेंटिकेट करण्यात अपयशी ठरतात. पॅकेट कॅप्चर्स दर्शवतात की NAS RADIUS ट्रॅफिक पाठवण्याचा प्रयत्न करत आहे, परंतु फायरवॉलकडून TCP RST पॅकेट्स प्राप्त करत आहे.

ही समस्या फायरवॉलच्या अग्रेसिव्ह TCP सेशन टाइमआउटमुळे रात्रभर आयडल RadSec कनेक्शन ड्रॉप केल्यामुळे उद्भवते. नेटवर्क टीमने RadSec कनेक्शनसाठी NAS डिव्हाइसेसवर TCP कीपअलाइव्ह्ज कॉन्फिगर करणे आवश्यक आहे, इंटरव्हल 60 सेकंदांवर सेट करणे. याव्यतिरिक्त, त्यांनी TCP पोर्ट 2083 साठी फायरवॉलच्या स्टेटफुल इन्स्पेक्शन नियमांचे पुनरावलोकन केले पाहिजे आणि सेशन टाइमआउट कीपअलाइव्ह इंटरव्हलपेक्षा जास्त असल्याची खात्री केली पाहिजे.

परीक्षकाचे भाष्य: RadSec पर्सिस्टंट TCP कनेक्शन्सवर अवलंबून असते. UDP च्या विपरीत, जे स्टेटलेस आहे, TCP कनेक्शन्स सक्रियपणे राखले जाणे आवश्यक आहे. UDP RADIUS मधून ट्रान्झिशन करणारे नेटवर्क इंजिनिअर्स अनेकदा कनेक्शन पर्सिस्टन्सकडे दुर्लक्ष करतात, ज्यामुळे ऑथेंटिकेशन टाइमआउट्स म्हणून दिसणारे अधूनमधून फेल्युअर्स होतात.

सराव प्रश्न

Q1. तुम्ही 50 ब्रँच ऑफिसेसना Purple च्या क्लाउड RADIUS प्लॅटफॉर्मशी जोडणाऱ्या नवीन RadSec डिप्लॉयमेंटसाठी फायरवॉल पॉलिसी डिझाइन करत आहात. ब्रँच फायरवॉल्सवर कोणते विशिष्ट इग्रेस नियम कॉन्फिगर केले जाणे आवश्यक आहे?

टीप: प्रोटोकॉल आणि कनेक्शनचे स्टेटफुल स्वरूप दोन्ही विचारात घ्या.

नमुना उत्तर पहा

ब्रँच फायरवॉल्सनी NAS मॅनेजमेंट IP ॲड्रेसेसवरून उगम पावणाऱ्या आणि Purple क्लाउड RADIUS सर्व्हर्सच्या IP ॲड्रेसेस किंवा FQDNs कडे जाणाऱ्या पोर्ट 2083 वरील आउटबाउंड TCP ट्रॅफिकला अनुमती दिली पाहिजे. TCP स्टेटफुल असल्यामुळे, फायरवॉल स्थापित सेशन्ससाठी रिटर्न ट्रॅफिकला स्वयंचलितपणे अनुमती देईल. RadSec साठी UDP पोर्ट्स 1812 आणि 1813 आवश्यक नाहीत.

Q2. एक ज्युनियर इंजिनिअर रिपोर्ट करतो की नव्याने कॉन्फिगर केलेला स्विच क्लाउड RADIUS सर्व्हरसह RadSec कनेक्शन स्थापित करण्यात अयशस्वी होत आहे. स्विच लॉग्स दर्शवतात: `TLS handshake failed: unknown CA`. तुम्ही याचे निराकरण कसे करावे?

टीप: स्विच सर्व्हरद्वारे सादर केलेल्या सर्टिफिकेटवर मूळतः विश्वास ठेवत नाही.

नमुना उत्तर पहा

तुम्हाला क्लाउड RADIUS सर्व्हरचे सर्टिफिकेट जारी करणारी सर्टिफिकेट ऑथॉरिटी (CA) ओळखणे आवश्यक आहे. एकदा ओळखल्यानंतर, पब्लिक रूट CA सर्टिफिकेट (आणि कोणतीही इंटरमीडिएट CA सर्टिफिकेट्स) मिळवा आणि त्यांना स्विचच्या ट्रस्ट स्टोअरमध्ये इम्पोर्ट करा. हे स्विचला TLS हँडशेक दरम्यान सर्व्हरची ओळख क्रिप्टोग्राफिकली पडताळण्याची अनुमती देते.

Q3. तुमची संस्था अनिवार्य करते की सर्व नेटवर्क इन्फ्रास्ट्रक्चर WAN आउटेजमध्ये टिकून राहिले पाहिजे. क्लाउड RADIUS सर्व्हरचे इंटरनेट कनेक्शन अयशस्वी झाल्यास, RadSec कनेक्शनचे काय होते आणि NAS त्यानंतरच्या ऑथेंटिकेशन विनंत्या कशा हाताळते?

टीप: TCP कनेक्शन स्टेट्स आणि स्टँडर्ड RADIUS फेलओव्हर यंत्रणा विचारात घ्या.

नमुना उत्तर पहा

जेव्हा WAN अयशस्वी होते, तेव्हा पर्सिस्टंट TCP कनेक्शन शेवटी टाइम आउट होईल (किंवा लोकल इंटरफेस डाउन झाल्यास स्पष्टपणे रिसेट केले जाईल). NAS प्रायमरी RadSec सर्व्हरला अनरीचेबल म्हणून मार्क करेल. जर सेकंडरी RadSec सर्व्हर कॉन्फिगर केलेला असेल (उदा., वेगळ्या भौगोलिक प्रदेशात), तर NAS त्याच्याशी नवीन TLS कनेक्शन स्थापित करण्याचा प्रयत्न करेल. जर सर्व RADIUS सर्व्हर्स अनरीचेबल असतील, तर नवीन ऑथेंटिकेशन्स अयशस्वी होतील. तथापि, जे युझर्स आधीच ऑथेंटिकेटेड आणि कनेक्टेड आहेत ते सामान्यतः त्यांचे सेशन संपेपर्यंत किंवा ते रोम करेपर्यंत कनेक्टेड राहतील, कारण RADIUS केवळ प्रारंभिक ऑथेंटिकेशन आणि नियतकालिक री-ऑथेंटिकेशन टप्प्यांमध्ये गुंतलेले असते.

या मालिकेमध्ये पुढे वाचा

Wi-Fi सुरक्षेचे भविष्य: AI-आधारित NAC आणि थ्रेट डिटेक्शन

हे अधिकृत मार्गदर्शक जुन्या WPA2 कडून AI-आधारित नेटवर्क ॲक्सेस कंट्रोल (NAC) आणि थ्रेट डिटेक्शनकडे एंटरप्राइझ Wi-Fi सुरक्षेच्या उत्क्रांतीचा शोध घेते. IT लीडर्ससाठी डिझाइन केलेले, हे Purple च्या आयडेंटिटी-आधारित नेटवर्क्सचा वापर करून रिटेल, हॉस्पिटॅलिटी आणि स्टेडियम्ससारख्या हाय-डेन्सिटी वातावरणांना सुरक्षित करण्यासाठी कृतीयोग्य डिप्लॉयमेंट धोरणे प्रदान करते.

मार्गदर्शिका वाचा →

NAC आणि MPSK सह IoT डिव्हाइस सिक्युरिटी व्यवस्थापित करणे

हे तांत्रिक मार्गदर्शक एंटरप्राइझ ठिकाणे मल्टिपल प्री-शेअर्ड की (MPSK) आर्किटेक्चर आणि नेटवर्क ॲक्सेस कंट्रोल (NAC) वापरून हेडलेस IoT डिव्हाइसेस कसे सुरक्षित करू शकतात हे तपशीलवार सांगते. हे मायक्रो-सेगमेंटेशन साध्य करण्यासाठी, सिक्युरिटी ब्लास्ट रेडियस नियंत्रित करण्यासाठी आणि स्केलेबिलिटीशी तडजोड न करता कंप्लायन्स राखण्यासाठी कृती करण्यायोग्य अंमलबजावणीच्या पायऱ्या प्रदान करते.

मार्गदर्शिका वाचा →

RadSec: TLS वरील RADIUS मुळे WiFi प्रमाणीकरण सुरक्षा कशी सुधारते

हा अधिकृत तांत्रिक संदर्भ स्पष्ट करतो की RadSec (RFC 6614) पारंपारिक RADIUS ट्रॅफिकला TLS एन्क्रिप्शनमध्ये रॅप करून एंटरप्राइझ WiFi प्रमाणीकरण कसे सुरक्षित करते. IT व्यवस्थापक आणि नेटवर्क आर्किटेक्ट्ससाठी डिझाइन केलेले, हे कॉर्पोरेट आणि अतिथी नेटवर्कवर अनएन्क्रिप्टेड UDP RADIUS ट्रॅफिकचे धोके कमी करण्यासाठी आर्किटेक्चर, डिप्लॉयमेंट धोरणे आणि व्यावहारिक पायऱ्या कव्हर करते.

मार्गदर्शिका वाचा →