RADIUS

RADIUS (Remote Authentication Dial In User Service, česky Uživatelská vytáčená služba pro vzdálenou autentizaci) je AAA protokol (authentication, authorization and accounting, česky autentizace, autorizace a účtování) používaný pro přístup k síti nebo pro IP mobilitu. Může pracovat jak lokálně tak i v roamingu.

Mezi nejdůležitější vlastnosti patří jeho vysoká síťová bezpečnost, neboť transakce mezi klientem a serverem RADIUS je autentizována pomocí sdíleného tajemství, které není nikdy posíláno přes síť. Pouze uživatelská hesla jsou přes síť zasílána šifrovaně. Uživatelská jména, účtování apod. můžou byt odposlechnuta třetí osobou, protože tato data nejsou přenášena šifrovaně.

Postup autentizace

Postup autentizace je následující: uživatel vydá klientovi Požadavek na autentizaci, klient vytvoří Požadavek na přístup (Access Request) obsahující uživatelské jméno, heslo a ID portu, přes který je uživatel připojen. Požadavek na přístup je odeslán serveru RADIUS a čeká se na odpověď. Pokud nepřijde do určeného času (timeoutu) žádná odezva, Požadavek na přístup se opakuje, zpravidla 3 až 5 krát.

Pokud není splněna některá z podmínek, server RADIUS odešle Zamítnutí přístupu (Access Reject). Do datové oblasti paketu je dovoleno umístit maximálně textovou zprávu, která smí být zobrazena pomocí klienta uživateli. Žádné další atributy nejsou v odpovědi Access Reject povoleny.

Jestliže jsou všechny podmínky splněny, server RADIUS odešle Povolení přístupu (Access Accept), kde v datové oblasti paketu jsou uloženy všechny potřebné konfigurační informace (IP adresa, maska sítě, login uživatele a vše, co je potřeba předat požadované službě).

Formát RADIUS paketu

Paket protokolu RADIUS je zabalen do datové části segmentu UDP s hodnotou cílového portu 1812 – oficiálně přidělené číslo portu pro RADIUS je 1812. Skládá se z HEAD (8 bitů) identifikuje typ paketu RADIUS, identifikátor (8 b), Délka (16 b) určuje velikost paketu RADIUS od HEAD po atributy, minimálně 20 bitů, maximálně 4096 bitů, Datová oblast – Authenticator (128 bitů, je náhodně vygenerované číslo, které je použito na ověřování správné autentizace – viz níže) a oblast atributy, které nesou specifické autentizační, konfigurační nebo autorizační detaily pro požadavky či odpovědi. Konec seznamu atributů je určen délkou paketu RADIUS.

Ověření správnosti Autentizace: na sdílené tajemství (šifru) a Request Authenticator (128 bitů) je aplikována jednocestná hashovací funkce MD5, pomocí které je vytvořena 128 bitů velká hodnota, která je dále xorována s uživatelským heslem.

Příklad použití

Při připojení k poskytovateli Internetu pomocí vytáčeného připojeníDSL, nebo Wi-Fi je u některých poskytovatelů vyžadováno přihlašovací uživatelské jméno a heslo. Tato informace je poslána do takzvaného Network Access Server (NAS) zařízení přes Point-to-Point Protocol (PPP). Poté je předána server RADIUS pomocí protokolu RADIUS. Server RADIUS ověří pravost informace použitím autentizačních schémat jako PAPCHAP nebo EAP. Pokud je uživatelské jméno a heslo přijato, server autorizuje přístup k poskytovateli internetu a vybere IP adresu (popřípadě rozsah adres) a další parametry spojení, což mohou být např. L2TP přihlašovací údaje, doba, po kterou může být uživatel připojen, rychlost připojení, kterou může uživatel používat, nebo jiná omezení. RADIUS protokol neposílá hesla mezi NAS a RADIUS serverem v čistém textu (ani při použití s PAP protokolem), používá se MD5 hašování.

RADIUS server bude také upozorněn na spuštění nebo ukončení sezení, takže uživatel může platit přesně podle těchto RADIUS informací nebo mohou být tyto použity pro statistické účely. Tyto údaje mohou sloužit (při použití SIP přihlašovacích údajů z koncového VoIP zařízení) k účtování hovorů.

Historie

RADIUS byl původně vyvinut společností Livingston Enterprises pro jejich PortMaster série Network Access Servers a později (1997) zveřejněny jako RFC 2058 a RFC 2059 (současné verze jsou RFC 2865 a RFC 2866). Nyní existuje několik komerčních a open-source RADIUS serverů. Vlastnosti se liší, ale většina umožňuje dohledávat uživatele v textových souborech, LDAP serverech, různých databázích a podobně. Účtovací informace se mohou zapisovat do textových souborů, různých databází, přeposílat na externí servery a podobně. SNMP je často používáno pro vzdálené monitorování. RADIUS proxy servery jsou používány pro centrální správu a mohou přepisovat RADIUS pakety za běhu (z bezpečnostních důvodů, nebo pro překlady mezi dialekty jednotlivých výrobců).

RADIUS je jako autentizační protokol běžně používán v IEEE 802.1X bezpečnostním standardu (často používán v bezdrátových sítích). I když nebyl RADIUS původně vytvořen pro autentizační metody v bezdrátových sítích, vylepšuje WEP zabezpečení ve spojení s ostatními bezpečnostními metodami jako EAP-PEAP.

RADIUS je rozšiřitelný a většina výrobců zařízení a software používají vlastní RADIUS dialekty.

DIAMETER protokol je plánován jako náhrada RADIUS. DIAMETER používá jako transportní vrstvu TCP zatímco RADIUS používá UDP.

Oficiálně přidělené čísla UDP portů pro RADIUS protokol jsou pro autentizaci 1812 a pro účtování 1813. Přesto některé implementace používají jako výchozí UDP porty 1645 resp. 1646 (například Cisco nebo Juniper)[zdroj?]

Standardy

RADIUS protocol je v současnosti definován v:

Další příbuzné RFC standardy jsou: