Hálózatok és internetKiberbiztonságR betűs definíciók

RADIUS: a távoli hitelesítési protokoll működése és definíciója

A RADIUS egy távoli hitelesítési protokoll, amely segít biztonságosan ellenőrizni a felhasználók hozzáférését hálózatokhoz. A cikk bemutatja működését, alapelveit és gyakorlati alkalmazását, hogy könnyen megértsd a hálózati biztonság egyik alapvető eszközét.
ITSZÓTÁR.hu
By ITSZÓTÁR.hu
51 Min Read
Gyors betekintő

A modern hálózatok bonyolult és folyamatosan fejlődő ökoszisztémák, ahol a távoli hozzáférés, a felhasználói hitelesítés és az erőforrásokhoz való jogosultságok kezelése alapvető fontosságú. Ebben a komplex környezetben a RADIUS (Remote Authentication Dial-In User Service) protokoll évtizedek óta kulcsszerepet játszik, mint a hálózati hozzáférés-vezérlés egyik alappillére. Ez a protokoll nem csupán egy technikai megoldás, hanem egy olyan keretrendszer, amely lehetővé teszi a szervezetek számára, hogy biztonságosan és hatékonyan kezeljék a felhasználók, eszközök és szolgáltatások közötti interakciókat, függetlenül attól, hogy azok fizikailag hol helyezkednek el.

A RADIUS alapvető célja a központosított hitelesítés (Authentication), engedélyezés (Authorization) és elszámolás (Accounting) – azaz a „AAA” szolgáltatás – biztosítása a hálózati hozzáféréshez. Ez a triumvirátus garantálja, hogy csak az arra jogosult felhasználók férhetnek hozzá a megfelelő erőforrásokhoz, és minden tevékenység nyomon követhető legyen. Gondoljunk bele egy nagyvállalati Wi-Fi hálózatba, egy VPN-hozzáférésbe vagy akár egy internetszolgáltató előfizetői felületébe: mindegyik esetben a RADIUS protokoll állhat a háttérben, biztosítva a zökkenőmentes és biztonságos működést.

Ez a cikk mélyrehatóan bemutatja a RADIUS protokoll működését, architektúráját, biztonsági szempontjait, kiterjesztéseit és számos felhasználási területét. Célunk, hogy átfogó képet adjunk erről a rendkívül fontos hálózati protokollról, annak alapjaitól kezdve a legösszetettebb implementációkig, és rávilágítsunk, miért maradt releváns a mai napig a dinamikusan változó IT-környezetben.

A RADIUS alapjai: Mi is az a RADIUS valójában?

A RADIUS, azaz a Remote Authentication Dial-In User Service egy kliens-szerver protokoll, amely az UDP (User Datagram Protocol) protokollra épül, és elsősorban a távoli felhasználók hálózati erőforrásokhoz való hozzáférésének kezelésére szolgál. A protokoll az 1990-es évek elején, a Livingston Enterprises által került kifejlesztésre, válaszul a növekvő igényre, hogy a betárcsázós hozzáférésű (dial-up) felhasználókat központilag lehessen hitelesíteni és kezelni.

A AAA modell: Hitelesítés, Engedélyezés, Elszámolás

A RADIUS a hálózati hozzáférés-vezérlés AAA modelljét valósítja meg:

  • Hitelesítés (Authentication): Ez a folyamat igazolja a felhasználó identitását. A RADIUS protokoll ellenőrzi, hogy a felhasználó valóban az-e, akinek mondja magát, általában felhasználónév és jelszó, vagy egyéb hitelesítő adatok (pl. tanúsítványok) alapján. Amennyiben a hitelesítés sikeres, a felhasználó tovább léphet az engedélyezési fázisba.
  • Engedélyezés (Authorization): Miután a felhasználó identitása megerősítést nyert, az engedélyezési fázis határozza meg, hogy a felhasználó milyen erőforrásokhoz férhet hozzá, és milyen műveleteket végezhet el. Ez magában foglalhatja a hozzáférési jogosultságokat, a sávszélesség korlátozásokat, a VLAN-hozzárendelést vagy a munkamenet időtartamát. A RADIUS szerver a felhasználóhoz rendelt attribútumok alapján hozza meg ezt a döntést.
  • Elszámolás (Accounting): Az elszámolás a felhasználói tevékenységek nyomon követését jelenti. Ez magában foglalja a bejelentkezési és kijelentkezési időpontokat, az adatforgalmat, a munkamenet időtartamát és egyéb releváns információkat. Az elszámolási adatok felhasználhatók számlázásra, auditálásra, biztonsági elemzésekre vagy akár hálózati kapacitástervezésre is.

A RADIUS tehát nem csupán arról szól, hogy valaki be tud-e jelentkezni, hanem arról is, hogy mit tehet a hálózaton belül, és tevékenységei hogyan kerülnek rögzítésre. Ez a hármas funkció teszi a RADIUS-t rendkívül sokoldalúvá és elengedhetetlenné a modern, biztonságos hálózati infrastruktúrákban.

Miért UDP? A protokoll jellemzői

A RADIUS az UDP-t használja a 1812-es (hitelesítés és engedélyezés) és a 1813-as (elszámolás) portokon, vagy régebbi implementációkban a 1645-ös és 1646-os portokon. Az UDP választásának oka a protokoll eredeti céljában gyökerezik: gyors és alacsony overhead-ű kommunikációt biztosítani a távoli hozzáférési szerverek és a központi hitelesítési szerverek között. Bár az UDP nem garantálja a csomagok kézbesítését vagy sorrendjét (ellentétben a TCP-vel), a RADIUS protokoll saját mechanizmusokkal (pl. újrapróbálkozásokkal) kezeli ezeket a hiányosságokat. Ez a megközelítés különösen hasznos nagyszámú egyidejű kapcsolat esetén, ahol a TCP-állapot fenntartása jelentős terhet jelentene.

A RADIUS protokoll alapvető ereje abban rejlik, hogy egyetlen, robusztus keretrendszerben egyesíti a hálózati hozzáférés-vezérlés három kritikus funkcióját – a hitelesítést, az engedélyezést és az elszámolást –, ezzel központosítva és leegyszerűsítve a komplex hálózati biztonsági kihívások kezelését.

A RADIUS architektúra: Fő komponensek és szerepük

A RADIUS rendszer működése több kulcsfontosságú komponens összehangolt munkáján alapul. Ezek az elemek együttműködve biztosítják a felhasználók biztonságos és szabályozott hozzáférését a hálózati erőforrásokhoz.

1. Felhasználó (Supplicant)

A felhasználó, vagy technikai értelemben a „Supplicant” az az entitás, amely hozzáférést kíván szerezni a hálózathoz. Ez lehet egy ember (pl. egy laptopjával csatlakozó alkalmazott), egy IoT eszköz, egy szerver vagy bármilyen más hálózati kliens, amely hitelesítésre szorul. A felhasználó küldi el a hitelesítő adatait a Network Access Servernek (NAS).

2. RADIUS Kliens (Network Access Server – NAS)

A RADIUS kliens, más néven Hálózati Hozzáférési Szerver (NAS), az a hálózati eszköz, amely a felhasználó hozzáférési kérelmét fogadja, és továbbítja azt a RADIUS szervernek. A NAS a felhasználó és a RADIUS szerver közötti közvetítő. Gyakori NAS típusok:

  • Wi-Fi hozzáférési pontok (AP-k): Az 802.1X hitelesítés során a vezeték nélküli kliensek hozzáférési kérelmeit továbbítják.
  • VPN koncentrátorok: A távoli VPN kliensek bejelentkezési kísérleteit kezelik.
  • Hálózati switchek: Vezetékes 802.1X hitelesítéshez használatosak, például port-alapú hozzáférés-vezérléshez.
  • Routerek és tűzfalak: Bizonyos esetekben adminisztratív hozzáférés hitelesítésére is használhatók.

A NAS feladata, hogy összegyűjtse a felhasználó hitelesítő adatait (pl. felhasználónév, jelszó), és egy RADIUS Access-Request üzenet formájában elküldje azokat a konfigurált RADIUS szervernek. A NAS és a RADIUS szerver között egy megosztott titok (shared secret) biztosítja az üzenetek integritását és bizonyos részeinek titkosítását.

3. RADIUS Szerver

A RADIUS szerver a rendszer központi agya. Ez a szerver felelős a NAS-tól érkező hitelesítési és engedélyezési kérelmek feldolgozásáért, valamint az elszámolási adatok gyűjtéséért. A RADIUS szerver jellemzően a következő komponensekből áll:

  • Hitelesítési modulok: Ezek a modulok felelősek a felhasználó által megadott hitelesítő adatok ellenőrzéséért. A RADIUS szerver nem tárolja közvetlenül a felhasználói adatbázist, hanem különböző külső adatforrásokhoz csatlakozik, mint például:
    • LDAP (Lightweight Directory Access Protocol) címtárak: Pl. Microsoft Active Directory, OpenLDAP. Ez a leggyakoribb módja a felhasználói adatok kezelésének nagy szervezetekben.
    • SQL adatbázisok: Egyedi felhasználói adatbázisokhoz.
    • Helyi felhasználói adatbázis: Kisebb implementációkban a RADIUS szerver saját fájljában tárolt felhasználói adatok.
    • Kerberos, SAML, OAuth: Modern identitáskezelő rendszerekkel való integráció.
  • Engedélyezési szabálymotor (Policy Engine): Ez a motor a hitelesített felhasználóhoz tartozó attribútumok alapján hozza meg az engedélyezési döntéseket. Például, ha egy felhasználó egy bizonyos csoportba tartozik, a motor engedélyezheti számára egy speciális VLAN-ba való belépést vagy egy adott sávszélesség-profil alkalmazását.
  • Elszámolási modul: Ez a modul fogadja és rögzíti a NAS-tól érkező elszámolási üzeneteket, amelyek a munkamenet kezdetét, végét és az interim frissítéseket tartalmazzák. Az adatok naplófájlokba, adatbázisokba vagy külső SIEM (Security Information and Event Management) rendszerekbe kerülhetnek.

A RADIUS szerver konfigurációja rendkívül rugalmas, és lehetővé teszi a hálózati adminisztrátorok számára, hogy finomhangolják a hozzáférési szabályokat a szervezet igényei szerint.

4. Megosztott Titok (Shared Secret)

A megosztott titok egy előre egyeztetett jelszó, amelyet mind a RADIUS kliens (NAS), mind a RADIUS szerver ismer. Ez a titok kulcsfontosságú a kommunikáció biztonságához. A RADIUS üzenetek bizonyos részei, például a felhasználói jelszavak, a megosztott titok segítségével titkosításra kerülnek, mielőtt elküldésre kerülnének. Emellett a megosztott titok felhasználásra kerül az üzenetek integritásának ellenőrzésére is, egy úgynevezett Authenticator mező segítségével, amely megakadályozza az üzenetek manipulálását vagy visszajátszását.

A megosztott titok biztonsága kritikus: ha ez a titok kompromittálódik, az egész RADIUS rendszer biztonsága veszélybe kerülhet, mivel rosszindulatú felek hamisíthatnak üzeneteket vagy megfejthetik a jelszavakat. Éppen ezért erős, hosszú és véletlenszerű megosztott titkok használata elengedhetetlen.

Ez az architektúra lehetővé teszi a központi vezérlést és a skálázhatóságot, mivel egyetlen RADIUS szerver több ezer NAS-t és több millió felhasználót képes kiszolgálni, jelentősen leegyszerűsítve a hálózati adminisztrációt és javítva a biztonságot.

A RADIUS működése lépésről lépésre: Az AAA folyamat részletei

A RADIUS protokoll működésének megértéséhez elengedhetetlen a hitelesítési, engedélyezési és elszámolási (AAA) folyamat részletes áttekintése. Ez a szekció lépésről lépésre bemutatja, hogyan zajlik a kommunikáció a felhasználó, a NAS és a RADIUS szerver között.

1. Hitelesítés (Authentication)

A hitelesítési fázis az, ahol a felhasználó igazolja identitását.

  1. Hozzáférési kérelem (Access-Request):
    • A felhasználó (pl. egy laptop) csatlakozni próbál a hálózathoz (pl. egy Wi-Fi hálózathoz).
    • A NAS (pl. Wi-Fi AP) észleli a csatlakozási kísérletet, és elkéri a felhasználó hitelesítő adatait (pl. felhasználónév és jelszó).
    • A felhasználó elküldi a hitelesítő adatait a NAS-nak.
    • A NAS összeállít egy RADIUS Access-Request üzenetet, amely tartalmazza a felhasználó nevét (User-Name attribútum), a jelszavát (User-Password vagy más titkosított formában), a NAS IP-címét (NAS-IP-Address) és egyéb releváns attribútumokat (pl. NAS-Port-Type, Service-Type).
    • A felhasználói jelszó a megosztott titok és egy titkosítási algoritmus (pl. MD5 hash) segítségével titkosításra kerül, mielőtt az Access-Request üzenetbe kerülne. Ez biztosítja, hogy a jelszó ne utazzon tiszta szövegben a hálózaton.
    • A NAS elküldi az Access-Request üzenetet a konfigurált RADIUS szervernek az UDP 1812-es (vagy 1645-ös) porton.
  2. Szerver válasz (Access-Accept / Access-Reject / Access-Challenge):
    • A RADIUS szerver fogadja az Access-Request üzenetet.
    • Először is, ellenőrzi az üzenet integritását a megosztott titok segítségével (Authenticátor mező). Ha az integritás ellenőrzés sikertelen, az üzenetet elutasítja.
    • Ezután a szerver feldolgozza a felhasználónév és a jelszó attribútumokat. Ez magában foglalja a felhasználói adatok (pl. jelszó hash) lekérdezését a konfigurált felhasználói adatbázisból (pl. Active Directory, LDAP, helyi adatbázis).
    • A szerver összehasonlítja a kapott hitelesítő adatokat a tárolt adatokkal.
    • Lehetséges válaszok a szervertől:
      • Access-Accept: Ha a hitelesítés sikeres, a RADIUS szerver egy Access-Accept üzenetet küld vissza a NAS-nak. Ez az üzenet tartalmazza azokat az engedélyezési attribútumokat is, amelyek meghatározzák a felhasználó hozzáférési jogosultságait (pl. VLAN ID, munkamenet időtartama, sávszélesség korlátok). A NAS ekkor engedélyezi a felhasználó hozzáférését a hálózathoz.
      • Access-Reject: Ha a hitelesítés sikertelen (pl. hibás felhasználónév/jelszó, lejárt fiók), a RADIUS szerver egy Access-Reject üzenetet küld vissza. A NAS ekkor megtagadja a felhasználó hozzáférését.
      • Access-Challenge: Ez az üzenet akkor küldhető, ha a szervernek további információra van szüksége a hitelesítéshez (pl. kétfaktoros hitelesítés, PIN kód, token válasz). Az Access-Challenge üzenet tartalmaz egy Challenge attribútumot, amelyet a NAS továbbít a felhasználónak. A felhasználó ezután megadja a kért információt, és a NAS egy új Access-Request üzenettel küldi vissza a szervernek. Ez a folyamat addig ismétlődhet, amíg a hitelesítés sikeres nem lesz, vagy el nem utasítják.

Támogatott hitelesítési módszerek és az EAP szerepe

A RADIUS számos hitelesítési módszert támogat, amelyek közül a legfontosabbak:

  • PAP (Password Authentication Protocol): A jelszót titkosítatlanul küldi el, ezért nagyon nem ajánlott, kivéve ha a teljes kommunikáció TLS-en keresztül zajlik (RadSec).
  • CHAP (Challenge-Handshake Authentication Protocol): Biztonságosabb, mint a PAP, mivel nem küldi el a jelszót tiszta szövegben. Egy kihívás-válasz mechanizmust használ, ahol a jelszó hash-e kerül elküldésre.
  • EAP (Extensible Authentication Protocol): Ez a leggyakrabban használt és legrugalmasabb hitelesítési keretrendszer a modern hálózatokban, különösen az IEEE 802.1X szabvány keretében (pl. Wi-Fi). Az EAP maga nem egy hitelesítési módszer, hanem egy keretrendszer, amelyen belül különböző EAP típusok (EAP Methods) futhatnak, biztosítva a rugalmasságot és a biztonságot.

Fontosabb EAP típusok:

  • EAP-TLS (Transport Layer Security): Az egyik legbiztonságosabb EAP típus. Mind a kliens, mind a szerver tanúsítványokat használ az identitásuk igazolására. Kölcsönös hitelesítést biztosít, és egy titkosított TLS csatornát hoz létre a kliens és a RADIUS szerver között a hitelesítési forgalom számára. Bonyolultabb a beállítása a tanúsítványok kezelése miatt, de a legmagasabb biztonságot nyújtja.
  • PEAP (Protected EAP): Nagyon elterjedt, mivel a klienseknek nem kell tanúsítvánnyal rendelkezniük. Először egy TLS alagutat hoz létre a RADIUS szerver tanúsítványának ellenőrzésével (szerveroldali hitelesítés), majd ezen a titkosított alagúton belül futtat egy második, kevésbé biztonságos hitelesítési protokollt, mint például az MS-CHAPv2. A jelszó titkosítva utazik az alagúton belül.
  • EAP-TTLS (Tunneled Transport Layer Security): Hasonló a PEAP-hez, szintén TLS alagutat hoz létre, de rugalmasabb abban, hogy milyen protokollokat lehet futtatni az alagúton belül (pl. PAP, CHAP, MS-CHAPv2). A PEAP-hez hasonlóan, itt is csak a szervernek van szüksége tanúsítványra.
  • EAP-MD5: Nem ajánlott, mivel a jelszó hash-e sebezhető a szótár alapú támadásokkal szemben, és nem biztosít kölcsönös hitelesítést.

Az EAP használata kritikus a modern hálózatok biztonságához, különösen a Wi-Fi környezetekben, mivel megakadályozza a hitelesítő adatok lehallgatását és a Man-in-the-Middle (MITM) támadásokat.

2. Engedélyezés (Authorization)

Az engedélyezés fázisa szorosan kapcsolódik a hitelesítéshez. Amikor a RADIUS szerver Access-Accept üzenetet küld, az nem csupán a hozzáférés engedélyezését jelenti, hanem meghatározza azt is, hogy a felhasználó milyen hozzáférési jogosultságokkal rendelkezik. Ezeket az engedélyezési szabályokat a RADIUS attribútumok segítségével kommunikálja a szerver a NAS felé.

  • Attribútumok a Access-Accept üzenetben:
    • Service-Type: Meghatározza a szolgáltatás típusát (pl. Framed-User a hálózati hozzáféréshez, Login-User a terminál hozzáféréshez).
    • Framed-IP-Address: Dinamikusan hozzárendelt IP-cím a felhasználónak.
    • Framed-IP-Netmask: Alhálózati maszk.
    • Session-Timeout: A munkamenet maximális időtartama másodpercekben.
    • Idle-Timeout: Az inaktív munkamenet maximális időtartama.
    • Filter-Id: Egy hálózati szűrő vagy ACL (Access Control List) azonosítója, amelyet a NAS-nak kell alkalmaznia a felhasználó forgalmára.
    • Class: Általános célú attribútum, amely a RADIUS szerver és a NAS közötti állapot információk átadására szolgálhat.
    • Vendor-Specific Attribute (VSA): Ezek a legrugalmasabb attribútumok. A gyártók egyedi attribútumokat definiálhatnak a saját eszközeik specifikus funkcióinak vezérlésére (pl. Cisco AV-Pair, Aruba-User-Role). Ezekkel lehet például VLAN ID-t (pl. Tunnel-Private-Group-Id), sávszélesség-korlátot, vagy specifikus szerepköröket hozzárendelni a felhasználóhoz.
  • Szerep alapú hozzáférés-vezérlés (RBAC): A RADIUS attribútumok gyakran használatosak a szerep alapú hozzáférés-vezérlés megvalósítására. Például, ha egy felhasználó a „Marketing” csoport tagja az Active Directoryban, a RADIUS szerver beállíthatja, hogy a NAS egy specifikus VLAN-ba helyezze őt, és csak bizonyos hálózati erőforrásokhoz adjon hozzáférést. Ez jelentősen leegyszerűsíti a jogosultságok kezelését nagy hálózatokban.

3. Elszámolás (Accounting)

Az elszámolási fázis a felhasználó hálózati tevékenységének nyomon követéséért felelős. Ez kritikus a számlázáshoz, auditáláshoz, biztonsági elemzésekhez és kapacitástervezéshez.

  1. Elszámolási kérelem (Accounting-Request):
    • Accounting-Start: Amikor egy felhasználó sikeresen hitelesítve és engedélyezve lett, és hozzáfér a hálózathoz, a NAS egy Accounting-Request üzenetet küld a RADIUS szervernek, a Status-Type attribútumot „Start” értékre állítva. Ez az üzenet tartalmazza a felhasználó nevét, a munkamenet azonosítóját (Acct-Session-Id), a NAS IP-címét, a bejelentkezési időt (Acct-Session-Time) és egyéb kezdeti információkat.
    • Accounting-Interim-Update: Hosszabb munkamenetek során a NAS időnként Accounting-Request üzeneteket küld „Interim-Update” Status-Type-pal. Ezek az üzenetek frissített információkat tartalmaznak a munkamenetről, például az addig felhasznált bejövő és kimenő bájtok számát (Acct-Input-Octets, Acct-Output-Octets), a csomagok számát (Acct-Input-Packets, Acct-Output-Packets) és az eltelt időt. Ez biztosítja, hogy az elszámolási adatok naprakészek legyenek, még akkor is, ha a munkamenet hirtelen megszakad.
    • Accounting-Stop: Amikor a felhasználó kijelentkezik, vagy a munkamenete megszakad (pl. hálózati hiba, időtúllépés), a NAS egy utolsó Accounting-Request üzenetet küld „Stop” Status-Type-pal. Ez az üzenet tartalmazza a munkamenet teljes időtartamát, a teljes adatforgalmat, a kijelentkezés okát (Acct-Terminate-Cause) és egyéb záró adatokat.
  2. Elszámolási válasz (Accounting-Response):
    • A RADIUS szerver fogadja az Accounting-Request üzeneteket, feldolgozza és rögzíti azokat a konfigurált elszámolási adatforrásban (naplófájl, adatbázis).
    • Minden sikeresen fogadott Accounting-Request üzenetre a RADIUS szerver egy Accounting-Response üzenettel válaszol. Ez a válasz egyszerűen megerősíti a NAS számára, hogy az elszámolási adat sikeresen megérkezett és feldolgozásra került. Ha a NAS nem kap Accounting-Response-t, újrapróbálkozhat az üzenet elküldésével.

    3. Az elszámolási adatok rendkívül értékesek a hálózati adminisztrátorok és a biztonsági szakemberek számára. Segítségükkel azonosíthatók a szokatlan tevékenységek, felderíthetők a biztonsági incidensek, és optimalizálható a hálózati erőforrások felhasználása.

    RADIUS üzenettípusok és attribútumok: A kommunikáció nyelve

    A RADIUS üzenetekben attribútumok határozzák meg a hitelesítést.
    A RADIUS üzenettípusok különböző attribútumokat használnak a hitelesítés és jogosultságkezelés pontos közvetítéséhez.

    A RADIUS protokoll üzenetek és attribútumok segítségével kommunikál a kliens és a szerver között. Az üzenetek a tranzakció típusát határozzák meg (pl. kérelem, elfogadás), míg az attribútumok hordozzák a konkrét információkat (pl. felhasználónév, jelszó, jogosultságok).

    Fő RADIUS üzenettípusok

    A RADIUS protokoll a következő fő üzenettípusokat használja:

    • Access-Request (Kérelem): A NAS küldi a RADIUS szervernek, amikor egy felhasználó hitelesítést kér. Tartalmazza a felhasználó adatait (név, jelszó) és a NAS adatait.
    • Access-Accept (Elfogadás): A RADIUS szerver küldi vissza a NAS-nak, ha a felhasználó hitelesítése sikeres volt. Tartalmazza az engedélyezési attribútumokat is.
    • Access-Reject (Elutasítás): A RADIUS szerver küldi vissza a NAS-nak, ha a felhasználó hitelesítése sikertelen volt.
    • Access-Challenge (Kihívás): A RADIUS szerver küldi vissza a NAS-nak, ha további információra van szüksége a hitelesítéshez (pl. kétfaktoros hitelesítés).
    • Accounting-Request (Elszámolási kérelem): A NAS küldi a RADIUS szervernek a munkamenet kezdetének, frissítésének vagy végének jelzésére.
    • Accounting-Response (Elszámolási válasz): A RADIUS szerver küldi vissza a NAS-nak, megerősítve az Accounting-Request üzenet sikeres fogadását.
    • CoM (Change of Authorization) Request: A RADIUS szerver küldi a NAS-nak, hogy egy már autentikált felhasználó munkamenetének paramétereit módosítsa (pl. leválassza, VLAN-t váltson). Ez egy későbbi kiterjesztés, a RADIUS eredeti specifikációja nem tartalmazta.

    RADIUS attribútumok

    Az attribútumok a RADIUS üzenetekben szereplő kulcs-érték párok, amelyek a hitelesítési, engedélyezési és elszámolási információkat hordozzák. Minden attribútumnak van egy típusa, hossza és értéke. A szabványos attribútumokat az RFC-k (Request for Comments) definiálják.

    Néhány gyakori szabványos attribútum:

    • User-Name (1): A hitelesítést kérő felhasználó neve.
    • User-Password (2): A felhasználó jelszava, titkosított formában.
    • NAS-IP-Address (4): A NAS IP-címe.
    • NAS-Port (5): A NAS portjának száma, amelyen keresztül a felhasználó csatlakozott.
    • Service-Type (6): A kért szolgáltatás típusa (pl. Login, Framed, Callback).
    • Framed-IP-Address (8): A felhasználónak hozzárendelt IP-cím.
    • Framed-IP-Netmask (9): A felhasználónak hozzárendelt alhálózati maszk.
    • Session-Timeout (27): A munkamenet maximális időtartama másodpercekben.
    • Acct-Session-Id (44): Egyedi azonosító a munkamenet számára.
    • Acct-Status-Type (40): Az elszámolási esemény típusa (Start, Stop, Interim-Update).
    • Acct-Input-Octets (42) / Acct-Output-Octets (43): A bejövő és kimenő bájtok száma a munkamenet során.
    • Acct-Terminate-Cause (49): A munkamenet befejezésének oka.

    Vendor-Specific Attributes (VSAs)

    A RADIUS protokoll egyik legnagyobb erőssége a Vendor-Specific Attributes (VSAs) használatának lehetősége. Ezek az attribútumok lehetővé teszik a hálózati eszközgyártók (pl. Cisco, Juniper, Aruba, Microsoft) számára, hogy saját, egyedi attribútumokat definiáljanak, amelyek a termékeik specifikus funkcióit vezérlik. A VSAs-ek a Vendor-ID (gyártói azonosító) alapján kerülnek azonosításra, amelyet az IANA (Internet Assigned Numbers Authority) oszt ki.

    Példák VSA-kra:

    • Cisco AV-Pair: A Cisco eszközökön gyakran használják szerepkörök, ACL-ek, VLAN-hozzárendelések vagy parancsengedélyezések továbbítására. Például: shell:priv-lvl=15 a rendszergazdai jogosultságokhoz.
    • Aruba-User-Role: Az Aruba hálózati eszközökön a felhasználói szerepkörök hozzárendelésére szolgál, amely szerepkörök előre definiált szabályokat (pl. tűzfal szabályok, sávszélesség korlátok) tartalmaznak.
    • Microsoft NPS (Network Policy Server): A Microsoft saját VSA-kat használ a Windows hálózati szabályzatok érvényesítésére, például a VLAN ID hozzárendelésére.

    A VSAs rendkívül rugalmassá teszi a RADIUS-t, lehetővé téve, hogy a protokoll a legkülönfélébb hálózati környezetekben és eszközökkel is hatékonyan működjön, és egyedi vezérlési lehetőségeket biztosítson.

    Az attribútumok megfelelő konfigurálása mind a RADIUS szerveren, mind a NAS-on elengedhetetlen a helyes működéshez. Egy rosszul beállított attribútum akár teljes hozzáférés megtagadását vagy nem várt hálózati viselkedést is okozhat.

    A RADIUS biztonsága: Kihívások és megoldások

    Bár a RADIUS protokoll alapvető a hálózati biztonság szempontjából, mint minden hálózati protokoll, ez is rendelkezik saját biztonsági kihívásokkal. A protokoll eredeti kialakítása (UDP alapú, megosztott titokkal) bizonyos sebezhetőségeket hordoz, amelyeket a modern implementációk és kiterjesztések igyekeznek orvosolni.

    Alapvető biztonsági mechanizmusok

    • Megosztott titok (Shared Secret): Ahogy már említettük, a NAS és a RADIUS szerver közötti kommunikáció integritását és a jelszavak titkosítását a megosztott titok biztosítja. A jelszavak nem tiszta szövegben utaznak, hanem egy MD5 hash függvény segítségével titkosításra kerülnek, amely a megosztott titkot is felhasználja.
    • Request Authenticator: Minden RADIUS üzenet tartalmaz egy 16 bájtos Authenticator mezőt. Ez a mező megakadályozza az üzenetek visszajátszását (replay attack) és manipulálását. Az Authenticator értéke a megosztott titok, az üzenet többi része és egy véletlenszerű nonce (szám, amelyet csak egyszer használnak) felhasználásával generálódik.

    Biztonsági kihívások és sebezhetőségek

    1. Shared Secret kompromittálása:
      • Kihívás: Ha egy támadó megszerzi a NAS és a RADIUS szerver közötti megosztott titkot, képes lehet a jelszó-hash-ek megfejtésére, vagy hamis RADIUS üzenetek küldésére. A jelszavak titkosítása (a RADIUS protokollban) reverzibilis, ha a megosztott titok ismert.
      • Megoldás: Használjon erős, hosszú és véletlenszerű megosztott titkokat, amelyek legalább 20-30 karakter hosszúak, és tartalmaznak kis- és nagybetűket, számokat és speciális karaktereket. A titkokat rendszeresen cserélni kell, és soha nem szabad tiszta szövegben tárolni vagy továbbítani.
    2. UDP alapú sebezhetőségek:
      • Kihívás: Mivel a RADIUS UDP-t használ, sebezhető a csomaghamisítás (spoofing) és a lehallgatás ellen, ha a kommunikáció nem titkosított csatornán zajlik. Bár a jelszavak titkosítva vannak, az attribútumok többsége (pl. felhasználónév, IP-címek, VLAN ID-k) tiszta szövegben utazik.
      • Megoldás:
        • RadSec (RADIUS over TLS): Ez a legfontosabb megoldás. A RadSec a RADIUS üzeneteket egy TLS (Transport Layer Security) alagúton keresztül küldi, ami végponttól végpontig terjedő titkosítást és integritásvédelmet biztosít. A TLS tanúsítványok segítségével a kliens és a szerver kölcsönösen hitelesíthetik egymást, megakadályozva a Man-in-the-Middle (MITM) támadásokat. A RadSec a TCP 2083-as portot használja.
        • IPsec VPN: Alternatív megoldás lehet IPsec VPN alagút létrehozása a NAS és a RADIUS szerver között, ami szintén biztosítja a csomagok titkosítását és integritását.
    3. Man-in-the-Middle (MITM) támadások az EAP protokollokban:
      • Kihívás: Bizonyos EAP típusok (pl. EAP-MD5, EAP-LEAP) nem biztosítanak megfelelő szerveroldali hitelesítést, így a felhasználó egy hamis hozzáférési ponthoz (rogue AP) csatlakozhat, amely megszemélyesíti a valódi RADIUS szervert. Ekkor a támadó ellophatja a felhasználó hitelesítő adatait.
      • Megoldás: Mindig használjon EAP-TLS, PEAP vagy EAP-TTLS protokollt, és győződjön meg róla, hogy a kliensek ellenőrzik a RADIUS szerver tanúsítványát. A szerver tanúsítványát egy megbízható tanúsítványkiadó (CA) állítsa ki, vagy ha saját PKI-t használ, a klienseken megbízhatóként kell beállítani a gyökér tanúsítványt. A felhasználókat oktatni kell arra, hogy ne fogadjanak el ismeretlen tanúsítványokat.
    4. Jelszó alapú támadások:
      • Kihívás: Ha a jelszavak gyengék, szótár alapú vagy brute-force támadásokkal feltörhetők, még akkor is, ha titkosítva utaznak a hálózaton.
      • Megoldás: Kényszerítse ki az erős jelszó szabályzatokat a felhasználói adatbázisban. Fontolja meg a többfaktoros hitelesítés (MFA) bevezetését, ahol lehetséges (pl. Access-Challenge üzenetekkel).
    5. Szerver oldali sebezhetőségek:
      • Kihívás: A RADIUS szerver szoftverében lévő sebezhetőségek kihasználhatók a szerver kompromittálására.
      • Megoldás: Rendszeresen frissítse a RADIUS szerver szoftverét (pl. FreeRADIUS, Microsoft NPS) a legújabb biztonsági javításokkal. Alkalmazzon szigorú hozzáférés-vezérlést a szerverhez, és kövesse a szerver hardening (megerősítés) legjobb gyakorlatait.

    Ajánlott biztonsági gyakorlatok

    • RadSec vagy IPsec használata: A RADIUS kommunikáció titkosítása a NAS és a RADIUS szerver között.
    • EAP-TLS/PEAP/EAP-TTLS használata: Kölcsönös hitelesítés és titkosított hitelesítési alagút biztosítása a felhasználó és a RADIUS szerver között.
    • Tanúsítványkezelés: Megbízható és érvényes szerver tanúsítványok használata, valamint a kliensek tanúsítványellenőrzésének kikényszerítése.
    • Erős megosztott titkok: Hosszú, komplex és véletlenszerű titkok használata, rendszeres cseréje.
    • Többfaktoros hitelesítés (MFA): Bevezetése, ahol a biztonság kritikus.
    • Hálózati szegmentálás: A RADIUS forgalom elkülönítése a többi hálózati forgalomtól dedikált VLAN-ok vagy alhálózatok segítségével.
    • Tűzfal szabályok: Szigorú tűzfal szabályok alkalmazása, amelyek csak a szükséges UDP portokat engedélyezik a NAS és a RADIUS szerver között.
    • Naplózás és auditálás: Részletes naplózás engedélyezése a RADIUS szerveren, és a naplók rendszeres elemzése biztonsági incidensek vagy anomáliák felderítésére. Integrálás SIEM rendszerekkel.
    • Fizikai biztonság: A RADIUS szerver fizikai védelme a jogosulatlan hozzáféréstől.

    A RADIUS biztonságának megteremtése nem egy egyszeri feladat, hanem egy folyamatos folyamat, amely magában foglalja a rendszeres felülvizsgálatot, frissítést és a legújabb biztonsági fenyegetésekre való reagálást.

    RADIUS protokoll kiterjesztések és variánsok

    A RADIUS protokoll az évek során számos kiterjesztést és variánst kapott, hogy megfeleljen az új hálózati igényeknek és a növekvő biztonsági elvárásoknak. Ezek közül a legfontosabbak a Diameter és a RadSec.

    Diameter: A RADIUS utódja?

    A Diameter protokoll (RFC 6733) a RADIUS protokoll utódjának szánták, és számos olyan hiányosságot orvosol, amelyek a RADIUS-ban megtalálhatók. Bár a Diameter széles körben elterjedt a mobilhálózatokban (pl. 4G/5G), a vezetékes és Wi-Fi környezetekben a RADIUS továbbra is domináns maradt.

    A Diameter és a RADIUS közötti fő különbségek:

    Jellemző RADIUS Diameter
    Transport protokoll UDP (1812/1813, 1645/1646) TCP (3868) vagy SCTP (Stream Control Transmission Protocol)
    Megbízhatóság Saját újrapróbálkozási mechanizmusok TCP/SCTP megbízható szállítási rétege
    Biztonság Megosztott titok, jelszó titkosítás, EAP. Nem biztosít végponttól végpontig terjedő üzenetintegritást és titkosítást alapértelmezetten (RadSec szükséges). IPsec vagy TLS (Transport Layer Security) alapértelmezetten integrálva a protokollba.
    Üzenetformátum Attribútum-Érték Párok (AVP-k), korlátozott méret (253 bájt) Attribútum-Érték Párok (AVP-k), korlátlan méret. Több értéket is tartalmazhat.
    Hibakezelés Korlátozott, kevésbé részletes hibaüzenetek Gazdagabb hibakezelés, konkrét hibaüzenetek és okok.
    Peer felfedezés Nincs beépített mechanizmus, manuális konfiguráció. Beépített peer felfedezési és képesség egyeztetési mechanizmusok.
    Ügynökök Nincs beépített proxy mechanizmus a protokoll szintjén. Proxy, Relay és Redirect ügynökök támogatása.
    Munkamenet kezelés Egyszerűbb munkamenet kezelés. Robusztusabb munkamenet kezelés, állapotfenntartás.
    Extensibility VSAs. Nagymértékben kiterjeszthető, új parancsok és AVP-k könnyen definiálhatók.

    A Diameter a RADIUS funkcionalitásának jelentős bővítése és modernizálása, különösen a megbízhatóság, a biztonság és a skálázhatóság terén. Ahol a nagy mennyiségű, megbízható és biztonságos autentikációs, autorizációs és elszámolási forgalom kritikus (pl. mobilhálózatok), ott a Diameter a preferált választás.

    RadSec (RADIUS over TLS)

    A RadSec (RFC 6614) nem egy új protokoll, hanem a RADIUS protokoll biztonságos szállítási rétege. Célja, hogy a RADIUS üzeneteket egy TLS alagúton keresztül továbbítsa, ezáltal biztosítva az üzenetek bizalmasságát (titkosítását), integritását és a kommunikáló felek kölcsönös hitelesítését.

    Miért fontos a RadSec?

    • Végponttól végpontig terjedő titkosítás: Az alap RADIUS UDP csomagok nem titkosítottak (kivéve a jelszót), így a hálózati forgalom lehallgatásával a felhasználónevek, IP-címek és engedélyezési attribútumok láthatóvá válnak. A RadSec titkosítja a teljes RADIUS üzenetet.
    • Üzenet integritás: A TLS biztosítja, hogy az üzenetek ne legyenek manipulálhatók a szállítás során.
    • Kölcsönös hitelesítés: Mind a RADIUS kliens (NAS), mind a RADIUS szerver tanúsítványok segítségével hitelesíti magát. Ez megakadályozza a hamis NAS-ok vagy hamis RADIUS szerverek beékelődését (MITM támadások).
    • Tűzfal barát: A RadSec a TCP 2083-as portot használja, ami könnyebben kezelhető tűzfalakon, mint az UDP portok.

    A RadSec bevezetése egyre inkább ajánlott, különösen érzékeny adatok kezelésekor, vagy olyan hálózatokban, ahol a RADIUS forgalom nyilvános vagy nem megbízható hálózati szegmenseken halad át. A FreeRADIUS, a Microsoft NPS és számos kereskedelmi RADIUS szerver támogatja a RadSec-et.

    RADIUS Proxy

    A RADIUS proxy egy olyan RADIUS szerver, amely nem maga dolgozza fel a hitelesítési kérelmeket, hanem továbbítja azokat egy másik RADIUS szervernek. Ez a funkció rendkívül hasznos nagy, elosztott hálózatokban vagy federatív identitáskezelési környezetekben.

    Felhasználási esetek:

    • Nagyvállalati hierarchia: Egy nagyvállalat több régiós RADIUS szerverrel rendelkezhet, és egy központi proxy szerver irányíthatja a kérelmeket a megfelelő régiós szerverhez a felhasználónév tartománya alapján (pl. @domain.com).
    • Szolgáltatói környezetek: Az internetszolgáltatók gyakran használnak RADIUS proxykat, hogy a felhasználókat a saját otthoni hálózatukban lévő RADIUS szerverhez irányítsák, még akkor is, ha roamingolnak.
    • Terheléselosztás és redundancia: A proxy szerverek eloszthatják a terhelést több backend RADIUS szerver között, és biztosíthatják a folyamatos szolgáltatást, ha az egyik backend szerver meghibásodik.
    • Bérlői rendszerek: Egyetlen RADIUS proxy szerver több, egymástól független bérlői RADIUS szerverre is továbbíthatja a kéréseket, a bérlő azonosítója alapján.

    A RADIUS proxyk jelentősen növelik a rendszer skálázhatóságát és rugalmasságát, miközben megőrzik a központosított vezérlés előnyeit.

    Gyakori RADIUS implementációk és felhasználási területek

    A RADIUS protokoll rendkívül sokoldalú, és számos hálózati környezetben alkalmazzák a hozzáférés-vezérlés és a biztonság megvalósítására. Az alábbiakban bemutatjuk a leggyakoribb felhasználási területeket.

    1. Wi-Fi Hálózatok (IEEE 802.1X hitelesítés)

    Az enterprise Wi-Fi hálózatokban a RADIUS protokoll az IEEE 802.1X szabvánnyal együttműködve biztosítja a magas szintű biztonságot. Ez a legelterjedtebb RADIUS felhasználás.

    • Működés: Amikor egy felhasználó csatlakozni próbál egy 802.1X-képes Wi-Fi hálózathoz (WPA2-Enterprise vagy WPA3-Enterprise), a hozzáférési pont (AP) NAS-ként működik. Az AP elküldi a felhasználó hitelesítő adatait (EAP üzenetekbe ágyazva) a RADIUS szervernek. A RADIUS szerver hitelesíti a felhasználót (pl. Active Directory ellen), és ha sikeres, visszaküldi az engedélyezési attribútumokat. Ezek az attribútumok meghatározhatják, hogy a felhasználó melyik VLAN-ba kerüljön (pl. alkalmazottak, vendégek, IoT eszközök), milyen sávszélesség-korlátozásokat kapjon, vagy milyen hozzáférési szabályok vonatkozzanak rá.
    • Előnyök:
      • Felhasználó-alapú hitelesítés: Minden felhasználó a saját egyedi hitelesítő adataival jelentkezik be, nem pedig egy megosztott jelszóval.
      • Dinamikus VLAN hozzárendelés: A felhasználók automatikusan a megfelelő hálózati szegmensbe kerülnek.
      • Fokozott biztonság: Az EAP protokollok (különösen az EAP-TLS és PEAP) megakadályozzák a jelszavak lehallgatását és a hamis AP-k elleni támadásokat.
      • Központosított kezelés: A felhasználói fiókok kezelése egyetlen helyen történik.

    2. VPN Hozzáférés

    A RADIUS protokoll széles körben alkalmazott a virtuális magánhálózatok (VPN) hitelesítésére és engedélyezésére, mind az SSL VPN, mind az IPsec VPN esetében.

    • Működés: Amikor egy távoli felhasználó VPN-en keresztül próbál csatlakozni a vállalati hálózathoz, a VPN koncentrátor (pl. Cisco ASA, Palo Alto GlobalProtect, FortiGate VPN Gateway) NAS-ként működik. A koncentrátor elküldi a felhasználó felhasználónevét és jelszavát a RADIUS szervernek. A RADIUS szerver hitelesíti a felhasználót, és amennyiben sikeres, visszaküldi az engedélyezési attribútumokat, amelyek meghatározhatják a felhasználónak kiosztott IP-címet, a VPN munkamenet időtartamát, a hozzáférési listákat (ACL-ek), vagy akár a sávszélesség korlátokat.
    • Előnyök:
      • Egységes hitelesítés: A VPN hozzáférés ugyanazon felhasználói adatbázis és házirendek alapján történik, mint a belső hálózati hozzáférés.
      • Granuláris hozzáférés-vezérlés: Különböző felhasználói csoportokhoz eltérő VPN-profilok és hozzáférési jogosultságok rendelhetők.
      • Kétfaktoros hitelesítés (MFA) integráció: A RADIUS Access-Challenge mechanizmusán keresztül könnyen integrálható az MFA a VPN bejelentkezési folyamatba.

    3. Hálózati Eszközök Menedzsmentje

    A RADIUS használható a hálózati eszközök (routerek, switchek, tűzfalak) adminisztratív hozzáférésének hitelesítésére is, bár erre a célra gyakran a TACACS+ (Terminal Access Controller Access-Control System Plus) protokollt preferálják, főleg a Cisco környezetben a robusztusabb parancsengedélyezési képességei miatt.

    • Működés (RADIUS-szal): Amikor egy rendszergazda SSH-n vagy Telneten keresztül próbál bejelentkezni egy hálózati eszközre, az eszköz NAS-ként működik, és elküldi a rendszergazda hitelesítő adatait a RADIUS szervernek. A RADIUS szerver hitelesíti a rendszergazdát, és visszaküldheti az engedélyezési attribútumokat, amelyek meghatározzák, hogy a rendszergazda milyen jogosultsági szinttel rendelkezik (pl. csak megtekintési jog, vagy teljes konfigurációs jog).
    • Előnyök:
      • Központosított adminisztráció: Nincs szükség minden eszközön külön felhasználói fiókok létrehozására és kezelésére.
      • Auditálhatóság: Az elszámolási funkcióval nyomon követhető, ki mikor és milyen eszközön jelentkezett be.

    4. Internetszolgáltatók (ISP-k) és távoli hozzáférés

    A RADIUS protokoll a kezdetektől fogva kulcsszerepet játszott az ISP-k működésében, különösen a dial-up, DSL és a modern szélessávú hozzáférés (pl. PPPoE) esetében.

    • Működés: Amikor egy előfizető csatlakozik az internetre, az ISP hálózati hozzáférési szervere (pl. DSLAM, BRAS) NAS-ként működik, és elküldi az előfizető hitelesítő adatait (pl. PPPoE felhasználónév és jelszó) a RADIUS szervernek. A RADIUS szerver hitelesíti az előfizetőt, és visszaküldi az engedélyezési attribútumokat, amelyek meghatározzák az IP-címet, a sávszélességet, a munkamenet időtartamát és egyéb szolgáltatási paramétereket. Az elszámolási adatok kritikusak a számlázáshoz és a forgalmi statisztikák gyűjtéséhez.
    • Előnyök:
      • Skálázhatóság: Több millió előfizető kezelése központilag.
      • Rugalmas szolgáltatásnyújtás: Különböző előfizetési csomagok és szolgáltatási szintek könnyű kezelése.
      • Pontos számlázás: Részletes elszámolási adatok a felhasznált szolgáltatásokról.

    5. Felhő alapú szolgáltatások és SaaS integráció

    Egyre több felhő alapú szolgáltatás és SaaS (Software as a Service) platform kínál RADIUS integrációt, lehetővé téve a vállalatok számára, hogy a meglévő helyi identitáskezelési rendszereiket (pl. Active Directory) használják a felhőbeli erőforrásokhoz való hozzáférés hitelesítésére.

    • Működés: A felhő szolgáltató biztosít egy RADIUS klienst vagy egy RADIUS proxy végpontot, amely a helyi RADIUS szerverhez csatlakozik. Amikor egy felhasználó megpróbál hozzáférni a felhő szolgáltatáshoz, a kérelem a helyi RADIUS szerverhez továbbítódik hitelesítésre.
    • Előnyök:
      • Egységes identitás: A felhasználók ugyanazokkal a hitelesítő adatokkal férhetnek hozzá a helyi és felhőbeli erőforrásokhoz.
      • Központosított szabályzatok: A hozzáférési szabályok egyetlen helyen kezelhetők.
      • Biztonság: A helyi identitáskezelési rendszer biztonsági erősségei kiterjeszthetők a felhőre.

    6. IoT és M2M (Machine-to-Machine) kommunikáció

    Az IoT (Internet of Things) és M2M eszközök növekvő száma miatt a biztonságos hitelesítésük kulcsfontosságúvá vált. A RADIUS protokoll alkalmazható ezen eszközök hálózati hozzáférésének ellenőrzésére.

    • Működés: Az IoT eszközök, amelyek hálózati hozzáférésre szorulnak, kliensként működnek, és a NAS-on keresztül hitelesítik magukat a RADIUS szerverrel. Az eszközök identitása lehet tanúsítvány alapú (EAP-TLS) vagy előre konfigurált azonosító alapú.
    • Előnyök:
      • Eszköz-specifikus hitelesítés: Minden IoT eszköz egyedi azonosítóval rendelkezhet.
      • Szegmentálás: Az eszközök automatikusan dedikált IoT VLAN-okba helyezhetők.
      • Skálázhatóság: Nagy számú eszköz kezelése.

    Ezek a példák jól mutatják a RADIUS protokoll alkalmazkodóképességét és széles körű elterjedtségét a modern hálózati infrastruktúrákban. Bár a technológia régóta létezik, folyamatosan fejlődik és integrálódik az új kihívásokhoz.

    RADIUS szerver szoftverek és nyílt forráskódú megoldások

    A FreeRADIUS a legnépszerűbb nyílt forráskódú RADIUS szerver.
    A FreeRADIUS a legnépszerűbb nyílt forráskódú RADIUS szerver, mely széles körben használatos vállalati hálózatokban.

    A RADIUS protokoll implementációjához szükség van egy RADIUS szerver szoftverre, amely kezeli a hitelesítési, engedélyezési és elszámolási kérelmeket. Számos kereskedelmi és nyílt forráskódú megoldás létezik, amelyek különböző funkciókat és képességeket kínálnak.

    1. FreeRADIUS

    A FreeRADIUS a világ legnépszerűbb és legelterjedtebb nyílt forráskódú RADIUS szervere. Rendkívül rugalmas, moduláris felépítésű, és szinte minden funkciót támogat, amire egy modern hálózatban szükség lehet.

    • Jellemzők:
      • Moduláris felépítés: Könnyen bővíthető új hitelesítési módszerekkel, adatbázis-interfészekkel és funkciókkal.
      • Széles körű hitelesítési támogatás: Támogatja a PAP, CHAP, MS-CHAP, EAP (PEAP, EAP-TLS, EAP-TTLS, EAP-GTC stb.) és sok más protokollt.
      • Adatbázis integráció: Zökkenőmentesen integrálható LDAP (Active Directory, OpenLDAP), SQL (MySQL, PostgreSQL, Oracle), Kerberos, PAM és számos más adatforrással.
      • Szabályzatkezelés: Gazdag szabályzatnyelv a hozzáférési szabályok, attribútumok és csoporttagságok alapján történő engedélyezéshez.
      • Proxy funkció: Képes RADIUS kérelmeket továbbítani más szervereknek.
      • RadSec támogatás: Biztonságos TLS kapcsolatok kiépítése.
      • Elszámolási funkciók: Részletes elszámolási adatok gyűjtése.
      • CoM (Change of Authorization) támogatás: Dinamikus munkamenet-módosítások.
    • Felhasználás: Kisvállalkozásoktól a nagyvállalatokig és internetszolgáltatókig széles körben alkalmazzák. Rendkívül népszerű a kutatók és fejlesztők körében is, mivel teljes mértékben testreszabható.

    2. Microsoft NPS (Network Policy Server)

    A Microsoft Network Policy Server (NPS) a Windows Server operációs rendszer része, és a Microsoft-specifikus RADIUS implementáció. Ideális választás olyan környezetekben, ahol a Microsoft Active Directory a központi felhasználói adatbázis.

    • Jellemzők:
      • Active Directory integráció: Zökkenőmentesen használja az Active Directory felhasználóit és csoportjait a hitelesítéshez és engedélyezéshez.
      • Hálózati szabályzatok (Network Policies): Grafikus felületen konfigurálhatók a hozzáférési szabályok, amelyek feltételek (pl. felhasználói csoport, időpont, NAS típusa) és beállítások (pl. VLAN ID, IP-cím) alapján működnek.
      • Health Policy (NAP): Korábban a Network Access Protection (NAP) részeként a kliensek állapotának ellenőrzésére is képes volt. Bár a NAP már elavult, az NPS továbbra is alapvető eleme a Windows alapú hálózati hozzáférés-vezérlésnek.
      • EAP támogatás: Támogatja a PEAP, EAP-TLS és más EAP típusokat.
      • Alapszintű elszámolás: Naplózási funkciók.
    • Felhasználás: Különösen alkalmas Windows alapú hálózatokban, ahol az Active Directory a központi identitáskezelő rendszer. Kisebb és közepes méretű vállalatok számára is jó választás, ha már rendelkeznek Windows Server infrastruktúrával.

    3. Kereskedelmi megoldások (pl. Cisco ISE, Aruba ClearPass)

    Számos hálózati eszközgyártó kínál saját, fejlett RADIUS szerver megoldásokat, amelyek gyakran sokkal gazdagabb funkcionalitást nyújtanak, mint a puszta RADIUS protokoll implementáció.

    • Cisco Identity Services Engine (ISE):
      • Jellemzők: Átfogó hálózati hozzáférés-vezérlési platform, amely magában foglalja a RADIUS, TACACS+, vendéghozzáférés-kezelés, profilozás, eszközállapot-ellenőrzés (Posture Assessment) és a Zero Trust hálózati architektúrák támogatását. Nagyon részletes szabályzatkezelési képességekkel rendelkezik.
      • Felhasználás: Nagyvállalatok, kormányzati szervek, ahol a komplex hálózati biztonsági és megfelelőségi követelmények vannak.
    • Aruba ClearPass Policy Manager:
      • Jellemzők: Hasonlóan az ISE-hez, egy átfogó NAC (Network Access Control) megoldás. Támogatja a BYOD (Bring Your Own Device) regisztrációt, a vendéghozzáférést, az eszközprofilozást, az állapotfelmérést és a részletes hozzáférés-vezérlést.
      • Felhasználás: Vállalati Wi-Fi és vezetékes hálózatok, különösen az Aruba hálózati eszközökkel való integráció esetén.
    • Egyéb gyártók: Juniper, Fortinet, Pulse Secure és mások is kínálnak RADIUS-képes NAC megoldásokat.

    Ezek a kereskedelmi megoldások általában magasabb költséggel járnak, de cserébe integrált felügyeleti felületet, fejlettebb analitikát, automatizálási lehetőségeket és kiterjedt támogatást nyújtanak, ami nagyban leegyszerűsítheti a komplex hálózati környezetek adminisztrációját.

    A megfelelő RADIUS szerver kiválasztása a szervezet méretétől, a meglévő infrastruktúrától, a biztonsági igényektől és a költségvetéstől függ.

    Hibaelhárítás és gyakori problémák RADIUS környezetben

    A RADIUS alapú hálózati hozzáférés-vezérlés robusztus és megbízható, de mint minden komplex rendszer, ez is tartalmazhat konfigurációs hibákat vagy működési zavarokat, amelyek kihívást jelenthetnek a hibaelhárítás során. Az alábbiakban bemutatjuk a leggyakoribb problémákat és a hozzájuk tartozó hibaelhárítási tippeket.

    1. Megosztott titok (Shared Secret) eltérés

    • Probléma: A NAS-on és a RADIUS szerveren konfigurált megosztott titok nem egyezik. Ez a leggyakoribb ok, amiért a RADIUS hitelesítés kudarcot vall. A RADIUS szerver naplójában gyakran látható „authentication failure” vagy „invalid authenticator” üzenet.
    • Hibaelhárítás:
      • Ellenőrizze mind a NAS, mind a RADIUS szerver konfigurációját, és győződjön meg arról, hogy a megosztott titok pontosan megegyezik (beleértve a kis- és nagybetűket, speciális karaktereket).
      • Másolja be a titkot, ne gépelje be újra, hogy elkerülje a gépelési hibákat.
      • Tesztelje egy egyszerű, ideiglenes titokkal, ha a probléma továbbra is fennáll.

    2. Tűzfal problémák és port blokkolás

    • Probléma: A tűzfal blokkolja a RADIUS forgalmat a NAS és a RADIUS szerver között. A RADIUS UDP portokat (1812/1813 vagy 1645/1646) engedélyezni kell. Ha RadSec-et használ, a TCP 2083-as portot kell engedélyezni.
    • Hibaelhárítás:
      • Ellenőrizze a tűzfal szabályokat a NAS és a RADIUS szerver között, valamint a RADIUS szerver operációs rendszerének tűzfalát is.
      • Győződjön meg arról, hogy a megfelelő UDP/TCP portok nyitva vannak mindkét irányban.
      • Használjon ping és traceroute/tracert parancsokat a hálózati elérhetőség ellenőrzésére.

    3. Helytelen NAS IP-cím konfiguráció

    • Probléma: A RADIUS szerver nincs konfigurálva arra, hogy elfogadja a hitelesítési kérelmeket a NAS adott IP-címéről. A szerver vagy ignorálja a kérelmet, vagy hibát jelez a naplókban.
    • Hibaelhárítás:
      • Ellenőrizze a RADIUS szerver „kliensek” vagy „NAS-ok” konfigurációját. Győződjön meg arról, hogy a NAS IP-címe (vagy alhálózata) helyesen van hozzáadva és engedélyezve.
      • Győződjön meg arról, hogy a NAS a helyes forrás IP-címet használja a RADIUS kérelmek küldéséhez, különösen, ha több interfésze van.

    4. Felhasználói adatbázis vagy hitelesítési modul problémák

    • Probléma: A RADIUS szerver nem tudja elérni a felhasználói adatbázist (pl. Active Directory, LDAP, SQL) vagy a felhasználói hitelesítő adatok helytelenek/lejártak.
    • Hibaelhárítás:
      • Ellenőrizze a RADIUS szerver naplóit a hitelesítési hibákra (pl. „user not found”, „password mismatch”, „LDAP connection failed”).
      • Tesztelje a felhasználói adatbázis kapcsolatát a RADIUS szerverről (pl. LDAP query, SQL kliens).
      • Ellenőrizze a felhasználói fiók állapotát az adatbázisban (pl. zárolva, letiltva, lejárt jelszó).
      • Győződjön meg arról, hogy a RADIUS szerver rendelkezik a szükséges jogosultságokkal a felhasználói adatbázis eléréséhez.

    5. Szabályzat konfigurációs hibák (Engedélyezés)

    • Probléma: A felhasználó hitelesítése sikeres, de mégsem kapja meg a megfelelő hozzáférési jogokat (pl. rossz VLAN-ba kerül, nincs internet-hozzáférése). Ez azt jelenti, hogy az engedélyezési fázisban van probléma.
    • Hibaelhárítás:
      • Ellenőrizze a RADIUS szerver engedélyezési szabályzatait. Győződjön meg arról, hogy a feltételek (pl. felhasználói csoport, NAS-Port-Type) helyesen vannak beállítva.
      • Ellenőrizze, hogy a megfelelő attribútumok (pl. Tunnel-Private-Group-Id a VLAN ID-hez) kerülnek-e visszaadásra az Access-Accept üzenetben.
      • Ellenőrizze a NAS konfigurációját, hogy az megfelelően értelmezi és alkalmazza-e a RADIUS szervertől kapott attribútumokat.
      • Használjon RADIUS naplózási szint növelését (debugging) a szerveren, hogy lássa, mely szabályzatok illeszkednek, és milyen attribútumok kerülnek visszaadásra.

    6. EAP (Extensible Authentication Protocol) problémák

    • Probléma: Az EAP hitelesítés sikertelen, gyakran tanúsítványhibák vagy nem megfelelő EAP típus miatt.
    • Hibaelhárítás:
      • Tanúsítványok: Győződjön meg arról, hogy a RADIUS szerver tanúsítványa érvényes, nem járt le, és egy megbízható CA adta ki. A klienseken ellenőrizze, hogy a gyökér tanúsítvány megbízhatóként van-e beállítva.
      • EAP típus egyezés: Győződjön meg arról, hogy a kliens, a NAS és a RADIUS szerver ugyanazt az EAP típust használja (pl. PEAP-MSCHAPv2).
      • Kliens konfiguráció: Ellenőrizze a kliens hálózati adapterének beállításait, hogy az megfelelően van-e konfigurálva az EAP hitelesítéshez (pl. „Verify server certificate” beállítás).
      • Hitelesítési protokoll az EAP alagúton belül: PEAP vagy EAP-TTLS esetén ellenőrizze, hogy az alagúton belül futó protokoll (pl. MS-CHAPv2, PAP) helyesen van-e konfigurálva.

    7. Elszámolási (Accounting) problémák

    • Probléma: Az elszámolási adatok hiányoznak vagy hibásak (pl. nincs Start/Stop üzenet, inkorrekt adatforgalom).
    • Hibaelhárítás:
      • Ellenőrizze, hogy a NAS megfelelően küldi-e az Accounting-Request üzeneteket a RADIUS szervernek (UDP 1813 vagy 1646 port).
      • Ellenőrizze a RADIUS szerver elszámolási konfigurációját: a naplózási fájlok helyét, az adatbázis kapcsolatot stb.
      • Győződjön meg arról, hogy a RADIUS szerver küld vissza Accounting-Response üzeneteket. Ha nem, a NAS újrapróbálkozhat, ami felesleges terhelést okozhat.

    Hibaelhárítási eszközök

    • RADIUS szerver naplók: A legfontosabb forrás. Növelje a naplózási szintet (debug mode) a részletesebb információkért.
    • Packet Sniffer (pl. Wireshark, tcpdump): Rögzítse a hálózati forgalmat a NAS és a RADIUS szerver között. Ez lehetővé teszi a RADIUS üzenetek tartalmának vizsgálatát, a portok ellenőrzését és a titkosítási problémák azonosítását.
    • NAS parancssori eszközök: Sok NAS rendelkezik beépített hibaelhárítási parancsokkal (pl. debug radius authentication Cisco IOS-en), amelyek valós idejű információt nyújtanak a RADIUS tranzakciókról.
    • RADIUS tesztelő eszközök: Léteznek szoftverek, amelyek RADIUS kliensként működnek, és tesztkérelmeket küldenek a szervernek, segítve a hibák izolálását.

    A szisztematikus megközelítés és a megfelelő eszközök használata elengedhetetlen a RADIUS környezetben felmerülő problémák gyors és hatékony megoldásához.

    A RADIUS jövője: Fejlődés és integráció

    A RADIUS protokoll több mint két évtizede alapvető szerepet játszik a hálózati hozzáférés-vezérlésben, és annak ellenére, hogy a Diameter protokoll utódként jelent meg, a RADIUS továbbra is rendkívül releváns marad. A jövőben a RADIUS valószínűleg tovább fejlődik, és szorosabban integrálódik az újabb hálózati és biztonsági paradigmákkal.

    Folyamatos relevancia a Diameter mellett

    Bár a Diameter számos technikai előnnyel rendelkezik a RADIUS-szal szemben (megbízható szállítás, beépített biztonság, fejlettebb hibakezelés), a RADIUS robusztus és széles körű elterjedtsége miatt nem valószínű, hogy rövid távon eltűnik. A vezetékes és vezeték nélküli (Wi-Fi 802.1X) hozzáférés-vezérlés területén a RADIUS továbbra is a domináns protokoll. Az eszközök és rendszerek hatalmas telepített bázisa, amelyek a RADIUS-t használják, biztosítja a protokoll hosszú távú fennmaradását. A RadSec kiterjesztés pedig orvosolja a RADIUS legfőbb biztonsági hiányosságait, lehetővé téve a biztonságos alkalmazását a modern hálózatokban.

    Integráció identitásszolgáltatókkal (IdP) és SSO rendszerekkel

    A jövő hálózatai egyre inkább az identitás-központú megközelítés felé mozdulnak el. A RADIUS szerverek egyre szorosabban integrálódnak a modern identitásszolgáltatókkal (IdP-k), mint például az Azure Active Directory, Okta, Ping Identity, amelyek SAML, OAuth2 vagy OpenID Connect protokollokat használnak az egyszeri bejelentkezés (SSO) biztosítására.

    • A RADIUS szerverek képesek lesznek a felhasználói hitelesítési kérelmeket ezekre az IdP-kre továbbítani, vagy az IdP-kkel konzultálni a hitelesítési döntések meghozatalához.
    • Ez lehetővé teszi, hogy a felhasználók ugyanazzal az identitással és hitelesítési élménnyel férjenek hozzá a hálózati erőforrásokhoz, mint a felhő alapú alkalmazásokhoz.

    Szerepe a Zero Trust architektúrákban

    A Zero Trust (Zéró Bizalom) biztonsági modell egyre inkább elfogadottá válik, amely szerint „soha ne bízz, mindig ellenőrizz”. Ebben a modellben minden hozzáférési kérelem, függetlenül attól, hogy a hálózat mely részéből származik, alapos ellenőrzésen esik át. A RADIUS kulcsfontosságú szerepet játszik ebben:

    • Folyamatos hitelesítés és engedélyezés: A RADIUS képes dinamikusan alkalmazni a szabályzatokat, figyelembe véve a felhasználó, az eszköz, a helyszín és a hálózati állapot kontextusát.
    • Mikroszegmentáció: A RADIUS attribútumok (pl. VLAN ID, ACL-ek) felhasználhatók a hálózat mikroszegmentálására, biztosítva, hogy a felhasználók és eszközök csak a feltétlenül szükséges erőforrásokhoz férjenek hozzá.
    • Eszközprofilozás és állapotfelmérés: A fejlettebb RADIUS/NAC megoldások (mint a Cisco ISE vagy Aruba ClearPass) képesek profilozni az eszközöket, és ellenőrizni azok biztonsági állapotát (pl. vírusirtó, patch szint), mielőtt hozzáférést engedélyeznének, ezzel támogatva a Zero Trust elveket.

    Felhő-natív RADIUS megoldások

    A felhő alapú infrastruktúra terjedésével egyre több RADIUS szerver lesz elérhető felhő-natív szolgáltatásként (RADIUS-as-a-Service). Ez leegyszerűsíti az üzembe helyezést, a skálázást és a karbantartást, különösen a távoli irodák és a hibrid felhő környezetek számára.

    Adaptáció az új hitelesítési módszerekhez

    Az EAP keretrendszer rugalmassága miatt a RADIUS képes lesz adaptálódni az új hitelesítési technológiákhoz, mint például a biometrikus hitelesítés, vagy a FIDO (Fast IDentity Online) szabványok. Az EAP keretrendszeren belül új EAP típusok fejleszthetők ki, amelyek támogatják ezeket a modern hitelesítési módszereket, biztosítva a RADIUS relevanciáját a jövőben is.

    Összességében a RADIUS protokoll, bár gyökerei a hálózatépítés korai időszakába nyúlnak vissza, folyamatosan bizonyítja alkalmazkodóképességét. A kiterjesztések, mint a RadSec, és az integráció más identitáskezelő rendszerekkel és biztonsági paradigmákkal biztosítják, hogy a RADIUS továbbra is a hálózati hozzáférés-vezérlés egyik alapköve maradjon a digitális világban.

TAGGED:
Share This Article
Leave a comment

Vélemény, hozzászólás?

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük