Mitigare le vulnerabilità RADIUS: Una guida al rafforzamento della sicurezza

Riepilogo Esecutivo

RADIUS (Remote Authentication Dial-In User Service) rimane il protocollo dominante per il controllo degli accessi alla rete nelle implementazioni WiFi aziendali, alla base dell'autenticazione IEEE 802.1X in hotel, proprietà commerciali, stadi, centri congressi ed edifici del settore pubblico. Tuttavia, RADIUS è stato progettato negli anni '90 e molte delle sue decisioni di design fondamentali — l'affidamento sull'hashing MD5, il trasporto UDP senza crittografia nativa e i segreti condivisi statici — sono diventate passività significative nell'attuale ambiente di minaccia.

Nel luglio 2024, la vulnerabilità BlastRADIUS (CVE-2024-3596) ha dimostrato che un attaccante man-in-the-middle può falsificare le risposte RADIUS Access-Accept sfruttando la debolezza di integrità MD5 nei pacchetti Access-Request. Ciò riguarda tutte le principali implementazioni RADIUS, inclusi FreeRADIUS, Cisco ISE e Microsoft NPS. Le implementazioni non patchate rimangono esposte.

Questa guida fornisce una roadmap di rafforzamento prioritizzata che copre la gestione delle patch, l'igiene dei segreti condivisi, la selezione del metodo EAP, l'implementazione di RadSec, l'autenticazione a più fattori per l'accesso amministrativo e l'integrazione SIEM per il rilevamento delle anomalie. È stata scritta per il professionista IT che deve prendere una decisione difendibile questo trimestre, non il prossimo anno.

Approfondimento Tecnico

Come funziona RADIUS e i suoi punti deboli

RADIUS opera come protocollo client-server tra un Network Access Server (NAS) — tipicamente un access point WiFi, uno switch o un concentratore VPN — e un server RADIUS che convalida le credenziali rispetto a un archivio di identità backend come Active Directory o LDAP. Lo scambio di autenticazione segue un modello richiesta-sfida-risposta definito in RFC 2865, con la contabilità gestita separatamente secondo RFC 2866.

Il protocollo trasmette i pacchetti di autenticazione su UDP, porta 1812 per l'autenticazione e porta 1813 per la contabilità. Il segreto condiviso — una chiave pre-condivisa configurata sia sul NAS che sul server RADIUS — viene utilizzato per generare il campo Response Authenticator e per offuscare l'attributo User-Password tramite una cifratura XOR basata su MD5. Questa non è crittografia in alcun senso moderno; è offuscamento e dipende interamente dalla segretezza e dalla forza del segreto condiviso.

Le cinque principali classi di vulnerabilità in una tipica implementazione RADIUS sono le seguenti.

Vulnerabilità di collisione e integrità MD5. L'attacco BlastRADIUS (CVE-2024-3596) sfrutta l'assenza di protezione dell'integrità sui pacchetti Access-Request. Poiché il NAS non include un attributo Message-Authenticator per impostazione predefinita in molte configurazioni, un attaccante con una posizione man-in-the-middle può iniettare un attributo manipolato nel pacchetto prima che raggiunga il server RADIUS. Sfruttando le tecniche di collisione MD5 a prefisso scelto, l'attaccante può manipolare il pacchetto in modo tale che il server RADIUS calcoli un Response Authenticator valido per il pacchetto modificato, restituendo un Access-Accept per una richiesta che avrebbe dovuto essere rifiutata. La soluzione è imporre l'attributo Message-Authenticator su tutti i pacchetti Access-Request, il che fornisce protezione dell'integrità HMAC-MD5 sull'intero pacchetto. Si tratta di una modifica della configurazione sia sul NAS che sul server RADIUS, non solo di una patch del server.

Segreti Condivisi Deboli o Statici. Il segreto condiviso è l'ancora crittografica dello scambio RADIUS. Se è corto, indovinabile o non è stato ruotato, un attaccante che cattura il traffico RADIUS — fattibile tramite spoofing ARP o un dispositivo di rete compromesso — può condurre un attacco di forza bruta offline contro l'attributo User-Password. La guida NIST SP 800-63B sui segreti memorizzati si applica qui: i segreti dovrebbero essere di almeno 20 caratteri, generati casualmente e archiviati in un sistema di gestione dei segreti. Per grandi infrastrutture con decine o centinaia di dispositivi NAS, la rotazione manuale è operativamente impraticabile; l'automazione tramite HashiCorp Vault o un gestore di segreti comparabile è l'approccio corretto.

Trasporto UDP Non Crittografato. RADIUS standard su UDP non fornisce riservatezza a livello di trasporto. L'attributo User-Password è offuscato ma non crittografato. Tutti gli altri attributi — inclusi nome utente, IP NAS e metadati di sessione — vengono trasmessi in chiaro. RadSec (RADIUS over TLS), definito in RFC 6614 e aggiornato in RFC 7360, risolve questo problema avvolgendo il protocollo RADIUS in una sessione TLS 1.2 o TLS 1.3 su porta TCP 2083. RadSec fornisce autenticazione reciproca dei certificati tra il NAS e il server RADIUS, crittografia completa del payload e protezione dal replay. È il trasporto corretto per qualsiasi traffico RADIUS che attraversa un confine di rete non attendibile.

Selezione del Metodo EAP. L'Extensible Authentication Protocol (EAP) definisce il metodo di autenticazione interno utilizzato all'interno del framework 802.1X. EAP-MD5 è deprecato e dovrebbe essere rimosso immediatamente da tutte le implementazioni — non fornisce autenticazione reciproca e nessuna protezione contro il furto di credenziali. PEAP (Protected EAP) ed EAP-TTLS stabiliscono un tunnel TLS utilizzando un certificato server prima di trasmettere le credenziali, fornendo autenticazione reciproca e proteggendo il metodo interno dall'intercettazione. EAP-TLS elimina completamente le password, richiedendo sia al server che al client di presentare certificati X.509. È immune agli attacchi di phishing e di forza bruta ed è il metodo raccomandato per ambienti ad alta sicurezza.

Registrazione e Monitoraggio Insufficienti. La contabilità RADIUS registra ogni evento di autenticazione — successo, fallimento, inizio sessione, fine sessione. Questi dati sono operativamente preziosi per la pianificazione della capacità e commercialmente preziosi per WiFi Analytics , ma sono anche un crifonte di telemetria di sicurezza critica. Tempeste di autenticazione fallite, autenticazioni da indirizzi MAC inattesi e schemi di accesso fuori orario sono tutti rilevabili dai log di accounting RADIUS. La maggior parte delle organizzazioni non sta acquisendo questi dati in un SIEM, e quelle che lo fanno spesso non hanno soglie di allerta configurate.

L'attacco BlastRADIUS in dettaglio

BlastRADIUS è stato rivelato a luglio 2024 da ricercatori della Boston University e dell'Università della California San Diego. L'attacco richiede una posizione man-in-the-middle tra il NAS e il server RADIUS — realizzabile tramite ARP poisoning su un segmento di rete condiviso, un router compromesso o un insider malintenzionato con accesso alla rete.

L'attacco procede come segue: l'attaccante intercetta un pacchetto Access-Request dal NAS. Poiché il pacchetto è privo di un attributo Message-Authenticator (l'impostazione predefinita in molte configurazioni), l'attaccante ha la libertà di modificare l'elenco degli attributi del pacchetto. Utilizzando una collisione MD5 a prefisso scelto, l'attaccante crea un pacchetto modificato che, quando elaborato dal server RADIUS, produce lo stesso Response Authenticator che avrebbe prodotto il pacchetto originale. Il server restituisce quindi un Access-Accept per una richiesta che contiene attributi controllati dall'attaccante — incluso un Service-Type di Administrative, che garantisce l'accesso completo alla rete.

L'attacco è pratico contro le implementazioni PEAP ed EAP-TTLS in cui il metodo interno utilizza MSCHAPv2. Non influisce sulle implementazioni EAP-TLS, perché l'autenticazione reciproca basata su certificati fornisce una protezione dell'integrità che MD5 non può compromettere.

Per le organizzazioni che gestiscono Guest WiFi insieme a 802.1X aziendale, l'istanza RADIUS della rete guest deve essere patchata, anche se utilizza MAC Authentication Bypass anziché EAP. I requisiti di igiene del segreto condiviso e di Message-Authenticator si applicano in egual misura.

Guida all'implementazione

Fase 1: Rimedio Immediato (Settimana 1–2)

La prima priorità è l'applicazione delle patch. FreeRADIUS 3.2.5 e 3.0.27 includono la correzione BlastRADIUS e impongono Message-Authenticator per impostazione predefinita. Cisco ISE 3.1 Patch 8, 3.2 Patch 4 e 3.3 Patch 1 risolvono la vulnerabilità. Microsoft ha rilasciato KB5040434 per Windows Server 2022 NPS a luglio 2024. Verificare le versioni attuali e applicare le patch entro la prossima finestra di modifica programmata.

Contemporaneamente, verificare il firmware del dispositivo NAS. L'applicazione di Message-Authenticator è efficace solo se il NAS invia anche l'attributo. Controllare gli avvisi dei fornitori di access point e switch — Aruba, Ruckus, Cisco e Juniper hanno tutti rilasciato aggiornamenti firmware che risolvono BlastRADIUS. Se si utilizza hardware Ruckus, la guida agli access point wireless Ruckus fornisce un contesto rilevante per la gestione del firmware.

Per i Problemi di autenticazione 802.1X di Windows 11 che potrebbero sorgere dopo la patch, la causa più comune è il server NPS che rifiuta le connessioni da client che non includono Message-Authenticator — un comportamento di sicurezza corretto che potrebbe richiedere la riconfigurazione del supplicante su client Windows più datati.

Fase 2: Igiene del Segreto Condiviso (Settimana 2–4)

Esportare l'elenco completo dei client NAS registrati sul server RADIUS. Per ogni voce, registrare la lunghezza del segreto condiviso e la data dell'ultima modifica. Qualsiasi segreto inferiore a 20 caratteri o invariato per più di 24 mesi dovrebbe essere ruotato immediatamente.

Per i nuovi segreti, utilizzare un generatore crittograficamente casuale — openssl rand -base64 32 produce una stringa base64 di 44 caratteri adatta per l'uso come segreto condiviso RADIUS. Archiviare tutti i segreti in un sistema di gestione dei segreti. Implementare un programma di rotazione: annualmente per i dispositivi NAS a basso rischio, ogni sei mesi per i dispositivi NAS nell'ambito PCI DSS.

Fase 3: Razionalizzazione del Metodo EAP (Mese 1–2)

Verificare i metodi EAP consentiti dal server RADIUS. Disabilitare EAP-MD5. Se si utilizza PEAP-MSCHAPv2, verificare che la convalida del certificato del server sia applicata su tutti i supplicanti — un supplicante mal configurato che accetta qualsiasi certificato del server è vulnerabile agli attacchi di server RADIUS non autorizzati. Per gli ambienti nell'ambito PCI DSS, EAP-TLS è il percorso consigliato. Iniziare la pianificazione PKI se non si dispone di un'infrastruttura di certificati esistente.

Per Proteggere le reti Guest WiFi , si noti che le reti guest utilizzano tipicamente l'autenticazione tramite Captive Portal anziché 802.1X, quindi l'irrobustimento del metodo EAP si applica principalmente agli SSID aziendali e del personale.

Fase 4: Implementazione di RadSec (Mese 2–3)

Identificare tutti i percorsi del traffico RADIUS che attraversano confini di rete non attendibili. Gli scenari comuni includono: un server RADIUS centrale che serve proprietà alberghiere remote tramite internet; un servizio RADIUS ospitato nel cloud a cui accedono dispositivi NAS on-premises; e catene di proxy RADIUS dove il traffico passa attraverso più domini di rete.

Per ogni percorso identificato, configurare RadSec. Su FreeRADIUS, ciò richiede l'abilitazione del listener tls sulla porta 2083 e la configurazione di TLS reciproco con certificati dalla propria PKI. Su Cisco ISE, RadSec è configurato sotto Administration > Network Devices. Assicurarsi che TLS 1.2 sia la versione minima; disabilitare esplicitamente TLS 1.0 e 1.1.

Fase 5: MFA per l'Accesso Amministrativo (Mese 2–3)

L'interfaccia di gestione del server RADIUS è un obiettivo di alto valore. Un attaccante che compromette il server RADIUS può modificare le politiche di autenticazione, estrarre segreti condivisi e reindirizzare il traffico di autenticazione. Applicare MFA per tutti gli accessi amministrativi al server RADIUS e al suo sistema operativo sottostante. Limitare l'accesso alla gestione a una VLAN di gestione out-of-band dedicata. Implementare il controllo degli accessi basato sui ruoli: gli ingegneri di rete non dovrebbero avere gli stessi privilegi degli amministratori di sicurezza.

Fase 6: Integrazione SIEM e Avvisi (Mese 3–4)

Configura il tuo server RADIUS per inoltrare i log di accounting al tuo SIEM in tempo reale. Definisci le seguenti soglie di allerta come base:

Best Practices

Le seguenti raccomandazioni rappresentano il consenso di IEEE 802.1X, NIST SP 800-63B, PCI DSS v4.0 e degli avvisi di sicurezza dei fornitori.

Gestione dei Certificati. Qualsiasi implementazione che utilizzi EAP-TLS o RadSec ha certificati X.509 nel percorso di autenticazione. La scadenza dei certificati è la causa più comune di fallimento improvviso e totale dell'autenticazione nelle implementazioni WiFi aziendali. Implementa una gestione automatizzata del ciclo di vita dei certificati. Imposta avvisi di monitoraggio a 90, 30 e 7 giorni prima della scadenza. Per i certificati del server RADIUS, utilizza una dimensione minima della chiave di 2048 bit RSA o 256 bit ECDSA, con algoritmi di firma SHA-256 o più robusti. Non utilizzare SHA-1.

Segmentazione della Rete. Il server RADIUS dovrebbe risiedere su un segmento di rete di gestione dedicato, isolato sia dalla rete guest che dalla rete aziendale generale. L'accesso alle porte RADIUS (UDP 1812, 1813, TCP 2083 per RadSec) dovrebbe essere limitato tramite ACL del firewall agli specifici indirizzi IP dei dispositivi NAS registrati. Nessun accesso diretto a internet alle porte RADIUS.

Ridondanza e Alta Disponibilità. Un singolo server RADIUS è un singolo punto di fallimento per l'intera infrastruttura di controllo degli accessi alla rete. Implementa un minimo di due server RADIUS in una configurazione attivo-passivo o attivo-attivo. Per le implementazioni Hospitality con requisiti di connettività guest 24/7, il downtime del server RADIUS è direttamente equivalente al downtime del WiFi guest — un rischio reputazionale e commerciale.

WPA3 e 802.1X. WPA3-Enterprise impone l'uso della modalità di sicurezza a 192 bit per implementazioni governative e ad alta sicurezza, richiedendo AES-256-GCMP per la crittografia dei dati e HMAC-SHA-384 per l'autenticazione. Per la maggior parte delle implementazioni aziendali, WPA3-Enterprise con sicurezza standard a 128 bit rappresenta un miglioramento significativo rispetto a WPA2-Enterprise, in particolare in combinazione con EAP-TLS. Gli ambienti Retail che elaborano pagamenti con carta dovrebbero considerare l'adozione di WPA3-Enterprise come misura di riduzione del rischio PCI DSS.

Cadenza delle Patch del Fornitore. Iscriviti agli avvisi di sicurezza del tuo fornitore di server RADIUS e dei tuoi fornitori di dispositivi NAS. FreeRADIUS, Cisco, Microsoft, Aruba e Ruckus pubblicano tutti notifiche CVE. Integra queste informazioni nel tuo programma di gestione delle vulnerabilità con un SLA definito: vulnerabilità critiche (CVSS ≥ 9.0) patchate entro 72 ore; vulnerabilità elevate (CVSS 7.0–8.9) entro 14 giorni.

Risoluzione dei Problemi e Mitigazione del Rischio

Modalità di Fallimento Comuni

Fallimenti di Autenticazione Post-Patch. Dopo l'applicazione delle patch BlastRADIUS, alcuni dispositivi NAS potrebbero non riuscire ad autenticarsi se il loro firmware non supporta Message-Authenticator. Sintomi: aumento improvviso delle risposte Access-Reject senza modifiche alle credenziali utente. Diagnosi: abilita il logging di debug RADIUS e verifica la presenza di errori "Message-Authenticator required but not present". Risoluzione: aggiorna il firmware del NAS o, come misura temporanea, configura il server RADIUS per accettare richieste senza Message-Authenticator da specifici IP NAS mentre sono programmati gli aggiornamenti del firmware.

Fallimenti di Validazione del Certificato in EAP-TLS. Sintomi: i client ricevono "Autenticazione Fallita" senza un corrispondente Access-Reject nei log RADIUS. Diagnosi: controlla la catena di certificati del server RADIUS — la CA emittente è fidata dal supplicante del client? Il certificato del server è all'interno del suo periodo di validità? Risoluzione: assicurati che la catena di certificati completa (foglia + intermedio + radice) sia configurata sul server RADIUS. Invia il certificato CA radice ai dispositivi client tramite MDM o Criteri di gruppo.

Fallimenti di Handshake TLS RadSec. Sintomi: i dispositivi NAS non riescono a stabilire connessioni RadSec dopo una modifica della configurazione. Diagnosi: verifica la compatibilità della versione TLS — il firmware NAS più vecchio potrebbe non supportare TLS 1.2. Controlla l'autenticazione reciproca dei certificati — entrambe le estremità devono fidarsi della CA dell'altra. Risoluzione: verifica il supporto della versione TLS nelle note di rilascio del firmware NAS; assicurati che i certificati dei dispositivi NAS siano emessi dalla stessa CA fidata dal server RADIUS.

Mancata Corrispondenza del Segreto Condiviso. Sintomi: tutte le autenticazioni da un NAS specifico falliscono con errori "Invalid authenticator". Diagnosi: mancata corrispondenza del segreto condiviso tra la configurazione NAS e la voce client del server RADIUS. Risoluzione: reinserisci il segreto condiviso su entrambi i lati, assicurandoti che non ci siano spazi finali o problemi di codifica dei caratteri. Utilizza il copia-incolla da un gestore di segreti per evitare errori di trascrizione.

Registro dei Rischi

ROI e Impatto sul Business

Quantificazione del Rischio

Il caso finanziario per l'hardening di RADIUS è semplice se inquadrato rispetto ai costi delle violazioni. Il costo medio di una violazione dei dati nel Regno Unito nel 2024 è stato di 3,58 milioni di sterline, incluse multe normative, rimedio, costi legali e danni alla reputazione. Per le organizzazioni nell'ambito PCI DSS — che include praticamente ogni operazione Retail e Hospitality per l'elaborazione dei pagamenti con carta tramite WiFi — una violazione del controllo degli accessi di rete che espone i dati dei titolari di carta innesca un'indagine forense obbligatoria, potenziali multe da parte dei circuiti di carte e la possibile sospensione dei privilegi di elaborazione delle carte.

Per le organizzazioni sanitarie , una violazione GDPR che coinvolge dati dei pazienti accessibili tramite un server RADIUS compromesso comporta multe fino al 4% del fatturato annuo globale ai sensi dell'Articolo 83(5). Il registro delle sanzioni dell'ICO dimostra che i fallimenti della sicurezza di rete sono trattati come negligenza, non come incidenti tecnici.

Costi di Implementazione di Riferimento

Le seguenti stime di costo sono indicative per un'infrastruttura aziendale di 500 dispositivi:

Investimento totale per l'hardening di un'infrastruttura di medie dimensioni: circa £20.000–£45.000. A fronte di un costo base di violazione di £3,58 milioni, il ROI aggiustato per il rischio è convincente anche con stime di bassa probabilità di violazione.

Vantaggi Operativi Oltre la Sicurezza

Un'infrastruttura RADIUS rafforzata offre anche vantaggi operativi. Un'autenticazione affidabile e ben monitorata riduce i ticket dell'helpdesk relativi alla connettività WiFi. I dati di accounting RADIUS, se integrati con WiFi Analytics , forniscono visibilità a livello di sessione sui modelli di utilizzo della rete, sui tempi di permanenza e sui tipi di dispositivi — dati che hanno un valore commerciale diretto per gli operatori di sedi negli ambienti Hospitality e Transport .

Per le organizzazioni del settore pubblico e sanitarie , un programma documentato di hardening RADIUS fornisce prove dei controlli tecnici per le valutazioni Cyber Essentials Plus, ISO 27001 e NHS DSPT — riducendo il carico di audit e dimostrando la dovuta diligenza ai regolatori.