1 / 53

RADIUS mit IEEE802.1x

RADIUS mit IEEE802.1x. Ein Realisierungsversuch. Inhalt. Motivation Theorie Konfiguration Praxis Fazit & Ausblick Quellen Fragen. 1 - Motivation. 1. Motivation. Zugang gesicherter Netzwerke Remote Access von Usern großes Authentifizierungsproblem

nicholas-carroll
Download Presentation

RADIUS mit IEEE802.1x

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. RADIUS mit IEEE802.1x Ein Realisierungsversuch

  2. Inhalt • Motivation • Theorie • Konfiguration • Praxis • Fazit & Ausblick • Quellen • Fragen Radius - Thomas Vollmer

  3. 1 - Motivation Radius - Thomas Vollmer

  4. 1. Motivation • Zugang gesicherter Netzwerke • Remote Access von Usern • großes Authentifizierungsproblem • flexiblen Remotezugriff über verschiedene NAS • ein zentraler Authentifizierungsserver Radius - Thomas Vollmer

  5. 1. Motivation Radius - Thomas Vollmer

  6. 2 - Theorie Radius - Thomas Vollmer

  7. Radius • Remote Authentication Dial-In User Service • 4 Hauptkriterien • Client/Server Model • Netzwerk Sicherheit • Flexibler zentraler Authentifizierungsmechanismus • Erweiterbares Protokoll • AAA • Authentifizierung - identifizieren • Autorisierung - welche Dienste • Abrechnung - in welchem Umfang Radius - Thomas Vollmer

  8. Geschichte • Livingston Enterprises für Network Access Server • 1997 veröffentlicht • ISP’s • Zuerst in RFC 2058 und RFC 2059 • Aktuell RFC 2865 bis 2869, seit Juni 2000 • Software: FreeRadius, WinRadius, M$ IAS Radius - Thomas Vollmer

  9. IEEE 802.1X • Standard zur Authentifizierung und Autorisierung • RADIUS "de-facto“Authentifizierungserver in 802.1x • keine eigenen Authentisierungsprotokolle definiert • Extensible Authentication Protocol (EAP) • Windows - Linux – Mac Unterstützung Radius - Thomas Vollmer

  10. Theorie - Anmeldeablauf RADIUS EAP EAP Radius - Thomas Vollmer

  11. Theorie - Anmeldeablauf Radius - Thomas Vollmer

  12. Theorie – EAP? • Extensible Authentication Protocol • RFC3748 • Optimiertes Transportprotokoll für Authentifizierung • EAP benutzt data link layer, ohne IP Radius - Thomas Vollmer

  13. Theorie – EAP? • Verfahren • EAP-MD5, Lightweight EAP, EAP-MSCHAPv2 • Zertifikate: EAP-TLS, EAP-TTLS, Protected EAP (PEAP) • Ermöglicht • Smart-Cards, Public Key, One Time Passwords, etc … • RADIUS nur Transportprotokoll für EAP Radius - Thomas Vollmer

  14. Theorie – EAP? • Code: • 1 Request • 2 Response • 3 Success • 4 Failure • Identifier: • 1 octet, • verknüpft Anfrage und Antwort • Duplikaterkennung • Length: • min 20 max.4096 • < verworfen • > abgeschnitten • Type • 1 Identity • 2 Notification • 3 Nak (Response only) • 4 MD5-Challenge • 5 One Time Password (OTP) • 6 Generic Token Card (GTC) • 254 Expanded Types • 255 Experimental use • Type-Data • Werte zu dem Typ Radius - Thomas Vollmer

  15. Theorie - Radiusprotkoll? • In UDP-Packet • Timing, verbindungslos, vereinfacht • RADIUS packet im UDP Datenfeld • UDP Zielportfeld 1812 (dezimal). • Quell- und Zielport vertauscht bei Antwort • MD5 für sichere Passwörter • „Secret“ zur Authentifizierung der Pakete Radius - Thomas Vollmer

  16. Theorie - Radiusprotkoll? • Code: • 1 Access-Request • 2 Access-Accept • 3 Access-Reject • 4 Accounting-Request • 5 Accounting-Response • 11 Access-Challenge • 12 Status-Server (experimental) • 13 Status-Client (experimental) • 255 Reserved • Attributes: z.B. • 1 User-Name • 2 User-Password • Identifier: • 1 octet, • verknüpft Anfrage und Antwort • Duplikaterkennung • Length: • min 20 max. 4096 • < verworfen • > abgeschnitten • Authenticator: • Request • Response • MD5 Hash Radius - Thomas Vollmer

  17. 3 - Konfiguration Radius - Thomas Vollmer

  18. Testaufbau Windows XP CISCO 3560G WinRadius Radius - Thomas Vollmer

  19. Konfiguration – Cisco • Cisco Catalyst 3560G • Zugriff per • Webinterface • CLI • Telnet • Cisco Network Assistant • Probleme • 31 OS-Releases mit diversen Feature-Sets • Dokumentation nur auf Englisch • AAA und 802.1x nur über CLI Radius - Thomas Vollmer

  20. Konfiguration – Cisco • 1. 802.1x und AAA aktivieren • Router# configure terminal • Router(config)# dot1x system-auth-control • Router(config)# aaa new-model • Router(config)# aaa authentication dot1x default group radius Radius - Thomas Vollmer

  21. Konfiguration - Cisco • 2. Radius Server einrichten • Router# configure terminal • Router(config)# radius-server host 149.205.61.201 Router(config)# radius-server auth-port 1812 • Router(config)# radius-server acct-port 1813 • Router(config)# radius-server key test_secret • Router(config)# aaa accounting dot1x default start-stop group radius • Router(config)# aaa accounting system default start-stop group radius • Router(config)# end Radius - Thomas Vollmer

  22. Konfiguration - Cisco • 3. Port anpassen • Router(config)# interface GigabitEthernet0/19 • Router(config-if)# switchport mode access • Router(config-if)# dot1x pae authenticator • Router(config-if)# dot1x port-control auto • Router(config-if)# end Radius - Thomas Vollmer

  23. Konfiguration – RADIUS • WinRadius • Kostenlos, einfache Konfiguration • Installieren • Datenbank anmelden • Secret/Ports festlegen • User anlegen • Starten Radius - Thomas Vollmer

  24. Konfiguration – RADIUS • Datenbank anmelden Radius - Thomas Vollmer

  25. Konfiguration – RADIUS • Secret vergeben Radius - Thomas Vollmer

  26. Konfiguration – RADIUS • User anlegen radius test test Radius - Thomas Vollmer

  27. Konfiguration – RADIUS • WinRadius starten Radius - Thomas Vollmer

  28. Konfiguration – Windows • Netzwerkkarte konfigurieren Radius - Thomas Vollmer

  29. 4 - Praxis Radius - Thomas Vollmer

  30. Anmeldeablauf • Logindaten angeben • Datenaustausch per EAPoL • Authentifikator leitet Access-Request an Radius Server weiter • Name, Passwort (MD5), Client ID, Port ID • Secretvergleich • Datenbankanfrage • Radius antwortet • Access- Reject • Access-Challenge /Response • Access-Accept • Authentifikator schaltet Port (nicht) frei Radius - Thomas Vollmer

  31. Praxis • Anmeldung mit MD5-Challenge Radius - Thomas Vollmer

  32. Praxis Switch – Client Kommunikation per EAP Radius - Thomas Vollmer

  33. Praxis Switch – Client Kommunikation per EAP Radius - Thomas Vollmer

  34. Praxis Switch – Client Kommunikation per EAP Radius - Thomas Vollmer

  35. Praxis • Ablauf Radius - Thomas Vollmer

  36. Praxis Switch Radius - Thomas Vollmer

  37. Praxis Windows Radius - Thomas Vollmer

  38. Praxis Switch – Client Kommunikation per EAP Radius - Thomas Vollmer

  39. Praxis oder Windows Radius - Thomas Vollmer

  40. Praxis Client – Switch Kommunikation per EAP Radius - Thomas Vollmer

  41. Praxis Switch - Radius Kommunikation per Radius Radius - Thomas Vollmer

  42. Praxis Radius-Server Radius - Thomas Vollmer

  43. Praxis Radius – Switch Kommunikation per Radius Radius - Thomas Vollmer

  44. Praxis Switch - Radius Kommunikation per Radius Radius - Thomas Vollmer

  45. Praxis Radius – Switch Kommunikation per Radius Radius - Thomas Vollmer

  46. Praxis Switch - Client Kommunikation per EAP Radius - Thomas Vollmer

  47. Praxis Switch Radius - Thomas Vollmer

  48. Praxis Windows Radius - Thomas Vollmer

  49. 5 - Fazit & Ausblick Radius - Thomas Vollmer

  50. Fazit & Ausblick • Fazit • Hohes Maß an Sicherheit • Zentraler Server • Schwer konfigurierbar • Lange Einarbeitungszeit • Ausblick • Diameter - TCP • Microsoft & Juniper • Cisco ACS Radius - Thomas Vollmer

More Related