Εγκατάσταση & Παραµετροποίηση Εξυπηρετητή Πιστοποίησης Χρηστών (Radius Server)

Σχετικά έγγραφα
3/27/2010. Ασφάλεια Ασύρματων & Κινητών Επικοινωνιών. Περιεχόμενα. ΑΑΑ εισαγωγή /1 IEEE

ΣΕΜΙΝΑΡΙΟ. ΠΑΡΟΥΣΙΑΣΗ 19/5/11 Αµφιθέατρο

Σχεδιασμός Εικονικών Δικτύων Ενότητα 5: Εικονικά Ιδιωτικά Δίκτυα Επιπέδου Ζεύξης Δεδομένων (Layer 2 VPNs)

Υλοποίηση σχημάτων ασφαλείας σε ασύρματα δίκτυα

Σχεδιασμός Εικονικών Δικτύων Ενότητα 9: Συγκριτική Παρουσίαση βασικών τεχνολογιών VPN

Ασφάλεια Ασύρματων & Κινητών Επικοινωνιών Γ.Κ.:Μάιος 2006

ΕΠΑΝΑΛΗΠΤΙΚΟ ΤΕΣΤ ΣΤΗΝ ΕΝΟΤΗΤΑ

Οµοσπονδία HEAL-Link. Παράρτηµα - 4. Εικονικός Οργανισµός Προέλευσης (VHO) Περιγραφή της υπηρεσίας. Πολιτική Εγγραφής

ΤΕΧΝΟΛΟΓΙΚΟ ΠΑΝΕΠΙΣΤΉΜΙΟ ΚYΠΡΟΥ

Web and HTTP. Βασικά Συστατικά: Web Server Web Browser HTTP Protocol

Π Τ Υ Χ Ι Α Κ Η Ε Ρ Γ Α Σ Ι Α

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ Δ Εξάμηνο

ΕΓΚΑΤΑΣΤΑΣΗ ΣΥΝΔΕΣΗΣ MS L2TP VPN

ΟΔΗΓΙΕΣ ΣΥΝΔΕΣΗΣ ΣΤΟ ΑΣΥΡΜΑΤΟ ΔΙΚΤΥΟ eduroam

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ Δ Εξάμηνο

ΠΑΝΕΠΙΣΤΗΜΙΟ ΠΕΙΡΑΙΩΣ

Διαχείριση Πληροφοριών στο Διαδίκτυο. Εργαστήριο 1

Α5.1 Εισαγωγή στα Δίκτυα. Α Λυκείου

Οδηγός Σύνδεσης στο Ασύρματο Δίκτυο cs-wifi του Τμήματος Πληροφορικής του Πανεπιστημίου Κύπρου για Windows 7, CentOS 6, Mac OS, IOS, και Android

Σχεδιασμός Εικονικών Δικτύων Ενότητα 4β: VPN on IPSec (Μέρος 2ο)

Ασφάλεια Υπολογιστικών Συστημάτων

Σχεδιασμός Εικονικών Δικτύων Ενότητα 4α: VPN on IPSec

Οδηγός σύνδεσης στο δίκτυο του ΤΕΠΑΚ μέσα από την υπηρεσία απομακρυσμένης πρόσβασης VPN Τεχνολογικό Πανεπιστήμιο Κύπρου

Extensible Authentication Protocol Διπλωματική Εργασία της Ζωής Η. Μουτοπούλου

ΕΛΕΥΘΕΡΙΑΔΟΥ ΕΥΜΟΡΦΥΛΗ. Μαϊος Virtual Private Networks

ΤΕΙ ΗΠΕΙΡΟΥ Τμήμα Τηλεπληροφορικής & Διοίκησης

Δίκτυα Υπολογιστών Ενότητα 6: Secure Sockets Layer - SSL

Οδηγίες. σύνδεση στο ασφαλές δίκτυο eduroam στα Vista/Windows 7

ΤΟ ΣΥΣΤΗΜΑ «ΕΡΜΗΣ» ΤΟΥ ΧΡΗΜΑΤΙΣΤΗΡΙΟΥ ΑΘΗΝΩΝ (ΧΑ) ΚΑΙ ΟΙ ΥΠΗΡΕΣΙΕΣ ΨΗΦΙΑΚΗΣ ΠΙΣΤΟΠΟΙΗΣΗΣ ΤΗΣ ΑΣΥΚ Α.Ε.

Επίπεδο δικτύου IP Forwading κτλ

Σύντομη παρουσίαση των εργαλείων/εντολών telnet, ping, traceroute nslookup και nmap, zenmap

ΤΕΧΝΟΛΟΓΙΚΟ ΠΑΝΕΠΙΣΤΉΜΙΟ ΚYΠΡΟΥ

Δίκτυα Υπολογιστών Firewalls. Χάρης Μανιφάβας

ΥΠΟΥΡΓΕΙΟ ΟΙΚΟΝΟΜΙΚΩΝ ΓΕΝΙΚΗ ΓΡΑΜΜΑΤΕΙΑ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ & ΔΙΟΙΚΗΤΙΚΗΣ ΥΠΟΣΤΗΡΙΞΗΣ. Οδηγίες χρήσης

ΥΠΗΡΕΣΙΑ ΠΛΗΡΟΦΟΡΙΚΩΝ ΣΥΣΤΗΜΑΤΩΝ ΤΟΜΕΑΣ ΔΙΚΤΥΩΝ ΚΑΙ ΤΗΛΕΠΙΚΟΙΝΩΝΙΩΝ

Οδηγός Σύνδεσης στο Ασύρματο Δίκτυο cs-wifi του Τμήματος Πληροφορικής του Πανεπιστημίου Κύπρου για Windows 7

Εθνική Σχολή Δημόσιας Υγείας Υγειονομική Σχολή Αθηνών ESDY. ασύρματο δίκτυο. Οδηγός Σύνδεσης.

Cryptography and Network Security Chapter 16. Fifth Edition by William Stallings

Συστήματα Διαχείρισης Κινδύνου στα Ασύρματα Δίκτυα. Επιμέλεια: Βασίλης Παλιούρας MSc Information Security, MCSA, CCDA, CCA

Εισαγωγή στην Πληροφορική

Ως Διαδίκτυο (Internet) ορίζεται το παγκόσμιο (διεθνές) δίκτυο ηλεκτρονικών υπολογιστών (international network).

Υπηρεσία Απομακρυσμένης Πρόσβασης VPN Οδηγός Εγκατάστασης και Διαμόρφωσης για χρήστες λειτουργικών συστημάτων MAC OS X

Απομακρυσμένη Πρόσβαση και Εντολές Ελέγχου και Υποστήριξης

PROXY SERVER. Άριστη πύλη διαχωρισμού μεταξύ του εσωτερικού δικτύου και του Internet.

Σκοπιµότητα των firewalls

Πρωτόκολλα Επικοινωνίας και Τείχος Προστασίας

ΥΠΗΡΕΣΙΑ ΠΛΗΡΟΦΟΡΙΚΩΝ ΣΥΣΤΗΜΑΤΩΝ ΤΟΜΕΑΣ ΔΙΚΤΥΩΝ ΚΑΙ ΤΗΛΕΠΙΚΟΙΝΩΝΙΩΝ

ΟΔΗΓΙΕΣ ΕΓΚΑΤΑΣΤΑΣΗΣ & ΔΙΑΣΥΝΔΕΣΗΣ CLIENT SECURE REMOTE ACCESS IP VPN

ΕΞΕΤΑΣΤΕΑ ΥΛΗ (SYLLABUS) ADVANCED σχεδιασμός ιστοσελίδας ΕΚΔΟΣΗ 1.0. Σόλωνος 108,Τηλ Φαξ

ΕΝΤΑΞΗ ΣΤΑΘΜΟΥ ΕΡΓΑΣΙΑΣ ΣΕ DOMAIN

Β. Μάγκλαρης 30/11/2015

Συσκευές Τηλεπικοινωνιών και Δικτύωσης. Επικοινωνίες Δεδομένων Μάθημα 9 ο

ΕΓΚΑΤΑΣΤΑΣΗ ΣΥΝ ΕΣΗΣ DIAL-UP ΣΕ ΛΕΙΤΟΥΡΓΙΚΟ ΣΥΣΤΗΜΑ WINDOWS XP

Πρόσκληση 10: Προηγμένες Τηλεματικές Υπηρεσίες Τ.Ε.Ι. Ηπείρου Δίκτυο Τ.Ε.Ι. Ηπείρου ΙΙ

Εργαστήριο Ασφάλεια Πληροφοριακών Συστημάτων SSL/TLS

Cryptography and Network Security Chapter 15

ΥΠΗΡΕΣΙΑ ΠΛΗΡΟΦΟΡΙΚΩΝ ΣΥΣΤΗΜΑΤΩΝ ΤΟΜΕΑΣ ΔΙΚΤΥΩΝ ΚΑΙ ΤΗΛΕΠΙΚΟΙΝΩΝΙΩΝ

Π Τ Υ Χ Ι Α Κ Η Ε Ρ Γ Α Σ Ι Α

Λογισµικό (Software SW) Λειτουργικά Συστήµατα και ίκτυα

ίκτυα υπολογιστών Στόχοι κεφαλαίου ίκτυα

Εισαγωγή στην Κρυπτολογία 3. Ασφάλεια Τηλεπικοινωνιακών Συστημάτων Κωδικός DIΤ114 Σταύρος ΝΙΚΟΛΟΠΟΥΛΟΣ

Συγχρηµατοδοτούµενο από το ΥΠΕΠΘ και την Ευρωπαϊκή Ένωση

Σχεδιασμός Εικονικών Δικτύων Ενότητα 6: Εικονικά Ιδιωτικά Δίκτυα Επιπέδου Μεταφοράς - Secure Sockets Layer (SSL) / Transport Layer Security (TLS)

ΤΕΙ ΗΠΕΙΡΟΥ. ΜΑΘΗΜΑ: Πρωτόκολλα Επικοινωνίας ιαδικτύου. Εξάµηνο: 3ον. Στεργίου Ελευθέριος

Οδηγίες Χρήσης EAP Controller Software

Οδηγίες Σύνδεσης Ασύρματου Δικτύου ΤΜΗΥ&Π. Οδηγίες Σύνδεσης για λοιπά Linux/Unix Συστήματα

Προετοιμασία σύνδεσης του modem. Εγκατάσταση του Modem

Βασικές Υπηρεσίες Διαδικτύου. Επικοινωνίες Δεδομένων Μάθημα 2 ο

Υλοποίηση Δικτυακών Υποδομών και Υπηρεσιών: Υπηρεσία Ηλεκτρονικού Ταχυδρομείου - SMTP

Οδηγίες. ρύθµιση λογαριασµού στο Microsoft Outlook 2007

Αρχιτεκτονικές Δικτύων & Πρωτόκολλα Ι

Σύνδεση μέσω VPN στο εσωτερικό Δίκτυο του ΑΛΣ-ΕΛΑΚΤ

Σχεδιασμός Εικονικών Δικτύων Ενότητα 2: Κατηγορίες VPN Τεχνολογίες VPN

1.2.2 Το μοντέλο δικτύωσης TCP/IP 1 / 26

Οδηγίες. σύνδεση στο ασφαλές δίκτυο eduroam στα Windows XP

Εφαρμογή Ηλεκτρονικής Διαχείρισης Μετεγγραφών

Β. Μάγκλαρης.

MICROSOFT NETMEETING

Ιόνιο Πανεπιστήµιο Τµήµα Αρχειονοµίας - Βιβλιοθηκονοµίας. Υπηρεσίες Internet. ίκτυα Η/Υ. Επίπεδο Εφαρµογής. Ενότητα θ

Network Address Translation (NAT)

Αν παρ όλα αυτά αντιμετωπίζετε πρόβλημα, επικοινωνήστε με το Κέντρο Δικτύου της ΑΣΠΑΙΤΕ Τηλ , , ,

Το διαδίκτυο είναι ένα δίκτυο που αποτελείτε από πολλά μικρότερα δίκτυα υπολογιστών.

ΤΕΧΝΟΛΟΓΙΚΟ ΠΑΝΕΠΙΣΤΉΜΙΟ ΚYΠΡΟΥ

Οδηγίες χρήσης της υπηρεσίας πιστοποιηµένης ασύρµατης πρόσβασης µε χρήση εικονικού ιδεατού δικτύου [UCNET-VPN]

Ασφάλεια Υπολογιστικών Συστηµάτων

ΤΕΙ ΗΠΕΙΡΟΥ. ΜΑΘΗΜΑ: Πρωτόκολλα Επικοινωνίας ιαδικτύου. Εξάµηνο: 3ον. Κεφάλαιο 8 ον : ΕπίπεδοΕφαρµογής (Application Layer) Στεργίου Ελευθέριος


Ρ ΓΑ Σ Τ Ή Ρ Ι Ο 8 Α Σ Φ Ά Λ Ε Ι Α Σ Π Λ Η Ρ Ο Φ Ο Ρ Ι Κ Ώ Ν Σ Υ Σ Τ Η Μ ΆΤ Ω Ν

ΥΠΟΥΡΓΕΙΟ ΟΙΚΟΝΟΜΙΚΩΝ ΓΕΝΙΚΗ ΓΡΑΜΜΑΤΕΙΑ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ & ΔΙΟΙΚΗΤΙΚΗΣ ΥΠΟΣΤΗΡΙΞΗΣ. Οδηγίες χρήσης

ίκτυα - Internet Υπηρεσίες Internet O Παγκόσµιος Ιστός (World Wide Web) Ηλεκτρονική Αλληλογραφία ( ) Υπηρεσία FTP (File Transfer Protocol)

ΠΡΟΓΡΑΜΜΑΤΙΣΜΟΣ ΔΙΚΤΥΩΝ

Draytek Vigor 2700VG Annex A

ιαχείριση Πληροφοριών στο ιαδίκτυο

Zentyal στην Σχολική Μονάδα

Ασφάλεια, Διαθεσιμότητα και Ταχύτητα για τις Web Εφαρμογές

ABSTRACT Kollaras Antonios Department of Information and Communication Systems Engineering UNIVERSITY OF THE AEGEAN

Δίκτυα Νέας Γενιάς: Τεχνολογία & Υπηρεσίες Δρ. Ηλίας Δρακόπουλος Γενικός Διευθυντής Τεχνολογίας, Στρατηγικής & Ανάπτυξης OTENET. Η.

Communication Solution τεύχος 47 Ιανουάριος Φεβρουάριος Προϋπάρχουσα κατάσταση της εταιρείας

ΠΑΝΕΠΙΣΤΗΜΙΟ ΜΑΚΕΔΟΝΙΑΣ. Εγκατάσταση ρυθμίσεων EDUROAM

ΟΔΗΓΙΕΣ ΕΓΚΑΤΑΣΤΑΣΗΣ ΛΟΓΑΡΙΑΣΜΩΝ ΗΛΕΚΤΡΟΝΙΚΗΣ ΑΛΛΗΛΟΓΡΑΦΙΑΣ ( accounts)

Transcript:

Εγκατάσταση & Παραµετροποίηση Εξυπηρετητή Πιστοποίησης Χρηστών (Radius Server) Μάθηµα: Ασφάλεια Υπολογιστών και Δικτύων Φοιτητές: Μπάτσου Ελευθερία 573 Στεφανίδης Γιώργος 546 Υπ. Καθηγητής: Π. Σαρηγιαννίδης Ηµεροµηνία: 19 Ιουνίου 2015 Τµήµα Μηχανικών Πληροφορικής και Τηλεπικοινωνιών Πανεπιστήµιο Δυτικής Μακεδονίας

Περιεχόμενα Τι είναι το Radius Ιστορικά Στοιχεία Βασικές Αρχές Πρωτόκολλο Λειτουργίες Server Roaming Proxy Operations Security Δοµή Πακέτου 2

Τι είναι το RADIUS Remote Authentication Dial In User Service To radius είναι ένα διαδικτυακό πρωτόκολλο που παρέχει συγκεντρωτικά πιστοποίηση, εξουσιοδότηση και υπηρεσίες διαχείρισης (Authentication, Authorization, and Accounting AAA) για τους χρήστες που συνδέονται και χρησιµοποιούν δικτυακές υπηρεσίες. 3

Ιστορικά Στοιχεία Το RADIUS αναπτύχθηκε από την εταιρία Livingston το 1991 σαν ένας server πρόσβασης µε πρωτόκολλο πιστοποίησης και διαχείρισης υπηρεσιών και αργότερα χρησιµοποιήθηκε σαν πρότυπο από το Internet Engineering Task Force - IETF. Λόγω της ευρείας υποστήριξης του πρωτοκόλλου RADIUS, χρησιµοποιείται συχνά από τα ISPs και εταιρίες για την διαχείριση πρόσβασης στο Internet ή εσωτερικά δίκτυα, ασύρµατα δίκτυα, και υπηρεσίες e-mail. Τα δίκτυα αυτά µπορεί να περιλαµβάνουν modems, DSL, access points, VPNs, network ports, web servers, κτλ. 4

Βασικές Αρχές Το RADIUS είναι ένα πρωτόκολλο client/server που τρέχει στο επίπεδο εφαρµογής (application layer) χρησιµοποιώντας το UDP σαν µέσο µεταφοράς. Τα Remote Access Server, Virtual Private Network server, Network switch with port-based authentication, και το Network Access Server (NAS) είναι όλες πύλες που ελέγχουν την πρόσβαση στο δίκτυο και όλες έχουν έναν RADIUS client που επικοινωνεί µε έναν RADIUS server. To RADIUS τρέχει συχνά σαν µια από τις διεργασίες παρασκηνίου στους UNIX και Microsoft Windows server. 5

Στοιχεία Πρωτοκόλλου Οι RADIUS server χρησιµοποιούν το πρωτόκολλο ΑΑΑ για την διαχείριση της πρόσβασης στο δίκτυο Αuthentication Αuthorization Αccounting 6

Authentication and Authorization Ο χρήστης ή το µηχάνηµα στέλνει ένα αίτηµα (request) στο Remote Access Server (RAS) ώστε να αποκτήσει πρόσβαση σε ένα συγκεκριµένο πόρο του δικτύου χρησιµοποιώντας τα διαπιστευτήρια πρόσβασης (access credentials). Τα credentials περνούν στο RAS µέσω του πρωτοκόλλου επιπέδου σύνδεσης. Για παράδειγµα συχνά χρησιµοποιείται σε: Point-to-Point Protocol (PPP) σε πολλές περιπτώσεις dialup DSL πάροχους Φόρµες ασφαλείας σε HTTPS ιστοσελίδες 7

Authentication and Authorization Η αίτηση περιλαµβάνει credentials πρόσβασης, συνήθως username και password ή πιστοποιητικό ασφάλειας, τα οποία παρέχονται από τον χρήστη. Μπορεί να περιλαµβάνει και άλλες πληροφορίες, τις οποίες το RAS γνωρίζει για τον χρήστη. Για παράδειγµα: Την διεύθυνση του δικτύου Το κινητό τηλέφωνο Πληροφορίες σχετικά µε την φυσική σύνδεση του χρήστη στο RAS. 8

Authentication and Authorization Οι RADIUS servers ελέγχουν ότι οι πληροφορίες είναι σωστές χρησιµοποιώντας συστήµατα ελέγχου ταυτοποίησης, όπως τα PAP, CHAP ή EAP. Τα στοιχεία του χρήστη επαληθεύονται, µαζί ίσως µε πληροφορίες σχετικές µε την αίτηση. Από ιστορικής απόψεως, οι RADIUS servers έλεγχαν τις πληροφορίες του χρήστη από ένα τοπικό αποθηκευµένο αρχείο βάσης δεδοµένων. Οι σύγχρονοι RADIUS servers µπορούν να κάνουν και αυτό, αλλά και να αναφερθούν σε εξωτερικές πηγές κοινώς SQL, Kerberos, LDAP, Active Directory servers ώστε να επαληθεύσουν τα credentials του χρήστη. 9

Απαντήσεις server O RADIUS server δίνει µια από τις επόµενες απαντήσεις στο RAS: 1) Access Reject 2) Access Challenge 3) Access Accept 10

Access Reject Απαγορεύεται στον χρήστη η άνευ όρων πρόσβαση στους πόρους του δικτύου που είχε αιτηθεί. Οι λόγοι για αυτή την αποτυχηµένη πρόσβαση µπορεί να είναι οι µη επαρκείς αποδείξεις αναγνώρισης, ένας άγνωστος ή ανενεργός λογαριασµός του χρήστη. 11

Access Challenge Απαιτούνται επί πρόσθετες πληροφορίες από τον χρήστη, όπως δευτερεύον κωδικός, PIN, κτλ. Το Access Challenge χρησιµοποιείται κυρίως σε πιο σύνθετες αυθεντικοποιήσεις, όπου έχει εγκατασταθεί ένα τοίχος ασφαλείας ανάµεσα στον χρήστη και στον RADIUS server µε έναν τρόπο, όπου τα credentials πρόσβασης είναι κρυµµένα από το RAS. 12

Access Accept O χρήστης αποκτά πρόσβαση. Μόλις επικυρωθεί, ο RADIUS server συνήθως ελέγχει ότι (ο χρήστης) είναι εξουσιοδοτηµένος να χρησιµοποιεί την υπηρεσία δικτύου που αιτήθηκε. Για παράδειγµα: Mπορεί να επιτρέπεται να χρησιµοποιεί το ασύρµατο δίκτυο µιας εταιρίας αλλά όχι τις υπηρεσίες VPN. Και πάλι αυτές οι πληροφορίες µπορεί να είναι αποθηκευµένες τοπικά στον RADIUS server, ή σε µια εξωτερική πηγή. 13

Reply-Message Κάθε µια από αυτές τις 3 απαντήσεις µπορεί να περιλαµβάνει ένα Reply-Message το οποίο µπορεί να δώσει έναν λόγο για την απόρριψη, τα επί πρόσθετα στοιχεία για το challenge, ή ένα µήνυµα καλωσορίσµατος για την αποδοχή. 14

Χαρακτηριστικά Aυθεντικοποίησης Τα χαρακτηριστικά της αυθεντικοποίησης µεταφέρονται στο RAS, το οποίο ορίζει τους όρους πρόσβασης. Τα παρακάτω χαρακτηριστικά µπορεί να περιλαµβάνονται στην αποδοχή του χρήστη: Συγκεκριµένη IP που θα του διατεθεί Ένας χώρος διευθύνσεων από τον οποίο θα πρέπει να επιλεγεί η IP του Ο µέγιστος χρόνος που µπορεί να παραµείνει συνδεδεµένος Μια λίστα πρόσβασης, ουρά προτεραιότητας ή άλλους περιορισµούς σχετικά µε την πρόσβαση του. Παράµετροι VLAN Παράµετροι Quality of Service (QoS) 15

Χαρακτηριστικά Αυθεντικοποίησης Όταν ένας πελάτης ρυθµιστεί ώστε να χρησιµοποιεί το RADIUS, θα πρέπει να δίνει τα στοιχεία του, όπως username και password, ή να χρησιµοποιεί κάποια πρωτόκολλα όπως το Point-to-Point Protocol (PPP), το οποίο περιέχει πακέτα αυθεντικοποίησης που κουβαλούν αυτές τις πληροφορίες. Οι κωδικοί πρόσβασης, όπως π.χ. το password είναι κρυµµένα µε µεθόδους που βασίζονται στο RSA Message Digest Algorithm MD5. 16

Accounting 17

Accounting Start Όταν η πρόσβαση στο δίκτυο χορηγείται στο χρήστη από το NAS, στέλνεται το Accounting Start. Αυτό είναι ένα αίτηµα πακέτου, το οποίο περιλαµβάνει στις ιδιότητες του την τιµή start. To αίτηµα στέλνεται από το NAS στον RADIUS server ώστε να σηµατοδοτήσει την αρχή πρόσβασης του χρήστη στο δίκτυο. Το start συνήθως περιέχει την ταυτοποίηση του χρήστη, την δικτυακή του διεύθυνση και ένα µοναδικό αναγνωριστικό συνόδου. 18

Interim Update Σε τακτά χρονικά διαστήµατα, στέλνονται αρχεία ενδιάµεσης ενηµέρωσης Interim Update. Είναι ένα αίτηµα πακέτου, το οποίο περιλαµβάνει στις ιδιότητες του την τιµή interim-update, στέλνεται από το NAS στον RADIUS server ώστε να ανανεώσει την κατάσταση µιας ενεργής συνόδου. Τα ενδιάµεσα αρχεία συνήθως µεταφέρουν την τρέχουσα διάρκεια της συνόδου και την τρέχουσα χρήση δεδοµένων. 19

Stop Record Όταν η πρόσβαση στο δίκτυο (του χρήστη) είναι κλειστή, η NAS εκδίδει ένα Stop Record και στέλνεται στον RADIUS server. Αυτό είναι ένα αίτηµα πακέτου, το οποίο περιλαµβάνει στις ιδιότητες του την τιµή stop, περιέχει πληροφορίες σχετικές µε την χρήση του δικτύου, την διάρκεια, τα πακέτα και τα δεδοµένα που µεταφέρθηκαν και άλλες πληροφορίες ως προς την πρόσβαση στο δίκτυο του χρήστη. 20

Απάντηση Συνήθως, ο client στέλνει ανά τακτά χρονικά διαστήµατα, τα παραπάνω πακέτα, µέχρι να λάβει ένα πακέτο απάντησης. Ο πρωταρχικός σκοπός αυτών των δεδοµένων είναι ώστε να χρεωθεί ο χρήστης αναλόγως, αλλά και επειδή τα δεδοµένα χρησιµοποιούνται για στατιστικούς σκοπούς και τη γενική παρακολούθηση του δικτύου. 21

Roaming (Περιαγωγή) 22

Roaming Το RADIUS χρησιµοποιείται συχνά για τη διευκόλυνση της περιαγωγής µεταξύ των ISPs, για παράδειγµα: Από εταιρείες οι οποίες παρέχουν ένα σύνολο διαπιστευτηρίων (credentials) τα οποία µπορούν να χρησιµοποιηθούν σε πολλά δηµόσια δίκτυα. Από ανεξάρτητα, αλλά συνεργαζόµενα ιδρύµατα, που εκδίδουν τα δικά τους διαπιστευτήρια µε τους δικούς τους χρήστες, και επιτρέπουν σε έναν επισκέπτη να συνδεθεί σε ένα άλλο σύστηµα, όπου τα credentials του πρέπει να επικυρώνονται από το ίδρυµα προέλευσης τους, όπως γίνεται στο eduroam. 23

Realms Το realm προσαρτάται στο username του χρήστη και οριοθετείται µε τo σύµβολο @, όπως δηλαδή περίπου γίνεται και στα e-mail µε το domain name. Αυτός είναι ο postfix συµβολισµός για το realm. Ο διαχωρισµός του username µπορεί να γίνει και µε το σύµβολο \. Οι σύγχρονοι RADIUS servers επιτρέπουν οποιαδήποτε σύµβολο να χρησιµοποιηθεί ως delimiter, αλλά πρακτικά χρησιµοποιούνται τα @ και /. Σε ορισµένες σύνθετες περιπτώσεις µπορούν να χρησιµοποιηθούν και τα δύο σύµβολα. Για παράδειγµα: somedomain.com\username@anotherdomain.com Ωστόσο υπάρχουν και κάποιες περιπτώσεις στις οποίες δεν χρησιµοποιείται κανένα σύµβολο. 24

Proxy Operations Όταν ο RADIUS server λαµβάνει ένα αίτηµα AAA για το username το οποίο περιέχει ένα realm, ο server θα κάνει αναφορά σε ένα πίνακα που περιέχει όλα τα realms. Αν το realm υπάρχει, ο server θα στείλει το αίτηµα στο home server του domain. Επί πρόσθετα, ο proxy server, µπορεί να προσθέσει/ αφαιρέσει/ξαναγράψει αιτήµατα ΑΑΑ µετά από κάποιο χρόνο. 25

Security Η περιαγωγή µε RADIUS εκθέτει τους χρήστες σε θέµατα ασφάλειας και προστασίας της ιδιωτικής τους ζωής. Γενικά, κάποιοι δηµιουργούν ένα secure tunnel µεταξύ των RADIUS servers ώστε να διασφαλίσουν ότι τα credentials των χρηστών δεν θα µπορούν να υποκλαπούν µέσω των proxy στο διαδίκτυο. Τα δεδοµένα κρυπτογραφούνται µε MD5 το οποίο έχει κάποια θέµατα ασφάλειας. 26

Δομή Πακέτου Τα πεδία µεταδίδονται από αριστερά προς τα δεξιά, ξεκινώντας µε το code, το identifier, το length, το authenticator και τα attributes. 27

RADIUS Codes (σε δεκαδική μορφή) Code Assignment 1 Access-Request 2 Access-Accept 3 Access-Reject 4 Accounting-Request 5 Accounting-Response 11 Access-Challenge 12 Status-Server (experimental) 13 Status-Client (experimental) 255 Reserved 28

Πεδία Πακέτου To πεδίο Identifier βοηθάει στο να αντιστοιχίζονται τα requests µε τα replies. To πεδίο Length υποδεικνύει το µήκος ολόκληρου του πακέτου RADIUS, συµπεριλαµβανοµένου του code, identifier, length, authenticator και attributes. Το πεδίο Authenticator χρησιµοποιείται για να πιστοποίηση την απάντηση από τον RADIUS server, βρίσκεται κρυπτογραφηµένο στα password, και το µήκος του είναι 16 bytes. 29

Attribute Value Pairs (AVP) Το Attribute Value Pairs (AVP) µεταφέρουν δεδοµένα τόσο της αίτησης όσο και της απάντησης για την πιστοποίηση, την εξουσιοδότηση, και το accounting. To µήκος του πακέτου χρησιµοποιείται για να προσδιορίσει το τέλος των AVPs. 30

Attributes / Ασφάλεια To RADIUS είναι επεκτάσιµο, πολλοί χρησιµοποιούν το hardware και το software του ώστε να φτιάξουν τις δικές τους εκδόσεις. Μάλιστα η Microsoft έχει εκδώσει κάποιες από αυτές. Το πρωτόκολλο RADIUS µεταδίδει τους κωδικούς του µέσω ενός shared secret και τον αλγόριθµο hash MD5. Καθώς αυτή η υλοποίηση παρέχει µικρή προστασία στα credentials των χρηστών, επί πρόσθετη τρόποι, όπως τα Ipsec tunnels, είναι καλό να χρησιµοποιηθούν για την περαιτέρω προστασία ανάµεσα στο NAS και τον server. 31

Ευχαριστούµε! 32

2024 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια