RFC: 2865
Оригинал: Remote Authentication Dial In User Service (RADIUS)
Предыдущие версии: RFC 2058, RFC 2138
Категория: Проект стандарта
Дата публикации:
Авторы: , , ,
Перевод: Николай Малых

8. Вопросы безопасности

Вопросы безопасности являются основной темой данного документа.

На практике в каждом сервере RADIUS (или на связанном с ним дополнительном сервере) имеется база данных, содержащая список имен пользователей и сопоставленных каждому пользователю идентификационных данных (secret). Не делается предположений, что пользователь с данным именем будет идентифицироваться с использованием множества методов. Такой подход является уязвимым для атак с использованием наименее безопасного метода идентификации из числа поддерживаемых. Для предотвращения таких атак следует для каждого пользователя указать единственный метод идентификации. Если пользователю нужны различные варианты идентификации в разных случаях, для решения проблемы следует создавать такому пользователю несколько записей с различными именами, каждая из которых будет использовать свою схему идентификации.

Пароли и другая конфиденциальная информация должны храниться на отвечающей стороне так, чтобы доступ к ним был максимально ограничен. В идеальном случае доступ к таким сведениям следует предоставлять только процессу, выполняющему функции аутентификации.

Ключи следует передавать с использованием механизмов, обеспечивающих минимальное число участвующих в передаче (и следовательно, способных узнать ключи) объектов. В идеальном случае о наличии ключа следует знать лишь лицам, наделенным соответствующими полномочиями. Передачу ключей можно обеспечить с помощью протоколов SNMP Security [14], но рассмотрение этих механизмов выходит за пределы данной спецификации.

Прочие методы распространения ключей требуют дополнительных исследований и экспериментов. В описывающем протокол SNMP Security документе [14] также содержится превосходный обзор связанных с сетевыми протоколами опасностей.

Механизм сокрытия User-Password, описанный в параграфе 5.2 не подвергался достаточному криптоанализу по опубликованным источникам. Некоторые члены сообщества IETF высказывают сомнения [15] в том, что этот механизм обеспечивает достаточный уровень конфиденциальности при передаче паролей в системах RADIUS. Пользователям следует оценить уровень безопасности своей среды и при необходимости подключить дополнительные механизмы обеспечения конфиденциальности.

2007 - 2018 © Русские переводы RFC, IETF, ISOC.