O RADIUS (Remote Authentication Dial-In User Service) tem funcionado tradicionalmente como um protocolo baseado em UDP, facilitando a comunicação entre clientes e servidores através de pares atributo-valor (AVPs) transmitidos em texto simples. O RADIUS suporta vários mecanismos de autenticação, incluindo PAP, PEAP, EAP-TLS, EAP-TTLS, MSCHAP, MSCHAPv2, EAP-MD5 e alguns outros.
A utilização do protocolo RADIUS PAP sobre UDP é particularmente vulnerável, uma vez que o AVP User-Password é cifrado utilizando apenas um segredo partilhado. Se um atacante conseguir aceder ao segredo partilhado, ou for capaz de o adivinhar ou de o descobrir por força bruta, pode usá-lo para desencriptar o User-Password AVP e obter acesso ilegítimo ao dispositivo ou à rede protegidos.
Com protocolos como PEAP, EAP-TTLS, MSCHAP, MSCHAPv2 e EAP-MD5, as credenciais ou os desafios são transmitidos dentro do protocolo EAP utilizando o EAP-Message AVP. Embora alguns protocolos EAP exijam encriptação de dados via TLS (em que um certificado de servidor valida o servidor para a transferência encriptada de dados), os detalhes do certificado de servidor em EAP-Message AVP, o atributo User-Name e outros AVPs continuam a ser trocados em texto simples, conforme mostrado abaixo. Isto significa que os atacantes podem obter detalhes do certificado do servidor (C=AU, ST=Some-State, O=Internet Widgits Pty Ltd) e outras informações do cliente, comprometendo a privacidade mesmo que a segurança permaneça intacta.
O RADIUS baseado em UDP pode transportar EAP-TLS, um protocolo muito seguro baseado em certificados (em que tanto o cliente como o servidor se validam mutuamente através da troca de certificados), mas a transmissão em texto simples do protocolo em EAP-Message AVP continua a permitir que detalhes importantes dos certificados do servidor e do cliente (muitas vezes incluindo o endereço de e-mail do utilizador) fiquem visíveis para quem interceta a comunicação, comprometendo a privacidade.
Uma vulnerabilidade descoberta recentemente em protocolos não baseados em EAP (PAP, CHAP) demonstra ainda mais as falhas do protocolo RADIUS baseado em UDP, uma vez que os atacantes podem potencialmente obter acesso à rede sem conhecer o segredo partilhado, conforme detalhado em https://blastradius.fail/attack-details.
É importante distinguir entre uma violação de privacidade e uma violação de segurança neste contexto. Uma violação de privacidade ocorre quando os dados do utilizador na transação se tornam visíveis para terceiros que intercetam a comunicação, enquanto uma violação de segurança envolve um atacante a conseguir obter acesso não autorizado à rede — um cenário consideravelmente mais grave.
Embora o protocolo EAP-TLS, baseado em UDP e mais seguro, ainda apresente preocupações de privacidade, o RadSec oferece proteção abrangente contra vulnerabilidades tanto de privacidade como de segurança.
O RadSec representa uma melhoria significativa de segurança ao encapsular toda a troca do protocolo RADIUS num túnel TCP seguro estabelecido através de TLS mútuo. Esta abordagem:
Estabelece um túnel seguro e encriptado através de autenticação mútua baseada em certificados antes de qualquer troca de dados, garantindo que tanto o cliente como o servidor verificam a identidade um do outro.
Fornece ligações TCP persistentes baseadas em TLS mútuo entre o cliente e o servidor, oferecendo resistência a perdas de pacotes comuns com UDP
Impede a escuta clandestina mesmo quando o tráfego de rede é intercetado, pois os dados não podem ser desencriptados sem acesso aos certificados de encriptação
Elimina a dependência de um único segredo partilhado para a segurança do transporte
Ao proporcionar proteção reforçada para toda a troca de protocolos, o RadSec não só aborda de forma abrangente as preocupações de segurança, como também os problemas de privacidade na camada de transporte presentes nas implementações tradicionais de RADIUS baseadas em UDP, tornando-se, no geral, um protocolo mais seguro.
Ilustração do UDP RADIUS
A captura do Wireshark abaixo demonstra claramente como o EAP-TLS RADIUS baseado em UDP revela as suas vulnerabilidades inerentes de privacidade. A captura de pacotes revela múltiplas trocas RADIUS entre o cliente e o servidor RADIUS, mostrando a sequência completa de mensagens Access-Request e Access-Challenge com os respetivos identificadores de pacote.
Ao examinar a secção inferior da captura, vê-se a carga útil RADIUS, que mostra os Attribute Value Pairs (AVPs) que contêm informações de autenticação sensíveis. Isto inclui o atributo User-Name com o valor "random@foxpass.com", juntamente com outros atributos, como NAS-Identifier e Called-Station-Id. O dump hexadecimal detalhado à direita apresenta o conteúdo bruto dos pacotes transferidos com AVPs, expondo claramente os detalhes do nome de utilizador, bem como os detalhes dos certificados do servidor e do cliente (sujeito do certificado: CN=Test Client, O=Test Organization, C=US) — uma preocupação significativa de privacidade.
Esta questão de privacidade, além das preocupações de segurança discutidas na secção acima, é precisamente aquilo para que o RadSec foi concebido. Ao encapsular estas trocas num túnel TLS seguro criado através de validação mútua de certificados, o RadSec impede a exposição desses dados sensíveis a potenciais escutas. Mesmo o mecanismo de autenticação menos seguro do RADIUS, PAP, é muito seguro com o RadSec.
Como o RadSec funciona
O RadSec reforça a segurança ao encapsular as trocas do protocolo RADIUS tradicional num túnel TLS seguro, garantindo que todas as transferências de dados entre cliente e servidor permanecem encriptadas. Ao contrário do seu antecessor baseado em UDP, o RadSec estabelece uma ligação TCP persistente em que ambas as partes se autenticam mutuamente através de certificados X.509 durante um handshake TLS mútuo. Esta validação bidirecional robusta cria um túnel encriptado antes de qualquer transmissão de dados RADIUS ocorrer.
Assim que este canal seguro é estabelecido, os pacotes RADIUS padrão (Access-Request, Access-Challenge, etc.) viajam dentro desta camada encriptada, protegendo-os eficazmente contra escutas e tentativas de adulteração. A ligação persistente é mantida ao longo de toda a sessão, oferecendo melhorias significativas tanto em eficiência como em segurança em comparação com a abordagem do UDP RADIUS, que é propensa à perda de pacotes.
Com o modelo de confiança baseado em certificados, o RadSec elimina as principais vulnerabilidades de segurança do RADIUS tradicional, ou seja, tanto de privacidade como de segurança. Normalmente a funcionar pela porta TCP 2083 (embora isto seja configurável), o RadSec fornece proteção abrangente para todo o canal de comunicação. Esta abordagem abrangente torna o RadSec altamente resistente à interceção de pacotes, a ataques de repetição e a ataques man-in-the-middle.
RadSec na Foxpass: infraestrutura de autenticação global, escalável e de baixa latência
Criámos a autenticação RADIUS com uma implementação RadSec de última geração, com elevado desempenho, fiável e acessível a nível global.
O nosso serviço RadSec foi concebido para responder aos requisitos de conetividade mais exigentes em diversos ambientes globais. Criámos uma arquitetura multi-tenant escalável horizontalmente, em que os clientes que se ligam aos nossos servidores ligam-se sempre ao servidor disponível mais próximo.
Proximidade global, conectividade instantânea, gestão sem esforço
A nossa implementação global garante que cada cliente se liga ao servidor RadSec mais próximo, reduzindo drasticamente a latência e melhorando os tempos de resposta. É fornecido aos clientes apenas um único nome de anfitrião DNS, mas os clientes ligam-se automaticamente ao servidor mais adequado com base na proximidade geográfica.
O RadSec da Foxpass suporta duas opções para gerir certificados de cliente. O Foxpass pode emitir certificados a partir da nossa AC partilhada, ou os clientes podem carregar facilmente os seus certificados de AC através da nossa consola intuitiva, que propaga rapidamente estas credenciais por toda a nossa rede global de servidores, garantindo que apenas os clientes autenticados obtêm acesso.
Escala e desempenho sem precedentes
Cada uma das nossas instâncias de servidor RadSec foi concebida para lidar com mais de 15.000 ligações simultâneas, proporcionando uma autenticação robusta e fiável à escala exigida por ambientes empresariais.
Destaques principais
Implementação de RadSec escalável horizontalmente e multi-tenant
Rede global de servidores com encaminhamento inteligente
Capacidade de ligação massiva (15.000+ ligações por instância)
Experiência de autenticação fluida e de baixa latência
Comece hoje a usar o Foxpass
Pronto para reforçar a segurança da autenticação? Foxpass oferece proteção de nível empresarial, desempenho global e implementação sem complicações. Quer esteja a proteger credenciais de utilizador ou a gerir acesso baseado em certificados em escala, a nossa implementação de RadSec garante que os seus dados permanecem privados e protegidos.
Comece hoje a avaliação gratuita do Foxpass e veja a diferença de uma infraestrutura de autenticação segura, escalável e moderna.
Agradecimentos:
Gostaríamos de agradecer a toda a equipa por disponibilizar isto aos nossos clientes em todo o mundo.
