Pular para o conteúdo principal

Mitigando Vulnerabilidades do RADIUS: Um Guia de Endurecimento de Segurança

Este guia fornece uma referência abrangente e prática para gerentes de TI, arquitetos de rede e CTOs responsáveis pela infraestrutura de WiFi corporativa nos setores de hospitalidade, varejo, eventos e órgãos públicos. Ele cobre toda a superfície de ataque de implantações de servidores RADIUS - desde vulnerabilidades de colisão MD5 e segredos compartilhados fracos até transporte UDP não criptografado e métodos EAP mal configurados - e apresenta um cronograma de endurecimento prioritário alinhado com os requisitos de IEEE 802.1X, PCI-DSS e GDPR. As organizações que implementarem essas recomendações reduzirão materialmente sua exposição a ataques de rede baseados em credenciais, atenderão às obrigações de conformidade e construirão uma postura de segurança defensável para sua infraestrutura de WiFi corporativa e de convidados.

📖 12 min de leitura📝 2,764 palavras🔧 2 exemplos práticos3 questões práticas📚 10 definições principais

Ouça este guia

Ver transcrição do podcast
MITIGANDO VULNERABILIDADES DO RADIUS: UM GUIA DE ENDURECIMENTO DE SEGURANÇA Um Briefing de Inteligência da Purple WiFi [INTRODUÇÃO — aprox. 1 minuto] Boas-vindas. Sou o seu anfitrião para o briefing de hoje e, nos próximos dez minutos, vamos direto ao ponto sobre algo que tira o sono de muitos arquitetos de rede e gerentes de TI: a segurança do servidor RADIUS. Se você opera WiFi corporativo em uma rede de hotéis, varejo, estádio ou prédio do setor público, sua infraestrutura RADIUS é um dos componentes mais críticos - e frequentemente mais negligenciados - na sua postura de segurança. Vamos começar. [CONTEXTO — aprox. 1 minuto] O RADIUS - Remote Authentication Dial-In User Service - tem sido a espinha dorsal do controle de acesso à rede desde meados dos anos noventa. É o protocolo que fica entre seus pontos de acesso e seu diretório de identidade, decidindo quem entra na rede e quem não entra. O IEEE 802.1X, que sustenta virtualmente toda implantação de autenticação corporativa WiFi e cabeada, depende do RADIUS para funcionar. O problema é que o RADIUS foi projetado em uma era em que o cenário de ameaças era muito diferente. O protocolo usa UDP, que é não orientado à conexão e, portanto, mais difícil de proteger. Seu mecanismo de autenticação principal historicamente dependeu do hash MD5 - um algoritmo criptográfico que está comprovadamente quebrado desde 2004. E os segredos compartilhados, as chaves pré-compartilhadas que autenticam seus pontos de acesso no seu servidor RADIUS, geralmente são definidos uma vez e nunca rotacionados. Em 2024, pesquisadores publicaram um ataque prático contra o RADIUS chamado BlastRADIUS - um ataque man-in-the-middle que explora a vulnerabilidade do MD5 para forjar respostas de autenticação. Isso não é teórico. É um vetor de ataque real e documentado que afeta implantações que executam FreeRADIUS não corrigido, Cisco ISE e Microsoft NPS. Se você não aplica correções desde meados de 2024, você está exposto. Os riscos de negócios são significativos. Um servidor RADIUS comprometido não significa apenas acesso não autorizado ao WiFi. Significa que um invasor pode se autenticar como qualquer usuário em sua rede, burlar a segmentação de rede e potencialmente acessar sistemas de pagamento, registros de pacientes ou tecnologia operacional. Para ambientes de varejo que processam pagamentos com cartão, isso é uma violação direta do PCI-DSS. Para a saúde, é um problema de GDPR e governança clínica. Para a hotelaria, representa danos à marca e possíveis multas regulatórias. [APROFUNDAMENTO TÉCNICO — aprox. 5 minutos] Vamos analisar a superfície de ataque sistematicamente. A primeira classe de vulnerabilidade é o risco de colisão de MD5. O RADIUS usa MD5 para proteger o atributo User-Password e para gerar o campo Response Authenticator. O MD5 produz um hash de 128 bits, e ataques de colisão - onde duas entradas diferentes produzem o mesmo hash - têm sido viáveis desde 2004. O ataque BlastRADIUS explora especificamente a falta de proteção de integridade nos pacotes Access-Request. Um invasor posicionado entre o seu dispositivo NAS - que é o seu servidor de acesso à rede, normalmente o seu ponto de acesso ou switch - e o seu servidor RADIUS pode injetar um atributo modificado no pacote e forçar o servidor a retornar um Access-Accept, mesmo para uma credencial inválida. A correção aqui é dupla: atualize o seu servidor RADIUS para a versão mais recente e exija o Message-Authenticator em todos os pacotes Access-Request. O FreeRADIUS 3.2.5 e versões posteriores exigem isso por padrão. A segunda classe de vulnerabilidade são os segredos compartilhados fracos ou estáticos. O segredo compartilhado é a chave pré-compartilhada entre o seu NAS e o seu servidor RADIUS. Se ele for curto, vulnerável a ataques de dicionário ou não tiver sido rotacionado há anos, ele é um risco. O RADIUS usa esse segredo para criptografar o atributo User-Password e para gerar o Response Authenticator. Um segredo compartilhado fraco significa que um invasor que capture o tráfego RADIUS - o que é trivial em uma rede que ele já tenha comprometido parcialmente - pode realizar força bruta na senha offline. A melhor prática é um mínimo de 32 caracteres, gerados aleatoriamente e rotacionados pelo menos anualmente. Automatize essa rotação; fazer isso manualmente em uma grande infraestrutura é propenso a erros. A terceira classe de vulnerabilidade é o transporte não criptografado. O RADIUS padrão é executado sobre UDP na porta 1812 para autenticação e 1813 para tarifação. O UDP não oferece criptografia na camada de transporte, nenhuma verificação de integridade e nenhuma proteção contra repetição além do que o próprio RADIUS implementa - o que, como estabelecemos, é insuficiente. O RadSec, formalmente definido na RFC 6614, envolve o RADIUS em TLS 1.2 ou 1.3 sobre a porta TCP 2083. Isso fornece autenticação mútua via certificados, criptografia total do payload do RADIUS e proteção contra repetição. Se você estiver executando o RADIUS em qualquer segmento de rede não confiável - incluindo uma conexão WAN entre um local remoto e um servidor RADIUS central - o RadSec não é opcional. É um requisito. A quarta classe de vulnerabilidade é a seleção do método EAP. Nem todos os métodos EAP são iguais. O EAP-MD5 deve ser considerado obsoleto - ele não fornece autenticação mútua e nenhuma criptografia da troca de autenticação. O PEAP e o EAP-TTLS são aceitáveis para a maioria das implantações corporativas, pois estabelecem um túnel TLS antes de transmitir as credenciais e suportam autenticação mútua via certificados de servidor. O EAP-TLS é o padrão ouro: ele exige que tanto o servidor quanto o cliente apresentem certificados, eliminando totalmente a senha da troca de autenticação. Isso o torna imune a phishing de credenciais e ataques de força bruta. O custo operacional de implantar uma PKI para emitir certificados de cliente é real, mas para ambientes de alta segurança - redes de saúde, zonas de processamento de pagamentos, sistemas de retaguarda de varejo - é a decisão correta. A quinta classe de vulnerabilidade é a auditoria e o monitoramento insuficientes. Os dados de contabilização RADIUS são uma mina de ouro para a detecção de ameaças, e a maioria das organizações não os utiliza. Cada tentativa de autenticação, bem-sucedida ou malsucedida, gera um registro de contabilização. Padrões de autenticações com falha, autenticações de endereços MAC inesperados ou autenticações em horários incomuns são todos indicadores de comprometimento. Integre seu fluxo de contabilização RADIUS ao seu SIEM. Defina alertas para mais de cinco falhas de autenticação de um único endereço MAC em sessenta segundos. Monitore tempestades de Access-Reject, que podem indicar um ataque de credential stuffing em andamento. [RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ARMADILHAS - aprox. 2 minutos] Deixe-me dar uma sequência prática para um projeto de endurecimento de segurança. Comece com a aplicação de patches. Isso não é negociável e deve ser feito na sua próxima janela de alteração. O FreeRADIUS, o Cisco ISE e o Microsoft NPS lançaram patches para o BlastRADIUS em julho de 2024. Verifique sua versão, aplique o patch e verifique se a aplicação do Message-Authenticator está ativa. Em seguida, audite suas chaves secretas compartilhadas. Obtenha a lista de todos os dispositivos NAS registrados no seu servidor RADIUS. Para cada um deles, verifique o comprimento e a idade da chave secreta compartilhada. Qualquer chave com menos de 20 caracteres ou com mais de dois anos de idade deve ser rotacionada imediatamente. Use um gerenciador de senhas ou cofre de segredos - o HashiCorp Vault funciona bem aqui - para armazenar e rotacionar essas chaves de forma programática. Terceiro, avalie seu método EAP. Se você estiver executando EAP-MD5 em qualquer lugar, migre imediatamente. O PEAP-MSCHAPv2 é uma posição intermediária razoável para a maioria dos ambientes corporativos. Se você tiver a infraestrutura de PKI, o EAP-TLS é o estado desejado. Quarto, implemente o RadSec para qualquer tráfego RADIUS que atravesse segmentos de rede não confiáveis. Isso é particularmente relevante para implantações de vários locais, onde um servidor RADIUS central atende a locais remotos pela internet ou por uma WAN compartilhada. Em quinto lugar, ative a autenticação multifator para acesso privilegiado ao próprio servidor RADIUS. A interface de gerenciamento do servidor é um alvo de alto valor. Imponha MFA para todos os logins administrativos e restrinja o acesso de gerenciamento a uma rede de gerenciamento out-of-band dedicada. Agora, as armadilhas. O erro mais comum que vejo é as organizações aplicarem patches no servidor RADIUS, mas deixarem os dispositivos NAS com firmware antigo que não suporta o Message-Authenticator. O patch só é eficaz se ambas as extremidades o impuserem. Audite o firmware do seu ponto de acesso e switch como parte do mesmo projeto. A segunda armadilha comum é a expiração do certificado. Se você estiver executando EAP-TLS ou RadSec, você tem certificados em jogo. Um certificado de servidor RADIUS que expira silenciosamente fará com que todas as autenticações em sua rede falhem simultaneamente. Crie o monitoramento de expiração de certificados em seu runbook operacional. Defina alertas para 90, 30 e 7 dias antes da expiração. A terceira armadilha é a dependência excessiva da segmentação de rede como um controle de compensação. A segmentação é importante, mas não protege contra um invasor que já se autenticou por meio de um servidor RADIUS comprometido. Defesa em profundidade significa que você precisa do endurecimento do RADIUS, bem como da segmentação. [perguntas e respostas rápidas - aprox. 1 minuto] Pergunta: Preciso do RadSec se meu servidor RADIUS estiver na mesma LAN que meus pontos de acesso? Resposta: Se eles estiverem na mesma VLAN de gerenciamento segmentada e confiável, sem dispositivos não confiáveis, o RADIUS padrão sobre UDP é aceitável para o trecho NAS para servidor. Mas se houver qualquer possibilidade de movimento lateral de um dispositivo comprometido atingindo essa VLAN, o RadSec adiciona uma proteção significativa a um custo baixo. Pergunta: Estamos executando o Microsoft NPS. Somos afetados pelo BlastRADIUS? Resposta: Sim. A Microsoft lançou um patch em julho de 2024. Aplique-o. Também imponha a chave de registro RequireMessageAuthenticator em seu servidor NPS. Pergunta: Como faço para lidar com WiFi de convidados? Os convidados não possuem certificados. Resposta: O WiFi de convidados normalmente usa um modelo de Captive Portal em vez de 802.1X, portanto o RADIUS é usado de forma diferente - geralmente apenas para desvio de autenticação MAC ou tarifação (accounting). O mesmo patch e higiene de segredo compartilhado se aplicam, mas o EAP-TLS não é relevante para o acesso de convidados não autenticados. Concentre-se em isolar a instância RADIUS de convidados da sua infraestrutura RADIUS corporativa. Pergunta: Qual é o caso de ROI para uma migração completa para EAP-TLS? Resposta: Quantifique-o em relação ao seu risco de violação. Uma única violação de PCI-DSS custa, em média, quatro milhões de libras em multas, remediação e danos à reputação. Uma implantação de PKI para uma propriedade de 500 dispositivos custa cerca de 15.000 a 30.000 libras em ferramentas e serviços profissionais. A matemática é simples. [RESUMO E PRÓXIMOS PASSOS - aprox. 1 minuto] Deixo aqui cinco tarefas para fazer neste trimestre. Primeira: Aplique patches no seu servidor RADIUS e em todos os dispositivos NAS para BlastRADIUS. Faça isso primeiro. Segunda: Audite e rotacione todos os segredos compartilhados. Automatize a rotação de agora em diante. Três: Force o uso do Message-Authenticator em todos os pacotes Access-Request. Quatro: Implemente o RadSec para qualquer tráfego RADIUS que cruze limites de rede não confiáveis. Cinco: Integre os logs de accounting do RADIUS ao seu SIEM e configure alertas de anomalias. A segurança do RADIUS não é glamorosa, mas é fundamental. Acerte esses cinco pontos e você terá fechado os vetores de ataque mais significativos contra a sua infraestrutura de controle de acesso à rede. Obrigado por ouvir. Para saber mais sobre arquitetura de segurança WiFi corporativa, visite purple.ai. Este foi um Informativo de Inteligência da Purple WiFi.

header_image.png

Resumo Executivo

O RADIUS (Remote Authentication Dial-In User Service) continua sendo o principal protocolo para controle de acesso à rede em implantações de WiFi corporativo, sustentando a autenticação IEEE 802.1X em hotéis, estabelecimentos de varejo, estádios, centros de convenções e prédios do setor público. No entanto, a arquitetura do RADIUS remonta à década de 1990, e várias de suas decisões de design fundamentais - dependência de hash MD5, transporte UDP sem criptografia nativa e segredos compartilhados estáticos - tornaram-se riscos significativos no cenário atual de ameaças.

Em julho de 2024, a vulnerabilidade BlastRADIUS (CVE-2024-3596) demonstrou que um invasor man-in-the-middle pode forjar respostas Access-Accept do RADIUS explorando fragilidades de integridade do MD5 em pacotes Access-Request. A vulnerabilidade afeta todas as principais implementações de RADIUS, incluindo FreeRADIUS, Cisco ISE e Microsoft NPS. Implantações sem patch continuam em risco.

Este guia oferece um roteiro de hardening priorizado que abrange o gerenciamento de patches, a higiene de segredos compartilhados, a seleção de métodos EAP, a implantação do RadSec, a autenticação multifator para acesso administrativo e a integração de SIEM para detecção de anomalias. Foi escrito para profissionais de TI que precisam tomar decisões defensáveis neste trimestre, não no próximo ano.

radius_architecture_overview.png

Análise Técnica Detalhada

Como o RADIUS funciona e onde ele é fraco

O RADIUS opera como um protocolo cliente-servidor entre um servidor de acesso à rede (NAS) - normalmente um ponto de acesso WiFi, switch ou concentrador VPN - e um servidor RADIUS, que valida as credenciais em relação a um repositório de identidade de backend, como o Active Directory ou o LDAP. A troca de autenticação segue o modelo de requisição-desafio-resposta definido na RFC 2865, com a bilhetagem (accounting) tratada separadamente sob a RFC 2866.

O protocolo transmite pacotes de autenticação via UDP, utilizando a porta 1812 para autenticação e 1813 para bilhetagem. O segredo compartilhado - a chave pré-compartilhada configurada tanto no NAS quanto no servidor RADIUS - é usado para gerar o campo Response Authenticator e para criptografar o atributo User-Password por meio de uma cifra XOR baseada em MD5. Isso não é criptografia no sentido moderno; é uma ofuscação que depende inteiramente do sigilo e da força do segredo compartilhado.

As cinco principais categorias de vulnerabilidade em uma implantação típica de RADIUS são as seguintes.

Vulnerabilidades de integridade e colisão de MD5. O ataque BlastRADIUS (CVE-2024-3596) explora a falta de proteção de integridade em pacotes Access-Request. Como muitas configurações não incluem o atributo Message-Authenticator do NAS por padrão, um invasor em uma posição man-in-the-middle pode injetar atributos manipulados antes que o pacote chegue ao servidor RADIUS. Usando uma técnica de colisão de prefixo escolhido de MD5, o invasor pode manipular o pacote para que o servidor RADIUS calcule um Response Authenticator válido para o pacote modificado, retornando um Access-Accept para uma solicitação que deveria ter sido rejeitada. A mitigação é impor o atributo Message-Authenticator em todos os pacotes Access-Request, o que fornece proteção de integridade HMAC-MD5 em todo o pacote. Isso requer alterações de configuração tanto no NAS quanto no servidor RADIUS, não apenas um patch de servidor.

Segredos compartilhados fracos ou estáticos. O segredo compartilhado é a âncora criptográfica da troca RADIUS. Se o segredo for curto, adivinhável ou nunca rotacionado, um invasor que capture o tráfego RADIUS (possível por meio de ARP spoofing ou um dispositivo de rede comprometido) pode realizar força bruta no atributo User-Password de forma offline. As diretrizes do NIST SP 800-63B sobre segredos memorizados se aplicam aqui: os segredos devem ter pelo menos 20 caracteres, ser gerados aleatoriamente e armazenados em um sistema de gerenciamento de segredos. Para redes grandes com dezenas ou centenas de dispositivos NAS, a rotação manual é inviável operacionalmente; a automação por meio do HashiCorp Vault ou de um gerenciador de segredos semelhante é a abordagem correta.

Transporte UDP não criptografado. O RADIUS padrão sobre UDP não oferece confidencialidade na camada de transporte. O atributo User-Password é ofuscado, mas não criptografado. Todos os outros atributos - incluindo nomes de usuário, IPs do NAS e metadados de sessão - trafegam em texto claro. O RadSec (RADIUS sobre TLS), definido no RFC 6614 e atualizado no RFC 7360, resolve isso envolvendo o protocolo RADIUS em um túnel TLS sobre a porta TCP 2083, estabelecendo uma sessão TLS 1.2 ou TLS 1.3. O RadSec fornece autenticação mútua de certificados entre o NAS e o servidor RADIUS, criptografia completa de payload e proteção contra repetição. É o transporte correto para qualquer tráfego RADIUS que cruze um limite de rede não confiável.

Seleção do método EAP. O Extensible Authentication Protocol (EAP) define os métodos internos de autenticação usados na estrutura 802.1X. O EAP-MD5 está obsoleto e deve ser removido de todas as implantações imediatamente - ele não fornece autenticação mútua e nenhuma resistência a ataques de coleta de credenciais. O PEAP (Protected EAP) e o EAP-TTLS estabelecem um túnel TLS usando um certificado de servidor antes de transmitir credenciais, fornecendo autenticação mútua e protegendo o método interno contra interceptação. O EAP-TLS elimina totalmente as senhas, exigindo certificados X.509 tanto no servidor quanto no cliente. Ele é imune a ataques de phishing e força bruta, sendo o método recomendado para ambientes de alta segurança. Registro (logging) e monitoramento insuficientes. A bilhetagem RADIUS registra cada evento de autenticação - sucesso, falha, início de sessão, encerramento de sessão. Esses dados são operacionalmente valiosos para o planejamento de capacidade e comercialmente valiosos para o WiFi Analytics , mas também são uma fonte crítica de telemetria de segurança. Tempestades de falhas de autenticação, autenticações de endereços MAC desconhecidos e padrões de acesso fora do horário comercial são todos detectáveis a partir dos logs de bilhetagem RADIUS. A maioria das organizações não ingere esses dados em um SIEM, e aquelas que o fazem raramente configuram limites de alerta.

eap_comparison_chart.png

O ataque BlastRADIUS em detalhes

O BlastRADIUS foi divulgado em julho de 2024 por pesquisadores da Boston University e da UC San Diego. O ataque requer uma posição de "man-in-the-middle" entre o NAS e o servidor RADIUS - alcançável via envenenamento de ARP em um segmento de rede compartilhado, um roteador comprometido ou um insider malicioso com acesso à rede.

O ataque ocorre da seguinte forma: o invasor intercepta um pacote Access-Request do NAS. Como o pacote carece do atributo Message-Authenticator (o padrão em muitas configurações), o invasor está livre para modificar a lista de atributos do pacote. Usando uma colisão de prefixo escolhido MD5, o invasor constrói um pacote modificado para o qual o servidor RADIUS computará o mesmo Response Authenticator do original. O servidor, portanto, retorna um Access-Accept para uma solicitação contendo atributos controlados pelo invasor - incluindo um Service-Type de Administrative que autoriza o acesso total à rede.

O ataque é eficaz contra implantações PEAP e EAP-TTLS que usam MSCHAPv2 como o método interno. Ele não afeta implantações EAP-TLS, onde a autenticação mútua baseada em certificado fornece proteção de integridade que o MD5 não pode subverter.

Para organizações que executam tanto o Guest WiFi quanto o 802.1X corporativo, a instância RADIUS da rede de convidados também deve ser corrigida, mesmo que use desvio de autenticação MAC em vez de EAP. A higiene do segredo compartilhado e a exigência de Message-Authenticator aplicam-se igualmente.

Guia de Implementação

Fase 1: Correção imediata (semanas 1-2)

A aplicação de patches vem primeiro. O FreeRADIUS 3.2.5 e o 3.0.27 contêm as correções para o BlastRADIUS e impõem o Message-Authenticator por padrão. O Cisco ISE 3.1 Patch 8, 3.2 Patch 4 e 3.3 Patch 1 corrigem a vulnerabilidade. A Microsoft lançou o KB5040434 para o Windows Server 2022 NPS em julho de 2024. Verifique suas versões atuais e aplique os patches dentro da sua próxima janela de manutenção agendada.

Ao mesmo tempo, faça uma auditoria no firmware do seu dispositivo NAS. A imposição do Message-Authenticator só é eficaz se o NAS também enviar o atributo. Verifique os comunicados dos fornecedores de pontos de acesso e switches - Aruba, Ruckus, Cisco e Juniper lançaram atualizações de firmware para o BlastRADIUS. Se você estiver executando hardware Ruckus, o guia de ponto de acesso wireless Ruckus fornece o contexto relevante de gerenciamento de firmware.

Para o diagnóstico de problemas de autenticação 802.1X no Windows 11 que podem surgir após a aplicação de patches, a causa mais comum é o servidor NPS rejeitando conexões de clientes que não incluem o Message-Authenticator - um comportamento de segurança correto que pode exigir a reconfiguração do suplicante em clientes Windows mais antigos.

Fase 2: Higiene de segredos compartilhados (semanas 2 a 4)

Exporte a lista completa de clientes NAS registrados em seus servidores RADIUS. Para cada entrada, registre o comprimento do segredo compartilhado e a data em que foi alterado pela última vez. Qualquer segredo com menos de 20 caracteres, ou inalterado por mais de 24 meses, deve ser rotacionado imediatamente.

Para novos segredos, use um gerador criptograficamente aleatório - openssl rand -base64 32 produz uma string base64 de 44 caracteres bem adequada para uso como um segredo compartilhado RADIUS. Armazene todos os segredos em um sistema de gerenciamento de segredos. Implemente um cronograma de rotação: anualmente para dispositivos NAS de baixo risco, a cada seis meses para dispositivos NAS no escopo do PCI-DSS.

Fase 3: Racionalização do método EAP (meses 1 a 2)

Audite os métodos EAP que seus servidores RADIUS permitem. Desative o EAP-MD5. Se você estiver executando PEAP-MSCHAPv2, verifique se todos os suplicantes exigem a validação do certificado do servidor - um suplicante mal configurado que aceita qualquer certificado de servidor fica vulnerável a ataques de servidores RADIUS falsos. Para ambientes no escopo do PCI-DSS, o EAP-TLS é recomendado. Se você não possui uma infraestrutura de certificados existente, inicie o planejamento de PKI.

Para a segurança de redes WiFi de convidados , observe que as redes de convidados normalmente usam autenticação por Captive Portal em vez de 802.1X, portanto, o endurecimento do método EAP se aplica principalmente a SSIDs corporativos e de funcionários.

Fase 4: Implantação do RadSec (meses 2 a 3)

Identifique cada caminho de tráfego RADIUS que cruza um limite de rede não confiável. Cenários comuns incluem um servidor RADIUS central atendendo hotéis remotos pela internet; dispositivos NAS locais acessando um serviço RADIUS em nuvem; e cadeias de proxy RADIUS onde o tráfego atravessa múltiplos domínios de rede.

Para cada caminho identificado, configure o RadSec. No FreeRADIUS, isso significa habilitar o listener tls na porta 2083 e configurar TLS mútuo com certificados de sua PKI. No Cisco ISE, o RadSec é configurado em Administration > Network Devices. Garanta o TLS 1.2 como limite mínimo; desative explicitamente o TLS 1.0 e 1.1.

Fase 5: Autenticação multifator para acesso administrativo (meses 2 a 3)

The management interface of a RADIUS server is a high-value target. An attacker who compromises the RADIUS server can modify authentication policy, extract shared secrets and redirect authentication flows. Enforce MFA on administrative logins to all RADIUS servers and their underlying operating systems. Restrict management access to a dedicated out-of-band management VLAN. Implement role-based access control: network engineers should not hold the same privileges as security administrators.

Phase 6: SIEM integration and alerting (months 3-4)

Configure your RADIUS servers to forward accounting logs to your SIEM in real time. Define the following baseline alert thresholds:

Alert Threshold Severity
Multiple authentication failures from a single MAC address >5 in 60 seconds High
Access-Reject rate spike 200% above the 7-day baseline Medium
Authentication from a new MAC address on a corporate SSID First occurrence Medium
RADIUS server certificate approaching expiry 90 / 30 / 7 days High / Critical / Critical
Shared secret mismatch errors Any occurrence High

Best Practices

The following recommendations synthesise the consensus across IEEE 802.1X, NIST SP 800-63B, PCI-DSS v4.0 and vendor security advisories.

Certificate management. Any deployment using EAP-TLS or RadSec has X.509 certificates in its authentication path. Certificate expiry is the single most common cause of sudden, total authentication failure in enterprise WiFi deployments. Implement automated certificate lifecycle management. Set monitoring alerts at 90, 30 and 7 days before expiry. For RADIUS server certificates, use minimum 2048-bit RSA or 256-bit ECDSA keys, and SHA-256 or stronger signature algorithms. Do not use SHA-1.

Network segmentation. RADIUS servers should sit on a dedicated management segment, isolated from guest and general corporate networks. Access to the RADIUS ports (UDP 1812, 1813, and TCP 2083 for RadSec) should be restricted by firewall ACL to the specific IP addresses of registered NAS devices. Allow no direct internet access to RADIUS ports.

Redundancy and high availability. A single RADIUS server is a single point of failure for your entire network access control infrastructure. Deploy at least two RADIUS servers in an active-passive or active-active configuration. For Hospitality deployments with 24/7 guest connectivity requirements, RADIUS server downtime translates directly into guest WiFi downtime - a reputational and commercial risk.

WPA3 and 802.1X. WPA3-Enterprise no modo de segurança de 192 bits, exigido para implantações governamentais e de alta segurança, exige AES-256-GCMP para criptografia de dados e HMAC-SHA-384 para autenticação. Para a maioria das implantações corporativas, o WPA3-Enterprise com segurança padrão de 128 bits já é uma melhoria significativa em relação ao WPA2-Enterprise, principalmente quando combinado com EAP-TLS. Ambientes de Varejo que lidam com pagamentos com cartão devem tratar a adoção do WPA3-Enterprise como uma medida de redução de risco do PCI-DSS.

Cadência de patches do fabricante. Assine os avisos de segurança do fabricante do seu servidor RADIUS e dos fabricantes dos seus dispositivos NAS. O FreeRADIUS, Cisco, Microsoft, Aruba e Ruckus publicam notificações de CVE. Insira-as em seu programa de gerenciamento de vulnerabilidades com SLAs definidos: vulnerabilidades críticas (CVSS ≥ 9.0) corrigidas em até 72 horas; vulnerabilidades de alta gravidade (CVSS 7.0 a 8.9) em até 14 dias.

Solução de Problemas e Mitigação de Riscos

Modos de falha comuns

Falhas de autenticação após aplicação de patches. Após a aplicação de patches do BlastRADIUS, alguns dispositivos NAS podem falhar na autenticação se o firmware deles não suportar o Message-Authenticator. Sintoma: um aumento repentino nas respostas Access-Reject sem nenhuma alteração nas credenciais do usuário. Diagnóstico: ative o log de depuração do RADIUS e verifique se há erros de "Message-Authenticator required but not present". Resolução: atualize o firmware do NAS ou, como medida temporária, configure o servidor RADIUS para aceitar solicitações sem Message-Authenticator de IPs NAS específicos enquanto as atualizações de firmware são agendadas.

Falhas de validação de certificado no EAP-TLS. Sintoma: os clientes recebem "falha na autenticação" sem o correspondente Access-Reject no log do RADIUS. Diagnóstico: verifique a cadeia de certificados do servidor RADIUS - a CA emissora é confiável para o suplicante do cliente? O certificado do servidor está dentro do período de validade? Resolução: certifique-se de que a cadeia completa de certificados (folha + intermediária + raiz) esteja configurada no servidor RADIUS. Distribua os certificados da CA raiz para os dispositivos clientes via MDM ou Política de Grupo.

Falhas no handshake TLS do RadSec. Sintoma: os dispositivos NAS não conseguem estabelecer conexões RadSec após uma alteração de configuração. Diagnóstico: verifique a compatibilidade da versão TLS - firmwares NAS mais antigos podem não suportar o TLS 1.2. Verifique a autenticação mútua de certificados - ambas as pontas devem confiar na CA uma da outra. Resolução: verifique o suporte à versão TLS nas notas de versão do firmware do NAS; certifique-se de que os certificados do dispositivo NAS sejam emitidos pela mesma CA em que o servidor RADIUS confia.

Divergência de segredo compartilhado. Sintoma: todas as autenticações de um NAS específico falham com erros de "autenticador inválido". Diagnóstico: uma divergência de segredo compartilhado entre a configuração do NAS e a entrada do cliente no servidor RADIUS. Resolução: insira novamente o segredo compartilhado em ambas as pontas, verificando se há espaços em branco no final ou problemas de codificação de caracteres. Copie e cole do seu gerenciador de segredos para evitar erros de digitação.

Registro de riscos

Risco Probabilidade Impacto Controles de mitigação
Exploração BlastRADIUS Alta (se não corrigida) Crítica Correção (Patching) + imposição de Message-Authenticator
Brute-force de segredo compartilhado Média Alta Segredos aleatórios de 32 caracteres, rotação anual
Servidor RADIUS invasor Média Alta Autenticação mútua EAP-TLS, fixação de certificado (certificate pinning)
Expiração de certificado do servidor RADIUS Alta Crítica Monitoramento automatizado, alertas com 90 dias de antecedência
Credential stuffing via 802.1X Média Alta Política de bloqueio de conta, alertas de SIEM
Comprometimento do servidor RADIUS Baixa Crítica MFA no acesso de administrador, segmentação de rede

ROI e Impacto nos Negócios

Quantificando o risco

A justificativa financeira para o endurecimento (hardening) do RADIUS fica mais clara quando comparada aos custos de uma violação. O custo médio de uma violação de dados no Reino Unido em 2024 foi de £3,58 milhões, cobrindo multas regulatórias, remediação, custos legais e danos à reputação. Para organizações no escopo do PCI-DSS - efetivamente todas as operadoras de Varejo e Hospitalidade que aceitam pagamentos com cartão via WiFi - uma violação de controle de acesso à rede que exponha dados de titulares de cartão desencadeia uma investigação forense obrigatória, possíveis multas de esquemas de cartões e possível suspensão dos direitos de processamento de cartões.

Para organizações de Saúde , uma violação de GDPR envolvendo dados de pacientes acessados por meio de um servidor RADIUS comprometido acarreta multas de até 4% do faturamento anual global sob o Artigo 83(5). O histórico de fiscalização do ICO demonstra que falhas de segurança de rede são tratadas como negligência, não como infortúnio técnico.

Referências de custo de implementação

As estimativas de custo a seguir pressupõem uma rede corporativa de 500 dispositivos:

Atividade de endurecimento (hardening) Custo estimado Cronograma
Correção (FreeRADIUS / NPS / ISE) Apenas mão de obra interna 1 a 2 semanas
Auditoria e rotação de segredo compartilhado Mão de obra interna + licença de gerenciador de segredos (~£2.000/ano) 2 a 4 semanas
Implantação de PKI EAP-TLS £15.000 a £30.000 (ferramentas + serviços profissionais) 2 a 3 meses
Implementação do RadSec Mão de obra interna + custos de certificado (~£1.500) 4 a 6 semanas
Integração com SIEM e alertas Depende do SIEM existente; £0 a £10.000 4 a 8 semanas

O investimento total de endurecimento (hardening) para uma empresa de médio porte é de aproximadamente £20.000 a £45.000. Em comparação com o custo médio de violação de £3,58 milhões, o ROI ajustado ao risco é atraente, mesmo sob suposições conservadoras de probabilidade de violação.

Benefícios operacionais além da segurança

Uma infraestrutura RADIUS endurecida também traz dividendos operacionais. Uma autenticação confiável e bem monitorada reduz os chamados de suporte relacionados à conectividade WiFi. Os dados de contabilização (accounting) do RADIUS, quando integrados ao WiFi Analytics , fornecem visibilidade em nível de sessão sobre padrões de uso de rede, tempos de permanência e tipos de dispositivos - dados com valor comercial direto para operadores de locais nos ambientes de Hospitalidade e Transporte . Para organizações do setor público e de Saúde , um programa documentado de hardening de RADIUS fornece evidências de controles técnicos para avaliações do Cyber Essentials Plus, ISO 27001 e NHS DSPT - reduzindo o esforço de auditoria e demonstrando devida diligência aos órgãos reguladores.

Definições principais

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo cliente-servidor definido na RFC 2865 que fornece autenticação, autorização e bilhetagem (AAA) centralizadas para acesso à rede. Os servidores RADIUS validam as credenciais enviadas por dispositivos de rede (NAS) em relação a um armazenamento de identidades de back-end, como Active Directory ou LDAP.

As equipes de TI encontram o RADIUS como o back-end de autenticação para WiFi 802.1X, autenticação de porta com fio, acesso VPN e gerenciamento de dispositivos de rede. É o protocolo que decide quem entra na rede.

IEEE 802.1X

Um padrão IEEE para controle de acesso à rede baseado em porta que define o encapsulamento de EAP sobre LAN (EAPOL). Ele fornece uma estrutura de autenticação para redes com e sem fio, exigindo que os dispositivos se autentiquem antes de receberem acesso à rede.

O 802.1X é o padrão que faz a autenticação de WiFi corporativo funcionar. Quando um funcionário se conecta a um SSID corporativo e recebe uma solicitação de credenciais, o 802.1X é a estrutura que orquestra essa troca, com o RADIUS como back-end.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Um método EAP que usa certificados X.509 para autenticação mútua entre o cliente e o servidor RADIUS. Ambas as partes devem apresentar certificados válidos, eliminando completamente as senhas da troca de autenticação.

O EAP-TLS é o padrão ouro para autenticação WiFi corporativa. Ele é imune a phishing de credenciais e ataques de força bruta. O requisito operacional é uma infraestrutura PKI para emitir e gerenciar certificados de clientes.

RadSec (RADIUS over TLS)

Um protocolo definido na RFC 6614 que encapsula pacotes RADIUS dentro de uma sessão TLS sobre a porta TCP 2083. Ele fornece criptografia de camada de transporte, autenticação mútua de certificados e proteção contra repetição para o tráfego RADIUS.

O RadSec é necessário para qualquer tráfego RADIUS que cruze um limite de rede não confiável - links WAN, conexões de internet ou infraestrutura de rede compartilhada. É o substituto correto para o RADIUS padrão sobre UDP em implantações de vários locais.

BlastRADIUS (CVE-2024-3596)

Um ataque man-in-the-middle divulgado em julho de 2024 que explora a ausência de proteção de integridade nos pacotes RADIUS Access-Request. Usando técnicas de colisão de prefixo escolhido MD5, um invasor pode forjar uma resposta Access-Accept, concedendo acesso à rede a um usuário não autenticado.

O BlastRADIUS afeta todas as principais implementações de RADIUS, incluindo FreeRADIUS, Cisco ISE e Microsoft NPS. Organizações que não aplicaram os patches lançados em julho de 2024 permanecem expostas a esse ataque.

Message-Authenticator

Um atributo RADIUS (Atributo 80) que fornece proteção de integridade HMAC-MD5 sobre todo o pacote RADIUS. Quando presente em um Access-Request, ele impede o ataque de modificação de pacote usado no BlastRADIUS.

Impor o Message-Authenticator em todos os pacotes Access-Request é a principal remediação para o BlastRADIUS. Ele deve ser configurado tanto no servidor RADIUS (para exigir o atributo) quanto no dispositivo NAS (para incluir o atributo nas solicitações).

NAS (Network Access Server)

Na terminologia RADIUS, o NAS é o dispositivo de rede - normalmente um ponto de acesso WiFi, switch ou concentrador de VPN - que atua como o cliente RADIUS. Ele intercepta solicitações de conexão de dispositivos finais e encaminha as solicitações de autenticação para o servidor RADIUS.

Os dispositivos NAS são os clientes RADIUS em uma implantação. Os segredos compartilhados são configurados por NAS. A remediação do BlastRADIUS requer atualizações de firmware nos dispositivos NAS, bem como patches no servidor RADIUS.

PEAP (Protected Extensible Authentication Protocol)

Um método EAP que estabelece um túnel TLS usando um certificado do lado do servidor antes de transmitir o método de autenticação interno (geralmente MSCHAPv2). Ele fornece autenticação mútua e protege as credenciais contra espionagem de rede.

O PEAP-MSCHAPv2 é o método de autenticação WiFi corporativo mais amplamente implantado. Ele é compatível com o PCI DSS e operacionalmente mais simples que o EAP-TLS porque não requer certificados de cliente. No entanto, é vulnerável a ataques de servidores RADIUS falsos se a validação de certificado do lado do cliente não for imposta.

Segredo Compartilhado

Uma chave pré-compartilhada configurada tanto no servidor RADIUS quanto em cada dispositivo NAS. Ela é usada para gerar o campo Response Authenticator e para ofuscar o atributo User-Password. Não é uma senha para usuários finais - é uma credencial de autenticação de servidor para servidor.

Segredos compartilhados fracos ou estáticos são uma das vulnerabilidades mais comuns do RADIUS. Um invasor que captura o tráfego RADIUS pode realizar um ataque de força bruta offline contra um segredo compartilhado fraco. O comprimento mínimo recomendado é de 32 caracteres, gerados aleatoriamente.

PCI DSS (Payment Card Industry Data Security Standard)

Um conjunto de padrões de segurança exigidos pelas principais bandeiras de cartão (Visa, Mastercard, Amex) para organizações que processam, armazenam ou transmitem dados de portadores de cartão. A Versão 4.0, em vigor a partir de março de 2024, inclui requisitos específicos para controle de acesso à rede e autenticação forte.

Organizações de varejo e hospitalidade com terminais POS conectados por WiFi estão no escopo do PCI DSS. Vulnerabilidades no servidor RADIUS que possam permitir acesso não autorizado à rede para ambientes de dados de titulares de cartão representam um risco direto de conformidade.

Exemplos práticos

Um grupo de hotéis de 350 quartos com 12 propriedades utiliza um servidor RADIUS centralizado hospedado no data center da sua sede. Cada propriedade se conecta por meio de uma WAN MPLS compartilhada. Uma auditoria de segurança sinalizou que o tráfego do RADIUS não é criptografado na WAN, os segredos compartilhados são strings de 8 caracteres configuradas durante a implantação inicial há cinco anos e o servidor RADIUS está executando o FreeRADIUS 3.0.21. O grupo processa pagamentos com cartão por meio de terminais POS conectados via WiFi em suas instalações de restaurante e spa. Qual é a prioridade de remediação e a sequência de implementação?

A sequência de remediação deve ser ordenada pela gravidade do risco e velocidade de implementação. Etapa 1 (imediata, dentro de 72 horas): Atualize o FreeRADIUS para a versão 3.2.5 ou 3.0.27. Isso corrige o BlastRADIUS e impõe o Message-Authenticator por padrão. Simultaneamente, verifique as versões de firmware dos pontos de acesso em todas as 12 propriedades e agende atualizações de firmware para quaisquer dispositivos NAS que não suportem o Message-Authenticator. Etapa 2 (semana 1 a 2): Alterne todos os segredos compartilhados. Gere segredos aleatórios de 32 caracteres usando openssl rand -base64 32 para cada um dos 12 registros NAS das propriedades. Armazene no HashiCorp Vault ou equivalente. Documente a data de rotação. Etapa 3 (mês 1 a 2): Implemente o RadSec no caminho da WAN. Configure o servidor FreeRADIUS para aceitar conexões RadSec na porta TCP 2083. Emita certificados TLS de uma CA interna para os dispositivos NAS de cada propriedade. Atualize as regras de firewall para permitir o tráfego TCP 2083 das faixas de IP dos NAS das propriedades para o servidor RADIUS. Desative o tráfego UDP 1812/1813 das interfaces voltadas para a WAN assim que o funcionamento do RadSec for confirmado. Etapa 4 (mês 2 a 3): Para o SSID de WiFi do POS no escopo do PCI-DSS, migre de PEAP-MSCHAPv2 para EAP-TLS. Implante uma PKI interna (Microsoft ADCS ou mecanismo PKI HashiCorp Vault). Emita certificados de cliente para os terminais POS via MDM. Atualize a política do RADIUS para exigir EAP-TLS para o SSID do POS. Etapa 5 (mês 3): Integre os logs de contabilização do RADIUS ao SIEM. Configure alertas para picos de falha de autenticação e expiração de certificados.

Comentário do examinador: Este cenário é representativo da maioria das implantações de hospitalidade multi-site. O ponto principal é que a WAN MPLS, embora não seja a internet pública, é uma rede compartilhada que não pode ser tratada como totalmente confiável - particularmente em um grupo hoteleiro onde a WAN pode ser gerenciada por um provedor terceirizado. O RadSec, portanto, não é opcional. O aspecto do PCI-DSS é crítico: os terminais POS na rede WiFi estão no escopo do requisito 8.3 do PCI-DSS (autenticação forte) e do requisito 4.2.1 (criptografia forte para dados em trânsito). O EAP-TLS satisfaz ambos. A sequência prioriza a aplicação de patches primeiro porque o BlastRADIUS é uma vulnerabilidade ativa e explorável; as outras etapas de endurecimento de segurança são importantes, mas não apresentam o mesmo risco imediato. Uma abordagem alternativa - migrar para um RADIUS-as-a-Service hospedado na nuvem - foi considerada, mas rejeitada para este cenário devido ao investimento existente do grupo em MPLS e à complexidade de migrar 12 propriedades simultaneamente.

Uma rede varejista regional com 45 lojas usa WPA2-Personal (chave pré-compartilhada) para o WiFi dos funcionários e uma rede aberta para o WiFi dos clientes. O diretor de TI deseja migrar o WiFi dos funcionários para a autenticação 802.1X usando o Microsoft NPS como servidor RADIUS, integrado ao Active Directory. As lojas possuem uma combinação de pontos de acesso Aruba e Cisco. A rede está no escopo do PCI-DSS. Qual arquitetura eles devem implantar e quais são as principais decisões de configuração?

A arquitetura recomendada é o 802.1X com PEAP-MSCHAPv2 como o método EAP inicial, com um roteiro documentado para EAP-TLS. O servidor NPS deve ser implantado em um par redundante (primário + secundário) no data center central, com configuração de proxy RADIUS nos pontos de acesso para failover automático. Decisões de configuração: (1) Política de Rede NPS: crie uma política correspondente ao SSID da equipe com PEAP-MSCHAPv2, exigindo associação de grupo em um grupo de segurança do AD (por exemplo, 'WiFi-Staff-Access'). Defina o tempo limite da sessão para 8 horas para forçar a autenticação novamente. (2) Certificado: implante um certificado de servidor NPS de uma CA interna do Microsoft ADCS. Envie o certificado da CA raiz para todos os dispositivos da equipe via Diretiva de Grupo (Windows) e MDM (iOS/Android). (3) Configuração do suplicante: configure os dispositivos Windows via Diretiva de Grupo (Configuração do Computador > Configurações do Windows > Configurações de Segurança > Diretivas de Rede Sem Fio). Para dispositivos iOS e Android, use um perfil de MDM. Force a validação do certificado do servidor - não permita que os usuários aceitem certificados arbitrários. (4) Configuração do ponto de acesso: no Aruba, configure o servidor RADIUS em Autenticação > Servidores. Defina o segredo compartilhado como uma string aleatória de 32 caracteres. Ative o RadSec se o firmware Aruba for compatível (AOS 8.9+). No Cisco, configure em Segurança > AAA > RADIUS. (5) Registro do NPS: ative o registro de bilhetagem do NPS em um banco de dados SQL Server. Configure um período de retenção de registro de no mínimo 90 dias para conformidade com o PCI-DSS. (6) Pós-migração: desative o WPA2-Personal no SSID da equipe. Mantenha-o apenas como um SSID de emergência com uma PSK complexa armazenada no gerenciador de segredos, para uso apenas quando o NPS estiver indisponível.

Comentário do examinador: A migração do WPA2-Personal para o 802.1X é um dos projetos de melhoria de segurança mais comuns no setor de TI de varejo. O principal risco neste cenário é o parque misto de pontos de acesso - Aruba e Cisco têm interfaces de configuração de cliente RADIUS diferentes, e o processo de rotação do segredo compartilhado deve ser gerenciado separadamente para cada um. A decisão de começar com PEAP-MSCHAPv2 em vez de EAP-TLS é pragmática: evita a complexidade da implantação de PKI ao mesmo tempo em que oferece uma melhoria significativa de segurança em relação ao PSK. O roteiro do EAP-TLS deve ser vinculado ao cronograma de implantação do MDM - a implantação de certificados de cliente só é operacionalmente viável quando todos os dispositivos estiverem registrados no MDM. O aspecto do PCI-DSS reforça o requisito de registro do NPS: o requisito 10.2.1 do PCI-DSS exige o registro de todo acesso individual de usuário a dados de portadores de cartão, o que inclui eventos de acesso à rede.

Questões práticas

Q1. Sua organização executa um servidor FreeRADIUS 3.0.21 que suporta autenticação 802.1X para 800 dispositivos de funcionários em um único campus. O servidor RADIUS está na mesma VLAN de gerenciamento que todos os pontos de acesso. Um teste de invasão identificou que os pontos de acesso estão enviando pacotes Access-Request sem o atributo Message-Authenticator. A equipe de segurança quer aplicar o Message-Authenticator imediatamente, mas a equipe de operações de rede está preocupada em interromper a autenticação de 800 usuários. Como você sequenciaria a correção para mitigar a interrupção do serviço?

Dica: Considere a diferença entre o servidor RADIUS exigir o Message-Authenticator versus os dispositivos NAS o enviarem. Estas são duas alterações de configuração distintas com perfis de risco diferentes.

Ver resposta modelo

A sequência correta é: (1) Primeiro, atualize o FreeRADIUS para a versão 3.2.5. Esta versão exige o Message-Authenticator por padrão, mas inclui um modo de compatibilidade que registra um aviso em vez de rejeitar pacotes que não possuem o atributo. Isso fornece a correção sem interromper imediatamente a autenticação. (2) Audite as versões de firmware dos pontos de acesso. Identifique quais modelos e versões de firmware suportam o Message-Authenticator em pacotes Access-Request. (3) Atualize o firmware dos pontos de acesso em lotes, começando com um grupo piloto de 50 dispositivos. Verifique se a autenticação continua funcionando após cada lote. (4) Assim que todos os pontos de acesso estiverem confirmados como enviando o Message-Authenticator, habilite a imposição estrita no servidor FreeRADIUS (require_message_authenticator = yes em clients.conf). (5) Monitore os logs do RADIUS para quaisquer avisos restantes de 'Message-Authenticator missing', o que indicaria dispositivos NAS que não receberam a atualização de firmware. O princípio fundamental é que você pode atualizar o servidor primeiro sem quebrar nada, porque o modo de compatibilidade permite um período de transição. Aplicar a rejeição estrita no servidor deve ser o último passo, após a atualização de todos os dispositivos NAS.

Q2. O operador de um centro de conferências possui um único servidor RADIUS que suporta tanto o SSID corporativo dos funcionários (802.1X com PEAP-MSCHAPv2) quanto o WiFi de visitantes do evento (Captive Portal com Bypass de Autenticação MAC). O gerente de TI pergunta se a instância RADIUS do WiFi de visitantes precisa ser protegida com o mesmo rigor que a instância RADIUS corporativa, considerando que os visitantes não se autenticam com credenciais corporativas. Qual é a sua recomendação?

Dica: Considere os vetores de ataque que se aplicam ao Bypass de Autenticação MAC (MAB) versus autenticação baseada em EAP, e o risco de movimentação lateral entre as instâncias RADIUS de visitantes e corporativa.

Ver resposta modelo

A instância de RADIUS do WiFi para convidados requer endurecimento, mas os controles específicos diferem da instância corporativa. A correção para BlastRADIUS se aplica igualmente — a vulnerabilidade afeta o servidor RADIUS independentemente do método de autenticação usado pelos clientes. A higiene do segredo compartilhado se aplica igualmente — um segredo compartilhado fraco entre o controlador do Captive Portal de convidados e o servidor RADIUS é explorável independentemente de o EAP estar em uso. O principal risco adicional é o servidor RADIUS compartilhado: se as solicitações de autenticação de SSID de convidados e corporativo forem tratadas pelo mesmo processo de servidor RADIUS, uma vulnerabilidade no caminho do RADIUS de convidados poderá ser usada para pivotar para a política de autenticação corporativa. A arquitetura recomendada é executar instâncias separadas de RADIUS (ou, no mínimo, servidores virtuais separados dentro do FreeRADIUS) para autenticação de convidados e corporativa, com segredos compartilhados separados e conjuntos de políticas separados. Isso fornece isolamento para que o comprometimento do caminho do RADIUS de convidados não exponha as credenciais corporativas. Para a instância de convidados especificamente: aplique a correção para BlastRADIUS, rotacione segredos compartilhados e garanta que a instância de RADIUS de convidados não tenha acesso ao Active Directory corporativo. Os requisitos de EAP-TLS e RadSec são menos relevantes para uma implantação de Captive Portal, mas o RadSec ainda deve ser considerado se o controlador do Captive Portal estiver em um segmento de rede diferente do servidor RADIUS.

Q3. Uma organização de saúde está planejando migrar seu WiFi clínico de WPA2-Personal para autenticação 802.1X. A organização possui 1.200 dispositivos clínicos, incluindo notebooks Windows, tablets iOS e dispositivos portáteis Android. O CISO deseja o EAP-TLS como estado de destino. O diretor de TI está preocupado com a complexidade de implantação de PKI e propõe o PEAP-MSCHAPv2 como uma solução permanente. Como você aconselha o CISO e o diretor de TI, e qual é o caminho de implementação recomendado?

Dica: Considere o modelo de ameaça específico para um ambiente de saúde — quais são as consequências de um comprometimento de credenciais e como o EAP-TLS aborda riscos que o PEAP-MSCHAPv2 não aborda?

Ver resposta modelo

O instinto do CISO está correto, mas a preocupação do diretor de TI é válida. O conselho recomendado é: implemente o PEAP-MSCHAPv2 agora como uma posição intermediária, com um cronograma comprometido de 12 meses para o EAP-TLS. A justificativa para não aceitar o PEAP-MSCHAPv2 como uma solução permanente na área de saúde é: (1) O PEAP-MSCHAPv2 é vulnerável a ataques de servidor RADIUS desonesto se a validação de certificado do lado do cliente não for imposta. Em um ambiente de saúde onde a equipe clínica pode conectar dispositivos pessoais, impor a configuração do suplicante de forma consistente em 1.200 dispositivos é um desafio operacional. (2) As credenciais MSCHAPv2, se capturadas por meio de um ataque de RADIUS desonesto, podem ser decifradas offline usando ferramentas como hashcat. Em um contexto de saúde, essas credenciais provavelmente também fornecem acesso a sistemas clínicos. (3) As avaliações do NHS DSPT e da CQC exigem cada vez mais controles de autenticação fortes para acesso à rede clínica. O EAP-TLS fornece uma posição de evidência de auditoria mais forte. O caminho de implementação: Mês 1-2: Implante o PEAP-MSCHAPv2 com validação de certificado de servidor imposta por meio de perfis de MDM em todos os 1.200 dispositivos. Mês 3-6: Implante o Microsoft ADCS como a infraestrutura de PKI. Registre dispositivos Windows por meio do registro automático de Diretiva de Grupo. Mês 6-9: Registre dispositivos iOS e Android por meio de perfis de certificado de MDM. Mês 9-12: Migre a política de SSID clínica de PEAP para EAP-TLS. Retenha o PEAP como uma alternativa para quaisquer dispositivos que falhem no registro de certificado, com monitoramento aprimorado. Para saber mais sobre a arquitetura de segurança de rede clínica, o WiFi in Hospitals guide fornece o contexto de implantação relevante.