Remote Authentication Dial in User Service (RADIUS) Rômulo Rosa Furtado RADIUS O que é RADIUS: RADIUS é uma rede de protocolo que fornece Autorização, Autenticação e Contabilidade (AAA). Para que serve? Ele serve para autenticar um cliente a fim de usar um serviço (normalmente de rede). Aplicação: Pode ser usando na Internet, redes internas, redes sem fio (Wireless) RADIUS RADIUS é um protocolo cliente / servidor que executa na camada de aplicação , usando UDP como transporte. O Remote Access Server , o Virtual Private Network servidor , o switch de rede com autenticação baseada em porta, e o Network Access Server , são todas as passagens que controlam o acesso à rede, e todos têm um componente cliente RADIUS que se comunica com o servidor RADIUS. RADIUS possui três funções: *Para autenticar os usuários ou dispositivos antes de conceder-lhes acesso a uma rede, *Para autorizar os usuários ou dispositivos para determinados serviços de rede *Para esclarecer o uso desses serviços. RADIUS Camada de aplicação: DHCP · DNS · FTP · GTP · HTTP Camada de Transporte TCP · UDP · DCCP · SCTP · RSVP · ECN RADIUS Autenticação & Autorização O usuário ou máquina envia um pedido a um Network Access Server (NAS) para obter acesso a um recurso de rede particular usando as credenciais de acesso. As credenciais são passadas ao dispositivo NAS Por sua vez, o NAS envia uma RADIUS Access Request mensagem para o servidor RADIUS, solicitando autorização para conceder o acesso através do protocolo RADIUS. Esta solicitação inclui as credenciais de acesso, normalmente sob a forma de nome de usuário e senha ou um certificado de segurança fornecido pelo usuário. Para autorizar o RADIUS pode se referir a fontes externas - geralmente SQL , Kerberos , LDAP ou Active Directory servidores - para verificar as credenciais do usuário. Continua... RADIUS O servidor RADIUS, em seguida, retorna uma das três respostas para a NAS: Access Reject- É negado o acesso a todos os recursos de rede solicitado. Razões podem incluir a falta de prova de identificação ou de uma conta de usuário inativo ou desconhecidos. Access Challenge - Pedidos de informações adicionais do usuário como senha secundário, PIN, token ou cartão. Acess Accept - O usuário tem acesso. Uma vez que o usuário é autenticado, o servidor RADIUS, muitas vezes verificar se o usuário é autorizado a usar o serviço de rede solicitado. Para um determinado usuário pode ser permitido o uso de rede sem fio de uma empresa, mas não o seu serviço de VPN, por exemplo. Novamente, esta informação pode ser armazenada localmente no servidor RADIUS, ou podem ser consultados em uma fonte externa, como LDAP ou Active Directory. RADIUS Contabilidade Quando o acesso à rede é concedido ao usuário pela NAS, uma Start Contabilidade (RADIUS Accounting pacote que contém uma solicitação de status atributo Acct-Type com o valor de "start") é enviado pela NAS para o servidor RADIUS para sinalizar o início de usuário acessar a rede. "Start" registros normalmente contêm a identificação do usuário, endereço de rede, ponto de fixação e um identificador de sessão única. Periodicamente, Provisório Update registros (RADIUS Accounting pacote contendo uma solicitação de status atributo Acct-Type com o valor "provisório-update") podem ser enviadas pelo NAS para o servidor RADIUS, para atualizá-lo sobre o estado de uma sessão ativa. "Provisório-update" registros, normalmente transmitem a duração da sessão atual e informações sobre a utilização de dados atual. Continua... RADIUS Finalmente, quando o usuário da rede de acesso é fechado, o NAS emite um final de Contabilidade Stop record (RADIUS Accounting pacote Request contendo um-Status-Type atributo Acct com o valor de "stop") para o servidor RADIUS, fornecendo informações sobre o uso final em termos do tempo de pacotes transferidos, os dados transferidos, a razão, para desligá-lo e outras informações relacionadas ao usuário acessar a rede. Normalmente, o cliente envia pacote Accounting-Request até que ele recebe um aviso Accounting-Response, usando algum intervalo de repetição. O objetivo principal destes dados é que o usuário pode ser cobrado de acordo, os dados também são comumente usados para estatística e para fins de monitoramento de rede geral. RADIUS RADIUS RADIUS Segurança O protocolo RADIUS não transmite senhas em texto não criptografado entre o NAS e um servidor RADIUS (nem mesmo com o protocolo PAP). Em vez disso, um password compartilhado é usado junto com o MD5 algoritmo de hash para ofuscar as senhas. Porque esta aplicação em particular não é considerado uma forte proteção muito do usuário as credenciais [8], proteção adicional - como IPsec túneis ou garantido dados redes centro fisicamente - devem ser usadas para criptografar o tráfego RADIUS entre o dispositivo NAS e RADIUS servidor. Além disso, o usuário de segurança as credenciais são a única parte protegida por RADIUS em si, mas outros, atributos específicos do usuário, como, grupo túnel IDs ou associações vlan passou RADIUS podem ser considerados sensíveis (útil para um invasor) ou privadas (suficiente para identificar o individual do cliente) informação também