RADIUS (Remote Authentication Dial-In User Service) werkt van oudsher als een op UDP gebaseerd protocol en maakt communicatie tussen clients en servers mogelijk via attribute-value pairs (AVP's) die als platte tekst worden verzonden. RADIUS ondersteunt verschillende authenticatiemechanismen, waaronder PAP, PEAP, EAP-TLS, EAP-TTLS, MSCHAP, MSCHAPv2, EAP-MD5 en nog enkele andere.
Het gebruik van het RADIUS PAP-protocol via UDP is bijzonder kwetsbaar, omdat de User-Password AVP alleen met een gedeeld geheim wordt versleuteld. Als een afluisteraar toegang krijgt tot het gedeelde geheim, of het kan raden of met brute force kan kraken, kan diegene het gebruiken om het User-Password AVP te ontsleutelen en zo onrechtmatige toegang te krijgen tot het beveiligde apparaat of netwerk.
Met protocollen zoals PEAP, EAP-TTLS, MSCHAP, MSCHAPv2 en EAP-MD5 worden inloggegevens of challenges binnen het EAP-protocol verzonden via de EAP-Message AVP. Hoewel sommige EAP-protocollen gegevensversleuteling via TLS vereisen (waarbij een servercertificaat de server valideert voor versleutelde gegevensoverdracht), worden de details van het servercertificaat in EAP-Message AVP, het User-Name-attribuut en andere AVP's nog steeds uitgewisseld als platte tekst, zoals hieronder weergegeven. Dit betekent dat aanvallers servercertificaatgegevens (C=AU, ST=Some-State, O=Internet Widgits Pty Ltd) en andere clientinformatie kunnen verkrijgen, waardoor de privacy in gevaar komt, zelfs als de beveiliging intact blijft.
Op UDP gebaseerde RADIUS kan EAP-TLS gebruiken, een zeer veilig, op certificaten gebaseerd protocol (waarbij zowel client als server elkaar valideren via certificaatuitwisseling), maar de plattetekstoverdracht van het protocol in EAP-Message AVP maakt het nog steeds mogelijk dat belangrijke details van server- en clientcertificaten (vaak inclusief het e-mailadres van de gebruiker) zichtbaar zijn voor afluisteraars, wat de privacy in gevaar brengt.
Een recent ontdekte kwetsbaarheid voor niet-EAP-gebaseerde protocollen (PAP, CHAP) laat opnieuw de tekortkomingen van het op UDP gebaseerde RADIUS-protocol zien, omdat aanvallers mogelijk netwerktoegang kunnen krijgen zonder het gedeelde geheim te kennen, zoals beschreven op https://blastradius.fail/attack-details.
Het is in deze context belangrijk om onderscheid te maken tussen een privacyschending en een beveiligingslek. Er is sprake van een privacyschending wanneer de gebruikersgegevens in de transactie zichtbaar worden voor afluisteraars, terwijl een beveiligingslek inhoudt dat een aanvaller met succes ongeautoriseerde netwerktoegang verkrijgt — een aanzienlijk ernstiger scenario.
Hoewel het veiligste op UDP gebaseerde EAP-TLS-protocol nog steeds privacyzorgen kent, biedt RadSec uitgebreide bescherming tegen zowel privacy- als beveiligingskwetsbaarheden.
RadSec betekent een aanzienlijke verbetering van de beveiliging doordat de volledige uitwisseling van het RADIUS-protocol wordt ingekapseld in een beveiligde TCP-tunnel die via wederzijdse TLS tot stand wordt gebracht. Deze aanpak:
Zet vóórdat er gegevens worden uitgewisseld een veilige, versleutelde tunnel op via wederzijdse authenticatie op basis van certificaten, zodat zowel de client als de server elkaars identiteit verifiëren.
Biedt persistente wederzijdse TLS-gebaseerde TCP-verbindingen tussen client en server, met weerstand tegen pakketverlies dat vaak voorkomt bij UDP
Voorkomt afluisteren, zelfs wanneer netwerkverkeer wordt onderschept, omdat de gegevens niet kunnen worden ontsleuteld zonder toegang tot de versleutelingscertificaten
Elimineert de afhankelijkheid van één gedeeld geheim voor transportbeveiliging
Door verbeterde bescherming te bieden voor de volledige protocoluitwisseling, pakt RadSec niet alleen de beveiligingsproblemen volledig aan, maar ook de privacykwesties op transportlaag-niveau die aanwezig zijn in traditionele op UDP gebaseerde RADIUS-implementaties, waardoor het over het geheel genomen een veiliger protocol is.
UDP RADIUS-illustratie
De onderstaande Wireshark-opname laat duidelijk zien hoe op UDP gebaseerde EAP-TLS RADIUS zijn inherente kwetsbaarheden op het gebied van privacy vertoont. De pakketopname toont meerdere RADIUS-uitwisselingen tussen de client en de RADIUS-server, waarbij de volledige reeks Access-Request- en Access-Challenge-berichten met de bijbehorende pakketidentificaties zichtbaar is.
Bij het bekijken van het onderste gedeelte van de capture zie je de RADIUS-payload, waarin de Attribute Value Pairs (AVP's) met gevoelige authenticatiegegevens worden weergegeven. Dit omvat het User-Name-attribuut met de waarde "random@foxpass.com", naast andere attributen zoals NAS-Identifier en Called-Station-Id. De gedetailleerde hex-dump rechts toont de onbewerkte pakketinhoud die via AVP's is overgedragen, waarbij gebruikersnaamgegevens, server- en clientcertificaatgegevens (certificaatonderwerp: CN=Test Client, O=Test Organization, C=US) duidelijk zichtbaar zijn — een aanzienlijke privacyzorg.
Deze privacykwestie, naast de beveiligingsproblemen die in het bovenstaande gedeelte zijn besproken, is precies waarvoor RadSec is ontworpen. Door deze uitwisselingen in te kapselen in een veilige TLS-tunnel die tot stand komt via wederzijdse certificaatvalidatie, voorkomt RadSec dat zulke gevoelige gegevens worden blootgesteld aan mogelijke afluisteraars. Zelfs RADIUS' minst veilige authenticatiemechanisme, PAP, is met RadSec zeer veilig.
Hoe RadSec werkt
RadSec verbetert de beveiliging door traditionele RADIUS-protocoluitwisselingen in te kapselen binnen een veilige TLS-tunnel, zodat alle client-servergegevensoverdrachten versleuteld blijven. In tegenstelling tot zijn op UDP gebaseerde voorganger brengt RadSec een persistente TCP-verbinding tot stand, waarbij beide partijen elkaar authenticeren via X.509-certificaten tijdens een wederzijdse TLS-handshake. Deze robuuste tweerichtingsvalidatie creëert een versleutelde tunnel voordat er RADIUS-gegevens worden verzonden.
Zodra dit beveiligde kanaal is opgezet, reizen standaard RADIUS-pakketten (Access-Request, Access-Challenge, enz.) binnen deze versleutelde laag, waardoor ze effectief worden beschermd tegen afluisteren en pogingen tot manipulatie. De persistente verbinding blijft gedurende de hele sessie behouden en biedt aanzienlijke verbeteringen in zowel efficiëntie als beveiliging vergeleken met de aanpak van UDP RADIUS, die gevoelig is voor pakketverlies.
Met het op certificaten gebaseerde vertrouwensmodel elimineert RadSec de grootste beveiligingszwakheden van traditionele RADIUS, namelijk op het gebied van privacy en beveiliging. RadSec draait doorgaans via TCP-poort 2083 (hoewel dit kan worden geconfigureerd) en biedt uitgebreide bescherming voor het volledige communicatiekanaal. Deze uitgebreide aanpak maakt RadSec zeer bestand tegen packet sniffing, replay-aanvallen en man-in-the-middle-aanvallen.
RadSec bij Foxpass: wereldwijde, schaalbare authenticatie-infrastructuur met lage latentie
We hebben RADIUS authentication ontwikkeld met een geavanceerde RadSec-implementatie die snel, betrouwbaar en wereldwijd toegankelijk is.
Onze RadSec-service is ontworpen om te voldoen aan de meest veeleisende connectiviteitsvereisten in uiteenlopende wereldwijde omgevingen. We hebben een horizontaal schaalbare, multi-tenantarchitectuur gecreëerd waarbij klanten die verbinding maken met onze servers altijd verbinding maken met de dichtstbijzijnde beschikbare server.
Wereldwijde nabijheid, direct verbonden, moeiteloos beheer
Onze wereldwijde uitrol zorgt ervoor dat elke klant verbinding maakt met de dichtstbijzijnde RadSec-server, waardoor de latentie aanzienlijk afneemt en de reactietijden verbeteren. Klanten krijgen slechts één DNS-hostnaam, maar clients maken automatisch verbinding met de meest optimale server op basis van geografische nabijheid.
De RadSec van Foxpass ondersteunt twee opties voor het beheren van clientcertificaten. Of Foxpass certificaten kan uitgeven vanuit onze gedeelde CA, of klanten eenvoudig hun CA-certificaten kunnen uploaden via onze intuïtieve console, die deze inloggegevens snel over ons volledige wereldwijde servernetwerk verspreidt, zodat alleen geauthenticeerde clients toegang krijgen.
Ongekende schaal en prestaties
Elk van onze RadSec-serverinstances is ontworpen om meer dan 15.000 gelijktijdige verbindingen te verwerken en biedt robuuste, betrouwbare authenticatie op een schaal die voldoet aan enterprise-grade eisen.
Belangrijkste punten
Horizontaal schaalbare en multi-tenant implementatie van RadSec
Wereldwijd servernetwerk met intelligente routering
Enorme verbindingscapaciteit (15.000+ verbindingen per instance)
Naadloze authenticatie-ervaring met lage latentie
Ga vandaag nog aan de slag met Foxpass
Klaar om de beveiliging van je authenticatie te upgraden? Foxpass biedt bescherming van ondernemingsklasse, wereldwijde prestaties en implementatie zonder gedoe. Of je nu gebruikersreferenties beveiligt of op grote schaal op certificaten gebaseerde toegang beheert, onze RadSec-implementatie zorgt ervoor dat je gegevens privé en beschermd blijven.
Start vandaag nog je gratis proefperiode van Foxpass en ervaar het verschil van een veilige, schaalbare en moderne authenticatie-infrastructuur.
Dankbetuigingen:
We willen het hele team bedanken dat dit beschikbaar is gemaakt voor onze klanten over de hele wereld.
