← Tüm terimler
RADIUS (Uzak Kimlik Doğrulama Hizmeti)

RADIUS nedir?

RADIUS; VPN'lerin, Wi-Fi'ın, güvenlik duvarlarının ve anahtarların kullanıcıları merkezi bir sunucuya göre doğrulayıp ağ erişimini yetkilendirmek için kullandığı ağ protokolüdür.

Son güncelleme: 14 Temmuz 2026

RADIUS nasıl çalışır

RADIUS üç taraflı bir modelle çalışır. Kullanıcı; VPN ağ geçidi, kablosuz denetleyici, güvenlik duvarı veya anahtar gibi bir ağ erişim sunucusuna (NAS) bağlanır. NAS, kimlik bilgilerini kendisi doğrulamaz; iki tarafta da yapılandırılmış ortak bir sırla korunan Access-Request paketi içinde bir RADIUS sunucusuna iletir. RADIUS sunucusu bilgileri kullanıcı deposuna ve politikaya göre kontrol eder, ardından Access-Accept, Access-Reject veya Access-Challenge ile yanıt verir.

RADIUS üzerinden çok faktörlü kimlik doğrulamayı mümkün kılan, Access-Challenge yanıtıdır: sunucu kabul etmeden önce tek kullanımlık kod isteyebilir veya anlık bildirim tetikleyebilir. Kabul yanıtları ayrıca NAS'a ne tür erişim vereceğini söyleyen VLAN ataması veya oturum süresi gibi öznitelikler taşır. RADIUS bunlara ek olarak oturumların başlangıç ve bitişini kaydeden muhasebe mesajları tanımlar; protokolün AAA (kimlik doğrulama, yetkilendirme, muhasebe) tanımı buradan gelir.

RADIUS neden önemli

RADIUS, ağ altyapısının kimlik sistemine katılma yoludur. WPA2/WPA3-Enterprise ile kurumsal Wi-Fi, uzaktan erişim VPN'leri, güvenlik duvarı yönetici girişleri ve 802.1X ile anahtar bağlantı noktası doğrulaması hep ona dayanır. Merkezi bir RADIUS sunucusu yoksa bu cihazların her biri yerel hesaplar tutar; bu hesaplar hızla yönetimsiz, paylaşılan ve işten çıkışlarda unutulan hesaplara dönüşür.

Protokol, MFA kapsamındaki sık boşluklardan da biridir. Web uygulamalarında güçlü doğrulamayı zorunlu kılan kurumların VPN'leri ve ağ cihazları çoğu zaman RADIUS üzerinden yalnızca parola kontrol etmeye devam eder. VPN erişimi kullanıcıyı genellikle kurumsal ağın içine bıraktığından, saldırganlar bu yalnızca parolayla korunan giriş noktalarını aktif olarak hedefler; bunları kapatmak, etkisi en yüksek kimlik sıkılaştırma adımlarından biridir.

Uygulamada RADIUS

Modern bir kurulumda ağ cihazları, bağımsız bir kullanıcı dosyası yerine merkezi kimlik platformuna dayanan bir RADIUS sunucusuna yönlendirilir. Kullanıcılar VPN'e veya Wi-Fi'a her yerde kullandıkları kimlik bilgileriyle girer, MFA challenge akışıyla uygulanır ve tek bir hesabın kapatılması, uygulama erişimiyle birlikte ağ erişimini de keser.

Pratik adımlar: her NAS'a benzersiz bir ortak sır tanımlayın, cihazlar izin verdiğinde OTP kodunu parolanın sonuna eklemek yerine challenge tabanlı MFA'yı tercih edin ve oturum görünürlüğü için muhasebe verilerini SIEM'e gönderin. Monosign, FortiGate, Palo Alto ve Pulse Secure sınıfı NAS cihazlarıyla doğrulanmış yerleşik bir RADIUS sunucusuyla gelir; böylece VPN'ler ve güvenlik duvarları, SaaS uygulamalarıyla aynı kimliklere ve MFA politikalarına göre doğrulama yapar.

Sık sorulan sorular

RADIUS ile LDAP arasındaki fark nedir?
LDAP bir dizin protokolüdür: uygulamalar onu kayıtları sorgulamak ve parolaları dizine göre doğrulamak için kullanır. RADIUS ise bir ağ erişim protokolüdür: cihazlar bir kullanıcıyı içeri alıp almayacağını sunucuya sormak için kullanır; challenge, MFA ve muhasebe desteği vardır. RADIUS sunucusu, kullanıcı deposu olarak perde arkasında çoğu zaman LDAP veya bir dizin kullanır.
RADIUS ile VPN'e MFA ekleyebilir miyim?
Evet, hatta standart yöntem budur. VPN'in kimlik doğrulamasını kimlik platformunuzla entegre bir RADIUS sunucusuna yönlendirin; sunucu, erişim vermeden önce tek kullanımlık kod veya anlık bildirim onayı gerektiren bir Access-Challenge yanıtı döndürür. Kurumsal VPN ve güvenlik duvarı üreticilerinin çoğu bu akışı destekler.
Sıfır güven dünyasında RADIUS hâlâ geçerli mi?
Evet. Sıfır güven, güven kararlarının verildiği yeri değiştirir; donanımın konuştuğu protokolleri değil. Wi-Fi denetleyicileri, anahtarlar ve birçok VPN yıllarca RADIUS konuşmaya devam edecek. Gerçekçi yaklaşım, RADIUS'u görmezden gelinecek bir eski teknoloji saymak yerine merkezi kimlik platformuna ve onun MFA ile risk politikalarına dayandırmaktır.