Como funciona a autenticação via RADIUS no Mikrotik

Como funciona a autenticação via RADIUS no Mikrotik

Um dos aspectos mais importantes da configuração de um ISP (Provedor de Serviços de Internet) é garantir que você tenha um servidor Radius sólido (também conhecido como AAA – Autenticação, Autorização e Contabilidade). Radius, que significa Remote Authentication Dial In System, controla o acesso a seus dispositivos de rede e a contabilização de tráfego para os dados usados. Com um Radius Server central, você pode rapidamente permitir ou não o acesso à rede, ver quem está conectado no momento e monitorar o uso da rede.

Abaixo, veremos um ciclo de conexão típico e o tráfego de raio entre o Radius Client e o Radius Server.

Autenticação Radius

Uma sessão típica do seu NAS (Network Access Server) começará com a Autenticação do Radius e, assim que a sessão do usuário for autenticada com sucesso, o NAS enviará informações da Contabilidade do Raio para rastrear a sessão.

Vamos começar dando uma olhada no fluxo básico da Autenticação Radius. Digamos que você tenha o cliente X que está se conectando ao seu servidor Mikrotik PPPOE. Nós usamos o Mikrotik como um exemplo aqui, mas o mesmo vale para qualquer dispositivo que opere sobre o protocolo Radius.

Primeiramente, o usuário iniciará uma sessão pelo PPPOE e enviará um nome de usuário e senha para a conexão.

O mikrotik irá receber esses detalhes e construir um pacote Radius Access-Request.

Quando este pacote é recebido pelo servidor radius, algumas ações serão realizadas.

  1. O ip de origem do pacote será verificado para ver se é permitido enviar tráfego para o servidor radius.
  2. O nome do usuário será verificado para ver se é válido e permitido conectar.
  3. A senha será verificada. Existem vários métodos de enviar uma senha, cada um desses métodos usa alguma forma de hashing contra o segredo do raio. (Quando o segredo radius não combina entre o cliente radius e o server a senha sempre falhará verificar.)
  4. Uma vez que o usuário e a senha tenham sido verificados, o servidor responderá com um Access-Accept ou Access-Reject.
  5. Além disso, alguns atributos podem ser adicionados à resposta. Esses atributos podem incluir limites de velocidade, limites de transferência, endereços IP ou vários outros AVP (Pares de Valor de Atributo) que podem alterar os parâmetros da conexão.

Contabilidade de Raios

Uma vez que o Mikrotik receba o raio Access-Accept, a configuração da conexão será completada e um Radius Accounting-Request será enviado ao servidor radius. A primeira Solicitação de Contabilidade que é enviada é conhecida como Início de Contabilidade. Este pacote significa que é uma nova sessão que precisa ser rastreada.

O pacote inicial Accounting contém tudo o que é necessário para identificar a sessão, incluir o ID de sessão exclusivo no NAS, o endereço IP do usuário e as informações relevantes de porta / mídia da conexão.

Depois que o Intervalo Intervalo-Acct fornecido na autenticação (esse intervalo também pode ser configurado diretamente no dispositivo sem a necessidade de enviá-lo por meio da aceitação) tiver decorrido, o NAS enviará uma Solicitação de Contabilidade de Atualização Provisória.

O Interim-Update é muito semelhante ao pacote inicial, mas contém algumas informações extras, como a duração da sessão e a quantidade de dados transferidos durante o ciclo de vida da sessão.

Aqui temos as mesmas informações de identificação para a sessão que estavam presentes no pacote Iniciar. Também temos algumas informações novas, como Acct-Input-Octets (a quantidade de bytes enviados do usuário para os bytes enviados pelo NAS), os octetos de saída de dados (bytes enviados do NAS para bytes baixados pelo usuário) e o Acct-Output-Octets. Tempo de Sessão (Duração em segundos em que o usuário esteve online).

Quando a sessão é finalmente encerrada, o NAS enviará um último pacote de Solicitação de Contabilidade. Esta é a solicitação Stop e sinaliza ao servidor radius que a sessão terminou.

O pacote Stop é quase o mesmo que o pacote Interim-Update, mas contém novamente informações extras. Neste caso, a Acct-Terminate-Cause indica o motivo pelo qual a conexão foi fechada. Os contadores do Octets também contêm a contagem final dos dados usados ​​durante a sessão.

Esperamos que esta visão geral básica do protocolo Radius ofereça uma melhor compreensão da interação que ocorre entre um NAS e um servidor Radius. Se você tiver alguma dúvida, sinta-se à vontade para adicionar um comentário e tentaremos respondê-lo por você.

Deixe uma resposta

0