` ` ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN KHOA ĐIỆN TỬ - VIỄN THÔNG BÁO CÁO ĐỀ TÀI Môn học: Công nghệ mạng Tìm hiểu Radius Server Giảng viên phụ trách : CH Nguyễn Việt Hà Nhóm thực hiện: Nguyễn Văn Quốc Bảo 0820005 Nguyễn Quốc Hùng 0820073 Nguyễn Tiến Hoàng 0820061 Trương Quang Thông 0820165 Lớp 08ĐVT1 - Tháng 10/2011 - • • • Chỉnh sửa nội dung làm slide gửi thầy Lập dàn thuyết trình làm slide Thuyết trình thử (30-9==>12/10) Tìm hiểu tổng quan Radius Server – tuần 1(16-9==>23-9) • Bốc thăm thuyết trình với nhóm • • Thảo luận,trao đổi (24-9==>29-9) Quá trình thực đề tài: ` ` Mục Lục ` Phần I Giao thức RADIUS Tổng quan giao thức RADIUS Authentication, Authorization, and Accounting Giao thức Remote Authentication Dial In User Service (RADIUS) định nghĩa RFC 2865 đưa với định nghĩa: Với khả cung cấp xác thực tập trung, cấp phép điều khiển truy cập (Authentication, Authorization, Access Control – AAA) cho phiên làm việc với SLIP PPP Dial-up – việc cung cấp xác thực nhà cung cấp dịch vụ Internet (ISP) dựa giao thức để xác thực người dùng họ truy cập Internet Nó cần thiết tất Network Access Server (NAS) để làm việc với danh sách username password cho việc cấp phép, RADIUS Access-Request chuyển thông tin tới Authentication Server, thông thường AAA Server (AAA – Authentication, Authoriztion, Accounting) Trong kiến trúc cua hệ thống tạo khả tập trung thông tin người dùng, điều kiện truy cập điểm (single point), có khả cung cấp cho hệ thống lớn, cung cấp giải pháp NASs Khi user kết nối, NAS gửi message dạng RADIUS Access-Request tới máy chủ AAA Server, chuyển thông tin username password, thông qua port xác định, NAS identify, message Authenticator Sau nhận thông tin máy chủ AAA sử dụng gói tin cung cấp như, NAS identify, Authenticator thẩm định lại việc NAS có phép gửi yêu cầu không Nếu có khả năng, máy chủ AAA tìm kiểm tra thông tin username password mà người dùng yêu cầu truy cập sở lệu Nếu trình kiểm tra mang thông tin Access-Request định trình truy cập user chấp nhận Khi trình xác thực bắt đầu sử dụng, máy chủ AAA trả RADIUS Access-Challenge mang số ngẫu nhiên NAS chuyển thông tin đến người dùng từ xa (với ví dụ sử dụng CHAP) Khi người dùng phải trả lời yêu cầu xác nhận (trong ví dụ này, đưa lời đề nghị mã hoá password), sau NAS chuyển tới máy chủ AAA message RADIUS Access-Request Nếu máy chủ AAA sau kiểm tra thông tin người dùng hoàn toàn thoả ` mãn cho phép sử dụng dịch vụ, trả message dạng RADIUS Access-Accept Nếu không thoả mãn máy chủ AAA trả tin RADIUS Access-Reject NAS ngắt kết nối với user Khi gói tin Access-Accept nhận RADIUS Accounting thiết lập, NAS gửi mộtgói tin RADIUS Accounting-Request (Start) tới máy chủ AAA Máy chủ thêm thông tin vào file Log nó, với việc NAS cho phép phiên làm việc với user bắt đầu nào, kết thúc nào, RADIUS Accouting làm nhiệm vụ ghi lại trình xác thực user vào hệ thống, kết thúc phiên làm việc NAS gửi thông tin RADIUS Accounting-Request (stop) RADIUS giao thức sử dụng rộng rãi cho phép xác thực tập trung, ủy quyền kiểm toán truy cập cho mạng Ban đầu phát triển cho thiết lập kết nối từ xa Radius bâu hỗ trợ cho máy chủ VPN, điểm truy cập không dây, chứng thực chuyển mạch internet, truy cập DSL, loại truy cập mạng khác RADIUS mô tả RFC 2865, "Remote Authentication Dial-in User Service (RADIUS), (IETF Draft Standard) and RFC 2866, "RADIUS Accounting" (Informational) Giới thiệu Có loại giao thức RADIUS mô tả về: Giao thức RADIUS 1: Xác nhận quyền (authentication), phân quyền (authorization), thông tin cấu hình máy chủ quản lý truy cập (NAS-Network Access Server) mà có yêu cầu cần xác nhận máy chủ xác nhận quyền dùng chung (Shared Authentication Server) Giao thức RADIUS 2: Thông tin tài khoảng NAS máy chủ quản lý tài khoản dùng chung Tính chất RADIUS RADIUS thực giao dịch xây dựng giao thức có tính chất sau: Nếu yêu cầu (request) gởi tới máy chủ xác nhận quyền sơ cấp (primary authentication server) thất bại, yêu cầu phải gửi tới máy chủ sơ cấp ` (secondary server) Để thực yêu cầu này, yêu cầu phải lưu lớp transport phép việc truyền luân phiên Điều có nghĩa phải có timers cho việc truyền lại (retransmission) Các đòi hỏi thời gian RADIUS khác biệt so với TCP Một mặt, RADIUS không yêu cầu “câu trả lời” (responsive) việc dò tìm liệu bị User sẵn sang chờ nhiều giây việc xác nhận quyền hoàn thành Việc truyền lại thường xảy TCP dựa thời gian truyền nhận trung bình không cần thiết nữa, kể thời gian hao tổn cho việc nhận biết phản hồi Mặt khác, user chờ đợi lâu nhiều phút cho việc xác nhận quyền Việc phải chờ đợi lâu không hữu ích Việc sử dụng luân phiên nhanh chóng server cho phép user truy cập vào mạng trước họ bỏ Trạng thái tự RADIUS đơn giản hóa việc sử dụng UDP Các client server đăng ký vào khỏi mạng Hệ thống bị khởi động lại lý đó, như: Nguồn điện bị mất…Các kiện bất thường nói chung không gây nguy hiểm có timeout tốt xác định cầu nối TCP bị đứt Tuy nhiên UDP hoàn toàn bỏ qua cố đặt biệt này; Các client server “ chuyến vận chuyển liệu” UDP để tự nhiên truyền mạng với kiện có UDP đơn giản hóa việc thực server Ở phiên trước, server thực đơn luồng (single thread), có nghĩa lúc có yêu cầu nhận, xử lí trả Điều quản lý môi trường kỹ thuật an toàn quay vòng (back-end security mechanism) dùng thời gian thực (real-time) Hàng đợi yêu cầu server bị đầy, môi trường có hàng trăm người yêu cầu xác nhận quyền phút, thời gian quay vòng yêu cầu lớn nhiều so với thời gian mà user chờ đợi Do vậy, giải pháp chọn thực server chế độ đa luồng (multu-thread) với UDP Những trình xử lý độc lập sinh server tương ứng với yêu cầu trình trả lời trực tiếp với NAS khách hàng gói UDP tới lớp truyền dẫn client ` Giao thức RADIUS 4.1 Cơ chế hoạt động Khi client cấu hình để sử dụng RADIUS, user client giới thiệu thông tin xác nhận quyền với client Đó dấu nhắc lệnh đăng ký vào mạng yêu cầu user nhập username password vào User lựa chọn việc sử dụng protocol thích hợp để thực giới thiệu thông tin gói liệu chẳng hạn PPP Mỗi client nhận thông tin vậy, chọn dùng RADIUS để xác nhận quyền Client tạo “yêu cầu truy cập” (access request) chứa thuộc tính trên: mật user, ID client ID port mà user truy cập vào Mật nhập vào ẩn (Mã hóa RSA MD5) “Yêu cầu truy cập” (access request) gửi cho RADIUS thông qua mạng Nếu không trả lời khoảng thời gian qui ước yêu cầu gửi lại Client chuyển (forward) yêu cầu cho server dự phòng trường hợp server bị tắt hư hỏng hoạt động theo kiểu round-bin Mỗi RADIUS server nhận yêu cầu, xác nhận client gửi Những yêu cầu từ client không chia thông tin bảo mật với RADIUS không xác nhận trả lời Nếu client hợp lệ, RADIUS server tìm kiếm sở liệu (CSDL) user có tên yêu cầu Chỉ mục user CSDL chứa danh sách đòi hỏi cần thiết cho phép user truy cập vào mạng RADIUS luôn xác nhận mật user ID client ID port mà user phép truy cập RADIUS server yêu cầu server khác xác nhận yêu cầu Lúc RADIUS đóng vai trò client Nếu điều kiện không thỏa mãn, RADIUS server gửi trả lời ‘từ chối truy cập” (access reject) biểu thị yêu cầu user không hợp lệ Server kèm theo thông báo dạng văn (text massage) access-reject để client có ` thể hiển thị cho user Không có thuộc tính khác phép chứa accessreject Nếu tất điều kiện thỏa mãn RADIUS server muốn đưa yêu cầu đòi hỏi user phải trả lời, RADIUS gửi trả lời “đòi hỏi truy cập” (accesschallenge), dạng thông báo dạng văn hiển thị cho user client thuộc tính trạng thái (state attribute) Client nhận access-challenge, trang bị challenge/ response, hiển thị thông báo nhắc nhở user trả lời yêu cầu Sau client gửi lại (re-submit) “yêu cầu truy cập” (original accessrequest) vơi số hiệu yêu cầu (request ID) mới, thuộc tính usename-password lấy từ thông tin vừa nập vào, kèm thuộc tính trạng thái từ accesschallenge RADIUS server trả lời access-request access-accept, access-reject access-challenge khác Nếu cuối tất điều kiện thỏa mãn, danh sách giá trị cấu hình cho user đặt vào trả lời “access-accept” Các giá trị bao gồm kiểu dịch vụ (SLIP, PPP, Login ) giá trị cần thiết để cấp phát dịch vụ Ví dụ SLIP hay PPP, giá trị địa IP, subnet mask, MTU, phương pháp nén số hiệu lọc gói chế độ ký tự (character mode), giá trị giao thức tên máy chủ 4.2 Dạng gói packet Một cách xác, gói RADIUS bao bọc trường liệu gói UDP, trường địa đích có số hiệu cổng 1812 Khi gói trả lời tạo ra, số hiệu cổng địa nguồn đích bảo lưu Một gói liệu RADIUS xác định sau (các trường gửi từ trái sang phải) ` Hình 4-1 Packet Format Code: Code field octet, xác định kiểu gói RADIUS Khi gói  có mã không hợp lệ không xác nhận RADIUS code (decimal) định sau: Access-Request Access-Accept Access-Reject Accounting-Request Accounting-Response 11 Access-Challenge 12 Status-Server (experimental) 13 Status-Client (experimental) 255 Reserved Mã số số che đậy tài liệu RADIUS accouting [5] Mã số 12 13 dành riêng cho việc sử dụng, không đề cập  Identifier (Trường định danh ) 10 ` Indentifier field octet, phù hợp với việc hỗ trợ yêu cầu trả lời Các máy chủ RADIUS phát yêu cầu trùng lặp, có client có địa IP nguồn UDP port định danh thời gian ngắn  Length Length field hai octet, bao gồm code field, indentifier, length, authentication, trường thuộc tính (attribute field) Những byte nằm khoảng qui định length coi byte thừa, bị bỏ qua nhận Nếu gói ngắn giá trị trường length, không xác nhận trả lời Giá trị nhỏ trường length 20 giá trị lớn 4096  Authenticator Trường authenticator 16 octet Octet lớn truyền Giá trị sử dụng để xác nhận trả lời từ RADIUS server sử dụng thuật toán ẩn mật Request Authenticator: Trong gói access-request, giá trị trường xác nhận (authenticator field) số ngẫu nhiên 16 byte gọi xác nhận yêu cầu (request authenticator) Giá trị dự đoán trước suốt thời gian sống “thông tin bí mật” (mật dùng chung client RADIUS server); Vì có lặp lại giá trị có nghĩa attacker trả lời câu hỏi không cần xác nhận RADIUS server Do đó, xác nhận yêu cầu nên có giá trị toàn cục theo thời gian Mặc dù, giao thức RADIUS khả ngăn chặn nghe lé phiên xác thực qua đường dây, việc sinh giá trị đoán trước cho xác nhận yêu cầu hạn chế nhiều kiện NAS RADIUS server chia ‘thông tin bí mật’ Thông tin bí mật chung có sau giá trị “bộ xác nhận yêu cầu” thuật toán MD5 băm để tạo giá trị 16 byte Giá trị XOR với mật mà user nhập vào, kết đặt vào thuộc tính user-password gói access-accept 11 ` Response authenticator: Giá trị trường xác nhận (authenticator field value) gói access-request, access-reject, access-challenge coi xác nhận trả lời (response authenticator) Giá trị tính băm MD5 chuỗi byte code field, indentifier, length, xác nhận gói access-request, cộng thêm thuộc tính trả lời thông tin bí mật dùng chung ResponseAuth = MD5(Code+ID+Length+RequestAuth+Attributes+Secret) where + denotes concatenation Administrative Note  Thông tin bí mật (chia password client RADIUS server) nên lớn tạp cách lựa chọn mật tốt Mức ưu tiên chấp nhận 16 octet Điều để đảm bảo phạm vi đủ lớn cho việc cung cấp chế bảo mật chống lại công tìm kiếm 4.3 Packet type (kiểu packet) Packet type xác định code field chiếm byte gói RADIUS Access-Request  Gói access-request gửi tới RADIUS server Nó chuyên chở thông tin dùng để xác định xem user có phép truy cập vào NAS dịch vụ định hay không Code field gói phải có giá trị Gói access-request phải chứa thuộc tính user-name, user-password CHAP-password, chứa thuộc tính NAS-IPAddress, NAS-Indentifier, NAS-PORT, NAS-PORT-TYPE Trường indentifier phải thay đổi nội dung trường thuộc tính bị thay đổi nội dung trường thuộc tính bị thay đổi nhận trả lời hợp lệ cho yêu cầu trước Trong trường hợp phải gửi lại gói, trường indentifier không đượ thay đổi 12 ` Hình 4-2 Access-request Packet Format  Access-accept Gói access-accept đưcọ gởi trả RADIUS server tất giá trị thuộc tính gói access-request Nó cung cấp thông tin cấu hình cần thiết để cấp phát dịch vụ cho user Trường code phải có giá trị Gói access-accept nhận NAS phải có trường danh hiệu trùng khớp với access-request tương ứng gởi trước phải có xác nhận (response authenticator) phù hợp với thông tin bí mật dùng chung Hình 4-3 Access-accept Packet Format  Access-reject Gói access-reject gởi trả từ RADIUS server có giá trị thuộc tính không thỏa Trường code mã phải có giá trị Gói chứa nhiều thuộc tính 13 ` reply-message với thông báo dạng văn mà NAS hiển thị với user Trường indentifier gói access-reject gói access-request tương ứng Hình 4-4 Access-reject packet format  Access-challenge Gói access-challenge RADIUS server gửi đến user đòi hỏi thêm thông tin cần thiết mà user phải trả lời Trường code gói phải có giá trị 11 Gói chứa nhiều thuộc tính reply-message có thuộc tính state Các thuộc tính khác không xuất gói access-chanllenge Trường indentifier gói accesschallenge phải trùng khớp với gói access-request tương ứng gửi trước phải có trường xác nhận (authenticator field) phù hợp với thông tin bí mật dùng chung Nếu NAS không trang bị challenge/ response gói access-challenge nhận coi gói access-reject Nếu NAS trang bị chức challenge/ response gói accesschallenge nhận hợp lệ NAS hiển thị thông báo yêu cầu user trả lời thông tin mà RADIUS server yêu cầu Sau NAS gửi gói access-request gốc với danh hiệu yêu cầu (request ID) xác nhận yêu cầu (request authenticator) mới, đồng thời thuộc tính user-password thay thông tin trả lời user (đã mã hóa) bao gồm thuộc tính state từ gói access-challenge 14 ` Hình 4-5 Access-challenge packet format Attributes (các thuộc tính)  Các thuộc tính RADIUS, chứa gói yêu cầu/ trả lời, mang thông tin xác thực quyền, phân quyền, cấu hình cần thiết để cấp phát dịch vụ cho user Giá trị trường length gói RADIUS qui định điểm kết thúc thuộc tính gói Dạng thuộc tính sau: Hình 4-6 Attributes type o Type Mỗi trường type octet, giá trị từ 192-223 dành riêng cho nghiên cứu, giá trị từ 224-240 dành cho việc thực cụ thể, 241-255 dành riêng không nên sử dụng RADIUS server bỏ qua thuộc tính với loại không rõ RADIUS client bỏ qua thuộc tính với loại không rõ Điều quan tâm đặc tả giá trị sau: User-Name 15 ` User-Password CHAP-Password NAS-IP-Address NAS-Port Service-Type Framed-Protocol Framed-IP-Address Framed-IP-Netmask 10 Framed-Routing 11 Filter-Id 12 Framed-MTU 13 Framed-Compression 14 Login-IP-Host 15 Login-Service 16 Login-TCP-Port 17 (unassigned) 18 Reply-Message 19 Callback-Number 20 Callback-Id 21 (unassigned) 22 Framed-Route 23 Framed-IPX-Network 24 State 25 Class 26 Vendor-Specific 27 Session-Timeout 28 Idle-Timeout 29 Termination-Action 30 Called-Station-Id 16 ` 31 Calling-Station-Id 32 NAS-Identifier 33 Proxy-State 34 Login-LAT-Service 35 Login-LAT-Node 36 Login-LAT-Group 37 Framed-AppleTalk-Link 38 Framed-AppleTalk-Network 39 Framed-AppleTalk-Zone 40-59 (reserved for accounting) 60 CHAP-Challenge 61 NAS-Port-Type 62 Port-Limit 63 Login-LAT-Port Length (trường độ dài) o Biểu thị độ dài thuộc tính cho trường kiểu, length value Nếu thuộc tính gói access-request có trường độ dài không hợp lệ RADIUS server trả gói access-reject Nếu thuộc tính gói access-reject, access-accept, access-challenge có trường độ dài không hợp lệ NAS client xem gói access-reject không xác nhận trả lời o Value (trường giá trị) Dạng chiều dài trường giá trị xác định trường kiểu (type field) trường độ dài (length field) Có loại liệu cho trường giá trị sau: Text 1-253 octets containing UTF-8 encoded 10646 [7] characters Text of length zero (0) MUST NOT be sent; omit the entire attribute instead String 1-253 octets containing binary data (values through 17 ` 255 decimal, inclusive) Strings of length zero (0) MUST NOT be sent; omit the entire attribute instead Address 32 bit value, most significant octet first Integer 32 bit unsigned value, most significant octet first Time 32 bit unsigned value, most significant octet first -seconds since 00:00:00 UTC, January 1, 1970 The standard Attributes not use this data type but it is presented here for possible use in future attributes Giao thức RADIUS 5.1 Cơ chế hoạt động Khi client cài đặt để sử dụng RADIUS Accouting, lúc bắt đầu cấp phát dịch vụ client sinh gói “bắt đầu cấp phát tài khoản” mô tả kiểu dịch vụ cấp phát user cấp phát dịch vụ đó; sau gửi gói đến RADIUS accouting server mà tới lượt gửi lại thông báo nhận biết gói nhận Lúc kết thúc cấp phát dịch vụ client sinh gói “kết thúc cấp phát tài khoản” mô tả kiểu dịch cấp phát thông tin thống kê lọc dựa thời gian trôi qau, byte nhập/ xuất, gói nhập/xuất; sau gửi gói đến RADIUS accouting server mà tới lượt gửi lại thông báo nhận biết gói nhận “Yêu cầu cấp phát tài khoản” (accouting-request) hai loại start stop gửi cho RADIUS accouting server qua mạng thường client tiếp tục cố gắng gửi gói accouting-request sau khoảng thời gian định nhận phản hồi (ACK) Client gởi tiếp (forward) cho server khác trường hợp server bị off hỏng Trong trường hợp RADIUS accouting server đóng vai trò client 18 ` 5.2 Packet Format Giống giao thức RADIUS 1, giao thức RADIUS có trường: code, indentifier, length, authentication, attributes khác nội dung thể Trường code có hai giá trị đặc trưng cho hai kiểu gói accouting-request accouting-response Các thuộc tính hợp lệ gói RADIUS dạng access-request, access-accept hợp lệ gói accouting-request, trừ số thuộc tính như: UserPassword, CHAP-Password, Reply-Message,State Một số thuộc tính phải luôn có mặt gói accouting-request như: NAS-IP-Address, NAS-Indentifier số thuộc tính khác nên có mặt như: NAS-port, NAS-Port-Type Còn số chi tiết khác bạn tham khảo : http://www.faqs.org/rfcs/rfc2865.html Phương pháp mã hóa giả mã Thuộc tính user-password chứa gói access-request accesschallenge, đặc trưng cho mật (password) user, ẩn truyền tới RADIUS server Mật thêm vào ký tự NULL cho độ dài bội 16 buye Băm MD5 chiều (one-way MD5 hash) xây dựng từ chuỗi byte “thông tin bí mật chung” NAS RADIUS server thường xác nhận yêu cầu.Giá trị tính XOR với đoạn 16 byte mật khẩu, kết đặt vào 16 byte trường giá trị thuộc tính user-password Nếu password dài 16 ký tự giá trị băm thứ hai tính từ chuỗi byte “thông tin bí mật chung” kết XOR lần trước Giá trị băm có XOR với 16 byte mật khẩu, kết đặt vào 16 byte trường giá trị kiểu string thuộc tính user-password Quá trình tiếp diễn đến hết đoạn (segment) chia mật (tối đa 128 ký tự) Bạn tham khảo thêm tài liệu RFC 2865 19 ` Giả sử gọi “thông tin bí mật chung” S, giá trị trường xác định yêu cầu (request authentication) 128 bit RA Chia mật lắp đầy ký tự NULL (nếu cần) thành phần (chunks) p1, p2…Gọi khối mật mã dạng văn (ciphertext blocks) c(1), c(2),…và giá trị trung gian b1, b2…Dấu + phép cộng chuỗi b1 = MD5(S + RA) c(1) = p1 xor b1 b2 = MD5(S + c(1)) c(2) = p2 xor b2 bi = MD5(S + c(i-1)) c(i) = pi xor bi The String will contain c(1)+c(2)+ +c(i) where + denotes concatenation Khôi gói RADIUS nhận, trình diễn ngược lại trình giải mã Phần II RADIUS SERVER Tổng quan Việc bảo mật WLAN sử dụng chuẩn 802.11x kết hợp với xác thực người dùng AP Một máy chủ thực việc xác thực tảng RADIUS giải pháp tốt cung cấp xác thực cho chuẩn 802.11x 20 ` Hình 4-7 Mô hình xác thực sử dụng RADIUS Server Xác thực- cấp phép kiểm toán Giao thức RADIUS định nghĩa RFC 2865 sau: Với khả cung cấp xác thực tập trung, cấp phép điều khiển truy cập (Authentication, Authorization Accouting-AAA) cho phiên làm việc với SLIP PPP Dial-Up Như việc cung cấp dịch vụ internet (ISP) dựa giao thức để xác thực người dùng họ truy cập internet Nó cần thiết NAS để làm việc với danh sách username password cho việc cấp phép, RADIUS Access-request chuyển thông tin tới Authentication Server, thông thường AAA Server Trong kiến trúc hệ thống tạo khả tập trung liệu, thông tin người dùng, điều khiển truy cập điểm (single point), có khả cung cấp cho hệ thống lớn, cung cấp giải pháp NASs 21 ` Khi user kết nối, NAS gửi message dạng RADIUS Access-request tới máy chủ AAA Server, chuyển thông tin Username, Password , UDP port, NAS indentifier Authentication message Sau nhận thông tin AAA sử dụng gói tin cung cấp NAS Indentify, Authentication thẩm định lại việc NAS có phép gửi yêu cầu không?Nếu có khả năng, AAA server kiểm tra thông tin username password mà người dùng yêu cầu truy cập database Nếu trình kiểm tra mang thông tin Access-request định trình truy cập user chấp nhận Khi trình chứng thực bắt đầu sử dụng, AAA server trả RADIUS Access-Challenge mang số ngẫu nhiên NAS chuyển thông tin đến người dùng từ xa Khi người dùng phải trả lời yêu cầu xác nhận, sau NAS chuyển đến AAA server RADIUS Access-Request AAA server sau kiểm tra thông tin người dùng hoàn toàn thỏa mãn cho phép sử dụng dịch vụ, trả message dạng RADIUS Access-accept Nếu không thỏa mãn AAA server trả tin RADIUS Access-reject NAS ngắt dịch vụ Khi gói tin Access-accept nhận RADIUS Accouting thiết lập, NAS gửi gói tin RADIUS Accouting –request tới AAA server Máy chủ thêm thông tin vào logfile nó, với việc NAS cho phép phiên làm việc với User bắt đầu kết thúc RADIUS Accouting làm nhiệm vụ ghi lại trình xác thực user vào hệ thống, kết thúc phiên làm việc NAS gửi thông tin RADIUS Accouting-request Sự bảo mật tính mở rộng Tất message RADIUS đóng gói UDP Datagram s, bao gồm thông tin như: message type, sequence number, length, authenticator, loạt attributes values mà tìm hiểu 22 ` Áp dụng RADIUS cho WLAN Trong mạng WLAN sử dụng 802.11x port access control, máy trạm sử dụng Wireless đóng vai trò Remote Access Wireless Access Point làm việc NAS-Network Access Server Để thay việc kết nối đến NAS với dial-up giao thức PPP, Wireless station kết nối đến AP việc sử dụng giao thức 802.11 Một trình thực , wireless station gửi EAP-Start tơi AP AP yêu cầu station nhận dạng chuyển thông tin tới AAA server với thông tin RADIUS Access-request Usename attribute AAA server Wireless Station hoàn thành việc chuyển thông tin RADIUS Access-challenge Access-request qua AP Được định phía dạng EAP, thông tin chuyển đường hầm mã hóa TLS (Encypted TLS Tunnel) Nếu AAA server gửi message Access-accept, AP Wireless station hoàn thành trình kết nối hoàn thành phiên làm việc với việc sử dụng WEP hay TKIP để mã hóa liệu Và điểm đó, AP không cấm cổng wireless station gửi nhận liệu từ hệ thống mạng cách bình thường Cần ý trình mã hóa liệu wireless station AP khác trình mã hóa từ AP đến AAA server Nếu AAA server gửi message Access-reject, AP ngắt kết nối đến wireless station Wireless station cố gắng thử lại trình xác thực, AP cấm wireless station không gửi gói UDP đến AP gần Chú ý station hoàn toàn lắng nghe liệu truyền từ station khác Trên thực tế liệu truyền qua song radio lí bạn phải mã hóa liệu truyền mạng không dây Attribute-value pare bao gồm tròn message RADIUS sử dụng AAA server để định phiên làm việc AP wireless station, session-timeout hay VLAN tag (Tunnel-Type=VLAN, Tunnel-Private-Group-ID=TAG) Chính xác thông tin 23 ` thêm vào phụ thuộc vào AAA server hay AP wireless station mà bạn sử dụng Các tùy chọn bổ sung Một vấn đề bạn phải hiểu vai trò RADIUS trình xác thực WLAN, bạn cần thiết lập AAA server hỗ trợ interaction Nếu AAA server gọi RADIUS, sẵn sang để hỗ trợ xác thực cho chuẩn 802.11x cho phép lựa chọn dạng EAP Nếu có bạn chuyển đến bước làm để thiết lập tính Nếu bạn có RADIUS hỗ trợ 802.11x, không hỗ trợ dạng EAP, bạn lựa chọn cách cập nhật phiên phần mềm cho server, hay bạn cài đặt máy chủ Nếu bạn cài server có hỗ trợ xác thực cho chuẩn 802.11x, bạn sử dụng tính RADIUS proxy để thiết lập chuỗi máy chủ, chia sở liệu tập trung, RADIUS proxy sử dụng để chuyển yêu cầu xác thực đến máy chủ có khả xác thực chuẩn 802.11x Nếu bạn máy chủ RADIUS, bạn cần thiết phải cài đặt máy chủ cho trình xác thực WLAN, lựa chọn cài đặt công việc thú vị Với sở trung tâm –Giải pháp sử dụng RADIUS cho mạng WLAN quan trọng hệ thống mạng bạn có nhiều AP việc cấu hình bảo mật hệ thống khó để quản lí riêng biệt, người dùng xác thực từ nhiều AP khác điều không thực bảo mật Khi sử dụng RADIUS cho WLAN mang lại khả tiện lợi cao, xác thực cho toàn hệ thống nhiều AP,…cung cấp giải pháp thông minh 24 ` Tài liệu tham khảo [1] Wikipedia.org [2] RFC 2059,2865 [3]www.nhatnghe.com/forum [4]www.netpro.com.vn 25 ... mạng RADIUS luôn xác nhận mật user ID client ID port mà user phép truy cập RADIUS server yêu cầu server khác xác nhận yêu cầu Lúc RADIUS đóng vai trò client Nếu điều kiện không thỏa mãn, RADIUS server. .. round-bin Mỗi RADIUS server nhận yêu cầu, xác nhận client gửi Những yêu cầu từ client không chia thông tin bảo mật với RADIUS không xác nhận trả lời Nếu client hợp lệ, RADIUS server tìm kiếm sở... (forward) cho server khác trường hợp server bị off hỏng Trong trường hợp RADIUS accouting server đóng vai trò client 18 ` 5.2 Packet Format Giống giao thức RADIUS 1, giao thức RADIUS có trường: