RADIUS serveri kasutamine wifi võrkudes

From EIK wiki

Sissejuhatus

Käesolev artikkel annab ülevaate Remote Authentication Dial In User Service ehk RADIUS-teenusest, mille kasutamisega panustatakse traadita võrkude turvalisusse.


Wifi võrkude krüpteerimiseks ja isikutuvastamise tagamiseks kasutatav WPA-tehnoloogia jaguneb kaheks:
1) staatilise võtmega WPA ehk WPA-PSK;
2) WPA-EAS, mille puhul pääsupunkti ei seadistata staatilise võtmega.


WPA-PSK (või WPA2-PSK) on laialt levinud kodukasutajate seas, kuna marssruuteri ja võrgu seadistus on lihtne: pääsupunktile määratakse salajane parool. Pääsupunktiga saavad liituda kliendid, kellele on pääsupunkti salajane parool teada. Kliendi isikutuvastus toimub pääsupunkti salajase parooli alusel.


WPA-PSK tehnoloogial on samas mitu varjukülge.


Esiteks turvalisuse aspekt: kuna salajast parooli ei pruugita tihti vahetada, on potentsiaalsel ründajal aega tegelda ka keerulisema parooli lahtimurdmisega. Teine probleem seondub kasutajate haldamisega: kui võrgul on mitu kasutajat ja soovime ühe kasutaja välja arvata (või anda kellelegi ajutist ligipääsu), tuleb ühe isiku välistamiseks vahetada pääsupunkti parooli. Sellega kaasneb vajadus muuta pääsupunkti parooli sätteid kõikidel võrgu klientidel. Järelikult- vastupidiselt laialt levinud praktikale- ei tohiks äriettevõtted, kes jagavad klientidele ajutist juurdepääsu oma traadita võrku (nt konverentsi- või koosolekuruumides), kasutada WPA-PSK tehnoloogiat.


Eeltoodud kaalutlustel tasub ettevõtetel (ja suurematel koduvõrkudel) kasutada WPA-EAS tehnoloogiat. Selle tehnoloogia puhul ei kasutata kliendi tuvastamiseks pääsupunkti salajast parooli. Selle asemel rakendatakse nn. AAA-põhimõtet (akronüüm väljendist Authentication, Authorization, Accountability), mille kohaselt peab andmesideprotokoll võimaldama selget tuvastust, pääsukontrolli ja tegevuse jälgitavust.


AAA-põhimõtte keskmes on RADIUS-teenuse kasutamine. RADIUS-teenust pakkuva serveri ülesanne on kontrollida, (a) kas kliendil on kehtiv sertifikaat, (b) millised on sellise kliendi pääsuõigused ettevõtte domeenis; (c) ühendussessiooni järel kontrollida, millised andmed sessiooni jooksul liikusid. Seega võimaldab RADIUS server juhtida ettevõtte wifi turvapoliitikat.

Kuidas RADIUS server toimib?

Clipboard.jpg


Allikas: Aradial.com

WPA-EAS arhitektuuris on RADIUS-serveril keskne roll kasutajate sisselogimisandmete (kasutajanime ja parooli või setifikaadi) haldamisel. Ei kasutatuta jagatud võtit, samuti ei saa ükski kasutaja pöörduda otse RADIUS-serveri poole. Selle asemel suhtleb kasutaja võrguseadmega (marsruuter, VPN-server, modem, NAS-server), edastades sellele oma sisselogimisandmed, et võrku ühenduda (toimub nn access-request). Võrguseade on eelnevalt seadistatud RADIUS-serveri kliendina: ta vahetab RADIUS-serveriga krüpteeritud sümmeetrilist võtit. Sellega võrguseade ja RADIUS-server tuvastavad teineteist. Võrguseadme ja RADIUS-serveri suhtlus krüpteeritakse selle sümmeetrilise võtmega. Võrguseade edastab RADIUS-serverile kasutaja sisselogimisandmed.


RADIUS-server kontrollib, millise domeeni liige kasutaja on. Seejärel RADIUS-server veendub, et kasutaja sisselogimisandmed sisalduvad RADIUS-serveri andmebaasis: kas selline kasutaja on olemas, kas tema parool on õige või kas kasutaja sertifikaat kehtib.


Sisselogimisandmete loetelu ei pea ilmtingimata sisalduma RADIUS-serveris, vaid võib asuda muus serveris (nt domeenikontrolleris või SQL andmebaasis). Viimasel juhul toimib RADIUS-server vahendajana.


Kui kasutaja sisselogimisandmed võimaldavad RADIUS-serveril kasutajat tuvastada, saadab RADIUS-server võrguseadmele teate ühenduse lubamise kohta (toimub nn access-accept). Viimane sisaldab ka pääsukontrolli tingimusi: milliseid teenuseid tohib võrguseade kasutajale võimaldada. Seejärel genereerib võrguseade sessioonivõtme ja avab kasutajale lüüsi, mille kaudu kasutaja pääseb ligi võrguteenus(t)ele.


RADIUS-serveri järelevalve (ehk accounting) kasutaja tegevuse üle toimib selliselt, et võrguseade teavitab RADIUS-serverit sessiooni algusest ja lõpust (saadetakse nn accounting-pakett), andes ülevaate sessiooni jooksul kasutatud teenuse kohta (nt ühenduse pikkus, edastatud andmemaht ja paketid).

Kuidas RADIUS-serveri kasutamine parandab julgeolekut?

WPA-PSK lahendusega võrreldes on RADIUS-serveril põhineval WPA-EAS tehnoloogial järgmised eelised:

1) Kasutajate sisselogimisandmed ei ole staatilised. Kasutaja lahkumisel või lisandumisel piisab selle muudatuse kajastamisel kasutajate nimekirjas, mida RADIUS-server sisaldab. Sellega tagatakse, et kasutaja pääseb võrgule ligi nii kaua, kuni on selleks volitus.
2) Kasutajate paroolid on erinevad ja reeglina neid uuendatakse regulaarselt.
3) Kasutajate pääsuõigused on piiratavad. Kasutaja pääseb ligi vaid neile võrguteenustele, mis vastavad tema pääsuõigustele. Viimaseid saab muuta (kitsendada, laiendada. Muudatus kajastatakse kasutajate nimekirjas, mida RADIUS-server sisaldab.
4) RADIUS-serveri ründamiseks ei piisa kasutaja parooli murdmisest, vaid tuleb murda ka sümmeetriline võti, mille abil RADIUS-server tuvastab võrguseadme.

RADIUS-serveri paigaldamine

  • Juhtnöörid RADIUS-serveri paigaldamiseks Linuxi masinal: http://tldp.org/HOWTO/html_single/8021X-HOWTO/#auth
  • RADIUS-serveri paigaldamine WS2008 masinal: vt Mackin, J.C., Northrup, T., Configuring Windows Server 2008 Network Infrastructure. Self-Paced Training Kit, lk 327-329.

Kasutatud allikad

  • Aradial.com [1]
  • Birds-eye.net[2]
  • Freeradius.org [[3]]
  • Enterprisenetworkingplanet.com[[4]]
  • IETF.org [5]
  • IETF.org PKI õpetus [[6]
  • Malik, S, Network security principles and practices [[7]]
  • Microsoft.com [[8]]
  • Topbits.com [[9]]
  • Wi-fiplanet.com [[10]]

Koostaja

Kristiina Kaarna TS26