SlideShare une entreprise Scribd logo

Radius Server Greek

George Stefanidis
George Stefanidis

Περιγραφή του τρόπου λειτουργιάς ενός Radius Server για το μάθημα Ασφάλεια Υπολογιστών και Δικτύων

Technologie
1  sur  32
Télécharger pour lire hors ligne
Εγκατάσταση & Παραµετροποίηση Εξυπηρετητή
 Πιστοποίησης Χρηστών 
 (Radius Server) Μάθηµα: Ασφάλεια Υπολογιστών και Δικτύων Φοιτητές: Μπάτσου Ελευθερία | 573 Στεφανίδης Γιώργος | 546 Υπ. Καθηγητής: Π. Σαρηγιαννίδης Ηµεροµηνία: 19 Ιουνίου 2015 Τµήµα Μηχανικών Πληροφορικής και Τηλεπικοινωνιών Πανεπιστήµιο Δυτικής Μακεδονίας
Περιεχόμενα • Τι είναι το Radius • Ιστορικά Στοιχεία • Βασικές Αρχές • Πρωτόκολλο • Λειτουργίες Server • Roaming • Proxy Operations • Security • Δοµή Πακέτου 2
Τι είναι το RADIUS • Remote • Authentication • Dial • In • User • Service To radius είναι ένα διαδικτυακό πρωτόκολλο που παρέχει συγκεντρωτικά πιστοποίηση, εξουσιοδότηση και υπηρεσίες διαχείρισης (Authentication, Authorization, and Accounting – AAA) για τους χρήστες που συνδέονται και χρησιµοποιούν δικτυακές υπηρεσίες. 3
Ιστορικά Στοιχεία Το RADIUS αναπτύχθηκε από την εταιρία Livingston το 1991 σαν ένας server πρόσβασης µε πρωτόκολλο πιστοποίησης και διαχείρισης υπηρεσιών και αργότερα χρησιµοποιήθηκε σαν πρότυπο από το “Internet Engineering Task Force - IETF”. Λόγω της ευρείας υποστήριξης του πρωτοκόλλου RADIUS, χρησιµοποιείται συχνά από τα ISPs και εταιρίες για την διαχείριση πρόσβασης στο Internet ή εσωτερικά δίκτυα, ασύρµατα δίκτυα, και υπηρεσίες e-mail. Τα δίκτυα αυτά µπορεί να περιλαµβάνουν modems, DSL, access points, VPNs, network ports, web servers, κτλ. 4
Βασικές Αρχές • Το RADIUS είναι ένα πρωτόκολλο client/server που τρέχει στο επίπεδο εφαρµογής (application layer) χρησιµοποιώντας το UDP σαν “µέσο µεταφοράς”. • Τα Remote Access Server, Virtual Private Network server, Network switch with port-based authentication, και το Network Access Server (NAS) είναι όλες πύλες που ελέγχουν την πρόσβαση στο δίκτυο και όλες έχουν έναν RADIUS client που επικοινωνεί µε έναν RADIUS server. • To RADIUS τρέχει συχνά σαν µια από τις διεργασίες παρασκηνίου στους UNIX και Microsoft Windows server. 5
Στοιχεία Πρωτοκόλλου Οι RADIUS server χρησιµοποιούν το πρωτόκολλο ΑΑΑ για την διαχείριση της πρόσβασης στο δίκτυο •Αuthentication •Αuthorization •Αccounting 6
Authentication and Authorization • Ο χρήστης ή το µηχάνηµα στέλνει ένα αίτηµα (request) στο Remote Access Server (RAS) ώστε να αποκτήσει πρόσβαση σε ένα συγκεκριµένο πόρο του δικτύου χρησιµοποιώντας τα διαπιστευτήρια πρόσβασης (access credentials). Τα credentials περνούν στο RAS µέσω του πρωτοκόλλου επιπέδου σύνδεσης. • Για παράδειγµα συχνά χρησιµοποιείται σε: • Point-to-Point Protocol (PPP) σε πολλές περιπτώσεις dialup • DSL πάροχους • Φόρµες ασφαλείας σε HTTPS ιστοσελίδες 7
Authentication and Authorization • Η αίτηση περιλαµβάνει credentials πρόσβασης, συνήθως username και password ή πιστοποιητικό ασφάλειας, τα οποία παρέχονται από τον χρήστη. • Μπορεί να περιλαµβάνει και άλλες πληροφορίες, τις οποίες το RAS γνωρίζει για τον χρήστη. • Για παράδειγµα: • Την διεύθυνση του δικτύου • Το κινητό τηλέφωνο • Πληροφορίες σχετικά µε την φυσική σύνδεση του χρήστη στο RAS. 8
Authentication and Authorization • Οι RADIUS servers ελέγχουν ότι οι πληροφορίες είναι σωστές χρησιµοποιώντας συστήµατα ελέγχου ταυτοποίησης, όπως τα PAP, CHAP ή EAP. Τα στοιχεία του χρήστη επαληθεύονται, µαζί ίσως µε πληροφορίες σχετικές µε την αίτηση. • Από ιστορικής απόψεως, οι RADIUS servers έλεγχαν τις πληροφορίες του χρήστη από ένα τοπικό αποθηκευµένο αρχείο βάσης δεδοµένων. • Οι σύγχρονοι RADIUS servers µπορούν να κάνουν και αυτό, αλλά και να αναφερθούν σε εξωτερικές πηγές – κοινώς SQL, Kerberos, LDAP, Active Directory servers – ώστε να επαληθεύσουν τα credentials του χρήστη. 9
Απαντήσεις server O RADIUS server δίνει µια από τις επόµενες απαντήσεις στο RAS: 1) Access Reject 2) Access Challenge 3) Access Accept 10
Access Reject Απαγορεύεται στον χρήστη η άνευ όρων πρόσβαση στους πόρους του δικτύου που είχε αιτηθεί. Οι λόγοι για αυτή την αποτυχηµένη πρόσβαση µπορεί να είναι οι µη επαρκείς αποδείξεις αναγνώρισης, ένας άγνωστος ή ανενεργός λογαριασµός του χρήστη. 11
Access Challenge Απαιτούνται επί πρόσθετες πληροφορίες από τον χρήστη, όπως δευτερεύον κωδικός, PIN, κτλ. Το “Access Challenge” χρησιµοποιείται κυρίως σε πιο σύνθετες αυθεντικοποιήσεις, όπου έχει εγκατασταθεί ένα τοίχος ασφαλείας ανάµεσα στον χρήστη και στον RADIUS server µε έναν τρόπο, όπου τα credentials πρόσβασης είναι κρυµµένα από το RAS. 12
Access Accept O χρήστης αποκτά πρόσβαση. Μόλις επικυρωθεί, ο RADIUS server συνήθως ελέγχει ότι (ο χρήστης) είναι εξουσιοδοτηµένος να χρησιµοποιεί την υπηρεσία δικτύου που αιτήθηκε. Για παράδειγµα: Mπορεί να επιτρέπεται να χρησιµοποιεί το ασύρµατο δίκτυο µιας εταιρίας αλλά όχι τις υπηρεσίες VPN. Και πάλι αυτές οι πληροφορίες µπορεί να είναι αποθηκευµένες τοπικά στον RADIUS server, ή σε µια εξωτερική πηγή. 13
Reply-Message Κάθε µια από αυτές τις 3 απαντήσεις µπορεί να περιλαµβάνει ένα Reply-Message το οποίο µπορεί να δώσει έναν λόγο για την απόρριψη, τα επί πρόσθετα στοιχεία για το challenge, ή ένα µήνυµα καλωσορίσµατος για την αποδοχή. 14
Χαρακτηριστικά Aυθεντικοποίησης Τα χαρακτηριστικά της αυθεντικοποίησης µεταφέρονται στο RAS, το οποίο ορίζει τους όρους πρόσβασης. Τα παρακάτω χαρακτηριστικά µπορεί να περιλαµβάνονται στην αποδοχή του χρήστη: • Συγκεκριµένη IP που θα του διατεθεί • Ένας χώρος διευθύνσεων από τον οποίο θα πρέπει να επιλεγεί η IP του • Ο µέγιστος χρόνος που µπορεί να παραµείνει συνδεδεµένος • Μια λίστα πρόσβασης, ουρά προτεραιότητας ή άλλους περιορισµούς σχετικά µε την πρόσβαση του. • Παράµετροι VLAN • Παράµετροι Quality of Service (QoS) 15
Χαρακτηριστικά Αυθεντικοποίησης • Όταν ένας πελάτης ρυθµιστεί ώστε να χρησιµοποιεί το RADIUS, θα πρέπει να δίνει τα στοιχεία του, όπως username και password, ή να χρησιµοποιεί κάποια πρωτόκολλα όπως το Point-to-Point Protocol (PPP), το οποίο περιέχει πακέτα αυθεντικοποίησης που “κουβαλούν” αυτές τις πληροφορίες. • Οι κωδικοί πρόσβασης, όπως π.χ. το password είναι κρυµµένα µε µεθόδους που βασίζονται στο RSA Message Digest Algorithm MD5. 16
Accounting 17
Accounting Start Όταν η πρόσβαση στο δίκτυο χορηγείται στο χρήστη από το NAS, στέλνεται το “Accounting Start”. Αυτό είναι ένα αίτηµα πακέτου, το οποίο περιλαµβάνει στις ιδιότητες του την τιµή “start”. To αίτηµα στέλνεται από το NAS στον RADIUS server ώστε να σηµατοδοτήσει την αρχή πρόσβασης του χρήστη στο δίκτυο. Το “start” συνήθως περιέχει την ταυτοποίηση του χρήστη, την δικτυακή του διεύθυνση και ένα µοναδικό αναγνωριστικό συνόδου. 18
Interim Update Σε τακτά χρονικά διαστήµατα, στέλνονται αρχεία ενδιάµεσης ενηµέρωσης “Interim Update”. Είναι ένα αίτηµα πακέτου, το οποίο περιλαµβάνει στις ιδιότητες του την τιµή “interim-update”, στέλνεται από το NAS στον RADIUS server ώστε να ανανεώσει την κατάσταση µιας ενεργής συνόδου. Τα “ενδιάµεσα” αρχεία συνήθως µεταφέρουν την τρέχουσα διάρκεια της συνόδου και την τρέχουσα χρήση δεδοµένων. 19
Stop Record Όταν η πρόσβαση στο δίκτυο (του χρήστη) είναι κλειστή, η NAS εκδίδει ένα “Stop Record” και στέλνεται στον RADIUS server. Αυτό είναι ένα αίτηµα πακέτου, το οποίο περιλαµβάνει στις ιδιότητες του την τιµή “stop”, περιέχει πληροφορίες σχετικές µε την χρήση του δικτύου, την διάρκεια, τα πακέτα και τα δεδοµένα που µεταφέρθηκαν και άλλες πληροφορίες ως προς την πρόσβαση στο δίκτυο του χρήστη. 20
Απάντηση Συνήθως, ο client στέλνει ανά τακτά χρονικά διαστήµατα, τα παραπάνω πακέτα, µέχρι να λάβει ένα πακέτο απάντησης. Ο πρωταρχικός σκοπός αυτών των δεδοµένων είναι ώστε να χρεωθεί ο χρήστης αναλόγως, αλλά και επειδή τα δεδοµένα χρησιµοποιούνται για στατιστικούς σκοπούς και τη γενική παρακολούθηση του δικτύου. 21
Roaming (Περιαγωγή) 22
Roaming • Το RADIUS χρησιµοποιείται συχνά για τη διευκόλυνση της περιαγωγής µεταξύ των ISPs, για παράδειγµα: • Από εταιρείες οι οποίες παρέχουν ένα σύνολο διαπιστευτηρίων (credentials) τα οποία µπορούν να χρησιµοποιηθούν σε πολλά δηµόσια δίκτυα. • Από ανεξάρτητα, αλλά συνεργαζόµενα ιδρύµατα, που εκδίδουν τα δικά τους διαπιστευτήρια µε τους δικούς τους χρήστες, και επιτρέπουν σε έναν επισκέπτη να συνδεθεί σε ένα άλλο σύστηµα, όπου τα credentials του πρέπει να επικυρώνονται από το ίδρυµα προέλευσης τους, όπως γίνεται στο eduroam. 23
Realms • Το realm προσαρτάται στο username του χρήστη και οριοθετείται µε τo σύµβολο “@”, όπως δηλαδή περίπου γίνεται και στα e-mail µε το domain name. Αυτός είναι ο postfix συµβολισµός για το realm. Ο διαχωρισµός του username µπορεί να γίνει και µε το σύµβολο “”. • Οι σύγχρονοι RADIUS servers επιτρέπουν οποιαδήποτε σύµβολο να χρησιµοποιηθεί ως delimiter, αλλά πρακτικά χρησιµοποιούνται τα “@” και “/”. • Σε ορισµένες σύνθετες περιπτώσεις µπορούν να χρησιµοποιηθούν και τα δύο σύµβολα. Για παράδειγµα: somedomain.comusername@anotherdomain.com • Ωστόσο υπάρχουν και κάποιες περιπτώσεις στις οποίες δεν χρησιµοποιείται κανένα σύµβολο. 24
Proxy Operations Όταν ο RADIUS server λαµβάνει ένα αίτηµα AAA για το username το οποίο περιέχει ένα realm, ο server θα κάνει αναφορά σε ένα πίνακα που περιέχει όλα τα realms. Αν το realm υπάρχει, ο server θα στείλει το αίτηµα στο home server του domain. Επί πρόσθετα, ο proxy server, µπορεί να προσθέσει/ αφαιρέσει/ξαναγράψει αιτήµατα ΑΑΑ µετά από κάποιο χρόνο. 25
Security Η περιαγωγή µε RADIUS εκθέτει τους χρήστες σε θέµατα ασφάλειας και προστασίας της ιδιωτικής τους ζωής. Γενικά, κάποιοι δηµιουργούν ένα secure tunnel µεταξύ των RADIUS servers ώστε να διασφαλίσουν ότι τα credentials των χρηστών δεν θα µπορούν να υποκλαπούν µέσω των proxy στο διαδίκτυο. Τα δεδοµένα κρυπτογραφούνται µε MD5 το οποίο έχει κάποια θέµατα ασφάλειας. 26
Δομή Πακέτου 27 Τα πεδία µεταδίδονται από αριστερά προς τα δεξιά, ξεκινώντας µε το code, το identifier, το length, το authenticator και τα attributes.
RADIUS Codes 
 (σε δεκαδική μορφή) Code Assignment 1 Access-Request 2 Access-Accept 3 Access-Reject 4 Accounting-Request 5 Accounting-Response 11 Access-Challenge 12 Status-Server (experimental) 13 Status-Client (experimental) 255 Reserved 28
Πεδία Πακέτου • To πεδίο “Identifier” βοηθάει στο να αντιστοιχίζονται τα requests µε τα replies. • To πεδίο “Length” υποδεικνύει το µήκος ολόκληρου του πακέτου RADIUS, συµπεριλαµβανοµένου του code, identifier, length, authenticator και attributes. • Το πεδίο “Authenticator” χρησιµοποιείται για να πιστοποίηση την απάντηση από τον RADIUS server, βρίσκεται κρυπτογραφηµένο στα password, και το µήκος του είναι 16 bytes. 29
Attribute Value Pairs (AVP) Το Attribute Value Pairs (AVP) µεταφέρουν δεδοµένα τόσο της αίτησης όσο και της απάντησης για την πιστοποίηση, την εξουσιοδότηση, και το accounting. To µήκος του πακέτου χρησιµοποιείται για να προσδιορίσει το τέλος των AVPs. 30
Attributes / Ασφάλεια • To RADIUS είναι επεκτάσιµο, πολλοί χρησιµοποιούν το hardware και το software του ώστε να φτιάξουν τις δικές τους εκδόσεις. Μάλιστα η Microsoft έχει εκδώσει κάποιες από αυτές. • Το πρωτόκολλο RADIUS µεταδίδει τους κωδικούς του µέσω ενός “shared secret” και τον αλγόριθµο hash MD5. Καθώς αυτή η υλοποίηση παρέχει µικρή προστασία στα credentials των χρηστών, επί πρόσθετη τρόποι, όπως τα Ipsec tunnels, είναι καλό να χρησιµοποιηθούν για την περαιτέρω προστασία ανάµεσα στο NAS και τον server. 31
Ευχαριστούµε! 32

Recommandé

1st StudentGuru Live Meeting | Imagine Cup 2011 | IT Challenge Support
1st StudentGuru Live Meeting | Imagine Cup 2011 | IT Challenge Support1st StudentGuru Live Meeting | Imagine Cup 2011 | IT Challenge Support
1st StudentGuru Live Meeting | Imagine Cup 2011 | IT Challenge Support
Alexandros Sigaras
 
Εισαγωγή στην Ποιότητα Υπηρεσιών (QoS) [Έγγραφο]
Εισαγωγή στην Ποιότητα Υπηρεσιών (QoS) [Έγγραφο]Εισαγωγή στην Ποιότητα Υπηρεσιών (QoS) [Έγγραφο]
Εισαγωγή στην Ποιότητα Υπηρεσιών (QoS) [Έγγραφο]
Stavros Skamagkis
 
Algunas plantas del Paraje Natural Los Enebrales de Punta Umbría, Huelva
Algunas plantas del Paraje Natural Los Enebrales de Punta Umbría, HuelvaAlgunas plantas del Paraje Natural Los Enebrales de Punta Umbría, Huelva
Algunas plantas del Paraje Natural Los Enebrales de Punta Umbría, Huelva
Eva de la Corte Zamorano
 
Κβαντικοί Υπολογιστές
Κβαντικοί ΥπολογιστέςΚβαντικοί Υπολογιστές
Κβαντικοί Υπολογιστές
George Stefanidis
 
Virtualized Cognitive Network Architecture for 5G Cellular Networks
Virtualized Cognitive Network Architecture for 5G Cellular NetworksVirtualized Cognitive Network Architecture for 5G Cellular Networks
Virtualized Cognitive Network Architecture for 5G Cellular Networks
George Stefanidis
 
GNS3 Greek Presentation
GNS3 Greek Presentation GNS3 Greek Presentation
GNS3 Greek Presentation
George Stefanidis
 
2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot
Marius Sescu
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPT
Expeed Software
 

Recommandé

1st StudentGuru Live Meeting | Imagine Cup 2011 | IT Challenge Support
1st StudentGuru Live Meeting | Imagine Cup 2011 | IT Challenge Support1st StudentGuru Live Meeting | Imagine Cup 2011 | IT Challenge Support
1st StudentGuru Live Meeting | Imagine Cup 2011 | IT Challenge Support
Alexandros Sigaras
 
Εισαγωγή στην Ποιότητα Υπηρεσιών (QoS) [Έγγραφο]
Εισαγωγή στην Ποιότητα Υπηρεσιών (QoS) [Έγγραφο]Εισαγωγή στην Ποιότητα Υπηρεσιών (QoS) [Έγγραφο]
Εισαγωγή στην Ποιότητα Υπηρεσιών (QoS) [Έγγραφο]
Stavros Skamagkis
 
Algunas plantas del Paraje Natural Los Enebrales de Punta Umbría, Huelva
Algunas plantas del Paraje Natural Los Enebrales de Punta Umbría, HuelvaAlgunas plantas del Paraje Natural Los Enebrales de Punta Umbría, Huelva
Algunas plantas del Paraje Natural Los Enebrales de Punta Umbría, Huelva
Eva de la Corte Zamorano
 
Κβαντικοί Υπολογιστές
Κβαντικοί ΥπολογιστέςΚβαντικοί Υπολογιστές
Κβαντικοί Υπολογιστές
George Stefanidis
 
Virtualized Cognitive Network Architecture for 5G Cellular Networks
Virtualized Cognitive Network Architecture for 5G Cellular NetworksVirtualized Cognitive Network Architecture for 5G Cellular Networks
Virtualized Cognitive Network Architecture for 5G Cellular Networks
George Stefanidis
 
GNS3 Greek Presentation
GNS3 Greek Presentation GNS3 Greek Presentation
GNS3 Greek Presentation
George Stefanidis
 
2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot
Marius Sescu
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPT
Expeed Software
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage Engineerings
Pixeldarts
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
ThinkNow
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
marketingartwork
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture Code
Skeleton Technologies
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
Neil Kimberley
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
contently
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
Albert Qian
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
Kurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
SpeakerHub
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next
Tessa Mero
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Lily Ray
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations
Rajiv Jayarajah, MAppComm, ACC
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data Science
Christy Abraham Joy
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best Practices
Vit Horky
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project management
MindGenius
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
RachelPearson36
 
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Applitools
 
12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work
GetSmarter
 

Contenu connexe

En vedette

How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
ThinkNow
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
Kurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
SpeakerHub
 
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Applitools
 

En vedette (20)

Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage Engineerings
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture Code
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data Science
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best Practices
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project management
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
 
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
 
12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work
 

Radius Server Greek

  • 1. Εγκατάσταση & Παραµετροποίηση Εξυπηρετητή
 Πιστοποίησης Χρηστών 
 (Radius Server) Μάθηµα: Ασφάλεια Υπολογιστών και Δικτύων Φοιτητές: Μπάτσου Ελευθερία | 573 Στεφανίδης Γιώργος | 546 Υπ. Καθηγητής: Π. Σαρηγιαννίδης Ηµεροµηνία: 19 Ιουνίου 2015 Τµήµα Μηχανικών Πληροφορικής και Τηλεπικοινωνιών Πανεπιστήµιο Δυτικής Μακεδονίας
  • 2. Περιεχόμενα • Τι είναι το Radius • Ιστορικά Στοιχεία • Βασικές Αρχές • Πρωτόκολλο • Λειτουργίες Server • Roaming • Proxy Operations • Security • Δοµή Πακέτου 2
  • 3. Τι είναι το RADIUS • Remote • Authentication • Dial • In • User • Service To radius είναι ένα διαδικτυακό πρωτόκολλο που παρέχει συγκεντρωτικά πιστοποίηση, εξουσιοδότηση και υπηρεσίες διαχείρισης (Authentication, Authorization, and Accounting – AAA) για τους χρήστες που συνδέονται και χρησιµοποιούν δικτυακές υπηρεσίες. 3
  • 4. Ιστορικά Στοιχεία Το RADIUS αναπτύχθηκε από την εταιρία Livingston το 1991 σαν ένας server πρόσβασης µε πρωτόκολλο πιστοποίησης και διαχείρισης υπηρεσιών και αργότερα χρησιµοποιήθηκε σαν πρότυπο από το “Internet Engineering Task Force - IETF”. Λόγω της ευρείας υποστήριξης του πρωτοκόλλου RADIUS, χρησιµοποιείται συχνά από τα ISPs και εταιρίες για την διαχείριση πρόσβασης στο Internet ή εσωτερικά δίκτυα, ασύρµατα δίκτυα, και υπηρεσίες e-mail. Τα δίκτυα αυτά µπορεί να περιλαµβάνουν modems, DSL, access points, VPNs, network ports, web servers, κτλ. 4
  • 5. Βασικές Αρχές • Το RADIUS είναι ένα πρωτόκολλο client/server που τρέχει στο επίπεδο εφαρµογής (application layer) χρησιµοποιώντας το UDP σαν “µέσο µεταφοράς”. • Τα Remote Access Server, Virtual Private Network server, Network switch with port-based authentication, και το Network Access Server (NAS) είναι όλες πύλες που ελέγχουν την πρόσβαση στο δίκτυο και όλες έχουν έναν RADIUS client που επικοινωνεί µε έναν RADIUS server. • To RADIUS τρέχει συχνά σαν µια από τις διεργασίες παρασκηνίου στους UNIX και Microsoft Windows server. 5
  • 6. Στοιχεία Πρωτοκόλλου Οι RADIUS server χρησιµοποιούν το πρωτόκολλο ΑΑΑ για την διαχείριση της πρόσβασης στο δίκτυο •Αuthentication •Αuthorization •Αccounting 6
  • 7. Authentication and Authorization • Ο χρήστης ή το µηχάνηµα στέλνει ένα αίτηµα (request) στο Remote Access Server (RAS) ώστε να αποκτήσει πρόσβαση σε ένα συγκεκριµένο πόρο του δικτύου χρησιµοποιώντας τα διαπιστευτήρια πρόσβασης (access credentials). Τα credentials περνούν στο RAS µέσω του πρωτοκόλλου επιπέδου σύνδεσης. • Για παράδειγµα συχνά χρησιµοποιείται σε: • Point-to-Point Protocol (PPP) σε πολλές περιπτώσεις dialup • DSL πάροχους • Φόρµες ασφαλείας σε HTTPS ιστοσελίδες 7
  • 8. Authentication and Authorization • Η αίτηση περιλαµβάνει credentials πρόσβασης, συνήθως username και password ή πιστοποιητικό ασφάλειας, τα οποία παρέχονται από τον χρήστη. • Μπορεί να περιλαµβάνει και άλλες πληροφορίες, τις οποίες το RAS γνωρίζει για τον χρήστη. • Για παράδειγµα: • Την διεύθυνση του δικτύου • Το κινητό τηλέφωνο • Πληροφορίες σχετικά µε την φυσική σύνδεση του χρήστη στο RAS. 8
  • 9. Authentication and Authorization • Οι RADIUS servers ελέγχουν ότι οι πληροφορίες είναι σωστές χρησιµοποιώντας συστήµατα ελέγχου ταυτοποίησης, όπως τα PAP, CHAP ή EAP. Τα στοιχεία του χρήστη επαληθεύονται, µαζί ίσως µε πληροφορίες σχετικές µε την αίτηση. • Από ιστορικής απόψεως, οι RADIUS servers έλεγχαν τις πληροφορίες του χρήστη από ένα τοπικό αποθηκευµένο αρχείο βάσης δεδοµένων. • Οι σύγχρονοι RADIUS servers µπορούν να κάνουν και αυτό, αλλά και να αναφερθούν σε εξωτερικές πηγές – κοινώς SQL, Kerberos, LDAP, Active Directory servers – ώστε να επαληθεύσουν τα credentials του χρήστη. 9
  • 10. Απαντήσεις server O RADIUS server δίνει µια από τις επόµενες απαντήσεις στο RAS: 1) Access Reject 2) Access Challenge 3) Access Accept 10
  • 11. Access Reject Απαγορεύεται στον χρήστη η άνευ όρων πρόσβαση στους πόρους του δικτύου που είχε αιτηθεί. Οι λόγοι για αυτή την αποτυχηµένη πρόσβαση µπορεί να είναι οι µη επαρκείς αποδείξεις αναγνώρισης, ένας άγνωστος ή ανενεργός λογαριασµός του χρήστη. 11
  • 12. Access Challenge Απαιτούνται επί πρόσθετες πληροφορίες από τον χρήστη, όπως δευτερεύον κωδικός, PIN, κτλ. Το “Access Challenge” χρησιµοποιείται κυρίως σε πιο σύνθετες αυθεντικοποιήσεις, όπου έχει εγκατασταθεί ένα τοίχος ασφαλείας ανάµεσα στον χρήστη και στον RADIUS server µε έναν τρόπο, όπου τα credentials πρόσβασης είναι κρυµµένα από το RAS. 12
  • 13. Access Accept O χρήστης αποκτά πρόσβαση. Μόλις επικυρωθεί, ο RADIUS server συνήθως ελέγχει ότι (ο χρήστης) είναι εξουσιοδοτηµένος να χρησιµοποιεί την υπηρεσία δικτύου που αιτήθηκε. Για παράδειγµα: Mπορεί να επιτρέπεται να χρησιµοποιεί το ασύρµατο δίκτυο µιας εταιρίας αλλά όχι τις υπηρεσίες VPN. Και πάλι αυτές οι πληροφορίες µπορεί να είναι αποθηκευµένες τοπικά στον RADIUS server, ή σε µια εξωτερική πηγή. 13
  • 14. Reply-Message Κάθε µια από αυτές τις 3 απαντήσεις µπορεί να περιλαµβάνει ένα Reply-Message το οποίο µπορεί να δώσει έναν λόγο για την απόρριψη, τα επί πρόσθετα στοιχεία για το challenge, ή ένα µήνυµα καλωσορίσµατος για την αποδοχή. 14
  • 15. Χαρακτηριστικά Aυθεντικοποίησης Τα χαρακτηριστικά της αυθεντικοποίησης µεταφέρονται στο RAS, το οποίο ορίζει τους όρους πρόσβασης. Τα παρακάτω χαρακτηριστικά µπορεί να περιλαµβάνονται στην αποδοχή του χρήστη: • Συγκεκριµένη IP που θα του διατεθεί • Ένας χώρος διευθύνσεων από τον οποίο θα πρέπει να επιλεγεί η IP του • Ο µέγιστος χρόνος που µπορεί να παραµείνει συνδεδεµένος • Μια λίστα πρόσβασης, ουρά προτεραιότητας ή άλλους περιορισµούς σχετικά µε την πρόσβαση του. • Παράµετροι VLAN • Παράµετροι Quality of Service (QoS) 15
  • 16. Χαρακτηριστικά Αυθεντικοποίησης • Όταν ένας πελάτης ρυθµιστεί ώστε να χρησιµοποιεί το RADIUS, θα πρέπει να δίνει τα στοιχεία του, όπως username και password, ή να χρησιµοποιεί κάποια πρωτόκολλα όπως το Point-to-Point Protocol (PPP), το οποίο περιέχει πακέτα αυθεντικοποίησης που “κουβαλούν” αυτές τις πληροφορίες. • Οι κωδικοί πρόσβασης, όπως π.χ. το password είναι κρυµµένα µε µεθόδους που βασίζονται στο RSA Message Digest Algorithm MD5. 16
  • 18. Accounting Start Όταν η πρόσβαση στο δίκτυο χορηγείται στο χρήστη από το NAS, στέλνεται το “Accounting Start”. Αυτό είναι ένα αίτηµα πακέτου, το οποίο περιλαµβάνει στις ιδιότητες του την τιµή “start”. To αίτηµα στέλνεται από το NAS στον RADIUS server ώστε να σηµατοδοτήσει την αρχή πρόσβασης του χρήστη στο δίκτυο. Το “start” συνήθως περιέχει την ταυτοποίηση του χρήστη, την δικτυακή του διεύθυνση και ένα µοναδικό αναγνωριστικό συνόδου. 18
  • 19. Interim Update Σε τακτά χρονικά διαστήµατα, στέλνονται αρχεία ενδιάµεσης ενηµέρωσης “Interim Update”. Είναι ένα αίτηµα πακέτου, το οποίο περιλαµβάνει στις ιδιότητες του την τιµή “interim-update”, στέλνεται από το NAS στον RADIUS server ώστε να ανανεώσει την κατάσταση µιας ενεργής συνόδου. Τα “ενδιάµεσα” αρχεία συνήθως µεταφέρουν την τρέχουσα διάρκεια της συνόδου και την τρέχουσα χρήση δεδοµένων. 19
  • 20. Stop Record Όταν η πρόσβαση στο δίκτυο (του χρήστη) είναι κλειστή, η NAS εκδίδει ένα “Stop Record” και στέλνεται στον RADIUS server. Αυτό είναι ένα αίτηµα πακέτου, το οποίο περιλαµβάνει στις ιδιότητες του την τιµή “stop”, περιέχει πληροφορίες σχετικές µε την χρήση του δικτύου, την διάρκεια, τα πακέτα και τα δεδοµένα που µεταφέρθηκαν και άλλες πληροφορίες ως προς την πρόσβαση στο δίκτυο του χρήστη. 20
  • 21. Απάντηση Συνήθως, ο client στέλνει ανά τακτά χρονικά διαστήµατα, τα παραπάνω πακέτα, µέχρι να λάβει ένα πακέτο απάντησης. Ο πρωταρχικός σκοπός αυτών των δεδοµένων είναι ώστε να χρεωθεί ο χρήστης αναλόγως, αλλά και επειδή τα δεδοµένα χρησιµοποιούνται για στατιστικούς σκοπούς και τη γενική παρακολούθηση του δικτύου. 21
  • 23. Roaming • Το RADIUS χρησιµοποιείται συχνά για τη διευκόλυνση της περιαγωγής µεταξύ των ISPs, για παράδειγµα: • Από εταιρείες οι οποίες παρέχουν ένα σύνολο διαπιστευτηρίων (credentials) τα οποία µπορούν να χρησιµοποιηθούν σε πολλά δηµόσια δίκτυα. • Από ανεξάρτητα, αλλά συνεργαζόµενα ιδρύµατα, που εκδίδουν τα δικά τους διαπιστευτήρια µε τους δικούς τους χρήστες, και επιτρέπουν σε έναν επισκέπτη να συνδεθεί σε ένα άλλο σύστηµα, όπου τα credentials του πρέπει να επικυρώνονται από το ίδρυµα προέλευσης τους, όπως γίνεται στο eduroam. 23
  • 24. Realms • Το realm προσαρτάται στο username του χρήστη και οριοθετείται µε τo σύµβολο “@”, όπως δηλαδή περίπου γίνεται και στα e-mail µε το domain name. Αυτός είναι ο postfix συµβολισµός για το realm. Ο διαχωρισµός του username µπορεί να γίνει και µε το σύµβολο “”. • Οι σύγχρονοι RADIUS servers επιτρέπουν οποιαδήποτε σύµβολο να χρησιµοποιηθεί ως delimiter, αλλά πρακτικά χρησιµοποιούνται τα “@” και “/”. • Σε ορισµένες σύνθετες περιπτώσεις µπορούν να χρησιµοποιηθούν και τα δύο σύµβολα. Για παράδειγµα: somedomain.comusername@anotherdomain.com • Ωστόσο υπάρχουν και κάποιες περιπτώσεις στις οποίες δεν χρησιµοποιείται κανένα σύµβολο. 24
  • 25. Proxy Operations Όταν ο RADIUS server λαµβάνει ένα αίτηµα AAA για το username το οποίο περιέχει ένα realm, ο server θα κάνει αναφορά σε ένα πίνακα που περιέχει όλα τα realms. Αν το realm υπάρχει, ο server θα στείλει το αίτηµα στο home server του domain. Επί πρόσθετα, ο proxy server, µπορεί να προσθέσει/ αφαιρέσει/ξαναγράψει αιτήµατα ΑΑΑ µετά από κάποιο χρόνο. 25
  • 26. Security Η περιαγωγή µε RADIUS εκθέτει τους χρήστες σε θέµατα ασφάλειας και προστασίας της ιδιωτικής τους ζωής. Γενικά, κάποιοι δηµιουργούν ένα secure tunnel µεταξύ των RADIUS servers ώστε να διασφαλίσουν ότι τα credentials των χρηστών δεν θα µπορούν να υποκλαπούν µέσω των proxy στο διαδίκτυο. Τα δεδοµένα κρυπτογραφούνται µε MD5 το οποίο έχει κάποια θέµατα ασφάλειας. 26
  • 27. Δομή Πακέτου 27 Τα πεδία µεταδίδονται από αριστερά προς τα δεξιά, ξεκινώντας µε το code, το identifier, το length, το authenticator και τα attributes.
  • 28. RADIUS Codes 
 (σε δεκαδική μορφή) Code Assignment 1 Access-Request 2 Access-Accept 3 Access-Reject 4 Accounting-Request 5 Accounting-Response 11 Access-Challenge 12 Status-Server (experimental) 13 Status-Client (experimental) 255 Reserved 28
  • 29. Πεδία Πακέτου • To πεδίο “Identifier” βοηθάει στο να αντιστοιχίζονται τα requests µε τα replies. • To πεδίο “Length” υποδεικνύει το µήκος ολόκληρου του πακέτου RADIUS, συµπεριλαµβανοµένου του code, identifier, length, authenticator και attributes. • Το πεδίο “Authenticator” χρησιµοποιείται για να πιστοποίηση την απάντηση από τον RADIUS server, βρίσκεται κρυπτογραφηµένο στα password, και το µήκος του είναι 16 bytes. 29
  • 30. Attribute Value Pairs (AVP) Το Attribute Value Pairs (AVP) µεταφέρουν δεδοµένα τόσο της αίτησης όσο και της απάντησης για την πιστοποίηση, την εξουσιοδότηση, και το accounting. To µήκος του πακέτου χρησιµοποιείται για να προσδιορίσει το τέλος των AVPs. 30
  • 31. Attributes / Ασφάλεια • To RADIUS είναι επεκτάσιµο, πολλοί χρησιµοποιούν το hardware και το software του ώστε να φτιάξουν τις δικές τους εκδόσεις. Μάλιστα η Microsoft έχει εκδώσει κάποιες από αυτές. • Το πρωτόκολλο RADIUS µεταδίδει τους κωδικούς του µέσω ενός “shared secret” και τον αλγόριθµο hash MD5. Καθώς αυτή η υλοποίηση παρέχει µικρή προστασία στα credentials των χρηστών, επί πρόσθετη τρόποι, όπως τα Ipsec tunnels, είναι καλό να χρησιµοποιηθούν για την περαιτέρω προστασία ανάµεσα στο NAS και τον server. 31