Протокол Radius: логика работы, сфера применения — Контур.Эгида

В этой статье

Протокол Radius: логика работы, сфера применения

28 ноября 2024

Для компаний важно управлять сетевым доступом к собственным ресурсам. Онлайн-магазин, курьерская служба или IT-корпорация — многие из них заинтересованы в защите конфиденциальной информации. C помощью RADIUS можно контролировать доступ сотрудников к ресурсам организации. В статье расскажем о протоколе, как он работает и где применяется.

Фотография Дмитрий Мельников Дмитрий Мельников Руководитель группы

Что такое RADIUS

RADIUS (Remote Authentication Dial-In User Service) — это сетевой протокол, который обеспечивает централизованную аутентификацию, авторизацию и учёт пользователей. Он использует протокол транспортного уровня UDP и описан в стандартах RFC 2865 и RFC 2866.

Основные функции протокола:

  • Аутентификация — процесс проверки подлинности пользователя.
  • Авторизация — процесс предоставления пользователю прав на выполнение действий.
  • Учёт — процесс записи информации об использовании ресурсов пользователем.

RADIUS определяет, может ли пользователь получить доступ к локальной или удалённой сети. Затем устанавливает, какие привилегии разрешены пользователю. После записывает активность пользователя во время подключения к ресурсу. Особенность RADIUS в том, что он собирает эти функции в сетевой инфраструктуре организации.

Как работает протокол

RADIUS использует клиент-серверную модель. Важно различать протокол, клиент и сервер RADIUS:

  • Протокол обеспечивает взаимодействие между сервером и клиентом.
  • Сервер отвечает за приём клиентских запросов, проверку подлинности пользователей и возврат клиенту обработанной информации.
  • Клиент — NAS (Network Access Server), устройство, которое требует аутентификацию. Сервером сетевого доступа может быть виртуальная частная сеть (VPN, Virtual Private Network), беспроводная точка доступа или другие сетевые устройства.

Пример использования RADIUS в офисе:

  1. Сотрудник запрашивает доступ на подключение к корпоративной сети.
  2. Клиентское устройство отправляет запрос к RADIUS-серверу — разрешён ли сотруднику доступ к определённому ресурсу.
  3. RADIUS-сервер проверяет личность пользователя, с помощью локальной базы данных, либо делегирует информацию поставщику удостоверений.
  4. Сервер возвращает информацию клиенту, что доступ пользователю предоставлен или запрещён.

Детали работы

Чтобы получить доступ к ресурсу, пользователь отправляет запрос клиенту RADIUS. В запросе пользователь предоставляет свою идентификационную информацию.

Когда клиент принимает эти данные, он начинает процесс идентификации: создаёт пакет Access-Request (запрос доступа), который содержит имя пользователя, пароль, идентификатор клиента и порта. RADIUS-сервер проверяет учётные данные пользователя и корректность информации.

Затем сервер отправляет клиенту ответ. Тип ответа зависит от результата проверки:

Access-Reject: пользователю не разрешён доступ.

Access-Accept: пользователю разрешён доступ.

Access-Challenge: запрос дополнительной информации от пользователя, например, второй пароль или OTP-код.

Способы аутентификации

Протокол RADIUS не шифрует пакеты при обмене данными между клиентом и сервером. Но шифрует пароли. RADIUS поддерживает следующие протоколы аутентификации:

PAP (Password Authentication Protocol, аутентификация по паролю) — простой протокол проверки. Пароль шифруется с помощью общего секрета в пакете RADIUS.

CHAP (Challenge-Handshake Authentication Protocol, аутентификация с косвенным согласованием) — протокол использует механизм «вызов-ответ» и защищает пароль от перехвата. Сервер отправляет клиенту случайное значение — вызов, который содержит в себе открытый ключ. Клиент перенаправляет значение, вычисленное на основе секрета и открытого ключа, на сервер. На стороне сервера происходит сравнение результатов. Если значения совпадают, то проверка подлинности считается успешной.

EAP (Extensible Authentication Protocol, протокол расширенной проверки подлинности) — гибкий протокол, который поддерживает множество методов проверки подлинности: пароли, сертификаты, токены.

Чтобы добавить дополнительный уровень безопасности, можно объединить доступ по паролю с двухфакторной аутентификацией.

Двухфакторная аутентификация

Разберём, как работает двухфакторная аутентификация в связке с RADIUS.

  1. Сотрудник вводит учётные данные — имя пользователя и пароль в качестве первого фактора для получения доступа к корпоративной сети.
  2. Клиентское устройство отправляет запрос на аутентификацию к RADIUS-серверу.
  3. RADIUS-сервер отправляет данные, например, службе каталогов Active Directory.
  4. Если данные совпадают, RADIUS-сервер перенаправляет запрос на проверку второго фактора. В случае ID, сервер отправляет имя пользователя в API Kontur.ID.
  5. API отправляет уведомление на устройство сотрудника для подтверждения входа.
  6. Сотрудник подтверждает второй фактор.
  7. Если проверка второго фактора успешна — сотрудник получает доступ к корпоративной сети.

Сочетания двух факторов аутентификации добавляет дополнительный уровень безопасности.

Другие схемы работы двухфакторной аутентификации вы найдёте на нашем сайте.

Коротко о протоколе RADIUS в вопросах и ответах

Зачем нужен протокол RADIUS? 
Основные функции протокола: аутентификация, авторизация и учет пользователей. RADIUS определяет, может ли пользователь получить доступ к локальной или удалённой сети. Затем устанавливает, какие привилегии разрешены пользователю. После записывает активность пользователя во время подключения к ресурсу. Особенность RADIUS в том, что он собирает эти функции в сетевой инфраструктуре организации.

Безопасен ли RADIUS?

Базовая спецификация шифрует только поле Password; для полной защиты рекомендуется использовать RADIUS over TLS (RadSec) или туннелирование через IPsec. 

Можно ли интегрировать RADIUS с 2FA?

Чтобы добавить дополнительный уровень безопасности, можно объединить доступ по паролю с двухфакторной аутентификацией.

 

 
Фотография Дмитрий Мельников Дмитрий Мельников Руководитель группы
ID

Защита подключений к ресурсам компании

Узнать больше
Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Подписаться

ID

Защита подключений к ресурсам компании

Узнать больше
Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Пришлем ссылку на результаты исследований о человеческом факторе в ИБ на почту, которую вы указали
Подписаться