سرور RADIUS چیست؟

سرور RADIUS می‌تواند قطعه گمشده پازل برای احراز هویت شبکه سازمان شما باشد. سرورهای RADIUS توانایی محافظت از حریم خصوصی و امنیت سیستم‌ها و کاربران خود را در اختیار شرکت‌ها قرار می‌دهند و از این طریق مدیریت امنیت و ایجاد سیاست‌های مدیریت سرور را تسهیل می‌کنند.

در این مقاله همه چیزهایی که باید در مورد سرورهای RADIUS بدانید، آورده شده است.

سرور RADIUS چیست؟

RADIUS مخفف عبارت Remote Authentication Dial-In User Service است. گاهی اوقات، سرور RADIUS به عنوان سرور AAA نیز نامیده می‌شود که مخفف عبارت Authentication، Authorization و Accounting است. سرور RADIUS یک سرور احراز هویت است که مانند یک محافظ مجازی عمل می‌کند. این نوع سرور دسترسی به شبکه به دلیل عملکرد سه گانه Authentication، Authorization و Accounting به طور فزاینده‌ای در صنایع و سازمان‌های بین المللی استفاده می‌شود. به طور خلاصه، سرور radius یک سرور دسترسی به شبکه است. به کاربران و دستگاه‌ها دسترسی به شبکه‌های سیمی یا بی‌سیم و VPN‌ها را اعطا یا رد می‌کند.  

در واقع  هنگامی که شخصی سعی می‌کند به شبکه دسترسی پیدا کند، سرور ابتدا اعتبار یا گواهی‌های کاربر را از طریق فرآیند احراز هویت RADIUS بررسی می‌کند تا تأیید کند که آیا کاربر مجاز به دسترسی می‌باشد یا خیر؟

تاریخچه مختصر پروتکل RADIUS

مفهوم RADIUS در اوایل دهه 90، در روزهای اولیه اینترنت متولد شد. Merit Network یک سازمان غیرانتفاعی که خدمات شبکه‌ای با کیفیت را به نهادهای مختلف ارائه می‌دهد، راه‌حلی را درخواست کرد که احراز هویت، مجوز و سیستم‌های حسابداری آنها را فشرده کند.

در پاسخ، شرکت دیگری به نام Livingston Enterprises اولین نسخه از پروتکل RADIUS یا Remote Authentication Dial-In User Service را تهیه کرد. در ابتدا، پروتکل RADIUS فقط از احراز هویت مبتنی بر اعتبار پشتیبانی می‌کرد، اما در طول زمان برای پشتیبانی از روش‌های احراز هویت مانند گواهی‌های دیجیتال تغییر کرده است.

اجزای احراز هویت RADIUS

احراز هویت سرور RADIUS یک پروتکل امنیتی شبکه است که برای احراز هویت و مجوز دادن به کاربرانی که سعی در دسترسی به شبکه و منابعی مانند روترها، وای فای، فایروال‌ها و VPN‌ها دارند، استفاده می‌شود. این بخش جزء حیاتی سیستم امنیت شبکه است زیرا تضمین می‌کند که کاربران معتبر و تایید شده وارد منابع شبکه شده و به آنها دسترسی دارند.

احراز هویت RADIUS برای کار کردن به چندین مولفه نیاز دارد:

• سرور RADIUS
• دایرکتوری از اطلاعات کاربر/دستگاه برای ارجاعات RADIUS (همچنین Identity Provider یا IDP نامیده می شود) 
• RADIUS Client (سرور دسترسی به شبکه که درخواست‌های دسترسی را به RADIUS ارسال می کند)

سرورهای RADIUS در کنترل دسترسی به شبکه بسیار کارآمد هستند زیرا وظایف زیادی را همزمان انجام نمی‌دهند. آنها بر احراز هویت، مجوز و Accounting به جای ذخیره سازی اطلاعات کاربر از قبل تمرکز می‌کنند. به همین دلیل است که پس از دریافت درخواست دسترسی به دایرکتوری برای ارجاع نیاز دارد. معمولا از یک Identity Provider مانند Active Directory، Azure AD/Entra ID، Google یا Okta برای تایید اطلاعات پشت هر درخواست دسترسی استفاده می‌شود.

تفاوت بین کلاینت RADIUS و سرور RADIUS چیست؟

کلاینت RADIUS دستگاهی است که پیام‌های درخواست دسترسی را به سرور RADIUS ارسال می‌کند. توجه به این نکته مهم است که کلاینت RADIUS دستگاه منحصر به فرد کاربر نهایی نیست. اصطلاح کلاینت RADIUS به طور خاص به سرور دسترسی به شبکه اشاره دارد که می‌تواند به معنای نقاط دسترسی بی سیم، VPNها یا یک سوئیچ 802.1X باشد.

یک راه برای درک یک کلاینت RADIUS و سرور RADIUS این است که نحوه ارسال نامه را به تصویر بکشید. شما به عنوان نویسنده نامه، کاربر هستید. کامیون پست کلاینت RADIUS است که نامه شما را به اداره پست تحویل می‌دهد. اداره پست، سرور RADIUS است و تأیید می‌کند که نامه در قالب صحیح و درستی می‌باشد(تأیید شده است).

AAA چیست؟

احراز هویت، مجوز، و حسابداری در سرورهای RADIUS

همانطور که قبلا گفته شده سرور RADIUS به عنوان سرور AAA نیز نامیده می‌شود که مخفف عبارت Authentication، Authorization و Accounting است. این ویژگی‌ها متفاوت هستند و اهداف امنیتی خاص خود را دارند.

احراز هویت(Authentication)

فرآیند احراز هویت شامل عوامل امنیتی مانند اعتبار ورود، نام کاربری، رمز عبور و اطلاعات بیومتریک است. سرورهای احراز هویت RADIUS همه این داده‌ها را در اکتیو دایرکتوری ذخیره می‌کنند و از آن برای تایید هویت کاربر مورد نظر استفاده می‌کنند.

سرور RADIUS می‌تواند اعتبار یا گواهی‌های کاربر را دریافت کند و پیام دسترسی-درخواست را پردازش کند. به این فرآیند احراز هویت می‌گویند. در طول فرآیند احراز هویت، سرور RADIUS به پیام Access-Request با یک پیام Access-Accept یا یک پیام Access-Reject پاسخ می‌دهد. 

مجوز (Authorization)

مجوز با احراز هویت کمی متفاوت است. احراز هویت به سادگی تعیین می‌کند که آیا شخصی باید اجازه دسترسی به شبکه راه دور را داشته باشد یا خیر؟ از طرفی مجوز در واقع سطح مجوزی که هر کاربر دارد را دقیقا تعیین می‌کند:

1.  چقدر دسترسی دارد. 
2. به کدام منابع خاص در شبکه می‌تواند دسترسی داشته باشد.

به عنوان مثال، شخصی که در یک بخش منابع انسانی برای یک سازمان کار می‌کند ممکن است به منابع متفاوتی از فردی که در بخش مالی کار می‌کند دسترسی داشته باشد. این بدان معنی است که آنها دارای سطوح مختلف مجوز هستند.

حسابداری (Accounting)

هنگامی که سرور RADIUS یک دستگاه یا کاربر را احراز هویت می کند، کار تمام نمی‌شود. اینجاست که حسابداری وارد عمل می شود.

سرورهای RADIUS فعالیت‌های هر کاربر مانند زمان‌های ورود و خروج، منابع استفاده شده، عملیات انجام شده و غیره را ثبت می‌کنند. این سوابق را می‌توان برای اهداف مختلفی استفاده کرد، اما معمولا برای نظارت بر دسترسی و ممیزی استفاده می‌شود.

انواع سرورهای RADIUS

امنیت بی سیم RADIUS دارای دو حالت است: حالت احراز هویت همزمان و حالت احراز هویت ناهمزمان.

حالت احراز هویت همزمان: کاربر با استفاده از رمز عبور، کارت رمز یا سایر روش‌های احراز هویت وارد سیستم می‌شود. ماشین سرویس گیرنده به سرور RADIUS اطلاع می‌دهد که داده‌ها را به یک سرور احراز هویت ارسال می‌کند تا اعتبارنامه ها را تأیید کند. سپس سرور RADIUS ورود را می‌پذیرد یا رد می‌کند.

حالت احراز هویت ناهمزمان: این حالت به عنوان حالت چالش-پاسخ (challenge-response) نیز شناخته می‌شود. با این حال، پس از تایید اعتبار RADIUS، سرور احراز هویت یک چالش (به عنوان مثال، وارد کردن یک کد تصادفی) را برای کاربر ارسال می‌کند. کاربر پاسخ می‌دهد و RADIUS آن داده‌ها را برای احراز هویت ارسال می‌کند و سپس با استفاده از اطلاعات پذیرش یا رد از آن سرور، RADIUS به درخواست کاربر پاسخ می‌دهد.

مزایا و معایب سرورهای RADIUS

امنیت سایبری زمینه‌ای است که به سرعت در حال تغییر است و اگر می‌خواهید در حوزه  فناوری اطلاعات فعالیت کنید، باید با آخرین پیشرفت‌های فناوری همراه باشید و پروتکل‌های احراز هویت را بیاموزید. مهاجمان همیشه فعالانه به دنبال راه‌های جدیدی برای دسترسی به شبکه شما و سوء استفاده از هر گونه آسیب پذیری هستند. هنگامی که تصمیم می گیرید از کدام نوع احراز هویت استفاده کنید، مزایای سرور RADIUS را در مقابل خطرات احتمالی بسنجید.

در ادامه مزایا و معایب سرورهای RADIUS آورده شده است:

مزایای سرور RADIUS

درک مزایای RADIUS می‌تواند به شما کمک کند تصمیم بگیرید که آیا این سرور برای شما مناسب است یا خیر؟

سرور RADIUS مزایای زیادی دارد که برخی از آنها عبارتند از:

• از احراز هویت در چندین پایگاه داده با استفاده از چندین روش پشتیبانی می‌کند.
• کنترل دسترسی مبتنی بر نقش را فراهم می‌کند.
• از معماری شبکه Zero Trust (ZTNA) برای به حداقل رساندن ریسک، پشتیبانی می‌کند
• دارای مکانیزم امنیتی متمرکز برای ساده سازی مدیریت رمز عبور کاربر و احراز هویت می‌باشد.
• به کاربران یا دستگاه‌های جداگانه اجازه می‌دهد تا دسترسی را مسدود کنند.

معایب سرور RADIUS

RADIUS همچنین دارای معایبی است که عبارتند از:

• نصب و مدیریت سخت افزار لازم در محل م‌ تواند پیچیده باشد.
• اگر RADIUS را به درستی پیاده‌سازی نکنید، آسیب‌پذیری‌های امنیتی جدیدی ظاهر می‌شوند.
• گزینه‌های پیکربندی و مسائل سازگاری زیادی وجود دارد که باید در نظر بگیرید.

سخن پایانی

همانطور که گفته شد سرورهای RADIUS از افشای اطلاعات خصوصی سازمان شما به کاربران غیرمجاز جلوگیری می‌کنند. از طرفی عملکرد سرور RADIUS به ماهیت دقیق اکوسیستم RADIUS بستگی دارد. با این حال، همه سرورها دارای قابلیت‌های AAA (Authentication, Authorization, Accounting) هستند.

کاربردها و مزایای سرورهای RADIUS گسترده است. بنابراین، اگر می‌خواهید اکوسیستم RADIUS را در سیستم‌های فعلی خود ادغام کنید، می‌توانید از طریق شماره 43629-021 با کارشناسان مجموعه دالمن افزار پارسه ارتباط برقرار کنید و مشاوره رایگان دریافت کنید.

مترجم: محبوبه فغانی نرم