MD5 कोलिजन अटॅक्स विरुद्ध RADIUS समजून घेणे आणि अधिक सुरक्षित करणे

हे मार्गदर्शक RADIUS MD5 कोलिजन असुरक्षिततेवर (CVE-2024-3596, 'Blast-RADIUS') एक सर्वसमावेशक तांत्रिक संदर्भ प्रदान करते, ज्यामध्ये मॅन-इन-द-मिडल अटॅकर्स वापरकर्त्याचे क्रेडेंशियल्स माहीत नसतानाही ऑथेंटिकेशन मंजुरी तयार करण्यासाठी MD5-आधारित Response Authenticator मधील कमकुवतपणाचा कसा फायदा घेऊ शकतात हे स्पष्ट केले आहे. हॉस्पिटॅलिटी, रिटेल, इव्हेंट्स आणि सार्वजनिक-क्षेत्रातील वातावरणात एंटरप्राइझ WiFi चालवणाऱ्या IT मॅनेजर्स, नेटवर्क आर्किटेक्ट्स आणि CTOs साठी हे वाचणे आवश्यक आहे ज्यांना त्यांच्या एक्सपोजरचे मूल्यांकन करणे, तात्काळ उपाययोजना लागू करणे आणि आधुनिक ऑथेंटिकेशन मानकांकडे धोरणात्मक स्थलांतराची योजना आखणे आवश्यक आहे. या मार्गदर्शकामध्ये संपूर्ण अटॅक लाइफसायकल, टप्प्याटप्प्याने हार्डनिंग रोडमॅप, वास्तविक-जगातील डिप्लॉयमेंट परिस्थिती आणि PCI DSS, GDPR आणि ISO 27001 अंतर्गत कंप्लायन्स परिणामांचा समावेश आहे.

📖 9 मिनिट वाचन📝 2,128 शब्द🔧 2 सोडवलेली उदाहरणे❓ 3 सराव प्रश्न📚 9 महत्वाच्या व्याख्या

हे मार्गदर्शक ऐका

पॉडकास्ट ट्रान्सक्रिप्ट पहा

Purple टेक्निकल ब्रीफिंगमध्ये आपले स्वागत आहे. मी तुमचा होस्ट, Purple मधील एक सीनियर टेक्निकल कंटेंट स्ट्रॅटेजिस्ट आहे. आज, आम्ही एंटरप्राइझ-ग्रेड WiFi चालवणाऱ्या कोणत्याही संस्थेसाठी एका गंभीर, वेळ-संवेदनशील समस्येवर चर्चा करत आहोत: 30 वर्ष जुन्या प्रोटोकॉलमधील एक नवीन व्यावहारिक असुरक्षितता जी अटॅकर्सना थेट तुमच्या डिजिटल फ्रंट डोअरमधून आत येण्याची परवानगी देऊ शकते. आम्ही RADIUS प्रोटोकॉल आणि Blast-RADIUS म्हणून ओळखल्या जाणाऱ्या MD5 कोलिजन अटॅकबद्दल बोलत आहोत.

हॉस्पिटॅलिटी, रिटेल आणि मोठ्या सार्वजनिक ठिकाणांमधील IT मॅनेजर्स, नेटवर्क आर्किटेक्ट्स आणि CTOs च्या आमच्या प्रेक्षकांसाठी, ही केवळ एक सैद्धांतिक समस्या नाही. हा तुमच्या नेटवर्क इंटिग्रिटी, डेटा सिक्युरिटी आणि कंप्लायन्स पोश्चरसाठी थेट धोका आहे. पुढील दहा मिनिटांत, आम्ही ही असुरक्षितता काय आहे, ती कशी कार्य करते आणि सर्वात महत्त्वाचे म्हणजे, शमनासाठी एक स्पष्ट, कृती करण्यायोग्य रोडमॅप प्रदान करू. तुम्ही 200-खोल्यांच्या हॉटेलसाठी, राष्ट्रीय रिटेल चेनसाठी किंवा 60,000-सीट स्टेडियमसाठी जबाबदार असलात तरीही, हे ब्रीफिंग तुम्हाला या तिमाहीत घ्याव्या लागणाऱ्या निर्णयांसाठी थेट संबंधित आहे.

चला काही संदर्भाने सुरुवात करूया. RADIUS — रिमोट ऑथेंटिकेशन डायल-इन युजर सर्व्हिस — 1991 मध्ये, डायल-अप इंटरनेटच्या युगात डिझाइन केले गेले होते. हा एक क्लायंट-सर्व्हर प्रोटोकॉल आहे जो नेटवर्क ॲक्सेससाठी ऑथेंटिकेशन, ऑथरायझेशन आणि अकाउंटिंग हाताळतो. जेव्हा एखादा कर्मचारी किंवा डिव्हाइस तुमच्या एंटरप्राइझ WiFi शी कनेक्ट होतो, तेव्हा ॲक्सेस पॉइंट RADIUS क्लायंट म्हणून काम करतो आणि मध्यवर्ती RADIUS सर्व्हरकडे ऑथेंटिकेशन विनंती पाठवतो. सर्व्हर क्रेडेंशियल्स तपासतो आणि Access-Accept किंवा Access-Reject सह प्रतिसाद देतो. ही देवाणघेवाण तीन दशकांहून अधिक काळ एंटरप्राइझ नेटवर्क सुरक्षेचा कणा राहिली आहे.

समस्या अशी आहे की आधुनिक क्रिप्टोग्राफिक मानके अस्तित्वात येण्यापूर्वी RADIUS डिझाइन केले गेले होते. प्रोटोकॉल सर्व्हर रिस्पॉन्सवर मूलभूत इंटिग्रिटी चेक प्रदान करण्यासाठी MD5 हॅशिंग अल्गोरिदम वापरतो — Response Authenticator नावाचे फील्ड. MD5 पहिल्यांदा 2004 मध्ये क्रिप्टोग्राफिकदृष्ट्या तुटलेले असल्याचे दर्शविले गेले होते. तरीही आपण 2024 मध्ये आहोत, आणि RADIUS अद्याप त्यावर अवलंबून आहे. उद्योगाला माहीत होते की MD5 कमकुवत आहे. प्रोटोकॉल फक्त कधीही अपडेट केला गेला नाही.

आता तांत्रिक सखोल माहितीमध्ये जाऊया. Blast-RADIUS अटॅक, ज्याला औपचारिकपणे CVE-2024-3596 नियुक्त केले गेले आहे, जुलै 2024 मध्ये बोस्टन युनिव्हर्सिटी, UC सॅन दिएगो, CWI ॲमस्टरडॅम आणि मायक्रोसॉफ्ट रिसर्चच्या संशोधकांच्या टीमने उघड केला. हे प्रोटोकॉल-स्तरीय असुरक्षिततेला MD5 चोझन-प्रिफिक्स कोलिजन अटॅकसह एकत्र करते — आणि गंभीरपणे, लक्षणीय गती सुधारणांसह जे रिअल टाइममध्ये हल्ला व्यावहारिक बनवतात.

हे कसे कार्य करते ते येथे आहे. एक मॅन-इन-द-मिडल अटॅकर RADIUS क्लायंट — तुमचा ॲक्सेस पॉइंट — आणि RADIUS सर्व्हर यांच्यातील नेटवर्क पाथवर स्वतःला स्थापित करतो. जेव्हा एखादा वापरकर्ता ऑथेंटिकेट करण्याचा प्रयत्न करतो, तेव्हा अटॅकर Access-Request पॅकेट इंटरसेप्ट करतो. ते या विनंतीमध्ये एक विशेषतः तयार केलेले दुर्भावनापूर्ण ॲट्रिब्युट इंजेक्ट करतात. हे ॲट्रिब्युट गणितीय कोलिजन घडवून आणण्यासाठी डिझाइन केलेले आहे: अशी परिस्थिती जिथे दोन भिन्न इनपुट्स समान MD5 हॅश तयार करतात. अटॅकर हे कोलिजन पूर्व-गणित करतो जेणेकरून सर्व्हरकडून कायदेशीर Access-Reject रिस्पॉन्सचा MD5 हॅश अटॅकरने तयार केलेल्या बनावट Access-Accept रिस्पॉन्सच्या MD5 हॅशशी जुळेल. जेव्हा सर्व्हर त्याचा Access-Reject परत करतो, तेव्हा अटॅकर त्यांचा बनावट Access-Accept बदलतो. RADIUS क्लायंट Response Authenticator तपासतो, तो वैध असल्याचे आढळतो — कारण MD5 हॅशेस जुळतात — आणि नेटवर्क ॲक्सेस मंजूर करतो.

अटॅकरला वापरकर्त्याचा पासवर्ड कधीही माहीत असण्याची आवश्यकता नव्हती. त्यांना RADIUS क्लायंट आणि सर्व्हरमधील शेअर्ड सिक्रेट कधीही माहीत असण्याची आवश्यकता नव्हती. त्यांनी बनावट रिस्पॉन्स कायदेशीर दिसावा यासाठी फक्त MD5 मधील गणितीय कमकुवतपणाचा फायदा घेतला. आणि आधुनिक हार्डवेअरसह, आवश्यक MD5 कोलिजन पाच मिनिटांपेक्षा कमी वेळेत मोजले जाऊ शकते. हा सैद्धांतिक हल्ला नाही. हे आज ऑपरेशनलदृष्ट्या व्यवहार्य आहे.

ही असुरक्षितता UDP वर PAP — पासवर्ड ऑथेंटिकेशन प्रोटोकॉल — CHAP, आणि MS-CHAP ऑथेंटिकेशन मोड्स वापरणाऱ्या सर्व RADIUS डिप्लॉयमेंट्सवर परिणाम करते. हे एंटरप्राइझ वातावरणात, विशेषतः लेगसी डिप्लॉयमेंट्समध्ये अत्यंत सामान्य आहेत. केवळ EAP — एक्स्टेन्सिबल ऑथेंटिकेशन प्रोटोकॉल — वापरणारे ऑथेंटिकेशन मोड्स सुरक्षित आहेत कारण EAP स्वतःचे क्रिप्टोग्राफिक टनेल स्थापित करते जे MD5 Response Authenticator पासून स्वतंत्र असते.

मला व्यावसायिक धोका ठोस शब्दांत मांडू द्या. हॉटेल चेनचा विचार करा. कॉर्पोरेट नेटवर्कमध्ये अनधिकृत प्रवेश मिळवणारा अटॅकर प्रॉपर्टी मॅनेजमेंट सिस्टीमपर्यंत पोहोचण्यासाठी, अतिथी रेकॉर्ड्समध्ये प्रवेश करण्यासाठी, पॉइंट-ऑफ-सेल टर्मिनल्सपर्यंत पोहोचण्यासाठी आणि संभाव्यतः पेमेंट कार्ड डेटा चोरण्यासाठी लॅटरल मूव्हमेंट करू शकतो. हॉस्पिटॅलिटी क्षेत्रातील डेटा ब्रीचची सरासरी किंमत तीन दशलक्ष पाउंडपेक्षा जास्त आहे. GDPR अंतर्गत, अतिथींच्या वैयक्तिक डेटाचा समावेश असलेल्या ब्रीचमुळे जागतिक वार्षिक उलाढालीच्या चार टक्क्यांपर्यंत दंड होऊ शकतो. PCI DSS अंतर्गत, कार्डहोल्डर डेटाचा समावेश असलेल्या ब्रीचमुळे अनिवार्य फॉरेन्सिक तपासणी, कार्ड ब्रँड दंड आणि पेमेंट प्रोसेसिंग विशेषाधिकार गमावण्याची शक्यता निर्माण होऊ शकते. आर्थिक आणि प्रतिष्ठेचे धोके लक्षणीय आहेत.

आता अंमलबजावणी शिफारसींसाठी. तुम्ही यापासून बचाव कसा कराल? प्रतिसादाचे दोन स्तर आहेत: तात्काळ सुरक्षा बळकटीकरण आणि दीर्घकालीन आधुनिकीकरण.

तात्काळ कृती म्हणजे CVE-2024-3596 साठी व्हेंडर पॅचेस लागू करणे. प्रत्येक प्रमुख RADIUS व्हेंडर — सिस्को ISE, मायक्रोसॉफ्ट NPS, FreeRADIUS, ज्युनिपर, अरुबा, रुकस — ने अपडेट्स जारी केले आहेत. पॅचिंगसोबतच, सर्व RADIUS क्लायंट्स आणि सर्व्हर्सवर Message-Authenticator ॲट्रिब्युट लागू करणे हा एक महत्त्वाचा कॉन्फिगरेशन बदल आहे. हे ॲट्रिब्युट, RFC 2869 मध्ये परिभाषित केलेले, संपूर्ण RADIUS पॅकेटवर HMAC-आधारित इंटिग्रिटी चेक प्रदान करते. Response Authenticator च्या विपरीत, HMAC रचना चोझन-प्रिफिक्स कोलिजन अटॅकला असुरक्षित नाही. तुमच्या इन्फ्रास्ट्रक्चरला या ॲट्रिब्युटची आवश्यकता असण्यासाठी कॉन्फिगर करणे — आणि त्याशिवाय येणारा कोणताही मेसेज नाकारणे — तात्काळ अटॅक व्हेक्टर बंद करते. FreeRADIUS साठी, याचा अर्थ तुमच्या clients कॉन्फिगरेशन फाइलमध्ये require_message_authenticator equals yes सेट करणे. मायक्रोसॉफ्ट NPS साठी, हे तुमच्या नेटवर्क पॉलिसी कॉन्फिगरेशनमधील एक पॉलिसी सेटिंग आहे. हा एक कमी-व्यत्यय आणणारा बदल आहे जो सामान्यतः मेंटेनन्स विंडो दरम्यान डिप्लॉय केला जाऊ शकतो.

तथापि, Message-Authenticator एन्फोर्समेंट हा एक तात्पुरता उपाय आहे, सोल्यूशन नाही. दीर्घकालीन धोरणात्मक प्रतिसाद म्हणजे EAP-आधारित ऑथेंटिकेशनकडे स्थलांतर करणे. सुवर्ण मानक EAP-TLS सह WPA3-Enterprise आहे. EAP-TLS सर्टिफिकेट-आधारित परस्पर ऑथेंटिकेशन वापरते — क्लायंट डिव्हाइस आणि RADIUS सर्व्हर दोघांनीही विश्वसनीय सर्टिफिकेट ऑथॉरिटीकडून वैध डिजिटल सर्टिफिकेट्स सादर करणे आवश्यक आहे. हे शेअर्ड सिक्रेट पूर्णपणे काढून टाकते, MD5 वरील अवलंबित्व दूर करते आणि Blast-RADIUS ज्या अटॅक्सचे प्रतिनिधित्व करतो त्या संपूर्ण क्लासपासून सुरक्षित असलेली सुरक्षा पातळी प्रदान करते.

ज्या वातावरणात संपूर्ण PKI इन्फ्रास्ट्रक्चर डिप्लॉय करणे गुंतागुंतीचे आहे — विशेषतः उच्च डिव्हाइस टर्नओव्हर किंवा ब्रिंग-युवर-ओन-डिव्हाइस धोरणे असलेली ठिकाणे — तेथे MSCHAPv2 सह PEAP एक स्वीकार्य अंतरिम पाऊल आहे, बशर्ते क्लायंट्स RADIUS सर्व्हर सर्टिफिकेट प्रमाणित करण्यासाठी कॉन्फिगर केलेले असावेत. सर्व्हर सर्टिफिकेट व्हॅलिडेशनशिवाय, PEAP रोग ॲक्सेस पॉइंट अटॅक्सना असुरक्षित आहे, जो एक वेगळा परंतु तितकाच गंभीर धोका आहे.

आधुनिकीकरण रोडमॅपचा अंतिम टप्पा म्हणजे RADIUS over TLS डिप्लॉय करणे, ज्याला RADSEC म्हणून ओळखले जाते. RADSEC सर्व RADIUS ट्रॅफिकला परस्पर ऑथेंटिकेट केलेल्या TLS सेशनमध्ये एन्कॅप्स्युलेट करते, संपूर्ण ऑथेंटिकेशन एक्सचेंजसाठी पूर्ण कॉन्फिडेन्शियलिटी आणि इंटिग्रिटी प्रदान करते. यामुळे Blast-RADIUS सारखे ट्रान्सपोर्ट-लेयर अटॅक्स अशक्य होतात, कारण इंटरसेप्ट करण्यासाठी कोणतेही अनएन्क्रिप्टेड RADIUS ट्रॅफिक नसते. RADSEC विशेषतः वितरित वातावरणात मौल्यवान आहे — हॉटेल चेन्स, रिटेल नेटवर्क्स, स्टेडियम कॉम्प्लेक्स — जेथे RADIUS ट्रॅफिक ॲक्सेस पॉइंट आणि मध्यवर्ती ऑथेंटिकेशन सर्व्हर दरम्यान एकाधिक नेटवर्क सेगमेंट्समधून जाऊ शकते.

चला रॅपिड-फायर Q&A कडे वळूया.

प्रश्न एक: आम्ही EAP वापरतो. आम्ही सुरक्षित आहोत का? जर तुम्ही EAP-TLS, PEAP किंवा EAP-TTLS वापरत असाल, तर तुम्ही विशिष्ट Blast-RADIUS MD5 कोलिजन अटॅकला असुरक्षित नाही. तथापि, तुम्ही तरीही डिफेन्स-इन-डेप्थ उपाय म्हणून व्हेंडर पॅचेस लागू केले पाहिजेत आणि सर्व क्लायंट्सवर सर्व्हर सर्टिफिकेट व्हॅलिडेशन लागू केले आहे याची खात्री करण्यासाठी तुमच्या कॉन्फिगरेशनचे ऑडिट केले पाहिजे.

प्रश्न दोन: आमचे RADIUS ट्रॅफिक समर्पित मॅनेजमेंट VLAN मध्ये आहे. ते आमचे संरक्षण करते का? हे अटॅक सरफेस कमी करते, परंतु ते असुरक्षितता दूर करत नाही. मॅनेजमेंट नेटवर्कवरील कोणत्याही डिव्हाइसशी आधीच तडजोड केलेला अटॅकर अद्याप मॅन-इन-द-मिडल अटॅक कार्यान्वित करू शकतो. सेगमेंटेशन हा संरक्षणाचा एक मौल्यवान स्तर आहे, परंतु तो Message-Authenticator एन्फोर्समेंट आणि EAP मायग्रेशनसह एकत्र केला जाणे आवश्यक आहे.

प्रश्न तीन: तात्काळ शमन किती कठीण आहे? बहुतांश वातावरणासाठी, Message-Authenticator लागू करणे हा एक सरळ कॉन्फिगरेशन बदल आहे. प्राथमिक आव्हान हे सुनिश्चित करणे आहे की सर्व नेटवर्क डिव्हाइसेस — ॲक्सेस पॉइंट्स, स्विचेस, कंट्रोलर्स — ॲट्रिब्युटला सपोर्ट करतात आणि ते सक्षम केले आहे. लेगसी हार्डवेअरवर ऑथेंटिकेशन अपयश टाळण्यासाठी सर्व्हर-साइड आवश्यकता लागू करण्यापूर्वी डिव्हाइस ऑडिट आवश्यक आहे.

प्रश्न चार: माझ्यावर हल्ला झाला आहे की नाही हे मी शोधू शकतो का? हे खूप कठीण आहे. बनावट Access-Accept पॅकेट RADIUS क्लायंटला वैध दिसते कारण MD5 हॅश तपासला जातो. तुमचा सर्वोत्तम शोध दृष्टिकोन म्हणजे विसंगत यशस्वी ऑथेंटिकेशन्ससाठी RADIUS अकाउंटिंग लॉग्सचे निरीक्षण करणे — अनपेक्षित डिव्हाइस प्रकार, तुमच्या इन्व्हेंटरीशी न जुळणारे MAC ॲड्रेसेस किंवा असामान्य वेळी यशस्वी लॉगिन्स. स्वयंचलित अलर्टिंगसाठी तुमचा RADIUS अकाउंटिंग डेटा तुमच्या SIEM सह इंटिग्रेट करा.

सारांश देण्यासाठी आणि तुमच्या पुढील चरणांची रूपरेषा देण्यासाठी. Blast-RADIUS असुरक्षितता UDP वर लेगसी RADIUS ऑथेंटिकेशन चालवणाऱ्या कोणत्याही संस्थेसाठी एक गंभीर, प्रत्यक्षपणे वापरता येण्याजोगा धोका आहे. या हल्ल्यासाठी कोणत्याही क्रेडेंशियल ज्ञानाची आवश्यकता नाही आणि तो काही मिनिटांत कार्यान्वित केला जाऊ शकतो. तुमची तात्काळ प्राथमिकता तुमच्या इन्फ्रास्ट्रक्चरचे ऑडिट करणे, व्हेंडर पॅचेस लागू करणे आणि सर्व RADIUS क्लायंट्स आणि सर्व्हर्सवर Message-Authenticator ॲट्रिब्युट लागू करणे ही आहे. तुमचे मध्यम-मुदतीचे ध्येय EAP-TLS आणि WPA3-Enterprise कडे स्थलांतर करणे आहे. तुमचे दीर्घकालीन आर्किटेक्चरल टार्गेट RADSEC आहे.

Purple मध्ये, आम्ही इंटेलिजन्स लेयर प्रदान करतो जो तुम्हाला तुमच्या व्हेन्यूचे WiFi नेटवर्क समजून घेण्यास आणि सुरक्षित करण्यास मदत करतो. आमचा प्लॅटफॉर्म तुम्हाला डिव्हाइस प्रकार ओळखण्यासाठी, ऑथेंटिकेशन पॅटर्नचे निरीक्षण करण्यासाठी आणि तुमच्या इस्टेटमधील प्रत्येक ॲक्सेस पॉइंटवर तुमच्या सुरक्षा धोरणांची प्रभावीपणे अंमलबजावणी होत असल्याची खात्री करण्यासाठी दृश्यमानता देतो.

तुमचा ॲक्शन प्लॅन तीन शब्दांचा आहे: ऑडिट, पॅच आणि मॉडर्नाइज. 30 वर्ष जुन्या प्रोटोकॉलला तुमच्या सुरक्षा पोश्चरमधील कमकुवत दुवा बनू देऊ नका. या Purple टेक्निकल ब्रीफिंगमध्ये सामील झाल्याबद्दल धन्यवाद. सुरक्षित राहा.

महत्वाचे मुद्दे

✓CVE-2024-3596 ('Blast-RADIUS') ही RADIUS/UDP मधील प्रत्यक्षपणे वापरता येण्याजोगी असुरक्षितता आहे जी मॅन-इन-द-मिडल अटॅकरला वापरकर्त्याचे क्रेडेंशियल्स माहीत नसतानाही ऑथेंटिकेशन मंजुरी तयार करण्याची परवानगी देते, ज्यामुळे सर्व PAP, CHAP आणि MS-CHAP डिप्लॉयमेंट्स प्रभावित होतात.
✓हा हल्ला RADIUS रिस्पॉन्स मधील MD5-आधारित Response Authenticator फील्डचा फायदा घेतो, चोझन-प्रिफिक्स कोलिजन तंत्राचा वापर करून जे आधुनिक हार्डवेअरवर काही मिनिटांत कार्यान्वित केले जाऊ शकते — ज्यामुळे हा एक वास्तविक ऑपरेशनल धोका बनतो, सैद्धांतिक नाही.
✓तात्काळ उपाययोजना म्हणजे CVE-2024-3596 साठी व्हेंडर पॅचेस लागू करणे आणि सर्व RADIUS क्लायंट्स आणि सर्व्हर्सवर Message-Authenticator ॲट्रिब्युट लागू करणे — सिस्को, मायक्रोसॉफ्ट NPS, FreeRADIUS, अरुबा आणि रुकस यासह सर्व प्रमुख व्हेंडर्सकडून उपलब्ध असलेला कमी-व्यत्यय आणणारा कॉन्फिगरेशन बदल.
✓EAP-आधारित ऑथेंटिकेशन पद्धती (EAP-TLS, PEAP, EAP-TTLS) Blast-RADIUS अटॅकला सुरक्षित आहेत, ज्यामुळे EAP-TLS सह WPA3-Enterprise कडे स्थलांतर करणे हा शिफारस केलेला मध्यम-मुदतीचा धोरणात्मक प्रतिसाद बनतो.
✓RADIUS over TLS (RADSEC, RFC 6614) हे दीर्घकालीन आर्किटेक्चरल सोल्यूशन आहे, जे सर्व RADIUS ट्रॅफिकला परस्पर ऑथेंटिकेट केलेल्या TLS टनेलमध्ये एन्कॅप्स्युलेट करते आणि ट्रान्सपोर्ट-लेयर असुरक्षितता पूर्णपणे दूर करते.
✓हॉस्पिटॅलिटी, रिटेल आणि व्हेन्यू ऑपरेटर्ससाठी, कंप्लायन्स परिणाम थेट आहेत: यशस्वी एक्सप्लॉइट PCI DSS उल्लंघने, GDPR डेटा ब्रीच नोटिफिकेशन्स आणि लक्षणीय आर्थिक आणि प्रतिष्ठेचे नुकसान ट्रिगर करू शकते जे रेमेडिएशनच्या खर्चापेक्षा खूप जास्त आहे.
✓नेटवर्क सेगमेंटेशन (समर्पित RADIUS VLANs) अटॅक सरफेस कमी करते परंतु असुरक्षितता दूर करत नाही — वास्तविक संरक्षण प्रदान करण्यासाठी ते Message-Authenticator एन्फोर्समेंट आणि EAP मायग्रेशनसह एकत्र केले जाणे आवश्यक आहे.

कार्यकारी सारांश

1991 पासून एंटरप्राइझ नेटवर्क ऑथेंटिकेशनचा आधारस्तंभ असलेल्या RADIUS प्रोटोकॉलमध्ये एक गंभीर आणि आता प्रत्यक्षपणे वापरता येण्याजोगी असुरक्षितता (vulnerability) आहे. जुलै 2024 मध्ये CVE-2024-3596 अंतर्गत उघड झालेली आणि 'Blast-RADIUS' असे नाव दिलेली ही त्रुटी, RADIUS क्लायंट आणि सर्व्हरच्या मध्ये असलेल्या मॅन-इन-द-मिडल (MitM) अटॅकरला वैध ऑथेंटिकेशन मंजुरी तयार करण्याची परवानगी देते — म्हणजेच वापरकर्त्याचा पासवर्ड किंवा शेअर्ड RADIUS सिक्रेट माहीत नसतानाही कायदेशीर 'Access-Reject' ला 'Access-Accept' मध्ये रूपांतरित करते. हा हल्ला MD5 चोझन-प्रिफिक्स कोलिजन तंत्राचा वापर करतो, जो आधुनिक हार्डवेअरसह काही मिनिटांतच कार्यान्वित केला जाऊ शकतो.

व्हेन्यू ऑपरेटर्स आणि एंटरप्राइझ IT टीम्ससाठी, व्यावसायिक धोका थेट आहे: अनधिकृत नेटवर्क ॲक्सेस मिळवणारा अटॅकर इन्फ्रास्ट्रक्चरमध्ये लॅटरल मूव्हमेंट करू शकतो, पॉइंट-ऑफ-सेल सिस्टीम्समध्ये प्रवेश करू शकतो, अतिथींचा डेटा चोरू शकतो आणि PCI DSS आणि GDPR अंतर्गत कंप्लायन्स उल्लंघनास कारणीभूत ठरू शकतो. PAP, CHAP, किंवा MS-CHAP ऑथेंटिकेशन मोड्ससह RADIUS/UDP चालवणारी प्रत्येक संस्था तोपर्यंत असुरक्षित आहे जोपर्यंत पॅचेस लागू केले जात नाहीत आणि आर्किटेक्चरल बदलांचे नियोजन केले जात नाही. तात्काळ उपाययोजना — सर्व RADIUS ट्रॅफिकवर Message-Authenticator ॲट्रिब्युट लागू करणे — हा एक कमी-व्यत्यय आणणारा कॉन्फिगरेशन बदल आहे जो सर्व प्रमुख व्हेंडर्सकडून उपलब्ध आहे. धोरणात्मक प्रतिसाद म्हणजे EAP-TLS आणि RADIUS over TLS (RADSEC) कडे टप्प्याटप्प्याने स्थलांतर करणे.

तांत्रिक सखोल माहिती

RADIUS प्रोटोकॉल आणि त्याचा क्रिप्टोग्राफिक वारसा

RFC 2865 मध्ये प्रमाणित केलेला RADIUS (रिमोट ऑथेंटिकेशन डायल-इन युजर सर्व्हिस), अशा युगात डिझाइन केला गेला होता जेव्हा नेटवर्क सुरक्षेच्या आवश्यकता मूलभूतपणे भिन्न होत्या. हा प्रोटोकॉल UDP वर चालतो आणि मेसेज इंटिग्रिटी प्रदान करण्यासाठी RADIUS क्लायंट (सामान्यतः ॲक्सेस पॉइंट किंवा नेटवर्क ॲक्सेस सर्व्हर) आणि RADIUS सर्व्हर यांच्यात शेअर्ड सिक्रेट वापरतो. विशेषतः, सर्व्हर रिस्पॉन्स Response Authenticator नावाच्या रचनेचा वापर करून 'ऑथेंटिकेट' केले जातात, ज्याची गणना खालीलप्रमाणे केली जाते:

MD5(Code || ID || Length || RequestAuthenticator || Attributes || SharedSecret)

ही रचना कधीही योग्य मेसेज ऑथेंटिकेशन कोड (MAC) नव्हती. हे HMAC च्या आधीचे आहे, जे 1997 मध्ये केवळ कच्च्या हॅश-आधारित MAC च्या कमकुवतपणा दूर करण्यासाठी प्रमाणित केले गेले होते. जेव्हा HMAC सादर केले गेले तेव्हा किंवा 2004 मध्ये जेव्हा MD5 कोलिजन पहिल्यांदा प्रदर्शित केले गेले तेव्हा RADIUS स्पेसिफिकेशन अपडेट केले गेले नाही. हे आर्किटेक्चरल कर्ज आता एक गंभीर दायित्व बनले आहे.

Blast-RADIUS अटॅक मेकॅनिक्स

Blast-RADIUS अटॅक (CVE-2024-3596) तीन घटकांना एकत्र करतो: RADIUS त्याचा Response Authenticator कसा तयार करतो यामधील प्रोटोकॉल-स्तरीय असुरक्षितता, एक MD5 चोझन-प्रिफिक्स कोलिजन तंत्र, आणि कोलिजन गणनेमध्ये लक्षणीय गती सुधारणा ज्यामुळे रिअल-टाइम नेटवर्क इंटरसेप्शन परिस्थितीमध्ये हा हल्ला व्यावहारिक बनतो.

हा हल्ला खालीलप्रमाणे पुढे जातो. एक MitM अटॅकर RADIUS क्लायंटकडून सर्व्हरला पाठवलेला Access-Request पॅकेट इंटरसेप्ट करतो. अटॅकर या विनंतीमध्ये एक दुर्भावनापूर्ण ॲट्रिब्युट इंजेक्ट करतो — एक काळजीपूर्वक तयार केलेला पेलोड जो कायदेशीर सर्व्हर रिस्पॉन्सच्या MD5 हॅश आणि अटॅकरच्या इच्छित बनावट रिस्पॉन्सच्या MD5 हॅशमध्ये कोलिजन (टक्कर) घडवून आणेल. जेव्हा सर्व्हर Access-Reject (अयशस्वी ऑथेंटिकेशन) परत करतो, तेव्हा अटॅकर वैध Access-Accept पॅकेट तयार करण्यासाठी पूर्व-गणित कोलिजन वापरतो, ज्यामध्ये एक Response Authenticator असतो जो RADIUS क्लायंट अस्सल म्हणून स्वीकारेल. अटॅकरला शेअर्ड सिक्रेट किंवा वापरकर्त्याचे क्रेडेंशियल्स माहीत असण्याची आवश्यकता नाही.

बोस्टन युनिव्हर्सिटी, UC सॅन दिएगो, CWI ॲमस्टरडॅम आणि मायक्रोसॉफ्टच्या संशोधकांनी हे दाखवून दिले की ऑप्टिमाइझ केलेल्या अल्गोरिदमसह, या हल्ल्यासाठी आवश्यक असलेले MD5 चोझन-प्रिफिक्स कोलिजन कमोडिटी हार्डवेअरवर पाच मिनिटांपेक्षा कमी वेळेत मोजले जाऊ शकते. यामुळे RADIUS क्लायंट आणि सर्व्हरमधील नेटवर्क पाथमध्ये प्रवेश असलेल्या दृढनिश्चयी शत्रूसाठी हा हल्ला ऑपरेशनलदृष्ट्या व्यवहार्य बनतो.

प्रभावित ऑथेंटिकेशन मोड्स

ही असुरक्षितता नॉन-EAP ऑथेंटिकेशन पद्धती वापरणाऱ्या सर्व RADIUS/UDP डिप्लॉयमेंट्सवर परिणाम करते. खालील तक्ता ऑथेंटिकेशन मोडनुसार एक्सपोजरचा सारांश देतो:

ऑथेंटिकेशन मोड	प्रोटोकॉल	Blast-RADIUS ला असुरक्षित आहे का?	नोंदी
PAP	पासवर्ड ऑथेंटिकेशन प्रोटोकॉल	होय	लेगसी डिप्लॉयमेंट्समध्ये सर्वाधिक सामान्य
CHAP	चॅलेंज हँडशेक ऑथेंटिकेशन प्रोटोकॉल	होय	PAP पेक्षा थोडे मजबूत, तरीही असुरक्षित
MS-CHAP / MS-CHAPv2	मायक्रोसॉफ्ट CHAP	होय	विंडोज वातावरणात सामान्य
EAP-MD5	MD5 सह EAP	होय	नाकारलेले; पूर्णपणे टाळा
PEAP (MSCHAPv2 इनर)	प्रोटेक्टेड EAP	नाही (EAP टनेल संरक्षण करते)	योग्य सर्व्हर सर्टिफिकेट व्हॅलिडेशन आवश्यक
EAP-TLS	TLS सह EAP	नाही	शिफारस केलेले सुवर्ण मानक
EAP-TTLS	EAP टनेल्ड TLS	नाही	स्वीकार्य पर्याय

महत्त्वाचा फरक हा आहे की EAP-आधारित पद्धती ऑथेंटिकेशनसाठी स्वतःचे क्रिप्टोग्राफिक टनेल स्थापित करतात, जे MD5 Response Authenticator वर अवलंबून नसते. यामुळे ते विशिष्ट Blast-RADIUS अटॅक व्हेक्टरपासून सुरक्षित राहतात.

VLAN सेगमेंटेशन पुरेसे का नाही

एक सामान्य गैरसमज असा आहे की RADIUS ट्रॅफिकला समर्पित मॅनेजमेंट VLAN मध्ये वेगळे केल्याने पुरेसे संरक्षण मिळते. नेटवर्क सेगमेंटेशन ही एक उत्तम सुरक्षा पद्धत असली तरी, ती Blast-RADIUS चा धोका दूर करत नाही. ज्या अटॅकरने मॅनेजमेंट नेटवर्कवरील डिव्हाइसशी आधीच तडजोड केली आहे — फिशिंग अटॅक, सप्लाय-चेन तडजोड किंवा इतर असुरक्षिततेचा फायदा घेऊन — तो स्वतःला RADIUS ट्रॅफिक पाथवर MitM म्हणून स्थापित करू शकतो. या हल्ल्यासाठी केवळ नेटवर्क-पाथ ॲक्सेस आवश्यक आहे, बाह्य इंटरनेट ॲक्सेस नाही. सेगमेंटेशन अटॅक सरफेस कमी करते परंतु मूळ क्रिप्टोग्राफिक कमकुवतपणा दूर करत नाही.

अंमलबजावणी मार्गदर्शक

टप्पा 1: तात्काळ सुरक्षा बळकटीकरण (आठवडे 1–2)

पहिली प्राथमिकता सर्व RADIUS इन्फ्रास्ट्रक्चरवर CVE-2024-3596 साठी व्हेंडर पॅचेस लागू करणे ही आहे. सिस्को ISE, मायक्रोसॉफ्ट NPS, FreeRADIUS, ज्युनिपर, अरुबा आणि रुकस यासह सर्व प्रमुख व्हेंडर्सनी अपडेट्स जारी केले आहेत. पॅचिंगसोबतच, सर्व RADIUS क्लायंट्स आणि सर्व्हर्सवर Message-Authenticator ॲट्रिब्युट लागू करणे हा एक महत्त्वाचा कॉन्फिगरेशन बदल आहे.

Message-Authenticator ॲट्रिब्युट (RFC 2869 मध्ये परिभाषित) संपूर्ण RADIUS पॅकेटवर HMAC-MD5 इंटिग्रिटी चेक प्रदान करते. Response Authenticator च्या विपरीत, ही रचना चोझन-प्रिफिक्स कोलिजन अटॅकला असुरक्षित नाही कारण HMAC रचना हॅशला शेअर्ड सिक्रेटशी अशा प्रकारे बांधते की अटॅकरला वैध बनावटगिरी करण्यापासून प्रतिबंधित करते. क्लायंट्स आणि सर्व्हर्सना या ॲट्रिब्युटची आवश्यकता असण्यासाठी कॉन्फिगर करणे — आणि ज्या मेसेजमध्ये ते समाविष्ट नाही तो नाकारणे — तात्काळ अटॅक व्हेक्टर बंद करते.

FreeRADIUS साठी, यामध्ये clients.conf फाइलमध्ये require_message_authenticator = yes सेट करणे समाविष्ट आहे. मायक्रोसॉफ्ट NPS साठी, समतुल्य धोरण नेटवर्क पॉलिसी सेटिंग्जद्वारे लागू केले जाते. सिस्को ISE साठी, हे सेटिंग ऑथेंटिकेशन पॉलिसी अंतर्गत RADIUS क्लायंट कॉन्फिगरेशनमध्ये उपलब्ध आहे. अचूक कॉन्फिगरेशन चरणांसाठी CVE-2024-3596 साठी तुमच्या व्हेंडरच्या विशिष्ट ॲडव्हायझरीचा सल्ला घ्या.

टप्पा 2: ऑथेंटिकेशन आधुनिकीकरण (महिने 1–3)

मध्यम-मुदतीचे उद्दिष्ट लेगसी PAP/CHAP मोड्सवरून EAP-आधारित पद्धतींवर WiFi ऑथेंटिकेशन स्थलांतरित करणे हे आहे. एंटरप्राइझ WiFi वातावरणासाठी, शिफारस केलेला मार्ग EAP-TLS सह WPA3-Enterprise हा आहे. यासाठी डिव्हाइस आणि/किंवा युजर सर्टिफिकेट्स जारी करण्यासाठी पब्लिक की इन्फ्रास्ट्रक्चर (PKI) डिप्लॉय करणे, ही सर्टिफिकेट्स प्रमाणित करण्यासाठी तुमचा RADIUS सर्व्हर कॉन्फिगर करणे आणि योग्य सर्टिफिकेट्स आणि RADIUS सर्व्हर ट्रस्ट अँकर्ससह क्लायंट डिव्हाइसेस प्रोव्हिजन करणे आवश्यक आहे.

ज्या वातावरणात सर्टिफिकेट डिप्लॉयमेंट गुंतागुंतीचे आहे — जसे की उच्च डिव्हाइस टर्नओव्हर किंवा BYOD धोरणे असलेली ठिकाणे — तेथे MSCHAPv2 सह PEAP एक स्वीकार्य अंतरिम पाऊल प्रदान करते, बशर्ते क्लायंट्स RADIUS सर्व्हर सर्टिफिकेट प्रमाणित करण्यासाठी कॉन्फिगर केलेले असावेत. सर्व्हर सर्टिफिकेट व्हॅलिडेशनशिवाय, PEAP रोग ॲक्सेस पॉइंट अटॅक्सना असुरक्षित आहे. नेटवर्कवर सातत्यपूर्ण ऑथेंटिकेशन पॉलिसी सुनिश्चित करण्यासाठी वायर्ड इन्फ्रास्ट्रक्चरवर एकाच वेळी IEEE 802.1X पोर्ट-आधारित ॲक्सेस कंट्रोल लागू केले जावे.

टप्पा 3: ट्रान्सपोर्ट लेयर सिक्युरिटी (महिने 3–12)

दीर्घकालीन आर्किटेक्चरल उद्दिष्ट हे सर्व RADIUS ट्रॅफिकला RADIUS over TLS (RADSEC) वापरून TLS टनेलमध्ये एन्कॅप्स्युलेट करणे आहे, जे RFC 6614 मध्ये प्रमाणित आहे. RADSEC UDP ला TCP ने बदलते आणि संपूर्ण RADIUS सेशनला परस्पर ऑथेंटिकेट केलेल्या TLS कनेक्शनमध्ये गुंडाळते. हे सर्व ऑथेंटिकेशन ट्रॅफिकसाठी कॉन्फिडेन्शियलिटी, इंटिग्रिटी आणि रिप्ले प्रोटेक्शन प्रदान करते, ज्यामुळे MD5 Response Authenticator अप्रासंगिक ठरतो कारण ट्रान्सपोर्ट लेयर स्वतःच क्रिप्टोग्राफिकदृष्ट्या सुरक्षित असतो.

RADSEC विशेषतः वितरित डिप्लॉयमेंट्समध्ये मौल्यवान आहे — जसे की हॉटेल चेन्स, रिटेल नेटवर्क्स किंवा स्टेडियम वातावरण — जेथे RADIUS ट्रॅफिक मध्यवर्ती नेटवर्क सेगमेंट्समधून जाऊ शकते. IETF सध्या RADIUS over TLS आणि DTLS ला स्टँडर्ड्स-ट्रॅक स्थितीत प्रगत करत आहे, जे संवेदनशील डिप्लॉयमेंट्ससाठी RADIUS/UDP नाकारले जावे या उद्योग सहमतीचे प्रतिबिंबित करते.

सर्वोत्तम पद्धती

खालील व्हेंडर-न्यूट्रल सर्वोत्तम पद्धती एंटरप्राइझ WiFi ऑथेंटिकेशन सुरक्षेसाठी वर्तमान उद्योग मानके आणि नियामक मार्गदर्शनाचे प्रतिबिंबित करतात.

Message-Authenticator सार्वत्रिकपणे लागू करा. तुमच्या इस्टेटमधील प्रत्येक RADIUS क्लायंट आणि सर्व्हर Message-Authenticator ॲट्रिब्युट पाठवण्यासाठी आणि आवश्यक करण्यासाठी कॉन्फिगर केलेला असावा. आज उपलब्ध असलेली ही सर्वात जास्त-प्रभावी, सर्वात कमी-व्यत्यय आणणारी कृती आहे. Blast-RADIUS संशोधन टीमच्या मार्गदर्शनानुसार, हे ॲट्रिब्युट Access-Accept आणि Access-Reject रिस्पॉन्समध्ये पहिले ॲट्रिब्युट म्हणून दिसले पाहिजे.

ऑथेंटिकेशन मानक म्हणून EAP-TLS चा अवलंब करा. EAP-TLS सह IEEE 802.1X परस्पर सर्टिफिकेट-आधारित ऑथेंटिकेशन प्रदान करते जे Blast-RADIUS अटॅक क्लासपासून सुरक्षित आहे आणि वायरलेस नेटवर्क ॲक्सेसमधील EAP पद्धतींसाठी NIST SP 800-120 शिफारसींशी संरेखित आहे. WPA3-Enterprise सर्वोच्च सुरक्षा स्तरासाठी EAP-TLS सह 192-बिट सुरक्षा मोड अनिवार्य करते.

RADIUS शेअर्ड सिक्रेट्स नियमितपणे रोटेट करा. Blast-RADIUS अटॅकला शेअर्ड सिक्रेटच्या ज्ञानाची आवश्यकता नसली तरी, मजबूत, युनिक शेअर्ड सिक्रेट्स (किमान 32 अक्षरे, यादृच्छिकपणे व्युत्पन्न) इतर अटॅक क्लासेसचा धोका कमी करतात. सिक्रेट्स किमान वार्षिक आणि कोणत्याही संशयित तडजोडीवर त्वरित रोटेट केले जावेत.

RADIUS अकाउंटिंग आणि ॲनोमली मॉनिटरिंग लागू करा. RADIUS अकाउंटिंग लॉग्स ऑथेंटिकेशन इव्हेंट्सचा ऑडिट ट्रेल प्रदान करतात. विसंगत पॅटर्नसाठी मॉनिटरिंग — जसे की अनपेक्षित डिव्हाइस प्रकार, MAC ॲड्रेसेसवरून किंवा असामान्य वेळी यशस्वी ऑथेंटिकेशन्स — शोषणाची पूर्व चेतावणी देऊ शकतात. स्वयंचलित अलर्टिंगसाठी तुमच्या SIEM सह RADIUS अकाउंटिंग इंटिग्रेट करा.

RADIUS ट्रॅफिक सेगमेंट करा. हे संपूर्ण शमन नसले तरी, कठोर ACLs सह समर्पित मॅनेजमेंट VLAN मध्ये RADIUS ट्रॅफिक ठेवल्याने MitM पिव्होट पॉइंट म्हणून वापरल्या जाऊ शकणाऱ्या डिव्हाइसेसची संख्या कमी होते. केवळ अधिकृत डिव्हाइसेस RADIUS सर्व्हरपर्यंत पोहोचू शकतील याची खात्री करण्यासाठी नेटवर्क ॲक्सेस कंट्रोलसह एकत्र करा.

PCI DSS आवश्यकतांशी संरेखित करा. PCI DSS v4.0 आवश्यकता 8.6 सर्व खात्यांसाठी मजबूत ऑथेंटिकेशन अनिवार्य करते. आवश्यकता 1.3 ला नेटवर्क सेगमेंटेशन कंट्रोल्स आवश्यक आहेत. पेमेंट कार्ड डेटावर प्रक्रिया करणाऱ्या संस्थांनी त्यांचे WiFi ऑथेंटिकेशन आर्किटेक्चर या आवश्यकता पूर्ण करत असल्याची खात्री करणे आवश्यक आहे आणि Blast-RADIUS असुरक्षितता थेट व्याप्तीमधील कोणत्याही नेटवर्क सेगमेंटसाठी कंप्लायन्स स्थितीवर परिणाम करते.

ट्रबलशूटिंग आणि रिस्क मिटिगेशन

हार्डनिंग दरम्यान सामान्य अपयश मोड

Message-Authenticator लागू करताना सर्वात वारंवार येणारी समस्या म्हणजे लेगसी डिव्हाइस विसंगतता. जुने ॲक्सेस पॉइंट्स, स्विचेस किंवा VPN कॉन्सन्ट्रेटर्स ॲट्रिब्युटला सपोर्ट करत नसतील, ज्यामुळे सर्व्हरला त्याची आवश्यकता असल्यावर ऑथेंटिकेशन अपयशी ठरते. शिफारस केलेला दृष्टिकोन म्हणजे सर्व्हर-साइड आवश्यकता लागू करण्यापूर्वी सर्व RADIUS क्लायंट्सचे ऑडिट करणे आणि फर्मवेअर अपडेट्स किंवा रिप्लेसमेंट आवश्यक असलेल्या डिव्हाइसेसची यादी राखणे.

EAP-TLS मायग्रेशन दरम्यान दुसरी सामान्य समस्या म्हणजे सर्टिफिकेट व्हॅलिडेशन फेल्युअर्स. जर क्लायंट डिव्हाइसेस योग्य RADIUS सर्व्हर सर्टिफिकेट ट्रस्ट अँकरसह प्रोव्हिजन केलेले नसतील, तर ते सर्व्हर सर्टिफिकेट नाकारतील आणि ऑथेंटिकेशन अपयशी ठरतील. हे विशेषतः BYOD वातावरणात प्रचलित आहे. सर्टिफिकेट प्रोफाइल्स पुश करण्यासाठी मोबाइल डिव्हाइस मॅनेजमेंट (MDM) सोल्यूशन डिप्लॉय करणे हा मानक उपाय आहे.

RADSEC मायग्रेशन दरम्यान शेअर्ड सिक्रेट मिसमॅचेस उद्भवू शकतात जर TLS सर्टिफिकेट कॉमन नेम अपेक्षित क्लायंट आयडेंटिफायरशी जुळत नसेल. सर्टिफिकेट सब्जेक्ट नेम्स सर्व्हरवर कॉन्फिगर केलेल्या RADIUS क्लायंट IP ॲड्रेसेस किंवा होस्टनेम्सशी सुसंगत असल्याची खात्री करा.

तात्काळ पॅच करू न शकणाऱ्या वातावरणासाठी रिस्क मिटिगेशन

ज्या वातावरणात तात्काळ पॅचिंग शक्य नाही — जसे की लेगसी इंडस्ट्रियल कंट्रोल सिस्टीम्स किंवा एम्बेडेड नेटवर्क डिव्हाइसेस — तेथे कठोर नेटवर्क ॲक्सेस कंट्रोल्स लागू करून धोका अंशतः कमी केला जाऊ शकतो जे कोणते होस्ट RADIUS सर्व्हरशी संवाद साधू शकतात हे मर्यादित करतात, ज्यामुळे MitM अटॅकरला ट्रॅफिक इंटरसेप्ट करण्याची संधी कमी होते. हा केवळ एक तात्पुरता उपाय आहे; पॅचिंग आणि रिप्लेसमेंट रोडमॅप स्थापित करणे आवश्यक आहे.

ROI आणि व्यावसायिक प्रभाव

धोक्याचे प्रमाण ठरवणे

जेव्हा ब्रीच कॉस्ट आणि कंप्लायन्स दायित्वाच्या संदर्भात फ्रेम केले जाते तेव्हा RADIUS हार्डनिंगसाठी बिझनेस केस सरळ असते. हॉटेल किंवा रिटेल वातावरणात यशस्वी Blast-RADIUS एक्सप्लॉइट अटॅकरला कॉर्पोरेट नेटवर्कमध्ये प्रवेश देऊ शकतो, संभाव्यतः पॉइंट-ऑफ-सेल सिस्टीम्स, अतिथी डेटा रिपॉझिटरीज आणि बॅक-ऑफिस इन्फ्रास्ट्रक्चरपर्यंत पोहोचू शकतो. उद्योग बेंचमार्क्सनुसार, हॉस्पिटॅलिटी क्षेत्रात डेटा ब्रीचची सरासरी किंमत £3 दशलक्ष पेक्षा जास्त आहे, ज्यामध्ये GDPR अंतर्गत नियामक दंड संभाव्यतः जागतिक वार्षिक उलाढालीच्या 4% पर्यंत वाढू शकतो.

PCI DSS च्या व्याप्तीतील संस्थांसाठी, नेटवर्क ऑथेंटिकेशन अपयश ज्यामुळे कार्डहोल्डर डेटा उघड होतो, अनिवार्य फॉरेन्सिक तपासणी, कार्ड ब्रँड दंड आणि कार्ड प्रोसेसिंग विशेषाधिकार गमावण्याची शक्यता निर्माण करू शकते — हे खर्च EAP-TLS आणि RADSEC लागू करण्यासाठी आवश्यक असलेल्या गुंतवणुकीपेक्षा खूप जास्त आहेत.

अंमलबजावणी खर्च बेंचमार्क्स

खालील तक्ता सामान्य व्हेन्यू वातावरणातील तीन-टप्प्यांच्या हार्डनिंग रोडमॅपसाठी सूचक खर्च आणि प्रयत्नांचा अंदाज प्रदान करतो:

टप्पा	कृती	अंदाजित प्रयत्न	अंदाजित खर्च	धोका कमी करणे
टप्पा 1	पॅच + Message-Authenticator लागू करा	1–3 दिवस (IT टीम)	केवळ कर्मचाऱ्यांचा वेळ	उच्च (तात्काळ CVE बंद करते)
टप्पा 2	EAP-TLS / WPA3-Enterprise मायग्रेशन	2–6 आठवडे	PKI + MDM लायसन्सिंग	अतिशय उच्च
टप्पा 3	RADSEC डिप्लॉयमेंट	4–12 आठवडे	इन्फ्रास्ट्रक्चर अपग्रेड्स	सर्वसमावेशक

सुरक्षेच्या पलीकडे ऑपरेशनल फायदे

EAP-TLS आणि RADSEC कडे स्थलांतर केल्याने सुरक्षा बळकटीकरणाच्या पलीकडे ऑपरेशनल फायदे मिळतात. सर्टिफिकेट-आधारित ऑथेंटिकेशन मोठ्या डिव्हाइस फ्लीट्सवर शेअर्ड पासवर्ड्स व्यवस्थापित आणि रोटेट करण्याचा ऑपरेशनल ओव्हरहेड दूर करते. WPA3-Enterprise दाट वातावरणात कनेक्शनची विश्वासार्हता सुधारते — स्टेडियम्स आणि कॉन्फरन्स सेंटर्ससाठी एक मोजता येण्याजोगा फायदा जेथे शेकडो डिव्हाइसेस ऑथेंटिकेशनसाठी स्पर्धा करतात. RADSEC चे TCP ट्रान्सपोर्ट उच्च-लेटन्सी किंवा लॉसी नेटवर्क स्थितीत UDP पेक्षा चांगली विश्वासार्हता प्रदान करते, ज्यामुळे अंतिम वापरकर्त्यांसाठी ऑथेंटिकेशन अनुभव सुधारतो.

महत्वाच्या व्याख्या

RADIUS (रिमोट ऑथेंटिकेशन डायल-इन युजर सर्व्हिस)

एक क्लायंट-सर्व्हर नेटवर्किंग प्रोटोकॉल (RFC 2865) जो नेटवर्कशी कनेक्ट होणाऱ्या वापरकर्त्यांसाठी केंद्रीकृत ऑथेंटिकेशन, ऑथरायझेशन आणि अकाउंटिंग (AAA) प्रदान करतो. RADIUS क्लायंट्स (ॲक्सेस पॉइंट्स, स्विचेस, VPN कॉन्सन्ट्रेटर्स) मध्यवर्ती RADIUS सर्व्हरकडे ऑथेंटिकेशन विनंत्या फॉरवर्ड करतात, जो क्रेडेंशियल्स प्रमाणित करतो आणि Access-Accept किंवा Access-Reject रिस्पॉन्स परत करतो.

IT टीम्सना एंटरप्राइझ WiFi (802.1X), VPN ॲक्सेस आणि नेटवर्क डिव्हाइस ॲडमिनिस्ट्रेशनसाठी ऑथेंटिकेशन बॅकबोन म्हणून RADIUS चा सामना करावा लागतो. त्याचे वय आणि आर्किटेक्चरल मर्यादा आता CVE-2024-3596 अंतर्गत थेट सुरक्षा दायित्व आहेत.

MD5 चोझन-प्रिफिक्स कोलिजन अटॅक

MD5 हॅश फंक्शन विरुद्ध एक क्रिप्टोग्राफिक हल्ला ज्यामध्ये अटॅकर समान MD5 हॅशसह दोन भिन्न मेसेजेस तयार करतो, जेथे दोन्ही मेसेजेस अटॅकरने निवडलेल्या प्रिफिक्ससह सुरू होतात. हे मानक कोलिजन अटॅकपेक्षा अधिक शक्तिशाली आहे कारण अटॅकर दोन्ही कोलायडिंग मेसेजेसच्या अर्थपूर्ण सामग्रीवर नियंत्रण ठेवू शकतो.

हे Blast-RADIUS मध्ये वापरले जाणारे विशिष्ट अटॅक तंत्र आहे. अटॅकर याचा वापर RADIUS Response Authenticator तयार करण्यासाठी करतो जो क्लायंट अस्सल म्हणून स्वीकारेल, जरी रिस्पॉन्स सामग्री Access-Reject वरून Access-Accept मध्ये बदलली गेली असली तरीही.

Response Authenticator

RADIUS रिस्पॉन्स पॅकेट्स (Access-Accept, Access-Reject, Access-Challenge) मधील 16-बाइट फील्ड ज्याची गणना MD5(Code || ID || Length || RequestAuthenticator || Attributes || SharedSecret) म्हणून केली जाते. हे सर्व्हर रिस्पॉन्सची इंटिग्रिटी सत्यापित करण्याच्या उद्देशाने आहे परंतु ते योग्य क्रिप्टोग्राफिक MAC नाही आणि Blast-RADIUS अटॅकला असुरक्षित आहे.

नेटवर्क आर्किटेक्ट्सना हे समजून घेणे आवश्यक आहे की Response Authenticator हे विशिष्ट फील्ड आहे जे Blast-RADIUS अटॅकमध्ये बनावट बनवले जात आहे. Message-Authenticator ॲट्रिब्युट लागू केल्याने एक मजबूत इंटिग्रिटी चेक मिळतो जो समान कोलिजन तंत्राला असुरक्षित नाही.

Message-Authenticator ॲट्रिब्युट

एक RADIUS ॲट्रिब्युट (ॲट्रिब्युट 80, RFC 2869 मध्ये परिभाषित) जे सर्व ॲट्रिब्युट्ससह संपूर्ण RADIUS पॅकेटवर HMAC-MD5 इंटिग्रिटी चेक प्रदान करते. Response Authenticator च्या विपरीत, HMAC रचना इंटिग्रिटी चेकला शेअर्ड सिक्रेटशी अशा प्रकारे बांधते की चोझन-प्रिफिक्स कोलिजन बनावटगिरीला प्रतिबंधित करते.

सर्व RADIUS क्लायंट्स आणि सर्व्हर्सवर Message-Authenticator ॲट्रिब्युट लागू करणे हे CVE-2024-3596 साठी प्राथमिक अल्प-मुदतीचे शमन आहे. IT टीम्सनी कोणताही रिस्पॉन्स स्वीकारण्यापूर्वी सर्व RADIUS इन्फ्रास्ट्रक्चर पॅच केलेले आहे आणि या ॲट्रिब्युटची आवश्यकता असण्यासाठी कॉन्फिगर केलेले आहे याची पडताळणी केली पाहिजे.

EAP-TLS (एक्स्टेन्सिबल ऑथेंटिकेशन प्रोटोकॉल – ट्रान्सपोर्ट लेयर सिक्युरिटी)

एक EAP पद्धत (RFC 5216) जी क्लायंट आणि RADIUS सर्व्हर दरम्यान परस्पर सर्टिफिकेट-आधारित ऑथेंटिकेशनसाठी TLS वापरते. दोन्ही पक्षांनी विश्वसनीय सर्टिफिकेट ऑथॉरिटीकडून वैध डिजिटल सर्टिफिकेट्स सादर करणे आवश्यक आहे. हे Blast-RADIUS अटॅकला सुरक्षित आहे आणि एंटरप्राइझ WiFi ऑथेंटिकेशनसाठी शिफारस केलेले सुवर्ण मानक आहे.

CTOs आणि नेटवर्क आर्किटेक्ट्सनी सर्व एंटरप्राइझ WiFi ऑथेंटिकेशनसाठी EAP-TLS ला टार्गेट स्टेट मानले पाहिजे. यासाठी PKI इन्फ्रास्ट्रक्चर आवश्यक आहे परंतु ते शेअर्ड सिक्रेट्स, पासवर्ड-आधारित हल्ले आणि MD5 असुरक्षितता क्लास पूर्णपणे काढून टाकते.

RADSEC (RADIUS over TLS)

एक प्रोटोकॉल एक्स्टेन्शन (RFC 6614) जे पारंपारिक UDP ट्रान्सपोर्ट बदलून TCP वरील परस्पर ऑथेंटिकेट केलेल्या TLS सेशनमध्ये RADIUS मेसेजेस एन्कॅप्स्युलेट करते. RADSEC सर्व RADIUS ट्रॅफिकसाठी कॉन्फिडेन्शियलिटी, इंटिग्रिटी आणि रिप्ले प्रोटेक्शन प्रदान करते, ज्यामुळे Blast-RADIUS सारखे ट्रान्सपोर्ट-लेयर अटॅक्स अशक्य होतात.

RADSEC हे RADIUS सुरक्षेसाठी दीर्घकालीन आर्किटेक्चरल सोल्यूशन आहे. हे विशेषतः वितरित डिप्लॉयमेंट्समध्ये (हॉटेल चेन्स, रिटेल नेटवर्क्स) मौल्यवान आहे जेथे RADIUS ट्रॅफिक एकाधिक नेटवर्क सेगमेंट्समधून जाते. सिस्को, ज्युनिपर, अरुबा आणि FreeRADIUS सह व्हेंडर्स RADSEC ला सपोर्ट करतात.

IEEE 802.1X

पोर्ट-आधारित नेटवर्क ॲक्सेस कंट्रोल (PNAC) साठी एक IEEE मानक जे LAN किंवा WLAN शी कनेक्ट होऊ इच्छिणाऱ्या डिव्हाइसेससाठी ऑथेंटिकेशन मेकॅनिझम प्रदान करते. हे ऑथेंटिकेशन फ्रेमवर्क म्हणून EAP आणि बॅकएंड ऑथेंटिकेशन सर्व्हर म्हणून RADIUS वापरते. 802.1X हे सुनिश्चित करते की केवळ ऑथेंटिकेट केलेले डिव्हाइसेस नेटवर्क संसाधनांमध्ये प्रवेश करू शकतात.

802.1X ही फ्रेमवर्क आहे ज्यामध्ये RADIUS आणि EAP एंटरप्राइझ WiFi साठी कार्य करतात. WPA2/WPA3-Enterprise डिप्लॉय करणारे IT मॅनेजर्स 802.1X डिप्लॉय करत आहेत. ऑथेंटिकेशन पॉलिसीज कॉन्फिगर करण्यासाठी आणि ॲक्सेस समस्यांचे ट्रबलशूटिंग करण्यासाठी हा संबंध समजून घेणे आवश्यक आहे.

WPA3-Enterprise

Wi-Fi Protected Access 3 (WPA3) सुरक्षा मानकाचा एंटरप्राइझ प्रकार, जो 802.1X ऑथेंटिकेशन अनिवार्य करतो आणि त्याच्या सर्वोच्च सुरक्षा मोडमध्ये (192-बिट), 384-बिट इलिप्टिक कर्व्ह सायफर सूटसह EAP-TLS आवश्यक आहे. WPA3-Enterprise WPA2-Enterprise पेक्षा लक्षणीयरीत्या मजबूत सुरक्षा हमी प्रदान करते आणि योग्यरित्या कॉन्फिगर केल्यावर Blast-RADIUS अटॅकला सुरक्षित असते.

नवीन WiFi डिप्लॉयमेंट्स किंवा प्रमुख इन्फ्रास्ट्रक्चर रिफ्रेशची योजना आखणाऱ्या नेटवर्क आर्किटेक्ट्सनी किमान सुरक्षा मानक म्हणून WPA3-Enterprise निर्दिष्ट केले पाहिजे. हे 2020 नंतर उत्पादित सर्व आधुनिक ॲक्सेस पॉइंट्स आणि क्लायंट डिव्हाइसेसद्वारे समर्थित आहे.

मॅन-इन-द-मिडल (MitM) अटॅक

एक हल्ला ज्यामध्ये शत्रू गुप्तपणे दोन पक्षांमधील संवाद इंटरसेप्ट करतो आणि संभाव्यतः बदलतो जे एकमेकांशी थेट संवाद साधत आहेत असे मानतात. Blast-RADIUS च्या संदर्भात, MitM RADIUS क्लायंट (ॲक्सेस पॉइंट) आणि RADIUS सर्व्हरच्या मध्ये स्थित असतो, ज्यामुळे त्यांना ऑथेंटिकेशन रिस्पॉन्स इंटरसेप्ट आणि बनावट करण्यास सक्षम करते.

Blast-RADIUS अटॅकसाठी MitM पोझिशनिंग आवश्यक आहे. हे शेअर्ड नेटवर्क सेगमेंटवर ARP स्पूफिंग, इंटरमीडिएट नेटवर्क डिव्हाइसची तडजोड किंवा नेटवर्क इन्फ्रास्ट्रक्चरमध्ये भौतिक प्रवेशाद्वारे साध्य करण्यायोग्य आहे. हे थ्रेट मॉडेल समजून घेतल्याने IT टीम्सना RADIUS-विशिष्ट शमनांसोबत नेटवर्क सेगमेंटेशन आणि डिव्हाइस हार्डनिंगला प्राधान्य देण्यास मदत होते.

सोडवलेली उदाहरणे

12 प्रॉपर्टीज असलेली 350-खोल्यांची लक्झरी हॉटेल चेन स्टाफ WiFi साठी RADIUS सर्व्हर म्हणून मायक्रोसॉफ्ट NPS सह सिस्को मेराकी ॲक्सेस पॉइंट्स चालवत आहे. ऑथेंटिकेशन MSCHAPv2 द्वारे आहे. IT डायरेक्टरला CVE-2024-3596 बद्दल सतर्क केले गेले आहे आणि 24/7 हॉटेल ऑपरेशन्समध्ये व्यत्यय न आणता एक्सपोजरचे मूल्यांकन करणे आणि उपाययोजना लागू करणे आवश्यक आहे.

मायक्रोसॉफ्ट NPS मध्ये Message-Authenticator एन्फोर्समेंट पॅच (जुलै 2024 मध्ये जारी) समाविष्ट करण्यासाठी अपडेट केले आहे याची खात्री करणे ही तात्काळ प्राथमिकता आहे. NPS मध्ये, RADIUS Clients and Servers कॉन्फिगरेशनवर नेव्हिगेट करा आणि सर्व कॉन्फिगर केलेल्या RADIUS क्लायंट्ससाठी 'Require Message-Authenticator' सेटिंग सक्षम करा. मेराकी बाजूला, Access-Request पॅकेट्समध्ये Message-Authenticator ॲट्रिब्युट पाठवण्यास फर्मवेअर आवृत्ती सपोर्ट करते याची खात्री करा — मेराकीने Q3 2024 मध्ये CVE-2024-3596 चे निराकरण करणारे फर्मवेअर अपडेट जारी केले. हा कॉन्फिगरेशन बदल कमी-ट्रॅफिक विंडो दरम्यान (सामान्यतः स्थानिक वेळेनुसार 03:00–05:00) अतिथींवर कमीतकमी प्रभाव पाडून डिप्लॉय केला जाऊ शकतो, कारण तो केवळ स्टाफ ऑथेंटिकेशनवर परिणाम करतो. एकदा टप्पा 1 स्थिर झाल्यावर, MSCHAPv2 वरून EAP-TLS कडे स्थलांतर करण्याची योजना आखा. ग्रुप पॉलिसीद्वारे सर्व स्टाफ डिव्हाइसेसना कॉम्प्युटर सर्टिफिकेट्स जारी करण्यासाठी मायक्रोसॉफ्ट ॲक्टिव्ह डिरेक्टरी सर्टिफिकेट सर्व्हिसेस (ADCS) PKI डिप्लॉय करा. EAP-TLS नेटवर्क पॉलिसीसह NPS कॉन्फिगर करा आणि मेराकी SSID सुरक्षा सेटिंग्ज EAP-TLS सह WPA2/WPA3-Enterprise वर अपडेट करा. सर्व व्यवस्थापित डिव्हाइसेसवर NPS सर्व्हर सर्टिफिकेट ट्रस्ट अँकर पुश करण्यासाठी मेराकीच्या सिस्टीम्स मॅनेजर MDM चा वापर करा. धोका व्यवस्थापित करण्यासाठी प्रॉपर्टी-बाय-प्रॉपर्टी रोल आउट करा, सर्वात कमी-ऑक्युपन्सी प्रॉपर्टीपासून सुरुवात करा.

परीक्षकाचे भाष्य: ही परिस्थिती बहुतांश मिड-मार्केट हॉस्पिटॅलिटी डिप्लॉयमेंट्सचे प्रतिनिधित्व करते. मुख्य अंतर्दृष्टी अशी आहे की MSCHAPv2 हा 'चॅलेंज-रिस्पॉन्स' प्रोटोकॉल असूनही Blast-RADIUS ला असुरक्षित आहे, कारण असुरक्षितता RADIUS ट्रान्सपोर्ट लेयरमध्ये आहे, इनर ऑथेंटिकेशन पद्धतीमध्ये नाही. 24/7 ऑपरेशन्ससाठी टप्प्याटप्प्याने रोलआउट दृष्टिकोन महत्त्वपूर्ण आहे — संपूर्ण चेनमध्ये एकाच वेळी स्थलांतर करण्याचा प्रयत्न केल्यास अस्वीकार्य ऑपरेशनल धोका निर्माण होतो. विद्यमान मायक्रोसॉफ्ट इन्फ्रास्ट्रक्चर (ADCS, ग्रुप पॉलिसी, NPS) चा वापर अतिरिक्त लायसन्सिंग खर्च कमी करतो. पर्याय — अंगभूत EAP-TLS सपोर्टसह क्लाउड-आधारित RADIUS सर्व्हिस डिप्लॉय करणे — विद्यमान PKI इन्फ्रास्ट्रक्चर नसलेल्या लहान चेन्ससाठी व्यवहार्य आहे परंतु ऑथेंटिकेशनसाठी इंटरनेट कनेक्टिव्हिटीवर अवलंबित्व निर्माण करते.

200 स्टोअर्स असलेली एक राष्ट्रीय रिटेल चेन तिच्या स्टोअर नेटवर्क इन्फ्रास्ट्रक्चरवर 802.1X ऑथेंटिकेशनसाठी केंद्रीकृत FreeRADIUS सर्व्हर वापरते. प्रत्येक स्टोअरमध्ये व्यवस्थापित कॉर्पोरेट डिव्हाइसेस (विंडोज लॅपटॉप्स, हँडहेल्ड स्कॅनर्स) आणि अव्यवस्थापित IoT डिव्हाइसेस (डिजिटल साइनेज, पेमेंट टर्मिनल्स) यांचे मिश्रण आहे. नेटवर्क टीमला पेमेंट कार्ड वातावरणासाठी PCI DSS कंप्लायन्स राखून Blast-RADIUS विरुद्ध सुरक्षा बळकट करणे आवश्यक आहे.

स्टोअर ॲक्सेस पॉइंट्स आणि मध्यवर्ती FreeRADIUS सर्व्हरमधील RADIUS ट्रॅफिक पेमेंट कार्ड डेटा एन्व्हायर्नमेंट (CDE) पासून वेगळे केले आहे याची खात्री करण्यासाठी नेटवर्क सेगमेंटेशन ऑडिटने सुरुवात करा. जर RADIUS ट्रॅफिक PCI DSS व्याप्तीमध्ये असलेल्या कोणत्याही सेगमेंटमधून जात असेल, तर याकडे प्राधान्याने लक्ष दिले पाहिजे. FreeRADIUS ला आवृत्ती 3.2.3 किंवा नंतरच्या आवृत्तीवर अपडेट करा, ज्यामध्ये Message-Authenticator एन्फोर्समेंट फिक्स समाविष्ट आहे. FreeRADIUS clients.conf फाइलमध्ये, सर्व स्टोअर RADIUS क्लायंट्ससाठी 'require_message_authenticator = yes' जोडा. व्यवस्थापित डिव्हाइस फ्लीटसाठी, विद्यमान PKI किंवा क्लाउड सर्टिफिकेट ऑथॉरिटी वापरून EAP-TLS डिप्लॉय करा. 802.1X ला सपोर्ट करू न शकणाऱ्या अव्यवस्थापित IoT डिव्हाइसेससाठी, CDE मध्ये लॅटरल मूव्हमेंट रोखणाऱ्या कठोर फायरवॉल नियमांसह वेगळ्या, आयसोलेटेड VLAN वर MAC ऑथेंटिकेशन बायपास (MAB) लागू करा. हे सुनिश्चित करते की जरी IoT डिव्हाइसचा MAC ॲड्रेस स्पूफ केला गेला तरी, अटॅकरला कॉर्पोरेट किंवा पेमेंट नेटवर्कमध्ये नाही, तर केवळ IoT VLAN मध्ये प्रवेश मिळतो. RADSEC मायग्रेशनसाठी, प्रत्येक स्टोअरमध्ये एक RADSEC प्रॉक्सी डिप्लॉय करा जी स्थानिक UDP RADIUS ट्रॅफिक संपुष्टात आणते आणि ते TLS वरून मध्यवर्ती FreeRADIUS सर्व्हरकडे फॉरवर्ड करते, ज्यामुळे प्रत्येक स्टोअरचे नेटवर्क डिव्हाइस फर्मवेअर एकाच वेळी अपग्रेड करण्याची आवश्यकता टळते.

परीक्षकाचे भाष्य: रिटेल परिस्थिती मिश्र व्यवस्थापित आणि अव्यवस्थापित डिव्हाइस वातावरणाचे गंभीर आव्हान सादर करते, जे मल्टी-साइट रिटेलमध्ये अपवादाऐवजी सामान्य आहे. मुख्य आर्किटेक्चरल निर्णय हा आहे की IoT डिव्हाइसेसना कॉर्पोरेट डिव्हाइसेसच्या समान ऑथेंटिकेशन पाथवर कधीही ठेवू नये — त्यांना भिन्न ट्रस्ट लेव्हल्स आणि भिन्न रिस्क प्रोफाइल्स आवश्यक आहेत. RADSEC प्रॉक्सी दृष्टिकोन मोठ्या वितरित इस्टेट्ससाठी एक व्यावहारिक उपाय आहे जेथे अल्पावधीत प्रत्येक एज डिव्हाइस अपग्रेड करणे शक्य नाही; हे सर्वात असुरक्षित सेगमेंटसाठी (स्टोअर्स आणि मध्यवर्ती सर्व्हरमधील WAN) ट्रान्सपोर्ट-लेयर सिक्युरिटी प्रदान करते आणि टप्प्याटप्प्याने डिव्हाइस अपग्रेड प्रोग्रामला अनुमती देते. PCI DSS कंप्लायन्ससाठी आवश्यक आहे की CDE असुरक्षित ऑथेंटिकेशन पाथपासून स्पष्टपणे वेगळे केले जावे, जे VLAN सेगमेंटेशन आणि MAB दृष्टिकोन साध्य करतो.

सराव प्रश्न

Q1. तुमची संस्था 500-सीट कॉन्फरन्स सेंटर चालवते जे कॉर्पोरेट इव्हेंट्स आयोजित करते. व्हेन्यू WiFi PEAP/MSCHAPv2 आणि FreeRADIUS सर्व्हरसह WPA2-Enterprise वापरते. एका सुरक्षा सल्लागाराने त्यांच्या अहवालात CVE-2024-3596 फ्लॅग केले आहे. व्हेन्यू डायरेक्टरला हे जाणून घ्यायचे आहे: (a) तुम्ही सध्या असुरक्षित आहात का? (b) तात्काळ धोका बंद करण्यासाठी किमान कोणती कृती आवश्यक आहे? (c) शिफारस केलेले दीर्घकालीन आर्किटेक्चर काय आहे?

टीप: PEAP Blast-RADIUS ला प्रतिकारशक्ती प्रदान करते का, आणि ती प्रतिकारशक्ती टिकून राहण्यासाठी कोणत्या अटी पूर्ण केल्या पाहिजेत याचा विचार करा. तसेच रेमेडिएशन टाइमलाइनची योजना आखताना 24/7 व्हेन्यू वातावरणाच्या ऑपरेशनल मर्यादांचा विचार करा.

नमुना उत्तर पहा

(a) MSCHAPv2 सह PEAP एक EAP टनेल वापरते जे इनर ऑथेंटिकेशनला Blast-RADIUS अटॅकपासून संरक्षित करते, त्यामुळे तुम्ही CVE-2024-3596 ला थेट असुरक्षित नाही — बशर्ते क्लायंट्स FreeRADIUS सर्व्हर सर्टिफिकेट प्रमाणित करण्यासाठी योग्यरित्या कॉन्फिगर केलेले असावेत. जर सर्टिफिकेट व्हॅलिडेशन लागू केले नसेल, तर तुम्ही रोग ॲक्सेस पॉइंट अटॅक्सना असुरक्षित आहात, जो एक वेगळा परंतु तितकाच गंभीर धोका आहे. तुम्ही तरीही FreeRADIUS ला पॅच केलेल्या आवृत्तीवर अपडेट केले पाहिजे आणि डिफेन्स-इन-डेप्थ उपाय म्हणून Message-Authenticator लागू केले पाहिजे. (b) किमान तात्काळ कृती म्हणजे FreeRADIUS ला आवृत्ती 3.2.3 किंवा नंतरच्या आवृत्तीवर अपडेट करणे आणि clients.conf मध्ये Message-Authenticator लागू करणे. एकाच वेळी, सर्व्हर सर्टिफिकेट व्हॅलिडेशन सक्षम असल्याची खात्री करण्यासाठी सर्व क्लायंट डिव्हाइसेसचे ऑडिट करा. (c) शिफारस केलेले दीर्घकालीन आर्किटेक्चर EAP-TLS सह WPA3-Enterprise आहे, ज्याला सर्टिफिकेट जारी करण्यासाठी PKI चा आधार आहे. उच्च डिव्हाइस टर्नओव्हर आणि BYOD असलेल्या कॉन्फरन्स सेंटरसाठी, सर्टिफिकेट व्यवस्थापनाचा ऑपरेशनल भार कमी करण्यासाठी स्वयंचलित प्रोव्हिजनिंगसह क्लाउड-आधारित सर्टिफिकेट ऑथॉरिटीचा विचार करा.

Q2. एका रिटेल चेनच्या सुरक्षा टीमने RADIUS ऑडिट पूर्ण केले आहे आणि त्यांच्या स्टोअर नेटवर्क्सवर तीन श्रेणींची डिव्हाइसेस ओळखली आहेत: (1) MS-CHAP वापरणारे व्यवस्थापित विंडोज लॅपटॉप्स, (2) PAP वापरणारे अँड्रॉइड हँडहेल्ड स्कॅनर्स, (3) IoT डिजिटल साइनेज डिव्हाइसेस जे 802.1X ला अजिबात सपोर्ट करत नाहीत. रेमेडिएशन कृतींना प्राधान्य द्या आणि प्रत्येक डिव्हाइस श्रेणीसाठी तर्क स्पष्ट करा.

टीप: प्रत्येक ऑथेंटिकेशन मोडची सापेक्ष असुरक्षितता, प्रत्येक डिव्हाइस श्रेणी EAP वर स्थलांतरित करण्याची व्यवहार्यता आणि 802.1X ला सपोर्ट करू न शकणाऱ्या डिव्हाइसेससाठी योग्य नेटवर्क आर्किटेक्चरचा विचार करा.

नमुना उत्तर पहा

तिन्ही श्रेणींसाठी कृती आवश्यक आहे, परंतु दृष्टिकोन भिन्न आहे. श्रेणी 1 (विंडोज लॅपटॉप्स, MS-CHAP): EAP-TLS मायग्रेशनसाठी सर्वोच्च प्राधान्य कारण MS-CHAP थेट Blast-RADIUS ला असुरक्षित आहे. ग्रुप पॉलिसीद्वारे कॉम्प्युटर सर्टिफिकेट्स डिप्लॉय करा आणि 30-60 दिवसांत EAP-TLS वर स्थलांतर करा. अंतरिम उपाय म्हणून Message-Authenticator तात्काळ लागू करा. श्रेणी 2 (अँड्रॉइड स्कॅनर्स, PAP): हे देखील थेट असुरक्षित आहे. PAP क्रेडेंशियल्स अशा स्वरूपात प्रसारित करते जे RADIUS ट्रॅफिक इंटरसेप्ट केल्यास सहज वाचता येते, ज्यामुळे क्रेडेंशियल एक्सपोजरच्या दृष्टिकोनातून ही सर्वात जास्त-धोक्याची श्रेणी बनते. अँड्रॉइडच्या अंगभूत 802.1X सपोर्टचा वापर करून PEAP किंवा EAP-TLS वर स्थलांतर करा. जर स्कॅनर फर्मवेअर EAP ला सपोर्ट करत नसेल, तर फर्मवेअर अपडेट्स किंवा डिव्हाइस रिप्लेसमेंटला प्राधान्य द्या. श्रेणी 3 (IoT साइनेज, 802.1X नाही): EAP वर स्थलांतरित केले जाऊ शकत नाही. कॉर्पोरेट नेटवर्क किंवा CDE मध्ये प्रवेश रोखणाऱ्या कठोर फायरवॉल नियमांसह समर्पित IoT VLAN वर MAC ऑथेंटिकेशन बायपास (MAB) लागू करा. MAB कमकुवत ऑथेंटिकेशन प्रदान करते (MAC ॲड्रेसेस स्पूफ केले जाऊ शकतात) हे मान्य करा आणि नेटवर्क मॉनिटरिंग आणि ॲनोमली डिटेक्शनसह भरपाई करा.

Q3. 50-प्रॉपर्टी हॉटेल चेन मधील CTO तुम्हाला 12 महिन्यांत £180,000 च्या अंदाजित बजेटसह संपूर्ण RADIUS मॉडर्नायझेशन प्रोग्राम (EAP-TLS + RADSEC) साठी बिझनेस केस सादर करण्यास सांगतात. तिला हे समजून घ्यायचे आहे: कमी केला जाणारा धोका, कंप्लायन्स फायदे आणि सुरक्षेच्या पलीकडे ऑपरेशनल ROI. तुम्ही बिझनेस केसची रचना कशी कराल?

टीप: बिझनेस केस तीन स्तंभांभोवती फ्रेम करा: रिस्क क्वांटिफिकेशन (ब्रीचची किंमत काय आहे?), कंप्लायन्स व्हॅल्यू (यामुळे कोणते दंड किंवा ऑडिट खर्च टळतात?), आणि ऑपरेशनल एफिशियन्सी (हे सुरक्षेच्या पलीकडे काय सक्षम करते?). 350-खोल्यांच्या हॉटेल परिस्थितीचा संदर्भ बिंदू म्हणून वापर करा.

नमुना उत्तर पहा

बिझनेस केसची रचना तीन स्तंभांभोवती करा. रिस्क क्वांटिफिकेशन: एकाच प्रॉपर्टीवर यशस्वी Blast-RADIUS एक्सप्लॉइट अटॅकरला अतिथी PII, पेमेंट सिस्टीम्स आणि बॅक-ऑफिस इन्फ्रास्ट्रक्चरमध्ये नेटवर्क ॲक्सेस देऊ शकतो. हॉस्पिटॅलिटी डेटा ब्रीचची सरासरी किंमत रेमेडिएशन, नोटिफिकेशन आणि प्रतिष्ठेच्या नुकसानीमध्ये £3M+ आहे. 50 प्रॉपर्टीजवर, एकूण धोका लक्षणीय आहे. £180,000 ची गुंतवणूक एका ब्रीच कॉस्टच्या 6% पेक्षा कमी आहे. कंप्लायन्स व्हॅल्यू: PCI DSS v4.0 व्याप्तीमधील सर्व सिस्टीम्ससाठी मजबूत ऑथेंटिकेशन आवश्यक करते. EAP-TLS आणि RADSEC थेट आवश्यकता 8.6 (ऑथेंटिकेशन मॅनेजमेंट) आणि 1.3 (नेटवर्क सेगमेंटेशन) पूर्ण करतात. PCI DSS लेव्हल 1 फॉरेन्सिक इन्व्हेस्टिगेशन (सामान्यतः £50,000–£150,000) आणि संभाव्य कार्ड ब्रँड दंड टाळणे प्रोग्राम खर्चाचे समर्थन करते. GDPR कलम 32 'योग्य तांत्रिक उपाय' आवश्यक करते — एक दस्तऐवजीकरण केलेला आधुनिकीकरण कार्यक्रम कंप्लायन्स ड्यु डिलिजन्स दर्शवतो. ऑपरेशनल ROI: सर्टिफिकेट-आधारित ऑथेंटिकेशन 50 प्रॉपर्टीजवर शेअर्ड WiFi पासवर्ड्स व्यवस्थापित करण्याचा ओव्हरहेड दूर करते (रोटेशन आणि वितरणासाठी प्रति प्रॉपर्टी प्रति वर्ष अंदाजे 2-4 तास). WPA3-Enterprise उच्च-घनतेच्या वातावरणात कनेक्शनची विश्वासार्हता सुधारते, थेट अतिथी समाधान स्कोअर सुधारते. RADSEC चे TCP ट्रान्सपोर्ट उच्च-लेटन्सी WAN कनेक्शन्स असलेल्या प्रॉपर्टीजमध्ये ऑथेंटिकेशन अपयश कमी करते. एकत्रितपणे, हे ऑपरेशनल फायदे वाचवलेल्या ॲडमिनिस्ट्रेशन वेळेत प्रति वर्ष अंदाजे 200-300 IT तासांचे प्रतिनिधित्व करतात.

या मालिकेमध्ये पुढे वाचा

MAC Address Authentication म्हणजे काय? ते कधी वापरावे आणि कधी टाळावे

हे अधिकृत तांत्रिक संदर्भ मार्गदर्शक एंटरप्राइझ WiFi वातावरणातील MAC ऍड्रेस ऑथेंटिकेशन कव्हर करते — RADIUS-आधारित MAC ऑथेंटिकेशन लेयर 2 वर कसे काम करते, त्याच्या अंगभूत सुरक्षा भेद्यता (MAC स्पूफिंग आणि OS-स्तरीय MAC रँडमायझेशनच्या प्रभावासह), आणि अचूक ऑपरेशनल संदर्भ जिथे ते IoT आणि हेडलेस उपकरणांचे व्यवस्थापन करण्यासाठी एक वैध साधन राहते. हे हॉस्पिटॅलिटी, रिटेल, हेल्थकेअर आणि सार्वजनिक क्षेत्रातील व्हेन्यूजमधील IT मॅनेजर्स आणि नेटवर्क आर्किटेक्ट्ससाठी रिअल-वर्ल्ड उदाहरणे, निर्णय फ्रेमवर्क्स आणि Purple च्या अतिथी WiFi आणि ॲनालिटिक्स प्लॅटफॉर्मसाठी इंटिग्रेशन संदर्भासह कृतीयोग्य डिप्लॉयमेंट मार्गदर्शन प्रदान करते.

iOS आणि macOS वर 802.1X सह एंटरप्राइझ WiFi कसे सेट करावे

हे अधिकृत मार्गदर्शक वरिष्ठ IT लीडर्सना iOS आणि macOS डिव्हाइसेसवर 802.1X एंटरप्राइझ WiFi डिप्लॉय करण्यासाठी कृती करण्यायोग्य पायऱ्या प्रदान करते. हे BYOD उपक्रमांना सपोर्ट करताना कॉर्पोरेट नेटवर्क्स सुरक्षित करण्यासाठी सर्टिफिकेट-आधारित ऑथेंटिकेशन (EAP-TLS), MDM कॉन्फिगरेशन प्रोफाइल्स आणि आर्किटेक्चर इंटिग्रेशन कव्हर करते.

EAP-TLS सह Android डिव्हाइसेसवर एंटरप्राइझ WiFi कसे सेट करावे

हे तांत्रिक संदर्भ मार्गदर्शक वरिष्ठ IT नेत्यांना Android डिव्हाइसेसवर 802.1X EAP-TLS ऑथेंटिकेशन तैनात करण्यासाठी सर्वसमावेशक ब्ल्यूप्रिंट प्रदान करते. हे एंटरप्राइझ वायरलेस नेटवर्क्स सुरक्षित करण्यासाठी आवश्यक आर्किटेक्चरल मेकॅनिक्स, मॅन्युअल आणि MDM-चालित अंमलबजावणी धोरणे आणि ट्रबलशूटिंग पद्धती कव्हर करते.