RADIUS-server: hoe werkt het om clients te authenticeren?

Radius-server

RADIUS-servers worden veel gebruikt door veel instellingen die: WiFi connectiviteit met WPA2 / WPA3-Enterprise-authenticatie, dat wil zeggen een authenticatie waarbij we een gebruikersnaam / wachtwoord of digitaal certificaat hebben om te authenticeren in het draadloze netwerk. Het wordt ook veel gebruikt door operators voor internettoegang, door VPN services om verschillende VPN-clients gemakkelijk en snel te authenticeren met gebruikersnaam / wachtwoord, en zelfs voor authenticatie via Ethernet met behulp van de 802.1X-standaard. Wilt u in detail weten wat een RADIUS-server is en waarvoor deze dient?

Wat is een RADIUS-server en waarvoor dient deze?

STRAAL ( Externe toegang Inbelservice voor gebruikers ) is een protocol dat opvalt door het bieden van een beveiligingsmechanisme, flexibiliteit, uitbreidbaarheid en vereenvoudigd beheer van toegangsreferenties tot een netwerkbron. Het is een authenticatie en authorisatie protocolVoor toegang tot het netwerk maakt dit protocol gebruik van een client-server-schema, dat wil zeggen dat een gebruiker met referenties om toegang te krijgen tot de bron verbinding maakt met een server die verantwoordelijk is voor het verifiëren van de authenticiteit van de informatie, en die verantwoordelijk is voor bepalen of de gebruiker al dan niet toegang heeft tot de gedeelde bron. Dankzij het gebruik van RADIUS-servers kan de netwerkbeheerder te allen tijde het begin en einde van de authenticatie- en autorisatieperiode van de clients controleren, we kunnen bijvoorbeeld eenvoudig een gebruiker verwijderen die om welke reden dan ook eerder heeft ingelogd.

RADIUS-servers worden veel gebruikt door internetoperators (PPPoE), maar ze worden ook veel gebruikt in de wifi-netwerken van hotels, universiteiten of overal waar we extra beveiliging willen bieden aan het draadloze netwerk. gebruik van het 802.1X-protocol voor Ethernet, en het kan zelfs worden gebruikt om de VPN-clients te authenticeren die we willen, op deze manier hebben we alle gecentraliseerde authenticatie op een enkel punt op een gemakkelijke en eenvoudige manier, zonder dat we meerdere databases met verschillende gegevens.

RADIUS-servers maken gebruik van het protocol in de UDP transport laag op poort 1812 om verbindingen tot stand te brengentussen teams om te verifiëren. Wanneer we een RADIUS-server configureren, kunnen we definiëren of we willen dat deze TCP of UDP gebruikt, en we kunnen ook de te gebruiken poort definiëren, hoewel dit standaard altijd UDP 1812 is. Wat betreft de te gebruiken apparaten, is er een groot veel routers kunnen deze service aanbieden om WiFi-clients te verifiëren bij een lokale of externe RADIUS-server. Bovendien kunnen servers, OLT's en zelfs NAS-servers worden gebruikt, de mogelijkheden zijn erg breed, waardoor het monteren van een RADIUS-server niet iets onbetaalbaars is voor een gebruiker, en ook niet ingewikkeld, omdat NAS-serverfabrikanten al een server intern RADIUS eenvoudig inbouwen configureerbaar. RADIUS-servers maken over het algemeen gebruik van authenticatieprotocollen zoals PAP, CHAP of EAP,

Rollen van een RADIUS-server en applicaties

Allereerst biedt een RADIUS-server een gebruikersauthenticatiemechanisme om toegang te krijgen tot een systeem, hetzij tot een bekabeld netwerk met behulp van het 802.1X-protocol, tot een wifi-netwerk als we WPA2 / WPA3-Enterprise-authenticatie hebben, en zelfs tot een server OpenVPN als we zorg ervoor dat het correct is geconfigureerd om de database met clients te verkrijgen die verbinding kunnen maken via deze RADIUS-server.

Na het "Authenticatie"-proces hebben we het "Autorisatie"-proces, dat niet hetzelfde is. Een ding is dat we kunnen authenticeren in een systeem, en iets heel anders is dat we de autorisatie hebben om bepaalde acties uit te voeren. Na de authenticatie en autorisatie hebben we de «Accounting», deze dient om een ​​analyse van de sessietijd uit te voeren en statistieken op te nemen die later kunnen worden gebruikt om collecties te maken, of gewoon om informatieve rapporten te maken.

We hebben aangegeven dat de operators het gebruiken zodat de thuisrouters van de gebruikers zichzelf authenticeren en zo toegang krijgen tot de netwerkbron die hen dit keer toegang geeft tot internet. Maar een van de toepassingen bij uitstek van deze server en dit protocol is het garanderen van beperkte toegang tot draadloze netwerken, hotels, restaurants, scholen, bibliotheken, enzovoort, totdat een lange lijst met toepassingen is voltooid. In deze gevallen genereren degenen die verantwoordelijk zijn voor het beheer van het netwerk tijdelijke referenties die beperkte toegang toestaan ​​in termen van tijdelijkheid. Zodra de ingestelde datum is verstreken, zijn de referenties niet geldig en zal de RADIUS-server het gebruik van het net niet valideren. Het beheer is zeer gevarieerd, u kunt gebruik maken van actieve mappen of databases die bij transversale applicaties horen.

Wat is FreeRADIUS en waarom is het gerelateerd aan RADIUS-servers?

FreeRADIUS is altijd gerelateerd aan een RADIUS-server omdat het de software bij uitstek is voor de installatie van een RADIUS-server. Als we een RADIUS-server op een computer (servers, routers, NAS enz.) moeten installeren, zullen we altijd onze toevlucht nemen tot FreeRADIUS-software omdat het multiplatform is en alle besturingssystemen compatibel zijn met deze software. Deze software ondersteunt alle gangbare authenticatieprotocollen zoals PAP, CHAP, EAP, EAP-TTLS, EAP-TLS en andere. Deze software is volledig modulair, gratis en biedt ons geweldige prestaties voor klantauthenticatie.

Sommige modules die we in FreeRADIUS kunnen opnemen, zijn om het compatibel te maken met LDAP, MySQL, PostgreSQL en zelfs Oracle en andere databases, op deze manier kunnen we zonder enig probleem een ​​database van duizenden klanten hebben. Deze software wordt geconfigureerd via tekstconfiguratiebestanden, maar er zijn grafische gebruikersinterfaces voor snelle en gemakkelijke configuratie zoals bij pfSense, op deze manier zal het de configuratie van de RADIUS-server met FreeRADIUS aanzienlijk vergemakkelijken.

De FreeRADIUS-software kan optioneel worden geïnstalleerd op het pfSense-besturingssysteem, de populaire firewall en router die we op vrijwel elke hardware kunnen installeren. In dat besturingssysteem kunnen we het installeren in de sectie pakketten, eenmaal geïnstalleerd, kunnen we de configuratie invoeren in de « Diensten / GratisRADIUS " sectie. In dit menu kunnen we deze RADIUS-server op een geavanceerde manier configureren, we zullen verschillende tabbladen hebben om de verschillende secties te configureren, en in het menu "View config" kunnen we het onbewerkte configuratiebestand zien dat wordt gegenereerd als resultaat van de configuraties die we hebben gemaakt in de rest van de tabbladen. Hier zien we ook de integratie met SQL en zelfs met LDAP.

De NAS-servers van de fabrikant QNAP hebben ook een geïntegreerde RADIUS-server, veel eenvoudiger dan die van pfSense waar we alle configuratie-opties hebben, maar deze RADIUS-server op basis van FreeRADIUS stelt ons in staat om typische toepassingen uit te voeren, zoals client-authenticatie via WiFi of via de kabel, alles wat we hoeven te doen is de RADIUS-server inschakelen, de RADIUS-clients (switches of AP's) en ook de RADIUS-gebruikers (eindclients die verbinding gaan maken) registreren.

Zoals je hebt gezien, zal een RADIUS-server ons in staat stellen een groot aantal authenticaties en autorisaties uit te voeren in andere software, zoals in de operator als PPPoE wordt gebruikt, in zakelijke wifi-netwerken met WPA2 / WPA3-Enterprise-codering en zelfs authenticatie via 802.1 X. FreeRADIUS is de software bij uitstek voor het configureren en opstarten van een RADIUS-server in bijna elk besturingssysteem, daarom hebben we het altijd door elkaar over een RADIUS- of FreeRADIUS-server.