Ein Realisierungsversuch
Inhalt 1. Motivation 2. Theorie 3. Konfiguration 4. Praxis 5. Fazit & Ausblick 6. Quellen 7. Fragen Radius - Thomas Vollmer2
Radius - Thomas Vollmer3
1. Motivation Zugang gesicherter Netzwerke Remote Access von Usern großes Authentifizierungsproblem flexiblen Remotezugriff über verschiedene NAS ein zentraler Authentifizierungsserver Radius - Thomas Vollmer4
1. Motivation Radius - Thomas Vollmer
Radius - Thomas Vollmer6
Radius Remote Authentication Dial-In User Service 4 Hauptkriterien Client/Server Model Netzwerk Sicherheit Flexibler zentraler Authentifizierungsmechanismus Erweiterbares Protokoll AAA Authentifizierung - identifizieren Autorisierung - welche Dienste Abrechnung - in welchem Umfang Radius - Thomas Vollmer
Geschichte Livingston Enterprises für Network Access Server 1997 veröffentlicht ISPs Zuerst in RFC 2058 und RFC 2059 Aktuell RFC 2865 bis 2869, seit Juni 2000 Software: FreeRadius, WinRadius, M$ IAS Radius - Thomas Vollmer8
IEEE 802.1X Standard zur Authentifizierung und Autorisierung RADIUS "de-factoAuthentifizierungserver in 802.1x keine eigenen Authentisierungsprotokolle definiert Extensible Authentication Protocol (EAP) Windows - Linux – Mac Unterstützung Radius - Thomas Vollmer
Theorie - Anmeldeablauf EAP RADIUS Radius - Thomas Vollmer
Theorie - Anmeldeablauf Radius - Thomas Vollmer11
Theorie – EAP? Extensible Authentication Protocol RFC3748 Optimiertes Transportprotokoll für Authentifizierung EAP benutzt data link layer, ohne IP Radius - Thomas Vollmer
Theorie – EAP? Verfahren EAP-MD5, Lightweight EAP, EAP-MSCHAPv2 Zertifikate: EAP-TLS, EAP-TTLS, Protected EAP (PEAP) Ermöglicht Smart-Cards, Public Key, One Time Passwords, etc … RADIUS nur Transportprotokoll für EAP Radius - Thomas Vollmer
Theorie – EAP? Code: 1 Request 2 Response 3 Success 4 Failure Identifier: 1 octet, verknüpft Anfrage und Antwort Duplikaterkennung Length: min 20 max.4096 < verworfen > abgeschnitten Type 1 Identity 2 Notification 3 Nak (Response only) 4 MD5-Challenge 5 One Time Password (OTP) 6 Generic Token Card (GTC) 254 Expanded Types 255 Experimental use Type-Data Werte zu dem Typ Radius - Thomas Vollmer
Theorie - Radiusprotkoll? In UDP-Packet Timing, verbindungslos, vereinfacht RADIUS packet im UDP Datenfeld UDP Zielportfeld 1812 (dezimal). Quell- und Zielport vertauscht bei Antwort MD5 für sichere Passwörter Secret zur Authentifizierung der Pakete Radius - Thomas Vollmer
Theorie - Radiusprotkoll? Code: 1 Access-Request 2 Access-Accept 3 Access-Reject 4 Accounting-Request 5 Accounting-Response 11 Access-Challenge 12 Status-Server (experimental) 13 Status-Client (experimental) 255 Reserved Attributes: z.B. 1 User-Name 2 User-Password Identifier: 1 octet, verknüpft Anfrage und Antwort Duplikaterkennung Length: min 20 max < verworfen > abgeschnitten Authenticator: Request Response MD5 Hash Radius - Thomas Vollmer
Radius - Thomas Vollmer17
Testaufbau Windows XPCISCO 3560GWinRadius Radius - Thomas Vollmer
Konfiguration – Cisco Cisco Catalyst 3560G Zugriff per Webinterface CLI Telnet Cisco Network Assistant Probleme 31 OS-Releases mit diversen Feature-Sets Dokumentation nur auf Englisch AAA und 802.1x nur über CLI Radius - Thomas Vollmer
Konfiguration – Cisco x und AAA aktivieren Router# configure terminal Router(config)# dot1x system-auth-control Router(config)# aaa new-model Router(config)# aaa authentication dot1x default group radius Radius - Thomas Vollmer
Konfiguration - Cisco 2. Radius Server einrichten Router# configure terminal Router(config)# radius-server host Router(config)# radius-server auth-port 1812 Router(config)# radius-server acct-port 1813 Router(config)# radius-server key test_secret Router(config)# aaa accounting dot1x default start- stop group radius Router(config)# aaa accounting system default start- stop group radius Router(config)# end Radius - Thomas Vollmer
Konfiguration - Cisco 3. Port anpassen Router(config)# interface GigabitEthernet0/19 Router(config-if)# switchport mode access Router(config-if)# dot1x pae authenticator Router(config-if)# dot1x port-control auto Router(config-if)# end Radius - Thomas Vollmer
Konfiguration – RADIUS WinRadius Kostenlos, einfache Konfiguration Installieren Datenbank anmelden Secret/Ports festlegen User anlegen Starten Radius - Thomas Vollmer
Konfiguration – RADIUS Datenbank anmelden Radius - Thomas Vollmer
Konfiguration – RADIUS Secret vergeben Radius - Thomas Vollmer
Konfiguration – RADIUS User anlegen radiustest Radius - Thomas Vollmer
Konfiguration – RADIUS WinRadius starten Radius - Thomas Vollmer
Konfiguration – Windows Netzwerkkarte konfigurieren Radius - Thomas Vollmer
Radius - Thomas Vollmer29
Anmeldeablauf 1. Logindaten angeben 2. Datenaustausch per EAPoL 3. Authentifikator leitet Access-Request an Radius Server weiter Name, Passwort (MD5), Client ID, Port ID 4. Secretvergleich 5. Datenbankanfrage 6. Radius antwortet Access- Reject Access-Challenge /Response Access-Accept 7. Authentifikator schaltet Port (nicht) frei Radius - Thomas Vollmer
Praxis Anmeldung mit MD5-Challenge Radius - Thomas Vollmer
Praxis Radius - Thomas Vollmer Switch – Client Kommunikation per EAP
Praxis Radius - Thomas Vollmer Switch – Client Kommunikation per EAP
Praxis Radius - Thomas Vollmer Switch – Client Kommunikation per EAP
Praxis Ablauf Radius - Thomas Vollmer
Praxis Radius - Thomas Vollmer36 Switch
Praxis Radius - Thomas Vollmer Windows
Praxis Radius - Thomas Vollmer Switch – Client Kommunikation per EAP
Praxis oder Radius - Thomas Vollmer Windows
Praxis Radius - Thomas Vollmer Client – Switch Kommunikation per EAP
Praxis Radius - Thomas Vollmer Switch - Radius Kommunikation per Radius
Praxis Radius-Server Radius - Thomas Vollmer
Praxis Radius - Thomas Vollmer Radius – Switch Kommunikation per Radius
Praxis Radius - Thomas Vollmer Switch - Radius Kommunikation per Radius
Praxis Radius - Thomas Vollmer Radius – Switch Kommunikation per Radius
Praxis Radius - Thomas Vollmer Switch - Client Kommunikation per EAP
Praxis Radius - Thomas Vollmer47 Switch
Praxis Radius - Thomas Vollmer Windows
Radius - Thomas Vollmer49
Fazit & Ausblick Fazit Hohes Maß an Sicherheit Zentraler Server Schwer konfigurierbar Lange Einarbeitungszeit Ausblick Diameter - TCP Microsoft & Juniper Cisco ACS Radius - Thomas Vollmer50
Radius - Thomas Vollmer51
Quellen technet2.Microsoft.com wlan/4-feldmann.pdf Radius - Thomas Vollmer52
Fragen? Radius - Thomas Vollmer53