Saltar para o conteúdo principal

Mitigando Vulnerabilidades RADIUS: Um Guia de Fortalecimento de Segurança

Este guia fornece uma referência abrangente e prática para gestores de TI, arquitetos de rede e CTOs responsáveis pela infraestrutura de WiFi empresarial em ambientes de hotelaria, retalho, eventos e setor público. Abrange toda a superfície de ataque das implementações de servidores RADIUS - desde vulnerabilidades de colisão MD5 e segredos partilhados fracos até transporte UDP não encriptado e métodos EAP mal configurados - e apresenta um roteiro de fortalecimento prioritário alinhado com os requisitos IEEE 802.1X, PCI DSS e GDPR. As organizações que implementarem estas recomendações reduzirão materialmente a sua exposição a ataques de rede baseados em credenciais, cumprirão as obrigações de conformidade e construirão uma postura de segurança defensável para a sua infraestrutura de WiFi de convidados e corporativa.

📖 12 min de leitura📝 2,764 palavras🔧 2 exemplos práticos3 perguntas de prática📚 10 definições principais

Ouça este guia

Ver transcrição do podcast
MITIGAÇÃO DE VULNERABILIDADES RADIUS: UM GUIA DE REFORÇO DE SEGURANÇA Um Briefing de Informação da Purple WiFi [INTRODUÇÃO — aprox. 1 minuto] Bem-vindo. Sou o seu anfitrião para o briefing de hoje e, nos próximos dez minutos, vamos diretos ao cerne de algo que mantém muitos arquitetos de rede e gestores de TI acordados à noite: a segurança do servidor RADIUS. Se gere WiFi empresarial num complexo hoteleiro, numa cadeia de retalho, num estádio ou num edifício do setor público, a sua infraestrutura RADIUS é um dos componentes mais críticos - e mais frequentemente negligenciados - na sua postura de segurança. Vamos a isso. [CONTEXTO — aprox. 1 minuto] O RADIUS - Remote Authentication Dial-In User Service - tem sido a espinha dorsal do controlo de acesso à rede desde meados dos anos noventa. É o protocolo que se situa entre os seus pontos de acesso e o seu diretório de identidade, decidindo quem entra na rede e quem não entra. O IEEE 802.1X, que sustenta virtualmente todas as implementações de autenticação empresarial WiFi e com fios, depende do RADIUS para funcionar. O problema é que o RADIUS foi concebido numa era em que o cenário de ameaças parecia muito diferente. O protocolo utiliza UDP, que é orientado a não ligação e, portanto, mais difícil de proteger. O seu mecanismo de autenticação central baseou-se historicamente no hashing MD5 - um algoritmo criptográfico que está comprovadamente quebrado desde 2004. E os segredos partilhados, as chaves pré-partilhadas que autenticam os seus pontos de acesso no seu servidor RADIUS, são frequentemente definidos uma vez e nunca mais são rodados. Em 2024, investigadores publicaram um ataque prático contra o RADIUS chamado BlastRADIUS - um ataque do tipo "man-in-the-middle" que explora a vulnerabilidade MD5 para forjar respostas de autenticação. Isto não é teórico. É um vetor de ataque real e documentado que afeta implementações que executam FreeRADIUS não corrigido, Cisco ISE e Microsoft NPS. Se não aplica patches desde meados de 2024, está exposto. As implicações comerciais são significativas. Um servidor RADIUS comprometido não significa apenas acesso não autorizado ao WiFi. Significa que um atacante pode autenticar-se como qualquer utilizador na sua rede, contornar a segmentação de rede e potencialmente aceder a sistemas de pagamento, registos de doentes ou tecnologia operacional. Para ambientes de retalho que processam pagamentos com cartão, isso é uma violação direta do PCI-DSS. Para a saúde, é um problema de GDPR e de governação clínica. Para a hotelaria, traduz-se em danos para a marca e potenciais coimas regulatórias. [ANÁLISE TÉCNICA DETALHADA — aprox. 5 minutos] Vamos analisar a superfície de ataque de forma sistemática. A primeira classe de vulnerabilidade é o risco de colisão MD5. O RADIUS utiliza MD5 para proteger o atributo User-Password e para gerar o campo Response Authenticator. O MD5 produz um hash de 128 bits, e os ataques de colisão - nos quais duas entradas diferentes produzem o mesmo hash - têm sido viáveis desde 2004. O ataque BlastRADIUS explora especificamente a falta de proteção de integridade nos pacotes Access-Request. Um atacante posicionado entre o seu dispositivo NAS - o seu servidor de acesso à rede, normalmente o seu ponto de acesso ou switch - e o seu servidor RADIUS pode injetar um atributo concebido especificamente para o efeito no pacote e forçar o servidor a retornar um Access-Accept, mesmo para uma credencial inválida. A correção aqui é dupla: atualize o seu servidor RADIUS para a versão mais recente e imponha o Message-Authenticator em todos os pacotes Access-Request. O FreeRADIUS 3.2.5 e posteriores exigem isto por predefinição. A segunda classe de vulnerabilidade são os segredos partilhados fracos ou estáticos. O segredo partilhado é a chave pré-partilhada entre o seu NAS e o seu servidor RADIUS. Se for curto, vulnerável a ataques de dicionário ou se não for rodado há anos, é um risco. O RADIUS utiliza este segredo para encriptar o atributo User-Password e para gerar o Response Authenticator. Um segredo partilhado fraco significa que um atacante que capture o tráfego RADIUS - o que é trivial numa rede que já tenha sido parcialmente comprometida - pode decifrar a palavra-passe offline através de força bruta. A melhor prática é um mínimo de 32 caracteres, gerados aleatoriamente e rodados pelo menos anualmente. Automatize esta rotação; fazê-lo manualmente numa grande infraestrutura é propício a erros. A terceira classe de vulnerabilidade é o transporte não encriptado. O RADIUS padrão funciona sobre UDP na porta 1812 para autenticação e 1813 para contabilização. O UDP não oferece encriptação na camada de transporte, nem verificação de integridade, nem proteção contra repetição além do que o próprio RADIUS implementa - o que, como estabelecemos, é insuficiente. O RadSec, formalmente definido na RFC 6614, envolve o RADIUS em TLS 1.2 ou 1.3 sobre a porta TCP 2083. Isto fornece autenticação mútua através de certificados, encriptação total do payload RADIUS e proteção contra repetição. Se estiver a executar RADIUS em qualquer segmento de rede não confiável - incluindo através de uma ligação WAN entre um local remoto e um servidor RADIUS central - o RadSec não é opcional. É um requisito. A quarta classe de vulnerabilidade é a seleção do método EAP. Nem todos os métodos EAP são iguais. O EAP-MD5 deve ser considerado obsoleto - não fornece autenticação mútua nem encriptação da troca de autenticação. O PEAP e o EAP-TTLS são aceitáveis para a maioria das implementações empresariais, pois estabelecem um túnel TLS antes de transmitir credenciais e suportam autenticação mútua através de certificados de servidor. O EAP-TLS é o padrão de excelência: exige que tanto o servidor como o cliente apresentem certificados, eliminando totalmente a palavra-passe da troca de autenticação. Isto torna-o imune a phishing de credenciais e a ataques de força bruta. O custo operacional de implementar uma PKI para emitir certificados de cliente é real, mas para ambientes de alta segurança - redes de cuidados de saúde, zonas de processamento de pagamentos, sistemas internos de retalho - é a decisão correta. A quinta classe de vulnerabilidade é a monitorização e registo de logs insuficientes. Os dados de contabilidade RADIUS são uma mina de ouro para a deteção de ameaças, e a maioria das organizações não os está a utilizar. Cada tentativa de autenticação, com sucesso ou falhada, gera um registo de contabilidade. Padrões de autenticações falhadas, autenticações a partir de endereços MAC inesperados ou autenticações a horas invulgares são todos indicadores de comprometimento. Integre o seu fluxo de contabilidade RADIUS no seu SIEM. Defina alertas para mais de cinco autenticações falhadas a partir de um único endereço MAC em sessenta segundos. Monitorize picos de Access-Reject, que podem indicar um ataque de credential stuffing em curso. [RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ERROS COMUNS - aprox. 2 minutos] Permita-me apresentar-lhe uma sequência prática para um projeto de reforço de segurança. Comece pela aplicação de patches. Isto é inegociável e deve ser feito na sua próxima janela de alteração. O FreeRADIUS, o Cisco ISE e o Microsoft NPS lançaram patches para o BlastRADIUS em julho de 2024. Verifique a sua versão, aplique o patch e certifique-se de que a aplicação do Message-Authenticator está ativa. De seguida, audite os seus segredos partilhados. Obtenha a lista de todos os dispositivos NAS registados no seu servidor RADIUS. Para cada um, verifique o comprimento e a idade do segredo partilhado. Qualquer um com menos de 20 carateres ou com mais de dois anos deve ser alterado imediatamente. Utilize um gestor de palavras-passe ou um cofre de segredos - o HashiCorp Vault funciona bem aqui - para armazenar e rodar estes segredos de forma programática. Em terceiro lugar, avalie o seu método EAP. Se estiver a executar EAP-MD5 em qualquer lugar, migre para fora dele agora. O PEAP-MSCHAPv2 é uma posição provisória razoável para a maioria dos ambientes empresariais. Se tiver a infraestrutura PKI, o EAP-TLS é o estado-alvo. Em quarto lugar, implemente o RadSec para qualquer tráfego RADIUS que atravesse segmentos de rede não fidedignos. Isto é particularmente relevante para implementações em vários locais, onde um servidor RADIUS central serve locais remotos através da Internet ou de uma WAN partilhada. Em quinto lugar, ative a autenticação de dois fatores para o acesso privilegiado ao próprio servidor RADIUS. A interface de gestão do servidor é um alvo de alto valor. Imponha MFA para todos os inícios de sessão administrativos e restrinja o acesso de gestão a uma rede de gestão out-of-band dedicada. Agora, as armadilhas. O erro mais comum que vejo é as organizações aplicarem patches no servidor RADIUS, mas deixarem os dispositivos NAS com firmware antigo que não suporta o Message-Authenticator. O patch só é eficaz se ambas as extremidades o impuserem. Audite o firmware do seu ponto de acesso e switch como parte do mesmo projeto. A segunda armadilha comum é a expiração do certificado. Se estiver a executar EAP-TLS ou RadSec, tem certificados em jogo. Um certificado de servidor RADIUS que expire silenciosamente fará com que todas as autenticações na sua rede falhem simultaneamente. Integre a monitorização de expiração de certificados no seu manual operacional. Defina alertas para 90, 30 e 7 dias antes da expiração. A terceira armadilha é a dependência excessiva da segmentação de rede como controlo de compensação. A segmentação é importante, mas não protege contra um atacante que já se tenha autenticado através de um servidor RADIUS comprometido. Defesa em profundidade significa que precisa do endurecimento do RADIUS, bem como da segmentação. [PERGUNTAS E RESPOSTAS RÁPIDAS - aprox. 1 minuto] Pergunta: Preciso de RadSec se o meu servidor RADIUS estiver na mesma LAN que os meus pontos de acesso? Resposta: Se estiverem na mesma VLAN de gestão fidedigna e segmentada, sem dispositivos não fidedignos, o RADIUS padrão sobre UDP é aceitável para o troço NAS-servidor. Mas se houver alguma possibilidade de movimento lateral de um dispositivo comprometido atingir essa VLAN, o RadSec adiciona uma proteção significativa a um custo baixo. Pergunta: Estamos a executar o Microsoft NPS. Somos afetados pelo BlastRADIUS? Resposta: Sim. A Microsoft lançou um patch em julho de 2024. Aplique-o. Imponha também a chave de registo RequireMessageAuthenticator no seu servidor NPS. Pergunta: Como lidar com o WiFi de convidados? Os convidados não têm certificados. Resposta: O WiFi de convidados utiliza normalmente um modelo de Captive Portal em vez do 802.1X, pelo que o RADIUS é utilizado de forma diferente - muitas vezes apenas para bypass de autenticação MAC ou contabilização. Aplica-se a mesma higiene de patches e segredos partilhados, mas o EAP-TLS não é relevante para o acesso de convidados não autenticados. Foque-se em isolar a instância RADIUS de convidados da sua infraestrutura RADIUS corporativa. Pergunta: Qual é o caso de ROI para uma migração completa para EAP-TLS? Resposta: Quantifique-o face ao seu risco de violação. Uma única violação de PCI-DSS custa, em média, quatro milhões de libras em multas, remediação e danos de reputação. Uma implementação de PKI para um parque de 500 dispositivos custa cerca de 15 000 a 30 000 libras em ferramentas e serviços profissionais. A matemática é simples. [RESUMO E PRÓXIMOS PASSOS - aprox. 1 minuto] Deixo-vos com cinco coisas a fazer este trimestre. Um: Aplique o patch de segurança no seu servidor RADIUS e em todos os dispositivos NAS para o BlastRADIUS. Faça isto primeiro. Dois: Audite e rode todos os segredos partilhados. Automatize a rotação daqui para a frente. Três: Imponha o Message-Authenticator em todos os pacotes Access-Request. Quatro: Implemente RadSec para qualquer tráfego RADIUS que atravesse fronteiras de rede não fidedignas. Cinco: Integre os registos de accounting RADIUS no seu SIEM e defina alertas de anomalias. A segurança RADIUS não é glamorosa, mas é fundamental. Garanta estes cinco pontos e fechará os vetores de ataque mais significativos contra a sua infraestrutura de controlo de acesso à rede. Obrigado por nos ouvir. Para saber mais sobre arquitetura de segurança WiFi empresarial, visite purple.ai. Este foi um Briefing de Inteligência Purple WiFi.

header_image.png

Resumo Executivo

O RADIUS (Remote Authentication Dial-In User Service) continua a ser o protocolo principal para controlo de acesso à rede em implementações de WiFi empresariais, servindo de base para a autenticação IEEE 802.1X em hotéis, espaços de retalho, estádios, centros de conferências e edifícios do setor público. No entanto, a arquitetura do RADIUS remonta à década de 1990 e várias das suas decisões de design fundamentais - dependência de hash MD5, transporte UDP sem encriptação nativa e segredos partilhados estáticos - tornaram-se riscos significativos no ambiente de ameaças atual.

Em julho de 2024, a vulnerabilidade BlastRADIUS (CVE-2024-3596) demonstrou que um atacante em modo man-in-the-middle pode forjar respostas Access-Accept do RADIUS, explorando fraquezas de integridade do MD5 em pacotes Access-Request. A vulnerabilidade afeta todas as principais implementações de RADIUS, incluindo FreeRADIUS, Cisco ISE e Microsoft NPS. As implementações sem patch continuam em risco.

Este guia fornece um roteiro de reforço de segurança priorizado que abrange a gestão de patches, higiene de segredos partilhados, seleção do método EAP, implementação de RadSec, autenticação multifator para acesso administrativo e integração com SIEM para deteção de anomalias. Foi escrito para profissionais de TI que precisam de tomar decisões defensáveis neste trimestre, e não no próximo ano.

radius_architecture_overview.png

Análise Técnica Detalhada

Como o RADIUS funciona e onde é fraco

O RADIUS opera como um protocolo cliente-servidor entre um servidor de acesso à rede (NAS) - tipicamente um ponto de acesso WiFi, switch ou concentrador VPN - e um servidor RADIUS, que valida as credenciais num repositório de identidades de backend, como o Active Directory ou LDAP. A troca de autenticação segue o modelo de pedido-desafio-resposta definido na norma RFC 2865, sendo a faturação gerida separadamente ao abrigo da norma RFC 2866.

O protocolo transmite pacotes de autenticação através de UDP, utilizando a porta 1812 para autenticação e a 1813 para faturação. O segredo partilhado - a chave pré-partilhada configurada tanto no NAS como no servidor RADIUS - é utilizado para gerar o campo Response Authenticator e para encriptar o atributo User-Password através de uma cifra XOR baseada em MD5. Isto não é encriptação no sentido moderno; é uma ofuscação que depende inteiramente do segredo e da força do segredo partilhado.

As cinco principais categorias de vulnerabilidade numa implementação típica de RADIUS são as seguintes.

Vulnerabilidades de colisão de MD5 e integridade. O ataque BlastRADIUS (CVE-2024-3596) explora a falta de proteção de integridade nos pacotes Access-Request. Dado que muitas configurações não incluem o atributo Message-Authenticator do NAS por padrão, um atacante numa posição de man-in-the-middle pode injetar atributos manipulados antes que o pacote chegue ao servidor RADIUS. Utilizando uma técnica de colisão de prefixo escolhido em MD5, o atacante pode manipular o pacote de forma a que o servidor RADIUS calcule um Response Authenticator válido para o pacote modificado, retornando um Access-Accept para um pedido que deveria ter sido rejeitado. A mitigação passa por impor o atributo Message-Authenticator em todos os pacotes Access-Request, o que fornece proteção de integridade HMAC-MD5 sobre todo o pacote. Isto requer alterações de configuração tanto no NAS como no servidor RADIUS, e não apenas uma correção no servidor.

Segredos partilhados fracos ou estáticos. O segredo partilhado é a âncora criptográfica do intercâmbio RADIUS. Se o segredo for curto, adivinhável ou nunca for rodado, um atacante que capture o tráfego RADIUS (alcançável através de ARP spoofing ou de um dispositivo de rede comprometido) pode decifrar o atributo User-Password por força bruta em modo offline. As diretrizes do NIST SP 800-63B sobre segredos memorizados aplicam-se aqui: os segredos devem ter pelo menos 20 caracteres, ser gerados aleatoriamente e guardados num sistema de gestão de segredos. Para redes de grande dimensão com dezenas ou centenas de dispositivos NAS, a rotação manual é operacionalmente inviável; a automação através do HashiCorp Vault ou de um gestor de segredos semelhante é a abordagem correta.

Transporte UDP não encriptado. O RADIUS padrão sobre UDP não oferece confidencialidade na camada de transporte. O atributo User-Password é ofuscado mas não encriptado. Todos os outros atributos - incluindo nomes de utilizador, IPs de NAS e metadados de sessão - viajam em texto simples. O RadSec (RADIUS sobre TLS), definido no RFC 6614 e atualizado no RFC 7360, resolve este problema ao envolver o protocolo RADIUS num túnel TLS sobre a porta TCP 2083, estabelecendo uma sessão TLS 1.2 ou TLS 1.3. O RadSec fornece autenticação mútua de certificados entre o NAS e o servidor RADIUS, encriptação total da carga útil e proteção contra ataques de repetição. É o transporte correto para qualquer tráfego RADIUS que atravesse um limite de rede não confiável.

Seleção do método EAP. O Extensible Authentication Protocol (EAP) define os métodos de autenticação interna utilizados no âmbito do 802.1X. O EAP-MD5 foi descontinuado e deve ser removido de todas as implementações imediatamente - não fornece autenticação mútua nem resistência a ataques de recolha de credenciais. O PEAP (Protected EAP) e o EAP-TTLS estabelecem um túnel TLS utilizando um certificado de servidor antes de transmitir as credenciais, fornecendo autenticação mútua e protegendo o método interno contra escuta ativa. O EAP-TLS elimina totalmente as palavras-passe, exigindo certificados X.509 tanto no servidor como no cliente. É imune a phishing e a ataques de força bruta, sendo o método recomendado para ambientes de alta segurança. Registo e monitorização insuficientes. O registo de RADIUS regista todos os eventos de autenticação - sucesso, falha, início de sessão, fim de sessão. Estes dados são operacionalmente valiosos para o planeamento de capacidade e comercialmente valiosos para WiFi Analytics , mas são também uma fonte crítica de telemetria de segurança. Picos de falhas de autenticação, autenticações a partir de endereços MAC desconhecidos e padrões de acesso fora de horas são todos detetáveis a partir dos registos de RADIUS. A maioria das organizações não integra estes dados num SIEM, e as que o fazem raramente configuram limiares de alerta.

eap_comparison_chart.png

O ataque BlastRADIUS em detalhe

O BlastRADIUS foi divulgado em julho de 2024 por investigadores da Universidade de Boston e da UC San Diego. O ataque requer uma posição de "man-in-the-middle" entre o NAS e o servidor RADIUS - realizável através de envenenamento de ARP num segmento de rede partilhado, um router comprometido ou um insider malicioso com acesso à rede.

O ataque processa-se da seguinte forma: o atacante intercepta um pacote Access-Request do NAS. Como o pacote carece do atributo Message-Authenticator (o padrão em muitas configurações), o atacante está livre para modificar a lista de atributos do pacote. Utilizando uma colisão de prefixo escolhido MD5, o atacante constrói um pacote modificado para o qual o servidor RADIUS calculará o mesmo Response Authenticator que o original. O servidor, portanto, devolve um Access-Accept para um pedido contendo atributos controlados pelo atacante - incluindo um Service-Type de Administrative que autoriza acesso total à rede.

O ataque é eficaz contra implementações PEAP e EAP-TTLS que utilizam MSCHAPv2 como o método interno. Não afeta implementações EAP-TLS, onde a autenticação mútua baseada em certificados fornece proteção de integridade que o MD5 não consegue subverter.

Para organizações que executam tanto Guest WiFi como 802.1X corporativo, a instância de RADIUS da rede de convidados também deve ser corrigida, mesmo que utilize bypass de autenticação MAC em vez de EAP. A higiene de segredos partilhados e o requisito de Message-Authenticator aplicam-se igualmente.

Guia de Implementação

Fase 1: Correção imediata (semanas 1-2)

A aplicação de patches vem primeiro. O FreeRADIUS 3.2.5 e 3.0.27 contêm as correções para o BlastRADIUS e impõem o Message-Authenticator por predefinição. O Cisco ISE 3.1 Patch 8, 3.2 Patch 4 e 3.3 Patch 1 resolvem a vulnerabilidade. A Microsoft lançou o KB5040434 para Windows Server 2022 NPS em julho de 2024. Verifique as suas versões atuais e aplique as correções na sua próxima janela de alteração programada.

Ao mesmo tempo, audite o firmware dos seus dispositivos NAS. A imposição do Message-Authenticator só é eficaz se o NAS também enviar o atributo. Verifique os avisos dos fornecedores de pontos de acesso e switches - Aruba, Ruckus, Cisco e Juniper lançaram atualizações de firmware para o BlastRADIUS. Se estiver a utilizar hardware Ruckus, o guia de ponto de acesso wireless Ruckus fornece o contexto relevante para a gestão do firmware.

Para a resolução de problemas de autenticação 802.1X no Windows 11 que possam surgir após a aplicação de patches, a causa mais comum é o servidor NPS rejeitar ligações de clientes que não incluem o Message-Authenticator - um comportamento de segurança correto que pode exigir a reconfiguração do suplicante em clientes Windows mais antigos.

Fase 2: Higiene do segredo partilhado (semanas 2 a 4)

Exporte a lista completa de clientes NAS registados nos seus servidores RADIUS. Para cada entrada, registe o comprimento do segredo partilhado e a data da última alteração. Qualquer segredo com menos de 20 caracteres, ou inalterado há mais de 24 meses, deve ser rodado imediatamente.

Para novos segredos, utilize um gerador criptograficamente aleatório - openssl rand -base64 32 produz uma string base64 de 44 caracteres ideal para utilizar como segredo partilhado RADIUS. Armazene todos os segredos num sistema de gestão de segredos. Implemente um calendário de rotação: anualmente para dispositivos NAS de baixo risco, a cada seis meses para dispositivos NAS no âmbito do PCI-DSS.

Fase 3: Racionalização do método EAP (meses 1 a 2)

Audite os métodos EAP que os seus servidores RADIUS permitem. Desative o EAP-MD5. Se estiver a utilizar PEAP-MSCHAPv2, verifique se todos os suplicantes impõem a validação do certificado do servidor - um suplicante mal configurado que aceita qualquer certificado de servidor é vulnerável a ataques de servidores RADIUS falsos. Para ambientes no âmbito do PCI-DSS, recomenda-se o EAP-TLS. Se não tiver uma infraestrutura de certificados existente, inicie o planeamento da PKI.

Para a segurança de redes WiFi de convidados , note que as redes de convidados utilizam tipicamente a autenticação por Captive Portal em vez de 802.1X, pelo que o reforço do método EAP se aplica principalmente a SSIDs corporativos e de funcionários.

Fase 4: Implantação do RadSec (meses 2 a 3)

Identifique todos os caminhos de tráfego RADIUS que cruzam um limite de rede não confiável. Os cenários comuns incluem um servidor RADIUS central a servir hotéis remotos através da Internet; dispositivos NAS locais a aceder a um serviço RADIUS na nuvem; e cadeias de proxy RADIUS onde o tráfego atravessa vários domínios de rede.

Para cada caminho identificado, configure o RadSec. No FreeRADIUS, isto significa ativar o listener tls na porta 2083 e configurar TLS mútuo com certificados da sua PKI. No Cisco ISE, o RadSec é configurado em Administration > Network Devices. Garanta o TLS 1.2 como mínimo; desative explicitamente o TLS 1.0 e 1.1.

Fase 5: Autenticação multifator para acesso administrativo (meses 2 a 3)

A interface de gestão de um servidor RADIUS é um alvo de alto valor. Um atacante que comprometa o servidor RADIUS pode modificar a política de autenticação, extrair segredos partilhados e redirecionar fluxos de autenticação. Force a MFA nos acessos administrativos de todos os servidores RADIUS e respetivos sistemas operativos subjacentes. Restrinja o acesso de gestão a uma VLAN de gestão out-of-band dedicada. Implemente o controlo de acessos baseado em funções: os engenheiros de rede não devem ter os mesmos privilégios que os administradores de segurança.

Fase 6: Integração com SIEM e alertas (meses 3-4)

Configure os seus servidores RADIUS para reencaminhar os registos (logs) de accounting para o seu SIEM em tempo real. Defina os seguintes limiares de alerta de referência:

Alerta Limiar Gravidade
Múltiplas falhas de autenticação a partir de um único endereço MAC >5 em 60 segundos Alta
Pico na taxa de Access-Reject 200% acima da referência de 7 dias Média
Autenticação a partir de um novo endereço MAC num SSID corporativo Primeira ocorrência Média
Certificado do servidor RADIUS próximo do fim da validade 90 / 30 / 7 dias Alta / Crítica / Crítica
Erros de incompatibilidade de segredo partilhado Qualquer ocorrência Alta

Melhores Práticas

As recomendações seguintes sintetizam o consenso entre a IEEE 802.1X, NIST SP 800-63B, PCI DSS v4.0 e avisos de segurança de fornecedores.

Gestão de certificados. Qualquer implementação que utilize EAP-TLS ou RadSec possui certificados X.509 no seu caminho de autenticação. A expiração de certificados é a causa singular mais comum de falhas de autenticação súbitas e totais em implementações de WiFi corporativas. Implemente a gestão automatizada do ciclo de vida dos certificados. Defina alertas de monitorização para 90, 30 e 7 dias antes da expiração. Para certificados de servidores RADIUS, utilize chaves RSA de no mínimo 2048 bits ou ECDSA de 256 bits, e algoritmos de assinatura SHA-256 ou superiores. Não utilize SHA-1.

Segmentação de rede. Os servidores RADIUS devem estar localizados num segmento de gestão dedicado, isolado das redes de convidados e corporativas gerais. O acesso às portas RADIUS (UDP 1812, 1813 e TCP 2083 para RadSec) deve ser restringido por ACL de firewall aos endereços IP específicos dos dispositivos NAS registados. Não permita qualquer acesso direto à internet para as portas RADIUS.

Redundância e alta disponibilidade. Um único servidor RADIUS representa um ponto único de falha para toda a sua infraestrutura de controlo de acessos à rede. Implemente pelo menos dois servidores RADIUS numa configuração ativo-passivo ou ativo-ativo. Para implementações em Hotelaria com requisitos de conectividade de convidados 24/7, a inatividade do servidor RADIUS traduz-se diretamente em inatividade do WiFi de convidados - um risco reputacional e comercial.WPA3 and 802.1X. O WPA3-Enterprise no modo de segurança de 192 bits, exigido para implementações governamentais e de alta segurança, exige AES-256-GCMP para encriptação de dados e HMAC-SHA-384 para autenticação. Para a maioria das implementações empresariais, o WPA3-Enterprise com segurança padrão de 128 bits já é uma melhoria significativa em relação ao WPA2-Enterprise, particularmente quando combinado com EAP-TLS. Os ambientes de Retalho que lidam com pagamentos com cartão devem tratar a adoção do WPA3-Enterprise como uma medida de redução de risco PCI-DSS.

Cadência de patches do fabricante. Subscreva os avisos de segurança do fabricante do seu servidor RADIUS e dos fabricantes dos seus dispositivos NAS. O FreeRADIUS, Cisco, Microsoft, Aruba e Ruckus publicam notificações de CVE. Introduza estas informações no seu programa de gestão de vulnerabilidades com SLAs definidos: vulnerabilidades críticas (CVSS ≥ 9.0) corrigidas em 72 horas; vulnerabilidades de gravidade elevada (CVSS 7.0-8.9) em 14 dias.

Resolução de Problemas e Mitigação de Riscos

Modos de falha comuns

Falhas de autenticação após a aplicação de patches. Após a aplicação de patches BlastRADIUS, alguns dispositivos NAS podem falhar na autenticação se o seu firmware não suportar o Message-Authenticator. Sintoma: um aumento repentino nas respostas Access-Reject sem alteração nas credenciais do utilizador. Diagnóstico: ative o registo de depuração RADIUS e verifique se existem erros do tipo "Message-Authenticator exigido mas não presente". Resolução: atualize o firmware do NAS ou, como medida temporária, configure o servidor RADIUS para aceitar pedidos sem Message-Authenticator de IPs de NAS específicos enquanto as atualizações de firmware são agendadas.

Falhas de validação de certificado no EAP-TLS. Sintoma: os clientes recebem "falha na autenticação" sem o correspondente Access-Reject no registo do RADIUS. Diagnóstico: verifique a cadeia de certificados do servidor RADIUS - a CA emissora é de confiança do suplicante do cliente? O certificado do servidor está dentro do seu período de validade? Resolução: garanta que a cadeia completa de certificados (folha + intermédio + raiz) está configurada no servidor RADIUS. Distribua os certificados da CA raiz para os dispositivos clientes através de MDM ou Política de Grupo.

Falhas no handshake TLS do RadSec. Sintoma: os dispositivos NAS não conseguem estabelecer ligações RadSec após uma alteração de configuração. Diagnóstico: verifique a compatibilidade da versão do TLS - o firmware do NAS mais antigo pode não suportar o TLS 1.2. Verifique a autenticação mútua de certificados - ambas as partes devem confiar na CA uma da outra. Resolução: verifique o suporte da versão TLS nas notas de lançamento do firmware do NAS; garanta que os certificados do dispositivo NAS são emitidos pela mesma CA em que o servidor RADIUS confia.

Incompatibilidade de segredo partilhado. Sintoma: todas as autenticações de um NAS específico falham com erros de "autenticador inválido". Diagnóstico: uma incompatibilidade do segredo partilhado entre a configuração do NAS e a entrada de cliente do servidor RADIUS. Resolução: introduza novamente o segredo partilhado em ambos os lados, verificando se existem espaços em branco no final ou problemas de codificação de caracteres. Copie e cole a partir do seu gestor de segredos para evitar erros de transcrição.

Registo de riscos

Risco Probabilidade Impacto Controlos de mitigação
Exploração BlastRADIUS Alta (se não corrigido) Crítica Correção + aplicação de Message-Authenticator
Brute-force de segredo partilhado Média Alta Segredos aleatórios de 32 caracteres, rotação anual
Servidor RADIUS fraudulento Média Alta Autenticação mútua EAP-TLS, certificate pinning
Expiração de certificado do servidor RADIUS Alta Crítica Monitorização automatizada, alertas com 90 dias de antecedência
Credential stuffing via 802.1X Média Alta Política de bloqueio de conta, alertas SIEM
Compromisso de servidor RADIUS Baixa Crítica MFA no acesso de administrador, segmentação de rede

ROI e Impacto no Negócio

Quantificar o risco

O caso financeiro para a robustez de RADIUS é mais claro quando comparado com os custos de uma violação. O custo médio de uma violação de dados no Reino Unido em 2024 foi de £3,58 milhões, cobrindo multas regulatórias, remediação, custos legais e danos à reputação. Para organizações no âmbito do PCI-DSS - efetivamente todos os operadores de Retail e Hospitality que aceitam pagamentos com cartão através de WiFi - uma violação de controlo de acesso à rede que exponha dados de titulares de cartões desencadeia uma investigação forense obrigatória, potenciais multas das marcas de cartões e a possível suspensão dos direitos de processamento de cartões.

Para organizações de Healthcare , uma violação de GDPR que envolva dados de pacientes acedidos através de um servidor RADIUS comprometido acarreta multas de até 4% da faturação anual global ao abrigo do Artigo 83(5). O histórico de aplicação do ICO demonstra que as falhas de segurança de rede são tratadas como negligência, e não como infortúnio técnico.

Referências de custos de implementação

As seguintes estimativas de custos pressupõem uma rede corporativa de 500 dispositivos:

Atividade de robustez Custo estimado Cronograma
Correção (FreeRADIUS / NPS / ISE) Apenas mão de obra interna 1 a 2 semanas
Auditoria e rotação de segredo partilhado Mão de obra interna + licença de gestor de segredos (~£2.000/ano) 2 a 4 semanas
Implantação de PKI EAP-TLS £15.000 - £30.000 (ferramentas + serviços profissionais) 2 a 3 meses
Implementação de RadSec Mão de obra interna + custos de certificado (~£1.500) 4 a 6 semanas
Integração SIEM e alertas Depende do SIEM existente; £0 - £10.000 4 a 8 semanas

O investimento total de robustez para uma média empresa é de aproximadamente £20.000 - £45.000. Contra a base de custo de violação de £3,58 milhões, o ROI ajustado ao risco é convincente mesmo sob suposições conservadoras de probabilidade de violação.

Benefícios operacionais além da segurança

Uma infraestrutura RADIUS robusta também traz dividendos operacionais. Uma autenticação fiável e bem monitorizada reduz os pedidos de suporte técnico relacionados com a conectividade WiFi. Os dados de contabilização RADIUS, quando integrados com WiFi Analytics , fornecem visibilidade ao nível da sessão sobre padrões de utilização da rede, tempos de permanência e tipos de dispositivos - dados com valor comercial direto para operadores de locais em ambientes de Hospitality e Transport . Para organizações do setor público e de Saúde , um programa documentado de hardening de RADIUS fornece evidências de controlos técnicos para as avaliações Cyber Essentials Plus, ISO 27001 e NHS DSPT - reduzindo o esforço de auditoria e demonstrando a devida diligência perante os reguladores.

Definições Principais

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo cliente-servidor definido no RFC 2865 que fornece autenticação, autorização e contabilidade (AAA) centralizadas para acesso à rede. Os servidores RADIUS validam as credenciais enviadas pelos dispositivos de rede (NAS) contra um repositório de identidade backend, como o Active Directory ou LDAP.

As equipas de IT encontram o RADIUS como o backend de autenticação para WiFi 802.1X, autenticação de portas com fios, acesso VPN e gestão de dispositivos de rede. É o protocolo que decide quem entra na rede.

IEEE 802.1X

Uma norma IEEE para controlo de acesso à rede baseado em portas que define o encapsulamento de EAP sobre LAN (EAPOL). Fornece uma estrutura de autenticação para redes com e sem fios, exigindo que os dispositivos se autentiquem antes de lhes ser concedido acesso à rede.

O 802.1X é a norma que faz a autenticação de WiFi empresarial funcionar. Quando um funcionário se liga a um SSID corporativo e lhe são pedidas credenciais, o 802.1X é a estrutura que orquestra essa troca, com o RADIUS como backend.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Um método EAP que utiliza certificados X.509 para autenticação mútua entre o cliente e o servidor RADIUS. Ambas as partes devem apresentar certificados válidos, eliminando totalmente as palavras-passe da troca de autenticação.

O EAP-TLS é o padrão de excelência para autenticação WiFi empresarial. É imune a phishing de credenciais e a ataques de força bruta. O requisito operacional é uma infraestrutura PKI para emitir e gerir certificados de cliente.

RadSec (RADIUS over TLS)

Um protocolo definido no RFC 6614 que encapsula pacotes RADIUS dentro de uma sessão TLS sobre a porta TCP 2083. Fornece encriptação na camada de transporte, autenticação mútua de certificados e proteção contra repetição para tráfego RADIUS.

O RadSec é obrigatório para qualquer tráfego RADIUS que atravesse uma fronteira de rede não confiável - ligações WAN, ligações à internet ou infraestrutura de rede partilhada. É a substituição correta para o RADIUS padrão sobre UDP em implementações multi-site.

BlastRADIUS (CVE-2024-3596)

Um ataque man-in-the-middle revelado em julho de 2024 que explora a ausência de proteção de integridade nos pacotes RADIUS Access-Request. Utilizando técnicas de colisão de prefixo escolhido MD5, um atacante pode forjar uma resposta Access-Accept, concedendo acesso à rede a um utilizador não autenticado.

O BlastRADIUS afeta todas as principais implementações de RADIUS, incluindo FreeRADIUS, Cisco ISE e Microsoft NPS. As organizações que não aplicaram as correções lançadas em julho de 2024 continuam expostas a este ataque.

Message-Authenticator

Um atributo RADIUS (Atributo 80) que fornece proteção de integridade HMAC-MD5 sobre todo o pacote RADIUS. Quando presente num Access-Request, previne o ataque de modificação de pacotes utilizado no BlastRADIUS.

A imposição do Message-Authenticator em todos os pacotes Access-Request é a principal mitigação para o BlastRADIUS. Deve ser configurado tanto no servidor RADIUS (para exigir o atributo) como no dispositivo NAS (para incluir o atributo nos pedidos).

NAS (Network Access Server)

Na terminologia RADIUS, o NAS é o dispositivo de rede - normalmente um ponto de acesso WiFi, switch ou concentrador VPN - que atua como o cliente RADIUS. Intercetar pedidos de ligação de dispositivos finais e encaminha os pedidos de autenticação para o servidor RADIUS.

Os dispositivos NAS são os clientes RADIUS numa implementação. Os segredos partilhados são configurados por NAS. A mitigação do BlastRADIUS requer atualizações de firmware nos dispositivos NAS, bem como correções no servidor RADIUS.

PEAP (Protected Extensible Authentication Protocol)

Um método EAP que estabelece um túnel TLS utilizando um certificado do lado do servidor antes de transmitir o método de autenticação interno (normalmente MSCHAPv2). Fornece autenticação mútua e protege as credenciais contra a interceção de dados.

O PEAP-MSCHAPv2 é o método de autenticação WiFi empresarial mais amplamente implementado. Está em conformidade com o PCI DSS e é operacionalmente mais simples do que o EAP-TLS porque não requer certificados de cliente. No entanto, é vulnerável a ataques de servidores RADIUS falsos se a validação de certificados do lado do cliente não for imposta.

Segredo Partilhado

Uma chave pré-partilhada configurada tanto no servidor RADIUS como em cada dispositivo NAS. É utilizada para gerar o campo Response Authenticator e para ofuscar o atributo User-Password. Não é uma palavra-passe para utilizadores finais - é uma credencial de autenticação de servidor para servidor.

Segredos partilhados fracos ou estáticos são uma das vulnerabilidades RADIUS mais comuns. Um atacante que capture tráfego RADIUS pode realizar um ataque de força bruta offline contra um segredo partilhado fraco. O comprimento mínimo recomendado é de 32 carateres, gerados aleatoriamente.

PCI DSS (Payment Card Industry Data Security Standard)

Um conjunto de normas de segurança exigidas pelas principais redes de cartões (Visa, Mastercard, Amex) para organizações que processam, armazenam ou transmitem dados de titulares de cartões. A Versão 4.0, em vigor a partir de março de 2024, inclui requisitos específicos para controlo de acesso à rede e autenticação forte.

As organizações de retalho e hotelaria com terminais de pagamento ligados por WiFi estão no âmbito do PCI DSS. As vulnerabilidades do servidor RADIUS que possam permitir o acesso não autorizado à rede a ambientes de dados de titulares de cartões constituem um risco direto de conformidade.

Exemplos Práticos

Um grupo hoteleiro de 350 quartos com 12 propriedades utiliza um servidor RADIUS centralizado alojado no centro de dados da sua sede. Cada propriedade liga-se através de uma WAN MPLS partilhada. Uma auditoria de segurança assinalou que o tráfego RADIUS não é encriptado na WAN, os segredos partilhados são strings de 8 caracteres definidas durante a implementação inicial há cinco anos, e o servidor RADIUS está a executar o FreeRADIUS 3.0.21. O grupo processa pagamentos com cartão através de terminais POS ligados por WiFi nos seus restaurantes e spas. Qual é a prioridade de remediação e a sequência de implementação?

A sequência de remediação deve ser ordenada pela gravidade do risco e velocidade de implementação. Passo 1 (imediato, em 72 horas): Atualizar o FreeRADIUS para 3.2.5 ou 3.0.27. Isto aborda o BlastRADIUS e força o Message-Authenticator por predefinição. Simultaneamente, verifique as versões de firmware dos pontos de acesso em todas as 12 propriedades e agende atualizações de firmware para quaisquer dispositivos NAS que não suportem Message-Authenticator. Passo 2 (semana 1–2): Rodar todos os segredos partilhados. Gerar segredos aleatórios de 32 caracteres usando openssl rand -base64 32 para cada um dos 12 registos NAS das propriedades. Armazenar no HashiCorp Vault ou equivalente. Documentar a data de rotação. Passo 3 (mês 1–2): Implementar RadSec no caminho WAN. Configurar o servidor FreeRADIUS para aceitar ligações RadSec em TCP 2083. Emitir certificados TLS de uma CA interna para os dispositivos NAS de cada propriedade. Atualizar as regras de firewall para permitir TCP 2083 das gamas de IP NAS das propriedades para o servidor RADIUS. Desativar UDP 1812/1813 das interfaces voltadas para a WAN assim que o RadSec for confirmado como operacional. Passo 4 (mês 2–3): Para o SSID de WiFi do POS no âmbito do PCI DSS, migrar de PEAP-MSCHAPv2 para EAP-TLS. Implementar uma PKI interna (Microsoft ADCS ou motor HashiCorp Vault PKI). Emitir certificados de cliente para terminais POS via MDM. Atualizar a política RADIUS para exigir EAP-TLS para o SSID do POS. Passo 5 (mês 3): Integrar os registos de contabilidade RADIUS no SIEM. Configurar alertas para picos de falha de autenticação e expiração de certificados.

Comentário do Examinador: Este cenário é representativo da maioria das implementações de hotelaria multi-site. A principal conclusão é que a WAN MPLS, embora não seja a internet pública, é uma rede partilhada que não pode ser tratada como totalmente fidedigna - particularmente num grupo hoteleiro onde a WAN pode ser gerida por um fornecedor externo. O RadSec não é, portanto, opcional. A perspetiva do PCI DSS é crítica: os terminais POS em WiFi estão no âmbito do requisito PCI DSS 8.3 (autenticação forte) e do requisito 4.2.1 (criptografia forte para dados em trânsito). O EAP-TLS satisfaz ambos. A sequenciação prioriza a atualização em primeiro lugar porque o BlastRADIUS é uma vulnerabilidade ativa e explorável; os outros passos de fortalecimento são importantes, mas não acarretam o mesmo risco imediato. Uma abordagem alternativa - migrar para um RADIUS-as-a-Service alojado na nuvem - foi considerada mas rejeitada para este cenário devido ao investimento existente do grupo em MPLS e à complexidade de migrar 12 propriedades em simultâneo.

Uma cadeia de retalho regional com 45 lojas utiliza WPA2-Personal (chave pré-partilhada) para o WiFi dos funcionários e uma rede aberta para o WiFi dos clientes. O diretor de IT pretende migrar o WiFi dos funcionários para autenticação 802.1X utilizando o Microsoft NPS como servidor RADIUS, integrado com o Active Directory. As lojas têm uma mistura de pontos de acesso Aruba e Cisco. A cadeia está no âmbito do PCI DSS. Que arquitetura devem implementar e quais são as principais decisões de configuração?

A arquitetura recomendada é o 802.1X com PEAP-MSCHAPv2 como o método EAP inicial, com um plano de transição documentado para EAP-TLS. O servidor NPS deve ser implementado num par redundante (primário + secundário) no data centre central, com configuração de proxy RADIUS nos pontos de acesso para failover automático. Decisões de configuração: (1) Política de Rede NPS: crie uma política correspondente ao SSID dos funcionários com PEAP-MSCHAPv2, exigindo a filiação num grupo de segurança de AD (por exemplo, 'WiFi-Staff-Access'). Defina o limite de tempo da sessão para 8 horas para forçar a reautenticação. (2) Certificado: implemente um certificado de servidor NPS a partir de uma CA de ADCS interna da Microsoft. Distribua o certificado CA raiz para todos os dispositivos dos funcionários através de Política de Grupo (Windows) e MDM (iOS/Android). (3) Configuração do suplicante: configure os dispositivos Windows através de Política de Grupo (Configuração do Computador > Definições do Windows > Definições de Segurança > Políticas de Rede Sem Fios). Para dispositivos iOS e Android, utilize um perfil de MDM. Force a validação do certificado do servidor - não permita que os utilizadores aceitem certificados arbitrários. (4) Configuração do ponto de acesso: no Aruba, configure o servidor RADIUS em Autenticação > Servidores. Defina o segredo partilhado como uma string aleatória de 32 caracteres. Ative o RadSec se o firmware da Aruba o suportar (AOS 8.9+). No Cisco, configure em Segurança > AAA > RADIUS. (5) Registo do NPS: ative o registo de contabilidade do NPS para uma base de dados SQL Server. Configure um período de retenção de registos de, no mínimo, 90 dias para conformidade com o PCI DSS. (6) Pós-migração: desative o WPA2-Personal no SSID dos funcionários. Mantenha-o apenas como um SSID de emergência com uma PSK complexa guardada no gestor de segredos, para utilização apenas quando o NPS estiver indisponível.

Comentário do Examinador: A migração do WPA2-Personal para o 802.1X é um dos projetos de melhoria de segurança mais comuns no IT de retalho. O principal risco neste cenário é o parque misto de pontos de acesso - a Aruba e a Cisco têm interfaces de configuração de clientes RADIUS diferentes, e o processo de rotação do segredo partilhado deve ser gerido separadamente para cada uma. A decisão de começar com PEAP-MSCHAPv2 em vez de EAP-TLS é pragmática: evita a complexidade da implementação de PKI ao mesmo tempo que proporciona uma melhoria significativa de segurança em relação à PSK. O plano de transição para EAP-TLS deve estar associado ao cronograma de implementação do MDM - a distribuição de certificados de cliente só é operacionalmente viável assim que todos os dispositivos estiverem inscritos no MDM. O ângulo do PCI DSS reforça o requisito de registo do NPS: o requisito 10.2.1 do PCI DSS exige o registo de todos os acessos individuais de utilizadores a dados de titulares de cartões, o que inclui eventos de acesso à rede.

Perguntas de Prática

Q1. A sua organização gere um servidor FreeRADIUS 3.0.21 que suporta autenticação 802.1X para 800 dispositivos de funcionários num campus de local único. O servidor RADIUS está na mesma VLAN de gestão que todos os pontos de acesso. Um teste de intrusão identificou que os pontos de acesso estão a enviar pacotes Access-Request sem o atributo Message-Authenticator. A equipa de segurança quer impor o Message-Authenticator de imediato, mas a equipa de operações de rede está preocupada com a interrupção da autenticação para os 800 utilizadores. Como deve sequenciar a correção para minimizar a interrupção do serviço?

Dica: Considere a diferença entre o servidor RADIUS exigir o Message-Authenticator e os dispositivos NAS enviarem-no. Estas são duas alterações de configuração distintas com perfis de risco diferentes.

Ver resposta modelo

A sequência correta é: (1) Primeiro, atualize o FreeRADIUS para a versão 3.2.5. Esta versão impõe o Message-Authenticator por predefinição, mas inclui um modo de compatibilidade que regista um aviso em vez de rejeitar pacotes sem o atributo. Isto permite aplicar a correção sem interromper imediatamente a autenticação. (2) Audite as versões de firmware dos pontos de acesso. Identifique quais os modelos e versões de firmware que suportam o Message-Authenticator em pacotes Access-Request. (3) Atualize o firmware dos pontos de acesso em lotes, começando com um grupo piloto de 50 dispositivos. Verifique se a autenticação continua a funcionar após cada lote. (4) Assim que confirmar que todos os pontos de acesso estão a enviar o Message-Authenticator, ative a imposição estrita no servidor FreeRADIUS (require_message_authenticator = yes no ficheiro clients.conf). (5) Monitorize os registos do RADIUS para identificar quaisquer avisos restantes de 'Message-Authenticator em falta', o que indicaria dispositivos NAS que não receberam a atualização de firmware. O princípio fundamental é que pode atualizar o servidor primeiro sem interromper o serviço, pois o modo de compatibilidade permite um período de transição. A imposição de rejeição estrita no servidor deve ser o último passo, após a atualização de todos os dispositivos NAS.

Q2. O operador de um centro de conferências gere um único servidor RADIUS que suporta tanto o SSID corporativo dos funcionários (802.1X com PEAP-MSCHAPv2) como o WiFi de convidados de eventos (Captive Portal com MAC Authentication Bypass). O gestor de TI pergunta se a instância RADIUS do WiFi de convidados necessita de ser protegida com o mesmo nível de exigência que a instância RADIUS corporativa, uma vez que os convidados não se autenticam com credenciais corporativas. Qual é a sua recomendação?

Dica: Considere os vetores de ataque que se aplicam ao MAC Authentication Bypass em comparação com a autenticação baseada em EAP, e o risco de movimento lateral entre as instâncias RADIUS de convidados e corporativa.

Ver resposta modelo

A instância RADIUS do WiFi de convidados requer endurecimento, mas os controlos específicos diferem da instância corporativa. O patch BlastRADIUS aplica-se de igual forma — a vulnerabilidade afeta o servidor RADIUS independentemente do método de autenticação utilizado pelos clientes. A higiene do segredo partilhado aplica-se de igual forma — um segredo partilhado fraco entre o controlador do Captive Portal de convidados e o servidor RADIUS é explorável independentemente de o EAP estar em utilização. O principal risco adicional é o servidor RADIUS partilhado: se os pedidos de autenticação do SSID de convidados e corporativo forem tratados pelo mesmo processo do servidor RADIUS, uma vulnerabilidade no caminho do RADIUS de convidados poderá ser utilizada para pivotar para a política de autenticação corporativa. A arquitetura recomendada consiste em executar instâncias RADIUS separadas (ou, no mínimo, servidores virtuais separados no FreeRADIUS) para autenticação de convidados e corporativa, com segredos partilhados separados e conjuntos de políticas separados. Isto proporciona isolamento de modo a que um comprometimento do caminho do RADIUS de convidados não exponha as credenciais corporativas. Para a instância de convidados especificamente: aplicar o patch para o BlastRADIUS, rodar os segredos partilhados e garantir que a instância RADIUS de convidados não tem acesso ao Active Directory corporativo. Os requisitos de EAP-TLS e RadSec são menos relevantes para uma implementação de Captive Portal, mas o RadSec deve continuar a ser considerado se o controlador do Captive Portal estiver num segmento de rede diferente do servidor RADIUS.

Q3. Uma fundação de saúde planeia migrar o seu WiFi clínico de WPA2-Personal para autenticação 802.1X. A fundação tem 1200 dispositivos clínicos, incluindo portáteis Windows, tablets iOS e dispositivos portáteis Android. O CISO deseja o EAP-TLS como estado-alvo. O diretor de TI está preocupado com a complexidade de implementação da PKI e propõe o PEAP-MSCHAPv2 como uma solução permanente. Como aconselha o CISO e o diretor de TI, e qual é o caminho de implementação recomendado?

Dica: Considere o modelo de ameaças específico para um ambiente de saúde — quais são as consequências de um comprometimento de credenciais e como é que o EAP-TLS aborda riscos que o PEAP-MSCHAPv2 não aborda?

Ver resposta modelo

O instinto do CISO está correto, mas a preocupação do diretor de TI é válida. O conselho recomendado é: implementar o PEAP-MSCHAPv2 agora como uma posição provisória, com um roteiro comprometido de 12 meses para o EAP-TLS. A justificação para não aceitar o PEAP-MSCHAPv2 como uma solução permanente na saúde é: (1) O PEAP-MSCHAPv2 é vulnerável a ataques de servidores RADIUS falsos se a validação de certificados do lado do cliente não for imposta. Num ambiente de saúde onde a equipa clínica pode ligar dispositivos pessoais, impor a configuração do suplicante de forma consistente em 1200 dispositivos é um desafio operacional. (2) As credenciais MSCHAPv2, se capturadas através de um ataque RADIUS falso, podem ser decifradas offline utilizando ferramentas como o hashcat. Num contexto de saúde, essas credenciais provavelmente também fornecem acesso a sistemas clínicos. (3) As avaliações do NHS DSPT e CQC esperam cada vez mais controlos de autenticação fortes para o acesso à rede clínica. O EAP-TLS fornece uma posição de prova de auditoria mais forte. O caminho de implementação: Meses 1-2: Implementar PEAP-MSCHAPv2 com validação de certificado de servidor imposta através de perfis MDM em todos os 1200 dispositivos. Meses 3-6: Implementar o Microsoft ADCS como infraestrutura PKI. Registar dispositivos Windows através de registo automático de Política de Grupo. Meses 6-9: Registar dispositivos iOS e Android através de perfis de certificado MDM. Meses 9-12: Migrar a política de SSID clínica de PEAP para EAP-TLS. Reter o PEAP como recurso de contingência para quaisquer dispositivos que falhem o registo de certificado, com monitorização melhorada. Para saber mais sobre a arquitetura de segurança de redes clínicas, o WiFi in Hospitals guide fornece um contexto de implementação relevante.