PAPが安全でない場合、なぜそれが一般的にRadiusで使用できる唯一の認証プロトコルなのですか?
ベンダーの複数のデバイスでRadius認証を構成するときに、サポートされているプロトコルはPAPだけであることを発見しました。
私は最初は驚きましたが、f5 BigIPでもPAPしか提供していないことを発見しました。さらに、他のいくつかのベンダーもPAPのみを提供しています。
私が理解しているように、クレデンシャルはRadiusクライアントからプレーンテキストで送信されるため、PAPは安全ではないと見なされています。
だから私の質問は、それがそれほど安全でない場合、なぜそれがまだ一般的に唯一の認証プロトコルであるのですか?
デバイスのメーカーのみがそのデバイスに関する標準的な回答を提供できますが、多くのプラットフォームでPAPのみがサポートされる理由を一般的に説明するいくつかの要因があります。
- PAPは古い(RFC 1334は1992年に公開された)ため、ほとんどが標準化された唯一の選択肢でした。新しい(そして間違いなくより良い)標準がリリースされた後(1996年にCHAP、2004年に更新された1998年にEAPなど)になった後でも、企業は既存の製品ですでに作成されたPAPコードを使用し、それを新製品に移行することができます。
- PAPの実装は簡単です。複雑な暗号化メカニズムを理解する必要はありません。
- 別のセキュリティ層を追加する簡単な方法があるため、それを修正するインセンティブはありません。 (下の最後の段落を参照)
しかし実際には、PAP RADIUSで使用されるは実際にはパスワードをプレーンテキストで送信しません。代わりに、共有秘密に基づくMD5ハッシュを使用してパスワードをXORします。 これも安全ではないと考えられていますがそれでも、実際の平文よりは少し優れています。
PAPを安全に使用するための最良の実用的な答えは、VPN(IPSecトンネルなど)を介してRADIUSトラフィックをトンネリングすることです。とにかくRADIUS接続を処理する場合、これは標準的な方法になりつつあります。保護する必要があるパスワード以外に、他の機密ユーザーデータも存在する可能性があるためです。