06/06/13

RADIUS

RADIUS
(RemoteAuthenticationDialinUserServices)

Menu

Introduo Mecanismosde Segurana Atributos SenhadoUsurio

Terminologias Operao CHAP Password Service Type

InteroperabilidadecomPAPe CHAP OutrosAtributos

Protocolode Transporte Exemplos

Observaessobre Retransmisso Segurana

Formatodo Pacote Bibliografia

Tiposde Pacote

Introduo
ORADIUSumsistemautilizadoparaproverumaautenticaocentralizadaemredesdialup,VPN's(VirtualPrivateNetwork)eredessemfio. Eletemummodeloclienteservidor,ondeoclienteoNetworkAccessServer(NAS).Esseservidorresponsvelporobterainformaosobreocliente erepasslaparaoservidorRADIUS,almdeinterpretararesposta,dandoounoacessoaocliente.OservidorRADIUSresponsvelporreceberpedidos deconexo,autenticarousurioerepassaraoNASasinformaesnecessriasparaessedaracessoaousurionarede.Almdisso,esseservidortambm podefuncionarcomoumproxyparaoutrosservidoresRADIUS.

MecanismosdeSegurana
Comoemtodosistemadeautenticao,agrandepreocupaocomrelaoseguranaapassagemdasenhadousuriopelarede.Casoessapassasse comoumdadocomum,semnenhumaproteo,qualquerescutadetrafegodaredepermitiriadescobrila. Poressarazo,asenhapassasemprecriptografadaentreservidoreclienteRADIUS.Paraisso,umasenhatrocadaentreservidorecliente,manualmente, paraqueelespossamconversarutilizandochavessimtricas. OservidorRADIUSsuportamuitosmecanismosdeautenticao,entreessesPPPPAP,PPPCHAP,Unixlogin,entreoutros.

Terminologias

Servidor Cliente Servio Sesso Descarte Silencioso

RefereseaoservidorRADIUS. RefereseaoNAS,quetambmumservidor,masatuacomoumclienteparaoservidorRADIUS.importantenotarqueousuriono ocliente. providopeloNAS,parausuriosseautenticarem. cadaumdosserviosprovidospeloNASparaumusurioqueseconectanarede.Asessocomeaquandooservioprovidoe terminaquandooservioacaba. Significaqueosistemadescartouumpacotesemqueelefosseprocessado.Semprequeissoocorregeradoumlog,contendoocontedo dopacote,almdeumaestatsticadeerros.

Operao
UmclienteRADIUSconfiguradoparaobterinformaessobreousurio,emgeralonomeeasenhaemumajanela.Existemaindacasosalternativos, quandoseutilizamprotocoloscomooPointtoPointProtocol(PPP),nosquaisaautenticaofeitaporpacotesquecarregamasinformaesnecessrias. Umavezquerecebeuessasinformaes,oclientepodeoptarporfazerumaautenticaoRADIUS,criandoparaisso,umaidentificaodigitalparao usurio.Essachamadade"AccessRequest",econtmoscamposnomedousurio,senha,oIDeoPortIDqueousurioestacessando.Asenha criptografadautilizandooMD5(RSAMessageDigestAlgorithm). O"AccessRequest"enviadopelaredeparaoservidor.Casoaconteaumafalha,opedidopodeserreenviadoalgumasvezes,tantoparaoservidor principal,quantoparaosseusslaves.Apsreceberopedido,oservidorirchecarsereconheceocliente,ouseja,verificarseelescompartilhamumasenha. Seoclientenoforpreviamenteconhecido,opacotedescartadosilenciosamente. Apsconferirseoclientevlido,oservidorconfereaidentidadedousurio,comparandoalgunsdadosdopedido,comoasenha,comasuabasede dados.Nessemomentooservidortambmverificaqualograudeacessopodeserdadoaodeterminadousurio,deacordocomosclienteseportasqueele estautorizadoausar.Setodasascondiesnoforemsatisfeitas,oservidorrespondeparaoclientecomum"AccessReject",quepodeconteruma mensagemparaousurio,quepodesermostradaparaocliente.Onicoatributopermitidoparaessaresposta,almdamensagem,oProxyState. Mesmoquetodososatributoscorrespondamaoesperadoparaaqueleusurio,oservidorpodequererumanovaconfirmao,paraaumentarasegurana,

www.gta.ufrj.br/~natalia/autenticacao/radius/index.html

1/14

06/06/13

RADIUS

enviandoumdesafioparaousurio,oquechamadode"AccessChallenge".Casooclientepossatrabalharcomessaopo,ousuriodeverresponderao desafio,ereenviaroAccessRequestcomumnovoIDearespostanolugardasenha.Apsisso,oservidorpoderdaroacesso,rejeitarouaindaenviarum novodesafio. Odesafioumaseqnciadenmerosenviadapeloservidorparaousurio,quedevercriptograflaeenviladevolta.Issosedeveaofatodeque usuriosautorizadospossuemmeios,taiscomoumsmartcard,ousoftwareadequado,quealgumquetenharoubadoumasenhaetenteentrar maliciosamentenaredeprovavelmentenovaiter,noconseguindoenviararesposta.Almdisso,esseusuriomaliciosoprecisapossuiasenhaque compartilhadacomoservidorparafazeracriptografia,oquedificultaaindamaisatentativadeinvaso.Essemaisummeioparatentaraumentara segurananarede. Paradaroacesso,oservidorenviaum"AccessAccept"paraocliente,quepossuiumalistadeatributosquepermitiroqueousurioutilizeoservio desejado. Porexemplo: NAS(NetworkAttachedStorage)

InteroperabilidadecomPAPeCHAP
PasswordAuthenticationProtocol(PAP)eChallengeHandshakeAuthenticationProtocol(CHAP)soprotocolosdeautenticaousadoscomPPP. Ambosforamidealizadosparaidentificarsistemasdecomputadores,enousurios.

www.gta.ufrj.br/~natalia/autenticacao/radius/index.html

2/14

06/06/13

RADIUS

OCHAP,definidoporRFCem1994,temoseguintefuncionamento: Apsestabeleceraconexo,oservidorenviaumdesafioparaoquemestrequisitandoaconexo. Opontoquedesejaseautenticarrespondeodesafio,calculandoafunoHashporMD5(MessageDigest5)donmeroenviadopeloservidor. OservidortambmcalculaoHashecomparaseovaloromesmoquefoirespondidopelocliente.Casoseja,aautenticaocompletada,eoacesso dado. Aautenticao,defato,feitabaseandosenofatoqueexisteumachavequesomenteopontoquequerseautenticareoservidorpossuem.Somentecom estaqueomesmohashpodedercalculadoporclienteeservidor.Paraumaautenticaomtua,bastaqueoCHAPsejarealizadoemambasasdirees. OPAP,assimcomooCHAP,podeoperarbidirecionalmente,emboraasimplementaesemPPPporconexodiscadanocostumemimplementarisso. Emgeral,temseporpadroqueoclienteacreditaqueoservidorseguro. ParafazerautenticaoporPAP,oNASpegaoPAPIDeasenhaeosenviaemumpacoteAccessRequest,quepodeconterumatributodeservio indicandoparaoservidorqueaqueleumserviodePPP. JparaoCHAP,oNASgeraumdesafio,eenviaoparaousurio.Essegeraumaresposta,eaenviaparaoNAScomoCHAPIDeonomedousurio CHAP.ONAS,envia,ento,umAccessRequestparaoservidorRADIUSsubstituindoonomedousuriopelonomedousurioCHAPeasenhapelo CHAPIDearespostadoCHAP.OdesafioeatributodeserviopodemserinseridosnesseAccessRequest. Emseguida,oservidorRADIUScriptografaodesafiocomMD5,ecomparaoresultadocomasenhadeCHAP.Seforemiguais,oservidorenviaum AccessAccept,e,casocontrrio,umAccessReject. Seoservidornoestiverhabilitadoparaessetipodeautenticao,eleautomaticamenteenviarumAccessRejectparaocliente. AautenticaoporProxytambmpodeestarhabilitada.

ProtocolodeTransporte
ORADIUSutilizaoUDP(UserDatagramProtocol),aoinvsdoTCP(TransmissionControlProtocol),pormotivostcnicos. Primeiramente,deveseconsiderarqueseumservidorfalhar,oclientepodebuscarporumoutroqueosubstitua.Parafazerisso,umacpiadopedido devesermantidasobreacamadadetransporte,parapermitirumatransmissoalternativa,oquedemonstraanecessidadedetemporizadorespara retransmisso. Noentanto,osrequerimentosparaessestemporizadorescomoRADIUSsobemdiferentesdaquiloqueoTCPoferece.Issoporqueousurio,aofazera autenticao,sabequedeveresperaralgunssegundos,noseimportandosealgumainformaovaiserperdidaounonessetempo.Assim,aretransmisso TCP,assimcomoseusacknowledgmentsnosonecessrios.Almdisso,casooservidornosejaachado,ousurionoiriagostardeesperar2minutos paraqueopacotesejaretransmitido,comofariaoTCP.Pelocontrrio,eleesperaqueumasoluorpidasejaencontrada,comoumnovoservidor. Outropontoaseconsiderarqueclienteseservidorespodementraresairdaredeaqualquermomento.OprotocoloTCPesthabilitadoparasuportar isso,masnecessitariaumasriedeadaptaesquesoautomticascomoUDP.

ObservaessobreRetransmisso
CasodesejeseutilizarumservidoralternativoparaoRADIUS,poderseutilizaromesmoRequestAuthenticatoreID,desdequeosdoisservidores possuamamesmasenhadecomunicaocomocliente.Podesetambmconfigurarparapacotespedidosdiferentesaomudardeservidor. Semprequealgumatributoformodificado,comoasenhadousurio,sernecessriorequisitarumnovoRequestAuthenticatoreumnovoID. SeoNASestretransmitindoumpedidoparaummesmoservidor,eosatributosnoforammodificados,eleterqueutilizaromesmoRequest Authenticator,omesmoIDeamesmaporta.Casoosatributossejammodificados,bastamodificarosdoisprimeirostensparafazeronovopedido. UmservidorNASpodeutilizaromesmoIDportodosparatodososservidores,casoqueira,ouaindautilizarumIDparacadaservidor.Casoeleprecise demaisde256IDs,elepoderutilizarportasadicionaisparaenviarpedidos,mantendoumconjuntodeIDsparacadaporta.Issoopermiteenviarmaisde16 milhesdepedidosaomesmotempoparaumnicoservidor.

FormatodoPacote
UmpacotedeRADIUSencapsuladonocampodedadosdoUDP,indicandoaportadedestinocomoa1812.Quandoumarespostagerada,asportas deorigemedestinosotrocadas.VersesmaisrecentesdoRADIUSforamdesenvolvidasutilizandoaporta1645,oquegeroualgunsconflitos.Defato,a portaoficialparaoRADIUSa1812. OformatodosdadosenviadospeloRADIUSsegueoformatoaseguir,sendoqueoscampossoenviadosnaordemdadireitaparaaesquerda.

www.gta.ufrj.br/~natalia/autenticacao/radius/index.html

3/14

06/06/13

RADIUS

CampoCdigoFormadoporumbyte,eidentificaotipodepacoteRADIUS.Casonopossuaumaidentificaoconhecida,ocorreum"silentdiscard". Cdigosemdecimal: 1 2 3 4 5 11 12 13 255 AccessRequest AccessAccept AccessReject AccountingRequest AccountingResponse AccessChallenge StatusServer(emtestes) StatusClient(emtestes) Reservado

CampoIdentificadorTambmcompostoporumbyte,auxilianaligaodepedidoserespostas.OservidorRADIUSpodedetectarumpedido duplicado,porexemplo,verificandoqueospedidospossuemomesmoIPdocliente,amesmaportaUDPeomesmoIDemumpequenoespaodetempo.

CampoComprimentoPossui2bytes.Indicaotamanhototaldopacote,incluindotodososcampos.Octetosforadolimiteespecificadoporestecampo sodescartados.Casoopacotepossuaumtamanhomenorqueoindicado,eledescartadosilenciosamente.Otamanhomnimodopacotede20eo mximo4096.

CampoAutenticadorPossui16octetos.Oprimeirobytetransmitidoomaisimportante,poispossuiumnmeroqueutilizadoparaautenticara respostadoservidorRADIUS,almdetambmserusadonoalgoritmoparaesconderasenha. Paracadacdigo,essecampoassumevaloresdistintos,queestoespecificadosaseguir: ParaoRequestAuthenticator:umnmerorandmico,echamadode"RequestAuthenticator",cujovalordevesertotalmentealeatrioenico dentrodoperododevidadasenhacompartilhadapeloservidorepelocliente.Issoporqueapossedessenmeroaliadaaoconhecimentodessasenhapermite queuminvasorintercepteotrfegoeoresponda,sepassandopelaoutraparte.Umavezque,pensandoemtermosglobais,possvelqueomesmonmero sejaescolhidoemservidoresdistantesaomesmotempo,oRequestAutenticatorpodepossuircamposindicandoalocalidadeeomomentodeformanica. Nocampodosatributos,especificamentenasenhadousurionoAccessRequest,colocadooXORentreasenhadousurioeohashporMD5da senhadeclienteeservidor. ParaoResponseAuthenticator:TantoparaoAccessAccept,oAccessRejecteoAccessChallenge,essecamposerpreenchidopelohashporMD5 daconcatenaodocampodecdigo,docampodetamanho,docampodepedidodeautenticaodoAccessRequest,dosatributosdarespostaeporfim,do segredocompartilhado.

TiposdePacote

1)AccessRequest

www.gta.ufrj.br/~natalia/autenticacao/radius/index.html

4/14

06/06/13

RADIUS

Contmasinformaesnecessriasparaautenticarousurio,dandoaele,ouno,autorizaoparaumdeterminadoNASoudeterminadosservios. Oquedeveexistirnopacote: Nomedousurio AtributocomaportadeNASe/ouotipodeportadeNAS Oquetemqueexistirnopacote: IPdoNASouumatributodeidentifciaodesse. OuohashdaSenhadousurioporMD5,ousenhadeCHAP,ouumestado. Oquetemqueexistirnopacote: Atributosquesirvamcomodicasparaoservidor

2)AccessAccept

Contmainformaonecessriaparapermitiroacessoaoservio.SerenviadopeloservidorRADIUSsemprequeumAccessRequestcomtodosos camposvlidosforrecebido.OcampoResponseAuthenticatordeverconterarespostacorreta,ouopacoteserdescartadosilenciosamente.

3)AccessReject enviadosemprequeoservidorrecebeumAccessRequestnegado.Podecontermensagensderesposta,quepodemounosermostradaspeloNAS.

www.gta.ufrj.br/~natalia/autenticacao/radius/index.html

5/14

06/06/13

RADIUS

4)AccessChallenge

PodeserenviadopeloservidorRADIUS,emrespostaaumAccessRequest,podendoterounomensagensderesposta.OcampoResponse Authenticatorprecisaconterarespostacertaaopedidoparaessepacoteseraceito,pois,casocontrrio,eleserdescartado. CasooNASnoestejahabilitadoatrabalharcomessetipodepacote,eleorecebercomosefosseumAccessReject.Casoesteja,elepodermostraruma mensagemparaousurio,eemseguida,abrirumacaixadetextoparaqueousuriocoloquearesposta.ApsissooNASreenviaoAccessRequest, colocandoumnovoIDeumnovoRequestAuthenticator,enoatributosenhadeusurio,elecolocaarespostacriptografada.Noatributodeestadoser selecionado1ou0. OsNAS'squesuportamPAPpodemenviaramensagemderespostaparaoclientediscadoeaceitararespostadoPAP.CasooNASnotenhasuporte paraisso,oAccessChalengesertratadocomoumAccessReject.

Atributos
OsatributoscontidosnopacoteRADIUStmporfimautenticar,autorizar,informareconfigurardetalhesparapedidoserespostasentreclienteeservidor. OfimdalistadeatributosmarcadopelotamanhodopacoteRADIUS.Algunsatributospodemserinseridosmaisqueumavez,comafinalidadedecausar efeitosqueserodescritosnessedocumento. Cadatipodepacotepossuiumalistadeatributosquepodeconter,eissoirvariardeacordocomanecessidadedaqueletipodepacote.Osatributostmo formatoaseguiresotransmitidosdaesquerdaparaadireita.

Tabelacomatributos,tiposdepacotesenmeroderepeties:

www.gta.ufrj.br/~natalia/autenticacao/radius/index.html

6/14

06/06/13

RADIUS

Request 01 01 01 01 01 01 01 01 01 0 0 01 0+ 0+ 0 0 0 01 0 0 0 01 0 0+ 0 0 0 01 01 01 0+ 01 01 01 0 0 0 01 01 01 01

Accept 01 0 0 0 0 01 01 01 01 01 0+ 01 0+ 0+ 01 01 0+ 01 01 0+ 01 01 0+ 0+ 01 01 01 0 0 0 0+ 01 01 01 01 0+ 01 0 0 01 01

Reject 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0+ 0 0 0 0 0 0 0 0 0 0 0 0 0 0+ 0 0 0 0 0 0 0 0 0 0

Challenge 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0+ 0 0 0 0 01 0 0+ 01 01 0 0 0 0 0+ 0 0 0 0 0 0 0 0 0 0

NmerodoAtributo 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 19 20 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 60 61 62 63

NomedoAtributo UserName UserPassword CHAPPassword NASIPAddress NASPort ServiceType FramedProtocol FramedIPAddress FramedIPNetmask FramedRouting FilterId FramedMTU FramedCompression LoginIPHost LoginService LoginTCPPort ReplyMessage CallbackNumber CallbackId FramedRoute FramedIPXNetwork State Class VendorSpecific SessionTimeout IdleTimeout TerminationAction CalledStationId CallingStationId NASIdentifier ProxyState LoginLATService LoginLATNode LoginLATGroup FramedAppleTalkLink FramedAppleTalkNetwork FramedAppleTalkZone CHAPChallenge NASPortType PortLimit LoginLATPort

Notas: 0Esteatributonoprecisaestarnopacote. 0+Zerooumaisacontecimentosdesteatributopodemestarnopacote. 01Zeroouumacontecimentodesteatributopodeestarnopacote. 1Exatamenteumantecimentodesseatributoporpacote. Fonte:AdaptadodeRigney,etalStandardsTrackPage62RFC2865RADIUSJune2000

www.gta.ufrj.br/~natalia/autenticacao/radius/index.html

7/14

06/06/13

RADIUS

1)Tipo

Campocompostoporumbyte.Existemalgunsvaloresparaessecampoqueestoreservadosparapesquisaedesenvolvimento,eosdemaisestolistados acima.importantedizerqueaordemcomquediferentestipossolistadosnopacotenoimporta,desdequesuasespecificaesestejamacompanhandoo segundoomostradoanteriormente. 2)Comprimento Estecampotambmformadoporumbyte,eestreservadoparaindicarotamanhodaqueleatributo,incluindoostrscampos.UmAccessRequestque tenhaocampocomprimentodequalquerumdosseusatributoserradostercomorespostaumAccessReject.Qualquertipoderespostadoservidorcomo comprimentodequalqueratributoerradodeversertratadacomoumaAccessRejectouaindaserdescartadosilenciosamente.

3)Valor Temcomprimentovarivel,trazendoinformaesespecficassobreoatributo.Essecampopodeterdadosem5formatosdiferentes,sendoeles: 1 texto 2 string 4 inteiro 5 tempo Variaentre1e253bytes,contendotextoemUTF8codificado10646.Casootextotenhacomprimentozero,ocampocompletodeveser omitido. Variaentre1e253bytescomdadosembinrio.Casoocomprimentodastringsejazero,oatributocompletodeveseromitido. Tamanhode4bytessemsinal,comosbitsmaissignificativosfrente. Tamanhode4bytes,comosbitsmaissignificativosfrente,contendoonmerodesegudosdesdeozeroUTC,almdodia,mseano.

3 endereo Tamanhode4bytes,comosbitsmaissignificativosfrente.

SenhadoUsurio
EsseatributousadonosAccessRequest's.Asenhanopodepassaremabertopelarede,enquantovaisertransmitida,exigindoparaissoumtratamento especial. Primeiramente,asenhacompletadacomzerosatformarummltiplodedezesseisbytes.Emseguida,oRequestAuthenticatorconcatenadoaelae, depoiscalculadoohashporMD5.Essevalor,ento,entraemumXORcomosdezesseisprimeirosoctetosdasenhaesoguardadosnosdezesseis primeirosoctetosdastringdocampodesenhadousurio. Casoasenhapossuamaisdoquedezesseiscaracteres,ohashrecalculadocomaconcatenaodasenhacomoresultadodoprimeiroXOR.Emseguida essenovoresultadoentraemumXORcomosprximos16octetosdasenha,eoresultadofinalguardadonosegundocampode16octetosdocampode stringdoatributo.Essaoperaoserrepetidaquantasvezesforemnecessrias,atummximode128caracteres. Narecepo,oprocessorevertidoatsealcanarasenhaoriginal. Ocampodesenhapoderserpreenchidosegundoasseguintesespecificaes: Tipo2 Comprimento<=18e<=130 String<=16e<=128bytes

CHAPPassword
EstetipodesenhautilizadoquandoseutilizaoPPPcomCHAP (ChallengeHandshakeAuthenticationProtocol).Nessecaso,oatributovaiestar preenchidocomarespostadousurioaodesafio,noAccessRequest.Ovalordo desafioficaguardadonoatributoCHAPChallenge,ouaindanocampoRequest Authenticator.

www.gta.ufrj.br/~natalia/autenticacao/radius/index.html

8/14

06/06/13

RADIUS

Oformatodesseatributomostradoaseguir:

Oscamposdevemserpreenchidosseguindooespecificadoabaixo: Tipo:3 Comprimento:19 Identificador:Campode1byte,comoidentificadorCHAP,obtidodo CHAPResponsedousurio. String:Campocom16bytes,contendooCHAPResponsedousurio.

ServiceType
Essecampodeterminaparaqualtipodeservioaautenticaoest sendofeita.TiposdeserviodesconhecidospeloNASdevemsertratadoscomum AccessReject.OservidorpodeencararessecampocomoumadicadoNASsobrequaltipodeautenticaoousuriogostariadeusar,nousandoisso necessariamente. Oformatodesseatributosegueaseguir:

Tipo:6 Comprimento:6 Valor:Ocupa4bytes.Podeserpreenchidocomalgumdosvalores especificadosabaixo: 1 2 3 4 5 6 7 8 9 Login Framed CallbackLogin CallbackFramed Outbound Administrative NASPrompt AuthenticateOnly CallbackNAS Prompt Deveserusadoparaocasodeusurioconectadoaumhost Deveserescolhidoquandoousurioutilizar"framedprotocols",comooPPPouSLIP Usadoquandoousuriodesconectouesereconectaaumhost Usadoquandoousuriodesconectouesereconectautilizando"framedprotocols",comooPPPouSLIP Utilizadoquandoousurioirteracessoadispositivosexternos DeveserusadoquandoousurioirrealizaratividadesdeadministradordoNAS utilizadoquandoousuriodesejautilizarumpromptparaoNAS,massemnenhumprivilgiodeadministrador Utilizadoapenasparaautenticao,emgeral,parausurioscomproxies SemelhanteaoNASPrompt,devendoserutilizadoquandoousuriosedesconectouequernovamenteutilizaroservio UsadopeloNASnoAccessRequestquandosedesejaindicarqueumaligaoestsendorecebida,enecessrioqueoservidor RADIUSaautentique. SemelhanteaoAdministrative,devendoserutilizadoquandoousuriosedesconectouequernovamenteutilizaroservio

10 CallCheck

11 Callback Administrative

www.gta.ufrj.br/~natalia/autenticacao/radius/index.html

9/14

06/06/13

RADIUS

Adaptadode:Rigney,etal.StandardsTrackPginas31e32RFC2865RADIUSJunhode2000

OutrosAtributos
Existemaindamuitosoutrosatributos,queseroresumidamentedescritosaseguir: FramedProtocolIndicaoquadroqueestsendousado,deacordocomo"FramedProtocol"escolhido.PodeserusadotantonoAccessRequest quantonoAccessAccept.Oseutipo7,eosvalorespodemser: 1 2 3 4 5 6 PPP SLIP AppleTalkRemoteAccessProtocol(ARAP) GandalfproprietarySingleLink/MultiLinkprotocol XylogicsproprietaryIPX/SLIP X.75Synchronous

FramedIPAddressIndicaoendereoquedeveserconfiguradoparaocliente.PodeserutilizadotantonoAccessAcceptquantonoAccessRequest. Oseutipo8eoendereodevesercolocadonocampovalordesseatributo. 0xFFFFFFFF 0xFFFFFFFE Outrosvaloresvlidos Indicaqueoendereopodesernegociadocomousurio IndicaqueoNASdeveescolheroendereoparaousurio IndicamquedeveserusadooIPdoclientenacomunicao

FramedIPNetmaskIndicaqueamascaradoIPfoiconfiguradapelousurioparafinsderoteamentonarede.PodeserusadonoAccessAccepteno AccessRequest,emboranadaobrigueoservidorautilizaramscaradeterminada.Oseutipo9,eocampoendereo(quesubstituiocampovalor),dever conteramscaraderede. FramedRoutingIndicaotipoderoteamento,quandoousurioumroteadordarede.UsadoempacotesAccessAccept,possuitipo10epodeteros seguintesvalores: 0 1 2 3 Nenhum Enviodepacotesderoteamento Escutadepacotesderoteamento Enviareescutar

FilterIdIndicaonomedofiltrodelistaaserutilizadoporesteusurio.Podemexistirvriasidentificaesdefiltro,ouaindanenhuma,nopacote AccessAccept.Otipoparaessepacote11.Ocampovalorsubstitudopelocampotexto,quedeverconteralgumainformaosobreaimplementaoda lista. FramedMTUIndicaamximaunidadedetransmissoquepodeserconfiguradaparaousurio.PodeseusadonoAccessAcceptenoAccess Request. FramedCompressionIndicaoprotocolodecompressoaserutilizado.PodeseusadonoAccessAcceptenoAccessRequest.Maisqueuma refernciadeprotocolosdecompressopodemserenviadas,cabendoaoNASescolheraapropriada.Osvalorespodemser: 0 1 2 3 Nenhum VJTCP/IPparacompressodecabealho IPXparacompressodecabealho CompressoStacLZS

LoginIPHostIndicaosistemautilizadoparaconectarousurioquandooatributoLoginServiceestselecionado.PodeseusadonoAccessAccepte noAccessRequest.Paraesseatributoocampovalorsubstitudopelocampoendereo,quepodeserpreenchidocom:

www.gta.ufrj.br/~natalia/autenticacao/radius/index.html

10/14

06/06/13

RADIUS

0xFFFFFFFF 0 Outrosvalores

ONASpermitequeousurioescolhaoendereo ONASescolheumhostparaconectarousurio IndicamoendereoqueoNASdeveconectarousurio

LoginServiceIndicaoservicequedeveserusadoparaconectarousuriocomohost.usadosomenteempacotesdeAccessAccept. 0 1 2 3 4 5 6 8 Telnet Rlogin TCPClear PortMaster(Proprietrio) LAT X25PAD X25T3POS TCPClearQuiet

LoginTCPPortIndicaaportaTCPqueousuriodeveestarconectado.

ReplyMessageIndicaotextoquepodeserexpostoparaousurio.Podeserumamensagemdesucessonoenvio,mensagemdefalha,alguma mensagemdedilogo,ouaindaumdesfio.Nesteatributo,ocampovalorpreenchidopelotexto. CallbackNumberEsseatributotrazumnumeropararefazerachamada.utilizadoemAccessAccepteAccessRequest,emboranosejaobrigatrio paranenhumdosdois. CallbackIdIndicaonomedolocalaserchamado,parainterpretaodoNAS. FramedRouteDinformaesderoteamentoparaousuriodoNAS.Esseatributopodeaparecervriasvezes.Ocampovalorsubstitudoporum texto,quepararotasIPdeveconterumprefixodedestino,seguidodeumabarraeumespecificadordefinindoaqualordemosbitsdoprefixodeveser usados.Seoespecificadorforomitido,odefaultficasendo8bits,indicandoclasseA.Apsisso,existeumespao,oendereodegateway,umespao,e podemexistiroutrasmtricasseparadasporespaos.Comoexemplo: 192.168.1.0/24192.168.1.11213400 FramedIPXNetworkIndicaonmeroderededoIPXparaserconfiguradoparaousurio. StateTrazinformaesespecficasparaoservidorenopodesermodificadopelocliente. ClassSemelhanteaoState. VendorSpecificPermitequedesenvolvedoresdesenvolvamseusprpriosatributos,usandoesseatributocomosuporteparaosnovos.importante resaltarqueosnovosatributosnodeveminterferirnofuncionamentodoprotocoloRADIUS. SessionTimeoutDeterminaotempomximodesesso. IdleTimeoutTempomximodeinatividadeemumasesso. TerminationActionIndicaqualaooNASdevetomaraofimdoservioespecificado.Usadosomenteempacotesaccessaccept.Podeassumiros seguintesvalores: 0 1 Default RADIUSRequest

CalledStationIdPermitequeoNASenvienoAccessRequestonmerodetelefoneutilizadonadiscagemusandoatecnologiaDNIS(Dialed NumberIdentification)oualgumasemelhante. CallingStationIdPermitequeoNASenvienoAccessRequestonmerodetelefonedeondealigaofoifeita,usandoANI(AutomaticNumber Identification)outecnologiasemelhante. NASIdentifierEsseatributocontmcomovalorumastringidentificandodequalNASopacotedeAccessRequestveiooriginalmente. ProxyStateusadoporumservidorproxysecomunicandocomumoutroservidor,duranteoenviodeumAccessRequest.

www.gta.ufrj.br/~natalia/autenticacao/radius/index.html

11/14

06/06/13

RADIUS

LoginLATServiceIndicaosistemacomoqualousuriodeveserconectadoaoLAT. LoginLatNodeIndicaoncomoqualousurioserautomaticamenteconectadopeloLAT.SpodeserusadoquandooLATnoespecificado duranteologin. LoginLATGroupContmumastringidentificandoocdigodegruposdoLATqueousurioestautorizadoautilizar.Spodeserusadoquandoo LATnoespecificadoduranteologin.OLATsuporta256diferentescdigosdegrupo,osquaissoutilizadosdeformaadardiferentesnveisdeacesso. FramedAppleTalkLinkIndicaonmeroderededoAppleTalkquedeveserusadocomolinkserialpelousurio,queumroteadordeAppleTalk. Nopodeserusadoseousurionoumroteador. FramedAppleTalkNetworkIndicaonmeroderededoAppleTalkqueoNASdevesondarparaalocarumnAppleTalkparaousurio. FramedAppleTalkZoneIndicaaAppleTalkDefaultZonequedeveutilizadaporaqueleusurio.Nopodeserusadomaisqueumavezemum mesmopacote. ChapChallengeEsseatributotrazodesafiodoCHAPparaserenviadoaousuriopeloNAS. NASPortTypeIndicaotipodeportafsicadoNASqueestusandoparaautenticarousurio.Podeassumirosseguintesvalores:

0 1 2 3 4 5 6 7 8 9

Async Sync ISDNSync ISDNAsyncV.120 ISDNAsyncV.110 VirtualIndicaumaconexocomoNASutilizandoalgumprotocolodetransporteaoinvsdeumaportafsica PIAFS HDLCClearChannel X.25 X.75

10 G.3Fax 11 SDSLDSLsimtrico 12 ADSLCAPDSLassimtrico,modulaoAM/FMcomportadorasuprimida 13 ADSLDMTDSLassimtrico,multitomdiscreto 14 IDSLISDNDigitalSubscriberLine 15 Ethernet 16 xDSLDigitalSubscriberLinedetipodesconhecido 17 Cable 18 WirelessOutros 19 WirelessIEEE802.11 PortLimitLimitaonmerodeportasquepodemserprovidasaousuriopeloNAS. LoginLATPortIndicaaportaquedeveserutilizadaparaconectarousurioaoLAT. Existemaindaespaosreservadosparaatributosquepossamvirasercriados.

Exemplos

Aseguirsegueumexemplodefuncionamentoadaptadode"Rigney,etal.,StandardsTrack,RFC2865,RADIUS,Junhode2000".Paraeste,serdadoo cdigohexadecimaldospacotes,utilizandocomosegredocompartilhado"xyzzy5461". Exemplo:UsurioTelnet,denomenemo,seconectandoaumhostespecificadoatravsdaporta3,comsenha"arctangent": Primeiramente,emitidoumAccessRequestdoNASparaoservidorRADIUS,comosatributosespecificadosabaixo:

www.gta.ufrj.br/~natalia/autenticacao/radius/index.html

12/14

06/06/13

RADIUS

Aoreceberessepacote,oservidorRADIUSavaliaopedidoeautenticaousurio,enviandoumpacoteaAccessAcceptparaoNAS,quedever,ento, daracessoaoTelnetparaousurioemquesto.

Segurana
CadaservidorRADIUStemassociadoaeleumabasededadoscontendoonomedousurioeoseurespectivosegredo.Essesegredodevesermantidode formasegura,esdeveseracessvelpelasautoridadesresponsveispelaautenticao,preferencialmentessendoacessvelduranteumpedidode

www.gta.ufrj.br/~natalia/autenticacao/radius/index.html

13/14

06/06/13

RADIUS

autenticao. Omaiorproblemacomrelaoaguardarassenhas,asuadistribuiopelosservidores.Asrecomendaesacimadevemserseguidas,emboraomtodo decomoissoserfeitonoespecificadonoprotocoloRADIUS.Noentanto,existeumarecomendaopelousodeSNMPSecurityProtocolspara solucionaroproblema. Outraconsideraoquecadausuriospodeselogarutilizandoumtipodeautenticao,umavezque,seexistemmltiplosmodos,umatentativade ataqueutilizariasempreomtodomaisfraco.Dessaforma,seporalgumarazoousurionecessitardemltiplosmtodosdeautenticao,eledevepossuir umnomedeusurioparacadaumdeles. Deveseobservartambmotratamentodadoassenhas,quefoidescritoanteriormente.importanteresaltarquenoforamfeitosestudoscriptogrficos exaustivosquepudessemcomprovaraseguranadomtodoutilizado.Dessaforma,essepontodeveserconsideradoantesdeseoptarpeloRADIUS,casoa redeemquestoestejaemumambientemuitohostilequeexijaumaltonveldesegurana.

Bibliografia

http://www.microsoft.com/windows2000/techinfo/administration/radius.asp http://www.ietf.org/rfc/rfc2865.txt?number=2865 http://www.cisco.com/warp/public/471/understanding_ppp_chap.html#1 http://theory.cs.unibonn.de/ppp/part2.html http://www.clubedasredes.eti.br/rede0008.htm

www.gta.ufrj.br/~natalia/autenticacao/radius/index.html

14/14