緩解 RADIUS 漏洞:安全強化指南
本指南為負責飯店、零售、活動和公共部門環境中企業 WiFi 基礎設施的 IT 經理、網路架構師和 CTO 提供全面且具體可行的參考。內容涵蓋 RADIUS 伺服器部署的完整攻擊面 — 從 MD5 碰撞漏洞和弱共享金鑰,到未加密的 UDP 傳輸和配置錯誤的 EAP 方法 — 並提供與 IEEE 802.1X、PCI DSS 和 GDPR 要求一致的優先強化路線圖。實施這些建議的組織將能實質減少面臨基於憑證的網路攻擊風險、滿足合規性義務,並為其訪客和企業 WiFi 基礎設施建立防禦性的安全態勢。
收聽此指南
查看播客逐字稿

执行摘要
RADIUS(远程认证拨入用户服务)仍然是企业WiFi部署中网络访问控制的主要协议,支撑着酒店、零售场所、体育场馆、会议中心和公共部门建筑中的IEEE 802.1X认证。然而,RADIUS的架构设计源于20世纪90年代,其几项基础设计决策——依赖MD5哈希、无原生加密的UDP传输以及静态共享密钥——在当前威胁环境下已成为重大风险。
2024年7月,BlastRADIUS漏洞(CVE-2024-3596)表明,中间人攻击者可通过利用Access-Request数据包中的MD5完整性弱点伪造RADIUS Access-Accept响应。这一漏洞影响所有主要RADIUS实现,包括FreeRADIUS、Cisco ISE和Microsoft NPS。未打补丁的部署仍然面临风险。
本指南提供了一份优先加固路线图,涵盖补丁管理、共享密钥卫生、EAP方法选择、RadSec部署、管理访问的多因素认证以及用于异常检测的SIEM集成。本指南面向需要在本季度而非下一年做出可辩护决策的IT专业人士。

技术深度剖析
RADIUS工作原理及其薄弱环节
RADIUS作为一种客户端-服务器协议运行在网络接入服务器(NAS)——通常是WiFi接入点、交换机或VPN集中器——与RADIUS服务器之间,后者会针对后端身份存储(如Active Directory或LDAP)验证凭据。认证交换遵循RFC 2865定义的请求-挑战-响应模型,计费则按照RFC 2866单独处理。
该协议通过UDP传输认证数据包,认证端口为1812,计费端口为1813。共享密钥(即在NAS和RADIUS服务器上配置的预共享密钥)用于生成响应验证器字段,并通过基于MD5的XOR密文加密用户密码属性。这与现代意义上的加密无关;它是一种混淆手段,完全依赖于共享密钥的保密性和强度。
典型RADIUS部署中的五个主要漏洞类别如下。
MD5碰撞和完整性漏洞。 BlastRADIUS攻击(CVE-2024-3596)利用了Access-Request数据包缺乏完整性保护的弱点。由于许多配置中NAS默认不包含Message-Authenticator属性,处于中间人位置的攻击者可以在数据包到达RADIUS服务器之前注入精心设计的属性。通过利用MD5选择前缀碰撞技术,攻击者可以操纵数据包,使得RADIUS服务器为修改后的数据包计算出有效的响应验证器,从而为本应被拒绝的请求返回Access-Accept。补救措施是在所有Access-Request数据包上强制执行Message-Authenticator属性,该属性为整个数据包提供HMAC-MD5完整性保护。这需要在NAS和RADIUS服务器上都进行配置更改,而不仅仅是服务器补丁。
弱共享密钥或静态共享密钥。 共享密钥是RADIUS交换的加密锚点。如果密钥过短、易被猜测或从未轮换,捕获RADIUS流量的攻击者(通过ARP欺骗或受感染的网络设备可实现)便可对用户密码属性进行离线暴力破解。NIST SP 800-63B关于记忆秘密的指南在此处适用:密钥应至少包含20个字符,随机生成,并存储在密钥管理系统中。对于拥有数十或数百个NAS设备的大型网络,手动轮换在操作上不可行;通过HashiCorp Vault或类似的密钥管理器实现自动化是正确的做法。
未加密的UDP传输。 标准RADIUS over UDP不提供传输层机密性。用户密码属性被混淆但未加密。所有其他属性——包括用户名、NAS IP和会话元数据——均以明文传输。RadSec(RADIUS over TLS),定义于RFC 6614并更新于RFC 7360,通过在TCP端口2083上建立TLS 1.2或TLS 1.3会话,将RADIUS协议包装在TLS隧道中,解决了这一问题。RadSec在NAS与RADIUS服务器之间提供双向证书认证、完整的有效载荷加密以及重放保护。对于跨越非可信网络边界的任何RADIUS流量,这都是正确的传输方式。
EAP方法选择。 可扩展认证协议(EAP)定义了在802.1X框架内使用的内部认证方法。EAP-MD5已弃用,应立即从所有部署中移除——它不提供双向认证,也无法抵御凭据窃取攻击。PEAP(受保护的EAP)和EAP-TTLS在传输凭据前使用服务器证书建立TLS隧道,提供双向认证并保护内部方法免遭窃听。EAP-TLS完全消除了密码,要求服务器和客户端都提供X.509证书。它免疫于网络钓鱼和暴力破解攻击,是高安全环境的推荐方法。
日志记录和监控不足。 RADIUS计费记录了每一个认证事件——成功、失败、会话开始、会话结束。这些数据在操作上对容量规划有价值,在商业上对 WiFi Analytics 也很有价值,但同时也是一个关键的安全遥测来源。失败的认证风暴、来自未知MAC地址的认证以及非工作时间的访问模式都可以从RADIUS计费日志中检测到。大多数组织并未将这些数据采集到SIEM中,而那些已采集的组织通常也未配置任何告警阈值。

BlastRADIUS攻击详解
BlastRADIUS于2024年7月由波士顿大学和加州大学圣地亚哥分校的研究人员披露。该攻击需要在NAS与RADIUS服务器之间处于中间人位置——可通过共享网段上的ARP投毒、受感染的路由器或具有网络访问权限的恶意内部人员实现。
攻击过程如下:攻击者截获来自NAS的Access-Request数据包。由于数据包缺少Message-Authenticator属性(许多配置中的默认设置),攻击者可以自由修改数据包的属性列表。通过使用MD5选择前缀碰撞,攻击者构造一个修改后的数据包,当RADIUS服务器处理该数据包时,会生成与原始数据包相同的响应验证器。因此,服务器会为包含攻击者控制属性的请求返回Access-Accept——包括授权完整网络访问的Administrative服务类型。
此攻击对内部方法使用MSCHAPv2的PEAP和EAP-TTLS部署有效。它不影响EAP-TLS部署,因为基于证书的双向认证提供了MD5无法破坏的完整性保护。
对于同时运行 Guest WiFi 和企业802.1X的组织,访客网络的RADIUS实例也必须打补丁,即使它使用MAC认证绕过而非EAP。共享密钥卫生和Message-Authenticator要求同样适用。
实施指南
第一阶段:立即修复(第1-2周)
首要任务是打补丁。FreeRADIUS 3.2.5和3.0.27包含BlastRADIUS修复,并默认强制执行Message-Authenticator。Cisco ISE 3.1补丁8、3.2补丁4和3.3补丁1解决了该漏洞。微软于2024年7月为Windows Server 2022 NPS发布了KB5040434。请验证您当前的版本,并在下一个计划中的变更窗口内应用补丁。
同时,审核您的NAS设备固件。只有当NAS也发送Message-Authenticator属性时,其强制执行才有效。请检查您的接入点和交换机供应商公告——Aruba、Ruckus、Cisco和Juniper都发布了针对BlastRADIUS的固件更新。如果您正在运行Ruckus硬件, 无线接入点Ruckus指南 提供了相关的固件管理背景。
对于补丁后可能出现的 Windows 11 802.1X认证问题排除 ,最常见的原因是NPS服务器拒绝来自不包含Message-Authenticator的客户端的连接——这是一种正确的安全行为,可能需要在旧版Windows客户端上重新配置请求方。
第二阶段:共享密钥卫生(第2-4周)
导出RADIUS服务器上注册的NAS客户端完整列表。对于每个条目,记录共享密钥长度和最后更改日期。任何长度低于20个字符或超过24个月未更改的密钥应立即轮换。
对于新密钥,使用加密随机生成器——openssl rand -base64 32生成一个44字符的base64字符串,适合用作RADIUS共享密钥。将所有密钥存储在密钥管理系统中。实施轮换计划:低风险NAS设备每年一次,PCI DSS范围内的NAS设备每六个月一次。
第三阶段:EAP方法合理化(第1-2个月)
审核RADIUS服务器允许的EAP方法。禁用EAP-MD5。如果您正在运行PEAP-MSCHAPv2,请验证所有请求方都强制执行服务器证书验证——配置不当的请求方接受任何服务器证书,容易受到恶意RADIUS服务器攻击。对于PCI DSS范围内的环境,推荐使用EAP-TLS。如果您没有现有的证书基础设施,请开始PKI规划。
对于 保护访客WiFi网络 ,请注意访客网络通常使用Captive Portal认证而非802.1X,因此EAP方法加固主要适用于企业和员工SSID。
第四阶段:RadSec部署(第2-3个月)
识别所有跨越非可信网络边界的RADIUS流量路径。常见场景包括:中心RADIUS服务器通过互联网为远程酒店提供服务;本地NAS设备访问云端RADIUS服务;以及RADIUS代理链中流量穿越多个网络域。
对于每条已识别的路径,配置RadSec。在FreeRADIUS上,这需要在端口2083上启用tls监听器,并使用来自PKI的证书配置双向TLS。在Cisco ISE上,RadSec在管理 > 网络设备下配置。确保最低使用TLS 1.2;明确禁用TLS 1.0和1.1。
第五阶段:管理访问的多因素认证(第2-3个月)
RADIUS服务器的管理界面是一个高价值目标。攻陷RADIUS服务器的攻击者可以修改认证策略、提取共享密钥并重定向认证流量。对所有RADIUS服务器及其底层操作系统的管理登录强制执行MFA。将管理访问限制在专用的带外管理VLAN。实施基于角色的访问控制:网络工程师不应拥有与安全管理员相同的权限。
第六阶段:SIEM集成和告警(第3-4个月)
配置您的RADIUS服务器,将计费日志实时转发到SIEM。定义以下基准告警阈值:
| 告警 | 阈值 | 严重性 |
|---|---|---|
| 单个MAC地址的多次认证失败 | 60秒内 >5次 | 高 |
| Access-Reject速率激增 | 超出7天基线的200% | 中 |
| 企业SSID上新MAC地址的认证 | 首次出现 | 中 |
| RADIUS服务器证书即将到期 | 90 / 30 / 7 天 | 高 / 关键 / 关键 |
| 共享密钥不匹配错误 | 任何发生 | 高 |
最佳实践
以下建议综合了IEEE 802.1X、NIST SP 800-63B、PCI DSS v4.0及供应商安全公告的共识。
证书管理。 任何使用EAP-TLS或RadSec的部署,在其认证路径中都会涉及X.509证书。证书过期是企业WiFi部署中突发、全面认证故障的最常见原因。实施自动化的证书生命周期管理。在证书到期前90天、30天和7天设置监控告警。对于RADIUS服务器证书,使用最小2048位RSA或256位ECDSA密钥,以及SHA-256或更强的签名算法。不要使用SHA-1。
网络分段。 RADIUS服务器应位于专用管理网段上,与访客网络和一般企业网络隔离。对RADIUS端口(UDP 1812、1813、TCP 2083用于RadSec)的访问应通过防火墙ACL限制为已注册NAS设备的特定IP地址。不允许任何直接的互联网访问RADIUS端口。
冗余和高可用性。 单个RADIUS服务器是整个网络访问控制基础设施的单点故障。部署至少两台RADIUS服务器,采用主备或主主配置。对于具有24/7访客连接需求的 Hospitality 部署,RADIUS服务器停机时间直接等同于访客WiFi停机时间——这是一种声誉和商业风险。
WPA3和802.1X。 WPA3-Enterprise要求政府和高度安全部署使用192位安全模式,需要AES-256-GCMP进行数据加密,以及HMAC-SHA-384进行认证。对于大多数企业部署,使用标准128位安全的WPA3-Enterprise相比WPA2-Enterprise已有显著改进,特别是与EAP-TLS结合使用时。处理卡支付的 零售 环境应将采用WPA3-Enterprise视为降低PCI DSS风险的措施。
供应商补丁节奏。 订阅来自RADIUS服务器供应商和NAS设备供应商的安全公告。FreeRADIUS、Cisco、Microsoft、Aruba和Ruckus均发布CVE通知。将这些信息纳入您的漏洞管理计划,并规定明确的SLA:关键漏洞(CVSS ≥ 9.0)在72小时内修补;高危漏洞(CVSS 7.0–8.9)在14天内修补。
故障排除与风险缓解
常见故障模式
打补丁后的认证失败。 应用BlastRADIUS补丁后,如果某些NAS设备的固件不支持Message-Authenticator,它们可能无法进行认证。症状:Access-Reject响应突然增加,而用户凭据没有变化。诊断:启用RADIUS调试日志,并检查“需要但不存在Message-Authenticator”错误。解决方法:更新NAS固件,或者作为临时措施,在计划固件更新期间,将RADIUS服务器配置为接受来自特定NAS IP且不带Message-Authenticator的请求。
EAP-TLS中的证书验证失败。 症状:客户端收到“认证失败”,但RADIUS日志中没有相应的Access-Reject。诊断:检查RADIUS服务器的证书链——颁发CA是否受客户端请求方信任?服务器证书是否在有效期内?解决方法:确保完整证书链(叶证书 + 中间证书 + 根证书)已在RADIUS服务器上配置。通过MDM或组策略将根CA证书推送到客户端设备。
RadSec TLS握手失败。 症状:配置更改后,NAS设备无法建立RadSec连接。诊断:检查TLS版本兼容性——旧版NAS固件可能不支持TLS 1.2。检查双向证书认证——两端必须互相信任对方的CA。解决方法:在NAS固件发布说明中验证TLS版本支持;确保NAS设备证书由RADIUS服务器信任的同一CA颁发。
共享密钥不匹配。 症状:某个特定NAS的所有认证都失败,并显示“无效验证器”错误。诊断:NAS配置与RADIUS服务器客户端条目之间的共享密钥不匹配。解决方法:在两端重新输入共享密钥,确保没有尾部空格或字符编码问题。使用从密钥管理器复制粘贴,以避免转录错误。
风险登记表
| 风险 | 可能性 | 影响 | 缓解控制 |
|---|---|---|---|
| BlastRADIUS利用 | 高(未打补丁) | 关键 | 补丁 + Message-Authenticator强制执行 |
| 共享密钥暴力破解 | 中 | 高 | 32字符随机密钥,每年轮换 |
| 恶意RADIUS服务器 | 中 | 高 | EAP-TLS双向认证,证书锁定 |
| RADIUS服务器证书过期 | 高 | 关键 | 自动监控,提前90天告警 |
| 通过802.1X进行凭据填充 | 中 | 高 | 帐户锁定策略,SIEM告警 |
| RADIUS服务器被攻陷 | 低 | 关键 | 管理员访问MFA,网络分段 |
ROI与业务影响
量化风险
RADIUS强化的财务理由在与数据泄露成本对比时显而易见。2024年英国数据泄露的平均成本为358万英镑,包括监管罚款、补救措施、法律费用和声誉损害。对于在PCI DSS范围内的组织——实际上包括每个通过WiFi处理卡支付的 零售 和 Hospitality 运营商——暴露持卡人数据的网络访问控制泄露会触发强制取证调查、可能的卡组织罚款,甚至可能暂停卡处理权限。
对于 医疗 机构,涉及通过受感染RADIUS服务器访问患者数据的GDPR违规将面临高达全球年营业额4%的罚款,依据第83(5)条。ICO的执法记录表明,网络安全故障被视为过失,而非技术意外。
实施成本基准
以下成本估算针对500台设备的企业网络:
| 加固活动 | 估算成本 | 时间线 |
|---|---|---|
| 打补丁(FreeRADIUS / NPS / ISE) | 仅内部人力 | 1–2周 |
| 共享密钥审计和轮换 | 内部人力 + 密钥管理器许可(约2000英镑/年) | 2–4周 |
| EAP-TLS PKI部署 | 15000–30000英镑(工具 + 专业服务) | 2–3个月 |
| RadSec实施 | 内部人力 + 证书成本(约1500英镑) | 4–6周 |
| SIEM集成和告警 | 取决于现有SIEM;0–10000英镑 | 4–8周 |
中等规模企业总加固投资约20000–45000英镑。对标358万英镑的数据泄露成本基线,即使在保守的数据泄露概率估算下,风险调整后的ROI依然引人注目。
安全之外的运营收益
加强的RADIUS基础设施也能带来运营收益。可靠且经过良好监控的认证可减少与WiFi连接相关的帮助台工单。当RADIUS计费数据与 WiFi Analytics 集成时,可提供会话级别的网络使用模式、停留时间和设备类型可见性——这些数据对 Hospitality 和 交通 环境中的场馆运营商具有直接的商业价值。
对于公共部门和 医疗 机构,记录在案的RADIUS加固计划可为Cyber Essentials Plus、ISO 27001和NHS DSPT评估提供技术控制证据——从而减少审计工作量,并向监管机构展示尽职调查。
關鍵定義
RADIUS (Remote Authentication Dial-In User Service)
RFC 2865 中定義的用戶端-伺服器協定,為網路存取提供集中式驗證、授權和計費 (AAA)。RADIUS 伺服器會根據 Active Directory 或 LDAP 等後端身分識別庫,驗證網路設備 (NAS) 提交的憑證。
IT 團隊在處理 802.1X WiFi、有線連接埠驗證、VPN 存取和網路設備管理時,會將 RADIUS 作為驗證後端。它是決定誰能存取網路的協定。
IEEE 802.1X
一種用於基於連接埠之網路存取控制的 IEEE 標準,定義了 LAN 上 EAP (EAPOL) 的封裝。它為有線和無線網路提供驗證框架,要求設備在獲得網路存取權限之前進行驗證。
802.1X 是讓企業級 WiFi 驗證運作的標準。當員工連接到企業 SSID 並被要求輸入憑證時,802.1X 就是協調該交換的框架,並以 RADIUS 作為後端。
EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)
一種 EAP 方法,使用 X.509 憑證在用戶端和 RADIUS 伺服器之間進行雙向驗證。雙方都必須出示有效的憑證,從而完全在驗證交換中免除密碼。
EAP-TLS 是企業級 WiFi 驗證的黃金標準。它能免疫憑證網路釣魚和暴力破解攻擊。營運上的要求是需要 PKI 架構來發行和管理用戶端憑證。
RadSec (RADIUS over TLS)
RFC 6614 中定義的協定,將 RADIUS 封包封裝在 TCP 連接埠 2083 上的 TLS 工作階段中。它為 RADIUS 流量提供傳輸層加密、雙向憑證驗證和重放攻擊防護。
任何跨越非信任網路邊界(WAN 連結、網際網路連線或共享網路基礎架構)的 RADIUS 流量都需要 RadSec。它是多站點部署中取代標準 UDP RADIUS 的正確方案。
BlastRADIUS (CVE-2024-3596)
2024 年 7 月披露的一種中間人攻擊,利用了 RADIUS Access-Request 封包上缺乏完整性保護的漏洞。攻擊者利用 MD5 選擇前綴碰撞技術,可以偽造 Access-Accept 回應,從而向未經驗證的使用者授予網路存取權限。
BlastRADIUS 影響所有主要的 RADIUS 實作,包括 FreeRADIUS、Cisco ISE 和 Microsoft NPS。未套用 2024 年 7 月發布之修補程式的組織仍暴露於此攻擊風險中。
Message-Authenticator
一種 RADIUS 屬性(屬性 80),為整個 RADIUS 封包提供 HMAC-MD5 完整性保護。當存在於 Access-Request 中時,它能防止 BlastRADIUS 中所使用的封包修改攻擊。
在所有 Access-Request 封包上強制執行 Message-Authenticator 是防範 BlastRADIUS 的主要補救措施。它必須同時在 RADIUS 伺服器(要求該屬性)和 NAS 設備(在請求中包含該屬性)上進行設定。
NAS (Network Access Server)
在 RADIUS 術語中,NAS 是指網路設備(通常是 WiFi 存取點、交換器或 VPN 集中器),充當 RADIUS 用戶端。它會攔截來自終端設備的連線請求,並將驗證請求轉發給 RADIUS 伺服器。
在部署中,NAS 設備即為 RADIUS 用戶端。共享金鑰是針對每個 NAS 進行設定的。BlastRADIUS 的補救措施需要更新 NAS 設備的韌體以及修補 RADIUS 伺服器。
PEAP (Protected Extensible Authentication Protocol)
一種 EAP 方法,在傳輸內部驗證方法(通常為 MSCHAPv2)之前,使用伺服器端憑證建立 TLS 通道。它提供雙向驗證並保護憑證免受竊聽。
PEAP-MSCHAPv2 是部署最廣泛的企業級 WiFi 驗證方法。它符合 PCI DSS 規範,且在營運上比 EAP-TLS 更簡單,因為它不需要用戶端憑證。然而,如果未強制執行用戶端憑證驗證,它很容易受到惡意 RADIUS 伺服器攻擊。
Shared Secret
在 RADIUS 伺服器和每個 NAS 設備上設定的預先共享金鑰。它用於產生 Response Authenticator 欄位並混淆 User-Password 屬性。它不是終端使用者的密碼,而是伺服器對伺服器的驗證憑證。
微弱或靜態的共享金鑰是最常見的 RADIUS 安全漏洞之一。擷取到 RADIUS 流量的攻擊者可以對微弱的共享金鑰進行離線暴力破解攻擊。建議的最小長度為 32 個字元,且為隨機產生。
PCI DSS (Payment Card Industry Data Security Standard)
由主要卡片組織(Visa、Mastercard、Amex)針對處理、儲存或傳輸持卡人資料的組織所制定的安全標準。自 2024 年 3 月起生效的 4.0 版本包含對網路存取控制和強效驗證的具體要求。
擁有連接 WiFi 之 POS 終端機的零售和旅宿業組織皆在 PCI DSS 的規範範圍內。可能導致未經授權存取持卡人資料環境的 RADIUS 伺服器漏洞,會直接帶來合規風險。
範例
一個擁有 12 家分店、共 350 間客房的酒店集團,使用託管在其總部資料中心的集中式 RADIUS 伺服器。每家分店都透過共享的 MPLS WAN 進行連接。安全稽核指出,WAN 上的 RADIUS 流量未經加密、共享金鑰是五年前初始部署時設定的 8 字元字串,且 RADIUS 伺服器正執行 FreeRADIUS 3.0.21。該集團在其餐廳和 SPA 設施中,透過連接 Wi-Fi 的 POS 終端機處理刷卡付費。其修復優先順序和實施順序為何?
修復順序應按風險嚴重程度和實施速度進行排列。步驟 1(立即,72 小時內):將 FreeRADIUS 修補至 3.2.5 或 3.0.27。這解決了 BlastRADIUS 問題,並預設強制執行 Message-Authenticator。同時,檢查所有 12 家分店的存取點韌體版本,並為任何不支援 Message-Authenticator 的 NAS 裝置安排韌體更新。步驟 2(第 1-2 週):輪替所有共享金鑰。使用 openssl rand -base64 32 為 12 家分店的每個 NAS 註冊產生 32 字元的隨機金鑰。儲存在 HashiCorp Vault 或同等工具中。記錄輪替日期。步驟 3(第 1-2 個月):在 WAN 路徑上實施 RadSec。設定 FreeRADIUS 伺服器以接受 TCP 2083 上的 RadSec 連線。從內部 CA 向每家分店的 NAS 裝置核發 TLS 憑證。更新防火牆規則,以允許從分店 NAS IP 範圍到 RADIUS 伺服器的 TCP 2083 流量。確認 RadSec 正常運作後,停用來自面向 WAN 介面的 UDP 1812/1813。步驟 4(第 2-3 個月):針對 PCI DSS 範圍內的 POS Wi-Fi SSID,從 PEAP-MSCHAPv2 遷移至 EAP-TLS。部署內部 PKI(Microsoft ADCS 或 HashiCorp Vault PKI 引擎)。透過 MDM 向 POS 終端機核發用戶端憑證。更新 RADIUS 策略,要求 POS SSID 使用 EAP-TLS。步驟 5(第 3 個月):將 RADIUS 帳務記錄整合至 SIEM 中。針對驗證失敗激增和憑證過期設定警示。
一家擁有 45 家門市的地區性零售連鎖店,員工 Wi-Fi 使用 WPA2-Personal(預共用金鑰),顧客 Wi-Fi 使用開放網路。IT 總監希望將員工 Wi-Fi 遷移至使用 Microsoft NPS 作為 RADIUS 伺服器的 802.1X 驗證,並與 Active Directory 整合。這些門市混合使用了 Aruba 和 Cisco 的存取點。該連鎖店在 PCI DSS 範圍內。他們應該部署什麼架構,關鍵的設定決策又是什麼?
建議的架構是使用 PEAP-MSCHAPv2 作為初始 EAP 方法的 802.1X,並附帶一份遷移至 EAP-TLS 的記錄藍圖。NPS 伺服器應以備援對(主 + 備)的形式部署在中央資料中心,並在存取點上設定 RADIUS 代理以進行自動容錯移轉。設定決策:(1) NPS 網路策略:建立一個與員工 SSID 匹配且使用 PEAP-MSCHAPv2 的策略,要求具備 AD 安全群組(例如「WiFi-Staff-Access」)的成員資格。將工作階段逾時設定為 8 小時以強制重新驗證。(2) 憑證:從內部 Microsoft ADCS CA 部署 NPS 伺服器憑證。透過群組原則 (Windows) 和 MDM (iOS/Android) 將根 CA 憑證推送到所有員工裝置。(3) 用戶端 (Supplicant) 設定:透過群組原則(電腦設定 > Windows 設定 > 安全性設定 > 無線網路原則)設定 Windows 裝置。對於 iOS 和 Android 裝置,使用 MDM 設定檔。強制執行伺服器憑證驗證——不允許使用者接受任意憑證。(4) 存取點設定:在 Aruba 上,於 Authentication > Servers 下設定 RADIUS 伺服器。將共享金鑰設定為 32 字元的隨機字串。如果 Aruba 韌體支援 (AOS 8.9+),則啟用 RadSec。在 Cisco 上,於 Security > AAA > RADIUS 下進行設定。(5) NPS 記錄:啟用將 NPS 帳務記錄寫入 SQL Server 資料庫。設定至少 90 天的記錄保留期,以符合 PCI DSS 合規性。(6) 遷移後:在員工 SSID 上停用 WPA2-Personal。僅將其保留為備用 (break-glass) SSID,並將複雜的 PSK 儲存在金鑰管理器中,僅在 NPS 無法使用時使用。
練習題
Q1. 您的組織運行一台 FreeRADIUS 3.0.21 伺服器,為單一校區內的 800 台員工裝置提供 802.1X 驗證。該 RADIUS 伺服器與所有存取點(AP)處於同一個管理 VLAN 中。一項滲透測試指出,存取點在傳送 Access-Request 封包時未包含 Message-Authenticator 屬性。安全團隊希望立即強制執行 Message-Authenticator,但網路營運團隊擔心這會中斷 800 名使用者的驗證。您該如何安排修復順序,以將服務中斷降至最低?
提示:請考慮 RADIUS 伺服器要求 Message-Authenticator 與 NAS 裝置傳送該屬性之間的差異。這是兩個獨立的設定變更,具有不同的風險概況。
查看標準答案
正確的順序為:(1) 首先,將 FreeRADIUS 升級至 3.2.5 版本。此版本預設強制執行 Message-Authenticator,但包含一個相容模式,該模式會記錄警告,而不是直接拒絕缺少該屬性的封包。這能讓您完成修補,而不會立即中斷驗證。(2) 稽核存取點的韌體版本。識別哪些型號和韌體版本支援在 Access-Request 封包中傳送 Message-Authenticator。(3) 分批更新存取點的韌體,從 50 台裝置的試點群組開始。在每批更新後驗證驗證功能是否持續正常運作。(4) 確認所有存取點皆已傳送 Message-Authenticator 後,在 FreeRADIUS 伺服器上啟用嚴格強制執行(在 clients.conf 中設定 require_message_authenticator = yes)。(5) 監控 RADIUS 記錄,尋找任何殘留的「Message-Authenticator missing」警告,這將指出漏掉韌體更新的 NAS 裝置。核心原則是您可以先修補伺服器而不會中斷任何服務,因為相容模式提供了一個過渡期。在所有 NAS 裝置都更新完畢後,在伺服器上強制執行嚴格拒絕應該是最後一個步驟。
Q2. 一家會議中心營運商運行單一 RADIUS 伺服器,同時支援企業員工 SSID(使用 PEAP-MSCHAPv2 的 802.1X)和活動訪客 WiFi(使用 MAC Authentication Bypass 的 Captive Portal)。IT 經理詢問,鑑於訪客並非使用企業憑證進行驗證,訪客 WiFi 的 RADIUS 執行個體是否需要進行與企業 RADIUS 執行個體相同標準的安全強化?您的建議是什麼?
提示:請考慮適用於 MAC Authentication Bypass 與基於 EAP 驗證的攻擊媒介,以及訪客與企業 RADIUS 執行個體之間橫向移動的風險。
查看標準答案
訪客 WiFi 的 RADIUS 執行個體需要進行安全強化,但具體的控制措施與企業執行個體有所不同。BlastRADIUS 修補程式同樣適用——無論用戶端使用何種驗證方法,該漏洞都會影響 RADIUS 伺服器。共用金鑰(Shared secret)的衛生管理同樣適用——訪客 Captive Portal 控制器與 RADIUS 伺服器之間微弱的共用金鑰不論是否使用 EAP 都是可被利用的。關鍵的額外風險在於共用的 RADIUS 伺服器:如果訪客和企業 SSID 的驗證請求由同一個 RADIUS 伺服器程序處理,則訪客 RADIUS 路徑中的漏洞可能會被用作轉移到企業驗證原則的跳板。推薦的架構是為訪客和企業驗證運行獨立的 RADIUS 執行個體(或至少在 FreeRADIUS 內運行獨立的虛擬伺服器),並使用獨立的共用金鑰和獨立的原則集。這提供了隔離,使得訪客 RADIUS 路徑的入侵不會暴露企業憑證。具體針對訪客執行個體:修補 BlastRADIUS、輪替共用金鑰,並確保訪客 RADIUS 執行個體無法存取企業 Active Directory。EAP-TLS 和 RadSec 要求對於 Captive Portal 部署而言關聯性較低,但如果 Captive Portal 控制器與 RADIUS 伺服器處於不同的網路區段,仍應考慮使用 RadSec。
Q3. 某醫療信託機構計劃將其臨床 WiFi 從 WPA2-Personal 遷移到 802.1X 驗證。該信託機構擁有 1,200 台臨床裝置,包括 Windows 筆記型電腦、iOS 平板電腦和 Android 手持裝置。CISO 希望將 EAP-TLS 作為目標狀態。IT 總監擔心 PKI 部署的複雜性,並提議將 PEAP-MSCHAPv2 作為永久解決方案。您會如何建議 CISO 和 IT 總監,推薦的實施路徑是什麼?
提示:請考慮醫療保健環境特有的威脅模型——憑證外洩的後果是什麼,以及 EAP-TLS 如何解決 PEAP-MSCHAPv2 無法解決的風險?
查看標準答案
CISO 的直覺是正確的,但 IT 總監的擔憂也是合理的。推薦的建議是:現在先將 PEAP-MSCHAPv2 作為過渡方案實施,並承諾在 12 個月內過渡到 EAP-TLS。在醫療保健領域不接受 PEAP-MSCHAPv2 作為永久解決方案的理由是:(1) 如果未強制執行用戶端憑證驗證,PEAP-MSCHAPv2 容易受到惡意 RADIUS 伺服器攻擊。在臨床工作人員可能會連接個人裝置的醫療環境中,要在 1,200 台裝置上一致地強制執行 supplicant 設定在營運上具有挑戰性。(2) 如果透過惡意 RADIUS 攻擊擷取到 MSCHAPv2 憑證,可以使用 hashcat 等工具進行離線破解。在醫療背景下,這些憑證可能也提供了臨床系統的存取權限。(3) NHS DSPT 和 CQC 評估越來越期望對臨床網路存取採取強驗證控制。EAP-TLS 提供了更強的稽核證據。實施路徑:第 1-2 個月:透過 MDM 設定檔在所有 1,200 台裝置上部署強制執行伺服器憑證驗證的 PEAP-MSCHAPv2。第 3-6 個月:部署 Microsoft ADCS 作為 PKI 基礎架構。透過群組原則自動登錄 Windows 裝置。第 6-9 個月:透過 MDM 憑證設定檔登錄 iOS 和 Android 裝置。第 9-12 個月:將臨床 SSID 原則從 PEAP 遷移到 EAP-TLS。保留 PEAP 作為憑證登錄失敗之任何裝置的備用方案,並加強監控。如需更多關於臨床網路安全架構的資訊, WiFi in Hospitals guide 提供了相關的部署背景。
繼續閱讀本系列
Fortinet FortiAP 與訪客 WiFi:使用 Purple 設定 captive portal
了解在 FortiCloud 中管理的 Fortinet FortiAP 基地台如何透過外部 captive portal、RADIUS 和 walled garden 來與 Purple 訪客 WiFi 協同工作,無需更換您既有的設備。
Huawei iMaster NCE (CloudCampus) 與訪客 WiFi:使用 Purple 設定 captive portal
了解 Purple 的雲端訪客 WiFi 如何在透過 iMaster NCE 管理的 Huawei AirEngine 基地台上運作,利用 portal 驗證和 RADIUS relay,以及在哪裡可以找到確切的設定步驟。
Juniper Mist and guest WiFi:使用 Purple 設定 captive portal
Juniper Mist 基地台如何透過外部入口網頁與 Mist API secret 與 Purple 訪客 WiFi 協同工作,包括因為 Mist 在 captive portal 中不使用 RADIUS 而產生的差異。