RADIUS - Hızlı Kılavuz
Radius hakkında bilgi edinmeye başlamadan önce şunları anlamanız önemlidir:
- AAA nedir?
- NAS nedir?
Öyleyse önce bu iki konu hakkında temel bir fikre sahip olalım.
AAA nedir?
AAA, Kimlik Doğrulama, Yetkilendirme ve Muhasebe anlamına gelir.
Doğrulama
Bir hizmet talep eden kullanıcının geçerli bir kullanıcı olduğunun onaylanmasını ifade eder.
Bir kimlik ve kimlik bilgilerinin sunulmasıyla gerçekleştirilir.
Kimlik bilgilerine örnek olarak parolalar, bir kerelik belirteçler, dijital sertifikalar ve telefon numaraları (arayan / aranan) dahildir.
yetki
Kullanıcılara kimlik doğrulamalarına göre belirli hizmet türlerinin ("hizmet yok" dahil) verilmesini ifade eder.
Kısıtlamalara, örneğin günün saati kısıtlamalarına veya fiziksel konum kısıtlamalarına veya aynı kullanıcının birden fazla oturum açmasına karşı kısıtlamalara dayalı olabilir.
Hizmet örnekleri arasında IP adresi filtreleme, adres atama, yol atama, şifreleme, QoS / diferansiyel hizmetler, bant genişliği kontrolü / trafik yönetimi vb. Yer alır.
Muhasebe
Ağ kaynaklarının tüketiminin kullanıcılar tarafından izlenmesini ifade eder.
Muhasebede toplanan tipik bilgiler arasında kullanıcının kimliği, sunulan hizmetin niteliği, hizmetin ne zaman başladığı ve ne zaman sona erdiği yer alır.
Yönetim, planlama, faturalama vb. İçin kullanılabilir.
AAA sunucusu, istemcilere yukarıdaki tüm hizmetleri sağlar.
AAA Protokolleri
Radius, Ağ Erişimi veya IP Mobilitesi gibi uygulamalar için bir AAA protokolüdür. Radius'un yanı sıra, AAA'da aşağıdaki protokollere sahibiz:
Terminal Erişim Denetleyicisi Erişim Kontrol Sistemi (TACACS)
TACACS, Unix ağlarında yaygın olarak kullanılan bir kimlik doğrulama sunucusuyla iletişim kurmak için kullanılan bir uzaktan kimlik doğrulama protokolüdür. TACACS, kullanıcının ağa erişimi olup olmadığını belirlemek için uzaktan erişim sunucusunun bir kimlik doğrulama sunucusuyla iletişim kurmasına izin verir.
TACACS +
TACACS +, bir veya daha fazla merkezi sunucu aracılığıyla yönlendiriciler, ağ erişim sunucuları ve diğer ağa bağlı bilgi işlem cihazları için erişim kontrolü sağlar. TCP kullanır ve ayrı kimlik doğrulama, yetkilendirme ve hesap oluşturma hizmetleri sağlar. 49 numaralı bağlantı noktasında çalışıyor.
ÇAP
Çap, Radius'un planlanan bir değiştirilmesidir.
Ağ Erişim Sunucusu nedir?
Ağ Erişim Sunucusu (NAS), istemcilerin ağa erişmek için çevirdiği bir hizmet unsurudur. NAS, hem omurgaya hem de POTS veya ISDN'ye arabirimlere sahip bir cihazdır ve çevirmeli hizmetlerle omurgaya erişmek isteyen ana bilgisayarlardan çağrı alır. NAS, müşterilerine İnternet erişimi sağlamak için bir İnternet sağlayıcısının bulunduğu noktada bulunur.
Bir Ağ Erişim Sunucusu:
Uzak bir kaynağa tek erişim noktası.
Uzaktan Erişim Sunucusu, çünkü bir ağa uzaktan erişime izin verir.
Bir ağa İlk Giriş Noktası.
Korumalı kaynağı korumak için bir Ağ Geçidi.
Örnekler şunları içerir:
Kullanıcı Kimliği ve Parola kullanarak İnternet Erişimi Doğrulaması.
VoIP, FoIP ve VMoIP, geçerli bir Telefon Numarası veya IP Adresi gerektirir.
Telefon Ön Ödemeli Kart, Ön Ödemeli Kart Numarası kullanır.
Aşağıdaki şekil Radius'un temel mimarisini göstermektedir.
RADIUS, bağlantılarını doğrulamak isteyen bir Ağ Erişim Sunucusu ile paylaşılan bir Kimlik Doğrulama Sunucusu arasında kimlik doğrulama, yetkilendirme ve yapılandırmayla ilgili bilgileri taşımak için bir protokoldür.
RADIUS, Uzaktan Kimlik Doğrulama Çevirmeli Kullanıcı Hizmeti anlamına gelir.
RADIUS, Ağ Erişimi veya IP Mobilitesi gibi uygulamalar için bir AAA protokolüdür
Yerel ve Mobil olmak üzere her iki durumda da çalışır.
Kullanıcıların kimliğini doğrulamak için Parola Kimlik Doğrulama Protokolü (PAP), Karşılıklı Kimlik Doğrulama Protokolü (CHAP) veya Genişletilebilir Kimlik Doğrulama Protokolü (EAP) protokollerini kullanır.
Kimlik doğrulama için metin dosyası, LDAP Sunucuları, Veritabanına bakar.
Kimlik doğrulama hizmetlerinden sonra parametreler NAS'a geri döndü.
Bir oturumun ne zaman başlayıp durduğunu bildirir. Bu veriler, Faturalama veya İstatistik amaçlarıyla kullanılır.
SNMP, uzaktan izleme için kullanılır.
Proxy olarak kullanılabilir.
İşte Yarıçapın Basit Ağ Diyagramı:
Radius'un tüm temel özelliklerinin bir listesi:
İstemci / Sunucu Modeli
NAS, Radius sunucusu için bir istemci olarak çalışır.
Radius sunucusu, kullanıcı bağlantı taleplerinin alınmasından, kullanıcının kimliğinin doğrulanmasından ve ardından istemcinin kullanıcıya hizmet sunması için gerekli tüm yapılandırma bilgilerinin geri verilmesinden sorumludur.
Bir Radius sunucusu, diğer Radius sunucuları için bir proxy istemcisi olarak hareket edebilir.
Ağ güvenliği
İstemci ve sunucu arasındaki işlemler, paylaşılan bir anahtar kullanılarak doğrulanır. Bu anahtar asla ağ üzerinden gönderilmez.
Parola, ağ üzerinden gönderilmeden önce şifrelenir.
Esnek Kimlik Doğrulama Mekanizmaları
Radius, kimlik doğrulama amacıyla aşağıdaki protokolleri destekler:
Noktadan Noktaya Protokol - PPP
Parola Doğrulama Protokolü - PAP
Karşılıklı Kimlik Doğrulama Protokolü - CHAP
Basit UNIX Girişi
Genişletilebilir Protokol
Yarıçap genişletilebilir; Radius donanım ve yazılımlarının çoğu satıcısı kendi lehçelerini uygular.
UDP kullanan durum bilgisi olmayan protokol, 1812 numaralı bağlantı noktasında çalışır.
İstemci Radius Sunucusu ile iletişim kurmaya başlamadan önce, gizli anahtarın İstemci ve Sunucu arasında paylaşılması ve İstemcinin hizmet almak için Radius sunucusunu kullanacak şekilde yapılandırılması gerekir.
İstemci doğru bir şekilde yapılandırıldıktan sonra:
İstemci, Erişim İsteği ile başlar.
Sunucu, Erişim-Kabul, Erişim-Red veya Erişim-Sınamasını gönderir.
Erişim-Kabul, kullanıcıya hizmet sağlamak için gerekli tüm öznitelikleri korur.
Yarıçap Kodları (ondalık) aşağıdaki gibi atanır:
- 1 Erişim-Talep
- 2 Erişim-Kabul Et
- 3 Erişim-Reddetme
- 4 Muhasebe-Talep
- 5 Muhasebe-Tepki
- 11 Erişim Zorluğu
- 12 Durum Sunucusu (deneysel)
- 13 Status-Client (deneysel)
- 255 Rezerve edildi
- Hayır Canlı Tutun kavramı - İyi mi Kötü mü?
Kod 4 ve 5, Yarıçap Hesaplama İşlevselliği ile ilgilidir. 12 ve 13 kodları olası kullanım için ayrılmıştır.
Radius'un paket formatı aşağıda gösterildiği gibidir:
Code:Bu 1 Sekizlik (1 bayt) uzunluğundadır ve çeşitli paket türlerini tanımlar. Normalde 1 Octet, 1 Byte anlamına gelir.
Identifier: Bu yine 1 Sekizlik uzunluğundadır ve yanıtların isteklerle eşleştirilmesine yardımcı olur.
Length:Bu 2 Oktet uzunluğundadır ve kod, tanımlayıcı, uzunluk ve doğrulayıcı dahil paketin uzunluğunu belirtir. (Minimum paket 20 Oktet ve maksimum 4096 Oktet).
Authenticator: 16 Oktet uzunluğundadır ve bazı istek ve yanıtlar durumunda doldurulur.
List of Attributes: 63'ten fazla öznitelik listesi vardır ve bir Yarıçap özniteliği de sonraki bölümde açıklanan tanımlanmış bir biçime sahip olacaktır.
Bir Yarıçap özelliği aşağıdaki üç bölümden oluşur:
Type:1 Sekizli uzunluğunda, çeşitli öznitelik türlerini tanımlar. Aşağıda listelenen bir öznitelik kodudur.
Length: 1 Sekizli uzunluğunda, Tür dahil özellik uzunluğu.
Value: 0 veya daha fazla Sekizli uzunluğunda, özniteliğe özgü bilgileri içerir.
RADIUS Öznitelikleri Listesi
| Kod | Öznitellikler |
|---|---|
| 1 | Kullanıcı adı |
| 2 | Kullanıcı şifresi |
| 3 | CHAP-Şifre |
| 4 | NAS-IP Adresi |
| 5 | NAS-Bağlantı Noktası |
| 6 | Servis tipi |
| 7 | Çerçeveli Protokol |
| 8 | Çerçeveli IP Adresi |
| 9 | Çerçeveli IP Ağ Maskesi |
| 10 | Çerçeveli Yönlendirme |
| 11 | Filtre Kimliği |
| 12 | Çerçeveli-MTU |
| 13 | Çerçeveli-Sıkıştırma |
| 14 | Giriş-IP-Host |
| 15 | Giriş Hizmeti |
| 16 | Oturum Açma-TCP-Bağlantı Noktası |
| 17 | (atanmamış) |
| 18 | Cevap-Mesajı |
| 19 | Geri arama numarası |
| 20 | Geri arama kimliği |
| 21 | (atanmamış) |
| 22 | Çerçeveli Rota |
| 23 | Çerçeveli IPX Ağı |
| 24 | Durum |
| 25 | Sınıf |
| 26 | Satıcıya Özel |
| 27 | Oturum zaman aşımına uğradı |
| 28 | Boşta Kalma Zaman Aşımı |
| 29 | Fesih-Eylem |
| 30 | Aranan İstasyon Kimliği |
| 31 | Arayan İstasyon Kimliği |
| 32 | NAS-Tanımlayıcı |
| 33 | Proxy-State |
| 34 | Giriş-LAT-Servis |
| 35 | Giriş-LAT-Düğüm 3 |
| 36 | Giriş-LAT-Grup |
| 37 | Çerçeveli-AppleTalk-Link |
| 38 | Çerçeveli-AppleTalk-Ağı |
| 39 | Çerçeveli-AppleTalk-Zone |
| 40-59 | (muhasebe için ayrılmıştır) |
| 60 | CHAP-Mücadelesi |
| 61 | NAS Bağlantı Noktası Türü |
| 62 | Bağlantı Noktası Sınırı |
| 63 | Giriş-LAT-Port |
Yarıçap İsteği Örneği
Radius İsteği örneğine bir göz atalım:
192.168.1.16 adresindeki NAS, "arktanjant" parolasıyla bağlantı noktası 3'te oturum açan Nemo adlı bir kullanıcı için RADIUS Sunucusuna bir Erişim-İsteği UDP paketi gönderir.
İstek Kimlik Doğrulayıcısı, NAS tarafından oluşturulan 16 sekizli rastgele bir sayıdır.
Kullanıcı Parolası, sonunda boş değerlerle doldurulmuş 16 sekizliktir, XORed ve D5 (Paylaşılan Gizli | İstek Kimlik Doğrulayıcı).
01 00 00 38 0f 40 3f 94 73 97 80 57 bd 83 d5 cb 98 f4 22 7a 01 06 6e 65 6d 6f 02 12 0d be 70 8d 93 d4 13 ce 31 96 e4 3f 78 2a 0a ee 04 06 c0 a8 01 10 05 06 00 00 00 03
1 Kod = Erişim İsteği (1)
1 Tanımlayıcı = 0
2 Uzunluk = 56
16 Kimlik Doğrulayıcı İste
Öznitelik Listesi
6 Kullanıcı Adı = "Nemo"
18 Kullanıcı Şifresi
6 NAS-IP Adresi = 192.168.1.16
6 NAS-Bağlantı Noktası = 3
Yarıçap Yanıtı Örneği
İşte Yanıt Paketlerine bir örnek:
Radius sunucusu, Nemo'nun kimliğini doğrular ve NAS'a bir Erişim-Kabul UDP paketi gönderir ve 192.168.1.3 barındırması için telnet Nemo'ya söyler.
Yanıt Kimlik Doğrulayıcı, kod (2), id (0), Uzunluk (38), yukarıdaki İstek Doğrulayıcı, bu yanıttaki öznitelikler ve paylaşılan sırrın 16 oktet MD5 sağlama toplamıdır.
02 00 00 26 86 fe 22 0e 76 24 ba 2a 10 05 f6 bf 9b 55 e0 b2 06 06 00 00 00 01 0f 06 00 00 00 00 0e 06 c0 a8 01 03
1 Kod = Erişim-Kabul (2)
1 Tanımlayıcı = 0 (Erişim İsteğindekiyle aynı)
2 Uzunluk = 38
16 Yanıt Doğrulayıcı
Öznitelik Listesi:
6 Servis Türü (6) = Oturum Aç (1)
6 Oturum Açma Hizmeti (15) = Telnet (0)
6 Login-IP-Host (14) = 192.168.1.3
Çap, RADIUS'un planlanan değiştirilmesidir. Ağ erişimi ve IP mobilitesi gibi uygulamalar için bir AAA protokolüdür. Aşağıda, Çap hakkında bilmeniz gereken birkaç nokta listelenmiştir:
Hem yerel hem de dolaşım AAA durumlarında çalışması amaçlanmıştır.
Çap, önceki protokol Radius'un yalnızca iki katıdır.
UDP değil TCP veya SCTP kullanır.
Aktarım düzeyinde güvenlik (IPSEC veya TLS) kullanır.
8 bit yerine 32 bit tanımlayıcıya sahiptir.
Durum bilgisi olmayan ve durum bilgisi olmayan modu destekler.
Uygulama katmanı onayını destekler, yük devretmeyi tanımlar.
Daha iyi dolaşım desteği sunar.
AVP'leri kullanır.
Çap, yeni komutları ve nitelikleri tanımlamaya izin verir. Uzatmak kolaydır.
Sırada ne var?
Artık Yarıçap ve Çap hakkında temel bir anlayışa sahipsiniz. Bu protokoller hakkında daha fazla bilgi edinmek için, çeşitli RFC'leri ve Kaynaklar bölümünde belirtilen diğer kaynakları incelemeniz gerekir.