RADIUS - Guida rapida

Prima di iniziare a conoscere Radius, è importante capire:

  • Cos'è AAA?
  • Cos'è il NAS?

Quindi cerchiamo prima di avere un'idea di base su questi due argomenti.

Cos'è AAA?

AAA sta per autenticazione, autorizzazione e contabilità.

Autenticazione

  • Si riferisce alla conferma che un utente che richiede un servizio è un utente valido.

  • Ottenuto tramite la presentazione di identità e credenziali.

  • Esempi di credenziali includono password, token una tantum, certificati digitali e numeri di telefono (chiamanti / chiamati).

Autorizzazione

  • Si riferisce alla concessione di specifiche tipologie di servizio (incluso "nessun servizio") agli utenti in base alla loro autenticazione.

  • Può essere basato su restrizioni, ad esempio, restrizioni sull'ora del giorno o restrizioni sulla posizione fisica o restrizioni contro più accessi da parte dello stesso utente.

  • Esempi di servizi includono, filtro indirizzo IP, assegnazione indirizzo, assegnazione percorso, crittografia, QoS / servizi differenziali, controllo della larghezza di banda / gestione del traffico, ecc.

Contabilità

  • Si riferisce al monitoraggio del consumo di risorse di rete da parte degli utenti.

  • Le informazioni tipiche raccolte nella contabilità includono l'identità dell'utente, la natura del servizio fornito, quando il servizio è iniziato e quando è terminato.

  • Può essere utilizzato per la gestione, la pianificazione, la fatturazione, ecc.

Il server AAA fornisce tutti i servizi di cui sopra ai propri clienti.

Protocolli AAA

Radius è un protocollo AAA per applicazioni come Network Access o IP Mobility. Oltre a Radius, abbiamo i seguenti protocolli in AAA:

Terminal Access Controller Access Control System (TACACS)

TACACS è un protocollo di autenticazione remota utilizzato per comunicare con un server di autenticazione comunemente utilizzato nelle reti Unix. TACACS consente a un server di accesso remoto di comunicare con un server di autenticazione per determinare se l'utente ha accesso alla rete.

TACACS +

TACACS + fornisce il controllo degli accessi per router, server di accesso alla rete e altri dispositivi di elaborazione in rete tramite uno o più server centralizzati. Utilizza TCP e fornisce servizi di autenticazione, autorizzazione e contabilità separati. Funziona sulla porta 49.

DIAMETRO

Il diametro è una sostituzione pianificata di Radius.

Cos'è il server di accesso alla rete?

Il Network Access Server (NAS) è un elemento di servizio che i client compongono per avere accesso alla rete. Un NAS è un dispositivo dotato di interfacce sia per il backbone che per POTS o ISDN e riceve chiamate da host che desiderano accedere al backbone tramite servizi di dialup. Il NAS si trova nel punto di presenza di un provider Internet per fornire l'accesso a Internet ai suoi clienti.

Un server di accesso alla rete è:

  • Un unico punto di accesso a una risorsa remota.

  • Un server di accesso remoto, perché consente l'accesso remoto a una rete.

  • Un punto di ingresso iniziale a una rete.

  • Un gateway per proteggere le risorse protette.

Esempi inclusi:

  • Verifica dell'accesso a Internet tramite ID utente e password.

  • VoIP, FoIP e VMoIP richiedono un numero di telefono o un indirizzo IP valido.

  • La carta prepagata telefonica utilizza il numero della carta prepagata.

La figura seguente mostra un'architettura di base di Radius.

RADIUS è un protocollo per il trasporto di informazioni relative all'autenticazione, autorizzazione e configurazione tra un server di accesso alla rete che desidera autenticare i suoi collegamenti e un server di autenticazione condiviso.

  • RADIUS è l'acronimo di Remote Authentication Dial In User Service.

  • RADIUS è un protocollo AAA per applicazioni come Network Access o IP Mobility

  • Funziona in entrambe le situazioni, locale e mobile.

  • Utilizza i protocolli PAP (Password Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol) o EAP (Extensible Authentication Protocol) per autenticare gli utenti.

  • Cerca in file di testo, server LDAP, database per l'autenticazione.

  • Dopo che i parametri dei servizi di autenticazione sono stati restituiti al NAS.

  • Notifica l'inizio e l'arresto di una sessione. Questi dati vengono utilizzati per scopi di fatturazione o statistiche.

  • SNMP viene utilizzato per il monitoraggio remoto.

  • Può essere utilizzato come proxy.

Ecco un diagramma reticolare semplice del raggio:

Ecco un elenco di tutte le caratteristiche principali di Radius:

Modello client / server

  • Il NAS funziona come client per il server Radius.

  • Il server Radius è responsabile di ricevere le richieste di connessione dell'utente, autenticare l'utente e quindi restituire tutte le informazioni di configurazione necessarie al client per fornire il servizio all'utente.

  • Un server Radius può fungere da client proxy per altri server Radius.

Sicurezza della rete

  • Le transazioni tra un client e un server vengono autenticate tramite l'uso di una chiave condivisa. Questa chiave non viene mai inviata sulla rete.

  • La password viene crittografata prima di inviarla sulla rete.

Meccanismi di autenticazione flessibili

Radius supporta i seguenti protocolli a scopo di autenticazione:

  • Protocollo punto a punto - PPP

  • Protocollo di autenticazione con password - PAP

  • Challenge Handshake Authentication Protocol - CHAP

  • Accesso UNIX semplice

Protocollo estensibile

Il raggio è estensibile; la maggior parte dei fornitori di hardware e software Radius implementano i propri dialetti.

Il protocollo senza stato, che utilizza UDP, viene eseguito sulla porta 1812.

Prima che il client inizi a comunicare con il server Radius, è necessario che la chiave segreta sia condivisa tra il client e il server e il client deve essere configurato per utilizzare il server Radius per ottenere il servizio.

Una volta configurato correttamente il client, allora:

  • Il client inizia con la richiesta di accesso.

  • Il server invia Access-Accept, Access-Reject o Access-Challenge.

  • Access-Accept conserva tutti gli attributi richiesti per fornire il servizio all'utente.

I codici raggio (decimali) vengono assegnati come segue:

  • 1 Richiesta di accesso
  • 2 Accesso-Accetta
  • 3 Accesso-Rifiuto
  • 4 Contabilità-richiesta
  • 5 Accounting-Response
  • 11 Sfida all'accesso
  • 12 Status-Server (sperimentale)
  • 13 Status-Client (sperimentale)
  • 255 Riservato
  • Nessun concetto Keep Alive - buono o cattivo ??

I codici 4 e 5 sono relativi alla funzionalità di contabilità Radius. I codici 12 e 13 sono riservati per un possibile utilizzo.

Il formato del pacchetto di Radius è come mostrato di seguito:

Code:È lungo 1 ottetto (1 byte) e identifica vari tipi di pacchetti. Normalmente 1 ottetto significa 1 byte.

Identifier: Anche questo è lungo 1 ottetto e aiuta a far corrispondere le risposte alle richieste.

Length:Questo è lungo 2 ottetti e specifica la lunghezza del pacchetto incluso codice, identificatore, lunghezza e autenticatore. (Il pacchetto minimo è 20 ottetti e il massimo è 4096 ottetti).

Authenticator: Questo è lungo 16 ottetti e riempito in caso di alcune richieste e risposte.

List of Attributes: C'è un elenco di 63+ attributi e anche un attributo Radius avrà un formato definito, descritto nel prossimo capitolo.

Un attributo Raggio è costituito dalle seguenti tre parti:

  • Type:1 ottetto lungo, identifica vari tipi di attributi. È un codice attributo elencato di seguito.

  • Length: 1 ottetto lungo, lunghezza dell'attributo incluso il tipo.

  • Value: 0 o più ottetti, contiene informazioni specifiche per l'attributo.

Elenco attributi RADIUS

Codice Attributi
1 Nome utente
2 Password utente
3 CHAP-Password
4 Indirizzo IP NAS
5 Porta NAS
6 Tipo di servizio
7 Protocollo con cornice
8 Indirizzo IP con cornice
9 Maschera di rete IP con cornice
10 Routing con cornice
11 Filter-Id
12 Frame-MTU
13 Compressione incorniciata
14 Login-IP-Host
15 Servizio di accesso
16 Porta TCP di accesso
17 (non assegnato)
18 Messaggio di risposta
19 Numero di richiamata
20 Callback-Id
21 (non assegnato)
22 Percorso incorniciato
23 Rete IPX con cornice
24 Stato
25 Classe
26 Specifico del fornitore
27 Timeout della sessione
28 Timeout di inattività
29 Risoluzione-azione
30 Called-Station-Id
31 Calling-Station-Id
32 Identificatore NAS
33 Stato proxy
34 Login-LAT-Service
35 Login-LAT-Node 3
36 Login-LAT-Group
37 Collegamento AppleTalk con cornice
38 Rete AppleTalk con cornice
39 Zona AppleTalk con cornice
40-59 (riservato alla contabilità)
60 CHAP-Challenge
61 Tipo di porta NAS
62 Port-Limit
63 Login-LAT-Port

Esempio di richiesta di raggio

Diamo uno sguardo a un esempio di richiesta di raggio:

  • Il NAS all'indirizzo 192.168.1.16 invia un pacchetto UDP di richiesta di accesso al server RADIUS per un utente chiamato Nemo che accede alla porta 3 con la password "arctangent".

  • Il Request Authenticator è un numero casuale di 16 ottetti generato dal NAS.

  • La password utente è di 16 ottetti riempiti alla fine con valori nulli, XORed con D5 (segreto condiviso | Autenticatore richiesta).

  • 01 00 00 38 0f 40 3f 94 73 97 80 57 bd 83 d5 cb 98 f4 22 7a 01 06 6e 65 6d 6f 02 12 0d be 70 8d 93 d4 13 ce 31 96 e4 3f 78 2a 0a ee 04 06 c0 a8 01 10 05 06 00 00 00 03

  • 1 codice = richiesta di accesso (1)

    1 Identificatore = 0

    2 Lunghezza = 56

    16 Richiedi autenticatore

  • Elenco attributi

    6 Nome utente = "Nemo"

    18 Password utente

    6 Indirizzo IP NAS = 192.168.1.16

    6 Porta NAS = 3

Esempio di risposta del raggio

Ecco un esempio di pacchetti di risposta:

  • Il server Radius autentica Nemo e invia un pacchetto UDP Access-Accept al NAS dicendogli di telnet Nemo di ospitare 192.168.1.3

  • L'autenticatore di risposta è un checksum MD5 a 16 ottetti del codice (2), id (0), lunghezza (38), l'autenticatore di richiesta dall'alto, gli attributi in questa risposta e il segreto condiviso.

  • 02 00 00 26 86 fe 22 0e 76 24 ba 2a 10 05 f6 bf 9b 55 e0 b2 06 06 00 00 00 01 0f 06 00 00 00 00 0e 06 c0 a8 01 03

  • 1 codice = accesso-accettazione (2)

    1 identificatore = 0 (come nella richiesta di accesso)

    2 Lunghezza = 38

    16 Autenticatore di risposta

  • Elenco attributi:

    6 Service-Type (6) = Login (1)

    6 Servizio di accesso (15) = Telnet (0)

    6 Login-IP-Host (14) = 192.168.1.3

Il diametro è una sostituzione pianificata di RADIUS. È un protocollo AAA per applicazioni come l'accesso alla rete e la mobilità IP. Di seguito sono elencati alcuni punti che è necessario conoscere sul diametro:

  • È progettato per funzionare sia in situazioni AAA locali che in roaming.

  • Il diametro è solo il doppio del protocollo precedente Radius.

  • Utilizza TCP o SCTP e non UDP.

  • Utilizza la sicurezza a livello di trasporto (IPSEC o TLS).

  • Ha un identificatore a 32 bit invece di 8 bit.

  • Supporta la modalità stateless e stateful.

  • Supporta il riconoscimento del livello dell'applicazione, definisce il failover.

  • Offre un migliore supporto per il roaming.

  • Utilizza AVP.

  • Il diametro consente di definire nuovi comandi e attributi. È facile da estendere.

Cosa c'è dopo?

Ora hai una conoscenza di base di raggio e diametro. Per acquisire maggiori conoscenze su questi protocolli, è necessario passare attraverso varie RFC e altre risorse menzionate nella sezione Risorse.