FortiGate radius gui response invalid secret for the server
最近在重新複習 FreeRADIUS 的架構,剛好在測試的過程中,我把家裡的 FortiGate 從 7.2.9 upgrade 到 7.2.10,在 FortiGate GUI 上面執行 Test Connectivity 就發生 invalid secret for the server 這個錯誤訊息
用 console 開啟 debug 就看到 check_response_authenticator_No Message Authenticator
回頭查了一下 release note 就看到 RADIUS vulnerability,也就是強制所有的 response 內都帶入 Message-Authenticator
attribute。
解決的方式可以參考前一篇針對 FreeRADIUS 的 BlastRADIUS 弱點修補
但很有趣的是,FortiOS 雖然修正了自己的 RADIUS daemona 機制,卻忘了修正在 GUI 上發動連線測試時,沒帶
Message-Authenticator
這個 attribute 的狀況,詳細可以參考官方 Known issues 的 Bug id1075627
。