RADIUSサーバー:認証の意味と使用
企業は、これまで以上にネットワークへのアクセスを効果的に管理する必要があります。 サイバー攻撃はすべての業界で増加しており、セキュリティチームには攻撃を防止して改善するよう圧力が加えられています。
RADIUSサーバープロトコルを介した認証と承認は、信頼できる防止方法です。 これにより、すべてのアクセス要求が単一のサーバーを通過する一元化された承認プロトコルが可能になります。 RADIUS Accountingは、ネットワーク内の透明性を作成するために、すべてのユーザーアクションを記録して監視します。
RADIUSサーバーとは何ですか?
RADIUSはネットワークプロトコルです。 これは、リモート認証ダイヤルインユーザーサービスの略です。 このプロトコルは、クライアントとサーバーの通信方法を使用します。 これは、サーバーとクライアントを含みます。
RADIUSクライアントは、ネットワークに接続するために使用されるルータのようなネットワークデバイス、またはVPN接続を確立するVPNコンセントレータです。 クライアントは、サーバーに接続してユーザーを認証します。
RADIUS Serverは、サーバーアプリケーション上で実行されるバックグラウンドプロセスです。 これは、ネットワークへのすべてのアクセスを制御することを意味し、データベース内のユーザープロファイルを格納し、維持することができます。
ユーザがRADIUSクライアントに接続しようとすると、サーバに要求を送信します。 サーバがユーザを認証および承認した後でのみ、サーバはユーザにRADIUSクライアントへのアクセス権を付与します。
サーバはAAA(Authentication,Authorization,and Accounting)プロセスを使用してユーザを認証および認可します。
さらに、RADIUSサーバはpull authorization sequenceを使用します。 これは、ユーザーがクライアントに接続し、ユーザーの代わりにサーバーに接続する場所です。 これは、ユーザーがサーバーに直接接続し、クライアントを使用するためのチケットを受信するプッシュシーケンスとは対照的です。
AAAとは何ですか?
AAAプロセスにより、企業はユーザの認証と認可を容易にすることができました。 AAAの前に、他のプロトコルは認証のために個々のデバイスを使用しました。 たとえば、従業員のワークステーションでは、マネージャーのスマートフォンとは異なる認証方法を使用する場合があります。
これは、誰かがすべての認証方法を追跡しなければならないため、スケーラビリティに問題があります。 一元化されたAAAプロセスでは、ユーザは認証のために単一のサーバにアクセスできます。
さて、プロセスの各部分を詳しく見てみましょう。
認証
これには、ユーザーのidを検証するプロセスが含まれます。 通常、ユーザーは認証の形式として使用されるパスワードを提供します。 パスワードは、多要素認証やデジタル証明書よりも安全ではありません。 したがって、企業はパスワードに加えてこれらを使用する可能性が高くなります。
さらに、このプロセスは二つのオブジェクト間の信頼関係を可能にする。 たとえば、認証プロセスでは、ユーザーのコンピューターとサーバーの両方が有効なユーザーと見なされます。
承認
これは、ユーザーがネットワーク上で何を行うことができるかを指示するテンプレートとルールのセットのコレクションです。 たとえば、営業チームのメンバーは、部署または職務に関連するデータにのみアクセスできます。
アカウンティング
これは、ネットワーク上でユーザーが何をするかを監視、文書化、測定するプロセスです。 たとえば、Accountingでは、セッション中にユーザーがアクセスするデータベース、ファイル、およびアプリケーションが記録されます。
管理者と従業員は、これらのレコードを使用してネットワークの容量を評価できます。 また、ITチームは、定期的な拒否アクセス要求を調査して、潜在的なサイバー犯罪者を明らかにすることができます。
RADIUSサーバー認証プロセス
ユーザーがRADIUSクライアントに接続しようとすると、認証が開始されます。 彼らは通常、ユーザー名とパスワードを入力します。 次に、クライアントはアクセス要求メッセージをサーバーに送信します。 パスワードは常にメッセージ内で暗号化され、共有秘密も含まれています。
次に、サーバーは共有秘密を読み取り、Access-Requestメッセージが承認されたクライアントからのものであることを確認します。 クライアントが許可されていない場合、サーバーは要求を拒否します。 ただし、クライアントが承認されている場合、サーバーは認証方法を読み取り、ユーザーのユーザー名とパスワードをユーザーデータベースと照合します。
サーバーは、データベースからより多くのユーザー情報をソースし、ユーザーに一致するアクセスポリシーまたはプロファイルがあるかどうかを確認します。 一致するものがない場合、トランザクションは終了します。
一致すると、サーバーはAccess-Acceptメッセージをクライアントに送信します。 メッセージには、フィルタID属性と共有秘密が含まれています。 クライアントがフィルタID属性を読み取る前に、共有シークレットが一致する必要があります。
クライアントは、Filter ID属性(テキスト文字列)を使用して、同じFilter ID属性を持つユーザのRADIUSグループにユーザを接続します。 グループは、ユーザーを機能グループに分類するのに役立ちます。 異なる部門は異なるグループになる可能性があります)。 グループに接続して承認すると、ユーザーはクライアントへのアクセス権を取得します。
最終的な考え
RADIUSサーバ認証はAAAプロセスに続き、単一のソースを介して安全な認証を可能にします。 さらに、会計を使用すると、企業はユーザーアクセスデータを利用できます。 彼らは彼らのネットワークへの脅威を識別したり、彼らのネットワークを使用する顧客のための価格を決定することができます。
重要なのは、RADIUSサーバーの統合は簡単で、既存のネットワーク構成と互換性があることです。├
Leave a Reply