Comunicações de Dados

Transcrição

1 IPCA Instituto Politécnico do Cávado e do Ave Escola Superior de Tecnologia Comunicações de Dados Apresentação do Protocolo: Remote Access Dial-In User Service - RADIUS Barcelos, 5 de Abril de 2013 Grupo 2 Adélio Miranda Carlos Pereira Luís Barreto

2 Estrutura da apresentação RADIUS História Descrição do Protocolo Arquitetura Mensagens RADIUS Proxy RADIUS / Funcionamento Aplicação real 2

3 História Primeira proposta em 1991 pela empresa Livingston Enterprises Objetivo: Servidor de autenticação e contabilização para ligações de acesso telefónico. 3

4 RFCs: Como se processam The Internet Engineering Task Force (IETF) is a large open international community of network designers, operators, vendors, and researchers concerned with the evolution of the Internet architecture and the smooth operation of the Internet. It is open to any interested individual. The IETF Mission Statement is documented in RFC Processo IETF para RFCs: Draft -> RFC -> Proposta de Standard -> Standard Standards RADIUS: RFC 2865: Autenticação e Autorização RADIUS (Junho 2000) RFC 2866: Contabilização (Junho 2000) (fonte: ietf.org) 4

5 Descrição do Protocolo Protocolo cliente/servidor que permite a Servidores de Acesso Remoto (NAS) autenticar e autorizar utilizadores ou máquinas em servidores RADIUS para que possam utilizar recursos, redes ou sistemas. Standard para troca de informação entre servidores RADIUS e servidores de acesso à rede (NAS). 5

6 Características Protocolo UDP: Maior rapidez relativamente ao TCP Utilizador espera que pedidos falhados sejam reenviados para outros servidores e não espera que a entrega fiável do TCP demore 2 minutos a autenticar. Portas: 1812 para Autenticação e Autorização 1813 para Contabilização 6

7 Infraestrutura RADIUS 7

8 Utilizadores Telemóveis, Tablets, Pens Tele-trabalhadores Acessos VPN Escritórios remotos Hotspots Wi-Fi Redes Empresariais 8

9 Clientes RADIUS Servidores PPP / PPPoE Fornecedores de acesso à Internet VPN Microsoft Remote Access Server (RAS) Cisco Adaptive Security Appliance Switch com gestão Firewalls Firewall-1 Checkpoint Microsoft Internet Security Acceleration Server Pontos de acesso de Redes Sem Fios Proxies RADIUS 9

10 Serviços RADIUS Centralização de Serviços Autenticação (Authentication) Autorização (Authorization) Contabilização (Accounting) Modelo AAA 10

11 Modelo AAA Autenticação Identificar o utilizador e garantir que está autorizado a fazer o que solicita Verifica o perfil Utilizador/Password Autorização Verifica se foram fornecidos todos os dados para poder aceder; o que está autorizado a fazer. Configuração específica utilizador/sessão Ex.: que endereço IP é atribuído? Quanto tempo pode estar ligado? Contabilização Regista a utilização durante o período da mesma Armazena os atributos num ficheiro, SQL, Oracle, etc. 11

12 Sem RADIUS Múltiplas localizações * múltiplos utilizadores = problemas de gestão 12

13 Com RADIUS Localizações: Passaram a não ser problema Atualizações: centralizadas portanto mais simples 13

14 Comunicações MENSAGENS RADIUS 14

15 Authentication-Request 1. Utilizador Início de sessão (Internet, Rede, VPN, ) 2. Cliente RADIUS Access-Request (utiliz./palavra-passe) 3. Servidor RADIUS Validação / Autenticação Ligação PPPoE / VPN / WiFi 15

16 Authentication-Response 6. Utilizador Cliente RADIUS Servidor RADIUS Accept / Reject Resposta RADIUS Resposta (ACCEPT / REJECT/CHALLENGE) 16

17 Contabilização Utilizador Inícia de sessão (Internet, rede, VPN, ) Cliente RADIUS ACCT Start/Stop Servidor RADIUS Pacotes RADIUS ACCT db Instrução SQL INSERT Fihceiro.ACT Processo: 1. O utilizador inicia a sessão (ACCT Start) 2. O utilizador usa o(s) recurso(s) (Tempo ou Pacotes) 3. O utilizador termina a sessão 4. O cliente RADIUS envia ACCT Stop com os dados contabilizados 17

18 RADIUS: Pacotes Tipos de Pacotes Access-Request (01) Access-Accept (02) Access-Reject (03) Accounting-Request (04) Accounting-Response (05) Access-Challenge (11) Vendor Specific Attributes 18

19 RADIUS: Pacotes Code Definição 1 Access-Request 2 Access-Accept 3 Access-Reject 4 Accounting-Request 5 Accounting-Response 11 Access-Challange 19

20 RADIUS: Atributos O que é um Atributo? Transporta informação entre cliente e servidor RADIUS Contém informações para ativar/desativar funcionalidades no servidor RADIUS Atributos de contabilização podem conter informações sobre o utilizador: tipo de ligação, tipo de conta, etc. Definidos nos RFC 2865 e

21 Exemplos de Atributos 1 User-Name 6 Service-Type 2 Password 7 Framed-Protocol 3 CHAP-Password 8 Frames-IP-Address 4 NAS-IP-Address 9 Framed-Routing 5 NAS-Port 10 Framed-Netmask Lista completa disponível em inana.org: s-types/radius-types.xml 21

22 RADIUS: Proxy Possibilidade de um servidor RADIUS encaminhar pedidos de acesso (Access-Request) para outro servidor RADIUS Servidores Proxy apenas conhecem realms (domínios) e não utilizadores Exemplo: No caso da rede eduroam, as universidades controlam o acesso à rede de cada aluno. Caso o aluno se desloque a outra Universidade (no mesmo país ou não) e tentar ligarse à rede sem fios, a infraestrutura da Universidade visitada, terá que consultar a Universidade de origem do aluno para validar o acesso. 22

23 O que são Realms? Referem-se a organizações. É o domínio de autoridade para autenticar utilizadores. Há dois tipos de Realms: Realm Proxy: encaminha a autenticação para outro servidor Realm Direto: trata da autenticação localmente baseado nas definições locais. 23

24 Funcionamento do Proxy (Request) 1. Utilizador Utilizador inicia a sessão 2. Cliente RADIUS Access Request (utiliz./palavrapasse) 3. Proxy Reencaminha o pedido 4. Destino Validação 24

25 Funcionamento do Proxy (Response) 4. Utilizador Cliente RADIUS Proxy 1. Destino Accept / Reject Auth.-Response Enc. Proxy Auth.-Response Authentication Response 25

26 Funcionamento do Proxy (Accounting) 1. Utilizador Utilizador inicia sessão 2. Cliente RADIUS ACCT Start / Stop 3. Proxy Reenc. Proxy 4. Destino Registo em BD. SQL /mysql/oracle, etc. 26

27 RADIUS APLICAÇÃO REAL 27

28 Rede eduroam O projeto eduroam (EDUcation ROAMing) tem como objetivo principal disponibilizar à comunidade académica Europeia* um serviço de mobilidade entre campus Universitários. * Fundada na Europa em 2003, desde 2012 a rede eduroam conta com a participação de 60 países a nível Mundial. fonte: 28

29 Rede eduroam Hierarquia da Infraestrutura eduroam TLR Europa: Holanda e Dinamarca fonte: FLR Portugal: Mantida pela (FCCN) Identity Provider (IdP) Service Provider (SP) Instituições 29

30 Rede eduroam Infraestrutura Institucional fonte: 30

31 Cenário Proxy EGP.UP.PT IPCA.PT NAS Proxy Server CSU.EDU.AU Servidores Proxy/AAA 31

32 Referências [1] J. Vollbrecht, (2007). The History of the RADIUS Server. Disponível: [2] C. Rigney, A. Rubens, W. Simpson (1997, Janeiro). Remote Authentication Dial In User Service (RADIUS). Disponível: [3] IEEE Taxonomy Version 1.01 IEEE (2009). Disponível: [4] RADIUS (n.d.), (2013, Março). Em Wikipedia. Disponível: [5] J. Hassell (2002, Outubro). RADIUS, O Reilly Media. [6] C. Rigney, S. Willens, A. Rubens, W. Simpson (2000, Junho). Remote Authentication Dial In User Service (RADIUS). Disponível: [7] Cisco (2006, Janeiro).How does RADIUS work? Disponível: [8] Microsoft. RADIUS Protocol Security and Best Practices (2002, Janeiro). Disponível: [9] IANA. Radius Types (2012, Outubro). Disponível: [10] L. Durnford, (2010, Outubro). How to offer eduroam support to customer institutions. Disponível: [11] M.J.B. Robshaw. RSA Laboratories. On recent results for MD2, MD4 e MD5 (1996, Novembro). Disponível: ftp://ftp.rsasecurity.com/pub/pdfs/bulletn4.pdf [12] Y Bhaiji, (2008). Network Security Technologies and Solutions, Cisco Press, pp [13] K. Wierenga, et al. Inter-NREN Roaming Architecture: Description and Development Items. (2006, Setembro) Disponível: NREN_Roaming_Technical_Specification_ pdf 32

33 Questões? 33

34 Obrigado! Adélio Miranda Carlos Pereira Luís Barreto Contactos 34