RADIUS nasıl çalışır
RADIUS üç taraflı bir modelle çalışır. Kullanıcı; VPN ağ geçidi, kablosuz denetleyici, güvenlik duvarı veya anahtar gibi bir ağ erişim sunucusuna (NAS) bağlanır. NAS, kimlik bilgilerini kendisi doğrulamaz; iki tarafta da yapılandırılmış ortak bir sırla korunan Access-Request paketi içinde bir RADIUS sunucusuna iletir. RADIUS sunucusu bilgileri kullanıcı deposuna ve politikaya göre kontrol eder, ardından Access-Accept, Access-Reject veya Access-Challenge ile yanıt verir.
RADIUS üzerinden çok faktörlü kimlik doğrulamayı mümkün kılan, Access-Challenge yanıtıdır: sunucu kabul etmeden önce tek kullanımlık kod isteyebilir veya anlık bildirim tetikleyebilir. Kabul yanıtları ayrıca NAS'a ne tür erişim vereceğini söyleyen VLAN ataması veya oturum süresi gibi öznitelikler taşır. RADIUS bunlara ek olarak oturumların başlangıç ve bitişini kaydeden muhasebe mesajları tanımlar; protokolün AAA (kimlik doğrulama, yetkilendirme, muhasebe) tanımı buradan gelir.
RADIUS neden önemli
RADIUS, ağ altyapısının kimlik sistemine katılma yoludur. WPA2/WPA3-Enterprise ile kurumsal Wi-Fi, uzaktan erişim VPN'leri, güvenlik duvarı yönetici girişleri ve 802.1X ile anahtar bağlantı noktası doğrulaması hep ona dayanır. Merkezi bir RADIUS sunucusu yoksa bu cihazların her biri yerel hesaplar tutar; bu hesaplar hızla yönetimsiz, paylaşılan ve işten çıkışlarda unutulan hesaplara dönüşür.
Protokol, MFA kapsamındaki sık boşluklardan da biridir. Web uygulamalarında güçlü doğrulamayı zorunlu kılan kurumların VPN'leri ve ağ cihazları çoğu zaman RADIUS üzerinden yalnızca parola kontrol etmeye devam eder. VPN erişimi kullanıcıyı genellikle kurumsal ağın içine bıraktığından, saldırganlar bu yalnızca parolayla korunan giriş noktalarını aktif olarak hedefler; bunları kapatmak, etkisi en yüksek kimlik sıkılaştırma adımlarından biridir.
Uygulamada RADIUS
Modern bir kurulumda ağ cihazları, bağımsız bir kullanıcı dosyası yerine merkezi kimlik platformuna dayanan bir RADIUS sunucusuna yönlendirilir. Kullanıcılar VPN'e veya Wi-Fi'a her yerde kullandıkları kimlik bilgileriyle girer, MFA challenge akışıyla uygulanır ve tek bir hesabın kapatılması, uygulama erişimiyle birlikte ağ erişimini de keser.
Pratik adımlar: her NAS'a benzersiz bir ortak sır tanımlayın, cihazlar izin verdiğinde OTP kodunu parolanın sonuna eklemek yerine challenge tabanlı MFA'yı tercih edin ve oturum görünürlüğü için muhasebe verilerini SIEM'e gönderin. Monosign, FortiGate, Palo Alto ve Pulse Secure sınıfı NAS cihazlarıyla doğrulanmış yerleşik bir RADIUS sunucusuyla gelir; böylece VPN'ler ve güvenlik duvarları, SaaS uygulamalarıyla aynı kimliklere ve MFA politikalarına göre doğrulama yapar.