Freeradius erklärt

Aus xinux.net
Zur Navigation springen Zur Suche springen

Nach eigener Aussage ist FreeRADIUS der am häufigsten genutzte "Remote Authentication Dial-In User Service"-Server. Es gilt das AAA- Prinzip:

  • Authentisierung - Ist der Client berechtigt auf das Netzwerk zuzugreifen?
  • Autorisierung - In welchem Umfang darf der Client zugreifen?
  • Accounting - Welche Ressourcen hat der Client während des Netzwerkzugriffs in Anspruch genommen?

Begriffserklärung

Supplicant - ist der Client, welcher sich mithilfe eines User Accounts verifizieren will.

Authenticator - Gerät, dass den Zugang zum Netzwerk ermöglicht z.B. Switch, WLAN-AP. Wird daher auch als Network Access Server bezeichnet.

Authentication Server - Server auf dem der RADIUS-Server läuft. Überprüft Benutzername und Kennwort local und in einer weiterer Instanz wie Beispielsweise LDAP.

802.1X - Protokoll zwischen Supplicant und Authenticator. Setzt direkt auf Ethernet (802.3) bzw WLAN (802.11) auf, noch bevor eine TCP/IP-Verbindung aufgebaut wird.

RADIUS - Protokoll zwischen Authenticator und Authentication-Server. Protokoll setzt auf TCP-IP (UDP/1812 UDP/1813). Sie Teilen sich ein gemeinsames secret, mit dem die Kommunikation verschlüsselt und signiert wird.

EAP - Protokoll zwischen Supplicant und Authentication-Server. Setzt auf 802.1X und RADIUS auf. Der Authenticator übersetzt das 802.1X in das RADIUS Protokoll.


Verfahren

Das IEEE 802.1X-Protokoll beschreibt ein Verfahren, bei dem ein Endgerät (Laptop, PC, etc.) authentisiert werden kann, bevor es in das Netzwerk gelassen wird.

Das Endgerät kommuniziert über den Authenticator (mithilfe von IEEE 802.1X) mit dem RADIUS-Server, da es zu diesem Zeitpunkt noch keine IP besitzt. Die Sicherheit basiert daher auf abgesicherte Verbindung von Authenticator und Authentication-Server.

Nach dem Handshake zwischen den beteiligten kommt das "Extensible Authentication Protocol". Die Kommunikation ist in 2 Phasen aufgeteilt. Jede Phase hat verschiedene Verfahren.

Phase1 (Outer Tunnel):

  • EAP-TLS: Der Client wird über Zertifikate durch einen gesicherten TLS-Tunnel authentisiert
  • EAP-TTLS: Passwort-Abfrage durch einen gesicherten TLS-Tunnel
  • EAP-PEAP: Passwort-Abfrage (Challenge-Response) durch einen gesicherten TLS-Tunnel (hauptsächlich für Windows-Umgebungen)
  • EAP-MD5: Unverschlüsselte Verbindung. Das Passwort wird zwar nicht im Klartext übertragen, sondern über ein Challenge-Response-Verfahren abgeglichen, das eine MD5-Hashfunktion verwendet. Das Verfahren gilt allerdings als überholt und nicht mehr sicher.
  • ...

Danach wird ein innerer Tunnel in den äußeren "gelegt". Dies ist Phase 2:

  • PAP: Das Passwort wird im Klartext übertragen.
  • MD5: Challenge-Response-Verfahren mit einer MD5-Hashfunktion (überholt und nicht mehr sicher)
  • MSCHAPv2: Challenge-Response-Verfahren (hauptsächlich für Windows-Umgebungen)
  • ...

Im Anschluss ist die Authentifizierung des Clients abgeschlossen und der RADIUS-Server

Abgerufen von „https://xinux.net/index.php?title=Freeradius_erklärt&oldid=18004