Integrated Services Digital Network (ISDN) ISDN 8510T Voice - UITS
(Remote Authentication Dial In User Service) von Patrick ......Netzverbindungen über Modem, ISDN,...
Transcript of (Remote Authentication Dial In User Service) von Patrick ......Netzverbindungen über Modem, ISDN,...
Chair for Communication Technology (Chair for Communication Technology (ComTecComTec), Faculty of Electrical Engineering / Computer Science), Faculty of Electrical Engineering / Computer Science
RADIUS(Remote Authentication Dial In User Service)
von Patrick Oppermann und Sönke Saul
©© ComTec ComTec 20052005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul22
Inhalt
• Einführung/Überblick– Triple A– RADIUS Umgebung– Transportprotokoll und Ports
• Pakteteigenschaften– Aufbau und Pakettypen und -attribute
• Authentifizierung– Protokolle und Ablauf
• RADIUS Accounting• RADIUS Extensions
©© ComTec ComTec 20052005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul33
Einführung
• Authentifizierung von Benutzern bei Netzverbindungen über Modem, ISDN, VPN, Wireless LAN oder DSL.
• Anwendungsgebiete– Internet Service Provider– VPN– Große WLAN Installationen
• RFCs– Erste Beschreibung 1997 in den RFCs 2138
und 2139– Aktuell gültige RFCs 2865, 2866 und 2869 von
2000
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul44
Implementierungen
• Livingston Enterprises• Microsofts „Internet Authentication
Server“ (IAS)• Open Source
– Freeradius– Openradius
• Cisco TACACS+– Benutzt TCP anstatt UDP
• ...
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul55
AAA (Triple A)
• Authentifizierung– Wer hat Zugriff auf das System?
• Autorisierung– Auf welche Dienste darf zugegriffen werden?– Wann und wie lange dürfen die Dienste
benutzt werden?• Abrechnung
– Wie lange dauert die Verbindung?– Wie viel Transfervolumen wurde generiert?
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul66
Aufbau einer RADIUS Umgebung
RADIUSServer
Unix
SQL
LDAP
Local
WLAN AccessPoint
Netzwerk/Internet
Firewall/VPNInternet
Dial-in
NetworkAccessServer(NAS)
Client
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul77
Transportprotokoll und Ports
• UDP als Transportprotokoll– Warum nicht TCP?
• Port 1812 wird für das Authentifizierung verwendet (früher 1645)
• Port 1813 findet bei der Abrechnung Verwendung (früher 1646)
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul88
Paketaufbau
Authenticator (16 Bytes)
Code ID Length
A-NR A-LEN A-VAL
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul99
Paket-Typen (Code)
Code Pakettyp1 Access Request2 Access Accept3 Access Reject4 Accounting Request5 Accounting Response11 Access Challenge12 Status Server (experimental)13 Status Client (experimental)255 Reserved
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul1010
Wichtige Attribute
• 1 - Benutzername• 2 - Benutzerpasswort• 3 - CHAP-Passwort• 19 - Rückrufnummer• 26 - Erweiterungen des Herstellers• 40 - Accounting Start/Stop/Update• 60 - CHAP Challenge• 79 - EAP-Nachricht
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul1111
Authentifizierungsprotkolle
• PAP– Benutzername, Passwort und Daten werden im
Klartext übertragen.• CHAP
– Benutzername und Passwort werden verschlüsselt übertragen. Nur die Daten werden im Klartext übertragen
• EAP– Protokollfamilie (EPA-TLS,EPA-TTLS,EPA-MD5...)– Wird hauptsächlich in größeren WLAN-Installationen
verwendet
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul1212
Ablauf der Authentifizierung(Reject)
RADIUS-Client RADIUS-Server
Access Request
Access Reject
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul1313
Ablauf der Authentifizierung(Accept)
RADIUS-Client RADIUS-ServerAccess Request
Accounting Request
Accounting Response
Access Accept
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul1414
Ablauf der Authentifizierung(Challenge)
RADIUS-Client RADIUS-Server
Access Request
Accounting Request
Accounting Response
Access Accept
Access Challenge
Access Request
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul1515
Proxy RADIUS
• Anwendung/Motivation– Roaming
• Schritte der Weiterleitung1. Client sendet „access-request“ zum Proxy2. Proxy leitet die den „access-request“ zum Remote-
Server weiter3. Der Remote-Server antwortet mit access-accept,
access-reject oder access-challenge4. Der Proxy gibt die Antwort an den Client weiter
RADIUS-Client(NAS)
ProxyRADIUS
RADIUS-Server
2.1.3.4.
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul1616
RADIUS Accounting
• Einführung• Paketeigenschaften• Authentifizierung• RADIUS Accounting
– Eigenschaften– Komponenten– Ablauf– Request/Response
• RADIUS Extensions– Neue Funktionalitäten– Neue Attribute
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul1717
EigenschaftenRFCs (beide 2000):• 2866 (RADIUS-Accounting)• 2869 (RADIUS Extensions)
Einsatzgebiet:• Sammeln von Verbindungsinformationen• Zeit- / Volumenabrechnung
– Verbindungsdauer– Übertragenes Datenvolumen
• Zugangsstatistiken– Wann wird Service genutzt?
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul1818
Komponenten
Was ist RADIUS-Accounting?
• Spezieller Satz von RADIUS-Paketen...– Accounting-Request– Accounting-Response
• ... und dazugehörigen Attributen, z.B.– Acct-Status-Type– Acct-Output-Octets– Acct-Session-Time
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul1919
Anfrage
NAS
RADIUSServer
Internet
ISP
AndereServices
Dial-inuser
RADIUS /Accounting Request /Acct-Status-Type = Start
RADIUS /Accounting Request /Acct-Status-Type = Accounting-On (/Off)
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul2020
Bestätigung
NAS
RADIUSServer
Internet
ISP
AndereServices
Dial-inuser
RADIUS /Accounting Response
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul2121
Accounting Request
code 4 (Accounting-Request)
identifier 213
length 33
authenticator nzt#*zh7,g2rc:hq
attributes type length value
Acct-Status-Type 6 Accounting-on
Acct-Session-ID 3 321
NAS-IP-Address 4 195.123.19.2
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul2222
Accounting Response• Enthält keine Attribute• Nur wenn Request erfolgreich empfangen wurde
code 5 (Accounting-Response)
identifier 213
length 20
authenticator 236bt3cbnzt1nxzh
attributes
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul2323
Accounting-Daten senden
NAS
RADIUSServer
Internet
ISP
AndereServices
Dial-inuser
RADIUS /Accounting Request /
Acct-Status-Type = StopAcct-Session-Time = 2.491Acct-Output-Octets = 39.030.224Acct-Input-Octets = 4.782.914
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul2424
Accounting-Daten senden (2)
NAS
RADIUSServer
Internet
ISP
AndereServices
Dial-inuser
RADIUS /Accounting Response
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul2525
RADIUS Extensions
Zusätzliche Funktionalitäten (u.a.):
• Interim Accounting Updates– Regelmäßige Übertragung von Accounting-
Informationen• EAP (Extensible Authentication Protocol) Support
– EAP: erweiterte Familie von Authentifizierungs-Protokollen
– Beliebige EAP-Authentifizierungsarten können über RADIUS abgewickelt werden
– RADIUS kann User ablehnen, wenn er sich mit einem für ihn nicht festgelegten Protokoll anmelden will
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul2626
Weitere RADIUS-Attribute
RFC 2869 definiert ca. 20 neue Attribute, u.a.
• Acct-Input-Gigawords– Erfassung von Datenmengen größer als 2^32 Byte
• Acct-Interim-Interval– Zeitspanne zwischen Accounting-Updates
• Password-Retry– Wie viele Versuche hat der User, um sich korrekt zu
authentifizieren• EAP-Message
– Enthält ein EAP-Paket (z.B. EAP-Request / EAP-Response)
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul2727
Interim-Accounting-Updates
• Server möchte regelmäßig informiert werden• Attribut ‚Acct-Interim-Interval‘ an Client• Client sendet nach jedem Intervall aktuelle Accounting-Daten• Request vom Client hat Attribut „Acct-Status-Type“ mit Wert
„Interim-Update“
NAS RADIUS Server
Access-Accept
Acct-Interim-Interval = 1800
Accounting-Request
Acct-Status-Type = Interim-Update
Acct-Output-Octets = 3.625.247Alle 1800 Sekunden
Zu Beginn der Sitzung
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul2828
EAP-Support
• NAS leitet EAP-Pakete an RADIUS-Server weiter
• EAP-Pakete sind gekapselt in RADIUS-Attribut „EAP-Message“
• Alle Beteiligten Entitäten (Client, NAS, RADIUS, RADIUS-Proxy) müssen EAP unterstützen
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul2929
EAP
• Client und NAS handeln EAP-Parameter aus
NAS
PPP Request EAP auth
PPP ACK-EAP auth
PPP EAP Request / Identity
PPP EAP-Response /Identity (MyID)
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul3030
EAP
• NAS setzt sich mit RADIUS-Server in Verbindung
NAS
RADIUS Access-Challenge /
EAP-Message / EAP-Request
OTP / OTP-Challenge
RADIUS Access-Request /EAP-Message /EAP-Response /Identity (MyID)
RADIUSServer
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul3131
EAP
• NAS fordert Authentifizierung vom Client an
NAS
PPP EAP-Request
OTP / OTP-Challenge
PPP EAP-ResponseOTP / OTPpw
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul3232
EAP
• NAS übermittelt RADIUS OTP-Login-Daten
NAS
RADIUS Access-Accept /
EAP-Message / EAP-Success
RADIUS Access-Request /EAP-Message /EAP-Response /OTP / OTPpw
RADIUSServer
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul3333
EAP
• NAS leitet Freigabe an Client weiter
NAS
PPP EAP-Success
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul3434
Fazit - RADIUS
• Heute in großen Netzwerkumgebungen nahezu unverzichtbar
• Bietet Flexibilität für verschiedenste Anforderungen
• Sowohl kommerzielle als auch Open-Source-Implementierungen
• Gewinnt mit der Ausbreitung mobiler Anwendungen weiter an Bedeutung
• Geplanter Nachfolger - DIAMETER
©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul3535
Quellen
• [1] RFC 2865, www.faqs.org/rfcs/2865• [2] RFC 2866, www.faqs.org/rfcs/2866• [3] RFC 2869, www.faqs.org/rfcs/2869• [4] IX 6/05, S. 112ff• [5] http://www.enterasys.com/de/products/whitepapers/
eap_artikel_revised_de_rev2.pdf
Bildmaterial:• Apple Computer, www.apple.com/de