RADIUS

RADIUS

RE12 Services Rseaux Printemps 2011 Benot de Mianville Yuemin Qin

Qin - De Mianville

Livre de Serge Bordres

Trs bonne approche Orient authentification sur des rseaux dentreprises Moins approfondi sur les questions de comptabilit

RADIUS

Qin - De Mianville

Introduction
Domaine de la scurit et de la gestion rseau Radius est un protocole qui rpond au principe AAA

RADIUS

Qin - De Mianville

Plan
AAA Histoire Pourquoi une authentification Les entits Les types dauthentification Base de donnes RADIUS en dtail Le mcanisme Entte Les implmentations
RADIUS

FreeRadius Concurrents Avenir Conclusion Sources

Qin - De Mianville

AAA
Authentication
le processus o l'identit d'une entit est authentifi

Authorization
dtermine si une entit donne est autorise

Accounting
le suivi des ressources rseaux consommes par utilisateurs

RADIUS

Qin - De Mianville

Histoire
2000 : RFC 2865 RADIUS Remote Authentication Dial In User Service
Nombre dabonns des lignes numrotation augmente AAA Distribution de configurations (SLIP, PPP, )

2003 : RFC 3580 support explicite du tunnel VLAN Etendue aux rseaux dentreprise
RADIUS Qin - De Mianville

Pourquoi une authentification

Le fait :
Augmentation des postes (filaire/Wifi) Gnralisation de la segmentation en VLAN Augmentation de la mobilit des postes

Le besoin :
Automatiser le placement des quipements dans un rseau Authentifier les utilisateurs/quipements Autoriser suivant des critres riches (reconnaissance du systme, des mises jours, de la validit de lantivirus, )
RADIUS Qin - De Mianville

Les entits
Cours Radius A.Ploix

Le terminal qui demande laccs au rseau

Si authentification par mot de passe ou certificat : ncessite linstallation dun programme appel supplicant

Le Switch ou point daccs Wifi

Appell NAS (Network Access Server) ou Authenticator

Le serveur RADIUS La base de donnes des utilisateurs (peut tre le serveur RADIUS)
RADIUS Qin - De Mianville

Les types dauthentification

Authentification par adresse MAC
Simple mettre en uvre Les communications sont cryptes mais ladresse MAC passe en clair Wifi :
Un pirate peut facilement faire du spoofing dadresse MAC

Rseau filaire :
Ncessite une prsence physique pour faire du spoofing
RADIUS Qin - De Mianville

Les types dauthentification (suite)

Authentification par mot de passe
Plusieurs techniques Eviter les techniques qui font circuler en clair le mot de passe! Prfrer 802.1x (EAP/PEAP ou EAP/TTLS) On peut utiliser un annuaire LDAP dj en place

Authentification par certificat

Un utilisateur ou une machine prsente un certificat Ncessite la prsence dune IGC ou PKI (Public Key Infrastructure)
RADIUS Qin - De Mianville

10

Les types dauthentification (suite)

Cours dAlain Ploix sur RADIUS : EAP-TLS :
authentification mutuelle entre le client et le serveur Radius par le biais de certificats (ct client et ct serveur) cre un tunnel TLS entre le client et le serveur Radius, dans EAP, mais ne lutilise pas (!), seule la partie authentification de TLS est utilise le client et le serveur doivent avoir chacun un certificat X509

EAP-TTLS et EAP-PEAP :
authentification mutuelle du client et du serveur Radius par le biais d'un certificat ct serveur, le client utilise un couple login/mot de passe cre un tunnel TLS entre le client et le serveur Radius, dans EAP plusieurs protocoles dauthentification peuvent tre utiliss dans le tunnel (au choix)

EAP-MD5 :
pas d'authentification mutuelle entre client et le serveur Radius, le client s'authentifie par mot de passe

EAP-LEAP :
cas particulier, mthode propritaire de Cisco

RADIUS

Qin - De Mianville

11

Base de donnes des utilisateurs

Fichier texte Base de donnes (Oracle, MySQL, dpend des implmentations) Service dannuaire
Domaine Windows LDAP

RADIUS

Qin - De Mianville

12

RADIUS : Le mcanisme
Branchement du terminal sur le NAS Le NAS dtecte le branchement et communique avec le serveur RADIUS Le serveur RADIUS suivant les informations quil a reu authentifie ou pas et autorise ou pas, il envoie un message au NAS qui ouvre ou pas le port et place le terminal dans le VLAN appropri
RADIUS Qin - De Mianville

13

RADIUS : Le mcanisme (suite)

Authentification par adresse MAC
NAS

ou EAP over RADIUS UDP Ethernet/Wifi Physique Ethernet/Wifi Physique

RADIUS

RADIUS

Qin - De Mianville

14

RADIUS : Le mcanisme (suite)

Authentification par mot de passe ou certificat

NAS

EAP over WAN Wifi Physique

ou EAP over RADIUS UDP IP Ethernet Physique

RADIUS

EAP over LAN Ethernet Physique

RADIUS

Qin - De Mianville

15

RADIUS : lentte
Code
1 Access-Request 2 Access-Accept 3 Access-Reject 11 Access-Challenge
Tir de la RFC 2865

RADIUS

Qin - De Mianville

16

Les implmentations
ACS : Access Control Server de Cisco (sous Windows) Aegis de MeetingHouse sous Linux IAS Internet Authentication Service de Microsoft FreeRadius (libre)

RADIUS

Qin - De Mianville

17

FreeRADIUS
Projet Cistron : 1996 (anctre de FreeRadius) OpenSource Linux, Windows, Mac OSX, Majorit des protocoles dauthentification supports Base de donnes : LDAP, AD, MySQL, Oracle, PostGresql, /etc/passwd, /etc/shadow,

RADIUS

Qin - De Mianville

18

FreeRADIUS : Les fichiers de configuration

Dans /etc/raddb Clients.conf
Dfinir les secrets partags avec chaque quipement rseau
Client <adresse-ip> { Secret = le-secretpartag Shortname = nom }

RADIUS

Qin - De Mianville

19

FreeRADIUS : Les fichiers de configuration (suite)

La base users
Base dautorisations et/ou authentification
Identifiant config-item check-item

Dupont Auth-Type := EAP, Calling-Station-Id == 0012F0AE2546 Tunnel-Type = VLAN, Tunnel-Medium-Type = 802, Tunnel-Private-Group-Id = 15

Reply-items

RADIUS

Qin - De Mianville

20

FreeRADIUS : Les fichiers de configuration (suite)

Radiusd.conf
Chemins daccs, port dcoute, http://freeradius.org/radiusd/man/radiusd.conf.ht ml

RADIUS

Qin - De Mianville

21

FreeRADIUS : Dlgation dauthentification

Toto/utt.fr ou toto@utt.fr Proxy.conf/client.conf paramtrs par les deux entits

Exemples:
ARREDU (Authentication & Roaming for Research and EDUcation
EduRoam (EDUcation ROMing)

RADIUS

Qin - De Mianville

22

Concurrence de Radius
Kerberos
protocole d'authentification rseau qui repose sur un mcanisme de cls secrtes et non de mots de passe en clair, vitant ainsi le risque d'interception frauduleuse des mots de passe des utilisateurs. fournir une authentification mutuelle pour viter l'coute clandestine et les attaques Man-in-the-middle

TACACS+
Protocole Cisco permettant de fournir du contrle d'accs pour les routeurs, les serveur daccs rseaux et autres quipements rseaux

Radius a le monopole dans le Authent. ,Autoris., pour lAccounting, dautres outils diffrents de gestion sont apports
RADIUS Qin - De Mianville

23

Avenir
IETF AAA Working Group
Limitations de RADIUS Soumission de groupes de travail de lIETF
ROAMOPS Roaming Operation NASREQ NAS Requirements Mobile IP Working Group TIA Telecommunication Industry Association

Gestion des erreurs Comptabilit IPv6 Indpendant du transport et gestion des congestions Proxy explicite Rtro compatibilit Scurit Modle de donnes indpendant

DIAMETER
http://datatracker.ietf.org/wg/aaa/charter/ 24

RADIUS

Qin - De Mianville

Conclusion
Trs utilis Trs complet
Implmentations nombreuses, Supporte des multiples types dauthentifications (suivant limplmentation)

Prim

RADIUS

Qin - De Mianville

25

Sources
Introduction to diameter:
http://www.interlinknetworks.com/whitepapers/I ntroduction_to_Diameter.pdf

Livre Authentification Rseau avec RADIUS (diapo 3) AAA Working Group

http://datatracker.ietf.org/wg/aaa/charter/

Cours sur RADIUS : Alain Ploix

RADIUS Qin - De Mianville

26