rfc2865[1] (1027731), страница 5
Текст из файла (страница 5)
Рекомендации по передаче повторовЕсли основной и дополнительный серверы RADIUS используют общий разделяемый ключ, разумно пересылать пакетыдополнительному серверу с теми же значениями полей ID и Request Authenticator, поскольку значения атрибутов сохраняются приповторной передаче. При желании можно для запросов к дополнительному серверу использовать другое значение для поляRequest Authenticator.При изменении User-Password или значения любого другого атрибута, нужно задать новое значение поля Request Authenticator и,следовательно, новый идентификатор ID.Если NAS передает повторный запрос тому же серверу, которому был отправлен первичный, и атрибуты запроса не изменились,должны использоваться такие же значения Request Authenticator, ID и номер порта отправителя.
При изменении атрибутовдолжны указываться новые значения Request Authenticator и ID.Сервер NAS может использовать одинаковые значения ID для всех серверов или выбирать ID для каждого сервера по усмотрениюразработчиков. Если серверу NAS требуется более 256 значений ID для исходящих запросов, можно воспользоваться другиминомерами портов отправителя и сохранять значения ID для каждого из таких портов. Это позволит создать до 16 миллионоводновременных запросов к одному серверу.2.6. Пагубность запросов Keep-AliveВ некоторых реализациях используется передача тестовых запросов RADIUS для проверки работоспособности сервера. Этопорочная практика, от которой следует отказаться, поскольку при таком способе проверки работоспособности без всякойпрактической пользы возрастает нагрузка на сервер и снижается уровень масштабируемости.
Вместо отправки тестовых запросовлучше передать серверу нормальный запрос и полученный от сервера отклик подтвердит работоспособность сервера. Если же увас нет запросов для отправки серверу RADIUS, вам нет особой нужды беспокоиться о его работоспособности.Если вы хотите организовать мониторинг сервера RADIUS, используйте протокол SNMP, разработанный специально для такихзадач.3. Формат пакетовВ поле данных пакетов UDP [4] инкапсулируется по одному пакету RADIUS и поле UDP Destination Port для протокола RADIUSдолжно содержать десятичное значение 1812.При генерации откликов номера портов отправителя и получателя меняются местами.В этом документе содержится спецификация протокола RADIUS. Ранние версии RADIUS использовали порт UDP 1645, чтоприводило к конфликтам со службами datametrics.
Официально выделенный для протокола RADIUS порт имеет номер 1812.Ниже показан формат типового пакета RADIUS. Поля передаются слева направо и сверху вниз.01230 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Code| Identifier|Length|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|||Authenticator|||||+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Attributes ...+-+-+-+-+-+-+-+-+-+-+-+-+www.bilim.com6www.protocols.ruПеревод RFC 2865CodeРазумные сети от компании BiLiM SystemsПоле Code имеет размер 1 октет и содержит идентификатор типа пакета RADIUS. При получении пакета с некорректнымзначением поля Code такой пакет отбрасывается без уведомления.Десятичные значения кодов для пакетов RADIUS показаны в таблице.КодТип пакетаКоды 4 и 5 описаны в документе RADIUS Accounting [5].
Коды 12 и 13зарезервированы и могут использоваться, но не рассматриваются в данномдокументе.1 Access-RequestIdentifier3 Access-RejectПоле Identifier размером 1 октет используется для сопоставления запросов соткликами. Сервер RADIUS может детектировать дубликаты запросов посовпадению IP-адреса отправителя, номеру порта отправителя и значению поляIdentifier, если такие пакеты получены в течение короткого промежутка времени.5 Accounting-Response11 Access-ChallengeLength12 Status-Server (экспериментальный)2 Access-Accept4 Accounting-Request13 Status-Client (экспериментальный)Поле Length имеет размер 2 октета и показывает размер пакета с учетом полейCode, Identifier, Length, Authenticator и Attribute.
Октеты за пределами указанного255 Зарезервированв поле размера значения должны трактоваться как заполнение и оставляться безвнимания. Если размер пакета меньше значения поля Length, пакет долженотбрасываться без уведомления. Минимальный размер пакета составляет 20, а максимальный - 4096.AuthenticatorПоле Authenticator имеет размер 16 октетов.
Старший октет поля передается первым. Значение поля применяется дляидентификации откликов от сервера RADIUS, а также используется алгоритмом сокрытия паролей.Request AuthenticatorВ пакетах Access-Request в качестве значения поля Authenticator используется 16-октетное случайное значение RequestAuthenticator. Следует использовать непредсказуемые значения, уникальные в течение срока жизни ключа (пароля, используемогопри обмене информацией между клиентом и сервером RADIUS), поскольку повторное использование значений вкупе с тем жеключом позволит атакующему использовать перехваченные отклики. В предположении что разделяемый секрет можетиспользоваться в географически удаленных серверах, поле Request Authenticator следует делать уникальным в пространственноми временном аспекте.В пакетах Access-Request также следует использовать непредсказуемые значения поля Request Authenticator, чтобы атакующий немог обмануть сервер, предсказав будущий запрос, и использовать полученный от сервера отклик, прикинувшись сервером длябудущих запросов Access-Request.Хотя такие протоколы, как RADIUS, не обеспечивают защиты сеансов идентификации от перехвата путем прямогопрослушивания, использование уникальных и непредсказуемых запросов может обеспечить защиту от множества типов атак насистему идентификации пользователей.Серверы NAS и RADIUS используют разделяемый ключ (пароль).
Этот ключ вместе с Request Authenticator передаютсянеобратимой функции MD5 для создания 16-октетного значения, которое объединяется с введенным пользователем паролем(логическая операция XOR) и результат помещается в атрибут User-Password пакета Access-Request. Более подробное описаниеэтих операций приведено ниже при рассмотрении атрибута User-Password.Response AuthenticatorПоле Authenticator в пакетах Access-Accept, Access-Reject и Access-Challenge называют Response Authenticator. Это поле содержитнеобратимое хэш-значение MD5 рассчитанное для потока октетов, состоящего из пакета RADIUS, начиная с поля Code и включаяполя Identifier, Length и Request Authenticator из пакета Access-Request, атрибутов отклика и разделяемого ключа.
Таким образом,ResponseAuth = MD5(Code+ID+Length+RequestAuth+Attributes+Secret),где знак + обозначает конкатенацию (объединение) строк.Замечания для администраторовРазделяемый ключ (пароль, известный клиенту и серверу RADIUS) следует создавать с соблюдением обычных требований,предъявляемых к хорошим паролям. Предпочтительно использовать ключи размером не менее 16 октетов. Это существеннозатруднит атаки путем подбора ключей. Недопустимо использование пустых (нулевой длины) ключей, поскольку в этом случаеперехват пакетов становится тривиальной задачей.Сервер RADIUS должен использовать IP-адрес отправителя из пакетов RADIUS UDP для выбора разделяемого с клиентомсекрета, чтобы можно было передавать запросы RADIUS через серверы-посредники.При использовании пересылающего proxy, этот сервер-посредник должен быть способен отличать пакеты, передаваемые вкаждом направлении.
При пересылке запросов посредник может добавлять атрибут Proxy-State, а при пересылке откликовпосредник должен удалить добавленный атрибут Proxy-State. Удаляемый или добавляемый атрибут Proxy-State всегда долженбыть последним среди одноименных атрибутов, но делать иные допущения о месте данного атрибута среди прочих атрибутов неследует. Поскольку для откликов Access-Accept и Access-Reject аутентификация осуществляется на уровне всего пакета, удалениеатрибута Proxy-State делает сигнатуру некорректной и proxy-сервер должен заново “подписать” пакет.Другие детали реализации серверов-посредников RADIUS выходят за пределы данной спецификации.4.
Типы пакетовТип пакетов RADIUS определяется значением поля Code (код) в первом октете пакета.www.bilim.com7www.protocols.ruРазумные сети от компании BiLiM SystemsПеревод RFC 28654.1. Пакет Access-RequestПакеты Access-Request передаются серверу RADIUS и содержат информацию, которая используется для того, чтобы определитьимеет ли пользователь право доступа к указанному серверу NAS и службам, запрошенным пользователем. Реализации, желающиеприменять аутентификацию пользователей должны передавать пакет RADIUS с Code = 1 (Access-Request).При получении пакета Access-Request от легитимного клиента должен передаваться соответствующий отклик.В пакеты Access-Request следует включать атрибут User-Name.
Пакет должен содержать по крайней мере один из атрибутов NASIP-Address и NAS-Identifier.Пакет Access-Request должен включать атрибут User-Password, CHAP-Password или State. Недопустимо помещать в пакет обаатрибута User-Password и CHAP-Password. Если в будущих расширениях появятся новые типы идентификационной информациидля включения в пакеты Access-Request, соответствующие атрибуты могут использоваться взамен User-Password или CHAPPassword.В пакеты Access-Request следует включать атрибут NAS-Port или NAS-Port-Type (возможно включение обоих атрибутов), заисключениям тех случаев, когда запрашиваемый тип доступа включает порт или NAS не различает портов.Пакет Access-Request может дополнительные атрибуты, служащие рекомендациями для сервера, но сервер не обязаниспользовать эти атрибуты.При наличии атрибута User-Password для сокрытия значения пароля используется алгоритм RSA MD5 [3].Формат пакета Access-Request показан ниже.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
