Průzkum a ověření možnosti ověřování DHCP klientů proti RADIUS serveru na platformě MikroTik

Průzkum a ověření možnosti ověřování DHCP klientů proti RADIUS serveru na platformě MikroTik Zdeněk Filipec, Marek Malysz Abstrakt: Tato práce pojednává o možnostech ověřování DHCP klientů z routerů MikroTik oproti RADIUS serveru. Stručně charakterizuje routery MikroTik a server RADIUS. Popisuje jak výše uvedené technologie zprovoznit a jak vypadá jejich základní komunikace. Dále pak ukazuje, jak lze různými způsoby nastavit tyto stroje za účelem zprovoznění DHCP ověřování. V poslední části práce uvádíme poznatky a závěry, kterých jsme nabyli během zpracovávání tématu. Klíčová slova: DHCP, MikroTik, RADIUS 1 Cíl práce...3 2 MikroTik a RADIUS obecně...3 2.1 MikroTik...3 2.2 RADIUS...3 3 Testovací architektura...3 4 Základní nastavení MikroTik routeru a severu FreeRADIUS...4 4.1 Nastavení MikroTik routeru...4 4.2 Nastavení serveru FreeRADIUS...5 4.2.1 radius.conf...5 4.2.2 clients.conf...5 4.2.3 users...5 5 Způsob komunikace: uživatel NAS - FreeRadius...6 5.1 Zabezpečení komunikace...7 5.2 Typy RADIUS požadavků...7 5.2.1 Access-Request...7 5.2.2 Access-Accept...7 5.2.3 Access-Reject...7 6 Provoz a možnosti nastavení DHCP...8 6.1 Přidělení pevně stanovené IP podle MAC adresy...8 6.2 Ověření uživatelů podle jiných atributů než MAC adresa...8 6.3 Přidělení IP adresy z IP poolu MikroTiku...8 6.4 Konfigurace default gateway a DNS serveru...8 6.5 Session-Timeout...8 6.6 Zřetězení pravidel pro ověřování...9 7 Závěr...9 8 Odkazy...9 9 Přílohy...9 9.1 příloha A - První spuštění a administrace MikroTiku...9 květen 2008 1/13

9.2 příloha B - Naše nastavení MikroTiku...10 9.3 příloha C - Zprovoznění autentizace FreeRADIUSe nad MySQL databází...10 9.4 příloha D Komunikace s FreeRADIUSem z příkazové řádky...11 květen 2008 2/13

1 Cíl práce Tímto projektem se snažíme zjistit možnosti nastavení RADIUS serveru a routeru Mikrotik (vystupující jako DHCP server v síti) za účelem ověřování DHCP klientů. Žádá-li uživatelův počítač o předělení IP adresy, posílá DHCP požadavek DHCP serveru. Ten potřebuje ověřit, zda-li má klient právo přistupovat do sítě a s jakou IP adresou a za tímto účelem kontaktuje RADIUS server. Ten rozhodne o povolení či zamítnutí přístupu a přidělení IP adresy. Základní ověření probíhá na základě uživatelovy MAC adresy. Práce popisuje jak nakonfigurovat router MikroTik a RADIUS server pro dosažení výše uvedeného cíle. 2 MikroTik a RADIUS obecně 2.1 MikroTik Pod pojmem MikroTik se skrývá několik významů. Prvním významem tohoto slova je samotná společnost MikroTik Ltd(s.r.o.), která se zabývá výrobou síťových komponent (routery, wireless prvky atd.). Společnost byla založena roku 1995 (docela mladá) v Litvě. Dále pak MikroTik znamená operační systém, vyvinutý MikroTik s.r.o., přezdíván také MikroTik RouterOS, který je používán v routerech a wireless komponentách. Systém je založen na Linuxu a poskytuje všechny základní funkce potřebné pro provoz routeru a dále pak např. firewall, VPN, QoS atd. Nakonec pak pojem MikroTik znamená samotné fyzické hardwarové zařízení vyrobené MikroTikem s operačním systémem MikroTik RouterOS. Zajímavou informací je, že Česká republika patří mezi málo států, kde je technologie MikroTik široce rozšířena a používána. 2.2 RADIUS RADIUS (Remote Authentication Dial In User Service) je síťový protokol (specifikace v dokumentu RFC 2865), který prostřednictvím přístupového serveru (RADIUS server) nabízí centralizovanou správu přístupu klientů do počítačových sítí. RADIUS pracuje na principu klient-server. RADIUS umožňuje uživatelům přístup do sítě na základě AAA architektury. (AAA - authentication, authorization and accounting - česky autentizace, autorizace a účtování) Autentizací se rozumí ověření identity uživatele, autorizace specifikuje, jaké zdroje v síti mohou ověření uživatelé používat a účtování zodpovídá za záznam všech činností uživatele. RADIUS server je tvořen programovým kódem běžící na lokální síti či v Internetu a poslouchající na určeném portu. Uživatel žádající přístup do sítě se hlásí svému NAS (Network Access Server - tvoří vstupní bránu k chráněným prostředkům sítě: tiskárny, internet apod. a může jim být například náš MikroTik Router) NAS Server dále využije AAA službu RADIUS serveru. Pošle RADIUS požadavek (Access-request) na RA- DIUS server. Standardně pracuje RADIUS na portu 1812 a komunikuje pomocí UDP datagramů. Server ověří získaná data a odpoví RADIUS odpovědí. Více v kap. 5. Další chování závisí na výsledku autentizace. Jako příklady RADIUS serverů můžeme uvést například komerční Microsoft IAS, Cisco ACS, Steel-Belted RADIUS. Z opensource projektů jsou nejčastěji nasazovány Cistron, OpenRADIUS a FreeRADIUS. 3 Testovací architektura Níže zobrazená testovací architektura (Ilustrace 1) sloužila k testování možností ověřování uživatelů prostřednictvím MikroTik routeru oproti RADIUS Serveru. Router MikroTik vystupuje jako NAS a také jako DHCP server. Pokud se uživatel připojí do sítě, MikroTik kontaktuje RADIUS server pro ověření uživatele. Pokoušíme se nakonfigurovat tuto topologii tak, aby byli uživatelé ověřování podle MAC adresy, podle květen 2008 3/13

NAS klienta přes kterého se připojují a dalších parametrů. Také se snažíme vyzkoušet různé způsoby přidělování IP adres RADIUS serverem ve spolupráci s MikroTikem. Ilustrace 1: Testovací topologie Při ověřování konfigurace pracujeme s MikroTik RouterOS verze 3.4 a RADIUS implementací FreeRADIUS. 4 Základní nastavení MikroTik routeru a severu FreeRADIUS 4.1 Nastavení MikroTik routeru Možnosti konfigurace MikroTik routeru jsou popsány v kapitole 9.1. Při prvním spuštění je pro základní provoz routeru potřeba nastavit IP adresy rozhraní. V našem testovacím modelu vypadají příkazy pro nastavení takto: ip address add address=192.168.88.1 netmask=255.255.255.0 interface=ether1 ip address add address=10.0.0.1 netmask=255.255.255.0 interface=ether2 ip address add address=172.16.0.1 netmask=255.255.255.0 interface=ether3 Pro aktivaci ověřování DHCP uživatelů oproti RADIUS serveru je potřeba zavést vybranou službu RADIUSu - tedy DHCP, uvést IP adresu, na které RADIUS server běží a dále heslo pro komunikaci. To vše pomocí tohoto příkazu: radius add service=dhcp address=10.0.0.2 secret=ex květen 2008 4/13

Dále pak zprovoznit DHCP server na MikroTiku. Příkaz říká, na kterém rozhrani má DHCP běžet, jestli se má použít RADIUS server a jestli má být aktivován a to takto: ip dhcp server add interface=ether3 use radius=yes disabled=no Nyní je MikroTik nakonfigurován pro provoz v testovacím prostředí s ověřováním uživatelů proti RADIUS serveru běžícím na IP adrese 10.0.0.2. 4.2 Nastavení serveru FreeRADIUS FreeRADIUS je běžnou součástí linuxových distribucí. Instalace verze 1.1.7 v Linuxu Fedora 7 proběhla spuštěním: # yum install freeradius freeradius mysql Alternativně lze FreeRADIUS instalovat použitím apt-get install v Debianu nebo přímo stáhnout z adresy http://www.freeradius.org/download.html. Příkazem /usr/sbin/radiusd se RADIUS server spustí na pozadí, v našem případě se ale osvědčil debugovací parametr -X, který na výstupu zobrazuje průběh načítání konfiguračních souboru a komunikaci s klienty. # radiusd X Konfigurační soubory se nachází v adresáři /etc/raddb. Počáteční nastavení probíhá editací konfiguračních souborů. Jinou možností konfigurace provozu FreeRADIUSe je použití rozšíření, které ověřuje klienty i uživatele proti záznamům v databázi - tomuto rozšíření se věnuje příloha C (kapitola 9.3). Pro zprovoznění AAA (v našem případě pro potřeby ověřování DHCP klientů pouze autentizace) je nutno upravit minimálně následující soubory: 4.2.1 radius.conf Nastavíme pouze jednu položku říkající, že pro konfiguraci uživatelů bude použit soubor users (ne např. databáze) authorize {... files } FreeRADIUS "poslouchá" standardně na všech IP adresách. Toto nastavení lze změnit editací položky bind_address tohoto souboru. 4.2.2 clients.conf V tomto souboru jsou mimo jiné uvedeny NAS servery (viz 2.2), které mají povolení komunikovat s FreeRADIUSem. V testovacím modelu má rozhraní MikroTiku připojeného k serveru IP adresu 10.0.0.1. Jako heslo jsme při přidávání služby DHCP radiuse v nastavení MikroTika zvolili řetězec sdilene_heslo. Přidání NAS klienta tedy vypadá takto: client 10.0.0.1 { secret = sdilene_heslo shortname = mikikikiki nastype = other } květen 2008 5/13

secret - povinný, heslo používané pro komunikaci mezi NAS a RADIUS serverem. shortname - povinný, využíván při protokolování nastype - nepovinný, specifikace typu NAS 4.2.3 users Zde jsou specifikování jednotliví uživatelé, kteří mají být ověřováni. Při ověřování DHCP uživatelů zasílá NAS jako uživatelské jméno MAC adresu zařízení, které žádá o připojení do sítě. Heslo je prázdné. Přejeme-li např. povolit přístup do sítě klientovi (PC) s MAC adresou 00:16:76:69:01:dd, může záznam vypadat takto: "00:16:76:69:01:dd" Cleartext Password := "" Auth Type := Local, Framed IP Address = 172.16.3.33 Položka Auth-Type říká, že se má heslo ověřit proti lokálnímu záznamu, tedy heslu specifikovanému v záznamu uživatele (v tomto případě Cleartext-Password), Auth- Type může nabývat i jiných hodnot, obecně i pro naše potřeby lze použít hodnotu Reject - pro okamžité odmítnutí uživatele či Accept pro přijetí (Accept znamená, že je uživatel ověřen vždy úspěšně bez potřeby kontrolovat heslo). Dále je zde uveden atribut IP adresa, která má být předělena danému uživateli. Možnosti konfigurace souboru users je rozsáhlejší a věnuje se mu více kapitola 6. V tomto okamžiku jsou nastaveny router MikroTik a server RADIUS v nejzákladnější konfiguraci pro ověření jednoho uživatele. květen 2008 6/13

5 Způsob komunikace: uživatel NAS - FreeRadius Ilustrace 2: příklad komunikace mezi uživatelem, NAS a RADIUS serverem Jakmile PC připojené do sítě posílá DHCP dotaz (DHCP Discover) a MikroTik router vystupující jako DHCP server nemá tohoto klienta již autentizovaného, dochází ke komunikaci mezi NAS (MikroTik) a FreeRADIUS. Příklad posílání zpráv v časovém sledu znázorňuje sekvenční diagram - ilustrace. 2. FreeRADIUS přijímá požadavek (Access-Request), prochází soubor clients.conf, jestli je dotazující NAS specifikováno. Pokud ano, dochází k sekvenčnímu procházení souboru users, dokud není nalezen uživatel či není dosaženo konce souboru. Při nalezení uživatele posílá FreeRADIUS Access-Accept zprávu s parametry specifikovány u daného klienta (více v kapitole 6), v opačném případě Access-Reject oznámení. Všechny zprávy Access jsou strukturovány do formátu atribut - hodnota. 5.1 Zabezpečení komunikace NAS při posílání požadavku vygeneruje náhodně položku authenticator. FreeRA- DIUS při nalezení klienta vytvoří nový authenticator založený na autenticatoru v Access-Requst a nastaveném sdíleném hesle (secret). Tento nový authenticator vloží do Access-Accept či Access-Reject. NAS při přijetí požadavku dekóduje tuto položku a ověří důvěryhodnost. Přenos atributů s hodnotami není kódován. 5.2 Typy RADIUS požadavků Následující odstavce popisují různé typy zpráv, kterými RADIUS server komunikuje s okolím a kterých bylo použito pro DHCP ověřování uživatelů. Typů zpráv (přesněji květen 2008 7/13

paketů RADIUS protokolu) existuje více, my jsme se setkali při testování s těmito: Access-Request, Access-Accept a Access-Reject. 5.2.1 Access-Request Požadavek o ověření či autorizaci uživatele obsahující detailní informace o uživateli, klientském NAS a další. Při ověřování DHCP uživatelů podle MAC adresy je položka User-Password vždy prázdná. Code: Access Request (type 1) Packet identifier: 0x11 (17) Length: 98 Authenticator: hashovane heslo Nasledují páry atribut hodnota: > NAS Port Type: Ethernet (15) > NAS Port: 126958732195 číslo fyzického portu NASu, který autentikuje uživatele; ne ve smyslu TCP, UDP protokolu > Framed IP Address: IP adresa rozhraní, na které přišel dhcp request > Called Station Id: dhcp1 lokální název dhcp serveru na MikroTiku > User Name: MAC Adresa klienta > User Password: 0x v případě dhcp se jedná vždy o prázdný řetězec > NAS Identifier: MikroTik > NAS IP Address: 10.0.0.1 adresa rozhraní, ze kterého se posílá RADIUS serveru žádost 5.2.2 Access-Accept Po úspěšném ověření uživatele odesílá RADIUS server paket typu Access-Accept nesoucí informace definované pro jednotlivé uživatele. Code: Access Accept (type 2) Packet identifier: 0x11 (17) Length: 39 Authenticator: jiné hashované heslo = předchozí + naše secret Framed Pool(88): radius_pool Session Timeout(27): 1800 5.2.3 Access-Reject Je-li ověření neúspěšné, RADIUS odešle zprávu Access-Reject. Code: Access Reject(3) Packet identifier: 0x11 (17) length: 20 Authenticator: jiné hashované heslo = předchozí + naše secret 6 Provoz a možnosti nastavení DHCP 6.1 Přidělení pevně stanovené IP podle MAC adresy Editace souboru users (FreeRADIUS): "00:16:76:69:01:dd" Cleartext Password := "" Auth Type := Local, Framed IP Ad dre ss = 172.16.3.33 květen 2008 8/13

6.2 Ověření uživatelů podle jiných atributů než MAC adresa Uživatele lze ověřovat i podle jiných atributů obsažených v Access-Requst požadavku než je jejich MAC adresu. Takto lze například ověřovat uživatele, žádající přes zvolený NAS, jeho IP adresy, rozhraní apod. A to tak, že v souboru users místo MAC adresy uvedeme klíčové slovo DEFAULT (říkající, že vyhovuje jakýmkoli klientům) a název daného atributu, podle kterého si přejeme ověřovat, s hodnotou, kterou má nabývat. Např. ověření všech uživatelů, kteří žádají přes NAS s IP adresou 10.0.0.1: DEFAULT NAS IP Ad dress == 10.0.0.1, Auth Type := Accept Framed Pool = "radius_pool" 6.3 Přidělení IP adresy z IP poolu MikroTiku Editace souboru users (FreeRADIUS): "00:16:76:69:01:dd" Cleartext Password := "" Auth Type := Local, Framed Pool = "ra dius_pool" FreeRADIUS v Access-Accept nastaví parametr Framed-Pool na hodnotu radius_pool. MikroTik při přijetí této odpovědi nalezne odpovídající pool ve svém nastavení a z tohoto intervalu vybere IP adresu, kterou dále přidělí žádajícímu stroji. Přidání IP poolu na MikroTiku: ip pool add name=radius_pool ranges=192.168.10.2 192.168.10.200 6.4 Konfigurace default gateway a DNS serveru Na MikroTiku v nastavení sítí DHCP serveru lze specifikovat default gateway a DNS server pro jednotlivé sítě. Konfigurační příkaz může vypadat takto: ip dhcp server network add address=192.168.10.0/24 ga teway=192.168.10.1 dns ser ver=111.111.111.111,121.121.121.121 Jakmile MikroTik získá od FreeRADIUSe IP adresu z parametru Framed-IP-Address či vybere IP adresu z poolu podle parametru Framed-Pool, prochází jednotlivé nastavení sítě. Pokud nalezne odpovídající síť do které spadá přidělovaná IP adresa, odešle uživateli navíc nastavenou default gateway a adresu DNS serveru. 6.5 Session-Timeout Session-timeout - platnost přidělení adresy klientovi lze specifikovat tímto atributem u jednotlivých klientů (nebo samozřejmě klíčovým slovem DEFAULT pro určitou skupinu). Např: "00:16:76:69:01:dd" Cleartext Password := "" Auth Type := Local, Framed Pool = "radius_pool", Session Tim eout = 1800 květen 2008 9/13

6.6 Zřetězení pravidel pro ověřování Pravidla lze zřetězovat. Toto nám umožňuje ověřovat klienta podle více pravidel a skládat parametry pro odpověď z více úspěšných ověření. Např. mohu podle MAC adresy nastavit IP adresu uživateli a dále v závislosti z jakého NAS se připojuje mu nastavit session-timeout. A to pomocí paramteru Fall-Through = yes u jednotlivých ověření v souboru users viz. příklad níže. FreeRADIUS při procházení souboru users skončí, jakmile dojde k ověření nějakého pravidla nebo pokud nedosáhne konce souboru. Pokud vložíme v nastavení ověření uživatele parametr Fall-Through = yes, Free- RADIUS pokračuje v procházení souboru users. Výše zmíněný příklad vypadá takto (soubor users): "00:16:76:69:01:dd" Cleartext Password := "" Auth Type := Local, Framed IP Address = 172.16.3.33, Fall Thro ugh = Yes #pokračujeme v procházení pravidel DEFAULT Called Station Id == "dhcp1" Session Timeout = 1800 7 Závěr V odpovědi Access-Accept radiusu neexistuje atribut pro nastavení default gateway. Atribut default gateway musí být specifikován a nastavoven pomocí NASu. Viz 6.4. Podařilo se nám nainstalovat, zprovoznit a nakonfigurovat MikroTik router a Free- RADIUS server za účelem ověřování DHCP uživatelů. Funkčnost byla úspěšně otestována připojením klienta do sítě, přidělením IP adresy a dalších nastavených atributů. Také monitorování komunikace pomocí sledovacích a logovacích prostředků vykazovalo předpokládanou formu. Veškeré získané poznatky a postupy jsou popsány v této práci. 8 Odkazy http://wiki.freeradius.org/ http://www.mikrotik.com/testdocs/ros/2.9/ip/dhcp_content.php#7.39.3 http://www.mikrotik.com/testdocs/ros/2.9/guide/aaa_radius.php http://wiki.mikrotik.com/wiki/routeros_mysql_freeradius http://www.oreilly.de/catalog/radius/chapter/ch05.html 9 Přílohy 9.1 příloha A - První spuštění a administrace MikroTiku Administraci routeru lze provádět pomocí grafického rozhraní WinBox (pouze pro OS Windows), dále pak pomocí ssh, Telnetu či sériovou konzolí. My jsme pro konfiguraci využili konzoli a WinBox. Při připojení pomocí sériového portu a Telnetu je potřeba nastavit: Počet bitů za sekundu: 115200bit/s Datové bity: 8 Parita: žádná Počet stop-bitů: 1 stop bit Řízení toku: žádné květen 2008 10/13

Po úspěšném připojení je standardně nastaveno přihlašovací jméno admin s heslem prázdným. Komunikace WinBoxu s routerem probíhá již normálně pomocí síťového rozhraní. Při použití WinBoxu se po spuštění vybere požadovaný router ze seznamu připojených zařízení a dojde k připojení. 9.2 příloha B - Naše nastavení MikroTiku ip address add address=192.168.88.1 netmask=255.255.255.0 interface=ether1 ip address add address=10.0.0.1 netmask=255.255.255.0 interface=ether2 ip address add address=172.16.0.1 netmask=255.255.255.0 interface=ether3 radius add service=dhcp address=10.0.0.2 secret=sdilene_heslo ip dhcp server add interface=ether3 use radius=yes disabled=no 9.3 příloha C - Zprovoznění autentizace FreeRADIUSe nad MySQL databází Pokud budeme chtít autentizovat dotazy s použitím databáze, FreeRADIUS nam nabízí podporu pro různé databáze (MySQL, PostgreeSQL, Oracle, a jiné). Sql příkazy pro vytvoření databázové struktury jsou k dispozici v adresáři /usr/share/doc/freeradius-1.1.7/examples. Soubor radius.conf upravíme následovně: modules { $INCLUDE ${confdir}/sql.conf # načtení sql konfigurace } authorize { #files # tímto zakážeme použití souboru users sql... } V databázi můžeme ukládat také NAS servery, se kterými bude FreeRADIUS komunikovat. Kromě souboru clients.conf se načtou i záznamy z tabulky "nas". V sql.conf tedy nastavíme: sql{ }... readclients = yes Do sloupce nasname v tabulce nas se pak uloží IP adresa NAS klienta. Autentizace uživatelů probíhá použitím předdefinovaných dotazů nad tabulkami: radcheck, radreply, radgroupcheck, radgroupreply a usergroup. Nejdřív se prochází tabulka radcheck podle sloupce User-Name se porovnávají nalezené atributy s příchozími. Pokud se shodují vrátí se odpovědi nalezené v tabulce radreply. Případně dohledává v tabulkách radgroupcheck a radgroupreply. mysql> use radius; Database changed mysql> select * from radcheck; + + + + + + květen 2008 11/13

id UserName Attribute op Value + + + + + + 1 00:16:34:87:43:de Password == 2 00:16:76:69:01:16 Password == + + + + + + mysql> select * from radreply; + + + + + + id UserName Attribute op Value + + + + + + 2 00:16:34:87:43:de Framed Ip Address = 2.3.4.5 4 00:16:76:69:01:16 Framed Pool = radius_pool + + + + + + Má to ale jistou nevýhodu, že nad databázi nelze rozumně zprovoznit chování podobné DEFAULT ze souboru users. Jistým řešením by mohlo být vytvoření skupiny DEFAULT a následné přepsání sql dotazů v sql.conf: authorize_group_check_query = "SELECT ${groupcheck_table}.id,${groupcheck_table}.groupname,${groupcheck_table }.Attribute,${groupcheck_table}.Value,${groupcheck_table}.op FROM ${groupcheck_table} left join ${usergroup_table} on ${usergroup_table}.groupname = ${groupcheck_table}.groupname WHERE ${usergroup_table}.username = '%{SQL User Name}' OR ${groupcheck_table}.groupname = 'DEFAULT' ORDER BY ${groupcheck_table}.id" authorize_group_reply_query = "SELECT ${groupreply_table}.id,${groupreply_table}.groupname,${groupreply_table}.attribute,${groupreply_table}.value,${groupreply_table}.op FROM ${groupreply_table} left join ${usergroup_table} on ${usergroup_table}.groupname = ${groupreply_table}.groupname WHERE ${usergroup_table}.username = '%{SQL User Name}' OR ${groupreply_table}.groupname = 'DEFAULT' ORDER BY ${groupreply_table}.id" 9.4 příloha D Komunikace s FreeRADIUSem z příkazové řádky Pří testování konfigurace a komunikace s FreeRADIUS serverem na lokálním stroji bez použití MikroTiku je velmi užitečný příkaz, který simuluje požadavek NASu: $ radclient localhost auth testing123 x Vložíme náš požadavek: User Name=00:16:76:69:01:16, User Password="", NAS IP Address=10.0.0.1 Stiskneme Ctrl-D pro ukončení vstupu a po zpracování se zobrazí příchozí odpověď. Sending Access Request of id 25 to 127.0.0.1 port 1812 User Name = "00:16:76:69:01:16" květen 2008 12/13

User Password = "" NAS IP Address = 10.0.0.1 rad_recv: Access Accept packet from host 127.0.0.1:1812, id=25, length=33 Framed Pool = "radius_pool" květen 2008 13/13