Hálózatok építése, konfigurálása és működtetése. Extensible Authentication Protocol

Hasonló dokumentumok
Hálózatok építése, konfigurálása és működtetése EAP - RADIUS

Az intézményi hálózathoz való hozzáférés szabályozása

Előnyei. Helyi hálózatok tervezése és üzemeltetése 2

eduroam konfiguráció workshop Mohácsi János NIIF Intézet

Eduroam Az NIIF tervei

IP alapú távközlés. Virtuális magánhálózatok (VPN)

Fábián Zoltán Hálózatok elmélet

A WiFi hálózatok technikai háttere

Iványi László ARM programozás. Szabó Béla 8.Óra Bluetooth 4.0 elmélete, felépítése

KÖZPONTOSÍTOTT EAP ALAPÚ HITELESÍTÉS VEZTÉK NÉLKÜLI HÁLÓZATOKBAN CENTRALIZED EAP BASED AUTHENTICATION FOR WIRELESS NETWORKS

SSL elemei. Az SSL illeszkedése az internet protokoll-architektúrájába

Hálózatok építése és üzemeltetése. EAP RADIUS : Gyakorlati útmutató


Vezetéknélküli technológia

Virtuális magánházlózatok / VPN

Titkosítás NetWare környezetben

Az adott eszköz IP címét viszont az adott hálózat üzemeltetői határozzákmeg.

Alkalmazás rétegbeli protokollok:

Kriptográfiai alapfogalmak

Tájékoztató a kollégiumi internet beállításához

SIP. Jelzés a telefóniában. Session Initiation Protocol

Két típusú összeköttetés PVC Permanent Virtual Circuits Szolgáltató hozza létre Operátor manuálisan hozza létre a végpontok között (PVI,PCI)

Multiprotocol encapsulation (RFC1483) - IETF Classical IP over ATM (RFC1577) - IETF LAN Emulation (LANE) - ATM Forum Multiprotocol over ATM (MPOA) -

API tervezése mobil környezetbe. gyakorlat

(Cisco Router) Készítette: Schubert Tamás. Site-to-Site VPN/1

IT hálózat biztonság. A WiFi hálózatok biztonsága

IP alapú kommunikáció. 11. Előadás Hálózat Monitoring/Hálózat Manadgement Kovács Ákos

Testnevelési Egyetem VPN beállítása és használata

Adatbázis kezelő szoftverek biztonsága. Vasi Sándor G-3S

WiFi biztonság A jó, a rossz és a csúf

Számítógépes Hálózatok. 5. gyakorlat

Hálózati biztonság ( ) Kriptográfia ( )

VoIP biztonság. BME - TMIT Médiabiztonság feher.gabor@tmit.bme.hu

Adatátviteli rendszerek Mobil IP. Dr. habil Wührl Tibor Óbudai Egyetem, KVK Híradástechnika Intézet

S, mint secure. Nagy Attila Gábor Wildom Kft.

Izsó Krisztián Péti Zoltán. Cisco Identity Services Engine

Számítógépes Hálózatok GY 6.hét

Routing update: IPv6 unicast. Jákó András BME EISzK

Internet Protokoll 6-os verzió. Varga Tamás

Mosolygó Ferenc. Értékesítési Konzultáns.

Wireless LAN a Műegyetemen. Jákó András jako.andras@eik.bme.hu BME EISzK

WiFi biztonság. Dr. Fehér Gábor. BME-TMIT

Biztonság a glite-ban

Dr. Wührl Tibor Ph.D. MsC 04 Ea. IP kapcsolás hálózati réteg

Mobile network offloading. Ratkóczy Péter Konvergens hálózatok és szolgáltatások (VITMM156) 2014 tavasz

vezeték nélküli Turi János Mérnök tanácsadó Cisco Systems Magyarország Kft.

Data Security: Protocols Integrity

Számítógépes Hálózatok GY 7.hét

Távközlési informatika IPSEC, VPN. Dr. Beinschróth József

Windows rendszeradminisztráció és Microsoft szerveralkalmazások támogatása. 3. óra. Kocsis Gergely, Kelenföldi Szilárd

Beállítások 1. Töltse be a Planet_NET.pkt állományt a szimulációs programba! A teszthálózat már tartalmazza a vállalat

Hálózati operációs rendszerek II. Novell Netware 5.1 Hálózati nyomtatás

Számítógépes Hálózatok Felhasználói réteg DNS, , http, P2P

Felhasználói réteg. Számítógépes Hálózatok Domain Name System (DNS) DNS. Domain Name System

Sapientia Egyetem, Matematika-Informatika Tanszék.

8. A WAN teszthálózatának elkészítése

Építsünk IP telefont!

Számítógépes Hálózatok 2011

Hálózati ismeretek. Az együttműködés szükségessége:

SzIP kompatibilis sávszélesség mérések

Használati útmutató a Székács Elemér Szakközépiskola WLAN hálózatához

A JGrid rendszer biztonsági architektúrája. Magyaródi Márk Juhász Zoltán Veszprémi Egyetem

Hálózatbiztonság Androidon. Tamas Balogh Tech AutSoft

DWL-G520 AirPlus Xtreme G 2,4GHz Vezeték nélküli PCI Adapter

Windows 7. Szolgáltatás aktiválása

Hálózatos adatbázis-kapcsolódási problémák és azok javítása

Hálózatok Rétegei. Számítógépes Hálózatok és Internet Eszközök. TCP/IP-Rétegmodell. Az Internet rétegei - TCP/IP-rétegek

Kommunikációs rendszerek programozása. Routing Information Protocol (RIP)

Hálózati architektúrák laborgyakorlat

Tartalom. Az adatkapcsolati réteg, Ethernet, ARP. Fogalma és feladatai. Adatkapcsolati réteg. A hálókártya képe

Számítógépes Hálózatok GY 8.hét

Hálózatok. Alapismeretek. A hálózatok célja, építőelemei, alapfogalmak

Fábián Zoltán Hálózatok elmélet

Az Internet működésének alapjai

Virtuális magánhálózat Virtual Private Network (VPN)

Hálózatok építése és üzemeltetése. Hálózatbiztonság 2.

CCNA Security a gyakorlatban

Számítógép hálózatok gyakorlat

4. Hivatkozási modellek

Hálózati architektúrák és Protokollok GI 8. Kocsis Gergely

Tartalom. Hálózati kapcsolatok felépítése és tesztelése. Rétegek használata az adatok továbbításának leírására. OSI modell. Az OSI modell rétegei

VoIP. VoIP biztonság

Adja meg, hogy ebben az esetben mely handshake üzenetek kerülnek átvitelre, és vázlatosan adja meg azok tartalmát! (8p)

Everything Over Ethernet

VoIP (Voice over IP)

Kommunikáció. 3. előadás

Hálózati architektúrák laborgyakorlat

Single Sign On, Kerberos. Felhasználó hitelesítés

MODBUS PROTOKOLL ISO 8823, X.226 ASP, ADSP, ZIP ATP, NBP, AEP, RTMP X.25 (PLP), MTP 3, SCCP DDP. LocalTalk, TokenTalk, EtherTalk,

Az internet ökoszisztémája és evolúciója. Gyakorlat 4

IT BIZTONSÁGTECHNIKA. Tanúsítványok. Nagy-Löki Balázs MCP, MCSA, MCSE, MCTS, MCITP. Készítette:

NIIF IPv6 DSL és kapcsolódó szolgáltatások áttekintése

Tájékoztató. Használható segédeszköz: -

MAC címek (fizikai címek)

1. Gyakorlat: Telepítés: Windows Server 2008 R2 Enterprise, Core, Windows 7

Jogában áll belépni?!

Eduroam változások - fejlesztések, fejlődések. Mohácsi János NIIF Intézet HBONE Workshop 2015

Programozható vezérlő rendszerek KOMMUNIKÁCIÓS HÁLÓZATOK 2.

III. előadás. Kovács Róbert

SSH haladóknak. SSH haladóknak

Átírás:

Hálózatok építése, konfigurálása és működtetése Extensible Authentication Protocol

Szolgáltatás/hálózat elérés Felhasználó gépe Távoli szolgáltatás elérése NAS (Network Access Server) Hálózat/szolgáltatás biztosítása AAA központ Hitelesítés, jogosultság, számlázás Kapcsolat Modemes (PSTN/GSM) Vezetékes Lokális Távoli Vezetéknélküli 2

Felhasználó kapcsolat a NAS-hoz PPP (Point to Point Protocol) kapcsolat egy direkt összeköttetésen keresztül (point to point) Cél IP, IPX és NetBEUI + egyéb csomagok szállítása (Multi-protocol) A kapcsolat irányításához: LCP (Link Control Protocol) Titkosítás DES vagy 3DES Microsoft Point-to-Point Encryption RC4 titkosítás (40, 56 vagy 128 bites kulcsok) Gyakran változtatott kulcsok 3

LCP működése 1. Fázis - Establishment Egyeztetés Hitelesítés: Authentication Protocol Tömörítés: Compression Control Protocol Titkosítás: Encryption Control Protocol 2. Fázis - Authentication Felhasználó azonosítása Password Authentication Protocol (PAP) Challenge-Handshake Authentication Protocol (CHAP) Microsoft Challenge-Handshake Authentication Protocol (MSCHAP) Extensible Authentication Protocol (EAP) 4

LCP működése 2. 3. Fázis MS specifikus Microsoft implementációk Callback Control Protocol (CBCP) A felhasználó visszahívása, további biztonság 4. Fázis Network Layer Protocol Network Control Protocols (NCPs) Az 1. fázis során egyeztetett protokollok használata. IP esetén pl. hálózati adatok elküldése 5

Hitelesítési protokollok Password Authentication Protocol (PAP) Egyszerű, nyílt szöveges A hitelesítő kéri a felhasználó nevet és a jelszót, amit a kliens kódolás nélkül megküld Nem biztonságos A hálózat figyelésével megvan a felhasználónév és a jelszó Nincs védelem az üzenet visszajátszása ellen 6

PAP üzenetek Azonosítás kérelem 0. 8. 16. 31. Code Identifier Length Peer-ID Length Peer-ID Passwd-Length Password Azonosítás válasz (Ack vagy Nak) 0. 8. 16. 31. Code Identifier Length Msg Length Message code: 1 kérelem, 2 Ack, 3 Nak 7

Hitelesítési protokollok 2. Challange Handshake Authentication Protocol (CHAP) A hitelesítő küld egy kihívást, ami tartalmazza a viszony azonosítóját, valamint egy tetszőleges értéket A felhasználó válaszában elküldi a felhasználó nevét és egy egyirányú hash algoritmussal (pl. MD5) a szervertől kapott kihívást, a viszony azonosítóját és a jelszavát. 8

CHAP tulajdonságok Jobb mint a PAP A jelszó nem utazik a hálózaton Véd az üzenet visszajátszása ellen is Véd a megszemélyesítés ellen, az azonosítás többszöri megismétlésével Még mindig nem tökéletes... A szervernek ismernie kell a felhasználó jelszavát. (Minden NAS -nak) A kihívás és a válasz ismeretében off-line jelszó találgatással sebezhető 9

CHAP üzenetek Kézfogás (Kihívás és válasz) 0. 8. 16. 31. Code Identifier Length Azonosítás (Success vagy Fail) 0. 8. 16. 31. Code Identifier Length code: 1 kihívás, 2 válasz, 3 siker, 4 sikertelen 10

Hitelesítési protokollok 3. Microsoft CHallange Handshake Authentication Protocol Version 2 (MS- CHAPv2) Hasonló a CHAP -hez, de Mindkét fél azonosítva van A hitelesítő nem ismeri a nyílt jelszót: NTHASH használata plusz hiba kódok lejárt jelszavak jelszóváltoztatás 11

MS-CHAPv2 működése kliens oldal 1. A felhasználó kéri a hitelesítést 2. Szerver oldal: A hitelesítő 16 bájtos véletlen kihívást küld: authetnicator challange 3. A felhasználó válasza: 1. 16 bájtos peer challange generálása 2. Kihívás (challenege) generálása: SHA(authenticator challange, peer challange, user name) Csak az első 8 bájtot használja 3. Jelszó átalakítása 3 db DES kulccsá (NTHASH-en keresztül) 4. NTResponse: A challenge kódolása a DES kulcsokkal 5. Válasz a hitelesítésre: NTResponse + peer challange + user name 12

MS-CHAPv2 működése szerver oldal 1. A felhasználó által küldött válasz ellenőrzése (NTHASH ismerete szükséges) Ugyanazok a lépések, mint a felhasználó esetén Ha egyezik, akkor jó a jelszó a felhasználónál 2. Pozitív hitelesítés esetén (NTResponse és peer challenge a korábbi válaszból): 1. Pasword-hash-hash előállítása az NTHASH es passwordből MD4 algoritmussal 2. Hash-1 előállítása: SHA(password-hash-hash, NTResponse, Magic server to client signing constant ) 3. Hash-2 előállítása: SHA(hash-1, peer challenge, Pad to make it do more than one iteration 3. Hash-2 visszaküldése a felhasználónak 4. Kliens oldal: A felhasználó ellenőrzi a hitelesítő válaszát Ugyanazok a lépések, mint a szerver esetén Ha egyezik, akkor a szervernél is jó a jelszó 13

MS-CHAPv2 működése Client Hitelesítés indítása Authenticator challange Server Peer challenge generálás Challenge, NTReponse, Hash-2 számítás NTResponse, peer challenge, user name küldés Challenge és NTReponse számítás Ha egyezik, akkor hiteles a felhasználó Hash-2 számítás Hash-2 küldése Ha egyezik, akkor hiteles a szerver 14

MS-CHAPv2 gyengeségei A 8 bájtos kihívás előállítása nem jelent plusz biztonságot. A támadó is elő tudja állítani, mert ezek nyíltan mennek A 3 db DES kulcs előállítása és használata A DES algoritmus mai alkalmazhatatlansága 15

Hitelesítési protokollok 4. Extensible Authentication Protocol (EAP) A hitelesítés kiválasztása csak az Authentication fázisban történik Plusz információk kicserélése A NAS nem feltétlenül ismeri az azonosítás módját DE: Muszáj ismerni, hogy sikerült-e vagy sem! A NAS más hitelesítők szolgáltatását (pl.: RADIUS) is igénybe veheti Hitelesítési lehetőségek Pl.: MD-5 kihívás, egyszeri jelszavak (OTP), nyilvános kulcsok Bővíthető! 16

EAP tulajdonságok Duplikált üzenetek elnyomása és újraküldés szükséges Elhelyezkedhet a lokális linken és az AAA stackjében is Az alsóbb rétegnek kell biztosítania az üzenetek hitelességét Pl.: Hamis EAP-Success üzenetek veszélye 17

EAPoL EAP a linken EAP szállítása 18

Hitelesítő EAP segítségével Sokszor nem a NAS végzi a hitelesítést Peer Hitelesítő átjáró Hitelesítő EAP metódus EAP metódus EAP EAP EAP EAP Alsóbb réteg (pl. EAPoL) Alsóbb réteg (pl. EAPoL) Alsóbb réteg (pl. RADIUS) Alsóbb réteg (pl. RADIUS) 19

EAP üzenetek Több kérdés és válasz ciklus Az authenticator kérdez, peer válaszol Egyszerre csak 1 aktív kérdés Egy viszonyban csak egyetlen hitelesítési mód A kérdések ismételve, ha nem érkezik válasz Kivéve sikeres és sikertelen üzenetek Kérés (request) és válasz (response) Code (1 byte) Azonosító (1 byte) Hossz, beleértve a fejlécet is (2 byte) Adat/hitelesítő típus (1 byte) Adatok a megadott hosszúságban Sikeres és sikertelen üzenet Code (1 byte) Azonosító (1 byte) Hossz (2 byte) A hossz itt 4 bájt Code 1: kérés, 2: válasz, 3: siker, 4: sikertelen, 5: Inicializálás, 6: Befejezés 20

EAP adat típusok 1: Identitás (Identity) A végpont identitásának lekérdezése 2: Figyelmeztetés (Notification) Megjelenítendő üzenet 3: Elutasítás (Nak) Érvénytelen vagy értelmezhetetlen típus Csak válasz esetén 21

EAP hitelesítő típusok 4: MD5-Challenge A CHAP megfelelője 5: Egyszeri jelszó (One-Time Password - OTP) OTP kihívás és válasz 6: Általános jelkártya (Generic Token Card) üzenet és válasz 13: EAP-TLS 21: EAP-TTLS 25: PEAP 29: EAP-MSCHAP-V2 22

EAP üzenetciklus Peer Hitelesítő EAP Identity request EAP Identity response EAP X request EAP X response Ismételve, amíg csak szükséges EAP Succes / Failure 23

EAP-MD5 IETF RFC 3748 Analóg a CHAP hitelesítéssel EAP-Request: Identity EAP-Response: Identity (UserID) EAP-Request: EAP-MD5 / Challenge EAP-Request: EAP-MD5 / Response EAP-Success/Faliure 24

EAP-TLS TLS Transport Layer Security Kölcsönös azonosítás Certificate: Nyilvános kulcsú azonosítás Kliens és szerver tanúsítványok Integritás védelem Kulcscsere EAP-TLS IETF RFC 2716 A TLS funkcióinak átültetése PPP hitelesítéshez Csak a handshake funkció, nem a titkosítás! 25

EAP-TLS üzenetek EAP-Request: Identity EAP-Response: Identity - UserID EAP-TLS: Start EAP-TLS: Client Hello EAP-TLS: Server Hello + Cert EAP-TLS: Cert + CKE + CCS EAP-TLS: CCS EAP-TLS: - EAP Success / Failure C/SKE: Client/Server Key Exchange, CCS: Change Cipher Spec 26

EAP-TTLS EAP-TTLS Tuneled Transport Layer Security IETF draft: Funk, Meetinghouse Hitelesítés 1. lépés: Titkos csatorna felépítése (TLS) Csak a szerver azonosítja magát 2. lépés: Aktuális hitelesítés AVP üzenetek, a RADIUShoz hasonlóan Támogatott hitelesítések: EAP módszerek, PAP, CHAP, MS-CHAP, MS-CHAPv2 27

EAP-TTLS üzenetek Csak domain név! A felhasználó nevét nem szabad küldeni! 1. Lépés Titkosított csatorna építése EAP-Request: Identity EAP-Response: Identity EAP-Request: EAP-TTLS/Start TLS felépítése 2. Lépés Hitelesítés AVP - Hitelesítő üzenetek EAP-Success/Faliure 28

PEAP PEAP Protected EAP IETF draft: Microsoft (+ Cisco és RSA) Hitelesítés (hasonlóan az EAP-TTLS-hez) 1. lépés: Titkos csatorna felépítése (TLS) Csak a szerver azonosítja magát 2. lépés: Aktuális hitelesítés Támogatott hitelesítések: Csak EAP módszerek + MSCHAPv2 EAP esetén az üzenetek beágyazva EAP-TLV be (type-length-value) 29

PEAP üzenetek EAP-Request: Identity EAP-Response: Identity No real ID PEAP: Start PEAP: Client Hello PEAP: Server Hello + Cert PEAP: CKE + CCS PEAP: CCS + Success/Failure 1. fázis TLS Setup 2. fázis Beágyazott EAP EAP-Req: EAP-TLV Req. identity EAP-Resp: EAP-TLV UserID EAP-Req: EAP-TLV / EAP X EAP-Resp: EAP-TLV / EAP X EAP Success / Failure 30

EAP összehasonlítás EAP protokollok összehasonlítása EAP-MD5 EAP-TLS EAP-TTLS PEAP Kliens hitelesítés Szerver hitelesítés Hitelesítés iránya Felhasználó identitásának védelme MD5 Tanúsítvány Bármi EAP - Tanúsítvány Tanúsítvány* Tanúsítvány* Kliens hitelesítése Kölcsönös Kölcsönös Kölcsönös Nincs Nincs TLS TLS Az EAP-TTLS hitelesítésnek több ingyenesen elérhető változata van. A PEAP protokoll egyelőre Microsoft specifikus Mindkettő szabványos szeretne leni 31

RADIUS Remote Authentication Dial In User Service Eredetileg a betárcsázós felhasználóknak (Merit Networks és Livingston Enterprises) Ma már széleskörű használat Azonosítás nem csak dial-in felhasználáskor Távközlésben számlázáshoz AAA szolgáltatás nyújtása 32

RADIUS tulajdonságok Legfőbb tulajdonságok UDP alapú (kapcsolatmentes) Állapotmentes Hop by hop biztonság Hiányosságok End to end biztonság támogatása Skálázhatósági problémák 33

RADIUS kapcsolat Kliens - NAS - RADIUS Kliens NAS Hitelesítő szerver Felhasználó NAS RADIUS EAP RADIUS Sok esetben a kliens és a hitelesítő szerver kommunikál A NAS továbbítja az üzeneteket De van RADIUS RADIUS kapcsolat is (proxy) 34

RADIUS proxy Több RADIUS szerver is részt vehet a hitelesítésben A szerver, aki a kérést kapja képtelen a hitelesítést elvégezni, ezért továbbítja a kérést Egymás között is kliens-szerver viszony Hop by hop bizalom A felhasználó csak az első szerverben bízik Bizalom Bizalom Nincs közvetlen bizalom Bizalom RADIUS tartományok (realm) 35

RADIUS kacsolat UDP forgalom 1812 es port (De használatos a 1645 is) Hiba esetén az üzeneteket meg kell ismételni (retransmission timers) Jól illeszkedik az állapotmentes működéshez Multithread támogatás 36

RADIUS üzenetek Kérés/válasz üzenetek Code 1: acces-request, 2: acces-accept, 3: access-reject 4: accounting-request, 5: accounting-response 11: access-challenge 12: status-server, 13: status-client 255: reserved Identifier Üzenetváltás azonosítója A kérés válasz összerendelése Egyszerre csak max. 256 üzenetváltás Length Üzenet hossza: 20 4096 bájt 37

Radius üzenetek (folyt.) Authenticator 16 bájt hitelesítés Request authenticator: Hitelesítés kérés: 16 bájt véletlen érték Lehet a CHAP kihívás is Jelszó elrejtése Response authenticator: Hitelesítés válasz: MD5(Code, ID, Length, hit. kérés, AVs, közös titok) Hitelesítés és integritás védelem 38

RADIUS üzenetek - AVP Attribútum-érték párok (AVP) Attribútum (1 bájt) hossz (1 bájt) - érték mezőhármas Az attribútum csak számmal jelölve Típusok: Integer, Enumeration, IP Address, String, Date, Binary Előre definiált attribútumok 26: Vendor-specific attribute VSA mező, hasonló az AVP hez Gyártó típus hossz - érték Attribútumok: User-Name, User-Password, CHAP-Password, NAS-IP-Address, NAS-Port, Service-Type, Szótár az attribútum név és száma (típus) megfeleltetéséhez 39

Attribútum szótár példa # ATTRIBUTE-NAME TYPE #-------------------------------------- 1 User-Name STRING 2 User-Password STRING 3 CHAP-Password STRING 4 NAS-IP-Address IPADDR 5 NAS-Port INT 6 Service-Type ENUM 7 Framed-Protocol ENUM 8 Framed-IP-Address IPADDR 9 Framed-IP-Netmask IPADDR 10 Framed-Routing ENUM # VALUE-MEANING FOR ATTRIBUTE #--------------------------------------------- 1 PPP 7 2 SLIP 7 3 AppleTalk Rem. Acc. Protocol (ARAP) 7 4 Gandalf SingleLink/MultiLink 7 5 Xylogics proprietary IPX/SLIP 7 6 X.75 Synchronous 7 40

RADIUS üzenetváltás Kérdés-válasz típusú Hitelesítés esetén Kérés: access-request Válasz: acces-accept access-reject access-challenge Számlázás esetén késedelmi idő viszony idő küldött és fogadott bájtok, csomagok magyarázat a bontásra 41

RADIUS alap hitelesítés Alapból jelszavas hitelesítés vagy kihívás alapú hitelesítés A felhasználó jelszavát ismeri a RADIUS szerver: password A NAS és a RADIUS szerver között egy jelszó van az üzenetek hitelesítése végett: S A hitelesítés típusai bővíthetőek 42

RADIUS PAP hitelesítés lépései 1. NAS Access-request A NAS generál egy azonosítót: NAS Authenticator User-password attribute értéke (védett jelszó): MD5(S, NAS Authenticator) XOR password 2. RADIUS Access-accept vagy Access-reject Response authenticator generálása: MD5(Code, Identifier, Length, NAS Authenticator, Attributes, S) 43

RADIUS CHAP hitelesítés lépései NAS CHAP / EAP Identity + EAP-MD5 Kihívás generálása: CHAPAuthenticator Felhasználó név, jelszó bekérése NAS Access-request NAS Authenticator Ha a CHAP Authenticator 16 bájt hosszú, akkor ide jön CHAP mezők kitöltése (CHAP password) RADIUS Access-accept vagy Access-reject 44

RADIUS Jogosultságok A jogosultságok alapján Magánhálózatok felépítése a felhasználó azonosítása alapján Különböző forgalmi osztályokba sorolás Legtöbb esetben csak NAS hozzáférés engedélyesése/tiltása 45

RADIUS számlázás Hálózati számlázás A használt szolgáltatás, eltelt idő, küldött/fogadott csomagok és bájtok a viszony alatt, átlagsebesség, stb Kapcsolat naplózása Parancsok naplózása 46

RADIUS számlázás üzenetek Kliens/szerver modell A kliens számlázási adatokat küld a szerver számára, hogy az feldolgozza A szerver akár proxyzhatja is az adatokat Biztonságos kommunikáció hasonló a hitelesítéshez és jogosultságokhoz AVP mezők az adatok számára Az üzeneteket nyugtázni kell Ha nem érkezik nyugta, akkor újraküldés Ha sokáig nem jön nyugta, akta a küldés leáll, inkonzisztencia léphet fel! 47

Egyéb AA(A) lehetőségek Idősorrendben: TACACS (AA) XTACACS TACACS+ (Cisco) RADIUS DIAMETER 48

Diameter Kétszer nagyobb mint a RADIUS IMS (IP Multimedia Subsystem) IETF RFC 3588 (Diameter Base Protocol) A RADIUS hibák javítása Skálázható Biztonságos Könnyen adminisztrálható 49

RADIUS Diameter Felek viszonya RADIUS Tiszta kliens-szerver protokoll. A RADIUS csak válaszol (csak kliens szerepben kérdez) Diameter Peer-to-peer jelleg. Működik a kliens-szerver kapcsolat is, de bármelyik résztvevő kérdezhet is Pl.: újrahitelesítés kérése RADIUS Állapotmentes protokoll. Legalábbis minimális információt tárol (pl. üzenetek azonosítója) Egyszerű több szálú implementáció Diameter Állapotokat tárol 50

RADIUS Diameter Üzenetek RADIUS Minimális fejléc (kód, azonosító, hossz, hitelesítő) + AVP csomagok Diameter Alapvetően hasonló a RADIUS üzenetekhez + fejléc információk: verziószám, alkalmazás ID, end-to-end azonosító, jelzőbitek + AVP információk: Gyártó azonosító, kontroll bitek RADIUS UDP csomagolás. Újraküldés, ha szükséges Diameter Kapcsolatorientált szállító protokoll. SCTP vagy TCP. Megbízható szállító protokoll, nem az alkalmazás kezeli a duplikált üzeneteket vagy az újraküldést. 3868 port Sokszor az ACK üzenetek miatt nagyobb a forgalom, mint RADIUS esetben RADIUS Nincs hibaüzenet. Ha hibás az üzenet, akkor csendben eldobja Diameter Hibaüzenetek. Hibabit (E bit) 51

Diameter üzenetek Kérés/válasz: 52

Diameter üzenetváltás Számlázás esetén Accounting Data Interchange Format - ADIF 53

RADIUS Diameter Együttműködés RADIUS Proxy szerverek, amelyek láncot alkothatnak Diameter Agents (ügynökök), amelyek láncot alkothatnak Relay agent: routing információk Proxy agent: üzenetek proxyzása Hasonló a realy-hez, de módosíthat is End-to-end biztonság kizárva Redirect agent: A kérés átirányítása Translation ügynökök: Átjáró más protokollokhoz 54

RADIUS Diameter Kompatibilitás, bővíthetőség RADIUS Nincs támogatás a kompatibilitáshoz (Nem jó üzenetek csendes eldobása) Diameter Képesség egyeztetés Mandatory (M) bit az AVP csomagokban RADIUS együttműködés. Működnek a RADIUS AVP és parancskódok RADIUS Bővíthető AVP üzenetek (26: VSA) Diameter Bővíthető AVP üzenetek (VSA) + 32 bites parancskódok Új AAA alkalmazások, új procedúrák 55

RADIUS Diameter Skálázhatóság RADIUS UDP üzenetek. Egyfelől jó, de nincs torlódás vezérlés. Adatvesztés is lehet miatta Az egyik fő ok, hogy új protokoll kellet! 8 bites azonosító: mindössze 256 függőben lévő üzenetcsere (Bár létezik megoldás: az IP paramétereket kell változtatni) Diameter Torlódásvezérlés 32 bites azonosító 32 bitre igazított üzenetek a gyorsabb feldolgozás miatt Sok állapot (szállítási rétegben + viszonyrétegben) 56

RADIUS - Diameter Biztonság RADIUS Közös titok, hop-by-hop Gondok a közös titkok kezelésével (túl sok adminisztráció) és az authenticator helyes előállítása is kérdéses (kiszámíthatatlan és ismétlés nélkülinek kell lennie) Legtöbbször csak a jelszó titkosított Proxyk használatával mindenki belenyúl az üzenetbe Diameter Kötelező IPSec támogatás, opcionális TLS. Szerverek számára mindkettő kötelező. Üzenetváltásnál kötelező használni. Hop-by-hop mellett end-to-end biztonság is 57

RADIUS - Diameter Diameter jobb: (Nem csoda, ezért csinálták) Jobb skálázhatóság Jobb üzenetkezelés (hibaüzenetek) Együttműködés, kompatibilitás, bővíthetőség Nagyobb biztonság IPSec (+ TLS) End-to-end titkosítás RADIUS még használható, de lassan már kár ragaszkodni hozzá Diameter hátránya: nagy komplexitás 58

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés