RFC 2865: RADIUS – AAA pre podnikové siete

Ak sa pripravujete na CCNA, CCNP alebo sa pripravujete na prax v podnikových sieťach, určite sa stretnete s pojmom RADIUS – Remote Authentication Dial‑In User Service. Tento protokol, definovaný v RFC 2865, tvorí základ systému AAA (Autentifikácia, Autorizácia, Účtovanie) používaného pre Wi‑Fi, VPN brány aj prístup k podnikovej sieti. V tejto rozsiahlej príručke vysvetlíme, ako RADIUS funguje, aké údaje si vymieňa klient, NAS a server, ako vyzerá konfigurácia v prostredí Cisco a kde v laboratóriu môžete sledovať paketové výmeny a debug výstupy – presne tak, ako to budete potrebovať v reálnych aj testovacích scenároch.

Čo je RFC 2865 a prečo ho dobre poznať?

RFC 2865 z júna 2000 opisuje protokol RADIUS pre autentifikáciu, autorizáciu a účtovanie. Umožňuje centralizovanú správu prístupu pre rôzne typy sietí – voľne aj pevne prístupné. V zásade poskytuje NAS (napr. Wi‑Fi kontrolér, VPN gateway alebo drôtový switch) možnosť overiť identitu užívateľa a rozhodnúť o prístupe a prípadne zaznamenať štatistiky využívania.

Prečo je RADIUS stále aktuálny?

Umožňuje jednotné overovanie používateľov a zariadení.
Podporuje autentifikáciu pomocou hesla aj certifikátov (EAP‑TLS).
Umožňuje presnú kontrolu prístupu, napr. prostredníctvom VLAN atribútov.
Logy a účtovanie (accounting) pomáhajú pri audite a fakturácii.

Architektúra RADIUS – kto s kým komunikuje?

Základné komponenty:

NAS (Network Access Server) – zariadenie poskytujúce prístup (Wi‑Fi kontrolér, VPN terminál, smerovač atď.).
RADIUS server – centrálny autentifikačný server (napr. Cisco ISE alebo FreeRADIUS).
Koncový používateľ – osoba alebo zariadenie, ktoré sa prihlasuje.

Komunikácia prebieha nad UDP portmi 1812 (autentifikácia) a 1813 (účtovanie), s použitím zdieľaného tajného kľúča medzi NAS a serverom na zabezpečenie integrity hesiel a AVP údajov.

RADIUS výmena – Access‑Request až Access‑Accept/Reject

Access‑Request – NAS odosiela meno, heslo, MAC adresu klienta, IP NAS a ďalšie údaje.
Access‑Accept – server potvrdí prístup, často spolu s atribútmi (napr. VLAN, čas restrikcie).
Access‑Reject – prístup zamietnutý (napr. nesprávne heslo či neprípustná lokalita).
Access‑Challenge – server vyžaduje doplňujúce informácie (napr. OTP alebo token).

Príklad výmeny:
NAS → server: Access‑Request (User‑Name=jano, PAP heslo, NAS‑IP…)
Server → NAS: Access‑Accept (Tunnel‑Type=VLAN, Tunnel‑Private‑Group‑ID=20)

AVP – Attribute‑Value Pairs – čo si RADIUS prenáša?

RADIUS argumenty sa posielajú v pároch:

User‑Name, User‑Password (zakódované pomocou MD5 + tajného kľúča)
NAS‑IP‑Address, NAS‑Identifier
Service‑Type (napr. Framed‑Protocol), Tunnel‑Type, Tunnel‑Private‑Group‑ID
Acct‑Status‑Type (Start/Stop), Acct‑Session‑Time, Acct‑Input‑Packets/Bytes – pri účtovaní (RFC 2866)

Access‑Accept obsahuje napr.:
Tunnel‑Type = VLAN
Tunnel‑Private‑Group‑ID = 20

Bezpečnosť RADIUS – čo zabezpečuje heslá?

RADIUS overuje heslá cez MD5 s tajným kľúčom; nešifruje však celé pakety. Môžete doplniť IPsec tunel medzi NAS a serverom, ak je to kritické.

Networking Vás výzýva!

Chcete zažiariť? Za 5 dní nadobudnete skvelé základy administrácie TCP/IP sietí, ktoré vám dajú networking skills na celý život. Stačí konať a prijať Networking výzvu a rezervovať si tento kurz

Prvá hodina zadarmo!

Ovládnite VLANy a Switche

Počítač môžete využiť aj inak ako na hry a zábavu. Poďte zarábať ako králi. Iba týždeň Vám stačí a máš skvelé základy TCP/IP networkingu nato, aby ste si napr. našli job ako jr. Networking engineer. Stačí prijať Networking výzvu

Prvá hodina zadarmo!

Nasadenie v Cisco prostredí

radius server ISE
 address ipv4 10.0.0.5 auth-port 1812 acct-port 1813
 key SuperSecretKey

aaa group server radius RADIUS-GRP
 server name ISE

aaa authentication login WIFI group RADIUS-GRP
aaa authorization network WIFI group RADIUS-GRP

Ladenie a diagnostika:

show radius statistics
debug radius authentication
show authentication sessions

Účtovanie – prečo je accounting dôležitý?

RADIUS účtovanie podľa RFC 2866 (rozšírenie pre RFC 2865) umožňuje zaznamenávanie relácií:

Acct‑Status‑Type: Start / Stop / Interim‑Update
Acct‑Session‑Time, Acct‑Input/Output Packets/Bytes
User‑Name, NAS‑IP‑Address, Framed‑IP‑Address

V laboch použijete tieto dáta na meranie času prihlásenia, odoslaných dát a používaných VLAN.

Laboratórne skúsenosti – čo si môžete vyskúšať?

Nastavenie servera Cisco ISE a Wi‑Fi kontroléra s RADIUS autentifikáciou.
Wireshark analyza – preskúmajte Access‑Request/Accept pakety, pozrite si AVP.
Nastavte dynamické VLAN priradenie a overte, že klient dostane správnu VLAN.
Zaznamenajte a spravujte účtovanie – analyzujte čas a dátový tok.
Vyzkúšajte EAP‑TLS – autentifikujte sa certifikátom namiesto hesla.

FAQ – často kladené otázky

Je RADIUS bezpečný?
Heslá sú ochranné cez MD5, ale celé pakety sú nešifrované. Pre citlivé aplikácie odporúčame IPsec.
Môžem používať certifikáty?
Áno – cez EAP‑TLS autentifikáciu cez RADIUS.
Čo je EAP?
Extensible Authentication Protocol – umožňuje rôzne metódy autentifikácie (PEAP, TLS, OTP).
Prečo sú atribúty VLAN v RADIUS?
Aby NAS mohol dynamicky priradiť klienta do správnej bezpečnostnej VLAN.
Čo robiť, ak RADIUS server spadne?
Nastavte failover – minimálne dva servery a timeouty v NAS konfigurácii.

Top 5 zaujímavostí o RADIUS (RFC 2865)

RADIUS – jeden z prvých AAA protokolov, vznikol už v 90. rokoch.
Podpora EAP‑TLS umožňuje autentifikáciu certifikátom, nielen heslom.
VLAN assignment cez RADIUS umožňuje dynamické segmentovanie siete.
Zdieľaný tajný kľúč zabezpečuje MD5 ochranu hesiel – i keď paket zostáva v plaintext.
Accounting umožňuje audit relácií a fakturáciu – dôležité vo verejných Wi‑Fi a VPN.

Záver

RFC 2865 – RADIUS je neoddeliteľnou súčasťou AAA autentifikácie v bezdrôtových, VPN a podnikových sieťach. Ak osvojíte konfiguráciu, debugovanie a spracovanie autentifikácie, autorizácie aj účtovania (accounting), budete plne pripravení pre CCNA/CCNP certifikácie i reálne prostredie. Praktické laby s Cisco ISE, Wiresharkom a VPN konfiguráciou vás dôkladne oboznámia s tým, čo sa deje "pod kapotou".

Kurz NA0 - Administrácia LAN/WAN a návrh TCP/IP sietí - základné koncepty