Blast-RADIUS攻击分析与缓解措施

本文探讨了Blast-RADIUS攻击漏洞及其应对方案,重点分析了在UDP传输环境下通过Message-Authenticator属性和HMAC-MD5进行数据包认证的临时解决方案,并列举了主流RADIUS实现厂商的更新情况。

Blast-RADIUS攻击

我们正在针对Blast-RADIUS攻击开发修复方案。该漏洞可能造成严重影响且修复工作需要较长时间。

目前我们在所有RADIUS通信中都启用了消息认证机制,这是应对Blast-RADIUS攻击的缓解措施:

对于必须继续通过UDP传输RADIUS的环境,研究人员建议客户端和服务端都应始终在请求和响应中使用HMAC-MD5算法的Message-Authenticator属性进行数据包认证。对于Access-Accept和Access-Reject响应,Message-Authenticator应当作为首个属性出现。目前五大主流RADIUS实现——包括FreeRADIUS、Radiator、思科、微软和诺基亚——均已提供遵循该临时建议的更新版本。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次