Ааа и NAS?
Прежде чем начать изучать Radius, важно, чтобы вы поняли:
- Что такое ААА?
- Что такое NAS?
Итак, давайте сначала разберемся с этими двумя темами.
Что такое ААА?
AAA означает Аутентификацию, Авторизацию и Учет.
Аутентификация
-
Относится к подтверждению того, что пользователь, запрашивающий услугу, является действительным пользователем.
-
Выполняется путем представления личности и учетных данных.
-
Примеры учетных данных включают пароли, одноразовые токены, цифровые сертификаты и телефонные номера (звонящие / вызываемые).
Относится к подтверждению того, что пользователь, запрашивающий услугу, является действительным пользователем.
Выполняется путем представления личности и учетных данных.
Примеры учетных данных включают пароли, одноразовые токены, цифровые сертификаты и телефонные номера (звонящие / вызываемые).
авторизация
-
Относится к предоставлению пользователям определенных видов услуг (в том числе «без обслуживания») на основе их аутентификации.
-
Может основываться на ограничениях, например, ограничениях времени суток, ограничениях физического местоположения или ограничениях на несколько входов одного и того же пользователя.
-
Примеры услуг включают в себя фильтрацию IP-адресов, назначение адресов, назначение маршрутов, шифрование, QoS / дифференциальные услуги, управление полосой пропускания / управление трафиком и т. Д.
Относится к предоставлению пользователям определенных видов услуг (в том числе «без обслуживания») на основе их аутентификации.
Может основываться на ограничениях, например, ограничениях времени суток, ограничениях физического местоположения или ограничениях на несколько входов одного и того же пользователя.
Примеры услуг включают в себя фильтрацию IP-адресов, назначение адресов, назначение маршрутов, шифрование, QoS / дифференциальные услуги, управление полосой пропускания / управление трафиком и т. Д.
бухгалтерский учет
-
Относится к отслеживанию потребления сетевых ресурсов пользователями.
-
Типичная информация, которая собирается в бухгалтерском учете, включает в себя личность пользователя, характер предоставляемой услуги, когда служба началась и когда она закончилась.
-
Может использоваться для управления, планирования, выставления счетов и т. Д.
Относится к отслеживанию потребления сетевых ресурсов пользователями.
Типичная информация, которая собирается в бухгалтерском учете, включает в себя личность пользователя, характер предоставляемой услуги, когда служба началась и когда она закончилась.
Может использоваться для управления, планирования, выставления счетов и т. Д.
AAA-сервер предоставляет все вышеперечисленные услуги своим клиентам.
Протоколы ААА
Радиус — это протокол AAA для таких приложений, как доступ к сети или мобильность IP. Помимо Radius, у нас есть следующие протоколы в AAA:
Контроллер доступа к терминалу Система контроля доступа (TACACS)
TACACS — это протокол удаленной аутентификации, который используется для связи с сервером аутентификации, обычно используемым в сетях Unix. TACACS позволяет серверу удаленного доступа обмениваться данными с сервером аутентификации, чтобы определить, имеет ли пользователь доступ к сети.
TACACS +
TACACS + обеспечивает управление доступом для маршрутизаторов, серверов сетевого доступа и других сетевых вычислительных устройств через один или несколько централизованных серверов. Он использует TCP и предоставляет отдельные службы аутентификации, авторизации и учета. Он работает в порту 49.
ДИАМЕТР
Диаметр — плановая замена Радиуса.
Что такое сервер доступа к сети?
Сервер доступа к сети (NAS) — это элемент службы, который клиенты набирают для получения доступа к сети. NAS — это устройство, имеющее интерфейсы как к магистрали, так и к POTS или ISDN, и принимает вызовы от хостов, которые хотят получить доступ к магистрали через службы коммутируемого доступа. NAS находится в точке присутствия интернет-провайдера, чтобы обеспечить доступ в Интернет своим клиентам.
Сервер доступа к сети:
-
Единая точка доступа к удаленному ресурсу.
-
Сервер удаленного доступа, поскольку он обеспечивает удаленный доступ к сети.
-
Начальная точка входа в сеть.
-
Шлюз для защиты защищаемого ресурса.
Единая точка доступа к удаленному ресурсу.
Сервер удаленного доступа, поскольку он обеспечивает удаленный доступ к сети.
Начальная точка входа в сеть.
Шлюз для защиты защищаемого ресурса.
Примеры включают в себя:
-
Проверка доступа в Интернет с использованием идентификатора пользователя и пароля.
-
VoIP, FoIP и VMoIP требуют действительный номер телефона или IP-адрес.
-
Телефонная карта предоплаты использует номер карты предоплаты.
Проверка доступа в Интернет с использованием идентификатора пользователя и пароля.
VoIP, FoIP и VMoIP требуют действительный номер телефона или IP-адрес.
Телефонная карта предоплаты использует номер карты предоплаты.
На следующем рисунке показана базовая архитектура Radius.
RADIUS — Обзор
RADIUS — это протокол для передачи информации, связанной с аутентификацией, авторизацией и настройкой, между сервером доступа к сети, который хочет аутентифицировать свои ссылки, и общим сервером аутентификации.
-
RADIUS расшифровывается как удаленная аутентификация Dial In User Service.
-
RADIUS — это протокол AAA для таких приложений, как доступ к сети или мобильность IP
-
Он работает в обеих ситуациях, локальных и мобильных.
-
Он использует протокол аутентификации по паролю (PAP), протокол аутентификации при вызове (CHAP) или протоколы расширяемого протокола аутентификации (EAP) для аутентификации пользователей.
-
Это смотреть в текстовом файле, серверах LDAP, базе данных для аутентификации.
-
После проверки подлинности параметры сервиса передаются обратно в NAS.
-
Он уведомляет, когда сеанс начинается и заканчивается. Эти данные используются для выставления счетов или статистики.
-
SNMP используется для удаленного мониторинга.
-
Может использоваться как прокси.
RADIUS расшифровывается как удаленная аутентификация Dial In User Service.
RADIUS — это протокол AAA для таких приложений, как доступ к сети или мобильность IP
Он работает в обеих ситуациях, локальных и мобильных.
Он использует протокол аутентификации по паролю (PAP), протокол аутентификации при вызове (CHAP) или протоколы расширяемого протокола аутентификации (EAP) для аутентификации пользователей.
Это смотреть в текстовом файле, серверах LDAP, базе данных для аутентификации.
После проверки подлинности параметры сервиса передаются обратно в NAS.
Он уведомляет, когда сеанс начинается и заканчивается. Эти данные используются для выставления счетов или статистики.
SNMP используется для удаленного мониторинга.
Может использоваться как прокси.
Вот простая сетевая диаграмма радиуса:
RADIUS — Особенности
Вот список всех ключевых особенностей Radius:
Модель клиент / сервер
-
NAS работает как клиент для сервера Radius.
-
Сервер Radius отвечает за получение запросов на подключение пользователя, проверку подлинности пользователя, а затем возвращает всю информацию о конфигурации, необходимую клиенту для предоставления обслуживания пользователю.
-
Сервер Radius может выступать в качестве прокси-клиента для других серверов Radius.
NAS работает как клиент для сервера Radius.
Сервер Radius отвечает за получение запросов на подключение пользователя, проверку подлинности пользователя, а затем возвращает всю информацию о конфигурации, необходимую клиенту для предоставления обслуживания пользователю.
Сервер Radius может выступать в качестве прокси-клиента для других серверов Radius.
Сетевая безопасность
-
Транзакции между клиентом и сервером аутентифицируются с помощью общего ключа. Этот ключ никогда не отправляется по сети.
-
Пароль зашифрован перед отправкой по сети.
Транзакции между клиентом и сервером аутентифицируются с помощью общего ключа. Этот ключ никогда не отправляется по сети.
Пароль зашифрован перед отправкой по сети.
Гибкие механизмы аутентификации
Радиус поддерживает следующие протоколы для аутентификации:
-
Двухточечный протокол — PPP
-
Протокол аутентификации пароля — PAP
-
Протокол аутентификации при вызове — CHAP
-
Простой UNIX-вход
Двухточечный протокол — PPP
Протокол аутентификации пароля — PAP
Протокол аутентификации при вызове — CHAP
Простой UNIX-вход
Расширяемый протокол
Радиус расширяемый; большинство поставщиков аппаратного и программного обеспечения Radius реализуют свои собственные диалекты.
Протокол без сохранения состояния, использующий UDP, работает на порту 1812.
RADIUS — Операции
Перед тем, как Клиент начнет обмениваться данными с Сервером Radius, необходимо, чтобы секретный ключ был разделен между Клиентом и Сервером, и Клиент должен быть настроен на использование сервера Radius для получения обслуживания.
Как только Клиент настроен правильно, тогда:
-
Клиент запускается с Access-Request.
-
Сервер отправляет Access-Accept, Access-Reject или Access-Challenge.
-
Access-Accept сохраняет все обязательные атрибуты для предоставления услуг пользователю.
Клиент запускается с Access-Request.
Сервер отправляет Access-Accept, Access-Reject или Access-Challenge.
Access-Accept сохраняет все обязательные атрибуты для предоставления услуг пользователю.
Коды радиуса (десятичные) назначаются следующим образом:
- 1 запрос доступа
- 2 Access-Accept
- 3 Доступ-Отклонить
- 4 Бухгалтерский учет-запрос
- 5 Бухгалтерский учет-Ответ
- 11 Access-Challenge
- 12 Status-Server (экспериментальный)
- 13 Статус-Клиент (экспериментальный)
- 255 зарезервировано
- Концепция No Keep Alive — хорошо или плохо ??
Коды 4 и 5 относятся к функциональности учета радиуса. Коды 12 и 13 зарезервированы для возможного использования.
RADIUS — Пакетный формат
Формат пакета Radius, как показано ниже:
Код: это 1 октет (1 байт) длиной и идентифицирует различные типы пакетов. Обычно 1 октет означает 1 байт.
Идентификатор: это снова длина в 1 октет и помогает сопоставлять ответы с запросами.
Длина: это длина 2 октета и указывает длину пакета, включая код, идентификатор, длину и аутентификатор. (Минимальный пакет составляет 20 октетов, а максимальный — 4096 октетов).
Аутентификатор: это 16 октетов длиной и заполняется в случае некоторых запросов и ответов.
Список атрибутов: существует список из 63+ атрибутов, и атрибут Radius также будет иметь определенный формат, который описан в следующей главе.
RADIUS — Формат атрибутов
Атрибут Radius состоит из следующих трех частей:
-
Тип: 1 октет длиной, идентифицирует различные типы атрибутов. Это код атрибута, указанный ниже.
-
Длина: длина 1 октет, длина атрибута, включая тип.
-
Значение: 0 или более октетов, содержит информацию, специфичную для атрибута.
Тип: 1 октет длиной, идентифицирует различные типы атрибутов. Это код атрибута, указанный ниже.
Длина: длина 1 октет, длина атрибута, включая тип.
Значение: 0 или более октетов, содержит информацию, специфичную для атрибута.
Список атрибутов RADIUS
| Код | Атрибуты |
|---|---|
| 1 | User-Name |
| 2 | Пользовательский пароль |
| 3 | CHAP-пароль |
| 4 | NAS-IP-адрес |
| 5 | NAS-Port |
| 6 | Тип Обслуживания |
| 7 | Framed-Protocol |
| 8 | Framed-IP-адрес |
| 9 | Framed-IP-Netmask |
| 10 | Рамка-маршрутизация |
| 11 | Фильтр-Id |
| 12 | Framed-MTU |
| 13 | Рамка-сжатие |
| 14 | Login-IP-Host |
| 15 | Логин-Сервис |
| 16 | Вход-TCP-порт |
| 17 | (Неприсвоенный) |
| 18 | Reply-Message |
| 19 | Callback-Number |
| 20 | Callback-Id |
| 21 | (Неприсвоенный) |
| 22 | Framed-Route |
| 23 | Framed-IPX-сети |
| 24 | государственный |
| 25 | Учебный класс |
| 26 | Vendor-Specific |
| 27 | Session-Timeout |
| 28 | Idle-Timeout |
| 29 | Termination-Action |
| 30 | Called-Station-Id |
| 31 | Вызов-Station-Id |
| 32 | NAS-Identifier |
| 33 | Proxy-State |
| 34 | Login-LAT-Service |
| 35 | Login-LAT-Node 3 |
| 36 | Login-LAT-Group |
| 37 | Framed-AppleTalk-Link |
| 38 | Framed-AppleTalk-Network |
| 39 | Framed-AppleTalk-Zone |
| 40-59 | (зарезервировано для учета) |
| 60 | CHAP-вызов |
| 61 | NAS-Port-Type |
| 62 | Порт-Limit |
| 63 | Вход-LAT-Port |
RADIUS — Пример запроса
Пример запроса радиуса
Давайте посмотрим на пример запроса радиуса:
-
NAS по адресу 192.168.1.16 отправляет UDP-пакет запроса доступа на сервер RADIUS для пользователя с именем Nemo, который входит в порт 3 с паролем «arctangent».
-
Аутентификатор запроса — это 16-октетное случайное число, генерируемое NAS.
-
Пароль пользователя состоит из 16 октетов, дополненных нулями, XOR и D5 (Shared Secret | Request Authenticator).
-
01 00 00 38 0f 40 3f 94 73 97 80 57 bd 83 d5 cb 98 f4 22 7a 01 06 6e 65 6d 6f 02 12 0d be 70 8d 93 d4 13 ce 31 96 e4 3f 78 2a 0a ee 04 06 c0 a8 01 10 05 06 00 00 00 03
-
1 код = запрос доступа (1)
1 идентификатор = 0
2 Длина = 56
16 Запрос аутентификатора
-
Список атрибутов
6 User-Name = «Nemo»
18 Пароль пользователя
6 NAS-IP-адрес = 192.168.1.16
6 NAS-Port = 3
NAS по адресу 192.168.1.16 отправляет UDP-пакет запроса доступа на сервер RADIUS для пользователя с именем Nemo, который входит в порт 3 с паролем «arctangent».
Аутентификатор запроса — это 16-октетное случайное число, генерируемое NAS.
Пароль пользователя состоит из 16 октетов, дополненных нулями, XOR и D5 (Shared Secret | Request Authenticator).
01 00 00 38 0f 40 3f 94 73 97 80 57 bd 83 d5 cb 98 f4 22 7a 01 06 6e 65 6d 6f 02 12 0d be 70 8d 93 d4 13 ce 31 96 e4 3f 78 2a 0a ee 04 06 c0 a8 01 10 05 06 00 00 00 03
1 код = запрос доступа (1)
1 идентификатор = 0
2 Длина = 56
16 Запрос аутентификатора
Список атрибутов
6 User-Name = «Nemo»
18 Пароль пользователя
6 NAS-IP-адрес = 192.168.1.16
6 NAS-Port = 3
Пример ответа радиуса
Вот пример пакетов ответа:
-
Сервер Radius аутентифицирует Nemo и отправляет UDP-пакет Access-Accept на NAS, сообщая его telnet Nemo для размещения 192.168.1.3
-
Аутентификатор ответа представляет собой 16-октетную контрольную сумму MD5 кода (2), id (0), длины (38), аутентификатора запроса сверху, атрибутов в этом ответе и общего секрета.
-
02 00 00 26 86 fe 22 0e 76 24 ba 2a 10 05 f6 bf 9b 55 e0 b2 06 06 00 00 00 01 0f 06 00 00 00 00 0e 06 c0 a8 01 03
-
1 код = доступ-принятие (2)
1 идентификатор = 0 (такой же, как в запросе доступа)
2 Длина = 38
16 Аутентификатор ответа
-
Список атрибутов:
6 Тип обслуживания (6) = Логин (1)
6 Логин-Сервис (15) = Telnet (0)
6 Login-IP-Host (14) = 192.168.1.3
Сервер Radius аутентифицирует Nemo и отправляет UDP-пакет Access-Accept на NAS, сообщая его telnet Nemo для размещения 192.168.1.3
Аутентификатор ответа представляет собой 16-октетную контрольную сумму MD5 кода (2), id (0), длины (38), аутентификатора запроса сверху, атрибутов в этом ответе и общего секрета.
02 00 00 26 86 fe 22 0e 76 24 ba 2a 10 05 f6 bf 9b 55 e0 b2 06 06 00 00 00 01 0f 06 00 00 00 00 0e 06 c0 a8 01 03
1 код = доступ-принятие (2)
1 идентификатор = 0 (такой же, как в запросе доступа)
2 Длина = 38
16 Аутентификатор ответа
Список атрибутов:
6 Тип обслуживания (6) = Логин (1)
6 Логин-Сервис (15) = Telnet (0)
6 Login-IP-Host (14) = 192.168.1.3
Что такое ДИАМЕТР
Диаметр — плановая замена RADIUS. Это протокол AAA для таких приложений, как доступ к сети и мобильность IP. Ниже перечислены некоторые моменты, которые вам нужно знать о диаметре:
-
Он предназначен для работы как в локальных, так и в роуминговых ситуациях AAA.
-
Диаметр всего в два раза превосходит протокол предшественника Радиус.
-
Он использует TCP или SCTP, а не UDP.
-
Он использует безопасность транспортного уровня (IPSEC или TLS).
-
Он имеет 32-битный идентификатор вместо 8-битного.
-
Он поддерживает режимы без сохранения состояния и состояния.
-
Он поддерживает подтверждение уровня приложения, определяет отказоустойчивость.
-
Он предлагает лучшую поддержку роуминга.
-
Он использует AVP.
-
Диаметр позволяет определять новые команды и атрибуты. Это легко расширить.
Он предназначен для работы как в локальных, так и в роуминговых ситуациях AAA.
Диаметр всего в два раза превосходит протокол предшественника Радиус.
Он использует TCP или SCTP, а не UDP.
Он использует безопасность транспортного уровня (IPSEC или TLS).
Он имеет 32-битный идентификатор вместо 8-битного.
Он поддерживает режимы без сохранения состояния и состояния.
Он поддерживает подтверждение уровня приложения, определяет отказоустойчивость.
Он предлагает лучшую поддержку роуминга.
Он использует AVP.
Диаметр позволяет определять новые команды и атрибуты. Это легко расширить.
Что дальше?
Теперь у вас есть базовое понимание радиуса и диаметра. Чтобы получить больше знаний об этих протоколах, вам нужно пройти различные RFC и другие ресурсы, упомянутые в разделе Ресурсы.