Escolar Documentos
Profissional Documentos
Cultura Documentos
RADIUS
RADIUS
(RemoteAuthenticationDialinUserServices)
Menu
Tiposde Pacote
Introduo
ORADIUSumsistemautilizadoparaproverumaautenticaocentralizadaemredesdialup,VPN's(VirtualPrivateNetwork)eredessemfio. Eletemummodeloclienteservidor,ondeoclienteoNetworkAccessServer(NAS).Esseservidorresponsvelporobterainformaosobreocliente erepasslaparaoservidorRADIUS,almdeinterpretararesposta,dandoounoacessoaocliente.OservidorRADIUSresponsvelporreceberpedidos deconexo,autenticarousurioerepassaraoNASasinformaesnecessriasparaessedaracessoaousurionarede.Almdisso,esseservidortambm podefuncionarcomoumproxyparaoutrosservidoresRADIUS.
MecanismosdeSegurana
Comoemtodosistemadeautenticao,agrandepreocupaocomrelaoseguranaapassagemdasenhadousuriopelarede.Casoessapassasse comoumdadocomum,semnenhumaproteo,qualquerescutadetrafegodaredepermitiriadescobrila. Poressarazo,asenhapassasemprecriptografadaentreservidoreclienteRADIUS.Paraisso,umasenhatrocadaentreservidorecliente,manualmente, paraqueelespossamconversarutilizandochavessimtricas. OservidorRADIUSsuportamuitosmecanismosdeautenticao,entreessesPPPPAP,PPPCHAP,Unixlogin,entreoutros.
Terminologias
Operao
UmclienteRADIUSconfiguradoparaobterinformaessobreousurio,emgeralonomeeasenhaemumajanela.Existemaindacasosalternativos, quandoseutilizamprotocoloscomooPointtoPointProtocol(PPP),nosquaisaautenticaofeitaporpacotesquecarregamasinformaesnecessrias. Umavezquerecebeuessasinformaes,oclientepodeoptarporfazerumaautenticaoRADIUS,criandoparaisso,umaidentificaodigitalparao usurio.Essachamadade"AccessRequest",econtmoscamposnomedousurio,senha,oIDeoPortIDqueousurioestacessando.Asenha criptografadautilizandooMD5(RSAMessageDigestAlgorithm). O"AccessRequest"enviadopelaredeparaoservidor.Casoaconteaumafalha,opedidopodeserreenviadoalgumasvezes,tantoparaoservidor principal,quantoparaosseusslaves.Apsreceberopedido,oservidorirchecarsereconheceocliente,ouseja,verificarseelescompartilhamumasenha. Seoclientenoforpreviamenteconhecido,opacotedescartadosilenciosamente. Apsconferirseoclientevlido,oservidorconfereaidentidadedousurio,comparandoalgunsdadosdopedido,comoasenha,comasuabasede dados.Nessemomentooservidortambmverificaqualograudeacessopodeserdadoaodeterminadousurio,deacordocomosclienteseportasqueele estautorizadoausar.Setodasascondiesnoforemsatisfeitas,oservidorrespondeparaoclientecomum"AccessReject",quepodeconteruma mensagemparaousurio,quepodesermostradaparaocliente.Onicoatributopermitidoparaessaresposta,almdamensagem,oProxyState. Mesmoquetodososatributoscorrespondamaoesperadoparaaqueleusurio,oservidorpodequererumanovaconfirmao,paraaumentarasegurana,
www.gta.ufrj.br/~natalia/autenticacao/radius/index.html
1/14
06/06/13
RADIUS
enviandoumdesafioparaousurio,oquechamadode"AccessChallenge".Casooclientepossatrabalharcomessaopo,ousuriodeverresponderao desafio,ereenviaroAccessRequestcomumnovoIDearespostanolugardasenha.Apsisso,oservidorpoderdaroacesso,rejeitarouaindaenviarum novodesafio. Odesafioumaseqnciadenmerosenviadapeloservidorparaousurio,quedevercriptograflaeenviladevolta.Issosedeveaofatodeque usuriosautorizadospossuemmeios,taiscomoumsmartcard,ousoftwareadequado,quealgumquetenharoubadoumasenhaetenteentrar maliciosamentenaredeprovavelmentenovaiter,noconseguindoenviararesposta.Almdisso,esseusuriomaliciosoprecisapossuiasenhaque compartilhadacomoservidorparafazeracriptografia,oquedificultaaindamaisatentativadeinvaso.Essemaisummeioparatentaraumentara segurananarede. Paradaroacesso,oservidorenviaum"AccessAccept"paraocliente,quepossuiumalistadeatributosquepermitiroqueousurioutilizeoservio desejado. Porexemplo: NAS(NetworkAttachedStorage)
InteroperabilidadecomPAPeCHAP
PasswordAuthenticationProtocol(PAP)eChallengeHandshakeAuthenticationProtocol(CHAP)soprotocolosdeautenticaousadoscomPPP. Ambosforamidealizadosparaidentificarsistemasdecomputadores,enousurios.
www.gta.ufrj.br/~natalia/autenticacao/radius/index.html
2/14
06/06/13
RADIUS
OCHAP,definidoporRFCem1994,temoseguintefuncionamento: Apsestabeleceraconexo,oservidorenviaumdesafioparaoquemestrequisitandoaconexo. Opontoquedesejaseautenticarrespondeodesafio,calculandoafunoHashporMD5(MessageDigest5)donmeroenviadopeloservidor. OservidortambmcalculaoHashecomparaseovaloromesmoquefoirespondidopelocliente.Casoseja,aautenticaocompletada,eoacesso dado. Aautenticao,defato,feitabaseandosenofatoqueexisteumachavequesomenteopontoquequerseautenticareoservidorpossuem.Somentecom estaqueomesmohashpodedercalculadoporclienteeservidor.Paraumaautenticaomtua,bastaqueoCHAPsejarealizadoemambasasdirees. OPAP,assimcomooCHAP,podeoperarbidirecionalmente,emboraasimplementaesemPPPporconexodiscadanocostumemimplementarisso. Emgeral,temseporpadroqueoclienteacreditaqueoservidorseguro. ParafazerautenticaoporPAP,oNASpegaoPAPIDeasenhaeosenviaemumpacoteAccessRequest,quepodeconterumatributodeservio indicandoparaoservidorqueaqueleumserviodePPP. JparaoCHAP,oNASgeraumdesafio,eenviaoparaousurio.Essegeraumaresposta,eaenviaparaoNAScomoCHAPIDeonomedousurio CHAP.ONAS,envia,ento,umAccessRequestparaoservidorRADIUSsubstituindoonomedousuriopelonomedousurioCHAPeasenhapelo CHAPIDearespostadoCHAP.OdesafioeatributodeserviopodemserinseridosnesseAccessRequest. Emseguida,oservidorRADIUScriptografaodesafiocomMD5,ecomparaoresultadocomasenhadeCHAP.Seforemiguais,oservidorenviaum AccessAccept,e,casocontrrio,umAccessReject. Seoservidornoestiverhabilitadoparaessetipodeautenticao,eleautomaticamenteenviarumAccessRejectparaocliente. AautenticaoporProxytambmpodeestarhabilitada.
ProtocolodeTransporte
ORADIUSutilizaoUDP(UserDatagramProtocol),aoinvsdoTCP(TransmissionControlProtocol),pormotivostcnicos. Primeiramente,deveseconsiderarqueseumservidorfalhar,oclientepodebuscarporumoutroqueosubstitua.Parafazerisso,umacpiadopedido devesermantidasobreacamadadetransporte,parapermitirumatransmissoalternativa,oquedemonstraanecessidadedetemporizadorespara retransmisso. Noentanto,osrequerimentosparaessestemporizadorescomoRADIUSsobemdiferentesdaquiloqueoTCPoferece.Issoporqueousurio,aofazera autenticao,sabequedeveresperaralgunssegundos,noseimportandosealgumainformaovaiserperdidaounonessetempo.Assim,aretransmisso TCP,assimcomoseusacknowledgmentsnosonecessrios.Almdisso,casooservidornosejaachado,ousurionoiriagostardeesperar2minutos paraqueopacotesejaretransmitido,comofariaoTCP.Pelocontrrio,eleesperaqueumasoluorpidasejaencontrada,comoumnovoservidor. Outropontoaseconsiderarqueclienteseservidorespodementraresairdaredeaqualquermomento.OprotocoloTCPesthabilitadoparasuportar isso,masnecessitariaumasriedeadaptaesquesoautomticascomoUDP.
ObservaessobreRetransmisso
CasodesejeseutilizarumservidoralternativoparaoRADIUS,poderseutilizaromesmoRequestAuthenticatoreID,desdequeosdoisservidores possuamamesmasenhadecomunicaocomocliente.Podesetambmconfigurarparapacotespedidosdiferentesaomudardeservidor. Semprequealgumatributoformodificado,comoasenhadousurio,sernecessriorequisitarumnovoRequestAuthenticatoreumnovoID. SeoNASestretransmitindoumpedidoparaummesmoservidor,eosatributosnoforammodificados,eleterqueutilizaromesmoRequest Authenticator,omesmoIDeamesmaporta.Casoosatributossejammodificados,bastamodificarosdoisprimeirostensparafazeronovopedido. UmservidorNASpodeutilizaromesmoIDportodosparatodososservidores,casoqueira,ouaindautilizarumIDparacadaservidor.Casoeleprecise demaisde256IDs,elepoderutilizarportasadicionaisparaenviarpedidos,mantendoumconjuntodeIDsparacadaporta.Issoopermiteenviarmaisde16 milhesdepedidosaomesmotempoparaumnicoservidor.
FormatodoPacote
UmpacotedeRADIUSencapsuladonocampodedadosdoUDP,indicandoaportadedestinocomoa1812.Quandoumarespostagerada,asportas deorigemedestinosotrocadas.VersesmaisrecentesdoRADIUSforamdesenvolvidasutilizandoaporta1645,oquegeroualgunsconflitos.Defato,a portaoficialparaoRADIUSa1812. OformatodosdadosenviadospeloRADIUSsegueoformatoaseguir,sendoqueoscampossoenviadosnaordemdadireitaparaaesquerda.
www.gta.ufrj.br/~natalia/autenticacao/radius/index.html
3/14
06/06/13
RADIUS
CampoCdigoFormadoporumbyte,eidentificaotipodepacoteRADIUS.Casonopossuaumaidentificaoconhecida,ocorreum"silentdiscard". Cdigosemdecimal: 1 2 3 4 5 11 12 13 255 AccessRequest AccessAccept AccessReject AccountingRequest AccountingResponse AccessChallenge StatusServer(emtestes) StatusClient(emtestes) Reservado
CampoIdentificadorTambmcompostoporumbyte,auxilianaligaodepedidoserespostas.OservidorRADIUSpodedetectarumpedido duplicado,porexemplo,verificandoqueospedidospossuemomesmoIPdocliente,amesmaportaUDPeomesmoIDemumpequenoespaodetempo.
CampoAutenticadorPossui16octetos.Oprimeirobytetransmitidoomaisimportante,poispossuiumnmeroqueutilizadoparaautenticara respostadoservidorRADIUS,almdetambmserusadonoalgoritmoparaesconderasenha. Paracadacdigo,essecampoassumevaloresdistintos,queestoespecificadosaseguir: ParaoRequestAuthenticator:umnmerorandmico,echamadode"RequestAuthenticator",cujovalordevesertotalmentealeatrioenico dentrodoperododevidadasenhacompartilhadapeloservidorepelocliente.Issoporqueapossedessenmeroaliadaaoconhecimentodessasenhapermite queuminvasorintercepteotrfegoeoresponda,sepassandopelaoutraparte.Umavezque,pensandoemtermosglobais,possvelqueomesmonmero sejaescolhidoemservidoresdistantesaomesmotempo,oRequestAutenticatorpodepossuircamposindicandoalocalidadeeomomentodeformanica. Nocampodosatributos,especificamentenasenhadousurionoAccessRequest,colocadooXORentreasenhadousurioeohashporMD5da senhadeclienteeservidor. ParaoResponseAuthenticator:TantoparaoAccessAccept,oAccessRejecteoAccessChallenge,essecamposerpreenchidopelohashporMD5 daconcatenaodocampodecdigo,docampodetamanho,docampodepedidodeautenticaodoAccessRequest,dosatributosdarespostaeporfim,do segredocompartilhado.
TiposdePacote
1)AccessRequest
www.gta.ufrj.br/~natalia/autenticacao/radius/index.html
4/14
06/06/13
RADIUS
2)AccessAccept
Contmainformaonecessriaparapermitiroacessoaoservio.SerenviadopeloservidorRADIUSsemprequeumAccessRequestcomtodosos camposvlidosforrecebido.OcampoResponseAuthenticatordeverconterarespostacorreta,ouopacoteserdescartadosilenciosamente.
3)AccessReject enviadosemprequeoservidorrecebeumAccessRequestnegado.Podecontermensagensderesposta,quepodemounosermostradaspeloNAS.
www.gta.ufrj.br/~natalia/autenticacao/radius/index.html
5/14
06/06/13
RADIUS
4)AccessChallenge
Atributos
OsatributoscontidosnopacoteRADIUStmporfimautenticar,autorizar,informareconfigurardetalhesparapedidoserespostasentreclienteeservidor. OfimdalistadeatributosmarcadopelotamanhodopacoteRADIUS.Algunsatributospodemserinseridosmaisqueumavez,comafinalidadedecausar efeitosqueserodescritosnessedocumento. Cadatipodepacotepossuiumalistadeatributosquepodeconter,eissoirvariardeacordocomanecessidadedaqueletipodepacote.Osatributostmo formatoaseguiresotransmitidosdaesquerdaparaadireita.
Tabelacomatributos,tiposdepacotesenmeroderepeties:
www.gta.ufrj.br/~natalia/autenticacao/radius/index.html
6/14
06/06/13
RADIUS
Request 01 01 01 01 01 01 01 01 01 0 0 01 0+ 0+ 0 0 0 01 0 0 0 01 0 0+ 0 0 0 01 01 01 0+ 01 01 01 0 0 0 01 01 01 01
Accept 01 0 0 0 0 01 01 01 01 01 0+ 01 0+ 0+ 01 01 0+ 01 01 0+ 01 01 0+ 0+ 01 01 01 0 0 0 0+ 01 01 01 01 0+ 01 0 0 01 01
Reject 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0+ 0 0 0 0 0 0 0 0 0 0 0 0 0 0+ 0 0 0 0 0 0 0 0 0 0
Challenge 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0+ 0 0 0 0 01 0 0+ 01 01 0 0 0 0 0+ 0 0 0 0 0 0 0 0 0 0
NmerodoAtributo 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 19 20 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 60 61 62 63
NomedoAtributo UserName UserPassword CHAPPassword NASIPAddress NASPort ServiceType FramedProtocol FramedIPAddress FramedIPNetmask FramedRouting FilterId FramedMTU FramedCompression LoginIPHost LoginService LoginTCPPort ReplyMessage CallbackNumber CallbackId FramedRoute FramedIPXNetwork State Class VendorSpecific SessionTimeout IdleTimeout TerminationAction CalledStationId CallingStationId NASIdentifier ProxyState LoginLATService LoginLATNode LoginLATGroup FramedAppleTalkLink FramedAppleTalkNetwork FramedAppleTalkZone CHAPChallenge NASPortType PortLimit LoginLATPort
www.gta.ufrj.br/~natalia/autenticacao/radius/index.html
7/14
06/06/13
RADIUS
1)Tipo
3)Valor Temcomprimentovarivel,trazendoinformaesespecficassobreoatributo.Essecampopodeterdadosem5formatosdiferentes,sendoeles: 1 texto 2 string 4 inteiro 5 tempo Variaentre1e253bytes,contendotextoemUTF8codificado10646.Casootextotenhacomprimentozero,ocampocompletodeveser omitido. Variaentre1e253bytescomdadosembinrio.Casoocomprimentodastringsejazero,oatributocompletodeveseromitido. Tamanhode4bytessemsinal,comosbitsmaissignificativosfrente. Tamanhode4bytes,comosbitsmaissignificativosfrente,contendoonmerodesegudosdesdeozeroUTC,almdodia,mseano.
3 endereo Tamanhode4bytes,comosbitsmaissignificativosfrente.
SenhadoUsurio
EsseatributousadonosAccessRequest's.Asenhanopodepassaremabertopelarede,enquantovaisertransmitida,exigindoparaissoumtratamento especial. Primeiramente,asenhacompletadacomzerosatformarummltiplodedezesseisbytes.Emseguida,oRequestAuthenticatorconcatenadoaelae, depoiscalculadoohashporMD5.Essevalor,ento,entraemumXORcomosdezesseisprimeirosoctetosdasenhaesoguardadosnosdezesseis primeirosoctetosdastringdocampodesenhadousurio. Casoasenhapossuamaisdoquedezesseiscaracteres,ohashrecalculadocomaconcatenaodasenhacomoresultadodoprimeiroXOR.Emseguida essenovoresultadoentraemumXORcomosprximos16octetosdasenha,eoresultadofinalguardadonosegundocampode16octetosdocampode stringdoatributo.Essaoperaoserrepetidaquantasvezesforemnecessrias,atummximode128caracteres. Narecepo,oprocessorevertidoatsealcanarasenhaoriginal. Ocampodesenhapoderserpreenchidosegundoasseguintesespecificaes: Tipo2 Comprimento<=18e<=130 String<=16e<=128bytes
CHAPPassword
EstetipodesenhautilizadoquandoseutilizaoPPPcomCHAP (ChallengeHandshakeAuthenticationProtocol).Nessecaso,oatributovaiestar preenchidocomarespostadousurioaodesafio,noAccessRequest.Ovalordo desafioficaguardadonoatributoCHAPChallenge,ouaindanocampoRequest Authenticator.
www.gta.ufrj.br/~natalia/autenticacao/radius/index.html
8/14
06/06/13
RADIUS
Oformatodesseatributomostradoaseguir:
ServiceType
Essecampodeterminaparaqualtipodeservioaautenticaoest sendofeita.TiposdeserviodesconhecidospeloNASdevemsertratadoscomum AccessReject.OservidorpodeencararessecampocomoumadicadoNASsobrequaltipodeautenticaoousuriogostariadeusar,nousandoisso necessariamente. Oformatodesseatributosegueaseguir:
Tipo:6 Comprimento:6 Valor:Ocupa4bytes.Podeserpreenchidocomalgumdosvalores especificadosabaixo: 1 2 3 4 5 6 7 8 9 Login Framed CallbackLogin CallbackFramed Outbound Administrative NASPrompt AuthenticateOnly CallbackNAS Prompt Deveserusadoparaocasodeusurioconectadoaumhost Deveserescolhidoquandoousurioutilizar"framedprotocols",comooPPPouSLIP Usadoquandoousuriodesconectouesereconectaaumhost Usadoquandoousuriodesconectouesereconectautilizando"framedprotocols",comooPPPouSLIP Utilizadoquandoousurioirteracessoadispositivosexternos DeveserusadoquandoousurioirrealizaratividadesdeadministradordoNAS utilizadoquandoousuriodesejautilizarumpromptparaoNAS,massemnenhumprivilgiodeadministrador Utilizadoapenasparaautenticao,emgeral,parausurioscomproxies SemelhanteaoNASPrompt,devendoserutilizadoquandoousuriosedesconectouequernovamenteutilizaroservio UsadopeloNASnoAccessRequestquandosedesejaindicarqueumaligaoestsendorecebida,enecessrioqueoservidor RADIUSaautentique. SemelhanteaoAdministrative,devendoserutilizadoquandoousuriosedesconectouequernovamenteutilizaroservio
10 CallCheck
11 Callback Administrative
www.gta.ufrj.br/~natalia/autenticacao/radius/index.html
9/14
06/06/13
RADIUS
Adaptadode:Rigney,etal.StandardsTrackPginas31e32RFC2865RADIUSJunhode2000
OutrosAtributos
Existemaindamuitosoutrosatributos,queseroresumidamentedescritosaseguir: FramedProtocolIndicaoquadroqueestsendousado,deacordocomo"FramedProtocol"escolhido.PodeserusadotantonoAccessRequest quantonoAccessAccept.Oseutipo7,eosvalorespodemser: 1 2 3 4 5 6 PPP SLIP AppleTalkRemoteAccessProtocol(ARAP) GandalfproprietarySingleLink/MultiLinkprotocol XylogicsproprietaryIPX/SLIP X.75Synchronous
FilterIdIndicaonomedofiltrodelistaaserutilizadoporesteusurio.Podemexistirvriasidentificaesdefiltro,ouaindanenhuma,nopacote AccessAccept.Otipoparaessepacote11.Ocampovalorsubstitudopelocampotexto,quedeverconteralgumainformaosobreaimplementaoda lista. FramedMTUIndicaamximaunidadedetransmissoquepodeserconfiguradaparaousurio.PodeseusadonoAccessAcceptenoAccess Request. FramedCompressionIndicaoprotocolodecompressoaserutilizado.PodeseusadonoAccessAcceptenoAccessRequest.Maisqueuma refernciadeprotocolosdecompressopodemserenviadas,cabendoaoNASescolheraapropriada.Osvalorespodemser: 0 1 2 3 Nenhum VJTCP/IPparacompressodecabealho IPXparacompressodecabealho CompressoStacLZS
LoginIPHostIndicaosistemautilizadoparaconectarousurioquandooatributoLoginServiceestselecionado.PodeseusadonoAccessAccepte noAccessRequest.Paraesseatributoocampovalorsubstitudopelocampoendereo,quepodeserpreenchidocom:
www.gta.ufrj.br/~natalia/autenticacao/radius/index.html
10/14
06/06/13
RADIUS
0xFFFFFFFF 0 Outrosvalores
LoginTCPPortIndicaaportaTCPqueousuriodeveestarconectado.
ReplyMessageIndicaotextoquepodeserexpostoparaousurio.Podeserumamensagemdesucessonoenvio,mensagemdefalha,alguma mensagemdedilogo,ouaindaumdesfio.Nesteatributo,ocampovalorpreenchidopelotexto. CallbackNumberEsseatributotrazumnumeropararefazerachamada.utilizadoemAccessAccepteAccessRequest,emboranosejaobrigatrio paranenhumdosdois. CallbackIdIndicaonomedolocalaserchamado,parainterpretaodoNAS. FramedRouteDinformaesderoteamentoparaousuriodoNAS.Esseatributopodeaparecervriasvezes.Ocampovalorsubstitudoporum texto,quepararotasIPdeveconterumprefixodedestino,seguidodeumabarraeumespecificadordefinindoaqualordemosbitsdoprefixodeveser usados.Seoespecificadorforomitido,odefaultficasendo8bits,indicandoclasseA.Apsisso,existeumespao,oendereodegateway,umespao,e podemexistiroutrasmtricasseparadasporespaos.Comoexemplo: 192.168.1.0/24192.168.1.11213400 FramedIPXNetworkIndicaonmeroderededoIPXparaserconfiguradoparaousurio. StateTrazinformaesespecficasparaoservidorenopodesermodificadopelocliente. ClassSemelhanteaoState. VendorSpecificPermitequedesenvolvedoresdesenvolvamseusprpriosatributos,usandoesseatributocomosuporteparaosnovos.importante resaltarqueosnovosatributosnodeveminterferirnofuncionamentodoprotocoloRADIUS. SessionTimeoutDeterminaotempomximodesesso. IdleTimeoutTempomximodeinatividadeemumasesso. TerminationActionIndicaqualaooNASdevetomaraofimdoservioespecificado.Usadosomenteempacotesaccessaccept.Podeassumiros seguintesvalores: 0 1 Default RADIUSRequest
www.gta.ufrj.br/~natalia/autenticacao/radius/index.html
11/14
06/06/13
RADIUS
LoginLATServiceIndicaosistemacomoqualousuriodeveserconectadoaoLAT. LoginLatNodeIndicaoncomoqualousurioserautomaticamenteconectadopeloLAT.SpodeserusadoquandooLATnoespecificado duranteologin. LoginLATGroupContmumastringidentificandoocdigodegruposdoLATqueousurioestautorizadoautilizar.Spodeserusadoquandoo LATnoespecificadoduranteologin.OLATsuporta256diferentescdigosdegrupo,osquaissoutilizadosdeformaadardiferentesnveisdeacesso. FramedAppleTalkLinkIndicaonmeroderededoAppleTalkquedeveserusadocomolinkserialpelousurio,queumroteadordeAppleTalk. Nopodeserusadoseousurionoumroteador. FramedAppleTalkNetworkIndicaonmeroderededoAppleTalkqueoNASdevesondarparaalocarumnAppleTalkparaousurio. FramedAppleTalkZoneIndicaaAppleTalkDefaultZonequedeveutilizadaporaqueleusurio.Nopodeserusadomaisqueumavezemum mesmopacote. ChapChallengeEsseatributotrazodesafiodoCHAPparaserenviadoaousuriopeloNAS. NASPortTypeIndicaotipodeportafsicadoNASqueestusandoparaautenticarousurio.Podeassumirosseguintesvalores:
0 1 2 3 4 5 6 7 8 9
Async Sync ISDNSync ISDNAsyncV.120 ISDNAsyncV.110 VirtualIndicaumaconexocomoNASutilizandoalgumprotocolodetransporteaoinvsdeumaportafsica PIAFS HDLCClearChannel X.25 X.75
10 G.3Fax 11 SDSLDSLsimtrico 12 ADSLCAPDSLassimtrico,modulaoAM/FMcomportadorasuprimida 13 ADSLDMTDSLassimtrico,multitomdiscreto 14 IDSLISDNDigitalSubscriberLine 15 Ethernet 16 xDSLDigitalSubscriberLinedetipodesconhecido 17 Cable 18 WirelessOutros 19 WirelessIEEE802.11 PortLimitLimitaonmerodeportasquepodemserprovidasaousuriopeloNAS. LoginLATPortIndicaaportaquedeveserutilizadaparaconectarousurioaoLAT. Existemaindaespaosreservadosparaatributosquepossamvirasercriados.
Exemplos
www.gta.ufrj.br/~natalia/autenticacao/radius/index.html
12/14
06/06/13
RADIUS
Aoreceberessepacote,oservidorRADIUSavaliaopedidoeautenticaousurio,enviandoumpacoteaAccessAcceptparaoNAS,quedever,ento, daracessoaoTelnetparaousurioemquesto.
Segurana
CadaservidorRADIUStemassociadoaeleumabasededadoscontendoonomedousurioeoseurespectivosegredo.Essesegredodevesermantidode formasegura,esdeveseracessvelpelasautoridadesresponsveispelaautenticao,preferencialmentessendoacessvelduranteumpedidode
www.gta.ufrj.br/~natalia/autenticacao/radius/index.html
13/14
06/06/13
RADIUS
autenticao. Omaiorproblemacomrelaoaguardarassenhas,asuadistribuiopelosservidores.Asrecomendaesacimadevemserseguidas,emboraomtodo decomoissoserfeitonoespecificadonoprotocoloRADIUS.Noentanto,existeumarecomendaopelousodeSNMPSecurityProtocolspara solucionaroproblema. Outraconsideraoquecadausuriospodeselogarutilizandoumtipodeautenticao,umavezque,seexistemmltiplosmodos,umatentativade ataqueutilizariasempreomtodomaisfraco.Dessaforma,seporalgumarazoousurionecessitardemltiplosmtodosdeautenticao,eledevepossuir umnomedeusurioparacadaumdeles. Deveseobservartambmotratamentodadoassenhas,quefoidescritoanteriormente.importanteresaltarquenoforamfeitosestudoscriptogrficos exaustivosquepudessemcomprovaraseguranadomtodoutilizado.Dessaforma,essepontodeveserconsideradoantesdeseoptarpeloRADIUS,casoa redeemquestoestejaemumambientemuitohostilequeexijaumaltonveldesegurana.
Bibliografia
www.gta.ufrj.br/~natalia/autenticacao/radius/index.html
14/14