Kurz erklärt: Diameter, das bessere RADIUS?

Heutzutage ist RADIUS (Remote Access Dial-in User Service) in Enterprise-Netzen allgegenwärtig, sei es als zentrale Authentifizierungsinstanz fürs Gerätemanagement, bei VPN- oder NAC-Anwendungen (Network Access Control) oder als Backend für Webauthentifizierungen. Dennoch hat es einige Nachteile. Beispielsweise beherrscht RADIUS nur UDP, was es anfällig gegen Spoofing-Angriffe macht und bei Paketverlust die Möglichkeit der Retransmission vermissen lässt.

Zudem fehlen dem Standard verpflichtende Securitymechanismen. Zwar hat der RFC 3162 nachträglich IPsec für RADIUS definiert, jedoch nicht als Verpflichtung festgelegt. Von „Security by Design“ kann also hier keine Rede sein. Last, but not least fehlen definierte Failover-Mechanismen. Die meisten Hersteller nutzen deshalb proprietäre Verfahren zur Fehlererkennung mit eigens definierten Timern und Prüfverfahren.