RADIUS-Server: betekenis en gebruik voor authenticatie

bedrijven moeten nu meer dan ooit de toegang tot hun netwerken effectief beheren. Cyberaanvallen nemen toe in elke sector en er is extra druk op beveiligingsteams om aanvallen te voorkomen en te verhelpen.

authenticatie en autorisatie via het RADIUS-Serverprotocol is een vertrouwde preventiemethode. Het maakt een gecentraliseerd autorisatieprotocol mogelijk waarbij alle toegangsverzoeken via een enkele server gaan. RADIUS Accounting registreert en controleert alle gebruikersacties om transparantie binnen het netwerk te creëren.

Wat is RADIUS-Server?

RADIUS is een netwerkprotocol. Het staat voor Remote Authentication Dial-In User Service. Dit protocol gebruikt een client-server communicatiemethode. Het gaat om een server en clients.

een RADIUS-client is een netwerkapparaat zoals een router, gebruikt om verbinding te maken met een netwerk, of een VPN-concentrator, die VPN-verbindingen tot stand brengt. De client verifieert gebruikers door contact op te nemen met de server.

RADIUS-Server is een achtergrondproces dat op een servertoepassing wordt uitgevoerd. Het kan gebruikersprofielen opslaan en onderhouden in een database, wat betekent dat het alle toegang tot een netwerk controleert.

wanneer een gebruiker probeert verbinding te maken met een RADIUS-client, stuurt hij een verzoek naar de server. Pas nadat de server een gebruiker heeft geverifieerd en gemachtigd, verleent de server een gebruiker toegang tot de RADIUS-client.

Servers gebruiken het AAA-proces (Authentication, Authorization, and Accounting) om gebruikers te authenticeren en te autoriseren.

bovendien gebruiken RADIUS-Servers een pull-autorisatiesequentie. Dit is waar een gebruiker verbinding maakt met een client, die namens de gebruiker contact opneemt met de server. Dit contrasteert met een push-sequentie waarbij een gebruiker direct verbinding maakt met een server en een ticket ontvangt om de client te gebruiken.

Wat is AAA?

het AAA-proces heeft het voor bedrijven gemakkelijker gemaakt gebruikers te authenticeren en te autoriseren. Voor AAA gebruikten andere protocollen afzonderlijke apparaten voor authenticatie. Het werkstation van een werknemer kan bijvoorbeeld een andere authenticatiemethode gebruiken dan de smartphone van de manager.

dit is problematisch voor de schaalbaarheid omdat iemand alle authenticatiemethoden moet bijhouden. Met het gecentraliseerde AAA-proces hebben gebruikers toegang tot één enkele server voor authenticatie.

laten we nu elk deel van het proces nader bekijken.

Download onze Lead Generation Guide voor MSP ‘s

meer informatie over het succesvol genereren van leads en opschalen

Ga naar Guide

Ontvang onze Lead Generation Guide voor MSP' s

authenticatie

hierbij wordt de identiteit van een gebruiker geverifieerd. Meestal, een gebruiker biedt een wachtwoord, die wordt gebruikt als een vorm van authenticatie. Wachtwoorden zijn minder veilig dan multi-factor authenticatie of digitale certificaten. Zo, bedrijven hebben meer kans om deze te gebruiken in aanvulling op Wachtwoorden.

bovendien staat het proces een vertrouwensrelatie tussen twee objecten toe. Bijvoorbeeld, de computer van een gebruiker en een server worden beide gezien als geldige gebruikers in het verificatieproces.

autorisatie

dit is een verzameling sjablonen en regels die bepalen wat een gebruiker op een netwerk kan doen. Een lid van het verkoopteam heeft bijvoorbeeld alleen toegang tot gegevens die relevant zijn voor zijn afdeling of functie.

Accounting

Dit is een proces om te monitoren, documenteren en meten wat een gebruiker op een netwerk doet. Bijvoorbeeld, Accounting records welke databases, bestanden, en toepassingen gebruikers toegang tijdens een sessie.

Managers en werknemers kunnen deze gegevens gebruiken om de capaciteit van een netwerk te beoordelen. Ook, IT-teams kunnen elke terugkerende reject-access verzoeken om potentiële cybercriminelen te ontdekken onderzoeken.

RADIUS-Serververificatieproces

authenticatie begint wanneer een gebruiker verbinding probeert te maken met een RADIUS-Client. Ze voeren meestal een gebruikersnaam en wachtwoord in. De client stuurt vervolgens een Access-Request bericht naar de Server. Wachtwoorden worden altijd versleuteld in het bericht en een gedeeld geheim is ook inbegrepen.

vervolgens leest de Server het gedeelde geheim en controleert hij of het Access-Request-bericht van een geautoriseerde Client is. Als de Client niet is geautoriseerd, weigert de Server het verzoek. Maar als de Client geautoriseerd is, leest de Server de verificatiemethode en matcht de gebruikersnaam en het wachtwoord van de gebruiker met de gebruikersdatabase.

de Server haalt dan meer gebruikersinformatie uit de database en controleert of er een toegangsbeleid of profiel is dat overeenkomt met de gebruiker. De transactie eindigt als er geen overeenkomst is.

bij een overeenkomst stuurt de Server een Access-Accept-bericht naar de Client. Het bericht bevat een filter ID attribuut en een gedeeld geheim. Het gedeelde geheim moet overeenkomen voordat de Client het filter-id-attribuut leest.

de Client gebruikt het filter ID attribuut (een tekenreeks) om een gebruiker te verbinden met een RADIUS groep van gebruikers met hetzelfde filter ID attribuut. Groepen helpen om gebruikers te categoriseren in functionele groepen(bijv. verschillende afdelingen kunnen verschillende groepen zijn). Eenmaal verbonden met een groep en geautoriseerd, krijgt de gebruiker toegang tot de Client.

Final Thoughts

RADIUS-serververificatie volgt het AAA-proces, dat Veilige authenticatie via één bron mogelijk maakt. Bovendien, met Accounting, bedrijven kunnen profiteren van de gebruiker toegang tot gegevens. Ze kunnen bedreigingen voor hun netwerken identificeren of prijzen bepalen voor klanten die hun netwerken gebruiken.

belangrijk is dat RADIUS-Serverintegratie eenvoudig is en compatibel is met bestaande netwerkconfiguraties.

Leave a Reply