RADIUS Server چیست و چگونه کار می کند؟
RADIUS Server چیست؟
فهرست محتوا
در ابتدا می خواهیم بدانیم که RADIUS چیست؟ پروتکل RADIUS مخفف Remote Authentication Dial-In User Service یک پروتکل شبکه کلاینت-سرور است که در لایه Application اجرا می شود. پروتکل RADIUS از یک Server RADIUS و RADIUS Clients استفاده می کند. Client RADIUS (یا سرور دسترسی به شبکه) یک دستگاه شبکه است (مانند VPN، روتر، سوئیچ) که برای تأیید اعتبار (احراز هویت) کاربران استفاده می شود. Client با تماس با سرور، کاربران را احراز هویت می کند.
در واقع RADIUS Client شامل موارد زیر است:
- DIAL-UP SERVER
- VPN SERVER
- WIRELESS ACCESS POINT
- ۸۰۲٫۱X SWITCH
RADIUS Server فرایند پس زمینه ای است که بر روی سرور UNIX یا ویندوز اجرا می شود. به شما امکان می دهد پروفایل های کاربران را در یک پایگاه داده مرکزی حفظ کنید. از این رو، اگر یک سرور RADIUS دارید، می توانید کنترل کنید که چه کسی می تواند با شبکه شما ارتباط برقرار کند.
بیشتر بخوانید: مدل OSI چیست؟ تفاوت مدل OSI و TCP/IPو بررسی کامل
هنگامی که یک کاربر سعی در اتصال به RADIUS Client دارد، درخواست ها را به ارسال می کند. کاربر فقط در صورت تأیید اعتبار و تایید سرور از کاربر، به کاربر اجازه دسترسی به RADIUS Client را می دهد. کارکرد سرور RADIUS به ماهیت دقیق اکو سیستم RADIUS بستگی دارد. با این حال، همه سرورها دارای قابلیت AAA (Authentication, Authorization, and Accounting) هستند.
یعنی از فرآیند AAA برای احراز هویت و تایید اعتبار کاربران استفاده می کنند، در برخی از اکوسیستم های RADIUS، یک سرور RADIUS همچنین می تواند به عنوان یک پروکسی کلاینت برای سایر سرورهای RADIUS عمل کند.
سرورهای RADIUS به کسب و کارها، با توانایی حفظ حریم خصوصی و امنیت سیستم خود و کاربرانشان را ارائه می دهند، بنابراین به مدیریت امنیت و ایجاد سیاست های مدیریت سرور کمک می کنند.
بیشتر بخوانید: سرور چیست
نرم افزارهای کم هزینه سرور RADIUS برای سازمان ها و شبکه های کوچک:
معمولا بیشتر سازمان ها و مشاغل به دنبال نرم افزارهایی با هزینه مناسب هستند که برایشان مقرون به صرفه باشد. اینکه نرم افزار مناسبی را انتخاب کنید می تواند تاثیر زیادی در بهبود امنیت داشته باشد از این رو قصد داریم تا نرم افزارهای کم هزینه را به شما معرفی کنیم؛
FreeRADIUS: این نرم افزار می تواند یک گزینه مناسب برای پیاده سازی سرور RADIUS است که با قابلیت های فراوان امکان ارائه امنیت و انعطاف پذیری بالایی را فراهم می سازد از این رو محبوبیت زیادی برای شبکه ای کوچک و متوسط دارد. این نرم افزار از رایج ترین نرم افزارهای شناخته شده در جهان است که بخاطر پشتیبانی از قابلیت های فراوان، محبوبیت زیادی دارد.
TekRADIUS: این نرم افزار بسیار ساده و کاربرپسند است و مناسب شبکه های کوچک می باشد. این نرم افزار از پروتکل های زیادی پشتیبانی می کند و گزینه ای مناسب برای محیط های ویندوزی است. نصب و راه اندازی این نرم افزار بسیار ساده است و شما امکان مدیریت دسترسی و احراز هویت کاربران را دارید.
RouterOS: نرم افزار سیستم عامل میکروتیک از RADIUS پشتیبانی می کند و گزینه ای مناسب و ایده آل برای شبکه های کوچک و خانگی می باشد و برای مدیریت شبکه های مختلف به وجود آمده است.
تاریخچه سرور RADIUS:
RADIUS سال ۱۹۹۰ توسط شرکت LIVINGSTON به عنوان پروتکلی برای مدیریت دسترسی و احراز هویت به سرور ایجاد شد. به دلیل پشتیبانی گسترده و دامنه وسیع، این پروتکل غالبا توسط ISP ها و شرکت هایی در مقیاس بزرگ، به منظور مدیریت دسترسی به اینترنت، شبکه داخلی، شبکه وایرلس و غیره استفاده میشه. این شبکه ها میتونه شامل ACCESS POINT ها، مودم های DSL، پورت های شبکه، وب سرور ها و یا (VPN (VIRTUAL PRIVATE NETWORK باشه.
AAA چیست؟
روند AAA احراز هویت و مجوز دادن به کاربران را برای شرکت ها آسان تر کرده است. قبل از AAA، پروتکل های دیگر از دستگاه های جداگانه برای احراز هویت استفاده می کردند. این برای مقیاس پذیری مشکل ساز است زیرا کسی مجبور است تمام روش های احراز هویت را پیگیری کند. با فرآیند متمرکز AAA، کاربران می توانند برای تأیید اعتبار به یک سرور واحد دسترسی پیدا کنند.
AAA از سه بخش Authentication, Authorization, Accounting تشکل شده است که در ادامه نگاهی دقیق تر به هر بخش می اندازیم:
ـAuthentication: این شامل روند تأیید هویت کاربر است. معمولاً یک کاربر پسورد ارائه می دهد، که به عنوان نوعی احراز هویت استفاده می شود. امنیت رمزهای عبور نسبت به احراز هویت چند عاملی یا گواهینامه های دیجیتال کمتر است. بنابراین، شرکت ها به احتمال زیاد علاوه بر گذرواژه از این موارد نیز استفاده می کنند. بعلاوه، این فرآیند امکان ایجاد اعتماد بین دو شی را فراهم می کند. به عنوان مثال، کامپیوتر کاربر و سرور هر دو به عنوان کاربران معتبر در فرآیند احراز هویت دیده می شوند.
ـAuthorization: این مجموعه ای از الگوها و مجموعه قوانینی است که کاربر می تواند در شبکه انجام دهد. به عنوان مثال، یک عضو تیم فروش فقط می تواند به داده هایی دسترسی پیدا کند که مربوط به بخش یا نقش شغلی آنها باشد.
ـAccounting: این یک فرآیند مانیتورینگ، مستند سازی و اندازه گیری آنچه کاربر در شبکه انجام می دهد است. به عنوان مثال، Accounting ثبت می کند کدام بانک های اطلاعاتی، فایل ها و برنامه ها در طول یک نشست (ارتباط) به کاربران دسترسی دارند. مدیران و کارمندان می توانند از این سوابق برای ارزیابی ظرفیت شبکه استفاده کنند. همچنین، تیم های فناوری اطلاعات می توانند هر گونه درخواست تکرار دسترسی مکرر برای کشف مجرمان سایبری بالقوه را بررسی کنند.
بیشتر بخوانید: بررسی مفهوم AAA در امنیت شبکه به همراه پیکربندی
فرایند احراز هویت RADIUS Server:
یک سرور RADIUS از روش های مختلفی برای تأیید اعتبار کاربر پشتیبانی می کند. احراز هویت و مجوز سرور RADIUS دست به دست هم می دهد و معمولاً زمانی شروع می شود که کاربر سعی کند با استفاده از نام کاربری و پسورد به RADIUS Client متصل شود. تأیید اعتبار و مجوز RADIUS شامل مراحل زیر است:
ـ زمانیکه کابر نام کاربری و رمز ورود را وارد می کند، RADIUS Client پیغام Access-Request را به سرور می فرستد. رمزهای عبور همیشه در قالب پیام رمزگذاری شده به همراه یک کلید مشترک هستند.
ـ در مرحله بعدی، سرور کلید مشترک را خوانده و تأیید می کند که پیام Access-Request از یک Client مجاز است. اگر سرویس گیرنده (کلاینت) غیر مجاز باشد، سرور درخواست را رد می کند. اما، اگر کلاینت مجاز باشد، سرور روش تأیید اعتبار را می خواند و نام کاربری و رمز عبور کاربر را با پایگاه داده کاربر مطابقت می دهد.
ـ سپس سرور اطلاعات کاربران بیشتری را از پایگاه داده تهیه می کند و بررسی می کند که آیا خط مشی دسترسی یا نمایه ای مطابق با کاربر وجود دارد. در صورت عدم تطابق سرور پیام Access-Reject را ارسال می کند و معامله به پایان می رسد و کاربر از دسترسی به سیستم محروم می شود.
ـ در صورت مطابقت، سرور پیام Access-Accept را به کلاینت می فرستد. این پیام حاوی ویژگی Filter ID و یک کلید مشترک است. کلید مشترک لازم است قبل از اینکه کلاینت Filter ID را بخواند مطابقت داشته باشد در غیر این صورت RADIUS Client پیام را رد می کند.
ـ کلاینت از ویژگی Filter ID (رشته ای از متن) برای اتصال کاربر به یک گروه از کاربران RADIUS با همان ویژگی Filter ID استفاده می کند. گروهها به دسته بندی کاربران در گروههای کاربردی (مانند فروش، شبکه، سیستم، منابع انسانی، فناوری اطلاعات و غیره) کمک می کنند (مثلاً بخشهای مختلف می توانند گروه های مختلفی باشند). پس از اتصال به یک گروه و مجاز شدن، کاربر به RADIUS Client دسترسی پیدا می کند.
بیشتر بخوانید: Network Forensic چیست؟
Accounting برای سرور RADIUS چگونه کار می کند؟
این فرآیند با دسترسی کاربر به سرور RADIUS آغاز می شود:
ـ Client RADIUS یک بسته درخواست RADIUS Accounting معروف به Accounting Start را به سرور RADIUS ارسال می کند. بسته درخواست شامل شناسه کاربر (USER ID)، آدرس شبکه، شناسه جلسه (ارتباط) و نقطه دسترسی است.
ـ در طول یک نشست (ارتباط)، کلاینت می تواند بسته های اضافی Accounting-Request معروف به Interim Update را به سرور RADIUS ارسال کند. این بسته ها شامل جزئیاتی مانند مدت زمان ارتباط فعلی و استفاده از داده ها هستند. این بسته با هدف به روزرسانی اطلاعات نشست کاربر به سرور RADIUS ارائه می شود.
ـ پس از پایان دسترسی کاربر به سرور RADIUS، RADIUS Client بسته Accounting-Request دیگری را که تحت عنوان Accounting Stop شناخته می شود، به سرور RADIUS ارسال می کند. بسته شامل اطلاعاتی مانند کل زمان، داده ها و بسته های منتقل شده و دلیل قطع اتصال و سایر اطلاعات مربوط به جلسه کاربر است.
در نتیجه این که یک سرور RADIUS مانع از افشای اطلاعات خصوصی سازمان شما به بیرون می شود. احراز هویت سرور RADIUS روند AAA را دنبال می کند، که اجازه می دهد تا احراز هویت ایمن از طریق یک منبع واحد انجام شود. علاوه بر این، با Accounting، مشاغل می توانند از داده های قابل دسترسی توسط کاربر استفاده کنند. آنها می توانند تهدیدهای مربوط به شبکه های خود را شناسایی کنند.
شما می توانید کلیه تجهیزات مورد نیاز خود را از فروشگاه اینترنتی مسترشبکه با بهترین قیمت و کیفیت همراه با گارانتی معتبر خریداری نمایید. |