radiusbe%e7%c0%e... · 2012-07-16 · radius으| 소개 [라디우스는 어떻게...
TRANSCRIPT
• 總ηet
RADIUS (범용 네트워크 인증 프로토콜)
g
e
(주) 아이네트
jhyang@nuri. net
j: r려 l
·네트워크 인증
• RADIUS소개 • RADIUS 구조및 설치 운영
• RADIUS 의 활용 ·고려사항및 결론
- 315 -
KRnet’97 [email protected]
네트워크 인증
• 네트워크환경의 변화 (Server based) (Network based)
Host & Terminal 뿔 ClienUServer
분산환경 & 다양한 device의 네 트워 크화
• 고려사항
•
Authentication (각 시 스템 별 별 도의 인 증과정 )
Authorization (각 서비스/자원별 별도의 허가과정)
Accouting (어느 사용자가 얼마나 사용하였는지)
했ηet KRnet’97
•
네트워크 인증 [환경의 변화로 네트워크 인증의 비중이 커진다]
Server 8ased 자원의 중앙집중
l
인/로그아웃
Termin에 TINminal
T_m에1 ler ",ir아
Network 8ased 자원의 분산, 다앙화
톨률를
」
‘.'" ‘
.. .. 바.~‘
總ηetKRnet’97
-316-
계정서버 (id1 , pw1)
SI..n SPARC
鉉ηet
네트워크 인증 [RADIUS 가 나오게된 배경]
서버 pw2)
W이oa
메밑서버 (id3, pw3)
01s
11M RSl6000
네트워크 인증 [분산환경에서의 보안]
PSTN
LAN/I
laser Pfinler
Dala , ...
u.뼈‘t/ii~ DB
DB서버 (id5, 뻐5)
DECstallot I
KRnet’97 [email protected]
1_1::.11
D E31 Service Syslem
l 내부 네트워크 내의 인증에 관한 통일된 형태의 인증서버가 필요
'net
- 317 -
KRnet’97 [email protected]
RADIUS [Remote Authentication Dialln User Service]
• Open & Scalable
• ClientlServer Security System[Based on IETF Distributed Security]
• No need special HIW
• Single, Centrallocation for user authentication data. (cf. RADIUS proxy)
Flexible
‘’ 戀ηet
용어설명
• Authentication (= identification)
KRnet’97 [email protected]
• Authorization (Authentication + Privileged)
• Accounting
• PAP (Password Authentication Protoc미)
• CHAP (Challange Handshaking Authentication Procotol)
• Shared Key I MD51 One-way Function
• NAS • Radius Proxy I Virtual NAS
a
總net
- 318 -
KRnet’97 [email protected]
•
RADIUS으| 소개 [라디우스는 어떻게 동작하는가?]
사용자 NAS (PC wl Modem) (eg. Livingston)
radius server daemon
Pro
Dialing
br Identification
Id. Password Forward (Nas-ld,ld, En(Password), .... )
Additional Info.
START SESSION
STOP SSION
줬ηet KRnet’97
사용자
RADIUS으| 소개 [비밑번호의 확인]
NAS PAP (PC wl Modem) (eg. Livingston)
radius server daemon
•
Prompt for Identification
Id, Password
으쁘E얀~
Acces응Requst (Na웅Id ,
Id, En(Password), .... )
Ye잉No , Additionallnfo.
• Shared Key : NAS와 Radiusd가 서로 공유하는 키값 NAS-> RAD: Plain_ Text ^ Digest(씨 = En(Password) RAD-> NAS: En(Password) ^ 미gest(K) = Plain_ Text
• One-Way: Enαyption은 할 수 있지만 Decryption은 할수 없음 En(XXXX) = E미password) , XXXX = password .
• PAP vs. CHAP
췄net KRnet’97
- 319 -
RADIUS으| 구조 [라디우스 서버의 기본 구조]
radacctl<nas>I •••
각디렉토리마다접속된 세션의 START 시각과
각 NAS마다 지정된 shared_key값이 정의
•dictionary NAS와 radiusd사이 에 주고 받는 Altribute들 ! 값이 정의되어 있다.
사용자에 인증을하기 위해 정의되는사용자 Profile의 역 할과 Local UserDB의 역 할을 한다
-m -뺨
a -
-‘ e。-
야 혀 -
4,
il--
뼈 {
뼈
1 . 11 • • .• , . ... ..
NAS
‘ clients
KRnet’97 [email protected]
• 鉉ηet
RADIUS 으| 구조 [Clients 화일의 여I ]
Radiu혀->Clients Configuration r" '--- --_. __ ._- - .---... ------.- .. --..,
# clients for 때iusd i ! #
seoul-nas1.inet.co.kr seoul-nas2.inet .co. kr pu혀n-nas1 . inet.co . kr
NAS Configuration
! pu혀n-nas1.inet.co . kr>
set secret
반드시같아야한다.
KRnet’97 [email protected]
.. 줬ηet
- 320 -
RADIUS으| 구조 [Dictionary 화일 의 예 ]
r-.... _._ .. _ .. _-_ .. __ ... _._ .... - --.. _-"'-"- --"-' ._-...., i # dldmn뻐 for XXXX.XXXX
i f i ATTRIBUTE User-Name 1 STRING ATTRIBUTE PASSWORD 2 STRING
I VALUE Port-Type Sync 1 VALUE Port-Type ISDN 2
VALUE Serve때nfig Maximum-Sessio씨me 254
.,
livingston radiusd ascend radiusd
췄ηet
• 鉉ηet
RADIUS의 구조 [Users 화일 의 예 -1 ]
321
KRnet’97 [email protected]
KRnet’97 [email protected]
RADIUS으| 구조 [Users 화일 의 예 -2]
DEFAULT Auth-Type = System. Framed-Protocol = PPP Service-Type = Framed-User. Framed-Protocol = PPP. Framed-IP-Address = 255.255.255.254. Framed-MTU = 1500
ceo Password = “callme" Service-Type = Login-User. Login-IP-Host = timeshare 1. Login-Service = PortMaster. Callback.-Nuπ1ber = ''9, 1 ~등55-1234"
• 줬ηet
KRnet’97
RADIUS 으| 구조 [Sample Accountíng 화일]
Wed Ocl 522:00:55 1996 Acc’-Session-ld = User-Name = 1hyang" Client-1d = 149.198. 1.18 Client-Port- Id = 19 Acc’-Status-Type = Starl Acc’-Au’hentlc = RADIUS U훌r-Servlce-Type = Login-Service = PαtMas’er Logir、-Hos’ = 149.198.1.70 Accl-Delay-Time = 0
세션 Start Time
세션 Stop Time
|션 아이디 사용자 사용한서비스 사용한시간
WedOc’ 523:15:31 1996 Acc’-Session-Id = τ)6000003" User-Name = “ihyang" Clien’-Id = 149.198. 1.18 Client-P。끼-Id = 19 Acc’-Status-Type = Stop Accl-Session-Time = 4480 Acc’-A비hentlc = RADIUS U용r-Servlce-Type = Login-User Login-Servlce = PαtMa찌er
KRnet’97
… ι
RADIUS 으| 활용 [Simple Configuration - UNIXlNT Password]
users 화일
lelc/passwd
‘AS
KRnel’97 [email protected]
[ii!;배6번W써T-용판랜펀RR|흙뀔-밴j한낸i파관펜j펜gs샌n.반:i ‘· 짧ηet
RADIUS 으| 활용 [자체 사용자 DB와연동]
User DB
SELECT USERID i FR얘 USERDB, PPPSRV
WHERE USERDB.USERID=‘jhyang’ AND ’ USERDB.PASSWD ='l찌djhj’ AND ! PPPSRV.UNAME=‘jhyang’ !
NAS
속펀띔l
‘ 단일기업 (다수의 모돼들 운영), 소규모 ISP인 경우
ud빼1645
udpY1646 (accounting}
.때
n -뻔
짧 -짧
-
체 ---민 -” -
업
뼈 」{뼈
시」
‘
롱
%
맨
모
규
대
Rovt"
KRnel’97 [email protected]
‘’ 청?ηet
323
RADIUS으| 활용 [다른 RADIUS와 연 동]
• 상호 연관 관계가 있는 곳끼리의 연동 (업게 .. ) • Roaming Servicel Extranet
Ac∞sJ,Request
FOfWiÍrd - "Ac∞날응Acct
•
‘
zg앓Z셈~eQuest 「→
빨EF뜨! l
[1) Netcom .∞m [1) Netcom .∞m
1 덴힌권R겐A흐_._-- .-현빈민프 ------ 뼈 멘
띠 때…
N” p”’
”‘ -
[2) Co따y ! FirewalllVPN
[2) Corp-X FirewalllVPN
랬ηet KRnet’97
고려 사항&결론
[1 ] 자체 네트워크 인증서버 (네트워크 인증의 중요성) Modem Pooll Router에 서 의 인 증
[2] 세션 타임이 비교적 긴 것에 대한 인증에 응용가능 LOGIN/PPP/FTPI. ... : 1 + 분 이 상 (cf) Web page에로의 응용, 정확한세션 타임의 수집 ?
[3] 기존의 것에서의 이전 (M igration) TACACS+: 시스코 라우터들
[4] 보안강화된 라디우스 Secure Card의 이 용
• 줬ηet
KRnet’97 [email protected]
- 324 -