Minderung von RADIUS-Sicherheitslücken: Ein Leitfaden zur Sicherheits-Härtung

Executive Summary

RADIUS (Remote Authentication Dial-In User Service) bleibt das dominierende Protokoll für die Netzwerkzugriffskontrolle in Enterprise-WiFi-Umgebungen und bildet die Grundlage für die IEEE 802.1X-Authentifizierung in Hotels, Einzelhandelsflächen, Stadien, Konferenzzentren und Gebäuden des öffentlichen Sektors. RADIUS wurde jedoch in den 1990er Jahren entwickelt, und einige seiner grundlegenden Designentscheidungen – wie die Abhängigkeit von MD5-Hashing, UDP-Transport ohne native Verschlüsselung und statische Shared Secrets – sind in der heutigen Bedrohungslage zu erheblichen Sicherheitsrisiken geworden.

Im Juli 2024 zeigte die BlastRADIUS-Schwachstelle (CVE-2024-3596), dass ein Man-in-the-Middle-Angreifer RADIUS Access-Accept-Antworten fälschen kann, indem er die MD5-Integritätsschwäche in Access-Request-Paketen ausnutzt. Dies betrifft alle gängigen RADIUS-Implementierungen, einschließlich FreeRADIUS, Cisco ISE und Microsoft NPS. Ungepatchte Systeme sind weiterhin ungeschützt.

Dieser Leitfaden bietet eine priorisierte Roadmap zur Systemhärtung, die Patch-Management, Shared-Secret-Hygiene, die Auswahl von EAP-Methoden, die Bereitstellung von RadSec, Multi-Faktor-Authentifizierung für den administrativen Zugriff und die SIEM-Integration zur Erkennung von Anomalien umfasst. Er richtet sich an IT-Experten, die noch in diesem Quartal und nicht erst im nächsten Jahr fundierte Sicherheitsentscheidungen treffen müssen.

Technischer Deep-Dive

Wie RADIUS funktioniert und wo die Schwachstellen liegen

RADIUS arbeitet als Client-Server-Protokoll zwischen einem Network Access Server (NAS) – in der Regel ein WiFi-Zugriffspunkt, ein Switch oder ein VPN-Konzentrator – und einem RADIUS-Server, der die Anmeldedaten mit einem Backend-Identitätsspeicher wie Active Directory oder LDAP abgleicht. Der Authentifizierungsaustausch folgt einem in RFC 2865 definierten Request-Challenge-Response-Modell, wobei das Accounting separat nach RFC 2866 abgewickelt wird.

Das Protokoll überträgt Authentifizierungspakete über UDP, Port 1812 für die Authentifizierung und Port 1813 für das Accounting. Das Shared Secret – ein vorab freigegebener Schlüssel, der sowohl auf dem NAS als auch auf dem RADIUS-Server konfiguriert ist – wird verwendet, um das Feld „Response Authenticator“ zu generieren und das Attribut „User-Password“ über eine MD5-basierte XOR-Chiffre zu verschleiern. Dies ist keine Verschlüsselung im modernen Sinne, sondern eine Verschleierung, die vollständig von der Geheimhaltung und Stärke des Shared Secrets abhängt.

Die fünf primären Schwachstellenklassen in einer typischen RADIUS-Bereitstellung sind wie folgt. MD5-Kollisions- und Integritäts-Schwachstellen. Der BlastRADIUS-Angriff (CVE-2024-3596) nutzt das Fehlen eines Integritätsschutzes bei Access-Request-Paketen aus. Da der NAS in vielen Konfigurationen standardmäßig kein Message-Authenticator-Attribut enthält, kann ein Angreifer in einer Man-in-the-Middle-Position ein manipuliertes Attribut in das Paket einschleusen, bevor es den RADIUS-Server erreicht. Durch das Ausnutzen von MD5-Chosen-Prefix-Kollisionstechniken kann der Angreifer das Paket so manipulieren, dass der RADIUS-Server einen gültigen Response Authenticator für das modifizierte Paket berechnet und ein Access-Accept für eine Anfrage zurückgibt, die eigentlich hätte abgelehnt werden müssen. Die Behebung besteht darin, das Message-Authenticator-Attribut für alle Access-Request-Pakete zu erzwingen, was einen HMAC-MD5-Integritätsschutz für das gesamte Paket bietet. Dies ist eine Konfigurationsänderung sowohl auf dem NAS als auch auf dem RADIUS-Server, nicht nur ein Server-Patch.

Schwache oder statische Shared Secrets. Das Shared Secret ist der kryptografische Anker des RADIUS-Austauschs. Wenn es kurz, leicht zu erraten oder nicht rotiert worden ist, kann ein Angreifer, der den RADIUS-Verkehr abfängt – was über ARP-Spoofing oder ein kompromittiertes Netzwerkgerät möglich ist –, einen Offline-Brute-Force-Angriff auf das User-Password-Attribut durchführen. Hier gelten die Richtlinien der NIST SP 800-63B für gespeicherte Geheimnisse: Passwörter sollten mindestens 20 Zeichen lang sein, zufällig generiert und in einem Secrets-Management-System gespeichert werden. Bei großen Infrastrukturen mit Dutzenden oder Hunderten von NAS-Geräten ist eine manuelle Rotation betrieblich nicht machbar; eine Automatisierung über HashiCorp Vault oder einen vergleichbaren Secrets Manager ist der richtige Ansatz.

Unverschlüsselter UDP-Transport. Standard-RADIUS über UDP bietet keine Vertraulichkeit auf der Transportebene. Das User-Password-Attribut wird verschleiert, aber nicht verschlüsselt. Alle anderen Attribute – einschließlich Benutzername, NAS-IP und Sitzungs-Metadaten – werden im Klartext übertragen. RadSec (RADIUS über TLS), definiert in RFC 6614 und aktualisiert in RFC 7360, löst dieses Problem, indem es das RADIUS-Protokoll in eine TLS 1.2- oder TLS 1.3-Sitzung über TCP-Port 2083 verpackt. RadSec bietet eine gegenseitige Zertifikatsauthentifizierung zwischen dem NAS und dem RADIUS-Server, eine vollständige Verschlüsselung der Nutzdaten und einen Replay-Schutz. Es ist der richtige Transport für jeglichen RADIUS-Verkehr, der eine nicht vertrauenswürdige Netzwerkgrenze überschreitet.

EAP-Methodenauswahl. Das Extensible Authentication Protocol (EAP) definiert die interne Authentifizierungsmethode, die innerhalb des 802.1X-Frameworks verwendet wird. EAP-MD5 ist veraltet und sollte unverzüglich aus allen Bereitstellungen entfernt werden – es bietet keine gegenseitige Authentifizierung und keinen Schutz vor dem Abfangen von Zugangsdaten (Credential Harvesting). PEAP (Protected EAP) und EAP-TTLS bauen vor der Übertragung von Zugangsdaten einen TLS-Tunnel mithilfe eines Serverzertifikats auf, was eine gegenseitige Authentifizierung gewährleistet und die interne Methode vor Abhören schützt. EAP-TLS verzichtet vollständig auf Passwörter und erfordert, dass sowohl Server als auch Client ein X.509-Zertifikat vorlegen. Es ist immun gegen Phishing- und Brute-Force-Angriffe und ist die empfohlene Methode für Hochsicherheitsumgebungen.

Unzureichende Protokollierung und Überwachung. Die RADIUS-Erfassung (Accounting) protokolliert jedes Authentifizierungsereignis – Erfolg, Fehlschlag, Sitzungsstart, Sitzungsende. Diese Daten sind betrieblich wertvoll für die Kapazitätsplanung und kommerziell wertvoll für WiFi Analytics , aber sie sind auch eine kritische Quelle für Sicherheitstelemetrie. Häufungen von fehlgeschlagenen Authentifizierungen, Anmeldungen von unerwarteten MAC-Adressen und Zugriffsmuster außerhalb der Arbeitszeiten sind alle in den RADIUS-Accounting-Protokollen erkennbar. Die meisten Organisationen speisen diese Daten nicht in ein SIEM ein, und diejenigen, die es tun, haben oft keine Warnschwellenwerte konfiguriert.

Der BlastRADIUS-Angriff im Detail

BlastRADIUS wurde im Juli 2024 von Forschern der Boston University und der University of California San Diego offengelegt. Der Angriff erfordert eine Man-in-the-Middle-Position zwischen dem NAS und dem RADIUS-Server – realisierbar durch ARP-Spoofing in einem gemeinsamen Netzwerksegment, einen kompromittierten Router oder einen böswilligen Insider mit Netzwerkzugriff.

Der Angriff läuft wie folgt ab: Der Angreifer fängt ein Access-Request-Paket vom NAS ab. Da dem Paket das Attribut "Message-Authenticator" fehlt (der Standard in vielen Konfigurationen), kann der Angreifer die Attributliste des Pakets frei modifizieren. Mithilfe einer MD5-Chosen-Prefix-Kollision erstellt der Angreifer ein modifiziertes Paket, das bei der Verarbeitung durch den RADIUS-Server denselben Response Authenticator erzeugt wie das ursprüngliche Paket. Der Server gibt daher ein Access-Accept für eine Anfrage zurück, die vom Angreifer kontrollierte Attribute enthält – einschließlich eines Service-Type "Administrative", der vollen Netzwerkzugriff gewährt.

Der Angriff ist bei PEAP- und EAP-TTLS-Bereitstellungen anwendbar, bei denen die interne Methode MSCHAPv2 verwendet. EAP-TLS-Bereitstellungen sind davon nicht betroffen, da die zertifikatsbasierte gegenseitige Authentifizierung einen Integritätsschutz bietet, den MD5 nicht untergraben kann.

Für Organisationen, die Guest WiFi parallel zu Corporate 802.1X betreiben, muss auch die RADIUS-Instanz des Gastnetzwerks gepatcht werden, selbst wenn sie MAC-Authentication-Bypass anstelle von EAP nutzt. Die Anforderungen an die Sicherheit des Shared Secret und den Message-Authenticator gelten gleichermaßen.

Implementierungsleitfaden

Phase 1: Sofortige Behebung (Woche 1–2)

Die erste Priorität ist das Patchen. FreeRADIUS 3.2.5 und 3.0.27 enthalten den BlastRADIUS-Fix und erzwingen standardmäßig den Message-Authenticator. Cisco ISE 3.1 Patch 8, 3.2 Patch 4 und 3.3 Patch 1 beheben die Schwachstelle. Microsoft hat im Juli 2024 KB5040434 für Windows Server 2022 NPS veröffentlicht. Überprüfen Sie Ihre aktuellen Versionen und wenden Sie Patches innerhalb Ihres nächsten geplanten Änderungsfensters an.

Überprüfen Sie gleichzeitig die Firmware Ihrer NAS-Geräte. Die Durchsetzung des Message-Authenticators ist nur wirksam, wenn das NAS-Gerät das Attribut auch sendet. Prüfen Sie die Sicherheitshinweise Ihrer Access-Point- und Switch-Hersteller – Aruba, Ruckus, Cisco und Juniper haben alle Firmware-Updates zur Behebung von BlastRADIUS veröffentlicht. Wenn Sie Ruckus-Hardware verwenden, bietet der wireless access point Ruckus guide den entsprechenden Kontext zur Firmware-Verwaltung.

Bei der Behebung von Troubleshooting Windows 11 802.1X Authentication Issues , die nach dem Patch auftreten können, ist die häufigste Ursache, dass der NPS-Server Verbindungen von Clients ablehnt, die keinen Message-Authenticator enthalten – ein korrektes Sicherheitsverhalten, das bei älteren Windows-Clients möglicherweise eine Neukonfiguration des Supplicants erfordert.

Phase 2: Shared Secret Hygiene (Woche 2–4)

Exportieren Sie die vollständige Liste der auf Ihrem RADIUS-Server registrierten NAS-Clients. Erfassen Sie für jeden Eintrag die Länge des Shared Secret und das Datum der letzten Änderung. Jedes Geheimnis, das kürzer als 20 Zeichen ist oder seit mehr als 24 Monaten nicht geändert wurde, sollte sofort rotiert werden.

Verwenden Sie für neue Geheimnisse einen kryptografisch sicheren Zufallsgenerator – openssl rand -base64 32 erzeugt einen 44-stelligen Base64-String, der sich als RADIUS Shared Secret eignet. Speichern Sie alle Geheimnisse in einem Secrets-Management-System. Implementieren Sie einen Rotationsplan: jährlich für NAS-Geräte mit geringem Risiko, alle sechs Monate für NAS-Geräte im PCI-DSS-Scope.

Phase 3: EAP-Methoden-Rationalisierung (Monat 1–2)

Überprüfen Sie die zulässigen EAP-Methoden Ihres RADIUS-Servers. Deaktivieren Sie EAP-MD5. Wenn Sie PEAP-MSCHAPv2 ausführen, stellen Sie sicher, dass die Serverzertifikatsvalidierung auf allen Supplicants erzwungen wird – ein fehlkonfigurierter Supplicant, der jedes Serverzertifikat akzeptiert, ist anfällig für Angriffe durch betrügerische RADIUS-Server. Für Umgebungen im PCI-DSS-Scope ist EAP-TLS der empfohlene Weg. Beginnen Sie mit der PKI-Planung, falls Sie noch keine bestehende Zertifikatsinfrastruktur haben.

Hinweis für Securing Guest WiFi Networks : Gastnetzwerke verwenden in der Regel eine Captive Portal-Authentifizierung anstelle von 802.1X, sodass die Härtung der EAP-Methode in erster Linie für SSIDs von Unternehmen und Mitarbeitern gilt.

Phase 4: RadSec-Bereitstellung (Monat 2–3)

Identifizieren Sie alle RADIUS-Verkehrspfade, die unsichere Netzwerkgrenzen überschreiten. Typische Szenarien sind: ein zentraler RADIUS-Server, der entfernte Hotelobjekte über das Internet bedient; ein in der Cloud gehosteter RADIUS-Dienst, auf den von lokalen NAS-Geräten zugegriffen wird; und RADIUS-Proxy-Ketten, bei denen der Datenverkehr mehrere Netzwerkdomänen durchläuft.

Konfigurieren Sie RadSec für jeden identifizierten Pfad. Bei FreeRADIUS erfordert dies die Aktivierung des tls-Listeners auf Port 2083 und die Konfiguration von Mutual TLS mit Zertifikaten aus Ihrer PKI. Auf Cisco ISE wird RadSec unter Administration > Network Devices konfiguriert. Stellen Sie sicher, dass TLS 1.2 die Mindestversion ist; deaktivieren Sie TLS 1.0 und 1.1 explizit.

Phase 5: MFA für administrativen Zugriff (Monat 2–3)

Die Verwaltungsoberfläche des RADIUS-Servers ist ein lohnendes Ziel. Ein Angreifer, der den RADIUS-Server kompromittiert, kann Authentifizierungsrichtlinien ändern, Shared Secrets extrahieren und den Authentifizierungsverkehr umleiten. Erzwingen Sie MFA für alle administrativen Logins auf dem RADIUS-Server und dem zugrunde liegenden Betriebssystem. Beschränken Sie den Verwaltungszugriff auf ein dediziertes Out-of-Band-Management-VLAN. Implementieren Sie eine rollenbasierte Zugriffskontrolle: Netzwerktechniker sollten nicht dieselben Privilegien wie Sicherheitsadministratoren haben.

Phase 6: SIEM-Integration und Alarmierung (Monat 3–4)

Konfigurieren Sie Ihren RADIUS-Server so, dass er Accounting-Protokolle in Echtzeit an Ihr SIEM weiterleitet. Definieren Sie die folgenden Alarmschwellenwerte als Richtlinie:

Best Practices

Die folgenden Empfehlungen entsprechen dem Konsens von IEEE 802.1X, NIST SP 800-63B, PCI DSS v4.0 und Sicherheitsrichtlinien der Hersteller.

Zertifikatsverwaltung. Bei jeder Bereitstellung, die EAP-TLS oder RadSec nutzt, befinden sich X.509-Zertifikate im Authentifizierungspfad. Das Ablaufen von Zertifikaten ist die häufigste Ursache für plötzliche, vollständige Authentifizierungsausfälle in Enterprise WiFi-Umgebungen. Implementieren Sie ein automatisiertes Zertifikats-Lebenszyklusmanagement. Richten Sie Überwachungswarnungen 90, 30 und 7 Tage vor Ablauf ein. Verwenden Sie für RADIUS-Serverzertifikate eine Mindestschlüssellänge von 2048-Bit-RSA oder 256-Bit-ECDSA mit SHA-256 oder stärkeren Signaturalgorithmen. Verwenden Sie kein SHA-1.

Netzwerksegmentierung. Der RADIUS-Server sollte sich in einem dedizierten Management-Netzwerksegment befinden, das sowohl vom Gastnetzwerk als auch vom allgemeinen Unternehmensnetzwerk isoliert ist. Der Zugriff auf RADIUS-Ports (UDP 1812, 1813, TCP 2083 für RadSec) sollte per Firewall-ACL auf die spezifischen IP-Adressen registrierter NAS-Geräte beschränkt werden. Kein direkter Internetzugriff auf RADIUS-Ports. Redundanz und Hochverfügbarkeit. Ein einzelner RADIUS-Server stellt einen Single Point of Failure für Ihre gesamte Infrastruktur zur Netzwerkzugriffskontrolle dar. Implementieren Sie mindestens zwei RADIUS-Server in einer Aktiv-Passiv- oder Aktiv-Aktiv-Konfiguration. Bei Bereitstellungen im Bereich Hospitality mit Anforderungen an eine 24/7-Gästekonnektivität entspricht ein Ausfall des RADIUS-Servers direkt einem Ausfall des Gäste-WiFi – ein Reputations- und Geschäftsrisiko.

WPA3 und 802.1X. WPA3-Enterprise schreibt die Verwendung des 192-Bit-Sicherheitsmodus für Behörden und Hochsicherheitsumgebungen vor, was AES-256-GCMP für die Datenverschlüsselung und HMAC-SHA-384 für die Authentifizierung erfordert. Für die meisten Unternehmensumgebungen ist WPA3-Enterprise mit standardmäßiger 128-Bit-Sicherheit eine erhebliche Verbesserung gegenüber WPA2-Enterprise, insbesondere in Kombination mit EAP-TLS. Retail -Umgebungen, in denen Kartenzahlungen verarbeitet werden, sollten die Einführung von WPA3-Enterprise als Maßnahme zur Risikominderung gemäß PCI DSS betrachten.

Patch-Frequenz der Anbieter. Abonnieren Sie Sicherheitswarnungen von Ihrem RADIUS-Server-Anbieter und den Herstellern Ihrer NAS-Geräte. FreeRADIUS, Cisco, Microsoft, Aruba und Ruckus veröffentlichen alle CVE-Benachrichtigungen. Integrieren Sie diese in Ihr Schwachstellenmanagement-Programm mit einer definierten SLA: Kritische Schwachstellen (CVSS ≥ 9.0) werden innerhalb von 72 Stunden behoben, hohe Schwachstellen (CVSS 7.0–8.9) innerhalb von 14 Tagen.

Fehlerbehebung und Risikominderung

Häufige Fehlermuster

Authentifizierungsfehler nach Patches. Nach dem Einspielen von BlastRADIUS-Patches können einige NAS-Geräte die Authentifizierung verweigern, wenn ihre Firmware Message-Authenticator nicht unterstützt. Symptome: plötzlicher Anstieg von Access-Reject-Antworten ohne Änderung der Benutzeranmeldedaten. Diagnose: Aktivieren Sie das RADIUS-Debug-Logging und prüfen Sie auf den Fehler „Message-Authenticator required but not present“. Lösung: Aktualisieren Sie die NAS-Firmware oder konfigurieren Sie als Übergangsmaßnahme den RADIUS-Server so, dass er Anfragen ohne Message-Authenticator von bestimmten NAS-IPs akzeptiert, während Firmware-Updates geplant werden.

Zertifikatsvalidierungsfehler bei EAP-TLS. Symptome: Clients erhalten „Authentication Failed“ ohne entsprechenden Access-Reject in den RADIUS-Protokollen. Diagnose: Überprüfen Sie die Zertifikatskette des RADIUS-Servers – wird der ausstellenden Zertifizierungsstelle (CA) vom Supplicant des Clients vertraut? Befindet sich das Serverzertifikat innerhalb seines Gültigkeitszeitraums? Lösung: Stellen Sie sicher, dass die vollständige Zertifikatskette (Leaf + Intermediate + Root) auf dem RADIUS-Server konfiguriert ist. Verteilung des Root-CA-Zertifikats an Client-Geräte via MDM oder Gruppenrichtlinie.

RadSec-TLS-Handshake-Fehler. Symptome: NAS-Geräte können nach einer Konfigurationsänderung keine RadSec-Verbindungen aufbauen. Diagnose: TLS-Versionskompatibilität prüfen – ältere NAS-Firmware unterstützt möglicherweise kein TLS 1.2. Gegenseitige Zertifikatsauthentifizierung prüfen – beide Seiten müssen der CA des jeweils anderen vertrauen. Lösung: Überprüfen Sie die Unterstützung der TLS-Version in den Release Notes der NAS-Firmware; stellen Sie sicher, dass die Zertifikate der NAS-Geräte von derselben CA ausgestellt wurden, der auch der RADIUS-Server vertraut. Shared Secret Mismatch (Ungleicher gemeinsamer Schlüssel). Symptome: Alle Authentifizierungen von einem bestimmten NAS schlagen mit dem Fehler „Ungültiger Authentifikator“ fehl. Diagnose: Ungleicher gemeinsamer Schlüssel (Shared Secret) zwischen der NAS-Konfiguration und dem Client-Eintrag des RADIUS-Servers. Behebung: Geben Sie den gemeinsamen Schlüssel auf beiden Seiten erneut ein und stellen Sie sicher, dass keine nachfolgenden Leerzeichen oder Zeichenkodierungsprobleme vorliegen. Verwenden Sie Copy-Paste aus einem Secrets Manager, um Übertragungsfehler zu vermeiden.

Risikoregister

ROI und geschäftliche Auswirkungen

Quantifizierung des Risikos

Die finanzielle Argumentation für eine RADIUS-Härtung ist im Vergleich zu den Kosten einer Datenschutzverletzung offensichtlich. Die durchschnittlichen Kosten einer Datenschutzverletzung in Großbritannien beliefen sich im Jahr 2024 auf 3,58 Millionen £, einschließlich behördlicher Geldbußen, Behebungsmaßnahmen, Rechtskosten und Reputationsschäden. Für Unternehmen im Geltungsbereich von PCI DSS – wozu praktisch jeder Einzelhandels- und Gastronomie- Betreiber gehört, der Kartenzahlungen über WiFi abwickelt – löst eine Verletzung der Netzwerkzugriffskontrolle, bei der Karteninhaberdaten offengelegt werden, eine obligatorische forensische Untersuchung, potenzielle Geldstrafen von Kartensystemen und eine mögliche Aussetzung der Berechtigung zur Kartenverarbeitung aus.

Für Organisationen im Gesundheitswesen zieht eine GDPR-Verletzung, die Patientendaten betrifft, auf die über einen kompromittierten RADIUS-Server zugegriffen wurde, gemäß Artikel 83 Absatz 5 Geldbußen von bis zu 4 % des weltweiten Jahresumsatzes nach sich. Die Durchsetzungspraxis des ICO zeigt, dass Mängel in der Netzwerksicherheit als Fahrlässigkeit und nicht als technische Unfälle eingestuft werden.

Benchmarks für Implementierungskosten

Die folgenden Kostenschätzungen sind Richtwerte für ein Unternehmen mit 500 Geräten:

Gesamtinvestition für die Härtung eines mittelgroßen Standorts: ca. 20.000–45.000 £. Verglichen mit den durchschnittlichen Kosten einer Datenschutzverletzung von 3,58 Millionen £ ist der risikobereinigte ROI selbst bei geringer Eintrittswahrscheinlichkeit überzeugend.

Betriebliche Vorteile über die Sicherheit hinaus

Eine gehärtete RADIUS-Infrastruktur bietet auch betriebliche Vorteile. Eine zuverlässige, gut überwachte Authentifizierung reduziert Helpdesk-Tickets im Zusammenhang mit der WiFi-Konnektivität. RADIUS-Accounting-Daten bieten in Kombination mit WiFi-Analysen Transparenz auf Sitzungsebene über Netzwerknutzungsmuster, Verweilzeiten und Gerätetypen – Daten, die einen direkten kommerziellen Wert für Standortbetreiber in den Bereichen Gastgewerbe und Transport haben.

Für Organisationen des öffentlichen Sektors und des Gesundheitswesens liefert ein dokumentiertes Programm zur RADIUS-Härtung den Nachweis technischer Kontrollen für Cyber Essentials Plus, ISO 27001- und NHS DSPT-Bewertungen – dies reduziert den Audit-Aufwand und belegt die gebotene Sorgfalt gegenüber den Aufsichtsbehörden.