본문 바로가기
Programming/Hacking & Security

[Security] RADIUS(Remote Authentication Dial-In ∴ User Services)

by ★용호★ 2010. 9. 27.

2010년 9월 26일 일요일

▶ 정의
RADIUS는 RAS가 다이얼업 모뎀을 통해 접속해온 사용자들을 인증하고, 요청된 시스템이나 서비스에 관해 그들에게 액세스 권한을 부여하기 위해, 중앙의 서버와 통신할 수 있게 해주는 클라이언트/서버 프로토콜 및 소프트웨어이다. RADIUS는 회사가 중앙의 데이터베이스 내에 사용자 프로필을 유지하고, 모든 원격지 서버가 공유할 수 있게 해준다. 그것은 더 나은 보안을 제공하며, 회사가 어느 한 곳에서 네트웍을 관리하도록 정책을 수립할 수 있게 해준다. 중앙 서비스를 가진다는 것은 또한 사용량이나 네트웍 통계 등의 추적을 쉽게 할 수 있다는 것을 의미한다. Livingston(이제는 루슨트 테크놀로지의 소유가 되었다)에 의해 만들어진 RADIUS는, Ascend와 기타 다른 네트웍 장비들에 의해 사용되는 사실상의 산업계 표준이며, IETF 표준으로 제안되어있다

RADIUS는 원격지 이용자의 접속 요구 시 이용자 ID나 패스워드, IP 주소 등의 정보를 인증 서버에 보내어 이용자의 식별 및 인증을 실행하는 것. 사원의 자택이나 외출 시 공중 회선 또는 인터넷을 거쳐 서버에 원격 접속하는 기회가 증가되고 있기 때문에 이용자 인증 시스템 역시 결함이 없어야 한다. 접속할 때쯤 암호를 변경해도 정당한 이용자만을 인증하기 때문에 암호를 도난당한 경우에도 부정 사용을 방지할 수 있다. 암호의 생성 방법이 다르므로 여러 가지 형태의 제품이 있다. 일정 시간마다 암호 생성기와 인증 서버가 동기되어 암호를 바꾸는 시간 동기 방식이나 서버가 생성한 난수를 암호화해서 암호에 중첩하는 도전-응답 방식 등이 있다. 암호 생성기는 휴대 시 편리한 ID 카드 형식 및 개인용 컴퓨터에 설치할 수 있는 소프트웨어 형식 등이 있는데, 외출지에서의 접속은 물론 사내 이용자의 인증을 행하도록 되어 있다.

▶ 인증구조

1. 사용자가 전화를 걸고네크워크 엑세스 서버에 PPP연결 설정

2. 사용자와엑세스 서버는 보통 CHAP로 인증 구조를 처리

3. 사용자와 액세스 서버는 인증 정보를 교환

4. 액세스 서버는 접근 정보를 액세스 서버 자신에 대한 정보와 사용하는 포트와 함께

인증 요구 패킷으로 만든다. 패스워드는 RADIUS 서버와 공유하는 비밀키를 사용하여 도

청에 대한 예방 조치로 암호화 한다.

5. 패킷은 어떤 연결(랜, 밴 등등) 통하여 RADIUS 서버로 보내 진다.

6. RADIUS 서버가 인증 요구 패킷을 받으면, 접근 한 사용자의 계정 정보에 대하 허가

할려고 할 것이다. 그리고 RADIUS 서버는 Authentication Acknowledg-ment나 Auth-Re

ject를 access server에 보낼 것이다. 만약 사용자가 허가를 받고 승인이 보내지면 사

용자에 대한 링크 필요 조건 똔느 사용자를 위한 서비스 수준을 정의하는 정책 정보와

같은 추가 정보도마찬가지로 보내질 것이다. 또한 필터는 네트워크 부분의 접근을 제한

할수도 있다..

댓글