(remote authentication dial in user service) von patrick ......netzverbindungen über modem, isdn,...

of 35 /35
Chair for Communication Technology ( Chair for Communication Technology ( ComTec ComTec ), Faculty of Electrical Engineering / Computer Science ), Faculty of Electrical Engineering / Computer Science RADIUS (Remote Authentication Dial In User Service) von Patrick Oppermann und Sönke Saul

Author: others

Post on 27-Oct-2020

0 views

Category:

Documents


0 download

Embed Size (px)

TRANSCRIPT

  • Chair for Communication Technology (Chair for Communication Technology (ComTecComTec), Faculty of Electrical Engineering / Computer Science), Faculty of Electrical Engineering / Computer Science

    RADIUS(Remote Authentication Dial In User Service)

    von Patrick Oppermann und Sönke Saul

  • ©© ComTec ComTec 20052005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul22

    Inhalt

    • Einführung/Überblick– Triple A– RADIUS Umgebung– Transportprotokoll und Ports

    • Pakteteigenschaften– Aufbau und Pakettypen und -attribute

    • Authentifizierung– Protokolle und Ablauf

    • RADIUS Accounting• RADIUS Extensions

  • ©© ComTec ComTec 20052005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul33

    Einführung

    • Authentifizierung von Benutzern bei Netzverbindungen über Modem, ISDN, VPN, Wireless LAN oder DSL.

    • Anwendungsgebiete– Internet Service Provider– VPN– Große WLAN Installationen

    • RFCs– Erste Beschreibung 1997 in den RFCs 2138

    und 2139– Aktuell gültige RFCs 2865, 2866 und 2869 von

    2000

  • ©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul44

    Implementierungen

    • Livingston Enterprises• Microsofts „Internet Authentication

    Server“ (IAS)• Open Source

    – Freeradius– Openradius

    • Cisco TACACS+– Benutzt TCP anstatt UDP

    • ...

  • ©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul55

    AAA (Triple A)

    • Authentifizierung– Wer hat Zugriff auf das System?

    • Autorisierung– Auf welche Dienste darf zugegriffen werden?– Wann und wie lange dürfen die Dienste

    benutzt werden?• Abrechnung

    – Wie lange dauert die Verbindung?– Wie viel Transfervolumen wurde generiert?

  • ©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul66

    Aufbau einer RADIUS Umgebung

    RADIUSServer

    Unix

    SQL

    LDAP

    Local

    WLAN AccessPoint

    Netzwerk/Internet

    Firewall/VPNInternet

    Dial-in

    NetworkAccessServer(NAS)

    Client

  • ©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul77

    Transportprotokoll und Ports

    • UDP als Transportprotokoll– Warum nicht TCP?

    • Port 1812 wird für das Authentifizierung verwendet (früher 1645)

    • Port 1813 findet bei der Abrechnung Verwendung (früher 1646)

  • ©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul88

    Paketaufbau

    Authenticator (16 Bytes)

    Code ID Length

    A-NR A-LEN A-VAL

  • ©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul99

    Paket-Typen (Code)

    Code Pakettyp1 Access Request2 Access Accept3 Access Reject4 Accounting Request5 Accounting Response11 Access Challenge12 Status Server (experimental)13 Status Client (experimental)255 Reserved

  • ©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul1010

    Wichtige Attribute

    • 1 - Benutzername• 2 - Benutzerpasswort• 3 - CHAP-Passwort• 19 - Rückrufnummer• 26 - Erweiterungen des Herstellers• 40 - Accounting Start/Stop/Update• 60 - CHAP Challenge• 79 - EAP-Nachricht

  • ©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul1111

    Authentifizierungsprotkolle

    • PAP– Benutzername, Passwort und Daten werden im

    Klartext übertragen.• CHAP

    – Benutzername und Passwort werden verschlüsselt übertragen. Nur die Daten werden im Klartext übertragen

    • EAP– Protokollfamilie (EPA-TLS,EPA-TTLS,EPA-MD5...)– Wird hauptsächlich in größeren WLAN-Installationen

    verwendet

  • ©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul1212

    Ablauf der Authentifizierung(Reject)

    RADIUS-Client RADIUS-Server

    Access Request

    Access Reject

  • ©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul1313

    Ablauf der Authentifizierung(Accept)

    RADIUS-Client RADIUS-ServerAccess Request

    Accounting Request

    Accounting Response

    Access Accept

  • ©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul1414

    Ablauf der Authentifizierung(Challenge)

    RADIUS-Client RADIUS-Server

    Access Request

    Accounting Request

    Accounting Response

    Access Accept

    Access Challenge

    Access Request

  • ©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul1515

    Proxy RADIUS

    • Anwendung/Motivation– Roaming

    • Schritte der Weiterleitung1. Client sendet „access-request“ zum Proxy2. Proxy leitet die den „access-request“ zum Remote-

    Server weiter3. Der Remote-Server antwortet mit access-accept,

    access-reject oder access-challenge4. Der Proxy gibt die Antwort an den Client weiter

    RADIUS-Client(NAS)

    ProxyRADIUS

    RADIUS-Server

    2.1.3.4.

  • ©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul1616

    RADIUS Accounting

    • Einführung• Paketeigenschaften• Authentifizierung• RADIUS Accounting

    – Eigenschaften– Komponenten– Ablauf– Request/Response

    • RADIUS Extensions– Neue Funktionalitäten– Neue Attribute

  • ©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul1717

    EigenschaftenRFCs (beide 2000):• 2866 (RADIUS-Accounting)• 2869 (RADIUS Extensions)

    Einsatzgebiet:• Sammeln von Verbindungsinformationen• Zeit- / Volumenabrechnung

    – Verbindungsdauer– Übertragenes Datenvolumen

    • Zugangsstatistiken– Wann wird Service genutzt?

  • ©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul1818

    Komponenten

    Was ist RADIUS-Accounting?

    • Spezieller Satz von RADIUS-Paketen...– Accounting-Request– Accounting-Response

    • ... und dazugehörigen Attributen, z.B.– Acct-Status-Type– Acct-Output-Octets– Acct-Session-Time

  • ©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul1919

    Anfrage

    NAS

    RADIUSServer

    Internet

    ISP

    AndereServices

    Dial-inuser

    RADIUS /Accounting Request /Acct-Status-Type = Start

    RADIUS /Accounting Request /Acct-Status-Type = Accounting-On (/Off)

  • ©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul2020

    Bestätigung

    NAS

    RADIUSServer

    Internet

    ISP

    AndereServices

    Dial-inuser

    RADIUS /Accounting Response

  • ©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul2121

    Accounting Request

    code 4 (Accounting-Request)

    identifier 213

    length 33

    authenticator nzt#*zh7,g2rc:hq

    attributes type length value

    Acct-Status-Type 6 Accounting-on

    Acct-Session-ID 3 321

    NAS-IP-Address 4 195.123.19.2

  • ©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul2222

    Accounting Response• Enthält keine Attribute• Nur wenn Request erfolgreich empfangen wurde

    code 5 (Accounting-Response)

    identifier 213

    length 20

    authenticator 236bt3cbnzt1nxzh

    attributes

  • ©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul2323

    Accounting-Daten senden

    NAS

    RADIUSServer

    Internet

    ISP

    AndereServices

    Dial-inuser

    RADIUS /Accounting Request /

    Acct-Status-Type = StopAcct-Session-Time = 2.491Acct-Output-Octets = 39.030.224Acct-Input-Octets = 4.782.914

  • ©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul2424

    Accounting-Daten senden (2)

    NAS

    RADIUSServer

    Internet

    ISP

    AndereServices

    Dial-inuser

    RADIUS /Accounting Response

  • ©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul2525

    RADIUS Extensions

    Zusätzliche Funktionalitäten (u.a.):

    • Interim Accounting Updates– Regelmäßige Übertragung von Accounting-

    Informationen• EAP (Extensible Authentication Protocol) Support

    – EAP: erweiterte Familie von Authentifizierungs-Protokollen

    – Beliebige EAP-Authentifizierungsarten können über RADIUS abgewickelt werden

    – RADIUS kann User ablehnen, wenn er sich mit einem für ihn nicht festgelegten Protokoll anmelden will

  • ©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul2626

    Weitere RADIUS-Attribute

    RFC 2869 definiert ca. 20 neue Attribute, u.a.

    • Acct-Input-Gigawords– Erfassung von Datenmengen größer als 2^32 Byte

    • Acct-Interim-Interval– Zeitspanne zwischen Accounting-Updates

    • Password-Retry– Wie viele Versuche hat der User, um sich korrekt zu

    authentifizieren• EAP-Message

    – Enthält ein EAP-Paket (z.B. EAP-Request / EAP-Response)

  • ©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul2727

    Interim-Accounting-Updates

    • Server möchte regelmäßig informiert werden• Attribut ‚Acct-Interim-Interval‘ an Client• Client sendet nach jedem Intervall aktuelle Accounting-Daten• Request vom Client hat Attribut „Acct-Status-Type“ mit Wert

    „Interim-Update“

    NAS RADIUS Server

    Access-Accept

    Acct-Interim-Interval = 1800

    Accounting-Request

    Acct-Status-Type = Interim-Update

    Acct-Output-Octets = 3.625.247Alle 1800 Sekunden

    Zu Beginn der Sitzung

  • ©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul2828

    EAP-Support

    • NAS leitet EAP-Pakete an RADIUS-Server weiter

    • EAP-Pakete sind gekapselt in RADIUS-Attribut „EAP-Message“

    • Alle Beteiligten Entitäten (Client, NAS, RADIUS, RADIUS-Proxy) müssen EAP unterstützen

  • ©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul2929

    EAP

    • Client und NAS handeln EAP-Parameter aus

    NAS

    PPP Request EAP a

    uth

    PPP ACK-EAP auth

    PPP EAP Request /

    Identity

    PPP EAP-Response /Identity (MyID)

  • ©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul3030

    EAP

    • NAS setzt sich mit RADIUS-Server in Verbindung

    NAS

    RADIUS Access-Ch

    allenge /

    EAP-Message / EAP

    -Request

    OTP / OTP-Challeng

    e

    RADIUS Access-Request /EAP-Message /EAP-Response /Identity (MyID)

    RADIUSServer

  • ©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul3131

    EAP

    • NAS fordert Authentifizierung vom Client an

    NAS

    PPP EAP-Request

    OTP / OTP-Challeng

    e

    PPP EAP-ResponseOTP / OTPpw

  • ©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul3232

    EAP

    • NAS übermittelt RADIUS OTP-Login-Daten

    NAS

    RADIUS Access-Acc

    ept /

    EAP-Message / EAP

    -Success

    RADIUS Access-Request /EAP-Message /EAP-Response /OTP / OTPpw

    RADIUSServer

  • ©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul3333

    EAP

    • NAS leitet Freigabe an Client weiter

    NAS

    PPP EAP-Success

  • ©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul3434

    Fazit - RADIUS

    • Heute in großen Netzwerkumgebungen nahezu unverzichtbar

    • Bietet Flexibilität für verschiedenste Anforderungen

    • Sowohl kommerzielle als auch Open-Source-Implementierungen

    • Gewinnt mit der Ausbreitung mobiler Anwendungen weiter an Bedeutung

    • Geplanter Nachfolger - DIAMETER

  • ©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul3535

    Quellen

    • [1] RFC 2865, www.faqs.org/rfcs/2865• [2] RFC 2866, www.faqs.org/rfcs/2866• [3] RFC 2869, www.faqs.org/rfcs/2869• [4] IX 6/05, S. 112ff• [5] http://www.enterasys.com/de/products/whitepapers/

    eap_artikel_revised_de_rev2.pdf

    Bildmaterial:• Apple Computer, www.apple.com/de

    RADIUS�(Remote Authentication Dial In User Service)��von Patrick Oppermann und Sönke SaulInhaltEinführungImplementierungenAAA (Triple A)Aufbau einer RADIUS UmgebungTransportprotokoll und PortsPaketaufbauPaket-Typen (Code)Wichtige AttributeAuthentifizierungsprotkolleAblauf der Authentifizierung(Reject)Ablauf der Authentifizierung(Accept)Ablauf der Authentifizierung(Challenge)Proxy RADIUSRADIUS AccountingEigenschaftenKomponentenAnfrageBestätigungAccounting RequestAccounting ResponseAccounting-Daten sendenAccounting-Daten senden (2)RADIUS ExtensionsWeitere RADIUS-AttributeInterim-Accounting-UpdatesEAP-SupportEAPEAPEAPEAPEAPFazit - RADIUSQuellen