RADIUS-Schwachstellen entschärfen: Ein Leitfaden zur Sicherheits-Härtung

Zusammenfassung für Führungskräfte

RADIUS (Remote Authentication Dial-In User Service) bleibt das dominierende Protokoll für die Netzwerkzugriffskontrolle in Unternehmens-WiFi-Bereitstellungen und untermauert die IEEE 802.1X-Authentifizierung in Hotels, Einzelhandelsimmobilien, Stadien, Konferenzzentren und Gebäuden des öffentlichen Sektors. RADIUS wurde jedoch in den 1990er Jahren konzipiert, und mehrere seiner grundlegenden Designentscheidungen – die Abhängigkeit von MD5-Hashing, UDP-Transport ohne native Verschlüsselung und statische Shared Secrets – sind im aktuellen Bedrohungsumfeld zu erheblichen Schwachstellen geworden.

Im Juli 2024 zeigte die BlastRADIUS-Schwachstelle (CVE-2024-3596), dass ein Man-in-the-Middle-Angreifer RADIUS Access-Accept-Antworten fälschen kann, indem er die MD5-Integritätsschwäche in Access-Request-Paketen ausnutzt. Dies betrifft alle wichtigen RADIUS-Implementierungen, einschließlich FreeRADIUS, Cisco ISE und Microsoft NPS. Nicht gepatchte Bereitstellungen bleiben exponiert.

Dieser Leitfaden bietet einen priorisierten Härtungs-Fahrplan, der Patch-Management, Shared-Secret-Hygiene, EAP-Methodenauswahl, RadSec-Bereitstellung, Multi-Faktor-Authentifizierung für den administrativen Zugriff und SIEM-Integration zur Anomalieerkennung abdeckt. Er richtet sich an den IT-Experten, der in diesem Quartal eine fundierte Entscheidung treffen muss, nicht erst im nächsten Jahr.

Technischer Einblick

Wie RADIUS funktioniert und wo es Schwachstellen aufweist

RADIUS arbeitet als Client-Server-Protokoll zwischen einem Network Access Server (NAS) – typischerweise einem WiFi-Access Point, Switch oder VPN-Konzentrator – und einem RADIUS-Server, der Anmeldeinformationen gegen einen Backend-Identitätsspeicher wie Active Directory oder LDAP validiert. Der Authentifizierungsaustausch folgt einem in RFC 2865 definierten Anforderungs-Herausforderungs-Antwort-Modell, wobei die Abrechnung separat gemäß RFC 2866 gehandhabt wird.

Das Protokoll überträgt Authentifizierungspakete über UDP, Port 1812 für die Authentifizierung und Port 1813 für die Abrechnung. Das Shared Secret – ein auf dem NAS und dem RADIUS-Server konfigurierter Pre-Shared Key – wird verwendet, um das Feld Response Authenticator zu generieren und das Attribut User-Password über eine MD5-basierte XOR-Chiffre zu verschleiern. Dies ist im modernen Sinne keine Verschlüsselung; es ist eine Verschleierung, und es hängt vollständig von der Geheimhaltung und Stärke des Shared Secrets ab.

Die fünf primären Schwachstellenklassen in einer typischen RADIUS-Bereitstellung sind wie folgt.

MD5-Kollisions- und Integritätsschwachstellen. Der BlastRADIUS-Angriff (CVE-2024-3596) nutzt das Fehlen von Integritätsschutz bei Access-Request-Paketen aus. Da der NAS in vielen Konfigurationen standardmäßig kein Message-Authenticator-Attribut enthält, kann ein Angreifer mit einer Man-in-the-Middle-Position ein manipuliertes Attribut in das Paket einschleusen, bevor es den RADIUS-Server erreicht. Durch die Ausnutzung von MD5-Chosen-Prefix-Kollisionstechniken kann der Angreifer das Paket so manipulieren, dass der RADIUS-Server einen gültigen Response Authenticator für das modifizierte Paket berechnet und einen Access-Accept für eine Anfrage zurückgibt, die hätte abgelehnt werden müssen. Die Abhilfe besteht darin, das Message-Authenticator-Attribut bei allen Access-Request-Paketen zu erzwingen, was einen HMAC-MD5-Integritätsschutz über das gesamte Paket bietet. Dies ist eine Konfigurationsänderung sowohl auf dem NAS als auch auf dem RADIUS-Server, nicht nur ein Server-Patch.

Schwache oder statische Shared Secrets. Das Shared Secret ist der kryptografische Anker des RADIUS-Austauschs. Wenn es kurz, erratbar oder nicht rotiert wurde, kann ein Angreifer, der RADIUS-Verkehr abfängt – machbar über ARP-Spoofing oder ein kompromittiertes Netzwerkgerät – einen Offline-Brute-Force-Angriff gegen das User-Password-Attribut durchführen. Die NIST SP 800-63B-Richtlinien für gespeicherte Geheimnisse gelten hier: Geheimnisse sollten mindestens 20 Zeichen lang, zufällig generiert und in einem Secrets-Management-System gespeichert sein. Für große Umgebungen mit Dutzenden oder Hunderten von NAS-Geräten ist eine manuelle Rotation betrieblich undurchführbar; die Automatisierung über HashiCorp Vault oder einen vergleichbaren Secrets Manager ist der richtige Ansatz.

Unverschlüsselter UDP-Transport. Standard-RADIUS über UDP bietet keine Vertraulichkeit auf Transportschicht. Das User-Password-Attribut ist verschleiert, aber nicht verschlüsselt. Alle anderen Attribute – einschließlich Benutzername, NAS IP und Sitzungsmetadaten – werden im Klartext übertragen. RadSec (RADIUS over TLS), definiert in RFC 6614 und aktualisiert in RFC 7360, behebt dies, indem es das RADIUS-Protokoll in eine TLS 1.2- oder TLS 1.3-Sitzung über TCP-Port 2083 einbettet. RadSec bietet gegenseitige Zertifikatsauthentifizierung zwischen dem NAS und dem RADIUS-Server, vollständige Nutzlastverschlüsselung und Replay-Schutz. Es ist der richtige Transport für jeden RADIUS-Verkehr, der eine nicht vertrauenswürdige Netzwerkgrenze überschreitet.

EAP-Methodenauswahl. Das Extensible Authentication Protocol (EAP) definiert die interne Authentifizierungsmethode, die innerhalb des 802.1X-Frameworks verwendet wird. EAP-MD5 ist veraltet und sollte sofort aus allen Bereitstellungen entfernt werden – es bietet keine gegenseitige Authentifizierung und keinen Schutz vor Credential Harvesting. PEAP (Protected EAP) und EAP-TTLS etablieren einen TLS-Tunnel unter Verwendung eines Serverzertifikats, bevor Anmeldeinformationen übertragen werden, was eine gegenseitige Authentifizierung bietet und die interne Methode vor Abhören schützt. EAP-TLS eliminiert Passwörter vollständig, indem es sowohl vom Server als auch vom Client die Präsentation von X.509-Zertifikaten erfordert. Es ist immun gegen Phishing- und Brute-Force-Angriffe und die empfohlene Methode für Hochsicherheitsumgebungen.

Unzureichende Protokollierung und Überwachung. Die RADIUS-Abrechnung erfasst jedes Authentifizierungsereignis – Erfolg, Fehler, Sitzungsstart, Sitzungsende. Diese Daten sind betrieblich wertvoll für die Kapazitätsplanung und kommerziell wertvoll für WiFi Analytics , aber sie sind auch ein kritische Sicherheitstelemetrie-Quelle. Fehlgeschlagene Authentifizierungsstürme, Authentifizierungen von unerwarteten MAC-Adressen und Zugriffsversuche außerhalb der Geschäftszeiten sind alle aus RADIUS-Accounting-Protokollen erkennbar. Die meisten Organisationen speisen diese Daten nicht in ein SIEM ein, und diejenigen, die es tun, haben oft keine Alarmschwellen konfiguriert.

Der BlastRADIUS-Angriff im Detail

BlastRADIUS wurde im Juli 2024 von Forschern der Boston University und der University of California San Diego offengelegt. Der Angriff erfordert eine Man-in-the-Middle-Position zwischen dem NAS und dem RADIUS-Server – erreichbar über ARP-Poisoning in einem gemeinsam genutzten Netzwerksegment, einen kompromittierten Router oder einen böswilligen Insider mit Netzwerkzugriff.

Der Angriff läuft wie folgt ab: Der Angreifer fängt ein Access-Request-Paket vom NAS ab. Da dem Paket ein Message-Authenticator-Attribut fehlt (Standard in vielen Konfigurationen), kann der Angreifer die Attributliste des Pakets frei ändern. Mithilfe einer MD5-Chosen-Prefix-Kollision erstellt der Angreifer ein modifiziertes Paket, das, wenn es vom RADIUS-Server verarbeitet wird, denselben Response Authenticator erzeugt, den das Originalpaket gehabt hätte. Der Server gibt daher ein Access-Accept für eine Anfrage zurück, die vom Angreifer kontrollierte Attribute enthält – einschließlich eines Service-Type von Administrative, der vollen Netzwerkzugriff gewährt.

Der Angriff ist praktisch gegen PEAP- und EAP-TTLS-Implementierungen, bei denen die innere Methode MSCHAPv2 verwendet. Er betrifft keine EAP-TLS-Implementierungen, da die zertifikatbasierte gegenseitige Authentifizierung einen Integritätsschutz bietet, den MD5 nicht untergraben kann.

Für Organisationen, die Gast-WiFi neben dem Unternehmens-802.1X betreiben, muss auch die RADIUS-Instanz des Gastnetzwerks gepatcht werden, selbst wenn sie MAC Authentication Bypass anstelle von EAP verwendet. Die Anforderungen an die Shared-Secret-Hygiene und den Message-Authenticator gelten gleichermaßen.

Implementierungsleitfaden

Phase 1: Sofortige Behebung (Woche 1–2)

Die erste Priorität ist das Patchen. FreeRADIUS 3.2.5 und 3.0.27 enthalten den BlastRADIUS-Fix und erzwingen standardmäßig den Message-Authenticator. Cisco ISE 3.1 Patch 8, 3.2 Patch 4 und 3.3 Patch 1 beheben die Schwachstelle. Microsoft veröffentlichte KB5040434 für Windows Server 2022 NPS im Juli 2024. Überprüfen Sie Ihre aktuellen Versionen und wenden Sie Patches innerhalb Ihres nächsten geplanten Wartungsfensters an.

Überprüfen Sie gleichzeitig die Firmware Ihrer NAS-Geräte. Die Erzwingung des Message-Authenticators ist nur wirksam, wenn das NAS das Attribut ebenfalls sendet. Überprüfen Sie die Hinweise Ihrer Access Point- und Switch-Anbieter – Aruba, Ruckus, Cisco und Juniper haben alle Firmware-Updates zur Behebung von BlastRADIUS veröffentlicht. Wenn Sie Ruckus-Hardware verwenden, bietet der Leitfaden für Ruckus Wireless Access Points relevante Informationen zur Firmware-Verwaltung.

Für Fehlerbehebung bei Windows 11 802.1X Authentifizierungsproblemen , die nach dem Patch auftreten können, ist die häufigste Ursache, dass der NPS-Server Verbindungen von Clients ablehnt, die keinen Message-Authenticator enthalten – ein korrektes Sicherheitsverhalten, das möglicherweise eine Neukonfiguration des Supplikanten auf älteren Windows-Clients erfordert.

Phase 2: Shared-Secret-Hygiene (Woche 2–4)

Exportieren Sie die vollständige Liste der auf Ihrem RADIUS-Server registrierten NAS-Clients. Notieren Sie für jeden Eintrag die Länge des Shared Secret und das Datum der letzten Änderung. Jedes Secret unter 20 Zeichen oder seit mehr als 24 Monaten unverändert sollte sofort rotiert werden.

Verwenden Sie für neue Secrets einen kryptografisch zufälligen Generator – openssl rand -base64 32 erzeugt einen 44-stelligen Base64-String, der als RADIUS Shared Secret geeignet ist. Speichern Sie alle Secrets in einem Secrets-Management-System. Implementieren Sie einen Rotationsplan: jährlich für NAS-Geräte mit geringem Risiko, alle sechs Monate für NAS-Geräte im PCI DSS-Umfeld.

Phase 3: EAP-Methoden-Rationalisierung (Monat 1–2)

Überprüfen Sie die auf Ihrem RADIUS-Server zugelassenen EAP-Methoden. Deaktivieren Sie EAP-MD5. Wenn Sie PEAP-MSCHAPv2 verwenden, stellen Sie sicher, dass die Serverzertifikatsvalidierung auf allen Supplikanten erzwungen wird – ein falsch konfigurierter Supplikant, der jedes Serverzertifikat akzeptiert, ist anfällig für Angriffe durch bösartige RADIUS-Server. Für Umgebungen im PCI DSS-Umfeld ist EAP-TLS der empfohlene Weg. Beginnen Sie mit der PKI-Planung, falls Sie keine bestehende Zertifikatsinfrastruktur haben.

Für Sicherung von Gast-WiFi-Netzwerken beachten Sie, dass Gastnetzwerke typischerweise Captive Portal-Authentifizierung anstelle von 802.1X verwenden, daher gilt die Härtung der EAP-Methoden hauptsächlich für Unternehmens- und Mitarbeiter-SSIDs.

Phase 4: RadSec-Bereitstellung (Monat 2–3)

Identifizieren Sie alle RADIUS-Verkehrspfade, die nicht vertrauenswürdige Netzwerkgrenzen überschreiten. Häufige Szenarien sind: ein zentraler RADIUS-Server, der entfernte Hotelobjekte über das Internet bedient; ein Cloud-gehosteter RADIUS-Dienst, auf den von lokalen NAS-Geräten zugegriffen wird; und RADIUS-Proxy-Ketten, bei denen der Verkehr mehrere Netzwerkdomänen durchläuft.

Konfigurieren Sie für jeden identifizierten Pfad RadSec. Unter FreeRADIUS erfordert dies die Aktivierung des tls-Listeners auf Port 2083 und die Konfiguration von gegenseitigem TLS mit Zertifikaten Ihrer PKI. Unter Cisco ISE wird RadSec unter Administration > Network Devices konfiguriert. Stellen Sie sicher, dass TLS 1.2 die Mindestversion ist; deaktivieren Sie TLS 1.0 und 1.1 explizit.

Phase 5: MFA für administrativen Zugriff (Monat 2–3)

Die Verwaltungsoberfläche des RADIUS-Servers ist ein hochrangiges Ziel. Ein Angreifer, der den RADIUS-Server kompromittiert, kann Authentifizierungsrichtlinien ändern, Shared Secrets extrahieren und den Authentifizierungsverkehr umleiten. Erzwingen Sie MFA für alle administrativen Anmeldungen am RADIUS-Server und dessen zugrunde liegendem Betriebssystem. Beschränken Sie den Verwaltungszugriff auf ein dediziertes Out-of-Band-Management-VLAN. Implementieren Sie eine rollenbasierte Zugriffskontrolle: Netzwerktechniker sollten nicht dieselben Berechtigungen wie Sicherheitsadministratoren haben.

Phase 6: SIEM-Integration und Alarmierung (Monat 3–4)

Konfigurieren Sie Ihren RADIUS-Server so, dass er Accounting-Logs in Echtzeit an Ihr SIEM weiterleitet. Definieren Sie die folgenden Alarmschwellenwerte als Basis:

Best Practices

Die folgenden Empfehlungen stellen den Konsens von IEEE 802.1X, NIST SP 800-63B, PCI DSS v4.0 und Sicherheitswarnungen von Anbietern dar.

Zertifikatsverwaltung. Jede Bereitstellung, die EAP-TLS oder RadSec verwendet, hat X.509-Zertifikate im Authentifizierungspfad. Der Ablauf von Zertifikaten ist die häufigste Ursache für plötzliche, vollständige Authentifizierungsfehler in Unternehmens-WiFi-Bereitstellungen. Implementieren Sie ein automatisiertes Zertifikats-Lebenszyklus-Management. Legen Sie Überwachungsalarme 90, 30 und 7 Tage vor dem Ablauf fest. Verwenden Sie für RADIUS-Server-Zertifikate eine minimale Schlüssellänge von 2048-Bit RSA oder 256-Bit ECDSA mit SHA-256 oder stärkeren Signaturalgorithmen. Verwenden Sie kein SHA-1.

Netzwerksegmentierung. Der RADIUS-Server sollte sich in einem dedizierten Management-Netzwerksegment befinden, isoliert sowohl vom Gastnetzwerk als auch vom allgemeinen Unternehmensnetzwerk. Der Zugriff auf RADIUS-Ports (UDP 1812, 1813, TCP 2083 für RadSec) sollte durch Firewall-ACL auf die spezifischen IP-Adressen registrierter NAS-Geräte beschränkt werden. Kein direkter Internetzugang zu RADIUS-Ports.

Redundanz und Hochverfügbarkeit. Ein einzelner RADIUS-Server stellt einen Single Point of Failure für Ihre gesamte Netzwerkzugriffskontrollinfrastruktur dar. Stellen Sie mindestens zwei RADIUS-Server in einer Aktiv-Passiv- oder Aktiv-Aktiv-Konfiguration bereit. Für Hospitality -Bereitstellungen mit 24/7-Gastkonnektivitätsanforderungen entspricht die Ausfallzeit des RADIUS-Servers direkt der Ausfallzeit des Gast-WiFi – ein Reputations- und Geschäftsrisiko.

WPA3 und 802.1X. WPA3-Enterprise schreibt die Verwendung des 192-Bit-Sicherheitsmodus für Regierungs- und Hochsicherheitsbereitstellungen vor, der AES-256-GCMP für die Datenverschlüsselung und HMAC-SHA-384 für die Authentifizierung erfordert. Für die meisten Unternehmensbereitstellungen ist WPA3-Enterprise mit standardmäßiger 128-Bit-Sicherheit eine erhebliche Verbesserung gegenüber WPA2-Enterprise, insbesondere in Kombination mit EAP-TLS. Retail -Umgebungen, die Kartenzahlungen verarbeiten, sollten die Einführung von WPA3-Enterprise als PCI DSS-Risikominderungsmaßnahme betrachten.

Patch-Frequenz des Anbieters. Abonnieren Sie Sicherheitswarnungen von Ihrem RADIUS-Server-Anbieter und Ihren NAS-Geräteanbietern. FreeRADIUS, Cisco, Microsoft, Aruba und Ruckus veröffentlichen alle CVE-Benachrichtigungen. Integrieren Sie diese in Ihr Schwachstellenmanagementprogramm mit einem definierten SLA: kritische Schwachstellen (CVSS ≥ 9.0) innerhalb von 72 Stunden behoben; hohe Schwachstellen (CVSS 7.0–8.9) innerhalb von 14 Tagen.

Fehlerbehebung und Risikominderung

Häufige Fehlermodi

Authentifizierungsfehler nach Patches. Nach der Anwendung von BlastRADIUS-Patches können einige NAS-Geräte die Authentifizierung verweigern, wenn ihre Firmware Message-Authenticator nicht unterstützt. Symptome: plötzlicher Anstieg von Access-Reject-Antworten ohne Änderung der Benutzeranmeldeinformationen. Diagnose: Aktivieren Sie die RADIUS-Debug-Protokollierung und suchen Sie nach Fehlern wie „Message-Authenticator required but not present“. Lösung: Aktualisieren Sie die NAS-Firmware oder konfigurieren Sie den RADIUS-Server vorübergehend so, dass er Anfragen ohne Message-Authenticator von bestimmten NAS-IPs akzeptiert, während Firmware-Updates geplant werden.

Zertifikatsvalidierungsfehler in EAP-TLS. Symptome: Clients erhalten „Authentication Failed“ ohne entsprechende Access-Reject-Einträge in den RADIUS-Logs. Diagnose: Überprüfen Sie die Zertifikatskette des RADIUS-Servers – wird die ausstellende CA vom Supplikanten des Clients vertraut? Liegt das Serverzertifikat innerhalb seines Gültigkeitszeitraums? Lösung: Stellen Sie sicher, dass die vollständige Zertifikatskette (Blatt + Zwischen + Stamm) auf dem RADIUS-Server konfiguriert ist. Verteilen Sie das Stamm-CA-Zertifikat über MDM oder Gruppenrichtlinien an Client-Geräte.

RadSec TLS-Handshake-Fehler. Symptome: NAS-Geräte können nach einer Konfigurationsänderung keine RadSec-Verbindungen herstellen. Diagnose: Überprüfen Sie die TLS-Versionskompatibilität – ältere NAS-Firmware unterstützt möglicherweise TLS 1.2 nicht. Überprüfen Sie die gegenseitige Zertifikatsauthentifizierung – beide Enden müssen der CA des jeweils anderen vertrauen. Lösung: Überprüfen Sie die TLS-Versionsunterstützung in den Release Notes der NAS-Firmware; stellen Sie sicher, dass die NAS-Gerätezertifikate von derselben CA ausgestellt wurden, der der RADIUS-Server vertraut.

Shared Secret-Nichtübereinstimmung. Symptome: Alle Authentifizierungen von einem bestimmten NAS schlagen mit „Invalid authenticator“-Fehlern fehl. Diagnose: Shared Secret-Nichtübereinstimmung zwischen der NAS-Konfiguration und dem RADIUS-Server-Client-Eintrag. Lösung: Geben Sie das Shared Secret auf beiden Seiten erneut ein und stellen Sie sicher, dass keine nachgestellten Leerzeichen oder Zeichenkodierungsprobleme vorliegen. Verwenden Sie Kopieren und Einfügen aus einem Secrets Manager, um Übertragungsfehler zu vermeiden.

Risikoregister

ROI und Geschäftsauswirkungen

Quantifizierung des Risikos

Der finanzielle Fall für die RADIUS-Härtung ist unkompliziert, wenn man ihn den Kosten von Datenschutzverletzungen gegenüberstellt. Die durchschnittlichen Kosten einer Datenschutzverletzung im Vereinigten Königreich im Jahr 2024 betrugen 3,58 Millionen Pfund, einschließlich behördlicher Bußgelder, Sanierung, Rechtskosten und Reputationsschäden. Für Organisationen im PCI DSS-Geltungsbereich – der praktisch jedes Retail - und Hospitality -Unternehmen umfasstfür die Verarbeitung von Kartenzahlungen über WiFi – ein Verstoß gegen die Netzwerkzugriffskontrolle, der Kartendaten offenlegt, löst eine obligatorische forensische Untersuchung, potenzielle Kartensystemstrafen und eine mögliche Aussetzung der Kartenverarbeitungsrechte aus.

Für Healthcare -Organisationen zieht ein GDPR-Verstoß, der Patientendaten über einen kompromittierten RADIUS-Server betrifft, gemäß Artikel 83(5) Bußgelder von bis zu 4 % des weltweiten Jahresumsatzes nach sich. Die Durchsetzungsbilanz des ICO zeigt, dass Netzwerksicherheitsfehler als Fahrlässigkeit und nicht als technische Unfälle behandelt werden.

Kostenbenchmarks für die Implementierung

Die folgenden Kostenschätzungen sind Richtwerte für ein Unternehmensnetzwerk mit 500 Geräten:

Gesamtinvestition für die Härtung eines mittelgroßen Netzwerks: ca. £20.000–£45.000. Angesichts einer Basislinie für die Kosten eines Verstoßes von £3,58 Millionen ist der risikobereinigte ROI selbst bei niedrigen Schätzungen der Verstoßwahrscheinlichkeit überzeugend.

Operative Vorteile jenseits der Sicherheit

Eine gehärtete RADIUS-Infrastruktur bietet auch operative Vorteile. Eine zuverlässige, gut überwachte Authentifizierung reduziert Helpdesk-Tickets im Zusammenhang mit der WiFi-Konnektivität. RADIUS-Abrechnungsdaten, integriert mit WiFi Analytics , bieten Transparenz auf Sitzungsebene über Netzwerknutzungsmuster, Verweildauern und Gerätetypen – Daten, die für Betreiber von Veranstaltungsorten in Hospitality - und Transport -Umgebungen einen direkten kommerziellen Wert haben.

Für Organisationen des öffentlichen Sektors und im Healthcare -Bereich bietet ein dokumentiertes RADIUS-Härtungsprogramm Nachweise für technische Kontrollen bei Cyber Essentials Plus, ISO 27001 und NHS DSPT-Bewertungen – dies reduziert den Audit-Aufwand und demonstriert die Sorgfaltspflicht gegenüber Aufsichtsbehörden.