معرفی پروتکل RADIUS

[top7news]

[FONT='Arial','sans-serif'][/font]
[FONT='Arial','sans-serif']مقدمه :[/font]
[FONT='Arial','sans-serif']سرویس احرازهویت ازراه دور [/font][FONT='Calibri','sans-serif']RADIUS[/font][FONT='Arial','sans-serif'] معمولا برای احرازهویت وبررسی حدود اختیارات و حساب کاربران [/font][FONT='Calibri','sans-serif']dial up[/font][FONT='Arial','sans-serif'] درشبکه های خصوصی مجازی واخیرا برای دسترسی درشبکه های بی سیم فراهم آمده است.این مقاله نگاهی دارد[/font][FONT='Calibri','sans-serif'] [/font][FONT='Arial','sans-serif']به [/font][FONT='Calibri','sans-serif']RADIUS[/font][FONT='Arial','sans-serif'] و پروتکل [/font][FONT='Calibri','sans-serif']EAP[/font][FONT='Arial','sans-serif'] و درمورد به حداقــــل رساندن یا حل کردن پیامدهای مختلف امنیت این پروتکل و همچنین پیاده سازی و گسترش آن به بهترین نحو بحث می کند.[/font]
[FONT='Arial','sans-serif']نگاهی به [/font][FONT='Calibri','sans-serif']RADIUS[/font][FONT='Arial','sans-serif'] :[/font][FONT='Calibri','sans-serif'][/font]
[FONT='Calibri','sans-serif']RADIUS[/font][FONT='Arial','sans-serif'] یک قرارداد گسترش یافته با توانائی متمرکز کردن احرازهویت ، تعیین حدود اختیارات و مدیریت حسابهای کاربران برای دسترسی درشبکه بکار می*رود. عموما برای دسترسی راه دور توسعه پیدا کرد ولی درحال حاضر بوسیله شبکه های [/font][FONT='Calibri','sans-serif']VPN[/font][FONT='Arial','sans-serif'] ،نقاطی که از طریق بی سیم بهم متصل هستند ، احرازهویت سوئیچهای اترنت ،خطوط دستیابی [/font][FONT='Calibri','sans-serif']DSL[/font][FONT='Arial','sans-serif'] و انواع شبکه هایی که دسترسیهای مختلف پشتیبانی میشود.[/font]
[FONT='Calibri','sans-serif']Radius[/font][FONT='Arial','sans-serif'] با استاندارد [/font][FONT='Calibri','sans-serif']RFC 2865[/font][FONT='Arial','sans-serif'] تشریح شده است. یک سرویس گیرنده [/font][FONT='Calibri','sans-serif']RADIUS[/font][FONT='Arial','sans-serif'] (نوعا یک [/font][FONT='Calibri','sans-serif']ACCESS SERVER[/font][FONT='Arial','sans-serif']،مانند یک سرور [/font][FONT='Calibri','sans-serif']DIAL UP[/font][FONT='Arial','sans-serif'] ، سرور[/font][FONT='Calibri','sans-serif']VPN[/font][FONT='Arial','sans-serif'] یا [/font][FONT='Calibri','sans-serif']WIRE LESS ACCESS POINT[/font][FONT='Arial','sans-serif']) یک دسته از اطلاعات و پارامترهای مربوط به اتصال تحت عنوان [/font][FONT='Calibri','sans-serif']RADIUS MESSAGE[/font][FONT='Arial','sans-serif']، به سرور ارسال می کند.[/font]
[FONT='Arial','sans-serif']سرور، هویت سرویس گیرنده را تعیین و حدود اختیارات آنرا مشخص می کند و در پاسخ یک [/font][FONT='Calibri','sans-serif']RADIUS MESSAGE[/font][FONT='Arial','sans-serif'] برای سرویس گیرنده ارسال می کند.سرویس گیرنده های [/font][FONT='Calibri','sans-serif']RADIUS[/font][FONT='Arial','sans-serif'] همچنین [/font][FONT='Calibri','sans-serif']RADIUS ACCOUNTING MESSAGE[/font][FONT='Arial','sans-serif'] را به سرورهای [/font][FONT='Calibri','sans-serif']RADIUS[/font][FONT='Arial','sans-serif'] ارسال می کنند.[/font]
[FONT='Arial','sans-serif']بعلاوه استانداردهای [/font][FONT='Calibri','sans-serif']RADIUS[/font][FONT='Arial','sans-serif'] ازپروکسی های [/font][FONT='Calibri','sans-serif']RADIUS[/font][FONT='Arial','sans-serif'] پشتیبانی می کند.یک پروکسی[/font][FONT='Calibri','sans-serif']RADIUS[/font][FONT='Arial','sans-serif'] یک کامپیوتر است که پیامها را مابین سرویس گیرنده ها و دیگر پروکسی هائی که از [/font][FONT='Calibri','sans-serif']RADIUS[/font][FONT='Arial','sans-serif'] استفاده می کنند ، پیش می برد.پیامها هرگز ازسوی [/font][FONT='Calibri','sans-serif']ACCESS CLIENT[/font][FONT='Arial','sans-serif'] و [/font][FONT='Calibri','sans-serif']ACCESS SERVER[/font][FONT='Arial','sans-serif'] ارسال نمی شوند.این پیامها بصورت پیامهای [/font][FONT='Calibri','sans-serif']UDP[/font][FONT='Arial','sans-serif'] ارسال می شوند.[/font]
[FONT='Arial','sans-serif']پورت1812[/font][FONT='Calibri','sans-serif']UDP[/font][FONT='Arial','sans-serif'] ، برای پیامهای احراز هویت استفاده می شود و پورت1813 برای [/font][FONT='Calibri','sans-serif']ACCOUNTING MESSAGE[/font][FONT='Arial','sans-serif'] استفاده می شود.برخی خدمات دسترسی باید از پورت 1645 برای پیامهای احرازهویت و پورت 1646 برای پیامهای [/font][FONT='Calibri','sans-serif']ACCOUNTING[/font][FONT='Arial','sans-serif'] ارائه شوند.فقط یک [/font][FONT='Calibri','sans-serif']RADIUS MESSAGE[/font][FONT='Arial','sans-serif'] شامل [/font][FONT='Calibri','sans-serif']UDP PAYLOAD[/font][FONT='Arial','sans-serif'] یک بسته می باشد.[/font][FONT='Calibri','sans-serif']RFC[/font][FONT='Arial','sans-serif']های 2865و2866 انواع پیامهای زیر را تعریف می کند:[/font][FONT='Calibri','sans-serif'][/font]
[FONT='Calibri','sans-serif']ACCESS REQUEST[/font][FONT='Arial','sans-serif'] [/font][FONT='Calibri','sans-serif'][/font]
[FONT='Arial','sans-serif']این درخواست از طرف سرویس گیرنده به منظور تلاش برای برقراری ارتباط با شبکه ، جهت احراز هویت و تعیین حدود اختیارات فرستاده می شود.[/font]
[FONT='Calibri','sans-serif']ACCESS ACCEPT[/font][FONT='Arial','sans-serif'] [/font][FONT='Calibri','sans-serif'][/font]
[FONT='Arial','sans-serif']بوسیله یک سرور در پاسخ به [/font][FONT='Calibri','sans-serif']ACCESS REQUEST[/font][FONT='Arial','sans-serif'] فرستاده میشود این پیام نشان می دهد که سرویس گیرنده موردنظر در تلاش برای برقراری ارتباط،[/font][FONT='Calibri','sans-serif']ATHENTICAT[/font][FONT='Arial','sans-serif'] و [/font][FONT='Calibri','sans-serif']AUTHORIZE[/font][FONT='Arial','sans-serif'] شده است.[/font]
[FONT='Calibri','sans-serif']ACCESS REJECT[/font][FONT='Arial','sans-serif'] [/font][FONT='Calibri','sans-serif'][/font]
[FONT='Arial','sans-serif']در پاسخ به یک [/font][FONT='Calibri','sans-serif']ACCESS REQUEST[/font][FONT='Arial','sans-serif'] توسط سرور فرستاده میشود. این پیام نشان می دهد که سرویس گیرنده موردنظر در تلاش برای اتصال به شبکه صلاحیت نداشته است. یک سرور زمانی این پیام را می فرستد که گواهینامه سرویس گیرنده برای تلاش به برقراری اتصال، صلاحیت احراز هویت و یا تعیین حدود اختیارات لازم را ندارد.[/font]
[FONT='Calibri','sans-serif']ACCESS CHALLENGE[/font]
[FONT='Arial','sans-serif']توسط یک سرور در پاسخ به یک [/font][FONT='Calibri','sans-serif']ACCESS REQUEST[/font][FONT='Arial','sans-serif'] فرستاده میشود این پیام یک نوع رقابت بین سرویس گیرنده ها است که میخواهند پاسخ خود را دریافت کنند.[/font][FONT='Calibri','sans-serif'][/font]
[FONT='Calibri','sans-serif']ACCOUNTING REQUEST[/font]
[FONT='Arial','sans-serif']پس ازبرقراری یک اتصال یکسری اطلاعات درمورد حسابهای کاربری ازسوی سرویس گیرنده فرستاده می شود.[/font]
[FONT='Calibri','sans-serif']ACCOUNTING RESPONSE[/font][FONT='Arial','sans-serif'] [/font][FONT='Calibri','sans-serif'][/font]
[FONT='Arial','sans-serif']توسط یک سرور در پاسخ به پیام [/font][FONT='Calibri','sans-serif']ACCOUNTIG REQUEST[/font][FONT='Arial','sans-serif'] فرستاده میشود.[/font]
[FONT='Arial','sans-serif']یک پیام [/font][FONT='Calibri','sans-serif']RADIUS[/font][FONT='Arial','sans-serif'] شامل دو بخش [/font][FONT='Calibri','sans-serif']HEADER[/font][FONT='Arial','sans-serif'] و [/font][FONT='Calibri','sans-serif']ATTRIBUTES[/font][FONT='Arial','sans-serif'] می باشد. هر خصوصیت یک بخشی از اطلاعات درباره تلاش برای ایجاد اتصال را مشخص می کند.[/font]
[FONT='Arial','sans-serif']برای نمونه ، خصوصیاتی مانند : نام کاربر،کلمه عبوراو،نوع خدمات خواسته شده توسط کاربر،آدرس [/font][FONT='Calibri','sans-serif']IP[/font][FONT='Arial','sans-serif'] دسترسی به سرور دراین قسمت وجوددارند.خصوصیات به منظور ردوبدل کردن اطلاعات بین سرویس گیرنده ها و پروکسیها وسرور [/font][FONT='Calibri','sans-serif']RADIUS[/font][FONT='Arial','sans-serif'] استفاده میشوند.[/font]
[FONT='Arial','sans-serif']برای مثال، لیست خصوصیات لازم جهت برقراری اتصال ، در پیام [/font][FONT='Calibri','sans-serif']ACCESS REQUEST[/font][FONT='Arial','sans-serif'] شامل اطلاعاتی درباره اختیارات کاربرو پارامترهای لازم دیگر می باشد.درواقع لیست خصوصیات مربوط به [/font][FONT='Calibri','sans-serif']ACCESS ACCEPT[/font][FONT='Arial','sans-serif'] شامل اطلاعاتی درباره نوع اتصــــــــالی که[/font][FONT='Calibri','sans-serif'] [/font][FONT='Arial','sans-serif']می تواند ایجاد شود و محدودیتهای اتصال می باشد.[/font]
[FONT='Arial','sans-serif']خصیصه*های[/font][FONT='Calibri','sans-serif']RADIUS[/font][FONT='Arial','sans-serif']،بوسیله*استا نداردهای 2865،2866،2846،2868،2869و3162 تشریح شده اند.این [/font][FONT='Calibri','sans-serif']RFC[/font][FONT='Arial','sans-serif']ها و طرح هائی که سرویس دهنده ها آنها را لازم الجرا می دانند و باید از سوی سرویس گیرنده رعایت شوند،درمجموع خصیصه های [/font][FONT='Calibri','sans-serif']RADIUS[/font][FONT='Arial','sans-serif'] را تعریف می کنند.[/font]
[FONT='Arial','sans-serif']در پروتکل های نقطه به نقطه مانند:[/font][FONT='Calibri','sans-serif']PAP[/font][FONT='Arial','sans-serif']،[/font][FONT='Calibri','sans-serif']CHAP[/font][FONT='Arial','sans-serif']،[/font][FONT='Calibri','sans-serif']MS CHAP[/font][FONT='Arial','sans-serif']،[/font][FONT='Calibri','sans-serif']MS CHAP V2[/font][FONT='Arial','sans-serif']نتایج تصدیق هویت ردوبدل شده میان [/font][FONT='Calibri','sans-serif']ACCESS SERVER[/font][FONT='Arial','sans-serif'] و [/font][FONT='Calibri','sans-serif']ACCESS CLIENT[/font][FONT='Arial','sans-serif'] به منظور بررسی به [/font][FONT='Calibri','sans-serif']RADIUS SERVER[/font][FONT='Arial','sans-serif'] فرستاده می شوند.[/font]
[FONT='Arial','sans-serif']به منظور فراهم آوردن امنیت برای پیامهای [/font][FONT='Calibri','sans-serif']RADIUS[/font][FONT='Arial','sans-serif'] سرویس گیرنده و سرور براساس کلیدمشترک عمومی هماهنگ می*شوند.کلیدمشترک برای ایجاد امنیت درردوبدل کردن اطلاعات است و بطور معمول بصورت یک رشته متنی روی سرویس گیرنده و سرور می باشد.[/font]
[FONT='Arial','sans-serif']نگاهی به پروتکل الحاقی تصدیق هویت[/font][FONT='Calibri','sans-serif'][/font]
[FONT='Calibri','sans-serif']EAP[/font][FONT='Arial','sans-serif']به پروتکل [/font][FONT='Calibri','sans-serif']PPP[/font][FONT='Arial','sans-serif'] جهت گسترش مکانیزمهای تصدیق هویت به منظور دسترسی به شبکه،اضافه گردید. با پروتکلهای تصدیق هویت [/font][FONT='Calibri','sans-serif']PPP[/font][FONT='Arial','sans-serif'] مانند: [/font][FONT='Calibri','sans-serif']CHAP[/font][FONT='Arial','sans-serif']،[/font][FONT='Calibri','sans-serif']MS CHAP[/font][FONT='Arial','sans-serif']،[/font][FONT='Calibri','sans-serif']MS CHAP V2[/font][FONT='Arial','sans-serif'] یکسری مکانیزمهای خاصی در طول فاز برقراری اتصال انتخاب میشوند.درمدتی که تصدیق هویت اتصال بررسی میشود پروتکل تصدیق هویت محاوره ای به منظور تائید اعتبار اتصال مورداستفاده قرار میگیرد.[/font]
[FONT='Arial','sans-serif']پروتکل تصدیق هویت یک رشته ثابت ازپیامها را باتوجه به درخواست خاص می فرستد.با [/font][FONT='Calibri','sans-serif']EAP[/font][FONT='Arial','sans-serif'] مکانیزمهای تصدیق هویت خاصی درطول فاز برقراری پیوند[/font][FONT='Calibri','sans-serif']PPP[/font][FONT='Arial','sans-serif'] انتخاب نمی شوند. درعوض هرطرف برای اجرای [/font][FONT='Calibri','sans-serif']EAP[/font][FONT='Arial','sans-serif'] درطول فاز تصدیق هویت اتصال محاوره می کند.[/font]
[FONT='Arial','sans-serif']زمانیکه فازتصدیق [/font][FONT='Calibri','sans-serif']CONNECTION[/font][FONT='Arial','sans-serif'] فرا می رسد،دوطرف ارتباط درمورد شمای تصدیق هویت موردنظرشان محاوره می کنند که [/font][FONT='Calibri','sans-serif']EAP TYPE[/font][FONT='Arial','sans-serif'] نامیده می شود.بمحض اینکه [/font][FONT='Calibri','sans-serif']EAP TYPE[/font][FONT='Arial','sans-serif'] مشخص شد،اجازه ردوبدل کردن پیامها میان سرویس گیرنده و سرور داده میشود که می تواند براساس پارامترهای اتصال متفاوت باشد،این محاوره شامل درخواستهایی برای تصدیق هویت و پاسخ آنها می باشد .جزئیات و طول این محاوره بستگی به نوع [/font][FONT='Calibri','sans-serif']EAP[/font][FONT='Arial','sans-serif'] دارد.بانصب فایل کتابخانه ای نوع [/font][FONT='Calibri','sans-serif']EAP[/font][FONT='Arial','sans-serif'] برروی سرویس گیرنده و سرور، آن نوع [/font][FONT='Calibri','sans-serif']EAP[/font][FONT='Arial','sans-serif'] جدید می تواند ،پشتیبانی شود.[/font][FONT='Calibri','sans-serif']EAP[/font][FONT='Arial','sans-serif'] انعطاف بسیارخوبی برای بیشترمتدهای تصدیق هویت امنیتی فراهم می کند.شما می توانید از [/font][FONT='Calibri','sans-serif']EAP[/font][FONT='Arial','sans-serif'] برای پشتیبانی ازطرح های تصدیق هویت مانند: کارت رمزعمومی،[/font][FONT='Calibri','sans-serif']OTP[/font][FONT='Arial','sans-serif']،[/font][FONT='Calibri','sans-serif']MD5 CHALLENGE[/font][FONT='Arial','sans-serif']،امنیت لایه انتقال برای کارت هوشمند استفاده کنید.(بخوبی هر تکنولوژی تصدیق هویتی که درآینده می آید.)[/font]
[FONT='Arial','sans-serif']درمجموع برای پشتیبانی شدن توسط پروتکل[/font][FONT='Calibri','sans-serif']PPP[/font][FONT='Arial','sans-serif']،[/font][FONT='Calibri','sans-serif']EAP[/font][FONT='Arial','sans-serif'] توسط لایه پیــــــوند [/font][FONT='Calibri','sans-serif']IEEE802[/font][FONT='Arial','sans-serif']هم پشتیبــانی[/font][FONT='Calibri','sans-serif'] [/font][FONT='Arial','sans-serif']می شود.[/font]
[FONT='Calibri','sans-serif']IEEE802.1X[/font][FONT='Arial','sans-serif'] یک استاندارد [/font][FONT='Calibri','sans-serif']IEEE[/font][FONT='Arial','sans-serif'] برای تصدیق هویت پورت شبکه است،که تعریف می کند ،چطور [/font][FONT='Calibri','sans-serif']EAP[/font][FONT='Arial','sans-serif'] برای تصدیق هویت از ابزارهای [/font][FONT='Calibri','sans-serif']IEEE802[/font][FONT='Arial','sans-serif']،شامل [/font][FONT='Calibri','sans-serif']IEEE802.11B[/font][FONT='Arial','sans-serif'] نقاط دسترسی بی سیم و سوئیچهای اترنت استفاده می شود.[/font]
[FONT='Calibri','sans-serif']IEEE802.1X[/font][FONT='Arial','sans-serif'] با پروتکل [/font][FONT='Calibri','sans-serif']PPP[/font][FONT='Arial','sans-serif'] که فقط متدهای تصدیق هویت [/font][FONT='Calibri','sans-serif']EAP[/font][FONT='Arial','sans-serif'] را پشتیبانی می کند،متفاوت است . در نتیجه امکان استفاده از [/font][FONT='Calibri','sans-serif']PAP[/font][FONT='Arial','sans-serif'] بصورت محاوره ای برای آن وجود ندارد.[/font][FONT='Calibri','sans-serif'][/font]
[FONT='Calibri','sans-serif']EAP OVER RADIUS[/font]
[FONT='Calibri','sans-serif']EAP OVER RADIUS[/font][FONT='Arial','sans-serif'] یک نوع [/font][FONT='Calibri','sans-serif']EAP[/font][FONT='Arial','sans-serif'] نیست،اما پیامهای [/font][FONT='Calibri','sans-serif']EAP[/font][FONT='Arial','sans-serif'] هرنوع[/font][FONT='Calibri','sans-serif']EAP[/font][FONT='Arial','sans-serif'] رابوسیله [/font][FONT='Calibri','sans-serif']ACCESS SERVER[/font][FONT='Arial','sans-serif'] به سرور [/font][FONT='Calibri','sans-serif']RADIUS[/font][FONT='Arial','sans-serif'] به منظور تصدیق هویت عبور میدهد.[/font]
[FONT='Arial','sans-serif']یک پیام [/font][FONT='Calibri','sans-serif']EAP[/font][FONT='Arial','sans-serif'] بین [/font][FONT='Calibri','sans-serif']ACCESS CLIENT[/font][FONT='Arial','sans-serif'] و [/font][FONT='Calibri','sans-serif']ACCESS SERVER[/font][FONT='Arial','sans-serif'] به شکل یک پیام [/font][FONT='Calibri','sans-serif']EAP[/font][FONT='Arial','sans-serif'] با خصوصیات [/font][FONT='Calibri','sans-serif']RADIUS(RFC2869[/font][FONT='Arial','sans-serif']) فرستاده میشود.[/font][FONT='Calibri','sans-serif']ACCESS SERVER[/font][FONT='Arial','sans-serif'] یک ابزار برای عبوردادن پیامهای [/font][FONT='Calibri','sans-serif']EAP[/font][FONT='Arial','sans-serif'] میان [/font][FONT='Calibri','sans-serif']ACCESS CLIENT[/font][FONT='Arial','sans-serif'] و سرور[/font][FONT='Calibri','sans-serif']RADIUS[/font][FONT='Arial','sans-serif'] می باشد.پردازش پیامهای [/font][FONT='Calibri','sans-serif']EAP[/font][FONT='Arial','sans-serif']،توسط سرور[/font][FONT='Calibri','sans-serif']RADIUS[/font][FONT='Arial','sans-serif'] و [/font][FONT='Calibri','sans-serif']ACCESS CLIENT [/font][FONT='Arial','sans-serif']می باشد نه [/font][FONT='Calibri','sans-serif']ACCESS SERVER[/font][FONT='Arial','sans-serif'].[/font]
[FONT='Calibri','sans-serif']Eap over radius[/font][FONT='Arial','sans-serif'] درمحیطهایی که [/font][FONT='Calibri','sans-serif']radius[/font][FONT='Arial','sans-serif'] عمل تصدیق هویت رابرعهده دارد استفاده میشود.یک مزیت استفاده از [/font][FONT='Calibri','sans-serif']eap over radius[/font][FONT='Arial','sans-serif'] این است که نیازی به نصب انواع [/font][FONT='Calibri','sans-serif']eap[/font][FONT='Arial','sans-serif'] روی [/font][FONT='Calibri','sans-serif']access server[/font][FONT='Arial','sans-serif'] نمی باشد،تنها نصب آن روی سرور [/font][FONT='Calibri','sans-serif']radius[/font][FONT='Arial','sans-serif'] کافی میباشد.[/font]
[FONT='Calibri','sans-serif']Access server[/font][FONT='Arial','sans-serif'] باید از انتقالات [/font][FONT='Calibri','sans-serif']eap[/font][FONT='Arial','sans-serif'] بعنوان پروتکل تصدیق هویت پشتیبانی کند و پیامهای [/font][FONT='Calibri','sans-serif']eap[/font][FONT='Arial','sans-serif'] رابه سرور انتقال دهد.[/font]
[FONT='Arial','sans-serif']در یک [/font][FONT='Calibri','sans-serif']eap over radius [/font][FONT='Arial','sans-serif']،[/font][FONT='Calibri','sans-serif']access server[/font][FONT='Arial','sans-serif'] برای استفاده از [/font][FONT='Calibri','sans-serif']eap[/font][FONT='Arial','sans-serif'] و [/font][FONT='Calibri','sans-serif']radius[/font][FONT='Arial','sans-serif']،بعنوان[/font][FONT='Calibri','sans-serif']provider[/font][FONT='Arial','sans-serif'] تصدیق هویت تنظیم شده است.زمانیکه تلاش برای برقراری اتصالا صورت می گیرد،[/font][FONT='Calibri','sans-serif']access client[/font][FONT='Arial','sans-serif'] درمورد[/font][FONT='Calibri','sans-serif']eap[/font][FONT='Arial','sans-serif'] با [/font][FONT='Calibri','sans-serif']access server[/font][FONT='Arial','sans-serif'] گفتگو می کند.[/font]
[FONT='Arial','sans-serif']زمانیکه سرویس گیرنده یک پیام[/font][FONT='Calibri','sans-serif']eap[/font][FONT='Arial','sans-serif']به [/font][FONT='Calibri','sans-serif']access server[/font][FONT='Arial','sans-serif'] می فرستد،[/font][FONT='Calibri','sans-serif']access server[/font][FONT='Arial','sans-serif'] پیام را مانند یک پیام[/font][FONT='Calibri','sans-serif']radius[/font][FONT='Arial','sans-serif'] بسته بندی کرده و آنرا به سروری که بااو هماهنگ شده می فرستد. سرورپیام را پردازش می کند وبه[/font][FONT='Calibri','sans-serif']ACCESS SERVER[/font][FONT='Arial','sans-serif']برمیگرداند. سپس [/font][FONT='Calibri','sans-serif']ACCESS SERVER[/font][FONT='Arial','sans-serif'] پیام [/font][FONT='Calibri','sans-serif']EAP[/font][FONT='Arial','sans-serif'] را به [/font][FONT='Calibri','sans-serif']ACCESS CLIENT[/font][FONT='Arial','sans-serif'] می فرستد.[/font]
[FONT='Calibri','sans-serif']RADIUS SECURITY ISSUES AND SOLUTIONS[/font]
[FONT='Arial','sans-serif']درادامه عملکردهای امنیتی و حملات احتمالی به سرورهای [/font][FONT='Calibri','sans-serif']RADIUS[/font][FONT='Arial','sans-serif'] توضیح داده خواهد شد. این عملکردها بسته به توانائی مهاجم درگرفتن پیامهای [/font][FONT='Calibri','sans-serif']RADIUS[/font][FONT='Arial','sans-serif']میان [/font][FONT='Calibri','sans-serif']ACCESS SERVER[/font][FONT='Arial','sans-serif'] و سرور [/font][FONT='Calibri','sans-serif']RADIUS[/font][FONT='Arial','sans-serif'] متفاوت می باشد.این موضوع نشان می دهد که مهاجم دسترسی فیزیکی به شبکه دارد و درمسیرمیان سرور و [/font][FONT='Calibri','sans-serif']ACCESS SERVER[/font][FONT='Arial','sans-serif'] می باشد.[/font]
[FONT='Arial','sans-serif']پیامهای [/font][FONT='Calibri','sans-serif']ACCESS REQUEST[/font][FONT='Arial','sans-serif'] که تصدیق نمیشوند:[/font][FONT='Calibri','sans-serif'][/font]
[FONT='Arial','sans-serif']فرض کنیم که هیچ گونه نظارتی روی پیامهای [/font][FONT='Calibri','sans-serif']ACCESS REQUEST[/font][FONT='Arial','sans-serif'] واردشده به سرور وجودندارد. سرور پیامی را که از آدرس [/font][FONT='Calibri','sans-serif']IP[/font][FONT='Arial','sans-serif'] یک سرویس گیرنده سرچشمه گرفته ،بررسی می کند،اما آدرسهای [/font][FONT='Calibri','sans-serif']IP[/font][FONT='Arial','sans-serif'] مبدا برای اینکه همراه پیام فرستاده می شوند براحتی ربوده میشوند.[/font]
[FONT='Arial','sans-serif']یک راه حل این است که سرور خصیصه تصدیق کننده پیام را روی همه پیامهای [/font][FONT='Calibri','sans-serif']ACCESS REQUEST[/font][FONT='Arial','sans-serif']درخواست کند.این خصیصه یک پیام[/font][FONT='Calibri','sans-serif']MD5[/font][FONT='Arial','sans-serif']شده ازپیام[/font][FONT='Calibri','sans-serif']ACCESS REQUEST[/font][FONT='Arial','sans-serif']بی نقص است که از رمز مشترکی که کلید خوانده می شود،استفاده می کند.[/font]
[FONT='Calibri','sans-serif']ACCESS SERVER[/font][FONT='Arial','sans-serif'] باید پیامهای [/font][FONT='Calibri','sans-serif']ACCESS REQUEST[/font][FONT='Arial','sans-serif'] را باخصیصه تصدیق کننده پیام بفرستد و اگرخصیصه تصدیق کننده پیام وجودنداشته باشدیا اشتباه باشد،سرور باید آن پیام را دور بیاندازد.معمولا خصیصه تصدیق کننده پیام تنها توسط پیامهای[/font][FONT='Calibri','sans-serif']EAP OVER RADIUS[/font][FONT='Arial','sans-serif'] درخواست میشوند.برای مثال شما میتوانید[/font][FONT='Calibri','sans-serif']RAS[/font][FONT='Arial','sans-serif']و[/font][FONT='Calibri','sans-serif']ROUTING[/font][FONT='Arial','sans-serif'] را در سیستم عامل [/font][FONT='Calibri','sans-serif']WIN2000[/font][FONT='Arial','sans-serif'] تنظیم کنید و خصیصه تصدیق کننده پیام را برای هرپیام[/font][FONT='Calibri','sans-serif']ACCESS REQUEST[/font][FONT='Arial','sans-serif'] بفرستید.البته اینکاروابسته به این موضوع است که شما درتنظیمات خصوصیات سرور[/font][FONT='Calibri','sans-serif']RADIUS[/font][FONT='Arial','sans-serif']،گزینه [/font][FONT='Calibri','sans-serif']ALWAYS USE DIGITAL SIGNATURES[/font][FONT='Arial','sans-serif'] راانتخاب کنید.[/font]
[FONT='Arial','sans-serif']شما میتوانید سرویس تصدیق هویت اینترنت [/font][FONT='Calibri','sans-serif']WIN2000(IAS[/font][FONT='Arial','sans-serif']) راطوری تنظیم کنیدکه از هرپیام [/font][FONT='Calibri','sans-serif']ACCESS REQUEST[/font][FONT='Arial','sans-serif'] خصیصه تصدیق کننده پیام را درخواست کند و اینکارازطریق انتخاب گزینه [/font][FONT='Calibri','sans-serif']CLIENT MUST ALWAYS SEND THE SIGNATURE ATTRIBUTE IN THE REQUESST[/font][FONT='Arial','sans-serif']که درمجموعه خصوصیات سرویس گیرنده هست،میسر میشود.[/font]
[FONT='Arial','sans-serif']اگرخصوصیت تصدیق کننده پیام برای هم پیامهای [/font][FONT='Calibri','sans-serif']ACCESS REQUEST[/font][FONT='Arial','sans-serif'] قابل استفاده نباشد،ازمکانیزم تحریم و شمارش تصدیق هویت استفاده میشود.یکی از نمونه های دسترسی بااستفاده از تحریم و شمارش راه دور در[/font][FONT='Calibri','sans-serif']WIN2000[/font][FONT='Arial','sans-serif'] این است که بعداز برقراری اتصال راه دور چنانچه بیش از چندبار(معین شده) تلاش جهت تصدیق هویت صورت گرفت،ازکاربر ممانعت بعمل آید.[/font]
[FONT='Arial','sans-serif']دربعضی مواقع کلید رمزعمومی به اندازه کافی تصادفی نیست که بتواند جلوی حمله دیکشنری را بگیرد و به همین خاطر اگر کلید عمومی کشف شود ، فیلد تصدیق کننده [/font][FONT='Calibri','sans-serif']ACCESS RESPONSE[/font][FONT='Arial','sans-serif'] ودر پی آن محتوای پیام هم براحتی لو می رود.این وضعیت درسرورها و سرویس گیرنده هائی که اندازه رمزعمومی آنها محدود است و کلید عمومی آنها فقط شامل کاراکترهائی میشود که توسط صفحه کلید زده میشوند و تنها میتوانند 94تا256 کاراکتراسکی را استفاده کنند،بدتر است.راه حل این پیامد:[/font][FONT='Calibri','sans-serif'][/font]
[FONT='Arial','sans-serif'] [/font]
[FONT='Arial','sans-serif']• اگر رمزعمومی بایدترتیبی ازکاراکترهای صفحه کلید باشد،آنراطوری انتخاب کنیدکه طول کاراکترها حداقل22 باشد و شامل حروف بزرگ و کوچک ،اعداد و علائم نقطه گذاری باشد.اگررمزعمومی براساس ترتیبی از ارقام هگزادسیمال باشد،ازارقام هگزادسیمال تصادفی باحداقل طول 32 استفاده کنید.[/font]
[FONT='Calibri','sans-serif']RFC2865[/font][FONT='Arial','sans-serif'] رمزهای عمومی با طول حداقل 16 کاراکتررا معرفی میکند.امابرای رمزهای 128 کاراکتری ،هرکاراکتربایدشامل8بیت کامل باشد.اگررمزعمومی محدود به کاراکترهای صفحه کلید باشد(مخالف اعدادهگزادسیمال باشد)،هرکاراکترتنها5.8بیت دارد.برای فراهم کردن 128بیت،سرویس گیرنده،سروروپروکسی بایدبراساس رمزهای عمومی باطول حداقل22کاراکترتنظیم شوند.بعنوان مثال،رمزهای عمومی برای[/font][FONT='Calibri','sans-serif']IAS[/font][FONT='Arial','sans-serif'] ویندوز2000 میتواند طول بیش از64 کاراکترداشته باشد.[/font]
[FONT='Arial','sans-serif']برای اطمینان ازرمزعمومی تصادفی ازیک برنامه برای تولید رمزهای باطول حداقل22کاراکتر استفاده میشود.[/font]
[FONT='Arial','sans-serif']• استفاده از رمزهای عمومی متفاوت برای هرزوج سرور-سرویس گیرنده.[/font]
[FONT='Arial','sans-serif']خصیصه های رمزشده ،بوسیله مکانیزمهای مخفی سازی [/font][FONT='Calibri','sans-serif']radius[/font][FONT='Arial','sans-serif'] استفاده میشوند:[/font]
[FONT='Arial','sans-serif']مکانیزم پنهان سازی[/font][FONT='Calibri','sans-serif']RADIUS[/font][FONT='Arial','sans-serif'] ،ازرمزعمومی[/font][FONT='Calibri','sans-serif']RADIUS[/font][FONT='Arial','sans-serif']،تعیین کننده هویت درخواست،الگوریتم[/font][FONT='Calibri','sans-serif']MD5 HASHING[/font][FONT='Arial','sans-serif'] برای رمزگذاری رمزعبورکاربر ودیگرخصیصه ها مانند[/font][FONT='Calibri','sans-serif']TUNNEL PASSWORD[/font][FONT='Arial','sans-serif'] و [/font][FONT='Calibri','sans-serif']MS CHAP MPPE KEYS[/font][FONT='Arial','sans-serif'] استفاده می کند.[/font]
[FONT='Arial','sans-serif']درزیرعملکرد و وضعیت های [/font][FONT='Calibri','sans-serif']RFC2865[/font][FONT='Arial','sans-serif'] آمده است :[/font]
[FONT='Arial','sans-serif']استفاده از یک روند رمزکردن و [/font][FONT='Calibri','sans-serif']MD5[/font][FONT='Arial','sans-serif'] به عنوان روش رمزکردن ،از بخشهای ویژه [/font][FONT='Calibri','sans-serif']RADIUS[/font][FONT='Arial','sans-serif'] هستند.تنها راه استاندارد که به حفاظت از خصیصه ها کمک می کند این است که از[/font][FONT='Calibri','sans-serif']IPSEC[/font][FONT='Arial','sans-serif']بهمراه[/font][FONT='Calibri','sans-serif']ESP[/font][FONT='Arial','sans-serif'] و یک الگوریتم رمزکردن مانند3[/font][FONT='Calibri','sans-serif']DES[/font][FONT='Arial','sans-serif']،برای فراهم کردن داده های مطمئن برای کل پیامهای [/font][FONT='Calibri','sans-serif']RADIUS[/font][FONT='Arial','sans-serif'] استفاده شود.[/font]
[FONT='Arial','sans-serif']اگراستفاده از[/font][FONT='Calibri','sans-serif']IPSEC[/font][FONT='Arial','sans-serif']بهمراه[/font][FONT='Calibri','sans-serif']ESP[/font][FONT='Arial','sans-serif']و الگوریتم رمزکردن ممکن نباشد،مدیران شبکه می توانندبا انجام کارهای زیرمیزان آسیب پذیری را به حداقل برسانند:[/font][FONT='Calibri','sans-serif'][/font]
[FONT='Arial','sans-serif']- درخواست استفاده از خصیصه تصدیق کننده پیام([/font][FONT='Calibri','sans-serif']MESSAGE AUTHENTICATOR ATTRIBUTE[/font][FONT='Arial','sans-serif'])درهمه پیامهای [/font][FONT='Calibri','sans-serif']ACCESS REQUEST[/font][FONT='Arial','sans-serif'].[/font]
[FONT='Arial','sans-serif']- استفاده از الگوریتم های رمزنگاری قدرتمند جهت تصدیق هویت.[/font]
[FONT='Arial','sans-serif']- استفاده از رمزعبورهای قوی.[/font]
[FONT='Arial','sans-serif']- استفاده از یک مکانیزم شمارش و تحریم برای مقابله با حمله دیکشنری [/font][FONT='Calibri','sans-serif']ONLINE[/font][FONT='Arial','sans-serif'].[/font]
[FONT='Arial','sans-serif']- استفاده از کلید عمومی 128بیتی.[/font][FONT='Calibri','sans-serif'][/font]
[FONT='Calibri','sans-serif']Poor request authenticator values can be used to decrypt encrypted attributes[/font]
[FONT='Arial','sans-serif']همان طور که در[/font][FONT='Calibri','sans-serif']RFC2865[/font][FONT='Arial','sans-serif']اشاره شد،یک تصدیق گردرخواست باید موقتی و درعین حال یکتا باشد. کلید خصوصی و کلید عمومی باهم ترکیب شده و [/font][FONT='Calibri','sans-serif']KEY STREAM[/font][FONT='Arial','sans-serif'] را تعریف میکنند که برای رمزنگاری رمزعبور کاربرو دیگرخصیصه ها استفاده می شود.[/font]
[FONT='Arial','sans-serif']این موضوع ممکن است به یک مهاجم( که توانائی گرفتن اطلاعات ردوبدل شده میان سرویس گیرنده [/font][FONT='Calibri','sans-serif']RADIUS[/font][FONT='Arial','sans-serif'] و سرور را دارد وتلاش می کند که وارد شبکه شود)اجازه ساختن یک دیکشنری از کلیدهای خصوصی ومتناظربا[/font][FONT='Calibri','sans-serif']KEY STREAM[/font][FONT='Arial','sans-serif'] را بدهد.اگرمقدار [/font][FONT='Calibri','sans-serif']REQUEST AUTHENTICATOR[/font][FONT='Arial','sans-serif'] همواره بوسیله [/font][FONT='Calibri','sans-serif']ACCESS SERVER[/font][FONT='Arial','sans-serif'](که از رمزعمومی مشابه استفاده می کند)تکرارشود،پس رمزعبورودیگرخصیصه ها که دراین میان ردوبدل می شوند،براحتی تعیین می شوند.اگر [/font][FONT='Calibri','sans-serif']REQUEST AUTHENTICATOR[/font][FONT='Arial','sans-serif']به اندازه کافی تصادفی نباشد،براحتی تشخیص داده میشود.تولیدکننده[/font][FONT='Calibri','sans-serif']REQUEST AUTHENTICATOR[/font][FONT='Arial','sans-serif']بایدازمکانیزم رمزنگاری بالائی برخوردارباشد،درغیراینصورت ،میتوان ازیک الگوریتم رمزنگاری مانند3[/font][FONT='Calibri','sans-serif']DES[/font][FONT='Arial','sans-serif'] و همینطور[/font][FONT='Calibri','sans-serif']IPSEC[/font][FONT='Arial','sans-serif'] بهمراه [/font][FONT='Calibri','sans-serif']ESP[/font][FONT='Arial','sans-serif'] استفاده کرد،که داده های مطلوب برای کل پیامهای[/font][FONT='Calibri','sans-serif']RADIUS[/font][FONT='Arial','sans-serif'] فراهم کند،همانگونه که در[/font][FONT='Calibri','sans-serif']RFC3162[/font][FONT='Arial','sans-serif'] تشریح شده است.[/font]
[FONT='Calibri','sans-serif']Radius implementation and deployment best practices[/font]
[FONT='Arial','sans-serif']برای نشان دادن عملکردهای امنیتی [/font][FONT='Calibri','sans-serif']radius[/font][FONT='Arial','sans-serif'] بایددرموردپیاده سازی و انتشار این پروتکل ،دقت و تمرین زیادی کرد.[/font]
[FONT='Arial','sans-serif']به منظور فراهم کردن داده مطمئن برای کل پیامهای [/font][FONT='Calibri','sans-serif']radius[/font][FONT='Arial','sans-serif'] ،باید [/font][FONT='Calibri','sans-serif']IPSEC[/font][FONT='Arial','sans-serif'] بهمراه [/font][FONT='Calibri','sans-serif']ESP[/font][FONT='Arial','sans-serif'] و یک الگوریتم رمزنگاری مانند3[/font][FONT='Calibri','sans-serif']DES[/font][FONT='Arial','sans-serif'] را پیاده سازی کنیم.[/font]
[FONT='Arial','sans-serif']این موضوع در[/font][FONT='Calibri','sans-serif']RFC3162[/font][FONT='Arial','sans-serif'] توضیح داده شده است.زمانیکه کل پیامهای [/font][FONT='Calibri','sans-serif']RADIUS[/font][FONT='Arial','sans-serif'] با [/font][FONT='Calibri','sans-serif']IPSEC[/font][FONT='Arial','sans-serif'] رمزنگاری می شوند،فیلدهای حساس [/font][FONT='Calibri','sans-serif']RADIUS[/font][FONT='Arial','sans-serif'] (مانند:فیلد تصدیق گردرخواست در[/font][FONT='Calibri','sans-serif']ACCESS REQUEST[/font][FONT='Arial','sans-serif'])وخصوصیاتی*مانند*رمزع بور،[/font][FONT='Calibri','sans-serif']TUNNEL PASSWORD[/font][FONT='Arial','sans-serif']،[/font][FONT='Calibri','sans-serif']MPPE KEY ATTRIBUTES[/font][FONT='Arial','sans-serif'])محافظت می شوند.یک مهاجم ابتدا[/font][FONT='Calibri','sans-serif']ESP PROTECTED[/font][FONT='Arial','sans-serif']یک پیام را رمزگشائی میکند قبل از اینکه بتواندمحتوای پیام را تحلیل کند.[/font][FONT='Calibri','sans-serif'][/font]
[FONT='Arial','sans-serif']دریک اتصال که از [/font][FONT='Calibri','sans-serif']IPSEC[/font][FONT='Arial','sans-serif'] استفاده می شود باید روند زیر انجام شود:[/font][FONT='Calibri','sans-serif'][/font]
[FONT='Arial','sans-serif']• اجازه تنظیم و استفاده از رمزهای عمومی باحداقل طول32هگزادسیمال یا کاراکترهای صفحه کلید با حداقل طول 22.[/font]
[FONT='Arial','sans-serif']• استفاده*از*تصدیق*گرپیام ([/font][FONT='Calibri','sans-serif']MESSAGE AUTHENTICATOR[/font][FONT='Arial','sans-serif'])برای تمام*پیامهای [/font][FONT='Calibri','sans-serif']ACCESS REQUEST[/font][FONT='Arial','sans-serif'].[/font]
[FONT='Arial','sans-serif']برای یک سرویس گیرنده،مکانیزم استفاده از تصدیق گر پیام*رابرای همه پیامهای [/font][FONT='Calibri','sans-serif']ACCESS REQUEST[/font][FONT='Arial','sans-serif'] پیاده سازی کنید .یک سرور یا پروکسی باید طوری پیاده سازی شود که تصدیق گرپیام را از همه پیامهای [/font][FONT='Calibri','sans-serif']ACCESS REQUEST[/font][FONT='Arial','sans-serif'] درخواست کند.[/font]
[FONT='Arial','sans-serif']• پیاده سازی*یک*تولیدکننده [/font][FONT='Calibri','sans-serif']CRYPTOGRAPHIC QUALITY RANDOM[/font][FONT='Arial','sans-serif'] برای تصدیق گر پیام.[/font][FONT='Calibri','sans-serif'][/font]
[FONT='Arial','sans-serif']برای اینکه حفاظت بیشتری درمورد احرازهویت سرویس گیرنده داشته باشیم،ازروشهای زیراستفاده میکنیم:[/font][FONT='Calibri','sans-serif'][/font]
[FONT='Arial','sans-serif']• پیاده سازی [/font][FONT='Calibri','sans-serif']EAP[/font][FONT='Arial','sans-serif'] و انواع آن و استفاده از روشهای احرازهویت قدرتمند دراین زمینه.[/font]
[FONT='Arial','sans-serif']• یک نمونه خوب دراین زمینه [/font][FONT='Calibri','sans-serif']EAP TLS[/font][FONT='Arial','sans-serif'] است که مجوزهای ردوبدل شده میان [/font][FONT='Calibri','sans-serif']ACCESS CLIENT[/font][FONT='Arial','sans-serif'] و [/font][FONT='Calibri','sans-serif']ACCESS SERVER[/font][FONT='Arial','sans-serif'] را درخواست می کند. همه پیامهای [/font][FONT='Calibri','sans-serif']EAP[/font][FONT='Arial','sans-serif']،خصیصه تصدیق گر پیام را (که برای محافظت از [/font][FONT='Calibri','sans-serif']ACCESS REQUEST[/font][FONT='Arial','sans-serif']ها زمانیکه از [/font][FONT='Calibri','sans-serif']IPSEC[/font][FONT='Arial','sans-serif'] استفاده نمی شود ،بکارمی رود)درخواست می کنند.[/font]
[FONT='Arial','sans-serif']• پیاده سازی روشهای احرازهویت دوطرفه.[/font]
[FONT='Arial','sans-serif']بااستفاده ازاحرازهویت دوطرفه،دوطرف ارتباط هویت یکدیگررا بررسی*میکنند.اگراحرازهویت *هرکدام منجربه شکست شود،تلاشی که برای برقراری ارتباط صورت گرفته،[/font][FONT='Calibri','sans-serif']REJECT[/font][FONT='Arial','sans-serif'] میشود.به عنوان نمونه،[/font][FONT='Calibri','sans-serif']EAP TLS[/font][FONT='Arial','sans-serif']و [/font][FONT='Calibri','sans-serif']MS CHAP V2[/font][FONT='Arial','sans-serif'] روشهائی ازاحرازهویت دوطرفه می باشند.بااستفاده از [/font][FONT='Calibri','sans-serif']EAP TLS[/font][FONT='Arial','sans-serif'] ،سرور گواهینامه کاربر را که از طرف [/font][FONT='Calibri','sans-serif']ACCESS CLIENT[/font][FONT='Arial','sans-serif'] می آیدتائیداعتبار می کندو همینطور*[/font][FONT='Calibri','sans-serif']ACCESS CLIENT[/font][FONT='Arial','sans-serif']*[/font][FONT='Arial','sans-serif']گواهینامه*سرور را تاییداعتبارمی کند.بااستفاده زا[/font][FONT='Calibri','sans-serif']MS CHAP V2[/font][FONT='Arial','sans-serif'] هردوی* [/font][FONT='Calibri','sans-serif']ACCESS CLIENT[/font][FONT='Arial','sans-serif'] و [/font][FONT='Calibri','sans-serif']ACCESS SERVER[/font][FONT='Arial','sans-serif'] گواهی رمزعبور کاربررا بررسی می کنند.[/font]
[FONT='Arial','sans-serif']• اگرپروتکل [/font][FONT='Calibri','sans-serif']PPP[/font][FONT='Arial','sans-serif']*[/font][FONT='Arial','sans-serif']پیاده*سازی*شود،استفاد ه*ازروش*پیش*فرض مقدورنیست. [/font][FONT='Calibri','sans-serif'][/font]
[FONT='Arial','sans-serif']بـــرای*مثـــــال*[/font][FONT='Calibri','sans-serif']OTP/TOKENCARD[/font][FONT='Arial','sans-serif']از[/font][FONT='Calibri','sans-serif']PAP[/font][FONT='Arial','sans-serif']بمنظورفرستادن*اطلاعات *احرازهویت استفاده [/font]
[FONT='Arial','sans-serif']می*کند.اگـرشما*باید*[/font][FONT='Calibri','sans-serif']PAP[/font][FONT='Arial','sans-serif']راپیاده سازی کنید،[/font][FONT='Calibri','sans-serif']USE BY DEFULT[/font][FONT='Arial','sans-serif']را غیرفعال کنید ازرمزهای طولانی و تصدیق کننده های رمزشده استفاده کنید،بدلیل اینکه [/font][FONT='Calibri','sans-serif']IEEE802.1X[/font][FONT='Arial','sans-serif']،[/font][FONT='Calibri','sans-serif']PAP[/font][FONT='Arial','sans-serif'] راپشتیبانی نمی کند، این روندتنها برای ارتباطات نقطه به نقطه کاربرد دارد.[/font]
[FONT='Arial','sans-serif']• اگر[/font][FONT='Calibri','sans-serif']CHAP[/font][FONT='Arial','sans-serif']را*پیاده*سازی*می*ک نید،ازیک[/font][FONT='Calibri','sans-serif']CHAP CHALLENGE[/font][FONT='Arial','sans-serif'] قوی استفاده کنید.[/font]
[FONT='Arial','sans-serif']• اگر[/font][FONT='Calibri','sans-serif']MS CHAP[/font][FONT='Arial','sans-serif'] را پیاده سازی می کنید، این روش رمزعبورهای تغییریافته و یاپاسخهای رقابتی رمزشده را برای [/font][FONT='Calibri','sans-serif']LAN MANAGER[/font][FONT='Arial','sans-serif'] پشتیبانی نمی کند.[/font][FONT='Calibri','sans-serif'][/font]
[FONT='Calibri','sans-serif']DEPLOYMENT BEST PRACTICES[/font][FONT='Arial','sans-serif'] [/font][FONT='Calibri','sans-serif'][/font]
[FONT='Arial','sans-serif']به منظور فراهم کردن داده مطمئن برای کل پیامها،سرویس گیرنده ها و سرورهارابایدبراساس [/font][FONT='Calibri','sans-serif']IPSEC[/font][FONT='Arial','sans-serif']و[/font][FONT='Calibri','sans-serif']ESP[/font][FONT='Arial','sans-serif']و3[/font][FONT='Calibri','sans-serif']DES[/font][FONT='Arial','sans-serif'] تنظیم کنید.[/font]
[FONT='Arial','sans-serif']تنظیم [/font][FONT='Calibri','sans-serif']IPSEC ESP[/font][FONT='Arial','sans-serif']بهمراه 3[/font][FONT='Calibri','sans-serif']DES[/font][FONT='Arial','sans-serif'] برای [/font][FONT='Calibri','sans-serif']RADIUS[/font][FONT='Arial','sans-serif']به پیاده سازی[/font][FONT='Calibri','sans-serif']IPSEC[/font][FONT='Arial','sans-serif'] بستگی دارد.برای مثال،اگرشما از[/font][FONT='Calibri','sans-serif']RRAS WIN2000[/font][FONT='Arial','sans-serif']،برای [/font][FONT='Calibri','sans-serif']ACCESS SERVER[/font][FONT='Arial','sans-serif'] و [/font][FONT='Calibri','sans-serif']IAS WIN2000[/font][FONT='Arial','sans-serif'] برای [/font][FONT='Calibri','sans-serif']RADIUS SERVER[/font][FONT='Arial','sans-serif']و محیط [/font][FONT='Calibri','sans-serif']ACTIVE DIRECTORY[/font][FONT='Arial','sans-serif'] استفاده میکنید،میتوانید [/font][FONT='Calibri','sans-serif']ACTIVE IPSEC POLICY[/font][FONT='Arial','sans-serif'] برای یک سیستم مناسب (که ازقانون[/font][FONT='Calibri','sans-serif']ESP[/font][FONT='Arial','sans-serif'] و الگوریتم رمزکردن 3[/font][FONT='Calibri','sans-serif']DES[/font][FONT='Arial','sans-serif'] برای همه تبادلات از و به پورتهای [/font][FONT='Calibri','sans-serif']UDP 1812,1813[/font][FONT='Arial','sans-serif'] استفاده می کند)تنظیم کنید.برای دسترسی به اطلاعات بیشتر میتوانید از [/font][FONT='Calibri','sans-serif']HELP[/font][FONT='Arial','sans-serif'] ویندوز2000 استفاده کنید.[/font]
[FONT='Arial','sans-serif']درصورت استفاده از [/font][FONT='Calibri','sans-serif']IPSEC[/font][FONT='Arial','sans-serif'] در اتصال باید روال زیرانجام شود:[/font][FONT='Calibri','sans-serif'][/font]
[FONT='Arial','sans-serif']• استفاده از رمزهای عمومی که شامل یک ترتیب تصادفی ازاعداد هگزادسیمال باطول حداقل32رقم یایک ترتیب تصادفی ازحروف بزرگ و کوچک ،اعدادوعلائم نقطه گذاری باطول حداقل22کاراکتر.بهتراست*رمز عمومی*توسط*کامپیوترتولید شود.[/font]
[FONT='Arial','sans-serif']• استفاده ازرمزعمومی متفاوت برای هرجفت سرویس*گیرنده-سرور.هرسرویس*گیرنده را طوری تنظیم کنیدکه تصدیق*گرپیام را با همه پیامهای [/font][FONT='Calibri','sans-serif']ACCESS REQUEST[/font][FONT='Arial','sans-serif'] ارسال کند.هرسرور راهم طوری تنظیم کنیدکه ازهرسرویس*گیرنده تصدیق*گرپیام رابه همراه [/font][FONT='Calibri','sans-serif']ACCESS REQUEST[/font][FONT='Arial','sans-serif'] درخواست کند.[/font]
[FONT='Arial','sans-serif']• استفاده سرویس*گیرنده ها،سرورهاوپروکسی هاازیک روش رمزنگاری احرازهویت قوی.برای فراهم کردن حفاظت بیشترازهویت*سرویس*گیرنــ ـده،ازروشـــهای*زیراستفــ� �ده میشود:[/font]
[FONT='Arial','sans-serif']اگرازروش[/font][FONT='Calibri','sans-serif']PAP[/font][FONT='Arial','sans-serif']استفاده*نمیشود، استفاده*ازاین*روش*رادر[/font][FONT='Calibri','sans-serif'][/font]
[FONT='Calibri','sans-serif'] ACCESS-SERVER[/font][FONT='Arial','sans-serif']و[/font][FONT='Calibri','sans-serif']RADIUS-SERVER[/font][FONT='Arial','sans-serif']غیرفعال*کنید.[/font]
[FONT='Arial','sans-serif']تنهــاکاربـــردقــابل*[/font][FONT='Arial','sans-serif']قبول[/font][FONT='Arial','sans-serif'] از[/font][FONT='Calibri','sans-serif']PAP[/font][FONT='Arial','sans-serif']بعنوان اتصال ایمن [/font][FONT='Calibri','sans-serif']OTP[/font][FONT='Arial','sans-serif']و[/font][FONT='Calibri','sans-serif']TOCKEN CARD AUTHENTICATION[/font][FONT='Arial','sans-serif']است که رمزعبوراز[/font][FONT='Calibri','sans-serif']ENTROPY[/font][FONT='Arial','sans-serif'] بالائی برخوردار است و برای هرباراستفاده رمزعبورتغییرمی کند.فعال کردن [/font][FONT='Calibri','sans-serif']PAP[/font][FONT='Arial','sans-serif'] باعث میشود که سرویس گیرنده و [/font][FONT='Calibri','sans-serif']ACCESS SERVER[/font][FONT='Arial','sans-serif']*[/font][FONT='Arial','sans-serif']بصورت*محاوره*ای*عمل *نکنندوسرویس*گیرنده*رمز [/font][FONT='Arial','sans-serif']رعبور[/font][FONT='Arial','sans-serif']ا[/font][FONT='Calibri','sans-serif'] [/font][FONT='Arial','sans-serif']بدون اعمال هرگونه حفاظتی بفرستد.یک راه*حل بهتراستفاده از[/font][FONT='Calibri','sans-serif']EAP[/font][FONT='Arial','sans-serif'] وانواع آن برای[/font][FONT='Calibri','sans-serif']OTP[/font][FONT='Arial','sans-serif'] و [/font][FONT='Calibri','sans-serif']TOKEN CARD AUTHENTICATION[/font][FONT='Arial','sans-serif'] می باشد.[/font]
[FONT='Arial','sans-serif']اگراز[/font][FONT='Calibri','sans-serif']MS CHAP[/font][FONT='Arial','sans-serif'] استفاده میکنید،[/font][FONT='Calibri','sans-serif']USE OF LAN MANAGER[/font][FONT='Arial','sans-serif'] راغیرفعال کنید.[/font]
[FONT='Arial','sans-serif']اگراز[/font][FONT='Calibri','sans-serif']IAS[/font][FONT='Arial','sans-serif']ویندوز2000 استفاده میکنید،مقدارکلیدرجستری زیررا در[/font][FONT='Calibri','sans-serif']IAS[/font][FONT='Arial','sans-serif']سرور صفرکنید.[/font]
[FONT='Calibri','sans-serif']HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET[/font][FONT='Arial','sans-serif']\[/font]
[FONT='Calibri','sans-serif']SERVICES\REMOTACCESS\POLICY[/font][FONT='Arial','sans-serif']\[/font]
[FONT='Calibri','sans-serif']ALLOW LM AUTHENTICATION[/font][FONT='Arial','sans-serif'][/font]
[FONT='Arial','sans-serif']• استفاده از [/font][FONT='Calibri','sans-serif']EAP[/font][FONT='Arial','sans-serif'] وانواع آن به همراه روشهای احرازهویت قوی.[/font]
[FONT='Arial','sans-serif']احرازهویت [/font][FONT='Calibri','sans-serif']IEEE802.1X[/font][FONT='Arial','sans-serif'] برای نقاط با دسترسی بی سیم با استفاده از[/font][FONT='Calibri','sans-serif']EAP[/font][FONT='Arial','sans-serif']،خصیصه تصدیق*گرپیام رابرای محافظت ازهر[/font][FONT='Calibri','sans-serif']ACCESS REQUEST[/font][FONT='Arial','sans-serif']نیازداردوهمچنین [/font][FONT='Calibri','sans-serif']PAP[/font][FONT='Arial','sans-serif']راپشتیبانی نمی کند.[/font]
[FONT='Arial','sans-serif']• استفاده از تصدیق هویت دوطرفه مانند[/font][FONT='Calibri','sans-serif']EAP TLS[/font][FONT='Arial','sans-serif']و[/font][FONT='Calibri','sans-serif']MS CHAP V2[/font][FONT='Arial','sans-serif'].[/font][FONT='Calibri','sans-serif'][/font]
[FONT='Calibri','sans-serif'] [/font]
[FONT='Calibri','sans-serif'] [/font]
تهیه کننده : پیام اسماعیل پور
[FONT='Calibri','sans-serif']Email : Payam.esp@gmail.com[/font]

[Alux]

لطفا پست خودتون رو ویرایش کنید

[vistaix]

اينا چيه؟

[M-r-r]

احتمالا Copy&Paste

[Saba_F]

:-)

[QOLI]

مقدمه :
سرویس احرازهویت ازراه دور RADIUS معمولا برای احرازهویت وبررسی حدود اختیارات و حساب کاربران dial up درشبکه های خصوصی مجازی واخیرا برای دسترسی درشبکه های بی سیم فراهم آمده است.این مقاله نگاهی دارد به RADIUS و پروتکل EAP و درمورد به حداقــــل رساندن یا حل کردن پیامدهای مختلف امنیت این پروتکل و همچنین پیاده سازی و گسترش آن به بهترین نحو بحث می کند.
نگاهی به RADIUS :
RADIUS یک قرارداد گسترش یافته با توانائی متمرکز کردن احرازهویت ، تعیین حدود اختیارات و مدیریت حسابهای کاربران برای دسترسی درشبکه بکار می*رود. عموما برای دسترسی راه دور توسعه پیدا کرد ولی درحال حاضر بوسیله شبکه های VPN ،نقاطی که از طریق بی سیم بهم متصل هستند ، احرازهویت سوئیچهای اترنت ،خطوط دستیابی DSL و انواع شبکه هایی که دسترسیهای مختلف پشتیبانی میشود.
Radius با استاندارد RFC 2865 تشریح شده است. یک سرویس گیرنده RADIUS (نوعا یک ACCESS SERVER،مانند یک سرور DIAL UP ، سرورVPN یا WIRE LESS ACCESS POINT) یک دسته از اطلاعات و پارامترهای مربوط به اتصال تحت عنوان RADIUS MESSAGE، به سرور ارسال می کند.
سرور، هویت سرویس گیرنده را تعیین و حدود اختیارات آنرا مشخص می کند و در پاسخ یک RADIUS MESSAGE برای سرویس گیرنده ارسال می کند.سرویس گیرنده های RADIUS همچنین RADIUS ACCOUNTING MESSAGE را به سرورهای RADIUS ارسال می کنند.
بعلاوه استانداردهای RADIUS ازپروکسی های RADIUS پشتیبانی می کند.یک پروکسیRADIUS یک کامپیوتر است که پیامها را مابین سرویس گیرنده ها و دیگر پروکسی هائی که از RADIUS استفاده می کنند ، پیش می برد.پیامها هرگز ازسوی ACCESS CLIENT و ACCESS SERVER ارسال نمی شوند.این پیامها بصورت پیامهای UDP ارسال می شوند.
پورت1812UDP ، برای پیامهای احراز هویت استفاده می شود و پورت1813 برای ACCOUNTING MESSAGE استفاده می شود.برخی خدمات دسترسی باید از پورت 1645 برای پیامهای احرازهویت و پورت 1646 برای پیامهای ACCOUNTING ارائه شوند.فقط یک RADIUS MESSAGE شامل UDP PAYLOAD یک بسته می باشد.RFCهای 2865و2866 انواع پیامهای زیر را تعریف می کند:
ACCESS REQUEST
این درخواست از طرف سرویس گیرنده به منظور تلاش برای برقراری ارتباط با شبکه ، جهت احراز هویت و تعیین حدود اختیارات فرستاده می شود.
ACCESS ACCEPT
بوسیله یک سرور در پاسخ به ACCESS REQUEST فرستاده میشود این پیام نشان می دهد که سرویس گیرنده موردنظر در تلاش برای برقراری ارتباط،ATHENTICAT و AUTHORIZE شده است.
ACCESS REJECT
در پاسخ به یک ACCESS REQUEST توسط سرور فرستاده میشود. این پیام نشان می دهد که سرویس گیرنده موردنظر در تلاش برای اتصال به شبکه صلاحیت نداشته است. یک سرور زمانی این پیام را می فرستد که گواهینامه سرویس گیرنده برای تلاش به برقراری اتصال، صلاحیت احراز هویت و یا تعیین حدود اختیارات لازم را ندارد.
ACCESS CHALLENGE
توسط یک سرور در پاسخ به یک ACCESS REQUEST فرستاده میشود این پیام یک نوع رقابت بین سرویس گیرنده ها است که میخواهند پاسخ خود را دریافت کنند.
ACCOUNTING REQUEST
پس ازبرقراری یک اتصال یکسری اطلاعات درمورد حسابهای کاربری ازسوی سرویس گیرنده فرستاده می شود.
ACCOUNTING RESPONSE
توسط یک سرور در پاسخ به پیام ACCOUNTIG REQUEST فرستاده میشود.
یک پیام RADIUS شامل دو بخش HEADER و ATTRIBUTES می باشد. هر خصوصیت یک بخشی از اطلاعات درباره تلاش برای ایجاد اتصال را مشخص می کند.
برای نمونه ، خصوصیاتی مانند : نام کاربر،کلمه عبوراو،نوع خدمات خواسته شده توسط کاربر،آدرس IP دسترسی به سرور دراین قسمت وجوددارند.خصوصیات به منظور ردوبدل کردن اطلاعات بین سرویس گیرنده ها و پروکسیها وسرور RADIUS استفاده میشوند.
برای مثال، لیست خصوصیات لازم جهت برقراری اتصال ، در پیام ACCESS REQUEST شامل اطلاعاتی درباره اختیارات کاربرو پارامترهای لازم دیگر می باشد.درواقع لیست خصوصیات مربوط به ACCESS ACCEPT شامل اطلاعاتی درباره نوع اتصــــــــالی که می تواند ایجاد شود و محدودیتهای اتصال می باشد.
خصیصه*هایRADIUS،بوسیله*استا نداردهای 2865،2866،2846،2868،2869و3162 تشریح شده اند.این RFCها و طرح هائی که سرویس دهنده ها آنها را لازم الجرا می دانند و باید از سوی سرویس گیرنده رعایت شوند،درمجموع خصیصه های RADIUS را تعریف می کنند.
در پروتکل های نقطه به نقطه مانند:PAP،CHAP،MS CHAP،MS CHAP V2نتایج تصدیق هویت ردوبدل شده میان ACCESS SERVER و ACCESS CLIENT به منظور بررسی به RADIUS SERVER فرستاده می شوند.
به منظور فراهم آوردن امنیت برای پیامهای RADIUS سرویس گیرنده و سرور براساس کلیدمشترک عمومی هماهنگ می*شوند.کلیدمشترک برای ایجاد امنیت درردوبدل کردن اطلاعات است و بطور معمول بصورت یک رشته متنی روی سرویس گیرنده و سرور می باشد.
نگاهی به پروتکل الحاقی تصدیق هویت
EAPبه پروتکل PPP جهت گسترش مکانیزمهای تصدیق هویت به منظور دسترسی به شبکه،اضافه گردید. با پروتکلهای تصدیق هویت PPP مانند: CHAP،MS CHAP،MS CHAP V2 یکسری مکانیزمهای خاصی در طول فاز برقراری اتصال انتخاب میشوند.درمدتی که تصدیق هویت اتصال بررسی میشود پروتکل تصدیق هویت محاوره ای به منظور تائید اعتبار اتصال مورداستفاده قرار میگیرد.
پروتکل تصدیق هویت یک رشته ثابت ازپیامها را باتوجه به درخواست خاص می فرستد.با EAP مکانیزمهای تصدیق هویت خاصی درطول فاز برقراری پیوندPPP انتخاب نمی شوند. درعوض هرطرف برای اجرای EAP درطول فاز تصدیق هویت اتصال محاوره می کند.
زمانیکه فازتصدیق CONNECTION فرا می رسد،دوطرف ارتباط درمورد شمای تصدیق هویت موردنظرشان محاوره می کنند که EAP TYPE نامیده می شود.بمحض اینکه EAP TYPE مشخص شد،اجازه ردوبدل کردن پیامها میان سرویس گیرنده و سرور داده میشود که می تواند براساس پارامترهای اتصال متفاوت باشد،این محاوره شامل درخواستهایی برای تصدیق هویت و پاسخ آنها می باشد .جزئیات و طول این محاوره بستگی به نوع EAP دارد.بانصب فایل کتابخانه ای نوع EAP برروی سرویس گیرنده و سرور، آن نوع EAP جدید می تواند ،پشتیبانی شود.EAP انعطاف بسیارخوبی برای بیشترمتدهای تصدیق هویت امنیتی فراهم می کند.شما می توانید از EAP برای پشتیبانی ازطرح های تصدیق هویت مانند: کارت رمزعمومی،OTP،MD5 CHALLENGE،امنیت لایه انتقال برای کارت هوشمند استفاده کنید.(بخوبی هر تکنولوژی تصدیق هویتی که درآینده می آید.)
درمجموع برای پشتیبانی شدن توسط پروتکلPPP،EAP توسط لایه پیــــــوند IEEE802هم پشتیبــانی می شود.
IEEE802.1X یک استاندارد IEEE برای تصدیق هویت پورت شبکه است،که تعریف می کند ،چطور EAP برای تصدیق هویت از ابزارهای IEEE802،شامل IEEE802.11B نقاط دسترسی بی سیم و سوئیچهای اترنت استفاده می شود.
IEEE802.1X با پروتکل PPP که فقط متدهای تصدیق هویت EAP را پشتیبانی می کند،متفاوت است . در نتیجه امکان استفاده از PAP بصورت محاوره ای برای آن وجود ندارد.
EAP OVER RADIUS
EAP OVER RADIUS یک نوع EAP نیست،اما پیامهای EAP هرنوعEAP رابوسیله ACCESS SERVER به سرور RADIUS به منظور تصدیق هویت عبور میدهد.
یک پیام EAP بین ACCESS CLIENT و ACCESS SERVER به شکل یک پیام EAP با خصوصیات RADIUS(RFC2869) فرستاده میشود.ACCESS SERVER یک ابزار برای عبوردادن پیامهای EAP میان ACCESS CLIENT و سرورRADIUS می باشد.پردازش پیامهای EAP،توسط سرورRADIUS و ACCESS CLIENT می باشد نه ACCESS SERVER.
Eap over radius درمحیطهایی که radius عمل تصدیق هویت رابرعهده دارد استفاده میشود.یک مزیت استفاده از eap over radius این است که نیازی به نصب انواع eap روی access server نمی باشد،تنها نصب آن روی سرور radius کافی میباشد.
Access server باید از انتقالات eap بعنوان پروتکل تصدیق هویت پشتیبانی کند و پیامهای eap رابه سرور انتقال دهد.
در یک eap over radius ،access server برای استفاده از eap و radius،بعنوانprovider تصدیق هویت تنظیم شده است.زمانیکه تلاش برای برقراری اتصالا صورت می گیرد،access client درموردeap با access server گفتگو می کند.
زمانیکه سرویس گیرنده یک پیامeapبه access server می فرستد،access server پیام را مانند یک پیامradius بسته بندی کرده و آنرا به سروری که بااو هماهنگ شده می فرستد. سرورپیام را پردازش می کند وبهACCESS SERVERبرمیگرداند. سپس ACCESS SERVER پیام EAP را به ACCESS CLIENT می فرستد.
RADIUS SECURITY ISSUES AND SOLUTIONS
درادامه عملکردهای امنیتی و حملات احتمالی به سرورهای RADIUS توضیح داده خواهد شد. این عملکردها بسته به توانائی مهاجم درگرفتن پیامهای RADIUSمیان ACCESS SERVER و سرور RADIUS متفاوت می باشد.این موضوع نشان می دهد که مهاجم دسترسی فیزیکی به شبکه دارد و درمسیرمیان سرور و ACCESS SERVER می باشد.
پیامهای ACCESS REQUEST که تصدیق نمیشوند:
فرض کنیم که هیچ گونه نظارتی روی پیامهای ACCESS REQUEST واردشده به سرور وجودندارد. سرور پیامی را که از آدرس IP یک سرویس گیرنده سرچشمه گرفته ،بررسی می کند،اما آدرسهای IP مبدا برای اینکه همراه پیام فرستاده می شوند براحتی ربوده میشوند.
یک راه حل این است که سرور خصیصه تصدیق کننده پیام را روی همه پیامهای ACCESS REQUESTدرخواست کند.این خصیصه یک پیامMD5شده ازپیامACCESS REQUESTبی نقص است که از رمز مشترکی که کلید خوانده می شود،استفاده می کند.
ACCESS SERVER باید پیامهای ACCESS REQUEST را باخصیصه تصدیق کننده پیام بفرستد و اگرخصیصه تصدیق کننده پیام وجودنداشته باشدیا اشتباه باشد،سرور باید آن پیام را دور بیاندازد.معمولا خصیصه تصدیق کننده پیام تنها توسط پیامهایEAP OVER RADIUS درخواست میشوند.برای مثال شما میتوانیدRASوROUTING را در سیستم عامل WIN2000 تنظیم کنید و خصیصه تصدیق کننده پیام را برای هرپیامACCESS REQUEST بفرستید.البته اینکاروابسته به این موضوع است که شما درتنظیمات خصوصیات سرورRADIUS،گزینه ALWAYS USE DIGITAL SIGNATURES راانتخاب کنید.
شما میتوانید سرویس تصدیق هویت اینترنت WIN2000(IAS) راطوری تنظیم کنیدکه از هرپیام ACCESS REQUEST خصیصه تصدیق کننده پیام را درخواست کند و اینکارازطریق انتخاب گزینه CLIENT MUST ALWAYS SEND THE SIGNATURE ATTRIBUTE IN THE REQUESSTکه درمجموعه خصوصیات سرویس گیرنده هست،میسر میشود.
اگرخصوصیت تصدیق کننده پیام برای هم پیامهای ACCESS REQUEST قابل استفاده نباشد،ازمکانیزم تحریم و شمارش تصدیق هویت استفاده میشود.یکی از نمونه های دسترسی بااستفاده از تحریم و شمارش راه دور درWIN2000 این است که بعداز برقراری اتصال راه دور چنانچه بیش از چندبار(معین شده) تلاش جهت تصدیق هویت صورت گرفت،ازکاربر ممانعت بعمل آید.
دربعضی مواقع کلید رمزعمومی به اندازه کافی تصادفی نیست که بتواند جلوی حمله دیکشنری را بگیرد و به همین خاطر اگر کلید عمومی کشف شود ، فیلد تصدیق کننده ACCESS RESPONSE ودر پی آن محتوای پیام هم براحتی لو می رود.این وضعیت درسرورها و سرویس گیرنده هائی که اندازه رمزعمومی آنها محدود است و کلید عمومی آنها فقط شامل کاراکترهائی میشود که توسط صفحه کلید زده میشوند و تنها میتوانند 94تا256 کاراکتراسکی را استفاده کنند،بدتر است.راه حل این پیامد:

• اگر رمزعمومی بایدترتیبی ازکاراکترهای صفحه کلید باشد،آنراطوری انتخاب کنیدکه طول کاراکترها حداقل22 باشد و شامل حروف بزرگ و کوچک ،اعداد و علائم نقطه گذاری باشد.اگررمزعمومی براساس ترتیبی از ارقام هگزادسیمال باشد،ازارقام هگزادسیمال تصادفی باحداقل طول 32 استفاده کنید.
RFC2865 رمزهای عمومی با طول حداقل 16 کاراکتررا معرفی میکند.امابرای رمزهای 128 کاراکتری ،هرکاراکتربایدشامل8بیت کامل باشد.اگررمزعمومی محدود به کاراکترهای صفحه کلید باشد(مخالف اعدادهگزادسیمال باشد)،هرکاراکترتنها5.8بیت دارد.برای فراهم کردن 128بیت،سرویس گیرنده،سروروپروکسی بایدبراساس رمزهای عمومی باطول حداقل22کاراکترتنظیم شوند.بعنوان مثال،رمزهای عمومی برایIAS ویندوز2000 میتواند طول بیش از64 کاراکترداشته باشد.
برای اطمینان ازرمزعمومی تصادفی ازیک برنامه برای تولید رمزهای باطول حداقل22کاراکتر استفاده میشود.
• استفاده از رمزهای عمومی متفاوت برای هرزوج سرور-سرویس گیرنده.
خصیصه های رمزشده ،بوسیله مکانیزمهای مخفی سازی radius استفاده میشوند:
مکانیزم پنهان سازیRADIUS ،ازرمزعمومیRADIUS،تعیین کننده هویت درخواست،الگوریتمMD5 HASHING برای رمزگذاری رمزعبورکاربر ودیگرخصیصه ها مانندTUNNEL PASSWORD و MS CHAP MPPE KEYS استفاده می کند.
درزیرعملکرد و وضعیت های RFC2865 آمده است :
استفاده از یک روند رمزکردن و MD5 به عنوان روش رمزکردن ،از بخشهای ویژه RADIUS هستند.تنها راه استاندارد که به حفاظت از خصیصه ها کمک می کند این است که ازIPSECبهمراهESP و یک الگوریتم رمزکردن مانند3DES،برای فراهم کردن داده های مطمئن برای کل پیامهای RADIUS استفاده شود.
اگراستفاده ازIPSECبهمراهESPو الگوریتم رمزکردن ممکن نباشد،مدیران شبکه می توانندبا انجام کارهای زیرمیزان آسیب پذیری را به حداقل برسانند:
- درخواست استفاده از خصیصه تصدیق کننده پیام(MESSAGE AUTHENTICATOR ATTRIBUTE)درهمه پیامهای ACCESS REQUEST.
- استفاده از الگوریتم های رمزنگاری قدرتمند جهت تصدیق هویت.
- استفاده از رمزعبورهای قوی.
- استفاده از یک مکانیزم شمارش و تحریم برای مقابله با حمله دیکشنری ONLINE.
- استفاده از کلید عمومی 128بیتی.
Poor request authenticator values can be used to decrypt encrypted attributes
همان طور که درRFC2865اشاره شد،یک تصدیق گردرخواست باید موقتی و درعین حال یکتا باشد. کلید خصوصی و کلید عمومی باهم ترکیب شده و KEY STREAM را تعریف میکنند که برای رمزنگاری رمزعبور کاربرو دیگرخصیصه ها استفاده می شود.
این موضوع ممکن است به یک مهاجم( که توانائی گرفتن اطلاعات ردوبدل شده میان سرویس گیرنده RADIUS و سرور را دارد وتلاش می کند که وارد شبکه شود)اجازه ساختن یک دیکشنری از کلیدهای خصوصی ومتناظرباKEY STREAM را بدهد.اگرمقدار REQUEST AUTHENTICATOR همواره بوسیله ACCESS SERVER(که از رمزعمومی مشابه استفاده می کند)تکرارشود،پس رمزعبورودیگرخصیصه ها که دراین میان ردوبدل می شوند،براحتی تعیین می شوند.اگر REQUEST AUTHENTICATORبه اندازه کافی تصادفی نباشد،براحتی تشخیص داده میشود.تولیدکنندهREQUEST AUTHENTICATORبایدازمکانیزم رمزنگاری بالائی برخوردارباشد،درغیراینصورت ،میتوان ازیک الگوریتم رمزنگاری مانند3DES و همینطورIPSEC بهمراه ESP استفاده کرد،که داده های مطلوب برای کل پیامهایRADIUS فراهم کند،همانگونه که درRFC3162 تشریح شده است.
Radius implementation and deployment best practices
برای نشان دادن عملکردهای امنیتی radius بایددرموردپیاده سازی و انتشار این پروتکل ،دقت و تمرین زیادی کرد.
به منظور فراهم کردن داده مطمئن برای کل پیامهای radius ،باید IPSEC بهمراه ESP و یک الگوریتم رمزنگاری مانند3DES را پیاده سازی کنیم.
این موضوع درRFC3162 توضیح داده شده است.زمانیکه کل پیامهای RADIUS با IPSEC رمزنگاری می شوند،فیلدهای حساس RADIUS (مانند:فیلد تصدیق گردرخواست درACCESS REQUEST)وخصوصیاتی*مانند*رمزع بور،TUNNEL PASSWORD،MPPE KEY ATTRIBUTES)محافظت می شوند.یک مهاجم ابتداESP PROTECTEDیک پیام را رمزگشائی میکند قبل از اینکه بتواندمحتوای پیام را تحلیل کند.
دریک اتصال که از IPSEC استفاده می شود باید روند زیر انجام شود:
• اجازه تنظیم و استفاده از رمزهای عمومی باحداقل طول32هگزادسیمال یا کاراکترهای صفحه کلید با حداقل طول 22.
• استفاده*از*تصدیق*گرپیام (MESSAGE AUTHENTICATOR)برای تمام*پیامهای ACCESS REQUEST.
برای یک سرویس گیرنده،مکانیزم استفاده از تصدیق گر پیام*رابرای همه پیامهای ACCESS REQUEST پیاده سازی کنید .یک سرور یا پروکسی باید طوری پیاده سازی شود که تصدیق گرپیام را از همه پیامهای ACCESS REQUEST درخواست کند.
• پیاده سازی*یک*تولیدکننده CRYPTOGRAPHIC QUALITY RANDOM برای تصدیق گر پیام.
برای اینکه حفاظت بیشتری درمورد احرازهویت سرویس گیرنده داشته باشیم،ازروشهای زیراستفاده میکنیم:
• پیاده سازی EAP و انواع آن و استفاده از روشهای احرازهویت قدرتمند دراین زمینه.
• یک نمونه خوب دراین زمینه EAP TLS است که مجوزهای ردوبدل شده میان ACCESS CLIENT و ACCESS SERVER را درخواست می کند. همه پیامهای EAP،خصیصه تصدیق گر پیام را (که برای محافظت از ACCESS REQUESTها زمانیکه از IPSEC استفاده نمی شود ،بکارمی رود)درخواست می کنند.
• پیاده سازی روشهای احرازهویت دوطرفه.
بااستفاده ازاحرازهویت دوطرفه،دوطرف ارتباط هویت یکدیگررا بررسی*میکنند.اگراحرازهویت *هرکدام منجربه شکست شود،تلاشی که برای برقراری ارتباط صورت گرفته،REJECT میشود.به عنوان نمونه،EAP TLSو MS CHAP V2 روشهائی ازاحرازهویت دوطرفه می باشند.بااستفاده از EAP TLS ،سرور گواهینامه کاربر را که از طرف ACCESS CLIENT می آیدتائیداعتبار می کندو همینطور*ACCESS CLIENT*گواهینامه*سرور را تاییداعتبارمی کند.بااستفاده زاMS CHAP V2 هردوی* ACCESS CLIENT و ACCESS SERVER گواهی رمزعبور کاربررا بررسی می کنند.
• اگرپروتکل PPP*پیاده*سازی*شود،استفاد ه*ازروش*پیش*فرض مقدورنیست.
بـــرای*مثـــــال*OTP/TOKENCARDازPAPبمنظورفرستادن*اطل� �عات *احرازهویت استفاده
می*کند.اگـرشما*باید*PAPراپیا� �ه سازی کنید،USE BY DEFULTرا غیرفعال کنید ازرمزهای طولانی و تصدیق کننده های رمزشده استفاده کنید،بدلیل اینکه IEEE802.1X،PAP راپشتیبانی نمی کند، این روندتنها برای ارتباطات نقطه به نقطه کاربرد دارد.
• اگرCHAPرا*پیاده*سازی*می*ک نید،ازیکCHAP CHALLENGE قوی استفاده کنید.
• اگرMS CHAP را پیاده سازی می کنید، این روش رمزعبورهای تغییریافته و یاپاسخهای رقابتی رمزشده را برای LAN MANAGER پشتیبانی نمی کند.
DEPLOYMENT BEST PRACTICES
به منظور فراهم کردن داده مطمئن برای کل پیامها،سرویس گیرنده ها و سرورهارابایدبراساس IPSECوESPو3DES تنظیم کنید.
تنظیم IPSEC ESPبهمراه 3DES برای RADIUSبه پیاده سازیIPSEC بستگی دارد.برای مثال،اگرشما ازRRAS WIN2000،برای ACCESS SERVER و IAS WIN2000 برای RADIUS SERVERو محیط ACTIVE DIRECTORY استفاده میکنید،میتوانید ACTIVE IPSEC POLICY برای یک سیستم مناسب (که ازقانونESP و الگوریتم رمزکردن 3DES برای همه تبادلات از و به پورتهای UDP 1812,1813 استفاده می کند)تنظیم کنید.برای دسترسی به اطلاعات بیشتر میتوانید از HELP ویندوز2000 استفاده کنید.
درصورت استفاده از IPSEC در اتصال باید روال زیرانجام شود:
• استفاده از رمزهای عمومی که شامل یک ترتیب تصادفی ازاعداد هگزادسیمال باطول حداقل32رقم یایک ترتیب تصادفی ازحروف بزرگ و کوچک ،اعدادوعلائم نقطه گذاری باطول حداقل22کاراکتر.بهتراست*رمز عمومی*توسط*کامپیوترتولید شود.
• استفاده ازرمزعمومی متفاوت برای هرجفت سرویس*گیرنده-سرور.هرسرویس*گیرنده را طوری تنظیم کنیدکه تصدیق*گرپیام را با همه پیامهای ACCESS REQUEST ارسال کند.هرسرور راهم طوری تنظیم کنیدکه ازهرسرویس*گیرنده تصدیق*گرپیام رابه همراه ACCESS REQUEST درخواست کند.
• استفاده سرویس*گیرنده ها،سرورهاوپروکسی هاازیک روش رمزنگاری احرازهویت قوی.برای فراهم کردن حفاظت بیشترازهویت*سرویس*گیرنــ ـده،ازروشـــهای*زیراستفــ� �� �ده میشود:
اگرازروشPAPاستفاده*نمیشود، استفاده*ازاین*روش*رادر
ACCESS-SERVERوRADIUS-SERVERغیرفعال*کنید.
تنهــاکاربـــردقــابل*قبو� � ازPAPبعنوان اتصال ایمن OTPوTOCKEN CARD AUTHENTICATIONاست که رمزعبورازENTROPY بالائی برخوردار است و برای هرباراستفاده رمزعبورتغییرمی کند.فعال کردن PAP باعث میشود که سرویس گیرنده و ACCESS SERVER*بصورت*محاوره*ای*عمل *نکنندوسرویس*گیرنده*رمز رعبورا بدون اعمال هرگونه حفاظتی بفرستد.یک راه*حل بهتراستفاده ازEAP وانواع آن برایOTP و TOKEN CARD AUTHENTICATION می باشد.
اگرازMS CHAP استفاده میکنید،USE OF LAN MANAGER راغیرفعال کنید.
اگرازIASویندوز2000 استفاده میکنید،مقدارکلیدرجستری زیررا درIASسرور صفرکنید.
HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\
SERVICES\REMOTACCESS\POLICY\
ALLOW LM AUTHENTICATION
• استفاده از EAP وانواع آن به همراه روشهای احرازهویت قوی.
احرازهویت IEEE802.1X برای نقاط با دسترسی بی سیم با استفاده ازEAP،خصیصه تصدیق*گرپیام رابرای محافظت ازهرACCESS REQUESTنیازداردوهمچنین PAPراپشتیبانی نمی کند.
• استفاده از تصدیق هویت دوطرفه مانندEAP TLSوMS CHAP V2.