Wann sollten Sie einen Windows RADIUS Server verwenden?

 Roman Fattakhov
By Roman Fattakhov
26. März 2021
Zuletzt aktualisiert am Oktober 5, 2021

Network Policy Server (NPS) ist Microsofts Implementierung eines RADIUS-Servers (Remote Authentication Dial-In User Service). NPS bietet Ihrem Netzwerk zentralisierte Authentifizierungs-, Autorisierungs- und Abrechnungsfunktionen (AAA). Bei diesem Setup fungiert Ihr Netzwerkzugriffsserver (Network Access Server, NAS) als RADIUS-Client und sendet alle Verbindungsanforderungen von Benutzern an einen RADIUS-Server, auf dem NPS unter Windows ausgeführt wird, der dann Authentifizierungs- und Autorisierungsinformationen an den NAS zurückgibt. Während Benutzer mit Ihrem Netzwerk verbunden sind, protokolliert NPS ihre Aktivitäten als Teil seiner RADIUS-Accounting-Rolle.

Was ist das RADIUS-Protokoll?

RADIUS ist ein Client-Server-Netzwerkprotokoll mit AAA-Verwaltungsfunktionen, das das Connectionless User Datagram Protocol (UDP) für seine Transportschicht verwendet und Port 1812 für die Authentifizierung und Port 1813 für die Autorisierung verwendet.

Da UDP keine zuverlässige Verbindung über ein Netzwerk erfordert, bedeutet die Verwendung von RADIUS einen minimalen Netzwerk-Overhead. Dies kann jedoch auch bei schlechter Netzwerkqualität zu Request-Timeouts führen. In diesem Fall sendet der RADIUS-Client eine weitere Anforderung an den Server. Um sicherzustellen, dass RADIUS auf einer sicheren Netzwerkverbindung ausgeführt wird, gab es in der Vergangenheit Initiativen, um es mit dem Transmission Control Protocol (TCP) arbeiten zu lassen, aber diese sind nicht über das experimentelle Stadium hinausgegangen.

Authentifizierungsprozess

Als Client-Server-Netzwerkprotokoll verfügt RADIUS über Client- und Serverkomponenten. In einem typischen Netzwerk, das RADIUS verwendet, verläuft der Authentifizierungs- und Autorisierungsprozess folgendermaßen:

  1. Ein NAS dient als RADIUS-Client und leitet Authentifizierungsanforderungen an einen RADIUS-Server weiter, der als Hintergrundprozess unter Windows oder einem anderen Serverbetriebssystem ausgeführt wird.
  1. Der RADIUS-Server authentifiziert die Benutzeranmeldeinformationen und überprüft die Zugriffsrechte des Benutzers anhand seiner zentralen Datenbank, die in einem Flat-File-Format vorliegen oder auf einer externen Speicherquelle wie SQL Server oder Active Directory Server gespeichert sein kann.
  1. Wenn der RADIUS-Server die Benutzer und die zugehörigen Berechtigungen in seiner Datenbank findet, gibt er eine Authentifizierungs- und Autorisierungsnachricht an das NAS zurück, die dem Benutzer dann den Zugriff auf das Netzwerk und seine Reihe von Anwendungen und Diensten ermöglicht.

  1. Der NAS, der weiterhin als RADIUS-Client fungiert, leitet Buchhaltungsanforderungen an den RADIUS-Server zurück, während Benutzer mit dem Netzwerk verbunden sind. Diese Anforderungen protokollieren alle Benutzeraktivitäten auf dem RADIUS-Server.

RADIUS unterstützt verschiedene Authentifizierungsmechanismen, darunter:

  • Challenge-Handshake-Authentifizierungsprotokoll (CHAP)
  • Passwort-Authentifizierungsprotokoll (PAP)
  • Erweiterbares Authentifizierungsprotokoll (EAP)

Der kombinierte Authentifizierungs- und Autorisierungsvorgang in RADIUS minimiert den Verkehrsfluss und sorgt für ein effizienteres Netzwerk. RADIUS unterstützt auch die Multi-Faktor-Authentifizierung (MFA) mit Einmalpasswörtern oder einem anderen Mechanismus, bei dem Clients und Server häufig mehr Nachrichten als normal weitergeben müssen.

In größeren Netzwerken kann ein RADIUS-Server auch als Proxy-Client für andere RADIUS-Server fungieren.

RADIUS oder LDAP: Was ist für die zentrale Authentifizierung zu verwenden?

LDAP

Wie RADIUS wird Lightweight Directory Access Protocol (LDAP) für die Benutzerauthentifizierung und -autorisierung verwendet. LDAP übernimmt diese Rolle, indem es auf Verzeichnisdienste wie den proprietären Active Directory-Dienst von Microsoft zugreift und diese verwaltet. Welche besser ist, hängt von Ihren spezifischen Anforderungen ab.

Da LDAP TLS verwendet, werden die Verbindungen und Nachrichten zwischen Client und Server immer verschlüsselt. Da LDAP TCP verwendet, ist die Wahrscheinlichkeit, dass Anforderungen gelöscht werden, gleich Null, obwohl dies häufig mehr Netzwerk-Overhead bedeutet. LDAP ist auch einfacher einzurichten als RADIUS.

Andererseits unterstützt LDAP keine Benutzerabrechnung, obwohl dies mit anderen Tools wie Syslog berücksichtigt werden kann. Es unterstützt auch keine Multi-Faktor-Authentifizierung aus der Box, obwohl Sie andere Lösungen verwenden können, wenn Sie diese Funktion benötigen.

RADIUS

Standardmäßig verschlüsselt RADIUS keine der anderen zwischen Client und Server übergebenen Attribute außer Kennwörtern. Es unterstützt andere Authentifizierungsmechanismen wie EAP, sodass diese Schwachstelle umgangen werden kann. Sie können mit RADIUS auch andere Sicherheitsmechanismen implementieren, z. B. Server und Clients hinter virtuelle private Netzwerke (VPNs) stellen.

Obwohl RADIUS komplexer ist, unterstützt es die Benutzerabrechnung und MFA und eignet sich daher ideal für den Einsatz in großen Unternehmen. Es ist jedoch auch nützlich für kleinere Organisationen, die ihre Netzwerke sichern möchten.

Netzwerkrichtlinienserver als RADIUS-Server

NPS war in früheren Windows-Versionen als Internet Authentication Service (IAS) bekannt. Beginnend mit Windows 2008 wurde IAS zu NPS, wobei Microsoft der Komponente neue Funktionen hinzufügte, einschließlich Netzwerkzugriffsschutz und IPv6-Unterstützung. NPS arbeitet mit vielen Arten von Netzwerken.

Um Benutzeranmeldeinformationen in Ihrem Windows-Netzwerk zu authentifizieren, stützt sich NPS auf eine Active Directory-Domänendienste (AD DS)-Domäne oder die lokale SAM-Benutzerkontendatenbank (Security Accounts Manager). Sie können NPS als Teil einer Single Sign-On-Lösung verwenden, wenn der Server, auf dem es ausgeführt wird, zu einer AD DS-Domäne gehört. In diesem Fall authentifiziert NPS Benutzer über die Benutzerkontodatenbank des Verzeichnisdienstes und protokolliert authentifizierte Benutzer in der AD DS-Domäne.

Mit RADIUS fungiert NPS anstelle des NAS als zentraler Speicherort für Benutzerdaten im Zusammenhang mit Authentifizierung, Autorisierung und Abrechnung. Wenn Sie NPS mit Remotezugriffsdiensten kombinieren, können Sie RADIUS verwenden, um Benutzer in Ihren Remotezugriffsnetzwerken zu authentifizieren und zu autorisieren.

Ein RADIUS-Server mit NPS bietet den einfachsten Authentifizierungsmechanismus für Windows-Server, die auf AWS ausgeführt werden.

Netzwerkrichtlinienserver als RADIUS-Proxy

Neben NPS als RADIUS-Server unter Windows können Sie NPS auch als RADIUS-Proxy-Client verwenden, der Authentifizierungs- oder Abrechnungsnachrichten an andere RADIUS-Server weiterleitet.

Einige Szenarien, in denen dieser Anwendungsfall nützlich ist, sind, wenn Sie:

  • Bereitstellung von ausgelagerten Netzwerkzugriffsdiensten. Anschließend können Sie Verbindungsanforderungen an RADIUS-Server weiterleiten, die von Ihren Kunden verwaltet werden.
  • Benutzerkonten haben, die nicht zu derselben Domäne wie der Windows RADIUS-Server gehören oder die zu einer anderen Domäne mit einer bidirektionalen Vertrauensstellung mit der Domäne des NPS RADIUS-Servers gehören.
  • Verwenden Sie eine Nicht-Windows-Kontodatenbank.
  • Haben eine große Anzahl von Benutzern, die Verbindungen anfordern.
  • Stellen Sie Ihren Lieferanten RADIUS-Authentifizierung und -Autorisierung zur Verfügung.

Sichern Sie Ihren Anwendungszugriff mit Parallels RAS

Parallels® Remote Application Server (RAS) verfügt über eine Vielzahl von Funktionen, mit denen Sie den Zugriff auf Ihre Anwendungen und Daten sichern können, einschließlich der Unterstützung von MFA unter Verwendung eines beliebigen RADIUS-Servers.

Parallels RAS bietet hochverfügbare Konfigurationsunterstützung für zwei RADIUS-Server. Hochverfügbarkeitsmodi für RADIUS-Server können als Aktiv-Aktiv eingestellt werden, um beide Server gleichzeitig zu verwenden, oder als Aktiv-Passiv für Failover-Zwecke.

Darüber hinaus können Sie mit Parallels RAS Filterregeln für Benutzer basierend auf Benutzer, IP-Adresse, MAC-Adresse und Gateway erstellen. Mithilfe von Clientrichtlinien können Sie Benutzer gruppieren und verschiedene Parallels Client-Einstellungen auf Ihre Benutzergeräte übertragen.

Parallels RAS unterstützt:

  • Smartcard-Authentifizierung
  • Kiosk-Modus
  • Sicherheit Assertion Markup Language SAML-SSO-Authentifizierung (Single Sign-on).

Parallels RAS unterstützt auch die Verschlüsselung des Secure Sockets Layer (SSL) – oder Federal Information Processing Standard (FIPS) 140-2-Protokolls gemäß der Datenschutz-Grundverordnung (DSGVO), dem Health Insurance Portability and Accountability Act (HIPAA) und dem Payment Card Industry Data Security Standard (PCI DSS).

Parallels RAS verfügt über eine Standard-Reporting-Engine, mit der Ihre Rohdaten in visuelle und intuitive Berichte umgewandelt werden können.

Erfahren Sie, wie Parallels RAS Ihnen helfen kann, Ihre Netzwerke zu schützen, indem Sie die Testversion herunterladen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.