ベンダーの複数のデバイスでRadius認証を構成するときに、サポートされているプロトコルはPAPだけであることを発見しました。
私は最初は驚きましたが、f5 BigIPでもPAPしか提供していないことを発見しました。さらに、他のいくつかのベンダーもPAPのみを提供しています。
私が理解しているように、クレデンシャルはRadiusクライアントからプレーンテキストで送信されるため、PAPは安全ではないと見なされています。
だから私の質問は、それがそれほど安全でない場合、なぜそれがまだ一般的に唯一の認証プロトコルであるのですか?
デバイスのメーカーのみがそのデバイスに関する標準的な回答を提供できますが、多くのプラットフォームでPAPのみがサポートされる理由を一般的に説明するいくつかの要因があります。
しかし実際には、PAP RADIUSで使用されるは実際にはパスワードをプレーンテキストで送信しません。代わりに、共有秘密に基づくMD5ハッシュを使用してパスワードをXORします。 これも安全ではないと考えられていますがそれでも、実際の平文よりは少し優れています。
PAPを安全に使用するための最良の実用的な答えは、VPN(IPSecトンネルなど)を介してRADIUSトラフィックをトンネリングすることです。とにかくRADIUS接続を処理する場合、これは標準的な方法になりつつあります。保護する必要があるパスワード以外に、他の機密ユーザーデータも存在する可能性があるためです。