Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
Chair for Communication Technology (Chair for Communication Technology (ComTecComTec), Faculty of Electrical Engineering / Computer Science), Faculty of Electrical Engineering / Computer Science
RADIUS(Remote Authentication Dial In User Service)
von Patrick Oppermann und Sönke Saul
©© ComTec ComTec 20052005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul22
Inhalt
• Einführung/Überblick– Triple A– RADIUS Umgebung– Transportprotokoll und Ports
• Pakteteigenschaften– Aufbau und Pakettypen und -attribute
• Authentifizierung– Protokolle und Ablauf
• RADIUS Accounting• RADIUS Extensions
©© ComTec ComTec 20052005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul33
Einführung
• Authentifizierung von Benutzern bei Netzverbindungen über Modem, ISDN, VPN, Wireless LAN oder DSL.
• Anwendungsgebiete– Internet Service Provider– VPN– Große WLAN Installationen
• RFCs– Erste Beschreibung 1997 in den RFCs 2138
und 2139– Aktuell gültige RFCs 2865, 2866 und 2869 von
2000
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul44
Implementierungen
• Livingston Enterprises• Microsofts „Internet Authentication
Server“ (IAS)• Open Source
– Freeradius– Openradius
• Cisco TACACS+– Benutzt TCP anstatt UDP
• ...
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul55
AAA (Triple A)
• Authentifizierung– Wer hat Zugriff auf das System?
• Autorisierung– Auf welche Dienste darf zugegriffen werden?– Wann und wie lange dürfen die Dienste
benutzt werden?• Abrechnung
– Wie lange dauert die Verbindung?– Wie viel Transfervolumen wurde generiert?
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul66
Aufbau einer RADIUS Umgebung
RADIUSServer
Unix
SQL
LDAP
Local
WLAN AccessPoint
Netzwerk/Internet
Firewall/VPNInternet
Dial-in
NetworkAccessServer(NAS)
Client
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul77
Transportprotokoll und Ports
• UDP als Transportprotokoll– Warum nicht TCP?
• Port 1812 wird für das Authentifizierung verwendet (früher 1645)
• Port 1813 findet bei der Abrechnung Verwendung (früher 1646)
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul88
Paketaufbau
Authenticator (16 Bytes)
Code ID Length
A-NR A-LEN A-VAL
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul99
Paket-Typen (Code)
Code Pakettyp1 Access Request2 Access Accept3 Access Reject4 Accounting Request5 Accounting Response11 Access Challenge12 Status Server (experimental)13 Status Client (experimental)255 Reserved
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul1010
Wichtige Attribute
• 1 - Benutzername• 2 - Benutzerpasswort• 3 - CHAP-Passwort• 19 - Rückrufnummer• 26 - Erweiterungen des Herstellers• 40 - Accounting Start/Stop/Update• 60 - CHAP Challenge• 79 - EAP-Nachricht
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul1111
Authentifizierungsprotkolle
• PAP– Benutzername, Passwort und Daten werden im
Klartext übertragen.• CHAP
– Benutzername und Passwort werden verschlüsselt übertragen. Nur die Daten werden im Klartext übertragen
• EAP– Protokollfamilie (EPA-TLS,EPA-TTLS,EPA-MD5...)– Wird hauptsächlich in größeren WLAN-Installationen
verwendet
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul1212
Ablauf der Authentifizierung(Reject)
RADIUS-Client RADIUS-Server
Access Request
Access Reject
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul1313
Ablauf der Authentifizierung(Accept)
RADIUS-Client RADIUS-ServerAccess Request
Accounting Request
Accounting Response
Access Accept
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul1414
Ablauf der Authentifizierung(Challenge)
RADIUS-Client RADIUS-Server
Access Request
Accounting Request
Accounting Response
Access Accept
Access Challenge
Access Request
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul1515
Proxy RADIUS
• Anwendung/Motivation– Roaming
• Schritte der Weiterleitung1. Client sendet „access-request“ zum Proxy2. Proxy leitet die den „access-request“ zum Remote-
Server weiter3. Der Remote-Server antwortet mit access-accept,
access-reject oder access-challenge4. Der Proxy gibt die Antwort an den Client weiter
RADIUS-Client(NAS)
ProxyRADIUS
RADIUS-Server
2.1.3.4.
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul1616
RADIUS Accounting
• Einführung• Paketeigenschaften• Authentifizierung• RADIUS Accounting
– Eigenschaften– Komponenten– Ablauf– Request/Response
• RADIUS Extensions– Neue Funktionalitäten– Neue Attribute
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul1717
EigenschaftenRFCs (beide 2000):• 2866 (RADIUS-Accounting)• 2869 (RADIUS Extensions)
Einsatzgebiet:• Sammeln von Verbindungsinformationen• Zeit- / Volumenabrechnung
– Verbindungsdauer– Übertragenes Datenvolumen
• Zugangsstatistiken– Wann wird Service genutzt?
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul1818
Komponenten
Was ist RADIUS-Accounting?
• Spezieller Satz von RADIUS-Paketen...– Accounting-Request– Accounting-Response
• ... und dazugehörigen Attributen, z.B.– Acct-Status-Type– Acct-Output-Octets– Acct-Session-Time
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul1919
Anfrage
NAS
RADIUSServer
Internet
ISP
AndereServices
Dial-inuser
RADIUS /Accounting Request /Acct-Status-Type = Start
RADIUS /Accounting Request /Acct-Status-Type = Accounting-On (/Off)
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul2020
Bestätigung
NAS
RADIUSServer
Internet
ISP
AndereServices
Dial-inuser
RADIUS /Accounting Response
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul2121
Accounting Request
code 4 (Accounting-Request)
identifier 213
length 33
authenticator nzt#*zh7,g2rc:hq
attributes type length value
Acct-Status-Type 6 Accounting-on
Acct-Session-ID 3 321
NAS-IP-Address 4 195.123.19.2
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul2222
Accounting Response• Enthält keine Attribute• Nur wenn Request erfolgreich empfangen wurde
code 5 (Accounting-Response)
identifier 213
length 20
authenticator 236bt3cbnzt1nxzh
attributes
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul2323
Accounting-Daten senden
NAS
RADIUSServer
Internet
ISP
AndereServices
Dial-inuser
RADIUS /Accounting Request /
Acct-Status-Type = StopAcct-Session-Time = 2.491Acct-Output-Octets = 39.030.224Acct-Input-Octets = 4.782.914
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul2424
Accounting-Daten senden (2)
NAS
RADIUSServer
Internet
ISP
AndereServices
Dial-inuser
RADIUS /Accounting Response
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul2525
RADIUS Extensions
Zusätzliche Funktionalitäten (u.a.):
• Interim Accounting Updates– Regelmäßige Übertragung von Accounting-
Informationen• EAP (Extensible Authentication Protocol) Support
– EAP: erweiterte Familie von Authentifizierungs-Protokollen
– Beliebige EAP-Authentifizierungsarten können über RADIUS abgewickelt werden
– RADIUS kann User ablehnen, wenn er sich mit einem für ihn nicht festgelegten Protokoll anmelden will
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul2626
Weitere RADIUS-Attribute
RFC 2869 definiert ca. 20 neue Attribute, u.a.
• Acct-Input-Gigawords– Erfassung von Datenmengen größer als 2^32 Byte
• Acct-Interim-Interval– Zeitspanne zwischen Accounting-Updates
• Password-Retry– Wie viele Versuche hat der User, um sich korrekt zu
authentifizieren• EAP-Message
– Enthält ein EAP-Paket (z.B. EAP-Request / EAP-Response)
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul2727
Interim-Accounting-Updates
• Server möchte regelmäßig informiert werden• Attribut ‚Acct-Interim-Interval‘ an Client• Client sendet nach jedem Intervall aktuelle Accounting-Daten• Request vom Client hat Attribut „Acct-Status-Type“ mit Wert
„Interim-Update“
NAS RADIUS Server
Access-Accept
Acct-Interim-Interval = 1800
Accounting-Request
Acct-Status-Type = Interim-Update
Acct-Output-Octets = 3.625.247Alle 1800 Sekunden
Zu Beginn der Sitzung
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul2828
EAP-Support
• NAS leitet EAP-Pakete an RADIUS-Server weiter
• EAP-Pakete sind gekapselt in RADIUS-Attribut „EAP-Message“
• Alle Beteiligten Entitäten (Client, NAS, RADIUS, RADIUS-Proxy) müssen EAP unterstützen
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul2929
EAP
• Client und NAS handeln EAP-Parameter aus
NAS
PPP Request EAP auth
PPP ACK-EAP auth
PPP EAP Request / Identity
PPP EAP-Response /Identity (MyID)
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul3030
EAP
• NAS setzt sich mit RADIUS-Server in Verbindung
NAS
RADIUS Access-Challenge /
EAP-Message / EAP-Request
OTP / OTP-Challenge
RADIUS Access-Request /EAP-Message /EAP-Response /Identity (MyID)
RADIUSServer
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul3131
EAP
• NAS fordert Authentifizierung vom Client an
NAS
PPP EAP-Request
OTP / OTP-Challenge
PPP EAP-ResponseOTP / OTPpw
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul3232
EAP
• NAS übermittelt RADIUS OTP-Login-Daten
NAS
RADIUS Access-Accept /
EAP-Message / EAP-Success
RADIUS Access-Request /EAP-Message /EAP-Response /OTP / OTPpw
RADIUSServer
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul3333
EAP
• NAS leitet Freigabe an Client weiter
NAS
PPP EAP-Success
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul3434
Fazit - RADIUS
• Heute in großen Netzwerkumgebungen nahezu unverzichtbar
• Bietet Flexibilität für verschiedenste Anforderungen
• Sowohl kommerzielle als auch Open-Source-Implementierungen
• Gewinnt mit der Ausbreitung mobiler Anwendungen weiter an Bedeutung
• Geplanter Nachfolger - DIAMETER
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul3535
Quellen
• [1] RFC 2865, www.faqs.org/rfcs/2865• [2] RFC 2866, www.faqs.org/rfcs/2866• [3] RFC 2869, www.faqs.org/rfcs/2869• [4] IX 6/05, S. 112ff• [5] http://www.enterasys.com/de/products/whitepapers/
eap_artikel_revised_de_rev2.pdf
Bildmaterial:• Apple Computer, www.apple.com/de