5. Согласование с IANA
Эта спецификация не создаете каких-либо новых реестров.
Данный документ использует пространство имен RADIUS [RFC2865]; см. http://www.iana.org/assignments/radius-types. Добавление 4 значений в раздел "RADIUS Attribute Types" выполнено IANA. Добавленными атрибутами RADIUS являются:
- 56 — Egress-VLANID
- 57 — Ingress-Filters
- 58 — Egress-VLAN-Name
- 59 — User-Priority-Table
6. Вопросы безопасности
Эта спецификация описывает использование протоколов RADIUS и Diameter для аутентификации, авторизации и учета в локальных сетях IEEE 802. Вопросы безопасности, связанные с протоколом RADIUS для таких приложений, описаны в [RFC3579] и [RFC3580]; проблемы безопасности, связанные с роумингом, рассмотрены в [RFC2607]. Для протокола Diameter вопросы безопасности, связанные с такими приложениями, рассмотрены в [RFC4005] и [RFC4072].
Данный документ определяет новые атрибуты, которые могут включаться в существующие пакеты RADIUS, и защищаются, как описано в [RFC3579] и [RFC3576]. Для протокола Diameter атрибуты защищаются в соответствии с документом [RFC3588], содержащим детальное описание этой задачи.
Механизмы защиты, поддерживаемые в RADIUS и Diameter, фокусируются на предотвращении подемны пакетов атакующим или изменения пакетов в процессе доставки. Эти механизмы не защищают уполномоченные серверы или посредников (proxy) RADIUS/Diameter от вставки атрибутов с негативными целями.
Атрибуты VLAN, передаваемые сервером или посредником RADIUS/Diameter могут разрешить доступ к сетям VLAN, для которых отсутствуют полномочия. Значение этой уязвимости может быть ограничено путем проверки на уровне NAS. Например, сервер NAS можно настроить на восприятие только некоторого подмножества значений VLANID от данного сервера или посредника RADIUS/Diameter.
Атакующий, получивший контроль над сервером или посредником RADIUS/Diameter, может изменить таблицу приоритетов, что позволит ему снизить качество обслуживания (путем снижения уровня приоритета поступающих в порт кадров) или организовать DoS-атаку (путем повышения уровня приоритета для трафика на множестве портов устройства, приводящего к перегрузке коммутатора или дефициту полосы канала.
7. Литература
7.1. Нормативные документы
| [RFC2119] | Bradner, S., «Key words for use in RFCs to Indicate Requirement Levels», BCP 14, RFC 2119, Март 1997. |
| [RFC2865] | Rigney, C., Willens, S., Rubens, A., and W. Simpson, «Протокол RADIUS», RFC 2865, Июнь 2000. |
| [RFC3588] | Calhoun, P., Loughney, J., Guttman, E., Zorn, G., and J. Arkko, «Diameter Base Protocol», RFC 3588, Сентябрь 2003. |
| [RFC3629] | Yergeau, F., «UTF-8, a transformation format of ISO 10646», STD 63, RFC 3629, Ноябрь 2003. |
| [RFC4363] | Levi, D. и D. Harrington, «Definitions of Managed Objects for Bridges with Traffic Classes, Multicast Filtering, and Virtual LAN Extensions», RFC 4363, Январь 2006. |
| [IEEE-802] | IEEE Standards for Local and Metropolitan Area Networks: Overview and Architecture, ANSI/IEEE Std 802, 1990. |
| [IEEE-802.1D] | IEEE Standards for Local and Metropolitan Area Networks: Media Access Control (MAC) Bridges, IEEE Std 802.1D-2004, Июнь 2004. |
| [IEEE-802.1Q] | IEEE Standards for Local and Metropolitan Area Networks: Draft Standard for Virtual Bridged Local Area Networks, P802.1Q-2003, Январь 2003. |
7.2. Дополнительная литература
| [IEEE-802.1X] | IEEE Standards for Local and Metropolitan Area Networks: Port based Network Access Control, IEEE Std 802.1X-2004, Декабрь 2004. |
| [RFC2607] | Aboba, B. и J. Vollbrecht, «Proxy Chaining and Policy Implementation in Roaming», RFC 2607, Июнь 1999. |
| [RFC2868] | Zorn, G., Leifer, D., Rubens, A., Shriver, J., Holdrege, M., and I. Goyret, «RADIUS Attributes for Tunnel Protocol Support», RFC 2868, Июнь 2000. |
| [RFC3576] | Chiba, M., Dommety, G., Eklund, M., Mitton, D., and B. Aboba, «Dynamic Authorization Extensions to Remote Authentication Dial In User Service (RADIUS)», RFC 3576, Июль 2003. |
| [RFC3579] | Aboba, B. и P. Calhoun, «RADIUS (Remote Authentication Dial In User Service) Support For Extensible Authentication Protocol (EAP)», RFC 3579, Сентябрь 2003. |
| [RFC3580] | Congdon, P., Aboba, B., Smith, A., Zorn, G., and J. Roese, «IEEE 802.1X Remote Authentication Dial In User Service (RADIUS) Usage Guidelines», RFC 3580, Сентябрь 2003. |
| [RFC4005] | Calhoun, P., Zorn, G., Spence, D., and D. Mitton, «Diameter Network Access Server Application», RFC 4005, Август 2005. |
| [RFC4072] | Eronen, P., Hiller, T., and G. Zorn, «Diameter Extensible Authentication Protocol (EAP) Application», RFC 4072, Август 2005. |
8. Благодарности
Авторы рады отметить Joseph Salowey из Cisco, David Nelson изи Enterasys, Chuck Black из Hewlett-Packard и Ashwin Palekar из Microsoft.
Адреса авторов
Paul Congdon
Hewlett-Packard Company
HP ProCurve Networking
8000 Foothills Blvd, M/S 5662
Roseville, CA 95747
Phone: +1 916 785 5753
Fax: +1 916 785 8478
EMail: moc.ph@nodgnoc.luap
Mauricio Sanchez
Hewlett-Packard Company
HP ProCurve Networking
8000 Foothills Blvd, M/S 5559
Roseville, CA 95747
Phone: +1 916 785 1910
Fax: +1 916 785 1815
EMail: moc.ph@zehcnas.oiciruam
Bernard Aboba
Microsoft Corporation
One Microsoft Way
Redmond, WA 98052
Phone: +1 425 706 6605
Fax: +1 425 936 7329
EMail: moc.tfosorcim@adranreb