Escolar Documentos
Profissional Documentos
Cultura Documentos
RADIUS
Qin - De Mianville
RADIUS
Qin - De Mianville
Introduction
Domaine de la scurit et de la gestion rseau Radius est un protocole qui rpond au principe AAA
RADIUS
Qin - De Mianville
Plan
AAA Histoire Pourquoi une authentification Les entits Les types dauthentification Base de donnes RADIUS en dtail Le mcanisme Entte Les implmentations
RADIUS
Qin - De Mianville
AAA
Authentication
le processus o l'identit d'une entit est authentifi
Authorization
dtermine si une entit donne est autorise
Accounting
le suivi des ressources rseaux consommes par utilisateurs
RADIUS
Qin - De Mianville
Histoire
2000 : RFC 2865 RADIUS Remote Authentication Dial In User Service
Nombre dabonns des lignes numrotation augmente AAA Distribution de configurations (SLIP, PPP, )
2003 : RFC 3580 support explicite du tunnel VLAN Etendue aux rseaux dentreprise
RADIUS Qin - De Mianville
Le besoin :
Automatiser le placement des quipements dans un rseau Authentifier les utilisateurs/quipements Autoriser suivant des critres riches (reconnaissance du systme, des mises jours, de la validit de lantivirus, )
RADIUS Qin - De Mianville
Les entits
Cours Radius A.Ploix
Le serveur RADIUS La base de donnes des utilisateurs (peut tre le serveur RADIUS)
RADIUS Qin - De Mianville
Rseau filaire :
Ncessite une prsence physique pour faire du spoofing
RADIUS Qin - De Mianville
10
EAP-TTLS et EAP-PEAP :
authentification mutuelle du client et du serveur Radius par le biais d'un certificat ct serveur, le client utilise un couple login/mot de passe cre un tunnel TLS entre le client et le serveur Radius, dans EAP plusieurs protocoles dauthentification peuvent tre utiliss dans le tunnel (au choix)
EAP-MD5 :
pas d'authentification mutuelle entre client et le serveur Radius, le client s'authentifie par mot de passe
EAP-LEAP :
cas particulier, mthode propritaire de Cisco
RADIUS
Qin - De Mianville
11
RADIUS
Qin - De Mianville
12
RADIUS : Le mcanisme
Branchement du terminal sur le NAS Le NAS dtecte le branchement et communique avec le serveur RADIUS Le serveur RADIUS suivant les informations quil a reu authentifie ou pas et autorise ou pas, il envoie un message au NAS qui ouvre ou pas le port et place le terminal dans le VLAN appropri
RADIUS Qin - De Mianville
13
RADIUS
RADIUS
Qin - De Mianville
14
NAS
RADIUS
RADIUS
Qin - De Mianville
15
RADIUS : lentte
Code
1 Access-Request 2 Access-Accept 3 Access-Reject 11 Access-Challenge
Tir de la RFC 2865
RADIUS
Qin - De Mianville
16
Les implmentations
ACS : Access Control Server de Cisco (sous Windows) Aegis de MeetingHouse sous Linux IAS Internet Authentication Service de Microsoft FreeRadius (libre)
RADIUS
Qin - De Mianville
17
FreeRADIUS
Projet Cistron : 1996 (anctre de FreeRadius) OpenSource Linux, Windows, Mac OSX, Majorit des protocoles dauthentification supports Base de donnes : LDAP, AD, MySQL, Oracle, PostGresql, /etc/passwd, /etc/shadow,
RADIUS
Qin - De Mianville
18
RADIUS
Qin - De Mianville
19
Dupont Auth-Type := EAP, Calling-Station-Id == 0012F0AE2546 Tunnel-Type = VLAN, Tunnel-Medium-Type = 802, Tunnel-Private-Group-Id = 15
Reply-items
RADIUS
Qin - De Mianville
20
RADIUS
Qin - De Mianville
21
Exemples:
ARREDU (Authentication & Roaming for Research and EDUcation
EduRoam (EDUcation ROMing)
RADIUS
Qin - De Mianville
22
Concurrence de Radius
Kerberos
protocole d'authentification rseau qui repose sur un mcanisme de cls secrtes et non de mots de passe en clair, vitant ainsi le risque d'interception frauduleuse des mots de passe des utilisateurs. fournir une authentification mutuelle pour viter l'coute clandestine et les attaques Man-in-the-middle
TACACS+
Protocole Cisco permettant de fournir du contrle d'accs pour les routeurs, les serveur daccs rseaux et autres quipements rseaux
Radius a le monopole dans le Authent. ,Autoris., pour lAccounting, dautres outils diffrents de gestion sont apports
RADIUS Qin - De Mianville
23
Avenir
IETF AAA Working Group
Limitations de RADIUS Soumission de groupes de travail de lIETF
ROAMOPS Roaming Operation NASREQ NAS Requirements Mobile IP Working Group TIA Telecommunication Industry Association
Gestion des erreurs Comptabilit IPv6 Indpendant du transport et gestion des congestions Proxy explicite Rtro compatibilit Scurit Modle de donnes indpendant
DIAMETER
http://datatracker.ietf.org/wg/aaa/charter/ 24
RADIUS
Qin - De Mianville
Conclusion
Trs utilis Trs complet
Implmentations nombreuses, Supporte des multiples types dauthentifications (suivant limplmentation)
Prim
RADIUS
Qin - De Mianville
25
Sources
Introduction to diameter:
http://www.interlinknetworks.com/whitepapers/I ntroduction_to_Diameter.pdf
26