(Remote Authentication Dial In User Service) von Patrick ......Netzverbindungen über Modem, ISDN, VPN, Wireless LAN oder DSL. • Anwendungsgebiete – Internet Service Provider –

Chair for Communication Technology (Chair for Communication Technology (ComTecComTec), Faculty of Electrical Engineering / Computer Science), Faculty of Electrical Engineering / Computer Science

RADIUS(Remote Authentication Dial In User Service)

von Patrick Oppermann und Sönke Saul

©© ComTec ComTec 20052005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul22

Inhalt

• Einführung/Überblick– Triple A– RADIUS Umgebung– Transportprotokoll und Ports

• Pakteteigenschaften– Aufbau und Pakettypen und -attribute

• Authentifizierung– Protokolle und Ablauf

• RADIUS Accounting• RADIUS Extensions

©© ComTec ComTec 20052005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul33

Einführung

• Authentifizierung von Benutzern bei Netzverbindungen über Modem, ISDN, VPN, Wireless LAN oder DSL.

• Anwendungsgebiete– Internet Service Provider– VPN– Große WLAN Installationen

• RFCs– Erste Beschreibung 1997 in den RFCs 2138

und 2139– Aktuell gültige RFCs 2865, 2866 und 2869 von

2000

©© ComTec 2005ComTec 2005Patrick Oppermann und SPatrick Oppermann und Söönke Saulnke Saul44

Implementierungen

• Livingston Enterprises• Microsofts „Internet Authentication

Server“ (IAS)• Open Source

– Freeradius– Openradius

• Cisco TACACS+– Benutzt TCP anstatt UDP

• ...


AAA (Triple A)

• Authentifizierung– Wer hat Zugriff auf das System?

• Autorisierung– Auf welche Dienste darf zugegriffen werden?– Wann und wie lange dürfen die Dienste

benutzt werden?• Abrechnung

– Wie lange dauert die Verbindung?– Wie viel Transfervolumen wurde generiert?


Aufbau einer RADIUS Umgebung

RADIUSServer

Unix

SQL

LDAP

Local

WLAN AccessPoint

Netzwerk/Internet

Firewall/VPNInternet

Dial-in

NetworkAccessServer(NAS)

Client


Transportprotokoll und Ports

• UDP als Transportprotokoll– Warum nicht TCP?

• Port 1812 wird für das Authentifizierung verwendet (früher 1645)

• Port 1813 findet bei der Abrechnung Verwendung (früher 1646)


Paketaufbau

Authenticator (16 Bytes)

Code ID Length

A-NR A-LEN A-VAL


Paket-Typen (Code)

Code Pakettyp1 Access Request2 Access Accept3 Access Reject4 Accounting Request5 Accounting Response11 Access Challenge12 Status Server (experimental)13 Status Client (experimental)255 Reserved


Wichtige Attribute

• 1 - Benutzername• 2 - Benutzerpasswort• 3 - CHAP-Passwort• 19 - Rückrufnummer• 26 - Erweiterungen des Herstellers• 40 - Accounting Start/Stop/Update• 60 - CHAP Challenge• 79 - EAP-Nachricht


Authentifizierungsprotkolle

• PAP– Benutzername, Passwort und Daten werden im

Klartext übertragen.• CHAP

– Benutzername und Passwort werden verschlüsselt übertragen. Nur die Daten werden im Klartext übertragen

• EAP– Protokollfamilie (EPA-TLS,EPA-TTLS,EPA-MD5...)– Wird hauptsächlich in größeren WLAN-Installationen

verwendet


Ablauf der Authentifizierung(Reject)

RADIUS-Client RADIUS-Server

Access Request

Access Reject


Ablauf der Authentifizierung(Accept)

RADIUS-Client RADIUS-ServerAccess Request

Accounting Request

Accounting Response

Access Accept


Ablauf der Authentifizierung(Challenge)

RADIUS-Client RADIUS-Server

Access Request

Accounting Request

Accounting Response

Access Accept

Access Challenge

Access Request


Proxy RADIUS

• Anwendung/Motivation– Roaming

• Schritte der Weiterleitung1. Client sendet „access-request“ zum Proxy2. Proxy leitet die den „access-request“ zum Remote-

Server weiter3. Der Remote-Server antwortet mit access-accept,

access-reject oder access-challenge4. Der Proxy gibt die Antwort an den Client weiter

RADIUS-Client(NAS)

ProxyRADIUS

RADIUS-Server

2.1.3.4.


RADIUS Accounting

• Einführung• Paketeigenschaften• Authentifizierung• RADIUS Accounting

– Eigenschaften– Komponenten– Ablauf– Request/Response

• RADIUS Extensions– Neue Funktionalitäten– Neue Attribute


EigenschaftenRFCs (beide 2000):• 2866 (RADIUS-Accounting)• 2869 (RADIUS Extensions)

Einsatzgebiet:• Sammeln von Verbindungsinformationen• Zeit- / Volumenabrechnung

– Verbindungsdauer– Übertragenes Datenvolumen

• Zugangsstatistiken– Wann wird Service genutzt?


Komponenten

Was ist RADIUS-Accounting?

• Spezieller Satz von RADIUS-Paketen...– Accounting-Request– Accounting-Response

• ... und dazugehörigen Attributen, z.B.– Acct-Status-Type– Acct-Output-Octets– Acct-Session-Time


Anfrage

NAS

RADIUSServer

Internet

ISP

AndereServices

Dial-inuser

RADIUS /Accounting Request /Acct-Status-Type = Start

RADIUS /Accounting Request /Acct-Status-Type = Accounting-On (/Off)


Bestätigung

NAS

RADIUSServer

Internet

ISP

AndereServices

Dial-inuser

RADIUS /Accounting Response


Accounting Request

code 4 (Accounting-Request)

identifier 213

length 33

authenticator nzt#*zh7,g2rc:hq

attributes type length value

Acct-Status-Type 6 Accounting-on

Acct-Session-ID 3 321

NAS-IP-Address 4 195.123.19.2


Accounting Response• Enthält keine Attribute• Nur wenn Request erfolgreich empfangen wurde

code 5 (Accounting-Response)

identifier 213

length 20

authenticator 236bt3cbnzt1nxzh

attributes


Accounting-Daten senden

NAS

RADIUSServer

Internet

ISP

AndereServices

Dial-inuser

RADIUS /Accounting Request /

Acct-Status-Type = StopAcct-Session-Time = 2.491Acct-Output-Octets = 39.030.224Acct-Input-Octets = 4.782.914


Accounting-Daten senden (2)

NAS

RADIUSServer

Internet

ISP

AndereServices

Dial-inuser

RADIUS /Accounting Response


RADIUS Extensions

Zusätzliche Funktionalitäten (u.a.):

• Interim Accounting Updates– Regelmäßige Übertragung von Accounting-

Informationen• EAP (Extensible Authentication Protocol) Support

– EAP: erweiterte Familie von Authentifizierungs-Protokollen

– Beliebige EAP-Authentifizierungsarten können über RADIUS abgewickelt werden

– RADIUS kann User ablehnen, wenn er sich mit einem für ihn nicht festgelegten Protokoll anmelden will


Weitere RADIUS-Attribute

RFC 2869 definiert ca. 20 neue Attribute, u.a.

• Acct-Input-Gigawords– Erfassung von Datenmengen größer als 2^32 Byte

• Acct-Interim-Interval– Zeitspanne zwischen Accounting-Updates

• Password-Retry– Wie viele Versuche hat der User, um sich korrekt zu

authentifizieren• EAP-Message

– Enthält ein EAP-Paket (z.B. EAP-Request / EAP-Response)


Interim-Accounting-Updates

• Server möchte regelmäßig informiert werden• Attribut ‚Acct-Interim-Interval‘ an Client• Client sendet nach jedem Intervall aktuelle Accounting-Daten• Request vom Client hat Attribut „Acct-Status-Type“ mit Wert

„Interim-Update“

NAS RADIUS Server

Access-Accept

Acct-Interim-Interval = 1800

Accounting-Request

Acct-Status-Type = Interim-Update

Acct-Output-Octets = 3.625.247Alle 1800 Sekunden

Zu Beginn der Sitzung


EAP-Support

• NAS leitet EAP-Pakete an RADIUS-Server weiter

• EAP-Pakete sind gekapselt in RADIUS-Attribut „EAP-Message“

• Alle Beteiligten Entitäten (Client, NAS, RADIUS, RADIUS-Proxy) müssen EAP unterstützen


EAP

• Client und NAS handeln EAP-Parameter aus

NAS

PPP Request EAP auth

PPP ACK-EAP auth

PPP EAP Request / Identity

PPP EAP-Response /Identity (MyID)


EAP

• NAS setzt sich mit RADIUS-Server in Verbindung

NAS

RADIUS Access-Challenge /

EAP-Message / EAP-Request

OTP / OTP-Challenge

RADIUS Access-Request /EAP-Message /EAP-Response /Identity (MyID)

RADIUSServer


EAP

• NAS fordert Authentifizierung vom Client an

NAS

PPP EAP-Request

OTP / OTP-Challenge

PPP EAP-ResponseOTP / OTPpw


EAP

• NAS übermittelt RADIUS OTP-Login-Daten

NAS

RADIUS Access-Accept /

EAP-Message / EAP-Success

RADIUS Access-Request /EAP-Message /EAP-Response /OTP / OTPpw

RADIUSServer


EAP

• NAS leitet Freigabe an Client weiter

NAS

PPP EAP-Success


Fazit - RADIUS

• Heute in großen Netzwerkumgebungen nahezu unverzichtbar

• Bietet Flexibilität für verschiedenste Anforderungen

• Sowohl kommerzielle als auch Open-Source-Implementierungen

• Gewinnt mit der Ausbreitung mobiler Anwendungen weiter an Bedeutung

• Geplanter Nachfolger - DIAMETER


Quellen

• [1] RFC 2865, www.faqs.org/rfcs/2865• [2] RFC 2866, www.faqs.org/rfcs/2866• [3] RFC 2869, www.faqs.org/rfcs/2869• [4] IX 6/05, S. 112ff• [5] http://www.enterasys.com/de/products/whitepapers/

eap_artikel_revised_de_rev2.pdf

Bildmaterial:• Apple Computer, www.apple.com/de

Documents

(Remote Authentication Dial In User Service) von Patrick ......Netzverbindungen über Modem, ISDN, VPN, Wireless LAN oder DSL. • Anwendungsgebiete – Internet Service Provider –