RADIUS
RADIUS
RE12 Services Rseaux Printemps 2011 Benot de Mianville Yuemin Qin
Qin - De Mianville
�Livre de Serge Bordres
Trs bonne approche Orient authentification sur des rseaux dentreprises Moins approfondi sur les questions de comptabilit
RADIUS
Qin - De Mianville
�Introduction
Domaine de la scurit et de la gestion rseau Radius est un protocole qui rpond au principe AAA
RADIUS
Qin - De Mianville
�Plan
AAA Histoire Pourquoi une authentification Les entits Les types dauthentification Base de donnes RADIUS en dtail Le mcanisme Entte Les implmentations
RADIUS
FreeRadius Concurrents Avenir Conclusion Sources
Qin - De Mianville
�AAA
Authentication
le processus o l'identit d'une entit est authentifi
Authorization
dtermine si une entit donne est autorise
Accounting
le suivi des ressources rseaux consommes par utilisateurs
RADIUS
Qin - De Mianville
�Histoire
2000 : RFC 2865 RADIUS Remote Authentication Dial In User Service
Nombre dabonns des lignes numrotation augmente AAA Distribution de configurations (SLIP, PPP, )
2003 : RFC 3580 support explicite du tunnel VLAN Etendue aux rseaux dentreprise
RADIUS Qin - De Mianville
�Pourquoi une authentification
Le fait :
Augmentation des postes (filaire/Wifi) Gnralisation de la segmentation en VLAN Augmentation de la mobilit des postes
Le besoin :
Automatiser le placement des quipements dans un rseau Authentifier les utilisateurs/quipements Autoriser suivant des critres riches (reconnaissance du systme, des mises jours, de la validit de lantivirus, )
RADIUS Qin - De Mianville
�Les entits
Cours Radius [Link]
Le terminal qui demande laccs au rseau
Si authentification par mot de passe ou certificat : ncessite linstallation dun programme appel supplicant
Le Switch ou point daccs Wifi
Appell NAS (Network Access Server) ou Authenticator
Le serveur RADIUS La base de donnes des utilisateurs (peut tre le serveur RADIUS)
RADIUS Qin - De Mianville
�Les types dauthentification
Authentification par adresse MAC
Simple mettre en uvre Les communications sont cryptes mais ladresse MAC passe en clair Wifi :
Un pirate peut facilement faire du spoofing dadresse MAC
Rseau filaire :
Ncessite une prsence physique pour faire du spoofing
RADIUS Qin - De Mianville
�Les types dauthentification (suite)
Authentification par mot de passe
Plusieurs techniques Eviter les techniques qui font circuler en clair le mot de passe! Prfrer 802.1x (EAP/PEAP ou EAP/TTLS) On peut utiliser un annuaire LDAP dj en place
Authentification par certificat
Un utilisateur ou une machine prsente un certificat Ncessite la prsence dune IGC ou PKI (Public Key Infrastructure)
RADIUS Qin - De Mianville
10
�Les types dauthentification (suite)
Cours dAlain Ploix sur RADIUS : EAP-TLS :
authentification mutuelle entre le client et le serveur Radius par le biais de certificats (ct client et ct serveur) cre un tunnel TLS entre le client et le serveur Radius, dans EAP, mais ne lutilise pas (!), seule la partie authentification de TLS est utilise le client et le serveur doivent avoir chacun un certificat X509
EAP-TTLS et EAP-PEAP :
authentification mutuelle du client et du serveur Radius par le biais d'un certificat ct serveur, le client utilise un couple login/mot de passe cre un tunnel TLS entre le client et le serveur Radius, dans EAP plusieurs protocoles dauthentification peuvent tre utiliss dans le tunnel (au choix)
EAP-MD5 :
pas d'authentification mutuelle entre client et le serveur Radius, le client s'authentifie par mot de passe
EAP-LEAP :
cas particulier, mthode propritaire de Cisco
RADIUS
Qin - De Mianville
11
�Base de donnes des utilisateurs
Fichier texte Base de donnes (Oracle, MySQL, dpend des implmentations) Service dannuaire
Domaine Windows LDAP
RADIUS
Qin - De Mianville
12
�RADIUS : Le mcanisme
Branchement du terminal sur le NAS Le NAS dtecte le branchement et communique avec le serveur RADIUS Le serveur RADIUS suivant les informations quil a reu authentifie ou pas et autorise ou pas, il envoie un message au NAS qui ouvre ou pas le port et place le terminal dans le VLAN appropri
RADIUS Qin - De Mianville
13
�RADIUS : Le mcanisme (suite)
Authentification par adresse MAC
NAS
ou EAP over RADIUS UDP Ethernet/Wifi Physique Ethernet/Wifi Physique
RADIUS
RADIUS
Qin - De Mianville
14
�RADIUS : Le mcanisme (suite)
Authentification par mot de passe ou certificat
NAS
EAP over WAN Wifi Physique
ou EAP over RADIUS UDP IP Ethernet Physique
RADIUS
EAP over LAN Ethernet Physique
RADIUS
Qin - De Mianville
15
�RADIUS : lentte
Code
1 Access-Request 2 Access-Accept 3 Access-Reject 11 Access-Challenge
Tir de la RFC 2865
RADIUS
Qin - De Mianville
16
�Les implmentations
ACS : Access Control Server de Cisco (sous Windows) Aegis de MeetingHouse sous Linux IAS Internet Authentication Service de Microsoft FreeRadius (libre)
RADIUS
Qin - De Mianville
17
�FreeRADIUS
Projet Cistron : 1996 (anctre de FreeRadius) OpenSource Linux, Windows, Mac OSX, Majorit des protocoles dauthentification supports Base de donnes : LDAP, AD, MySQL, Oracle, PostGresql, /etc/passwd, /etc/shadow,
RADIUS
Qin - De Mianville
18
�FreeRADIUS : Les fichiers de configuration
Dans /etc/raddb [Link]
Dfinir les secrets partags avec chaque quipement rseau
Client <adresse-ip> { Secret = le-secretpartag Shortname = nom }
RADIUS
Qin - De Mianville
19
�FreeRADIUS : Les fichiers de configuration (suite)
La base users
Base dautorisations et/ou authentification
Identifiant config-item check-item
Dupont Auth-Type := EAP, Calling-Station-Id == 0012F0AE2546 Tunnel-Type = VLAN, Tunnel-Medium-Type = 802, Tunnel-Private-Group-Id = 15
Reply-items
RADIUS
Qin - De Mianville
20
�FreeRADIUS : Les fichiers de configuration (suite)
[Link]
Chemins daccs, port dcoute, [Link] ml
RADIUS
Qin - De Mianville
21
�FreeRADIUS : Dlgation dauthentification
Toto/[Link] ou toto@[Link] [Link]/[Link] paramtrs par les deux entits
Exemples:
ARREDU (Authentication & Roaming for Research and EDUcation
EduRoam (EDUcation ROMing)
RADIUS
Qin - De Mianville
22
�Concurrence de Radius
Kerberos
protocole d'authentification rseau qui repose sur un mcanisme de cls secrtes et non de mots de passe en clair, vitant ainsi le risque d'interception frauduleuse des mots de passe des utilisateurs. fournir une authentification mutuelle pour viter l'coute clandestine et les attaques Man-in-the-middle
TACACS+
Protocole Cisco permettant de fournir du contrle d'accs pour les routeurs, les serveur daccs rseaux et autres quipements rseaux
Radius a le monopole dans le Authent. ,Autoris., pour lAccounting, dautres outils diffrents de gestion sont apports
RADIUS Qin - De Mianville
23
�Avenir
IETF AAA Working Group
Limitations de RADIUS Soumission de groupes de travail de lIETF
ROAMOPS Roaming Operation NASREQ NAS Requirements Mobile IP Working Group TIA Telecommunication Industry Association
Gestion des erreurs Comptabilit IPv6 Indpendant du transport et gestion des congestions Proxy explicite Rtro compatibilit Scurit Modle de donnes indpendant
DIAMETER
[Link] 24
RADIUS
Qin - De Mianville
�Conclusion
Trs utilis Trs complet
Implmentations nombreuses, Supporte des multiples types dauthentifications (suivant limplmentation)
Prim
RADIUS
Qin - De Mianville
25
�Sources
Introduction to diameter:
[Link] ntroduction_to_Diameter.pdf
Livre Authentification Rseau avec RADIUS (diapo 3) AAA Working Group
[Link]
Cours sur RADIUS : Alain Ploix
RADIUS Qin - De Mianville
26
