RADIUS (Remote Authentication Dial-In User Service) ha operado tradicionalmente como un protocolo basado en UDP, facilitando la comunicación entre clientes y servidores a través de pares de atributos-valor (AVPs) transmitidos como texto plano. RADIUS admite varios mecanismos de autenticación, incluyendo PAP, PEAP, EAP-TLS, EAP-TTLS, MSCHAP, MSCHAPv2, EAP-MD5, y algunos otros.
Usar el protocolo RADIUS PAP sobre UDP es particularmente vulnerable ya que el AVP de User-Password está cifrado usando solo un secreto compartido. Si un intruso obtiene acceso al secreto compartido, o es capaz de adivinarlo o forzarlo, puede usarlo para descifrar el AVP de User-Password y obtener acceso ilegítimo al dispositivo o red protegida.
Con protocolos como PEAP, EAP-TTLS, MSCHAP, MSCHAPv2, y EAP-MD5, las credenciales o desafíos se transmiten dentro del protocolo EAP usando el AVP EAP-Message. Aunque algunos protocolos EAP requieren cifrado de datos a través de TLS (donde un certificado de servidor valida el servidor para la transferencia de datos cifrados), los detalles del certificado del servidor en el AVP EAP-Message, el atributo User-Name, y otros AVPs aún se intercambian como texto plano, como se muestra a continuación. Esto significa que los atacantes pueden obtener detalles del certificado del servidor (C=AU, ST=Some-State, O=Internet Widgits Pty Ltd) y otra información del cliente, comprometiendo la privacidad incluso si la seguridad permanece intacta.
RADIUS basado en UDP puede llevar EAP-TLS, un protocolo muy seguro basado en certificados (donde tanto el cliente como el servidor se validan mutuamente a través del intercambio de certificados), pero la transmisión en texto plano del protocolo en el AVP EAP-Message aún permite que detalles importantes de los certificados del servidor y del cliente (a menudo incluyendo la dirección de correo electrónico del usuario) sean visibles para los espías, comprometiendo la privacidad.
Una vulnerabilidad descubierta recientemente para protocolos no basados en EAP (PAP, CHAP) demuestra aún más las fallas del protocolo RADIUS basado en UDP, ya que los atacantes pueden potencialmente obtener acceso a la red sin conocer el secreto compartido, como se detalla en https://blastradius.fail/attack-details.
Es importante distinguir entre una violación de privacidad y una violación de seguridad en este contexto. Se produce una violación de la privacidad cuando los detalles del usuario en la transacción se vuelven visibles para los espías, mientras que una violación de seguridad implica que un atacante obtenga acceso no autorizado a la red, un escenario considerablemente más grave.
Aunque el protocolo EAP-TLS basado en UDP más seguro aún tiene preocupaciones de privacidad, RadSec proporciona protección integral contra vulnerabilidades tanto de privacidad como de seguridad.
RadSec representa una mejora significativa en seguridad al encapsular todo el intercambio del protocolo RADIUS dentro de un túnel TCP seguro establecido a través de TLS mutuo. Este enfoque:
Establece un túnel seguro y cifrado a través de autenticación mutua basada en certificados antes de que se intercambie cualquier dato, asegurando que tanto el cliente como el servidor verifiquen la identidad del otro.
Proporciona conexiones TCP persistentes basadas en TLS mutuo entre cliente y servidor, ofreciendo resistencia a las pérdidas de paquetes comunes con UDP
Previene la interceptación incluso cuando el tráfico de red es interceptado, ya que los datos no pueden ser descifrados sin acceso a los certificados de cifrado
Elimina la dependencia de un único secreto compartido para la seguridad del transporte
Al proporcionar una protección mejorada para todo el intercambio de protocolos, RadSec no solo aborda las preocupaciones de seguridad de manera integral, sino también los problemas de privacidad a nivel de transporte presentes en las implementaciones tradicionales de RADIUS basadas en UDP, convirtiéndolo en un protocolo más seguro en general.
Ilustración de RADIUS UDP
La captura de Wireshark a continuación proporciona una demostración clara de cómo RADIUS EAP-TLS basado en UDP muestra sus vulnerabilidades inherentes de privacidad. La captura de paquetes revela múltiples intercambios RADIUS entre el cliente y el servidor RADIUS, mostrando la secuencia completa de mensajes Access-Request y Access-Challenge con sus identificadores de paquetes correspondientes.
Al examinar la sección inferior de la captura se revela la carga útil de RADIUS, que muestra los Pares de Valor de Atributo (AVPs) que contienen información de autenticación sensible. Esto incluye el atributo User-Name con el valor "random@foxpass.com" junto a otros atributos como NAS-Identifier y Called-Station-Id. El volcado hexadecimal detallado a la derecha muestra el contenido bruto del paquete transferido usando AVPs, exponiendo claramente detalles de nombre de usuario, detalles de certificado de servidor y cliente (sujeto del certificado: CN=Test Client, O=Test Organization, C=US), lo cual es una preocupación significativa de privacidad.
Este problema de privacidad, además de las preocupaciones de seguridad discutidas en la sección anterior, es precisamente lo que RadSec fue diseñado para abordar. Al encapsular estos intercambios dentro de un túnel TLS seguro creado a través de la validación mutua de certificados, RadSec previene la exposición de tales detalles sensibles a posibles espías. Incluso el mecanismo de autenticación menos seguro de RADIUS, PAP, es muy seguro con RadSec.
Cómo Funciona RadSec
RadSec mejora la seguridad encapsulando los intercambios de protocolo RADIUS tradicionales dentro de un túnel TLS seguro, asegurando que todas las transferencias de datos cliente-servidor permanezcan cifradas. A diferencia de su predecesor basado en UDP, RadSec establece una conexión TCP persistente donde ambas partes se autentican mutuamente a través de certificados X.509 durante un apretón de manos TLS mutuo. Esta robusta validación bidireccional crea un túnel cifrado antes de que ocurra cualquier transmisión de datos RADIUS.
Una vez que se establece este canal seguro, los paquetes RADIUS estándar (Access-Request, Access-Challenge, etc.) viajan dentro de esta capa cifrada, protegiéndolos efectivamente de intentos de espionaje y manipulación. La conexión persistente se mantiene durante toda la sesión, ofreciendo mejoras significativas tanto en eficiencia como en seguridad en comparación con el enfoque de RADIUS UDP, que es propenso a la pérdida de paquetes.
Con el modelo de confianza basado en certificados, RadSec elimina las principales debilidades de seguridad del RADIUS tradicional, es decir, tanto la privacidad como la seguridad. Operando típicamente sobre el puerto TCP 2083 (aunque esto es configurable), RadSec proporciona protección integral para todo el canal de comunicación. Este enfoque integral hace que RadSec sea altamente resistente a la captura de paquetes, ataques de repetición y ataques de intermediario.
RadSec en Foxpass: Infraestructura de Autenticación Global, Escalable y de Baja Latencia
Hemos creado autenticación RADIUS con una implementación de RadSec de vanguardia que es eficiente, confiable y accesible globalmente.
Nuestro servicio RadSec está diseñado para cumplir con los requisitos de conectividad más exigentes en diversos entornos globales. Hemos creado una arquitectura escalable horizontalmente y multi-inquilino donde los clientes que se conectan a nuestros servidores siempre se conectan al servidor disponible más cercano.
Proximidad Global, Conectividad Instantánea, Gestión Sin Esfuerzo
Nuestro despliegue global asegura que cada cliente se conecte al servidor RadSec más cercano, reduciendo drásticamente la latencia y mejorando los tiempos de respuesta. Solo se proporciona un nombre de host DNS a los clientes, pero los clientes se conectan automáticamente al servidor más óptimo basado en la proximidad geográfica.
RadSec de Foxpass admite dos opciones para gestionar certificados de cliente. Foxpass puede emitir certificados desde nuestra CA compartida, o los clientes pueden cargar fácilmente sus certificados CA a través de nuestra consola intuitiva, que propaga rápidamente estas credenciales a través de toda nuestra red global de servidores, asegurando que solo los clientes autenticados obtengan acceso.
Escala y Rendimiento Sin Precedentes
Cada una de nuestras instancias de servidor RadSec está diseñada para manejar más de 15,000 conexiones simultáneas, proporcionando autenticación robusta y confiable a una escala que satisface las demandas de nivel empresarial.
Aspectos Destacados Clave
Implementación escalable horizontalmente y multi-tenant de RadSec
Red de servidores global con enrutamiento inteligente
Capacidad masiva de conexión (15,000+ conexiones por instancia)
Experiencia de autenticación fluida y de baja latencia
Comienza con Foxpass Hoy
¿Listo para mejorar la seguridad de tu autenticación? Foxpass ofrece protección de nivel empresarial, rendimiento global y despliegue sin complicaciones. Ya sea que estés asegurando credenciales de usuario o gestionando acceso basado en certificados a gran escala, nuestra implementación de RadSec asegura que tus datos permanezcan privados y protegidos.
Comienza tu prueba gratuita de Foxpass hoy y experimenta la diferencia de una infraestructura de autenticación segura, escalable y moderna.
Agradecimientos:
Nos gustaría agradecer a todo el equipo por hacer esto disponible para nuestros clientes en todo el mundo.
