radius mit ieee802.1x
DESCRIPTION
RADIUS mit IEEE802.1x. Ein Realisierungsversuch. Inhalt. Motivation Theorie Konfiguration Praxis Fazit & Ausblick Quellen Fragen. 1 - Motivation. 1. Motivation. Zugang gesicherter Netzwerke Remote Access von Usern großes Authentifizierungsproblem - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/1.jpg)
Ein Realisierungsversuch
![Page 2: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/2.jpg)
Inhalt1. Motivation2. Theorie3. Konfiguration4. Praxis5. Fazit & Ausblick6. Quellen7. Fragen
11.01.2008 Radius - Thomas Vollmer 2
![Page 3: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/3.jpg)
11.01.2008 Radius - Thomas Vollmer 3
![Page 4: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/4.jpg)
1. MotivationZugang gesicherter NetzwerkeRemote Access von Userngroßes Authentifizierungsproblemflexiblen Remotezugriff über verschiedene
NAS ein zentraler Authentifizierungsserver
11.01.2008 Radius - Thomas Vollmer 4
![Page 5: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/5.jpg)
1. Motivation
11.01.2008 5Radius - Thomas Vollmer
![Page 6: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/6.jpg)
11.01.2008 Radius - Thomas Vollmer 6
![Page 7: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/7.jpg)
RadiusRemote Authentication Dial-In User Service4 Hauptkriterien
Client/Server ModelNetzwerk SicherheitFlexibler zentraler
AuthentifizierungsmechanismusErweiterbares Protokoll
AAAAuthentifizierung - identifizierenAutorisierung - welche DiensteAbrechnung - in welchem Umfang
11.01.2008 7Radius - Thomas Vollmer
![Page 8: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/8.jpg)
Geschichte Livingston Enterprises für Network Access
Server1997 veröffentlichtISP’s Zuerst in RFC 2058 und RFC 2059Aktuell RFC 2865 bis 2869, seit Juni 2000Software: FreeRadius, WinRadius, M$ IAS
11.01.2008 Radius - Thomas Vollmer 8
![Page 9: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/9.jpg)
IEEE 802.1XStandard zur Authentifizierung und
Autorisierung RADIUS "de-facto“Authentifizierungserver in
802.1xkeine eigenen Authentisierungsprotokolle
definiert Extensible Authentication Protocol (EAP)
Windows - Linux – Mac Unterstützung
11.01.2008 9Radius - Thomas Vollmer
![Page 10: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/10.jpg)
Theorie - Anmeldeablauf
EAP EAP
RADIUS
11.01.2008 10Radius - Thomas Vollmer
![Page 11: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/11.jpg)
Theorie - Anmeldeablauf
11.01.2008 Radius - Thomas Vollmer 11
![Page 12: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/12.jpg)
Theorie – EAP?Extensible Authentication ProtocolRFC3748Optimiertes Transportprotokoll für
AuthentifizierungEAP benutzt data link layer, ohne IP
11.01.2008 12Radius - Thomas Vollmer
![Page 13: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/13.jpg)
Theorie – EAP?Verfahren
EAP-MD5, Lightweight EAP, EAP-MSCHAPv2Zertifikate: EAP-TLS, EAP-TTLS, Protected
EAP (PEAP)
ErmöglichtSmart-Cards, Public Key, One Time Passwords,
etc …
RADIUS nur Transportprotokoll für EAP
11.01.2008 13Radius - Thomas Vollmer
![Page 14: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/14.jpg)
Theorie – EAP?
•Code:• 1 Request• 2 Response• 3 Success• 4 Failure
•Identifier: • 1 octet, • verknüpft Anfrage und Antwort• Duplikaterkennung
•Length: • min 20 max.4096• < verworfen• > abgeschnitten
•Type•1 Identity •2 Notification •3 Nak (Response only) •4 MD5-Challenge •5 One Time Password (OTP)• 6 Generic Token Card (GTC) •254 Expanded Types •255 Experimental use
•Type-Data•Werte zu dem Typ
11.01.2008 14Radius - Thomas Vollmer
![Page 15: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/15.jpg)
Theorie - Radiusprotkoll?In UDP-Packet
Timing, verbindungslos, vereinfachtRADIUS packet im UDP Datenfeld UDP Zielportfeld 1812 (dezimal). Quell- und Zielport vertauscht bei Antwort
MD5 für sichere Passwörter„Secret“ zur Authentifizierung der Pakete
11.01.2008 15Radius - Thomas Vollmer
![Page 16: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/16.jpg)
Theorie - Radiusprotkoll?
•Code: • 1 Access-Request •2 Access-Accept • 3 Access-Reject •4 Accounting-Request • 5 Accounting-Response • 11 Access-Challenge • 12 Status-Server (experimental) • 13 Status-Client (experimental) • 255 Reserved
•Attributes: z.B.• 1 User-Name • 2 User-Password
•Identifier: • 1 octet, • verknüpft Anfrage und Antwort• Duplikaterkennung
•Length: • min 20 max. 4096• < verworfen• > abgeschnitten
•Authenticator:• Request• Response•MD5 Hash
11.01.2008 16Radius - Thomas Vollmer
![Page 17: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/17.jpg)
11.01.2008 Radius - Thomas Vollmer 17
![Page 18: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/18.jpg)
Testaufbau
Windows XP CISCO 3560G WinRadius
11.01.2008 18Radius - Thomas Vollmer
![Page 19: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/19.jpg)
Konfiguration – CiscoCisco Catalyst 3560GZugriff per
WebinterfaceCLITelnetCisco Network Assistant
Probleme 31 OS-Releases mit diversen Feature-SetsDokumentation nur auf EnglischAAA und 802.1x nur über CLI
11.01.2008 19Radius - Thomas Vollmer
![Page 20: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/20.jpg)
Konfiguration – Cisco1. 802.1x und AAA aktivieren
Router# configure terminalRouter(config)# dot1x system-auth-controlRouter(config)# aaa new-modelRouter(config)# aaa authentication dot1x
default group radius
11.01.2008 20Radius - Thomas Vollmer
![Page 21: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/21.jpg)
Konfiguration - Cisco2. Radius Server einrichten
Router# configure terminalRouter(config)# radius-server host
149.205.61.201 Router(config)# radius-server auth-port 1812
Router(config)# radius-server acct-port 1813 Router(config)# radius-server key test_secretRouter(config)# aaa accounting dot1x default
start-stop group radiusRouter(config)# aaa accounting system default
start-stop group radiusRouter(config)# end
11.01.2008 21Radius - Thomas Vollmer
![Page 22: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/22.jpg)
Konfiguration - Cisco3. Port anpassen
Router(config)# interface GigabitEthernet0/19
Router(config-if)# switchport mode accessRouter(config-if)# dot1x pae authenticatorRouter(config-if)# dot1x port-control autoRouter(config-if)# end
11.01.2008 22Radius - Thomas Vollmer
![Page 23: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/23.jpg)
Konfiguration – RADIUSWinRadius Kostenlos, einfache Konfiguration
InstallierenDatenbank anmeldenSecret/Ports festlegenUser anlegenStarten
11.01.2008 23Radius - Thomas Vollmer
![Page 24: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/24.jpg)
Konfiguration – RADIUSDatenbank anmelden
11.01.2008 24Radius - Thomas Vollmer
![Page 25: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/25.jpg)
Konfiguration – RADIUSSecret vergeben
11.01.2008 25Radius - Thomas Vollmer
![Page 26: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/26.jpg)
Konfiguration – RADIUSUser anlegen
radius test
test
11.01.2008 26Radius - Thomas Vollmer
![Page 27: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/27.jpg)
Konfiguration – RADIUSWinRadius starten
11.01.2008 27Radius - Thomas Vollmer
![Page 28: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/28.jpg)
Konfiguration – WindowsNetzwerkkarte konfigurieren
11.01.2008 28Radius - Thomas Vollmer
![Page 29: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/29.jpg)
11.01.2008 Radius - Thomas Vollmer 29
![Page 30: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/30.jpg)
Anmeldeablauf1. Logindaten angeben2. Datenaustausch per EAPoL3. Authentifikator leitet Access-Request an Radius
Server weiter Name, Passwort (MD5), Client ID, Port ID
4. Secretvergleich5. Datenbankanfrage6. Radius antwortet
Access- Reject Access-Challenge /Response Access-Accept
7. Authentifikator schaltet Port (nicht) frei
11.01.2008 30Radius - Thomas Vollmer
![Page 31: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/31.jpg)
PraxisAnmeldung mit MD5-Challenge
11.01.2008 31Radius - Thomas Vollmer
![Page 32: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/32.jpg)
Praxis
11.01.2008 32Radius - Thomas Vollmer
Switch – Client Kommunikation per EAP
![Page 33: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/33.jpg)
Praxis
11.01.2008 33Radius - Thomas Vollmer
Switch – Client Kommunikation per EAP
![Page 34: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/34.jpg)
Praxis
11.01.2008 34Radius - Thomas Vollmer
Switch – Client Kommunikation per EAP
![Page 35: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/35.jpg)
PraxisAblauf
11.01.2008 35Radius - Thomas Vollmer
![Page 36: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/36.jpg)
Praxis
11.01.2008 Radius - Thomas Vollmer 36
Switch
![Page 37: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/37.jpg)
Praxis
11.01.2008 37Radius - Thomas Vollmer
Windows
![Page 38: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/38.jpg)
Praxis
11.01.2008 38Radius - Thomas Vollmer
Switch – Client Kommunikation per EAP
![Page 39: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/39.jpg)
Praxis
oder
11.01.2008 39Radius - Thomas Vollmer
Windows
![Page 40: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/40.jpg)
Praxis
11.01.2008 40Radius - Thomas Vollmer
Client – Switch Kommunikation per EAP
![Page 41: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/41.jpg)
Praxis
11.01.2008 41Radius - Thomas Vollmer
Switch - Radius Kommunikation per Radius
![Page 42: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/42.jpg)
Praxis
Radius-Server
11.01.2008 42Radius - Thomas Vollmer
![Page 43: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/43.jpg)
Praxis
11.01.2008 43Radius - Thomas Vollmer
Radius – Switch Kommunikation per Radius
![Page 44: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/44.jpg)
Praxis
11.01.2008 44Radius - Thomas Vollmer
Switch - Radius Kommunikation per Radius
![Page 45: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/45.jpg)
Praxis
11.01.2008 45Radius - Thomas Vollmer
Radius – Switch Kommunikation per Radius
![Page 46: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/46.jpg)
Praxis
11.01.2008 46Radius - Thomas Vollmer
Switch - Client Kommunikation per EAP
![Page 47: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/47.jpg)
Praxis
11.01.2008 Radius - Thomas Vollmer 47
Switch
![Page 48: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/48.jpg)
Praxis
11.01.2008 48Radius - Thomas Vollmer
Windows
![Page 49: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/49.jpg)
11.01.2008 Radius - Thomas Vollmer 49
![Page 50: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/50.jpg)
Fazit & AusblickFazit
Hohes Maß an SicherheitZentraler ServerSchwer konfigurierbarLange Einarbeitungszeit
AusblickDiameter - TCPMicrosoft & Juniper Cisco ACS
11.01.2008 Radius - Thomas Vollmer 50
![Page 51: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/51.jpg)
11.01.2008 Radius - Thomas Vollmer 51
![Page 52: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/52.jpg)
Quellenwww.Cisco.comwww.ietf.orgtechnet2.Microsoft.comwww.informatik.uni-hamburg.dehttp://tldp.org/HOWTO/8021X-HOWTO/
index.html http://www.uni-koblenz.de/~steigner/
seminar-wlan/4-feldmann.pdfwww.wikipedia.dewww.wireshark.org
11.01.2008 Radius - Thomas Vollmer 52
![Page 53: RADIUS mit IEEE802.1x](https://reader036.vdocuments.net/reader036/viewer/2022081506/568138a0550346895da05d97/html5/thumbnails/53.jpg)
Fragen?
11.01.2008 Radius - Thomas Vollmer 53