Burada Radius server’ın windows servislerinde ne görevler yaptığına biraz değinerek başlayalım. Radius bir protokoldür ve Remote Authentication Dial In Service olan bir açılımın kısa tanımıdır. Temelde bu protokol nedir? Protokol ise belkide en kısa tanımı ile iletişim ve çalışma modelini tanımlayan bir dizi kural setine verilen isimdir. Radius protokolü bilgisayar ağlarında kullanılan ve AAA diye kısaltılan işlevlerini gerçekleştirmek üzere tasarlanmış bir protokoldür.
- Authentication
- Authorization
- Accounting
Authentication, kim olduğunu doğrulama sürecini tanımlar.
Authorization, kaynaklara nekadar erişim yetkiniz olduğunu tanımlar
Accounting, bir hizmete erişimiz olduğunda izler raporlar ve erişim sürelerini ayarlar. Yani böylelikle ne kadar zaman harcadığınız ve ne zaman çıkış yaptığınız, hizmetle olan etkileşimi takip edebilirsiniz.
Protokolün kısa bir tarihçesi mevcut, özellikle nasıl standardize edildiğini öğrenmek isterseniz bir çok kaynak var, bunları internette kolayca bulabilir ve faydalanabilirsiniz, burada tarihçesine değinmeyeceğim.
Tarihçesi yerine Radius protokolünün kullanım gerekçelerine bakalım. Radius protokolü kimlik doğrulama süreçlerinde cihaz sayısının artması ve bu süreçleri cihaz üzerinde yönetmekten daha kolay olduğu için yani AAA süreçleri merkezileştirilmek için kullanılır. Ortamınızı daha sağlam ve güvenli kılmak için erişimlerin hepsini bu merkezde kontrol edebilirsiniz. Bu log yönetimi içinde çok önemlidir, böylece bir çok froud eylemi de merkezi olarak izlenebilir olacaktır. Radius bir endüstri standardı olduğu için birçok çözüm tarafından desteklenir. Neredeyse tüm ağ kaynaklarının radius desteği vardır (FW, SW, AP, Linux). Ister kablolu altyapınız, ister kablosuz erişimleri, VPN’inizi ve etki alanı hizmetlerinizi güvence altına almak için de kullanılabilir. Radius ayrıca router, switch, firewall, IPS, IDS ve diğerleri gibi ağ cihazlarınıza erişimlerde yetkili hesaplar için kimlik doğrulamada bir güvenlik mekanizması olarak kullanılır. Bu mekanizmaya MFA çözümleri de entegre edilerek merkezi kimlik doğrulamalar güçlendirilebilir. Hemen hemen her cihaz yönetici hesap erişimleri için radius destekler.
Diğer avantajlarına bakıldığında :
- Bir kullanıcının yetkisi kaldırıldığında, ilgili erişimi tüm cihazlarda kolayca devre dışı kalır. Yani basit devre dışı bırakma ile kuruluşunuz çapında ağ erişimi kontrolü uygulamanıza olanak tanır. Bu durum diğer hiç bir kullanıcını erişimini etkilemez.
- Halihazırda Radius sunucularınız varsa NPS, tüm trafiği ya da belirli hizmetlerden gelen Radius trafiğini diğer Radius sunucularına iletmek için bir Radius proxy’si olarak da yapılandırılabilir.
- Öte yandan, güvenlik duvarı politika planlaması ve QoS ayarları gibi ağ izinleri belirli bir kullanıcı profili içinde atanabilir. Bunların tümü yalnızca kullanıcı kimliğine dayalı yönetilebilir olur.
- Radius sunucusu, önemli bir sunucu yükü gerektirmez ve mevcut sisteminizi veya altyapınızı değiştirmeden ihtiyaçlarınıza en uygun şekilde kurulabilir.
Radius, bir radius istemcisi ve bir radius sunucusunun bulunduğu bir istemci sunucu modelidir. Bu nedenle, istemci ile sunucu arasında verileri koruyan, güvenliğini sağlayan bir şey olmalıdır. Bu güvenlik sunucu ile client arasında paylaşılan bir Secret Key ile sağlanır. Bu key sunucu ile istemci arasında paylaşılır.
Kısaca NPS Serverı özetlersek;
Teorik olarak bir sunucudur, ancak pratik olarak bir Windows sunucu üzerinde çalışan bir Windows hizmetidir.
Bu, anlaşılması önemli bir husus çünkü burası sonraki yazılarımızda NPS ‘in nasıl konuşlandırıldığını tanımlamakta.
Sorularınız olursa yorum kısmını kullanabilirsiniz.
Verdiğiniz değerli bilgiler için teşekkürler. Windows için alternatif bir RADIUS sunucusu olarak TekRADIUS.com’u inceleyebilirsiniz.
Değerli hocam buyrun birlikte inceleyelim.