[ This article was originally published here ]
Bu yazının içeriği tamamen yazarın sorumluluğundadır. AT&T, yazar tarafından bu makalede sağlanan görüşlerin, konumların veya bilgilerin hiçbirini benimsemez veya desteklemez.
A, uzak kullanıcı kimlik doğrulaması ve yetkilendirmesi için bir ağ protokolü kullanır. Uzak bir kullanıcının paylaşılan bir sır (genellikle bir parola) kullanarak bir ağa erişmesine izin veren bir istemci/sunucu protokolüdür. RADIUS sunucuları genellikle bir ağın çevresinde bulunur ve 1812 (UDP) veya 1645/1813 (TCP) bağlantı noktasını kullanır.
RADIUS ilk olarak 1991 yılında Livingston Enterprises, Inc. tarafından geliştirilmiştir. Artık bir IETF standardıdır (). RADIUS sunucu kimlik doğrulaması hakkında bilinmesi gereken en önemli şeyler aşağıdadır.
-
RADIUS, bir uzaktan kimlik doğrulama çevirmeli kullanıcı hizmetidir
Yönlendiriciler ve anahtarlar gibi ağa bağlı cihazlar için merkezi kimlik doğrulama, yetkilendirme ve hesap yönetimi sağlamak üzere geliştirilmiştir.
Çevirmeli katılım burada neyi ifade ediyor? Arayarak katılma, kullanıcının bir telefon hattı veya başka bir bağlantı kullanarak bir ağa uzaktan bağlanmasına izin veren bir kimlik doğrulama türüdür. RADIUS sunucuları, bir ağa kullanıcı erişimini yönetmek için kullanılır. Ağa kimlerin erişebileceğini, hangi hizmetleri kullanabileceklerini ve ne kadar bant genişliği tüketebileceklerini kontrol etmek için kullanılabilirler.
-
RADIUS, TACACS’a bir alternatiftir ve genellikle kimlik doğrulama ve yetkilendirme için TACACS+ ile birlikte kullanılır.
Bunun nedeni, RADIUS’un tipik olarak için kullanılması, TACACS+’nın ise genellikle cihaz yönetimi için kullanılmasıdır. Her iki protokol de her iki amaç için kullanılabilirken, RADIUS genellikle uzaktan erişim için tercih edilen protokoldür.
-
Bir RADIUS sunucusu, istemcilerle iletişim kurmak için genellikle UDP bağlantı noktası 1812’yi (veya TCP bağlantı noktası 1645/1813) kullanır.
RADIUS sunucuları genellikle 1812 numaralı UDP bağlantı noktasını (veya 1645/1813 numaralı TCP bağlantı noktasını) dinler. Bir RADIUS istemcisi sunucuya bir istek gönderdiğinde, gizli anahtarı isteğe dahil eder. Sunucu, istemcinin kimliğini doğrulamak ve isteği yetkilendirmek için bu anahtarı kullanır.
RADIUS bir istemci/sunucu protokolüdür, yani her RADIUS istemcisinin karşılık gelen bir RADIUS sunucusu olması gerekir. Bir RADIUS istemcisi tipik olarak yönlendirici veya anahtar gibi bir ağ aygıtıdır. RADIUS sunucusu, RADIUS yazılımını çalıştıran ve ağa kullanıcı erişimini yöneten bir bilgisayardır.
Bunun anlamı, bir kullanıcının ağa erişebilmesi için önce RADIUS sunucusuyla kimlik doğrulaması yapması gerektiğidir. RADIUS sunucusu daha sonra kullanıcının ağa erişimine izin verir ve hangi hizmetleri kullanabileceklerini kontrol eder.
-
RADIUS, bir istemci/sunucu mimarisi kullanır
RADIUS sunucusu, kullanıcıların kimliğini doğrulamaktan ve hesap bilgilerini korumaktan sorumludur, RADIUS istemcisi ise genellikle kimlik doğrulama isteklerini sunucuya ileten bir ağ cihazıdır. Bu ayrımın önemli olmasının nedeni, sunucunun merkezi olarak konumlandırılmasına ve yönetilmesine izin verirken, istemcilerin ağ boyunca dağıtılabilmesidir. Bu mimari aynı zamanda sunucunun, bir sunucu veya yerel bir dosya gibi birden çok veritabanına karşı kullanıcıların kimliğini doğrulamasını mümkün kılar.
Bunun sonuçları, sunucu çökerse, tüm ağın kullanıcılar tarafından kullanılamayacağıdır. Bu nedenle bir üretim ortamında yedekli RADIUS sunucularına sahip olmak önemlidir.
-
Bir RADIUS sunucusu, kullanıcıların kimliğini birden çok veritabanına karşı doğrulayabilir
RADIUS, PAP, CHAP, MS-CHAP ve EAP dahil olmak üzere çoklu kimlik doğrulama yöntemlerini destekler. en basit kimlik doğrulama yöntemidir ve kullanıcı adı ile parolayı açık metin olarak gönderir. CHAP parolayı şifreler ancak ağ üzerinden düz metin olarak gönderir. MS-CHAP, hem kullanıcı adını hem de parolayı şifreler. EAP, dijital sertifikalar kullanan daha güvenli bir kimlik doğrulama yöntemidir.
-
RADIUS, aktarım için UDP kullanır
RADIUS, aktarım protokolü olarak UDP’yi kullanır. UDP bağlantısız bir protokoldür, yani her paket bağımsız olarak gönderilir ve önceden bir bağlantı kurulması gerekmez. Bu, sunucuda çok fazla kaynak gerektirmeden çok sayıda istemciyi destekleyebildiği için RADIUS’u çok ölçeklenebilir hale getirir.
UDP, TCP’den daha az güvenilir bir protokol olduğundan, RADIUS’un aktarım için UDP kullanması önemlidir. Bu, RADIUS paketlerinin aktarım sırasında düşebileceği veya kaybolabileceği anlamına gelir. Ancak, bu genellikle bir sorun değildir çünkü RADIUS, paketlerin güvenilir bir şekilde teslim edilmesini sağlamak için yeniden iletim ve hata denetimi kullanır.
-
RADIUS sunucusunun istemcilerle paylaşılan bir sırrı olmalıdır.
RADIUS sunucusu ve istemcileri, paketleri şifrelemek ve şifrelerini çözmek için kullanılan paylaşılan bir sırra sahip olmalıdır. Bu paylaşılan sır, genellikle yalnızca sunucu ve istemciler tarafından bilinen bir parola veya tümceciktir. Paylaşılan sır olmadan, bir saldırgan sunucu ve istemciler arasında değiş tokuş edilen paketleri okuyamaz veya değiştiremez.
-
RADIUS, Erişim İsteği ve Erişim Kabul Paketlerini kullanır
Bir istemci, bir RADIUS sunucusuna bir kimlik doğrulama isteği gönderdiğinde, bunu bir Erişim İsteği paketi kullanarak yapar. Sunucu daha sonra kimlik doğrulamanın başarılı olup olmadığına bağlı olarak bir Erişim-Kabul Et veya Erişim-Reddet paketiyle yanıt verir. Kimlik doğrulama başarılı olursa sunucu, istemcinin kimliğini kanıtlamak için yanıtlaması gereken bir sorgulama içeren bir Erişim Sorgulama paketi de içerecektir.
-
RADIUS, AAA için kullanılabilir
RADIUS, Kimlik Doğrulama, Yetkilendirme ve Hesaplama anlamına gelen AAA için kullanılabilir. Kimlik doğrulama, bir kullanıcının kimliğini doğrulama işlemidir, yetkilendirme, bir kullanıcının hangi kaynaklara erişmesine izin verildiğini belirleme işlemidir ve muhasebe, bir kullanıcının kullanımını izleme ve faturalandırma işlemidir.
AAA, ağ kaynaklarına erişimi kontrol etmek için kullanılan yaygın bir güvenlik modelidir.
-
RADIUS, IETF tarafından standardize edilmiştir
RADIUS, standartlara dayalı bir protokoldür, yani bir İnternet Mühendisliği Görev Gücü (IETF) belirtimi tarafından tanımlanır. RADIUS belirtiminin en son sürümü, Haziran 2000’de yayınlanan RFC 2865’tir.
-
RADIUS, ISP’ler tarafından yaygın olarak kullanılır
RADIUS, İnternet servis sağlayıcıları (ISS’ler) tarafından internete erişmeye çalışan kullanıcıların kimliğini doğrulamak ve yetkilendirmek için yaygın olarak kullanılır. RADIUS, kurumsal ağlar tarafından ağa erişmeye çalışan kullanıcıların kimliğini doğrulamak ve yetkilendirmek için de kullanılır.
-
Birkaç farklı RADIUS uygulaması var
FreeRADIUS, Microsoft NPS ve Cisco ACS dahil olmak üzere birkaç farklı RADIUS uygulaması vardır. FreeRADIUS, en popüler açık kaynaklı RADIUS sunucusudur. Microsoft NPS, Windows Server’da bulunan RADIUS sunucusudur. Cisco ACS, Cisco Systems’ın ticari bir RADIUS sunucusudur.
Çözüm
Bunlar, RADIUS sunucu kimlik doğrulaması hakkında bilinmesi gereken en önemli şeylerdir. RADIUS, birçok ağ güvenlik sisteminin kritik bir parçasıdır ve nasıl çalıştığını anlamak, bir ağı yönetmekten sorumlu olan herkes için çok önemlidir.
reklam