Vous êtes sur la page 1sur 38

PLAN

Introduction Caractristique de Radius Fonctionnement de Radius Format du paquet Protocole de mot de passe Radius & UDP Limitations Successeur Diameter Conclusion

INTRODUCTION
Radius est un acronyme pour Remote Authentication Dial In
User Service .

Protocole standard dauthentication, initialement mis au point par Livingston Entreprise. Fonctionnement bas sur un systme client/serveur charg de dnir les accs dutilisateurs distants un rseau. Le protocole RADIUS permet de faire la liaison entre des besoins didentication et une base dutilisateurs en assurant le transport des donnes dauthentication de faon normalise.

INTRODUCTION
Radius permet le respect des trois A:
(Authentification, Autorisation, Accounting-Comptabilisation) Authentification : Processus permettant de garantir que la personne qui tente daccder Internet dispose dun compte valide. Autorisation: Permet lexploitant du rseau de dfinir les services rseau dont les utilisateurs finaux peuvent bnficier. Accounting: Permettent lexploitant du rseau deffectuer un suivie dtaill de lutilisation qui est faite du rseau.

LES CARACTRISTIQUES

Les caractristiques principales de Radius sont:


Modle Client/Serveur Scurit rseau Mcanisme flexible dauthentification Protocole extensible

LES CARACTRISTIQUES
Modles Client/Serveur :
Un serveur daccs de rseau NAS fonctionne en tant que client Radius Le client est charg du passage des informations dutilisateur aux serveurs RADIUS dsigns, puis dagir sur la rponse retourne. Les serveurs RADIUS sont chargs de recevoir les demandes de connexion dusager, dauthentifier lusager, puis de retourner toutes les informations de configuration ncessaires pour que le client livre le service lusager.

LES CARACTRISTIQUES
Scurit du rseau
Les transactions entre le client et le serveur RADIUS sont authentifies grce lutilisation dun secret partag, qui nest jamais envoy sur le rseau. De plus, tout mot de passe dutilisateur est envoy chiffr entre client et serveur RADIUS, pour liminer la possibilit que quelquun espionnant sur un rseau non scuris puisse dterminer le mot de passe dun usager.

LES CARACTRISTIQUES
Mcanismes flexible dauthentification
Le serveur RADIUS peut prendre en charge diverses mthodes pour authentifier un usager. Lorsquon lui fournit le nom de lusager et le mot de passe original donn par lusager, il peut prendre en charge PAP ou CHAP PPP, la connexion UNIX, et dautres mcanismes dauthentification.

LES CARACTRISTIQUES
Protocole extensible
Toutes les transactions comportent des triplets attributlongueur-valeur de longueur variable. De nouvelles valeurs dattribut peuvent tre ajoutes sans perturber les mises en uvre existantes du protocole.

FONCTIONNEMENT
1) Demande de connexion

1 Client radius Serveur radius

Usager

Lusager envoi de login et de mot de passe.

FONCTIONNEMENT
2) Demande daccs
2

Client radius

Serveur radius

Usager

le client cre une "Demande daccs" contenant des attributs tels que le nom de lusager, le mot de passe de lusager, lidentifiant du client et lidentifiant d port auquel lusager accde

FONCTIONNEMENT
3) Validation de client et vrification des information

Serveur radius Serveur radius Usager Le serveur valide le client , si sa demande na pas de secret partag, le serveur DOIT llimine en silence, Si le client est valide , le serveur RADIUS consulte une base de donnes dutilisateurs pour trouver lusager dont le nom correspond la demande Le serveur RADIUS PEUT faire des demandes aux autres serveurs afin de satisfaire la demande, auquel cas il agit comme client. 3

FONCTIONNEMENT
4) Rejet daccs Rejet daccs Echec
Serveur radius Serveur radius

Usager
Si une condition nest pas satisfaite, le serveur RADIUS envoie une rponse "Rejet-daccs" qui indique que cette demande dusager est invalide.

FONCTIONNEMENT
5) preuve daccs
preuve daccs

????
Serveur radius Serveur radius

Usager
Si toutes les conditions sont satisfaites et si le serveur RADIUS souhaite produire une mise en cause laquelle lusager doit rpondre, le serveur RADIUS envoie une rponse " preuve-daccs"

FONCTIONNEMENT
5) preuve daccs

Dans lauthentification par preuve/rponse, lusager reoit un nombre imprvisible quil est mis au dfi de chiffrer et de redonner le rsultat. Les usagers autoriss sont quips dun appareil spcial tel quune carte puce ou un logiciel qui rend facile le calcul de la rponse correcte. Les utilisateurs non autoris, qui nont pas lappareil ou le logiciel appropri et qui ne connaissent pas la cl secrte ncessaire lmulation dun tel appareil ou logiciel, peuvent seulement essayer de deviner la rponse.

FONCTIONNEMENT
5) Accs-Accept
Accs-Accept

succs
Serveur radius Serveur radius

Usager
Si toutes les conditions sont satisfaites, la liste des valeurs de configuration pour lusager est place dans une rponse AccsAccept , Ces valeurs incluent le type de service et toutes les valeurs ncessaires pour dlivrer le service souhait

FORMAT DE PAQUET

Exactement un paquet RADIUS est encapsul dans le champ de donnes UDP , et le champ Port de destination UDP indique 1812

FORMAT DE PAQUET
1) Code

Le champ Code est dun octet, et il identifie le type de paquet RADIUS. Lorsque un paquet est reu avec un champ de code invalide, il est limin en silence.

FORMAT DE PAQUET
1) Code

Les codes RADIUS (dcimaux) sont allous comme suit : 1 Accs-demand 2 Accs-accept 3 Accs-rejet 4 Demande-comptable 5 Rponse-comptable 11 preuve-daccs 12 tat-du-serveur (exprimental) 13 tat-du-client (exprimental) 255 Rserv

FORMAT DE PAQUET
2) Identifiant

Le champ Identifiant est de un octet, et sert faire correspondre demandes et rponses. Le serveur RADIUS peut dtecter une duplication de demande si elles ont la mme adresse IP de source de client, le mme port UDP de source et le mme identifiant dans un dlai assez bref.

FORMAT DE PAQUET
3) longueur

Le champ Longueur est de deux octets. Il indique la longueur du paquet incluant les champs Code, Identifiant, Longueur, Authentificateur et Attribut. Les octets endehors de la gamme du champ Longueur DOIVENT tre traits comme du bourrage et ignors rception. Si le paquet est plus court que ce que le champ Longueur indique, il DOIT tre limin en silence. La longueur minimale est 20 et la longueur maximale est 4096.

FORMAT DE PAQUET
4) Authentifiant

Le champ Authentificateur est de seize (16) octets. Loctet de plus fort poids est transmis en premier. Cette valeur est utilise pour authentifier la rponse provenant du serveur RADIUS, et sert dans lalgorithme de dissimulation du mot de passe.

FORMAT DE PAQUET
4) Authentifiant
4.1) Authentificateur de demande Dans les paquets de demande daccs, la valeur de lauthentificateur est un nombre alatoire de 16 octets, appel lauthentificateur de demande. La valeur DEVRAIT tre imprvisible et unique sur la dure de vie dun secret

FORMAT DE PAQUET
4) Authentifiant
4.2) Authentificateur de rponse

La valeur du champ Authentificateur dans les paquets Accs-Accept, Rejet-daccs, et preuve-daccs est appele lauthentificateur de rponse
ResponseAuth = MD5(Code+ID+Longueur+RequestAuth+Attributs+Secret)

FORMAT DE PAQUET
5) attributs

Les attributs RADIUS portent les dtails spcifiques dauthentification, dautorisation, dinformation et de configuration pour la demande et la rponse.

PROTOCOLE DE MOT DE PASSE


RADIUS connat nativement deux protocoles de mots de passe :
PAP (Password Authentication Protocol)
CHAP (Challenge Handshake Authentication Protocol)

PROTOCOLE DE MOT DE PASSE


Le protocole PAP :
un protocole d'authentification par mot de passe. PAP consiste envoyer l'identifiant et le mot de passe en clair travers le rseau. Si le mot de passe correspond, alors l'accs est autoris. le protocole PAP n'est utilis en pratique qu' travers un rseau scuris.

PROTOCOLE DE MOT DE PASSE


Le protocole CHAP:
un protocole d'authentification bas sur la rsolution d'un challenge , c'est--dire une squence chiffrer avec une cl et la comparaison de la squence chiffre ainsi envoye.

PROTOCOLE DE MOT DE PASSE


Le protocole CHAP:
Les tapes du dfi sont les suivantes :
un nombre alatoire de 16 bits est envoy au client par le serveur d'authentification, ainsi qu'un compteur incrment chaque envoi ; la machine distante hache ce nombre, le compteur ainsi que sa cl secrte (le mot de passe) avec l'algorithme de hachage MD5 et le renvoie sur le rseau ;

le serveur d'authentification compare le rsultat transmis par la machine distante avec le calcul effectu localement avec la cl secrte associe l'utilisateur ;
Si les deux rsultats sont gaux, alors l'identification russit, sinon elle choue. Le protocole CHAP amliore le protocole PAP dans la mesure o le mot de passe n'est plus transmis en clair sur le rseau.

RADIUS & UDP


Radius utilise UDP

Le port utilis est 1812 Une question frquemment pose est pourquoi RADIUS utilise UDP au lieu de TCP comme protocole de transport ?

RADIUS & UDP


Pourquoi UDP ?
Permet la rmission dune demande dauthentification un serveur secondaire si le serveur primaire ne rpond pas.
RADIUS nexige pas une dtection "sensible" de la perte de donnes. Les temporisations cratives et la dtection de la perte des connexions TCP ne sont pas demands.

UDP simplifie la mise en uvre du serveur.

LIMITATIONS
RADIUS a t conu pour des identifications par modem, sur des liaisons lentes et peu sres : cest la raison du choix du protocole UDP. ce choix technique dun protocole non agressif conduit des

changes laborieux bass sur des temporisations de rmission, des changes daccuss-rceptions.

LIMITATIONS
RADIUS base son identification sur le seul principe du couple nom/mot de passe :

parfaitement adapt lpoque (1996),


cette notion a d tre adapte. Exemple : pour lidentification des terminaux mobiles par leur

numro IMEI ou par leur numro dappel (Calling-Station-ID en Radius) sans mot de passe (alors que la RFC interdit le mot de passe vide !).

LIMITATIONS
RADIUS assure un transport en clair, seul le mot de passe est chiffr par hachage :

la scurit toute relative du protocole repose sur le seul sharedsecret et impose la scurisation des changes entre le client et le serveur par scurit physique ou VPN,

LIMITATIONS
RADIUS est strictement client-serveur : do des discussions et bagarres de protocoles propritaires quand un serveur doit lgitimement tuer une session pirate sur un client,

LIMITATIONS
RADIUS nassure pas de mcanismes didentification du serveur:

se faire passer pour un serveur est un excellent moyen de rcolter des noms et mots de passe,

CONCLUSION
nnn

REFERENCE
RFC 2865 : http://tools.ietf.org/html/rfc2865

MERCI POUR VOTRE ATTENTION