Remote Authentication Dial-In User Service - Définition

Versions obsolètes de RADIUS

• La première version de RADIUS date de janvier 1997 et était définie par RFC 2058 et RFC 2059. Seul un prototype de code Merritt a existé, aucune réalisation selon ces RFC n'est arrivée sur le marché.
• La deuxième version date de la même année (avril 1997) et était définie par RFC 2138 et RFC 2139. Les serveurs Radius de première génération utilisaient ces RFC, certains sont encore en production.

Limitations

• RADIUS a été conçu pour des identifications par modem, sur des liaisons lentes et peu sûres ; c'est la raison du choix du protocole UDP, bien expliquée dans RFC2138. Ce choix technique d'un protocole non agressif conduit à des échanges laborieux basés sur des temporisations de réémission, des échanges d'accusés de réception qui se justifiaient tant que la connexion à l'Internet relevait du principe "bouteille à la mer" d'UDP, mais n'ont plus lieu d'être par exemple entre opérateurs dans les activités de roaming ou de Proxy Radius -> Diameter utilise TCP ou SCTP
• RADIUS base son identification sur le seul principe du couple nom/mot de passe ; parfaitement adapté à l'époque (1996), cette notion a dû être adaptée par exemple pour l'identification des terminaux mobiles par leur numéro IMEI ou par leur numéro d'appel (Calling-Station-ID en Radius) sans mot de passe (alors que la RFC interdit le mot de passe vide !)
• RADIUS assure un transport en clair, seul le mot de passe est chiffré par hachage ; la sécurité toute relative du protocole repose sur le seul shared secret et impose la sécurisation des échanges entre le client et le serveur par sécurité physique ou VPN -> Diameter peut utiliser IPSec ou TLS
• RADIUS limite les attributs, gérés sous forme de chaîne "Pascal" avec un octet en tête donnant la longueur, à 255 octets, cohérents avec la notion de nom/mot de passe, mais inadapté à toute tentative d'introduction de biométrie (fond d'œil, empreinte digitale) de cryptographie (certificat) -> Diameter utilise des attributs sur 32 bits au lieu de 8 (déjà présents dans certaines extensions EAP de RADIUS, notamment TTLS)
• RADIUS est strictement client-serveur, d'où des discussions et bagarres de protocoles propriétaires quand un serveur doit légitimement tuer une session pirate sur un client -> Diameter a des mécanismes d'appel du client par le serveur
• RADIUS n'assure pas de mécanisme d'identification du serveur ; or se faire passer pour un serveur est un excellent moyen de récolter des noms et mots de passe -> EAP assure une identification mutuelle du client et du serveur

Extensions de RADIUS

• EAP (Extensible Authentication Protocol) est un protocole conçu pour étendre les fonctions du protocole Radius à des types d'identification plus complexes; il est indépendant du matériel du client Radius et négocié directement avec le supplicant (poste client, terminal d'accès). C'est ce qui a permis de le mettre en place rapidement sur un maximum d'appareils réseau puisqu'il n'utilise que deux attributs Radius servant de protocole de transport, et a conduit à une explosion de types EAP : EAP-MD5 défini dans le RFC comme exemple, mais aussi EAP-TLS, EAP-TTLS, EAP-PEAP (version 0 Microsoft, version 1 Cisco, version 2 bientôt), EAP-MS-CHAP-V2, EAP-AKA, EAP-LEAP et EAP-FAST (Cisco), EAP-SIM, etc
• 802.1X est un protocole assurant l'identification par port pour l'accès à un réseau ; il n'est pas lié explicitement à RADIUS dans son principe et utilise dans toutes ses définitions les termes "serveur AAA" et "protocole AAA", mais il se trouve que l'annexe D du document de référence mentionne comme "exemple" de protocole et serveur AAA le seul RADIUS. Toutes les mises en œuvre de 802.1X connues s'appuient donc sur RADIUS.
• Diameter n'est pas vraiment une extension mais un successeur du protocole RADIUS ; il est basé sur TCP alors que Radius est en UDP, il utilise des attributs de grande taille (Radius est limité à 254 octets par attribut) et il est destiné aux échanges entre serveurs sur des liaisons sûres ; les serveurs Diameter (non déployés pour l'instant) sont généralement compatibles Radius. Un certain nombre de types d'attributs Diameter se retrouvent déjà dans EAP-TTLS par exemple.