Агент серверов «radius»

RADIUS (Remote Access Dial-In User Service — сервис идентификации удаленных абонентов) представляет собой распределенный протокол, используемый в рамках технологии клиент/сервер и обеспечивающий защиту сети от несанкционированного доступа. Cisco поддерживает RADIUS как одну из составляющих системы защиты ААА. Рассматриваемый протокол скорее объединяет аутентификацию и авторизацию, чем трактует их отдельно, как это делается в отношении аудита.

Протокол RADIUS реализован во многих сетевых средах, требующих высокого уровня зашиты при условии поддержки сетевого доступа для удаленных пользователей. Он представляет собой полностью открытый протокол, поставляемый в формате исходного текста, который можно изменить для того, чтобы он мог работать с любой доступной в настоящий момент системой защиты.

Широкую популярность RADIUS обеспечивает возможность добавлять новые пары "атрибут/значение" в дополнение к тем, которые описаны в документе RFC 2865. Протокол RADIUS имеет атрибут поставщика (атрибут 26), позволяющий поставщику осуществлять поддержку своих собственных расширенных наборов атрибутов, включающих нестандартные атрибуты. Вследствие использования пар "атрибут/значение" конкретных поставщиков могут возникать трудности при интеграции серверных продуктов защиты RADIUS в другие системы защиты. Серверы защиты RADIUS и соответствующие клиенты должны игнорировать нестандартные пары "атрибут/значение", созданные конкретными поставщиками.

Cisco осуществляет поддержку клиентов RADIUS посредством набора серверов сетевого доступа, маршрутизаторов, коммутаторов Ethernet, брандмауэров PIX, концентраторов VPN 3000 и CiscoSecure ACS.

Возможности radius

RADIUS поддерживает следующие возможности сервера защиты:

• Пакеты UDP. Для связи RADIUS между сервером сетевого доступа и сервером защиты используется протокол UDP и UDP-порт 1812, официально назначенный для этого. Некоторые реализации RADIUS используют UDP-порт 1645. Использование UDP упрощает реализацию клиента и сервера RADIUS.

• Объединение аутентификации и авторизации и выделение аудита. Сервер RADIUS получает запросы пользователя, выполняет аутентификацию и обеспечивает клиенту информацию о конфигурации. Аудит выполняется сервером аудита RADIUS.

• Шифрование паролей пользователей. Пароли, содержащиеся в пакетах RADIUS (a это только пользовательские пароли), шифруются посредством хэширования MD5.

• Аутентификация РАР и CHAP. Обеспечивает управление аутентификацией с помощью средств вызова/ответа РАР и CHAP, а также посредством диалога начала сеанса и ввода пароля наподобие входа в систему UNIX.

• Защита глобальной сети. Обеспечивает поддержку средств ААА удаленного доступа для серверов сетевого доступа многих поставщиков, поддерживающих клиентов RADIUS. Дает возможность централизовать управление удаленным доступом.

• Протоколы группы SLIP, РРР и ARAP. Поддерживаются также Telnet, rlogin и LAT (Local Area Transport — протокол доступа к терминалу в сетях DECnet).

• Автокоманды. Пользователь может автоматически выполнить команду, если она указана в базе данных RADIUS и поддерживается сервером сетевого доступа.

• Функция обратного вызова. Данная функция возвращает телефонные вызовы, заставляя сервер сетевого доступа звонить соответствующему пользователю, что может дать дополнительные гарантии защиты пользователям, использующим доступ по телефонным линиям.

• Расширяемость. Все транзакции предполагают использование пар "атрибут/значение" переменной длины. Новые атрибуты могут быть добавлены в существующие реализации протокола. Протокол разрешает производителям добавлять новые атрибуты с помощью атрибута поставщика.

• Гарантированная сетевая защита. Аутентификация транзакций между клиентом и сервером защиты RADIUS предполагает использование общего секретного значения.