Quando você deve usar um servidor RADIUS do Windows?

Written by on in Articles
Romano Fattakhov
Por Roman Fattakhov
26 de Março de 2021
Última atualização em outubro 5, 2021

Servidor de Políticas de Rede (NPS) é a implementação da Microsoft de um Remote Authentication Dial-In User Service (RADIUS) server. O NPS fornece recursos centralizados de autenticação, autorização e contabilidade (AAA) para sua rede. Nesta configuração, o servidor de acesso à rede (nas) atua como um cliente RADIUS e envia todas as solicitações de conexão dos usuários para um servidor RADIUS executando NPS no Windows, que fornece informações de autenticação e autorização de volta ao NAS. Enquanto os usuários estão conectados à sua rede, o NPS registra suas atividades como parte de sua função de contabilidade RADIUS.

Qual é o protocolo RADIUS?RADIUS é um protocolo de rede cliente-servidor com recursos de gerenciamento AAA que usa o protocolo de datagrama de usuário sem conexão (UDP) para sua camada de transporte e usa a porta 1812 para autenticação e a porta 1813 para autorização.

como o UDP não requer uma conexão confiável em uma rede, usar RADIUS significa sobrecarga mínima da rede. No entanto, isso também pode levar a tempos limite de solicitação em caso de má qualidade da rede. Quando isso acontece, o cliente RADIUS envia outra solicitação ao servidor. Para garantir que o RADIUS seja executado em uma conexão de rede segura, houve iniciativas anteriores para fazê-lo funcionar com o Transmission Control Protocol (TCP), mas elas não foram além do estágio experimental.

processo de autenticação

como protocolo de rede cliente-servidor, o RADIUS possui componentes cliente e servidor. Em uma rede típica que usa RADIUS, o processo de autenticação e autorização é assim:

  1. um NAS serve como um cliente RADIUS e passa solicitações de autenticação para um servidor RADIUS que é executado como um processo em segundo plano no Windows ou em qualquer outro sistema operacional do servidor.
  1. o servidor RADIUS autentica as credenciais do Usuário e verifica os privilégios de acesso do usuário em relação ao banco de dados central, que pode estar em um formato de arquivo simples ou armazenado em uma fonte de armazenamento externa, como SQL Server ou Active Directory Server.
  1. quando o servidor RADIUS encontra os usuários e seus privilégios associados em seu banco de dados, ele devolve uma mensagem de autenticação e autorização ao NAS, que permite ao usuário acessar a rede e sua matriz de aplicativos e serviços.
  1. o NAS, ainda atuando como um cliente RADIUS, passa as solicitações de Contabilidade de volta para o servidor RADIUS enquanto os usuários estão conectados à rede. Essas solicitações registram todas as atividades do usuário no servidor RADIUS.

RADIUS suporta vários mecanismos de autenticação, incluindo:

  • Challenge-Handshake Authentication Protocol (CHAP)
  • Password Authentication Protocol (PAP)
  • Extensible Authentication Protocol (EAP)

a operação combinada de autenticação e autorização no RADIUS minimiza o fluxo de tráfego e cria uma rede mais eficiente. O RADIUS também suporta autenticação multifator (MFA) usando senhas únicas ou algum outro mecanismo, que geralmente exige que clientes e servidores passem mais mensagens do que o normal.

em redes maiores, um servidor RADIUS também pode atuar como um cliente proxy para outros servidores RADIUS.

RADIUS ou LDAP: qual usar para autenticação centralizada?

LDAP

como RADIUS, Lightweight Directory Access Protocol (LDAP) é usado para autenticação e autorização do Usuário. O LDAP executa essa função acessando e gerenciando serviços de diretório, como o serviço proprietário do Active Directory da Microsoft. Quanto a qual é melhor depende de seus requisitos específicos.

como o LDAP usa TLS, as conexões e mensagens entre cliente e servidor são sempre criptografadas. Além disso, como o LDAP usa TCP, as chances de solicitações descartadas são nulas, embora isso geralmente signifique mais sobrecarga de rede. LDAP também é mais simples de configurar do que RADIUS.

por outro lado, o LDAP não oferece suporte à contabilidade do usuário, embora isso possa ser acomodado usando Outras ferramentas, como o Syslog. Ele também não suporta autenticação multifator fora da caixa, embora você possa usar outras soluções se precisar desse recurso.

RADIUS

por padrão, o RADIUS não criptografa nenhum dos outros atributos passados entre cliente e servidor, exceto senhas. Ele suporta outros mecanismos de autenticação, como o EAP, permitindo contornar essa fraqueza. Você também pode implementar outros mecanismos de segurança, como colocar servidores e clientes atrás de redes privadas virtuais (VPNs), com RADIUS.

embora mais complexo, RADIUS suporta a contabilidade do Usuário e MFA, tornando-o ideal para uso em grandes empresas. No entanto, também é útil para organizações menores que procuram proteger suas redes.

servidor de Política de rede como servidor RADIUS

NPS era conhecido como serviço de autenticação de Internet (IAS) em versões anteriores do Windows. A partir do Windows 2008, o IAS tornou-se NPS, com a Microsoft adicionando novos recursos ao componente, incluindo proteção de acesso à rede e suporte a IPv6. O NPS funciona com muitos tipos de redes.

para autenticar credenciais de usuário em sua rede Windows, o NPS depende de um domínio do Active Directory Domain Services (AD DS) ou do banco de dados de contas de usuário Local Security Accounts Manager (SAM). Você pode usar o NPS como parte de uma solução de logon único quando o servidor em execução pertence a um domínio do AD DS. Nesse caso, o NPS autentica os usuários por meio do banco de dados de conta de usuário do serviço de diretório, registrando usuários autenticados no domínio do AD DS.

com RADIUS, o NPS atua como o local central dos dados do Usuário relacionados à autenticação, autorização e Contabilidade, em vez do NAS. Se você combinar NPS com serviços de acesso remoto, poderá usar o RADIUS para autenticar e autorizar usuários em suas redes de acesso remoto.

um servidor RADIUS executando NPS fornece o mecanismo de autenticação mais fácil para servidores Windows em execução na AWS.

servidor de Política de rede como proxy RADIUS

além de ter NPS como servidor RADIUS no Windows, você também pode usar NPS como cliente proxy RADIUS que encaminha mensagens de autenticação ou contabilidade para outros servidores RADIUS.

alguns cenários em que este caso de uso é útil é se você:

  • fornecer serviços terceirizados de acesso à rede. Em seguida, você pode encaminhar solicitações de conexão para servidores RADIUS que seus clientes mantêm.
  • têm contas de usuário que não pertencem ao mesmo domínio que o servidor RADIUS do Windows, ou que pertencem a outro domínio com uma relação de confiança bidirecional com o domínio do servidor RADIUS NPS.
  • Use um banco de dados de conta que não seja do Windows.
  • tem um grande número de usuários solicitando conexões.
  • forneça autenticação e autorização RADIUS aos seus fornecedores.

Proteja seu acesso ao aplicativo com o Parallels Ras

o Parallels® Remote Application Server (Ras) possui uma ampla gama de recursos que podem ajudar a proteger o acesso aos seus aplicativos e dados, incluindo suporte para MFA usando qualquer servidor RADIUS.

Parallels Ras fornece suporte de configuração de alta disponibilidade para dois servidores RADIUS. Os modos de alta disponibilidade para servidores RADIUS podem ser definidos como ativos-ativos, para fazer uso de ambos os servidores simultaneamente ou como ativos-passivos, para fins de failover.Além disso, com o Parallels RAS, você pode criar regras de filtragem para usuários com base no usuário, endereço IP, endereço MAC e gateway. Usando Políticas de cliente, você pode agrupar usuários e enviar diferentes configurações de cliente Parallels para seus dispositivos de usuário.

Parallels Ras supports:

  • autenticação de Cartão Inteligente
  • modo de quiosque
  • autenticação de logon único da linguagem de marcação de asserção de segurança (SAML SSO).

o Parallels RAS também suporta criptografia de protocolo Secure Sockets Layer (SSL) ou Federal Information Processing Standard (FIPS) 140-2 de acordo com o Regulamento Geral de proteção de dados (GDPR), a Lei de portabilidade e responsabilidade de seguro de saúde (HIPAA) e o padrão de segurança de dados da indústria de cartões de pagamento (PCI DSS).

o Parallels Ras vem com um mecanismo de relatório padrão que permite que seus dados brutos sejam transformados em relatórios visuais e intuitivos.

Confira como o Parallels RAS pode ajudar a proteger suas redes baixando o teste.

Deixe uma resposta

O seu endereço de email não será publicado.