Remote Authentication Dial-In User Service (RADIUS) é um protocolo originalmente desenvolvido para ser utilizado por provedores de serviços de internet (ISPs), sendo amplamente utilizado em aplicações como em redes corporativas, Wi-Fi, VPNs, e outros tipos de acesso remoto.

Apesar de sua ampla utilização e importância na segurança das redes, o protocolo RADIUS não está isento de vulnerabilidades. Problemas como o uso de algoritmos de criptografia mais antigos, a falta de proteção contra ataques man-in-the-middle e a possibilidade de captura de credenciais são alguns dos desafios de segurança que precisam ser considerados. 

Neste blog, iremos explorar essas vulnerabilidades e discutir como mitigá-las para garantir um ambiente de rede mais seguro.

Como o protocolo RADIUS funciona na prática?

Em uma primeira etapa, o RADIUS verifica as credenciais do usuário que tenta acessar a rede. Na segunda etapa ocorre a autorização, onde o protocolo determina quais recursos ou serviços o usuário autenticado pode acessar. Em seguida, ocorre a contabilização, onde o servidor registra informações sobre a sessão do usuário.

Neste contexto, o funcionamento do RADIUS envolve a interação entre três componentes principais: o cliente RADIUS, o servidor RADIUS e o banco de dados de autenticação.

1. Cliente RADIUS: geralmente, é o dispositivo de rede ao qual o usuário está tentando se conectar, como um ponto de acesso Wi-Fi, um servidor VPN, ou um switch. Quando o usuário tenta acessar a rede, o cliente RADIUS envia as credenciais do usuário (por exemplo, nome de usuário e senha) ao servidor RADIUS para validação.
2. Servidor RADIUS: este é o núcleo do processo. O servidor recebe a solicitação do cliente RADIUS e a compara com as informações armazenadas no banco de dados de autenticação. Dependendo da configuração, esse banco de dados pode ser local ou externo, como um diretório LDAP ou Active Directory. O servidor RADIUS verifica as credenciais e, se forem válidas, passa para a etapa de autorização.
3. Autorização e Resposta: após verificar as credenciais, o servidor RADIUS decide quais recursos ou serviços o usuário autenticado pode acessar. As políticas de autorização podem incluir acesso a determinadas redes, limitações de largura de banda, ou restrições de tempo. O servidor então envia uma resposta ao cliente RADIUS, aprovando ou negando o acesso. Se aprovado, o cliente RADIUS concede acesso ao usuário.
4. Contabilização: durante a sessão do usuário, o servidor RADIUS monitora e registra detalhes sobre o uso da rede, como tempo de conexão e volume de dados trafegados. Essas informações são essenciais para propósitos de auditoria, monitoramento de uso ou até mesmo para a cobrança de serviços em ambientes onde o acesso à rede é tarifado.

Em resumo, o RADIUS funciona como um intermediário confiável entre o usuário e a rede, garantindo que apenas usuários autorizados possam acessar recursos específicos. 

Quais são as vulnerabilidades do protocolo RADIUS?

Apesar de conter uma estrutura robusta, as vulnerabilidades inerentes ao protocolo RADIUS podem comprometer a segurança da rede, caso não sejam adequadamente abordadas. Veja quais são essas vulnerabilidades e, a seguir, como mitigá-las.

1. Criptografia fraca

O RADIUS utiliza o algoritmo de hash MD5 para proteger senhas durante a transmissão. No entanto, o MD5 é considerado inseguro há muitos anos devido à sua suscetibilidade a ataques de colisão, onde diferentes entradas podem produzir o mesmo hash, permitindo que um invasor decifre a senha.

Além disso, o protocolo criptografa apenas a senha do usuário na solicitação de autenticação, mas outras informações sensíveis, como nome de usuário, endereço IP e detalhes de autorização, são transmitidas em texto claro. Isso permite que um invasor, caso intercepte o tráfego, obtenha essas informações.

2. Vulnerabilidade a ataques Man-in-the-Middle (MitM)

Em redes sem proteção adequada, como redes Wi-Fi abertas ou mal configuradas, um invasor pode realizar um ataque Man-in-the-Middle, interceptando a comunicação entre o cliente RADIUS e o servidor. Isso permite que o invasor capture e manipule as credenciais ou outros dados transmitidos.

3. Falta de autenticação forte do servidor

O protocolo RADIUS não autentica fortemente o servidor ao qual o cliente está se conectando. Se um invasor conseguir inserir um servidor RADIUS falso na rede, ele pode capturar as credenciais de autenticação dos usuários.

4. Problemas de Implementação e configuração

O RADIUS utiliza chaves secretas compartilhadas entre o cliente e o servidor para proteger a comunicação. No entanto, essas chaves são frequentemente configuradas de forma inadequada, como sendo muito curtas, previsíveis ou reutilizadas em múltiplos dispositivos, facilitando ataques.

Ademais, muitos administradores deixam as configurações padrão do RADIUS inalteradas, o que pode incluir senhas fracas ou configurações de segurança inadequadas que tornam a rede vulnerável a ataques.

5. Ataques de dicionário e força bruta

Como o RADIUS usa MD5 para proteger as senhas, um invasor pode realizar ataques de dicionário ou força bruta para tentar adivinhar a senha, especialmente se as senhas forem curtas ou comuns.

6. Vulnerabilidade a eavesdropping

Em redes que não utilizam criptografia de camada de transporte (como TLS), é possível que um invasor capture pacotes RADIUS e obtenha informações sensíveis ou até mesmo injete comandos falsos na comunicação.

7. Escalabilidade e administração

Em grandes redes, administrar as chaves secretas e as políticas de autorização para todos os dispositivos e usuários pode se tornar complicado, levando a erros de configuração que abrem brechas de segurança.

8. Não suporta nativamente autenticação multifatorial (MFA)

O RADIUS foi desenvolvido antes do advento de práticas modernas de segurança, como a autenticação multifatorial (MFA). Embora existam extensões e soluções que integram MFA ao RADIUS, o protocolo em si não oferece suporte nativo para métodos de autenticação mais seguros.

Como mitigar essas vulnerabilidades?

Para mitigar as vulnerabilidades do protocolo RADIUS, é essencial adotar uma série de práticas de segurança que reforcem a proteção da rede. 

A primeira medida é substituir o uso do algoritmo MD5 por métodos de criptografia mais robustos, como o uso de IPsec ou Transport Layer Security (TLS) para criptografar toda a comunicação entre o cliente e o servidor RADIUS. Isso garante que não apenas as senhas, mas também outras informações sensíveis, sejam protegidas contra interceptação.

Outra prática fundamental é implementar autenticação multifatorial (MFA). Embora o RADIUS não suporte MFA nativamente, é possível integrá-lo a sistemas de autenticação que ofereçam essa camada adicional de segurança. Isso dificulta significativamente ataques de força bruta ou dicionário, pois, mesmo que as credenciais sejam comprometidas, o invasor ainda precisaria de um segundo fator de autenticação para obter acesso.

Além disso, a proteção contra ataques Man-in-the-Middle (MitM) pode ser aprimorada garantindo que a comunicação entre o cliente e o servidor RADIUS ocorra em uma rede segura e utilizando certificados digitais para autenticar o servidor. Isso evita que um invasor insira um servidor falso na rede para capturar credenciais.

A gestão cuidadosa das chaves secretas compartilhadas entre o cliente e o servidor RADIUS é outra medida essencial. As chaves devem ser longas, complexas e únicas para cada par de dispositivos, além de serem regularmente atualizadas para minimizar o risco de comprometimento. Também é importante evitar o uso de configurações padrão, que incluem muitas vezes senhas fracas ou configurações de segurança inadequadas.

Por fim, a administração de grandes redes deve incluir a implementação de políticas claras para a gestão de usuários e dispositivos, utilizando ferramentas de automação e monitoramento para detectar e corrigir rapidamente qualquer erro de configuração ou tentativa de invasão. 

A auditoria regular do ambiente e o treinamento contínuo das equipes de TI também são essenciais para garantir que as melhores práticas de segurança sejam seguidas e que o protocolo RADIUS continue a fornecer um nível adequado de proteção na rede.