Для компаний важно управлять сетевым доступом к собственным ресурсам. Онлайн-магазин, курьерская служба или IT-корпорация — многие из них заинтересованы в защите конфиденциальной информации. C помощью RADIUS можно контролировать доступ сотрудников к ресурсам организации. В статье расскажем о протоколе, как он работает и где применяется.
Что такое RADIUS
RADIUS (Remote Authentication Dial-In User Service) — это сетевой протокол, который обеспечивает централизованную аутентификацию, авторизацию и учёт пользователей. Он использует протокол транспортного уровня UDP и описан в стандартах RFC 2865 и RFC 2866.
Основные функции протокола:
- Аутентификация — процесс проверки подлинности пользователя.
- Авторизация — процесс предоставления пользователю прав на выполнение действий.
- Учёт — процесс записи информации об использовании ресурсов пользователем.
RADIUS определяет, может ли пользователь получить доступ к локальной или удалённой сети. Затем устанавливает, какие привилегии разрешены пользователю. После записывает активность пользователя во время подключения к ресурсу. Особенность RADIUS в том, что он собирает эти функции в сетевой инфраструктуре организации.
Двухфакторная аутентификация
ID — защита учетных записей сотрудников: подключений через VPN, RDG, ActiveSync, ADFS (протоколы OpenID Connect, SAML), защита входа в Windows, OWA.
Как работает протокол
RADIUS использует клиент-серверную модель. Важно различать протокол, клиент и сервер RADIUS:
- Протокол обеспечивает взаимодействие между сервером и клиентом.
- Сервер отвечает за приём клиентских запросов, проверку подлинности пользователей и возврат клиенту обработанной информации.
- Клиент — NAS (Network Access Server), устройство, которое требует аутентификацию. Сервером сетевого доступа может быть виртуальная частная сеть (VPN, Virtual Private Network), беспроводная точка доступа или другие сетевые устройства.
Пример использования RADIUS в офисе:
- Сотрудник запрашивает доступ на подключение к корпоративной сети.
- Клиентское устройство отправляет запрос к RADIUS-серверу — разрешён ли сотруднику доступ к определённому ресурсу.
- RADIUS-сервер проверяет личность пользователя, с помощью локальной базы данных, либо делегирует информацию поставщику удостоверений.
- Сервер возвращает информацию клиенту, что доступ пользователю предоставлен или запрещён.
Детали работы
Чтобы получить доступ к ресурсу, пользователь отправляет запрос клиенту RADIUS. В запросе пользователь предоставляет свою идентификационную информацию.
Когда клиент принимает эти данные, он начинает процесс идентификации: создаёт пакет Access-Request (запрос доступа), который содержит имя пользователя, пароль, идентификатор клиента и порта. RADIUS-сервер проверяет учётные данные пользователя и корректность информации.
Затем сервер отправляет клиенту ответ. Тип ответа зависит от результата проверки:
Access-Reject: пользователю не разрешён доступ.
Access-Accept: пользователю разрешён доступ.
Access-Challenge: запрос дополнительной информации от пользователя, например, второй пароль или OTP-код.
Способы аутентификации
Протокол RADIUS не шифрует пакеты при обмене данными между клиентом и сервером. Но шифрует пароли. RADIUS поддерживает следующие протоколы аутентификации:
PAP (Password Authentication Protocol, аутентификация по паролю) — простой протокол проверки. Пароль шифруется с помощью общего секрета в пакете RADIUS.
CHAP (Challenge-Handshake Authentication Protocol, аутентификация с косвенным согласованием) — протокол использует механизм «вызов-ответ» и защищает пароль от перехвата. Сервер отправляет клиенту случайное значение — вызов, который содержит в себе открытый ключ. Клиент перенаправляет значение, вычисленное на основе секрета и открытого ключа, на сервер. На стороне сервера происходит сравнение результатов. Если значения совпадают, то проверка подлинности считается успешной.
EAP (Extensible Authentication Protocol, протокол расширенной проверки подлинности) — гибкий протокол, который поддерживает множество методов проверки подлинности: пароли, сертификаты, токены.
Чтобы добавить дополнительный уровень безопасности, можно объединить доступ по паролю с двухфакторной аутентификацией.
Двухфакторная аутентификация
Разберём, как работает двухфакторная аутентификация в связке с RADIUS.
- Сотрудник вводит учётные данные — имя пользователя и пароль в качестве первого фактора для получения доступа к корпоративной сети.
- Клиентское устройство отправляет запрос на аутентификацию к RADIUS-серверу.
- RADIUS-сервер отправляет данные, например, службе каталогов Active Directory.
- Если данные совпадают, RADIUS-сервер перенаправляет запрос на проверку второго фактора. В случае ID, сервер отправляет имя пользователя в API Kontur.ID.
- API отправляет уведомление на устройство сотрудника для подтверждения входа.
- Сотрудник подтверждает второй фактор.
- Если проверка второго фактора успешна — сотрудник получает доступ к корпоративной сети.
Сочетания двух факторов аутентификации добавляет дополнительный уровень безопасности.
Узнайте, как правильно потратить бюджет на информационную безопасность
Пришлем ссылку на гайд о стоимости ИБ-решений ответным письмом на почту, которую вы указали.
Другие схемы работы двухфакторной аутентификации вы найдёте на нашем сайте.
Коротко о протоколе RADIUS в вопросах и ответах
Зачем нужен протокол RADIUS?
Основные функции протокола: аутентификация, авторизация и учет пользователей. RADIUS определяет, может ли пользователь получить доступ к локальной или удалённой сети. Затем устанавливает, какие привилегии разрешены пользователю. После записывает активность пользователя во время подключения к ресурсу. Особенность RADIUS в том, что он собирает эти функции в сетевой инфраструктуре организации.
Безопасен ли RADIUS?
Базовая спецификация шифрует только поле Password; для полной защиты рекомендуется использовать RADIUS over TLS (RadSec) или туннелирование через IPsec.
Можно ли интегрировать RADIUS с 2FA?
Чтобы добавить дополнительный уровень безопасности, можно объединить доступ по паролю с двухфакторной аутентификацией.
Информационная безопасность бизнеса
Контур.Эгида — сервисы информационной безопасности: уменьшение рисков внутренних угроз и утечек конфиденциальных данных, предотвращение атак злоумышленников.