RADIUS mit IEEE802.1x - PowerPoint PPT Presentation
1 / 53
Title: RADIUS mit IEEE802.1x
1
RADIUS mit IEEE802.1x
- Ein Realisierungsversuch
2
Inhalt
- Motivation
- Theorie
- Konfiguration
- Praxis
- Fazit Ausblick
- Quellen
- Fragen
3
1 - Motivation
4
1. Motivation
- Zugang gesicherter Netzwerke
- Remote Access von Usern
- großes Authentifizierungsproblem
- flexiblen Remotezugriff über verschiedene NAS
- ein zentraler Authentifizierungsserver
5
1. Motivation
6
2 - Theorie
7
Radius
- Remote Authentication Dial-In User Service
- 4 Hauptkriterien
- Client/Server Model
- Netzwerk Sicherheit
- Flexibler zentraler Authentifizierungsmechanismus
- Erweiterbares Protokoll
- AAA
- Authentifizierung - identifizieren
- Autorisierung - welche Dienste
- Abrechnung - in welchem Umfang
8
Geschichte
- Livingston Enterprises für Network Access Server
- 1997 veröffentlicht
- ISPs
- Zuerst in RFC 2058 und RFC 2059
- Aktuell RFC 2865 bis 2869, seit Juni 2000
- Software FreeRadius, WinRadius, M IAS
9
IEEE 802.1X
- Standard zur Authentifizierung und Autorisierung
- RADIUS "de-factoAuthentifizierungserver in
802.1x - keine eigenen Authentisierungsprotokolle
definiert - Extensible Authentication Protocol (EAP)
- Windows - Linux Mac Unterstützung
10
Theorie - Anmeldeablauf
RADIUS
EAP
EAP
11
Theorie - Anmeldeablauf
12
Theorie EAP?
- Extensible Authentication Protocol
- RFC3748
- Optimiertes Transportprotokoll für
Authentifizierung - EAP benutzt data link layer, ohne IP
13
Theorie EAP?
- Verfahren
- EAP-MD5, Lightweight EAP, EAP-MSCHAPv2
- Zertifikate EAP-TLS, EAP-TTLS, Protected EAP
(PEAP) - Ermöglicht
- Smart-Cards, Public Key, One Time Passwords, etc
- RADIUS nur Transportprotokoll für EAP
14
Theorie EAP?
- Code
- 1 Request
- 2 Response
- 3 Success
- 4 Failure
- Identifier
- 1 octet,
- verknüpft Anfrage und Antwort
- Duplikaterkennung
- Length
- min 20 max.4096
- lt verworfen
- gt abgeschnitten
- Type
- 1 Identity
- 2 Notification
- 3 Nak (Response only)
- 4 MD5-Challenge
- 5 One Time Password (OTP)
- 6 Generic Token Card (GTC)
- 254 Expanded Types
- 255 Experimental use
- Type-Data
- Werte zu dem Typ
15
Theorie - Radiusprotkoll?
- In UDP-Packet
- Timing, verbindungslos, vereinfacht
- RADIUS packet im UDP Datenfeld
- UDP Zielportfeld 1812 (dezimal).
- Quell- und Zielport vertauscht bei Antwort
- MD5 für sichere Passwörter
- Secret zur Authentifizierung der Pakete
16
Theorie - Radiusprotkoll?
- Code
- 1 Access-Request
- 2 Access-Accept
- 3 Access-Reject
- 4 Accounting-Request
- 5 Accounting-Response
- 11 Access-Challenge
- 12 Status-Server (experimental)
- 13 Status-Client (experimental)
- 255 Reserved
- Attributes z.B.
- 1 User-Name
- 2 User-Password
- Identifier
- 1 octet,
- verknüpft Anfrage und Antwort
- Duplikaterkennung
- Length
- min 20 max. 4096
- lt verworfen
- gt abgeschnitten
- Authenticator
- Request
- Response
- MD5 Hash
17
3 - Konfiguration
18
Testaufbau
Windows XP
CISCO 3560G
WinRadius
19
Konfiguration Cisco
- Cisco Catalyst 3560G
- Zugriff per
- Webinterface
- CLI
- Telnet
- Cisco Network Assistant
- Probleme
- 31 OS-Releases mit diversen Feature-Sets
- Dokumentation nur auf Englisch
- AAA und 802.1x nur über CLI
20
Konfiguration Cisco
- 1. 802.1x und AAA aktivieren
- Router configure terminal
- Router(config) dot1x system-auth-control
- Router(config) aaa new-model
- Router(config) aaa authentication dot1x default
group radius
21
Konfiguration - Cisco
- 2. Radius Server einrichten
- Router configure terminal
- Router(config) radius-server host 149.205.61.201
Router(config) radius-server auth-port 1812 - Router(config) radius-server acct-port 1813
- Router(config) radius-server key test_secret
- Router(config) aaa accounting dot1x default
start-stop group radius - Router(config) aaa accounting system default
start-stop group radius - Router(config) end
22
Konfiguration - Cisco
- 3. Port anpassen
- Router(config) interface GigabitEthernet0/19
- Router(config-if) switchport mode access
- Router(config-if) dot1x pae authenticator
- Router(config-if) dot1x port-control auto
- Router(config-if) end
23
Konfiguration RADIUS
- WinRadius
- Kostenlos, einfache Konfiguration
- Installieren
- Datenbank anmelden
- Secret/Ports festlegen
- User anlegen
- Starten
24
Konfiguration RADIUS
- Datenbank anmelden
25
Konfiguration RADIUS
- Secret vergeben
26
Konfiguration RADIUS
- User anlegen
radius
test
test
27
Konfiguration RADIUS
- WinRadius starten
28
Konfiguration Windows
- Netzwerkkarte konfigurieren
29
4 - Praxis
30
Anmeldeablauf
- Logindaten angeben
- Datenaustausch per EAPoL
- Authentifikator leitet Access-Request an Radius
Server weiter - Name, Passwort (MD5), Client ID, Port ID
- Secretvergleich
- Datenbankanfrage
- Radius antwortet
- Access- Reject
- Access-Challenge /Response
- Access-Accept
- Authentifikator schaltet Port (nicht) frei
31
Praxis
- Anmeldung mit MD5-Challenge
32
Praxis
Switch Client Kommunikation per EAP
33
Praxis
Switch Client Kommunikation per EAP
34
Praxis
Switch Client Kommunikation per EAP
35
Praxis
- Ablauf
36
Praxis
Switch
37
Praxis
Windows
38
Praxis
Switch Client Kommunikation per EAP
39
Praxis
oder
Windows
40
Praxis
Client Switch Kommunikation per EAP
41
Praxis
Switch - Radius Kommunikation per Radius
42
Praxis
- Radius-Server
43
Praxis
Radius Switch Kommunikation per Radius
44
Praxis
Switch - Radius Kommunikation per Radius
45
Praxis
Radius Switch Kommunikation per Radius
46
Praxis
Switch - Client Kommunikation per EAP
47
Praxis
Switch
48
Praxis
Windows
49
5 - Fazit Ausblick
50
Fazit Ausblick
- Fazit
- Hohes Maß an Sicherheit
- Zentraler Server
- Schwer konfigurierbar
- Lange Einarbeitungszeit
- Ausblick
- Diameter - TCP
- Microsoft Juniper
- Cisco ACS
51
6 - Quellen
52
Quellen
- www.Cisco.com
- www.ietf.org
- technet2.Microsoft.com
- www.informatik.uni-hamburg.de
- http//tldp.org/HOWTO/8021X-HOWTO/index.html
- http//www.uni-koblenz.de/steigner/seminar-wlan/4
-feldmann.pdf - www.wikipedia.de
- www.wireshark.org
53
7 - Ende
- Fragen?
Recommended
CrystalGraphics Presentations
