RADIUS serveri kasutamine wifi võrkudes: Difference between revisions

From ICO wiki
Jump to navigationJump to search
Kkaarna (talk | contribs)
No edit summary
Kkaarna (talk | contribs)
 
(17 intermediate revisions by the same user not shown)
Line 18: Line 18:




Esiteks turvalisuse aspekt: kuna salajast parooli ei pruugita tihti vahetada, on potentsiaalsel ründajal aega tegelda ka keerulisema parooli lahtimurdmisega. Teine probleem seondub kasutajate haldamisega: kui võrgul on mitu kasutajat ja soovime ühe kasutaja välja arvata (või anda kellelegi ajutist ligipääsu), tuleb ühe isiku välistamiseks vahetada pääsupunkti parooli. Sellega kaasneb vajadus muuta pääsupunkti parooli sätteid kõigidel võrgu klientidel. Järelikult- vastupidiselt laialt levinud praktikale- ei tohiks äriettevõtted, kes jagavad klientidele ajutist juurdepääsu oma wifi võrku (nt konverentsi- või koosolekuruumides), kasutada WPA-PSK tehnoloogiat.
Esiteks turvalisuse aspekt: kuna salajast parooli ei pruugita tihti vahetada, on potentsiaalsel ründajal aega tegelda ka keerulisema parooli lahtimurdmisega. Teine probleem seondub kasutajate haldamisega: kui võrgul on mitu kasutajat ja soovime ühe kasutaja välja arvata (või anda kellelegi ajutist ligipääsu), tuleb ühe isiku välistamiseks vahetada pääsupunkti parooli. Sellega kaasneb vajadus muuta pääsupunkti parooli sätteid kõikidel võrgu klientidel. Järelikult- vastupidiselt laialt levinud praktikale- ei tohiks äriettevõtted, kes jagavad klientidele ajutist juurdepääsu oma traadita võrku (nt konverentsi- või koosolekuruumides), kasutada WPA-PSK tehnoloogiat.




Eeltoodud kaalutlustel tasub ettevõtetel (ja suurematel koduvõrkudel) kasutada WPA-EAS tehnoloogiat. Selle tehnoloogia puhul ei kasutata kliendi tuvastamiseks pääsupunkti salajast parooli. Selle asemel rakendatakse nn. AAA-põhimõtet (akrnonüüm väljendist ''Authentication, Authorization, Accountability''[http://datatracker.ietf.org/wg/aaa/charter ] ), mille kohaselt peab andmesideprotokoll võimaldama selget tuvastust, pääsukontrolli ja tegevuse jälgitavust.[http://www.birds-eye.net/definition/a/aaa-authentication_authorization_and_accounting.shtml]
Eeltoodud kaalutlustel tasub ettevõtetel (ja suurematel koduvõrkudel) kasutada WPA-EAS tehnoloogiat. Selle tehnoloogia puhul ei kasutata kliendi tuvastamiseks pääsupunkti salajast parooli. Selle asemel rakendatakse nn. AAA-põhimõtet (akronüüm väljendist ''Authentication, Authorization, Accountability''), mille kohaselt peab andmesideprotokoll võimaldama selget tuvastust, pääsukontrolli ja tegevuse jälgitavust.




AAA-põhimõtte keskmes on RADIUS teenuse kasutamine.[http://datatracker.ietf.org/wg/aaa/charter ] Selle korral rakendatakse turvasertifikaate (PKI-arhitektuuri [http://www.comms.scitech.sussex.ac.uk/fft/crypto/understanding_pki.pdf]) ja RADIUS teenust pakkuva serveri ülesanne on kontrollida, (a) kas kliendil on kehtiv sertifikaat, (b) millised on sellise kliendi pääsuõigused ettevõtte domeenis. <u>Seega võimaldab RADIUS server juhtida ettevõtte wifi turvapoliitikat. </u>
AAA-põhimõtte keskmes on RADIUS-teenuse kasutamine. RADIUS-teenust pakkuva serveri ülesanne on kontrollida, (a) kas kliendil on kehtiv sertifikaat, (b) millised on sellise kliendi pääsuõigused ettevõtte domeenis; (c) ühendussessiooni järel kontrollida, millised andmed sessiooni jooksul liikusid. <u>Seega võimaldab RADIUS server juhtida ettevõtte wifi turvapoliitikat. </u>


==Kuidas RADIUS server toimib?==  
==Kuidas RADIUS server toimib?==  
Line 34: Line 34:




<u>Allikas</u>:'' Aradial.com ''[[http://www.aradial.com/images/hotspots.jpg]]
<u>Allikas</u>:'' Aradial.com
|}
|}


WPA-EAS arhitektuuris on RADIUS-serveril keskne roll kasutajate sisselogimisandmete (kasutajanime ja parooli või seetifikaadi) haldamisel. Ei kasutatuta jagatud võtit, samuti ei saa ükski kasutaja pöörduda otse RADIUS-serveri poole. Selle asemel suhtleb kasutaja võrguseadmega (marssruuter, VPN-server, modem, NAS-server), edastades sellele oma sisselogimisandmed, et võrku ühenduda (toimub nn ''access-request''). Võrguseade on eelnevalt seadistatud RADIUS-serveri kliendina: ta vahetab RADIUS-serveriga krüpteeritud sümmeetrilist võtit. Sellega võrguseade ja RADIUS-server tuvastavad teineteist. Võrguseadme ja RADIUS-serveri suhtlus krüpteeritakse selle sümmeetrilise võtmega. Võrguseade edastab RADIUS-serverile kasutaja sisselogimisandmed.
WPA-EAS arhitektuuris on RADIUS-serveril keskne roll kasutajate sisselogimisandmete (kasutajanime ja parooli või setifikaadi) haldamisel. Ei kasutatuta jagatud võtit, samuti ei saa ükski kasutaja pöörduda otse RADIUS-serveri poole. Selle asemel suhtleb kasutaja võrguseadmega (marsruuter, VPN-server, modem, NAS-server), edastades sellele oma sisselogimisandmed, et võrku ühenduda (toimub nn ''access-request''). Võrguseade on eelnevalt seadistatud RADIUS-serveri kliendina: ta vahetab RADIUS-serveriga krüpteeritud sümmeetrilist võtit. Sellega võrguseade ja RADIUS-server tuvastavad teineteist. Võrguseadme ja RADIUS-serveri suhtlus krüpteeritakse selle sümmeetrilise võtmega. Võrguseade edastab RADIUS-serverile kasutaja sisselogimisandmed.




Line 43: Line 43:




Sisselogimisandmete loetelu ei pea ilmtingimata sisalduma RADIUS-serveris, vaid võib asuda muus serveris (nt domeenikontrolleris või SQL andmebaasis). Viimasel juhul toimib RADIUS-server vahendajana. [[http://www.topbits.com/radius-remote-authentication-dial-in-user-service.html]]
Sisselogimisandmete loetelu ei pea ilmtingimata sisalduma RADIUS-serveris, vaid võib asuda muus serveris (nt domeenikontrolleris või SQL andmebaasis). Viimasel juhul toimib RADIUS-server vahendajana.  




Kui kasutaja sisselogimisandmed võimaldavad RADIUS-serveril kasutajat tuvastada, saadab RADIUS-server võrguseadmele teate ühenduse lubamise kohta (toimub nn '''access-accept''').[[http://www.wi-fiplanet.com/tutorials/article.php/10724_3114511_2]] Viimane sisaldab ka pääsukontrolli tingimusi: milliseid teenuseid tohib võrguseade kasutajale võimaldada. [[http://msdn.microsoft.com/en-us/library/bb892012(VS.85).aspx]] Seejärel genereerib võrguseade sessioonivõtme ja avab kasutajale lüüsi, mille kaudu kasutaja pääseb ligi võrguteenus(t)ele.
Kui kasutaja sisselogimisandmed võimaldavad RADIUS-serveril kasutajat tuvastada, saadab RADIUS-server võrguseadmele teate ühenduse lubamise kohta (toimub nn ''access-accept''). Viimane sisaldab ka pääsukontrolli tingimusi: milliseid teenuseid tohib võrguseade kasutajale võimaldada. Seejärel genereerib võrguseade sessioonivõtme ja avab kasutajale lüüsi, mille kaudu kasutaja pääseb ligi võrguteenus(t)ele.




RADIUS-serveri järelevalve (ehk ''accounting'') kasutaja tegevuse üle toimib selliselt, et võrguseade teavitab RADIUS-serverit sessiooni algusest ja lõpust (saadetakse nn ''accounting''-pakett), andes ülevaate sessiooni jooksul kasutatud teenuse kohta (nt ühenduse pikkus, edastatud andmemaht ja paketid). [[http://books.google.ee/books?id=f7OJ74ZQXBYC&pg=PA531&lpg=PA531&dq=accounting+in+radius&source=bl&ots=W0Yr7v1eiH&sig=vOZkXWKXLmSzwmBZhg_AP0zYcwg&hl=et&ei=f0XoS5GAG6aTOPihoLoE&sa=X&oi=book_result&ct=result&resnum=9&ved=0CD8Q6AEwCA#v=onepage&q=accounting%20in%20radius&f=false]]
RADIUS-serveri järelevalve (ehk ''accounting'') kasutaja tegevuse üle toimib selliselt, et võrguseade teavitab RADIUS-serverit sessiooni algusest ja lõpust (saadetakse nn ''accounting''-pakett), andes ülevaate sessiooni jooksul kasutatud teenuse kohta (nt ühenduse pikkus, edastatud andmemaht ja paketid).


==Kuidas RADIUS-serveri kasutamine parandab julgeolekut?==
==Kuidas RADIUS-serveri kasutamine parandab julgeolekut?==
Line 55: Line 55:
WPA-PSK lahendusega võrreldes on RADIUS-serveril põhineval WPA-EAS tehnoloogial järgmised eelised:
WPA-PSK lahendusega võrreldes on RADIUS-serveril põhineval WPA-EAS tehnoloogial järgmised eelised:


1) Kasutajate sisselogimisandmed ei ole staatilised. Kasutaja lahkumisel või lisandumisel piisab selle muudatuse kajastamisel kasutajate nimekirjas, mida RADIUS-server sisaldab. Sellega tagatakse, et kasutaja pääseb võrgule ligi nii kaua, kuni on selleks volitus.  
1) Kasutajate sisselogimisandmed ei ole staatilised. Kasutaja lahkumisel või lisandumisel piisab selle muudatuse kajastamisel kasutajate  
2) Kasutajate paroolid on erinevad ja reeglina neid uuendatakse regulaarselt.
nimekirjas, mida RADIUS-server sisaldab. Sellega tagatakse, et kasutaja pääseb võrgule ligi nii kaua, kuni on selleks volitus. <br/>
3) Kasutajate pääsuõigused on piiratavad. Kasutaja pääseb ligi vaid neile võrguteenustele, mis vastavad tema pääsuõigustele. Viimaseid saab muuta (kitsendada, laiendada) selle muudatuse kajastamisel kasutajate nimekirjas, mida RADIUS-server sisaldab.
2) Kasutajate paroolid on erinevad ja reeglina neid uuendatakse regulaarselt. <br/>
4)RADIUS-serveri ründamiseks ei piisa kasutaja parooli murdmisest, vaid tuleb murda ka sümmeetriline võti, mille abil RADIUS-server tuvastab võrguseadme.
3) Kasutajate pääsuõigused on piiratavad. Kasutaja pääseb ligi vaid neile võrguteenustele, mis vastavad tema pääsuõigustele. Viimaseid saab muuta (kitsendada, laiendada. Muudatus kajastatakse kasutajate nimekirjas, mida RADIUS-server sisaldab. <br/>
 
4) RADIUS-serveri ründamiseks ei piisa kasutaja parooli murdmisest, vaid tuleb murda ka sümmeetriline võti, mille abil RADIUS-server tuvastab võrguseadme.
 
 


==RADIUS-serveri paigaldamine==
==RADIUS-serveri paigaldamine==


* Juhtnöörid RADIUS-serveri paigaldamiseks Linuxi masinal, kusjuures kasutajaks võib olla XP arvuti: http://wiki.freeradius.org/WPA_HOWTO#On_the_Windows_XP_Client
* Juhtnöörid RADIUS-serveri paigaldamiseks Linuxi masinal: http://tldp.org/HOWTO/html_single/8021X-HOWTO/#auth
 
* RADIUS-serveri paigaldamine WS2008 masinal: vt Mackin, J.C., Northrup, T., ''Configuring Windows Server 2008 Network Infrastructure. Self-Paced Training Kit'', lk 327-329.
* RADIUS-serveri paigaldamine WS2008 masinal:  
 
 


==Kasutatud allikad==
==Kasutatud allikad==
[[http://www.enterprisenetworkingplanet.com/netsecur/article.php/10952_3834251_1]]
*Aradial.com [http://www.aradial.com/images/hotspots.jpg]
 
*Birds-eye.net[http://www.birds-eye.net/definition/a/aaa-authentication_authorization_and_accounting.shtml]
*Freeradius.org [[http://wiki.freeradius.org/WPA_HOWTO#On_the_Windows_XP_Client]]
*Enterprisenetworkingplanet.com[[http://www.enterprisenetworkingplanet.com/netsecur/article.php/10952_3834251_1]]
*IETF.org [http://datatracker.ietf.org/wg/aaa/charter ]
*IETF.org PKI õpetus [[http://datatracker.ietf.org/wg/aaa/charteanding_pki.pdf]
*Malik, S, ''Network security principles and practices'' [[http://books.google.ee/books?id=f7OJ74ZQXBYC&pg=PA531&lpg=PA531&dq=accounting+in+radius&source=bl&ots=W0Yr7v1eiH&sig=vOZkXWKXLmSzwmBZhg_AP0zYcwg&hl=et&ei=f0XoS5GAG6aTOPihoLoE&sa=X&oi=book_result&ct=result&resnum=9&ved=0CD8Q6AEwCA#v=onepage&q=accounting%20in%20radius&f=false]]
*Microsoft.com [[http://msdn.microsoft.com/en-us/library/bb892012(VS.85).aspx]]
*Topbits.com [[http://www.topbits.com/radius-remote-authentication-dial-in-user-service.html]]
*Wi-fiplanet.com [[http://www.wi-fiplanet.com/tutorials/article.php/10724_3114511_2]]


==Koostaja==
==Koostaja==
 
Kristiina Kaarna
TS26
|}
|}
[[Category:Traadita side alused]]
[[Category:Traadita side alused]]

Latest revision as of 14:45, 19 May 2010

Sissejuhatus

Käesolev artikkel annab ülevaate Remote Authentication Dial In User Service ehk RADIUS-teenusest, mille kasutamisega panustatakse traadita võrkude turvalisusse.


Wifi võrkude krüpteerimiseks ja isikutuvastamise tagamiseks kasutatav WPA-tehnoloogia jaguneb kaheks:
1) staatilise võtmega WPA ehk WPA-PSK;
2) WPA-EAS, mille puhul pääsupunkti ei seadistata staatilise võtmega.


WPA-PSK (või WPA2-PSK) on laialt levinud kodukasutajate seas, kuna marssruuteri ja võrgu seadistus on lihtne: pääsupunktile määratakse salajane parool. Pääsupunktiga saavad liituda kliendid, kellele on pääsupunkti salajane parool teada. Kliendi isikutuvastus toimub pääsupunkti salajase parooli alusel.


WPA-PSK tehnoloogial on samas mitu varjukülge.


Esiteks turvalisuse aspekt: kuna salajast parooli ei pruugita tihti vahetada, on potentsiaalsel ründajal aega tegelda ka keerulisema parooli lahtimurdmisega. Teine probleem seondub kasutajate haldamisega: kui võrgul on mitu kasutajat ja soovime ühe kasutaja välja arvata (või anda kellelegi ajutist ligipääsu), tuleb ühe isiku välistamiseks vahetada pääsupunkti parooli. Sellega kaasneb vajadus muuta pääsupunkti parooli sätteid kõikidel võrgu klientidel. Järelikult- vastupidiselt laialt levinud praktikale- ei tohiks äriettevõtted, kes jagavad klientidele ajutist juurdepääsu oma traadita võrku (nt konverentsi- või koosolekuruumides), kasutada WPA-PSK tehnoloogiat.


Eeltoodud kaalutlustel tasub ettevõtetel (ja suurematel koduvõrkudel) kasutada WPA-EAS tehnoloogiat. Selle tehnoloogia puhul ei kasutata kliendi tuvastamiseks pääsupunkti salajast parooli. Selle asemel rakendatakse nn. AAA-põhimõtet (akronüüm väljendist Authentication, Authorization, Accountability), mille kohaselt peab andmesideprotokoll võimaldama selget tuvastust, pääsukontrolli ja tegevuse jälgitavust.


AAA-põhimõtte keskmes on RADIUS-teenuse kasutamine. RADIUS-teenust pakkuva serveri ülesanne on kontrollida, (a) kas kliendil on kehtiv sertifikaat, (b) millised on sellise kliendi pääsuõigused ettevõtte domeenis; (c) ühendussessiooni järel kontrollida, millised andmed sessiooni jooksul liikusid. Seega võimaldab RADIUS server juhtida ettevõtte wifi turvapoliitikat.

Kuidas RADIUS server toimib?


Allikas: Aradial.com

WPA-EAS arhitektuuris on RADIUS-serveril keskne roll kasutajate sisselogimisandmete (kasutajanime ja parooli või setifikaadi) haldamisel. Ei kasutatuta jagatud võtit, samuti ei saa ükski kasutaja pöörduda otse RADIUS-serveri poole. Selle asemel suhtleb kasutaja võrguseadmega (marsruuter, VPN-server, modem, NAS-server), edastades sellele oma sisselogimisandmed, et võrku ühenduda (toimub nn access-request). Võrguseade on eelnevalt seadistatud RADIUS-serveri kliendina: ta vahetab RADIUS-serveriga krüpteeritud sümmeetrilist võtit. Sellega võrguseade ja RADIUS-server tuvastavad teineteist. Võrguseadme ja RADIUS-serveri suhtlus krüpteeritakse selle sümmeetrilise võtmega. Võrguseade edastab RADIUS-serverile kasutaja sisselogimisandmed.


RADIUS-server kontrollib, millise domeeni liige kasutaja on. Seejärel RADIUS-server veendub, et kasutaja sisselogimisandmed sisalduvad RADIUS-serveri andmebaasis: kas selline kasutaja on olemas, kas tema parool on õige või kas kasutaja sertifikaat kehtib.


Sisselogimisandmete loetelu ei pea ilmtingimata sisalduma RADIUS-serveris, vaid võib asuda muus serveris (nt domeenikontrolleris või SQL andmebaasis). Viimasel juhul toimib RADIUS-server vahendajana.


Kui kasutaja sisselogimisandmed võimaldavad RADIUS-serveril kasutajat tuvastada, saadab RADIUS-server võrguseadmele teate ühenduse lubamise kohta (toimub nn access-accept). Viimane sisaldab ka pääsukontrolli tingimusi: milliseid teenuseid tohib võrguseade kasutajale võimaldada. Seejärel genereerib võrguseade sessioonivõtme ja avab kasutajale lüüsi, mille kaudu kasutaja pääseb ligi võrguteenus(t)ele.


RADIUS-serveri järelevalve (ehk accounting) kasutaja tegevuse üle toimib selliselt, et võrguseade teavitab RADIUS-serverit sessiooni algusest ja lõpust (saadetakse nn accounting-pakett), andes ülevaate sessiooni jooksul kasutatud teenuse kohta (nt ühenduse pikkus, edastatud andmemaht ja paketid).

Kuidas RADIUS-serveri kasutamine parandab julgeolekut?

WPA-PSK lahendusega võrreldes on RADIUS-serveril põhineval WPA-EAS tehnoloogial järgmised eelised:

1) Kasutajate sisselogimisandmed ei ole staatilised. Kasutaja lahkumisel või lisandumisel piisab selle muudatuse kajastamisel kasutajate nimekirjas, mida RADIUS-server sisaldab. Sellega tagatakse, et kasutaja pääseb võrgule ligi nii kaua, kuni on selleks volitus.
2) Kasutajate paroolid on erinevad ja reeglina neid uuendatakse regulaarselt.
3) Kasutajate pääsuõigused on piiratavad. Kasutaja pääseb ligi vaid neile võrguteenustele, mis vastavad tema pääsuõigustele. Viimaseid saab muuta (kitsendada, laiendada. Muudatus kajastatakse kasutajate nimekirjas, mida RADIUS-server sisaldab.
4) RADIUS-serveri ründamiseks ei piisa kasutaja parooli murdmisest, vaid tuleb murda ka sümmeetriline võti, mille abil RADIUS-server tuvastab võrguseadme.

RADIUS-serveri paigaldamine

  • Juhtnöörid RADIUS-serveri paigaldamiseks Linuxi masinal: http://tldp.org/HOWTO/html_single/8021X-HOWTO/#auth
  • RADIUS-serveri paigaldamine WS2008 masinal: vt Mackin, J.C., Northrup, T., Configuring Windows Server 2008 Network Infrastructure. Self-Paced Training Kit, lk 327-329.

Kasutatud allikad

  • Aradial.com [1]
  • Birds-eye.net[2]
  • Freeradius.org [[3]]
  • Enterprisenetworkingplanet.com[[4]]
  • IETF.org [5]
  • IETF.org PKI õpetus [[6]
  • Malik, S, Network security principles and practices [[7]]
  • Microsoft.com [[8]]
  • Topbits.com [[9]]
  • Wi-fiplanet.com [[10]]

Koostaja

Kristiina Kaarna TS26