Czym jest Radius
Usługa zdalna, która polega na uwierzytelnianiu użytkowników wdzwaniających się do systemu – przy użyciu połączeń wdzwanianych. Powszechnie Remote Authentication Dial in User Service protokół używany często celem autoryzacji i uwierzytelniania sieci tunelowych i telefonicznych. Z RADIUS korzysta się także w sieciach bezprzewodowych.
Chcesz posłuchać więcej na ten temat? Kliknij.
Radius – działanie AAA
Warto zdefiniować czym są trzy litery A. Po rozszerzeniu skrótu z angielskiego wyłania się authentication, authorization oraz accounting.
Authentication(inaczej uwierzytelnianie) – dzięki temu istnieje możliwość sprawdzenia czy dany użytkownik rzeczywiście jest wiarygodny, jego dane rzeczywiście są prawdziwe
Authorization(inaczej autoryzacja) – przy użyciu weryfikacji można przekonać się do jakich zasobów ma dostęp poszczególny użytkownik
Accounting(inaczej raportowanie, rozliczalność) – za pomocą raportowania można zebrać informację tzw. logi o poszczególnych czynnościach jakie dokonał użytkownik
Czym jest protokół RADIUS
Mówiąc o RADIUS należy wspomnieć iż jest to protokół typu klient-serwer przy użyciu UDP. Powstał w roku 1991. Port do wykonania accounting(raportowania) to 1813. Natomiast authentication(uwierzytelnianie) wraz z authorization(autoryzacja) to port 1812. Głównie urządzenia końcowe są w roli klienta np. laptop. Pakiety, które są transportowane przez RADIUS to oczywiście powiązanie z uwierzytelnianiem, autoryzacją oraz raportowaniem jakie występuje między klientem a serwerem. Poniższy przykładowy rysunek ilustruję sposób wymiany pakietów klient-serwer RADIUS.
Obecne wykorzystanie serwera RADIUS
Korzyść z użycia serwera RADIUS dotyczy przede wszystkim jego otwartego standardu – nie jest własnością żadnego producenta. Obecnie wspiera go większość producentów sprzętu sieciowego. Mówiąc o serwerach logowania ma na myśli się poszczególne usługi sieciowe jakie wykorzystują protokół – konfiguracja odbywa się na konkretnym oprogramowaniu np. CISCO SECURE, ale dodatkowo można skorzystać z Linuxa czy Windowsa(konfiguracja serwera logowania i podłączenie jej z Active Directory).
Topologia wykorzystana do konfiguracji autentykacji serwera RADIUS
Scenariusz opiera się o dwa urządzenia R1 i R2 oraz SERVER RADIUS. Nastąpi skorzystanie z serwisu AAA na serwerze. Na routerach zostanie skonfigurowana autentykacja i możliwość połączenia się po ssh do SERVER RADIUS.
Przypisanie adresów IP do urządzeń:
R1:
Router>enable Router# Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#interface FastEthernet0/0 Router(config-if)#no shutdown Router(config-if)# %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up ip address 192.168.1.1 255.255.255.0 Router(config-if)#ip address 192.168.1.1 255.255.255.0 Router(config-if)#exit Router(config)#ping 192.168.1.3 ^ % Invalid input detected at '^' marker. Router(config)#exut ^ % Invalid input detected at '^' marker. Router(config)#exit Router# %SYS-5-CONFIG_I: Configured from console by console Router#ping 192.168.1.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds: .!!!! Success rate is 80 percent (4/5), round-trip min/avg/max = 3/9/29 ms Router#ping 192.168.1.3 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.1.3, timeout is 2 seconds: .!!!! Success rate is 80 percent (4/5), round-trip min/avg/max = 0/2/4 ms !komunikacja prawidłowa z R2 i SERVER RADIUS!
R2: Router>enable Router# Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#interface FastEthernet0/0 Router(config-if)#speed 100 Router(config-if)#speed auto Router(config-if)#no shutdown Router(config-if)# %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up ip address % Incomplete command. Router(config-if)#ip address 192.168.1.2 255.255.255.0 Router(config-if)#ip address 192.168.1.2 255.255.255.0 Router(config-if)#
SERVER RADIUS:
Skonfigurowanie serwisu AAA na serwerze z dodaniem dwóch użytkowników:
Konfiguracja protokołu SSH na routerze i autentykacji
R1: Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#aaa new- Router(config)#aaa new-model Router(config)#username backup secret backup1 !skonfigurowanie użytkownika backup z haslem celem bezpieczeństwa gdy łącze między switchem a serwerem będzie np. wyłączone! Router(config)#aaa Router(config)#aaa a Router(config)#aaa auth Router(config)#aaa authen Router(config)#aaa authentication login d Router(config)#aaa authentication login default g Router(config)#aaa authentication login default group ra Router(config)#aaa authentication login default group radius loc Router(config)#aaa authentication login default group radius local Router(config)#aaa authentication login default group radius local Router(config)#aaa authentication ena Router(config)#aaa authentication enable de Router(config)#aaa authentication enable default g Router(config)#aaa authentication enable default group ra Router(config)#aaa authentication enable default group radius local !uruchomienie lokalnej autentykacji aaa! Router(config)#radius-s Router(config)#radius-server host 192.168.1.3 key cisco !przypisanie adresa hosta serwera radius! Router(config)#ip dom Router(config)#ip domain-name cisco.com Router(config)#ip ssh version 2 !skonfigurowanie ssh! Please create RSA keys (of at least 768 bits size) to enable SSH v2. Router(config)#crypto ke Router(config)#crypto key ge Router(config)#crypto key generate rsa % Please define a hostname other than Router. Router(config)#hostname R1 R1(config)#cryp R1(config)#crypto key R1(config)#crypto key gen R1(config)#crypto key generate rsa The name for the keys will be: R1.cisco.com Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus [512]: 2014 % Generating 2014 bit RSA keys, keys will be non-exportable...[OK] R1(config)#crypto key generate rsa!wygenrowanie klucza 1024bitowego! *mar 1 0:26:52.455: %SSH-5-ENABLED: SSH 2 has been enabled % You already have RSA keys defined named R1.cisco.com . % Do you really want to replace them? [yes/no]: yes The name for the keys will be: R1.cisco.com Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus [512]: 1024 % Generating 1024 bit RSA keys, keys will be non-exportable...[OK] R1(config)#line vty 0 4 *mar 1 0:27:6.749: %SSH-5-ENABLED: SSH 2 has been enabled R1(config-line)#tra R1(config-line)#transport inp R1(config-line)#transport input ssh !na liniach wirtualnych transport SSH klucza! R1(config-line)#login a R1(config-line)#login authentication de R1(config-line)#login authentication default !wlaczenie domyślnej autentykacji dla Radius!
Sprawdzenie możliwości podłączenia się po ssh z R2 do serwera
Router>en Router#ssh -l test -v 192.168.1.1 ^ % Invalid input detected at '^' marker. Router#ssh -l test -v 2 192.168.1.1 !podłączenie się po ssh wersji 2 do serwera RADIUS! Password: R1>exit [Connection to 192.168.1.1 closed by foreign host] Router#ssh -l test1 -v 2 192.168.1.1 Password: R1>
Sprawdzenie połączenia się po ssh kiedy łącze jest wyłączone między Serwerem a switchem
Router#ssh -l backup -v 2 192.168.1.1 Password: R1>