РАДИУС - Краткое руководство
Прежде чем вы начнете изучать Radius, важно понять:
- Что такое ААА?
- Что такое NAS?
Итак, давайте сначала разберемся с этими двумя темами.
Что такое ААА?
AAA означает аутентификацию, авторизацию и учет.
Аутентификация
Относится к подтверждению того, что пользователь, запрашивающий услугу, является действительным пользователем.
Осуществляется посредством представления личности и полномочий.
Примеры учетных данных включают пароли, одноразовые токены, цифровые сертификаты и номера телефонов (звонки / звонки).
Авторизация
Относится к предоставлению определенных типов услуг (включая «отсутствие услуг») пользователям на основе их аутентификации.
Может основываться на ограничениях, например, ограничениях по времени суток или ограничениях физического местоположения, или ограничениях на несколько входов одного и того же пользователя.
Примеры услуг включают в себя фильтрацию IP-адресов, назначение адресов, назначение маршрутов, шифрование, QoS / дифференциальные услуги, контроль пропускной способности / управление трафиком и т. Д.
Бухгалтерский учет
Относится к отслеживанию потребления сетевых ресурсов пользователями.
Типичная информация, которая собирается в бухгалтерском учете, включает личность пользователя, характер предоставленной услуги, когда услуга началась и когда она закончилась.
Может использоваться для управления, планирования, выставления счетов и т. Д.
Сервер AAA предоставляет своим клиентам все вышеперечисленные услуги.
Протоколы AAA
Radius - это протокол AAA для таких приложений, как доступ к сети или IP-мобильность. Помимо Radius, в AAA есть следующие протоколы:
Система контроля доступа контроллера доступа к терминалам (TACACS)
TACACS - это протокол удаленной аутентификации, который используется для связи с сервером аутентификации, обычно используемым в сетях Unix. TACACS позволяет серверу удаленного доступа взаимодействовать с сервером аутентификации, чтобы определить, есть ли у пользователя доступ к сети.
TACACS +
TACACS + обеспечивает контроль доступа для маршрутизаторов, серверов доступа к сети и других сетевых вычислительных устройств через один или несколько централизованных серверов. Он использует TCP и предоставляет отдельные службы аутентификации, авторизации и учета. Работает на 49 порте.
ДИАМЕТР
Диаметр - это плановая замена Радиуса.
Что такое сервер доступа к сети?
Сервер доступа к сети (NAS) - это элемент службы, который клиенты набирают, чтобы получить доступ к сети. NAS - это устройство, имеющее интерфейсы как к магистрали, так и к POTS или ISDN, и принимает вызовы от хостов, которые хотят получить доступ к магистрали с помощью служб коммутируемого доступа. NAS находится в точке присутствия интернет-провайдера, чтобы обеспечить доступ в Интернет своим клиентам.
Сервер доступа к сети - это:
Единая точка доступа к удаленному ресурсу.
Сервер удаленного доступа, поскольку он обеспечивает удаленный доступ к сети.
Начальная точка входа в сеть.
Шлюз для защиты защищенного ресурса.
Примеры включают:
Проверка доступа в Интернет с использованием идентификатора пользователя и пароля.
Для VoIP, FoIP и VMoIP требуется действующий номер телефона или IP-адрес.
Телефонная предоплаченная карта использует номер предоплаченной карты.
На следующем рисунке показана базовая архитектура Radius.
RADIUS - это протокол для передачи информации, связанной с аутентификацией, авторизацией и конфигурацией, между сервером доступа к сети, который желает аутентифицировать свои ссылки, и общим сервером аутентификации.
RADIUS - это аббревиатура от Remote Authentication Dial In User Service.
RADIUS - это протокол AAA для таких приложений, как доступ к сети или мобильность по IP.
Он работает как в локальном, так и в мобильном режиме.
Для аутентификации пользователей он использует протокол аутентификации по паролю (PAP), протокол аутентификации с подтверждением соединения (CHAP) или протокол расширенной аутентификации (EAP).
Он ищет в текстовом файле, серверах LDAP, базе данных для аутентификации.
После аутентификации параметры услуг возвращаются в NAS.
Он уведомляет, когда сеанс начинается и останавливается. Эти данные используются для выставления счетов или статистики.
SNMP используется для удаленного мониторинга.
Его можно использовать как прокси.
Вот простая сетевая диаграмма радиуса:
Вот список всех ключевых функций Radius:
Модель клиент / сервер
NAS работает как клиент для сервера Radius.
Radius-сервер отвечает за получение запросов на подключение пользователей, аутентификацию пользователя, а затем за возврат всей информации о конфигурации, необходимой клиенту для предоставления услуги пользователю.
Сервер Radius может действовать как прокси-клиент для других серверов Radius.
Сетевая безопасность
Транзакции между клиентом и сервером аутентифицируются с помощью общего ключа. Этот ключ никогда не пересылается по сети.
Пароль шифруется перед отправкой по сети.
Гибкие механизмы аутентификации
Radius поддерживает следующие протоколы для аутентификации:
Протокол точка-точка - PPP
Протокол аутентификации пароля - PAP
Протокол аутентификации с вызовом рукопожатия - CHAP
Простой вход в UNIX
Расширяемый протокол
Радиус расширяемый; большинство производителей оборудования и программного обеспечения Radius реализуют свои собственные диалекты.
Протокол без сохранения состояния, использующий UDP, работает на порту 1812.
Перед тем, как Клиент начнет связываться с Radius Server, необходимо, чтобы секретный ключ был совместно использован Клиентом и Сервером, и Клиент должен быть настроен на использование Radius-сервера для получения услуг.
После правильной настройки клиента:
Клиент запускается с Access-Request.
Сервер отправляет Access-Accept, Access-Reject или Access-Challenge.
Access-Accept сохраняет все необходимые атрибуты для предоставления услуг пользователю.
Коды радиуса (десятичные) назначаются следующим образом:
- 1 Запрос доступа
- 2 Доступ-Принять
- 3 Доступ-Отклонение
- 4 Бухгалтерия-Запрос
- 5 Учет-ответ
- 11 Access-Challenge
- 12 Статус-Сервер (экспериментальный)
- 13 Статус-Клиент (экспериментальный)
- 255 Зарезервировано
- Нет концепции Keep Alive - хорошо или плохо ??
Коды 4 и 5 связаны с функцией учета радиуса. Коды 12 и 13 зарезервированы для возможного использования.
Формат пакета Radius показан ниже:
Code:Это 1 октет (1 байт) длиной и идентифицирует различные типы пакетов. Обычно 1 октет означает 1 байт.
Identifier: Это снова 1 октет, который помогает сопоставить ответы с запросами.
Length:Это 2 октета длиной и определяет длину пакета, включая код, идентификатор, длину и аутентификатор. (Минимальный пакет составляет 20 октетов, а максимальный - 4096 октетов).
Authenticator: Это 16 октетов и заполняется в случае некоторых запросов и ответов.
List of Attributes: Существует список из 63+ атрибутов, а атрибут Radius также будет иметь определенный формат, который описывается в следующей главе.
Атрибут Radius состоит из следующих трех частей:
Type:Длина 1 октет, определяет различные типы атрибутов. Это код атрибута, указанный ниже.
Length: 1 октет, длина атрибута, включая тип.
Value: Длина 0 или более октетов, содержит информацию, относящуюся к атрибуту.
Список атрибутов RADIUS
| Код | Атрибуты |
|---|---|
| 1 | Имя пользователя |
| 2 | Пользовательский пароль |
| 3 | CHAP-пароль |
| 4 | NAS-IP-адрес |
| 5 | NAS-порт |
| 6 | Тип Обслуживания |
| 7 | Обрамленный протокол |
| 8 | Обрамленный IP-адрес |
| 9 | Сетевая маска Framed-IP |
| 10 | Рамочная маршрутизация |
| 11 | Filter-Id |
| 12 | Framed-MTU |
| 13 | Рамочное сжатие |
| 14 | Логин-IP-Хост |
| 15 | Логин-Сервис |
| 16 | Логин-TCP-порт |
| 17 | (не назначен) |
| 18 | Ответное сообщение |
| 19 | Обратный звонок |
| 20 | Callback-Id |
| 21 год | (не назначен) |
| 22 | Framed-Route |
| 23 | Framed-IPX-сеть |
| 24 | состояние |
| 25 | Класс |
| 26 | Зависит от поставщика |
| 27 | Время ожидания сеанса |
| 28 | Тайм-аут простоя |
| 29 | Прекращение действия |
| 30 | Вызывается-Station-Id |
| 31 год | Calling-Station-Id |
| 32 | NAS-идентификатор |
| 33 | Прокси-государство |
| 34 | Вход-LAT-Сервис |
| 35 год | Логин-LAT-Узел 3 |
| 36 | Логин-LAT-Group |
| 37 | Framed-AppleTalk-Link |
| 38 | Framed-AppleTalk-Network |
| 39 | Framed-AppleTalk-Zone |
| 40-59 | (зарезервировано для бухгалтерского учета) |
| 60 | CHAP-Challenge |
| 61 | Тип порта NAS |
| 62 | Порт-Лимит |
| 63 | Логин-LAT-Порт |
Пример запроса радиуса
Давайте посмотрим на пример запроса радиуса:
NAS по адресу 192.168.1.16 отправляет UDP-пакет запроса доступа на сервер RADIUS для пользователя по имени Nemo, входящего в систему через порт 3 с паролем «arctangent».
Аутентификатор запроса - это случайное число из 16 октетов, генерируемое NAS.
Пароль пользователя состоит из 16 октетов, дополненных нулями в конце и обработанных XOR с D5 (Shared Secret | Request Authenticator).
01 00 00 38 0f 40 3f 94 73 97 80 57 bd 83 d5 cb 98 f4 22 7a 01 06 6e 65 6d 6f 02 12 0d be 70 8d 93 d4 13 ce 31 96 e4 3f 78 2a 0a ee 04 06 c0 a8 01 10 05 06 00 00 00 03
1 Код = Запрос доступа (1)
1 Идентификатор = 0
2 Длина = 56
16 Запросить аутентификатор
Список атрибутов
6 User-Name = "Nemo"
18 Пароль пользователя
6 IP-адрес NAS = 192.168.1.16
6 NAS-порт = 3
Пример ответа радиуса
Вот пример пакетов ответа:
Radius-сервер аутентифицирует Nemo и отправляет UDP-пакет Access-Accept на NAS, сообщая ему, что Nemo нужно Telnet на хост 192.168.1.3
Аутентификатор ответа - это 16-октетная контрольная сумма MD5 кода (2), id (0), длины (38), аутентификатора запроса сверху, атрибутов в этом ответе и общего секрета.
02 00 00 26 86 fe 22 0e 76 24 ba 2a 10 05 f6 bf 9b 55 e0 b2 06 06 00 00 00 01 0f 06 00 00 00 00 0e 06 c0 a8 01 03
1 Код = Доступ-Принять (2)
1 Идентификатор = 0 (как в Access-Request)
2 Длина = 38
16 Аутентификатор ответа
Список атрибутов:
6 Тип услуги (6) = Логин (1)
6 Служба входа в систему (15) = Telnet (0)
6 Login-IP-Host (14) = 192.168.1.3
Диаметр - это плановая замена RADIUS. Это протокол AAA для таких приложений, как доступ к сети и мобильность IP. Ниже перечислены некоторые моменты, которые вам необходимо знать о диаметре:
Он предназначен для работы как в локальных, так и в роуминговых ситуациях AAA.
Диаметр всего в два раза больше, чем у предшествующего протокола Radius.
Он использует TCP или SCTP, а не UDP.
Он использует безопасность транспортного уровня (IPSEC или TLS).
Он имеет 32-битный идентификатор вместо 8-битного.
Он поддерживает режим без сохранения состояния, а также режим с отслеживанием состояния.
Он поддерживает подтверждение на уровне приложений, определяет аварийное переключение.
Он предлагает лучшую поддержку в роуминге.
Он использует AVP.
Диаметр позволяет определять новые команды и атрибуты. Легко расширить.
Что следующее?
Теперь у вас есть базовое представление о радиусе и диаметре. Чтобы получить больше информации об этих протоколах, вам необходимо изучить различные RFC и другие ресурсы, упомянутые в разделе «Ресурсы».