RADIUS-Server: Bedeutung und Verwendung für die Authentifizierung

Unternehmen müssen den Zugriff auf ihre Netzwerke heute mehr denn je effektiv verwalten. Cyberangriffe nehmen in jeder Branche zu und es besteht zusätzlicher Druck auf Sicherheitsteams, Angriffe zu verhindern und zu beheben.

Die Authentifizierung und Autorisierung über das RADIUS-Serverprotokoll ist eine vertrauenswürdige Methode zur Verhinderung. Es ermöglicht ein zentralisiertes Autorisierungsprotokoll, bei dem alle Zugriffsanforderungen über einen einzigen Server laufen. RADIUS Accounting erfasst und überwacht alle Benutzeraktionen, um Transparenz im Netzwerk zu schaffen.

Was ist RADIUS Server?

RADIUS ist ein Netzwerkprotokoll. Es steht für Remote Authentication Dial-In User Service. Dieses Protokoll verwendet eine Client-Server-Kommunikationsmethode. Es handelt sich um einen Server und Clients.

Ein RADIUS-Client ist ein Netzwerkgerät wie ein Router, mit dem eine Verbindung zu einem Netzwerk hergestellt wird, oder ein VPN-Konzentrator, der VPN-Verbindungen herstellt. Der Client authentifiziert Benutzer, indem er den Server kontaktiert.

RADIUS Server ist ein Hintergrundprozess, der auf einer Serveranwendung ausgeführt wird. Es kann Benutzerprofile in einer Datenbank speichern und verwalten, was bedeutet, dass es den gesamten Zugriff auf ein Netzwerk steuert.

Wenn ein Benutzer versucht, eine Verbindung zu einem RADIUS-Client herzustellen, sendet er eine Anforderung an den Server. Erst nachdem der Server einen Benutzer authentifiziert und autorisiert hat, gewährt der Server einem Benutzer Zugriff auf den RADIUS-Client.

Server verwenden den AAA-Prozess (Authentication, Authorization, and Accounting), um Benutzer zu authentifizieren und zu autorisieren.

Zusätzlich verwenden RADIUS-Server eine Pull-Autorisierungssequenz. Hier stellt ein Benutzer eine Verbindung zu einem Client her, der den Server im Namen des Benutzers kontaktiert. Dies steht im Gegensatz zu einer Push-Sequenz, bei der ein Benutzer direkt eine Verbindung zu einem Server herstellt und ein Ticket zur Verwendung des Clients erhält.

Was ist AAA?

Der AAA-Prozess hat es Unternehmen erleichtert, Benutzer zu authentifizieren und zu autorisieren. Vor AAA verwendeten andere Protokolle einzelne Geräte zur Authentifizierung. Beispielsweise verwendet der Arbeitsplatz eines Mitarbeiters möglicherweise eine andere Authentifizierungsmethode als das Smartphone des Managers.

Dies ist für die Skalierbarkeit problematisch, da jemand alle Authentifizierungsmethoden verfolgen müsste. Mit dem zentralisierten AAA-Prozess können Benutzer zur Authentifizierung auf einen einzelnen Server zugreifen.

Schauen wir uns nun jeden Teil des Prozesses genauer an.

Holen Sie sich unseren Leitfaden zur Lead-Generierung für MSPs

Erfahren Sie mehr darüber, wie Sie erfolgreich Leads generieren und skalieren können

Zum Leitfaden

 Holen Sie sich unseren Leitfaden zur Lead-Generierung für MSPs

Authentifizierung

Hierbei wird die Identität eines Benutzers überprüft. Normalerweise gibt ein Benutzer ein Passwort an, das als eine Form der Authentifizierung verwendet wird. Passwörter sind weniger sicher als Multi-Faktor-Authentifizierung oder digitale Zertifikate. Unternehmen verwenden diese daher eher zusätzlich zu Passwörtern.

Darüber hinaus ermöglicht der Prozess eine Vertrauensbeziehung zwischen zwei Objekten. Beispielsweise werden der Computer eines Benutzers und ein Server beide als gültige Benutzer im Authentifizierungsprozess angesehen.

Autorisierung

Dies ist eine Sammlung von Vorlagen und Regelsätzen, die festlegen, was ein Benutzer in einem Netzwerk tun kann. Beispielsweise kann ein Mitglied des Vertriebsteams nur auf Daten zugreifen, die für seine Abteilung oder Jobrolle relevant sind.

Buchhaltung

Dies ist ein Prozess der Überwachung, Dokumentation und Messung dessen, was ein Benutzer in einem Netzwerk tut. In der Buchhaltung wird beispielsweise aufgezeichnet, auf welche Datenbanken, Dateien und Anwendungen Benutzer während einer Sitzung zugreifen.

Manager und Mitarbeiter können diese Datensätze verwenden, um die Kapazität eines Netzwerks zu bewerten. Außerdem können IT-Teams wiederkehrende Zugriffsanforderungen untersuchen, um potenzielle Cyberkriminelle aufzudecken.

RADIUS-Serverauthentifizierungsprozess

Die Authentifizierung beginnt, wenn ein Benutzer versucht, eine Verbindung zu einem RADIUS-Client herzustellen. Sie geben normalerweise einen Benutzernamen und ein Passwort ein. Der Client sendet dann eine Zugriffsanforderungsnachricht an den Server. Passwörter werden immer in der Nachricht verschlüsselt und ein gemeinsames Geheimnis ist ebenfalls enthalten.

Als Nächstes liest der Server das gemeinsame Geheimnis und überprüft, ob die Zugriffsanforderungsnachricht von einem autorisierten Client stammt. Wenn der Client nicht autorisiert ist, lehnt der Server die Anforderung ab. Wenn der Client jedoch autorisiert ist, liest der Server die Authentifizierungsmethode und gleicht den Benutzernamen und das Kennwort des Benutzers mit der Benutzerdatenbank ab.

Der Server bezieht dann weitere Benutzerinformationen aus der Datenbank und prüft, ob eine Zugriffsrichtlinie oder ein Profil vorhanden ist, die/das mit dem Benutzer übereinstimmt. Die Transaktion endet, wenn keine Übereinstimmung vorliegt.

Bei einer Übereinstimmung sendet der Server eine Access-Accept-Nachricht an den Client. Die Nachricht enthält ein Filter-ID-Attribut und ein gemeinsames Geheimnis. Das gemeinsame Geheimnis muss übereinstimmen, bevor der Client das Filter-ID-Attribut liest.

Der Client verwendet das Filter-ID-Attribut (eine Textzeichenfolge), um einen Benutzer mit einer RADIUS-Gruppe von Benutzern mit demselben Filter-ID-Attribut zu verbinden. Gruppen helfen, Benutzer in funktionale Gruppen zu kategorisieren (zB. verschiedene Abteilungen können verschiedene Gruppen sein). Sobald der Benutzer mit einer Gruppe verbunden und autorisiert ist, erhält er Zugriff auf den Client.

Abschließende Gedanken

Die RADIUS-Serverauthentifizierung folgt dem AAA-Prozess, der eine sichere Authentifizierung über eine einzige Quelle ermöglicht. Darüber hinaus können Unternehmen mit der Buchhaltung Benutzerzugriffsdaten nutzen. Sie können Bedrohungen für ihre Netzwerke identifizieren oder Preise für Kunden festlegen, die ihre Netzwerke nutzen.

Wichtig ist, dass die RADIUS-Serverintegration unkompliziert und mit vorhandenen Netzwerkkonfigurationen kompatibel ist.modell:

Leave a Reply