RADIUS (Remote Authentication Dial In User Service)

RADIUS (Remote Authentication Dial In User Service) von Patrick Oppermann und Sönke Chair for Communication Technology (ComTec( ComTec), Faculty of Electrical Engineering / Computer Science

Inhalt Einführung/Überblick Triple A RADIUS Umgebung Transportprotokoll und Ports Pakteteigenschaften Aufbau und Pakettypen und -attribute Authentifizierung Protokolle und Ablauf RADIUS Accounting RADIUS Extensions 2

Einführung Authentifizierung von Benutzern bei Netzverbindungen über Modem, ISDN, VPN, Wireless LAN oder DSL. Anwendungsgebiete Internet Service Provider VPN Große WLAN Installationen RFCs Erste Beschreibung 1997 in den RFCs 2138 und 2139 Aktuell gültige RFCs 2865, 2866 und 2869 von 2000 3

Implementierungen Livingston Enterprises Microsofts Internet Authentication Server (IAS) Open Source Freeradius Openradius Cisco TACACS+... Benutzt TCP anstatt UDP 4

AAA (Triple A) Authentifizierung Wer hat Zugriff auf das System? Autorisierung Auf welche Dienste darf zugegriffen werden? Wann und wie lange dürfen die Dienste benutzt werden? Abrechnung Wie lange dauert die Verbindung? Wie viel Transfervolumen wurde generiert? 5

Aufbau einer RADIUS Umgebung Client Network Access Server (NAS) RADIUS Server LDAP SQL Dial-in Unix Internet Firewall/VPN Local WLAN Access Point Netzwerk/ Internet 6

Transportprotokoll und Ports UDP als Transportprotokoll Warum nicht TCP? Port 1812 wird für das Authentifizierung verwendet (früher 1645) Port 1813 findet bei der Abrechnung Verwendung (früher 1646) 7

Paketaufbau Code ID Length Authenticator (16 Bytes) A-NR A-LEN A-VAL 8

Paket-Typen (Code) Code Pakettyp 1 Access Request 2 Access Accept 3 Access Reject 4 Accounting Request 5 Accounting Response 11 Access Challenge 12 Status Server (experimental) 13 Status Client (experimental) 255 Reserved 9

Wichtige Attribute 1 - Benutzername 2 - Benutzerpasswort 3 - CHAP-Passwort 19 - Rückrufnummer 26 - Erweiterungen des Herstellers 40 - Accounting Start/Stop/Update 60 - CHAP Challenge 79 - EAP-Nachricht 10

Authentifizierungsprotkolle PAP Benutzername, Passwort und Daten werden im Klartext übertragen. CHAP Benutzername und Passwort werden verschlüsselt übertragen. Nur die Daten werden im Klartext übertragen EAP Protokollfamilie (EPA-TLS,EPA-TTLS,EPA-MD5...) Wird hauptsächlich in größeren WLAN-Installationen verwendet 11

Ablauf der Authentifizierung(Reject) RADIUS-Client RADIUS-Server Access Request Access Reject 12

Ablauf der Authentifizierung(Accept) RADIUS-Client Access Request RADIUS-Server Access Accept Accounting Request Accounting Response 13

Ablauf der Authentifizierung(Challenge) RADIUS-Client Access Request RADIUS-Server Access Challenge Access Request Access Accept Accounting Request Accounting Response 14

Proxy RADIUS Anwendung/Motivation Roaming Schritte der Weiterleitung 1. Client sendet access-request zum Proxy 2. Proxy leitet die den access-request zum Remote- Server weiter 3. Der Remote-Server antwortet mit access-accept, access-reject oder access-challenge 4. Der Proxy gibt die Antwort an den Client weiter RADIUS- Client (NAS) 1. 4. Proxy RADIUS 2. 3. RADIUS- Server 15

RADIUS Accounting Einführung Paketeigenschaften Authentifizierung RADIUS Accounting Eigenschaften Komponenten Ablauf Request/Response RADIUS Extensions Neue Funktionalitäten Neue Attribute 16

Eigenschaften RFCs (beide 2000): 2866 (RADIUS-Accounting) 2869 (RADIUS Extensions) Einsatzgebiet: Sammeln von Verbindungsinformationen Zeit- / Volumenabrechnung Verbindungsdauer Übertragenes Datenvolumen Zugangsstatistiken Wann wird Service genutzt? 17

Komponenten Was ist RADIUS-Accounting? Spezieller Satz von RADIUS-Paketen... Accounting-Request Accounting-Response... und dazugehörigen Attributen, z.b. Acct-Status-Type Acct-Output-Octets Acct-Session-Time 18

Anfrage RADIUS / RADIUS / Accounting Accounting Request / Request / Acct-Status-Type Acct-Status-Type = Accounting-On = Start (/Off) ISP RADIUS Server Dial-in user NAS Internet Andere Services 19

Bestätigung RADIUS / Accounting Response ISP RADIUS Server Dial-in user NAS Internet Andere Services 20

Accounting Request code 4 (Accounting-Request) identifier 213 length 33 authenticator nzt#*zh7,g2rc:hq attributes type length value Acct-Status-Type 6 Accounting-on Acct-Session-ID 3 321 NAS-IP-Address 4 195.123.19.2 21

Accounting Response Enthält keine Attribute Nur wenn Request erfolgreich empfangen wurde code 5 (Accounting-Response) identifier 213 length 20 authenticator attributes 236bt3cbnzt1nxzh 22

Accounting-Daten senden RADIUS / Accounting Request / ISP RADIUS Server Acct-Status-Type = Stop Acct-Session-Time = 2.491 Acct-Output-Octets = 39.030.224 Acct-Input-Octets = 4.782.914 Internet Dial-in user NAS Andere Services 23

Accounting-Daten senden (2) ISP RADIUS / Accounting Response RADIUS Server Dial-in user NAS Internet Andere Services 24

RADIUS Extensions Zusätzliche Funktionalitäten (u.a.): Interim Accounting Updates Regelmäßige Übertragung von Accounting- Informationen EAP (Extensible Authentication Protocol) Support EAP: erweiterte Familie von Authentifizierungs- Protokollen Beliebige EAP-Authentifizierungsarten können über RADIUS abgewickelt werden RADIUS kann User ablehnen, wenn er sich mit einem für ihn nicht festgelegten Protokoll anmelden will 25

Weitere RADIUS-Attribute RFC 2869 definiert ca. 20 neue Attribute, u.a. Acct-Input-Gigawords Erfassung von Datenmengen größer als 2^32 Byte Acct-Interim-Interval Zeitspanne zwischen Accounting-Updates Password-Retry Wie viele Versuche hat der User, um sich korrekt zu authentifizieren EAP-Message Enthält ein EAP-Paket (z.b. EAP-Request / EAP- Response) 26

Interim-Accounting-Updates Access-Accept Acct-Interim-Interval = 1800 Zu Beginn der Sitzung NAS Accounting-Request RADIUS Server Alle 1800 Sekunden Acct-Status-Type = Interim-Update Acct-Output-Octets = 3.625.247 Server möchte regelmäßig informiert werden Attribut Acct-Interim-Interval an Client Client sendet nach jedem Intervall aktuelle Accounting-Daten Request vom Client hat Attribut Acct-Status-Type mit Wert Interim-Update 27

EAP-Support NAS leitet EAP-Pakete an RADIUS- Server weiter EAP-Pakete sind gekapselt in RADIUS-Attribut EAP-Message Alle Beteiligten Entitäten (Client, NAS, RADIUS, RADIUS-Proxy) müssen EAP unterstützen 28

29 EAP Client und NAS handeln EAP-Parameter aus NAS PPP Request EAP auth PPP ACK-EAP auth PPP EAP Request / Identity PPP EAP-Response / Identity (MyID)

30 EAP NAS setzt sich mit RADIUS-Server in Verbindung RADIUS Access-Request / EAP-Message / EAP-Response / Identity (MyID) NAS RADIUS Server RADIUS Access-Challenge / EAP-Message / EAP-Request OTP / OTP-Challenge

EAP NAS fordert Authentifizierung vom Client an PPP EAP-Request OTP / OTP-Challenge NAS PPP EAP-Response OTP / OTPpw 31

32 EAP NAS übermittelt RADIUS OTP-Login-Daten NAS RADIUS Server RADIUS Access-Request / EAP-Message / EAP-Response / OTP / OTPpw RADIUS Access-Accept / EAP-Message / EAP-Success

EAP NAS leitet Freigabe an Client weiter PPP EAP-Success NAS 33

Fazit - RADIUS Heute in großen Netzwerkumgebungen nahezu unverzichtbar Bietet Flexibilität für verschiedenste Anforderungen Sowohl kommerzielle als auch Open- Source-Implementierungen Gewinnt mit der Ausbreitung mobiler Anwendungen weiter an Bedeutung Geplanter Nachfolger - DIAMETER 34

Quellen [1] RFC 2865, www.faqs.org/rfcs/2865 [2] RFC 2866, www.faqs.org/rfcs/2866 [3] RFC 2869, www.faqs.org/rfcs/2869 [4] IX 6/05, S. 112ff [5] http://www.enterasys.com/de/products/whitepapers/ eap_artikel_revised_de_rev2.pdf Bildmaterial: Apple Computer, www.apple.com/de 35