null身份验证与网络接入控制身份验证与网络接入控制主要内容主要内容AAA
RADIUS
802.1x
课程议题课程议题基本概念基本概念 AAA Authentication、Authorization、Accounting验证、授权、记费
PAP Password Authentication Protocol 密码验证
CHAP Challenge-Handshake Authentication Protocol
盘问握手验证协议
NAS Network Access Server 网络接入服务器
RADIUS Remote Authentication Dial In User Service
远程验证拨入用户服务(远程拨入用户验证服务)AAA介绍AAA介绍AAA(Authentication、Authorization、Accounting,认证、授权、计费)提供了对认证、授权和计费功能的一致性框架
AAA 是一个提供网络访问控制安全的模型,通常用于用户登录设备或接入网络。
AAA主要解决的是网络安全访问控制的问题
相对与其他的本地身份认证、端口安全等安全策略,AAA能够提供更高等级的安全保护。
AAA介绍-cont.AAA介绍-cont.Authentication:认证模块可以验证用户是否可获得访问权。
Authorization:授权模块可以定义用户可使用哪些服务或这拥有哪些权限。
Accounting:计费模块可以记录用户使用网络资源的情况。可实现对用户使用网络资源情况的记帐、统计、跟踪。
AAA基本模型AAA基本模型AAA基本模型中分为用户、NAS、认证服务器三个部分
用户向NAS设备发起连接请求
NAS设备将用户的请求转发给认证服务器
认证服务器返回认证结果信息给NAS设备
NAS设备根据认证服务器返回的认证结果对用户采取相应认证、授权、计费的操作
AAA的认证功能AAA的认证功能AAA 服务器本地认证远端认证AAA的授权功能AAA的授权功能RADIUS 服务器本地授权远端授权AAA的计费功能AAA的计费功能远端计费RADIUS 服务器/TACACS服务器课程议题课程议题nullRADIUS ( Remote Authentication Dial In User Service 远程认证拨号用户服务)是在网络接入设备和认证服务器之间进行认证授权计费和配置信息的协议
RADIUS协议特点RADIUS协议特点客户/服务器模型:网络接入设备(NAS)通常作为RADIUS服务器的客户端。
安全性:RADIUS服务器与NAS之间使用共享密钥对敏感信息进行加密,该密钥不会在网络上传输。
可扩展的协议
:RADIUS使用属性-长度-值(AVP,Attribute-Length-Value)数据封装
,用户可以自定义其他的私有属性,扩展RADIUS的应用。
灵活的鉴别机制:RADIUS服务器支持多种方式对用户进行认证,支持PAP、CHAP、UNIX login等多种认证方式。
RADIUS: Basics
Authentication Data FlowRADIUS: Basics
Authentication Data FlowISP User DatabaseISP Modem PoolUser dials modem pool and establishes connectionUserID: bob Password: ge55gepUserID: bob Password: ge55gep NAS-ID: 207.12.4.1Select UserID=bobBob password=ge55gep Timeout=3600 [other attributes]Access-Accept User-Name=bob [other attributes]Framed-Address=217.213.21.5The InternetISP RADIUS ServerInternet PPP connection establishedRADIUS: Basics
Authentication Data FlowRADIUS: Basics
Authentication Data FlowISP Accounting DatabaseISP Modem PoolAcct-Status-Type=Start User-Name=bob Framed-Address=217.213.21.5 … ...Sun May 10 20:47:41 1998 Acct-Status-Type=Start User-Name=bob Framed-Address=217.213.21.5 … ...
The InternetISP RADIUS ServerInternet PPP connection establishedAcknowledgement
The Accounting “Start” RecordRADIUS: Basics
Authentication Data FlowRADIUS: Basics
Authentication Data FlowISP Accounting DatabaseISP Modem PoolThe InternetISP RADIUS ServerInternet PPP connection establishedAcct-Status-Type=Stop User-Name=bob Acct-Session-Time=1432 … ...
Sun May 10 20:50:49 1998 Acct-Status-Type=Stop User-Name=bob Acct-Session-Time=1432 … ...
Acknowledgement
The Accounting “Stop” RecordUser Disconnects验证验证当用户想要通过某个网络(如电话网)与 NAS建立连接从而获得访问其他网络的权利时,NAS可以选择在NAS上进行本地认证计费,或把用户信息传递给RADIUS服务器,由Radius进行认证计费;
RADIUS 协议规定了NAS与RADIUS 服务器之间如何传递用户信息和记账信息;
RADIUS服务器负责接收用户的连接请求,完成验证,并把传递服务给用户所需的配置信息返回给NAS。
本地(NAS)验证——PAP方式:本地(NAS)验证——PAP方式:PAP(Password Authentication Protocol)是密码验证协议的简称,是认证协议的一种。
用户以明文的形式把用户名和他的密码传递给NAS,NAS根据用户名在NAS端查找本地数据库,如果存在相同的用户名和密码表明验证通过,否则表明验证未通过。
本地(NAS)验证——CHAP方式 本地(NAS)验证——CHAP方式 CHAP(Challenge Handshake Authentication Protocol)是盘问握手验证协议的简称,是我们使用的另一种认证协议。
Secret Password = MD5(Chap ID + Password + challenge)
本地(NAS)验证——CHAP方式 本地(NAS)验证——CHAP方式当用户请求上网时,服务器产生一个16字节的随机码(challenge)给用户(同时还有一个ID号,本地路由器的 host name)。用户端得到这个包后使用自己独用的设备或软件对传来的各域进行加密,生成一个Secret Password传给NAS。NAS根据用户名查找自己本地的数据库,得到和用户端进行加密所用的一样的密码,然后根据原来的16字节的随机码进行加密,将其结果与Secret Password作比较,如果相同表明验证通过,如果不相同表明验证失败。
Secret Password = MD5(Chap ID + Password + challenge)
null 远端(Radius)验证——PAP方式:远端认证——PAPSecret password =Password XOR MD5(Challenge + Key)
(Challenge就是Radius报文中的Authenticator)我查……
我算……
我验……null 远端(Radius)验证——CHAP方式:远端认证——CHAPSecret password = MD5(Chap ID + Password + challenge)我查……
我算……
我验……认证过程认证过程课程议题课程议题概述概述IEEE802.1x(Port-Based Network Access Control)是一个基于端口的网络访问控制
,为LAN接入提供点对点式的安全接入。
基于端口的网络接入控制(Port Based Network Access Control) 只有用户通过认证,端口才被”开放“,否则端口处于”关闭“状态
802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许文所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1X的认证报文EAPOL(Extensible Authentication Protocol over LAN)通过。802.1x认证体系802.1x认证体系802.1x是一个Client/Server结构
802.1x认证体系中的组件
恳求者系统(Supplicant System)
认证系统(Authenticator System)
认证服务器系统(Authentication Server System)
802.1x认证组件802.1x认证组件恳求者系统(Supplicant)
也称为客户端(Client)
通常为支持802.1x认证的用户终端设备
安装802.1x客户端软件
Ruijie Supplicant
Windows XP
认证系统(Authenticatior System)
对恳求者进行认证
作为恳求者与认证服务器之间的“中介”
为恳求者提供服务端口(物理、逻辑)
非受控端口
始终处于双向连通状态,用来传递EAPoL协议帧802.1x认证组件802.1x认证组件受控端口
只有在认证通过的状态下才打开,用于传递网络资源和服务
认证通过之前只允许EAPoL(Extensible Authentication Protocol overLAN)帧通过
认证系统与认证服务器之间也运行EAP
认证系统将EAP帧封装到RADIUS报文中发送给认证服务器802.1X机制802.1X机制ControlledUn-Controlled非受控端口主要是用来连接认证服务器,以便保证服务器与交换机的正常通讯连接在受控端口的用户只有通过认证才能访问网络资源EAPOLEAPOL802.1x认证组件802.1x认证组件认证服务器系统(Authentication Server System)
提供认证服务
通常是一个RADIUS服务器
将认证结果返回给认证系统EAPEAPEAP(ExtensibleAuthentication Protocol)
恳求者与认证系统之间使用
EAP承载认证信息
EAP帧被封装到LAN协议中(例如Ethernet),即EAPoL802.1x工作机制802.1x工作机制在客户端与交换机之间,EAP协议报文(承载认证信息)直接被封装到LAN协议中
在交换机与RADIUS服务器之间,EAP协议报文被封装到RADIUS报文中,即EAPoRADIUS报文
交换机在整个认证过程中不参与认证,所有的认证工作都由RADIUS服务器完成
当RADIUS服务器对客户端身份进行认证后,将认证结果(接受或拒绝)
返回给交换机,交换机根据认证结果决定受控端口的状态802.1X认证过程802.1X认证过程null常用的认证计费技术/方式常用的认证计费技术/方式PPPoE + Radius
WEB Portal + Radius
802.1X + RadiusPPPoE认证计费技术PPPoE认证计费技术Internet核心三层交换机PPPoE的BAS设备二层的楼栋交换机PPPoE的客户端软件Radius服务器瓶颈!!DHCP+Web认证计费技术DHCP+Web认证计费技术Internet核心交换机Web Portal的BAS设备Radius服务器普通的接入交换机用户瓶颈!!802.1X认证计费技术802.1X认证计费技术802.1X交换机认证报文流业务数据流InternetRadius服务器核心交换机汇聚交换机高效!!汇聚交换机接入层启用802.1x
接入层启用802.1x
接入层启用802.1x
接入层启用802.1x
接入层启用802.1x
拓扑需求
客户端主机需支持802.1x客户端
接入层(Access)交换机需支持802.1x
支持标准RADIUS协议的RADIUS服务器
配置要点
接入层连接客户端主机的访问端口需要启用802.1x认证null某公司 总部和分公司之间通过PPP链路连接,为了提高接入网络的安全性,公司
各分公司通过PPP链路接入公司总部时都要进行认证,为了不影响路由器的性能,考虑通过RADIUS服务器进行AAA认证。null某企业
网络管理员为了防止有公司外部的用户将电脑接入到公司网络中,造成公司信息资源受到损失,希望员工的电脑在接入到公司网络之前进行身份验证,只有具有合法身份凭证的用户才可以接入到公司网络。null某企业
网络管理员为了防止有公司外部的用户将电脑接入到公司网络中,造成公司信息资源受到损失,希望员工的电脑在接入到公司网络之前进行身份验证,只有具有合法身份凭证的用户才可以接入到公司网络。网络管理员考虑在分布层部署802.1x,安全网络接入。