<div dir="ltr">Alan and Arran,<div><br></div><div>Thanks for your response.</div><div><br></div><div>The security of Radius has been questioned on a number of occasions, it not out of line to question it on the Radius Users mailing list.<br>
</div><div><br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, Dec 3, 2013 at 10:11 AM, Alan DeKok <span dir="ltr"><<a href="mailto:aland@deployingradius.com" target="_blank">aland@deployingradius.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">Bob Probert wrote:<br>
> In my understanding RADIUS provides security in the form of an MD5 hash<br>
> -- not ideal.<br>
<br>
</div>  I said RADIUS secures the password.  I meant that.<br>
<br>
  It helps to understand the system before trying to fix it.<br>
<div class="im"><br>
> Has RADSEC been implemented for this PAM module? If not, how is the<br>
> community sanitizing this traffic? IPSEC? STUNNEL?<br>
<br>
</div>  You're asking the wrong questions.  Your questions are based on a<br>
false assumption: that the password is insecure in normal RADIUS.<br>
<br>
  There is no evidence to believe that this is true.<br>
<br>
  If you want the traffic to be *more* secure, set the RADIUS server to<br>
be 127.0.0.1, and run a RADIUS proxy on the local machine.  It can then<br>
do RadSec to anywhere you want.<br>
<br>
  Or, you can configure IPSec, so that the RADIUS PAM module<br>
communicates with the RADIUS server over a network secured by IPSec.<br>
<br>
  Both solutions require *zero* changes to the PAM module.  All they<br>
require is a little knowledge of networking.<br>
<div class="HOEnZb"><div class="h5"><br>
  Alan DeKok.<br>
-<br>
List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html" target="_blank">http://www.freeradius.org/list/users.html</a><br>
</div></div></blockquote></div><br></div>