Si PAP es inseguro, ¿por qué es comúnmente el único protocolo de autenticación disponible para Radius?

4

Al configurar la autenticación de Radius en varios dispositivos de un proveedor, descubrí que PAP es el único protocolo compatible.

Al principio me sorprendió, pero descubrí que incluso un BigIP f5 solo ofrece PAP. Aún más, varios otros proveedores también ofrecen PAP.

Según tengo entendido, PAP se considera inseguro porque las credenciales se transmiten desde el cliente Radius en texto sin formato.

Entonces, mi pregunta es, si es tan inseguro, ¿por qué es tan común el único protocolo de autenticación?

    
pregunta gb5757870 22.11.2016 - 22:13
fuente

1 respuesta

3

Si bien solo el fabricante de un dispositivo puede darle la respuesta canónica sobre ese dispositivo, hay algunos factores que generalmente explican por qué solo PAP es compatible con muchas plataformas:

  1. PAP es antiguo (RFC 1334 se publicó en 1992), por lo que solía ser la única opción estandarizada. Incluso después de que se lanzaran estándares más nuevos (y posiblemente mejores) (como CHAP en 1996 y EAP en 1998 con actualizaciones en 2004), las compañías podrían seguir utilizando el código PAP ya escrito en los productos existentes y simplemente trasladarlos a sus nuevos productos.
  2. PAP es fácil de implementar, sin necesidad de comprender mecanismos complejos de encriptación.
  3. Hay una forma fácil de agregar otra capa de seguridad, por lo que no hay ningún incentivo para solucionarlo. (Ver párrafo final abajo)

En verdad, sin embargo, PAP utilizado por RADIUS no envía la contraseña en texto sin formato. En cambio, XORs la contraseña con un hash MD5 basado en un secreto compartido. Si bien esto también se considera inseguro, sigue siendo al menos un poco mejor que el texto simple real.

La mejor respuesta práctica para el uso seguro de PAP es canalizar el tráfico de RADIUS a través de una VPN (túnel IPSec o similar). De todos modos, esto se está convirtiendo en una práctica estándar cuando se trata de conexiones RADIUS, ya que también podría haber otros datos confidenciales del usuario además de la contraseña que se debe proteger.

    
respondido por el Moshe Katz 29.11.2016 - 19:59
fuente

Lea otras preguntas en las etiquetas