circle-info
Este artigo foi traduzido automaticamente. A tradução pode conter imprecisões.
Alternar para a versão original em inglês.chevron-right
search

Segurança de Transporte no RADIUS vs. RadSec

Ao implementar autenticação segura usando o Extensible Authentication Protocol (EAP), a escolha do protocolo de transporte - RADIUS sobre UDP vs. RADIUS sobre TLS (RadSec) - desempenha um papel crítico na determinação de quão seguramente metadados e elementos de protocolo são transmitidos pela rede.

Tanto o RADIUS como o RadSec podem transportar mensagens EAP, incluindo aquelas usadas em métodos comuns como EAP-TLS, PEAP e EAP-TTLS. Embora o funcionamento interno do método EAP permaneça o mesmo, o protocolo de transporte impacta a visibilidade, integridade, confidencialidade dos metadados e o comportamento operacional.

Este documento compara como RADIUS e RadSec afetam o transporte de EAP - com foco em criptografia, uso do segredo compartilhado, exposição de atributos, implicações de logging e considerações de implantação.

hashtag
Segurança de Transporte: Diferenças Principais

Métodos EAP, como EAP-TLS, PEAP e EAP-TTLS, fornecem mecanismos de autenticação entre clientes (supplicants) e servidores de autenticação. No entanto, esses métodos não criptografam inerentemente o transporte de metadados entre nós intermediários. Esse papel cabe ao protocolo da camada de transporte:

  • RADIUS (UDP) transmite mensagens EAP e atributos RADIUS em texto claro.

  • RadSec (TLS) criptografa todo o pacote RADIUS, protegendo todos os atributos e cabeçalhos de protocolo durante o trânsito.

A tabela abaixo resume essas diferenças que afetam a confidencialidade de atributos como identidade externa, IP do NAS, ID da estação chamadora e mais. Embora os métodos EAP possam criptografar credenciais de usuário (por exemplo, certificados ou senhas), metadados permanecem expostos no RADIUS padrão, a menos que o RadSec seja usado.

Protocolo
RADIUS
RadSec

Protocolo da Camada de Transporte

UDP (tipicamente)

TLS sobre TCP

Criptografia

Sem criptografia de transporte

Criptografia de transporte completa

Porta Padrão*

UDP 1812

TCP 2083

Observações

Sem estado; pode ser filtrado por firewalls.

Com estado; estabelece túneis seguros.

*Embora essas portas sejam os padrões reconhecidos, algumas implantações podem personalizá-las por motivos de política local ou infraestrutura.

hashtag
O Papel do Segredo Compartilhado RADIUS em Ambos os Protocolos

O segredo compartilhado RADIUS é usado para integridade de pacotes e comportamentos de criptografia legados. Isso se aplica independentemente de o transporte ser RADIUS padrão ou RadSec.

Usos principais:

  • Message-Authenticator AVP: Garante a integridade do pacote usando HMAC-MD5.

  • User-Password AVP (métodos legados): Criptografa credenciais usando o segredo compartilhado.

  • Compatibilidade RadSec: Mesmo no RadSec, o segredo compartilhado é mantido para compatibilidade com a semântica RADIUS e sistemas intermediários.

circle-info

Nota: O segredo compartilhado nunca é transmitido pela rede - ele é usado localmente para operações HMAC e validação de AVP.

hashtag
Visibilidade de Elementos de Dados: RADIUS vs. RadSec

Esta tabela compara elementos de dados chave ao usar EAP-TLS sobre RADIUS (UDP) e RadSec (TLS), agrupados pelo risco de visibilidade durante a transmissão.

Elemento de Dados
RADIUS (UDP)
RadSec (RADIUS sobre TLS)
Exemplo / Observações

Pacote RADIUS externo

Texto claro (sobre UDP ou TCP).

Criptografado (sobre TLS).

Inclui tanto cabeçalhos quanto AVPs. Ex.: pacote visível no Wireshark ou tcpdump.

Identidade do usuário (identidade externa)

Enviada em texto claro.

Criptografado (sobre TLS).

[email protected] usada para roteamento de realm.

AVPs (Atributos) RADIUS

Alguns em texto claro (por exemplo, NAS-IP, User-Name).

Totalmente criptografados no TLS.

NAS-IP-Address,

Calling-Station-Id

Cabeçalhos RADIUS

Texto claro

Criptografado em TLS

Código (mensagem Access-Request), Identificador,

Comprimento,

Autenticador

Segredo compartilhado RADIUS

Não transmitido (usado internamente)

Não transmitido (usado internamente)

Usado para criptografia de AVP e Message-Authenticator validação.

Payload EAP

Criptografado entre cliente e servidor

Criptografado em TLS

Inclui handshake TLS, validação de certificado, etc.

Credenciais de usuário (certificados/chaves)

Criptografadas no túnel EAP

Criptografadas no túnel EAP + TLS

Aplica-se a métodos baseados em certificado (EAP-TLS) e baseados em senha (PEAP). Certificado do cliente com subject CN=jsmith, OU=IT

Senha (por exemplo, PEAP ou MSCHAPv2)

Criptografada no método tunelado (por exemplo, PEAP)

Criptografada no túnel EAP + TLS

Aplica-se a métodos baseados em senha.

hashtag
Privacidade de Identidade: Identidade Externa vs. Interna

Métodos EAP que usam tunelamento ou certificados (por exemplo, PEAP, EAP-TTLS, EAP-TLS) suportam identidades externa e interna:

  • Identidade Externa: Enviada em claro no AVP User-Name para facilitar o roteamento de realm. Frequentemente anonimizada (por exemplo, [email protected]).

  • Identidade Interna: Transportada de forma segura dentro do túnel EAP criptografado (por exemplo, nome de usuário/senha, CN do certificado).

hashtag
Comportamento entre transportes:

  • Em RADIUS, a identidade externa é enviada em texto simples e é visível na rede.

  • Em RadSec, todo o pacote incluindo a identidade externa é criptografado.

Preocupações de privacidade relacionadas à Identidade Externa ser transmitida em texto claro com RADIUS podem ser mitigadas configurando privacidade de identidade ou aproveitando certificados de dispositivo que não contenham dados PII no atributo common name

circle-info

Nota: Algumas plataformas, como o cliente EAP nativo do Windows, podem não suportar privacidade de identidade por padrão em métodos como EAP-TLS, potencialmente expondo a identidade real na camada externa.

hashtag
Identidade Externa

A tabela abaixo fornece uma visão geral dos valores típicos que várias plataformas de SO preenchem na Identidade Externa.

Tipo de Credencial
Identidade Externa
SO Aplicável

Nome de usuário/Senha

Tipicamente: - UPN - Endereço de Email

  • Windows (pode ser anonimizado)

  • iOS, iPadOS, macOS (pode ser anonimizado)

  • Android (pode ser anonimizado)

Certificado do Dispositivo

Propriedade common name (CN) do nome do sujeito do certificado do cliente. Tipicamente: - DeviceName - Intune Device ID (GUID) - AAD Device ID (GUID)

  • Windows (não pode ser anonimizado) *

  • iOS, iPadOS, macOS (pode ser anonimizado)

  • Android (pode ser anonimizado)

Certificado de Usuário

Propriedade common name (CN) do nome do sujeito do certificado do cliente. Tipicamente: - UPN - Endereço de Email

  • Windows (não pode ser anonimizado)*

  • iOS, iPadOS, macOS (pode ser anonimizado)

  • Android (pode ser anonimizado)

*O cliente EAP usado no Windows não suporta privacidade de identidade para EAP-TLS.

hashtag
Considerações de Logging e Implantação

hashtag
RadSec (TLS)

RadSec criptografa todo o pacote RADIUS, o que impede escutas passivas. Isso desloca o logging e diagnósticos da inspeção de rede para o nível da aplicação ou do servidor RADIUS, pois estes são os endpoints que terminam a sessão TLS. Organizações que migram para RadSec devem avaliar fluxos de monitoramento para acomodar tráfego criptografado.

hashtag
RADIUS (UDP)

A transmissão em texto claro de atributos (User-Name, NAS-IP-Address, etc.) simplifica a solução de problemas e diagnósticos ao vivo, possibilitando captura de pacotes com ferramentas mínimas. Contudo, isso aumenta o risco de exposição de metadados sensíveis durante o trânsito.

hashtag
Suporte de Rede

O suporte ao RadSec não é universal em todos os dispositivos de rede e infraestrutura. Muitos switches de rede, pontos de acesso wireless e firewalls suportam apenas RADIUS tradicional. Em ambientes mistos, pode ser necessário um proxy RadSec-para-RADIUS para interligar componentes modernos e legados. Avaliações de infraestrutura são recomendadas antes de implantar o RadSec em produção.

hashtag
Conclusão e Principais Conclusões

Transportar métodos EAP tanto sobre RADIUS quanto sobre RadSec oferece a mesma proteção forte de ponta a ponta para credenciais de usuário, mas difere significativamente em como metadados e elementos de protocolo são expostos durante o trânsito.

  • Proteção E2E do EAP: EAP fornece forte proteção para credenciais de usuário tanto sobre RADIUS quanto sobre RadSec.

  • Diferença Primária: RADIUS usa UDP e não criptografa o próprio pacote RADIUS, enquanto RadSec envolve todo o pacote em TLS, ocultando todos os atributos e cabeçalhos na rede.

  • Confidencialidade de Metadados: RadSec criptografa todos os metadados (cabeçalhos, atributos e Identidade Externa), prevenindo exposição em nível de rede.

  • Segredo Compartilhado: O Segredo Compartilhado nunca é transmitido. Ele é usado apenas localmente para calcular verificações de integridade de mensagens e verificar autenticidade.

  • Compromissos: RadSec fornece confidencialidade aprimorada, mas complica diagnósticos devido à criptografia, e seu suporte não é universal em todos os equipamentos de rede.

hashtag
Padrões e Referências RFC

Para mais detalhes sobre protocolos e especificações:

  • EAP (Extensible Authentication Protocol): RFC 3748

  • EAP-TLS: RFC 5216

  • RADIUS (Remote Authentication Dial-In User Service): RFC 2865

  • RadSec (RADIUS sobre TLS): RFC 6614

Last updated

Was this helpful?