POLOMĚR

RADIUS ( anglicky  Remote Authentication in Dial-In User Service ) je protokol pro implementaci autentizace, autorizace a shromažďování informací o používaných zdrojích, určený k přenosu informací mezi centrální platformou a zařízením. Tento protokol byl použit pro fakturační systém za použité zdroje konkrétním uživatelem/předplatitelem. Centrální platforma a zařízení pro telefonický přístup (Network Access Server (NAS, nezaměňovat s úložištěm) s automatizovaným systémem účtování služeb ( fakturace ), RADIUS se používá jako AAA protokol :

• Angličtina  Autentizace  je proces, který umožňuje autentizovat (autentizovat) subjekt jeho identifikačními údaji, např. přihlašovacím jménem (uživatelské jméno, telefonní číslo apod.) a heslem.
• Angličtina  Autorizace  je proces, který určuje oprávnění identifikovaného subjektu pro přístup k určitým objektům nebo službám.
• Angličtina  Účetnictví  je proces, který umožňuje shromažďovat informace (účetní údaje) o použitých zdrojích. Primární data (tj. tradičně přenášená přes protokol RADIUS) je množství příchozího a odchozího provozu: v bajtech/oktetech (nověji v gigabajtech). Protokol však umožňuje přenos dat libovolného typu, který je implementován prostřednictvím VSA ( Vendor Specific Attributes ) .

Historie

Protokol RADIUS vyvinul Carl  Rigney z Livingston Enterprises pro jejich sérii Network Access Server PortMaster k internetu a později byl publikován v roce 1997 jako RFC 2058 a RFC 2059 (aktuální verze RFC 2865 a RFC 2866 ). V současné době existuje několik komerčních a volně distribuovaných serverů RADIUS. Liší se od sebe svými schopnostmi, ale většina z nich podporuje seznamy uživatelů v textových souborech, LDAP a různých databázích. Uživatelské účty mohou být uloženy v textových souborech, různých databázích nebo na externích serverech. SNMP se často používá pro vzdálené monitorování . Existují Proxy servery pro RADIUS, které zjednodušují centralizovanou správu a/nebo umožňují koncept internetového roamingu . Mohou za běhu upravovat obsah paketu RADIUS (z bezpečnostních důvodů nebo pro převod mezi dialekty). Popularita protokolu RADIUS je z velké části způsobena: otevřeností k plnění novými funkcemi při zachování výkonu se stárnoucím zařízením, extrémně vysokou reaktivitou při zpracování požadavků díky použití UDP jako paketového transportu a také dobře paralelním zpracováním požadavků algoritmus; schopnost fungovat v klastrových (Cluster) architekturách (například OpenVMS ) a multiprocesorových ( SMP ) platformách ( DEC Alpha , HP Integrity ) - jak pro zlepšení výkonu, tak pro implementaci odolnosti proti chybám.

V současné době (od poloviny roku 2003) je vyvíjen protokol DIAMETER (aktuální verze RFC 3588 a RFC 3589 ), který nahradí RADIUS poskytnutím migračního mechanismu.

Funkce

Jako součást fakturačního systému je server RADIUS rozhraním pro interakci s telekomunikačním systémem nebo serverem (například směrovačem nebo přepínačem ) a může pro takový systém implementovat následující služby:

Obecné

• Vytváření a ukládání uživatelských účtů (předplatitelů)
• Správa uživatelského (předplatitelského) účtu z osobního rozhraní (například webové kanceláře)
• Vytvoření přístupových karet (login nebo PIN-kód ) pro poskytování služeb s určitým limitem platnosti (Dial-Up přístup k internetu a kartová IP telefonie)
• Manuální a automatická blokace účtu účastníka při dosažení stanoveného kritéria nebo limitu
• Shromažďování a analýza statistických informací o uživatelských relacích a celém obsluhovaném systému (včetně CDR )
• Tvorba reportů o různých statistických parametrech
• Vytvářejte, tiskněte a posílejte faktury k platbě
• Autentizace všech požadavků na server RADIUS z obsluhovaného systému (pole Tajné)

Autentizace

• Ověření přihlašovacích údajů uživatele (včetně šifrovaných) na žádost servisovaného systému

Autorizace

• Hlášení stavu uzamčení uživatelského účtu
• Vydání povolení pro konkrétní službu
• Třídění dat na základě analýzy statistických informací (například dynamické směrování) a vydávání výsledku třídění na vyžádání

Účetnictví

• Online účtování prostředků předplatitele: upozornění na začátek a konec relace z obsluhovaného systému
• Zprávy o pokračování prozatímní relace (dočasné pakety)
• Automatické vynucené ukončení relace na obsluhovaném systému v rámci služby (paket odpojení)
• BOOT zpráva je speciální paket, který telekomunikační systém odesílá na server RADIUS při spuštění (restartování) systému, aby si vynutil ukončení všech relací.

V současné době se protokol RADIUS používá pro přístup k virtuálním privátním sítím ( VPN ), bezdrátovým (Wi-Fi) přístupovým bodům, ethernetovým přepínačům, DSL a dalším typům síťového přístupu. Protokol RADIUS je nyní díky své otevřenosti, snadné implementaci a neustálému zlepšování de facto standardem pro vzdálenou autentizaci.

Proces ověřování a autorizace

Chcete-li zjistit, jak protokol RADIUS funguje, zvažte obrázek výše.[ kde? ] . Notebooky a IP telefony představují uživatelská zařízení, ze kterých je nutné provádět autentizaci a autorizaci na síťových přístupových serverech (NAS): Wi-Fi access point, router, VPN server a IP PBX. Obrázek ukazuje několik možných možností pro NAS, existují další zařízení pro přístup k síti. RADIUS je implementován jako rozhraní mezi NAS (klient RADIUS) a server RADIUS, software nainstalovaný na počítači (serveru) nebo jiném specializovaném zařízení. Server nekomunikuje se zařízením uživatele přímo, ale pouze prostřednictvím serveru pro přístup k síti.

Uživatel odešle požadavek na síťový server, aby získal přístup ke konkrétnímu síťovému zdroji pomocí přístupového certifikátu. Certifikát je odeslán na server prostřednictvím síťového protokolu link-layer (např. PPP v případě vytáčeného přístupu, DSL v případě použití vhodných modemů atd.). NAS zase odešle zprávu s požadavkem na přístup na server RADIUS (požadavek na přístup RADIUS). Součástí požadavku jsou přístupové certifikáty ve formě uživatelského jména a hesla, případně bezpečnostní certifikát, který obdrží od uživatele. Požadavek může obsahovat další parametry: síťovou adresu zařízení uživatele, telefonní číslo, informace o fyzické adrese, ze které uživatel komunikuje s NAS.

Server kontroluje správnost informací pomocí autentizačních schémat:

• PAP (Password Authentication Protocol) ( RFC 1334 ) je jednoduchý ověřovací protokol, který se používá k ověření uživatele proti serveru pro přístup k síti (NAS). PAP je používán protokolem PPP. Téměř všechny přístupové servery podporují PAP. PAP přenáší šifrované heslo po síti, a proto, když je provoz zachycen, může být heslo vystaveno útoku hrubou silou. Proto se protokol PAP obvykle používá, když server nepodporuje zabezpečené protokoly, jako je CHAP, EAP a podobně.
• CHAP (Challenge Handshake Authentication Protocol) ( RFC 1994 ) je široce používaný autentizační algoritmus, který zajišťuje přenos nikoli samotného uživatelského hesla, ale nepřímé informace o něm. Pomocí protokolu CHAP server pro vzdálený přístup odešle klientovi řetězec dotazu. Na základě tohoto řetězce a hesla uživatele klient vypočítá  MD5 hash a  odešle jej na server. Hašovací funkce je jednosměrný (nevratný) šifrovací algoritmus, protože hašovací hodnotu pro blok dat lze snadno vypočítat a z matematického hlediska není možné v přijatelné míře určit původní blok z hašovacího kódu. čas. Server, který má přístup k heslu uživatele, provede stejný výpočet a porovná výsledek s hash kódem přijatým od klienta. Pokud existuje shoda, přihlašovací údaje klienta pro vzdálený přístup jsou považovány za autentické.
• MD5  (Message-Digest algorithm 5) ( RFC 1321 ) je široce používaná kryptografická funkce se 128bitovým hashem. V algoritmu byla nalezena řada zranitelností, což je důvod, proč americké ministerstvo pro vnitřní bezpečnost nedoporučuje použití MD5 v budoucnu a od roku 2010 jsou USA povinny přejít na rodinu algoritmů SHA-2 pro většinu vládních institucí. aplikací. .
• EAP  (Extensible Authentication Protocol) ( RFC 3748 ) umožňuje ověřovat telefonická připojení pomocí různých ověřovacích mechanismů. Přesné schéma ověřování je vyjednáno mezi klientem vzdáleného přístupu a ověřujícím serverem (kterým může být server vzdáleného přístupu nebo server RADIUS). Směrování a vzdálený přístup ve výchozím nastavení zahrnuje podporu EAP-TLS a MD5-Challenge. Připojení dalších modulů EAP k serveru pomocí Směrování a vzdáleného přístupu poskytuje podporu pro další metody EAP. Protokol EAP umožňuje volný dialog mezi klientem vzdáleného přístupu a autentizačním systémem. Takový dialog se skládá z požadavků autentizačního systému na informace, které potřebuje, a odpovědí klienta vzdáleného přístupu. Pokud je například EAP používán s generátory přístupových kódů, server provádějící ověřování může samostatně dotazovat klienta vzdáleného přístupu na uživatelské jméno, ID a přístupový kód. Po zodpovězení každého takového požadavku podstoupí klient vzdáleného přístupu určitou úroveň autentizace. Když jsou všechny požadavky uspokojivě zodpovězeny, ověřování klienta vzdáleného přístupu se úspěšně dokončí.

Schémata ověřování, která používají protokol EAP, se nazývají typy EAP. Pro úspěšné ověření musí klient vzdáleného přístupu a ověřující server podporovat stejný typ EAP.

Nyní se vraťme k serveru RADIUS, který kontroluje informace přijaté z NAS. Server kontroluje identitu uživatele a také správnost dalších informací, které mohou být obsaženy v požadavku: síťová adresa zařízení uživatele, telefonní číslo, stav účtu, jeho oprávnění při přístupu k požadovanému síťovému zdroji. Na základě výsledků kontroly RADIUS server odešle do NAS jeden ze tří typů odpovědí:

• Access-Reject  označuje, že daný požadavek uživatele je neplatný. Volitelně MŮŽE server zahrnout textovou zprávu do Access-Reject, kterou může klient odeslat uživateli. Žádné jiné atributy (kromě Proxy-State) nejsou povoleny v Access-Reject.
• Access-Challenge . Vyžádání dalších informací od uživatele, například druhého hesla, PIN kódu, čísla karty atd. Tato odpověď se také používá pro úplnější autentizační konverzaci, kde je vytvořen bezpečnostní tunel mezi zařízením uživatele a serverem RADIUS, takže přístupové certifikáty jsou před NAS skryty.
• PřístupPřijmout . Uživatel má povolen přístup. Protože je uživatel ověřen, server RADIUS zkontroluje oprávnění k použití prostředků požadovaných uživatelem. Uživateli může být například povolen přístup přes bezdrátovou síť, ale odepřen přístup k síti VPN.Protože provoz protokolu RADIUS může být obecně znázorněn tak, jak je uvedeno v tabulce níže.

Normy

Definováno v

• RFC 2865 Remote Authentication Dial In User Service (RADIUS)
• RFC 2866 RADIUS Accounting

Také související s

• RFC 2548 Atributy RADIUS specifické pro dodavatele společnosti Microsoft
• RFC 2607 Proxy Chaining a implementace zásad v roamingu
• RFC 2618 RADIUS Authentication Client MIB
• RFC 2619 RADIUS Authentication Server MIB
• RFC 2620 RADIUS Accounting Client MIB
• RFC 2621 RADIUS Accounting Server MIB
• RFC 2809 Implementace L2TP povinného tunelování přes RADIUS
• Úpravy RFC 2867 RADIUS Accounting pro podporu tunelového protokolu
• Atributy RFC 2868 RADIUS pro podporu tunelového protokolu
• Rozšíření RFC 2869 RADIUS
• Požadavky na servery pro síťový přístup RFC 2882 : Rozšířené postupy RADIUS
• RFC 3162 RADIUS a IPv6
• RFC 3575 IANA Aspekty pro RADIUS
• Dynamická autorizační rozšíření RFC 3576 na RADIUS
• RFC 4672 RADIUS Dynamic Authorization Client MIB
• RFC 4673 RADIUS Dynamic Authorization Server MIB
• Podpora RFC 3579 RADIUS pro EAP
• Pokyny pro použití RFC 3580 IEEE 802.1X RADIUS
• Podvolba RFC 4014 RADIUS Attributes pro volbu informací o přenosovém agentovi DHCP

Viz také

• PRŮMĚR
• TACACS
• TACACS+
• PPP
• EAP
• LDAP
• FreeRADIUS

Poznámky