home *** CD-ROM | disk | FTP | other *** search
/ SuperHack / SuperHack CD.bin / Hack / MISC / RADIUS~1.ZIP / RADIUS~1.TXT
Encoding:
Text File  |  1996-04-27  |  15.8 KB  |  356 lines
  1.  
  2.                 RADIUS
  3.  
  4.         Remote Authentication Dial In User Service
  5.  
  6.     Remote Network Access Security in an Open Systems Environment
  7.  
  8. Introduction
  9.  
  10. Every time a modem is added to a computer or communications server on a
  11. corporate network, that network becomes more vulnerable to security
  12. breaches.  Network Administrators are left with few tools to guard
  13. against break-ins.  State of the art security systems generally require
  14. special hardware or are only compatible with a small number of
  15. products.  This problem is multiplied several times in large networks
  16. with many points of access.
  17.  
  18. Livingston Enterprises has developed a distributed security solution
  19. called Remote Authentication Dial-In User Service, or RADIUS, that
  20. solves the problems associated with meeting the security requirements
  21. of remote computing. This solution eliminates the need for special
  22. hardware and provides access to a variety of state of the art security
  23. solutions.  Distributed security separates user authentication and
  24. authorization from the communications process and creates a single,
  25. central location for user authentication data.
  26.  
  27. Based on a model of distributed security previously defined by the
  28. Internet Engineering Task Force (IETF), RADIUS provides an open and
  29. scalable client/server security system.  The RADIUS server can be
  30. easily adapted to work with third-party security products or
  31. proprietary security systems. Any communications server or network
  32. hardware that supports the RADIUS client protocols can communicate with
  33. a  RADIUS server.  Livingston offers the RADIUS server free of charge
  34. to its customers and supports the RADIUS client protocols in its
  35. PortMaster family of communications servers and routers. Livingston is
  36. assisting the IETF's Network Access Server Requirements Working Group
  37. to allow other vendors to utilize this technology.
  38.  
  39. RADIUS Client/Server Architecture
  40.  
  41. RADIUS is a system of distributed security that secures remote access
  42. to networks and network services against unauthorized access. RADIUS
  43. includes two pieces: an authentication server and client protocols. The
  44. server is installed on a central computer at the customer's site.
  45. RADIUS is designed to simplify the security process by separating
  46. security technology from communications technology.
  47.  
  48. All user authentication and network service access information is
  49. located on the authentication, or RADIUS, server.  This information is
  50. contained in a variety of formats suitable to the customer's
  51. requirements. RADIUS in its generic form will authenticate users
  52. against a UNIX password file, Network Information Service (NIS), as
  53. well as a separately maintained RADIUS database.
  54.  
  55. Communications servers working with modems -- such as the PortMaster --
  56. operate as RADIUS clients. The RADIUS client sends authentication
  57. requests to the RADIUS server and acts on responses sent back by the
  58. server.
  59.  
  60. How it Works: User Authentication with RADIUS
  61.  
  62. RADIUS authenticates users through a series of communications between
  63. the client and the server. Once a user is authenticated, the client
  64. provides that user with access to the appropriate network services. The
  65. following is a description of the authentication process using a
  66. PortMaster Communications Server and RADIUS.
  67.  
  68. o Using a modem, the user dials-in to a modem connected to a PortMaster
  69. Communications Server. Once the modem connection is completed, the
  70. PortMaster prompts the user for a name and password.
  71.  
  72. o The PortMaster creates a data packet from this information called the
  73. authentication request. This packet includes information identifying
  74. the specific PortMaster sending the authentication request, the port
  75. that is being used for the modem connection, and the user name and
  76. password. For protection from eavesdropping hackers, the PortMaster,
  77. acting as a RADIUS client, encrypts the password before it is sent on
  78. its journey to the RADIUS server.
  79.  
  80. o The Authentication Request is sent over the network from the RADIUS
  81. client to the RADIUS server. This communication can be done over a
  82. local or wide-area network, allowing network managers to locate RADIUS
  83. clients remotely from the RADIUS server. If the RADIUS server cannot be
  84. reached, the RADIUS client can route the request to an alternate
  85. server.
  86.  
  87. o When an Authentication Request is received, the Authentication Server
  88. validates the request and then decrypts the data packet to access the
  89. user name and password information.  This information is passed on to
  90. the appropriate security system being supported.  This could be UNIX
  91. password files, Kerberos, a commercially available security system or
  92. even a custom developed security system.
  93.  
  94. o If the user name and password are correct, the server sends an
  95. Authentication Acknowledgment that includes information on the user's
  96. network system and service requirements. For example, the RADIUS server
  97. will tell the PortMaster that a user needs TCP/IP and/or NetWare using
  98. PPP (Point-to-Point Protocol) or that the user needs SLIP (Serial Line
  99. Internet Protocol) to connect to the network. The acknowledgment can
  100. even contain filtering information to limit a users access to specific
  101. resources on the network.
  102.  
  103. o If at any point in this log-in process conditions are not met, the
  104. RADIUS server sends an Authentication Reject to the PortMaster and the
  105. user is denied access to the network.
  106.  
  107. o To ensure that requests are not responded to by unauthorized hackers
  108. on the network, the RADIUS server sends an authentication key, or
  109. signature, identifying itself to the RADIUS client. Once this
  110. information is received by the PortMaster, it enables the necessary
  111. configuration to deliver the right network services to the user.
  112.  
  113. Benefits of Distributed Security
  114.  
  115. The distributed approach to network security provides a number of
  116. benefits for Livingston's customers.  They include the following:
  117.  
  118. o Greater Security
  119.  
  120. The RADIUS client/server architecture allows all security information
  121. to be located in a single, central database, instead of scattered
  122. around a network in several different devices. This approach increases
  123. security.  A single UNIX system running RADIUS is much easier to secure
  124. than several communications servers located through-out a network.
  125.  
  126. o Scalable Architecture
  127.  
  128. RADIUS creates a single, centrally located database of users and
  129. available services, a feature particularly important for networks that
  130. include large modem banks and more than one remote communications
  131. server.  With RADIUS the user information is kept in one location --
  132. the RADIUS server -- which manages the authentication of the user and
  133. access to services from one location. Because any device that supports
  134. RADIUS can be a RADIUS client, a remote user will gain access to the
  135. same services from any communications server communicating with the
  136. RADIUS server.
  137.  
  138. o Open Protocols
  139.  
  140. RADIUS is fully open, is distributed in source code format, and can be
  141. easily adapted to work with systems and protocols already in use.  This
  142. feature saves tremendous amounts of time by allowing users to modify
  143. the RADIUS server to fit their network rather than rework their network
  144. to incorporate the PortMaster Communications Server.
  145.  
  146. RADIUS can be modified for use with any security system on the market
  147. and will work with any communications device that supports the RADIUS
  148. client protocol.  The RADIUS server has modifiable "stubs"  which
  149. enable customers to customize it to run with any type of security
  150. technology.
  151.  
  152. o Future Enhancements
  153.  
  154. As new security technology becomes available the customer can take
  155. advantage of that security without waiting for Livingston to add
  156. support to the PortMaster.  The new technology need only be added to
  157. the RADIUS server by the customer or outside resources.
  158.  
  159. RADIUS also uses an extensible architecture which means that as the
  160. type and complexity of service the PortMaster must deliver increases,
  161. RADIUS can be easily expanded to provide those services.
  162.  
  163. Current Users of RADIUS
  164.  
  165. Any company with a centralized MIS department managing a large
  166. corporate network is concerned with security issues.  Many of these
  167. customers have already installed RADIUS and others are in the planning
  168. stages.  All those customers that are using RADIUS have customized it
  169. in some way to work with their network systems.
  170.  
  171. For example, one computer manufacturer has adapted its RADIUS server to
  172. work with Enigma's security cards.  In this network, the RADIUS server
  173. manages the communications with the Enigma security technology to
  174. validate the user and allow access to the network.  In this way, the
  175. customer was able to install PortMaster Communications Servers and also
  176. maintain its investment in Enigma's security technology.
  177.  
  178. RADIUS is being used to secure several university networks that provide
  179. dial-in IP connectivity to students and faculty.  To provide
  180. distributed security, the RADIUS server has been customized to work
  181. with the Kerberos security system for authenticating user names and
  182. passwords.
  183.  
  184. Several Internet service providers use RADIUS to provide security to
  185. users accessing their networks from multiple POPs (Points Of Presence).
  186. UNIX security systems are typically used in these environments.
  187.  
  188. A utility company has customized the RADIUS server in a similar manner,
  189. storing names and passwords from over 1000 UNIX password tables.
  190.  
  191. RADIUS as a Standard: Current Status
  192.  
  193. Livingston has submitted the RADIUS Protocol specification to the IETF
  194. as an Internet-Draft on distributed remote access security.  To become
  195. a standard, RADIUS needs to be adopted by more communications hardware
  196. companies so that it can be tested further by the marketplace.  Any
  197. third party can get information on supporting the RADIUS protocols by
  198. obtaining the Internet-Draft which describes it in full.  Currently,
  199. Livingston is the only company that offers a communications server that
  200. supports the RADIUS client protocols.
  201.  
  202. About Livingston Enterprises
  203.  
  204. Livingston Enterprises, Inc. was founded in 1986.  The Network Products
  205. Division, established in 1989, develops advanced internetworking and
  206. remote access solutions, with special emphasis on products that
  207. facilitate rightsizing, LAN connectivity over wide-area networks, and
  208. cost-effective migration to consolidated, enterprise-wide networking.
  209. The company's primary product line; the PortMaster product family,
  210. includes network access servers and the IRX series of multiprotocol
  211. routers for TCP/IP, Novell/IPX or mixed network systems.  Livingston
  212. Enterprises is located in Pleasanton, California.
  213.  
  214.     For More Information Contact:
  215.  
  216.     Livingston Enterprises, Inc.
  217.  
  218.     Phone: 510-426-0770 or 1-800-458-9966 (US only) Fax:
  219.     510-426-8951
  220.  
  221.     Electronic mail:  info@livingston.com
  222.  
  223.  
  224.        Commonly Asked Questions About Computer Network Security
  225.  
  226.  
  227. What is network security?
  228.  
  229. The term network security covers a number of technologies that protect
  230. remote access to a network, whether over telephone lines or between
  231. networks.  These technologies include passwords, encryption and
  232. call-back.  Each of these technologies work in different ways, and
  233. network managers often combine them to create secure network
  234. environments.
  235.  
  236. Why has network security become such an important issue?
  237.  
  238. Network security is not new to computing, though it is relatively new
  239. to personal computing.  Mainframe computers have always used high-level
  240. security technology to protect sensitive business data.  In the early
  241. days of personal computing, most CPUs were stand-alone units that could
  242. be protected by locking an office door.
  243.  
  244. Today, new users of technology have made security a critical issue for
  245. any type of computing.  Growing use of local area and wide-area
  246. networks, laptops and remote computing has increased access to critical
  247. business data.  Hackers thrive on breaking into vulnerable networks,
  248. and security breaches can wreak havoc on a network.  Not only is
  249. confidential information stolen, but "crackers" have been known to
  250. bring down a network through "worms", computer viruses and other
  251. hazards to network traffic.
  252.  
  253. What type of security does Livingston's PortMaster product family
  254. support?
  255.  
  256. Livingston's PortMaster products use a number of advanced security
  257. features, including call-back, access filters for hosts and networks,
  258. packet filters and RADIUS.
  259.  
  260. What is RADIUS?
  261.  
  262. RADIUS, or Remote Authentication Dial-In User Service, is a freely
  263. available distributed security system developed by Livingston
  264. Enterprises.  Livingston is working with the Internet Engineering Task
  265. Force (IETF) to define RADIUS as an interoperable method for
  266. distributed security on the Internet.   RADIUS was designed based on a
  267. previous recommendation from the IETF's Network Access Server Working
  268. Requirements Group.
  269.  
  270. What is distributed security?
  271.  
  272. Distributed security is a client/server approach that allows a number
  273. of communications servers, or clients, to authenticate a dial-in user's
  274. identity through a single, central database, or Authentication Server,
  275. which stores all information about users, their passwords and access
  276. privileges.
  277.  
  278. Is distributed security better than other types of security?
  279.  
  280. Distributed security provides a central location for authentication
  281. data that is more secure than scattering that information on different
  282. devices throughout a network.  It is also more scalable and much easier
  283. to manage.
  284.  
  285. How many users can one Authentication Server support?
  286.  
  287. A single authentication server can support hundreds of communications
  288. servers, serving up to tens of thousand of users.
  289.  
  290. Do Authentication Servers need to be located on the same network as the
  291. communications servers?
  292.  
  293. Communications servers can access an Authentication Server locally or
  294. remotely over WAN connections.
  295.  
  296. How do Authentication Servers work?
  297.  
  298. Authentication Servers can be set-up in a variety of ways, depending
  299. upon the security scheme of the network they are serving.  The basic
  300. process for authenticating a user includes the following steps: a user
  301. dials into a network through a communications server, or Network Access
  302. Server (NAS); the NAS forwards the user identification and password to
  303. the Authentication Server; then the Authentication Server validates the
  304. user and provide access privileges to the network.
  305.  
  306. How do passwords work and what are their limitations?
  307.  
  308. Passwords are the most common form of computer security.  Some networks
  309. require multiple levels of passwords to gain access to various severs
  310. or databases.  Passwords become weak links when they are shared among
  311. colleagues, stolen, written down or created in such a way that they can
  312. be easily guessed.  For example, users will try to create memorable
  313. passwords by using their names or social security numbers.
  314.  
  315. How does callback work?
  316.  
  317. Callback is a security feature that works in the following way: a user
  318. dials into a communications server and enters a user name and password;
  319. the communications server then hangs-up the modem connection, searches
  320. its database to authenticate the user and then calls the user back at a
  321. predefined number.  Callback provides good security and cost savings to
  322. users who remotely access networks from one location.  However, it is
  323. inconvenient for traveling executives.
  324.  
  325. How does packet filtering work?
  326.  
  327. Packet filters allow network administrators to limit user's access to
  328. specific services on the network.  For example, a user may be allowed
  329. to send electronic mail, but not copy data files from the network.
  330. Packet filtering on the communications server analyzes each message
  331. being sent from a remote client.  The filter can determine the computer
  332. and service the user is attempting to reach and either permit or deny
  333. access to that service.
  334.  
  335. What is encryption?
  336.  
  337. Data encryption uses a secret code to scramble information so that it
  338. can be read only by computers using the same code, or encryption
  339. technology.  While encryption reduces the risk of unauthorized
  340. access, it doesn't create a totally safe networking environment on its
  341. own. Code "crackers" are excited by the challenge of breaking an
  342. encryption code.
  343.  
  344.  
  345.  
  346.     For More Information Contact:
  347.  
  348.     Livingston Enterprises, Inc.
  349.  
  350.     6920 Koll Center Pkwy #220 Pleasanton, Calif. 94566
  351.  
  352.     Phone:510-426-0770 or 1-800-458-9966 (US only) Fax:
  353.     510-426-8951
  354.  
  355.     Electronic mail:  info@livingston.com
  356.