Perché non usare Diameter su RADIUS?

1

Il nome del protocollo è un gioco sulla parola Diameter, che è il doppio del RADIUS di un cerchio - in altre parole, l'autore sta cercando di dire che è due volte più buono e ha più funzioni.

Sembra che i professionisti superino gli svantaggi e in base a questo sito web i pro sono abbastanza buoni (nota, non posso garantire per tutte le informazioni, mi riferivo al tavolo).

Ad esempio, Diameter utilizza TCP, ha una buona scalabilità (supportata dal TCP), supporta IPSec e TLS per i client e ha uno schema di segnalazione degli errori.

Tuttavia, non ho mai sentito parlare del protocollo fino ad oggi. Il libro dice che molte aziende stanno passando a Diameter. Inoltre non sono riuscito a vedere alcun riferimento a Microsoft che supporta Diameter OOTB e so che non sono retrocompatibili. Penso che Microsoft vorrebbe passare a Diameter e che sarebbe possibile avere una fase di transizione per supportare entrambi i protocolli.

Tuttavia, so che Microsoft ha un RFC per Attributi RADIUS specifici del fornitore Microsoft ma non lo sono sicuro di quanto sia rilevante la maggior parte di esso dal momento che menziona CHAP (non v2) ed è stato scritto nel 1999. Tuttavia, se le RFC sono la tua passione, vai.

I libri dicono che più organizzazioni si stanno spostando su Diameter su RADIUS, ma non ne ho mai sentito parlare. C'è un motivo per cui le persone non lo fanno o sono appena uscito dal ciclo?

    
posta cutrightjm 20.09.2016 - 07:43
fonte

2 risposte

4

Diameter è stato progettato per sostituire RADIUS. Non c'è dubbio che Diameter offre funzionalità superiori. Sfortunatamente, l'aggiornamento dei vecchi ambienti RADIUS può essere complicato.

“There is a large RADIUS deployment base out there and unless a proper migration plan that includes deployment of translation agents and co-existence of RADIUS and Diameter, migration to Diameter will not be simple.” [1]

Gli "agenti di traduzione" menzionati sopra sono software o dispositivi che fungono da adattatori tra i nuovi server Diameter e l'hardware legacy che supporta solo RADIUS. Gli agenti di traduzione potrebbero alleviare lo sforzo richiesto per l'aggiornamento, ma portano anche i loro problemi.

“... there can be many variants and implementations of translation agents in proprietary non-IETF manners. Also due to the simultaneous standardizations of RADIUS and Diameter, various RADIUS messages may be handled differently by different translation agents along the process, while none of those translation agents can be assumed to have access to complete and accurate session state information.” [1]

Sembra difficile. Le estensioni RADIUS hanno dimostrato di essere l'opzione più semplice.

“… The uptake of Diameter has been very slow though, and RADIUS still remains the de facto standard for the foreseeable future. A major reason for this is probably the fact that the many enhancements that Diameter was supposed to bring are already covered by the various RADIUS extensions. There is, for instance, the RadSec protocol that transports RADIUS over TCP and TLS.” [2]

Naturalmente, ci sono limitazioni alle estensioni RADIUS. Diameter può fornire un supporto di gran lunga superiore per le reti mobili 4G LT-Advanced, per le quali RADIUS sarebbe una scelta molto scarsa [3].

TACACS + è anche disponibile, ma

“TACACS+ overall function is similar to that of RADIUS but RADIUS has enjoyed a more widespread use since it is not a proprietary (sic) of Cisco.“ [3]

Alcuni sostengono inoltre che TACACS + è più adatto all'amministrazione di rete rispetto all'accesso di rete generale per una vasta base di utenti (ad esempio ISP, Telco) [4].

Apprezzo che alcune mie referenze siano vecchie e che non sia aggiornato. Sebbene, recentemente, ho visto nuove distribuzioni di rete su piccola scala scegliere RADIUS su Diameter / TACACS +. In questi casi, lo staff conosce RADIUS; le estensioni forniscono la sicurezza richiesta; e RADIUS non ha legami con Cisco.

Penso che sia questione di tempo prima che Diameter abbia superato RADIUS, ma è molto difficile dire solo quanto tempo.

[1] Nakhjiri, M. & M., AAA e Network Security per Mobile Access: Radius, Diameter, EAP, PKI e IP Mobility, Sezione 7.4, John Wiley & Figli, 2005

[2] van der Walt, D., Guida per principianti FreeRADIUS, Packt Publishing, 2011

[3] Håkan, V., Diameter: protocollo AAA delle generazioni successive, Institutionen för systemteknik, 2001

[4] Woland, A., RADIUS vs TACACS +, recuperati dal link

    
risposta data 20.09.2016 - 15:45
fonte
1

Secondo me è semplicemente una ragione pratica. Il diametro è stato intorno a lungo. Penso che ne abbia il cuore come 10 anni fa. In effetti il primo RFC è del 2003 .

Il protocollo RADIUS è totalmente ovunque. Ogni router, firewall, switch, VPN ... Tutti i dispositivi più piccoli utilizzano RADIUS come client RADIUS. E piccolo potrebbe anche essere un motivo qui, perché è leggero. Passare a un protocollo non compatibile ... dove? Sostituire il server RADIUS con un server Diameter? Bene - ma poi nella tua rete non ci sono clienti capaci di parlare di diametro?

Non fraintendermi, mi piacerebbe avere un altro protocollo di autenticazione più sicuro. RADIUS offre molte estensioni per compensare questo tipo di EAP, EAP-TLS ... L'estensibilità è uno dei punti di forza di RADIUS. (Non è un vantaggio contro il diametro, ma una ragione per cui non muore semplicemente; -)

Oltre - come diametro - RADIUS non è semplicemente un protocl di autenticazione ma anche un protocollo per fare l'autorizzazione e la contabilità - piuttosto bene.

    
risposta data 20.09.2016 - 09:22
fonte

Leggi altre domande sui tag