LDAP vs Radius

[antidot]

LDAP vs Radius

נניח ויש לי שרת VPN שמסוגל לעשות authentication גם מול LDAP וגם מול Radius. נניח גם שה schema של LDAP כוללת בנוסף פרטים שלא רלוונטיים עבור אותו שירות VPN שאותם אני לא מעוניין לחשוף כלפי חוץ. אני מנסה להבין כאן מהו היתרון של שרת Radius ואיך הוא בדיוק נכנס לתמונה. האם במקרה הזה בכלל יש טעם בשרת Radius ? איזה יתרונות הוא נותן לי ? נ.ב.: הLDAP הוא לא AD של מייקרוסופט ואני מחליט על הschema שלו.

 

[Teo Toriatt]

שאלה כללית מאוד

יש הרבה משתנים שלא הוזכרו ובכל זאת אנסה לתרום את הביטים שלי למאבק. אם יש לך יחידה אחת של שרת LDAP שצריך לעבוד מול שרת אחד של VPN לאמת משתמשים לRADIUS אין משמעות גדולה - הוא רק עוד שרת בדרך שעלול להפריע. אם יש לך מספר שרתי LDAP (לא מסונכרנים) או מספר שרתי VPN שצריכים לחפש באותה ספריה - RADIUS יעזור לבצע קונסולידציה. יתרונות לRADIUS במקרה הראשון יכולים להיות למשל כל נושא הBilling אם הוא מעניין אותך - RADIUS בכל זאת יודע לבצע מעקב שיסיע בנושא. מעבר לכך ישנם סוגים שונים של RADIUS Servers עם יתרונות שונים אך למעט מקרים ייחודיים - כלל האצבע הוא - שרת לשרת לא צריך RADIUS שרת לשרתים כן צריך... לגבי אבטחת מידע - ישנו יתרון בחשיפת הRADIUS לVPN ןלא הLDAP פחות או יותר כמו שימוש בMail relay אבל לדעתי לא מדובר ביתרון כל כך משמעותי - למרות שהוא יתרון. Keep Safe

 

[antidot]

אכן כללי מאוד

אני מנסה למדל משהו. הסביבה היא SMB עם שרת LDAP בודד או יותר מאחד אך מסונכרנים. אני מנסה להבין אם יש סכנה בשימוש ישירות בLDAP כמקור לאוטנטיקציה ואם יש יתרון בהכנסת RADIUS לעניין. התקשורת בין שרת הVPN לLDAP מין הסתם מאובטחת...

 

[Teo Toriatt]

ישנה בעיה מסויימת

תלוי ביישום של הLDAP אבל רוב ספריות הLDAP לא חושבות אבטחה. דוגמא יפה היתה בחיבור של AD לצ'ק פוינט בגרסאות הראשונות של NG. נגיד רציתי לעשות אנומרציה- הייתי מכניס שם כמו אבי כהן, הLDAP לא רק שמחזיר "אני לא יודע" כי אם "אני לא מכיר את אבי כהן בOU=Users, domain=kuku, domain=com" מה שכמובן מסייע בלימוד מבנה המערכת שלך. אם הLDAP שלך לא מחזיר תשובות כאלה אני לא רואה בעיה בשימוש בו- אמנפ הוא תיאורטית יקבל את כל מה שהVPN יעביר לו - אך אני לא רואה סוג מסויים של פגיעות שהוא חשוף לו שהRADIUS יגן עליו, היתרון של הRADIUS לדעתי הוא פונקציונלי בלבד Keep Safe

 

[antidot]

----->

הRFC מחייב את LDAP להחזיר תשובה בפורמט נכון ולכן כל LDAP תקני יחשוף חלקית בתשובתו את המבנה. מצד שני, המשתמש רק מזין user/password והחיפוש בLDAP נעשה ע"י שרת הVPN. המשתמש רק יקבל אישור או דחיה, כיוון שהVPN לא יעביר את התשובה של LDAP כפי שהוא קיבל אותה. מה גם שחלק מהnamespace של OpenLDAP (זה שלא רלוונטי לשירות הVPN) אפשר להגן בACL. צריך גם לבדוק אם יש אפשרות להצפנת SSL בין הVPN ל-LDAP...

 

[lizard]

בנוסף למה שנאמר פה, אל תשכח ששרתי

RADIUS היו קיימים הרבה לפני ששרתי הLDAP נכנסו להילוך גבוה בזמנו לכל ספק אינטרנט היה שרת כזה שאימת משתמשי חיוג.

 

[antidot]

אז ?

בימים הראשונים של האינטרנט אנשים לא חשבו שיש תועלת בfirewalls. LDAP חי וקיים כבר הרבה זמן ואני לא רואה סיבה לפסול אותו רק על סמך העובדה שלRADIUS יש יותר וותק.

 

[lizard]

לא הבנת אותי בכלל.

שאלת אם אפשר ככה או אם אפשר ככה, ענו לך שאפשר בשתי הדרכים. ואני באתי והוספתי שבזמנו שרתי רדיוס היו נפוצים יותר משרתי LDAP. לדעתי, תשתמש בLDAP, או בשרת רדיוס שלוקח את המשתמשים שלו משרת LDAP. זה כמובן תלי מאוד במה שאתה רוצה לחבר לLDAP/רדיוס. לדעתי לתצורה שאתה רוצה מספיק שרת LDAP.

 

[antidot]

ארררגגג

אני יודע שאפשר עם שניהם. אני רוצה לדעת מה היתרונות ומה החסרונות בכל שיטה. זה שלדעתך עדיף LDAP זה טוב ויפה, אבל בלי להסביר למה, זאת לא תשובה. לא מדובר כאן על משחקים עם LDAP בבית, אלא על סביבה עסקית. העדפות אישיות אני שם בצד ומנסה להבין מהו הפתרון האופטימלי. נ.ב.: מצטער, אבל היום כבר שרפו לי את כל הפיוזים...

 

[lizard]

הייתרונות של LDAP:

חדש יותר ועם יותר אופציות. חסרונות RADIUS: לא מוצפן כמעט לחלוטין. כמו שכתב Rיקושט.

 

[antidot]

לטאה, אתה עקשן...

לגבי החסרון שלך, ראה RFC2869, ואני מצטט:

2.3. RADIUS Support for Extensible Authentication Protocol (EAP) The Extensible Authentication Protocol (EAP), described in [3], provides a standard mechanism for support of additional authentication methods within PPP. Through the use of EAP, support for a number of authentication schemes may be added, including smart cards, Kerberos, Public Key, One Time Passwords, and others.​

לגבי היתרון שציינת: אין כל קשר. RADIUS הוא שרת יעודי. LDAP הוא Directory. דברים שונים למדי ואין שום היגיון להשוות את האופציות שלהם. LDAP הולך להיות בכל מקרה, אני רק שוקל אם להכניס RADIUS בנוסף.

 

[Rיקושט]

לפי מה שאני מבין

הEAP נועד להצפין את הAuthentication. במקרה שלי החלק הזה סה"כ מכיל user name וסיסמא (מוצפנת). החלק שבשבילו אני מחפש הצפנה הוא דווקא שני הAים האחרים authorization ו- Accounting יש פתרון לעניין?

 

[Rיקושט]

חצי ../images/Emo32.gif

איזה פרוטוקול יהיה הדור הבא של AAA? אני לא מאמין שRadius ימשיך לשלוט כי אני בטוח שאני לא היחיד שהעובדה ש Radius הוא clear text מפריעה לו. כל עוד הAAA נעשה בLAN או בWAN הפרטי שלך, אין בעיה. המצב אצלי הוא שמכל העולם נעשה AAA מול כמה שרתים מרכזיים והכל בעצם חשוף! (חוץ מהsecret) (כאשר אני אומר "לשלוט" הכוונה היא לתמיכה של התקני רשת שהיום הdefault שלהם זה AAA חלקי או מלא)

 

[antidot]

------>

הקדמה: אני לא נביא ולא מתיימר מה רע בRadius ? איפה הclear text ? למה לא להשתמש בPKI או token ? מה הכוונה "המצב אצלי הוא שמכל העולם נעשה AAA מול כמה שרתים מרכזיים והכל בעצם חשוף!" ? מה הכוונה לAAA חלקי ? כמה שאני זוכר, AAA זה: Authentication: האם מי שמתיימר להיות משה הוא באמת משה ? Authorization: מה מותר למשה ומה אסור Accounting: מתי ומה משה עשה, כמה זמן בזבז על האינטרנט במקום לעבוד ולמה הוא ניסה לגשת למקומות שאסור לו ? איך זה מתקשר לכל הסיפור ?

 

[Rיקושט]

------>

1. כאשר יש לך כל מיני מכשירים שמבצעים AAA מעל העולם לשרתים מרכזיים הנתונים חשופים להאזנה. אם תתפוס את הpacketים ותפתח אותם אתה תראה שכל המידע חשוף לחלוטין. 2. AAA חלקי הוא מכשיר שמבצע רק Authentication ואין לו שימוש Authorization ו- Accounting (או רק accounting ולא auth) 3. תודה, אני יודע מה תפקידו של כל A. 4. בשביל זה יש את ה

 

[antidot]

------>

הקדמה: כבר ציינתי אתמול ששרפו לי את הפיוזים. אין לקחת אותי אישי. 1) מה עם VPN בין האתרים ? 2) זה לא מתפקידו של כל מכשיר לעשות AAA. אתה רוצה שכל מכשיר יתנהג כמו AD או NDS ? אני רק יכול לנחש על סמך ההיסטוריה, אבל אני מבין שיש לך מכשירים מפוזרים בעולם שאתה רוצה לשלוט עליהם תוך אבטחת התעבורה. האם הם תומכים בSNMP ? האם הם מסוגלים לשלוח traps ? 3) אני יודע שאתה יודע. ראה הקדמה... 4)

 

[Rיקושט]

-------->

1. VPN לא אפשרי ברוב האתרים. 2. מאוד מוזר לי שאין פרוטוקול AAA מוצפן, נראה לי מאוד טיפשי, אני מניח שהיעוד המקורי שלו היה ברשתות הפנימיות של ISP או נותני שירות למינהם. SNMP נתמך רק ברמת ALARMים ולא ניהול. 3.

4.

נ.ב ראיתי פה ושם משהו שנקרא TACACS+ אןו משהו כזה, לא התעמקתי אבל הבנתי שזה בעצם מה שאני מחפש (רק שלא ראיתי שום דבר חוץ מcisco שתומך בו) מישהו עובד עם הפרוטוקול הזה??

 

[antidot]

------>

1) בעסה... 2) אתה צריך להבין שAAA זה לא פרוטוקול אחד, אלא בד"כ חבילה של פרוטוקולים שכל אחד מטפל במשהו אחר. 3) אני בהחלט צריך אחת (רצוי כמה...) 4) לשתות ולנהוג ? אני גר שני מטר מפאב... בחייאת ! לא יודע אם היית כאן, אבל על זה עדיף שיענו חכמים ממני.

 

[hamorabi]

tacacs

הוא תחליף לרדיוס הגדרות פשוטות יחסית אבל יש לך שליטה מעולה על מה שהיוזרים עושים עד רמת פקודות אם מדובר בכניסה לראוטרים. התעבורה בין ה NAS לשרת מוצפנת יש accounting מצויין בקיצור מומלץ יש המון הפצות שמבוססות על הקוד המקורי של סיסקו הנה אחת http://www.shrubbery.net/tac_plus/ ועוד אחת http://www.gazi.edu.tr/tacacs/ לבחירתך מישהו אפילו עשה ממשק ניהול web אבל לא יצא לי לנסות אותו

 

[mizu]

תלוי מה הפראנויה שלך.

לא ציינת באיזה פרוטוקול VPN אתה משתמש. אם אתה משתמש ב-IPSEC ודואג שמישהו יראה לך את התעבורה של ה-Radius (או ה-LDAP לצורך העניין), אתה יכול להיות רגוע - היא לא עוברת בצורה גלויה (לפחות לא במימושים שתומכים בתקנים שנועדו להסדיר בדיוק את העניין הזה - החל מ-XAUTH שפחות או יותר התחיל את זה, וכלה בשאר העדכונים ל-IKE). בנוגע לדיונים על פרוטוקולי AAA: גם RADIUS, גם Tacacs וגם Tacacs+ לא שמים את האבטחה בראש מעייניהם (אם אני לא טועה רק ב-Tacacs+ יש בכלל התייחסות לזה.. אבל אני לא זוכר, עבר הרבה זמן מאז שהתעניינתי בנושא). תעבירו אותם תחת VPN ברמת ה-IP וסגור העניין. מיזו