Resmi Blog
해리슨 블로그

30 Yıllık RADIUS Protokolünde Kritik Bir Hata Bulundu

  • Yazım Dili: Korece
  • Baz Ülke: Tüm Ülkelercountry-flag
  • BT

Oluşturulma: 2024-07-13

Oluşturulma: 2024-07-13 14:34

30 Yıllık RADIUS Protokolünde Kritik Bir Güvenlik Açığı Bulundu: BlastRADIUS Açığı

Ağ kimlik doğrulamasının temelini oluşturan RADIUS protokolünde ciddi bir güvenlik açığı bulundu. 30 yıldır gizli kalan bu açık, 'BlastRADIUS' olarak adlandırıldı. Peki, bu açık neden bu kadar uzun süre fark edilmedi?

RADIUS Nedir?

RADIUS, 'Remote Authentication Dial-In User Service' kelimelerinin kısaltmasıdır. Bu, bir ağa erişmeye çalışan kullanıcıları kimlik doğrulayan ve yetkilendirme sağlayan bir protokoldür. Basitçe söylemek gerekirse, bir kullanıcı ağa bağlandığında "Kimsin? Girmene izin veriliyor mu?" diye soran bir kapıcı görevi görür.

RADIUS, çeşitli alanlarda kullanılır ve günlük hayatımızda en sık karşılaştığımız örneklerden biri de kurumsal Wi-Fi kimlik doğrulama sistemleridir. Örneğin:

Normal bir Wi-Fi ağına sadece şifre ile erişilebilir. Ancak bu durumda, şifreyi bilen herkes ağa erişebilir ve bu da güvenlik açısından risklidir. Ayrıca, kimin ne zaman ağa bağlandığını kesin olarak bilmek mümkün değildir.

Öte yandan, RADIUS kullanan kurumsal Wi-Fi sistemleri farklıdır. Çalışanlar, Wi-Fi'ye kendi şirket kimlik bilgileri ve şifreleri ile bağlanırlar. RADIUS sunucusu bu bilgileri doğrular ve yalnızca yetkili kullanıcılara ağ erişimi sağlar. Bu sayede kimin ne zaman ağa bağlandığını kesin olarak bilmek ve güvenliği artırmak mümkün olur.

Özellikle büyük şirketler bu tür sistemleri sıklıkla kullanır. Çünkü yüzlerce, binlerce çalışanın kendi özel hesaplarıyla ağa güvenli bir şekilde erişmesini sağlar.

Elbette RADIUS, kurumsal Wi-Fi'dan başka alanlarda da kullanılır:

1. İnternet Servis Sağlayıcıları (ISP): Müşterilerin internete bağlanırken kimlik doğrulaması
2. VPN: Uzaktan çalışanların şirket ağına güvenli bir şekilde erişim sağlaması
3. Toplu Wi-Fi Erişim Noktaları: Kullanıcı kimlik doğrulaması ve erişim yönetimi
4. Mobil Ağlar: Akıllı telefonların hücresel ağına bağlanırken kimlik doğrulaması

RADIUS, merkezi bir kimlik doğrulama yöntemi sağlayarak, yöneticilerin çok sayıda kullanıcının erişimini verimli bir şekilde kontrol etmesini sağlar. Ancak bu kadar önemli bir rol oynayan RADIUS'ta ciddi bir sorun keşfedildi.

Güvenlik Açığının Arkaplanı

RADIUS protokolü 1991 yılında tasarlandı. O zamanın ağ ortamı ve güvenlik kavramları bugünkünden oldukça farklıydı. Bu nedenle RADIUS, UDP tabanlı olarak tasarlandı. UDP hızlıdır ancak TLS gibi modern güvenlik protokollerine kıyasla güvenlik açısından zayıftır.

Güvenlik Açığının İçeriği

BlastRADIUS (CVE-2024-3596), MD5 çakışma saldırısını kullanır. MD5 de 90'ların başında ortaya çıkan bir karma işleviydi. Ancak zamanla MD5'in güvenlik açıkları ortaya çıktı. Saldırganlar bunu kullanarak RADIUS sunucusunun yanıtlarını manipüle edebilir. Sonuç olarak, kimlik doğrulamayı atlayabilir ve yetkilerini yükseltebilirler.

Burada dikkat çekici olan nokta MD5'in ciddi güvenlik açığıdır. Günümüzde güvenlik sektöründe MD5 kullanan sistemler son derece güvensiz olarak kabul edilir. Çünkü MD5 çok kolay bir şekilde kırılır. Şaşırtıcı bir şekilde, günümüzde MD5 karma değerini 1 dakikadan kısa sürede kırmak mümkün hale geldi. Bu da MD5 kullanan sistemlerin gerçek zamanlı olarak hacklenebileceği anlamına gelir.

Bu nedenle, modern şifre sistemleri MD5'ten SHA-1, SHA-2, SHA-3 gibi algoritmalara doğru evrim geçirmiştir. Artık güvenliğin önemli olduğu sistemlerde MD5 kullanımı oldukça nadirdir. Ancak RADIUS'un hala MD5 kullandığı gerçeği oldukça endişe vericidir.

Etkilenen Kapsam

RADIUS, modern iletişim ve kurumsal ağların temel bir unsurudur. Daha önce bahsedilen kurumsal Wi-Fi sistemlerinin yanı sıra ISP'ler, kamuya açık Wi-Fi ağları, mobil ağlar, IoT cihazları gibi hemen hemen her yerde kullanılır. Bu nedenle, bu güvenlik açığının etkisi çok geniş olabilir.

Çözüm Yolları

Araştırmacılar, RADIUS/UDP'nin tamamen kaldırılmasını öneriyorlar. Bunun yerine RADIUS over TLS (RADSEC) geçişine geçilmesini tavsiye ediyorlar. Ayrıca çoklu atlama yöntemi kullanımı ve RADIUS trafiğinin genel internetten ayrılması da öneriliyor.

BlastRADIUS, zamanla güvenlik açığı haline gelen 'tasarım hatası'nın tipik bir örneğidir. Özellikle MD5 gibi eski şifreleme teknolojilerinin hala kullanılması büyük bir sorundur. Bu, teknolojik gelişmelere paralel olarak güvenlik protokollerinin de sürekli olarak güncellenmesi gerektiğini göstermektedir. Şu ana kadar bu güvenlik açığını kullanan gerçek bir saldırı vakası bildirilmemiştir. Ancak potansiyel riskler göz önüne alındığında hızlı bir şekilde önlem almak gerekmektedir. Özellikle ağ ekipman üreticileri ve yöneticilerinin hızlı bir şekilde harekete geçmeleri gerekmektedir.

Konu

  • #Güvenlik Açığı
  • #MD5 Çakışması
  • #Ağ Kimlik Doğrulama
  • #BlastRADIUS
  • #RADIUS

Yorumlar0