¿Por qué no usar Diameter sobre RADIUS?

1

El nombre del protocolo es un juego en la palabra Diámetro, que es el doble del RADIO de un círculo; en otras palabras, el autor intenta decir que es el doble de bueno y tiene más funciones.

Parece que los profesionales superan a los contras, y de acuerdo con este sitio web los profesionales son bastante buenos (nota, no puedo responder por toda la información, me refería a la tabla).

Por ejemplo, Diameter usa TCP, tiene buena escalabilidad (que es asistida por TCP), es compatible con IPSec y TLS para los clientes, y tiene un esquema de informe de errores.

Sin embargo, nunca he oído hablar del protocolo hasta hoy. El libro dice que muchas empresas se están actualizando a Diámetro. Tampoco pude ver ninguna referencia a la compatibilidad de Microsoft con Diameter OOTB, y sé que no son compatibles con versiones anteriores. Pensaría que Microsoft querría pasar a Diámetro y que sería posible tener una fase de transición para admitir ambos protocolos.

Sin embargo, sé que Microsoft tiene un RFC para Atributos de RADIUS específicos del proveedor de Microsoft pero no lo soy seguro de cuán relevante es la mayor parte de esto ya que menciona CHAP (no v2) y fue escrito en 1999. Sin embargo, si las RFC son lo suyo, vaya.

Los libros dicen que más organizaciones se están moviendo a Diámetro sobre RADIUS, pero nunca he oído hablar de eso. ¿Hay alguna razón por la que las personas no lo estén haciendo o simplemente estoy fuera del círculo?

    
pregunta cutrightjm 20.09.2016 - 07:43
fuente

2 respuestas

4

El diámetro fue diseñado para reemplazar el RADIO. No hay duda de que el diámetro proporciona una funcionalidad superior. Desafortunadamente, actualizar los viejos entornos RADIUS puede ser complicado.

  

"Existe una gran base de implementación de RADIUS y, a menos que sea un plan de migración adecuado que incluya la implementación de agentes de traducción y la coexistencia de RADIUS y Diameter, la migración a Diameter no será sencilla". [1]

Los "agentes de traducción" mencionados anteriormente son software o dispositivos que actúan como adaptadores entre los nuevos servidores Diameter y el hardware heredado que solo es compatible con RADIUS. Los agentes de traducción podrían aliviar el esfuerzo requerido para actualizar, pero también traen sus propios problemas.

  

“... puede haber muchas variantes e implementaciones de agentes de traducción en formas propietarias no IETF. También debido a las estandarizaciones simultáneas de RADIUS y Diameter, varios agentes de traducción a lo largo del proceso pueden manejar diferentes mensajes de RADIUS, mientras que ninguno de esos agentes de traducción puede tener acceso a información completa y precisa del estado de la sesión. "[1]

Eso suena duro. Así que las extensiones RADIUS han demostrado ser la opción más fácil.

  

“… Sin embargo, la aceptación de Diámetro ha sido muy lenta, y RADIUS sigue siendo el estándar de facto en el futuro previsible. Una de las principales razones de esto es probablemente el hecho de que las numerosas mejoras de RADIUS ya cubren las numerosas mejoras que se suponía que Dieter debía proporcionar. Existe, por ejemplo, el protocolo RadSec que transporta RADIUS sobre TCP y TLS ". [2]

Por supuesto, hay limitaciones para las extensiones RADIUS. Diameter puede proporcionar un soporte muy superior para las redes móviles 4G LT-Advanced, para las cuales RADIUS sería una opción muy pobre [3].

TACACS + también está disponible, pero

  

“La función general de TACACS + es similar a la de RADIUS, pero RADIUS ha disfrutado de un uso más generalizado ya que no es una propiedad (sic) de Cisco.“ [3]

Algunos también argumentan que TACACS + es más adecuado para la administración de la red que el acceso general a la red para una gran base de usuarios (por ejemplo, ISP, Telco) [4].

Aprecio que algunas de mis referencias sean antiguas y estén desactualizadas. Aunque recientemente he visto implementaciones de red a pequeña escala, elija RADIUS sobre Diámetro / TACACS +. En estos casos, el personal sabe RADIO; las extensiones proporcionan la seguridad requerida; y RADIUS no tiene vínculos con Cisco.

Creo que es cuestión de tiempo antes de que Diámetro supere a RADIUS, pero es muy difícil saber cuánto tiempo.

[1] Nakhjiri, M. & M., AAA y seguridad de red para acceso móvil: radio, diámetro, EAP, PKI y movilidad IP, Sección 7.4, John Wiley & Hijos, 2005

[2] van der Walt, D., Guía para principiantes de FreeRADIUS, Packt Publishing, 2011

[3] Håkan, V., Diámetro: Protocolo AAA de las próximas generaciones, Institutionen för systemteknik, 2001

[4] Woland, A., RADIUS vs TACACS +, obtenido de enlace

    
respondido por el user68527 20.09.2016 - 15:45
fuente
1

En mi opinión, es simplemente una razón práctica. Diámetro ha existido mucho tiempo. Creo que de corazón hace como 10 años. De hecho, el primer RFC es de 2003 .

El protocolo RADIUS está totalmente en todas partes. Cada enrutador, servidor de seguridad, conmutador, VPN ... Todos los dispositivos más pequeños están utilizando RADIUS como cliente RADIUS. Y pequeño también podría ser una razón aquí, porque es liviano. Cambiando a un protocolo no compatible ... ¿dónde? ¿Reemplazar el servidor RADIUS con un servidor Diameter? Bien, ¿pero no hay clientes en su red que puedan hablar de diámetro?

No me malinterpretes, me encantaría tener otro protocolo de autenticación más seguro. RADIUS ofrece muchas extensiones para compensar esto como EAP, EAP-TLS ... La extensibilidad es uno de los puntos fuertes de RADIUS. (No es una ventaja contra el diámetro, sino una razón por la que no simplemente muere ;-)

Además, igual que el diámetro, RADIUS no es simplemente un protocolo de autenticación, sino también un protocolo para realizar la autorización y la contabilidad, bastante bien.

    
respondido por el cornelinux 20.09.2016 - 09:22
fuente

Lea otras preguntas en las etiquetas