RADIUS (Remote Authentication Dial In User Service) von Patrick Oppermann und Sönke Saul

Chair for Communication Technology (ComTec), Faculty of Electrical Engineering / Computer Science

Inhalt • Einführung/Überblick – Triple A – RADIUS Umgebung – Transportprotokoll und Ports

• Pakteteigenschaften – Aufbau und Pakettypen und -attribute

• Authentifizierung – Protokolle und Ablauf

• RADIUS Accounting • RADIUS Extensions 2

Patrick Oppermann und Sönke Saul

© ComTec 2005

Einführung • Authentifizierung von Benutzern bei Netzverbindungen über Modem, ISDN, VPN, Wireless LAN oder DSL. • Anwendungsgebiete – Internet Service Provider – VPN – Große WLAN Installationen

• RFCs – Erste Beschreibung 1997 in den RFCs 2138 und 2139 – Aktuell gültige RFCs 2865, 2866 und 2869 von 2000 3

Patrick Oppermann und Sönke Saul

© ComTec 2005

Implementierungen • Livingston Enterprises • Microsofts „Internet Authentication Server“ (IAS) • Open Source – Freeradius – Openradius

• Cisco TACACS+ – Benutzt TCP anstatt UDP

• ...

4

Patrick Oppermann und Sönke Saul

© ComTec 2005

AAA (Triple A) • Authentifizierung – Wer hat Zugriff auf das System?

• Autorisierung – Auf welche Dienste darf zugegriffen werden? – Wann und wie lange dürfen die Dienste benutzt werden?

• Abrechnung – Wie lange dauert die Verbindung? – Wie viel Transfervolumen wurde generiert?

5

Patrick Oppermann und Sönke Saul

© ComTec 2005

Aufbau einer RADIUS Umgebung Network Access Server (NAS)

Client

LDAP

RADIUS Server

SQL Dial-in Unix Internet Firewall/VPN

WLAN Access Point 6

Patrick Oppermann und Sönke Saul

Local

Netzwerk/ Internet

© ComTec 2005

Transportprotokoll und Ports • UDP als Transportprotokoll – Warum nicht TCP?

• Port 1812 wird für das Authentifizierung verwendet (früher 1645) • Port 1813 findet bei der Abrechnung Verwendung (früher 1646)

7

Patrick Oppermann und Sönke Saul

© ComTec 2005

Paketaufbau

Code

ID

Length

Authenticator (16 Bytes) A-NR

8

Patrick Oppermann und Sönke Saul

A-LEN

A-VAL

© ComTec 2005

Paket-Typen (Code)

9

Code

Pakettyp

1 2

Access Request Access Accept

3

Access Reject

4 5

Accounting Request Accounting Response

11 12

Access Challenge Status Server (experimental)

13

Status Client (experimental)

255

Reserved

Patrick Oppermann und Sönke Saul

© ComTec 2005

Wichtige Attribute • • • • • • • •

10

1 - Benutzername 2 - Benutzerpasswort 3 - CHAP-Passwort 19 - Rückrufnummer 26 - Erweiterungen des Herstellers 40 - Accounting Start/Stop/Update 60 - CHAP Challenge 79 - EAP-Nachricht

Patrick Oppermann und Sönke Saul

© ComTec 2005

Authentifizierungsprotkolle • PAP – Benutzername, Passwort und Daten werden im Klartext übertragen.

• CHAP – Benutzername und Passwort werden verschlüsselt übertragen. Nur die Daten werden im Klartext übertragen

• EAP – Protokollfamilie (EPA-TLS,EPA-TTLS,EPA-MD5...) – Wird hauptsächlich in größeren WLAN-Installationen verwendet

11

Patrick Oppermann und Sönke Saul

© ComTec 2005

Ablauf der Authentifizierung(Reject) RADIUS-Server

RADIUS-Client

Access Request Access Reject

12

Patrick Oppermann und Sönke Saul

© ComTec 2005

Ablauf der Authentifizierung(Accept) RADIUS-Server

RADIUS-Client Access Request

Access Accept

Accounting Request Accounting Response

13

Patrick Oppermann und Sönke Saul

© ComTec 2005

Ablauf der Authentifizierung(Challenge) RADIUS-Server

RADIUS-Client Access Request Access Challenge Access Request Access Accept

Accounting Request Accounting Response

14

Patrick Oppermann und Sönke Saul

© ComTec 2005

Proxy RADIUS •

Anwendung/Motivation –

•

Roaming

Schritte der Weiterleitung 1. Client sendet „access-request“ zum Proxy 2. Proxy leitet die den „access-request“ zum RemoteServer weiter 3. Der Remote-Server antwortet mit access-accept, access-reject oder access-challenge 4. Der Proxy gibt die Antwort an den Client weiter Proxy RADIUS

RADIUSClient (NAS)

15

RADIUSServer

1.

2.

4.

3.

Patrick Oppermann und Sönke Saul

© ComTec 2005

RADIUS Accounting • • • •

Einführung Paketeigenschaften Authentifizierung RADIUS Accounting – Eigenschaften – Komponenten – Ablauf – Request/Response • RADIUS Extensions – Neue Funktionalitäten – Neue Attribute

16

Patrick Oppermann und Sönke Saul

© ComTec 2005

Eigenschaften RFCs (beide 2000): • 2866 (RADIUS-Accounting) • 2869 (RADIUS Extensions) Einsatzgebiet: • Sammeln von Verbindungsinformationen • Zeit- / Volumenabrechnung – Verbindungsdauer – Übertragenes Datenvolumen • Zugangsstatistiken – Wann wird Service genutzt? 17

Patrick Oppermann und Sönke Saul

© ComTec 2005

Komponenten Was ist RADIUS-Accounting? • Spezieller Satz von RADIUS-Paketen... – Accounting-Request – Accounting-Response • ... und dazugehörigen Attributen, z.B. – Acct-Status-Type – Acct-Output-Octets – Acct-Session-Time

18

Patrick Oppermann und Sönke Saul

© ComTec 2005

Anfrage RADIUS / RADIUS / Accounting Accounting Request /Request / Acct-Status-Type Acct-Status-Type = Accounting-On = Start (/Off)

ISP RADIUS Server Internet Dial-in user NAS

19

Patrick Oppermann und Sönke Saul

Andere Services

© ComTec 2005

Bestätigung RADIUS / Accounting Response

ISP RADIUS Server Internet Dial-in user NAS

20

Patrick Oppermann und Sönke Saul

Andere Services

© ComTec 2005

Accounting Request code

4 (Accounting-Request)

identifier

213

length

33

authenticator

nzt#*zh7,g2rc:hq

attributes

21

type

length

value

Acct-Status-Type

6

Accounting-on

Acct-Session-ID

3

321

NAS-IP-Address

4

195.123.19.2

Patrick Oppermann und Sönke Saul

© ComTec 2005

Accounting Response • •

Enthält keine Attribute Nur wenn Request erfolgreich empfangen wurde

code identifier length authenticator

5 (Accounting-Response) 213 20 236bt3cbnzt1nxzh

attributes

22

Patrick Oppermann und Sönke Saul

© ComTec 2005

Accounting-Daten senden RADIUS / Accounting Request / Acct-Status-Type = Stop Acct-Session-Time = 2.491 Acct-Output-Octets = 39.030.224 Acct-Input-Octets = 4.782.914

ISP RADIUS Server

Internet Dial-in user NAS

23

Patrick Oppermann und Sönke Saul

Andere Services

© ComTec 2005

Accounting-Daten senden (2)

RADIUS / Accounting Response

ISP RADIUS Server

Internet Dial-in user NAS

24

Patrick Oppermann und Sönke Saul

Andere Services

© ComTec 2005

RADIUS Extensions Zusätzliche Funktionalitäten (u.a.): •

•

25

Interim Accounting Updates – Regelmäßige Übertragung von AccountingInformationen EAP (Extensible Authentication Protocol) Support – EAP: erweiterte Familie von AuthentifizierungsProtokollen – Beliebige EAP-Authentifizierungsarten können über RADIUS abgewickelt werden – RADIUS kann User ablehnen, wenn er sich mit einem für ihn nicht festgelegten Protokoll anmelden will

Patrick Oppermann und Sönke Saul

© ComTec 2005

Weitere RADIUS-Attribute RFC 2869 definiert ca. 20 neue Attribute, u.a. • • •

•

26

Acct-Input-Gigawords – Erfassung von Datenmengen größer als 2^32 Byte Acct-Interim-Interval – Zeitspanne zwischen Accounting-Updates Password-Retry – Wie viele Versuche hat der User, um sich korrekt zu authentifizieren EAP-Message – Enthält ein EAP-Paket (z.B. EAP-Request / EAPResponse)

Patrick Oppermann und Sönke Saul

© ComTec 2005

Interim-Accounting-Updates Access-Accept

Zu Beginn der Sitzung

Acct-Interim-Interval = 1800

RADIUS Server

NAS

Accounting-Request

Alle 1800 Sekunden

Acct-Status-Type = Interim-Update Acct-Output-Octets = 3.625.247

• • • •

27

Server möchte regelmäßig informiert werden Attribut ‚Acct-Interim-Interval‘ an Client Client sendet nach jedem Intervall aktuelle Accounting-Daten Request vom Client hat Attribut „Acct-Status-Type“ mit Wert „Interim-Update“

Patrick Oppermann und Sönke Saul

© ComTec 2005

EAP-Support • NAS leitet EAP-Pakete an RADIUSServer weiter • EAP-Pakete sind gekapselt in RADIUS-Attribut „EAP-Message“ • Alle Beteiligten Entitäten (Client, NAS, RADIUS, RADIUS-Proxy) müssen EAP unterstützen

28

Patrick Oppermann und Sönke Saul

© ComTec 2005

EAP •

Client und NAS handeln EAP-Parameter aus

P auth A E t s e qu PPP Re PPP AC K-EAP auth

NAS Identity / t s e u P Req PPP EA PPP EA PIdentity Response / (MyID)

29

Patrick Oppermann und Sönke Saul

© ComTec 2005

EAP •

NAS setzt sich mit RADIUS-Server in Verbindung

RADIU S EAP-M Access-Req uest / es EAP-R sage / es Identit ponse / y (MyID )

NAS enge / l l a h C Access P-Request S U I D RA ge / EA a s s e M EAPallenge h C P T OTP / O

30

Patrick Oppermann und Sönke Saul

RADIUS Server

© ComTec 2005

EAP •

NAS fordert Authentifizierung vom Client an

quest e R P A PPP E allenge h C P T OTP / O

NAS PPP EA POTP / O Response TPpw

31

Patrick Oppermann und Sönke Saul

© ComTec 2005

EAP •

NAS übermittelt RADIUS OTP-Login-Daten

RADIU S EAP-M Access-Req uest / es EAP-R sage / espon se OTP / OTPpw /

RADIUS Server

NAS cept / c A s s Acce ccess S u U S I D P A A R sage / E s e M P EA

32

Patrick Oppermann und Sönke Saul

© ComTec 2005

EAP •

NAS leitet Freigabe an Client weiter

ccess u S P A PPP E

NAS

33

Patrick Oppermann und Sönke Saul

© ComTec 2005

Fazit - RADIUS • Heute in großen Netzwerkumgebungen nahezu unverzichtbar • Bietet Flexibilität für verschiedenste Anforderungen • Sowohl kommerzielle als auch OpenSource-Implementierungen • Gewinnt mit der Ausbreitung mobiler Anwendungen weiter an Bedeutung • Geplanter Nachfolger - DIAMETER

34

Patrick Oppermann und Sönke Saul

© ComTec 2005

Quellen • • • • •

[1] RFC 2865, www.faqs.org/rfcs/2865 [2] RFC 2866, www.faqs.org/rfcs/2866 [3] RFC 2869, www.faqs.org/rfcs/2869 [4] IX 6/05, S. 112ff [5] http://www.enterasys.com/de/products/whitepapers/ eap_artikel_revised_de_rev2.pdf

Bildmaterial: • Apple Computer, www.apple.com/de

35

Patrick Oppermann und Sönke Saul

© ComTec 2005