Quando si dovrebbe utilizzare un server RADIUS di Windows?

Written by on in Articles
Romano Fattakhov
Da Romano Fattakhov
26 Marzo 2021
Ultimo aggiornamento ottobre 5, 2021

Server dei Criteri di Rete) è l’implementazione Microsoft di radius (Remote Authentication Dial-In User Service (RADIUS) server. NPS fornisce funzionalità centralizzate di autenticazione, autorizzazione e contabilità (AAA) alla rete. In questa configurazione, il server di accesso alla rete (NAS) funge da client RADIUS e invia tutte le richieste di connessione da parte degli utenti a un server RADIUS che esegue NPS su Windows, che fornisce quindi le informazioni di autenticazione e autorizzazione al NAS. Mentre gli utenti sono connessi alla rete, NPS registra le loro attività come parte del suo ruolo RADIUS accounting.

Che cos’è il protocollo RADIUS?

RADIUS è un protocollo di rete client-server con funzionalità di gestione AAA che utilizza il protocollo UDP (Connectionless User Datagram Protocol) per il suo livello di trasporto e utilizza la porta 1812 per l’autenticazione e la porta 1813 per l’autorizzazione.

Poiché UDP non richiede una connessione affidabile su una rete, l’utilizzo di RADIUS significa un sovraccarico di rete minimo. Tuttavia, questo può anche portare a richiedere timeout in caso di scarsa qualità della rete. Quando ciò accade, il client RADIUS invia un’altra richiesta al server. Per garantire che RADIUS funzioni su una connessione di rete sicura, ci sono state iniziative precedenti per farlo funzionare con Transmission Control Protocol (TCP), ma queste non sono andate oltre la fase sperimentale.

Processo di autenticazione

Come protocollo di rete client-server, RADIUS ha componenti client e server. In una tipica rete che utilizza RADIUS, il processo di autenticazione e autorizzazione va in questo modo:

  1. Un NAS funge da client RADIUS e passa le richieste di autenticazione a un server RADIUS che viene eseguito come processo in background su Windows o qualsiasi altro sistema operativo server.
  1. Il server RADIUS autentica le credenziali dell’utente e controlla i privilegi di accesso dell’utente rispetto al database centrale, che può essere in un formato flat-file o memorizzato su un’origine di archiviazione esterna come SQL Server o Active Directory Server.
  1. Quando il server RADIUS trova gli utenti e i privilegi associati nel proprio database, restituisce un messaggio di autenticazione e autorizzazione al NAS, che consente all’utente di accedere alla rete e al suo array di applicazioni e servizi.
  1. Il NAS, che funge ancora da client RADIUS, trasmette le richieste di contabilità al server RADIUS mentre gli utenti sono connessi alla rete. Queste richieste registrano tutte le attività dell’utente sul server RADIUS.

RADIUS supporta vari meccanismi di autenticazione, tra cui:

  • Challenge – Handshake Authentication Protocol (CHAP)
  • Password Authentication Protocol (PAP)
  • Extensible Authentication Protocol (EAP)

L’operazione combinata di autenticazione e autorizzazione in RADIUS riduce al minimo il flusso di traffico e rende la rete più efficiente. RADIUS supporta anche l’autenticazione a più fattori (MFA) utilizzando password monouso o altri meccanismi, che spesso richiedono a client e server di passare più messaggi del normale.

Nelle reti più grandi, un server RADIUS può anche fungere da client proxy per altri server RADIUS.

RADIUS o LDAP: quale usare per l’autenticazione centralizzata?

LDAP

Come RADIUS, Lightweight Directory Access Protocol (LDAP) viene utilizzato per l’autenticazione e l’autorizzazione dell’utente. LDAP svolge questo ruolo accedendo e gestendo i servizi di directory, come il servizio Active Directory proprietario di Microsoft. Quanto a quale è meglio dipende dalle vostre esigenze specifiche.

Poiché LDAP utilizza TLS, le connessioni e i messaggi tra client e server sono sempre crittografati. Inoltre, poiché LDAP utilizza TCP, le probabilità di richieste cadute sono nulle, anche se questo spesso significa più overhead di rete. LDAP è anche più semplice da configurare rispetto a RADIUS.

D’altra parte, LDAP non supporta la contabilità degli utenti, sebbene ciò possa essere risolto utilizzando altri strumenti come Syslog. Inoltre non supporta l’autenticazione a più fattori fuori dalla scatola, anche se è possibile utilizzare altre soluzioni se avete bisogno di questa funzione.

RADIUS

Per impostazione predefinita, RADIUS non crittografa nessuno degli altri attributi passati tra client e server, ad eccezione delle password. Supporta altri meccanismi di autenticazione come EAP, permettendogli di aggirare questa debolezza. È inoltre possibile implementare altri meccanismi di sicurezza, come mettere server e client dietro reti private virtuali (VPN), con RADIUS.

Anche se più complessa, RADIUS supporta la contabilità degli utenti e MFA, che lo rende ideale per l’uso in grandi imprese. Tuttavia, è utile anche per le organizzazioni più piccole che cercano di proteggere le loro reti.

Network Policy Server come server RADIUS

NPS era noto come Internet Authentication Service (IAS) nelle versioni precedenti di Windows. A partire da Windows 2008, IAS è diventato NPS, con Microsoft che aggiunge nuove funzionalità al componente, tra cui la protezione dell’accesso alla rete e il supporto IPv6. NPS funziona con molti tipi di reti.

Per autenticare le credenziali utente sulla rete Windows, NPS si basa su un dominio Active Directory Domain Services (AD DS) o sul database degli account utente SAM (Local Security Accounts Manager). È possibile utilizzare NPS come parte di una soluzione Single sign-on quando il server che lo esegue appartiene a un dominio AD DS. In questo caso, NPS autentica gli utenti tramite il database degli account utente del servizio directory, registrando gli utenti autenticati nel dominio AD DS.

Con RADIUS, NPS funge da posizione centrale per i dati utente relativi all’autenticazione, all’autorizzazione e alla contabilità, anziché al NAS. Se si combinano NPS con servizi di accesso remoto, è possibile utilizzare RADIUS per autenticare e autorizzare gli utenti nelle reti di accesso remoto.

Un server RADIUS che esegue NPS fornisce il meccanismo di autenticazione più semplice per i server Windows in esecuzione su AWS.

Server criteri di rete come proxy RADIUS

Oltre ad avere NPS come server RADIUS su Windows, è anche possibile utilizzare NPS come client proxy RADIUS che inoltra i messaggi di autenticazione o contabilità ad altri server RADIUS.

Alcuni scenari in cui questo caso d’uso è utile sono se:

  • Fornire servizi di accesso alla rete in outsourcing. Quindi puoi inoltrare le richieste di connessione ai server RADIUS gestiti dai tuoi clienti.
  • Hanno account utente che non appartengono allo stesso dominio del server RADIUS di Windows o che appartengono a un altro dominio con una relazione di affidabilità bidirezionale con il dominio del server RADIUS di NPS.
  • Utilizzare un database di account non Windows.
  • Hanno un gran numero di utenti che richiedono connessioni.
  • Fornire l’autenticazione e l’autorizzazione RADIUS ai fornitori.

Proteggi l’accesso alle applicazioni con Parallels RAS

Parallels® Remote Application Server (RAS) offre un’ampia gamma di funzionalità che possono aiutare a proteggere l’accesso alle applicazioni e ai dati, incluso il supporto per MFA utilizzando qualsiasi server RADIUS.

Parallels RAS fornisce il supporto di configurazione ad alta disponibilità per due server RADIUS. Le modalità ad alta disponibilità per i server RADIUS possono essere impostate come Attivo-Attivo, per utilizzare entrambi i server contemporaneamente, o come Attivo-Passivo, per scopi di failover.

Inoltre, con Parallels RAS, è possibile creare regole di filtraggio per gli utenti in base a utente, indirizzo IP, indirizzo MAC e gateway. Utilizzando i criteri client, è possibile raggruppare gli utenti e inviare diverse impostazioni client Parallels ai dispositivi utente.

Parallels RAS supporta:

  • Autenticazione Smart card
  • Modalità Kiosk
  • Autenticazione Single Sign-on (SAML SSO) di Security Assertion Markup Language.

Parallels RAS supporta anche la crittografia del protocollo Secure Sockets Layer (SSL) o Federal Information Processing Standard (FIPS) 140-2 in conformità con il regolamento generale sulla protezione dei dati (GDPR), l’Health Insurance Portability and Accountability Act (HIPAA) e lo standard PCI DSS (Payment Card Industry Data Security Standard).

Parallels RAS è dotato di un motore di reporting standard che consente di trasformare i dati grezzi in report visivi e intuitivi.

Scopri come Parallels RAS può aiutare a proteggere le tue reti scaricando la versione di prova.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.