# Segurança de Transporte no RADIUS vs. RadSec

Ao implementar autenticação segura usando o Extensible Authentication Protocol (EAP), a escolha do protocolo de transporte - RADIUS sobre UDP vs. RADIUS sobre TLS (RadSec) - desempenha um papel crítico na determinação de quão seguramente os metadados e os elementos do protocolo são transmitidos pela rede.

Tanto o RADIUS quanto o RadSec podem transportar mensagens EAP, incluindo as usadas em métodos comuns como EAP-TLS, PEAP e EAP-TTLS. Embora o funcionamento interno do método EAP permaneça o mesmo, o protocolo de transporte afeta a visibilidade, a integridade, a confidencialidade dos metadados e o comportamento operacional.

Este documento compara como o RADIUS e o RadSec afetam o transporte EAP - com foco na encriptação, no uso de segredo partilhado, na exposição de atributos, nas implicações de registo e nas considerações de implementação.

***

### Segurança do Transporte: Diferenças Principais

Métodos EAP como EAP-TLS, PEAP e EAP-TTLS fornecem mecanismos de autenticação entre clientes (supplicants) e servidores de autenticação. No entanto, estes métodos não encriptam inerentemente o transporte de metadados entre nós intermédios. Essa função cabe ao protocolo da camada de transporte:

* RADIUS (UDP) transmite mensagens EAP e atributos RADIUS em texto simples.
* RadSec (TLS) encripta o pacote RADIUS completo, protegendo todos os atributos e cabeçalhos do protocolo durante o trânsito.

A tabela abaixo resume estas diferenças, que afetam a confidencialidade de atributos como outer identity, NAS IP, calling station ID e outros. Embora os métodos EAP possam encriptar credenciais do utilizador (por exemplo, certificados ou palavras-passe), os metadados permanecem expostos no RADIUS padrão, a menos que seja usado RadSec.

| Protocolo                         | RADIUS                                       | RadSec                                 |
| --------------------------------- | -------------------------------------------- | -------------------------------------- |
| Protocolo da Camada de Transporte | UDP (tipicamente)                            | TLS sobre TCP                          |
| Encriptação                       | Sem encriptação de transporte                | Encriptação completa do transporte     |
| Porta Padrão\*                    | UDP 1812                                     | TCP 2083                               |
| Notas                             | Sem estado; pode ser filtrado por firewalls. | Com estado; estabelece túneis seguros. |

\*Embora estas portas sejam os padrões reconhecidos, algumas implementações podem personalizá-las por motivos de política local ou infraestrutura.

***

### O Papel do Segredo Partilhado RADIUS em Ambos os Protocolos

O segredo partilhado do RADIUS é usado para integridade de pacotes e comportamentos legados de encriptação. Isto aplica-se independentemente de o transporte ser RADIUS padrão ou RadSec.

**Utilizações principais:**

* **Message-Authenticator AVP**: Garante a integridade do pacote usando HMAC-MD5.
* **User-Password AVP (métodos legados)**: Encripta credenciais usando o segredo partilhado.
* **Compatibilidade com RadSec**: Mesmo em RadSec, o segredo partilhado é mantido por compatibilidade com a semântica RADIUS e com sistemas intermédios.

{% hint style="info" %}
**Nota:** O segredo partilhado nunca é transmitido pela rede - é usado localmente para operações HMAC e validação de AVP.
{% endhint %}

***

### Visibilidade dos Elementos de Dados: RADIUS vs. RadSec

Esta tabela compara os principais elementos de dados ao usar EAP-TLS sobre RADIUS (UDP) e RadSec (TLS), agrupados pelo risco de visibilidade durante a transmissão.

<table data-full-width="false"><thead><tr><th width="151.4000244140625">Elemento de Dados</th><th width="175.0001220703125">RADIUS (UDP)</th><th width="175.80010986328125">RadSec (RADIUS sobre TLS)</th><th>Exemplo / Notas</th></tr></thead><tbody><tr><td><strong>Pacote RADIUS exterior</strong></td><td>Texto simples (via UDP ou TCP).</td><td>Encriptado (via TLS).</td><td>Inclui tanto os cabeçalhos como os AVPs. Ex.: pacote visível no Wireshark ou tcpdump.</td></tr><tr><td><strong>Identidade do utilizador (identidade exterior)</strong></td><td>Enviado em texto simples.</td><td>Encriptado (via TLS).</td><td><code>anonymous@organisation.com</code> usado para encaminhamento de realm.</td></tr><tr><td><strong>AVPs RADIUS (Atributos)</strong></td><td>Alguns em texto simples (por exemplo, NAS-IP, User-Name).</td><td>Totalmente encriptado em TLS.</td><td><p><code>NAS-IP-Address,</code></p><p> <code>Calling-Station-Id</code></p></td></tr><tr><td><strong>Cabeçalhos RADIUS</strong></td><td>Texto simples</td><td>Encriptado em TLS</td><td><p>Code (<code>mensagem Access-Request</code>), <code>Identifier,</code> </p><p><code>Length,</code> </p><p><code>Authenticator</code></p></td></tr><tr><td><strong>Segredo partilhado RADIUS</strong></td><td>Não transmitido (usado internamente)</td><td>Não transmitido (usado internamente)</td><td>Usado para encriptação de AVP e <code>Message-Authenticator</code> validação.</td></tr><tr><td><strong>Carga útil EAP</strong> </td><td>Encriptada entre cliente e servidor</td><td>Encriptado em TLS</td><td>Inclui handshake TLS, validação de certificado, etc.</td></tr><tr><td><strong>Credenciais do utilizador (certificados/chaves)</strong></td><td>Encriptadas no túnel EAP</td><td>Encriptadas no túnel EAP + TLS</td><td>Aplica-se a métodos baseados em certificado (EAP-TLS) e baseados em palavra-passe (PEAP). Certificado de cliente com subject <code>CN=jsmith, OU=IT</code></td></tr><tr><td><strong>Palavra-passe (por exemplo, PEAP ou MSCHAPv2)</strong></td><td>Encriptada no método em túnel (por exemplo, PEAP)</td><td>Encriptada no túnel EAP + TLS</td><td>Aplica-se a métodos baseados em palavra-passe.</td></tr></tbody></table>

***

### Privacidade da Identidade: Identidade Exterior vs. Interior

Métodos EAP que usam tunelização ou certificados (por exemplo, PEAP, EAP-TTLS, EAP-TLS) suportam identidades exterior e interior:

* **Identidade Exterior**: Enviada em texto simples no AVP User-Name para facilitar o encaminhamento de realm. Frequentemente anonimizada (por exemplo,  `anonymous@domain.com`).
* **Identidade Interior**: Transportada de forma segura dentro do túnel EAP encriptado (por exemplo, nome de utilizador/palavra-passe, CN do certificado).

#### Comportamento entre transportes:

* Em **RADIUS**, a identidade exterior é enviada em texto simples e fica visível no tráfego de rede.
* Em **RadSec**, o pacote completo, incluindo a identidade exterior, é encriptado.

As preocupações de privacidade relacionadas com a identidade exterior ser transmitida em texto simples com RADIUS podem ser mitigadas configurando a privacidade da identidade ou usando certificados de dispositivo que não contenham dados pessoais identificáveis (PII) no atributo common name

{% hint style="info" %}
**Nota**: Algumas plataformas, como o cliente EAP nativo do Windows, podem não suportar privacidade de identidade por predefinição em métodos como EAP-TLS, expondo potencialmente a identidade real na camada exterior.
{% endhint %}

#### Identidade Exterior

A tabela abaixo fornece uma visão geral dos valores típicos que várias plataformas OS utilizam para preencher a Identidade Exterior.

| Tipo de Credencial               | Identidade Exterior                                                                                                                                                                                               | SO Aplicável                                                                                                                                                                      |
| -------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| Nome de utilizador/Palavra-passe | <p><br><br>Tipicamente:<br>- <code>UPN</code><br>- <code>Endereço de e-mail</code></p>                                                                                                                            | <ul><li>Windows<br>(pode ser anonimizado)</li><li>iOS, iPadOS, macOS<br>(pode ser anonimizado)</li><li>Android<br>(pode ser anonimizado)</li></ul>                                |
| Certificado de Dispositivo       | <p>Propriedade common name (CN) do subject name do certificado do cliente. <br><br>Tipicamente:<br>- <code>DeviceName</code><br>- <code>Intune Device ID</code> (GUID)<br>- <code>AAD Device ID</code> (GUID)</p> | <p></p><ul><li>Windows<br>(<strong>não pode ser anonimizado</strong>) \*</li><li>iOS, iPadOS, macOS<br>(pode ser anonimizado)</li><li>Android<br>(pode ser anonimizado)</li></ul> |
| Certificado de Utilizador        | <p>Propriedade common name (CN) do subject name do certificado do cliente. <br><br>Tipicamente:<br>- <code>UPN</code><br>- <code>Endereço de e-mail</code></p>                                                    | <p></p><ul><li>Windows<br>(<strong>não pode ser anonimizado</strong>)\*</li><li>iOS, iPadOS, macOS<br>(pode ser anonimizado)</li><li>Android<br>(pode ser anonimizado)</li></ul>  |

\*O cliente EAP usado no Windows não suporta privacidade de identidade para EAP-TLS.

***

### Considerações de Registo e Implementação

#### RadSec (TLS)

RadSec encripta o pacote RADIUS completo, o que impede a escuta passiva. Isto desloca o registo e a diagnóstico da inspeção de rede para o nível da aplicação ou do servidor RADIUS, uma vez que estes são os pontos finais que encerram a sessão TLS. As organizações que transitam para RadSec devem avaliar os fluxos de monitorização para acomodar o tráfego encriptado.

#### RADIUS (UDP)

A transmissão em texto simples de atributos (User-Name, NAS-IP-Address, etc.) simplifica a resolução de problemas e os diagnósticos em tempo real, permitindo captura de pacotes com ferramentas mínimas. No entanto, isso aumenta o risco de exposição de metadados sensíveis durante o trânsito.

#### Suporte de Rede

O suporte a RadSec não é universal em todos os dispositivos e infraestruturas de rede. Muitos switches de rede, pontos de acesso sem fios e firewalls suportam apenas RADIUS tradicional. Em ambientes mistos, poderá ser necessário um proxy RadSec-to-RADIUS para ligar componentes modernos e legados. Recomenda-se avaliar a infraestrutura antes de implementar RadSec em produção.

***

### Conclusão e Principais Conclusões

Transportar métodos EAP através de RADIUS ou RadSec oferece a mesma forte proteção de ponta a ponta para as credenciais do utilizador, mas difere significativamente na forma como os metadados e os elementos do protocolo são expostos durante o trânsito.

* **Proteção EAP de Ponta a Ponta**: O EAP fornece forte proteção para as credenciais do utilizador tanto sobre RADIUS como sobre RadSec.
* **Diferença Principal**: O RADIUS usa UDP e não encripta o próprio pacote RADIUS, enquanto o RadSec envolve o pacote completo em TLS, ocultando todos os atributos e cabeçalhos do tráfego de rede.
* **Confidencialidade dos Metadados**: O RadSec encripta todos os metadados (cabeçalhos, atributos e Identidade Exterior), evitando a exposição ao nível da rede.
* **Segredo partilhado**: O Segredo Partilhado nunca é transmitido. É usado apenas localmente para calcular verificações de integridade de mensagens e verificar autenticidade.
* **Compromissos**: O RadSec fornece maior confidencialidade, mas complica os diagnósticos devido à encriptação, e o seu suporte não é universal em todos os equipamentos de rede.

***

### Normas e Referências RFC

Para mais detalhes sobre protocolos e especificações:

* EAP (Extensible Authentication Protocol): RFC 3748
* EAP-TLS: RFC 5216
* RADIUS (Remote Authentication Dial-In User Service): RFC 2865
* RadSec (RADIUS sobre TLS): RFC 6614


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.radiusaas.com/pt/outro/faqs/security-and-privacy/seguranca-de-transporte-no-radius-vs.-radsec.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.
Elemento de Dados	RADIUS (UDP)	RadSec (RADIUS sobre TLS)	Exemplo / Notas
Pacote RADIUS exterior	Texto simples (via UDP ou TCP).	Encriptado (via TLS).	Inclui tanto os cabeçalhos como os AVPs. Ex.: pacote visível no Wireshark ou tcpdump.
Identidade do utilizador (identidade exterior)	Enviado em texto simples.	Encriptado (via TLS).	`anonymous@organisation.com` usado para encaminhamento de realm.
AVPs RADIUS (Atributos)	Alguns em texto simples (por exemplo, NAS-IP, User-Name).	Totalmente encriptado em TLS.	`NAS-IP-Address,` `Calling-Station-Id`
Cabeçalhos RADIUS	Texto simples	Encriptado em TLS	Code (`mensagem Access-Request`), `Identifier,` `Length,` `Authenticator`
Segredo partilhado RADIUS	Não transmitido (usado internamente)	Não transmitido (usado internamente)	Usado para encriptação de AVP e `Message-Authenticator` validação.
Carga útil EAP	Encriptada entre cliente e servidor	Encriptado em TLS	Inclui handshake TLS, validação de certificado, etc.
Credenciais do utilizador (certificados/chaves)	Encriptadas no túnel EAP	Encriptadas no túnel EAP + TLS	Aplica-se a métodos baseados em certificado (EAP-TLS) e baseados em palavra-passe (PEAP). Certificado de cliente com subject `CN=jsmith, OU=IT`
Palavra-passe (por exemplo, PEAP ou MSCHAPv2)	Encriptada no método em túnel (por exemplo, PEAP)	Encriptada no túnel EAP + TLS	Aplica-se a métodos baseados em palavra-passe.