千叶，等。信息[第21页]

RFC 3576动态授权扩展到radius为2003年7月

5.2。模拟

[RFC2865]第3种状态：

RADIUS服务器必须使用的源IP地址的RADIUS UDP 数据包来决定共享秘密使用，使RADIUS 可以代理请求。

当RADIUS请求转发代理服务器，NAS-IP地址或 NAS-IPv6的地址属性通常会不匹配源

解决观察到RADIUS服务器。由于NAS标识符 属性不包含的FQDN，这个属性可能不 解析观察RADIUS服务器的源地址，甚至 当没有代理的存在。

其结果是，由RADIUS服务器进行的真实性检查，或 代理不验证NAS识别的正确性

属性。这使得它可以为一个流氓NAS开拓NAS-IP 内的地址，NAS-IPv6的地址或NAS标识符属性 RADIUS访问请求以冒充另一台NAS。这是 一个流氓NAS也有可能伪造会话标识 如被叫站ID，呼叫站ID，或属性

始发线信息[NASREQ]。这可能愚弄RADIUS服务器 到发送断开连接请求或COA请求消息中包含 伪造会话标识属性，通过有针对性的到NAS 攻击者。

为了解决这些漏洞应该检查是否RADIUS代理 NAS识别属性（见第3节）。匹配源

源自NAS的数据包的地址。其中一个或多个 属性不匹配，断开请求或COA请求消息 应该被丢弃。

这样的检查可能不总是可能的。由于NAS标识符 属性不对应的FQDN，它可能无法解析

一个IP地址进行匹配的源地址。此外，如

RADIUS客户端和代理之间存在一个NAT，检查NAS IP地址或NAS IPv6的地址属性未必可行。

5.3。 IPsec的使用指南

除了独特的断开或COA的安全漏洞 消息，本文档中描述的协议交换

容易受到相同的漏洞为RADIUS [RFC2865]。这是 建议的IPsec被用来买得起更好的安全性。

千叶，等。信息[第22页]

RFC 3576动态授权扩展到radius为2003年7月

本规范的实现应该支持IPsec [RFC2401]

随着IKE [RFC2409]密钥管理。的IPsec ESP [RFC2406] 与一个非空的变换应予以支持，和IPsec ESP与 应非空的加密变换和认证支持

用于提供每个数据包的保密性，身份验证，完整性 和重放保护。应该用于IKE密钥管理。

radius内的[RFC2865]，用于隐藏共享的秘密 如用户密码的属性，以及用于计算 回应认证。在RADIUS计费[RFC2866] 使用共享密钥在计算双方的请求 Authenticator和回应认证。

由于在RADIUS共享密钥是用来提供保密

以及完整的保护和身份认证，只有使用的IPsec 与一个非空变换的ESP可以提供安全服务 足以取代RADIUS应用层安全。

因此，其中的IPsec AH或ESP空时，它通常会 仍然是必要的配置RADIUS共享密钥。

RADIUS的IPsec ESP跑过来一个非空的变换， NAS和RADIUS服务器之间共享的秘密可能不

配置的。在这种情况下，零长度必须是一个共享的秘密 假定。然而，不知道是否传入的RADIUS服务器 交通IPsec保护的必须配置一个非空的RADIUS 共享的秘密。

当IPsec ESP是用于与RADIUS，每包认证， 必须使用的完整性和重放保护。 3DES-CBC必须 作为加密变换和AES-CBC支持，应予以支持。 应提供AES-CBC作为首选的加密变换

支持。作为身份验证，必须支持HMAC-SHA1-96 变换。 DES-CBC不应该被用作加密变换。

一个典型的IPsec策略IPsec功能的RADIUS客户端 “启动IPsec，我到任何目标端口UDP 1812”的。这 IPsec策略导致的IPsec SA将设立由RADIUS客户端 在发送之前，RADIUS流量。如果某些RADIUS服务器联络 客户端不支持IPsec的，那么一个更细化的政策将

要求：“启动IPsec，我支持IPSec的RADIUS服务器， 目标端口UDP 1812。“

对于客户端执行本规范，政策将

“接受IPsec，从任何我，目的端口UDP 3799”。这 导致RADIUS客户端接受（但不要求）使用IPsec的。 它可能不适合需要对所有RADIUS服务器的IPsec 连接到启用IPsec RADIUS客户端，因为某些RADIUS 服务器可能不支持IPsec。

千叶，等。信息[第23页]

RFC 3576动态授权扩展到radius为2003年7月

对于IPsec功能的RADIUS服务器，一个典型的IPsec策略是“接受 IPSEC，从任何给我，目的端口号为1812。“这将导致

RADIUS服务器来接受（但不要求）使用IPsec的。它可能不 是需要IPsec对所有RADIUS客户端连接到适当的

启用IPsec的RADIUS服务器，因为某些RADIUS客户端可能无法 支持IPsec。

对于实施本规范的服务器，该政策将

“启动IPsec，从我到任何目标端口UDP 3799”。这 RADIUS服务器发送RADIUS时启动IPsec

扩展任何RADIUS客户端的流量。如果某些RADIUS客户端 接触服务器不支持IPsec，那么更细化的 政策须，如“启动IPsec，从我的IPsec

能RADIUS客户端，目标端口UDP 3799“的。

IPsec是用于安全，以及没有RADIUS共享密钥 配置，它是重要的RADIUS客户端和服务器执行 授权检查。之前使主机充当一个RADIUS

客户端，应检查主机是否被授权的RADIUS服务器 提供网络接入。同样，在实现了主机充当

作为RADIUS服务器，RADIUS客户端应该检查主机是否 该角色的授权。

可以配置RADIUS服务器的IP地址（IKE 野蛮模式，预共享密钥）或FQDN（证书

身份验证）RADIUS客户端。另外，如果一个单独的 认证机构（CA）存在的RADIUS客户端，然后

RADIUS服务器可以配置此CA作为信任锚[RFC3280] 使用IPsec的。

同样，可以配置RADIUS客户端的IP地址

（预共享密钥IKE野蛮模式）或FQDN（例如， 证书认证）的RADIUS服务器。另外，如果

不同的CA存在的RADIUS服务器，RADIUS客户端 配置此CA作为信任锚与IPsec使用。

由于不像SSL / TLS，IKE不准许证书政策

证书策略设置每个端口的基础上，需要适用于所有

RADIUS客户端和服务器上的IPsec用途。在IPSec部署 仅支持证书认证，管理站

启动IPsec保护的RADIUS服务器的telnet会话 需要获得RADIUS客户端CA证书链。 如果管理，发出这样的证书可能不适合 站没有被授权作为RADIUS客户端。

RADIUS客户端可以动态获取IP地址（如

支持DHCP接入点），主要使用预共享密钥模式 [RFC2409]不应使用，因为这需要使用一组

千叶，等。信息[第24页]

RFC 3576动态授权扩展到radius为2003年7月

预共享密钥，而是应该使用野蛮模式。哪里

RADIUS客户端地址是静态分配的，无论是积极的