Một phân tích của Nghị định thư RADIUS xác thực
1. Giới thiệu
RADIUS là một giao thức được sử dụng rộng rãi trong môi trường mạng. Nó thường được sử dụng cho các thiết bị mạng nhúng như router, máy chủ modem, switch, vv Nó được sử dụng vì nhiều lý do:
Các hệ thống nhúng thường không thể đối phó với một số lượng lớn người dùng với thông tin xác thực khác nhau. Điều này đòi hỏi lưu trữ nhiều hơn so với nhiều hệ thống nhúng có.
RADIUS tạo điều kiện cho chính quyền trung người sử dụng, đó là quan trọng đối với một số các ứng dụng. Nhiều ISP có hàng chục ngàn, hàng trăm ngàn, thậm chí hàng triệu người sử dụng. Người dùng được thêm vào và xóa liên tục trong ngày, và thay đổi các thông tin xác thực người sử dụng liên tục. quản trị tập trung của người dùng trong thiết lập này là một yêu cầu hoạt động.
RADIUS luôn cung cấp một số mức độ bảo vệ chống lại một đánh hơi, kẻ tấn công chủ động. giao thức xác thực từ xa khác cung cấp bảo vệ hoặc không liên tục, bảo vệ không đầy đủ hoặc bảo vệ không tồn tại. cạnh tranh chính của RADIUS để xác thực từ xa là TACACS + và LDAP. LDAP nguyên bản không cung cấp bảo vệ chống lại ngửi, những kẻ tấn công chủ động. TACACS + là một cách tinh vi thiếu sót, như được thảo luận bởi thiết kế năng lượng mặt trời trong tư vấn của mình.
hỗ trợ RADIUS là gần omni-nay. giao thức xác thực từ xa khác không có sự hỗ trợ phù hợp từ nhà cung cấp phần cứng, trong khi RADIUS được hỗ trợ thống nhất. Bởi vì những nền tảng mà trên đó RADIUS được thực hiện trên thường được các hệ thống nhúng, có rất ít cơ hội để hỗ trợ các giao thức bổ sung. Bất kỳ thay đổi đối với giao thức RADIUS sẽ phải có ít nhất tối thiểu tương thích với (chưa sửa đổi) các máy khách RADIUS tồn tại từ trước và máy chủ.
RADIUS hiện tại là chuẩn de-facto để xác thực từ xa. Nó là rất phổ biến ở cả hai hệ thống mới và di sản.
1.1 Khả năng áp dụng
Phân tích này giao dịch với một số đặc điểm của giao thức cơ sở RADIUS và các thuộc tính User-Password. Tùy thuộc vào phương thức xác thực được sử dụng, mô tả điểm yếu User-Password có thể hoặc có thể không ảnh hưởng đến an ninh của chương trình xác thực cơ bản. Một thỏa hiệp hoàn chỉnh các thuộc tính người dùng Mật khẩu sẽ dẫn đến sự thỏa hiệp hoàn toàn vào Username / Password, chứng thực PAP chương trình bình thường, bởi vì cả hai hệ thống bao gồm các thông tin xác thực khác không được bảo vệ trong các thuộc tính User-Password. Mặt khác khi một / hệ thống ứng phó thách thức đang được sử dụng, một sự thỏa hiệp hoàn chỉnh các thuộc tính người dùng Mật khẩu sẽ chỉ tiếp xúc với các thách thức tiềm ẩn / Response thông tin để tấn công thêm, mà có thể hoặc không có thể dẫn đến một sự thỏa hiệp hoàn toàn của các hệ thống xác thực , tùy thuộc vào sức mạnh của các hệ thống xác thực cơ bản.
Phân tích này không bao gồm các chức năng kế toán các giao thức RADIUS (mà là, tình cờ, cũng là thiếu sót, nhưng thường không vận chuyển thông tin đó phải được giữ bí mật).
2 Nghị định thư Tóm tắt
Một bản tóm tắt của các gói tin RADIUS bên dưới (RFC):
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+ - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - +
| Mã | định danh | Chiều dài |
+ - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - +
| |
| Authenticator |
| |
| |
+ - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - +
| Thuộc tính ...
+ - + - + - + - + - + - + - + - + - + - + - + - + -
Mã này quy định các loại gói tin RADIUS. Các mã là:
giá trị Mô tả
1 Access-Request
2 Access-Accept
3 Access-Reject
4 Kế toán-Yêu cầu
5 Kế toán-đáp
11 Access-Challenge
12 Status-Server (thử nghiệm)
13 Status-Client (thử nghiệm)
255 reserved
Từ định danh là một giá trị một octet cho phép máy khách RADIUS để phù hợp với một phản ứng RADIUS với yêu cầu xuất sắc chính xác.
Phần thuộc tính là nơi mà một số tùy ý các trường thuộc tính được lưu trữ. Các thuộc tính cần thiết chỉ cho cuộc thảo luận này là các thuộc tính tài-Name và User-Password.
Mô tả này sẽ tập trung vào những loại phổ biến nhất của RADIUS trao đổi: Một Access-Request liên quan đến một tên người dùng và mật khẩu người dùng, sau đó hoặc là một Access-Accept, Access-Reject hoặc một thất bại. Tôi sẽ đề cập đến hai người tham gia trong giao thức này là các máy khách và máy chủ. Các khách hàng là thực thể mà có thông tin xác thực rằng nó muốn để xác nhận. Các máy chủ là thực thể có quyền truy cập vào một cơ sở dữ liệu thông tin xác thực rằng nó có thể sử dụng để xác nhận yêu cầu chứng thực của khách hàng.
http://www.untruth.org/~josh/security/radius/radius-auth.html
RADIUS là một giao thức được sử dụng rộng rãi trong môi trường mạng. Nó thường được sử dụng cho các thiết bị mạng nhúng như router, máy chủ modem, switch, vv Nó được sử dụng vì nhiều lý do:
Các hệ thống nhúng thường không thể đối phó với một số lượng lớn người dùng với thông tin xác thực khác nhau. Điều này đòi hỏi lưu trữ nhiều hơn so với nhiều hệ thống nhúng có.
RADIUS tạo điều kiện cho chính quyền trung người sử dụng, đó là quan trọng đối với một số các ứng dụng. Nhiều ISP có hàng chục ngàn, hàng trăm ngàn, thậm chí hàng triệu người sử dụng. Người dùng được thêm vào và xóa liên tục trong ngày, và thay đổi các thông tin xác thực người sử dụng liên tục. quản trị tập trung của người dùng trong thiết lập này là một yêu cầu hoạt động.
RADIUS luôn cung cấp một số mức độ bảo vệ chống lại một đánh hơi, kẻ tấn công chủ động. giao thức xác thực từ xa khác cung cấp bảo vệ hoặc không liên tục, bảo vệ không đầy đủ hoặc bảo vệ không tồn tại. cạnh tranh chính của RADIUS để xác thực từ xa là TACACS + và LDAP. LDAP nguyên bản không cung cấp bảo vệ chống lại ngửi, những kẻ tấn công chủ động. TACACS + là một cách tinh vi thiếu sót, như được thảo luận bởi thiết kế năng lượng mặt trời trong tư vấn của mình.
hỗ trợ RADIUS là gần omni-nay. giao thức xác thực từ xa khác không có sự hỗ trợ phù hợp từ nhà cung cấp phần cứng, trong khi RADIUS được hỗ trợ thống nhất. Bởi vì những nền tảng mà trên đó RADIUS được thực hiện trên thường được các hệ thống nhúng, có rất ít cơ hội để hỗ trợ các giao thức bổ sung. Bất kỳ thay đổi đối với giao thức RADIUS sẽ phải có ít nhất tối thiểu tương thích với (chưa sửa đổi) các máy khách RADIUS tồn tại từ trước và máy chủ.
RADIUS hiện tại là chuẩn de-facto để xác thực từ xa. Nó là rất phổ biến ở cả hai hệ thống mới và di sản.
1.1 Khả năng áp dụng
Phân tích này giao dịch với một số đặc điểm của giao thức cơ sở RADIUS và các thuộc tính User-Password. Tùy thuộc vào phương thức xác thực được sử dụng, mô tả điểm yếu User-Password có thể hoặc có thể không ảnh hưởng đến an ninh của chương trình xác thực cơ bản. Một thỏa hiệp hoàn chỉnh các thuộc tính người dùng Mật khẩu sẽ dẫn đến sự thỏa hiệp hoàn toàn vào Username / Password, chứng thực PAP chương trình bình thường, bởi vì cả hai hệ thống bao gồm các thông tin xác thực khác không được bảo vệ trong các thuộc tính User-Password. Mặt khác khi một / hệ thống ứng phó thách thức đang được sử dụng, một sự thỏa hiệp hoàn chỉnh các thuộc tính người dùng Mật khẩu sẽ chỉ tiếp xúc với các thách thức tiềm ẩn / Response thông tin để tấn công thêm, mà có thể hoặc không có thể dẫn đến một sự thỏa hiệp hoàn toàn của các hệ thống xác thực , tùy thuộc vào sức mạnh của các hệ thống xác thực cơ bản.
Phân tích này không bao gồm các chức năng kế toán các giao thức RADIUS (mà là, tình cờ, cũng là thiếu sót, nhưng thường không vận chuyển thông tin đó phải được giữ bí mật).
2 Nghị định thư Tóm tắt
Một bản tóm tắt của các gói tin RADIUS bên dưới (RFC):
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+ - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - +
| Mã | định danh | Chiều dài |
+ - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - +
| |
| Authenticator |
| |
| |
+ - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - +
| Thuộc tính ...
+ - + - + - + - + - + - + - + - + - + - + - + - + -
Mã này quy định các loại gói tin RADIUS. Các mã là:
giá trị Mô tả
1 Access-Request
2 Access-Accept
3 Access-Reject
4 Kế toán-Yêu cầu
5 Kế toán-đáp
11 Access-Challenge
12 Status-Server (thử nghiệm)
13 Status-Client (thử nghiệm)
255 reserved
Từ định danh là một giá trị một octet cho phép máy khách RADIUS để phù hợp với một phản ứng RADIUS với yêu cầu xuất sắc chính xác.
Phần thuộc tính là nơi mà một số tùy ý các trường thuộc tính được lưu trữ. Các thuộc tính cần thiết chỉ cho cuộc thảo luận này là các thuộc tính tài-Name và User-Password.
Mô tả này sẽ tập trung vào những loại phổ biến nhất của RADIUS trao đổi: Một Access-Request liên quan đến một tên người dùng và mật khẩu người dùng, sau đó hoặc là một Access-Accept, Access-Reject hoặc một thất bại. Tôi sẽ đề cập đến hai người tham gia trong giao thức này là các máy khách và máy chủ. Các khách hàng là thực thể mà có thông tin xác thực rằng nó muốn để xác nhận. Các máy chủ là thực thể có quyền truy cập vào một cơ sở dữ liệu thông tin xác thực rằng nó có thể sử dụng để xác nhận yêu cầu chứng thực của khách hàng.
http://www.untruth.org/~josh/security/radius/radius-auth.html
Comments
Post a Comment