Les serveurs RADIUS sont largement utilisés par de nombreuses institutions qui fournissent WiFi connectivité avec l'authentification WPA2 / WPA3-Enterprise, c'est-à-dire une authentification où nous aurons un nom d'utilisateur / mot de passe ou un certificat numérique pour s'authentifier dans le réseau sans fil. Il est également largement utilisé par les opérateurs pour l'accès à Internet, par VPN services pour authentifier facilement et rapidement différents clients VPN avec nom d'utilisateur / mot de passe, et même pour l'authentification via Ethernet en utilisant la norme 802.1X. Vous souhaitez savoir en détail ce qu'est un serveur RADIUS et à quoi il sert ?
Qu'est-ce qu'un serveur RADIUS et à quoi sert-il ?
RAYON ( Service d'accès à distance à l'utilisateur d'accès à distance ) est un protocole qui se distingue par son mécanisme de sécurité, sa flexibilité, son évolutivité et sa gestion simplifiée des identifiants d'accès à une ressource réseau. C'est un Authentification et autorisation protocolePour accéder au réseau, ce protocole utilise un schéma client-serveur, c'est-à-dire qu'un utilisateur avec des identifiants pour accéder à la ressource se connecte à un serveur qui sera chargé de vérifier l'authenticité de l'information, et sera le responsable de déterminer si l'utilisateur accède ou non à la ressource partagée. Grâce à l'utilisation de serveurs RADIUS, l'administrateur réseau peut contrôler à tout moment le début et la fin de la période d'authentification et d'autorisation des clients, par exemple, nous pouvons facilement expulser un utilisateur qui s'est déjà connecté pour une raison quelconque.
Les serveurs RADIUS sont largement utilisés par les opérateurs Internet (PPPoE), mais ils sont également largement utilisés dans les réseaux WiFi des hôtels, des universités ou partout où nous voulons fournir une sécurité supplémentaire au réseau sans fil, il peut également être utilisé pour s'authentifier auprès des clients qui font l'utilisation du protocole 802.1X pour Ethernet, et il pourrait même être utilisé pour authentifier les clients VPN que nous voulons, de cette façon, nous aurons toute l'authentification centralisée en un seul point d'une manière simple et facile, sans avoir à avoir plusieurs bases de données avec des données différentes.
Les serveurs RADIUS utilisent le protocole dans le UDP couche de transport sur le port 1812 pour établir les connexionsentre les équipes pour s'authentifier. Lorsque nous configurons un serveur RADIUS, nous pouvons définir si nous voulons qu'il utilise TCP ou UDP, et nous pouvons également définir le port à utiliser, bien que par défaut il s'agisse toujours de UDP 1812. En ce qui concerne les périphériques à utiliser, il existe un grand variété, de nombreux routeurs sont en mesure d'offrir ce service pour authentifier les clients WiFi auprès d'un serveur RADIUS local ou distant. De plus, des serveurs, des OLT et même des serveurs NAS peuvent être utilisés, les possibilités sont vraiment larges, ce qui permet que le montage d'un serveur RADIUS ne soit pas quelque chose de rédhibitoire pour un utilisateur, ni de compliqué, car les fabricants de serveurs NAS intègrent déjà un serveur RADIUS en interne facilement configurable. Les serveurs RADIUS utilisent généralement des protocoles d'authentification tels que PAP, CHAP ou EAP,
Rôles d'un serveur RADIUS et des applications
Tout d'abord, un serveur RADIUS propose un mécanisme d'authentification utilisateur pour accéder à un système, soit à un réseau filaire utilisant le protocole 802.1X, soit à un réseau WIFi si on a l'authentification WPA2 / WPA3-Entreprise, et même à un serveur OpenVPN si on le configurer correctement pour obtenir la base de données des clients qui peuvent se connecter via ce serveur RADIUS.
Après le processus « Authentification », nous avons le processus « Autorisation », qui n'est pas le même. Une chose est que nous pouvons nous authentifier dans un système, et une autre est que nous avons l'autorisation d'effectuer certaines actions. Après l'authentification et l'autorisation, nous avons la «Comptabilité», celle-ci sert à effectuer une analyse du temps de session et à enregistrer des statistiques qui peuvent ensuite être utilisées pour faire des collectes, ou simplement faire des rapports informatifs.
Nous avons indiqué que les opérateurs l'utilisent pour que les routeurs domestiques des utilisateurs s'authentifient, et accèdent ainsi à la ressource réseau qui leur permet cette fois d'accéder à Internet. Mais l'une des utilisations par excellence de ce serveur et de ce protocole est de garantir un accès restreint aux réseaux sans fil, hôtels, restaurants, écoles, bibliothèques, etc. jusqu'à ce qu'une longue liste d'applications soit complétée. Dans ces cas, les responsables de la gestion du réseau génèrent des identifiants temporaires qui permettent un accès limité en terme de temporalité, une fois la date fixée passée, les identifiants ne seront plus valides et le serveur RADIUS ne validera pas l'utilisation du net. La gestion est très variée, vous pouvez utiliser des répertoires actifs ou des bases de données appartenant à des applications transversales.
Qu'est-ce que FreeRADIUS et pourquoi est-il lié aux serveurs RADIUS ?
FreeRADIUS est toujours lié à un serveur RADIUS car c'est le logiciel par excellence pour l'installation d'un serveur RADIUS. Si nous devons installer un serveur RADIUS sur n'importe quel ordinateur (serveurs, routeurs, NAS etc), nous ferons toujours appel au logiciel FreeRADIUS car il est multiplateforme, et tous les systèmes d'exploitation sont compatibles avec ce logiciel. Ce logiciel prend en charge tous les protocoles d'authentification courants tels que PAP, CHAP, EAP, EAP-TTLS, EAP-TLS et autres. Ce logiciel est entièrement modulaire, gratuit, et nous apportera d'excellentes performances pour l'authentification des clients.
Certains modules que nous pouvons incorporer dans FreeRADIUS sont de lui donner une compatibilité avec LDAP, MySQL, PostgreSQL et même Oracle et d'autres bases de données, de cette façon, nous pouvons avoir une base de données de milliers de clients sans aucun problème. Ce logiciel est configuré via des fichiers de configuration texte, cependant, il existe des interfaces utilisateur graphiques pour une configuration rapide et facile comme avec pfSense, de cette manière, cela facilitera grandement la configuration du serveur RADIUS à l'aide de FreeRADIUS.
Le logiciel FreeRADIUS peut être installé en option sur le système d'exploitation pfSense, le pare-feu et routeur populaires que nous pouvons installer sur presque n'importe quel matériel. Dans ce système d'exploitation, nous pouvons l'installer dans la section packages, une fois installé, nous pouvons entrer sa configuration dans le « Services / GratuitRADIUS " section. Dans ce menu, nous pouvons configurer ce serveur RADIUS de manière avancée, nous aurons différents onglets pour configurer les différentes sections, et dans le menu « Afficher la configuration », nous pouvons voir le fichier de configuration brut qui est généré à la suite des configurations qui nous avons fait dans le reste des onglets. Ici, nous pouvons également voir l'intégration avec SQL et même avec LDAP.
Les serveurs NAS du constructeur QNAP ont aussi un serveur RADIUS intégré, bien plus basique que celui de pfSense où on a toutes les options de configuration, mais ce serveur RADIUS basé sur FreeRADIUS va nous permettre de réaliser des usages typiques comme l'authentification client via WiFi ou par câble, il suffit d'activer le serveur RADIUS, d'enregistrer les clients RADIUS (commutateurs ou AP) ainsi que les utilisateurs RADIUS (clients finaux qui vont se connecter).
Comme vous l'avez vu, un serveur RADIUS va nous permettre d'effectuer un grand nombre d'authentifications et d'autorisations dans d'autres logiciels, comme chez l'opérateur si PPPoE est utilisé, dans les réseaux WiFi d'entreprise avec cryptage WPA2 / WPA3-Entreprise et même authentification via 802.1 X. FreeRADIUS est le logiciel par excellence pour la configuration et le démarrage d'un serveur RADIUS dans presque tous les systèmes d'exploitation, pour cette raison, nous parlons toujours d'un serveur RADIUS ou FreeRADIUS de manière interchangeable.