緩解 RADIUS 漏洞：安全強化指南

執行摘要

RADIUS（遠端用戶撥入驗證服務）仍是企業 WiFi 部署中網路存取控制的主導協定，為飯店、零售物業、體育場館、會議中心和公共部門建築中的 IEEE 802.1X 驗證奠定了基礎。然而，RADIUS 是在 1990 年代設計的，其幾項基礎設計決策（依賴 MD5 雜湊、無原生加密的 UDP 傳輸以及靜態共享金鑰）在當前的威脅環境中已成為實質的安全隱患。

在 2024 年 7 月，BlastRADIUS 漏洞（CVE-2024-3596）證實了中間人攻擊者可以利用 Access-Request 封包中的 MD5 完整性缺陷，偽造 RADIUS Access-Accept 回應。這影響了所有主要的 RADIUS 實作，包括 FreeRADIUS、Cisco ISE 和 Microsoft NPS。未修補的部署仍暴露於風險之中。

本指南提供了一個排定優先順序的安全強化藍圖，涵蓋修補程式管理、共享金鑰管理、EAP 方法選擇、RadSec 部署、管理員存取的多因素驗證，以及用於異常檢測的 SIEM 整合。本指南專為需要在本季（而非明年）做出可靠決策的 IT 專業人員而撰寫。

技術深度剖析

RADIUS 的運作原理及其漏洞所在

RADIUS 在網路存取伺服器（NAS，通常為 WiFi 存取點、交換器或 VPN 集中器）與 RADIUS 伺服器之間以用戶端-伺服器協定運作，後者負責對照 Active Directory 或 LDAP 等後端身分庫來驗證憑證。驗證交換遵循 RFC 2865 中定義的「請求-挑戰-回應」模型，而計費則根據 RFC 2866 獨立處理。

該協定透過 UDP 傳輸驗證封包，通訊埠 1812 用於驗證，通訊埠 1813 用於計費。共享金鑰（在 NAS 和 RADIUS 伺服器上設定的預先共用金鑰）用於產生 Response Authenticator 欄位，並透過基於 MD5 的 XOR 密碼來混淆 User-Password 屬性。這在任何現代意義上都不是加密，而是混淆，且完全取決於共享金鑰的保密性和強度。

典型 RADIUS 部署中的五個主要漏洞類別如下。

MD5 碰撞與完整性漏洞。 BlastRADIUS 攻擊 (CVE-2024-3596) 利用了 Access-Request 封包缺乏完整性保護的漏洞。由於在許多配置中，NAS 預設不包含 Message-Authenticator 屬性，因此處於中間人位置的攻擊者可以在封包到達 RADIUS 伺服器之前，向其注入精心設計的屬性。藉由利用 MD5 選擇前綴碰撞技術，攻擊者可以操縱封包，使 RADIUS 伺服器為修改後的封包計算出有效的 Response Authenticator，從而對原本應該被拒絕的請求返回 Access-Accept。修復方法是在所有 Access-Request 封包上強制執行 Message-Authenticator 屬性，這能為整個封包提供 HMAC-MD5 完整性保護。這需要在 NAS 和 RADIUS 伺服器上同時進行配置變更，而不僅僅是安裝伺服器修補程式。

弱金鑰或靜態共用金鑰。 共用金鑰是 RADIUS 交換的密碼學錨點。如果金鑰過短、易被猜測或未進行輪替，擷取到 RADIUS 流量的攻擊者（可透過 ARP 欺騙或受控的網路設備實現）即可對 User-Password 屬性進行離線暴力破解。此處適用 NIST SP 800-63B 關於記憶密碼的指引：金鑰長度應至少為 20 個字元、隨機產生，並儲存於金鑰管理系統中。對於擁有數十或數百台 NAS 設備的大型環境，手動輪替在維運上是不可行的；透過 HashiCorp Vault 或類似的金鑰管理器實現自動化才是正確的方法。

未加密的 UDP 傳輸。 基於 UDP 的標準 RADIUS 不提供傳輸層機密性。User-Password 屬性僅經過混淆處理，並未加密。所有其他屬性（包括使用者名稱、NAS IP 和工作階段中繼資料）皆以明文傳輸。RFC 6614 定義並於 RFC 7360 更新的 RadSec (RADIUS over TLS)，透過將 RADIUS 協定封裝在 TCP 連接埠 2083 上的 TLS 1.2 或 TLS 1.3 工作階段中來解決此問題。RadSec 提供 NAS 與 RADIUS 伺服器之間的雙向憑證驗證、完整負載加密以及重放攻擊保護。對於任何跨越非信任網路邊界的 RADIUS 流量，這才是正確的傳輸方式。 EAP 方法選擇。 可延伸驗證協定 (EAP) 定義了 802.1X 架構內所使用的內部驗證方法。EAP-MD5 已被淘汰，應立即從所有部署中移除 — 它不提供雙向驗證，也無法防範憑證收集。PEAP (Protected EAP) 和 EAP-TTLS 在傳輸憑證之前，會使用伺服器憑證建立 TLS 通道，從而提供雙向驗證並保護內部方法免受竊聽。EAP-TLS 則完全免除密碼，要求伺服器和用戶端皆須出示 X.509 憑證。它能免疫網路釣魚和暴力破解攻擊，是高安全性環境的首選推薦方法。

日誌記錄與監控不足。 RADIUS 計費會記錄每一次驗證事件 — 成功、失敗、工作階段開始、工作階段結束。這些數據在營運上對容量規劃極具價值，在商業上對 WiFi Analytics 也非常有價值，但它同時也是關鍵的安全遙測來源。驗證失敗風暴、來自異常 MAC 位址的驗證以及非工作時間的存取模式，皆可透過 RADIUS 計費日誌偵測出來。大多數組織並未將此數據導入 SIEM，而有導入的組織通常也未設定任何警示閾值。

BlastRADIUS 攻擊詳解

BlastRADIUS 於 2024 年 7 月由波士頓大學和加州大學聖地牙哥分校的研究人員揭露。該攻擊需要在 NAS 和 RADIUS 伺服器之間處於中間人 (Man-in-the-Middle) 位置 — 這可透過在共享網路區段上進行 ARP 欺騙、入侵路由器或具有網路存取權限的惡意內部人員來達成。

攻擊步驟如下：攻擊者攔截來自 NAS 的 Access-Request 封包。由於該封包缺少 Message-Authenticator 屬性（許多設定中的預設狀態），攻擊者便可自由修改封包的屬性列表。利用 MD5 選擇前綴碰撞 (Chosen-Prefix Collision)，攻擊者建構出一個修改後的封包，當 RADIUS 伺服器處理該封包時，會產生與原始封包相同的 Response Authenticator。因此，伺服器會針對包含攻擊者控制屬性的請求返回 Access-Accept — 其中包括 Administrative 的 Service-Type，這會授予完整的網路存取權限。

此攻擊對於內部方法使用 MSCHAPv2 的 PEAP 和 EAP-TTLS 部署非常有效。它不會影響 EAP-TLS 部署，因為基於憑證的雙向驗證提供了 MD5 無法破壞的完整性保護。

對於在企業 802.1X 旁運行 Guest WiFi 的組織，其訪客網路的 RADIUS 執行個體也必須進行修補，即使它使用的是 MAC 驗證繞過（MAB）而非 EAP。共享金鑰的安全管理與 Message-Authenticator 要求同樣適用。

實作指南

階段 1：立即修復（第 1-2 週）

首要任務是進行修補。FreeRADIUS 3.2.5 和 3.0.27 已包含 BlastRADIUS 修復程式，並預設強制執行 Message-Authenticator。Cisco ISE 3.1 Patch 8、3.2 Patch 4 和 3.3 Patch 1 已解決此漏洞。Microsoft 於 2024 年 7 月針對 Windows Server 2022 NPS 發布了 KB5040434。請驗證您目前的版本，並在下一個排定的變更視窗內套用修補程式。

同時，稽核您的 NAS 裝置韌體。只有在 NAS 也傳送該屬性的情況下，Message-Authenticator 強制執行才會生效。請檢查您的存取點與交換器廠商公告 — Aruba、Ruckus、Cisco 和 Juniper 都已發布解決 BlastRADIUS 的韌體更新。如果您使用的是 Ruckus 硬體， wireless access point Ruckus guide 提供了相關的韌體管理背景資訊。

針對修補後可能出現的 Troubleshooting Windows 11 802.1X Authentication Issues ，最常見的原因是 NPS 伺服器拒絕來自未包含 Message-Authenticator 的用戶端的連線 — 這是正確的安全行為，但可能需要對較舊的 Windows 用戶端進行 supplicant 重新設定。

階段 2：共享金鑰安全管理（第 2-4 週）

匯出註冊在您的 RADIUS 伺服器上的完整 NAS 用戶端清單。針對每個項目，記錄共享金鑰長度以及上次變更的日期。任何長度低於 20 個字元或超過 24 個月未變更的金鑰都應立即輪替。

對於新金鑰，請使用密碼學隨機產生器 — openssl rand -base64 32 會產生一個 44 字元的 base64 字串，適合用作 RADIUS 共享金鑰。將所有金鑰儲存在金鑰管理系統中。實施輪替時程：低風險 NAS 裝置每年輪替一次，處於 PCI DSS 範圍內的 NAS 裝置每六個月輪替一次。

階段 3：EAP 方法合理化（第 1-2 個月）

稽核您的 RADIUS 伺服器允許的 EAP 方法。停用 EAP-MD5。如果您正在運行 PEAP-MSCHAPv2，請驗證是否在所有 supplicant 上強制執行伺服器憑證驗證 — 設定錯誤且接受任何伺服器憑證的 supplicant 容易受到惡意 RADIUS 伺服器攻擊。對於處於 PCI DSS 範圍內的環境，建議採用 EAP-TLS。如果您目前沒有憑證基礎架構，請開始規劃 PKI。

針對 Securing Guest WiFi Networks ，請注意訪客網路通常使用 Captive Portal 驗證而非 802.1X，因此 EAP 方法強化主要適用於企業和員工 SSID。

階段 4：RadSec 部署（第 2-3 個月）

識別所有跨越未受信任網路邊界的 RADIUS 流量路徑。常見情境包括：透過網際網路為遠端飯店物業提供服務的中央 RADIUS 伺服器；由地端 NAS 裝置存取的雲端託管 RADIUS 服務；以及流量通過多個網路網域的 RADIUS 代理鏈。

針對每個識別出的路徑設定 RadSec。在 FreeRADIUS 上，這需要啟用連接埠 2083 上的 tls 接聽程式，並使用來自您 PKI 的憑證設定雙向 TLS。在 Cisco ISE 上，RadSec 是在「管理」>「網路裝置」下進行設定。請確保 TLS 1.2 為最低版本；明確停用 TLS 1.0 和 1.1。

階段 5：管理存取的 MFA（第 2-3 個月）

RADIUS 伺服器的管理介面是高價值目標。入侵 RADIUS 伺服器的攻擊者可以修改驗證原則、擷取共用金鑰並重導向驗證流量。對 RADIUS 伺服器及其底層作業系統的所有管理登入強制執行 MFA。將管理存取限制在專用的頻外管理 VLAN。實施角色型存取控制：網路工程師不應擁有與安全性管理員相同的權限。

階段 6：SIEM 整合與警示（第 3-4 個月）

設定您的 RADIUS 伺服器，將帳務記錄即時轉發至您的 SIEM。定義以下警示閾值作為基準：

最佳實踐

以下建議代表 IEEE 802.1X、NIST SP 800-63B、PCI DSS v4.0 和廠商安全性公告的共識。

憑證管理。 任何使用 EAP-TLS 或 RadSec 的部署在驗證路徑中都有 X.509 憑證。憑證過期是企業 WiFi 部署中突然且完全驗證失敗的最常見單一原因。實施自動化憑證生命週期管理。在過期前 90、30 和 7 天設定監控警示。對於 RADIUS 伺服器憑證，請使用至少 2048 位元 RSA 或 256 位元 ECDSA 的金鑰大小，並搭配 SHA-256 或更強的簽章演算法。請勿使用 SHA-1。

網路分割。 RADIUS 伺服器應位於專用的管理網路區段上，與訪客網路和一般企業網路隔離。對 RADIUS 連接埠（UDP 1812、1813，以及用於 RadSec 的 TCP 2083）的存取應透過防火牆 ACL 限制在已註冊 NAS 裝置的特定 IP 位址。不允許直接從網際網路存取 RADIUS 連接埠。 備援與高可用性。 單一 RADIUS 伺服器是您整個網路存取控制基礎架構的單一故障點。請至少部署兩台 RADIUS 伺服器，並採用主動-被動（active-passive）或主動-主動（active-active）配置。對於需要 24/7 全天候旅客連線需求的 旅宿業 部署而言，RADIUS 伺服器停機直接等同於旅客 WiFi 停機 — 這將帶來商譽與商業風險。

WPA3 與 802.1X。 WPA3-Enterprise 強制政府和高安全性部署使用 192 位元安全模式，要求使用 AES-256-GCMP 進行數據加密，並使用 HMAC-SHA-384 進行身分驗證。對於大多數企業部署而言，採用標準 128 位元安全性的 WPA3-Enterprise 相比 WPA2-Enterprise 有顯著改進，特別是與 EAP-TLS 結合使用時。處理卡片支付的 零售業 環境應將採用 WPA3-Enterprise 視為降低 PCI DSS 風險的措施。

廠商修補程式發布頻率。 訂閱您的 RADIUS 伺服器廠商和 NAS 設備廠商的安全公告。FreeRADIUS、Cisco、Microsoft、Aruba 和 Ruckus 都會發布 CVE 通知。將這些通知整合到您的漏洞管理計劃中，並定義明確的 SLA：關鍵漏洞（CVSS ≥ 9.0）在 72 小時內修補；高風險漏洞（CVSS 7.0–8.9）在 14 天內修補。

疑難排解與風險緩釋

常見故障模式

修補後身分驗證失敗。 套用 BlastRADIUS 修補程式後，如果某些 NAS 設備的韌體不支援 Message-Authenticator，可能會導致身分驗證失敗。症狀：在使用者憑證未變更的情況下，Access-Reject 回應突然增加。診斷：啟用 RADIUS 偵錯記錄，並檢查是否有 "Message-Authenticator required but not present"（需要 Message-Authenticator 但不存在）錯誤。解決方案：更新 NAS 韌體，或作為臨時措施，在排定韌體更新期間，將 RADIUS 伺服器配置為接受來自特定 NAS IP 且不含 Message-Authenticator 的請求。

EAP-TLS 中的憑證驗證失敗。 症狀：用戶端收到 "Authentication Failed"（身分驗證失敗），但 RADIUS 記錄中沒有對應的 Access-Reject。診斷：檢查 RADIUS 伺服器的憑證鏈 — 用戶端的 supplicant 是否信任發行該憑證的 CA？伺服器憑證是否在有效期內？解決方案：確保 RADIUS 伺服器上配置了完整的憑證鏈（分葉憑證 + 中介憑證 + 根憑證）。透過 MDM 或群組原則將根 CA 憑證推送到用戶端裝置。

RadSec TLS 握手失敗。 症狀：變更配置後，NAS 設備無法建立 RadSec 連線。診斷：檢查 TLS 版本相容性 — 較舊的 NAS 韌體可能不支援 TLS 1.2。檢查雙向憑證驗證 — 雙方必須信任彼此的 CA。解決方案：在 NAS 韌體版本說明中確認 TLS 版本支援情況；確保 NAS 設備憑證是由 RADIUS 伺服器所信任的同一 CA 所發行。

共用金鑰不符（Shared Secret Mismatch）。 症狀：來自特定 NAS 的所有驗證皆失敗，並顯示 "Invalid authenticator" 錯誤。診斷：NAS 設定與 RADIUS 伺服器用戶端項目之間的共用金鑰不符。解決方案：在雙邊重新輸入共用金鑰，確保沒有尾隨空格或字元編碼問題。建議從密碼管理器複製貼上，以避免手動輸入錯誤。

風險登記表

投資報酬率（ROI）與業務影響

量化風險

若對照資料外洩成本，強化 RADIUS 安全性的財務合理性便顯而易見。2024 年英國資料外洩的平均成本為 358 萬英鎊，其中包括法規罰款、補救措施、法律訴訟費用以及商譽受損。對於納入 PCI DSS 範圍的組織而言（這幾乎涵蓋了所有透過 WiFi 處理刷卡交易的 零售 與 旅宿 營運商），一旦發生導致持卡人資料外洩的網路存取控制漏洞，將會觸發強制性的鑑識調查、潛在的卡片組織罰款，並可能被暫停刷卡處理權限。

對於 醫療保健 機構而言，若因 RADIUS 伺服器遭入侵而導致患者資料外洩，根據 GDPR 第 83(5) 條規定，最高可處以全球年營業額 4% 的罰款。英國資訊專員辦公室（ICO）的執法記錄表明，網路安全疏漏會被視為疏忽，而非技術意外。

實施成本基準

以下為針對擁有 500 台裝置的中型企業資產之預估成本：

中型企業資產的總強化投資：約為 £20,000–£45,000。相較於 358 萬英鎊的資料外洩基準成本，即使在外洩機率極低的預估下，經風險調整後的投資報酬率（ROI）依舊非常顯著。

安全性之外的營運效益

強化後的 RADIUS 基礎架構也能帶來營運效益。穩定且受到良好監控的驗證機制，能減少與 WiFi 連線相關的客服支援工單。當 RADIUS 計費數據與 WiFi Analytics 整合時，可提供網路使用模式、停留時間和裝置類型的會話級可視性 — 這些數據對於 Hospitality 和 Transport 環境的場域營運商而言，具有直接的商業價值。

對於公共部門和 Healthcare 機構，一份記錄完善的 RADIUS 強化計畫可為 Cyber Essentials Plus、ISO 27001 和 NHS DSPT 評估提供技術控制的證據 — 從而減少稽核開銷，並向監管機構證明已盡盡職調查職責。