RADIUS - Access-Request und Access-Chalenge

[KGBschnik]

Hallo Forum,

ich hoffe hier jemanden zu finden der mir auf meine Frage eine Antwort geben kann. Ich habe den Authentifizierungsvorgang gesniffert und mir ist dabei aufgefallen, dass nicht nur Access-Request und Access-Accept Pakete versendet werden. Bevor es zum Access-Acceppt kommt, sind diverse Access-Request<--->Access-Challenge Pakete, die versendet werden.

Was wird da genau ausgehandelt? Wofür sind die Access-Challenge(11)?

[Pawel]

Bei welchem Authentifizierungsverfahren? Radius bietet ja einiges.

Ich könnte mir gut vorstellen, dass es ein 3 Wege Handshake ähnlich dem von CHAP sein könnte. Um den Sinn hinter CHAP zu verstehen, sollte man erst PAP kennen.

Bei PAP geschieht das, was du erwartest. Ein Client schickt ein Request zum Server und kriegt ein Response, ob die Authentifizierung erfolgreich war. Der Vorteil davon; es ist recht simpel. Der Nachteil, ein bösartiger Client kann beliebig viele Requests abschicken und der Server muss immer antworten (und damit immer einen Authentifizierungsversuch machen).

Um ein solches bösartiges Vorgehen zu verhindern gibt es CHAP.
Beim CHAP (neben anderen Vorteilen zu PAP) schickt der Client ein Request. Der Server antwortet mit einer Challenge mit einem Hash aus dem Passwort und der jeweiligen Zeit. Aus dem Hash und dem Passwort generiert der Client eine Response. Der Server kann nun die Antwort ablehnen oder annehmen (und damit ist der Client authentifiziert). Das hat den Vorteil, dass der Client erst antworten darf, wenn der Server das explizit zulässt.

[KGBschnik]

Bei welchem Authentifizierungsverfahren? Radius bietet ja einiges.

Um ein solches bösartiges Vorgehen zu verhindern gibt es CHAP.
Beim CHAP (neben anderen Vorteilen zu PAP) schickt der Client ein Request. Der Server antwortet mit einer Challenge mit einem Hash aus dem Passwort und der jeweiligen Zeit. Aus dem Hash und dem Passwort generiert der Client eine Response. Der Server kann nun die Antwort ablehnen oder annehmen (und damit ist der Client authentifiziert). Das hat den Vorteil, dass der Client erst antworten darf, wenn der Server das explizit zulässt.

Die Authentifizierung erfolgt über PEAP mit MS-Chapv2. Wieviele Request werden da gesendet? Für mich erscheinen 5 bzw. 6 Requests und Challenge als viel?!?

Eine Frage noch dazu, falls sich jemand auskennt: Wird ein TLS-Tunnel aufgebaut bevor der Authentifizierungsvorgang abläuft? Wenn ich Freeradius im Debugmodus starte sehe ich diverse Meldungen in denen TLS vorkommt. Habe nach zuverlässigen Quellen gesucht, die mir das erklären aber nichts brauchbares gefunden...

PS: Ich habe auf dem RADIUS-Server ein Zertifikat erstellt und in der eap.conf die Pfade angeben müssen.

Was mich verwirrt ist: Es scheint laut Microsoft: PEAP mit EAP-MS-CHAPv2 und PEAP mit EAP-TLS zu geben.
http://technet2.microsoft.com/WindowsSe ... x?mfr=true

Gibt es allgemein ein Verfahren, wie ich das nachweisen kann, dass ein Tunnel aufgebaut wird und die AUthentifizierung über PEAP geschieht?

[Pawel]

Die Authentifizierung erfolgt über PEAP mit MS-Chapv2. Wieviele Request werden da gesendet? Für mich erscheinen 5 bzw. 6 Requests und Challenge als viel?!?

Ist eine völlig normale Zahl. Kannst dir aber wenn du dir schon die Request/Responses durchzählst, auch mal alles genauer anschauen, ob da wirklich unnötige Pakete sind und wo zwischen die geschickt werden.

Eine Frage noch dazu, falls sich jemand auskennt: Wird ein TLS-Tunnel aufgebaut bevor der Authentifizierungsvorgang abläuft? Wenn ich Freeradius im Debugmodus starte sehe ich diverse Meldungen in denen TLS vorkommt. Habe nach zuverlässigen Quellen gesucht, die mir das erklären aber nichts brauchbares gefunden...

PS: Ich habe auf dem RADIUS-Server ein Zertifikat erstellt und in der eap.conf die Pfade angeben müssen.

Was mich verwirrt ist: Es scheint laut Microsoft: PEAP mit EAP-MS-CHAPv2 und PEAP mit EAP-TLS zu geben.
http://technet2.microsoft.com/WindowsSe ... x?mfr=true

Alle deine Fragen werden in dem oben genannten Link beantwortet und auch was der Unterschied zwischen den beiden Authentifizierungsmethoden ist.

Gibt es allgemein ein Verfahren, wie ich das nachweisen kann, dass ein Tunnel aufgebaut wird und die AUthentifizierung über PEAP geschieht?

Klar, erstmal der Output aus dem Debug Modus und zweitens kannst du dir noch einen Sniffer installieren und dir die übermittelten Pakete anschauen.

[KGBschnik]

Alle deine Fragen werden in dem oben genannten Link beantwortet und auch was der Unterschied zwischen den beiden Authentifizierungsmethoden ist.

Genau das verwirrt mich ja: Ich habe in der eap.conf folgendes konfiguriert:

Code: Alles auswählen

eap {
	default_eap_type = peap
	timer_expire     = 60
	ignore_unknown_eap_types = no
	cisco_accounting_username_bug = no
	md5 {
	}
	leap {
	}
	gtc {
		auth_type = PAP
	}

	## EAP-TLS
	tls {
		private_key_password = passwort
		private_key_file = /etc/mycerts/cert-srv.pem

		#  If Private key & Certificate are located in
		#  the same file, then private_key_file &
		#  certificate_file must contain the same file
		#  name.
		certificate_file = /etc/mycerts/cert-srv.pem

		#  Trusted Root CA list
		CA_file = /etc/mycerts/root.pem

		dh_file = /etc/mycerts/dh
		random_file = /etc/mycerts/random
		fragment_size = 1024
		include_length = yes
	}
	 peap {
		default_eap_type = mschapv2
		copy_request_to_tunnel = no
		use_tunneled_reply = no
	}
	mschapv2 {
	}
}

Für mich sieht es so aus, als wenn ich PEAP mit EAP-MS-CHAPv2 konfiguriert habe, was ja anders als PEAP mit EAP-TLS sein soll. Trotzdem finde ich im Debug diverse TLS-Meldungen.

Verstehe ich das richtig, dass zunächst ein TLS-Tunnel in meiner Konfiguration aufgebaut wird und anschließend die AUthentifizierung über MSCHAPv2 geschieht?

Kann mir das jemand näher erklären?