測試RADIUS服務器

　　過去RADIUS更多地用在遠程撥號接入這樣的領域，但是在未來的企業(yè)網絡中，RADIUS將更多被使用在以太網接入、無線局域網接入等領域。選擇好的RADIUS將變得更重要。



　　美國的一家實驗室決定評估企業(yè)RADIUS服務器，要求參評的產品不僅支持Microsoft Active Directory和RSA Security SecureID，而且還可以連接多種客戶機，即NAS（網絡接入服務器）設備，如撥號服務器、VPN集中器、WLAN接入點和防火墻。Cisco、Funk Software、IEA Software、Interlink Networks和Lucent的產品參加了這個測試。



　　衡量RADIUS的標準



　　RADIUS的性能是用戶該關注的地方，比如，能接受多少請求以及能處理多少事務。同時，遵循標準，并具備良好的與接入控制設備的互操作性是RADIUS服務器好壞的重要指標。從測試的情況看，所有的產品都符合RADIUS規(guī)范和EAP（擴展認證協議）定義。不過，為了發(fā)現所支持的認證機制和后端認證存儲的種類，測試者進行了更深入的研究。在互操作性方面，他們測試了這些服務器與多種RADIUS客戶機（包括接入點、VPN和撥號服務器）一起工作時的情況。他們根據創(chuàng)建用戶和工作組配置文件的難易程度以及配置用戶專有屬性的靈活性，對參評產品的配置管理評分。安全性也是關注的重點。測試者希望了解服務器在和NAS設備通信的過程中是如何保證安全和完整性的。



　　另外RADIUS是否能夠讓管理員實現諸多管理安全特性和策略是非常重要的一環(huán)。為此測試者評估了能夠通過RADIUS服務器執(zhí)行的不同規(guī)則，特別將重點放在按用戶、用戶組或角色實施的時段限制上。測試者還留意了產品是否支持強制時間配額。這種功能使網絡管理員可以限制用戶或用戶組能夠通過RADIUS服務器接入網絡多長時間。



　　大多數參測的RADIUS服務器都通過ODBC或JDBC，利用SQL Server數據庫保存和訪問用戶配置文件。數據庫集成對于處理大量為賬戶和事件日志采集的數據至關重要。假如網絡管理員不能分析和報告數據的話，這些數據沒有任何意義，為此他們測試了用于顯示信息、顯示信息的動態(tài)性以及利用信息可執(zhí)行什么任務的工具。



　　除了上述基本特性外，測試者還對RADIUS服務器的功能進行了測試。他們測評了服務器主動與網絡管理系統合作的情況。例如，他們評估了實現電子郵件報警的復雜性。實現電子郵件報警在Cisco和IEA Software的服務器中十分流暢，但在一些其他設備上就沒有那么輕松。測試者還評估了證書請求工具。請求工具可將簽名的證書授予發(fā)出請求的RADIUS服務器。具有VoIP賬戶功能的產品很少，只有Cisco和IEA Software的產品才提供。



　　測試方法



　　為了測試RADIUS服務器，測試者搭建了一個近乎真實的測試環(huán)境。



　　測試者將服務器配置為連接多臺RADIUS客戶機，包括一臺Cisco VPN 3000集中器、一臺Cisco Aironet 1100接入點和一臺Proxim AP-600接入點。他們還使用商用RADIUS測試實用工具（如NAS Simulator和Evolynx RADIUS Load Test）來模擬多個認證請求。這些測試實用工具為測試者提供了檢查服務器支持RADIUS客戶機的能力和靈活性。



　　性能取決于服務器運行在什么平臺上。很多RADIUS服務器運行在專用的機器上，測試者可以對它們進行壓力測試：生成多個會話，直至服務器的CPU利用率達到90%到95%。將認證請求速率保持在這種水平上，讓測試者可以觀察到丟失的請求數量。然后，測試者添加多位用戶，而只增加一個會話，檢查數據庫處理用戶配置文件的效率。這時得到的結果與單用戶情景的結果類似。不過，在訪問外部數據庫上出現了顯著差異，但是這些結果取決于RADIUS代理所連接的服務器性能。



　　為了模擬真實的情景，測試者讓測試工具建立了5個并行會話，同時在5位有效用戶和兩位無效用戶之間交替變換。為了保證公平的比較，測試者讓所有的產品都使用Active Directory進行認證。IEA的RadiusNT、Lucent的NavisRadius和Cisco的ACS平均每秒處理170次請求，而Funk的Steel-Belted Radius平均每秒處理320次請求。Interlink的RAD-Series每秒竟然支持令人吃驚的1900次請求。取得這種高性能主要是由于其Linux平臺。但是性能不應當成為網絡管理者做出選擇的惟一依據，因為平均起來看，Interlink服務器在峰值時間每秒處理不超過90到120次請求。而測試的所有服務器都可以輕松躍過這一門檻。



　　測試者驗證了這些服務器是否支持RFC 2865到RFC 2869（RADIUS規(guī)范）和RFC 2716(EAP規(guī)范)。測試者還研究了服務器符合CERT Advisory CA-2002-06的情況。CA-2002-06確定了RADIUS服務器上存在的拒絕服務安全漏洞。



　　最后，測試者評估了服務器能夠多好地滿足企業(yè)IT部門需要以及提供什么標準規(guī)范之外的特性，如嵌入式數據包檢查工具、SNMP與DHCP服務器支持、數字證書獲取工具、事件報警電子郵件、測試實用工具配置和VoIP支持。



　　RADIUS工作原理



　　RADIUS原先的目的是為撥號用戶進行認證和計費。后來經過多次改進，形成了一項通用的認證計費協議。



　　RADIUS是一種C/S結構的協議，它的客戶端最初就是NAS服務器，現在任何運行RADIUS客戶端軟件的計算機都可以成為RADIUS的客戶端。






　　RADIUS的基本工作原理：用戶接入NAS，NAS向RADIUS服務器使用Access-Require數據包提交用戶信息，包括用戶名、密碼等相關信息，其中用戶密碼是經過MD5加密的，雙方使用共享密鑰，這個密鑰不經過網絡傳播；RADIUS服務器對用戶名和密碼的合法性進行檢驗，必要時可以提出一個Challenge，要求進一步對用戶認證，也可以對NAS進行類似的認證；如果合法，給NAS返回Access-Accept數據包，允許用戶進行下一步工作，否則返回Access-Reject數據包，拒絕用戶訪問；如果允許訪問，NAS向RADIUS服務器提出計費請求Account-Require，RADIUS服務器響應Account-Accept，對用戶的計費開始，同時用戶可以進行自己的相關操作。



　　RADIUS還支持代理和漫游功能。簡單地說，代理就是一臺服務器，可以作為其他RADIUS服務器的代理，負責轉發(fā)RADIUS認證和計費數據包。所謂漫游功能，就是代理的一個具體實現，這樣可以讓用戶通過本來和其無關的RADIUS服務器進行認證。



　　RADIUS服務器和NAS服務器通過UDP協議進行通信，RADIUS服務器的1812端口負責認證，1813端口負責計費工作。采用UDP的基本考慮是因為NAS和RADIUS服務器大多在同一個局域網中，使用UDP更加快捷方便。



　　RADIUS協議還規(guī)定了重傳機制。如果NAS向某個RADIUS服務器提交請求沒有收到返回信息，那么可以要求備份RADIUS服務器重傳。由于有多個備份RADIUS服務器，因此NAS進行重傳的時候，可以采用輪詢的方法。如果備份RADIUS服務器的密鑰和以前RADIUS服務器的密鑰不同，則需要重新進行認證。






摘自 網絡世界