4.2 Soluções propostas pelo novo protocolo e problemas enfrentados
  • O Diameter utiliza protocolos de transporte mais confiáveis, o TCP ou o SCTP, em detrimento ao UDP utilizado atualmente pelo RADIUS.
  • O Diameter possui um sistema mais eficiente de controle de transmissões, que permitem que os clientes Diameter distribuam o tráfego de dados entre diferentes servidores. Alem disso, o controle sobre as retransmissões e as informações a respeito dos tempos de resposta permitem que os clientes detectem falhas e servidores com problemas, redirecionando rapidamente as requisições para servidores de emergência.
  • O RADIUS não oferece uma autenticação fim-a-fim. Em uma cadeia de proxys utilizando o RADIUS, a autenticação só é realizada de nó-a-nó. Desta forma uma entidade maliciosa poderia através de um servidor Proxy RADIUS, realizar o replay de mensagens de requisição de acesso antigas e conseguir obter mensagens de Acesso aceito, e utilizá-las para acessar recursos de rede das NAS. Além disso, para servidores que limitam o número de conexões simultâneas por usuário, o replay de mensagens antigas pode ocasionar um ataque por negação de serviço. O protocolo DIAMETER suporta a autenticação fim-a-fim, e previne os ataques de replay através de um mecanismo de timestamps.
  • O protocolo RADIUS não é escalável. Devido ao tamanho fixo de um octeto do campo de identificação do pacote, o número máximo de requisições pendentes simultâneas é de 255. A solução adotada para atender NAS sujeitas a um tráfico mais intenso e de um número maior de usuários é o uso de múltiplas portas UDP para realizar as tarefas de autenticação. O protocolo DIAMETER é escalável para os padrões atuais, visto que o seu campo de identificação permite o suporte de até 232 requisições simultâneas.
  • O descarte silencioso das mensagens dificulta que o NAS reconheça qual seja a real causa do não retorno das mensagens. Isto faz com que o NAS assuma que o servidor não esteja respondendo, e acaba retransmitindo a mensagem para um servidor alternativo. Este procedimento pode ser repetido várias vezes até que o NAS desista de enviar o determinado pacote. Este procedimento de descarte silencioso sem a notificação dos erros acaba gerando uma sobrecarga sobre o NAS, que precisa re- enviar a mesma mensagem diversas vezes de forma desnecessária. O protocolo DIAMETER requer que todas as mensagens sejam reconhecidas, com um ACK (reconhecimento), por exemplo. Não importa se a mensagem se refere a uma autenticação bem sucedida ou se houve algum erro, uma mensagem de reconhecimento será sempre enviada, para notificar o sucesso, ou os erros ocorridos.
Topo