Upload
heinz-blender
View
102
Download
0
Embed Size (px)
Citation preview
Ein Realisierungsversuch
Inhalt1. Motivation2. Theorie3. Konfiguration4. Praxis5. Fazit & Ausblick6. Quellen7. Fragen
11.01.2008 Radius - Thomas Vollmer 2
11.01.2008 Radius - Thomas Vollmer 3
1. MotivationZugang gesicherter NetzwerkeRemote Access von Userngroßes Authentifizierungsproblemflexiblen Remotezugriff über verschiedene
NAS ein zentraler Authentifizierungsserver
11.01.2008 Radius - Thomas Vollmer 4
1. Motivation
11.01.2008 5Radius - Thomas Vollmer
11.01.2008 Radius - Thomas Vollmer 6
RadiusRemote Authentication Dial-In User Service4 Hauptkriterien
Client/Server ModelNetzwerk SicherheitFlexibler zentraler
AuthentifizierungsmechanismusErweiterbares Protokoll
AAAAuthentifizierung - identifizierenAutorisierung - welche DiensteAbrechnung - in welchem Umfang
11.01.2008 7Radius - Thomas Vollmer
Geschichte Livingston Enterprises für Network Access
Server1997 veröffentlichtISP’s Zuerst in RFC 2058 und RFC 2059Aktuell RFC 2865 bis 2869, seit Juni 2000Software: FreeRadius, WinRadius, M$ IAS
11.01.2008 Radius - Thomas Vollmer 8
IEEE 802.1XStandard zur Authentifizierung und
Autorisierung RADIUS "de-facto“Authentifizierungserver in
802.1xkeine eigenen Authentisierungsprotokolle
definiert Extensible Authentication Protocol (EAP)
Windows - Linux – Mac Unterstützung
11.01.2008 9Radius - Thomas Vollmer
Theorie - Anmeldeablauf
EAP EAP
RADIUS
11.01.2008 10Radius - Thomas Vollmer
Theorie - Anmeldeablauf
11.01.2008 Radius - Thomas Vollmer 11
Theorie – EAP?Extensible Authentication ProtocolRFC3748Optimiertes Transportprotokoll für
AuthentifizierungEAP benutzt data link layer, ohne IP
11.01.2008 12Radius - Thomas Vollmer
Theorie – EAP?Verfahren
EAP-MD5, Lightweight EAP, EAP-MSCHAPv2Zertifikate: EAP-TLS, EAP-TTLS, Protected
EAP (PEAP)
ErmöglichtSmart-Cards, Public Key, One Time Passwords,
etc …
RADIUS nur Transportprotokoll für EAP
11.01.2008 13Radius - Thomas Vollmer
Theorie – EAP?
•Code:• 1 Request• 2 Response• 3 Success• 4 Failure
•Identifier: • 1 octet, • verknüpft Anfrage und Antwort• Duplikaterkennung
•Length: • min 20 max.4096• < verworfen• > abgeschnitten
•Type•1 Identity •2 Notification •3 Nak (Response only) •4 MD5-Challenge •5 One Time Password (OTP)• 6 Generic Token Card (GTC) •254 Expanded Types •255 Experimental use
•Type-Data•Werte zu dem Typ
11.01.2008 14Radius - Thomas Vollmer
Theorie - Radiusprotkoll?In UDP-Packet
Timing, verbindungslos, vereinfachtRADIUS packet im UDP Datenfeld UDP Zielportfeld 1812 (dezimal). Quell- und Zielport vertauscht bei Antwort
MD5 für sichere Passwörter„Secret“ zur Authentifizierung der Pakete
11.01.2008 15Radius - Thomas Vollmer
Theorie - Radiusprotkoll?
•Code: • 1 Access-Request •2 Access-Accept • 3 Access-Reject •4 Accounting-Request • 5 Accounting-Response • 11 Access-Challenge • 12 Status-Server (experimental) • 13 Status-Client (experimental) • 255 Reserved
•Attributes: z.B.• 1 User-Name • 2 User-Password
•Identifier: • 1 octet, • verknüpft Anfrage und Antwort• Duplikaterkennung
•Length: • min 20 max. 4096• < verworfen• > abgeschnitten
•Authenticator:• Request• Response•MD5 Hash
11.01.2008 16Radius - Thomas Vollmer
11.01.2008 Radius - Thomas Vollmer 17
Testaufbau
Windows XP CISCO 3560G WinRadius
11.01.2008 18Radius - Thomas Vollmer
Konfiguration – CiscoCisco Catalyst 3560GZugriff per
WebinterfaceCLITelnetCisco Network Assistant
Probleme 31 OS-Releases mit diversen Feature-SetsDokumentation nur auf EnglischAAA und 802.1x nur über CLI
11.01.2008 19Radius - Thomas Vollmer
Konfiguration – Cisco1. 802.1x und AAA aktivieren
Router# configure terminalRouter(config)# dot1x system-auth-controlRouter(config)# aaa new-modelRouter(config)# aaa authentication dot1x
default group radius
11.01.2008 20Radius - Thomas Vollmer
Konfiguration - Cisco2. Radius Server einrichten
Router# configure terminalRouter(config)# radius-server host
149.205.61.201 Router(config)# radius-server auth-port 1812
Router(config)# radius-server acct-port 1813 Router(config)# radius-server key test_secretRouter(config)# aaa accounting dot1x default
start-stop group radiusRouter(config)# aaa accounting system default
start-stop group radiusRouter(config)# end
11.01.2008 21Radius - Thomas Vollmer
Konfiguration - Cisco3. Port anpassen
Router(config)# interface GigabitEthernet0/19
Router(config-if)# switchport mode accessRouter(config-if)# dot1x pae authenticatorRouter(config-if)# dot1x port-control autoRouter(config-if)# end
11.01.2008 22Radius - Thomas Vollmer
Konfiguration – RADIUSWinRadius Kostenlos, einfache Konfiguration
InstallierenDatenbank anmeldenSecret/Ports festlegenUser anlegenStarten
11.01.2008 23Radius - Thomas Vollmer
Konfiguration – RADIUSDatenbank anmelden
11.01.2008 24Radius - Thomas Vollmer
Konfiguration – RADIUSSecret vergeben
11.01.2008 25Radius - Thomas Vollmer
Konfiguration – RADIUSUser anlegen
radius test
test
11.01.2008 26Radius - Thomas Vollmer
Konfiguration – RADIUSWinRadius starten
11.01.2008 27Radius - Thomas Vollmer
Konfiguration – WindowsNetzwerkkarte konfigurieren
11.01.2008 28Radius - Thomas Vollmer
11.01.2008 Radius - Thomas Vollmer 29
Anmeldeablauf1. Logindaten angeben2. Datenaustausch per EAPoL3. Authentifikator leitet Access-Request an Radius
Server weiter Name, Passwort (MD5), Client ID, Port ID
4. Secretvergleich5. Datenbankanfrage6. Radius antwortet
Access- Reject Access-Challenge /Response Access-Accept
7. Authentifikator schaltet Port (nicht) frei
11.01.2008 30Radius - Thomas Vollmer
PraxisAnmeldung mit MD5-Challenge
11.01.2008 31Radius - Thomas Vollmer
Praxis
11.01.2008 32Radius - Thomas Vollmer
Switch – Client Kommunikation per EAP
Praxis
11.01.2008 33Radius - Thomas Vollmer
Switch – Client Kommunikation per EAP
Praxis
11.01.2008 34Radius - Thomas Vollmer
Switch – Client Kommunikation per EAP
PraxisAblauf
11.01.2008 35Radius - Thomas Vollmer
Praxis
11.01.2008 Radius - Thomas Vollmer 36
Switch
Praxis
11.01.2008 37Radius - Thomas Vollmer
Windows
Praxis
11.01.2008 38Radius - Thomas Vollmer
Switch – Client Kommunikation per EAP
Praxis
oder
11.01.2008 39Radius - Thomas Vollmer
Windows
Praxis
11.01.2008 40Radius - Thomas Vollmer
Client – Switch Kommunikation per EAP
Praxis
11.01.2008 41Radius - Thomas Vollmer
Switch - Radius Kommunikation per Radius
Praxis
Radius-Server
11.01.2008 42Radius - Thomas Vollmer
Praxis
11.01.2008 43Radius - Thomas Vollmer
Radius – Switch Kommunikation per Radius
Praxis
11.01.2008 44Radius - Thomas Vollmer
Switch - Radius Kommunikation per Radius
Praxis
11.01.2008 45Radius - Thomas Vollmer
Radius – Switch Kommunikation per Radius
Praxis
11.01.2008 46Radius - Thomas Vollmer
Switch - Client Kommunikation per EAP
Praxis
11.01.2008 Radius - Thomas Vollmer 47
Switch
Praxis
11.01.2008 48Radius - Thomas Vollmer
Windows
11.01.2008 Radius - Thomas Vollmer 49
Fazit & AusblickFazit
Hohes Maß an SicherheitZentraler ServerSchwer konfigurierbarLange Einarbeitungszeit
AusblickDiameter - TCPMicrosoft & Juniper Cisco ACS
11.01.2008 Radius - Thomas Vollmer 50
11.01.2008 Radius - Thomas Vollmer 51
Quellenwww.Cisco.comwww.ietf.orgtechnet2.Microsoft.comwww.informatik.uni-hamburg.dehttp://tldp.org/HOWTO/8021X-HOWTO/
index.html http://www.uni-koblenz.de/~steigner/
seminar-wlan/4-feldmann.pdfwww.wikipedia.dewww.wireshark.org
11.01.2008 Radius - Thomas Vollmer 52
Fragen?
11.01.2008 Radius - Thomas Vollmer 53