FACULDADE ESTCIO DO PAR

SANDRO BRITO BARBOSA, THSSIO RODRIGO TEIXEIRA DOS SANTOS

SERVIDORES RADIUS

Belm/PA 2013

SANDRO BRITO BARBOSA, THSSIO RODRIGO TEIXEIRA DOS SANTOS

SERVIDORES RADIUS

Trabalho referente a Servidores Radius da disciplina Redes sem Fio, ministrada por Paulo Lourinho. Realizado pelos alunos: Sandro Brito Barbosa, Thssio Rodrigo Teixeira dos Santos.

Belm/PA 2013

SUMRIO
Introduo ..................................................................................................................................... 4 1- Funcionamento do servidor. ..................................................................................................... 5 2- ProtocoloS de transportes. ....................................................................................................... 6 2.1- Campo Cdigo .................................................................................................................... 6 2.2- Campo Identificador .......................................................................................................... 6 2.3- Campo Comprimento ......................................................................................................... 6 2.4- Campo Autenticador .......................................................................................................... 7 3- segurana. ................................................................................................................................. 7 Concluso. ..................................................................................................................................... 8 Referncias: ................................................................................................................................... 9

INTRODUO O servido RADIUS um sistema utilizado para prover uma autenticao centralizada em redes VPN's (Virtual Private Network), dial-up e redes sem fio, o mesmo trabalha operando no modelo cliente-servidor, onde o Network Access Server (NAS) o cliente. , o qual este cliente tambm um servidor, mas atua como um cliente para o servidor RADIUS, o usurio neste caso no o cliente. responsvel por obter a informao sobre o cliente e repass-la para o servidor RADIUS, alm de interpretar a resposta, dando ou no acesso ao cliente; Responsabiliza-se de receber pedidos de conexo, autenticando o usurio e repassa-las ao NAS as informaes necessrias para que esse usurio tenha acesso a rede. Podendo tambm ter as caractersticas de funcionamento de um proxy para outros servidores iguais a ele. Este sistema de servidor proporciona ao usurio maior segurana em suas senhas, pois este tipo de informao passada entre servidor e cliente RADIUS com utilizao de chaves simtricas e criptografia com a utilizao do MD5 (RSA Message Digest Algorithm), anulando assim a passagem da senha do usurio pela rede. Esse mecanismo de segurana do servidor RADIUS suporta vrios mecanismos de autenticao como, por exemplo, o ppp pap e Unix login. Em seu modo de operao configurado um cliente RADIUS para ter informaes do usurio como nome e a senha de uma janela, h tambm a possibilidade de se fazer a autenticao por pacotes que carregam as informaes necessrias atravs de protocolos como o ppp (point-to-point protocol). Ao serem recebidas estas informaes pelo cliente o mesmo pode optar por fazer a autenticao RADIUS, criando para o usurio uma autenticao digital chamada de Accessrequest, o qual contm os campos senha, nome do usurio, o port ID e ID que o usurio acessa. Quando enviado pela rede o Access-request para o servidor, se ocorrer falhas, o pedido pode ser reenviado tanto para o servidor principal quanto para seus slaves, quando recebido este pedido ser feita pelo servidor a checagem de reconhecimento do cliente atravs do compartilhamento de senhas entre cliente e servidor RADIUS caso no seja reconhecida tal senha compartilhada o pacote ser descartado.

1- FUNCIONAMENTO DO SERVIDOR. Um dos meios para aumentar a segurana na rede foi a criao do servidor RADIUS, com o objetivo de dificultar a invaso de informaes nos servidores, este servidor cria mecanismos como criptografia de senhas para que no seja possvel a violao das informaes . Quando a conferncia validada para o cliente este servidor compara alguns dados do pedido conferindo a identidade do usurio com sua senha e base de dados, relacionando tambm seu nvel de acesso ao sistema o qual foi autorizado a usar. O Access-Reject acontece quando as condies do servidor no so satisfeitas, esta mensagem ento aparecer para o cliente, mesmo o usurio correspondendo a todos os atributos esperados o servidor envia uma mensagem como desafio para o usurio (Accesschallenge), aps este desafio o servidor pode ou no dar acesso a este usurio ou continuar repetindo este desafio dependendo da resposta deste e o reenvio do o Access-Request com um novo ID e a resposta no lugar da senha. desafio uma sequencia de nmeros enviada pelo servidor para o usurio, que dever criptografa-la e envi-la de volta. O access-accept dado quando o servidor d acesso ao cliente para que utilize o servio solicitado atravs de uma lista de atributos a exemplo do NAS .

Fig 1 NAS (Network Access Server).

2- PROTOCOLOS DE TRANSPORTES. O RADIUS por motivos tcnicos utiliza o protocolo UDP, pois, se um servidor falhar o cliente pode buscar por outro que o substitua, para que a informao seja encontrada de maneira rpida no se importando se a informao ir ser perdida ou no. Considera-se tambm que clientes e servidores podem entrar e sair da rede a qualquer momento e o protocolo UDP suporta isso automaticamente coisa que o TCP deveria passar por adaptaes para que fosse possvel com o mesmo. Quanto a Retransmisso utilizando um servidor alternativo RADIUS, possvel desde que os dois servidores possuam a mesma senha de comunicao com o cliente, poder ser utilizado o mesmo Request Authenticator e ID, Podendo tambm configurar para pacotes pedidos diferentes ao mudar de servidor. O formato de seu pacote de RADIUS encapsulado no campo de dados do UDP, indicando a porta de destino como a 1812, Quando uma resposta gerada, as portas de origem e destino so trocadas, os campos so enviados na ordem da direita para a esquerda seguindo o seguinte formato:

Fig. 2

2.1- Campo Cdigo: Formado por um byte, e identifica o tipo de pacote RADIUS. Caso no possua uma identificao conhecida, ocorre um "silent discard". 2.2- Campo Identificador: Tambm composto por um byte, auxilia na ligao de pedidos e respostas. O servidor RADIUS pode detectar um pedido duplicado, por exemplo, verificando que os pedidos possuem o mesmo IP do cliente, a mesma porta UDP e o mesmo ID em um pequeno espao de tempo. 2.3- Campo Comprimento: Possui 2 bytes. Indica o tamanho total do pacote, incluindo todos os campos. Octetos fora do limite especificado por este campo so descartados. Caso o pacote possua um tamanho menor que o indicado, ele descartado silenciosamente. O tamanho mnimo do pacote de 20 e o mximo 4096.

2.4- Campo Autenticador: Possui 16 octetos. O primeiro byte transmitido o mais importante, pois possui um nmero que utilizado para autenticar a resposta do servidor RADIUS, alm de tambm ser usado no algoritmo para esconder a senha. 3- SEGURANA. Neste servidor associa-se uma base de dados contendo o nome do usurio e o seu segredo, o qual mantido de forma segura sendo acessvel apenas pelas autoridades responsveis pela autenticao. O maior problema com relao a guardar as senhas, a sua distribuio pelos servidores. Outro fator que cada usurio s pode se logar utilizando um tipo de autenticao dessa forma, se por alguma razo o usurio necessitar de mltiplos mtodos de autenticao, ele deve possuir um nome de usurio para cada um deles.

CONCLUSO. O servidor RADIUS uma soluo em nossos dias atuais no que tange a segurana das informaes entre cliente e usurio pois o foco principal a senha deste cliente o qual no pode passar em aberto pela rede sendo mantida bastante segurana atravs de tratamento especial quando esta senha transmitida. De acordo com o nvel de segurana, o servidor RADIUS pode ser uma soluo sendo importante ressaltar que por falta de estudos criptogrficos exaustivos ainda no se comprovou a segurana do mtodo utilizado. Sendo assim deve-se optar em uma rede que apresenta um ambiente muito hostil quanto segurana, pela utilizao do servidor RADIUS.

REFERNCIAS:

http://www.microsoft.com/windows2000/techinfo/administration/radius.asp http://www.ietf.org/rfc/rfc2865.txt?number=2865 http://www.cisco.com/warp/public/471/understanding_ppp_chap.html#1 http://theory.cs.uni-bonn.de/ppp/part2.html http://www.clubedasredes.eti.br/rede0008.htm