Giao thức RADIUS: kiến trúc, phương pháp xác thực và bảo mật

Hoàng

December 16, 2025

22 phút đọc

Xác thực giải quyết câu hỏi bảo mật cơ bản: “Người dùng hoặc thiết bị này đang cố truy cập mạng là ai?”

Trong hệ sinh thái RADIUS, quá trình này bắt đầu khi một yêu cầu có thể là thiết bị không dây, người dùng VPN, hoặc thiết bị mạng có dây gửi thông tin xác thực đến Network Access Server (NAS).

NAS đóng vai trò trung gian, đóng gói các thông tin này vào gói tin Access-Request và chuyển tiếp đến RADIUS Server để xác minh.

Kiến trúc tách biệt này đảm bảo các quyết định xác thực vẫn được quản lý tập trung.

Vì vậy tạo điều kiện thực thi chính sách nhất quán trên toàn bộ hạ tầng mạng phân tán.

Tính linh hoạt của RADIUS trong các phương thức xác thực là một trong những điểm mạnh đáng kể nhất.

Ở cấp độ cơ bản, xác thực dựa trên thông tin đăng nhập sử dụng kết hợp tên người dùng và mật khẩu truyền thống được bảo vệ thông qua các giao thức như PAP (Password Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol) hoặc MS-CHAPv2 (Microsoft CHAP phiên bản 2).

Trong khi PAP truyền mật khẩu dưới dạng văn bản thuần (chỉ được mã hóa bằng shared secret của RADIUS), CHAP và MS-CHAPv2 sử dụng cơ chế challenge-response ngăn chặn việc lộ mật khẩu ngay cả khi lưu lượng mạng bị chặn.

Đối với các môi trường yêu cầu đảm bảo bảo mật cao hơn, xác thực dựa trên chứng chỉ thông qua 802.1X/EAP-TLS cung cấp xác thực hai chiều.

Khi đó cả client và server đều trình diện chứng chỉ số, loại bỏ hoàn toàn các lỗ hổng liên quan đến mật khẩu như phishing, tấn công brute-force hoặc credential stuffing.

Ví dụ: Ngân hàng triển khai RADIUS với EAP-TLS cho hệ thống mạng nội bộ, yêu cầu tất cả nhân viên sử dụng chứng chỉ số được cấp bởi Root CA của ngân hàng.

Mỗi nhân viên có một smart card chứa chứng chỉ cá nhân.

Khi kết nối mạng WiFi nội bộ, hệ thống tự động xác thực cả người dùng và thiết bị mà không cần nhập mật khẩu, giảm thiểu rủi ro lộ thông tin đăng nhập.

Đối với các tổ chức đối mặt với các tác nhân đe dọa tinh vi, RADIUS hỗ trợ xác thực đa yếu tố (MFA) thông qua cơ chế Access-Challenge.

Sau khi xác thực thành công mật khẩu chính, RADIUS Server có thể phát ra gói tin Access-Challenge yêu cầu xác minh bổ sung thường là mật khẩu một lần dựa trên thời gian (TOTP) từ ứng dụng xác thực hoặc token phần cứng.

Quy trình hai bước nâng cao đáng kể mức độ bảo mật, đảm bảo rằng ngay cả khi mật khẩu bị lộ cũng không thể cấp quyền truy cập trái phép nếu thiếu yếu tố thứ hai.

Các triển khai hiện đại tích hợp liền mạch với các nền tảng MFA doanh nghiệp, hỗ trợ thông báo đẩy, xác minh sinh trắc học và xác thực thích ứng điều chỉnh yêu cầu dựa trên đánh giá rủi ro của ngữ cảnh kết nối.

Thành phần AAA cuối cùng giải quyết câu hỏi: “Người dùng này đã làm gì, trong bao lâu, và đã tiêu thụ tài nguyên gì?”

Ghi nhận trong RADIUS hoạt động độc lập với xác thực và phân quyền.

Nó sử dụng cổng UDP 1813 riêng biệt để đảm bảo các chức năng thanh toán và kiểm soát tiếp tục không bị ảnh hưởng ngay cả khi dịch vụ xác thực bị suy giảm.

Sự tách biệt này đặc biệt có giá trị đối với các Nhà cung cấp Dịch vụ Internet tính phí dựa trên băng thông và cho các doanh nghiệp duy trì nhật ký kiểm tra bảo mật để tuân thủ các quy định như SOX, HIPAA, hoặc PCI-DSS.

Quy trình ghi nhận RADIUS bao gồm ba giai đoạn riêng biệt.

Khi phiên làm việc bắt đầu, NAS truyền gói tin Accounting-Start chứa danh tính người dùng, địa chỉ IP được gán, phương thức kết nối và dấu thời gian.

Trong các phiên hoạt động, các gói tin Interim-Update được truyền theo các khoảng thời gian có thể cấu hình để báo cáo các chỉ số truyền dữ liệu tích lũy (byte truyền/nhận).

Các bản cập nhật tạm thời cung cấp khả năng phục hồi chống lại mất dữ liệu; nếu NAS gặp sự cố trước khi gửi gói Stop.

Quản trị viên có thể tái tạo hoạt động phiên từ bản cập nhật tạm thời gần nhất thay vì mất tất cả dữ liệu ghi nhận cho phiên đó.

Ví dụ: ISP triển khai hệ thống RADIUS Accounting cho dịch vụ WiFi công cộng tại sân bay Tân Sơn Nhất. Hệ thống ghi nhận trên 50,000 phiên kết nối mỗi ngày, theo dõi thời lượng sử dụng và băng thông tiêu thụ của từng người dùng.

Dữ liệu Interim-Update được gửi mỗi 15 phút, đảm bảo nếu có sự cố mạng.

Vì vậy ISP vẫn có thể tính toán chính xác dung lượng đã sử dụng để phát hiện lạm dụng hoặc tính phí (đối với gói premium).

Khi ngắt kết nối, dù do người dùng khởi tạo, quản trị viên hay chính sách hết thời gian, NAS gửi gói tin Accounting-Stop chứa số liệu thống kê phiên cuối cùng.

Đó là tổng thời lượng, băng thông tiêu thụ, lý do ngắt kết nối và dấu thời gian kết thúc.

Dữ liệu ghi nhận chảy vào các hệ thống ghi nhật ký tập trung.

Đó là nơi nó trở nên cần thiết cho nhiều trường hợp sử dụng:

• Các ISP tính phí băng thông hàng tháng.
• Các nhóm vận hành mạng xác định các mẫu tắc nghẽn.
• Các nhà phân tích bảo mật phát hiện việc rò rỉ dữ liệu bất thường.
• Các kiểm soát viên tuân thủ tạo báo cáo kiểm tra chứng minh ai đã truy cập tài nguyên nào và khi nào.

Nền tảng User Behavior Analytics (UBA) hiện đại tiêu thụ dữ liệu ghi nhận RADIUS để thiết lập các mẫu hoạt động cơ sở cho mỗi người dùng.

Nó đánh dấu các điểm bất thường như thời gian kết nối không bình thường, tình huống địa lý không thể hoặc khối lượng dữ liệu đáng ngờ có thể cho thấy thông tin đăng nhập bị xâm phạm hoặc mối đe dọa nội bộ.

Một quan niệm sai lầm phổ biến về kiến trúc RADIUS liên quan đến định danh của “client” trong framework này.

Khác với các mô hình client-server thông thường khi client đại diện cho thiết bị của người dùng cuối, RADIUS Client thực chất là thiết bị hạ tầng mạng kiểm soát quyền truy cập được gọi chính thức là Network Access Server (NAS).

NAS hoạt động như một người gác cổng tinh vi đặt tại biên giới mạng.

Thiết bị này chặn toàn bộ lưu lượng người dùng cố gắng vào mạng và duy trì trạng thái chặn cho đến khi nhận được xác nhận cấp quyền rõ ràng từ RADIUS Server.

Quá trình thực thi xảy ra ở Layer 2 hoặc Layer 3 của mô hình OSI, tùy thuộc vào kịch bản triển khai.

Với mạng không dây, vai trò NAS thường do các Access Point không dây (AP) đảm nhiệm, trong khi môi trường có dây sử dụng switch Ethernet có khả năng xác thực dựa trên cổng 802.1X.

Các thiết bị VPN concentrator và router truy cập từ xa cũng đóng vai trò NAS tương tự cho các kịch bản kết nối từ xa.

Quy trình hoạt động thể hiện tính trung gian thông minh của NAS.

Khi người dùng cố gắng truy cập mạng, NAS thu thập thông tin xác thực thông qua các giao thức như EAPoL (Extensible Authentication Protocol over LAN) cho mạng có dây/không dây hoặc PPP (Point-to-Point Protocol) cho kết nối dial-up và VPN.

Thay vì xác thực những thông tin này tại chỗ, NAS đóng gói chúng thành các thông điệp RADIUS Access-Request chuẩn hóa.

Các gói tin này không chỉ chứa thông tin xác thực người dùng mà còn bao gồm metadata ngữ cảnh như ID trạm gọi, định danh NAS, loại dịch vụ được yêu cầu.

Do đó cung cấp cho RADIUS Server thông tin toàn diện để đưa ra quyết định về chính sách.

Khi nhận được phản hồi từ server, NAS thực thi quyết định xác thực với khả năng kiểm soát chi tiết.

Thông điệp Access-Accept kích hoạt cho phép truy cập mạng.

Vì thế thường kèm theo các thuộc tính ủy quyền xác định phân bổ VLAN, giới hạn băng thông, danh sách kiểm soát truy cập (ACL) hoặc tham số thời gian timeout của phiên.

NAS áp dụng các chính sách này ngay lập tức, cấu hình động quyền truy cập mạng theo danh tính người dùng và chính sách tổ chức.

Ngược lại, thông điệp Access-Reject duy trì chặn truy cập và NAS có thể gửi các thông điệp Accounting-Request để ghi lại lần thử thất bại nhằm mục đích giám sát bảo mật.

Ví dụ: Tại văn phòng ở Hà Nội, khi một nhân viên kết nối laptop vào cổng Ethernet, switch Cisco (đóng vai trò NAS) sẽ chặn kết nối và yêu cầu xác thực 802.1X.

Sau khi nhân viên nhập username/password doanh nghiệp, switch đóng gói thông tin này gửi đến RADIUS Server trung tâm.

Nếu xác thực thành công, server phản hồi kèm theo chỉ thị: “Gán vào VLAN 100 (mạng nhân viên), giới hạn băng thông 50 Mbps, áp dụng ACL chặn truy cập các trang mạng xã hội trong giờ làm việc”.

Switch nhận chỉ thị này và tự động cấu hình cổng mạng theo đúng các tham số được chỉ định.

Trong các mạng quy mô lớn hoặc đa tổ chức, RADIUS Proxy giới thiệu một lớp kiến trúc bổ sung để giải quyết các yêu cầu về khả năng mở rộng, bảo mật và liên kết.

Thành phần này hoạt động như một trung gian thông minh.

Nó nhận các thông điệp Access-Request từ các thiết bị NAS nhưng chuyển giao quyết định xác thực cho các RADIUS Server phía sau dựa trên chính sách định tuyến.

Chức năng cốt lõi của proxy tập trung vào định tuyến dựa trên realm.

Đó là phân tích phần domain của định danh người dùng để xác định các server đích phù hợp.

Khi người dùng xác thực với thông tin như “john.doe@university.edu,” proxy trích xuất realm (“university.edu”) và tham khảo bảng định tuyến của nó để chuyển tiếp yêu cầu đến RADIUS Server có thẩm quyền cho domain đó.

Cơ chế này tỏ ra thiết yếu trong các kịch bản xác thực liên kết khi cần tôn trọng ranh giới tổ chức trong khi vẫn tạo điều kiện cho tính di động liền mạch của người dùng.

Chuỗi proxy (proxy chaining) mở rộng khái niệm này xa hơn, tạo ra các cơ sở hạ tầng xác thực phân cấp.

Xem xét mạng eduroam (education roaming), giúp sinh viên và nhà nghiên cứu truy cập mạng không dây tại các tổ chức tham gia trên toàn thế giới bằng thông tin xác thực tổ chức nhà của họ.

Ví dụ: Một sinh viên MIT đến thăm kết nối Wi-Fi tại Đại học Oxford khởi tạo một chuỗi xác thực: NAS của Oxford liên hệ RADIUS Server cục bộ của Oxford.

Server này nhận ra realm “@mit.edu” và chuyển tiếp yêu cầu đến proxy khu vực. Proxy khu vực định tuyến đến proxy liên đoàn quốc gia, cuối cùng đến RADIUS Server của MIT để xác thực chính thức.

Phản hồi đi ngược lại cùng một đường, với mỗi proxy có thể thêm các thuộc tính ủy quyền hoặc áp dụng chính sách cục bộ.

Kiến trúc này mang lại nhiều lợi thế chiến lược vượt xa mục tiêu liên kết xác thực đơn thuần.

RADIUS Proxy nâng cao khả năng mở rộng bằng cách phân phối tải xác thực qua các khu vực địa lý hoặc ranh giới tổ chức.

Do đó ngăn chặn bất kỳ server đơn lẻ nào trở thành điểm nghẽn cổ chai.

Chúng cung cấp cách ly bảo mật bằng cách che giấu cấu trúc mạng nội bộ.

Vì vậy các đối tác bên ngoài chỉ tương tác với proxy, không bao giờ truy cập trực tiếp vào cơ sở hạ tầng xác thực nội bộ.

Proxy cũng hỗ trợ quản lý chính sách tập trung khi mỗi domain quản trị duy trì quyền tự chủ đối với các chính sách xác thực của mình trong khi tham gia vào các mạng liên kết lớn hơn, cân bằng giữa tính tự chủ và hợp tác.

Ví dụ: Mạng eduroam Việt Nam hoạt động qua RADIUS Proxy tại VinaREN (Vietnam Research and Education Network).

Khi sinh viên Đại học Bách Khoa Hà Nội đến Đại học Khoa học Tự nhiên TP.HCM, quá trình xác thực diễn ra:

• AP tại ĐHKHTN-HCM gửi yêu cầu đến RADIUS Server địa phương.
• Server này nhận diện realm “@hust.edu.vn” và chuyển đến RADIUS Proxy VinaREN ở Hà Nội.
• Proxy VinaREN định tuyến yêu cầu đến RADIUS Server của ĐHBK Hà Nội.
• Server ĐHBK xác thực sinh viên và gửi phản hồi ngược lại qua cùng chuỗi proxy.
• ĐHKHTN-HCM nhận phản hồi và cấp quyền truy cập Wi-Fi với chính sách: VLAN khách học thuật, băng thông 20 Mbps, session timeout 24 giờ.

Kiến trúc này giúp 200,000+ sinh viên và giảng viên từ 150+ trường đại học Việt Nam truy cập mạng khi di chuyển giữa các cơ sở giáo dục.

Password Authentication Protocol (PAP) là phương thức xác thực đơn giản nhất trong khung giao thức RADIUS.

Nó thiết lập phương pháp cơ sở để kiểm chứng thông tin đăng nhập trong các tình huống truy cập mạng.

Mặc dù triển khai nhanh chóng, nhưng phương thức này đặt ra những vấn đề bảo mật nghiêm trọng mà các tổ chức cần đánh giá kỹ lưỡng trước khi đưa vào sử dụng.

Quy trình hoạt động bắt đầu khi người dùng nhập thông tin đăng nhập vào hệ thống client.

Sau khi nhận được thông tin này, Network Access Server (NAS) tạo một gói Access-Request chứa tên người dùng và trường mật khẩu đã mã hóa.

Cơ chế mã hóa áp dụng công thức Cipher = Password XOR MD5(Shared Secret + Request Authenticator).

Đó là kết hợp mật khẩu của người dùng với một chuỗi băm mật mã được tạo từ shared secret (một khóa được cấu hình trước mà cả NAS và RADIUS server đều biết) và giá trị request authenticator.

RADIUS server nhận gói tin này, thực hiện quá trình giải mã ngược sử dụng bản sao shared secret của mình rồi so sánh mật khẩu đã giải mã với cơ sở dữ liệu xác thực.

Dựa trên kết quả so sánh này, server phản hồi với thông báo Access-Accept (cấp quyền truy cập mạng) hoặc Access-Reject (từ chối kết nối).

Lỗ hổng nghiêm trọng trong PAP xuất phát từ phương pháp mã hóa yếu.

Mặc dù mật khẩu không bao giờ di chuyển qua mạng dưới dạng văn bản thuần, nhưng phép toán XOR kết hợp với băm MD5 chỉ cung cấp mức bảo vệ tối thiểu trước những kẻ tấn công quyết tâm.

Nếu những kẻ xấu chặn được gói Access-Request và chiếm được shared secretdù thông qua tấn công từ điển, kỹ thuật brute-force hay từ người trong nội bộ—chúng có thể ngay lập tức giải mã giá trị mật khẩu.

Điểm yếu này khiến PAP đặc biệt không phù hợp với các môi trường mà chặn bắt thông tin đăng nhập là mối đe dọa thực tế, chẳng hạn mạng không dây hoặc các phân đoạn mạng không đáng tin cậy.

Ví dụ: Một trường đại học lớn từng sử dụng PAP cho hệ thống WiFi của sinh viên vào năm 2018. Sau khi phát hiện nhiều tài khoản bị đánh cắp do kẻ tấn công sử dụng phần mềm chặn gói tin trên mạng không dây, trường đã phải nâng cấp lên CHAP kết hợp với EAP-TLS.

Các tổ chức triển khai PAP nên giới hạn sử dụng cho các tình huống tương thích với hệ thống cũ hoặc bổ sung thêm các lớp bảo mật như giao thức truyền tải mã hóa.

RADIUS hỗ trợ các quy trình xác thực đa yếu tố phức tạp thông qua cơ chế Access-Challenge.

Do đó tạo điều kiện xác minh thông tin đăng nhập tương tác yêu cầu nhiều đầu vào tuần tự từ người dùng.

Khả năng này đặc biệt có giá trị khi triển khai các hệ thống One-Time Password (OTP) kết hợp thông tin đăng nhập tĩnh với mã xác minh được tạo động.

Luồng xác thực đa bước bắt đầu với việc gửi thông tin đăng nhập ban đầu.

Người dùng cung cấp tên người dùng chuẩn và mật khẩu tĩnh.

Sau đó NAS đóng gói vào gói Access-Request và chuyển tiếp đến RADIUS server.

Server xác thực các thông tin đăng nhập chính với cơ sở dữ liệu xác thực như kiểm tra tên người dùng tồn tại và mật khẩu khớp với giá trị đã lưu.

Tuy nhiên, thay vì cấp quyền truy cập ngay lập tức, các chính sách bảo mật có thể yêu cầu xác minh bổ sung.

Tại thời điểm này, server tạo gói phản hồi Access-Challenge chứa hai thuộc tính quan trọng: trường Reply-Message (thường hiển thị văn bản như “Vui lòng nhập mã OTP của bạn”) và thuộc tính State (chứa định danh phiên được mã hóa liên kết challenge này với lần xác thực ban đầu).

NAS nhận challenge này, hiển thị lời nhắc cho người dùng, và chờ đợi đầu vào OTP.

Khi người dùng nhập mã mật khẩu một lần, NAS tạo gói Access-Request thứ hai với các đặc điểm riêng biệt.

Trường User-Password hiện chứa giá trị OTP thay vì mật khẩu tĩnh.

Khi thuộc tính State mang định danh phiên từ phản hồi challenge trước đó thì giá trị state này giúp server nhận ra yêu cầu này là phần tiếp theo của chuỗi xác thực hiện tại thay vì một lần đăng nhập mới.

RADIUS server nhận yêu cầu tiếp theo này, xác thực cả mã OTP (so sánh với các giá trị mong đợi được tạo bởi thuật toán dựa trên thời gian hoặc bộ đếm) và tham số State (đảm bảo phản hồi này tương ứng với challenge ban đầu).

Chỉ khi cả hai xác thực thành công, server mới cuối cùng truyền thông báo Access-Accept, hoàn tất chuỗi xác thực đa yếu tố.

Ví dụ: Tập đoàn phần mềm khi triển khai hệ thống VPN cho 40.000+ nhân viên làm việc từ xa đã sử dụng RADIUS với cơ chế Access-Challenge kết hợp Google Authenticator.

Quy trình hoạt động như sau:

• Nhân viên nhập username/password.
• RADIUS server xác thực thông tin cơ bản.
• Gửi Access-Challenge yêu cầu mã OTP 6 số.
• Nhân viên mở app Google Authenticator trên điện thoại lấy mã.
• Nhập mã vào và server xác thực TOTP (Time-based OTP) với chu kỳ 30 giây.
• Cấp quyền truy cập VPN nếu đúng.

Hệ thống này đã giảm 95% các vụ truy cập trái phép so với thời kỳ chỉ dùng mật khẩu đơn thuần.

Kiến trúc challenge-response hỗ trợ nhiều kịch bản xác thực nâng cao ngoài xác minh OTP đơn giản.

Đó là lời nhắc chọn chứng chỉ, quy trình xác minh sinh trắc học và xác thực dựa trên rủi ro yêu cầu xác nhận danh tính bổ sung cho các lần đăng nhập đáng ngờ.

Khả năng theo dõi phiên của thuộc tính State đảm bảo các chuỗi xác thực đa bước vẫn chính xác ngay cả khi có độ trễ mạng hoặc gián đoạn kết nối tạm thời.

Điểm yếu cơ bản nhất của RADIUS nằm ở việc sử dụng thuật toán băm Message Digest 5 (MD5) để xác minh tính toàn vẹn của gói tin và che giấu mật khẩu.

Khi RADIUS được chuẩn hóa năm 1997 theo RFC 2865, MD5 vẫn được coi là phương pháp mã hóa đáng tin cậy.

Tuy nhiên, mọi thứ đã thay đổi hoàn toàn khi các nhà nghiên cứu mật mã đã chứng minh thành công các cuộc tấn công va chạm (collision attacks) vào MD5 năm 2004, phá vỡ hoàn toàn các đảm bảo bảo mật của nó.

Hậu quả kỹ thuật vô cùng nghiêm trọng.

Lỗ hổng va chạm của MD5 có nghĩa là kẻ tấn công với đủ tài nguyên tính toán có thể tạo ra hai đầu vào khác nhau nhưng tạo ra cùng một kết quả băm.

Trong giao thức RADIUS, điều này giúp kẻ tấn công tạo các gói tin độc hại vượt qua kiểm tra tính toàn vẹn dù chứa dữ liệu xác thực đã bị thay đổi.

Trường Response Authenticator dùng MD5 để xác minh phản hồi từ server trở nên vô dụng trước những kẻ tấn công kiên trì có khả năng tạo ra các va chạm băm.

Ví dụ: Một ngân hàng lớn nếu vẫn sử dụng hệ thống RADIUS cũ để xác thực nhân viên truy cập vào hệ thống nội bộ. Hacker chỉ cần máy tính cá nhân có card đồ họa mạnh (như NVIDIA RTX 4090 giá khoảng 50 triệu đồng) có thể thực hiện tấn công va chạm MD5 trong vài giờ.

Từ đó giả mạo được gói tin xác thực và xâm nhập vào hệ thống mà không cần mật khẩu thật.

Điều đáng lo ngại là lỗ hổng này không chỉ là lý thuyết vì khả năng phần cứng hiện đại đã giảm chi phí tính toán của các cuộc tấn công va chạm MD5 xuống mức bình thường.

Những cuộc tấn công từng đòi hỏi siêu máy tính giờ có thể thực hiện trên card đồ họa thông thường trong vài giờ hoặc thậm chí vài phút.

Với các tổ chức vẫn dựa vào triển khai RADIUS chuẩn, mỗi giao dịch xác thực đều tiềm ẩn nguy cơ lộ thông tin đăng nhập và quyền truy cập mạng cho những kẻ tấn công hiểu rõ các điểm yếu mật mã này.

Phát hiện lỗ hổng Blast-RADIUS giữa năm 2024 có lẽ là lỗ hổng bảo mật nghiêm trọng nhất được xác định trong RADIUS kể từ khi giao thức ra đời.

Được gán mã CVE-2024-3596 với điểm CVSS 9.0 (Nghiêm trọng), lỗ hổng này phá vỡ hoàn toàn các đảm bảo xác thực mà RADIUS phải cung cấp.

Vì thế giúp kẻ tấn công vượt qua kiểm soát truy cập mà không cần thông tin đăng nhập hợp lệ.

Cơ chế tấn công khai thác điểm giao nhau giữa lỗ hổng va chạm của MD5 với cấu trúc gói tin RADIUS.

Kẻ tấn công đặt mình giữa RADIUS client và server, chặn gói tin Access-Request và phản hồi tương ứng từ server.

Thông qua thao tác với thuộc tính Proxy-State, một trường được thiết kế để RADIUS proxy server duy trì thông tin trạng thái kẻ tấn công chèn dữ liệu tạo va chạm được chế tác cẩn thận.

Thông qua kỹ thuật va chạm MD5, chúng giả mạo phản hồi Access-Accept với Response Authenticator hợp lệ mà client sẽ chấp nhận là chính thống, dù kẻ tấn công không hề biết Shared Secret.

Ví dụ: Một bệnh viện lớn sử dụng RADIUS để kiểm soát truy cập vào hệ thống HIS (Hospital Information System) chứa dữ liệu bệnh nhân.

Hacker có thể:

• Ngồi tại khu vực wifi công cộng của bệnh viện
• Chặn gói tin RADIUS giữa máy trạm bác sĩ và server xác thực
• Sử dụng kỹ thuật Blast-RADIUS để giả mạo phản hồi “chấp nhận đăng nhập”
• Xâm nhập vào hệ thống y tế mà không cần biết mật khẩu của bác sĩ
• Truy cập hồ sơ bệnh án của hàng triệu bệnh nhân

Blast-RADIUS hoạt động với các phương pháp xác thực bao gồm PAP (Password Authentication Protocol), CHAP (Challenge-Handshake Authentication Protocol) và MS-CHAPv2.

Kẻ tấn công có thể giành quyền truy cập trái phép vào switch mạng, router, bộ điều khiển không dây, bộ tập trung VPN và bất kỳ hạ tầng nào được bảo vệ bởi xác thực RADIUS.

Đây không phải lỗ hổng lý thuyết đòi mà các nhà nghiên cứu đã chứng minh chúng có thể bị khai thác dễ dàng trong môi trường mạng thực tế.

Các tổ chức sử dụng RADIUS mà không có lớp bảo mật truyền tải bổ sung ngay lập tức trở nên dễ bị tấn công với khả năng vượt qua xác thực hoàn toàn ngay khi lỗ hổng này được công bố.

Các triển khai RADIUS chuẩn qua giao vận UDP thiếu cơ chế xác thực hai chiều bắt buộc để RADIUS client có thể xác minh mật mã danh tính của RADIUS server.

Giao thức giả định môi trường mạng đáng tin cậy nơi các client có thể xác định đáng tin cậy các server hợp pháp chỉ dựa trên địa chỉ IP và shared secret.

Đây là một giả định mà các mô hình đe dọa hiện đại công nhận là nguy hiểm và chủ quan quá mức.

Điểm yếu kiến trúc này tạo điều kiện cho các cuộc tấn công RADIUS server giả mạo.

Kẻ tấn công giành được vị trí trên mạng giữa client và server hợp pháp thông qua các kỹ thuật như ARP spoofing, thao túng DNS, hoặc BGP hijacking có thể mạo danh server xác thực.

RADIUS client khi thiếu cơ chế xác minh dựa trên chứng chỉ phổ biến trong các giao thức hiện đại như HTTPS hoặc EAP-TLS, sẽ gửi yêu cầu xác thực đến bất kỳ server nào phản hồi với gói tin được định dạng đúng từ địa chỉ IP mong đợi.

Ví dụ: Một trường đại học lớn có hệ thống RADIUS quản lý truy cập wifi cho 5,000 sinh viên.

Hacker có thể:

• Thuê một VPS (Virtual Private Server) với IP giả mạo
• Sử dụng DNS poisoning hoặc ARP spoofing trong mạng nội bộ trường
• Giả mạo RADIUS server chính thống
• Thu thập hàng nghìn username/password của sinh viên và giảng viên trong vài giờ

Sử dụng thông tin này để: Bán dữ liệu cá nhân, truy cập email sinh viên để thực hiện lừa đảo, xâm nhập hệ thống quản lý điểm thi

Tiềm năng tấn công mở rộng theo nhiều hướng.

Server giả mạo có thể thu thập thông tin đăng nhập bằng cách phản hồi các nỗ lực xác thực, thu thập tên người dùng và mật khẩu băm để bẻ khóa ngoại tuyến.

Nguy hiểm hơn, nó có thể chọn lọc phê duyệt hoặc từ chối yêu cầu xác thực để thao túng quyền truy cập mạng.

Do đó có khả năng chấp nhận người dùng trái phép trong khi chặn quản trị viên hợp pháp trong một kịch bản từ chối dịch vụ phức tạp.

Các tổ chức có kiến trúc RADIUS phân tán đặc biệt là những tổ chức trải dài nhiều địa điểm được kết nối thông qua đường truyền Internet hoặc mạng bên thứ ba phải đối mặt với rủi ro cao hơn.

Họ có bề mặt bị tấn công mở rộng cung cấp nhiều cơ hội hơn cho đối thủ đặt các server giả mạo trong đường dẫn xác thực.