Saltar al contenido principal
Español (México)

Mitigación de vulnerabilidades de RADIUS: Una guía de fortalecimiento de seguridad

Esta guía proporciona una referencia completa y práctica para gerentes de TI, arquitectos de red y CTO responsables de la infraestructura de WiFi empresarial en los sectores de hospitalidad, retail, eventos y entornos del sector público. Cubre toda la superficie de ataque de las implementaciones de servidores RADIUS, desde vulnerabilidades de colisión MD5 y secretos compartidos débiles hasta transporte UDP sin cifrar y métodos EAP mal configurados, y ofrece una hoja de ruta de fortalecimiento priorizada y alineada con los requisitos de IEEE 802.1X, PCI DSS y GDPR. Las organizaciones que implementen estas recomendaciones reducirán de manera significativa su exposición a ataques de red basados en credenciales, cumplirán con sus obligaciones de conformidad y construirán una postura de seguridad sólida para su infraestructura de WiFi corporativa y de invitados.

📖 12 min de lectura📝 2,764 palabras🔧 2 ejemplos resueltos3 preguntas de práctica📚 10 definiciones clave

Escucha esta guía

Ver transcripción del podcast
MITIGACIÓN DE VULNERABILIDADES DE RADIUS: UNA GUÍA DE FORTALECIMIENTO DE SEGURIDAD Un informe de inteligencia de Purple WiFi [INTRODUCCIÓN — aprox. 1 minuto] Bienvenido. Soy su anfitrión para el informe de hoy, y durante los próximos diez minutos iremos directo al grano sobre algo que mantiene despiertos a muchos arquitectos de red y gerentes de TI: la seguridad del servidor RADIUS. Si opera WiFi empresarial en un complejo hotelero, una cadena de tiendas, un estadio o un edificio del sector público, su infraestructura RADIUS es uno de los componentes más críticos —y que más se pasa por alto— en su postura de seguridad. Comencemos. [CONTEXTO — aprox. 1 minuto] RADIUS —Remote Authentication Dial-In User Service— ha sido la columna vertebral del control de acceso a la red desde mediados de los noventa. Es el protocolo que se ubica entre sus puntos de acceso y su directorio de identidad, decidiendo quién entra a la red y quién no. IEEE 802.1X, que sustenta prácticamente cualquier implementación de autenticación cableada y WiFi empresarial, depende de RADIUS para funcionar. El problema es que RADIUS se diseñó en una época en la que el panorama de amenazas era muy diferente. El protocolo utiliza UDP, que no está orientado a la conexión y, por lo tanto, es más difícil de proteger. Su mecanismo de autenticación principal ha dependido históricamente del hash MD5, un algoritmo criptográfico que ha demostrado estar roto desde 2004. Y los secretos compartidos, las claves precompartidas que autentican sus puntos de acceso ante su servidor RADIUS, a menudo se configuran una vez y nunca se rotan. In 2024, los investigadores publicaron un ataque práctico contra RADIUS llamado BlastRADIUS: un ataque de intermediario (man-in-the-middle) que explota la vulnerabilidad de MD5 para falsificar respuestas de autenticación. Esto no es teórico. Es un vector de ataque real y documentado que afecta a las implementaciones que ejecutan FreeRADIUS, Cisco ISE y Microsoft NPS sin parches. Si no ha aplicado parches desde mediados de 2024, está expuesto. Los riesgos comerciales son significativos. Un servidor RADIUS comprometido no solo significa acceso WiFi no autorizado. Significa que un atacante puede autenticarse como cualquier usuario en su red, eludir la segmentación de red y potencialmente acceder a sistemas de pago, expedientes médicos o tecnología operativa. Para los entornos minoristas que procesan pagos con tarjeta, eso representa una violación directa de PCI DSS. Para el sector salud, es un problema de GDPR y de gobernanza clínica. Para la industria de la hospitalidad, significa daño a la marca y posibles multas regulatorias. [ANÁLISIS TÉCNICO PROFUNDO — aprox. 5 minutos] Analicemos la superficie de ataque de manera sistemática. La primera clase de vulnerabilidad es el riesgo de colisión MD5. RADIUS utiliza MD5 para proteger el atributo User-Password y para generar el campo Response Authenticator. MD5 produce un hash de 128 bits, y los ataques de colisión —donde dos entradas diferentes producen el mismo hash— han sido viables desde 2004. El ataque BlastRADIUS explota específicamente la falta de protección de integridad en los paquetes Access-Request. Un atacante posicionado entre su dispositivo NAS —es decir, su servidor de acceso a la red, típicamente su punto de acceso o switch— y su servidor RADIUS puede inyectar un atributo diseñado en el paquete y obligar al servidor a devolver un Access-Accept, incluso para una credencial inválida. La solución aquí es doble: aplique el parche a su servidor RADIUS a la última versión y exija el Message-Authenticator en todos los paquetes Access-Request. FreeRADIUS 3.2.5 y versiones posteriores requieren esto por defecto. La segunda clase de vulnerabilidad son los secretos compartidos débiles o estáticos. El secreto compartido es la clave precompartida entre su NAS y su servidor RADIUS. Si es corto, vulnerable a ataques de diccionario o no se ha rotado en años, es un riesgo. RADIUS utiliza este secreto para cifrar el atributo User-Password y para generar el Response Authenticator. Un secreto compartido débil significa que un atacante que capture el tráfico de RADIUS —lo cual es trivial en una red que ya ha comprometido parcialmente— puede descifrar la contraseña por fuerza bruta fuera de línea. La mejor práctica es un mínimo de 32 caracteres, generados aleatoriamente y rotados al menos una vez al año. Automatice esta rotación; hacerlo manualmente en una gran infraestructura es propenso a errores. La tercera clase de vulnerabilidad es el transporte no cifrado. El estándar RADIUS se ejecuta sobre UDP en el puerto 1812 para autenticación y 1813 para contabilidad. UDP no proporciona cifrado de capa de transporte, ni verificación de integridad, ni protección contra repetición más allá de lo que el propio RADIUS implementa —lo cual, como hemos establecido, es insuficiente. RadSec, definido formalmente en RFC 6614, envuelve RADIUS en TLS 1.2 o 1.3 sobre el puerto TCP 2083. Esto proporciona autenticación mutua mediante certificados, cifrado completo de la carga útil de RADIUS y protección contra repetición. Si está ejecutando RADIUS a través de cualquier segmento de red no confiable —incluyendo un enlace WAN entre un sitio remoto y un servidor RADIUS central— RadSec no es opcional. Es un requisito. La cuarta clase de vulnerabilidad es la selección del método EAP. No todos los métodos EAP son iguales. EAP-MD5 debe considerarse obsoleto: no proporciona autenticación mutua ni cifrado del intercambio de autenticación. PEAP y EAP-TTLS son aceptables para la mayoría de las implementaciones empresariales, ya que establecen un túnel TLS antes de transmitir las credenciales y admiten la autenticación mutua mediante certificados de servidor. EAP-TLS es el estándar de oro: requiere que tanto el servidor como el cliente presenten certificados, eliminando por completo la contraseña del intercambio de autenticación. Esto lo hace inmune al phishing de credenciales y a los ataques de fuerza bruta. La sobrecarga operativa de implementar una PKI para emitir certificados de cliente es real, pero para entornos de alta seguridad (redes de atención médica, zonas de procesamiento de pagos, sistemas de back-of-house de retail) es la decisión correcta. La quinta clase de vulnerabilidad es el registro y monitoreo insuficientes. Los datos de contabilidad de RADIUS son una mina de oro para la detección de amenazas, y la mayoría de las organizaciones no los están utilizando. Cada intento de autenticación, exitoso o fallido, genera un registro contable. Los patrones de autenticaciones fallidas, las autenticaciones desde direcciones MAC inesperadas o las autenticaciones en horarios inusuales son indicadores de compromiso. Integre su flujo de contabilidad RADIUS en su SIEM. Configure alertas para más de cinco autenticaciones fallidas desde una sola dirección MAC en sesenta segundos. Monitoree las tormentas de Access-Reject, que pueden indicar un ataque de relleno de credenciales (credential stuffing) en curso. [RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES — aprox. 2 minutos] Permítame darle una secuencia práctica para un proyecto de robustecimiento. Comience con el parcheo. Esto no es negociable y debe hacerse dentro de su próxima ventana de cambios. FreeRADIUS, Cisco ISE y Microsoft NPS lanzaron parches para BlastRADIUS en julio de 2024. Verifique su versión, aplique el parche y compruebe que la aplicación de Message-Authenticator esté activa. Luego, audite sus secretos compartidos. Obtenga la lista de cada dispositivo NAS registrado en su servidor RADIUS. Para cada uno, verifique la longitud y la antigüedad del secreto compartido. Cualquier elemento de menos de 20 caracteres o de más de dos años de antigüedad debe rotarse de inmediato. Utilice un administrador de contraseñas o un almacén de secretos (HashiCorp Vault funciona bien aquí) para almacenarlos y rotarlos mediante programación. Tercero, evalúe su método EAP. Si está ejecutando EAP-MD5 en cualquier lugar, migre fuera de él ahora mismo. PEAP-MSCHAPv2 es una posición intermedia razonable para la mayoría de los entornos empresariales. Si cuenta con la infraestructura PKI, EAP-TLS es el estado objetivo. Cuarto, implemente RadSec para cualquier tráfico RADIUS que atraviese segmentos de red no confiables. Esto es particularmente relevante para implementaciones en múltiples sitios donde un servidor RADIUS central brinda servicio a ubicaciones remotas a través de Internet o de una WAN compartida. Quinto, habilite la autenticación multifactor para el acceso privilegiado al propio servidor RADIUS. La interfaz de administración del servidor es un objetivo de alto valor. Implemente MFA para todos los inicios de sesión administrativos y restrinja el acceso de administración a una red de administración fuera de banda dedicada. Ahora, los errores comunes. El error más frecuente que veo es que las organizaciones aplican el parche al servidor RADIUS pero dejan los dispositivos NAS con un firmware antiguo que no es compatible con Message-Authenticator. El parche solo es efectivo si ambos extremos lo aplican. Audite el firmware de sus puntos de acceso y switches como parte del mismo proyecto. El segundo error común es el vencimiento de los certificados. Si utiliza EAP-TLS o RadSec, hay certificados en juego. Un certificado de servidor RADIUS que venza silenciosamente provocará que todas las autenticaciones de su red fallen simultáneamente. Integre el monitoreo de vencimiento de certificados en su manual de procedimientos operativos. Configure alertas a los 90, 30 y 7 días antes del vencimiento. El tercer error es confiar demasiado en la segmentación de red como control de compensación. La segmentación es importante, pero no protege contra un atacante que ya se ha autenticado a través de un servidor RADIUS comprometido. La defensa en profundidad significa que necesita tanto el endurecimiento de RADIUS como la segmentación. [PREGUNTAS Y RESPUESTAS RÁPIDAS — aprox. 1 minuto] Pregunta: ¿Necesito RadSec si mi servidor RADIUS está en la misma LAN que mis puntos de acceso? Respuesta: Si están en la misma VLAN de administración segmentada y confiable, sin dispositivos no confiables, el RADIUS estándar sobre UDP es aceptable para el tramo de NAS a servidor. Pero si existe alguna posibilidad de movimiento lateral desde un dispositivo comprometido que llegue a esa VLAN, RadSec agrega una protección significativa a bajo costo. Pregunta: Usamos Microsoft NPS. ¿Nos afecta BlastRADIUS? Respuesta: Sí. Microsoft lanzó un parche en julio de 2024. Aplíquelo. También aplique la clave de registro RequireMessageAuthenticator en su servidor NPS. Pregunta: ¿Cómo manejo el WiFi de invitados? Los invitados no tienen certificados. Respuesta: El WiFi de invitados suele utilizar un modelo de Captive Portal en lugar de 802.1X, por lo que RADIUS se utiliza de forma diferente; a menudo solo para la omisión de autenticación MAC o contabilidad. Se aplica la misma higiene de parches y secretos compartidos, pero EAP-TLS no es relevante para el acceso de invitados no autenticados. Concéntrese en aislar la instancia de RADIUS de invitados de su infraestructura RADIUS corporativa. Pregunta: ¿Cuál es el caso de ROI para una migración completa a EAP-TLS? Respuesta: Cuantifíquelo frente al riesgo de una brecha de seguridad. Una sola brecha de PCI DSS cuesta un promedio de cuatro millones de libras en multas, remediación y daño a la reputación. Una implementación de PKI para un parque de 500 dispositivos cuesta aproximadamente entre 15,000 y 30,000 libras en herramientas y servicios profesionales. Las matemáticas son sencillas. [RESUMEN Y PRÓXIMOS PASOS — aprox. 1 minuto] Permítame dejarle cinco tareas para este trimestre. Uno: Aplique el parche para BlastRADIUS en su servidor RADIUS y en todos los dispositivos NAS. Haga esto primero. Two: Audite y rote todos los secretos compartidos. Automatice la rotación de ahora en adelante. Tres: Exigir Message-Authenticator en todos los paquetes Access-Request. Cuatro: Implementar RadSec para cualquier tráfico RADIUS que cruce límites de red no confiables. Cinco: Integrar los registros de contabilidad de RADIUS en su SIEM y configurar alertas de anomalías. La seguridad de RADIUS no es glamorosa, pero es fundamental. Al hacer bien estas cinco cosas, habrá cerrado los vectores de ataque más significativos contra su infraestructura de control de acceso a la red. Gracias por escuchar. Para obtener más información sobre la arquitectura de seguridad de WiFi empresarial, visite purple.ai. Esto ha sido un informe de inteligencia de Purple WiFi.

header_image.png

执行摘要

RADIUS(远程认证拨入用户服务)仍然是企业WiFi部署中网络访问控制的主要协议,支撑着酒店、零售场所、体育场馆、会议中心和公共部门建筑中的IEEE 802.1X认证。然而,RADIUS的架构设计源于20世纪90年代,其几项基础设计决策——依赖MD5哈希、无原生加密的UDP传输以及静态共享密钥——在当前威胁环境下已成为重大风险。

2024年7月,BlastRADIUS漏洞(CVE-2024-3596)表明,中间人攻击者可通过利用Access-Request数据包中的MD5完整性弱点伪造RADIUS Access-Accept响应。这一漏洞影响所有主要RADIUS实现,包括FreeRADIUS、Cisco ISE和Microsoft NPS。未打补丁的部署仍然面临风险。

本指南提供了一份优先加固路线图,涵盖补丁管理、共享密钥卫生、EAP方法选择、RadSec部署、管理访问的多因素认证以及用于异常检测的SIEM集成。本指南面向需要在本季度而非下一年做出可辩护决策的IT专业人士。

radius_architecture_overview.png

技术深度剖析

RADIUS工作原理及其薄弱环节

RADIUS作为一种客户端-服务器协议运行在网络接入服务器(NAS)——通常是WiFi接入点、交换机或VPN集中器——与RADIUS服务器之间,后者会针对后端身份存储(如Active Directory或LDAP)验证凭据。认证交换遵循RFC 2865定义的请求-挑战-响应模型,计费则按照RFC 2866单独处理。

该协议通过UDP传输认证数据包,认证端口为1812,计费端口为1813。共享密钥(即在NAS和RADIUS服务器上配置的预共享密钥)用于生成响应验证器字段,并通过基于MD5的XOR密文加密用户密码属性。这与现代意义上的加密无关;它是一种混淆手段,完全依赖于共享密钥的保密性和强度。

典型RADIUS部署中的五个主要漏洞类别如下。

MD5碰撞和完整性漏洞。 BlastRADIUS攻击(CVE-2024-3596)利用了Access-Request数据包缺乏完整性保护的弱点。由于许多配置中NAS默认不包含Message-Authenticator属性,处于中间人位置的攻击者可以在数据包到达RADIUS服务器之前注入精心设计的属性。通过利用MD5选择前缀碰撞技术,攻击者可以操纵数据包,使得RADIUS服务器为修改后的数据包计算出有效的响应验证器,从而为本应被拒绝的请求返回Access-Accept。补救措施是在所有Access-Request数据包上强制执行Message-Authenticator属性,该属性为整个数据包提供HMAC-MD5完整性保护。这需要在NAS和RADIUS服务器上都进行配置更改,而不仅仅是服务器补丁。

弱共享密钥或静态共享密钥。 共享密钥是RADIUS交换的加密锚点。如果密钥过短、易被猜测或从未轮换,捕获RADIUS流量的攻击者(通过ARP欺骗或受感染的网络设备可实现)便可对用户密码属性进行离线暴力破解。NIST SP 800-63B关于记忆秘密的指南在此处适用:密钥应至少包含20个字符,随机生成,并存储在密钥管理系统中。对于拥有数十或数百个NAS设备的大型网络,手动轮换在操作上不可行;通过HashiCorp Vault或类似的密钥管理器实现自动化是正确的做法。

未加密的UDP传输。 标准RADIUS over UDP不提供传输层机密性。用户密码属性被混淆但未加密。所有其他属性——包括用户名、NAS IP和会话元数据——均以明文传输。RadSec(RADIUS over TLS),定义于RFC 6614并更新于RFC 7360,通过在TCP端口2083上建立TLS 1.2或TLS 1.3会话,将RADIUS协议包装在TLS隧道中,解决了这一问题。RadSec在NAS与RADIUS服务器之间提供双向证书认证、完整的有效载荷加密以及重放保护。对于跨越非可信网络边界的任何RADIUS流量,这都是正确的传输方式。

EAP方法选择。 可扩展认证协议(EAP)定义了在802.1X框架内使用的内部认证方法。EAP-MD5已弃用,应立即从所有部署中移除——它不提供双向认证,也无法抵御凭据窃取攻击。PEAP(受保护的EAP)和EAP-TTLS在传输凭据前使用服务器证书建立TLS隧道,提供双向认证并保护内部方法免遭窃听。EAP-TLS完全消除了密码,要求服务器和客户端都提供X.509证书。它免疫于网络钓鱼和暴力破解攻击,是高安全环境的推荐方法。

日志记录和监控不足。 RADIUS计费记录了每一个认证事件——成功、失败、会话开始、会话结束。这些数据在操作上对容量规划有价值,在商业上对 WiFi Analytics 也很有价值,但同时也是一个关键的安全遥测来源。失败的认证风暴、来自未知MAC地址的认证以及非工作时间的访问模式都可以从RADIUS计费日志中检测到。大多数组织并未将这些数据采集到SIEM中,而那些已采集的组织通常也未配置任何告警阈值。

eap_comparison_chart.png

BlastRADIUS攻击详解

BlastRADIUS于2024年7月由波士顿大学和加州大学圣地亚哥分校的研究人员披露。该攻击需要在NAS与RADIUS服务器之间处于中间人位置——可通过共享网段上的ARP投毒、受感染的路由器或具有网络访问权限的恶意内部人员实现。

攻击过程如下:攻击者截获来自NAS的Access-Request数据包。由于数据包缺少Message-Authenticator属性(许多配置中的默认设置),攻击者可以自由修改数据包的属性列表。通过使用MD5选择前缀碰撞,攻击者构造一个修改后的数据包,当RADIUS服务器处理该数据包时,会生成与原始数据包相同的响应验证器。因此,服务器会为包含攻击者控制属性的请求返回Access-Accept——包括授权完整网络访问的Administrative服务类型。

此攻击对内部方法使用MSCHAPv2的PEAP和EAP-TTLS部署有效。它不影响EAP-TLS部署,因为基于证书的双向认证提供了MD5无法破坏的完整性保护。

对于同时运行 Guest WiFi 和企业802.1X的组织,访客网络的RADIUS实例也必须打补丁,即使它使用MAC认证绕过而非EAP。共享密钥卫生和Message-Authenticator要求同样适用。

实施指南

第一阶段:立即修复(第1-2周)

首要任务是打补丁。FreeRADIUS 3.2.5和3.0.27包含BlastRADIUS修复,并默认强制执行Message-Authenticator。Cisco ISE 3.1补丁8、3.2补丁4和3.3补丁1解决了该漏洞。微软于2024年7月为Windows Server 2022 NPS发布了KB5040434。请验证您当前的版本,并在下一个计划中的变更窗口内应用补丁。

同时,审核您的NAS设备固件。只有当NAS也发送Message-Authenticator属性时,其强制执行才有效。请检查您的接入点和交换机供应商公告——Aruba、Ruckus、Cisco和Juniper都发布了针对BlastRADIUS的固件更新。如果您正在运行Ruckus硬件, 无线接入点Ruckus指南 提供了相关的固件管理背景。

对于补丁后可能出现的 Windows 11 802.1X认证问题排除 ,最常见的原因是NPS服务器拒绝来自不包含Message-Authenticator的客户端的连接——这是一种正确的安全行为,可能需要在旧版Windows客户端上重新配置请求方。

第二阶段:共享密钥卫生(第2-4周)

导出RADIUS服务器上注册的NAS客户端完整列表。对于每个条目,记录共享密钥长度和最后更改日期。任何长度低于20个字符或超过24个月未更改的密钥应立即轮换。

对于新密钥,使用加密随机生成器——openssl rand -base64 32生成一个44字符的base64字符串,适合用作RADIUS共享密钥。将所有密钥存储在密钥管理系统中。实施轮换计划:低风险NAS设备每年一次,PCI DSS范围内的NAS设备每六个月一次。

第三阶段:EAP方法合理化(第1-2个月)

审核RADIUS服务器允许的EAP方法。禁用EAP-MD5。如果您正在运行PEAP-MSCHAPv2,请验证所有请求方都强制执行服务器证书验证——配置不当的请求方接受任何服务器证书,容易受到恶意RADIUS服务器攻击。对于PCI DSS范围内的环境,推荐使用EAP-TLS。如果您没有现有的证书基础设施,请开始PKI规划。

对于 保护访客WiFi网络 ,请注意访客网络通常使用Captive Portal认证而非802.1X,因此EAP方法加固主要适用于企业和员工SSID。

第四阶段:RadSec部署(第2-3个月)

识别所有跨越非可信网络边界的RADIUS流量路径。常见场景包括:中心RADIUS服务器通过互联网为远程酒店提供服务;本地NAS设备访问云端RADIUS服务;以及RADIUS代理链中流量穿越多个网络域。

对于每条已识别的路径,配置RadSec。在FreeRADIUS上,这需要在端口2083上启用tls监听器,并使用来自PKI的证书配置双向TLS。在Cisco ISE上,RadSec在管理 > 网络设备下配置。确保最低使用TLS 1.2;明确禁用TLS 1.0和1.1。

第五阶段:管理访问的多因素认证(第2-3个月)

RADIUS服务器的管理界面是一个高价值目标。攻陷RADIUS服务器的攻击者可以修改认证策略、提取共享密钥并重定向认证流量。对所有RADIUS服务器及其底层操作系统的管理登录强制执行MFA。将管理访问限制在专用的带外管理VLAN。实施基于角色的访问控制:网络工程师不应拥有与安全管理员相同的权限。

第六阶段:SIEM集成和告警(第3-4个月)

配置您的RADIUS服务器,将计费日志实时转发到SIEM。定义以下基准告警阈值:

告警 阈值 严重性
单个MAC地址的多次认证失败 60秒内 >5次
Access-Reject速率激增 超出7天基线的200%
企业SSID上新MAC地址的认证 首次出现
RADIUS服务器证书即将到期 90 / 30 / 7 天 高 / 关键 / 关键
共享密钥不匹配错误 任何发生

最佳实践

以下建议综合了IEEE 802.1X、NIST SP 800-63B、PCI DSS v4.0及供应商安全公告的共识。

证书管理。 任何使用EAP-TLS或RadSec的部署,在其认证路径中都会涉及X.509证书。证书过期是企业WiFi部署中突发、全面认证故障的最常见原因。实施自动化的证书生命周期管理。在证书到期前90天、30天和7天设置监控告警。对于RADIUS服务器证书,使用最小2048位RSA或256位ECDSA密钥,以及SHA-256或更强的签名算法。不要使用SHA-1。

网络分段。 RADIUS服务器应位于专用管理网段上,与访客网络和一般企业网络隔离。对RADIUS端口(UDP 1812、1813、TCP 2083用于RadSec)的访问应通过防火墙ACL限制为已注册NAS设备的特定IP地址。不允许任何直接的互联网访问RADIUS端口。

冗余和高可用性。 单个RADIUS服务器是整个网络访问控制基础设施的单点故障。部署至少两台RADIUS服务器,采用主备或主主配置。对于具有24/7访客连接需求的 Hospitality 部署,RADIUS服务器停机时间直接等同于访客WiFi停机时间——这是一种声誉和商业风险。

WPA3和802.1X。 WPA3-Enterprise要求政府和高度安全部署使用192位安全模式,需要AES-256-GCMP进行数据加密,以及HMAC-SHA-384进行认证。对于大多数企业部署,使用标准128位安全的WPA3-Enterprise相比WPA2-Enterprise已有显著改进,特别是与EAP-TLS结合使用时。处理卡支付的 零售 环境应将采用WPA3-Enterprise视为降低PCI DSS风险的措施。

供应商补丁节奏。 订阅来自RADIUS服务器供应商和NAS设备供应商的安全公告。FreeRADIUS、Cisco、Microsoft、Aruba和Ruckus均发布CVE通知。将这些信息纳入您的漏洞管理计划,并规定明确的SLA:关键漏洞(CVSS ≥ 9.0)在72小时内修补;高危漏洞(CVSS 7.0–8.9)在14天内修补。

故障排除与风险缓解

常见故障模式

打补丁后的认证失败。 应用BlastRADIUS补丁后,如果某些NAS设备的固件不支持Message-Authenticator,它们可能无法进行认证。症状:Access-Reject响应突然增加,而用户凭据没有变化。诊断:启用RADIUS调试日志,并检查“需要但不存在Message-Authenticator”错误。解决方法:更新NAS固件,或者作为临时措施,在计划固件更新期间,将RADIUS服务器配置为接受来自特定NAS IP且不带Message-Authenticator的请求。

EAP-TLS中的证书验证失败。 症状:客户端收到“认证失败”,但RADIUS日志中没有相应的Access-Reject。诊断:检查RADIUS服务器的证书链——颁发CA是否受客户端请求方信任?服务器证书是否在有效期内?解决方法:确保完整证书链(叶证书 + 中间证书 + 根证书)已在RADIUS服务器上配置。通过MDM或组策略将根CA证书推送到客户端设备。

RadSec TLS握手失败。 症状:配置更改后,NAS设备无法建立RadSec连接。诊断:检查TLS版本兼容性——旧版NAS固件可能不支持TLS 1.2。检查双向证书认证——两端必须互相信任对方的CA。解决方法:在NAS固件发布说明中验证TLS版本支持;确保NAS设备证书由RADIUS服务器信任的同一CA颁发。

共享密钥不匹配。 症状:某个特定NAS的所有认证都失败,并显示“无效验证器”错误。诊断:NAS配置与RADIUS服务器客户端条目之间的共享密钥不匹配。解决方法:在两端重新输入共享密钥,确保没有尾部空格或字符编码问题。使用从密钥管理器复制粘贴,以避免转录错误。

风险登记表

风险 可能性 影响 缓解控制
BlastRADIUS利用 高(未打补丁) 关键 补丁 + Message-Authenticator强制执行
共享密钥暴力破解 32字符随机密钥,每年轮换
恶意RADIUS服务器 EAP-TLS双向认证,证书锁定
RADIUS服务器证书过期 关键 自动监控,提前90天告警
通过802.1X进行凭据填充 帐户锁定策略,SIEM告警
RADIUS服务器被攻陷 关键 管理员访问MFA,网络分段

ROI与业务影响

量化风险

RADIUS强化的财务理由在与数据泄露成本对比时显而易见。2024年英国数据泄露的平均成本为358万英镑,包括监管罚款、补救措施、法律费用和声誉损害。对于在PCI DSS范围内的组织——实际上包括每个通过WiFi处理卡支付的 零售Hospitality 运营商——暴露持卡人数据的网络访问控制泄露会触发强制取证调查、可能的卡组织罚款,甚至可能暂停卡处理权限。

对于 医疗 机构,涉及通过受感染RADIUS服务器访问患者数据的GDPR违规将面临高达全球年营业额4%的罚款,依据第83(5)条。ICO的执法记录表明,网络安全故障被视为过失,而非技术意外。

实施成本基准

以下成本估算针对500台设备的企业网络:

加固活动 估算成本 时间线
打补丁(FreeRADIUS / NPS / ISE) 仅内部人力 1–2周
共享密钥审计和轮换 内部人力 + 密钥管理器许可(约2000英镑/年) 2–4周
EAP-TLS PKI部署 15000–30000英镑(工具 + 专业服务) 2–3个月
RadSec实施 内部人力 + 证书成本(约1500英镑) 4–6周
SIEM集成和告警 取决于现有SIEM;0–10000英镑 4–8周

中等规模企业总加固投资约20000–45000英镑。对标358万英镑的数据泄露成本基线,即使在保守的数据泄露概率估算下,风险调整后的ROI依然引人注目。

安全之外的运营收益

加强的RADIUS基础设施也能带来运营收益。可靠且经过良好监控的认证可减少与WiFi连接相关的帮助台工单。当RADIUS计费数据与 WiFi Analytics 集成时,可提供会话级别的网络使用模式、停留时间和设备类型可见性——这些数据对 Hospitality交通 环境中的场馆运营商具有直接的商业价值。

对于公共部门和 医疗 机构,记录在案的RADIUS加固计划可为Cyber Essentials Plus、ISO 27001和NHS DSPT评估提供技术控制证据——从而减少审计工作量,并向监管机构展示尽职调查。

Definiciones clave

RADIUS (Remote Authentication Dial-In User Service)

Un protocolo cliente-servidor definido en RFC 2865 que proporciona autenticación, autorización y contabilidad (AAA) centralizadas para el acceso a la red. Los servidores RADIUS validan las credenciales enviadas por los dispositivos de red (NAS) contra un almacén de identidad backend como Active Directory o LDAP.

Los equipos de TI se encuentran con RADIUS como el backend de autenticación para WiFi 802.1X, autenticación de puertos cableados, acceso VPN y gestión de dispositivos de red. Es el protocolo que decide quién accede a la red.

IEEE 802.1X

Un estándar IEEE para el control de acceso a la red basado en puertos que define la encapsulación de EAP sobre LAN (EAPOL). Proporciona un marco de autenticación tanto para redes cableadas como inalámbricas, requiriendo que los dispositivos se autentiquen antes de que se les conceda acceso a la red.

802.1X es el estándar que hace que la autenticación WiFi empresarial funcione. Cuando un miembro del personal se conecta a un SSID corporativo y se le solicitan credenciales, 802.1X es el marco que orquesta ese intercambio, con RADIUS como backend.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Un método EAP que utiliza certificados X.509 para la autenticación mutua entre el cliente y el servidor RADIUS. Ambas partes deben presentar certificados válidos, eliminando por completo las contraseñas del intercambio de autenticación.

EAP-TLS es el estándar de oro para la autenticación WiFi empresarial. Es inmune al phishing de credenciales y a los ataques de fuerza bruta. El requisito operativo es una infraestructura PKI para emitir y gestionar certificados de cliente.

RadSec (RADIUS over TLS)

Un protocolo definido en RFC 6614 que encapsula paquetes RADIUS dentro de una sesión TLS sobre el puerto TCP 2083. Proporciona cifrado a nivel de capa de transporte, autenticación mutua de certificados y protección contra ataques de reproducción para el tráfico RADIUS.

RadSec es necesario para cualquier tráfico RADIUS que cruce un límite de red no confiable: enlaces WAN, conexiones a internet o infraestructura de red compartida. Es el reemplazo correcto para el RADIUS estándar sobre UDP en implementaciones multisitio.

BlastRADIUS (CVE-2024-3596)

Un ataque de intermediario (man-in-the-middle) revelado en julio de 2024 que explota la ausencia de protección de integridad en los paquetes Access-Request de RADIUS. Utilizando técnicas de colisión de prefijo elegido de MD5, un atacante puede falsificar una respuesta Access-Accept, otorgando acceso a la red a un usuario no autenticado.

BlastRADIUS afecta a todas las principales implementaciones de RADIUS, incluyendo FreeRADIUS, Cisco ISE y Microsoft NPS. Las organizaciones que no hayan aplicado los parches lanzados en julio de 2024 siguen expuestas a este ataque.

Message-Authenticator

Un atributo RADIUS (Atributo 80) que proporciona protección de integridad HMAC-MD5 sobre todo el paquete RADIUS. Cuando está presente en un Access-Request, evita el ataque de modificación de paquetes utilizado en BlastRADIUS.

Forzar Message-Authenticator en todos los paquetes Access-Request es la principal mitigación para BlastRADIUS. Debe configurarse tanto en el servidor RADIUS (para requerir el atributo) como en el dispositivo NAS (para incluir el atributo en las solicitudes).

NAS (Network Access Server)

En la terminología de RADIUS, el NAS es el dispositivo de red (normalmente un punto de acceso WiFi, switch o concentrador VPN) que actúa como el cliente RADIUS. Intercepta las solicitudes de conexión de los dispositivos finales y reenvía las solicitudes de autenticación al servidor RADIUS.

Los dispositivos NAS son los clientes RADIUS en una implementación. Los secretos compartidos se configuran por NAS. La mitigación de BlastRADIUS requiere actualizaciones de firmware en los dispositivos NAS, así como parches en el servidor RADIUS.

PEAP (Protected Extensible Authentication Protocol)

Un método EAP que establece un túnel TLS utilizando un certificado del lado del servidor antes de transmitir el método de autenticación interno (normalmente MSCHAPv2). Proporciona autenticación mutua y protege las credenciales contra la interceptación.

PEAP-MSCHAPv2 es el método de autenticación WiFi empresarial más implementado. Cumple con PCI DSS y es operativamente más simple que EAP-TLS porque no requiere certificados de cliente. Sin embargo, es vulnerable a ataques de servidores RADIUS falsos si no se fuerza la validación de certificados del lado del cliente.

Shared Secret

Una clave precompartida configurada tanto en el servidor RADIUS como en cada dispositivo NAS. Se utiliza para generar el campo Response Authenticator y para ofuscar el atributo User-Password. No es una contraseña para los usuarios finales; es una credencial de autenticación de servidor a servidor.

Los secretos compartidos débiles o estáticos son una de las vulnerabilidades más comunes de RADIUS. Un atacante que capture tráfico RADIUS puede realizar un ataque de fuerza bruta sin conexión contra un secreto compartido débil. La longitud mínima recomendada es de 32 caracteres, generados aleatoriamente.

PCI DSS (Payment Card Industry Data Security Standard)

Un conjunto de estándares de seguridad exigidos por las principales marcas de tarjetas (Visa, Mastercard, Amex) para las organizaciones que procesan, almacenan o transmiten datos de titulares de tarjetas. La versión 4.0, vigente a partir de marzo de 2024, incluye requisitos específicos para el control de acceso a la red y la autenticación sólida.

Las organizaciones de comercio minorista y hotelería con terminales de punto de venta conectadas a WiFi están dentro del alcance de PCI DSS. Las vulnerabilidades del servidor RADIUS que podrían permitir el acceso no autorizado a la red a entornos de datos de titulares de tarjetas representan un riesgo directo de cumplimiento.

Ejemplos resueltos

Un grupo hotelero de 12 propiedades y 350 habitaciones utiliza un servidor RADIUS centralizado alojado en el centro de datos de su oficina central. Cada propiedad se conecta a través de una WAN MPLS compartida. Una auditoría de seguridad ha señalado que el tráfico RADIUS no está cifrado a través de la WAN, los secretos compartidos son cadenas de 8 caracteres configuradas durante el despliegue inicial hace cinco años, y el servidor RADIUS ejecuta FreeRADIUS 3.0.21. El grupo procesa pagos con tarjeta a través de terminales POS conectados a WiFi en sus instalaciones de restaurante y spa. ¿Cuál es la prioridad de remediación y la secuencia de implementación?

La secuencia de remediación debe ordenarse por la gravedad del riesgo y la velocidad de implementación. Paso 1 (inmediato, dentro de las 72 horas): Parchear FreeRADIUS a 3.2.5 o 3.0.27. Esto aborda BlastRADIUS y aplica Message-Authenticator de forma predeterminada. Simultáneamente, verificar las versiones de firmware de los puntos de acceso en las 12 propiedades y programar actualizaciones de firmware para cualquier dispositivo NAS que no sea compatible con Message-Authenticator. Paso 2 (semana 1–2): Rotar todos los secretos compartidos. Generar secretos aleatorios de 32 caracteres usando openssl rand -base64 32 para cada uno de los registros NAS de las 12 propiedades. Almacenar en HashiCorp Vault o equivalente. Documentar la fecha de rotación. Paso 3 (mes 1–2): Implementar RadSec en la ruta WAN. Configurar el servidor FreeRADIUS para aceptar conexiones RadSec en el puerto TCP 2083. Emitir certificados TLS desde una CA interna para los dispositivos NAS de cada propiedad. Actualizar las reglas del firewall para permitir TCP 2083 desde los rangos de IP de los NAS de las propiedades hacia el servidor RADIUS. Deshabilitar UDP 1812/1813 de las interfaces orientadas a la WAN una vez que se confirme que RadSec está operativo. Paso 4 (mes 2–3): Para el SSID de WiFi de los POS dentro del alcance de PCI DSS, migrar de PEAP-MSCHAPv2 a EAP-TLS. Desplegar una PKI interna (Microsoft ADCS o el motor PKI de HashiCorp Vault). Emitir certificados de cliente a las terminales POS a través de MDM. Actualizar la política de RADIUS para requerir EAP-TLS para el SSID de los POS. Paso 5 (mes 3): Integrar los registros de contabilidad de RADIUS en el SIEM. Configurar alertas para picos de autenticación fallidos y vencimiento de certificados.

Comentario del examinador: Este escenario es representativo de la mayoría de los despliegues de hospitalidad multisitio. La idea clave es que la WAN MPLS, aunque no es el internet público, es una red compartida que no puede tratarse como de total confianza, particularmente en un grupo hotelero donde la WAN puede ser administrada por un proveedor externo. Por lo tanto, RadSec no es opcional. El enfoque de PCI DSS es crítico: las terminales POS en WiFi están dentro del alcance del requisito 8.3 de PCI DSS (autenticación sólida) y el requisito 4.2.1 (criptografía sólida para datos en tránsito). EAP-TLS cumple con ambos. La secuenciación prioriza el parcheo primero porque BlastRADIUS es una vulnerabilidad activa y explotable; los otros pasos de endurecimiento son importantes pero no conllevan el mismo riesgo inmediato. Se consideró un enfoque alternativo (migrar a un RADIUS-as-a-Service alojado en la nube) pero se rechazó para este escenario debido a la inversión existente del grupo en MPLS y la complejidad de migrar 12 propiedades simultáneamente.

Una cadena minorista regional con 45 tiendas utiliza WPA2-Personal (clave precompartida) para el WiFi del personal y una red abierta para el WiFi de los clientes. El director de TI desea migrar el WiFi del personal a la autenticación 802.1X utilizando Microsoft NPS como servidor RADIUS, integrado con Active Directory. Las tiendas tienen una mezcla de puntos de acceso Aruba y Cisco. La cadena está dentro del alcance de PCI DSS. ¿Qué arquitectura deberían desplegar y cuáles son las decisiones clave de configuración?

La arquitectura recomendada es 802.1X con PEAP-MSCHAPv2 como método EAP inicial, con una hoja de ruta documentada hacia EAP-TLS. El servidor NPS debe desplegarse en un par redundante (primario + secundario) en el centro de datos central, con configuración de proxy RADIUS en los puntos de acceso para realizar la conmutación por error de forma automática. Decisiones de configuración: (1) Política de red de NPS: crear una política que coincida con el SSID del personal con PEAP-MSCHAPv2, requiriendo la membresía de grupo en un grupo de seguridad de AD (por ejemplo, 'WiFi-Staff-Access'). Establecer el tiempo de espera de la sesión en 8 horas para forzar la reautenticación. (2) Certificado: desplegar un certificado de servidor NPS desde una CA interna de Microsoft ADCS. Distribuir el certificado de la CA raíz a todos los dispositivos del personal a través de Directiva de grupo (Windows) y MDM (iOS/Android). (3) Configuración del suplicante: configurar los dispositivos Windows a través de Directiva de grupo (Configuración del equipo > Configuración de Windows > Configuración de seguridad > Directivas de red inalámbrica). Para dispositivos iOS y Android, utilizar un perfil de MDM. Aplicar la validación del certificado del servidor; no permitir que los usuarios acepten certificados arbitrarios. (4) Configuración del punto de acceso: en Aruba, configurar el servidor RADIUS en Autenticación > Servidores. Establecer el secreto compartido en una cadena aleatoria de 32 caracteres. Habilitar RadSec si el firmware de Aruba lo admite (AOS 8.9+). En Cisco, configurar en Seguridad > AAA > RADIUS. (5) Registro de NPS: habilitar el registro de contabilidad de NPS en una base de datos de SQL Server. Configurar un período de retención de registros de un mínimo de 90 días para el cumplimiento de PCI DSS. (6) Post-migración: deshabilitar WPA2-Personal en el SSID del personal. Conservarlo únicamente como un SSID de emergencia con una PSK compleja almacenada en el administrador de secretos, para su uso exclusivo cuando NPS no esté disponible.

Comentario del examinador: La migración de WPA2-Personal a 802.1X es uno de los proyectos de mejora de seguridad más comunes en TI para el sector minorista. El riesgo clave en este escenario es el parque mixto de puntos de acceso: Aruba y Cisco tienen diferentes interfaces de configuración de clientes RADIUS, y el proceso de rotación de secretos compartidos debe gestionarse por separado para cada uno. La decisión de comenzar con PEAP-MSCHAPv2 en lugar de EAP-TLS es pragmática: evita la complejidad del despliegue de PKI al tiempo que ofrece una mejora de seguridad significativa sobre PSK. La hoja de ruta de EAP-TLS debe estar vinculada al cronograma de implementación de MDM; el despliegue de certificados de cliente solo es viable operativamente una vez que todos los dispositivos están registrados en el MDM. El enfoque de PCI DSS refuerza el requisito de registro de NPS: el requisito 10.2.1 de PCI DSS exige el registro de todo acceso de usuarios individuales a los datos de los titulares de tarjetas, lo que incluye los eventos de acceso a la red.

Preguntas de práctica

Q1. Tu organización opera un servidor FreeRADIUS 3.0.21 que soporta autenticación 802.1X para 800 dispositivos del personal en un campus de un solo sitio. El servidor RADIUS está en la misma VLAN de administración que todos los puntos de acceso. Una prueba de penetración ha identificado que los puntos de acceso están enviando paquetes Access-Request sin el atributo Message-Authenticator. El equipo de seguridad quiere aplicar Message-Authenticator de inmediato, pero el equipo de operaciones de red está preocupado por interrumpir la autenticación para 800 usuarios. ¿Cómo secuenciarías la remediación para minimizar la interrupción del servicio?

Sugerencia: Considera la diferencia entre que el servidor RADIUS requiera Message-Authenticator y que los dispositivos NAS lo envíen. Estos son dos cambios de configuración independientes con diferentes perfiles de riesgo.

Ver respuesta modelo

La secuencia correcta es: (1) Primero, actualiza FreeRADIUS a la versión 3.2.5. Esta versión exige Message-Authenticator de forma predeterminada, pero incluye un modo de compatibilidad que registra una advertencia en lugar de rechazar los paquetes que carecen del atributo. Esto te permite aplicar el parche sin interrumpir la autenticación de inmediato. (2) Audita las versiones de firmware de los puntos de acceso. Identifica qué modelos y versiones de firmware admiten Message-Authenticator en los paquetes Access-Request. (3) Actualiza el firmware de los puntos de acceso en lotes, comenzando con un grupo piloto de 50 dispositivos. Verifica que la autenticación siga funcionando después de cada lote. (4) Una vez que se confirme que todos los puntos de acceso están enviando Message-Authenticator, habilita la aplicación estricta en el servidor FreeRADIUS (require_message_authenticator = yes en clients.conf). (5) Monitorea los registros de RADIUS para detectar cualquier advertencia restante de "Message-Authenticator missing", lo que indicaría dispositivos NAS que no recibieron la actualización de firmware. El principio clave es que puedes actualizar el servidor primero sin romper nada, porque el modo de compatibilidad permite un período de transición. Exigir el rechazo estricto en el servidor debe ser el último paso, después de que todos los dispositivos NAS hayan sido actualizados.

Q2. El operador de un centro de conferencias utiliza un único servidor RADIUS que admite tanto el SSID del personal corporativo (802.1X con PEAP-MSCHAPv2) como el WiFi para invitados de eventos (Captive Portal con MAC Authentication Bypass). El gerente de TI pregunta si la instancia de RADIUS de WiFi para invitados debe protegerse con el mismo estándar que la instancia de RADIUS corporativa, dado que los invitados no se autentican con credenciales corporativas. ¿Cuál es tu recomendación?

Sugerencia: Considera los vectores de ataque que se aplican a MAC Authentication Bypass frente a la autenticación basada en EAP, y el riesgo de movimiento lateral entre las instancias de RADIUS de invitados y corporativas.

Ver respuesta modelo

La instancia de RADIUS de WiFi para invitados requiere protección, pero los controles específicos difieren de la instancia corporativa. El parche BlastRADIUS se aplica por igual: la vulnerabilidad afecta al servidor RADIUS independientemente del método de autenticación utilizado por los clientes. La higiene de la clave secreta compartida se aplica por igual: una clave secreta compartida débil entre el controlador del Captive Portal de invitados y el servidor RADIUS es explotable independientemente de si se utiliza EAP. El riesgo adicional clave es el servidor RADIUS compartido: si las solicitudes de autenticación de SSID de invitados y corporativas son manejadas por el mismo proceso de servidor RADIUS, una vulnerabilidad en la ruta de RADIUS de invitados podría usarse para pivotar hacia la política de autenticación corporativa. La arquitectura recomendada es ejecutar instancias de RADIUS separadas (o como mínimo servidores virtuales separados dentro de FreeRADIUS) para la autenticación de invitados y corporativa, con claves secretas compartidas separadas y conjuntos de políticas independientes. Esto proporciona un aislamiento tal que un compromiso de la ruta de RADIUS de invitados no expone las credenciales corporativas. Específicamente para la instancia de invitados: aplica el parche para BlastRADIUS, rota las claves secretas compartidas y asegúrate de que la instancia de RADIUS de invitados no tenga acceso al Active Directory corporativo. Los requisitos de EAP-TLS y RadSec son menos relevantes para una implementación de Captive Portal, pero RadSec aún debe considerarse si el controlador del Captive Portal está en un segmento de red diferente al del servidor RADIUS.

Q3. Un fideicomiso de atención médica planea migrar su WiFi clínico de WPA2-Personal a autenticación 802.1X. El fideicomiso cuenta con 1,200 dispositivos clínicos que incluyen laptops Windows, tabletas iOS y dispositivos de mano Android. El CISO quiere EAP-TLS como estado objetivo. El director de TI está preocupado por la complejidad de la implementación de PKI y propone PEAP-MSCHAPv2 como una solución permanente. ¿Cómo asesoras al CISO y al director de TI, y cuál es la ruta de implementación recomendada?

Sugerencia: Considera el modelo de amenazas específico para un entorno de atención médica: ¿cuáles son las consecuencias de un compromiso de credenciales y cómo aborda EAP-TLS los riesgos que PEAP-MSCHAPv2 no cubre?

Ver respuesta modelo

El instinto del CISO es correcto, pero la preocupación del director de TI es válida. El consejo recomendado es: implementar PEAP-MSCHAPv2 ahora como una solución provisional, con una hoja de ruta comprometida a 12 meses hacia EAP-TLS. La razón para no aceptar PEAP-MSCHAPv2 como una solución permanente en el sector salud es: (1) PEAP-MSCHAPv2 es vulnerable a ataques de servidores RADIUS falsos si no se aplica la validación de certificados del lado del cliente. En un entorno de atención médica donde el personal clínico puede conectar dispositivos personales, aplicar la configuración del suplicante de manera consistente en 1,200 dispositivos es un desafío operativo. (2) Las credenciales de MSCHAPv2, si se capturan a través de un ataque de RADIUS falso, se pueden descifrar fuera de línea utilizando herramientas como hashcat. En un contexto de atención médica, esas credenciales probablemente también brinden acceso a los sistemas clínicos. (3) Las evaluaciones de NHS DSPT y CQC esperan cada vez más controles de autenticación sólidos para el acceso a la red clínica. EAP-TLS proporciona una posición de evidencia de auditoría más sólida. La ruta de implementación: Mes 1-2: Implementar PEAP-MSCHAPv2 con validación forzada de certificados de servidor a través de perfiles MDM en los 1,200 dispositivos. Mes 3-6: Implementar Microsoft ADCS como la infraestructura PKI. Inscribir dispositivos Windows a través de la autoinscripción de directivas de grupo. Mes 6-9: Inscribir dispositivos iOS y Android a través de perfiles de certificado MDM. Mes 9-12: Migrar la política de SSID clínico de PEAP a EAP-TLS. Retener PEAP como alternativa para cualquier dispositivo que falle en la inscripción de certificados, con un monitoreo mejorado. Para obtener más información sobre la arquitectura de seguridad de redes clínicas, la guía de WiFi en Hospitales proporciona un contexto de implementación relevante.

Continúe leyendo esta serie