FACULDADE ESTÁCIO DO PARÁ

SANDRO BRITO BARBOSA, THÁSSIO RODRIGO TEIXEIRA DOS SANTOS

SERVIDORES RADIUS

Belém/PA
2013
SANDRO BRITO BARBOSA, THÁSSIO RODRIGO TEIXEIRA DOS SANTOS

SERVIDORES RADIUS

Trabalho referente a Servidores

Radius da disciplina Redes sem Fio,
ministrada por Paulo Lourinho.
Realizado pelos alunos: Sandro Brito
Barbosa, Thássio Rodrigo Teixeira dos
Santos.

Belém/PA
2013

2
 SUMÁRIO

Introdução ..................................................................................................................................... 4
1- Funcionamento do servidor. ..................................................................................................... 5
2- ProtocoloS de transportes. ....................................................................................................... 6
2.1- Campo Código .................................................................................................................... 6
2.2- Campo Identificador .......................................................................................................... 6
2.3- Campo Comprimento ......................................................................................................... 6
2.4- Campo Autenticador .......................................................................................................... 7
3- segurança. ................................................................................................................................. 7
Conclusão. ..................................................................................................................................... 8
Referências: ................................................................................................................................... 9

3
 INTRODUÇÃO
O servido RADIUS é um sistema utilizado para prover uma autenticação
centralizada em redes VPN's (Virtual Private Network), dial-up e redes sem fio, o
mesmo trabalha operando no modelo cliente-servidor, onde o Network Access Server
(NAS) é o cliente. , o qual este cliente também é um servidor, mas atua como um cliente
para o servidor RADIUS, o usuário neste caso não é o cliente.

É responsável por obter a informação sobre o cliente e repassá-la para o servidor

RADIUS, além de interpretar a resposta, dando ou não acesso ao cliente;
Responsabiliza-se de receber pedidos de conexão, autenticando o usuário e repassa-las
ao NAS as informações necessárias para que esse usuário tenha acesso a rede. Podendo
também ter as características de funcionamento de um proxy para outros servidores
iguais a ele.

Este sistema de servidor proporciona ao usuário maior segurança em suas

senhas, pois este tipo de informação é passada entre servidor e cliente RADIUS com
utilização de chaves simétricas e criptografia com a utilização do MD5 (RSA Message
Digest Algorithm), anulando assim a passagem da senha do usuário pela rede. Esse
mecanismo de segurança do servidor RADIUS suporta vários mecanismos de
autenticação como, por exemplo, o ppp pap e Unix login.

Em seu modo de operação é configurado um cliente RADIUS para ter

informações do usuário como nome e a senha de uma janela, há também a possibilidade
de se fazer a autenticação por pacotes que carregam as informações necessárias através
de protocolos como o ppp (point-to-point protocol). Ao serem recebidas estas
informações pelo cliente o mesmo pode optar por fazer a autenticação RADIUS,
criando para o usuário uma autenticação digital chamada de Access–request, o qual
contém os campos senha, nome do usuário, o port ID e ID que o usuário acessa.

Quando enviado pela rede o Access-request para o servidor, se ocorrer falhas, o

pedido pode ser reenviado tanto para o servidor principal quanto para seus slaves,
quando recebido este pedido será feita pelo servidor a checagem de reconhecimento do
cliente através do compartilhamento de senhas entre cliente e servidor RADIUS caso
não seja reconhecida tal senha compartilhada o pacote será descartado.

4
 1- FUNCIONAMENTO DO SERVIDOR.
Um dos meios para aumentar a segurança na rede foi a criação do servidor
RADIUS, com o objetivo de dificultar a invasão de informações nos servidores, este
servidor cria mecanismos como criptografia de senhas para que não seja possível a
violação das informações . Quando a conferência é validada para o cliente este servidor
compara alguns dados do pedido conferindo a identidade do usuário com sua senha e
base de dados, relacionando também seu nível de acesso ao sistema o qual foi
autorizado a usar.

“O Access-Reject” acontece quando as condições do servidor não são satisfeitas,

esta mensagem então aparecerá para o cliente, mesmo o usuário correspondendo a todos
os atributos esperados o servidor envia uma mensagem como desafio para o usuário
(Access–challenge), após este desafio o servidor pode ou não dar acesso a este usuário
ou continuar repetindo este desafio dependendo da resposta deste e o reenvio do o
Access-Request com um novo ID e a resposta no lugar da senha. desafio é uma
sequencia de números enviada pelo servidor para o usuário, que deverá criptografa-la e
enviá-la de volta.

O “access-accept” é dado quando o servidor dá acesso ao cliente para que utilize o

serviço solicitado através de uma lista de atributos a exemplo do NAS .

Fig 1

NAS (Network Access Server).

5
 2- PROTOCOLOS DE TRANSPORTES.
O RADIUS por motivos técnicos utiliza o protocolo UDP, pois, se um servidor
falhar o cliente pode buscar por outro que o substitua, para que a informação seja
encontrada de maneira rápida não se importando se a informação irá ser perdida ou não.
Considera-se também que clientes e servidores podem entrar e sair da rede a qualquer
momento e o protocolo UDP suporta isso automaticamente coisa que o TCP deveria
passar por adaptações para que fosse possível com o mesmo.

Quanto a Retransmissão utilizando um servidor alternativo RADIUS, é possível

desde que os dois servidores possuam a mesma senha de comunicação com o cliente,
poderá ser utilizado o mesmo Request Authenticator e ID, Podendo também configurar
para pacotes pedidos diferentes ao mudar de servidor.

O formato de seu pacote de RADIUS é encapsulado no campo de dados do

UDP, indicando a porta de destino como a 1812, Quando uma resposta é gerada, as
portas de origem e destino são trocadas, os campos são enviados na ordem da direita
para a esquerda seguindo o seguinte formato:

Fig. 2

2.1- Campo Código: Formado por um byte, e identifica o tipo de pacote RADIUS.
Caso não possua uma identificação conhecida, ocorre um "silent discard".

2.2- Campo Identificador: Também composto por um byte, auxilia na ligação de

pedidos e respostas. O servidor RADIUS pode detectar um pedido duplicado, por
exemplo, verificando que os pedidos possuem o mesmo IP do cliente, a mesma porta
UDP e o mesmo ID em um pequeno espaço de tempo.

2.3- Campo Comprimento: Possui 2 bytes. Indica o tamanho total do pacote, incluindo
todos os campos. Octetos fora do limite especificado por este campo são descartados.
Caso o pacote possua um tamanho menor que o indicado, ele é descartado
silenciosamente. O tamanho mínimo do pacote é de 20 e o máximo é 4096.

6
2.4- Campo Autenticador: Possui 16 octetos. O primeiro byte transmitido é o mais
importante, pois possui um número que é utilizado para autenticar a resposta do
servidor RADIUS, além de também ser usado no algoritmo para esconder a senha.

3- SEGURANÇA.
Neste servidor associa-se uma base de dados contendo o nome do usuário e o
seu segredo, o qual é mantido de forma segura sendo acessível apenas pelas autoridades
responsáveis pela autenticação. O maior problema com relação a guardar as senhas, é a
sua distribuição pelos servidores. Outro fator é que cada usuário só pode se logar
utilizando um tipo de autenticação dessa forma, se por alguma razão o usuário
necessitar de múltiplos métodos de autenticação, ele deve possuir um nome de usuário
para cada um deles.

7
 CONCLUSÃO.
O servidor RADIUS é uma solução em nossos dias atuais no que tange a
segurança das informações entre cliente e usuário pois o foco principal é a senha deste
cliente o qual não pode passar em aberto pela rede sendo mantida bastante segurança
através de tratamento especial quando esta senha é transmitida.

De acordo com o nível de segurança, o servidor RADIUS pode ser uma solução
sendo importante ressaltar que por falta de estudos criptográficos exaustivos ainda não
se comprovou a segurança do método utilizado. Sendo assim deve-se optar em uma rede
que apresenta um ambiente muito hostil quanto à segurança, pela utilização do servidor
RADIUS.

8
 REFERÊNCIAS:

http://www.microsoft.com/windows2000/techinfo/administration/radius.asp
http://www.ietf.org/rfc/rfc2865.txt?number=2865
http://www.cisco.com/warp/public/471/understanding_ppp_chap.html#1
http://theory.cs.uni-bonn.de/ppp/part2.html
http://www.clubedasredes.eti.br/rede0008.htm