Atenuar Vulnerabilidades de RADIUS: Um Guia de Reforço de Segurança

Resumo Executivo

O RADIUS (Remote Authentication Dial-In User Service) continua a ser o protocolo dominante para o controlo de acessos à rede em implementações de WiFi empresariais, servindo de base para a autenticação IEEE 802.1X em hotéis, superfícies comerciais, estádios, centros de conferências e edifícios do setor público. No entanto, o RADIUS foi concebido na década de 1990 e várias das suas decisões de design fundamentais — a dependência de hashing MD5, o transporte UDP sem encriptação nativa e segredos partilhados estáticos — tornaram-se vulnerabilidades materiais no atual panorama de ameaças.

Em julho de 2024, a vulnerabilidade BlastRADIUS (CVE-2024-3596) demonstrou que um atacante do tipo "man-in-the-middle" consegue forjar respostas RADIUS Access-Accept ao explorar a fragilidade de integridade do MD5 em pacotes Access-Request. Isto afeta todas as principais implementações de RADIUS, incluindo FreeRADIUS, Cisco ISE e Microsoft NPS. As implementações sem patch aplicado continuam expostas.

Este guia fornece um roteiro de reforço de segurança prioritário que abrange a gestão de patches, a higiene de segredos partilhados, a seleção de métodos EAP, a implementação de RadSec, a autenticação multifator para acesso administrativo e a integração de SIEM para deteção de anomalias. Foi escrito para o profissional de TI que precisa de tomar uma decisão defensável neste trimestre, e não no próximo ano.

Análise Técnica Detalhada

Como Funciona o RADIUS e Onde Falha

O RADIUS opera como um protocolo cliente-servidor entre um Network Access Server (NAS) — tipicamente um ponto de acesso WiFi, switch ou concentrador VPN — e um servidor RADIUS que valida as credenciais num repositório de identidades backend, como o Active Directory ou LDAP. A troca de autenticação segue um modelo de pedido-desafio-resposta definido no RFC 2865, com a faturação (accounting) a ser tratada separadamente ao abrigo do RFC 2866.

O protocolo transmite pacotes de autenticação através de UDP, porta 1812 para autenticação e porta 1813 para faturação. O segredo partilhado — uma chave pré-partilhada configurada tanto no NAS como no servidor RADIUS — é utilizado para gerar o campo Response Authenticator e para ofuscar o atributo User-Password através de uma cifra XOR baseada em MD5. Isto não é encriptação no sentido moderno; é ofuscação e depende inteiramente do segredo e da robustez do segredo partilhado.

As cinco principais classes de vulnerabilidade numa implementação típica de RADIUS são as seguintes.

Vulnerabilidades de Integridade e Colisão MD5. O ataque BlastRADIUS (CVE-2024-3596) explora a ausência de proteção de integridade nos pacotes Access-Request. Como o NAS não inclui um atributo Message-Authenticator por predefinição em muitas configurações, um atacante posicionado como man-in-the-middle pode injetar um atributo manipulado no pacote antes que este chegue ao servidor RADIUS. Ao explorar técnicas de colisão de prefixo escolhido em MD5, o atacante pode manipular o pacote de modo a que o servidor RADIUS calcule um Response Authenticator válido para o pacote modificado, devolvendo um Access-Accept para um pedido que deveria ter sido rejeitado. A mitigação consiste em impor o atributo Message-Authenticator em todos os pacotes Access-Request, o que fornece proteção de integridade HMAC-MD5 sobre a totalidade do pacote. Trata-se de uma alteração de configuração tanto no NAS como no servidor RADIUS, e não apenas de um patch de servidor.

Segredos Partilhados Fracos ou Estáticos. O segredo partilhado é a âncora criptográfica da troca RADIUS. Se for curto, adivinhável ou não tiver sido rodado, um atacante que capture o tráfego RADIUS — viável através de ARP spoofing ou de um dispositivo de rede comprometido — pode realizar um ataque de força bruta offline contra o atributo User-Password. As diretrizes da norma NIST SP 800-63B sobre segredos memorizados aplicam-se aqui: os segredos devem ter um mínimo de 20 caracteres, ser gerados aleatoriamente e ser armazenados num sistema de gestão de segredos. Para infraestruturas de grande dimensão com dezenas ou centenas de dispositivos NAS, a rotação manual é operacionalmente inviável; a automatização através do HashiCorp Vault ou de um gestor de segredos comparável é a abordagem correta.

Transporte UDP Não Encriptado. O RADIUS padrão sobre UDP não oferece confidencialidade na camada de transporte. O atributo User-Password é ofuscado, mas não encriptado. Todos os outros atributos — incluindo o nome de utilizador, o IP do NAS e os metadados da sessão — são transmitidos em texto simples. O RadSec (RADIUS sobre TLS), definido no RFC 6614 e atualizado no RFC 7360, resolve este problema ao encapsular o protocolo RADIUS numa sessão TLS 1.2 ou TLS 1.3 sobre a porta TCP 2083. O RadSec fornece autenticação mútua por certificado entre o NAS e o servidor RADIUS, encriptação total do payload e proteção contra ataques de repetição. É o transporte correto para qualquer tráfego RADIUS que atravesse uma fronteira de rede não confiável.

Seleção do Método EAP. O Extensible Authentication Protocol (EAP) define o método de autenticação interno utilizado na estrutura 802.1X. O EAP-MD5 foi descontinuado e deve ser removido de todas as implementações imediatamente — não fornece autenticação mútua nem proteção contra a recolha de credenciais. O PEAP (Protected EAP) e o EAP-TTLS estabelecem um túnel TLS utilizando um certificado de servidor antes de transmitir as credenciais, fornecendo autenticação mútua e protegendo o método interno contra a espionagem. O EAP-TLS elimina totalmente as palavras-passe, exigindo que tanto o servidor como o cliente apresentem certificados X.509. É imune a ataques de phishing e de força bruta, sendo o método recomendado para ambientes de alta segurança.

Registo e Monitorização Insuficientes. O registo de atividade (accounting) RADIUS regista todos os eventos de autenticação — sucesso, falha, início de sessão, fim de sessão. Estes dados são operacionalmente valiosos para o planeamento de capacidade e comercialmente valiosos para WiFi Analytics , mas são também uma fonte crítica de telemetria de segurança. Picos de falhas de autenticação, autenticações a partir de endereços MAC inesperados e padrões de acesso fora de horas são todos detetáveis a partir dos registos de atividade RADIUS. A maioria das organizações não está a integrar estes dados num SIEM, e as que o fazem, frequentemente não têm limiares de alerta configurados.

O Ataque BlastRADIUS em Detalhe

O BlastRADIUS foi divulgado em julho de 2024 por investigadores da Universidade de Boston e da Universidade da Califórnia em San Diego. O ataque requer uma posição de man-in-the-middle entre o NAS e o servidor RADIUS — realizável através de envenenamento ARP num segmento de rede partilhado, um router comprometido ou um utilizador interno malicioso com acesso à rede.

O ataque processa-se da seguinte forma: o atacante interpeta um pacote Access-Request do NAS. Como o pacote carece de um atributo Message-Authenticator (o padrão em muitas configurações), o atacante tem a liberdade de modificar a lista de atributos do pacote. Utilizando uma colisão de prefixo escolhido em MD5, o atacante cria um pacote modificado que, quando processado pelo servidor RADIUS, produz o mesmo Response Authenticator que o pacote original produziria. O servidor, portanto, devolve um Access-Accept para um pedido que contém atributos controlados pelo atacante — incluindo um Service-Type de Administrative, que concede acesso total à rede.

O ataque é viável contra implementações PEAP e EAP-TTLS onde o método interno utiliza MSCHAPv2. Não afeta implementações EAP-TLS, porque a autenticação mútua baseada em certificados fornece uma proteção de integridade que o MD5 não consegue comprometer.

Para organizações que executam Guest WiFi em conjunto com o 802.1X corporativo, a instância RADIUS da rede de convidados também deve ser corrigida, mesmo que utilize MAC Authentication Bypass em vez de EAP. A higiene do segredo partilhado e os requisitos do Message-Authenticator aplicam-se de igual forma.

Guia de Implementação

Fase 1: Remediação Imediata (Semanas 1–2)

A primeira prioridade é a aplicação de patches. O FreeRADIUS 3.2.5 e o 3.0.27 incluem a correção para o BlastRADIUS e impõem o Message-Authenticator por predefinição. O Cisco ISE 3.1 Patch 8, 3.2 Patch 4 e 3.3 Patch 1 abordam a vulnerabilidade. A Microsoft lançou o KB5040434 para o Windows Server 2022 NPS em julho de 2024. Verifique as suas versões atuais e aplique os patches na sua próxima janela de alteração agendada.

Simultaneamente, audite o firmware dos seus dispositivos NAS. A imposição do Message-Authenticator só é eficaz se o NAS também enviar o atributo. Verifique os avisos de segurança dos fabricantes dos seus pontos de acesso e switches — a Aruba, Ruckus, Cisco e Juniper lançaram atualizações de firmware que abordam o BlastRADIUS. Se utiliza hardware Ruckus, o wireless access point Ruckus guide fornece o contexto relevante para a gestão de firmware.

Para a resolução de problemas em Troubleshooting Windows 11 802.1X Authentication Issues que possam surgir após a aplicação do patch, a causa mais comum é o servidor NPS rejeitar ligações de clientes que não incluem o Message-Authenticator — um comportamento de segurança correto que pode exigir a reconfiguração do suplicante em clientes Windows mais antigos.

Fase 2: Higiene do Segredo Partilhado (Semanas 2–4)

Exporte a lista completa de clientes NAS registados no seu servidor RADIUS. Para cada entrada, registe o comprimento do segredo partilhado e a data da última alteração. Qualquer segredo com menos de 20 caracteres ou inalterado há mais de 24 meses deve ser rodado imediatamente.

Para novos segredos, utilize um gerador criptograficamente aleatório — openssl rand -base64 32 produz uma string base64 de 44 caracteres adequada para utilização como segredo partilhado RADIUS. Armazene todos os segredos num sistema de gestão de segredos. Implemente um calendário de rotação: anualmente para dispositivos NAS de baixo risco, a cada seis meses para dispositivos NAS no âmbito do PCI DSS.

Fase 3: Racionalização do Método EAP (Meses 1–2)

Audite os métodos EAP permitidos no seu servidor RADIUS. Desative o EAP-MD5. Se estiver a executar PEAP-MSCHAPv2, verifique se a validação do certificado do servidor é imposta em todos os suplicantes — um suplicante mal configurado que aceite qualquer certificado de servidor é vulnerável a ataques de servidores RADIUS falsos. Para ambientes no âmbito do PCI DSS, o EAP-TLS é o caminho recomendado. Inicie o planeamento de PKI se não possuir uma infraestrutura de certificados existente.

Para a segurança em Securing Guest WiFi Networks , note que as redes de convidados utilizam normalmente autenticação por Captive Portal em vez de 802.1X, pelo que o reforço do método EAP se aplica principalmente a SSIDs corporativos e de colaboradores.

Fase 4: Implementação de RadSec (Meses 2–3)

Identifique todos os caminhos de tráfego RADIUS que cruzam limites de rede não confiáveis. Os cenários comuns incluem: um servidor RADIUS central que atende propriedades hoteleiras remotas através da internet; um serviço RADIUS alojado na nuvem acedido por dispositivos NAS locais; e cadeias de proxy RADIUS onde o tráfego passa por múltiplos domínios de rede.

Para cada caminho identificado, configure o RadSec. No FreeRADIUS, isto requer a ativação do listener tls na porta 2083 e a configuração de TLS mútuo com certificados da sua PKI. No Cisco ISE, o RadSec é configurado em Administration > Network Devices. Garanta que o TLS 1.2 é a versão mínima; desative explicitamente o TLS 1.0 e 1.1.

Fase 5: MFA para Acesso Administrativo (Mês 2–3)

A interface de gestão do servidor RADIUS é um alvo de alto valor. Um atacante que comprometa o servidor RADIUS pode modificar políticas de autenticação, extrair segredos partilhados e redirecionar o tráfego de autenticação. Imponha MFA para todos os inícios de sessão administrativos no servidor RADIUS e no seu sistema operativo subjacente. Restrinja o acesso de gestão a uma VLAN de gestão dedicada fora de banda (out-of-band). Implemente o controlo de acessos baseado em funções: os engenheiros de rede não devem ter os mesmos privilégios que os administradores de segurança.

Fase 6: Integração com SIEM e Alertas (Mês 3–4)

Configure o seu servidor RADIUS para encaminhar os registos de accounting para o seu SIEM em tempo real. Defina os seguintes limites de alerta como base de referência:

Boas Práticas

As seguintes recomendações representam o consenso do IEEE 802.1X, NIST SP 800-63B, PCI DSS v4.0 e avisos de segurança dos fabricantes.

Gestão de Certificados. Qualquer implementação que utilize EAP-TLS ou RadSec possui certificados X.509 no caminho de autenticação. A expiração de certificados é a causa individual mais comum de falhas de autenticação súbitas e totais em implementações de WiFi empresariais. Implemente a gestão automatizada do ciclo de vida dos certificados. Defina alertas de monitorização para 90, 30 e 7 dias antes da expiração. Para certificados de servidor RADIUS, utilize um tamanho mínimo de chave de RSA de 2048 bits ou ECDSA de 256 bits, com algoritmos de assinatura SHA-256 ou superior. Não utilize SHA-1.

Segmentação de Rede. O servidor RADIUS deve residir num segmento de rede de gestão dedicado, isolado tanto da rede de convidados como da rede corporativa geral. O acesso às portas RADIUS (UDP 1812, 1813, TCP 2083 para RadSec) deve ser restringido por ACL de firewall aos endereços IP específicos dos dispositivos NAS registados. Sem acesso direto da internet às portas RADIUS. Redundância e Alta Disponibilidade. Um único servidor RADIUS é um ponto único de falha para toda a sua infraestrutura de controlo de acesso à rede. Implemente no mínimo dois servidores RADIUS numa configuração ativo-passivo ou ativo-ativo. Para implementações em Hospitalidade com requisitos de conectividade de hóspedes 24/7, o tempo de inatividade do servidor RADIUS é diretamente equivalente ao tempo de inatividade do WiFi dos hóspedes — um risco reputacional e comercial.

WPA3 e 802.1X. O WPA3-Enterprise exige a utilização do modo de segurança de 192 bits para implementações governamentais e de alta segurança, exigindo AES-256-GCMP para encriptação de dados e HMAC-SHA-384 para autenticação. Para a maioria das implementações empresariais, o WPA3-Enterprise com segurança padrão de 128 bits é uma melhoria significativa em relação ao WPA2-Enterprise, particularmente em combinação com EAP-TLS. Os ambientes de Retalho que processam pagamentos com cartão devem tratar a adoção do WPA3-Enterprise como uma medida de redução de risco PCI DSS.

Cadência de Patches do Fornecedor. Subscreva os avisos de segurança do seu fornecedor de servidores RADIUS e dos seus fornecedores de dispositivos NAS. O FreeRADIUS, a Cisco, a Microsoft, a Aruba e a Ruckus publicam notificações CVE. Integre-as no seu programa de gestão de vulnerabilidades com um SLA definido: vulnerabilidades críticas (CVSS ≥ 9.0) corrigidas em 72 horas; vulnerabilidades elevadas (CVSS 7.0–8.9) em 14 dias.

Resolução de Problemas e Mitigação de Riscos

Modos de Falha Comuns

Falhas de Autenticação Pós-Patch. Após a aplicação de patches BlastRADIUS, alguns dispositivos NAS podem falhar na autenticação se o seu firmware não suportar o Message-Authenticator. Sintomas: aumento súbito nas respostas Access-Reject sem alteração nas credenciais do utilizador. Diagnóstico: ative o registo de depuração (debug) do RADIUS e verifique se existem erros de "Message-Authenticator required but not present". Resolução: atualize o firmware do NAS ou, como medida temporária, configure o servidor RADIUS para aceitar pedidos sem Message-Authenticator de IPs NAS específicos enquanto as atualizações de firmware são agendadas.

Falhas de Validação de Certificados em EAP-TLS. Sintomas: os clientes recebem "Falha na Autenticação" sem o correspondente Access-Reject nos registos do RADIUS. Diagnóstico: verifique a cadeia de certificados do servidor RADIUS — a CA emissora é fidedigna para o suplicante do cliente? O certificado do servidor está dentro do seu período de validade? Resolução: garanta que a cadeia de certificados completa (folha + intermédio + raiz) está configurada no servidor RADIUS. Distribua o certificado da CA raiz para os dispositivos dos clientes via MDM ou Política de Grupo (Group Policy).

Falhas no Handshake TLS do RadSec. Sintomas: os dispositivos NAS falham no estabelecimento de ligações RadSec após alteração de configuração. Diagnóstico: verifique a compatibilidade da versão TLS — o firmware NAS mais antigo pode não suportar TLS 1.2. Verifique a autenticação mútua de certificados — ambas as extremidades devem confiar na CA uma da outra. Resolução: verifique o suporte da versão TLS nas notas de lançamento do firmware do NAS; garanta que os certificados dos dispositivos NAS são emitidos pela mesma CA fidedigna pelo servidor RADIUS. Incompatibilidade de Shared Secret. Sintomas: todas as autenticações de um NAS específico falham com erros de "Invalid authenticator". Diagnóstico: incompatibilidade de shared secret entre a configuração do NAS e o registo de cliente do servidor RADIUS. Resolução: reintroduza o shared secret em ambos os lados, garantindo que não existem espaços no final ou problemas de codificação de caracteres. Utilize copiar-colar a partir de um gestor de segredos para evitar erros de transcrição.

Registo de Riscos

ROI e Impacto no Negócio

Quantificar o Risco

A justificação financeira para o reforço de segurança do RADIUS é simples quando enquadrada face aos custos de uma violação de dados. O custo médio de uma violação de dados no Reino Unido em 2024 foi de £3,58 milhões, incluindo coimas regulamentares, remediação, custos legais e danos na reputação. Para as organizações no âmbito do PCI DSS — o que inclui praticamente todos os operadores de Retalho e Hotelaria que processam pagamentos com cartão através de WiFi —, uma violação do controlo de acesso à rede que exponha dados de titulares de cartões desencadeia uma investigação forense obrigatória, potenciais coimas das marcas de cartões e a eventual suspensão dos privilégios de processamento de cartões.

Para as organizações de Saúde , uma violação do GDPR que envolva dados de doentes acedidos através de um servidor RADIUS comprometido acarreta coimas de até 4% do volume de negócios anual global ao abrigo do Artigo 83.º, n.º 5. O historial de aplicação de sanções do ICO demonstra que as falhas de segurança de rede são tratadas como negligência e não como acidentes técnicos.

Referências de Custos de Implementação

As seguintes estimativas de custos são indicativas para uma infraestrutura empresarial de 500 dispositivos:

Investimento total de reforço de segurança para uma infraestrutura de média dimensão: aproximadamente £20.000–£45.000. Face a uma base de custo de violação de dados de £3,58 milhões, o ROI ajustado ao risco é convincente, mesmo com estimativas baixas de probabilidade de violação.

Benefícios Operacionais Além da Segurança

Uma infraestrutura RADIUS robustecida também oferece benefícios operacionais. Uma autenticação fiável e bem monitorizada reduz os pedidos de suporte relacionados com a conectividade WiFi. Os dados de contabilização RADIUS, quando integrados com o WiFi Analytics , proporcionam visibilidade ao nível da sessão sobre os padrões de utilização da rede, tempos de permanência e tipos de dispositivos — dados que têm valor comercial direto para os operadores de espaços nos setores de Hospitality e Transport .

Para as organizações do setor público e de Healthcare , um programa documentado de robustecimento do RADIUS fornece provas de controlos técnicos para as avaliações Cyber Essentials Plus, ISO 27001 e NHS DSPT — reduzindo a carga de auditoria e demonstrando a devida diligência perante os reguladores.