RADIUS (Remote Authentication Dial-In User Service) wurde traditionell als UDP-basiertes Protokoll betrieben und ermöglicht die Kommunikation zwischen Clients und Servern über Attribut-Wert-Paare (AVPs), die als Klartext übertragen werden. RADIUS unterstützt verschiedene Authentifizierungsmechanismen, darunter PAP, PEAP, EAP-TLS, EAP-TTLS, MSCHAP, MSCHAPv2, EAP-MD5 und einige weitere.
Die Verwendung des RADIUS PAP-Protokolls über UDP ist besonders anfällig, da das User-Password-AVP nur mit einem gemeinsamen Geheimnis verschlüsselt wird. Wenn ein Angreifer Zugriff auf das gemeinsame Geheimnis erhält oder es erraten bzw. per Brute-Force-Angriff knacken kann, kann er damit das User-Password-AVP entschlüsseln und sich unbefugt Zugriff auf das geschützte Gerät oder Netzwerk verschaffen.
Mit Protokollen wie PEAP, EAP-TTLS, MSCHAP, MSCHAPv2 und EAP-MD5 werden Anmeldedaten oder Challenges innerhalb des EAP-Protokolls mithilfe des EAP-Message-AVP übertragen. Obwohl einige EAP-Protokolle die Datenverschlüsselung über TLS erfordern (wobei ein Serverzertifikat den Server für die verschlüsselte Datenübertragung validiert), werden die Serverzertifikatsdetails im EAP-Message-AVP, das User-Name-Attribut und andere AVPs dennoch im Klartext ausgetauscht, wie unten gezeigt. Das bedeutet, dass Angreifer Details zum Serverzertifikat (C=AU, ST=Some-State, O=Internet Widgits Pty Ltd) und andere Client-Informationen erhalten können, wodurch die Privatsphäre gefährdet wird, auch wenn die Sicherheit intakt bleibt.
UDP-basiertes RADIUS kann EAP-TLS übertragen, ein sehr sicheres, zertifikatbasiertes Protokoll (bei dem sowohl Client als auch Server einander durch den Austausch von Zertifikaten validieren), aber die Klartextübertragung des Protokolls in der EAP-Message-AVP führt dennoch dazu, dass wichtige Details zu Server- und Client-Zertifikaten (oft einschließlich der E-Mail-Adresse des Benutzers) für Lauscher sichtbar sind, was die Privatsphäre beeinträchtigt.
Eine kürzlich entdeckte Schwachstelle bei nicht EAP-basierten Protokollen (PAP, CHAP) verdeutlicht erneut die Schwächen des UDP-basierten RADIUS-Protokolls, da Angreifer sich potenziell Netzwerkzugang verschaffen können, ohne das Shared Secret zu kennen, wie unter https://blastradius.fail/attack-details beschrieben.
In diesem Zusammenhang ist es wichtig, zwischen einer Verletzung der Privatsphäre und einer Sicherheitsverletzung zu unterscheiden. Ein Datenschutzverstoß liegt vor, wenn die Benutzerdaten in der Transaktion für Lauscher sichtbar werden, während bei einem Sicherheitsverstoß ein Angreifer erfolgreich unbefugten Zugriff auf das Netzwerk erhält – ein deutlich schwerwiegenderes Szenario.
Obwohl das sicherste UDP-basierte EAP-TLS-Protokoll noch immer Datenschutzbedenken aufweist, bietet RadSec umfassenden Schutz vor Datenschutz- und Sicherheitslücken.
RadSec stellt eine erhebliche Sicherheitsverbesserung dar, da der gesamte RADIUS-Protokollaustausch in einen sicheren TCP-Tunnel eingebettet wird, der über gegenseitiges TLS aufgebaut wird. Dieser Ansatz:
Stellt vor dem Datenaustausch durch zertifikatsbasierte gegenseitige Authentifizierung einen sicheren, verschlüsselten Tunnel her und stellt so sicher, dass sowohl Client als auch Server die Identität des jeweils anderen überprüfen.
Stellt persistente, auf gegenseitigem TLS basierende TCP-Verbindungen zwischen Client und Server bereit und bietet Widerstandsfähigkeit gegenüber Paketverlusten, wie sie bei UDP häufig vorkommen
Verhindert Abhören selbst dann, wenn der Netzwerkverkehr abgefangen wird, da die Daten ohne Zugriff auf die Verschlüsselungszertifikate nicht entschlüsselt werden können
Beseitigt die Abhängigkeit von einem einzelnen gemeinsam genutzten Geheimnis für die Transportsicherheit
Durch den verbesserten Schutz für den gesamten Protokollaustausch behebt RadSec nicht nur die Sicherheitsbedenken umfassend, sondern auch die Datenschutzprobleme auf der Transportschicht, die bei herkömmlichen UDP-basierten RADIUS-Implementierungen bestehen, wodurch es insgesamt ein sichereres Protokoll ist.
UDP-RADIUS-Illustration
Die folgende Wireshark-Aufzeichnung zeigt anschaulich, wie UDP-basiertes EAP-TLS RADIUS seine inhärenten Datenschutzschwachstellen offenlegt. Die Paketaufzeichnung zeigt mehrere RADIUS-Austausche zwischen dem Client und dem RADIUS-Server und veranschaulicht die vollständige Abfolge von Access-Request- und Access-Challenge-Nachrichten mit den zugehörigen Paketkennungen.
Bei der Untersuchung des unteren Abschnitts der Aufzeichnung wird die RADIUS-Nutzlast sichtbar, die die Attribut-Wert-Paare (AVPs) mit sensiblen Authentifizierungsinformationen zeigt. Dies umfasst das Attribut User-Name mit dem Wert "random@foxpass.com" zusammen mit anderen Attributen wie NAS-Identifier und Called-Station-Id. Der detaillierte Hex-Dump auf der rechten Seite zeigt die mit AVPs übertragenen rohen Paketinhalte und legt dabei Benutzernamendetails sowie Details zu Server- und Client-Zertifikaten (Zertifikatssubjekt: CN=Test Client, O=Test Organization, C=US) klar offen – ein erhebliches Datenschutzproblem.
Genau für dieses Datenschutzproblem – zusätzlich zu den im obigen Abschnitt besprochenen Sicherheitsbedenken – wurde RadSec entwickelt. Indem diese Austauschvorgänge in einen sicheren TLS-Tunnel eingebettet werden, der durch gegenseitige Zertifikatsvalidierung erstellt wird, verhindert RadSec, dass solche sensiblen Details potenziellen Lauschangriffen ausgesetzt werden. Sogar der am wenigsten sichere Authentifizierungsmechanismus von RADIUS, PAP, ist mit RadSec sehr sicher.
So funktioniert RadSec
RadSec erhöht die Sicherheit, indem es herkömmliche RADIUS-Protokollaustausche in einen sicheren TLS-Tunnel kapselt und so sicherstellt, dass alle Datenübertragungen zwischen Client und Server verschlüsselt bleiben. Im Gegensatz zu seinem UDP-basierten Vorgänger stellt RadSec eine persistente TCP-Verbindung her, bei der sich beide Parteien während eines gegenseitigen TLS-Handshakes mithilfe von X.509-Zertifikaten gegenseitig authentifizieren. Diese robuste wechselseitige Validierung erstellt einen verschlüsselten Tunnel, bevor eine RADIUS-Datenübertragung erfolgt.
Sobald dieser sichere Kanal eingerichtet ist, werden Standard-RADIUS-Pakete (Access-Request, Access-Challenge usw.) innerhalb dieser verschlüsselten Ebene übertragen, wodurch sie wirksam vor Abhör- und Manipulationsversuchen geschützt werden. Die persistente Verbindung bleibt während der gesamten Sitzung aufrechterhalten und bietet im Vergleich zum UDP-RADIUS-Ansatz, der anfällig für Paketverlust ist, deutliche Verbesserungen sowohl bei der Effizienz als auch bei der Sicherheit.
Mit dem zertifikatbasierten Vertrauensmodell beseitigt RadSec die größten Sicherheitslücken des herkömmlichen RADIUS, also sowohl beim Datenschutz als auch bei der Sicherheit. RadSec läuft typischerweise über den TCP-Port 2083 (obwohl dies konfigurierbar ist) und bietet umfassenden Schutz für den gesamten Kommunikationskanal. Dieser umfassende Ansatz macht RadSec äußerst widerstandsfähig gegen Packet Sniffing, Replay-Angriffe und Man-in-the-Middle-Angriffe.
RadSec bei Foxpass: globale, skalierbare Authentifizierungsinfrastruktur mit geringer Latenz
Wir haben RADIUS-Authentifizierung mit einer hochmodernen RadSec-Implementierung entwickelt, die leistungsstark, zuverlässig und weltweit zugänglich ist.
Unser RadSec-Service ist darauf ausgelegt, selbst die anspruchsvollsten Konnektivitätsanforderungen in unterschiedlichsten globalen Umgebungen zu erfüllen. Wir haben eine horizontal skalierbare Multi-Tenant-Architektur entwickelt, bei der Kunden, die sich mit unseren Servern verbinden, immer mit dem nächstgelegenen verfügbaren Server verbunden werden.
Globale Nähe, sofortige Konnektivität, mühelose Verwaltung
Unsere globale Bereitstellung stellt sicher, dass jeder Kunde eine Verbindung zum nächstgelegenen RadSec-Server herstellt, wodurch die Latenz deutlich reduziert und die Reaktionszeit verbessert wird. Den Kunden wird nur ein einzelner DNS-Hostname bereitgestellt, aber die Clients verbinden sich automatisch mit dem jeweils optimalen Server auf Basis der geografischen Nähe.
Foxpass' RadSec unterstützt zwei Optionen zur Verwaltung von Client-Zertifikaten. Entweder kann Foxpass Zertifikate von unserer gemeinsam genutzten CA ausstellen, oder Kunden können ihre CA-Zertifikate ganz einfach über unsere intuitive Konsole hochladen, die diese Anmeldedaten schnell in unserem gesamten globalen Servernetzwerk verteilt und so sicherstellt, dass nur authentifizierte Clients Zugriff erhalten.
Beispiellose Skalierbarkeit und Performance
Jede unserer RadSec-Serverinstanzen ist dafür ausgelegt, mehr als 15.000 gleichzeitige Verbindungen zu verarbeiten, und bietet eine robuste, zuverlässige Authentifizierung in einem Umfang, der den Anforderungen auf Enterprise-Niveau gerecht wird.
Wichtige Highlights
Horizontal skalierbare und mandantenfähige Implementierung von RadSec
Globales Servernetzwerk mit intelligenter Weiterleitung
Massive Verbindungskapazität (15.000+ Verbindungen pro Instanz)
Nahtlose Authentifizierung mit geringer Latenz
Starten Sie noch heute mit Foxpass
Bereit, die Sicherheit Ihrer Authentifizierung zu verbessern? Foxpass bietet Schutz auf Enterprise-Niveau, globale Performance und eine mühelose Bereitstellung. Ganz gleich, ob Sie Benutzeranmeldedaten schützen oder zertifikatsbasierten Zugriff im großen Maßstab verwalten – unsere RadSec-Implementierung sorgt dafür, dass Ihre Daten privat und geschützt bleiben.
Starten Sie noch heute Ihre kostenlose Testversion von Foxpass und erleben Sie den Unterschied einer sicheren, skalierbaren und modernen Authentifizierungsinfrastruktur.
Danksagungen:
Wir möchten dem gesamten Team dafür danken, dass es dies unseren Kunden weltweit ermöglicht hat.
