RADIUS 無効な認証者およびメッセージ認証者のトラブルシューティング ガイド

Similar documents
EAP フラグメンテーションの実装と動作

NAC(CCA): ACS 5.x 以降を使用した Clean Access Manager での認証の設定

[ 参照規格一覧 ] JIS C5973 (F04 形単心光ファイバコネクタ ) JIS C6835 ( 石英系シングルモード光ファイバ素線 1991) JIS C6832 ( 石英系マルチモード光ファイバ素線 1995) IETF RFC791(Internet Protocol

技術的条件集別表 26.2 IP 通信網 ISP 接続用ルータ接続インタフェース仕様 (IPv4 トンネル方式 -10GBASE LR インタフェース )

LEAP を使用して Cisco ワイヤレス クライアントを認証するための Funk RADIUS の設定

8021.X 認証を使用した Web リダイレクトの設定

技術的条件集別表 26.3 IP 通信網 ISP 接続用ルータ接続インタフェース仕様 (IPv6 トンネル方式 )

Identity Services Engine ゲスト ポータルのローカル Web 認証の設定例

IPsec徹底入門

管理アカウントの TACACS+ 認証をサポートするための Cisco VPN 3000 コンセントレータの設定方法

TFTP serverの実装

VPN の IP アドレス

VPN 接続の設定

Cisco CSS HTTP キープアライブと ColdFusion サーバの連携

FQDN を使用した ACL の設定

アプリケーション インスペクションの特別なアクション(インスペクション ポリシー マップ)

Kerberos の設定

(8) [ 全般 ] タブをクリックします (9) [ インターネット一時ファイル ] の [ 設定 ] ボタンをクリックします (10) [ 保存しているページの新しいバージョンの確認 ] から [ ページを表示するごとに確認する ] をクリックします (11) [OK] ボタンをクリックしていき

RADIUS NAS-IP-Address アトリビュート 設定可能性

索引

PowerPoint プレゼンテーション

SSL サムプリントの検証 SSL サムプリントの検証はリモートユーザーがホストの信頼性を検証するために使用します この検証はリモートとホスト間の接続の安全性を確立して MITM 攻撃から保護するために実行する必要があります デフォルトで リモートユーザーが TCP/IP を使用してホストに接続しよ

クライアント証明書導入マニュアル

セキュリティ機能の概要

ServerView Resource Orchestrator V3.0 ネットワーク構成情報ファイルツール(Excel形式)の利用方法

目次 1. はじめに 証明書ダウンロード方法 ブラウザの設定 アドオンの設定 証明書のダウンロード サインアップ サービスへのログイン

JapanCert 専門 IT 認証試験問題集提供者 1 年で無料進級することに提供する

東北インテリジェント通信株式会社 御中

セキュリティ機能の概要

Cisco Identity Services Engine の証明書更新に関する設定ガイド

AirStationPro初期設定

Microsoft Word - winscp-LINUX-SCPを使用したファイル転送方法について

AW-PCS認証設定手順1805

AP-700/AP-4000 eazy setup

Net'Attest EPS設定例

ケータイ de 会社メール

機能性表示食品制度届出データベース届出マニュアル ( 食品関連事業者向け ) 4-6. パスワードを変更する 画面の遷移 処理メニューより パスワード変更 を選択すると パスワード変更 画面が表示されます パスワード変更 画面において パスワード変更 をクリックすると パスワード変更詳細 画面が表示

1 はじめに VPN 機能について Windows 端末の設定方法 VPN 設定手順 接続方法 ios 端末の設定方法 VPN 設定画面の呼び出し VPN に関する設定

Net'Attest EPS設定例

2. FileZilla のインストール 2.1. ダウンロード 次の URL に接続し 最新版の FileZilla をダウンロードします URL: なお バージョンが異なるとファイル名が

更新用証明書インポートツール 操作マニュアル 2011 年 10 月 31 日 セコムトラストシステムズ株式会社 Copyright 2011 SECOM Trust Systems CO.,LTD. All rights reserved. P-1

Microsoft PowerPoint - IPsec徹底入門.ppt

EPS設定例

平成30年度 パソコン・ネットワークの設定について

Microsoft PowerPoint ppt

WL-RA1Xユーザーズマニュアル

ASA および Cisco IOS グループ ロック機能と AAA 属性および WebVPN の設定例

ISE の BYOD に使用する Windows サーバ AD 2012 の SCEP RA 証明書を更新する

FUI 機能付きの OCS サーバ URL リダイレクトの設定例

VLAN Trunk Protocol(VTP)について

RADIUS を使用した Windows 2008 NPS サーバ(Active Directory)に対する ASA VPN ユーザ認証の設定例

Active Directory フェデレーションサービスとの認証連携

7 PIN 番号入力後 以下のアプレットエラーが表示されます 署名検証が失敗しました 署名検証が行なわれませんでした 8 PIN 番号入力後 以下のアプレットエラーが表示されます APPLET-ERROR APPLET-ERROR APPL

証明書インポート用Webページ

口やかましい女ソフト VPN Client を RV130 および RV130W の IPSec VPN サーバと接続するのに使用して下さい

SQL Server または MSDE のバージョン、およびサービス パック レベルの確認

VPN ユーザを管理し、RV016、RV042、RV042G および RV082 VPN ルータの速い VPN を設定して下さい

LDAP サーバと統合するための ISE の設定

Cisco CallManager で SQL クエリーを使用したコール詳細レコードの検索

Oracle SALTを使用してTuxedoサービスをSOAP Webサービスとして公開する方法

正誤表(FPT0417)

<4D F736F F D2096B390FC4C414E90DA91B1837D836A B382E646F63>

RADIUS サーバを使用して NT のパスワード期限切れ機能をサポートするための Cisco VPN 3000 シリーズ コンセントレータの設定

SMB スイッチ CLI に SSH を使用してアクセスするか、または Telnet で接続して下さい

学内無線LAN接続設定

Microsoft Word - Android認証設定手順(EAP-TLS)1105.doc

Web 認証拡張機能簡易ドキュメント

p_network-management_old-access_ras_faq_radius2.xlsx

仕様書用テンプレート

ログインおよび設定

BACREX-R クライアント利用者用ドキュメント

学内無線LAN接続設定

SMTP ルーティングの設定

PowerPoint プレゼンテーション

スライド 1

Net'Attest EPS設定例

認証連携設定例 連携機器 アイ オー データ機器 BSH-GM シリーズ /BSH-GP08 Case IEEE802.1X EAP-PEAP(MS-CHAP V2)/EAP-TLS Rev2.0 株式会社ソリトンシステムズ

シナリオ:サイトツーサイト VPN の設定

Untitled

CUBICS Learning

大阪大学キャンパスメールサービスの利用開始方法

JPNICプライマリルート認証局の電子証明書の入手と確認の手順

Pirates Buster Series Secure Viewer セットアップマニュアル (Web インストーラ)

Net'Attest EPS設定例

Microsoft Word - manual_eduroam_man_ver1_1.docx

目次 1. 既存ワンタイムパスワード方式の課題 2.IOTP の特徴 3.IOTP の仕様 4. 安全性 可用性評価 5. 実施例 6. 知的所有権情報 7. まとめ 1 All Rights Reserved,Copyright 日本ユニシス株式会社

ISE 2.0: ASA CLI TACACS+ 認証およびコマンド認可の設定例

ios 用 IPSec-VPN 設定手順書 Ver. 1.0 承認確認担当 年 1 0 月 2 2 日株式会社ネットワールド S I 技術本部インフラソリューション技術部

FIDO技術のさらなる広がり

第1章 業務共通

目次 1. PDF 変換サービスの設定について )Internet Explorer をご利用の場合 )Microsoft Edge をご利用の場合 )Google Chrome をご利用の場合 )Mozilla Firefox をご利

PowerPoint Presentation

インターネットVPN_IPoE_IPv6_fqdn

本文中の記号の意味 本文中で使用している記号の意味について以下に示します システムの操作上または処理の手続き上において 特に注意していただきたい事項を記載しています 記載内容を必ずお読みください システムの操作上または処理の手続き上において 参考にしていただきたい事項を記載しています 必要に応じてお

<326E E D836A B2E666D>

[ 証明書の申請から取得まで ] で受領したサーバ証明書を server.cer という名前で任意の場所に保存してください ( 本マニュアルではローカルディスクの work ディレクトリ [C:\work] に保存しています ) 中間 CA 証明書を準備します 次の URL にアク

<4D F736F F D F8E FEE95F1836C F8EE88F878F F88979D8BC68ED2976C A2E646F63>

管理者のユーザ名とパスワードの設定

DocuWorks Mobile 障害切り分け手順書

SeciossLink クイックスタートガイド

Transcription:

RADIUS 無効な認証者およびメッセージ認証者のトラブルシューティングガイド 目次 概要オーセンティケータヘッダ応答の認証いつ検証エラーを待つ必要がありますか パスワード隠れること再送信アカウンティングメッセージオーセンティケータアトリビュートメッセージオーセンティケータはいつ使用する必要がありますか いつ検証エラーを待つ必要がありますか メッセージオーセンティケータアトリビュートを検証して下さい関連情報 概要 この資料は 2 つの RADIUS セキュリティ機構を解説したものです : オーセンティケータヘッダ メッセージオーセンティケータアトリビュートこの資料はどのように使用される そしてとき検証エラーを待つ必要があるかものこれらのセキュリティ機構がである取り扱っています オーセンティケータヘッダ RFC 2865 ごとに オーセンティケータヘッダは長く 16 バイトです それは Access-Request で使用されるとき 要求オーセンティケータと呼ばれます それはあらゆる種類の応答で使用されるとき 応答オーセンティケータと呼ばれます それはのために使用されます : 応答の認証 パスワード隠れること 応答の認証 サーバが正しい応答オーセンティケータと応答する場合 クライアントはその応答が有効な要求と関連していた場合計算できます

クライアントはランダムオーセンティケータヘッダとの要求を送信します それから サーバは共有秘密と共に応答を返す要求パケットの使用の応答オーセンティケータを計算します : ResponseAuth = MD5(Code + ID + Length + RequestAuth + Attributes + Secret) 応答を受け取るクライアントは同じオペレーションを行います 結果が同じである場合 パケットは正しいです 注 : 秘密の値を知っている攻撃者はそれが要求をスニッフィングことはできなければ応答をスプーフィングできません いつ検証エラーを待つ必要がありますか 検証エラーはスイッチが要求をもうキャッシュしない場合発生します ( たとえば タイムアウトが理由で ) 共有秘密が無効なときまたそれを経験するかもしれません ( はい - Access-Reject はまたこのヘッダが含まれています ) こうすればは ネットワークアクセスデバイス (NAD) 共有秘密ミスマッチを検出することができます 通常それは共有鍵ミスマッチとして認証 許可 アカウンティング (AAA) クライアント / サーバによって報告されますが 詳細を明らかにしません パスワード隠れること オーセンティケータヘッダも平文のユーザパスワードアトリビュートを送信することを避けるために使用されます 最初に MD5 (MD5 - シークレット オーセンティケータ ) は計算されます それからパスワードのチャンクとの複数の XOR オペレーションは実行されます この方式は MD5 が強い一方向アルゴリズムとしてもう感知されないのでオフ ライン不正侵入 ( 虹表 ) のために敏感です ユーザパスワードを計算する大蛇スクリプトはここにあります : def Encrypt_Pass(password, authenticator, secret): m = md5() m.update(secret+authenticator) return "".join(chr(ord(x) ^ ord(y)) for x, y in zip(password.ljust (16,'\0')[:16], m.digest()[:16])) 再送信 RADIUS Access-Request の属性のうちのどれかが (RADIUS ID のように ユーザ名 等 ) 変更したら 新しいオーセンティケータフィールドは生成し それによって決まる他のフィールドはすべて再評価する必要があります これが再送信である場合 何も変更する必要がありません アカウンティング オーセンティケータヘッダの意味は Access-Request およびアカウンティング要求のために異なっています Access-Request に関しては オーセンティケータはランダムに生成され 正しく計算される応答はその特定の要求と関連していたと証明する ResponseAuthenticator の応答を受け取ることを期

待します アカウンティング要求のために オーセンティケータはランダムではないですが それは計算されます (RFC 2866 によって ): RequestAuth = MD5(Code + ID + Length + 16 zero octets + Attributes + Secret) こうすればは サーバ計算し直された値がオーセンティケータ値を一致する場合会計メッセージをすぐにチェックし パケットを廃棄できます Identity Services Engine (ISE) 戻り : 11038 RADIUS Accounting-Request header contains invalid Authenticator field これのための一般的な原因は不正確な共有秘密キーです メッセージオーセンティケータアトリビュート メッセージオーセンティケータアトリビュートは RFC 3579 で定義される RADIUS 特性です それは同じような目的で使用されます : 署名し 検証するため 応答要求を検証することをしかし今回 使用しません Access-Request ( それをサーバである場合もあるアクセスチャレンジと応答する ) 計算します Hash-Based Message Authentication Code を送信するクライアントはまた ( 自身のパケットからの HMAC)-MD5 はシグニチャとして それからメッセージオーセンティケータアトリビュートを追加し それから サーバは確認できます同じオペレーションを行うことを 数式はオーセンティケータヘッダに類似したに検知します : Message-Authenticator = HMAC-MD5 (Type, Identifier, Length, Request Authenticator, Attributes) HMAC-MD5 機能は 2 つの引数で奪取します : 16 バイトメッセージオーセンティケータフィールドが含まれているパケットのペイロードはゼロで 一杯になりました 共有秘密鍵 メッセージオーセンティケータはいつ使用する必要がありますか メッセージオーセンティケータは各パケットに使用する必要があります Extensible Authentication Protocol (EAP) メッセージ (RFC 3579) が含まれている これにはアクセスチャレンジと応答するサーバおよび Access-Request を送信するクライアントが両方含まれています 反対側は検証が失敗した場合無言でパケットを廃棄する必要があります いつ検証エラーを待つ必要がありますか 検証エラーは共有秘密が無効なとき発生します それから AAA サーバは要求を検証できません ISE レポート : 11036 The Message-Authenticator Radius Attribute is invalid. これは通常 EAP メッセージを添付する後期に発生します 802.1X セッションの最初の

RADIUS パケットは EAP メッセージが含まれていません ; メッセージオーセンティケータフィールドがないし 要求を確認することはできませんがそのステージで クライアントはオーセンティケータフィールドの使用の応答を検証できます メッセージオーセンティケータアトリビュートを検証して下さい 確かめるために手動で値をどのように数えるか説明する例はここにあります正しく計算されることを パケット第 30 (Access-Request) は選択されました それは EAP セッションの最中にあり パケットはメッセージオーセンティケータフィールドが含まれています 目標はメッセージオーセンティケータが正しいことを確認することです : 1. RADIUSプロトコルを右クリックし 指定パケットバイトを Export を選択して下さい 2. ファイル ( バイナリーデータ ) にその RADIUS ペイロードを書いて下さい 3. メッセージオーセンティケータフィールドを計算するために ゼロをそこに置き HMAC- MD5 を計算して下さい たとえば hex/ バイナリーエディターを vim のような使用する時 入力した後 : %! xxd は "5012" 後十六進モードおよびゼロに開始する 16 バイト切り替える (50hex はメッセージオーセンティケータ型の 12 属性値ペア (AVP) ヘッダを含んで 18 の ) サイズです DEC の 80 であり :

後その修正は ペイロード準備ができています hex/ バイナリモード ( 型に戻ることは必要です : : %! xxd は - r ) ファイルを保存し ( : wq ) 4. HMAC-MD5 を計算するために OpenSSL を使用して下さい : pluton # cat packet30-clear-msgauth.bin openssl dgst -md5 -hmac 'cisco' (stdin)= 01418d3b1865556918269d3cf73608b0 HMAD-MD5 機能は 2 つの引数を奪取します : 標準入力 (stdin) からの最初の 1 つはメッセージ自体および第 2 1 です共有秘密 ( この例の Cisco) です 結果は RADIUS アクセス要求パケットに接続されるメッセージオーセンティケータと丁度同じ値です 同じは大蛇スクリプトの使用と計算することができます : pluton # cat hmac.py #!/usr/bin/env python import base64 import hmac import hashlib f = open('packet30-clear-msgauth.bin', 'rb') try: body = f.read() finally: f.close() digest = hmac.new('cisco', body, hashlib.md5) d=digest.hexdigest() print d pluton # python hmac.py 01418d3b1865556918269d3cf73608b0

前例は Access-Request からのメッセージオーセンティケータフィールドを計算する方法を示します アクセスチャレンジ Access-Accept および Access-Reject に関しては ロジックは丁度同じですが 前のアクセス要求パケットで提供される要求オーセンティケータが使用する必要があることを覚えておくことは重要です 関連情報 RFC 2865 RFC 2866 RFC 3579 テクニカルサポートとドキュメント - Cisco Systems

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック