TỔNG QUAN VỀ GIAO THỨC RADIUS

I. Sơ lược về giao thức Radius

1. Khái niệm

Remote Authentication Dial-In User Service (RADIUS) là một giao thức

mạng, hoạt động trên cổng mặc định là UDP 1812 cung cấp quản lý xác thực
tập trung (Authentication), phân quyền (Authorization) và tính cước
(Accounting) (AAA) cho người dùng kết nối và sử dụng dịch vụ mạng.
RADIUS được Livingston Enterprises, Inc. phát triển vào năm 1991 dưới dạng
giao thức tính cước và xác thực truy cập, sau đó được đưa vào các tiêu chuẩn
của Internet Engineering Task Force (IETF)

RADIUS rất phổ biến, được sử dụng rộng rãi, nó thường được các nhà cung cấp
dịch vụ Internet (ISP) và doanh nghiệp sử dụng để quản lý truy cập Internet
hoặc mạng nội bộ, mạng không dây và dịch vụ email tích hợp. Các mạng này có
thể kết hợp modem, đường dây thuê bao kỹ thuật số (DSL), điểm truy cập,
mạng riêng ảo (VPN), cổng mạng, máy chủ web, v.v.

RADIUS là giao thức máy khách / máy chủ chạy trên lớp ứng dụng
(Application Layer) và có thể sử dụng TCP hoặc UDP làm phương thức vận
chuyển.

Khái niệm kiến trúc AAA:

Trong giao thức RADIUS, khái niệm AAA đề cập đến ba chức năng cơ bản
và quan trọng trong quá trình xử lý người dùng và quản lý truy cập. AAA đại
diện cho Authentication (Xác thực), Authorization (Ủy quyền), và
Accounting (Ghi chú).

-Authentication (Xác thực):

Mục Tiêu: Xác thực là quá trình xác định xem người dùng có quyền truy cập vào
hệ thống hay không. Nó đảm bảo rằng người dùng cung cấp thông tin xác thực
đúng như tên người dùng và mật khẩu.

Quá Trình: Máy khách RADIUS gửi thông điệp Access Request chứa thông tin
xác thực đến máy chủ RADIUS. Máy chủ sau đó kiểm tra thông tin này và phản
hồi với Access Accept hoặc Access Reject.
 -Authorization (Ủy Quyền):

Mục Tiêu: Sau khi xác thực thành công, ủy quyền xác định quyền hạn và nguồn
tài nguyên mà người dùng được phép truy cập.

Quá Trình: Máy chủ RADIUS quyết định quyền hạn và tài nguyên mà người
dùng được cấp phép sử dụng. Thông thường, các thông tin ủy quyền được đưa ra
trong Access-Accept message.

-Accounting (Ghi Chú):

Mục Tiêu: Ghi chú là quá trình theo dõi và lưu trữ thông tin về hoạt động của
người dùng trên hệ thống. Các sự kiện như thời gian đăng nhập, thời gian đăng
xuất, và lưu lượng mạng có thể được ghi lại.

Quá Trình: Máy chủ RADIUS tạo các bản ghi ghi chú và gửi chúng đến một hệ
thống quản lý tập trung để theo dõi và phân tích.

2.Nguồn gốc
Theo John Vollbrecht, người sáng lập Interlink Networks và là người đóng
vai trò quan trọng trong sự xuất hiện của giao thức RADIUS, câu chuyện về
RADIUS thực sự bắt đầu vào năm 1987 khi Quỹ khoa học quốc gia (NSF) trao hợp
đồng mở rộng NSFnet (tức là tiền thân của Internet hiện đại) cho Merit Network
Inc.
Merit Network Inc. là một tập đoàn phi lợi nhuận đã phát triển một giao thức xác
thực mạng độc quyền để kết nối các trường đại học trên khắp Michigan. Vào thời
điểm đó, hầu hết các mạng tận dụng những giao thức độc quyền theo cách này.
Hợp đồng của NSF nhằm mở rộng NSFnet là một nỗ lực để đưa Internet đến với
công chúng.
Tuy nhiên, để làm như vậy, mạng độc quyền của Merit, đã phải được chuyển đổi
sang mạng NSFnet dựa trên IP. Sau đó, Merit đã tập hợp các đề xuất từ những nhà
cung cấp để phát triển một giao thức có thể hỗ trợ phương pháp xác thực dial-in
của Merit, nhưng cho các mạng dựa trên IP. Họ đã nhận được phản hồi từ một
công ty có tên Livingston Enterprises, với đề xuất về cơ bản chứa mô tả cho giao
thức RADIUS. Merit Networks Inc. đã chấp nhận đề xuất từ Livingston
Enterprises năm 1991 và giao thức RADIUS ra đời.
 3. Thành phần

- Supplicant (Người Dùng):

Supplicant là phần mềm tích hợp hoặc cài đặt trên hệ điều hành của người dùng,
chuyển thông tin về người dùng (tên đăng nhập, mật khẩu, vv.) đến một thành phần
khác, là Network Access Server (NAS).
Supplicant gửi một yêu cầu truy cập (Access-Request) cùng thông tin người dùng
đến NAS để yêu cầu quyền truy cập vào mạng.
- Network Access Server (NAS):
NAS là thiết bị truy cập mạng, chẳng hạn như switch, router, VPN, hoặc điểm truy
cập không dây (WAP).
NAS đóng vai trò của khách hàng trong kiến trúc client/server và yêu cầu máy chủ
xác định xem người dùng có quyền truy cập vào nguồn tài nguyên cụ thể hay
không (xác thực).
- Máy Chủ RADIUS:
Máy chủ RADIUS đợi các yêu cầu từ các thiết bị NAS.
Máy chủ RADIUS tập trung xác thực, giúp đơn giản hóa quá trình bằng cách tập
trung xử lý xác thực dù loại NAS nào.

II. Hoạt động của RADIUS

1. Cơ chế hoạt động

Bước 1: Tạo Kết Nối

Trong các loại giao thức khác nhau (Telnet, rLogin, PPP, SLIP, vv.) mà máy chủ
RADIUS có thể xác thực người dùng, PPP được sử dụng nhiều nhất cho các trường
hợp sử dụng phổ biến nhất - xác thực người dùng vào mạng thông qua thông tin
đăng nhập của họ. Cụ thể, PPP, hay Point-to-Point Protocol, là một khuôn khổ để
thiết lập kết nối trực tiếp giữa hai nút - như là một supplicant (người dùng cuối).
Liên quan đến việc truyền thông từ NAS đến máy chủ RADIUS, mọi truyền thông
giữa chúng được xác thực thông qua một "shared secret" (mật khẩu chung). Mật
khẩu chung là một mật khẩu được trao đổi giữa NAS và máy chủ RADIUS; điều
này diễn ra một cách không nhìn thấy bởi người dùng và được thực hiện một cách
ẩn danh.
Bước 2: Truyền Dữ Liệu
Trong mô hình client-server, có một lớp gọi là lớp vận chuyển. Trong lớp vận
chuyển, dữ liệu được đóng gói thành các gói tin. Những gói tin này bao gồm thông
tin như loại yêu cầu, tên người dùng, mật khẩu và nhiều hơn nữa. Truyền tải có thể
xảy ra qua cả giao thức UDP và TCP.
Bước 3: Giao Thức Xác Thực:
Sử dụng các giao thức xác thực như PAP (Password Authentication Protocol) hoặc
CHAP (Challenge Handshake Authentication Protocol).
- Khái niệm PAP
PAP gửi thông tin người dùng bằng văn bản thuần túy, trong khi CHAP sử dụng
mã hóa để bảo vệ thông tin khi truyền tải.
PAP là viết tắt của Password Authentication Protocol. PAP, ở phía người dùng
cuối, hoạt động theo cách chúng ta hiểu rõ. Ví dụ: Đầu tiên, người dùng nhập tên
đăng nhập và mật khẩu. Thông tin này được người dùng cung cấp cho máy khách
(client), sau đó máy khách gửi nó từ NAS đến máy chủ RADIUS.
Thật không may, PAP là một phương thức rất không an toàn vì nó gửi cả tên đăng
nhập và mật khẩu dưới dạng văn bản thuần túy, có nghĩa là bất kỳ ai có khả năng
chặn gói tin giữa NAS và máy chủ RADIUS đều có thể dễ dàng nhận biết tên đăng
nhập và mật khẩu.
- Khái niệm CHAP
Như một phương thức thay thế cho PAP, chúng ta có CHAP hay Challenge
Handshake Authentication Protocol. Đây là một phương pháp xác thực an toàn hơn
so với PAP (mặc dù không khó để an toàn hơn so với việc truyền thông mật khẩu
bằng văn bản thuần túy). CHAP loại bỏ quá trình gửi mật khẩu dưới dạng văn bản
thuần túy và thay vào đó sử dụng mã hóa để che giấu thông tin đang được chuyển.
Cơ chế hoạt động: Sau khi người dùng nhập mật khẩu, phần supplicant của họ sẽ
kết hợp mật khẩu đó với một chuỗi số ngẫu nhiên (challenge) mà nó nhận từ NAS.
Sau đó, nó chạy qua một hàm băm MD5. Điều này tạo ra một phản ứng (response)
là sự kết hợp của mật khẩu và chuỗi số ngẫu nhiên, được làm cho chúng trở nên
không thể hiểu được. Đây được gọi là response.
Máy chủ RADIUS nhận tên đăng nhập, challenge, và response, sau đó tìm kiếm
mật khẩu tương ứng với tên đăng nhập. Nó kết hợp challenge với mật khẩu trong
cơ sở dữ liệu của mình và thực hiện hàm băm. Sau đó, nó so sánh kết quả để xem
liệu nó khớp với response nhận được hay không. Nếu có, người dùng được phép
truy cập vào mạng.
 Hình ảnh mô tả quá trình xác thực RADIUS sử dụng cơ chế PAP
NAS (Network Access Server): Thiết bị mạng đầu tiên mà người dùng kết nối,
chẳng hạn như bộ định tuyến hoặc điểm truy cập Wi-Fi.
RADIUS Server: Máy chủ cung cấp dịch vụ xác thực và ủy quyền.
User: Người dùng đang cố gắng truy cập vào mạng.
Username: Tên người dùng của người dùng.
Password: Mật khẩu của người dùng.
Authentication-Request: Yêu cầu xác thực được gửi từ NAS đến RADIUS Server.
Authentication-Response: Phản hồi xác thực được gửi từ RADIUS Server đến
NAS.
Bước 1: Người dùng kết nối với mạng
Người dùng kết nối với mạng bằng cách sử dụng một thiết bị mạng, chẳng hạn như
bộ định tuyến hoặc điểm truy cập Wi-Fi.
Bước 2: Thiết bị mạng gửi yêu cầu xác thực đến máy chủ RADIUS
Thiết bị mạng sẽ gửi yêu cầu xác thực đến máy chủ RADIUS. Yêu cầu xác thực
bao gồm tên người dùng và mật khẩu của người dùng.
Bước 3: Máy chủ RADIUS xác thực người dùng
Máy chủ RADIUS sẽ xác thực người dùng bằng cách kiểm tra tên người dùng và
mật khẩu trong cơ sở dữ liệu của nó.
Bước 4: Máy chủ RADIUS gửi phản hồi xác thực đến thiết bị mạng
Nếu người dùng được xác thực thành công, máy chủ RADIUS sẽ gửi phản hồi xác
thực thành công (authentication-ack) đến thiết bị mạng.
Nếu người dùng không được xác thực thành công, máy chủ RADIUS sẽ gửi phản
hồi xác thực không thành công (authentication-nak) đến thiết bị mạng.
III. Đánh giá ưu nhược điểm
1. Ưu điểm
Ưu Điểm:
Phân Tán và Linh Hoạt:
RADIUS cho phép quản lý truy cập từ xa và phân tán, giúp tổ chức quản lý
người dùng từ nhiều vị trí và thiết bị khác nhau.
Tích Hợp Đa Dịch Vụ:
RADIUS không chỉ hỗ trợ xác thực mà còn có thể tích hợp với các dịch vụ khác
như quản lý phiên, quản lý tài nguyên, và ghi chú giao dịch.
Tiêu Chuẩn Hóa:
Là một tiêu chuẩn ngành, RADIUS đảm bảo tính tương thích và tính chuyển
đổi giữa các thiết bị và hệ thống khác nhau.
Bảo Mật Cao (Với CHAP):
Sử dụng giao thức CHAP giúp tăng cường bảo mật bằng cách tránh gửi mật
khẩu dưới dạng văn bản thuần túy và thay vào đó sử dụng quá trình băm và mã
hóa.

Quản Lý Phiên Hiệu Quả:

RADIUS hỗ trợ quản lý phiên, cho phép giới hạn thời gian kết nối và quản lý
tài nguyên mạng một cách hiệu quả.
2.Nhược Điểm:
Bảo Mật Thấp (Với PAP):
Nếu sử dụng giao thức PAP, thông tin xác thực (tên đăng nhập và mật khẩu)
được truyền dưới dạng văn bản thuần túy, làm tăng nguy cơ bị đánh cắp.
Khả Năng Đối Phó Với Tấn Công:
Trong môi trường mạng ngày nay, RADIUS có thể trở thành mục tiêu của các
tấn công như DDoS nếu không có biện pháp bảo vệ đủ mạnh.
Khó Thiết Lập và Quản Lý:
Thiết lập và quản lý RADIUS server có thể đòi hỏi kiến thức kỹ thuật cao và
làm cho quá trình triển khai trở nên phức tạp đối với những tổ chức nhỏ.
Yêu Cầu Cấu Hình Đặc Biệt:
Cấu hình RADIUS đòi hỏi sự đồng bộ chính xác giữa các thiết bị NAS và máy
chủ RADIUS để đảm bảo tính nhất quán và hiệu suất.
Hiệu Suất Có Thể Bị Ảnh Hưởng:
Trong môi trường có lưu lượng mạng lớn, hiệu suất của RADIUS có thể bị ảnh
hưởng, đặc biệt là khi sử dụng giao thức UDP mà không có cơ chế kiểm soát
truyền lại.