Präsentation herunterladen
Die Präsentation wird geladen. Bitte warten
1
Ein Realisierungsversuch
2
Inhalt 1. Motivation 2. Theorie 3. Konfiguration 4. Praxis 5. Fazit & Ausblick 6. Quellen 7. Fragen 11.01.2008Radius - Thomas Vollmer2
3
11.01.2008Radius - Thomas Vollmer3
4
1. Motivation Zugang gesicherter Netzwerke Remote Access von Usern großes Authentifizierungsproblem flexiblen Remotezugriff über verschiedene NAS ein zentraler Authentifizierungsserver 11.01.2008Radius - Thomas Vollmer4
5
1. Motivation 11.01.20085Radius - Thomas Vollmer
6
11.01.2008Radius - Thomas Vollmer6
7
Radius Remote Authentication Dial-In User Service 4 Hauptkriterien Client/Server Model Netzwerk Sicherheit Flexibler zentraler Authentifizierungsmechanismus Erweiterbares Protokoll AAA Authentifizierung - identifizieren Autorisierung - welche Dienste Abrechnung - in welchem Umfang 11.01.20087Radius - Thomas Vollmer
8
Geschichte Livingston Enterprises für Network Access Server 1997 veröffentlicht ISPs Zuerst in RFC 2058 und RFC 2059 Aktuell RFC 2865 bis 2869, seit Juni 2000 Software: FreeRadius, WinRadius, M$ IAS 11.01.2008Radius - Thomas Vollmer8
9
IEEE 802.1X Standard zur Authentifizierung und Autorisierung RADIUS "de-factoAuthentifizierungserver in 802.1x keine eigenen Authentisierungsprotokolle definiert Extensible Authentication Protocol (EAP) Windows - Linux – Mac Unterstützung 11.01.20089Radius - Thomas Vollmer
10
Theorie - Anmeldeablauf EAP RADIUS 11.01.200810Radius - Thomas Vollmer
11
Theorie - Anmeldeablauf 11.01.2008Radius - Thomas Vollmer11
12
Theorie – EAP? Extensible Authentication Protocol RFC3748 Optimiertes Transportprotokoll für Authentifizierung EAP benutzt data link layer, ohne IP 11.01.200812Radius - Thomas Vollmer
13
Theorie – EAP? Verfahren EAP-MD5, Lightweight EAP, EAP-MSCHAPv2 Zertifikate: EAP-TLS, EAP-TTLS, Protected EAP (PEAP) Ermöglicht Smart-Cards, Public Key, One Time Passwords, etc … RADIUS nur Transportprotokoll für EAP 11.01.200813Radius - Thomas Vollmer
14
Theorie – EAP? Code: 1 Request 2 Response 3 Success 4 Failure Identifier: 1 octet, verknüpft Anfrage und Antwort Duplikaterkennung Length: min 20 max.4096 < verworfen > abgeschnitten Type 1 Identity 2 Notification 3 Nak (Response only) 4 MD5-Challenge 5 One Time Password (OTP) 6 Generic Token Card (GTC) 254 Expanded Types 255 Experimental use Type-Data Werte zu dem Typ 11.01.200814Radius - Thomas Vollmer
15
Theorie - Radiusprotkoll? In UDP-Packet Timing, verbindungslos, vereinfacht RADIUS packet im UDP Datenfeld UDP Zielportfeld 1812 (dezimal). Quell- und Zielport vertauscht bei Antwort MD5 für sichere Passwörter Secret zur Authentifizierung der Pakete 11.01.200815Radius - Thomas Vollmer
16
Theorie - Radiusprotkoll? Code: 1 Access-Request 2 Access-Accept 3 Access-Reject 4 Accounting-Request 5 Accounting-Response 11 Access-Challenge 12 Status-Server (experimental) 13 Status-Client (experimental) 255 Reserved Attributes: z.B. 1 User-Name 2 User-Password Identifier: 1 octet, verknüpft Anfrage und Antwort Duplikaterkennung Length: min 20 max. 4096 < verworfen > abgeschnitten Authenticator: Request Response MD5 Hash 11.01.200816Radius - Thomas Vollmer
17
11.01.2008Radius - Thomas Vollmer17
18
Testaufbau Windows XPCISCO 3560GWinRadius 11.01.200818Radius - Thomas Vollmer
19
Konfiguration – Cisco Cisco Catalyst 3560G Zugriff per Webinterface CLI Telnet Cisco Network Assistant Probleme 31 OS-Releases mit diversen Feature-Sets Dokumentation nur auf Englisch AAA und 802.1x nur über CLI 11.01.200819Radius - Thomas Vollmer
20
Konfiguration – Cisco 1. 802.1x und AAA aktivieren Router# configure terminal Router(config)# dot1x system-auth-control Router(config)# aaa new-model Router(config)# aaa authentication dot1x default group radius 11.01.200820Radius - Thomas Vollmer
21
Konfiguration - Cisco 2. Radius Server einrichten Router# configure terminal Router(config)# radius-server host 149.205.61.201 Router(config)# radius-server auth-port 1812 Router(config)# radius-server acct-port 1813 Router(config)# radius-server key test_secret Router(config)# aaa accounting dot1x default start- stop group radius Router(config)# aaa accounting system default start- stop group radius Router(config)# end 11.01.200821Radius - Thomas Vollmer
22
Konfiguration - Cisco 3. Port anpassen Router(config)# interface GigabitEthernet0/19 Router(config-if)# switchport mode access Router(config-if)# dot1x pae authenticator Router(config-if)# dot1x port-control auto Router(config-if)# end 11.01.200822Radius - Thomas Vollmer
23
Konfiguration – RADIUS WinRadius Kostenlos, einfache Konfiguration Installieren Datenbank anmelden Secret/Ports festlegen User anlegen Starten 11.01.200823Radius - Thomas Vollmer
24
Konfiguration – RADIUS Datenbank anmelden 11.01.200824Radius - Thomas Vollmer
25
Konfiguration – RADIUS Secret vergeben 11.01.200825Radius - Thomas Vollmer
26
Konfiguration – RADIUS User anlegen radiustest 11.01.200826Radius - Thomas Vollmer
27
Konfiguration – RADIUS WinRadius starten 11.01.200827Radius - Thomas Vollmer
28
Konfiguration – Windows Netzwerkkarte konfigurieren 11.01.200828Radius - Thomas Vollmer
29
11.01.2008Radius - Thomas Vollmer29
30
Anmeldeablauf 1. Logindaten angeben 2. Datenaustausch per EAPoL 3. Authentifikator leitet Access-Request an Radius Server weiter Name, Passwort (MD5), Client ID, Port ID 4. Secretvergleich 5. Datenbankanfrage 6. Radius antwortet Access- Reject Access-Challenge /Response Access-Accept 7. Authentifikator schaltet Port (nicht) frei 11.01.200830Radius - Thomas Vollmer
31
Praxis Anmeldung mit MD5-Challenge 11.01.200831Radius - Thomas Vollmer
32
Praxis 11.01.200832Radius - Thomas Vollmer Switch – Client Kommunikation per EAP
33
Praxis 11.01.200833Radius - Thomas Vollmer Switch – Client Kommunikation per EAP
34
Praxis 11.01.200834Radius - Thomas Vollmer Switch – Client Kommunikation per EAP
35
Praxis Ablauf 11.01.200835Radius - Thomas Vollmer
36
Praxis 11.01.2008Radius - Thomas Vollmer36 Switch
37
Praxis 11.01.200837Radius - Thomas Vollmer Windows
38
Praxis 11.01.200838Radius - Thomas Vollmer Switch – Client Kommunikation per EAP
39
Praxis oder 11.01.200839Radius - Thomas Vollmer Windows
40
Praxis 11.01.200840Radius - Thomas Vollmer Client – Switch Kommunikation per EAP
41
Praxis 11.01.200841Radius - Thomas Vollmer Switch - Radius Kommunikation per Radius
42
Praxis Radius-Server 11.01.200842Radius - Thomas Vollmer
43
Praxis 11.01.200843Radius - Thomas Vollmer Radius – Switch Kommunikation per Radius
44
Praxis 11.01.200844Radius - Thomas Vollmer Switch - Radius Kommunikation per Radius
45
Praxis 11.01.200845Radius - Thomas Vollmer Radius – Switch Kommunikation per Radius
46
Praxis 11.01.200846Radius - Thomas Vollmer Switch - Client Kommunikation per EAP
47
Praxis 11.01.2008Radius - Thomas Vollmer47 Switch
48
Praxis 11.01.200848Radius - Thomas Vollmer Windows
49
11.01.2008Radius - Thomas Vollmer49
50
Fazit & Ausblick Fazit Hohes Maß an Sicherheit Zentraler Server Schwer konfigurierbar Lange Einarbeitungszeit Ausblick Diameter - TCP Microsoft & Juniper Cisco ACS 11.01.2008Radius - Thomas Vollmer50
51
11.01.2008Radius - Thomas Vollmer51
52
Quellen www.Cisco.com www.ietf.org technet2.Microsoft.com www.informatik.uni-hamburg.de http://tldp.org/HOWTO/8021X-HOWTO/index.html http://www.uni-koblenz.de/~steigner/seminar- wlan/4-feldmann.pdf www.wikipedia.de www.wireshark.org 11.01.2008Radius - Thomas Vollmer52
53
Fragen? 11.01.2008Radius - Thomas Vollmer53
Ähnliche Präsentationen
