Sigurnosni elementi RADIUS protokola

RADIUS protokol pruža mogućnost centralizirane podrške za autentikaciju, autorizaciju i administraciju korisnika na RADIUS poslužitelju. Također, pruža se mogućnost odvajanja administrativne uloge na vlastiti poslužitelj. Ukratko, RADIUS nudi sve što je jednom umreženu sustavu potrebno da bi imao kontrolu nad korisnicima i mogao pratiti njihov rad i trošak.

Kad se korisnik želi spojiti u mrežu, on šalje RADIUS klijentu podatke potrebne za identifikaciju. Klijent potom šalje Access-Request zahtjev RADIUS  poslužitelju, koji odgovara s Access-Accept ili Access-Reject porukom, te dalje prema potrebi nastavljaju komunikaciju. RADIUS poslužitelj i klijent u komunikaciji koriste poruke specifičnog formata, s rezerviranim dijelom za podatke kao što su kôd, identifikator, duljina i autentikator poruke, te atributi (RADIUS podržava 256 različitih atributa). Za provjeru poruke, klijent i poslužitelj koriste zajednički ključ.

Problemi koji se javljaju su oni vezani uz ograničenu duljinu autentikatora i višestruke uporabe zajedničkih ključeva, oni zbog nedostatka autentikacije klijentskih poruka (jer se IP adresa izvora lako može izmijeniti), te oni zbog preslabe ugrađene zaštite (RADIUS-ov skrivajući mehanizam). Svim tim problemima se može doskočiti, no o svemu tome mora voditi brigu sam korisnik prilikom postavljanja sustava. 

Kao alternativa RADIUS-u može se koristiti protokol TACACS+ čija je prednost korištenje TCP-a (pouzdanog transportnog protokola) umjesto UDP-a, te mogućnost odvajanja funkcija autentikacije, autorizacije i administracije korisnika. RADIUS je specifičan i po tome što je, iako je napravljena njegova bolja „verzija“, Diameter, on i dalje najpopularnije rješenje u svojoj klasi, te se i dalje nadograđuje i prilagođava zahtjevima tržišta. Diameter ima bolja rješenja sigurnosnih problema (ima ugrađeni IPsec), te mnoge tehničke prednosti, no korisnici još nisu spremni zamijeniti „dobri stari“ RADIUS.

Postoje mnoge verzije RADIUS-a, od Microsoftovog IAS-a, do besplatnog Linuxovog FreeRADIUS-a, kao i velike količine dostupne tehničke podrške na Internetu. Mnoge verzije RADIUS-a imaju neke postavke specifične za pružatelja usluge, tako da o tome treba voditi računa prilikom biranja. Također treba razmisliti o tome da li koristiti RADIUS ili zakoračiti u budućnost i prilagoditi sustav protokolu Diameter.

Izradu dokumenta "Sigurnosni elementi RADIUS protokola" financirao je Nacionalni CERT, i možete ga pročitati na službenim stranicama CERT-a.