RADIUS Server چیست و چگونه کار می کند؟

RADIUS چیست؟

پروتکل RADIUS مخفف Remote Authentication Dial-In User Service یک پروتکل شبکه کلاینت – سرور است که در لایه Application اجرا می شود. پروتکل RADIUS از یک Server RADIUS و RADIUS Clients استفاده می کند. Client RADIUS (یا سرور دسترسی به شبکه) یک دستگاه شبکه است (مانند VPN، روتر، سوئیچ) که برای تأیید اعتبار (احراز هویت) کاربران استفاده می شود. Client با تماس با سرور، کاربران را احراز هویت می کند.

در واقع RADIUS Client شامل موارد زیر است:

• DIAL-UP SERVER

• VPN SERVER

• WIRELESS ACCESS POINT

• ۸۰۲٫۱X SWITCH

RADIUS Server فرایند پس زمینه ای است که بر روی سرور UNIX یا ویندوز اجرا می شود. به شما امکان می دهد پروفایل های کاربران را در یک پایگاه داده مرکزی حفظ کنید. از این رو، اگر یک سرور RADIUS دارید، می توانید کنترل کنید که چه کسی می تواند با شبکه شما ارتباط برقرار کند.

بیشتر بخوانید: مدل OSI چیست؟ تفاوت مدل OSI و TCP/IPو بررسی کامل

هنگامی که یک کاربر سعی در اتصال به RADIUS Client دارد، درخواست ها را به ارسال می کند. کاربر فقط در صورت تأیید اعتبار و تایید سرور از کاربر، به کاربر اجازه دسترسی به RADIUS Client را می دهد. کارکرد سرور RADIUS به ماهیت دقیق اکوسیستم RADIUS بستگی دارد. با این حال، همه سرورها دارای قابلیت AAA (Authentication, Authorization, and Accounting) هستند. یعنی از فرایند AAA برای احراز هویت و تایید اعتبار کاربران استفاده می کنند، در برخی از اکوسیستم های RADIUS، یک سرور RADIUS همچنین می تواند به عنوان یک پروکسی کلاینت برای سایر سرورهای RADIUS عمل کند.

سرورهای RADIUS به کسب و کارها، با توانایی حفظ حریم خصوصی و امنیت سیستم خود و کاربرانشان را ارائه می دهند، بنابراین به مدیریت امنیت و ایجاد سیاست های مدیریت سرور کمک می کنند.

بیشتر بخوانید: سرور چیست

تاریخچه سرور RADIUS:

RADIUS سال ۱۹۹۰ توسط شرکت LIVINGSTON به عنوان پروتکلی برای مدیریت دسترسی و احراز هویت به سرور ایجاد شد. به دلیل پشتیبانی گسترده و دامنه وسیع، این پروتکل غالبا توسط ISP ها و شرکت هایی در مقیاس بزرگ، به منظور مدیریت دسترسی به اینترنت، شبکه داخلی، شبکه وایرلس و غیره استفاده میشه. این شبکه ها میتونه شامل ACCESS POINT ها، مودم های DSL، پورت های شبکه، وب سرور ها و یا (VPN (VIRTUAL PRIVATE NETWORK باشه..

AAA چیست؟

روند AAA احراز هویت و مجوز دادن به کاربران را برای شرکت ها آسان تر کرده است. قبل از AAA، پروتکل های دیگر از دستگاه های جداگانه برای احراز هویت استفاده می کردند. این برای مقیاس پذیری مشکل ساز است زیرا کسی مجبور است تمام روش های احراز هویت را پیگیری کند. با فرآیند متمرکز AAA، کاربران می توانند برای تأیید اعتبار به یک سرور واحد دسترسی پیدا کنند.

AAA از سه بخش Authentication, Authorization, Accounting تشکل شده است که در ادامه نگاهی دقیق تر به هر بخش می اندازیم:

ـ Authentication: این شامل روند تأیید هویت کاربر است. معمولاً یک کاربر پسورد ارائه می دهد، که به عنوان نوعی احراز هویت استفاده می شود. امنیت رمزهای عبور نسبت به احراز هویت چند عاملی یا گواهینامه های دیجیتال کمتر است. بنابراین، شرکت ها به احتمال زیاد علاوه بر گذرواژه از این موارد نیز استفاده می کنند. بعلاوه، این فرایند امکان ایجاد اعتماد بین دو شی را فراهم می کند. به عنوان مثال، کامپیوتر کاربر و سرور هر دو به عنوان کاربران معتبر در فرآیند احراز هویت دیده می شوند.

ـ Authorization: این مجموعه ای از الگوها و مجموعه قوانینی است که کاربر می تواند در شبکه انجام دهد. به عنوان مثال، یک عضو تیم فروش فقط می تواند به داده هایی دسترسی پیدا کند که مربوط به بخش یا نقش شغلی آنها باشد.

ـ Accounting: این یک فرآیند مانیتورینگ، مستند سازی و اندازه گیری آنچه کاربر در شبکه انجام می دهد است. به عنوان مثال، Accounting ثبت می کند کدام بانک های اطلاعاتی، فایل ها و برنامه ها در طول یک نشست (ارتباط) به کاربران دسترسی دارند. مدیران و کارمندان می توانند از این سوابق برای ارزیابی ظرفیت شبکه استفاده کنند. همچنین، تیم های فناوری اطلاعات می توانند هر گونه درخواست تکرار دسترسی مکرر برای کشف مجرمان سایبری بالقوه را بررسی کنند.

بیشتر بخوانید: بررسی مفهوم AAA در امنیت شبکه به همراه پیکربندی

فرایند احراز هویت RADIUS Server:

یک سرور RADIUS از روش های مختلفی برای تأیید اعتبار کاربر پشتیبانی می کند. احراز هویت و مجوز سرور RADIUS دست به دست هم می دهد و معمولاً زمانی شروع می شود که کاربر سعی کند با استفاده از نام کاربری و پسورد به RADIUS Client متصل شود. تأیید اعتبار و مجوز RADIUS شامل مراحل زیر است:

ـ زمانیکه کابر نام کاربری و رمز ورود را وارد می کند، RADIUS Client پیغام Access-Request را به سرور می فرستد. رمزهای عبور همیشه در قالب پیام رمزگذاری شده به همراه یک کلید مشترک هستند.

ـ در مرحله بعدی، سرور کلید مشترک را خوانده و تأیید می کند که پیام Access-Request از یک Client مجاز است. اگر سرویس گیرنده (کلاینت) غیر مجاز باشد، سرور درخواست را رد می کند. اما، اگر کلاینت مجاز باشد، سرور روش تأیید اعتبار را می خواند و نام کاربری و رمز عبور کاربر را با پایگاه داده کاربر مطابقت می دهد.

ـ سپس سرور اطلاعات کاربران بیشتری را از پایگاه داده تهیه می کند و بررسی می کند که آیا خط مشی دسترسی یا نمایه ای مطابق با کاربر وجود دارد. در صورت عدم تطابق سرور پیام Access-Reject را ارسال می کند و معامله به پایان می رسد و کاربر از دسترسی به سیستم محروم می شود.

ـ در صورت مطابقت، سرور پیام Access-Accept را به کلاینت می فرستد. این پیام حاوی ویژگی Filter ID و یک کلید مشترک است. کلید مشترک لازم است قبل از اینکه کلاینت Filter ID را بخواند مطابقت داشته باشد در غیر این صورت RADIUS Client پیام را رد می کند.

ـ کلاینت از ویژگی Filter ID (رشته ای از متن) برای اتصال کاربر به یک گروه از کاربران RADIUS با همان ویژگی Filter ID استفاده می کند. گروهها به دسته بندی کاربران در گروههای کاربردی (مانند فروش، شبکه، سیستم، منابع انسانی، فناوری اطلاعات و غیره) کمک می کنند (مثلاً بخشهای مختلف می توانند گروههای مختلفی باشند). پس از اتصال به یک گروه و مجاز شدن، کاربر به RADIUS Client دسترسی پیدا می کند.

بیشتر بخوانید: Network Forensic چیست؟

Accounting برای سرور RADIUS چگونه کار می کند؟

این فرآیند با دسترسی کاربر به سرور RADIUS آغاز می شود:

ـ Client RADIUS یک بسته درخواست RADIUS Accounting معروف به Accounting Start را به سرور RADIUS ارسال می کند. بسته درخواست شامل شناسه کاربر (USER ID)، آدرس شبکه، شناسه جلسه (ارتباط) و نقطه دسترسی است.

ـ در طول یک نشست (ارتباط)، کلاینت می تواند بسته های اضافی Accounting-Request معروف به Interim Update را به سرور RADIUS ارسال کند. این بسته ها شامل جزئیاتی مانند مدت زمان ارتباط فعلی و استفاده از داده ها هستند. این بسته با هدف به روزرسانی اطلاعات نشست کاربر به سرور RADIUS ارائه می شود.

ـ پس از پایان دسترسی کاربر به سرور RADIUS، RADIUS Client بسته Accounting-Request دیگری را که تحت عنوان Accounting Stop شناخته می شود، به سرور RADIUS ارسال می کند. بسته شامل اطلاعاتی مانند کل زمان، داده ها و بسته های منتقل شده و دلیل قطع اتصال و سایر اطلاعات مربوط به جلسه کاربر است.

در نتیجه این که یک سرور RADIUS مانع از افشای اطلاعات خصوصی سازمان شما به بیرون می شود. احراز هویت سرور RADIUS روند AAA را دنبال می کند، که اجازه می دهد تا احراز هویت ایمن از طریق یک منبع واحد انجام شود. علاوه بر این، با Accounting، مشاغل می توانند از داده های قابل دسترسی توسط کاربر استفاده کنند. آنها می توانند تهدیدهای مربوط به شبکه های خود را شناسایی کنند.