Централизираният контрол на достъпа повишава сигурността
Категория: Системна интеграция , Сторидж
Стефан Станчев
27.11.2007
RADIUS сървъра определя правилата в мрежата
Ако даден клон или отдалечен потребител трябва да се свърже с мрежата, това повдига въпроса за проверката дали даденото лице или устройство е това, за което се представя. Това може да стане с потребителско име и парола, които се проверяват от RADIUS сървър (Remote Authentication Dial-in User Service). За приложението на този метод на защита разказва Евгени Хубенов, IP&VPN експерт в ITDNetwork
RADIUS сървъра, както показва името му е бил въведен за осигуряване на потребители с отдалечен достъп. Използва се широко в мрежите от архитектурата TCP/IP за централизиран контрол на достъпа до мрежовите устройства, защото осигурява и трите компонента - автентификация, авторизация и подотчетност. Наличието и на трите компонента е необходимо условие за сигурността на мрежите. Удобството при използването на този протокол е това, че управлението на достъпа и одита могат да се извършат централизирано в RADIUS сървъра, който обменя информация от Network Access Server (NAS) в мрежите от архитектурата TCP/IP маршрутизатори или комутатори. В RADIUS сървъра се пази информация за потребителите, които имат право за достъп, чрез потребителско име, парола (автентификация и авторизация при достъп до ресурсите на мрежовото устройство) и едновременно с това информация, свързана с изискванията за мониторинг и одит на информацията (например време на начало и край на сесиите). Съхранението на информацията за осигуряване на контрол на достъпа в RADIUS сървъра е по-сигурно, от съхранението й в конфигурацията на мрежовите устройства, където тя би била достъпна на всички потребители с равни права, където нивото на криптиране не винаги може да осигури защитата дори при производители на оборудване от висок клас.
RADIUS е удобен протокол за услуги, изискващи автентификация и оторизация при достъп до мрежов или изчислителен ресурс, с възможност за конфигуриране на различни услуги на мобилни и стационарни потребители с по-високи изисквания по отношение на сигурността и централизирана тарификация.
Така например потребителят може да получи фиксиран IP адрес при достъп от различни точки от мрежата на доставчика, на база на потребителското име да му се налагат фиксирани предварително правила за филтрация или протокол за достъп, осигуряващ по-високо ниво на сигурност – например криптиране. На базата на фиксирания адрес може да се осигури определена скорост или качество на услугата. Това е удобно за организиране на VPN (virtual private network) с комутируем или безжичен достъп, при което от различни входни точки на доставчика мобилния клиент получава сигурна услуга, с фиксирани параметри и единно тарифиране, защото информацията за трафика, начало и край на сесиите се събират в базата на RADIUS сървъра.
Едно от практическите неудобства при RADIUS е, че той е базиран на протокола UDP (User Datagram Protocol), т.е. изисква се определено качество на мрежата при липса на сесии в обмена на данни с UDP.
Въпрос на бъдеще е заменянето на RADIUS протокола с аналогични протоколи, които са базирани на TCP или други протоколи от транспортния слой, свързани с изграждане на потребителска сесия за надежден транспорт на данни при едновременно криптиран пренос на информацията.
В момента RADIUS се използва и за осигуряване на достъп и тарификация при всички VoIP услуги. При това освен информация, свързана с тарифирането на услугите, в RADIUS сървърите се акумулира и много специфична информация, свързана с обмена на телефонен трафик, имаща отношение както към информационната сигурност, така и информация, полезна за оптимизиране на услугите и повишаване на качеството им. От гледна точка на защита на личните данни би било добре потребителите на VoIP услуги да се доверят на легитимни лицензирани оператори.