RADIUS - ComTec
Werbung
RADIUS (Remote Authentication Dial In User Service) von Patrick Oppermann und Sönke Saul Chair for Communication Technology (ComTec), Faculty of Electrical Engineering / Computer Science Inhalt • Einführung/Überblick – Triple A – RADIUS Umgebung – Transportprotokoll und Ports • Pakteteigenschaften – Aufbau und Pakettypen und -attribute • Authentifizierung – Protokolle und Ablauf • RADIUS Accounting • RADIUS Extensions 2 Patrick Oppermann und Sönke Saul © ComTec 2005 Einführung • Authentifizierung von Benutzern bei Netzverbindungen über Modem, ISDN, VPN, Wireless LAN oder DSL. • Anwendungsgebiete – Internet Service Provider – VPN – Große WLAN Installationen • RFCs – Erste Beschreibung 1997 in den RFCs 2138 und 2139 – Aktuell gültige RFCs 2865, 2866 und 2869 von 2000 3 Patrick Oppermann und Sönke Saul © ComTec 2005 Implementierungen • Livingston Enterprises • Microsofts „Internet Authentication Server“ (IAS) • Open Source – Freeradius – Openradius • Cisco TACACS+ – Benutzt TCP anstatt UDP • ... 4 Patrick Oppermann und Sönke Saul © ComTec 2005 AAA (Triple A) • Authentifizierung – Wer hat Zugriff auf das System? • Autorisierung – Auf welche Dienste darf zugegriffen werden? – Wann und wie lange dürfen die Dienste benutzt werden? • Abrechnung – Wie lange dauert die Verbindung? – Wie viel Transfervolumen wurde generiert? 5 Patrick Oppermann und Sönke Saul © ComTec 2005 Aufbau einer RADIUS Umgebung Network Access Server (NAS) Client LDAP RADIUS Server SQL Dial-in Unix Internet Firewall/VPN WLAN Access Point 6 Patrick Oppermann und Sönke Saul Local Netzwerk/ Internet © ComTec 2005 Transportprotokoll und Ports • UDP als Transportprotokoll – Warum nicht TCP? • Port 1812 wird für das Authentifizierung verwendet (früher 1645) • Port 1813 findet bei der Abrechnung Verwendung (früher 1646) 7 Patrick Oppermann und Sönke Saul © ComTec 2005 Paketaufbau Code ID Length Authenticator (16 Bytes) A-NR 8 Patrick Oppermann und Sönke Saul A-LEN A-VAL © ComTec 2005 Paket-Typen (Code) 9 Code Pakettyp 1 2 Access Request Access Accept 3 Access Reject 4 5 Accounting Request Accounting Response 11 12 Access Challenge Status Server (experimental) 13 Status Client (experimental) 255 Reserved Patrick Oppermann und Sönke Saul © ComTec 2005 Wichtige Attribute • • • • • • • • 10 1 - Benutzername 2 - Benutzerpasswort 3 - CHAP-Passwort 19 - Rückrufnummer 26 - Erweiterungen des Herstellers 40 - Accounting Start/Stop/Update 60 - CHAP Challenge 79 - EAP-Nachricht Patrick Oppermann und Sönke Saul © ComTec 2005 Authentifizierungsprotkolle • PAP – Benutzername, Passwort und Daten werden im Klartext übertragen. • CHAP – Benutzername und Passwort werden verschlüsselt übertragen. Nur die Daten werden im Klartext übertragen • EAP – Protokollfamilie (EPA-TLS,EPA-TTLS,EPA-MD5...) – Wird hauptsächlich in größeren WLAN-Installationen verwendet 11 Patrick Oppermann und Sönke Saul © ComTec 2005 Ablauf der Authentifizierung(Reject) RADIUS-Server RADIUS-Client Access Request Access Reject 12 Patrick Oppermann und Sönke Saul © ComTec 2005 Ablauf der Authentifizierung(Accept) RADIUS-Server RADIUS-Client Access Request Access Accept Accounting Request Accounting Response 13 Patrick Oppermann und Sönke Saul © ComTec 2005 Ablauf der Authentifizierung(Challenge) RADIUS-Server RADIUS-Client Access Request Access Challenge Access Request Access Accept Accounting Request Accounting Response 14 Patrick Oppermann und Sönke Saul © ComTec 2005 Proxy RADIUS • Anwendung/Motivation – • Roaming Schritte der Weiterleitung 1. Client sendet „access-request“ zum Proxy 2. Proxy leitet die den „access-request“ zum RemoteServer weiter 3. Der Remote-Server antwortet mit access-accept, access-reject oder access-challenge 4. Der Proxy gibt die Antwort an den Client weiter Proxy RADIUS RADIUSClient (NAS) 15 RADIUSServer 1. 2. 4. 3. Patrick Oppermann und Sönke Saul © ComTec 2005 RADIUS Accounting • • • • Einführung Paketeigenschaften Authentifizierung RADIUS Accounting – Eigenschaften – Komponenten – Ablauf – Request/Response • RADIUS Extensions – Neue Funktionalitäten – Neue Attribute 16 Patrick Oppermann und Sönke Saul © ComTec 2005 Eigenschaften RFCs (beide 2000): • 2866 (RADIUS-Accounting) • 2869 (RADIUS Extensions) Einsatzgebiet: • Sammeln von Verbindungsinformationen • Zeit- / Volumenabrechnung – Verbindungsdauer – Übertragenes Datenvolumen • Zugangsstatistiken – Wann wird Service genutzt? 17 Patrick Oppermann und Sönke Saul © ComTec 2005 Komponenten Was ist RADIUS-Accounting? • Spezieller Satz von RADIUS-Paketen... – Accounting-Request – Accounting-Response • ... und dazugehörigen Attributen, z.B. – Acct-Status-Type – Acct-Output-Octets – Acct-Session-Time 18 Patrick Oppermann und Sönke Saul © ComTec 2005 Anfrage RADIUS / RADIUS / Accounting Accounting Request /Request / Acct-Status-Type Acct-Status-Type = Accounting-On = Start (/Off) ISP RADIUS Server Internet Dial-in user NAS 19 Patrick Oppermann und Sönke Saul Andere Services © ComTec 2005 Bestätigung RADIUS / Accounting Response ISP RADIUS Server Internet Dial-in user NAS 20 Patrick Oppermann und Sönke Saul Andere Services © ComTec 2005 Accounting Request code 4 (Accounting-Request) identifier 213 length 33 authenticator nzt#*zh7,g2rc:hq attributes 21 type length value Acct-Status-Type 6 Accounting-on Acct-Session-ID 3 321 NAS-IP-Address 4 195.123.19.2 Patrick Oppermann und Sönke Saul © ComTec 2005 Accounting Response • • Enthält keine Attribute Nur wenn Request erfolgreich empfangen wurde code identifier length authenticator 5 (Accounting-Response) 213 20 236bt3cbnzt1nxzh attributes 22 Patrick Oppermann und Sönke Saul © ComTec 2005 Accounting-Daten senden RADIUS / Accounting Request / Acct-Status-Type = Stop Acct-Session-Time = 2.491 Acct-Output-Octets = 39.030.224 Acct-Input-Octets = 4.782.914 ISP RADIUS Server Internet Dial-in user NAS 23 Patrick Oppermann und Sönke Saul Andere Services © ComTec 2005 Accounting-Daten senden (2) RADIUS / Accounting Response ISP RADIUS Server Internet Dial-in user NAS 24 Patrick Oppermann und Sönke Saul Andere Services © ComTec 2005 RADIUS Extensions Zusätzliche Funktionalitäten (u.a.): • • 25 Interim Accounting Updates – Regelmäßige Übertragung von AccountingInformationen EAP (Extensible Authentication Protocol) Support – EAP: erweiterte Familie von AuthentifizierungsProtokollen – Beliebige EAP-Authentifizierungsarten können über RADIUS abgewickelt werden – RADIUS kann User ablehnen, wenn er sich mit einem für ihn nicht festgelegten Protokoll anmelden will Patrick Oppermann und Sönke Saul © ComTec 2005 Weitere RADIUS-Attribute RFC 2869 definiert ca. 20 neue Attribute, u.a. • • • • 26 Acct-Input-Gigawords – Erfassung von Datenmengen größer als 2^32 Byte Acct-Interim-Interval – Zeitspanne zwischen Accounting-Updates Password-Retry – Wie viele Versuche hat der User, um sich korrekt zu authentifizieren EAP-Message – Enthält ein EAP-Paket (z.B. EAP-Request / EAPResponse) Patrick Oppermann und Sönke Saul © ComTec 2005 Interim-Accounting-Updates Access-Accept Zu Beginn der Sitzung Acct-Interim-Interval = 1800 RADIUS Server NAS Accounting-Request Alle 1800 Sekunden Acct-Status-Type = Interim-Update Acct-Output-Octets = 3.625.247 • • • • 27 Server möchte regelmäßig informiert werden Attribut ‚Acct-Interim-Interval‘ an Client Client sendet nach jedem Intervall aktuelle Accounting-Daten Request vom Client hat Attribut „Acct-Status-Type“ mit Wert „Interim-Update“ Patrick Oppermann und Sönke Saul © ComTec 2005 EAP-Support • NAS leitet EAP-Pakete an RADIUSServer weiter • EAP-Pakete sind gekapselt in RADIUS-Attribut „EAP-Message“ • Alle Beteiligten Entitäten (Client, NAS, RADIUS, RADIUS-Proxy) müssen EAP unterstützen 28 Patrick Oppermann und Sönke Saul © ComTec 2005 EAP • Client und NAS handeln EAP-Parameter aus P auth A E t s e qu PPP Re PPP AC K-EAP auth NAS Identity / t s e u P Req PPP EA PPP EA PIdentity Response / (MyID) 29 Patrick Oppermann und Sönke Saul © ComTec 2005 EAP • NAS setzt sich mit RADIUS-Server in Verbindung RADIU S EAP-M Access-Req uest / es EAP-R sage / es Identit ponse / y (MyID ) NAS enge / l l a h C Access P-Request S U I D RA ge / EA a s s e M EAPallenge h C P T OTP / O 30 Patrick Oppermann und Sönke Saul RADIUS Server © ComTec 2005 EAP • NAS fordert Authentifizierung vom Client an quest e R P A PPP E allenge h C P T OTP / O NAS PPP EA POTP / O Response TPpw 31 Patrick Oppermann und Sönke Saul © ComTec 2005 EAP • NAS übermittelt RADIUS OTP-Login-Daten RADIU S EAP-M Access-Req uest / es EAP-R sage / espon se OTP / OTPpw / RADIUS Server NAS cept / c A s s Acce ccess S u U S I D P A A R sage / E s e M P EA 32 Patrick Oppermann und Sönke Saul © ComTec 2005 EAP • NAS leitet Freigabe an Client weiter ccess u S P A PPP E NAS 33 Patrick Oppermann und Sönke Saul © ComTec 2005 Fazit - RADIUS • Heute in großen Netzwerkumgebungen nahezu unverzichtbar • Bietet Flexibilität für verschiedenste Anforderungen • Sowohl kommerzielle als auch OpenSource-Implementierungen • Gewinnt mit der Ausbreitung mobiler Anwendungen weiter an Bedeutung • Geplanter Nachfolger - DIAMETER 34 Patrick Oppermann und Sönke Saul © ComTec 2005 Quellen • • • • • [1] RFC 2865, www.faqs.org/rfcs/2865 [2] RFC 2866, www.faqs.org/rfcs/2866 [3] RFC 2869, www.faqs.org/rfcs/2869 [4] IX 6/05, S. 112ff [5] http://www.enterasys.com/de/products/whitepapers/ eap_artikel_revised_de_rev2.pdf Bildmaterial: • Apple Computer, www.apple.com/de 35 Patrick Oppermann und Sönke Saul © ComTec 2005
