Radius란?

 

 

Radius (Remote Authentication Dial-In User Service)

 

• 원격 인증 및 사용자 접속 관리 서비스
• 네트워크 장치에서 사용자 인증 및 원격 접속 제어를 위해 사용되는 프로토콜이나 시스템
  ( 사용자가 네트워크에 접속하려고 할 때, 사용자의 신원을 확인하고 승인하는 데 사용)
• 가상 사설망(VPN)이나 무선 네트워크 등에서 사용자 인증을 처리할 때 유용

 

RADIUS Server를 사용하는 이유
- 중앙 집중식 인증 시스템 : 다른 장치 구성에 관계없이 액세스 및 인증에 대한 모든 사용자 요청을 한 곳에서 처리한다.
- 향상된 네트워크 보안 : 인증과 권한 부여를 중앙에서 관리할 수 있어 네트워크 보안이 향상되고 시간과 노력이 절약된다.
사용자는 Wi-Fi 네트워크에 액세스하기 위한 자신의 사용자 자격 증명을 갖게 된다.

 

 

 

 

---

 

 

 

 

 

Radius의 3가지 주요 기능 (AAA)

 

1. 인증 (Authentication)

네트워크에 액세스 하는 사용자(또는 단말)의 신원을 검증

 

2. 권한부여 (Authorization)

검증된 사용자에게 어떤 수준의 권한과 서비스를 허용

 

3. 계정관리 (Accounting)

사용자의 자원에 대한 사용 정보를 모아서 과금, 감사, 용량증설, 리포팅 등

 

 

AAA 특징
- 보안상, 텔넷이나 콘솔 접근을 가급적 제한
- 주로 다이얼업 클라이언트, VPN 클라이언트와 같은 원격 사용자에게 시스템 또는 네트워크로의 접근을 관리

 

 

 

 

---

 

 

 

 

 

Radius 특징

 

1. 분산된 클라이언트 / 서버 구조

Radius 클라이언트	원격 사용자의 인증용 정보를 서버에게 전달
Radius 서버	분산된 정보를 저장, 관리, 허용 여부 통지 등

1) 사용자는 RADIUS 클라이언트를 지원하는 서버에 접속 시도

2) 서버(RADIUS 클라이언트)는 PPP 프레임 등을 사용하여 ID 및 암호를 받음

3) UDP/IP 를 통해 ID 및 암호를 RADIUS 서버로 암호화된 Access-Request로써 전달

4) RADIUS 서버는 받아들인 User-Name Attribute(속성)와 자신이 저장하고 있는 DB 내용과 일치하는지 확인함 

※ 서버 응답의 세가지
Access Accept       : 사용자의 접근이 허가된다. (인증완료)
Access Challenge  : request에서 받은 정보 외에 PIN 번호나 비밀번호, Token 등의 정보를 더 요구한다.
Access Reject        : 검증 실패로 인해서 연결이 불가능하다.

 

 

---

 

 

 

2. 다양한 인증 방법

 

PAP (Password Authentication Protocol)

• PPP 등에서 사용하는 인증용 프로토콜 중의 하나
• 평문 ID,암호로써 인증하는 매우 단순한 프로토콜

 

CHAP (Challenge Handshake Authentication Protocol)

• PPP 등에서 사용하는 인증용 프로토콜 중의 하나
• 기존 PAP 방식의 보안상 취약점(평문으로 사용자명,암호를 그대로 전송)을 개선
• 암호를 링크를 통해 그대로 전송 하지 않으며, 링크 개설은 클라이언트가 하더라도 인증 과정은 서버쪽에서 주관 함

 

PPP (Point-to-Point Protocol)

• 점대점 데이터링크를 통해 3계층 프로토콜들을 캡슐화 전송하는 관련 프로토콜들의 모음
• 주로 IP 전송 위주이나, 그외에 여러 3계층 프로토콜의 복합 전송도 가능

 

 

---

 

 

 

3. RADIUS 메세지

 

속성/값 쌍(Attribute/Value Pair)라 불리는, Type - Length - Value 형태로 인코딩되어 전달됨

 

 

 

---

 

 

 

4. 수송용 프로토콜

 

통상 UDP에 의해 전달됨

(인증,인가: 포트번호 1812 / 계정관리: 포트번호 1813)

UDP (User Datagram Protocol)
- TCP/IP 프로토콜 중 트랜스포트 계층의 통신 프로토콜의 하나 (TCP에 대비됨)
- 신뢰성이 낮은 프로토콜로써 완전성을 보증하지 않으나, 가상회선을 굳이 확립할 필요가 없고 유연하며 효율적 응용의 데이타 전송에 사용

 

 

---

 

 

 

5. RADIUS 서버는 다른 RADIUS 서버에 대해 Proxy 클라이언트로 쓰여질 수 있음

Proxy
다른 사람을 대신하여 무엇인가를 하는 것 (중개자)

'프록시', '게이트웨이' 비교
프록시: 동일 프로토콜로 연결
게이트웨이: 서로다른 프로토콜 간을 변환해주며 연결

 

 

 

---

 

 

 

6. 표준:  인증관련 RFC 2138, 과금관련 RFC 2139

 

1996년 IETF의 RADIUS Working Group에서 최초 표준화하여 RFC 2138로 문서화함

 

 

 

 

 

---

 

 

 

 

 

원격 접근시 제공되는 2가지 보안 모드

 

Packet Mode	흘러다니는 패킷에 대한 보안
Character Mode	관리자가 원격관리를 위한 터미널 접속시 보안  (ex) Telnet 등)

 

 

---

 

 

패킷 구조

코드 (8바이트)	1: Access Request 2: Access Reply(Accept) 3: Access Reject 4: Accounting Request 5: Accounting Response 11: Access Challenge 12: Status Server 13: Status Client 255: (Reserved)
식별자 (8바이트)	요청과 회신 패킷을 일치시키는데 사용되는 메세지 일련번호
패킷의 길이 (16바이트)	패킷 최소 길이는 20 바이트
인증자 (16바이트)	- RADIUS 서버로부터의 요청 패킷은 임의로 생성됨 - RADIUS 서버로의 회신 패킷은 요청 패킷을 사용한 MD5 해쉬 값
속성 (가변)	- 사용자 이름,패스워드 등 인증 관련 속성들 - 표현 형식 : TLV (Type - Length - Value)   .. 1  : User Name   .. 79 : EAP Message   .. 80 : EAP Message Authenticator

 

 

 

 

 

 

 

---

참고사이트

Radius란?

RADIUS(Remote Authentication Dial In User