RADIUS セキュリティの簡単な概要。
「RADIUSは安全ですか?」この質問はよくあります。答えは、選択した RADIUS の「フレーバー」に応じて、「可能性があります」です。
RADIUS の最初の化身は PAP と呼ばれます。技術の組み合わせを使用して、ユーザーのパスワードをハッシュします。残念ながら、これは (他の時代遅れの手法の中でも) MD5 に依存しています。MD5 は現在非常に脆弱なハッシュ アルゴリズムです。
この記事でわかるように、PAP は安全とは見なされません。
デフォルトでは、Foxpass のクラウド RADIUS は PAP を直接サポートしていません。PAP を使用する必要がある場合は、ネットワークでRADIUS プロキシまたはRADIUS エージェントを仲介として実行することを強くお勧めします。
上記にもかかわらず、PAP が必要で、リスクを許容できる場合は、お問い合わせください。
もう 1 つの一般的な RADIUS プロトコルは PEAP です。PEAP の一部は TLS 暗号化を使用しており、これは大幅な改善です。ただし、パスワードを PEAP と比較するための最も一般的なメカニズムは、MSCHAPv2 を使用します。
MSCHAPv2 では、NTLM パスワード ハッシュをサーバーに保存する必要があります。残念ながら、パスワードに実質的な複雑さの要件がない場合、これらは暗号的に非常に脆弱です。概要は次のとおりです:https://blog.varonis.com/closer-look-pass-hash-part-iii-ntlm-will-get-hacked/
NTLM パスワード ハッシュを格納することになるため、PEAP は安全性が高いとは考えていません。ただし、ご連絡いただければ対応いたします。
注: PEAP は代理認証と互換性がありません
MSCHAPv2 プロトコルの制限により、PEAP を有効にする場合は、認証ソースとして Foxpass を使用する必要があります。
EAP-TTLS-PAP は、当社のクラウド RADIUS サーバーがサポートする最も一般的な RADIUS メカニズムです。このプロトコルは、TLS 暗号化ストリーム内に RADIUS PAP パケットをカプセル化します。「HTTPS」を提供する Web サイトを使用するのと同じくらい安全です。また、データベースで非常に強力なパスワード ハッシュを使用できることも意味します。
EAP-TLS はパスワードをまったく使用せず、完全に証明書ベースです。RADIUS サーバーには、すべてのクライアント証明書の派生元である CA 証明書が必要です。接続を希望する各クライアントは、接続時に提示される証明書 (および一致するキー) をインストールする必要があります。クライアント証明書にはユーザーの電子メール アドレスが含まれているため、Foxpass の RADIUS サーバーは最終チェックを行って、ユーザーがまだデータベース内で「アクティブ」状態であることを確認できます。