Ein Realisierungsversuch. Inhalt 1. Motivation 2. Theorie 3. Konfiguration 4. Praxis 5. Fazit & Ausblick 6. Quellen 7. Fragen 11.01.2008Radius - Thomas

Ein Realisierungsversuch

Inhalt1. Motivation2. Theorie3. Konfiguration4. Praxis5. Fazit & Ausblick6. Quellen7. Fragen

11.01.2008 Radius - Thomas Vollmer 2


1. MotivationZugang gesicherter NetzwerkeRemote Access von Userngroßes Authentifizierungsproblemflexiblen Remotezugriff über verschiedene

NAS ein zentraler Authentifizierungsserver


1. Motivation

11.01.2008 5Radius - Thomas Vollmer


RadiusRemote Authentication Dial-In User Service4 Hauptkriterien

Client/Server ModelNetzwerk SicherheitFlexibler zentraler

AuthentifizierungsmechanismusErweiterbares Protokoll

AAAAuthentifizierung - identifizierenAutorisierung - welche DiensteAbrechnung - in welchem Umfang


Geschichte Livingston Enterprises für Network Access

Server1997 veröffentlichtISP’s Zuerst in RFC 2058 und RFC 2059Aktuell RFC 2865 bis 2869, seit Juni 2000Software: FreeRadius, WinRadius, M$ IAS


IEEE 802.1XStandard zur Authentifizierung und

Autorisierung RADIUS "de-facto“Authentifizierungserver in

802.1xkeine eigenen Authentisierungsprotokolle

definiert Extensible Authentication Protocol (EAP)

Windows - Linux – Mac Unterstützung


Theorie - Anmeldeablauf

EAP EAP

RADIUS


Theorie - Anmeldeablauf


Theorie – EAP?Extensible Authentication ProtocolRFC3748Optimiertes Transportprotokoll für

AuthentifizierungEAP benutzt data link layer, ohne IP


Theorie – EAP?Verfahren

EAP-MD5, Lightweight EAP, EAP-MSCHAPv2Zertifikate: EAP-TLS, EAP-TTLS, Protected

EAP (PEAP)

ErmöglichtSmart-Cards, Public Key, One Time Passwords,

etc …

RADIUS nur Transportprotokoll für EAP


Theorie – EAP?

•Code:• 1 Request• 2 Response• 3 Success• 4 Failure

•Identifier: • 1 octet, • verknüpft Anfrage und Antwort• Duplikaterkennung

•Length: • min 20 max.4096• < verworfen• > abgeschnitten

•Type•1 Identity •2 Notification •3 Nak (Response only) •4 MD5-Challenge •5 One Time Password (OTP)• 6 Generic Token Card (GTC) •254 Expanded Types •255 Experimental use

•Type-Data•Werte zu dem Typ


Theorie - Radiusprotkoll?In UDP-Packet

Timing, verbindungslos, vereinfachtRADIUS packet im UDP Datenfeld UDP Zielportfeld 1812 (dezimal). Quell- und Zielport vertauscht bei Antwort

MD5 für sichere Passwörter„Secret“ zur Authentifizierung der Pakete


Theorie - Radiusprotkoll?

•Code: • 1 Access-Request •2 Access-Accept • 3 Access-Reject •4 Accounting-Request • 5 Accounting-Response • 11 Access-Challenge • 12 Status-Server (experimental) • 13 Status-Client (experimental) • 255 Reserved

•Attributes: z.B.• 1 User-Name • 2 User-Password

•Identifier: • 1 octet, • verknüpft Anfrage und Antwort• Duplikaterkennung

•Length: • min 20 max. 4096• < verworfen• > abgeschnitten

•Authenticator:• Request• Response•MD5 Hash



Testaufbau

Windows XP CISCO 3560G WinRadius


Konfiguration – CiscoCisco Catalyst 3560GZugriff per

WebinterfaceCLITelnetCisco Network Assistant

Probleme 31 OS-Releases mit diversen Feature-SetsDokumentation nur auf EnglischAAA und 802.1x nur über CLI


Konfiguration – Cisco1. 802.1x und AAA aktivieren

Router# configure terminalRouter(config)# dot1x system-auth-controlRouter(config)# aaa new-modelRouter(config)# aaa authentication dot1x

default group radius


Konfiguration - Cisco2. Radius Server einrichten

Router# configure terminalRouter(config)# radius-server host

149.205.61.201 Router(config)# radius-server auth-port 1812

Router(config)# radius-server acct-port 1813 Router(config)# radius-server key test_secretRouter(config)# aaa accounting dot1x default

start-stop group radiusRouter(config)# aaa accounting system default

start-stop group radiusRouter(config)# end


Konfiguration - Cisco3. Port anpassen

Router(config)# interface GigabitEthernet0/19

Router(config-if)# switchport mode accessRouter(config-if)# dot1x pae authenticatorRouter(config-if)# dot1x port-control autoRouter(config-if)# end


Konfiguration – RADIUSWinRadius Kostenlos, einfache Konfiguration

InstallierenDatenbank anmeldenSecret/Ports festlegenUser anlegenStarten


Konfiguration – RADIUSDatenbank anmelden


Konfiguration – RADIUSSecret vergeben


Konfiguration – RADIUSUser anlegen

radius test

test


Konfiguration – RADIUSWinRadius starten


Konfiguration – WindowsNetzwerkkarte konfigurieren



Anmeldeablauf1. Logindaten angeben2. Datenaustausch per EAPoL3. Authentifikator leitet Access-Request an Radius

Server weiter Name, Passwort (MD5), Client ID, Port ID

4. Secretvergleich5. Datenbankanfrage6. Radius antwortet

Access- Reject Access-Challenge /Response Access-Accept

7. Authentifikator schaltet Port (nicht) frei


PraxisAnmeldung mit MD5-Challenge


Praxis


Switch – Client Kommunikation per EAP

Praxis



Praxis



PraxisAblauf


Praxis


Switch

Praxis


Windows

Praxis



Praxis

oder


Windows

Praxis


Client – Switch Kommunikation per EAP

Praxis


Switch - Radius Kommunikation per Radius

Praxis

Radius-Server


Praxis


Radius – Switch Kommunikation per Radius

Praxis


Switch - Radius Kommunikation per Radius

Praxis


Radius – Switch Kommunikation per Radius

Praxis


Switch - Client Kommunikation per EAP

Praxis


Switch

Praxis


Windows


Fazit & AusblickFazit

Hohes Maß an SicherheitZentraler ServerSchwer konfigurierbarLange Einarbeitungszeit

AusblickDiameter - TCPMicrosoft & Juniper Cisco ACS



Quellenwww.Cisco.comwww.ietf.orgtechnet2.Microsoft.comwww.informatik.uni-hamburg.dehttp://tldp.org/HOWTO/8021X-HOWTO/

index.html http://www.uni-koblenz.de/~steigner/

seminar-wlan/4-feldmann.pdfwww.wikipedia.dewww.wireshark.org


Fragen?


Documents

Ein Realisierungsversuch. Inhalt 1. Motivation 2. Theorie 3. Konfiguration 4. Praxis 5. Fazit & Ausblick 6. Quellen 7. Fragen 11.01.2008Radius - Thomas