Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Ein Realisierungsversuch. Inhalt 1. Motivation 2. Theorie 3. Konfiguration 4. Praxis 5. Fazit & Ausblick 6. Quellen 7. Fragen 11.01.2008Radius - Thomas.

Ähnliche Präsentationen


Präsentation zum Thema: "Ein Realisierungsversuch. Inhalt 1. Motivation 2. Theorie 3. Konfiguration 4. Praxis 5. Fazit & Ausblick 6. Quellen 7. Fragen 11.01.2008Radius - Thomas."—  Präsentation transkript:

1 Ein Realisierungsversuch

2 Inhalt 1. Motivation 2. Theorie 3. Konfiguration 4. Praxis 5. Fazit & Ausblick 6. Quellen 7. Fragen Radius - Thomas Vollmer2

3 Radius - Thomas Vollmer3

4 1. Motivation Zugang gesicherter Netzwerke Remote Access von Usern großes Authentifizierungsproblem flexiblen Remotezugriff über verschiedene NAS ein zentraler Authentifizierungsserver Radius - Thomas Vollmer4

5 1. Motivation Radius - Thomas Vollmer

6 Radius - Thomas Vollmer6

7 Radius Remote Authentication Dial-In User Service 4 Hauptkriterien Client/Server Model Netzwerk Sicherheit Flexibler zentraler Authentifizierungsmechanismus Erweiterbares Protokoll AAA Authentifizierung - identifizieren Autorisierung - welche Dienste Abrechnung - in welchem Umfang Radius - Thomas Vollmer

8 Geschichte Livingston Enterprises für Network Access Server 1997 veröffentlicht ISPs Zuerst in RFC 2058 und RFC 2059 Aktuell RFC 2865 bis 2869, seit Juni 2000 Software: FreeRadius, WinRadius, M$ IAS Radius - Thomas Vollmer8

9 IEEE 802.1X Standard zur Authentifizierung und Autorisierung RADIUS "de-factoAuthentifizierungserver in 802.1x keine eigenen Authentisierungsprotokolle definiert Extensible Authentication Protocol (EAP) Windows - Linux – Mac Unterstützung Radius - Thomas Vollmer

10 Theorie - Anmeldeablauf EAP RADIUS Radius - Thomas Vollmer

11 Theorie - Anmeldeablauf Radius - Thomas Vollmer11

12 Theorie – EAP? Extensible Authentication Protocol RFC3748 Optimiertes Transportprotokoll für Authentifizierung EAP benutzt data link layer, ohne IP Radius - Thomas Vollmer

13 Theorie – EAP? Verfahren EAP-MD5, Lightweight EAP, EAP-MSCHAPv2 Zertifikate: EAP-TLS, EAP-TTLS, Protected EAP (PEAP) Ermöglicht Smart-Cards, Public Key, One Time Passwords, etc … RADIUS nur Transportprotokoll für EAP Radius - Thomas Vollmer

14 Theorie – EAP? Code: 1 Request 2 Response 3 Success 4 Failure Identifier: 1 octet, verknüpft Anfrage und Antwort Duplikaterkennung Length: min 20 max.4096 < verworfen > abgeschnitten Type 1 Identity 2 Notification 3 Nak (Response only) 4 MD5-Challenge 5 One Time Password (OTP) 6 Generic Token Card (GTC) 254 Expanded Types 255 Experimental use Type-Data Werte zu dem Typ Radius - Thomas Vollmer

15 Theorie - Radiusprotkoll? In UDP-Packet Timing, verbindungslos, vereinfacht RADIUS packet im UDP Datenfeld UDP Zielportfeld 1812 (dezimal). Quell- und Zielport vertauscht bei Antwort MD5 für sichere Passwörter Secret zur Authentifizierung der Pakete Radius - Thomas Vollmer

16 Theorie - Radiusprotkoll? Code: 1 Access-Request 2 Access-Accept 3 Access-Reject 4 Accounting-Request 5 Accounting-Response 11 Access-Challenge 12 Status-Server (experimental) 13 Status-Client (experimental) 255 Reserved Attributes: z.B. 1 User-Name 2 User-Password Identifier: 1 octet, verknüpft Anfrage und Antwort Duplikaterkennung Length: min 20 max < verworfen > abgeschnitten Authenticator: Request Response MD5 Hash Radius - Thomas Vollmer

17 Radius - Thomas Vollmer17

18 Testaufbau Windows XPCISCO 3560GWinRadius Radius - Thomas Vollmer

19 Konfiguration – Cisco Cisco Catalyst 3560G Zugriff per Webinterface CLI Telnet Cisco Network Assistant Probleme 31 OS-Releases mit diversen Feature-Sets Dokumentation nur auf Englisch AAA und 802.1x nur über CLI Radius - Thomas Vollmer

20 Konfiguration – Cisco x und AAA aktivieren Router# configure terminal Router(config)# dot1x system-auth-control Router(config)# aaa new-model Router(config)# aaa authentication dot1x default group radius Radius - Thomas Vollmer

21 Konfiguration - Cisco 2. Radius Server einrichten Router# configure terminal Router(config)# radius-server host Router(config)# radius-server auth-port 1812 Router(config)# radius-server acct-port 1813 Router(config)# radius-server key test_secret Router(config)# aaa accounting dot1x default start- stop group radius Router(config)# aaa accounting system default start- stop group radius Router(config)# end Radius - Thomas Vollmer

22 Konfiguration - Cisco 3. Port anpassen Router(config)# interface GigabitEthernet0/19 Router(config-if)# switchport mode access Router(config-if)# dot1x pae authenticator Router(config-if)# dot1x port-control auto Router(config-if)# end Radius - Thomas Vollmer

23 Konfiguration – RADIUS WinRadius Kostenlos, einfache Konfiguration Installieren Datenbank anmelden Secret/Ports festlegen User anlegen Starten Radius - Thomas Vollmer

24 Konfiguration – RADIUS Datenbank anmelden Radius - Thomas Vollmer

25 Konfiguration – RADIUS Secret vergeben Radius - Thomas Vollmer

26 Konfiguration – RADIUS User anlegen radiustest Radius - Thomas Vollmer

27 Konfiguration – RADIUS WinRadius starten Radius - Thomas Vollmer

28 Konfiguration – Windows Netzwerkkarte konfigurieren Radius - Thomas Vollmer

29 Radius - Thomas Vollmer29

30 Anmeldeablauf 1. Logindaten angeben 2. Datenaustausch per EAPoL 3. Authentifikator leitet Access-Request an Radius Server weiter Name, Passwort (MD5), Client ID, Port ID 4. Secretvergleich 5. Datenbankanfrage 6. Radius antwortet Access- Reject Access-Challenge /Response Access-Accept 7. Authentifikator schaltet Port (nicht) frei Radius - Thomas Vollmer

31 Praxis Anmeldung mit MD5-Challenge Radius - Thomas Vollmer

32 Praxis Radius - Thomas Vollmer Switch – Client Kommunikation per EAP

33 Praxis Radius - Thomas Vollmer Switch – Client Kommunikation per EAP

34 Praxis Radius - Thomas Vollmer Switch – Client Kommunikation per EAP

35 Praxis Ablauf Radius - Thomas Vollmer

36 Praxis Radius - Thomas Vollmer36 Switch

37 Praxis Radius - Thomas Vollmer Windows

38 Praxis Radius - Thomas Vollmer Switch – Client Kommunikation per EAP

39 Praxis oder Radius - Thomas Vollmer Windows

40 Praxis Radius - Thomas Vollmer Client – Switch Kommunikation per EAP

41 Praxis Radius - Thomas Vollmer Switch - Radius Kommunikation per Radius

42 Praxis Radius-Server Radius - Thomas Vollmer

43 Praxis Radius - Thomas Vollmer Radius – Switch Kommunikation per Radius

44 Praxis Radius - Thomas Vollmer Switch - Radius Kommunikation per Radius

45 Praxis Radius - Thomas Vollmer Radius – Switch Kommunikation per Radius

46 Praxis Radius - Thomas Vollmer Switch - Client Kommunikation per EAP

47 Praxis Radius - Thomas Vollmer47 Switch

48 Praxis Radius - Thomas Vollmer Windows

49 Radius - Thomas Vollmer49

50 Fazit & Ausblick Fazit Hohes Maß an Sicherheit Zentraler Server Schwer konfigurierbar Lange Einarbeitungszeit Ausblick Diameter - TCP Microsoft & Juniper Cisco ACS Radius - Thomas Vollmer50

51 Radius - Thomas Vollmer51

52 Quellen technet2.Microsoft.com wlan/4-feldmann.pdf Radius - Thomas Vollmer52

53 Fragen? Radius - Thomas Vollmer53


Herunterladen ppt "Ein Realisierungsversuch. Inhalt 1. Motivation 2. Theorie 3. Konfiguration 4. Praxis 5. Fazit & Ausblick 6. Quellen 7. Fragen 11.01.2008Radius - Thomas."

Ähnliche Präsentationen


Google-Anzeigen