SlideShare a Scribd company logo

RADIUS - a report project's course at university

H
Hoàng Tuấn Lê

Tài liệu trình bày về giao thức RADIUS (Remote Authentication Dial In User Service), một giao thức quản lý chứng thực, cấp phép và giám sát truy cập (AAA) cho người dùng kết nối vào dịch vụ mạng. RADIUS hoạt động trên UDP, cung cấp khả năng xác thực và cấp quyền nhanh chóng, thường được sử dụng cho các dịch vụ như VPN, điểm truy cập không dây và nhiều dịch vụ mạng khác. Tài liệu cũng nêu rõ cơ chế hoạt động, cấu trúc gói tin và các vấn đề liên quan đến bảo mật của RADIUS.

Technology
1 of 13
Download to read offline
1
2
3
4
5
6
7
8
9
10
11
12
13
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN KHOA MẠNG MÁY TÍNH VÀ TRUYỀN THÔNG ——————– * ——————— BÁO CÁO Môn Mật mã học Đề tài: Remote Authentication Dial-In User Service (RADIUS) Lớp NT119.I21.ANTT Nhóm SV thực hiện : 15520417 - Đoàn Văn Liêm 15520594 - Phạm Minh Nhựt 15520711 - Phan Văn Quyết 15520599 - Trần Cao Pháp 15520967 - Lê Hoàng Tuấn Giảng viên : ThS. Trần Tuấn Dũng Tp.Hồ Chí Minh - Tháng 05 năm 2018
Mục lục 2 Mục lục 1 Giới thiệu 3 2 Lịch sử 3 3 AAA là gì? 4 4 Tại sao RADIUS lại hoạt động trên UDP mà không phải là TCP? 4 5 Ứng dụng và vị trí của RADIUS trong mô hình mạng 5 5.1 Ứng dụng của RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 5.2 Vị trí của RADIUS trong mô hình mạng . . . . . . . . . . . . . . . . . . . . . 5 6 RADIUS khác gì với các giao thức directory services khác 6 7 Cơ chế hoạt động của RADIUS 7 8 Cấu trúc một gói tin RADIUS 8 9 Bảo mật trong RADIUS 9 9.1 Cách mã hóa mật khẩu người dùng . . . . . . . . . . . . . . . . . . . . . . . . 9 9.2 Vấn đề bảo mật trong RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . 10 9.3 Các giải pháp khắc phục vấn đề bảo mật của RADIUS . . . . . . . . . . . . . 11 10 Hiện thực RADIUS chứng thực cho dịch vụ VPN 11 11 Tài liệu tham khảo 12 Nhóm 8 NT119.I21.ANTT
2 Lịch sử 3 1 Giới thiệu Remote Authentication Dial In User Service (RADIUS) được định nghĩa trong RFC 2865 - 2866, là một giao thức mạng hoạt động trên cổng 1812 (dùng cho Authentication và Autho- rization), cung cấp việc quản lý một cách tập trung hoạt động chứng thực, cấp quyền và điều khiển truy cập (AAA = Authentication + Authorization + Accounting) đối với người dùng kết nối và sử dụng dịch vụ mạng. RADIUS ban đầu được phát triển bởi công ty Livingston Enter- prises, Inc. năm 1991 với vai trò là giao thức chứng thực và điều khiển truy cập máy chủ, sau này trở thành tiêu chuẩn của Internet Engineering Task Force (IETF). RADIUS là giao thức theo dạng Client / Server hoạt động trên tầng ứng dụng và có thể sử dụng TCP hoặc UDP để truyền dữ liệu (chỉ khi RADIUS kết hợp với TLS mới sử dụng TCP, đơn thuần nó sẽ sử dụng UDP). Các Network Access Server (NAS) hoặc các gateway kiểm soát truy cập vào mạng thường cài đặt RADIUS client để giao tiếp với RADIUS server. Ban đầu RADIUS được phát triển cho việc thiết lập các kết nối từ xa, hiện nay nó hỗ trợ được cho nhiều dịch vụ như VPN 1 , các Wireless access point, DSL,... [5] 2 Lịch sử Năm 1991, Merit Network, một nhà cung cấp dịch vụ internet phi lợi nhuận, yêu cầu một cách sáng tạo để quản lý truy cập dial-in đến nhiều điểm khác nhau (POP) 2 trên mạng của mình. Để đáp ứng nhu cầu này, RADIUS được tạo ra bởi Livingston Enterprises. Vào thời điểm RADIUS được tạo ra, các hệ thống truy cập mạng được phân phối trên một diện rộng và được điều hành bởi nhiều tổ chức độc lập. Các quản trị viên trung tâm muốn ngăn chặn các vấn đề về bảo mật và khả năng mở rộng, và do đó không muốn phân phối tên người dùng và mật khẩu; thay vào đó, họ muốn các máy chủ truy cập từ xa liên hệ với một máy chủ trung tâm để cho phép truy cập vào hệ thống hoặc dịch vụ được yêu cầu. Để trả lời liên hệ từ máy chủ truy cập từ xa, máy chủ trung tâm sẽ trả về thông báo “thành công” hoặc “lỗi” và các máy từ xa sẽ chịu trách nhiệm thực thi phản hồi này cho mỗi người dùng cuối. Vì vậy, mục tiêu của RADIUS là tạo ra một vị trí trung tâm cho việc xác thực người dùng, trong đó người dùng từ nhiều địa điểm có thể yêu cầu truy cập mạng. Sự đơn giản, hiệu quả và khả năng sử dụng của hệ thống RADIUS dẫn đến việc các nhà cung cấp thiết bị mạng được chấp nhận rộng rãi, trong phạm vi hiện tại, RADIUS được coi là tiêu 1 Virtual Private Network (VPN) là mạng dành riêng để kết nối các máy tính của các công ty, tập đoàn hay tổ chức với nhau thông qua mạng Internet, đây là một công nghệ mạng giúp tạo kết nối mạng an toàn khi tham gia vào mạng công cộng như Internet hoặc mạng riêng do một nhà cung cấp dịch vụ sở hữu. 2 Point Of Presence (POP) là điểm thể hiện của một tổ chức nào đó mà ở đó nó cho phép khách hàng của họ truy cập vào vùng mạng nội bộ. Nhóm 8 NT119.I21.ANTT
4 Tại sao RADIUS lại hoạt động trên UDP mà không phải là TCP? 4 chuẩn công nghiệp và cũng được định vị để trở thành một tiêu chuẩn kỹ thuật Internet (IETF). Quá trình hình thành định nghĩa RADIUS như sau: • Giao thức Radius được định nghĩa đầu tiên trong RFC 2058 vào tháng 1 năm 1997 • Cũng trong năm 1997 Radius accounting đã được giới thiệu trong RFC 2059 • Sau đó vào tháng 4 năm 1997 nhiều bản RFC đã được thay thế bởi RFC 2138 và RFC 2139 • Sau đó vào tháng 6 năm 2000 RFC 2865 đã chuẩn hóa Radius và thay thế cho RFC 2138 • Cùng thời gian đó RFC 2866 accounting cũng đã thay thế cho RFC 2139 3 AAA là gì? AAA là viết tắt của 3 từ: Authentication, Authorization và Accounting: • Authentication cung cấp tính chứng thực, tức là nó sẽ trả lời cho câu hỏi “bạn là ai?” (ví dụ username, password, email, ....). Khi user gửi username lên thì RADIUS sẽ cho biết username đó hợp lệ hay không? Mật khẩu người dùng nhập vào có khớp không? • Authorization cung cấp tính phân quyền cho các users, tức là authorization sẽ trả lời cho câu hỏi “bạn có quyền gì?” (ví dụ như được truy cập - accept, từ chối - reject,..). • Accounting cung cấp khả năng giám sát truy cập, tức là theo dõi tài nguyên mạng tiêu thụ bởi người dùng. Các thông tin được thu thập bao gồm thời gian sử dụng hệ thống hoặc lượng dữ liệu đã gửi/nhận của người dùng trong một phiên. 4 Tại sao RADIUS lại hoạt động trên UDP mà không phải là TCP? RADIUS thông thường chỉ hoạt động trên UDP thay vì TCP vì một số lí do sau: • Người dùng cần xác thực một cách nhanh hơn. • Mang đến một tốc độ phản hồi nhanh hơn do không cần thiết lập kết nối đặc biệt như TCP. Nhóm 8 NT119.I21.ANTT
5 Ứng dụng và vị trí của RADIUS trong mô hình mạng 5 • Giao thức phi trạng thái (stateless protocol) 3 . • Dễ dàng triển khai máy chủ đa luồng để phục vụ nhiều yêu cầu của client. 5 Ứng dụng và vị trí của RADIUS trong mô hình mạng 5.1 Ứng dụng của RADIUS RADIUS cung cấp khả năng xác thực tập trung, cấp phép và tính toán truy cập (Authenti- cation, Authorization, và Accountting – AAA) cho các phiên làm việc – như việc cung cấp xác thực của các nhà cung cấp dịch vụ Internet (ISP) đều dựa trên giao thức này để xác thực người dùng khi họ truy cập Internet, hỗ trợ cho máy chủ VPN, các điểm truy cập không dây, chứng thực chuyển mạch internet, truy cập DSL, và các loại truy cập mạng khác. Nó cần thiết trong tất cả các Network Access Server (NAS) để làm việc với danh sách các username và password cho việc cấp phép, RADIUS Access-Request sẽ chuyển các thông tin tới một Authentication Server, thông thường nó là một AAA Server (AAA – Authentication, Authoriztion, và Accounting). Trong kiến trúc của hệ thống nó tạo ra khả năng tập trung các dữ liệu thông tin của người dùng, các điều kiện truy cập trên một điểm duy nhất (single point), trong khi có khả năng cung cấp cho một hệ thống lớn, cung cấp giải pháp NASs 5.2 Vị trí của RADIUS trong mô hình mạng Ta quan sát mô hình mạng trong hình 1. Hình 1: Mô hình mạng có sử dụng RADIUS Trong mô hình trên RADIUS đóng vai trò chứng thực các user cho NAS, các user sẽ được 3 Stateless protocol là giao thức truyền thông mà ở đó không có bất kì thông tin nào được lưu giữ lại giữa người gửi và người nhận Nhóm 8 NT119.I21.ANTT
6 RADIUS khác gì với các giao thức directory services khác 6 lấy từ một user database như LDAP 4 . Nên RADIUS sẽ đứng giữa NAS và user database. Quan sát thêm một mô hình khác tại hình 2. Hình 2: Mô hình mạng có sử dụng RADIUS đóng vai trò như một proxy Trong mô hình này thì RADIUS có thể được sử dụng như một proxy server chuyển tiếp cho các RADIUS khác. 6 RADIUS khác gì với các giao thức directory services khác Trong phần này sẽ lấy một dịch vụ directory cụ thể là LDAP để so sánh. Cả LDAP và RADIUS đều thực hiện cùng nhiệm vụ là chứng thực và cấp quyền cho các users. Nhưng chúng có sự khác biệt như sau: • LDAP không cung cấp một cơ chế truyền bảo mật nào giữa client và server. Tuy nhiên, thông qua TLS (Transport Layer Security) LDAP có thể mã hóa phiên trao đổi giữa client và server. Tuy nhiên LDAP không hỗ trợ Accounting một cách trực tiếp, mà phải thông qua một số giao thức bổ sung như Syslog. • RADIUS hoạt động như một dịch vụ trung gian và chỉ chuyên xử lí AAA. Nó có thể liên kết với các dịch vụ directory khác, server khác hoặc trên chính nó để chứng thực và cấp quyền cho các users (tức là nó sử dụng directory khác để lưu trữ thông tin user hoặc lưu trên chính nó). Về vấn đề bảo mật, RADIUS chỉ mã hóa mật khẩu, còn các dữ liệu khác thì không, nó gây ra một số nguy cơ về bảo mật, tuy nhiên đã có những giải pháp để giảm thiểu các nguy cơ. Cách thức hoạt động của hai giao thức cũng khác nhau, và từ đó hiệu suất cũng khác nhau, cụ thể: 4 Lightweight Directory Access Protocol (LDAP) là một giao thức ứng dụng truy cập các cấu trúc thư mục, cấu trúc thư mục ở đây có thể là danh bạ điện thoại hoặc group/user được phân thành nhiều cấp bậc Nhóm 8 NT119.I21.ANTT
7 Cơ chế hoạt động của RADIUS 7 • LDAP hoạt động trên TCP, giúp cho kết nối được đảm bảo. Tuy nhiên chi phí sẽ cao hơn và thường có nhiều yêu cầu giao dịch hơn giữa client và server. • RADIUS hoạt động trên UDP, nên sẽ đem đến tốc độ cao hơn, nhưng sẽ có rủi ro với các gói tin. RADIUS linh hoạt và đơn giản hơn so LDAP, từ đó nó đem đến khả năng xác thực và cấp quyền nhanh chóng hơn. 7 Cơ chế hoạt động của RADIUS Quá trình chứng thực được thể hiện như hình 3. Hình 3: Mô tả cơ chế hoạt động của phiên chứng thực RADIUS • Khi một client được cấu hình để sử dụng RADIUS thì bất kỳ user nào của client đều có những thông tin dùng để xác nhận quyền với máy client. Đó có thể là username hoặc password. Máy client khi nhận thông tin này có thể dùng RADIUS để xác nhận quyền. • Client sẽ tạo gói tin Access-Request (yêu cầu truy cập) chứa thuộc tính cần thiết: mật khẩu user, ID của client và ID port mà user sẽ truy cập. Mật khẩu khi nhập sẽ được làm rối (bằng hàm băm MD5 và khoá bí mật chia sẻ). • Access-Request sẽ được gửi cho máy chủ RADIUS thông qua mạng. Nếu máy chủ không trả lời trong thời gian quy ước thì yêu cầu sẽ được gửi lại. Client có thể chuyển tiếp yêu cầu đó cho các server dự phòng trong trường hợp server chính bị tắt. • Máy chủ nhận gói Access-Request và xác minh rằng máy chủ sở hữu một khoá bí mật chia sẻ cho client. Nhóm 8 NT119.I21.ANTT
8 Cấu trúc một gói tin RADIUS 8 Nếu máy chủ không có khoá bí mật chia sẻ cho máy khách, yêu cầu sẽ bị bỏ đi mà không thông báo. Nếu mật khẩu hợp lệ, máy chủ sẽ phản hồi bằng gói Access-Accept cho máy khách. Nếu mật khẩu không hợp lệ, máy chủ sẽ phản hồi gói Access-Reject. Nếu mật khẩu hợp lệ mà RADIUS server còn muốn đưa ra yêu cầu đòi hỏi user trả lời, server sẽ tạo gói tin Access-Challenge (thử thách truy cập). Client nếu nhận Access-Challenge sẽ hiển thị thông báo yêu cầu user trả lời. Sau đó client sẽ gửi lại Access-Request với id yêu cầu mới, nhưng thuộc tính username-password được lấy từ thông tin mới và kèm luôn trạng thái từ Access-Challenge. Server có thể trả lời bằng Access-Accept hoặc Access-Reject khác. • Cuối cùng client sẽ thông báo cho thiết bị biết việc truy cập là thành công hay thất bại 8 Cấu trúc một gói tin RADIUS Định dạng của một gói tin RADIUS được mô tả trong hình 4. Hình 4: Định dạng của một gói tin RADIUS Các trường được truyền từ trái sang phải, bắt đầu từ phần Code, phần mã định danh (Packet Indentifier), độ dài (Length), trình chứng thực (Authenticator) và các thuộc tính (AVPs): • RADIUS Code (dạng số thập phân) được gán như bảng 1. • Trường định danh (Packet Indentifier) là một giá trị octet cho phép RADIUS client tìm ra phản hồi khớp với yêu cầu đã phát sinh. • Trường độ dài (Length) chứa độ dài của gói tin RADIUS. • Trường xác thực (Authenticator) được sử dụng để xác thực phản hồi từ máy chủ RA- DIUS và được sử dụng để mã hóa mật khẩu; kích thước của nó là 16 byte. Nhóm 8 NT119.I21.ANTT
9 Bảo mật trong RADIUS 9 Giá trị Mô tả 1 Access-Request 2 Access-Accept 3 Access-Reject 4 Accounting-Request 5 Accounting-Response 11 Access-Challenge 12 Status-Server (thử nghiệm) 13 Status-Client (thử nghiệm) 41 Disconnect-ACK 42 Disconnect-NAK 43 CoA-Request 44 CoA-ACK 45 CoA-NAK 255 Dành riêng Bảng 1: Bảng mô tả RADIUS Code • Trường thuộc tính (AVPs): bao gồm các cặp giá trị thuộc tính chứa dữ liệu trong cả gói yêu cầu và gói phản hồi dùng cho mục đính chứng thực, cấp quyền và giám sát như là thuộc tính User-Name và thuộc tính User-Password. Độ dài của gói tin RADIUS được sử dụng để xác định sự kết thúc của các AVP. Cấu trúc của một AVP được mô tả trong hình 5. Hình 5: Cấu trúc của cặp giá trị thuộc tính (AVP - Attribute Value Pair) RADIUS 9 Bảo mật trong RADIUS 9.1 Cách mã hóa mật khẩu người dùng - Đầu tiên mật khẩu sẽ được lắp đầy bởi kí tự NULL sao cho độ dài là bội của 16 bytes. Chia đoạn mật khẩu ra thành các đoạn, mỗi đoạn là 16 bytes: p1, p2,... - Gọi: S là “thông tin bí mật chung” (shared secret) giữa NAS và RADIUS server. Nhóm 8 NT119.I21.ANTT
9 Bảo mật trong RADIUS 10 RA là giá trị của trường Request Authenticator 128 bit. b1, b2,...là các giá trị trung gian. c1, c2,...là các chuỗi mật mã dạng văn bản. Quá trình tạo nên các chuỗi mã hóa như sau: b1 = MD5(S + RA) c1 = p1 ⊕ b1 b2 = MD5(S + c1) c2 = p2 ⊕ b2 . . . . . . bi = MD5(S + ci−1) ci = pi ⊕ bi (dấu + được hiểu như phép nối chuỗi) • Giá trị b1 sẽ được tính bằng cách băm MD5 chuỗi S với RA. • Giá trị chuỗi băm (b1) sẽ được XOR với đoạn 16 bytes đầu tiên của mật khẩu (p1). Kết quả XOR này được gọi là c1. • Nếu chưa hết đoạn mật khẩu thì giá trị b2 tiếp theo sẽ được tính bằng cách băm MD5 chuỗi S với chuỗi kết quả XOR trước đó là c1. • Giá trị c2 được tính bằng cách lấy b2 XOR với đoạn 16 bytes tiếp theo của mật khẩu (p2). • Quá trình tiếp theo sẽ tiếp diễn tương tự đến khi hết các đoạn được chia của mật khẩu (tối đa 128 kí tự) → Chuỗi c1 + c2 + . . . được nối với nhau và được đưa vào AVP với Type là 2 (User- Password). 9.2 Vấn đề bảo mật trong RADIUS Giao thức RADIUS có một số vấn đề thú vị phát sinh từ thiết kế của nó. Các đặc điểm thiết kế và chính sách dường như chịu trách nhiệm chính về các vấn đề bảo mật như sau: • Kỹ thuật bảo vệ mật khẩu người dùng là thiếu sót trong nhiều cách. Không nên sử dụng một mã hoá dòng và không nên sử dụng hàm băm MD5 để kiểm tra tính nguyên thủy của bản mã. • Trình xác thực phản hồi (Respond Authenticator) là ý tưởng tốt, nhưng được cài đặt kém. • Gói Access-Request không được xác thực. Nhóm 8 NT119.I21.ANTT
10 Hiện thực RADIUS chứng thực cho dịch vụ VPN 11 • Nhiều cài đặt phía client tạo Trình xác thực yêu cầu (Request Authenticators) không đủ ngẫu nhiên. • Nhiều quản trị viên chọn khoá bí mật chia sẻ cho RADIUS không có đủ entropy thông tin. Nhiều cài đặt ở máy khách và máy chủ giới hạn không gian khóa bí mật chia sẻ. 9.3 Các giải pháp khắc phục vấn đề bảo mật của RADIUS Ta có thể sử dụng các biện pháp bảo vệ bổ sung, như IPSec 5 hoặc mạng dữ liệu tập trung an toàn vật lý, được sử dụng để bảo vệ dữ liệu RADIUS giữa các thiết bị NAS và máy chủ RADIUS. Ngoài ra, thông tin xác thực của người dùng là phần duy nhất được bảo vệ bởi chính RADIUS, tuy rằng các thuộc tính chỉ định người dùng khác như ID của nhóm phân luồng hoặc thành viên vlan được truyền qua RADIUS có thể được coi là thông tin nhạy cảm (hữu ích cho kẻ tấn công) hoặc riêng tư (đủ để định dang từng khách hàng). Giao thức RadSec 6 được xem là giải pháp cho các vấn đề bảo mật nói trên. 10 Hiện thực RADIUS chứng thực cho dịch vụ VPN Phần này sẽ hiện mô hình sử dụng RADIUS chứng thực cho các dịch vụ VPN. Môi trường thực hiện Chúng ta sẽ cần đến 3 máy ảo như sau: • RADIUS server: sử dụng Windows server 2012 làm máy chủ RADIUS và User database. • VPN server (đồng thời cũng đóng vai trò RADIUS client): Windows server 2012. • User device: sử dụng máy Windows 7 để làm VPN client kết nối vào VPN Server. Mô hình thực hiện như hình 6. Trước khi thực hiện thì ta cần cài đặt các package cần thiết: • Trên máy RADIUS Server, chúng ta cần nâng cấp lên Domain Controller và cài đặt Net- work Policy and Access Services (gói này có sẵn trong Windows Server 2012, chỉ cần 5 IPsec (IP security) bao gồm một hệ thống các giao thức để bảo mật quá trình truyền thông tin trên nền tảng Internet Protocol (IP), xem thêm tại: https://en.wikipedia.org/wiki/IPsec 6 RadSec là giao thức cho phép RADIUS truyền gói tin trên TCP và TLS, xem thêm tại: https://en. wikipedia.org/wiki/RadSec Nhóm 8 NT119.I21.ANTT
Tài liệu 12 Hình 6: Mô hình hiện thực RADIUS chứng thực VPN cho RADIUS kích hoạt lên bằng cách vào Server Manager → Add roles and features, và chọn Net- work Policy and Access Services để cài) • Trên máy RADIUS Client (VPN Server), không join vào domain và thực hiện cài đặt Remote Access (cũng có sẵn trong Windows Server 2012) Quá trình cấu hình được quay lại video và upload lên youtube tại địa chỉ: https:// youtu.be/ebcguRnbUUY 11 Tài liệu tham khảo Tài liệu [1] C. Rubens - A. Simpson - S. Willens C. Rigney. RFC 2865 - Remote Authentication Dial In User Service (RADIUS). June 2000. URL: https://tools.ietf.org/html/ rfc2865. [2] Ben Herrmann. Understanding When to Use LDAP or RADIUS for Centralized Authenti- cation. URL: https://cdn.selinc.com/assets/Literature/Publications/ Application%20Notes/AN2015-08_20150817.pdf?v=20150916-130419. [3] Joshua Hill. An Analysis of the RADIUS Authentication Protocol. URL: http://www. untruth.org/~josh/security/radius/radius-auth.html. [4] NetworkRadius. The RADIUS Protocol. URL: http://networkradius.com/doc/ 3.0.10/introduction/RADIUS.html. Nhóm 8 NT119.I21.ANTT
Tài liệu 13 [5] Wikipedia. RADIUS. URL: https://en.wikipedia.org/wiki/RADIUS. Nhóm 8 NT119.I21.ANTT

More Related Content

PDF
Đồ án Xây dựng hệ thống bảo mật mạng VPN/IPSEC
nataliej4
 
DOCX
Nghiên cứu và triển khai hệ thống ISA Server 2006
Vo Ve Vi Vu
 
PDF
Tấn công Social Engineering
Phạm Trung Đức
 
PDF
Tài liệu về VPN IPSEC - Trển khai VPN có IPsec trên Windows Server
Diệp Trần
 
PPT
Ipv6
khacthang
 
PDF
Đề tài: Xây dựng hệ thống hạ tầng mạng cho doanh nghiệp, HAY
Dịch vụ viết bài trọn gói ZALO: 0909232620
 
DOCX
VoIP-FusionPBX
phamvotuanthanh
 
PDF
Giáo Trình CCNA Full Tiếng Việt
Ngoc Hoang
 
Đồ án Xây dựng hệ thống bảo mật mạng VPN/IPSEC
nataliej4
 
Nghiên cứu và triển khai hệ thống ISA Server 2006
Vo Ve Vi Vu
 
Tấn công Social Engineering
Phạm Trung Đức
 
Tài liệu về VPN IPSEC - Trển khai VPN có IPsec trên Windows Server
Diệp Trần
 
Ipv6
khacthang
 
Đề tài: Xây dựng hệ thống hạ tầng mạng cho doanh nghiệp, HAY
Dịch vụ viết bài trọn gói ZALO: 0909232620
 
VoIP-FusionPBX
phamvotuanthanh
 
Giáo Trình CCNA Full Tiếng Việt
Ngoc Hoang
 

What's hot (20)

PDF
Tìm Hiểu WLAn, Giao Thức Radius, Mikrotik Router
Le Trung Hieu
 
DOC
[123doc.vn] thiet ke mang lan cho truong hoc copy
nenohap
 
PDF
Báo cáo t hiết kế mạng doanh nghiệp
Le Trung Hieu
 
PPTX
Tổng quan về AWS cực hay
Hoa PN Thaycacac
 
PDF
CCNA LAB - Cisco Packet Tracer
LeDinh16
 
DOCX
Kịch bản demo phát hiện xâm nhập sử dụng snort ids
Linh Hoang
 
PDF
[123doc.vn] xay dung he thong mang cho doanh nhiep nho
Nguyễn Quân
 
PDF
Giáo Trình Java Cơ Bản ( Vietnamese)
Đông Lương
 
PPTX
Graylog manhdv v1.5
Mạnh Đinh
 
PDF
Luan van xay_dung_he_thong_mang_lan_cho_truong_dai_hoc
Duc Nguyen
 
PDF
3.1. thiết kế mạng cục bộ
Kun Din
 
DOC
Đề tài: Tìm hiểu và triển khai quản trị mạng trên Ubuntu Server, 9đ - Gửi miễ...
Dịch vụ viết bài trọn gói ZALO: 0909232620
 
PDF
Xây dựng, thiết kế hệ thống mạng cục bộ (Thực tế) 2225926
nataliej4
 
PDF
Đề tài: Hệ thống giám sát mạng dựa trên phần mềm Zabbix, 9đ
Dịch vụ viết bài trọn gói ZALO 0917193864
 
PDF
Cơ sở dữ liệu phân tán - phạm thế quế
Tran Tien
 
PDF
Thiết kế mạng lan cho tòa nhà 3 tầng - luận văn, đồ án, đề tài tốt nghiệp (Đặ...
ThíckThọ Thì ThêThảm
 
PPT
Xây Dựng Mạng LAN
Lại Thanh Tú
 
PPTX
Autopsy.pptx
HongoHuy
 
PDF
Bài giảng kiểm thử xâm nhập PTIT
NguynMinh294
 
DOC
Đề tài: Thiết kế hệ thống mạng máy tính, HAY, 9đ - tải qua zalo=> 0909232620
Dịch vụ viết bài trọn gói ZALO: 0909232620
 
Tìm Hiểu WLAn, Giao Thức Radius, Mikrotik Router
Le Trung Hieu
 
[123doc.vn] thiet ke mang lan cho truong hoc copy
nenohap
 
Báo cáo t hiết kế mạng doanh nghiệp
Le Trung Hieu
 
Tổng quan về AWS cực hay
Hoa PN Thaycacac
 
CCNA LAB - Cisco Packet Tracer
LeDinh16
 
Kịch bản demo phát hiện xâm nhập sử dụng snort ids
Linh Hoang
 
[123doc.vn] xay dung he thong mang cho doanh nhiep nho
Nguyễn Quân
 
Giáo Trình Java Cơ Bản ( Vietnamese)
Đông Lương
 
Graylog manhdv v1.5
Mạnh Đinh
 
Luan van xay_dung_he_thong_mang_lan_cho_truong_dai_hoc
Duc Nguyen
 
3.1. thiết kế mạng cục bộ
Kun Din
 
Đề tài: Tìm hiểu và triển khai quản trị mạng trên Ubuntu Server, 9đ - Gửi miễ...
Dịch vụ viết bài trọn gói ZALO: 0909232620
 
Xây dựng, thiết kế hệ thống mạng cục bộ (Thực tế) 2225926
nataliej4
 
Đề tài: Hệ thống giám sát mạng dựa trên phần mềm Zabbix, 9đ
Dịch vụ viết bài trọn gói ZALO 0917193864
 
Cơ sở dữ liệu phân tán - phạm thế quế
Tran Tien
 
Thiết kế mạng lan cho tòa nhà 3 tầng - luận văn, đồ án, đề tài tốt nghiệp (Đặ...
ThíckThọ Thì ThêThảm
 
Xây Dựng Mạng LAN
Lại Thanh Tú
 
Autopsy.pptx
HongoHuy
 
Bài giảng kiểm thử xâm nhập PTIT
NguynMinh294
 
Đề tài: Thiết kế hệ thống mạng máy tính, HAY, 9đ - tải qua zalo=> 0909232620
Dịch vụ viết bài trọn gói ZALO: 0909232620
 
Ad

Similar to RADIUS - a report project's course at university (20)

PDF
Radius server 1205
Van Cuong Le
 
DOCX
Cấu hình windows server 2008 làm radius server
laonap166
 
DOC
Vpn authenticate via radius srv
Hate To Love
 
DOCX
Cau hoi an ninh internet version 3 (1)
Hiếu Hiếu
 
PPT
Wireless hacking - http://ouo.io/Mqc8L5
phanleson
 
PPTX
Mô hình-osi
Hòa Nguyễn
 
PPT
Voip
guest4ffe73
 
DOCX
Báo cáo tuần 6
nguyenthanhtra236
 
PPT
Ch14
Khôi Nguyễn Xuân
 
PPT
Bai giang mon mang may tinh
Nguyen Minh Chi
 
PDF
Luận văn: Công nghệ mạng riêng ảo di động và khả năng ứng dụng cho mạng di độ...
Viết thuê trọn gói ZALO 0934573149
 
PPT
Network
hieunv1984
 
PPTX
Ipsec_Vietnamese
Anh Nguyễn
 
PDF
Bài 5: Quản trị một mạng an toàn và Bảo mật các mạng không dây - Giáo trình FPT
MasterCode.vn
 
PPT
Bao caototnghiep ve vpn
vanliemtb
 
PPTX
CHƯƠNG-1-TỔNG-QUAN-VỀ-MẠNG-VÀ-TRUYỀN-THÔNG.pptx
DuyThien7
 
PPTX
Unit 7 getting connected vn
HG Rồng Con
 
PDF
giai-phap-an-ninh-trong-kien-truc-quan-tri-mang-snmp
Pham Huynh
 
PDF
Diameter trong ims
Hung413793
 
PDF
Mạng máy tính slide giảng dạy năm 2024 đầy đủ
22h1120044
 
Radius server 1205
Van Cuong Le
 
Cấu hình windows server 2008 làm radius server
laonap166
 
Vpn authenticate via radius srv
Hate To Love
 
Cau hoi an ninh internet version 3 (1)
Hiếu Hiếu
 
Wireless hacking - http://ouo.io/Mqc8L5
phanleson
 
Mô hình-osi
Hòa Nguyễn
 
Voip
guest4ffe73
 
Báo cáo tuần 6
nguyenthanhtra236
 
Ch14
Khôi Nguyễn Xuân
 
Bai giang mon mang may tinh
Nguyen Minh Chi
 
Luận văn: Công nghệ mạng riêng ảo di động và khả năng ứng dụng cho mạng di độ...
Viết thuê trọn gói ZALO 0934573149
 
Network
hieunv1984
 
Ipsec_Vietnamese
Anh Nguyễn
 
Bài 5: Quản trị một mạng an toàn và Bảo mật các mạng không dây - Giáo trình FPT
MasterCode.vn
 
Bao caototnghiep ve vpn
vanliemtb
 
CHƯƠNG-1-TỔNG-QUAN-VỀ-MẠNG-VÀ-TRUYỀN-THÔNG.pptx
DuyThien7
 
Unit 7 getting connected vn
HG Rồng Con
 
giai-phap-an-ninh-trong-kien-truc-quan-tri-mang-snmp
Pham Huynh
 
Diameter trong ims
Hung413793
 
Mạng máy tính slide giảng dạy năm 2024 đầy đủ
22h1120044
 
Ad

RADIUS - a report project's course at university

  • 1. TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN KHOA MẠNG MÁY TÍNH VÀ TRUYỀN THÔNG ——————– * ——————— BÁO CÁO Môn Mật mã học Đề tài: Remote Authentication Dial-In User Service (RADIUS) Lớp NT119.I21.ANTT Nhóm SV thực hiện : 15520417 - Đoàn Văn Liêm 15520594 - Phạm Minh Nhựt 15520711 - Phan Văn Quyết 15520599 - Trần Cao Pháp 15520967 - Lê Hoàng Tuấn Giảng viên : ThS. Trần Tuấn Dũng Tp.Hồ Chí Minh - Tháng 05 năm 2018
  • 2. Mục lục 2 Mục lục 1 Giới thiệu 3 2 Lịch sử 3 3 AAA là gì? 4 4 Tại sao RADIUS lại hoạt động trên UDP mà không phải là TCP? 4 5 Ứng dụng và vị trí của RADIUS trong mô hình mạng 5 5.1 Ứng dụng của RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 5.2 Vị trí của RADIUS trong mô hình mạng . . . . . . . . . . . . . . . . . . . . . 5 6 RADIUS khác gì với các giao thức directory services khác 6 7 Cơ chế hoạt động của RADIUS 7 8 Cấu trúc một gói tin RADIUS 8 9 Bảo mật trong RADIUS 9 9.1 Cách mã hóa mật khẩu người dùng . . . . . . . . . . . . . . . . . . . . . . . . 9 9.2 Vấn đề bảo mật trong RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . 10 9.3 Các giải pháp khắc phục vấn đề bảo mật của RADIUS . . . . . . . . . . . . . 11 10 Hiện thực RADIUS chứng thực cho dịch vụ VPN 11 11 Tài liệu tham khảo 12 Nhóm 8 NT119.I21.ANTT
  • 3. 2 Lịch sử 3 1 Giới thiệu Remote Authentication Dial In User Service (RADIUS) được định nghĩa trong RFC 2865 - 2866, là một giao thức mạng hoạt động trên cổng 1812 (dùng cho Authentication và Autho- rization), cung cấp việc quản lý một cách tập trung hoạt động chứng thực, cấp quyền và điều khiển truy cập (AAA = Authentication + Authorization + Accounting) đối với người dùng kết nối và sử dụng dịch vụ mạng. RADIUS ban đầu được phát triển bởi công ty Livingston Enter- prises, Inc. năm 1991 với vai trò là giao thức chứng thực và điều khiển truy cập máy chủ, sau này trở thành tiêu chuẩn của Internet Engineering Task Force (IETF). RADIUS là giao thức theo dạng Client / Server hoạt động trên tầng ứng dụng và có thể sử dụng TCP hoặc UDP để truyền dữ liệu (chỉ khi RADIUS kết hợp với TLS mới sử dụng TCP, đơn thuần nó sẽ sử dụng UDP). Các Network Access Server (NAS) hoặc các gateway kiểm soát truy cập vào mạng thường cài đặt RADIUS client để giao tiếp với RADIUS server. Ban đầu RADIUS được phát triển cho việc thiết lập các kết nối từ xa, hiện nay nó hỗ trợ được cho nhiều dịch vụ như VPN 1 , các Wireless access point, DSL,... [5] 2 Lịch sử Năm 1991, Merit Network, một nhà cung cấp dịch vụ internet phi lợi nhuận, yêu cầu một cách sáng tạo để quản lý truy cập dial-in đến nhiều điểm khác nhau (POP) 2 trên mạng của mình. Để đáp ứng nhu cầu này, RADIUS được tạo ra bởi Livingston Enterprises. Vào thời điểm RADIUS được tạo ra, các hệ thống truy cập mạng được phân phối trên một diện rộng và được điều hành bởi nhiều tổ chức độc lập. Các quản trị viên trung tâm muốn ngăn chặn các vấn đề về bảo mật và khả năng mở rộng, và do đó không muốn phân phối tên người dùng và mật khẩu; thay vào đó, họ muốn các máy chủ truy cập từ xa liên hệ với một máy chủ trung tâm để cho phép truy cập vào hệ thống hoặc dịch vụ được yêu cầu. Để trả lời liên hệ từ máy chủ truy cập từ xa, máy chủ trung tâm sẽ trả về thông báo “thành công” hoặc “lỗi” và các máy từ xa sẽ chịu trách nhiệm thực thi phản hồi này cho mỗi người dùng cuối. Vì vậy, mục tiêu của RADIUS là tạo ra một vị trí trung tâm cho việc xác thực người dùng, trong đó người dùng từ nhiều địa điểm có thể yêu cầu truy cập mạng. Sự đơn giản, hiệu quả và khả năng sử dụng của hệ thống RADIUS dẫn đến việc các nhà cung cấp thiết bị mạng được chấp nhận rộng rãi, trong phạm vi hiện tại, RADIUS được coi là tiêu 1 Virtual Private Network (VPN) là mạng dành riêng để kết nối các máy tính của các công ty, tập đoàn hay tổ chức với nhau thông qua mạng Internet, đây là một công nghệ mạng giúp tạo kết nối mạng an toàn khi tham gia vào mạng công cộng như Internet hoặc mạng riêng do một nhà cung cấp dịch vụ sở hữu. 2 Point Of Presence (POP) là điểm thể hiện của một tổ chức nào đó mà ở đó nó cho phép khách hàng của họ truy cập vào vùng mạng nội bộ. Nhóm 8 NT119.I21.ANTT
  • 4. 4 Tại sao RADIUS lại hoạt động trên UDP mà không phải là TCP? 4 chuẩn công nghiệp và cũng được định vị để trở thành một tiêu chuẩn kỹ thuật Internet (IETF). Quá trình hình thành định nghĩa RADIUS như sau: • Giao thức Radius được định nghĩa đầu tiên trong RFC 2058 vào tháng 1 năm 1997 • Cũng trong năm 1997 Radius accounting đã được giới thiệu trong RFC 2059 • Sau đó vào tháng 4 năm 1997 nhiều bản RFC đã được thay thế bởi RFC 2138 và RFC 2139 • Sau đó vào tháng 6 năm 2000 RFC 2865 đã chuẩn hóa Radius và thay thế cho RFC 2138 • Cùng thời gian đó RFC 2866 accounting cũng đã thay thế cho RFC 2139 3 AAA là gì? AAA là viết tắt của 3 từ: Authentication, Authorization và Accounting: • Authentication cung cấp tính chứng thực, tức là nó sẽ trả lời cho câu hỏi “bạn là ai?” (ví dụ username, password, email, ....). Khi user gửi username lên thì RADIUS sẽ cho biết username đó hợp lệ hay không? Mật khẩu người dùng nhập vào có khớp không? • Authorization cung cấp tính phân quyền cho các users, tức là authorization sẽ trả lời cho câu hỏi “bạn có quyền gì?” (ví dụ như được truy cập - accept, từ chối - reject,..). • Accounting cung cấp khả năng giám sát truy cập, tức là theo dõi tài nguyên mạng tiêu thụ bởi người dùng. Các thông tin được thu thập bao gồm thời gian sử dụng hệ thống hoặc lượng dữ liệu đã gửi/nhận của người dùng trong một phiên. 4 Tại sao RADIUS lại hoạt động trên UDP mà không phải là TCP? RADIUS thông thường chỉ hoạt động trên UDP thay vì TCP vì một số lí do sau: • Người dùng cần xác thực một cách nhanh hơn. • Mang đến một tốc độ phản hồi nhanh hơn do không cần thiết lập kết nối đặc biệt như TCP. Nhóm 8 NT119.I21.ANTT
  • 5. 5 Ứng dụng và vị trí của RADIUS trong mô hình mạng 5 • Giao thức phi trạng thái (stateless protocol) 3 . • Dễ dàng triển khai máy chủ đa luồng để phục vụ nhiều yêu cầu của client. 5 Ứng dụng và vị trí của RADIUS trong mô hình mạng 5.1 Ứng dụng của RADIUS RADIUS cung cấp khả năng xác thực tập trung, cấp phép và tính toán truy cập (Authenti- cation, Authorization, và Accountting – AAA) cho các phiên làm việc – như việc cung cấp xác thực của các nhà cung cấp dịch vụ Internet (ISP) đều dựa trên giao thức này để xác thực người dùng khi họ truy cập Internet, hỗ trợ cho máy chủ VPN, các điểm truy cập không dây, chứng thực chuyển mạch internet, truy cập DSL, và các loại truy cập mạng khác. Nó cần thiết trong tất cả các Network Access Server (NAS) để làm việc với danh sách các username và password cho việc cấp phép, RADIUS Access-Request sẽ chuyển các thông tin tới một Authentication Server, thông thường nó là một AAA Server (AAA – Authentication, Authoriztion, và Accounting). Trong kiến trúc của hệ thống nó tạo ra khả năng tập trung các dữ liệu thông tin của người dùng, các điều kiện truy cập trên một điểm duy nhất (single point), trong khi có khả năng cung cấp cho một hệ thống lớn, cung cấp giải pháp NASs 5.2 Vị trí của RADIUS trong mô hình mạng Ta quan sát mô hình mạng trong hình 1. Hình 1: Mô hình mạng có sử dụng RADIUS Trong mô hình trên RADIUS đóng vai trò chứng thực các user cho NAS, các user sẽ được 3 Stateless protocol là giao thức truyền thông mà ở đó không có bất kì thông tin nào được lưu giữ lại giữa người gửi và người nhận Nhóm 8 NT119.I21.ANTT
  • 6. 6 RADIUS khác gì với các giao thức directory services khác 6 lấy từ một user database như LDAP 4 . Nên RADIUS sẽ đứng giữa NAS và user database. Quan sát thêm một mô hình khác tại hình 2. Hình 2: Mô hình mạng có sử dụng RADIUS đóng vai trò như một proxy Trong mô hình này thì RADIUS có thể được sử dụng như một proxy server chuyển tiếp cho các RADIUS khác. 6 RADIUS khác gì với các giao thức directory services khác Trong phần này sẽ lấy một dịch vụ directory cụ thể là LDAP để so sánh. Cả LDAP và RADIUS đều thực hiện cùng nhiệm vụ là chứng thực và cấp quyền cho các users. Nhưng chúng có sự khác biệt như sau: • LDAP không cung cấp một cơ chế truyền bảo mật nào giữa client và server. Tuy nhiên, thông qua TLS (Transport Layer Security) LDAP có thể mã hóa phiên trao đổi giữa client và server. Tuy nhiên LDAP không hỗ trợ Accounting một cách trực tiếp, mà phải thông qua một số giao thức bổ sung như Syslog. • RADIUS hoạt động như một dịch vụ trung gian và chỉ chuyên xử lí AAA. Nó có thể liên kết với các dịch vụ directory khác, server khác hoặc trên chính nó để chứng thực và cấp quyền cho các users (tức là nó sử dụng directory khác để lưu trữ thông tin user hoặc lưu trên chính nó). Về vấn đề bảo mật, RADIUS chỉ mã hóa mật khẩu, còn các dữ liệu khác thì không, nó gây ra một số nguy cơ về bảo mật, tuy nhiên đã có những giải pháp để giảm thiểu các nguy cơ. Cách thức hoạt động của hai giao thức cũng khác nhau, và từ đó hiệu suất cũng khác nhau, cụ thể: 4 Lightweight Directory Access Protocol (LDAP) là một giao thức ứng dụng truy cập các cấu trúc thư mục, cấu trúc thư mục ở đây có thể là danh bạ điện thoại hoặc group/user được phân thành nhiều cấp bậc Nhóm 8 NT119.I21.ANTT
  • 7. 7 Cơ chế hoạt động của RADIUS 7 • LDAP hoạt động trên TCP, giúp cho kết nối được đảm bảo. Tuy nhiên chi phí sẽ cao hơn và thường có nhiều yêu cầu giao dịch hơn giữa client và server. • RADIUS hoạt động trên UDP, nên sẽ đem đến tốc độ cao hơn, nhưng sẽ có rủi ro với các gói tin. RADIUS linh hoạt và đơn giản hơn so LDAP, từ đó nó đem đến khả năng xác thực và cấp quyền nhanh chóng hơn. 7 Cơ chế hoạt động của RADIUS Quá trình chứng thực được thể hiện như hình 3. Hình 3: Mô tả cơ chế hoạt động của phiên chứng thực RADIUS • Khi một client được cấu hình để sử dụng RADIUS thì bất kỳ user nào của client đều có những thông tin dùng để xác nhận quyền với máy client. Đó có thể là username hoặc password. Máy client khi nhận thông tin này có thể dùng RADIUS để xác nhận quyền. • Client sẽ tạo gói tin Access-Request (yêu cầu truy cập) chứa thuộc tính cần thiết: mật khẩu user, ID của client và ID port mà user sẽ truy cập. Mật khẩu khi nhập sẽ được làm rối (bằng hàm băm MD5 và khoá bí mật chia sẻ). • Access-Request sẽ được gửi cho máy chủ RADIUS thông qua mạng. Nếu máy chủ không trả lời trong thời gian quy ước thì yêu cầu sẽ được gửi lại. Client có thể chuyển tiếp yêu cầu đó cho các server dự phòng trong trường hợp server chính bị tắt. • Máy chủ nhận gói Access-Request và xác minh rằng máy chủ sở hữu một khoá bí mật chia sẻ cho client. Nhóm 8 NT119.I21.ANTT
  • 8. 8 Cấu trúc một gói tin RADIUS 8 Nếu máy chủ không có khoá bí mật chia sẻ cho máy khách, yêu cầu sẽ bị bỏ đi mà không thông báo. Nếu mật khẩu hợp lệ, máy chủ sẽ phản hồi bằng gói Access-Accept cho máy khách. Nếu mật khẩu không hợp lệ, máy chủ sẽ phản hồi gói Access-Reject. Nếu mật khẩu hợp lệ mà RADIUS server còn muốn đưa ra yêu cầu đòi hỏi user trả lời, server sẽ tạo gói tin Access-Challenge (thử thách truy cập). Client nếu nhận Access-Challenge sẽ hiển thị thông báo yêu cầu user trả lời. Sau đó client sẽ gửi lại Access-Request với id yêu cầu mới, nhưng thuộc tính username-password được lấy từ thông tin mới và kèm luôn trạng thái từ Access-Challenge. Server có thể trả lời bằng Access-Accept hoặc Access-Reject khác. • Cuối cùng client sẽ thông báo cho thiết bị biết việc truy cập là thành công hay thất bại 8 Cấu trúc một gói tin RADIUS Định dạng của một gói tin RADIUS được mô tả trong hình 4. Hình 4: Định dạng của một gói tin RADIUS Các trường được truyền từ trái sang phải, bắt đầu từ phần Code, phần mã định danh (Packet Indentifier), độ dài (Length), trình chứng thực (Authenticator) và các thuộc tính (AVPs): • RADIUS Code (dạng số thập phân) được gán như bảng 1. • Trường định danh (Packet Indentifier) là một giá trị octet cho phép RADIUS client tìm ra phản hồi khớp với yêu cầu đã phát sinh. • Trường độ dài (Length) chứa độ dài của gói tin RADIUS. • Trường xác thực (Authenticator) được sử dụng để xác thực phản hồi từ máy chủ RA- DIUS và được sử dụng để mã hóa mật khẩu; kích thước của nó là 16 byte. Nhóm 8 NT119.I21.ANTT
  • 9. 9 Bảo mật trong RADIUS 9 Giá trị Mô tả 1 Access-Request 2 Access-Accept 3 Access-Reject 4 Accounting-Request 5 Accounting-Response 11 Access-Challenge 12 Status-Server (thử nghiệm) 13 Status-Client (thử nghiệm) 41 Disconnect-ACK 42 Disconnect-NAK 43 CoA-Request 44 CoA-ACK 45 CoA-NAK 255 Dành riêng Bảng 1: Bảng mô tả RADIUS Code • Trường thuộc tính (AVPs): bao gồm các cặp giá trị thuộc tính chứa dữ liệu trong cả gói yêu cầu và gói phản hồi dùng cho mục đính chứng thực, cấp quyền và giám sát như là thuộc tính User-Name và thuộc tính User-Password. Độ dài của gói tin RADIUS được sử dụng để xác định sự kết thúc của các AVP. Cấu trúc của một AVP được mô tả trong hình 5. Hình 5: Cấu trúc của cặp giá trị thuộc tính (AVP - Attribute Value Pair) RADIUS 9 Bảo mật trong RADIUS 9.1 Cách mã hóa mật khẩu người dùng - Đầu tiên mật khẩu sẽ được lắp đầy bởi kí tự NULL sao cho độ dài là bội của 16 bytes. Chia đoạn mật khẩu ra thành các đoạn, mỗi đoạn là 16 bytes: p1, p2,... - Gọi: S là “thông tin bí mật chung” (shared secret) giữa NAS và RADIUS server. Nhóm 8 NT119.I21.ANTT
  • 10. 9 Bảo mật trong RADIUS 10 RA là giá trị của trường Request Authenticator 128 bit. b1, b2,...là các giá trị trung gian. c1, c2,...là các chuỗi mật mã dạng văn bản. Quá trình tạo nên các chuỗi mã hóa như sau: b1 = MD5(S + RA) c1 = p1 ⊕ b1 b2 = MD5(S + c1) c2 = p2 ⊕ b2 . . . . . . bi = MD5(S + ci−1) ci = pi ⊕ bi (dấu + được hiểu như phép nối chuỗi) • Giá trị b1 sẽ được tính bằng cách băm MD5 chuỗi S với RA. • Giá trị chuỗi băm (b1) sẽ được XOR với đoạn 16 bytes đầu tiên của mật khẩu (p1). Kết quả XOR này được gọi là c1. • Nếu chưa hết đoạn mật khẩu thì giá trị b2 tiếp theo sẽ được tính bằng cách băm MD5 chuỗi S với chuỗi kết quả XOR trước đó là c1. • Giá trị c2 được tính bằng cách lấy b2 XOR với đoạn 16 bytes tiếp theo của mật khẩu (p2). • Quá trình tiếp theo sẽ tiếp diễn tương tự đến khi hết các đoạn được chia của mật khẩu (tối đa 128 kí tự) → Chuỗi c1 + c2 + . . . được nối với nhau và được đưa vào AVP với Type là 2 (User- Password). 9.2 Vấn đề bảo mật trong RADIUS Giao thức RADIUS có một số vấn đề thú vị phát sinh từ thiết kế của nó. Các đặc điểm thiết kế và chính sách dường như chịu trách nhiệm chính về các vấn đề bảo mật như sau: • Kỹ thuật bảo vệ mật khẩu người dùng là thiếu sót trong nhiều cách. Không nên sử dụng một mã hoá dòng và không nên sử dụng hàm băm MD5 để kiểm tra tính nguyên thủy của bản mã. • Trình xác thực phản hồi (Respond Authenticator) là ý tưởng tốt, nhưng được cài đặt kém. • Gói Access-Request không được xác thực. Nhóm 8 NT119.I21.ANTT
  • 11. 10 Hiện thực RADIUS chứng thực cho dịch vụ VPN 11 • Nhiều cài đặt phía client tạo Trình xác thực yêu cầu (Request Authenticators) không đủ ngẫu nhiên. • Nhiều quản trị viên chọn khoá bí mật chia sẻ cho RADIUS không có đủ entropy thông tin. Nhiều cài đặt ở máy khách và máy chủ giới hạn không gian khóa bí mật chia sẻ. 9.3 Các giải pháp khắc phục vấn đề bảo mật của RADIUS Ta có thể sử dụng các biện pháp bảo vệ bổ sung, như IPSec 5 hoặc mạng dữ liệu tập trung an toàn vật lý, được sử dụng để bảo vệ dữ liệu RADIUS giữa các thiết bị NAS và máy chủ RADIUS. Ngoài ra, thông tin xác thực của người dùng là phần duy nhất được bảo vệ bởi chính RADIUS, tuy rằng các thuộc tính chỉ định người dùng khác như ID của nhóm phân luồng hoặc thành viên vlan được truyền qua RADIUS có thể được coi là thông tin nhạy cảm (hữu ích cho kẻ tấn công) hoặc riêng tư (đủ để định dang từng khách hàng). Giao thức RadSec 6 được xem là giải pháp cho các vấn đề bảo mật nói trên. 10 Hiện thực RADIUS chứng thực cho dịch vụ VPN Phần này sẽ hiện mô hình sử dụng RADIUS chứng thực cho các dịch vụ VPN. Môi trường thực hiện Chúng ta sẽ cần đến 3 máy ảo như sau: • RADIUS server: sử dụng Windows server 2012 làm máy chủ RADIUS và User database. • VPN server (đồng thời cũng đóng vai trò RADIUS client): Windows server 2012. • User device: sử dụng máy Windows 7 để làm VPN client kết nối vào VPN Server. Mô hình thực hiện như hình 6. Trước khi thực hiện thì ta cần cài đặt các package cần thiết: • Trên máy RADIUS Server, chúng ta cần nâng cấp lên Domain Controller và cài đặt Net- work Policy and Access Services (gói này có sẵn trong Windows Server 2012, chỉ cần 5 IPsec (IP security) bao gồm một hệ thống các giao thức để bảo mật quá trình truyền thông tin trên nền tảng Internet Protocol (IP), xem thêm tại: https://en.wikipedia.org/wiki/IPsec 6 RadSec là giao thức cho phép RADIUS truyền gói tin trên TCP và TLS, xem thêm tại: https://en. wikipedia.org/wiki/RadSec Nhóm 8 NT119.I21.ANTT
  • 12. Tài liệu 12 Hình 6: Mô hình hiện thực RADIUS chứng thực VPN cho RADIUS kích hoạt lên bằng cách vào Server Manager → Add roles and features, và chọn Net- work Policy and Access Services để cài) • Trên máy RADIUS Client (VPN Server), không join vào domain và thực hiện cài đặt Remote Access (cũng có sẵn trong Windows Server 2012) Quá trình cấu hình được quay lại video và upload lên youtube tại địa chỉ: https:// youtu.be/ebcguRnbUUY 11 Tài liệu tham khảo Tài liệu [1] C. Rubens - A. Simpson - S. Willens C. Rigney. RFC 2865 - Remote Authentication Dial In User Service (RADIUS). June 2000. URL: https://tools.ietf.org/html/ rfc2865. [2] Ben Herrmann. Understanding When to Use LDAP or RADIUS for Centralized Authenti- cation. URL: https://cdn.selinc.com/assets/Literature/Publications/ Application%20Notes/AN2015-08_20150817.pdf?v=20150916-130419. [3] Joshua Hill. An Analysis of the RADIUS Authentication Protocol. URL: http://www. untruth.org/~josh/security/radius/radius-auth.html. [4] NetworkRadius. The RADIUS Protocol. URL: http://networkradius.com/doc/ 3.0.10/introduction/RADIUS.html. Nhóm 8 NT119.I21.ANTT
  • 13. Tài liệu 13 [5] Wikipedia. RADIUS. URL: https://en.wikipedia.org/wiki/RADIUS. Nhóm 8 NT119.I21.ANTT