मुख्य मजकुराकडे जा
मराठी

RadSec: TLS वरील RADIUS मुळे WiFi प्रमाणीकरण सुरक्षा कशी सुधारते

हा अधिकृत तांत्रिक संदर्भ स्पष्ट करतो की RadSec (RFC 6614) पारंपारिक RADIUS ट्रॅफिकला TLS एन्क्रिप्शनमध्ये रॅप करून एंटरप्राइझ WiFi प्रमाणीकरण कसे सुरक्षित करते. IT व्यवस्थापक आणि नेटवर्क आर्किटेक्ट्ससाठी डिझाइन केलेले, हे कॉर्पोरेट आणि अतिथी नेटवर्कवर अनएन्क्रिप्टेड UDP RADIUS ट्रॅफिकचे धोके कमी करण्यासाठी आर्किटेक्चर, डिप्लॉयमेंट धोरणे आणि व्यावहारिक पायऱ्या कव्हर करते.

📖 4 मिनिट वाचन📝 871 शब्द🔧 2 सोडवलेली उदाहरणे3 सराव प्रश्न📚 8 महत्वाच्या व्याख्या

हे मार्गदर्शक ऐका

पॉडकास्ट ट्रान्सक्रिप्ट पहा
RadSec: TLS वरील RADIUS मुळे WiFi प्रमाणीकरण सुरक्षा कशी सुधारते एक Purple एंटरप्राइझ WiFi इंटेलिजन्स ब्रीफिंग अंदाजे रनटाइम: 10 मिनिटे --- [परिचय आणि संदर्भ — अंदाजे 1 मिनिट] Purple एंटरप्राइझ WiFi इंटेलिजन्स सिरीजमध्ये आपले स्वागत आहे. मी तुमचा होस्ट आहे, आणि आज आपण अशा एका विषयावर चर्चा करत आहोत जो नेटवर्क सुरक्षा आणि ऑपरेशनल जोखमीच्या अगदी छेदनबिंदूवर आहे: RadSec — औपचारिकरित्या RFC 6614 मध्ये परिभाषित केलेले — आणि जर ते आधीपासून नसेल तर ते तुमच्या इन्फ्रास्ट्रक्चर रोडमॅपवर का असले पाहिजे. जर तुम्ही हॉटेल ग्रुप, रिटेल इस्टेट, स्टेडियम किंवा सार्वजनिक क्षेत्रातील कॅम्पसमध्ये एंटरप्राइझ WiFi साठी जबाबदार असलेले IT व्यवस्थापक, नेटवर्क आर्किटेक्ट किंवा CTO असाल, तर हे ब्रीफिंग तुमच्यासाठी आहे. आम्ही RadSec प्रत्यक्षात काय आहे, पारंपारिक RADIUS प्रोटोकॉल तुम्हाला असुरक्षित का ठेवतो, वास्तविक-जगातील वातावरणात RadSec कसे डिप्लॉय करावे आणि टीम्सना अडकवणाऱ्या त्रुटी कव्हर करणार आहोत. केवळ सिद्धांतासाठी सिद्धांत नाही — तर या तिमाहीत निर्णय घेण्यासाठी तुम्हाला आवश्यक असलेली माहिती. चला तर मग सुरुवात करूया. --- [तांत्रिक सखोल माहिती — अंदाजे 5 मिनिटे] तर, समस्येपासून सुरुवात करूया. RADIUS — रिमोट ऑथेंटिकेशन डायल-इन युझर सर्व्हिस — 1990 च्या दशकापासून एंटरप्राइझ WiFi प्रमाणीकरणाचा कणा आहे. जेव्हा एखादा युझर किंवा डिव्हाइस तुमच्या कॉर्पोरेट किंवा अतिथी WiFi शी कनेक्ट होतो, तेव्हा अ‍ॅक्सेस पॉईंट RADIUS क्लायंट म्हणून काम करतो, प्रमाणीकरण विनंत्या RADIUS सर्व्हरकडे फॉरवर्ड करतो, जो तुमच्या डिरेक्टरीच्या विरूद्ध क्रेडेन्शियल्स प्रमाणित करतो — Active Directory, LDAP, किंवा क्लाउड आयडेंटिटी प्रोव्हायडर — आणि एकतर अ‍ॅक्सेस देतो किंवा नाकारतो. हे 802.1X प्रमाणीकरण मॉडेल आहे जे WPA2-Enterprise आणि WPA3-Enterprise नेटवर्क्सला आधार देते. समस्या अशी आहे की पारंपारिक RADIUS एका वेगळ्या युगासाठी डिझाइन केले गेले होते. ते UDP — युझर डेटाग्राम प्रोटोकॉल — वर पोर्ट्स 1812 आणि 1813 वर चालते. UDP कनेक्शनलेस आहे, ज्याचा अर्थ असा की कोणताही हँडशेक नाही, कोणतीही सेशन स्टेट नाही आणि गंभीरपणे, कोणतेही नेटिव्ह एन्क्रिप्शन नाही. तुमचा अ‍ॅक्सेस पॉईंट आणि तुमचा RADIUS सर्व्हर यांच्यातील एकमेव संरक्षण म्हणजे एक शेअर्ड सिक्रेट — मूलत: एक पासवर्ड — जो MD5 हॅशिंग वापरून ट्रान्झिटमध्ये युझरचा पासवर्ड लपवण्यासाठी वापरला जातो. MD5, जसे तुमच्यापैकी बहुतेकांना माहीत असेल, क्रिप्टोग्राफिकरित्या तुटलेले आहे. ते वर्षानुवर्षे तुटलेले आहे. व्यवहारात याचा अर्थ काय होतो? याचा अर्थ असा की कोणत्याही नेटवर्क सेगमेंटवर जिथे हल्लेखोर RADIUS ट्रॅफिक इंटरसेप्ट करू शकतो — आणि त्यामध्ये तडजोड केलेले स्विचेस, तुमच्या मॅनेजमेंट VLAN वरील रोग (rogue) उपकरणे किंवा रिमोट अ‍ॅक्सेस पॉईंट आणि क्लाउड-होस्टेड RADIUS सर्व्हरमधील कोणताही बिंदू समाविष्ट आहे — ते संभाव्यतः प्रमाणीकरण एक्सचेंजेस कॅप्चर करू शकतात, शेअर्ड सिक्रेट विरूद्ध ऑफलाइन डिक्शनरी हल्ल्यांचा प्रयत्न करू शकतात आणि काही कॉन्फिगरेशन्समध्ये, युझर क्रेडेन्शियल्स पूर्णपणे उघड करू शकतात. 200 प्रॉपर्टीजवर अतिथी WiFi चालवणाऱ्या हॉटेल ग्रुपसाठी, किंवा सार्वजनिक इंटरनेटवरून मध्यवर्ती RADIUS सर्व्हरकडे बॅक हॉलिंग करणाऱ्या प्रत्येक स्टोअरमध्ये अ‍ॅक्सेस पॉईंट्स असलेल्या रिटेल चेनसाठी, हा सैद्धांतिक धोका नाही. हा एक लाइव्ह अटॅक सरफेस आहे. RadSec नेमके हेच सोडवते. RadSec — RFC 6614 मध्ये परिभाषित केलेले आणि RFC 7360 द्वारे अपडेट केलेले — RADIUS ट्रॅफिकला TLS टनेलमध्ये रॅप करते. UDP ऐवजी, ते पोर्ट 2083 वर TCP वापरते. शेअर्ड सिक्रेट आणि MD5 ऐवजी, ते X.509 प्रमाणपत्रांसह म्युच्युअल TLS प्रमाणीकरण वापरते. RADIUS क्लायंट आणि RADIUS सर्व्हर दोघेही प्रमाणपत्रे सादर करतात, एकमेकांची ओळख पडताळतात आणि कोणताही प्रमाणीकरण डेटा एक्सचेंज होण्यापूर्वी एन्क्रिप्टेड सेशन स्थापित करतात. TLS 1.3 ही सध्याची शिफारस केलेली आवृत्ती आहे, जी फॉरवर्ड सिक्रेसी प्रदान करते आणि लेगसी सायफर असुरक्षिततेची श्रेणी दूर करते. याचा व्यावहारिक परिणाम लक्षणीय आहे. क्रेडेन्शियल डेटा, युझर अ‍ॅट्रिब्यूट्स आणि सेशन टोकन्स अ‍ॅक्सेस पॉईंट — किंवा RadSec प्रॉक्सी — आणि RADIUS सर्व्हर दरम्यान एंड-टू-एंड एन्क्रिप्टेड असतात. वायरवर ट्रॅफिक इंटरसेप्ट करणाऱ्या हल्लेखोराला फक्त एन्क्रिप्टेड TLS रेकॉर्ड्स दिसतात. शेअर्ड सिक्रेट अद्याप बॅकवर्ड कंपॅटिबिलिटीसाठी उपस्थित आहे, परंतु ते आता कोणतेही अर्थपूर्ण सुरक्षा कार्य करत नाही — TLS भार उचलत आहे. येथे आणखी एक परिमाण आहे जे वाढत्या प्रमाणात संबंधित आहे: रोमिंग. युरोप आणि त्यापलीकडील विद्यापीठे आणि संशोधन संस्थांद्वारे वापरले जाणारे Eduroam फेडरेशन, त्याच्या आंतर-संस्थात्मक रोमिंग पायाभूत सुविधांचा भाग म्हणून वर्षानुवर्षे RadSec चालवत आहे. अलीकडेच, Wi-Fi अलायन्सचे OpenRoaming स्टँडर्ड — जे सहभागी ठिकाणांवर अखंड WiFi रोमिंग सक्षम करते — सर्व फेडरेशन ट्रॅफिकसाठी RadSec अनिवार्य करते. जर तुम्ही OpenRoaming-सक्षम पायाभूत सुविधा डिप्लॉय करत असाल, तर RadSec ऐच्छिक नाही; ती एक पूर्वअट आहे. Purple त्याच्या कनेक्ट लायसन्स अंतर्गत OpenRoaming ला सपोर्ट करते, फेडरेशनमध्ये आयडेंटिटी प्रोव्हायडर म्हणून काम करते आणि ते सुरक्षित रोमिंग फॅब्रिक कसे कार्य करते यासाठी RadSec मध्यवर्ती आहे. अनुपालनाच्या दृष्टिकोनातून, RadSec हे PCI DSS 4.0 शी वाढत्या प्रमाणात संबंधित आहे, जे ट्रान्झिटमधील प्रमाणीकरण डेटाच्या संरक्षणाभोवती आवश्यकता कडक करते. जर तुमची WiFi पायाभूत सुविधा पेमेंट कार्ड वातावरणाला स्पर्श करत असेल — आणि रिटेल आणि हॉस्पिटॅलिटीमध्ये, ती वारंवार करते — तर पारंपारिक RADIUS मधील एन्क्रिप्शन गॅप ही एक घडण्याची वाट पाहत असलेली त्रुटी आहे. GDPR ला वैयक्तिक डेटाचे संरक्षण करण्यासाठी योग्य तांत्रिक उपायांची आवश्यकता आहे; तुमच्या नेटवर्कवर अनएन्क्रिप्टेड वाहणारे युझर क्रेडेन्शियल्स आणि सेशन मेटाडेटा डेटा संरक्षण ऑडिटमध्ये बचाव करणे कठीण आहे. आता आर्किटेक्चरबद्दल बोलूया. RadSec साठी दोन प्राथमिक डिप्लॉयमेंट पॅटर्न आहेत. पहिला म्हणजे तुमच्या RADIUS सर्व्हर आणि अ‍ॅक्सेस पॉईंट्सवर नेटिव्ह RadSec सपोर्ट. FreeRADIUS 3.0 आणि त्यावरील आवृत्त्या RadSec ला नेटिव्हली सपोर्ट करतात. Microsoft NPS सध्याच्या रिलीझनुसार RadSec ला नेटिव्हली सपोर्ट करत नाही, जी Windows-केंद्रित पायाभूत सुविधा चालवणाऱ्या संस्थांसाठी एक महत्त्वपूर्ण मर्यादा आहे. Cisco ISE RadSec ला सपोर्ट करते. Aruba ClearPass RadSec ला सपोर्ट करते. जर तुमचा RADIUS सर्व्हर आणि तुमचा अ‍ॅक्सेस पॉईंट व्हेंडर दोघेही RadSec ला नेटिव्हली सपोर्ट करत असतील, तर हा सर्वात स्वच्छ मार्ग आहे — दोन्ही टोकांना TLS प्रमाणपत्रे कॉन्फिगर करा, तुमच्या फायरवॉलवर TCP 2083 उघडा आणि तुम्ही RADIUS ट्रॅफिक एंड-टू-एंड एन्क्रिप्ट करत आहात. दुसरा पॅटर्न RadSec प्रॉक्सी आहे. व्यवहारात हे अधिक सामान्य डिप्लॉयमेंट आहे, विशेषतः लेगसी RADIUS पायाभूत सुविधा किंवा मिश्र-व्हेंडर वातावरण असलेल्या संस्थांसाठी. एक RadSec प्रॉक्सी — radsecproxy ही सर्वात मोठ्या प्रमाणावर डिप्लॉय केलेली ओपन-सोर्स अंमलबजावणी आहे — तुमच्या अ‍ॅक्सेस पॉईंट्स आणि तुमच्या RADIUS सर्व्हरच्या दरम्यान बसते. अ‍ॅक्सेस पॉईंट्स लोकल नेटवर्कवरील प्रॉक्सीला UDP वर स्टँडर्ड RADIUS पाठवतात. प्रॉक्सी ते कनेक्शन संपुष्टात आणते, TLS टनेलमध्ये RADIUS ट्रॅफिक पुन्हा एन्कॅप्स्युलेट करते आणि TCP 2083 वर अपस्ट्रीम RADIUS सर्व्हरकडे फॉरवर्ड करते. हा दृष्टिकोन तुम्हाला तुमचा RADIUS सर्व्हर न बदलता विद्यमान पायाभूत सुविधांमध्ये RadSec जोडण्याची परवानगी देतो आणि जेव्हा तुमचा RADIUS सर्व्हर क्लाउडमध्ये होस्ट केलेला असतो किंवा सार्वजनिक इंटरनेटवरून अ‍ॅक्सेस केला जातो तेव्हा तो विशेषतः उपयुक्त ठरतो. सर्टिफिकेट मॅनेजमेंट ही ऑपरेशनल गुंतागुंत आहे ज्यासाठी तुम्हाला नियोजन करणे आवश्यक आहे. म्युच्युअल TLS साठी वापरलेली X.509 प्रमाणपत्रे जारी करण्यासाठी आणि व्यवस्थापित करण्यासाठी तुम्हाला PKI — पब्लिक की इन्फ्रास्ट्रक्चर — ची आवश्यकता असेल. याचा अर्थ सर्टिफिकेट ऑथॉरिटी, प्रत्येक RADIUS क्लायंट आणि सर्व्हरसाठी प्रमाणपत्र जारी करणे आणि कालबाह्य होण्यापूर्वी प्रमाणपत्र रोटेशनची प्रक्रिया. लक्ष न देता कालबाह्य होणारी प्रमाणपत्रे तुमच्या नेटवर्कवरील प्रत्येक युझरसाठी एकाच वेळी प्रमाणीकरण खंडित करतील — आणि ही अशी परिस्थिती आहे जी तुम्हाला टाळायची आहे. ACME किंवा तुमच्या CA च्या API चा वापर करून प्रमाणपत्र नूतनीकरण स्वयंचलित करा आणि कालबाह्य तारखांच्या खूप आधी मॉनिटरिंग अलर्ट सेट करा. --- [अंमलबजावणी शिफारसी आणि त्रुटी — अंदाजे 2 मिनिटे] मी तुम्हाला व्यावहारिक शिफारसी देतो. पहिले: तुम्ही डिप्लॉय करण्यापूर्वी ऑडिट करा. तुमच्या वातावरणातील प्रत्येक RADIUS क्लायंट — अ‍ॅक्सेस पॉईंट्स, VPN कॉन्सन्ट्रेटर्स, 802.1X करणारे स्विचेस — आणि प्रत्येक RADIUS सर्व्हर मॅप करा. कोणते नेटिव्हली RadSec ला सपोर्ट करतात आणि कोणाला प्रॉक्सीची आवश्यकता असेल हे समजून घ्या. हे ऑडिट सामान्यतः लेगसी उपकरणे समोर आणते जे TLS ला अजिबात सपोर्ट करत नाहीत आणि ते तुमच्या रिप्लेसमेंट रोडमॅपवर असणे आवश्यक आहे. दुसरे: सर्वाधिक-जोखमीच्या ट्रॅफिकपासून सुरुवात करा. जर तुमच्याकडे सार्वजनिक इंटरनेटवरून जाणारे RADIUS ट्रॅफिक असेल — रिमोट साइट्स, क्लाउड-होस्टेड RADIUS, मल्टी-प्रॉपर्टी हॉटेल ग्रुप्स — तर ती तुमची पहिली प्राथमिकता आहे. चांगल्या प्रकारे विभागलेल्या मॅनेजमेंट VLAN वरील लोकल RADIUS ट्रॅफिक कमी जोखमीचे आहे, परंतु ते अद्याप रोडमॅपवर असले पाहिजे. तिसरे: गो-लाइव्ह होण्यापूर्वी म्युच्युअल TLS ची पूर्णपणे चाचणी करा. RadSec डिप्लॉयमेंट्समधील सर्वात सामान्य अपयश मोड म्हणजे प्रमाणपत्र पडताळणी त्रुटी — न जुळणारी कॉमन नेम्स, कालबाह्य झालेली इंटरमीडिएट प्रमाणपत्रे किंवा सर्व्हर प्रमाणपत्रावर स्वाक्षरी करणाऱ्या CA वर विश्वास न ठेवणारे क्लायंट्स. तुम्ही प्रोडक्शन ट्रॅफिक कट ओव्हर करण्यापूर्वी TLS हँडशेक्सची चाचणी करण्यासाठी openssl s_client वापरा. चौथे: मॉनिटरिंगकडे दुर्लक्ष करू नका. RadSec एक TCP कनेक्शन लेयर जोडते जे पारंपारिक RADIUS मध्ये नसते. TCP कनेक्शन अपयश, TLS हँडशेक टाइमआउट्स आणि प्रमाणपत्र त्रुटी तुमच्या युझर्ससाठी प्रमाणीकरण अपयश म्हणून प्रकट होतील. तुमचे RADIUS सर्व्हर लॉग्स आणि तुमचे प्रॉक्सी लॉग्स तुमच्या SIEM किंवा मॉनिटरिंग प्लॅटफॉर्ममध्ये फीड होत असल्याची खात्री करा जेणेकरून तुम्ही प्रमाणीकरण धोरण समस्येपासून RadSec कनेक्टिव्हिटी समस्या वेगळी करू शकाल. मी सर्वात जास्त वेळा पाहतो ती त्रुटी म्हणजे संस्था सर्व्हरच्या बाजूला RadSec डिप्लॉय करतात परंतु त्यांचे फायरवॉल नियम अपडेट करायला विसरतात. प्रत्येक RADIUS क्लायंट आणि RADIUS सर्व्हर किंवा प्रॉक्सी दरम्यान TCP 2083 उघडे असणे आवश्यक आहे. जर तुम्हाला UDP 1812 नियम व्यवस्थापित करण्याची सवय असेल, तर फायरवॉल बदल प्रक्रियेत TCP 2083 सुटू शकते. --- [रॅपिड-फायर प्रश्नोत्तरे — अंदाजे 1 मिनिट] मी नियमितपणे ऐकत असलेल्या काही प्रश्नांवरून जातो. "RadSec 802.1X ची जागा घेते का?" नाही. RadSec अ‍ॅक्सेस पॉईंट आणि RADIUS सर्व्हरमधील ट्रान्सपोर्ट लेयर सुरक्षित करते. 802.1X हे क्लायंट डिव्हाइस आणि अ‍ॅक्सेस पॉईंटमधील प्रमाणीकरण फ्रेमवर्क आहे. ते वेगवेगळ्या लेयर्सवर काम करतात आणि पूरक आहेत. "सर्व अ‍ॅक्सेस पॉईंट व्हेंडर्सवर RadSec समर्थित आहे का?" सार्वत्रिकपणे नाही. Cisco, Aruba, Ruckus आणि Meraki या सर्वांमध्ये RadSec सपोर्टचे वेगवेगळे स्तर आहेत — तुमची विशिष्ट फर्मवेअर आवृत्ती तपासा. जिथे नेटिव्ह सपोर्ट अनुपस्थित आहे, तिथे RadSec प्रॉक्सी हा तुमचा उपाय आहे. "DTLS बद्दल काय — DTLS वरील RADIUS?" RFC 7360 DTLS वरील RADIUS परिभाषित करते, जे TCP ऐवजी UDP वापरते, एन्क्रिप्शन जोडताना पारंपारिक RADIUS ची काही कनेक्शनलेस वैशिष्ट्ये जतन करते. हे TLS वरील RadSec पेक्षा कमी प्रमाणात डिप्लॉय केले जाते परंतु हाय-थ्रूपुट वातावरणात लेटन्सीची चिंता असल्यास मूल्यांकन करण्यासारखे आहे. "याचा रोमिंग कार्यप्रदर्शनावर कसा परिणाम होतो?" RadSec चे TCP कनेक्शन पर्सिस्टंट आहे, जे पुढील प्रमाणीकरण विनंत्यांसाठी कनेक्शन सेटअप ओव्हरहेड कमी करून फेडरेटेड वातावरणात रोमिंग कार्यप्रदर्शन प्रत्यक्षात सुधारू शकते. --- [सारांश आणि पुढील पायऱ्या — अंदाजे 1 मिनिट] शेवटी: पारंपारिक RADIUS मधील खऱ्या सुरक्षा त्रुटीसाठी RadSec हे परिपक्व, मानकांवर आधारित उत्तर आहे. जर तुम्ही मोठ्या प्रमाणावर एंटरप्राइझ WiFi चालवत असाल — एकाधिक साइट्सवर, इंटरनेटवर किंवा PCI DSS किंवा GDPR च्या अधीन असलेल्या वातावरणात — तर प्रश्न RadSec डिप्लॉय करायचे की नाही हा नाही, तर कधी आणि कसे हा आहे. तुमच्या पुढील पायऱ्या: या आठवड्यात तुमच्या RADIUS पायाभूत सुविधांचे ऑडिट करा. तुमचे सर्वाधिक-जोखमीचे ट्रॅफिक फ्लो ओळखा. नेटिव्ह RadSec सपोर्टसाठी तुमचे RADIUS सर्व्हर आणि अ‍ॅक्सेस पॉईंट व्हेंडर डॉक्युमेंटेशन तपासा. जर तुम्ही FreeRADIUS चालवत असाल, तर तुम्ही एका दिवसात टेस्ट RadSec डिप्लॉयमेंट चालू करू शकता. जर तुम्ही Microsoft NPS वर असाल, तर प्रॉक्सी किंवा RadSec-सक्षम सर्व्हरकडे मायग्रेशन मार्गाचे मूल्यांकन सुरू करा. Purple चे प्लॅटफॉर्म एंटरप्राइझ RADIUS पायाभूत सुविधांशी इंटिग्रेट करण्यासाठी डिझाइन केलेले आहे, जे कॉर्पोरेट आणि अतिथी WiFi दोन्ही वातावरणांसाठी सुरक्षित प्रमाणीकरण फ्लोला सपोर्ट करते. जर तुम्हाला समजून घ्यायचे असेल की RadSec तुमच्या विशिष्ट डिप्लॉयमेंटमध्ये कसे बसते, तर Purple टीम तुम्हाला त्यातून मार्गदर्शन करू शकते. ऐकल्याबद्दल धन्यवाद. पुढच्या वेळेपर्यंत. --- स्क्रिप्टचा शेवट

header_image.png

कार्यकारी सारांश

पारंपारिक UDP वरील RADIUS (पोर्ट्स 1812/1813) आधुनिक एंटरप्राइझ धोक्याच्या परिस्थितीसाठी डिझाइन केलेले नव्हते. केवळ शेअर्ड सिक्रेट आणि MD5 हॅशिंगवर अवलंबून राहिल्याने, हे प्रमाणीकरण क्रेडेन्शियल्स आणि सेशन अ‍ॅट्रिब्यूट्सना इंटरसेप्शनसाठी असुरक्षित ठेवते, विशेषतः जेव्हा सार्वजनिक नेटवर्क किंवा हॉस्पिटॅलिटी आणि रिटेल चेन्ससारख्या मोठ्या वितरित इस्टेट्समधून प्रवास करत असते. RadSec (TLS वरील RADIUS, RFC 6614) पोर्ट 2083 वर TCP-आधारित TLS 1.3 टनेलमध्ये RADIUS ट्रॅफिक एन्कॅप्स्युलेट करून ही मूलभूत सुरक्षा त्रुटी दूर करते.

CTO आणि नेटवर्क आर्किटेक्ट्ससाठी, RadSec डिप्लॉय करणे ही आता केवळ सर्वोत्तम सराव राहिलेली नाही—तर corporate wifi चे संरक्षण करण्यासाठी, PCI DSS 4.0 अनुपालन राखण्यासाठी आणि OpenRoaming सारख्या आधुनिक फेडरेटेड रोमिंग फ्रेमवर्कमध्ये सहभागी होण्यासाठी ही एक महत्त्वपूर्ण आवश्यकता आहे. हे मार्गदर्शक तुमच्या प्रमाणीकरण पायाभूत सुविधा सुरक्षित करण्यासाठी आर्किटेक्चर, अंमलबजावणीचे नमुने आणि ऑपरेशनल आवश्यकता तपशीलवार सांगते.

तांत्रिक सखोल माहिती: RADIUS वि. RadSec

पारंपारिक RADIUS मधील असुरक्षितता

स्टँडर्ड 802.1X डिप्लॉयमेंटमध्ये, अ‍ॅक्सेस पॉईंट (ऑथेंटिकेटर) क्लायंट क्रेडेन्शियल्स RADIUS सर्व्हर (ऑथेंटिकेशन सर्व्हर) कडे फॉरवर्ड करतो. पारंपारिक RADIUS मध्ये, हा पेलोड UDP वर पाठवला जातो. MD5 द्वारे पासवर्ड लपवण्यासाठी वापरली जाणारी प्री-शेअर्ड की (PSK) हेच एकमेव संरक्षण असते.

हे आर्किटेक्चर तीन गंभीर धोके निर्माण करते:

  1. ट्रान्सपोर्ट एन्क्रिप्शनचा अभाव: युझर अ‍ॅट्रिब्यूट्स, MAC अ‍ॅड्रेसेस आणि सेशन डेटा क्लिअरटेक्स्टमध्ये प्रसारित केला जातो.
  2. क्रिप्टोग्राफिक कमकुवतपणा: जर एखाद्या हल्लेखोराने ट्रॅफिक कॅप्चर केले तर MD5 ऑफलाइन डिक्शनरी हल्ल्यांसाठी असुरक्षित आहे.
  3. म्युच्युअल ऑथेंटिकेशन नाही: अ‍ॅक्सेस पॉईंट हे क्रिप्टोग्राफिकरित्या पडताळून पाहू शकत नाही की तो अधिकृत RADIUS सर्व्हरशी बोलत आहे, ज्यामुळे रोग (rogue) सर्व्हर हल्ले शक्य होतात.

RadSec आर्किटेक्चर (RFC 6614)

RadSec ट्रान्सपोर्ट लेयर UDP वरून TCP वर हलवून आणि संपूर्ण पेलोड TLS मध्ये रॅप करून या त्रुटी दूर करते.

architecture_overview.png

  • ट्रान्सपोर्ट: TCP पोर्ट 2083 विश्वसनीय वितरण आणि स्टेटफुल कनेक्शन्स सुनिश्चित करते, ज्यामुळे हाय-लेटन्सी वातावरणात कार्यप्रदर्शन सुधारते.
  • एन्क्रिप्शन: TLS 1.2 किंवा 1.3 सर्व RADIUS अ‍ॅट्रिब्यूट्सचे मजबूत, एंड-टू-एंड एन्क्रिप्शन प्रदान करते.
  • म्युच्युअल ऑथेंटिकेशन: RADIUS क्लायंट (किंवा प्रॉक्सी) आणि सर्व्हर दोघांनीही विश्वसनीय सर्टिफिकेट ऑथॉरिटी (CA) द्वारे जारी केलेली वैध X.509 प्रमाणपत्रे सादर करणे आवश्यक आहे. शेअर्ड सिक्रेट केवळ बॅकवर्ड कंपॅटिबिलिटीसाठी ठेवले जाते; TLS वास्तविक सुरक्षा प्रदान करते.

हे आर्किटेक्चर Retail चेन्स किंवा Hospitality ठिकाणांसारख्या वितरित वातावरणासाठी आवश्यक आहे, जिथे अ‍ॅक्सेस पॉईंट्स सार्वजनिक इंटरनेटवरून मध्यवर्ती किंवा क्लाउड-होस्टेड RADIUS सर्व्हरकडे प्रमाणीकरण विनंत्या बॅक हॉल करतात.

अंमलबजावणी मार्गदर्शक

RadSec डिप्लॉय करताना साधारणपणे दोनपैकी एका पॅटर्नचे अनुसरण केले जाते: नेटिव्ह सपोर्ट किंवा प्रॉक्सी-आधारित.

पॅटर्न 1: नेटिव्ह RadSec

जर तुमची पायाभूत सुविधा याला नेटिव्हली सपोर्ट करत असेल (उदा. FreeRADIUS 3.0+, Cisco ISE, Aruba ClearPass), तर तुम्ही थेट RADIUS सर्व्हर आणि अ‍ॅक्सेस पॉईंट्स/कंट्रोलर्सवर TLS प्रमाणपत्रे कॉन्फिगर करता. हे एज (edge) पासून कोर (core) पर्यंत खरे एंड-टू-एंड एन्क्रिप्शन प्रदान करते.

पॅटर्न 2: RadSec प्रॉक्सी

अनेक लेगसी RADIUS सर्व्हर्स (विशेषतः Microsoft NPS) नेटिव्हली RadSec ला सपोर्ट करत नाहीत. अशा वातावरणात, प्रॉक्सी (जसे की radsecproxy) डिप्लॉय केली जाते.

  1. लोकल लेग: AP लोकल प्रॉक्सीला स्टँडर्ड UDP RADIUS पाठवतो.
  2. WAN लेग: प्रॉक्सी ट्रॅफिकला TLS मध्ये एन्कॅप्स्युलेट करते आणि TCP 2083 वरून अपस्ट्रीम सर्व्हरला पाठवते.

हा पॅटर्न तुम्हाला लेगसी पायाभूत सुविधा न बदलता वाइड-एरिया ट्रॅफिक सुरक्षित करण्याची परवानगी देतो.

deployment_checklist.png

Purple सोबत इंटिग्रेशन

Purple चे Guest WiFi आणि WiFi Analytics प्लॅटफॉर्म्स एंटरप्राइझ RADIUS पायाभूत सुविधांशी अखंडपणे इंटिग्रेट होतात. कनेक्ट लायसन्स अंतर्गत, Purple हे OpenRoaming साठी मोफत आयडेंटिटी प्रोव्हायडर म्हणून काम करते, जिथे ठिकाणे आणि मध्यवर्ती हब दरम्यान फेडरेशन ट्रॅफिक सुरक्षित करण्यासाठी RadSec ही एक अनिवार्य आवश्यकता आहे.

सर्वोत्तम पद्धती

  1. सर्टिफिकेट लाइफसायकल मॅनेजमेंट: म्युच्युअल TLS वैध प्रमाणपत्रांवर अवलंबून असते. स्वयंचलित नूतनीकरण (उदा. ACME द्वारे) आणि कठोर मॉनिटरिंग लागू करा. कालबाह्य झालेले प्रमाणपत्र संपूर्ण प्रमाणीकरण आउटेज (outage) चे कारण बनेल.
  2. फायरवॉल कॉन्फिगरेशन: TCP पोर्ट 2083 ला ठिकाणाहून आउटबाउंड आणि RADIUS सर्व्हरकडे इनबाउंड दोन्हीसाठी स्पष्टपणे परवानगी दिल्याची खात्री करा. विद्यमान UDP 1812 नियम लागू होतील असे गृहीत धरू नका.
  3. हाय-रिस्क ट्रॅफिकला प्राधान्य द्या: लोकल मॅनेजमेंट VLANs कडे जाण्यापूर्वी सार्वजनिक इंटरनेट किंवा अविश्वासू WANs मधून जाणाऱ्या लिंक्सवर डिप्लॉयमेंट सुरू करा.

एज सुरक्षित करण्याबद्दल अधिक माहितीसाठी, आमचे Access Point Security: Your 2026 Enterprise Guide वरील मार्गदर्शक वाचा.

ट्रबलशूटिंग आणि जोखीम निवारण

जेव्हा RadSec अयशस्वी होते, तेव्हा ती क्वचितच प्रमाणीकरणाची समस्या असते; ती जवळजवळ नेहमीच TLS किंवा TCP समस्या असते.

  • लक्षण: अ‍ॅक्सेस पॉईंट्स RADIUS सर्व्हरवरून डिस्कनेक्ट झाल्याचे दर्शवतात.
    • तपासा: TCP 2083 साठी फायरवॉल नियम. पारंपारिक RADIUS UDP वापरते; नेटवर्क टीम्स अनेकदा TCP पोर्ट उघडायला विसरतात.
  • लक्षण: TCP कनेक्शन स्थापित होते, परंतु प्रमाणीकरण त्वरित अयशस्वी होते.
    • तपासा: प्रमाणपत्र पडताळणी. कॉमन नेम (CN) किंवा सब्जेक्ट अल्टरनेटिव्ह नेम (SAN) जुळत असल्याची, प्रमाणपत्र कालबाह्य झालेले नसल्याची आणि क्लायंट साइनिंग CA वर विश्वास ठेवत असल्याची पडताळणी करा. हँडशेक डीबग करण्यासाठी openssl s_client -connect :2083 वापरा.

तुमचे नेटवर्क फंडामेंटल्स मजबूत असल्याची खात्री करा. Protect Your Network with Strong DNS and Security वरील आमचा सल्ला वाचा.

ROI आणि व्यावसायिक प्रभाव

RadSec ची अंमलबजावणी करणे ही एक जोखीम निवारण गुंतवणूक आहे. ROI मोजमाप डेटा ब्रीचेस, अनुपालन दंड (PCI DSS, GDPR) आणि प्रतिष्ठेचे नुकसान टाळण्यामध्ये केले जाते. शिवाय, हे OpenRoaming सारख्या आधुनिक रोमिंग फेडरेशन्समध्ये सहभाग सक्षम करते, जे Healthcare आणि Transport वातावरणात अतिथींचा अनुभव लक्षणीयरीत्या वाढवू शकते.

ब्रीफिंग ऐका

RadSec डिप्लॉय करण्याच्या ऑपरेशनल वास्तवांबद्दल अधिक सखोल माहितीसाठी, आमचे 10-मिनिटांचे तांत्रिक ब्रीफिंग ऐका:

क्लायंट उपकरणांवरील विशिष्ट कॉन्फिगरेशन पायऱ्यांसाठी, How to Set Up Enterprise WiFi on iOS and macOS with 802.1X किंवा पोर्तुगीज आवृत्ती Como Configurar WiFi Corporativo em iOS e macOS com 802.1X पहा.

महत्वाच्या व्याख्या

RadSec

RADIUS प्रोटोकॉलचा एक विस्तार जो TCP पोर्ट 2083 वर TLS टनेलमध्ये RADIUS ट्रॅफिक एन्कॅप्स्युलेट करतो.

अविश्वासू नेटवर्कवरून प्रवास करताना प्रमाणीकरण ट्रॅफिक सुरक्षित करण्यासाठी वापरले जाते, ज्यामुळे क्रेडेन्शियल इंटरसेप्शनला प्रतिबंध होतो.

Mutual TLS (mTLS)

एक सुरक्षा प्रक्रिया जिथे एन्क्रिप्टेड कनेक्शन स्थापित करण्यापूर्वी एकमेकांची ओळख पडताळण्यासाठी क्लायंट आणि सर्व्हर दोघेही X.509 प्रमाणपत्रे सादर करतात.

RadSec ची मुख्य प्रमाणीकरण यंत्रणा, जी स्टॅटिक शेअर्ड सिक्रेट्सवरील अवलंबित्व बदलते.

802.1X

पोर्ट-आधारित नेटवर्क अ‍ॅक्सेस कंट्रोलसाठी IEEE स्टँडर्ड, जे LAN किंवा WLAN शी कनेक्ट होण्याचा प्रयत्न करणाऱ्या उपकरणांना प्रमाणित करण्यासाठी वापरले जाते.

एक फ्रेमवर्क जे डिरेक्टरीच्या विरूद्ध युझर क्रेडेन्शियल्स प्रमाणित करण्यासाठी RADIUS (आणि विस्ताराने, RadSec) वर अवलंबून असते.

radsecproxy

एक ओपन-सोर्स डेमन जो प्रॉक्सी म्हणून काम करतो, स्टँडर्ड UDP RADIUS ट्रॅफिकला RadSec (TCP वरील TLS) मध्ये रूपांतरित करतो आणि याउलट.

जेव्हा अ‍ॅक्सेस पॉईंट्स किंवा Microsoft NPS सारख्या लेगसी RADIUS सर्व्हर्समध्ये नेटिव्ह RadSec सपोर्ट नसतो तेव्हा डिप्लॉय केले जाते.

OpenRoaming

Wi-Fi अलायन्सने विकसित केलेले एक फेडरेशन स्टँडर्ड जे युझर्सना जागतिक स्तरावर सहभागी WiFi नेटवर्क्सशी अखंडपणे आणि सुरक्षितपणे कनेक्ट होण्याची परवानगी देते.

OpenRoaming ठिकाणे आणि आयडेंटिटी प्रोव्हायडर्स दरम्यान प्रमाणीकरण ट्रॅफिक सुरक्षित करण्यासाठी RadSec चा वापर अनिवार्य करते.

Shared Secret

पारंपारिक RADIUS मध्ये पासवर्ड लपवण्यासाठी आणि विनंत्यांच्या स्रोताची पडताळणी करण्यासाठी वापरली जाणारी एक स्टॅटिक टेक्स्ट स्ट्रिंग.

बॅकवर्ड कंपॅटिबिलिटीसाठी RadSec कॉन्फिगरेशनमध्ये तांत्रिकदृष्ट्या अद्याप उपस्थित असले तरी, त्याची जागा TLS एन्क्रिप्शनने घेतली आहे.

FreeRADIUS

एक मोठ्या प्रमाणावर डिप्लॉय केलेला ओपन-सोर्स RADIUS सर्व्हर जो RadSec साठी नेटिव्ह सपोर्ट प्रदान करतो.

त्याच्या लवचिकतेमुळे आणि नेटिव्ह TLS क्षमतांमुळे अनेकदा एंटरप्राइझ वातावरणात आणि रोमिंग फेडरेशन्समध्ये वापरले जाते.

PKI (Public Key Infrastructure)

डिजिटल प्रमाणपत्रे तयार करण्यासाठी, व्यवस्थापित करण्यासाठी, वितरित करण्यासाठी आणि रद्द करण्यासाठी आवश्यक असलेल्या भूमिका, धोरणे आणि सॉफ्टवेअरचे फ्रेमवर्क.

RadSec डिप्लॉय करण्यासाठी एक पूर्वअट, कारण तुम्ही सर्व RADIUS क्लायंट्स आणि सर्व्हर्ससाठी प्रमाणपत्रे जारी करणे आणि व्यवस्थापित करणे आवश्यक आहे.

सोडवलेली उदाहरणे

एक 200-प्रॉपर्टी हॉटेल ग्रुप कर्मचाऱ्यांच्या प्रमाणीकरणासाठी मध्यवर्तीरित्या Microsoft NPS वापरतो. प्रत्येक हॉटेलमधील अ‍ॅक्सेस पॉईंट्स सध्या UDP 1812 द्वारे सार्वजनिक इंटरनेटवरून RADIUS विनंत्या पाठवतात. CTO सर्व प्रमाणीकरण ट्रॅफिकसाठी एन्क्रिप्शन अनिवार्य करतात, परंतु या वर्षी NPS बदलणे हा पर्याय नाही.

प्रत्येक हॉटेल साइटवर RadSec प्रॉक्सी (उदा. radsecproxy) आणि NPS सर्व्हर्सच्या समोर मध्यवर्ती डेटा सेंटरमध्ये संबंधित प्रॉक्सी डिप्लॉय करा. स्थानिक APs स्थानिक प्रॉक्सीला UDP RADIUS पाठवतात. स्थानिक प्रॉक्सी इंटरनेटवरून मध्यवर्ती प्रॉक्सीकडे TCP 2083 वर म्युच्युअल TLS टनेल स्थापित करते. मध्यवर्ती प्रॉक्सी TLS टनेल संपुष्टात आणते आणि NPS सर्व्हरला स्टँडर्ड UDP RADIUS फॉरवर्ड करते.

परीक्षकाचे भाष्य: हा दृष्टिकोन मुख्य Microsoft NPS पायाभूत सुविधांच्या महागड्या आणि व्यत्यय आणणाऱ्या रिप-अँड-रिप्लेसची आवश्यकता न ठेवता—अविश्वासू WAN वर प्रमाणीकरण डेटा एन्क्रिप्ट करण्याचे—प्राथमिक सुरक्षा उद्दिष्ट साध्य करतो. हे प्रॉक्सीसाठी सर्टिफिकेट मॅनेजमेंट ओव्हरहेड सादर करते, जे स्वयंचलित असणे आवश्यक आहे.

एक मोठे विद्यापीठ भेट देणाऱ्या शिक्षणतज्ञांना अखंड अ‍ॅक्सेस देण्यासाठी त्यांच्या कॅम्पसमध्ये OpenRoaming डिप्लॉय करत आहे. ते FreeRADIUS 3.0 चालवत आहेत.

FreeRADIUS मध्ये नेटिव्ह RadSec सक्षम करा. OpenRoaming फेडरेशनद्वारे विश्वासार्ह असलेल्या CA कडून X.509 प्रमाणपत्रे जनरेट करा. फेडरेशन हबकडे इनबाउंड आणि आउटबाउंड TCP 2083 ट्रॅफिकला परवानगी देण्यासाठी कॅम्पस फायरवॉल कॉन्फिगर करा. सर्व फेडरेशन-बाउंड प्रमाणीकरण विनंत्यांसाठी RadSec वापरण्यासाठी वायरलेस LAN कंट्रोलर्स कॉन्फिगर करा.

परीक्षकाचे भाष्य: FreeRADIUS नेटिव्हली RadSec ला सपोर्ट करत असल्यामुळे, कोणत्याही प्रॉक्सीची आवश्यकता नाही. हे सर्वात स्वच्छ आर्किटेक्चर आहे. येथील महत्त्वपूर्ण अवलंबित्व म्हणजे प्रमाणपत्रे OpenRoaming फेडरेशनच्या विशिष्ट PKI आवश्यकतांशी संरेखित असल्याची खात्री करणे.

सराव प्रश्न

Q1. तुमच्या टीमने तुमचे रिमोट ब्रांच अ‍ॅक्सेस पॉईंट्स आणि तुमच्या मध्यवर्ती FreeRADIUS सर्व्हर दरम्यान नेटिव्ह RadSec डिप्लॉय केले आहे. APs सर्व्हरला पिंग करू शकतात, परंतु प्रमाणीकरण विनंत्या पूर्णपणे टाइम आउट होत आहेत आणि RADIUS लॉग्सवर कोणतेही ट्रॅफिक येत नाहीये.

टीप: RadSec पारंपारिक RADIUS पेक्षा वेगळा ट्रान्सपोर्ट प्रोटोकॉल आणि पोर्ट वापरते.

नमुना उत्तर पहा

फायरवॉल बहुधा TCP पोर्ट 2083 ब्लॉक करत आहे. पारंपारिक RADIUS ची सवय असलेल्या नेटवर्क टीम्स अनेकदा फक्त UDP पोर्ट्स 1812/1813 ला परवानगी देतात. तुम्ही ब्रांचमधून आउटबाउंड आणि RADIUS सर्व्हरकडे इनबाउंड TCP 2083 ला स्पष्टपणे परवानगी देणे आवश्यक आहे.

Q2. तुम्ही एका रिटेल क्लायंटच्या WiFi आर्किटेक्चरचे ऑडिट करत आहात. ते मध्यवर्तीरित्या Microsoft NPS वापरतात. त्यांचे स्टोअर APs IPsec VPN द्वारे इंटरनेटवरून प्रमाणीकरण विनंत्या पाठवतात. येथे RadSec आवश्यक आहे का?

टीप: आधीपासूनच अस्तित्वात असलेल्या एन्क्रिप्शनच्या लेयर्सचा विचार करा.

नमुना उत्तर पहा

जरी RadSec ही सर्वोत्तम सराव असली तरी, IPsec VPN आधीपासूनच अविश्वासू इंटरनेटवरील UDP RADIUS ट्रॅफिकसाठी ट्रान्सपोर्ट लेयर एन्क्रिप्शन प्रदान करत आहे. येथे RadSec डिप्लॉय केल्याने डिफेन्स-इन-डेप्थ मिळेल परंतु ट्रॅफिक नेटिव्हली इंटरनेटवरून प्रवास करत असल्याच्या तुलनेत हे कमी तातडीचे आहे.

Q3. यशस्वी RadSec प्रॉक्सी डिप्लॉयमेंटच्या एका आठवड्यानंतर, सोमवारी सकाळी 09:00 वाजता संपूर्ण एंटरप्राइझमधील सर्व WiFi प्रमाणीकरण एकाच वेळी अयशस्वी होते. नेटवर्क टीम पुष्टी करते की फायरवॉल नियम बदललेले नाहीत.

टीप: स्वतः TLS टनेलसाठी प्राथमिक प्रमाणीकरण यंत्रणा काय आहे?

नमुना उत्तर पहा

म्युच्युअल TLS प्रमाणीकरणासाठी वापरलेली X.509 प्रमाणपत्रे बहुधा कालबाह्य झाली आहेत. जेव्हा प्रमाणपत्रे कालबाह्य होतात, तेव्हा TLS हँडशेक अयशस्वी होतो, TCP कनेक्शन ड्रॉप होते आणि RADIUS ट्रॅफिक वाहू शकत नाही. हे टाळण्यासाठी स्वयंचलित प्रमाणपत्र मॉनिटरिंग आणि रोटेशन लागू करा.

या मालिकेमध्ये पुढे वाचा

Wi-Fi सुरक्षेचे भविष्य: AI-आधारित NAC आणि थ्रेट डिटेक्शन

हे अधिकृत मार्गदर्शक जुन्या WPA2 कडून AI-आधारित नेटवर्क ॲक्सेस कंट्रोल (NAC) आणि थ्रेट डिटेक्शनकडे एंटरप्राइझ Wi-Fi सुरक्षेच्या उत्क्रांतीचा शोध घेते. IT लीडर्ससाठी डिझाइन केलेले, हे Purple च्या आयडेंटिटी-आधारित नेटवर्क्सचा वापर करून रिटेल, हॉस्पिटॅलिटी आणि स्टेडियम्ससारख्या हाय-डेन्सिटी वातावरणांना सुरक्षित करण्यासाठी कृतीयोग्य डिप्लॉयमेंट धोरणे प्रदान करते.

मार्गदर्शिका वाचा →

NAC आणि MPSK सह IoT डिव्हाइस सिक्युरिटी व्यवस्थापित करणे

हे तांत्रिक मार्गदर्शक एंटरप्राइझ ठिकाणे मल्टिपल प्री-शेअर्ड की (MPSK) आर्किटेक्चर आणि नेटवर्क ॲक्सेस कंट्रोल (NAC) वापरून हेडलेस IoT डिव्हाइसेस कसे सुरक्षित करू शकतात हे तपशीलवार सांगते. हे मायक्रो-सेगमेंटेशन साध्य करण्यासाठी, सिक्युरिटी ब्लास्ट रेडियस नियंत्रित करण्यासाठी आणि स्केलेबिलिटीशी तडजोड न करता कंप्लायन्स राखण्यासाठी कृती करण्यायोग्य अंमलबजावणीच्या पायऱ्या प्रदान करते.

मार्गदर्शिका वाचा →

विमानतळ WiFi सुरक्षा: सार्वजनिक नेटवर्क्सवर प्रवाशांचे संरक्षण कसे करावे

हे तांत्रिक संदर्भ मार्गदर्शक विमानतळ WiFi च्या विशिष्ट धोक्याच्या स्वरूपाचा तपशील देते, ज्यामध्ये इव्हिल ट्विन ॲक्सेस पॉइंट्स, रोग हार्डवेअर आणि मॅन-इन-द-मिडल हल्ल्यांचा समावेश आहे. हे IT व्यवस्थापक, नेटवर्क आर्किटेक्ट्स आणि व्हेन्यू ऑपरेशन्स संचालकांना मोठ्या प्रमाणावर प्रवाशांचे आणि एंटरप्राइझ पायाभूत सुविधांचे संरक्षण करण्यासाठी कृती करण्यायोग्य आर्किटेक्चरल धोरणे — WPA3 अंमलबजावणी, VLAN सेगमेंटेशन, WIPS डिप्लॉयमेंट आणि GDPR-सुसंगत Captive Portal डिझाइनसह — प्रदान करते. Purple चे अतिथी WiFi आणि ॲनालिटिक्स प्लॅटफॉर्म संपूर्णपणे प्रत्येक समस्येच्या डोमेनशी ठोसपणे मॅप केलेले आहे.

मार्गदर्शिका वाचा →