15:02 RADIUS | |
Служба удаленного доступа для удаленной аутентификации ( RADIUS ) - это сетевой протокол , работающий через порт 1812 , который обеспечивает централизованное управление аутентификацией, авторизацией и учетом ( AAA или Triple A) для пользователей, которые подключаются и используют сетевую службу. RADIUS был разработан Livingston Enterprises, Inc. в 1991 году , как аутентификация сервера доступа и учета протокола , а затем привел в Internet Engineering Task Force (IETF) стандартов Из-за широкой поддержки и повсеместного характера протокола RADIUS он часто используется провайдерами Интернет-услуг (ISP) и предприятиями для управления доступом к Интернету или внутренним сетям , беспроводным сетям и интегрированным службам электронной почты. Эти сети могут включать модемы , цифровую абонентскую линию (DSL), точки доступа , виртуальные частные сети (VPN), сетевые порты , веб-серверы и т. Д RADIUS - это протокол клиент-сервер , который работает на уровне приложений и может использовать TCP или UDP в качестве транспорта . Серверы сетевого доступа , шлюзы, контролирующие доступ к сети, обычно содержат клиентский компонент RADIUS, который обменивается данными с сервером RADIUS. RADIUS часто фоновый выбора для 802.1X аутентификации , а также. Сервер RADIUS обычно является фоновым процессом, работающим на сервере UNIX или Microsoft Windows. RADIUS - это протокол AAA, который управляет доступом к сети. AAA означает аутентификацию, авторизацию и учет. RADIUS использует два типа пакетов для управления полным процессом AAA; Access-Request, который управляет аутентификацией и авторизацией; и Accounting-Request, который управляет бухгалтерским учетом. Аутентификация и авторизация определены в RFC 2865, а учет - в RFC 2866 Аутентификация и авторизация Пользователь или компьютер отправляет запрос на сервер доступа к сети (NAS) для получения доступа к определенному сетевому ресурсу с использованием учетных данных доступа. Учетные данные передаются на устройство NAS по протоколу канального уровня - например, по протоколу «точка-точка» (PPP) в случае многих поставщиков удаленного доступа или DSL , или публикуются в защищенной веб-форме HTTPS . В свою очередь, NAS отправляет сообщение RADIUS Access Request на сервер RADIUS, запрашивая разрешение на предоставление доступа по протоколу RADIUS. Этот запрос включает учетные данные для доступа, как правило, в форме имени пользователя и пароля или сертификата безопасности, предоставленного пользователем. Кроме того, запрос может содержать другую информацию, которую NAS знает о пользователе, такую как его сетевой адрес или номер телефона, и информацию, касающуюся физической точки подключения пользователя к NAS. Сервер RADIUS проверяет правильность информации, используя схемы аутентификации, такие как PAP , CHAP или EAP . Подтверждение личности пользователя проверяется вместе с, при необходимости, другой информацией, связанной с запросом, такой как сетевой адрес или номер телефона пользователя, состояние учетной записи и определенные права доступа к сетевым услугам. Исторически RADIUS-серверы проверяли информацию пользователя по локальной базе данных плоских файлов. Современные серверы RADIUS могут делать это или могут ссылаться на внешние источники - обычно на серверы SQL , Kerberos , LDAP или Active Directory - для проверки учетных данных пользователя. Поток аутентификации и авторизации RADIUS Сервер RADIUS затем возвращает один из трех ответов на NAS: 1) Отказ в доступе, 2) Запрос доступа или 3) Принять доступ. Отказ в доступе Пользователю безоговорочно отказано в доступе ко всем запрашиваемым сетевым ресурсам. Причины могут включать непредоставление доказательств идентификации или неизвестной или неактивной учетной записи пользователя Access Challenge Запрашивает у пользователя дополнительную информацию, такую как дополнительный пароль, PIN-код, токен или карта. Access Challenge также используется в более сложных диалоговых окнах аутентификации, где между пользовательским компьютером и сервером Radius устанавливается безопасный туннель таким образом, что учетные данные доступа скрыты от NAS. Доступ Принять Пользователю предоставляется доступ. После аутентификации пользователя сервер RADIUS часто проверяет, авторизован ли пользователь использовать запрошенную сетевую услугу. Определенному пользователю может быть разрешено использовать беспроводную сеть компании, но не ее службу VPN, например. Опять же, эта информация может храниться локально на сервере RADIUS, или ее можно искать во внешнем источнике, таком как LDAP или Active Directory. Каждый из этих трех ответов RADIUS может включать атрибут Reply-Message, который может указывать причину отклонения, запрос на вызов или приветственное сообщение для принятия. Текст в атрибуте может быть передан пользователю на обратной веб-странице. Атрибуты авторизации передаются в NAS с условиями предоставления доступа. Например, следующие атрибуты авторизации могут быть включены в Access-Accept: Конкретный IP-адрес, который будет назначен пользователю Пул адресов, из которого должен быть выбран IP-адрес пользователя Максимальный промежуток времени, в течение которого пользователь может оставаться на связи Список доступа, очередь приоритетов или другие ограничения доступа пользователя Параметры L2TP Параметры VLAN Параметры качества обслуживания (QoS) Когда клиент настроен на использование RADIUS, любой пользователь клиента представляет клиенту информацию для аутентификации. Это может быть с настраиваемой подсказкой входа в систему, где пользователь должен ввести свое имя пользователя и пароль. В качестве альтернативы пользователь может использовать протокол кадрирования канала, такой как двухточечный протокол (PPP), который имеет пакеты аутентификации, которые переносят эту информацию. Как только клиент получил такую информацию, он может выбрать аутентификацию с использованием RADIUS. Для этого клиент создает «Access-Request», содержащий такие атрибуты, как имя пользователя, пароль пользователя, идентификатор клиента и идентификатор порта, к которому обращается пользователь. Когда пароль присутствует, он скрыт с использованием метода, основанного на алгоритме дайджеста сообщения RSA MD5. Роуминг Роуминг с использованием прокси-сервера RADIUS AAA. RADIUS обычно используется для облегчения роуминга между провайдерами , например: компаниями, которые предоставляют единый глобальный набор учетных данных, которые можно использовать во многих общедоступных сетях; независимыми, но сотрудничающими учреждениями, выдающими свои собственные учетные данные своим пользователям, которые позволяют посетителю проходить проверку подлинности в своем домашнем учреждении, например в eduroam . RADIUS облегчает это за счет использования областей , которые определяют, куда RADIUS-сервер должен пересылать запросы AAA для обработки Realms Область обычно добавляется к имени пользователя пользователя и ограничивается знаком «@», напоминающим имя домена адреса электронной почты. Это известно как постфиксная запись для области. Другое распространенное использование - префиксная нотация, которая включает в себя добавление области к имени пользователя и использование «\» в качестве разделителя. Современные серверы RADIUS позволяют использовать любой символ в качестве разделителя области, хотя на практике обычно используются символы «@» и «\». Области также могут быть составлены с использованием префиксной и постфиксной нотации, чтобы обеспечить сложные сценарии роуминга; например, somedomain.com \ username@anotherdomain.com может быть допустимым именем пользователя с двумя областями. Хотя области часто напоминают домены, важно отметить, что области на самом деле являются произвольным текстом и не должны содержать реальных имен доменов. Форматы областей стандартизированы в RFC 4282 , который определяет идентификатор доступа к сети (NAI) в форме «user @ realm». В этой спецификации часть 'realm' должна быть доменным именем. Однако такая практика не всегда соблюдается. RFC 7542 Прокси-операции Когда сервер RADIUS получает запрос AAA для имени пользователя, содержащего область, сервер ссылается на таблицу настроенных областей. Если область известна, сервер затем проксирует запрос на настроенный домашний сервер для этого домена. Поведение прокси-сервера в отношении удаления области из запроса («зачистка») зависит от конфигурации большинства серверов. Кроме того, прокси-сервер может быть сконфигурирован для добавления, удаления или перезаписи запросов AAA, когда они снова проксируются через некоторое время. Цепочка прокси возможна в RADIUS, и пакеты аутентификации / авторизации и учета обычно направляются между устройством NAS и домашним сервером через серию прокси. Некоторые из преимуществ использования цепочек прокси включают улучшения масштабируемости, реализации политик и корректировки возможностей. Но в сценариях роуминга NAS, прокси и домашний сервер обычно могут управляться различными административными объектами. Следовательно, фактор доверия среди прокси-серверов приобретает все большее значение в таких междоменных приложениях. Кроме того, отсутствие сквозной безопасности в RADIUS повышает критичность доверия между вовлеченными прокси-серверами. Цепочки прокси описаны в RFC 2607 . Безопасность Роуминг с RADIUS подвергает пользователей различным проблемам безопасности и конфиденциальности. В целом, некоторые партнеры по роумингу устанавливают безопасный туннель между серверами RADIUS, чтобы гарантировать, что учетные данные пользователей не могут быть перехвачены при прокси через Интернет. Это вызывает беспокойство, поскольку встроенный в RADIUS хеш MD5 считается небезопасным Протокол RADIUS передает запутанные пароли, используя общий секрет и алгоритм хеширования MD5 . Поскольку эта конкретная реализация обеспечивает только слабую защиту учетных данных пользователя, дополнительная защита, такая как туннели IPsec или физически защищенные сети центров обработки данных, должна использоваться для дополнительной защиты трафика RADIUS между устройством NAS и сервером RADIUS. Кроме того, учетные данные пользователя - это единственная часть, защищенная самим RADIUS, однако другие специфичные для пользователя атрибуты, такие как идентификаторы туннельной группы или членство в vlan, передаваемые через RADIUS, могут считаться конфиденциальными (полезными для злоумышленника) или частными (достаточными для идентификации индивидуальный клиент) информация, а также.ПротоколRadSecпретендует на решение вышеупомянутых проблем безопасности. | |
|
Всього коментарів: 0 | |