RADIUS: Autentizace, autorizace a účtování

Po úspěšné autentizaci uživatele může proběhnout jeho autorizace pro užívání konkrétních síťových prostředk


Po úspěšné autentizaci uživatele může proběhnout jeho autorizace pro užívání
konkrétních síťových prostředků a služeb. Autorizace specifikuje, jaké operace
mohou uživatelé v systému provádět a jaká data jsou pro ně dostupná. Poslední
složkou řízení přístupu je účtování, které zodpovídá za záznam všech činností
prováděných v systému uživatelem. Všechny tři složky dohromady tvoří
architekturu AAA (Authentication, Authorization and Accounting).
Pro řešení AAA se nejčastěji používá RADIUS (Remote Authentication Dial-In User
Service, RFC 2865), který zodpovídá za řízení přístupu do sítě. RADIUS pracuje
na principu klient-server, kde klienty jsou přístupové servery (NAS, Network
Access Server). Protokol komunikace mezi servery a klienty využívá transportní
protokol UDP. Transakce mezi RADIUS serverem a klienty se autentizují
prostřednictvím sdíleného hesla (secret), které se nikdy nepřenáší v síti v
otevřené podobě. Typická komunikace při použití RADIUS probíhá následovně (viz
obrázek):
n Vzdálený uživatel naváže spojení se serverem NAS (může jím být také přepínač
nebo bezdrátový přístupový bod), který od uživatele požaduje jméno a heslo.
n Na základě obdržení jména a hesla uživatele vyšle NAS serveru RADIUS žádost
RADIUS ACCESS_REQUEST. Komunikace může probíhat přes lokální nebo rozlehlou
síť, a pokud daný server neodpovídá, může se využít alternativní RADIUS server.
n Server RADIUS ověří požadavek (pokud zná uživatele podle jména a hesla) a
správnost uživatelského jména a hesla na základě výzvy, na niž očekává správně
zašifrovanou odpověď od klienta. Poté odpoví zprávou obsahující povolení/zákaz
přístupu pro daného klienta do sítě, RADIUS ACCESS_ACCEPT/DENY.
Server RADIUS je typicky samostatné zařízení, které slouží v rámci
autentizačního mechanismu celé podnikové sítě. Ovšem v případě, kdy
autentizační server v síti není, lze pro funkci RADIUS nakonfigurovat i
přístupový bod. Nicméně centralizovaný management přístupových údajů je z
bezpečnostních důvodů rozhodně vhodnější, protože přístupový bod je snadněji
dostupný pro potenciální útočníky. Způsob ukládání údajů pro autentizaci v
lokální databázi není předepsán a záleží na implementaci a na podporované
ověřovací metodě. Většina serverů obsahuje více modulů, a podporuje tak různé
autentizační mechanismy. Podle toho se pak liší způsob uložení tajného hesla.
RADIUS a jeho slabiny
Útoky na RADIUS a jeho prostřednictvím na Wi-Fi jsou dostatečně známé (útok na
identifikační údaje uživatelů hrubou silou, odmítnutí služby, včlenění
falešných paketů, opakování relace či slovníkový útok na sdílený secret) a jsou
proveditelné bez ohledu na sílu použitého zabezpečovacího mechanismu (včetně
802.11i). Jednou z možností je využít tzv. ARP (viz rámeček) poisoning, při
němž útočník sleduje provoz mezi přístupovým bodem a serverem. Útočník (typicky
prostřednictvím neautorizovaného AP) může zneužít protokol ARP a poslat zprávu
ARP takovou, kde IP adresu autorizovaného zařízení (přístupového bodu nebo
směrovače) sváže s vlastní MAC adresou. Stanice si podle této informace
"aktualizují" svoji cache a místo s autorizovaným AP rázem komunikují s
falešným. Prostřednictvím ARP poisoning se útočník může dostat k heslu RADIUS,
pokud není dostatečně silné, a následně zaútočit na síť s cílem získat
šifrovací klíč. Vybrané oběti se vyšle deautentizační paket, a jakmile se
klient chce znovu autentizovat, musí přístupový bod vyslat požadavek na RADIUS
server, který na základě ověření klienta vyšle zašifrovaný klíč zpět
přístupovému bodu. K odhalení sdíleného klíče použije útočník slovníkový útok.
Jakmile se mu podaří tento klíč získat, může dešifrovat veškerý provoz v
bezdrátové síti, a to bez ohledu na metodu autentizace EAP nebo použitý
šifrovací mechanismus. Útok na RADIUS není nijak zvlášť obtížný, je otázkou
hodin, a na útočníky znalé věci neklade žádné speciální nároky. Jedná se
vlastně o útok na bezdrátovou síť prostřednictvím pevné sítě, protože RADIUS
server je připojený k pevné LAN.
Obranou proti útoku na secret je používat velmi složitá hesla pro RADIUS o
minimální délce 16 znaků a také používat různá hesla pro jednotlivé klienty
RADIUS. Lze také využít šifrování IPSec (Internet Protocol Security) mezi
RADIUS serverem a přístupovým bodem. IPSec někteří kvůli možnému snížení
výkonnosti přístupového bodu zavrhují. To ale většinou nehrozí, protože
transakce RADIUS nejsou tak časté, aby byl dopad na práci přístupového bodu
příliš významný. Nebezpečí lze také zamezit vyčleněním přístupovém bodu pro
management na portu a ten provádět odděleně od datového provozu. Specifickým
možným řešením ve Wi-Fi je pak centralizovaný management klíčů, kdy se typicky
neprovádí šifrování na přístupovém bodu, ale na centrálním přepínači (tato
řešení jsou firemní). Komunikace mezi přepínačem a RADIUS serverem se totiž
chápe jako lépe zabezpečená než běžná komunikace datová.
Autorka je nezávislá specialistka v oblasti propojování komunikačních sítí a
školitelka. Napsala řadu publikací, mimo jiné i Bezpečnost bezdrátové
komunikace (ISBN 80-251-0791-4).(pat) 6 1449Co je ARP
ARP (Address Resolution Protocol) je protokol pro mapování cílových IP adres na
MAC adresy, které odesilatel potřebuje pro zapouzdření paketu do rámce určeného
cílové stanici. Pokud není informace o cílové MAC adrese v ARP cache
odesilatele, musí si nejprve cílovou MAC zjistit. Vyšle proto všem na síti
dotaz (ARP broadcast), kde specifikuje cílovou IP adresu. Očekává jako odpověď
MAC adresu cílové stanice s danou IP adresou (nebo MAC směrovače na cestě k
cílové stanici). Tuto informaci si odesilatel zapíše do své ARP cache a použije
pro zapouzdření rámce pro cílovou stanici. Obsah ARP cache se průběžně
aktualizuje.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.