آشنایی با مکانیزم Radius و کاربرد آن

اگر افرادی به شبکه از طریق دسترسی راه دور مانند VPN یا Dial-in وصل میشوند و یا در شبکه خود Access Point داریم، در واقع از لحاظ امنیتی وضع جالبی نخواهیم داشت و ممکن است افرادی بصورت غیرمجاز دارای دسترسی به شبکه شوند. مایکروسافت برای رفع این مشکل بزرگ امنیتی استفاده از سرویسی به نام Radius ( مخفف Remote Authentication Dial-in User Service ) را توصیه میکند. پیاده سازی مکانیزم Radius توسط کنسول NPS ( Network Policy Server ) انجام میشود. به نوعی NPS و Radius یکی هستند و به یک معنا می باشند.

پس برای چنین اتصال هایی سرویس فوق سه عملیات اصلی ( Authentication, Authorization, Accounting ) که به اختصار آنرا AAA می نامیم را انجام میدهد و تا این سرویس تایید نکند، ارتباطاتی از نوع فوق ایجاد نخواهند شد. NPS این خدمات را برای موارد ذیل فراهم میسازد:

  • Dial-Up Remote Access
  • VPN Remote Access
  • Wireless Access
  • 1x Access
  • Internet Access
  • Extranet Access ( دسترسی از شبکه سازمان شریک)

قبل از ورود به بحث، باید ابتدا با چند مفهوم آشنا شویم:

  • Access Client : عبارت از هر وسیله ای است که افراد از طریق آن میخواهند به شبکه ما ارتباط ریموت یا وایرلس داشته باشند. اعم از کامپیوترهایی در خارج از شبکه جهت VPN یا Dial-in زدن، کامپیوترهایی در داخل محیط سازمان که از طریق وایرلس از امکانات شبکه استفاده میکنند، تبلت ها و موبایل ها، احیانا کنسول های بازی و هر وسیله ای که قصد استفاده از امکانات شبکه را بصورت وایرلس دارد.
  • Access Server یا Radius Client : این دو کاملا در این بحث به یک مفهوم هستند و ما ممکن است در یک جا از اصطلاح Access Server و بلافاصله در خط بعد از اصطلاح Radius Client استفاده کنیم. توجه داشته باشید که هیچ تفاوتی با یکدیگر ندارند و عبارتند از تجهیزات سخت افزاری که به درخواست های اتصال راه دور یا وایرلس پاسخ میدهند از قبیل Access Point های موجود در سازمان، VPN Server ، Dial-in Server
  • Radius Server : کامپیوتری که از طریق نصب رول NPS نقش Radius Server را بر عهده گرفته است.
  • Active directory domain controller : دامین کنترلر شبکه که روی آن سرویس اکتیودایرکتوری نصب است و احرازهویت و مشخص شدن سطح دسترسی افراد متقاضی از طریق پایگاه داده های این سرویس انجام میشود.
  • SQL Server for Radius Accounting : سرویس Radius برای حسابرسی افرادی که به شبکه ریموت زده اند یا بصورت وایرلس دسترسی دارند از یک SQL Server استفاده میکند.

 

برای داشتن یک Radius Server باید سه مرحله را پشت سر بگذاریم:

  1. اعمال تنظیمات مربوط به Radius Client و معرفی آن به Radius Server 
  2. ایجاد Network Policy
  3. اعمال تنظیمات Radius Accounting

Radius Server چگونه عملیات را انجام میدهد؟ این سرویس برای انجام عملیات AAA بشدت متکی بر اطلاعاتی است که در تب dial-in پنجره properties هر اکانت کاربری در اکتیودایرکتوری وجود دارد. به همین دلیل باید به اکتیودایرکتوری دسترسی داشته باشد. نیز برای نگهداری حساب و کتابهای بحث Accounting نیز همانطور که گفته شد به یک SQL Server نیاز دارد.

گفته شد که وقتی Radius Server ارتباطی را مجاز اعلام کرد، Access Server ضمن اینکه ارتباط را برقرار میکند اطلاعات اکانتینگ ارتباط را به Radius Server ارسال میکند که شامل اطلاعاتی از قبیل نام کاربر، نام دامین، اطلاعات مربوط به Access Client و SID آن، اطلاعاتی مربوط به خود Access Server میزبان این ارتباط از قبیل IP و پورت، اطلاعات احراز هویت و …. است. وقتی NPS Server از این اطلاعات لاگ تهیه کند، میتواند فعالیت کاربران را در شبکه از زمان برقراری ارتباط تا پایان آن تحت نظر داشته باشد و برای مقاصد امنیتی بسیار مفید است.

 

ما هم در دوره آموزشی MCSE 2016 و هم در دوره آموزش CCNA Routing & Switching پیاده سازی این مکانیزم را در مایکروسافت و سیسکو آموزش داده ایم.

جهت شرکت در دوره های آموزشی سیسکو به صفحه دوره سیسکو مراجعه کنید.

جهت شرکت در دوره های آموزشی MCSA و MCSE، علاقه مندان میتوانند به صفحه آموزش دوره های تخصصی شبکه های مایکروسافت رجوع کنند.

1398-12-04

0 پاسخ به "آشنایی با مکانیزم Radius و کاربرد آن"

ارسال یک پیغام

رفتن به نوار ابزار