Radius là gì?
RADIUS viết tắt của Remote Authentication Dial-In User Service nghĩa là dịch vụ người dùng quay số xác thực từ xa. Đây là giao thức dùng để trao đổi thông tin phân tán, sử dụng mô hình client (máy khách) – server (máy chủ).
Radius được thiết kế nhằm bảo vệ mạng khỏi sự truy cập trái phép và được áp dụng trên các mạng yêu cầu độ bảo mật cao, cho phép người dùng truy cập từ xa. Đây là giao thức chuẩn được hỗ trợ bởi các thiết bị thông dụng và là giao thức AAA (Authentication, Authorization, and Accounting – Xác thực, Ủy quyền và Kế toán) được sử dụng phổ biến nhất trên các mạng trực tiếp.
Giao thức Radius sử dụng gói dữ liệu người dùng (UDP) làm phương tiện truyền tải, giúp nó hoạt động với hiệu suất trong thời gian thực tốt. Bên cạnh đó, Radius còn cung cấp độ tin cậy cao thông qua việc cung cấp cơ chế máy chủ dự phòng và khả năng truyền lại thông tin. Giao thức này cũng dễ triển khai và hỗ trợ đa luồng trên máy chủ để xác thực số lượng lớn người dùng.
Radius Server là gì?
RADIUS Server là trình hoạt động ẩn sau ứng dụng máy chủ với tính năng kế toán độc lập. Máy chủ Radius có khả năng ghi lại dữ liệu khi phiên kết nối bắt đầu – kết thúc, chi tiết tài nguyên và số lượng được sử dụng trong quá trình kết nối.
Khi người dùng cố gắng kết nối với Server Radius, họ gửi yêu cầu đến máy chủ. Máy chủ sẽ cấp quyền truy cập vào máy khách Radius sau khi đã xác thực và ủy quyền cho người dùng. Nhờ việc chia sẻ mật khẩu, máy khách và máy chủ Radius thực hiện các giao dịch mà không mạng không có thông tin các cuộc giao dịch đó.
Nguyên lý hoạt động của Radius Server?
Quá trình xác thực được bắt đầu khi người dùng kết nối với máy khách Radius bằng cách nhập tên đăng nhập và mật khẩu. Sau đó, máy khách gửi yêu cầu truy cập đến máy chủ bằng một tin nhắn chứa mật khẩu đã được mã hóa đi kèm.
Máy chủ đọc tin nhắn và xác minh thông báo yêu cầu truy cập từ máy khách đã được ủy quyền. Nếu máy khách không được phép, máy chủ sẽ từ chối yêu cầu. Nếu máy khách được ủy quyền, máy chủ sẽ tiến hành kiểm tra xác thực và so sánh tên người dùng, mật khẩu với cơ sở dữ liệu của người dùng.
Tiếp theo, máy chủ truy xuất thông tin người dùng và kiểm tra xem có chính sách hay hồ sơ truy cập phù hợp với người dùng không. Nếu dữ liệu không trùng khớp, giao dịch sẽ dừng lại. Nếu dữ liệu trùng khớp thì máy chủ sẽ gửi thông báo chấp nhận truy cập đến máy khách (Thông báo sẽ bao gồm ID bộ lọc và bí mật chia sẻ).
Máy khách sử dụng ID bộ lọc để kết nối người dùng với nhóm người dùng RADIUS có cùng thuộc tính ID bộ lọc. Sau khi được kết nối và được ủy quyền vào nhóm, người dùng sẽ có quyền truy cập vào Máy khách.
Cấu hình Radius Server trên Windows Server 2019
Điều kiện để cấu hình Radius Server trên Windows server 19
1. Yêu cầu hệ thống:
- Bộ xử lý: Cần bộ xử lý có tần số nhịp ít nhất 1,4 GHz cho bộ xử lý x64.
- RAM: Tối thiểu 512 MB. Mức khuyên dùng là 2GHz.
- Dung lượng ổ đĩa: Tối thiểu 32 GB trở lên (mức khuyên dùng 40 GB trở lên)
2. Thiết lập Active Directory: Cần cập nhật Active Directory trước khi thêm bộ điều khiển miền.
3. Cài đặt lõi máy chủ: Với phiên bản Windows Server bạn cần cài đặt lõi máy chủ để có thể cài đặt và gỡ cài đặt theo ý muốn.
4. Yêu cầu bộ điều hợp mạng cần có thông lượng tối thiểu 1Gigabit/s và phù hợp với tiêu chuẩn kiến trúc PCI Express.
5. Một số yêu cầu khác:
- Hệ thống cơ sở dựa trên UEFI 2.3.1c và hỗ trợ khởi động an toàn.
- Card đồ họa và màn hình có độ phân giải tối thiểu Super VGA (1024 x 768).
- Tắt phần mềm chống vi-rút vì nó gây cản trở cho quá trình cài đặt.
- Tường lửa Windows được bật mặc định.
- Dữ liệu và thông tin đều đã được sao lưu trước khi cấu hình.
Các bước cấu hình Radius Server trên Windows Server 2019
Bước 1: Cài đặt và cấu hình AD DS:
Để định cấu hình AD DS, chúng ta thực hiện như sau:
Điều hướng đến Windows Server 2019=> Nhấp vào Start => nhấp vào ” Server Manager” => Điều hướng đến Role Summary và nhấp vào Add Roles and Features.
Chọn Role-based or Feature-based installation => Điều hướng đến trang Before You Begin và nhấn Next. Điều hướng đến Select Server Roles page => Chọn Active Directory Domain Services và nhấn Next. Nhấp và Install trên Confirm Installation Selections, sau đó điều hướng đến trang Installation Results và nhấn Close.
Đến đây là AD DS đã được cài đặt thành công
Bước 2: Cài đặt AD CS và NPS:
Để cài đặt AD CS và NPS, bạn thực hiện theo hướng dẫn sau:
Điều hướng đến Server Manager => Chọn Roles và thêm Add Roles => Nhấp và Next trên Before you Begin page. Chọn Active Directory Certificate Services (AD CS) và Network Policy and Access Services => nhấp vào Next.
Tiếp tục nhấp và Next trên Network Policy and Access Services => Điều hướng đến Role Services và chọn Network Policy Server sau đó nhấp vào Next.
Sau đó chọn Create a self-signed certificate for SSL encryption và nhấn Next => chọn Next trong Introduction to Active Directory Certificate Services => Chọn Certification Authority => Next.
Chọn Root CA trong Specify CA Type và nhấp Next => Chọn Create a new private key => Next => Chọn Next trên trang Configure Cryptography for CA => Nhập chi tiết vào Configure CA Name => nhấp vào Next.
Tiếp theo nhập thời hạn hiệu lực trên trang Set Validity Period và click Next => Next => Next => Install trên trang Confirm Installation Selection và Close.
Đến đây thì AD CS, IIS và NPS đã được cài đặt thành công.
Bước 3: Cấu hình NPS và xác thực RADIUS.
Nhấn và nút Start và chọn Administrative tools => Nhấn vào NPS trên Network Policy Server => Chọn Register Server in Active Directory và nhấn OK => Nhấn OK tiếp.
Tại trang NPS, bạn chọn RADIUS server for 802.1x Wireless or Wired Connections và nhấp vào Configure 802.1x. Sau đó chọn Secure Wireless connections => Nhập tên và chọn Next. Tiếp theo thêm các máy khách Radius vào và chọn Next.
Tiến hành nhập các thông tin trên trang máy khách Radius như: Tên, địa chỉ IP, Shared Secret và nhấn OK => Next.
Chọn Microsoft Protected EAP (PEAP) và nhấp Configure => Chọn Secured password và nhấp Edit. Sau đó nhập số lần thử xác thực và nhấn OK => Next. Chọn Groups và nhấn Next => Next và Finish. Đến đây, bạn có thể khởi động lại NPS một lần nữa để xác thực việc cài đặt thành công.
Bước 4: Xác định chính sách mạng cho người dùng/thiết bị
Điều hướng đến bảng điều khiển của NPS và chọn NPS (local) =>Nhập và expand Policies => Chọn Network Policies => Nhấn vào New và nhập tên chính sách.
Sau đó, Chọn Type of Network Access Server thành Unspecified khi sử dụng Netscaler or RCdevs OpenLDAP khi sử dụng OTP. Nhấp vào Add trong Specify Conditions.
Tiếp là chọn Windows Groups và nhấp Add => nhấp và Add Groups => OK. Chọn NAS Identifier trong phần Select Conditions. Nhập tên và chọn Next. Chọn Access Granted trong Specify Access Permission. Tiếp đến, chọn MS-CHAP v2 để bảo mật tối ưu trong Configure Authentication Method => Nhấn Next.
Chọn RADIUS attributes làm tiêu chuẩn trong Configure Settings và nhấn ADD. Sau đó, nhập giá trị thuộc tính vào String và nhấn OK => Nhấp và Next => Finish.
Bạn có thể sử dụng Trình hướng dẫn chính sách mạng để tạo hoặc thêm điều kiện, ràng buộc và cài đặt mới cho chính sách mạng.
Bước 5: Thiết lập Zero Client và chọn Xác thực 802.1x
Điều hướng đến Control panel và mở Network and Sharing center => Nhấp vào Change adapter settings => Chọn Local Area Connection và click vào Properties. Sau đó chọn Authentication và nhấp vào Enable IEEE 802.1x authentication, chọn giao thức mong muốn trong nút thả xuống.
Bước 6: Định cấu hình yêu cầu kết nối không dây
Điều hướng đến Control panel và mở Network and Sharing center => Nhấp vào Manage Wireless Networks và chọn Manually Create a network profile. Tiến hành nhập SSID của bạn vào Network Name và nhấn Next.
Tiếp đến nhấn vào Change Connection settings chọn Security và nhấp và Settings => Chọn Trusted Root CA và click OK. Điều hướng đến Advanced Settings => Chọn Specify Authentication Mode và nhấp vào OK.
Lợi ích của việc Xác thực wifi bằng radius server?
Xác thực Wifi bằng Radius Server, cụ thể là sử dụng 802.1x đem lại nhiều lợi ích như:
Kiểm soát ở biên mạng: 802.1X cho phép mạng hạn chế quyền truy cập ở biên, các cổng được kiểm soát, có dây hoặc không dây, ngăn chặn sự xâm nhập vào mạng của bạn.
Quản lý khóa phiên động: 802.1X có một khung cho phép hệ thống sử dụng các khóa mã hóa phiên động. Giúp tăng cường bảo mật bằng cách loại trừ các khóa mã hóa tĩnh và ngăn chặn tấn công vào khóa mã hóa yêu cầu.
Chi phí tối ưu: Vì 802.1X có thể được triển khai trong trình điều khiển NIC nên các trình điều khiển được cập nhật từ nhà cung cấp NIC thường có các chức năng này mà không cần phải cài đặt hệ điều hành mới.
Sử dụng các tiêu chuẩn giao thức 802.1X, EAP và RADIUS: 802.1X tích hợp tốt với các tiêu chuẩn công nghiệp xác định RADIUS Server AAA và RADIUS, cho phép nó được triển khai trên cơ sở hạ tầng hiện có để quản lý mạng quay số và VPN. Máy chủ RADIUS hỗ trợ EAP được sử dụng để xác thực các yêu cầu truy cập wifi dựa trên 802.1X.
Xem thêm:
- Hướng Dẫn Tạo VPS Từ Server nhanh chóng
- Tạo VPN từ VPS Windows đơn giản
Máy chủ Radius an toàn không?
Trong thời đại mà an ninh mạng là vấn đề khiến nhiều người đau đầu thì Radius Server vẫn là lựa chọn của nhiều người. Tuy nhiên, vẫn có nhiều người đặt câu hỏi là sử dụng máy chủ Radius có an toàn không? Thật may mắn là máy chủ Radius cho đén hiện tại vẫn đang làm tốt vai trò của mình, đảm bảo an toàn khi người dùng cấu hình đúng cách. Chúng hoạt động tốt nhất khi được sử dụng với chứng chỉ kỹ thuật số x.509 thay vì thông tin xác thực, giúp giảm nguy cơ bị tội phạm mạng xâm nhập và đánh cắp thông tin.
Có nên sử dụng máy chủ RADIUS không?
Với nguyên lý làm việc chặt chẽ cùng các bước xác minh khắt khe, Radius Server đảm bảo rằng chỉ những người phù hợp mới có quyền truy cập vào tài nguyên nội bộ. Máy chủ RADIUS tra cứu danh tính như Cloud RADIUS của SecureW2, tham chiếu chéo các chứng chỉ với IDP tại thời điểm xác thực – cho phép nhiều tùy chọn thực thi chính sách dựa trên thuộc tính.
Một yếu tố khác bạn có thể quan tâm đó là giá trị của kiểm soát truy cập dựa trên vai trò. Nếu tổ chức của bạn đang nỗ lực để thực hiện mô hình ZTNA, máy chủ RADIUS giúp đạt được mục tiêu này bằng cách cung cấp mức truy cập mạng thích hợp cho mỗi người dùng, dựa trên thông tin xác thực hoặc chứng chỉ của họ.
Đặc biệt, máy chủ RADIUS còn cung cấp cho nhóm CNTT của bạn khả năng theo dõi thêm thông qua việc ghi nhật ký sự kiện. Các chuyên gia CNTT có thể kiểm tra nhật ký để xem có hoạt động đáng ngờ nào xảy ra và đưa ra cách giải quyết nhanh chóng.
Như vậy, RADIUS Server thật sự là một phần mở rộng tối ưu cho chiến lược bảo mật mạng của công ty bạn.
Kết luận
Trên đây, LANIT đã chia sẻ đến bạn tất tần tật về Radius là gì? Radius Server là gì? và cách cấu hình Radius Server trên Windows. Với những thông tin trên, LANIT mong rằng nó hữu ích với bạn.
LANIT là đơn vị uy tín hàng đầu chuyên cung cấp dịch vụ máy chủ chuyên nghiệp từ dịch vụ thuê máy chủ ảo VPS, máy chủ vật lý giá rẻ, hosting giá rẻ,…Nếu doanh nghiệp bạn đang có nhu cầu về máy chủ lưu trữ, liên hệ ngay với LANIT để được hỗ trợ nhanh chóng nhất nhé!
