RADIUS - RADIUS

Remote Authentication Dial-In User Service ( RADIUS ) je síťový protokol, který poskytuje centralizovanou autentizaci, autorizaci a správu účtů ( AAA ) uživatelům, kteří se připojují a používají síťovou službu. RADIUS byl vyvinut společností Livingston Enterprises v roce 1991 jako ověřovací a účetní protokol přístupového serveru. Později byl zaveden do standardů IEEE 802 a IETF .

RADIUS je protokol klient/server , který běží v aplikační vrstvě a může používat buď TCP nebo UDP . Servery pro přístup k síti, které řídí přístup k síti, obvykle obsahují klientskou komponentu RADIUS, která komunikuje se serverem RADIUS. RADIUS je často back-end volby pro ověřování 802.1X . Server RADIUS je obvykle proces na pozadí spuštěný v systému UNIX nebo Microsoft Windows .

Protokol komponenty

RADIUS je protokol AAA (ověřování, autorizace a účetnictví), který spravuje přístup k síti. RADIUS používá ke správě celého procesu AAA dva typy paketů : Access-Request, který spravuje autentizaci a autorizaci; a Accounting-Request, která spravuje účetnictví. Ověření a autorizace jsou definovány v RFC 2865, zatímco účetnictví je popsáno v RFC 2866.

Ověřování a autorizace

Uživatel nebo zařízení odešle požadavek na server Network Access Server (NAS), aby získal přístup k určitému síťovému prostředku pomocí přístupových pověření. Přihlašovací údaje jsou do zařízení NAS předávány prostřednictvím protokolu linkové vrstvy -například Point-to-Point Protocol (PPP) v případě mnoha poskytovatelů telefonického připojení nebo poskytovatelů DSL nebo zveřejněny v zabezpečeném webovém formuláři HTTPS .

Na druhé straně, NAS posílá RADIUS požádat o přístup zprávu serveru RADIUS, žádá o povolení udělit přístup pomocí protokolu RADIUS.

Tento požadavek zahrnuje přístupová pověření, obvykle ve formě uživatelského jména a hesla nebo bezpečnostního certifikátu poskytnutého uživatelem. Kromě toho může požadavek obsahovat další informace, které NAS o uživateli ví, jako je jeho síťová adresa nebo telefonní číslo a informace týkající se fyzického bodu připojení uživatele k NAS.

Server RADIUS kontroluje správnost informací pomocí schémat ověřování, jako je PAP , CHAP nebo EAP . Ověření dokladu totožnosti uživatele je ověřeno spolu s volitelně dalšími informacemi souvisejícími s požadavkem, jako je síťová adresa nebo telefonní číslo uživatele, stav účtu a oprávnění přístupu ke konkrétním síťovým službám. Historicky servery RADIUS kontrolovaly informace o uživateli proti místně uložené ploché databázi souborů. Moderní servery RADIUS to mohou provést nebo mohou odkazovat na externí zdroje - běžně servery SQL , Kerberos , LDAP nebo Active Directory - a ověřit tak pověření uživatele.

Tok autentizace a autorizace RADIUS

Server RADIUS poté vrátí jednu ze tří odpovědí na NAS: 1) odmítnutí přístupu, 2) přístupová výzva nebo 3) přístupový souhlas.

Přístup Odmítnout
Uživateli je bezpodmínečně odepřen přístup ke všem požadovaným síťovým prostředkům. Mezi důvody může patřit neposkytnutí dokladu totožnosti nebo neznámého nebo neaktivního uživatelského účtu.
Přístup k výzvě
Vyžaduje od uživatele další informace, jako je sekundární heslo, PIN, token nebo karta. Access Challenge se také používá ve složitějších autentizačních dialozích, kde je mezi uživatelským počítačem a serverem Radius vytvořen zabezpečený tunel tak, že přístupové údaje jsou před NAS skryty.
Přijmout
Uživateli je udělen přístup. Jakmile je uživatel ověřen, server RADIUS často zkontroluje, zda je uživatel oprávněn používat požadovanou síťovou službu. Daný uživatel může mít povoleno používat bezdrátovou síť společnosti, ale například ne její službu VPN. Tyto informace mohou být opět uloženy lokálně na serveru RADIUS nebo mohou být vyhledány v externím zdroji, jako je LDAP nebo Active Directory.

Každá z těchto tří odpovědí RADIUS může obsahovat atribut Odpovědní zpráva, který může udávat důvod odmítnutí, výzvu k výzvě nebo uvítací zprávu k přijetí. Text v atributu lze předat uživateli na zpáteční webové stránce.

Autorizační atributy jsou přenášeny na NAS stanovující podmínky přístupu, které mají být uděleny. Do Access-Accept mohou být zahrnuty například následující autorizační atributy:

  • Konkrétní IP adresa, která má být přiřazena uživateli
  • Fond adres, ze kterého by měla být vybrána IP adresa uživatele
  • Maximální doba, po kterou může uživatel zůstat připojen
  • Seznam přístupu, fronta priorit nebo jiná omezení přístupu uživatele
  • Parametry L2TP
  • Parametry VLAN
  • Parametry kvality služby (QoS)

Když je klient nakonfigurován tak, aby používal RADIUS, kterýkoli klientský klient klientovi předloží ověřovací informace. Může se jednat o přizpůsobitelnou výzvu k přihlášení, kde se od uživatele očekává, že zadá své uživatelské jméno a heslo. Alternativně může uživatel použít protokol pro rámování odkazů, jako je například protokol PPP (Point-to-Point Protocol), který má ověřovací pakety, které tyto informace přenášejí.

Jakmile klient takové informace získá, může se rozhodnout autentizovat pomocí RADIUS. Za tímto účelem klient vytvoří „Žádost o přístup“ obsahující takové atributy, jako je jméno uživatele, heslo uživatele, ID klienta a ID portu, ke kterému uživatel přistupuje. Pokud je heslo přítomno, je skryto pomocí metody založené na algoritmu RSA Message Digest Algorithm MD5.

Účetnictví

Účetní tok RADIUS

Účetnictví je popsáno v RFC 2866.

Je-li přístup k síti poskytnuta uživateli pomocí NAS , což účetnictví Zahájení (RADIUS Accounting Request paket obsahující atribut Acct-Status-Type s hodnotou „Start“), je poslán do NAS serveru RADIUS signalizovat začátek přístup k síti uživatele. Záznamy „Start“ obvykle obsahují identifikaci uživatele, síťovou adresu, místo připojení a jedinečný identifikátor relace.

Periodicky Průběžné informace o aktualizaci záznamů (RADIUS Accounting Request paket obsahující atribut Acct-Status-Type s hodnotou „prozatímní-update“) mohou být zaslány na NAS serveru RADIUS, aby ji aktualizovat informace o stavu aktivní relace. „Průběžné“ záznamy obvykle sdělují aktuální dobu trvání relace a informace o aktuálním využití dat.

Nakonec, když je přístup k síti uživatele uzavřen, NAS vydá konečný záznam o zastavení účetnictví (paket RADIUS Accounting Request obsahující atribut typu Acct-Status-Type s hodnotou „stop“) na server RADIUS a poskytne informace o konečném využití z hlediska času, přenesených paketů, přenesených dat, důvodu odpojení a dalších informací souvisejících s přístupem uživatele do sítě.

Obvykle klient odesílá pakety s požadavky na účetnictví, dokud neobdrží potvrzení o odpovědi na účet, s použitím nějakého intervalu opakování.

Primárním účelem těchto údajů je, aby bylo možné uživateli odpovídajícím způsobem účtovat ; data se také běžně používají pro statistické účely a pro obecné monitorování sítě.

Roaming

Roaming pomocí proxy serveru RADIUS AAA.

RADIUS se běžně používá k usnadnění roamingu mezi poskytovateli internetových služeb , mimo jiné:

  • Společnosti, které poskytují jedinou globální sadu přihlašovacích údajů použitelných v mnoha veřejných sítích;
  • Nezávislé, ale spolupracující instituce vydávající vlastní přihlašovací údaje svým vlastním uživatelům, které umožňují ověření návštěvníka z jednoho do druhého jeho domovskou institucí, například v eduroam .

RADIUS to usnadňuje pomocí sfér , které identifikují, kam má server RADIUS předávat žádosti AAA ke zpracování.

Říše

Sféra se běžně připojuje k uživatelskému jménu uživatele a je oddělena znakem '@', který se podobá názvu domény e -mailové adresy. Toto je známé jako notace postfixu pro oblast. Dalším běžným používáním je předpona , která zahrnuje přípravu oblasti na uživatelské jméno a použití oddělovače '\'. Moderní servery RADIUS umožňují použití jakéhokoli znaku jako oddělovače sféry, i když v praxi se obvykle používají znaky '@' a '\'.

Sféry lze také kombinovat pomocí notace prefixu i postfixu, což umožňuje komplikované roamingové scénáře; například somedomain.com \ username@anotherdomain.com může být platné uživatelské jméno se dvěma říšemi.

Přestože sféry často připomínají domény, je důležité si uvědomit, že sféry jsou ve skutečnosti libovolný text a nemusí obsahovat skutečná jména domén. Formáty sfér jsou standardizovány v RFC 4282, který definuje Network Access Identifier (NAI) ve formě 'user@realm'. V této specifikaci musí být část „realm“ názvem domény. Tato praxe však není vždy dodržována. RFC 7542 nahradil RFC 4282 v květnu 2015.

Proxy operace

Když server RADIUS obdrží požadavek AAA na uživatelské jméno obsahující sféru, server bude odkazovat na tabulku konfigurovaných sfér. Pokud je sféra známá, server poté proxy server odešle na konfigurovaný domovský server pro danou doménu. Chování proxy serveru týkající se odebrání sféry z požadavku („stripping“) závisí na konfiguraci na většině serverů. Proxy server lze navíc nakonfigurovat tak, aby přidával, odebíral nebo přepisoval požadavky AAA, když jsou znovu proxy v průběhu času.

Proxy řetězení je možné v RADIUS a autentizační/autorizační a účetní pakety jsou obvykle směrovány mezi zařízením NAS a domácím serverem prostřednictvím řady proxy. Mezi výhody používání řetězců proxy patří vylepšení škálovatelnosti, implementace zásad a úpravy schopností. Ale v roamingových scénářích mohly být NAS, Proxies a Home Server obvykle spravovány různými administrativními entitami. Proto faktor důvěry mezi proxy získává na významu u takových mezidoménových aplikací. Kromě toho absence zabezpečení typu end to end v RADIUS zvyšuje kritičnost důvěry mezi zúčastněnými proxy. Proxy řetězce jsou vysvětleny v RFC 2607 .

Bezpečnostní

Roaming s RADIUS vystavuje uživatele různým problémům s bezpečností a ochranou soukromí. Obecněji řečeno, někteří roamingoví partneři vytvářejí zabezpečený tunel mezi servery RADIUS, aby bylo zajištěno, že při přístupu k internetu nebudou zachyceny přihlašovací údaje uživatelů. To je problém, protože hash MD5 integrovaný do RADIUS je považován za nezabezpečený.

Struktura paketu

Datový formát RADIUS.

RADIUS je přenášen přes UDP/IP na portech 1812 a 1813.

Vpravo je zobrazen formát paketu RADIUS . Pole se přenášejí zleva doprava, počínaje kódem, identifikátorem, délkou, autentizátorem a atributy.

Přiřazené kódy RADIUS (desítkové) zahrnují následující:

Kód Úkol
1 Žádost o přístup
2 Access-Accept
3 Přístup-Odmítnout
4 Účetnictví-žádost
5 Účetnictví-odpověď
11 Access-Challenge
12 Stavový server (experimentální)
13 Status-Client (experimentální)
40 Disconnect-Request
41 Odpojit-ACK
42 Odpojit-NAK
43 Žádost o CoA
44 CoA-ACK
45 CoA-NAK
255 Rezervováno

Pole Identifikátor pomáhá při přiřazování požadavků a odpovědí.

Pole Délka udává délku celého paketu RADIUS včetně polí Code, Identifier, Length, Authenticator a volitelných atributů.

Authenticator se používá k ověření odpovědi ze serveru RADIUS a používá se k šifrování hesel; jeho délka je 16 bytů.

Přiřaďte páry hodnot

Rozložení RADIUS AVP

Páry hodnot atributů RADIUS (AVP) přenášejí data jak v požadavku, tak v odpovědi na ověřovací, autorizační a účetní transakce. Délka paketu poloměru se používá k určení konce AVP.

Atributy specifické pro dodavatele

RADIUS je rozšiřitelný; mnoho prodejců hardwaru a softwaru RADIUS implementuje své vlastní varianty pomocí atributů specifických pro dodavatele (VSA). Společnost Microsoft zveřejnila některé ze svých VSA. Definice VSA od mnoha dalších společností zůstávají proprietární a/nebo ad hoc, nicméně mnoho slovníků VSA lze nalézt stažením zdrojového kódu implementací RADIUS s otevřeným zdrojovým kódem, například FreeRADIUS .

Bezpečnostní

Protokol RADIUS přenáší zmatená hesla pomocí sdíleného tajemství a algoritmu hash MD5 . Protože tato konkrétní implementace poskytuje pouze slabou ochranu přihlašovacích údajů uživatele , měla by být k další ochraně provozu RADIUS mezi zařízením NAS a serverem RADIUS použita další ochrana, například tunely IPsec nebo fyzicky zabezpečené sítě datových center. Kromě toho jsou bezpečnostní údaje uživatele jedinou částí chráněnou samotným RADIUS, ale další atributy specifické pro uživatele, jako jsou ID skupin tunelů nebo členství ve VLAN přenesené přes RADIUS, lze považovat za citlivé (užitečné pro útočníka) nebo soukromé (dostatečné k identifikaci informace o individuálním klientovi). Protokol RadSec tvrdí, že řeší výše uvedené problémy se zabezpečením.

Dějiny

Jako další dial-up uživatelé používali NSFNet žádost o návrh byl rozeslán podle Merit Network v roce 1991 ke konsolidaci jejich různé proprietární autentizace, autorizace a účetních systémech. Mezi prvními respondenty byl Livingston Enterprises a po schůzce byla napsána raná verze RADIUS. Dřívější server RADIUS byl nainstalován na operační systém UNIX . Společnost Livingston Enterprises získala společnost Lucent a společně s Merit byly podniknuty kroky k získání přijetí průmyslu pro protokol RADIUS. Obě společnosti nabízely server RADIUS zdarma. RADIUS byl v roce 1997 vydán jako RFC 2058 a RFC 2059, aktuální verze jsou RFC 2865 a RFC 2866.

Původní standard RADIUS určoval, že RADIUS je bezstavový a měl by běžet přes protokol UDP ( User Datagram Protocol ). Pro ověřování se předpokládalo, že RADIUS by měl podporovat protokol AAP pro ověřování hesel (PAP) a protokol CHAP ( Challenge-Handshake Authentication Protocol ) přes protokol Point-to-Point . Hesla jsou skrytá tím, že se vezme hash paketu MD5 a sdílené tajemství, a poté se XORuje tento hash heslem. Původní RADIUS také poskytoval více než 50 párů atribut-hodnota, přičemž prodejci měli možnost konfigurovat své vlastní páry.

Volba modelu zabezpečení hop-by-hop namísto šifrování typu end-to-end znamenala, že pokud se používá několik serverů proxy RADIUS, každý server musí prozkoumat, provést logiku a předat všechna data v požadavku. Při každém skoku se tak odhalí data, jako jsou hesla a certifikáty. Servery RADIUS také neměly možnost zastavit přístup k prostředkům, jakmile byla vydána autorizace. Následné standardy, jako je RFC 3576 a jeho nástupce RFC 5176, umožňovaly serverům RADIUS dynamicky měnit autorizaci uživatelů nebo úplně odpojit uživatele.

Nyní existuje několik komerčních a open-source serverů RADIUS. Funkce se mohou lišit, ale většina může uživatele vyhledat v textových souborech, na serverech LDAP , v různých databázích atd. Účetní záznamy lze zapisovat do textových souborů, různých databází, přeposílat na externí servery atd. SNMP se často používá pro vzdálené monitorování a průběžná kontrola serveru RADIUS. Servery proxy RADIUS se používají k centralizované správě a mohou z bezpečnostních důvodů za běhu přepisovat pakety RADIUS nebo převádět mezi dialekty dodavatele.

Protokol o průměru byl určen jako náhrada za RADIUS. Zatímco oba jsou protokoly ověřování, autorizace a účetnictví (AAA), případy použití těchto dvou protokolů se od té doby rozcházejí. Průměr je do značné míry používán v prostoru 3G . RADIUS se používá jinde. Jednou z největších překážek nahrazení RADIUS průměrem je, že přepínače a přístupové body obvykle implementují RADIUS, ale ne průměr. Průměr používá SCTP nebo TCP, zatímco RADIUS obvykle používá UDP jako transportní vrstvu . Od roku 2012 může RADIUS také používat TCP jako transportní vrstvu s TLS pro zabezpečení.

Dokumentace standardů

Protokol RADIUS je aktuálně definován v následujících dokumentech IETF RFC.

RFC Titul Datum zveřejnění Související článek Související RFC Poznámky
RFC 2058 Služba vzdáleného ověřování vytáčení v uživatelské službě (RADIUS) Leden 1997 POLOMĚR Zastaralé RFC 2138
RFC 2059 RADIUS účetnictví Leden 1997 POLOMĚR Zastaralé RFC 2139
RFC 2138 Služba vzdáleného ověřování vytáčení v uživatelské službě (RADIUS) Duben 1997 POLOMĚR Zastaralé RFC 2865
RFC 2139 RADIUS účetnictví Duben 1997 POLOMĚR Zastaralé RFC 2866
RFC 2548 Atributy RADIUS specifické pro dodavatele společnosti Microsoft Března 1999 POLOMĚR
RFC 2607 Řetězení proxy a implementace zásad v roamingu Června 1999
RFC 2618 RADIUS Authentication Client MIB Informační základna managementu Zastaralé RFC 4668
RFC 2619 RADIUS Authentication Server MIB Informační základna managementu Zastaralé RFC 4669
RFC 2620 RADIUS účetního klienta MIB Června 1999 Informační základna managementu Zastaralé RFC 4670
RFC 2621 RADIUS Accounting Server MIB Června 1999 Informační základna managementu Zastaralé RFC 4671
RFC 2809 Implementace povinného tunelování L2TP přes RADIUS Duben 2000
RFC 2865 Služba vzdáleného ověřování vytáčení v uživatelské službě (RADIUS) Června 2000 POLOMĚR Aktualizováno RFC 2868, RFC 3575, RFC 5080 Tento standard popisuje ověřování RADIUS a autorizaci mezi serverem Network Access Server (NAS) a sdíleným ověřovacím serverem RADIUS. Tento protokol se také používá k přenosu konfiguračních informací ze serveru RADIUS na NAS.
RFC 2866 RADIUS účetnictví Června 2000 POLOMĚR Tento standard popisuje, jak jsou účetní informace přenášeny z NAS na sdílený účetní server RADIUS.
RFC 2867 Účetní úpravy RADIUS pro podporu tunelového protokolu Června 2000 POLOMĚR Aktualizace RFC 2866
RFC 2868 Atributy RADIUS pro podporu tunelového protokolu Června 2000 Aktualizuje RFC 2865
RFC 2869 Rozšíření RADIUS Června 2000 Aktualizováno RFC 3579, RFC 5080
RFC 2882 Požadavky na servery pro přístup k síti: Rozšířené postupy RADIUS Července 2000
RFC 3162 RADIUS a IPv6 Srpna 2001
RFC 3575 Úvahy IANA pro RADIUS Červenec 2003
RFC 3576 Rozšíření dynamické autorizace do RADIUS Červenec 2003 Zastaralé RFC 5176
RFC 3579 Podpora RADIUS pro EAP Září 2003 Protokol Extensible Authentication Protocol Aktualizace RFC 2869
RFC 3580 Pokyny k použití IEEE 802.1X RADIUS Září 2003 802.1X
RFC 4014 Volba atributů RADIUS pro možnost Informace o agentu DHCP Relay Agent Únor 2005
RFC 4372 Identita poplatníka Leden 2006
RFC 4590 Rozšíření RADIUS pro autentizaci Digest Červenec 2006 Zastaralé RFC 5090
RFC 4668 RADIUS Authentication Client MIB pro IPv6 Srpna 2006 Informační základna managementu
RFC 4669 RADIUS Authentication Server MIB pro IPv6 Srpna 2006 Informační základna managementu
RFC 4670 RADIUS MIB účetního klienta pro IPv6 Srpna 2006 Informační základna managementu
RFC 4671 RADIUS Accounting Server MIB pro IPv6 Srpna 2006 Informační základna managementu
RFC 4675 Atributy RADIUS pro virtuální LAN a prioritní podporu Září 2006
RFC 4679 Atributy RADIUS specifické pro DSL fórum Září 2006
RFC 4818 Atribut RADIUS Delegated-IPv6-Prefix Duben 2007
RFC 4849 Atribut pravidla filtru RADIUS Duben 2007
RFC 5080 Běžné problémy s implementací RADIUS a navrhované opravy Prosinec 2007 Aktualizace RFC 3579
RFC 5090 Rozšíření RADIUS pro autentizaci Digest Únor 2008
RFC 5176 Rozšíření dynamické autorizace do RADIUS Leden 2008
RFC 5607 Autorizace RADIUS pro správu NAS Červenec 2009
RFC 5997 Použití paketů Status-Server v protokolu RADIUS Srpna 2010 Aktualizace RFC 2866
RFC 6158 Pokyny k návrhu RADIUS Březen 2011
RFC 6218 Atributy RADIUS specifické pro dodavatele Cisco pro dodání klíčovacího materiálu Duben 2011
RFC 6421 Požadavky na kryptoaktivitu pro službu vzdáleného ověřování telefonického připojení uživatele (RADIUS) Listopad 2011
RFC 6613 RADIUS přes TCP Květen 2012 Experimentální
RFC 6614 Šifrování Transport Layer Security (TLS) pro RADIUS Květen 2012 Experimentální
RFC 6911 Atributy RADIUS pro přístupové sítě IPv6 duben 2013 Sledování standardů
RFC 6929 Rozšíření protokolu RADIUS (Remote Authentication Dial-In User Service) duben 2013 Aktualizace RFC 2865, RFC 3575, RFC 6158
RFC 7360 Datagram Transport Layer Security (DTLS) jako transportní vrstva pro RADIUS Září 2014 Experimentální
RFC 7585 Dynamic Peer Discovery pro RADIUS/TLS a RADIUS/DTLS na základě Network Access Identifier (NAI) Říjen 2015 Experimentální
RFC 8044 Datové typy v RADIUS Leden 2017 Aktualizace: 2865, 3162, 4072, 6158, 6572, 7268
RFC 8559 Proxyování dynamické autorizace v protokolu RADIUS Duben 2019 Sledování standardů

Viz také

Reference

Bibliografie

externí odkazy