Что такое ааа?
Аутентификация, авторизация и учет сокращенно обозначаются A AA.
Основные особенности radius
Основана на технологии клиент-сервер. Сервер сетевого доступа, который взаимодействует с сервером REDIUS по сети, размещает клиентскую часть RADIUS. Сервер RADIUS также может функционировать как прокси-клиент для другого проекта аутентификации.
Безопасность сети Пароли для RADIUS не могут быть переданы через Интернет.
Универсальная аутентификация PAP (Password Authentication Protocol) и Eap – два метода аутентификации, которые поддерживает RADIUS.
Атрибуты и значения. Информация в сообщениях RADIUS кодируется как поля тип-длина-значение. Термины “атрибуты” или “пары атрибут/значение” относятся к этим полям. Типичные значения атрибутов включают “имя пользователя”, “пароль” и т.д.
План доступа пользователя в сеть с использованием протокола RADIUS показан на рисунке 3.1.
Доступ пользователя RADIUS показан на рисунке 3.1.
Что дальше?
Теперь вы знаете основы радиуса и диаметра. Ознакомьтесь с другими RFC и другими ресурсами для получения более подробной информации о протоколах.
Что такое сервер доступа к сети?
Для подключения к сети клиенты набирают номер сервисного элемента Network Access Server (NAS). NAS – это компьютер, доступ к которому возможен через коммутируемые услуги и который имеет интерфейсы как для магистрали или POTS, так и для ISDN.
Сервер доступа к сети:
- Единая точка доступа к удаленному ресурсу.
- Сервер удаленного доступа, поскольку он обеспечивает удаленный доступ к сети.
- Начальная точка входа в сеть.
- Шлюз для защиты охраняемого ресурса.
Единый доступ к удаленному ресурсу.
Работа в сети на расстоянии возможна благодаря серверу удаленного доступа.
Отправная точка для записи сети.
Шлюз для защиты защищенного ресурса.
Примеры включают:
- Проверьте доступ в Интернет с помощью идентификатора пользователя и пароля.
- VoIP, FoIP и VMoIP требуют наличия действующего телефонного номера или IP-адреса.
- Предоплаченная телефонная карта использует номер предоплаченной телефонной карты.
.
Рабочий телефонный номер или IP-адрес необходим для работы таких сетевых служб, как VoIP, Fooip и др.
Предоплаченная визитная карточка
Фундаментальная архитектура Radius показана на изображении ниже.
Что такое диаметр
Diameter заменит RADIUS в соответствии с графиком.
- Он предназначен для работы как в локальных, так и в роуминговых ситуациях AAA.
- Diameter – это всего лишь вдвое более длинный протокол, чем его предшественник Radius.
- Использует TCP или SCTP вместо UDP.
- Использует безопасность транспортного уровня (IPSEC или TLS).
- Имеет 32-битный идентификатор вместо 8-битного.
- Поддерживает режимы без состояния и с состоянием.
- Поддерживает подтверждение на уровне приложения и определяет отказоустойчивость.
- Обеспечивает лучшую поддержку роуминга.
- Использует AVP.
- Diameter позволяет определять новые команды и атрибуты. Его легко расширить.
Он предназначен для работы как в местных, так и в роуминговых условиях ААВ.
Диаметр в два раза больше, чем у Radius, который он заменяет.
Вместо TCP в нем используется UDP.
Он использует IPSEC или TLS.
Вместо 8-байтового идентификатора у него 32-битовый идентификатор.
Он предлагает режимы, которые не сохраняют состояния или режимы.
Он может определить отказоустойчивость и подтвердить уровень приложения.
Он предложил лучшую поддержку роуминга.
Он использует AVP.
С помощью диаметра можно определить новые команды и атрибуты. Его легко увеличить.
Dot1x
Зачем нужен dot1X и как его настроить
Помешать нашему микротику или тому меньшему радиусу, который мы полимеризуем на кольце, – это половина саркастической точки зрения dot1x. Порт переходит в режим изоляции, если аутентификация не прошла, а радиус не отвечает (например, если он недоступен).
Начнём с микротика:
Установите сетевую политику и выберите проводных клиентов
Параметры аутентификации:
Мы распределим рабочую землю по атрибутам
Например, ниже описывается отказ в авторизации:
Вот так выглядит успешное подключение:
Radius – операции
Секретный ключ должен быть разделен между клиентом и сервером до того, как клиент и сервер Radius начнут обмениваться данными.
Когда клиент настроен правильно, тогда:
- Клиент запускается с Access-Request.
- Сервер отправляет Access-Accept, Access-Reject или Access-Challenge.
- Access-Accept сохраняет все обязательные атрибуты для предоставления услуг пользователю.
Клиент может начать использовать запрос access-request.
Сервер отправляет Access-Accept, Access-Reject или Access-Challenge.
Все необходимые атрибуты хранятся в Access-Accept для предоставления услуг пользователю.
Ниже приводится назначение кодов радиусов (десятичных):
- 1 Заявление на доступ
- 2 Доступ – Принятие
- 3 Доступ
Коды 4 и 5 относятся к функциональности радиусного учета. Номера 12 и 13 предназначены только для деловых целей.
Radius – особенности
Вот список ключевых особенностей Radius:
Radius – пакетный формат
Внешний вид пакета Radius изображен ниже:
Код: Эта информация длиной в один байт (или один бит) идентифицирует различные типы пакетов. Как правило, один октет равен одному байту.
Идентификатор длиной 1 октет, помогающий сопоставить ответы с запросами.
Длина пакета, включая коды на аутентификаторе, указывается этой 2-октетной строкой. 20 октетов – минимальный, а 4096 – максимальный размер пакета.
Аутентификатор состоит из 16 октетов.
Список атрибутов: В следующей главе описан список из 63 инвариантов.
Radius – формат атрибутов
Следующие компоненты составляют атрибут Radius:
- Тип: длиной 1 байт, идентифицирует различные типы пользователей.
Тип: Строка длиной в 1 октет, идентифицирующая различные типы атрибутов. Перечислены следующие коды атрибутов.
Длина: длина 1 октет, размер атрибута.
Значение: содержит информацию, специфичную для атрибута, длиной 0 и более октетов.
Tacacs
TACACS обеспечивает управление доступом для маршрутизаторов, серверов сетевого доступа и других сетевых вычислительных устройств через один или несколько централизованных серверов. Он использует TCP и предоставляет отдельные службы аутентификации, авторизации и учета. Он работает в порту 49.
Ааа и nas?
Прежде чем приступить к изучению книги “Радиус”, необходимо понять
- Что такое ААА?
- Что такое SIN?
Давайте начнем с этой темы.
Авторизация
- Означает предоставление пользователям определенных видов услуг (включая “отсутствие услуг”) на основе их аутентификации.
- Может быть основан на ограничениях, таких как ограничения по времени суток, ограничения по физическому местоположению или ограничения на многократные подключения одного и того же пользователя.
- Примеры услуг включают фильтрацию IP-адресов, распределение адресов, маршрутизацию, шифрование, QoS / дифференцированные услуги, управление полосой пропускания / управление трафиком и т.д. Д.
Пользователи получают индивидуальные услуги аутентификации.
На основании ограничений, таких как время суток или географическое положение.
Примерами услуг являются фильтрация IP-адресов, назначение адресов и маршрутов, а также управление полосой пропускания и контроль трафика.
Аутентификация
- Это подтверждение того, что пользователь, запрашивающий услугу, является действительным пользователем.
- Для этого необходимо предъявить удостоверение личности и учетные данные.
- Примерами учетных данных являются пароли, токены одноразового использования, цифровые сертификаты и номера телефонов (вызов/вызов).
. Проверка легитимности пользователя, сделавшего запрос на услугу
Осуществляется путем предъявления удостоверения личности и документов, подтверждающих личность.
Список учетных данных состоит из номеров телефонов (звонящих/вызывающих), одноразовых токенов и паролей.
Благодарности:
Мы ценим новую интерпретацию писем, предложенную amaslancherkesu.
Бухгалтерский учет
- Ссылаясь на отслеживание использованных
В плане мониторинга использования пользователями сетевых ресурсов.
Личность пользователя и тип предлагаемой услуги – это два типа информации, которую бухгалтерия обычно собирает для составления отчетности.
За составление планов, выставления счетов и т. Д.
Все вышеперечисленные услуги предлагаются клиентам сервером AAAP.
Гибкие механизмы аутентификации
Радиус поддерживает следующие протоколы аутентификации:
- Протокол с двумя точками – PPP
- Протокол аутентификации пароля – PAP
- Протокол аутентификации вызова – CHAP
- Уникальная подпись UNIX.
Двухточечный протокол PPP
Протокол аутентификации пароля – PAP
Протокол аутентификации при вызове CHAP
Простые входы совместимы с входом U NIX в Windows.
Диагностика
Не в
Get-NetFirewallRule -DisplayGroup "Сервер политики сети" | where DisplayName -like "*RADIUS*" | Set-NetFirewallRule -Service Any
Британоязычная версия:
Get-NetFirewallRule -DisplayGroup "Network Policy Server" | where DisplayName -like "*RADIUS*" | Set-NetFirewallRule -Service Any
- radclient из пакета freeradius-utils. Позволяет из командной строки проверить некоторые типы авторизации, к примеру подключение к vpn
Тест:
Диаметр
Диаметр — плановая замена Радиуса.
Компоненты кейса
- Supplicant – устройство, которое делает вид, что передает подлинность
Модель клиент / сервер
- NAS функционирует как клиент сервера Radius.
- Сервер Radius отвечает за получение запросов на вход пользователя, аутентификацию пользователя, а затем возвращает всю необходимую информацию о конфигурации, чтобы клиент мог предоставлять услуги пользователю.
- Сервер Radius может выступать в качестве прокси-клиента для других серверов Radius.
Сервер Radius использует NAS в качестве клиента.
Получение запросов на подключение пользователя, аутентификация клиента и возврат всех конфигурационных данных – все это входит в обязанности Radius-сервера.
Для других серверов сервер Radius может служить в качестве клиента прокси.
Настройка
В интернете существует 100500 статей с изображениями, например: youtz
- Добавление клиента radius на сервер radius Нам необходимо заполнить “чистое имя”, IP-адрес и разработать пароль (также известный как “секрет”), который понадобится при настройке аутентификатора (в нашем случае mikrotik).
Что отличает эти политики друг от друга? Последние необходимы для указания, в определенных обстоятельствах, сервера, который будет использоваться для проверки аутентификации клиента (например, как локально, так и удаленно), а также для некоторых манипуляций с атрибутами.
Политики обрабатываются в соответствии с порядком. Следующая проверка проверяется, если соединение не соответствует требованиям политики). is-warning
- Добавить политику запроса на подключение
- Добавить сетевую политику.
Некоторые типовые кейсы применения радиус сервера :
- Централизованная аутентификация на устройствах с поддержкой aaa
- Аутентификация для vpn (pptpl2tp)
- Аутентификация на wifi
- Аутентификация устройств при подключении к порту rj45 – dot802.1x.
Более того, несколько
/radius add address=10.10.11.100 comment="PVE AD" secret=STRONG_SECRET_PASSWORD service=ppp,logi
n,hotspot,wireless,dhcp,ipsec,dot1x timeout=600ms
Регистрация, секретный адрес сервера radius и пароль, который мы недавно установили для пользователей Mikrotik.
Особенно важно помнить, что вы можете увеличить это значение, если вы используете медленные каналы с высокой задержкой и высокой скоростью.
Теперь вы можете приступать к производству интригующих вещей.
Определение, назначение, общие сведения
Протокол проверки подлинности и авторизации (AAP) называется ADIUS.
Позволяет осуществлять централизованное управление информацией и контроль доступа.
Сервер RADIUS может быть подключен, например, к Active Directory, или иметь собственную базу данных учетных данных (например, файловую или MySQL).
Вы можете предоставить аутентифицированному клиенту некоторую дополнительную информацию (настройки) в дополнение к AAA. Кроме того, у Mikrotik есть несколько интригующих пунктов.
Служба NPS (Network Policy Server) и freeRADIUS – это два наиболее известных серверных приложения радиуса. Мы более подробно остановимся на втором варианте.
Перейдем к впн, и к стразу более интересному сценарию.
Представьте, что мы хотим отделить административный персонал от остальных сотрудников. Дайте администраторам профиль с подсетью, который позволит им получить доступ только к 1c и RDP. Рассмотрим возможность использования l2tpipsec для VPN. Для этого мы создадим два профиля PPP.
Пример запроса радиуса
Давайте рассмотрим пример с радиусом:
N как
В качестве аутентификатора запроса выступает 16-октетное случайное число, сгенерированное NAS.
К 16-октетному пользовательскому паролю (Shared Secret: Request Authenticator) добавляются нули и XOR.
Следующие номера идут по порядку: 01 00 0
1 код = запрос доступа (1)
1 идентификатор = 0
2 Длина = 56
Запрос аутентификатора
Список атрибутов
Пример ответа радиуса
Пример пакетов ответа
Сервер Radius аутентифицирует Nemo и отправляет UDP-пакет Access-Accept на NAS, сообщая его telnet Nemo для размещения 192.168.1.3
16-октетная контрольная сумма кода MD5 (2), идентификатор (0, 38) и общий секрет составляют аутентификатор ответа.
02 00 00 26 86 fe 22 0e 76 24 ba 2a 10 05 f6 bf 9b 55 e0 b2 06 06 00 00 00 01 0f 06 00 00 00 00 0e 06 c0 a8 01 03
1 код = доступ-принятие (2)
( Такой же, как в запросе доступа) Идентификатор 0 = 1
Длина = 38 дюймов
Аутентификатор ответа
Список атрибутов
Протоколы ааа
Приложения для IP-мобильности или доступа к сети используют Radius для обеспечения безопасности. Доступны протоколы Radius и BAT.
Расширяемый протокол
Большинство поставщиков оборудования и программного обеспечения Radius реализуют свои собственные диалекты, поскольку Radius расширяем.
Нестационарный протокол, который подключается через порт
Сетевая безопасность
- Работа.
Используя общий ключ, транзакции между клиентом и серверами аутентифицируются. Этот ключ никогда не передается по сети.
Перед передачей через Интернет пароль шифруется.
Схема работы протокола radius
Процесс авторизации. Сторона клиента:
Выводы
R ADIUS невероятно полезен в сетевых настройках. Если вы прочитаете инструкции и журналы, настроить его будет просто.
Пожалуйста, пишите, если вам что-то непонятно. Я постараюсь продемонстрировать или помочь вам.
Пожалуйста, отправьте письмо, если вы обнаружили какие-либо ошибки или неточности или у вас есть предложения по улучшению.