RADIUS - Panduan Cepat
Sebelum Anda mulai mempelajari Radius, penting bagi Anda untuk memahami:
- Apa itu AAA?
- Apa itu NAS?
Jadi mari kita pertama-tama memiliki ide dasar tentang dua topik ini.
Apa itu AAA?
AAA adalah singkatan dari Authentication, Authorization, dan Accounting.
Autentikasi
Mengacu pada konfirmasi bahwa pengguna yang meminta layanan adalah pengguna yang valid.
Diselesaikan melalui presentasi identitas dan kredensial.
Contoh kredensial termasuk sandi, token sekali pakai, sertifikat digital, dan nomor telepon (menelepon / menelepon).
Otorisasi
Mengacu pada pemberian jenis layanan tertentu (termasuk "tidak ada layanan") kepada pengguna berdasarkan otentikasi mereka.
Mungkin didasarkan pada batasan, misalnya, batasan waktu, atau batasan lokasi fisik, atau batasan terhadap banyak login oleh pengguna yang sama.
Contoh layanan termasuk, pemfilteran alamat IP, penetapan alamat, penetapan rute, enkripsi, layanan QoS / diferensial, kontrol bandwidth / manajemen lalu lintas, dll.
Akuntansi
Mengacu pada pelacakan konsumsi sumber daya jaringan oleh pengguna.
Informasi khas yang dikumpulkan dalam akuntansi mencakup identitas pengguna, sifat layanan yang diberikan, kapan layanan dimulai, dan kapan berakhir.
Dapat digunakan untuk manajemen, perencanaan, penagihan, dll.
Server AAA menyediakan semua layanan di atas untuk kliennya.
Protokol AAA
Radius adalah protokol AAA untuk aplikasi seperti Network Access atau IP Mobility. Selain Radius, kami memiliki protokol berikut di AAA:
Sistem Kontrol Akses Pengontrol Akses Terminal (TACACS)
TACACS adalah protokol otentikasi jarak jauh yang digunakan untuk berkomunikasi dengan server otentikasi yang biasa digunakan di jaringan Unix. TACACS memungkinkan server akses jarak jauh untuk berkomunikasi dengan server otentikasi untuk menentukan apakah pengguna memiliki akses ke jaringan.
TACACS +
TACACS + menyediakan kontrol akses untuk router, server akses jaringan, dan perangkat komputasi jaringan lainnya melalui satu atau lebih server terpusat. Ini menggunakan TCP dan menyediakan layanan otentikasi, otorisasi, dan akuntansi terpisah. Ia bekerja pada port 49.
DIAMETER
Diameter adalah penggantian Radius yang direncanakan.
Apa itu Server Akses Jaringan?
Network Access Server (NAS) adalah elemen layanan yang klien panggil untuk mendapatkan akses ke jaringan. NAS adalah perangkat yang memiliki antarmuka ke tulang punggung dan ke POTS atau ISDN, dan menerima panggilan dari host yang ingin mengakses tulang punggung dengan layanan dialup. NAS terletak di titik kehadiran penyedia Internet untuk menyediakan akses Internet kepada pelanggannya.
Server Akses Jaringan adalah:
Satu titik akses ke sumber daya jarak jauh.
Server Akses Jarak Jauh, karena memungkinkan akses jarak jauh ke jaringan.
Titik Masuk Awal ke jaringan.
Gerbang untuk menjaga sumber daya yang dilindungi.
Contohnya termasuk:
Verifikasi Akses Internet menggunakan User ID dan Password.
VoIP, FoIP, dan VMoIP memerlukan Nomor Telepon atau Alamat IP yang valid.
Kartu Prabayar Telepon menggunakan Nomor Kartu Prabayar.
Gambar berikut menunjukkan arsitektur dasar Radius.
RADIUS adalah protokol untuk membawa informasi yang terkait dengan otentikasi, otorisasi, dan konfigurasi antara Server Akses Jaringan yang ingin mengotentikasi tautannya dan Server Otentikasi bersama.
RADIUS adalah singkatan dari Remote Authentication Dial In User Service.
RADIUS adalah protokol AAA untuk aplikasi seperti Network Access atau IP Mobility
Ini berfungsi di kedua situasi, Lokal dan Seluler.
Ia menggunakan protokol Otentikasi Kata Sandi (PAP), Protokol Otentikasi Jabat Tangan Tantangan (CHAP), atau protokol Protokol Otentikasi yang Dapat Diperluas (EAP) untuk mengotentikasi pengguna.
Itu terlihat di file teks, Server LDAP, Database untuk otentikasi.
Setelah parameter layanan otentikasi diteruskan kembali ke NAS.
Ini memberi tahu saat sesi dimulai dan berhenti. Data ini digunakan untuk tujuan Penagihan atau Statistik.
SNMP digunakan untuk pemantauan jarak jauh.
Ini dapat digunakan sebagai proxy.
Berikut adalah Diagram Jaringan Radius Sederhana:
Berikut adalah daftar semua fitur utama Radius:
Model Klien / Server
NAS bekerja sebagai klien untuk server Radius.
Radius server bertanggung jawab untuk mendapatkan permintaan koneksi pengguna, mengautentikasi pengguna, dan kemudian mengembalikan semua informasi konfigurasi yang diperlukan klien untuk memberikan layanan kepada pengguna.
Server Radius dapat bertindak sebagai klien proxy ke server Radius lainnya.
Keamanan jaringan
Transaksi antara klien dan server diautentikasi melalui penggunaan kunci bersama. Kunci ini tidak pernah dikirim melalui jaringan.
Kata sandi dienkripsi sebelum dikirim melalui jaringan.
Mekanisme Otentikasi Fleksibel
Radius mendukung protokol berikut untuk tujuan otentikasi:
Protokol Titik-ke-Titik - PPP
Protokol Otentikasi Kata Sandi - PAP
Challenge Handshake Authentication Protocol - CHAP
Login UNIX sederhana
Protokol yang Dapat Diperluas
Radius dapat diperpanjang; sebagian besar vendor perangkat keras dan perangkat lunak Radius menerapkan dialek mereka sendiri.
Protokol tanpa status, menggunakan UDP, berjalan pada porta 1812.
Sebelum Klien mulai berkomunikasi dengan Server Radius, kunci rahasia harus dibagi antara Klien dan Server dan Klien harus dikonfigurasi untuk menggunakan server Radius untuk mendapatkan layanan.
Setelah Klien dikonfigurasi dengan benar, maka:
Klien mulai dengan Access-Request.
Server mengirimkan Access-Accept, Access-Reject, atau Access-Challenge.
Access-Accept menyimpan semua atribut yang diperlukan untuk menyediakan layanan kepada pengguna.
Kode Radius (desimal) ditetapkan sebagai berikut:
- 1 Permintaan-Akses
- 2 Akses-Terima
- 3 Akses-Tolak
- 4 Akuntansi-Permintaan
- 5 Akuntansi-Respon
- 11 Tantangan Akses
- 12 Status-Server (percobaan)
- 13 Status-Client (eksperimental)
- 255 Dicadangkan
- Tidak ada konsep Keep Alive - Baik atau Buruk ??
Kode 4 dan 5 terkait dengan Fungsi Akuntansi Radius. Kode 12 dan 13 disediakan untuk kemungkinan penggunaan.
Format paket Radius adalah seperti di bawah ini:
Code:Panjangnya 1 Oktet (1 byte) dan mengidentifikasi berbagai jenis paket. Biasanya 1 Oktet berarti 1 Byte.
Identifier: Ini lagi-lagi memiliki panjang 1 Oktet dan membantu mencocokkan respons dengan permintaan.
Length:Panjangnya 2 Oktet dan menentukan panjang paket termasuk kode, pengenal, panjang, dan pengautentikasi. (Paket min adalah 20 Oktet dan maks adalah 4096 Oktet).
Authenticator: Panjangnya 16 Oktet dan terisi jika ada beberapa permintaan dan tanggapan.
List of Attributes: Ada daftar 63+ atribut dan atribut Radius juga akan memiliki format yang ditentukan yang dijelaskan di bab berikutnya.
Atribut Radius terdiri dari tiga bagian berikut:
Type:1 Oktet panjang, mengidentifikasi berbagai jenis atribut. Ini adalah kode atribut yang tercantum di bawah ini.
Length: 1 Oktet panjang, panjang atribut termasuk Type.
Value: 0 atau lebih Oktet panjang, berisi informasi khusus untuk atribut.
Daftar Atribut RADIUS
Kode | Atribut |
---|---|
1 | Nama pengguna |
2 | Kata Sandi Pengguna |
3 | CHAP-Password |
4 | NAS-IP-Address |
5 | NAS-Port |
6 | Jenis Layanan |
7 | Framed-Protocol |
8 | Framed-IP-Address |
9 | Framed-IP-Netmask |
10 | Perutean Berbingkai |
11 | Filter-Id |
12 | Framed-MTU |
13 | Framed-Compression |
14 | Login-IP-Host |
15 | Layanan Login |
16 | Masuk-TCP-Port |
17 | (belum ditugaskan) |
18 | Balas-Pesan |
19 | Nomor Panggil Balik |
20 | Callback-Id |
21 | (belum ditugaskan) |
22 | Rute Berbingkai |
23 | Framed-IPX-Network |
24 | Negara |
25 | Kelas |
26 | Vendor-Spesifik |
27 | Sesi-Timeout |
28 | Idle-Timeout |
29 | Termination-Action |
30 | Disebut-Station-Id |
31 | Calling-Station-Id |
32 | Pengidentifikasi NAS |
33 | Status Proxy |
34 | Login-LAT-Layanan |
35 | Login-LAT-Node 3 |
36 | Login-LAT-Group |
37 | Framed-AppleTalk-Link |
38 | Framed-AppleTalk-Network |
39 | Framed-AppleTalk-Zone |
40-59 | (dicadangkan untuk akuntansi) |
60 | CHAP-Challenge |
61 | NAS-Port-Type |
62 | Port-Limit |
63 | Masuk-LAT-Port |
Contoh Permintaan Radius
Mari kita lihat contoh Permintaan Radius:
NAS di 192.168.1.16 mengirimkan paket UDP Permintaan-Akses ke Server RADIUS untuk pengguna bernama Nemo yang masuk di port 3 dengan sandi "arctangent".
Request Authenticator adalah bilangan acak 16 oktet yang dihasilkan oleh NAS.
User-Password adalah 16 oktet yang diisi di akhir dengan nulls, XOR dengan D5 (Shared Secret | Request Authenticator).
01 00 00 38 0f 40 3f 94 73 97 80 57 bd 83 d5 cb 98 f4 22 7a 01 06 6e 65 6d 6f 02 12 0d menjadi 70 8d 93 d4 13 ce 31 96 e4 3f 78 2a 0a ee 04 06 c0 a8 01 10 05 06 00 00 00 03
1 Kode = Permintaan Akses (1)
1 Pengenal = 0
2 Panjang = 56
16 Minta Authenticator
Daftar Atribut
6 Nama-Pengguna = "Nemo"
18 Kata Sandi Pengguna
6 NAS-IP-Address = 192.168.1.16
6 NAS-Port = 3
Contoh Respon Radius
Berikut adalah contoh Paket Respons:
Server Radius mengotentikasi Nemo dan mengirimkan paket Access-Accept UDP ke NAS yang memberitahukannya ke telnet Nemo untuk menjadi host 192.168.1.3
Response Authenticator adalah checksum MD5 16-oktet dari kode (2), id (0), Length (38), Request Authenticator dari atas, atribut dalam balasan ini, dan rahasia bersama.
02 00 00 26 86 fe 22 0e 76 24 ba 2a 10 05 f6 bf 9b 55 e0 b2 06 06 00 00 00 01 0f 06 00 00 00 00 0e 06 c0 a8 01 03
1 Kode = Akses-Terima (2)
1 Identifier = 0 (sama seperti di Access-Request)
2 Panjang = 38
16 Respon Authenticator
Daftar Atribut:
6 Jenis Layanan (6) = Masuk (1)
6 Layanan Login (15) = Telnet (0)
6 Login-IP-Host (14) = 192.168.1.3
Diameter adalah pengganti RADIUS yang direncanakan. Ini adalah protokol AAA untuk aplikasi seperti akses jaringan dan mobilitas IP. Di bawah ini adalah beberapa poin yang perlu Anda ketahui tentang Diameter:
Ini dimaksudkan untuk bekerja dalam situasi AAA lokal dan roaming.
Diameternya hanya dua kali lipat dari Radius protokol pendahulunya.
Ini menggunakan TCP atau SCTP dan bukan UDP.
Ini menggunakan keamanan tingkat transportasi (IPSEC atau TLS).
Ini memiliki pengenal 32 bit, bukan 8 bit.
Ini mendukung mode stateless dan stateful.
Ini mendukung pengakuan lapisan aplikasi, mendefinisikan failover.
Ini menawarkan dukungan roaming yang lebih baik.
Ini menggunakan AVP.
Diameter memungkinkan untuk menentukan perintah dan atribut baru. Mudah untuk diperpanjang.
Apa selanjutnya?
Sekarang Anda memiliki pemahaman dasar tentang Radius dan Diameter. Untuk mendapatkan lebih banyak pengetahuan tentang protokol ini, Anda perlu mempelajari berbagai RFC dan sumber daya lain yang disebutkan di bagian Sumber Daya.