• 總ηet

RADIUS (범용 네트워크 인증 프로토콜)

g

e

(주) 아이네트

jhyang@nuri. net

j: r려 l

·네트워크 인증

• RADIUS소개 • RADIUS 구조및 설치 운영

• RADIUS 의 활용 ·고려사항및 결론

- 315 -

KRnet’97 jhyang@nuri.net

네트워크 인증

• 네트워크환경의 변화 (Server based) (Network based)

Host & Terminal 뿔 ClienUServer

분산환경 & 다양한 device의 네 트워 크화

• 고려사항

•

Authentication (각 시 스템 별 별 도의 인 증과정 )

Authorization (각 서비스/자원별 별도의 허가과정)

Accouting (어느 사용자가 얼마나 사용하였는지)

했ηet KRnet’97

jhyang@nuri.net

•

네트워크 인증 [환경의 변화로 네트워크 인증의 비중이 커진다]

Server 8ased 자원의 중앙집중

l

인/로그아웃

Termin에 TINminal

T_m에1 ler "，ir아

Network 8ased 자원의 분산， 다앙화

톨률를

」

‘.'" ‘

.. .. 바.~‘

總ηetKRnet’97

jhyang@nuri.net

-316-

계정서버 (id1 , pw1)

SI..n SPARC

鉉ηet

네트워크 인증 [RADIUS 가 나오게된 배경]

서버 pw2)

W이oa

메밑서버 (id3, pw3)

01s

11M RSl6000

네트워크 인증 [분산환경에서의 보안]

PSTN

LAN/I

laser Pfinler

Dala , ...

u.뼈‘t/ii~ DB

DB서버 (id5, 뻐5)

DECstallot I

KRnet’97 jhyang@nuri.net

1_1::.11

D E31 Service Syslem

l 내부 네트워크 내의 인증에 관한 통일된 형태의 인증서버가 필요

'net

- 317 -

KRnet’97 jhyang@nuri.net

RADIUS [Remote Authentication Dialln User Service]

• Open & Scalable

• ClientlServer Security System[Based on IETF Distributed Security]

• No need special HIW

• Single, Centrallocation for user authentication data. (cf. RADIUS proxy)

Flexible

‘’ 戀ηet

용어설명

• Authentication (= identification)

KRnet’97 jhyang@nuri.net

• Authorization (Authentication + Privileged)

• Accounting

• PAP (Password Authentication Protoc미)

• CHAP (Challange Handshaking Authentication Procotol)

• Shared Key I MD51 One-way Function

• NAS • Radius Proxy I Virtual NAS

a

總net

- 318 -

KRnet’97 jhyang@nuri.net

•

RADIUS으| 소개 [라디우스는 어떻게 동작하는가?]

사용자 NAS (PC wl Modem) (eg. Livingston)

radius server daemon

Pro

Dialing

br Identification

Id. Password Forward (Nas-ld,ld, En(Password), .... )

Additional Info.

START SESSION

STOP SSION

줬ηet KRnet’97

jhyang@nuri.net

사용자

RADIUS으| 소개 [비밑번호의 확인]

NAS PAP (PC wl Modem) (eg. Livingston)

radius server daemon

•

Prompt for Identification

Id, Password

으쁘E얀~

Acces응Requst (Na웅Id ，

Id, En(Password), .... )

Ye잉No ， Additionallnfo.

• Shared Key : NAS와 Radiusd가 서로 공유하는 키값 NAS-> RAD: Plain_ Text ^ Digest(씨 = En(Password) RAD-> NAS: En(Password) ^ 미gest(K) = Plain_ Text

• One-Way: Enαyption은 할 수 있지만 Decryption은 할수 없음 En(XXXX) = E미password) ， XXXX = password .

• PAP vs. CHAP

췄net KRnet’97

jhyang@nuri.net

- 319 -

RADIUS으| 구조 [라디우스 서버의 기본 구조]

radacctl<nas>I •••

각디렉토리마다접속된 세션의 START 시각과

각 NAS마다 지정된 shared_key값이 정의

•dictionary NAS와 radiusd사이 에 주고 받는 Altribute들 ! 값이 정의되어 있다.

사용자에 인증을하기 위해 정의되는사용자 Profile의 역 할과 Local UserDB의 역 할을 한다

-m -뺨

a -

-‘ e。-

야 혀 -

4,

il--

뼈 {

뼈

1 . 11 • • .• , . ... ..

NAS

‘ clients

KRnet’97 jhyang@nuri.net

• 鉉ηet

RADIUS 으| 구조 [Clients 화일의 여I ]

Radiu혀->Clients Configuration r" '--- --_. __ ._- - .---... ------.- .. --..,

# clients for 때iusd i ! #

seoul-nas1.inet.co.kr seoul-nas2.inet .co. kr pu혀n-nas1 . inet.co . kr

NAS Configuration

! pu혀n-nas1.inet.co . kr>

set secret

반드시같아야한다.

KRnet’97 jhyang@nuri.net

.. 줬ηet

- 320 -

RADIUS으| 구조 [Dictionary 화일 의 예 ]

r-.... _._ .. _ .. _-_ .. __ ... _._ .... - --.. _-"'-"- --"-' ._-...., i # dldmn뻐 for XXXX.XXXX

i f i ATTRIBUTE User-Name 1 STRING ATTRIBUTE PASSWORD 2 STRING

I VALUE Port-Type Sync 1 VALUE Port-Type ISDN 2

VALUE Serve때nfig Maximum-Sessio씨me 254

.,

livingston radiusd ascend radiusd

췄ηet

• 鉉ηet

RADIUS의 구조 [Users 화일 의 예 -1 ]

321

KRnet’97 jhyang@nuri.net

KRnet’97 jhyang@nuri.net

RADIUS으| 구조 [Users 화일 의 예 -2]

DEFAULT Auth-Type = System. Framed-Protocol = PPP Service-Type = Framed-User. Framed-Protocol = PPP. Framed-IP-Address = 255.255.255.254. Framed-MTU = 1500

ceo Password = “callme" Service-Type = Login-User. Login-IP-Host = timeshare 1. Login-Service = PortMaster. Callback.-Nuπ1ber = ''9, 1 ~등55-1234"

• 줬ηet

KRnet’97

jhyang@nuri.net

RADIUS 으| 구조 [Sample Accountíng 화일]

Wed Ocl 522:00:55 1996 Acc’-Session-ld = User-Name = 1hyang" Client-1d = 149.198. 1.18 Client-Port- Id = 19 Acc’-Status-Type = Starl Acc’-Au’hentlc = RADIUS U훌r-Servlce-Type = Login-Service = PαtMas’er Logir、-Hos’ = 149.198.1.70 Accl-Delay-Time = 0

세션 Start Time

세션 Stop Time

|션 아이디 사용자 사용한서비스 사용한시간

WedOc’ 523:15:31 1996 Acc’-Session-Id = τ)6000003" User-Name = “ihyang" Clien’-Id = 149.198. 1.18 Client-P。끼-Id = 19 Acc’-Status-Type = Stop Accl-Session-Time = 4480 Acc’-A비hentlc = RADIUS U용r-Servlce-Type = Login-User Login-Servlce = PαtMa찌er

KRnet’97

jhyang@nuri.net

… ι

RADIUS 으| 활용 [Simple Configuration - UNIXlNT Password]

users 화일

lelc/passwd

‘AS

KRnel’97 jhyang@nuri.nel

[ii!;배6번W써T-용판랜펀RR|흙뀔-밴j한낸i파관펜j펜gs샌n.반:i ‘· 짧ηet

RADIUS 으| 활용 [자체 사용자 DB와연동]

User DB

SELECT USERID i FR얘 USERDB, PPPSRV

WHERE USERDB.USERID=‘jhyang’ AND ’ USERDB.PASSWD ='l찌djhj’ AND ! PPPSRV.UNAME=‘jhyang’ !

NAS

속펀띔l

‘ 단일기업 (다수의 모돼들 운영)， 소규모 ISP인 경우

ud빼1645

udpY1646 (accounting}

.때­

n -뻔

짧 -짧

-

체 ---민 -” -

업

뼈 」{뼈

시」

‘

롱

%

맨

모

규

대

Rovt"

KRnel’97 jhyang@nuri.net

‘’ 청?ηet

323

RADIUS으| 활용 [다른 RADIUS와 연 동]

• 상호 연관 관계가 있는 곳끼리의 연동 (업게 .. ) • Roaming Servicel Extranet

Ac∞sJ，Request

FOfWiÍrd - "Ac∞날응Acct

•

‘

zg앓Z셈~eQuest 「→

빨EF뜨! l

[1) Netcom .∞m [1) Netcom .∞m

1 덴힌권R겐A흐_._-- .-현빈민프 ------ 뼈 멘

띠 때…

N” p”’

”‘ -

[1) jhyang@nuri.net

[2) Co따y ! FirewalllVPN

[2) Corp-X FirewalllVPN

랬ηet KRnet’97

jhyang@nuri.net

고려 사항&결론

[1 ] 자체 네트워크 인증서버 (네트워크 인증의 중요성) Modem Pooll Router에 서 의 인 증

[2] 세션 타임이 비교적 긴 것에 대한 인증에 응용가능 LOGIN/PPP/FTPI. ... : 1 + 분 이 상 (cf) Web page에로의 응용， 정확한세션 타임의 수집 ?

[3] 기존의 것에서의 이전 (M igration) TACACS+: 시스코 라우터들

[4] 보안강화된 라디우스 Secure Card의 이 용

• 줬ηet

KRnet’97 jhyang@nuri.net

- 324 -