Este artigo foi traduzido automaticamente. A tradução pode conter imprecisões.
Alternar para a versão original em inglês.
Ctrlk

Segurança de Transporte em RADIUS vs. RadSec

Ao implementar autenticação segura usando o Extensible Authentication Protocol (EAP), a escolha do protocolo de transporte - RADIUS sobre UDP vs. RADIUS sobre TLS (RadSec) - desempenha um papel crítico na determinação de quão seguramente os metadados e os elementos do protocolo são transmitidos pela rede.

Tanto o RADIUS quanto o RadSec podem transportar mensagens EAP, incluindo as usadas em métodos comuns como EAP-TLS, PEAP e EAP-TTLS. Embora o funcionamento interno do método EAP permaneça o mesmo, o protocolo de transporte afeta a visibilidade, a integridade, a confidencialidade dos metadados e o comportamento operacional.

Este documento compara como o RADIUS e o RadSec afetam o transporte EAP - com foco na encriptação, no uso de segredo partilhado, na exposição de atributos, nas implicações de registo e nas considerações de implementação.

Segurança do Transporte: Diferenças Principais

Métodos EAP como EAP-TLS, PEAP e EAP-TTLS fornecem mecanismos de autenticação entre clientes (supplicants) e servidores de autenticação. No entanto, estes métodos não encriptam inerentemente o transporte de metadados entre nós intermédios. Essa função cabe ao protocolo da camada de transporte:

  • RADIUS (UDP) transmite mensagens EAP e atributos RADIUS em texto simples.

  • RadSec (TLS) encripta o pacote RADIUS completo, protegendo todos os atributos e cabeçalhos do protocolo durante o trânsito.

A tabela abaixo resume estas diferenças, que afetam a confidencialidade de atributos como outer identity, NAS IP, calling station ID e outros. Embora os métodos EAP possam encriptar credenciais do utilizador (por exemplo, certificados ou palavras-passe), os metadados permanecem expostos no RADIUS padrão, a menos que seja usado RadSec.

Protocolo
RADIUS
RadSec

Protocolo da Camada de Transporte

UDP (tipicamente)

TLS sobre TCP

Encriptação

Sem encriptação de transporte

Encriptação completa do transporte

Porta Padrão*

UDP 1812

TCP 2083

Notas

Sem estado; pode ser filtrado por firewalls.

Com estado; estabelece túneis seguros.

*Embora estas portas sejam os padrões reconhecidos, algumas implementações podem personalizá-las por motivos de política local ou infraestrutura.

O Papel do Segredo Partilhado RADIUS em Ambos os Protocolos

O segredo partilhado do RADIUS é usado para integridade de pacotes e comportamentos legados de encriptação. Isto aplica-se independentemente de o transporte ser RADIUS padrão ou RadSec.

Utilizações principais:

  • Message-Authenticator AVP: Garante a integridade do pacote usando HMAC-MD5.

  • User-Password AVP (métodos legados): Encripta credenciais usando o segredo partilhado.

  • Compatibilidade com RadSec: Mesmo em RadSec, o segredo partilhado é mantido por compatibilidade com a semântica RADIUS e com sistemas intermédios.

Nota: O segredo partilhado nunca é transmitido pela rede - é usado localmente para operações HMAC e validação de AVP.

Visibilidade dos Elementos de Dados: RADIUS vs. RadSec

Esta tabela compara os principais elementos de dados ao usar EAP-TLS sobre RADIUS (UDP) e RadSec (TLS), agrupados pelo risco de visibilidade durante a transmissão.

Elemento de Dados
RADIUS (UDP)
RadSec (RADIUS sobre TLS)
Exemplo / Notas

Pacote RADIUS exterior

Texto simples (via UDP ou TCP).

Encriptado (via TLS).

Inclui tanto os cabeçalhos como os AVPs. Ex.: pacote visível no Wireshark ou tcpdump.

Identidade do utilizador (identidade exterior)

Enviado em texto simples.

Encriptado (via TLS).

[email protected] usado para encaminhamento de realm.

AVPs RADIUS (Atributos)

Alguns em texto simples (por exemplo, NAS-IP, User-Name).

Totalmente encriptado em TLS.

NAS-IP-Address,

Calling-Station-Id

Cabeçalhos RADIUS

Texto simples

Encriptado em TLS

Code (mensagem Access-Request), Identifier,

Length,

Authenticator

Segredo partilhado RADIUS

Não transmitido (usado internamente)

Não transmitido (usado internamente)

Usado para encriptação de AVP e Message-Authenticator validação.

Carga útil EAP

Encriptada entre cliente e servidor

Encriptado em TLS

Inclui handshake TLS, validação de certificado, etc.

Credenciais do utilizador (certificados/chaves)

Encriptadas no túnel EAP

Encriptadas no túnel EAP + TLS

Aplica-se a métodos baseados em certificado (EAP-TLS) e baseados em palavra-passe (PEAP). Certificado de cliente com subject CN=jsmith, OU=IT

Palavra-passe (por exemplo, PEAP ou MSCHAPv2)

Encriptada no método em túnel (por exemplo, PEAP)

Encriptada no túnel EAP + TLS

Aplica-se a métodos baseados em palavra-passe.

Privacidade da Identidade: Identidade Exterior vs. Interior

Métodos EAP que usam tunelização ou certificados (por exemplo, PEAP, EAP-TTLS, EAP-TLS) suportam identidades exterior e interior:

  • Identidade Exterior: Enviada em texto simples no AVP User-Name para facilitar o encaminhamento de realm. Frequentemente anonimizada (por exemplo, [email protected]).

  • Identidade Interior: Transportada de forma segura dentro do túnel EAP encriptado (por exemplo, nome de utilizador/palavra-passe, CN do certificado).

Comportamento entre transportes:

  • Em RADIUS, a identidade exterior é enviada em texto simples e fica visível no tráfego de rede.

  • Em RadSec, o pacote completo, incluindo a identidade exterior, é encriptado.

As preocupações de privacidade relacionadas com a identidade exterior ser transmitida em texto simples com RADIUS podem ser mitigadas configurando a privacidade da identidade ou usando certificados de dispositivo que não contenham dados pessoais identificáveis (PII) no atributo common name

Nota: Algumas plataformas, como o cliente EAP nativo do Windows, podem não suportar privacidade de identidade por predefinição em métodos como EAP-TLS, expondo potencialmente a identidade real na camada exterior.

Identidade Exterior

A tabela abaixo fornece uma visão geral dos valores típicos que várias plataformas OS utilizam para preencher a Identidade Exterior.

Tipo de Credencial
Identidade Exterior
SO Aplicável

Nome de utilizador/Palavra-passe

Tipicamente: - UPN - Endereço de e-mail

  • Windows (pode ser anonimizado)

  • iOS, iPadOS, macOS (pode ser anonimizado)

  • Android (pode ser anonimizado)

Certificado de Dispositivo

Propriedade common name (CN) do subject name do certificado do cliente. Tipicamente: - DeviceName - Intune Device ID (GUID) - AAD Device ID (GUID)

  • Windows (não pode ser anonimizado) *

  • iOS, iPadOS, macOS (pode ser anonimizado)

  • Android (pode ser anonimizado)

Certificado de Utilizador

Propriedade common name (CN) do subject name do certificado do cliente. Tipicamente: - UPN - Endereço de e-mail

  • Windows (não pode ser anonimizado)*

  • iOS, iPadOS, macOS (pode ser anonimizado)

  • Android (pode ser anonimizado)

*O cliente EAP usado no Windows não suporta privacidade de identidade para EAP-TLS.

Considerações de Registo e Implementação

RadSec (TLS)

RadSec encripta o pacote RADIUS completo, o que impede a escuta passiva. Isto desloca o registo e a diagnóstico da inspeção de rede para o nível da aplicação ou do servidor RADIUS, uma vez que estes são os pontos finais que encerram a sessão TLS. As organizações que transitam para RadSec devem avaliar os fluxos de monitorização para acomodar o tráfego encriptado.

RADIUS (UDP)

A transmissão em texto simples de atributos (User-Name, NAS-IP-Address, etc.) simplifica a resolução de problemas e os diagnósticos em tempo real, permitindo captura de pacotes com ferramentas mínimas. No entanto, isso aumenta o risco de exposição de metadados sensíveis durante o trânsito.

Suporte de Rede

O suporte a RadSec não é universal em todos os dispositivos e infraestruturas de rede. Muitos switches de rede, pontos de acesso sem fios e firewalls suportam apenas RADIUS tradicional. Em ambientes mistos, poderá ser necessário um proxy RadSec-to-RADIUS para ligar componentes modernos e legados. Recomenda-se avaliar a infraestrutura antes de implementar RadSec em produção.

Conclusão e Principais Conclusões

Transportar métodos EAP através de RADIUS ou RadSec oferece a mesma forte proteção de ponta a ponta para as credenciais do utilizador, mas difere significativamente na forma como os metadados e os elementos do protocolo são expostos durante o trânsito.

  • Proteção EAP de Ponta a Ponta: O EAP fornece forte proteção para as credenciais do utilizador tanto sobre RADIUS como sobre RadSec.

  • Diferença Principal: O RADIUS usa UDP e não encripta o próprio pacote RADIUS, enquanto o RadSec envolve o pacote completo em TLS, ocultando todos os atributos e cabeçalhos do tráfego de rede.

  • Confidencialidade dos Metadados: O RadSec encripta todos os metadados (cabeçalhos, atributos e Identidade Exterior), evitando a exposição ao nível da rede.

  • Segredo partilhado: O Segredo Partilhado nunca é transmitido. É usado apenas localmente para calcular verificações de integridade de mensagens e verificar autenticidade.

  • Compromissos: O RadSec fornece maior confidencialidade, mas complica os diagnósticos devido à encriptação, e o seu suporte não é universal em todos os equipamentos de rede.

Normas e Referências RFC

Para mais detalhes sobre protocolos e especificações:

  • EAP (Extensible Authentication Protocol): RFC 3748

  • EAP-TLS: RFC 5216

  • RADIUS (Remote Authentication Dial-In User Service): RFC 2865

  • RadSec (RADIUS sobre TLS): RFC 6614

Última atualização

Isto foi útil?