Serverele RADIUS sunt utilizate pe scară largă de multe instituții care furnizează WiFi conectivitate cu autentificare WPA2 / WPA3-Enterprise, adică o autentificare în care vom avea un nume de utilizator / parolă sau certificat digital pentru autentificare în rețeaua wireless. De asemenea, este utilizat pe scară largă de către operatori pentru accesul la Internet, de către VPN servicii pentru autentificarea ușoară și rapidă a diferiților clienți VPN cu nume de utilizator / parolă și chiar pentru autentificare prin Ethernet utilizând standardul 802.1X. Doriți să știți în detaliu ce este un server RADIUS și la ce servește?
Ce este un server RADIUS și la ce servește?
RAZA ( Apelare la distanță în serviciul utilizator ) este un protocol care se remarcă prin oferirea unui mecanism de securitate, flexibilitate, extindere și gestionarea simplificată a acreditării de acces la o resursă de rețea. Este un autentificare și autorizare protocolPentru accesul la rețea, acest protocol utilizează o schemă client-server, adică un utilizator cu acreditări pentru a accesa resursa se conectează la un server care va fi responsabil de verificarea autenticității informațiilor și va fi responsabil cu stabilind dacă utilizatorul accesează sau nu resursa partajată. Datorită utilizării serverelor RADIUS, administratorul de rețea poate controla în orice moment începutul și sfârșitul perioadei de autentificare și autorizare a clienților, de exemplu, putem expulza cu ușurință un utilizator care s-a conectat anterior din orice motiv.
Serverele RADIUS sunt utilizate pe scară largă de către operatorii de internet (PPPoE), dar sunt, de asemenea, utilizate pe scară largă în rețelele WiFi ale hotelurilor, universităților sau oriunde dorim să oferim securitate suplimentară rețelei wireless, poate fi folosit și pentru autentificarea clienților care fac utilizarea protocolului 802.1X pentru Ethernet și ar putea fi folosit chiar pentru autentificarea clienților VPN pe care îi dorim, în acest fel, vom avea toată autentificarea centralizată într-un singur punct într-un mod ușor și simplu, fără a fi nevoie să avem mai multe baze de date cu date diferite.
Serverele RADIUS folosesc protocolul din UDP stratul de transport pe portul 1812 pentru a stabili conexiuniîntre echipe pentru autentificare. Când configurăm un server RADIUS, putem defini dacă vrem să utilizeze TCP sau UDP și putem defini și portul de utilizat, deși în mod implicit este întotdeauna UDP 1812. În ceea ce privește dispozitivele de utilizat, există o varietate, multe routere pot oferi acest serviciu pentru autentificarea clienților WiFi pe un server RADIUS local sau la distanță. În plus, pot fi folosite servere, OLT și chiar servere NAS, posibilitățile sunt cu adevărat largi, ceea ce permite ca montarea unui server RADIUS să nu fie ceva prohibitiv pentru un utilizator și nici nu este complicat, deoarece producătorii de servere NAS încorporează deja un server RADIUS intern configurabil. Serverele RADIUS utilizează în general protocoale de autentificare precum PAP, CHAP sau EAP,
Rolurile unui server și aplicații RADIUS
În primul rând, un server RADIUS oferă un mecanism de autentificare a utilizatorului pentru a accesa un sistem, fie la o rețea cu fir folosind protocolul 802.1X, fie la o rețea WIFi dacă avem autentificare WPA2 / WPA3-Enterprise și chiar la un server OpenVPN dacă să fie configurat corect pentru a obține baza de date a clienților care se pot conecta prin acest server RADIUS.
După procesul „Autentificare”, avem procesul „Autorizare”, care nu este același lucru. Un lucru este că ne putem autentifica într-un sistem și altul este că avem autorizația de a efectua anumite acțiuni. După autentificare și autorizare avem „Contabilitatea”, aceasta servește pentru a efectua o analiză a timpului sesiunii și a înregistra statistici care pot fi folosite ulterior pentru a face colecții sau pur și simplu pentru a face rapoarte informative.
Am indicat că operatorii îl folosesc astfel încât routerele de acasă ale utilizatorilor să se autentifice și astfel să acceseze resursa de rețea care de această dată le permite accesul la Internet. Dar una dintre utilizările prin excelență a acestui server și protocol este de a garanta accesul restricționat la rețelele fără fir, hoteluri, restaurante, școli, biblioteci și așa mai departe, până când se finalizează o listă lungă de aplicații. În aceste cazuri, cei responsabili de gestionarea rețelei generează acreditări temporare care permit accesul limitat din punct de vedere al temporalității, odată ce data stabilită a trecut, acreditările nu vor fi valabile și serverul RADIUS nu va valida utilizarea rețelei. Managementul este foarte variat, puteți utiliza directoare active sau baze de date care aparțin aplicațiilor transversale.
Ce este FreeRADIUS și de ce este legat de serverele RADIUS?
FreeRADIUS este întotdeauna legat de un server RADIUS deoarece este software-ul prin excelență pentru instalarea unui server RADIUS. Dacă trebuie să instalăm un server RADIUS pe orice computer (servere, routere, NAS etc.), vom recurge întotdeauna la software-ul FreeRADIUS, deoarece este multiplatform și toate sistemele de operare sunt compatibile cu acest software. Acest software acceptă toate protocoalele de autentificare comune, cum ar fi PAP, CHAP, EAP, EAP-TTLS, EAP-TLS și altele. Acest software este complet modular, gratuit și ne va oferi performanțe excelente pentru autentificarea clienților.
Unele module pe care le putem încorpora în FreeRADIUS este de a-i oferi compatibilitate cu LDAP, MySQL, PostgreSQL și chiar Oracle și alte baze de date, în acest fel, putem avea o bază de date de mii de clienți fără nicio problemă. Acest software este configurat prin fișiere de configurare text, cu toate acestea, există interfețe grafice pentru utilizator pentru o configurare rapidă și ușoară ca și în cazul pfSense, în acest fel, va facilita foarte mult configurarea serverului RADIUS folosind FreeRADIUS.
Software-ul FreeRADIUS poate fi instalat opțional pe sistemul de operare pfSense, popularul firewall și router pe care le putem instala pe aproape orice hardware. În acel sistem de operare îl putem instala în secțiunea pachete, odată instalat, putem introduce configurația acestuia în « Servicii / FreeRADIUS " secțiune. În acest meniu putem configura acest server RADIUS într-un mod avansat, vom avea diferite file pentru a configura diferitele secțiuni, iar în meniul „View config” putem vedea fișierul de configurare brut care este generat ca urmare a configurațiilor care am făcut în restul filelor. Aici putem vedea și integrarea cu SQL și chiar cu LDAP.
Serverele NAS ale producătorului QNAP au și un server RADIUS integrat, mult mai de bază decât cel al pfSense unde avem toate opțiunile de configurare, dar acest server RADIUS bazat pe FreeRADIUS ne va permite să realizăm utilizări tipice, cum ar fi autentificarea clientului prin WiFi sau prin cablu, tot ce trebuie să facem este să activăm serverul RADIUS, să înregistrăm clienții RADIUS (switch-uri sau AP-uri) și, de asemenea, utilizatorii RADIUS (clienții finali care urmează să se conecteze).
După cum ați văzut, un server RADIUS ne va permite să efectuăm un număr mare de autentificări și autorizații în alte software-uri, cum ar fi în operator dacă este utilizat PPPoE, în rețelele WiFi de afaceri cu criptare WPA2 / WPA3-Enterprise și chiar autentificare prin 802.1 X. FreeRADIUS este software-ul prin excelență pentru configurarea și pornirea unui server RADIUS în aproape orice sistem de operare, din acest motiv, vorbim întotdeauna despre un server RADIUS sau FreeRADIUS interschimbabil.
