Vai al contenuto principale
Italiano

Mitigazione delle vulnerabilità RADIUS: una guida al rafforzamento della sicurezza

Questa guida fornisce un riferimento completo e pratico per IT manager, architetti di rete e CTO responsabili dell'infrastruttura WiFi aziendale nei settori dell'ospitalità, del retail, degli eventi e della pubblica amministrazione. Copre l'intera superficie di attacco delle distribuzioni di server RADIUS — dalle vulnerabilità di collisione MD5 e segreti condivisi deboli al trasporto UDP non crittografato e ai metodi EAP configurati in modo errato — e fornisce una roadmap di hardening prioritaria in linea con i requisiti IEEE 802.1X, PCI DSS e GDPR. Le organizzazioni che implementano queste raccomandazioni ridurranno concretamente la loro esposizione agli attacchi di rete basati su credenziali, rispetteranno gli obblighi di conformità e costruiranno una postura di sicurezza difendibile per la loro infrastruttura WiFi aziendale e per gli ospiti.

📖 12 minuti di lettura📝 2,764 parole🔧 2 esempi pratici3 domande di esercitazione📚 10 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
MITIGARE LE VULNERABILITÀ RADIUS: GUIDA AL RAFFORZAMENTO DELLA SICUREZZA Un briefing informativo di Purple WiFi [INTRODUZIONE — circa 1 minuto] Benvenuti. Sono il vostro ospite per il briefing di oggi e, nei prossimi dieci minuti, andremo dritti al cuore di un problema che tiene svegli molti architetti di rete e responsabili IT: la sicurezza dei server RADIUS. Se gestite il WiFi aziendale in un patrimonio alberghiero, una catena di negozi, uno stadio o un edificio del settore pubblico, la vostra infrastruttura RADIUS è uno dei componenti più critici — e più frequentemente trascurati — della vostra postura di sicurezza. Entriamo nel vivo dell'argomento. [CONTESTO — circa 1 minuto] Il RADIUS — Remote Authentication Dial-In User Service — è la spina dorsale del controllo degli accessi alla rete fin dalla metà degli anni Novanta. È il protocollo che si interpone tra i vostri punti di accesso e la vostra directory di identità, decidendo chi può accedere alla rete e chi no. Lo standard IEEE 802.1X, che è alla base di quasi tutte le distribuzioni di autenticazione cablate e WiFi aziendali, si affida al RADIUS per funzionare. Il problema è che il RADIUS è stato progettato in un'era in cui lo scenario delle minacce era molto diverso. Il protocollo utilizza l'UDP, che è privo di connessione e quindi più difficile da proteggere. Il suo meccanismo di autenticazione principale si è storicamente affidato all'hashing MD5, un algoritmo crittografico che si è dimostrato vulnerabile fin dal 2004. Inoltre, i segreti condivisi, ovvero le chiavi precondivise che autenticano i punti di accesso al server RADIUS, vengono spesso impostati una sola volta e mai ruotati. Nel 2024, alcuni ricercatori hanno pubblicato un attacco pratico contro il RADIUS chiamato BlastRADIUS — un attacco man-in-the-middle che sfrutta la vulnerabilità MD5 per contraffare le risposte di autenticazione. Non si tratta di teoria. È un vettore di attacco reale e documentato che colpisce le installazioni che eseguono FreeRADIUS, Cisco ISE e Microsoft NPS non patchati. Se non avete applicato le patch da metà 2024, siete esposti. La posta in gioco per il business è significativa. Un server RADIUS compromesso non significa solo un accesso WiFi non autorizzato. Significa che un utente malintenzionato può autenticarsi come qualsiasi utente sulla rete, aggirare la segmentazione della rete e potenzialmente accedere ai sistemi di pagamento, alle cartelle cliniche o alla tecnologia operativa. Per gli ambienti retail che elaborano pagamenti con carta, si tratta di una violazione diretta del PCI DSS. Per la sanità, è un problema di GDPR e di governance clinica. Per il settore dell'ospitalità, si tratta di un danno al marchio e di potenziali sanzioni normative. [APPROFONDIMENTO TECNICO — circa 5 minuti] Esaminiamo sistematicamente la superficie di attacco. La prima classe di vulnerabilità è il rischio di collisione MD5. RADIUS utilizza MD5 per proteggere l'attributo User-Password e per generare il campo Response Authenticator. MD5 produce un hash a 128 bit e gli attacchi di collisione — in cui due input diversi producono lo stesso hash — sono fattibili dal 2004. L'attacco BlastRADIUS sfrutta specificamente la mancanza di protezione dell'integrità sui pacchetti Access-Request. Un utente malintenzionato posizionato tra il dispositivo NAS — ovvero il server di accesso alla rete, in genere l'access point o lo switch — e il server RADIUS può iniettare un attributo appositamente creato nel pacchetto e forzare il server a restituire un Access-Accept, anche per una credenziale non valida. La soluzione in questo caso è duplice: applicare la patch al server RADIUS all'ultima versione e imporre il Message-Authenticator su tutti i pacchetti Access-Request. FreeRADIUS 3.2.5 e versioni successive lo richiedono per impostazione predefinita. La seconda classe di vulnerabilità è rappresentata da segreti condivisi deboli o statici. Il segreto condiviso è la chiave precondivisa tra il NAS e il server RADIUS. Se è breve, vulnerabile ad attacchi a dizionario o non viene ruotato da anni, rappresenta un rischio. RADIUS utilizza questo segreto per crittografare l'attributo User-Password e per generare il Response Authenticator. Un segreto condiviso debole significa che un utente malintenzionato che intercetta il traffico RADIUS — operazione banale su una rete che ha già parzialmente compromesso — può forzare la password offline tramite brute-force. La best practice prevede un minimo di 32 caratteri, generati casualmente e ruotati almeno una volta all'anno. Automatizza questa rotazione; eseguirla manualmente su un'infrastruttura di grandi dimensioni è soggetto a errori. La terza classe di vulnerabilità è il trasporto non crittografato. Il protocollo RADIUS standard viene eseguito su UDP sulla porta 1812 per l'autenticazione e 1813 per l'accounting. UDP non fornisce alcuna crittografia a livello di trasporto, nessun controllo di integrità e nessuna protezione contro i replay oltre a quanto implementato da RADIUS stesso — il che, come abbiamo stabilito, è insufficiente. RadSec, formalmente definito nella RFC 6614, incapsula RADIUS in TLS 1.2 o 1.3 sulla porta TCP 2083. Ciò fornisce un'autenticazione reciproca tramite certificati, la crittografia completa del payload RADIUS e la protezione contro i replay. Se si esegue RADIUS su un qualsiasi segmento di rete non attendibile — incluso un collegamento WAN tra una sede remota e un server RADIUS centrale — RadSec non è opzionale. È un requisito fondamentale. La quarta classe di vulnerabilità è la selezione del metodo EAP. Non tutti i metodi EAP sono uguali. EAP-MD5 deve essere considerato deprecato: non fornisce alcuna autenticazione reciproca e nessuna crittografia dello scambio di autenticazione. PEAP ed EAP-TTLS sono accettabili per la maggior parte delle implementazioni aziendali, poiché stabiliscono un tunnel TLS prima di trasmettere le credenziali e supportano l'autenticazione reciproca tramite certificati server. EAP-TLS è il gold standard: richiede che sia il server sia il client presentino certificati, eliminando completamente la password dallo scambio di autenticazione. Questo lo rende immune al phishing delle credenziali e agli attacchi di forza bruta. L'onere operativo derivante dall'implementazione di una PKI per il rilascio dei certificati client è reale, ma per gli ambienti ad alta sicurezza (reti sanitarie, zone di elaborazione dei pagamenti, sistemi retail di back-of-house) è la scelta giusta. La quinta classe di vulnerabilità è l'insufficiente registrazione e monitoraggio. I dati di accounting RADIUS sono una miniera d'oro per il rilevamento delle minacce e la maggior parte delle organizzazioni non li utilizza. Ogni tentativo di autenticazione, riuscito o fallito, genera un record di accounting. I pattern di autenticazioni non riuscite, le autenticazioni da indirizzi MAC imprevisti o le autenticazioni in orari insoliti sono tutti indicatori di compromissione. Integra il tuo flusso di accounting RADIUS nel tuo SIEM. Imposta avvisi per più di cinque autenticazioni non riuscite da un singolo indirizzo MAC entro sessanta secondi. Monitora le tempeste di Access-Reject, che possono indicare un attacco di credential stuffing in corso. [RACCOMANDAZIONI DI IMPLEMENTAZIONE E TRAPPOLE DA EVITARE — circa 2 minuti] Lascia che ti fornisca una sequenza pratica per un progetto di hardening. Inizia con l'applicazione delle patch. Questo non è negoziabile e dovrebbe essere fatto entro la tua prossima finestra di manutenzione. FreeRADIUS, Cisco ISE e Microsoft NPS hanno tutti rilasciato patch per BlastRADIUS a luglio 2024. Controlla la tua versione, applica la patch e verifica che l'applicazione del Message-Authenticator sia attiva. Successivamente, esegui un audit dei tuoi shared secret. Estrai l'elenco di ogni dispositivo NAS registrato sul tuo server RADIUS. Per ognuno, controlla la lunghezza e l'anzianità dello shared secret. Qualsiasi segreto inferiore a 20 caratteri o più vecchio di due anni dovrebbe essere ruotato immediatamente. Utilizza un gestore di password o un archivio di segreti (HashiCorp Vault funziona bene in questo caso) per memorizzarli e ruotarli a livello di codice. In terzo luogo, valuta il tuo metodo EAP. Se utilizzi EAP-MD5 in qualsiasi punto, avvia subito la migrazione. PEAP-MSCHAPv2 è una posizione provvisoria ragionevole per la maggior parte degli ambienti aziendali. Se disponi dell'infrastruttura PKI, EAP-TLS è lo stato obiettivo. In quarto luogo, implementa RadSec per qualsiasi traffico RADIUS che attraversa segmenti di rete non attendibili. Questo è particolarmente rilevante per le implementazioni multi-sito in cui un server RADIUS centrale serve sedi remote tramite Internet o una WAN condivisa. Quinto, abilita l'autenticazione a più fattori per l'accesso privilegiato al server RADIUS stesso. L'interfaccia di gestione del server è un bersaglio di alto valore. Imponi l'MFA per tutti gli accessi amministrativi e limita l'accesso di gestione a una rete di gestione out-of-band dedicata. Ora, le insidie. L'errore più comune che riscontro è che le organizzazioni applicano le patch al server RADIUS ma lasciano i dispositivi NAS su un firmware obsoleto che non supporta Message-Authenticator. La patch è efficace solo se applicata da entrambi i lati. Esegui un audit del firmware dei tuoi access point e switch come parte dello stesso progetto. La seconda insidia comune è la scadenza dei certificati. Se utilizzi EAP-TLS o RadSec, ci sono dei certificati in gioco. Un certificato del server RADIUS che scade silenziosamente causerà il fallimento simultaneo di ogni autenticazione sulla tua rete. Integra il monitoraggio della scadenza dei certificati nel tuo runbook operativo. Imposta avvisi a 90, 30 e 7 giorni prima della scadenza. La terza insidia è l'eccessivo affidamento sulla segmentazione della rete come controllo compensativo. La segmentazione è importante, ma non protegge da un utente malintenzionato che si è già autenticato tramite un server RADIUS compromesso. La difesa in profondità significa che hai bisogno sia del rafforzamento del RADIUS sia della segmentazione. [D&R RAPIDE — circa 1 minuto] Domanda: Ho bisogno di RadSec se il mio server RADIUS si trova sulla stessa LAN dei miei access point? Risposta: Se si trovano sulla stessa VLAN di gestione affidabile e segmentata, senza dispositivi non attendibili, il RADIUS standard su UDP è accettabile per la tratta da NAS a server. Ma se esiste una qualsiasi possibilità di movimento laterale da un dispositivo compromesso che raggiunge quella VLAN, RadSec aggiunge una protezione significativa a un costo contenuto. Domanda: Utilizziamo Microsoft NPS. Siamo interessati da BlastRADIUS? Risposta: Sì. Microsoft ha rilasciato una patch a luglio 2024. Applicala. Imponi anche la chiave di registro RequireMessageAuthenticator sul tuo server NPS. Domanda: Come gestisco il WiFi per gli ospiti? Gli ospiti non hanno certificati. Risposta: Il WiFi per gli ospiti utilizza in genere un modello di Captive Portal anziché l'802.1X, quindi il RADIUS viene utilizzato in modo diverso, spesso solo per il bypass dell'autenticazione MAC o per l'accounting. Si applicano le stesse regole di patching e igiene dei segreti condivisi, ma l'EAP-TLS non è rilevante per l'accesso degli ospiti non autenticati. Concentrati sull'isolamento dell'istanza RADIUS per gli ospiti dalla tua infrastruttura RADIUS aziendale. Domanda: Qual è il caso di ROI per una migrazione completa a EAP-TLS? Risposta: Quantificalo rispetto al rischio di violazione. Una singola violazione PCI DSS costa in media quattro milioni di sterline in sanzioni, rimedi e danni alla reputazione. Un'implementazione PKI per un parco di 500 dispositivi costa circa da 15.000 a 30.000 sterline in strumenti e servizi professionali. Il calcolo è semplice. [RIASSUNTO E PROSSIMI PASSI — circa 1 minuto] Lascia che ti indichi cinque cose da fare in questo trimestre. Uno: Applica la patch al tuo server RADIUS e a tutti i dispositivi NAS per BlastRADIUS. Fai questo come prima cosa. Due: Esegui un audit e ruota tutti i segreti condivisi. Automatizza la rotazione per il futuro. Tre: Imponi il Message-Authenticator su tutti i pacchetti Access-Request. Quattro: Implementa RadSec per qualsiasi traffico RADIUS che attraversa confini di rete non attendibili. Cinque: Integra i log di accounting RADIUS nel tuo SIEM e imposta avvisi di anomalia. La sicurezza RADIUS non è affascinante, ma è fondamentale. Gestisci correttamente questi cinque aspetti e avrai chiuso i vettori di attacco più significativi contro la tua infrastruttura di controllo degli accessi alla rete. Grazie per l'ascolto. Per saperne di più sull'architettura di sicurezza WiFi aziendale, visita purple.ai. Questo è stato un Purple WiFi Intelligence Briefing.

header_image.png

执行摘要

RADIUS(远程认证拨入用户服务)仍然是企业WiFi部署中网络访问控制的主要协议,支撑着酒店、零售场所、体育场馆、会议中心和公共部门建筑中的IEEE 802.1X认证。然而,RADIUS的架构设计源于20世纪90年代,其几项基础设计决策——依赖MD5哈希、无原生加密的UDP传输以及静态共享密钥——在当前威胁环境下已成为重大风险。

2024年7月,BlastRADIUS漏洞(CVE-2024-3596)表明,中间人攻击者可通过利用Access-Request数据包中的MD5完整性弱点伪造RADIUS Access-Accept响应。这一漏洞影响所有主要RADIUS实现,包括FreeRADIUS、Cisco ISE和Microsoft NPS。未打补丁的部署仍然面临风险。

本指南提供了一份优先加固路线图,涵盖补丁管理、共享密钥卫生、EAP方法选择、RadSec部署、管理访问的多因素认证以及用于异常检测的SIEM集成。本指南面向需要在本季度而非下一年做出可辩护决策的IT专业人士。

radius_architecture_overview.png

技术深度剖析

RADIUS工作原理及其薄弱环节

RADIUS作为一种客户端-服务器协议运行在网络接入服务器(NAS)——通常是WiFi接入点、交换机或VPN集中器——与RADIUS服务器之间,后者会针对后端身份存储(如Active Directory或LDAP)验证凭据。认证交换遵循RFC 2865定义的请求-挑战-响应模型,计费则按照RFC 2866单独处理。

该协议通过UDP传输认证数据包,认证端口为1812,计费端口为1813。共享密钥(即在NAS和RADIUS服务器上配置的预共享密钥)用于生成响应验证器字段,并通过基于MD5的XOR密文加密用户密码属性。这与现代意义上的加密无关;它是一种混淆手段,完全依赖于共享密钥的保密性和强度。

典型RADIUS部署中的五个主要漏洞类别如下。

MD5碰撞和完整性漏洞。 BlastRADIUS攻击(CVE-2024-3596)利用了Access-Request数据包缺乏完整性保护的弱点。由于许多配置中NAS默认不包含Message-Authenticator属性,处于中间人位置的攻击者可以在数据包到达RADIUS服务器之前注入精心设计的属性。通过利用MD5选择前缀碰撞技术,攻击者可以操纵数据包,使得RADIUS服务器为修改后的数据包计算出有效的响应验证器,从而为本应被拒绝的请求返回Access-Accept。补救措施是在所有Access-Request数据包上强制执行Message-Authenticator属性,该属性为整个数据包提供HMAC-MD5完整性保护。这需要在NAS和RADIUS服务器上都进行配置更改,而不仅仅是服务器补丁。

弱共享密钥或静态共享密钥。 共享密钥是RADIUS交换的加密锚点。如果密钥过短、易被猜测或从未轮换,捕获RADIUS流量的攻击者(通过ARP欺骗或受感染的网络设备可实现)便可对用户密码属性进行离线暴力破解。NIST SP 800-63B关于记忆秘密的指南在此处适用:密钥应至少包含20个字符,随机生成,并存储在密钥管理系统中。对于拥有数十或数百个NAS设备的大型网络,手动轮换在操作上不可行;通过HashiCorp Vault或类似的密钥管理器实现自动化是正确的做法。

未加密的UDP传输。 标准RADIUS over UDP不提供传输层机密性。用户密码属性被混淆但未加密。所有其他属性——包括用户名、NAS IP和会话元数据——均以明文传输。RadSec(RADIUS over TLS),定义于RFC 6614并更新于RFC 7360,通过在TCP端口2083上建立TLS 1.2或TLS 1.3会话,将RADIUS协议包装在TLS隧道中,解决了这一问题。RadSec在NAS与RADIUS服务器之间提供双向证书认证、完整的有效载荷加密以及重放保护。对于跨越非可信网络边界的任何RADIUS流量,这都是正确的传输方式。

EAP方法选择。 可扩展认证协议(EAP)定义了在802.1X框架内使用的内部认证方法。EAP-MD5已弃用,应立即从所有部署中移除——它不提供双向认证,也无法抵御凭据窃取攻击。PEAP(受保护的EAP)和EAP-TTLS在传输凭据前使用服务器证书建立TLS隧道,提供双向认证并保护内部方法免遭窃听。EAP-TLS完全消除了密码,要求服务器和客户端都提供X.509证书。它免疫于网络钓鱼和暴力破解攻击,是高安全环境的推荐方法。

日志记录和监控不足。 RADIUS计费记录了每一个认证事件——成功、失败、会话开始、会话结束。这些数据在操作上对容量规划有价值,在商业上对 WiFi Analytics 也很有价值,但同时也是一个关键的安全遥测来源。失败的认证风暴、来自未知MAC地址的认证以及非工作时间的访问模式都可以从RADIUS计费日志中检测到。大多数组织并未将这些数据采集到SIEM中,而那些已采集的组织通常也未配置任何告警阈值。

eap_comparison_chart.png

BlastRADIUS攻击详解

BlastRADIUS于2024年7月由波士顿大学和加州大学圣地亚哥分校的研究人员披露。该攻击需要在NAS与RADIUS服务器之间处于中间人位置——可通过共享网段上的ARP投毒、受感染的路由器或具有网络访问权限的恶意内部人员实现。

攻击过程如下:攻击者截获来自NAS的Access-Request数据包。由于数据包缺少Message-Authenticator属性(许多配置中的默认设置),攻击者可以自由修改数据包的属性列表。通过使用MD5选择前缀碰撞,攻击者构造一个修改后的数据包,当RADIUS服务器处理该数据包时,会生成与原始数据包相同的响应验证器。因此,服务器会为包含攻击者控制属性的请求返回Access-Accept——包括授权完整网络访问的Administrative服务类型。

此攻击对内部方法使用MSCHAPv2的PEAP和EAP-TTLS部署有效。它不影响EAP-TLS部署,因为基于证书的双向认证提供了MD5无法破坏的完整性保护。

对于同时运行 Guest WiFi 和企业802.1X的组织,访客网络的RADIUS实例也必须打补丁,即使它使用MAC认证绕过而非EAP。共享密钥卫生和Message-Authenticator要求同样适用。

实施指南

第一阶段:立即修复(第1-2周)

首要任务是打补丁。FreeRADIUS 3.2.5和3.0.27包含BlastRADIUS修复,并默认强制执行Message-Authenticator。Cisco ISE 3.1补丁8、3.2补丁4和3.3补丁1解决了该漏洞。微软于2024年7月为Windows Server 2022 NPS发布了KB5040434。请验证您当前的版本,并在下一个计划中的变更窗口内应用补丁。

同时,审核您的NAS设备固件。只有当NAS也发送Message-Authenticator属性时,其强制执行才有效。请检查您的接入点和交换机供应商公告——Aruba、Ruckus、Cisco和Juniper都发布了针对BlastRADIUS的固件更新。如果您正在运行Ruckus硬件, 无线接入点Ruckus指南 提供了相关的固件管理背景。

对于补丁后可能出现的 Windows 11 802.1X认证问题排除 ,最常见的原因是NPS服务器拒绝来自不包含Message-Authenticator的客户端的连接——这是一种正确的安全行为,可能需要在旧版Windows客户端上重新配置请求方。

第二阶段:共享密钥卫生(第2-4周)

导出RADIUS服务器上注册的NAS客户端完整列表。对于每个条目,记录共享密钥长度和最后更改日期。任何长度低于20个字符或超过24个月未更改的密钥应立即轮换。

对于新密钥,使用加密随机生成器——openssl rand -base64 32生成一个44字符的base64字符串,适合用作RADIUS共享密钥。将所有密钥存储在密钥管理系统中。实施轮换计划:低风险NAS设备每年一次,PCI DSS范围内的NAS设备每六个月一次。

第三阶段:EAP方法合理化(第1-2个月)

审核RADIUS服务器允许的EAP方法。禁用EAP-MD5。如果您正在运行PEAP-MSCHAPv2,请验证所有请求方都强制执行服务器证书验证——配置不当的请求方接受任何服务器证书,容易受到恶意RADIUS服务器攻击。对于PCI DSS范围内的环境,推荐使用EAP-TLS。如果您没有现有的证书基础设施,请开始PKI规划。

对于 保护访客WiFi网络 ,请注意访客网络通常使用Captive Portal认证而非802.1X,因此EAP方法加固主要适用于企业和员工SSID。

第四阶段:RadSec部署(第2-3个月)

识别所有跨越非可信网络边界的RADIUS流量路径。常见场景包括:中心RADIUS服务器通过互联网为远程酒店提供服务;本地NAS设备访问云端RADIUS服务;以及RADIUS代理链中流量穿越多个网络域。

对于每条已识别的路径,配置RadSec。在FreeRADIUS上,这需要在端口2083上启用tls监听器,并使用来自PKI的证书配置双向TLS。在Cisco ISE上,RadSec在管理 > 网络设备下配置。确保最低使用TLS 1.2;明确禁用TLS 1.0和1.1。

第五阶段:管理访问的多因素认证(第2-3个月)

RADIUS服务器的管理界面是一个高价值目标。攻陷RADIUS服务器的攻击者可以修改认证策略、提取共享密钥并重定向认证流量。对所有RADIUS服务器及其底层操作系统的管理登录强制执行MFA。将管理访问限制在专用的带外管理VLAN。实施基于角色的访问控制:网络工程师不应拥有与安全管理员相同的权限。

第六阶段:SIEM集成和告警(第3-4个月)

配置您的RADIUS服务器,将计费日志实时转发到SIEM。定义以下基准告警阈值:

告警 阈值 严重性
单个MAC地址的多次认证失败 60秒内 >5次
Access-Reject速率激增 超出7天基线的200%
企业SSID上新MAC地址的认证 首次出现
RADIUS服务器证书即将到期 90 / 30 / 7 天 高 / 关键 / 关键
共享密钥不匹配错误 任何发生

最佳实践

以下建议综合了IEEE 802.1X、NIST SP 800-63B、PCI DSS v4.0及供应商安全公告的共识。

证书管理。 任何使用EAP-TLS或RadSec的部署,在其认证路径中都会涉及X.509证书。证书过期是企业WiFi部署中突发、全面认证故障的最常见原因。实施自动化的证书生命周期管理。在证书到期前90天、30天和7天设置监控告警。对于RADIUS服务器证书,使用最小2048位RSA或256位ECDSA密钥,以及SHA-256或更强的签名算法。不要使用SHA-1。

网络分段。 RADIUS服务器应位于专用管理网段上,与访客网络和一般企业网络隔离。对RADIUS端口(UDP 1812、1813、TCP 2083用于RadSec)的访问应通过防火墙ACL限制为已注册NAS设备的特定IP地址。不允许任何直接的互联网访问RADIUS端口。

冗余和高可用性。 单个RADIUS服务器是整个网络访问控制基础设施的单点故障。部署至少两台RADIUS服务器,采用主备或主主配置。对于具有24/7访客连接需求的 Hospitality 部署,RADIUS服务器停机时间直接等同于访客WiFi停机时间——这是一种声誉和商业风险。

WPA3和802.1X。 WPA3-Enterprise要求政府和高度安全部署使用192位安全模式,需要AES-256-GCMP进行数据加密,以及HMAC-SHA-384进行认证。对于大多数企业部署,使用标准128位安全的WPA3-Enterprise相比WPA2-Enterprise已有显著改进,特别是与EAP-TLS结合使用时。处理卡支付的 零售 环境应将采用WPA3-Enterprise视为降低PCI DSS风险的措施。

供应商补丁节奏。 订阅来自RADIUS服务器供应商和NAS设备供应商的安全公告。FreeRADIUS、Cisco、Microsoft、Aruba和Ruckus均发布CVE通知。将这些信息纳入您的漏洞管理计划,并规定明确的SLA:关键漏洞(CVSS ≥ 9.0)在72小时内修补;高危漏洞(CVSS 7.0–8.9)在14天内修补。

故障排除与风险缓解

常见故障模式

打补丁后的认证失败。 应用BlastRADIUS补丁后,如果某些NAS设备的固件不支持Message-Authenticator,它们可能无法进行认证。症状:Access-Reject响应突然增加,而用户凭据没有变化。诊断:启用RADIUS调试日志,并检查“需要但不存在Message-Authenticator”错误。解决方法:更新NAS固件,或者作为临时措施,在计划固件更新期间,将RADIUS服务器配置为接受来自特定NAS IP且不带Message-Authenticator的请求。

EAP-TLS中的证书验证失败。 症状:客户端收到“认证失败”,但RADIUS日志中没有相应的Access-Reject。诊断:检查RADIUS服务器的证书链——颁发CA是否受客户端请求方信任?服务器证书是否在有效期内?解决方法:确保完整证书链(叶证书 + 中间证书 + 根证书)已在RADIUS服务器上配置。通过MDM或组策略将根CA证书推送到客户端设备。

RadSec TLS握手失败。 症状:配置更改后,NAS设备无法建立RadSec连接。诊断:检查TLS版本兼容性——旧版NAS固件可能不支持TLS 1.2。检查双向证书认证——两端必须互相信任对方的CA。解决方法:在NAS固件发布说明中验证TLS版本支持;确保NAS设备证书由RADIUS服务器信任的同一CA颁发。

共享密钥不匹配。 症状:某个特定NAS的所有认证都失败,并显示“无效验证器”错误。诊断:NAS配置与RADIUS服务器客户端条目之间的共享密钥不匹配。解决方法:在两端重新输入共享密钥,确保没有尾部空格或字符编码问题。使用从密钥管理器复制粘贴,以避免转录错误。

风险登记表

风险 可能性 影响 缓解控制
BlastRADIUS利用 高(未打补丁) 关键 补丁 + Message-Authenticator强制执行
共享密钥暴力破解 32字符随机密钥,每年轮换
恶意RADIUS服务器 EAP-TLS双向认证,证书锁定
RADIUS服务器证书过期 关键 自动监控,提前90天告警
通过802.1X进行凭据填充 帐户锁定策略,SIEM告警
RADIUS服务器被攻陷 关键 管理员访问MFA,网络分段

ROI与业务影响

量化风险

RADIUS强化的财务理由在与数据泄露成本对比时显而易见。2024年英国数据泄露的平均成本为358万英镑,包括监管罚款、补救措施、法律费用和声誉损害。对于在PCI DSS范围内的组织——实际上包括每个通过WiFi处理卡支付的 零售Hospitality 运营商——暴露持卡人数据的网络访问控制泄露会触发强制取证调查、可能的卡组织罚款,甚至可能暂停卡处理权限。

对于 医疗 机构,涉及通过受感染RADIUS服务器访问患者数据的GDPR违规将面临高达全球年营业额4%的罚款,依据第83(5)条。ICO的执法记录表明,网络安全故障被视为过失,而非技术意外。

实施成本基准

以下成本估算针对500台设备的企业网络:

加固活动 估算成本 时间线
打补丁(FreeRADIUS / NPS / ISE) 仅内部人力 1–2周
共享密钥审计和轮换 内部人力 + 密钥管理器许可(约2000英镑/年) 2–4周
EAP-TLS PKI部署 15000–30000英镑(工具 + 专业服务) 2–3个月
RadSec实施 内部人力 + 证书成本(约1500英镑) 4–6周
SIEM集成和告警 取决于现有SIEM;0–10000英镑 4–8周

中等规模企业总加固投资约20000–45000英镑。对标358万英镑的数据泄露成本基线,即使在保守的数据泄露概率估算下,风险调整后的ROI依然引人注目。

安全之外的运营收益

加强的RADIUS基础设施也能带来运营收益。可靠且经过良好监控的认证可减少与WiFi连接相关的帮助台工单。当RADIUS计费数据与 WiFi Analytics 集成时,可提供会话级别的网络使用模式、停留时间和设备类型可见性——这些数据对 Hospitality交通 环境中的场馆运营商具有直接的商业价值。

对于公共部门和 医疗 机构,记录在案的RADIUS加固计划可为Cyber Essentials Plus、ISO 27001和NHS DSPT评估提供技术控制证据——从而减少审计工作量,并向监管机构展示尽职调查。

Definizioni chiave

RADIUS (Remote Authentication Dial-In User Service)

Un protocollo client-server definito nella RFC 2865 che fornisce autenticazione, autorizzazione e tracciamento (AAA) centralizzati per l'accesso alla rete. I server RADIUS convalidano le credenziali inviate dai dispositivi di rete (NAS) confrontandole con un archivio di identità backend come Active Directory o LDAP.

I team IT incontrano RADIUS come backend di autenticazione per il WiFi 802.1X, l'autenticazione delle porte cablate, l'accesso VPN e la gestione dei dispositivi di rete. È il protocollo che decide chi può accedere alla rete.

IEEE 802.1X

Uno standard IEEE per il controllo dell'accesso alla rete basato su porte che definisce l'incapsulamento di EAP su LAN (EAPOL). Fornisce un framework di autenticazione sia per le reti cablate che per quelle wireless, richiedendo ai dispositivi di autenticarsi prima di ottenere l'accesso alla rete.

L'802.1X è lo standard che consente il funzionamento dell'autenticazione WiFi aziendale. Quando un dipendente si connette a un SSID aziendale e gli vengono richieste le credenziali, l'802.1X è il framework che orchestra tale scambio, con RADIUS come backend.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Un metodo EAP che utilizza certificati X.509 per la mutua autenticazione tra il client e il server RADIUS. Entrambe le parti devono presentare certificati validi, eliminando completamente le password dallo scambio di autenticazione.

L'EAP-TLS rappresenta il gold standard per l'autenticazione WiFi aziendale. È immune al phishing delle credenziali e agli attacchi brute-force. Il requisito operativo è un'infrastruttura PKI per emettere e gestire i certificati client.

RadSec (RADIUS over TLS)

Un protocollo definito nella RFC 6614 che incapsula i pacchetti RADIUS all'interno di una sessione TLS sulla porta TCP 2083. Fornisce crittografia a livello di trasporto, mutua autenticazione tramite certificati e protezione dai replay attack per il traffico RADIUS.

RadSec è richiesto per qualsiasi traffico RADIUS che attraversa un confine di rete non sicuro: collegamenti WAN, connessioni Internet o infrastrutture di rete condivise. È il sostituto corretto del protocollo RADIUS standard su UDP nelle distribuzioni multi-sito.

BlastRADIUS (CVE-2024-3596)

Un attacco man-in-the-middle divulgato a luglio 2024 che sfrutta l'assenza di protezione dell'integrità sui pacchetti RADIUS Access-Request. Utilizzando tecniche di collisione MD5 a prefisso scelto, un utente malintenzionato può contraffare una risposta Access-Accept, concedendo l'accesso alla rete a un utente non autenticato.

BlastRADIUS interessa tutte le principali implementazioni RADIUS, tra cui FreeRADIUS, Cisco ISE e Microsoft NPS. Le organizzazioni che non hanno applicato le patch rilasciate a luglio 2024 rimangono esposte a questo attacco.

Message-Authenticator

Un attributo RADIUS (Attributo 80) che fornisce protezione dell'integrità HMAC-MD5 sull'intero pacchetto RADIUS. Quando è presente in una richiesta Access-Request, impedisce l'attacco di modifica del pacchetto utilizzato in BlastRADIUS.

L'applicazione di Message-Authenticator su tutti i pacchetti Access-Request è la misura correttiva principale per BlastRADIUS. Deve essere configurato sia sul server RADIUS (per richiedere l'attributo) sia sul dispositivo NAS (per includere l'attributo nelle richieste).

NAS (Network Access Server)

Nella terminologia RADIUS, il NAS è il dispositivo di rete (in genere un access point WiFi, uno switch o un concentratore VPN) che funge da client RADIUS. Intercetta le richieste di connessione dai dispositivi finali e inoltra le richieste di autenticazione al server RADIUS.

I dispositivi NAS sono i client RADIUS in una distribuzione. I segreti condivisi sono configurati per singolo NAS. La risoluzione di BlastRADIUS richiede aggiornamenti del firmware sui dispositivi NAS e l'applicazione di patch sul server RADIUS.

PEAP (Protected Extensible Authentication Protocol)

Un metodo EAP che stabilisce un tunnel TLS utilizzando un certificato lato server prima di trasmettere il metodo di autenticazione interno (in genere MSCHAPv2). Fornisce la mutua autenticazione e protegge le credenziali dall'intercettazione.

PEAP-MSCHAPv2 è il metodo di autenticazione WiFi aziendale più diffuso. È conforme allo standard PCI DSS e operativamente più semplice rispetto a EAP-TLS poiché non richiede certificati client. Tuttavia, è vulnerabile agli attacchi di server RADIUS non autorizzati se non viene applicata la convalida del certificato lato client.

Shared Secret

Una chiave precondivisa configurata sia sul server RADIUS sia su ciascun dispositivo NAS. Viene utilizzata per generare il campo Response Authenticator e per offuscare l'attributo User-Password. Non è una password per gli utenti finali, bensì una credenziale di autenticazione server-to-server.

I segreti condivisi deboli o statici rappresentano una delle vulnerabilità RADIUS più comuni. Un utente malintenzionato che intercetta il traffico RADIUS può condurre un attacco brute-force offline contro un segreto condiviso debole. La lunghezza minima consigliata è di 32 caratteri, generati in modo casuale.

PCI DSS (Payment Card Industry Data Security Standard)

Un insieme di standard di sicurezza imposti dai principali circuiti di carte di credito (Visa, Mastercard, Amex) per le organizzazioni che elaborano, memorizzano o trasmettono i dati dei titolari di carta. La versione 4.0, in vigore da marzo 2024, include requisiti specifici per il controllo dell'accesso alla rete e l'autenticazione forte.

Le organizzazioni del settore retail e hospitality con terminali POS connessi via WiFi rientrano nell'ambito del PCI DSS. Le vulnerabilità del server RADIUS che potrebbero consentire l'accesso non autorizzato alla rete agli ambienti dei dati dei titolari di carta rappresentano un rischio diretto di conformità.

Esempi pratici

Un gruppo alberghiero di 12 proprietà con 350 camere utilizza un server RADIUS centralizzato ospitato nel data center della sede centrale. Ciascuna proprietà si connette tramite una WAN MPLS condivisa. Un audit di sicurezza ha segnalato che il traffico RADIUS non è crittografato sulla WAN, i segreti condivisi sono stringhe di 8 caratteri impostate durante l'implementazione iniziale cinque anni fa e il server RADIUS esegue FreeRADIUS 3.0.21. Il gruppo elabora i pagamenti con carta tramite terminali POS connessi al WiFi presso i ristoranti e le spa. Quali sono la priorità di riparazione e la sequenza di implementazione?

La sequenza di riparazione deve essere ordinata in base alla gravità del rischio e alla velocità di implementazione. Fase 1 (immediata, entro 72 ore): applicare la patch a FreeRADIUS per passare alla versione 3.2.5 o 3.0.27. Questo risolve BlastRADIUS e impone Message-Authenticator per impostazione predefinita. Contemporaneamente, verificare le versioni del firmware degli access point in tutte le 12 proprietà e pianificare gli aggiornamenti del firmware per tutti i dispositivi NAS che non supportano Message-Authenticator. Fase 2 (settimana 1-2): ruotare tutti i segreti condivisi. Generare segreti casuali a 32 caratteri utilizzando openssl rand -base64 32 per ciascuna delle registrazioni NAS delle 12 proprietà. Memorizzarli in HashiCorp Vault o equivalente. Documentare la data di rotazione. Fase 3 (mese 1-2): implementare RadSec sul percorso WAN. Configurare il server FreeRADIUS per accettare connessioni RadSec sulla porta TCP 2083. Rilasciare certificati TLS da una CA interna ai dispositivi NAS di ciascuna proprietà. Aggiornare le regole del firewall per consentire la porta TCP 2083 dagli intervalli IP dei NAS delle proprietà al server RADIUS. Disabilitare la porta UDP 1812/1813 dalle interfacce rivolte verso la WAN una volta confermato il funzionamento di RadSec. Fase 4 (mese 2-3): per l'SSID WiFi del POS rientrante nell'ambito PCI DSS, migrare da PEAP-MSCHAPv2 a EAP-TLS. Distribuire una PKI interna (Microsoft ADCS o motore PKI HashiCorp Vault). Rilasciare certificati client ai terminali POS tramite MDM. Aggiornare i criteri RADIUS per richiedere EAP-TLS per l'SSID del POS. Fase 5 (mese 3): integrare i log di accounting RADIUS nel SIEM. Configurare gli avvisi per i picchi di autenticazione non riusciti e la scadenza dei certificati.

Commento dell'esaminatore: Questo scenario è rappresentativo della maggior parte delle distribuzioni multi-sito nel settore dell'ospitalità. L'aspetto chiave è che la WAN MPLS, pur non essendo l'internet pubblico, è una rete condivisa che non può essere considerata completamente attendibile, in particolare in un gruppo alberghiero in cui la WAN potrebbe essere gestita da un provider terzo. RadSec non è quindi opzionale. L'aspetto PCI DSS è fondamentale: i terminali POS su WiFi rientrano nell'ambito del requisito PCI DSS 8.3 (autenticazione forte) e del requisito 4.2.1 (crittografia forte per i dati in transito). EAP-TLS soddisfa entrambi. La sequenza dà priorità all'applicazione delle patch poiché BlastRADIUS è una vulnerabilità attiva e sfruttabile; le altre fasi di hardening sono importanti ma non comportano lo stesso rischio immediato. Un approccio alternativo, ovvero la migrazione a un RADIUS-as-a-Service ospitato in cloud, è stato preso in considerazione ma rifiutato per questo scenario a causa dell'investimento MPLS esistente del gruppo e della complessità di migrare 12 proprietà contemporaneamente.

Una catena di vendita al dettaglio regionale con 45 negozi utilizza WPA2-Personal (chiave precondivisa) per il WiFi del personale e una rete aperta per il WiFi dei clienti. Il direttore IT desidera migrare il WiFi del personale all'autenticazione 802.1X utilizzando Microsoft NPS come server RADIUS, integrato con Active Directory. I negozi hanno un mix di access point Aruba e Cisco. La catena rientra nell'ambito PCI DSS. Quale architettura dovrebbero distribuire e quali sono le decisioni di configurazione chiave?

L'architettura consigliata è 802.1X con PEAP-MSCHAPv2 come metodo EAP iniziale, con una roadmap documentata verso EAP-TLS. Il server NPS deve essere distribuito in una coppia ridondante (primario + secondario) nel data center centrale, con configurazione proxy RADIUS sugli access point per il failover automatico. Decisioni di configurazione: (1) Criteri di rete NPS: creare un criterio corrispondente all'SSID del personale con PEAP-MSCHAPv2, che richieda l'appartenenza a un gruppo di sicurezza AD (ad esempio, 'WiFi-Staff-Access'). Impostare il timeout della sessione a 8 ore per forzare la riautenticazione. (2) Certificato: distribuire un certificato server NPS da una CA Microsoft ADCS interna. Distribuire il certificato CA radice a tutti i dispositivi del personale tramite Criteri di gruppo (Windows) e MDM (iOS/Android). (3) Configurazione del supplicant: configurare i dispositivi Windows tramite Criteri di gruppo (Configurazione computer > Impostazioni di Windows > Impostazioni di sicurezza > Criteri della rete wireless). Per i dispositivi iOS e Android, utilizzare un profilo MDM. Imporre la convalida del certificato del server; non consentire agli utenti di accettare certificati arbitrari. (4) Configurazione dell'access point: su Aruba, configurare il server RADIUS in Autenticazione > Server. Impostare il segreto condiviso su una stringa casuale di 32 caratteri. Abilitare RadSec se il firmware Aruba lo supporta (AOS 8.9+). Su Cisco, configurare in Sicurezza > AAA > RADIUS. (5) Registrazione NPS: abilitare la registrazione dell'accounting NPS su un database SQL Server. Configurare un periodo di conservazione dei log di almeno 90 giorni per la conformità PCI DSS. (6) Post-migrazione: disabilitare WPA2-Personal sull'SSID del personale. Mantenerlo solo come SSID di emergenza con una PSK complessa memorizzata nel gestore dei segreti, da utilizzare solo quando NPS non è disponibile.

Commento dell'esaminatore: La migrazione da WPA2-Personal a 802.1X è uno dei progetti di potenziamento della sicurezza più comuni nell'IT del settore retail. Il rischio principale in questo scenario è la presenza di un parco access point misto: Aruba e Cisco hanno interfacce di configurazione dei client RADIUS diverse e il processo di rotazione del segreto condiviso deve essere gestito separatamente per ciascuno. La decisione di iniziare con PEAP-MSCHAPv2 anziché con EAP-TLS è pragmatica: evita la complessità di distribuzione della PKI offrendo al contempo un miglioramento significativo della sicurezza rispetto a PSK. La roadmap per EAP-TLS dovrebbe essere legata alla tempistica di implementazione dell'MDM; la distribuzione dei certificati client è fattibile dal punto di vista operativo solo una volta che tutti i dispositivi sono registrati nell'MDM. L'aspetto PCI DSS rafforza il requisito di registrazione NPS: il requisito PCI DSS 10.2.1 impone la registrazione di tutti gli accessi dei singoli utenti ai dati dei titolari di carta, inclusi gli eventi di accesso alla rete.

Domande di esercitazione

Q1. La tua organizzazione gestisce un server FreeRADIUS 3.0.21 che supporta l'autenticazione 802.1X per 800 dispositivi del personale in un campus a sito singolo. Il server RADIUS si trova sulla stessa VLAN di gestione di tutti gli access point. Un penetration test ha rilevato che gli access point inviano pacchetti Access-Request senza l'attributo Message-Authenticator. Il team di sicurezza desidera imporre immediatamente l'uso di Message-Authenticator, ma il team delle operazioni di rete teme di interrompere l'autenticazione per 800 utenti. Come pianifichi la sequenza di remediation per ridurre al minimo l'interruzione del servizio?

Suggerimento: Considera la differenza tra il server RADIUS che richiede Message-Authenticator e i dispositivi NAS che lo inviano. Si tratta di due modifiche di configurazione distinte con profili di rischio differenti.

Visualizza risposta modello

La sequenza corretta è: (1) Innanzitutto, applica la patch a FreeRADIUS per passare alla versione 3.2.5. Questa versione impone Message-Authenticator per impostazione predefinita, ma include una modalità di compatibilità che registra un avviso (warning) anziché rifiutare i pacchetti privi dell'attributo. Ciò consente di applicare la patch senza interrompere immediatamente l'autenticazione. (2) Esegui un audit delle versioni del firmware degli access point. Identifica quali modelli e versioni di firmware supportano Message-Authenticator nei pacchetti Access-Request. (3) Aggiorna il firmware degli access point a lotti, iniziando con un gruppo pilota di 50 dispositivi. Verifica che l'autenticazione continui a funzionare dopo ogni lotto. (4) Una volta confermato che tutti gli access point inviano Message-Authenticator, abilita l'applicazione rigorosa sul server FreeRADIUS (require_message_authenticator = yes in clients.conf). (5) Monitora i log RADIUS per individuare eventuali avvisi residui di 'Message-Authenticator missing', che indicherebbero dispositivi NAS sfuggiti all'aggiornamento del firmware. Il principio chiave è che è possibile applicare prima la patch al server senza interrompere nulla, poiché la modalità di compatibilità consente un periodo di transizione. L'imposizione del rifiuto rigoroso sul server deve essere l'ultimo passaggio, dopo che tutti i dispositivi NAS sono stati aggiornati.

Q2. Un operatore di un centro congressi gestisce un singolo server RADIUS che supporta sia l'SSID del personale aziendale (802.1X con PEAP-MSCHAPv2) sia il WiFi per gli ospiti degli eventi (Captive Portal con MAC Authentication Bypass). Il responsabile IT chiede se l'istanza RADIUS del WiFi guest debba essere protetta con gli stessi standard dell'istanza RADIUS aziendale, dato che gli ospiti non si autenticano con credenziali aziendali. Qual è la tua raccomandazione?

Suggerimento: Considera i vettori di attacco applicabili al MAC Authentication Bypass rispetto all'autenticazione basata su EAP, e il rischio di movimento laterale tra le istanze RADIUS guest e aziendali.

Visualizza risposta modello

L'istanza RADIUS del WiFi guest richiede una protezione avanzata, ma i controlli specifici differiscono da quelli dell'istanza aziendale. La patch BlastRADIUS si applica allo stesso modo: la vulnerabilità interessa il server RADIUS indipendentemente dal metodo di autenticazione utilizzato dai client. La gestione della sicurezza delle chiavi condivise (shared secret) si applica allo stesso modo: una chiave condivisa debole tra il controller del Captive Portal guest e il server RADIUS è vulnerabile a exploit indipendentemente dall'uso di EAP. Il rischio aggiuntivo chiave è il server RADIUS condiviso: se le richieste di autenticazione dell'SSID guest e di quello aziendale sono gestite dallo stesso processo del server RADIUS, una vulnerabilità nel percorso RADIUS guest potrebbe essere utilizzata per spostarsi lateralmente verso la policy di autenticazione aziendale. L'architettura consigliata consiste nell'eseguire istanze RADIUS separate (o almeno server virtuali separati all'interno di FreeRADIUS) per l'autenticazione guest e aziendale, con chiavi condivise e set di policy distinti. Ciò garantisce l'isolamento, in modo che una compromissione del percorso RADIUS guest non esponga le credenziali aziendali. Nello specifico per l'istanza guest: applica la patch per BlastRADIUS, ruota le chiavi condivise e assicurati che l'istanza RADIUS guest non abbia accesso all'Active Directory aziendale. I requisiti EAP-TLS e RadSec sono meno rilevanti per una distribuzione con Captive Portal, ma RadSec dovrebbe comunque essere preso in considerazione se il controller del Captive Portal si trova in un segmento di rete diverso rispetto al server RADIUS.

Q3. Un ente sanitario sta pianificando la migrazione del proprio WiFi clinico da WPA2-Personal all'autenticazione 802.1X. L'ente dispone di 1.200 dispositivi clinici, tra cui laptop Windows, tablet iOS e palmari Android. Il CISO desidera EAP-TLS come stato obiettivo. Il direttore IT è preoccupato per la complessità di implementazione della PKI e propone PEAP-MSCHAPv2 come soluzione permanente. Come consigli di procedere al CISO e al direttore IT, e qual è il percorso di implementazione raccomandato?

Suggerimento: Considera il modello di minaccia specifico per un ambiente sanitario: quali sono le conseguenze di una compromissione delle credenziali e in che modo EAP-TLS affronta rischi che PEAP-MSCHAPv2 non gestisce?

Visualizza risposta modello

L'istinto del CISO è corretto, ma la preoccupazione del direttore IT è valida. Il consiglio raccomandato è: implementare PEAP-MSCHAPv2 ora come soluzione temporanea, con una roadmap definita di 12 mesi per la migrazione a EAP-TLS. I motivi per cui non si dovrebbe accettare PEAP-MSCHAPv2 come soluzione permanente in ambito sanitario sono: (1) PEAP-MSCHAPv2 è vulnerabile ad attacchi di tipo rogue RADIUS server se non viene imposta la convalida del certificato lato client. In un ambiente sanitario in cui il personale clinico potrebbe connettere dispositivi personali, imporre la configurazione del supplicant in modo coerente su 1.200 dispositivi è una sfida operativa complessa. (2) Le credenziali MSCHAPv2, se intercettate tramite un attacco rogue RADIUS, possono essere decifrate offline utilizzando strumenti come hashcat. In un contesto sanitario, tali credenziali probabilmente forniscono anche l'accesso ai sistemi clinici. (3) Le valutazioni NHS DSPT e CQC richiedono sempre più controlli di autenticazione forti per l'accesso alla rete clinica. EAP-TLS offre una posizione di audit più solida. Il percorso di implementazione: Mesi 1-2: Distribuzione di PEAP-MSCHAPv2 con convalida forzata del certificato del server tramite profili MDM su tutti i 1.200 dispositivi. Mesi 3-6: Distribuzione di Microsoft ADCS come infrastruttura PKI. Registrazione dei dispositivi Windows tramite registrazione automatica dei Criteri di gruppo (Group Policy). Mesi 6-9: Registrazione dei dispositivi iOS e Android tramite profili di certificato MDM. Mesi 9-12: Migrazione della policy dell'SSID clinico da PEAP a EAP-TLS. Mantenimento di PEAP come fallback per i dispositivi che non superano la registrazione del certificato, con monitoraggio avanzato. Per ulteriori informazioni sull'architettura di sicurezza delle reti cliniche, la guida WiFi in Hospitals fornisce un contesto di implementazione pertinente.

Continua a leggere questa serie