LINK DOWNLOAD MIỄN PHÍ TÀI LIỆU "báo cáo radius - nhóm 4 _ 10.05.2012": http://123doc.vn/document/550646-bao-cao-radius-nhom-4-10-05-2012.htm
www.themegallery.com
Sơ đồ nguyên lý kiểm toán Radius
Company Logo
www.themegallery.com
KIẾN TRÚC RADIUS
DẠNG GÓI CỦA RADIUS
Code field: Code field gồm
một octet, xác định kiểu gói của
RADIUS. Khi một gói có mã không
hợp lệ sẽ không được xác nhận
Identifier field: là trường định danh
xác định chỉ IP nguồn và UDP port
Length field: gồm hai octet,
nó bao gồm các code field,
indentifier, length, authentication
và trường thuộc tính.
Authenticator field: gồm 16 octet.
Octet lớn nhất được truyền đi đầu tiên.
Giá trị này được sử dụng để xác
nhận các trả lời từ RADIUS server
và được sử dụng trong thuật toán
ẩn mật khẩu
Attribute filed: chứa các thuộc tính
Của gói
Company Logo
www.themegallery.com
KIẾN TRÚC RADIUS
Gói Access-Request
Gói access-request được
gửi tới RADIUS server.
Nó chuyên chở thông tin dùng
để xác định xem user có được
phép truy cập vào NAS và các
dịch vụ được phép truy cập.
Code field của gói phải có giá trị 1.
Gói access-request phải chứa
các thuộc tính user-name,
user-password hoặc
CHAP-password,và có thể chứa
các thuộc tính NAS-IP-Address,
NAS-Indentifier, NAS-PORT,
NAS-PORT-TYPE ….
Company Logo
www.themegallery.com
KIẾN TRÚC RADIUS
Gói Access-Accept
Gói access-accept được gởi trả
bởi RADIUS server khi tất cả các
giá trị thuộc tính của gói
access-request. Nó cung cấp
thông tin cấu hình cần thiết để
cấp phát các dịch vụ cho user.
Code field: phải có giá trị 2.
Gói access-accept nhận được
ở NAS phải có trường danh hiệu
trùng khớp với access-request
tương ứng đã gởi trước đó và
phải có xác nhận
(response authenticator) phù hợp
với thông tin bí mật dùng chung
Company Logo
www.themegallery.com
KIẾN TRÚC RADIUS
Gói Access-Chellange
Gói access-challenge được
RADIUS server gửi đến user
đòi hỏi thêm thông tin cần thiết
mà user phải trả lời.
Code field của gói phải có
giá trị 11.
Indentifier field của gói
access-challenge phải trùng
khớp với gói access-request
tương ứng đã gửi đi trước đó
và phải có trường xác nhận
(authenticator field) phù hợp
với thông tin bí mật dùng chung.
Company Logo
www.themegallery.com
KIẾN TRÚC RADIUS
Gói Attribute
Type field gồm một octet, giá trị
từ 192-223 là dành riêng cho nghiên
cứu, giá trị từ 224-240 là dành cho
việc thực hiện cụ thể, 241-255 là
dành riêng và không nên sử dụng.
Length biểu thị độ dài của thuộc tính
Value (trường giá trị) Có 4 loại dữ
liệu cho trường giá trị như sau:
Text 1-253 octets containing
UTF-8 encoded character.
String 1-253 octets containing
binary data
Integer 32 bit unsigned value,
most significant octet first
Time 32 bit unsigned value,
most significant octet first
Company Logo
www.themegallery.com
KIẾN TRÚC RADIUS
Gói Access-Reject
Gói access-reject được gởi
trả từ RADIUS server khi có giá
trị thuộc tính không được thỏa.
Code field của mã phải
có giá trị 3. Gói có thể chứa 1 hay
nhiều thuộc tính reply-message
với một thông báo dạng văn bản
mà NAS sẽ hiển thị nó với user.
indentifier field của gói
access-reject chính là bản sao
của gói access-request
tương ứng
Company Logo
www.themegallery.com
KIẾN TRÚC RADIUS
PHƯƠNG THỨC MÃ HÓA VÀ GIẢI MÃ
Gọi “thông tin bí mật chung” là S
Request authentication 128 bit là RA
Các ký tự NULL được thêm vào
mật khẩu là p1, p2
Các khối mật mã dạng văn bản
(ciphertext blocks) là c(1), c(2)
Các giá trị trung gian là b1, b2…
Dấu + là phép cộng chuỗi
MD5 băm một chiều (one-way MD5 hash)
sẽ được xây dựng từ chuỗi các byte của
“thông tin bí mật chung” giữa NAS và
RADIUS server và thường xác nhận
yêu cầu.Giá trị tính được sẽ XOR
với đoạn 16 byte đầu tiên của mật khẩu,
kết quả sẽ được đặt vào 16 byte đầu tiên
của trường giá trị của thuộc tính
user-password.
Công Thức Mã Hóa Password
b1 = MD5(S + RA) c(1) = p1 xor b1
b2 = MD5(S + RA) c(2) = p2 xor b2
b3 = MD5(S + RA) c(3) = p3 xor b3
. .
. .
. .
. .
b1 b2 b3 phụ thuộc vào chiều dài của
mật khẩu (tối đa 128 ký tự)
Company Logo
www.themegallery.com
KẾT QUẢ THỰC NGHIỆM
CÁC BƯỚC THỰC HIỆN TRÊN AD
Company Logo
www.themegallery.com
KẾT QUẢ THỰC NGHIỆM
CÁC BƯỚC THỰC HIỆN TRÊN NAS
Không có nhận xét nào:
Đăng nhận xét