Témakörök

MikroTik Shorts - RADIUS szerver

0 0
2023.06.29. 17:57

Dübörög tovább MikroTik Shorts fantázianevet viselő sorozatunk mely igyekszik MikroTik-el kapcsolatos praktikákat megosztani a közönséggel az alapoktól egészen a komplex megoldásokig. A mapi epizódban az AAA (Authentication, Authorization, Accounting) triumvirátusról annak létjogosultságáról és magáról a RADIUS (Remote Authentication Dial-In User Service) szerverről lesz szó melynek helyes használata nagymértékben megkönnyítheti életünket hálózatfelügyelet és IT biztonság területén. 

 

Korábbi videónkban utaltunk rá, hogy a Dude userek a RouterOS adminisztratív felhasználói közül kerülnek ki. Ahhoz, hogy az általunk felügyelt routerek sokaságán ne kelljen manuálisan egyesével, jelszavakat aktualizálni, felhasználókat tiltani, frissíteni használhatunk egy központosított authentikációt, authorizációt illetve accountingot biztosító szolgáltatást melyet számunkra a RADIUS protokoll fog biztosítani mely integrálva van a RouterOS szinte összes szegletébe.

Az első lépés ennek érdekében a RADIUS kliens konfigurálása mellyel egy külön epizódban foglalkozunk a jövőben.

Most azt szeretnénk megmutatni nektek, hogy a RouterOS-en belül hány helyen vesszük hasznát a RADIUS által biztosított szolgáltatásoknak.

Első példaként a PPP framework amelyben jellemzően VPN kapcsolatokat, hozzáférés vezérlést kezelünk. A következő maga a login szolgáltatás, illetve a hotspot megoldás.

A wirelessnél egy szinttel bővebb a kör, mint egyszerű felhasználó definálás. Egészen komplex menedzselést végezhetünk el általa. A teljesség igénye nélkül: Beállíthatunk sávszélesség korlátot adott MAC címmel rendelkező eszközökre vagy meghatározhatjuk. hogy a kliensek mely VLAN-ba kerüljenek stb.

DHCP esetén is kiválóan használható a RADIUS mivel többféle host fordulhat meg itt is, ahol különböző jogokat és jogosultságokat definiálhatunk általa. Itt van még az IPsec vagy a kevesek által használt Dot1X mellyel port authentikációt és authorizációt használhatunk.

A RADIUS szerver által tárolt paramétereket egy központi adatbázis tartalmazza. A RADIUS a klienseket forrás IP címük, valamint a kliensekben beállított secret paraméter alapján fogja felismerni. NAT használata nem javasolt mivel megnehezíti a kliensek azonosítását.

Fontos IT biztonságtechnika szempontjából, hogy a RADIUS alapértelmezésként UDP protokollt használ a kommunikációra. Ma ez már nem tekinthető biztonságosnak. Így szükség van akár egy külső megoldással védeni az adatfolyamot (IPsec csatorna) vagy használható radsec eljárás amellyel már TCP alapon TLS kiterjesztéssel akár a szerver és a kliens egymást X.509-es tanúsítványok bemutatásával igazolja.

Hozzászólás írása

Hozzászólások

Ez a blogbejegyzés csak belépve kommentelhető!

Még nincs egy hozzászólás sem.