Página Principal
>
4. DIAMETER
>
4.2 Soluções propostas pelo novo protocolo e problemas enfrentados
|
Anterior
Próxima
|
|
|
|
-
O Diameter utiliza protocolos de
transporte mais confiáveis, o TCP ou o SCTP, em detrimento ao
UDP utilizado atualmente pelo RADIUS.
-
O Diameter possui um sistema mais
eficiente de controle de transmissões, que permitem que os
clientes Diameter distribuam o tráfego de dados entre
diferentes servidores. Alem disso, o controle sobre as
retransmissões e as informações a respeito dos
tempos de resposta permitem que os clientes detectem falhas e
servidores com problemas, redirecionando rapidamente as
requisições para servidores de
emergência.
-
O RADIUS não oferece uma
autenticação fim-a-fim. Em uma cadeia de proxys
utilizando o RADIUS, a autenticação só é
realizada de nó-a-nó. Desta forma uma entidade maliciosa
poderia através de um servidor Proxy RADIUS, realizar o
replay de mensagens de requisição de acesso
antigas e conseguir obter mensagens de Acesso aceito, e
utilizá-las para acessar recursos de rede das NAS. Além
disso, para servidores que limitam o número de conexões
simultâneas por usuário, o replay de mensagens
antigas pode ocasionar um ataque por negação de
serviço. O protocolo DIAMETER suporta a autenticação
fim-a-fim, e previne os ataques de replay através de um
mecanismo de timestamps.
-
O protocolo RADIUS não é
escalável. Devido ao tamanho fixo de um octeto do campo de
identificação do pacote, o número máximo de
requisições pendentes simultâneas é de 255. A
solução adotada para atender NAS sujeitas a um
tráfico mais intenso e de um número maior de
usuários é o uso de múltiplas portas UDP para
realizar as tarefas de autenticação. O protocolo DIAMETER
é escalável para os padrões atuais, visto que o seu
campo de identificação permite o suporte de até
232 requisições simultâneas.
-
O descarte silencioso das mensagens
dificulta que o NAS reconheça qual seja a real causa do
não retorno das mensagens. Isto faz com que o NAS assuma que o
servidor não esteja respondendo, e acaba retransmitindo a
mensagem para um servidor alternativo. Este procedimento pode ser
repetido várias vezes até que o NAS desista de enviar o
determinado pacote. Este procedimento de descarte silencioso sem a
notificação dos erros acaba gerando uma sobrecarga sobre
o NAS, que precisa re- enviar a mesma mensagem diversas vezes de
forma desnecessária. O protocolo DIAMETER requer que todas as
mensagens sejam reconhecidas, com um ACK (reconhecimento), por
exemplo. Não importa se a mensagem se refere a uma
autenticação bem sucedida ou se houve algum erro, uma
mensagem de reconhecimento será sempre enviada, para notificar
o sucesso, ou os erros ocorridos.
|
|
|
|