Оптимізація процесу автентифікації, авторизації та обліку з використанням radius протоколу

Размещено на http://www.allbest.ru/

Оптимізація процесу автентифікації, авторизації та обліку з використанням radius протоколу

Кірей Катерина Олександрівна кандидат педагогічних наук, доцент, доцент кафедри інженерії програмного забезпечення, Чорноморський національний університет імені Петра Могили, м. Миколаїв



Анотація

Організація роботи користувачів із використанням можливостей комп'ютерних мереж висуває певні вимоги щодо захисту інформації та контролю їхніх дій. Отже, перед організаціями постає питання: "Як організувати керований доступ користувачів до комп'ютерної мережі?". Одним із способів є використання мережевого протоколу, призначеного для забезпечення централізованої автентифікації, авторизації і обліку (Authorization, Authentication and Accounting (AAA)) користувачів, які підключаються до різних мережевих служб - RADIUS. Цей протокол описано в стандартах RFC 2865 Remote Authentication Dial In User Service (RADIUS) та RfC 2866 RADIUS Accounting. Окрім цього RADIUS має стосунок до багатьох інших протоколів, що використовуються в комп'ютерних мережах. Нині RADIUS набув широке застосування в різних галузях промисловості. Зокрема, цей протокол застосовується операторами у автоматизованих системах обліку використаних ресурсів мережі абонентом. Однак не всі наявні налаштування RADIUS-сервера можуть задовольняти вимогам оператора або адміністратора мережі. Для оптимізації процесу ААА з використанням RADIUS протоколу необхідно створити модуль розширення RADIUS-сервера, який буде відповідати взаємодії клієнта із системою обліку роботи користувача з мережевими ресурсами. У статті розглядаються провідні принципи механізму AAA за RADIUS протоколом, звернено увагу на особливості реалізації захищеності каналів обміну інформацією між RADIUS-сервером та RADIUS- клієнтом. Оптимізація процесу AAA продемонстровано на прикладі створення модуля розширення RADIUS-сервера для інтернет-провайдера. Розроблений модуль розширення RADIUS-сервера виконує логіку процесу AAA й дає змогу оптимізувати цей процес завдяки розподілу навантаження на RADIUS-сервер.

Ключові слова: комп'ютерна мережа, RADIUS протокол, автентифікація, авторизація, облік.

Kirei Kateryna Oleksandrivna Candidate of Pedagogical Sciences, Associate Professor, Associate Professor of the Department of Software Engineering, Petro Mohyla Black Sea National University, Mykolaiv

OPTIMIZATION OF AUTHENTICATION, AUTHORIZATION AND ACCOUNTING PROCESS OVER THE RADIUS PROTOCOL

Abstract. The organization of users' work using the capabilities of computer networks imposes certain requirements for protecting information and monitoring their actions. So, organizations face the question: "How to organize managed user access to the computer network?". One of the ways is to use a network protocol designed to provide centralized authentication, authorization and Accounting (AAA) for clients who connect to various network services - RADIUS. This protocol is described in the RFC 2865 Remote Authentication Dial In User Service (RADIUS) and RFC 2866 RADIUS Accounting standards. In addition, RADIUS is related to many other protocols used in computer networks. Currently, RADIUS is widely used in various industries. In particular, this protocol is used by operators in automated accounting systems for network resources used by the subscriber. However, not all available RADIUS server settings can meet the requirements of the operator or network administrator. To optimize the AAA process using the RADIUS protocol, you need to create a RADIUS server extension module that will correspond to the client's interaction with the user's network resource accounting system. The article discusses the leading principles of the AAA mechanism for the RADIUS protocol, draws attention to the features of implementing the security of information exchange channels between the RADIUS server and the RADIUS client. Optimization of the AAA process is demonstrated by creating a RADIUS server extension module for an internet service provider. The developed RADIUS server extension module performs the logic of the AAA process and allows you to optimize this process by distributing the load on the RADIUS server.

Keywords: computer network, RADIUS protocol, authentication, authorization, accounting.Постановка проблеми. Нині ми не уявляємо життя без інформаційних технологій, де значне місце посідають технології зберігання та обміну інформацією, віддаленого доступу до певних ресурсів, розподілення навантаження в інформаційних системах, віддаленого керування тощо. Усе це пов'язано з використанням комп'ютерних мереж. Комп'ютерні мережі надають користувачам можливість швидкої передачі інформації на великі відстані, оперативного пошуку інформації, обміну інформацією в режимі офлайн або онлайн, збереження інформації на віддалених серверах для подальшої обробки, інтерактивного зв'язку тощо. Проте організація роботи користувачів із використанням можливостей комп'ютерних мереж висуває певні вимоги щодо захисту інформації та контролю дій. Отже, перед організаціями постає питання: "Як організувати керований доступ користувачів до комп'ютерної мережі?". Особливо актуальним це питання є для операторів електронних телекомунікацій (операторів).

Для організації взаємодії в будь-якій комп'ютерній мережі використовуються набори правил, обов'язкові для дотримання всіма пристроями та програмним забезпеченням мережі. Зокрема, RADIUS (служба віддаленої автентифікації користувачів, що додзвонюються) - мережевий протокол, призначений для забезпечення централізованої автентифікації, авторизації і обліку (Authorization, Authentication and Accounting (AAA)) користувачів, які підключаються до різних мережевих служб [1]. Цей протокол описано в стандартах RFC 2865 і RFC 2866 [2: 3].

RADIUS набув широке застосування в різних галузях промисловості. Зокрема, цей протокол застосовується операторами у автоматизованих системах обліку використаних ресурсів мережі користувачем або абонентом. Однак не всі наявні налаштування RADIUS-сервера можуть задовольняти вимогам оператора або адміністратора мережі. Для оптимізації процесу AAA з використанням RADIUS протоколу необхідно створити модуль розширення RADIUS-сервера, який буде відповідати взаємодії клієнта із системою обліку роботи користувача з мережевими ресурсами або автоматизованою системою розрахунків (АСР) [4]. комп'ютерний мережа автентифікація

Аналіз останніх досліджень і публікацій. Функціонування компонентів комп'ютерної мережі стандартизовано, що знайшло відображення в розробці чисельних протоколів та стандартів зв'язку, наукової та технічної літературі [5-7] та ін., досліджень керування доступом [8-13] та ін.

Як уже було зазначено, RADIUS описано в стандартах RFC 2865 Remote Authentication Dial In User Service (RADIUS) та RFC 2866 RADIUS Accounting. Окрім цього RADIUS має стосунок до таких стандартів [1]: RFC 2548 Microsoft Vendor-specific RADIUS Attributes, RFC 2607 Proxy Chaining and Policy Implementation in Roaming, RFC 2618 RADIUS Authentication Client MIB, RFC 2619 RADIUS Authentication Server MIB, RFC 2620 RADIUS Accounting Client MIB, RFC 2621 RADIUS Accounting Server MIB, RFC 2809 Implementation of L2tP Compulsory Tunneling via RADIUS, RFC 2867 RADIUS Accounting Modifications for Tunnel Protocol Support, RFC 2868 RADIUS Attributes for Tunnel Protocol Support, RFC 2869 RADIUS Extensions, RFC 2882 Network Access Servers Requirements: Extended RADIUS Practices, RFC 3162 RADIUS and IPv6, RFC 3575 IANA Considerations for RADIUS, RFC 3576 Dynamic Authorization Extensions to RADIUS тощо.

Метою статті є висвітлення підходів щодо оптимізації процесів автентифікації, авторизації та збору даних про спожиті ресурси мережі з використанням модуля розширення RADIUS-сервера.

Виклад основного матеріалу. Концепція RADIUS networking народилася на початку 90-х років [4]. Спочатку RADIUS був тільки протоколом AAA для користувачів з комутованим доступом. Пізніше, з розвитком методів доступу користувачів, RADIUS було адаптовано до інших методів доступу, таких як доступ через Ethernet. Він надає доступ за автентифікації та авторизації, а також збирає і записує дані використання мережевих ресурсів користувачами для стягування плати.

RADIUS використовує два типи пакетів для управління повним процесом AAA [1]: запит доступу, який управляє автентифікацією і авторизацією; запит обліку, який управляє обліком. Автентифікація і авторизація визначено в RFC 2865, у той час як облік описано в RFC 2866.

Незважаючи на те що є безліч способів побудови мереж із використанням RADIUS, загальна структура може бути представлена у вигляді, представленому на рис. 1.

Рис. 1 Структура мережі з RADIUS сервером

Місце NAS може займати VPN-сервер, PPPoE-сервер, RAS (Remote Access Server), мережевий комутатор тощо. RADIUS-сервер може бути частиною виключно локальної мережі або ж мати доступ до мережі Інтернет. Бази автен- тифікації зберігають інформацію про користувачів (абонентів) та права їхнього доступу до різних сервісів. Термін "база" в цьому випадку є збірним, оскільки дані можуть зберігається як локально, у текстових файлах і різного роду БД, так і на віддалених серверах (SQL, Kerberos, LDAP, Active Directory тощо).

Механізми автентифікації і авторизації, як уже зазначалося вище, описані в RFC 2058. Вони протікають за такою схемою (рис. 2): RADIUS- клієнт відправляє RADIUS-серверу запит доступу (Access Request), у якому містяться дані автентифікації (логін і пароль, сертифікат доступу).



Рис.2 Механізми автентифікації і авторизації

Після порівняння отриманих даних із наявними в базі, сервер може відправити одну з декількох відповідей [12, С.10-15]:

- Access-Accept - доступ отримано, можна починати використання ресурсів. Пакет, що несе цю відповідь, також може містити додаткову інформацію: IP, що видано користувачеві, допустиму тривалість сесії, максимальний обсяг переданого трафіку тощо;

- Access-Challenge - потрібне введення додаткових даних (PIN, додаткового пароля). Використання цієї відповіді дає змогу проводити процедури складної автентифікації в рамках захищеного мережевого тунелю, встановленого безпосередньо між користувачем і серверними машинами (для уникнення "осідання" даних на сервері доступу);

- Access-Reject - доступ заборонено через невірно вказані дані або брак користувача в базі.

Правильність даних автентифікації може перевірятися за різними схемами автентифікації: PAP, EAP або CHAP. Процедуру обміну в рамках операцій обліку описано в стандарті RFC 2086. У разі підключення клієнт посилає серверу запит обслуговування (Accounting-Request), що містить параметр acct_type=start. Це є сигналом до початку надання послуг обліку й контролю. У відповідь на цей запит клієнту надсилається його унікальний ідентифікатор у мережі, ідентифікатор сесії і мережевий адрес.

Під час роботи клієнт періодично відправляє на сервер запит зі значенням acct_type=interim_update, що є сигналом до того, що клієнт усе ще використовує ресурс і операції обліку необхідно продовжувати. Цей запит зазвичай містить поточну тривалість сесії і обсяг переданих даних. У разі закінчення роботи в мережі, після відключення клієнта від NAS, на сервер надсилається запит із параметром acct_type=stop, що означає припинення роботи й закінчення надання послуг обліку. Цей пакет запиту може містити в собі такі дані, як тривалість сесії, кількість переданих пакетів і обсяг пересланих даних. У відповідь на кожен запит подібного роду сервер надсилає підтвердження (Accounting-Response), що гарантує подальший доступ клієнта до ресурсу. Якщо запит не отримує підтвердження з першого разу, через деякий час буде зроблена спроба повторного запиту - і так аж до отримання відгуку або прийняття рішення про недоступність сервера.

Треба зазначити, що RADIUS забезпечує певну захищеність каналів обміну інформацією. Паролі від NAS до RADIUS-сервера не пересилаються у відкритому вигляді. Для шифрування паролів використовується принцип "поділу секрету" й хеш-функції MD5. Однак, через часткову реалізацію цих функцій, на практиці необхідно використання додаткових заходів, таких як застосування IPsec або фізичного захисту корпоративних мереж. Це дає змогу в подальшому захистити трафік між сервером доступу і RADIUS-сервером. Крім того, дані, що передаються, піддаються захисту лише частково: захищені логін і пароль, у той час, як інші дані, можливо, є секретними або приватними, не захищені.

Оптимізація процесу AAA продемонстровано на прикладі створення модуля розширення RADIUS-сервера для інтернет-провайдера. Отже, було розроблено відповідний модуль - rlm_isp. Модуль має таку структуру:

- ім'я модуля FreeRADIUS має відповідати певному синтаксису - г 1ш_ХХХ, тому було задано ім'я rlm_isp;

- каталог із файлами модуля має розташовуватися в структурі вихідних файлів серверу FreeRADIUS в каталозі src/modules;

- основний код міститься у файлі rlm_isp.c, а визначення змінних, констант, прототипи функцій - у файлі rlm_isp.h.

Файл rlm_isp.c. У цьому файлі обов'язково має бути присутня структура з ім'ям модуля. Для розроблюваної системи обліку структуру модуля наведено в ліст. 1.

У структурі rlm_isp оголошено функції, які реалізує модуль. У коментарях описано призначення кожної з них. Щодо реалізації призначення системи обліку основними функціями є: rlm_isp_authenticate (authenticate), rlm_isp_authorize (authorize), rlm_isp_accounting (accounting).

Сервер FreeRADIUS одержує запит доступу Access-Request від сервера доступу, який містить ім'я користувача, адрес та порт сервера доступу, CHAP- Challenge та CHAP-Password (рис. 3) і починає його обробляти. Сервер FreeRADIUS виконує оброблення поетапно проходячи за ланцюгом модулів, що вказано в налаштуванні RADIUS-сервера.

Лістинг 1 - Структура модуля rlm_isp

module_t rlm_isp = {

"ISP",

RLM_TYPE_THREAD_SAFE,

rlm_isp_init, /* initialization */

rlm_isp_instantiate, /* instantiation */

{

rlm_isp_authenticate, /* authenticate */

rlm_isp_authorize, /* authorize */

NULL, /* preaccounting */

rlm_isp_accounting, /* accounting */

rlm_isp_checksimul, /* checksimul */

NULL, /* pre-proxy */

NULL, /* post-proxy */

rlm_isp_postauth, /* post-auth */

},

rlm_isp_detach, /* detach */

rlm_isp_destroy, /* destroy */

};

Коли оброблення доходить до модуля rlm_isp, то починають виконуватися його функції: rlm_isp_authenticate (authenticate) та rlm_isp_authorize (authorize). rlm_isp_authenticate (authenticate) - виконує валідацію імені користувача та його паролю. У разі, якщо такий користувач є і його пароль вірний, функція повертає код RLM_MODULE_OK - запит дозволено або модуль успішно обробив запит. Відповідь FreeRADIUS буде визначатися обробкою більш пізніх модулів. Якщо це останній модуль, то відповіддю буде OK. Коди значень, що повертаються модулем, описані в старих версіях FreeRADIUS у файлі заголовка src/include/modules.h або src/include/radiusd.h [13] - у новіших версіях.

Рис. 3 Результат виконання Access-Request

Функція rlm_isp_authorize (authorize) - задає параметри користувача, наприклад, IP-адрес, адреси DNS серверів, швидкість трафіку тощо. Ці параметри повертаються у відповіді Access-Accept від FreeRADIUS у вигляді пар значень.

Третя функція процесу AAA - це rlm_isp_accounting (accounting). Призначення цієї функції в модулі rlm_isp полягає в записі даних і сесії користувача в БД. Сервер доступу відправляє кожні 60 секунд запит RADIUS- серверу Accounting-Request, який містить пари значень, наприклад, ID сесії, її тривалість, обсяг отриманих або відправлених даних тощо (рис. 4). Частина отриманих даних зберігається в БД.

У всі три функції (rlm_isp_authorize, rlm_isp_authenticate, rlm_isp_accounting) передається два параметри. Перший - вказівник типу void, який надалі приводитися до типу sql_inst. Тип sql inst - це структура, яка містить параметри для підключення до бази даних, що беруться з файлу конфігурації, її оголошення міститься у файлі rlm_isp.h. Структура sql_inst наведено в ліст. 2. Значеннями може бути, наприклад, параметри підключення до бази й запити.



Puc.4 Результат виконання запитів Accounting-Request в процесі роботи PPPoE-сесії

Лістинг 2 - Структуру sql_inst

typedef struct sql_inst {

time_t connect_after;

SQLSOCK *sqlpool;

SQLSOCK *last_used;

ISP_CONFIG *config;

lt_dlhandle handle;

rlm_nibs_module_t *module;

} SQL_INST;

Другий параметр - це вказівник на структуру REQUEST, яка містить різні дані для підключення клієнта до RAIDUS-сервера. Структура об'єкта REQUEST оголошено у файлі mdude/radiusd.h та наведено в ліст. 3. А також структуру RADIUS_PACKET, що містить передані RADIUS-серверу дані, такі як RADIUS-пари атрибут-значення. У ліст. 4 наведено прототипи цих двох функцій.

Лістинг 3 - Структуру REQUEST

typedef struct auth_req {

#ifndef NDEBUG

uint32_t magic; /* for debugging only */

#endif

RADIUS_PACKET *packet;

RADIUS_PACKET *proxy;

RADIUS_PACKET *reply;

RADIUS_PACKET *proxy_reply;

VALUE_PAIR *config_items;

VALUE_PAIR *username;

VALUE_PAIR *password;

request_data_t *data;

char secret[32];

child_pid_t child_pid;

time_t timestamp;

int number; /* internal server number */

/*

* We could almost keep a const char here instead of a

* _copy_ of the secret... but what if the RADCLIENT

* structure is freed because it was taken out of the

* config file and SIGHUPed?

*/

char proxysecret[32];

int proxy_try_count;

int proxy_outstanding;

time_t proxy_next_try;

int simul_max;

int simul_count;

int simul_mpp; /* WEIRD: 1 is false, 2 is true */

int finished;

int options; /* miscellanous options */

const char *component;

const char *module;

void *container;

} REQUEST;

Лістинг 4 - Прототипи функцій rlm_isp_authorize, rlm_isp_authenticate, rlm_isp_accounting

static int rlm isp authorize(void *instance, REQUEST * request); static int rlm isp authenticate(void *instance, REQUEST * request); static int rlm isp accounting(void *instance, REQUEST * request);

Для роботи з налаштуваннями підключення PPPoE у файлі модуля rlm_isp.c створено масив module_config який містить масив структур

CONF_PARSER. Модуль одержує параметри налаштування з конфігураційного файлу.

Налаштування облікового запису абонента зберігаються в структурі isp_user. У ліст. 5 наведено фрагмент структури isp_user. Структура містить поля, що зберігають облікові дані абонента (ПІБ, пароль, дані рахунку, рух коштів, дані споживання трафіку, службову інформацію тощо).

Лістинг 3.5 - Структура isp_user

typedef struct isp user {

char	name[65];
char	prefix[5];
char	passwd[255];
ULONGINT	current in bytes;
ULONGINT	current out bytes;
ULONGINT	sub total time;
ULONGINT	sub total traffic;
double	sub total money;
double	sub money;
char	allowed servers[MAX SERVERS PATH];
uint32 t	nas ip;
char	nas address[16];

} ISP_USER;

Загальні налаштування модуля rlm_isp збережено в конфігураційному файлі isp.conf. Файл містить службову інформацію щодо БД (тип, дані для з'єднання, конфігурацію, запити (перегляд, додавання, оновлення, видалення записів) тощо), щодо поточної сесії абонента тощо.



Висновки

Розроблений модуль розширення RADIUS-сервера виконує логіку процесу AAA й дає змогу оптимізувати цей процес завдяки розподілу навантаження на RADIUS-сервер. Адже, авторизація - це валідація тільки логіну та паролю. Цей процес використовує мінімальний обсяг обчислювальних ресурсів. Далі виконується автентифікація за результатами якої створюється PPPoE-з'єднання згідно з налаштуваннями системи обліку (швидкість доступу, обмеження доступу тощо). Після цього з'єднання вже підтримується та керується функцією обліку.



Література

1. RADIUS. Wikipedia: the free encyclopedia. URL: https://en.wikipedia.org/wiki/RADIUS (дата звернення: 01.02.2024).

2. Rigney C., Willens S., Rubens A., Simpson W. RFC 2865: Remote Authentication Dial In User Service (RADIUS). Datatracker. 2000 : вебсайт. URL: https://datatracker.ietf.org/doc/ html/rfc2865 (дата звернення: 01.02.2024).

3. Rigney C. RFC 2866: RADIUS Accounting. IETF. 2000 : вебсайт. URL: https://www.ietf.org/ rfc/rfc2866.txt (дата звернення: 01.02.2024).

4. Автоматизована система розрахунків. Вікіпедія: вільна енциклопедія. URL: https:// uk.wikipedia.org/wiki/Автоматизована_система_розрахунків (дата звернення: 01.02.2024).

5. Goralski W. The Illustrated Network: How TCP/IP Works in a Modern Network. Morgan Kaufmann, 2017. 936 p.

6. Kozierok, C.M. The TCP/IP Guide. No Starch Press, 2005. 1850 p.

7. Matheus K., Konigseder T. Automotive Ethernet. Cambridge University Press, 2021. 425 p.

8. Maudoux, C., Boumerdassi, S. LemonLDAP::NG A Full AAA Free Open Source WebSSO Solution. arXiv. 2023. DOI: 10.1109/CloudNet55617.2022.9978777.

9. Liaskos C., Nie S., Tsioliaridou A., Pitsillides A., Ioannidis S., Akyildiz I. A new wireless communication paradigm through softwarecontrolled metasurfaces. IEEE Communications Magazine. 2018. Vol. 56, №. 9, P. 162-169. doi:10.1109/mcom.2018.1700659.

10. Chen L., Lu Jian-de. IMEWAS--A Integrated Multi-platform EAPoW-Based WLAN AAA Solution. IEEE 2007 Third International Conference on Wireless and Mobile Communications (ICWMC'07). 2007. DOI: 10.1109/ICWMC.2007.48.

11. Zhang J., Guo Y., Chen Y., Ma, J. Research of AAA messages Based on 802.1x authentication. IEEE 2015 IEEE Advanced Information Technology, Electronic and Automation Control Conference (IAEAC). 2015. DOI: 10.1109/IAEAC.2015.7428627.

12. Hassell J. RADIUS. O'Reilly Media, Inc. 2005. 89 p.

13. radiusd.h File Reference. FreeRADIUS : вебсайт. URL: https://doc.freeradius.org/ radiusd_8h.html#a2cf86a287d2d29505c29aad4883533c9 (дата звернення 02.02.20224).

14. References:

15. RADIUS. Wikipedia: the free encyclopedia. Retrieved from https://en.wikipedia.org/ wiki/RADIUS.

16. Rigney, C., Willens, S., Rubens, A., & Simpson W. (2000). RFC 2865: Remote Authentication Dial In User Service (RADIUS). Datatracker. Retrieved from https:// datatracker.ietf.org/doc/html/rfc2865.

17. Rigney, C. (2000). RFC 2866: RADIUS Accounting. IETF. Retrieved from https://www.ietf.org/rfc/rfc2866.txt.

18. Avtomatyzovana systema rozrakhunkiv [Automated payment system]. Wikipedia: the free encyclopedia. Retrieved from https://uk.wikipedia.org/wiki/Автоматизована_система_ розрахунків [in Ukrainian].

19. Goralski, W. (2017). The Illustrated Network: How TCP/IP Works in a Modern Network. Morgan Kaufmann.

20. Kozierok, C.M. (2005). The TCP/IP Guide. No Starch Press.

21. Matheus, K., & Konigseder, T. (2021). Automotive Ethernet. Cambridge University Press.

22. Maudoux, C., & Boumerdassi, S. (2023). LemonLDAP::NG A Full AAA Free Open Source WebSSO Solution. arXiv. doi:10.1109/CloudNet55617.2022.9978777

23. Liaskos, C., Nie, S., Tsioliaridou, A., Pitsillides, A., Ioannidis, S., & Akyildiz, I. (2018). A new wireless communication paradigm through softwarecontrolled metasurfaces. IEEE Communications Magazine. (Vol. 56, №. 9), (pp. 162-169). DOI: 10.1109/mcom.2018.1700659.

24. Chen, L., & Lu, Jian-de. (2007). IMEWAS--A Integrated Multi-platform EAPoW- Based WLAN AAA Solution. IEEE 2007 Third International Conference on Wireless and Mobile Communications (ICWMC'07). DOI: 10.1109/ICWMC.2007.48.

25. Zhang, J., Guo, Y., Chen, Y., & Ma, J. (2015). Research of AAA messages Based on 802.1x authentication. IEEE 2015 IEEE Advanced Information Technology, Electronic and Automation Control Conference (IAEAC). DOI: 10.1109/IAEAC.2015.7428627.

26. Hassell, J. (2005). RADIUS. O'Reilly Media, Inc.

27. radiusd.h File Reference. FreeRADIUS. Retrieved from https://doc.freeradius.org/ radiusd 8h.html#a2cf86a287d2d29505c29aad4883533c9

Размещено на Allbest.ru

...