Esittely latautuu. Ole hyvä ja odota

Esittely latautuu. Ole hyvä ja odota

RADIUS Mika Korkalainen. Remote Authentication Dial In User Service (RADIUS) Kehitetty Livingston-yhtiössä, erään asiakkaan toivomuksesta. Alkuperäinen.

JulkaistuKaarlo Härkönen Muutettu yli 9 vuotta sitten

Samankaltaiset esitykset

Esitys aiheesta: "RADIUS Mika Korkalainen. Remote Authentication Dial In User Service (RADIUS) Kehitetty Livingston-yhtiössä, erään asiakkaan toivomuksesta. Alkuperäinen."— Esityksen transkriptio:

1 RADIUS Mika Korkalainen

2 Remote Authentication Dial In User Service (RADIUS) Kehitetty Livingston-yhtiössä, erään asiakkaan toivomuksesta. Alkuperäinen käyttökohde sisäänsoittopalveluissa. RFC:t 2865, 2866, 2867, 2868, 2869, 2619, 2621, 1227

3 RADIUS RFC-määritysten mukaan RADIUS:  On UDP-protokollaa käyttävä yhteydetön protokolla  Käyttää hop-by-hop turvallisuusmallia  On tilaton  Tukee CHAP- ja PAP – protokollia  Käyttää MD5-hash algoritmia salasanan suojaukseen  Tukee AAA-mallia

4 Rajoitteet Proxy-RADIUS-servereiden turvallisuuteen liittyviä puutteita. Valtuutuksen jälkeen ei voida katkaista tai kieltää yhteyttä vaikka palvelu ei joissain tapauksissa olisikaan päällä. Tilattomuus. RADIUS-protokolla ei pidä yllä tietoja edellisistä yhteyksistä. Skaalautuvuusongelmia.

5 AAA Accounting, Authorization, Accouting eli tunnistus, valtuutus ja tilastointi Palvelut koostuvat kolmesta komponentista:  Asiakas  Liityntäpiste  AAA-palvelin

6 AAA Autentikointi  Tunnistetaan käyttäjä  Tunnetuin menetelmä käyttäjätunnus ja salasana yhdistelmä Valtuutus  Valtuutuksella annetaan käyttäjälle lupa käyttää tiettyjä palveluja. Tilastointi  Tilastoinnilla pidetään kirjaa siitä mitä palveluja käyttäjä on käyttänyt yhteyden aikana.

7 RADIUS-protokollan toiminta RADIUS-protokolla käyttää UDP- protokollaa viestien välittämiseen asiakkaalta palvelimelle.

8 RADIUS-protokollan toiminta Tyyppi  Viestin tyyppinä voi olla mm. Access-Request, Access-Accept, Access-Reject ja Access-Challenge. Tunnistekenttä  Tunnistetaan toisiinsa liittyvät paketit.  Arvona on satunnaisluku, jota käytetään palvelimen vastausten tunnistamiseen ja salasanojen salaamiseen. Attribuutit  Kentällä ei ole kiinteää pituutta ja se voi sisältää pyyntöön liittyviä tietoja.

9 RADIUS-protokollan toiminta Tunnistetieto  Tunnistetietokentän tietoja käytetään kahdessa tapauksessa.  Access-Request-viesteissä sitä pidetään pyynnön tunnistetietokenttänä, muissa vastauksen tunnistetietokenttänä.

10 RADIUS-protokollan toiminta Käyttäjän kirjautuessa järjestelmään, liityntäpiste lähettää Access-Request- viestin palvelimelle. Access-Request- viesti sisältää mm. käyttäjätunnuksen ja salasanan. RADIUS-palvelin tarkistaa liityntäpisteen tiedot ja jos tiedot täsmäävät, pyyntö käsitellään.

11 RADIUS-protokollan toiminta Ensimmäiseksi tarkistetaan tietokannasta käyttäjätunnusta vastaavat tiedot. Tietokannasta löytyviin tietoihin on aina liitetty vaatimuksia, jotka käyttäjän on kyettävä täyttämään.  Aina salasana  Muitakin voi olla esim. porttinumero Jos ehdot täyttyvät, palvelin voi joko hyväksyä yhteyden tai lähettää Access-Challenge-viestin.

12 RADIUS-protokollan toiminta Access-Challenge-viesti lähetetään haaste/vastaus-tunnistamismenetelmässä. Käyttäjälle lähetetään ennalta määräämätön satunnaisluku ja käyttäjä ”haastetaan” salaamaan se ja lähettämään takaisin. Salatusta luvusta lasketaan tarkistussumma ja jos se täsmää, käyttäjä autentikoidaan. Jos autentikoinnin jälkeen muutkin tiedot täsmäävät, käyttäjälle lähetetään Access- Accept-viesti.

13 RADIUS-protokollan toiminta Jaetut Salaisuudet (Shared Secrets)  RADIUS käyttää turvallisuuden parantamiseen jaettuja salaisuuksia.  Jaettuja salaisuuksia käytetään kaikessa toiminnassa, jossa käsitellään piilotettua dataa tai kätkettyjä arvoja.  Jokaiselle asiakas-palvelin-parille on oma jaettu salaisuus.

14 FreeRADIUS RADIUS-palvelin, joka on FreeRADIUS- sivuston mukaan maailmalla viiden eniten käytetyn RADIUS-palvelimen joukossa. Skaalautuu pienistä sisäisistä järjestelmistä suuriin, miljoonien käyttäjien järjestelmiin. ??? Valittiin, koska FreeRADIUS on yleinen ja siitä löytyi hyvin tietoja ja ohjeita.

15 Asennus Tar.gz-paketti www.freeradius.org sivuilta.  tar –zxvf freeradius-1.0.2.tar.gz Kääntäminen ./configure –localstatedir=/var – sysconfig=/etc –localstatedir=/var ja sysconfig=/etc ohjaavat kääntäjän käyttämään kyseisiä sijainteja automaattisesti.  make  make install

16 Konfigurointi Aluksi yksinkertainen konfiguraation, jolla testattiin toiminta Kaikki konfiguroitavat tiedostot ovat hakemistossa /etc/raddb. Konfiguroitavat tiedostot:  clients.conf  radiusd.conf

17 clients.conf Sisältää tiedot asiakkaista jotka ovat valtuutettuja ottamaan yhteyden FreeRADIUS-palvelimelle. clients.conf-tiedostossa on jo valmiiksi joitain esimerkkiasiakkaita, kuten localhost ja joitain DEFAULT-määrityksiä.

18 radiusd.conf Tiedosto sisältää lähes kaikki RADIUS-palvelimen perustoimintoihin liittyvät optiot ja toimintaohjeet. RADIUS-palvelimen keskeisin konfigurointi-tiedosto ja muistuttaa Apachen httpd.conf-tiedostoa. Tiedostossa on oletuksena kommentoitu pois käytöstä järjestelmän salasanojen sijainnit. FreeRADIUS tarvitsee näitä tiedostoja käynnistyksessä joten otettiin ne käyttöön poistamalla kommentointi kohdista:  passwd = etc/passwd  shadow = etc/shadow  group = etc/group

19 Testaus Käynnistetään RADIUS-palvelin  radiusd Palvelimen toiminta testattiin radtest-ohjelmalla  radtest root 6218lahiverkot localhost 0 6218lahiverkot, missä root – käyttäjätunnus, 6218lahiverkot – salasana, localhost – testiä varten määritetty asiakas ja 6218lahiverkot – jaettu salaisuus.  Vastauksena Access-Accept Testattiin myös NTRadPing-ohjelmalla.

20 Muita konfiguroitavia tiedostoja users  tiedostossa on kaikki tunnistukseen liittyvät turvallisuustiedot jokaiselle järjestelmään liittyvälle asiakkaalle.  jokaisella asiakkaalla on oma osio, jossa määritellään käyttäjänimi, tunnistukseen liittyviä muuttujia, kuten salasana ja porttinumero.

21 Muita konfiguroitavia tiedostoja hints  tiedosto sisältää tiedot kuinka FreeRADIUS palvelee asiakasta käyttäjänimen perusteella. Jos esimerkiksi käyttäjänimi on user ja asiakas on määritetty käyttämään rlogin-yhteyttä voi käyttäjä kirjautua sisään esimerkiksi käyttäjänimellä Puser ja saada PPP-yhteyden. huntgroups  tiedostossa on erilaisia joukkoja, jotka sisältävät tiedot eri porteista tai muista asiakkaan kommunikointikanavista.  Jos käyttäjällä on salasana johonkin huntgoupiin, hän voi saada esimerkiksi kiinteän IP-osoitteen.

22 WLAN-asiakkaiden tunnistaminen Työn eräänä tavoitteena oli saada WLAN- käyttäjät tunnistettua RADIUS-palvelimen kautta. Työpajan tukiasema ei kuitenkaan tue tällaista ominaisuutta, joten testattiin vain kuinka tukiasema keskustelee palvelimen kanssa.

23 RadiusTest Tehtiin lisäksi muutama yksinkertainen testi RadiusTest-ohjelmalla. Ohjelmalla saadaan lähetettyä erilaisia viestejä erilaisilla sisällöillä palvelimelle.

24 Ylläpito ja seuranta RADIUS-palvelimille on kehitetty erilaisia työkaluja ylläpitoa ja seurantaa varten. FreeRADIUS-ohjelman mukana tulee dialupadmin, jolla pystytään hallitsemaan palvelinta graafisen käyttöliittymän kautta. Lisäksi on joitakin muita suositeltuja ohjelmia ja tietenkin palvelimen omat loki- tiedostot

25 Lähteet www.freeradius.org Hassell, J. 2002. RADIUS. O’Reilly & Associates.

Lataa ppt "RADIUS Mika Korkalainen. Remote Authentication Dial In User Service (RADIUS) Kehitetty Livingston-yhtiössä, erään asiakkaan toivomuksesta. Alkuperäinen."

Samankaltaiset esitykset

Operaattoreiden välinen WLAN- verkkovierailu Wirlab Research Center 2002/2003.

Operaattoreiden välinen WLAN- verkkovierailu Wirlab Research Center 2002/2003.
Ohjelmiston tekninen suunnittelu

Ohjelmiston tekninen suunnittelu
Suorita menulta voit ottaa yhteyden iSeries:iin tai katkaista yhteyden sinne ja poistua RI400:sta.

Suorita menulta voit ottaa yhteyden iSeries:iin tai katkaista yhteyden sinne ja poistua RI400:sta.
Active directory.

Active directory.
1 Heli Lepomäki 24.2.2010. Yritysten ja muiden organisaatioiden käyttöön sähköinen työpöytä on jo leviämässä, koska niiden toiminta ja asiakaspalvelu.

1 Heli Lepomäki Yritysten ja muiden organisaatioiden käyttöön sähköinen työpöytä on jo leviämässä, koska niiden toiminta ja asiakaspalvelu.
Internetin toimintaperiaate ja käyttötavat

Internetin toimintaperiaate ja käyttötavat
Tietoturva, 2 ov jukka.harju@ksao.fi.

Tietoturva, 2 ov
Palveluhakemiston prosessit 10.9.2013 Marketvisio Oy1.

Palveluhakemiston prosessit Marketvisio Oy1.
WLAN ja tietoturvallisuus

WLAN ja tietoturvallisuus
Carita, Kati ja Juuso OSAO Myllytulli ja Mytlpt09E 2010

Carita, Kati ja Juuso OSAO Myllytulli ja Mytlpt09E 2010
Ubuntuun LAMP server sekä Samba tiedostonjako palvelu.

Ubuntuun LAMP server sekä Samba tiedostonjako palvelu.
Klikkaa Työkalut ja Mobile Properties. Sender id = Puhelinnumero, jolta lähetetään ja jolle vastaussanoma palautuu. Password = Operaattorilta saatu palvelun.

Klikkaa Työkalut ja Mobile Properties. Sender id = Puhelinnumero, jolta lähetetään ja jolle vastaussanoma palautuu. Password = Operaattorilta saatu palvelun.
 Kirjoita harkiten keskusteluryhmiin Jos kirjoitat viestejä julkisiin keskusteluryhmiin varmista, että viestisi liittyy ryhmän aiheeseen. Älä lähetä.

 Kirjoita harkiten keskusteluryhmiin Jos kirjoitat viestejä julkisiin keskusteluryhmiin varmista, että viestisi liittyy ryhmän aiheeseen. Älä lähetä.
Wireless Local Area Network (Wireless LAN)

Wireless Local Area Network (Wireless LAN)
AIEMMIN OPITUN TUNNISTAMINEN HOLLANNISSA

AIEMMIN OPITUN TUNNISTAMINEN HOLLANNISSA
Käyttöohje: Kuinka luoda käyttäjätili. (Painamalla F5 voit katsoa tämän diaesityksen)

Käyttöohje: Kuinka luoda käyttäjätili. (Painamalla F5 voit katsoa tämän diaesityksen)
1 WWW-lomakkeet Sähköisen liiketoiminnan tärkeä elementti.

1 WWW-lomakkeet Sähköisen liiketoiminnan tärkeä elementti.
Ennen asentamista  Autentikointilähde LDAP, SQL-tietokanta…  Autentikointimetodi Olemassa oleva kirjautumisjärjestelmä (Pubcookie, CAS…) Uusi autentikointijärjestelmä.

Ennen asentamista  Autentikointilähde LDAP, SQL-tietokanta…  Autentikointimetodi Olemassa oleva kirjautumisjärjestelmä (Pubcookie, CAS…) Uusi autentikointijärjestelmä.
T-76.115 Personal SE assignment Communication Practices Miikka Lötjönen.

T Personal SE assignment Communication Practices Miikka Lötjönen.
Käyttäjätunnukset ja salasanat Mika Pasanen Osao Myllytulli ja Mytlpt09E 2010.

Käyttäjätunnukset ja salasanat Mika Pasanen Osao Myllytulli ja Mytlpt09E 2010.

Samankaltaiset esitykset

Iklan oleh Google