RADIUS - Suporte

Propaganda
Remote Authentication Dial in User Service
(RADIUS)
Rômulo Rosa Furtado
RADIUS
O que é RADIUS: RADIUS é uma rede de protocolo que fornece Autorização, Autenticação e
Contabilidade (AAA).
Para que serve?
Ele serve para autenticar um cliente a fim de usar um serviço (normalmente de rede).
Aplicação:
Pode ser usando na Internet, redes internas, redes sem fio (Wireless)
RADIUS
RADIUS é um protocolo cliente / servidor que executa na camada de aplicação ,
usando UDP como transporte. O Remote Access Server , o Virtual Private Network
servidor , o switch de rede com autenticação baseada em porta, e o Network Access
Server , são todas as passagens que controlam o acesso à rede, e todos têm um
componente cliente RADIUS que se comunica com o servidor RADIUS.
RADIUS possui três funções:
*Para autenticar os usuários ou dispositivos antes de conceder-lhes acesso a uma
rede,
*Para autorizar os usuários ou dispositivos para determinados serviços de rede
*Para esclarecer o uso desses serviços.
RADIUS
Camada de aplicação:
DHCP · DNS · FTP · GTP · HTTP
Camada de Transporte
TCP · UDP · DCCP · SCTP · RSVP · ECN
RADIUS
Autenticação & Autorização
O usuário ou máquina envia um pedido a um Network Access Server (NAS) para obter
acesso a um recurso de rede particular usando as credenciais de acesso. As credenciais
são passadas ao dispositivo NAS
Por sua vez, o NAS envia uma RADIUS Access Request mensagem para o servidor
RADIUS, solicitando autorização para conceder o acesso através do protocolo RADIUS.
Esta solicitação inclui as credenciais de acesso, normalmente sob a forma de nome de
usuário e senha ou um certificado de segurança fornecido pelo usuário.
Para autorizar o RADIUS pode se referir a fontes externas - geralmente SQL , Kerberos ,
LDAP ou Active Directory servidores - para verificar as credenciais do usuário.
Continua...
RADIUS
O servidor RADIUS, em seguida, retorna uma das três respostas para a NAS:
Access Reject- É negado o acesso a todos os recursos de rede solicitado. Razões podem
incluir a falta de prova de identificação ou de uma conta de usuário inativo ou desconhecidos.
Access Challenge - Pedidos de informações adicionais do usuário como senha secundário,
PIN, token ou cartão.
Acess Accept - O usuário tem acesso. Uma vez que o usuário é autenticado, o servidor
RADIUS, muitas vezes verificar se o usuário é autorizado a usar o serviço de rede solicitado.
Para um determinado usuário pode ser permitido o uso de rede sem fio de uma empresa,
mas não o seu serviço de VPN, por exemplo. Novamente, esta informação pode ser
armazenada localmente no servidor RADIUS, ou podem ser consultados em uma fonte
externa, como LDAP ou Active Directory.
RADIUS
Contabilidade
Quando o acesso à rede é concedido ao usuário pela NAS, uma Start Contabilidade
(RADIUS Accounting pacote que contém uma solicitação de status atributo Acct-Type com
o valor de "start") é enviado pela NAS para o servidor RADIUS para sinalizar o início de
usuário acessar a rede. "Start" registros normalmente contêm a identificação do usuário,
endereço de rede, ponto de fixação e um identificador de sessão única.
Periodicamente, Provisório Update registros (RADIUS Accounting pacote contendo uma
solicitação de status atributo Acct-Type com o valor "provisório-update") podem ser
enviadas pelo NAS para o servidor RADIUS, para atualizá-lo sobre o estado de uma
sessão ativa. "Provisório-update" registros, normalmente transmitem a duração da sessão
atual e informações sobre a utilização de dados atual.
Continua...
RADIUS
Finalmente, quando o usuário da rede de acesso é fechado, o NAS emite um final de
Contabilidade Stop record (RADIUS Accounting pacote Request contendo um-Status-Type
atributo Acct com o valor de "stop") para o servidor RADIUS, fornecendo informações sobre
o uso final em termos do tempo de pacotes transferidos, os dados transferidos, a razão,
para desligá-lo e outras informações relacionadas ao usuário acessar a rede.
Normalmente, o cliente envia pacote Accounting-Request até que ele recebe um aviso
Accounting-Response, usando algum intervalo de repetição.
O objetivo principal destes dados é que o usuário pode ser cobrado de acordo, os dados
também são comumente usados para estatística e para fins de monitoramento de rede
geral.
RADIUS
RADIUS
RADIUS
Segurança
O protocolo RADIUS não transmite senhas em texto não criptografado entre o NAS e um
servidor RADIUS (nem mesmo com o protocolo PAP). Em vez disso, um password
compartilhado é usado junto com o MD5 algoritmo de hash para ofuscar as senhas. Porque
esta aplicação em particular não é considerado uma forte proteção muito do usuário as
credenciais [8], proteção adicional - como IPsec túneis ou garantido dados redes centro
fisicamente - devem ser usadas para criptografar o tráfego RADIUS entre o dispositivo NAS e
RADIUS servidor. Além disso, o usuário de segurança as credenciais são a única parte
protegida por RADIUS em si, mas outros, atributos específicos do usuário, como, grupo túnel
IDs ou associações vlan passou RADIUS podem ser considerados sensíveis (útil para um
invasor) ou privadas (suficiente para identificar o individual do cliente) informação também
Download