РАДИУС - Краткое руководство

Прежде чем вы начнете изучать Radius, важно понять:

  • Что такое ААА?
  • Что такое NAS?

Итак, давайте сначала разберемся с этими двумя темами.

Что такое ААА?

AAA означает аутентификацию, авторизацию и учет.

Аутентификация

  • Относится к подтверждению того, что пользователь, запрашивающий услугу, является действительным пользователем.

  • Осуществляется посредством представления личности и полномочий.

  • Примеры учетных данных включают пароли, одноразовые токены, цифровые сертификаты и номера телефонов (звонки / звонки).

Авторизация

  • Относится к предоставлению определенных типов услуг (включая «отсутствие услуг») пользователям на основе их аутентификации.

  • Может основываться на ограничениях, например, ограничениях по времени суток или ограничениях физического местоположения, или ограничениях на несколько входов одного и того же пользователя.

  • Примеры услуг включают в себя фильтрацию IP-адресов, назначение адресов, назначение маршрутов, шифрование, QoS / дифференциальные услуги, контроль пропускной способности / управление трафиком и т. Д.

Бухгалтерский учет

  • Относится к отслеживанию потребления сетевых ресурсов пользователями.

  • Типичная информация, которая собирается в бухгалтерском учете, включает личность пользователя, характер предоставленной услуги, когда услуга началась и когда она закончилась.

  • Может использоваться для управления, планирования, выставления счетов и т. Д.

Сервер AAA предоставляет своим клиентам все вышеперечисленные услуги.

Протоколы AAA

Radius - это протокол AAA для таких приложений, как доступ к сети или IP-мобильность. Помимо Radius, в AAA есть следующие протоколы:

Система контроля доступа контроллера доступа к терминалам (TACACS)

TACACS - это протокол удаленной аутентификации, который используется для связи с сервером аутентификации, обычно используемым в сетях Unix. TACACS позволяет серверу удаленного доступа взаимодействовать с сервером аутентификации, чтобы определить, есть ли у пользователя доступ к сети.

TACACS +

TACACS + обеспечивает контроль доступа для маршрутизаторов, серверов доступа к сети и других сетевых вычислительных устройств через один или несколько централизованных серверов. Он использует TCP и предоставляет отдельные службы аутентификации, авторизации и учета. Работает на 49 порте.

ДИАМЕТР

Диаметр - это плановая замена Радиуса.

Что такое сервер доступа к сети?

Сервер доступа к сети (NAS) - это элемент службы, который клиенты набирают, чтобы получить доступ к сети. NAS - это устройство, имеющее интерфейсы как к магистрали, так и к POTS или ISDN, и принимает вызовы от хостов, которые хотят получить доступ к магистрали с помощью служб коммутируемого доступа. NAS находится в точке присутствия интернет-провайдера, чтобы обеспечить доступ в Интернет своим клиентам.

Сервер доступа к сети - это:

  • Единая точка доступа к удаленному ресурсу.

  • Сервер удаленного доступа, поскольку он обеспечивает удаленный доступ к сети.

  • Начальная точка входа в сеть.

  • Шлюз для защиты защищенного ресурса.

Примеры включают:

  • Проверка доступа в Интернет с использованием идентификатора пользователя и пароля.

  • Для VoIP, FoIP и VMoIP требуется действующий номер телефона или IP-адрес.

  • Телефонная предоплаченная карта использует номер предоплаченной карты.

На следующем рисунке показана базовая архитектура Radius.

RADIUS - это протокол для передачи информации, связанной с аутентификацией, авторизацией и конфигурацией, между сервером доступа к сети, который желает аутентифицировать свои ссылки, и общим сервером аутентификации.

  • RADIUS - это аббревиатура от Remote Authentication Dial In User Service.

  • RADIUS - это протокол AAA для таких приложений, как доступ к сети или мобильность по IP.

  • Он работает как в локальном, так и в мобильном режиме.

  • Для аутентификации пользователей он использует протокол аутентификации по паролю (PAP), протокол аутентификации с подтверждением соединения (CHAP) или протокол расширенной аутентификации (EAP).

  • Он ищет в текстовом файле, серверах LDAP, базе данных для аутентификации.

  • После аутентификации параметры услуг возвращаются в NAS.

  • Он уведомляет, когда сеанс начинается и останавливается. Эти данные используются для выставления счетов или статистики.

  • SNMP используется для удаленного мониторинга.

  • Его можно использовать как прокси.

Вот простая сетевая диаграмма радиуса:

Вот список всех ключевых функций Radius:

Модель клиент / сервер

  • NAS работает как клиент для сервера Radius.

  • Radius-сервер отвечает за получение запросов на подключение пользователей, аутентификацию пользователя, а затем за возврат всей информации о конфигурации, необходимой клиенту для предоставления услуги пользователю.

  • Сервер Radius может действовать как прокси-клиент для других серверов Radius.

Сетевая безопасность

  • Транзакции между клиентом и сервером аутентифицируются с помощью общего ключа. Этот ключ никогда не пересылается по сети.

  • Пароль шифруется перед отправкой по сети.

Гибкие механизмы аутентификации

Radius поддерживает следующие протоколы для аутентификации:

  • Протокол точка-точка - PPP

  • Протокол аутентификации пароля - PAP

  • Протокол аутентификации с вызовом рукопожатия - CHAP

  • Простой вход в UNIX

Расширяемый протокол

Радиус расширяемый; большинство производителей оборудования и программного обеспечения Radius реализуют свои собственные диалекты.

Протокол без сохранения состояния, использующий UDP, работает на порту 1812.

Перед тем, как Клиент начнет связываться с Radius Server, необходимо, чтобы секретный ключ был совместно использован Клиентом и Сервером, и Клиент должен быть настроен на использование Radius-сервера для получения услуг.

После правильной настройки клиента:

  • Клиент запускается с Access-Request.

  • Сервер отправляет Access-Accept, Access-Reject или Access-Challenge.

  • Access-Accept сохраняет все необходимые атрибуты для предоставления услуг пользователю.

Коды радиуса (десятичные) назначаются следующим образом:

  • 1 Запрос доступа
  • 2 Доступ-Принять
  • 3 Доступ-Отклонение
  • 4 Бухгалтерия-Запрос
  • 5 Учет-ответ
  • 11 Access-Challenge
  • 12 Статус-Сервер (экспериментальный)
  • 13 Статус-Клиент (экспериментальный)
  • 255 Зарезервировано
  • Нет концепции Keep Alive - хорошо или плохо ??

Коды 4 и 5 связаны с функцией учета радиуса. Коды 12 и 13 зарезервированы для возможного использования.

Формат пакета Radius показан ниже:

Code:Это 1 октет (1 байт) длиной и идентифицирует различные типы пакетов. Обычно 1 октет означает 1 байт.

Identifier: Это снова 1 октет, который помогает сопоставить ответы с запросами.

Length:Это 2 октета длиной и определяет длину пакета, включая код, идентификатор, длину и аутентификатор. (Минимальный пакет составляет 20 октетов, а максимальный - 4096 октетов).

Authenticator: Это 16 октетов и заполняется в случае некоторых запросов и ответов.

List of Attributes: Существует список из 63+ атрибутов, а атрибут Radius также будет иметь определенный формат, который описывается в следующей главе.

Атрибут Radius состоит из следующих трех частей:

  • Type:Длина 1 октет, определяет различные типы атрибутов. Это код атрибута, указанный ниже.

  • Length: 1 октет, длина атрибута, включая тип.

  • Value: Длина 0 или более октетов, содержит информацию, относящуюся к атрибуту.

Список атрибутов RADIUS

Код Атрибуты
1 Имя пользователя
2 Пользовательский пароль
3 CHAP-пароль
4 NAS-IP-адрес
5 NAS-порт
6 Тип Обслуживания
7 Обрамленный протокол
8 Обрамленный IP-адрес
9 Сетевая маска Framed-IP
10 Рамочная маршрутизация
11 Filter-Id
12 Framed-MTU
13 Рамочное сжатие
14 Логин-IP-Хост
15 Логин-Сервис
16 Логин-TCP-порт
17 (не назначен)
18 Ответное сообщение
19 Обратный звонок
20 Callback-Id
21 год (не назначен)
22 Framed-Route
23 Framed-IPX-сеть
24 состояние
25 Класс
26 Зависит от поставщика
27 Время ожидания сеанса
28 Тайм-аут простоя
29 Прекращение действия
30 Вызывается-Station-Id
31 год Calling-Station-Id
32 NAS-идентификатор
33 Прокси-государство
34 Вход-LAT-Сервис
35 год Логин-LAT-Узел 3
36 Логин-LAT-Group
37 Framed-AppleTalk-Link
38 Framed-AppleTalk-Network
39 Framed-AppleTalk-Zone
40-59 (зарезервировано для бухгалтерского учета)
60 CHAP-Challenge
61 Тип порта NAS
62 Порт-Лимит
63 Логин-LAT-Порт

Пример запроса радиуса

Давайте посмотрим на пример запроса радиуса:

  • NAS по адресу 192.168.1.16 отправляет UDP-пакет запроса доступа на сервер RADIUS для пользователя по имени Nemo, входящего в систему через порт 3 с паролем «arctangent».

  • Аутентификатор запроса - это случайное число из 16 октетов, генерируемое NAS.

  • Пароль пользователя состоит из 16 октетов, дополненных нулями в конце и обработанных XOR с D5 (Shared Secret | Request Authenticator).

  • 01 00 00 38 0f 40 3f 94 73 97 80 57 bd 83 d5 cb 98 f4 22 7a 01 06 6e 65 6d 6f 02 12 0d be 70 8d 93 d4 13 ce 31 96 e4 3f 78 2a 0a ee 04 06 c0 a8 01 10 05 06 00 00 00 03

  • 1 Код = Запрос доступа (1)

    1 Идентификатор = 0

    2 Длина = 56

    16 Запросить аутентификатор

  • Список атрибутов

    6 User-Name = "Nemo"

    18 Пароль пользователя

    6 IP-адрес NAS = 192.168.1.16

    6 NAS-порт = 3

Пример ответа радиуса

Вот пример пакетов ответа:

  • Radius-сервер аутентифицирует Nemo и отправляет UDP-пакет Access-Accept на NAS, сообщая ему, что Nemo нужно Telnet на хост 192.168.1.3

  • Аутентификатор ответа - это 16-октетная контрольная сумма MD5 кода (2), id (0), длины (38), аутентификатора запроса сверху, атрибутов в этом ответе и общего секрета.

  • 02 00 00 26 86 fe 22 0e 76 24 ba 2a 10 05 f6 bf 9b 55 e0 b2 06 06 00 00 00 01 0f 06 00 00 00 00 0e 06 c0 a8 01 03

  • 1 Код = Доступ-Принять (2)

    1 Идентификатор = 0 (как в Access-Request)

    2 Длина = 38

    16 Аутентификатор ответа

  • Список атрибутов:

    6 Тип услуги (6) = Логин (1)

    6 Служба входа в систему (15) = Telnet (0)

    6 Login-IP-Host (14) = 192.168.1.3

Диаметр - это плановая замена RADIUS. Это протокол AAA для таких приложений, как доступ к сети и мобильность IP. Ниже перечислены некоторые моменты, которые вам необходимо знать о диаметре:

  • Он предназначен для работы как в локальных, так и в роуминговых ситуациях AAA.

  • Диаметр всего в два раза больше, чем у предшествующего протокола Radius.

  • Он использует TCP или SCTP, а не UDP.

  • Он использует безопасность транспортного уровня (IPSEC или TLS).

  • Он имеет 32-битный идентификатор вместо 8-битного.

  • Он поддерживает режим без сохранения состояния, а также режим с отслеживанием состояния.

  • Он поддерживает подтверждение на уровне приложений, определяет аварийное переключение.

  • Он предлагает лучшую поддержку в роуминге.

  • Он использует AVP.

  • Диаметр позволяет определять новые команды и атрибуты. Легко расширить.

Что следующее?

Теперь у вас есть базовое представление о радиусе и диаметре. Чтобы получить больше информации об этих протоколах, вам необходимо изучить различные RFC и другие ресурсы, упомянутые в разделе «Ресурсы».