Vai al contenuto principale

Mitigazione delle Vulnerabilità RADIUS: Una Guida al Consolidamento della Sicurezza

Questa guida fornisce un riferimento completo e pratico per responsabili IT, architetti di rete e CTO responsabili dell'infrastruttura WiFi aziendale nei settori hospitality, retail, eventi e pubblica amministrazione. Copre l'intera superficie di attacco delle implementazioni dei server RADIUS - dalle vulnerabilità di collisione MD5 e i segreti condivisi deboli fino al trasporto UDP non crittografato e ai metodi EAP configurati in modo errato - e fornisce una roadmap di consolidamento prioritaria in linea con i requisiti IEEE 802.1X, PCI-DSS e GDPR. Le organizzazioni che implementano queste raccomandazioni ridurranno concretamente la loro esposizione agli attacchi di rete basati sulle credenziali, soddisferanno gli obblighi di conformità e costruiranno una postura di sicurezza difendibile per la loro infrastruttura WiFi guest e aziendale.

📖 12 minuti di lettura📝 2,764 parole🔧 2 esempi pratici3 domande di esercitazione📚 10 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
MITIGAZIONE DELLE VULNERABILITÀ RADIUS: UNA GUIDA AL CONSOLIDAMENTO DELLA SICUREZZA Un briefing informativo di Purple WiFi [INTRODUZIONE — circa 1 minuto] Benvenuti. Sono il vostro ospite per il briefing di oggi e, nei prossimi dieci minuti, andremo dritti al nocciolo di un problema che tiene svegli molti network architect e responsabili IT: la sicurezza del server RADIUS. Se gestite il WiFi aziendale in un complesso alberghiero, in una catena di negozi, in uno stadio o in un edificio del settore pubblico, la vostra infrastruttura RADIUS è uno dei componenti più critici - e più frequentemente trascurati - della vostra postura di sicurezza. Entriamo nel vivo dell'argomento. [CONTESTO — circa 1 minuto] RADIUS - Remote Authentication Dial-In User Service - rappresenta la spina dorsale del controllo degli accessi di rete fin dalla metà degli anni Novanta. È il protocollo che si interpone tra i vostri accessi point e la vostra directory di identità, decidendo chi può accedere alla rete e chi no. Lo standard IEEE 802.1X, che è alla base di quasi tutte le distribuzioni di autenticazione cablate e WiFi aziendali, si affida a RADIUS per funzionare. Il problema è che RADIUS è stato progettato in un'epoca in cui il panorama delle minacce era molto diverso. Il protocollo utilizza UDP, che è privo di connessione e quindi più difficile da proteggere. Storicamente, il suo meccanismo di autenticazione principale si è affidato all'hashing MD5 - un algoritmo crittografico che si è dimostrato vulnerabile fin dal 2004. Inoltre, i segreti condivisi, ovvero le chiavi precondivise che autenticano i vostri access point sul vostro server RADIUS, vengono spesso impostati una sola volta e mai ruotati. Nel 2024, i ricercatori hanno pubblicato un attacco pratico contro RADIUS chiamato BlastRADIUS - un attacco man-in-the-middle che sfrutta la vulnerabilità MD5 per contraffare le risposte di autenticazione. Non si tratta di teoria. È un vettore di attacco reale e documentato che colpisce le installazioni che eseguono FreeRADIUS, Cisco ISE e Microsoft NPS non aggiornati. Se non avete applicato le patch dalla metà del 2024, siete esposti. La posta in gioco per il business è significativa. Un server RADIUS compromesso non significa solo un accesso WiFi non autorizzato. Significa che un utente malintenzionato può autenticarsi come qualsiasi utente sulla vostra rete, aggirare la segmentazione della rete e potenzialmente accedere ai sistemi di pagamento, alle cartelle cliniche o alle tecnologie operative. Per gli ambienti retail che elaborano pagamenti con carta, si tratta di una violazione diretta del PCI-DSS. Per il settore sanitario, è un problema di GDPR e di governance clinica. Per il settore dell'ospitalità, si traduce in un danno d'immagine e in potenziali sanzioni normative. [APPROFONDIMENTO TECNICO — circa 5 minuti] Esaminiamo sistematicamente la superficie di attacco. La prima classe di vulnerabilità è il rischio di collisione MD5. RADIUS utilizza MD5 per proteggere l'attributo User-Password e per generare il campo Response Authenticator. MD5 produce un hash a 128 bit e gli attacchi di collisione - in cui due input diversi producono lo stesso hash - sono fattibili dal 2004. L'attacco BlastRADIUS sfrutta specificamente la mancanza di protezione dell'integrità sui pacchetti Access-Request. Un malintenzionato posizionato tra il dispositivo NAS - ovvero il server di accesso alla rete, in genere l'access point o lo switch - e il server RADIUS può inserire un attributo contraffatto nel pacchetto e costringere il server a restituire un Access-Accept, anche in presenza di credenziali non valide. La soluzione in questo caso è duplice: applicare le patch al server RADIUS aggiornandolo all'ultima versione e imporre il Message-Authenticator su tutti i pacchetti Access-Request. FreeRADIUS 3.2.5 e versioni successive lo richiedono per impostazione predefinita. La seconda classe di vulnerabilità è rappresentata da segreti condivisi deboli o statici. Il segreto condiviso è la chiave precondivisa tra il NAS e il server RADIUS. Se è breve, vulnerabile ad attacchi a dizionario o non viene ruotato da anni, rappresenta un rischio. RADIUS utilizza questo segreto per crittografare l'attributo User-Password e per generare il Response Authenticator. Un segreto condiviso debole consente a un utente malintenzionato che intercetta il traffico RADIUS - operazione banale su una rete già parzialmente compromessa - di forzare la password offline tramite brute force. La best practice prevede un minimo di 32 caratteri, generati casualmente e ruotati almeno una volta all'anno. Automatizzate questa rotazione; eseguirla manualmente su un'infrastruttura di grandi dimensioni è soggetto a errori. La terza classe di vulnerabilità è il trasporto non crittografato. Il protocollo RADIUS standard viene eseguito su UDP sulla porta 1812 per l'autenticazione e 1813 per l'accounting. UDP non fornisce alcuna crittografia a livello di trasporto, nessun controllo dell'integrità e nessuna protezione dai replay oltre a quanto implementato da RADIUS stesso - il che, come abbiamo stabilito, è insufficiente. RadSec, formalmente definito nella RFC 6614, incapsula RADIUS in TLS 1.2 o 1.3 sulla porta TCP 2083. Ciò garantisce la mutua autenticazione tramite certificati, la crittografia completa del payload RADIUS e la protezione dai replay. Se si esegue RADIUS su un qualsiasi segmento di rete non attendibile - incluso un collegamento WAN tra una sede remota e un server RADIUS centrale - RadSec non è opzionale. È un requisito fondamentale. La quarta classe di vulnerabilità è la selezione del metodo EAP. Non tutti i metodi EAP sono uguali. L'EAP-MD5 deve essere considerato deprecato - non fornisce alcuna autenticazione reciproca e nessuna crittografia dello scambio di autenticazione. PEAP e EAP-TTLS sono accettabili per la maggior parte delle implementazioni enterprise, in quanto stabiliscono un tunnel TLS prima di trasmettere le credenziali e supportano l'autenticazione reciproca tramite certificati server. EAP-TLS rappresenta il gold standard: richiede sia al server che al client di presentare certificati, eliminando completamente la password dallo scambio di autenticazione. Questo lo rende immune al phishing delle credenziali e agli attacchi brute-force. Il sovraccarico operativo dovuto alla distribuzione di una PKI per il rilascio di certificati client è reale, ma per gli ambienti ad alta sicurezza - reti sanitarie, zone di elaborazione dei pagamenti, sistemi retail di back-of-house - è la scelta giusta. La quinta classe di vulnerabilità è l'insufficiente registrazione e monitoraggio. I dati di accounting RADIUS sono una miniera d'oro per il rilevamento delle minacce e la maggior parte delle organizzazioni non li utilizza. Ogni tentativo di autenticazione, andato a buon fine o meno, genera un record di accounting. Pattern di autenticazioni non riuscite, autenticazioni da indirizzi MAC imprevisti o autenticazioni in orari insoliti sono tutti indicatori di compromissione. Integra il tuo flusso di accounting RADIUS nel tuo SIEM. Imposta avvisi per più di cinque autenticazioni non riuscite da un singolo indirizzo MAC entro sessanta secondi. Monitora le tempeste di Access-Reject, che possono indicare un attacco di credential-stuffing in corso. [RACCOMANDAZIONI DI IMPLEMENTAZIONE E TRAPPOLE DA EVITARE - circa 2 minuti] Lascia che ti fornisca una sequenza pratica per un progetto di hardening. Inizia con l'applicazione delle patch. Questo non è negoziabile e dovrebbe essere fatto entro la prossima finestra di manutenzione. FreeRADIUS, Cisco ISE e Microsoft NPS hanno tutti rilasciato patch per BlastRADIUS nel luglio 2024. Controlla la tua versione, applica la patch e verifica che l'applicazione di Message-Authenticator sia attiva. Successivamente, esegui un audit dei tuoi shared secrets. Estrai l'elenco di ogni dispositivo NAS registrato sul tuo server RADIUS. Per ciascuno di essi, verifica la lunghezza e l'età dello shared secret. Qualsiasi segreto inferiore a 20 caratteri o più vecchio di due anni dovrebbe essere ruotato immediatamente. Utilizza un password manager o un vault di segreti - HashiCorp Vault funziona bene in questo caso - per memorizzarli e ruotarli a livello di codice. Terzo, valuta il tuo metodo EAP. Se stai eseguendo EAP-MD5 ovunque, migra subito verso un'altra soluzione. PEAP-MSCHAPv2 è una posizione provvisoria ragionevole per la maggior parte degli ambienti aziendali. Se disponi dell'infrastruttura PKI, EAP-TLS è lo stato di destinazione. Quarto, implementa RadSec per qualsiasi traffico RADIUS che attraversa segmenti di rete non attendibili. Questo è particolarmente rilevante per le implementazioni multi-sito in cui un server RADIUS centrale serve sedi remote tramite internet o una WAN condivisa. In quinto luogo, abilitare l'autenticazione a più fattori per l'accesso privilegiato al server RADIUS stesso. L'interfaccia di gestione del server è un bersaglio di alto valore. Imporre la MFA per tutti gli accessi amministrativi e limitare l'accesso di gestione a una rete di gestione out-of-band dedicata. Ora, le insidie. L'errore più comune che riscontro è che le organizzazioni applicano la patch al server RADIUS ma lasciano i dispositivi NAS su un firmware obsoleto che non supporta il Message-Authenticator. La patch è efficace solo se entrambe le parti la impongono. Eseguire l'audit del firmware dei punti di accesso e degli switch nell'ambito dello stesso progetto. La seconda insidia comune è la scadenza dei certificati. Se si utilizza EAP-TLS o RadSec, i certificati entrano in gioco. Un certificato del server RADIUS che scade silenziosamente causerà il fallimento simultaneo di ogni autenticazione sulla rete. Integrare il monitoraggio della scadenza dei certificati nel runbook operativo. Impostare gli avvisi a 90, 30 e 7 giorni prima della scadenza. La terza insidia è l'eccessivo affidamento sulla segmentazione della rete come controllo compensativo. La segmentazione è importante, ma non protegge da un utente malintenzionato che si è già autenticato tramite un server RADIUS compromesso. La difesa approfondita richiede sia il rafforzamento di RADIUS sia la segmentazione. [D&R RAPIDE - circa 1 minuto] Domanda: Ho bisogno di RadSec se il mio server RADIUS si trova sulla stessa LAN dei miei punti di accesso? Risposta: Se si trovano sulla stessa VLAN di gestione segmentata e attendibile, senza dispositivi non attendibili, il RADIUS standard su UDP è accettabile per il tratto da NAS a server. Ma se esiste una qualsiasi possibilità di movimento laterale da un dispositivo compromesso che raggiunge quella VLAN, RadSec aggiunge una protezione significativa a basso costo. Domanda: Utilizziamo Microsoft NPS. Siamo interessati da BlastRADIUS? Risposta: Sì. Microsoft ha rilasciato una patch a luglio 2024. Applicarla. Imporre inoltre la chiave di registro RequireMessageAuthenticator sul server NPS. Domanda: Come gestisco il WiFi per gli ospiti? Gli ospiti non hanno certificati. Risposta: Il WiFi per gli ospiti utilizza in genere un modello di Captive Portal anziché 802.1X, quindi RADIUS viene utilizzato in modo diverso - spesso solo per il bypass dell'autenticazione MAC o per l'accounting. Si applicano la stessa patch e la stessa igiene dei segreti condivisi, ma EAP-TLS non è rilevante per l'accesso degli ospiti non autenticato. Concentrarsi sull'isolamento dell'istanza RADIUS per gli ospiti dall'infrastruttura RADIUS aziendale. Domanda: Qual è il ROI per una migrazione completa a EAP-TLS? Risposta: Quantificarlo rispetto al rischio di violazione. Una singola violazione PCI-DSS costa in media quattro milioni di sterline in sanzioni, ripristino e danni d'immagine. Un'implementazione PKI per un parco di 500 dispositivi costa circa da 15.000 a 30.000 sterline in strumenti e servizi professionali. Il calcolo è semplice. [RIASSUNTO E PROSSIMI PASSI - circa 1 minuto] Vi lascio con cinque cose da fare in questo trimestre. Uno: Applicare la patch al server RADIUS e a tutti i dispositivi NAS per BlastRADIUS. Fare questo per primo. Due: Verificare e ruotare tutti i segreti condivisi. Automatizzare la rotazione in futuro. Tre: applicare Message-Authenticator su tutti i pacchetti Access-Request. Quattro: implementare RadSec per qualsiasi traffico RADIUS che attraversa i confini di reti non attendibili. Cinque: integrare i log di accounting RADIUS nel proprio SIEM e impostare avvisi di anomalia. La sicurezza RADIUS non è affascinante, ma è fondamentale. Esegui correttamente questi cinque passaggi e avrai chiuso i vettori di attacco più significativi contro la tua infrastruttura di controllo degli accessi alla rete. Grazie per l'ascolto. Per saperne di più sull'architettura di sicurezza WiFi aziendale, visita purple.ai. Questo è stato un Purple WiFi Intelligence Briefing.

header_image.png

Executive Summary

RADIUS (Remote Authentication Dial-In User Service) rimane il protocollo principale per il controllo dell'accesso alla rete nelle installazioni WiFi aziendali, supportando l'autenticazione IEEE 802.1X in hotel, punti vendita, stadi, centri congressi ed edifici del settore pubblico. Tuttavia, l'architettura di RADIUS risale agli anni '90 e diverse delle sue decisioni progettuali fondamentali - l'affidamento all'hashing MD5, il trasporto UDP privo di crittografia nativa e i segreti condivisi statici - sono diventate rischi significativi nell'attuale scenario delle minacce.

Nel luglio 2024, la vulnerabilità BlastRADIUS (CVE-2024-3596) ha dimostrato che un utente malintenzionato in grado di effettuare un attacco man-in-the-middle può falsificare le risposte Access-Accept di RADIUS sfruttando i punti deboli di integrità dell'MD5 nei pacchetti Access-Request. La vulnerabilità interessa tutte le principali implementazioni RADIUS, comprese FreeRADIUS, Cisco ISE e Microsoft NPS. Le installazioni non patchate rimangono a rischio.

Questa guida fornisce una roadmap di hardening prioritaria che copre la gestione delle patch, la sicurezza dei segreti condivisi, la selezione del metodo EAP, l'implementazione di RadSec, l'autenticazione a più fattori per l'accesso amministrativo e l'integrazione SIEM per il rilevamento delle anomalie. È scritta per i professionisti IT che devono prendere decisioni difendibili in questo trimestre, non l'anno prossimo.

radius_architecture_overview.png

Approfondimento Tecnico

Come funziona RADIUS e quali sono i suoi punti deboli

RADIUS opera come protocollo client-server tra un server di accesso alla rete (NAS) - in genere un access point WiFi, uno switch o un concentratore VPN - e un server RADIUS, che convalida le credenziali rispetto a un archivio di identità backend come Active Directory o LDAP. Lo scambio di autenticazione segue il modello richiesta-sfida-risposta definito nella RFC 2865, mentre la contabilità viene gestita separatamente secondo la RFC 2866.

Il protocollo trasmette i pacchetti di autenticazione su UDP, utilizzando la porta 1812 per l'autenticazione e la porta 1813 per il monitoraggio degli accessi. Il segreto condiviso - la chiave precondivisa configurata sia sul NAS che sul server RADIUS - viene utilizzato per generare il campo Response Authenticator e per crittografare l'attributo User-Password tramite un cifrario XOR basato su MD5. Questa non è crittografia in senso moderno; si tratta di un offuscamento che dipende interamente dalla segretezza e dalla robustezza del segreto condiviso.

Le cinque principali categorie di vulnerabilità in una tipica installazione RADIUS sono le seguenti.

Vulnerabilità di integrità e collisione MD5. L'attacco BlastRADIUS (CVE-2024-3596) sfrutta la mancanza di protezione dell'integrità sui pacchetti Access-Request. Poiché molte configurazioni non includono l'attributo Message-Authenticator dal NAS per impostazione predefinita, un utente malintenzionato in posizione man-in-the-middle può iniettare attributi modificati prima che il pacchetto raggiunga il server RADIUS. Utilizzando una tecnica di collisione basata sul prefisso scelto di MD5, l'attaccante può manipolare il pacchetto in modo che il server RADIUS calcoli un Response Authenticator valido per il pacchetto modificato, restituendo un Access-Accept per una richiesta che avrebbe dovuto essere rifiutata. La risoluzione consiste nell'imporre l'attributo Message-Authenticator su tutti i pacchetti Access-Request, il che fornisce una protezione dell'integrità HMAC-MD5 su tutto il pacchetto. Ciò richiede modifiche di configurazione sia sul NAS che sul server RADIUS, non solo una patch del server.

Segreti condivisi deboli o statici. Il segreto condiviso è l'ancora crittografica dello scambio RADIUS. Se il segreto è breve, indovinabile o non viene mai ruotato, un utente malintenzionato che intercetta il traffico RADIUS (ottenibile tramite ARP spoofing o un dispositivo di rete compromesso) può eseguire un attacco brute-force offline sull'attributo User-Password. Le linee guida del NIST SP 800-63B sui segreti memorizzati si applicano in questo caso: i segreti devono essere lunghi almeno 20 caratteri, generati casualmente e memorizzati in un sistema di gestione dei segreti. Per reti di grandi dimensioni con decine o centinaia di dispositivi NAS, la rotazione manuale è operativamente impraticabile; l'automazione tramite HashiCorp Vault o un gestore di segreti simile è l'approccio corretto.

Trasporto UDP non crittografato. Il protocollo RADIUS standard su UDP non fornisce alcuna riservatezza a livello di trasporto. L'attributo User-Password è offuscato ma non crittografato. Ogni altro attributo - inclusi nomi utente, IP dei NAS e metadati di sessione - viaggia in chiaro. RadSec (RADIUS su TLS), definito in RFC 6614 e aggiornato in RFC 7360, risolve questo problema avvolgendo il protocollo RADIUS in un tunnel TLS su porta TCP 2083, stabilendo una sessione TLS 1.2 o TLS 1.3. RadSec fornisce l'autenticazione reciproca dei certificati tra il NAS e il server RADIUS, la crittografia completa del payload e la protezione dai replay. È il trasporto corretto per qualsiasi traffico RADIUS che attraversa un confine di rete non attendibile.

Selezione del metodo EAP. L'Extensible Authentication Protocol (EAP) definisce i metodi di autenticazione interni utilizzati all'interno del framework 802.1X. EAP-MD5 è deprecato e deve essere rimosso immediatamente da tutte le distribuzioni - non fornisce alcuna autenticazione reciproca e nessuna resistenza agli attacchi di raccolta delle credenziali. PEAP (Protected EAP) ed EAP-TTLS stabiliscono un tunnel TLS utilizzando un certificato server prima di trasmettere le credenziali, fornendo un'autenticazione reciproca e proteggendo il metodo interno dalle intercettazioni. EAP-TLS elimina completamente le password, richiedendo certificati X.509 sia sul server che sul client. È immune da phishing e attacchi brute-force ed è il metodo consigliato per ambienti ad alta sicurezza.

Registrazione e monitoraggio insufficienti. La contabilità RADIUS registra ogni evento di autenticazione - successo, fallimento, inizio sessione, fine sessione. Questi dati sono operativamente preziosi per la pianificazione della capacità e commercialmente preziosi per WiFi Analytics , ma rappresentano anche una fonte critica di telemetria di sicurezza. Picchi di autenticazioni fallite, autenticazioni da indirizzi MAC sconosciuti e pattern di accesso fuori orario sono tutti rilevabili dai log di contabilità RADIUS. La maggior parte delle organizzazioni non inserisce questi dati in un SIEM, e quelle che lo fanno raramente configurano soglie di avviso.

eap_comparison_chart.png

L'attacco BlastRADIUS in dettaglio

BlastRADIUS è stato divulgato a luglio 2024 dai ricercatori della Boston University e della UC San Diego. L'attacco richiede una posizione man-in-the-middle tra il NAS e il server RADIUS - realizzabile tramite ARP poisoning su un segmento di rete condiviso, un router compromesso o un insider malintenzionato con accesso alla rete.

L'attacco si svolge come segue: l'attaccante intercetta un pacchetto Access-Request dal NAS. Poiché il pacchetto è privo dell'attributo Message-Authenticator (il valore predefinito in molte configurazioni), l'attaccante è libero di modificare l'elenco degli attributi del pacchetto. Utilizzando una collisione a prefisso scelto MD5, l'attaccante costruisce un pacchetto modificato per il quale il server RADIUS calcolerà lo stesso Response Authenticator dell'originale. Il server restituisce quindi un Access-Accept per una richiesta contenente attributi controllati dall'attaccante - incluso un Service-Type di tipo Administrative che autorizza l'accesso completo alla rete.

L'attacco è efficace contro le distribuzioni PEAP ed EAP-TTLS che utilizzano MSCHAPv2 come metodo interno. Non influisce sulle distribuzioni EAP-TLS, dove l'autenticazione reciproca basata su certificati fornisce una protezione dell'integrità che MD5 non può sovvertire.

Per le organizzazioni che gestiscono sia Guest WiFi che 802.1X aziendale, anche l'istanza RADIUS della rete guest deve essere patchata, anche se utilizza il MAC Authentication Bypass anziché EAP. L'igiene dei segreti condivisi e il requisito Message-Authenticator si applicano ugualmente.

Guida all'implementazione

Fase 1: Soluzione immediata (settimane 1-2)

La priorità è l'applicazione delle patch. FreeRADIUS 3.2.5 e 3.0.27 contengono le correzioni per BlastRADIUS e applicano Message-Authenticator per impostazione predefinita. Cisco ISE 3.1 Patch 8, 3.2 Patch 4 e 3.3 Patch 1 risolvono la vulnerabilità. Microsoft ha rilasciato KB5040434 per Windows Server 2022 NPS a luglio 2024. Verificate le vostre versioni attuali e applicate le patch durante la prossima finestra di modifica programmata.

Allo stesso tempo, controlla il firmware del tuo dispositivo NAS. L'applicazione di Message-Authenticator è efficace solo se anche il NAS invia l'attributo. Verifica gli avvisi dei produttori di access point e switch - Aruba, Ruckus, Cisco e Juniper hanno tutti rilasciato aggiornamenti firmware per BlastRADIUS. Se utilizzi hardware Ruckus, la guida per l'access point wireless Ruckus fornisce un contesto utile per la gestione del firmware.

Per la risoluzione dei problemi di autenticazione 802.1X su Windows 11 che possono verificarsi dopo l'applicazione delle patch, la causa più comune è il server NPS che rifiuta le connessioni dai client che non includono Message-Authenticator - un comportamento di sicurezza corretto che potrebbe richiedere la riconfigurazione del supplicant sui client Windows più vecchi.

Fase 2: Igiene del segreto condiviso (settimane 2-4)

Esporta l'elenco completo dei client NAS registrati sui tuoi server RADIUS. Per ciascuna voce, registra la lunghezza del segreto condiviso e la data dell'ultima modifica. Qualsiasi segreto inferiore a 20 caratteri, o non modificato da oltre 24 mesi, deve essere ruotato immediatamente.

Per i nuovi segreti, utilizza un generatore crittograficamente casuale - openssl rand -base64 32 produce una stringa base64 di 44 caratteri ideale per essere utilizzata come segreto condiviso RADIUS. Archivia tutti i segreti in un sistema di gestione dei segreti. Implementa un programma di rotazione: annuale per i dispositivi NAS a basso rischio, ogni sei mesi per i dispositivi NAS nel campo di applicazione PCI-DSS.

Fase 3: Razionalizzazione del metodo EAP (mesi 1-2)

Verifica i metodi EAP consentiti dai tuoi server RADIUS. Disabilita EAP-MD5. Se utilizzi PEAP-MSCHAPv2, verifica che tutti i supplicant impongano la validazione del certificato del server - un supplicant configurato in modo errato che accetta qualsiasi certificato del server è vulnerabile agli attacchi di server RADIUS non autorizzati. Per gli ambienti nel campo di applicazione PCI-DSS, si consiglia EAP-TLS. Se non disponi di un'infrastruttura di certificazione esistente, avvia la pianificazione della PKI.

Per la sicurezza delle reti WiFi per gli ospiti , ricorda che le reti ospiti utilizzano solitamente l'autenticazione tramite Captive Portal anziché 802.1X, pertanto il rafforzamento del metodo EAP si applica principalmente agli SSID aziendali e del personale.

Fase 4: Implementazione di RadSec (mesi 2-3)

Identifica ogni percorso di traffico RADIUS che attraversa il confine di una rete non attendibile. Gli scenari comuni includono un server RADIUS centrale che serve hotel remoti tramite Internet; dispositivi NAS on-premises che raggiungono un servizio RADIUS cloud; e catene di proxy RADIUS in cui il traffico attraversa più domini di rete.

Per ogni percorso identificato, configura RadSec. Su FreeRADIUS, questo significa abilitare il listener tls sulla porta 2083 e configurare il mutual TLS con i certificati della tua PKI. Su Cisco ISE, RadSec si configura in Amministrazione > Dispositivi di rete. Assicurati che TLS 1.2 sia il minimo; disabilita esplicitamente TLS 1.0 e 1.1.

Fase 5: Autenticazione a più fattori per l'accesso amministrativo (mesi 2-3)

L'interfaccia di gestione di un server RADIUS è un obiettivo di alto valore. Un utente malintenzionato che compromette il server RADIUS può modificare i criteri di autenticazione, estrarre segreti condivisi e reindirizzare i flussi di autenticazione. Applica l'MFA sugli accessi amministrativi a tutti i server RADIUS e ai relativi sistemi operativi sottostanti. Limita l'accesso di gestione a una VLAN di gestione out-of-band dedicata. Implementa il controllo dell'accesso basato sui ruoli: gli ingegneri di rete non devono disporre degli stessi privilegi degli amministratori della sicurezza.

Fase 6: Integrazione SIEM e alert (mesi 3-4)

Configura i tuoi server RADIUS per inoltrare i log di accounting al tuo SIEM in tempo reale. Definisci le seguenti soglie di alert di base:

Alert Soglia Gravità
Più tentativi di autenticazione falliti da un singolo indirizzo MAC >5 in 60 secondi Alta
Picco del tasso di Access-Reject 200% superiore alla baseline di 7 giorni Media
Autenticazione da un nuovo indirizzo MAC su un SSID aziendale Prima occorrenza Media
Certificato del server RADIUS in scadenza 90 / 30 / 7 giorni Alta / Critica / Critica
Errori di mancata corrispondenza del segreto condiviso Qualsiasi occorrenza Alta

Best Practice

Le seguenti raccomandazioni sintetizzano il consenso tra IEEE 802.1X, NIST SP 800-63B, PCI-DSS v4.0 e gli avvisi di sicurezza dei fornitori.

Gestione dei certificati. Qualsiasi implementazione che utilizzi EAP-TLS o RadSec prevede certificati X.509 nel proprio percorso di autenticazione. La scadenza del certificato è la causa singola più comune di un'interruzione improvvisa e totale dell'autenticazione nelle implementazioni WiFi aziendali. Implementa la gestione automatizzata del ciclo di vita dei certificati. Imposta alert di monitoraggio a 90, 30 e 7 giorni prima della scadenza. Per i certificati del server RADIUS, utilizza chiavi RSA a minimo 2048 bit o ECDSA a 256 bit e algoritmi di firma SHA-256 o superiore. Non utilizzare SHA-1.

Segmentazione della rete. I server RADIUS devono essere posizionati su un segmento di gestione dedicato, isolato dalle reti guest e aziendali generali. L'accesso alle porte RADIUS (UDP 1812, 1813 e TCP 2083 per RadSec) deve essere limitato tramite ACL del firewall agli indirizzi IP specifici dei dispositivi NAS registrati. Non consentire l'accesso diretto a Internet alle porte RADIUS.

Ridondanza e alta disponibilità. Un singolo server RADIUS rappresenta un singolo punto di errore per l'intera infrastruttura di controllo dell'accesso alla rete. Distribuisci almeno due server RADIUS in una configurazione active-passive o active-active. Per le implementazioni nel settore Hospitality con requisiti di connettività guest 24/7, il tempo di inattività del server RADIUS si traduce direttamente in tempo di inattività del WiFi guest, con conseguente rischio reputazionale e commerciale. WPA3 and 802.1X. WPA3-Enterprise in modalità di sicurezza a 192 bit, richiesto per installazioni governative e ad alta sicurezza, impone AES-256-GCMP per la crittografia dei dati e HMAC-SHA-384 per l'autenticazione. Per la maggior parte delle installazioni aziendali, WPA3-Enterprise con sicurezza standard a 128 bit rappresenta già un miglioramento significativo rispetto a WPA2-Enterprise, in particolare se combinato con EAP-TLS. Gli ambienti Retail che gestiscono pagamenti con carta dovrebbero considerare l'adozione di WPA3-Enterprise come misura di riduzione del rischio PCI-DSS.

Cadenza delle patch del fornitore. Iscriviti agli avvisi di sicurezza del fornitore del tuo server RADIUS e dei fornitori di dispositivi NAS. FreeRADIUS, Cisco, Microsoft, Aruba e Ruckus pubblicano tutti notifiche CVE. Inserisci queste informazioni nel tuo programma di gestione delle vulnerabilità con SLA definiti: vulnerabilità critiche (CVSS ≥ 9.0) patchate entro 72 ore; vulnerabilità ad alta gravità (CVSS 7.0 - 8.9) entro 14 giorni.

Risoluzione dei problemi e attenuazione dei rischi

Modalità di guasto comuni

Errori di autenticazione dopo l'applicazione delle patch. Dopo aver applicato le patch BlastRADIUS, alcuni dispositivi NAS potrebbero non riuscire a autenticarsi se il loro firmware non supporta Message-Authenticator. Sintomo: un improvviso aumento delle risposte Access-Reject senza variazioni nelle credenziali utente. Diagnosi: abilita il log di debug RADIUS e verifica la presenza di errori "Message-Authenticator required but not present". Soluzione: aggiorna il firmware del NAS o, come misura temporanea, configura il server RADIUS per accettare richieste senza Message-Authenticator da IP NAS specifici mentre pianifichi gli aggiornamenti del firmware.

Errori di convalida del certificato in EAP-TLS. Sintomo: i client ricevono "autenticazione non riuscita" senza un corrispondente Access-Reject nel registro RADIUS. Diagnosi: controlla la catena dei certificati del server RADIUS - la CA emittente è attendibile dal richiedente del client? Il certificato del server rientra nel suo periodo di validità? Soluzione: assicurati che l'intera catena di certificati (leaf + intermedio + root) sia configurata sul server RADIUS. Distribuisci i certificati CA root ai dispositivi client tramite MDM o Criteri di gruppo.

Errori di handshake TLS RadSec. Sintomo: i dispositivi NAS non riescono a stabilire connessioni RadSec dopo una modifica della configurazione. Diagnosi: verifica la compatibilità della versione TLS - il firmware NAS più vecchio potrebbe non supportare TLS 1.2. Verifica l'autenticazione reciproca del certificato - entrambe le estremità devono fidarsi della CA dell'altra. Soluzione: verifica il supporto della versione TLS nelle note di rilascio del firmware del NAS; assicurati che i certificati del dispositivo NAS siano emessi dalla stessa CA di cui si fida il server RADIUS.

Mancata corrispondenza della chiave condivisa (shared secret). Sintomo: ogni autenticazione da un particolare NAS fallisce con errori "authenticator non valido". Diagnosi: una mancata corrispondenza della chiave condivisa tra la configurazione del NAS e la voce del client del server RADIUS. Soluzione: reinserisci la chiave condivisa su entrambe le estremità, verificando la presenza di spazi bianchi finali o problemi di codifica dei caratteri. Copia e incolla dal tuo gestore delle credenziali per evitare errori di trascrizione.

Registro dei rischi

Rischio Probabilità Impatto Controlli di attenuazione
Sfruttamento BlastRADIUS Alto (se privo di patch) Critico Patching + applicazione forzata del Message-Authenticator
Brute-force del segreto condiviso Medio Alto Segreti casuali a 32 caratteri, rotazione annuale
Server RADIUS non autorizzato Medio Alto Autenticazione reciproca EAP-TLS, certificate pinning
Scadenza certificato server RADIUS Alto Critico Monitoraggio automatizzato, avvisi anticipati a 90 giorni
Credential stuffing tramite 802.1X Medio Alto Criterio di blocco dell'account, avvisi SIEM
Compromissione del server RADIUS Basso Critico MFA sull'accesso amministratore, segmentazione di rete

ROI e impatto aziendale

Quantificare il rischio

Il caso finanziario a favore del rafforzamento di RADIUS è ancora più evidente se confrontato con i costi di una violazione dei dati. Il costo medio di una violazione dei dati nel Regno Unito nel 2024 è stato di 3,58 milioni di sterline, comprensivo di sanzioni normative, attività di bonifica, spese legali e danni alla reputazione. Per le organizzazioni che rientrano nell'ambito di applicazione PCI DSS - di fatto ogni operatore del settore Retail e Hospitality che accetta pagamenti con carta tramite WiFi - una violazione del controllo dell'accesso alla rete che espone i dati dei titolari di carta comporta un'indagine forense obbligatoria, potenziali sanzioni da parte dei circuiti di pagamento e la possibile sospensione dei diritti di elaborazione dei pagamenti.

Per le organizzazioni del settore Healthcare , una violazione del GDPR riguardante i dati dei pazienti a cui si è avuto accesso tramite un server RADIUS compromesso comporta sanzioni fino al 4% del fatturato annuo globale ai sensi dell'Articolo 83(5). Lo storico dei provvedimenti dell'ICO dimostra che le falle nella sicurezza della rete vengono trattate come negligenza, non come sfortuna tecnica.

Parametri di riferimento per i costi di implementazione

Le seguenti stime di costo ipotizzano una rete aziendale di 500 dispositivi:

Attività di rafforzamento Costo stimato Tempistica
Patching (FreeRADIUS / NPS / ISE) Solo lavoro interno 1-2 settimane
Audit e rotazione dei segreti condivisi Lavoro interno + licenza del gestore dei segreti (~£2.000/anno) 2-4 settimane
Distribuzione della PKI EAP-TLS £15.000-£30.000 (strumentazione + servizi professionali) 2-3 mesi
Implementazione RadSec Lavoro interno + costi dei certificati (~£1.500) 4-6 settimane
Integrazione SIEM e avvisi Dipende dal SIEM esistente; £0-£10.000 4-8 settimane

L'investimento totale per il rafforzamento di una media impresa è di circa £20.000-£45.000. Rispetto al costo di riferimento di una violazione di 3,58 milioni di sterline, il ROI corretto per il rischio è estremamente convincente anche in presenza di stime prudenti sulla probabilità di violazione.

Vantaggi operativi oltre la sicurezza

Un'infrastruttura RADIUS protetta offre vantaggi anche sul piano operativo. Un'autenticazione affidabile e ben monitorata riduce i ticket di assistenza relativi alla connettività WiFi. I dati di accounting RADIUS, se integrati con WiFi Analytics , offrono una visibilità a livello di sessione sui modelli di utilizzo della rete, sui tempi di permanenza e sui tipi di dispositivi - dati che hanno un valore commerciale diretto per i gestori di spazi nei settori Hospitality e Transport .

Per le organizzazioni del settore pubblico e della Sanità , un programma documentato di hardening RADIUS fornisce prove di controlli tecnici per le valutazioni Cyber Essentials Plus, ISO 27001 e NHS DSPT - riducendo l'impegno di audit e dimostrando la dovuta diligenza alle autorità di regolamentazione.

Definizioni chiave

RADIUS (Remote Authentication Dial-In User Service)

Un protocollo client-server definito in RFC 2865 che fornisce autenticazione, autorizzazione e contabilità (AAA) centralizzate per l'accesso alla rete. I server RADIUS convalidano le credenziali inviate dai dispositivi di rete (NAS) rispetto a un archivio di identità backend come Active Directory o LDAP.

I team IT incontrano RADIUS come backend di autenticazione per il WiFi 802.1X, l'autenticazione delle porte cablate, l'accesso VPN e la gestione dei dispositivi di rete. È il protocollo che decide chi accede alla rete.

IEEE 802.1X

Uno standard IEEE per il controllo dell'accesso alla rete basato su porta che definisce l'incapsulamento di EAP su LAN (EAPOL). Fornisce un framework di autenticazione sia per le reti cablate che wireless, richiedendo ai dispositivi di autenticarsi prima di ottenere l'accesso alla rete.

L'802.1X è lo standard che consente il funzionamento dell'autenticazione WiFi aziendale. Quando un membro del personale si connette a un SSID aziendale e gli vengono richieste le credenziali, l'802.1X è il framework che coordina tale scambio, con RADIUS come backend.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Un metodo EAP che utilizza certificati X.509 per la mutua autenticazione tra il client e il server RADIUS. Entrambe le parti devono presentare certificati validi, eliminando completamente le password dallo scambio di autenticazione.

EAP-TLS è lo standard d'oro per l'autenticazione WiFi aziendale. È immune al phishing delle credenziali e agli attacchi brute force. Il requisito operativo è un'infrastruttura PKI per emettere e gestire i certificati client.

RadSec (RADIUS over TLS)

Un protocollo definito in RFC 6614 che incapsula i pacchetti RADIUS all'interno di una sessione TLS su porta TCP 2083. Fornisce crittografia a livello di trasporto, mutua autenticazione dei certificati e protezione dai replay per il traffico RADIUS.

RadSec è richiesto per qualsiasi traffico RADIUS che attraversa un confine di rete non attendibile - collegamenti WAN, connessioni Internet o infrastrutture di rete condivise. È il sostituto corretto per il RADIUS standard su UDP nelle distribuzioni multi-sito.

BlastRADIUS (CVE-2024-3596)

Un attacco man-in-the-middle divulgato a luglio 2024 che sfrutta l'assenza di protezione dell'integrità sui pacchetti Access-Request di RADIUS. Utilizzando tecniche di collisione a prefisso scelto MD5, un utente malintenzionato può falsificare una risposta Access-Accept, concedendo l'accesso alla rete a un utente non autenticato.

BlastRADIUS interessa tutte le principali implementazioni RADIUS, tra cui FreeRADIUS, Cisco ISE e Microsoft NPS. Le organizzazioni che non hanno applicato le patch rilasciate a luglio 2024 rimangono esposte a questo attacco.

Message-Authenticator

Un attributo RADIUS (Attributo 80) che fornisce protezione dell'integrità HMAC-MD5 sull'intero pacchetto RADIUS. Quando è presente in una Access-Request, impedisce l'attacco di modifica del pacchetto utilizzato in BlastRADIUS.

L'applicazione di Message-Authenticator su tutti i pacchetti Access-Request è la principale misura correttiva per BlastRADIUS. Deve essere configurato sia sul server RADIUS (per richiedere l'attributo) sia sul dispositivo NAS (per includere l'attributo nelle richieste).

NAS (Network Access Server)

Nella terminologia RADIUS, il NAS è il dispositivo di rete - tipicamente un punto di accesso WiFi, uno switch o un concentratore VPN - che funge da client RADIUS. Intercetta le richieste di connessione dai dispositivi finali e inoltra le richieste di autenticazione al server RADIUS.

I dispositivi NAS sono i client RADIUS in una distribuzione. I segreti condivisi sono configurati per ciascun NAS. La risoluzione di BlastRADIUS richiede aggiornamenti del firmware sui dispositivi NAS e patch sul server RADIUS.

PEAP (Protected Extensible Authentication Protocol)

Un metodo EAP che stabilisce un tunnel TLS utilizzando un certificato lato server prima di trasmettere il metodo di autenticazione interno (tipicamente MSCHAPv2). Fornisce la mutua autenticazione e protegge le credenziali dall'intercettazione.

PEAP-MSCHAPv2 è il metodo di autenticazione WiFi aziendale più diffuso. È conforme a PCI DSS e operativamente più semplice di EAP-TLS perché non richiede certificati client. Tuttavia, è vulnerabile agli attacchi da parte di server RADIUS non autorizzati se non viene applicata la convalida del certificato lato client.

Shared Secret

Una chiave precondivisa configurata sia sul server RADIUS sia su ciascun dispositivo NAS. Viene utilizzata per generare il campo Response Authenticator e per offuscare l'attributo User-Password. Non è una password per gli utenti finali, bensì una credenziale di autenticazione da server a server.

I segreti condivisi deboli o statici sono una delle vulnerabilità RADIUS più comuni. Un utente malintenzionato che acquisisce il traffico RADIUS può condurre un attacco brute force offline contro un segreto condiviso debole. La lunghezza minima consigliata è di 32 caratteri, generati casualmente.

PCI DSS (Payment Card Industry Data Security Standard)

Un insieme di standard di sicurezza imposti dai principali circuiti di carte di pagamento (Visa, Mastercard, Amex) per le organizzazioni che elaborano, memorizzano o trasmettono i dati dei titolari di carta. La versione 4.0, in vigore da marzo 2024, include requisiti specifici per il controllo dell'accesso alla rete e l'autenticazione forte.

Le organizzazioni del settore retail e hospitality con terminali POS connessi tramite WiFi rientrano nell'ambito del PCI DSS. Le vulnerabilità del server RADIUS che potrebbero consentire l'accesso non autorizzato alla rete agli ambienti contenenti dati dei titolari di carta rappresentano un rischio diretto per la conformità.

Esempi pratici

Un gruppo alberghiero di 350 camere con 12 strutture utilizza un server RADIUS centralizzato ospitato nel data center della sede centrale. Ogni struttura si connette tramite una WAN MPLS condivisa. Un audit di sicurezza ha segnalato che il traffico RADIUS non è crittografato sulla WAN, i segreti condivisi sono stringhe di 8 caratteri impostate durante l'implementazione iniziale cinque anni fa e il server RADIUS esegue FreeRADIUS 3.0.21. Il gruppo elabora i pagamenti con carta tramite terminali POS connessi al WiFi presso i ristoranti e i centri benessere. Qual è la priorità di riparazione e la sequenza di implementazione?

La sequenza di riparazione deve essere ordinata per gravità del rischio e velocità di implementazione. Passaggio 1 (immediato, entro 72 ore): Applicare la patch a FreeRADIUS alla versione 3.2.5 o 3.0.27. Questo risolve BlastRADIUS e impone Message-Authenticator per impostazione predefinita. Contemporaneamente, verificare le versioni del firmware degli access point in tutte e 12 le strutture e pianificare gli aggiornamenti del firmware per tutti i dispositivi NAS che non supportano Message-Authenticator. Passaggio 2 (settimana 1-2): Ruotare tutti i segreti condivisi. Generare segreti casuali di 32 caratteri utilizzando openssl rand -base64 32 per ciascuna delle registrazioni NAS delle 12 strutture. Architettare in HashiCorp Vault o equivalente. Documentare la data di rotazione. Passaggio 3 (mese 1-2): Implementare RadSec sul percorso WAN. Configurare il server FreeRADIUS per accettare connessioni RadSec su TCP 2083. Rilasciare certificati TLS da una CA interna ai dispositivi NAS di ciascuna struttura. Aggiornare le regole del firewall per consentire TCP 2083 dagli intervalli IP NAS delle strutture al server RADIUS. Disabilitare UDP 1812/1813 dalle interfacce rivolte verso la WAN una volta confermato il funzionamento di RadSec. Passaggio 4 (mese 2-3): Per l'SSID WiFi dei POS rientranti nell'ambito PCI-DSS, migrare da PEAP-MSCHAPv2 a EAP-TLS. Distribuire una PKI interna (Microsoft ADCS o motore PKI HashiCorp Vault). Rilasciare certificati client ai terminali POS tramite MDM. Aggiornare i criteri RADIUS per richiedere EAP-TLS per l'SSID dei POS. Passaggio 5 (mese 3): Integrare i log di accounting RADIUS nel SIEM. Configurare gli avvisi per i picchi di autenticazione non riusciti e la scadenza dei certificati.

Commento dell'esaminatore: Questo scenario è rappresentativo della maggior parte delle implementazioni hospitality multi-sito. L'aspetto chiave è che la WAN MPLS, sebbene non sia internet pubblica, è una rete condivisa che non può essere considerata completamente affidabile - in particolare in un gruppo alberghiero in cui la WAN potrebbe essere gestita da un fornitore terzo. RadSec non è quindi opzionale. L'aspetto PCI-DSS è fondamentale: i terminali POS su WiFi rientrano nell'ambito del requisito PCI-DSS 8.3 (autenticazione forte) e del requisito 4.2.1 (crittografia forte per i dati in transito). EAP-TLS soddisfa entrambi. La sequenza dà la priorità all'applicazione delle patch perché BlastRADIUS è una vulnerabilità attiva e sfruttabile; gli altri passaggi di consolidamento sono importanti ma non comportano lo stesso rischio immediato. Un approccio alternativo - la migrazione a un RADIUS-as-a-Service ospitato nel cloud - è stato preso in considerazione ma rifiutato per questo scenario a causa dell'investimento MPLS esistente del gruppo e della complessità della migrazione simultanea di 12 strutture.

Una catena di vendita al dettaglio regionale con 45 negozi utilizza il WPA2-Personal (chiave precondivisa) per il WiFi del personale e una rete aperta per il WiFi dei clienti. Il direttore IT desidera migrare il WiFi del personale all'autenticazione 802.1X utilizzando Microsoft NPS come server RADIUS, integrato con Active Directory. I negozi presentano un mix di access point Aruba e Cisco. La catena rientra nell'ambito PCI DSS. Quale architettura dovrebbero implementare e quali sono le decisioni di configurazione chiave?

L'architettura consigliata è 802.1X con PEAP-MSCHAPv2 come metodo EAP iniziale, con una roadmap documentata verso EAP-TLS. Il server NPS deve essere distribuito in una coppia ridondante (primario + secondario) nel data center centrale, con configurazione proxy RADIUS sugli access point per il failover automatico. Decisioni di configurazione: (1) Criteri di rete NPS: creare un criterio corrispondente al SSID del personale con PEAP-MSCHAPv2, che richieda l'appartenenza a un gruppo di sicurezza AD (ad es. "WiFi-Staff-Access"). Impostare il timeout della sessione a 8 ore per forzare la riautenticazione. (2) Certificato: distribuire un certificato server NPS da una CA ADCS Microsoft interna. Inviare il certificato CA radice a tutti i dispositivi del personale tramite Criteri di gruppo (Windows) e MDM (iOS/Android). (3) Configurazione del supplicant: configurare i dispositivi Windows tramite Criteri di gruppo (Configurazione computer > Impostazioni di Windows > Impostazioni di sicurezza > Criteri della rete wireless). Per i dispositivi iOS e Android, utilizzare un profilo MDM. Imporre la convalida del certificato server - non consentire agli utenti di accettare certificati arbitrari. (4) Configurazione degli access point: su Aruba, configurare il server RADIUS in Autenticazione > Server. Impostare il segreto condiviso su una stringa casuale di 32 caratteri. Abilitare RadSec se il firmware Aruba lo supporta (AOS 8.9+). Su Cisco, configurare in Sicurezza > AAA > RADIUS. (5) Registrazione NPS: abilitare la registrazione dell'accounting NPS su un database SQL Server. Configurare un periodo di conservazione dei log di almeno 90 giorni per la conformità PCI DSS. (6) Post-migrazione: disabilitare il WPA2-Personal sul SSID del personale. Mantenerlo solo come SSID di emergenza con una PSK complessa memorizzata nel gestore dei segreti, da utilizzare solo quando NPS non è disponibile.

Commento dell'esaminatore: La migrazione da WPA2-Personal a 802.1X è uno dei progetti di miglioramento della sicurezza più comuni nell'IT del settore retail. Il rischio principale in questo scenario è la presenza di un parco access point misto - Aruba e Cisco hanno interfacce di configurazione client RADIUS diverse e il processo di rotazione del segreto condiviso deve essere gestito separatamente per ciascuno. La decisione di iniziare con PEAP-MSCHAPv2 anziché EAP-TLS è pragmatica: evita la complessità dell'implementazione di una PKI offrendo al contempo un significativo miglioramento della sicurezza rispetto a PSK. La roadmap verso EAP-TLS dovrebbe essere legata alla tempistica di implementazione dell'MDM - la distribuzione dei certificati client è fattibile dal punto di vista operativo solo dopo che tutti i dispositivi sono stati registrati nell'MDM. L'aspetto relativo a PCI DSS rafforza il requisito di registrazione NPS: il requisito PCI DSS 10.2.1 impone la registrazione di tutti gli accessi dei singoli utenti ai dati dei titolari di carta, inclusi gli eventi di accesso alla rete.

Domande di esercitazione

Q1. La tua organizzazione gestisce un server FreeRADIUS 3.0.21 che supporta l'autenticazione 802.1X per 800 dispositivi del personale in un campus a sito singolo. Il server RADIUS si trova sulla stessa VLAN di gestione di tutti gli access point. Un penetration test ha rilevato che gli access point inviano pacchetti Access-Request senza l'attributo Message-Authenticator. Il team di sicurezza vuole imporre Message-Authenticator immediatamente, ma il team delle operazioni di rete teme di interrompere l'autenticazione per 800 utenti. Come sequenzi la remediation per ridurre al minimo l'interruzione del servizio?

Suggerimento: Considera la differenza tra il server RADIUS che richiede Message-Authenticator e i dispositivi NAS che lo inviano. Si tratta di due modifiche di configurazione distinte con profili di rischio differenti.

Visualizza risposta modello

La sequenza corretta è: (1) In primo luogo, applica la patch a FreeRADIUS alla versione 3.2.5. Questa versione impone Message-Authenticator per impostazione predefinita ma include una modalità di compatibilità che registra un avviso anziché rifiutare i pacchetti privi dell'attributo. Questo ti consente di applicare la patch senza interrompere immediatamente l'autenticazione. (2) Esegui un audit delle versioni del firmware degli access point. Identifica quali modelli e versioni di firmware supportano Message-Authenticator nei pacchetti Access-Request. (3) Aggiorna il firmware degli access point a lotti, iniziando con un gruppo pilota di 50 dispositivi. Verifica che l'autenticazione continui a funzionare dopo ogni lotto. (4) Una volta confermato che tutti gli access point inviano Message-Authenticator, abilita l'applicazione rigorosa sul server FreeRADIUS (require_message_authenticator = yes in clients.conf). (5) Monitora i log di RADIUS per individuare eventuali avvisi residui di "Message-Authenticator missing", che indicherebbero dispositivi NAS che non hanno ricevuto l'aggiornamento del firmware. Il principio chiave è che puoi prima applicare la patch al server senza interrompere nulla, poiché la modalità di compatibilità consente un periodo di transizione. L'applicazione del rifiuto rigoroso sul server deve essere l'ultimo passaggio, dopo che tutti i dispositivi NAS sono stati aggiornati.

Q2. Un operatore di un centro congressi gestisce un singolo server RADIUS che supporta sia l'SSID del personale aziendale (802.1X con PEAP-MSCHAPv2) sia il WiFi per gli ospiti degli eventi (Captive Portal con MAC Authentication Bypass). Il responsabile IT chiede se l'istanza RADIUS del WiFi ospiti debba essere protetta con gli stessi standard dell'istanza RADIUS aziendale, dato che gli ospiti non si autenticano con credenziali aziendali. Qual è la tua raccomandazione?

Suggerimento: Considera i vettori di attacco che si applicano al MAC Authentication Bypass rispetto all'autenticazione basata su EAP, e il rischio di movimento laterale tra le istanze RADIUS guest e aziendali.

Visualizza risposta modello

L'istanza RADIUS WiFi per gli ospiti richiede un hardening, ma i controlli specifici differiscono da quelli dell'istanza aziendale. La patch BlastRADIUS si applica allo stesso modo: la vulnerabilità interessa il server RADIUS indipendentemente dal metodo di autenticazione utilizzato dai client. L'igiene del shared secret si applica allo stesso modo: un shared secret debole tra il controller del Captive Portal per gli ospiti e il server RADIUS è sfruttabile indipendentemente dal fatto che l'EAP sia in uso o meno. Il rischio aggiuntivo principale è il server RADIUS condiviso: se le richieste di autenticazione dell'SSID ospiti e aziendale sono gestite dallo stesso processo del server RADIUS, una vulnerabilità nel percorso RADIUS degli ospiti potrebbe essere utilizzata per fare pivoting verso la policy di autenticazione aziendale. L'architettura consigliata prevede l'esecuzione di istanze RADIUS separate (o come minimo server virtuali separati all'interno di FreeRADIUS) per l'autenticazione degli ospiti e aziendale, con shared secret e set di policy separati. Ciò garantisce l'isolamento, in modo che la compromissione del percorso RADIUS ospiti non esponga le credenziali aziendali. Nello specifico per l'istanza ospiti: applicare la patch per BlastRADIUS, ruotare i shared secret e assicurarsi che l'istanza RADIUS ospiti non abbia accesso all'Active Directory aziendale. I requisiti EAP-TLS e RadSec sono meno rilevanti per una distribuzione con Captive Portal, ma il RadSec dovrebbe comunque essere preso in considerazione se il controller del Captive Portal si trova in un segmento di rete diverso rispetto al server RADIUS.

Q3. Un trust sanitario sta pianificando la migrazione del proprio WiFi clinico da WPA2-Personal all'autenticazione 802.1X. Il trust dispone di 1.200 dispositivi clinici tra cui laptop Windows, tablet iOS e palmari Android. Il CISO desidera l'EAP-TLS come stato target. Il direttore IT è preoccupato per la complessità della distribuzione della PKI e propone PEAP-MSCHAPv2 come soluzione permanente. Come consigli di procedere al CISO e al direttore IT, e quale percorso di implementazione raccomandi?

Suggerimento: Considera lo specifico modello di minaccia per un ambiente sanitario: quali sono le conseguenze di una compromissione delle credenziali e in che modo l'EAP-TLS affronta rischi che il PEAP-MSCHAPv2 non gestisce?

Visualizza risposta modello

L'istinto del CISO è corretto, ma la preoccupazione del direttore IT è valida. Il consiglio raccomandato è: implementare PEAP-MSCHAPv2 ora come soluzione temporanea, con una roadmap impegnativa di 12 mesi per passare a EAP-TLS. I motivi per non accettare PEAP-MSCHAPv2 come soluzione permanente in ambito sanitario sono: (1) PEAP-MSCHAPv2 è vulnerabile ad attacchi da server RADIUS maligni se non viene applicata la validazione dei certificati lato client. In un ambiente sanitario in cui il personale clinico potrebbe connettere dispositivi personali, applicare la configurazione del supplicant in modo coerente su 1.200 dispositivi è una sfida operativa. (2) Le credenziali MSCHAPv2, se catturate tramite un attacco RADIUS maligno, possono essere decifrate offline utilizzando strumenti come hashcat. In un contesto sanitario, tali credenziali probabilmente forniscono anche l'accesso ai sistemi clinici. (3) Le valutazioni NHS DSPT e CQC richiedono sempre più controlli di autenticazione forti per l'accesso alla rete clinica. L'EAP-TLS fornisce una posizione probatoria di audit più solida. Il percorso di implementazione: Mese 1-2: Distribuire PEAP-MSCHAPv2 con convalida del certificato del server obbligatoria tramite profili MDM su tutti i 1.200 dispositivi. Mese 3-6: Distribuire Microsoft ADCS come infrastruttura PKI. Registrare i dispositivi Windows tramite la registrazione automatica delle Criteri di gruppo (Group Policy). Mese 6-9: Registrare i dispositivi iOS e Android tramite i profili di certificato MDM. Mese 9-12: Migrare la policy dell'SSID clinico da PEAP a EAP-TLS. Mantenere PEAP come fallback per eventuali dispositivi che non superano la registrazione del certificato, con un monitoraggio avanzato. Per ulteriori informazioni sull'architettura di sicurezza delle reti cliniche, la guida sul WiFi negli ospedali fornisce un contesto di distribuzione pertinente.